目錄第一章緒論第二章基于STPA方法的典型航空事故分析第三章航空器機輪剎車系統安全性分析與驗證第四章無人機著陸階段安全性分析與驗證第五章空中加油系統安全性分析與驗證第六章航空修理單位安全性分析與試飛STAMP模型全套可編輯PPT課件第一章緒論1.1航空安全概述1.2STAMP相關理論簡介本章小結

1.1航空安全概述

航空產業科技含量高、安全風險大,如何防患未然,降低事故率是專家學者們一直研究的重要課題。安全性是航空裝備必須具備的一種共有的、固有的特性,也是航空裝備必須滿足的首要設計與使用要求,更是保障航空裝備研制與使用安全的重要保證。

目前階段開展的航空安全建模、航空安全風險預測、航空安全預警和事故預防等,都忽略了事故致因因素時間序列相關性對不安全事件的影響,沒有考慮致因因素中廣泛存在的各種不確定性,更沒有開展相關不確定性對航空安全預測、預警輸出的影響。

1.2STAMP相關理論簡介

1.2.1STAMP理論2002年,Leveson在系統論、控制論的基礎上,提出了一種新型的系統安全分析模型,即STAMP理論模型。該模型從系統論的角度,認為事故是由不確定因素、不安全控制行為、部件之間的不安全交互引起的;從控制論的角度,認為不恰當的控制過程、環境因素、控制行為不滿足先決條件或者未知的外部干擾是造成事故的主要原因。

STAMP理論模型將安全性看作是一種系統的涌現性,認為安全性受到系統中與各個行為相關的一系列約束的限制,而事故正是由于系統各層次的行為缺乏約束所導致的。STAMP理論擴展了事故原因類型,其不再通過事件鏈的思路進行安全性分析,所以除了傳統的基于事件鏈模型分析出的事故原因類型外,STAMP理論也能夠通過組件之間的非線性、間接和反饋關系來發現其他類型的原因,如組件間的不安全交互、新型人為差錯、軟件的設計缺陷和需求缺陷等新型致因因素。

STAMP理論將事故看作控制失效問題,認為在組件行為、組件交互等違反安全約束時就可能導致事故。STAMP理論模型包含安全約束(SafetyConstraint)、功能控制結構

(FunctionalControlStructure)和過程模型(ProcessModel)三個基本結構。

1.安全約束

不同于傳統事故致因模型,STAMP理論視約束為最基本的概念而非傳統事件,系統進入危險狀態正是由于違反了安全約束。在STAMP理論中,單個組件行為、組件交互行為在規定的安全約束條件下運作,從而保證系統安全運行。隨著軟件技術的發展,現代系統愈發復雜,基于安全約束的控制方式是保障系統安全的有效手段。

2.功能控制結構

在系統論中,系統可表示為不同層級的復合結構,較高層級對較低層級施加安全約束,較低層級執行命令并為較高層級提供反饋信息,較高層級根據信息和外部環境調整安全約束,如此反復進行,進而構成系統完整的控制反饋回路。不同層級之間的標準控制關系如圖1.1所示。

圖1.1不同層級之間的標準控制關系

3.過程模型

傳統的安全性分析方法主要基于人腦中的理論模型,分析人員的技術水平高低、經驗豐富與否對結果具有顯著影響。而STAMP理論的危險分析是基于過程模型,它既可以是自動控制設備中的控制邏輯,也可以是系統控制人員的心智模型,是一種更為通用的控制模型。

無論哪種控制模型,都必須包含三個層面的信息:

①系統控制規則;

②系統當前狀態信息;

③系統狀態轉換規則。

1.2.2基于STAMP理論的STPA方法

基于傳統線性理論的安全性分析方法以可靠性理論為基礎,主要識別組件失效引發的系統事故。由于復雜系統的涌現性是非線性的,因此傳統事故致因模型不適用于復雜系統

中的涌現性,其針對涌現性的風險分析非常有限。而基于STAMP事故致因模型的STPA方法從控制失效的角度出發,自頂向下識別由于設計缺陷、軟件缺陷、組件交互、人為因素導致的系統風險,擴展了傳統風險致因因素的范疇。

1.方法簡介

STPA方法的目標是識別能夠誘發進入危險狀態的控制“失效”問題,生成相關的安全約束,保持風險程度在人們可接受的水平;此外,STPA方法可以識別違反安全約束的“失

效”信息,在系統設計階段或使用階段可通過一定的措施來控制、降低和消除風險。STPA方法通過構建系統的反饋控制結構圖,來對系統的安全性進行全面、系統的分析。

圖1.2為一個包含過程模型的典型的反饋控制結構,圖中系統主要包括控制器、執行器、被控對象和傳感器四個部分。從圖中的控制邏輯可以看出:通過過程模型可以識別被違反的安全約束并確定出為何控制不能有效實施安全約束,確定出導致不安全事件發生的原因以及出現不安全控制的場景,并將其轉化為安全約束和設計需求,為設計出更安全的系統提供保證。

圖1.2典型的控制回路

2.應用過程

STPA方法的核心工作主要有兩個,即識別導致危險的不安全控制行為和確定不安全控制行為的致因因素。STPA方法在進行系統安全性分析的過程中主要包括四個步驟,如圖1.3所示。圖中的前兩步是STPA方法分析的基礎,后兩步是其核心工作。其中,不安全控制行為有四類:

①未執行控制行為;

②執行不正確或不安全的控制行為;

③過早或過晚執行的控制行為或錯誤的時間進行的控制行為;

④停止過早或持續太久的控制行為。

圖1.3STPA分析過程

導致不安全控制的控制缺陷主要有三類:

①控制器發出不足或不恰當的控制行為,包括對故障或擾動的物理過程處置不當;

②控制行為的不充分執行;

③反饋信息的不正確或丟失。

圖1.4顯示了標準控制回路中的典型控制缺陷。圖中缺陷可以大致分為控制缺陷①與反饋缺陷②。控制缺陷是指提供或執行不安全控制行為的原因,反饋缺陷是指生成不安全控制行為的原因。

圖1.4不恰當控制行為的原因

由圖1.4可知,控制指令的生成、傳遞、執行、反饋貫穿了控制反饋回路的全過程,所有組件的目的都是為了保證系統能夠在安全約束要求范圍內高效運行。STPA方法識別出來的控制缺陷(ControlFlaws)是誘發危險的根本原因,根據分析結果有針對性地制訂預防策略和改進措施,能夠從根本上提升系統的安全水平。

本章小結

本章主要對STAMP理論和STPA方法進行了分析。STAMP理論模型將安全性看作是一種系統的涌現特性,認為安全性是系統中各個組件行為相關的一系列安全約束。STPA方法是基于STAMP理論事故致因模型的安全性分析方法。后續各章節中的案例研究和相關安全性分析均以STAMP理論模型為理論支撐。第二章基于STPA方法的典型航空事故分析2.1民航航班客艙失壓事故分析2.2民航航班發動機失控事故分析2.3典型軍機墜機事故分析2.4某無人機被誘捕案例致因分析本章小結

2.1民航航班客艙失壓事故分析2.1.1事故簡述1990年的一天,某民航航班由A機場飛往B機場。在飛行大約13分鐘后,飛機駕駛艙的一部分擋風玻璃脫落,巨大的壓力差導致機長大部分身體被吸出機外,一名空乘人員拼命地抱住已失去知覺、被嚴重凍傷的機長,更糟糕的是,機長面臨著極度缺氧的危險。在這種情況下,副機長被迫在另一機場實施緊急迫降。最終,憑借著副機長的努力,飛機成功著陸,未造成人員死亡,包括機長在內的所有機組人員都從傷病中恢復過來,機長更是在事故發生后的短短幾個月就重返工作崗位。

2.1.2基于STPA方法的安全性分析

1.構建STAMP分層控制結構

所有高空飛行都在機艙加壓的環境下進行,以確保機組人員和乘客有足夠的可呼吸的氧氣。如果機艙內的增壓系統發生故障,無論是由于增壓系統本身的故障,還是由于飛機內部的結構故障(例如窗戶的丟失),飛機都將面臨減壓情況。減壓的速度受到許多因素的影響,包括受壓空間與外部環境之間的壓差,以及對增壓系統或飛機結構的破壞程度等。雖然快速減壓是一種嚴重且可能危及生命的危險,但一般不會立即對乘客和機組人員造成致命傷害。

在快速減壓過程中,飛機駕駛艙可能會出現混亂程度很高的情況,經常充滿蒸汽、噪音和碎屑等。機組人員在應對快速減壓場景時,其操作技能的正確與否往往意味著一個飛

行事件和一個飛行事故之間的區別,嚴重操作差錯甚至會導致飛機的損壞進而威脅機組人員的生命。同時,為了支持機組人員處理這一罕見但危險的事件,并突出已確定的相互作

用可能導致不安全行為的潛在領域,需建立由許多機構組成的控制結構,如圖2.1所示。

圖2.1某航班事故分層安全控制結構

2.識別危險

在STAMP分析中,危險被定義為一個系統狀態或一系列條件,在特定的最不利環境條件下,危險會導致事故或損失。根據STAMP框架,危險是可以控制的,但也可能導致潛在的事故。在本案例中,潛在事故定義為機組人員對飛機快速減壓事件的反應。

1)識別系統級危險

在進行基于STAMP的致因分析時,首先要確定該研究涉及的具體系統,然后通過相應的分析判斷來識別系統中存在的主要危險,這些危險造成的后果包括人員受傷或者死亡、設備結構受損、環境受到污染等。

該航班事故涉及的系統主要為客機實體系統和乘員安全系統。由于這兩個系統由不同且獨立的管理者控制,因此可將它們看作兩個相互影響但獨立的系統。客機實體系統由歐

洲航空安全局控制飛機證書頒發以及審定過程;乘員安全系統由航空公司負責乘員(指乘客和機組人員)的人身安全。客機實體系統和乘員安全系統組合起來造成的事故(或者說損

失事件)可以定義為飛機受損導致的快速減壓事件使乘客死亡或受到傷害。

2)確定系統級安全約束

辨識系統和其結構的危險后,下一步的主要目標是詳細說明防止危險發生所必需的系統級安全需求和設計約束(即安全約束)。該事故的安全約束包括客機實體系統的安全約束和乘員安全系統的安全約束。

客機實體系統的安全約束如下:

(1)飛機擋風玻璃的結構強度達到要求。

(2)如果發生不可避免的快速減壓的情況,需保證飛行員氧氣供應設備正常。

(3)飛行員能夠操縱飛機下降到安全高度,減少減壓事件帶來的影響。

乘員安全系統的安全約束如下:

(1)不能讓乘員長時間暴露于失壓條件下。

(2)一旦發生快速減壓事件,必須采取措施以快速恢復到正常壓力條件。

(3)必須采取可用的、有效的措施,保證飛行員能夠在減壓事件中正常操作。

3)實施安全約束的安全控制結構

下面主要對已構建的分層安全控制結構中的相關層級進行分析,以了解其安全約束。

(1)監管機構層級。

安全約束:監管機構嚴格按照規章制度向具備資質的航空公司頒發AOC。

(2)航空公司層級。

安全約束:航空公司具備足夠的資質,擁有科學的管理水平。

(3)飛機層級。

安全約束:飛機能夠正常進行信息反饋,且保證反饋的信息準確。

(4)機組人員層級。

安全約束:機組人員具備能夠應對各種突發情況的能力水平。

(5)空中交通管制/空中交通管理層級。

安全約束:能夠及時對機組人員提供幫助,并引導和指揮其他飛機避讓。

(6)機身制造商層級。

安全約束:制造商設計制造的飛機功能完整。

(7)其他飛機層級。

安全約束:能夠及時收到ATC/ATM管制中心提供的信息,并及時采取正確的應對措施。

3.識別不安全控制行為

機組人員與飛機之間的四項控制行為包括:

(1)確保機艙內有足夠的壓力。

(2)確保機組人員有充足的氧氣。

(3)確保飛機下降至10000英尺。

(4)完成QRH(快速參考手冊)程序。

任何一種控制行為在快速減壓過程中出現差錯,都可能最終導致缺氧,造成潛在的致命后果。使用這四個控制行為共有可能生成21個不安全控制行為,如表2.1所示。

隨后將生成的不安全控制行為映射到控制回路中,如圖2.2所示。

圖2.2的左下角顯示了延遲操作,如延遲關閉壓力閥、啟動下降時機太晚、QRH檢查太慢等。

圖2.2機組人員和飛機之間的控制回路

需要強調的是,圖2.1中所示的分層安全控制結構是基于STAMP方法中給出的假設而構建的,不同的假設可能產生不同的控制結構。控制結構中的每一個不安全控制行為都可能造成嚴重后果,因此應該對每一個潛在的不安全控制行為實施安全約束。這對于由錯誤的心理模型假設或缺乏明顯的緊急警告而導致機組人員不能正確處理故障的事故可能特別有用。

4.致因因素分析及安全約束生成

通過對與事故有關的不安全控制行為進行識別,再根據相關不安全場景就可以得到事故發生的根本原因。若控制回路中的安全約束未被有效實施,則會發生相對應的不安全控制行為。針對此次事故,繼續進行各層次結構的控制回路分析,得到的事故原因主要有以下幾個方面:

1)機械原因

該型號飛機的擋風玻璃的設計方式為由內往外裝,當固定擋風玻璃的螺栓失效時,玻璃會由于巨大的壓力差而脫落。

2)人為因素

(1)錯誤螺栓的選擇和使用。

(2)使用不合適的安裝設備。

(3)維修工作在昏暗條件下進行。

(4)機庫大門已經關閉,導致工作梯無法放置于機頭前方,維修人員只能從側面進行安裝工作,不能發現安裝好的螺栓與正常情況的差異。

3)組織管理

(1)未進行工作質量檢驗。

(2)航空公司未進行該項工作的反饋。

(3)未定期對維修人員進行培訓和測試。

5.總結

通過對某民航航班客艙失壓事故進行基于STAMP的致因分析,可以發現這種方法對復雜系統的分析結果較傳統方法的分析結果更為先進,如在本事故中飛機和機組人員的控

制回路中,被控過程即飛機存在高度表、近地預警系統、高度(壓力)報警系統這三個系統都會導致潛在故障的特點,其一直對飛機的安全產生重要影響。

從分析過程可以看出,民機以經濟性為目標,安全性設計和管理也主要是考慮到整體效益,通過總結基于STAMP的事故致因分析流程,并將其作為對軍機事故的致因分析方法,可以指導軍機的安全性分析設計。

本例重點分析了使用維修階段的安全性,對設計制造領域涉及較少。對于軍方而言,不僅僅需要關心軍機的使用維護階段,隨著新裝備的大量研制和列裝,更要關注設計制造領域。因此,需在此基礎上進一步研究設計制造方法的安全性或者由于制造原因引起的安全事故分析流程。

2.2民航航班發動機失控事故分析

2.2.1事故簡述1997年8月6日,某民航航班從某國一機場飛往另一國家,機上有乘客237人,機組人員17人。駕駛飛機的機長是前空軍飛行員,有駕駛波音747飛機安全飛行6年的經驗,在事故發生的幾個月前,因在飛機發動機失控的情況下安全降落一架747飛機而得到了航空公司的表彰。

2.2.2基于STPA方法的安全性分析

1.構建STAMP分層控制結構

依據航空系統管理機制,建立航空系統的整體控制結構,以便于了解各部門之間的聯系。結構圖如圖2.3所示。

圖2.3航空系統控制結構

2.識別事故和危險

1)確定系統級危險

在確定系統的安全控制結構后,就可分析系統中存在的潛在控制缺陷,即分析對事故施加的安全約束的缺失有哪些。本事故中表現出的系統災害是飛機撞上了山腰。

在該航班事故中,經事后的調查顯示,在事故發生過程中,出現了如下幾種情況:

(1)該航班機組人員疲勞駕駛。

(2)機長在事發時,未按照手動降落操作程序執行。

(3)儀表著陸系統故障。

(4)機場最低安全高度警告系統不能準確工作。

(5)該航班機組使用了過期的飛行圖,錯誤估計了安全飛行高度。

(6)機組人員未能依靠測距儀辨別跑道位置。

3)識別不安全控制行為

在約束識別的基礎上,下一步是根據事故相關信息,識別每一個控制層級和涉及的參與方在事故中體現的失效行為。根據控制結構圖,從上至下,依次分析每個控制層級出現的問題,即分析它們發生了哪些與其安全約束相悖的失效行為。

3.致因因素分析及安全約束生成

STAMP模型從系統控制學角度分析事故,即主要從組織管理、技術方法、參與人員、交互反饋、環境背景等方面入手進行分析。據此,從以上幾個方面出發,將STAMP模型的分析結論進行分類匯總,如表2.2所示。

2.3典型軍機墜機事故分析

2.3.1事故簡述2010年11月17日晚,某國空軍的兩架戰機組織編隊飛行訓練,在順利完成指定科目后開始返航。在當晚19時40分左右,其中一名飛行員駕駛的某型戰機突然失去了聯系,從雷達屏幕上消失。伴飛的另一名飛行員在完成了空中加油后,嘗試對失蹤的某型戰機進行搜尋。同時,該國空軍及相關部門立即啟動應急救援程序,迅速派出救援直升機以及一架運輸機對失事區域進行連夜空中搜尋。

由于失事范圍過于巨大,加之地形復雜和環境條件惡劣,搜尋工作一直未取得進展。直到第二天早晨,救援直升機才發現了失蹤的戰機的部分殘骸,并且初步確定了飛機墜落的地點。隨著搜救工作的進一步展開,救援人員發現了越來越多的戰機殘骸,同時,飛行員的飛行服的殘片接連被發現,這一系列的證據表明飛行員已經死亡。

2.3.2典型軍機生命保障系統STPA分析

1.構建STAMP分層控制結構

當代先進戰機在最初進行設計論證時,對機體中保證飛行員處于正常生理環境的系統或部件尤為重視,飛行員的生命也由其提供支持。一旦飛行員在駕駛戰機過程中某一部件

發生故障,將會直接影響到最后能否遂行任務,甚至于威脅到飛行員的生命。當飛機的制氧過程中斷時,飛行員會直接面臨缺氧的風險。而制氧過程受到許多因素的影響,飛機生命保障系統中與制氧有關聯的任一環節出現問題,都可能使整個系統癱瘓,導致其無法繼續工作。如果發生上述情況,至關重要的是采取必要措施以確保有充足的氧氣供飛行員呼吸。若已確定飛機失去了為飛行員繼續提供氧氣的能力,飛行員不得不面臨跳傘的選擇。

為了發現此次軍機墜毀事故中存在的不安全控制行為并分析事故致因,在當前系統研究中,主要確定了7個主要的利益相關者:高空抗荷服、飛行員、引氣系統、環控系統、機載制氧系統、備份制氧系統、應急制氧系統。各層級控制關系以及回路如圖2.4所示。

圖2.4某型軍機生命保障系統分層安全控制結構

2.識別事故和危險

1)識別系統級危險

根據STAMP致因分析方法,首先要識別造成此次軍機缺氧事故的系統,為此將某型軍機的生命保障系統作為研究對象,其組成主要包括高空抗荷服、飛行員、引氣系統、環控

系統、機載制氧系統、備份制氧系統以及應急制氧系統。生命保障系統的事故可以定義為生命保障系統失效,使飛行員缺氧導致其失去對戰機的操控能力,本次事故最終結果表現

為機毀人亡。

2)確定系統級安全約束

生命保障系統的安全約束包括:

(1)飛機制氧功能始終處于正常水平。

(2)必須有報警或其他措施來提醒以及保護飛行員的生命安全。

(3)不能長時間使飛行員處于缺氧條件。

3)實施安全約束的安全控制結構

(1)高空抗荷服層級。

安全約束:為飛行員在恰當時機加壓,調整呼吸。

(2)飛行員層級。

安全約束:飛行員正確操作,避免誤操作導致缺氧。

(3)引氣系統層級。

安全約束:引氣過程順利,完成指定功能。

(4)環控系統層級。

安全約束:使駕駛艙及各電子艙保持通風。

(5)機載制氧系統層級。

安全約束:必須保證分子篩制氧過程正常。

(6)備份制氧系統層級。

安全約束:在第一氧源失效后,能自動進行補氧。

(7)應急制氧系統層級。

安全約束:能保證飛行員正常操作且工作正常以應對突發情況。

3.識別不安全控制行為

1)高空抗荷服與飛行員控制回路的不安全控制行為

高空抗荷服與飛行員控制回路的不安全控制行為如表2.3所示。

2)引氣系統與環控系統控制回路的不安全控制行為

引氣系統與環控系統控制回路的不安全控制行為如表2.4所示。

3)機載制氧系統與備份制氧系統控制回路的不安全控制行為

機載制氧系統與備份制氧系統控制回路的不安全控制行為如表2.5所示。

4)備份制氧系統與應急制氧系統控制回路的不安全控制行為

備份制氧系統與應急制氧系統控制回路的不安全控制行為如表2.6所示。

2.3.3典型軍機研制及組織管理系統STPA分析

1.構建STAMP分層控制結構

根據某型軍機研制管理機制,某國空軍首先提出“先進戰術戰斗機”(ATF)項目需求,向工業界招標,并發布了研制招標書。招標書中只給出了關鍵性能參數的范圍而并未指定

硬性指標,且允許某些參數最終低于或高于給定范圍,只要未達標的參數能通過其他性能參數的允許或者是整個系統的效能能夠得到增強即可,此項目的研發由防務承包商來

完成。

某國承包商(即研制單位)在完成了某型軍機ATF項目后,將定型生產的某型軍機交付軍方使用,由軍方對某型軍機的使用進行規劃和日常飛行訓練管理。為了研究和分析某

型軍機在研制及組織管理層面上潛在的不安全條件,建立了由某空軍裝備部門、項目管理辦公室、飛機研制單位、飛機設計團隊、某型飛機、飛行員、飛行基地、飛行訓練管理單位組成的分層安全控制結構,如圖2.5所示。

圖2.5某型軍機研制及組織管理系統分層安全控制結構

2.識別事故和危險

1)識別系統級危險

下面針對某型軍機研制及組織管理系統進行STAMP分析。其組成主要包括某空軍裝備部門、項目管理辦公室、飛機研制單位、飛機設計團隊、某型飛機、飛行基地以及飛行訓練管理單位。

某型軍機研制及組織管理系統面臨的危險主要包括飛機研制不合理、飛機設計有缺陷以及飛行員能力水平欠缺等。

2)確定系統級安全約束

某型軍機研制及組織管理系統的安全約束如下:

(1)某型軍(2)飛機結構及相關系統設計合理。

(3)某型軍機能夠滿足用戶(即某空軍)的需求。

(4)空軍飛行訓練組織體系完善。機按計劃要求研制,達到其技術標準。

3)實施安全約束的安全控制結構

(1)某空軍裝備部門層級。

安全約束:必須下發相關政策,從而為項目提供支持。

(2)項目管理辦公室層級。

安全約束:確保項目采辦過程正常進行,控制項目完成進度。

(3)飛機研制單位層級。

安全約束:了解用戶需求,設計的飛機功能完善、安全性高。

(4)飛機設計團隊層級。

安全約束:設計合理,確保安全。

(5)某型飛機層級。

安全約束:能夠正常飛行,完成規定功能。

(6)飛行員層級。

安全約束:飛行員技術水平合格,心理素質好。

(7)飛行基地層級。

安全約束:組訓方式合理。

(8)飛行訓練管理單位層級。

安全約束:訓練管理實施科學,及時采取有效措施管控危險訓練情況。

3.識別不安全控制行為

1)某空軍裝備部門與項目管理辦公室控制回路的不安全控制行為

某空軍裝備部門與項目管理辦公室控制回路的不安全控制行為如表2.7所示。

2)項目管理辦公室與飛機研制單位控制回路的不安全控制行為

項目管理辦公室與飛機研制單位控制回路的不安全控制行為如表2.8所示。

3)飛機研制單位與飛機設計團隊控制回路的不安全控制行為

飛機研制單位與飛機設計團隊控制回路的不安全控制行為如表2.9所示。

4)飛行訓練管理單位與飛行基地控制回路的不安全控制行為

飛行訓練管理單位與飛行基地控制回路的不安全控制行為如表2.10所示。

5)飛行基地與飛行員控制回路的不安全控制行為

飛行基地與飛行員控制回路的不安全控制行為如表2.11所示。

6)飛行員與某型飛機控制回路的不安全控制行為

飛行員與某型飛機控制回路的不安全控制行為如表2.12所示。

7)飛機設計團隊與某型飛機控制回路的不安全控制行為

飛機設計團隊與某型飛機控制回路的不安全控制行為如表2.13所示。

2.3.4事故致因因素分析

通過分析某型軍機的生命保障系統和研制及組織管理系統的內部控制關系,對兩個系統模型中各層次的控制回路存在的不安全控制行為進行了詳細梳理,發現了與事故有直接

聯系的不安全控制行為。針對這些不安全控制行為,總結出事故原因如下:

1.機械原因

(1)發動機引氣系統故障。發動機引氣系統故障直接導致環境控制系統停止向機載制氧系統提供壓力,導致機載制氧系統失效,輸送至飛行員氧氣面罩的氣體壓力減小,導致

飛行員呼吸困難。

(2)缺少備用氧源。根源為設計團隊未將備份制氧系統列為影響飛行安全的關鍵設備,其次是軍方未采納承包商提出的加裝備份制氧系統的方案。現代軍機以機載制氧系統

輸出的富氧氣體作為飛行員呼吸用的主要氧源。為提高系統可靠性,預防機載制氧系統失效導致無氧可用的情況發生,通常以高壓氧瓶儲氧作為第二氧源,為主氧備份。

(3)應急供氧系統圓環所處位置不方便。應急供氧系統圓環位于座椅下部靠后的位置,當出現緊急情況要拉動時,非常不利于飛行員提拉操作。

(4)飛行員所穿抗荷背心存在閥門設計缺陷。抗荷背心在高速飛行時對飛行員加壓,防止上身血液流向下身并積聚,導致飛行員腦部缺氧。在調查中發現該背心的一個閥門存

在設計缺陷,會在不該加壓時向飛行員增加壓力,導致飛行員呼吸困難,出現缺氧情況。

(5)未采取有效手段(如安裝傳感器等)對制氧過程中的實時氧氣濃度進行監控。事故證明當機載制氧系統失效時,飛行員應在第一時間得到警告,掌握故障情況。

2.人為原因

人為原因主要是針對飛行員的注意力局限。所謂注意力局限,就是說飛行員在緊急狀況下不能將注意力分配到所有的事物上。飛行員在機載制氧系統失效時會激活應急供氧系

統,呼吸困難也會促使飛行員開啟應急供氧系統,但事后的調查發現應急供氧系統并未被開啟,這可能是飛行員在呼吸困難時注意力受限,將注意力放在了恢復氧氣面罩氧氣的恢復供應上。其次,在飛行員經歷了可辨別的每秒45度的機動后,由于注意力局限導致其并未發現這一飛行狀態,從而導致其視野喪失,延遲了將飛機調整至正常飛行姿態的時機。另外,部分某型飛機飛行員在反饋缺氧事件時,信息不夠準確,靠主觀直覺進行判斷。

3.技術層面和組織管理方面的原因

在這起事故中,設計層為了節約項目經費,對飛機的安全性設計不夠重視,對裝備的使用環境研究不足,未按照適航要求進行設計。管理層方面存在對飛行員駕駛某型飛機高空飛行缺氧情況分析以及模擬訓練不足等問題,同時還有對某型飛機飛行員的生理情況監控不及時,未充分分析引氣系統故障影響,未將備用氧源列為關鍵設備,抗荷背心設計缺陷監管不足等方面的問題。另外,飛行基地在飛行員執行任務前未正確地評估訓練風險,及時發現存在的問題。

4.總結

通過對某型軍機墜機事故構建STAMP模型進行致因分析,得出的事故致因與某軍事故調查結論相比較為接近,說明基于STAMP的致因分析在軍機層面上同樣有效,可以作為一種分析軍用飛機航空事故原因的有效手段和方法。需要注意的是,相對于民機來講,軍機的主要目的是遂行作戰任務,具有特定的結構設計、生產研制流程以及組織管理體系,在構建系統模型時必須要將其考慮在內。

在設計制造領域,應該關注軍機的全系統、全過程、全壽命的各個階段,從最初軍機的設計和制造到接下來軍機的使用和管理,需要對其進行全方位的分析,尤其是要注意各環

節、系統、因素之間的交聯關系,控制過程稍有差錯,便易導致事故。

隨著軍用航空裝備復雜程度的增加和信息化水平的提升,新型軍用飛機在作戰效能提高的同時,并未帶來安全性的提升。因此,需要發展新的理論方法(如軍機適航理論)來預防和緩解軍機事故的發生。

2.4某無人機被誘捕案例致因分析

2.4.1事件簡介2011年12月4日,某國宣布其防空部隊在與他國交界的東部邊境地區成功捕獲了一架入侵的隱身無人偵察機,同時表示該機只是輕微受損,該架無人機被俘獲時正承擔著某國中央情報局(CIA)的偵察任務。12月9日,該國展示了被捕獲的無人機,展示中的機體相當完整,幾乎沒有損毀。

通過以上對此次無人機事故的簡要描述,采用STEP模型,將此次事故進行圖形描述,具體情況如圖2.6所示。圖2.6某軍無人機被他國誘捕事故過程簡述圖

2.4.2無人機系統控制結構分析

在前文基本了解事故發生過程,并采用STEP模型對事故進行STEP圖形描述的基礎上,首先構建某軍無人機的系統控制結構,之后從STEP模型所描述的處于非正常工作狀態的事件中識別系統危險,再根據系統危險進行系統安全約束和安全性需求的識別,構建出實施安全約束的安全控制結構,最后按照STAMP模型中的四類不安全控制行為找出此次典型事故中的不安全控制行為,得出不安全致因場景(因素),闡明事故原因。

根據某軍無人機的管理機制,構建出的無人機系統控制結構圖如圖2.7所示。

圖2.7無人機系統控制結構圖

2.4.3系統危險識別

系統級事故是相對的,把每一個高層的系統與低層的系統進行對比,就可以把相對高層的系統當作是系統,低層的當作是子系統。系統級事故就是指發生在系統層面上的事故,

往往會很明顯地暴露出來,它常常是由它的子系統的事故引起的。危險也可以照此定義。

危險(Hazard)是指某事物存在遭受損失、傷害、不利或毀滅的可能狀態。系統級危險是指系統存在遭受損失、傷害、不利或毀滅的可能狀態。可見,危險強調的是發生這種不利情況的概率高低。在STAMP分析中,危險被定義為一個系統狀態或一系列條件,在特定的最不利環境條件下,會導致事故或損失,根據STAMP框架,安全問題被看成是一個控制問題,但控制不好也有可能導致潛在的事故。

對于無人機組成的系統來說,它的最高級系統———無人機系統(UAS)就包括了無人飛行器(UAV)、指揮和控制數據鏈、通信系統、UAV控制站(UCS)及其他用于起飛和降落的輔助部件。因此,系統級事故不再僅僅表現為無人飛行器的墜毀、碰撞等,還有其他部件或者系統的事故。通過分析得出無人機系統主要存在五類危險,如表2.14所示。

在此典型事故案例中,系統危險就是上述無人機系統五類危險中的第二類危險。在一定程度上,還造成了第五類危險。將STEP分析結果和危險識別標準結合起來,可以看出

有幾個不正常的事件(即危險):

(1)某國對無人機的通信進行干擾,給無人機提供了虛假信息。

(2)飛機操縱員失去了無人機的控制權。

(3)無人機控制系統軟件被某國下達指令,按照虛假信息指令飛抵指定機場。

2.4.4系統安全性需求和安全約束識別

基于STAMP模型的系統安全性需求和安全約束識別首先應明確分析對象,在無人機事故中,需要分析的對象有三類:

①人,主要指飛行指揮員、飛行操縱員和地面保障人員等;

②無人機,主要包括子系統的硬件和軟件;

③飛行環境。

根據以上分析對象以及對無人機事故的了解掌握,可以得出分析對象的安全性需求和安全約束如圖2.8所示。

圖2.8無人機系統的安全性需求和安全約束

要預防此次飛行事故需要以下的安全約束:

(1)飛行操縱員實時注意無人機的通信鏈路系統是否斷開。

(2)無人機控制系統在與自身系統斷開后,自動開啟自毀系統。

2.4.5實施安全約束的安全控制結構分析

根據STAMP理論,需要建立無人機的控制結構圖。控制結構圖一個最大的優點是能夠很清晰明了地描述系統,很容易看出因為哪個部件約束失效而導致了意外的發生。某軍

對無人機的控制結構圖如圖2.9所示。

圖2.9某軍對無人機的控制結構圖

2.4.6導致危險的不安全控制行為分析

在運用STAMP分析方法時,非常重要的一步是評估在系統設計時采取的控制行為,以確定可能會導致危險的不安全控制行為,在實際過程中識別系統中存在的不安全控制行為時,通常有四種形式:

(1)發出不正確或對安全有影響的控制命令。

(2)不能實施所需要的安全控制行動。

(3)控制命令發出的時機不恰當。

(4)控制過程停止(結束)得太早或實施時間太長。

通過前文分析發現無人機系統主要存在五類危險,接下來就每一類危險源來分析其不安全控制行為。

1.無人機空中相撞

無人機空中相撞的不安全控制行為如表2.15所示。

為避免無人機空中相撞,應采取的控制行動有:

(1)確保無人機不偏離預定的飛行航線或飛行高度。

(2)確保飛行前的航路規劃沒有問題、無人機具有較強的自主決策能力。

(3)確保無人機上安裝的傳感器沒有故障或者失效。

表2.15中列舉了空中相撞的不安全控制行為,接下來將其應用于控制回路,如圖2.10所示。

圖2.10空中相撞不安全控制行為圖

2.無人機被誘捕事件

將圖2.7與無人機被誘捕事件對照,可以把某軍的無人機系統控制結構圖進行簡化,如圖2.11所示。

根據圖2.11構建的控制結構,依次考慮典型事故案例中必須實施的所有控制行動,從而確定涉及的所有不安全控制行為,并將它們作為系統中潛在的故障源。

圖2.11簡化的無人機系統控制結構圖

根據誘捕事件的簡要過程,將控制行動主要分為以下三大類:

(1)發現:確保無人機不被敵方雷達發現。

(2)干擾:確保無人機和GPS衛星連接正常,地面指揮控制站能收到無人機的相關狀態信息,確保地面指揮控制站能及時向無人機輸送控制指令。

(3)接管:確保飛行指揮員對無人機的控制權,確保無人機嚴格按照控制指令進行飛行。

誘捕事件中具體的不安全控制行為如表2.16所示。

將上述的不安全控制行為應用于簡化后的無人機控制圖,如圖2.12所示。

圖2.12誘捕事件中的不安全控制行為圖

將前文分析的誘捕事件中的不安全控制行為與此次某軍無人機被他國誘捕事故過程對應起來,將不安全控制行為應用于某軍對無人機的控制圖,得出如圖2.13的結果。

圖2.13某軍對無人機的不安全控制行為圖

在此次事件中,發生的不安全控制行為主要是:

(1)某軍地面站無法獲得無人機的狀態信息,從而失去了對無人機的控制權。

(2)空地通信設備阻斷了無人機和地面指揮站之間的通信。

(3)無人機處于失控狀態。

3.無人機可控條件下的墜毀事件

防墜毀事件中主要的控制行動有:

(1)在無人機上安裝防墜毀裝置,并確保其在關鍵時刻能正常工作。

(2)確保傳感器能及時、準確地發現數據(姿態信息)的大幅度變化。

(3)確保無人機具有自動避障功能。

(4)確保執行機構不發生異常情況。

墜毀事件中的不安全控制行為如圖2.14所示,主要有:

(1)無人機上未加裝防墜毀裝置。

(2)無人機操縱人員注意力不集中。

(3)設計時考慮防墜毀因素少。

(4)傳感器故障,對數據變化不敏感。

(5)執行機構未在無人機飛行前進行檢查。

圖2.14墜毀事件中的不安全控制行為

4.無人機事故所造成的任務終止、環境污染等

對于此類事件,一般都不會產生很大的危險,只會導致一些活動的結束。對于此類事件,我們需要做的就是盡量避免前三類事件的發生。

5.無人機造成地面操作和空管人員負擔加重等

近年來,無人機干擾民航飛機飛行的情況時有發生,導致空管人員不得不改變民航原來計劃好的飛行路線,此時無疑增加了空管人員的工作內容,加重了工作負擔。對于此類危險類型,采取的控制行動僅為限制無人機的活動空域,避免其與其他飛機的空間接觸。該類事件的不安全控制行為有:無人機失控;無人機的頻段與民航飛機的頻段臨近,導致出現兩者相互干擾的事件發生;未設置禁飛區。

最后的兩類危險一般都作為附帶危險出現,所以它的不安全行為基本上就為前三類危險的部分組合。

2.4.7不安全致因場景分析

前文分析出了三個控制回路的不安全控制行為,接下來對本次事故中出現的不安全控制行為分析致因場景。分析不安全致因場景就是對不安全控制行為的發生場景進行分析,

目的是深入分析每一個不安全控制行為發生背后的原因。具體如圖2.15所示。

圖2.15不安全致因因素圖

(1)某軍無法獲得無人機的狀態信息,從而失去對無人機的控制權。此次不安全控制行為屬于人為失誤中的監督不足,某軍飛行操縱員應時刻注意對無人機進行控制。

(2)空地通信設備阻斷了和地面指揮站之間的通信。通信設備(GPS衛星)受到某國信號干擾,從而阻斷了信息傳遞。

(3)無人機處于失控狀態。在飛行前設置好自動返航程序,使無人機即使處于失控狀態,也能按照既定程序返航。

2.4.8事故致因因素分析

1.人為因素

無人機事故中的人為因素如圖2.16所示,人為原因在事故中占據著重要地位,我們將人為原因分為在實施層面上的人的不安全行為和在管理層面上的不安全監督,并就具體事項進行說明。

圖2.16無人機事故中的人為因素

不安全行為的具體事項如圖2.17所示。圖2.17不安全行為的具體事項

不安全行為的前提的具體事項如圖2.18所示。圖2.18不安全行為的前提的具體事項

不安全監督的具體事項如圖2.19所示。圖2.19不安全監督的具體事項

組織影響的具體事項如圖2.20所示。圖2.20組織影響的具體事項

2.子系統機械故障

無人機系統中包含的子系統較多,有些子系統的故障屬于飛行時不可避免的,有些可以避免,但因為無人化的特點加大了在飛行過程中排除機械故障的難度,相比于有人機來說,無人機機械故障的次數會更高一點。

機械故障對應著我們的日常維護,無論是外場簡單維護還是定檢大修,都需要盡可能把無人機的狀態保持在很好的狀態,提高戰備出勤率。機械故障中包含的具體故障很多,但對無人機影響最大的是其最核心的子系統,即飛控系統,它直接影響著飛行安全。

3.數據鏈路通信中斷

數據鏈路通信中斷是無人機操作中極易出現的故障,但有些性能突出的無人機因為具有高度自動化的特點加之飛行前已經將線路規劃得毫無問題,因此,也能夠自主完成任務

并安全返航。對數據鏈路通信中斷進行深層次的分析,可以看出直接造成數據鏈路系統通信中斷的原因有數據鏈路系統故障、無線電電磁干擾(EMI)和信號強度弱。數據鏈路系統

故障包括網絡故障、電源故障、終端故障、接觸不良和其他原因。

4.人機交互問題

地面站的指揮人員是通過人機交互界面來判斷無人機狀態的,但存在著許多人機交互的問題。比如死神無人機,其操作步驟比較復雜,易造成誤操作。同時,和有人機自動飛行

時一樣,都必須考慮一個問題:機器在重要時刻到底是聽人指揮還是按照自己設定好的程序進行操作。人最大的特點是可以靈活處理問題,只要培訓到位、危險能規避,那么就可以消除風險。

而現如今的機器雖然具有很強的學習能力,但需要處于某種特定的狀態才可以自動開啟程序,且需要機器對狀態判斷準確,若誤判,則會發生同樣的危險。比如埃航和獅航737MAX飛機,在不到半年的時間內發生了兩起事故,導致了全世界停飛該機型。在這兩起事件中,就是因為設計時將飛機發動機前置,為了保持飛機飛行穩定,添加了自動增穩系統。導致事故的原因是飛機俯仰迎角(AOA迎角)傳感器數據錯誤導致自動駕駛斷開后,飛行員在手動飛行情況下,為了防止飛機失速,自動觸發了飛機水平尾翼配平子程序。

結合本次典型事故案例,經過我們上述的研究分析之后,知道了發生此次某軍無人機被他國誘捕事故的原因是某國綜合利用了網絡黑客攻擊和電子戰手段。

本章小結

本章以幾起典型航空事故為例,介紹了STPA方法的具體應用情況。在案例分析過程中,分別對四個案例的事故經過進行了簡要敘述,基于STPA方法,建立了事故安全性分析的分層控制結構,識別了事故、危險和不安全控制行為,最后得到了事故的致因因素。第三章航空器機輪剎車系統安全性分析與驗證3.1機輪剎車系統簡介3.2機輪剎車系統安全性分析3.3機輪剎車系統危險事件定量分析3.4機輪剎車系統GESTE驗證平臺本章小結

3.1機輪剎車系統簡介

3.1.1機輪剎車系統事故案例概述以下事故是從空軍歷年來所發生的事故案例中挑選出來的,通過對這些事故進行分析,可以得到剎車系統的一般出障模式以及引起剎車系統故障的原因。

事故一:某型飛機在當日第四個起落著陸滑行過程中,右輪爆破,導致飛機失控沖出跑道,險些造成一等飛行事故。事故的原因是右輪剎車主體靜片第二片金屬陶瓷層掉塊卡住動片,造成右輪拖胎爆破。該飛機剎車主體動、靜片在裝機后,共使用22個起落。有關工廠赴部隊檢查后認為:導致事故發生的原因是飛機在著陸滑行過程中速度大、剎車過猛,導致輪胎瞬間受力過大,進而爆破。

事故二:某型飛機在當日第三架次起飛滑跑瞬間,左輪冒煙,飛機右偏,飛行員蹬舵修正方向,收油門關車,飛機向前滑行約20米停住,兩個左輪胎爆破。事故的原因是飛機在裝配過程中,一鋁片和膠條帶入導管內部,使用過程中進入剎車閥內部,飛機起飛前進行正常剎車并松剎車時,外來物引發閥芯和閥套卡滯,導致右剎車壓力釋放不及時,造成輪胎拖死,最終導致剎爆輪胎。

事故三:某型飛機在著陸滑跑過程中兩主輪輪胎爆破,發生一起飛行事故征候。左輪輪胎爆破的原因是:飛機在著陸滑跑過程中,左輪慣性傳感器因內部硬質顆粒物卡滯而造成工作異常,放氣活門無法正常放氣,導致左輪輪胎拖胎爆破。右輪輪胎爆破的原因是:在飛機滑跑后段,飛行員為保持滑跑方向,蹬右舵剎車,由于小速度時慣性傳感器不工作,導致右輪輪胎拖胎爆破。

3.1.2機輪剎車系統事故案例分析

上述案例只是從大量事故案例中挑選出來的一些典型案例,對這些事故案例進行分析,可以很明顯地看出,飛機在降落時每個環節都必須保證精準、正確才能使飛機安全降落,稍有不慎就會發生危險。飛行員操控不當、剎車片反應延遲甚至不反應等,這些都是飛機降落中發生事故的主要原因。因此,要保證飛機剎車的安全進行,就必須保證每個環節都能安全、精準地完成。這就對整個剎車系統提出了很高的要求。

3.1.3機輪剎車系統工作過程

飛機機輪剎車系統是重要的機載設備,它是飛機上一個具有相對獨立功能的子系統,是現代飛機的一個重要組成部分。剎車系統的主要作用是承受飛機的靜態重量、動態沖擊

載荷以及吸收飛機著陸時的動能,從而實現對飛機起飛、轉彎、滑行、著陸的綜合控制。剎車系統的運行狀態直接關系到飛機的平穩起飛、安全著陸。為了充分利用地面提供給機

輪的摩擦阻力,快速、安全地吸收飛機在降落過程中由飛機動能產生的巨大能量,剎車系統綜合應用了液(氣)壓傳動技術、電子技術、自動控制技術和材料科學技術,以確保各項功能的正常運行。對現在軍用飛機而言,其安全往往受到各種因素的制約,這也對剎車系統提出了非常苛刻的要求。

1.工作原理

目前剎車系統的工作原理大致可分為以下四種類型:

(1)相對滑動量控制。相對滑動量指的是飛機前進方向的滑行速度和機輪線速度之間的差值與線速度的比值。飛機剎車時,速度傳感器向剎車控制系統提供飛機前輪和主輪的速度。

(2)開關式剎車控制。開關式剎車控制系統出現得比較早,其原理也比較簡單。在飛機剎車減速的過程中,飛機的減速率會增大到一定值,此時系統對剎車進行控制,打開其回

油路釋放壓力,剎車片不作用,機輪減小速率轉動;之后機輪上的慣性傳感器斷開微動電門,使電磁活門關閉,又使其回油路關閉,剎車壓力增大。通過這一系列操作可以使飛機在循環的過程中不斷減速,最后成功剎車。

(3)參考速率速度差控制。參考速率速度差控制是現代飛機中廣泛釆用的一種控制方式,工作原理也不復雜。事先在剎車控制模塊里設置參考速率,將其與實時的機輪轉速進行比較,同時使其按相關規律減小。當兩者的速度差超出之前的設定值時,剎車控制系統對回油路進行泄壓,以此防止機輪在剎車過程中出現打滑現象,以保證飛機剎車的安全。

(4)滑移率控制。滑移率指的是輪胎直行時剎車(或加速時輪胎的胎印和路面之間)所產生的滑移。通過滑移率進行控制主要指的是將滑移率一直保持在一個比較穩定的范圍

內,通過反復調整來提高剎車的工作效率。滑移率控制方式有望使剎車效率達到最高。

下面選用滑移率控制式剎車系統進行研究。飛機機輪剎車系統的工作原理如圖3.1所示。圖3.1飛機機輪剎車系統的基本結構

剎車動作實現的原理如下:飛機著陸后,輪載開關閉合,輪載信號保持1.5s后剎車信號有效,防滑控制器根據輪速傳感器、駕駛艙和飛控系統的輸入信號,接通剎車系統的液能源并產生控制電信號。剎車控制閥根據防滑控制器輸入的防滑控制電流大小,生成一定的剎車壓力施加到主剎車輪的剎車裝置上;主剎車輪的剎車裝置根據剎車控制閥輸入的剎車壓力的大小,生成一定的剎車力矩作用在主剎車輪上阻止機輪的轉動,進而使得主剎車輪的輪胎與跑道之間出現一定程度的相對滑動,最終產生阻礙飛機運動的摩擦力。

3.2機輪剎車系統安全性分析

3.2.1確定系統級危險在系統理論中,系統被視為分層結構,控制過程在層級間進行,高層約束會影響下一層的活動,在研究不同的危險時,只有總體結構中的相應子系統需要考慮細節,其他可視為子系統的輸入或環境。

飛機著陸階段機輪剎車系統存在的系統級事故主要包括人員受傷或死亡、飛機受損、地面設施受損等,這些事故主要分為兩大類:

(1)A1:對人員(包括飛行員和地面工作人員)造成生命損失或者重傷。

(2)A2:對飛機或飛機系統以外的物體造成損害。

與這些損失有關的危險包括四大類:

(1)H1:推力不足以維持飛機受控飛行。

(2)H2:機身完整性喪失。

(3)H3:可控飛行撞地。

(4)H4:地面上的飛機離危險物體太近,或飛機離開跑道。

H4可以細化為與剎車減速相關的以下危險:

(1)H4－1:飛機降落、起飛或滑行時減速不足。

(2)H4－2:起飛時速度超過V1(決斷速度)后減速。

(3)H4－3:飛機靜止狀態時剎車失效。

(4)H4－4:飛機方向控制能力失效。

(5)H4－5:飛機處于安全區域(滑行道、跑道等)外。

(6)H4－6:起飛后機輪未鎖定。

與這些危險相關的高層系統安全約束是根據需求或設計上的約束對危險進行的簡單重述,相應的安全約束如下:

(1)SC1:在降落、起飛中止或滑行時,剎車指令發出后,前向運動必須在規定時間內減速。

(2)SC2:飛機在V1后不能減速。

(3)SC3:飛機停放時不得隨意移動。

(4)SC4:差動制動不能導致飛機航向控制能力失效。

(5)SC5:飛機不能處于安全區域(滑行道、跑道等)外。

3.2.2構建分層控制結構

在識別出事故、系統安全隱患、系統級安全約束(要求)后,STPA方法的下一步是建立飛機功能控制結構模型,運用系統的功能控制結構進行分析。

根據典型飛機機輪剎車控制系統組成原理,可以簡化出如圖3.2所示的整機級控制結構模型。在該模型中只有三個不同層級的組件:飛行員、AACU和飛機物理系統。對于復

雜的飛機系統,抽象級別可以用來放大當前正在考慮的控制結構的各個部分。這種自頂向下的改進也有助于理解飛機的整體操作和識別組件之間的交互。

圖3.2整機級控制結構

圖3.3給出了WBS功能控制結構,可以看出,為了更加全面地指定系統功能,從而更詳細地分析危險場景,圖3.3中的功能結構模型不同于前文中的WBS物理結構模型,其主要目的是顯示“功能性”結構,而不需要對實現形式進行任何假設。相較于圖3.2,圖3.3中的功能控制結構添加了圖3.2中缺失的功能細節(例如自動剎車命令和狀態)并省略了圖3.2中添加的物理細節和功能實現細節。

圖3.3WBS功能控制結構

3.2.3識別不安全控制行為

STPA方法的第三步是識別潛在的危險控制行動,這一步驟主要是基于對過程模型的分析,具體過程模型可以采用關鍵信息來描述。在此階段,控制動作是手動提供還是自動提供是無關緊要的。當控制器的過程模型錯誤時,就會產生危險,錯誤的情況就是不安全控制行為的四種分類:

(1)沒有提供控制行為;

(2)提供了產生危險的控制行為;

(3)提供安全控制行為的時機過早或過晚;

(4)提供的控制行為作用時間過短或過長。

功能控制結構中的每一個功能組件都需要有相應的過程模型,可以用表格的形式來表

1.飛行員的不安全控制行為分析

飛行員的不安全控制行為如表3.2所示。

2.自動制動控制器的不安全控制行為分析

自動制動控制器的不安全控制行為如表3.3所示。

3.液壓控制器的不安全控制行為分析

液壓控制器的不安全控制行為如表3.4所示。

3.2.4致因因素分析

STPA方法的第四步是分析不安全控制行為的致因,確定系統潛在的安全性需求。在不安全控制行為導致的危險確定之后,根據STPA分析方法的控制反饋模型,可總結出剎車動作產生危險的兩方面原因:

①因采取錯誤控制措施導致的危險;

②采取了安全措施但未能執行(因錯誤反饋信息)導致的危險。

STPA中的致因因素分析過程與傳統的致因分析有較大區別。與失效模式和影響分析(FailureModeandEffectsAnalysis,FMEA)相比,它不考慮所有的故障,而只考慮導致前述步驟分析出的不安全控制行動的致因;與故障樹分析相比,它類似于故障樹分析中對導致危險場景的識別,但識別的不僅僅是組件故障,還考慮間接關系。

1.飛行員的分析

下面考慮不安全控制行為P.1a1,即飛行員在未自動剎車(或剎車不足)時,不進行手動剎車(需要制動以避免H4－1和H4－5行為)。該過程控制結構如圖3.4所示。

圖3.4控制結構(飛行員)

1)錯誤控制P.1a1的原因分析

從不安全控制行為開始,向后追溯,可以通過對每個因果關系依次進行解釋來識別場景,如表3.5所示。

場景1飛行員誤認為自動剎車已解鎖,并開始工作(過程模型缺陷)。

過程模型有缺陷的原因可能包括:

(1)飛行員先前已配備自動剎車,但不知道后來已無法使用。

(2)如果AC液壓控制器檢測到故障,則接收到的反饋可能不足。

(3)當AC液壓控制器檢測到故障時,飛行員發現自動制動控制器仍處于準備狀態,這是因為自動制動控制器沒有設計自檢功能。

(4)由于信息多、信息沖突、報警疲勞等原因,導致飛行員無法處理反饋。

場景2飛行員(雙人)在著陸時未手動剎車,因為每個飛行員都認為另一人在提供手動剎車指令(流程模型不正確)。

流程模型不正確的原因:飛行員從其他系統(擾流器、逆推力等)感受到初始減速,可能對目前由誰負責剎車有錯誤認知。

2)安全措施無效的分析

飛行員在需要時提供了手動剎車但剎車無效,反饋失效原因如表3.6所示。

場景3由于WBS處于備用制動模式,防滑閥關閉,因此飛行員的手動剎車指令無效。

這種安全措施無效的原因包括:

(1)WBS處于備用制動模式,可能是因為AACU在兩個通道中都檢測到了內部故障,并關閉了液壓閥。

(2)防滑閥關閉可能是由于AC內部故障導致輸出錯誤命令,使所有閥門關閉。

場景4由于WBS處于備用制動模式,防滑閥負載過大,因此飛行員的手動剎車指令可能無效。

這種安全措施無效的原因包括:

(1)WBS處于備用制動模式,飛行員關閉了液壓系統。

(2)由于AACU誤測到機輪在持續打滑(錯誤的過程模型,AC分析更詳細地處理了這種情況),因而使防滑閥負載過大。

(3)AC誤測到機輪在持續打滑,機輪速度反饋部分指示突然減速,可能由于機輪速度傳感器故障。

2.自動制動控制器的分析

下面考慮不安全控制行為AC.1a1,即在著陸或中止起飛過程中,自動剎車已解鎖但不提供制動命令。該過程控制結構如圖3.5所示。

圖3.5控制結構(自動制動控制器)

1)錯誤控制(AC.1a1)的原因分析

從不安全的控制行為開始,向后追溯,可以通過對每個因果關系依次進行解釋來確定場景。致因情景如表3.7所示。

場景1自動控制器誤測已達預定減速率。

自動制動存在這種過程模型缺陷的原因包括:

(1)機輪速度反饋波動太快(反饋不足),這可能會使實際的飛機速度難以檢測,從而得到了不正確的飛機速度。

(2)反饋失去準確性,可能是因為跑道是濕的,防滑功能影響機輪剎車。

場景2自動剎車已經使飛機停止。

造成這種情況的原因包括:

(1)自動剎車檢測到飛機停止便停止剎車并鎖定(設計缺陷)。

(2)當飛機受到外力、推力或其他力的作用時,飛機可能會移動。

場景3自動制動未判定著陸或中止起飛狀態。

造成這種情況的原因包括:

(1)用于探測著陸的方法不適用于跑道或著陸條件。

(2)中止起飛時未探測到可能觸發的剎車條件。

(3)用于檢測著陸或中止起飛的傳感器故障。

2)正確措施但未能執行的原因分析

著陸或起飛緊急制動時,自動剎車提供了正確的制動命令,但飛機沒有實現必要的減速。致因情景如表3.8所示。

場景4造成這種情況的原因包括:將制動系統切換為交替制動模式,然而提供自動制動命令時不能執行。

(1)自動制動控制器繼續向飛行員反饋自動制動已啟動(正在制動)。

(2)如果AC液壓控制器的兩個通道都有瞬時故障,則系統切換到交替制動模式,故障被鎖定到下一個工作循環。

場景5液壓系統發生故障或飛行員手動禁用液壓系統,然而提供自動制動命令時不能執行。造成這種情況的原因包括:

(1)自動制動控制器無法獲取指令,從而無法持續提供制動命令。

(2)自動剎車控制器向飛行員反饋自動剎車已啟動。

3.液壓控制器的分析

下面考慮不安全控制行為HC.3a1,即HC在收到制動命令時,不向閥門提供位置命令。該過程控制結構如圖3.6所示。

圖3.6控制結構(液壓控制器)

場景HC在接收制動命令時沒有提供位置命令,這可能是因為制動命令是由自動制動控制器發送的,而手動制動命令是在自動制動命令之前或期間接收的。

造成這種情況的原因包括:

(1)收到飛行員提供的手動制動指令。

(2)駕駛員無意中發出了手動制動指令(如著陸或顛簸時腳踩在踏板上)。

(3)其他干擾,如硬著陸或傳感器故障,會使手動制動指令失效。

3.3機輪剎車系統危險事件定量分析

3.3.1剎車失效Bow-tie模型的構建在剎車系統中,人們最不希望看到的就是剎車失效的發生,即飛機失去了制動的能力。因此本節選取剎車失效為關鍵事件(即頂事件),并根據引發剎車失效的原因及剎車失效可能導致的后果構建Bow-tie模型。

1.剎車失效危險源分析

剎車系統由正常剎車系統和應急剎車系統兩部分組成。正常剎車系統主要由制動操作裝置、傳感器、剎車控制組件(BCU)、液壓油路、剎車裝置和各類控制閥門等組成。應急剎車系統主要由制動操作裝置、剎車裝置、液壓油路、轉換活門、應急剎車活門等組成。以上任何部件發生故障都可能導致正常剎車系統或者應急剎車系統失效,而當正常剎車系統和應急剎車系統同時失效時會導致剎車失效的發生。

根據剎車原理,正常剎車失效和應急剎車失效的故障樹分別如圖3.7和圖3.8所示。

圖3.7正常剎車失效故障樹

圖3.8應急剎車失效故障樹

在表3.9中列出了剎車失效故障樹的基本事件及其發生概率值。

2.剎車失效事故后果分析

針對以往對飛機剎車失效后果的統計,將剎車失效導致的不安全后果分為以下四類:

(1)飛機停留在跑道上,無人員和機體損傷。

(2)飛機機體輕度損傷,無人員傷亡。

(3)飛機機體嚴重損傷,無人員傷亡。

(4)飛機發生起火并且導致人員傷亡。

3.剎車失效Bow-tie模型的構建與后果分析

Bow-tie模型的頂事件是剎車失效。通過演繹推理可得出導致剎車失效的原因,通過歸納推理可得出剎車失效的結果。機輪剎車失效的Bow-tie模型構建如圖3.9所示,Bow-tie

模型比較清晰地呈現了引發剎車失效的危險源以及不同后果。

3.3.2剎車失效Bow-tie模型的量化求解

求解各個階段事件發生的概率是Bow-tie模型量化分析的關鍵,其中就包括了基本事件和控制事件概率的求解。然而,在系統的量化分析中通常包含大量的參數,這些參數可能是確定的,也可能是不確定的。傳統的方法是視所有事件的概率均服從于固定的概率模型,但在實際工程中,由于實驗條件的限制或者人為主觀因素的影響,人們往往無法得到精確的概率值。

1.全概率求解

在對Bow-tie模型開展量化分析時,首先要將所研究的模型的各個事件的邏輯關系表示出來,再調用該模型進行抽樣計算。圖3.10描述了建立剎車失效Bow-tie模型的過程。

圖3.10剎車失效Bow-tie模型構建流程

若該部件失效時間T服從參數為λ的指數分布,記T~exp(λ),則可靠度函數為

在表3.10中列出了剎車失效故障樹的基本事件的故障時間及參數分布情況。

在控制事件抽樣的過程中,假定控制事件概率的分布情況服從均勻分布,即pSEj~B(a,b),因此對控制事件的概率pSE1,pSE2,…,pSEm進行均勻分布抽樣。在表3.11中列出了剎車失效控制事件的發生概率及抽樣取值區間。

如圖3.11所示,該圖為調用剎車失效Bow-tie模型并且抽樣的過程。圖3.11全概率下剎車失效Bow-tie模型的抽樣過程

在抽樣計算結束后,可以得到N次抽樣后關鍵事件(即頂事件)和后果事件的發生概率,并用條形圖表示它們的概率值分布情況,分別如圖3.12和3.13所示。

從圖3.12和圖3.13中可以看出,關鍵事件和后果事件的發生概率的分布情況總體呈現正態分布的趨勢。在圖3.13中,由于在剎車失效發生后采取了有效的控制行動,因此嚴重后果事件發生的可能性要低于輕度后果事件發生的可能性。

圖3.12全概率抽樣下關鍵事件的發生概率情況統計圖

圖3.13全概率抽樣下后果事件的發生概率情況統計圖

同樣,還可進一步得到它們的平均值和方差,即

對上述抽樣得到的關鍵事件和后果事件的概率值計算均值,可以得到由于剎車失效導致的關鍵事件和后果事件發生概率的均值,如圖3.14所示。

從圖3.14中可以發現,后果事件的發生概率與引發它們的損失成反比,這一點與實際情況相符。

圖3.14全概率抽樣下剎車失效的關鍵事件和后果事件發生概率的均值

2.混合變量求解

在實際Bow-tie模型的量化求解中,如果把每一個控制措施生效或者失效的概率看作精確值,這顯然是不符合實際的,因為在工程實踐中只有很少的資料能夠作為參考,而這時往往也只能通過專家的經驗用模糊的語言來對概率進行描述,如“左右”“良好”“大約”等[13]。混合變量求解是把Bow-tie模型全概率量化分析過程中的一部分隨機變量考慮為模糊變量,這樣做就解決了事件概率不夠精確或者事件概率伴有人為主觀性因素影響的問題。

在圖3.12所示的抽樣中加入有關三角隸屬函數的模糊變量,將四個控制事件按照不同隸屬度下的概率區間進行抽樣,可實現模糊控制事件下的抽樣。

通過編程,可以得到四種后果事件發生概率

的分布情況與隸屬度的關系。同樣,可以得到后果事件發生概率

四種后果事件發生概率的上、下限值的分布情況與隸屬度的關系如圖3.15~圖3.18所示。圖3.15后果事件OE1的發生概率與隸屬度的關系

圖3.16后果事件OE2的發生概率與隸屬度的關系

圖3.17后果事件OE3的發生概率與隸屬度的關系

圖3.18后果事件OE4的發生概率與隸屬度的關系

3.3.3剎車失效重要度分析

1.概率重要度

概率重要度又稱Birnbaum重要度,是Birnbaum于19世紀60年代首次提出的關聯系統部件的重要概念。它的物理意義是表示在其他底事件狀態不發生變化的情況下,第i個底事件概率發生變化引起頂事件概率發生變化的程度。Birnbaum重要度由系統可靠度h(t)對單元可靠度pi(t)的偏導數來獲得,因此,在時刻t第i個單元的Birnbaum重要度定義為

結合故障樹分析方法描述Birnbaum重要度,有

式中:pi(t)為第i個系統在t時刻處于正常工作的概率,qi(t)為第i個系統在t時刻的不可靠度,Q0(t)表示同一時刻系統的不可靠度。

2.關鍵重要度

關鍵重要度是基于Birnbaum衡定方法提出的,也叫相對概率重要度。由于在概率重要度中考慮的是底事件的發生概率變化一個單位時頂事件發生概率的變化程度,可見它并沒

有考慮到不同底事件發生概率變化的難易程度。例如,在一種可靠度較高的部件上,失效概率基本上是確定的,而對于一種新研發的部件,其失效概率可能隨著技術的改進有很大變化。

在這種情況下,將關鍵重要度定義為底事件i失效概率的變化率與它引起的頂事件失效概率的變化率之比,即

進一步可以得到:

3.3.4剎車失效重要度計算

1.剎車失效概率重要度計算

根據概率重要度的定義,在MATLAB中可計算15個基本事件和4個控制事件發生概率對后果事件發生概率的重要程度。

圖3.19表示了每一個基本事件和控制事件對四類后果事件的概率重要度。

圖3.19各個基本事件和控制事件對四類后果事件的概率重要度

2.剎車失效關鍵重要度計算

根據關鍵重要度的定義,在MATLAB中可計算15個基本事件和4個控制事件概率的變化率對后果事件發生概率的影響程度。

圖3.20所示為各個基本事件和控制事件對四類后果事件的關鍵重要度。

圖3.20各個基本事件和控制事件對四類后果事件的關鍵重要度

3.3.5剎車失效預防對策和控制措施

以剎車失效故障作為關鍵事件進行故障樹分析,可以得到可能導致剎車失效的四個主要原因,并針對這些危險制定相對應的預防措施;對剎車失效故障發生后的事件樹進行分

析,可得到四種不同程度的后果情況,可針對這四類后果制定對應的控制措施,并力圖消除這些可能導致的后果。機輪剎車失效的預防對策和控制措施如圖3.21所示。

圖3.21機輪剎車失效的預防對策和控制措施

3.4機輪剎車系統GESTE驗證平臺

3.4.1GESTE平臺概述GESTE平臺依據半實物仿真的原理進行模型的構建,它綜合了數學仿真和物理仿真的優點,模型仿真程度較高且相對容易操作。利用GESTE平臺模擬仿真的方法可以針對WBS典型安全性需求進行驗證,通過顯示飛機著陸滑行過程的參數變化,可以得到不同控制行為下飛機的運行狀態,并針對飛機著陸提出相應的安全性要求。依據對模型運行結果的分析,可達到驗證的目的。

GESTE平臺由顯示器、測試主機、實時處理機和嵌入式設備模擬器組成,如圖3.22所示。其中,電腦主機為測試主機,在GESTE軟件中可進行C語言源程序的開發,可通過顯

示界面掌握模型運行情況并收集運行產生的參數。操作時實時處理器依據程序代碼運行,其操作系統是VxWorks嵌入式實時操作系統,主要功能是對整個測試程序進行實時驅動,分析處理連續工作的模型。

圖3.22GESTE平臺設備

GESTE平臺的建模方法如圖3.23所示,其仿真模型的建立主要有構建飛機降落的交聯環境模型、建立/操作顯示界面、編制源程序、運行模型、收集數據等幾個步驟。

圖3.23GESTE平臺建模方法

3.4.2典型安全性需求建模

1.模型構建

在飛機著陸階段,與飛行員操作有關的安全性需求如下:

(1)在安全滑行速度達到規定值之前,