胡剑波,李俊,郑磊
(空军工程大学 装备管理与无人机工程学院,西安 710051)
航空四站气体保障过程的STAMP建模与STPA安全性分析
胡剑波,李俊,郑磊
(空军工程大学 装备管理与无人机工程学院,西安 710051)
航空四站气体保障装备的可靠性在不断提高,而气体保障过程中的事故仍有发生,需要一种新的方法系统地去识别新的危险因素,从而提高系统的安全性。从控制的角度结合STAMP和STPA对航空四站气体保障过程进行安全性分析。首先,介绍STAMP/STPA的工作机理;然后,对航空四站气体保障过程构建STAMP模型,采用STPA安全分析方法对航空四站气体保障过程的安全性进行分析,识别不安全控制行为,对生成的不安全控制行为进行场景分析;最后,与事故树分析法(ATA)进行分析结果的比较,从而证实了该方法的优越性。结果表明:采用STAMP模型和STPA安全分析法可以更加全面地识别出不安全控制行为及其原因,更有利于保证航空四站气体保障过程的安全。
安全性;安全分析方法;STAMP;STPA;航空四站气体保障过程
航空四站保障[1-2]是空军航空兵部队战斗力生成的关键环节,是空军飞机能够及时飞行执行任务的基础。航空四站保障包含热工、电力电子、机械、化学、控制等多学科,是一个多领域交叉的复杂系统工程,并且其保障任务繁重,完成质量要求高,保障的质量直接影响着飞行安全。随着系统的复杂性和耦合性不断增强,尤其是计算机、人工智能等新技术的大范围使用,使现在事故致因不仅有组件失效、操作违规,并且出现了一些传统方法无法识别的原因。因此,需要构建新的方法系统去识别新的危险因素,从而提高系统的安全性。
传统的事故模型有多米诺模型[3]和瑞士奶酪模型[4],这两个模型假设事故存在单一或根本原因,基于该假设,传统的预防事故的最常用的技术为断开事件链,而该假设是不符合实际的。传统的安全性分析方法(例如事故树分析法(ATA)[5]、故障树分析法(FTA)[6-7]、失效模式与影响分析法(FMEA)[8-9])认为事故是由组件失效引起的一连串的失效,并且认为选择高可靠性的器件就能减少事故的发生。虽然传统的安全分析方法在分析简单系统时取得了很好的效果,但对复杂系统[10]显得力不从心。传统的安全性分析方法在分析复杂系统故障时需要投入大量的人力物力,但却依然无法避免因为组件交互、系统本身设计缺陷、人机交互等引起的事故发生[11]。因此,无论从经济性还是安全性的需求出发,基于可靠性的分析方法都是不可取的。
针对传统的安全分析方法面临的难题,N.G.Leveson等提出了新事故模型(Systems-Theoretic Accident Modeling and Processe’s,简称STAMP)[12-13],并把STAMP模型成功地应用在航空[12]、交通运输[14]和组织管理[15]等安全问题上。国内也已经开始对STAMP进行研究,郑磊等[16]成功用STAMP对机轮刹车系统建模,用STPA(Systems-Theoretic Process Analysis)方法分析了不安全的控制行为以及导致不安全控制行为的原因,仿真说明了人为因素对刹车系统安全的影响;王起全等[17]根据STAMP原理针对地铁突发事件引起人群恐慌而导致拥挤踩踏事故设计了应急联动系统,对地铁人群密度进行监控,以便在事故发生之前对人群进行应急疏散,从而降低了事故发生的可能性;李娟等[18]用STAMP/STPA对舰载软件设计的安全性进行了分析,对开发满足系统安全需求的舰载作战系统软件具有积极的指导意义。
目前,对航空四站气体保障过程的安全性分析的研究较少。本文从控制的角度结合STAMP和STPA对航空四站气体保障过程进行安全性分析。首先根据航空四站气体保障过程建立STAMP模型,然后采用STPA方法对飞机气体保障过程中不安全的控制行为以及可能导致的危险进行阐述,最后对产生不安全控制行为的场景进行进一步分析,以期为提高航空四站气体保障过程的安全性提供新的方法和思路。
STAMP的三个基本概念是安全约束、分层安全控制结构和过程模型。STAMP认为安全性是系统的涌现性,把复杂系统用层次模型表示,构建分层安全控制结构,高层次对低层次的控制行为施加安全约束,低层次执行完毕后给高层次提供反馈,高层次根据反馈进行调整,循环进行。每个层次都对应着一个或多个过程模型,层次之间约束的有效执行和反馈的及时准确实现了系统安全的动态平衡。STAMP把安全性看作是一个控制问题,认为事故是在组件失效、外部干扰以及组件的异常交互没有得到合理的控制时可能发生。
STPA[19]方法是一种建立在STAMP事故模型基础上的危险性分析方法,包含STAMP识别出的、传统的技术无法处理的新的致因因素,它可以识别涵盖整个事故的事故场景,例如软件设计错误(包括软件缺陷)、组件交互事故、人为因素、组织因素以及环境因素。
STPA方法对事故、危险、不安全控制行为(UCA)和UCA的场景分别进行了定义:
(1) 事故是指导致损失的意外的、不期望的事件,损失包括人员生命损失或者受伤、财产损毁、环境污染以及任务失效等;
(2) 危险是指潜在的与某一特定环境条件相结合,可能导致事故(损失)的某一系统状态或者情形的集合;
(3) STPA方法定义了四种不安全控制行为:①没有提供需要的安全控制行为;②提供的不安全控制行为;③安全控制行为太迟、太早或失序;④提供的安全控制行为过早结束或作用的时间太长;
(4) UCA的场景是指导致每一个不安全控制行为发生的潜在的不安全情况和原因的集合。
STPA方法主要有两个步骤:
(1) 识别不安全控制行为(UCA);
(2) 产生UCA的场景分析。
在具体分析时,需要建立合理的控制/反馈回路(如图1所示)。
事故致因主要分为三类:控制器、执行器、控制过程以及传感器本身的设计不合理或者失效;信息的传递过程中出现了丢失、延迟、被错误的理解等问题;不合理的外界干扰。当出现危险征兆时能否及时准确地发出合理的控制指令是预防事故发生的关键。
航空四站气体保障主要分为生产、存储、运输和充气四个部分。气体保障主要包括氧气和氮气,结合部队实际,通过调查发现常见的事故主要出现在充氧部分。因此,本文主要对充氧过程的安全性进行分析。
航空四站气体保障过程是充气员和机务人员配合进行气体保障,根据指挥层任务指示、工作安排以及保障现场实际及时将所需气体运输到指定地点进行气体保障,在充气时要严格按充气规定进行操作,根据机组维护保障流程在合适的时机充气,充气员控制进气阀,机务人员负责把接头连接上飞机,固定后进行充气,根据座舱仪表变化告知充气员调整充气速度,机务人员需有一定的提前量打手势提示充气完毕,充气完毕后需要先关闭进气阀,而后才能拔出接头,防止发生人员意外受伤。
根据上述逻辑关系搭建航空四站气体保障过程的STAMP模型,如图2所示。
从图2可以看出:指挥层同时控制着两个STPA回路,一个是由充气员、进气阀、氧气车以及仪表(包括气压表、温度表)、压力报警信号灯组成的,另一个是由机务人员、接头、飞机以及氧气气压表、氧气压力报警信号灯组成的,两个回路之间相互沟通。只有当两个STPA回路运行正常、沟通正常、反馈及时以及指挥层对两个STPA回路的指挥准确无误的情况下,整个气体保障过程才能确保安全。
3.1 系统级事故的确定
STPA安全性分析方法的第一步是确定系统可能发生的事故和不可接受的损失。航空四站气体保障过程可能造成的事故和损失(包括人员受伤或死亡、影响飞行安全、火灾或爆炸)如表1所示。
表1 航空四站气体保障过程的系统级事故
人员受伤或死亡(A-1)主要包括司机、充气员、机务人员等其他人员吸入氧气中毒、冻伤以及设备运行超过限制引起爆炸从而导致人员受伤或死亡。飞行员受伤或飞机坠毁(A-2)是指飞行员无法在高空中正常吸氧,容易导致飞行员受伤,甚至引起飞机坠毁。火灾或爆炸(A-3)主要是指氧气在遇到电火花、明火或者设备运行超过限制等情况时发生的严重事故。
3.2 系统级危险的确定
系统级危险是可能导致系统级事故发生的子集,系统级的危险可能会导致多个系统级事故的发生。航空四站气体保障过程的系统级危险如表2所示。
表2 航空四站气体保障过程的系统级危险
氧气外泄(H-1)是指氧气外泄到空气中,空气中氧气浓度高于40%也会发生氧中毒,同时液氧属于低温高压物质,工作人员容易被冻伤,氧气可以与可燃物形成火灾或爆炸。输气管道压力过低(H-2)会引起氧气残余在输气管道中,如果残余的氧气没有及时处理,遇到电火花等其他易燃物会导致火灾或爆炸、地面人员受伤或死亡等意外情况。输气管道压力过高(H-3)是指输气管道中氧气压力过高导致充气接头以及管道运行超过限值,极易造成人员伤害或死亡、火灾或爆炸等意外的发生。飞机氧气压力过低(H-4)容易影响飞行员在高空中吸氧,可能会引起飞行员受伤甚至飞机坠毁。飞机氧气压力过高(H-5)主要分为两种情况:一是在地面飞机氧气压力过高的情况下持续充气,会引起飞机氧气存储装置超限,从而导致火灾或爆炸、地面人员受伤或死亡事故的发生;二是在飞机氧气压力过高的情况下继续执行飞行任务,在高空需要供氧时氧气压力过高,会导致飞行员受伤,严重时会直接使飞行员无法正常操控飞机,从而导致飞机坠毁。
3.3 识别不安全控制行为(UCA)
根据建立的航空四站气体保障过程的STAMP模型,结合保障的流程,识别潜在的危险控制。执行层最主要的控制是打开进气阀、关闭进气阀和连接接头、拔出接头。
根据STPA方法定义的四种不安全控制行为,可以列出执行层潜在的不安全控制行为,如表3所示。
表3 潜在的不安全控制行为
3.4 产生UCA的场景分析
确定好不安全的控制行为以及该行为导致的危险后,根据STPA分析方法的控制/反馈模型,得到控制行为导致危险的主要原因有两个方面:①不正确、不及时等不恰当的控制行为导致的危险;②不及时不完整等不合理的信息反馈导致的危险。
根据上述导致危险的主要原因,将航空气体保障过程的STAMP模型分成两个部分,即控制和反馈,如图3所示。
3.4.1 不正确、不及时等不恰当的控制行为导致的危险
图3控制/反馈回路中的上半部分1和3是主动控制部分,分析导致不正确不及时等不恰当的控制行为的关键原因如下:
(1) 充气员
①充气员没有通过岗前培训,无证上岗,导致了危险。
②充气员业务能力很强,但是由于当天身体状态不佳,导致了不合理的操作。
③充气员由于长时间休假,刚回单位就匆忙上岗,导致错误的控制行为。
④充气员在打开进气阀和连接接头时没有按照规定次序打开。
⑤充气员在飞机没有完成液压检测就进行充气。
⑥充气员没有和机务人员做好交流,同时也没有进行复查,在不知道接头没有固定好的情况下,打开充气阀门。
⑦充气员在进行充氧的时,打开进气阀的速度过快。
⑧充气员在没有机务人员在场的时候,在对飞机状态不了解的情况下,擅自充气。
⑨充气员错误的理解了机务人员的意思,从而导致了错误的控制行为。
⑩充气员在受到多重工作指示,导致工作思维混淆,造成错误控制行为。
(2) 进气阀
①进气阀设计不合理。
②进气阀没有设置安全操作提示。
③进气阀没有做好定期检查。
(3) 机务人员
①充氧达到飞机需求时,机务人员没有向充气员打手势,导致充气员没有能够及时关闭充气阀门。
②飞机没有完成液压系统检测时,机务人员没有告知充气员。
③充氧前应当把接头与飞机的连接固定好,在没有固定好接口时就通知充气员可以充氧,从而导致危险。
④在充氧过程中发现充气接口没有固定好,违规操作,从而导致危险。
⑤在没有达到充气需求量时,就打手势提示充气员关闭充气阀,从而对飞行安全造成影响。
⑥机务人员给充气员提供了错误的氧气需求量,导致充气员错误的控制行为。
(4) 接头
①接头和输气管道的连接松动。
②接头的质量不合格。
③接头上有油脂。
④接头的设计不合理。
(5) 外界干扰
①指挥层对充气工作的安排不合理。
②在工作过程指挥层或在场的其他人员的临时干扰,对控制指令的下达有着较大影响。
③工作区域有人违规用火。
3.4.2 不及时不完整等不合理的信息反馈导致的危险
图3控制/反馈回路中的下半部分2和4是反馈部分,分析导致不及时不完整等不合理的信息反馈的关键原因如下:
(1) 反馈信息的产生
①氧气车的压力报警信号灯参数设计太高。
②氧气车的测量氧气压力的仪表设计不合理,不能得到及时准确的数据。
③氧气车的测量氧气温度的仪表设计不合理,不能得到及时准确的数据。
④氧气车的测量氧气输出量的仪表设计不合理,不能给出正确的气体输出数据。
⑤氧气车的车载软件设计不合理,不能及时地把氧气的实时状态显示出来。
⑥飞机气压仪表测量气体压力的方法设计不合理。
⑦飞机气体压力报警器设计不合理,当气体超过飞行限定的值时,没有能够及时报警。
(2) 反馈信息的传输
①氧气车测量氧气输出量的数据在传输的过程中有丢失或者延迟。
②氧气车测量氧气压力的数据在传输的过程中有丢失或者延迟。
③飞机测量氧气压力数据在传输的过程中有丢失或者延迟。
④机务人员对氧气是否达到需求量的反馈不准确、延迟或者丢失。
⑤机务人员对充气接头是否连接好的信息反馈不及时、延迟或者丢失。
(3) 外界因素的影响
①由于外场雾比较浓,导致机务人员看飞机氧气气压表时产生误判,过早或过晚通知充气员关闭充气阀门,从而对飞行安全造成影响。
②外场的噪音太大,影响充气员和机务人员之间的沟通。
采用事故树分析法(ATA)对航空四站气体保障过程安全性进行分析,得到导致火灾或爆炸事故的原因[20]共19种,包含压力管道不合格、压力管道未检验、压力表不合格、氧气瓶不合格、作业人员违章操作、阀门沾油脂等。
综上所述,采用基于可靠性的事故树分析法(ATA)考虑了组件故障、人员违章、人员业务能力以及安全检查不到位等对安全的影响,没有考虑软件的设计,人机之间的交互、组件之间的交互,外界的干扰以及工作制度的合理性,更没有考虑员工的身体状况。采用STPA得到的不安全行为的场景分析结果更全面,更有利于保证航空四站气体保障过程的安全。
(1) 采用STAMP理论对航空气体保障过程进行建模,并用STPA进行分析,识别了气体保障过程中人工控制器的不安全控制行为,识别了人员之间的沟通缺陷、软件设计等事故致因,并对其产生原因进行了全面分析,对提高航空气体保障过程的安全性具有重要意义。
(2) 采用STAMP模型和STPA安全分析法可以更加全面地识别出不安全控制行为及其原因,更有利于保证航空四站气体保障过程的安全。
(3) ATA注重组件故障,难以全面对复杂系统进行分析,STPA注重识别不安全控制行为以及不安全控制行为产生的原因,能够扩大致因结果同时弥补ATA的不足。但STPA缺乏定量的方法以及复杂系统的控制结构难以刻画,是影响其发展的重要因素,有待于进一步研究。
[1] 范红军, 杨中书, 陈友龙, 等. 航空四站综合保障能力的灰色评估[J]. 数据采集与处理, 2010, 25(增刊1): 207-210.
Fan Hongjun, Yang Zhongshu, Chen Youlong, et al. Capacity evaluation of aviation four-station integrate providing with grey method[J]. Journal of Data Acquisition amp; Processing, 2010, 25(S1): 207-210.(in Chinese)
[2] 王亚东, 魏晓斌, 李德权. 基于SE-DEA和Malmquist模型的四站保障安全评价[J]. 海军航空工程学院学报, 2016, 31(5): 547-553, 594.
Wang Yadong, Wei Xiaobin, Li Dequan. Assessment on security efficiency of aviation four stations guarantee based on SE-DEA and Malmquist model[J]. Journal of Naval Aeronautical and Astronautical University, 2016, 31(5): 547-553, 594.(in Chinese)
[3] Jehring J. Industrial accident prevention: a scientific approach by H.W.Heinrich[J]. Industrial amp; Labor Relations Review, 1959, 4(4): 609-609.
[4] Ahmad M, Pontiggia M. Modified swiss cheese model to analyse the accidents[J]. Chemical Engineering Transactions, 2015, 43: 1237-1242.
[5] 李琳, 赵剑. 事故树分析法在城镇燃气系统安全监控中的应用[J]. 辽宁化工, 2017, 46(2): 173-176.
Li Lin, Zhao Jian. Application of fault tree analysis method in city safety monitoring system[J]. Liaoning Chemical Industry, 2017, 46(2): 173-176.(in Chinese)
[6] Peter Neumann. Safeware: system safety and computers[J]. Acm Sigsoft Software Engineering Notes, 1995, 20(5): 90-91.
[7] 胡剑波, 郑磊. 综合火/飞/推控制系统复杂任务的STAMP建模和STPA分析[J]. 航空工程进展, 2016, 7(3): 309-315.
Hu Jianbo, Zheng Lei. STAMP modeling and STPA analysis for complex tasks of integrated fire, flying and propulsion control systems[J]. Advances in Aeronautical Science and Engineering, 2016, 7(3): 309-315.(in Chinese)
[8] Fullwood R R. Probabilistic safety assessment in the chemical and nuclear industries[M]. Boston: Butterworth-Heinemann, 2000: 97-122.
[9] 郭鹏. 基于Petri网的飞机复杂系统可靠性分析方法研究[J]. 航空工程进展, 2016, 7(2): 174-180.
Guo Peng. Research on the reliability analysis method of the complex aircraft system based on the Petri net[J]. Advances in Aeronautical Science and Engineering, 2016, 7(2): 174-180.(in Chinese)
[10] Jianbo Hu, Lei Zheng. Functional control structure model for the complex systems and its application in system safety analysis[J]. Journal of Measurement in Engineering, 2016, 4(2): 70-81.
[11] Nancy G Leveson. Engineering a safer world: systems th-inking applied to safety[D]. Cambridge: MIT, 2012.
[12] Leveson N G. A systems-theoretic approach to safety in software-intensive systems[J]. IEEE Trans. on Dependable and Secure Computing, 2004, 1(1): 66-68.
[13] Leveson N G. A new accident model for engineering safer systems[J]. Safety Science, 2004, 42(4): 237-270.
[14] Fleming C H, Leveson N G. Early concept development and safety analysis of future transportation systems[J]. IEEE Transactions on Intelligent Transportation Systems, 2016, PP(99): 1-12.
[15] Salmon P M, Read G J, Stevens N J. Who is in control of road safety? A STAMP control structure analysis of the road transport system in Queensland, Australia[J]. Accident Analysis amp; Prevention, 2016, 96: 140-151.
[16] 郑磊, 胡剑波. 基于STAMP/STPA的机轮刹车系统安全性分析[J]. 航空学报, 2017, 38(1): 241-251.
Zheng Lei, Hu Jianbo. Safety analysis of wheel brake system based on STAMP/STPA[J]. Acta Aeronautica et Astronautica Sinica, 2017, 38(1): 241-251.(in Chinese)
[17] 王起全, 吴嘉鑫. 基于STAMP模型的地铁拥挤踩踏应急联动系统设计[J]. 中国安全科学学报, 2016, 26(12): 158-162.
Wang Qiquan, Wu Jiaxin. Designing a linkage system for response to subway stampede accidents based on STAMP model[J]. China Safety Science Journal, 2016, 26(12): 158-162.(in Chinese)
[18] 李娟, 汪厚祥, 林海涛. 基于STAMP的舰载作战系统软件安全研究[J]. 舰船科学技术, 2010, 32(9): 63-66,75.
Li Juan, Wang Houxiang, Lin Haitao. Study on STAMP-based software safety for ship combat system[J]. Ship Science and Technology, 2010, 32(9): 63-66,75.(in Chinese)
[19] Nancy G Leveson. An STPA primer[EB/OL].(2013-08-01)[2017-07-20].http∥sunnyday.mit.edu/STPA-Primer-v0.pdf.
[20] 袁淑芳. 氧气瓶安全风险事故树分析[J]. 长春工业大学学报: 自然科学版, 2009, 30(1): 94-99.
Yuan Shufang. Analysis of accidence tree for oxygen cylinder safety risk[J]. Journal of Changchun University of Technology: Natural Science Edition, 2009, 30(1): 94-99.(in Chinese)
胡剑波(1965-),男,博士,教授。主要研究方向 :先进控制理论与应用、安全性工程、信息系统工程。李俊(1991-),男,硕士研究生。主要研究方向:安全性工程、飞行器适航性管理与验证。郑磊(1987-),男,博士研究生。主要研究方向:安全性工程、飞行器适航性管理与验证。
(编辑:赵毓梅)
STAMPModelingandSTPASafetyAnalysisofAviationFourStationsGasSupportProcess
Hu Jianbo, Li Jun, Zheng Lei
(College of Material Management and UAV Engineering, Air Force Engineering University, Xi’an 710051, China)
The reliability of aviation four stations gas support equipment is increasing, but the accident in the gas support process still happens. A new method is needed to systematically identify the new risk factors and improve the safety of the system. From the control point of view combined with STAMP(systems theoretic accident modeling and process) and STPA(systems-theoretic process analysis), aviation four stations gas support process safety is analyzed. Firstly, the working mechanism of STAMP/STPA is introduced. Then, the STAMP model is constructed on aviation four stations gas support process. The safety of aviation four stations gas support process is analyzed by STPA safety analysis method. The unsafe control behavior is identified, and the analysis results are compared with that from the accident tree analysis method(ATA). Thus the superiority of the method are confirmed. The results show that the STAMP model and STPA safety analysis method can be used to identify the unsafe control behavior and its cause, and it is more beneficial to ensure the safety of aviation four stations gas support process.
safety; safety analysis method; STAMP; STPA; aviation four stations gas support process
2017-07-21;
2017-09-11
国家社会科学基金(17BGL270)国家重点基础研究发展计划(2014CB744900)
李俊,lijun_jiaxing@163.com
1674-8190(2017)04-408-08
X949
A
10.16615/j.cnki.1674-8190.2017.04.007