基于STAMP的航空安全理論與實(shí)踐 課件 第1-4章 緒論、基于STPA方法的典型航空事故分析-無(wú)人機(jī)著陸階段安全性分析與驗(yàn)證

第一章緒論1.1航空安全概述1.2STAMP相關(guān)理論簡(jiǎn)介本章小結(jié)

1.1航空安全概述

航空產(chǎn)業(yè)科技含量高、安全風(fēng)險(xiǎn)大,如何防患未然,降低事故率是專家學(xué)者們一直研究的重要課題。安全性是航空裝備必須具備的一種共有的、固有的特性,也是航空裝備必須滿足的首要設(shè)計(jì)與使用要求,更是保障航空裝備研制與使用安全的重要保證。

目前階段開(kāi)展的航空安全建模、航空安全風(fēng)險(xiǎn)預(yù)測(cè)、航空安全預(yù)警和事故預(yù)防等,都忽略了事故致因因素時(shí)間序列相關(guān)性對(duì)不安全事件的影響,沒(méi)有考慮致因因素中廣泛存在的各種不確定性,更沒(méi)有開(kāi)展相關(guān)不確定性對(duì)航空安全預(yù)測(cè)、預(yù)警輸出的影響。

1.2STAMP相關(guān)理論簡(jiǎn)介

1.2.1STAMP理論2002年,Leveson在系統(tǒng)論、控制論的基礎(chǔ)上,提出了一種新型的系統(tǒng)安全分析模型,即STAMP理論模型。該模型從系統(tǒng)論的角度,認(rèn)為事故是由不確定因素、不安全控制行為、部件之間的不安全交互引起的;從控制論的角度,認(rèn)為不恰當(dāng)?shù)目刂七^(guò)程、環(huán)境因素、控制行為不滿足先決條件或者未知的外部干擾是造成事故的主要原因。

STAMP理論模型將安全性看作是一種系統(tǒng)的涌現(xiàn)性,認(rèn)為安全性受到系統(tǒng)中與各個(gè)行為相關(guān)的一系列約束的限制,而事故正是由于系統(tǒng)各層次的行為缺乏約束所導(dǎo)致的。STAMP理論擴(kuò)展了事故原因類型,其不再通過(guò)事件鏈的思路進(jìn)行安全性分析,所以除了傳統(tǒng)的基于事件鏈模型分析出的事故原因類型外,STAMP理論也能夠通過(guò)組件之間的非線性、間接和反饋關(guān)系來(lái)發(fā)現(xiàn)其他類型的原因,如組件間的不安全交互、新型人為差錯(cuò)、軟件的設(shè)計(jì)缺陷和需求缺陷等新型致因因素。

STAMP理論將事故看作控制失效問(wèn)題,認(rèn)為在組件行為、組件交互等違反安全約束時(shí)就可能導(dǎo)致事故。STAMP理論模型包含安全約束(SafetyConstraint)、功能控制結(jié)構(gòu)

(FunctionalControlStructure)和過(guò)程模型(ProcessModel)三個(gè)基本結(jié)構(gòu)。

1.安全約束

不同于傳統(tǒng)事故致因模型,STAMP理論視約束為最基本的概念而非傳統(tǒng)事件,系統(tǒng)進(jìn)入危險(xiǎn)狀態(tài)正是由于違反了安全約束。在STAMP理論中,單個(gè)組件行為、組件交互行為在規(guī)定的安全約束條件下運(yùn)作,從而保證系統(tǒng)安全運(yùn)行。隨著軟件技術(shù)的發(fā)展,現(xiàn)代系統(tǒng)愈發(fā)復(fù)雜,基于安全約束的控制方式是保障系統(tǒng)安全的有效手段。

2.功能控制結(jié)構(gòu)

在系統(tǒng)論中,系統(tǒng)可表示為不同層級(jí)的復(fù)合結(jié)構(gòu),較高層級(jí)對(duì)較低層級(jí)施加安全約束,較低層級(jí)執(zhí)行命令并為較高層級(jí)提供反饋信息,較高層級(jí)根據(jù)信息和外部環(huán)境調(diào)整安全約束,如此反復(fù)進(jìn)行,進(jìn)而構(gòu)成系統(tǒng)完整的控制反饋回路。不同層級(jí)之間的標(biāo)準(zhǔn)控制關(guān)系如圖1.1所示。

圖1.1不同層級(jí)之間的標(biāo)準(zhǔn)控制關(guān)系

3.過(guò)程模型

傳統(tǒng)的安全性分析方法主要基于人腦中的理論模型,分析人員的技術(shù)水平高低、經(jīng)驗(yàn)豐富與否對(duì)結(jié)果具有顯著影響。而STAMP理論的危險(xiǎn)分析是基于過(guò)程模型,它既可以是自動(dòng)控制設(shè)備中的控制邏輯,也可以是系統(tǒng)控制人員的心智模型,是一種更為通用的控制模型。

無(wú)論哪種控制模型,都必須包含三個(gè)層面的信息:

①系統(tǒng)控制規(guī)則;

②系統(tǒng)當(dāng)前狀態(tài)信息;

③系統(tǒng)狀態(tài)轉(zhuǎn)換規(guī)則。

1.2.2基于STAMP理論的STPA方法

基于傳統(tǒng)線性理論的安全性分析方法以可靠性理論為基礎(chǔ),主要識(shí)別組件失效引發(fā)的系統(tǒng)事故。由于復(fù)雜系統(tǒng)的涌現(xiàn)性是非線性的,因此傳統(tǒng)事故致因模型不適用于復(fù)雜系統(tǒng)

中的涌現(xiàn)性,其針對(duì)涌現(xiàn)性的風(fēng)險(xiǎn)分析非常有限。而基于STAMP事故致因模型的STPA方法從控制失效的角度出發(fā),自頂向下識(shí)別由于設(shè)計(jì)缺陷、軟件缺陷、組件交互、人為因素導(dǎo)致的系統(tǒng)風(fēng)險(xiǎn),擴(kuò)展了傳統(tǒng)風(fēng)險(xiǎn)致因因素的范疇。

1.方法簡(jiǎn)介

STPA方法的目標(biāo)是識(shí)別能夠誘發(fā)進(jìn)入危險(xiǎn)狀態(tài)的控制“失效”問(wèn)題,生成相關(guān)的安全約束,保持風(fēng)險(xiǎn)程度在人們可接受的水平;此外,STPA方法可以識(shí)別違反安全約束的“失

效”信息,在系統(tǒng)設(shè)計(jì)階段或使用階段可通過(guò)一定的措施來(lái)控制、降低和消除風(fēng)險(xiǎn)。STPA方法通過(guò)構(gòu)建系統(tǒng)的反饋控制結(jié)構(gòu)圖,來(lái)對(duì)系統(tǒng)的安全性進(jìn)行全面、系統(tǒng)的分析。

圖1.2為一個(gè)包含過(guò)程模型的典型的反饋控制結(jié)構(gòu),圖中系統(tǒng)主要包括控制器、執(zhí)行器、被控對(duì)象和傳感器四個(gè)部分。從圖中的控制邏輯可以看出:通過(guò)過(guò)程模型可以識(shí)別被違反的安全約束并確定出為何控制不能有效實(shí)施安全約束,確定出導(dǎo)致不安全事件發(fā)生的原因以及出現(xiàn)不安全控制的場(chǎng)景,并將其轉(zhuǎn)化為安全約束和設(shè)計(jì)需求,為設(shè)計(jì)出更安全的系統(tǒng)提供保證。

圖1.2典型的控制回路

2.應(yīng)用過(guò)程

STPA方法的核心工作主要有兩個(gè),即識(shí)別導(dǎo)致危險(xiǎn)的不安全控制行為和確定不安全控制行為的致因因素。STPA方法在進(jìn)行系統(tǒng)安全性分析的過(guò)程中主要包括四個(gè)步驟,如圖1.3所示。圖中的前兩步是STPA方法分析的基礎(chǔ),后兩步是其核心工作。其中,不安全控制行為有四類:

①未執(zhí)行控制行為;

②執(zhí)行不正確或不安全的控制行為;

③過(guò)早或過(guò)晚執(zhí)行的控制行為或錯(cuò)誤的時(shí)間進(jìn)行的控制行為;

④停止過(guò)早或持續(xù)太久的控制行為。

圖1.3STPA分析過(guò)程

導(dǎo)致不安全控制的控制缺陷主要有三類:

①控制器發(fā)出不足或不恰當(dāng)?shù)目刂菩袨?包括對(duì)故障或擾動(dòng)的物理過(guò)程處置不當(dāng);

②控制行為的不充分執(zhí)行;

③反饋信息的不正確或丟失。

圖1.4顯示了標(biāo)準(zhǔn)控制回路中的典型控制缺陷。圖中缺陷可以大致分為控制缺陷①與反饋缺陷②?？刂迫毕菔侵柑峁┗驁?zhí)行不安全控制行為的原因,反饋缺陷是指生成不安全控制行為的原因。

圖1.4不恰當(dāng)控制行為的原因

由圖1.4可知,控制指令的生成、傳遞、執(zhí)行、反饋貫穿了控制反饋回路的全過(guò)程,所有組件的目的都是為了保證系統(tǒng)能夠在安全約束要求范圍內(nèi)高效運(yùn)行。STPA方法識(shí)別出來(lái)的控制缺陷(ControlFlaws)是誘發(fā)危險(xiǎn)的根本原因,根據(jù)分析結(jié)果有針對(duì)性地制訂預(yù)防策略和改進(jìn)措施,能夠從根本上提升系統(tǒng)的安全水平。

本章小結(jié)

本章主要對(duì)STAMP理論和STPA方法進(jìn)行了分析。STAMP理論模型將安全性看作是一種系統(tǒng)的涌現(xiàn)特性,認(rèn)為安全性是系統(tǒng)中各個(gè)組件行為相關(guān)的一系列安全約束。STPA方法是基于STAMP理論事故致因模型的安全性分析方法。后續(xù)各章節(jié)中的案例研究和相關(guān)安全性分析均以STAMP理論模型為理論支撐。第二章基于STPA方法的典型航空事故分析2.1民航航班客艙失壓事故分析2.2民航航班發(fā)動(dòng)機(jī)失控事故分析2.3典型軍機(jī)墜機(jī)事故分析2.4某無(wú)人機(jī)被誘捕案例致因分析本章小結(jié)

2.1民航航班客艙失壓事故分析2.1.1事故簡(jiǎn)述1990年的一天,某民航航班由A機(jī)場(chǎng)飛往B機(jī)場(chǎng)。在飛行大約13分鐘后,飛機(jī)駕駛艙的一部分擋風(fēng)玻璃脫落,巨大的壓力差導(dǎo)致機(jī)長(zhǎng)大部分身體被吸出機(jī)外,一名空乘人員拼命地抱住已失去知覺(jué)、被嚴(yán)重凍傷的機(jī)長(zhǎng),更糟糕的是,機(jī)長(zhǎng)面臨著極度缺氧的危險(xiǎn)。在這種情況下,副機(jī)長(zhǎng)被迫在另一機(jī)場(chǎng)實(shí)施緊急迫降。最終,憑借著副機(jī)長(zhǎng)的努力,飛機(jī)成功著陸,未造成人員死亡,包括機(jī)長(zhǎng)在內(nèi)的所有機(jī)組人員都從傷病中恢復(fù)過(guò)來(lái),機(jī)長(zhǎng)更是在事故發(fā)生后的短短幾個(gè)月就重返工作崗位。

2.1.2基于STPA方法的安全性分析

1.構(gòu)建STAMP分層控制結(jié)構(gòu)

所有高空飛行都在機(jī)艙加壓的環(huán)境下進(jìn)行,以確保機(jī)組人員和乘客有足夠的可呼吸的氧氣。如果機(jī)艙內(nèi)的增壓系統(tǒng)發(fā)生故障,無(wú)論是由于增壓系統(tǒng)本身的故障,還是由于飛機(jī)內(nèi)部的結(jié)構(gòu)故障(例如窗戶的丟失),飛機(jī)都將面臨減壓情況。減壓的速度受到許多因素的影響,包括受壓空間與外部環(huán)境之間的壓差,以及對(duì)增壓系統(tǒng)或飛機(jī)結(jié)構(gòu)的破壞程度等。雖然快速減壓是一種嚴(yán)重且可能危及生命的危險(xiǎn),但一般不會(huì)立即對(duì)乘客和機(jī)組人員造成致命傷害。

在快速減壓過(guò)程中,飛機(jī)駕駛艙可能會(huì)出現(xiàn)混亂程度很高的情況,經(jīng)常充滿蒸汽、噪音和碎屑等。機(jī)組人員在應(yīng)對(duì)快速減壓場(chǎng)景時(shí),其操作技能的正確與否往往意味著一個(gè)飛

行事件和一個(gè)飛行事故之間的區(qū)別,嚴(yán)重操作差錯(cuò)甚至?xí)?dǎo)致飛機(jī)的損壞進(jìn)而威脅機(jī)組人員的生命。同時(shí),為了支持機(jī)組人員處理這一罕見(jiàn)但危險(xiǎn)的事件,并突出已確定的相互作

用可能導(dǎo)致不安全行為的潛在領(lǐng)域,需建立由許多機(jī)構(gòu)組成的控制結(jié)構(gòu),如圖2.1所示。

圖2.1某航班事故分層安全控制結(jié)構(gòu)

2.識(shí)別危險(xiǎn)

在STAMP分析中,危險(xiǎn)被定義為一個(gè)系統(tǒng)狀態(tài)或一系列條件,在特定的最不利環(huán)境條件下,危險(xiǎn)會(huì)導(dǎo)致事故或損失。根據(jù)STAMP框架,危險(xiǎn)是可以控制的,但也可能導(dǎo)致潛在的事故。在本案例中,潛在事故定義為機(jī)組人員對(duì)飛機(jī)快速減壓事件的反應(yīng)。

1)識(shí)別系統(tǒng)級(jí)危險(xiǎn)

在進(jìn)行基于STAMP的致因分析時(shí),首先要確定該研究涉及的具體系統(tǒng),然后通過(guò)相應(yīng)的分析判斷來(lái)識(shí)別系統(tǒng)中存在的主要危險(xiǎn),這些危險(xiǎn)造成的后果包括人員受傷或者死亡、設(shè)備結(jié)構(gòu)受損、環(huán)境受到污染等。

該航班事故涉及的系統(tǒng)主要為客機(jī)實(shí)體系統(tǒng)和乘員安全系統(tǒng)。由于這兩個(gè)系統(tǒng)由不同且獨(dú)立的管理者控制,因此可將它們看作兩個(gè)相互影響但獨(dú)立的系統(tǒng)。客機(jī)實(shí)體系統(tǒng)由歐

洲航空安全局控制飛機(jī)證書(shū)頒發(fā)以及審定過(guò)程;乘員安全系統(tǒng)由航空公司負(fù)責(zé)乘員(指乘客和機(jī)組人員)的人身安全?？蜋C(jī)實(shí)體系統(tǒng)和乘員安全系統(tǒng)組合起來(lái)造成的事故(或者說(shuō)損

失事件)可以定義為飛機(jī)受損導(dǎo)致的快速減壓事件使乘客死亡或受到傷害。

2)確定系統(tǒng)級(jí)安全約束

辨識(shí)系統(tǒng)和其結(jié)構(gòu)的危險(xiǎn)后,下一步的主要目標(biāo)是詳細(xì)說(shuō)明防止危險(xiǎn)發(fā)生所必需的系統(tǒng)級(jí)安全需求和設(shè)計(jì)約束(即安全約束)。該事故的安全約束包括客機(jī)實(shí)體系統(tǒng)的安全約束和乘員安全系統(tǒng)的安全約束。

客機(jī)實(shí)體系統(tǒng)的安全約束如下:

(1)飛機(jī)擋風(fēng)玻璃的結(jié)構(gòu)強(qiáng)度達(dá)到要求。

(2)如果發(fā)生不可避免的快速減壓的情況,需保證飛行員氧氣供應(yīng)設(shè)備正常。

(3)飛行員能夠操縱飛機(jī)下降到安全高度,減少減壓事件帶來(lái)的影響。

乘員安全系統(tǒng)的安全約束如下:

(1)不能讓乘員長(zhǎng)時(shí)間暴露于失壓條件下。

(2)一旦發(fā)生快速減壓事件,必須采取措施以快速恢復(fù)到正常壓力條件。

(3)必須采取可用的、有效的措施,保證飛行員能夠在減壓事件中正常操作。

3)實(shí)施安全約束的安全控制結(jié)構(gòu)

下面主要對(duì)已構(gòu)建的分層安全控制結(jié)構(gòu)中的相關(guān)層級(jí)進(jìn)行分析,以了解其安全約束。

(1)監(jiān)管機(jī)構(gòu)層級(jí)。

安全約束:監(jiān)管機(jī)構(gòu)嚴(yán)格按照規(guī)章制度向具備資質(zhì)的航空公司頒發(fā)AOC。

(2)航空公司層級(jí)。

安全約束:航空公司具備足夠的資質(zhì),擁有科學(xué)的管理水平。

(3)飛機(jī)層級(jí)。

安全約束:飛機(jī)能夠正常進(jìn)行信息反饋,且保證反饋的信息準(zhǔn)確。

(4)機(jī)組人員層級(jí)。

安全約束:機(jī)組人員具備能夠應(yīng)對(duì)各種突發(fā)情況的能力水平。

(5)空中交通管制/空中交通管理層級(jí)。

安全約束:能夠及時(shí)對(duì)機(jī)組人員提供幫助,并引導(dǎo)和指揮其他飛機(jī)避讓。

(6)機(jī)身制造商層級(jí)。

安全約束:制造商設(shè)計(jì)制造的飛機(jī)功能完整。

(7)其他飛機(jī)層級(jí)。

安全約束:能夠及時(shí)收到ATC/ATM管制中心提供的信息,并及時(shí)采取正確的應(yīng)對(duì)措施。

3.識(shí)別不安全控制行為

機(jī)組人員與飛機(jī)之間的四項(xiàng)控制行為包括:

(1)確保機(jī)艙內(nèi)有足夠的壓力。

(2)確保機(jī)組人員有充足的氧氣。

(3)確保飛機(jī)下降至10000英尺。

(4)完成QRH(快速參考手冊(cè))程序。

任何一種控制行為在快速減壓過(guò)程中出現(xiàn)差錯(cuò),都可能最終導(dǎo)致缺氧,造成潛在的致命后果。使用這四個(gè)控制行為共有可能生成21個(gè)不安全控制行為,如表2.1所示。

隨后將生成的不安全控制行為映射到控制回路中,如圖2.2所示。

圖2.2的左下角顯示了延遲操作,如延遲關(guān)閉壓力閥、啟動(dòng)下降時(shí)機(jī)太晚、QRH檢查太慢等。

圖2.2機(jī)組人員和飛機(jī)之間的控制回路

需要強(qiáng)調(diào)的是,圖2.1中所示的分層安全控制結(jié)構(gòu)是基于STAMP方法中給出的假設(shè)而構(gòu)建的,不同的假設(shè)可能產(chǎn)生不同的控制結(jié)構(gòu)。控制結(jié)構(gòu)中的每一個(gè)不安全控制行為都可能造成嚴(yán)重后果,因此應(yīng)該對(duì)每一個(gè)潛在的不安全控制行為實(shí)施安全約束。這對(duì)于由錯(cuò)誤的心理模型假設(shè)或缺乏明顯的緊急警告而導(dǎo)致機(jī)組人員不能正確處理故障的事故可能特別有用。

4.致因因素分析及安全約束生成

通過(guò)對(duì)與事故有關(guān)的不安全控制行為進(jìn)行識(shí)別,再根據(jù)相關(guān)不安全場(chǎng)景就可以得到事故發(fā)生的根本原因。若控制回路中的安全約束未被有效實(shí)施,則會(huì)發(fā)生相對(duì)應(yīng)的不安全控制行為。針對(duì)此次事故,繼續(xù)進(jìn)行各層次結(jié)構(gòu)的控制回路分析,得到的事故原因主要有以下幾個(gè)方面:

1)機(jī)械原因

該型號(hào)飛機(jī)的擋風(fēng)玻璃的設(shè)計(jì)方式為由內(nèi)往外裝,當(dāng)固定擋風(fēng)玻璃的螺栓失效時(shí),玻璃會(huì)由于巨大的壓力差而脫落。

2)人為因素

(1)錯(cuò)誤螺栓的選擇和使用。

(2)使用不合適的安裝設(shè)備。

(3)維修工作在昏暗條件下進(jìn)行。

(4)機(jī)庫(kù)大門已經(jīng)關(guān)閉,導(dǎo)致工作梯無(wú)法放置于機(jī)頭前方,維修人員只能從側(cè)面進(jìn)行安裝工作,不能發(fā)現(xiàn)安裝好的螺栓與正常情況的差異。

3)組織管理

(1)未進(jìn)行工作質(zhì)量檢驗(yàn)。

(2)航空公司未進(jìn)行該項(xiàng)工作的反饋。

(3)未定期對(duì)維修人員進(jìn)行培訓(xùn)和測(cè)試。

5.總結(jié)

通過(guò)對(duì)某民航航班客艙失壓事故進(jìn)行基于STAMP的致因分析,可以發(fā)現(xiàn)這種方法對(duì)復(fù)雜系統(tǒng)的分析結(jié)果較傳統(tǒng)方法的分析結(jié)果更為先進(jìn),如在本事故中飛機(jī)和機(jī)組人員的控

制回路中,被控過(guò)程即飛機(jī)存在高度表、近地預(yù)警系統(tǒng)、高度(壓力)報(bào)警系統(tǒng)這三個(gè)系統(tǒng)都會(huì)導(dǎo)致潛在故障的特點(diǎn),其一直對(duì)飛機(jī)的安全產(chǎn)生重要影響。

從分析過(guò)程可以看出,民機(jī)以經(jīng)濟(jì)性為目標(biāo),安全性設(shè)計(jì)和管理也主要是考慮到整體效益,通過(guò)總結(jié)基于STAMP的事故致因分析流程,并將其作為對(duì)軍機(jī)事故的致因分析方法,可以指導(dǎo)軍機(jī)的安全性分析設(shè)計(jì)。

本例重點(diǎn)分析了使用維修階段的安全性,對(duì)設(shè)計(jì)制造領(lǐng)域涉及較少。對(duì)于軍方而言,不僅僅需要關(guān)心軍機(jī)的使用維護(hù)階段,隨著新裝備的大量研制和列裝,更要關(guān)注設(shè)計(jì)制造領(lǐng)域。因此,需在此基礎(chǔ)上進(jìn)一步研究設(shè)計(jì)制造方法的安全性或者由于制造原因引起的安全事故分析流程。

2.2民航航班發(fā)動(dòng)機(jī)失控事故分析

2.2.1事故簡(jiǎn)述1997年8月6日,某民航航班從某國(guó)一機(jī)場(chǎng)飛往另一國(guó)家,機(jī)上有乘客237人,機(jī)組人員17人。駕駛飛機(jī)的機(jī)長(zhǎng)是前空軍飛行員,有駕駛波音747飛機(jī)安全飛行6年的經(jīng)驗(yàn),在事故發(fā)生的幾個(gè)月前,因在飛機(jī)發(fā)動(dòng)機(jī)失控的情況下安全降落一架747飛機(jī)而得到了航空公司的表彰。

2.2.2基于STPA方法的安全性分析

1.構(gòu)建STAMP分層控制結(jié)構(gòu)

依據(jù)航空系統(tǒng)管理機(jī)制,建立航空系統(tǒng)的整體控制結(jié)構(gòu),以便于了解各部門之間的聯(lián)系。結(jié)構(gòu)圖如圖2.3所示。

圖2.3航空系統(tǒng)控制結(jié)構(gòu)

2.識(shí)別事故和危險(xiǎn)

1)確定系統(tǒng)級(jí)危險(xiǎn)

在確定系統(tǒng)的安全控制結(jié)構(gòu)后,就可分析系統(tǒng)中存在的潛在控制缺陷,即分析對(duì)事故施加的安全約束的缺失有哪些。本事故中表現(xiàn)出的系統(tǒng)災(zāi)害是飛機(jī)撞上了山腰。

在該航班事故中,經(jīng)事后的調(diào)查顯示,在事故發(fā)生過(guò)程中,出現(xiàn)了如下幾種情況:

(1)該航班機(jī)組人員疲勞駕駛。

(2)機(jī)長(zhǎng)在事發(fā)時(shí),未按照手動(dòng)降落操作程序執(zhí)行。

(3)儀表著陸系統(tǒng)故障。

(4)機(jī)場(chǎng)最低安全高度警告系統(tǒng)不能準(zhǔn)確工作。

(5)該航班機(jī)組使用了過(guò)期的飛行圖,錯(cuò)誤估計(jì)了安全飛行高度。

(6)機(jī)組人員未能依靠測(cè)距儀辨別跑道位置。

3)識(shí)別不安全控制行為

在約束識(shí)別的基礎(chǔ)上,下一步是根據(jù)事故相關(guān)信息,識(shí)別每一個(gè)控制層級(jí)和涉及的參與方在事故中體現(xiàn)的失效行為。根據(jù)控制結(jié)構(gòu)圖,從上至下,依次分析每個(gè)控制層級(jí)出現(xiàn)的問(wèn)題,即分析它們發(fā)生了哪些與其安全約束相悖的失效行為。

3.致因因素分析及安全約束生成

STAMP模型從系統(tǒng)控制學(xué)角度分析事故,即主要從組織管理、技術(shù)方法、參與人員、交互反饋、環(huán)境背景等方面入手進(jìn)行分析。據(jù)此,從以上幾個(gè)方面出發(fā),將STAMP模型的分析結(jié)論進(jìn)行分類匯總,如表2.2所示。

2.3典型軍機(jī)墜機(jī)事故分析

2.3.1事故簡(jiǎn)述2010年11月17日晚,某國(guó)空軍的兩架戰(zhàn)機(jī)組織編隊(duì)飛行訓(xùn)練,在順利完成指定科目后開(kāi)始返航。在當(dāng)晚19時(shí)40分左右,其中一名飛行員駕駛的某型戰(zhàn)機(jī)突然失去了聯(lián)系,從雷達(dá)屏幕上消失。伴飛的另一名飛行員在完成了空中加油后,嘗試對(duì)失蹤的某型戰(zhàn)機(jī)進(jìn)行搜尋。同時(shí),該國(guó)空軍及相關(guān)部門立即啟動(dòng)應(yīng)急救援程序,迅速派出救援直升機(jī)以及一架運(yùn)輸機(jī)對(duì)失事區(qū)域進(jìn)行連夜空中搜尋。

由于失事范圍過(guò)于巨大,加之地形復(fù)雜和環(huán)境條件惡劣,搜尋工作一直未取得進(jìn)展。直到第二天早晨,救援直升機(jī)才發(fā)現(xiàn)了失蹤的戰(zhàn)機(jī)的部分殘骸,并且初步確定了飛機(jī)墜落的地點(diǎn)。隨著搜救工作的進(jìn)一步展開(kāi),救援人員發(fā)現(xiàn)了越來(lái)越多的戰(zhàn)機(jī)殘骸,同時(shí),飛行員的飛行服的殘片接連被發(fā)現(xiàn),這一系列的證據(jù)表明飛行員已經(jīng)死亡。

2.3.2典型軍機(jī)生命保障系統(tǒng)STPA分析

1.構(gòu)建STAMP分層控制結(jié)構(gòu)

當(dāng)代先進(jìn)戰(zhàn)機(jī)在最初進(jìn)行設(shè)計(jì)論證時(shí),對(duì)機(jī)體中保證飛行員處于正常生理環(huán)境的系統(tǒng)或部件尤為重視,飛行員的生命也由其提供支持。一旦飛行員在駕駛戰(zhàn)機(jī)過(guò)程中某一部件

發(fā)生故障,將會(huì)直接影響到最后能否遂行任務(wù),甚至于威脅到飛行員的生命。當(dāng)飛機(jī)的制氧過(guò)程中斷時(shí),飛行員會(huì)直接面臨缺氧的風(fēng)險(xiǎn)。而制氧過(guò)程受到許多因素的影響,飛機(jī)生命保障系統(tǒng)中與制氧有關(guān)聯(lián)的任一環(huán)節(jié)出現(xiàn)問(wèn)題,都可能使整個(gè)系統(tǒng)癱瘓,導(dǎo)致其無(wú)法繼續(xù)工作。如果發(fā)生上述情況,至關(guān)重要的是采取必要措施以確保有充足的氧氣供飛行員呼吸。若已確定飛機(jī)失去了為飛行員繼續(xù)提供氧氣的能力,飛行員不得不面臨跳傘的選擇。

為了發(fā)現(xiàn)此次軍機(jī)墜毀事故中存在的不安全控制行為并分析事故致因,在當(dāng)前系統(tǒng)研究中,主要確定了7個(gè)主要的利益相關(guān)者:高空抗荷服、飛行員、引氣系統(tǒng)、環(huán)控系統(tǒng)、機(jī)載制氧系統(tǒng)、備份制氧系統(tǒng)、應(yīng)急制氧系統(tǒng)。各層級(jí)控制關(guān)系以及回路如圖2.4所示。

圖2.4某型軍機(jī)生命保障系統(tǒng)分層安全控制結(jié)構(gòu)

2.識(shí)別事故和危險(xiǎn)

1)識(shí)別系統(tǒng)級(jí)危險(xiǎn)

根據(jù)STAMP致因分析方法,首先要識(shí)別造成此次軍機(jī)缺氧事故的系統(tǒng),為此將某型軍機(jī)的生命保障系統(tǒng)作為研究對(duì)象,其組成主要包括高空抗荷服、飛行員、引氣系統(tǒng)、環(huán)控

系統(tǒng)、機(jī)載制氧系統(tǒng)、備份制氧系統(tǒng)以及應(yīng)急制氧系統(tǒng)。生命保障系統(tǒng)的事故可以定義為生命保障系統(tǒng)失效,使飛行員缺氧導(dǎo)致其失去對(duì)戰(zhàn)機(jī)的操控能力,本次事故最終結(jié)果表現(xiàn)

為機(jī)毀人亡。

2)確定系統(tǒng)級(jí)安全約束

生命保障系統(tǒng)的安全約束包括:

(1)飛機(jī)制氧功能始終處于正常水平。

(2)必須有報(bào)警或其他措施來(lái)提醒以及保護(hù)飛行員的生命安全。

(3)不能長(zhǎng)時(shí)間使飛行員處于缺氧條件。

3)實(shí)施安全約束的安全控制結(jié)構(gòu)

(1)高空抗荷服層級(jí)。

安全約束:為飛行員在恰當(dāng)時(shí)機(jī)加壓,調(diào)整呼吸。

(2)飛行員層級(jí)。

安全約束:飛行員正確操作,避免誤操作導(dǎo)致缺氧。

(3)引氣系統(tǒng)層級(jí)。

安全約束:引氣過(guò)程順利,完成指定功能。

(4)環(huán)控系統(tǒng)層級(jí)。

安全約束:使駕駛艙及各電子艙保持通風(fēng)。

(5)機(jī)載制氧系統(tǒng)層級(jí)。

安全約束:必須保證分子篩制氧過(guò)程正常。

(6)備份制氧系統(tǒng)層級(jí)。

安全約束:在第一氧源失效后,能自動(dòng)進(jìn)行補(bǔ)氧。

(7)應(yīng)急制氧系統(tǒng)層級(jí)。

安全約束:能保證飛行員正常操作且工作正常以應(yīng)對(duì)突發(fā)情況。

3.識(shí)別不安全控制行為

1)高空抗荷服與飛行員控制回路的不安全控制行為

高空抗荷服與飛行員控制回路的不安全控制行為如表2.3所示。

2)引氣系統(tǒng)與環(huán)控系統(tǒng)控制回路的不安全控制行為

引氣系統(tǒng)與環(huán)控系統(tǒng)控制回路的不安全控制行為如表2.4所示。

3)機(jī)載制氧系統(tǒng)與備份制氧系統(tǒng)控制回路的不安全控制行為

機(jī)載制氧系統(tǒng)與備份制氧系統(tǒng)控制回路的不安全控制行為如表2.5所示。

4)備份制氧系統(tǒng)與應(yīng)急制氧系統(tǒng)控制回路的不安全控制行為

備份制氧系統(tǒng)與應(yīng)急制氧系統(tǒng)控制回路的不安全控制行為如表2.6所示。

2.3.3典型軍機(jī)研制及組織管理系統(tǒng)STPA分析

1.構(gòu)建STAMP分層控制結(jié)構(gòu)

根據(jù)某型軍機(jī)研制管理機(jī)制,某國(guó)空軍首先提出“先進(jìn)戰(zhàn)術(shù)戰(zhàn)斗機(jī)”(ATF)項(xiàng)目需求,向工業(yè)界招標(biāo),并發(fā)布了研制招標(biāo)書(shū)。招標(biāo)書(shū)中只給出了關(guān)鍵性能參數(shù)的范圍而并未指定

硬性指標(biāo),且允許某些參數(shù)最終低于或高于給定范圍,只要未達(dá)標(biāo)的參數(shù)能通過(guò)其他性能參數(shù)的允許或者是整個(gè)系統(tǒng)的效能能夠得到增強(qiáng)即可,此項(xiàng)目的研發(fā)由防務(wù)承包商來(lái)

完成。

某國(guó)承包商(即研制單位)在完成了某型軍機(jī)ATF項(xiàng)目后,將定型生產(chǎn)的某型軍機(jī)交付軍方使用,由軍方對(duì)某型軍機(jī)的使用進(jìn)行規(guī)劃和日常飛行訓(xùn)練管理。為了研究和分析某

型軍機(jī)在研制及組織管理層面上潛在的不安全條件,建立了由某空軍裝備部門、項(xiàng)目管理辦公室、飛機(jī)研制單位、飛機(jī)設(shè)計(jì)團(tuán)隊(duì)、某型飛機(jī)、飛行員、飛行基地、飛行訓(xùn)練管理單位組成的分層安全控制結(jié)構(gòu),如圖2.5所示。

圖2.5某型軍機(jī)研制及組織管理系統(tǒng)分層安全控制結(jié)構(gòu)

2.識(shí)別事故和危險(xiǎn)

1)識(shí)別系統(tǒng)級(jí)危險(xiǎn)

下面針對(duì)某型軍機(jī)研制及組織管理系統(tǒng)進(jìn)行STAMP分析。其組成主要包括某空軍裝備部門、項(xiàng)目管理辦公室、飛機(jī)研制單位、飛機(jī)設(shè)計(jì)團(tuán)隊(duì)、某型飛機(jī)、飛行基地以及飛行訓(xùn)練管理單位。

某型軍機(jī)研制及組織管理系統(tǒng)面臨的危險(xiǎn)主要包括飛機(jī)研制不合理、飛機(jī)設(shè)計(jì)有缺陷以及飛行員能力水平欠缺等。

2)確定系統(tǒng)級(jí)安全約束

某型軍機(jī)研制及組織管理系統(tǒng)的安全約束如下:

(1)某型軍(2)飛機(jī)結(jié)構(gòu)及相關(guān)系統(tǒng)設(shè)計(jì)合理。

(3)某型軍機(jī)能夠滿足用戶(即某空軍)的需求。

(4)空軍飛行訓(xùn)練組織體系完善。機(jī)按計(jì)劃要求研制,達(dá)到其技術(shù)標(biāo)準(zhǔn)。

3)實(shí)施安全約束的安全控制結(jié)構(gòu)

(1)某空軍裝備部門層級(jí)。

安全約束:必須下發(fā)相關(guān)政策,從而為項(xiàng)目提供支持。

(2)項(xiàng)目管理辦公室層級(jí)。

安全約束:確保項(xiàng)目采辦過(guò)程正常進(jìn)行,控制項(xiàng)目完成進(jìn)度。

(3)飛機(jī)研制單位層級(jí)。

安全約束:了解用戶需求,設(shè)計(jì)的飛機(jī)功能完善、安全性高。

(4)飛機(jī)設(shè)計(jì)團(tuán)隊(duì)層級(jí)。

安全約束:設(shè)計(jì)合理,確保安全。

(5)某型飛機(jī)層級(jí)。

安全約束:能夠正常飛行,完成規(guī)定功能。

(6)飛行員層級(jí)。

安全約束:飛行員技術(shù)水平合格,心理素質(zhì)好。

(7)飛行基地層級(jí)。

安全約束:組訓(xùn)方式合理。

(8)飛行訓(xùn)練管理單位層級(jí)。

安全約束:訓(xùn)練管理實(shí)施科學(xué),及時(shí)采取有效措施管控危險(xiǎn)訓(xùn)練情況。

3.識(shí)別不安全控制行為

1)某空軍裝備部門與項(xiàng)目管理辦公室控制回路的不安全控制行為

某空軍裝備部門與項(xiàng)目管理辦公室控制回路的不安全控制行為如表2.7所示。

2)項(xiàng)目管理辦公室與飛機(jī)研制單位控制回路的不安全控制行為

項(xiàng)目管理辦公室與飛機(jī)研制單位控制回路的不安全控制行為如表2.8所示。

3)飛機(jī)研制單位與飛機(jī)設(shè)計(jì)團(tuán)隊(duì)控制回路的不安全控制行為

飛機(jī)研制單位與飛機(jī)設(shè)計(jì)團(tuán)隊(duì)控制回路的不安全控制行為如表2.9所示。

4)飛行訓(xùn)練管理單位與飛行基地控制回路的不安全控制行為

飛行訓(xùn)練管理單位與飛行基地控制回路的不安全控制行為如表2.10所示。

5)飛行基地與飛行員控制回路的不安全控制行為

飛行基地與飛行員控制回路的不安全控制行為如表2.11所示。

6)飛行員與某型飛機(jī)控制回路的不安全控制行為

飛行員與某型飛機(jī)控制回路的不安全控制行為如表2.12所示。

7)飛機(jī)設(shè)計(jì)團(tuán)隊(duì)與某型飛機(jī)控制回路的不安全控制行為

飛機(jī)設(shè)計(jì)團(tuán)隊(duì)與某型飛機(jī)控制回路的不安全控制行為如表2.13所示。

2.3.4事故致因因素分析

通過(guò)分析某型軍機(jī)的生命保障系統(tǒng)和研制及組織管理系統(tǒng)的內(nèi)部控制關(guān)系,對(duì)兩個(gè)系統(tǒng)模型中各層次的控制回路存在的不安全控制行為進(jìn)行了詳細(xì)梳理,發(fā)現(xiàn)了與事故有直接

聯(lián)系的不安全控制行為。針對(duì)這些不安全控制行為,總結(jié)出事故原因如下:

1.機(jī)械原因

(1)發(fā)動(dòng)機(jī)引氣系統(tǒng)故障。發(fā)動(dòng)機(jī)引氣系統(tǒng)故障直接導(dǎo)致環(huán)境控制系統(tǒng)停止向機(jī)載制氧系統(tǒng)提供壓力,導(dǎo)致機(jī)載制氧系統(tǒng)失效,輸送至飛行員氧氣面罩的氣體壓力減小,導(dǎo)致

飛行員呼吸困難。

(2)缺少備用氧源。根源為設(shè)計(jì)團(tuán)隊(duì)未將備份制氧系統(tǒng)列為影響飛行安全的關(guān)鍵設(shè)備,其次是軍方未采納承包商提出的加裝備份制氧系統(tǒng)的方案?，F(xiàn)代軍機(jī)以機(jī)載制氧系統(tǒng)

輸出的富氧氣體作為飛行員呼吸用的主要氧源。為提高系統(tǒng)可靠性,預(yù)防機(jī)載制氧系統(tǒng)失效導(dǎo)致無(wú)氧可用的情況發(fā)生,通常以高壓氧瓶?jī)?chǔ)氧作為第二氧源,為主氧備份。

(3)應(yīng)急供氧系統(tǒng)圓環(huán)所處位置不方便。應(yīng)急供氧系統(tǒng)圓環(huán)位于座椅下部靠后的位置,當(dāng)出現(xiàn)緊急情況要拉動(dòng)時(shí),非常不利于飛行員提拉操作。

(4)飛行員所穿抗荷背心存在閥門設(shè)計(jì)缺陷?？购杀承脑诟咚亠w行時(shí)對(duì)飛行員加壓,防止上身血液流向下身并積聚,導(dǎo)致飛行員腦部缺氧。在調(diào)查中發(fā)現(xiàn)該背心的一個(gè)閥門存

在設(shè)計(jì)缺陷,會(huì)在不該加壓時(shí)向飛行員增加壓力,導(dǎo)致飛行員呼吸困難,出現(xiàn)缺氧情況。

(5)未采取有效手段(如安裝傳感器等)對(duì)制氧過(guò)程中的實(shí)時(shí)氧氣濃度進(jìn)行監(jiān)控。事故證明當(dāng)機(jī)載制氧系統(tǒng)失效時(shí),飛行員應(yīng)在第一時(shí)間得到警告,掌握故障情況。

2.人為原因

人為原因主要是針對(duì)飛行員的注意力局限。所謂注意力局限,就是說(shuō)飛行員在緊急狀況下不能將注意力分配到所有的事物上。飛行員在機(jī)載制氧系統(tǒng)失效時(shí)會(huì)激活應(yīng)急供氧系

統(tǒng),呼吸困難也會(huì)促使飛行員開(kāi)啟應(yīng)急供氧系統(tǒng),但事后的調(diào)查發(fā)現(xiàn)應(yīng)急供氧系統(tǒng)并未被開(kāi)啟,這可能是飛行員在呼吸困難時(shí)注意力受限,將注意力放在了恢復(fù)氧氣面罩氧氣的恢復(fù)供應(yīng)上。其次,在飛行員經(jīng)歷了可辨別的每秒45度的機(jī)動(dòng)后,由于注意力局限導(dǎo)致其并未發(fā)現(xiàn)這一飛行狀態(tài),從而導(dǎo)致其視野喪失,延遲了將飛機(jī)調(diào)整至正常飛行姿態(tài)的時(shí)機(jī)。另外,部分某型飛機(jī)飛行員在反饋缺氧事件時(shí),信息不夠準(zhǔn)確,靠主觀直覺(jué)進(jìn)行判斷。

3.技術(shù)層面和組織管理方面的原因

在這起事故中,設(shè)計(jì)層為了節(jié)約項(xiàng)目經(jīng)費(fèi),對(duì)飛機(jī)的安全性設(shè)計(jì)不夠重視,對(duì)裝備的使用環(huán)境研究不足,未按照適航要求進(jìn)行設(shè)計(jì)。管理層方面存在對(duì)飛行員駕駛某型飛機(jī)高空飛行缺氧情況分析以及模擬訓(xùn)練不足等問(wèn)題,同時(shí)還有對(duì)某型飛機(jī)飛行員的生理情況監(jiān)控不及時(shí),未充分分析引氣系統(tǒng)故障影響,未將備用氧源列為關(guān)鍵設(shè)備,抗荷背心設(shè)計(jì)缺陷監(jiān)管不足等方面的問(wèn)題。另外,飛行基地在飛行員執(zhí)行任務(wù)前未正確地評(píng)估訓(xùn)練風(fēng)險(xiǎn),及時(shí)發(fā)現(xiàn)存在的問(wèn)題。

4.總結(jié)

通過(guò)對(duì)某型軍機(jī)墜機(jī)事故構(gòu)建STAMP模型進(jìn)行致因分析,得出的事故致因與某軍事故調(diào)查結(jié)論相比較為接近,說(shuō)明基于STAMP的致因分析在軍機(jī)層面上同樣有效,可以作為一種分析軍用飛機(jī)航空事故原因的有效手段和方法。需要注意的是,相對(duì)于民機(jī)來(lái)講,軍機(jī)的主要目的是遂行作戰(zhàn)任務(wù),具有特定的結(jié)構(gòu)設(shè)計(jì)、生產(chǎn)研制流程以及組織管理體系,在構(gòu)建系統(tǒng)模型時(shí)必須要將其考慮在內(nèi)。

在設(shè)計(jì)制造領(lǐng)域,應(yīng)該關(guān)注軍機(jī)的全系統(tǒng)、全過(guò)程、全壽命的各個(gè)階段,從最初軍機(jī)的設(shè)計(jì)和制造到接下來(lái)軍機(jī)的使用和管理,需要對(duì)其進(jìn)行全方位的分析,尤其是要注意各環(huán)

節(jié)、系統(tǒng)、因素之間的交聯(lián)關(guān)系,控制過(guò)程稍有差錯(cuò),便易導(dǎo)致事故。

隨著軍用航空裝備復(fù)雜程度的增加和信息化水平的提升,新型軍用飛機(jī)在作戰(zhàn)效能提高的同時(shí),并未帶來(lái)安全性的提升。因此,需要發(fā)展新的理論方法(如軍機(jī)適航理論)來(lái)預(yù)防和緩解軍機(jī)事故的發(fā)生。

2.4某無(wú)人機(jī)被誘捕案例致因分析

2.4.1事件簡(jiǎn)介2011年12月4日,某國(guó)宣布其防空部隊(duì)在與他國(guó)交界的東部邊境地區(qū)成功捕獲了一架入侵的隱身無(wú)人偵察機(jī),同時(shí)表示該機(jī)只是輕微受損,該架無(wú)人機(jī)被俘獲時(shí)正承擔(dān)著某國(guó)中央情報(bào)局(CIA)的偵察任務(wù)。12月9日,該國(guó)展示了被捕獲的無(wú)人機(jī),展示中的機(jī)體相當(dāng)完整,幾乎沒(méi)有損毀。

通過(guò)以上對(duì)此次無(wú)人機(jī)事故的簡(jiǎn)要描述,采用STEP模型,將此次事故進(jìn)行圖形描述,具體情況如圖2.6所示。圖2.6某軍無(wú)人機(jī)被他國(guó)誘捕事故過(guò)程簡(jiǎn)述圖

2.4.2無(wú)人機(jī)系統(tǒng)控制結(jié)構(gòu)分析

在前文基本了解事故發(fā)生過(guò)程,并采用STEP模型對(duì)事故進(jìn)行STEP圖形描述的基礎(chǔ)上,首先構(gòu)建某軍無(wú)人機(jī)的系統(tǒng)控制結(jié)構(gòu),之后從STEP模型所描述的處于非正常工作狀態(tài)的事件中識(shí)別系統(tǒng)危險(xiǎn),再根據(jù)系統(tǒng)危險(xiǎn)進(jìn)行系統(tǒng)安全約束和安全性需求的識(shí)別,構(gòu)建出實(shí)施安全約束的安全控制結(jié)構(gòu),最后按照STAMP模型中的四類不安全控制行為找出此次典型事故中的不安全控制行為,得出不安全致因場(chǎng)景(因素),闡明事故原因。

根據(jù)某軍無(wú)人機(jī)的管理機(jī)制,構(gòu)建出的無(wú)人機(jī)系統(tǒng)控制結(jié)構(gòu)圖如圖2.7所示。

圖2.7無(wú)人機(jī)系統(tǒng)控制結(jié)構(gòu)圖

2.4.3系統(tǒng)危險(xiǎn)識(shí)別

系統(tǒng)級(jí)事故是相對(duì)的,把每一個(gè)高層的系統(tǒng)與低層的系統(tǒng)進(jìn)行對(duì)比,就可以把相對(duì)高層的系統(tǒng)當(dāng)作是系統(tǒng),低層的當(dāng)作是子系統(tǒng)。系統(tǒng)級(jí)事故就是指發(fā)生在系統(tǒng)層面上的事故,

往往會(huì)很明顯地暴露出來(lái),它常常是由它的子系統(tǒng)的事故引起的。危險(xiǎn)也可以照此定義。

危險(xiǎn)(Hazard)是指某事物存在遭受損失、傷害、不利或毀滅的可能狀態(tài)。系統(tǒng)級(jí)危險(xiǎn)是指系統(tǒng)存在遭受損失、傷害、不利或毀滅的可能狀態(tài)?？梢?jiàn),危險(xiǎn)強(qiáng)調(diào)的是發(fā)生這種不利情況的概率高低。在STAMP分析中,危險(xiǎn)被定義為一個(gè)系統(tǒng)狀態(tài)或一系列條件,在特定的最不利環(huán)境條件下,會(huì)導(dǎo)致事故或損失,根據(jù)STAMP框架,安全問(wèn)題被看成是一個(gè)控制問(wèn)題,但控制不好也有可能導(dǎo)致潛在的事故。

對(duì)于無(wú)人機(jī)組成的系統(tǒng)來(lái)說(shuō),它的最高級(jí)系統(tǒng)———無(wú)人機(jī)系統(tǒng)(UAS)就包括了無(wú)人飛行器(UAV)、指揮和控制數(shù)據(jù)鏈、通信系統(tǒng)、UAV控制站(UCS)及其他用于起飛和降落的輔助部件。因此,系統(tǒng)級(jí)事故不再僅僅表現(xiàn)為無(wú)人飛行器的墜毀、碰撞等,還有其他部件或者系統(tǒng)的事故。通過(guò)分析得出無(wú)人機(jī)系統(tǒng)主要存在五類危險(xiǎn),如表2.14所示。

在此典型事故案例中,系統(tǒng)危險(xiǎn)就是上述無(wú)人機(jī)系統(tǒng)五類危險(xiǎn)中的第二類危險(xiǎn)。在一定程度上,還造成了第五類危險(xiǎn)。將STEP分析結(jié)果和危險(xiǎn)識(shí)別標(biāo)準(zhǔn)結(jié)合起來(lái),可以看出

有幾個(gè)不正常的事件(即危險(xiǎn)):

(1)某國(guó)對(duì)無(wú)人機(jī)的通信進(jìn)行干擾,給無(wú)人機(jī)提供了虛假信息。

(2)飛機(jī)操縱員失去了無(wú)人機(jī)的控制權(quán)。

(3)無(wú)人機(jī)控制系統(tǒng)軟件被某國(guó)下達(dá)指令,按照虛假信息指令飛抵指定機(jī)場(chǎng)。

2.4.4系統(tǒng)安全性需求和安全約束識(shí)別

基于STAMP模型的系統(tǒng)安全性需求和安全約束識(shí)別首先應(yīng)明確分析對(duì)象,在無(wú)人機(jī)事故中,需要分析的對(duì)象有三類:

①人,主要指飛行指揮員、飛行操縱員和地面保障人員等;

②無(wú)人機(jī),主要包括子系統(tǒng)的硬件和軟件;

③飛行環(huán)境。

根據(jù)以上分析對(duì)象以及對(duì)無(wú)人機(jī)事故的了解掌握,可以得出分析對(duì)象的安全性需求和安全約束如圖2.8所示。

圖2.8無(wú)人機(jī)系統(tǒng)的安全性需求和安全約束

要預(yù)防此次飛行事故需要以下的安全約束:

(1)飛行操縱員實(shí)時(shí)注意無(wú)人機(jī)的通信鏈路系統(tǒng)是否斷開(kāi)。

(2)無(wú)人機(jī)控制系統(tǒng)在與自身系統(tǒng)斷開(kāi)后,自動(dòng)開(kāi)啟自毀系統(tǒng)。

2.4.5實(shí)施安全約束的安全控制結(jié)構(gòu)分析

根據(jù)STAMP理論,需要建立無(wú)人機(jī)的控制結(jié)構(gòu)圖?？刂平Y(jié)構(gòu)圖一個(gè)最大的優(yōu)點(diǎn)是能夠很清晰明了地描述系統(tǒng),很容易看出因?yàn)槟膫€(gè)部件約束失效而導(dǎo)致了意外的發(fā)生。某軍

對(duì)無(wú)人機(jī)的控制結(jié)構(gòu)圖如圖2.9所示。

圖2.9某軍對(duì)無(wú)人機(jī)的控制結(jié)構(gòu)圖

2.4.6導(dǎo)致危險(xiǎn)的不安全控制行為分析

在運(yùn)用STAMP分析方法時(shí),非常重要的一步是評(píng)估在系統(tǒng)設(shè)計(jì)時(shí)采取的控制行為,以確定可能會(huì)導(dǎo)致危險(xiǎn)的不安全控制行為,在實(shí)際過(guò)程中識(shí)別系統(tǒng)中存在的不安全控制行為時(shí),通常有四種形式:

(1)發(fā)出不正確或?qū)Π踩杏绊懙目刂泼睢?/p>

(2)不能實(shí)施所需要的安全控制行動(dòng)。

(3)控制命令發(fā)出的時(shí)機(jī)不恰當(dāng)。

(4)控制過(guò)程停止(結(jié)束)得太早或?qū)嵤r(shí)間太長(zhǎng)。

通過(guò)前文分析發(fā)現(xiàn)無(wú)人機(jī)系統(tǒng)主要存在五類危險(xiǎn),接下來(lái)就每一類危險(xiǎn)源來(lái)分析其不安全控制行為。

1.無(wú)人機(jī)空中相撞

無(wú)人機(jī)空中相撞的不安全控制行為如表2.15所示。

為避免無(wú)人機(jī)空中相撞,應(yīng)采取的控制行動(dòng)有:

(1)確保無(wú)人機(jī)不偏離預(yù)定的飛行航線或飛行高度。

(2)確保飛行前的航路規(guī)劃沒(méi)有問(wèn)題、無(wú)人機(jī)具有較強(qiáng)的自主決策能力。

(3)確保無(wú)人機(jī)上安裝的傳感器沒(méi)有故障或者失效。

表2.15中列舉了空中相撞的不安全控制行為,接下來(lái)將其應(yīng)用于控制回路,如圖2.10所示。

圖2.10空中相撞不安全控制行為圖

2.無(wú)人機(jī)被誘捕事件

將圖2.7與無(wú)人機(jī)被誘捕事件對(duì)照,可以把某軍的無(wú)人機(jī)系統(tǒng)控制結(jié)構(gòu)圖進(jìn)行簡(jiǎn)化,如圖2.11所示。

根據(jù)圖2.11構(gòu)建的控制結(jié)構(gòu),依次考慮典型事故案例中必須實(shí)施的所有控制行動(dòng),從而確定涉及的所有不安全控制行為,并將它們作為系統(tǒng)中潛在的故障源。

圖2.11簡(jiǎn)化的無(wú)人機(jī)系統(tǒng)控制結(jié)構(gòu)圖

根據(jù)誘捕事件的簡(jiǎn)要過(guò)程,將控制行動(dòng)主要分為以下三大類:

(1)發(fā)現(xiàn):確保無(wú)人機(jī)不被敵方雷達(dá)發(fā)現(xiàn)。

(2)干擾:確保無(wú)人機(jī)和GPS衛(wèi)星連接正常,地面指揮控制站能收到無(wú)人機(jī)的相關(guān)狀態(tài)信息,確保地面指揮控制站能及時(shí)向無(wú)人機(jī)輸送控制指令。

(3)接管:確保飛行指揮員對(duì)無(wú)人機(jī)的控制權(quán),確保無(wú)人機(jī)嚴(yán)格按照控制指令進(jìn)行飛行。

誘捕事件中具體的不安全控制行為如表2.16所示。

將上述的不安全控制行為應(yīng)用于簡(jiǎn)化后的無(wú)人機(jī)控制圖,如圖2.12所示。

圖2.12誘捕事件中的不安全控制行為圖

將前文分析的誘捕事件中的不安全控制行為與此次某軍無(wú)人機(jī)被他國(guó)誘捕事故過(guò)程對(duì)應(yīng)起來(lái),將不安全控制行為應(yīng)用于某軍對(duì)無(wú)人機(jī)的控制圖,得出如圖2.13的結(jié)果。

圖2.13某軍對(duì)無(wú)人機(jī)的不安全控制行為圖

在此次事件中,發(fā)生的不安全控制行為主要是:

(1)某軍地面站無(wú)法獲得無(wú)人機(jī)的狀態(tài)信息,從而失去了對(duì)無(wú)人機(jī)的控制權(quán)。

(2)空地通信設(shè)備阻斷了無(wú)人機(jī)和地面指揮站之間的通信。

(3)無(wú)人機(jī)處于失控狀態(tài)。

3.無(wú)人機(jī)可控條件下的墜毀事件

防墜毀事件中主要的控制行動(dòng)有:

(1)在無(wú)人機(jī)上安裝防墜毀裝置,并確保其在關(guān)鍵時(shí)刻能正常工作。

(2)確保傳感器能及時(shí)、準(zhǔn)確地發(fā)現(xiàn)數(shù)據(jù)(姿態(tài)信息)的大幅度變化。

(3)確保無(wú)人機(jī)具有自動(dòng)避障功能。

(4)確保執(zhí)行機(jī)構(gòu)不發(fā)生異常情況。

墜毀事件中的不安全控制行為如圖2.14所示,主要有:

(1)無(wú)人機(jī)上未加裝防墜毀裝置。

(2)無(wú)人機(jī)操縱人員注意力不集中。

(3)設(shè)計(jì)時(shí)考慮防墜毀因素少。

(4)傳感器故障,對(duì)數(shù)據(jù)變化不敏感。

(5)執(zhí)行機(jī)構(gòu)未在無(wú)人機(jī)飛行前進(jìn)行檢查。

圖2.14墜毀事件中的不安全控制行為

4.無(wú)人機(jī)事故所造成的任務(wù)終止、環(huán)境污染等

對(duì)于此類事件,一般都不會(huì)產(chǎn)生很大的危險(xiǎn),只會(huì)導(dǎo)致一些活動(dòng)的結(jié)束。對(duì)于此類事件,我們需要做的就是盡量避免前三類事件的發(fā)生。

5.無(wú)人機(jī)造成地面操作和空管人員負(fù)擔(dān)加重等

近年來(lái),無(wú)人機(jī)干擾民航飛機(jī)飛行的情況時(shí)有發(fā)生,導(dǎo)致空管人員不得不改變民航原來(lái)計(jì)劃好的飛行路線,此時(shí)無(wú)疑增加了空管人員的工作內(nèi)容,加重了工作負(fù)擔(dān)。對(duì)于此類危險(xiǎn)類型,采取的控制行動(dòng)僅為限制無(wú)人機(jī)的活動(dòng)空域,避免其與其他飛機(jī)的空間接觸。該類事件的不安全控制行為有:無(wú)人機(jī)失控;無(wú)人機(jī)的頻段與民航飛機(jī)的頻段臨近,導(dǎo)致出現(xiàn)兩者相互干擾的事件發(fā)生;未設(shè)置禁飛區(qū)。

最后的兩類危險(xiǎn)一般都作為附帶危險(xiǎn)出現(xiàn),所以它的不安全行為基本上就為前三類危險(xiǎn)的部分組合。

2.4.7不安全致因場(chǎng)景分析

前文分析出了三個(gè)控制回路的不安全控制行為,接下來(lái)對(duì)本次事故中出現(xiàn)的不安全控制行為分析致因場(chǎng)景。分析不安全致因場(chǎng)景就是對(duì)不安全控制行為的發(fā)生場(chǎng)景進(jìn)行分析,

目的是深入分析每一個(gè)不安全控制行為發(fā)生背后的原因。具體如圖2.15所示。

圖2.15不安全致因因素圖

(1)某軍無(wú)法獲得無(wú)人機(jī)的狀態(tài)信息,從而失去對(duì)無(wú)人機(jī)的控制權(quán)。此次不安全控制行為屬于人為失誤中的監(jiān)督不足,某軍飛行操縱員應(yīng)時(shí)刻注意對(duì)無(wú)人機(jī)進(jìn)行控制。

(2)空地通信設(shè)備阻斷了和地面指揮站之間的通信。通信設(shè)備(GPS衛(wèi)星)受到某國(guó)信號(hào)干擾,從而阻斷了信息傳遞。

(3)無(wú)人機(jī)處于失控狀態(tài)。在飛行前設(shè)置好自動(dòng)返航程序,使無(wú)人機(jī)即使處于失控狀態(tài),也能按照既定程序返航。

2.4.8事故致因因素分析

1.人為因素

無(wú)人機(jī)事故中的人為因素如圖2.16所示,人為原因在事故中占據(jù)著重要地位,我們將人為原因分為在實(shí)施層面上的人的不安全行為和在管理層面上的不安全監(jiān)督,并就具體事項(xiàng)進(jìn)行說(shuō)明。

圖2.16無(wú)人機(jī)事故中的人為因素

不安全行為的具體事項(xiàng)如圖2.17所示。圖2.17不安全行為的具體事項(xiàng)

不安全行為的前提的具體事項(xiàng)如圖2.18所示。圖2.18不安全行為的前提的具體事項(xiàng)

不安全監(jiān)督的具體事項(xiàng)如圖2.19所示。圖2.19不安全監(jiān)督的具體事項(xiàng)

組織影響的具體事項(xiàng)如圖2.20所示。圖2.20組織影響的具體事項(xiàng)

2.子系統(tǒng)機(jī)械故障

無(wú)人機(jī)系統(tǒng)中包含的子系統(tǒng)較多,有些子系統(tǒng)的故障屬于飛行時(shí)不可避免的,有些可以避免,但因?yàn)闊o(wú)人化的特點(diǎn)加大了在飛行過(guò)程中排除機(jī)械故障的難度,相比于有人機(jī)來(lái)說(shuō),無(wú)人機(jī)機(jī)械故障的次數(shù)會(huì)更高一點(diǎn)。

機(jī)械故障對(duì)應(yīng)著我們的日常維護(hù),無(wú)論是外場(chǎng)簡(jiǎn)單維護(hù)還是定檢大修,都需要盡可能把無(wú)人機(jī)的狀態(tài)保持在很好的狀態(tài),提高戰(zhàn)備出勤率。機(jī)械故障中包含的具體故障很多,但對(duì)無(wú)人機(jī)影響最大的是其最核心的子系統(tǒng),即飛控系統(tǒng),它直接影響著飛行安全。

3.數(shù)據(jù)鏈路通信中斷

數(shù)據(jù)鏈路通信中斷是無(wú)人機(jī)操作中極易出現(xiàn)的故障,但有些性能突出的無(wú)人機(jī)因?yàn)榫哂懈叨茸詣?dòng)化的特點(diǎn)加之飛行前已經(jīng)將線路規(guī)劃得毫無(wú)問(wèn)題,因此,也能夠自主完成任務(wù)

并安全返航。對(duì)數(shù)據(jù)鏈路通信中斷進(jìn)行深層次的分析,可以看出直接造成數(shù)據(jù)鏈路系統(tǒng)通信中斷的原因有數(shù)據(jù)鏈路系統(tǒng)故障、無(wú)線電電磁干擾(EMI)和信號(hào)強(qiáng)度弱。數(shù)據(jù)鏈路系統(tǒng)

故障包括網(wǎng)絡(luò)故障、電源故障、終端故障、接觸不良和其他原因。

4.人機(jī)交互問(wèn)題

地面站的指揮人員是通過(guò)人機(jī)交互界面來(lái)判斷無(wú)人機(jī)狀態(tài)的,但存在著許多人機(jī)交互的問(wèn)題。比如死神無(wú)人機(jī),其操作步驟比較復(fù)雜,易造成誤操作。同時(shí),和有人機(jī)自動(dòng)飛行

時(shí)一樣,都必須考慮一個(gè)問(wèn)題:機(jī)器在重要時(shí)刻到底是聽(tīng)人指揮還是按照自己設(shè)定好的程序進(jìn)行操作。人最大的特點(diǎn)是可以靈活處理問(wèn)題,只要培訓(xùn)到位、危險(xiǎn)能規(guī)避,那么就可以消除風(fēng)險(xiǎn)。

而現(xiàn)如今的機(jī)器雖然具有很強(qiáng)的學(xué)習(xí)能力,但需要處于某種特定的狀態(tài)才可以自動(dòng)開(kāi)啟程序,且需要機(jī)器對(duì)狀態(tài)判斷準(zhǔn)確,若誤判,則會(huì)發(fā)生同樣的危險(xiǎn)。比如埃航和獅航737MAX飛機(jī),在不到半年的時(shí)間內(nèi)發(fā)生了兩起事故,導(dǎo)致了全世界停飛該機(jī)型。在這兩起事件中,就是因?yàn)樵O(shè)計(jì)時(shí)將飛機(jī)發(fā)動(dòng)機(jī)前置,為了保持飛機(jī)飛行穩(wěn)定,添加了自動(dòng)增穩(wěn)系統(tǒng)。導(dǎo)致事故的原因是飛機(jī)俯仰迎角(AOA迎角)傳感器數(shù)據(jù)錯(cuò)誤導(dǎo)致自動(dòng)駕駛斷開(kāi)后,飛行員在手動(dòng)飛行情況下,為了防止飛機(jī)失速,自動(dòng)觸發(fā)了飛機(jī)水平尾翼配平子程序。

結(jié)合本次典型事故案例,經(jīng)過(guò)我們上述的研究分析之后,知道了發(fā)生此次某軍無(wú)人機(jī)被他國(guó)誘捕事故的原因是某國(guó)綜合利用了網(wǎng)絡(luò)黑客攻擊和電子戰(zhàn)手段。

本章小結(jié)

本章以幾起典型航空事故為例,介紹了STPA方法的具體應(yīng)用情況。在案例分析過(guò)程中,分別對(duì)四個(gè)案例的事故經(jīng)過(guò)進(jìn)行了簡(jiǎn)要敘述,基于STPA方法,建立了事故安全性分析的分層控制結(jié)構(gòu),識(shí)別了事故、危險(xiǎn)和不安全控制行為,最后得到了事故的致因因素。第三章航空器機(jī)輪剎車系統(tǒng)安全性分析與驗(yàn)證3.1機(jī)輪剎車系統(tǒng)簡(jiǎn)介3.2機(jī)輪剎車系統(tǒng)安全性分析3.3機(jī)輪剎車系統(tǒng)危險(xiǎn)事件定量分析3.4機(jī)輪剎車系統(tǒng)GESTE驗(yàn)證平臺(tái)本章小結(jié)

3.1機(jī)輪剎車系統(tǒng)簡(jiǎn)介

3.1.1機(jī)輪剎車系統(tǒng)事故案例概述以下事故是從空軍歷年來(lái)所發(fā)生的事故案例中挑選出來(lái)的,通過(guò)對(duì)這些事故進(jìn)行分析,可以得到剎車系統(tǒng)的一般出障模式以及引起剎車系統(tǒng)故障的原因。

事故一:某型飛機(jī)在當(dāng)日第四個(gè)起落著陸滑行過(guò)程中,右輪爆破,導(dǎo)致飛機(jī)失控沖出跑道,險(xiǎn)些造成一等飛行事故。事故的原因是右輪剎車主體靜片第二片金屬陶瓷層掉塊卡住動(dòng)片,造成右輪拖胎爆破。該飛機(jī)剎車主體動(dòng)、靜片在裝機(jī)后,共使用22個(gè)起落。有關(guān)工廠赴部隊(duì)檢查后認(rèn)為:導(dǎo)致事故發(fā)生的原因是飛機(jī)在著陸滑行過(guò)程中速度大、剎車過(guò)猛,導(dǎo)致輪胎瞬間受力過(guò)大,進(jìn)而爆破。

事故二:某型飛機(jī)在當(dāng)日第三架次起飛滑跑瞬間,左輪冒煙,飛機(jī)右偏,飛行員蹬舵修正方向,收油門關(guān)車,飛機(jī)向前滑行約20米停住,兩個(gè)左輪胎爆破。事故的原因是飛機(jī)在裝配過(guò)程中,一鋁片和膠條帶入導(dǎo)管內(nèi)部,使用過(guò)程中進(jìn)入剎車閥內(nèi)部,飛機(jī)起飛前進(jìn)行正常剎車并松剎車時(shí),外來(lái)物引發(fā)閥芯和閥套卡滯,導(dǎo)致右剎車壓力釋放不及時(shí),造成輪胎拖死,最終導(dǎo)致剎爆輪胎。

事故三:某型飛機(jī)在著陸滑跑過(guò)程中兩主輪輪胎爆破,發(fā)生一起飛行事故征候。左輪輪胎爆破的原因是:飛機(jī)在著陸滑跑過(guò)程中,左輪慣性傳感器因內(nèi)部硬質(zhì)顆粒物卡滯而造成工作異常,放氣活門無(wú)法正常放氣,導(dǎo)致左輪輪胎拖胎爆破。右輪輪胎爆破的原因是:在飛機(jī)滑跑后段,飛行員為保持滑跑方向,蹬右舵剎車,由于小速度時(shí)慣性傳感器不工作,導(dǎo)致右輪輪胎拖胎爆破。

3.1.2機(jī)輪剎車系統(tǒng)事故案例分析

上述案例只是從大量事故案例中挑選出來(lái)的一些典型案例,對(duì)這些事故案例進(jìn)行分析,可以很明顯地看出,飛機(jī)在降落時(shí)每個(gè)環(huán)節(jié)都必須保證精準(zhǔn)、正確才能使飛機(jī)安全降落,稍有不慎就會(huì)發(fā)生危險(xiǎn)。飛行員操控不當(dāng)、剎車片反應(yīng)延遲甚至不反應(yīng)等,這些都是飛機(jī)降落中發(fā)生事故的主要原因。因此,要保證飛機(jī)剎車的安全進(jìn)行,就必須保證每個(gè)環(huán)節(jié)都能安全、精準(zhǔn)地完成。這就對(duì)整個(gè)剎車系統(tǒng)提出了很高的要求。

3.1.3機(jī)輪剎車系統(tǒng)工作過(guò)程

飛機(jī)機(jī)輪剎車系統(tǒng)是重要的機(jī)載設(shè)備,它是飛機(jī)上一個(gè)具有相對(duì)獨(dú)立功能的子系統(tǒng),是現(xiàn)代飛機(jī)的一個(gè)重要組成部分。剎車系統(tǒng)的主要作用是承受飛機(jī)的靜態(tài)重量、動(dòng)態(tài)沖擊

載荷以及吸收飛機(jī)著陸時(shí)的動(dòng)能,從而實(shí)現(xiàn)對(duì)飛機(jī)起飛、轉(zhuǎn)彎、滑行、著陸的綜合控制。剎車系統(tǒng)的運(yùn)行狀態(tài)直接關(guān)系到飛機(jī)的平穩(wěn)起飛、安全著陸。為了充分利用地面提供給機(jī)

輪的摩擦阻力,快速、安全地吸收飛機(jī)在降落過(guò)程中由飛機(jī)動(dòng)能產(chǎn)生的巨大能量,剎車系統(tǒng)綜合應(yīng)用了液(氣)壓傳動(dòng)技術(shù)、電子技術(shù)、自動(dòng)控制技術(shù)和材料科學(xué)技術(shù),以確保各項(xiàng)功能的正常運(yùn)行。對(duì)現(xiàn)在軍用飛機(jī)而言,其安全往往受到各種因素的制約,這也對(duì)剎車系統(tǒng)提出了非常苛刻的要求。

1.工作原理

目前剎車系統(tǒng)的工作原理大致可分為以下四種類型:

(1)相對(duì)滑動(dòng)量控制。相對(duì)滑動(dòng)量指的是飛機(jī)前進(jìn)方向的滑行速度和機(jī)輪線速度之間的差值與線速度的比值。飛機(jī)剎車時(shí),速度傳感器向剎車控制系統(tǒng)提供飛機(jī)前輪和主輪的速度。

(2)開(kāi)關(guān)式剎車控制。開(kāi)關(guān)式剎車控制系統(tǒng)出現(xiàn)得比較早,其原理也比較簡(jiǎn)單。在飛機(jī)剎車減速的過(guò)程中,飛機(jī)的減速率會(huì)增大到一定值,此時(shí)系統(tǒng)對(duì)剎車進(jìn)行控制,打開(kāi)其回

油路釋放壓力,剎車片不作用,機(jī)輪減小速率轉(zhuǎn)動(dòng);之后機(jī)輪上的慣性傳感器斷開(kāi)微動(dòng)電門,使電磁活門關(guān)閉,又使其回油路關(guān)閉,剎車壓力增大。通過(guò)這一系列操作可以使飛機(jī)在循環(huán)的過(guò)程中不斷減速,最后成功剎車。

(3)參考速率速度差控制。參考速率速度差控制是現(xiàn)代飛機(jī)中廣泛釆用的一種控制方式,工作原理也不復(fù)雜。事先在剎車控制模塊里設(shè)置參考速率,將其與實(shí)時(shí)的機(jī)輪轉(zhuǎn)速進(jìn)行比較,同時(shí)使其按相關(guān)規(guī)律減小。當(dāng)兩者的速度差超出之前的設(shè)定值時(shí),剎車控制系統(tǒng)對(duì)回油路進(jìn)行泄壓,以此防止機(jī)輪在剎車過(guò)程中出現(xiàn)打滑現(xiàn)象,以保證飛機(jī)剎車的安全。

(4)滑移率控制?；坡手傅氖禽喬ブ毙袝r(shí)剎車(或加速時(shí)輪胎的胎印和路面之間)所產(chǎn)生的滑移。通過(guò)滑移率進(jìn)行控制主要指的是將滑移率一直保持在一個(gè)比較穩(wěn)定的范圍

內(nèi),通過(guò)反復(fù)調(diào)整來(lái)提高剎車的工作效率?；坡士刂品绞接型箘x車效率達(dá)到最高。

下面選用滑移率控制式剎車系統(tǒng)進(jìn)行研究。飛機(jī)機(jī)輪剎車系統(tǒng)的工作原理如圖3.1所示。圖3.1飛機(jī)機(jī)輪剎車系統(tǒng)的基本結(jié)構(gòu)

剎車動(dòng)作實(shí)現(xiàn)的原理如下:飛機(jī)著陸后,輪載開(kāi)關(guān)閉合,輪載信號(hào)保持1.5s后剎車信號(hào)有效,防滑控制器根據(jù)輪速傳感器、駕駛艙和飛控系統(tǒng)的輸入信號(hào),接通剎車系統(tǒng)的液能源并產(chǎn)生控制電信號(hào)。剎車控制閥根據(jù)防滑控制器輸入的防滑控制電流大小,生成一定的剎車壓力施加到主剎車輪的剎車裝置上;主剎車輪的剎車裝置根據(jù)剎車控制閥輸入的剎車壓力的大小,生成一定的剎車力矩作用在主剎車輪上阻止機(jī)輪的轉(zhuǎn)動(dòng),進(jìn)而使得主剎車輪的輪胎與跑道之間出現(xiàn)一定程度的相對(duì)滑動(dòng),最終產(chǎn)生阻礙飛機(jī)運(yùn)動(dòng)的摩擦力。

3.2機(jī)輪剎車系統(tǒng)安全性分析

3.2.1確定系統(tǒng)級(jí)危險(xiǎn)在系統(tǒng)理論中,系統(tǒng)被視為分層結(jié)構(gòu),控制過(guò)程在層級(jí)間進(jìn)行,高層約束會(huì)影響下一層的活動(dòng),在研究不同的危險(xiǎn)時(shí),只有總體結(jié)構(gòu)中的相應(yīng)子系統(tǒng)需要考慮細(xì)節(jié),其他可視為子系統(tǒng)的輸入或環(huán)境。

飛機(jī)著陸階段機(jī)輪剎車系統(tǒng)存在的系統(tǒng)級(jí)事故主要包括人員受傷或死亡、飛機(jī)受損、地面設(shè)施受損等,這些事故主要分為兩大類:

(1)A1:對(duì)人員(包括飛行員和地面工作人員)造成生命損失或者重傷。

(2)A2:對(duì)飛機(jī)或飛機(jī)系統(tǒng)以外的物體造成損害。

與這些損失有關(guān)的危險(xiǎn)包括四大類:

(1)H1:推力不足以維持飛機(jī)受控飛行。

(2)H2:機(jī)身完整性喪失。

(3)H3:可控飛行撞地。

(4)H4:地面上的飛機(jī)離危險(xiǎn)物體太近,或飛機(jī)離開(kāi)跑道。

H4可以細(xì)化為與剎車減速相關(guān)的以下危險(xiǎn):

(1)H4－1:飛機(jī)降落、起飛或滑行時(shí)減速不足。

(2)H4－2:起飛時(shí)速度超過(guò)V1(決斷速度)后減速。

(3)H4－3:飛機(jī)靜止?fàn)顟B(tài)時(shí)剎車失效。

(4)H4－4:飛機(jī)方向控制能力失效。

(5)H4－5:飛機(jī)處于安全區(qū)域(滑行道、跑道等)外。

(6)H4－6:起飛后機(jī)輪未鎖定。

與這些危險(xiǎn)相關(guān)的高層系統(tǒng)安全約束是根據(jù)需求或設(shè)計(jì)上的約束對(duì)危險(xiǎn)進(jìn)行的簡(jiǎn)單重述,相應(yīng)的安全約束如下:

(1)SC1:在降落、起飛中止或滑行時(shí),剎車指令發(fā)出后,前向運(yùn)動(dòng)必須在規(guī)定時(shí)間內(nèi)減速。

(2)SC2:飛機(jī)在V1后不能減速。

(3)SC3:飛機(jī)停放時(shí)不得隨意移動(dòng)。

(4)SC4:差動(dòng)制動(dòng)不能導(dǎo)致飛機(jī)航向控制能力失效。

(5)SC5:飛機(jī)不能處于安全區(qū)域(滑行道、跑道等)外。

3.2.2構(gòu)建分層控制結(jié)構(gòu)

在識(shí)別出事故、系統(tǒng)安全隱患、系統(tǒng)級(jí)安全約束(要求)后,STPA方法的下一步是建立飛機(jī)功能控制結(jié)構(gòu)模型,運(yùn)用系統(tǒng)的功能控制結(jié)構(gòu)進(jìn)行分析。

根據(jù)典型飛機(jī)機(jī)輪剎車控制系統(tǒng)組成原理,可以簡(jiǎn)化出如圖3.2所示的整機(jī)級(jí)控制結(jié)構(gòu)模型。在該模型中只有三個(gè)不同層級(jí)的組件:飛行員、AACU和飛機(jī)物理系統(tǒng)。對(duì)于復(fù)

雜的飛機(jī)系統(tǒng),抽象級(jí)別可以用來(lái)放大當(dāng)前正在考慮的控制結(jié)構(gòu)的各個(gè)部分。這種自頂向下的改進(jìn)也有助于理解飛機(jī)的整體操作和識(shí)別組件之間的交互。

圖3.2整機(jī)級(jí)控制結(jié)構(gòu)

圖3.3給出了WBS功能控制結(jié)構(gòu),可以看出,為了更加全面地指定系統(tǒng)功能,從而更詳細(xì)地分析危險(xiǎn)場(chǎng)景,圖3.3中的功能結(jié)構(gòu)模型不同于前文中的WBS物理結(jié)構(gòu)模型,其主要目的是顯示“功能性”結(jié)構(gòu),而不需要對(duì)實(shí)現(xiàn)形式進(jìn)行任何假設(shè)。相較于圖3.2,圖3.3中的功能控制結(jié)構(gòu)添加了圖3.2中缺失的功能細(xì)節(jié)(例如自動(dòng)剎車命令和狀態(tài))并省略了圖3.2中添加的物理細(xì)節(jié)和功能實(shí)現(xiàn)細(xì)節(jié)。

圖3.3WBS功能控制結(jié)構(gòu)

3.2.3識(shí)別不安全控制行為

STPA方法的第三步是識(shí)別潛在的危險(xiǎn)控制行動(dòng),這一步驟主要是基于對(duì)過(guò)程模型的分析,具體過(guò)程模型可以采用關(guān)鍵信息來(lái)描述。在此階段,控制動(dòng)作是手動(dòng)提供還是自動(dòng)提供是無(wú)關(guān)緊要的。當(dāng)控制器的過(guò)程模型錯(cuò)誤時(shí),就會(huì)產(chǎn)生危險(xiǎn),錯(cuò)誤的情況就是不安全控制行為的四種分類:

(1)沒(méi)有提供控制行為;

(2)提供了產(chǎn)生危險(xiǎn)的控制行為;

(3)提供安全控制行為的時(shí)機(jī)過(guò)早或過(guò)晚;

(4)提供的控制行為作用時(shí)間過(guò)短或過(guò)長(zhǎng)。

功能控制結(jié)構(gòu)中的每一個(gè)功能組件都需要有相應(yīng)的過(guò)程模型,可以用表格的形式來(lái)表

1.飛行員的不安全控制行為分析

飛行員的不安全控制行為如表3.2所示。

2.自動(dòng)制動(dòng)控制器的不安全控制行為分析

自動(dòng)制動(dòng)控制器的不安全控制行為如表3.3所示。

3.液壓控制器的不安全控制行為分析

液壓控制器的不安全控制行為如表3.4所示。

3.2.4致因因素分析

STPA方法的第四步是分析不安全控制行為的致因,確定系統(tǒng)潛在的安全性需求。在不安全控制行為導(dǎo)致的危險(xiǎn)確定之后,根據(jù)STPA分析方法的控制反饋模型,可總結(jié)出剎車動(dòng)作產(chǎn)生危險(xiǎn)的兩方面原因:

①因采取錯(cuò)誤控制措施導(dǎo)致的危險(xiǎn);

②采取了安全措施但未能執(zhí)行(因錯(cuò)誤反饋信息)導(dǎo)致的危險(xiǎn)。

STPA中的致因因素分析過(guò)程與傳統(tǒng)的致因分析有較大區(qū)別。與失效模式和影響分析(FailureModeandEffectsAnalysis,FMEA)相比,它不考慮所有的故障,而只考慮導(dǎo)致前述步驟分析出的不安全控制行動(dòng)的致因;與故障樹(shù)分析相比,它類似于故障樹(shù)分析中對(duì)導(dǎo)致危險(xiǎn)場(chǎng)景的識(shí)別,但識(shí)別的不僅僅是組件故障,還考慮間接關(guān)系。

1.飛行員的分析

下面考慮不安全控制行為P.1a1,即飛行員在未自動(dòng)剎車(或剎車不足)時(shí),不進(jìn)行手動(dòng)剎車(需要制動(dòng)以避免H4－1和H4－5行為)。該過(guò)程控制結(jié)構(gòu)如圖3.4所示。

圖3.4控制結(jié)構(gòu)(飛行員)

1)錯(cuò)誤控制P.1a1的原因分析

從不安全控制行為開(kāi)始,向后追溯,可以通過(guò)對(duì)每個(gè)因果關(guān)系依次進(jìn)行解釋來(lái)識(shí)別場(chǎng)景,如表3.5所示。

場(chǎng)景1飛行員誤認(rèn)為自動(dòng)剎車已解鎖,并開(kāi)始工作(過(guò)程模型缺陷)。

過(guò)程模型有缺陷的原因可能包括:

(1)飛行員先前已配備自動(dòng)剎車,但不知道后來(lái)已無(wú)法使用。

(2)如果AC液壓控制器檢測(cè)到故障,則接收到的反饋可能不足。

(3)當(dāng)AC液壓控制器檢測(cè)到故障時(shí),飛行員發(fā)現(xiàn)自動(dòng)制動(dòng)控制器仍處于準(zhǔn)備狀態(tài),這是因?yàn)樽詣?dòng)制動(dòng)控制器沒(méi)有設(shè)計(jì)自檢功能。

(4)由于信息多、信息沖突、報(bào)警疲勞等原因,導(dǎo)致飛行員無(wú)法處理反饋。

場(chǎng)景2飛行員(雙人)在著陸時(shí)未手動(dòng)剎車,因?yàn)槊總€(gè)飛行員都認(rèn)為另一人在提供手動(dòng)剎車指令(流程模型不正確)。

流程模型不正確的原因:飛行員從其他系統(tǒng)(擾流器、逆推力等)感受到初始減速,可能對(duì)目前由誰(shuí)負(fù)責(zé)剎車有錯(cuò)誤認(rèn)知。

2)安全措施無(wú)效的分析

飛行員在需要時(shí)提供了手動(dòng)剎車但剎車無(wú)效,反饋失效原因如表3.6所示。

場(chǎng)景3由于WBS處于備用制動(dòng)模式,防滑閥關(guān)閉,因此飛行員的手動(dòng)剎車指令無(wú)效。

這種安全措施無(wú)效的原因包括:

(1)WBS處于備用制動(dòng)模式,可能是因?yàn)锳ACU在兩個(gè)通道中都檢測(cè)到了內(nèi)部故障,并關(guān)閉了液壓閥。

(2)防滑閥關(guān)閉可能是由于AC內(nèi)部故障導(dǎo)致輸出錯(cuò)誤命令,使所有閥門關(guān)閉。

場(chǎng)景4由于WBS處于備用制動(dòng)模式,防滑閥負(fù)載過(guò)大,因此飛行員的手動(dòng)剎車指令可能無(wú)效。

這種安全措施無(wú)效的原因包括:

(1)WBS處于備用制動(dòng)模式,飛行員關(guān)閉了液壓系統(tǒng)。

(2)由于AACU誤測(cè)到機(jī)輪在持續(xù)打滑(錯(cuò)誤的過(guò)程模型,AC分析更詳細(xì)地處理了這種情況),因而使防滑閥負(fù)載過(guò)大。

(3)AC誤測(cè)到機(jī)輪在持續(xù)打滑,機(jī)輪速度反饋部分指示突然減速,可能由于機(jī)輪速度傳感器故障。

2.自動(dòng)制動(dòng)控制器的分析

下面考慮不安全控制行為AC.1a1,即在著陸或中止起飛過(guò)程中,自動(dòng)剎車已解鎖但不提供制動(dòng)命令。該過(guò)程控制結(jié)構(gòu)如圖3.5所示。

圖3.5控制結(jié)構(gòu)(自動(dòng)制動(dòng)控制器)

1)錯(cuò)誤控制(AC.1a1)的原因分析

從不安全的控制行為開(kāi)始,向后追溯,可以通過(guò)對(duì)每個(gè)因果關(guān)系依次進(jìn)行解釋來(lái)確定場(chǎng)景。致因情景如表3.7所示。

場(chǎng)景1自動(dòng)控制器誤測(cè)已達(dá)預(yù)定減速率。

自動(dòng)制動(dòng)存在這種過(guò)程模型缺陷的原因包括:

(1)機(jī)輪速度反饋波動(dòng)太快(反饋不足),這可能會(huì)使實(shí)際的飛機(jī)速度難以檢測(cè),從而得到了不正確的飛機(jī)速度。

(2)反饋失去準(zhǔn)確性,可能是因?yàn)榕艿朗菨竦?防滑功能影響機(jī)輪剎車。

場(chǎng)景2自動(dòng)剎車已經(jīng)使飛機(jī)停止。

造成這種情況的原因包括:

(1)自動(dòng)剎車檢測(cè)到飛機(jī)停止便停止剎車并鎖定(設(shè)計(jì)缺陷)。

(2)當(dāng)飛機(jī)受到外力、推力或其他力的作用時(shí),飛機(jī)可能會(huì)移動(dòng)。

場(chǎng)景3自動(dòng)制動(dòng)未判定著陸或中止起飛狀態(tài)。

造成這種情況的原因包括:

(1)用于探測(cè)著陸的方法不適用于跑道或著陸條件。

(2)中止起飛時(shí)未探測(cè)到可能觸發(fā)的剎車條件。

(3)用于檢測(cè)著陸或中止起飛的傳感器故障。

2)正確措施但未能執(zhí)行的原因分析

著陸或起飛緊急制動(dòng)時(shí),自動(dòng)剎車提供了正確的制動(dòng)命令,但飛機(jī)沒(méi)有實(shí)現(xiàn)必要的減速。致因情景如表3.8所示。

場(chǎng)景4造成這種情況的原因包括:將制動(dòng)系統(tǒng)切換為交替制動(dòng)模式,然而提供自動(dòng)制動(dòng)命令時(shí)不能執(zhí)行。

(1)自動(dòng)制動(dòng)控制器繼續(xù)向飛行員反饋?zhàn)詣?dòng)制動(dòng)已啟動(dòng)(正在制動(dòng))。

(2)如果AC液壓控制器的兩個(gè)通道都有瞬時(shí)故障,則系統(tǒng)切換到交替制動(dòng)模式,故障被鎖定到下一個(gè)工作循環(huán)。

場(chǎng)景5液壓系統(tǒng)發(fā)生故障或飛行員手動(dòng)禁用液壓系統(tǒng),然而提供自動(dòng)制動(dòng)命令時(shí)不能執(zhí)行。造成這種情況的原因包括:

(1)自動(dòng)制動(dòng)控制器無(wú)法獲取指令,從而無(wú)法持續(xù)提供制動(dòng)命令。

(2)自動(dòng)剎車控制器向飛行員反饋?zhàn)詣?dòng)剎車已啟動(dòng)。

3.液壓控制器的分析

下面考慮不安全控制行為HC.3a1,即HC在收到制動(dòng)命令時(shí),不向閥門提供位置命令。該過(guò)程控制結(jié)構(gòu)如圖3.6所示。

圖3.6控制結(jié)構(gòu)(液壓控制器)

場(chǎng)景HC在接收制動(dòng)命令時(shí)沒(méi)有提供位置命令,這可能是因?yàn)橹苿?dòng)命令是由自動(dòng)制動(dòng)控制器發(fā)送的,而手動(dòng)制動(dòng)命令是在自動(dòng)制動(dòng)命令之前或期間接收的。

造成這種情況的原因包括:

(1)收到飛行員提供的手動(dòng)制動(dòng)指令。

(2)駕駛員無(wú)意中發(fā)出了手動(dòng)制動(dòng)指令(如著陸或顛簸時(shí)腳踩在踏板上)。

(3)其他干擾,如硬著陸或傳感器故障,會(huì)使手動(dòng)制動(dòng)指令失效。

3.3機(jī)輪剎車系統(tǒng)危險(xiǎn)事件定量分析

3.3.1剎車失效Bow-tie模型的構(gòu)建在剎車系統(tǒng)中,人們最不希望看到的就是剎車失效的發(fā)生,即飛機(jī)失去了制動(dòng)的能力。因此本節(jié)選取剎車失效為關(guān)鍵事件(即頂事件),并根據(jù)引發(fā)剎車失效的原因及剎車失效可能導(dǎo)致的后果構(gòu)建Bow-tie模型。

1.剎車失效危險(xiǎn)源分析

剎車系統(tǒng)由正常剎車系統(tǒng)和應(yīng)急剎車系統(tǒng)兩部分組成。正常剎車系統(tǒng)主要由制動(dòng)操作裝置、傳感器、剎車控制組件(BCU)、液壓油路、剎車裝置和各類控制閥門等組成。應(yīng)急剎車系統(tǒng)主要由制動(dòng)操作裝置、剎車裝置、液壓油路、轉(zhuǎn)換活門、應(yīng)急剎車活門等組成。以上任何部件發(fā)生故障都可能導(dǎo)致正常剎車系統(tǒng)或者應(yīng)急剎車系統(tǒng)失效,而當(dāng)正常剎車系統(tǒng)和應(yīng)急剎車系統(tǒng)同時(shí)失效時(shí)會(huì)導(dǎo)致剎車失效的發(fā)生。

根據(jù)剎車原理,正常剎車失效和應(yīng)急剎車失效的故障樹(shù)分別如圖3.7和圖3.8所示。

圖3.7正常剎車失效故障樹(shù)

圖3.8應(yīng)急剎車失效故障樹(shù)

在表3.9中列出了剎車失效故障樹(shù)的基本事件及其發(fā)生概率值。

2.剎車失效事故后果分析

針對(duì)以往對(duì)飛機(jī)剎車失效后果的統(tǒng)計(jì),將剎車失效導(dǎo)致的不安全后果分為以下四類:

(1)飛機(jī)停留在跑道上,無(wú)人員和機(jī)體損傷。

(2)飛機(jī)機(jī)體輕度損傷,無(wú)人員傷亡。

(3)飛機(jī)機(jī)體嚴(yán)重?fù)p傷,無(wú)人員傷亡。

(4)飛機(jī)發(fā)生起火并且導(dǎo)致人員傷亡。

3.剎車失效Bow-tie模型的構(gòu)建與后果分析

Bow-tie模型的頂事件是剎車失效。通過(guò)演繹推理可得出導(dǎo)致剎車失效的原因,通過(guò)歸納推理可得出剎車失效的結(jié)果。機(jī)輪剎車失效的Bow-tie模型構(gòu)建如圖3.9所示,Bow-tie

模型比較清晰地呈現(xiàn)了引發(fā)剎車失效的危險(xiǎn)源以及不同后果。

3.3.2剎車失效Bow-tie模型的量化求解

求解各個(gè)階段事件發(fā)生的概率是Bow-tie模型量化分析的關(guān)鍵,其中就包括了基本事件和控制事件概率的求解。然而,在系統(tǒng)的量化分析中通常包含大量的參數(shù),這些參數(shù)可能是確定的,也可能是不確定的。傳統(tǒng)的方法是視所有事件的概率均服從于固定的概率模型,但在實(shí)際工程中,由于實(shí)驗(yàn)條件的限制或者人為主觀因素的影響,人們往往無(wú)法得到精確的概率值。

1.全概率求解

在對(duì)Bow-tie模型開(kāi)展量化分析時(shí),首先要將所研究的模型的各個(gè)事件的邏輯關(guān)系表示出來(lái),再調(diào)用該模型進(jìn)行抽樣計(jì)算。圖3.10描述了建立剎車失效Bow-tie模型的過(guò)程。

圖3.10剎車失效Bow-tie模型構(gòu)建流程

若該部件失效時(shí)間T服從參數(shù)為λ的指數(shù)分布,記T~exp(λ),則可靠度函數(shù)為

在表3.10中列出了剎車失效故障樹(shù)的基本事件的故障時(shí)間及參數(shù)分布情況。

在控制事件抽樣的過(guò)程中,假定控制事件概率的分布情況服從均勻分布,即pSEj~B(a,b),因此對(duì)控制事件的概率pSE1,pSE2,…,pSEm進(jìn)行均勻分布抽樣。在表3.11中列出了剎車失效控制事件的發(fā)生概率及抽樣取值區(qū)間。

如圖3.11所示,該圖為調(diào)用剎車失效Bow-tie模型并且抽樣的過(guò)程。圖3.11全概率下剎車失效Bow-tie模型的抽樣過(guò)程

在抽樣計(jì)算結(jié)束后,可以得到N次抽樣后關(guān)鍵事件(即頂事件)和后果事件的發(fā)生概率,并用條形圖表示它們的概率值分布情況,分別如圖3.12和3.13所示。

從圖3.12和圖3.13中可以看出,關(guān)鍵事件和后果事件的發(fā)生概率的分布情況總體呈現(xiàn)正態(tài)分布的趨勢(shì)。在圖3.13中,由于在剎車失效發(fā)生后采取了有效的控制行動(dòng),因此嚴(yán)重后果事件發(fā)生的可能性要低于輕度后果事件發(fā)生的可能性。

圖3.12全概率抽樣下關(guān)鍵事件的發(fā)生概率情況統(tǒng)計(jì)圖

圖3.13全概率抽樣下后果事件的發(fā)生概率情況統(tǒng)計(jì)圖

同樣,還可進(jìn)一步得到它們的平均值和方差,即

對(duì)上述抽樣得到的關(guān)鍵事件和后果事件的概率值計(jì)算均值,可以得到由于剎車失效導(dǎo)致的關(guān)鍵事件和后果事件發(fā)生概率的均值,如圖3.14所示。

從圖3.14中可以發(fā)現(xiàn),后果事件的發(fā)生概率與引發(fā)它們的損失成反比,這一點(diǎn)與實(shí)際情況相符。

圖3.14全概率抽樣下剎車失效的關(guān)鍵事件和后果事件發(fā)生概率的均值

2.混合變量求解

在實(shí)際Bow-tie模型的量化求解中,如果把每一個(gè)控制措施生效或者失效的概率看作精確值,這顯然是不符合實(shí)際的,因?yàn)樵诠こ虒?shí)踐中只有很少的資料能夠作為參考,而這時(shí)往往也只能通過(guò)專家的經(jīng)驗(yàn)用模糊的語(yǔ)言來(lái)對(duì)概率進(jìn)行描述,如“左右”“良好”“大約”等[13]?；旌献兞壳蠼馐前袯ow-tie模型全概率量化分析過(guò)程中的一部分隨機(jī)變量考慮為模糊變量,這樣做就解決了事件概率不夠精確或者事件概率伴有人為主觀性因素影響的問(wèn)題。

在圖3.12所示的抽樣中加入有關(guān)三角隸屬函數(shù)的模糊變量,將四個(gè)控制事件按照不同隸屬度下的概率區(qū)間進(jìn)行抽樣,可實(shí)現(xiàn)模糊控制事件下的抽樣。

通過(guò)編程,可以得到四種后果事件發(fā)生概率

的分布情況與隸屬度的關(guān)系。同樣,可以得到后果事件發(fā)生概率

四種后果事件發(fā)生概率的上、下限值的分布情況與隸屬度的關(guān)系如圖3.15~圖3.18所示。圖3.15后果事件OE1的發(fā)生概率與隸屬度的關(guān)系

圖3.16后果事件OE2的發(fā)生概率與隸屬度的關(guān)系

圖3.17后果事件OE3的發(fā)生概率與隸屬度的關(guān)系

圖3.18后果事件OE4的發(fā)生概率與隸屬度的關(guān)系

3.3.3剎車失效重要度分析

1.概率重要度

概率重要度又稱Birnbaum重要度,是Birnbaum于19世紀(jì)60年代首次提出的關(guān)聯(lián)系統(tǒng)部件的重要概念。它的物理意義是表示在其他底事件狀態(tài)不發(fā)生變化的情況下,第i個(gè)底事件概率發(fā)生變化引起頂事件概率發(fā)生變化的程度。Birnbaum重要度由系統(tǒng)可靠度h(t)對(duì)單元可靠度pi(t)的偏導(dǎo)數(shù)來(lái)獲得,因此,在時(shí)刻t第i個(gè)單元的Birnbaum重要度定義為

結(jié)合故障樹(shù)分析方法描述Birnbaum重要度,有

式中:pi(t)為第i個(gè)系統(tǒng)在t時(shí)刻處于正常工作的概率,qi(t)為第i個(gè)系統(tǒng)在t時(shí)刻的不可靠度,Q0(t)表示同一時(shí)刻系統(tǒng)的不可靠度。

2.關(guān)鍵重要度

關(guān)鍵重要度是基于Birnbaum衡定方法提出的,也叫相對(duì)概率重要度。由于在概率重要度中考慮的是底事件的發(fā)生概率變化一個(gè)單位時(shí)頂事件發(fā)生概率的變化程度,可見(jiàn)它并沒(méi)

有考慮到不同底事件發(fā)生概率變化的難易程度。例如,在一種可靠度較高的部件上,失效概率基本上是確定的,而對(duì)于一種新研發(fā)的部件,其失效概率可能隨著技術(shù)的改進(jìn)有很大變化。

在這種情況下,將關(guān)鍵重要度定義為底事件i失效概率的變化率與它引起的頂事件失效概率的變化率之比,即

進(jìn)一步可以得到:

3.3.4剎車失效重要度計(jì)算

1.剎車失效概率重要度計(jì)算

根據(jù)概率重要度的定義,在MATLAB中可計(jì)算15個(gè)基本事件和4個(gè)控制事件發(fā)生概率對(duì)后果事件發(fā)生概率的重要程度。

圖3.19表示了每一個(gè)基本事件和控制事件對(duì)四類后果事件的概率重要度。

圖3.19各個(gè)基本事件和控制事件對(duì)四類后果事件的概率重要度

2.剎車失效關(guān)鍵重要度計(jì)算

根據(jù)關(guān)鍵重要度的定義,在MATLAB中可計(jì)算15個(gè)基本事件和4個(gè)控制事件概率的變化率對(duì)后果事件發(fā)生概率的影響程度。

圖3.20所示為各個(gè)基本事件和控制事件對(duì)四類后果事件的關(guān)鍵重要度。

圖3.20各個(gè)基本事件和控制事件對(duì)四類后果事件的關(guān)鍵重要度

3.3.5剎車失效預(yù)防對(duì)策和控制措施

以剎車失效故障作為關(guān)鍵事件進(jìn)行故障樹(shù)分析,可以得到可能導(dǎo)致剎車失效的四個(gè)主要原因,并針對(duì)這些危險(xiǎn)制定相對(duì)應(yīng)的預(yù)防措施;對(duì)剎車失效故障發(fā)生后的事件樹(shù)進(jìn)行分

析,可得到四種不同程度的后果情況,可針對(duì)這四類后果制定對(duì)應(yīng)的控制措施,并力圖消除這些可能導(dǎo)致的后果。機(jī)輪剎車失效的預(yù)防對(duì)策和控制措施如圖3.21所示。

圖3.21機(jī)輪剎車失效的預(yù)防對(duì)策和控制措施

3.4機(jī)輪剎車系統(tǒng)GESTE驗(yàn)證平臺(tái)

3.4.1GESTE平臺(tái)概述GESTE平臺(tái)依據(jù)半實(shí)物仿真的原理進(jìn)行模型的構(gòu)建,它綜合了數(shù)學(xué)仿真和物理仿真的優(yōu)點(diǎn),模型仿真程度較高且相對(duì)容易操作。利用GESTE平臺(tái)模擬仿真的方法可以針對(duì)WBS典型安全性需求進(jìn)行驗(yàn)證,通過(guò)顯示飛機(jī)著陸滑行過(guò)程的參數(shù)變化,可以得到不同控制行為下飛機(jī)的運(yùn)行狀態(tài),并針對(duì)飛機(jī)著陸提出相應(yīng)的安全性要求。依據(jù)對(duì)模型運(yùn)行結(jié)果的分析,可達(dá)到驗(yàn)證的目的。

GESTE平臺(tái)由顯示器、測(cè)試主機(jī)、實(shí)時(shí)處理機(jī)和嵌入式設(shè)備模擬器組成,如圖3.22所示。其中,電腦主機(jī)為測(cè)試主機(jī),在GESTE軟件中可進(jìn)行C語(yǔ)言源程序的開(kāi)發(fā),可通過(guò)顯

示界面掌握模型運(yùn)行情況并收集運(yùn)行產(chǎn)生的參數(shù)。操作時(shí)實(shí)時(shí)處理器依據(jù)程序代碼運(yùn)行,其操作系統(tǒng)是VxWorks嵌入式實(shí)時(shí)操作系統(tǒng),主要功能是對(duì)整個(gè)測(cè)試程序進(jìn)行實(shí)時(shí)驅(qū)動(dòng),分析處理連續(xù)工作的模型。

圖3.22GESTE平臺(tái)設(shè)備

GESTE平臺(tái)的建模方法如圖3.23所示,其仿真模型的建立主要有構(gòu)建飛機(jī)降落的交聯(lián)環(huán)境模型、建立/操作顯示界面、編制源程序、運(yùn)行模型、收集數(shù)據(jù)等幾個(gè)步驟。

圖3.23GESTE平臺(tái)建模方法

3.4.2典型安全性需求建模

1.模型構(gòu)建

在飛機(jī)著陸階段,與飛行員操作有關(guān)的安全性需求如下:

(1)在安全滑行速度達(dá)到規(guī)定值之前,飛行員須持續(xù)手動(dòng)制動(dòng)。

(2)飛行員在自動(dòng)制動(dòng)過(guò)程中不得關(guān)閉AACU電源。

(3)飛行員在進(jìn)行手動(dòng)剎車操作時(shí),不能用力過(guò)大或者用力過(guò)小。

(4)液壓控制器在出現(xiàn)故障時(shí)必須反饋給自動(dòng)剎車,必須鎖定自動(dòng)剎車狀態(tài)(并反饋給飛行員)。

(5)必須向飛行員反饋手動(dòng)制動(dòng)