现代安全理论在UAV与UAM安全保障体系中的应用研究

1. 绪论

1.1 研究背景与意义

近年来，以无人机系统（Unmanned Aerial Vehicle, UAV）和城市空中交通（Urban Air Mobility, UAM）为代表的低空经济展现出蓬勃的发展态势和巨大的市场潜力。UAV已广泛应用于物流配送（如续航教育提及的无人机配送）、农业植保、电力巡检、环境监测、应急救援等多个领域，显著提升了作业效率并拓展了服务边界。与此同时，UAM作为一种旨在利用电动垂直起降飞行器（electric Vertical Take-off and Landing, eVTOL）提供城市内及城际客货运输服务的新型交通模式，被普遍认为是解决城市交通拥堵、提升出行效率的未来方向（《航空学报》关于UAM关键技术与挑战的分析）。eVTOL技术的快速进步，例如Joby Aviation、亿航智能等公司的产品研发与试飞，以及全球范围内对UAM市场规模的乐观预测（搜狐财经关于国内外eVTOL产业集群的报道），预示着低空空域的商业化利用即将进入新阶段。

然而，UAV和UAM产业的高速发展也伴随着日益严峻的安全保障挑战。UAV的运行环境日益复杂，尤其是在城市峡谷、人口密集区等区域，面临GPS信号干扰、复杂电磁环境、动态障碍物等多重考验（《中国科学：信息科学》对无人机自主安全的研究）。其安全威胁不仅来自物理层面（如碰撞、坠毁），也涵盖网络信息安全（如数据链劫持、恶意软件攻击 《网络安全》对无人机网络安全的综述）和智能算法的可靠性问题。UAM的安全性挑战则更为艰巨，它涉及载人飞行、高密度高频次的城市空域运行、eVTOL本身作为新兴航空器的适航性验证、地面Vertiport基础设施的运营安全、以及与现有空中交通管理体系的融合等一系列复杂问题（飞行汽车网对UAM挑战的分析）。公众对于UAM的安全性和噪声等方面的顾虑，也是其能否成功商业化的关键因素。

传统的安全管理方法，多侧重于事故发生后的调查分析和对已知风险的控制，这种基于“安全-I”理念的反应式管理模式，在应对UAV和UAM这类技术迭代迅速、运行场景全新、系统耦合紧密、人机交互复杂的新兴领域时，显得力不从心。它们难以有效预见和防范由复杂系统交互产生的涌现风险，也难以充分激发系统和人员的主动适应能力。因此，引入和应用现代安全理论，如固有安全设计（ISD）、安全-II、韧性工程、STAMP/STPA、STSE等，对于从根本上提升UAV与UAM的安全水平具有至关重要的意义。这些理论强调系统思维、主动预防、风险预知、过程控制和韧性增强，能够帮助我们更全面地理解和管理UAV与UAM运行中的复杂风险，构建更具适应性和鲁棒性的安全保障体系，从而为低空经济的健康、安全、可持续发展奠定坚实基础。

1.2 国内外研究现状述评

对现代安全理论及其在UAV与UAM安全保障中应用的研究，是近年来学术界和工业界共同关注的热点。以下从理论研究和应用研究两方面进行述评。

1.2.1 理论研究现状

• 固有安全设计 (ISD): ISD理论强调在设计初期通过消除或减少危害来提升系统安全性，而非依赖附加的安全措施。这一理念最早由Trevor Kletz在化工行业提出并成功应用（安厦系统科技对ISD的介绍）。其核心原则包括最小化、替代、缓和与简化，已逐步拓展至核能、交通等高风险领域，并开始被探讨应用于新兴技术如无人机和eVTOL的设计中，以期从源头提升其安全性。
• 安全-I 与 安全-II: 传统安全管理（安全-I）关注于“什么是错的”，即通过分析事故原因、消除故障来避免事故。Erik Hollnagel等学者提出的安全-II理论则转变视角，关注“什么是对的”，即通过理解系统在正常运行中的适应性和成功实践来提升整体安全水平（Erik Hollnagel官网, NHS England White Paper）。安全-II理论已在医疗、航空等复杂系统中得到初步探索，强调从日常工作的变异性和适应性中学习，功能共振分析法（FRAM）是其代表性分析方法（Safety-II and Resilience Engineering in a Nutshell, PMC7940128）。
• 韧性工程 (Resilience Engineering): 韧性工程关注系统在面对预期和非预期扰动时，监测、响应、预期和学习（MARL模型）的能力，以维持核心功能的正常运作（ScienceDirect Topics on Resilience Engineering）。该理论强调系统的主动适应和持续学习，已成为关键基础设施保护、应急管理等领域的重要研究方向。
• STAMP/STPA: 由Nancy Leveson教授提出的系统理论事故模型（STAMP）及其分析方法系统理论过程分析（STPA），将事故视为控制问题而非简单的部件故障链（电子工程专辑对STAMP/STPA的详解, FunctionalSafetyEngineer.com）。STPA通过构建控制结构、识别不安全控制行为（UCA）及其原因，能够系统地分析复杂系统中的设计缺陷、软件错误以及人与组织的交互风险。该方法已在航空航天、汽车功能安全与预期功能安全（SOTIF）、国防、核电等领域得到广泛应用并证明其有效性。
• STSE (社会技术系统工程): STSE强调技术系统与社会组织环境的不可分割性，主张在系统设计和运营中综合考虑技术、人、任务、组织和环境等要素的动态交互（Baxter & Sommerville, 2011）。其目标是通过优化社会子系统和技术子系统的匹配，实现整体系统绩效（包括安全）的最优化。STSE为理解和管理人因错误、组织失误以及新兴技术带来的伦理和社会影响提供了重要框架。

1.2.2 UAV/UAM安全应用研究现状

当前，针对UAV的安全研究更多集中在具体的技术解决方案层面，例如感知与规避（DAA）算法、数据链加密技术、飞控系统冗余设计、电池安全管理等。虽然这些技术进步对提升UAV安全性至关重要，但从系统层面应用现代安全理论进行整体安全保障体系构建的研究尚不充分。例如，如何系统性地运用STPA分析UAV在复杂城市环境下的运行风险，或如何运用安全-II理念指导UAV运营商的安全文化建设，仍有待深入探索。

UAM作为更复杂的新兴领域，其安全研究尚处于起步阶段。国际民航组织（ICAO）、美国联邦航空局（FAA）、欧盟航空安全局（EASA）等机构已开始着手制定UAM的概念运营（ConOps）框架和初步的安全标准与指南。例如，FAA发布的《Urban Air Mobility (UAM) Concept of Operations 2.0》 （FAA UAM ConOps 2.0）和EASA提出的针对eVTOL的特殊条件（SC-VTOL）（无人机网对EASA UAM法规的报道），为UAM的安全保障奠定了初步基础。NASA等研究机构也在积极探索UAM的系统安全、人因工程、空域管理等问题，其中不乏对STPA、韧性工程等现代安全理论的应用尝试（NASA UAM Hazard Analysis, NASA Resilience Engineering for AAM）。然而，如何系统性地将多种现代安全理论融入UAM的安全保障体系设计、适航审定、运行管理和生态构建中，仍是亟待解决的课题。

1.2.3 本研究切入点与创新

鉴于国内外研究现状，本研究旨在从以下几个方面寻求突破与创新：

• 系统性理论对比与整合框架： 本研究将对ISD、安全-I/II、韧性工程、STAMP/STPA、STSE等多种核心现代安全理论进行系统性的梳理、解析与比较，深入揭示它们在UAV/UAM安全保障中的不同侧重点、优势劣势以及内在的互补关系，并尝试提出一个整合应用的初步框架。
• 技术工程与管理制度双重视角融合： 已有研究往往侧重于单一技术安全或宏观管理策略，本研究将强调技术工程视角（关注具体技术实现、系统设计、风险评估工具）与管理制度视角（关注安全文化、组织流程、法规标准、多方协同治理）的紧密结合，探索现代安全理论在UAV/UAM全生命周期、多层次安全保障中的综合应用路径。
• 针对UAV与UAM的独特性提出应用策略： 充分考虑UAV应用场景的多样性、技术迭代的快速性，以及UAM载人运行的高安全标准、城市高密度运行的复杂性、系统之系统（SoS）的特性等独有挑战，提出更具针对性、更具前瞻性的理论应用策略和实施建议。

1.3 研究目标与内容

1.3.1 研究目标

本研究的核心目标包括：

1. 系统梳理并深入解析ISD、安全-I、安全-II、韧性工程、STAMP/STPA、STSE等现代安全理论的核心内涵、基本原则、主要方法论及其在相关领域的应用现状。
2. 从安全哲学、事故致因模型、风险认知与处理方式、对人因与组织因素的关注度等多个维度，对上述现代安全理论进行深入比较分析，明确其各自的优势、局限性及在UAV/UAM安全保障中的潜在互补性。
3. 从技术工程实现和管理制度建设两个层面，深入探讨各安全理论在UAV安全保障体系设计、风险评估、运行管理、事故预防与调查等方面的具体应用模式、实施路径及预期价值。
4. 针对UAM的独特性和未来发展趋势，前瞻性研究各安全理论在构建未来UAM安全保障体系（包括eVTOL设计安全、Vertiport运营安全、UTM系统安全及整体生态安全治理）中的指导作用、关键挑战与实现策略。
5. 探索构建一个融合多种现代安全理论思想的、适用于UAV与UAM安全保障体系的综合性框架，并为其在技术工程和管理制度层面的协同落地提出初步建议。

1.3.2 研究内容

为实现上述研究目标，本研究将主要围绕以下内容展开：

1. 现代安全理论的深度解析： 详细阐述ISD、安全-I、安全-II、韧性工程、STAMP/STPA、STSE等理论的起源背景、核心思想、关键原则、分析工具与方法，并结合相关领域的典型应用案例进行说明。
2. 现代安全理论体系的比较研究： 构建一个全面的比较框架，从安全观演进、风险认知模式、对复杂系统和不确定性的处理能力、对人为因素和组织因素的侧重、以及在系统生命周期不同阶段的适用性等方面，对各理论进行系统性的对比分析，并探讨理论之间融合应用的可能性与路径。
3. 现代安全理论在UAV安全保障体系中的应用研究：
   • 技术工程视角： 研究ISD如何在UAV的硬件（如机体结构、动力系统、电池）和软件（如飞控逻辑）设计中降低固有风险；探讨STPA如何用于分析UAV在特定任务场景（如城市物流、电力巡检）中的复杂运行风险，特别是自主飞行系统的控制缺陷；分析韧性工程如何指导UAV设计以增强其应对突发环境变化（如GPS信号丢失、恶劣天气）和内部故障的能力。
   • 管理制度视角： 探讨安全-II理念如何应用于UAV飞行数据的分析，从成功的飞行经验中学习并改进操作规程和培训体系；研究STSE思想如何指导构建UAV运营商的安全管理体系（SMS）和行业整体的安全文化；分析STAMP模型如何在UAV事故调查中更深入地揭示系统性原因，促进有效的预防措施制定。
4. 现代安全理论在UAM安全保障体系中的应用研究：
   • 技术工程视角： 研究STAMP/STPA如何在UAM系统级架构（包括eVTOL飞行器、Vertiport基础设施、UAM空中交通管理系统UTM/U-space）的安全设计、验证与评估中发挥作用；分析韧性工程如何用于保障UAM运行网络（如航路网络、通信网络）在面临单点失效、大规模扰动时的可靠性和恢复能力；探讨ISD如何在eVTOL的关键部件（如电池系统、应急降落系统）设计中贯彻安全优先原则。
   • 管理制度视角： 研究STSE如何在UAM的多方利益相关者（包括政府监管机构、eVTOL制造商、UAM运营商、Vertiport运营商、UTM服务商、公众等）协同治理和安全法规标准制定中提供框架支持；探索安全-I与安全-II理念如何在UAM从设计验证、适航审定到商业运营的全生命周期风险管理中实现平衡与结合；思考韧性工程理念如何指导构建UAM的应急响应体系和危机沟通机制。

1.4 研究方法与技术路线

1.4.1 研究方法

本研究将综合运用以下研究方法：

• 文献研究法： 广泛搜集和深入研读国内外关于现代安全理论（ISD、安全-I/II、韧性工程、STAMP/STPA、STSE等）、UAV与UAM技术发展、安全挑战、法规标准、行业报告以及相关高安全领域（如民航、核能、化工、汽车）的安全管理实践等方面的学术论文、专著、技术报告、标准规范和重要会议文件，为本研究提供理论基础和实践参考。
• 理论比较法： 在对各现代安全理论进行深度解析的基础上，建立统一的比较维度和分析框架（例如从安全哲学、事故模型、关注点、优缺点等方面），对各理论进行系统性的横向和纵向对比，识别其核心思想的异同、方法论的特点、适用范围的差异以及潜在的互补性与融合点。
• 案例分析法： 针对UAV和（未来）UAM的典型应用场景和潜在风险点，结合已有的研究成果和公开的安全事件信息，分析相关安全理论的适用性和应用思路。鉴于UAM尚处于发展初期，成熟的实际应用案例较少，本研究将更多地借鉴航空、航天、自动驾驶等相关高安全、高复杂系统领域的成熟案例，探讨其对UAV/UAM安全保障体系建设的启示和借鉴意义。
• 系统分析法： 运用系统工程的整体性、关联性、动态性观点，将UAV和UAM的安全保障体系视为一个由技术、人员、组织、环境、法规等要素构成的复杂大系统。在此基础上，分析各构成要素之间的相互作用及其对整体安全性的影响，探讨现代安全理论如何从系统层面入手，识别和控制风险，提升体系的整体安全绩效和韧性。

1.4.2 技术路线

本研究的技术路线具体如下：

1. 问题提出与研究设计： 在对UAV与UAM安全保障需求的初步调研基础上，明确本研究的核心问题、研究目标、主要内容和拟采用的研究方法，制定详细的研究计划。
2. 文献梳理与理论学习： 系统查阅和学习ISD、安全-I/II、韧性工程、STAMP/STPA、STSE等现代安全理论的经典文献和最新研究进展，深入理解其核心概念、基本原理和主要方法工具。同时，广泛收集UAV/UAM技术、安全管理、法规标准等方面的资料。
3. 安全理论解析与比较： 对每种安全理论进行专题性的深度解析。在此基础上，构建系统的理论比较框架，从多个维度进行对比分析，绘制理论对比表，明确各理论的特点、优势、局限性以及在UAV/UAM安全保障中的潜在定位与作用。
4. UAV安全保障体系应用研究： 结合UAV的技术特点、多样化应用场景和面临的主要安全挑战，分别从技术工程和管理制度视角，系统阐述各现代安全理论在UAV硬件设计、软件开发、风险评估、运行管理、事故调查、法规制定等方面的具体应用思路、方法和预期效果，并结合构思的案例进行说明。
5. UAM安全保障体系应用研究： 围绕UAM的独特性（如载人、高密度、城市运行、系统之系统等）和极高的安全要求，分别从技术工程和管理制度视角，前瞻性地探讨各现代安全理论在eVTOL设计、Vertiport运营、UTM构建、空域管理、应急响应以及整体安全治理框架设计中的应用模式、关键技术和实施策略，并结合构思的案例进行展望。
6. 理论融合与制度协同机制研究： 在分别探讨各理论应用的基础上，进一步研究如何在UAV和UAM安全保障体系中实现不同理论的优势互补与有机融合，提出跨理论集成的安全保障框架设想。重点分析技术工程手段与管理制度建设之间的协同机制，探讨如何通过制度设计保障技术措施的有效落地和持续改进。
7. 结论提炼与研究展望： 全面总结本研究的主要结论，客观评价研究的创新点与局限性。在此基础上，结合UAV/UAM技术发展趋势和安全管理需求，对未来值得进一步深入研究的方向进行展望，提出相关建议。
8. 研究报告撰写与修改： 按照学术论文的规范和要求，撰写研究报告，并经过反复修改和完善，确保内容充实、逻辑严谨、表达清晰、结论可靠。

1.5 论文结构安排

本研究报告的结构安排如下：

• 第一章 绪论： 主要阐述研究的背景、意义，梳理国内外相关领域的研究现状，明确本研究的目标、内容、拟采用的研究方法和技术路线，并概述论文的整体结构。
• 第二章 现代安全理论体系深入解析及比较： 对ISD、安全-I、安全-II、韧性工程、STAMP/STPA、STSE等核心现代安全理论进行逐一的深度解析，阐明其基本概念、核心思想、主要原则和方法工具。在此基础上，构建比较分析框架，对这些理论进行系统性的横向对比，揭示其异同点及内在联系。
• 第三章 现代安全理论在UAV安全保障体系中的应用研究： 首先分析UAV安全保障体系的构成要素和面临的主要挑战。然后，分别从技术工程视角和管理制度视角，结合UAV的具体应用场景（如物流配送、农业植保、电力巡检等），深入探讨各现代安全理论的应用模式、实施策略和潜在价值，并通过典型案例分析加以说明。
• 第四章 现代安全理论在UAM安全保障体系中的应用研究： 首先分析UAM安全保障体系的独特性和复杂性。然后，同样分别从技术工程视角和管理制度视角，聚焦UAM的特殊需求（如eVTOL飞行器安全、Vertiport运营安全、UTM系统安全、城市高密度空域集成等），前瞻性地研究各现代安全理论在UAM安全保障体系构建中的指导作用、关键挑战和实现路径，并构思前瞻性的应用案例。
• 第五章 现代安全理论在UAV与UAM安全保障体系中的融合应用与制度协同： 在前两章分别应用研究的基础上，本章将进一步探讨UAV与UAM安全保障的共性与特殊性对理论选择和应用的影响。重点研究如何跨理论融合，形成一个协同增效的安全保障框架。分析技术工程手段如何与管理制度建设相互促进、协同发展，提出构建UAV/UAM安全技术工程与管理制度协同机制的思路，并思考UAV/UAM安全保障体系建设的最佳实践。
• 第六章 结论与展望： 全面总结本研究的主要结论，客观评估研究的创新点和存在的局限性。最后，结合UAV与UAM技术发展的前沿趋势和未来安全保障的更高要求，对未来值得进一步深入研究的方向进行展望。

2. 现代安全理论体系深入解析及比较

本章将对在UAV与UAM安全保障体系研究中具有重要指导意义的几种核心现代安全理论进行深入解析，包括固有安全设计（ISD）、安全-I与安全-II、韧性工程、STAMP/STPA以及社会技术系统工程（STSE）。在分别阐述各理论的基础上，将进行系统性的比较研究，以揭示其内在联系与差异，为后续的应用研究奠定理论基础。

2.1 ISD（固有安全设计）理论解析

2.1.1 核心思想与原则

固有安全设计（Inherently Safer Design, ISD）是一种强调从设计源头消除或显著降低系统固有危害，而非依赖附加安全装置或复杂操作规程来控制风险的安全设计哲学。其核心思想是“你没有的，就不会泄漏”（源自Trevor Kletz对化工厂安全的论述），即通过改变工艺、物料或设备的设计，使系统在本质上更加安全。ISD的主要原则通常概括为（安厦系统科技有限责任公司；Wikipedia - Inherent Safety）：

• 最小化 (Minimize / Intensification): 尽可能减少系统中危险物质的储存量或能量水平。例如，在UAV设计中，采用更高能量密度但体积更小、重量更轻的电池，同时优化电池管理系统（BMS）以减少过充过放风险；对于eVTOL，在满足航程需求的前提下，合理设计电池容量，避免不必要的能量冗余带来的额外风险。
• 替代 (Substitute): 使用危险性更低或无害的物质、工艺或技术替代高危选项。例如，UAV和eVTOL采用更安全的电池化学体系（如固态电池替代液态锂离子电池的远期目标），或采用不易燃的结构材料。在UAM的动力系统中，若电动方案在某些方面（如能量密度、充电速度）存在难以克服的安全瓶颈，可能会考虑（尽管目前主流是电动）更成熟或本质更安全的替代方案（例如，可持续航空燃料SAF用于混合动力系统）。
• 缓和 (Moderate / Attenuate): 在危险性较低的条件下操作和储存危险物质，或降低其失控时的影响。例如，UAV限制其在人口密集区的飞行速度和高度，以降低潜在碰撞的能量；eVTOL设计更温和的飞行包线和失速特性，使其在异常情况下更易于控制；为电池仓设计有效的热管理和泄压通道，以缓和热失控的后果。
• 简化 (Simplify): 消除不必要的复杂性，使系统更易于理解、操作和维护，从而减少人为失误和设备故障的概率。例如，简化UAV的飞控逻辑和地面站操作界面，减少飞手认知负荷；UAM的人机交互界面设计应直观友好，应急程序应清晰易执行。

此外，有时还会提及“防错（Error Proofing）”或“限制效应（Limit Effects）”等原则，它们与上述核心原则紧密相关，共同构成了ISD的实践指南。

2.1.2 方法与工具

ISD的实施并非依赖单一工具，而是一种贯穿系统设计全生命周期的思维方式和系统方法。其关键在于早期介入，即在概念设计和初步设计阶段就将ISD原则纳入考量，因为此时进行设计变更的成本最低，效果也最显著。常用的辅助方法和工具包括：

• ISD检查表 (ISD Checklists): 针对特定系统或工艺，列出与ISD原则相关的设计问题和考虑点，帮助设计团队系统性地思考改进方案。
• 危害与可操作性分析 (HAZOP) 结合ISD: 在进行HAZOP分析识别出潜在偏差和危害后，优先考虑采用ISD原则消除或降低这些危害，而不是仅仅增加保护层。
• “What-if”分析结合ISD: 提出各种可能的故障或异常情景，然后评估是否可以通过ISD手段从根本上避免这些情景的发生或减轻其后果。
• 过程安全信息 (PSI) 与ISD数据库: 积累和利用关于材料特性、工艺参数、设备故障模式等数据，支持ISD决策。

2.1.3 优势与局限

优势：

• 根本性提升安全： ISD从源头上降低或消除了危害，这是其相对于依赖附加安全系统（如报警、联锁、防护罩）的最大优势。
• 潜在的成本效益： 虽然初期设计投入可能增加，但通过简化系统、减少对昂贵安全设备和复杂维护的需求，ISD可能在整个系统生命周期内降低总成本。
• 减少人为失误依赖： 一个本质更安全的系统对操作人员的技能和警惕性的依赖程度较低，从而减少了人为失误的概率和影响。
• 增强公众接受度： 对于UAV和UAM这类新兴技术，采用ISD能有效提升其安全形象，增强公众信任和接受度。

局限：

• 早期介入要求高： ISD的效果高度依赖于在设计初期就充分考虑。对于已建成或设计已基本定型的系统，实施ISD改造往往成本高昂且难度大。
• 可能与其他性能指标冲突： 在某些情况下，追求固有安全可能与系统的效率、性能、成本或环境影响等其他设计目标产生冲突，需要进行权衡决策。
• “零风险”的误解： ISD旨在最大程度降低风险，但并非能实现绝对的“零风险”。仍需结合其他安全管理措施。
• 创新性要求： 某些ISD方案可能需要颠覆性的技术创新或重大的工艺改变，实现难度较大。

对于UAV和UAM而言，在其发展的初期阶段，系统地引入和应用ISD理念，尤其是在飞行平台设计（如电池安全、动力系统可靠性、结构耐撞性）、运行空域规划（如隔离运行、避开敏感区域）、人机交互界面设计等方面，具有巨大的潜力与价值。

2.2 安全-I 与 安全-II 理论解析

安全-I和安全-II是由Erik Hollnagel等学者提出的关于如何理解和管理安全的两种不同视角（Erik Hollnagel官网），它们代表了安全科学领域的重要理论演进。

2.2.1 安全-I (Safety-I)

• 核心观点： 安全-I将安全定义为“免于不可接受的风险”或“事故和事件的缺失”（AHRQ PSNet）。其基本假设是，系统在大多数情况下是安全运行的，事故的发生是由于某些组件（硬件、软件、人员、规程）的失效、故障或错误行为导致的。它倾向于认为事故的发生是一个或多个原因线性叠加的结果。
• 代表方法： 安全-I框架下的常用方法侧重于识别和消除已发生或潜在的负面事件及其原因。这些方法包括：
  • 根本原因分析 (Root Cause Analysis, RCA)
  • 故障树分析 (Fault Tree Analysis, FTA)
  • 事件树分析 (Event Tree Analysis, ETA)
  • 失效模式与影响分析 (Failure Mode and Effects Analysis, FMEA / FMECA)
  • 事故调查报告
• 安全管理： 安全-I主导的安全管理通常是反应性的（Reactive Safety Management Safety+Health Magazine）。当事故或不安全事件发生后，通过调查找到原因，然后采取纠正措施（如修改规程、增加屏障、处罚责任人）来防止类似事件再次发生。风险评估则侧重于预测潜在失效的概率和后果。
• 优势：
  • 对于结构相对简单、因果关系明确的系统和已知风险，安全-I的方法是有效的，并且有大量成熟的工具和技术支撑。
  • 易于理解和实施，符合传统的工程思维模式。
  • 在 بسیاری的行业中，安全-I的实践已经显著降低了事故率。
• 局限：
  • 在复杂、动态、紧密耦合的系统中（如UAV集群、UAM生态系统），事故往往不是由单一组件故障或线性因果链引起的，而是系统复杂交互和动态涌现的结果，安全-I难以充分解释和应对此类风险。
  • 过度关注“哪里出错了”，可能导致对系统正常、成功运作的复杂性和适应性关注不足，无法从成功的日常工作中学习。
  • 容易将人为失误视为事故的根本原因，可能导致“责备文化”，阻碍真实信息的报告和深入学习。
  • 对于全新的、缺乏事故数据的系统（如UAM的早期阶段），安全-I的预测能力有限。

2.2.2 安全-II (Safety-II)

• 核心观点： 安全-II将安全定义为“系统在预期和非预期条件下成功运行的能力”（Erik Hollnagel官网）。它认为，成功（事情按预期发展）和失败（事情出错）并非源于截然不同的机制，而是源于同样的系统动态和人的适应性（绩效变异性）。日常工作中，人员和系统不断进行调整和适应以应对各种变化和不确定性，这些调整绝大多数时候确保了任务的成功完成，但偶尔也可能导致不期望的后果。因此，理解系统如何“做对事情”是理解其如何“出错”的前提。
• 代表方法： 安全-II框架下的方法更侧重于理解和增强系统在日常工作中的适应能力和韧性。这些方法包括：
  • 功能共振分析法 (Functional Resonance Analysis Method, FRAM)（PMC7940128）
  • 工作观察与访谈 (Work Observation and Interviews)，理解“实际完成的工作 (Work-as-Done, WAD)”而非“想象中的工作 (Work-as-Imagined, WAI)”
  • 学习团队 (Learning Teams) 或事后回顾 (After Action Reviews)，专注于分析成功的操作和适应性行为
  • 韧性能力评估工具 (如韧性分析网格 RAG)
• 安全管理： 安全-II主导的安全管理是主动性的（Proactive Safety Management Safety+Health Magazine）。它致力于理解日常工作中绩效变异的来源、影响和管理方式，通过增强系统的监控能力、预期能力、响应能力和学习能力来提升整体安全水平。它鼓励从每一次成功和“微小异常”中学习，而不仅仅是从事故中学习。
• 优势：
  • 更适用于分析和管理复杂、动态和自适应的系统。
  • 强调人的积极作用，将人视为系统韧性和适应性的重要来源，而非仅仅是错误的制造者。
  • 促进组织从成功和日常工作中学习，有助于建立积极的安全文化和持续改进机制。
  • 能够更好地应对新兴技术和未知风险，因为其关注点是提升系统应对各种变化的能力。
• 局限：
  • 理论相对较新，其实践方法和工具仍在不断发展和完善中。
  • 对日常成功工作的分析和学习可能比分析事故更为困难，需要新的数据收集和分析方法。
  • 量化评估安全-II相关指标（如系统韧性）具有挑战性。
  • 实施安全-II可能需要组织文化和管理理念的深刻转变，这是一个长期过程。

在UAV和UAM安全保障体系中，安全-I和安全-II并非相互排斥，而是互为补充的。安全-I对于处理已知风险、确保基本合规性仍然重要。而安全-II则为应对复杂性、不确定性以及从日常运营中学习和提升系统韧性提供了新的视角和方法（PSNet - Resilient Healthcare and Safety-I/II Frameworks）。

2.3 韧性工程（Resilience Engineering）理论解析

2.3.1 核心概念与目标

韧性工程是一个关注系统如何在面临干扰、变化、压力和意外时，能够有效地适应、维持核心功能并从中学习，以确保在各种条件下都能取得可接受成果的学科。它不仅仅是关于从失败中恢复，更重要的是关于如何主动地建立和增强系统应对已知和未知挑战的能力（ScienceDirect Topics on Resilience Engineering；Erik Hollnagel on Resilience Engineering）。韧性工程的目标是设计和管理那些能够“优雅地扩展其性能边界”的系统，而不是在压力下突然崩溃的“脆弱”系统。

根据Wreathall (2017)的定义，韧性工程指的是一个组织（系统）在经历重大事故或持续重大压力期间及之后，保持或迅速恢复到稳定状态，从而使其能够继续运行的能力。韧性工程认为，复杂系统本质上是动态变化的，完全消除所有风险是不可能的，因此，重点应放在增强系统应对变化和意外的能力上。

2.3.2 关键能力/原则

韧性工程强调培养系统的四项基本能力，通常被称为MARL模型（Monitor, Anticipate, Respond, Learn）：

• 监控 (Monitor): 系统需要有效地监控其自身状态、运行环境以及潜在的扰动迹象。这包括了对关键性能指标的跟踪，以及对可能预示着偏离正常状态的微弱信号的敏感性。
• 预期 (Anticipate): 系统不仅要对当前状况做出反应，还要能够预测未来的发展趋势和潜在的威胁或机遇。这涉及到对未来可能发生的事件（包括那些低概率高影响的事件）进行评估和准备。
• 响应 (Respond): 当扰动或意外事件发生时，系统需要有能力迅速有效地做出反应，以控制事态发展、减轻负面影响，并尽可能维持关键功能的运作。这包括启动预案、调动资源、灵活调整策略等。
• 学习 (Learn): 系统必须能够从经验中学习，无论是成功的经验还是失败的教训，并将所学知识融入到未来的设计、操作和应急准备中。这强调了反馈机制和持续改进的重要性。

除此之外，韧性工程还包含其他一些重要原则，例如：

• 理解实际工作 (Work-as-Done vs. Work-as-Imagined): 深入了解实际操作中人员是如何工作的，识别正式规程与实际操作之间的差距，并理解这些差距背后的原因和适应性。
• 管理绩效变异性 (Performance Variability): 认识到系统和人的绩效并非总是精确一致的，而是存在变异。韧性工程旨在理解和管理这种变异，使其成为适应性的来源，而非仅仅是错误的根源。
• 创造和维持适应能力 (Adaptive Capacity): 为系统和人员提供必要的资源、自主性和灵活性，使其能够根据具体情境进行调整和创新。
• 建立安全裕度 (Safety Margins): 在系统设计和运行中留有足够的余地，以应对超出预期的压力和变化。
• 跨越多重边界的协调 (Cross-scale Interactions): 理解系统内部不同层面之间以及系统与外部环境之间的相互作用和依赖关系。

2.3.3 方法与工具

韧性工程的实践并非依赖一套固定的工具，而是更多地体现为一种系统性的方法论和思维方式。一些常被用于支持韧性分析和增强的方法包括：

• 韧性分析网格 (Resilience Analysis Grid, RAG): 由Hollnagel提出的一个框架，用于评估系统在响应、监控、预期和学习四个方面的能力。
• 功能共振分析法 (FRAM): 也可用于分析系统功能的变异性如何传播并可能导致非预期结果，从而识别增强韧性的机会。
• 情景分析与模拟演练 (Scenario Analysis and Simulation Drills): 通过模拟各种正常和异常情景，检验系统的响应能力和适应性，并从中学习。
• 韧性绩效指标 (Resilience Performance Indicators, RPIs): 尝试开发能够衡量系统韧性水平的指标，尽管这仍然是一个具有挑战性的领域。
• 建立学习型组织文化 (Learning Organization Culture): 鼓励开放沟通、经验分享、从成功和失败中学习，并持续改进。

2.3.4 优势与局限

优势：

• 主动应对不确定性： 韧性工程的核心优势在于其关注系统如何应对不可预见的、新出现的风险和意外事件，这对于技术快速发展、环境日益复杂的UAV和UAM领域尤为重要。
• 强调系统整体性与适应性： 它超越了简单的组件可靠性分析，着眼于提升整个系统的动态适应能力和在压力下的功能维持能力。
• 促进持续学习与改进： 将学习视为核心能力，推动组织不断从经验中提取教训，优化设计和操作。
• 积极的人因视角： 承认并利用人的认知灵活性和适应性，将其视为系统韧性的关键资源。

局限：

• 概念相对抽象： “韧性”本身是一个多维度、有时难以精确定义和测量的概念，这给实际操作带来一定难度。
• 量化评估挑战： 开发普遍适用且易于操作的韧性量化评估方法仍然是一个研究难点。
• 实施成本与周期： 构建和维持高韧性系统通常需要长期的组织投入、文化变革以及可能较高的初始投资。
• 与传统安全方法的整合： 如何有效地将韧性工程的理念和方法与成熟的传统安全分析方法（如FMEA、FTA）相结合，仍需进一步探索。

对UAV和UAM而言，韧性工程提供了一种宝贵的视角，用于设计能够应对复杂电磁环境干扰、传感器突发故障、极端天气条件、大规模空域拥堵、乃至网络攻击等多种挑战的系统。通过增强其MARL能力，可以显著提升UAV和UAM在真实运行环境中的安全性和可靠性。

2.4 STAMP/STPA 理论解析

系统理论事故模型与过程（Systems-Theoretic Accident Model and Processes, STAMP）及其派生的分析方法——系统理论过程分析（System-Theoretic Process Analysis, STPA），是由MIT的Nancy Leveson教授提出的一套用于理解和预防复杂系统事故的全新理论框架和分析工具（FunctionalSafetyEngineer.com；UL Solutions Blog）。它们基于控制理论和系统理论，为现代复杂系统的安全分析提供了强大的方法论支持。

2.4.1 STAMP (Systems-Theoretic Accident Model and Processes) 模型

• 系统理论基础： STAMP模型的核心观点是，事故并非仅仅由一系列组件故障线性引发，而是源于系统中控制和约束的不足，导致了不安全的系统行为。它将系统视为一个由多个相互作用的组件构成的层级化控制结构（Hierarchical Safety Control Structure）。在这个结构中，高层级的控制器通过发出控制指令来约束低层级组件的行为，同时接收反馈信息以了解系统状态。
• 事故致因模型： 根据STAMP理论，事故是由于控制结构中未能有效执行安全约束（Safety Constraints）而导致的。不安全的控制行为（Unsafe Control Actions, UCA）是导致事故的直接原因。这些UCA的产生，可能是由于控制器本身的设计缺陷、控制器所依赖的过程模型（Process Model，即控制器对被控过程状态的认知）不准确或不完整、反馈信息缺失或错误，或者是控制算法存在问题等。这些缺陷可能存在于系统的任何层面，包括技术设计、软件逻辑、人为操作、组织管理、乃至法规标准等（电子工程专辑对STAMP/STPA的详细介绍）。

2.4.2 STPA (Systems-Theoretic Process Analysis) 分析方法

STPA是在STAMP理论指导下开发出的一种具体的、系统性的危险分析方法，旨在识别导致系统级危害的不安全控制行为（UCA）以及这些UCA产生的因果场景（Causal Scenarios）。STPA的分析过程通常包括以下四个主要步骤（电子工程专辑）：

1. 定义分析目的 (Define Purpose of the Analysis)：
   • 识别不可接受的系统级损失 (Losses)：例如，人员伤亡、财产损失、环境破坏、任务失败等。
   • 识别可能导致这些损失的系统级危害 (System-Level Hazards)：危害是系统的一种状态或一组条件，在特定环境或条件下会共同导致损失。
   • 确定系统的边界 (System Boundary)：明确分析的范围。
2. 建模控制结构 (Model the Control Structure)：
   • 识别系统中的控制器 (Controllers)、被控过程 (Controlled Processes)、控制行为 (Control Actions)和反馈路径 (Feedback Paths)。
   • 绘制系统的层级控制结构图，清晰地表示各组件之间的控制关系和信息流。这个模型是后续分析的基础。
3. 识别不安全控制行为 (Identify Unsafe Control Actions, UCAs)：
   • 针对模型中的每一个控制行为，系统地分析其在何种情况下可能导致已识别的系统级危害。通常从以下四个方面考虑：
     1. 控制行为未提供 (Not providing causes hazard)。
     2. 提供了不正确的控制行为 (Providing incorrect control action causes hazard)。
     3. 控制行为提供时机错误（过早或过晚） (Providing control action too early, too late, or in wrong order causes hazard)。
     4. 控制行为持续时间错误（对于连续控制，如过长或过短） (Stopping too soon or applying too long causes hazard)。
   • 将识别出的UCA与相关的系统级危害联系起来，并形成UCA列表。
4. 识别导致UCA的因果场景 (Identify Causal Scenarios)：
   • 对每一个UCA，分析为什么控制器会发出这个不安全的控制行为，或者为什么一个安全的控制行为未能被正确执行。
   • 因果场景可能涉及控制器的设计缺陷（如控制算法错误）、过程模型的不准确（控制器对系统状态的理解错误）、反馈信息的缺失或延迟、传感器故障、执行器故障、不合理的设计决策、以及人为因素、组织因素等。STPA通过引导分析人员思考控制环路中的所有可能缺陷来推导这些场景。

STPA分析的关键产出包括：系统级危害、不安全控制行为（UCA）列表、导致UCA的详细因果场景、以及由此导出的系统安全约束（Safety Constraints）和安全需求（Safety Requirements）。这些成果可以直接用于指导系统的设计改进、安全规程的制定、测试用例的生成以及操作人员的培训等。

2.4.3 优势与局限

优势：

• 系统性与全面性： STPA能够识别传统基于故障树（FTA）或失效模式与影响分析（FMEA）等方法可能忽略的系统性风险，特别是那些由组件间不安全交互、软件缺陷、复杂系统行为、人为因素和组织因素导致的风险。
• 早期介入与指导设计： STPA可以在系统设计的早期概念阶段就开始应用，帮助识别潜在危害和定义安全需求，从而将安全性“构建到”系统中，而不是在后期进行昂贵的修改。
• 覆盖多种因素： 该方法能够统一处理硬件故障、软件缺陷、人为失误、组织管理问题以及设计缺陷等多种类型的致因因素。
• 关注“为什么”而非“是什么”： STPA不仅识别不安全的行为，更深入探究导致这些行为发生的根本原因和系统性缺陷。
• 适用于新兴技术： 对于像UAV自主飞行系统、UAM空中交通管理系统这类软件密集、高度自动化、人机交互复杂的系统，STPA显示出独特的分析能力。

局限：

• 分析复杂性： 对于大型复杂系统，STPA的分析过程可能较为复杂和耗时，需要分析团队具备良好的系统思维能力和对被分析领域的深入理解。
• 模型依赖性强： 控制结构模型的准确性和完整性对STPA分析结果的质量有直接影响。模型的抽象层次选择也需要经验。
• 结果的完整性： STPA分析的深度和广度依赖于分析团队的努力程度和专业水平，理论上无法保证100%识别所有危害场景。
• 工具支持尚在发展： 虽然有一些支持STPA的软件工具，但其成熟度和易用性仍有提升空间。

对于UAV和UAM这种安全至关重要的复杂系统，STAMP/STPA提供了一种强大的、自顶向下的分析方法，能够系统地识别和控制由多因素交互产生的风险，从而在设计、开发和运营的各个阶段提升系统的整体安全性。

2.5 STSE（社会技术系统工程）理论解析

2.5.1 核心观点与框架

社会技术系统工程（Socio-Technical Systems Engineering, STSE）是一种将技术系统视为与社会组织环境不可分割的整体进行设计、分析和优化的理论与实践框架。它起源于20世纪中叶对工作场所人与技术互动关系的研究，强调技术因素（如设备、软件、流程）与社会因素（如个体、团队、组织结构、文化、管理实践、法规政策）之间的复杂动态交互及其对系统整体绩效（包括生产力、安全性、员工福祉等）的决定性影响 (Baxter & Sommerville, 2011)。

STSE的核心观点包括：

• 系统的整体性与相互依存性： 技术系统和社会系统是相互依存、相互作用的子系统，构成一个统一的社会技术系统。对任一子系统的改变都可能对另一子系统及整体系统产生影响。
• 共同优化 (Joint Optimization)： 实现系统整体绩效最优化的关键在于同时优化技术子系统和社会子系统的设计与运行，使其相互协调、相互支持，而非片面追求某一子系统的最优。
• 开放系统视角： 社会技术系统是开放系统，持续与外部环境（如市场、法规、社会文化）进行交互和交换，并受其影响。
• 多利益相关者视角： 系统的设计和运行涉及多个利益相关者（如用户、操作员、管理者、设计师、监管者、公众等），他们的需求、期望和价值观需要得到充分考虑和平衡。
• 人是系统的核心要素： 强调人的认知能力、技能、动机、满意度以及团队协作在系统成功运行中的关键作用，反对将人仅仅视为机器的延伸或错误的来源。

STSE的框架通常涉及对以下要素及其交互的分析：

• 技术 (Technology): 包括硬件、软件、工具、设备、技术流程、自动化水平等。
• 人 (People): 包括个体的技能、知识、经验、生理心理特征、动机、价值观、以及团队的结构、沟通、协作等。
• 任务 (Tasks): 指系统需要完成的工作，包括任务的性质、复杂度、分配方式、工作流程等。
• 组织 (Organization): 包括管理结构、层级关系、决策机制、沟通渠道、奖惩制度、安全文化、培训体系、资源分配等。
• 环境 (Environment): 包括物理工作环境（光照、噪音、温度等）、外部法规政策环境、市场竞争环境、社会文化环境等。

2.5.2 应用原则/考虑因素

在应用STSE时，通常会遵循以下原则或考虑以下因素：

• 以人为中心的设计 (Human-Centered Design): 在系统设计初期就充分考虑人的能力、局限性、需求和期望，确保技术与人的良好适配。
• 参与式设计 (Participatory Design): 鼓励最终用户和其他关键利益相关者参与到系统的设计、评估和改进过程中。
• 工作设计优化 (Work Design Optimization): 合理设计工作任务和流程，提供适当的自主性、技能多样性和反馈，以提升工作满意度和绩效。
• 组织变革管理 (Organizational Change Management): 在引入新技术或新系统时，需要系统地规划和管理组织结构、角色职责、工作流程和文化的相应变革。
• 多学科协作 (Multidisciplinary Collaboration): STSE的成功实施通常需要工程技术人员、人因专家、社会科学家、管理人员等不同背景专业人士的紧密合作。
• 情境化分析 (Contextual Analysis): 强调在具体的组织和环境情境中分析和理解技术与人的交互，避免普适性的解决方案。
• 迭代与持续改进 (Iterative and Continuous Improvement): 社会技术系统是动态演化的，需要通过持续的监测、评估和反馈来进行迭代优化。

2.5.3 优势与局限

优势：

• 整体性视角： 提供了理解和解决复杂系统中由人、技术、组织和环境多重因素交织导致的问题（特别是安全问题）的整体性框架。
• 关注深层次原因： 有助于揭示事故和系统失效背后深层次的组织、文化和管理因素，而不仅仅是技术故障或个体失误。
• 提升系统接受度和有效性： 通过关注人的需求和参与式设计，可以提高新技术或新系统的用户接受度和实际运行效果。
• 促进可持续发展： 通过优化工作生活质量和组织效能，有助于实现系统的长期可持续发展。
• 指导复杂系统治理： 对于UAV和UAM这类涉及广泛社会影响和多方利益相关者的新兴技术，STSE为其治理框架的构建提供了重要思路。

局限：

• 分析与实施的复杂性： STSE涉及的分析维度众多，交互关系复杂，其实施过程可能比单纯的技术系统分析更为复杂和耗时。
• 量化评估难度： 社会因素（如组织文化、信任度）的精确量化和建模具有较大挑战性。
• 依赖跨学科合作： 需要不同学科背景的专家有效协作，对团队组织和沟通能力要求较高。
• 变革阻力： 实施STSE往往涉及组织结构和流程的调整，可能面临来自传统观念和既得利益的阻力。
• 理论指导与实践操作的差距： 尽管STSE提供了有价值的理论框架，但如何将其有效地转化为具体、可操作的设计和管理方法，仍需不断探索。

对于UAV和UAM安全保障体系的建设，STSE提供了一个不可或缺的宏观视角。它提醒我们，UAV/UAM的安全不仅仅是技术问题，更是涉及到人的行为、组织管理、法规政策、社会接受度等诸多因素的复杂社会技术系统问题。例如，在制定UAM的空域管理规则、Vertiport的运营流程、以及公众沟通策略时，都必须充分运用STSE的理念，确保技术方案与社会环境的良好适配，才能最终实现安全、高效、可持续的低空交通未来。

2.6 各安全理论体系的比较研究

为了更清晰地理解各现代安全理论的特点及其在UAV与UAM安全保障体系中的潜在应用价值，本节将从多个维度对ISD、安全-I、安全-II、韧性工程、STAMP/STPA和STSE进行系统性的比较分析。比较的维度主要包括：安全哲学观、事故因果模型、核心分析对象、主要预防策略、对人为因素的态度、对组织因素的关注度、对复杂性的处理方式、适用生命周期阶段、实施难度与成本以及主要方法论工具。

2.6.1 对比分析表/矩阵

下表总结了各安全理论在关键维度上的主要特征，并结合UAV/UAM的应用前景进行了简要评述。

理论名称	安全哲学观	事故因果模型	核心分析对象	主要预防策略	对人为因素的态度	对组织因素的关注度	优缺点总结 (结合UAV/UAM视角)
ISD (固有安全设计)	从设计源头消除或显著降低系统固有危害，安全是系统或过程的一种固有属性。	危害是物质、能量或工艺过程的固有特性，事故源于这些危害未能被有效消除或控制。	系统的物理和化学特性、工艺流程、设备设计、操作条件。	通过最小化、替代、缓和、简化等策略，在设计阶段消除或降低危害。	主要通过简化设计和操作来减少人为失误的机会。	相对较低，更侧重于技术和工程设计本身的安全属性。	优点: 从根本上解决或减轻安全问题，一旦实施，可能长期有效且成本效益高，减少对附加安全系统的依赖。对UAV/UAM而言，在飞行器（如电池、结构）和基础设施（如Vertiport）设计初期应用至关重要。缺点: 对设计早期介入要求高，对于已设计或运行的系统进行改造难度大、成本高；可能与性能、效率等其他目标存在权衡。
安全-I (Safety-I)	安全是“不出事”，即事故和事件的缺失，或风险处于可接受的低水平。	事故由一系列可识别的、线性的组件故障、人为差错或违规行为导致（如多米诺骨牌模型、瑞士奶酪模型）。	已发生的事故/事件、潜在的故障模式、不安全行为、不合规操作。	通过调查事故、识别和消除根本原因、增加安全屏障、强化规章制度和人员培训来防止事故重复发生。	倾向于将人视为系统中不可靠的环节，是错误的潜在来源（Liability），强调通过标准化、程序化和惩戒来约束行为。	中等，例如在安全文化建设、管理体系审计方面有所体现，但根本原因往往仍追溯到个体或技术层面。	优点: 理论和方法相对成熟，拥有大量易于理解和使用的工具（如FTA, FMEA, RCA），对于简单系统和已知风险有较好的效果。可用于UAV/UAM事故调查、合规性审核和部分风险分析。缺点: 难以有效应对复杂系统的涌现行为和未知风险；过度关注负面事件，可能忽略系统正常运作的复杂性和适应性；易导致追责文化，不利于学习。
安全-II (Safety-II)	安全是系统在预期和非预期条件下“成功运行的能力”，即确保尽可能多的事情顺利进行。	成功（事情顺利）与失败（事故发生）源于同样的系统动态和绩效变异性。事故是日常工作变异在特定条件下的不利结果（如功能共振）。	日常工作中的绩效变异、个体和团队的适应性行为、系统如何协同工作以达成目标、成功经验。	通过理解和增强系统在日常工作中的适应性和韧性来确保安全，从成功经验和微小异常中学习，主动管理绩效变异性。	将人视为系统灵活性和韧性的重要来源（Resource），强调其专业判断、适应能力和在复杂情境下创造性解决问题的能力。	较高，强调系统作为一个整体的绩效，关注工作环境、组织流程对个体和团队行为的影响。	优点: 更适应复杂、动态、自适应的系统（如UAV/UAM的自主运行）；强调主动预防和持续学习，促进积极的安全文化；有助于发现系统真正的优势和瓶颈。对UAV/UAM运行数据分析、操作经验提炼、应急处置灵活性提升有指导意义。缺点: 理论相对较新，实践方法和工具（如FRAM）尚在发展和推广中；量化评估系统韧性和安全-II绩效有难度；可能需要组织管理理念和文化的转变。
韧性工程 (Resilience Engineering)	系统在面临干扰、变化和压力时，能够预期、监控、响应并从中学习，以维持或恢复其核心功能的能力。	强调系统对内外扰动的响应过程、适应机制和恢复能力，事故被视为系统适应能力不足或失效的表现。	系统的预期（Anticipate）、监控（Monitor）、响应（Respond）、学习（Learn）四大核心能力 (MARL模型)，以及系统的适应性裕度。	通过增强系统的MARL能力，构建冗余和灵活性，创造和维持安全裕度，促进组织从各种事件中学习，以提升应对已知和未知风险的能力。	视为系统实现韧性的关键因素，强调其在复杂和意外情况下感知、判断、决策和适应的能力。	高，韧性被认为是系统（包括人、技术、组织）的整体涌现特性，组织学习和文化对韧性至关重要。	优点: 主动关注系统对未知和意外事件的应对能力，而不仅仅是预防已知风险；强调系统整体的适应性和动态平衡；适用于高度不确定和复杂的环境。对UAV/UAM应对突发传感器失效、通信中断、极端天气、网络攻击等场景的系统设计和应急预案制定具有重要价值。缺点: “韧性”概念本身比较抽象，其量化评估和具体实施策略仍在深入探索；构建高韧性系统需要长期的组织投入和文化支持。
STAMP/STPA	安全是一个控制问题，事故源于系统中控制和约束的不足，导致了不安全的系统行为。	系统层级的控制结构缺陷导致不安全控制行为（UCA），进而引发系统级危害和损失。缺陷可能存在于技术、人、组织等各个层面。	系统的层级控制结构、控制器与被控过程、控制行为、反馈回路、过程模型（控制器对被控过程的认知）。	通过STPA分析，识别导致UCA的因果场景，并基于此建立和执行有效的安全约束，改进控制结构和控制逻辑。	将人（操作员、设计师、管理者等）视为控制环路中的一个控制器或影响控制器行为的因素，分析其行为和决策对系统整体安全的影响。	高，STAMP模型明确将组织管理、法规政策等视为高层级的控制器，其缺陷同样会导致系统不安全。	优点: 对于分析复杂软硬件系统、人机交互系统、以及包含组织管理因素的系统特别有效；能够识别传统方法忽略的设计缺陷和系统交互风险；可在系统开发早期介入，指导安全需求定义和架构设计。是分析UAV/UAM整体架构（飞行器-地面站-UTM-Vertiport）安全、评估自主飞行系统和空管系统功能安全、识别潜在设计缺陷的有力工具。缺点: 分析过程可能较为复杂，对分析人员的系统思维和领域知识要求较高；控制结构模型的质量对分析结果影响显著；结果的完整性依赖于分析团队的努力和经验。
STSE (社会技术系统工程)	安全是社会技术系统（包括技术、人、任务、组织、环境）整体涌现的特性，是各子系统和谐互动的结果。	事故往往源于技术子系统与社会子系统之间的失配、不良交互，或未能充分考虑组织、文化、环境等因素对系统运行的影响。	技术、个体、团队、组织结构与文化、工作任务设计、外部环境（法规、市场、社会）及其之间的复杂动态交互关系。	通过共同优化技术子系统和社会子系统的设计与运行，促进多方利益相关者的协同，改善人机交互，构建适应性的组织和积极的安全文化。	视为系统的核心组成部分，关注其复杂的认知、行为、动机、需求以及与技术和组织的适配性，强调以人为中心的设计。	非常高，STSE理论的核心就是将组织、社会因素与技术因素置于同等重要的地位进行综合分析和设计。	优点: 提供了理解和管理复杂系统中人与技术交互的整体性、系统性视角；有助于识别和解决由组织、文化、管理等深层次因素引发的安全问题；促进系统的整体优化和用户接受度、可持续性。对于UAV/UAM的安全法规制定、公众接受度管理、多利益相关方协同的安全治理框架构建、以及人因工程设计提供重要指导。缺点: 分析维度多，实施复杂性高；社会因素的精确建模和量化评估具有挑战性；往往需要跨学科团队的紧密合作和组织高层的支持。

2.6.2 综合评述

通过上述对比可以看出，这些现代安全理论并非相互排斥，而是从不同层面、不同视角关注系统安全问题，各自具有其独特的贡献、优势和适用范围：

• 独特贡献与侧重点：
  • ISD 强调从设计源头进行危害预防，是实现本质安全的基础。
  • 安全-I 关注消除已知风险和事故原因，是合规和事故调查的基础。
  • 安全-II 与韧性工程 则将视线转向如何确保系统在复杂和不确定环境下的成功运行和适应能力，强调从日常工作和成功经验中学习，并提升系统应对意外的能力。韧性工程可视为安全-II理念在系统能力建设上的具体化。
  • STAMP/STPA 提供了一种强大的系统级危险分析方法，特别适用于分析复杂系统中的控制缺陷，能够揭示由设计、软件、人机交互和组织因素导致的深层次风险。
  • STSE 则提供了最宏观的视角，强调技术与社会组织的协同优化，关注整个社会技术系统的健康运作和可持续发展。
• 相互关系与融合潜力：
  • 安全-II 是对安全-I 的补充和发展，它不否定安全-I在处理某些问题上的价值，但强调需要更广阔的视野。
  • 韧性工程的目标与安全-II高度一致，都旨在提升系统应对变化和不确定性的能力。
  • STAMP/STPA 作为一种具体的分析方法，可以服务于安全-I的目标（如分析事故原因，识别控制漏洞），也可以服务于安全-II和韧性工程的目标（如通过分析控制结构来增强系统的适应性和鲁棒性，识别改进安全约束的机会）。
  • ISD 的原则可以被整合到所有其他理论的实践中，作为一种优先考虑的安全策略。
  • STSE 为所有这些理论的应用提供了一个更广阔的社会技术背景和组织层面的考量框架，有助于确保安全解决方案能与组织文化、工作流程和外部环境相适应。
• UAV/UAM综合应用前景：

  对于UAV和UAM这类新兴的、复杂的、安全攸关的系统，单一安全理论往往难以全面覆盖其安全保障需求。因此，一个有效的策略是将这些理论进行有机融合，形成一个多层次、全方位的安全保障体系。例如：

  1. 在UAV/UAM的概念设计和详细设计阶段，应优先采用ISD原则，从源头上降低固有风险；同时运用STAMP/STPA进行系统级的危险分析，识别潜在的控制缺陷和不安全交互，从而定义出关键的安全需求和设计约束。
  2. 在研发测试和验证阶段，除了传统的测试方法外，可以运用安全-II和韧性工程的理念，设计能够检验系统适应性和鲁棒性的测试场景（包括正常操作和边缘条件），并从测试过程中的成功应对和微小异常中学习，改进系统设计。
  3. 在运营和维护阶段，需要结合安全-I的方法进行事故/事件调查、合规性管理和风险监控；更重要的是，应大力推行基于安全-II和韧性工程的理念，通过分析日常运行数据（包括成功案例和偏差），持续学习和改进操作流程、人员培训和应急预案，提升组织的整体安全绩效和韧性。
  4. 在整个UAV/UAM生态系统的构建和治理层面，应始终运用STSE的视角，关注技术、人、组织、法规和环境之间的协同，促进多方利益相关者的有效沟通与合作，建立一个可持续发展的、为社会所接受的低空交通体系。

  通过这种多理论融合的应用模式，有望更全面、更深入地识别和控制UAV与UAM安全风险，提升其整体安全水平，为低空经济的健康发展保驾护航。

3. 现代安全理论在UAV安全保障体系中的应用研究

无人机系统（UAV）的应用日益广泛，从消费娱乐到专业测绘、物流运输、农业植保、应急救援等，其安全保障面临着前所未有的挑战。本章将首先分析UAV安全保障体系的关键要素和主要风险，然后分别从技术工程和管理制度视角，探讨现代安全理论在其中的具体应用。

3.1 UAV安全保障体系要素与挑战

3.1.1 体系构成要素

一个完整的UAV安全保障体系应至少覆盖以下关键要素：

• 飞行平台安全： 这是UAV安全的物理基础，包括机体结构强度、动力系统（电机、螺旋桨、发动机）的可靠性、飞控与导航系统的精准性与容错能力、能源系统（特别是锂电池）的安全管理（如防过充、过放、热失控）（《中国科学：信息科学》对无人机系统自主安全的研究）。
• 链路与控制安全： 确保UAV与地面控制站（GCS）之间的遥控、遥测和数据传输链路的稳定性和安全性，防范信号干扰、劫持、欺骗等威胁。地面站本身的硬件可靠性和软件安全性也至关重要。
• 任务载荷安全： 任务载荷（如高清摄像头、红外传感器、激光雷达、货物投送装置等）自身的安全性及其与飞行平台的集成安全性，避免载荷故障影响飞行安全或造成二次危害。
• 运行环境安全： 包括对气象条件（风、雨、雪、结冰、高温低温）、电磁环境（干扰源）、固定和动态障碍物（建筑物、树木、鸟类、其他航空器等）、地理信息和空域限制（禁飞区、限飞区）的准确感知、评估和适应/规避能力。
• 自主飞行安全： 对于具备自主飞行能力的UAV，其感知与规避（Detect and Avoid, DAA）系统的可靠性、自主决策算法的安全性与可验证性、以及人工智能（AI）在复杂场景下行为的可预测性和可解释性是核心关切。
• 网络信息安全： 保护UAV系统（包括飞行器、地面站、云端平台）免受网络攻击，如数据窃取、恶意代码注入、拒绝服务攻击等，确保敏感数据（如航迹信息、采集数据）的保密性、完整性和可用性（《网络安全》对无人机网络安全的综述）。
• 人因与操作安全： 涉及飞手（或远程操作员）的培训、资质认证、技能保持、疲劳管理、人机界面（HMI）设计的友好性和防错性、以及操作规程的合理性和执行到位。
• 符合性认证与法规遵从： UAV及其运营需满足所在国家或地区的相关适航标准、运行规范、空域管理规定等法律法规要求（例如中国《无人驾驶航空器飞行管理暂行条例》中国政府网）。

3.1.2 主要风险与挑战

UAV安全保障面临的主要风险与挑战包括：

• 技术固有风险：
  • 锂电池能量密度高，存在热失控引发起火爆炸的风险。
  • 飞控系统作为UAV的“大脑”，其软硬件故障可能直接导致失控。
  • 传感器（如GPS、IMU、视觉传感器）在复杂环境下易受干扰或发生故障，影响导航和感知精度。
  • 数据链路易受电磁干扰、遮挡或恶意攻击，导致失联或被劫持。
  • GPS信号在城市峡谷、室内等环境可能丢失，或遭受欺骗攻击，导致定位错误。
  • 当前的DAA系统在面对小型、高速或非合作目标时，探测距离和识别准确率仍有局限。
  • AI决策的“黑箱”特性使得其在某些复杂或罕见场景下的行为难以预测和解释，存在潜在安全隐患。
• 操作与管理风险：
  • 飞手技能不足、违规操作（如超视距飞行、在禁飞区飞行）、疲劳驾驶等是UAV事故的重要原因。
  • 地面站操作失误，如航线规划错误、应急处置不当等。
  • 运营商安全管理体系不健全，缺乏有效的风险评估、人员培训、设备维护和应急响应机制。
• 环境与外部风险：
  • 城市环境中复杂的电磁干扰、高楼林立造成的信号遮挡和GPS多路径效应。
  • 突发的恶劣天气条件（如强阵风、雷暴、浓雾）对小型UAV的飞行稳定性构成严重威胁。
  • 鸟击、与其他航空器或地面障碍物的碰撞风险。
  • 第三方恶意行为，如物理破坏、网络攻击等。
• 系统性与法规挑战：
  • 随着UAV数量激增和应用场景扩展，如何实现大规模UAV的安全、高效协同运行（如无人机交通管理UTM）是一大挑战。
  • 如何有效地收集、分析和共享UAV运行安全数据，以支持风险评估和持续改进。
  • 如何在UAV行业推广积极的安全文化，鼓励主动报告和经验分享。
  • 针对层出不穷的新型UAV应用和技术，相关的安全标准和法规体系建设往往滞后于产业发展。

3.2 技术工程视角应用

从技术工程视角出发，现代安全理论为UAV的设计、制造和运行提供了重要的指导原则和分析方法。

3.2.1 ISD在UAV设计制造阶段的应用

固有安全设计（ISD）强调在UAV设计的源头消除或降低风险。例如，国际民航组织（ICAO）在其《培训》（DOC 9868）文件中推荐的ADDIE（分析、设计、开发、实施、评估）教学系统设计框架，可以借鉴其ISD的思想应用于UAV系统设计（中国民用航空局《机组资源管理（CRM）训练指南》）。《电子工程专辑》中分析美国军民用无人机事故的文章也指出，新技术和新标准在无人机设计中的采用可有效提升无人机固有安全性水平（电子工程专辑）。

• 应用场景/案例：
  • 旋翼无人机设计：
    • 最小化/缓和： 对于多旋翼UAV，设计冗余的电机和螺旋桨单元（如六旋翼、八旋翼），即使单个动力单元失效，仍能保持飞行或安全迫降，这体现了通过冗余设计来最小化单点故障影响的ISD思想。对于电池包，采用特性更稳定的电芯材料，设计坚固的防火隔热外壳，并内置泄压阀和智能热管理系统，以缓和电池热失控的发生概率和后果。
    • 简化： 优化桨叶的安装和拆卸机制（如快拆结构），简化电池的更换接口和充电流程，减少因操作复杂导致的人为失误。飞控系统中内置“一键返航”、“低电量自动降落”、“地理围栏”等故障安全逻辑，从设计上消除或简化了操作员在某些高风险场景下的决策负担。
  • 固定翼无人机设计：
    • 替代/缓和： 选用高可靠性军规或工规级传感器、舵机和作动器，替代性能不稳定或寿命短的低成本组件。机体结构设计应考虑抗坠毁特性，例如采用吸能材料或特定结构设计，以缓和坠地时的冲击力，保护关键设备（如数据记录器）和减少地面附带损伤。
    • 缓和/简化： 设计自动弹射伞或紧急迫降气囊系统，在发生严重故障无法控制飞行姿态时，自动触发以缓和坠毁后果。
  • 通用设计原则：
    • 采用模块化设计，将UAV系统划分为若干功能独立的模块（如动力模块、飞控模块、通信模块、任务载荷模块），模块间采用标准化接口连接，并尽可能实现物理隔离，这不仅便于维护和升级（简化），也能在一定程度上限制故障的扩散范围（缓和）。
    • 在UAV的软件设计中，遵循高可靠性软件工程原则，采用形式化验证、代码审查等方法，简化控制逻辑的复杂性，减少潜在的软件缺陷。
• 预期效果/价值： 通过在UAV设计制造的早期阶段系统性地应用ISD原则，可以从根本上提升飞行平台的本质安全水平，减少发生灾难性故障的概率，降低运营风险，并可能减少对复杂、昂贵的附加保护系统和高强度人员培训的依赖。这对于推动UAV在更广泛、更复杂场景下的安全应用至关重要。

3.2.2 STPA在UAV运行风险评估与飞控逻辑验证中的应用

STPA作为一种系统级的危险分析方法，特别适用于分析UAV这类包含复杂软硬件交互和自主决策逻辑的系统。它可以帮助识别传统FMEA等方法难以发现的、由系统设计缺陷、不安全交互或控制逻辑错误导致的风险。

• 应用场景/案例：
  • 城市物流UAV自主避障与航线规划系统分析：
    1. 定义目的： 损失包括碰撞造成的人员伤亡、财产损失、UAV损毁、任务失败等。危害包括“UAV与障碍物（静态/动态）碰撞”、“UAV偏离预定航线进入危险区域”等。
    2. 建模控制结构： 建立包含UAV（飞控、传感器、执行器）、地面控制站（GCS）、无人机交通管理系统（UTM，如果存在）、以及环境（障碍物、气象）的控制结构图。UAV的飞控系统是核心控制器，其控制行为包括“处理传感器数据”、“规划/调整飞行路径”、“执行机动指令”等，反馈包括传感器数据、GCS指令、UTM信息等。
    3. 识别UCA： 例如，针对控制行为“飞控系统根据感知结果调整航向以避开障碍物”，可能的不安全控制行为（UCA）有：
       • UCA1: 飞控系统未提供航向调整指令，尽管前方存在障碍物（可能原因：传感器失效、感知算法未检测到障碍物、通信延迟导致信息过时）。[导致碰撞危害]
       • UCA2: 飞控系统提供了错误的航向调整指令，反而飞向障碍物或其他危险区域（可能原因：感知数据错误、算法缺陷、过程模型对环境理解错误）。[导致碰撞/偏离航线危害]
       • UCA3: 飞控系统提供航向调整指令过晚，已无法避免碰撞（可能原因：计算延迟、执行器响应慢）。[导致碰撞危害]
    4. 识别因果场景： 深入分析导致上述每个UCA的具体原因。例如，导致UCA1中“传感器失效”的场景可能是传感器本身质量问题、恶劣天气影响、电磁干扰等。导致UCA2中“算法缺陷”的场景可能是算法对某些特定形状或移动模式的障碍物识别不佳。参考MDPI上关于STAMP/STPA应用于UAS集成的研究，可以系统构建此类场景。
  • UAV集群协同作业的STPA分析： 分析多架UAV在执行编队飞行、协同搜索或区域覆盖等任务时，由于通信延迟、个体故障、协同算法缺陷等可能导致的碰撞、任务冲突或整体任务失败的控制风险。
• 预期效果/价值： 通过STPA分析，可以系统性地识别出UAV自主飞行系统和人机交互界面中可能存在的、由设计缺陷导致的潜在不安全控制行为及其深层原因。这为优化飞控算法、改进人机界面设计、制定更完善的操作规程和应急预案提供了强有力的依据，从而在早期避免代价高昂的设计返工，并从根本上提升UAV运行的安全性。

3.2.3 韧性工程在UAV应对突发失效与环境扰动设计中的应用

韧性工程强调系统在面临扰动和不确定性时维持或恢复核心功能的能力。对于UAV而言，这意味着在遭遇如GPS信号丢失、传感器故障、强风、电池突然失效等突发状况时，仍能保持可控状态，并尽可能安全地完成任务或实施应急程序。NASA在其先进空中交通（AAM，包含UAM和部分UAV场景）的研究中，也开始探索韧性工程的应用（NASA对AAM韧性工程潜力的研究）。

• 应用场景/案例：
  • GPS信号丢失/欺骗的韧性应对：
    • 监控(Monitor)： UAV飞控系统持续监控GPS信号质量、卫星数量、位置数据的一致性。
    • 预期(Anticipate)： 一旦检测到GPS信号异常（如信号强度弱、数据跳变、与其他导航源不一致），系统预期到可能发生位置漂移甚至失控的风险。
    • 响应(Respond)： 启动预设的应急程序，如：自动切换到备用导航系统（如惯性导航INS、视觉里程计VO、地磁匹配等）；尝试通过多路径抑制算法或信号认证技术恢复GPS；若无法恢复，则根据当前位置和环境信息，自主规划并执行安全悬停、返航或就近安全着陆。
    • 学习(Learn)： 将此次GPS异常事件的特征、系统的响应过程及结果记录下来，用于事后分析，优化导航融合算法和应急决策逻辑。
  • 通信链路中断的韧性应对：
    • 监控： 持续监测与地面站或UTM的通信链路质量。
    • 预期： 当链路质量下降到一定阈值，预期可能发生失联。
    • 响应： 尝试切换到备用通信链路（如从4G/5G切换到卫星通信，或采用不同频段）；若无法恢复，则执行预设的失联自主行为（如自主返航、自主降落到预定回收点、或在安全区域盘旋等待链路恢复）。
    • 学习： 分析链路中断的原因（如信号遮挡、干扰、设备故障），改进通信系统设计或航线规划。
  • 关键传感器（如IMU、气压计）故障的韧性应对： 设计基于多传感器数据融合和故障检测与诊断（FDD）算法，当某个关键传感器数据异常时，能够及时隔离故障传感器，并利用其他可用传感器数据进行状态估计和控制，维持飞行稳定或执行安全降落。
  • UAV集群韧性 (ScienceDirect - UAV swarm resilience): 在UAV集群任务中，当部分UAV因故障或外部干扰退出任务时，集群能够动态重构队形、重新分配任务，以最大限度地维持整体任务效能。
• 预期效果/价值： 应用韧性工程的理念和方法，可以显著提升UAV在复杂、动态和不确定环境下的生存能力、任务可靠性和整体安全水平。它促使设计者不仅仅关注如何防止故障的发生，更要关注在故障或扰动不可避免地发生时，系统如何能够优雅地降级、安全地响应并从中学习。

3.3 管理制度视角应用

从管理制度视角出发，现代安全理论为UAV运营商的安全管理、行业监管政策的制定以及安全文化的建设提供了新的思路和方法。

3.3.1 安全-II在UAV运营商安全管理与经验学习体系中的应用

安全-II理论强调从日常成功的操作中学习，理解系统为何能够正常工作，而不仅仅是分析事故原因。这对于UAV运营商建立主动、学习型的安全管理体系（SMS）具有重要意义。

• 应用场景/思路：
  • 学习“实际完成的工作”(Work-as-Done, WAD)： UAV运营商应鼓励飞手和地面保障人员记录和分享他们在日常飞行任务中（尤其是在复杂或非标准情况下）是如何成功完成任务的。例如，飞手如何凭借经验判断并规避了未被预警的低空气象风险，或者在信号受干扰时如何通过调整飞行姿态或路径维持了通信。这些“成功的适应性行为”是宝贵的安全知识。
  • 利用飞行数据分析正常运行的变异性： 通过对大量正常飞行数据的分析（如飞控数据、传感器数据、飞手操作记录），识别飞行参数、操作行为在不同环境、不同任务下的变异范围和模式。理解哪些变异是安全和高效的适应，哪些可能潜藏风险。
  • 建立主动报告与非惩罚性学习文化： 鼓励飞手主动报告飞行中遇到的“微小异常”、“近距离脱险”事件以及他们认为成功的应对策略，而不必担心受到指责。组织可以成立“学习团队”，运用FRAM等工具分析这些事件和经验，识别系统中的功能共振和潜在的韧性来源，并将提炼出的经验教训融入到操作规程的修订、培训材料的更新和风险评估模型中。
  • 关注积极的安全绩效指标： 除了传统的基于事故率的滞后指标（Lagging Indicators）外，还应开发和使用能够反映系统适应能力和主动安全行为的先行指标（Leading Indicators），例如成功执行应急预案的次数、飞手主动报告有价值安全信息的频率等。

  在实践中，可以借鉴SKYbrary发布的从安全-I到安全-II的白皮书中的理念，将安全管理从“确保尽可能少的事情出错”转变为“确保尽可能多的事情顺利进行”。

• 预期效果/价值： 实施基于安全-II的安全管理，能够帮助UAV运营商从事后补救式的“亡羊补牢”转向事前预防式的“未雨绸缪”，从而更有效地识别和管理新兴风险，持续提升UAV运营的安全绩效和组织韧性，并有助于在组织内部建立一种积极、开放、学习的安全文化。

3.3.2 STSE在UAV行业安全监管政策与标准制定中的应用

社会技术系统工程（STSE）认为，技术的安全应用离不开与之相适应的社会组织环境。对于UAV这一新兴行业，其安全监管政策和标准的制定必须充分考虑技术、人、组织、环境等多重因素的复杂互动。

• 应用场景/思路：
  • 综合考量监管要素： 监管机构在制定UAV的适航标准、飞手资质要求、运营商认证条件、空域管理规则（例如《无人驾驶航空器飞行管理暂行条例》中国政府网）时，应采用STSE的整体视角。这不仅包括对UAV飞行器本身的技术性能和可靠性要求，还应系统地评估和规范：
    • 人为因素： 飞手的培训课程内容、考核标准、飞行小时要求、人机界面设计指南、疲劳管理规定等。
    • 组织因素： 对UAV运营商的安全管理体系（SMS）要求，如风险管理流程、安全文化建设、应急响应能力、数据记录与分析机制等。
    • 环境因素： 不同运行环境（如城市、乡村、山区、海上）下UAV运行的特定安全要求，如针对复杂电磁环境的抗干扰标准，针对人口密集区的风险缓释措施等。
    • 技术与社会的接口： 公众隐私保护规定（针对搭载摄像头的UAV）、数据安全标准、噪音控制标准，以及与其他空域用户（如民航客机、通用航空器）的安全间隔和协同规则。
  • 构建多方参与的协同治理机制： UAV的安全监管涉及多个利益相关方，包括UAV制造商、零部件供应商、运营商、飞手、行业协会、科研机构、政府监管部门（民航、空管、公安、工信等）乃至社会公众。STSE倡导通过建立开放、透明的沟通平台和协商机制，吸纳各方意见，共同制定和完善安全政策与标准，促进信息共享、风险共担和责任共负。
  • 基于风险和绩效的动态监管： 随着UAV技术和应用的快速发展，监管政策不应一成不变，而应建立基于实际运行风险评估和安全绩效监测的动态调整机制。鼓励技术创新和安全管理模式创新，同时对高风险运营行为进行有效约束。
• 预期效果/价值： 运用STSE的理念指导UAV行业安全监管，有助于制定出更为全面、系统、操作性强、并能平衡安全与发展需求的法规标准体系。通过促进多方协同治理，可以增强监管政策的科学性和社会接受度，为UAV产业的健康、有序和可持续发展营造良好的制度环境。

3.3.3 STAMP/STPA在UAV事故调查与安全审计中的应用

当UAV发生事故或严重不安全事件时，传统的事故调查方法往往侧重于寻找直接的故障部件或操作失误。STAMP/STPA提供了更系统、更深入的分析视角，有助于揭示事故背后的控制系统缺陷。

• 应用场景/思路：
  • 系统性事故调查：
    1. 基于STAMP模型，将UAV运行系统（包括飞行器、地面站、飞手、操作规程、空域环境、管理组织等）视为一个层级控制结构。
    2. 分析导致事故的直接不安全控制行为（UCA），例如“UAV在低电量时未执行返航指令”、“飞手在超视距情况下继续飞行”、“地面站在通信丢失后未能采取有效应急措施”。
    3. 进一步追溯导致这些UCA的深层原因，这些原因可能涉及：
       • 控制器缺陷： 飞控软件算法错误、人机界面设计不良导致飞手误判、操作规程不清晰或不合理。
       • 过程模型不准确： 飞手对UAV状态（如剩余电量、位置）的认知错误、飞控系统对环境（如风速、障碍物）的感知错误。
       • 反馈缺失或错误： 传感器数据错误、通信链路中断导致关键信息无法传递。
       • 组织管理因素： 培训不足、安全文化薄弱、监管不到位、资源分配不合理等。
    这样可以超越简单的“人为失误”或“设备故障”的结论，找到系统性的改进方向。
  • UAV运营商安全审计： 监管机构或认证机构在对UAV运营商进行安全审计时，可以借鉴STPA的思路，评估其安全管理体系（SMS）中各项控制措施（如风险评估流程、培训计划、维护程序、应急预案等）的有效性。通过构建运营商安全管理的控制结构模型，分析在哪些环节可能存在控制不足或不当，导致不安全运营行为的发生。
• 预期效果/价值： 将STAMP/STPA应用于UAV事故调查，能够帮助识别出更根本、更系统性的事故原因，从而制定出更有效的预防措施，避免同类事故再次发生。将其思想应用于安全审计，可以提升审计的系统性和深度，帮助运营商和监管机构发现潜在的管理漏洞，持续改进安全管理水平。

3.4 应用案例分析

以下通过构思的案例，进一步说明现代安全理论在UAV安全保障中的应用思路。

3.4.1 案例1：基于ISD的农业植保无人机设计优化与风险降低

• 背景： 某款大载荷农业植保无人机在实际应用中，因部分电路板对农药蒸汽的防护不足，在高湿度、高腐蚀环境下作业一段时间后，出现电路腐蚀导致的飞控信号传输不稳定，甚至短路引发电池过热和起火的风险。此外，其农药箱加注口设计不够人性化，易发生农药泼洒，对操作人员和环境造成危害。
• ISD应用思路：
  • 替代（Substitute）与缓和（Moderate）： 研发团队在下一代产品设计中，首先考虑采用具有更好耐腐蚀性能的电子元器件和敷形涂层材料，替代原有防护等级不足的部件。同时，对关键电路板采用IP67级以上的密封盒进行封装，缓和农药蒸汽的侵入。
  • 缓和（Moderate）与最小化（Minimize）： 针对电池安全，优化电池仓的散热设计，增加温度传感器和独立的过热保护电路，一旦检测到异常高温，能主动切断电池输出或激活小型灭火装置（如气溶胶）。同时，考虑在满足作业续航的前提下，选用能量密度适中但热稳定性更好的电芯，或采用分体式电池包设计，以最小化单块电池热失控的影响范围。
  • 简化（Simplify）： 重新设计农药箱的加注口，采用防泼溅、防误操作的快速接头和液位显示，简化加注和清洗流程，减少农药泄漏的风险。
• 效果与启示： 通过上述ISD改进，新款植保无人机的电路故障率和电池安全事故率有望显著降低，农药泄漏风险也得到有效控制。此案例启示UAV制造商应在产品设计的概念阶段就系统性地融入ISD理念，充分评估和消除或降低潜在的固有危害，而非仅仅依赖后期的测试和操作规程来保障安全。

3.4.2 案例2：基于安全-II的物流无人机运营商经验学习与适应性提升项目

• 背景： 一家物流公司在某城市区域开展无人机包裹配送试运营。航线需穿越部分楼宇密集区，且该地区天气多变，偶有突发阵风和GPS信号受干扰现象。运营初期，虽未发生严重事故，但出现过数次因天气突变或信号不稳导致的配送延迟或任务中断。
• 安全-II应用思路：
  • 从成功经验中学习： 公司安全部门不仅分析了导致任务中断的事件，更重点收集和分析了飞手在面临同样挑战（如突遇强侧风、GPS信号短暂丢失后恢复）但最终成功完成配送任务的案例。通过与飞手访谈、回放飞行数据，详细了解飞手是如何判断风险、采取何种应对措施（如临时调整飞行高度或速度、手动介入姿态控制、切换备用通信链路等）并最终化险为夷的。
  • 理解实际工作的适应性： 发现有经验的飞手在实际操作中，有时会根据实时风向和楼宇间的气流情况，对标准航线进行微小的、规程中未明确的适应性调整，以确保飞行平稳。这种“积极的偏离”是保证任务成功的关键。
  • 建立学习反馈机制： 将这些成功的适应性策略和风险应对技巧，通过案例研讨、经验分享会等形式在飞手团队中推广。同时，将其中被验证为普遍有效的策略，经过评估后，更新到标准操作程序（SOP）和应急预案中，或作为优化自主飞行算法的依据。鼓励飞手在飞行前后利用简易工具（如FRAM模型图）描绘其任务过程中的关键功能和条件，以促进对工作复杂性的共同理解。
• 效果与启示： 通过系统性地从成功的日常操作中学习，该物流公司提升了整个飞手团队应对复杂环境和突发状况的整体能力，减少了因处置不当导致的不安全事件和任务失败率。机队的整体运行韧性得到增强。此案例启示UAV运营商，安全管理不应只盯着“红色的事故”（失败），更要关注“绿色的日常”（成功），从中发掘和强化系统与人员的适应性，这才是提升复杂系统安全绩效的有效途径。

3.5 本章小结

本章深入探讨了现代安全理论在UAV安全保障体系中的应用。从技术工程角度，ISD的原则为UAV的硬件和软件设计提供了从源头消除或降低风险的指导；STPA方法能够系统性地分析UAV在复杂操作场景（如城市物流、电力巡检）中由控制缺陷引发的风险；韧性工程则关注于提升UAV在面对突发故障（如GPS丢失、传感器失效）和环境扰动（如恶劣天气、电磁干扰）时的适应和恢复能力。

从管理制度角度，安全-II理念指导UAV运营商通过分析日常成功运营经验和飞行数据来持续改进安全管理体系和操作规程；STSE为制定UAV行业安全监管政策和标准提供了综合考量技术、人、组织和环境因素的框架，并强调多方利益相关者的协同治理；STAMP/STPA则为UAV事故调查提供了超越个体失误、探究系统性控制缺陷的有力工具，也为安全审计提供了新的视角。

UAV的应用场景日益多样化，技术迭代迅速，这对其安全保障体系提出了动态适应和持续改进的迫切需求。未来的UAV安全管理将更加依赖于数据驱动的方法，例如通过分析海量的飞行数据来识别UCA发生的概率、模式和前兆，评估系统韧性指标，以及理解正常工作中的适应性变异。现代安全理论的深化应用和有机融合，将是确保UAV在低空空域安全、高效、可持续发展的关键所在。

4. 现代安全理论在UAM安全保障体系中的应用研究

城市空中交通（UAM）作为一种革命性的城市交通新形态，其安全保障体系的构建面临着比传统航空和现有UAV更为复杂和严峻的挑战。UAM系统通常涉及载人eVTOL飞行器、地面Vertiport基础设施、以及高密度的城市空域交通管理系统（UTM/U-space），这些子系统之间紧密耦合，构成了一个典型的“系统之系统”（System of Systems, SoS）。本章将首先剖析UAM安全保障体系的独特性与复杂性，然后分别从技术工程和管理制度视角，前瞻性地探讨现代安全理论在其中的应用。

4.1 UAM安全保障体系的独特性与复杂性

4.1.1 体系构成与特征

一个完整的UAM安全保障体系，需要综合考虑以下核心构成要素及其特征：

• eVTOL飞行器安全： 这是UAM的核心载运工具。其安全性挑战主要体现在：
  • 新型动力系统： 大多采用分布式电推进（DEP）技术，多个电机和螺旋桨的协同控制、故障诊断与容错设计极为复杂。电池系统作为主动力源，其能量密度、循环寿命、充放电安全、特别是热失控防护，是设计的重中之重（飞行汽车网对UAM技术挑战的分析）。
  • 高度自主的飞控系统： 为了在高密度、复杂环境中运行，eVTOL将具备高度自主的飞行控制能力，包括自主导航、感知与规避（DAA）、以及应急决策。确保这些自主功能的可靠性、安全性和可验证性是巨大挑战。
  • 结构完整性与轻量化： eVTOL需要在满足结构强度和耐撞性的前提下，尽可能实现轻量化以提升航程和载荷能力。
  • 乘客安全与应急疏散： 作为载人飞行器，必须满足极高的乘客安全标准，包括座椅耐撞性、应急出口设计、紧急迫降能力、以及快速有效的应急疏散程序。
• Vertiport运营安全： Vertiport是eVTOL的起降、充电/换电、乘客集散和维护保养的地面节点。其安全运营涉及：
  • 场面管理与冲突避免： 在有限的Vertiport空间内，高效、安全地调度多架eVTOL的起降、滑行（如果需要）、停放和充电，避免地面碰撞和空域冲突。
  • 充电/换电安全： 高功率充电或快速换电过程中的电气安全、热管理和操作安全。
  • 乘客登离机流程： 确保乘客在登离机过程中的安全，如防止乘客接近旋转的螺旋桨或高压设备。
  • 应急设施与预案： Vertiport需配备消防、急救等应急设施，并制定针对eVTOL事故、火灾、恶劣天气等情况的应急预案。
• UAM空中交通管理 (UTM/U-space)： 这是确保UAM在高密度城市空域安全、有序运行的关键。其功能包括：
  • 空域规划与动态管理： 规划UAM飞行走廊（corridors）、高度层，并根据实时交通流量、天气和突发事件动态调整空域使用（《航空学报》对UAM空域划分的探讨）。
  • 交通流量控制与间隔保持： 对进入UAM空域的eVTOL进行流量管理，确保飞行器之间保持安全间隔。
  • 冲突探测与解脱： 实时监测潜在的飞行冲突，并提供有效的冲突解脱指令或支持eVTOL自主解脱。
  • 信息交互与协同决策： UTM需与eVTOL、Vertiport、传统空管（ATM）以及其他服务提供商（如气象、导航）进行高效、可靠的信息交换和协同决策。参考FAA的《UAM Concept of Operations 2.0》（FAA UAM ConOps 2.0）中对Provider of Services for UAM (PSU) 的角色描述。
• 高密度城市空域集成： UAM飞行器需要在复杂的城市环境中运行，如高楼林立的“城市峡谷”、密集的无线电信号、以及可能存在的低空障碍物。同时，UAM空域可能需要与传统航空（如机场进近离场区）、其他UAV活动区域进行安全隔离或高效协同。
• 网络信息安全： eVTOL、Vertiport、UTM之间存在大量的数据交换，这些数据链路和系统节点都可能成为网络攻击的目标。确保通信安全、数据保密和系统抗攻击能力至关重要。
• 人因因素： 尽管UAM追求高度自动化，但在初期阶段或特定场景下，仍可能涉及飞行员或远程操作员。其培训、资质、工作负荷、人机界面交互效率、以及在应急情况下的决策能力，都是重要的安全因素。此外，Vertiport的地面保障人员、乘客的引导与管理也涉及人因问题。
• 社会接受度： 公众对UAM的安全性、噪音水平、视觉影响、隐私泄露等方面的感知和接受程度，将直接影响UAM的商业可行性和可持续发展。

4.1.2 核心风险与挑战

UAM作为一个新兴的、高度复杂的社会技术系统，其安全保障面临以下核心风险与挑战：

• 新兴技术的成熟度与可靠性风险：
  • eVTOL的电池技术在高能量密度、快速充放、长循环寿命和极端条件下的安全性方面仍面临挑战。
  • 分布式电推进系统虽然具有冗余优势，但也带来了更复杂的故障模式和飞控逻辑。
  • 高度自主的感知与决策系统在复杂的、动态的、偶发事件频出的城市场景中，其可靠性、鲁棒性和应对“未知未知”（unknown unknowns）或“角落案例”（corner cases）的能力尚需大规模验证。
• 运营模式与系统集成的风险：
  • 大规模、高密度、高频次的UAM运行，可能导致前所未有的空域拥堵和碰撞风险。
  • Vertiport的容量和周转效率可能成为瓶颈，影响整个UAM网络的运行。
  • UAM的应急响应（如单机故障、Vertiport关闭、UTM系统故障）涉及多方协调，复杂性极高。
  • UAM是由eVTOL、Vertiport、UTM、通信网络、能源网络等多个独立开发和运营的子系统构成的“系统之系统”（SoS），这些子系统间的接口兼容性、信息一致性、以及故障的跨系统传播和放大效应，是巨大的安全挑战。
• 社会接受度与信任构建的挑战：
  • 公众对新兴航空技术（尤其是载人自主飞行）的安全性普遍存在疑虑，需要通过透明的安全标准、严格的认证流程和可靠的运营记录来逐步建立信任。
  • eVTOL的起降噪音、飞行航线对城市景观的影响、以及机载传感器可能引发的隐私担忧，都需要妥善处理，否则可能引发社会抵制。洛杉矶交通局的UAM政策框架报告中就特别强调了社区参与和公平审计的重要性（航空产业网对LADOT UAM报告的分析）。
• 法规、标准与认证体系的空白与滞后：
  • 目前全球范围内针对UAM的适航标准、运行规范、空域管理规则、人员资质要求、Vertiport建设标准等仍在制定和完善中，缺乏统一、成熟的法规体系。EASA的SC-VTOL和FAA的UAM ConOps等文件，虽是重要进展，但仍有许多细节待明确（无人机网对EASA UAM法规的报道）。
  • 如何对高度自主的AI飞控系统进行有效的安全认证，是一个全新的课题。

4.2 技术工程视角应用

4.2.1 STAMP/STPA在UAM系统级安全设计与评估中的应用

面对UAM“系统之系统”的复杂性，STAMP/STPA提供了一种自顶向下、基于控制理论的强大分析工具，能够在UAM概念设计、详细设计乃至运营评估阶段，系统性地识别和消除由复杂交互和控制缺陷导致的安全风险。NASA在其UAM相关的危险分析研究中，已将STPA与传统FHA等方法结合应用（NASA Technical Reports Server - Guidance for Designing Safety into UAM），并探索使用STAMP方法指导新一代空中交通管理（ATM）概念的架构开发（NASA Technical Reports Server - STAMP-based ATM Architecture）。

• 应用场景/案例：
  • UAM整体架构安全分析：
    1. 定义目的： 损失包括乘客/地面人员伤亡、eVTOL损毁、Vertiport损坏、UAM服务中断、公众信任丧失等。系统级危害可设定为“eVTOL发生空中碰撞”、“eVTOL失控撞向地面人员或建筑物”、“Vertiport发生火灾或爆炸”、“UTM系统错误指令导致大规模飞行冲突”等。
    2. 建模控制结构： 构建一个包含多个层级和多个控制回路的UAM系统控制结构图。顶层控制器可以是监管机构（如FAA/EASA）和UAM运营商总部，中层控制器包括UTM系统、Vertiport运营中心、eVTOL机队管理系统，底层控制器则是eVTOL的自主飞行系统、飞行员（或远程操作员）、Vertiport地面保障设备等。被控过程包括eVTOL的飞行状态、Vertiport的场面交通流、UTM管理的空域状态等。控制行为和反馈遍布于这些控制器与被控过程之间。一个具体的UAM操作控制结构图示例可见于 ResearchGate上关于UAM STPA控制图的示例。
    3. 识别UCA： 例如，分析UTM系统向eVTOL提供航线规划或交通避让指令时，可能出现的UCA：
       • UTM未提供必要的冲突解脱指令，当两架eVTOL航迹存在潜在冲突时。
       • UTM提供了错误的航线指令，引导eVTOL进入临时禁飞区或恶劣天气区。
       • UTM提供的冲突解脱指令过晚，eVTOL已无法及时响应。
       分析Vertiport运营中心在调度eVTOL起降时，可能出现的UCA：
       • Vertiport未发出禁止降落指令，当起降坪已被占用或存在障碍物时。
       • Vertiport向eVTOL提供了错误的停机位指引，导致地面冲突。
    4. 识别因果场景： 对每个UCA，追溯其原因。例如，UTM未提供冲突解脱指令，可能是因为其监视系统传感器数据融合错误、冲突预测算法缺陷、或者UTM与eVTOL之间的通信链路中断。Vertiport提供错误停机位指引，可能是由于地面传感器故障、人工调度员过程模型错误（对场面情况认知不清）、或者与eVTOL的通信错误。
  • eVTOL自主飞行系统功能安全评估： 针对eVTOL的自主感知（如障碍物探测、气象感知）、决策（如路径规划、应急决策）和控制（如姿态控制、轨迹跟踪）等关键功能模块，运用STPA进行详细分析。重点识别在各种复杂城市场景（如近距离建筑物、动态障碍物、GPS弱信号区）中，由于算法缺陷、传感器数据不确定性、人机交互不当等可能导致的UCA，例如“自主感知系统未能识别小型无人机”、“自主决策系统在多重故障叠加时选择错误的应急策略”、“自主控制系统对突发强阵风响应不当导致姿态失稳”。
• 预期效果/价值： 在UAM概念设计、详细设计、原型验证乃至商业运营的早期阶段，系统性地应用STAMP/STPA，能够帮助发现和消除那些由复杂系统交互、软件逻辑、人机接口和组织流程缺陷所导致的安全隐患。这不仅能提高UAM系统的整体安全性，还能为适航审定、运行许可提供有力的安全论证依据，并指导安全关键软件的开发和测试。

4.2.2 韧性工程在UAM运行网络可靠性与应急响应保障中的应用

UAM系统需要在动态变化的城市环境中持续、可靠地提供服务，韧性工程的理念和方法对于保障其运行网络的可靠性和高效的应急响应能力至关重要。NASA的研究也强调了在AAM（高级空中交通，包含UAM）中应用韧性工程的重要性，以应对不可预见的挑战并抓住机遇（NASA - Resilience Engineering's Potential for AAM）。

• 应用场景/案例：
  • 具备韧性的Vertiport网络与航路规划：
    • 监控与预期： UTM系统实时监控所有Vertiport的运行状态（如容量、可用性、天气条件）和航路状况（如交通流量、空域限制）。通过预测模型，预期未来一段时间内某些Vertiport可能因容量饱和或天气恶化而关闭，或某些航路可能出现拥堵。
    • 响应： 当某个Vertiport意外关闭或某条航路出现严重拥堵时，UTM系统能够迅速响应，动态地将eVTOL重新调度至备用Vertiport或规划替代航线。eVTOL自身也应具备一定的自主决策能力，在接收到UTM指令或自主检测到航线不可行时，能够安全地调整飞行计划。
    • 学习： 从Vertiport关闭或航路中断等事件中学习，分析其原因和影响，优化Vertiport网络的布局、备降场的选择、以及应急航线的规划。
  • eVTOL单机故障的韧性处置：
    • 监控： eVTOL的机载健康与使用监控系统（HUMS）实时监测关键部件（如电池、电机、飞控计算机、传感器）的性能参数。
    • 预期： 当监测到某些参数异常或出现早期故障特征时，系统能够预期故障可能的发展趋势及其对飞行安全的影响。
    • 响应： 根据故障的类型和严重程度，eVTOL自主启动相应的应急程序，例如：隔离故障部件、切换到冗余系统、调整飞行模式以降低负荷、自动规划并飞往最近的预定应急着陆点或备降Vertiport，同时向UTM和地面控制中心通报情况。在必要时，自动部署应急降落伞或气囊。
    • 学习： 详细记录故障发生过程、系统响应行为和最终结果，用于改进eVTOL的设计、维护策略和应急程序。
  • 应对大规模外部扰动（如城市级停电、极端天气事件、重大公共安全事件）： UAM系统应设计多层级的应急响应机制，确保在外部支持系统（如电网、通信网络）部分失效时，仍能通过备用能源、备用通信链路等维持核心安全功能的运行，并有序引导空中的eVTOL安全降落或疏散。韧性工程的MARL原则可以指导这些应急机制的设计和演练。
• 预期效果/价值： 应用韧性工程，可以使UAM系统不仅仅是“不出事”，更能“扛得住事、恢复得快”。通过增强系统对内部故障和外部扰动的监控、预期、响应和学习能力，可以显著提升UAM服务的连续性、可靠性和在极端情况下的乘客安全保障水平。这对于建立公众对UAM的信任至关重要。

4.2.3 ISD在eVTOL及Vertiport设计中的应用

固有安全设计（ISD）的原则应深度融入eVTOL飞行器和Vertiport基础设施的设计全过程，从源头上消除或降低安全风险。

• 应用场景/案例：
  • eVTOL飞行器设计：
    • 最小化/替代/缓和（电池安全）： 在电池包设计中，采用多重物理隔离（如在电芯、模组、电池包层面设置隔热防火材料），防止单个电芯热失控蔓延至整个电池包。选用热稳定性更好、不易燃的电解液和隔膜材料（替代）。设计智能热管理系统，精确控制电池温度，并在必要时激活定向冷却或灭火装置（缓和）。开发高精度BMS算法，实时监控电池状态，预测热失控风险，并提前采取降额运行或迫降等措施（缓和）。
    • 最小化/替代（动力系统）： 对于分布式电推进系统，通过合理的电机和螺旋桨布局及数量设计，确保在部分动力单元失效时（如1-2个电机停转），飞行器仍能保持可控飞行并安全着陆（最小化故障影响）。采用高可靠性、长寿命的电机和电调（替代低等级组件）。
    • 简化/缓和（飞控与应急系统）： 飞控系统应具有清晰的降级模式和故障安全逻辑，在关键传感器或计算单元故障时，能自动切换到更简单、更鲁棒的控制模式。应急降落伞或气囊的触发机制应尽可能简化，并确保在各种姿态和故障条件下都能可靠展开（缓和失控后果）。乘客应急出口的设计应醒目、易于操作，逃生路径应无障碍（简化应急操作）。
  • Vertiport基础设施设计：
    • 消除/简化（场面安全）： 起降坪区域、滑行道（如有）与乘客候机区、登离机通道应进行有效的物理隔离（如设置防护栏、安全门），从根本上消除eVTOL与乘客发生碰撞的风险。采用自动化的地面引导系统和eVTOL停靠对接系统，减少人工指挥的复杂性和出错概率（简化）。
    • 缓和/替代（充电安全）： 充电桩和换电站区域应设置独立的消防抑爆系统。采用非接触式无线充电技术或全自动机器人换电技术，替代人工插拔高压充电接口的操作，降低触电和误操作风险（替代/简化）。
    • 简化（应急疏散）： Vertiport应设计清晰、直观的应急疏散指示标识和多条通畅的疏散通道。应急设施（如消防栓、灭火器、急救箱）的布局应合理且易于取用（简化）。
• 预期效果/价值： 将ISD原则贯穿于eVTOL和Vertiport的设计，可以从根本上提升其固有安全水平，降低发生事故的概率和减轻事故后果的严重程度。这不仅能减少对复杂运营程序、高强度人员培训和昂贵附加安全设备的过度依赖，还能显著增强公众对UAM安全性的信心。

4.3 管理制度视角应用

4.3.1 STSE在UAM安全治理框架与法规标准体系构建中的应用

UAM的成功实施不仅依赖于先进的技术，更需要一个健全、协同、并为社会所接受的安全治理框架和法规标准体系。社会技术系统工程（STSE）为构建这样的体系提供了重要的理论指导，它强调综合考虑技术、人、组织、环境和社会等多个维度。洛杉矶交通局（LADOT）在其UAM政策框架报告中就体现了多方利益相关者参与和社区影响评估的STSE思想（航空产业网对LADOT UAM报告的分析）。而《无人驾驶航空器飞行管理暂行条例》（中国政府网）中提到的“坚持安全第一、服务发展、分类管理、协同监管的原则”也与STSE注重多目标平衡和系统协同的理念相契合。

• 应用场景/思路：
  • 构建多方协同的UAM安全治理框架：
    • 利益相关者识别与赋权： 明确UAM生态系统中的核心利益相关者，包括政府监管部门（如民航、交通、城市规划、应急管理、公安、工信）、eVTOL制造商和供应商、UAM运营商、Vertiport运营商、UTM服务提供商、行业协会、科研机构、以及城市居民和社区代表等。
    • 协同治理机制设计： 建立一个多层次、网络化的协同治理结构。例如，成立国家级/区域级的UAM发展与安全协调委员会，负责顶层战略规划、关键政策制定和跨部门协调。在地方层面，建立由城市政府主导，包含运营商、社区代表等多方参与的UAM安全管理与运营协调小组。明确各方的职责、权利、信息共享机制和决策流程。
    • 公众参与和信任构建： 在UAM规划、法规制定、Vertiport选址等关键环节，通过听证会、研讨会、信息公开、科普宣传等多种形式，确保公众的知情权和参与权。积极回应公众对安全、噪音、隐私等方面的关切，建立透明的风险沟通机制，逐步构建社会对UAM的信任。
  • 制定综合性的UAM法规标准体系：
    • 适航审定标准： 针对eVTOL的新型设计（如分布式电推进、高度自主飞控），制定既能保证极高安全水平又能适应技术创新的适航标准。这需要综合考量技术可行性、安全风险评估结果（可借鉴STPA）、以及与其他航空器的等效安全水平。EASA的SC-VTOL（特殊条件-垂直起降航空器）即是一个典例。
    • 运营许可与监管： 对UAM运营商和Vertiport运营商设定严格的准入条件，包括安全管理体系（SMS）认证、人员资质、应急响应能力、财务状况等。运营监管应基于风险和绩效，采用数据驱动的方法。
    • 空域管理规则： 制定UAM空域的划设标准（如UAM走廊、Vertiport终端区）、运行规则（如飞行间隔、高度层分配）、以及与传统空域的融合与隔离措施。UTM系统的功能需求和性能标准也需明确。
    • 数据安全与隐私保护： 针对UAM运营中产生的大量数据（如飞行数据、乘客信息、UTM数据），制定严格的数据采集、传输、存储、使用和共享规范，确保数据安全和个人隐私不受侵犯。
    • 环境影响标准： 主要是噪音标准。根据不同区域的功能（如居民区、商业区、医院学校周边），设定eVTOL在起降和巡航阶段的噪音限值和测量方法。
• 预期效果/价值： 应用STSE理念构建UAM安全治理框架和法规标准体系，有助于确保UAM的发展是在一个全面考虑技术、经济、社会、环境等多重因素，并得到广泛社会共识的基础上进行的。这能够有效地平衡创新发展与安全保障之间的关系，降低政策实施的阻力，促进UAM产业的健康、有序和可持续发展，使其真正成为惠及社会大众的未来交通方式。

4.3.2 安全-I与安全-II相结合在UAM全生命周期风险管理中的应用

UAM系统生命周期的各个阶段，从概念设计、研发测试、适航验证到商业运营和持续改进，都需要有效的风险管理。单一的安全-I或安全-II方法均有其局限性，将两者有机结合，形成互补的风险管理策略，是保障UAM安全的必然选择。

• 应用场景/思路：
  • 概念设计与研发测试阶段：
    • 安全-I的应用： 运用FHA（功能危害分析）、FTA（故障树分析）、FMEA（失效模式与影响分析）等传统安全分析方法，对eVTOL的关键系统（如动力、飞控、电池）和UTM的核心功能进行系统性的故障模式识别和风险评估，识别已知的、可预见的潜在失效及其后果，并据此提出设计改进和冗余配置要求。
    • 安全-II的融入： 在进行大量的模拟飞行和早期原型机试飞时，不仅要关注测试中暴露的缺陷和故障（Safety-I视角），更要积极收集和分析系统在各种正常、边缘和轻微异常条件下成功运行的数据。例如，eVTOL在模拟的复杂气象或传感器部分失效情况下是如何通过自主调整或飞行员干预保持稳定飞行的？UTM系统在面对模拟的空域冲突时是如何有效解脱的？通过对这些“成功适应”案例的深入分析（可借助FRAM等工具），可以更好地理解系统的工作原理、鲁棒性边界和潜在的韧性来源，从而指导设计的优化和操作策略的完善。
  • 适航审定与型号合格证（TC）获取阶段：
    • 安全-I的主导： 适航审定过程的核心是验证eVTOL的设计和制造是否符合已制定的安全标准和规定，确保其在预期的运行包线内不会发生灾难性故障。这需要提交大量的基于安全-I分析的安全文件和测试数据。
    • 安全-II的补充： 审定机构也应关注制造商在研发过程中是否建立了有效的从测试和早期运行中学习的机制，以及其安全管理体系是否具备主动识别和管理新兴风险的能力。对eVTOL人机界面的评估，除了符合性检查外，还应考虑其在真实操作场景下是否能有效支持飞行员（或远程操作员）的情境意识和决策。
  • 商业运营与持续改进阶段：
    • 安全-I的持续应用： 严格执行基于安全-I的事故/事件报告和调查制度，对发生的任何不安全事件进行彻底调查，找出原因并采取纠正措施。定期进行安全审计，确保运营方持续符合法规要求。
    _
    • 安全-II的深化应用：_ 大力推行基于安全-II的日常运行数据分析和主动安全报告文化。收集和分析海量的正常飞行数据、UTM运行数据、Vertiport操作数据，识别潜在的风险趋势和成功的适应性行为。鼓励飞行员、空管员、地面人员主动报告有价值的安全观察、近距离差错或成功经验，建立非惩罚性的学习和分享机制。利用这些信息持续优化操作流程、培训方案、应急预案，并反馈给制造商以改进产品设计。

  在实践中，正如AHRQ PSNet所指出的，Safety-I和Safety-II应被视为互补的视角，具体采用哪种方法或如何组合，往往取决于具体的护理（或在此处指UAM运营）情境。

• 预期效果/价值： 通过在UAM全生命周期中战略性地结合安全-I和安全-II的理念与方法，可以构建一个既能有效预防已知风险、确保基本合规，又能不断从实践中学习、适应变化、主动提升系统韧性的动态、全面的风险管理体系。这将是UAM实现商业化运营并保持长期安全记录的关键。

4.3.3 韧性工程思想在UAM应急管理与危机沟通制度建设中的应用

UAM系统不可避免会面临各种突发事件，如eVTOL空中故障、Vertiport火灾、UTM系统瘫痪、恶劣天气突袭、乃至恐怖袭击等。韧性工程的MARL（监控、预期、响应、学习）原则为构建高效的UAM应急管理体系和危机沟通机制提供了重要指导。

• 应用场景/思路：
  • 构建韧性的UAM应急响应体系：
    • 监控与预期： 建立覆盖整个UAM运营网络的实时监控系统，不仅监测eVTOL的飞行状态和Vertiport的运营状况，还应整合气象信息、空域情报、公共安全信息等多源数据，利用AI等技术对潜在的突发事件（如极端天气、大规模系统故障的级联效应）进行早期预警和风险等级评估。
    • 响应： 制定模块化、分层级的应急预案，明确不同类型、不同规模突发事件下的指挥架构、协调流程、资源调配（如应急救援eVTOL、备降Vertiport、地面救援力量）和行动方案。强调响应的灵活性和适应性，确保在信息不完整或情况快速变化时，仍能做出有效决策。定期进行多场景、多机构参与的应急演练。
    • 学习： 每次应急事件处置后，进行深入复盘，分析应急体系在监控、预期、响应各环节的优点和不足，并将经验教训融入预案的修订、人员的培训和设施的改进中。
  • 建立透明、及时的UAM危机沟通机制：
    • 对内沟通： 确保在危机发生时，UAM运营商、UTM服务商、Vertiport、应急响应部门等各参与方之间信息畅通、指令清晰、行动协同。
    • 对外沟通（公众与媒体）： 制定危机信息发布预案，明确信息发布的授权、内容、时机和渠道。在确保不影响救援行动和调查的前提下，及时、准确、透明地向公众和媒体通报事态进展、已采取的措施和潜在风险，主动回应社会关切，避免谣言传播，维护公众对UAM系统的信任。
• 预期效果/价值： 将韧性工程的思想融入UAM应急管理和危机沟通制度建设，可以显著提升UAM系统在发生重大突发事件时的应急处置效率、协同作战能力和信息透明度。这不仅能最大限度地减少人员伤亡和财产损失，还能有效维护公众对UAM安全性的信任，为UAM产业的长期健康发展提供坚实的社会基础。

4.4 应用案例分析（构思前瞻性案例）

由于UAM尚处于商业运营的极早期阶段，成熟的、可供深入分析的实际安全管理案例较为缺乏。本节将通过构思前瞻性的应用案例，来展望现代安全理论在未来UAM安全保障体系中的具体应用潜力。

4.4.1 案例1：某国际大都市UAM商业试运营综合安全保障方案（构思）

• 背景设定： 某国际大都市计划在市中心商务区与主要交通枢纽（如国际机场、高铁站）之间开通若干条eVTOL客运试运营航线，预计日均起降数百架次。该区域空域环境复杂，高楼林立，无线电干扰多，且公众对安全和噪音问题高度关注。
• 理论应用设想：
  • ISD (源头设计与规划)：
    • Vertiport选址时，优先选择已有交通设施（如机场、车站楼顶）或开阔地带，最小化对居民区的影响。Vertiport设计采用物理隔离乘客区与起降区，充电设施采用最新防火防爆标准。
    • 鼓励运营商选用在电池安全（如采用不易燃电解液、强化热管理）、飞控冗余（如多余度传感器和执行器）、应急迫降能力（如标配降落伞）等方面具有突出ISD特性的eVTOL型号。
    • 航线规划时，尽可能避开人口密集区、学校、医院等敏感区域上空，或在这些区域设置更高的高度限制和更严格的噪音标准（缓和）。
  • STAMP/STPA (系统风险评估与控制设计)：
    • 在试运营方案设计阶段，对整个“乘客预订-安检-登离机-eVTOL飞行-UTM协同-Vertiport调度-降落-乘客离场”的端到端运营流程进行STPA分析。构建包含乘客、eVTOL、飞行员/远程操作员、UTM、Vertiport地面系统、运营商等的层级控制结构。
    • 识别关键控制行为（如UTM的航迹规划与冲突解脱指令、Vertiport的起降许可、eVTOL的自主飞行决策）中可能出现的UCA及其因果场景。例如，分析在UTM与多个Vertiport信息交互延迟或不一致时，可能如何导致eVTOL接收到错误的起降指令。
    • 基于分析结果，制定详细的安全约束条件，并将其转化为UTM的控制逻辑、eVTOL的自主飞行算法、Vertiport的运营规程以及人员培训要求。
  • 韧性工程 (应急响应与适应性管理)：
    • 规划覆盖整个运营区域的应急备降场地网络，并确保eVTOL具备在主Vertiport不可用时自主或在UTM引导下安全备降的能力。
    • UTM系统设计需具备对网络中部分节点（如某个Vertiport、某个通信基站）故障或性能下降的动态感知和流量重路由能力。
    • 建立多机构协同的UAM应急响应指挥机制，明确在发生eVTOL空中故障、Vertiport紧急关闭、极端天气等情况下的信息通报、资源调配和联合处置流程。定期进行模拟演练。
  • STSE (社会协同与公众参与)：
    • 成立由市政府牵头，民航局、交通局、应急局、运营商、eVTOL制造商、社区代表、法律专家等多方参与的UAM试运营安全监督与咨询委员会。
    • 在试运营前，通过多种渠道（如听证会、社区座谈、媒体科普）向公众充分沟通试运营的范围、安全保障措施、潜在风险和应急预案，收集并回应公众的意见和疑虑。
    • 试运营期间，建立透明的运营数据（如准点率、安全事件，在保护商业机密和隐私前提下）和噪音监测数据发布机制，接受社会监督。
  • 安全-II (运营学习与持续改进)：
    • 建立试运营期间的飞行数据、UTM数据、Vertiport操作数据和人员报告（包括成功经验和微小异常）的收集与分析系统。
    • 定期组织运营方、飞行员、管制员、地勤人员进行“学习回顾”，分析在实际运营中是如何成功应对各种预期和非预期情况的，识别好的实践做法和潜在的改进点。
    • 将学习成果用于迭代优化运营流程、培训材料、应急预案，并向eVTOL制造商和UTM供应商反馈以改进产品设计。
• 应用潜力与挑战：
  • 潜力： 通过系统性地融合应用多种现代安全理论，有望在UAM商业化初期就构建一个较为全面、主动和具有韧性的安全保障体系，为后续大规模推广积累宝贵经验，并有效提升公众信心。
  • 挑战： UAM技术仍在快速发展，许多安全特性和风险模式尚不完全明朗，因此理论应用需要基于大量假设和模拟；多方协同治理的机制建设和有效运行需要克服部门壁垒和利益冲突；公众对安全的极高期望与新技术固有的不确定性之间存在张力；数据收集和分析系统的建设投入较大。

4.4.2 案例2：基于安全-II和韧性工程的eVTOL自主飞行算法持续安全增强机制（构思）

• 背景设定： 某eVTOL制造商致力于研发一套高度自主的飞行控制系统，能够在复杂的城市环境中实现全天候、高密度的安全运行。该系统依赖于多传感器融合、AI决策和先进控制算法。
• 理论应用设想：
  • 关注“成功空间”而非仅“失效空间”： 在大量的模拟测试、飞行台架试验和实际飞行测试中，除了按照安全-I的思路记录和分析所有导致任务失败或触发安全边界的“失效案例”外，更要投入大量资源记录和分析那些“成功案例”，特别是那些在传感器数据质量下降、存在未识别小目标、遭遇突发强阵风、GPS信号短暂干扰等复杂、边缘或轻微异常条件下，自主飞行系统仍然能够成功完成感知、决策、控制并确保飞行安全的案例。
  • 运用韧性工程的MARL原则分析成功适应行为：
    • 监控(Monitor)： 分析在这些成功案例中，自主系统是如何通过其传感器和内部状态监测模块，有效地识别出环境或自身状态的微小变化或潜在威胁的？（例如，能从嘈杂的传感器数据中识别出“微弱但关键”的信号。）
    • 预期(Anticipate)： 系统是如何基于当前状态和历史数据，预测到这些变化可能带来的短期和长期风险，并提前做出准备的？（例如，在进入已知强风切变区域前，自主调整飞行参数。）
    • 响应(Respond)： 系统采取了哪些具体的适应性控制策略（如调整姿态、改变航路、重新规划任务、请求人工干预）来成功应对这些挑战的？这些策略与预设的应急程序有何异同？
    • 学习(Learn)： 如何将这些成功的适应性行为模式化、参数化，并将其有效地反馈到AI模型的再训练、控制算法的优化、或者机载数据库（如危险环境特征库、成功应对策略库）的更新中，从而使系统在未来遇到类似情况时能更自主、更有效地应对？
  • 建立基于“成功证据”的算法演进机制： 将从成功案例中学习到的知识，转化为对AI模型（如强化学习的奖励函数设计）、规则库（如应急决策逻辑）、参数整定（如控制器增益）的改进。通过持续的“从成功中学习”，驱动自主飞行算法向更安全、更鲁棒、更智能的方向演进。
  • 人机协同学习： 对于那些系统自主应对但仍需飞行员（或远程测试工程师）进行确认、微调或在事后分析中发现更优策略的案例，建立有效的人机协同学习闭环。让人的经验和判断能够指导AI算法的改进，同时AI也能够为人类操作员提供更精准的决策支持。
• 应用潜力与挑战：
  • 潜力： 通过这种“从成功中学习”的机制，有望打造出能够不断自我完善、适应性更强的eVTOL自主飞行系统，突破传统基于规则和故障预防的AI安全瓶颈，使其在真实复杂运行环境中表现出更高的安全性和可靠性。
  • 挑战： 如何有效地定义、识别和度量“成功”的适应性行为，尤其是那些系统“默默”完成的、未引起操作员注意的成功调整；如何从大量正常的飞行数据中高效地挖掘出有价值的“成功经验”；如何将这些经验有效地转化为可执行的算法改进，并确保改进不会引入新的未知风险（AI的可解释性和可验证性问题）；如何平衡自主学习的开放性与安全认证的确定性要求。

4.5 本章小结

UAM的安全保障体系无疑是当前航空领域最具挑战性的课题之一。其固有的高风险性（载人、城市上空）、高度的复杂性（多样的eVTOL设计、Vertiport运营、UTM空管、人机交互）以及前所未有的运行模式（高密度、高频次、高度自主），使得传统的安全管理方法难以完全应对。本章从技术工程和管理制度两个视角，初步探讨了现代安全理论在UAM安全保障中的应用前景。

从技术工程层面，STAMP/STPA作为系统级危险分析的利器，对于UAM的顶层安全架构设计、eVTOL与UTM的功能安全评估至关重要，它能够帮助在早期识别和消除由复杂交互和控制缺陷引起的安全风险。韧性工程的理念则指导我们构建能够应对未知和意外扰动的UAM运行网络和应急响应系统，增强整个生态系统的鲁棒性和恢复力。ISD原则的贯彻，则能从eVTOL和Vertiport的设计源头提升其固有安全水平。

从管理制度层面，STSE为构建UAM多方利益相关者协同的安全治理框架和科学的法规标准体系提供了宏观指导，强调技术与社会因素的和谐统一。安全-I与安全-II的结合，则为UAM的全生命周期风险管理提供了更全面的视角，既要严格防范已知风险，也要不断从运营实践中学习和提升适应能力。韧性工程的思想同样适用于应急管理和危机沟通制度的建设。

总而言之，UAM的安全需要一个超越传统思维的、多维度、系统性的解决方案。这不仅需要单一技术的突破，更需要先进安全理论的指导和多学科的交叉融合。未来的UAM安全保障体系，必然是一个技术创新、管理创新、法规创新和社会协同共同驱动的复杂适应系统。现代安全理论的应用，将为这一宏伟目标的实现提供不可或缺的智慧和方法。

5. 现代安全理论在UAV与UAM安全保障体系中的融合应用与制度协同

UAV和UAM作为低空经济的核心组成部分，其安全保障体系的构建既有共性需求，也因各自的特性而存在显著差异。本章旨在探讨现代安全理论如何在充分考虑这些共性与特殊性的基础上，实现跨理论的融合应用，并分析技术工程手段与管理制度建设之间的协同机制，最终为构建高效、可靠的UAV与UAM安全保障体系提供实践指引。

5.1 UAV与UAM安全保障的共性与特殊性对理论应用的影响

5.1.1 共性分析

UAV和UAM在安全保障方面存在以下共性，这为现代安全理论的普遍适用性提供了基础：

• 复杂系统特性： 无论是单架高性能UAV的运行，还是整个UAM生态系统，都属于包含硬件、软件、操作人员、运行环境、组织管理等多个要素，且要素间存在复杂交互的典型复杂系统。传统基于组件故障叠加的安全分析方法（如简单的FMEA）在应对这类系统的涌现行为和系统性风险时，局限性日益凸显。这使得STAMP/STPA、韧性工程、安全-II等系统性安全理论具有重要的应用价值。
• 自主性带来的新挑战： UAV和UAM都在向着更高程度的自主化方向发展，例如自主导航、自主感知与规避、自主决策等。AI技术的广泛应用在提升效率的同时，也带来了新的安全挑战，如AI决策的可靠性、可解释性、可验证性以及应对未知场景的能力。现代安全理论，特别是STAMP/STPA（用于分析控制逻辑缺陷）和安全-II/韧性工程（用于理解和增强系统适应性），对于管理这些由自主性引入的新风险至关重要。
• 空域融合与交通管理难题： UAV和UAM都需要在日益拥挤的低空空域中运行，面临着与传统航空器、其他UAV/UAM以及地面障碍物的冲突风险。无人机交通管理（UTM）和UAM空中交通管理（U-space）系统的构建，需要系统性的安全设计和风险评估，STAMP/STPA、韧性工程等理论可为此提供支持。
• 数据驱动的安全管理潜力： UAV和UAM的运行会产生海量的飞行数据、传感器数据、系统状态数据等。这些数据为应用安全-II理念（从正常操作中学习）、韧性工程（监控系统状态、学习经验）以及通过数据分析进行风险预测和安全绩效评估提供了基础。
• 人因与组织因素的重要性： 尽管追求自动化，但在可预见的未来，人（飞手、远程操作员、地面控制员、维护人员、管理者）仍将在UAV和UAM的运行中扮演关键角色。同时，运营商的安全文化、管理体系、培训制度等组织因素对安全绩效有直接影响。STSE、安全-II和STAMP/STPA等理论都强调对人因和组织因素的系统性考量。

5.1.2 特殊性分析

尽管存在共性，UAV和UAM在安全保障的侧重点和具体挑战上也有显著差异：

• UAV (无人机系统)：
  • 应用场景多样，风险等级差异大： UAV的应用从消费级娱乐、航拍，到工业级巡检、测绘，再到高风险的物流运输、应急救援等，其运行环境、飞行器性能、潜在危害后果差异巨大。这意味着UAV的安全管理需要更具灵活性和针对性的风险评估与分类管理方法。
  • 操作人员技能水平参差不齐： 特别是对于消费级和部分商业应用UAV，操作人员的专业技能和安全意识可能差异较大，对人机界面设计的易用性和防错性要求更高。
  • 法规体系仍在快速演变与细化： 随着UAV应用的不断涌现，针对不同类型、不同场景UAV的法规标准仍在不断制定和完善中，需要安全理论为其提供科学依据。
  • 成本敏感性： 许多UAV应用对成本较为敏感，需要在保证基本安全的前提下，寻求更经济高效的安全解决方案。ISD的应用需精打细算。
• UAM (城市空中交通)：
  • 以载人运输为主，安全标准要求极高： UAM的核心是城市内的载人空中交通服务，其安全标准必须达到甚至超越传统民航的水平，对eVTOL的适航性、运行的可靠性、应急处置能力要求极为严苛。
  • 城市高密度运行，环境更复杂，潜在社会影响更大： UAM将在高楼林立、人口稠密、电磁环境复杂的城市上空进行高密度、高频次的飞行，一旦发生事故，其社会影响和公众反应将远超一般UAV事件。因此，对空域管理、噪声控制、视觉影响、地面安全等方面的考量更为突出。
  • 公众接受度是关键成功因素： UAM作为一种全新的出行方式，其能否被公众广泛接受，很大程度上取决于公众对其安全性的信任。因此，安全管理不仅是技术问题，更是社会沟通和信任构建问题，STSE的应用尤为重要。
  • 基础设施（Vertiport，UTM）依赖性强： UAM的运行高度依赖于地面Vertiport网络的支撑和空中UTM系统的协同管理，这些基础设施自身的安全性、可靠性以及与eVTOL的接口兼容性，都是UAM安全保障的关键环节。
  • 系统之系统（SoS）的特性更为突出： UAM生态系统涉及eVTOL制造商、运营商、Vertiport运营商、UTM服务商、能源供应商、城市管理者等众多参与方，它们共同构成一个复杂的“系统之系统”。各子系统间的技术接口、数据标准、运营流程、责任边界必须清晰界定和高效协同，任何环节的脱节都可能引发系统性风险。

5.1.3 对理论应用的影响

UAV和UAM的共性决定了现代安全理论，特别是那些强调系统思维、过程控制、人因组织和适应性的理论（如安全-II、韧性工程、STAMP/STPA、STSE），具有普遍的指导意义和应用前景。而它们的特殊性则要求在选择和应用这些理论时，必须结合具体的应用场景、风险特征和发展阶段进行调整和侧重：

• 对于UAV，鉴于其应用的多样性和操作人员的差异性，需要发展能够快速、灵活评估不同场景风险的方法（STPA可根据场景复杂度调整分析深度），并强调通过ISD和良好的人机界面设计来降低对操作技能的依赖。安全-II的理念可用于从大量的UAV飞行数据中学习，改进操作和培训。
• 对于UAM，由于其极高的安全要求和复杂的社会技术属性，STAMP/STPA在系统级安全设计与验证中的作用更为核心；韧性工程对于保障大规模网络化运行的可靠性和应急响应能力至关重要；而STSE则为构建多方协同的安全治理框架、处理公众接受度问题、制定综合性法规标准提供了不可或缺的视角。ISD在eVTOL和Vertiport的每一个设计细节中都需要被严格贯彻。

总而言之，理解UAV与UAM安全保障的共性与特殊性，是科学选择、有效应用和创新发展现代安全理论的前提。

5.2 跨理论融合的安全保障框架设想

面对UAV与UAM复杂的安全挑战，单一安全理论往往难以提供全面的解决方案。构建一个能够融合多种现代安全理论优势、覆盖系统全生命周期、并协同技术工程与管理制度的综合性安全保障框架，是提升低空安全水平的必然趋势。以下提出一个初步的框架设想。

5.2.1 基于生命周期的理论整合应用模型

UAV/UAM系统的安全保障应贯穿其从概念提出到退役处置的整个生命周期。在不同阶段，各种安全理论的侧重点和应用方式应有所不同，形成一个动态的、互补的理论应用组合：

• A. 概念与设计阶段 (Conceptual & Design Phase)：
  • 主导理论：ISD (固有安全设计) + STAMP/STPA
  • 应用核心： 在系统定义和初步设计阶段，优先运用ISD的最小化、替代、缓和、简化原则，从源头上消除或降低固有危害（如eVTOL的电池选型与布局、动力系统冗余设计、Vertiport的场面规划）。同时，运用STPA进行早期、高层级的系统危险分析，识别潜在的系统级危害和不安全控制行为（UCA），从而定义出明确的安全目标、安全约束和关键安全需求，指导后续的详细设计。
  • 辅助理论：STSE。在概念阶段即开始考虑系统的社会技术属性，如公众接受度、人因工程初步需求、法规符合性预期、以及对城市环境的潜在影响，确保设计方向符合社会期望和可持续发展要求。
• B. 研发、测试与验证阶段 (Development, Testing & Validation Phase)：
  • 主导理论：STPA + 韧性工程 + 安全-II
  • 应用核心： 在详细设计和原型开发过程中，持续运用STPA进行更细致的危险分析，特别是针对软件控制逻辑、人机交互界面和复杂子系统间的接口。通过模拟测试、硬件在环测试、飞行测试等手段，不仅要验证系统是否满足预设的安全需求（安全-I的验证），更要运用韧性工程的理念，设计包含各种预期和非预期扰动（如传感器故障、通信中断、极端天气、恶意攻击）的压力测试场景，评估系统的MARL（监控、预期、响应、学习）能力。同时，积极采纳安全-II的视角，详细记录和分析测试过程中系统“成功应对”挑战的案例，从中学习和提炼改进设计的经验，而非仅仅关注“失败”的测试点。
• C. 生产制造与部署阶段 (Production & Deployment Phase)：
  • 主导理论：安全-I (质量控制) + ISD (工艺固化)
  • 应用核心： 严格按照设计规范和质量控制标准进行生产制造，确保ISD设计原则在制造工艺中得到落实和固化。运用安全-I的工具（如FMEA）对生产过程中的潜在缺陷进行控制。在部署阶段，确保安装调试过程符合安全规程。
• D. 运营与维护阶段 (Operation & Maintenance Phase)：
  • 主导理论：安全-II + 韧性工程 + STSE + 安全-I (合规与应急)
  • 应用核心：
    • 安全-I： 建立完善的事故/事件报告和调查机制，确保运营符合法规要求，对已发生的事故进行深入分析并采取纠正措施。制定并演练应急预案。
    • 安全-II与韧性工程： 大力推行主动安全管理。收集并分析日常运营数据（飞行数据、UTM数据、维护记录、人员报告等），重点关注系统和人员是如何成功适应日常工作中的变异和扰动的。运用FRAM等工具分析正常工作的复杂性，识别潜在的风险点和韧性来源。通过“学习团队”等机制，从成功经验和微小异常中提取教训，持续改进操作流程、培训体系、维护策略和应急能力，不断提升组织的整体韧性。
    • STSE： 关注运营过程中人-机-组织-环境的动态适配情况。例如，监控操作人员的疲劳状态和工作负荷，优化轮班制度；评估新技术（如新的UTM算法）引入后对工作流程和团队协作的影响；处理社区对噪音、隐私等问题的反馈，调整运营策略以提升社会接受度；建设积极的安全文化，鼓励开放沟通和主动报告。
• E. 升级与退役阶段 (Upgrade & Decommissioning Phase)：
  • 主导理论：STPA + ISD + STSE
  • 应用核心： 在对系统进行升级改造时，需重新运用STPA评估变更可能引入的新风险。在系统退役处置时，应考虑环境安全和人员安全，运用ISD原则确保退役过程的固有安全性。STSE则关注技术更新换代对组织和人员技能的持续影响。

5.2.2 技术工程与管理制度的协同模型

技术工程层面的安全措施（如更可靠的硬件、更智能的软件、更安全的物理设计）与管理制度层面的安全保障（如健全的法规标准、有效的组织管理、积极的安全文化、合格的人员）必须紧密协同、相互促进，才能形成真正有效的安全保障体系。可以设想一个如下的协同模型：

1. 法规/标准驱动技术要求： 监管机构（在STSE框架下，与行业、学术界、公众协同）基于对UAV/UAM运行风险的系统评估（可运用STAMP/STPA）和对社会可接受安全水平的考量，制定出清晰的技术安全标准（如eVTOL适航标准、UTM性能要求、数据安全规范等）和运营管理规定。这些法规标准明确了技术系统必须达到的安全底线和管理体系必须具备的核心要素。
2. 技术实现支撑管理目标： UAV/UAM制造商和运营商通过技术创新（如应用ISD原则改进设计、开发基于韧性工程的容错系统、利用AI提升自主飞行安全性），努力满足甚至超越法规标准的要求。先进的技术手段（如飞行数据记录与分析系统、仿真测试平台）也为运营商实施有效的安全管理（如安全-II的学习机制、风险的持续监控）提供了工具支撑。
3. 运营反馈驱动法规与技术迭代： 在实际运营中，通过安全-II的理念，收集和分析成功的操作经验、微小异常以及发生的事故/事件数据。这些来自一线的反馈信息，一方面可以暴露出现有技术系统或管理制度中可能存在的缺陷或不足，从而驱动制造商进行技术升级和设计改进；另一方面，也可以为监管机构评估现有法规标准的有效性、识别新兴风险、并适时修订和完善法规提供依据。STAMP/STPA可以用于分析这些反馈数据，识别系统性的控制问题。
4. 组织文化与人因保障闭环： STSE强调，有效的安全管理不仅依赖于好的技术和规章，更依赖于积极的安全文化和对人因的深刻理解。组织应投入资源进行人员培训，提升安全意识和专业技能；建立公正、透明、鼓励报告和学习的文化氛围；优化工作流程和人机界面，降低人为失误的概率。这些“软”因素是确保技术安全措施和管理制度规定能够真正落地并有效执行的关键。

这个协同模型形成了一个“法规/标准设定 → 技术/管理实现 → 运营反馈 → 持续改进”的动态闭环，确保UAV/UAM安全保障体系能够随着技术的发展和运营经验的积累而不断演进和提升。

5.2.3 数据驱动的动态安全保障

UAV和UAM的数字化、网络化和智能化特性，使其能够产生和收集海量的运行数据。这些数据是实现动态安全保障、支持各现代安全理论应用的宝贵资源：

• 支持STPA分析： 通过分析历史飞行数据、事故数据和模拟数据，可以识别UCA发生的实际频率、典型场景和触发条件，从而使STPA分析更具针对性和实证基础。
• 赋能安全-II与韧性工程： 大数据分析技术可以帮助从海量的正常运行数据中自动提取有价值的模式，如识别成功的适应性行为、监测系统性能的微小变异、评估系统的韧性指标（如恢复时间、功能降级幅度）。
• 驱动ISD改进： 长期运行数据可以揭示某些设计在实际使用中暴露出的固有安全缺陷或可靠性问题，为后续产品迭代的ISD改进提供输入。
• 优化STSE管理： 通过对人员操作数据、组织绩效数据等的分析，可以评估组织安全文化、培训效果、管理流程的有效性，为STSE框架下的管理改进提供依据。

构建UAV/UAM数据共享与分析平台，利用AI和机器学习技术进行深度挖掘，将是未来实现主动、预测性、个性化安全管理的关键。然而，数据安全、隐私保护、以及数据质量和标准化问题，也需要同步解决。

5.3 UAV/UAM安全技术工程与管理制度的协同机制

要实现UAV与UAM安全保障体系中技术工程与管理制度的有效协同，需要建立一系列具体的机制来保障其顺畅运作。

5.3.1 技术标准与法规政策的互动机制

技术标准是技术工程的具体体现，法规政策是管理制度的核心载体。两者之间需要建立良性的互动和反馈机制：

• 标准吸纳理论原则： 在制定UAV/UAM相关的技术标准时（如ASTM F3002-14a针对UAS指挥与控制系统设计的要求（ANSI UASSC Standardization Roadmap），或针对eVTOL适航的SC-VTOL等），应积极融入现代安全理论的原则。例如，ISD原则应指导飞行器和基础设施的结构与功能设计；STPA的分析结果（如识别出的关键安全约束）可以转化为具体的技术设计要求；韧性工程的MARL能力要求，也应在系统功能和性能指标中有所体现。
• 法规基于风险评估： UAM的运行许可、空域管理规则等法规政策的制定，应基于对整个UAM生态系统（包括技术、人、组织、环境）的全面、系统的安全风险评估。STAMP/STPA方法可以为这种系统级风险评估提供有力工具。法规应具有一定的灵活性，允许基于风险等级和运营场景的差异化管理。
• 迭代反馈回路： 技术的发展和运营实践会不断检验现有标准和法规的适用性。应建立机制，定期收集行业对标准和法规实施效果的反馈，评估其是否能有效控制风险并适应技术进步。当新技术展示出更高的安全水平或新的风险模式出现时，应及时修订和更新技术标准与法规政策。

5.3.2 安全认证与持续监管的衔接机制

对UAV/UAM系统及其运营进行安全认证是准入的前提，而持续的运行监管则是保障长期安全的关键。

• 认证体现系统安全： eVTOL的型号合格审定（TC）、UAM运营商的运行合格审定（AOC）等认证过程，不仅要审查其是否符合既定的技术标准和法规条款（安全-I的体现），更应评估其是否建立了有效的安全管理体系（SMS），以及该体系是否融入了现代安全理念。例如，审查其风险管理流程是否系统地识别了UCA（STPA的应用体现），应急响应预案是否考虑了系统的韧性（韧性工程的应用体现），以及是否建立了从运营中学习的机制（安全-II的应用体现）。
• 监管关注实际绩效与持续改进： 监管机构对已获认证的运营商的日常监管，应从传统的符合性检查，逐步转向对其安全绩效和持续改进能力的评估。鼓励运营商主动报告安全信息（包括成功经验和微小偏差），并展现其从这些信息中学习和改进的能力。监管激励机制可以与运营商的安全-II实践水平和韧性建设成果挂钩。

5.3.3 信息共享与风险沟通机制

UAV/UAM的安全是一个涉及多方利益相关者的共同责任。建立有效的信息共享与风险沟通机制至关重要。FAA在其UAM ConOps 2.0中提出的Provider of Services for UAM (PSU) 概念，就强调了信息交换对于UAM生态系统的重要性（FAA UAM ConOps 2.0）。

• 行业级安全信息平台： 建立一个由监管机构主导或行业协会协调的安全信息共享平台，允许UAV/UAM制造商、运营商、UTM服务商、Vertiport运营商等匿名或在特定规则下共享安全相关的事件数据、故障数据、成功运营经验、风险评估结果等。这有助于整个行业从更广泛的经验中学习，共同识别和应对系统性风险。
• 跨部门协同与风险沟通： UAM的运行与城市交通、应急管理、公安、环保等多个政府部门相关。需要建立常态化的跨部门协调机制和风险沟通渠道，确保在UAM规划、审批、运营监管和应急处置等各环节能够形成合力。
• 公众风险沟通与科普： 针对公众对UAV/UAM安全性的疑虑，应采取积极、透明的沟通策略。通过新闻发布、科普讲座、社区活动、演示体验等多种方式，向公众普及UAV/UAM的安全技术、管理措施和潜在风险，并建立反馈渠道听取公众意见。这符合STSE中对社会接受度和利益相关者参与的强调。

5.3.4 人才培养与安全文化建设的融合机制

合格的人才和积极的安全文化是UAV/UAM安全保障体系有效运作的基石。

• 融入现代安全理念的培训体系： 针对UAV飞手、eVTOL飞行员（及远程操作员）、UTM管制员、签派员、维护工程师、安全管理人员等各类从业人员，其培训课程和资质认证体系应全面融入现代安全理论的知识。例如，在飞行员培训中不仅强调规程遵守（安全-I），更要培养其情境意识、风险识别、应急决策和团队协作能力（安全-II和韧性工程）；在工程师培训中，应包含ISD原则和STPA分析方法；在管理人员培训中，应重点介绍STSE和系统性风险管理。
• 建设基于学习和信任的安全文化： UAM/UAV运营商和相关机构应借鉴安全-II和STSE的理念，努力在组织内部营造一种“公正文化（Just Culture）”、“报告文化（Reporting Culture）”和“学习文化（Learning Culture）”。鼓励员工主动报告安全隐患和工作中的成功经验，对非故意、非恶意的错误采取非惩罚性的处理方式，将每一次事件（无论大小、成败）都视为学习和改进的机会。领导层应率先垂范，将安全作为核心价值观，并为安全管理投入必要的资源。

通过上述机制的建立和有效运作，有望实现UAV/UAM安全保障体系中技术工程硬实力与管理制度软环境的深度融合与协同发展，从而为低空经济的安全腾飞提供坚实保障。

5.4 UAV/UAM安全保障体系建设的最佳实践思考

借鉴国际上相关高安全领域（如民航、核能）以及新兴交通模式（如自动驾驶汽车）的安全管理经验，结合现代安全理论的指导，可以提炼出一些构建UAV/UAM安全保障体系的最佳实践思路。

5.4.1 实践案例1：FAA/EASA在UAM安全框架构建中的探索

• 分析视角： 美国联邦航空局（FAA）和欧盟航空安全局（EASA）作为全球民航安全监管的引领者，其在UAM安全框架和法规制定方面的工作具有重要的示范意义。例如：
  • FAA发布的《Urban Air Mobility (UAM) Concept of Operations (ConOps) 2.0》（FAA, 2023）中，明确了UAM运行的参与者角色（如UAM运营商、PSU服务商、飞行员），提出了UAM走廊的概念，并强调了安全管理体系（SMS）、信息共享、以及与现有国家空域系统（NAS）的集成。这体现了对系统性风险（STAMP/STPA视角）、多方协同（STSE视角）以及从运营中学习（安全-II的潜在应用空间）的初步考量。
  • EASA发布的针对垂直起降航空器（VTOL）的特殊条件（Special Condition VTOL, SC-VTOL）（无人机网对EASA UAM法规的报道）以及相关的认证规范（如MOC SC-VTOL），为eVTOL的适航审定提供了详细的技术要求。这些要求不仅关注单个部件的可靠性（安全-I），也越来越多地考虑系统级功能安全（如飞控系统、电池管理系统），并开始引入对复杂系统交互和人因工程的考量，这与ISD和STPA的部分理念相契合。例如，对eVTOL在多种故障组合下的持续安全飞行或受控迫降能力的要求，体现了对系统韧性的追求。
• 启示： 监管机构在UAM发展的顶层设计中，应尽早、系统性地融入现代安全理论的原则。法规的制定不应仅仅是技术细节的堆砌，更应体现对系统安全、过程控制、风险适应和多方治理的深刻理解。通过发布概念运营文件、特殊条件、征求意见稿等方式，引导行业在安全框架内进行创新。

5.4.2 实践案例2：大型UAV物流运营商的先进安全管理体系（构想与借鉴）

• 分析视角： 尽管详细的内部安全管理体系信息较少公开，但可以合理推测，像顺丰、京东、亚马逊等在全球范围内积极探索UAV物流大规模应用的公司，其安全管理体系必然会超越简单的合规管理，向更系统化、智能化的方向发展。它们可能借鉴的实践思路包括：
  • 基于STPA的复杂航线风险评估： 对于在城市楼宇间、复杂气象条件下、或人口密集区附近飞行的物流UAV，运用STPA分析其自主飞行控制系统、与UTM的交互、以及与地面人工干预的协同中可能存在的UCA及其因果场景，从而制定精细化的避险策略和应急预案。
  • 安全-II与韧性工程驱动的运营学习： 建立强大的飞行数据后台，不仅记录事故和故障数据，更要分析海量的正常飞行数据，识别在各种扰动下（如阵风、信号干扰、临时空域限制）UAV和远程操作员是如何成功适应并完成任务的。通过数据挖掘和机器学习，提炼成功的应对模式，用于优化自主算法、改进操作流程和培训内容，提升整个运营系统的韧性。
  • ISD原则在定制化UAV设计中的应用： 物流运营商可能会根据自身特定的运营场景（如货物类型、温控要求、飞行环境），向UAV制造商提出定制化的设计需求，其中应包含ISD的考量，如采用更耐用的材料、更简单的维护接口、更可靠的货物固定和释放机制等。
  一些公开信息，如顺丰丰翼科技获得国内首家无人机运营（试点）许可证（深圳市无人机行业协会），暗示了其在安全管理和合规运营方面必然进行过深入探索和实践。
• 启示： 企业层面应根据自身业务特点和风险状况，灵活应用和融合多种现代安全理论，构建与自身运营规模和复杂性相匹配的、动态演进的安全管理体系。数据驱动的风险洞察和持续学习是提升运营安全的关键。

5.4.3 实践案例3：NASA等科研机构在UAM安全研究中的引领作用

• 分析视角： NASA（美国国家航空航天局）通过其AAM（Advanced Air Mobility）国家行动计划和相关的研究项目，在UAM的系统安全、空域集成、人因工程、自动化技术等方面进行了大量前瞻性研究，其中不乏现代安全理论的运用。例如：
  • NASA在其发布的《Guidance for Designing Safety into Urban Air Mobility: Hazard Analysis Techniques》（NASA, 2020）中，明确探讨了FHA和STPA等危害分析技术在UAM运营中的应用，并对一个具体的eVTOL任务场景进行了STPA分析，展示了如何识别UCA和潜在的设计改进点。
  • NASA在研究AAM环境下的人因问题时，强调了自动化与人的协同、信任以及在复杂情境下的决策支持，这与STSE和韧性工程的理念高度相关（NASA UAM AAM Human Factors Issues；NASA RE for AAM）。
  • NASA也在探索用于AAM的下一代ATM概念，其研究中包含了对系统韧性、分布式决策和信息物理融合等方面的考量。
• 启示： 科研机构在UAV/UAM安全保障体系建设中扮演着关键的引领和支撑作用。通过对前沿安全理论的应用研究、关键技术的攻关验证以及概念运营的模拟评估，可以为产业界的工程实践和监管机构的法规制定提供科学依据和方法论支持。

5.4.4 UAV/UAM安全保障体系建设的最佳实践提炼

综合上述分析，可以提炼出UAV/UAM安全保障体系建设的一些最佳实践原则：

1. 顶层设计先行，系统思维主导： 在UAV/UAM产业发展和具体项目规划的初期，就应从系统工程的视角出发，运用STAMP/STPA等方法进行全面的安全顶层设计，明确安全目标、识别关键风险、定义核心安全需求和约束。避免将安全视为后期附加或仅关注局部技术问题。
2. 风险导向，数据驱动，持续学习： 安全管理的核心是风险管理。应建立基于全面风险评估（结合STPA、FHA、ISD等方法）的决策机制。同时，大力建设数据采集和分析能力，运用安全-II和韧性工程的理念，从海量的运营数据（成功与失败）中持续学习，动态识别风险，评估安全绩效，驱动体系的迭代优化。
3. 多方协同，共建安全生态： UAM/UAV的安全不是单一组织或技术能独立解决的。必须运用STSE的理念，构建政府（监管、空管、城市规划、应急等）、产业界（制造商、运营商、服务商）、学术界和公众共同参与、责任共担、信息共享、协同治理的安全生态系统。
4. 融合互补，动态适应的安全理论应用： 认识到各种现代安全理论的优势与局限，根据UAV/UAM发展的不同阶段、不同场景和不同层面的安全需求，灵活选择和有机融合多种理论。安全保障体系本身也应是一个具有韧性的、能够根据内外环境变化而动态调整和进化的“活”的系统。
5. 强化人因工程与安全文化建设： 即使在高度自动化的UAM/UAV系统中，人的角色（设计者、操作者、维护者、管理者、使用者）依然关键。必须重视人因工程设计，优化人机交互，提升人员技能和安全意识。同时，大力培育以学习、信任、公正和主动报告为特征的积极安全文化，使其成为安全保障体系的内在驱动力。

遵循这些最佳实践原则，并不断探索和创新，才能有效应对UAV与UAM带来的前所未有的安全挑战，确保这一新兴产业能够安全、健康、可持续地发展，真正造福社会。

6. 结论与展望

6.1 主要研究结论

本研究通过对ISD固有安全设计、安全-I、安全-II、韧性工程、STAMP/STPA以及STSE等现代安全理论的深入解析、系统比较，并结合UAV与UAM安全保障体系的具体需求和挑战，从技术工程与管理制度双重视角探讨了其应用模式、价值与前景。主要研究结论如下：

• 理论层面：现代安全理论各具特色且互为补充，为低空安全提供了系统性解决方案。
  • ISD 从设计源头强调消除或降低固有危害，是实现UAV/UAM本质安全的基础。
  • 安全-I 为已知风险的识别、事故调查和合规管理提供了成熟方法。
  • 安全-II 与韧性工程 则将视角从“避免失败”转向“确保成功”和“提升适应能力”，强调从日常工作和成功经验中学习，增强系统在复杂和不确定环境下的鲁棒性和恢复力，这对于应对UAV/UAM运行中的未知风险至关重要。
  • STAMP/STPA 提供了一套强大的系统级危险分析工具，能够有效识别由复杂交互、软件缺陷、人因和组织因素导致的控制系统缺陷，特别适用于UAV自主飞行系统和UAM整体架构的安全评估。
  • STSE 则从更宏观的社会技术系统视角出发，强调技术、人、组织和环境的协同优化，为UAV/UAM的多方治理、法规制定和社会接受度管理提供了重要框架。
  这些理论并非孤立存在，而是可以相互融合、优势互补，共同构建一个多层次、全方位的UAV/UAM安全保障思想体系。
• UAV应用层面：现代安全理论的应用能够显著提升UAV全生命周期的安全水平。
  • 在技术工程上，通过ISD优化设计、STPA分析运行风险、韧性工程增强应对突发失效的能力，能够有效提升UAV飞行平台的可靠性和环境适应性。
  • 在管理制度上，运用安全-II理念改进运营商的安全管理与经验学习体系，借鉴STSE思想指导行业监管政策制定，以及运用STAMP/STPA深化事故调查，能够从系统层面提升UAV运营的安全绩效和行业整体的安全治理水平。
• UAM应用层面：面对UAM前所未有的复杂性和极高的安全要求，系统性现代安全理论的应用尤为关键。
  • STAMP/STPA在UAM系统级安全设计（eVTOL、Vertiport、UTM）和功能安全评估中具有核心应用价值。
  • 韧性工程对于保障UAM运行网络在面临大规模扰动和多点故障时的可靠性与应急响应能力至关重要。
  • STSE为构建UAM复杂生态系统（涉及多方利益相关者）的协同安全治理框架、制定前瞻性法规标准、以及处理公众信任等社会问题提供了不可或缺的指导。
  • ISD原则必须贯穿于eVTOL、Vertiport及UTM系统的每一个设计细节。
  • 安全-I与安全-II理念的平衡应用，将是UAM从设计验证到商业运营全生命周期风险管理的基石。
• 综合观点：构建融合多种现代安全理论的、技术与制度协同的动态安全保障体系，是UAV与UAM安全发展的必然趋势。 UAV与UAM的安全问题，本质上是复杂社会技术系统工程问题，需要超越传统的、基于组件可靠性的安全思维定式。未来的低空安全保障，必须是一个从设计源头（ISD）到运行管理（安全-I/II，韧性工程），从技术工程实现（STPA）到社会制度构建（STSE），从单一系统安全到整个生态系统安全的、全方位、多层次、动态适应的综合体系。其中，技术工程的持续创新与管理制度的同步完善，二者缺一不可，必须协同发展，才能有效应对低空经济带来的巨大机遇与严峻挑战。数据驱动的风险洞察和持续学习机制，将是该体系有效运作的关键赋能手段。

6.2 研究局限性

本研究虽然力求全面深入，但在以下方面仍存在一定的局限性：

• 理论应用深度与实证分析的不足： 本研究主要侧重于对各现代安全理论核心思想的梳理、比较，以及对其在UAV/UAM领域应用方向和思路的框架性探讨。对于每种理论在UAV/UAM特定技术环节（如特定类型eVTOL的飞控系统STPA分析）或管理场景（如特定运营商安全-II实践的量化评估）的非常详细的、可操作的量化应用模型和实证案例分析，受限于篇幅和公开数据的可得性，尚有不足。
• 案例的典型性、数量与一手资料的缺乏： 由于UAM产业尚处于发展的极早期阶段，成熟的、可供深入研究的实际应用案例（尤其是涉及具体安全理论应用的详细报告）非常有限，本研究中关于UAM的案例分析更多是基于现有公开资料（如ConOps、法规草案、科研报告）的推演和前瞻性构思。UAV领域的案例虽然相对较多，但也可能因商业保密等原因难以获取详尽的一手数据支持深入分析。
• 动态发展性与前瞻预测的挑战： UAV与UAM技术仍在飞速发展，相关的安全挑战、安全理论的理解和应用方法也在不断演进。本研究的结论是基于当前（截至2025年5月）的认知水平和可得信息，对于未来更长远的技术突破和运营模式变革可能带来的全新安全问题，其预测性和指导性可能需要随时间的推移而进行更新和深化。
• 理论融合模型的初步性： 本研究提出的跨理论融合应用框架和技术制度协同模型，尚处于初步设想阶段，其有效性、可行性和具体实施路径，还需要未来更多的理论研究和实践检验。

6.3 未来研究展望

UAV与UAM的安全保障是一个充满挑战和机遇的前沿领域。未来，以下研究方向值得重点关注和深入探索：

• 理论深化与交叉融合方法论研究：
  • 针对UAV/UAM面临的特定核心风险（如AI自主决策的安全性与可信性、大规模电池系统热失控风险、复杂电磁环境下网络安全风险、系统之系统间的级联故障风险等），深入研究如何将ISD、STPA、韧性工程、安全-II等多种理论进行更精细化的集成应用，形成针对特定问题的定制化风险分析与控制方法论。
  • 探索建立可操作的、量化的模型与指标体系，用于评估基于多种现代安全理论构建的UAV/UAM安全保障体系的整体有效性、成熟度和韧性水平。
  • 深入研究不同安全文化背景下（如不同国家、不同类型运营商），现代安全理论的适用性差异和本地化调适策略。
• 关键使能技术与现代安全理论的深度结合：
  • AI与安全： 如何运用安全-II、STPA等理论来指导UAV/UAM中AI（特别是深度学习模型）的设计、验证、确认和持续监控，以确保其决策的安全性、可解释性、鲁棒性和对未知环境的适应性。例如，利用STPA分析AI决策逻辑中的不安全控制行为，利用安全-II从AI的“成功”决策中学习和泛化。
  • 数字孪生与安全验证： 如何构建高保真的UAV/UAM数字孪生系统，并将其作为平台，结合STPA、韧性工程等方法进行大规模、复杂场景下的安全测试、压力测试、故障注入和应急预案验证，从而在物理系统部署前发现和消除潜在风险。
  • 人机协同安全： 针对UAM未来可能的高度自主运行但仍保留人机协同的场景（如远程操作员介入、空中交通管制员与UTM协同），深入研究基于STSE和认知系统工程的人机功能分配、交互界面设计、情境意识共享、以及协同决策安全保障机制。
  • 区块链与数据安全： 探索如何利用区块链等技术增强UAV/UAM运行数据（如身份认证、航迹记录、交易信息）的不可篡改性和可追溯性，为安全监管和事故调查提供可信数据源。
• 管理创新与政策法规前瞻研究：
  • 动态适航审定与持续运行安全（CAS）： 研究如何将STPA、韧性评估等方法更深度地融入UAV/UAM（特别是eVTOL）的动态适航审定流程中，并建立基于运营数据的持续运行安全监控与评估机制，以适应技术的快速迭代和运营环境的变化。
  • 基于风险与绩效的智能空域管理： 探讨如何应用现代安全理论，结合AI和大数据分析，设计更灵活、高效、且能动态适应交通流量和风险变化的UAV/UAM空域管理规则和UTM/U-space系统架构。
  • 全球UAM/UAV安全标准协调与互认： 随着UAV/UAM产业的全球化发展，推动在ISD、STAMP/STPA、韧性工程等先进安全理念指导下的国际安全标准的制定、协调与互认，将对促进产业健康发展至关重要。
  • 社会接受度提升与伦理考量： 基于STSE理念，持续研究和实践有效的UAV/UAM公众沟通、风险认知引导、社区参与和利益共享机制，解决公众在安全、隐私、噪音、公平性等方面的关切。同时，对UAM/UAV广泛应用可能带来的伦理问题（如自主决策的道德困境、数据所有权等）进行前瞻性研究并提出治理建议。

总之，现代安全理论为应对UAV与UAM带来的安全挑战提供了宝贵的思想武器和方法论工具。通过持续的理论创新、技术攻关、管理实践和国际合作，我们有理由相信，一个安全、高效、可持续的低空经济未来是可以实现的。

参考文献

• [1] Leveson, N. G. (2011). Engineering a Safer World: Systems Thinking Applied to Safety. MIT Press. (MIT Press)
• [2] Hollnagel, E. (2014). Safety-I and Safety-II: The Past and Future of Safety Management. CRC Press. (Routledge)
• [3] Hollnagel, E., Woods, D. D., & Leveson, N. (Eds.). (2006). Resilience engineering: Concepts and precepts. Ashgate Publishing, Ltd. (Now CRC Press/Routledge)
• [4] Kletz, T. A. (1991). Plant Design for Safety: A User-Friendly Approach. CRC Press. (ISD相关经典著作)
• [5] Baxter, G., & Sommerville, I. (2011). Socio-technical systems: From design methods to systems engineering. Interacting with Computers, 23(1), 4-17. (Oxford Academic; 原始参考资料中链接为 St Andrews CS Archive)
• [6] Federal Aviation Administration (FAA). (2023). Urban Air Mobility (UAM) Concept of Operations (ConOps) Version 2.0. (FAA UAM ConOps 2.0)
• [7] 安厦系统科技有限责任公司. (日期不详). 如何做到“本质安全”. (isa-hsse.com)
• [8] ErikHollnagel.com. (n.d.). Safety-I and Safety-II. (Erik Hollnagel's Website)
• [9] NHS England. (2015). From Safety-I to Safety-II: A White Paper. (NHS England)
• [10] ScienceDirect. (n.d.). Resilience Engineering - an overview | ScienceDirect Topics. (ScienceDirect)
• [11] 详解STAMP/STPA在汽车功能安全领域的实践. (2023, June 6). 电子工程专辑. (eet-china.com)
• [12] 中华人民共和国中央人民政府. (2023, June 28). 无人驾驶航空器飞行管理暂行条例 (国令第761号). (gov.cn)
• [13] 潘泉, 郭亚宁, 吕洋, 李扬, & 谈政. (2023). 无人机系统自主安全: 定义、建模与分级. 中国科学: 信息科学. (引用自 scis.scichina.com)
• [14] 余莎莎, & 陈星雨. (2024). 城市空中交通领域关键技术创新与挑战. 航空学报, 45(S1), 730657. (航空学报)
• [15] Psnet.ahrq.gov. (2022, December 14). Resilient Healthcare and the Safety-I and Safety-II Frameworks. (AHRQ PSNet)
• [16] Go, E., Jeon, H. C., Lee, J. S., & Lim, J. Y. (2024). Enhancing Urban Public Safety through UAS Integration: A Comprehensive Hazard Analysis with the STAMP/STPA Framework. Applied Sciences, 14(11), 4609. (MDPI)
• [17] Nemeth, C., & Holbrook, J. (2021). Resilience engineering's potential for advanced air mobility (aam) (NASA/TM-20210012631). (引用自 NASA NTRS)
• [18] Graydon, P. J., et al. (2020). Guidance for Designing Safety into Urban Air Mobility: Hazard Analysis Techniques (NASA/TM-20200003108). (引用自 NASA NTRS)
• [19] Poh, J., Leveson, N. G., & Neogi, N. A. (2024). A Safety-Driven Approach to Exploring and Comparing Air Traffic Management Concepts for Urban Air Mobility. ICRAT 2024. (引用自 NASA NTRS)
• [20] Los Angeles Department of Transportation (LADOT). (2021). Urban Air Mobility (UAM) Policy Framework Considerations. (引用自 LADOT，或航空产业网的分析 航空产业网)
• [21] American National Standards Institute (ANSI) UASSC. (2018, December). ANSI UASSC Standardization Roadmap for Unmanned Aircraft Systems Version 1.0. (引用自 ANSI，其中提及ASTM F3002-14a)
• [22] European Union Aviation Safety Agency (EASA). (相关SC-VTOL文件和UAM监管信息，如 无人机网报道的EASA UAM初步规则)
• [23] Skybrary. (n.d.). From Safety-I to Safety-II: A White Paper. (EUROCONTROL/Hollnagel et al.). (引用自 Skybrary)