基于STAMP模型的航空地面保障安全性分析

胡宗順，黃之杰，王余奎，張永亮

(1.空軍勤務學院 學員一大隊，江蘇 徐州 221000； 2.空軍勤務學院 航空四站系，江蘇 徐州 221000)

● 軍事運輸MilitaryTransportation

基于STAMP模型的航空地面保障安全性分析

胡宗順1，黃之杰2，王余奎2，張永亮2

(1.空軍勤務學院 學員一大隊，江蘇 徐州 221000； 2.空軍勤務學院 航空四站系，江蘇 徐州 221000)

航空地面保障是復雜的非線性系統，是保障航空地面安全的關鍵。在介紹STAMP的基本理論和模型構建過程基礎上，結合航空地面保障實際，構架航空地面保障安全分析模型，將安全問題轉化為系統的控制問題，以及時發現潛在危險。選取某型制氧制氮設備停機控制系統進行實例分析，從安全約束缺失出發，確立系統層次控制結構并進行失效原因分析，對事故原因進行總結并與已有方法進行比較，最后提出安全防控措施。結果表明，STAMP模型與航空地面保障契合度高，科學性和可信度好，為航空地面保障安全分析提供了新的思路。

航空地面保障；安全性分析；STAMP模型

黃之杰(1978—)，男，博士，副教授，碩士研究生導師．

航空地面保障綜合了熱工、電力電子、機械、化學等多領域學科，是一個復雜的系統工程[1]。目前，機場航空地面保障面臨較大的安全壓力，主要體現在接觸高危介質較多、工作用電電壓電流較大、高速運轉設備較多、外場車輛移動頻繁和氣電產品質量要求高等。越來越多的事例表明，有必要運用理論方法對航空地面保障進行安全性分析，為系統性能改進和安全性研究提供依據。

安全性分析主要有定性和定量兩種方式，多以人為主觀判斷的定性分析為主。事故分析較多采用LEC、FMEA、FTA、PHA法等，通過建立層次結構來梳理致因因素的邏輯關系，并分析事故發生可能性以及可能導致的后果等，取得了較好的結果,但線性特性明顯，系統要素間的不當交互作用分析受限[2-6]。隨著技術的革新，事故的本質也發生著變化，部分針對機電系統的預防事故發生方法無法適用于數字軟件引發的事故，復雜系統的運行使得專家對系統潛在危險性分析時易出現考慮不全的情況。這些變化暴露出傳統安全分析方法的局限性[7]。

復雜系統安全性是特定環境下由系統相關要素交互作用所產生的一種涌現特性。航空地面保障事故的原因是裝(設)備因素、人為因素、環境因素、制度與管理因素間復雜，相互作用控制不當的結果。而要保證其安全就要分析航空地面保障的危險狀態，并建立相應的系統安全約束。因此，在對航空地面保障進行安全性分析時，除了考慮裝(設)備的故障，還應考慮與人員、環境、管理間的復雜動態作用。

STAMP(systems theoretic accident modeling and process)模型從非線性系統論的角度出發，把安全看作一個控制問題，認為事故是由于不充分的控制和安全相關約束的缺失所造成的[8]。該模型是Nancy G. Leveson于2004年提出，并成功應用于航空航天、醫療衛生、交通運輸、核安全等領域，取得了顯著成果。

1 STAMP模型

1.1STAMP基本理論

基于系統涌現性的STAMP模型認為安全性是系統組件間相互作用的結果。給組件的行為及組件間的交互施加約束，使安全成為控制性問題，其控制目標就是確保滿足安全約束。事故的發生是系統開發、設計和運行過程中沒有充分控制或施加安全約束的結果?；谏鲜鲈恚瑯嫿ǖ腟TAMP模型包括安全約束、分層結構和過程模型[9]。

安全約束是STAMP中的基本概念，安全約束沒有得到充分的控制或實施，事故就會發生。模型中利用控制結構對各組分的功能進行定義，過程模型包括控制器和被控過程。這種分層的結構將系統分為不同層次的控制過程，即控制器通過控制過程來向下一級施加約束，同時被控對象通過反饋向控制器反映安全約束相關執行情況。當控制器過程模型與被控系統不匹配且控制器發出命令不安全時，事故可能發生。過程控制結構模型如圖1所示。

圖1 過程控制結構模型

STAMP模型認為基本控制缺陷有2類：①控制器不能確保安全約束，包括提供的控制行動錯誤或不足、被控過程反饋信息丟失或不充分；②提供的正確控制行動并沒有執行[10]。

1.2STAMP分析方法

STAMP作為一種基于系統理論事故模型的危險分析方法，已經應用到涉及多種領域的系統分析，并取得了有價值的分析成果。它能夠從系統分層控制的角度出發由上而下進行分析，且能充分考慮各組件間交互作用對系統安全的影響，利用引導作用的不恰當或控制缺陷來輔助分析[11-12]，分析過程如下。

(1)針對系統危險，定義安全約束。利用初步危險分析技術，對系統的危險狀態進行定義，辨識出造成環境破壞、人員傷亡、設備財產損失等安全事故和危險事件，并對危險狀態進行說明，建立相應的系統安全約束。

在保障過程中，指揮系統、操作控制系統和保障人員共同負責保障工作，以消除和控制保障過程中的危險，其保障控制如圖2所示。保障人員包括指揮員、操作員和駕駛員，指揮員下達保障任務并進行業務協調，操作員通過裝備操作制取所需保障介質，駕駛員運載車輛裝備到達指定地點。操作控制系統主要負責生產工作，是保障安全進行的核心，主要有蓄電池充放電、檢測，所需氣體的制取、重裝、運輸等?？刂葡到y對控制過程的影響是多方面的，環境、制度的制約，行車規范及人員狀態等共同決定了保障安全。在辨識出不恰當控制行為基礎上對安全約束細化，才能有效預防危險的發生。

圖2 航空地面保障控制示意

(2)定義安全控制結構。組件、子系統或過程間的交互影響構成了系統安全控制結構。安全控制結構與系統的設計說明相一致，是進一步辨識導致系統危險原因(不恰當控制)的分析基礎。分析系統安全相關需求與安全性約束后，利用系統控制結構分析控制系統進入風險狀態的原因。系統的分層控制結構還包括過程模型、控制算法等。

(3)辨識潛在不恰當控制。辨識出導致系統危險的不恰當控制，并根據不恰當控制行為制訂細化的安全約束。不恰當控制行為分為以下4類：①未提供或未遵守安全所要求的控制；②提供的控制不安全而導致危險；③提供的安全控制太晚、過早或無序；④控制結束太快或持續時間過長。安全分析是在事故發生前找出潛在危險原因或在事故發生后找出危險致因因素，因此需要根據辨識出的系統不恰當控制來形成具體的安全約束，以保證系統的安全[13]。

(4)分析導致不恰當控制的原因。一是輸入的不安全。在分層控制結構中，下級控制器受上級控制器控制。高層次所提供的控制信息發生丟失或產生錯誤，都可能引起危險狀態的發生。二是控制算法的不安全?？刂破魍ㄟ^算法的控制、當前狀態及過程轉變產生裝(設)備的執行指令?？刂扑惴ú荒艽_保安全約束、算法設計錯誤、受控狀態轉變等都會使算法處于不安全狀態。三是過程模型不合理或不一致。有效的控制是在過程狀態模型的基礎上，與內部狀態和外部反饋信息處于動態平衡。當控制器的過程模型與實際過程不一致時，可能導致組件間的交互事故[14]。

2 基于某型制氧制氮設備安全性分析

某型制氧制氮設備是航空地面制取氧氣的主要裝備之一，設備的運行系統包括冷卻系統、壓縮機、制冷劑、液氧泵、啟動箱、空分器等組件，限于篇幅，文中只對氧氣制取壓力達到閥值進行停機操作為例進行安全性分析。

2.1系統安全風險

通過危險分析，標示出系統潛在造成人員傷亡、裝(設)備損壞的危險事件，對導致系統發生危險事件及危險狀態進行說明。對于該型制氧制氮設備停機操作，系統存在風險是氧氣瓶壓力超過額定值而沒有采取停機操作，或停機操作發生延遲。

2.2定義安全控制結構

為操作平臺控制構造安全控制結構。通過安全控制結構對各組件間的聯系及職責進行說明。根據1.2(2)節控制結構說明進行構造，結構復雜程度由刻畫細節多少決定。各組件在層次結構中分擔不同職責功能，通過相互作用共同決定系統的安全。根據設計需求，該型制氧制氮設備停機操作安全控制結構如圖3所示，包括控制平臺、執行器、停車系統、傳感器和氧氣瓶等組件。

圖3 某型制氧制氮設備停機操作安全控制結構

2.3潛在不恰當控制

根據4類不恰當控制行為進行辨析，結果見表1。

表1 潛在不恰當控制

2.4風險分析

危險事故的發生可歸結于控制的缺陷，但反過來并不成立，需依據具體情況進行分析。文中從狀態轉換過程進行分析，采用主觀分析法找出異常控制發生的原因。停車指令失效分析見表2，表中列舉原因基于各組件的交互作用；“不確定”失效原因需進一步構建控制結構獲取信息。

表2 停車系統各組件失效原因分析

3 分析方法比較

STAMP法與基于故障樹等的傳統分析方法在理論層面存在差異，具體分析見表3。

表3 STAMP法與傳統安全分析方法比較

通過以上比較可以看出，STAMP模型從系統的涌現性出發進行安全性分析，而不僅僅強調組件可靠性；同時，整體性分析需要納入人員、環境、制度等因素綜合考慮，并且采取的防控措施可預防事故的發生。

4 安全防控措施

(1)制氧制氮設備停機操作依據設定值與內部狀態信息匹配進行調節，若外部設定模塊失效，提供的錯誤信號將導致控制器異常，造成錯誤行為?？刹捎眠\行監測技術，及時發現交互過程中的異?，F象，防止安全事故發生。

(2)考慮到氣體傳輸管路特性，停機操作控制系統動態響應傳遞信號與普通控制對象存在差異，應分別分析判斷；控制算法設計可能存在失效狀態，應對控制算法進行驗證更新，增強算法魯棒性。

(3)保障人員是操作的主體，應開展安全教育，進行知識技能培訓，使指揮員明確任務下達要求，操作員精通裝備操作流程、熟知裝備操作規范、熟練掌握安全防范技能，駕駛員遵守行車規章制度，從而減少人為因素造成的安全事故。同時，環境也是造成安全事故的重要因素，極端天氣不僅影響保障人員情緒，也降低控制系統部分靈敏部件使用壽命，造成系統紊亂，應減少極端天氣的戶外操作。

5 結 語

針對航空地面保障系統復雜性，本文引入STAMP理論對某型制氧制氮設備制取氧氣時的停機控制系統進行安全性分析，分別從輸入信號、控制算法和過程模型3方面對各組分與環境間的潛在不安全因素或行為進行研究，并加以控制約束。該模型從系統論和控制論出發，將保障安全看作非線性系統，擴展了安全分析深度，提高了可信度。

[1] 胡連桃,馮仁斌.航空地面保障學[M].徐州:空軍勤務學院,2011：43-47.

[2] 梅玉航.故障樹分析法在靶場導彈試驗安全分析中的應用[J].航空地面器測控學報,2010,29(2):35-39.

[3] 薛濤,彭啟鳳,黃國健,等.基于故障樹的電梯門系統故障分析[J].航空地面器測控學報,2015，36(6):34-36.

[4] 劉輝,付洪軍.基于PHA-LEC法金屬礦山盲豎井工程安全分析研究[J].工業安全與環保,2010,36(9):40-42.

[5] 李紅濤,劉長友,汪理全.預先危險性分析在上行開采安全預評價中的應用[J].礦業安全與環保,2007,34(5):74-76.

[6] 張宇棟,卿黎,蒲偉,等. 基于 FMECA 與模糊 FTA 的余熱鍋爐安全分析[J].中國安全生產科學技術,2015,11(8):164-170.

[7] 唐濤,牛儒.基于系統思維構筑安全系統[M].北京:國防工業出版社,2015：58-66.

[8] 劉金濤,唐濤,趙林,等.基于STPA的CTCS-3級列控系統功能安全分析方法[J].中國鐵道科學,2014,35(5):86-95.

[9] 劉金濤.基于STPA的需求階段的高速列車運行控制系統安全分析方法研究[D].北京:北京交通大學,2015.

[10] 徐小杰,鐘德明,陸民燕.基于STAMP的導航軟件研制管理安全性分析[J].測控技術,2015,34(2):99-102.

[11] 牛豐,王昱,周誠.基于STAMP模型的地鐵施工安全事故致因分析[J].土木工程與管理學報,2016,33(1):73-78.

[12] 劉杰,陽小華,余童蘭,等.基于STAMP模型的核動力蒸汽發生器水位控制系統安全性分析[J].中國安全生產科學技術,2014,10(5):78-83.

[13] 陽小華,劉杰,劉朝暉,等.STAMP模型及其在核電廠DCS安全分析中的應用展望[J].中國安全生產科學技術,2013,12(3):42-47.

[14] 甘旭升,崔浩林,劉衛東,等.STPA危險分析方法及其在ATSA-ITP設計中的應用[J].中國安全科學學報,2015,25(5):83-91.

(編輯：孫協勝)

SecurityofAviationGroundSupportBasedonSTAMPModel

HU Zongshun1, HUANG Zhijie2, WANG Yukui2, ZHANG Yongliang2

(1.Cadets Brigade One, Air Force Logistics College, Xuzhou 221000, China; 2.Department of Aviation Four Stations, Air Force Logistics College, Xuzhou 221000, China)

Aviation ground support is a complicated non-linear system which is the key to supporting ground security. The paper firstly introduces the basic theory of STAMP and the construction process of the model. Then, it establishes security analysis model of aviation ground support according to the reality, and transforms security into control problem to discover potential risks. Finally, it analyzes the lack of safety constraint and failure cause of the control system by taking oxygen and nitrogen production equipment as the example, and summarizes the accident cause and compares the result with existing methods and puts forward some safety control measures. The result shows that the STAMP model is scientific and credible, and it is suitable for aviation ground support, which can provide new idea for security analysis of aviation ground support.

aviation ground support; security analysis; STAMP model

10．16807/j.cnki.12-1372/e.2017.11.004

X924.4

A

1674-2192(2017)11- 0014- 05

2017-05-12；

2017-06-14．

空軍裝備部科研計劃項目(KJ2016A1082)．

胡宗順(1992—)，男，碩士研究生；