轻型无人机系统适航安全分析流程探究

2020-09-10徐伟程罗秋凤高艳辉张锐

环境技术 2020年4期

徐伟程，罗秋凤，高艳辉，张锐

（1.南京航空航天大学无人机研究院，南京 210000；2.中小型无人机先进技术工业和信息化部重点实验室，南京 210000）

引言

随着越来越多的轻型无人机进入空域从事航空活动，如何保证其在空域内的飞行安全性已成为世界各国航空机构的重点研究课题。目前，对该课题的研究主要围绕两个角度展开：“运行管理”、“适航审定”。

“运行管理”的研究侧重从空管角度研究无人机的飞行安全性，主要涉及空域划分、运行限制、空中交通规则等方面的内容。目前，世界各国航空机构在“运行管理”方面的研究已取得大量成果：英国国防部发布了《轻型无人机系统规范》、法国民航局制定了《遥控驾驶飞机在法国空域进行飞行活动的相关要求》、美国联邦航空管理局（FAA）发布了小型无人机运行管理文件PART 107、中国民用航空局（CAAC）发布了AC-91-FS-2019-31R1《轻小型无人机运行规定（暂行）》修订版、AC-92-2019-01《特定类无人机运行管理规程（暂行）》等。

“适航审定”的研究侧重从设计的角度分析无人机的飞行安全性，主要关注无人机的设计是否符合适航审定要求。目前，世界主要航空组织在“适航审定”方面的研究取得了一定成果：无人机规章联合制定局（JARUS）发布了CS-LURS《轻型无人旋翼航空系统合格审定规范》和CS-LUAS《轻型无人航空系统合格审定规范》、北大西洋联合组织（NATO）发布了STANAG 4703《轻型无人机系统适航性要求》、CAAC发布了《基于运行风险的无人机适航审定指导意见》等。

现阶段，世界各国航空机构主要通过“运行管理”确保轻型无人机的飞行安全，并取得了一定效果。而实现无人机全空域安全飞行对轻型无人机的安全性水平提出了更高的要求。因此，针对“适航审定”的研究已逐渐发展成了轻型无人机安全性研究的热门方向之一。本文首先对轻型无人机安全性等级进行重新划分。在基于STANAG 4703《轻型无人机系统适航性要求》的基础上，结合轻型无人机特点，对目前通用的民机安全性评估流程作适应性改进。最后，运用改进后的安全性评估流程对某轻型固定翼无人机作安全性评估，选取滚转姿态控制功能演示该流程的使用。

1 安全性等级划分

为了对轻型无人机作安全性分析，必须先对轻型无人机划分安全性等级，而划分安全性等级的第一步是划分无人机的失效状态严重程度。

1.1 无人机失效状态严重程度划分

根据“等效安全”原则，结合民机失效状态严重程度划分和无人机“人机分离”的特点，可得出适于无人机的失效状态严重程度划分，如表1所示。

表1 无人机失效状态严重程度划分表

1.2 无人机安全性等级划分

考虑到轻型无人机结构相对简单且具有“人机分离”的特点，引入RARUS提出的基于“系统复杂程度”的划分方法。该方法是指：根据无人机系统控制权限大小划分无人机系统复杂程度，如图1所示，然后按照“等效安全”原则为无人机失效状态的严重程度划分等级，最后综合无人机系统复杂性等级和失效状态严重程度等级划分安全性等级[1]。

对轻型无人机应用该方法可得出适于轻型无人机安全性等级表，如表2所示。

图1 无人机系统控制权限与复杂性等级对应关系

表2 轻型无人机安全性等级表

2 安全性评估流程与方法

根据STANAG 4703的要求[2]：

UL.30必须对无人机系统进行系统安全评估，并将安全评估报告提交给认证机构，推荐但不限制使用以下安全性分析方法：

1）核证当局商定的危险参考标准的定义；

2）功能性危害分析（使用SAE ARP 4761或类似的民用航空器安全性分析方法）；

3）故障模式影响和危险性分析（使用SAE ARP 4761或类似的民用航空器安全性分析方法）；

4）故障树分析（使用SAE ARP 4761或类似的民用航空器安全性分析方法）。

安全性分析必须证明符合以下要求：

UL.30.1 必须识别所有可能发生的危害性事故和灾难性事故，确定定量事故率及可接受的风险水平；

UL.30.2 灾难性事故每飞行小时的累积概率（包括无人机系统和子系统）不得大于核证当局认可的危险参考系统的累积安全性要求；

UL.30.3 必须将所有已识别的安全风险降低到与技术限制相符的最低水平，并根据认证机构认可的的附危险参考标准判定每个故障的风险水平是否是可接受的。

2.1 民机安全性评估流程

根据ARP 4761，在飞机研制初期先要对飞机进行功能危险性评估（FHA），识别飞机级功能失效和系统级功能失效，并对其危害程度划分等级；随后，进行初步系统安全性评估（PSSA），通过反复迭代检查、修正，确认导致系统级功能失效的设备/部件级或软件/硬件级原因；同时，不断完善安全性目标，确认架构满足安全性需求，并据此进行研制保证等级（DAL）分配；当飞行器初步设计完成后，进行系统安全性评估（SSA），验证在初步设计中分配的安全需求是否得到满足[3]。在进行FHA、PSSA的同时还应根据安全分析的需要进行公因分析（CCA）。详细的安全性评估过程如图2所示。

图2 民机安全性评估流程

2.2 改进安全性评估流程

一般地，民机的安全性评估主要针对飞机本身。而无人机系统包含无人机（UAV）、地面站、数据链路和发射回收装置等组成部分。因此，将无人机系统（UAS）视为一个整体，作为安全性分析的顶层事件较为合适。之后，再对无人机进行子系统级安全性分析。此外，由于轻型无人机体积小、结构简单、冗余设备少，除非要较高的安全性要求，一般不进行共因分析（CCA）。综合以上考虑，对民机安全性评估流程进行改进，改进后的轻型无人机系统的安全性评估流程如图3所示。

图3 轻型无人机安全性评估流程

此流程延续了民机安全性评估流程的通用框架。先对无人机进行UAS级FHA，识别UAS级功能失效，并将UAS级安全性需求分配到子系统级。随后，进行子系统级FHA，识别子系统级功能失效，并将子系统级安全性需求分配到设备或部件。然后，结合系统架构运用故障树分析（FTA）进行PSSA，在识别导致子系统级功能失效的低层级设备或部件故障后，结合FMEA等多种可靠性分析方法进行SSA。最后，汇总SSA结果，分析设计是否满足无人机的安全性需要，如果不满足，则针对不满足处进行改进。

2.3 改进安全性分析方法

由于无人机在飞行阶段执行任务多样化，运行场景多样化，运行模式多样化，且其失效状态对应的安全性等级与民机不同。因此，直接使用民机安全性评估流程中的FHA对无人机进行功能危害性评估，得出的结果可能不够准确。因此，需要对FHA作适应性改进。

当FHA完成后，需要结合系统架构，对飞行器进行初步系统安全性评估（PSSA）。通过PSSA，可将系统级的安全性需求分配到较低层级的部件/设备或硬件/软件。由于PSSA中主要使用诸如FTA、Petri网等普适的可靠性分析法，且PSSA的输入由上一步的FHA决定，因此，对于无人机而言，可以直接使用民机PSSA的分析流程，考虑到轻型无人机的安全性等级与民机存在较大差异，因此，需要对PSSA中的研制保证等级（DAL）分配作适应性改进。

当PSSA完成后，需要进行SSA。由于SSA的分析过程与PSSA类似，且主要使用故障模式与影响分析（FMEA）、FTA的等普适性可靠性分析方法，可直接使用民机的SSA分析流程。

2.3.1 改进功能危险性评估

为了提高FHA结果的准确度，需要扩大无人机安全性分析的边界。将整个无人机系统（UAS）作为顶层事件进行最高层级的功能危险性评估，即UAS级FHA[4]。通过UAS级FHA，可以识别UAS级功能失效并将UAS级安全性需求分配到下一层级，进行子系统级FHA。通过子系统级FHA，可将子系统级功能失效和安全性需求分配到设备/部件级，为后续PSSA做准备。改进后的UAS级FHA流程如图4所示。类似地，可对系统级FHA过程作相应改进，现有篇幅，这里不再赘述。

图4 改进后的UAS级FHA

2.3.2 改进研制保证等级分配

在进行PSSA时，系统级FHA确认的安全性需求（无人机对应于子系统级FHA确认的安全性需求）被分配到较低层级的设备/部件或硬件/软件，据此可分配研制保证等级（DAL）。研制保证等级（DAL）是针对功能或设备的失效状态制定的分类等级，用于描述为了减少或消除研制过程中的错误而采用的措施和方法。DAL的分配原则是“失效状态严重性越高，对应的DAL等级越高”[5]。结合表2可以得出适于轻型无人机的研制保证等级分配标准，如表3所示。

表3 轻型无人机DAL分配表

3 应用实例

本文以某轻型无人机为例，运用改进后的安全性评估流程与方法进行安全性评估，选取滚转姿态控制功能演示如何在轻型无人机初步设计阶段使用该流程与方法。

按照“系统复杂性等级”的划分方法，示例无人机适用复杂度I级（CL I）的安全等级划分标准。选取滚转控制功能进行UAS级FHA，如表4所示。

通过对示例无人机的滚转姿态控制功能进行UAS级FHA，可以识别滚转姿态功能不同失效状态的严重程度。随后由UAS级功能和子系统级功能对应关系可知，UAS级的滚转姿态控制功能失效可分配至子系统级对应的设备：副翼舵、飞行控制计算机、垂直陀螺、速率陀螺。按照UAS级FHA的分析思路对示例无人机进行子系统级FHA。经过子系统级FHA，UAS级的滚转姿态控制功能失效被分配到副翼舵、飞行控制计算机、垂直陀螺和速率陀螺功能失效。以副翼舵功能失效为例，继续进行安全性评估。

表4 滚转姿态控制功能UAS级FHA

经过FHA，可以得出8种副翼舵功能失效状态：①短时丧失两个副翼舵控制功能；②持续丧失两个副翼舵控制功能；③短时丧失单个副翼舵控制功能；④持续丧失单个副翼舵控制功能；⑤两个副翼舵控制短时不足；⑥两个副翼舵控制持续不足；⑦单个副翼舵控制短时不足；⑧单个副翼舵控制持续不足。选取“持续丧失两个副翼舵控制功能”这一失效状态进行PSSA。

根据飞行剖面可知，示例无人机平均飞行时间为4 h。根据子系统级FHA结果可知，“持续丧失两个副翼舵控制功能”这一情形的危害程度为I级（灾难级）。结合CL I类轻型无人机安全性等级为此失效状态分配顶层故障率4×10-6/h。以“持续丧失两个副翼舵控制功能”这一功能失效作为顶层事件运用FTA进行分析，绘制初步故障树如图5所示。

图5 初步故障树

由于左右副翼舵完全相同，仅对单个副翼舵进行分析即可，单个副翼舵持续丧失控制功能的故障率可分配为2×10-3/h。之后，将单个副翼舵持续丧失控制功能作为次级事件进一步分解，得出导致此失效状态的下一层级事件为：传感器系统故障、副翼电缆故障、副翼舵机故障、飞行控制计算机故障和副翼舵机供电故障。总结相似机型上述五类设备的历史故障情况，按照比例，近似为其分配应满足的预计故障率，并据此初步分配DAL。随后，按照初步分配的DAL来指导无人机的设计与研制，如果产生了新的设计需求，则重复上述步骤，反复修正故障树，直至满足所有安全性需求，得到最终的设计方案。

在设计完成后，进行SSA。通过识别故障树基本事件的故障率，逆向推算上一层级事件的实际故障率，若实际故障率不超过PSSA时分配的预计故障率，则表示这部分的安全性需求得到满足，否则，按照实际故障率改进此部分的DAL要求，并据此改进设计，直至验证到顶层事件的实际故障率是否满足安全性需求。

按照SSA分析流程继续完善初步故障树，“持续丧失单个副翼舵控制功能”最终故障树如图6所示。

根据SSA绘制的最终故障树可以发现，导致示例无人机“持续丧失两个副翼控制功能”最关键的底事件是速率陀螺故障和垂直陀螺故障，两者的失效率分别是8.52×10-8/h和9.37×10-8/h。因此，在无人机初步设计时需要重点关注此薄弱环节，可以考虑使用更高品质的陀螺仪或增加冗余设备提高无人机安全性水平。类似地，可以运用此安全性评估流程对副翼舵、飞行控制计算机、垂直陀螺、速率陀螺进行安全性分析，最终根据分析结果得出导致滚转姿态控制失效的最关键底层事件，并对其进行改进。