现代安全理论赋能低空经济:构建安全基石的深度探索

发布日期:2025-05-28

引言:低空经济的蓝海与安全红线

低空经济,作为以各种有人驾驶和无人驾驶航空器在低空空域内的飞行活动为牵引,辐射带动相关领域融合发展的综合性经济形态,正以前所未有的速度蓬勃发展。其应用场景广泛覆盖无人机配送与物流、低空旅游与观光、城市空中交通(UAM)、应急救援等多个领域,对社会经济结构和人们生产生活方式产生着深远影响。根据《中国低空经济发展研究报告(2024)》估算,2023年我国低空经济规模已达到5059.5亿元,同比增长33.8%,并乐观预测到2026年有望突破万亿元大关。这片广阔的“蓝海市场” (低空物流的价值) 充满了机遇,但也伴随着严峻的安全挑战。

低空经济的复杂性对其安全保障提出了极高要求:

  • 飞行器多样化与技术快速迭代:从小型多旋翼无人机到大型eVTOL(电动垂直起降飞行器),技术更新迅速,安全验证和标准制定面临挑战。
  • 空域环境复杂:低空空域用户多元,军航、民航、通航及各类无人驾驶航空器活动交织,易产生冲突。 Weather conditions and urban obstacles add further complexity.
  • 运营场景丰富,安全风险各异:物流无人机需考虑货物安全与地面风险,载人观光飞行器关注乘客生命安全,UAM则涉及复杂的城市交通协同,应急救援飞行常在极端环境下进行。这些风险并非一成不变,而是随着运营环境和技术应用动态演化。
  • 公众高度关注:任何低空飞行安全事件都可能引发公众对整个行业的担忧,对产业的社会接受度构成重大影响 (拥抱低空经济 安全智慧飞行)。

传统的安全管理方法,往往侧重于事故后的调查分析和预防措施的增补,这种“亡羊补牢”式的安全管理在快速发展、高度复杂的低空经济领域显得力不从心。因此,本文的核心论点是:亟需引入和深化现代安全理论的应用,从系统设计、运营管理到法规制定的全生命周期,前瞻性、系统性地构建和夯实低空经济的安全基石。

本文将重点探讨固有安全设计(ISD)、安全-I与安全-II范式、韧性工程以及系统理论事故模型与过程(STAMP/STPA)等现代安全理论,分析其在低空经济主要应用领域的适用性,阐述其指导实践的路径,并从政策层面提出构建稳健安全体系的启示。

核心安全理论及其在低空经济中的独特价值

固有安全设计 (Inherently Safer Design, ISD)

核心理念:固有安全设计强调在系统生命周期的最早阶段——概念和设计阶段,通过选择合适的工艺、材料和操作条件,从根本上消除或显著减少危害的存在或其发生的可能性,而不是依赖于后续增加的安全屏障或控制措施。其核心是“避免危险而不是控制危险”,目标是使系统本质上更加安全。

低空经济价值:在低空经济中,这意味着从飞行器本身的总体设计(如冗余系统、防撞结构)、航线规划(如避开敏感区域)、操作流程设计(如简化防错操作)等源头入手,最大限度降低固有风险。这不仅能提高安全水平,还能减少对复杂、昂贵的附加安全系统和严格操作规程的过度依赖,从而提升经济性和运营效率。

安全-I与安全-II范式 (Safety-I & Safety-II)

核心理念

  • 安全-I (Safety-I):传统安全观,将安全定义为“尽可能减少不良事件(事故、差错、故障)的发生”。其核心是关注“何以出错”(what goes wrong),通过分析已发生的负面事件,找出原因并采取纠正措施,以防止类似事件再次发生。这是一种反应式的安全管理方法。
  • 安全-II (Safety-II):由Erik Hollnagel等学者提出,将安全定义为“确保在预期和非预期条件下,日常工作尽可能多地顺利进行的能力”。其核心是关注“何以成功”(what goes right),通过研究和理解系统在面对变化、不确定性和复杂性时如何通过调整和适应保持成功的运作,从而提升系统的整体韧性和鲁棒性 (从安全I与安全II,从避免出错到确保一切正常!)。这是一种主动式、系统性的安全管理方法。

低空经济价值:低空飞行的复杂性和动态性意味着完全杜绝差错几乎不可能。安全-I的视角对于从事故中吸取教训仍然重要,但安全-II的引入更为关键。它促使我们不仅要分析少数失败案例,更要从大量成功的日常飞行操作中学习,理解操作人员、自动化系统如何灵活应对各种扰动,并将这些成功的实践经验系统化、标准化,从而提升整个低空运行系统的整体安全效能和适应能力。

韧性工程 (Resilience Engineering)

核心理念:韧性工程关注系统在面临预期或非预期的扰动、压力和变化时,能够有效预测、监控、响应、适应并从中学习和恢复,以维持核心功能并在可能的情况下实现转型的能力。Holling (1973) 将工程韧性定义为系统在受到扰动后恢复平衡或稳定状态的能力,强调“抗干扰和系统恢复平衡的速度”。韧性不仅仅是抵抗,更包括适应和学习,从“故障保护”向“韧性适应”转变 (从安全防灾到韧性建设)。

低空经济价值:低空经济系统(如UAM网络、无人机配送系统、应急救援体系)不可避免会遭遇各种扰动,如恶劣天气、设备故障、通信中断、网络攻击、突发大规模需求等。韧性工程的目标是设计和管理这些系统,使其不仅能抵御这些冲击,还能从中快速恢复关键服务,甚至通过学习变得更强大。这对于保障低空服务的连续性、可靠性和公众信任至关重要。

系统理论事故模型与过程 (STAMP/STPA)

核心理念:STAMP (System-Theoretic Accident Model and Processes) 是一种较新的事故致因理论,它将事故视为复杂系统中由于控制不足或不当导致安全约束被违反的结果,而不仅仅是线性事件链中的组件故障或人为失误。STPA (Systems-Theoretic Process Analysis) 是基于STAMP理论的一种危害分析方法,它通过识别系统中的控制结构、不安全的控制行为(Unsafe Control Actions, UCAs)以及导致这些UCA的因果场景,来系统地识别和预防事故 (详解STAMP/STPA在汽车功能安全领域的实践)。STPA强调对系统的功能、结构和控制策略进行分析。

低空经济价值:低空经济中的许多场景,特别是城市空中交通(UAM)、大规模无人机集群管控、复杂的空域管理等,都属于高度复杂的社会技术系统。传统安全分析方法可能难以捕捉这些系统中由多因素交互作用、软件缺陷、组织因素等引发的风险。STAMP/STPA提供了一种更为全面和系统化的视角,能够帮助识别由于控制系统设计缺陷、不恰当的控制逻辑、以及各组成部分之间不协调的交互而产生的潜在风险。这对于设计安全可靠的自动化系统、空中交通管理系统和运营流程具有重要的指导意义。

理论剖析:现代安全理论在低空经济各领域的深度融合

无人机配送与物流的安全保障

无人机配送与物流作为低空经济中商业化进程较快的领域,其安全运行直接关系到公共安全和产业的可持续发展。该领域面临飞行器故障、空中碰撞、地面坠物、信号干扰、非法入侵等多种风险。

固有安全设计

  • 飞行器层面
    • 采用高可靠性、经过耐久性测试的电机、电池、飞控等关键部件。
    • 设计冗余备份系统,如多旋翼设计即便单桨失效仍能安全飞行或迫降,双导航模块(GPS/北斗+惯导),双通信链路。
    • 配备物理防护装置,如旋翼保护罩以减少碰撞伤害,紧急开伞系统或缓冲气囊以降低坠毁冲击。
    • 设计专用的货物安全舱,确保货物在飞行过程中的稳定与安全,防止意外掉落。
  • 运营层面
    • 在航线规划阶段,利用地理信息系统(GIS)和三维城市模型,自动规划避开人口稠密区、学校、医院、机场净空区及高大障碍物的航线。
    • 设定科学的安全飞行高度层和速度限制,减少与其它空域用户的冲突概率。
    • 设计简洁明了、关键步骤防呆防错的操作与维护流程,降低人为失误的可能。
    • 引入智能调度系统,通过算法优化航线网络,动态调整飞行计划,主动避免无人机间的空中接近和冲突。

安全-I与安全-II

  • 安全-I:收集分析全球范围内无人机物流运营中发生的坠毁、失联、货物丢失、偏离航线等事故和未遂事件数据。通过故障树分析(FTA)、事件树分析(ETA)等方法,找出导致这些事件的技术故障(如电池失效、传感器故障)、环境因素(如强风、电磁干扰)和人为因素(如操作失误、维护不当),并制定相应的预防措施,如改进部件设计、加强人员培训、更新操作手册。
  • 安全-II:研究在复杂天气(如阵风、小雨)、高密度订单并发、城区复杂电磁环境、GPS信号弱等挑战下,无人机配送系统如何依然能够成功完成任务。例如,分析飞行员/系统是如何通过动态调整飞行姿态、切换备用导航源、紧急规避障碍物等方式确保安全的。总结这些成功的适应性行为和决策模式,将其固化到自动飞行控制逻辑、应急处置预案和操作员培训中,提升系统在非理想条件下的应变能力。

韧性工程

  • 技术韧性
    • 提升飞行器对常见干扰的容忍度,如采用抗GPS欺骗与干扰技术,设计在GPS丢失后依靠惯性导航或视觉定位维持短时间稳定飞行的能力。
    • 确保通信链路在部分中断或带宽受限时,仍能传输关键控制指令和飞行状态数据,或自动执行预设的安全返航/迫降程序。
  • 运营韧性
    • 构建具有弹性的配送网络,当某个起降点或航段因故(如天气、临时管制)关闭时,系统能自动重新規劃路徑,将影响降至最低。参考低空物流研究中提到的,无人机运输需要克服复杂地形、气候、通讯等问题,保证物品安全和传输准确性。
    • 建立分级响应机制,在遭遇极端天气或大规模系统故障时,能够有序降级服务(如暂停部分区域配送、延长配送时间)而不是全面瘫痪,并在条件允许后快速恢复正常运营。

STAMP/STPA

  • 系统控制结构分析:构建无人机配送系统的分层控制结构图,清晰描绘各组成部分及其控制关系,包括:
    • 高层控制:政策法规制定者、运营公司管理层。
    • 中层控制:无人机交通管理(UTM)系统、地面调度与监控中心、维护保障系统。
    • 底层控制:无人机机载自主飞行控制系统(含传感器、执行器)、远程飞行员(若有)、通信数据链。
  • 识别不安全控制行为 (UCAs):基于系统目标(如安全、高效地将货物送达目的地)和危害(如坠机、伤人、货物损坏),识别控制器可能发出的不安全指令或未能发出必要的安全指令。例如:
    • UTM系统向多架无人机发出存在潜在冲突的航线许可(UCA: 提供不安全的间隔)。
    • 地面监控员未能及时介入处理偏离航线的无人机(UCA: 未提供必要的停止指令)。
    • 无人机自主避障系统因算法缺陷在复杂障碍物场景下做出错误规避动作(UCA: 提供错误的规避指令)。
    • 无人机自主控制系统未能在电池电量过低时执行返航或安全降落指令(UCA: 未在恰当时候提供返航指令)。
  • 场景分析:针对每个UCA,分析其发生的可能原因,包括控制器故障、传感器信息不准确或缺失、控制算法缺陷、错误的反馈信息、操作员失误等。

低空旅游与观光的安全体系构建

低空旅游与观光涉及直升机、热气球、eVTOL等载人飞行器,乘客安全是首要考量。此外,还需关注飞行活动对地面人员和环境的影响。

固有安全设计

  • 飞行器层面
    • 优先选用通过严格适航审定、具有良好安全记录和成熟技术的飞行器型号。
    • 实施严格的定期维护、检修计划和部件寿命管理,确保飞行器持续适航。
    • 为乘客配备易于理解和操作的应急设备,如快速解脱式安全带、个人漂浮设备(水上飞行)、应急定位发射器。驾驶舱设计应符合人机工程学,减少飞行员误操作。
  • 运营层面
    • 在飞行前对游客进行全面、清晰的安全简报,包括应急程序、设备使用方法、飞行中注意事项等,并进行必要的培训或演示。
    • 精心规划观光航线,避开人口密集区、重要设施、鸟类保护区等敏感区域,选择风景优美且飞行条件良好的空域。
    • 设定比法规要求更严格的飞行气象标准(如风速、能见度、云底高),在不利天气条件下果断取消或推迟飞行。
    • 制定详细的应急疏散预案,明确紧急迫降场地、地面救援力量的协调与对接流程。

安全-I与安全-II

  • 安全-I:深入研究国内外发生的低空旅游事故案例,如苏州某景区直升机坠落事故,分析其直接原因(如机械故障、飞行员失误)和根本原因(如维修缺陷、培训不足、管理漏洞、天气误判),汲取教训,修订安全操作规程、加强飞行员复训和应急演练、改进飞行器维护流程。
  • 安全-II:积极推广经验丰富、安全记录优异的飞行员的驾驶习惯、决策模式和特殊情况处置技巧。学习优秀的低空旅游运营商在客流高峰期、突发天气变化或飞行器出现轻微异常时,如何通过有效的沟通、灵活的调度和果断的决策,确保飞行活动仍然安全顺利完成。鼓励建立经验分享平台,促进良好实践的传播。

韧性工程

  • 人员韧性:通过高强度、高仿真度的模拟机训练和真实应急演练,提升飞行员在遭遇突发机械故障(如引擎单发失效、仪表失灵)、遭遇恶劣天气(如突遇强湍流、风切变)时的心理抗压能力、快速准确判断能力和精准操控技能。
  • 组织韧性:提升旅游运营公司在飞行计划受阻(如因天气原因大面积取消航班)时的应对能力,包括及时有效地安抚游客情绪、提供合理的替代方案(如改期、退款、转地面游览)或补偿。建立与地方政府、紧急救援机构(如医疗、消防)的常态化联动机制,确保在发生意外时能够快速启动应急响应,高效协同救援。

STAMP/STPA

  • 系统控制结构分析:识别低空旅游运营系统中的控制器及其职责,例如:
    • 飞行员:直接控制飞行器,执行飞行计划,应对突发状况。
    • 空管/机场协调员(若适用):提供空域信息,协调起降。
    • 地勤人员:负责飞行器维护、加油、乘客登离机引导。
    • 飞行器自身系统:如自动驾驶辅助系统、告警系统。
    • 游客行为:一定程度上影响飞行安全(如不遵守规定)。
    • 气象服务提供者:提供飞行所需的气象信息。
  • 识别不安全控制行为 (UCAs)
    • 飞行员在未达到飞行标准的气象条件下强行起飞(UCA: 未遵守安全规程提供起飞指令)。
    • 地勤维护人员未能发现或报告关键部件的潜在故障(UCA: 未提供必要的维护完成/告警信息)。
    • 飞行器告警系统未能及时向飞行员提示关键参数异常(UCA: 未提供必要的告警)。
    • 游客在飞行中解开安全带或干扰飞行员(UCA: 乘客提供不安全的输入/干扰)。
  • 场景分析:分析导致UCA的因素,例如飞行员疲劳、培训不足、公司安全文化缺失、维护手册不清晰、告警系统设计缺陷、对游客的安全管理不到位等。

城市空中交通 (UAM) 的安全运行探索

UAM旨在利用eVTOL等新型飞行器提供城市内的客运和货运服务,面临城市复杂环境、高密度运行、空地协同、公众接受度等挑战。根据《城市空中交通领域关键技术创新与挑战》,UAM研究已从技术延伸到运营及社会因素。

固有安全设计

  • eVTOL/飞行汽车层面
    • 采用分布式电力推进系统(DEP),多个独立电机和旋翼设计,单个或数个动力单元失效后仍能保持飞行可控或安全降落。
    • 装备先进的感知与避障系统,融合激光雷达、毫米波雷达、视觉传感器等多种传感器,实现对动态和静态障碍物的自主探测与规避。
    • 进行低噪音设计,采用优化的旋翼形状和电机技术,以降低飞行噪音,提高城市环境中的社会接受度。
    • 配置整机降落伞(Ballistic Recovery Systems, BRS)、应急浮筒(水域运行)、结构耐撞性设计等应急安全装置。
  • 基础设施层面
    • UAM起降场(Vertiport)的选址应考虑周边净空条件、风切变影响、电磁环境、应急救援通道的可达性。其设计应包含消防设施、旅客安全区域、飞行器安全停放与充电区域。
    • 充电/能源补给设施需进行本质安全设计,防止过充、短路、热失控等风险,并配备相应的监测和消防系统。
  • 空域管理层面
    • 在城市上空设计结构化、数字化的空中通道(Corridors/Skyways),采用分层空域管理策略,将不同速度、不同类型的飞行器分隔开。
    • 建立动态空域管理机制,根据实时交通流量和需求进行调整。

安全-I与安全-II

  • 安全-I:通过大量的仿真测试、地面测试、小范围飞行测试和早期商业化试点运营,系统性地识别和分析UAM系统(包括飞行器、起降场、空管系统)所有可预见的潜在失效模式。例如,研究电池系统发生热失控的概率与后果、飞行控制系统在强电磁干扰下的稳定性、感知系统在恶劣天气下的性能下降、空中交通管理系统算法缺陷可能导致的冲突等,并针对性地制定缓解措施与应急预案。
  • 安全-II:研究和推广自动驾驶系统在复杂城市场景(如高楼林立、GPS信号遮挡、动态障碍物多)中成功完成导航、避障和精确起降的案例。学习高效的UAM空中交通流量管理算法和协同决策机制如何在高密度、高动态的运行环境下确保系统顺畅运行。分析那些在接近冲突或系统出现轻微异常时,通过人机协同或系统自主调整成功化解风险的案例。

韧性工程

  • 系统韧性
    • UAM交通网络应具备在部分起降场因故关闭、部分空域临时受限、通信网络拥塞或遭受网络攻击时,仍能维持核心运营服务的能力,例如通过动态重路由、服务降级等方式。
    • eVTOL飞行器自身应具有故障容错能力,在单个或多个关键部件(如电机、传感器、飞控计算机)失效时,仍能安全飞行至备降场或启动应急迫降程序。
  • 运营韧性
    • 城市空中交通管理系统(UTM/ATM)应能灵活应对突发的大规模运输需求(如大型活动疏散)或紧急飞行任务插入(如医疗急救飞行),并能从诸如天气突变、设备故障等扰动中快速恢复。
    • 建立UAM运营系统与城市应急响应系统(如消防、医疗、警察)的无缝联动机制,确保在发生事故或紧急情况时能够快速协同处置。

STAMP/STPA

  • 系统控制结构分析:绘制UAM这一超复杂系统的层级控制结构图,明确各子系统及其交互。可能包括:
    • 顶层:政策法规、城市规划部门、运营许可颁发机构。
    • 运营控制层:UAM运营商总控中心、空中交通管理服务提供商(如PSU/USSP for UTM)。
    • 飞行器层:eVTOL机载自主飞行系统、远程驾驶员(监控或介入)、乘客交互界面。
    • 基础设施层:起降场管理系统、气象信息系统、导航与通信基础设施。
  • 识别不安全控制行为 (UCAs)
    • eVTOL自主系统对城市峡谷效应或复杂微气象感知不足,做出错误的飞行姿态调整(UCA: 提供不安全的飞行控制指令)。
    • UTM系统在处理高密度交通流时,未能有效实施间隔管理,导致飞行器危险接近(UCA: 未提供必要的间隔保持指令或提供了导致冲突的指令)。
    • 乘客通过交互界面意外触发了某种紧急模式,或系统对乘客意图理解错误(UCA: 由乘客输入或系统误解导致的不安全控制)。
    • 起降场管理系统未能及时更新可用停机位信息,导致飞行器无处降落或前往错误区域(UCA: 未提供准确的基础设施状态信息)。
  • 场景分析:探究导致UCA的深层原因,如软件逻辑缺陷、传感器融合算法的局限性、人机交互设计不合理、通信延迟、组织管理流程中的安全漏洞等。

低空应急救援的效能与安全保障

低空应急救援利用无人机、直升机等在灾害响应中执行搜救、物资投送、通信中继、灾情勘察等任务,对时效性和可靠性要求极高,但常面临作业环境恶劣、信息不确定等挑战。根据《低空经济发展中的安全体系构建、挑战与应对策略》,构建应急救援能力是低空经济的重要组成部分。

固有安全设计

  • 救援装备层面
    • 针对不同灾害类型(如火灾、水灾、地震、森林火灾、医疗急救)和任务需求(如侦察监视、物资运输、空中喊话、照明、人员搜救、医疗转运),设计和选用具备专用功能的低空救援飞行器。例如,无人机可搭载热成像相机进行夜间搜救,或作为临时通信中继站。
    • 飞行器应具备高环境适应性(如抗风、防水、防尘、耐高温/低温),易于快速部署和操作,维护简便。
  • 救援流程层面
    • 制定标准化的应急响应预案和作业流程(SOPs),细化不同灾情下的飞行器选择、航线规划原则、空地协同方式、安全检查清单等,减少临场决策的复杂性和不确定性。
    • 强调救援人员自身的安全防护,如规定飞行员/操作员的最大连续作业时间、配备个人防护装备、明确危险环境下的禁飞区域和条件。

安全-I与安全-II

  • 安全-I:分析国内外低空应急救援行动中发生的意外事件,如救援飞行器失事、救援物资未能准确投送、搜救信息错漏导致延误、对被困人员或救援人员造成二次伤害等。调查这些事件的技术、环境、人员和组织因素,更新救援装备、改进救援战术和加强人员培训。
  • 安全-II:深入研究和总结在极端恶劣条件(如夜间、浓烟、强风、余震、通信中断)下成功完成救援任务的经典案例。例如,学习德国以州为单位构建的低空应急救援网络,其高效的区域化应急联动机制。提炼在复杂灾情下,指挥协调、信息获取与共享、多部门协同、资源优化调配、以及救援人员临场应变等方面的成功经验和有效做法,并将其制度化、流程化。

韧性工程

  • 指挥通信韧性:在灾区原有通信基础设施可能遭受严重破坏的情况下,具备快速部署和建立可靠的临时指挥通信网络的能力,例如利用卫星通信、无人机空中基站、自组网设备等,确保救援指令畅通和现场信息实时回传。
  • 救援队伍韧性:通过严格的选拔和常态化的高强度、多科目、跨区域联合演练,提升救援人员在长时间、高压力、高风险、资源匮乏环境下的生理和心理承受能力,以及对不断变化的灾情和任务需求的快速适应与调整能力。
  • 后勤保障韧性:确保救援飞行器所需的燃料/电池、备件、专用载荷以及救援人员所需的生活物资等,在交通不便、环境恶劣的灾区能够得到持续、可靠的供应和快速补充。

STAMP/STPA

  • 系统控制结构分析:构建低空应急救援行动的复杂控制结构模型,涵盖:
    • 国家/区域应急指挥中心:制定总体救援策略,调配资源。
    • 现场指挥部:具体组织协调现场救援行动。
    • 飞行员/无人机操作员:执行飞行任务。
    • 救援装备系统:飞行器及其任务载荷。
    • 受灾环境因素:天气、地形、灾害类型与程度。
    • 被救助者:其状态和位置。
    • 其他协同救援单位:如地面搜救队、医疗队、消防队。
  • 识别不安全控制行为 (UCAs)
    • 指挥中心基于不完整或错误的灾情信息做出错误的救援资源调派决策(UCA: 提供错误的控制指令)。
    • 现场信息员未能及时将关键的现场变化(如火势蔓延、建筑物垮塌风险)传递给飞行组(UCA: 未提供必要的反馈信息)。
    • 飞行员在恶劣天气或疲劳状态下,未能准确执行救援动作或违反安全规定(UCA: 提供了不安全的飞行操作指令,或未能在需要时提供安全指令)。
    • 救援无人机因载荷超重或重心不当导致飞行不稳定(UCA: 控制器未能维持飞行器的安全状态)。
  • 场景分析:分析导致UCA的原因,例如指挥体系不畅、通信设备故障、培训不足、应急预案不完善、救援人员对环境风险评估不足、跨部门协同机制存在缺陷等。

实践探索:现代安全理论指导下的低空经济安全案例

现代安全理论并非空中楼阁,其有效性已在多个高风险行业的安全实践中得到验证。在低空经济领域,这些理论的应用虽然尚处早期,但也已涌现出一些积极的探索和案例,为构建更安全、更可靠的低空运行体系提供了宝贵经验。

固有安全设计实践案例

  • 无人机物流领域:国内某头部物流企业在推广其无人机配送服务时,其采用的无人机普遍具备多旋翼冗余动力设计(通常为六旋翼或八旋翼),即使单个电机失效也能安全飞行。同时,这些无人机集成了视觉传感器与毫米波雷达等多源融合的感知系统,以增强在复杂环境下的自主避障能力,并利用高精度RTK(实时动态差分)定位技术确保航线精准。这些设计从根本上提升了飞行器的可靠性和对环境的适应性,是固有安全理念的体现。(基于低空物流研究中对硬件稳定性和避障能力的要求推断)
  • 低空旅游领域:甘肃张掖丹霞景区在运营其直升机和动力伞等低空旅游项目时,强调了源头安全管理。据报道 (航旅融合|低空游丹霞 尽享好风光),景区严格遵守航空法规,定期对飞行器进行适航检查,制定了详细的《低空游览项目防相撞细则》,并选配经验丰富的飞行、机务、管制及气象人员。这些措施从飞行器状态、运行规则和人员资质等多个方面入手,旨在从设计和运营的初始阶段就最大限度地保障游客安全。

安全-I与安全-II实践案例

  • UAM研发领域:美国国家航空航天局(NASA)在推进其城市空中交通(UAM)成熟度水平(UML)框架研究中,不仅通过概念设计、仿真分析来识别潜在的失效模式和风险点(安全-I的体现),更关键的是开展了大量不同复杂程度的飞行测试和综合场景演示(如AAM国家行动计划)。这些演示旨在验证UAM系统(包括飞行器、空域管理、地面基础设施)在真实或接近真实的操作环境下的整体性能和协同工作能力,从中收集数据,分析系统如何成功应对各种挑战,这正是安全-II所倡导的“从成功中学习”的理念。(参考解读NASA城市空中交通(UAM)研究
  • 通用航空安全管理演进:国际民航组织(ICAO)在其《安全管理手册》(SMM, Doc 9859)中描述了航空安全理念的演进,从最初关注技术的“技术时代”,到关注人为差错的“人的因素时代”,再到关注组织流程的“组织机构时代”,最终发展到关注整个系统交互和动态平衡的“总系统时代”。这一演进过程本身就体现了安全思维的深化,尤其“总系统时代”的安全管理模型,强调全面考虑人、机、环境、组织等因素,主动管理安全绩效,这与安全-II范式强调理解和增强系统成功运作能力的思想高度契合。

韧性工程实践案例

  • 城市交通系统规划:在传统的城市交通规划中,韧性理念已逐渐受到重视。例如,城市交通系统的韧性研究指出,通过构建具有适当冗余能力的基础设施(如备用线路、多模式交通枢纽)、建立快速应急响应和恢复机制等手段,可以提升交通系统在遭遇自然灾害、重大事故或极端天气时的服务保障能力和恢复速度。这些思想可以直接应用于UAM网络的设计,例如规划冗余的起降场网络、设计弹性的空中通道、确保关键通信和导航系统的抗干扰和备份能力。
  • 低空通信基础设施建设:中国联通在低空通信网络建设方面进行了一系列实践。例如,报道提及中国联通在长江南京段98公里建成了全国首个规模应用的水上5G低空智联网,并在河南安阳助力建成了覆盖1200平方公里的5G SA对空网络。这些举措旨在为低空飞行活动(包括无人机物流、巡检、应急救援等)提供稳定、可靠的通信和感知基础,增强了低空作业在复杂水域或广阔区域环境下的通信韧性,是保障低空经济活动安全高效开展的重要支撑。

STAMP/STPA实践案例

  • eVTOL飞控系统安全评估:边界智控(Boundary.AI)的研究团队将其研发的“Safety-Oriented Architecture Design of Flight Control System for eVTOL Based on ARP4761 and STPA”论文入选SAE技术论文并被EI收录。该研究创新地将传统的基于故障树/事件树的ARP4761安全性评估方法与基于系统理论的STPA方法相结合,用于eVTOL飞行控制系统的架构设计和安全性评估。这种综合方法能够更全面地识别由系统性失效、随机硬件失效以及不安全控制交互(如软件缺陷、人机交互不当、复杂系统耦合)所导致的潜在危险。
  • 低空无人机冲突解脱分析:空军工程大学与国家空管防相撞技术重点实验室的研究人员发表了《基于STPA-TOPAZ的低空无人机冲突解脱安全性分析》的研究。该研究利用STPA方法,结合TOPAZ(Traffic Organization and Persuasion for Aerospace Systems,一种空中交通管理概念模型),对低空无人机在面临冲突时的解脱过程进行安全性分析,识别了可能导致解脱失败的不安全控制行为(如导航指令错误、避让时机不当)及其背后的关键原因,为设计更安全的无人机自主避障和空中交通管理规则提供了理论依据。

这些案例虽然只是初步的探索,但清晰地展示了现代安全理论在解决低空经济复杂安全问题方面的潜力和价值。随着技术的发展和应用的深入,预计将有更多基于这些理论的创新实践涌现。

低空经济关键数据观察

为了更直观地理解低空经济的发展态势及其内部结构,以下图表展示了部分关键数据。这些数据不仅反映了市场的活力,也暗示了安全管理的复杂性和重要性。

图1:中国低空经济市场规模及预测 (数据来源:中国低空经济发展研究报告(2024))

图2:2023年中国低空旅游业务飞行量结构 (数据来源:华经产业研究院)

政策导航:构建基于现代安全理论的低空经济安全法规体系

低空经济的健康可持续发展离不开完善的政策法规体系作为支撑。将现代安全理论融入政策制定与监管实践,是提升低空安全治理能力的关键。这需要从顶层设计、标准建设、监管模式等多个层面进行系统性革新。

顶层设计与立法先行

  • 明确安全理念指导:在国家层面制定低空经济发展战略和规划时,应明确将固有安全设计、安全-II范式、韧性工程、系统安全等现代安全理念作为核心指导原则,贯穿于整个政策框架和实施细则中。
  • 加快完善法律法规:在《民用无人驾驶航空器飞行管理暂行条例》等现有法规基础上,需根据技术发展和业态创新,加快制定和修订针对UAM、载人低空观光、eVTOL等新兴领域的专项安全法规和部门规章。例如,《低空经济发展白皮书(3.0)》中就强调了法规标准对于新兴业态规范的重要性。
  • 强调全生命周期安全责任:法律法规应明确规定低空经济各参与主体(研发、制造、运营、维护、培训、空管等)在飞行器和系统的设计、生产、测试、运行、维护直至报废处置的全生命周期中的安全责任,建立清晰的责任追溯机制。

标准体系建设的革新

  • 适航审定标准
    • 融入固有安全设计原则,鼓励和规范采用冗余设计、故障容错技术、防护性结构等,提升飞行器本质安全水平。
    • 针对基于人工智能的自主飞行系统、复杂的飞控软件,探索新的符合性验证方法和审定标准,确保其在各种预期和非预期场景下的可靠性与安全性。
  • 运营安全标准
    • 根据不同低空活动(如物流、旅游、通勤、应急)的风险等级,制定差异化、精细化的运营资质要求、飞行规则和安全管理体系(SMS)标准。
    • 鼓励运营商建立基于安全-II理念的组织安全文化,建立常态化的经验学习、风险沟通和持续改进机制。
  • 基础设施标准:UAM起降场(Vertiports)、无人机起降点、充换电站、导航监视设施等地面基础设施的规划、设计、建设和运营标准,应充分考虑韧性要求,如抗灾害能力、备用能源供应、应急处置能力等。
  • 数据安全与网络安全标准:鉴于低空飞行活动高度依赖数据链和网络控制,低空经济面临严峻的网络安全挑战。必须制定和实施严格的数据加密、传输安全、身份认证、访问控制以及网络入侵防范等标准,保障低空飞行数据、控制指令的机密性、完整性和可用性。

监管模式的现代化转型

  • 推广基于风险的动态监管 (Risk-based Oversight, RBO):根据不同运营主体、不同运行场景的实际风险水平,分配监管资源,实施差异化、动态调整的监管策略,提高监管效能。
  • 引入基于性能的安全监管 (Performance-based Safety Regulation, PBSR):在规定基本安全目标和性能指标的前提下,给予运营商更大的灵活性来选择如何达到这些目标,鼓励其通过有效的安全管理体系(SMS)展示其安全绩效。
  • 推广先进安全评估方法:强制或推荐在复杂系统(如UAM运营系统、UTM系统、大型无人机集群控制系统)的研发、审定和运行中,采用STAMP/STPA、形式化验证等先进的安全分析与评估方法,以更系统、更深入地识别潜在风险。
  • 数据驱动的智能监管:建立全国性或区域性的低空飞行活动数据共享与分析平台,汇集飞行计划、实时轨迹、气象信息、事件报告等数据。利用大数据分析和人工智能技术,支撑安全趋势研判、潜在风险预警、安全-II实践的经验发掘,以及监管决策的科学化。
  • 加强跨部门协同监管:低空安全管理涉及民航、空管(军民)、公安、交通、工信、应急管理等多个部门。需建立高效的跨部门信息共享、联合执法和应急联动机制,明确各方职责,形成监管合力。

产业发展与安全保障的平衡

  • 支持安全技术创新:通过设立专项研发基金、税收优惠、政府首购等政策,激励企业和科研机构投入低空安全关键技术的研发和应用示范,如高可靠性飞控与动力系统、先进自主感知与避障技术、强韧性通信导航技术、网络安全防护技术等。
  • 加强专业人才培养:支持高等院校、职业技术学院和培训机构开设低空经济相关专业,特别是培养既懂航空技术又掌握现代安全理论(如系统安全、人因工程、风险管理)的复合型人才,包括安全工程师、分析师、审核员和管理人员。
  • 推动行业自律与信息共享:鼓励成立行业协会等自律组织,推动建立行业内部的安全信息共享平台(如匿名事件报告系统)、最佳安全实践推广机制和安全文化建设标准,提升行业整体安全水平。

通过以上多维度的政策引导和制度建设,可以在鼓励低空经济创新发展的同时,牢牢守住安全底线,实现发展与安全的动态平衡。

面临的挑战与未来展望

尽管现代安全理论为低空经济的安全发展指明了方向,但在实践应用中仍面临诸多挑战。同时,技术的进步和理念的深化也为未来构建更高水平的安全体系带来了新的机遇。

当前挑战

  • 理论与实践的差距:固有安全设计、安全-II、韧性工程、STAMP/STPA等先进安全理念在航空领域,尤其是在新兴的低空经济领域的认知普及程度和深度应用能力尚显不足。如何将这些理论有效地转化为可操作的工具、方法和规程,并被从业人员广泛接受和应用,是一个关键挑战。
  • 数据与经验的积累:安全-II范式的有效实施高度依赖于对大量成功案例的收集与分析;韧性工程的评估与提升也需要关于系统在各种扰动下表现的数据。目前,低空经济许多领域尚处于早期发展阶段,高质量、结构化的安全相关数据和可供借鉴的成熟经验积累相对匮乏。
  • 技术成熟度与成本:实现高级别的固有安全和系统韧性,往往需要采用更先进、更复杂(有时也更昂贵)的技术,如高鲁棒性的传感器融合系统、强韧性的通信和导航备份、具备高级自主决策能力的飞控计算机等。这些技术的研发、验证和应用成本,可能对部分低成本驱动的低空经济业态(如某些无人机物流应用)的商业化构成挑战。
  • 法规标准的动态适应性:低空飞行技术(尤其是eVTOL、自主飞行、AI应用)和商业模式(如UAM、大规模无人机集群作业)发展极为迅速,而相关的安全法规、适航标准和运营规范的制定与更新往往具有一定的滞后性,难以完全同步产业发展步伐,可能导致监管空白或标准不适应。
  • 复杂系统交互风险:低空经济是一个由飞行器、空中交通管理系统、地面基础设施、操作人员、环境因素以及其他空域用户等众多元素构成的复杂社会-技术系统。这些元素之间的非线性、动态交互可能产生新的、难以通过传统方法预测和评估的涌现风险。
  • “人-机-环”协同复杂性:随着自动化和智能化水平的提高,人与机器在低空飞行任务中的角色和交互方式正在发生深刻变化。如何设计安全高效的人机界面、合理的自动化程度、有效的人员监控与介入机制,以及如何应对人在复杂系统中的认知局限和行为变异性,是人因工程和人机协同安全面临的新课题。正如研究指出,人为因素仍是航空事故的重要原因,在总系统时代需关注“人-机-环境”的整体胜任力。

未来展望

  • 智能化与自动化安全管理:人工智能(AI)和机器学习技术将在低空安全管理中发挥越来越重要的作用。例如,利用AI进行飞行数据的实时分析以预测潜在风险和飞行器健康状态;开发具备自主故障诊断、决策与恢复能力的飞行控制系统;构建智能化的空中交通管理系统,实现对大规模、高密度飞行活动的自主调度与冲突解脱。
  • 基于模型的系统工程 (MBSE) 与安全性设计深度融合:MBSE方法能够在系统设计的早期阶段,通过建立统一的、多视角的系统模型,将安全性需求(如源于STPA分析的安全约束)与功能需求、性能需求等一同进行定义、分配、验证和追溯,从而实现安全性设计的“左移”,在设计源头更好地融入固有安全和系统安全思想。
  • 数字孪生技术的广泛应用:为关键的低空飞行器(如eVTOL)、核心的运营系统(如UTM系统)乃至整个城市的低空交通网络构建高保真的数字孪生体。这些数字孪生体可用于进行大规模、高风险场景的安全测试与验证、应急预案的演练与优化、系统韧性的评估与增强,以及事故调查的复盘分析,而无需在物理世界承担实际风险。
  • 安全文化的深度培育与普及:超越单纯的技术和规章层面,在整个低空经济产业链(从研发制造到运营服务)以及监管机构内部,大力培育和践行以主动预防、持续学习、系统思维、坦诚沟通和公正处理为核心的积极安全文化。鼓励建立跨组织的安全信息共享和经验交流机制。
  • 国际合作与标准协同的加强:低空经济具有全球化发展的潜力,飞行器和运营服务可能跨越国界。在全球范围内推动低空经济的安全标准、适航认证体系、运营规范和监管政策的协调与互认,对于促进产业健康发展、降低市场壁垒、提升全球低空运行的整体安全水平至关重要。

应对挑战、把握机遇,需要政府、行业、学术界和公众的共同努力,通过持续的技术创新、管理创新和制度创新,不断提升低空经济的安全治理能力,为其安全、有序、高效发展保驾护航。

结论:以现代安全理论为灯塔,照亮低空经济安全发展之路

低空经济的广阔前景令人振奋,但其安全运行的复杂性和高要求性不容忽视。传统的事后型、局部型安全管理方法已难以适应这一新兴领域的挑战。本文深入探讨了固有安全设计、安全-I与安全-II范式、韧性工程以及STAMP/STPA等现代安全理论,阐明了它们在构建低空经济(涵盖无人机配送与物流、低空旅游与观光、城市空中交通UAM、低空应急救援等关键领域)坚实安全基础中的不可或缺性。

这些理论的核心价值在于:固有安全设计从源头消除或降低风险,提升系统的本质安全;安全-I与安全-II范式的结合,既能从失败中学习,更能从常态成功中汲取智慧,增强系统的适应性和鲁棒性;韧性工程致力于提升系统在内外扰动下的生存、适应与恢复能力,保障核心功能的持续;而STAMP/STPA理论则为理解和管控复杂系统中的控制失效提供了强大的分析框架。

将这些现代理论有效融入低空经济的技术研发创新、运营管理实践和政策法规制定,是一个系统性的工程。它要求我们必须:

  • 树立系统思维:将低空安全视为一个由技术、人员、组织、环境、法规等要素相互作用的复杂系统问题,而非孤立的环节问题。
  • 贯彻全生命周期理念:安全考量需贯穿于飞行器/系统的概念设计、研发制造、测试验证、批准运行、日常维护直至最终退役的每一个环节。
  • 推动多方协同共治:低空经济的安全发展是政府监管机构、飞行器制造商、运营商、服务提供商、科研院所乃至社会公众的共同责任,需要构建有效的沟通、协作与监督机制。
  • 鼓励持续学习与创新:面对技术的飞速迭代和未知风险的涌现,必须保持开放的心态,积极吸收和应用最新的安全科学成果,不断优化安全策略和实践。

诚然,现代安全理论在低空经济领域的全面落地仍面临数据积累、人才培养、成本效益、法规适应性等多重挑战。但我们有理由相信,以这些先进的安全理论为思想灯塔,辅以智能化技术、数字化工具的赋能,通过政府、产业界和学术界的共同努力和持续创新,低空经济定能在有效保障安全的前提下,充分释放其改变出行方式、提升物流效率、赋能应急救援、丰富旅游体验的巨大社会和经济价值,安全地飞向更加广阔的未来。

关键要点

  • 低空经济发展迅速,安全是基石:无人机配送、低空旅游、UAM、应急救援等领域潜力巨大,但其复杂性和高风险性对安全管理提出严峻挑战。
  • 现代安全理论提供新范式:固有安全设计(源头降险)、安全-I与安全-II(兼顾失败与成功经验)、韧性工程(抗扰恢复)、STAMP/STPA(系统控制视角)为低空安全提供了更全面、更主动的解决方案。
  • 理论需深度融入各领域实践
    • 无人机配送:强调飞行器与运营流程的固有安全,结合安全-II学习成功经验,构建韧性网络,用STPA分析控制风险。
    • 低空旅游:飞行器选型与维护、游客管理体现固有安全,借鉴事故教训(安全-I)与优秀实践(安全-II),提升人员与组织韧性。
    • 城市空中交通 (UAM):eVTOL设计、基础设施、空域管理需贯彻固有安全,通过测试与试点学习(安全-I&II),构建韧性UAM网络,用STPA分析复杂系统风险。
    • 低空应急救援:专用装备与标准化流程体现固有安全,总结成功与失败案例(安全-I&II),强化指挥通信与队伍韧性,用STPA分析救援控制结构。
  • 政策法规需以现代安全理论为指导:从顶层设计、标准制定(适航、运营、设施、网络安全)、监管模式(风险导向、绩效导向、先进方法引入)等方面进行革新,平衡产业发展与安全保障。
  • 挑战与展望并存:克服理论实践差距、数据匮乏、技术成本等挑战,未来可期盼智能化安全管理、MBSE应用、数字孪生、安全文化培育和国际标准协同。
  • 系统思维与多方共治是关键:低空安全需要全生命周期管理、跨部门协作和全社会共同努力,以确保这一新兴产业安全、健康、可持续发展。