Safety analysis of wheel brake system based on STAMP/STPA and Monte Carlo simulation

The wheel brake system safety is a complex problem which refers to its technical state, operating environment, human factors, etc., in aircraft landing taxiing process. Usually, professors consider system safety with traditional probability techniques based on the linear chain of events. However, it could not comprehensively analyze system safety problems, especially in operating environment, interaction of subsystems, and human factors. Thus,we consider system safety as a control problem based on the system-theoretic accident model, the processes(STAMP) model and the system theoretic process analysis(STPA) technique to compensate the deficiency of traditional techniques. Meanwhile,system safety simulation is considered as system control simulation, and Monte Carlo methods are used which consider the range of uncertain parameters and operation deviation to quantitatively study system safety influence factors in control simulation. Firstly,we construct the STAMP model and STPA feedback control loop of the wheel brake system based on the system functional requirement. Then four unsafe control actions are identified, and causes of them are analyzed. Finally, we construct the Monte Carlo simulation model to analyze different scenarios under disturbance. The results provide a basis for choosing corresponding process model variables in constructing the context table and show that appropriate brake strategies could prevent hazards in aircraft landing taxiing.

结合STPA和DEMATEL-ISM的民机起落架收放系统风险研究

为从系统整体角度完成对起落架收放系统的风险辨识和影响分析,将系统理论过程分析(Systematic Theory Process Analysis,STPA)与决策实验室分析-解释结构模型(Decision Making Trial and Evaluation Laboratory Interpretive Structural Modeling,DEMATEL-ISM)相结合来开展分析。首先,定义事故和系统级危险,以民机进近阶段放下起落架为例,运用STPA完成对风险因素的系统化辨识;其次,基于最大平均熵减(Maximum Mean De-entropy,MMDE)算法帮助DEMATEL-ISM模型确定阈值,完成对风险因素影响的重要性分析并识别可能引发系统级危险的风险传递路径,据此挖掘关键致因场景,以给出风险预防建议。结果显示:线路性能退化或失效、位置作动控制组件(Position Action Control Unit,PACU)核心处理器故障为关键原因因素,收放作动筒作动异常、机组成员操作不当、起落架指示灯显示异常、起落架液压选择阀作动异常、PACU信息接收有误为关键结果因素,这些因素均涉及多条可能引发系统级危险的风险传递路径,应予以重点控制。

基于STPA和FTPN的海上自主水面船舶航行实时风险评估

为实时监测海上自主水面船舶(MASS)航行过程风险,基于系统理论事故模型与过程(STAMP)建立MASS的安全控制结构,采用系统理论过程分析法(STPA)确定损失/事故和系统级危险,识别不安全控制行为并分析损失场景,构建系统状态转化过程模型;采用模糊时间Petri网(FTPN)建模,以设定的MASS航行场景得到相关模糊时间函数并推算FTPN的情态演进;引入新的风险水平表达式并通过系统实时损失/事故二维路径图来可视化系统的实时风险水平和系统不安全状态的转化路径。结果表明:设定的航行场景在当前时刻下,缺少安全水深输入、未更新避碰路径、航向航速不安全、搁浅是风险最高的系统不安全状态,并对应4条风险最高的转化路径;STPA驱动下的FTPN过程模型能全面评估MASS航行的实时风险水平,以系统实时损失/事故二维路径图作为可视化界面,用于监管MASS航行中不安全系统状态并描述其转化路径。

基于STPA-BN的船舶航行人为风险因素分析与评估

人为因素是引发船舶事故的最主要因素之一,为了研究船舶人为风险因素的因果关系,从中国海事局发布的船舶事故报告出发,引入系统理论过程分析-贝叶斯网络(STPA-BN)模型对船舶航行人为风险因素进行分析和评估。采用系统理论过程分析(STPA)方法识别出船舶航行中存在的不安全控制行为,结合事故报告内容提取出12种人为风险因素,利用风险因素的内在因果关系和结构学习功能构建贝叶斯网络拓扑结构;将事故报告量化,并对网络进行参数学习,对模型进行验证。在此基础上,利用贝叶斯网络(BN)的推理功能得到船舶航行中7种突出的人为风险因素和3条事故核心致因链,为保障船舶安全航行与船员培训提供数据支持。

基于改进STPA-DEMATEL的智能航电系统致因要素分析

针对智能航电系统在非线性耦合运行场景下产生的预期功能安全(safety of the intended functionality,SOTIF)问题,提出一种将系统理论过程分析(systematic theory process analysis,STPA)与决策试验与评价实验法(decision-making trial and evaluation laboratory,DEMATEL)相结合的致因分析框架。首先,在定义系统级危险的基础上构建安全控制结构,识别其不安全控制行为并提取与智能化缺陷相关的STPA致因要素。接下来,引入毕达哥拉斯模糊加权平均算子和闵可夫斯基距离对传统DEMATEL方法进行优化,专家根据控制反馈回路对致因要素进行评价并计算其中心度与原因度。最后,分析STPA致因要素与SOTIF致因属性之间的映射关系,给出关键致因要素的风险减缓措施。以单一飞行员驾驶(single-pilot operation,SPO)模式下的虚拟驾驶员助理系统为例说明了所提方法的可行性与有效性。研究结果表明,改进的STPA-DEMATEL方法可以有效识别关键致因要素,且能够克服专家评价的模糊性与不确定性,为智能航电系统的安全性设计提供了参考依据。

融合STPA及有限状态机的ADAS触发条件生成机制

现有高级辅助驾驶系统(Advanced Driver Assistance Systems,ADAS)功能不断增多且系统复杂性不断提高,不可避免带来了预期功能安全(Safety of the Intended Functionality,SOTIF)问题。触发条件的识别与生成是预期功能安全活动中重要的一环,然而现有对触发条件识别仅借助系统过程理论分析方法(System Theoretic Process Analysis,STPA)进行分析,未充分考虑系统功能状态转换中存在的问题。本文以知识驱动的方式构建触发条件识别机制,将STPA及有限状态机(Finite State Machine,FSM)理论融合构建拓展型系统控制结构,针对拓展型控制架构及功能状态转换进行安全分析,根据系统存在的功能局限及人为误用,完成触发条件的识别、生成、规范化描述、分类及标签化。最后将本文提出的触发条件生成机制应用于集成式巡航辅助系统(Integrated Cruise Assistance,ICA),得到了该系统的触发条件及其分类,并将本文所提出的生成机制与现有相关触发条件生成方法进行对比分析,证明了本机制的实用性、可行性及有效性。

STPA和CREAM方法在飞行冲突调配人因差错研究中的应用

为了研究管制员飞行冲突调配的人因差错问题,进而有效评估管制员解决飞行冲突的可靠性,以保障空中交通的安全运行,提出系统理论过程分析(System Theoretic Process Analysis, STPA)与认知可靠性与失误分析方法(Cognitive Reliability and Error Analysis Method, CREAM)相结合的人因可靠性分析方法。首先,通过STPA方法构建系统控制模型,识别不安全控制行为(Unsafe Control Action, UCA)以及致因因素,找到管制员在调配飞行冲突过程中可能存在的差错行为;其次,基于CREAM扩展法对管制员的差错行为进行定量分析,得到管制员调配飞行冲突的人因失误概率。研究显示:使用该方法能够系统、全面地识别出管制员在调配飞行冲突过程中出现的差错行为,进而计算管制员飞行冲突调配的人因失误概率。实例分析表明该方法可以预测管制员在飞行冲突调配过程中的人因失误概率及可靠性,为管制员人因可靠性分析提供了新思路。

STPA危险分析方法及其在ATSA-ITP设计中的应用

传统危险分析方法无法胜任对复杂的非线性社会技术系统的分析。系统理论过程分析(STPA)方法是建立在系统理论事故建模和过程(STAMP)基础上的一种新型的危险分析方法,它将安全视为系统的一种涌现特性,认为除了组件失效,组件间的非功能交互也是导致危险的主要原因,并通过定义系统危险、绘制安全控制结构、识别不安全控制行为、确定不安全控制行为起因等4个步骤完成危险分析过程。美国的空中交通态势感知尾随程序(ATSA-ITP)设计案例分析表明,STPA方法的组织形式有序,逻辑结构严谨,分析过程透彻。

基于STPA的鱼雷发射安全性分析

针对复杂鱼雷发射系统传统安全性分析方法的局限性问题,提出了一种新的鱼雷发射安全性分析方法。采用系统理论过程分析方法对鱼雷发射安全性问题进行研究。通过系统级分析建模,识别鱼雷发射过程的不安全控制行为,分析其产生的关键原因;构建鱼雷发射安全性计算分析框架,选取具体不安全控制行为作为计算分析对象,开展了基于STPA的鱼雷发射定量安全性分析。结果表明,采用STPA方法可为鱼雷发射安全性设计提供指导。

面向IMA通用系统管理的STPA安全性分析

通用系统管理(GSM)是综合模块化航电(IMA)系统服务中不可或缺的一部分,为解决传统安全性分析方法难以捕获复杂系统中组件交互所带来的危险。首先,研究GSM的工作环境及相关组件的功能划分,确定层次化系统管理的工作流程;其次,面向GSM建立基于系统理论事故过程的扩展模型,并通过系统理论过程分析(STPA)对动态重构实例的不安全控制行为(UCA)进行识别,生成相关致因场景及其对应的安全性需求;最后,通过时间自动机对实例进行仿真验证。结果表明:模型的逻辑和时序的完整性及UCA的可达性,可为GSM的安全性分析提供形式化依据。

基于STPA的机载平视显示系统安全性分析

平视显示(Head-up Display,HUD)系统属于航电安全关键系统,可以提高低能见度下的飞机运行安全,需要在系统研制过程中开展完善的风险识别与分析。随着系统复杂性的增加,传统方法很难捕获系统组件交互带来的危险。为此,采用系统理论过程分析(Systematic Theory Process Analysis,STPA)对HUD进行分析,充分考虑系统的多方交互,识别系统潜在的不安全控制行为,同时利用时间自动机理论及其工具UPPAAL对系统进行建模,验证STPA识别的不安全控制行为;最后设计了一个路径算法,对导致其发生的危险路径进行检索。结果表明,该方法能够识别出系统潜在的危险及其原因,减少了人为因素对分析的影响。

航空四站气体保障过程的STAMP建模与STPA安全性分析

航空四站气体保障装备的可靠性在不断提高,而气体保障过程中的事故仍有发生,需要一种新的方法系统地去识别新的危险因素,从而提高系统的安全性。从控制的角度结合STAMP和STPA对航空四站气体保障过程进行安全性分析。首先,介绍STAMP/STPA的工作机理;然后,对航空四站气体保障过程构建STAMP模型,采用STPA安全分析方法对航空四站气体保障过程的安全性进行分析,识别不安全控制行为,对生成的不安全控制行为进行场景分析;最后,与事故树分析法(ATA)进行分析结果的比较,从而证实了该方法的优越性。结果表明:采用STAMP模型和STPA安全分析法可以更加全面地识别出不安全控制行为及其原因,更有利于保证航空四站气体保障过程的安全。

基于STPA和模糊BN的装配式建筑吊装施工安全风险分析

为有效评估装配式建筑吊装施工中的安全风险状态,识别关键风险因素,运用系统理论过程分析方法(STPA)构建吊装施工过程中的控制反馈结构,识别导致危险的不安全控制行为,确定不安全控制行为的致因因素;基于风险因素间的关联关系构建贝叶斯网络(BN)模型,推理计算装配式建筑吊装施工安全风险状态概率,并结合反向诊断推理分析影响安全事故的风险因素;通过敏感性分析,识别装配式建筑吊装施工安全中的关键风险因素。结果表明:装配式建筑吊装施工安全风险处于低风险状态;起重机械超负荷运行、现场安全管理不到位和吊索吊具存在缺陷等因素是影响装配式建筑吊装施工安全风险的关键风险因素。

基于STPA的城市埋地燃气管道第三方破坏风险因素分析

城市埋地燃气管道输送介质易燃易爆、埋设环境人口密集、施工频繁,极易受到来自第三方的破坏,直接威胁人们的生命财产安全,因此对第三方破坏的风险因素分析和防治十分必要。系统理论过程分析法(STPA)是一种基于系统理论的风险分析方法,该方法不同于传统的风险分析方法——将事故视为由初始事件诱发的一系列事件造成的后果,而是对燃气系统从设计、开发和运行过程进行分析,建立系统安全控制结构,通过分析控制缺陷和缺陷致因实现对风险因素的分析。研究分析出24个燃气管道第三方破坏的风险因素,针对风险因素提出了建议,为燃气管道第三方破坏的风险控制提供依据。

基于IDAC-STPA模型的战机飞行安全性分析与评价

针对战机飞行安全性分析不全面且缺少定量评价的问题,提出了一种新的飞行安全性分析和评价方法。首先,危险分析技术(system theoretic process analysis,STPA)可以从系统的角度分析影响战机飞行安全的风险源,基于人为可靠性动态分析(information,decision and action in crew,IDAC)模型是目前最全面的人为可靠性分析模型,结合两者的优势提出了IDAC-STPA分析方法。然后,利用该方法分析战机飞行风险源,并在此基础上建立了飞行员操纵-战机机体模型,叠加不同飞行条件下飞行参量的风险度可以得到相应机动动作的安全谱,在此基础上得到该飞行动作的风险度。最后,通过对某型战机眼镜蛇机动的安全性分析,发现该型战机飞行中的不安全控制行为和潜在风险。通过安全谱提供一种直观的分析事故演化的方法,在此基础上计算的风险度提供了一种定量分析事故演化的方法,该方法可以为飞行员的飞行训练提供一定的借鉴。

高铁应急调度STAMP/STPA安全性分析

为克服传统安全分析模型不能评估高铁调度系统中组件之间复杂交互的缺陷,基于系统理论的事故过程模型(STAMP),将高铁应急指挥系统中人员与设备之间交互安全性问题视作系统控制和反馈问题,构建高铁应急调度控制反馈模型,识别系统安全风险与约束;采用系统理论过程分析法(STPA),分析不安全控制行为及诱发不安全控制行为的控制缺陷;基于台高铁脱轨事故实例分析,验证STAMP/STPA应用于高铁应急调度安全分析的有效性。结果表明:构建的高铁应急调度控制反馈模型可分析得到高铁应急调度指挥的风险因素为感知或执行误差、决策失误、接收或执行时延;同时通过该模型可演绎安全约束失效路径。

基于STPA和模糊BN的AIDC移交人误研究

为评估因空管自动化系统功能不完备而潜在的管制移交人因风险,首先,采用系统理论过程分析(STPA)方法,构建空中交通服务设施间数据通信(AIDC)移交过程的安全控制结构图,识别出AIDC移交时的关键人误;然后,结合空管人误分类模型(HERA-JANUS)构建基于贝叶斯网络(BN)的人误分析模型,利用专家经验和模糊集理论量化各节点的先验概率;最后,通过Ge NIe软件训练数据,可视化诊断模糊BN,得到目标事件的发生概率,分析出关键人误。结果表明:STPA方法驱动下的模糊BN能够全面地识别AIDC移交过程中的关键人误致因,其中AIDC移交失败时系统无告警是管制移交过程中的重要人误风险源;当目标事件发生时,管制员“注意力分散”、“忘记监控”、“注意力不集中”和“警觉性降低”4种差错行为发生的概率占比较高,是造成管制移交时航空器小于安全间隔的关键差错行为。

基于STPA-FCM模型的自主航行船舶功能系统分析

为探析自主航行船舶(MASS)功能系统之间的失效机制,提升航行安全,将系统理论过程分析(STPA)方法与模糊认知图(FCM)方法相结合,构建MASS功能系统失效特征分析模型。通过STPA方法对功能系统的控制/反馈关系建模,确定27个控制关系与43个反馈关系,分析潜在的不安全控制行为(UCA)及其产生的关键致因,在此基础上,运用FCM方法构建各功能系统之间的交互关系,并反演出最终稳态下的相对失效概率。结果表明:最为核心的功能模块为电力系统、虚拟船长系统、动力定位系统、避碰系统,其稳定值占比分别为7.66%,7.62%,7.47%,7.14%,应优先确保其可靠性、稳定性和安全性。

STPA与24Model的对比分析

为完善和发展事故致因理论,从基础理论、相关定义、分析过程和分析难度4个方面,对比分析系统理论过程分析(STPA)与“2-4”模型(24Model),并分别进行实例应用。研究结果表明:两者都有很强的理论基础;24Model和STPA总体依照线性模式展开,部分元素可得到对应。STPA的研究对象为系统中的损失,更擅长系统交互研究,研究复杂程度较高,研究误差较大,更适用于单起事故分析;而24Model的研究对象为组织中的事件,事故原因划分更加明确与通用,分析过程简单,研究误差较小,在单起事故和多起事故分析中均可使用,两者都具有较好的拓展性。在应用方面,STPA能够明确指出系统内危险源与损害的联系,但应用过程复杂,致因因素分析主观性强,缺乏对管理体系和安全文化的研究;24Model原因分析结果全面,应用步骤明确,但缺乏对组织间的交互和设计缺陷分析。

导弹攻击过程的STAMP/STPA任务失效及仿真研究

在采用传统的安全分析方法进行安全性分析时,常常关注系统的组件可靠性,很难避免由于组件交互、软件设计缺陷等引起事故的发生。STAMP把安全问题看作是控制问题,认为事故是由于控制不足导致的。文中以导弹攻击过程为例,建立导弹攻击过程的STAMP模型,采用STPA方法识别了导致导弹攻击任务失效的不安全控制行为,同时进行关键原因分析,最后对其中部分不安全控制行为进行仿真分析,为减少导弹攻击任务失效和导弹设计提供了参考。