基于STAMP／STPA的机轮刹车系统安全性分析

郑磊，胡剑波

基于STAMP／STPA的机轮刹车系统安全性分析

郑磊，胡剑波＊

空军工程大学 装备管理与安全工程学院，西安 710051

把机轮刹车系统在飞机降落过程中的安全性问题当作系统控制问题，不采用基于故障概率模型的事故模型，而是采用基于系统理论的事故模型和过程（STAMP），构建机轮刹车系统在飞机降落过程中的STAMP控制关联模型和系统理论过程分析（STPA）反馈控制回路。根据系统运行的上下文信息识别机轮刹车系统在飞机降落过程中的不安全控制行为，分析产生不安全控制行为的关键原因。对机轮刹车系统在飞机降落过程中的不安全控制行为进行仿真研究，结果表明了STAMP／STPA的有效性和用仿真方法分析安全性问题的可行性。

机轮刹车系统；STAMP；STPA；不安全控制；仿真分析

计算机、软件等高新技术的飞速发展使得飞机呈现出信息密集、高度集成、软硬结合等特点，也为飞机的事故模型构建和安全性分析提出了新的挑战。现代飞机是一个具有多功能的复杂系统，呈现出相互关联、信息融合、人机结合、软硬件结合的发展趋势，使得影响飞机运行安全的因素增加、安全因素之间的关联性增强，同时存在着人为操作的复杂因素，使得事故模型构建和安全性分析变得更为困难。

传统的基于故障模型的事故模型，如多米诺事故模型［1］和瑞 士 奶 酪 事 故 模 型［2－5］都 没 有 从 系统思维的角度去分析事故的根源，都假设事故的产生是由线性事件链导致的，虽然也认识到人是系统产生故障的重要因素，但一般将人为因素作为独立的要素，对人在事故中作用的假设都是不健全的，很难说明产生的原因和解决问题的方法。同时认为系统的安全依赖于组成系统各部件的可靠性，如果所有的组件没有失效，那么整个系统的安全就有保证。这种基于组件可靠性的安全性分析模型忽略了子系统间的相关性和耦合性，同时也没有考虑到软硬件结合等方面的情况。虽然之后出现的功能共振事故模型［6－8］以系统思维从系统整体角度出发来识别整个系统的功能共振和影响功能共振的环境因素，考虑到了复杂系统各功能之间的相关性和耦合性，但难以发现由于系统设计缺陷所产生的事故。同时基于以上的事故模型也产生了相应安全性分析方法，如故障树分析（FTA）［9］、事故树分析（ETA）［9－11］、故障模式及影响分析（FMEA）［12－14］和危险性、操作性分析，都是基于线性思维，用系统组件的可靠性来分析系统的安全性，对于人的行为、软件出错、需求缺陷、上下文场景和非线性等问题难以进行准确的描述和分析，另外由于传统方法中描述的组件都假设相对独立，因此也不能有效地分析强耦合事故原因。尽管功能 共 振 模 型 分 析 （FRAM）［7－8，15］强 调 相 互作用和相关性的重要性，同时在对人为因素理解方面有了更好的方法，但没有被用来深入研究复杂的软件系统，还只限于性能正常变化引起的事故，对于没有性能变化、性能异常、需求缺陷和上下文影响等原因引起的事故原因不能进行很好的分析。

针对以上复杂系统安全性分析所面临的挑战，结合STAMP模型和STPA （Systems－Theoretic Process Analysis）方法，本文从控制的角度对飞机着陆阶段机轮刹车系统进行了安全性分析。根据机轮刹车系统的建模，对机轮刹车系统的不安全控制行为和潜在风险进行了详细的阐述，分析了产生这些危险的关键原因，并用仿真方法进行了安全性分析验证。

1 STAMP／STPA工作机理

Leveson［16］于2004年提出STAMP，以捕获更多类型的事故原因因素，包括社会组织结构、新型的人为差错、设计需求缺陷以及非故障组件之间不良交联。STAMP不同于以往的安全性分析方法，是基于系统理论和控制理论，认为安全性是复杂系统的涌现性［17］，并把复杂系统的安全性分析当作一个控制问题来解决。其要点是明确各种功能组件及其相互的上下层控制关系和信号关系，同时还应考虑组件可能遭遇的干扰、外部指令以及环境因素，从而明确出各个组件正常工作所需的控制要求和信息关系。STAMP将复杂系统当成具有多个层次的分层结构，同时用控制结构关系来构建模型，用以揭示上层对下层的控制要求或约束，以及向上层来反馈下层的信息。STAMP认为只有控制有效，满足约束要求，反馈信息及时、准确、有效才能保证系统的运行性能，确保系统的安全。同时，STAMP认为事故的产生是由于复杂动态过程并发运行和相互作用所创造的不安全情形所致，强调多个组件相互作用，着重考虑事件发生的时机、次序及上下文环境等因素，通过对复杂动态过程的控制进行分析来查找安全威胁，评估安全问题。结合以上要求，提出了3类基本控制缺陷作为安全性分析的指导：① 控制器发出不足或不恰当的控制行为，包括对故障或扰动的物理过程处置不当；② 控制行为的不充分执行；③ 反馈信息的不正确或丢失［18］。目前，STAMP已经成功地应用于许多领域，包括航天航空、国防、能源、化工、健康、运输系统等，特别适用于现代复杂系统和软件密集系统的安全性分析与控制。

STPA是一种建立在STAMP基础上的危险性分析方法，通过构建诸如由执行器、控制过程和传感器构成的反馈控制回路，如图1所示，分析其输入、输出信号在性能、时间或逻辑上可能的不合理情形，深入挖掘可能的不安全控制作用和场景。STPA需要执行以下两个步骤：① 识别不安全的控制行为；② 识别相关的致因因素。针对不安全的控制行为，STPA定义了4种形式：① 没有提供控制行为；② 提供了产生危险的控制行为；③提供的安全控制行为过早或过晚；④ 提供的控制行为作用时间过短或过长［19］。然后，根据控制过程回路来识别产生不安全控制的因素。

2 飞机机轮刹车系统的STAMP模型

机轮刹车系统（WBS）安装在两个主起落架上面，在飞机滑行、着陆及中断起飞（RTO）阶段可通过其对主轮的制动来达到飞机安全停止的目的。参照文献［20］给出了飞机机轮刹车系统的基本结构，如图2所示。

首先，飞机刹车是在飞行员的参与下自动或人工完成的，由飞行员设置刹车参数、选择刹车方式。飞机着陆阶段地面刹车可以通过刹车踏板脚蹬进行人工控制，也可以在没有刹车踏板脚蹬输入的情况下通过自动刹车进行控制。飞行员可以在飞机着陆之前为自动刹车预先设置好减速率。值得注意的是，只有主刹车系统工作时自动刹车才能使用，备用与应急刹车模式下都没有自动刹车。

其次，飞行员选择的刹车方式和设置的参数必须经过刹车系统控制组件（Brake System Control Unit，BSCU）进行处理，以发出刹车指令。其由两套独立的BSCU组成，各BSCU包含独立的检测通道。BSCU系统具有如下功能：① 代替人工刹车或实现自动刹车；② 控制与飞机其他系统的接口；③ 依照收到的指令和系统的状态发出刹车命令；④ 自动避免飞机主轮滑动；⑤ 传输有关BSCU的状态信息（通过显示器指示、报警灯、警告音等方式）给驾驶舱以及飞机的各种控制计算机。

进一步，刹车指令可通过BSCU自动控制器作用于BSCU液压控制器来实现自动刹车，也可通过脚蹬作用于BSCU液压控制器来实现人工刹车。BSCU液压控制器将刹车指令传输到机轮刹车液压系统，作用于机轮来实现刹车。当然，人工刹车指令可不通过BSCU液压控制器直接作用于机轮刹车液压系统。同时，与刹车系统工作相关的状态参数及反馈信息由传感器测量获得，并在仪表上显示。

可见，机轮刹车系统主要由飞行员、测量装置、仪表、BSCU、BSCU液压控制器等组成，且相互之间存在着逻辑上、时间上和功能上的控制与反馈关系。在深入分析机轮刹车系统工作原理的基础上，通过梳理各个组成的输入、输出信号和相互关系，即可得到如图3所示的飞机机轮刹车系统的STAMP模型。

3 基于STPA的机轮刹车系统安全性

基于STPA方法分析刹车系统是一个将从飞机级开始直到机轮刹车系统存在的风险充分解决的迭代过程。与其他的安全性分析方法相似，基于STPA的安全性分析方法主要也是识别系统存在的风险，与传统的方法不同，其目的不是通过分析得到相应的危险概率，而是为了通过系统风险的识别来制定减缓或排除产生系统风险的策略，为日后系统的改进提供依据。

3．1 系统级事故的确定

根据STPA方法的研究过程，首先是识别飞机着陆阶段机轮刹车系统存在的系统级事故，主要包括人员受伤或死亡、飞机受损、地面设施受损，具体如表1所示。人员受伤或死亡（A－1）包括机组人员、乘客和地面工作人员；飞机受损（A－2）包括飞机的各个子系统的受损；地面设施受损（A－3）包括机场的全部地面固定设施和移动设施。

表1 机轮刹车系统的系统级事故Table 1 System accidents of wheel brake system

3．2 系统级危险的确定

系统级的事故确定之后，就可以生成系统级的危险，参照文献［20］对系统级危险的相关论述，结合STPA分析方法，总结出系统级危险主要包括飞机冲出跑道、飞机与地面障碍物或地面设施碰撞、阻挡其他飞机起飞降落或其他地面设施正常运行，具体如表2所示。

表2 机轮刹车系统的系统级危险Table 2 System hazards of wheel brake system

飞机冲出跑道（H－1）主要包括刹车输入不及时、机轮刹车系统故障和刹车减速率过低等造成飞机沿跑道冲出跑道尽头，一般不会造成地面设施受损，但不可避免地会造成飞机部分受损（A－2）和相应的人员伤亡（A－1）。飞机与地面障碍物或地面设施碰撞（H－2）包括由于飞机失控导致的与地面建筑、地面滑行的其他飞机和其他地面行驶车辆等碰撞，伴随有人员受伤或死亡（A－1）、飞 机 部 分 受 损 （A－2）和 地 面 设 施 受 损（A－3）等事故。阻挡其他飞机起飞降落或其他地面设施正常运行（H－3），主要指飞机由于机轮刹车系统的故障导致停靠位置的不正确，进而阻挡其他飞机或地面车辆的正常运行，并有可能发生碰撞，导致人员受伤或死亡（A－1）和飞机受损（A－2）等事故的发生。

3．3 不安全的控制行为

本文旨在分析机轮刹车这一动作产生的危险行为，故将飞机在着陆阶段的方向舵控制、反推控制、减速板控制等都列为其他控制。考虑到不安全的控制行为分析的实际情况，作如下假设：

假设1 在飞机着陆地面滑行阶段，如果飞机速度小于安全滑行速度的临界值，只要飞机在指定停止区域内，认为有／无刹车的输入都不会出现冲出跑道的危险。

假设2 在飞机着陆地面滑行阶段，如果飞机速度大于安全滑行速度的临界值，即使飞机在指定停止区域内，认为就算有刹车的输入也会产生飞机冲出跑道的危险。

假设3 在飞机着陆地面滑行阶段，如果其他相关控制（方向舵控制、反推控制、减速板控制等）有不恰当的行为就会出现飞机失控的危险。

根据STPA分析方法的4种不安全控制行为，得到表3所示的刹车动作的不安全控制行为。表3通过系统理论过程为刹车行为定义了不安全控制行为，随后选取了符合过程模型的可变参数（飞机速度、刹车温度、飞机所处区域、其他控制行为）为刹车控制行为构建了上下文信息，如表4所示。表4中的V代表飞机着陆滑行时地面安全滑行速度的临界值，C代表刹车温度的安全临界值。

表4中的第1列为分析对象，第2～5列代表过程模型中的可变参数，第6～9列为控制时机。例如，第3行第9列表示飞机速度超出了安全滑行速度，同时飞机的刹车温度也超出了安全刹车温度临界值，但是此时飞机所处位置不在指定的停止区域内，还有很长的滑行距离，并且飞机有关着陆滑行的其他控制都是恰当的，因此，此时不应有刹车命令的输入，应等刹车温度下降到安全临界值以下再采取动作，所以过晚提供刹车行为是不会产生危险的；第14行第6列和第14行第8列表示飞机速度在安全滑行速度临界值以下，同时飞机的刹车温度也在安全刹车温度临界值以下，但是飞机所处位置在指定停止区域外，若此时或过早的提供刹车输入，那么飞机有发生H－3的危险。另外，表中所列的16种状态都可以通过不同的控制行为进行相互转换，所以对刹车输入的恰当控制可以避免危险的发生。

表3 刹车动作不安全控制行为Table 3 Unsafe control actions of braking

3．4 关键原因分析

在具体的上下文信息和不安全控制行为导致的危险确定之后，根据STPA分析方法的控制反馈模型，总结了刹车动作产生危险的两方面原因：① 因不恰当控制行为导致的危险；② 因错误反馈信息导致的危险。

根据以上提到产生危险的两方面原因，将刹车系统控制反馈环节分成两个部分，如图4所示。

3．4．1 不恰当控制行为导致的危险

图4中左边部分为主动控制，分析其产生不安全控制行为的关键原因如下。

① 飞行员：飞行员误认为设置了自动刹车从而放弃提供人工刹车；自动刹车系统没有正常工作，且没有警告飞行员；飞行员间误认为对方提供了刹车行为；飞行员在飞机着陆前就提供刹车行为；飞行员提供的刹车压力过大，持续时间过长；飞行员在没有达到安全速度时就停止刹车行为；突发的外部情况导致飞行员不能及时提供恰当的操作；错误的状态信息反馈，使飞行员误认为无需提供刹车或提供错误的刹车策略。

② WBS系统：BSCU检测到内部的错误并且关闭了绿压终止阀门和蓝压防滑阀门，导致人工刹车无效；WBS处在备用刹车模式时，由于机轮速度的错误反馈信息，使控制蓝压防滑阀门的脉冲跳动过强，导致人工刹车效果不明显；受外界环境因素的影响，自动刹车系统错误地认为飞机没有接触地面或已经接触地面；自动刹车系统没有发现刹车系统已转换到备用刹车模式，同时仍然提供自动刹车行为并为飞行员提供自动刹车运行良好的错误反馈信息，造成无效刹车；绿压系统出现故障或飞行员没有意识到已经人工关闭绿压系统（假设可以人工关闭），同时仍然提供自动刹车行为并为飞行员提供自动刹车运行良好的错误反馈信息，造成无效刹车；自动刹车与人工刹车产生冲突。

③其他控制系统：反推力、减速板的有效控制使自动刹车系统因速度达到安全速率而停止刹车行为，导致潜在的速度过快。

3．4．2 错误反馈信息导致的危险

图4中右边部分为反馈，分析其反馈信息不正确或不充分的关键原因如下。

①反馈信息的产生阶段：测量飞机速度的方法不恰当或存在缺陷；测量飞机刹车温度的方法不恰当或存在缺陷；刹车系统各个阀门状态信息的获取不充分或存在缺陷；飞机刹车模式信息的获取方法不恰当或存在缺陷；对相关的重要信息没有进行获取或获取方法存在冲突。

②反馈信息的传输阶段：有关飞机速度的反馈信息不正确、延时或丢失；有关飞机刹车温度的反馈信息不正确、延时或丢失；有关飞机减速率的反馈信息不正确、延时或丢失；有关飞机刹车（自动或人工）状态的反馈信息不正确、延时或丢失；冲突的反馈信息暗示危险的发生，但实际并无危险。

③ 外部因素的影响：外部（如塔台）指挥信息的不正确或丢失；环境信息的获取不充分、不正确或丢失。

4 仿真分析

本文主要针对飞机着陆滑行阶段的运动过程进行仿真，根据机轮刹车系统的刹车过程，构建了飞机着陆滑行阶段的动力学模型，将部分不恰当控制行为导致的危险抽象考虑为刹车时间的延时效应，通过刹车实际作用的时机来反映飞机着陆滑行阶段的危险状况。以某型飞机为例，假设跑道长度为2 000m，实际滑行距离容限为1 600m，飞机着陆速度为72m／s，其中用于降落时刹车的档位分为1、2、3、4和 Max，刹车前的刹车温度为70℃，刹车温度容限为1 000℃。针对表3中的部分不安全控制行为，对飞机的着陆滑行过程进行仿真。

4．1 飞机着陆滑跑模型

参照文献［21－23］构建了飞机着陆滑行阶段的机轮刹车系统仿真结构，其简化结构如图5所示。

具体数学模型如下：

1）机体模型

式中：T0为机体推力；Fx、Fx1、Fx2分别为迎风阻力、主轮摩擦力以及前轮摩擦力；M为机体质量；X为飞机滑行距离；G为机体重力；Fy为空气升力；N1、N2分别为主、前起支撑力；Y为机体重心位移；a、b分别为机体重心到主轮中心、前轮中心的水平距离；ht为发动机推力线距机体水平轴下移距离；H为重心高度初值；I为飞机转动惯量；θ为飞机俯仰角。

2）机轮模型

式中：ω为机轮角速度；J为机轮转动惯量；Tf为结合力矩；Tb为刹车力矩；Vzx为机轮线速度；Rvb为机轮动态滚动半径。

3）起落架模型

主、前起支撑力为

式中：K1、K2分别为主、前缓冲器刚度系数；c1、c2分别为主、前缓冲器阻尼系数；q为俯仰角速度。

4）刹车装置温度估算

式中：tb为当前刹车盘温度；t0为机轮周边环境温度；K为调节系数；mi、Ci分别为刹车材料的质量与比热容；F为刹车压力；υ为刹车材料摩擦力系数。

4．2 仿真结果

对飞机的16个刹车开始时刻进行仿真分析，刹车开始时刻分别为接触地面延时t＝0，1，…，15s，刹车压力设置为3档，反推、减速板等减速系统正常工作，具体结果如图6所示。其中前13个时刻的滑行距离符合假设的滑行距离容限，后3个时刻的滑行距离超出了假设的滑行距离容限，属于表3中过晚执行刹车动作导致危险的不安全控制行为，刹车温度在提供刹车动作的最初阶段有明显上升趋势，但温度保持在允许范围内，在滑行的最后阶段有所下降并保持平稳。

对飞机在接触地面延时t＝13，14，15s3个刹车开始时刻进行仿真，刹车压力设置为4档，反推、减速板等减速系统正常工作，具体结果如图7所示。虽然没有及时提供刹车行为，但由于加大了刹车的档位，飞机在接触地面13s后执行刹车动作的滑行距离符合假设的滑行距离容限，飞机在接触地面14s、15s后执行刹车动作的滑行距离超出了假设的滑行距离容限，因增大了刹车压力，刹车温度有所增加，但也保持在假设允许范围以下，同时在滑行的最后阶段有所下降并保持平稳。

对飞机在接触地面延时14s、15s两个刹车时刻进行仿真，刹车压力设置为Max档，反推、减速板等减速系统正常工作，具体结果如图8所示。由于过晚的执行刹车动作，虽然采取了最大刹车压力，但是14s、15s两个时刻进行刹车的滑行距离超出了假设的滑行距离容限，同时，14s时刻进行刹车时的刹车温度也超出了假设的温度容限。

综上，针对刹车动作没有及时提供的情况，通过对刹车压力和刹车时机的合理调整，可以有效地控制飞机从着陆滑跑开始到最后停止的滑行距离和刹车温度，但是延时提供刹车动作必须满足一定的范围。

5 结 论

1）采用基于系统理论的STAMP模型对机轮刹车系统进行了建模，并用STPA方法进行了分析，克服了传统安全性分析方法中对子系统间的相关性和耦合性及人为因素考虑不充分的不足，指出了不安全的控制行为，分析了不安全控制行为产生的原因。

2）通过仿真研究，定量化地说明在一定的范围内合理地控制行为可以有效避免事故的发生，保证系统安全，实现了基于STAMP／STPA的定量安全性仿真分析。

［1］ HAYHURST E R．Industrial accident prevention：A scientific approach［J］．Industrial ＆ Labor Relations Review，1932（1）：119－120．

［2］ HICKEY J，QI V E H．Effectiveness of accident models：System theoretic model vs．the Swiss Cheese model：A case study of a US Coast Guard aviation mishap［J］．International Journal of Risk Assessment ＆ Management，2013，17（1）：46－68．

［3］ SURYOPUTRO M R，SARI A D，KURNIA R D．Preliminary study for modeling train accident in indonesia using Swiss Cheese model［J］．Procedia Manufacturing，2015（3）：3100－3106．

［4］ PERNEGER T V．The Swiss Cheese model of safety incidents：Are there holes in the metaphor？［J］．Bmc Health Services Research，2005，5（1）：71．

［5］ REASON J．Revisiting the《Swiss Cheese》model of accidents［EB／OL］．［2016－02－16］．https：／www．researchgate．net／publication／285486777，2006．

［6］ HOLLNAGEL E，GOTEMAN ．The functional resonance accident model［C］／Proceedings of Cognitive System Engineering in Process Plant，2004：155－161．

［7］ HOLLNAGEL E．The changing nature of risk［J］．Biological Bulletin，2008，19（3）：179－194．

［8］ GAN X S．Analysis of aviation accident based on functional resonance accident model［J］．China Safety Science Journal，2013，23（7）：67－72．

［9］ YAO S．Applying system－theoretic accident model and processes（STAMP）to hazard analysis［D］．Hamilton：Mcmaster University，2012．

［10］ HONMA K，HASHIMOTO A，MITOMO N．GS－5evaluation of an aircraft accident by event tree analysis［J］．International Review of Trachoma，1959，36（1）：5－56．

［11］ ASNAR Y，GIORGINI P．Modelling risk and identifying countermeasure in organizations［C］／International Confer－ence on Critical Information Infrastructures Security．Berlin：Springer，2006：55－66．

［12］ YUAN H．Network topology model and fault analysis for electrical control systems［M］．London：Springer，2012．

［13］ HUANG G Q，MAK K L．Failure mode and effect analysis（FMEA）over the WWW［C］／Internet Applications in Product Design and Manufacturing．Berlin：Springer，2003．

［14］ MIKULAK R J，MCDERMOTT R，BEAUREGARD M．The basics of FMEA［M］．2nd ed．New York：Productivity Press，2008．

［15］ CARVALHO P V R D．The use of functional resonance analysis method（FRAM）in a mid－air collision to understand some characteristics of the air traffic management system resilience［J］．Reliability Engineering ＆ System Safety，2011，96（11）：1482－1498．

［16］ LEVESON N G．A new accident model for engineering safer systems［J］．Safety Science，2004，42（4）：237－270．

［17］ LEVESON N G．Engineering a safer world：Systems thinking applied to safety［M］． Massachusetts： MIT Press，2012．

［18］ LIU J．Safety analysis on control system for water level of steam generator in nuclear power plant based on STAMP model［J］．Journal of Safety Science and Technology，2014，10（5）：78－83．

［19］ FLEMING C H，LEVESON N G．Improving hazard analysis and certification of integrated modular avionics［J］．Journal of Aerospace Information Systems，2014，11（6）：397－411．

［20］ 修忠信．民用飞机系统安全性设计与评估技术概论［M］．上海：上海交通大学出版社，2013．XIU Z X．System safety design ＆assessment in civil aircraft［M］．Shanghai：Shanghai Jiao Tong University Press，2013（in Chinese）．

［21］ 陈洁．飞机防滑刹车系统控制器的设计及仿真研究［D］．长沙：中南大学，2014．CHEN J．Design and simulation of aircraft anti－skid brake system controller［D］．Changsha：Central South University，2014（in Chinese）．

［22］ 刘文胜．航空机轮的刹车瞬态热场模拟［J］．粉末冶金材料科学与工程，2015，20（2）：168－174．LIU W S．Transient thermal field simulation of aircraftwheel［J］．Materials Science and Engineering of Powder Metallurgy，2015，20（2）：168－174（in Chinese）．

［23］ 张明，聂宏．飞机地面转弯和刹车响应动力学分析［J］．航空学报，2008，29（3）：616－621．ZHANG M，NIE H．Dynamicsanalysis of aircraft ground steering and braking responses［J］．Acta Aeronautica et Astronautica Sinica，2008，29（3）：616－621（in Chinese）．

Safety analysis of wheel brake system based on STAMP／STPA

ZHENG Lei，HU Jianbo＊
College of Material Management and Safety Engineering，Air Force Engineering University，Xi’an 710051，China

The safety analysis of wheel brake system in the aircraft landing process is regarded as a system control problem in this paper．Instead of the accident model based on failure probability，we use the systems－theoretic accident model and process（STAMP）accident model based on systems thinking to construct the STAMP control interaction model and the systems－theoretic process analysis（STPA）feedback control loop of wheel brake system．Furthermore，the unsafe control actions in the aircraft landing process are identified by the context of running system，and the causes of unsafe control actions are analyzed．Finally，the unsafe control actions of wheel brake system in the aircraft landing process are studied by simulation．It is shown that the STAMP／STPA method is effective and the simulation method is feasible with respect to safety analysis．

wheel brake system；STAMP；STPA；unsafe control；simulation analysis

2016－02－16；Revised：2016－05－16；Accepted：2016－06－03；Published online：2016－06－06 16：16

V37

A

1000－6893（2017）01－320144－11

http：／hkxb．buaa．edu．cn hkxb＠buaa．edu．cn

10．7527／S1000－6893．2016．0178

2016－02－16；退修日期：2016－05－16；录用时间：2016－06－03；网络出版日期：2016－06－06 16：16

www．cnki．net／kcms／detail／11．1929．V．20160606．1616．008．html

＊通讯作者 ．E－mail：jian＿bo＿h＠163．com

郑磊，胡剑波．基于STAMP／STPA的机轮刹车系统安全性分析［J］．航空学报，2017，38（1）：320144．ZHENG L，HU J B．Safety analysis of wheel brake system based on STAMP／STPA［J］．Acta Aeronautica et Astronautica Sinica，2017，38（1）：320144．

（责任编辑：李明敏）

URL：www．cnki．net／kcms／detail／11．1929．V．20160606．1616．008．html

＊Corresponding author．E－mail：jian＿bo＿h＠163．com