綜合火/飛/推控制系統(tǒng)復(fù)雜任務(wù)的STAMP建模和STPA分析

胡劍波，鄭磊

(空軍工程大學(xué) 裝備管理與安全工程學(xué)院，西安　710051)

?

綜合火/飛/推控制系統(tǒng)復(fù)雜任務(wù)的STAMP建模和STPA分析

胡劍波，鄭磊

(空軍工程大學(xué) 裝備管理與安全工程學(xué)院，西安710051)

隨著系統(tǒng)復(fù)雜性的日益增高，人為操作失誤引起的系統(tǒng)任務(wù)失敗呈增加的態(tài)勢，傳統(tǒng)的FTA、FMEA等基于線性事件鏈模型的分析方法已不能滿足分析人為操作不當(dāng)導(dǎo)致的系統(tǒng)危險，采用基于系統(tǒng)理論的過程分析方法，對作戰(zhàn)飛機綜合火/飛/推控制(IFFPC)系統(tǒng)中人為操作不當(dāng)引起的潛在危險進行安全性分析。首先建立作戰(zhàn)飛機IFFPC系統(tǒng)的STAMP模型，進而生成作戰(zhàn)飛機IFFPC系統(tǒng)的STPA分析模型，最后根據(jù)提出的五類引起任務(wù)失敗的原因因素，詳細(xì)地進行作戰(zhàn)飛機IFFPC系統(tǒng)不安全控制作用(UCA)的因素識別。結(jié)果表明：所采用的基于系統(tǒng)理論過程的分析方法彌補了傳統(tǒng)安全性分析方法存在的缺陷，有效地解決了傳統(tǒng)的FTA、FMEA等安全性分析方法不能很好地解決人為危險因素的問題，為含有人工控制器的復(fù)雜系統(tǒng)的安全性分析提供了一種新的思路。

綜合火/飛/推控制系統(tǒng)；安全性分析；人工控制器；STPA模型；危險因素識別

0　引　言

隨著技術(shù)的進步，系統(tǒng)的復(fù)雜性日益增高，人為差錯原因引起的事故越來越多，急需從控制的角度來分析和研究人為因素是如何引起事故的。同時，人工控制器在復(fù)雜系統(tǒng)中的地位越來越重要。一是復(fù)雜系統(tǒng)為了追求高效率，通常運行在系統(tǒng)邊界狀態(tài)，這對人工控制器性能提出了嚴(yán)酷要求，稍有不慎，就會導(dǎo)致事故發(fā)生；二是信息技術(shù)被大量應(yīng)用于復(fù)雜系統(tǒng)，其信息量大、關(guān)聯(lián)性強，這對人工控制器能否正確地理解和解釋這些信息帶來了難度，若理解或者解釋不正確，就會導(dǎo)致事故；三是人工控制器的上下文關(guān)聯(lián)因素多，容易導(dǎo)致所做動作不符合順序和時機要求，從而引起事故的發(fā)生。

傳統(tǒng)的安全性分析方法，例如FTA、FMEA，已經(jīng)在實際應(yīng)用中遇到了大量難題[1]，且未能有效地考慮人工控制器。例如，2009年法國航空447墜毀事件有力地證明了傳統(tǒng)安全性分析方法存在一定的缺陷[2]。法國民用航空安全性調(diào)查機構(gòu)(BEA)的調(diào)查結(jié)論是：墜毀的原因集中在機組人員的“故障”上，可能是因為“提供了不合適的控制輸入”，“識別其偏離飛行路徑的時間太晚了”，或者“不能”診斷停車情形，結(jié)果缺少使飛機恢復(fù)飛行的輸入。但是這一墜毀事件的實際原因依然令人深思，包括系統(tǒng)性因素、操作桿布局方式以及反饋等。可見，難以通過FMEA或者FTA等分析方法來得到上述結(jié)論。類似案例很多，例如Turkish航空公司的1951航班事故[3]，盡管在荷蘭安全性委員會的報告結(jié)論中沒有直接涉及人為差錯，但提到的設(shè)備故障組合、不合理設(shè)計的自動化裝置以及較差的機組資源管理等均與人工控制器有關(guān)。上述案例表明，除非在復(fù)雜系統(tǒng)的安全性分析中有更好的分析技術(shù)來綜合地分析人為控制器，否則類似的事故還會發(fā)生。通過對以往的飛行事故案例進行分析，總結(jié)出有效的分析技術(shù)應(yīng)具備如下特點：

①這種分析技術(shù)必須是系統(tǒng)的。將人當(dāng)作系統(tǒng)的重要組成，從系統(tǒng)的角度來考慮安全性，對于識別的危險源，要運用系統(tǒng)建模的方法來刻畫危險源的發(fā)生機理、傳遞過程和約束關(guān)系，從而得到有效的控制方法，并落實到設(shè)計和運行要求中。

②這種分析技術(shù)必須是完整的。將人當(dāng)作系統(tǒng)的重要組成，從系統(tǒng)狀態(tài)觀測、狀態(tài)可控制的角度來考慮安全性，在危險源識別、分析和控制中，必須考慮盡可能多的環(huán)境因素、外部干擾和內(nèi)部各組成的可能狀態(tài)，提出完整的安全性解決方案。

③這種分析技術(shù)必須是可行的。將人當(dāng)作系統(tǒng)的重要組成，從人的自身能力、系統(tǒng)其他組成能力的角度來考慮安全性，在危險源識別、分析和控制中，合理配置系統(tǒng)的傳感器、顯示器和執(zhí)行器，確保提出的安全性解決方案切實可行。

在相關(guān)的文獻中，已經(jīng)關(guān)注并開始研究存在的問題。J.R.Boyd[4]利用反饋控制原理，建立了軍隊指揮系統(tǒng)的人工控制器模型，指出了人工控制決策模塊、信息反饋對于任務(wù)失效的重要影響。J.Rasmussen[5]利用人類認(rèn)知的能力、規(guī)則和知識架構(gòu)，提出了基于反饋控制原理的人工控制器SRK模型，構(gòu)建了低層技能回路、中間層規(guī)則回路和高層知識回路，指出了技能回路不良、規(guī)則不全、知識不足對于任務(wù)失效的重要影響。L.T.Cameron[6]在分析了人類認(rèn)知生態(tài)心理模型及相關(guān)要素的基礎(chǔ)上，結(jié)合文獻[4]和[5]，利用Nancy G.Leveson[7]提出的基于系統(tǒng)理論的事故模型和過程(STAMP)及基于系統(tǒng)理論的過程分析(STPA)，綜合運用分層結(jié)構(gòu)化模型和反饋控制原理，提出了一種人工控制器的STPA方法。可見，對于含有人工控制器的復(fù)雜系統(tǒng)，系統(tǒng)理論、控制理論是分析和控制其安全性的有效途徑。

本文在文獻[4-6]的基礎(chǔ)上，采用基于系統(tǒng)理論的過程分析方法，以作戰(zhàn)飛機IFFPC系統(tǒng)的復(fù)雜任務(wù)為研究對象，建立含有人工控制器的STAMP模型，進行STPA分析，并將其應(yīng)用于作戰(zhàn)飛機IFFPC系統(tǒng)的任務(wù)失效分析中，以期為今后進一步的安全性分析研究奠定基礎(chǔ)。

1　IFFPC系統(tǒng)的STAMP模型

STAMP模型運用系統(tǒng)理論和控制理論，將安全性問題當(dāng)作系統(tǒng)的一種涌現(xiàn)特性。系統(tǒng)安全性被視為建立在組件之間相互作用和環(huán)境基礎(chǔ)上的一種特性，STAMP繼承了涌現(xiàn)性、層次性、可控性等系統(tǒng)概念，并在系統(tǒng)中施加安全性約束[8]。與將事故視為起源于初始原因事件的線性傳遞相比，STAMP認(rèn)為事故是由于不合理的控制和系統(tǒng)開發(fā)以及設(shè)計和運行階段安全性相關(guān)約束的不合理施加所致[9-10]。

[11-12]，結(jié)合STAMP相關(guān)理論，構(gòu)建軍用飛機IFFPC系統(tǒng)的STAMP模型，如圖1所示。利用該STAMP模型，可揭示全新的事故因果關(guān)系模型。本文所研究的事故泛指不能預(yù)期完成任務(wù)。位于低層的發(fā)動機和飛機機體各自具有兩個相對獨立的控制系統(tǒng)，但必然通過飛機動力學(xué)模型和運動學(xué)模型而相互關(guān)聯(lián)。位于上層的火力控制系統(tǒng)，向人工控制器提供任務(wù)控制指令，而人工控制器又向火力控制系統(tǒng)提供反饋信息；這些控制指令可以直接送向飛機運動控制系統(tǒng)和發(fā)動機控制系統(tǒng)，也可直接接受來自飛機運動控制系統(tǒng)、發(fā)動機控制系統(tǒng)的反饋信息。最重要的人工控制器位于中間層，既要向兩個低層控制系統(tǒng)施加控制信號，又要及時接受來自低層傳感器的狀態(tài)反饋信息，同時需要綜合判斷兩個低層的運行態(tài)勢，綜合火力控制要求、運行環(huán)境等信息，進行統(tǒng)一協(xié)調(diào)。為了實現(xiàn)IFFPC系統(tǒng)分層控制，應(yīng)用任務(wù)約束、控制作用、反饋以及過程模型，其層次結(jié)構(gòu)清晰。在層次結(jié)構(gòu)中的每個層次均可當(dāng)作一個負(fù)責(zé)向其下方層次強制任務(wù)約束的控制器。從控制理論上來看，控制器需要四個必要條件：目標(biāo)條件(任務(wù)約束)、作用條件(控制作用)、可觀測性條件(反饋)及模型條件(過程模型)。STAMP定義了四類必須消除或者控制的不安全控制作用，以阻止事故發(fā)生：①安全性要求的控制作用不提供或者跟不上；②提供了導(dǎo)致危險性的不安全控制作用；③潛在的安全控制作用提供得太晚、太早，或次序不符合要求；④安全控制作用停止得太快或者作用得太久。

圖1　IFFPC系統(tǒng)分層控制結(jié)構(gòu)模型Fig.1　Hierarchical control model of IFFPC system

2　IFFPC系統(tǒng)的STPA模型

根據(jù)圖1所示的IFFPC系統(tǒng)的STAMP模型，結(jié)合IFFPC系統(tǒng)的決策過程，得到IFFPC系統(tǒng)的STPA模型，如圖2所示。

圖2　人工控制器STPA分析Fig.2　STPA analysis of the manual controller

2.1人工控制器

從圖2可以看出，人工控制器包含有五類不同的事故原因因素。這五類事故原因因素直接起源于“反饋”、人的認(rèn)知(“檢測與解釋”、“意向模型”、“決策”)，以及作用的“提供”等不同階段。

第一類，用(1)表示，為反饋自身的相關(guān)缺陷。它包含顯示器、傳感器以及場景感受等所有反饋。在反饋到達人工控制器之前，要分析反饋是否存在，對于可能的UCA(不期望控制作用)，需指出反饋是否矛盾、錯誤、錯過、延時或者未刷新。第一類事故原因因素有可能來自于與可見功能和UCA相關(guān)的事故原因因素。

第二類，用(2)表示，為有缺陷的反饋檢測和解釋。為了獲得系統(tǒng)安全性，人工控制器必須準(zhǔn)確地檢測和解釋實際存在的過程狀態(tài)。任何通過反饋進行的不正確過程狀態(tài)檢測和解釋，在出現(xiàn)相關(guān)的最差環(huán)境條件時，就會導(dǎo)致事故發(fā)生。

第三類，用(3)表示，為不一致過程模型。過程模型是人員認(rèn)知的意向模型，包括被控過程(發(fā)動機、飛機本體等)的意向模型、自動控制器(飛行自動控制器、發(fā)動機電調(diào))的意向模型以及兩者協(xié)調(diào)的意向模型，是飛行員通過學(xué)習(xí)飛行手冊等技術(shù)資料和通過大量實際操作建立的知識模型。當(dāng)過程模型與實際過程不一致時，就會導(dǎo)致事故發(fā)生。

第四類，用(4)表示，為有缺陷的決策。這種事故原因是由于底層部件故障導(dǎo)致的決策與實際情況不符。當(dāng)決策與實際情形不匹配時，就會導(dǎo)致事故發(fā)生。

第五類，用(5)表示，為導(dǎo)致UCA的不合理提供或者不提供應(yīng)有的功能。不合理功能或者不提供應(yīng)有的功能與反饋之間存在著內(nèi)在聯(lián)系，且內(nèi)在聯(lián)系可能是導(dǎo)致不安全控制作用的關(guān)鍵所在。

2.2火力控制系統(tǒng)

圖2中的(6)為火力控制系統(tǒng)向人工控制器下達的任務(wù)指令(給定的飛行高度、速度和方位)不合理、過時或者錯誤。屬于第一類。

圖2中的(7)為人工控制器向火力控制系統(tǒng)提供的反饋不合理，丟失或延時。屬于第四類或者第五類。

2.3低層控制系統(tǒng)

在圖1所示的STAMP模型中，存在著兩個低層控制系統(tǒng)，即飛行控制系統(tǒng)和發(fā)動機控制系統(tǒng)。這些控制系統(tǒng)均為一般反饋控制回路。建立的控制回路的STPA模型如圖3所示，圖中的①為不合理反饋，屬于第一類；②為不合理控制算法，屬于第二類；③為不一致過程模型，屬于第三類；④為錯誤控制輸入或者外部信息，可導(dǎo)致決策錯誤，屬于第四類。

圖3　控制回路的STPA模型Fig.3　STPA model of the control loop

3　IFFPC的STPA分析

3.1基本步驟

STPA(系統(tǒng)理論過程分析)[13]是一種基于STAMP事故模型的危險性分析方法，是一種從上到下的系統(tǒng)工程方法，整個過程可以分成以下相互交叉、反復(fù)迭代的五個部分：

(1) 確定要分析的事故或危險性：確定分析的事故或者系統(tǒng)級危險性，即在開始STPA分析之前，要識別與必須控制的系統(tǒng)安全性要求相聯(lián)系的潛在事故和相關(guān)的系統(tǒng)級危險性。

(2) 建立系統(tǒng)層次結(jié)構(gòu)模型：確定分析對象的層次結(jié)構(gòu)系統(tǒng)模型，繪制功能控制結(jié)構(gòu)，包括組件之間的約束、反饋關(guān)系，以及由控制器、執(zhí)行器、傳感器和被控對象組成的控制回路。

(3) 識別潛在的不安全控制作用：依據(jù)STAMP中定義的四類不安全作用，識別可導(dǎo)致一個或多個所定義事故或者危險性的各個不安全控制作用。

(4) 構(gòu)建安全性要求和約束：根據(jù)所識別的危險性控制作用，生成系統(tǒng)行為和組件行為的安全性要求和約束。

(5) 確定每個潛在危險控制作用的發(fā)生機理因素：檢查安全控制結(jié)構(gòu)的每個控制回路，識別揭示危險控制作用或者其他違反安全性約束的潛在原因因素及主要的機理因素。

鑒于上文已經(jīng)建立了STAMP模型，并且STPA的重點在于安全性分析，并不是開展安全性設(shè)計，于是分析中不涉及安全性要求和約束的構(gòu)建。下文將以“在飛機平臺狀態(tài)不滿足武器發(fā)射條件的情形下，火控系統(tǒng)企圖發(fā)現(xiàn)并截獲目標(biāo)”為任務(wù)失效源，分析該失效源對應(yīng)的不期望控制作用UCA，并識別每個UCA原因因素。

3.2引起失效的UCA識別

3.2.1過程狀態(tài)層次

根據(jù)STAMP模型，首先需確保飛機在發(fā)現(xiàn)并截獲目標(biāo)時具備發(fā)射條件，同時火控指令必須得到機長或者地面指揮中心的許可，而且在發(fā)現(xiàn)與截獲的過程中其飛行路徑不能受氣象條件、地方威脅的影響。為此，高層需要考慮三組狀態(tài)，即PS1(發(fā)射條件)、PS2(火控指令)和PS3(空域模型)。

每個高層PS所對應(yīng)的低層PS如表1所示。

表1　過程狀態(tài)層次

每個高層PS過程有兩種基本狀態(tài)：滿足或者不滿足。只有當(dāng)高層PS過程狀態(tài)的條件都滿足時，才能開始或繼續(xù)IFFPC，若任何一個高層PS過程狀態(tài)不滿足，則不能開始或繼續(xù)IFFPC。任何一個高層PS過程狀態(tài)只有其對應(yīng)的低層PS過程狀態(tài)都滿足時才會滿足。

3.2.2UCA

通過以上的過程狀態(tài)層次分析，按照IFFPC開始和持續(xù)兩種情況，給出UCA。所選擇失效源對應(yīng)的UCA如表2所示。

表2　失效源對應(yīng)的UCA

3.3引起UCA的事故原因因素識別

根據(jù)上述五類因素，結(jié)合過程狀態(tài)層次框架分析，分別列出分析結(jié)果，如表3所示。

表3　五類不同因素分析結(jié)果

第一類事故原因因素。主要表現(xiàn)因高層狀態(tài)信息不正確、錯誤、及高層狀態(tài)信息之間的矛盾導(dǎo)致的事故。針對高層過程狀態(tài)PS1，其相對應(yīng)的任一反映飛機姿態(tài)的低層反饋信息都可能不正確、遺漏或沒有在適當(dāng)時間內(nèi)刷新，并且有可能各個低層狀態(tài)的反饋信息間會產(chǎn)生沖突，IFFPC各個設(shè)備間也會產(chǎn)生沖突，因此對應(yīng)的PS1高層狀態(tài)就會模糊不清。類似的這種狀況也會在PS2和PS3各自的高層過程狀態(tài)和低層過程狀態(tài)出現(xiàn)。另外一種反饋信息原因因素產(chǎn)生于PS1、PS2和PS3各個高層過程狀態(tài)信息的沖突，這將會導(dǎo)致錯誤的意向模型和決策。傳統(tǒng)安全性分析方法對于這類事故原因因素中的狀態(tài)信息不正確、錯誤可以有效地進行分析，但是對于狀態(tài)信息之間矛盾所導(dǎo)致的事故卻不能有效地解決。例如，當(dāng)PS2中的指令得到許可，但是PS1的發(fā)射條件不滿足，同時PS3的空域模型沒有清空，飛行員將不能正確地執(zhí)行發(fā)射指令。

第二類事故原因因素。主要指由于過程更新的延時及其不正確解釋導(dǎo)致的事故。這類原因因素的分析遵循于第一類原因因素的分析模式，從其相關(guān)的高層過程狀態(tài)和低層過程狀態(tài)出發(fā)。例如，任一PS1低層過程狀態(tài)的改變在有限的時間內(nèi)有可能沒有被識別或者解釋不正確，因此會花費大量的注意力，導(dǎo)致對高層過程狀態(tài)不準(zhǔn)確或相互沖突的理解。針對這類事故原因，傳統(tǒng)的安全性分析方法只能對反饋信息的正確與否進行分析，而對其理解的正確與否并不能進行有效的分析，如果忽略對其理解不正確這一原因因素，則有可能會導(dǎo)致飛行員過程模型的錯誤，進而導(dǎo)致錯誤的開始或繼續(xù)IFFPC。

第三類事故原因因素。這類事故原因因素是由于飛行員錯誤的將不滿足的條件判斷為滿足。區(qū)別于以上兩種原因因素，這類事故原因因素是以高層過程狀態(tài)的抽象為中心，主要表現(xiàn)在飛行員對高層狀態(tài)信息的理解，當(dāng)飛行員的理解與實際狀態(tài)不相符時，就會導(dǎo)致事故。傳統(tǒng)的安全性分析方法對這類由于邏輯錯誤引起的事故不能進行有效地分析。此外，表3中的三種事故原因因素為或邏輯，任何一種的理解與實際狀況不符，都將會導(dǎo)致事故。在今后的系統(tǒng)設(shè)計中，對于復(fù)雜的多高層狀態(tài)信息的系統(tǒng)，加強邏輯的簡化將會減輕相關(guān)操作人員的負(fù)擔(dān)，增強操作人員對系統(tǒng)實際狀態(tài)的理解能力，從而減少人為錯誤，增加系統(tǒng)的安全性。

第四類事故原因因素。這類事故原因因素主要由于傳感器、執(zhí)行器、發(fā)動機、飛控系統(tǒng)等相關(guān)設(shè)備的故障造成飛行員的決策與實際情形不匹配。決策與實際情況不匹配的原因主要是由于設(shè)備的故障，而并非系統(tǒng)的邏輯錯誤和飛行員的理解錯誤。傳統(tǒng)的安全性分析方法可以分析出因為這些設(shè)備故障導(dǎo)致的事故，值得注意的是，這只是引起事故的原因之一。

第五類事故原因因素。這類事故原因因素主要指飛行員不適當(dāng)?shù)拈_始或繼續(xù)IFFPC，同時沒有通過反饋來及時調(diào)整這一錯誤動作。對于這種情況，如果是由于錯誤的反饋信息導(dǎo)致的飛行員的錯誤操作，可用傳統(tǒng)的安全性分析方法進行分析；如果反饋信息正確，是由于某些外部干擾信息的影響導(dǎo)致的飛行員錯誤操作，傳統(tǒng)的安全性分析方法將不能進行相應(yīng)的分析。

上述分析的五類事故原因因素都直接或間接的與人為因素密切相關(guān)。從分析手段上看，不再將人為差錯以概率的形式來體現(xiàn)，而是基于提出的STPA控制模型，對決策過程中的相關(guān)問題進行具體化的描述，根據(jù)火/飛/推控制系統(tǒng)的不同狀態(tài)、周圍環(huán)境等上下文信息著重對人為差錯產(chǎn)生的事故原因進行分析；從分析結(jié)果上看，不是簡單的給定人為差錯的概率，而是得出導(dǎo)致人為差錯的具體原因。與傳統(tǒng)的安全性分析方法相比，本文所采用的方法在分析人為因素所導(dǎo)致的事故時，將人為差錯的原因具體化，在改進火/飛/推控制系統(tǒng)結(jié)構(gòu)、減少人為差錯等方面具有實際意義。

4　結(jié)　論

(1) 本文應(yīng)用的基于系統(tǒng)理論過程的分析方法有效地解決了傳統(tǒng)的FTA、FMEA等基于線性事件鏈模型的安全性分析方法不能很好地解決人為危險因素的問題，通過作戰(zhàn)飛機IFFPC系統(tǒng)的STAMP模型及STPA分析方法，結(jié)合IFFPC系統(tǒng)的三種可能狀態(tài)，詳細(xì)地描述了人工控制器包含的五類事故原因因素。

(2) 與傳統(tǒng)安全性分析方法相比，將分析的重點從基于線性事件鏈模型的相關(guān)問題轉(zhuǎn)移到基于系統(tǒng)理論的過程控制問題，主要對控制過程中潛在的危險原因因素進行分析，找出危險源頭，并通過規(guī)范和限制人的控制行為來確保任務(wù)的完成，彌補了傳統(tǒng)安全性分析方法存在的缺陷，為含有人工控制器的復(fù)雜系統(tǒng)的安全性分析提供了一種新的思路。

參考文獻

[1] 秦彥磊， 陸愈實， 王娟. 系統(tǒng)安全分析方法的比較研究[J]. 中國安全生產(chǎn)科學(xué)技術(shù)， 2006， 2(3): 64-67.

Qin Yanlei, Lu Yushi, Wang Juan. Contrast research of system safety analysis methods[J]. Journal of Safety Science and Technology, 2006， 2(3): 64-67.(in Chinese)

[2] Kaiser J, Vernaleken C. Civil aviation[M]. Berlin: Springer Berlin Heidelberg, 2013: 135-158.

[3] Selles J W. Crashed during approach, Boeing 737-800, near amsterdam schiphol airport[EB/OL].(2009-02-25)[2016-04-19]. http:∥catsr.ite.gmu.edu/SYST460/TA1951_AccidentReport.pdf.

[4] Boyd J R. The essence of winning and losing[EB/OL].(2010-08-10)[2016-04-19]. https:∥www.researchgat-e.net/publication/247868527_The_Essence_of_Winning_and_Losing.

[5] Rasmussen J. Skills, rules, and knowledge: signals, signs, and symbols, and other distinctions in human performance models[J]. IEEE Transactions on Systems, Man and Cybernetics, 1983, 13(3): 257-266.

[6] Cameron L T. Extending the human-controller methodology in systems-theoretic process analysis(STPA)[D]. Cambridge: MIT, 2014.

[7] Nancy G Leveson. Engineering a safer world: systems thinking applied to safety[D]. Cambridge: MIT, 2012.

[8] 劉杰, 陽小華, 余童蘭, 等. 基于STAMP模型的核動力蒸汽發(fā)生器水位控制系統(tǒng)安全性分析[J]. 中國安全生產(chǎn)科學(xué)技術(shù), 2014, 10(5): 78-83.

Liu Jie, Yang Xiaohua, Yu Tonglan, et al. Safety analysis on control system for water level of steam generator in nuclear power plant based on STAMP model[J]. Journal of Safety Science and Technology, 2014, 10(5): 78-83.(in Chinese)

[9] Nancy G Leveson. A new accident model for engineering safer systems[J]. Safety Science, 2004, 42(4): 237-270.

[10] 鄭磊, 胡劍波. 基于STAMP/STPA的機輪剎車系統(tǒng)安全性分析[J/OL]. 航空學(xué)報, http:∥www.cnki.net/kcms/detail/11.1929.V.20160606.1616.008.html.

Zheng Lei, Hu Jianbo. Safety analysis of wheel brake system based on STAMP/STPA[J/OL]. Acta Aeronautica et Astronautica Sinica, http:∥www.cnki.net/kcms/detail/11.1929.V.20160606.1616.008.html.(in Chinese)

[11] 宋述杰， 張怡哲， 鄧建華. 火/飛/推綜合控制系統(tǒng)及其仿真平臺研究[J]. 飛行力學(xué)， 2007， 25(1)： 30-33.

Song Shujie, Zhang Yizhe, Deng Jianhua. Study on an integrated fire/flight/propulsion control system and its digital simulation/design plaform[J]. Flight Dynamics, 2007， 25(1)： 30-33.(in Chinese)

[12] 張怡哲. 火力/飛行/推進控制系統(tǒng)綜合研究[D]. 西安： 西北工業(yè)大學(xué), 2001.

Zhang Yizhe. Study of integrated flight/fire/propulsion control system[D]. Xi’an: Northwestern Polytechnical University, 2001.(in Chinese)

[13] Nancy G Leveson. An STPA primer[EB/OL].(2013-08-01)[2016-04-19]. http:∥sunnyday.mit.edu/STPA-Primer-v0.pdf.

(編輯：趙毓梅)

STAMP Modeling and STPA Analysis for Complex Tasks of Integrated Fire, Flying and Propulsion Control Systems

Hu Jianbo, Zheng Lei

(College of Material Management and Safety Engineering, Air Force Engineering University, Xi’an 710051, China)

With the system’s complexity increasing, the accidents caused by human errors are increasing. Traditional analysis methods, such as FTA(Fault Tree Analysis) and FMEA(Failure Mode and Effects Analysis) that based on the linear chain of events, can not identify the system risks caused by human errors. So the system-theoretic process analysis method is used to identify the potential risks of the combat aircraft’s integrated fire, flying and propulsion control(IFFPC) system caused by human errors. Firstly, a STAMP model of the combat aircraft’s IFFPC system is established, then the STPA analysis model of the combat aircraft’s IFFPC system is built. In the end, according to the five kinds factors of failed mission, the risk factors of the combat aircraft’s IFFPC system’s unsafe control action(UCA)are identified. The result shows that, the STPA method makes up for the weaknesses of traditional analysis methods, and effectively solves the problem that the traditional analysis methods, such as FTA and FMEA based on the linear chain of events, can not identify the system risks caused by human errors. The method laid a solid foundation for the further safety analysis.

integrated fire, flying and propulsion control systems; safety analysis; manual controller; STPA model; identify risk factors

2016-04-19；

2016-06-11

胡劍波,jian_bo_h@163.com

1674-8190(2016)03-309-07

X949

A

10.16615/j.cnki.1674-8190.2016.03.007

胡劍波(1965-)，男，博士，教授。主要研究方向：先進控制理論與應(yīng)用、安全性工程、信息系統(tǒng)工程。

鄭磊(1987-)，男，博士研究生。主要研究方向：安全性工程、飛行器適航性管理與驗證。