胡宗順，黃之杰，王余奎，張永亮

(1.空軍勤務(wù)學(xué)院 學(xué)員一大隊(duì)，江蘇 徐州 221000； 2.空軍勤務(wù)學(xué)院 航空四站系，江蘇 徐州 221000)

● 軍事運(yùn)輸MilitaryTransportation

基于STAMP模型的航空地面保障安全性分析

胡宗順1，黃之杰2，王余奎2，張永亮2

(1.空軍勤務(wù)學(xué)院 學(xué)員一大隊(duì)，江蘇 徐州 221000； 2.空軍勤務(wù)學(xué)院 航空四站系，江蘇 徐州 221000)

航空地面保障是復(fù)雜的非線性系統(tǒng)，是保障航空地面安全的關(guān)鍵。在介紹STAMP的基本理論和模型構(gòu)建過程基礎(chǔ)上，結(jié)合航空地面保障實(shí)際，構(gòu)架航空地面保障安全分析模型，將安全問題轉(zhuǎn)化為系統(tǒng)的控制問題，以及時(shí)發(fā)現(xiàn)潛在危險(xiǎn)。選取某型制氧制氮設(shè)備停機(jī)控制系統(tǒng)進(jìn)行實(shí)例分析，從安全約束缺失出發(fā)，確立系統(tǒng)層次控制結(jié)構(gòu)并進(jìn)行失效原因分析，對(duì)事故原因進(jìn)行總結(jié)并與已有方法進(jìn)行比較，最后提出安全防控措施。結(jié)果表明，STAMP模型與航空地面保障契合度高，科學(xué)性和可信度好，為航空地面保障安全分析提供了新的思路。

航空地面保障；安全性分析；STAMP模型

黃之杰(1978—)，男，博士，副教授，碩士研究生導(dǎo)師．

航空地面保障綜合了熱工、電力電子、機(jī)械、化學(xué)等多領(lǐng)域?qū)W科，是一個(gè)復(fù)雜的系統(tǒng)工程[1]。目前，機(jī)場(chǎng)航空地面保障面臨較大的安全壓力，主要體現(xiàn)在接觸高危介質(zhì)較多、工作用電電壓電流較大、高速運(yùn)轉(zhuǎn)設(shè)備較多、外場(chǎng)車輛移動(dòng)頻繁和氣電產(chǎn)品質(zhì)量要求高等。越來越多的事例表明，有必要運(yùn)用理論方法對(duì)航空地面保障進(jìn)行安全性分析，為系統(tǒng)性能改進(jìn)和安全性研究提供依據(jù)。

安全性分析主要有定性和定量兩種方式，多以人為主觀判斷的定性分析為主。事故分析較多采用LEC、FMEA、FTA、PHA法等，通過建立層次結(jié)構(gòu)來梳理致因因素的邏輯關(guān)系，并分析事故發(fā)生可能性以及可能導(dǎo)致的后果等，取得了較好的結(jié)果,但線性特性明顯，系統(tǒng)要素間的不當(dāng)交互作用分析受限[2-6]。隨著技術(shù)的革新，事故的本質(zhì)也發(fā)生著變化，部分針對(duì)機(jī)電系統(tǒng)的預(yù)防事故發(fā)生方法無法適用于數(shù)字軟件引發(fā)的事故，復(fù)雜系統(tǒng)的運(yùn)行使得專家對(duì)系統(tǒng)潛在危險(xiǎn)性分析時(shí)易出現(xiàn)考慮不全的情況。這些變化暴露出傳統(tǒng)安全分析方法的局限性[7]。

復(fù)雜系統(tǒng)安全性是特定環(huán)境下由系統(tǒng)相關(guān)要素交互作用所產(chǎn)生的一種涌現(xiàn)特性。航空地面保障事故的原因是裝(設(shè))備因素、人為因素、環(huán)境因素、制度與管理因素間復(fù)雜，相互作用控制不當(dāng)?shù)慕Y(jié)果。而要保證其安全就要分析航空地面保障的危險(xiǎn)狀態(tài)，并建立相應(yīng)的系統(tǒng)安全約束。因此，在對(duì)航空地面保障進(jìn)行安全性分析時(shí)，除了考慮裝(設(shè))備的故障，還應(yīng)考慮與人員、環(huán)境、管理間的復(fù)雜動(dòng)態(tài)作用。

STAMP(systems theoretic accident modeling and process)模型從非線性系統(tǒng)論的角度出發(fā)，把安全看作一個(gè)控制問題，認(rèn)為事故是由于不充分的控制和安全相關(guān)約束的缺失所造成的[8]。該模型是Nancy G. Leveson于2004年提出，并成功應(yīng)用于航空航天、醫(yī)療衛(wèi)生、交通運(yùn)輸、核安全等領(lǐng)域，取得了顯著成果。

1 STAMP模型

1.1STAMP基本理論

基于系統(tǒng)涌現(xiàn)性的STAMP模型認(rèn)為安全性是系統(tǒng)組件間相互作用的結(jié)果。給組件的行為及組件間的交互施加約束，使安全成為控制性問題，其控制目標(biāo)就是確保滿足安全約束。事故的發(fā)生是系統(tǒng)開發(fā)、設(shè)計(jì)和運(yùn)行過程中沒有充分控制或施加安全約束的結(jié)果。基于上述原理，構(gòu)建的STAMP模型包括安全約束、分層結(jié)構(gòu)和過程模型[9]。

安全約束是STAMP中的基本概念，安全約束沒有得到充分的控制或?qū)嵤?，事故就?huì)發(fā)生。模型中利用控制結(jié)構(gòu)對(duì)各組分的功能進(jìn)行定義，過程模型包括控制器和被控過程。這種分層的結(jié)構(gòu)將系統(tǒng)分為不同層次的控制過程，即控制器通過控制過程來向下一級(jí)施加約束，同時(shí)被控對(duì)象通過反饋向控制器反映安全約束相關(guān)執(zhí)行情況。當(dāng)控制器過程模型與被控系統(tǒng)不匹配且控制器發(fā)出命令不安全時(shí)，事故可能發(fā)生。過程控制結(jié)構(gòu)模型如圖1所示。

圖1 過程控制結(jié)構(gòu)模型

STAMP模型認(rèn)為基本控制缺陷有2類：①控制器不能確保安全約束，包括提供的控制行動(dòng)錯(cuò)誤或不足、被控過程反饋信息丟失或不充分；②提供的正確控制行動(dòng)并沒有執(zhí)行[10]。

1.2STAMP分析方法

STAMP作為一種基于系統(tǒng)理論事故模型的危險(xiǎn)分析方法，已經(jīng)應(yīng)用到涉及多種領(lǐng)域的系統(tǒng)分析，并取得了有價(jià)值的分析成果。它能夠從系統(tǒng)分層控制的角度出發(fā)由上而下進(jìn)行分析，且能充分考慮各組件間交互作用對(duì)系統(tǒng)安全的影響，利用引導(dǎo)作用的不恰當(dāng)或控制缺陷來輔助分析[11-12]，分析過程如下。

(1)針對(duì)系統(tǒng)危險(xiǎn)，定義安全約束。利用初步危險(xiǎn)分析技術(shù)，對(duì)系統(tǒng)的危險(xiǎn)狀態(tài)進(jìn)行定義，辨識(shí)出造成環(huán)境破壞、人員傷亡、設(shè)備財(cái)產(chǎn)損失等安全事故和危險(xiǎn)事件，并對(duì)危險(xiǎn)狀態(tài)進(jìn)行說明，建立相應(yīng)的系統(tǒng)安全約束。

在保障過程中，指揮系統(tǒng)、操作控制系統(tǒng)和保障人員共同負(fù)責(zé)保障工作，以消除和控制保障過程中的危險(xiǎn)，其保障控制如圖2所示。保障人員包括指揮員、操作員和駕駛員，指揮員下達(dá)保障任務(wù)并進(jìn)行業(yè)務(wù)協(xié)調(diào)，操作員通過裝備操作制取所需保障介質(zhì)，駕駛員運(yùn)載車輛裝備到達(dá)指定地點(diǎn)。操作控制系統(tǒng)主要負(fù)責(zé)生產(chǎn)工作，是保障安全進(jìn)行的核心，主要有蓄電池充放電、檢測(cè)，所需氣體的制取、重裝、運(yùn)輸?shù)??？刂葡到y(tǒng)對(duì)控制過程的影響是多方面的，環(huán)境、制度的制約，行車規(guī)范及人員狀態(tài)等共同決定了保障安全。在辨識(shí)出不恰當(dāng)控制行為基礎(chǔ)上對(duì)安全約束細(xì)化，才能有效預(yù)防危險(xiǎn)的發(fā)生。

圖2 航空地面保障控制示意

(2)定義安全控制結(jié)構(gòu)。組件、子系統(tǒng)或過程間的交互影響構(gòu)成了系統(tǒng)安全控制結(jié)構(gòu)。安全控制結(jié)構(gòu)與系統(tǒng)的設(shè)計(jì)說明相一致，是進(jìn)一步辨識(shí)導(dǎo)致系統(tǒng)危險(xiǎn)原因(不恰當(dāng)控制)的分析基礎(chǔ)。分析系統(tǒng)安全相關(guān)需求與安全性約束后，利用系統(tǒng)控制結(jié)構(gòu)分析控制系統(tǒng)進(jìn)入風(fēng)險(xiǎn)狀態(tài)的原因。系統(tǒng)的分層控制結(jié)構(gòu)還包括過程模型、控制算法等。

(3)辨識(shí)潛在不恰當(dāng)控制。辨識(shí)出導(dǎo)致系統(tǒng)危險(xiǎn)的不恰當(dāng)控制，并根據(jù)不恰當(dāng)控制行為制訂細(xì)化的安全約束。不恰當(dāng)控制行為分為以下4類：①未提供或未遵守安全所要求的控制；②提供的控制不安全而導(dǎo)致危險(xiǎn)；③提供的安全控制太晚、過早或無序；④控制結(jié)束太快或持續(xù)時(shí)間過長。安全分析是在事故發(fā)生前找出潛在危險(xiǎn)原因或在事故發(fā)生后找出危險(xiǎn)致因因素，因此需要根據(jù)辨識(shí)出的系統(tǒng)不恰當(dāng)控制來形成具體的安全約束，以保證系統(tǒng)的安全[13]。

(4)分析導(dǎo)致不恰當(dāng)控制的原因。一是輸入的不安全。在分層控制結(jié)構(gòu)中，下級(jí)控制器受上級(jí)控制器控制。高層次所提供的控制信息發(fā)生丟失或產(chǎn)生錯(cuò)誤，都可能引起危險(xiǎn)狀態(tài)的發(fā)生。二是控制算法的不安全?？刂破魍ㄟ^算法的控制、當(dāng)前狀態(tài)及過程轉(zhuǎn)變產(chǎn)生裝(設(shè))備的執(zhí)行指令?？刂扑惴ú荒艽_保安全約束、算法設(shè)計(jì)錯(cuò)誤、受控狀態(tài)轉(zhuǎn)變等都會(huì)使算法處于不安全狀態(tài)。三是過程模型不合理或不一致。有效的控制是在過程狀態(tài)模型的基礎(chǔ)上，與內(nèi)部狀態(tài)和外部反饋信息處于動(dòng)態(tài)平衡。當(dāng)控制器的過程模型與實(shí)際過程不一致時(shí)，可能導(dǎo)致組件間的交互事故[14]。

2 基于某型制氧制氮設(shè)備安全性分析

某型制氧制氮設(shè)備是航空地面制取氧氣的主要裝備之一，設(shè)備的運(yùn)行系統(tǒng)包括冷卻系統(tǒng)、壓縮機(jī)、制冷劑、液氧泵、啟動(dòng)箱、空分器等組件，限于篇幅，文中只對(duì)氧氣制取壓力達(dá)到閥值進(jìn)行停機(jī)操作為例進(jìn)行安全性分析。

2.1系統(tǒng)安全風(fēng)險(xiǎn)

通過危險(xiǎn)分析，標(biāo)示出系統(tǒng)潛在造成人員傷亡、裝(設(shè))備損壞的危險(xiǎn)事件，對(duì)導(dǎo)致系統(tǒng)發(fā)生危險(xiǎn)事件及危險(xiǎn)狀態(tài)進(jìn)行說明。對(duì)于該型制氧制氮設(shè)備停機(jī)操作，系統(tǒng)存在風(fēng)險(xiǎn)是氧氣瓶壓力超過額定值而沒有采取停機(jī)操作，或停機(jī)操作發(fā)生延遲。

2.2定義安全控制結(jié)構(gòu)

為操作平臺(tái)控制構(gòu)造安全控制結(jié)構(gòu)。通過安全控制結(jié)構(gòu)對(duì)各組件間的聯(lián)系及職責(zé)進(jìn)行說明。根據(jù)1.2(2)節(jié)控制結(jié)構(gòu)說明進(jìn)行構(gòu)造，結(jié)構(gòu)復(fù)雜程度由刻畫細(xì)節(jié)多少?zèng)Q定。各組件在層次結(jié)構(gòu)中分擔(dān)不同職責(zé)功能，通過相互作用共同決定系統(tǒng)的安全。根據(jù)設(shè)計(jì)需求，該型制氧制氮設(shè)備停機(jī)操作安全控制結(jié)構(gòu)如圖3所示，包括控制平臺(tái)、執(zhí)行器、停車系統(tǒng)、傳感器和氧氣瓶等組件。

圖3 某型制氧制氮設(shè)備停機(jī)操作安全控制結(jié)構(gòu)

2.3潛在不恰當(dāng)控制

根據(jù)4類不恰當(dāng)控制行為進(jìn)行辨析，結(jié)果見表1。

表1 潛在不恰當(dāng)控制

2.4風(fēng)險(xiǎn)分析

危險(xiǎn)事故的發(fā)生可歸結(jié)于控制的缺陷，但反過來并不成立，需依據(jù)具體情況進(jìn)行分析。文中從狀態(tài)轉(zhuǎn)換過程進(jìn)行分析，采用主觀分析法找出異?？刂瓢l(fā)生的原因。停車指令失效分析見表2，表中列舉原因基于各組件的交互作用；“不確定”失效原因需進(jìn)一步構(gòu)建控制結(jié)構(gòu)獲取信息。

表2 停車系統(tǒng)各組件失效原因分析

3 分析方法比較

STAMP法與基于故障樹等的傳統(tǒng)分析方法在理論層面存在差異，具體分析見表3。

表3 STAMP法與傳統(tǒng)安全分析方法比較

通過以上比較可以看出，STAMP模型從系統(tǒng)的涌現(xiàn)性出發(fā)進(jìn)行安全性分析，而不僅僅強(qiáng)調(diào)組件可靠性；同時(shí)，整體性分析需要納入人員、環(huán)境、制度等因素綜合考慮，并且采取的防控措施可預(yù)防事故的發(fā)生。

4 安全防控措施

(1)制氧制氮設(shè)備停機(jī)操作依據(jù)設(shè)定值與內(nèi)部狀態(tài)信息匹配進(jìn)行調(diào)節(jié)，若外部設(shè)定模塊失效，提供的錯(cuò)誤信號(hào)將導(dǎo)致控制器異常，造成錯(cuò)誤行為?？刹捎眠\(yùn)行監(jiān)測(cè)技術(shù)，及時(shí)發(fā)現(xiàn)交互過程中的異?，F(xiàn)象，防止安全事故發(fā)生。

(2)考慮到氣體傳輸管路特性，停機(jī)操作控制系統(tǒng)動(dòng)態(tài)響應(yīng)傳遞信號(hào)與普通控制對(duì)象存在差異，應(yīng)分別分析判斷；控制算法設(shè)計(jì)可能存在失效狀態(tài)，應(yīng)對(duì)控制算法進(jìn)行驗(yàn)證更新，增強(qiáng)算法魯棒性。

(3)保障人員是操作的主體，應(yīng)開展安全教育，進(jìn)行知識(shí)技能培訓(xùn)，使指揮員明確任務(wù)下達(dá)要求，操作員精通裝備操作流程、熟知裝備操作規(guī)范、熟練掌握安全防范技能，駕駛員遵守行車規(guī)章制度，從而減少人為因素造成的安全事故。同時(shí)，環(huán)境也是造成安全事故的重要因素，極端天氣不僅影響保障人員情緒，也降低控制系統(tǒng)部分靈敏部件使用壽命，造成系統(tǒng)紊亂，應(yīng)減少極端天氣的戶外操作。

5 結(jié) 語

針對(duì)航空地面保障系統(tǒng)復(fù)雜性，本文引入STAMP理論對(duì)某型制氧制氮設(shè)備制取氧氣時(shí)的停機(jī)控制系統(tǒng)進(jìn)行安全性分析，分別從輸入信號(hào)、控制算法和過程模型3方面對(duì)各組分與環(huán)境間的潛在不安全因素或行為進(jìn)行研究，并加以控制約束。該模型從系統(tǒng)論和控制論出發(fā)，將保障安全看作非線性系統(tǒng)，擴(kuò)展了安全分析深度，提高了可信度。

[1] 胡連桃,馮仁斌.航空地面保障學(xué)[M].徐州:空軍勤務(wù)學(xué)院,2011：43-47.

[2] 梅玉航.故障樹分析法在靶場(chǎng)導(dǎo)彈試驗(yàn)安全分析中的應(yīng)用[J].航空地面器測(cè)控學(xué)報(bào),2010,29(2):35-39.

[3] 薛濤,彭啟鳳,黃國健,等.基于故障樹的電梯門系統(tǒng)故障分析[J].航空地面器測(cè)控學(xué)報(bào),2015，36(6):34-36.

[4] 劉輝,付洪軍.基于PHA-LEC法金屬礦山盲豎井工程安全分析研究[J].工業(yè)安全與環(huán)保,2010,36(9):40-42.

[5] 李紅濤,劉長友,汪理全.預(yù)先危險(xiǎn)性分析在上行開采安全預(yù)評(píng)價(jià)中的應(yīng)用[J].礦業(yè)安全與環(huán)保,2007,34(5):74-76.

[6] 張宇棟,卿黎,蒲偉,等. 基于 FMECA 與模糊 FTA 的余熱鍋爐安全分析[J].中國安全生產(chǎn)科學(xué)技術(shù),2015,11(8):164-170.

[7] 唐濤,牛儒.基于系統(tǒng)思維構(gòu)筑安全系統(tǒng)[M].北京:國防工業(yè)出版社,2015：58-66.

[8] 劉金濤,唐濤,趙林,等.基于STPA的CTCS-3級(jí)列控系統(tǒng)功能安全分析方法[J].中國鐵道科學(xué),2014,35(5):86-95.

[9] 劉金濤.基于STPA的需求階段的高速列車運(yùn)行控制系統(tǒng)安全分析方法研究[D].北京:北京交通大學(xué),2015.

[10] 徐小杰,鐘德明,陸民燕.基于STAMP的導(dǎo)航軟件研制管理安全性分析[J].測(cè)控技術(shù),2015,34(2):99-102.

[11] 牛豐,王昱,周誠.基于STAMP模型的地鐵施工安全事故致因分析[J].土木工程與管理學(xué)報(bào),2016,33(1):73-78.

[12] 劉杰,陽小華,余童蘭,等.基于STAMP模型的核動(dòng)力蒸汽發(fā)生器水位控制系統(tǒng)安全性分析[J].中國安全生產(chǎn)科學(xué)技術(shù),2014,10(5):78-83.

[13] 陽小華,劉杰,劉朝暉,等.STAMP模型及其在核電廠DCS安全分析中的應(yīng)用展望[J].中國安全生產(chǎn)科學(xué)技術(shù),2013,12(3):42-47.

[14] 甘旭升,崔浩林,劉衛(wèi)東,等.STPA危險(xiǎn)分析方法及其在ATSA-ITP設(shè)計(jì)中的應(yīng)用[J].中國安全科學(xué)學(xué)報(bào),2015,25(5):83-91.

(編輯：孫協(xié)勝)

SecurityofAviationGroundSupportBasedonSTAMPModel

HU Zongshun1, HUANG Zhijie2, WANG Yukui2, ZHANG Yongliang2

(1.Cadets Brigade One, Air Force Logistics College, Xuzhou 221000, China; 2.Department of Aviation Four Stations, Air Force Logistics College, Xuzhou 221000, China)

Aviation ground support is a complicated non-linear system which is the key to supporting ground security. The paper firstly introduces the basic theory of STAMP and the construction process of the model. Then, it establishes security analysis model of aviation ground support according to the reality, and transforms security into control problem to discover potential risks. Finally, it analyzes the lack of safety constraint and failure cause of the control system by taking oxygen and nitrogen production equipment as the example, and summarizes the accident cause and compares the result with existing methods and puts forward some safety control measures. The result shows that the STAMP model is scientific and credible, and it is suitable for aviation ground support, which can provide new idea for security analysis of aviation ground support.

aviation ground support; security analysis; STAMP model

10．16807/j.cnki.12-1372/e.2017.11.004

X924.4

A

1674-2192(2017)11- 0014- 05

2017-05-12；

2017-06-14．

空軍裝備部科研計(jì)劃項(xiàng)目(KJ2016A1082)．

胡宗順(1992—)，男，碩士研究生；