Safety analysis of wheel brake system based on STAMP/STPA and Monte Carlo simulation

The wheel brake system safety is a complex problem which refers to its technical state, operating environment, human factors, etc., in aircraft landing taxiing process. Usually, professors consider system safety with traditional probability techniques based on the linear chain of events. However, it could not comprehensively analyze system safety problems, especially in operating environment, interaction of subsystems, and human factors. Thus,we consider system safety as a control problem based on the system-theoretic accident model, the processes(STAMP) model and the system theoretic process analysis(STPA) technique to compensate the deficiency of traditional techniques. Meanwhile,system safety simulation is considered as system control simulation, and Monte Carlo methods are used which consider the range of uncertain parameters and operation deviation to quantitatively study system safety influence factors in control simulation. Firstly,we construct the STAMP model and STPA feedback control loop of the wheel brake system based on the system functional requirement. Then four unsafe control actions are identified, and causes of them are analyzed. Finally, we construct the Monte Carlo simulation model to analyze different scenarios under disturbance. The results provide a basis for choosing corresponding process model variables in constructing the context table and show that appropriate brake strategies could prevent hazards in aircraft landing taxiing.

STPA和CREAM方法在飞行冲突调配人因差错研究中的应用

为了研究管制员飞行冲突调配的人因差错问题,进而有效评估管制员解决飞行冲突的可靠性,以保障空中交通的安全运行,提出系统理论过程分析(System Theoretic Process Analysis, STPA)与认知可靠性与失误分析方法(Cognitive Reliability and Error Analysis Method, CREAM)相结合的人因可靠性分析方法。首先,通过STPA方法构建系统控制模型,识别不安全控制行为(Unsafe Control Action, UCA)以及致因因素,找到管制员在调配飞行冲突过程中可能存在的差错行为;其次,基于CREAM扩展法对管制员的差错行为进行定量分析,得到管制员调配飞行冲突的人因失误概率。研究显示:使用该方法能够系统、全面地识别出管制员在调配飞行冲突过程中出现的差错行为,进而计算管制员飞行冲突调配的人因失误概率。实例分析表明该方法可以预测管制员在飞行冲突调配过程中的人因失误概率及可靠性,为管制员人因可靠性分析提供了新思路。

航空四站气体保障过程的STAMP建模与STPA安全性分析

航空四站气体保障装备的可靠性在不断提高,而气体保障过程中的事故仍有发生,需要一种新的方法系统地去识别新的危险因素,从而提高系统的安全性。从控制的角度结合STAMP和STPA对航空四站气体保障过程进行安全性分析。首先,介绍STAMP/STPA的工作机理;然后,对航空四站气体保障过程构建STAMP模型,采用STPA安全分析方法对航空四站气体保障过程的安全性进行分析,识别不安全控制行为,对生成的不安全控制行为进行场景分析;最后,与事故树分析法(ATA)进行分析结果的比较,从而证实了该方法的优越性。结果表明:采用STAMP模型和STPA安全分析法可以更加全面地识别出不安全控制行为及其原因,更有利于保证航空四站气体保障过程的安全。

基于STPA方法的无人机空战态势分析与战术优化

为高效优化空战战术,提升无人机(unmanned aerial vehicle,UAV)空战对抗胜率,提出空战态势分析与战术优化方法.基于STPA方法对UAV空战对抗过程进行系统建模,识别可能导致UAV任务失败的系统级危害.根据空战机动控制过程识别导致系统级危害的不安全行为和系统致因,并制定战术和技术优化措施.为能够快速验证优化措施的有效性,设计了UAV对抗空战验证平台,可通过最终的胜负比指标判断优化措施的成效.为验证空战态势分析与战术优化的有效性,选取最佳机动距离和相对角度为战术优化对象,通过胜负比包络曲线的绘制,可最终选取最佳的机动距离和相对角度组合,实现胜负比的最大化.

高铁应急调度STAMP/STPA安全性分析

为克服传统安全分析模型不能评估高铁调度系统中组件之间复杂交互的缺陷,基于系统理论的事故过程模型(STAMP),将高铁应急指挥系统中人员与设备之间交互安全性问题视作系统控制和反馈问题,构建高铁应急调度控制反馈模型,识别系统安全风险与约束;采用系统理论过程分析法(STPA),分析不安全控制行为及诱发不安全控制行为的控制缺陷;基于台高铁脱轨事故实例分析,验证STAMP/STPA应用于高铁应急调度安全分析的有效性。结果表明:构建的高铁应急调度控制反馈模型可分析得到高铁应急调度指挥的风险因素为感知或执行误差、决策失误、接收或执行时延;同时通过该模型可演绎安全约束失效路径。

基于STPA-FCM模型的自主航行船舶功能系统分析

为探析自主航行船舶(MASS)功能系统之间的失效机制,提升航行安全,将系统理论过程分析(STPA)方法与模糊认知图(FCM)方法相结合,构建MASS功能系统失效特征分析模型。通过STPA方法对功能系统的控制/反馈关系建模,确定27个控制关系与43个反馈关系,分析潜在的不安全控制行为(UCA)及其产生的关键致因,在此基础上,运用FCM方法构建各功能系统之间的交互关系,并反演出最终稳态下的相对失效概率。结果表明:最为核心的功能模块为电力系统、虚拟船长系统、动力定位系统、避碰系统,其稳定值占比分别为7.66%,7.62%,7.47%,7.14%,应优先确保其可靠性、稳定性和安全性。

基于STAMP—STPA的LNG储备库典型事故正演模型构建

在相关事故概率统计数据缺少的情况下,为提高LNG储备库的整体安全性,解决传统安全性分析方法无法考虑复杂系统内部关联性、事故分析思路较为分散、忽视组件交互及宏观控制的问题,保证液化天然气储备库分层翻滚事故和火灾事故正演结果的准确性,建立基于系统论事故分析模型(Systems-Theoretic Accident Modeling and Process,STAMP)及系统理论过程分析(System-Theoretic Process Analysis,STPA)的LNG储备库典型事故正演模型,使得后续系统隐患分析、事故原因分析的更加全面完善。首先,根据LNG储罐分层翻滚事故和火灾事故过程中涉及的设备设施、工艺流程及相互间的关联关系,对事故进行初步危险分析、辨识导致事故发生的各个因素、找出危险的关键节点,并在此基础上分析事故所在系统的安全需求及对应的安全性约束,包括可能导致事故发生的控制与反馈操作,建立STAMP模型,模型需包含相关设施、组件之间的控制、反馈关系,和控制反馈回路;然后,采用STPA方法识别LNG保障过程中的四种不安全的控制行为(未提供的控制行为、提供错误或不安全供控制行为、未及时提供控制行为、控制行为结束过早),并从控制行为执行不充分、反馈信息错误或不足两方面分析事故整体过程中涉及到的初始值(如储罐LTD参数)、当前状态(如进液操作)以及状态转换(如储罐与冷却完成准备进液),找出导致不安全控制行为的关键原因,建立完整的LNG储备库典型事故正演模型;最后,结合具体事故案例验证分析LNG储备库典型事故正演模型的有效性与可实施性,并将分析结果可视化,以知识图谱的方式直观展现。研究表明:该模型可从控制和约束角度对复杂系统LNG储备库典型事故进行过程分析,使得事故演化过程更加直观、准确,原因梳理更加清晰;从系统的角度考虑了各风险因素在分层翻滚事故和火灾事故正演中的因果关系,为后续LNG储备库的安全管理工作提供了可行、有针对性的价值信息。

STPA在重装空投任务安全性分析中的研究及应用

针对重装空投任务复杂、风险性大、不确定性强等问题,将重装空投任务中的安全问题视为控制问题,并首次将STPA方法应用于重装空投任务的安全性分析。通过系统分析识别重装空投任务中的不安全控制行为,建立重装空投任务的控制反馈结构,对不安全控制行为(UCA)进行致因分析;构建重装空投任务安全性计算框架,并选取典型不安全控制行为作为计算分析对象,开展重装空投的定量安全性分析。结果表明,STPA方法能够有效开展重装空投的安全性分析,定量计算结果能为机组人员科学决策提供一定的指导帮助。

基于STAMP/STPA的LNG船对船过驳系统安全性分析

针对LNG船对船过驳作业具有高危险性和高复杂性的特点,探究在作业过程中其复杂系统部件发生异常交互的安全性问题,基于系统理论和控制理论构建LNG船对船过驳系统的STAMP控制关联模型,将船对船过驳系统拆分为多个层次结构,形成约束控制和反馈,并采用系统理论过程分析STPA方法,识别过驳作业中的系统级事故、系统级危险,以及潜在的不安全控制行为,构建考虑了人工控制器的过驳系统致因场景分析模型,从系统控制缺陷、反馈缺陷和协调缺陷3个方面提出了系统中的22个致因因素。结果表明,LNG过驳系统中潜在致因因素众多,传感器系统失效、控制阀失效和操作员人为因素等是引发多个系统级危险的重要原因,并从致因因素出发提出安全控制措施。该方法应用于具有人、软件、设备等大量交互的船舶过驳动态作业中,不仅克服了仅关注关键部件故障和不能包含系统动态行为的局限性,同时还考虑到系统中未发生故障组件之间的不安全交互相关问题。

导弹攻击过程的STAMP/STPA任务失效及仿真研究

在采用传统的安全分析方法进行安全性分析时,常常关注系统的组件可靠性,很难避免由于组件交互、软件设计缺陷等引起事故的发生。STAMP把安全问题看作是控制问题,认为事故是由于控制不足导致的。文中以导弹攻击过程为例,建立导弹攻击过程的STAMP模型,采用STPA方法识别了导致导弹攻击任务失效的不安全控制行为,同时进行关键原因分析,最后对其中部分不安全控制行为进行仿真分析,为减少导弹攻击任务失效和导弹设计提供了参考。

基于STPA的核电厂仪控系统安全分析研究

为解决核电厂复杂仪控系统的安全性分析问题,通过引入基于系统理论的过程分析(STPA)方法,完成仪控系统的安全性分析。利用系统损失分析、系统风险分析、不安全的控制行为分析、致因场景分析四个分析过程,完成对现有核电厂仪控系统中控制保护耦合方案的安全性分析,以及保护系统设计过程的安全性分析。分析结果表明,STPA方法可有效从系统角度分析设计方案及设计流程中的不足,找出相关方案导致系统风险的致因场景和导致设计问题的根本原因。相关分析过程可进一步指导STPA方法在复杂仪控系统安全性分析中的应用。分析结果可用于指导复杂仪控系统的安全性设计。

STPA与24Model的对比分析

为完善和发展事故致因理论,从基础理论、相关定义、分析过程和分析难度4个方面,对比分析系统理论过程分析(STPA)与“2-4”模型(24Model),并分别进行实例应用。研究结果表明:两者都有很强的理论基础;24Model和STPA总体依照线性模式展开,部分元素可得到对应。STPA的研究对象为系统中的损失,更擅长系统交互研究,研究复杂程度较高,研究误差较大,更适用于单起事故分析;而24Model的研究对象为组织中的事件,事故原因划分更加明确与通用,分析过程简单,研究误差较小,在单起事故和多起事故分析中均可使用,两者都具有较好的拓展性。在应用方面,STPA能够明确指出系统内危险源与损害的联系,但应用过程复杂,致因因素分析主观性强,缺乏对管理体系和安全文化的研究;24Model原因分析结果全面,应用步骤明确,但缺乏对组织间的交互和设计缺陷分析。

基于STAMP与模型检验的全自动无人驾驶复杂运营场景安全验证方法

与传统列控系统相比,全自动无人驾驶运营场景更加复杂多变,潜在的危险及致因具有更强的隐蔽性和复杂性,给运营安全带来了新的挑战。针对以上问题,提出一种STAMP(Systems-Theoretic Accident Model and Process)与模型检验相结合的复杂运营场景安全验证方法。首先,基于STAMP理论构建运营场景分层控制结构模型,辨识潜在的不安全控制行为、分析危险致因和安全约束;其次,定义分层控制结构模型与安全状态机模型间的基本转换规则,基于分层控制结构模型、安全约束和转换规则,构建运营场景安全状态机模型;最后,针对提取的安全约束,利用数据流图建立安全属性验证模型,结合模型检验技术,对运营场景安全状态机模型进行形式化验证。以全自动无人驾驶运营场景中列车自动进站停车为例,对方法进行验证分析。结果表明,当STAMP理论提取的安全约束通过了场景安全状态机模型的验证时,表示在该场景中对应的不安全控制行为没有发生且不导致相应危险。该方法结合系统安全分析与形式化建模验证的优势,降低了运营场景建模的难度,构建的运营场景形式化模型满足系统安全约束,可以作为全自动无人驾驶系统安全设计和安全改进的重要基础。

基于STPA的海上自主水面船舶(MASS)航行风险识别研究

为了有效识别MASS航行时的潜在风险,基于STPA方法,开展MASS航行风险分析研究,构建MASS航行控制结构的交互过程,识别出不安全控制行为,通过引入专家调查法研究得到较为全面的不安全控制行为致因场景清单,为业界开展MASS风险分析研究提供新的思路和参考。

STPA危险分析方法及其在ATSA-ITP设计中的应用

传统危险分析方法无法胜任对复杂的非线性社会技术系统的分析。系统理论过程分析(STPA)方法是建立在系统理论事故建模和过程(STAMP)基础上的一种新型的危险分析方法,它将安全视为系统的一种涌现特性,认为除了组件失效,组件间的非功能交互也是导致危险的主要原因,并通过定义系统危险、绘制安全控制结构、识别不安全控制行为、确定不安全控制行为起因等4个步骤完成危险分析过程。美国的空中交通态势感知尾随程序(ATSA-ITP)设计案例分析表明,STPA方法的组织形式有序,逻辑结构严谨,分析过程透彻。

STPA与ARP4761中的安全性分析方法对比研究

STPA是一种自顶向下的系统工程方法,可用于对复杂系统进行安全性分析,但目前对该方法的应用流程尚不具体,未表明其与传统安全性分析方法的异同,无法很好地体现出该方法的先进性和适用性。通过对比分析STPA方法与ARP4761中提供的安全性分析过程,说明STPA方法对于军用标准GJB900A-2012的符合性,指出其不足之处,并在功能控制结构、不安全控制行为识别、致因分析三个方面提出改进措施,提供符合现代飞机高技术特性的、值得借鉴的理论方法和流程指南,形成复杂航空产品乃至军用飞机系统级安全性设计流程,加深理论与实践的融合,可为STPA方法的进一步发展完善提供借鉴和参考。

基于STPA的鱼雷发射安全性分析

针对复杂鱼雷发射系统传统安全性分析方法的局限性问题,提出了一种新的鱼雷发射安全性分析方法。采用系统理论过程分析方法对鱼雷发射安全性问题进行研究。通过系统级分析建模,识别鱼雷发射过程的不安全控制行为,分析其产生的关键原因;构建鱼雷发射安全性计算分析框架,选取具体不安全控制行为作为计算分析对象,开展了基于STPA的鱼雷发射定量安全性分析。结果表明,采用STPA方法可为鱼雷发射安全性设计提供指导。

基于STPA与多智能体的列控运营场景危险分析及仿真验证方法

针对列控系统运营场景危险行为与危险致因辨识的复杂性特征及其缺乏有效的仿真验证手段等问题,考虑致因因素间呈现的非线性特点,提出1种将系统理论过程分析(STPA)方法与多智能体仿真技术相结合的列控运营场景危险分析及仿真验证方法。以单电台无线闭塞中心(RBC)切换场景为例,构建分层控制多智能体结构模型,利用STPA方法辨识RBC切换场景下潜在的不安全控制行为,分析导致不安全控制的危险致因,并针对危险致因制定系统安全约束;结合多智能体仿真技术,设计与构建RBC切换场景多智能体仿真平台,通过危险致因和安全约束的分别注入,对危险场景进行仿真分析,验证危险分析的正确性以及安全约束的可行性。依托京广高铁武汉—广州段下行线某区段数据,以RBC切换场景中的不安全控制行为RBC1-ATP-USCA-7为例进行仿真验证。结果表明:未加安全约束条件时,存在行车事故风险;而在注入安全约束后,行车安全得到相应的保障。

基于STPA的机载平视显示系统安全性分析

平视显示(Head-up Display,HUD)系统属于航电安全关键系统,可以提高低能见度下的飞机运行安全,需要在系统研制过程中开展完善的风险识别与分析。随着系统复杂性的增加,传统方法很难捕获系统组件交互带来的危险。为此,采用系统理论过程分析(Systematic Theory Process Analysis,STPA)对HUD进行分析,充分考虑系统的多方交互,识别系统潜在的不安全控制行为,同时利用时间自动机理论及其工具UPPAAL对系统进行建模,验证STPA识别的不安全控制行为;最后设计了一个路径算法,对导致其发生的危险路径进行检索。结果表明,该方法能够识别出系统潜在的危险及其原因,减少了人为因素对分析的影响。

基于STPA和模糊BN的装配式建筑吊装施工安全风险分析

为有效评估装配式建筑吊装施工中的安全风险状态,识别关键风险因素,运用系统理论过程分析方法(STPA)构建吊装施工过程中的控制反馈结构,识别导致危险的不安全控制行为,确定不安全控制行为的致因因素;基于风险因素间的关联关系构建贝叶斯网络(BN)模型,推理计算装配式建筑吊装施工安全风险状态概率,并结合反向诊断推理分析影响安全事故的风险因素;通过敏感性分析,识别装配式建筑吊装施工安全中的关键风险因素。结果表明:装配式建筑吊装施工安全风险处于低风险状态;起重机械超负荷运行、现场安全管理不到位和吊索吊具存在缺陷等因素是影响装配式建筑吊装施工安全风险的关键风险因素。