基于STPA-TOPAZ的低空无人机冲突解脱安全性分析

2022-09-05张宏宏甘旭升孙静娟赵顾颢韩宝华

航空学报 2022年7期

张宏宏，甘旭升，孙静娟，赵顾颢，韩宝华

1. 空军工程大学空管领航学院，西安 710051 2. 国家空管防相撞技术重点实验室，西安 710051 3. 中国人民解放军31664部队，格尔木 816000

随着航空技术与信息技术的不断发展，无人机进入低空空域执行多样化任务成为当前趋势。同时高新技术的广泛应用使得无人机呈现出信息融合、高度耦合、软硬交叉、高非线性等复杂性特点，也为执行任务的无人机事故模型的构建与事故致因分析带来了挑战。而低空空域冲突解脱作为无人机执行任务的前提，是制约安全运行的薄弱环节，因此对低空无人机冲突解脱复杂性系统的安全性分析，对提升任务执行效率与事故预防意义重大。

传统安全性分析一般从线性角度对系统部件进行独立分析，忽略部件之间的非线性耦合关系，如事故树分析(Event Tree Analysis，ETA)、故障树分析(Fault Tree Analysis，FTA)、故障模式与影响分析(Failure Mode and Effects Analysis，FMEA)等，都是基于线性思维，将安全性转化为系统组件的可靠性分析问题，具有一定的实际应用价值，但对非线性耦合场景、人机交互、系统缺陷等问题难以进行精确描述分析，线性事件链、故障率、线性独立性等假设基础不存在，使得在复杂性系统分析中存在局限性。而基于系统理论的事故模型与过程(System Theoretic Accident Modeling and Processes, STAMP)基于系统理论和控制理论，将系统安全性问题转化为控制问题，充分考虑系统的非线性特性，在航空航天、能源化工、信息安全、交通运输等安全领域应用广泛。

虽然基于STAMP模型和系统理论过程分析(Systems Theorectic Process Analysis, STPA)方法降低了对人工经验的依赖以及致因分析工作量，但没有对问题进行定量分析，无法准确描述致因因素对系统安全的影响程度。同时TOPAZ(Traffic Organization and Perturbation AnalyZer)方法可以通过微观层面模拟仿真，定量描述风险，但往往风险因素依赖经验，难以全面找出安全隐患。为克服STAMP/STPA的局限性，提出一种结合STPA与TOPAZ的方法，构建一种定性与定量相结合，用于复杂系统的安全性分析的标准流程与框架，并以低空无人机冲突解脱系统为例，验证该方法的有效性与合理性。

1 基本理论

1.1 STAMP/STPA工作机理

STAMP最早由Leveson于2004年提出，将复杂系统视为多个由上而下的分层结构组成，上方层次通过向下方层次施加约束达到控制的目的，系统安全性问题转化为控制问题。STAMP不仅考虑组件失效问题，更包括多组件之间相互耦合作用，强调时间发生的时机、次序和上下文环境等因素。STPA是基于STAMP理论的安全分析方法，通过构建系统安全控制结构，精确对系统结构与控制反馈进行描述，分析系统安全控制结构中存在的事故致因，具体分析流程如图1所示。

图1 STPA分析流程Fig.1 STPA analysis flow

1.2 STPA-TOPAZ安全性分析模型

通过STPA分析流程，可以准备识别出不安全控制行为以及对应的事故致因，减少对人工经验的依赖并降低工作量，但仍处于定性分析的阶段，无法准确描述致因对安全性的影响程度，也无法找出制约系统安全的瓶颈，不利于系统的动态优化，在具体的验证阶段仍需要结合系统进行进一步的公式推导与理论分析。随着系统复杂度的提升，人工分析工作量趋于庞大繁杂，需要将一种定量的方法加入到STPA分析流程中，利用数理模型对事故致因进行精确描述，分析致因因素对系统安全性的影响程度。TOPAZ模型是一种基于蒙特卡罗模拟和不确定性评估的风险分析方法，具有系统的安全评估流程，基于循环优化的思想，可定量评估系统安全，找到影响系统安全的瓶颈。该方法凭借其目标性强、定量描述、利于系统优化等优点，在化工、核能、交通领域得到广泛应用，具体评估流程见图2。因此结合STPA与TOPAZ模型的优点，提出面向低空无人机冲突解脱系统的STPA-TOPAZ混合模型，分析模型如图3所示。

图2 TOPAZ安全评估流程Fig.2 TOPAZ security assessment process

面向低空无人机冲突解脱系统的STPA-TOPAZ安全分析方法步骤为：

针对具体的低空无人机冲突解脱系统应用场景，首先从全局的角度，通过定义场景可能导致的系统级事故和危险两方面进行定义分析目的；然后，构建系统安全控制分层结构，并根据系统反馈控制回路识别不安全控制行为(Unsafe Control Action, UCA)；最后针对不安全控制行为识别事故致因。其中，UCA主要有4种类型：① 未提供安全所要求的控制行为；② 提供了不恰当或错误的控制行为；③ 提供的控制行为时序错乱，过早或过迟；④ 提供的控制行为时效性过长或过短。

将步骤1中识别的致因作为TOPAZ安全性分析的危险源，代入低空无人机冲突解脱系统，验证致因因素对解脱效果的影响程度，按照评估目标确立、危险源识别、虚拟场景构建、事故危险性等级分类、概率评估、风险可容性评估、隐患识别、优化设置等一系列的步骤进行循环优化。

根据步骤2识别出的安全隐患，对整个系统提出对应的安全约束与要求，保证低空无人机冲突解脱过程的安全性。

图3 面向低空无人机冲突解脱系统的STPA-TOPAZ混合模型Fig.3 STPA-TOPAZ hybrid model for low-altitude UAV conflict resolution system

2 低空无人机冲突解脱系统STAMP建模

低空无人机进行冲突解脱时，地面站操作员首先需要通过仪表信息获取当前空中态势，然后形成控制指令，地面站迅速进行冲突解脱航迹规划，解算结果传输到机载设备。然后无人机控制器利用动力单元模块完成飞行控制，促使无人机运行姿态与航迹满足解脱需求。控制层通过交互系统实时与地面站共享航迹参数与姿态角信息。结合参数与任务要求，依据控制律生成控制指令信号，经过控制分配、电机控制、电调控制等流程，促使螺旋桨进行相应转动，驱动无人机机体进行纵向运动(直线和俯仰运动)与横侧向运动(滚转和偏航运动)。根据上述控制过程的描述，建立如图4所示的低空无人机冲突解脱系统STAMP模型。

图4 低空无人机冲突解脱系统STAMP模型Fig.4 STAMP model of low altitude UAV conflict resolution system

3 基于STPA的低空无人机冲突解脱系统安全性分析

3.1 确定系统级事故

系统级事故主要指人员伤亡、设施损坏或损毁、任务失效等类型，在低空无人机冲突解脱系统中，机体损伤、损毁(A-1)是指由于机体、机翼或者其他部件在空中相撞而受损；地面人员伤亡、设施损坏(A-2)是指无人机相撞，对地撞击造成地面人员伤亡；冲突解脱任务失败(A-3)是指无人机由于解脱策略选择错误导致解脱任务失败，具体见表1。

表1 低空无人机冲突解脱过程中的系统级事故

3.2 确定系统级危险

系统级危险主要有无人机失控、危险接近以及空中相撞3种，无人机失控(H-1)是指由于数据链受干扰、控制律设计不合理等原因，可能会导致机体损伤、损毁(A-1)、地面人员伤亡、设施损坏(A-2)、冲突解脱任务失败(A-3)；无人机危险接近(H-2)是指由于指令下达时机不合适、外界扰动过强等原因，可能会导致冲突解脱任务失败(A-3)；无人机空中相撞(H-3)是指由于人为差错或系统缺陷，导致解脱过程中无人机之间发生碰撞，可能会导致机体损伤、损毁(A-1)、地面人员伤亡、设施损坏(A-2)、冲突解脱任务失败(A-3)，具体见表2。

表2 低空无人机冲突解脱过程中的系统级危险

3.3 不安全控制行为

为保证低空无人机冲突解脱过程安全性，需要对整个系统安全控制回路的各环节进行分析，识别出安全控制框架内的不安全的控制行为。无人机在冲突解脱过程中，必须实时控制，满足解脱要求。本文旨在分析提供冲突解脱导引律这一控制动作对解脱效果的影响，基于STPA分析流程主要将不安全控制行为分为4类，具体见表3。

表3 低空无人机冲突解脱过程中的不安全控制行为

3.4 关键原因分析

STPA方法将导致危险的关键原因的不安全控制行为分为2类：① 控制行为的不及时、不准确、执行机构执行程度不足对系统造成危险；② 反馈信息的不及时、不准确对系统造成危险。因此从控制缺陷和反馈缺陷两方面建立低空无人机冲突解脱系统控制反馈回路，如图5所示。图5 中 ① 中包含了操作员、地面站、数传电台系统、接收机、控制器、动力模块，用来表示控制缺陷；② 中包含了无人机实体、仪器信息以及有关传感器，用来表示反馈缺陷。

图5 低空无人机冲突解脱控制反馈回路Fig.5 Feedback loop of low altitude UAV conflict resolution control

确定系统中不安全的控制行为后，就需要对致因因素进行分析,具体见表4。

表4 致因分析Table 4 Cause analysis

4 TOPAZ在低空无人机冲突解脱系统的定量分析

4.1 低空无人机冲突解脱模型

为说明STPA在低空无人机冲突解脱过程安全分析的有效性，在MATLAB /SIMULINK环境下构建冲突场景与无人机运动模型，以四旋翼无人机为例，对无人机解脱过程进行分析计算，主要包括：刚体动力学模型、拉力和力矩模型、动力单元模型、空气动力学模型。

4.1.1 刚体动力学模型

四旋翼无人机飞行控制刚体模型表示为

(1)

4.1.2 拉力和力矩模型

(2)

4.1.3 动力单元模型

四旋翼动力单元模型由无刷直流电机、电调与螺旋桨组成，完整的动力单元模型为

(3)

4.1.4 空气动力学模型

四旋翼机体相对空气的流动速度为

(4)

式中：为地球坐标系下风速，由多个风场叠加合成。

(5)

(6)

式中：、分别为空气阻尼系数和阻尼力矩系数。

4.2 安全性分析流程

本文主要针对冲突解脱过程中1-22(导航系统存在误差)这一致因因素进行评估，利用TOPAZ 方法进行安全性分析，判断该因素是否为影响系统安全的关键因素。

目标确定

通过对STPA识别出的致因因素分别进行安全评估，找到制约系统安全的关键因素，为未来无人机低空空中交通管理框架下的安全评估体系的构建提供理论参考。当前FAA和ICAO规定空域内总体安全目标水平为10次事故/h，结合无人机发展现状，可将此标准作为无人机冲突解脱系统安全水平目标。

启动运行

本文选取低空空域无人机冲突解脱场景作为研究对象，无人机通过改变自身运动状态，使得无人机在完成任务的前提下，满足最小安全间隔。常用的冲突解脱路径规划方法有优化方法、势场与导航函数法、博弈论等。本案例冲突解脱路径求解方法参考文献[33]中提出的基于混合人工势场(Artificial Potential Field， APF)与蚁群算法(Ant Colony Optimization, ACO)的多飞行器冲突解脱方法。

首先根据人工势场法原理，对多机冲突解脱路径进行全局搜索，迭代终止后，再将解脱路径进行近似处理并编码，用来初始化蚁群信息素等信息，最后迭代对局部最优点进行搜索，整个计算流程如图6所示。和分别表示算法迭代次数和最大迭代次数。

图6 基于APF-ACO算法的多无人机冲突解脱流程Fig.6 Multi-UAV conflict resolution process based on APF-ACO algorithm

在运行过程中，无人机之间需要保持一定的安全间隔，UAV的位置(,)与UAV的位置(,)(,=1,2,…,)之间的距离约束为

(7)

式中：为冲突数量;为无人机之间运行最小安全间隔,本案例中取20 m。

危险源识别

复杂低空环境下，无人机运行过程中危险源来源种类多样、情况复杂，仅通过人为查找难以全面分析出系统潜在的危险源。本文将基于STPA方法识别出的致因因素作为危险源，可降低对主观因素的依赖，增强安全评估可信度。本文选取1-22(导航系统存在误差)这一致因因素作为危险源，评估其对系统安全的影响，其他致因因素评估方法类似。

虚拟场景构建

经典冲突场景下，无人机均匀分布在圆形冲突区域边界上，速度均指向圆心，假设冲突圆的半径为100 m，初始路径均为直线运动，如图7所示，无人机通过改变航向，在保证彼此之间安全间隔的同时，分别到达各自目的地。经典冲突场景作为一种极端情况，可以更好地测试出冲突解脱算法的优劣。

图7 经典8机对飞冲突场景Fig.7 Classic 8-aircraft flight conflict scenario

事故危险性等级分类

结合中国当前航空器运行安全间隔划分标准，根据冲突解脱过程中无人机之间的间隔距离，对冲突解脱过程的安全状况进行分类。具体事故风险等级划分情况见表5。

表5 事故风险等级划分Table 5 Classification of accident risk levels

概率评估

利用蒙特卡洛算法，对1-22(导航系统存在误差)这一致因因素影响下的无人机冲突解脱场景进行100万次仿真。无人机精确路径跟踪下的冲突解脱场景如图8所示。

图8 无人机精确路径跟踪下的冲突解脱场景Fig.8 Conflict resolution scenario in precise path tracking of UAV

精准路径跟踪下的无人机间距如图9所示，导航系统存在误差下某次仿真的无人机间距如图10 所示。单次仿真步长取5 m，假设冲突个体数量为，则在整个冲突解脱过程的间距线数量为(-1)2，本案例中的经典8机冲突场景下，共有8×(8-1)2=28条间距线。根据图中信息，UAV初始间距可为200 m(例如UAV1～UAV5)、184.78 m(例如UAV1～UAV4)、141.42 m(例如UAV1～UAV3)、76.54 m(例如UAV1～UAV2)4种，在导航误差影响下，无人机路径偏离原始解脱路径，造成飞行冲突与危险接近，甚至出现严重事故症候，发生空中相撞事故。值得说明的是，单次仿真不能说明问题，多次仿真下的统计概率能够反映系统的安全程度。

图9 精准路径跟踪下的无人机间距(28条间距线)Fig.9 UAV spacing in accurate path tracking (28 spacing lines)

图10 导航系统存在误差下的无人机间距(28条间距线)Fig.10 UAV spacing with navigation system error (28 spacing lines)

根据表5中的事故风险等级划分标准，100万次蒙特卡洛仿真下不同冲突场景下的事故风险等级的发生概率统计信息如表6所示。

表6 不同冲突场景下事故风险等级发生概率

风险可容性评估

不同冲突场景下风险等级发生概率趋势图如图11所示，从100万次蒙特卡洛仿真结果表6以及图11中的趋势图可以看出，无人机事故发生概率随着冲突场景的复杂而不断增大。同一冲突场景下，随着风险等级标准的减小(1级～4级)，风险发生概率也随之降低。

图11 不同冲突场景下风险等级发生概率趋势图Fig.11 Trend diagram of occurrence probability of risk level in different conflict scenarios

若将严重事故症候标准作为是否发生事故的临界距离，则在同等导航误差情况下，4机冲突场景中，无人机事故发生概率能够达到ICAO提出的1×10/h，8机冲突场景下，事故发生概率接近1×10/h，而12机冲突场景尚未达到标准。

隐患识别

按照TOPAZ安全分析方法，可逐一识别出影响无人机运行安全的关键因素，找到对应的安全隐患，在本仿真案例中，导航误差是8机和12机冲突场景的安全瓶颈，可通过提高导航精度等方法，提高无人机运行安全等级。

一般而言，在给定无人机运行场景和致因因素下，若无人机无法达到规定的安全目标水平，则无人机运行存在安全隐患。可通过两种途径来保证无人机的运行安全，一是降低无人机运行环境复杂度，缓解空域资源使用压力；二是通过改变影响无人机安全的致因因素，消除隐患，提高无人机的冲突解脱能力。

4.3 对比实验

为进一步说明本文所提方法的有效性，选取不同的冲突解脱场景与冲突解脱方法，按照4.2节提出的安全性分析流程，对单一事故致因或多种事故致因组合对系统安全的影响程度进行仿真，找到制约系统安全的瓶颈。

实验1与实验2仿真所需的理论与方法如表7 所示。按照TOPAZ量化分析流程，同时施加1-11(飞行控制存在时延)、1-22(导航系统存在误差)两种组合致因，对实验1中的冲突解脱场景进行100万次蒙特卡罗仿真，风险等级发生概率趋势图如图12所示。可分析出：同一冲突场景下，多致因因素影响下的系统总体安全性水平降低。同时系统安全水平与冲突解脱场景的复杂性息息相关，场景复杂性越高，系统安全性越低。

表7 实验信息Table 7 Experimental information

图12 实验1中风险等级发生概率趋势图Fig.12 Trend diagram of occurrence probability of risk level in Experiment 1

同理，对实验2中的冲突解脱场景进行100万次蒙特卡罗仿真，风险等级发生概率趋势图如图13所示。分析可得：在静态与动态障碍物混合复杂冲突场景下，同样有随着风险等级标准的减小(1级～4级)，风险发生概率也随之降低。同时该冲突场景下系统安全水平较低，远未达到FAA和ICAO规定空域内总体安全目标水平1×10/h。

图13 实验2中风险等级发生概率趋势图Fig.13 Trend diagram of occurrence probability of risk level in Experiment 2

4.4 方法理论对比

为从理论上说明本文提出的STPA-TOPAZ方法的优越性，将STPA、功能共振分析方法(Functional Resonance Analysis Method, FRAM)、危险与可操作性分析(Hazard And Operability Studies, HAZOP)、基于线性事件链模型的传统方法，例如FTA、FMEA等常用的安全性分析方法进行比较，如表8所示，给出了不同方法的假设条件、优缺点、应用场景等方面的对比。根据对比内容，可分析出：STPA-TOPAZ能够从系统的角度考虑安全，以定性与定量相结合的方式，既能全面找出事故致因，又能定量分析出致因对系统安全的影响程度，优越性较强。