基于模型的復(fù)雜系統(tǒng)安全性和可靠性分析技術(shù)發(fā)展綜述

胡曉義，王如平，王鑫，付永濤

1.中國航空工業(yè)成都飛機設(shè)計研究所，成都 610041

2.中國航空綜合技術(shù)研究所，北京 100028

高安全性、高可靠性一直是航空裝備研制所追求的重要目標(biāo)，經(jīng)過多年的發(fā)展，航空裝備的安全性、可靠性工作體系已經(jīng)基本趨于成熟。以故障模式及影響分析(FMEA)、故障樹分析(FTA)、可靠性框圖(RBD)為代表的常規(guī)系統(tǒng)安全性、可靠性分析技術(shù)，已在工程實踐中得到了廣泛的應(yīng)用。但是，隨著裝備向綜合集成化、智能化、網(wǎng)絡(luò)化、軟件密集化發(fā)展，裝備各層級系統(tǒng)的設(shè)計復(fù)雜程度大幅提高，系統(tǒng)安全性、可靠性分析工作面臨著較大的挑戰(zhàn)：① 傳統(tǒng)的系統(tǒng)安全性、可靠性分析手段主觀性較強，分析結(jié)果的準(zhǔn)確性高度依賴工程師的自身水平，對于同一系統(tǒng)，由于知識以及思考方式的差異，不同的工程師建立的安全性、可靠性模型可能差別非常大；② 針對具有動態(tài)重構(gòu)特性、故障時序相關(guān)、邏輯相關(guān)的復(fù)雜系統(tǒng)，通過人工推理分析系統(tǒng)的故障邏輯關(guān)系已經(jīng)變得不太現(xiàn)實，即便可以分析，其全面性和準(zhǔn)確性也難以保證；③ 系統(tǒng)安全性、可靠性與功能性能的協(xié)同設(shè)計變得越來越困難。在基于文檔的設(shè)計模式下，系統(tǒng)可靠性分析的輸入通常是系統(tǒng)設(shè)計方案等資料信息，由于文本表述天然存在的模糊性、二義性，實際上無法保證分析人員能夠準(zhǔn)確地理解系統(tǒng)設(shè)計原理，從而造成安全性、可靠性分析的輸入與產(chǎn)品的實際狀態(tài)不一致。尤其對于復(fù)雜系統(tǒng)，其安全性、可靠性分析與系統(tǒng)功能、性能設(shè)計之間的溝壑有進一步加劇的趨勢。

基于模型的安全性分析(MBSA)、可靠性分析(MBRA)方法被認為是解決以上問題的有效手段和途徑。與直接通過人工演繹建立可靠性框圖模型、故障樹模型等模型不同，基于模型的安全性、可靠性分析強調(diào)的是建立一個系統(tǒng)功能與可靠性的綜合模型，該模型需要在定義系統(tǒng)正常行為的同時，同步描述系統(tǒng)的故障行為，從而可以使用自動化、半自動化方式導(dǎo)出FTA、可靠性框圖等模型，或者可以通過故障注入、仿真等手段執(zhí)行安全性、可靠性分析。基于模型的安全性、可靠性分析保證了分析源頭的準(zhǔn)確性和規(guī)范性，同時可以通過自動化仿真等方法完成復(fù)雜系統(tǒng)的分析，一定程度上減輕了工程師的負擔(dān)[1]。

近幾年來，基于模型的系統(tǒng)工程(Model-Based System Engineering,MBSE)技術(shù)正在成為一種公認的復(fù)雜系統(tǒng)數(shù)字化設(shè)計范式。與傳統(tǒng)系統(tǒng)工程方法相比，MBSE重點強調(diào)了以模型(例如SysML模型)傳遞需求、以模型驅(qū)動設(shè)計以及將規(guī)范化的模型作為系統(tǒng)協(xié)同設(shè)計的載體[2-5]。MBSE技術(shù)的不斷發(fā)展，尤其是系統(tǒng)建模方法的不斷規(guī)范化、統(tǒng)一化，為基于模型的安全性、可靠性設(shè)計的進一步發(fā)展提供了有利的契機。將基于模型的系統(tǒng)安全性、可靠性設(shè)計與MBSE研制流程進行融合和集成，是目前模型驅(qū)動的設(shè)計領(lǐng)域所關(guān)注的一項新的課題，也是未來基于模型的安全性、可靠性設(shè)計的重點發(fā)展方向。

本文首先對基于模型的安全性、可靠性分析方法進行總結(jié)和介紹，重點介紹了該領(lǐng)域內(nèi)2類主要的建模分析思路：基于系統(tǒng)結(jié)構(gòu)模型的安全性、可靠性分析方法、基于系統(tǒng)行為模型的安全性、可靠性分析方法；其次，結(jié)合近年來MBSE技術(shù)的發(fā)展，介紹系統(tǒng)安全性、可靠性設(shè)計與MBSE的集成技術(shù)的發(fā)展現(xiàn)狀；最后，對目前該技術(shù)方向存在的問題和進一步發(fā)展方向進行了闡述。

1 基于模型的系統(tǒng)安全性和可靠性分析技術(shù)

國外很早就在開展基于模型的系統(tǒng)安全性分析技術(shù)的研究，并逐步發(fā)展形成了各種成熟的軟件產(chǎn)品。歐盟一直在基于模型的復(fù)雜系統(tǒng)安全性分析技術(shù)領(lǐng)域進行持續(xù)投資，通過贊助“復(fù)雜系統(tǒng)增強安全性評估(ESACS)”等項目，為航空領(lǐng)域的研究機構(gòu)和先進企業(yè)建立合作平臺，形成了基于模型的安全性評估方法論和軟件工具平臺，并推動該技術(shù)的推廣和應(yīng)用[6]；達索公司、空客公司等先進飛機制造商與波爾多大學(xué)等研究機構(gòu)合作開發(fā)了Altarica形式化驗證語言，用于復(fù)雜系統(tǒng)的安全性分析，在該語言基礎(chǔ)上形成了了SIMFIA、Cecillia OCAS等多款安全性分析軟件工具[7]；目前，以AltaRica為代表的MBSA技術(shù)已經(jīng)在波音、空客、達索航空、EADS、泰利斯航電公司、霍尼韋爾等公司多個飛機型號的關(guān)鍵系統(tǒng)中進行了廣泛的應(yīng)用[8-10]。

系統(tǒng)安全性工作的核心是各種危險的識別、分析與設(shè)計控制，從理論上講，“基于模型的安全性分析”應(yīng)能支持系統(tǒng)全面分析由于裝備自身功能硬件失效、人為差錯以及雷擊、鳥撞等意外事件造成的各類危險。但從目前文獻看，“基于模型的安全性分析技術(shù)”所考慮的系統(tǒng)危險類型是有限的，其主要考慮的是由于“系統(tǒng)功能硬件失效”導(dǎo)致的相關(guān)危險[1]，輸入的基礎(chǔ)模型主要是：描述系統(tǒng)邏輯、結(jié)構(gòu)與行為的 “系統(tǒng)功能模型”。

在公考慮功能失效的前提下，系統(tǒng)安全性分析、可靠性分析工作可以很方便地整合在一起。二者的差異主要在于考慮的功能失效模式不同，安全性考慮導(dǎo)致裝備和人員損失的功能失效模式，而可靠性關(guān)注導(dǎo)致裝備不能完成任務(wù)或非計劃維修的功能故障模式，但是所采用的技術(shù)手段和方法基本是一致的，都是采用FMEA、FTA、動態(tài)仿真等方法進行定性分析和定量預(yù)計，如圖1所示，以進一步識別底層故障模式，提出設(shè)計保證措施或評估系統(tǒng)的安全性、可靠性水平。

基于模型的系統(tǒng)安全性、可靠性分析主要解決幾個關(guān)鍵技術(shù)問題：

圖1 考慮功能失效的系統(tǒng)安全性、可靠性分析整合

1) 要建立一個能涵蓋系統(tǒng)正常與故障行為的綜合模型，能在功能模型的基礎(chǔ)上自動分析系統(tǒng)的故障傳播路徑，模型要能與傳統(tǒng)的安全性、可靠性分析技術(shù)兼容，能夠?qū)С鯢MEA、FTA等傳統(tǒng)的安全性、可靠性分析模型。

2) 系統(tǒng)的故障行為模型不僅能對串聯(lián)、并聯(lián)、混聯(lián)等簡單的余度系統(tǒng)進行描述，而且能夠?qū)?fù)雜系統(tǒng)中所存在的動態(tài)重構(gòu)行為、時序相關(guān)故障、邏輯相關(guān)故障、多狀態(tài)故障等典型特征進行描述。

3) 要能支持安全性、可靠性定性、定量需求的驗證。對于復(fù)雜系統(tǒng)而言，僅采用FMEA、FTA進行分析通常是不夠充分的，經(jīng)常需要借助仿真手段以確認系統(tǒng)設(shè)計能否滿足安全性、可靠性要求。實現(xiàn)自動化需求驗證的前提是建立一套建模仿真機制，能將安全性、可靠性需求轉(zhuǎn)化為特定的邏輯描述，同時能通過事件序列搜索或其他枚舉機制證實需求的正確性或找出反例。

盡管目前國內(nèi)外文獻中存在多種“基于模型的安全性、可靠性分析方法”，但是其所依賴的核心基礎(chǔ)模型都是“廣義的”系統(tǒng)功能模型，包括描述系統(tǒng)功能結(jié)構(gòu)、狀態(tài)行為、性能參數(shù)關(guān)系的各種類別的模型。

根據(jù)所依賴的系統(tǒng)功能模型的類型不同，基于模型的系統(tǒng)安全性、可靠性分析技術(shù)主要有2種分支，一種是較早發(fā)展的基于系統(tǒng)結(jié)構(gòu)模型的安全性、可靠性分析技術(shù)，主要以系統(tǒng)的功能流、數(shù)據(jù)流為基礎(chǔ)構(gòu)建系統(tǒng)綜合模型開展安全性、可靠性分析，此類模型一般是靜態(tài)的；另外一種是基于系統(tǒng)行為模型的安全性、可靠性分析技術(shù)，主要以系統(tǒng)的離散狀態(tài)行為、連續(xù)行為模型為基礎(chǔ)開展安全性、可靠性分析，此類模型一般是動態(tài)的。

1.1 基于系統(tǒng)結(jié)構(gòu)模型的安全性和可靠性分析

基于系統(tǒng)結(jié)構(gòu)模型的安全性和可靠性分析，主要是以系統(tǒng)的組成結(jié)構(gòu)和功能分配結(jié)果為對象，建立描述系統(tǒng)功能關(guān)系的形式化模型；在此基礎(chǔ)上，定義局部單元的故障邏輯，從而建立系統(tǒng)的故障傳播模型。隨后，根據(jù)系統(tǒng)的故障傳播模型導(dǎo)出FMEA分析結(jié)果或FTA模型，基本流程如圖2所示。因此，本技術(shù)方向研究的問題多數(shù)集中于如何建立系統(tǒng)結(jié)構(gòu)模型、故障傳播模型，以及如何能根據(jù)模型自動生成FTA、FMEA輸出物。

圖2 基于系統(tǒng)結(jié)構(gòu)模型的安全性和可靠性分析

分層執(zhí)行的危險源與傳播分析(HIP-HOPS)方法是一種典型的基于系統(tǒng)結(jié)構(gòu)建模的可靠性分析方法，主要在Simulink建立的系統(tǒng)模型基礎(chǔ)上，通過研究每個部件從輸入失效、內(nèi)部失效到輸出失效的邏輯關(guān)系，進而獲得系統(tǒng)輸出失效的所有傳播路徑。HIP-HOPS針對傳統(tǒng)FMEA僅能識別單點失效的缺陷引入了能夠表示組合失效的IF-FMEA表。HIP-HOPS具有專門的分析工具SAM分析工具。SAM工具包含模型自動分析算法和故障樹自動生成算法，能在對系統(tǒng)模型完成失效建模后運行生成故障樹，然后進行最小割集計算[11]。

文獻[12]研究了一種基于架構(gòu)分析與設(shè)計語言模型(Architecture Analysis and Design Language，AADL)的FTA自動生成算法，主要利用AADL建立的物理架構(gòu)模型和錯誤模型附件，通過對AADL模型進行遞歸解析和提取，生成靜態(tài)故障樹，進行可靠性分析。

文獻[13]研究了一種基于模糊認知圖(FCM)的自動FMEA生成方法，該方法的核心是對功能FMEA、硬件FMEA相關(guān)的故障模式、失效、故障機理、故障原因等各因素進行了模型化的抽象，從而能借助系統(tǒng)功能模型，建立一個由最底層硬件故障模式到最高層系統(tǒng)功能失效模式的映射關(guān)系，然后可以通過故障仿真生成詳細的FMEA表格。

基于系統(tǒng)結(jié)構(gòu)模型的安全性、可靠性分析方法的優(yōu)點在于：實現(xiàn)了系統(tǒng)功能流傳遞與故障傳播的結(jié)合，能夠方便地導(dǎo)出FMEA、FTA等層次化故障分析模型。但缺點在于該方法一般只適用于對功能結(jié)構(gòu)不變的靜態(tài)系統(tǒng)進行分析，不適用于有動態(tài)行為的復(fù)雜系統(tǒng)分析；此類模型中一般不涉及系統(tǒng)的容錯算法和控制邏輯，也不能支持自動化的仿真驗證。

1.2 基于系統(tǒng)行為模型的安全性、可靠性分析

對于要考慮故障相關(guān)動態(tài)行為的復(fù)雜系統(tǒng)，國內(nèi)外一直在持續(xù)研究其建模和分析方法，典型方法包括：動態(tài)故障樹、隨機Petri網(wǎng)、馬爾科夫模型、狀態(tài)機模型等[14-17]。但這些建模方法一般比較復(fù)雜，與系統(tǒng)設(shè)計的關(guān)聯(lián)度也不高，同時作為一種高度抽象化的方法，很難形成統(tǒng)一的建模標(biāo)準(zhǔn)，因此其應(yīng)用范圍受到了制約。隨著系統(tǒng)動態(tài)行為建模手段的不斷完善，目前主要的技術(shù)發(fā)展趨勢是建立一個同時包含系統(tǒng)正常動態(tài)行為和異常動態(tài)行為的綜合模型，采用形式化驗證或故障注入仿真的方法進行安全性、可靠性分析。

該技術(shù)的實現(xiàn)過程是：① 建立系統(tǒng)正常的行為模型，描述系統(tǒng)在輸入正常、自身狀態(tài)正常的條件下，應(yīng)完成的正常功能行為。對于不同類型的系統(tǒng)，系統(tǒng)行為模型的構(gòu)建方法是不同的。對于離散的系統(tǒng)，一般采用類似狀態(tài)機模型描述系統(tǒng)的動態(tài)行為；對于連續(xù)系統(tǒng)，常采用性能建模方法描述系統(tǒng)的連續(xù)行為；② 在正常系統(tǒng)行為模型上定義故障行為，刻畫系統(tǒng)的故障激發(fā)和狀態(tài)變遷行為；③ 確定待驗證的需求。指定需要分析和驗證的安全性、可靠性定性、定量要求；④ 實施仿真分析。在對安全性、可靠性需求進行嚴格定義的條件下，可通過自動化仿真手段對組件故障時系統(tǒng)的響應(yīng)進行模擬仿真，同時輸出不滿足需求的狀態(tài)和條件，基本流程如圖3所示。能對系統(tǒng)的各種安全性、可靠性需求(例如系統(tǒng)容錯能力等定性要求)進行窮舉式的驗證，是該技術(shù)具備的一項重要優(yōu)勢。

將“模型檢測”等形式化驗證方法應(yīng)用于安全性、可靠性分析，是本項技術(shù)發(fā)展的重要分支。所謂模型檢測，主要是根據(jù)需求對系統(tǒng)定義必要的安全性、可靠性屬性和輸出觀測變量，然后利用形式化驗證器直接進行自動化分析，搜索可能存在的反例(即當(dāng)處于系統(tǒng)某種輸入狀態(tài)時，安全性、可靠性需求不滿足)，并列舉反例的輸入狀態(tài)，從而實現(xiàn)對系統(tǒng)安全性、可靠性需求進行驗證的目的[18]。

FSAP/NuSMV-SA是歐盟ESACS項目所開發(fā)的形式化驗證平臺，包括圖形用戶界面(FSAP)和基于NuSMV模型檢驗器的引擎(NuSMV-SA)。NuSMV模型檢驗引擎為系統(tǒng)仿真和模型檢驗(如屬性驗證和反例生成)提供支持，是實現(xiàn)安全性需求形式化驗證的核心。NuSMV主要通過模塊和過程的聲明和實例化機制來描述有限狀態(tài)機，并用CTL和LTL表達需求。目前，F(xiàn)SAP / NuSMV-SA的主要功能，如圖4所示，包括：① 建立一個正常的系統(tǒng)功能與行為綜合模型；② 基于預(yù)定義的故障模式庫在功能模型上進行故障自動注入；③ 以時態(tài)邏輯公式的形式定義安全性需求；④ 執(zhí)行模型仿真，包括自動生成系統(tǒng)故障樹；設(shè)定仿真或隨機模擬；生成反例路徑和故障排序[19-20]。

圖4 FSAP/NuSMV-SA形式化驗證過程

Altarica是另外一種目前比較流行的、廣泛應(yīng)用于系統(tǒng)安全性、可靠性分析的建模語言。與NuSMV模型構(gòu)造基本一致，也是采用狀態(tài)、事件、輸入流、輸出流、狀態(tài)轉(zhuǎn)化、斷言等基本建模元素，對系統(tǒng)的正常行為和故障行為進行綜合建模，從而支持形式化的分析。由于得到了歐洲工業(yè)界和軟件廠商的廣泛支持，Altarica語言目前基本已經(jīng)成為系統(tǒng)安全性、可靠性分析采用的標(biāo)準(zhǔn)語言[21]。

相對于嚴格的形式化驗證技術(shù)，該技術(shù)方向的另外一種思路是：直接利用系統(tǒng)設(shè)計建立的仿真模型，通過進行故障建模和定義，同步實施安全性、可靠性仿真分析和評估。與形式化驗證相區(qū)別，這種技術(shù)途徑不需要掌握很復(fù)雜的形式化建模語言，只需掌握本領(lǐng)域內(nèi)的設(shè)計建模語言即可，因此比較適用于熟悉本領(lǐng)域系統(tǒng)建模語言(如Modelica、SysML、AADL語言等)的設(shè)計人員使用[22]。

德國宇航中心研究了一種基于Modelica的系統(tǒng)可靠性和安全性仿真分析方法，在Modelica環(huán)境下開發(fā)電網(wǎng)架構(gòu)設(shè)計優(yōu)化工具(Electrical Network Architecture Design Optimisation Tool，ENADOT)，可在開展系統(tǒng)性能仿真分析的同時，利用故障仿真建模進行最小路徑、最小割集的分析以及安全性、可靠性的評估[23]。

美國國家航空航天局(NASA)的DARPA實驗室在月球探測器電子系統(tǒng)開發(fā)過程中，建立了系統(tǒng)的Simulink仿真模型，同時采用故障建模和仿真的手段進行故障響應(yīng)的測試，最后可將故障模型轉(zhuǎn)化為馬爾科夫模型進行可靠性評估[24]。

北京航空航天大學(xué)提出了一種基于AADL系統(tǒng)體系結(jié)構(gòu)模型的可靠性建模方法，設(shè)計出一套轉(zhuǎn)換規(guī)則，可對AADL體系結(jié)構(gòu)模型的軟硬件構(gòu)件進行模型轉(zhuǎn)換，實現(xiàn)從AADL系統(tǒng)體系結(jié)構(gòu)可靠性模型到系統(tǒng)體系結(jié)構(gòu)廣義隨機Petri網(wǎng)的轉(zhuǎn)換[25]。

基于系統(tǒng)行為模型的安全性、可靠性分析方法的優(yōu)點在于：可以直接利用系統(tǒng)設(shè)計過程中建立的狀態(tài)機模型、性能模型等仿真模型，進行嚴格的安全性、可靠性形式化驗證；可以方便對復(fù)雜系統(tǒng)的各種動態(tài)行為和算法邏輯進行描述，非常適用于具有高安全和高可靠要求的復(fù)雜系統(tǒng)的分析。缺點在于：對系統(tǒng)功能模型的要求較高，建模時需要在模型的完整性與建模效率之間進行平衡；對于復(fù)雜系統(tǒng)，狀態(tài)空間爆炸和仿真效率低下等問題經(jīng)常難以避免；同時由于系統(tǒng)行為模型通常缺乏層次性，因此很難直接以行為模型為基礎(chǔ)生成符合要求的FMEA表格或FTA模型。

1.3 兩種方法的綜合

基于系統(tǒng)架構(gòu)模型的安全性、可靠性分析技術(shù)對系統(tǒng)模型的要求不高，建模方式相對簡便，但不能對復(fù)雜系統(tǒng)行為進行分析；基于系統(tǒng)行為模型的安全性、可靠性分析技術(shù)能借助系統(tǒng)模型快速進行需求驗證，但對系統(tǒng)設(shè)計模型的要求較高，建模工作量大。已有相關(guān)學(xué)者關(guān)注到將這2種建模方法進行整合的問題，文獻[26]提出了一種按照系統(tǒng)的設(shè)計過程將2種方法進行整合的思路——結(jié)構(gòu)和行為安全性、可靠性分析的集成應(yīng)用(IACOB)，應(yīng)用流程如圖5所示。在系統(tǒng)設(shè)計早期，針對系統(tǒng)的結(jié)構(gòu)模型,采用基于結(jié)構(gòu)模型的可靠性分析方法，開展FMEA、FTA分析，對系統(tǒng)的架構(gòu)設(shè)計進行完善；在后期采用基于行為的可靠性分析方法，以FMEA分析結(jié)果為基礎(chǔ)，建立系統(tǒng)的狀態(tài)機模型，對安全性、可靠性需求進行驗證。

目前國外成熟的軟件工具，如SIMFIA、Made等軟件均支持2種形式的建模，分析人員可根據(jù)系統(tǒng)的特點選擇合適的方法。

2 MBSE與系統(tǒng)安全性和可靠性分析的集成技術(shù)

早期國內(nèi)外研究的基于模型的系統(tǒng)安全性、可靠性分析技術(shù)，主要解決的是：如何將可靠性模型與系統(tǒng)的結(jié)構(gòu)模型、行為模型進行整合，實現(xiàn)安全性、可靠性與性能的一體化分析，提高分析能力和效率。但由于受技術(shù)發(fā)展的限制，早期系統(tǒng)建模技術(shù)發(fā)展并不成熟，系統(tǒng)建模語言、建模方法規(guī)范化程度也不夠，因此該技術(shù)發(fā)展出了許多個分支，這些不同分支所依賴的系統(tǒng)功能模型各不相同，很多系統(tǒng)功能模型本身并不被系統(tǒng)設(shè)計所采用，在一定程度上阻礙了該技術(shù)的進一步深化應(yīng)用。

MBSE技術(shù)的發(fā)展為更好地實施系統(tǒng)安全性、可靠性分析提供了有利的條件，一方面MBSE提供了一套較為嚴格的技術(shù)過程，可以方便地將安全性、可靠性分析活動與技術(shù)過程進行融合，增強安全性、可靠性分析的目的性；另一方面，MBSE可以提供一個統(tǒng)一的設(shè)計數(shù)據(jù)源頭，為基于模型的安全性、可靠性分析提供規(guī)范化的模型輸入，解決前端系統(tǒng)功能模型輸入混亂的問題，保證安全性、可靠性分析與功能性能設(shè)計的同源。

2.1 基于模型的系統(tǒng)工程技術(shù)

根據(jù)國際系統(tǒng)工程學(xué)會INCOSE《系統(tǒng)工程2020年愿景》中對MBSE的定義，MBSE是對系統(tǒng)工程活動中建模方法應(yīng)用的正式認同，它以建模方法支持系統(tǒng)要求、設(shè)計、分析、驗證和確認等活動，這些活動從概念性設(shè)計階段開始，持續(xù)貫穿到設(shè)計開發(fā)以及后來的所有壽命周期階段。

基于模型的系統(tǒng)工程的實施重點是在不同的場景條件下進行需求分析、功能分析，采用模型的形式來描述、分析和檢驗系統(tǒng)在各種任務(wù)或運行場景下的活動內(nèi)容、狀態(tài)特性、交互信息，并生成與之匹配的功能需求、功能接口、測試場景和邏輯架構(gòu)，從而實現(xiàn)快速響應(yīng)需求變化，并及時指導(dǎo)后期詳細設(shè)計、實現(xiàn)、綜合和驗證過程的目的。目前主流的MBSE方法論包括：Harmony系統(tǒng)工程方法、面向?qū)ο蟮南到y(tǒng)工程方法、狀態(tài)分析法等。建模語言采用對象管理組織(OMG)提出的SysML語言[27-28]，SysML語言采用的模型元素如圖6所示。

圖6 SysML模型組成

MBSE在系統(tǒng)設(shè)計技術(shù)過程上與傳統(tǒng)系統(tǒng)工程并無區(qū)別，重點在于強調(diào)使用模型支持系統(tǒng)工程各技術(shù)活動，以減少需求傳遞的誤差，促進多專業(yè)協(xié)同設(shè)計與知識復(fù)用[2]。主要的技術(shù)過程包括：

1) 利益相關(guān)方需求分析：從使用角度建立系統(tǒng)的使用場景模型，分析系統(tǒng)的任務(wù)場景及能力需求，輸出規(guī)格化的系統(tǒng)利益相關(guān)方需求。

2) 系統(tǒng)需求定義：從技術(shù)要求的角度，建立系統(tǒng)的用例模型，識別系統(tǒng)的功能、上下文執(zhí)行環(huán)境及外部接口信息，輸出可設(shè)計的系統(tǒng)需求。

3) 邏輯架構(gòu)定義：主要利用活動圖、時序圖、塊圖等將功能性需求分解為邏輯單元，從而建立系統(tǒng)的功能邏輯架構(gòu)。

4) 設(shè)計綜合：將邏輯單元定義的功能分配到具體的物理單元上，這些物理單元可能包括硬件、軟件、數(shù)據(jù)與人工操作過程等，其主要輸出為系統(tǒng)的物理架構(gòu)。物理架構(gòu)建模所需元素與邏輯架構(gòu)建?；疽恢?。

2.2 MBSE與系統(tǒng)安全性、可靠性分析的集成

在該研究方向上，目前總體的思路是以MBSE設(shè)計過程為牽引，利用模型集成、映射等方式實現(xiàn)系統(tǒng)功能與安全性、可靠性的一體化設(shè)計。技術(shù)問題主要聚焦于2個方面：① 如何設(shè)計一套合理的流程，將安全性、可靠性設(shè)計活動嵌入到MBSE技術(shù)過程；② 如何解決不同模型的接口問題，例如如何將SysML建立的系統(tǒng)功能、架構(gòu)模型中的模型元素映射到可靠性分析所需要的模型中。

法國PRISME實驗室提出了一種可以與目前主流的MBSE設(shè)計流程集成的系統(tǒng)可靠性、安全性分析流程和方法——系統(tǒng)工程中集成可靠性分析的方法 (MeDISIS)[29-30]。MeDISIS實施流程如圖7所示。在需求定義階段，采用初步危險分析方法確定系統(tǒng)功能失效狀態(tài)；在功能分析過程中，使用功能FMEA方法進一步衍生出設(shè)計要求；在設(shè)計綜合階段，開展組件FMEA、性能可靠性分析及故障注入驗證等工作，對系統(tǒng)架構(gòu)進行持續(xù)評估和設(shè)計完善。

該方法的主要特點是建立了一套相對完整的MBSE與系統(tǒng)可靠性分析的整合思路，研究了SysML系統(tǒng)設(shè)計模型與Altarica模型、AADL模型、Simulink模型等多種仿真模型之間的元素映射關(guān)系，同時構(gòu)建了一個系統(tǒng)的非正常行為數(shù)據(jù)庫DBD，作為一個共享的、可重用的、與具體模型無關(guān)的基礎(chǔ)數(shù)據(jù)庫，用于支持各個階段開展故障建模和故障仿真。

巴黎理工大學(xué)的Mhenni等[31-32]針對機電系統(tǒng)的安全性分析，提出了一種系統(tǒng)安全性與系統(tǒng)工程過程的集成方法SafeSysE，如圖8所示。

與文獻[29-30]提出的通過“模型映射”手段實現(xiàn)系統(tǒng)設(shè)計模型與安全性、可靠性模型的集成不同，SafeSysE給出了一套完全基于SysML模型進行安全性分析的實現(xiàn)方法。包括利用XML元數(shù)據(jù)交換技術(shù)，將SysML模型轉(zhuǎn)化為XML文件，從中提取核心的功能、組件元素，支持開展功能FMEA、組件FMEA；同時該文獻還研究了基于SysML的故障樹生成算法、SysML模型與NuSMV-SA模型的映射算法，以支持系統(tǒng)的安全性、可靠性評估與行為仿真分析，但由于SysML用于描述系統(tǒng)功能邏輯、結(jié)構(gòu)組成的模型是分離的，因此在SysML基礎(chǔ)上直接生成故障樹模型、狀態(tài)機驗證模型過程中，還需要加入大量的人工識別工作，限制了其進一步應(yīng)用的范圍。

圖7 PRISME的MBSE與可靠性設(shè)計集成思路

圖8 SafeSysE的集成過程

意大利Calabria大學(xué)的DEIS學(xué)院提出了一種系統(tǒng)可靠性、可用性、維修性、安全性分析與仿真集成方法——RAMSAS[33]，如圖9所示。

RAMSAS的方法分為4個步驟：可靠性需求分析、系統(tǒng)建模、系統(tǒng)仿真和系統(tǒng)評估，這4個步驟在整個設(shè)計過程是迭代進行的?？煽啃孕枨蠓治鲋饕栽O(shè)計階段形成的系統(tǒng)設(shè)計模型、系統(tǒng)功能和非功能需求文檔、以及前期FMEA找出潛在故障模式為基礎(chǔ)，確定可靠性分析目標(biāo)；系統(tǒng)建模主要是使用SysML進行系統(tǒng)架構(gòu)和行為建模，同時還定義了一個通用的基本故障行為集合，建立故障的行為模型，描述故障的產(chǎn)生、傳播和管理；系統(tǒng)仿真階段主要是將先前獲得的系統(tǒng)架構(gòu)和行為模型圖以及故障行為模型，轉(zhuǎn)換成Simulink可執(zhí)行模型，核心是將內(nèi)部塊圖的架構(gòu)信息(如塊組成、端口/接口信息)轉(zhuǎn)化為Simulink的層次化接口和交聯(lián)接口，將采用活動圖和順序圖描述的算法模型轉(zhuǎn)化為Simulink的控制邏輯；系統(tǒng)評估階段主要是針對系統(tǒng)可靠性需求進行分析，提出可靠性設(shè)計改進建議或方案，并反饋到需求環(huán)節(jié)。該方法優(yōu)點是能將系統(tǒng)SysML建模語言與Matlab/Simulink動態(tài)仿真開發(fā)環(huán)境進行融合，尤其是可將 SysML描述的控制邏輯直接轉(zhuǎn)化為Simulink模型，提高了仿真建模的效率。缺點是該方法主要側(cè)重的是仿真分析，并不是一套完整的模型驅(qū)動設(shè)計方法，例如缺乏對可靠性需求分析、系統(tǒng)早期架構(gòu)的可靠性分析等方法的支持。

從目前國內(nèi)外幾個機構(gòu)的研究成果看，MBSE與系統(tǒng)安全性、可靠性分析在設(shè)計流程整合上的主要思路是：在系統(tǒng)需求分析過程中，利用MBSE模型包含的系統(tǒng)功能清單、使用要求等信息，開展初步的功能故障分析、危險分析，細化安全性、可靠性要求；在系統(tǒng)功能分析、邏輯架構(gòu)的設(shè)計過程中，以故障模式數(shù)據(jù)庫為支撐，在系統(tǒng)正常功能模型基礎(chǔ)上構(gòu)建綜合分析模型，重點是對架構(gòu)進行完善；在系統(tǒng)物理架構(gòu)設(shè)計完成后，對系統(tǒng)的正常、故障行為進行動態(tài)仿真評估，進一步優(yōu)化系統(tǒng)的故障控制邏輯和算法等。

在模型支持方面，主要的障礙在于MBSE的主要設(shè)計語言(例如SysML等)對于安全性、可靠性分析的支持是不足的。目前一種解決思路是將SysML等系統(tǒng)設(shè)計語言與 Altarica等支持安全性分析的設(shè)計語言在“模型元素”上進行映射和轉(zhuǎn)化，但由于2種語言的設(shè)計機制不同，實現(xiàn)完整的模型元素互換是比較困難的；另外一種解決思路是根據(jù)需求對系統(tǒng)設(shè)計模型的元素進行解析讀取，如文獻[31-32]研發(fā)的SafeSysE等，這種集成方式的優(yōu)勢在于可以完全根據(jù)安全性、可靠性分析的需求提取設(shè)計信息，不會丟失原有模型信息，但缺點在于模型信息提取過程是完全定制化的，無法適應(yīng)由于建模人員習(xí)慣不同、建模規(guī)范不同所造成的模型構(gòu)造上的差異性。

3 結(jié)論與展望

模型驅(qū)動的系統(tǒng)設(shè)計技術(shù)被公認為是解決復(fù)雜系統(tǒng)設(shè)計的有效手段，基于模型的系統(tǒng)工程技術(shù)在美國國防部、歐空局、NASA等政府組織以及波音、空客、洛克希德·馬丁等飛機研制商的大力推動下，已經(jīng)逐漸趨于規(guī)范化，并逐步融入到了飛機的研制過程。安全性、可靠性作為裝備重要的質(zhì)量特性之一，在技術(shù)方法、技術(shù)手段上應(yīng)與裝備的技術(shù)發(fā)展保持同步。

基于模型的安全性、可靠性分析技術(shù)是實現(xiàn)模型驅(qū)動的復(fù)雜系統(tǒng)安全性、可靠性設(shè)計的重要組成部分，相對于傳統(tǒng)基于文本的分析，基于模型的安全性、可靠性分析有利于可實現(xiàn)安全性、可靠性設(shè)計與系統(tǒng)功能設(shè)計在數(shù)據(jù)源上的統(tǒng)一，可以一定程度上避免安全性、可靠性分析的主觀性和隨意性；同時，借助模型強大的仿真能力，可以解決工程上面臨的復(fù)雜系統(tǒng)可靠性建模和分析困難的問題。

目前，以MBSA為代表的基于模型的安全性、可靠性分析方法在中國部分新研裝備中已經(jīng)進行了初步的試用與驗證，但總體來講，應(yīng)用的范圍和深度還比較有限。制約基于模型的安全性、可靠性技術(shù)在工程中深入開展的因素有幾個方面：

1) 開展基于模型的安全性、可靠性分析的前提是建立描述系統(tǒng)正常功能、行為的模型，目前MBSE在中國裝備研制中的應(yīng)用剛剛起步，還沒有得到全面的普及，無法在研制過程中及時為安全性、可靠性設(shè)計人員提供有效的功能模型輸入。

2) 系統(tǒng)安全性、可靠性建模語言與系統(tǒng)設(shè)計語言存在差異，并且缺乏模型接口。目前系統(tǒng)設(shè)計過程中一般采用SysML等標(biāo)準(zhǔn)語言進行系統(tǒng)需求、架構(gòu)和行為的建模分析，采用AADL、Modelica等建模語言進行性能、算法的驗證，這些建模語言多數(shù)是面向?qū)ο蟮?。以目前安全性分析的主流建模語言Altarica為例，其建模核心是以功能流為基礎(chǔ)的，本質(zhì)是一種數(shù)據(jù)驅(qū)動、過程驅(qū)動的建模方法。2種類型的建模語言，不管是模型元素構(gòu)成上，還是在建模語言的理論基礎(chǔ)上都是有較大區(qū)別的。雖然有部分文獻研究了SysML模型與各種安全性、可靠性相關(guān)的形式化模型、仿真模型的映射關(guān)系，但給出的示例多數(shù)比較簡單，對于實際復(fù)雜工程系統(tǒng)是否適用，還需進一步驗證。

3) 缺乏相關(guān)的安全性、可靠性建模規(guī)范和標(biāo)準(zhǔn)，模型的規(guī)范性和嚴謹性無法保證。以Altarica為代表的安全性、可靠性建模語言是一種通用的、與領(lǐng)域無關(guān)的語言，建模的靈活性較大，目前國內(nèi)外鮮有相關(guān)的建模規(guī)范和標(biāo)準(zhǔn)。在面對具體的工程系統(tǒng)時，需要將實際物理系統(tǒng)抽象為輸入、輸出、狀態(tài)、故障傳播邏輯等模型元素，如果缺乏建模方法的約束，不同的建模人員在建模層次和級別、顆粒度、輸入輸出數(shù)據(jù)類型、故障邏輯的表達方式等方面會有不同的選擇，因此容易造成模型的一致性差、可讀性差等問題，給模型的校驗和后續(xù)的集成帶來問題。

4) 缺乏建模數(shù)據(jù)庫和自動化建模機制的支持。相對于傳統(tǒng)安全性、可靠性分析，基于模型的安全性、可靠性分析技術(shù)的優(yōu)勢在于模型的可重用性，但缺點是建模過程較為復(fù)雜，工作量較大，因此需要有強大的數(shù)據(jù)庫支持，但目前的建模方法和工具在故障模式數(shù)據(jù)的積累、模型重用等方面尚有很大的提升空間。

針對以上問題，建議未來重點關(guān)注以下方面的研究和應(yīng)用：

1) 面向裝備全研制過程的、基于模型的安全性、可靠性設(shè)計體系與模型體系研究。目前的基于模型的安全性、可靠性分析技術(shù)主要解決的是系統(tǒng)功能架構(gòu)層面的分析問題，還不能支撐建立一套完整的、模型驅(qū)動的安全性、可靠性設(shè)計體系。未來的研究中，一方面應(yīng)在現(xiàn)有方法基礎(chǔ)上進一步擴展，將安全性、可靠性分析與裝備的使用過程分析、物理設(shè)計、軟硬件設(shè)計結(jié)合起來，以支持系統(tǒng)工程全過程設(shè)計；另一方面，要建立一套完整的安全性、可靠性建模規(guī)范體系。目前來看，只采用任何一種建模方法都是有其局限性的，在未來基于模型的研發(fā)體系下，安全性、可靠性模型應(yīng)不僅能夠支持早期的需求分析、架構(gòu)評估，還應(yīng)支持研制后期的仿真驗證，甚至半實物驗證，因此，其模型支撐體系是相對復(fù)雜的，需要進行深入研究。

2) MBSE與基于模型的安全性、可靠性分析技術(shù)的集成方法研究。MBSE技術(shù)在裝備研制過程中的深度應(yīng)用，為進一步規(guī)范基于模型的系統(tǒng)安全性、可靠性分析提供了有力的基礎(chǔ)。因此，未來應(yīng)重點加強MBSE研制模式下的裝備安全性、可靠性設(shè)計流程、技術(shù)方法、模型接口等方面的深化研究，打通MBSE與安全性、可靠性設(shè)計的接口關(guān)系，為實現(xiàn)以系統(tǒng)需求模型、設(shè)計模型為核心的多專業(yè)協(xié)同設(shè)計提供保障。

3) 基于模型的安全性、可靠性智能化設(shè)計方法和工具平臺研究。目前的安全性、可靠性分析方法和工具智能化程度普遍不高，已建立的安全性、可靠性模型，積累的故障模式數(shù)據(jù)還不能在設(shè)計過程中得到有效利用。未來應(yīng)重點加強安全性、可靠性智能化建模方法、基于知識規(guī)則的安全性、可靠性分析與設(shè)計方法等方向的研究，擴展安全性、可靠性分析能力，提高建模和分析的效率。