基于STAMP的试飞安全指标体系构建方法*
2019-03-14陈浩然崔利杰张贾奎
陈浩然,崔利杰,任 博,张贾奎
(1.空军工程大学研究生院,西安 710051;2.空军工程大学装备管理与无人机工程学院,西安 710051)
0 引言
试飞是航空器研制的一个必经阶段,主要包括科研试飞、生产交付试飞、适航审定试飞以及与之相关的飞行试验和地面功能试验[1]。由于试飞特别是首飞或科研试飞的目的是验证飞行边界,因此,具有高风险性,被人们称为“刀尖上的舞蹈”。一个科学、系统、完备的试飞安全指标体系,能够有效提升试飞工作的事前安全预测、事中安全决策的效率和准确性,也能为试飞事故事后调查提供依据和指导。
目前国内外鲜有针对试飞安全的专门指标体系,但很多学者对航空安全开展了大量研究和探索,提出了一系列不同的航空安全指标体系,这能够为构建试飞安全指标体系提供有益参考。如端木京顺等[2]经多年研究,提出了基于Reason理论的航空事故飞行因素指标体系;刘军等[3]基于模糊综合评价模型,提出了针对影响飞行安全人为因素的指标体系;张晓燕等[4]基于物元分析理论,确定了空管危险源指标体系及权重;王永刚等[5]基于风险管理理论,从事故、事故症候及危险源和行为差错3方面构建了机场五级安全目标指标体系;另外,部分学者[6-8]基于传统人、机、环、管系统理论和航空事故危险源分析,构建了航空系统人员、飞机、空管与环境、组织管理等4个方面的安全指标体系,为航空事故预警和风险评估提供依据。
这些研究成果,虽然能够在不同方面有效监控航空风险因素,但仍然具有一些局限性。体现在一方面是传统试飞安全预测评估方法应用领域的局限性,另一方面这些指标多是基于Reason模型[9]、多米诺模型[10]等传统安全分析理论,分离导致事故发生的人、机、环、管等因素,对系统交互行为影响考虑十分有限,加之近年来随着技术的进步,新型航空器部件可靠性水平大幅度提升,以软件为代表的复杂逻辑系统应用广泛,由系统交联、人机交互、空地协同方面引发的试飞事故或事故征候剧增,因此,基于系统理论构建新的适用于试飞安全的指标体系势在必行。
本世纪初,Leveson基于系统思维提出了STAMP(Systems-Theoretic Accident Modeling and Processes)理论[11-12]。STAMP理论将事故视为控制失效问题,应同时考虑系统失效和部件交互、外界扰动等问题,通过对系统组件、组件交互、环境条件等施加安全约束控制系统安全;基于STAMP模型,能够充分识别组件失效、组织漏洞、需求遗漏、设计缺陷、人为差错和组件交互等控制要素,涵盖所有事故致因因素[13]。目前,该理论已经成功应用于航空航天[14]、交通运输[15]、核设施[16]、军用航空[17]等诸多领域,并取得了较好的工程效果。基于此,本文将结合STAMP理论,构建试飞安全控制模型,探索试飞安全指标体系的构建方法。
1 STAMP基本理论
2004年,Leveson在系统控制论的基础上提出了STAMP模型。该模型将安全性视为系统的涌现性,认为安全性是系统中各组件及其交互行为相关的一系列约束限制,而事故正是由于系统各层次的行为缺乏约束所导致的[13]。由此,STAMP将安全性看作是控制问题而不是组件失效问题,在组件失效、环境干扰和组件交互无法及时、准确、有效得到控制时事故往往发生。
STPA(System Theoretic Process Analysis)方法是基于STAMP事故模型的危险分析方法,通过构建如图1所示的系统自适应反馈控制结构图,来对系统的安全性进行全面、系统的分析。
图1 典型STAMP反馈控制回路
图中系统主要包括控制器、执行器、被控对象和传感器4个部分,系统可以被看作相互关联的一系列组件,通过反馈控制回路保持在一个动态的平衡状态,而安全是系统的涌现特性,当系统及其组件的行为满足适当的约束时,即可保持这一特性。因此,在系统设计时,必须对系统行为实施适当约束以安全运行。同样,在修改和完善系统设计时,也必须持续实施安全约束。而事故可以被描述为带有缺陷过程的结果,可能会涉及到导致违反系统安全约束的人、软件、硬件、环境间的相互作用及导致违反系统安全约束的物理系统组件失效等。
图中控制逻辑可以看出:通过过程模型可以识别被违反的安全约束并确定为何控制行为不能恰当实施安全约束,确定导致不安全事件发生的原因以及实施不安全控制的需求,并将其转化为安全约束和设计需求,为设计出更安全的系统提供保证。
2 试飞STAMP模型与安全性分析
依据STAMP原理及安全分析过程,结合试飞作业流程和信息交互状况,构建完整试飞系统STAMP模型,进而开展STPA安全性分析。
2.1 试飞系统模型构建
按照试飞工作中涉及的各类人员要素和工作流程,可将其分为试飞执行系统和试飞保障系统,两系统均围绕试飞飞机开展工作。试飞执行系统主要包括:以试飞指挥员为主的飞行指挥系统,以飞行员为主的试飞机组,以及伴飞飞机、监控雷达、导航通信等各类传感监测设备构成的飞行状态信息监测系统。试飞保障系统主要包括:以保障指挥员为主的保障指挥系统,以保障机组为主的保障人员及相关装(设)备,以安全监察和质量控制为主的数据收集与信息反馈系统。根据上述逻辑关系和系统控制理论,构建飞机试飞控制模型如图2所示。
图2 试飞安全系统STAMP模型
不难发现,试飞系统可由两个控制回路组成,即试飞执行系统和试飞保障系统。在试飞执行系统中,以试飞指挥员为主的飞行指挥系统构成控制器,飞行机组作为执行器,试飞飞行器为被控对象,而伴飞飞机、监测雷达和机上的通信设备执行监测反馈功能,作为反馈器传输飞机状况信息。
按照层次划分,飞行机组与飞行器也构成了一个小的反馈控制回路,主要表现在机组对飞行器的直接操纵和飞行员通过感官以及机载仪表设备等得到的反馈信息。同时,试飞执行系统中也存在外部扰动因素,如天气情况、空管状况、鸟类灾害等。对于试飞保障系统,以保障指挥员为主的保障指挥系统构成控制器,保障机组构成执行器,试飞飞行器为执行对象,而安全监察、质量控制、工程控制等信息收集系统构成反馈系统。
本实验在确定进样口温度、检测器温度、载气流速及其他相关条件一致的情况下,实验中采用HP-5(30 m×0.25 mm×0.25μm)柱子无法使其中的某些化合物分开。经过多次试验,试验中采用DB-1701(30 m×0.25 mm×0.25μm)的色谱柱可以使所有化合物达到很好的分离,并且在保证分离效果的前提下,改变升温程序还可以缩短分析样品所需时间。所得色谱最佳分离条件如前所述,色谱分离效果见图2。
同样,保障机组与飞行器之间构成一个完整回路,而保障工具、设施设备、航材备件等保障要素可构成保障的外部因素。对于两个控制回路中的控制器,都有相应的控制模型,为改善人员的心智模型,飞行机组和保障机组也要经过相应的培训,这些培训等措施也可以单独构成反馈控制回路。
2.2 试飞系统安全性分析
根据STPA分析方法,造成系统事故发生或危险出现的原因分为4类,即组件失效、系统外部干扰、系统组件之间的交互作用和单个系统组件的危险行为[18],事故致因的具体类型如图3所示。
图3 导致危险的控制缺陷种类
根据图3所示系统安全约束传递过程,可将上述4类原因进行进一步细化分解,其中组件失效可以分为控制器、执行器、被控对象和传感器失效,而系统外部干扰主要包括系统外部扰动和多控制器交叉控制产生的冲突控制行为,组件间交互可以从4类组件之间的相互关系进行分析,最后要注意导致危险状态的单个系统组件的行为。下面结合图2逐一进行分析。
2.2.1 组件失效
1)控制器失效
控制器操作主要包括3部分:控制输入及其他相关外部信息源、控制算法和过程模型。系统安全控制行为的失当、失效及缺失,都是由这3个部分中控制缺陷所致。
对于图1所示的试飞安全控制模型而言,典型的控制器有两个,即飞行指挥系统和保障指挥系统。当前,两类控制器都还是以人(飞行指挥员或保障指挥员)为主,辅之以一定的计算机辅助决策系统构成。因此,需重点考虑的外部输入有任务类型、天气状况、空管因素、机场航线等;控制算法主要体现在各指挥员的经验水平、决策能力、安全意识等,也要考虑所用辅助决策系统的先进程度;与在控制模型相关的因素有各类计划方案和应用预案等,指挥员的心智模型不能包含在内,主要通过其经验水平、培训经历、考核成绩等要素来体现。
2)执行器失效
如果控制器能发出及时准确的控制指令而未被执行,其中一个很可能的原因为执行器失效。由于本模型中的执行器为飞行机组和保障机组,两者均由单人或多人构成,因此,可进一步细化为由其心智模型决定的人工控制器发生问题。心智模型又可经培训、疗养、考核、实践等培塑,同时,应该特别注意由人组成的执行器,特别容易受外部干扰引起情绪波动而导致失误。
3)被控对象失效
被控对象在本模型中为试飞飞行器,整个模型都围绕飞行器的受控状态进行调整,因此,这里被控对象不发生超过控制范围的事件或现象,均可被系统控制或防范。
4)反馈系统失效
由于STAMP理论构建的模型是一个正反馈控制模型,反馈系统一旦失效将难以向控制器提供准备完整的输入,控制器无法根据执行情况调整指令,进而导致整个控制过程失效。因此,本模型中试飞执行系统重点关注监测雷达、伴飞飞机及机载导航设备、通信设备的工作情况,而试飞保障系统应重点关注安全监察、质量控制和工程控制系统的工作情况。
2.2.2 外部干扰
扰动往往导致安全约束在传递过程中丢失、延误或错误,进而引发系统事故或危险发生。本模型外部干扰因素主要有两类,一是试飞执行系统中对试飞机组的和飞行器飞行阶段的扰动(如鸟类灾害、积雨云层、雷暴天气等),二是试飞保障系统在外场保障环节存在保障工具是否充分、保障装(设)备是否完整、航材备件是否满足要求、保障任务的频度和强度,以及天气的恶劣程度对保障工作的影响等,这两类因素共同构成了外部干扰因素安全性分析的重要对象。
2.2.3 组件间交互
STAMP模型与其他致因模型的一个重要区别在于不是把事故归咎于组件失效,而是要寻找引起失效或事故的原因(包括系统性因素),也就是确定专门用于防止此类失效发生的控制为何缺失或不足。
本模型中组件交互因素可以从图2发现,如试飞执行系统中的指令传递、操作信息完整性、反馈信息准确性等,试飞保障系统中保障工卡指令和操作指令下达与实施准确及时程度、工卡单指令单故障单及时准确上报情况等。其次,控制器之间的边界区域交叉冲突、重叠或遗漏也容易造成安全事故,如试飞过程或保障过程中指令的唯一性问题。
2.2.4 单个组件危险行为
模型中还存在一类致因因素,即在各组件均保持不失效的情况下,组件的某一行为导致危险状态,如试飞人员违规操作、飞行器意外不工作、保障人员遗漏工具等。由于此类因素与组件行为密切相关,也可视作组件失效行为。
3 安全性指标体系构建
根据图1所构建的试飞安全控制模型和上述STPA安全性分析情况,可构建试飞安全性指标体系如下页图4所示。
该指标按照系统控制理论从组件失效、外部干扰、组件交互3个维度构建科学、合理、完整的试飞安全指标体系。以各个组件的航前准备为例,该指标共涉及试飞指挥、试飞机组、试飞监测、保障指挥、保障机组、保障监测等6类组件,试飞指挥航前准备主要包括熟悉飞行资料、下发飞行计划、飞行空域天气及航路情况、任务风险评价等;试飞机组航前准备主要包括熟悉飞行计划及高难度科目、试飞空域、飞机特性、应急处理等;试飞监测航前准备主要包括测试保障设备、熟悉伴飞计划、应急风险处理等;保障指挥航前准备主要为配置保障资源、下发保障计划及维护标准等;保障机组航前准备主要为日前机务准备、熟悉保障任务内容、保障强度及保障环境等;保障监测航前准备主要包括熟悉保障计划、把握保障重点技术标准、检查通报落实情况等。其他重复指标也根据所在分类而有所差异,这里不再一一赘述。
4 结论
从方法层面来讲,传统安全性分析方法如Reason模型,虽然也采用系统思想,但在具体操作过程中分离了导致事故发生的人、机、环、管等因素,无法充分考虑到复杂的人类行为、组件交互等不安全因素,一定程度上存在安全缺陷;本文基于STAMP模型军机试飞控制反馈模型,使用STPA方法系统分析得到各个系统组件的安全指标,且考虑到外部干扰、组件交互的情况,有利于试飞事故风险快速定位,更具针对性、便捷性、全面性。
从指标层面来讲,传统安全性分析方法在机务保障、空管指挥、机组操纵、组管理等因素存在离散化、不精确的问题,不利于事故快速归因;本文依据试飞安全系统的STAMP模型,分析得到各个系统组件失效、外部干扰、组件交互3个方面因素的安全性指标,涵盖导致事故发生的所有场景,指标全面具体、有针对性。如针对航前准备,该指标体系细分到各个组件,比传统安全指标更加有针对性;再如该指标体系增加了外部干扰和组件交互因素,相对传统指标体系更加全面具体。
图4 基于STAMP的试飞系统安全指标
综上所述,采用STAMP理论构建试飞系统指标体系构建,逻辑过程清晰、指标定位准确且涵盖范围广泛,为构建安全指标提供一种新思考,能够更加科学全面地反映了航空器试飞安全形势。该指标体系将为下一步结合大数据思想和智能预测理论,为开展飞机试飞的危险预警和事故预防提供重要依据。同时,这项研究得到的试飞安全指标体系,经过相关单位实际验证,为试飞危险预警和预防提供了重要参考。但个别指标仍然不够精确,指标难以量化,有待进一步研究。