胡寶棋

【摘 要】 綜合考慮無人機演出安全系統(tǒng)架構(gòu)中的各種因素，利用矩陣分析的方法，從設(shè)計的角度，分析無人機表演中可 能出現(xiàn)的事件或事故，提出無人機表演中的風險預(yù)判、安全控制以及規(guī)范化應(yīng)用的方法和措施。

【關(guān)鍵詞】 無人機；安全系統(tǒng)；地理區(qū)域；嚴重等級；風險分析；風險控制

文章編號： 10.3969/j.issn.1674-8239.2017.05.011

【Abstract】This paper introduces 35 items of possible failure in design view of UAV show using matrix by safety layers， geographic zones and severity levels in the safety system. It has a certain guiding significance for the risk prediction and safety control in the performance of the UAV， and the standardized application of this new thing.

【Key Words】Unmanned Aviation Vehicles （UAV）； security system； geographic zones； severity level； risk analysis； risk control

1 概述

目前無人機（Unmanned Aerial Vehicle）技術(shù)發(fā)展很快，大規(guī)模集群應(yīng)用的情況越來越廣泛，例如航拍、送貨、機場、港口、大型集會、觀禮慶典、軍事等，無人機表演已經(jīng)開始出現(xiàn)在越來越多的活動場合。近期，在重慶萬達城，101架無人機表演在嘉陵江畔的夜空中畫下精美的3D圖案（圖1）。英特爾公司在德國舉辦的無人機燈光音樂會（圖2），繪寫下精美的文字，同時也開創(chuàng)了無人機演出的先河。

無人機表演最重要的一點是能夠安全運行操作，航空主管部門已針對無人機的運行推出了一系列措施。安全問題不容妥協(xié)，因此，安全應(yīng)作為驅(qū)動因素，成為設(shè)計的一部分。硬件、軟件、美學、程序、資源、運輸、培訓、維修等均應(yīng)納入安全評估范圍。

2 無人機演出安全系統(tǒng)架構(gòu)

2.1 安全系統(tǒng)

（1）投資保護系統(tǒng)（IPS），包含兩個層級（L1、L2）。

L1：可自動檢測故障并以緊急迫降形式發(fā)出適當動作指令的非認證軟件系統(tǒng)。

L2：為飛行指揮官提供硬件和/或軟件按鈕，使其能指揮無人機演出上的無人機單獨或集體停機，并緊急迫降或關(guān)閉所有發(fā)動機的人工操作監(jiān)管系統(tǒng)。所有指令的通信均通過地面站和非認證的無線電和/或無線網(wǎng)絡(luò)信道發(fā)出。

（2）人類與環(huán)境保護系統(tǒng)（HPS），包含一個層級（L3）。

L3：可通過無線電控制使無人機演出上的所有無人機均緊急停機（終極開關(guān)）的人工監(jiān)管系統(tǒng)。心跳站（地面站的組成部分）和機載端均采用認證軟件進行緊急停機。?；钚畔⑼ㄟ^無線網(wǎng)絡(luò)和無線電廣播渠道，從心跳站發(fā)送至無人機。終極開關(guān)推上時，心跳系統(tǒng)的電源就會被切斷，造成?；钚畔⒅袛?，導致無人機機載緊急停機系統(tǒng)切斷發(fā)動機驅(qū)動的啟動信號，從而使發(fā)動機立即停止運轉(zhuǎn)，并使無人機演出的所有無人機墜落。

需強調(diào)的是，人類與環(huán)境保護系統(tǒng)僅為備份方案，只有當投資保護系統(tǒng)在極罕見的情況下失效時方可采用，而投資保護系統(tǒng)只有在多個獨立故障同時發(fā)生時才可能失效。

2.2 地理區(qū)域

為明確安全措施，對靜態(tài)地理區(qū)域作出以下界定。

（1）飛行區(qū)：唯一容許無人機飛行的區(qū)域。本區(qū)域由水平邊界和高度限制組成，而水平邊界則由一組直線構(gòu)成。

（2）投資保護系統(tǒng)緩沖區(qū)：飛行區(qū)周圍的第一個區(qū)域。雖然無人機不得在本區(qū)域內(nèi)飛行，但是無法嚴格保證無人機遵守該安全規(guī)定。如檢測到無人機進入本區(qū)域，無人機控制器會立即關(guān)閉其發(fā)動機。投資保護系統(tǒng)的目的在于將無人機控制在本區(qū)域和飛行區(qū)的組合內(nèi)。

投資保護系統(tǒng)緩沖區(qū)特征長度：飛行區(qū)與公共緩沖區(qū)之間的最短距離。

（3）公共緩沖區(qū)：飛行區(qū)周圍的第二個區(qū)域。雖然無人機不得在本區(qū)域內(nèi)飛行，但是無法嚴格保證無人機遵守該安全規(guī)定。投資保護系統(tǒng)的目的在于防止無人機進入本區(qū)域。如檢測到無人機進入本區(qū)域，終極開關(guān)操作員會推上終極開關(guān)，使所有無人機立即墜落。投資保護系統(tǒng)緩沖區(qū)的每條外部邊界線均應(yīng)由兩名終極開關(guān)操作員實施監(jiān)控。

公共緩沖區(qū)特征長度：公共區(qū)與投資保護系統(tǒng)緩沖區(qū)之間的最短距離。本區(qū)域具有最短特征長度，應(yīng)時刻遵守。其最小值依彈道測試而定。

（4）公共區(qū)：除飛行區(qū)、投資保護系統(tǒng)緩沖區(qū)和公共緩沖區(qū)以外的區(qū)域。無人機不得在本區(qū)域內(nèi)飛行，由終極開關(guān)操作員通過操作確保該安全規(guī)定得以嚴格遵守。

（5）起降區(qū)：無人機演出的無人機在飛行區(qū)內(nèi)起飛和降落的位置。

圖3展示了地理區(qū)域的一般布局，具體依無人機演出的實際情況而定。

2.3 嚴重等級

首先界定與風險嚴重等級直接相關(guān)的事件和事故（摘自996/2010號 歐盟條例）。

事件指的是除事故以外，與飛行器的操作有關(guān)，且影響或可能影響操作安全的事情。

事故指的是與飛行器的操作有關(guān)并發(fā)生在飛行器準備起飛至飛行器結(jié)束飛行且主推進系統(tǒng)關(guān)閉期間的事情，其中包括以下情況。

（1）某人因以下原因發(fā)生致命或嚴重傷害：直接接觸飛行器的任意部位，包括從飛行器上分離出來的部件；或直接暴露在噴氣中（螺旋槳的噪聲或氣流），自然原因、自己或他人造成的傷害除外。

（2）飛行器發(fā)生損壞或結(jié)構(gòu)性故障，從而對其結(jié)構(gòu)強度、性能或飛行特性產(chǎn)生不利影響，且通常需要進行大規(guī)模維修或更換受損元件；或飛行器失蹤或完全失聯(lián)。

嚴重等級可作如下界定。

① 低嚴重性

N1：所有無人機均可飛行。

N2：并非所有無人機均可飛行（拒絕或無法起飛）。

② 中等嚴重性（事件）

I1：在需運行定位系統(tǒng)標記位置方可抵達下一個疏散出口點時，無人機通過位置控制，沿疏散軌跡實施疏散降落。

I2：無人機通過水平位置控制，實施即時緊急降落，而垂直速度控制需運行定位系統(tǒng)位置。

I3：無人機通過水平速度控制，實施即時緊急降落，而垂直速度控制需運行定位系統(tǒng)速度。

I4：無人機通過姿態(tài)控制，實施緊急降落，而垂直速度控制需運行慣性測量單元和氣壓表。

I5：無人機實施非標行為，且未采取疏散或應(yīng)急措施。

③ 高嚴重性（事故）

A0：無人機在投資保護系統(tǒng)緩沖區(qū)內(nèi)飛行或著陸時損壞。

A1：無人機離開投資保護系統(tǒng)緩沖區(qū)，且終極開關(guān)已推上。

A2：無人機離開投資保護系統(tǒng)緩沖區(qū)，但終極開關(guān)未推上。

A3：無人機造成致命或嚴重的人身傷害。

如無人機仍遵守規(guī)定的界線，但行為不穩(wěn)定，則可能使所有事件等級惡化。在風險分析中，如預(yù)計會發(fā)生不穩(wěn)定行為，則該事件會加注符號“u”，例如“I2u”表示無人機通過不穩(wěn)定的水平位置控制，實施緊急降落。

3 無人機演出風險分析

本風險分析涉及以下故障。

（1）源自無人機演出系統(tǒng)功能架構(gòu)的功能硬件組成部分（螺旋槳、電池、處理器、天線、通信設(shè)備傳感器等）。

（2）機載發(fā)電機微控制器內(nèi)的發(fā)動機驅(qū)動軟件。

（3）機載可編程邏輯內(nèi)的位置控制軟件。

（4）機載處理器內(nèi)的插補通信軟件。

（5）地面站系統(tǒng)。

除另有說明，本風險分析假設(shè)了以下基本原則。

（1）每次只存在一種故障模式。

（2）分析的所有項目的輸入值（包括軟件指令）均以標稱值呈現(xiàn)。

（3）標稱動力有效。

如同時出現(xiàn)兩種或以上的故障，則分別進行處理，并整合成有案可查的附加故障模式。

3.1 故障的可能性

每個故障模式均有一定的發(fā)生概率，代表每架無人機發(fā)生故障的可能性。故障在一段時間內(nèi)發(fā)生的可能性是該概率乘以無人機在此期間飛行的次數(shù)所得的數(shù)值（表1）。

3.2 風險分析矩陣

下面采用風險分析矩陣法，從機載設(shè)備、通信、軟件漏洞、飛行軌跡位置、地面設(shè)施等五個方面進行故障分析，并給出控制措施（表2）。

4 結(jié)語

雖然無人機及其控制系統(tǒng)是專門針對安全操作而設(shè)計的，并且有了如上的風險分析控制措施，但安全問題仍不可小覷，如有可能，還可利用安全網(wǎng)對無人機演出和公眾進行物理隔離。隨著無人機技術(shù)的發(fā)展和應(yīng)用領(lǐng)域的擴充，安全系統(tǒng)也會變得越來越完善。

參考文獻：

[1] 事故/事故征候調(diào)查和預(yù)防，996/2010號規(guī)章，歐盟條例.

[2] AC-91-FS-2015-31《輕小無人機運行規(guī)定》[S]. 中國民用航空局飛行標準司.