基于STPA冲偏出跑道不安全控制行为分析

王洁宁，张钰涵，张聪俊

（中国民航大学空中交通管理学院，天津 300300）

世界飞机失事总结（WAAS,world aircraft accident summary）的数据报告指出，1995—2008年全球共发生了1 429 起有重大损失的飞机事故，有431 起事故与跑道相关，约占30%，其中有417 起为飞机冲偏出跑道事故，占97%，因此，研究飞机冲偏出跑道具有重要意义[1]。

民航是一个复杂、开放、多样的系统[2]，这使得影响飞机运行安全的因素增加，安全因素之间的关联性增强，同时也存在着人为操作的复杂性，采用传统分析方法很难系统地识别导致飞机冲偏出跑道的人为差错。如多米诺事故模型[3]和瑞士奶酪事故模型[4-6]，没有从系统思维角度去分析事故根源，都假设事故的产生是由线性事件链导致的；功能共振事故模型[7-8]难以发现由于系统设计缺陷所产生的事故。

系统理论过程分析方法[9]（STPA, system theoretic process analysis）是基于系统思维的安全危险分析方法，可应用STPA 来预防医院不良事件的发生[4]、分析软件密集性系统存在的危险[10]。因此，结合基于系统理论与控制理论的STPA 安全分析方法，构建了飞机冲偏出跑道模型，识别冲偏出跑道存在的人为差错，并针对具体的人为差错给出相对应的安全约束。

1 基于系统理论的事故模型

基于系统理论的事故模型（STAMP,systems theortic accident modeling and process）是一种新的系统理论的致因模型，它扩展了传统的事故致因观念，包括系统设计缺陷、系统外部干扰、系统组件之间的交互作用以及导致系统危险状态的单个系统组件行为。STAMP 将安全问题转变成一个控制问题，其目标是通过在设计与运行过程中实施安全约束以控制系统的行为。STAMP 模型的3 种基本结构包括安全约束、分层安全控制结构和过程模型。

STPA 是建立在STAMP 基础上的危险性分析方法，该模型认为系统危险是由于组件之间的交互缺乏充足的控制而导致的，不只是因为简单的组件失效而引起的，系统组件的交互需要有一系列的安全约束来保证系统的安全。在系统理论中，系统被视为一种分层结构，控制过程在各层之间进行操作以控制分层结构中较低层次的过程，实施其负责的安全约束，即高层的约束控制低层的行为。过程模型是控制理论的一个重要组成部分，有效地控制可能需要一个非常复杂的模型，模型中包括许多状态变量和中间变量，是一个带有过程模型的控制结构，如图1 所示。

图1 控制结构图Fig.1 Control structure diagram

2 STPA 分析步骤

2.1 定义系统级事故

分析安全工作的第一步首先是确定需要考虑的事故。STPA 的分析效果与考虑事故的全面性呈正相关关系，目前对于事故的基本术语定义差别很大，采用美国联邦航空管理局对于安全事故的定义：导致损失的不希望或意外的事件，这里的损失包括人的生命损失或人身伤害、财产损失、环境污染、任务失败等[11]。针对飞机冲偏出跑道定义的系统级事故如表1 所示。

2.2 定义系统级危险

危险在不同的领域有不同的定义，STPA 是一个系统性的分析方法，在STPA 中危险被定义为：系统与环境物体的关系，即：一个系统状态或一系列条件在特定的最不利环境条件下会导致事故（损失）。

根据危险的定义，可以确定出事故与危险之间的联系，即

危险+环境条件=事故（损失）

表1 系统级事故Tab.1 System-level accidents

定义飞机冲偏出跑道的系统级危险如表2 所示。表2 中第3 列表示的是系统级危险与事故之间的联系，例如系统级危险飞机冲出跑道（H-1）可能造成的事故有飞机内机组人员与乘客的伤亡（A-1）、飞机机体结构的损坏（A-2），飞机冲出跑道一般不会阻碍其他飞机起飞与地面活动的正常运行。

表2 系统级危险Tab.2 System-level hazards

2.3 不安全的控制行为

飞机冲偏出跑道的安全控制结构如图2 所示，包括控制器、执行器、控制过程、传感器以及它们之间的交互，它将控制行为分为恰当的控制行为及反馈正确的信息。通过分析控制器、执行器、控制过程和传感器的输入、输出信号在性能、逻辑及时间上的安全控制，以确定可能会导致系统级危险的不恰当控制，进而找出可能造成（导致）系统级危险状态的不安全控制行为和相应的致因因素。

图2 冲偏出跑道的控制结构图Fig.2 Runway excursion control structure diagram

STPA 将不安全控制行为根据在性能、逻辑及时间上的不合理性结合引导词分为4 种类型：未提供或不遵守安全所要求的控制，提供不安全的控制从而导致的危险，所提供的潜在安全控制太晚、过早或无序以及控制结束太快或应用时间过长。

根据图2 分析得出飞机冲偏出跑道事故中管制员与机组人员可能存在的不安全控制行为（UCA,unsafe control action）以及可能造成的系统级危险，共识别出32 个不安全控制行为，如表3 所示。以必要情况下发布中断起飞（RTO,rejected take off）指令为例（表3 中的UCA-4 和UCA-5），根据美国联邦航空条例（FAR，fedral aviation regulations）对V1 速度的定义可知，当飞机速度大于V1 速度时是不允许中断起飞的，否则可能造成飞机冲出跑道，所以必要情况下发布错误的中断起飞指令、发布中断起飞指令过晚都有可能造成飞机冲出跑道（H-1）。

2.4 寻找致因因素

从构建的安全控制结构分析得到不安全控制行为，因此，要分析出每个不安全控制行为的致因场景必须考虑过程模型，安全控制结构图已经将过程模型构建在内，如图2 所示。通过分析过程模型可以找出不安全控制行为的致因场景，因篇幅有限，仅考虑影响因素较大的着陆/RTO/GA 情况，以必要情况下（没有/延迟）发布着陆/RTO/GA 指令（UCA-4 和UCA-5）和（没有/错误/过晚）执行正确的着陆/RTO/GA 程序（UCA-24，UCA-25，UCA-26）为例的飞机冲偏出跑道不安全控制行为致因因素，如表4 所示。

表3 不安全控制行为Tab.3 Unsafe control actions

表4 致因因素表Tab.4 Causal factors

从表4 可知，造成UCA-4 和UCA-5 的主要原因有：管制员的身体状态、精神状态不佳或技能熟练程度不达标，导致管制工作有误或不及时；管制员认为飞机反馈的状态信息都正确且及时，而实际情况是飞机可能由于相关设备的故障导致飞机反馈的信息错误或者延迟，对管制员发布命令造成影响；管制员认为机组人员的请求都合理，而实际情况是机组人员的请求由于其他原因可能是不合理的。造成UCA-24，UCA-25 和UCA-26 的主要原因有：机组人员的身体、精神状态不佳或操作熟练度不达标；机组认为飞机反馈的状态信息都正确且及时，而实际情况是由于硬件设备原因，飞机状态信息有误；机组人员认为管制人员的命令都合理，而实际情况是由于某些情况该命令不合理。

3 安全约束

STPA 中最基本的概念不是事件而是约束，事故或损失正是由于安全约束缺失或没有被有效执行，因篇幅有限，以表4 中提到的不安全控制行为（UCA-4，UCA-5，UCA-24，UCA-25，UCA-26）为例提出相对应的安全约束（SC,safety constraint），如表5 所示。

在发布正确的着陆/RTO/GA 命令上，管制员的人为差错占主导地位，因而在安全约束上主要针对管制员执行。同时导致管制员管制差错或失误有部分原因是由于硬件设备的故障，因而在硬件设备上也对其有所约束。在执行正确的着陆/RTO/GA 指令上，机组人员的人为差错占主导地位，此时的安全约束主要针对机组人员考虑。同时在机组人员接收有误或不及时的反馈信息上，硬件设备的完善程度有着重要影响，在实施约束上也应将其考虑在内。

表5 安全约束表Tab.5 Safety constraints

4 结语

采用基于系统理论的STPA 方法对飞机冲偏出跑道进行分析，克服了传统安全分析方法不能有效分析强耦合事故与人因因素考虑不充分的局限性，分析得到了飞机冲偏出跑道的不安全控制行为及原因。

针对不安全控制行为，根据不安全控制行为的致因，给出了相应的安全约束。STPA 无法对不安全控制行为量化分析，如何确定不安全控制行为的影响程度是下一步研究的重点。