基于STPA-TOPAZ的低空無人機(jī)沖突解脫安全性分析

張宏宏，甘旭升，孫靜娟，趙顧顥，韓寶華

1. 空軍工程大學(xué) 空管領(lǐng)航學(xué)院，西安 710051 2. 國(guó)家空管防相撞技術(shù)重點(diǎn)實(shí)驗(yàn)室，西安 710051 3. 中國(guó)人民解放軍31664部隊(duì)，格爾木 816000

隨著航空技術(shù)與信息技術(shù)的不斷發(fā)展，無人機(jī)進(jìn)入低空空域執(zhí)行多樣化任務(wù)成為當(dāng)前趨勢(shì)。同時(shí)高新技術(shù)的廣泛應(yīng)用使得無人機(jī)呈現(xiàn)出信息融合、高度耦合、軟硬交叉、高非線性等復(fù)雜性特點(diǎn)，也為執(zhí)行任務(wù)的無人機(jī)事故模型的構(gòu)建與事故致因分析帶來了挑戰(zhàn)。而低空空域沖突解脫作為無人機(jī)執(zhí)行任務(wù)的前提，是制約安全運(yùn)行的薄弱環(huán)節(jié)，因此對(duì)低空無人機(jī)沖突解脫復(fù)雜性系統(tǒng)的安全性分析，對(duì)提升任務(wù)執(zhí)行效率與事故預(yù)防意義重大。

傳統(tǒng)安全性分析一般從線性角度對(duì)系統(tǒng)部件進(jìn)行獨(dú)立分析，忽略部件之間的非線性耦合關(guān)系，如事故樹分析(Event Tree Analysis，ETA)、故障樹分析(Fault Tree Analysis，F(xiàn)TA)、故障模式與影響分析(Failure Mode and Effects Analysis，F(xiàn)MEA)等，都是基于線性思維，將安全性轉(zhuǎn)化為系統(tǒng)組件的可靠性分析問題，具有一定的實(shí)際應(yīng)用價(jià)值，但對(duì)非線性耦合場(chǎng)景、人機(jī)交互、系統(tǒng)缺陷等問題難以進(jìn)行精確描述分析，線性事件鏈、故障率、線性獨(dú)立性等假設(shè)基礎(chǔ)不存在，使得在復(fù)雜性系統(tǒng)分析中存在局限性。而基于系統(tǒng)理論的事故模型與過程(System Theoretic Accident Modeling and Processes, STAMP)基于系統(tǒng)理論和控制理論，將系統(tǒng)安全性問題轉(zhuǎn)化為控制問題，充分考慮系統(tǒng)的非線性特性，在航空航天、能源化工、信息安全、交通運(yùn)輸?shù)劝踩I(lǐng)域應(yīng)用廣泛。

雖然基于STAMP模型和系統(tǒng)理論過程分析(Systems Theorectic Process Analysis, STPA)方法降低了對(duì)人工經(jīng)驗(yàn)的依賴以及致因分析工作量，但沒有對(duì)問題進(jìn)行定量分析，無法準(zhǔn)確描述致因因素對(duì)系統(tǒng)安全的影響程度。同時(shí)TOPAZ(Traffic Organization and Perturbation AnalyZer)方法可以通過微觀層面模擬仿真，定量描述風(fēng)險(xiǎn)，但往往風(fēng)險(xiǎn)因素依賴經(jīng)驗(yàn)，難以全面找出安全隱患。為克服STAMP/STPA的局限性，提出一種結(jié)合STPA與TOPAZ的方法，構(gòu)建一種定性與定量相結(jié)合，用于復(fù)雜系統(tǒng)的安全性分析的標(biāo)準(zhǔn)流程與框架，并以低空無人機(jī)沖突解脫系統(tǒng)為例，驗(yàn)證該方法的有效性與合理性。

1 基本理論

1.1 STAMP/STPA工作機(jī)理

STAMP最早由Leveson于2004年提出，將復(fù)雜系統(tǒng)視為多個(gè)由上而下的分層結(jié)構(gòu)組成，上方層次通過向下方層次施加約束達(dá)到控制的目的，系統(tǒng)安全性問題轉(zhuǎn)化為控制問題。STAMP不僅考慮組件失效問題，更包括多組件之間相互耦合作用，強(qiáng)調(diào)時(shí)間發(fā)生的時(shí)機(jī)、次序和上下文環(huán)境等因素。STPA是基于STAMP理論的安全分析方法，通過構(gòu)建系統(tǒng)安全控制結(jié)構(gòu)，精確對(duì)系統(tǒng)結(jié)構(gòu)與控制反饋進(jìn)行描述，分析系統(tǒng)安全控制結(jié)構(gòu)中存在的事故致因，具體分析流程如圖1所示。

圖1 STPA分析流程Fig.1 STPA analysis flow

1.2 STPA-TOPAZ安全性分析模型

通過STPA分析流程，可以準(zhǔn)備識(shí)別出不安全控制行為以及對(duì)應(yīng)的事故致因，減少對(duì)人工經(jīng)驗(yàn)的依賴并降低工作量，但仍處于定性分析的階段，無法準(zhǔn)確描述致因?qū)Π踩缘挠绊懗潭龋矡o法找出制約系統(tǒng)安全的瓶頸，不利于系統(tǒng)的動(dòng)態(tài)優(yōu)化，在具體的驗(yàn)證階段仍需要結(jié)合系統(tǒng)進(jìn)行進(jìn)一步的公式推導(dǎo)與理論分析。隨著系統(tǒng)復(fù)雜度的提升，人工分析工作量趨于龐大繁雜，需要將一種定量的方法加入到STPA分析流程中，利用數(shù)理模型對(duì)事故致因進(jìn)行精確描述，分析致因因素對(duì)系統(tǒng)安全性的影響程度。TOPAZ模型是一種基于蒙特卡羅模擬和不確定性評(píng)估的風(fēng)險(xiǎn)分析方法，具有系統(tǒng)的安全評(píng)估流程，基于循環(huán)優(yōu)化的思想，可定量評(píng)估系統(tǒng)安全，找到影響系統(tǒng)安全的瓶頸。該方法憑借其目標(biāo)性強(qiáng)、定量描述、利于系統(tǒng)優(yōu)化等優(yōu)點(diǎn)，在化工、核能、交通領(lǐng)域得到廣泛應(yīng)用，具體評(píng)估流程見圖2。因此結(jié)合STPA與TOPAZ模型的優(yōu)點(diǎn)，提出面向低空無人機(jī)沖突解脫系統(tǒng)的STPA-TOPAZ混合模型，分析模型如圖3所示。

圖2 TOPAZ安全評(píng)估流程Fig.2 TOPAZ security assessment process

面向低空無人機(jī)沖突解脫系統(tǒng)的STPA-TOPAZ安全分析方法步驟為：

針對(duì)具體的低空無人機(jī)沖突解脫系統(tǒng)應(yīng)用場(chǎng)景，首先從全局的角度，通過定義場(chǎng)景可能導(dǎo)致的系統(tǒng)級(jí)事故和危險(xiǎn)兩方面進(jìn)行定義分析目的；然后，構(gòu)建系統(tǒng)安全控制分層結(jié)構(gòu)，并根據(jù)系統(tǒng)反饋控制回路識(shí)別不安全控制行為(Unsafe Control Action, UCA)；最后針對(duì)不安全控制行為識(shí)別事故致因。其中，UCA主要有4種類型：① 未提供安全所要求的控制行為；② 提供了不恰當(dāng)或錯(cuò)誤的控制行為；③ 提供的控制行為時(shí)序錯(cuò)亂，過早或過遲；④ 提供的控制行為時(shí)效性過長(zhǎng)或過短。

將步驟1中識(shí)別的致因作為TOPAZ安全性分析的危險(xiǎn)源，代入低空無人機(jī)沖突解脫系統(tǒng)，驗(yàn)證致因因素對(duì)解脫效果的影響程度，按照評(píng)估目標(biāo)確立、危險(xiǎn)源識(shí)別、虛擬場(chǎng)景構(gòu)建、事故危險(xiǎn)性等級(jí)分類、概率評(píng)估、風(fēng)險(xiǎn)可容性評(píng)估、隱患識(shí)別、優(yōu)化設(shè)置等一系列的步驟進(jìn)行循環(huán)優(yōu)化。

根據(jù)步驟2識(shí)別出的安全隱患，對(duì)整個(gè)系統(tǒng)提出對(duì)應(yīng)的安全約束與要求，保證低空無人機(jī)沖突解脫過程的安全性。

圖3 面向低空無人機(jī)沖突解脫系統(tǒng)的STPA-TOPAZ混合模型Fig.3 STPA-TOPAZ hybrid model for low-altitude UAV conflict resolution system

2 低空無人機(jī)沖突解脫系統(tǒng)STAMP建模

低空無人機(jī)進(jìn)行沖突解脫時(shí)，地面站操作員首先需要通過儀表信息獲取當(dāng)前空中態(tài)勢(shì)，然后形成控制指令，地面站迅速進(jìn)行沖突解脫航跡規(guī)劃，解算結(jié)果傳輸?shù)綑C(jī)載設(shè)備。然后無人機(jī)控制器利用動(dòng)力單元模塊完成飛行控制，促使無人機(jī)運(yùn)行姿態(tài)與航跡滿足解脫需求?？刂茖油ㄟ^交互系統(tǒng)實(shí)時(shí)與地面站共享航跡參數(shù)與姿態(tài)角信息。結(jié)合參數(shù)與任務(wù)要求，依據(jù)控制律生成控制指令信號(hào)，經(jīng)過控制分配、電機(jī)控制、電調(diào)控制等流程，促使螺旋槳進(jìn)行相應(yīng)轉(zhuǎn)動(dòng)，驅(qū)動(dòng)無人機(jī)機(jī)體進(jìn)行縱向運(yùn)動(dòng)(直線和俯仰運(yùn)動(dòng))與橫側(cè)向運(yùn)動(dòng)(滾轉(zhuǎn)和偏航運(yùn)動(dòng))。根據(jù)上述控制過程的描述，建立如圖4所示的低空無人機(jī)沖突解脫系統(tǒng)STAMP模型。

圖4 低空無人機(jī)沖突解脫系統(tǒng)STAMP模型Fig.4 STAMP model of low altitude UAV conflict resolution system

3 基于STPA的低空無人機(jī)沖突解脫系統(tǒng)安全性分析

3.1 確定系統(tǒng)級(jí)事故

系統(tǒng)級(jí)事故主要指人員傷亡、設(shè)施損壞或損毀、任務(wù)失效等類型，在低空無人機(jī)沖突解脫系統(tǒng)中，機(jī)體損傷、損毀(A-1)是指由于機(jī)體、機(jī)翼或者其他部件在空中相撞而受損；地面人員傷亡、設(shè)施損壞(A-2)是指無人機(jī)相撞，對(duì)地撞擊造成地面人員傷亡；沖突解脫任務(wù)失敗(A-3)是指無人機(jī)由于解脫策略選擇錯(cuò)誤導(dǎo)致解脫任務(wù)失敗，具體見表1。

表1 低空無人機(jī)沖突解脫過程中的系統(tǒng)級(jí)事故

3.2 確定系統(tǒng)級(jí)危險(xiǎn)

系統(tǒng)級(jí)危險(xiǎn)主要有無人機(jī)失控、危險(xiǎn)接近以及空中相撞3種，無人機(jī)失控(H-1)是指由于數(shù)據(jù)鏈?zhǔn)芨蓴_、控制律設(shè)計(jì)不合理等原因，可能會(huì)導(dǎo)致機(jī)體損傷、損毀(A-1)、地面人員傷亡、設(shè)施損壞(A-2)、沖突解脫任務(wù)失敗(A-3)；無人機(jī)危險(xiǎn)接近(H-2)是指由于指令下達(dá)時(shí)機(jī)不合適、外界擾動(dòng)過強(qiáng)等原因，可能會(huì)導(dǎo)致沖突解脫任務(wù)失敗(A-3)；無人機(jī)空中相撞(H-3)是指由于人為差錯(cuò)或系統(tǒng)缺陷，導(dǎo)致解脫過程中無人機(jī)之間發(fā)生碰撞，可能會(huì)導(dǎo)致機(jī)體損傷、損毀(A-1)、地面人員傷亡、設(shè)施損壞(A-2)、沖突解脫任務(wù)失敗(A-3)，具體見表2。

表2 低空無人機(jī)沖突解脫過程中的系統(tǒng)級(jí)危險(xiǎn)

3.3 不安全控制行為

為保證低空無人機(jī)沖突解脫過程安全性，需要對(duì)整個(gè)系統(tǒng)安全控制回路的各環(huán)節(jié)進(jìn)行分析，識(shí)別出安全控制框架內(nèi)的不安全的控制行為。無人機(jī)在沖突解脫過程中，必須實(shí)時(shí)控制，滿足解脫要求。本文旨在分析提供沖突解脫導(dǎo)引律這一控制動(dòng)作對(duì)解脫效果的影響，基于STPA分析流程主要將不安全控制行為分為4類，具體見表3。

表3 低空無人機(jī)沖突解脫過程中的不安全控制行為

3.4 關(guān)鍵原因分析

STPA方法將導(dǎo)致危險(xiǎn)的關(guān)鍵原因的不安全控制行為分為2類：① 控制行為的不及時(shí)、不準(zhǔn)確、執(zhí)行機(jī)構(gòu)執(zhí)行程度不足對(duì)系統(tǒng)造成危險(xiǎn)；② 反 饋信息的不及時(shí)、不準(zhǔn)確對(duì)系統(tǒng)造成危險(xiǎn)。因此從控制缺陷和反饋缺陷兩方面建立低空無人機(jī)沖突解脫系統(tǒng)控制反饋回路，如圖5所示。圖5 中 ① 中包含了操作員、地面站、數(shù)傳電臺(tái)系統(tǒng)、接收機(jī)、控制器、動(dòng)力模塊，用來表示控制缺陷；② 中包含了無人機(jī)實(shí)體、儀器信息以及有關(guān)傳感器，用來表示反饋缺陷。

圖5 低空無人機(jī)沖突解脫控制反饋回路Fig.5 Feedback loop of low altitude UAV conflict resolution control

確定系統(tǒng)中不安全的控制行為后，就需要對(duì)致因因素進(jìn)行分析,具體見表4。

表4 致因分析Table 4 Cause analysis

4 TOPAZ在低空無人機(jī)沖突解脫系統(tǒng)的定量分析

4.1 低空無人機(jī)沖突解脫模型

為說明STPA在低空無人機(jī)沖突解脫過程安全分析的有效性，在MATLAB /SIMULINK環(huán)境下構(gòu)建沖突場(chǎng)景與無人機(jī)運(yùn)動(dòng)模型，以四旋翼無人機(jī)為例，對(duì)無人機(jī)解脫過程進(jìn)行分析計(jì)算，主要包括：剛體動(dòng)力學(xué)模型、拉力和力矩模型、動(dòng)力單元模型、空氣動(dòng)力學(xué)模型。

4.1.1 剛體動(dòng)力學(xué)模型

四旋翼無人機(jī)飛行控制剛體模型表示為

(1)

4.1.2 拉力和力矩模型

(2)

4.1.3 動(dòng)力單元模型

四旋翼動(dòng)力單元模型由無刷直流電機(jī)、電調(diào)與螺旋槳組成，完整的動(dòng)力單元模型為

(3)

4.1.4 空氣動(dòng)力學(xué)模型

四旋翼機(jī)體相對(duì)空氣的流動(dòng)速度為

(4)

式中：為地球坐標(biāo)系下風(fēng)速，由多個(gè)風(fēng)場(chǎng)疊加合成。

(5)

(6)

式中：、分別為空氣阻尼系數(shù)和阻尼力矩系數(shù)。

4.2 安全性分析流程

本文主要針對(duì)沖突解脫過程中1-22(導(dǎo)航系統(tǒng)存在誤差)這一致因因素進(jìn)行評(píng)估，利用TOPAZ 方法進(jìn)行安全性分析，判斷該因素是否為影響系統(tǒng)安全的關(guān)鍵因素。

目標(biāo)確定

通過對(duì)STPA識(shí)別出的致因因素分別進(jìn)行安全評(píng)估，找到制約系統(tǒng)安全的關(guān)鍵因素，為未來無人機(jī)低空空中交通管理框架下的安全評(píng)估體系的構(gòu)建提供理論參考。當(dāng)前FAA和ICAO規(guī)定空域內(nèi)總體安全目標(biāo)水平為10次事故/h，結(jié)合無人機(jī)發(fā)展現(xiàn)狀，可將此標(biāo)準(zhǔn)作為無人機(jī)沖突解脫系統(tǒng)安全水平目標(biāo)。

啟動(dòng)運(yùn)行

本文選取低空空域無人機(jī)沖突解脫場(chǎng)景作為研究對(duì)象，無人機(jī)通過改變自身運(yùn)動(dòng)狀態(tài)，使得無人機(jī)在完成任務(wù)的前提下，滿足最小安全間隔。常用的沖突解脫路徑規(guī)劃方法有優(yōu)化方法、勢(shì)場(chǎng)與導(dǎo)航函數(shù)法、博弈論等。本案例沖突解脫路徑求解方法參考文獻(xiàn)[33]中提出的基于混合人工勢(shì)場(chǎng)(Artificial Potential Field， APF)與蟻群算法(Ant Colony Optimization, ACO)的多飛行器沖突解脫方法。

首先根據(jù)人工勢(shì)場(chǎng)法原理，對(duì)多機(jī)沖突解脫路徑進(jìn)行全局搜索，迭代終止后，再將解脫路徑進(jìn)行近似處理并編碼，用來初始化蟻群信息素等信息，最后迭代對(duì)局部最優(yōu)點(diǎn)進(jìn)行搜索，整個(gè)計(jì)算流程如圖6所示。和分別表示算法迭代次數(shù)和最大迭代次數(shù)。

圖6 基于APF-ACO算法的多無人機(jī)沖突解脫流程Fig.6 Multi-UAV conflict resolution process based on APF-ACO algorithm

在運(yùn)行過程中，無人機(jī)之間需要保持一定的安全間隔，UAV的位置(,)與UAV的位置(,)(,=1,2,…,)之間的距離約束為

(7)

式中：為沖突數(shù)量;為無人機(jī)之間運(yùn)行最小安全間隔,本案例中取20 m。

危險(xiǎn)源識(shí)別

復(fù)雜低空環(huán)境下，無人機(jī)運(yùn)行過程中危險(xiǎn)源來源種類多樣、情況復(fù)雜，僅通過人為查找難以全面分析出系統(tǒng)潛在的危險(xiǎn)源。本文將基于STPA方法識(shí)別出的致因因素作為危險(xiǎn)源，可降低對(duì)主觀因素的依賴，增強(qiáng)安全評(píng)估可信度。本文選取1-22(導(dǎo)航系統(tǒng)存在誤差)這一致因因素作為危險(xiǎn)源，評(píng)估其對(duì)系統(tǒng)安全的影響，其他致因因素評(píng)估方法類似。

虛擬場(chǎng)景構(gòu)建

經(jīng)典沖突場(chǎng)景下，無人機(jī)均勻分布在圓形沖突區(qū)域邊界上，速度均指向圓心，假設(shè)沖突圓的半徑為100 m，初始路徑均為直線運(yùn)動(dòng)，如圖7所示，無人機(jī)通過改變航向，在保證彼此之間安全間隔的同時(shí)，分別到達(dá)各自目的地。經(jīng)典沖突場(chǎng)景作為一種極端情況，可以更好地測(cè)試出沖突解脫算法的優(yōu)劣。

圖7 經(jīng)典8機(jī)對(duì)飛沖突場(chǎng)景Fig.7 Classic 8-aircraft flight conflict scenario

事故危險(xiǎn)性等級(jí)分類

結(jié)合中國(guó)當(dāng)前航空器運(yùn)行安全間隔劃分標(biāo)準(zhǔn)，根據(jù)沖突解脫過程中無人機(jī)之間的間隔距離，對(duì)沖突解脫過程的安全狀況進(jìn)行分類。具體事故風(fēng)險(xiǎn)等級(jí)劃分情況見表5。

表5 事故風(fēng)險(xiǎn)等級(jí)劃分Table 5 Classification of accident risk levels

概率評(píng)估

利用蒙特卡洛算法，對(duì)1-22(導(dǎo)航系統(tǒng)存在誤差)這一致因因素影響下的無人機(jī)沖突解脫場(chǎng)景進(jìn)行100萬次仿真。無人機(jī)精確路徑跟蹤下的沖突解脫場(chǎng)景如圖8所示。

圖8 無人機(jī)精確路徑跟蹤下的沖突解脫場(chǎng)景Fig.8 Conflict resolution scenario in precise path tracking of UAV

精準(zhǔn)路徑跟蹤下的無人機(jī)間距如圖9所示，導(dǎo)航系統(tǒng)存在誤差下某次仿真的無人機(jī)間距如圖10 所示。單次仿真步長(zhǎng)取5 m，假設(shè)沖突個(gè)體數(shù)量為，則在整個(gè)沖突解脫過程的間距線數(shù)量為(-1)2，本案例中的經(jīng)典8機(jī)沖突場(chǎng)景下，共有8×(8-1)2=28條間距線。根據(jù)圖中信息，UAV初始間距可為200 m(例如UAV1～UAV5)、184.78 m(例如UAV1～UAV4)、141.42 m(例如UAV1～UAV3)、76.54 m(例如UAV1～UAV2)4種，在導(dǎo)航誤差影響下，無人機(jī)路徑偏離原始解脫路徑，造成飛行沖突與危險(xiǎn)接近，甚至出現(xiàn)嚴(yán)重事故癥候，發(fā)生空中相撞事故。值得說明的是，單次仿真不能說明問題，多次仿真下的統(tǒng)計(jì)概率能夠反映系統(tǒng)的安全程度。

圖9 精準(zhǔn)路徑跟蹤下的無人機(jī)間距(28條間距線)Fig.9 UAV spacing in accurate path tracking (28 spacing lines)

圖10 導(dǎo)航系統(tǒng)存在誤差下的無人機(jī)間距(28條間距線)Fig.10 UAV spacing with navigation system error (28 spacing lines)

根據(jù)表5中的事故風(fēng)險(xiǎn)等級(jí)劃分標(biāo)準(zhǔn)，100萬次蒙特卡洛仿真下不同沖突場(chǎng)景下的事故風(fēng)險(xiǎn)等級(jí)的發(fā)生概率統(tǒng)計(jì)信息如表6所示。

表6 不同沖突場(chǎng)景下事故風(fēng)險(xiǎn)等級(jí)發(fā)生概率

風(fēng)險(xiǎn)可容性評(píng)估

不同沖突場(chǎng)景下風(fēng)險(xiǎn)等級(jí)發(fā)生概率趨勢(shì)圖如圖11所示，從100萬次蒙特卡洛仿真結(jié)果表6以及圖11中的趨勢(shì)圖可以看出，無人機(jī)事故發(fā)生概率隨著沖突場(chǎng)景的復(fù)雜而不斷增大。同一沖突場(chǎng)景下，隨著風(fēng)險(xiǎn)等級(jí)標(biāo)準(zhǔn)的減小(1級(jí)～4級(jí))，風(fēng)險(xiǎn)發(fā)生概率也隨之降低。

圖11 不同沖突場(chǎng)景下風(fēng)險(xiǎn)等級(jí)發(fā)生概率趨勢(shì)圖Fig.11 Trend diagram of occurrence probability of risk level in different conflict scenarios

若將嚴(yán)重事故癥候標(biāo)準(zhǔn)作為是否發(fā)生事故的臨界距離，則在同等導(dǎo)航誤差情況下，4機(jī)沖突場(chǎng)景中，無人機(jī)事故發(fā)生概率能夠達(dá)到ICAO提出的1×10/h，8機(jī)沖突場(chǎng)景下，事故發(fā)生概率接近1×10/h，而12機(jī)沖突場(chǎng)景尚未達(dá)到標(biāo)準(zhǔn)。

隱患識(shí)別

按照TOPAZ安全分析方法，可逐一識(shí)別出影響無人機(jī)運(yùn)行安全的關(guān)鍵因素，找到對(duì)應(yīng)的安全隱患，在本仿真案例中，導(dǎo)航誤差是8機(jī)和12機(jī)沖突場(chǎng)景的安全瓶頸，可通過提高導(dǎo)航精度等方法，提高無人機(jī)運(yùn)行安全等級(jí)。

一般而言，在給定無人機(jī)運(yùn)行場(chǎng)景和致因因素下，若無人機(jī)無法達(dá)到規(guī)定的安全目標(biāo)水平，則無人機(jī)運(yùn)行存在安全隱患?？赏ㄟ^兩種途徑來保證無人機(jī)的運(yùn)行安全，一是降低無人機(jī)運(yùn)行環(huán)境復(fù)雜度，緩解空域資源使用壓力；二是通過改變影響無人機(jī)安全的致因因素，消除隱患，提高無人機(jī)的沖突解脫能力。

4.3 對(duì)比實(shí)驗(yàn)

為進(jìn)一步說明本文所提方法的有效性，選取不同的沖突解脫場(chǎng)景與沖突解脫方法，按照4.2節(jié)提出的安全性分析流程，對(duì)單一事故致因或多種事故致因組合對(duì)系統(tǒng)安全的影響程度進(jìn)行仿真，找到制約系統(tǒng)安全的瓶頸。

實(shí)驗(yàn)1與實(shí)驗(yàn)2仿真所需的理論與方法如表7 所示。按照TOPAZ量化分析流程，同時(shí)施加1-11(飛行控制存在時(shí)延)、1-22(導(dǎo)航系統(tǒng)存在誤差)兩種組合致因，對(duì)實(shí)驗(yàn)1中的沖突解脫場(chǎng)景進(jìn)行100萬次蒙特卡羅仿真，風(fēng)險(xiǎn)等級(jí)發(fā)生概率趨勢(shì)圖如圖12所示?？煞治龀觯和粵_突場(chǎng)景下，多致因因素影響下的系統(tǒng)總體安全性水平降低。同時(shí)系統(tǒng)安全水平與沖突解脫場(chǎng)景的復(fù)雜性息息相關(guān)，場(chǎng)景復(fù)雜性越高，系統(tǒng)安全性越低。

表7 實(shí)驗(yàn)信息Table 7 Experimental information

圖12 實(shí)驗(yàn)1中風(fēng)險(xiǎn)等級(jí)發(fā)生概率趨勢(shì)圖Fig.12 Trend diagram of occurrence probability of risk level in Experiment 1

同理，對(duì)實(shí)驗(yàn)2中的沖突解脫場(chǎng)景進(jìn)行100萬次蒙特卡羅仿真，風(fēng)險(xiǎn)等級(jí)發(fā)生概率趨勢(shì)圖如圖13所示。分析可得：在靜態(tài)與動(dòng)態(tài)障礙物混合復(fù)雜沖突場(chǎng)景下，同樣有隨著風(fēng)險(xiǎn)等級(jí)標(biāo)準(zhǔn)的減小(1級(jí)～4級(jí))，風(fēng)險(xiǎn)發(fā)生概率也隨之降低。同時(shí)該沖突場(chǎng)景下系統(tǒng)安全水平較低，遠(yuǎn)未達(dá)到FAA和ICAO規(guī)定空域內(nèi)總體安全目標(biāo)水平1×10/h。

圖13 實(shí)驗(yàn)2中風(fēng)險(xiǎn)等級(jí)發(fā)生概率趨勢(shì)圖Fig.13 Trend diagram of occurrence probability of risk level in Experiment 2

4.4 方法理論對(duì)比

為從理論上說明本文提出的STPA-TOPAZ方法的優(yōu)越性，將STPA、功能共振分析方法(Functional Resonance Analysis Method, FRAM)、危險(xiǎn)與可操作性分析(Hazard And Operability Studies, HAZOP)、基于線性事件鏈模型的傳統(tǒng)方法，例如FTA、FMEA等常用的安全性分析方法進(jìn)行比較，如表8所示，給出了不同方法的假設(shè)條件、優(yōu)缺點(diǎn)、應(yīng)用場(chǎng)景等方面的對(duì)比。根據(jù)對(duì)比內(nèi)容，可分析出：STPA-TOPAZ能夠從系統(tǒng)的角度考慮安全，以定性與定量相結(jié)合的方式，既能全面找出事故致因，又能定量分析出致因?qū)ο到y(tǒng)安全的影響程度，優(yōu)越性較強(qiáng)。

表8 安全性分析方法對(duì)比Table 8 Comparison of safety analysis methods

5 結(jié) 論

1) 從控制的角度建立了低空無人機(jī)沖突解脫STAMP模型，采用STPA方法對(duì)沖突解脫過程進(jìn)行了安全性分析，綜合考慮安全控制結(jié)構(gòu)內(nèi)各組件之間的交互性與協(xié)調(diào)性等原因，識(shí)別出潛在的不安全控制行為，并能夠識(shí)別出更多的潛在危險(xiǎn)致因，為系統(tǒng)安全性問題分析提供了新思路。

2) 通過TOPAZ安全分析方法對(duì)STPA方法識(shí)別出的致因進(jìn)行仿真，定量分析致因因素對(duì)系統(tǒng)安全的影響程度，找到影響系統(tǒng)安全的瓶頸，利于系統(tǒng)優(yōu)化，為系統(tǒng)安全性分析提供重要參考。