載人登月是一項十分復雜的航天任務，涉及多系統(tǒng)的協(xié)同，傳統(tǒng)的基于文檔的系統(tǒng)工程方法不利任務的設計。基于模型的系統(tǒng)工程(model-based systems engineering, MBSE)近年來在工業(yè)界被證明了是有效解決復雜系統(tǒng)正向設計問題的方法論， 也適用于載人登月相關系統(tǒng)的研發(fā)。在 MBSE 流程中，需求分析是頂層設計的第一步，也是各系統(tǒng)開展詳細設計的基礎。對于復雜系統(tǒng)，尤其是利益攸關方眾多的復雜系統(tǒng)，需求分析能夠準確捕獲各方利益需求，有利于尋找符合利益攸關方需求的優(yōu)化方案。同時，這些需求也將與系統(tǒng)設計相關聯(lián)，形成可追溯、易驗證的需求條目，以保證系統(tǒng)設計能夠滿足各方需求，從而設計出符合要求的系統(tǒng)。

載人登月以保障航天員安全為首，同時也必須保證系統(tǒng)的可靠性。因此，在進行系統(tǒng)設計的同時，也必須開展可靠性安全性分析.而可靠性安全性需求分析則是進行基于模型的可靠性安全性分析的基礎。可靠性安全性需求通常會作為通用性需求的一部分納入到正常需求之中^[3]，在現(xiàn)有的方法中并未如系統(tǒng)其他需求一樣逐層分解和推導。然而，在進行系統(tǒng)設計時，可靠性安全性分析與系統(tǒng)設計通常由不同的工程人員開展，對于可靠性和安全性需求籠統(tǒng)的捕獲和定義方式不利于后續(xù)相關分析的展開，難以通過需求驗證指導系統(tǒng)的設計。結合可靠性安全性分析在載人航天中的重要性及目前方法的缺陷，有必要進行可靠性、安全性需求分析與驗證全閉環(huán)流程的研究，以明確的、完整的可靠性安全性需求為牽引，通過仿真驗證，完善系統(tǒng)設計。

本文以美國“阿爾忒彌斯”載人登月計劃為背景，提出了面向頂層設計的可靠性安全性需求分析及系統(tǒng)設計方法，基于系統(tǒng)建模語言(system modeling language, SysML)建立了可靠性安全性需求分析的模型，通過仿真進行了可靠性安全性需求的驗證，并完成了系統(tǒng)設計的改進。

1.基于模型的需求分析與系統(tǒng)設計

系統(tǒng)工程產(chǎn)生于上世紀 40 年代，并于 60 年代美國阿波羅工程時期形成體系。隨著系統(tǒng)復雜性的不斷增加，尤其是對系統(tǒng)開發(fā)質(zhì)量以及開發(fā)周期要求的不斷提高，傳統(tǒng)的基于文檔的系統(tǒng)工程方法已越來越無法滿足要求，MBSE 開始興起并正在逐步成為系統(tǒng)設計的基礎。MBSE 從需求階段開始即通過模型(而非文檔)的不斷演化、迭代遞增而實現(xiàn)產(chǎn)品的系統(tǒng)設計，具有顯著優(yōu)勢。1993 年， Wymore[4]出版了專著 Model-based Systems Engineering，標志著 MBSE 的正式問世。但由于軟硬件環(huán)境的限制，MBSE 并未取得突破性進展。近年來，受軟件工程巨大成功的影響，國際系統(tǒng)工程學會(INCOSE)和對象管理組織(Object Management Group, OMG)于 2007 年正式提出了 SysML^[5]，MBSE 成為學術界和工業(yè)界研究與關注的重點，取得了較好發(fā)展，并在部分工程中進入實用。

MBSE 的方法論有很多，最著名的是 V 型的 Harmony 系統(tǒng)工程方法^[6]，從系統(tǒng)需求出發(fā)開始正向設計，再通過仿真進行反向驗證。除此之外，IBM 公司提出了統(tǒng)一軟件開發(fā)過程(RPU)^[7]，Vitech 公司提出了自己的 MBSE 方法^[8]，國際系統(tǒng)工程學會也提出了以目標為導向的系統(tǒng)工程方法^[9]等。這些方法論將需求分析、功能行為設計和設計驗證等有效組織起來，使全系統(tǒng)的設計可追溯、易管理。可以看出，需求分析是進行 MBSE 的首要步驟，同時需求分析和系統(tǒng)設計在 MBSE 的全流程之中也是緊密耦合的。為了使 MBSE 全流程建模方法更加實用化，達索公司配合 MagicDraw 軟件給出了基于 SysML 的 Magic Grid 方法論^[10,11]，將問題用域來描述，每個系統(tǒng)設計都包含了問題域、解決域、實施域三層，每層都由需求、行為、結構體和參數(shù)四個維度的定義來完成描述，形成了方案矩陣，需求分析在每一層中都是首要的。目前，在航空^[12,13]、汽車^[14]與航天^[15,16]等領域，都是結合自身工程實際，在上述方法的基礎上通過適當?shù)牟眉艋蚋倪M，完成系統(tǒng)設計。

從方法論和應用層面來看，系統(tǒng)需求分析有較為成熟的體系，尤其是系統(tǒng)正常功能的設計。即從利益攸關者的要求出發(fā)，逐層分解、推導，給出子系統(tǒng)或分系統(tǒng)的設計要求。

2. 基于模型的可靠性、安全性分析

隨著 MBSE 在工程領域的成功運用，基于模型的可靠性、安全性分析方法也越來越得到重視。作為系統(tǒng)工程的一部分，可靠性安全性分析也應該融入到 MBSE 的流程之中。

在現(xiàn)有的文獻中，以基于 SysML 的設計模型為基礎，開展了許多關于基于模型的可靠性安全性分析方法的研究，形成了包括文獻^[17, 18]在內(nèi)的方法論。目前的研究重點是如何運用系統(tǒng)正向設計的產(chǎn)物，定義故障模式和故障傳遞關系，從而自動開展可靠性安全性分析，生成失效模式及其影響后果分析表和故障樹^[19?21]。這些分析方法均需要從頂層的可靠性安全性需求出發(fā)， 如何梳理復雜系統(tǒng)的可靠性安全性需求，開展系統(tǒng)設計，則成了復雜系統(tǒng)頂層設計中的重要問題。

在傳統(tǒng)的 MBSE 流程中，可靠性安全性需求屬于通用需求的一部分。但不同于其他通用需求，可靠性安全性分析多是基于系統(tǒng)的異常行為，其與系統(tǒng)正向設計的區(qū)別不僅在于模型上，在開展方法上也有很大差異。為了便于實現(xiàn)可靠性安全性分析與系統(tǒng)設計一體化，需要將可靠性安全性需求提取出來，在進行需求推導的同時，也逐步開展可靠性安全性需求的捕獲與定義。

針對可靠性等這類系統(tǒng)非功能性的屬性，RUP 方法對此進行了區(qū)分^[7]，在系統(tǒng)設計的初始階段就將系統(tǒng)需求分為了用于捕獲系統(tǒng)功能性的需求和覆蓋系統(tǒng)非功能屬性的需求，如可靠性安全性需求，使可靠性安全性分析盡早融入到 MBSE 之中。此外，在最新的 Magic Grid 方法論之中^[10]，也將可靠性安全性分析考慮其中，即在方案矩陣表中最后一列增加可靠性安全性分析，使每一層的設計都有對應的可靠性安全性分析的介入，驗證初始需求， 指導系統(tǒng)設計。

從目前基于模型的可靠性安全性分析方法的發(fā)展和實際工程需要來看，可靠性安全性分析需要與系統(tǒng)正向設計同步，即從需求分析起開展，但又必須有所區(qū)別，使可靠性安全性分析作為 MBSE 中的一個重要組成部分，在依賴 MBSE 設計過程的基礎上也能夠獨立進行。

需求分析是開展基于模型的復雜系統(tǒng)設計的第一步，負責識別全任務周期中與任務或目標有關利益攸關方的需要和期望，以及設計過程中為完成既定任務需具備的能力，并將其轉化為明確的、無歧義、可測量與可追溯的條目化需求模型。而針對可靠性安全性分析和設計，則需要提取利益攸關方對于任務風險的期望、設計過程中應對風險的能力等，并將其轉化為符合要求的可靠性安全性需求模型。

基于模型的可靠性安全性需求分析需要與系統(tǒng)正常的需求分析流程相匹配。文獻[22]指出載人登月頂層系統(tǒng)結構可分為任務、能力和系統(tǒng)三個層次。任務層面是對事件、資源、交互關系和操作規(guī)則等的描述； 能力層面是對系統(tǒng)具備能力的描述； 系統(tǒng)層面是對具體的系統(tǒng)組成、性能和關系等的描述。對應的需求分析也可從這三個層面出發(fā)，包括任務需求建模、能力需求建模和系統(tǒng)需求建模。

關于可靠性安全性方面的需求，則需要在任務、能力及系統(tǒng)需求建模的同時進行分別提取和推導，從頂層逐步得到可用于指導系統(tǒng)開展具體設計的可靠性安全性需求條目。對頂層任務，基于模型的系統(tǒng)可靠性安全性需求分析的流程如圖 1 所示。

可靠性安全性需求分析在各層中的作用及輸入輸出產(chǎn)物如下:

1) 頂層的可靠性安全性需求

頂層可靠性安全性需求分析的目標是全面收集并記錄任務實施中各利益攸關方與風險相關的需要和期望，并將其轉化為明確、可標識的故障管理需求在任務層的模型元素，以便后續(xù)在任務分析、系統(tǒng)設計和可靠性、安全性分析過程中快速查詢以及提取和追溯. 本層的需求可以從任務層需求中進行提取，其輸入為下達的任務及有關指標要求，需要從用例圖構建的利益攸關方關系圖中取出有關風險或任務異常的信息。輸出則為可靠性安全性需求在頂層的模型， 例如對任務成功的期望、對風險的承受度等。

2) 中間層的可靠性安全性需求

中間層需求分析的目標是， 基于覆蓋全任務周期的運行場景， 分析、推導出為實現(xiàn)頂層可靠性安全性目標和滿足其他相關需求所需具備的能力，并將能力轉化為明確可標識的可靠性安全性模型元素。本層的輸入為可靠性安全性頂層的需求模型和在能力需求建模中構建的任務場景與系統(tǒng)組成架構，輸出為中間層的可靠性安全性需求模型，例如應對風險的能力、確保任務成功的能力等，并形成條目化能力需求和異常時的任務場景。

3) 底層的可靠性安全性需求

底層可靠性安全性需求分析的目標是，基于細化的任務場景及其推導出的關鍵功能活動，推導關鍵功能失效風險及相關應對能力， 并將其轉化為明確、可標識的系統(tǒng)需求模型元素。本層的輸入包括上層可靠性安全性需求模型、任務場景和任務功能架構。輸出為可靠性安全性的底層模型，例如各系統(tǒng)、分系統(tǒng)應對風險能力和相關性能要求。

除此之外，為了檢驗系統(tǒng)的可靠性安全性需求是否正確及合理, 還需要對其進行驗證。通過先驗知識或開展仿真驗證后，最終再將形成的需求條目分發(fā)給對應的系統(tǒng)或分系統(tǒng)。否則還需要調(diào)整頂層架構設計，重新進行可靠性安全性需求分析及驗證。

2017年，美國啟動阿爾忒彌斯計劃(Artemis Program)^[23,24]，主要支持載人登月和未來的載人火星探測任務。計劃在未來 10 年內(nèi)在月球表面建立一個永久基地，開展人機聯(lián)合探測, 并以月球作為未來登陸火星的“跳板”，實現(xiàn)載人登火等深空探測的目標。本文以美國阿爾忒彌斯載人登月任務為例，進行該任務的可靠性安全性需求建模分析、頂層設計和需求驗證。

1.頂層可靠性安全性需求分析

頂層可靠性安全性續(xù)需求分析建模的具體步驟如下:

1) 提取利益攸關方對于任務風險的期望：基于識別的利益攸關方、任務目標、系統(tǒng)邊界和外部參與者，根據(jù)已識別的利益攸關方對于任務風險的需要、期望和能夠明確的約束條件，形成條目化任務需求，并完善所建立的用例圖，增加可靠性安全性的需求，使用 requirement 元素承載，并建立利益攸關方與這些可靠性安全性需求的關聯(lián)關系。

2) 頂層可靠性安全性需求的復核：完成對任務背景或運行環(huán)境的建立后，在復核系統(tǒng)設計需求的同時，完成對頂層可靠性安全性需求的復核，如出現(xiàn)不明確的、缺失的任務需求或約束，應重新分析利益攸關方的關系，提取任務目標, 重新建模, 直至所建立的頂層可靠性安全性需求通過審核。

阿爾忒彌斯載人登月任務的頂層涉及的利益攸關方包括國家層面的美國政府和任務主管方美國宇航局(NASA)。從 2019 年美國副總統(tǒng)發(fā)布的聲明中^[24]可提取出在國家層面的任務需求為 2024 年前將宇航員(包括首位女性)送上月球，NASA 以此為目標，給出了登月的具體需求，包括經(jīng)費預算(首期追加 16 億美元)費用、登月目標(建立永久月球基地)、并給出具體技術方案、組織方案以及任務總體風險指標等。結合美國政府的需求，可推導出 NASA 對任務風險的總體原則，例如順利完成地月往返，確保宇航員安全。此外，為了支持這項總體原則，NASA 結合歷史任務和政府期望，給出包括如可靠性安全性指標、總體設計原則、逃逸與應急救生原則在內(nèi)的相關需求，如圖 2 所示(圖中需求 requirement 和用例之間使用 dependency 關系關聯(lián)，用例作為供應端發(fā)生變化，也會導致需求的改變，在后續(xù)圖中，需求與用例、block 間均使用這種關系表達需求對供應端的依賴)。

當捕獲得到這些可靠性安全性的需求后，與其它需求一樣，需要轉換成可執(zhí)行的可靠性安全性相關的需求條目，如圖 3 所示，用于下發(fā)、管理及后續(xù)可靠性安全性需求的進一步分析。

2. 中層可靠性安全性需求分析

中層可靠性安全性需求分析、建模的具體步驟如下：

1) 基于場景的中層可靠性安全性需求的推導：使用用例圖、塊定義圖等完成初步任務場景、系統(tǒng)組成架構的構建。結合任務場景和頂層可靠性安全性需求，識別推導與任務場景相對應的風險、故障處置等有關的需求，并建立條目化的需求模型。

2) 需求復核：依據(jù)任務景，對推導出的中層可靠性安全性需求進行復核，確保每個需求均有相應的任務階段、關鍵功能或系統(tǒng)組成與之對應。如出現(xiàn)不明確的、缺失的中層需求，應重新細化任務場景，推導需求，直至其通過審核。

根據(jù)阿爾忒彌斯的技術方案，為了支持其任務的成功實施，整個登月系統(tǒng)由以下分系統(tǒng)組成^[24]：太空發(fā)射系統(tǒng)(space launch system, SLS)、獵戶座飛船(Orion Capsule)、地面支持系統(tǒng)、Gateway 空間站、載人著陸系統(tǒng)、其它商業(yè)及國際合作系統(tǒng)。阿爾忒彌斯計劃的第一階段將由三次飛行組成：阿爾忒彌斯 I 為無人環(huán)月飛行、阿爾忒彌斯 II 為載人環(huán)月飛行并在月球南極登陸、阿爾忒彌斯 III 可能在環(huán)月空間站進行在軌操作。每一次任務均需開展相應的分析工作，本文以阿爾忒彌斯 II 為例，根據(jù)文獻^[25]提出的飛行方案，整個任務將由以下場景支持：將月面上升器送入環(huán)月軌道、將返回器送入環(huán)月軌道、將登月器送入還月軌道并與上升器完成交會對接、將載人飛船送入環(huán)月軌道并與組合體完成交會對接、完成著月和月面活動(期間飛船與返回器交會對接)、月面上升與飛船交會對接并返回地球。

依據(jù)上述方案，使用用例圖構建任務場景，如圖 4 所示。針對每個子場景，則由任務可靠性指標衍生出每個子場景的成功率要求： 若場景中還有宇航員參與，則還會由安全性指標衍生出每個場景宇航員安全率的要求。

同時，為完成這一系列的場景，還需要多個分系統(tǒng)的支持。因此，首先通過如圖 5 所示的塊定義圖構建了阿爾忒彌斯 II 的系統(tǒng)組成架構，涵蓋了支持任務開展的運載火箭、飛船等多個系統(tǒng).針對系統(tǒng)組成架構，也會由任務可靠性指標衍生出對每個參與系統(tǒng)的可靠性要求。

除此之外，由于頂層對于逃逸與應急救生的需求，在系統(tǒng)組成架構中還可以提取出相關系統(tǒng)對于其發(fā)生故障時應采取措施的設計原則。例如，每個系統(tǒng)必須設計應急策略確保危害宇航員安全的故障發(fā)生后，后果能夠得到減緩，或者協(xié)助其它系統(tǒng)完成應急策略的執(zhí)行。在開展具體應急策略設計時，各系統(tǒng)也必須結合飛行場景分階段進行詳細規(guī)劃。

3. 底層可靠性安全性需求分析

底層可靠性安全性需求的建模、分析的具體步驟如下：

1) 細化飛行階段，并將關鍵功能活動分配至對應的系統(tǒng)：以初步任務運行場景為主線和輸入，進一步細化飛行方案或飛行場景，分析每個飛行階段需開展的關鍵活動或飛行操作，建立關鍵功能活動之間的邏輯順序。將識別的關鍵功能活動分配到相應系統(tǒng)的泳道分區(qū)中，并進一步識別和建立系統(tǒng)間、系統(tǒng)內(nèi)部間信號的傳遞關系。通過多次迭代，建立可用于支持系統(tǒng)任務邏輯流程仿真的功能模型。

2) 推導底層可靠性安全性需求：在完成關鍵功能活動分配的基礎上，根據(jù)關鍵功能的行為特性識別相關的功能需求、性能需求， 并建立條目化需求模型。提取關鍵功能所對應的失效模式，可將上層可靠性安全性需求，例如風險概率進行分解，也可根據(jù)先驗知識， 初步給出關鍵功能可以容忍的失效概率。

3) 底層可靠性安全性需求復核：依據(jù)關鍵功能和系統(tǒng)需求分配情況，對推導出的底層可靠性安全性需求進行復核，確保每項需求都至少有一個活動或塊與之關聯(lián)。

以 Orion飛船地月轉移加速為例，將該任務場景進行細化，得到如圖 6 所示的活動圖。提取出該任務場景的關鍵功能，開展故障分析，識別出對應的故障模式， 如圖 7 所示。

基于此，可以捕獲到底層關于可靠性安全性的需求，即發(fā)生此類故障后應該有能力采取對應的處置措施。如圖 7 所示，這些底層需求實際上也是對中層需求“阿爾忒彌斯 II 逃逸與應急救生設計原則”的細化。由于這些故障處置措施都需要測控通信系統(tǒng)的參與， 發(fā)送相關指令信號。因此，也會衍生出對測控通信系統(tǒng)的額外需求，例如“應急通信能力”需求。

4.可靠性安全性需求驗證案例

至此，完成了對頂層系統(tǒng)的設計，并基于此得到了細化的可靠性安全性需求條目。為了檢驗系統(tǒng)架構是否滿足可靠性安全性需求， 需要開展初步的可靠性安全性分析，對相關條目進行驗證。

開展可靠性安全性分析的方法有很多，可以采用跨平臺的分析方法，使用可用于可靠性安全性分析的一些領域建模語言，例如文獻^[26–28]。將系統(tǒng)模型進行映射后，基于此再開展對應的分析工作。 為了便于分析結果及時反饋到系統(tǒng)模型，減少模型交互，本文基于 SysML 開展了相應的分析工作。

根據(jù) 4.3節(jié)得到的 Orion 飛船地月轉移加速過程中的典型故障模式，開展了功能危害分析(functional hazard analysis, FHA)，得到如圖 8 所示的分析結果，包括只會導致無法登月和同時導致宇航員損傷兩類。

為了驗證此階段的安全性指標，提取出危害宇航員安全的故障模式，如圖 9 所示，基于此使用 SysML 參數(shù)圖構建出以宇航員損傷為頂事件的故障樹，如圖 10 所示。

根據(jù)如圖 7 所示的對于逃逸與應急救生策略的需求，針對各項典型故障模式，開展了處置策略的設計，完善了系統(tǒng)架構，如圖 11 所示，得到了包含處置故障下的功能邏輯結構。

同樣，需要對此階段的安全性指標進行重新驗證，進一步提取出危害航天員安全的故障模式及其他相關元素，如圖 12 所示。在構建處置策略與需求間關系的同時，使用 SysML 參數(shù)圖構建出以新的以宇航員損傷為頂事件的故障樹，如圖 13 所示。初步給定各故障處置措施成功的概率，重新計算頂事件結果。若根據(jù)圖 12 中給定的概率值進行計算，得出的結果為 2.119 9e–6，說明新的改進方案滿足了對應的需求。

作為系統(tǒng)工程的一部分，可靠性安全性分析在 MBSE 全流程中也應該形成從需求出發(fā)到分析驗證的完整閉環(huán)。本文將可靠性安全性需求從系統(tǒng)需求模型中提取出來，在開展航天任務頂層設計的同時，捕獲更為詳細的可靠性安全性需求，便于后續(xù)的追溯、管理和驗證。根據(jù)載人登月任務頂層設計的特點，也將任務層的可靠性安全性需求分為頂層、中層和底層，并給出了如何推理得到可靠性安全性需求的流程。以美國阿爾忒彌斯載人登月計劃為背景開展了可靠性安全性需求分析、頂層系統(tǒng)設計，并通過 FHA，FTA 對可靠性安全性需求進行了驗證。基于分析結果和相關需求，進行了逃逸與應急救生策略的設計，完善了頂層任務架構.本文通過實例給出了在航天任務層面從可靠性安全性需求分析到仿真驗證，再到系統(tǒng)改進的完整過程，為開展基于模型的載人登月系統(tǒng)設計與可靠性安全性一體化分析提供了一種方法。

文章來源：華數(shù)星河