基于模型的復雜系統(tǒng)安全性和可靠性分析技術發(fā)展綜述

聲明：轉自裝備質量，來源航空學報，知識產權歸原作者，僅供學習交流。若有侵權，聯(lián)系刪除。

作者：胡曉義^[1], 王如平^[2]，王鑫^[2]，付永濤^[1]

[1]中國航空工業(yè)成都飛機設計研究所   [2]中國航空綜合技術研究所

高安全性、高可靠性一直是航空裝備研制所追求的重要目標，經過多年的發(fā)展，航空裝備的安全性、可靠性工作體系已經基本趨于成熟。以故障模式及影響分析(FMEA)、故障樹分析(FTA)、可靠性框圖(RBD)為代表的常規(guī)系統(tǒng)安全性、可靠性分析技術，已在工程實踐中得到了廣泛的應用。但是，隨著裝備向綜合集成化、智能化、網絡化、軟件密集化發(fā)展，裝備各層級系統(tǒng)的設計復雜程度大幅提高，系統(tǒng)安全性、可靠性分析工作面臨著較大的挑戰(zhàn)：① 傳統(tǒng)的系統(tǒng)安全性、可靠性分析手段主觀性較強，分析結果的準確性高度依賴工程師的自身水平，對于同一系統(tǒng)，由于知識以及思考方式的差異，不同的工程師建立的安全性、可靠性模型可能差別非常大；② 針對具有動態(tài)重構特性、故障時序相關、邏輯相關的復雜系統(tǒng)，通過人工推理分析系統(tǒng)的故障邏輯關系已經變得不太現實，即便可以分析，其全面性和準確性也難以保證；③ 系統(tǒng)安全性、可靠性與功能性能的協(xié)同設計變得越來越困難。在基于文檔的設計模式下，系統(tǒng)可靠性分析的輸入通常是系統(tǒng)設計方案等資料信息，由于文本表述天然存在的模糊性、二義性，實際上無法保證分析人員能夠準確地理解系統(tǒng)設計原理，從而造成安全性、可靠性分析的輸入與產品的實際狀態(tài)不一致。尤其對于復雜系統(tǒng)，其安全性、可靠性分析與系統(tǒng)功能、性能設計之間的溝壑有進一步加劇的趨勢。

基于模型的安全性分析(MBSA)、可靠性分析(MBRA)方法被認為是解決以上問題的有效手段和途徑。與直接通過人工演繹建立可靠性框圖模型、故障樹模型等模型不同，基于模型的安全性、可靠性分析強調的是建立一個系統(tǒng)功能與可靠性的綜合模型，該模型需要在定義系統(tǒng)正常行為的同時，同步描述系統(tǒng)的故障行為，從而可以使用自動化、半自動化方式導出FTA、可靠性框圖等模型，或者可以通過故障注入、仿真等手段執(zhí)行安全性、可靠性分析。基于模型的安全性、可靠性分析保證了分析源頭的準確性和規(guī)范性，同時可以通過自動化仿真等方法完成復雜系統(tǒng)的分析，一定程度上減輕了工程師的負擔[1]。

近幾年來，基于模型的系統(tǒng)工程(Model-Based System Engineering,MBSE)技術正在成為一種公認的復雜系統(tǒng)數字化設計范式。與傳統(tǒng)系統(tǒng)工程方法相比，MBSE重點強調了以模型(例如SysML模型)傳遞需求、以模型驅動設計以及將規(guī)范化的模型作為系統(tǒng)協(xié)同設計的載體[2-5]。MBSE技術的不斷發(fā)展，尤其是系統(tǒng)建模方法的不斷規(guī)范化、統(tǒng)一化，為基于模型的安全性、可靠性設計的進一步發(fā)展提供了有利的契機。將基于模型的系統(tǒng)安全性、可靠性設計與MBSE研制流程進行融合和集成，是目前模型驅動的設計領域所關注的一項新的課題，也是未來基于模型的安全性、可靠性設計的重點發(fā)展方向。

本文首先對基于模型的安全性、可靠性分析方法進行總結和介紹，重點介紹了該領域內2類主要的建模分析思路：基于系統(tǒng)結構模型的安全性、可靠性分析方法、基于系統(tǒng)行為模型的安全性、可靠性分析方法；其次，結合近年來MBSE技術的發(fā)展，介紹系統(tǒng)安全性、可靠性設計與MBSE的集成技術的發(fā)展現狀；最后，對目前該技術方向存在的問題和進一步發(fā)展方向進行了闡述。

1 基于模型的系統(tǒng)安全性和可靠性分析技術

國外很早就在開展基于模型的系統(tǒng)安全性分析技術的研究，并逐步發(fā)展形成了各種成熟的軟件產品。歐盟一直在基于模型的復雜系統(tǒng)安全性分析技術領域進行持續(xù)投資，通過贊助“復雜系統(tǒng)增強安全性評估(ESACS)”等項目，為航空領域的研究機構和先進企業(yè)建立合作平臺，形成了基于模型的安全性評估方法論和軟件工具平臺，并推動該技術的推廣和應用[6]；達索公司、空客公司等先進飛機制造商與波爾多大學等研究機構合作開發(fā)了Altarica形式化驗證語言，用于復雜系統(tǒng)的安全性分析，在該語言基礎上形成了了SIMFIA、Cecillia OCAS等多款安全性分析軟件工具[7]；目前，以AltaRica為代表的MBSA技術已經在波音、空客、達索航空、EADS、泰利斯航電公司、霍尼韋爾等公司多個飛機型號的關鍵系統(tǒng)中進行了廣泛的應用[8-10]。

系統(tǒng)安全性工作的核心是各種危險的識別、分析與設計控制，從理論上講，“基于模型的安全性分析”應能支持系統(tǒng)全面分析由于裝備自身功能硬件失效、人為差錯以及雷擊、鳥撞等意外事件造成的各類危險。但從目前文獻看，“基于模型的安全性分析技術”所考慮的系統(tǒng)危險類型是有限的，其主要考慮的是由于“系統(tǒng)功能硬件失效”導致的相關危險[1]，輸入的基礎模型主要是：描述系統(tǒng)邏輯、結構與行為的 “系統(tǒng)功能模型”。

在考慮功能失效的前提下，系統(tǒng)安全性分析、可靠性分析工作可以很方便地整合在一起。二者的差異主要在于考慮的功能失效模式不同，安全性考慮導致裝備和人員損失的功能失效模式，而可靠性關注導致裝備不能完成任務或非計劃維修的功能故障模式，但是所采用的技術手段和方法基本是一致的，都是采用FMEA、FTA、動態(tài)仿真等方法進行定性分析和定量預計，如圖1所示，以進一步識別底層故障模式，提出設計保證措施或評估系統(tǒng)的安全性、可靠性水平。

基于模型的系統(tǒng)安全性、可靠性分析主要解決幾個關鍵技術問題：

圖1 考慮功能失效的系統(tǒng)安全性、可靠性分析整合

1) 要建立一個能涵蓋系統(tǒng)正常與故障行為的綜合模型，能在功能模型的基礎上自動分析系統(tǒng)的故障傳播路徑，模型要能與傳統(tǒng)的安全性、可靠性分析技術兼容，能夠導出FMEA、FTA等傳統(tǒng)的安全性、可靠性分析模型。

2) 系統(tǒng)的故障行為模型不僅能對串聯(lián)、并聯(lián)、混聯(lián)等簡單的余度系統(tǒng)進行描述，而且能夠對復雜系統(tǒng)中所存在的動態(tài)重構行為、時序相關故障、邏輯相關故障、多狀態(tài)故障等典型特征進行描述。

3) 要能支持安全性、可靠性定性、定量需求的驗證。對于復雜系統(tǒng)而言，僅采用FMEA、FTA進行分析通常是不夠充分的，經常需要借助仿真手段以確認系統(tǒng)設計能否滿足安全性、可靠性要求。實現自動化需求驗證的前提是建立一套建模仿真機制，能將安全性、可靠性需求轉化為特定的邏輯描述，同時能通過事件序列搜索或其他枚舉機制證實需求的正確性或找出反例。

盡管目前國內外文獻中存在多種“基于模型的安全性、可靠性分析方法”，但是其所依賴的核心基礎模型都是“廣義的”系統(tǒng)功能模型，包括描述系統(tǒng)功能結構、狀態(tài)行為、性能參數關系的各種類別的模型。

根據所依賴的系統(tǒng)功能模型的類型不同，基于模型的系統(tǒng)安全性、可靠性分析技術主要有2種分支，一種是較早發(fā)展的基于系統(tǒng)結構模型的安全性、可靠性分析技術，主要以系統(tǒng)的功能流、數據流為基礎構建系統(tǒng)綜合模型開展安全性、可靠性分析，此類模型一般是靜態(tài)的；另外一種是基于系統(tǒng)行為模型的安全性、可靠性分析技術，主要以系統(tǒng)的離散狀態(tài)行為、連續(xù)行為模型為基礎開展安全性、可靠性分析，此類模型一般是動態(tài)的。

1.1 基于系統(tǒng)結構模型的安全性和可靠性分析

基于系統(tǒng)結構模型的安全性和可靠性分析，主要是以系統(tǒng)的組成結構和功能分配結果為對象，建立描述系統(tǒng)功能關系的形式化模型；在此基礎上，定義局部單元的故障邏輯，從而建立系統(tǒng)的故障傳播模型。隨后，根據系統(tǒng)的故障傳播模型導出FMEA分析結果或FTA模型，基本流程如圖2所示。因此，本技術方向研究的問題多數集中于如何建立系統(tǒng)結構模型、故障傳播模型，以及如何能根據模型自動生成FTA、FMEA輸出物。

圖2 基于系統(tǒng)結構模型的安全性和可靠性分析

分層執(zhí)行的危險源與傳播分析(HIP-HOPS)方法是一種典型的基于系統(tǒng)結構建模的可靠性分析方法，主要在Simulink建立的系統(tǒng)模型基礎上，通過研究每個部件從輸入失效、內部失效到輸出失效的邏輯關系，進而獲得系統(tǒng)輸出失效的所有傳播路徑。HIP-HOPS針對傳統(tǒng)FMEA僅能識別單點失效的缺陷引入了能夠表示組合失效的IF-FMEA表。HIP-HOPS具有專門的分析工具SAM分析工具。SAM工具包含模型自動分析算法和故障樹自動生成算法，能在對系統(tǒng)模型完成失效建模后運行生成故障樹，然后進行最小割集計算[11]。文獻[12]研究了一種基于架構分析與設計語言模型(Architecture Analysis and Design Language，AADL)的FTA自動生成算法，主要利用AADL建立的物理架構模型和錯誤模型附件，通過對AADL模型進行遞歸解析和提取，生成靜態(tài)故障樹，進行可靠性分析。文獻[13]研究了一種基于模糊認知圖(FCM)的自動FMEA生成方法，該方法的核心是對功能FMEA、硬件FMEA相關的故障模式、失效、故障機理、故障原因等各因素進行了模型化的抽象，從而能借助系統(tǒng)功能模型，建立一個由最底層硬件故障模式到最高層系統(tǒng)功能失效模式的映射關系，然后可以通過故障仿真生成詳細的FMEA表格。基于系統(tǒng)結構模型的安全性、可靠性分析方法的優(yōu)點在于：實現了系統(tǒng)功能流傳遞與故障傳播的結合，能夠方便地導出FMEA、FTA等層次化故障分析模型。但缺點在于該方法一般只適用于對功能結構不變的靜態(tài)系統(tǒng)進行分析，不適用于有動態(tài)行為的復雜系統(tǒng)分析；此類模型中一般不涉及系統(tǒng)的容錯算法和控制邏輯，也不能支持自動化的仿真驗證。

1.2 基于系統(tǒng)行為模型的安全性、可靠性分析

對于要考慮故障相關動態(tài)行為的復雜系統(tǒng)，國內外一直在持續(xù)研究其建模和分析方法，典型方法包括：動態(tài)故障樹、隨機Petri網、馬爾科夫模型、狀態(tài)機模型等[14-17]。但這些建模方法一般比較復雜，與系統(tǒng)設計的關聯(lián)度也不高，同時作為一種高度抽象化的方法，很難形成統(tǒng)一的建模標準，因此其應用范圍受到了制約。隨著系統(tǒng)動態(tài)行為建模手段的不斷完善，目前主要的技術發(fā)展趨勢是建立一個同時包含系統(tǒng)正常動態(tài)行為和異常動態(tài)行為的綜合模型，采用形式化驗證或故障注入仿真的方法進行安全性、可靠性分析。該技術的實現過程是：① 建立系統(tǒng)正常的行為模型，描述系統(tǒng)在輸入正常、自身狀態(tài)正常的條件下，應完成的正常功能行為。對于不同類型的系統(tǒng)，系統(tǒng)行為模型的構建方法是不同的。對于離散的系統(tǒng)，一般采用類似狀態(tài)機模型描述系統(tǒng)的動態(tài)行為；對于連續(xù)系統(tǒng)，常采用性能建模方法描述系統(tǒng)的連續(xù)行為；② 在正常系統(tǒng)行為模型上定義故障行為，刻畫系統(tǒng)的故障激發(fā)和狀態(tài)變遷行為；③ 確定待驗證的需求。指定需要分析和驗證的安全性、可靠性定性、定量要求；④ 實施仿真分析。在對安全性、可靠性需求進行嚴格定義的條件下，可通過自動化仿真手段對組件故障時系統(tǒng)的響應進行模擬仿真，同時輸出不滿足需求的狀態(tài)和條件，基本流程如圖3所示。能對系統(tǒng)的各種安全性、可靠性需求(例如系統(tǒng)容錯能力等定性要求)進行窮舉式的驗證，是該技術具備的一項重要優(yōu)勢。

圖3 基于系統(tǒng)行為模型的安全性和可靠性分析

將“模型檢測”等形式化驗證方法應用于安全性、可靠性分析，是本項技術發(fā)展的重要分支。所謂模型檢測，主要是根據需求對系統(tǒng)定義必要的安全性、可靠性屬性和輸出觀測變量，然后利用形式化驗證器直接進行自動化分析，搜索可能存在的反例(即當處于系統(tǒng)某種輸入狀態(tài)時，安全性、可靠性需求不滿足)，并列舉反例的輸入狀態(tài)，從而實現對系統(tǒng)安全性、可靠性需求進行驗證的目的[18]。FSAP/NuSMV-SA是歐盟ESACS項目所開發(fā)的形式化驗證平臺，包括圖形用戶界面(FSAP)和基于NuSMV模型檢驗器的引擎(NuSMV-SA)。NuSMV模型檢驗引擎為系統(tǒng)仿真和模型檢驗(如屬性驗證和反例生成)提供支持，是實現安全性需求形式化驗證的核心。NuSMV主要通過模塊和過程的聲明和實例化機制來描述有限狀態(tài)機，并用CTL和LTL表達需求。目前，FSAP / NuSMV-SA的主要功能，如圖4所示，包括：① 建立一個正常的系統(tǒng)功能與行為綜合模型；② 基于預定義的故障模式庫在功能模型上進行故障自動注入；③ 以時態(tài)邏輯公式的形式定義安全性需求；④ 執(zhí)行模型仿真，包括自動生成系統(tǒng)故障樹；設定仿真或隨機模擬；生成反例路徑和故障排序[19-20]。

圖4 FSAP/NuSMV-SA形式化驗證過程

早期國內外研究的基于模型的系統(tǒng)安全性、可靠性分析技術，主要解決的是：如何將可靠性模型與系統(tǒng)的結構模型、行為模型進行整合，實現安全性、可靠性與性能的一體化分析，提高分析能力和效率。但由于受技術發(fā)展的限制，早期系統(tǒng)建模技術發(fā)展并不成熟，系統(tǒng)建模語言、建模方法規(guī)范化程度也不夠，因此該技術發(fā)展出了許多個分支，這些不同分支所依賴的系統(tǒng)功能模型各不相同，很多系統(tǒng)功能模型本身并不被系統(tǒng)設計所采用，在一定程度上阻礙了該技術的進一步深化應用。

相對于嚴格的形式化驗證技術，該技術方向的另外一種思路是：直接利用系統(tǒng)設計建立的仿真模型，通過進行故障建模和定義，同步實施安全性、可靠性仿真分析和評估。與形式化驗證相區(qū)別，這種技術途徑不需要掌握很復雜的形式化建模語言，只需掌握本領域內的設計建模語言即可，因此比較適用于熟悉本領域系統(tǒng)建模語言(如Modelica、SysML、AADL語言等)的設計人員使用[22]。

德國宇航中心研究了一種基于Modelica的系統(tǒng)可靠性和安全性仿真分析方法，在Modelica環(huán)境下開發(fā)電網架構設計優(yōu)化工具(Electrical Network Architecture Design Optimisation Tool，ENADOT)，可在開展系統(tǒng)性能仿真分析的同時，利用故障仿真建模進行最小路徑、最小割集的分析以及安全性、可靠性的評估[23]。

美國國家航空航天局(NASA)的DARPA實驗室在月球探測器電子系統(tǒng)開發(fā)過程中，建立了系統(tǒng)的Simulink仿真模型，同時采用故障建模和仿真的手段進行故障響應的測試，最后可將故障模型轉化為馬爾科夫模型進行可靠性評估[24]。

北京航空航天大學提出了一種基于AADL系統(tǒng)體系結構模型的可靠性建模方法，設計出一套轉換規(guī)則，可對AADL體系結構模型的軟硬件構件進行模型轉換，實現從AADL系統(tǒng)體系結構可靠性模型到系統(tǒng)體系結構廣義隨機Petri網的轉換[25]。

基于系統(tǒng)行為模型的安全性、可靠性分析方法的優(yōu)點在于：可以直接利用系統(tǒng)設計過程中建立的狀態(tài)機模型、性能模型等仿真模型，進行嚴格的安全性、可靠性形式化驗證；可以方便對復雜系統(tǒng)的各種動態(tài)行為和算法邏輯進行描述，非常適用于具有高安全和高可靠要求的復雜系統(tǒng)的分析。缺點在于：對系統(tǒng)功能模型的要求較高，建模時需要在模型的完整性與建模效率之間進行平衡；對于復雜系統(tǒng)，狀態(tài)空間爆炸和仿真效率低下等問題經常難以避免；同時由于系統(tǒng)行為模型通常缺乏層次性，因此很難直接以行為模型為基礎生成符合要求的FMEA表格或FTA模型。

1.3 兩種方法的綜合

基于系統(tǒng)架構模型的安全性、可靠性分析技術對系統(tǒng)模型的要求不高，建模方式相對簡便，但不能對復雜系統(tǒng)行為進行分析；基于系統(tǒng)行為模型的安全性、可靠性分析技術能借助系統(tǒng)模型快速進行需求驗證，但對系統(tǒng)設計模型的要求較高，建模工作量大。已有相關學者關注到將這2種建模方法進行整合的問題，文獻[26]提出了一種按照系統(tǒng)的設計過程將2種方法進行整合的思路——結構和行為安全性、可靠性分析的集成應用(IACOB)，應用流程如圖5所示。在系統(tǒng)設計早期，針對系統(tǒng)的結構模型,采用基于結構模型的可靠性分析方法，開展FMEA、FTA分析，對系統(tǒng)的架構設計進行完善；在后期采用基于行為的可靠性分析方法，以FMEA分析結果為基礎，建立系統(tǒng)的狀態(tài)機模型，對安全性、可靠性需求進行驗證。

圖5 IACOB安全性和可靠性分析流程

目前國外成熟的軟件工具，如SIMFIA、Made等軟件均支持2種形式的建模，分析人員可根據系統(tǒng)的特點選擇合適的方法。

2 MBSE與系統(tǒng)安全性和可靠性分析的集成技術

基于模型的系統(tǒng)工程的實施重點是在不同的場景條件下進行需求分析、功能分析，采用模型的形式來描述、分析和檢驗系統(tǒng)在各種任務或運行場景下的活動內容、狀態(tài)特性、交互信息，并生成與之匹配的功能需求、功能接口、測試場景和邏輯架構，從而實現快速響應需求變化，并及時指導后期詳細設計、實現、綜合和驗證過程的目的。目前主流的MBSE方法論包括：Harmony系統(tǒng)工程方法、面向對象的系統(tǒng)工程方法、狀態(tài)分析法等。建模語言采用對象管理組織(OMG)提出的SysML語言[27-28]，SysML語言采用的模型元素如圖6所示。

MBSE技術的發(fā)展為更好地實施系統(tǒng)安全性、可靠性分析提供了有利的條件，一方面MBSE提供了一套較為嚴格的技術過程，可以方便地將安全性、可靠性分析活動與技術過程進行融合，增強安全性、可靠性分析的目的性；另一方面，MBSE可以提供一個統(tǒng)一的設計數據源頭，為基于模型的安全性、可靠性分析提供規(guī)范化的模型輸入，解決前端系統(tǒng)功能模型輸入混亂的問題，保證安全性、可靠性分析與功能性能設計的同源。

2.1 基于模型的系統(tǒng)工程技術

根據國際系統(tǒng)工程學會INCOSE《系統(tǒng)工程2020年愿景》中對MBSE的定義，MBSE是對系統(tǒng)工程活動中建模方法應用的正式認同，它以建模方法支持系統(tǒng)要求、設計、分析、驗證和確認等活動，這些活動從概念性設計階段開始，持續(xù)貫穿到設計開發(fā)以及后來的所有壽命周期階段。

Altarica是另外一種目前比較流行的、廣泛應用于系統(tǒng)安全性、可靠性分析的建模語言。與NuSMV模型構造基本一致，也是采用狀態(tài)、事件、輸入流、輸出流、狀態(tài)轉化、斷言等基本建模元素，對系統(tǒng)的正常行為和故障行為進行綜合建模，從而支持形式化的分析。由于得到了歐洲工業(yè)界和軟件廠商的廣泛支持，Altarica語言目前基本已經成為系統(tǒng)安全性、可靠性分析采用的標準語言[21]。

圖6 SysML模型組成

MBSE在系統(tǒng)設計技術過程上與傳統(tǒng)系統(tǒng)工程并無區(qū)別，重點在于強調使用模型支持系統(tǒng)工程各技術活動，以減少需求傳遞的誤差，促進多專業(yè)協(xié)同設計與知識復用[2]。主要的技術過程包括：

利益相關方需求分析：從使用角度建立系統(tǒng)的使用場景模型，分析系統(tǒng)的任務場景及能力需求，輸出規(guī)格化的系統(tǒng)利益相關方需求。

系統(tǒng)需求定義：從技術要求的角度，建立系統(tǒng)的用例模型，識別系統(tǒng)的功能、上下文執(zhí)行環(huán)境及外部接口信息，輸出可設計的系統(tǒng)需求。

邏輯架構定義：主要利用活動圖、時序圖、塊圖等將功能性需求分解為邏輯單元，從而建立系統(tǒng)的功能邏輯架構。

 設計綜合：將邏輯單元定義的功能分配到具體的物理單元上，這些物理單元可能包括硬件、軟件、數據與人工操作過程等，其主要輸出為系統(tǒng)的物理架構。物理架構建模所需元素與邏輯架構建?；疽恢?。

2.2  MBSE與系統(tǒng)安全性、可靠性分析的集成

在該研究方向上，目前總體的思路是以MBSE設計過程為牽引，利用模型集成、映射等方式實現系統(tǒng)功能與安全性、可靠性的一體化設計。技術問題主要聚焦于2個方面：① 如何設計一套合理的流程，將安全性、可靠性設計活動嵌入到MBSE技術過程；② 如何解決不同模型的接口問題，例如如何將SysML建立的系統(tǒng)功能、架構模型中的模型元素映射到可靠性分析所需要的模型中。

法國PRISME實驗室提出了一種可以與目前主流的MBSE設計流程集成的系統(tǒng)可靠性、安全性分析流程和方法——系統(tǒng)工程中集成可靠性分析的方法 (MeDISIS)[29-30]。MeDISIS實施流程如圖7所示。在需求定義階段，采用初步危險分析方法確定系統(tǒng)功能失效狀態(tài)；在功能分析過程中，使用功能FMEA方法進一步衍生出設計要求；在設計綜合階段，開展組件FMEA、性能可靠性分析及故障注入驗證等工作，對系統(tǒng)架構進行持續(xù)評估和設計完善。

該方法的主要特點是建立了一套相對完整的MBSE與系統(tǒng)可靠性分析的整合思路，研究了SysML系統(tǒng)設計模型與Altarica模型、AADL模型、Simulink模型等多種仿真模型之間的元素映射關系，同時構建了一個系統(tǒng)的非正常行為數據庫DBD，作為一個共享的、可重用的、與具體模型無關的基礎數據庫，用于支持各個階段開展故障建模和故障仿真。

巴黎理工大學的Mhenni等[31-32]針對機電系統(tǒng)的安全性分析，提出了一種系統(tǒng)安全性與系統(tǒng)工程過程的集成方法SafeSysE，如圖8所示。

與文獻[29-30]提出的通過“模型映射”手段實現系統(tǒng)設計模型與安全性、可靠性模型的集成不同，SafeSysE給出了一套完全基于SysML模型進行安全性分析的實現方法。包括利用XML元數據交換技術，將SysML模型轉化為XML文件，從中提取核心的功能、組件元素，支持開展功能FMEA、組件FMEA；同時該文獻還研究了基于SysML的故障樹生成算法、SysML模型與NuSMV-SA模型的映射算法，以支持系統(tǒng)的安全性、可靠性評估與行為仿真分析，但由于SysML用于描述系統(tǒng)功能邏輯、結構組成的模型是分離的，因此在SysML基礎上直接生成故障樹模型、狀態(tài)機驗證模型過程中，還需要加入大量的人工識別工作，限制了其進一步應用的范圍。

圖7 PRISME的MBSE與可靠性設計集成思路

圖8 SafeSysE的集成過程

意大利Calabria大學的DEIS學院提出了一種系統(tǒng)可靠性、可用性、維修性、安全性分析與仿真集成方法——RAMSAS[33]，如圖9所示。

RAMSAS的方法分為4個步驟：可靠性需求分析、系統(tǒng)建模、系統(tǒng)仿真和系統(tǒng)評估，這4個步驟在整個設計過程是迭代進行的?？煽啃孕枨蠓治鲋饕栽O計階段形成的系統(tǒng)設計模型、系統(tǒng)功能和非功能需求文檔、以及前期FMEA找出潛在故障模式為基礎，確定可靠性分析目標；系統(tǒng)建模主要是使用SysML進行系統(tǒng)架構和行為建模，同時還定義了一個通用的基本故障行為集合，建立故障的行為模型，描述故障的產生、傳播和管理；系統(tǒng)仿真階段主要是將先前獲得的系統(tǒng)架構和行為模型圖以及故障行為模型，轉換成Simulink可執(zhí)行模型，核心是將內部塊圖的架構信息(如塊組成、端口/接口信息)轉化為Simulink的層次化接口和交聯(lián)接口，將采用活動圖和順序圖描述的算法模型轉化為Simulink的控制邏輯；系統(tǒng)評估階段主要是針對系統(tǒng)可靠性需求進行分析，提出可靠性設計改進建議或方案，并反饋到需求環(huán)節(jié)。該方法優(yōu)點是能將系統(tǒng)SysML建模語言與Matlab/Simulink動態(tài)仿真開發(fā)環(huán)境進行融合，尤其是可將 SysML描述的控制邏輯直接轉化為Simulink模型，提高了仿真建模的效率。缺點是該方法主要側重的是仿真分析，并不是一套完整的模型驅動設計方法，例如缺乏對可靠性需求分析、系統(tǒng)早期架構的可靠性分析等方法的支持。

從目前國內外幾個機構的研究成果看，MBSE與系統(tǒng)安全性、可靠性分析在設計流程整合上的主要思路是：在系統(tǒng)需求分析過程中，利用MBSE模型包含的系統(tǒng)功能清單、使用要求等信息，開展初步的功能故障分析、危險分析，細化安全性、可靠性要求；在系統(tǒng)功能分析、邏輯架構的設計過程中，以故障模式數據庫為支撐，在系統(tǒng)正常功能模型基礎上構建綜合分析模型，重點是對架構進行完善；在系統(tǒng)物理架構設計完成后，對系統(tǒng)的正常、故障行為進行動態(tài)仿真評估，進一步優(yōu)化系統(tǒng)的故障控制邏輯和算法等。

在模型支持方面，主要的障礙在于MBSE的主要設計語言(例如SysML等)對于安全性、可靠性分析的支持是不足的。目前一種解決思路是將SysML等系統(tǒng)設計語言與 Altarica等支持安全性分析的設計語言在“模型元素”上進行映射和轉化，但由于2種語言的設計機制不同，實現完整的模型元素互換是比較困難的；另外一種解決思路是根據需求對系統(tǒng)設計模型的元素進行解析讀取，如文獻[31-32]研發(fā)的SafeSysE等，這種集成方式的優(yōu)勢在于可以完全根據安全性、可靠性分析的需求提取設計信息，不會丟失原有模型信息，但缺點在于模型信息提取過程是完全定制化的，無法適應由于建模人員習慣不同、建模規(guī)范不同所造成的模型構造上的差異性。

圖9 RAMSAS MBSE與可靠性集成方法

3 結論與展望

模型驅動的系統(tǒng)設計技術被公認為是解決復雜系統(tǒng)設計的有效手段，基于模型的系統(tǒng)工程技術在美國國防部、歐空局、NASA等政府組織以及波音、空客、洛克希德·馬丁等飛機研制商的大力推動下，已經逐漸趨于規(guī)范化，并逐步融入到了飛機的研制過程。安全性、可靠性作為裝備重要的質量特性之一，在技術方法、技術手段上應與裝備的技術發(fā)展保持同步。

基于模型的安全性、可靠性分析技術是實現模型驅動的復雜系統(tǒng)安全性、可靠性設計的重要組成部分，相對于傳統(tǒng)基于文本的分析，基于模型的安全性、可靠性分析有利于可實現安全性、可靠性設計與系統(tǒng)功能設計在數據源上的統(tǒng)一，可以一定程度上避免安全性、可靠性分析的主觀性和隨意性；同時，借助模型強大的仿真能力，可以解決工程上面臨的復雜系統(tǒng)可靠性建模和分析困難的問題。

目前，以MBSA為代表的基于模型的安全性、可靠性分析方法在中國部分新研裝備中已經進行了初步的試用與驗證，但總體來講，應用的范圍和深度還比較有限。制約基于模型的安全性、可靠性技術在工程中深入開展的因素有幾個方面：

1) 開展基于模型的安全性、可靠性分析的前提是建立描述系統(tǒng)正常功能、行為的模型，目前MBSE在中國裝備研制中的應用剛剛起步，還沒有得到全面的普及，無法在研制過程中及時為安全性、可靠性設計人員提供有效的功能模型輸入。

2) 系統(tǒng)安全性、可靠性建模語言與系統(tǒng)設計語言存在差異，并且缺乏模型接口。目前系統(tǒng)設計過程中一般采用SysML等標準語言進行系統(tǒng)需求、架構和行為的建模分析，采用AADL、Modelica等建模語言進行性能、算法的驗證，這些建模語言多數是面向對象的。以目前安全性分析的主流建模語言Altarica為例，其建模核心是以功能流為基礎的，本質是一種數據驅動、過程驅動的建模方法。2種類型的建模語言，不管是模型元素構成上，還是在建模語言的理論基礎上都是有較大區(qū)別的。雖然有部分文獻研究了SysML模型與各種安全性、可靠性相關的形式化模型、仿真模型的映射關系，但給出的示例多數比較簡單，對于實際復雜工程系統(tǒng)是否適用，還需進一步驗證。

3) 缺乏相關的安全性、可靠性建模規(guī)范和標準，模型的規(guī)范性和嚴謹性無法保證。以Altarica為代表的安全性、可靠性建模語言是一種通用的、與領域無關的語言，建模的靈活性較大，目前國內外鮮有相關的建模規(guī)范和標準。在面對具體的工程系統(tǒng)時，需要將實際物理系統(tǒng)抽象為輸入、輸出、狀態(tài)、故障傳播邏輯等模型元素，如果缺乏建模方法的約束，不同的建模人員在建模層次和級別、顆粒度、輸入輸出數據類型、故障邏輯的表達方式等方面會有不同的選擇，因此容易造成模型的一致性差、可讀性差等問題，給模型的校驗和后續(xù)的集成帶來問題。

4) 缺乏建模數據庫和自動化建模機制的支持。相對于傳統(tǒng)安全性、可靠性分析，基于模型的安全性、可靠性分析技術的優(yōu)勢在于模型的可重用性，但缺點是建模過程較為復雜，工作量較大，因此需要有強大的數據庫支持，但目前的建模方法和工具在故障模式數據的積累、模型重用等方面尚有很大的提升空間。

針對以上問題，建議未來重點關注以下方面的研究和應用：

1) 面向裝備全研制過程的、基于模型的安全性、可靠性設計體系與模型體系研究。目前的基于模型的安全性、可靠性分析技術主要解決的是系統(tǒng)功能架構層面的分析問題，還不能支撐建立一套完整的、模型驅動的安全性、可靠性設計體系。未來的研究中，一方面應在現有方法基礎上進一步擴展，將安全性、可靠性分析與裝備的使用過程分析、物理設計、軟硬件設計結合起來，以支持系統(tǒng)工程全過程設計；另一方面，要建立一套完整的安全性、可靠性建模規(guī)范體系。目前來看，只采用任何一種建模方法都是有其局限性的，在未來基于模型的研發(fā)體系下，安全性、可靠性模型應不僅能夠支持早期的需求分析、架構評估，還應支持研制后期的仿真驗證，甚至半實物驗證，因此，其模型支撐體系是相對復雜的，需要進行深入研究。

2) MBSE與基于模型的安全性、可靠性分析技術的集成方法研究。MBSE技術在裝備研制過程中的深度應用，為進一步規(guī)范基于模型的系統(tǒng)安全性、可靠性分析提供了有力的基礎。因此，未來應重點加強MBSE研制模式下的裝備安全性、可靠性設計流程、技術方法、模型接口等方面的深化研究，打通MBSE與安全性、可靠性設計的接口關系，為實現以系統(tǒng)需求模型、設計模型為核心的多專業(yè)協(xié)同設計提供保障。

3) 基于模型的安全性、可靠性智能化設計方法和工具平臺研究。目前的安全性、可靠性分析方法和工具智能化程度普遍不高，已建立的安全性、可靠性模型，積累的故障模式數據還不能在設計過程中得到有效利用。未來應重點加強安全性、可靠性智能化建模方法、基于知識規(guī)則的安全性、可靠性分析與設計方法等方向的研究，擴展安全性、可靠性分析能力，提高建模和分析的效率。

參考文獻

[1] JOSHI A， HEIMDAHL M P E, MILLER S P M, et al. Model-based safety analysis：NASA/CR-2006-213953[R].Washington, D.C.: NASA,2006.

[2] HAMELIN R D, WALDEN D D, KRUEGER M E. INCOSE systems engineering handbook v3.2: Improving the process for SE practitioners[J]. INCOSE International Symposium, 2010, 20(1): 532-541.

[3] BAJAJ M, BACKHAUS J, WALDEN T, et al. Graph-based digital blueprint for model based engineering of complex systems[J]. INCOSE International Symposium, 2017, 27(1):151-169.

[4] WYMORE A W. Model-based systems engineering[J]. Proceedings of the SPIE, 1993, 9150(1):101-111.

[5] SIMI S M, MULHOLLAND S P, TANNER W G. TES-SAVi AWESUM model-based systems engineering (MBSE) for FACETM applications[C]∥Aerospace Conference, 2014.

[6] MARCO B, ADOLFO V. The FSAP/NUSMV-SA safety analysis platform[J]. International Journal on Software Tools for Technology Transfer, 2007, 9(1):5-24.

[7] PROSVIRNOVA T, BRAMERET P A, RAUZY A. Model-based safety assessment: The AltaRica 3.0 Project[J]. INSIGHT, 2013, 16(4):24-25.

[8] MALONE R, FRIEDLAND B, HERROLD J, et al. Insights from large scale model based systems engineering at Boeing[J]. INCOSE International Symposium, 2016, 26(1):542-555.

[9] 谷青范, 王國慶, 張麗花, 等. 基于模型驅動的航電系統(tǒng)安全性分析技術研究[J]. 計算機科學, 2015, 42(3):124-127.

GU Q F, WANG G Q，ZHANG L H, et al. Research on the security analysis technology of aeroelectric system based on model driven[J]. Computer Science, 2015, 42(3):124-127(in Chinese).

[10] 車程, 劉軼斐. 基于模型的安全性分析技術研究[J]. 航空工程進展, 2016, 7(3):369-373.

CHE C，LIU Y F. Research on model based safety analysis[J].Advanced in Aeronautical Science and Engineering，2016, 7(3):369-373(in Chinese).

[11] SEPTAVERA S, YIANNIS P. Integrating model checking with HiP-HOPS in model-based safety analysis[J]. Reliability Engineering & System Safety, 2015,135(3):64-80.

[12] 劉瑋, 李蜀瑜. 基于AADL模型的靜態(tài)故障樹的自動生成[J]. 計算機技術與發(fā)展, 2013(10):105-108,112.

LIU W, LI S Y. A method for conversion of AADL model into static fault tree[J]. Computer Technology & Development, 2013(10):105-108,112 (in Chinese).

[13] RUDOV S D, STECKI J. The language of FMEA：On the effective use and reuse of FMEA data[C]∥ AIAC-13 Thirteen Australian International Aerospace Congress,2013.

[14] SULLIVAN K J, DUGAN J B, COPPIT D. The Galileo fault tree analysis tool[C]∥ Twenty-ninth International Symposium on Fault-tolerant Computing，1999

[15] BOZZANO M, CAVALLO A, CIFALDI M, et al. Improving safety assessment of complex systems：An industrial case study[C]∥Proceedings of Formal Methods, 2003:208-222.

[16] DUGAN J B, SULLIVAN K J, COPPIT D. Developing a high-quality software tool for fault tree analysis[C]∥ International Symposium on Software Reliability Engineering, 1999.

[17] BOZZANO M, VILLAFIORITA A. Integrating fault tree analysis with event ordering information[C]∥Proceedings of ESREL, 2003: 247-254.

[18] CLARKE E M, GRUMBERG O, PELED D A. Model checking[M]. Cambridge：The MIT Press, 2001.

[19] CIMATTI A, CLARKE E M, GIUNCHIGLIA E, et al. NuSMV 2: An openSource tool for symbolic model checking[R]. Pittsburgh：Carnegie Mellon University, 2002.

[20] ALESSANDEO C, EDMUUD C, FAUSTO G. NUSMV: A new symbolic model checker[J]. International Journal on Software Tools for Technology Transfer, 2000,2(4):410-425.

[21] 陳松. 基于AltaRica的模型轉換與安全性驗證方法研究[D]. 南京：南京航空航天大學，2017.

CHEN S. Research on AltaRica based model conversion and security verification method[D]. Nanjing: Nanjing University of Aeronautics and Astronautics, 2017 (in Chinese).

[22] WANG T, WANG R, ZHANG H, et al. System reliability analysis method based on functional model[C]∥ Prognostics & System Health Management Conference, 2017.

[23] CHRISTIAN S. Inclusion of reliability and safety analysis methods in modelica [C]∥Proceedings 8th Modelica Conference, 2011:616-627.

[24] NICHOLAS B, LAN C, DAVID C. Model-driven development of reliable avionics architectures for Lunar Surface Systems[C]∥IEEE Aerospace Conference Proceedings. Piscataway: IEEE Press, 2010.

[25] 董云衛(wèi), 王廣仁, 張凡, 等. AADL模型可靠性分析評估工具[J]. 軟件學報, 2011, 22(6)：1252-1266.

DONG Y W, WANG G R, ZHANG F, et al. AADL model reliability analysis assessment tool[J]. Software Journal, 2011, 22(6)：1252-1266(in Chinese).

[26] SHARVIA S, PAPADOPOULOS Y. Integrated application of compositional and behavoural safety analysis[J]. Dependable Computer System Advances in Intelligent and Soft Computing, 2011, 97:179-192.

[27] KAPOS G D, DALAKAS V, TSADIMAS A, et al. Model-based system engineering using SysML: Deriving executable simulation models with QVT [C]∥ IEEE International Systems Conference Proceedings. Piscataway: IEEE Press, 2014: 1-7.

[28] KAUFMANN M. Systems engineering with SysML/UML[J]. Computer, 2008,83(6):285-293.

[29] DAVID P, IDASIAK V, KRATZ F. Reliability study of complex physical systems using SysML[J]. Reliability Engineering & System Safety, 2010, 95(4):431-450.

[30] CRESSENT R, IDASIAK V, KRATZ F, et al. Mastering safety and reliability in a model based process [C]∥ Proceedings - Annual Reliability and Maintainability Symposium, 2011.

[31] MHENNI F, NGUYEN N, KADIMA H, et al. Safety analysis integration in a SysML-based complex system design process [C]∥Systems Conference, 2013.

[32] MHENNI F, CHOLEY J Y, NGUYEN N, et al. Flight control system modeling with SysML to support validation， qualification and certification[J]. IFAC Papersonline, 2016, 49(3):453-458.

[33] ALFREDO G, ANDREA T. A model-based method for system reliability analysis[C]∥ Simulation Series - Part of the 2012 Symposium on Theory of Modeling and Simulation - DEVS Integrative M&S Symposium,2012.