T-SZUAVIA 010-2019 多旋翼無(wú)人機(jī)系統(tǒng)安全性分析規(guī)范

T/SZUAVIA

010— 前言

................................................................................

II1

..............................................................................

12

規(guī)范性引用文件

....................................................................

13

術(shù)語(yǔ)與定義及縮略語(yǔ)

................................................................

14

安全性分析步驟

....................................................................

25

危險(xiǎn)識(shí)別

..........................................................................

36

風(fēng)險(xiǎn)分析

..........................................................................

47

安全性設(shè)計(jì)

........................................................................

9附錄

A（資料性附錄） 整機(jī)級(jí)功能及其可能考慮的失效狀態(tài)...............................

11T/SZUAVIA

010—1 范圍和用戶的相關(guān)人員全面準(zhǔn)確地使用和實(shí)施多旋翼無(wú)人機(jī)系統(tǒng)安全性分析標(biāo)準(zhǔn)。本報(bào)準(zhǔn)執(zhí)行。2 規(guī)范性引用文件件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GJB/Z

99-97

系統(tǒng)安全工程手冊(cè)RTCA

and

Requirements

and

Safety

UnmannedAircraft

GJB/Z

768A-1998

故障樹(shù)分析指南GJB

900A-2012

裝備安全性工作通用要求GJB/Z

1391-2006

故障模式、影響及危害性分析指南SAE

ARP4761

民用機(jī)載系統(tǒng)和設(shè)備安全性評(píng)估過(guò)程的指南和方法（

forConducting

the

Safety

Assessment

Process

on

Airborne

Equipment）GJB

5433-2005

無(wú)人機(jī)系統(tǒng)通用要求3 術(shù)語(yǔ)與定義及縮略語(yǔ)3.1事故

造成人員傷亡、職業(yè)病、裝備損壞、財(cái)產(chǎn)損失或環(huán)境破壞的一個(gè)或一系列意外事件。3.2危險(xiǎn)

可能導(dǎo)致事故的狀態(tài)。3.3安全性

safety產(chǎn)品具有的不導(dǎo)致人員傷亡、職業(yè)病、裝備損壞、財(cái)產(chǎn)損失或不危及人員健康和環(huán)境的能力。T/SZUAVIA

010—3.4危險(xiǎn)嚴(yán)重性

hazard

severity某種危險(xiǎn)可能引起的事故后果的嚴(yán)重程度。3.5航空交通管制

Controller（ATC）門(mén)及人員。4安全性分析步驟安全性分析可按下述步驟進(jìn)行（見(jiàn)圖1a)標(biāo)、觸發(fā)機(jī)制）；b)完成所需的操作會(huì)發(fā)生什么樣的故障或失效，以及潛在的各種危險(xiǎn)是什么；c) 在危險(xiǎn)源識(shí)別的基礎(chǔ)上，進(jìn)行危險(xiǎn)機(jī)理分析，確定導(dǎo)致危險(xiǎn)或事故發(fā)生的根本原因；危險(xiǎn)識(shí)別風(fēng)

否

FTA險(xiǎn)分

是

析及安全性設(shè)

計(jì)圖1 多旋翼無(wú)人機(jī)系統(tǒng)安全性分析步驟T/SZUAVIA

010—d) 進(jìn)行風(fēng)險(xiǎn)分析，確定危險(xiǎn)的嚴(yán)重等級(jí)及發(fā)生概率等級(jí)；e) 導(dǎo)安全性設(shè)計(jì)；f) 重復(fù)第

d-e

步，直到風(fēng)險(xiǎn)降低到可接受水平；g)針對(duì)殘余風(fēng)險(xiǎn)，建立使用安全保障體系。5 危險(xiǎn)識(shí)別識(shí)別可能由無(wú)人機(jī)系統(tǒng)本身或外圍設(shè)備產(chǎn)生或由于人與無(wú)人機(jī)系統(tǒng)的相互干擾而產(chǎn)生的危險(xiǎn)或危險(xiǎn)狀態(tài)，使在進(jìn)行無(wú)人機(jī)系統(tǒng)設(shè)計(jì)，和進(jìn)行風(fēng)險(xiǎn)評(píng)價(jià)時(shí)，便于危險(xiǎn)分析。5.1 產(chǎn)品特性分析為了識(shí)別危險(xiǎn)源，需要明確產(chǎn)品的具體特性，包括性能特性、使用特性以及危險(xiǎn)三要素。5.1.1 性能特性明確產(chǎn)品的功能及組成，例如電驅(qū)的多旋翼無(wú)人機(jī)系統(tǒng)一般的組成及功能為：a)無(wú)人機(jī)機(jī)體：包括機(jī)身，機(jī)臂和腳架。用于支撐安裝產(chǎn)品的功能部件；b)動(dòng)力系統(tǒng)：包括槳葉、電機(jī)和電調(diào)，以及電源或發(fā)動(dòng)機(jī)。實(shí)現(xiàn)旋翼轉(zhuǎn)動(dòng)，為產(chǎn)品提供升力；c)

態(tài)進(jìn)行調(diào)整，使得其能夠按照指令動(dòng)作；d)通訊系統(tǒng)：包括信號(hào)發(fā)射器、地面基站。實(shí)現(xiàn)地面對(duì)無(wú)人機(jī)的遙控、控制；e)任務(wù)系統(tǒng)：包括實(shí)現(xiàn)無(wú)人機(jī)偵察、拍攝、植保、物流等任務(wù)的載荷系統(tǒng)。5.1.2 使用特性程，分析操作使用過(guò)程中人員及操作系統(tǒng)本身對(duì)無(wú)人機(jī)系統(tǒng)運(yùn)行的影響。5.1.3危險(xiǎn)三要素a) 小。b) 的可能性。c)的范圍。5.2 危險(xiǎn)源識(shí)別識(shí)別危險(xiǎn)源時(shí)，應(yīng)從整套裝備的各個(gè)方面來(lái)進(jìn)行考慮：a) 設(shè)備方面：無(wú)人機(jī)、地面控制站。b)設(shè)備的使用環(huán)境：地形、氣候、電磁環(huán)境、障礙物等。c) 干涉而形成的危險(xiǎn)。T/SZUAVIA

010—各項(xiàng)。5.2.1多旋翼無(wú)人機(jī)系統(tǒng)硬件失效或故障引起的危險(xiǎn)a)

動(dòng)力系統(tǒng)故障；b)

飛控系統(tǒng)故障；c)

通訊系統(tǒng)故障；d)

任務(wù)系統(tǒng)故障；5.2.2多旋翼無(wú)人機(jī)系統(tǒng)結(jié)構(gòu)件引起的危險(xiǎn)無(wú)人機(jī)機(jī)架、機(jī)臂等結(jié)構(gòu)件發(fā)生變形、斷裂等故障，無(wú)人機(jī)槳葉滑脫飛射等。5.2.3 危險(xiǎn)環(huán)境或條件a) 不利的導(dǎo)航環(huán)境；b) 不利的天氣或大氣條件；c) 外部威脅，如固定的障礙物，飛鳥(niǎo)撞擊，附近的其他飛行器等。5.2.4 干擾產(chǎn)生的危險(xiǎn)電磁、射頻干擾：由于電磁干擾、射頻干擾，使無(wú)人機(jī)系統(tǒng)發(fā)生失控，造成危險(xiǎn)或事故發(fā)生。5.2.5 人因差錯(cuò)產(chǎn)生的危險(xiǎn)a)

無(wú)人機(jī)飛手決定錯(cuò)誤或判斷失誤；b)

在禁飛區(qū)內(nèi)操作；c)

異常/意外的控制輸入；d)

錯(cuò)誤的操作/行為。5.3 危險(xiǎn)機(jī)理分析分析事故發(fā)生的根本原因，為后續(xù)安全性設(shè)計(jì)提供基本依據(jù)。6 風(fēng)險(xiǎn)分析全措施。6.1 風(fēng)險(xiǎn)分析的要求a) 風(fēng)險(xiǎn)分析應(yīng)由無(wú)人機(jī)及其系統(tǒng)的開(kāi)發(fā)者或用戶在系統(tǒng)設(shè)計(jì)初期進(jìn)行。b) 當(dāng)系統(tǒng)設(shè)計(jì)定型，再完成最后的全面的風(fēng)險(xiǎn)分析并保留文件。c) 風(fēng)險(xiǎn)分析的步驟：1)確定系統(tǒng)危險(xiǎn)源和任務(wù)階段；2) 進(jìn)行風(fēng)險(xiǎn)評(píng)價(jià)；3) 確定降低風(fēng)險(xiǎn)的安全性設(shè)計(jì)要求和選擇使用保障策略類型；T/SZUAVIA

010—4) 確定風(fēng)險(xiǎn)是否降低到可接受水平。6.2 任務(wù)階段/工作方式產(chǎn)品飛行時(shí)，為了制定無(wú)人機(jī)操作和功能要求，將整個(gè)飛行過(guò)程分為六個(gè)飛行階段，如下文所述。//行/巡航階段和空中作業(yè)階段合并為航行階段。6.2.1 飛行計(jì)劃階段劃極端包括文件歸檔和實(shí)施飛行計(jì)劃。6.2.2 啟動(dòng)/地面移動(dòng)許可/指令等等。6.2.3起航階段這一階段始于根據(jù)飛行需求提供動(dòng)力。包括所有的通訊交換，爬升，直到到達(dá)初始航行平穩(wěn)。6.2.4 航行/巡航階段包括所有不屬于其他飛行階段的巡航飛行，爬升和下降，直到進(jìn)入空中作業(yè)或下降和到達(dá)階段。6.2.5 空中作業(yè)階段這一階段包括除了運(yùn)送飛機(jī)以外的任何飛行活動(dòng)。例如監(jiān)視、搜索和營(yíng)救、重復(fù)飛行模式等。6.2.6 下降/著陸階段始于從巡航高度下降或到達(dá)初始進(jìn)場(chǎng)點(diǎn)。6.3 產(chǎn)品失效狀態(tài)產(chǎn)品的故障或失效是多旋翼無(wú)人機(jī)系統(tǒng)一項(xiàng)主要的危險(xiǎn)源，對(duì)產(chǎn)品硬件的分析需要詳細(xì)?？蓞⒖几戒汚。6.4 影響等級(jí)及安全性目標(biāo)即安全性目標(biāo)。衡量風(fēng)險(xiǎn)，需要考慮的兩個(gè)變量是危害的嚴(yán)重程度以及相應(yīng)的嚴(yán)重程度的危害發(fā)生概率。6.4.1 失效狀態(tài)影響等級(jí)在判斷失效狀態(tài)的影響等級(jí)前，需要明確其影響的對(duì)象：a) 地面非相關(guān)人員

通管

ATC可以導(dǎo)致地面上一人或多人死亡的無(wú)人機(jī)可以導(dǎo)致無(wú)人機(jī)機(jī)組死亡或喪失行為能力

行動(dòng)造成以下情況的無(wú)人機(jī)失效狀態(tài)：與航空器，障礙物或地形發(fā)生撞擊；或飛行終止失控（如尾流顛無(wú)人機(jī)系統(tǒng)的失效狀態(tài)可以導(dǎo)致：失控或不按預(yù)期線路飛行；或不可控的地面撞擊；或在除了可以恢復(fù)的點(diǎn)以外的任意位會(huì)導(dǎo)致地面上的一人或多人重傷的無(wú)人機(jī)會(huì)導(dǎo)致無(wú)人機(jī)機(jī)組身體痛苦或工作壓力過(guò)大（如不能依靠飛行機(jī)組準(zhǔn)確完整的完成他們的任務(wù)）的無(wú)人

行動(dòng)造成以下情況的無(wú)人機(jī)失效狀態(tài)：距

RIOE的距離減少到標(biāo)準(zhǔn)距

會(huì)減弱無(wú)人機(jī)應(yīng)對(duì)不利的操作條件的能力到以下程度的無(wú)人機(jī)系統(tǒng)失效狀態(tài)：安全裕度或功能能力大幅度減弱；計(jì)劃外不可控的飛行終止；強(qiáng)制會(huì)導(dǎo)致地面上的一人或多人中等傷害的無(wú)會(huì)導(dǎo)致無(wú)人機(jī)機(jī)組身體不適或工作壓力明顯增加或削減無(wú)人機(jī)機(jī)組的效率和效果的情況的無(wú)人機(jī)失效狀

行動(dòng)造成以下情況的無(wú)人機(jī)失效狀態(tài)：距

RI會(huì)減弱無(wú)人機(jī)應(yīng)對(duì)不利的操作條件的能力到以下程度的無(wú)人機(jī)系統(tǒng)失效狀態(tài)：安全裕度或功能能力明顯T/SZUAVIA

010—b) 指與飛行操作無(wú)關(guān)的普通人。這一類的對(duì)象對(duì)于無(wú)人機(jī)操作、風(fēng)險(xiǎn)等相關(guān)知識(shí)都不了解。c) 無(wú)人機(jī)機(jī)組d) 的操作者、任務(wù)負(fù)載的分析員或技術(shù)專家。e) 空域用戶f) ATC

服務(wù)人員g) 負(fù)責(zé)航空交通管制的人員或系統(tǒng)。h) 統(tǒng)和相關(guān)設(shè)備。失效狀態(tài)根據(jù)其影響的嚴(yán)重程度可以劃分為：a) 響。b) 括在安全裕度或功能性能方面輕微降低，機(jī)組成員的工作負(fù)擔(dān)輕微增加。c)重大的：失效狀態(tài)會(huì)降低無(wú)人機(jī)性能或相關(guān)人員處理無(wú)人機(jī)不利飛行狀態(tài)的能力。d) 危險(xiǎn)的：失效狀態(tài)急劇降低無(wú)人機(jī)的性能，大幅度降低相關(guān)人員處理不利運(yùn)行狀態(tài)的能力。e) 災(zāi)難性的：妨礙無(wú)人機(jī)繼續(xù)安全飛行和著陸，將會(huì)導(dǎo)致多人死亡，通常會(huì)使無(wú)人機(jī)墜毀。具體的無(wú)人機(jī)失效狀態(tài)影響等級(jí)如表1所示：表1 無(wú)人機(jī)失效狀態(tài)影響等級(jí)OE）；

壓力明顯增加；飛行器間的距離減少到標(biāo)

減弱；計(jì)劃外不可控的飛行終止；強(qiáng)制按會(huì)導(dǎo)致地面上的一人或多人輕微傷害的無(wú)會(huì)導(dǎo)致無(wú)人機(jī)機(jī)組工作壓力略微增加的無(wú)

行動(dòng)造成以下情況的無(wú)人機(jī)失效狀態(tài)：距

RIOE）；

壓力中度增加；飛行器間的距離減少到標(biāo)

會(huì)導(dǎo)致以下情況的無(wú)人機(jī)系統(tǒng)失效狀態(tài)：安全裕度或功能能力輕微減弱；計(jì)劃外不可控的飛行終止；在合適位置非計(jì)劃性著對(duì)地面上的人的影響可忽略的無(wú)人機(jī)失效對(duì)無(wú)人機(jī)機(jī)組的工作壓力無(wú)明顯影響的無(wú)

行動(dòng)造成以下情況的無(wú)人機(jī)失效狀態(tài)：距

ODPE）；

壓力輕度增加；飛行器間的距離減少到標(biāo)

對(duì)安全性的影響可忽略的無(wú)人機(jī)系統(tǒng)失效T/SZUAVIA

010—6.4.2失效狀態(tài)的定性概率術(shù)語(yǔ)當(dāng)使用定性的分析來(lái)決定a)頻繁的指那些預(yù)見(jiàn)到在每架無(wú)人機(jī)的整個(gè)壽命期間會(huì)發(fā)生多次的失效狀態(tài)。b)可能的指那些預(yù)見(jiàn)到在每架無(wú)人機(jī)的整個(gè)壽命期間會(huì)發(fā)生一次的失效狀態(tài)。c)微小的運(yùn)行壽命則可能發(fā)生幾次。d) 極微小的的總的運(yùn)行壽命時(shí)則可能發(fā)生幾次。e) 極不可能的指在某型無(wú)人機(jī)的所有無(wú)人機(jī)的整個(gè)運(yùn)行周期不太可能發(fā)生。6.4.3 安全性目標(biāo)圖2為風(fēng)險(xiǎn)矩陣圖，該圖用于根據(jù)危險(xiǎn)影響等級(jí)和概率等級(jí)確定每個(gè)失效狀態(tài)的安全性目標(biāo)。危險(xiǎn)影響等級(jí)和概率等級(jí)之間存在著一種符合邏輯的可接受的反比關(guān)系：a) 無(wú)安全性影響的失效狀態(tài)無(wú)概率要求；

T/SZUAVIA

010—b)

要求輕微的失效狀態(tài)的發(fā)生概率等級(jí)不能超過(guò)可能的；c)

要求重大的失效狀態(tài)的發(fā)生概率等級(jí)不能超過(guò)微小的；d)

要求危險(xiǎn)的失效狀態(tài)的發(fā)生概率等級(jí)不能超過(guò)極微小的；e)

要求災(zāi)難的失效狀態(tài)的發(fā)生概率等級(jí)不能超過(guò)極不可能的。eq

\o\ac(○,注：) 表示高風(fēng)險(xiǎn)，△表示中等風(fēng)險(xiǎn)，□表示低風(fēng)險(xiǎn)圖eq

\o\ac(○,注：) 表示高風(fēng)險(xiǎn)，△表示中等風(fēng)險(xiǎn)，□表示低風(fēng)險(xiǎn)6.5 風(fēng)險(xiǎn)評(píng)價(jià)方法法包括功能危險(xiǎn)分析，故障樹(shù)分析，和故障模式、影響及危害性分析。6.5.1 功能危險(xiǎn)分析（FHA）類的過(guò)程，是無(wú)人機(jī)設(shè)計(jì)或改進(jìn)過(guò)程中安全性評(píng)估的第一步。該評(píng)估方法起始于無(wú)人機(jī)概念設(shè)計(jì)階段，并為后續(xù)研制提供設(shè)計(jì)需求和安全性需求的重要依據(jù)。FHA分析結(jié)果是下一步安全性評(píng)估流程（如PSSA和SSA）的必要輸入，也為后續(xù)系統(tǒng)、子系統(tǒng)設(shè)計(jì)構(gòu)架提出安全性設(shè)計(jì)需求，幫助確認(rèn)系統(tǒng)架構(gòu)的可接通常在兩個(gè)級(jí)別上進(jìn)行，分別為無(wú)人機(jī)級(jí)FHA和系統(tǒng)級(jí)FHA。FHA過(guò)程是一種自上而下識(shí)別功能失效狀態(tài)和評(píng)估其影響的方法，應(yīng)按照如下過(guò)程進(jìn)行評(píng)估工作：a) 確定與分析層次相關(guān)的所有功能；b) 確定并說(shuō)明與這些功能相關(guān)的失效狀態(tài)，考慮在正常和惡化環(huán)境下的單一和多重失效；c) 確定失效狀態(tài)的影響；d) 根據(jù)失效狀態(tài)對(duì)其進(jìn)行分類（災(zāi)難性的、危險(xiǎn)的、重大的、輕微的和沒(méi)有安全性影響的）；e) 給出用于證明失效狀態(tài)影響分類所要求的支撐材料；f) 提出用于驗(yàn)證失效狀態(tài)滿足安全性需求的符合性驗(yàn)證方法。6.5.2 故障樹(shù)分析（）目標(biāo)等定量指標(biāo)。FTA在安全性分析中的應(yīng)用步驟如下：a) 系統(tǒng)定義；T/SZUAVIA

010—b)

確定故障判據(jù)；c)

確定頂事件；d)

建造故障樹(shù)；e)

故障樹(shù)規(guī)范化、簡(jiǎn)化和模塊分解；f)

定性分析；g)

定量分析，確定各層級(jí)設(shè)備安全性目標(biāo)。6.5.3故障模式、影響及危害性分析（FMECA）利用FMECA方法，識(shí)別安全性分析中所有可能的故障模式、發(fā)現(xiàn)故障危險(xiǎn)源、分析可能產(chǎn)生安全性措施，以提高產(chǎn)品的安全性水平。FMECA在安全性分析中的應(yīng)用步驟如下：a) 系統(tǒng)定義，包括危險(xiǎn)嚴(yán)重性等級(jí)和風(fēng)險(xiǎn)指數(shù)分類的定義；b) 故障模式分析；c) 故障原因分析；d