从设计角度谈无人机表演安全

胡宝棋

【摘 要】 综合考虑无人机演出安全系统架构中的各种因素，利用矩阵分析的方法，从设计的角度，分析无人机表演中可 能出现的事件或事故，提出无人机表演中的风险预判、安全控制以及规范化应用的方法和措施。

【关键词】 无人机；安全系统；地理区域；严重等级；风险分析；风险控制

文章编号： 10.3969/j.issn.1674-8239.2017.05.011

【Abstract】This paper introduces 35 items of possible failure in design view of UAV show using matrix by safety layers， geographic zones and severity levels in the safety system. It has a certain guiding significance for the risk prediction and safety control in the performance of the UAV， and the standardized application of this new thing.

【Key Words】Unmanned Aviation Vehicles （UAV）； security system； geographic zones； severity level； risk analysis； risk control

1 概述

目前无人机（Unmanned Aerial Vehicle）技术发展很快，大规模集群应用的情况越来越广泛，例如航拍、送货、机场、港口、大型集会、观礼庆典、军事等，无人机表演已经开始出现在越来越多的活动场合。近期，在重庆万达城，101架无人机表演在嘉陵江畔的夜空中画下精美的3D图案（图1）。英特尔公司在德国举办的无人机灯光音乐会（图2），绘写下精美的文字，同时也开创了无人机演出的先河。

无人机表演最重要的一点是能够安全运行操作，航空主管部门已针对无人机的运行推出了一系列措施。安全问题不容妥协，因此，安全应作为驱动因素，成为设计的一部分。硬件、软件、美学、程序、资源、运输、培训、维修等均应纳入安全评估范围。

2 无人机演出安全系统架构

2.1 安全系统

（1）投资保护系统（IPS），包含两个层级（L1、L2）。

L1：可自动检测故障并以紧急迫降形式发出适当动作指令的非认证软件系统。

L2：为飞行指挥官提供硬件和/或软件按钮，使其能指挥无人机演出上的无人机单独或集体停机，并紧急迫降或关闭所有发动机的人工操作监管系统。所有指令的通信均通过地面站和非认证的无线电和/或无线网络信道发出。

（2）人类与环境保护系统（HPS），包含一个层级（L3）。

L3：可通过无线电控制使无人机演出上的所有无人机均紧急停机（终极开关）的人工监管系统。心跳站（地面站的组成部分）和机载端均采用认证软件进行紧急停机。保活信息通过无线网络和无线电广播渠道，从心跳站发送至无人机。终极开关推上时，心跳系统的电源就会被切断，造成保活信息中断，导致无人机机载紧急停机系统切断发动机驱动的启动信号，从而使发动机立即停止运转，并使无人机演出的所有无人机坠落。

需强调的是，人类与环境保护系统仅为备份方案，只有当投资保护系统在极罕见的情况下失效时方可采用，而投资保护系统只有在多个独立故障同时发生时才可能失效。

2.2 地理区域

为明确安全措施，对静态地理区域作出以下界定。

（1）飞行区：唯一容许无人机飞行的区域。本区域由水平边界和高度限制组成，而水平边界则由一组直线构成。

（2）投资保护系统缓冲区：飞行区周围的第一个区域。虽然无人机不得在本区域内飞行，但是无法严格保证无人机遵守该安全规定。如检测到无人机进入本区域，无人机控制器会立即关闭其发动机。投资保护系统的目的在于将无人机控制在本区域和飞行区的组合内。

投资保护系统缓冲区特征长度：飞行区与公共缓冲区之间的最短距离。

（3）公共缓冲区：飞行区周围的第二个区域。虽然无人机不得在本区域内飞行，但是无法严格保证无人机遵守该安全规定。投资保护系统的目的在于防止无人机进入本区域。如检测到无人机进入本区域，终极开关操作员会推上终极开关，使所有无人机立即坠落。投资保护系统缓冲区的每条外部边界线均应由两名终极开关操作员实施监控。

公共缓冲区特征长度：公共区与投资保护系统缓冲区之间的最短距离。本区域具有最短特征长度，应时刻遵守。其最小值依弹道测试而定。

（4）公共区：除飞行区、投资保護系统缓冲区和公共缓冲区以外的区域。无人机不得在本区域内飞行，由终极开关操作员通过操作确保该安全规定得以严格遵守。

（5）起降区：无人机演出的无人机在飞行区内起飞和降落的位置。

图3展示了地理区域的一般布局，具体依无人机演出的实际情况而定。

2.3 严重等级

首先界定与风险严重等级直接相关的事件和事故（摘自996/2010号 欧盟条例）。

事件指的是除事故以外，与飞行器的操作有关，且影响或可能影响操作安全的事情。

事故指的是与飞行器的操作有关并发生在飞行器准备起飞至飞行器结束飞行且主推进系统关闭期间的事情，其中包括以下情况。

（1）某人因以下原因发生致命或严重伤害：直接接触飞行器的任意部位，包括从飞行器上分离出来的部件；或直接暴露在喷气中（螺旋桨的噪声或气流），自然原因、自己或他人造成的伤害除外。

（2）飞行器发生损坏或结构性故障，从而对其结构强度、性能或飞行特性产生不利影响，且通常需要进行大规模维修或更换受损元件；或飞行器失踪或完全失联。

严重等级可作如下界定。

① 低严重性

N1：所有无人机均可飞行。

N2：并非所有无人机均可飞行（拒绝或无法起飞）。

② 中等严重性（事件）

I1：在需运行定位系统标记位置方可抵达下一个疏散出口点时，无人机通过位置控制，沿疏散轨迹实施疏散降落。

I2：无人机通过水平位置控制，实施即时紧急降落，而垂直速度控制需运行定位系统位置。

I3：无人机通过水平速度控制，实施即时紧急降落，而垂直速度控制需运行定位系统速度。

I4：无人机通过姿态控制，实施紧急降落，而垂直速度控制需运行惯性测量单元和气压表。

I5：无人机实施非标行为，且未采取疏散或应急措施。

③ 高严重性（事故）

A0：无人机在投资保护系统缓冲区内飞行或着陆时损坏。

A1：无人机离开投资保护系统缓冲区，且终极开关已推上。

A2：无人机离开投资保护系统缓冲区，但终极开关未推上。

A3：无人机造成致命或严重的人身伤害。

如无人机仍遵守规定的界线，但行为不稳定，则可能使所有事件等级恶化。在风险分析中，如预计会发生不稳定行为，则该事件会加注符号“u”，例如“I2u”表示无人机通过不稳定的水平位置控制，实施紧急降落。

3 无人机演出风险分析

本风险分析涉及以下故障。

（1）源自无人机演出系统功能架构的功能硬件组成部分（螺旋桨、电池、处理器、天线、通信设备传感器等）。

（2）机载发电机微控制器内的发动机驱动软件。

（3）机载可编程逻辑内的位置控制软件。

（4）机载处理器内的插补通信软件。

（5）地面站系统。

除另有说明，本风险分析假设了以下基本原则。

（1）每次只存在一种故障模式。

（2）分析的所有项目的输入值（包括软件指令）均以标称值呈现。

（3）标称动力有效。

如同時出现两种或以上的故障，则分别进行处理，并整合成有案可查的附加故障模式。

3.1 故障的可能性

每个故障模式均有一定的发生概率，代表每架无人机发生故障的可能性。故障在一段时间内发生的可能性是该概率乘以无人机在此期间飞行的次数所得的数值（表1）。

3.2 风险分析矩阵

下面采用风险分析矩阵法，从机载设备、通信、软件漏洞、飞行轨迹位置、地面设施等五个方面进行故障分析，并给出控制措施（表2）。

4 结语

虽然无人机及其控制系统是专门针对安全操作而设计的，并且有了如上的风险分析控制措施，但安全问题仍不可小觑，如有可能，还可利用安全网对无人机演出和公众进行物理隔离。随着无人机技术的发展和应用领域的扩充，安全系统也会变得越来越完善。

参考文献：

[1] 事故/事故征候调查和预防，996/2010号规章，欧盟条例.

[2] AC-91-FS-2015-31《轻小无人机运行规定》[S]. 中国民用航空局飞行标准司.