杨晓强,贺非,贺强,徐晨,林跃
(中国民用航空飞行学院航空工程学院,广汉 618307)
定检[1]是按照飞机维修计划,根据适航性资料,在航空器或航空器部件使用达到一定时限进行的检查和修理,属于预防性维修。从接收检查到记录和报告无不需要机务人员全身心彻底地落实,周而复始就会产生疲劳,而疲劳会诱发维修作业中的错、忘、漏等安全风险[2]。近二十年的航空事故统计表明,由机务人员维修差错导致的事故增加了4%,而其中大部分与机务人员的疲劳作业有关[3]。《维修单位的安全管理体系》(AC-145-15)[4]咨询通告表明,机务人员的身心健康在保障民用航空飞行安全方面起到了重要作用,使得因航空器维修问题造成的飞行事故率持续保持在较低的水平。因此,对定检中机务人员疲劳致因进行分析,不仅有助于制定出行之有效的疲劳管理策略,而且能够提升维修工作计划制定的科学性。
近年来,中外学者对疲劳开展了大量的研究。朱峰等[5]基于单位时间内眼睛闭合时间占比、最长持续闭眼时间和哈欠次数3个指标,通过改进的Yolov3算法构建多特征融合的疲劳检测模型,结果表明识别准确率达92.5%。廖明明等[6]基于双流卷积神经网络融合传统特征构建驾驶员疲劳检测模型,结果表明具有较强的鲁棒性。杨如民等[7]运用蝙蝠算法获取优选决策树和分类特征等参数并将其作为随机森林算法的输入建立精神疲劳检测模型,结果表明准确率为96.7%。梁海军等[8]基于迁移学习算法构建管制员眼睛状态识别模型,结果表明检测准确率为97%。Zhang等[9]基于随机森林回归模型融合6个敏感导联特征构建航天员脑力疲劳快速检测模型,结果表明准确率达85.25%。系统理论过程分析方法(systems-theoretic process analysis,STPA)方法广泛应用于对安全要求极高的系统分析中。张宏宏[10]提出了基于STPA-TOPAZ(traffic organization and perturbation analyzer,TOPAZ)的低空无人机冲突解脱安全性分析方法,仿真结果表明:该方法的有效性与优越性。Li等[11]将系统理论过程分析与网络分析法相结合,对某型民机数字飞控系统进行分析,通过形式化工具及仿真验证,结果表明该方法能够确定系统的危害致因。Lü等[12]运用系统理论过程分析法对空中加油过程分析出46条不安全控制行为和致因,确定与之对应的44项约束条件,结果表明该方法的优越性。肖国松等[13]运用系统理论过程分析法对通用系统管理中的动态重构实例进行研究,结果表明该方法可为安全性分析提供依据。Huang等[14]运用系统理论过程分析法对48起航空事故进行分析,提取事故链绘制事故网络,为后续定性分析做好铺垫。
现有的维修疲劳分析方法大多基于故障树[15]、故障模式影响分析[16]等线性方法,对于人的行为、大型工程系统和非线性等问题难以准确分析,此外由于传统方法中的组件处于相互独立这一假设前提下,因此也不能对强耦合系统进行有效分析。尽管STPA从控制的角度寻求危害发生的原因,并从系统全寿命周期的角度来提出改进措施,但是存在尚未形成成熟的执行程序、绘制STPA控制结构的困难、没有对危害等级定量化、没有结合有效的模型演绎或者验证方法等缺陷。针对以上不足,首先提炼出简洁的执行程序并使用Visio软件绘制STPA控制结构;然后提出STPA-FRV定量化方法,以标准格式描述规则便于理解,而且将功能两两配对来检验模型;最后在STPA-FRV模型中提取出有实际含义的可变性并基于形式化验证工具进行演绎。
STPA是基于系统理论事故建模和过程(systems-theoretic accident model and process,STAMP)衍生出的一种危害分析方法,可用于系统的全生命周期内。该方法是从控制回路的角度对系统进行建模,旨在全面分析组件之间的耦合。保障系统安全就要对每一回路施加必要的约束,从而系统安全就转换成确保回路满足约束条件。在系统理论中,系统被划分成由高层到低层的控制结构,系统高层通过控制器将约束信息传输给下一层,以此类推直至执行层,执行层在执行任务的过程中,可能由于各方面因素的侵扰而违反约束条件,从而产生危害并逐层反馈给系统高层,所以反馈回路是系统实现自适应控制的核心。STPA主要包含两个步骤:识别潜在危险控制和危害场景分析。STPA模型包括:STPA模型中的控制回路、回路的特征元素、回路之间的交互以及回路元素的可变性。STPA模型的功能可变性描述规则(functional variability of rules,RFV)表示如下。
(1)F为给定系统所包含控制回路的集合,CLn表示第n个控制回路,可表示为
F={CL1,CL2,…,CLn},n=1,2,3,…
(1)
(2)A表示每个控制回路的特征元素,CUn表示第n个控制器,CAn表示第n个控制动作,FBn表示第n个反馈,MP表示被控方,可表示为
A={CU1,CA1,FB1,…,CUn,CAn,FBn,MP}
(2)
(3)R=F→F表示控制回路之间的关系,RCURCA、RCURFB、RCURMP分别表示控制器与控制动作、反馈和被控方之间的关系,可表示为
R={RCUn-1RCAn,RCUn-1RFBn,RCUnRMP,…,
RCUi-1RCAn,RCUi-1RFBi,RCUiRMP},
n=1,2,3,…且i≤n
(3)
(4)V表示可变性,即控制器、控制动作、被控方和反馈这4个方面的可变性对控制回路的影响,可表示为
n=1,2,3,…且i≤n
(4)
首先使用RFV形式化定量化描述STPA中回路的可变性建立STPA-RFV模型,然后制定安全规范,最后用UPPAAL工具进行演绎,如图1所示。
由于瑞士Uppsala大学和丹麦Aalborg大学联合开发出系统验证工具UPPAAL,因此选取这两所大学前三个首字母作为这一工具的名称
安全性分析的可变指数是STPA-RFV模型的核心要素,首先建立评价指标体系:将系统STPA模型中各回路视为一级指标,然后基于一级指标对STPA模型中各回路的交互划分二级指标。所建立的可变指数评价体系如表1所示。对于回路的交互来说,可变指数与系统的稳定性成反比。
表1 可变指数评价体系
然后请一线机务人员依据Thomas等[17]提出的1~9标度对回路之间的可变性进行评分,从而生成判断矩阵。CLn回路交互判断矩阵A构建如表2所示。
表2 判断矩阵生成规则
可变指数确定步骤如图2所示。
图2 确定可变指数
系统级危险:H1定检过程中出现错误;H2定检被长时间延迟;H3定检项目遗漏。定检模块是一个庞杂的系统,通过熟悉整个系统的结构和工作模式,找出定检模块中所包含的组件,分析每个组件在系统中的功能控制过程模型以及适用环境。定检阶段主要任务是克服一切干扰因素,严格遵循工卡逐项完成定检工作,直至通过放行进程并交付给客户。定检模块控制结构如图3所示。
图3 定检阶段控制结构图
定检进程作为定检阶段的核心环节,里面的控制结构很复杂,仅从系统高层的控制结构中不足以分析出定检中机务人员的疲劳致因,这就要对该进程进一步构建控制结构,从而深入分析出定检中机务人员疲劳产生机制和控制方式。在系统层面,定检进程被视为一个整体,其内部具体如何运行不做考虑。但要分析出机务人员的疲劳致因,就需要对系统内部的子组件进一步细化并提取组件之间的控制动作,从而构建定检和放行进程的控制结构如图4、图5所示。
图4 定检进程控制结构
累积疲劳(accumulate fatigue,AF)
根据STPA理论,从“没有提供”“提供”和“不正确的时间/顺序”3个方面出发,得到不安全控制行为(unsafe control action,UCA)。以定检进程的控制动作为例,其中CA1~CA24分别表示定检进程控制程序要求机务人员克服身体状态不佳、家庭压力、时间压迫、工作负荷、糟糕的睡眠质量、轮班制度、发动机复杂性、航电系统复杂性、APU复杂性、电源系统复杂性、气源系统复杂性、液压系统复杂性、燃油系统复杂性、滑油系统复杂性、启动系统复杂性、防火系统复杂性、空调系统复杂性、起落架复杂性、噪声干扰、刺鼻气味、照明条件、气候和温度、工作台振动、脏乱工作环境。通过分析得到72个疲劳致因,如表3所示。
表3 机务人员疲劳致因表
控制算法[18]是控制行为的理论依据,控制器会根据控制算法做出控制动作。由于统一建模语言(unified modeling language,UML)状态图能够准确直观地描述系统控制过程中的状态转移,使用UML状态图描述控制算法如图6所示。
图6 定检阶段状态转移
3.5.1 确定可变指数
建立评价指标体系:根据一级指标对STPA模型中各回路的交互划分二级指标,如控制动作交互、被控方交互和反馈交互3个影响因素。以CL3为例,建立定检进程STPA的可变指数评价体系如表4所示。
表4 CL3回路交互评判矩阵
由式(1)~式(3)求得特征向量w1=[0.07,0.75,0.18],由式(4)得λmax=3.029,经查表得3阶矩阵平均随机性一致性指标RI=0.58,故由图3得CR=0.025<0.1,表明一致性可接受。
表5 定检进程可变指数
3.5.2 制定安全规范
基于图6定检阶段状态转移图制定出11条对应的机务人员疲劳管理规范,如表6所示。
表6 安全规范
UPPAAL[19]是一个基于时间自动机的形式化验证工具,包括编辑器、模拟器及验证器。其理论基础时间自动机(timed automata,TA)在数学上被定义为一个六元组TA=〈S,S0,Σ,X,I,E〉,其中,S为有穷位置集合,S0为初始位置集合,Σ为有穷事件的集合,X为有穷时钟的集合,I为一个映射,它给每个状态s∈S指定时钟约束集合Φ(x)中的一个时间约束δ,E⊆SΣΦ(x)2xS表示状态转移的集合[20]。图7、图8分别为定检进程和人-机-环诱导的UPPAAL模型。
rcp_alert表示定检进程告警;Human_Factors表示人的因素;Machine_Factors表示机的因素;Surrounding_Factors表示环的因素;O_HF表示克服人的因素;O_MF表示克服机的因素;O_SF表示克服环的因素;Colleague_cross check表示同事交叉检查;C_WARN表示同事警告
Poor_health表示身体状态不佳;Oph表示克服身体状态不佳;Family_stress表示家庭压力;Ofs表示克服家庭压力;Time _limit表示时间压迫;Otl表示克服时间压迫;Workload表示工作负荷;Owl表示克服工作负荷;Poor_sleep表示糟糕睡眠质量;Ops表示克服糟糕睡眠质量;Shift_system表示轮班制度;Ass表示适应轮班制度;Engine_complexity表示发动机复杂性;oec表示克服发动机复杂性;avionics_complexity表示航电系统复杂性;oac表示克服航电系统复杂性;APU_complexity表示复杂性;oapuc表示克服APU复杂性;power_complexity表示电源系统复杂性;opc表示克服电源系统复杂性;hydraulic_complexity表示气源系统复杂性;ohc表示克服气源系统复杂性;pneumatic system_complexity表示液压系统复杂性;opsc表示克服液压系统复杂性;fuel_complexity表示燃油系统复杂性;ofc表示克服燃油系统复杂性;oil_complexity表示滑油系统复杂性;ooc表示克服滑油系统复杂性;start up_complexity表示启动系统复杂性;osuc表示克服启动系统复杂性;fire prevention_complexity表示防火系统复杂性;ofpv表示克服防火系统复杂性;air conditioning_complexity表示空调系统复杂性;oacc表示克服空调系统复杂性;landing gear_complexity表示起落架复杂性;olgc表示克服起落架复杂性;noise_disturbance表示噪音干扰;ond表示克服噪音干扰;sharp_aroma 表示刺鼻气味;osa表示克服刺鼻气味;lighting_conditions表示照明条件;olc表示克服照明条件;climate_and_temperature表示气候和温度;ocat表示克服气候和温度;table_vibration表示工作台振动;otv表示克服工作台振动;dirty_working_environment表示脏乱工作环境;odwe表示克服脏乱工作环境
定检模块UPPAAL模型通过时钟变量对各组件的工作状态进行区分,t为模块工作的最大时间限制,当时钟变量小于或等于t时,机务人员克服掉干扰因素,模块处于正常工作状态,当时钟变量大于t时,机务人员克服干扰因素失败,模块处于延时状态。
综上,建立了完整的RCP系统时间自动机网络模型,其中:Human_Factors为人的因素,Machine_Factors为机的因素,Surrounding_Factors为环的因素。
RCP=Human_Factors||Machine_Factors||Surrounding_Factors
(5)
基于表7系统验证语句对定检进程进行形式化验证,定检进程形式化验证结果的部分展示如下。
表7 系统验证语句
A[](normalRCP.Colleague_Crosscheck and normalRCP.C4)imply(normalRCP.Idle)
验证费时/kernel费时/总费时:0.031 s/0 s/0.047 s.
常驻内存/虚拟内存的使用峰值:8 956 KB/29 308 KB.
满足该性质.
A[](normalRCP.Human_Factors and normalRCP.C1)imply(normalRCP.Machine_Factors)
验证费时/kernel费时/总费时:0.047 s/0 s/0.047 s.
常驻内存/虚拟内存的使用峰值:8 984 KB/29 368 KB.
满足该性质.
A<>(normalRCP.Idle or normalRCP.Human_Factors or normalRCP.Machine_Factors or normalRCP.Surrounding_Factors)
验证费时/kernel费时/总费时:0 s/0 s/0 s.
常驻内存/虚拟内存的使用峰值:8 984 KB/29 368 KB.
满足该性质.
(1)在分析出的所有72种疲劳致因中,时间压迫和噪音干扰的交互回路发生变异的可能性最大,即机务人员极易在时间压力和噪声干扰下产生疲劳。从宣传与奖惩、培训、警示标志和质量检验四方面制定出11条机务人员疲劳管理规范。
(2)利用形式化工具UPPAAL演绎出人-机-环因素对机务人员疲劳的诱导机制以及机务人员疲劳对定检模块的影响机制,演绎结果准确。