第一章緒論1.1航空安全概述1.2STAMP相關理論簡介本章小結

1.1航空安全概述

航空產業科技含量高、安全風險大,如何防患未然,降低事故率是專家學者們一直研究的重要課題。安全性是航空裝備必須具備的一種共有的、固有的特性,也是航空裝備必須滿足的首要設計與使用要求,更是保障航空裝備研制與使用安全的重要保證。

目前階段開展的航空安全建模、航空安全風險預測、航空安全預警和事故預防等,都忽略了事故致因因素時間序列相關性對不安全事件的影響,沒有考慮致因因素中廣泛存在的各種不確定性,更沒有開展相關不確定性對航空安全預測、預警輸出的影響。

1.2STAMP相關理論簡介

1.2.1STAMP理論2002年,Leveson在系統論、控制論的基礎上,提出了一種新型的系統安全分析模型,即STAMP理論模型。該模型從系統論的角度,認為事故是由不確定因素、不安全控制行為、部件之間的不安全交互引起的;從控制論的角度,認為不恰當的控制過程、環境因素、控制行為不滿足先決條件或者未知的外部干擾是造成事故的主要原因。

STAMP理論模型將安全性看作是一種系統的涌現性,認為安全性受到系統中與各個行為相關的一系列約束的限制,而事故正是由于系統各層次的行為缺乏約束所導致的。STAMP理論擴展了事故原因類型,其不再通過事件鏈的思路進行安全性分析,所以除了傳統的基于事件鏈模型分析出的事故原因類型外,STAMP理論也能夠通過組件之間的非線性、間接和反饋關系來發現其他類型的原因,如組件間的不安全交互、新型人為差錯、軟件的設計缺陷和需求缺陷等新型致因因素。

STAMP理論將事故看作控制失效問題,認為在組件行為、組件交互等違反安全約束時就可能導致事故。STAMP理論模型包含安全約束(SafetyConstraint)、功能控制結構

(FunctionalControlStructure)和過程模型(ProcessModel)三個基本結構。

1.安全約束

不同于傳統事故致因模型,STAMP理論視約束為最基本的概念而非傳統事件,系統進入危險狀態正是由于違反了安全約束。在STAMP理論中,單個組件行為、組件交互行為在規定的安全約束條件下運作,從而保證系統安全運行。隨著軟件技術的發展,現代系統愈發復雜,基于安全約束的控制方式是保障系統安全的有效手段。

2.功能控制結構

在系統論中,系統可表示為不同層級的復合結構,較高層級對較低層級施加安全約束,較低層級執行命令并為較高層級提供反饋信息,較高層級根據信息和外部環境調整安全約束,如此反復進行,進而構成系統完整的控制反饋回路。不同層級之間的標準控制關系如圖1.1所示。

圖1.1不同層級之間的標準控制關系

3.過程模型

傳統的安全性分析方法主要基于人腦中的理論模型,分析人員的技術水平高低、經驗豐富與否對結果具有顯著影響。而STAMP理論的危險分析是基于過程模型,它既可以是自動控制設備中的控制邏輯,也可以是系統控制人員的心智模型,是一種更為通用的控制模型。

無論哪種控制模型,都必須包含三個層面的信息:

①系統控制規則;

②系統當前狀態信息;

③系統狀態轉換規則。

1.2.2基于STAMP理論的STPA方法

基于傳統線性理論的安全性分析方法以可靠性理論為基礎,主要識別組件失效引發的系統事故。由于復雜系統的涌現性是非線性的,因此傳統事故致因模型不適用于復雜系統

中的涌現性,其針對涌現性的風險分析非常有限。而基于STAMP事故致因模型的STPA方法從控制失效的角度出發,自頂向下識別由于設計缺陷、軟件缺陷、組件交互、人為因素導致的系統風險,擴展了傳統風險致因因素的范疇。

1.方法簡介

STPA方法的目標是識別能夠誘發進入危險狀態的控制“失效”問題,生成相關的安全約束,保持風險程度在人們可接受的水平;此外,STPA方法可以識別違反安全約束的“失

效”信息,在系統設計階段或使用階段可通過一定的措施來控制、降低和消除風險。STPA方法通過構建系統的反饋控制結構圖,來對系統的安全性進行全面、系統的分析。

圖1.2為一個包含過程模型的典型的反饋控制結構,圖中系統主要包括控制器、執行器、被控對象和傳感器四個部分。從圖中的控制邏輯可以看出:通過過程模型可以識別被違反的安全約束并確定出為何控制不能有效實施安全約束,確定出導致不安全事件發生的原因以及出現不安全控制的場景,并將其轉化為安全約束和設計需求,為設計出更安全的系統提供保證。

圖1.2典型的控制回路

2.應用過程

STPA方法的核心工作主要有兩個,即識別導致危險的不安全控制行為和確定不安全控制行為的致因因素。STPA方法在進行系統安全性分析的過程中主要包括四個步驟,如圖1.3所示。圖中的前兩步是STPA方法分析的基礎,后兩步是其核心工作。其中,不安全控制行為有四類:

①未執行控制行為;

②執行不正確或不安全的控制行為;

③過早或過晚執行的控制行為或錯誤的時間進行的控制行為;

④停止過早或持續太久的控制行為。

圖1.3STPA分析過程

導致不安全控制的控制缺陷主要有三類:

①控制器發出不足或不恰當的控制行為,包括對故障或擾動的物理過程處置不當;

②控制行為的不充分執行;

③反饋信息的不正確或丟失。

圖1.4顯示了標準控制回路中的典型控制缺陷。圖中缺陷可以大致分為控制缺陷①與反饋缺陷②。控制缺陷是指提供或執行不安全控制行為的原因,反饋缺陷是指生成不安全控制行為的原因。

圖1.4不恰當控制行為的原因

由圖1.4可知,控制指令的生成、傳遞、執行、反饋貫穿了控制反饋回路的全過程,所有組件的目的都是為了保證系統能夠在安全約束要求范圍內高效運行。STPA方法識別出來的控制缺陷(ControlFlaws)是誘發危險的根本原因,根據分析結果有針對性地制訂預防策略和改進措施,能夠從根本上提升系統的安全水平。

本章小結

本章主要對STAMP理