水面无人艇航行安全性分析

水面无人艇航行安全性分析

王正直

珠海云洲智能科技股份有限公司　广东珠海　 519000

摘　要：近年来水上交通逐步趋于无人化、自主化，水面无人艇作为水上交通中尺寸较小、自主化程度较高的一类工具，使用过程中安全性至关重要。针对复杂多变的海洋环境，无人艇实际航行过程中，受多方面因素影响产生安全事故，提高其航行安全性成为现下研究关键内容。

关键词：水面无人艇；航行安全；优化策略

科学技术高速发展，水上交通工具逐步实现智能化、无人化。水面无人艇自身航速较高、机动性较强等特征，成为海洋等多领域应用主力军。面向海洋复杂多变环境，受外界干扰因素较多，无人艇自身安全性设计成为现下着重考量问题。需积极分析对无人艇安全性能影响因素，提出优化策略，保证无人艇自主航行可靠性及安全性。

一、STAMP事故模型及STPA安全分析方法

1、STAMP事故模型

STAMP事故模型，主要以闭环系统层面为出发点，构建以系统和控制理论为核心导向的事故分析模型。STAMP模型其中最为基本的概念为安全约束、控制反馈及过程模型，过程模型与被控过程不相吻合条件下，便会产生不安全控制行为，所以该事故模型分析中，事故发生并非为简易的组件失效亦或人为因素造成，主要因安全约束问题造成的。危险事故发生过程中，该模型主要将系统内部各组件视为具有较强依附性控制结构，并依托控制结构对各控制回路进行逐一检查，辨识系统内部控制回路中组件控制质量缺陷，从系统视角分析危险程度，深究其核心因素，提出相应的改进措施。

2、STPA安全分析方法

STPA安全分析方法主要以上述模型为基础建立综合性评估方法，其主要从系统工程视角出发，其主要分析对具体主体目标建立控制和反馈回路。应用STPA进行安全性分析，明晰系统事故和危险，分析处于特定场景下不安全控制行为，并对其进行精准性关键因素分析。

二、无人艇航行安全分析

1、Pixhawk无人艇组成架构

1.1 硬件架构

Pixhawk作为基于多个移动机器平台上实践应用的低成本、高性能自驾仪，其硬件架构中主控制器肩负多个自驾仪功能需求任务目标，主要包含传感器数据读写、运动控制等。协处理器、接收遥控器输入等相关模块，核心目标在于实现手操遥控无人艇功能。通过姿态测量系统、速度测量等保证无人艇自身实际状况动态化掌握。动力系统工作主要配置电机为其持续性工作提供驱动力，一个舵机提供转向力，电源系统主要为电机电调提供核心驱动力，同时也为控制器和其他模块提供弱电。无人艇自主航行过程中，其实际航行速度、姿态等测量单元，通过动态化内实时管理协调协议、串口协议等自行向主控制器发送无人艇在航行过程中的精准信息，主控制器接收信息之后，联合与协处理器交互加工，最终交由协处理器发出脉冲宽度和信号，实现无人艇舵机和电机执行信号指令，保证其按照初期路线功能自主航行，可从本质层面保证无人艇航行安全性。

1.2 PX4软件架构

为进一步对航点进行动态化跟踪，上述无人艇运行过程中主动增设固定件PX4。作为一个精密性较高的产品，无人艇内部各模块、系统合理化设计及高效约束，是从本质保证无人艇航行功能安全的关键内容。使用型号为PX4开源固件，运行嵌入式实时系统，保证占用有限硬件资源基础上，可达成多任务目标动态化调管。为增强软件系统通用性，PX4软件架构选用三层架构模式，不同架构功能及模式功能及特征不尽相同：首先，算法应用层。该层主要肩负对无人艇航行控制任务目标，主要包含导航、制航、控制模块，依托三个模块及其他单元配合支持，无人艇结合初期预设路径航行、工作模块自动切换等任务。其次，任务调度层。该层主要接收源于算法应用层和任务调度层相关信息指令信号，各模块内输入输出均以微对象请求代理消息运行，保证多个任务同步实施得以响应，吻合无人艇动态任务执行实际需求。最后，设备驱动层。该层主要具备较强的隔离作用，将控制算法开发与硬件予以隔离，通过各驱动模块与硬件模块实现精准性对接关系，并通过任务调度层将相关信息实时输送至下层设备驱动模块中，以此构建良好的联系^[1]。

1.3 STAMP事故模型

基于上述无人艇系统架构，构建完善的事故模型，无人艇执行自主航行过程中，主要是由岸上操作人员通过地面控制站有序规划航行路线，并依托数据连接将其信息下载至硬件中，地面控制站可自行切换无人艇工作模式，启动自主跟踪航行线路点模式，按照其初期顺序逐一执行航行任务目标，保证整个航行过程的安全性。航路点跟踪任务执行过程中，系统主控制器依托各类传感器模块动态化追踪无人艇姿态、位置等相关信息传输至导航模块中，通过传感器数据融合计算之后输出最终结果。按照无人艇当下位置控制规律获取执行机构控制量，通过姿态控制获取机构实际控制量，最终输出外部执行机构控制指令。

2、STPA航行安全分析

2.1 定义系统级事故

STPA分析初期环节为明晰系统故障等级，主要是指整个系统中引发突发性事件发生，如并无人员损伤或任务失效，处于无人艇执行航行任务过程中，系统级事故汇总主要包含四大模块：无人艇受损（A-1）、无人艇丢失（A-2)、无人艇沉没（A-3)、无人艇碰撞（A-4)。

2.2 定义系统级危险

系统级危险是可能促使系统发生事故子集，系统级危险可能存在多个系统事故发生，无人艇航行过程危险系级主要包含多个内容，包含无人艇设备失控、偏离预设路线、感知错误、通信中断。

2.3 关键原因分析

将无人艇模型转化为无人艇自主航行控制和反馈回路，结合分析方法可获知，其实际分析原因包含以下几方面：首先，不正确、不及时和不合理控制行为引发危险。其核心因素在于地面控制站至Pixhawk自驾仪、Pixhawk自驾仪至舵机、Pixhawk自驾仪至电机、舵机输出、电机输出。其次，不及时、不完整和不合理信息反馈引发危险，其关键性因素在于风或浪至无人艇间的传感器、GPS传感器至Pixhawk自驾仪、姿态传感器至Pixhawk自驾仪。

2.4 安全性能优化

引发无人艇航行安全的影响因素具有一定相似性，从三方面提出优化建议及措施：首先，地面控制站操作人员。相关人员正式操控无人艇之前，需积极明晰其内部各模块工作运行状态，并对各类问题逐一制定可行性较高的应急预案。无人艇实际航行过程中，地面站操作人员需动态化关注无人艇运行状态，确保其处于正常状态下不受外界指令影响，判定其遇见事故或故障需精准判断事故类型及并及时作出响应，避免产生较大级别事故。其次，硬件设计及运行检验。无人艇执行任务之前，需保证内部各模块功能完整性及衔接可靠性，确保无人艇航行工作可实现持续性，任务结束之后需对其系统性进行检查，以免进水引发各类电气损伤。最后，软件设计及故障处理。基于原有主控芯片层面，独立完成自主航行控制任务，扩展协处理器自身功能，优化改进后Pixhawk整体框架中主控器处于正常作业状态，协处理器不处理姿态传感器数据。为了操作人员分析提供便捷以及实施远程遥控操纵，所有状态数据的采集以及控制指令的下发均依托数据传输模块输送至地面控制站。

结束语

无人艇航行安全性至关重要，需积极利用多个安全分析方法，对自主航行控制过程安全进行综合性分析，更完整辨识不安全控制行为及其原因，从三方面提出安全设计策略，增强无人艇自主航行安全性及可靠性。

参考文献：

[1]范云生、苏辉、王国峰.无人水面艇自主航行能力测试技术与应用[J].大连海事大学学报，2020,183(3):41-52.