楊曉強(qiáng)，賀非，賀強(qiáng)，徐晨，林躍

(中國(guó)民用航空飛行學(xué)院航空工程學(xué)院，廣漢 618307)

定檢[1]是按照飛機(jī)維修計(jì)劃，根據(jù)適航性資料，在航空器或航空器部件使用達(dá)到一定時(shí)限進(jìn)行的檢查和修理，屬于預(yù)防性維修。從接收檢查到記錄和報(bào)告無不需要機(jī)務(wù)人員全身心徹底地落實(shí)，周而復(fù)始就會(huì)產(chǎn)生疲勞，而疲勞會(huì)誘發(fā)維修作業(yè)中的錯(cuò)、忘、漏等安全風(fēng)險(xiǎn)[2]。近二十年的航空事故統(tǒng)計(jì)表明，由機(jī)務(wù)人員維修差錯(cuò)導(dǎo)致的事故增加了4%，而其中大部分與機(jī)務(wù)人員的疲勞作業(yè)有關(guān)[3]?！毒S修單位的安全管理體系》(AC-145-15)[4]咨詢通告表明，機(jī)務(wù)人員的身心健康在保障民用航空飛行安全方面起到了重要作用，使得因航空器維修問題造成的飛行事故率持續(xù)保持在較低的水平。因此，對(duì)定檢中機(jī)務(wù)人員疲勞致因進(jìn)行分析，不僅有助于制定出行之有效的疲勞管理策略，而且能夠提升維修工作計(jì)劃制定的科學(xué)性。

近年來，中外學(xué)者對(duì)疲勞開展了大量的研究。朱峰等[5]基于單位時(shí)間內(nèi)眼睛閉合時(shí)間占比、最長(zhǎng)持續(xù)閉眼時(shí)間和哈欠次數(shù)3個(gè)指標(biāo)，通過改進(jìn)的Yolov3算法構(gòu)建多特征融合的疲勞檢測(cè)模型，結(jié)果表明識(shí)別準(zhǔn)確率達(dá)92.5%。廖明明等[6]基于雙流卷積神經(jīng)網(wǎng)絡(luò)融合傳統(tǒng)特征構(gòu)建駕駛員疲勞檢測(cè)模型，結(jié)果表明具有較強(qiáng)的魯棒性。楊如民等[7]運(yùn)用蝙蝠算法獲取優(yōu)選決策樹和分類特征等參數(shù)并將其作為隨機(jī)森林算法的輸入建立精神疲勞檢測(cè)模型，結(jié)果表明準(zhǔn)確率為96.7%。梁海軍等[8]基于遷移學(xué)習(xí)算法構(gòu)建管制員眼睛狀態(tài)識(shí)別模型，結(jié)果表明檢測(cè)準(zhǔn)確率為97%。Zhang等[9]基于隨機(jī)森林回歸模型融合6個(gè)敏感導(dǎo)聯(lián)特征構(gòu)建航天員腦力疲勞快速檢測(cè)模型，結(jié)果表明準(zhǔn)確率達(dá)85.25%。系統(tǒng)理論過程分析方法(systems-theoretic process analysis，STPA)方法廣泛應(yīng)用于對(duì)安全要求極高的系統(tǒng)分析中。張宏宏[10]提出了基于STPA-TOPAZ(traffic organization and perturbation analyzer，TOPAZ)的低空無人機(jī)沖突解脫安全性分析方法，仿真結(jié)果表明：該方法的有效性與優(yōu)越性。Li等[11]將系統(tǒng)理論過程分析與網(wǎng)絡(luò)分析法相結(jié)合，對(duì)某型民機(jī)數(shù)字飛控系統(tǒng)進(jìn)行分析，通過形式化工具及仿真驗(yàn)證，結(jié)果表明該方法能夠確定系統(tǒng)的危害致因。Lü等[12]運(yùn)用系統(tǒng)理論過程分析法對(duì)空中加油過程分析出46條不安全控制行為和致因，確定與之對(duì)應(yīng)的44項(xiàng)約束條件，結(jié)果表明該方法的優(yōu)越性。肖國(guó)松等[13]運(yùn)用系統(tǒng)理論過程分析法對(duì)通用系統(tǒng)管理中的動(dòng)態(tài)重構(gòu)實(shí)例進(jìn)行研究，結(jié)果表明該方法可為安全性分析提供依據(jù)。Huang等[14]運(yùn)用系統(tǒng)理論過程分析法對(duì)48起航空事故進(jìn)行分析，提取事故鏈繪制事故網(wǎng)絡(luò)，為后續(xù)定性分析做好鋪墊。

現(xiàn)有的維修疲勞分析方法大多基于故障樹[15]、故障模式影響分析[16]等線性方法，對(duì)于人的行為、大型工程系統(tǒng)和非線性等問題難以準(zhǔn)確分析，此外由于傳統(tǒng)方法中的組件處于相互獨(dú)立這一假設(shè)前提下，因此也不能對(duì)強(qiáng)耦合系統(tǒng)進(jìn)行有效分析。盡管STPA從控制的角度尋求危害發(fā)生的原因，并從系統(tǒng)全壽命周期的角度來提出改進(jìn)措施，但是存在尚未形成成熟的執(zhí)行程序、繪制STPA控制結(jié)構(gòu)的困難、沒有對(duì)危害等級(jí)定量化、沒有結(jié)合有效的模型演繹或者驗(yàn)證方法等缺陷。針對(duì)以上不足，首先提煉出簡(jiǎn)潔的執(zhí)行程序并使用Visio軟件繪制STPA控制結(jié)構(gòu)；然后提出STPA-FRV定量化方法，以標(biāo)準(zhǔn)格式描述規(guī)則便于理解，而且將功能兩兩配對(duì)來檢驗(yàn)?zāi)Ｐ?；最后在STPA-FRV模型中提取出有實(shí)際含義的可變性并基于形式化驗(yàn)證工具進(jìn)行演繹。

1 STPA模型工作機(jī)理

STPA是基于系統(tǒng)理論事故建模和過程(systems-theoretic accident model and process，STAMP)衍生出的一種危害分析方法，可用于系統(tǒng)的全生命周期內(nèi)。該方法是從控制回路的角度對(duì)系統(tǒng)進(jìn)行建模，旨在全面分析組件之間的耦合。保障系統(tǒng)安全就要對(duì)每一回路施加必要的約束，從而系統(tǒng)安全就轉(zhuǎn)換成確保回路滿足約束條件。在系統(tǒng)理論中，系統(tǒng)被劃分成由高層到低層的控制結(jié)構(gòu)，系統(tǒng)高層通過控制器將約束信息傳輸給下一層，以此類推直至執(zhí)行層，執(zhí)行層在執(zhí)行任務(wù)的過程中，可能由于各方面因素的侵?jǐn)_而違反約束條件，從而產(chǎn)生危害并逐層反饋給系統(tǒng)高層，所以反饋回路是系統(tǒng)實(shí)現(xiàn)自適應(yīng)控制的核心。STPA主要包含兩個(gè)步驟：識(shí)別潛在危險(xiǎn)控制和危害場(chǎng)景分析。STPA模型包括：STPA模型中的控制回路、回路的特征元素、回路之間的交互以及回路元素的可變性。STPA模型的功能可變性描述規(guī)則(functional variability of rules，RFV)表示如下。

(1)F為給定系統(tǒng)所包含控制回路的集合，CLn表示第n個(gè)控制回路，可表示為

F={CL1,CL2,…,CLn}，n=1,2,3,…

(1)

(2)A表示每個(gè)控制回路的特征元素，CUn表示第n個(gè)控制器，CAn表示第n個(gè)控制動(dòng)作，F(xiàn)Bn表示第n個(gè)反饋，MP表示被控方，可表示為

A={CU1,CA1,FB1,…,CUn,CAn,FBn,MP}

(2)

(3)R=F→F表示控制回路之間的關(guān)系，RCURCA、RCURFB、RCURMP分別表示控制器與控制動(dòng)作、反饋和被控方之間的關(guān)系，可表示為

R={RCUn-1RCAn,RCUn-1RFBn,RCUnRMP,…,

RCUi-1RCAn,RCUi-1RFBi,RCUiRMP}，

n=1,2,3,…且i≤n

(3)

(4)V表示可變性，即控制器、控制動(dòng)作、被控方和反饋這4個(gè)方面的可變性對(duì)控制回路的影響，可表示為

n=1,2,3,…且i≤n

(4)

2 STPA模型的改進(jìn)

首先使用RFV形式化定量化描述STPA中回路的可變性建立STPA-RFV模型，然后制定安全規(guī)范，最后用UPPAAL工具進(jìn)行演繹，如圖1所示。

由于瑞士Uppsala大學(xué)和丹麥Aalborg大學(xué)聯(lián)合開發(fā)出系統(tǒng)驗(yàn)證工具UPPAAL，因此選取這兩所大學(xué)前三個(gè)首字母作為這一工具的名稱

安全性分析的可變指數(shù)是STPA-RFV模型的核心要素，首先建立評(píng)價(jià)指標(biāo)體系：將系統(tǒng)STPA模型中各回路視為一級(jí)指標(biāo)，然后基于一級(jí)指標(biāo)對(duì)STPA模型中各回路的交互劃分二級(jí)指標(biāo)。所建立的可變指數(shù)評(píng)價(jià)體系如表1所示。對(duì)于回路的交互來說，可變指數(shù)與系統(tǒng)的穩(wěn)定性成反比。

表1 可變指數(shù)評(píng)價(jià)體系

然后請(qǐng)一線機(jī)務(wù)人員依據(jù)Thomas等[17]提出的1～9標(biāo)度對(duì)回路之間的可變性進(jìn)行評(píng)分，從而生成判斷矩陣。CLn回路交互判斷矩陣A構(gòu)建如表2所示。

表2 判斷矩陣生成規(guī)則

可變指數(shù)確定步驟如圖2所示。

圖2 確定可變指數(shù)

3 改進(jìn)的STPA在定檢中機(jī)務(wù)人員疲勞研究中的應(yīng)用

3.1 確定系統(tǒng)級(jí)危險(xiǎn)并構(gòu)建分層控制結(jié)構(gòu)

系統(tǒng)級(jí)危險(xiǎn)：H1定檢過程中出現(xiàn)錯(cuò)誤；H2定檢被長(zhǎng)時(shí)間延遲；H3定檢項(xiàng)目遺漏。定檢模塊是一個(gè)龐雜的系統(tǒng)，通過熟悉整個(gè)系統(tǒng)的結(jié)構(gòu)和工作模式，找出定檢模塊中所包含的組件，分析每個(gè)組件在系統(tǒng)中的功能控制過程模型以及適用環(huán)境。定檢階段主要任務(wù)是克服一切干擾因素，嚴(yán)格遵循工卡逐項(xiàng)完成定檢工作，直至通過放行進(jìn)程并交付給客戶。定檢模塊控制結(jié)構(gòu)如圖3所示。

圖3 定檢階段控制結(jié)構(gòu)圖

定檢進(jìn)程作為定檢階段的核心環(huán)節(jié)，里面的控制結(jié)構(gòu)很復(fù)雜，僅從系統(tǒng)高層的控制結(jié)構(gòu)中不足以分析出定檢中機(jī)務(wù)人員的疲勞致因，這就要對(duì)該進(jìn)程進(jìn)一步構(gòu)建控制結(jié)構(gòu)，從而深入分析出定檢中機(jī)務(wù)人員疲勞產(chǎn)生機(jī)制和控制方式。在系統(tǒng)層面，定檢進(jìn)程被視為一個(gè)整體，其內(nèi)部具體如何運(yùn)行不做考慮。但要分析出機(jī)務(wù)人員的疲勞致因，就需要對(duì)系統(tǒng)內(nèi)部的子組件進(jìn)一步細(xì)化并提取組件之間的控制動(dòng)作，從而構(gòu)建定檢和放行進(jìn)程的控制結(jié)構(gòu)如圖4、圖5所示。

圖4 定檢進(jìn)程控制結(jié)構(gòu)

累積疲勞(accumulate fatigue，AF)

3.2 控制回路的形式化描述

3.3 辨識(shí)不安全控制行為

根據(jù)STPA理論，從“沒有提供”“提供”和“不正確的時(shí)間/順序”3個(gè)方面出發(fā)，得到不安全控制行為(unsafe control action，UCA)。以定檢進(jìn)程的控制動(dòng)作為例，其中CA1～CA24分別表示定檢進(jìn)程控制程序要求機(jī)務(wù)人員克服身體狀態(tài)不佳、家庭壓力、時(shí)間壓迫、工作負(fù)荷、糟糕的睡眠質(zhì)量、輪班制度、發(fā)動(dòng)機(jī)復(fù)雜性、航電系統(tǒng)復(fù)雜性、APU復(fù)雜性、電源系統(tǒng)復(fù)雜性、氣源系統(tǒng)復(fù)雜性、液壓系統(tǒng)復(fù)雜性、燃油系統(tǒng)復(fù)雜性、滑油系統(tǒng)復(fù)雜性、啟動(dòng)系統(tǒng)復(fù)雜性、防火系統(tǒng)復(fù)雜性、空調(diào)系統(tǒng)復(fù)雜性、起落架復(fù)雜性、噪聲干擾、刺鼻氣味、照明條件、氣候和溫度、工作臺(tái)振動(dòng)、臟亂工作環(huán)境。通過分析得到72個(gè)疲勞致因，如表3所示。

表3 機(jī)務(wù)人員疲勞致因表

3.4 控制算法

控制算法[18]是控制行為的理論依據(jù)，控制器會(huì)根據(jù)控制算法做出控制動(dòng)作。由于統(tǒng)一建模語(yǔ)言(unified modeling language，UML)狀態(tài)圖能夠準(zhǔn)確直觀地描述系統(tǒng)控制過程中的狀態(tài)轉(zhuǎn)移，使用UML狀態(tài)圖描述控制算法如圖6所示。

圖6 定檢階段狀態(tài)轉(zhuǎn)移

3.5 辨識(shí)出危害場(chǎng)景并提取相應(yīng)安全需求

3.5.1 確定可變指數(shù)

建立評(píng)價(jià)指標(biāo)體系：根據(jù)一級(jí)指標(biāo)對(duì)STPA模型中各回路的交互劃分二級(jí)指標(biāo)，如控制動(dòng)作交互、被控方交互和反饋交互3個(gè)影響因素。以CL3為例，建立定檢進(jìn)程STPA的可變指數(shù)評(píng)價(jià)體系如表4所示。

表4 CL3回路交互評(píng)判矩陣

由式(1)～式(3)求得特征向量w1=[0.07,0.75,0.18]，由式(4)得λmax=3.029，經(jīng)查表得3階矩陣平均隨機(jī)性一致性指標(biāo)RI=0.58，故由圖3得CR=0.025<0.1，表明一致性可接受。

表5 定檢進(jìn)程可變指數(shù)

3.5.2 制定安全規(guī)范

基于圖6定檢階段狀態(tài)轉(zhuǎn)移圖制定出11條對(duì)應(yīng)的機(jī)務(wù)人員疲勞管理規(guī)范，如表6所示。

表6 安全規(guī)范

4 改進(jìn)的STPA模型演繹

UPPAAL[19]是一個(gè)基于時(shí)間自動(dòng)機(jī)的形式化驗(yàn)證工具，包括編輯器、模擬器及驗(yàn)證器。其理論基礎(chǔ)時(shí)間自動(dòng)機(jī)(timed automata，TA)在數(shù)學(xué)上被定義為一個(gè)六元組TA=〈S,S0,Σ,X,I,E〉，其中，S為有窮位置集合，S0為初始位置集合，Σ為有窮事件的集合，X為有窮時(shí)鐘的集合，I為一個(gè)映射，它給每個(gè)狀態(tài)s∈S指定時(shí)鐘約束集合Φ(x)中的一個(gè)時(shí)間約束δ，E?SΣΦ(x)2xS表示狀態(tài)轉(zhuǎn)移的集合[20]。圖7、圖8分別為定檢進(jìn)程和人-機(jī)-環(huán)誘導(dǎo)的UPPAAL模型。

rcp_alert表示定檢進(jìn)程告警；Human_Factors表示人的因素；Machine_Factors表示機(jī)的因素；Surrounding_Factors表示環(huán)的因素；O_HF表示克服人的因素；O_MF表示克服機(jī)的因素；O_SF表示克服環(huán)的因素；Colleague_cross check表示同事交叉檢查；C_WARN表示同事警告

Poor_health表示身體狀態(tài)不佳；Oph表示克服身體狀態(tài)不佳；Family_stress表示家庭壓力；Ofs表示克服家庭壓力；Time _limit表示時(shí)間壓迫；Otl表示克服時(shí)間壓迫；Workload表示工作負(fù)荷；Owl表示克服工作負(fù)荷；Poor_sleep表示糟糕睡眠質(zhì)量；Ops表示克服糟糕睡眠質(zhì)量；Shift_system表示輪班制度；Ass表示適應(yīng)輪班制度；Engine_complexity表示發(fā)動(dòng)機(jī)復(fù)雜性；oec表示克服發(fā)動(dòng)機(jī)復(fù)雜性；avionics_complexity表示航電系統(tǒng)復(fù)雜性；oac表示克服航電系統(tǒng)復(fù)雜性；APU_complexity表示復(fù)雜性；oapuc表示克服APU復(fù)雜性；power_complexity表示電源系統(tǒng)復(fù)雜性；opc表示克服電源系統(tǒng)復(fù)雜性；hydraulic_complexity表示氣源系統(tǒng)復(fù)雜性；ohc表示克服氣源系統(tǒng)復(fù)雜性；pneumatic system_complexity表示液壓系統(tǒng)復(fù)雜性；opsc表示克服液壓系統(tǒng)復(fù)雜性；fuel_complexity表示燃油系統(tǒng)復(fù)雜性；ofc表示克服燃油系統(tǒng)復(fù)雜性；oil_complexity表示滑油系統(tǒng)復(fù)雜性；ooc表示克服滑油系統(tǒng)復(fù)雜性；start up_complexity表示啟動(dòng)系統(tǒng)復(fù)雜性；osuc表示克服啟動(dòng)系統(tǒng)復(fù)雜性；fire prevention_complexity表示防火系統(tǒng)復(fù)雜性；ofpv表示克服防火系統(tǒng)復(fù)雜性；air conditioning_complexity表示空調(diào)系統(tǒng)復(fù)雜性；oacc表示克服空調(diào)系統(tǒng)復(fù)雜性；landing gear_complexity表示起落架復(fù)雜性；olgc表示克服起落架復(fù)雜性；noise_disturbance表示噪音干擾；ond表示克服噪音干擾；sharp_aroma 表示刺鼻氣味；osa表示克服刺鼻氣味；lighting_conditions表示照明條件；olc表示克服照明條件；climate_and_temperature表示氣候和溫度；ocat表示克服氣候和溫度；table_vibration表示工作臺(tái)振動(dòng)；otv表示克服工作臺(tái)振動(dòng)；dirty_working_environment表示臟亂工作環(huán)境；odwe表示克服臟亂工作環(huán)境

定檢模塊UPPAAL模型通過時(shí)鐘變量對(duì)各組件的工作狀態(tài)進(jìn)行區(qū)分，t為模塊工作的最大時(shí)間限制，當(dāng)時(shí)鐘變量小于或等于t時(shí)，機(jī)務(wù)人員克服掉干擾因素，模塊處于正常工作狀態(tài)，當(dāng)時(shí)鐘變量大于t時(shí)，機(jī)務(wù)人員克服干擾因素失敗，模塊處于延時(shí)狀態(tài)。

綜上，建立了完整的RCP系統(tǒng)時(shí)間自動(dòng)機(jī)網(wǎng)絡(luò)模型，其中：Human_Factors為人的因素，Machine_Factors為機(jī)的因素，Surrounding_Factors為環(huán)的因素。

RCP=Human_Factors||Machine_Factors||Surrounding_Factors

(5)

基于表7系統(tǒng)驗(yàn)證語(yǔ)句對(duì)定檢進(jìn)程進(jìn)行形式化驗(yàn)證，定檢進(jìn)程形式化驗(yàn)證結(jié)果的部分展示如下。

表7 系統(tǒng)驗(yàn)證語(yǔ)句

A[](normalRCP.Colleague_Crosscheck and normalRCP.C4)imply(normalRCP.Idle)

驗(yàn)證費(fèi)時(shí)/kernel費(fèi)時(shí)/總費(fèi)時(shí)：0.031 s/0 s/0.047 s.

常駐內(nèi)存/虛擬內(nèi)存的使用峰值：8 956 KB/29 308 KB.

滿足該性質(zhì).

A[](normalRCP.Human_Factors and normalRCP.C1)imply(normalRCP.Machine_Factors)

驗(yàn)證費(fèi)時(shí)/kernel費(fèi)時(shí)/總費(fèi)時(shí)：0.047 s/0 s/0.047 s.

常駐內(nèi)存/虛擬內(nèi)存的使用峰值：8 984 KB/29 368 KB.

滿足該性質(zhì).

A<>(normalRCP.Idle or normalRCP.Human_Factors or normalRCP.Machine_Factors or normalRCP.Surrounding_Factors)

驗(yàn)證費(fèi)時(shí)/kernel費(fèi)時(shí)/總費(fèi)時(shí)：0 s/0 s/0 s.

常駐內(nèi)存/虛擬內(nèi)存的使用峰值：8 984 KB/29 368 KB.

滿足該性質(zhì).

5 結(jié)論

(1)在分析出的所有72種疲勞致因中，時(shí)間壓迫和噪音干擾的交互回路發(fā)生變異的可能性最大，即機(jī)務(wù)人員極易在時(shí)間壓力和噪聲干擾下產(chǎn)生疲勞。從宣傳與獎(jiǎng)懲、培訓(xùn)、警示標(biāo)志和質(zhì)量檢驗(yàn)四方面制定出11條機(jī)務(wù)人員疲勞管理規(guī)范。

(2)利用形式化工具UPPAAL演繹出人-機(jī)-環(huán)因素對(duì)機(jī)務(wù)人員疲勞的誘導(dǎo)機(jī)制以及機(jī)務(wù)人員疲勞對(duì)定檢模塊的影響機(jī)制，演繹結(jié)果準(zhǔn)確。