胡劍波，鄭磊

(空軍工程大學(xué) 裝備管理與安全工程學(xué)院，西安　710051)

?

綜合火/飛/推控制系統(tǒng)復(fù)雜任務(wù)的STAMP建模和STPA分析

胡劍波，鄭磊

(空軍工程大學(xué) 裝備管理與安全工程學(xué)院，西安710051)

隨著系統(tǒng)復(fù)雜性的日益增高，人為操作失誤引起的系統(tǒng)任務(wù)失敗呈增加的態(tài)勢(shì)，傳統(tǒng)的FTA、FMEA等基于線性事件鏈模型的分析方法已不能滿足分析人為操作不當(dāng)導(dǎo)致的系統(tǒng)危險(xiǎn)，采用基于系統(tǒng)理論的過(guò)程分析方法，對(duì)作戰(zhàn)飛機(jī)綜合火/飛/推控制(IFFPC)系統(tǒng)中人為操作不當(dāng)引起的潛在危險(xiǎn)進(jìn)行安全性分析。首先建立作戰(zhàn)飛機(jī)IFFPC系統(tǒng)的STAMP模型，進(jìn)而生成作戰(zhàn)飛機(jī)IFFPC系統(tǒng)的STPA分析模型，最后根據(jù)提出的五類引起任務(wù)失敗的原因因素，詳細(xì)地進(jìn)行作戰(zhàn)飛機(jī)IFFPC系統(tǒng)不安全控制作用(UCA)的因素識(shí)別。結(jié)果表明：所采用的基于系統(tǒng)理論過(guò)程的分析方法彌補(bǔ)了傳統(tǒng)安全性分析方法存在的缺陷，有效地解決了傳統(tǒng)的FTA、FMEA等安全性分析方法不能很好地解決人為危險(xiǎn)因素的問(wèn)題，為含有人工控制器的復(fù)雜系統(tǒng)的安全性分析提供了一種新的思路。

綜合火/飛/推控制系統(tǒng)；安全性分析；人工控制器；STPA模型；危險(xiǎn)因素識(shí)別

0　引　言

隨著技術(shù)的進(jìn)步，系統(tǒng)的復(fù)雜性日益增高，人為差錯(cuò)原因引起的事故越來(lái)越多，急需從控制的角度來(lái)分析和研究人為因素是如何引起事故的。同時(shí)，人工控制器在復(fù)雜系統(tǒng)中的地位越來(lái)越重要。一是復(fù)雜系統(tǒng)為了追求高效率，通常運(yùn)行在系統(tǒng)邊界狀態(tài)，這對(duì)人工控制器性能提出了嚴(yán)酷要求，稍有不慎，就會(huì)導(dǎo)致事故發(fā)生；二是信息技術(shù)被大量應(yīng)用于復(fù)雜系統(tǒng)，其信息量大、關(guān)聯(lián)性強(qiáng)，這對(duì)人工控制器能否正確地理解和解釋這些信息帶來(lái)了難度，若理解或者解釋不正確，就會(huì)導(dǎo)致事故；三是人工控制器的上下文關(guān)聯(lián)因素多，容易導(dǎo)致所做動(dòng)作不符合順序和時(shí)機(jī)要求，從而引起事故的發(fā)生。

傳統(tǒng)的安全性分析方法，例如FTA、FMEA，已經(jīng)在實(shí)際應(yīng)用中遇到了大量難題[1]，且未能有效地考慮人工控制器。例如，2009年法國(guó)航空447墜毀事件有力地證明了傳統(tǒng)安全性分析方法存在一定的缺陷[2]。法國(guó)民用航空安全性調(diào)查機(jī)構(gòu)(BEA)的調(diào)查結(jié)論是：墜毀的原因集中在機(jī)組人員的“故障”上，可能是因?yàn)椤疤峁┝瞬缓线m的控制輸入”，“識(shí)別其偏離飛行路徑的時(shí)間太晚了”，或者“不能”診斷停車情形，結(jié)果缺少使飛機(jī)恢復(fù)飛行的輸入。但是這一墜毀事件的實(shí)際原因依然令人深思，包括系統(tǒng)性因素、操作桿布局方式以及反饋等?？梢?jiàn)，難以通過(guò)FMEA或者FTA等分析方法來(lái)得到上述結(jié)論。類似案例很多，例如Turkish航空公司的1951航班事故[3]，盡管在荷蘭安全性委員會(huì)的報(bào)告結(jié)論中沒(méi)有直接涉及人為差錯(cuò)，但提到的設(shè)備故障組合、不合理設(shè)計(jì)的自動(dòng)化裝置以及較差的機(jī)組資源管理等均與人工控制器有關(guān)。上述案例表明，除非在復(fù)雜系統(tǒng)的安全性分析中有更好的分析技術(shù)來(lái)綜合地分析人為控制器，否則類似的事故還會(huì)發(fā)生。通過(guò)對(duì)以往的飛行事故案例進(jìn)行分析，總結(jié)出有效的分析技術(shù)應(yīng)具備如下特點(diǎn)：

①這種分析技術(shù)必須是系統(tǒng)的。將人當(dāng)作系統(tǒng)的重要組成，從系統(tǒng)的角度來(lái)考慮安全性，對(duì)于識(shí)別的危險(xiǎn)源，要運(yùn)用系統(tǒng)建模的方法來(lái)刻畫危險(xiǎn)源的發(fā)生機(jī)理、傳遞過(guò)程和約束關(guān)系，從而得到有效的控制方法，并落實(shí)到設(shè)計(jì)和運(yùn)行要求中。

②這種分析技術(shù)必須是完整的。將人當(dāng)作系統(tǒng)的重要組成，從系統(tǒng)狀態(tài)觀測(cè)、狀態(tài)可控制的角度來(lái)考慮安全性，在危險(xiǎn)源識(shí)別、分析和控制中，必須考慮盡可能多的環(huán)境因素、外部干擾和內(nèi)部各組成的可能狀態(tài)，提出完整的安全性解決方案。

③這種分析技術(shù)必須是可行的。將人當(dāng)作系統(tǒng)的重要組成，從人的自身能力、系統(tǒng)其他組成能力的角度來(lái)考慮安全性，在危險(xiǎn)源識(shí)別、分析和控制中，合理配置系統(tǒng)的傳感器、顯示器和執(zhí)行器，確保提出的安全性解決方案切實(shí)可行。

在相關(guān)的文獻(xiàn)中，已經(jīng)關(guān)注并開(kāi)始研究存在的問(wèn)題。J.R.Boyd[4]利用反饋控制原理，建立了軍隊(duì)指揮系統(tǒng)的人工控制器模型，指出了人工控制決策模塊、信息反饋對(duì)于任務(wù)失效的重要影響。J.Rasmussen[5]利用人類認(rèn)知的能力、規(guī)則和知識(shí)架構(gòu)，提出了基于反饋控制原理的人工控制器SRK模型，構(gòu)建了低層技能回路、中間層規(guī)則回路和高層知識(shí)回路，指出了技能回路不良、規(guī)則不全、知識(shí)不足對(duì)于任務(wù)失效的重要影響。L.T.Cameron[6]在分析了人類認(rèn)知生態(tài)心理模型及相關(guān)要素的基礎(chǔ)上，結(jié)合文獻(xiàn)[4]和[5]，利用Nancy G.Leveson[7]提出的基于系統(tǒng)理論的事故模型和過(guò)程(STAMP)及基于系統(tǒng)理論的過(guò)程分析(STPA)，綜合運(yùn)用分層結(jié)構(gòu)化模型和反饋控制原理，提出了一種人工控制器的STPA方法?？梢?jiàn)，對(duì)于含有人工控制器的復(fù)雜系統(tǒng)，系統(tǒng)理論、控制理論是分析和控制其安全性的有效途徑。

本文在文獻(xiàn)[4-6]的基礎(chǔ)上，采用基于系統(tǒng)理論的過(guò)程分析方法，以作戰(zhàn)飛機(jī)IFFPC系統(tǒng)的復(fù)雜任務(wù)為研究對(duì)象，建立含有人工控制器的STAMP模型，進(jìn)行STPA分析，并將其應(yīng)用于作戰(zhàn)飛機(jī)IFFPC系統(tǒng)的任務(wù)失效分析中，以期為今后進(jìn)一步的安全性分析研究奠定基礎(chǔ)。

1　IFFPC系統(tǒng)的STAMP模型

STAMP模型運(yùn)用系統(tǒng)理論和控制理論，將安全性問(wèn)題當(dāng)作系統(tǒng)的一種涌現(xiàn)特性。系統(tǒng)安全性被視為建立在組件之間相互作用和環(huán)境基礎(chǔ)上的一種特性，STAMP繼承了涌現(xiàn)性、層次性、可控性等系統(tǒng)概念，并在系統(tǒng)中施加安全性約束[8]。與將事故視為起源于初始原因事件的線性傳遞相比，STAMP認(rèn)為事故是由于不合理的控制和系統(tǒng)開(kāi)發(fā)以及設(shè)計(jì)和運(yùn)行階段安全性相關(guān)約束的不合理施加所致[9-10]。

[11-12]，結(jié)合STAMP相關(guān)理論，構(gòu)建軍用飛機(jī)IFFPC系統(tǒng)的STAMP模型，如圖1所示。利用該STAMP模型，可揭示全新的事故因果關(guān)系模型。本文所研究的事故泛指不能預(yù)期完成任務(wù)。位于低層的發(fā)動(dòng)機(jī)和飛機(jī)機(jī)體各自具有兩個(gè)相對(duì)獨(dú)立的控制系統(tǒng)，但必然通過(guò)飛機(jī)動(dòng)力學(xué)模型和運(yùn)動(dòng)學(xué)模型而相互關(guān)聯(lián)。位于上層的火力控制系統(tǒng)，向人工控制器提供任務(wù)控制指令，而人工控制器又向火力控制系統(tǒng)提供反饋信息；這些控制指令可以直接送向飛機(jī)運(yùn)動(dòng)控制系統(tǒng)和發(fā)動(dòng)機(jī)控制系統(tǒng)，也可直接接受來(lái)自飛機(jī)運(yùn)動(dòng)控制系統(tǒng)、發(fā)動(dòng)機(jī)控制系統(tǒng)的反饋信息。最重要的人工控制器位于中間層，既要向兩個(gè)低層控制系統(tǒng)施加控制信號(hào)，又要及時(shí)接受來(lái)自低層傳感器的狀態(tài)反饋信息，同時(shí)需要綜合判斷兩個(gè)低層的運(yùn)行態(tài)勢(shì)，綜合火力控制要求、運(yùn)行環(huán)境等信息，進(jìn)行統(tǒng)一協(xié)調(diào)。為了實(shí)現(xiàn)IFFPC系統(tǒng)分層控制，應(yīng)用任務(wù)約束、控制作用、反饋以及過(guò)程模型，其層次結(jié)構(gòu)清晰。在層次結(jié)構(gòu)中的每個(gè)層次均可當(dāng)作一個(gè)負(fù)責(zé)向其下方層次強(qiáng)制任務(wù)約束的控制器。從控制理論上來(lái)看，控制器需要四個(gè)必要條件：目標(biāo)條件(任務(wù)約束)、作用條件(控制作用)、可觀測(cè)性條件(反饋)及模型條件(過(guò)程模型)。STAMP定義了四類必須消除或者控制的不安全控制作用，以阻止事故發(fā)生：①安全性要求的控制作用不提供或者跟不上；②提供了導(dǎo)致危險(xiǎn)性的不安全控制作用；③潛在的安全控制作用提供得太晚、太早，或次序不符合要求；④安全控制作用停止得太快或者作用得太久。

圖1　IFFPC系統(tǒng)分層控制結(jié)構(gòu)模型Fig.1　Hierarchical control model of IFFPC system

2　IFFPC系統(tǒng)的STPA模型

根據(jù)圖1所示的IFFPC系統(tǒng)的STAMP模型，結(jié)合IFFPC系統(tǒng)的決策過(guò)程，得到IFFPC系統(tǒng)的STPA模型，如圖2所示。

圖2　人工控制器STPA分析Fig.2　STPA analysis of the manual controller

2.1人工控制器

從圖2可以看出，人工控制器包含有五類不同的事故原因因素。這五類事故原因因素直接起源于“反饋”、人的認(rèn)知(“檢測(cè)與解釋”、“意向模型”、“決策”)，以及作用的“提供”等不同階段。

第一類，用(1)表示，為反饋?zhàn)陨淼南嚓P(guān)缺陷。它包含顯示器、傳感器以及場(chǎng)景感受等所有反饋。在反饋到達(dá)人工控制器之前，要分析反饋是否存在，對(duì)于可能的UCA(不期望控制作用)，需指出反饋是否矛盾、錯(cuò)誤、錯(cuò)過(guò)、延時(shí)或者未刷新。第一類事故原因因素有可能來(lái)自于與可見(jiàn)功能和UCA相關(guān)的事故原因因素。

第二類，用(2)表示，為有缺陷的反饋檢測(cè)和解釋。為了獲得系統(tǒng)安全性，人工控制器必須準(zhǔn)確地檢測(cè)和解釋實(shí)際存在的過(guò)程狀態(tài)。任何通過(guò)反饋進(jìn)行的不正確過(guò)程狀態(tài)檢測(cè)和解釋，在出現(xiàn)相關(guān)的最差環(huán)境條件時(shí)，就會(huì)導(dǎo)致事故發(fā)生。

第三類，用(3)表示，為不一致過(guò)程模型。過(guò)程模型是人員認(rèn)知的意向模型，包括被控過(guò)程(發(fā)動(dòng)機(jī)、飛機(jī)本體等)的意向模型、自動(dòng)控制器(飛行自動(dòng)控制器、發(fā)動(dòng)機(jī)電調(diào))的意向模型以及兩者協(xié)調(diào)的意向模型，是飛行員通過(guò)學(xué)習(xí)飛行手冊(cè)等技術(shù)資料和通過(guò)大量實(shí)際操作建立的知識(shí)模型。當(dāng)過(guò)程模型與實(shí)際過(guò)程不一致時(shí)，就會(huì)導(dǎo)致事故發(fā)生。

第四類，用(4)表示，為有缺陷的決策。這種事故原因是由于底層部件故障導(dǎo)致的決策與實(shí)際情況不符。當(dāng)決策與實(shí)際情形不匹配時(shí)，就會(huì)導(dǎo)致事故發(fā)生。

第五類，用(5)表示，為導(dǎo)致UCA的不合理提供或者不提供應(yīng)有的功能。不合理功能或者不提供應(yīng)有的功能與反饋之間存在著內(nèi)在聯(lián)系，且內(nèi)在聯(lián)系可能是導(dǎo)致不安全控制作用的關(guān)鍵所在。

2.2火力控制系統(tǒng)

圖2中的(6)為火力控制系統(tǒng)向人工控制器下達(dá)的任務(wù)指令(給定的飛行高度、速度和方位)不合理、過(guò)時(shí)或者錯(cuò)誤。屬于第一類。

圖2中的(7)為人工控制器向火力控制系統(tǒng)提供的反饋不合理，丟失或延時(shí)。屬于第四類或者第五類。

2.3低層控制系統(tǒng)

在圖1所示的STAMP模型中，存在著兩個(gè)低層控制系統(tǒng)，即飛行控制系統(tǒng)和發(fā)動(dòng)機(jī)控制系統(tǒng)。這些控制系統(tǒng)均為一般反饋控制回路。建立的控制回路的STPA模型如圖3所示，圖中的①為不合理反饋，屬于第一類；②為不合理控制算法，屬于第二類；③為不一致過(guò)程模型，屬于第三類；④為錯(cuò)誤控制輸入或者外部信息，可導(dǎo)致決策錯(cuò)誤，屬于第四類。

圖3　控制回路的STPA模型Fig.3　STPA model of the control loop

3　IFFPC的STPA分析

3.1基本步驟

STPA(系統(tǒng)理論過(guò)程分析)[13]是一種基于STAMP事故模型的危險(xiǎn)性分析方法，是一種從上到下的系統(tǒng)工程方法，整個(gè)過(guò)程可以分成以下相互交叉、反復(fù)迭代的五個(gè)部分：

(1) 確定要分析的事故或危險(xiǎn)性：確定分析的事故或者系統(tǒng)級(jí)危險(xiǎn)性，即在開(kāi)始STPA分析之前，要識(shí)別與必須控制的系統(tǒng)安全性要求相聯(lián)系的潛在事故和相關(guān)的系統(tǒng)級(jí)危險(xiǎn)性。

(2) 建立系統(tǒng)層次結(jié)構(gòu)模型：確定分析對(duì)象的層次結(jié)構(gòu)系統(tǒng)模型，繪制功能控制結(jié)構(gòu)，包括組件之間的約束、反饋關(guān)系，以及由控制器、執(zhí)行器、傳感器和被控對(duì)象組成的控制回路。

(3) 識(shí)別潛在的不安全控制作用：依據(jù)STAMP中定義的四類不安全作用，識(shí)別可導(dǎo)致一個(gè)或多個(gè)所定義事故或者危險(xiǎn)性的各個(gè)不安全控制作用。

(4) 構(gòu)建安全性要求和約束：根據(jù)所識(shí)別的危險(xiǎn)性控制作用，生成系統(tǒng)行為和組件行為的安全性要求和約束。

(5) 確定每個(gè)潛在危險(xiǎn)控制作用的發(fā)生機(jī)理因素：檢查安全控制結(jié)構(gòu)的每個(gè)控制回路，識(shí)別揭示危險(xiǎn)控制作用或者其他違反安全性約束的潛在原因因素及主要的機(jī)理因素。

鑒于上文已經(jīng)建立了STAMP模型，并且STPA的重點(diǎn)在于安全性分析，并不是開(kāi)展安全性設(shè)計(jì)，于是分析中不涉及安全性要求和約束的構(gòu)建。下文將以“在飛機(jī)平臺(tái)狀態(tài)不滿足武器發(fā)射條件的情形下，火控系統(tǒng)企圖發(fā)現(xiàn)并截獲目標(biāo)”為任務(wù)失效源，分析該失效源對(duì)應(yīng)的不期望控制作用UCA，并識(shí)別每個(gè)UCA原因因素。

3.2引起失效的UCA識(shí)別

3.2.1過(guò)程狀態(tài)層次

根據(jù)STAMP模型，首先需確保飛機(jī)在發(fā)現(xiàn)并截獲目標(biāo)時(shí)具備發(fā)射條件，同時(shí)火控指令必須得到機(jī)長(zhǎng)或者地面指揮中心的許可，而且在發(fā)現(xiàn)與截獲的過(guò)程中其飛行路徑不能受氣象條件、地方威脅的影響。為此，高層需要考慮三組狀態(tài)，即PS1(發(fā)射條件)、PS2(火控指令)和PS3(空域模型)。

每個(gè)高層PS所對(duì)應(yīng)的低層PS如表1所示。

表1　過(guò)程狀態(tài)層次

每個(gè)高層PS過(guò)程有兩種基本狀態(tài)：滿足或者不滿足。只有當(dāng)高層PS過(guò)程狀態(tài)的條件都滿足時(shí)，才能開(kāi)始或繼續(xù)IFFPC，若任何一個(gè)高層PS過(guò)程狀態(tài)不滿足，則不能開(kāi)始或繼續(xù)IFFPC。任何一個(gè)高層PS過(guò)程狀態(tài)只有其對(duì)應(yīng)的低層PS過(guò)程狀態(tài)都滿足時(shí)才會(huì)滿足。

3.2.2UCA

通過(guò)以上的過(guò)程狀態(tài)層次分析，按照IFFPC開(kāi)始和持續(xù)兩種情況，給出UCA。所選擇失效源對(duì)應(yīng)的UCA如表2所示。

表2　失效源對(duì)應(yīng)的UCA

3.3引起UCA的事故原因因素識(shí)別

根據(jù)上述五類因素，結(jié)合過(guò)程狀態(tài)層次框架分析，分別列出分析結(jié)果，如表3所示。

表3　五類不同因素分析結(jié)果

第一類事故原因因素。主要表現(xiàn)因高層狀態(tài)信息不正確、錯(cuò)誤、及高層狀態(tài)信息之間的矛盾導(dǎo)致的事故。針對(duì)高層過(guò)程狀態(tài)PS1，其相對(duì)應(yīng)的任一反映飛機(jī)姿態(tài)的低層反饋信息都可能不正確、遺漏或沒(méi)有在適當(dāng)時(shí)間內(nèi)刷新，并且有可能各個(gè)低層狀態(tài)的反饋信息間會(huì)產(chǎn)生沖突，IFFPC各個(gè)設(shè)備間也會(huì)產(chǎn)生沖突，因此對(duì)應(yīng)的PS1高層狀態(tài)就會(huì)模糊不清。類似的這種狀況也會(huì)在PS2和PS3各自的高層過(guò)程狀態(tài)和低層過(guò)程狀態(tài)出現(xiàn)。另外一種反饋信息原因因素產(chǎn)生于PS1、PS2和PS3各個(gè)高層過(guò)程狀態(tài)信息的沖突，這將會(huì)導(dǎo)致錯(cuò)誤的意向模型和決策。傳統(tǒng)安全性分析方法對(duì)于這類事故原因因素中的狀態(tài)信息不正確、錯(cuò)誤可以有效地進(jìn)行分析，但是對(duì)于狀態(tài)信息之間矛盾所導(dǎo)致的事故卻不能有效地解決。例如，當(dāng)PS2中的指令得到許可，但是PS1的發(fā)射條件不滿足，同時(shí)PS3的空域模型沒(méi)有清空，飛行員將不能正確地執(zhí)行發(fā)射指令。

第二類事故原因因素。主要指由于過(guò)程更新的延時(shí)及其不正確解釋導(dǎo)致的事故。這類原因因素的分析遵循于第一類原因因素的分析模式，從其相關(guān)的高層過(guò)程狀態(tài)和低層過(guò)程狀態(tài)出發(fā)。例如，任一PS1低層過(guò)程狀態(tài)的改變?cè)谟邢薜臅r(shí)間內(nèi)有可能沒(méi)有被識(shí)別或者解釋不正確，因此會(huì)花費(fèi)大量的注意力，導(dǎo)致對(duì)高層過(guò)程狀態(tài)不準(zhǔn)確或相互沖突的理解。針對(duì)這類事故原因，傳統(tǒng)的安全性分析方法只能對(duì)反饋信息的正確與否進(jìn)行分析，而對(duì)其理解的正確與否并不能進(jìn)行有效的分析，如果忽略對(duì)其理解不正確這一原因因素，則有可能會(huì)導(dǎo)致飛行員過(guò)程模型的錯(cuò)誤，進(jìn)而導(dǎo)致錯(cuò)誤的開(kāi)始或繼續(xù)IFFPC。

第三類事故原因因素。這類事故原因因素是由于飛行員錯(cuò)誤的將不滿足的條件判斷為滿足。區(qū)別于以上兩種原因因素，這類事故原因因素是以高層過(guò)程狀態(tài)的抽象為中心，主要表現(xiàn)在飛行員對(duì)高層狀態(tài)信息的理解，當(dāng)飛行員的理解與實(shí)際狀態(tài)不相符時(shí)，就會(huì)導(dǎo)致事故。傳統(tǒng)的安全性分析方法對(duì)這類由于邏輯錯(cuò)誤引起的事故不能進(jìn)行有效地分析。此外，表3中的三種事故原因因素為或邏輯，任何一種的理解與實(shí)際狀況不符，都將會(huì)導(dǎo)致事故。在今后的系統(tǒng)設(shè)計(jì)中，對(duì)于復(fù)雜的多高層狀態(tài)信息的系統(tǒng)，加強(qiáng)邏輯的簡(jiǎn)化將會(huì)減輕相關(guān)操作人員的負(fù)擔(dān)，增強(qiáng)操作人員對(duì)系統(tǒng)實(shí)際狀態(tài)的理解能力，從而減少人為錯(cuò)誤，增加系統(tǒng)的安全性。

第四類事故原因因素。這類事故原因因素主要由于傳感器、執(zhí)行器、發(fā)動(dòng)機(jī)、飛控系統(tǒng)等相關(guān)設(shè)備的故障造成飛行員的決策與實(shí)際情形不匹配。決策與實(shí)際情況不匹配的原因主要是由于設(shè)備的故障，而并非系統(tǒng)的邏輯錯(cuò)誤和飛行員的理解錯(cuò)誤。傳統(tǒng)的安全性分析方法可以分析出因?yàn)檫@些設(shè)備故障導(dǎo)致的事故，值得注意的是，這只是引起事故的原因之一。

第五類事故原因因素。這類事故原因因素主要指飛行員不適當(dāng)?shù)拈_(kāi)始或繼續(xù)IFFPC，同時(shí)沒(méi)有通過(guò)反饋來(lái)及時(shí)調(diào)整這一錯(cuò)誤動(dòng)作。對(duì)于這種情況，如果是由于錯(cuò)誤的反饋信息導(dǎo)致的飛行員的錯(cuò)誤操作，可用傳統(tǒng)的安全性分析方法進(jìn)行分析；如果反饋信息正確，是由于某些外部干擾信息的影響導(dǎo)致的飛行員錯(cuò)誤操作，傳統(tǒng)的安全性分析方法將不能進(jìn)行相應(yīng)的分析。

上述分析的五類事故原因因素都直接或間接的與人為因素密切相關(guān)。從分析手段上看，不再將人為差錯(cuò)以概率的形式來(lái)體現(xiàn)，而是基于提出的STPA控制模型，對(duì)決策過(guò)程中的相關(guān)問(wèn)題進(jìn)行具體化的描述，根據(jù)火/飛/推控制系統(tǒng)的不同狀態(tài)、周圍環(huán)境等上下文信息著重對(duì)人為差錯(cuò)產(chǎn)生的事故原因進(jìn)行分析；從分析結(jié)果上看，不是簡(jiǎn)單的給定人為差錯(cuò)的概率，而是得出導(dǎo)致人為差錯(cuò)的具體原因。與傳統(tǒng)的安全性分析方法相比，本文所采用的方法在分析人為因素所導(dǎo)致的事故時(shí)，將人為差錯(cuò)的原因具體化，在改進(jìn)火/飛/推控制系統(tǒng)結(jié)構(gòu)、減少人為差錯(cuò)等方面具有實(shí)際意義。

4　結(jié)　論

(1) 本文應(yīng)用的基于系統(tǒng)理論過(guò)程的分析方法有效地解決了傳統(tǒng)的FTA、FMEA等基于線性事件鏈模型的安全性分析方法不能很好地解決人為危險(xiǎn)因素的問(wèn)題，通過(guò)作戰(zhàn)飛機(jī)IFFPC系統(tǒng)的STAMP模型及STPA分析方法，結(jié)合IFFPC系統(tǒng)的三種可能狀態(tài)，詳細(xì)地描述了人工控制器包含的五類事故原因因素。

(2) 與傳統(tǒng)安全性分析方法相比，將分析的重點(diǎn)從基于線性事件鏈模型的相關(guān)問(wèn)題轉(zhuǎn)移到基于系統(tǒng)理論的過(guò)程控制問(wèn)題，主要對(duì)控制過(guò)程中潛在的危險(xiǎn)原因因素進(jìn)行分析，找出危險(xiǎn)源頭，并通過(guò)規(guī)范和限制人的控制行為來(lái)確保任務(wù)的完成，彌補(bǔ)了傳統(tǒng)安全性分析方法存在的缺陷，為含有人工控制器的復(fù)雜系統(tǒng)的安全性分析提供了一種新的思路。

參考文獻(xiàn)

[1] 秦彥磊， 陸愈實(shí)， 王娟. 系統(tǒng)安全分析方法的比較研究[J]. 中國(guó)安全生產(chǎn)科學(xué)技術(shù)， 2006， 2(3): 64-67.

Qin Yanlei, Lu Yushi, Wang Juan. Contrast research of system safety analysis methods[J]. Journal of Safety Science and Technology, 2006， 2(3): 64-67.(in Chinese)

[2] Kaiser J, Vernaleken C. Civil aviation[M]. Berlin: Springer Berlin Heidelberg, 2013: 135-158.

[3] Selles J W. Crashed during approach, Boeing 737-800, near amsterdam schiphol airport[EB/OL].(2009-02-25)[2016-04-19]. http:∥catsr.ite.gmu.edu/SYST460/TA1951_AccidentReport.pdf.

[4] Boyd J R. The essence of winning and losing[EB/OL].(2010-08-10)[2016-04-19]. https:∥www.researchgat-e.net/publication/247868527_The_Essence_of_Winning_and_Losing.

[5] Rasmussen J. Skills, rules, and knowledge: signals, signs, and symbols, and other distinctions in human performance models[J]. IEEE Transactions on Systems, Man and Cybernetics, 1983, 13(3): 257-266.

[6] Cameron L T. Extending the human-controller methodology in systems-theoretic process analysis(STPA)[D]. Cambridge: MIT, 2014.

[7] Nancy G Leveson. Engineering a safer world: systems thinking applied to safety[D]. Cambridge: MIT, 2012.

[8] 劉杰, 陽(yáng)小華, 余童蘭, 等. 基于STAMP模型的核動(dòng)力蒸汽發(fā)生器水位控制系統(tǒng)安全性分析[J]. 中國(guó)安全生產(chǎn)科學(xué)技術(shù), 2014, 10(5): 78-83.

Liu Jie, Yang Xiaohua, Yu Tonglan, et al. Safety analysis on control system for water level of steam generator in nuclear power plant based on STAMP model[J]. Journal of Safety Science and Technology, 2014, 10(5): 78-83.(in Chinese)

[9] Nancy G Leveson. A new accident model for engineering safer systems[J]. Safety Science, 2004, 42(4): 237-270.

[10] 鄭磊, 胡劍波. 基于STAMP/STPA的機(jī)輪剎車系統(tǒng)安全性分析[J/OL]. 航空學(xué)報(bào), http:∥www.cnki.net/kcms/detail/11.1929.V.20160606.1616.008.html.

Zheng Lei, Hu Jianbo. Safety analysis of wheel brake system based on STAMP/STPA[J/OL]. Acta Aeronautica et Astronautica Sinica, http:∥www.cnki.net/kcms/detail/11.1929.V.20160606.1616.008.html.(in Chinese)

[11] 宋述杰， 張怡哲， 鄧建華. 火/飛/推綜合控制系統(tǒng)及其仿真平臺(tái)研究[J]. 飛行力學(xué)， 2007， 25(1)： 30-33.

Song Shujie, Zhang Yizhe, Deng Jianhua. Study on an integrated fire/flight/propulsion control system and its digital simulation/design plaform[J]. Flight Dynamics, 2007， 25(1)： 30-33.(in Chinese)

[12] 張怡哲. 火力/飛行/推進(jìn)控制系統(tǒng)綜合研究[D]. 西安： 西北工業(yè)大學(xué), 2001.

Zhang Yizhe. Study of integrated flight/fire/propulsion control system[D]. Xi’an: Northwestern Polytechnical University, 2001.(in Chinese)

[13] Nancy G Leveson. An STPA primer[EB/OL].(2013-08-01)[2016-04-19]. http:∥sunnyday.mit.edu/STPA-Primer-v0.pdf.

(編輯：趙毓梅)

STAMP Modeling and STPA Analysis for Complex Tasks of Integrated Fire, Flying and Propulsion Control Systems

Hu Jianbo, Zheng Lei

(College of Material Management and Safety Engineering, Air Force Engineering University, Xi’an 710051, China)

With the system’s complexity increasing, the accidents caused by human errors are increasing. Traditional analysis methods, such as FTA(Fault Tree Analysis) and FMEA(Failure Mode and Effects Analysis) that based on the linear chain of events, can not identify the system risks caused by human errors. So the system-theoretic process analysis method is used to identify the potential risks of the combat aircraft’s integrated fire, flying and propulsion control(IFFPC) system caused by human errors. Firstly, a STAMP model of the combat aircraft’s IFFPC system is established, then the STPA analysis model of the combat aircraft’s IFFPC system is built. In the end, according to the five kinds factors of failed mission, the risk factors of the combat aircraft’s IFFPC system’s unsafe control action(UCA)are identified. The result shows that, the STPA method makes up for the weaknesses of traditional analysis methods, and effectively solves the problem that the traditional analysis methods, such as FTA and FMEA based on the linear chain of events, can not identify the system risks caused by human errors. The method laid a solid foundation for the further safety analysis.

integrated fire, flying and propulsion control systems; safety analysis; manual controller; STPA model; identify risk factors

2016-04-19；

2016-06-11

胡劍波,jian_bo_h@163.com

1674-8190(2016)03-309-07

X949

A

10.16615/j.cnki.1674-8190.2016.03.007

胡劍波(1965-)，男，博士，教授。主要研究方向：先進(jìn)控制理論與應(yīng)用、安全性工程、信息系統(tǒng)工程。

鄭磊(1987-)，男，博士研究生。主要研究方向：安全性工程、飛行器適航性管理與驗(yàn)證。