徐小杰 宫綦 吴洋 柏青

摘要：安全性工作是航空装备研制过程中的重要内容，针对目前国内航空装备安全性工作，分析了工作中存在的安全性工作与飞机级架构设计、飞机级和系统级安全性工作脱节的问题。结合航空型号工作中飞机级安全性工作的大工作量、迭代更改多等现状，引入了国内外军民机安全性工作研究和应用的最新趋势，应用基于模型的系统工程（MBSE）思想对基于模型的初步飞机安全性分析方法和过程进行了研究，给出了开展初步飞机级安全性工作的具体步骤，并通过实例演示了方法的应用过程和结果，证明了研究成果能够完整地将飞机级和系统级的安全性工作进行有效串联，有力地支撑型号后续系统级的安全性工作。

关键词：航空装备；系统安全性；初步飞机安全性分析；基于模型的安全性分析

中图分类号：TP311.5文献标识码：ADOI：10.19452/j.issn1007-5453.2021.11.010

系统安全是系统工程下的学科分支，起源于20世纪中期美国研制“民兵”式洲际导弹的过程中。系统安全相关的概念和技术随后进入航空、航天及核电站领域，并逐渐推广到石油、化工等工业领域。安全性对于航空装备是重中之重，当前国内装备/系统的安全性分析和评估主要集中在系统层面的尝试[1-6]，缺少飞机级工作以及飞机级与系统级安全性工作的衔接，导致安全性分析评估缺少顶层飞机级的要求导出，系统级安全性分析的结果更多地依赖于头脑风暴，缺少追溯性和依据。因为工作主要通过人工手动实施，工作效率低下，安全性分析评估结果的一致性、完整性、精确性难以保证，无法对设计提供高质量的反馈信息，亟须将基于模型的安全性评估引入到航空装备的安全性工作中来。

国外很早就认识到传统方法针对飞机复杂系统安全保证的不足。传统的安全性评估方法对于由于技术进步和需求导致的愈加复杂的装备和系统，存在基于工作的安全性模型（故障树）与设计人员沟通交流困难、迭代更改时效率低下、分析的完整性和计算准确性难以保证以及难以确保不同人员工作成果的一致性等问题。

基于模型的安全性分析（MBSA）技术为解决这些难题提供了一个新思路，国外的研究者对其理论和方法进行了大量的研究，并已经具有相对成熟的工具进行支撑[7-15]。总体而言，相较于传统的故障树和Petri网等方法，基于模型开展安全性工作存在以下优势：（1）安全性模型更接近于真实系统的功能和物理结构，从而能够保证系统模型与安全性模型的一致性；（2）基于模型的安全性分析通常采用高级建模语言，比故障树或可靠性框图等布尔形式更有表达力。因此能够描述备用冗余和共享组件等现象；（3）高级建模支持层级化建模与组件重用，更适合于描述大规模复杂系统；（4）对于带有功能循环和嵌套迭代的复杂系统而言，因其系统内部包含循环回路，无法使用传统的安全性分析方法进行建模。基于模型的安全性分析方法则克服了这一缺陷。

国外基于充分的研究已经在ARP 4761A的标准草案中将MBSA作为了民机安全性工作中的可选方法，国内主要还是通过传统方法开展军民机的系统安全性工作，虽然对MBSA已经有了一定研究[16]，但对于如何基于模型开展飞机级的安全性分析工作以及在工程技术层面的应用研究尝试相对较少。

本文主要在传统民机系统安全性工作流程的基础上，研究了应用基于模型的安全性分析方法开展初步飞机级安全性分析（PASA）工作的方法和流程，并给出了应用示例，为国内航空器的安全性分析工作的工程应用提供了参考。

1初步飞机安全性分析过程

1.1初步飞机安全性分析

根据SAE 4761A的草案，PASA是对飞机所提出的飞机级架构进行系统性检查，以确定失效如何导致飞机功能危险评估（AFHA）中所确定的失效状态及AFHA中提出的安全性要求如何被满足，一方面能够确定导致整机级失效状态的原因，另一方面是实现飞机级和系统级安全性工作追溯关系的重要纽带，能够将整机级的安全性要求分解到系统级。PASA过程也是一个反复的过程，将连续贯穿于整个飞机设计过程中，与设计定义相联系，一般从飞机的方案设计阶段就开始实施，与系统级的FHA几乎同步完成[15]。

GJB 900A《装备安全性工作通用要求》中规定装备的安全性工作需要保持危险的追溯性，同时需要在整个工作中满足安全性要求，从飞机到系统、从系统到部件进行分解。由于这一要求是在2012年的修订过程中新增的，在原有支撑的GJB/Z 99《系统安全工程手冊》中并没有方法和流程对其进行工程应用的指导。在军机安全性工作中，SAE 4761A中提出的PASA工作，可以作为支撑GJB 900A《装备安全性工作通用要求》中300系列工作的工作项301安全性要求分解工作开展的方法。

1.2初步飞机安全性分析过程

从航空器安全性分析工程应用的角度，PASA的工作开展要包括关联分析和飞机级失效状态分析两部分内容，进而又细分为不同的内容，过程中需要输入飞机级的功能、飞机系统组成以及飞机的初始架构等信息。关联分析是辅助对系统架构的解析以便确定正向架构中的系统交联关系的有效手段，而通过失效状态分析则能够帮助工程师有效地建立系统的故障传递逻辑，建立整机级的故障由系统级失效如何传递的逻辑。

1.2.1关联分析

关联分析是通过对飞机级架构的分析，确定可能影响每个飞机功能失效状态的系统，确保系统级FHA的结果与飞机级FHA的结果相兼容，明确飞机级失效状态与飞机架构组成系统间的交互关系，包括系统功能关联分析和资源关联分析。通过关联分析，能够实现飞机级功能与系统、系统与机上能源之间的关联关系，为后续飞机级失效状态分析提供支撑。

（1）系统功能关联分析

系统功能分析是通过关联分析矩阵完成的，关联分析矩阵定义和识别组成飞机级架构的功能性系统的功能，这些功能性系统功能将会在飞机的正常运行或非正常运行中使用，并且对某个飞机级失效状态产生影响。某型号系统功能关联分析见表1，通过表1能够有效地识别出飞机级的失效状态与哪些系统的具体功能相关联。

（2）资源关联分析

飞机级功能的实现，不仅仅依赖系统级各功能系统的功能，还依赖于机上的各种资源，包括能源和数据等。针对机上资源开展的系统功能关联分析被称为资源关联分析，是通过关联分析矩阵完成的。资源关联分析矩阵定义和识别组成飞机级架构的资源功能，这些资源能将会对某个飞机级失效状态产生影响。资源关联分析的矩阵与功能关联分析的表格类似，此处不再重复展示。

1.2.2飞机级失效状态评估

飞机级失效状态评估的目的是通过一系列的分析确定由关联分析确定的系统（包括功能性系统和资源性系统）的功能失效对飞机级失效状态的影响。支持产生对构成飞机级架构的相关系统的安全性需求。飞机级失效状态评估目前包括了组合的功能失效影响分析（CoFFE）、通用资源分析（CRC）和多功能和多系统分析。其中，CoFFE和CRC是多功能和多系统分析的参考和依据。

（1）组合的功能失效影响分析

组合的功能失效影响分析是针对系统功能失效和/或功能性故障组合可能对飞机安全运行所造成的影响进行的评估活动，其中的影响需要根据工程经验、分析计算等方式进行确认。针对提供地面减速的CoFFE部分示例见表2。

（2）通用资源分析

通用资源分析是对组成飞机级架构的资源系统功能丧失或错误可能造成的飞机级失效影响进行的分析活动，目的是确认飞机级安全性评估结果，并对机上资源进行初步的审查和评估，捕获可能被共模分析中采用的独立性原则，并在飞机研制的早期支持确认飞机级架构。

（3）多功能和多系统分析

多功能和多系统分析主要是基于关联分析、CoFFE分析和通用资源分析的结果，以故障树的形式完成。通过构建飞机级的故障树，将飞机级的安全性要求分配到系统级，并确定飞机级架构应遵循的独立性原则等。在实施多功能和多系统分析中，可以采用以下原则：根据飞机级功能危险分析的结果，原则上对可能造成I类和II类失效影响的失效状态开展多功能和多系统分析；飞机级功能危险分析结果中涉及的III类失效状态，如果涉及多个飞机系统，将对III类失效状态开展多功能和多系统分析。

2基于模型的初步飞机安全性分析实现

2.1安全性模型的原理

研究采用的安全性建模语言为AltaRica，AltaRica是用于安全性分析的高层建模语言，具有强大的故障逻辑描述能力。基于图形可视化建模构建的AltaRica模型能够实现复杂装备多节点、多层次的架构建模，能够更好地反映系统功能和物理结构，消除传统安全性分析手段与系统设计的隔阂，提高安全性模型的可维修性和可重用性。

基于AltaRica语言的可视化安全性模型是由模块和模块之间的关联关系组成的。一般情况下，模块是装备或系统架构中对应的系统或部件，描述了系统或部件的层级、名称、输入/输出等基本设计信息，同时描述了系统或部件的安全性信息，包括失效模式、失效率以及故障的传递逻辑等。其主要假设是某一模块的失效模式，是由其输入以及自身的故障模式导致的，建立每个模块的输出与输入、自身故障状态的逻辑关系，在各个模块关联关系的基础上，可以形成一个全局的故障传递模型，并可以构建状态基于事件的变迁关系和条件，使之可以依据蒙特卡罗的方法实现系统的安全性仿真。

2.2基于模型的初步飞机安全性分析流程

基于模型开展初步飞机安全性分析的实现具体输入和流程如图1所示。从图中可以确认，基于模型的初步飞机安全性分析与传统手工方法的输入类似，均为飞机的研制信息和飞机功能危险分析（FHA）的结果。工作过程中基于这些输入的信息，按照飞机设计的思路构建图形化的飞机安全性模型开展分析，研究则采用基于AltaRica语言的图形化建模方法实现故障传递模型等的模型构建工作。基于模型的初步飞机安全性分析流程如下：（1）飞机功能建模：依据飞机的功能和架构以及系统和功能的关联关系建立系统功能模型；（2）飞机故障建模：将系统的故障模式信息注入飞机功能模型；（3）构建故障传播逻辑：结合飞机功能流及系统的故障模式，自下而上地构建飞机的故障传播逻辑；（4）确认故障传播逻辑：飞机故障传播逻辑构建完成后，应与型号总体设计师和各系统设计人员一同确认故障传播逻辑的完整性与准确性；（5）自动生成安全性分析结果：基于构建的装备故障传递模型，对选定功能的失效状态（来源于飞机FHA的输入）自动生成故障树，并进一步实现最小割集的计算以及飞机安全性指标的分配等。

3应用示例

飞机的一个典型失效状态为“对称部分丧失地面减速”，以此为研究示例，构建飞机的功能模型，并基于其辅助PASA工作的开展，包括自动化生成故障树和基于故障树的分析。

根据地面减速相关的飞机架构和系统，构建的飞机功能模型（部分）如图2所示，后期完成相关系统的模型时，可以直接将其拷贝到飞机模型对应的系统中，實现飞机级和系统级模型的统一，最终构建从飞机顶层，直到各个系统以及系统部件的完备模型，以供后期型号改进等进行参考。图中依据关联分析的结果实现了系统级功能和机上能源与飞机级功能的关联，并在模型中注入了飞机级和系统级的失效状态，并构建了故障的传递逻辑，可以基于模型开展进一步的安全性工作。

基于上述模型可以自动生成需要分析的失效状态的故障树，从而确定导致其发生的系统级因素，其中自动生成的“对称部分丧失地面减速”的故障树如图3所示，基于故障树还可以自动化计算生成的最小割集以及安全性指标分配等结果。

应用MBSA方法，不仅能够实现传统方法的故障树构建，面向更为复杂的飞机系统时还可以通过模型进行工作界面的区分，将不同的系统专业交由专业人员完成，最终基于平台自动化的开展和故障树的定性和定量分析，实现最小割集的计算以及将整机级的安全性指标向系统级的分解，通过工具保证计算结果准确的同时，更重要的是在整机架构发生变更时能够高效地分析结果的迭代，以指导整机的设计。

4结束语

本文结合装备越来越复杂的现状开展了基于模型的初步飞机安全性分析技术研究，分析了当前系统安全性工作中存在的需要改进的问题，通过研究给出了航空装备开展初步飞机安全性分析工作的详细步骤，成功地将基于模型的方法引入到飞机级安全性工作中，并给出了应用的具体过程和示例，验证了方法的可用性。

除此之外，在型号实际工程中的应用证明该研究能够解决国内飞机级和系统级安全性工作衔接的问题，实现飞机级安全性模型和系统级模型的有效衔接，能够将安全性工作串联成一个有机的整体，最终实现危险的跟踪和最终的安全性评价，能够有效地减少后期型号因需求变更或改型而造成的安全性工作成本，降低型号的研制成本，缩短研制周期。

虽然本文的研究能够通过构建模型开展初步飞机安全性分析工作，但在正向研制过程中会构建研制过程中的模型，将安全性分析工作的模型建立到与研制过程中模型的追溯关系。在研制过程中设计模型的基础上自动导出安全性模型，更能提升安全性工作的准确性和效率，是后续工作需要研究的重点。

参考文献

[1]石鹏飞，张航，陈洁.先进民机飞控系统安全性设计考虑[J].航空科学技术， 2019， 30（12）： 52-58. ShiPengfei，ZhangHang，ChenJie.Safetydesign considerations for advanced civil aircraft flight control system[J]. Aeronautical Science & Technology， 2019， 30（12）： 52-58.（in Chinses）

[2]董锐，王平利.一种基于ARP 4754A的民机机载系统研制项目风险分析方法研究[J].航空科学技术， 2019， 30（12）：38-44. Dong Rui， Wang Pingli. Study of civil aircraft airborne system development project risk analysis method based on ARP 4754A[J]. Aeronautical Science & Technology， 2019， 30（12）：38-44.（in Chinses）

[3]封文春.飞机氧气系统着火案例分析及安全性设计要求[J].航空科学技术， 2018， 29（9）： 58-63. Feng Wenchun. Analysis of aircraft oxygen system fire accident and safety requirement[J]. Aeronautical Science & Technology， 2018， 29（9）： 58-63. （in Chinses）

[4]嚴拴航，薛海红.飞机区域安全性分析流程优化与实施方法[J].航空科学技术， 2014， 25（4）： 36-41. Yan Shuanhang， Xue Haihong. Aircraft zonal safety analysis diagram optimization and performing method[J]. Aeronautical Science & Technology， 2014， 25（4）： 36-41. （in Chinses）

[5]张欣，吕新波.民用飞机升降舵故障的安全性研究[J].航空科学技术， 2016， 27（5）： 47-50. Zhang Xin， Lyu Xinbo. Safety research of civil aircraft elevator fault[J]. Aeronautical Science & Technology， 2016， 27（5）： 47-50. （in Chinses）

[6]郑建，沈飞.民用飞机电源系统对25.1309条款的符合性验证研究[J].航空科学技术， 2014， 25（7）： 23-26. Zheng Jian， Shen Fei. Compliance verification research of airworthiness regulation 25.1309 for electrical power system of civil aircraft[J]. Aeronautical Science & Technology， 2014， 25（7）： 23-26. （in Chinses）

[7]Bozzano M，Villafiorita A，Akerlund O，et al. ESACS：an integrated methodology for design and safety analysis of complex systems[C]//ESREL 2003，Maastricht，Netherlands，2003.

[8]Akerlund O，Bieber P，Boede E，et al. A framework for integrated safety analysis of functional geometrical and human aspectss[C]//ISAAC：ERTS，2006.

[9]MISSA. More integrated system safety assessment [EB/OL].[2007-06-11]. http：//ec.europa.eu.

[10]Matthias G. Qualitative and quantitative formal model-based safety analysis[D]. Magdeburg：Otto-von-Guericke-niversit¨at Magdeburg，2011.

[11]Thomas N. Safety，dependability and performance analysis of aerospace systems[C]//Preliminary Proceedings of 3rd Int.Workshop on Formal Techniques for Safety-Critical Systems，2014：2-5.

[12]Bittner B，Bozzano M. An integrated process for FDIR design in aerospace[C]//4th International Symposium，IMBSA，2014：82-95.

[13]Estefan J. Survey of model-based system engineering（MBSE）[C]//INCOSE MBSE Initiative，2008.

[14]Boiteau M，Dutuit Y，Rauzy A，et al. The AltaRica data-flow languages in use：modeling of production availability of a multi-state system[J]. Reliability Engineering and System Safety，2006，91（8）：747-755.

[15]Society of Automotive Engineers. ARP 4761 guidelines and methods for conducting the safety assessment process on civil airborne systems and equipment[S]. USA：SAE，2012.

[16]浦樂，王西超，杨艺.基于MBSE与SysML的空空导弹系统架构建模研究[J].航空科学技术， 2020， 31（2）： 54-59. Pu Le， Wang Xichao， Yang Yi. Research on architecture modeling of air to air missile system based on MBSE and SysML[J]. Aeronautical Science & Technology， 2020， 31（2）： 54-59. （in Chinses）

Research on Preliminary Aircraft Safety Analysis Method Based on MBSA

Xu Xiaojie，Gong Qi，Wu Yang，Bai Qing

AVIC China Aero-polytechnology Establishment，Beijing 100028，China

Abstract： As systems become more and more complex， safety work is an important part of the aviation equipment development process. Disconnections between system safety effort and aircraft development， and aircraft level and system level are analyzed. In combination with the current status of aircraft-level safety work in aviation model work， such as large workloads and many iterative changes， the latest trends in the research and application of military and civil aircraft safety work at home and abroad are introduced， and the model-based system engineering （MBSE） idea is applied to model-based systems. The preliminary aircraft safety analysis method and process of the company have been studied， the specific steps for carrying out preliminary aircraft-level safety work are given， and the application process and results of the method are demonstrated through examples， which proves that the research results can completely integrate the aircraft-level safety work. It is effectively connected in series with system-level safety work， which strongly supports the model’s subsequent system-level safety work.

Key Words： aviation equipment； system safety； preliminary aircraft safety analysis； model-based safety analysis