基于STAMP模型的航空地面保障安全性分析

2017-12-01 07:21胡宗顺黄之杰王余奎张永亮
军事交通学院学报 2017年11期
关键词:约束组件危险

胡宗顺,黄之杰,王余奎,张永亮

(1.空军勤务学院 学员一大队,江苏 徐州 221000; 2.空军勤务学院 航空四站系,江苏 徐州 221000)

● 军事运输MilitaryTransportation

基于STAMP模型的航空地面保障安全性分析

胡宗顺1,黄之杰2,王余奎2,张永亮2

(1.空军勤务学院 学员一大队,江苏 徐州 221000; 2.空军勤务学院 航空四站系,江苏 徐州 221000)

航空地面保障是复杂的非线性系统,是保障航空地面安全的关键。在介绍STAMP的基本理论和模型构建过程基础上,结合航空地面保障实际,构架航空地面保障安全分析模型,将安全问题转化为系统的控制问题,以及时发现潜在危险。选取某型制氧制氮设备停机控制系统进行实例分析,从安全约束缺失出发,确立系统层次控制结构并进行失效原因分析,对事故原因进行总结并与已有方法进行比较,最后提出安全防控措施。结果表明,STAMP模型与航空地面保障契合度高,科学性和可信度好,为航空地面保障安全分析提供了新的思路。

航空地面保障;安全性分析;STAMP模型

黄之杰(1978—),男,博士,副教授,硕士研究生导师.

航空地面保障综合了热工、电力电子、机械、化学等多领域学科,是一个复杂的系统工程[1]。目前,机场航空地面保障面临较大的安全压力,主要体现在接触高危介质较多、工作用电电压电流较大、高速运转设备较多、外场车辆移动频繁和气电产品质量要求高等。越来越多的事例表明,有必要运用理论方法对航空地面保障进行安全性分析,为系统性能改进和安全性研究提供依据。

安全性分析主要有定性和定量两种方式,多以人为主观判断的定性分析为主。事故分析较多采用LEC、FMEA、FTA、PHA法等,通过建立层次结构来梳理致因因素的逻辑关系,并分析事故发生可能性以及可能导致的后果等,取得了较好的结果,但线性特性明显,系统要素间的不当交互作用分析受限[2-6]。随着技术的革新,事故的本质也发生着变化,部分针对机电系统的预防事故发生方法无法适用于数字软件引发的事故,复杂系统的运行使得专家对系统潜在危险性分析时易出现考虑不全的情况。这些变化暴露出传统安全分析方法的局限性[7]。

复杂系统安全性是特定环境下由系统相关要素交互作用所产生的一种涌现特性。航空地面保障事故的原因是装(设)备因素、人为因素、环境因素、制度与管理因素间复杂,相互作用控制不当的结果。而要保证其安全就要分析航空地面保障的危险状态,并建立相应的系统安全约束。因此,在对航空地面保障进行安全性分析时,除了考虑装(设)备的故障,还应考虑与人员、环境、管理间的复杂动态作用。

STAMP(systems theoretic accident modeling and process)模型从非线性系统论的角度出发,把安全看作一个控制问题,认为事故是由于不充分的控制和安全相关约束的缺失所造成的[8]。该模型是Nancy G. Leveson于2004年提出,并成功应用于航空航天、医疗卫生、交通运输、核安全等领域,取得了显著成果。

1 STAMP模型

1.1STAMP基本理论

基于系统涌现性的STAMP模型认为安全性是系统组件间相互作用的结果。给组件的行为及组件间的交互施加约束,使安全成为控制性问题,其控制目标就是确保满足安全约束。事故的发生是系统开发、设计和运行过程中没有充分控制或施加安全约束的结果。基于上述原理,构建的STAMP模型包括安全约束、分层结构和过程模型[9]。

安全约束是STAMP中的基本概念,安全约束没有得到充分的控制或实施,事故就会发生。模型中利用控制结构对各组分的功能进行定义,过程模型包括控制器和被控过程。这种分层的结构将系统分为不同层次的控制过程,即控制器通过控制过程来向下一级施加约束,同时被控对象通过反馈向控制器反映安全约束相关执行情况。当控制器过程模型与被控系统不匹配且控制器发出命令不安全时,事故可能发生。过程控制结构模型如图1所示。

图1 过程控制结构模型

STAMP模型认为基本控制缺陷有2类:①控制器不能确保安全约束,包括提供的控制行动错误或不足、被控过程反馈信息丢失或不充分;②提供的正确控制行动并没有执行[10]。

1.2STAMP分析方法

STAMP作为一种基于系统理论事故模型的危险分析方法,已经应用到涉及多种领域的系统分析,并取得了有价值的分析成果。它能够从系统分层控制的角度出发由上而下进行分析,且能充分考虑各组件间交互作用对系统安全的影响,利用引导作用的不恰当或控制缺陷来辅助分析[11-12],分析过程如下。

(1)针对系统危险,定义安全约束。利用初步危险分析技术,对系统的危险状态进行定义,辨识出造成环境破坏、人员伤亡、设备财产损失等安全事故和危险事件,并对危险状态进行说明,建立相应的系统安全约束。

在保障过程中,指挥系统、操作控制系统和保障人员共同负责保障工作,以消除和控制保障过程中的危险,其保障控制如图2所示。保障人员包括指挥员、操作员和驾驶员,指挥员下达保障任务并进行业务协调,操作员通过装备操作制取所需保障介质,驾驶员运载车辆装备到达指定地点。操作控制系统主要负责生产工作,是保障安全进行的核心,主要有蓄电池充放电、检测,所需气体的制取、重装、运输等。控制系统对控制过程的影响是多方面的,环境、制度的制约,行车规范及人员状态等共同决定了保障安全。在辨识出不恰当控制行为基础上对安全约束细化,才能有效预防危险的发生。

图2 航空地面保障控制示意

(2)定义安全控制结构。组件、子系统或过程间的交互影响构成了系统安全控制结构。安全控制结构与系统的设计说明相一致,是进一步辨识导致系统危险原因(不恰当控制)的分析基础。分析系统安全相关需求与安全性约束后,利用系统控制结构分析控制系统进入风险状态的原因。系统的分层控制结构还包括过程模型、控制算法等。

(3)辨识潜在不恰当控制。辨识出导致系统危险的不恰当控制,并根据不恰当控制行为制订细化的安全约束。不恰当控制行为分为以下4类:①未提供或未遵守安全所要求的控制;②提供的控制不安全而导致危险;③提供的安全控制太晚、过早或无序;④控制结束太快或持续时间过长。安全分析是在事故发生前找出潜在危险原因或在事故发生后找出危险致因因素,因此需要根据辨识出的系统不恰当控制来形成具体的安全约束,以保证系统的安全[13]。

(4)分析导致不恰当控制的原因。一是输入的不安全。在分层控制结构中,下级控制器受上级控制器控制。高层次所提供的控制信息发生丢失或产生错误,都可能引起危险状态的发生。二是控制算法的不安全。控制器通过算法的控制、当前状态及过程转变产生装(设)备的执行指令。控制算法不能确保安全约束、算法设计错误、受控状态转变等都会使算法处于不安全状态。三是过程模型不合理或不一致。有效的控制是在过程状态模型的基础上,与内部状态和外部反馈信息处于动态平衡。当控制器的过程模型与实际过程不一致时,可能导致组件间的交互事故[14]。

2 基于某型制氧制氮设备安全性分析

某型制氧制氮设备是航空地面制取氧气的主要装备之一,设备的运行系统包括冷却系统、压缩机、制冷剂、液氧泵、启动箱、空分器等组件,限于篇幅,文中只对氧气制取压力达到阀值进行停机操作为例进行安全性分析。

2.1系统安全风险

通过危险分析,标示出系统潜在造成人员伤亡、装(设)备损坏的危险事件,对导致系统发生危险事件及危险状态进行说明。对于该型制氧制氮设备停机操作,系统存在风险是氧气瓶压力超过额定值而没有采取停机操作,或停机操作发生延迟。

2.2定义安全控制结构

为操作平台控制构造安全控制结构。通过安全控制结构对各组件间的联系及职责进行说明。根据1.2(2)节控制结构说明进行构造,结构复杂程度由刻画细节多少决定。各组件在层次结构中分担不同职责功能,通过相互作用共同决定系统的安全。根据设计需求,该型制氧制氮设备停机操作安全控制结构如图3所示,包括控制平台、执行器、停车系统、传感器和氧气瓶等组件。

图3 某型制氧制氮设备停机操作安全控制结构

2.3潜在不恰当控制

根据4类不恰当控制行为进行辨析,结果见表1。

表1 潜在不恰当控制

2.4风险分析

危险事故的发生可归结于控制的缺陷,但反过来并不成立,需依据具体情况进行分析。文中从状态转换过程进行分析,采用主观分析法找出异常控制发生的原因。停车指令失效分析见表2,表中列举原因基于各组件的交互作用;“不确定”失效原因需进一步构建控制结构获取信息。

表2 停车系统各组件失效原因分析

3 分析方法比较

STAMP法与基于故障树等的传统分析方法在理论层面存在差异,具体分析见表3。

表3 STAMP法与传统安全分析方法比较

通过以上比较可以看出,STAMP模型从系统的涌现性出发进行安全性分析,而不仅仅强调组件可靠性;同时,整体性分析需要纳入人员、环境、制度等因素综合考虑,并且采取的防控措施可预防事故的发生。

4 安全防控措施

(1)制氧制氮设备停机操作依据设定值与内部状态信息匹配进行调节,若外部设定模块失效,提供的错误信号将导致控制器异常,造成错误行为。可采用运行监测技术,及时发现交互过程中的异常现象,防止安全事故发生。

(2)考虑到气体传输管路特性,停机操作控制系统动态响应传递信号与普通控制对象存在差异,应分别分析判断;控制算法设计可能存在失效状态,应对控制算法进行验证更新,增强算法鲁棒性。

(3)保障人员是操作的主体,应开展安全教育,进行知识技能培训,使指挥员明确任务下达要求,操作员精通装备操作流程、熟知装备操作规范、熟练掌握安全防范技能,驾驶员遵守行车规章制度,从而减少人为因素造成的安全事故。同时,环境也是造成安全事故的重要因素,极端天气不仅影响保障人员情绪,也降低控制系统部分灵敏部件使用寿命,造成系统紊乱,应减少极端天气的户外操作。

5 结 语

针对航空地面保障系统复杂性,本文引入STAMP理论对某型制氧制氮设备制取氧气时的停机控制系统进行安全性分析,分别从输入信号、控制算法和过程模型3方面对各组分与环境间的潜在不安全因素或行为进行研究,并加以控制约束。该模型从系统论和控制论出发,将保障安全看作非线性系统,扩展了安全分析深度,提高了可信度。

[1] 胡连桃,冯仁斌.航空地面保障学[M].徐州:空军勤务学院,2011:43-47.

[2] 梅玉航.故障树分析法在靶场导弹试验安全分析中的应用[J].航空地面器测控学报,2010,29(2):35-39.

[3] 薛涛,彭启凤,黄国健,等.基于故障树的电梯门系统故障分析[J].航空地面器测控学报,2015,36(6):34-36.

[4] 刘辉,付洪军.基于PHA-LEC法金属矿山盲竖井工程安全分析研究[J].工业安全与环保,2010,36(9):40-42.

[5] 李红涛,刘长友,汪理全.预先危险性分析在上行开采安全预评价中的应用[J].矿业安全与环保,2007,34(5):74-76.

[6] 张宇栋,卿黎,蒲伟,等. 基于 FMECA 与模糊 FTA 的余热锅炉安全分析[J].中国安全生产科学技术,2015,11(8):164-170.

[7] 唐涛,牛儒.基于系统思维构筑安全系统[M].北京:国防工业出版社,2015:58-66.

[8] 刘金涛,唐涛,赵林,等.基于STPA的CTCS-3级列控系统功能安全分析方法[J].中国铁道科学,2014,35(5):86-95.

[9] 刘金涛.基于STPA的需求阶段的高速列车运行控制系统安全分析方法研究[D].北京:北京交通大学,2015.

[10] 徐小杰,钟德明,陆民燕.基于STAMP的导航软件研制管理安全性分析[J].测控技术,2015,34(2):99-102.

[11] 牛丰,王昱,周诚.基于STAMP模型的地铁施工安全事故致因分析[J].土木工程与管理学报,2016,33(1):73-78.

[12] 刘杰,阳小华,余童兰,等.基于STAMP模型的核动力蒸汽发生器水位控制系统安全性分析[J].中国安全生产科学技术,2014,10(5):78-83.

[13] 阳小华,刘杰,刘朝晖,等.STAMP模型及其在核电厂DCS安全分析中的应用展望[J].中国安全生产科学技术,2013,12(3):42-47.

[14] 甘旭升,崔浩林,刘卫东,等.STPA危险分析方法及其在ATSA-ITP设计中的应用[J].中国安全科学学报,2015,25(5):83-91.

(编辑:孙协胜)

SecurityofAviationGroundSupportBasedonSTAMPModel

HU Zongshun1, HUANG Zhijie2, WANG Yukui2, ZHANG Yongliang2

(1.Cadets Brigade One, Air Force Logistics College, Xuzhou 221000, China; 2.Department of Aviation Four Stations, Air Force Logistics College, Xuzhou 221000, China)

Aviation ground support is a complicated non-linear system which is the key to supporting ground security. The paper firstly introduces the basic theory of STAMP and the construction process of the model. Then, it establishes security analysis model of aviation ground support according to the reality, and transforms security into control problem to discover potential risks. Finally, it analyzes the lack of safety constraint and failure cause of the control system by taking oxygen and nitrogen production equipment as the example, and summarizes the accident cause and compares the result with existing methods and puts forward some safety control measures. The result shows that the STAMP model is scientific and credible, and it is suitable for aviation ground support, which can provide new idea for security analysis of aviation ground support.

aviation ground support; security analysis; STAMP model

10.16807/j.cnki.12-1372/e.2017.11.004

X924.4

A

1674-2192(2017)11- 0014- 05

2017-05-12;

2017-06-14.

空军装备部科研计划项目(KJ2016A1082).

胡宗顺(1992—),男,硕士研究生;

猜你喜欢
约束组件危险
无人机智能巡检在光伏电站组件诊断中的应用
Kistler全新的Kitimer2.0系统组件:使安全气囊和安全带测试更加可靠和高效
一种嵌入式软件组件更新方法的研究与实现
通用(OA)办公自动化系统的组件运用
喝水也会有危险
马和骑师
拥挤的危险(三)
适当放手能让孩子更好地自我约束
话“危险”
CAE软件操作小百科(11)