海装装备项目管理中心 北京市 丰台区 100843

通过研究目前国内外系统安全性在军用无人机研制的实施现状及标准规范，结合民机系统安全性分析流程，考虑国内军用无人机安全性分析工作的工程实践，对国内军用无人机研制安全性工作规划进行研究。结合通用的飞机生命周期阶段，按照系统工程正向研制流程，给出飞机研制不同阶段应开展的安全性工作规划，明确不同层级安全性活动的启动及冻结节点，同时根据规划内容给出国内军用无人机开展系统安全性工作应考虑的重点。针对具体的安全性分析方法，以某型飞机起落架系统为例，通过基于模型的安全性分析（MBSA）演示其在未来工程实践中的潜在优势，同时提出该技术方法运用所需的注意事项。综合宏观安全性工作规划与微观安全性分析方法两个维度，为国内军用无人机规范化开展系统安全性分析工作奠定基础。

飞机研制是一项复杂的系统工程，随着航空技术的不断发展，新技术、新材料、新工艺不断推陈出新，系统集成化程度系统越来越高。而军用无人机考虑面向复杂的作战环境，通常对技术先进性要求更高，但其发生事故，会造成巨大经济损失的同时还会严重影响作战能力的发挥。因此，军用无人机安全性问题已成为军方和工业方共同关注的重要问题。

国外军用无人机研制都明确将安全性分析作为强制要求在实际应用中进行贯彻、实施，美军标MIL-STD-882E是目前众多国家开展安全性的引用标准，该标准引用了民用飞机系统安全性文件AC25.1309-1A《美国联邦航空局资讯通报：系统设计和分析》和SAE ARP4761《对民用机载系统和设备进行安全性评估过程的指导和方法》。因此，随着民用飞机系统安全性技术逐步成熟，并在民用飞机安全性方面取得巨大成果，系统安全性分析技术在军、民用飞机研制中开始逐步统一。例如20世纪90年代末，美国西科斯基所研制的S-92的安全性分析和设计便是按ARP 4761的分析技术进行的，国内与法国合作研制的EC175/Z15，同样是按ARP 4761进行安全性分析和评估。通过采用民用飞机安全性分析流程，确定最优的减少和控制风险的措施，从而在使用有效性、费用和进度等限制条件下，确保军用无人机型号达到理想的安全水平。

目前国内诸多军用无人机型号也在开展系统安全性分析工作，包括功能危险分析（FHA）、初步系统安全性分析（PSSA）、失效模式与影响分析（FMEA）及区域安全性分析等，整个分析过程尚缺乏整体的系统性，安全性分析工作与设计工作联合不够紧密，致使安全性分析结果对设计工作无法产生有效指导，也很少发现设计的差错与缺陷，对于提出的安全性要求缺乏有效的定性及定量证据表明符合性。因此在研或后续研制机型，应做好顶层的安全性工作规划，在型号项目立项初始就应该结合研制阶段对全研制周期整机级、系统级、设备级等安全性工作进行定义，确保安全性分析对于设计活动的有效指导。

本文通过研究民机系统安全性分析流程、调研国内军用无人机系统安全性分析开展情况，对适用于军用无人机研制的安全性分析工作规划结合航空装备研制生命周期进行介绍，并根据基于模型的安全性分析（MBSA）案例，展示MBSA技术优势，说明未来军用无人机型号上推广实施MBSA的可行性，最后，给出后续军用无人机型号系统安全性工作开展的思考与结论。

系统安全性概念及相关标准

系统安全性概念

飞机的安全性是飞机的一种固有属性，是指通过设计和制造赋予飞机的不发生事故的能力。该属性主要表现为两个方面：

设计属性：安全性作为飞机的固有属性，其是飞机研制过程中设计出来的，因而具有设计属性，是设计师团队的关键设计目标；

行为属性：安全性关注的一个重要方面是对人造成的危害，而人为操作因素又是造成事故发生的重要因素，与此同时，在飞机研制过程中对飞行员、维修人员等操作的规定与培训则是通过人的行为防止事故发生。

系统安全性则是在安全性发展的过程中逐步发展起来的一门专门学科，军用无人机系统安全性则定义为：“在系统寿命期所有阶段内，在使用效能、适用性、时间和费用等项约束下，运用工程和管理的原理、准则和技术使安全性涉及的所有方面最优化。”系统安全性强调设计属性，通过运用相关技术原理降低与费用、方案和设计要求相关的系统风险，从而实现控制系统风险的目标。对军用无人机而言，可以进而保证减少飞机损失，实现战斗能力的最大化。

军民用系统安全性标准

本文主要对美国及国内主要的装备系统级军民用系统安全性标准进行梳理介绍。

(1)美军MIL-STD-882美国国防部标准实践-系统安全性

MIL-STD-882系列标准主要关注武器系统的系统安全性工作，并不仅限于飞机系统，而是面向所有的武器系统的通用标准。该标准从1969年7月初版发布至今已修订6次，目前有效版本为MILSTD-882E，标准内涵也逐步从保障武器装备和人员的安全向保持环境安全和人员职业健康延伸。该标准内容不仅包含具体系统安全性技术内容，还包含安全性管理工作内容。

(2)SAE ARP 4761民用机载系统和设备进行安全性评估过程的指导和方法

ARP 4761是专门针对民用飞机机载系统和设备安全性评估的方法与指南，不同于MIL-STD-882E，ARP4761只涵盖飞机研制阶段，而非全生命周期，且ARP 4761对安全性分析方法及流程提供具体的技术实施指南，指导工程实践采用定性与定量的方式确定安全性要求，并随着系统、飞机集成过程进行验证，不包括系统安全性管理方面的工作。

(3)GJB 900A-2012装备安全性工作通用要求

该标准是在GJB 900基础上修订而来，规定了军用系统安全性的一般要求和管理与控制、设计分析、验证与评价、培训、软件系统安全性等方面的具体要求，作为订购方提出具体系统的安全性要求和承制方制定具体系统的安全性大纲的基本依据。

上述标准仅是系统安全性相关典型标准，但相比而言国外的标准较为全面，不仅包括顶层的安全性工作要求，也具备工程技术的具体实施流程，国内目前尚缺乏完善的系统安全性标准体系，尤其是具体实施层面的方法指南文件，致使在型号研制工程实践的系统安全性分析中缺乏指导。

系统安全性分析工作规划

针对国内目前军用无人机研制安全性工作存在的问题，本文以ARP 4754A系统安全性分析流程为基础，结合目前国内在部分机型开展的安全性分析工作，并考虑通用的飞机生命周期阶段，按照系统工程正向设计流程，给出军用无人机在全生命周期阶段的系统安全性工作规划。整个安全性工作按生命周期阶段和不同层级两个维度进行规划，如图1所示。

全生命周期系统安全性分析工作可根据是否服役划分为研制阶段系统安全性分析工作与飞机使用过程中的运行安全分析工作，本文站在飞机研制视角，按照飞机不同层级重点介绍研制过程中如何开展安全性分析工作。

(1)飞机级安全性分析与验证

在型号研制中的可行性研究阶段初始，就应开展飞机级功能危险分析（AFHA），在完成AFHA初版后，向供应商发出信息征询书（RFI），寻求供应商对于系统的技术状态，并获取供应商技术反馈，进入概念设计阶段后，主机与供应商开展联合概念设计（JCDP），在此过程中AFHA逐步更新成熟，并在飞机总体设计方案冻结后，AFHA达到冻结状态。

在AFHA完成初版后，在可行性研究阶段应启动初步飞机安全性分析（PASA），该工作应进行多轮更新迭代，指导详细设计阶段关键设计评审（CDR）结束后，才达到冻结状态。

此外，在飞机级还应开展共模分析（CMA）、特定风险分析（PRA），这两项分析工作在可行性研究阶段启动，并在初步设计评审（PDR）时完成，在此之后才开展区域安全性分析（ZSA）。

图1 系统安全性各研制阶段工作规划

在研制和验证阶段，应开展飞机级物理ZSA确定设计阶段的目标是否得到满足，进而开展飞机安全性评估（ASA）对整个型号安全性要求进行关闭。

(2)系统级安全性分析与验证

系统级功能危险分析（SFHA）工作在整个型号可行性研究阶段结束，项目正式立项开始，主机与供应商开展联合概念设计定义，此时开展SFHA，并随后开展系统初步安全性分析（PSSA），SFHA应在PDR后达到冻结状态，PSSA在详细设计结束CDR时达到冻结。与此同时，在概念设计与详细设计阶段应开展系统级的CMA与PRA，对系统层级可能存在的共模与特定风险进行分析。

在研制和验证阶段，完成FMEA/FMES后，开展SSA，确认系统级安全性目标得以满足。

(3)设备级安全性分析与验证

在设备级主要开展FMEA/FMES的分析工作，该部分内容是系统安全性分析（SSA）的前提，通过对系统中的所有设备的功能、失效模式进行识别，并收集该设备在外场的故障数据，是开展安全性指标要求验证的第一步，该部分内容对于整个安全性工作开展至关重要。通过该部分的数据验证自上而下分配的安全性指标要求是否能够满足，为SSA验证结论奠定基础。

以上是对型号研制过程中系统安全性工作规划的概述，根据目前国内军用无人机安全性工作开展，主要存在以下几个工作重点：

(1)安全性指标是飞机整机级安全性的度量，是系统安全性工作的基础和重要参考标准，对系统安全性指标的研究方面还不足，尤其是整机级指标要求的选取和确定，应加强对不同军用无人机类型的顶层安全性指标论证工作；

Ⅰ类海风锋850 hPa合成流场如图5b所示。其中Ⅰ类海风锋主要是副高北侧中的独立小高压东移入海,副高北侧西风气流因小高压及其南部低压横槽造成苏北沿海偏东海风气流,而苏中、苏南则是西风小波动入海,近岸内陆是弱脊,沿海是小槽。苏北苏南的不同风场流型,配合沿海地形走势以及1 000 hPa层海风锋,使苏北海风较苏南深厚,苏南海风锋背景上下层风向的差异使得形成的海风环流较浅薄。因此江苏沿海海风锋的中小尺度局地性特征显著。

(2)重视FMEA工作的重要作用，积极引导供应商开展FMEA工作，并加强外场故障数据收集反馈，优化故障数据的准确度。

(3)在型号研制全生命周期重视系统安全性分析工作，建立安全性专业与系统设计之间的强耦合关系，形成良好互动协作，共同提升装备安全性水平。

基于模型的系统安全性分析

传统的系统安全性分析过程中的计算与分析工作主要由人工完成，且很大程度上依赖于安全性工程师的分析经验，以进行PSSA为例，在进行故障树分析（FTA）时，不同的安全性工程师面对同一对象所构建的故障树不尽相同，需要与系统设计人员进行反复地沟通迭代，方能使所构建的故障树得以确认，并进行安全性指标的分配。不仅如此，随着飞机/系统集成度越来越高，各种数据交互非常繁杂，需要人工对各项信息流、数据流、资源流进行详细分析，耗费大量的人力物力。

基于模型的安全性分析方法通过对分析对象进行模型构建，能够在软件平台对分析对象进行自动分析，生成分析结果，下面以某型号起落架系统为例，给出基于模型的系统安全性分析示例。

(1)确定起落架系统的功能清单及系统架构

该部分内容主要由系统设计团队提供，包括对起落架系统的功能定义及系统架构定义，在进行起落架系统建模前，安全性工程师应与起落架设计人员进行详细沟通，获取确定的系统功能清单，功能架构以及系统架构信息，熟悉起落架系统设计原理、设计方案、各分系统及部件功能等。

(2)起落架系统失效状态分析

在熟悉起落架系统功能及系统架构基础上，由安全性工程师开展系统失效状态分析，包括收集并整理起落架故障案例，对起落架系统组成部件可能发生的失效状态进行初步预测，分析其失效对起落架功能的影响。系统故障通常是由零部件故障或软件故障导致的，可将故障分为数字故障与机械故障，并对每一故障模式的具体失效行为进行分析，为后续系统功能建模奠定基础。

(3)起落架系统功能建模

基于起落架功能分析流程，本部分示例基于Simfia平台进行建模，所构建的起落架系统功能模型如图2～图4所示。其中为起落架系统级功能模型，为起落架分系统功能模型，为起落架部件级系统模型。

图2 起落架系统级功能模型

图3 起落架子系统级功能模型

图4 起落架部件级功能模型

图5 起落架故障传播模型

图6 起落架故障树自动生成

(4)起落架系统故障传播模型构建及分析结果自动生成

通过上述案例可以看出，通过采用基于模型的方式构建分析对象的功能模型及故障传播模型，能够有效、快速实现故障树形式分析。若能够构建完整的飞机及各系统模型，能够有效缩减人工分析的时间，并增加分析精确性，提升安全性分析效率。

但在看到MBSA的优势的同时，也不能忽略对系统安全性分析方法本身的重视，要注意以下几点：

(1)基于模型开展安全性分析过程中，安全性分析是核心目标，模型是手段；

(2)在分析对象建模过程中应对系统功能、设计架构理解透彻，加强与系统设计人员的沟通，对构建模型进行反复确认；

(3)MBSA目前仍处于探索阶段，仍在工程实践中存在许多挑战，军方与工业方应对新兴手段保持客观、理性，积极运用优势的同时也不可过分依赖。

结论

本文通过研究目前国内外系统安全性分析方法在军用无人机研制的现状，结合民机系统安全性分析流程，考虑国内军用无人机安全性分析工作的开展实际，对军用无人机研制过程中应开展的系统安全性分析活动进行了研究，并根据某型飞机起落架系统的MBSA案例，演示具体的新兴安全性分析方法优势，并给出应用过程中的注意事项。通过本文研究可得出如下结论：

(1)通过对国外标准与工程实践两个维度来看，目前国外军民机系统安全性分析思路趋于统一，这也为国内军用无人机系统安全性分析工作开展提供有益借鉴；

(2)结合通用的飞机研制生命周期阶段，按照系统工程正向研制流程，本文给出了军用无人机研制过程的不同层级在不同阶段应开展的安全性分析活动，可作为飞机顶层初步的安全性工作规划，为国内主机单位提供参考；

(3)根据某型飞机起落架系统的MBSA案例，表明在既定安全性工作规划及传统安全性分析方法基础上，采用MBSA在工程中应用的技术优势，并给出该方法在运用过程中的注意事项。