《基于STAMP的航空安全理论与实践》课件-第1章

第一章绪论1.1航空安全概述1.2STAMP相关理论简介本章小结

1.1航空安全概述

航空产业科技含量高、安全风险大,如何防患未然,降低事故率是专家学者们一直研究的重要课题。安全性是航空装备必须具备的一种共有的、固有的特性,也是航空装备必须满足的首要设计与使用要求,更是保障航空装备研制与使用安全的重要保证。

目前阶段开展的航空安全建模、航空安全风险预测、航空安全预警和事故预防等,都忽略了事故致因因素时间序列相关性对不安全事件的影响,没有考虑致因因素中广泛存在的各种不确定性,更没有开展相关不确定性对航空安全预测、预警输出的影响。

1.2STAMP相关理论简介

1.2.1STAMP理论2002年,Leveson在系统论、控制论的基础上,提出了一种新型的系统安全分析模型,即STAMP理论模型。该模型从系统论的角度,认为事故是由不确定因素、不安全控制行为、部件之间的不安全交互引起的;从控制论的角度,认为不恰当的控制过程、环境因素、控制行为不满足先决条件或者未知的外部干扰是造成事故的主要原因。

STAMP理论模型将安全性看作是一种系统的涌现性,认为安全性受到系统中与各个行为相关的一系列约束的限制,而事故正是由于系统各层次的行为缺乏约束所导致的。STAMP理论扩展了事故原因类型,其不再通过事件链的思路进行安全性分析,所以除了传统的基于事件链模型分析出的事故原因类型外,STAMP理论也能够通过组件之间的非线性、间接和反馈关系来发现其他类型的原因,如组件间的不安全交互、新型人为差错、软件的设计缺陷和需求缺陷等新型致因因素。

STAMP理论将事故看作控制失效问题,认为在组件行为、组件交互等违反安全约束时就可能导致事故。STAMP理论模型包含安全约束(SafetyConstraint)、功能控制结构

(FunctionalControlStructure)和过程模型(ProcessModel)三个基本结构。

1.安全约束

不同于传统事故致因模型,STAMP理论视约束为最基本的概念而非传统事件,系统进入危险状态正是由于违反了安全约束。在STAMP理论中,单个组件行为、组件交互行为在规定的安全约束条件下运作,从而保证系统安全运行。随着软件技术的发展,现代系统愈发复杂,基于安全约束的控制方式是保障系统安全的有效手段。

2.功能控制结构

在系统论中,系统可表示为不同层级的复合结构,较高层级对较低层级施加安全约束,较低层级执行命令并为较高层级提供反馈信息,较高层级根据信息和外部环境调整安全约束,如此反复进行,进而构成系统完整的控制反馈回路。不同层级之间的标准控制关系如图1.1所示。

图1.1不同层级之间的标准控制关系

3.过程模型

传统的安全性分析方法主要基于人脑中的理论模型,分析人员的技术水平高低、经验丰富与否对结果具有显著影响。而STAMP理论的危险分析是基于过程模型,它既可以是自动控制设备中的控制逻辑,也可以是系统控制人员的心智模型,是一种更为通用的控制模型。

无论哪种控制模型,都必须包含三个层面的信息:

①系统控制规则;

②系统当前状态信息;

③系统状态转换规则。

1.2.2基于STAMP理论的STPA方法

基于传统线性理论的安全性分析方法以可靠性理论为基础,主要识别组件失效引发的系统事故。由于复杂系统的涌现性是非线性的,因此传统事故致因模型不适用于复杂系统

中的涌现性,其针对涌现性的风险分析非常有限。而基于STAMP事故致因模型的STPA方法从控制失效的角度出发,自顶向下识别由于设计缺陷、软件缺陷、组件交互、人为因素导致的系统风险,扩展了传统风险致因因素的范畴。

1.方法简介

STPA方法的目标是识别能够诱发进入危险状态的控制“失效”问题,生成相关的安全约束,保持风险程度在人们可接受的水平;此外,STPA方法可以识别违反安全约束的“失

效”信息,在系统设计阶段或使用阶段可通过一定的措施来控制、降低和消除风险。STPA方法通过构建系统的反馈控制结构图,来对系统的安全性进行全面、系统的分析。

图1.2为一个包含过程模型的典型的反馈控制结构,图中系统主要包括控制器、执行器、被控对象和传感器四个部分。从图中的控制逻辑可以看出:通过过程模型可以识别被违反的安全约束并确定出为何控制不能有效实施安全约束,确定出导致不安全事件发生的原因以及出现不安全控制的场景,并将其转化为安全约束和设计需求,为设计出更安全的系统提供保证。

图1.2典型的控制回路

2.应用过程

STPA方法的核心工作主要有两个,即识别导致危险的不安全控制行为和确定不安全控制行为的致因因素。STPA方法在进行系统安全性分析的过程中主要包括四个步骤,如图1.3所示。图中的前两步是STPA方法分析的基础,后两步是其核心工作。其中,不安全控制行为有四类:

①未执行控制行为;

②执行不正确或不安全的控制行为;

③过早或过晚执行的控制行为或错误的时间进行的控制行为;

④停止过早或持续太久的控制行为。

图1.3STPA分析过程

导致不安全控制的控制缺陷主要有三类:

①控制器发出不足或不恰当的控制行为,包括对故障或扰动的物理过程处置不当;

②控制行为的不充分执行;

③反馈信息的不正确或丢失。

图1.4显示了标准控制回路中的典型控制缺陷。图中缺陷可以大致分为控制缺陷①与反馈缺陷②。控制缺陷是指提供或执行不安全控制行为的原因,反馈缺陷是指生成不安全控制行为的原因。

图1.4不恰当控制行为的原因

由图1.4可知,控制指令的生成、传递、执行、反馈贯穿了控制反馈回路的全过程,所有组件的目的都是为了保证系统能够在安全约束要求范围内高效运行。STPA方法识别出来的控制缺陷(ControlFlaws)是诱发危险的根本原因,根据分析结果有针对性地制订预防策略和改进措施,能够从根本上提升系统的安全水平。

本章小结

本章主要对STAMP理