基于STPA-ANP模型的民机系统安全性分析

李耀华, 高 源

(1. 中国民航大学交通科学与工程学院, 天津 300300; 2. 中国民航大学航空工程学院, 天津 300300)

0 引 言

对于民机而言,民机系统是完成飞行任务并确保飞行安全的重要组成部分。民机系统作为一种分层控制结构,当系统复杂程度增加时,同一个资源在一个系统或多个子系统中共享,存在系统互联和交互问题,这都为民机系统安全性分析提出了新的挑战。

针对系统安全性分析问题的研究,传统安全性分析方法一般从事故链的线性角度对系统进行分析,忽略了组件之间非线性交互导致的安全性问题,例如故障树分析(fault tree analysis, FTA)、故障模式及影响分析(failure mode and effects analysis, FMEA)等,都是将系统安全性问题转化为组件可靠性问题,虽然已在各类安全性分析研究中广泛应用,但难以准确分析复杂系统组件交互、人机交互等非线性问题。系统理论过程分析(system-theory process analysis, STPA)将安全性问题转化为控制问题,更适用于分析不同的组件相互作用产生的安全性问题,其源于系统理论事故模型与过程(system-theory accident model and processes, STAMP),已成功应用于航空、医疗、交通、项目管理等领域的复杂系统安全性分析。

尽管STPA在危害分析方面具有传统方法所不具备的优势,但STPA满足民机系统安全性分析要求的障碍在于缺乏严谨的形式化验证和定量分析。为完善危险识别评价过程,文献[12]将FMEA引入STPA,并开发了STPA-FT方法;文献[13]将STPA与Bowtie方法相结合,优化STPA危险辨识结果;文献[14]将STPA结构与Bayes网络结合,为STPA补充了对于危险控制动作(unsafe control actions, UCA)的定量化分析过程;文献[15]给出了具体的STPA形式化过程,提出了基于模型验证的航空电子系统安全性分析流程;为补充STPA过程缺乏明确形式化定义问题,文献[16]基于系统理论提出了STPA方法第一部分的具体形式化过程。现有研究虽然将融合性手段、形式化以及定量分析引入STPA,但没有结合STPA框架给出完整的危险致因分析过程,无法确定危险关键致因。

为解决现有研究中存在的限制性问题,本文提出了一种结合STPA与网络分析法(analytic network process,ANP)的方法,为民机系统安全性分析提供了一个定性与定量分析有效结合的完整危险致因分析流程与框架,以某型民机数字式飞控系统为例进行分析,并通过形式化建模和系统仿真建模对分析结果进行验证,证明该模型方法的适用性和分析结果的合理性。

1 STPA-ANP安全性分析模型

STPA是Leveson在STAMP因果模型的基础上提出的一种新的危害分析方法。STPA方法的局限性在于缺乏严格的形式化定义及定量分析。ANP作为处理复杂决策问题的工具,可以定量描述危险致因等级,但难以全面分析系统逻辑及危险致因,将ANP与STPA相结合,可使定量化致因分析结果更加全面完整。因此,本文结合STPA、ANP的方法优势,提出面向民机系统的STPA-ANP安全性分析方法,为民机系统安全性分析提供了完整的危险识别和致因分析框架,具体模型框架如图1所示。

图1 STPA-ANP模型框架Fig.1 Framework of STPA-ANP model

面向民机系统的STPA-ANP安全性分析方法具体步骤如下:

系统安全性分析建模。针对民机系统在不同飞行阶段应用场景,从全局角度定义事故,通过分析系统功能确定系统级危险。提取系统控制逻辑和控制边界,基于STAMP建立民机系统分层控制结构模型。建模完成后根据STPA基本步骤,充分考虑指定功能下组件间的交互行为,识别系统潜在UCA。

基于STPA-ANP模型的UCA致因分析。采用定性分析和定量分析相结合的方法,定性分析得到潜在致因因素,定量分析过程将STPA与ANP的关键结构对应结合,对UCA潜在致因因素进行定量评估,得到UCA关键致因因素。

2 系统安全性分析建模

在STAMP因果模型中,系统通过分层控制结构保持动态平衡并对外部环境变化作出反应。当系统及其组件的行为受到合适的约束时,系统的安全性就可以满足。基于STPA方法进行系统安全性建模,通过对事故、系统危险以及系统控制/反馈关系的定义和描述,分析系统潜在UCA。

2.1 定义事故及系统级危险

事故是一种非计划性损失事件,这种损失可能涉及人员伤亡,但也可能涉及其他重大损失,包括任务、设备、财务和信息损失。结合适航文件的要求,建立事故级别及描述,如表1所示。

表1 事故级别及描述Table 1 Accident levels and desriptions

系统危险是一种潜在不安全状况,加之外部因素作用将会导致事故的发生,这些外部因素包含系统部件故障、恶劣的系统工作环境、人为操作失误等。在不同的飞行阶段,民机系统需要执行的功能也有所区别,根据系统级功能可以确定民机系统可能存在的失效模式,总结得到民机系统在指定飞行阶段的系统级危险。

2.2 构建系统分层控制结构

根据民机系统的组成和功能描述,结合STAMP原理,建立民机系统分层控制结构。系统建模过程中,要充分考虑控制结构元素之间的控制、反馈和其他交互作用。构建分层控制结构可以更好地识别民机系统控制动作与反馈,为生成系统潜在UCA构建模型基础。

2.3 生成系统潜在UCA

生成民机系统潜在UCA需要充分考虑民机所处的飞行阶段,以及需要执行的飞行任务。根据系统建模结果,分析组件或子系统之间的控制交互和民机系统安全性要求,得出阶段指定功能下的系统潜在UCA。

3 UCA致因分析

STPA-ANP危险致因分析模型结合定性分析和定量分析,首先基于STPA基本框架生成通用致因,得到指定UCA的潜在致因因素。然后,将ANP引入STPA过程,实现潜在致因因素的定量化评估,得到UCA关键致因。

3.1 UCA致因定性分析

根据构建的民机系统分层控制结构和STPA致因分析框架,对UCA展开定性致因分析。STPA UCA通用致因因素可以分为4种类别,10条通用致因因素,如图2所示。

图2 UCA通用致因因素Fig.2 General causal factors of UCA

针对每一个具体UCA,充分考虑系统交互,逐一细化致因因素,得到与UCA相对应的潜在致因因素。

3.2 UCA致因定量分析

致因定量分析过程将STPA的基本框架与ANP的定量分析过程相结合,将STPA的致因分析转化为ANP定量化决策过程,通过分析计算得到目标系统级危险下UCA的关键致因。

构建致因定量分析模型

建立STPA与ANP的关键概念之间的联系,对应关系如图3所示。系统级危险对应ANP决策目标,UCA对应决策准则,通过决策网络的构建,定量分析指定UCA的致因因素,得到UCA关键致因。每组致因因素映射为ANP网络层元素组,每个致因因素映射为网络层元素,构建的分层控制结构用于表示元素的组内/组间关系。

图3 STPA和ANP的关键概念之间的对应关系Fig.3 Correspondence between key concepts of STPA and ANP

构建判断矩阵

为此,确定了与初始适航和持续适航相关的专家,并要求他们根据专业知识和态度确定致因因素之间的关系,将专家意见进行汇总。将指定UCA作为主准则,不同致因类别中的致因因素作为次准则,形成初始判断矩阵。计算得到指定UCA下定量分析致因因素的初始判断矩阵。

构建极限超矩阵

以指定UCA作为主准则,根据STPA-ANP模型中控制结构关系,依次将各致因类别中的致因因素之间的内外关系进行比较,得到无权重超矩阵。根据特征值向量,计算矩阵值的关系权值,然后对矩阵值进行归一化处理,获得指定UCA下反应致因因素之间关系的权重矩阵,将权重矩阵乘以无权重超矩阵,得到权重超矩阵。加权超矩阵必须收敛,通过反复迭代、趋稳,得到致因因素分析极限超矩阵。

生成定量致因分析结果

根据元素组的权重和极限矩阵计算出最终的致因因素权重,输出定量化致因因素分析结果,得到致因因素关键致因。

4 民机系统实例分析

本文选取民机数字式飞控系统(digital flight control system, DFCS)作为实例分析对象,DFCS是由驾驶员、飞控计算机(flight control computer, FCC)、方式控制面板(mode control panel,MCP)、驾驶操纵盘(control wheel steering, CWS)、作动组件、受控过程组件、传感器组件等组成的分层控制结构,其包含多层控制源以及多种功能状态下的控制交互。

4.1 DFCS建模分析

根据DFCS在民机巡航阶段的功能和失效模式,得到DFCS在民机巡航阶段的系统级危险,详细内容如表2所示。

表2 DFCS巡航阶段的系统级危险及对应事故Table 2 System hazards and corresponding accidents of DFCS during cruise phase

在DFCS控制交互过程中,驾驶员可以通过MCP或CWS为FCC输入控制指令,FCC根据输入信息计算控制指令发送给作动系统,作动系统接收指令并调整飞行姿态,传感器接收飞行数据并传输给FCC。自动驾驶模式下,自动驾驶系统(autopilot,A/P)可与FCC进行数据交互,并为作动系统提供控制指令;紧急情况下自动切换CWS输入方式,由驾驶员手动控制。DFCS分层控制结构如图4所示。

图4 基于STAMP的DFCS分层控制结构Fig.4 Hierarchical control structure of DFCS based on STAMP

基于构建的分层控制结构,识别出9个控制动作和6个反馈。由于篇幅限制,后续分析过程只关注DFCS中FCC与作动系统的控制交互过程。在此过程中,FCC作为控制器,作动系统作为被控对象。FCC的主要职责是接收来自驾驶员或A/P发出的控制指令,并对执行器系统施加控制动作,以确保飞机的安全飞行。

在民机巡航阶段,要求DFCS中的FCC组件可以正确产生、传递控制指令,作动系统可以正确执行指令并改变飞行姿态。在俯仰、横滚控制功能下的DFCS潜在UCA,具体内容描述如表3所示。

表3 DFCS潜在UCATable 3 Potential UCA of DFCS

4.2 UCA致因分析

4.2.1 UCA致因定性分析

针对UCA U-1“控制指令缺失或错误传递”进行详细分析,得到其潜在致因因素,具体内容如表4所示。

表4 U-1潜在致因因素Table 4 Potential causal factors of U-1

4.2.2 UCA致因定量分析

根据上文定性分析,STPA-ANP致因定量分析模型控制层决策目标设定为系统级危险H-1,判断准则设定为UCA U-1。

将专家意见进行汇总,计算得到定量评估U-1致因因素的初始判断矩阵(两两比较矩阵),如表5所示。通过处理初始判断矩阵,计算加权超矩阵,并将加权超矩阵反复迭代、趋稳,得到定量评估U-1致因因素的极限矩阵,如表6所示。

表5 U-1潜在致因因素初始判断矩阵Table 5 Original judgment matrix for potential causal factors of U-1

表6 致因因素定量分析极限矩阵Table 6 Limit matrix for quantitative analysis of causal factors

根据元素组的权重和极限矩阵计算定量评估U-1致因因素的排序,如表7所示。根据计算结果可以看出,导致U-1产生的关键致因因素为FCC物理故障(A1)、FCC控制指令缺失(C2)、FCC控制算法缺陷(A2)。

表7 致因因素定量化分析结果Table 7 Resulis of quantitative analysis of causal factors

续表7Continued Table 7

4.3 结果验证

4.3.1 形式化验证分析

为验证DFCS建模结果,利用形式化建模工具UPPAAL对实例分析中DFCS各部分建立时间自动机模型,并将各模型组成时间自动机网络。在此过程中,需要将DFCS分层控制结构中的模型元素和控制/反馈映射到UPPAAL中,然后执行验证以确定建模是否正确。将驾驶员、FCC、A/P、CWS、作动系统、传感器系统、飞行姿态的UPPAAL模型组成时间自动机网络,如图5所示。

图5 基于UPPAAL的DFCS时间自动机网络Fig.5 Time automata network of DFCS based on UPPAAL

通过形式化建模及系统活性验证可以表明,系统无锁死情况并且各子系统可以正常工作,满足系统功能要求,证明了分层控制结构建模的合理性。在系统建模的基础上,通过形式化语言对潜在UCA进行描述,为验证UCA定性分析结果提供了自动化方案,减少了人工验证工作量,保证了定性分析结果的准确性。

验证系统活性需要满足3个条件:① 所有的控制动作和反馈都包含在模型中;② 时间自动机的所有状态都可用;③ 时间自动机的同步一致,模型中不存在死锁。利用巴科斯范式(Backus normd form, BNF)语句“A<>p”对验证性质进行描述,验证建模结果的合理性,UPPAAL验证器截图如图6所示。

图6 系统活性的UPPAAL验证截图Fig.6 Screeenshot of UPPAAL verifier for system liveness

对潜在UCA的验证,使用BNF语句“E<>UCA”判断是否存在一条路径使得UCA在该路径的某一状态下发生,从而判断生成的潜在UCA是否符合系统逻辑规则,UPPAAL验证器截图如图7所示。

图7 系统潜在UCA的UPPAAL验证截图Fig.7 Screeenshot of UPPAAL verifier for the system potential UCA

4.3.2 对比验证分析

对于U-1关键致因的验证采用基于模型的安全性分析方法,通过对DFCS进行系统仿真,验证STPA-ANP致因分析结果。在巡航阶段,对DFCS进行俯仰控制信号输入,对比正常情况下的俯仰角变化曲线与致因因素注入后的俯仰角变化曲线,将正常变化曲线与致因注入后的变化曲线分别作差,误差超出阈值认为故障(U-1)发生,离散化得到规定安全裕度下不同致因因素导致危险发生的概率,得到U-1致因因素排序,对比曲线如图8所示。

图8 俯仰角变化对比曲线Fig.8 Contrast curve of pitch angle change

通过与STPA-ANP模型致因分析得到的结果相对比,验证了STPA-ANP模型致因分析结果的准确性,详细内容见表8。仿真验证结果表明,只有少数非关键致因排序有略微变化,关键致因无差异,STPA-ANP得到的关键致因分析结果是准确的。

表8 致因因素对比验证结果Table 8 Result of comparison validation for causal fastors

5 结 论

面向民机系统,提出了一种基于STPA-ANP模型的安全性分析方法,通过对该方法的研究得出以下结论:

(1) 采用基于系统理论的方法构建民机系统分层控制结构,利用STPA方法对民机系统进行安全性建模分析,综合考虑系统组件之间复杂交互过程中产生的安全性问题,更好地识别分析民机系统潜在UCA。

(2) 通过STPA-ANP模型方法识别危险致因因素,计算得到危险关键致因。结合定性、定量分析,解决了STPA缺少完整致因分析过程的问题,利于系统安全约束的构建,为民机系统安全性分析提供了参考。