1    先进空中交通与第三方服务提供商

美国联邦航空管理局(FAA)的先进空中交通(AAM)整合计划将 AAM 定义为“一种新兴的航空生态系统，它利用新型飞机和一系列创新技术，为更高效、更可持续、更公平的交通选择提供机会”

AAM 旨在通过引入具有不同自主程度的新型飞机来改变国家空域系统(NAS)的格局，例如电动垂直起降(eVTOL)飞行器、送货无人机和自主中程货运飞机。这些飞行器旨在更高效地在城乡地区运送人员和货物，有可能减少道路交通，并提供更快、更便捷、更可持续的出行选择。

将先进空中交通(AAM)集成到国家空域系统(NAS)中意味着要在比传统飞机更低的运行高度容纳各种新型、高度自动化且在某些情况下具备自主能力的飞机。飞机系统自主性的不断提高以及更快的运行节奏意味着在飞行计划、管理、控制和运行方面对数据、算法和网络的依赖程度更高。这种容纳需要对当前的空中交通管理系统进行重大更新，包括新的运行协议、空域重组以及能够处理在集成的国家空域系统中跟踪和指挥传统与新型空中交通类型所增加的复杂性的实时数据共享平台。

表1总结了美国联邦航空管理局(FAA)对先进空中交通(AAM)生态系统在三种不同模式下随着飞行器自主水平的演变的特点。

表1:先进空中 交通成熟度等级(来源:美国联邦航空管理局)

在此背景下，第三方服务提供商是联邦网络中的地面数字服务提供商，有望支持先进空中交通运营。“第三方”一词指的是，第三方服务提供商可以是独立于先进空中交通运营商或空中航行服务提供商(ANSP)的实体。图1展示了一个先进空中 交通综合运营生态系统的示例，包括运营商、飞机、空中交通管制(ATC)、第三方服务提供商以及飞行运营基础设施等利益相关者。

图1:先进空中交通运营生态系统示例

近期先进空中交通第三方服务提供商解决方案的一个例子是，提供高保真实时天气数据的系统，该数据可接入先进空中 交通飞机地面控制站，供飞行运营期间监测和避免天气危害使用。

长期先进空中交通第三方服务提供商系统的一个例子是地面交通避撞系统，它作为一个分散式系统，监测一个运营区域内的所有空中交通，计算碰撞风险，并在通知空中交通管制的同时直接向先进空中 交通车辆提供避撞建议。后一个例子可能需要对航空规则进行改进，并将合作空中交通管理责任部分委托给第三方服务提供商。

第三方服务提供商的优势在于，它们能够在先进空中 交通飞机生态系统中充当联邦参与者，并能迅速响应市场信号，以满足新兴飞行器和运营的需求。正如美国联邦航空管理局发布了先进空中交通演进的“爬行 - 行走 - 奔跑”模式一样，第三方服务提供商也可以随着时间的推移，在责任不断增加的层面上提供支持，这意味着预计第三方服务提供商对安全的影响可能会随着时间的推移而增加。在稳定运行状态下，第三方服务提供商可以远程为同一空域内或多个运营区域的多个运营提供功能。第三方服务提供商的这些特性可能会带来独特的安全评估挑战。

2  第三方服务提供商安全评估差距

航空业遵循由联邦航空管理局(FAA)和国际民用航空组织(ICAO)等监管机构监督的严格安全标准。现有的行业安全评估和适航合规标准及监管要求已成功为该行业确立了可接受的安全水平。以下安全标准和法规通常适用于可认证飞机或飞机系统的开发:

• 证明安全合规性: AC - 23.1309和AC - 23.1301规定了飞机安全的可接受合规方式。

  
  

• 安全推荐做法: SAE ARP4761和ARP4754提供了对飞机及其安装系统进行生命周期安全评估的推荐做法。

  
  

• 开发保证标准: RTCA DO - 178、DO - 254和DO - 278提供了确保飞机软件和电子系统安全开发必须满足的标准。

  
  

• 先进空中交通政策制定: 美国联邦航空管理局的政策工作正在通过关于动力升力安全连续体的联邦航空管理局政策声明草案PS - AIR - 21.17 - 01以及联邦航空管理局对高度自动化飞机项目的参与PS - AIR - 21.17.03，推进先进空中 交通飞行器安全连续体的定义。这些政策文件侧重于飞行器，未提供关于第三方服务提供商系统的指导。

先进空中 交通第三方服务提供商系统代表了一种支持飞行运营的分布式地面系统的新范式，在全面安全评估中没有直接先例。由于缺乏针对先进空中 交通第三方服务提供商系统的特定ARP，现有的行业认可的飞机安全评估推荐做法可用作证明第三方服务提供商系统适航性的起点。ARP4761提供了图2所示的生命周期安全评估过程。

图2:ARP4761安全评估流程

这一详细评估流程为自上而下地理解系统固有的内部安全风险奠定了坚实基础。它始于对系统的两个层面的功能安全评估:飞机功能和系统功能。然后，深入到子系统组件级故障分析，以证实这些飞机和系统层面的功能故障是如何发生的。额外的分析确定系统内存在哪些常见风险，以及哪些外部特定风险可能影响系统。在设计过程的不同阶段，这些分析与安全评估相结合，为风险管理提供迭代阶段，从而得出对系统设计的安全要求。

ARP指导对一个风险对象的安全评估:正在构建的飞机系统，它与安全评估主体——飞机/乘客直接相关。TSP系统通过与飞机的数字链接间接影响安全评估主体——飞机/乘客，并且可能同时影响多个独立主体。安全问题在于，系统之系统(SoS)已经发展到包括更多利益相关者，设计和运行安全责任的界限更难区分。

表2比较了这两类安全案例并突出了变化。ARP能够对系统及其直接安全影响进行评估，但缺乏对全面评估TSP安全案例的三个显著特征的指导:

表2:交通服务提供商(TSP)与传统飞机及飞机系统安全案例的范围、边界和组成部分对比

这些差距促使需要补充框架或标准来解决遵循ARP4761进行TSP系统安全评估的局限性。由于未解决的风险识别是运营方面的，额外的运营安全分析，此后称为运营风险评估(ORA)，可能会增加价值，以捕捉和缓解这些独特的TSP系统特征带来的潜在突发风险。如图3所示，ARP4761安全评估过程加上ORA可能会弥合TSP安全评估差距。

图3:运营风险评估涵盖了扩展的安全案例范围

3  提议的运营风险评估

ORA的目的是提供一个全面的框架，用于评估和缓解与将TSP集成到国家空域系统(NAS)相关的突发运营安全风险。其目的是通过识别和评估运营风险来解决分布式架构、跨多架飞行器集成以及混合风险类别带来的独特挑战。ORA旨在补充现有的安全评估方法，确保TSP系统的批准和运营安全达到可接受水平。

基于这些目标，SkyGrid审查了已有的安全分析方法，以确定这些现有方法中的一种或组合是否能够满足ORA的意图。如果现有方法符合意图，那么它可以被推荐为添加到TSP安全评估套件中的候选补充方法。表3总结了对可满足此运营安全分析目标的行业认可的安全分析方法的权衡研究结果。这些方法中的每一种都广受认可，并解决了安全的特定方面。

表3:候选TSP安全评估权衡研究结果总结

表3中确定的SORA框架已成为欧洲认证无人机系统(UAS)运行的领先方法，这反映出航空专家日益认识到在先进航空环境中进行稳健运行风险评估的必要性。SORA体现了许多与理想ORA相符的原则，例如其识别和减轻运行风险的结构化方法，以及强调针对特定运行定制安全评估。然而，虽然SORA有效地解决了局部和特定运行场景的问题，但它缺乏扩展性，无法涵盖涉及多架飞行器和复杂系统-of-系统环境的AAM运行的更广泛、更动态的要求。在此基础上，我们的权衡研究评估了其他安全分析方法，以确定它们在AAM生态系统中满足ORA要求的潜力。

与SORA一起，诸如STPA和SCFTA等分析方法接近实现我们的目标，但没有一种单独应用的方法能完全满足对AAM TSP系统进行全面运行安全评估的严格要求。TSP运行的多方面性质不仅涉及孤立的风险，还涉及多个系统和外部因素的相互作用，而这些方法并未充分解决这些问题。需要一种新的分析方法，将运行风险考量与现有实践相结合，以有效评估和管理TSP系统生命周期所有阶段的潜在危害的全部范围。

ORA应在更大的系统-of-系统框架内评估互连系统的运行风险，例如在AAM中发现的框架。与专注于孤立系统的传统评估不同，ORA应考虑给定系统的运行如何影响更广泛环境中的其他组件以及如何受到这些组件的影响。这种类型的分析有助于通过检查系统与上游和下游系统的交互方式以及这些交互对整体安全的影响来了解任何系统的风险概况。

在这种情况下，利益相关者之间的责任界限往往变得模糊，给确保安全和问责制带来挑战。由于互连组件跨越多个组织，从TSP到飞行器运营商和监管机构，越来越难以划定明确的控制和责任界限。ORA必须通过提供导航这些界限的结构化指导来应对这种复杂性。这可能包括为各个利益相关者定义明确的控制领域，通过联合风险评估促进协作，或开发创新框架以有效分配责任。通过为这些挑战提供解决方案，ORA确保安全考量不会因责任分散而被忽视，从而实现对AAM运行更具凝聚力和安全性的方法。

为应对传递安全关键信息的TSP系统的安全评估挑战，三种分析方法脱颖而出:系统理论过程分析(STPA)、安全关键功能线程分析(SCFTA)和特定运行风险评估(SORA)。从运行角度来看，每种方法都具有独特的优势，并且共同可以为全面的运行风险评估(ORA)框架的开发提供信息。

STPA在识别系统内部和系统之间复杂交互产生的危害方面特别有效，包括跨越组织边界的那些危害。从运行角度来看，STPA关注不安全的控制行动和因果因素，使其非常适合分析第三方服务提供商如何与飞行器系统和空域管理进行交互。例如，STPA可以识别延迟或错误的安全关键信息可能导致多架飞行器采取冲突行动的场景。通过解决技术和人为因素，STPA提供了一种全面的危害识别方法，并确保全面理解源于系统相互依赖的运行风险。

与STPA形成对比和补充的是，SCFTA专注于特定的功能线程——对安全至关重要的端到端过程。这种方法对于分析单个功能(如交通咨询或天气更新的传播)在不同条件下的表现特别有价值。从运行角度来看，SCFTA有助于确保每个功能线程即使在降级或故障状态下也能满足安全和性能要求。例如，通过分析从服务提供商的数据生成到其在驾驶舱决策中的使用点的线程，SCFTA可以查明漏洞并提出缓解措施，以确保关键信息流的可靠性和完整性。

SORA是一种基于风险的评估方法，最初是为无人机系统开发的，但越来越适用于更广泛的航空环境。它评估特定给定环境的运行风险，包括交通密度、环境条件和系统故障等外部因素带来的风险。从运行角度来看，SORA使利益相关者能够量化与第三方服务相关的风险，并根据其潜在影响对缓解措施进行优先级排序。通过强调诸如空域复杂性和所提供信息的关键性等背景因素，SORA提供了一个动态且可扩展的运行风险评估框架。

将系统理论过程分析(STPA)、系统组件故障树分析(SCFTA)和系统操作风险分析(SORA)中的元素结合起来，可以创建一个强大的操作风险评估(ORA)框架，该框架能够充分发挥每种方法的优势。STPA可以提供系统交互危害的高层次视图，SCFTA可以深入研究各个功能线程的性能，而SORA可以在操作环境中对风险进行情境化分析。综合起来，这些方法能够全面理解对安全至关重要的风险，并为制定有针对性的操作要求、缓解策略和审批流程提供依据。一个集成的ORA框架将确保对交通服务提供商(TSP)的评估不仅基于其系统的安全性，还基于这些系统在相互连接的航空生态系统中可靠运行的能力。

虽然这是开发ORA框架的一种潜在方法，但我们承认这可能并非最佳解决方案。将TSP集成到航空安全框架中的复杂性需要进行细致入微且协作性的努力，这超出了任何单一提出的方法的范畴。我们呼吁行业领导者、监管机构和利益相关者参与制定一个全面且可扩展的ORA流程，以有效解决当前的安全差距。这样一个流程应利用集体专业知识，以确保其强大、适应性强，并能够支持将TSP安全集成到全球空域中。

4  结论

先进空中 交通(AAM)生态系统的出现预示着航空领域的一个变革性时代，在这个时代，遥控和日益自主的飞行器的常规运行将成为全球常态。随着这一局面的演变，将TSP安全集成到全球空域中至关重要，特别是考虑到它们对美国境内AAM运营的影响。

讨论的核心是需要一种全面的方法来评估TSP的安全性。虽然现有的行业标准和监管实践为航空安全建立了可靠的基线，但TSP引入了需要额外审查的复杂性。TSP以及类似的分布式数字系统，由于它们在连接多个飞机系统中所起的间接但有影响力的作用，需要更广泛地考虑风险因素，包括系统配置、可扩展性以及设计和操作风险的交织。为应对这些挑战，本文主张使用操作风险评估(ORA)作为一种补充方法，以加强安全评估并填补评估差距。

像STPA、SCFTA和SORA这样现有的安全分析方法提供了有价值的见解，但并未完全满足ORA的要求。我们主张构建一个全面的流程，该流程提升这些方法的有价值方面，以补充ARP指南中概述的当前安全分析，并加强TSP系统的安全案例。

最终，本文呼吁行业领导者、监管机构和利益相关者认识到TSP不断演变的作用，并将它们融入AAM安全范式的工作列为优先事项。为TSP批准定义明确的安全标准和流程对于实现AAM的变革潜力至关重要，同时要保持航空业的最高安全标准。更重要的是，开发合适的工具来构建更安全的分布式地面和基于云的系统，以支持更多数字化和自动化操作，其影响不仅限于AAM，还可能涉及航空的所有领域。这种协作努力将确保顺利、安全地过渡到一个未来，在这个未来中，先进的航空航天基础设施成为全球交通不可或缺的、安全的一部分。

（全文终）