STPA與ARP4761中的安全性分析方法對(duì)比研究

崔利杰，田宇，叢繼平，馬濤

(1.空軍工程大學(xué) 裝備管理與無人機(jī)工程學(xué)院， 西安 710051)(2.中國人民解放軍95655部隊(duì)， 成都 611530)(3.空軍工程大學(xué) 研究生院， 西安 710051)(4.空軍工程大學(xué) 信息與導(dǎo)航學(xué)院， 西安 710051)

0 引 言

現(xiàn)代飛機(jī)是一個(gè)具有多功能的復(fù)雜系統(tǒng)，呈現(xiàn)出相互關(guān)聯(lián)、信息融合、人機(jī)結(jié)合、軟硬件耦合的發(fā)展趨勢(shì)，這使得影響飛機(jī)運(yùn)行安全的因素增加、安全因素之間的關(guān)聯(lián)性增強(qiáng)，導(dǎo)致事故模型的構(gòu)建和安全性分析變得更為困難。ARP4761中描述的傳統(tǒng)危害分析方法用來分析軟件密集型系統(tǒng)的安全性，其有效性正逐漸降低。

國內(nèi)外提出了多種針對(duì)軟件密集型復(fù)雜系統(tǒng)安全性的分析模型和方法，例如，J.Rasmussen[1]提出的跨學(xué)科研究風(fēng)險(xiǎn)管理建模的風(fēng)險(xiǎn)管理框架、E.Hollnagel等[2]針對(duì)社會(huì)技術(shù)系統(tǒng)提出的功能共振分析法、Hong Sheng等[3-4]提出的應(yīng)用于評(píng)估軸承退化程度的基于WP-EMD和SOM網(wǎng)絡(luò)的特征提取模型等。2004年，N.G.Leveson[5]提出了用于對(duì)危險(xiǎn)致因進(jìn)行分析的系統(tǒng)理論過程分析方法(System Theoretic Process Analysis,簡(jiǎn)稱STPA)。STPA是一種自頂向下的系統(tǒng)工程方法，它注重于從危險(xiǎn)入手，對(duì)系統(tǒng)的各部件以及各部件之間的相互作用進(jìn)行分析。

目前，基于STPA的安全性分析已被應(yīng)用于各個(gè)領(lǐng)域。在軟件分析方面，讓濤[6]提出了一種基于STPA的軟件安全性分析與驗(yàn)證方法；甘旭升等[7]成功地將STPA危險(xiǎn)分析方法應(yīng)用于ATSA-ITP設(shè)計(jì)中。在具體的復(fù)雜系統(tǒng)中，劉朝暉等[8]對(duì)數(shù)字化反應(yīng)堆緊急停堆系統(tǒng)應(yīng)用STPA方法進(jìn)行安全性分析；王琳[9]提出了基于STPA的復(fù)雜機(jī)載系統(tǒng)安全性分析方法；曹順安等[10]實(shí)現(xiàn)了直升機(jī)燃油系統(tǒng)運(yùn)行的危險(xiǎn)性分析。在交通系統(tǒng)運(yùn)作中，王潔寧等[11]提出了基于STPA的空管運(yùn)行系統(tǒng)安全分析方法；劉金濤[12]提出了基于STPA的需求階段的高速列車運(yùn)行控制系統(tǒng)安全分析方法；劉宏杰等[13]完成了基于STPA方法的平交道口安全需求分析；A.L.Dakwat等[14]總結(jié)了基于STPA的系統(tǒng)安全分析和模型檢驗(yàn)。在軍用領(lǐng)域，胡劍波等[15-16]進(jìn)行了綜合火/飛/推控制系統(tǒng)復(fù)雜任務(wù)的STPA分析，以及基于STAMP/STPA的機(jī)輪剎車系統(tǒng)安全性分析，拓寬了STPA方法的應(yīng)用領(lǐng)域。相比于其他方法，STPA分析運(yùn)用系統(tǒng)與控制理論，更多地考慮系統(tǒng)組件間的相互作用對(duì)系統(tǒng)整體安全性的影響。因此，對(duì)于高耦合復(fù)雜系統(tǒng)來說，該方法能夠更加全面、準(zhǔn)確地識(shí)別其安全性需求，對(duì)提升系統(tǒng)的安全性水平具有重要意義。隨著安全學(xué)科領(lǐng)域的不斷發(fā)展，安全性分析方法也在不斷改進(jìn)。突出表現(xiàn)為：致因機(jī)理從基于鏈?zhǔn)?樹型事故因果模型向基于系統(tǒng)的、網(wǎng)絡(luò)式的致因分析方法轉(zhuǎn)變，危險(xiǎn)源識(shí)別從傳統(tǒng)的事后被動(dòng)分析方法向創(chuàng)新的事前主動(dòng)判別型危險(xiǎn)源體系轉(zhuǎn)變[17]。

目前基于系統(tǒng)理論和控制模型的安全性分析方法已在軟件應(yīng)用、系統(tǒng)設(shè)計(jì)等方面有了實(shí)踐成果，但運(yùn)用STPA理論分析的流程并不細(xì)致具體，未表明其與傳統(tǒng)的安全性分析方法有何異同，也無法證明其得出的安全性需求是否完備，不能很好地體現(xiàn)出該方法的先進(jìn)性和適用性。因此，本文將STPA方法與ARP4761中提供的安全性分析過程從潛在事故因果模型、評(píng)估結(jié)果(輸出)、分析過程等方面進(jìn)行比較研究，并對(duì)照GJB900A-2012《裝備安全性工作通用要求》分析其對(duì)于軍用標(biāo)準(zhǔn)的符合性，來體現(xiàn)STPA方法的優(yōu)勢(shì)與符合性，并針對(duì)在分析過程中發(fā)現(xiàn)的一些不足之處，提出改進(jìn)方法。

1 安全性分析方法

1.1 ARP4761中的安全性分析方法

ARP4761論述了民航飛機(jī)適航合格審定的安全性評(píng)估指南和方法，在考慮飛機(jī)運(yùn)行環(huán)境的基礎(chǔ)上，介紹了飛機(jī)級(jí)安全性評(píng)估的流程、方法和工具。安全性評(píng)估過程包括安全性需求分析以及為飛機(jī)研制進(jìn)行的相關(guān)驗(yàn)證活動(dòng)[18]。

ARP4761流程由三個(gè)部分組成：功能危害分析(FHA)、初步系統(tǒng)安全分析(PSSA)和系統(tǒng)安全分析(SSA)，這些工作在研究系統(tǒng)的每個(gè)相關(guān)抽象級(jí)別(或?qū)哟渭?jí)別)上執(zhí)行。飛機(jī)研制中的安全性評(píng)估過程簡(jiǎn)述如圖1所示[19]。

圖1 安全性評(píng)估過程

故障和概率風(fēng)險(xiǎn)評(píng)估是ARP4761中描述的主要方法。針對(duì)飛機(jī)的安全性評(píng)估工作，使用基于故障的風(fēng)險(xiǎn)分析技術(shù)。分析的目標(biāo)主要是定量的結(jié)果，定性分析只用于無法得到或不合適得到概率之處。

故障樹分析(FTA)、關(guān)聯(lián)圖分析(DD)和馬爾可夫分析(MA)是自上而下的分析技術(shù)，可持續(xù)向下分析到設(shè)計(jì)的詳細(xì)層次。在FHA 識(shí)別故障狀態(tài)之后，F(xiàn)TA/DD/MA作為初步系統(tǒng)安全分析的一部分，用來確定導(dǎo)致故障狀態(tài)的較低層次的單個(gè)故障或組合故障。

故障模式與影響分析(FMEA)是一種系統(tǒng)的、自上而下的識(shí)別系統(tǒng)、單元與功能的故障模式并確定其對(duì)上層影響的方法。FMEA可以在系統(tǒng)的任一層次(例如功能、零件等)上進(jìn)行，通常用來分析單一故障的影響。

共因分析(CCA)是對(duì)共因失效進(jìn)行定性和定量分析的工具，可以用來檢驗(yàn)系統(tǒng)間是否滿足獨(dú)立性要求，分析共因失效條件下對(duì)系統(tǒng)失效的概率[10]。共因失效分析得出故障模式以及一些外部事件所能引起的災(zāi)難性的或危險(xiǎn)的故障后，必須避免導(dǎo)致災(zāi)難性的故障后果的共因事件；而對(duì)于危險(xiǎn)的故障后果，這些共因事件發(fā)生的概率必須控制在給定的概率之內(nèi)。

總體來說，ARP4761中安全性分析方法的共同特點(diǎn)如下：

(1) 假設(shè)事故是由部件故障和故障鏈引起的；

(2) 關(guān)注組件故障、常見原因/模式故障；

(3) 考慮組件之間有限的(主要是直接的)功能交互；

(4) 安全性等同于可靠性；

(5) 分析中不包括飛行員和其他操作人員，對(duì)人為因素進(jìn)行了分類，但未對(duì)其進(jìn)行處理；

(6) 可從概念形成階段開始迭代系統(tǒng)工程。

1.2 STPA安全性分析方法

在STPA中，控制問題被認(rèn)為是導(dǎo)致系統(tǒng)發(fā)生危險(xiǎn)的原因，其中控制問題是指未對(duì)系統(tǒng)各組件之間的交互、系統(tǒng)外部的干擾、系統(tǒng)部件的失效進(jìn)行安全有效的控制。

STPA方法是基于STAMP(Systems Theoretic Accident Modeling and Processes)對(duì)已辨識(shí)的系統(tǒng)危險(xiǎn)進(jìn)行致因分析，即以控制為中心點(diǎn)，以系統(tǒng)中不安全的控制行為為著力點(diǎn)，對(duì)系統(tǒng)部件間的控制關(guān)系用分層的控制結(jié)構(gòu)進(jìn)行描述。通過過程模型，對(duì)不安全控制行為進(jìn)行分類分析，找到系統(tǒng)危險(xiǎn)核問題發(fā)生的根本原因，然后根據(jù)問題發(fā)生的原因可以衍生出對(duì)應(yīng)的安全性需求(即安全約束)。通常認(rèn)為，只有違反相應(yīng)的安全性需求(安全約束)時(shí)，系統(tǒng)才會(huì)發(fā)生事故。

STPA分析的危險(xiǎn)包含設(shè)計(jì)錯(cuò)誤、組件影響、造成事故的社會(huì)、組織和管理因素，特別是與軟件、人為因素和操作方面相關(guān)的危險(xiǎn)。總之，STPA的目標(biāo)是識(shí)別導(dǎo)致事故的詳細(xì)場(chǎng)景，以便在設(shè)計(jì)中消除或控制它們，而不只是機(jī)電組件的故障或顯示可靠性目標(biāo)是否達(dá)到要求。

STPA理論首先針對(duì)控制行為進(jìn)行分類，并將不安全的控制行為總結(jié)為四種類型：(1)沒有提供控制行為；(2)提供了產(chǎn)生危險(xiǎn)的控制行為；(3)過早或過晚提供安全控制行為；(4)提供的控制行為作用時(shí)間過短或過長。

STPA的過程可分為四個(gè)主要步驟：(1)定義分析目標(biāo)，進(jìn)行目標(biāo)對(duì)象的系統(tǒng)級(jí)分析；(2)建立對(duì)象的功能控制結(jié)構(gòu)；(3)識(shí)別潛在的不安全控制行為，分析單個(gè)組件的安全性需求；(4)分析不安全控制行為的致因，確定系統(tǒng)潛在的安全性需求：致因情景不僅包括組件故障，還包括其他因素，例如系統(tǒng)組件之間的直接和間接交互(可能沒有“出現(xiàn)問題”)，確定的致因情景作為開發(fā)系統(tǒng)和組件新的安全需求和約束基礎(chǔ)。

2 STPA方法與現(xiàn)有標(biāo)準(zhǔn)對(duì)比

STPA方法較之于ARP4761安全性分析過程，更適應(yīng)高度復(fù)雜、軟件密集系統(tǒng)的安全性分析。GJB900A提出的相關(guān)安全性工作項(xiàng)目，尤其是在軟件安全性分析上，STPA方法表現(xiàn)出了極強(qiáng)的適用性。

2.1 STPA與ARP4761對(duì)比分析

ARP4761沒有考慮危險(xiǎn)因素與人為因素(HF)的相互影響，而STPA則將人作為系統(tǒng)的一部分進(jìn)行分析，識(shí)別潛在模式的影響類型，以及由于實(shí)際自動(dòng)控制狀態(tài)與飛行員的心理模型之間不同步而可能產(chǎn)生的危險(xiǎn)。STPA的目標(biāo)與其他危險(xiǎn)分析方法的相似之處在于：它試圖確定系統(tǒng)危險(xiǎn)是如何發(fā)生的，以便通過修改系統(tǒng)設(shè)計(jì)來消除或減輕危險(xiǎn)。然而，其目標(biāo)不是像ARP4761那樣推導(dǎo)出概率需求，而是識(shí)別在設(shè)計(jì)或操作中需要消除或減輕的危險(xiǎn)場(chǎng)景(危險(xiǎn)被定義為系統(tǒng)安全工程中的危險(xiǎn)，即系統(tǒng)狀態(tài)或條件集，當(dāng)與某些最壞的環(huán)境條件相結(jié)合時(shí)，將導(dǎo)致事故或損失事件)。總結(jié)STPA分析過程與ARP4761提供的分析評(píng)估過程在不同方面的主要差異，如表1所示。

表1 STPA與APR4761的差異

續(xù)表

從表1可以看出：STPA識(shí)別出了ARP4761中的安全性分析容易忽略的危險(xiǎn)，特別是與軟件、人為因素和操作相關(guān)的危險(xiǎn)。

STPA的目標(biāo)是識(shí)別導(dǎo)致事故的詳細(xì)場(chǎng)景，以便在設(shè)計(jì)中消除或控制危險(xiǎn)，而不是顯示可靠性目標(biāo)是否達(dá)到要求。ARP4761在分析之后的驗(yàn)證過程仍是必要的，以確保提供的需求得到充分驗(yàn)證。

在飛機(jī)復(fù)雜性和軟件控制日益增加的過程中，過去簡(jiǎn)單、自動(dòng)化程度較低的設(shè)計(jì)已逐漸被淘汰，航空領(lǐng)域的安全學(xué)需要采用新的方法來應(yīng)對(duì)新的變化。ARP4761中描述的傳統(tǒng)安全評(píng)估過程忽略了造成飛機(jī)事故的部分重要原因，因此，需要?jiǎng)?chuàng)建和使用更全面的方法來評(píng)估安全性，分析更多類型的因果因素，并將軟件和人為因素直接集成到評(píng)估中；同時(shí)需要不斷探索STPA以及其他新的安全性分析方法的潛力，進(jìn)而對(duì)STPA進(jìn)行改進(jìn)或擴(kuò)展。

2.2 STPA在GJB900A中的適用性

GJB900A規(guī)定了裝備壽命周期內(nèi)開展安全性工作的一般要求和工作項(xiàng)目。本節(jié)將分析STPA方法是否符合和支持我軍目前使用的這一安全標(biāo)準(zhǔn)中的相關(guān)工作項(xiàng)目。

(1) 安全性工作項(xiàng)目對(duì)照分析

①初步危險(xiǎn)分析(工作項(xiàng)目302)：

STPA可以(并且正在)用于PHA。它包括工作項(xiàng)目302中提到的所有因素。傳統(tǒng)的危險(xiǎn)分析方法，如人工、軟件、接口、組件之間的交互、模式、運(yùn)行環(huán)境和約束等，對(duì)上述因素的處理往往存在不足，而STPA提供了確定消除或減輕危險(xiǎn)措施所需的信息。

除了簡(jiǎn)單地識(shí)別危險(xiǎn)之外，STPA還確定了它們的因果情景。能在早期消除設(shè)計(jì)決策錯(cuò)誤(根據(jù)系統(tǒng)安全設(shè)計(jì)優(yōu)先)，而不必在后期的詳細(xì)決策階段更改設(shè)計(jì)方案(撤銷設(shè)計(jì)決策的返工代價(jià)高昂)。設(shè)計(jì)師們正在使用STPA作為他們?cè)缙谠O(shè)計(jì)工作的一部分，以幫助他們?cè)跓o法逆轉(zhuǎn)一些基本的設(shè)計(jì)決策之前做出提高安全性和網(wǎng)絡(luò)安全性的決策。

②系統(tǒng)危險(xiǎn)分析(工作項(xiàng)目304)：

STPA通過生成系統(tǒng)和組件安全需求，確定它們產(chǎn)生的原因，并使用因果場(chǎng)景生成詳細(xì)的設(shè)計(jì)和操作需求來支持這項(xiàng)任務(wù)。

一旦STPA確定了不安全控制行動(dòng)(詳細(xì)危險(xiǎn))的因果場(chǎng)景，如果不能完全消除危險(xiǎn)，則確定如何驗(yàn)證和進(jìn)行驗(yàn)證是很簡(jiǎn)單的。驗(yàn)證包括人工測(cè)試模擬器生成場(chǎng)景。此外，基于模型的開發(fā)系統(tǒng)可以使用不安全控制動(dòng)作(詳細(xì)的危險(xiǎn))來生成模型，并從這些正式的模型中生成軟件測(cè)試數(shù)據(jù)，以確保危險(xiǎn)軟件行為的測(cè)試覆蓋率。通過加強(qiáng)流程模型控制將要求與安全控制結(jié)構(gòu)連接起來。

STPA方法是一個(gè)自頂向下的危險(xiǎn)分析工具，它可以包含所有子系統(tǒng)。在STAMP和STPA中，子系統(tǒng)危險(xiǎn)分析是一般系統(tǒng)分析的一部分。STPA識(shí)別危險(xiǎn)和因果場(chǎng)景，這些場(chǎng)景可能涉及子系統(tǒng)行為，導(dǎo)致系統(tǒng)危險(xiǎn)。因果情景中的信息(與任何危險(xiǎn)分析技術(shù)一樣)可以用于協(xié)助設(shè)計(jì)師確定設(shè)計(jì)緩解措施。與許多傳統(tǒng)的危險(xiǎn)分析技術(shù)不同，STPA不僅考慮故障，還考慮設(shè)計(jì)錯(cuò)誤、定時(shí)錯(cuò)誤、無意中起作用或在錯(cuò)誤的條件下起作用等。STPA亦考慮人作為系統(tǒng)的一個(gè)組成部分，這與工作項(xiàng)目304.2任務(wù)描述中所要求相一致。

STPA將系統(tǒng)危險(xiǎn)分析、子系統(tǒng)危險(xiǎn)分析、功能危險(xiǎn)分析和系統(tǒng)中的系統(tǒng)危險(xiǎn)分析集成到一個(gè)過程中，并生成所有這些任務(wù)所需的信息。

③使用與保障危險(xiǎn)分析(工作項(xiàng)目305)：

STAMP安全控制結(jié)構(gòu)可以包括操作控制結(jié)構(gòu)，采用STPA進(jìn)行使用與保障危險(xiǎn)分析是可行的。在現(xiàn)有文獻(xiàn)中，STPA已被用于操作飛行測(cè)試的安全性。使用與保障安全規(guī)劃應(yīng)從概念發(fā)展階段開始，以便將作業(yè)安全納入系統(tǒng)設(shè)計(jì)。STPA可以支持這種提前性分析。

④安全性驗(yàn)證(工作頂目401)：

如工作項(xiàng)目302所述，從已確定的因果場(chǎng)景生成測(cè)試和演示具有可行性。

⑤安全性評(píng)價(jià)(工作項(xiàng)目402)：

與其他危險(xiǎn)分析技術(shù)一樣，STPA以危險(xiǎn)、潛在原因以及減輕或控制它們的形式向評(píng)價(jià)工作提供輸入，但是作為一種危險(xiǎn)分析技術(shù)，它也只能為這一過程提供輸入，而關(guān)于每個(gè)危險(xiǎn)和風(fēng)險(xiǎn)接受決策的最終決策則超出了STPA的范圍。

此外，STPA與傳統(tǒng)的危險(xiǎn)分析方法的不同之處在于，它提供了關(guān)于危險(xiǎn)人員和軟件行為的信息。有關(guān)如何預(yù)防這些危險(xiǎn)的具體設(shè)計(jì)決策由分析提供，并在最終的安全性評(píng)估中使用，而不是簡(jiǎn)單地討論軟件的嚴(yán)格程度或人為錯(cuò)誤的可能性。

在生成危險(xiǎn)管理評(píng)估報(bào)告上， STPA同樣以確定的危險(xiǎn)(包括不安全的控制行動(dòng))、潛在原因、消除或減輕危險(xiǎn)的建議以及為減輕危險(xiǎn)而創(chuàng)建的任何控制的形式向本報(bào)告提供了輸入。實(shí)際的風(fēng)險(xiǎn)評(píng)估決策超出了風(fēng)險(xiǎn)分析技術(shù)的要求范圍。

STAMP、STPA和CAST(基于系統(tǒng)論的因果分析)可以提供對(duì)任務(wù)303和304的支持，方法是提供危險(xiǎn)的原因，并使用它們來幫助開發(fā)測(cè)試用例。STPA還協(xié)助將系統(tǒng)安全流程進(jìn)行更新。使用最初應(yīng)用STPA時(shí)創(chuàng)建的安全控制結(jié)構(gòu)，可以將更改定位到結(jié)構(gòu)中，以便只需要檢查那些受影響的部分，以確定更新是否引入或影響了危險(xiǎn)因素。

總體來看，STPA完全符合GJB900A相關(guān)要求。STPA是一個(gè)自頂向下的系統(tǒng)危險(xiǎn)分析方法，可用于風(fēng)險(xiǎn)分析任務(wù)(工作項(xiàng)目300系列)。它識(shí)別危險(xiǎn)并生成：①系統(tǒng)和組件安全和網(wǎng)絡(luò)安全需求；②消除或減輕識(shí)別危險(xiǎn)所需的信息。STAMP控制結(jié)構(gòu)提供了記錄關(guān)于系統(tǒng)結(jié)構(gòu)和任務(wù)中描述的需求等大量信息的方法。STPA建模和分析可以從概念開發(fā)階段開始，以幫助設(shè)計(jì)師對(duì)基本的架構(gòu)設(shè)計(jì)和開發(fā)問題進(jìn)行決策，從而消除或減輕危險(xiǎn)。有特定的因果情景可以幫助確保PHA不會(huì)在沒有因果信息的情況下，通過過早的可能性評(píng)估，錯(cuò)誤地對(duì)重要的危險(xiǎn)進(jìn)行分類。STPA滿足工作項(xiàng)目304(系統(tǒng)危險(xiǎn)分析)中強(qiáng)調(diào)的在項(xiàng)目早期獲取安全相關(guān)信息的需要。隨著決策的制定，分析可以以迭代的方式進(jìn)行細(xì)化，生成的信息還可以用于驗(yàn)證設(shè)計(jì)和活動(dòng)。

(2) STPA與軟件安全性分析

GJB900A關(guān)于軟件安全性工作特別規(guī)定了工作項(xiàng)目600系列，依據(jù)前文的分析過程以及對(duì)比，可以得出在軟件安全性工作中，STPA方法可直接或間接地協(xié)助下列工作，對(duì)這些活動(dòng)所列的大部分任務(wù)提供幫助：

①識(shí)別軟件相關(guān)的危害(軟件對(duì)系統(tǒng)級(jí)危害)；

②識(shí)別可能導(dǎo)致危險(xiǎn)軟件行為的因果場(chǎng)景；

③向設(shè)計(jì)軟件以消除危險(xiǎn)軟件行為的人員和設(shè)計(jì)系統(tǒng)以減輕任何潛在危險(xiǎn)軟件行為的人員提供信息；

④創(chuàng)建文檔和模型(即安全控制結(jié)構(gòu))，以便就危害、不安全控制行動(dòng)、不安全控制行動(dòng)的原因、對(duì)控制器的安全關(guān)鍵反饋、環(huán)境威脅(包括網(wǎng)絡(luò)安全威脅)以及正在考慮的系統(tǒng)內(nèi)和更大系統(tǒng)內(nèi)的協(xié)調(diào)和溝通進(jìn)行溝通和共同理解；

⑤進(jìn)行軟件安全危害分析；

⑥跟蹤危害及其后果，以及在危害日志中選擇控制策略；

⑦跟蹤軟件體系結(jié)構(gòu)中的系統(tǒng)級(jí)危險(xiǎn)；

⑧識(shí)別對(duì)安全至關(guān)重要的軟件功能和組件，以及對(duì)安全至關(guān)重要的反饋和溝通要求；

⑨支持軟件測(cè)試和驗(yàn)證活動(dòng)；

⑩生成關(guān)鍵指標(biāo)，以識(shí)別軟件或系統(tǒng)中的更改何時(shí)可能導(dǎo)致危險(xiǎn)。

可以看出，由于軟件安全性工作較強(qiáng)的結(jié)構(gòu)性和程序性要求，基于自頂向下的系統(tǒng)工程的STPA方法更適合于軟件密集型系統(tǒng)的安全性分析。

3 STPA方法的改進(jìn)

STPA方法是一個(gè)自頂向下、持續(xù)迭代的過程，適用于復(fù)雜的系統(tǒng)生成功能安全要求，識(shí)別導(dǎo)致危害的設(shè)計(jì)缺陷。STPA方法的優(yōu)勢(shì)總結(jié)如下：

(1) 能夠分析高度復(fù)雜的系統(tǒng)；

(2) 能夠在系統(tǒng)研發(fā)早期介入；

(3) 能夠分析軟件和人為因素；

(4) 能夠識(shí)別大型復(fù)雜系統(tǒng)中容易忽略的系統(tǒng)功能；

(5) 能夠結(jié)合過程模型實(shí)現(xiàn)基于模型的系統(tǒng)工程；

(6) 相對(duì)于傳統(tǒng)危險(xiǎn)分析方法，危險(xiǎn)識(shí)別更全面。

STPA可以用于系統(tǒng)生命周期的任一階段，為系統(tǒng)設(shè)計(jì)、研制、運(yùn)行等過程提供確保安全性約束執(zhí)行必須的信息。但STPA方法仍存在一些不足之處需要改進(jìn)：

(1) 目前，研究運(yùn)用的STAMP模型一般是基于主觀描述建立系統(tǒng)功能控制結(jié)構(gòu)等，模型建立的思路不清晰，層次不分明，未突出重點(diǎn)，其準(zhǔn)確性受人的分析能力影響較大；

(2) 在STPA方法中，過程模型的要素分解不夠詳細(xì)，分析控制過程中的不安全控制行為容易造成混亂，沒有體現(xiàn)與分析實(shí)際相關(guān)的關(guān)鍵性信息；

(3) 對(duì)于不安全控制行為的致因分析只是因果關(guān)系的向上追溯，缺乏具體的邏輯關(guān)系和方法步驟，分析工作量大，分析結(jié)果的完整性及準(zhǔn)確性受人對(duì)系統(tǒng)的主觀認(rèn)知、分析能力等的影響較大。

因此，本節(jié)針對(duì)分析過程中發(fā)現(xiàn)的STPA方法以上三個(gè)不足，嘗試提出一些方法上的改進(jìn)以供商榷。

3.1 創(chuàng)建功能控制結(jié)構(gòu)的改進(jìn)

創(chuàng)建功能控制結(jié)構(gòu)的改進(jìn)，主要是從結(jié)構(gòu)物理功能層次性劃分的角度深入。根據(jù)優(yōu)化依據(jù)劃分出多級(jí)控制層、信息層的輸入/反饋/輸出、執(zhí)行層等。整個(gè)研究對(duì)象中，不被其他控制器控制、發(fā)出初始指令的控制器劃分為一級(jí)控制層，操作人員一般為一級(jí)控制層。上級(jí)的控制層直接控制下級(jí)控制層。如果需要建立的模型非常復(fù)雜，同層中就可以分析多個(gè)控制器的相互作用。如多一個(gè)系統(tǒng)能發(fā)揮不同級(jí)別的功能，它對(duì)應(yīng)包含的控制器就分屬于多個(gè)控制級(jí)。每一級(jí)的控制層都可能直接影響執(zhí)行層。信息層就是同級(jí)之間、不同級(jí)之間的控制器的輸入、輸出、反饋信息。新的功能控制結(jié)構(gòu)的建立過程如圖2所示。

圖2 分層功能控制結(jié)構(gòu)的建立

3.2 UCAs識(shí)別過程的改進(jìn)

STPA方法的第三步是分析致因情景，識(shí)別潛在的不安全行為(Unsafe Control Actions，簡(jiǎn)稱UCAs)。這一步驟的主要方法是基于對(duì)過程模型的分析。改進(jìn)后的過程模型如圖3所示。

圖3 過程模型

改進(jìn)前的過程模型要素分解不夠詳細(xì)，不利于分析得出控制過程中的不安全控制行為，體現(xiàn)在分析實(shí)際相關(guān)的關(guān)鍵性信息不足。改進(jìn)后體現(xiàn)與分析實(shí)際相關(guān)的關(guān)鍵性信息，明確輸入和輸出，狀態(tài)的前后改變，這樣可以從每一步驟的分析來找出不安全控制行為。

3.3 UCAs致因分析的改進(jìn)

STPA方法完成針對(duì)單一的控制行為分析后，主要是根據(jù)控制反饋模型向后追溯因果場(chǎng)景來生成潛在需求，但并未說明采用何種邏輯、方法來向后追溯。因?yàn)樵趶?fù)雜系統(tǒng)安全性問題中，不安全控制行為往往是由于子系統(tǒng)關(guān)聯(lián)產(chǎn)生的。因此可以從兩個(gè)UCAs之間的相互影響來分類分析致因的產(chǎn)生。

(1) UCAs的組合影響：當(dāng)一個(gè)UCA發(fā)生的同時(shí)，發(fā)生了另一個(gè)與之相關(guān)UCA，使得其影響增大或者削弱，這類問題統(tǒng)稱為不安全控制行為的組合問題。考慮不安全控制行為的影響強(qiáng)度，不涉及UCAs提供時(shí)間及作用的長短時(shí)，UCAs的共同作用的影響如表2所示。

表2 UCAs的組合影響

(2) UCAs發(fā)生先后的影響：進(jìn)行復(fù)雜系統(tǒng)安全性分析時(shí)，需要分析兩個(gè)UCAs的作用先后影響。即考慮兩個(gè)不安全控制行為在一個(gè)較短時(shí)間內(nèi)，作用的次序不同對(duì)系統(tǒng)的影響。此處的較短時(shí)間被定義為在上一個(gè)不安全控制行為仍然作用的時(shí)間內(nèi)。先后作用的次序不同，造成的影響也不同的這類問題。假設(shè)UCA1 和 UCA2 是兩個(gè)存在功能聯(lián)系的不安全控制行為，那么UCA1和 UCA2間的作用次序關(guān)系有三種情況：①UCA1先發(fā)生；②UCA2先發(fā)生；③UCA1和 UCA2同時(shí)發(fā)生。(UCA1和UCA2造成不同影響的情形)。

(3) UCAs之間的因果影響：當(dāng)兩種UCAs由于涉及到共同的物理功能等情況時(shí)，存在一定的因果聯(lián)系，那么需要分析二者的交互影響，及在分析其中一個(gè)不安全控制行為的致因時(shí)，由于該不安全控制行為是另一個(gè)UCA產(chǎn)生的因素，那么此致因也同樣是另一個(gè)UCA的致因。

通過對(duì)分層功能控制結(jié)構(gòu)的優(yōu)化使得系統(tǒng)的層次結(jié)構(gòu)、信息交互更加清楚，進(jìn)行實(shí)質(zhì)內(nèi)容的擴(kuò)展以及結(jié)構(gòu)上的優(yōu)化，為后續(xù)分析步驟提供引導(dǎo)，有助于更復(fù)雜系統(tǒng)模型的建立，按照層級(jí)間的聯(lián)系進(jìn)行分析，有助于分析出潛在的不安全控制行為；通過對(duì)識(shí)別過程的改進(jìn)，提出改進(jìn)的過程模型，可以從每一步驟的分析來找出不安全控制行為。增添了底層需求，包括液壓源、電源等，可以為多系統(tǒng)間的分析提供幫助；通過對(duì)致因分析方法的改進(jìn)，按照一定邏輯方法分析控制行為所有可能原因，縮短分析時(shí)間，提高了分析過程的效率，從STPA方法三個(gè)主要方面優(yōu)化了方法實(shí)施步驟。

4 結(jié) 論

(1) 本文通過將STPA方法與ARP4761標(biāo)準(zhǔn)進(jìn)行對(duì)比，表明STPA方法的優(yōu)越性，并通過對(duì)STPA方法的功能控制結(jié)構(gòu)、不安全控制行為識(shí)別、致因分析三個(gè)方面進(jìn)行結(jié)構(gòu)和邏輯上的改進(jìn)，使STPA方法更適用于復(fù)雜航空產(chǎn)品的系統(tǒng)安全性設(shè)計(jì)，為提高復(fù)雜航空產(chǎn)品的安全性提供理論支撐，拓寬了STPA的應(yīng)用領(lǐng)域，而且對(duì)于STPA方法的改進(jìn)措施也促進(jìn)了其理論的進(jìn)一步更新完善。

(2) 本文僅是對(duì)STPA安全性分析方法的理論研究，今后的研究會(huì)將該方法應(yīng)用于具體的安全性分析工作中，進(jìn)一步驗(yàn)證STPA方法的先進(jìn)性。