T-SZUAVIA 010-2019 多旋翼無人機(jī)系統(tǒng)安全性分析規(guī)范

T/SZUAVIA

010— 前言

................................................................................

II1

..............................................................................

12

規(guī)范性引用文件

....................................................................

13

術(shù)語與定義及縮略語

................................................................

14

安全性分析步驟

....................................................................

25

危險識別

..........................................................................

36

風(fēng)險分析

..........................................................................

47

安全性設(shè)計(jì)

........................................................................

9附錄

A（資料性附錄） 整機(jī)級功能及其可能考慮的失效狀態(tài)...............................

11T/SZUAVIA

010—1 范圍和用戶的相關(guān)人員全面準(zhǔn)確地使用和實(shí)施多旋翼無人機(jī)系統(tǒng)安全性分析標(biāo)準(zhǔn)。本報(bào)準(zhǔn)執(zhí)行。2 規(guī)范性引用文件件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GJB/Z

99-97

系統(tǒng)安全工程手冊RTCA

and

Requirements

and

Safety

UnmannedAircraft

GJB/Z

768A-1998

故障樹分析指南GJB

900A-2012

裝備安全性工作通用要求GJB/Z

1391-2006

故障模式、影響及危害性分析指南SAE

ARP4761

民用機(jī)載系統(tǒng)和設(shè)備安全性評估過程的指南和方法（

forConducting

the

Safety

Assessment

Process

on

Airborne

Equipment）GJB

5433-2005

無人機(jī)系統(tǒng)通用要求3 術(shù)語與定義及縮略語3.1事故

造成人員傷亡、職業(yè)病、裝備損壞、財(cái)產(chǎn)損失或環(huán)境破壞的一個或一系列意外事件。3.2危險

可能導(dǎo)致事故的狀態(tài)。3.3安全性

safety產(chǎn)品具有的不導(dǎo)致人員傷亡、職業(yè)病、裝備損壞、財(cái)產(chǎn)損失或不危及人員健康和環(huán)境的能力。T/SZUAVIA

010—3.4危險嚴(yán)重性

hazard

severity某種危險可能引起的事故后果的嚴(yán)重程度。3.5航空交通管制

Controller（ATC）門及人員。4安全性分析步驟安全性分析可按下述步驟進(jìn)行（見圖1a)標(biāo)、觸發(fā)機(jī)制）；b)完成所需的操作會發(fā)生什么樣的故障或失效，以及潛在的各種危險是什么；c) 在危險源識別的基礎(chǔ)上，進(jìn)行危險機(jī)理分析，確定導(dǎo)致危險或事故發(fā)生的根本原因；危險識別風(fēng)

否

FTA險分

是

析及安全性設(shè)

計(jì)圖1 多旋翼無人機(jī)系統(tǒng)安全性分析步驟T/SZUAVIA

010—d) 進(jìn)行風(fēng)險分析，確定危險的嚴(yán)重等級及發(fā)生概率等級；e) 導(dǎo)安全性設(shè)計(jì)；f) 重復(fù)第

d-e

步，直到風(fēng)險降低到可接受水平；g)針對殘余風(fēng)險，建立使用安全保障體系。5 危險識別識別可能由無人機(jī)系統(tǒng)本身或外圍設(shè)備產(chǎn)生或由于人與無人機(jī)系統(tǒng)的相互干擾而產(chǎn)生的危險或危險狀態(tài)，使在進(jìn)行無人機(jī)系統(tǒng)設(shè)計(jì)，和進(jìn)行風(fēng)險評價時，便于危險分析。5.1 產(chǎn)品特性分析為了識別危險源，需要明確產(chǎn)品的具體特性，包括性能特性、使用特性以及危險三要素。5.1.1 性能特性明確產(chǎn)品的功能及組成，例如電驅(qū)的多旋翼無人機(jī)系統(tǒng)一般的組成及功能為：a)無人機(jī)機(jī)體：包括機(jī)身，機(jī)臂和腳架。用于支撐安裝產(chǎn)品的功能部件；b)動力系統(tǒng)：包括槳葉、電機(jī)和電調(diào)，以及電源或發(fā)動機(jī)。實(shí)現(xiàn)旋翼轉(zhuǎn)動，為產(chǎn)品提供升力；c)

態(tài)進(jìn)行調(diào)整，使得其能夠按照指令動作；d)通訊系統(tǒng)：包括信號發(fā)射器、地面基站。實(shí)現(xiàn)地面對無人機(jī)的遙控、控制；e)任務(wù)系統(tǒng)：包括實(shí)現(xiàn)無人機(jī)偵察、拍攝、植保、物流等任務(wù)的載荷系統(tǒng)。5.1.2 使用特性程，分析操作使用過程中人員及操作系統(tǒng)本身對無人機(jī)系統(tǒng)運(yùn)行的影響。5.1.3危險三要素a) 小。b) 的可能性。c)的范圍。5.2 危險源識別識別危險源時，應(yīng)從整套裝備的各個方面來進(jìn)行考慮：a) 設(shè)備方面：無人機(jī)、地面控制站。b)設(shè)備的使用環(huán)境：地形、氣候、電磁環(huán)境、障礙物等。c) 干涉而形成的危險。T/SZUAVIA

010—各項(xiàng)。5.2.1多旋翼無人機(jī)系統(tǒng)硬件失效或故障引起的危險a)

動力系統(tǒng)故障；b)

飛控系統(tǒng)故障；c)

通訊系統(tǒng)故障；d)

任務(wù)系統(tǒng)故障；5.2.2多旋翼無人機(jī)系統(tǒng)結(jié)構(gòu)件引起的危險無人機(jī)機(jī)架、機(jī)臂等結(jié)構(gòu)件發(fā)生變形、斷裂等故障，無人機(jī)槳葉滑脫飛射等。5.2.3 危險環(huán)境或條件a) 不利的導(dǎo)航環(huán)境；b) 不利的天氣或大氣條件；c) 外部威脅，如固定的障礙物，飛鳥撞擊，附近的其他飛行器等。5.2.4 干擾產(chǎn)生的危險電磁、射頻干擾：由于電磁干擾、射頻干擾，使無人機(jī)系統(tǒng)發(fā)生失控，造成危險或事故發(fā)生。5.2.5 人因差錯產(chǎn)生的危險a)

無人機(jī)飛手決定錯誤或判斷失誤；b)

在禁飛區(qū)內(nèi)操作；c)

異常/意外的控制輸入；d)

錯誤的操作/行為。5.3 危險機(jī)理分析分析事故發(fā)生的根本原因，為后續(xù)安全性設(shè)計(jì)提供基本依據(jù)。6 風(fēng)險分析全措施。6.1 風(fēng)險分析的要求a) 風(fēng)險分析應(yīng)由無人機(jī)及其系統(tǒng)的開發(fā)者或用戶在系統(tǒng)設(shè)計(jì)初期進(jìn)行。b) 當(dāng)系統(tǒng)設(shè)計(jì)定型，再完成最后的全面的風(fēng)險分析并保留文件。c) 風(fēng)險分析的步驟：1)確定系統(tǒng)危險源和任務(wù)階段；2) 進(jìn)行風(fēng)險評價；3) 確定降低風(fēng)險的安全性設(shè)計(jì)要求和選擇使用保障策略類型；T/SZUAVIA

010—4) 確定風(fēng)險是否降低到可接受水平。6.2 任務(wù)階段/工作方式產(chǎn)品飛行時，為了制定無人機(jī)操作和功能要求，將整個飛行過程分為六個飛行階段，如下文所述。//行/巡航階段和空中作業(yè)階段合并為航行階段。6.2.1 飛行計(jì)劃階段劃極端包括文件歸檔和實(shí)施飛行計(jì)劃。6.2.2 啟動/地面移動許可/指令等等。6.2.3起航階段這一階段始于根據(jù)飛行需求提供動力。包括所有的通訊交換，爬升，直到到達(dá)初始航行平穩(wěn)。6.2.4 航行/巡航階段包括所有不屬于其他飛行階段的巡航飛行，爬升和下降，直到進(jìn)入空中作業(yè)或下降和到達(dá)階段。6.2.5 空中作業(yè)階段這一階段包括除了運(yùn)送飛機(jī)以外的任何飛行活動。例如監(jiān)視、搜索和營救、重復(fù)飛行模式等。6.2.6 下降/著陸階段始于從巡航高度下降或到達(dá)初始進(jìn)場點(diǎn)。6.3 產(chǎn)品失效狀態(tài)產(chǎn)品的故障或失效是多旋翼無人機(jī)系統(tǒng)一項(xiàng)主要的危險源，對產(chǎn)品硬件的分析需要詳細(xì)?？蓞⒖几戒汚。6.4 影響等級及安全性目標(biāo)即安全性目標(biāo)。衡量風(fēng)險，需要考慮的兩個變量是危害的嚴(yán)重程度以及相應(yīng)的嚴(yán)重程度的危害發(fā)生概率。6.4.1 失效狀態(tài)影響等級在判斷失效狀態(tài)的影響等級前，需要明確其影響的對象：a) 地面非相關(guān)人員

通管

ATC可以導(dǎo)致地面上一人或多人死亡的無人機(jī)可以導(dǎo)致無人機(jī)機(jī)組死亡或喪失行為能力

行動造成以下情況的無人機(jī)失效狀態(tài)：與航空器，障礙物或地形發(fā)生撞擊；或飛行終止失控（如尾流顛無人機(jī)系統(tǒng)的失效狀態(tài)可以導(dǎo)致：失控或不按預(yù)期線路飛行；或不可控的地面撞擊；或在除了可以恢復(fù)的點(diǎn)以外的任意位會導(dǎo)致地面上的一人或多人重傷的無人機(jī)會導(dǎo)致無人機(jī)機(jī)組身體痛苦或工作壓力過大（如不能依靠飛行機(jī)組準(zhǔn)確完整的完成他們的任務(wù)）的無人

行動造成以下情況的無人機(jī)失效狀態(tài)：距

RIOE的距離減少到標(biāo)準(zhǔn)距

會減弱無人機(jī)應(yīng)對不利的操作條件的能力到以下程度的無人機(jī)系統(tǒng)失效狀態(tài)：安全裕度或功能能力大幅度減弱；計(jì)劃外不可控的飛行終止；強(qiáng)制會導(dǎo)致地面上的一人或多人中等傷害的無會導(dǎo)致無人機(jī)機(jī)組身體不適或工作壓力明顯增加或削減無人機(jī)機(jī)組的效率和效果的情況的無人機(jī)失效狀

行動造成以下情況的無人機(jī)失效狀態(tài)：距

RI會減弱無人機(jī)應(yīng)對不利的操作條件的能力到以下程度的無人機(jī)系統(tǒng)失效狀態(tài)：安全裕度或功能能力明顯T/SZUAVIA

010—b) 指與飛行操作無關(guān)的普通人。這一類的對象對于無人機(jī)操作、風(fēng)險等相關(guān)知識都不了解。c) 無人機(jī)機(jī)組d) 的操作者、任務(wù)負(fù)載的分析員或技術(shù)專家。e) 空域用戶f) ATC

服務(wù)人員g) 負(fù)責(zé)航空交通管制的人員或系統(tǒng)。h) 統(tǒng)和相關(guān)設(shè)備。失效狀態(tài)根據(jù)其影響的嚴(yán)重程度可以劃分為：a) 響。b) 括在安全裕度或功能性能方面輕微降低，機(jī)組成員的工作負(fù)擔(dān)輕微增加。c)重大的：失效狀態(tài)會降低無人機(jī)性能或相關(guān)人員處理無人機(jī)不利飛行狀態(tài)的能力。d) 危險的：失效狀態(tài)急劇降低無人機(jī)的性能，大幅度降低相關(guān)人員處理不利運(yùn)行狀態(tài)的能力。e) 災(zāi)難性的：妨礙無人機(jī)繼續(xù)安全飛行和著陸，將會導(dǎo)致多人死亡，通常會使無人機(jī)墜毀。具體的無人機(jī)失效狀態(tài)影響等級如表1所示：表1 無人機(jī)失效狀態(tài)影響等級OE）；

壓力明顯增加；飛行器間的距離減少到標(biāo)

減弱；計(jì)劃外不可控的飛行終止；強(qiáng)制按會導(dǎo)致地面上的一人或多人輕微傷害的無會導(dǎo)致無人機(jī)機(jī)組工作壓力略微增加的無

行動造成以下情況的無人機(jī)失效狀態(tài)：距

RIOE）；

壓力中度增加；飛行器間的距離減少到標(biāo)

會導(dǎo)致以下情況的無人機(jī)系統(tǒng)失效狀態(tài)：安全裕度或功能能力輕微減弱；計(jì)劃外不可控的飛行終止；在合適位置非計(jì)劃性著對地面上的人的影響可忽略的無人機(jī)失效對無人機(jī)機(jī)組的工作壓力無明顯影響的無

行動造成以下情況的無人機(jī)失效狀態(tài)：距

ODPE）；

壓力輕度增加；飛行器間的距離減少到標(biāo)

對安全性的影響可忽略的無人機(jī)系統(tǒng)失效T/SZUAVIA

010—6.4.2失效狀態(tài)的定性概率術(shù)語當(dāng)使用定性的分析來決定a)頻繁的指那些預(yù)見到在每架無人機(jī)的整個壽命期間會發(fā)生多次的失效狀態(tài)。b)可能的指那些預(yù)見到在每架無人機(jī)的整個壽命期間會發(fā)生一次的失效狀態(tài)。c)微小的運(yùn)行壽命則可能發(fā)生幾次。d) 極微小的的總的運(yùn)行壽命時則可能發(fā)生幾次。e) 極不可能的指在某型無人機(jī)的所有無人機(jī)的整個運(yùn)行周期不太可能發(fā)生。6.4.3 安全性目標(biāo)圖2為風(fēng)險矩陣圖，該圖用于根據(jù)危險影響等級和概率等級確定每個失效狀態(tài)的安全性目標(biāo)。危險影響等級和概率等級之間存在著一種符合邏輯的可接受的反比關(guān)系：a) 無安全性影響的失效狀態(tài)無概率要求；

T/SZUAVIA

010—b)

要求輕微的失效狀態(tài)的發(fā)生概率等級不能超過可能的；c)

要求重大的失效狀態(tài)的發(fā)生概率等級不能超過微小的；d)

要求危險的失效狀態(tài)的發(fā)生概率等級不能超過極微小的；e)

要求災(zāi)難的失效狀態(tài)的發(fā)生概率等級不能超過極不可能的。eq

\o\ac(○,注：) 表示高風(fēng)險，△表示中等風(fēng)險，□表示低風(fēng)險圖eq

\o\ac(○,注：) 表示高風(fēng)險，△表示中等風(fēng)險，□表示低風(fēng)險6.5 風(fēng)險評價方法法包括功能危險分析，故障樹分析，和故障模式、影響及危害性分析。6.5.1 功能危險分析（FHA）類的過程，是無人機(jī)設(shè)計(jì)或改進(jìn)過程中安全性評估的第一步。該評估方法起始于無人機(jī)概念設(shè)計(jì)階段，并為后續(xù)研制提供設(shè)計(jì)需求和安全性需求的重要依據(jù)。FHA分析結(jié)果是下一步安全性評估流程（如PSSA和SSA）的必要輸入，也為后續(xù)系統(tǒng)、子系統(tǒng)設(shè)計(jì)構(gòu)架提出安全性設(shè)計(jì)需求，幫助確認(rèn)系統(tǒng)架構(gòu)的可接通常在兩個級別上進(jìn)行，分別為無人機(jī)級FHA和系統(tǒng)級FHA。FHA過程是一種自上而下識別功能失效狀態(tài)和評估其影響的方法，應(yīng)按照如下過程進(jìn)行評估工作：a) 確定與分析層次相關(guān)的所有功能；b) 確定并說明與這些功能相關(guān)的失效狀態(tài)，考慮在正常和惡化環(huán)境下的單一和多重失效；c) 確定失效狀態(tài)的影響；d) 根據(jù)失效狀態(tài)對其進(jìn)行分類（災(zāi)難性的、危險的、重大的、輕微的和沒有安全性影響的）；e) 給出用于證明失效狀態(tài)影響分類所要求的支撐材料；f) 提出用于驗(yàn)證失效狀態(tài)滿足安全性需求的符合性驗(yàn)證方法。6.5.2 故障樹分析（）目標(biāo)等定量指標(biāo)。FTA在安全性分析中的應(yīng)用步驟如下：a) 系統(tǒng)定義；T/SZUAVIA

010—b)

確定故障判據(jù)；c)

確定頂事件；d)

建造故障樹；e)

故障樹規(guī)范化、簡化和模塊分解；f)

定性分析；g)

定量分析，確定各層級設(shè)備安全性目標(biāo)。6.5.3故障模式、影響及危害性分析（FMECA）利用FMECA方法，識別安全性分析中所有可能的故障模式、發(fā)現(xiàn)故障危險源、分析可能產(chǎn)生安全性措施，以提高產(chǎn)品的安全性水平。FMECA在安全性分析中的應(yīng)用步驟如下：a) 系統(tǒng)定義，包括危險嚴(yán)重性等級和風(fēng)險指數(shù)分類的定義；b) 故障模式分析；c) 故障原因分析；d