高安全性、高可靠性一直是航空装备研制所追求的重要目标，经过多年的发展，航空装备的安全性、可靠性工作体系已经基本趋于成熟。以故障模式及影响分析(FMEA)、故障树分析(FTA)、可靠性框图(RBD)为代表的常规系统安全性、可靠性分析技术，已在工程实践中得到了广泛的应用。但是，随着装备向综合集成化、智能化、网络化、软件密集化发展，装备各层级系统的设计复杂程度大幅提高，系统安全性、可靠性分析工作面临着较大的挑战：① 传统的系统安全性、可靠性分析手段主观性较强，分析结果的准确性高度依赖工程师的自身水平，对于同一系统，由于知识以及思考方式的差异，不同的工程师建立的安全性、可靠性模型可能差别非常大；② 针对具有动态重构特性、故障时序相关、逻辑相关的复杂系统，通过人工推理分析系统的故障逻辑关系已经变得不太现实，即便可以分析，其全面性和准确性也难以保证；③ 系统安全性、可靠性与功能性能的协同设计变得越来越困难。在基于文档的设计模式下，系统可靠性分析的输入通常是系统设计方案等资料信息，由于文本表述天然存在的模糊性、二义性，实际上无法保证分析人员能够准确地理解系统设计原理，从而造成安全性、可靠性分析的输入与产品的实际状态不一致。尤其对于复杂系统，其安全性、可靠性分析与系统功能、性能设计之间的沟壑有进一步加剧的趋势。

基于模型的安全性分析(MBSA)、可靠性分析(MBRA)方法被认为是解决以上问题的有效手段和途径。与直接通过人工演绎建立可靠性框图模型、故障树模型等模型不同，基于模型的安全性、可靠性分析强调的是建立一个系统功能与可靠性的综合模型，该模型需要在定义系统正常行为的同时，同步描述系统的故障行为，从而可以使用自动化、半自动化方式导出FTA、可靠性框图等模型，或者可以通过故障注入、仿真等手段执行安全性、可靠性分析。基于模型的安全性、可靠性分析保证了分析源头的准确性和规范性，同时可以通过自动化仿真等方法完成复杂系统的分析，一定程度上减轻了工程师的负担[1]。

近几年来，基于模型的系统工程(Model-Based System Engineering,MBSE)技术正在成为一种公认的复杂系统数字化设计范式。与传统系统工程方法相比，MBSE重点强调了以模型(例如SysML模型)传递需求、以模型驱动设计以及将规范化的模型作为系统协同设计的载体[2-5]。MBSE技术的不断发展，尤其是系统建模方法的不断规范化、统一化，为基于模型的安全性、可靠性设计的进一步发展提供了有利的契机。将基于模型的系统安全性、可靠性设计与MBSE研制流程进行融合和集成，是目前模型驱动的设计领域所关注的一项新的课题，也是未来基于模型的安全性、可靠性设计的重点发展方向。

本文首先对基于模型的安全性、可靠性分析方法进行总结和介绍，重点介绍了该领域内2类主要的建模分析思路：基于系统结构模型的安全性、可靠性分析方法、基于系统行为模型的安全性、可靠性分析方法；其次，结合近年来MBSE技术的发展，介绍系统安全性、可靠性设计与MBSE的集成技术的发展现状；最后，对目前该技术方向存在的问题和进一步发展方向进行了阐述。

1 基于模型的系统安全性和可靠性分析技术

国外很早就在开展基于模型的系统安全性分析技术的研究，并逐步发展形成了各种成熟的软件产品。欧盟一直在基于模型的复杂系统安全性分析技术领域进行持续投资，通过赞助“复杂系统增强安全性评估(ESACS)”等项目，为航空领域的研究机构和先进企业建立合作平台，形成了基于模型的安全性评估方法论和软件工具平台，并推动该技术的推广和应用[6]；达索公司、空客公司等先进飞机制造商与波尔多大学等研究机构合作开发了Altarica形式化验证语言，用于复杂系统的安全性分析，在该语言基础上形成了了SIMFIA、Cecillia OCAS等多款安全性分析软件工具[7]；目前，以AltaRica为代表的MBSA技术已经在波音、空客、达索航空、EADS、泰利斯航电公司、霍尼韦尔等公司多个飞机型号的关键系统中进行了广泛的应用[8-10]。

基于模型的系统安全性、可靠性分析主要解决几个关键技术问题：

图1 考虑功能失效的系统安全性、可靠性分析整合

1) 要建立一个能涵盖系统正常与故障行为的综合模型，能在功能模型的基础上自动分析系统的故障传播路径，模型要能与传统的安全性、可靠性分析技术兼容，能够导出FMEA、FTA等传统的安全性、可靠性分析模型。

2) 系统的故障行为模型不仅能对串联、并联、混联等简单的余度系统进行描述，而且能够对复杂系统中所存在的动态重构行为、时序相关故障、逻辑相关故障、多状态故障等典型特征进行描述。

3) 要能支持安全性、可靠性定性、定量需求的验证。对于复杂系统而言，仅采用FMEA、FTA进行分析通常是不够充分的，经常需要借助仿真手段以确认系统设计能否满足安全性、可靠性要求。实现自动化需求验证的前提是建立一套建模仿真机制，能将安全性、可靠性需求转化为特定的逻辑描述，同时能通过事件序列搜索或其他枚举机制证实需求的正确性或找出反例。

尽管目前国内外文献中存在多种“基于模型的安全性、可靠性分析方法”，但是其所依赖的核心基础模型都是“广义的”系统功能模型，包括描述系统功能结构、状态行为、性能参数关系的各种类别的模型。

根据所依赖的系统功能模型的类型不同，基于模型的系统安全性、可靠性分析技术主要有2种分支，一种是较早发展的基于系统结构模型的安全性、可靠性分析技术，主要以系统的功能流、数据流为基础构建系统综合模型开展安全性、可靠性分析，此类模型一般是静态的；另外一种是基于系统行为模型的安全性、可靠性分析技术，主要以系统的离散状态行为、连续行为模型为基础开展安全性、可靠性分析，此类模型一般是动态的。

1.1 基于系统结构模型的安全性和可靠性分析

基于系统结构模型的安全性和可靠性分析，主要是以系统的组成结构和功能分配结果为对象，建立描述系统功能关系的形式化模型；在此基础上，定义局部单元的故障逻辑，从而建立系统的故障传播模型。随后，根据系统的故障传播模型导出FMEA分析结果或FTA模型，基本流程如图2所示。因此，本技术方向研究的问题多数集中于如何建立系统结构模型、故障传播模型，以及如何能根据模型自动生成FTA、FMEA输出物。

图2 基于系统结构模型的安全性和可靠性分析

分层执行的危险源与传播分析(HIP-HOPS)方法是一种典型的基于系统结构建模的可靠性分析方法，主要在Simulink建立的系统模型基础上，通过研究每个部件从输入失效、内部失效到输出失效的逻辑关系，进而获得系统输出失效的所有传播路径。HIP-HOPS针对传统FMEA仅能识别单点失效的缺陷引入了能够表示组合失效的IF-FMEA表。HIP-HOPS具有专门的分析工具SAM分析工具。SAM工具包含模型自动分析算法和故障树自动生成算法，能在对系统模型完成失效建模后运行生成故障树，然后进行最小割集计算[11]。

文献[12]研究了一种基于架构分析与设计语言模型(Architecture Analysis and Design Language，AADL)的FTA自动生成算法，主要利用AADL建立的物理架构模型和错误模型附件，通过对AADL模型进行递归解析和提取，生成静态故障树，进行可靠性分析。

文献[13]研究了一种基于模糊认知图(FCM)的自动FMEA生成方法，该方法的核心是对功能FMEA、硬件FMEA相关的故障模式、失效、故障机理、故障原因等各因素进行了模型化的抽象，从而能借助系统功能模型，建立一个由最底层硬件故障模式到最高层系统功能失效模式的映射关系，然后可以通过故障仿真生成详细的FMEA表格。

基于系统结构模型的安全性、可靠性分析方法的优点在于：实现了系统功能流传递与故障传播的结合，能够方便地导出FMEA、FTA等层次化故障分析模型。但缺点在于该方法一般只适用于对功能结构不变的静态系统进行分析，不适用于有动态行为的复杂系统分析；此类模型中一般不涉及系统的容错算法和控制逻辑，也不能支持自动化的仿真验证。

1.2 基于系统行为模型的安全性、可靠性分析

对于要考虑故障相关动态行为的复杂系统，国内外一直在持续研究其建模和分析方法，典型方法包括：动态故障树、随机Petri网、马尔科夫模型、状态机模型等[14-17]。但这些建模方法一般比较复杂，与系统设计的关联度也不高，同时作为一种高度抽象化的方法，很难形成统一的建模标准，因此其应用范围受到了制约。随着系统动态行为建模手段的不断完善，目前主要的技术发展趋势是建立一个同时包含系统正常动态行为和异常动态行为的综合模型，采用形式化验证或故障注入仿真的方法进行安全性、可靠性分析。

该技术的实现过程是：① 建立系统正常的行为模型，描述系统在输入正常、自身状态正常的条件下，应完成的正常功能行为。对于不同类型的系统，系统行为模型的构建方法是不同的。对于离散的系统，一般采用类似状态机模型描述系统的动态行为；对于连续系统，常采用性能建模方法描述系统的连续行为；② 在正常系统行为模型上定义故障行为，刻画系统的故障激发和状态变迁行为；③ 确定待验证的需求。指定需要分析和验证的安全性、可靠性定性、定量要求；④ 实施仿真分析。在对安全性、可靠性需求进行严格定义的条件下，可通过自动化仿真手段对组件故障时系统的响应进行模拟仿真，同时输出不满足需求的状态和条件，基本流程如图3所示。能对系统的各种安全性、可靠性需求(例如系统容错能力等定性要求)进行穷举式的验证，是该技术具备的一项重要优势。

图3 基于系统行为模型的安全性和可靠性分析

将“模型检测”等形式化验证方法应用于安全性、可靠性分析，是本项技术发展的重要分支。所谓模型检测，主要是根据需求对系统定义必要的安全性、可靠性属性和输出观测变量，然后利用形式化验证器直接进行自动化分析，搜索可能存在的反例(即当处于系统某种输入状态时，安全性、可靠性需求不满足)，并列举反例的输入状态，从而实现对系统安全性、可靠性需求进行验证的目的[18]。

FSAP/NuSMV-SA是欧盟ESACS项目所开发的形式化验证平台，包括图形用户界面(FSAP)和基于NuSMV模型检验器的引擎(NuSMV-SA)。NuSMV模型检验引擎为系统仿真和模型检验(如属性验证和反例生成)提供支持，是实现安全性需求形式化验证的核心。NuSMV主要通过模块和过程的声明和实例化机制来描述有限状态机，并用CTL和LTL表达需求。目前，FSAP / NuSMV-SA的主要功能，如图4所示，包括：① 建立一个正常的系统功能与行为综合模型；② 基于预定义的故障模式库在功能模型上进行故障自动注入；③ 以时态逻辑公式的形式定义安全性需求；④ 执行模型仿真，包括自动生成系统故障树；设定仿真或随机模拟；生成反例路径和故障排序[19-20]。

图4 FSAP/NuSMV-SA形式化验证过程

早期国内外研究的基于模型的系统安全性、可靠性分析技术，主要解决的是：如何将可靠性模型与系统的结构模型、行为模型进行整合，实现安全性、可靠性与性能的一体化分析，提高分析能力和效率。但由于受技术发展的限制，早期系统建模技术发展并不成熟，系统建模语言、建模方法规范化程度也不够，因此该技术发展出了许多个分支，这些不同分支所依赖的系统功能模型各不相同，很多系统功能模型本身并不被系统设计所采用，在一定程度上阻碍了该技术的进一步深化应用。

相对于严格的形式化验证技术，该技术方向的另外一种思路是：直接利用系统设计建立的仿真模型，通过进行故障建模和定义，同步实施安全性、可靠性仿真分析和评估。与形式化验证相区别，这种技术途径不需要掌握很复杂的形式化建模语言，只需掌握本领域内的设计建模语言即可，因此比较适用于熟悉本领域系统建模语言(如Modelica、SysML、AADL语言等)的设计人员使用[22]。

德国宇航中心研究了一种基于Modelica的系统可靠性和安全性仿真分析方法，在Modelica环境下开发电网架构设计优化工具(Electrical Network Architecture Design Optimisation Tool，ENADOT)，可在开展系统性能仿真分析的同时，利用故障仿真建模进行最小路径、最小割集的分析以及安全性、可靠性的评估[23]。

美国国家航空航天局(NASA)的DARPA实验室在月球探测器电子系统开发过程中，建立了系统的Simulink仿真模型，同时采用故障建模和仿真的手段进行故障响应的测试，最后可将故障模型转化为马尔科夫模型进行可靠性评估[24]。

北京航空航天大学提出了一种基于AADL系统体系结构模型的可靠性建模方法，设计出一套转换规则，可对AADL体系结构模型的软硬件构件进行模型转换，实现从AADL系统体系结构可靠性模型到系统体系结构广义随机Petri网的转换[25]。

基于系统行为模型的安全性、可靠性分析方法的优点在于：可以直接利用系统设计过程中建立的状态机模型、性能模型等仿真模型，进行严格的安全性、可靠性形式化验证；可以方便对复杂系统的各种动态行为和算法逻辑进行描述，非常适用于具有高安全和高可靠要求的复杂系统的分析。缺点在于：对系统功能模型的要求较高，建模时需要在模型的完整性与建模效率之间进行平衡；对于复杂系统，状态空间爆炸和仿真效率低下等问题经常难以避免；同时由于系统行为模型通常缺乏层次性，因此很难直接以行为模型为基础生成符合要求的FMEA表格或FTA模型。

1.3 两种方法的综合

基于系统架构模型的安全性、可靠性分析技术对系统模型的要求不高，建模方式相对简便，但不能对复杂系统行为进行分析；基于系统行为模型的安全性、可靠性分析技术能借助系统模型快速进行需求验证，但对系统设计模型的要求较高，建模工作量大。已有相关学者关注到将这2种建模方法进行整合的问题，文献[26]提出了一种按照系统的设计过程将2种方法进行整合的思路——结构和行为安全性、可靠性分析的集成应用(IACOB)，应用流程如图5所示。在系统设计早期，针对系统的结构模型,采用基于结构模型的可靠性分析方法，开展FMEA、FTA分析，对系统的架构设计进行完善；在后期采用基于行为的可靠性分析方法，以FMEA分析结果为基础，建立系统的状态机模型，对安全性、可靠性需求进行验证。

图5 IACOB安全性和可靠性分析流程

目前国外成熟的软件工具，如SIMFIA、Made等软件均支持2种形式的建模，分析人员可根据系统的特点选择合适的方法。

2 MBSE与系统安全性和可靠性分析的集成技术

基于模型的系统工程的实施重点是在不同的场景条件下进行需求分析、功能分析，采用模型的形式来描述、分析和检验系统在各种任务或运行场景下的活动内容、状态特性、交互信息，并生成与之匹配的功能需求、功能接口、测试场景和逻辑架构，从而实现快速响应需求变化，并及时指导后期详细设计、实现、综合和验证过程的目的。目前主流的MBSE方法论包括：Harmony系统工程方法、面向对象的系统工程方法、状态分析法等。建模语言采用对象管理组织(OMG)提出的SysML语言[27-28]，SysML语言采用的模型元素如图6所示。

MBSE技术的发展为更好地实施系统安全性、可靠性分析提供了有利的条件，一方面MBSE提供了一套较为严格的技术过程，可以方便地将安全性、可靠性分析活动与技术过程进行融合，增强安全性、可靠性分析的目的性；另一方面，MBSE可以提供一个统一的设计数据源头，为基于模型的安全性、可靠性分析提供规范化的模型输入，解决前端系统功能模型输入混乱的问题，保证安全性、可靠性分析与功能性能设计的同源。

2.1 基于模型的系统工程技术

根据国际系统工程学会INCOSE《系统工程2020年愿景》中对MBSE的定义，MBSE是对系统工程活动中建模方法应用的正式认同，它以建模方法支持系统要求、设计、分析、验证和确认等活动，这些活动从概念性设计阶段开始，持续贯穿到设计开发以及后来的所有寿命周期阶段。

Altarica是另外一种目前比较流行的、广泛应用于系统安全性、可靠性分析的建模语言。与NuSMV模型构造基本一致，也是采用状态、事件、输入流、输出流、状态转化、断言等基本建模元素，对系统的正常行为和故障行为进行综合建模，从而支持形式化的分析。由于得到了欧洲工业界和软件厂商的广泛支持，Altarica语言目前基本已经成为系统安全性、可靠性分析采用的标准语言[21]。

图6 SysML模型组成

MBSE在系统设计技术过程上与传统系统工程并无区别，重点在于强调使用模型支持系统工程各技术活动，以减少需求传递的误差，促进多专业协同设计与知识复用[2]。主要的技术过程包括：

1) 利益相关方需求分析：从使用角度建立系统的使用场景模型，分析系统的任务场景及能力需求，输出规格化的系统利益相关方需求。

2) 系统需求定义：从技术要求的角度，建立系统的用例模型，识别系统的功能、上下文执行环境及外部接口信息，输出可设计的系统需求。

3) 逻辑架构定义：主要利用活动图、时序图、块图等将功能性需求分解为逻辑单元，从而建立系统的功能逻辑架构。

4) 设计综合：将逻辑单元定义的功能分配到具体的物理单元上，这些物理单元可能包括硬件、软件、数据与人工操作过程等，其主要输出为系统的物理架构。物理架构建模所需元素与逻辑架构建模基本一致。

2.2 MBSE与系统安全性、可靠性分析的集成

在该研究方向上，目前总体的思路是以MBSE设计过程为牵引，利用模型集成、映射等方式实现系统功能与安全性、可靠性的一体化设计。技术问题主要聚焦于2个方面：① 如何设计一套合理的流程，将安全性、可靠性设计活动嵌入到MBSE技术过程；② 如何解决不同模型的接口问题，例如如何将SysML建立的系统功能、架构模型中的模型元素映射到可靠性分析所需要的模型中。

法国PRISME实验室提出了一种可以与目前主流的MBSE设计流程集成的系统可靠性、安全性分析流程和方法——系统工程中集成可靠性分析的方法 (MeDISIS)[29-30]。MeDISIS实施流程如图7所示。在需求定义阶段，采用初步危险分析方法确定系统功能失效状态；在功能分析过程中，使用功能FMEA方法进一步衍生出设计要求；在设计综合阶段，开展组件FMEA、性能可靠性分析及故障注入验证等工作，对系统架构进行持续评估和设计完善。

该方法的主要特点是建立了一套相对完整的MBSE与系统可靠性分析的整合思路，研究了SysML系统设计模型与Altarica模型、AADL模型、Simulink模型等多种仿真模型之间的元素映射关系，同时构建了一个系统的非正常行为数据库DBD，作为一个共享的、可重用的、与具体模型无关的基础数据库，用于支持各个阶段开展故障建模和故障仿真。

巴黎理工大学的Mhenni等[31-32]针对机电系统的安全性分析，提出了一种系统安全性与系统工程过程的集成方法SafeSysE，如图8所示。

与文献[29-30]提出的通过“模型映射”手段实现系统设计模型与安全性、可靠性模型的集成不同，SafeSysE给出了一套完全基于SysML模型进行安全性分析的实现方法。包括利用XML元数据交换技术，将SysML模型转化为XML文件，从中提取核心的功能、组件元素，支持开展功能FMEA、组件FMEA；同时该文献还研究了基于SysML的故障树生成算法、SysML模型与NuSMV-SA模型的映射算法，以支持系统的安全性、可靠性评估与行为仿真分析，但由于SysML用于描述系统功能逻辑、结构组成的模型是分离的，因此在SysML基础上直接生成故障树模型、状态机验证模型过程中，还需要加入大量的人工识别工作，限制了其进一步应用的范围。

图7 PRISME的MBSE与可靠性设计集成思路

图8 SafeSysE的集成过程

意大利Calabria大学的DEIS学院提出了一种系统可靠性、可用性、维修性、安全性分析与仿真集成方法——RAMSAS[33]，如图9所示。

RAMSAS的方法分为4个步骤：可靠性需求分析、系统建模、系统仿真和系统评估，这4个步骤在整个设计过程是迭代进行的。可靠性需求分析主要以设计阶段形成的系统设计模型、系统功能和非功能需求文档、以及前期FMEA找出潜在故障模式为基础，确定可靠性分析目标；系统建模主要是使用SysML进行系统架构和行为建模，同时还定义了一个通用的基本故障行为集合，建立故障的行为模型，描述故障的产生、传播和管理；系统仿真阶段主要是将先前获得的系统架构和行为模型图以及故障行为模型，转换成Simulink可执行模型，核心是将内部块图的架构信息(如块组成、端口/接口信息)转化为Simulink的层次化接口和交联接口，将采用活动图和顺序图描述的算法模型转化为Simulink的控制逻辑；系统评估阶段主要是针对系统可靠性需求进行分析，提出可靠性设计改进建议或方案，并反馈到需求环节。该方法优点是能将系统SysML建模语言与Matlab/Simulink动态仿真开发环境进行融合，尤其是可将 SysML描述的控制逻辑直接转化为Simulink模型，提高了仿真建模的效率。缺点是该方法主要侧重的是仿真分析，并不是一套完整的模型驱动设计方法，例如缺乏对可靠性需求分析、系统早期架构的可靠性分析等方法的支持。

从目前国内外几个机构的研究成果看，MBSE与系统安全性、可靠性分析在设计流程整合上的主要思路是：在系统需求分析过程中，利用MBSE模型包含的系统功能清单、使用要求等信息，开展初步的功能故障分析、危险分析，细化安全性、可靠性要求；在系统功能分析、逻辑架构的设计过程中，以故障模式数据库为支撑，在系统正常功能模型基础上构建综合分析模型，重点是对架构进行完善；在系统物理架构设计完成后，对系统的正常、故障行为进行动态仿真评估，进一步优化系统的故障控制逻辑和算法等。

在模型支持方面，主要的障碍在于MBSE的主要设计语言(例如SysML等)对于安全性、可靠性分析的支持是不足的。目前一种解决思路是将SysML等系统设计语言与 Altarica等支持安全性分析的设计语言在“模型元素”上进行映射和转化，但由于2种语言的设计机制不同，实现完整的模型元素互换是比较困难的；另外一种解决思路是根据需求对系统设计模型的元素进行解析读取，如文献[31-32]研发的SafeSysE等，这种集成方式的优势在于可以完全根据安全性、可靠性分析的需求提取设计信息，不会丢失原有模型信息，但缺点在于模型信息提取过程是完全定制化的，无法适应由于建模人员习惯不同、建模规范不同所造成的模型构造上的差异性。

图9 RAMSAS MBSE与可靠性集成方法

3 结论与展望

模型驱动的系统设计技术被公认为是解决复杂系统设计的有效手段，基于模型的系统工程技术在美国国防部、欧空局、NASA等政府组织以及波音、空客、洛克希德·马丁等飞机研制商的大力推动下，已经逐渐趋于规范化，并逐步融入到了飞机的研制过程。安全性、可靠性作为装备重要的质量特性之一，在技术方法、技术手段上应与装备的技术发展保持同步。

基于模型的安全性、可靠性分析技术是实现模型驱动的复杂系统安全性、可靠性设计的重要组成部分，相对于传统基于文本的分析，基于模型的安全性、可靠性分析有利于可实现安全性、可靠性设计与系统功能设计在数据源上的统一，可以一定程度上避免安全性、可靠性分析的主观性和随意性；同时，借助模型强大的仿真能力，可以解决工程上面临的复杂系统可靠性建模和分析困难的问题。

目前，以MBSA为代表的基于模型的安全性、可靠性分析方法在中国部分新研装备中已经进行了初步的试用与验证，但总体来讲，应用的范围和深度还比较有限。制约基于模型的安全性、可靠性技术在工程中深入开展的因素有几个方面：

1) 开展基于模型的安全性、可靠性分析的前提是建立描述系统正常功能、行为的模型，目前MBSE在中国装备研制中的应用刚刚起步，还没有得到全面的普及，无法在研制过程中及时为安全性、可靠性设计人员提供有效的功能模型输入。

2) 系统安全性、可靠性建模语言与系统设计语言存在差异，并且缺乏模型接口。目前系统设计过程中一般采用SysML等标准语言进行系统需求、架构和行为的建模分析，采用AADL、Modelica等建模语言进行性能、算法的验证，这些建模语言多数是面向对象的。以目前安全性分析的主流建模语言Altarica为例，其建模核心是以功能流为基础的，本质是一种数据驱动、过程驱动的建模方法。2种类型的建模语言，不管是模型元素构成上，还是在建模语言的理论基础上都是有较大区别的。虽然有部分文献研究了SysML模型与各种安全性、可靠性相关的形式化模型、仿真模型的映射关系，但给出的示例多数比较简单，对于实际复杂工程系统是否适用，还需进一步验证。

3) 缺乏相关的安全性、可靠性建模规范和标准，模型的规范性和严谨性无法保证。以Altarica为代表的安全性、可靠性建模语言是一种通用的、与领域无关的语言，建模的灵活性较大，目前国内外鲜有相关的建模规范和标准。在面对具体的工程系统时，需要将实际物理系统抽象为输入、输出、状态、故障传播逻辑等模型元素，如果缺乏建模方法的约束，不同的建模人员在建模层次和级别、颗粒度、输入输出数据类型、故障逻辑的表达方式等方面会有不同的选择，因此容易造成模型的一致性差、可读性差等问题，给模型的校验和后续的集成带来问题。

4) 缺乏建模数据库和自动化建模机制的支持。相对于传统安全性、可靠性分析，基于模型的安全性、可靠性分析技术的优势在于模型的可重用性，但缺点是建模过程较为复杂，工作量较大，因此需要有强大的数据库支持，但目前的建模方法和工具在故障模式数据的积累、模型重用等方面尚有很大的提升空间。

针对以上问题，建议未来重点关注以下方面的研究和应用：

1) 面向装备全研制过程的、基于模型的安全性、可靠性设计体系与模型体系研究。目前的基于模型的安全性、可靠性分析技术主要解决的是系统功能架构层面的分析问题，还不能支撑建立一套完整的、模型驱动的安全性、可靠性设计体系。未来的研究中，一方面应在现有方法基础上进一步扩展，将安全性、可靠性分析与装备的使用过程分析、物理设计、软硬件设计结合起来，以支持系统工程全过程设计；另一方面，要建立一套完整的安全性、可靠性建模规范体系。目前来看，只采用任何一种建模方法都是有其局限性的，在未来基于模型的研发体系下，安全性、可靠性模型应不仅能够支持早期的需求分析、架构评估，还应支持研制后期的仿真验证，甚至半实物验证，因此，其模型支撑体系是相对复杂的，需要进行深入研究。

2) MBSE与基于模型的安全性、可靠性分析技术的集成方法研究。MBSE技术在装备研制过程中的深度应用，为进一步规范基于模型的系统安全性、可靠性分析提供了有力的基础。因此，未来应重点加强MBSE研制模式下的装备安全性、可靠性设计流程、技术方法、模型接口等方面的深化研究，打通MBSE与安全性、可靠性设计的接口关系，为实现以系统需求模型、设计模型为核心的多专业协同设计提供保障。

3) 基于模型的安全性、可靠性智能化设计方法和工具平台研究。目前的安全性、可靠性分析方法和工具智能化程度普遍不高，已建立的安全性、可靠性模型，积累的故障模式数据还不能在设计过程中得到有效利用。未来应重点加强安全性、可靠性智能化建模方法、基于知识规则的安全性、可靠性分析与设计方法等方向的研究，扩展安全性、可靠性分析能力，提高建模和分析的效率。