胡劍波，李俊，鄭磊

(空軍工程大學(xué) 裝備管理與無人機(jī)工程學(xué)院，西安 710051)

航空四站氣體保障過程的STAMP建模與STPA安全性分析

胡劍波，李俊，鄭磊

(空軍工程大學(xué) 裝備管理與無人機(jī)工程學(xué)院，西安 710051)

航空四站氣體保障裝備的可靠性在不斷提高，而氣體保障過程中的事故仍有發(fā)生，需要一種新的方法系統(tǒng)地去識(shí)別新的危險(xiǎn)因素，從而提高系統(tǒng)的安全性。從控制的角度結(jié)合STAMP和STPA對(duì)航空四站氣體保障過程進(jìn)行安全性分析。首先，介紹STAMP/STPA的工作機(jī)理；然后，對(duì)航空四站氣體保障過程構(gòu)建STAMP模型，采用STPA安全分析方法對(duì)航空四站氣體保障過程的安全性進(jìn)行分析，識(shí)別不安全控制行為，對(duì)生成的不安全控制行為進(jìn)行場(chǎng)景分析；最后，與事故樹分析法(ATA)進(jìn)行分析結(jié)果的比較，從而證實(shí)了該方法的優(yōu)越性。結(jié)果表明：采用STAMP模型和STPA安全分析法可以更加全面地識(shí)別出不安全控制行為及其原因，更有利于保證航空四站氣體保障過程的安全。

安全性；安全分析方法；STAMP；STPA；航空四站氣體保障過程

0 引 言

航空四站保障[1-2]是空軍航空兵部隊(duì)?wèi)?zhàn)斗力生成的關(guān)鍵環(huán)節(jié)，是空軍飛機(jī)能夠及時(shí)飛行執(zhí)行任務(wù)的基礎(chǔ)。航空四站保障包含熱工、電力電子、機(jī)械、化學(xué)、控制等多學(xué)科，是一個(gè)多領(lǐng)域交叉的復(fù)雜系統(tǒng)工程，并且其保障任務(wù)繁重，完成質(zhì)量要求高，保障的質(zhì)量直接影響著飛行安全。隨著系統(tǒng)的復(fù)雜性和耦合性不斷增強(qiáng)，尤其是計(jì)算機(jī)、人工智能等新技術(shù)的大范圍使用，使現(xiàn)在事故致因不僅有組件失效、操作違規(guī)，并且出現(xiàn)了一些傳統(tǒng)方法無法識(shí)別的原因。因此，需要構(gòu)建新的方法系統(tǒng)去識(shí)別新的危險(xiǎn)因素，從而提高系統(tǒng)的安全性。

傳統(tǒng)的事故模型有多米諾模型[3]和瑞士奶酪模型[4]，這兩個(gè)模型假設(shè)事故存在單一或根本原因，基于該假設(shè)，傳統(tǒng)的預(yù)防事故的最常用的技術(shù)為斷開事件鏈，而該假設(shè)是不符合實(shí)際的。傳統(tǒng)的安全性分析方法(例如事故樹分析法(ATA)[5]、故障樹分析法(FTA)[6-7]、失效模式與影響分析法(FMEA)[8-9])認(rèn)為事故是由組件失效引起的一連串的失效，并且認(rèn)為選擇高可靠性的器件就能減少事故的發(fā)生。雖然傳統(tǒng)的安全分析方法在分析簡(jiǎn)單系統(tǒng)時(shí)取得了很好的效果，但對(duì)復(fù)雜系統(tǒng)[10]顯得力不從心。傳統(tǒng)的安全性分析方法在分析復(fù)雜系統(tǒng)故障時(shí)需要投入大量的人力物力，但卻依然無法避免因?yàn)榻M件交互、系統(tǒng)本身設(shè)計(jì)缺陷、人機(jī)交互等引起的事故發(fā)生[11]。因此，無論從經(jīng)濟(jì)性還是安全性的需求出發(fā)，基于可靠性的分析方法都是不可取的。

針對(duì)傳統(tǒng)的安全分析方法面臨的難題，N.G.Leveson等提出了新事故模型(Systems-Theoretic Accident Modeling and Processe’s，簡(jiǎn)稱STAMP)[12-13]，并把STAMP模型成功地應(yīng)用在航空[12]、交通運(yùn)輸[14]和組織管理[15]等安全問題上。國(guó)內(nèi)也已經(jīng)開始對(duì)STAMP進(jìn)行研究，鄭磊等[16]成功用STAMP對(duì)機(jī)輪剎車系統(tǒng)建模，用STPA(Systems-Theoretic Process Analysis)方法分析了不安全的控制行為以及導(dǎo)致不安全控制行為的原因，仿真說明了人為因素對(duì)剎車系統(tǒng)安全的影響；王起全等[17]根據(jù)STAMP原理針對(duì)地鐵突發(fā)事件引起人群恐慌而導(dǎo)致?lián)頂D踩踏事故設(shè)計(jì)了應(yīng)急聯(lián)動(dòng)系統(tǒng)，對(duì)地鐵人群密度進(jìn)行監(jiān)控，以便在事故發(fā)生之前對(duì)人群進(jìn)行應(yīng)急疏散，從而降低了事故發(fā)生的可能性；李娟等[18]用STAMP/STPA對(duì)艦載軟件設(shè)計(jì)的安全性進(jìn)行了分析，對(duì)開發(fā)滿足系統(tǒng)安全需求的艦載作戰(zhàn)系統(tǒng)軟件具有積極的指導(dǎo)意義。

目前，對(duì)航空四站氣體保障過程的安全性分析的研究較少。本文從控制的角度結(jié)合STAMP和STPA對(duì)航空四站氣體保障過程進(jìn)行安全性分析。首先根據(jù)航空四站氣體保障過程建立STAMP模型，然后采用STPA方法對(duì)飛機(jī)氣體保障過程中不安全的控制行為以及可能導(dǎo)致的危險(xiǎn)進(jìn)行闡述，最后對(duì)產(chǎn)生不安全控制行為的場(chǎng)景進(jìn)行進(jìn)一步分析，以期為提高航空四站氣體保障過程的安全性提供新的方法和思路。

1 STAMP/STPA工作機(jī)理

STAMP的三個(gè)基本概念是安全約束、分層安全控制結(jié)構(gòu)和過程模型。STAMP認(rèn)為安全性是系統(tǒng)的涌現(xiàn)性，把復(fù)雜系統(tǒng)用層次模型表示，構(gòu)建分層安全控制結(jié)構(gòu)，高層次對(duì)低層次的控制行為施加安全約束，低層次執(zhí)行完畢后給高層次提供反饋，高層次根據(jù)反饋進(jìn)行調(diào)整，循環(huán)進(jìn)行。每個(gè)層次都對(duì)應(yīng)著一個(gè)或多個(gè)過程模型，層次之間約束的有效執(zhí)行和反饋的及時(shí)準(zhǔn)確實(shí)現(xiàn)了系統(tǒng)安全的動(dòng)態(tài)平衡。STAMP把安全性看作是一個(gè)控制問題，認(rèn)為事故是在組件失效、外部干擾以及組件的異常交互沒有得到合理的控制時(shí)可能發(fā)生。

STPA[19]方法是一種建立在STAMP事故模型基礎(chǔ)上的危險(xiǎn)性分析方法，包含STAMP識(shí)別出的、傳統(tǒng)的技術(shù)無法處理的新的致因因素，它可以識(shí)別涵蓋整個(gè)事故的事故場(chǎng)景，例如軟件設(shè)計(jì)錯(cuò)誤(包括軟件缺陷)、組件交互事故、人為因素、組織因素以及環(huán)境因素。

STPA方法對(duì)事故、危險(xiǎn)、不安全控制行為(UCA)和UCA的場(chǎng)景分別進(jìn)行了定義：

(1) 事故是指導(dǎo)致?lián)p失的意外的、不期望的事件，損失包括人員生命損失或者受傷、財(cái)產(chǎn)損毀、環(huán)境污染以及任務(wù)失效等；

(2) 危險(xiǎn)是指潛在的與某一特定環(huán)境條件相結(jié)合，可能導(dǎo)致事故(損失)的某一系統(tǒng)狀態(tài)或者情形的集合；

(3) STPA方法定義了四種不安全控制行為：①?zèng)]有提供需要的安全控制行為；②提供的不安全控制行為；③安全控制行為太遲、太早或失序；④提供的安全控制行為過早結(jié)束或作用的時(shí)間太長(zhǎng)；

(4) UCA的場(chǎng)景是指導(dǎo)致每一個(gè)不安全控制行為發(fā)生的潛在的不安全情況和原因的集合。

STPA方法主要有兩個(gè)步驟：

(1) 識(shí)別不安全控制行為(UCA)；

(2) 產(chǎn)生UCA的場(chǎng)景分析。

在具體分析時(shí)，需要建立合理的控制/反饋回路(如圖1所示)。

事故致因主要分為三類：控制器、執(zhí)行器、控制過程以及傳感器本身的設(shè)計(jì)不合理或者失效；信息的傳遞過程中出現(xiàn)了丟失、延遲、被錯(cuò)誤的理解等問題；不合理的外界干擾。當(dāng)出現(xiàn)危險(xiǎn)征兆時(shí)能否及時(shí)準(zhǔn)確地發(fā)出合理的控制指令是預(yù)防事故發(fā)生的關(guān)鍵。

2 航空四站氣體保障過程的STAMP模型

航空四站氣體保障主要分為生產(chǎn)、存儲(chǔ)、運(yùn)輸和充氣四個(gè)部分。氣體保障主要包括氧氣和氮?dú)?，結(jié)合部隊(duì)實(shí)際，通過調(diào)查發(fā)現(xiàn)常見的事故主要出現(xiàn)在充氧部分。因此，本文主要對(duì)充氧過程的安全性進(jìn)行分析。

航空四站氣體保障過程是充氣員和機(jī)務(wù)人員配合進(jìn)行氣體保障，根據(jù)指揮層任務(wù)指示、工作安排以及保障現(xiàn)場(chǎng)實(shí)際及時(shí)將所需氣體運(yùn)輸?shù)街付ǖ攸c(diǎn)進(jìn)行氣體保障，在充氣時(shí)要嚴(yán)格按充氣規(guī)定進(jìn)行操作，根據(jù)機(jī)組維護(hù)保障流程在合適的時(shí)機(jī)充氣，充氣員控制進(jìn)氣閥，機(jī)務(wù)人員負(fù)責(zé)把接頭連接上飛機(jī)，固定后進(jìn)行充氣，根據(jù)座艙儀表變化告知充氣員調(diào)整充氣速度，機(jī)務(wù)人員需有一定的提前量打手勢(shì)提示充氣完畢，充氣完畢后需要先關(guān)閉進(jìn)氣閥，而后才能拔出接頭，防止發(fā)生人員意外受傷。

根據(jù)上述邏輯關(guān)系搭建航空四站氣體保障過程的STAMP模型，如圖2所示。

從圖2可以看出：指揮層同時(shí)控制著兩個(gè)STPA回路，一個(gè)是由充氣員、進(jìn)氣閥、氧氣車以及儀表(包括氣壓表、溫度表)、壓力報(bào)警信號(hào)燈組成的，另一個(gè)是由機(jī)務(wù)人員、接頭、飛機(jī)以及氧氣氣壓表、氧氣壓力報(bào)警信號(hào)燈組成的，兩個(gè)回路之間相互溝通。只有當(dāng)兩個(gè)STPA回路運(yùn)行正常、溝通正常、反饋及時(shí)以及指揮層對(duì)兩個(gè)STPA回路的指揮準(zhǔn)確無誤的情況下，整個(gè)氣體保障過程才能確保安全。

3 航空四站氣體保障過程的STPA安全性分析

3.1 系統(tǒng)級(jí)事故的確定

STPA安全性分析方法的第一步是確定系統(tǒng)可能發(fā)生的事故和不可接受的損失。航空四站氣體保障過程可能造成的事故和損失(包括人員受傷或死亡、影響飛行安全、火災(zāi)或爆炸)如表1所示。

表1 航空四站氣體保障過程的系統(tǒng)級(jí)事故

人員受傷或死亡(A-1)主要包括司機(jī)、充氣員、機(jī)務(wù)人員等其他人員吸入氧氣中毒、凍傷以及設(shè)備運(yùn)行超過限制引起爆炸從而導(dǎo)致人員受傷或死亡。飛行員受傷或飛機(jī)墜毀(A-2)是指飛行員無法在高空中正常吸氧，容易導(dǎo)致飛行員受傷，甚至引起飛機(jī)墜毀。火災(zāi)或爆炸(A-3)主要是指氧氣在遇到電火花、明火或者設(shè)備運(yùn)行超過限制等情況時(shí)發(fā)生的嚴(yán)重事故。

3.2 系統(tǒng)級(jí)危險(xiǎn)的確定

系統(tǒng)級(jí)危險(xiǎn)是可能導(dǎo)致系統(tǒng)級(jí)事故發(fā)生的子集，系統(tǒng)級(jí)的危險(xiǎn)可能會(huì)導(dǎo)致多個(gè)系統(tǒng)級(jí)事故的發(fā)生。航空四站氣體保障過程的系統(tǒng)級(jí)危險(xiǎn)如表2所示。

表2 航空四站氣體保障過程的系統(tǒng)級(jí)危險(xiǎn)

氧氣外泄(H-1)是指氧氣外泄到空氣中，空氣中氧氣濃度高于40%也會(huì)發(fā)生氧中毒，同時(shí)液氧屬于低溫高壓物質(zhì)，工作人員容易被凍傷，氧氣可以與可燃物形成火災(zāi)或爆炸。輸氣管道壓力過低(H-2)會(huì)引起氧氣殘余在輸氣管道中，如果殘余的氧氣沒有及時(shí)處理，遇到電火花等其他易燃物會(huì)導(dǎo)致火災(zāi)或爆炸、地面人員受傷或死亡等意外情況。輸氣管道壓力過高(H-3)是指輸氣管道中氧氣壓力過高導(dǎo)致充氣接頭以及管道運(yùn)行超過限值，極易造成人員傷害或死亡、火災(zāi)或爆炸等意外的發(fā)生。飛機(jī)氧氣壓力過低(H-4)容易影響飛行員在高空中吸氧，可能會(huì)引起飛行員受傷甚至飛機(jī)墜毀。飛機(jī)氧氣壓力過高(H-5)主要分為兩種情況：一是在地面飛機(jī)氧氣壓力過高的情況下持續(xù)充氣，會(huì)引起飛機(jī)氧氣存儲(chǔ)裝置超限，從而導(dǎo)致火災(zāi)或爆炸、地面人員受傷或死亡事故的發(fā)生；二是在飛機(jī)氧氣壓力過高的情況下繼續(xù)執(zhí)行飛行任務(wù)，在高空需要供氧時(shí)氧氣壓力過高，會(huì)導(dǎo)致飛行員受傷，嚴(yán)重時(shí)會(huì)直接使飛行員無法正常操控飛機(jī)，從而導(dǎo)致飛機(jī)墜毀。

3.3 識(shí)別不安全控制行為(UCA)

根據(jù)建立的航空四站氣體保障過程的STAMP模型，結(jié)合保障的流程，識(shí)別潛在的危險(xiǎn)控制。執(zhí)行層最主要的控制是打開進(jìn)氣閥、關(guān)閉進(jìn)氣閥和連接接頭、拔出接頭。

根據(jù)STPA方法定義的四種不安全控制行為，可以列出執(zhí)行層潛在的不安全控制行為，如表3所示。

表3 潛在的不安全控制行為

3.4 產(chǎn)生UCA的場(chǎng)景分析

確定好不安全的控制行為以及該行為導(dǎo)致的危險(xiǎn)后，根據(jù)STPA分析方法的控制/反饋模型，得到控制行為導(dǎo)致危險(xiǎn)的主要原因有兩個(gè)方面：①不正確、不及時(shí)等不恰當(dāng)?shù)目刂菩袨閷?dǎo)致的危險(xiǎn)；②不及時(shí)不完整等不合理的信息反饋導(dǎo)致的危險(xiǎn)。

根據(jù)上述導(dǎo)致危險(xiǎn)的主要原因，將航空氣體保障過程的STAMP模型分成兩個(gè)部分，即控制和反饋，如圖3所示。

3.4.1 不正確、不及時(shí)等不恰當(dāng)?shù)目刂菩袨閷?dǎo)致的危險(xiǎn)

圖3控制/反饋回路中的上半部分1和3是主動(dòng)控制部分，分析導(dǎo)致不正確不及時(shí)等不恰當(dāng)?shù)目刂菩袨榈年P(guān)鍵原因如下：

(1) 充氣員

①充氣員沒有通過崗前培訓(xùn)，無證上崗，導(dǎo)致了危險(xiǎn)。

②充氣員業(yè)務(wù)能力很強(qiáng)，但是由于當(dāng)天身體狀態(tài)不佳，導(dǎo)致了不合理的操作。

③充氣員由于長(zhǎng)時(shí)間休假，剛回單位就匆忙上崗，導(dǎo)致錯(cuò)誤的控制行為。

④充氣員在打開進(jìn)氣閥和連接接頭時(shí)沒有按照規(guī)定次序打開。

⑤充氣員在飛機(jī)沒有完成液壓檢測(cè)就進(jìn)行充氣。

⑥充氣員沒有和機(jī)務(wù)人員做好交流，同時(shí)也沒有進(jìn)行復(fù)查，在不知道接頭沒有固定好的情況下，打開充氣閥門。

⑦充氣員在進(jìn)行充氧的時(shí)，打開進(jìn)氣閥的速度過快。

⑧充氣員在沒有機(jī)務(wù)人員在場(chǎng)的時(shí)候，在對(duì)飛機(jī)狀態(tài)不了解的情況下，擅自充氣。

⑨充氣員錯(cuò)誤的理解了機(jī)務(wù)人員的意思，從而導(dǎo)致了錯(cuò)誤的控制行為。

⑩充氣員在受到多重工作指示，導(dǎo)致工作思維混淆，造成錯(cuò)誤控制行為。

(2) 進(jìn)氣閥

①進(jìn)氣閥設(shè)計(jì)不合理。

②進(jìn)氣閥沒有設(shè)置安全操作提示。

③進(jìn)氣閥沒有做好定期檢查。

(3) 機(jī)務(wù)人員

①充氧達(dá)到飛機(jī)需求時(shí)，機(jī)務(wù)人員沒有向充氣員打手勢(shì)，導(dǎo)致充氣員沒有能夠及時(shí)關(guān)閉充氣閥門。

②飛機(jī)沒有完成液壓系統(tǒng)檢測(cè)時(shí)，機(jī)務(wù)人員沒有告知充氣員。

③充氧前應(yīng)當(dāng)把接頭與飛機(jī)的連接固定好，在沒有固定好接口時(shí)就通知充氣員可以充氧，從而導(dǎo)致危險(xiǎn)。

④在充氧過程中發(fā)現(xiàn)充氣接口沒有固定好，違規(guī)操作，從而導(dǎo)致危險(xiǎn)。

⑤在沒有達(dá)到充氣需求量時(shí)，就打手勢(shì)提示充氣員關(guān)閉充氣閥，從而對(duì)飛行安全造成影響。

⑥機(jī)務(wù)人員給充氣員提供了錯(cuò)誤的氧氣需求量，導(dǎo)致充氣員錯(cuò)誤的控制行為。

(4) 接頭

①接頭和輸氣管道的連接松動(dòng)。

②接頭的質(zhì)量不合格。

③接頭上有油脂。

④接頭的設(shè)計(jì)不合理。

(5) 外界干擾

①指揮層對(duì)充氣工作的安排不合理。

②在工作過程指揮層或在場(chǎng)的其他人員的臨時(shí)干擾，對(duì)控制指令的下達(dá)有著較大影響。

③工作區(qū)域有人違規(guī)用火。

3.4.2 不及時(shí)不完整等不合理的信息反饋導(dǎo)致的危險(xiǎn)

圖3控制/反饋回路中的下半部分2和4是反饋部分，分析導(dǎo)致不及時(shí)不完整等不合理的信息反饋的關(guān)鍵原因如下：

(1) 反饋信息的產(chǎn)生

①氧氣車的壓力報(bào)警信號(hào)燈參數(shù)設(shè)計(jì)太高。

②氧氣車的測(cè)量氧氣壓力的儀表設(shè)計(jì)不合理，不能得到及時(shí)準(zhǔn)確的數(shù)據(jù)。

③氧氣車的測(cè)量氧氣溫度的儀表設(shè)計(jì)不合理，不能得到及時(shí)準(zhǔn)確的數(shù)據(jù)。

④氧氣車的測(cè)量氧氣輸出量的儀表設(shè)計(jì)不合理，不能給出正確的氣體輸出數(shù)據(jù)。

⑤氧氣車的車載軟件設(shè)計(jì)不合理，不能及時(shí)地把氧氣的實(shí)時(shí)狀態(tài)顯示出來。

⑥飛機(jī)氣壓儀表測(cè)量氣體壓力的方法設(shè)計(jì)不合理。

⑦飛機(jī)氣體壓力報(bào)警器設(shè)計(jì)不合理，當(dāng)氣體超過飛行限定的值時(shí)，沒有能夠及時(shí)報(bào)警。

(2) 反饋信息的傳輸

①氧氣車測(cè)量氧氣輸出量的數(shù)據(jù)在傳輸?shù)倪^程中有丟失或者延遲。

②氧氣車測(cè)量氧氣壓力的數(shù)據(jù)在傳輸?shù)倪^程中有丟失或者延遲。

③飛機(jī)測(cè)量氧氣壓力數(shù)據(jù)在傳輸?shù)倪^程中有丟失或者延遲。

④機(jī)務(wù)人員對(duì)氧氣是否達(dá)到需求量的反饋不準(zhǔn)確、延遲或者丟失。

⑤機(jī)務(wù)人員對(duì)充氣接頭是否連接好的信息反饋不及時(shí)、延遲或者丟失。

(3) 外界因素的影響

①由于外場(chǎng)霧比較濃，導(dǎo)致機(jī)務(wù)人員看飛機(jī)氧氣氣壓表時(shí)產(chǎn)生誤判，過早或過晚通知充氣員關(guān)閉充氣閥門，從而對(duì)飛行安全造成影響。

②外場(chǎng)的噪音太大，影響充氣員和機(jī)務(wù)人員之間的溝通。

4 比較分析

采用事故樹分析法(ATA)對(duì)航空四站氣體保障過程安全性進(jìn)行分析，得到導(dǎo)致火災(zāi)或爆炸事故的原因[20]共19種，包含壓力管道不合格、壓力管道未檢驗(yàn)、壓力表不合格、氧氣瓶不合格、作業(yè)人員違章操作、閥門沾油脂等。

綜上所述，采用基于可靠性的事故樹分析法(ATA)考慮了組件故障、人員違章、人員業(yè)務(wù)能力以及安全檢查不到位等對(duì)安全的影響，沒有考慮軟件的設(shè)計(jì)，人機(jī)之間的交互、組件之間的交互，外界的干擾以及工作制度的合理性，更沒有考慮員工的身體狀況。采用STPA得到的不安全行為的場(chǎng)景分析結(jié)果更全面，更有利于保證航空四站氣體保障過程的安全。

5 結(jié)束語

(1) 采用STAMP理論對(duì)航空氣體保障過程進(jìn)行建模，并用STPA進(jìn)行分析，識(shí)別了氣體保障過程中人工控制器的不安全控制行為，識(shí)別了人員之間的溝通缺陷、軟件設(shè)計(jì)等事故致因，并對(duì)其產(chǎn)生原因進(jìn)行了全面分析，對(duì)提高航空氣體保障過程的安全性具有重要意義。

(2) 采用STAMP模型和STPA安全分析法可以更加全面地識(shí)別出不安全控制行為及其原因，更有利于保證航空四站氣體保障過程的安全。

(3) ATA注重組件故障，難以全面對(duì)復(fù)雜系統(tǒng)進(jìn)行分析，STPA注重識(shí)別不安全控制行為以及不安全控制行為產(chǎn)生的原因，能夠擴(kuò)大致因結(jié)果同時(shí)彌補(bǔ)ATA的不足。但STPA缺乏定量的方法以及復(fù)雜系統(tǒng)的控制結(jié)構(gòu)難以刻畫，是影響其發(fā)展的重要因素，有待于進(jìn)一步研究。

[1] 范紅軍, 楊中書, 陳友龍, 等. 航空四站綜合保障能力的灰色評(píng)估[J]. 數(shù)據(jù)采集與處理, 2010, 25(增刊1): 207-210.

Fan Hongjun, Yang Zhongshu, Chen Youlong, et al. Capacity evaluation of aviation four-station integrate providing with grey method[J]. Journal of Data Acquisition amp; Processing, 2010, 25(S1): 207-210.(in Chinese)

[2] 王亞東, 魏曉斌, 李德權(quán). 基于SE-DEA和Malmquist模型的四站保障安全評(píng)價(jià)[J]. 海軍航空工程學(xué)院學(xué)報(bào), 2016, 31(5): 547-553, 594.

Wang Yadong, Wei Xiaobin, Li Dequan. Assessment on security efficiency of aviation four stations guarantee based on SE-DEA and Malmquist model[J]. Journal of Naval Aeronautical and Astronautical University, 2016, 31(5): 547-553, 594.(in Chinese)

[3] Jehring J. Industrial accident prevention: a scientific approach by H.W.Heinrich[J]. Industrial amp; Labor Relations Review, 1959, 4(4): 609-609.

[4] Ahmad M, Pontiggia M. Modified swiss cheese model to analyse the accidents[J]. Chemical Engineering Transactions, 2015, 43: 1237-1242.

[5] 李琳, 趙劍. 事故樹分析法在城鎮(zhèn)燃?xì)庀到y(tǒng)安全監(jiān)控中的應(yīng)用[J]. 遼寧化工, 2017, 46(2): 173-176.

Li Lin, Zhao Jian. Application of fault tree analysis method in city safety monitoring system[J]. Liaoning Chemical Industry, 2017, 46(2): 173-176.(in Chinese)

[6] Peter Neumann. Safeware: system safety and computers[J]. Acm Sigsoft Software Engineering Notes, 1995, 20(5): 90-91.

[7] 胡劍波, 鄭磊. 綜合火/飛/推控制系統(tǒng)復(fù)雜任務(wù)的STAMP建模和STPA分析[J]. 航空工程進(jìn)展, 2016, 7(3): 309-315.

Hu Jianbo, Zheng Lei. STAMP modeling and STPA analysis for complex tasks of integrated fire, flying and propulsion control systems[J]. Advances in Aeronautical Science and Engineering, 2016, 7(3): 309-315.(in Chinese)

[8] Fullwood R R. Probabilistic safety assessment in the chemical and nuclear industries[M]. Boston: Butterworth-Heinemann, 2000: 97-122.

[9] 郭鵬. 基于Petri網(wǎng)的飛機(jī)復(fù)雜系統(tǒng)可靠性分析方法研究[J]. 航空工程進(jìn)展, 2016, 7(2): 174-180.

Guo Peng. Research on the reliability analysis method of the complex aircraft system based on the Petri net[J]. Advances in Aeronautical Science and Engineering, 2016, 7(2): 174-180.(in Chinese)

[10] Jianbo Hu, Lei Zheng. Functional control structure model for the complex systems and its application in system safety analysis[J]. Journal of Measurement in Engineering, 2016, 4(2): 70-81.

[11] Nancy G Leveson. Engineering a safer world: systems th-inking applied to safety[D]. Cambridge: MIT, 2012.

[12] Leveson N G. A systems-theoretic approach to safety in software-intensive systems[J]. IEEE Trans. on Dependable and Secure Computing, 2004, 1(1): 66-68.

[13] Leveson N G. A new accident model for engineering safer systems[J]. Safety Science, 2004, 42(4): 237-270.

[14] Fleming C H, Leveson N G. Early concept development and safety analysis of future transportation systems[J]. IEEE Transactions on Intelligent Transportation Systems, 2016, PP(99): 1-12.

[15] Salmon P M, Read G J, Stevens N J. Who is in control of road safety? A STAMP control structure analysis of the road transport system in Queensland, Australia[J]. Accident Analysis amp; Prevention, 2016, 96: 140-151.

[16] 鄭磊, 胡劍波. 基于STAMP/STPA的機(jī)輪剎車系統(tǒng)安全性分析[J]. 航空學(xué)報(bào), 2017, 38(1): 241-251.

Zheng Lei, Hu Jianbo. Safety analysis of wheel brake system based on STAMP/STPA[J]. Acta Aeronautica et Astronautica Sinica, 2017, 38(1): 241-251.(in Chinese)

[17] 王起全, 吳嘉鑫. 基于STAMP模型的地鐵擁擠踩踏應(yīng)急聯(lián)動(dòng)系統(tǒng)設(shè)計(jì)[J]. 中國(guó)安全科學(xué)學(xué)報(bào), 2016, 26(12): 158-162.

Wang Qiquan, Wu Jiaxin. Designing a linkage system for response to subway stampede accidents based on STAMP model[J]. China Safety Science Journal, 2016, 26(12): 158-162.(in Chinese)

[18] 李娟, 汪厚祥, 林海濤. 基于STAMP的艦載作戰(zhàn)系統(tǒng)軟件安全研究[J]. 艦船科學(xué)技術(shù), 2010, 32(9): 63-66,75.

Li Juan， Wang Houxiang， Lin Haitao. Study on STAMP-based software safety for ship combat system[J]. Ship Science and Technology, 2010, 32(9): 63-66,75.(in Chinese)

[19] Nancy G Leveson. An STPA primer[EB/OL].(2013-08-01)[2017-07-20].http∥sunnyday.mit.edu/STPA-Primer-v0.pdf.

[20] 袁淑芳. 氧氣瓶安全風(fēng)險(xiǎn)事故樹分析[J]. 長(zhǎng)春工業(yè)大學(xué)學(xué)報(bào): 自然科學(xué)版, 2009, 30(1): 94-99.

Yuan Shufang. Analysis of accidence tree for oxygen cylinder safety risk[J]. Journal of Changchun University of Technology: Natural Science Edition, 2009, 30(1): 94-99.(in Chinese)

胡劍波(1965-)，男，博士，教授。主要研究方向 ：先進(jìn)控制理論與應(yīng)用、安全性工程、信息系統(tǒng)工程。李俊(1991-)，男，碩士研究生。主要研究方向：安全性工程、飛行器適航性管理與驗(yàn)證。鄭磊(1987-)，男，博士研究生。主要研究方向：安全性工程、飛行器適航性管理與驗(yàn)證。

(編輯：趙毓梅)

STAMPModelingandSTPASafetyAnalysisofAviationFourStationsGasSupportProcess

Hu Jianbo, Li Jun, Zheng Lei

(College of Material Management and UAV Engineering, Air Force Engineering University, Xi’an 710051, China)

The reliability of aviation four stations gas support equipment is increasing, but the accident in the gas support process still happens. A new method is needed to systematically identify the new risk factors and improve the safety of the system. From the control point of view combined with STAMP(systems theoretic accident modeling and process) and STPA(systems-theoretic process analysis), aviation four stations gas support process safety is analyzed. Firstly, the working mechanism of STAMP/STPA is introduced. Then, the STAMP model is constructed on aviation four stations gas support process. The safety of aviation four stations gas support process is analyzed by STPA safety analysis method. The unsafe control behavior is identified, and the analysis results are compared with that from the accident tree analysis method(ATA). Thus the superiority of the method are confirmed. The results show that the STAMP model and STPA safety analysis method can be used to identify the unsafe control behavior and its cause, and it is more beneficial to ensure the safety of aviation four stations gas support process.

safety; safety analysis method; STAMP; STPA; aviation four stations gas support process

2017-07-21；

2017-09-11

國(guó)家社會(huì)科學(xué)基金(17BGL270)國(guó)家重點(diǎn)基礎(chǔ)研究發(fā)展計(jì)劃(2014CB744900)

李俊,lijun_jiaxing@163.com

1674-8190(2017)04-408-08

X949

A

10.16615/j.cnki.1674-8190.2017.04.007