结合STPA和DEMATEL-ISM的民机起落架收放系统风险研究

为从系统整体角度完成对起落架收放系统的风险辨识和影响分析,将系统理论过程分析(Systematic Theory Process Analysis,STPA)与决策实验室分析-解释结构模型(Decision Making Trial and Evaluation Laboratory Interpretive Structural Modeling,DEMATEL-ISM)相结合来开展分析。首先,定义事故和系统级危险,以民机进近阶段放下起落架为例,运用STPA完成对风险因素的系统化辨识;其次,基于最大平均熵减(Maximum Mean De-entropy,MMDE)算法帮助DEMATEL-ISM模型确定阈值,完成对风险因素影响的重要性分析并识别可能引发系统级危险的风险传递路径,据此挖掘关键致因场景,以给出风险预防建议。结果显示:线路性能退化或失效、位置作动控制组件(Position Action Control Unit,PACU)核心处理器故障为关键原因因素,收放作动筒作动异常、机组成员操作不当、起落架指示灯显示异常、起落架液压选择阀作动异常、PACU信息接收有误为关键结果因素,这些因素均涉及多条可能引发系统级危险的风险传递路径,应予以重点控制。

Safety analysis of wheel brake system based on STAMP/STPA and Monte Carlo simulation

The wheel brake system safety is a complex problem which refers to its technical state, operating environment, human factors, etc., in aircraft landing taxiing process. Usually, professors consider system safety with traditional probability techniques based on the linear chain of events. However, it could not comprehensively analyze system safety problems, especially in operating environment, interaction of subsystems, and human factors. Thus,we consider system safety as a control problem based on the system-theoretic accident model, the processes(STAMP) model and the system theoretic process analysis(STPA) technique to compensate the deficiency of traditional techniques. Meanwhile,system safety simulation is considered as system control simulation, and Monte Carlo methods are used which consider the range of uncertain parameters and operation deviation to quantitatively study system safety influence factors in control simulation. Firstly,we construct the STAMP model and STPA feedback control loop of the wheel brake system based on the system functional requirement. Then four unsafe control actions are identified, and causes of them are analyzed. Finally, we construct the Monte Carlo simulation model to analyze different scenarios under disturbance. The results provide a basis for choosing corresponding process model variables in constructing the context table and show that appropriate brake strategies could prevent hazards in aircraft landing taxiing.

基于改进STPA-DEMATEL的智能航电系统致因要素分析

针对智能航电系统在非线性耦合运行场景下产生的预期功能安全(safety of the intended functionality,SOTIF)问题,提出一种将系统理论过程分析(systematic theory process analysis,STPA)与决策试验与评价实验法(decision-making trial and evaluation laboratory,DEMATEL)相结合的致因分析框架。首先,在定义系统级危险的基础上构建安全控制结构,识别其不安全控制行为并提取与智能化缺陷相关的STPA致因要素。接下来,引入毕达哥拉斯模糊加权平均算子和闵可夫斯基距离对传统DEMATEL方法进行优化,专家根据控制反馈回路对致因要素进行评价并计算其中心度与原因度。最后,分析STPA致因要素与SOTIF致因属性之间的映射关系,给出关键致因要素的风险减缓措施。以单一飞行员驾驶(single-pilot operation,SPO)模式下的虚拟驾驶员助理系统为例说明了所提方法的可行性与有效性。研究结果表明,改进的STPA-DEMATEL方法可以有效识别关键致因要素,且能够克服专家评价的模糊性与不确定性,为智能航电系统的安全性设计提供了参考依据。

融合STPA及有限状态机的ADAS触发条件生成机制

现有高级辅助驾驶系统(Advanced Driver Assistance Systems,ADAS)功能不断增多且系统复杂性不断提高,不可避免带来了预期功能安全(Safety of the Intended Functionality,SOTIF)问题。触发条件的识别与生成是预期功能安全活动中重要的一环,然而现有对触发条件识别仅借助系统过程理论分析方法(System Theoretic Process Analysis,STPA)进行分析,未充分考虑系统功能状态转换中存在的问题。本文以知识驱动的方式构建触发条件识别机制,将STPA及有限状态机(Finite State Machine,FSM)理论融合构建拓展型系统控制结构,针对拓展型控制架构及功能状态转换进行安全分析,根据系统存在的功能局限及人为误用,完成触发条件的识别、生成、规范化描述、分类及标签化。最后将本文提出的触发条件生成机制应用于集成式巡航辅助系统(Integrated Cruise Assistance,ICA),得到了该系统的触发条件及其分类,并将本文所提出的生成机制与现有相关触发条件生成方法进行对比分析,证明了本机制的实用性、可行性及有效性。

STPA和CREAM方法在飞行冲突调配人因差错研究中的应用

为了研究管制员飞行冲突调配的人因差错问题,进而有效评估管制员解决飞行冲突的可靠性,以保障空中交通的安全运行,提出系统理论过程分析(System Theoretic Process Analysis, STPA)与认知可靠性与失误分析方法(Cognitive Reliability and Error Analysis Method, CREAM)相结合的人因可靠性分析方法。首先,通过STPA方法构建系统控制模型,识别不安全控制行为(Unsafe Control Action, UCA)以及致因因素,找到管制员在调配飞行冲突过程中可能存在的差错行为;其次,基于CREAM扩展法对管制员的差错行为进行定量分析,得到管制员调配飞行冲突的人因失误概率。研究显示:使用该方法能够系统、全面地识别出管制员在调配飞行冲突过程中出现的差错行为,进而计算管制员飞行冲突调配的人因失误概率。实例分析表明该方法可以预测管制员在飞行冲突调配过程中的人因失误概率及可靠性,为管制员人因可靠性分析提供了新思路。

基于STPA与模糊BN的新能源汽车安全性分析方法研究

随着新能源汽车自动化程度不断提高,各系统之间耦合造成的故障急剧增加,传统的安全分析方法已无法满足当前汽车复杂系统的危险性分析要求。针对新能源汽车突然失控事故存在的高危性、复杂多样的问题,提出一种基于STPA与模糊BN的新能源汽车安全性分析方法。首先,运用系统理论过程分析方法(STPA)分析新能源汽车突然失控事故,得出系统级事故及危险,构建控制反馈回路,并识别不安全控制行为;接着,根据STPA分析结果构建模糊BN,通过GeNIe软件训练数据,可视化模糊BN,得到基本事件的发生概率,并由试验仿真得出蓄电池及储能系统、电机电控和整车控制器的后验概率分别为0.70、0.17和0.16。结果表明,所提方法能有效识别系统潜在危险,发现系统薄弱环节,可为提高系统可靠性提供依据。

基于STPA-FCM模型的自主航行船舶功能系统分析

为探析自主航行船舶(MASS)功能系统之间的失效机制,提升航行安全,将系统理论过程分析(STPA)方法与模糊认知图(FCM)方法相结合,构建MASS功能系统失效特征分析模型。通过STPA方法对功能系统的控制/反馈关系建模,确定27个控制关系与43个反馈关系,分析潜在的不安全控制行为(UCA)及其产生的关键致因,在此基础上,运用FCM方法构建各功能系统之间的交互关系,并反演出最终稳态下的相对失效概率。结果表明:最为核心的功能模块为电力系统、虚拟船长系统、动力定位系统、避碰系统,其稳定值占比分别为7.66%,7.62%,7.47%,7.14%,应优先确保其可靠性、稳定性和安全性。

STPA与24Model的对比分析

为完善和发展事故致因理论,从基础理论、相关定义、分析过程和分析难度4个方面,对比分析系统理论过程分析(STPA)与“2-4”模型(24Model),并分别进行实例应用。研究结果表明:两者都有很强的理论基础;24Model和STPA总体依照线性模式展开,部分元素可得到对应。STPA的研究对象为系统中的损失,更擅长系统交互研究,研究复杂程度较高,研究误差较大,更适用于单起事故分析;而24Model的研究对象为组织中的事件,事故原因划分更加明确与通用,分析过程简单,研究误差较小,在单起事故和多起事故分析中均可使用,两者都具有较好的拓展性。在应用方面,STPA能够明确指出系统内危险源与损害的联系,但应用过程复杂,致因因素分析主观性强,缺乏对管理体系和安全文化的研究;24Model原因分析结果全面,应用步骤明确,但缺乏对组织间的交互和设计缺陷分析。

基于STPA的核电厂仪控系统安全分析研究

为解决核电厂复杂仪控系统的安全性分析问题,通过引入基于系统理论的过程分析(STPA)方法,完成仪控系统的安全性分析。利用系统损失分析、系统风险分析、不安全的控制行为分析、致因场景分析四个分析过程,完成对现有核电厂仪控系统中控制保护耦合方案的安全性分析,以及保护系统设计过程的安全性分析。分析结果表明,STPA方法可有效从系统角度分析设计方案及设计流程中的不足,找出相关方案导致系统风险的致因场景和导致设计问题的根本原因。相关分析过程可进一步指导STPA方法在复杂仪控系统安全性分析中的应用。分析结果可用于指导复杂仪控系统的安全性设计。

基于STPA与时序逻辑的CTCS-3级列控系统安全分析

中国列车控制系统(Chinese train control system,CTCS)作为一种安全苛求系统,使用前需要经过严格的安全分析和测试。对我国铁路客运干线主要采用的CTCS-3级列控系统而言,由于传统的安全分析方法主要关注单一场景,因而对其复合场景的安全性分析存在欠缺。此外,CTCS-3列控系统对控制时序有严格要求,现有安全分析方法难以有效解决该问题。为解决上述问题,采用基于系统理论的过程分析方法,以便更全面、更准确地分析CTCS-3级列控系统的安全性。首先,在分析CTCS-3级列控系统典型运营场景的基础上,提取由列控系统直接控车的运营场景,并建立分层控制结构模型;其次,结合时序逻辑辨识运营场景的不恰当控制行为,并将各场景中互不冲突的不恰当控制行为组合成复合场景;最后,对复合场景进行分析,辨识导致不恰当控制行为的控制缺陷。仿真结果表明:系统理论的过程分析方法可以实现对CTCS-3级列控系统复合场景功能的安全性分析。

系统理论过程分析在自动驾驶安全分析中的应用综述

安全分析是汽车开发过程的重要一环,随着自动驾驶系统复杂性提升,传统安全分析方法面临着挑战。首先,将故障树分析(FTA)、故障模式与影响分析(FMEA)、危险与可操作性分析(HAZOP)这些传统安全分析方法,与系统理论过程分析方法(STPA)进行对比,重点阐述使用STPA进行自动驾驶系统安全分析的优势。其次,详细论述了STPA在自动驾驶功能安全、预期功能安全、信息安全及人机交互系统等重要领域的应用现状。最后,从拓展STPA分析方法、加强分析与验证闭环、扩大应用范围的角度对STPA在自动驾驶领域的应用进行了展望。

强涌潮区管袋围堰施工安全风险仿真研究

强涌潮区的水域环境复杂多变,这极大增加了管袋围堰施工安全管理的难度。为确定强涌潮区管袋围堰施工从清基到维护阶段的安全管控重点,首先利用系统理论过程分析法(STPA)对施工安全风险因素进行定性分析,从人员、物资、管理、技术、环境5个维度构建了强涌潮区管袋围堰施工安全风险指标体系;然后建立系统动力学(SD)演化模型,并运用网络层次分析法(ANP)确定各指标权重;最后结合工程实例进行模拟仿真。结果表明:随着工程推进以及对安全投入的逐步增加,管袋围堰施工安全风险水平呈现出先大幅上升,后逐步下降,最终趋于平缓的趋势;人员、物资是清基和吹填期影响施工安全的主要因素,而在排水和维护期,环境、管理是主要影响因素;人员、管理和环境这三因素对安全投入变化更为敏感。建议在施工过程中重视不同阶段之间的管控重点差异,及时转换管理策略并采取针对性措施以有效降低施工安全风险。

STPA危险分析方法及其在ATSA-ITP设计中的应用

传统危险分析方法无法胜任对复杂的非线性社会技术系统的分析。系统理论过程分析(STPA)方法是建立在系统理论事故建模和过程(STAMP)基础上的一种新型的危险分析方法,它将安全视为系统的一种涌现特性,认为除了组件失效,组件间的非功能交互也是导致危险的主要原因,并通过定义系统危险、绘制安全控制结构、识别不安全控制行为、确定不安全控制行为起因等4个步骤完成危险分析过程。美国的空中交通态势感知尾随程序(ATSA-ITP)设计案例分析表明,STPA方法的组织形式有序,逻辑结构严谨,分析过程透彻。

基于STPA的鱼雷发射安全性分析

针对复杂鱼雷发射系统传统安全性分析方法的局限性问题,提出了一种新的鱼雷发射安全性分析方法。采用系统理论过程分析方法对鱼雷发射安全性问题进行研究。通过系统级分析建模,识别鱼雷发射过程的不安全控制行为,分析其产生的关键原因;构建鱼雷发射安全性计算分析框架,选取具体不安全控制行为作为计算分析对象,开展了基于STPA的鱼雷发射定量安全性分析。结果表明,采用STPA方法可为鱼雷发射安全性设计提供指导。

面向人因的船舶极地航行过程安全性分析

为探究船舶极地航行过程中的人机环系统性影响,从人为因素视角出发,构建极地航行人因分析与分类系统(HFACS-PN),辨识出人-组织因素在浮冰水域船舶航行安全的影响因子;建立适用于极地航行环境的系统理论事故模型与过程(STAMP-PN),并采用系统理论过程分析方法(STPA)分析极地航行过程中不安全控制行为及其反馈信息的突出危险。研究结果表明:冰困事故是由复杂的动态系统过程中不安全的控制反馈行为所导致,船舶资源保障和船员极地航行专业素质安全约束力是事故防控的关键。研究结果揭示人为因素对船舶冰困事故发生及后果严重性的影响机理,对全行业提升船员岗位适任能力和应急响应效能具有重要参考意义。

基于STPA的CTCS-3级列控系统功能安全分析方法

利用形式化方法对系统理论的过程分析(STPA)进行扩展,包括建立系统的UML扩展模型并将其转换为PHAVer模型;给出故障模型的形式化定义及结构,建立系统的故障模型;将系统的PHAVer模型和故障模型整合,构造出包含故障的系统PHAVer模型;采用可达集计算对包含故障的系统PHAVer模型进行分析,从而自动辨识出导致不恰当控制的原因,实现对系统功能的安全分析。以CTCS-3级列控系统的无线闭塞中心交接场景为例,使用扩展后的STPA方法,针对给定的系统危险,进行系统功能安全分析。分析结果表明,利用形式化技术扩展STPA的方法适用于CTCS-3级列控系统的功能安全分析。

基于STPA和模糊BN的装配式建筑吊装施工安全风险分析

为有效评估装配式建筑吊装施工中的安全风险状态,识别关键风险因素,运用系统理论过程分析方法(STPA)构建吊装施工过程中的控制反馈结构,识别导致危险的不安全控制行为,确定不安全控制行为的致因因素;基于风险因素间的关联关系构建贝叶斯网络(BN)模型,推理计算装配式建筑吊装施工安全风险状态概率,并结合反向诊断推理分析影响安全事故的风险因素;通过敏感性分析,识别装配式建筑吊装施工安全中的关键风险因素。结果表明:装配式建筑吊装施工安全风险处于低风险状态;起重机械超负荷运行、现场安全管理不到位和吊索吊具存在缺陷等因素是影响装配式建筑吊装施工安全风险的关键风险因素。

基于STPA的机载平视显示系统安全性分析

平视显示(Head-up Display,HUD)系统属于航电安全关键系统,可以提高低能见度下的飞机运行安全,需要在系统研制过程中开展完善的风险识别与分析。随着系统复杂性的增加,传统方法很难捕获系统组件交互带来的危险。为此,采用系统理论过程分析(Systematic Theory Process Analysis,STPA)对HUD进行分析,充分考虑系统的多方交互,识别系统潜在的不安全控制行为,同时利用时间自动机理论及其工具UPPAAL对系统进行建模,验证STPA识别的不安全控制行为;最后设计了一个路径算法,对导致其发生的危险路径进行检索。结果表明,该方法能够识别出系统潜在的危险及其原因,减少了人为因素对分析的影响。

航空四站气体保障过程的STAMP建模与STPA安全性分析

航空四站气体保障装备的可靠性在不断提高,而气体保障过程中的事故仍有发生,需要一种新的方法系统地去识别新的危险因素,从而提高系统的安全性。从控制的角度结合STAMP和STPA对航空四站气体保障过程进行安全性分析。首先,介绍STAMP/STPA的工作机理;然后,对航空四站气体保障过程构建STAMP模型,采用STPA安全分析方法对航空四站气体保障过程的安全性进行分析,识别不安全控制行为,对生成的不安全控制行为进行场景分析;最后,与事故树分析法(ATA)进行分析结果的比较,从而证实了该方法的优越性。结果表明:采用STAMP模型和STPA安全分析法可以更加全面地识别出不安全控制行为及其原因,更有利于保证航空四站气体保障过程的安全。

基于STPA的城市埋地燃气管道第三方破坏风险因素分析

城市埋地燃气管道输送介质易燃易爆、埋设环境人口密集、施工频繁,极易受到来自第三方的破坏,直接威胁人们的生命财产安全,因此对第三方破坏的风险因素分析和防治十分必要。系统理论过程分析法(STPA)是一种基于系统理论的风险分析方法,该方法不同于传统的风险分析方法——将事故视为由初始事件诱发的一系列事件造成的后果,而是对燃气系统从设计、开发和运行过程进行分析,建立系统安全控制结构,通过分析控制缺陷和缺陷致因实现对风险因素的分析。研究分析出24个燃气管道第三方破坏的风险因素,针对风险因素提出了建议,为燃气管道第三方破坏的风险控制提供依据。