1、航空四站气体保障过程的 STAMP 建模与STPA 安全性分析 胡剑波 李俊 郑磊 空军工程大学装备管理与无人机工程学院 摘 要: 航空四站气体保障装备的可靠性在不断提高, 而气体保障过程中的事故仍有发生, 需要一种新的方法系统地去识别新的危险因素, 从而提高系统的安全性。从控制的角度结合 STAMP 和 STPA 对航空四站气体保障过程进行安全性分析。首先, 介绍 STAMP/STPA 的工作机理;然后, 对航空四站气体保障过程构建 STAMP模型, 采用 STPA 安全分析方法对航空四站气体保障过程的安全性进行分析, 识别不安全控制行为, 对生成的不安全控制行为进行场景分析;最后, 与事故
2、树分析法 (ATA) 进行分析结果的比较, 从而证实了该方法的优越性。结果表明:采用 STAMP 模型和 STPA 安全分析法可以更加全面地识别出不安全控制行为及其原因, 更有利于保证航空四站气体保障过程的安全。关键词: 安全性; 安全分析方法; STAMP; STPA; 航空四站气体保障过程; 作者简介:李俊, lijun_ (1991-) , 男, 硕士研究生。主要研究方向:安全性工程、飞行器适航性管理与验证。作者简介:胡剑波 (1965-) , 男, 博士, 教授。主要研究方向:先进控制理论与应用、安全性工程、信息系统工程。作者简介:郑磊 (1987-) , 男, 博士研究生。主要研究方
3、向:安全性工程、飞行器适航性管理与验证。收稿日期:2017-07-21基金:国家社会科学基金 (17BGL270) STAMP Modeling and STPA Safety Analysis of Aviation Four Stations Gas Support ProcessHu Jianbo Li Jun Zheng Lei College of Material Management and UAV Engineering, Air Force Engineering University; Abstract: The reliability of aviation four s
4、tations gas support equipment is increasing, but the accident in the gas support process still happens.A new method is needed to systematically identify the new risk factors and improve the safety of the system.From the control point of view combined with STAMP (systems theoretic accident modeling a
5、nd process) and STPA (systems-theoretic process analysis) , aviation four stations gas support process safety is analyzed.Firstly, the working mechanism of STAMP/STPA is introduced.Then, the STAMP model is constructed on aviation four stations gas support process.The safety of aviation four stations
6、 gas support process is analyzed by STPA safety analysis method.The unsafe control behavior is identified, and the analysis results are compared with that from the accident tree analysis method (ATA) .Thus the superiority of the method are confirmed.The results show that the STAMP model and STPA saf
7、ety analysis method can be used to identify the unsafe control behavior and its cause, and it is more beneficial to ensure the safety of aviation four stations gas support process.Keyword: safety; safety analysis method; STAMP; STPA; aviation four stations gas support process; Received: 2017-07-210
8、引言航空四站保障1-2是空军航空兵部队战斗力生成的关键环节, 是空军飞机能够及时飞行执行任务的基础。航空四站保障包含热工、电力电子、机械、化学、控制等多学科, 是一个多领域交叉的复杂系统工程, 并且其保障任务繁重, 完成质量要求高, 保障的质量直接影响着飞行安全。随着系统的复杂性和耦合性不断增强, 尤其是计算机、人工智能等新技术的大范围使用, 使现在事故致因不仅有组件失效、操作违规, 并且出现了一些传统方法无法识别的原因。因此, 需要构建新的方法系统去识别新的危险因素, 从而提高系统的安全性。传统的事故模型有多米诺模型3和瑞士奶酪模型4, 这两个模型假设事故存在单一或根本原因, 基于该假设,
9、传统的预防事故的最常用的技术为断开事件链, 而该假设是不符合实际的。传统的安全性分析方法 (例如事故树分析法 (ATA) 5、故障树分析法 (FTA) 6-7、失效模式与影响分析法 (FMEA) 8-9)认为事故是由组件失效引起的一连串的失效, 并且认为选择高可靠性的器件就能减少事故的发生。虽然传统的安全分析方法在分析简单系统时取得了很好的效果, 但对复杂系统10显得力不从心。传统的安全性分析方法在分析复杂系统故障时需要投入大量的人力物力, 但却依然无法避免因为组件交互、系统本身设计缺陷、人机交互等引起的事故发生11。因此, 无论从经济性还是安全性的需求出发, 基于可靠性的分析方法都是不可取的
10、。针对传统的安全分析方法面临的难题, N.G.Leveson 等提出了新事故模型 (Systems-Theoretic Accident Modeling and Processes, 简称 STAMP) 12-13, 并把 STAMP 模型成功地应用在航空12、交通运输14和组织管理15等安全问题上。国内也已经开始对 STAMP 进行研究, 郑磊等16成功用STAMP 对机轮刹车系统建模, 用 STPA (Systems-Theoretic Process Analysis) 方法分析了不安全的控制行为以及导致不安全控制行为的原因, 仿真说明了人为因素对刹车系统安全的影响;王起全等17根据
11、STAMP 原理针对地铁突发事件引起人群恐慌而导致拥挤踩踏事故设计了应急联动系统, 对地铁人群密度进行监控, 以便在事故发生之前对人群进行应急疏散, 从而降低了事故发生的可能性;李娟等18用 STAMP/STPA 对舰载软件设计的安全性进行了分析, 对开发满足系统安全需求的舰载作战系统软件具有积极的指导意义。目前, 对航空四站气体保障过程的安全性分析的研究较少。本文从控制的角度结合 STAMP 和 STPA 对航空四站气体保障过程进行安全性分析。首先根据航空四站气体保障过程建立 STAMP 模型, 然后采用 STPA 方法对飞机气体保障过程中不安全的控制行为以及可能导致的危险进行阐述, 最后对
12、产生不安全控制行为的场景进行进一步分析, 以期为提高航空四站气体保障过程的安全性提供新的方法和思路。1 STAMP/STPA 工作机理STAMP 的三个基本概念是安全约束、分层安全控制结构和过程模型。STAMP 认为安全性是系统的涌现性, 把复杂系统用层次模型表示, 构建分层安全控制结构, 高层次对低层次的控制行为施加安全约束, 低层次执行完毕后给高层次提供反馈, 高层次根据反馈进行调整, 循环进行。每个层次都对应着一个或多个过程模型, 层次之间约束的有效执行和反馈的及时准确实现了系统安全的动态平衡。STAMP 把安全性看作是一个控制问题, 认为事故是在组件失效、外部干扰以及组件的异常交互没有
13、得到合理的控制时可能发生。STPA19方法是一种建立在 STAMP 事故模型基础上的危险性分析方法, 包含STAMP 识别出的、传统的技术无法处理的新的致因因素, 它可以识别涵盖整个事故的事故场景, 例如软件设计错误 (包括软件缺陷) 、组件交互事故、人为因素、组织因素以及环境因素。STPA 方法对事故、危险、不安全控制行为 (UCA) 和 UCA 的场景分别进行了定义:(1) 事故是指导致损失的意外的、不期望的事件, 损失包括人员生命损失或者受伤、财产损毁、环境污染以及任务失效等;(2) 危险是指潜在的与某一特定环境条件相结合, 可能导致事故 (损失) 的某一系统状态或者情形的集合;(3)
14、STPA 方法定义了四种不安全控制行为: (1) 没有提供需要的安全控制行为; (2) 提供的不安全控制行为; (3) 安全控制行为太迟、太早或失序; (4) 提供的安全控制行为过早结束或作用的时间太长;(4) UCA 的场景是指导致每一个不安全控制行为发生的潜在的不安全情况和原因的集合。STPA 方法主要有两个步骤:(1) 识别不安全控制行为 (UCA) ;(2) 产生 UCA 的场景分析。在具体分析时, 需要建立合理的控制/反馈回路 (如图 1 所示) 。图 1 控制/反馈回路 Fig.1 Control or feedback loop 下载原图事故致因主要分为三类:控制器、执行器、控制
15、过程以及传感器本身的设计不合理或者失效;信息的传递过程中出现了丢失、延迟、被错误的理解等问题;不合理的外界干扰。当出现危险征兆时能否及时准确地发出合理的控制指令是预防事故发生的关键。2 航空四站气体保障过程的 STAMP 模型航空四站气体保障主要分为生产、存储、运输和充气四个部分。气体保障主要包括氧气和氮气, 结合部队实际, 通过调查发现常见的事故主要出现在充氧部分。因此, 本文主要对充氧过程的安全性进行分析。航空四站气体保障过程是充气员和机务人员配合进行气体保障, 根据指挥层任务指示、工作安排以及保障现场实际及时将所需气体运输到指定地点进行气体保障, 在充气时要严格按充气规定进行操作, 根据
16、机组维护保障流程在合适的时机充气, 充气员控制进气阀, 机务人员负责把接头连接上飞机, 固定后进行充气, 根据座舱仪表变化告知充气员调整充气速度, 机务人员需有一定的提前量打手势提示充气完毕, 充气完毕后需要先关闭进气阀, 而后才能拔出接头, 防止发生人员意外受伤。根据上述逻辑关系搭建航空四站气体保障过程的 STAMP 模型, 如图 2 所示。图 2 航空四站气体保障过程的 STAMP 模型 Fig.2 STAMP model of aviation four stations gas support process 下载原图从图 2 可以看出:指挥层同时控制着两个 STPA 回路, 一个是由
17、充气员、进气阀、氧气车以及仪表 (包括气压表、温度表) 、压力报警信号灯组成的, 另一个是由机务人员、接头、飞机以及氧气气压表、氧气压力报警信号灯组成的, 两个回路之间相互沟通。只有当两个 STPA 回路运行正常、沟通正常、反馈及时以及指挥层对两个 STPA 回路的指挥准确无误的情况下, 整个气体保障过程才能确保安全。3 航空四站气体保障过程的 STPA 安全性分析3.1 系统级事故的确定STPA 安全性分析方法的第一步是确定系统可能发生的事故和不可接受的损失。航空四站气体保障过程可能造成的事故和损失 (包括人员受伤或死亡、影响飞行安全、火灾或爆炸) 如表 1 所示。表 1 航空四站气体保障过
18、程的系统级事故 Table 1 System accidents of aviation four stations gas support process 下载原表 人员受伤或死亡 (A-1) 主要包括司机、充气员、机务人员等其他人员吸入氧气中毒、冻伤以及设备运行超过限制引起爆炸从而导致人员受伤或死亡。飞行员受伤或飞机坠毁 (A-2) 是指飞行员无法在高空中正常吸氧, 容易导致飞行员受伤, 甚至引起飞机坠毁。火灾或爆炸 (A-3) 主要是指氧气在遇到电火花、明火或者设备运行超过限制等情况时发生的严重事故。3.2 系统级危险的确定系统级危险是可能导致系统级事故发生的子集, 系统级的危险可能会导
19、致多个系统级事故的发生。航空四站气体保障过程的系统级危险如表 2 所示。表 2 航空四站气体保障过程的系统级危险 Table 2 System hazards of aviation four stations gas support process 下载原表 氧气外泄 (H-1) 是指氧气外泄到空气中, 空气中氧气浓度高于 40%也会发生氧中毒, 同时液氧属于低温高压物质, 工作人员容易被冻伤, 氧气可以与可燃物形成火灾或爆炸。输气管道压力过低 (H-2) 会引起氧气残余在输气管道中, 如果残余的氧气没有及时处理, 遇到电火花等其他易燃物会导致火灾或爆炸、地面人员受伤或死亡等意外情况。输气管
20、道压力过高 (H-3) 是指输气管道中氧气压力过高导致充气接头以及管道运行超过限值, 极易造成人员伤害或死亡、火灾或爆炸等意外的发生。飞机氧气压力过低 (H-4) 容易影响飞行员在高空中吸氧, 可能会引起飞行员受伤甚至飞机坠毁。飞机氧气压力过高 (H-5) 主要分为两种情况:一是在地面飞机氧气压力过高的情况下持续充气, 会引起飞机氧气存储装置超限, 从而导致火灾或爆炸、地面人员受伤或死亡事故的发生;二是在飞机氧气压力过高的情况下继续执行飞行任务, 在高空需要供氧时氧气压力过高, 会导致飞行员受伤, 严重时会直接使飞行员无法正常操控飞机, 从而导致飞机坠毁。3.3 识别不安全控制行为 (UCA)
21、 根据建立的航空四站气体保障过程的 STAMP 模型, 结合保障的流程, 识别潜在的危险控制。执行层最主要的控制是打开进气阀、关闭进气阀和连接接头、拔出接头。根据 STPA 方法定义的四种不安全控制行为, 可以列出执行层潜在的不安全控制行为, 如表 3 所示。表 3 潜在的不安全控制行为 Table 3 Potential unsafe control action 下载原表 3.4 产生 UCA 的场景分析确定好不安全的控制行为以及该行为导致的危险后, 根据 STPA 分析方法的控制/反馈模型, 得到控制行为导致危险的主要原因有两个方面: (1) 不正确、不及时等不恰当的控制行为导致的危险;
22、 (2) 不及时不完整等不合理的信息反馈导致的危险。根据上述导致危险的主要原因, 将航空气体保障过程的 STAMP 模型分成两个部分, 即控制和反馈, 如图 3 所示。图 3 航空四站气体保障过程的控制/反馈回路 Fig.3 Control or feedback loop of aviation four stations gas support process 下载原图3.4.1 不正确、不及时等不恰当的控制行为导致的危险图 3 控制/反馈回路中的上半部分 1 和 3 是主动控制部分, 分析导致不正确不及时等不恰当的控制行为的关键原因如下:(1) 充气员(1) 充气员没有通过岗前培训, 无
23、证上岗, 导致了危险。(2) 充气员业务能力很强, 但是由于当天身体状态不佳, 导致了不合理的操作。(3) 充气员由于长时间休假, 刚回单位就匆忙上岗, 导致错误的控制行为。(4) 充气员在打开进气阀和连接接头时没有按照规定次序打开。(5) 充气员在飞机没有完成液压检测就进行充气。(6) 充气员没有和机务人员做好交流, 同时也没有进行复查, 在不知道接头没有固定好的情况下, 打开充气阀门。(7) 充气员在进行充氧的时, 打开进气阀的速度过快。(8) 充气员在没有机务人员在场的时候, 在对飞机状态不了解的情况下, 擅自充气。(9) 充气员错误的理解了机务人员的意思, 从而导致了错误的控制行为。(
24、10) 充气员在受到多重工作指示, 导致工作思维混淆, 造成错误控制行为。(2) 进气阀(1) 进气阀设计不合理。(2) 进气阀没有设置安全操作提示。(3) 进气阀没有做好定期检查。(3) 机务人员(1) 充氧达到飞机需求时, 机务人员没有向充气员打手势, 导致充气员没有能够及时关闭充气阀门。(2) 飞机没有完成液压系统检测时, 机务人员没有告知充气员。(3) 充氧前应当把接头与飞机的连接固定好, 在没有固定好接口时就通知充气员可以充氧, 从而导致危险。(4) 在充氧过程中发现充气接口没有固定好, 违规操作, 从而导致危险。(5) 在没有达到充气需求量时, 就打手势提示充气员关闭充气阀, 从而
25、对飞行安全造成影响。(6) 机务人员给充气员提供了错误的氧气需求量, 导致充气员错误的控制行为。(4) 接头(1) 接头和输气管道的连接松动。(2) 接头的质量不合格。(3) 接头上有油脂。(4) 接头的设计不合理。(5) 外界干扰(1) 指挥层对充气工作的安排不合理。(2) 在工作过程指挥层或在场的其他人员的临时干扰, 对控制指令的下达有着较大影响。(3) 工作区域有人违规用火。3.4.2 不及时不完整等不合理的信息反馈导致的危险图 3 控制/反馈回路中的下半部分 2 和 4 是反馈部分, 分析导致不及时不完整等不合理的信息反馈的关键原因如下:(1) 反馈信息的产生(1) 氧气车的压力报警信
26、号灯参数设计太高。(2) 氧气车的测量氧气压力的仪表设计不合理, 不能得到及时准确的数据。(3) 氧气车的测量氧气温度的仪表设计不合理, 不能得到及时准确的数据。(4) 氧气车的测量氧气输出量的仪表设计不合理, 不能给出正确的气体输出数据。(5) 氧气车的车载软件设计不合理, 不能及时地把氧气的实时状态显示出来。(6) 飞机气压仪表测量气体压力的方法设计不合理。(7) 飞机气体压力报警器设计不合理, 当气体超过飞行限定的值时, 没有能够及时报警。(2) 反馈信息的传输(1) 氧气车测量氧气输出量的数据在传输的过程中有丢失或者延迟。(2) 氧气车测量氧气压力的数据在传输的过程中有丢失或者延迟。(
27、3) 飞机测量氧气压力数据在传输的过程中有丢失或者延迟。(4) 机务人员对氧气是否达到需求量的反馈不准确、延迟或者丢失。(5) 机务人员对充气接头是否连接好的信息反馈不及时、延迟或者丢失。(3) 外界因素的影响(1) 由于外场雾比较浓, 导致机务人员看飞机氧气气压表时产生误判, 过早或过晚通知充气员关闭充气阀门, 从而对飞行安全造成影响。(2) 外场的噪音太大, 影响充气员和机务人员之间的沟通。4 比较分析采用事故树分析法 (ATA) 对航空四站气体保障过程安全性进行分析, 得到导致火灾或爆炸事故的原因20共 19 种, 包含压力管道不合格、压力管道未检验、压力表不合格、氧气瓶不合格、作业人员
28、违章操作、阀门沾油脂等。综上所述, 采用基于可靠性的事故树分析法 (ATA) 考虑了组件故障、人员违章、人员业务能力以及安全检查不到位等对安全的影响, 没有考虑软件的设计, 人机之间的交互、组件之间的交互, 外界的干扰以及工作制度的合理性, 更没有考虑员工的身体状况。采用 STPA 得到的不安全行为的场景分析结果更全面, 更有利于保证航空四站气体保障过程的安全。5 结束语(1) 采用 STAMP 理论对航空气体保障过程进行建模, 并用 STPA 进行分析, 识别了气体保障过程中人工控制器的不安全控制行为, 识别了人员之间的沟通缺陷、软件设计等事故致因, 并对其产生原因进行了全面分析, 对提高航
29、空气体保障过程的安全性具有重要意义。(2) 采用 STAMP 模型和 STPA 安全分析法可以更加全面地识别出不安全控制行为及其原因, 更有利于保证航空四站气体保障过程的安全。(3) ATA 注重组件故障, 难以全面对复杂系统进行分析, STPA 注重识别不安全控制行为以及不安全控制行为产生的原因, 能够扩大致因结果同时弥补 ATA 的不足。但 STPA 缺乏定量的方法以及复杂系统的控制结构难以刻画, 是影响其发展的重要因素, 有待于进一步研究。参考文献 2王亚东, 魏晓斌, 李德权.基于 SE-DEA 和 Malmquist 模型的四站保障安全评价J.海军航空工程学院学报, 2016, 31
30、 (5) :547-553, 594.Wang Yadong, Wei Xiaobin, Li Dequan.Assessment on security efficiency of aviation four stations guarantee based on SE-DEA and Malmquist modelJ.Journal of Naval Aeronautical and Astronautical University, 2016, 31 (5) :547-553, 594. (in Chinese) 4Ahmad M, Pontiggia M.Modified swiss
31、cheese model to analyse the accidentsJ.Chemical Engineering Transactions, 2015, 43:1237-1242. 5李琳, 赵剑.事故树分析法在城镇燃气系统安全监控中的应用J.辽宁化工, 2017, 46 (2) :173-176.Li Lin, Zhao Jian.Application of fault tree analysis method in city safety monitoring systemJ.Liaoning Chemical Industry, 2017, 46 (2) :173-176. (in Chinese)
