赵 亮,陈夏楠,锁 斌
西南科技大学 信息工程学院,四川 绵阳 621010
基于模型的任务保证(model-based mission assurance,MBMA)是美国国家航空航天局(National Aeronautics and Space Administration,NASA)为了提升航天任务的快速性、经济性、可靠性、安全性,将基于模型的系统工程(model-based system engineering,MBSE)与任务保证(mission assurance,MA)概念相结合的产物。其应用背景是NASA要在极低的产品批量条件下,保证复杂系统在包含危险使用环境的全寿命周期内具备极高的安全性、可靠性。这样的挑战性需求最早是通过使用各种流程、标准、审查和其他检查来保障的,相关工作逐步发展形成了MA理念。该理念通过风险管理、可靠性工程、配置管理、器件/材料/流程工程、质量保证、系统安全保证、软件保证七类方式,实现需求分析与确认、设计保证、制造保证、集成/测试/评估、操作准备、任务保证评审六项核心目标的过程[1]。随着NASA产品的系统规模和复杂度日益增长,基于文档的MA工作变得相当费力且易于出错。为此,MA开始从以文档为中心的方法转向由数据驱动、基于模型的方法。而近年来快速发展的MBSE 为这种转变提供了合适的支撑。源于系统工程领域的MBSE 是用标准的模型语言代替自然语言,并应用特定的方法论和工具,实现系统工程的过程。将MBSE与MA相结合所形成的MBMA包含了从工作流程到技术实现等不同层面的广泛内容,并已经在航天、航空等领域得以成功应用,在保障复杂系统的安全性、可靠性、经济性等方面表现出极大的应用前景[2-3]。
为全面地观察相关方向的发展情况,本文从MBMA的概念、框架、支撑技术等角度,对MBMA 应用于复杂系统设计时所涉及到的理论与技术进行阐述。其中MBMA框架部分介绍了在实现特定任务保证目标的过程中,由系统模型驱动任务保证分析和工程设计,获取证据后形成安全/保证案例的基本逻辑。在MBMA 支撑技术部分,本文对安全/保证案例的思路,以及目前在安全/保证案例中常用的目标结构表示(goal structuring notation,GSN)进行了介绍。除此以外,文章还对MBMA在航天器抗辐射加固设计方面的典型应用,以及未来研究方向进行了阐述。
源于国外航天领域的MA 概念本质上可以归结为理解和管理复杂项目各个方面的风险。最初,NASA为确保航天任务的成功,发展出了被称为安全与任务保证(safety and mission assurance,SMA)的工作体系与运营模式,其关注任务过程中航天器的安全性、可靠性、维修性和质量保证等一系列内容,由安全性与任务保证办公室(office of safety and mission assurance,OSMA)统管相关工作[4]。随着相关理念的扩散,包括航空、武器装备在内的更多领域在其基础上发展出了各自的MA理念[5-6]。这些MA 理念体现了参与复杂项目的所有人员及组织所须坚持的一种流程,该流程是迭代、连续且管理活动横跨整个任务周期的,其目的是保证任务安全、成功。与此同时,NASA 也开始以MA 指代最初的SMA体系。
从内容上来讲,MA包含系统工程、风险管理、质量保证及流程管理的严格应用,这些应用由承包商与用户在系统设计及使用过程中予以执行。从流程上来讲,MA涉及系统设计保证、任务操作保证及独立评审三个主要部分,其中前两部分共同阐释任务中所有技术问题是否已被评估并解决,任务风险及任务成功概率是否处于可接受范围,第三部分则通过第三方视角确保系统承包商及用户采用了足够的保证流程来降低任务风险。
从概念上来讲,系统工程(system engineering,SE)被认为是组织管理系统规划、研究、设计、制造、试验和使用的科学方法[2,7]。在航天、航空、电力、武器装备等领域,随着系统复杂度的增长,系统内部各元素间不可预期的相互作用也在快速增加。传统的系统工程工作模式基于大量的文档,系统开发各阶段之间往往缺乏良好的追溯性,文档的可读性通常也欠佳。这种情况下,设计人员采用传统的系统工程工作模式已经处理不了系统复杂性增长所带来的问题。为此,国际系统工程协会于2007 年提出了MBSE 的概念,即从概念设计阶段开始,通过对建模方法的形式化应用,来支持系统的需求、设计、分析、验证和确认活动。得益于以模型化为代表的IT技术的快速发展,MBSE使传统以人工为主的系统工程,转变为全过程基于模型化、数字化表达和运行的系统工程。其核心是“数字化模型+数字化过程”驱动的系统工程研发模式。
在实施MBSE时,采用某种设计语言对系统进行描述是需要完成的主要工作之一。当前MBSE 领域主流的系统描述语言是OMG 发布和维护的系统建模语言(systems modeling language,SysML),该语言基于UML发展而来,并专门针对系统设计领域特点进行了扩展。
MA 的具体实施方式一直以来都没有统一标准。随着系统复杂性的不断增加,用于实践MA 的工具、过程也需要不断发展,从以文档为中心的方法转变到数据驱动的、基于模型的架构上来。虽然国外很早就开展了基于模型的安全性、可靠性研究,但该方向上系统性的研究应用则是在MBSE发展起来之后,通过MBSE支撑MA的实践,在近年来才逐步形成MBMA的思路。相对于传统的MA,MBMA 可以实现自动的系统模型确认,并能够建立MA过程所涉及的各元素间依赖网络,这为获取复杂系统的内部关系提供了有效途径,有助于在系统日益复杂的条件下保证其安全性、可靠性。虽然到目前为止仍缺乏对MBMA 完整而严谨的解释,但研究者们在持续的实践过程中逐步认识到MBMA不仅是将传统的MA转换为以模型为中心的方法,同时还要处理好MA在模型环境中所存在的风险与机遇[8]。
自2015年OSMA将MBSE引入安全与任务保证工作中,提出MBMA基本概念以来,相关思想在国外航天领域逐步得以研究应用。NASA 在其2016 年的报告中总结了MBMA 的研究应用情况,报告中肯定了MBMA的可行性,并提出要利用MBSE 进一步开展保证模型、过程和工具的开发[9]。此后,国外围绕MBMA概念又提出一系列研究计划。自2019年起,NASA开始以月度会议的形式专题推进MBMA的应用。国内对于MBMA的研究目前尚处于理解消化相关概念[3-4]、梳理分析MBMA中主要工具[10]、探讨相关概念如何应用于复杂系统[11]的阶段,研究者们已经意识到MBMA概念的潜在意义,并呼吁开展相关方向的研究。
MBMA 的特点在于紧密联系系统设计模型,将关注点由系统设计完成后的安全案例分析转变为整个系统设计过程中的任务保证性论证,并直观反映保证性论证过程中的逻辑。这样的工作模式在图1 所示NASA的MBMA 框架中得以体现。由图1 可见,MBMA 框架由保证目标、系统模型、保证性分析与安全/保证案例等层次构成,处于框架底层的层次化保证目标与系统模型相连接,为开发特定系统的安全/保证案例奠定基础,各种信息将在安全/保证案例中得到整合,并给出任务风险的量化结果[12]。这样的框架已成为NASA 在系统安全性和可靠性方面的工作基础[13-14]。其中涉及的系统模型、证据构建与安全/保证案例论证等内容分别对应于MBSE、GSN 等具体技术,这些技术的发展正成为推动MBMA走向成熟的动力。
作为MBMA 框架的底层基础,保证目标是整个MBMA中论证工作的着眼点,包括论证工作为什么做?怎么做?做到什么程度?基于MBMA 的思路,NASA的可靠性与维护性(reliability and maintainability,R&M)标准在近年来提出一种层次结构[15]作为保证工作实施的目标,该思路源于安全案例的理念。其中的层次结构主要由策略和目标组成,它们相互关联以支持任务的最高目标。例如,可靠性和维护性层次结构的最高目标被设为系统在寿命期内按要求运行以满足任务目标,在层次结构中该目标又进一步细分为:(1)系统符合设计意图并按计划运行;(2)系统在预期寿命、环境、操作条件和使用中保持正常功能;(3)系统能够容忍故障及其他异常内部或外部事件;(4)系统具有可接受的维护性。通过如此层层分解,将系统可靠性/维护性的最高目标与细化后的低层级目标及其相关证据通过适当的策略联系起来,为任务保证的论证提供支撑。目前,R&M标准已经明确了14个目标和49种策略。除此以外,NASA还提出了软件保证、火箭有效载荷及安全性等方面的保证目标[2]。
MBMA框架中居于保证目标层之上的是系统模型层。该层基于MBSE模式对不同任务场景进行需求、功能分析,通过模型来描述、分析和验证系统在特定任务中的活动内容、状态特征、交互信息,并生成与之匹配的功能接口、测试环境,以此快速响应需求变化。对于采用了MBSE 的任务保证工作而言,大部分关于系统的信息均可由模型中获得。如图1 所示,当系统模型由SysML进行描述时,其中通常包含需求模型、结构模型、行为模型、参数模型等。需求模型通过层次化的形式描述系统需求,结构模型通过功能框图等形式描述系统功能,行为模型通过用例图或活动图的形式展示系统是如何工作的,参数模型则描述了系统内部所蕴含的数学关系。
保证性分析指搜集系统设计过程中对保证目标产生影响的信息以构建后续论证所需的证据。通过MBSE,系统模型能够给出系统设计与保证性分析的记录。通常来说,系统设计就是在一个较大的权衡空间中探索、比较不同的设计方案。设计方案的确定有赖于对特定设计的性能分析结果,如各种形式的可靠性分析等。随着系统开发的进行,设计过程中产生的信息,如分析、测试、检查的历史数据等,将被积累起来形成证据用于MBMA框架顶层的安全/保证案例的论证中。
MBMA框架通过顶层的安全/保证案例来整合各种信息、论证保证目标的实现情况。其中安全/保证案例可视为一个相互依赖的网络,其中包含目标、证据、设计和论证过程等信息。
MBMA 在实践过程中具备以下两个突出特点:首先,MBMA是一套方法论和流程体系,而不是特指某个工具或某些工具;其次,MBMA的实现需要大量工具协同和流程集成服务,但凡是符合MBMA 思想的工具和流程,都可以成为构建MBMA 体系的组成元素。就目前的MBMA 实践而言,安全/保证案例、MBSE、GSN 是支撑其实际应用的三个重要工具。
安全/保证案例的出现是诸如航空航天这类涉及复杂系统的领域在工作方法上转向基于目标的系统安全和可靠性的基础。在MBMA 框架中所涉及的安全/保证案例的起源可以追溯到20世纪60年代英国的核工业领域,目前其在欧美国家已被用于管理和规范多种重大危险行业(如核电、铁路、航空和海上石油平台)。英国国防标准00-56 中对安全案例做了如下定义:安全案例应包括一个有证据支持的结构化论证,提供一个令人信服的、可理解的和有效的案例,证明系统在给定的操作环境中对于给定的应用是安全的[16]。
从这个定义中可以看出,安全案例是为便于理解而构造的论证。作为安全/保证案例的核心内容,安全论证就是利用系统设计、实现、集成、运行和维护等过程中产生的文档、检测结果等证据,证明该系统符合法律法规、行业标准及项目特定安全需求而展开的论证过程,论证基于的证据——既包括诸如测试、分析、检查结果之类的直接证据,也包括反映直接证据可信度的间接证据,例如测试是否由专业人员按照标准做法实施。论证的结构是证明复杂系统足够安全的过程中所必需的,这样才能引导人们理解一个复杂系统的安全案例。总的来说,论证要让人们相信一个系统是安全的、可理解的(论证结构化的本质),系统的安全主张需要来自于该论证的结构和它所基于的证据,通过这方面的一致性和完整性来保障论证是有效的。当安全案例的概念被应用于安全之外的属性时,通常使用更具通用性的术语来表达,例如“保证案例”或“可靠性案例”。
在航空航天领域,McDermid早在20世纪90年代就认识到了论证在安全案例中的重要作用[17]。NASA 戈达德航天中心采用可靠性案例的形式对航天器时钟校准系统进行了分析[18]。Jackson 在国家研究委员会的一项研究中建议将可靠性案例的形式用于更多关键软件系统的评估[19]。Nguyen 介绍了对航天器进行保证案例开发的经验[20]。Rinehart梳理了航空业中保证案例的发展历史及近年来的应用情况[21]。Kelly提出了构建安全案例的完整流程,其使用了GSN 来实现安全案例的图形化论证[22]。作为一种被广泛使用的标准化安全论证方式,诸如Adelard 的ASCETM、Astah 的GSN 编辑器、NASA的Ames’AdvoCATE等工具均支持GSN的使用,这些工具为将建模产生的证据与安全/保证案例联系起来提供了便利。
除了构建安全/保证案例,评估案例的有效性同样重要。保证案例是由证据支持的合理且令人信服的论点,该证据表明系统将在给定的环境中按预期运行。一个论点是支持一个整体主张的一系列相关主张。保证案例,以及推而广之的GSN论点结构,是记录论点的手段,并不能确定论点的真实性。案例的受理需要相关人员对论点进行审查。GSN 提供了一种记录保证案例的方法,允许相关人员讨论、质疑和审查它提出的论点。Greenwell对由于各种错误而导致的无效论点进行了梳理分类[23],这些论点可能在逻辑上是自洽的,但使用了不充分甚至不正确的证据来支持其论点。Duan讨论了对保证案例进行可信度评估的方法[24]。开发有效的安全/保证案例的关键是合理处理建模过程中的不确定性,这些不确定性通常会影响到案例中用于支持论点的证据。
目前,基于SysML 的MBSE 在航天、航空等领域得到了快速的发展,其为表达系统需求及满足需求的系统架构提供了统一的形式,为项目的各参与方提供高效交流的基础[7]。在MBSE的应用中,通过SysML所建立的模型,将安全性/可靠性需求与相关分析整合到复杂系统中,已被证明在识别早期危险及生成FMECA方面是可行的[25-26]。在该方向上,Mhenni通过结构和行为模型实现了对飞行器机电作动器主要失效模型的识别[27]。NASA 的研究人员也通过SysML 所构建的结构和行为模型,以自动化的方式生成了包括FTA、FMECA在内的可靠性模型,并将其应用于载人航天器的安全关键系统——水净化系统的设计分析中[28-29]。类似的,在JPL 将MBSE 应用于机器人任务的过程中,也开发了利用系统模型中的故障信息进行风险概率评估的工具[30-31]。
除了上述MBSE 应用于安全性/可靠性的实例以外,从更具体的角度来看,MBSE 对于MA 实践的支持主要体现在以下7个方面。
(1)表达并管理系统工程信息以确保信息的一致性和完备性
基于模型的方式来对系统信息进行表达是MBSE的标志,这可以确保语义理解的一致性,避免文件描述中可能带来的误解。Wibben介绍了利用MBSE开发的地面系统在控制航天器OSIRIS-Rex 接近小行星Bennu时的情况[32]。其中总结了MBSE为项目带来的改善,包括地面系统的需求表达、体系结构的表达(得以通过接口控制文档和操作接口协议的形式开发该体系结构的正式文档)、测试和V&V 计划的管理。在该项目中,MBSE 的内容除涉及绘制架构图之外,还利用了功能流程框图以支持系统行为的离散事件模拟。类似的MBSE作用在天文望远镜系统工程中也有体现[33]。
(2)为用户及供应商之间的合同界面提供支持
NASA 开发目标层次结构的目的之一就是为其与供应商之间确立的合同界面提供支持。Do介绍了合同界面中使用MBSE在竞争性投标环境中所涉及的方法、工具[34]。该研究讨论了竞争环境下供方和用户希望从模型中隐去的信息,而在“相互目标得到充分理解且相互信任”的环境中,MBSE 已被成功地应用于确立合同的边界。
(3)生成审查文件
Montgomery 对比了“以文档/专家为中心的信息搜集”与“基于数据驱动/MBSE 的数据搜集”[35],结果显示确定搜集方式所需的许多分析都可以从模型中自动生成,由此可以取代由专家团队进行的人工评估。Vipavetz则以国际空间站的外部实验载荷项目为例,讨论了通过MBSE生成项目系统需求审查文件的优势及困难[36]。
(4)生成可靠性分析模型
由MBSE 自动生成FTA、FMECA 等可靠性模型是该领域一直以来的研究热点。Cressent、David描述了根据SysML 模型信息(包括序列图和内部框图)生成FMEAs的方法[37-38],生成过程中需假设数据库已有器件及其故障模式、故障率之类的信息。Hecht 介绍了一套关于卫星及其地面系统的自动FMECA生成方法,其中使用的SysML 模型包含了内部结构框图(刻画了故障传播路径)、状态转换机器(包括正常和故障状态)和活动图(生成驱动状态转换的触发器),据此自动生成的模型被输入到AltaRica语言中,以便对故障传播进行建模[39]。Mhenni介绍了一种从系统模型中自动生成FMEA和FTA 模型的方法[27,40]。其FMEA 生成过程从系统的顶层功能分解开始,并生成这些功能的通用故障模式列表以及潜在的原因和影响。在此阶段,可以手动添加额外的故障模式。在将功能分配给组件后,组件FMEA的生成以类似的方式进行。其FTA 生成过程利用了FMEAs 的结果,通过对SysML 中表示组件交互关系和系统内部结构的内部框图进行遍历而实现。该研究中展示了如何使用“与”门和“或”门将代表冗余或反馈回路的内部结构框图转换为相应的FTA结构。
(5)非标称状态和行为的表示及推理
NASA的安全与任务保证办公室已经开始在MBSE框架下探索非标称状态和行为的处理。Cressent阐述了将非标称行为的表示和推理与标准系统工程过程相结合的需求,强调了对非标称行为进行建模的重要性,提出了一个适合非标称情况的元模型,其包括在多个抽象层次上对非标称行为的处理[41]。
(6)支持后期设计
虽然大部分关于MBSE 应用的研究内容都集中在设计中前期,但也有一些涉及后期活动,尤其是测试方面。Evans等人主张建立一个跨越系统整个生命周期的信息模型[2],从设计、开发、V&V,一直到运营。这个模型的主要元素是需求、功能、组件、风险、工作分解结构和实现(包含了操作场景)。这种端到端的模型允许研究替代设计对其V&V 成本和进度的影响,并计算任务成功的概率。Wibben 认为MBSE 将给V&V 带来极大助益[32],部分原因是MBSE方法帮助项目人员将需求映射到系统架构,并将关于详细验证的描述、成功标准贯穿于系统整个生命周期中。Pétin考虑了包含复杂软件的系统如何验证安全需求的问题[42],指出形式化方法需要严格证明其安全属性,并讨论了从典型的SysML 描述到形式化方法所需的模型和属性的转换。
(7)更正MBSE模型
由于系统设计信息是由模型中获取的,故它们的正确性至关重要,且与目标层次结构存在很强的相关性。这是MBSE 受益于保证性实践的一个方面。Montgomery阐述了针对MBSE模型正确性问题的处理方法[35],其中列举了MBSE应用中已有的几种模型检查方式,检查内容包括:需求;任务、操作和互操作性;功能、界面和连续性;系统内容流;系统行为;系统实现;分配和完整性;整合能力等。
GSN 最初是一种表达安全性论证结构的图形化符号语言,在英国航空航天所与约克大学的合作项目中被开发出来。GSN论证是指运用GSN语言描述安全论证过程,建立GSN 论证模型。此类模型利用图形化的符号,清楚地表达了每个安全论证包含的元素(目标、证据、环境、策略等)以及这些元素之间的关系。为了在安全案例中避免证据的无条理堆积,并在系统生命周期内不断修正安全案例,使安全论证结构可以复用,Kelly 提出以GSN 来进行安全论证,在此基础上编制安全案例[22]。
基于GSN 的论证工具通常包含目标、策略、证据、环境、假设、论证依据等核心元素。各核心元素在可视化的论证工具中采用不同的图形框进行表示,其含义如下:
目标:用于表达论证的目标,说明系统设计、实现、运行及维护等方面的安全要求。
策略:用于说明目标之间的推理关系,即上一级目标如何通过下一级子目标的论证来实现。
证据:用于说明论证中的具体证据,如系统设计文档、测试数据、维护文档等。
环境:用于说明目标、策略或证据命题为真的约束条件,如系统工作环境。
假设:用于对目标或策略进行补充,注明未经证实的假设。
论证依据:用于说明目标或策略所依据的原理、标准等。
基于上述元素,GSN采用不同形式的连接线来表示元素间不同的连接关系,以此构建目标结构表示。
就MBMA 相关的保证案例而言,GSN 为保证案例的构建带来了以下几方面的积极影响:首先是GSN 结构为保证案例开发过程赋予了更明确的规则;其次,GSN有助于揭示并识别在安全评估期间所做的假设;第三,GSN使保证性论证的主要结构更便于评审者理解,在此基础上可以评估保证案例的有效性,与之相比,在以文档为中心的方法中,保证案例以文本形式提出,其中所做假设很容易被隐藏,且目标和策略之间的关系也可能模糊不清;最后,GSN图是模块化的,其很容易与系统的功能模块相关联,这意味着GSN 非常适合与基于模型的系统表达方法搭配。相关领域的研究中,Rich提出利用GSN解决安全案例中人为因素的问题[43],其将有关人为因素的描述添加于GSN 通用模型中。Witulski、Austin 等人使用GSN 为包含普通商用现货COTS 器件的航天器进行了辐射保证性论证[44-46]。Austin讨论了由贝叶斯网络的推理结果为GSN 提供证据的可行性[47]。Weaver 使用GSN 对飞机进行了安全论证[48]。Ryder 等人介绍了将GSN集成与保证性建模软件中的工作[49]。
近年来,MBMA 概念在航天任务中的实践不断增加,包括喷气推进实验室(Jet Propulsion Laboratory,JPL)牵头的欧罗巴快船项目[50]、NASA的猎户座项目[51-52]、NASA的探路者项目[53-55]等。其中引人关注的是NASA支持了多项课题用于在MBMA框架下研究航天器在辐射环境下的可靠性、安全性问题。
航天器作为典型的复杂系统,通常来说,经费、时间进度、人力资源是制约航天任务中系统设计的主要因素,对于航天器设计所特有的抗辐射加固设计而言,上述因素的影响尤其明显。在航天器设计中,抗辐射性能是首要关注的问题,根据飞行任务的特点,一般需要考虑单粒子效应[56-58]、总剂量效应[59-60]等因素的影响。就系统设计而言,航天器通常所用的抗辐射加固器件由于本身价格高昂,在经费受限的情况下很难普及,尤其是在目前日渐频繁的商业航天项目中。另外,由于抗辐射加固器件在体积、功耗等方面相比COTS器件通常存在较大劣势,因此即使是在经费充裕的航天项目中,大量使用抗辐射加固器件往往也意味着系统在一定程度上的性能损失。这种情况下,当缺乏可用的抗辐射加固器件或成本限制了抗辐射加固器件的使用时,航天系统会通过适当的COTS 器件选择策略或者系统设计中的相应措施来一定程度上减少辐射效应的影响[61-62]。另一方面,航天系统若直接选用COTS器件的话,通常也需要经过辐射加固保证性(radiation hardness assurance,RHA)过程[63]。这一过程是对系统中辐射所致故障的风险评估和风险管理。其中风险被定义为失败的概率乘以失败的后果[64],器件选型及其所处任务环境对于系统风险有决定性影响。RHA 中的风险评估就是确定潜在故障、故障可能性以及故障后果的活动,风险管理则是在系统约束范围内减少潜在故障、故障可能性和故障后果的活动。有效的RHA过程需要建立在掌握器件可靠性及相关不确定性的基础之上。从这一角度来讲,航天器所选用的COTS器件需要在不同的工作模式、功率等条件下进行大量的辐射测试以了解其可靠性水平。但实际上很难对器件的各种状态进行一一测试鉴定[65],现实中往往只能对COTS 器件在特定系统中的某种应用进行测试,甚至根本不进行辐射测试,而是使用来自类似器件或者系统层的辐射测试结果。这种情况下,在分析辐射环境中的系统风险时,风险评估会对器件的使用做出许多假设。由此可见,选择COTS器件的航天项目在RHA过程中也可能付出项目周期拉长和费用增长的代价,同时RHA 中所引入的各种假设对于设计、评估人员的专业水平也提出了很高的要求。
随着MBSE 日益成为航天领域系统工程的实施标准,NASA 近年来开始探索将MBMA 概念应用于航天器的抗辐射加固设计当中,以应对系统设计过程中由于器件选择、验证等原因所带来的可靠性、安全性、经济性、及时性等方面的挑战。图2所示为采用MBMA 模式对商业卫星的抗辐射性能进行保证性分析时,基于NASA的层次化保证目标所建立的GSN论证结构示意图[49]。
目前,在部分航天器的开发过程中,系统保证性建模分析被视为与辐射试验同样重要。这方面现有研究成果的代表是NASA和范德堡大学基于MBMA思想联合开发的系统工程与保证性建模(systems engineering and assurance modeling,SEAM)软件[49],该软件集成了基于SysML 语言的系统建模、基于GSN 的安全性论证等功能,由此构建了一套体现MBMA思路,能够对航天器在辐射环境下的可靠性、维护性、安全性进行高效分析的工具,其已被应用于商业卫星的辐射加固保证案例中[44-45,47,66-69]。
以SEAM 软件为代表的系统保证性分析工具为其他项目中MBMA概念的实施提供了思路。即任务保证论证工具须尽量降低使用门槛[70],提供与系统开发及使用环境相匹配的快速分析能力,使用图形进行表示,具有灵活的建模能力,能够对器件/系统失效进行表达,可由系统模型生成可靠性分析模型,具备与其他可靠性分析程序之间的互操作性,并提供保证性论证的指导。
就航天器的抗辐射设计而言,保证性分析时除了考虑容易因辐射导致故障的传感器、逻辑器件以外,还要考虑与辐射无关的故障路径,这里所谓的故障传播的路径包括物理和逻辑的接口,由此使得保证性分析覆盖可能影响系统性能的每个环境激励。这也意味着航天器的保证性不仅取决于其固有结构或特定故障模式,还取决于从器件传播到系统的所有故障类型。
MBMA作为一种将MBSE与MA相结合的产物,在航天、航空、武器装备等涉及复杂系统高可靠性、安全性需求的领域有着广阔的应用空间,其可以为项目成本/进度管理、系统可靠性/安全性保障带来积极影响。本文对MBMA所涉及的基本概念及主要支撑技术进行了梳理,由于MBMA的发展历史尚短,有关其完整严谨的解释还缺乏统一认识,现有的研究多侧重于通过具体的分析对象,如商业卫星、空间站、飞机等,来演示MBMA中某些概念的应用,或者探索MBMA 能够为项目带来的收益。这方面比较典型的例子就是基于MBMA 对使用COTS 器件的航天器进行抗辐射能力评估。但是这些应用中,MBMA 与以往方法的根本差异、完整的MBMA的实施过程等内容还需要进一步的明确。
作为一种支撑复杂项目实施的系统工程思想,MBMA 在未来的发展可以从以下两个方面着手:(1)开发完善MBMA 的应用软件,以SEAM 为代表的保证性建模软件已经将SysML建模、FTA自动生成等功能集成在一起并应用于航天器的抗辐射评估中,但现有的此类保证性建模软件普遍未实现可靠性分析模型计算功能的集成,在实际使用时还需将软件生成的FTA、贝叶斯网络等可靠性分析模型导入到另外的专用计算软件,由此可能为实际使用带来困难;(2)完善保证性论证方法,以GSN 为代表的论证方法在应用于安全性、保证性等不同领域时,在语法、结构等方面的差异还需要进一步明确,与领域特点相对应的GSN 论证模板目前还很欠缺,另外,为避免论证者经验问题所导致的GSN论证缺陷,还需结合GSN的语法、结构要求开发相应的自动检查技术。