劉炳琪,胡劍波,劉 暢,李 俊

(1.空軍工程大學 裝備管理與無人機工程學院,西安 710051； 2.空軍工程大學 研究生學院,西安 710051)

飛機在著陸過程中容易發(fā)生飛行事故,其事故主要集中在著陸緩沖、滑跑減速和偏航糾偏等方面,尤其是由于飛機自身結(jié)構(gòu)的不完全對稱性、機場跑道的凹凸和側(cè)風擾動等原因,飛機在滑跑過程中往往會相對于跑道中軸位置發(fā)生一定的偏航，若不及時修正偏航角，很可能導致飛機沖出跑道,釀成事故.總體來看,飛機滑跑糾偏過程是一個涉及飛行員、飛行指揮員、剎車系統(tǒng)、機載設(shè)備、空管法規(guī)以及外界環(huán)境等的典型復雜系統(tǒng),關(guān)于這一復雜系統(tǒng)的安全性分析對航空兵部隊或航空公司有效預防和減少事故的發(fā)生有著重要意義.

傳統(tǒng)安全性分析方法主要有故障樹分析(FTA)[1]、事故樹分析(ETA)[2]和故障模式及影響分析(FMEA)[3]等,上述方法都是從線性角度對各失效部件進行獨立分析,忽略了各子系統(tǒng)之間的耦合性和協(xié)調(diào)性,尤其是對設(shè)計缺陷、軟件出錯、協(xié)調(diào)能力不足、人為差錯和非線性等問題[4]缺乏準確的描述與分析,致使在復雜過程和復雜系統(tǒng)的安全性分析中具有很大的局限性.基于系統(tǒng)理論的安全性分析方法通過考慮部件或子系統(tǒng)之間的相互作用,運用系統(tǒng)分析方法開展安全性研究,主要有以下3種方法:1)基于分層社會-技術(shù)模型(HSTM)[5]的方法;2)基于功能共振事故模型(FRAM)[6]的方法;3)基于系統(tǒng)理論事故模型及過程(STAMP)[7]的方法.基于HTSM的方法著重關(guān)注系統(tǒng)運行過程中的社會-技術(shù)因素對安全的影響,利用分層控制結(jié)構(gòu)系統(tǒng)地分析事故原因,但該方法是以假定存在線性因果事件鏈為前提的.基于FRAM的方法將系統(tǒng)運行過程分解為若干個運行單元進行性能波動分析,并根據(jù)各單元之間的交聯(lián)關(guān)系對整個系統(tǒng)進行安全性分析,但該方法難以識別因系統(tǒng)設(shè)計缺陷而導致的安全問題.基于STAMP的方法將安全問題轉(zhuǎn)化為控制問題而非可靠性問題,通過施加安全約束、建立分層控制結(jié)構(gòu)和分析過程模型以識別系統(tǒng)生命周期各階段存在的不安全控制行為,分析事故原因.該方法已成功應用于航空航天[8-9]、能源化工[10]、交通運輸[11]和組織管理[12]等安全領(lǐng)域.

本文從控制的角度建立了考慮人機協(xié)調(diào)的全電差動剎車系統(tǒng)STAMP模型,對飛機差動剎車糾偏過程進行了STPA分析,對識別出的不安全控制行為進行了定性分析,并通過建模仿真從定量角度提出了安全約束,驗證了STAMP/STPA方法在飛機全電差動剎車糾偏過程安全性分析中的可行性.

1 STAMP/STPA基本原理

Leveson[13]于2004年提出系統(tǒng)理論事故模型及過程(STAMP),認為安全性是系統(tǒng)的一種涌現(xiàn)特性,并從控制的角度來研究復雜系統(tǒng)的安全問題,通過確保滿足安全約束這一控制目標以實現(xiàn)系統(tǒng)安全性.一個完整的STAMP模型通常由安全約束、分層控制結(jié)構(gòu)和過程模型3部分組成.其中，安全約束未施加或未執(zhí)行往往是導致事故發(fā)生的重要原因,其約束主要包括物理定律、法律及策略等用于限制組件控制行為的安全機制;系統(tǒng)的安全運行需要不同層次控制結(jié)構(gòu)之間的交互、溝通和協(xié)調(diào),通過高層向低層施加控制要求或約束和低層向高層反饋信息或溝通的方式以確保整個系統(tǒng)的安全性,控制行為的不恰當或不充足、控制行為未執(zhí)行或執(zhí)行不充分、反饋信息缺失或錯誤等都可能造成事故發(fā)生;過程模型是控制理論的重要組成部分,當過程模型或人工控制器的心智模型與被控系統(tǒng)不匹配時,往往會導致組件交互事故或人為差錯事故.基于以上基本概念,STAMP模型從控制反饋回路的角度將事故的致因大致分為:1)不恰當?shù)目刂戚斎搿⒖刂扑惴ê瓦^程模型;2)被控過程行為失效或執(zhí)行器故障;3)控制器和決策者之間的溝通、協(xié)調(diào)沖突.同時,控制結(jié)構(gòu)中所涉及的外界干擾也是導致事故發(fā)生的重要原因.

系統(tǒng)理論過程分析(STPA)[14]是一種基于STAMP模型的安全分析方法,該方法首先從全局角度確定系統(tǒng)級事故和危險,然后根據(jù)所建立的分層控制結(jié)構(gòu)進行不安全控制行為(UCA)識別,通過識別UCA,進一步分析控制反饋回路以完成事故的致因分析,最后針對事故產(chǎn)生的原因?qū)ο到y(tǒng)提出安全約束及要求.其中,UCA主要分為4種類型[15]:1)未提供安全所要求的控制行為;2)提供了不恰當或錯誤的控制行為;3)提供的控制行為時序錯亂,過早或過遲;4)提供的控制行為時效性過長或過短.

2 全電差動剎車系統(tǒng)STAMP建模

不同于傳統(tǒng)的液壓剎車系統(tǒng),全電差動剎車系統(tǒng)[16]通過電傳機構(gòu)傳遞電信號的方式控制剎車裝置,以完成差動剎車糾偏.該系統(tǒng)主要由剎車控制器、電作動控制器(EMA控制器)、電作動機構(gòu)(EMA)、機輪速度傳感器、力矩傳感器、機輪剎車裝置等組成,其結(jié)構(gòu)原理如圖1所示.

圖1 全電差動剎車系統(tǒng)結(jié)構(gòu)原理

飛機進入跑道后發(fā)生一定的偏轉(zhuǎn)和側(cè)移,首先,飛行員綜合考慮環(huán)境信息、管制員指令信息、飛機自身狀態(tài)信息和自身操作經(jīng)驗,選擇滑跑糾偏模式,采用人工控制的方式踩動剎車踏板提供飛機偏差信號;然后,利用邏輯選擇開關(guān)將飛機偏差信號轉(zhuǎn)化為左(或右)側(cè)機輪剎車、右(或左)側(cè)機輪不剎車的剎車信號,并傳遞至左(或右)機輪剎車控制器;左(或右)機輪剎車控制器結(jié)合機輪速度傳感器、力矩傳感器傳來的速度信號和力矩信號對剎車信號做進一步分析,將控制信號傳遞至EMA控制器;EMA控制器進一步將控制信號作用于EMA上,從而控制左(或右)機輪剎車裝置進行剎車.當左(或右)機輪發(fā)生滑動摩擦、右(或左)機輪正?；邪l(fā)生滾動摩擦時,由于滑動摩擦的滑移率大于滾動摩擦滑移率(滑移率為零),導致左(或右)機輪所受的摩擦力大于右(或左)機輪,從而兩機輪因產(chǎn)生相對飛機重心的偏航力矩使飛機向左(或右)發(fā)生偏轉(zhuǎn),完成飛機右(或左)偏糾正.

此外,在差動剎車糾偏過程中,其正常運行還依賴于其他系統(tǒng)的正常工作,比如EMA控制器的正常運行依賴于電源系統(tǒng)的運行狀態(tài),儀表信息的正常顯示依賴于電源系統(tǒng)和GPS系統(tǒng)的運行狀態(tài).

通過對飛機全電差動剎車糾偏過程的原理描述,進一步梳理整個控制系統(tǒng)所涉及的控制對象、輸入/輸出信號、控制器、執(zhí)行器和控制/反饋關(guān)系,建立考慮人機協(xié)調(diào)的全電差動剎車系統(tǒng)STAMP模型,如圖2所示.通過對STAMP模型中控制反饋回路的系統(tǒng)分析,從控制缺陷、反饋缺陷和協(xié)調(diào)缺陷3個方面分析滑跑糾偏過程中的安全問題,同時也綜合考慮人為因素和外界環(huán)境的干擾.

圖2 全電差動剎車系統(tǒng)STAMP模型

3 全電差動剎車糾偏過程STPA分析

3.1 系統(tǒng)級事故的確定

全電差動剎車糾偏過程中的系統(tǒng)級事故通常分為飛機損傷、人員傷亡以及地面設(shè)備、設(shè)施損壞等3種類型.飛機損傷(A-1)是指由于飛機的落地姿態(tài)、飛行員的操作失誤、空中交通管制(air traffic control,ATC)信息提供不準確等原因?qū)е禄芗m偏效果差或未糾偏,最終使得機體、機翼或者其他子系統(tǒng)偏出跑道而受損;人員傷亡(A-2)是指在滑跑糾偏過程中出現(xiàn)不可控的情況而導致飛行員、乘客或者其他地面人員傷亡;地面設(shè)備、設(shè)施損壞(A-3)是指在滑跑糾偏過程中地面保障設(shè)備、固定設(shè)施或地面飛機等損壞,具體見表1.

表1 全電差動剎車糾偏過程的系統(tǒng)級事故

Tab.1 System level accident of all-electric differential braking correction process

編號系統(tǒng)級事故A-1飛機損傷A-2人員傷亡A-3地面設(shè)備、設(shè)施損壞

3.2 系統(tǒng)級危險的確定

全電差動剎車糾偏過程的系統(tǒng)級危險主要包括飛機偏出跑道(H-1)、飛機與地面設(shè)施碰撞(H-2)和飛機失控(H-3)3種.每個系統(tǒng)級危險可能導致的系統(tǒng)級事故見表2.

表2 全電差動剎車糾偏過程的系統(tǒng)級危險

Tab.2 System level risk of all-electric differential braking correction process

編號系統(tǒng)級危險系統(tǒng)級事故H-1飛機偏出跑道A-1、A-3H-2飛機與地面設(shè)施碰撞A-1、A-2、A-3H-3飛機失控A-1、A-2、A-3

飛機偏出跑道(H-1)可能是由于差動剎車控制執(zhí)行不充分、飛行員反應速度過慢、對飛機本身的狀態(tài)認識不準確等原因造成的,一般在飛行員控制速度的情況下,不會出現(xiàn)人員傷亡情況,但通常會造成飛機損傷(A-1)或地面設(shè)備、設(shè)施損壞(A-3);飛機與地面設(shè)施碰撞(H-2)主要是由于飛行員未及時提供差動剎車動作、ATC信息提供不準確等原因?qū)е嘛w機滑跑糾偏過程中側(cè)偏距離較大,與跑道周邊地面保障設(shè)施發(fā)生碰撞,造成飛機損傷(A-1)、人員傷亡(A-2)以及地面設(shè)備、設(shè)施受損(A-3);飛機失控(H-3)主要是由于存在強側(cè)風等其他危險因素導致飛行員實施了錯誤的控制行為或飛機發(fā)生故障,從而使飛機進入失控狀態(tài),造成飛機損傷(A-1)、人員傷亡(A-2)以及地面設(shè)備、設(shè)施受損(A-3).

3.3 不安全控制行為的識別

為保證差動剎車系統(tǒng)的安全運行,需要對整個系統(tǒng)控制回路的各組成部分進行分析，進而識別出可能導致危險的不安全控制行為.飛機在地面滑跑過程中,必須在短時間內(nèi)實現(xiàn)差動剎車控制以完成飛機糾偏,本文旨在識別飛行員提供差動剎車動作所產(chǎn)生的不安全控制行為,基于STPA方法將不安全控制行為分為4類,主要包括未提供或錯誤提供差動剎車動作、過早或過晚提供差動剎車動作、差動剎車動作作用時間過短或過長、差動剎車系統(tǒng)組件失效等,具體見表3.

表3 差動剎車動作的不安全控制行為

3.4 致因分析

根據(jù)STAMP控制缺陷分類[17],從控制缺陷、反饋缺陷和協(xié)調(diào)缺陷3個方面建立全電差動剎車系統(tǒng)控制反饋回路,如圖3所示.

圖3中①包含了飛行員、剎車踏板、剎車控制器、EMA控制器、電作動機構(gòu)、剎車裝置和機輪,可以用來表示控制缺陷.圖3中②包含了飛機實體、相關(guān)傳感器和儀表信息,可以用來表示反饋缺陷.圖3中③包含了管制員、飛行員和剎車控制器,它們之間的交互表示協(xié)調(diào)缺陷,具體致因分析見表4.

4 仿真分析

4.1 飛機地面滑跑模型的建立

本文以文獻[18]提出的飛機地面滑跑模型為例,對飛機全電差動剎車糾偏過程進行建模仿真.在MATLAB/SIMULINK環(huán)境下構(gòu)建飛機地面滑跑模型[18],主要包括:機體動力學模型、電作動機構(gòu)模型、機輪模型和剎車裝置模型.各子模型之間的控制關(guān)系如圖4所示.

4.1.1 機體動力學模型

飛機機體動力學模型由力方程組、力矩方程組、角運動方程組和線運動方程組構(gòu)成,具體如下.

力方程組為

圖3 全電差動剎車系統(tǒng)控制反饋回路

表4 致因分析

圖4 飛機地面滑跑控制系統(tǒng)

Fig.4 Schematic diagram of control system for aircraft ground sliding

力矩方程組為

角運動方程組為

線運動方程組為

4.1.2 電作動機構(gòu)模型

電作動機構(gòu)模型主要分為無刷直流電機模型和機電作動器模型.

1)無刷直流電機的數(shù)學模型為

式中:Id為電樞電流;Rd為總電阻;L為繞組電感;E為電機電勢;Ud為電樞電壓;Ce為電勢系數(shù);nd為電機轉(zhuǎn)速.

2)機電作動器的數(shù)學模型為

4.1.3 剎車裝置模型

剎車裝置模型為

式中:Mb為剎車力矩;p0為最小剎車壓力;pb為剎車壓力;k1、k2分別為力矩的斜率;rp為上次輸入壓力;M1為上次輸出力矩;pm為最大剎車壓力.

4.1.4 機輪模型

機輪的轉(zhuǎn)動主要由剎車力矩和結(jié)合力矩共同控制,從而影響機輪轉(zhuǎn)動過程中的角速度、角加速度和線速度.

4.2 仿真分析

本文主要針對飛機全電差動剎車糾偏過程中的UCA1、UCA2和UCA5這3種不安全控制行為進行仿真分析.其中,仿真時間20 s,機場跑道寬度48 m,飛機翼展38 m,飛機著陸滑跑的初始速度72 m/s,側(cè)偏距離大于5 m視為沖出跑道,外在干擾為飛機著陸后存在1°初始偏航角或1 m/s持續(xù)側(cè)風.

對飛機存在偏航角且未提供差動剎車動(UCA1)和存在側(cè)風且未提供差動剎車動作(UCA2)分別進行仿真分析.從圖5、6中可以看出,在1°初始偏航角或1 m/s持續(xù)側(cè)風的情況下,飛行員未提供差動剎車動作,飛機在5 s后會發(fā)生偏出跑道的危險.由此可見,即使在很小的初始偏航角或持續(xù)側(cè)風干擾下,飛行員如果不提供差動剎車動作進行糾偏，飛機很可能沖出跑道，與跑道周邊的設(shè)備、設(shè)施發(fā)生碰撞并造成人員傷亡.

在1°初始偏航角(不考慮側(cè)風影響)的情況下對飛機進行差動剎車糾偏,從圖7(a)、圖7(b)、圖7(c)中可以看出,側(cè)偏距離、偏航角和偏航角速度大約需要10 s的時間歸零,從而完成糾偏.

圖5 1°偏航角情形下的側(cè)偏距離-時間曲線

圖6 1 m/s持續(xù)側(cè)風情形下的側(cè)偏距離-時間曲線

圖7 1°偏航角情形下的相關(guān)時間曲線

對飛機在地面滑跑x秒后,提供差動剎車動作(UCA5)進行仿真分析.圖8表示在1°初始偏航角情況下,差動剎車動作延遲0,1,2,…,9 s時的側(cè)偏距離-時間曲線,陰影部分是非安全區(qū)域.由仿真結(jié)果可以看出,當差動剎車動作延遲大于5 s時飛機會偏出跑道.因此,該不安全控制行為的安全約束應設(shè)置為控制動作延遲不得大于5 s.

圖8 考慮延遲的側(cè)偏距離-時間曲線

通過UCA1、UCA2和UCA5這3種不安全控制行為的仿真結(jié)果可以看出,對在著陸滑跑階段發(fā)生側(cè)偏的飛機及時進行差動剎車糾偏是十分必要的,尤其是要盡可能地降低差動剎車動作延遲時間,以防止糾偏過程中飛機偏出跑道,發(fā)生事故.

綜述所述，從安全性的角度對滑跑糾偏過程做進一步分析.飛機在著陸滑跑階段出現(xiàn)偏航時,要確保飛行員、管制員和飛機差動剎車系統(tǒng)三者之間的及時溝通和協(xié)調(diào),并對外界復雜環(huán)境和突發(fā)情況做出有效判斷,同時正確認識和處理反饋信息,按照空管法規(guī)以正確的操作規(guī)范完成差動剎車糾偏,從而預防和減少事故的發(fā)生.

5 結(jié) 論

1)從控制的角度進行了飛機全電差動剎車系統(tǒng)STAMP建模,采用STPA方法對滑跑糾偏過程進行了安全性分析,綜合考慮了各部件或子系統(tǒng)之間的交互性、協(xié)調(diào)性以及人為差錯等原因,識別出更多潛在的不安全控制行為,并從控制缺陷、反饋缺陷和協(xié)調(diào)缺陷3個方面了做出了詳細的致因分析.

2)針對部分不安全控制行為進行了仿真分析,從定量角度驗證了STAMP/STPA方法的有效性,并制訂了確保系統(tǒng)安全的定量化安全約束,對航空裝備安全性分析具有重要的參考價值.