鄭磊，胡劍波

基于STAMP／STPA的機(jī)輪剎車(chē)系統(tǒng)安全性分析

鄭磊，胡劍波＊

空軍工程大學(xué) 裝備管理與安全工程學(xué)院，西安 710051

把機(jī)輪剎車(chē)系統(tǒng)在飛機(jī)降落過(guò)程中的安全性問(wèn)題當(dāng)作系統(tǒng)控制問(wèn)題，不采用基于故障概率模型的事故模型，而是采用基于系統(tǒng)理論的事故模型和過(guò)程（STAMP），構(gòu)建機(jī)輪剎車(chē)系統(tǒng)在飛機(jī)降落過(guò)程中的STAMP控制關(guān)聯(lián)模型和系統(tǒng)理論過(guò)程分析（STPA）反饋控制回路。根據(jù)系統(tǒng)運(yùn)行的上下文信息識(shí)別機(jī)輪剎車(chē)系統(tǒng)在飛機(jī)降落過(guò)程中的不安全控制行為，分析產(chǎn)生不安全控制行為的關(guān)鍵原因。對(duì)機(jī)輪剎車(chē)系統(tǒng)在飛機(jī)降落過(guò)程中的不安全控制行為進(jìn)行仿真研究，結(jié)果表明了STAMP／STPA的有效性和用仿真方法分析安全性問(wèn)題的可行性。

機(jī)輪剎車(chē)系統(tǒng)；STAMP；STPA；不安全控制；仿真分析

計(jì)算機(jī)、軟件等高新技術(shù)的飛速發(fā)展使得飛機(jī)呈現(xiàn)出信息密集、高度集成、軟硬結(jié)合等特點(diǎn)，也為飛機(jī)的事故模型構(gòu)建和安全性分析提出了新的挑戰(zhàn)。現(xiàn)代飛機(jī)是一個(gè)具有多功能的復(fù)雜系統(tǒng)，呈現(xiàn)出相互關(guān)聯(lián)、信息融合、人機(jī)結(jié)合、軟硬件結(jié)合的發(fā)展趨勢(shì)，使得影響飛機(jī)運(yùn)行安全的因素增加、安全因素之間的關(guān)聯(lián)性增強(qiáng)，同時(shí)存在著人為操作的復(fù)雜因素，使得事故模型構(gòu)建和安全性分析變得更為困難。

傳統(tǒng)的基于故障模型的事故模型，如多米諾事故模型［1］和瑞 士 奶 酪 事 故 模 型［2－5］都 沒(méi) 有 從 系統(tǒng)思維的角度去分析事故的根源，都假設(shè)事故的產(chǎn)生是由線性事件鏈導(dǎo)致的，雖然也認(rèn)識(shí)到人是系統(tǒng)產(chǎn)生故障的重要因素，但一般將人為因素作為獨(dú)立的要素，對(duì)人在事故中作用的假設(shè)都是不健全的，很難說(shuō)明產(chǎn)生的原因和解決問(wèn)題的方法。同時(shí)認(rèn)為系統(tǒng)的安全依賴(lài)于組成系統(tǒng)各部件的可靠性，如果所有的組件沒(méi)有失效，那么整個(gè)系統(tǒng)的安全就有保證。這種基于組件可靠性的安全性分析模型忽略了子系統(tǒng)間的相關(guān)性和耦合性，同時(shí)也沒(méi)有考慮到軟硬件結(jié)合等方面的情況。雖然之后出現(xiàn)的功能共振事故模型［6－8］以系統(tǒng)思維從系統(tǒng)整體角度出發(fā)來(lái)識(shí)別整個(gè)系統(tǒng)的功能共振和影響功能共振的環(huán)境因素，考慮到了復(fù)雜系統(tǒng)各功能之間的相關(guān)性和耦合性，但難以發(fā)現(xiàn)由于系統(tǒng)設(shè)計(jì)缺陷所產(chǎn)生的事故。同時(shí)基于以上的事故模型也產(chǎn)生了相應(yīng)安全性分析方法，如故障樹(shù)分析（FTA）［9］、事故樹(shù)分析（ETA）［9－11］、故障模式及影響分析（FMEA）［12－14］和危險(xiǎn)性、操作性分析，都是基于線性思維，用系統(tǒng)組件的可靠性來(lái)分析系統(tǒng)的安全性，對(duì)于人的行為、軟件出錯(cuò)、需求缺陷、上下文場(chǎng)景和非線性等問(wèn)題難以進(jìn)行準(zhǔn)確的描述和分析，另外由于傳統(tǒng)方法中描述的組件都假設(shè)相對(duì)獨(dú)立，因此也不能有效地分析強(qiáng)耦合事故原因。盡管功能 共 振 模 型 分 析 （FRAM）［7－8，15］強(qiáng) 調(diào) 相 互作用和相關(guān)性的重要性，同時(shí)在對(duì)人為因素理解方面有了更好的方法，但沒(méi)有被用來(lái)深入研究復(fù)雜的軟件系統(tǒng)，還只限于性能正常變化引起的事故，對(duì)于沒(méi)有性能變化、性能異常、需求缺陷和上下文影響等原因引起的事故原因不能進(jìn)行很好的分析。

針對(duì)以上復(fù)雜系統(tǒng)安全性分析所面臨的挑戰(zhàn)，結(jié)合STAMP模型和STPA （Systems－Theoretic Process Analysis）方法，本文從控制的角度對(duì)飛機(jī)著陸階段機(jī)輪剎車(chē)系統(tǒng)進(jìn)行了安全性分析。根據(jù)機(jī)輪剎車(chē)系統(tǒng)的建模，對(duì)機(jī)輪剎車(chē)系統(tǒng)的不安全控制行為和潛在風(fēng)險(xiǎn)進(jìn)行了詳細(xì)的闡述，分析了產(chǎn)生這些危險(xiǎn)的關(guān)鍵原因，并用仿真方法進(jìn)行了安全性分析驗(yàn)證。

1 STAMP／STPA工作機(jī)理

Leveson［16］于2004年提出STAMP，以捕獲更多類(lèi)型的事故原因因素，包括社會(huì)組織結(jié)構(gòu)、新型的人為差錯(cuò)、設(shè)計(jì)需求缺陷以及非故障組件之間不良交聯(lián)。STAMP不同于以往的安全性分析方法，是基于系統(tǒng)理論和控制理論，認(rèn)為安全性是復(fù)雜系統(tǒng)的涌現(xiàn)性［17］，并把復(fù)雜系統(tǒng)的安全性分析當(dāng)作一個(gè)控制問(wèn)題來(lái)解決。其要點(diǎn)是明確各種功能組件及其相互的上下層控制關(guān)系和信號(hào)關(guān)系，同時(shí)還應(yīng)考慮組件可能遭遇的干擾、外部指令以及環(huán)境因素，從而明確出各個(gè)組件正常工作所需的控制要求和信息關(guān)系。STAMP將復(fù)雜系統(tǒng)當(dāng)成具有多個(gè)層次的分層結(jié)構(gòu)，同時(shí)用控制結(jié)構(gòu)關(guān)系來(lái)構(gòu)建模型，用以揭示上層對(duì)下層的控制要求或約束，以及向上層來(lái)反饋下層的信息。STAMP認(rèn)為只有控制有效，滿足約束要求，反饋信息及時(shí)、準(zhǔn)確、有效才能保證系統(tǒng)的運(yùn)行性能，確保系統(tǒng)的安全。同時(shí)，STAMP認(rèn)為事故的產(chǎn)生是由于復(fù)雜動(dòng)態(tài)過(guò)程并發(fā)運(yùn)行和相互作用所創(chuàng)造的不安全情形所致，強(qiáng)調(diào)多個(gè)組件相互作用，著重考慮事件發(fā)生的時(shí)機(jī)、次序及上下文環(huán)境等因素，通過(guò)對(duì)復(fù)雜動(dòng)態(tài)過(guò)程的控制進(jìn)行分析來(lái)查找安全威脅，評(píng)估安全問(wèn)題。結(jié)合以上要求，提出了3類(lèi)基本控制缺陷作為安全性分析的指導(dǎo)：① 控制器發(fā)出不足或不恰當(dāng)?shù)目刂菩袨?，包括?duì)故障或擾動(dòng)的物理過(guò)程處置不當(dāng)；② 控制行為的不充分執(zhí)行；③ 反饋信息的不正確或丟失［18］。目前，STAMP已經(jīng)成功地應(yīng)用于許多領(lǐng)域，包括航天航空、國(guó)防、能源、化工、健康、運(yùn)輸系統(tǒng)等，特別適用于現(xiàn)代復(fù)雜系統(tǒng)和軟件密集系統(tǒng)的安全性分析與控制。

STPA是一種建立在STAMP基礎(chǔ)上的危險(xiǎn)性分析方法，通過(guò)構(gòu)建諸如由執(zhí)行器、控制過(guò)程和傳感器構(gòu)成的反饋控制回路，如圖1所示，分析其輸入、輸出信號(hào)在性能、時(shí)間或邏輯上可能的不合理情形，深入挖掘可能的不安全控制作用和場(chǎng)景。STPA需要執(zhí)行以下兩個(gè)步驟：① 識(shí)別不安全的控制行為；② 識(shí)別相關(guān)的致因因素。針對(duì)不安全的控制行為，STPA定義了4種形式：① 沒(méi)有提供控制行為；② 提供了產(chǎn)生危險(xiǎn)的控制行為；③提供的安全控制行為過(guò)早或過(guò)晚；④ 提供的控制行為作用時(shí)間過(guò)短或過(guò)長(zhǎng)［19］。然后，根據(jù)控制過(guò)程回路來(lái)識(shí)別產(chǎn)生不安全控制的因素。

2 飛機(jī)機(jī)輪剎車(chē)系統(tǒng)的STAMP模型

機(jī)輪剎車(chē)系統(tǒng)（WBS）安裝在兩個(gè)主起落架上面，在飛機(jī)滑行、著陸及中斷起飛（RTO）階段可通過(guò)其對(duì)主輪的制動(dòng)來(lái)達(dá)到飛機(jī)安全停止的目的。參照文獻(xiàn)［20］給出了飛機(jī)機(jī)輪剎車(chē)系統(tǒng)的基本結(jié)構(gòu)，如圖2所示。

首先，飛機(jī)剎車(chē)是在飛行員的參與下自動(dòng)或人工完成的，由飛行員設(shè)置剎車(chē)參數(shù)、選擇剎車(chē)方式。飛機(jī)著陸階段地面剎車(chē)可以通過(guò)剎車(chē)踏板腳蹬進(jìn)行人工控制，也可以在沒(méi)有剎車(chē)踏板腳蹬輸入的情況下通過(guò)自動(dòng)剎車(chē)進(jìn)行控制。飛行員可以在飛機(jī)著陸之前為自動(dòng)剎車(chē)預(yù)先設(shè)置好減速率。值得注意的是，只有主剎車(chē)系統(tǒng)工作時(shí)自動(dòng)剎車(chē)才能使用，備用與應(yīng)急剎車(chē)模式下都沒(méi)有自動(dòng)剎車(chē)。

其次，飛行員選擇的剎車(chē)方式和設(shè)置的參數(shù)必須經(jīng)過(guò)剎車(chē)系統(tǒng)控制組件（Brake System Control Unit，BSCU）進(jìn)行處理，以發(fā)出剎車(chē)指令。其由兩套獨(dú)立的BSCU組成，各BSCU包含獨(dú)立的檢測(cè)通道。BSCU系統(tǒng)具有如下功能：① 代替人工剎車(chē)或?qū)崿F(xiàn)自動(dòng)剎車(chē)；② 控制與飛機(jī)其他系統(tǒng)的接口；③ 依照收到的指令和系統(tǒng)的狀態(tài)發(fā)出剎車(chē)命令；④ 自動(dòng)避免飛機(jī)主輪滑動(dòng)；⑤ 傳輸有關(guān)BSCU的狀態(tài)信息（通過(guò)顯示器指示、報(bào)警燈、警告音等方式）給駕駛艙以及飛機(jī)的各種控制計(jì)算機(jī)。

進(jìn)一步，剎車(chē)指令可通過(guò)BSCU自動(dòng)控制器作用于BSCU液壓控制器來(lái)實(shí)現(xiàn)自動(dòng)剎車(chē)，也可通過(guò)腳蹬作用于BSCU液壓控制器來(lái)實(shí)現(xiàn)人工剎車(chē)。BSCU液壓控制器將剎車(chē)指令傳輸?shù)綑C(jī)輪剎車(chē)液壓系統(tǒng)，作用于機(jī)輪來(lái)實(shí)現(xiàn)剎車(chē)。當(dāng)然，人工剎車(chē)指令可不通過(guò)BSCU液壓控制器直接作用于機(jī)輪剎車(chē)液壓系統(tǒng)。同時(shí)，與剎車(chē)系統(tǒng)工作相關(guān)的狀態(tài)參數(shù)及反饋信息由傳感器測(cè)量獲得，并在儀表上顯示。

可見(jiàn)，機(jī)輪剎車(chē)系統(tǒng)主要由飛行員、測(cè)量裝置、儀表、BSCU、BSCU液壓控制器等組成，且相互之間存在著邏輯上、時(shí)間上和功能上的控制與反饋關(guān)系。在深入分析機(jī)輪剎車(chē)系統(tǒng)工作原理的基礎(chǔ)上，通過(guò)梳理各個(gè)組成的輸入、輸出信號(hào)和相互關(guān)系，即可得到如圖3所示的飛機(jī)機(jī)輪剎車(chē)系統(tǒng)的STAMP模型。

3 基于STPA的機(jī)輪剎車(chē)系統(tǒng)安全性

基于STPA方法分析剎車(chē)系統(tǒng)是一個(gè)將從飛機(jī)級(jí)開(kāi)始直到機(jī)輪剎車(chē)系統(tǒng)存在的風(fēng)險(xiǎn)充分解決的迭代過(guò)程。與其他的安全性分析方法相似，基于STPA的安全性分析方法主要也是識(shí)別系統(tǒng)存在的風(fēng)險(xiǎn)，與傳統(tǒng)的方法不同，其目的不是通過(guò)分析得到相應(yīng)的危險(xiǎn)概率，而是為了通過(guò)系統(tǒng)風(fēng)險(xiǎn)的識(shí)別來(lái)制定減緩或排除產(chǎn)生系統(tǒng)風(fēng)險(xiǎn)的策略，為日后系統(tǒng)的改進(jìn)提供依據(jù)。

3．1 系統(tǒng)級(jí)事故的確定

根據(jù)STPA方法的研究過(guò)程，首先是識(shí)別飛機(jī)著陸階段機(jī)輪剎車(chē)系統(tǒng)存在的系統(tǒng)級(jí)事故，主要包括人員受傷或死亡、飛機(jī)受損、地面設(shè)施受損，具體如表1所示。人員受傷或死亡（A－1）包括機(jī)組人員、乘客和地面工作人員；飛機(jī)受損（A－2）包括飛機(jī)的各個(gè)子系統(tǒng)的受損；地面設(shè)施受損（A－3）包括機(jī)場(chǎng)的全部地面固定設(shè)施和移動(dòng)設(shè)施。

表1 機(jī)輪剎車(chē)系統(tǒng)的系統(tǒng)級(jí)事故Table 1 System accidents of wheel brake system

3．2 系統(tǒng)級(jí)危險(xiǎn)的確定

系統(tǒng)級(jí)的事故確定之后，就可以生成系統(tǒng)級(jí)的危險(xiǎn)，參照文獻(xiàn)［20］對(duì)系統(tǒng)級(jí)危險(xiǎn)的相關(guān)論述，結(jié)合STPA分析方法，總結(jié)出系統(tǒng)級(jí)危險(xiǎn)主要包括飛機(jī)沖出跑道、飛機(jī)與地面障礙物或地面設(shè)施碰撞、阻擋其他飛機(jī)起飛降落或其他地面設(shè)施正常運(yùn)行，具體如表2所示。

表2 機(jī)輪剎車(chē)系統(tǒng)的系統(tǒng)級(jí)危險(xiǎn)Table 2 System hazards of wheel brake system

飛機(jī)沖出跑道（H－1）主要包括剎車(chē)輸入不及時(shí)、機(jī)輪剎車(chē)系統(tǒng)故障和剎車(chē)減速率過(guò)低等造成飛機(jī)沿跑道沖出跑道盡頭，一般不會(huì)造成地面設(shè)施受損，但不可避免地會(huì)造成飛機(jī)部分受損（A－2）和相應(yīng)的人員傷亡（A－1）。飛機(jī)與地面障礙物或地面設(shè)施碰撞（H－2）包括由于飛機(jī)失控導(dǎo)致的與地面建筑、地面滑行的其他飛機(jī)和其他地面行駛車(chē)輛等碰撞，伴隨有人員受傷或死亡（A－1）、飛 機(jī) 部 分 受 損 （A－2）和 地 面 設(shè) 施 受 損（A－3）等事故。阻擋其他飛機(jī)起飛降落或其他地面設(shè)施正常運(yùn)行（H－3），主要指飛機(jī)由于機(jī)輪剎車(chē)系統(tǒng)的故障導(dǎo)致?？课恢玫牟徽_，進(jìn)而阻擋其他飛機(jī)或地面車(chē)輛的正常運(yùn)行，并有可能發(fā)生碰撞，導(dǎo)致人員受傷或死亡（A－1）和飛機(jī)受損（A－2）等事故的發(fā)生。

3．3 不安全的控制行為

本文旨在分析機(jī)輪剎車(chē)這一動(dòng)作產(chǎn)生的危險(xiǎn)行為，故將飛機(jī)在著陸階段的方向舵控制、反推控制、減速板控制等都列為其他控制?？紤]到不安全的控制行為分析的實(shí)際情況，作如下假設(shè)：

假設(shè)1 在飛機(jī)著陸地面滑行階段，如果飛機(jī)速度小于安全滑行速度的臨界值，只要飛機(jī)在指定停止區(qū)域內(nèi)，認(rèn)為有／無(wú)剎車(chē)的輸入都不會(huì)出現(xiàn)沖出跑道的危險(xiǎn)。

假設(shè)2 在飛機(jī)著陸地面滑行階段，如果飛機(jī)速度大于安全滑行速度的臨界值，即使飛機(jī)在指定停止區(qū)域內(nèi)，認(rèn)為就算有剎車(chē)的輸入也會(huì)產(chǎn)生飛機(jī)沖出跑道的危險(xiǎn)。

假設(shè)3 在飛機(jī)著陸地面滑行階段，如果其他相關(guān)控制（方向舵控制、反推控制、減速板控制等）有不恰當(dāng)?shù)男袨榫蜁?huì)出現(xiàn)飛機(jī)失控的危險(xiǎn)。

根據(jù)STPA分析方法的4種不安全控制行為，得到表3所示的剎車(chē)動(dòng)作的不安全控制行為。表3通過(guò)系統(tǒng)理論過(guò)程為剎車(chē)行為定義了不安全控制行為，隨后選取了符合過(guò)程模型的可變參數(shù)（飛機(jī)速度、剎車(chē)溫度、飛機(jī)所處區(qū)域、其他控制行為）為剎車(chē)控制行為構(gòu)建了上下文信息，如表4所示。表4中的V代表飛機(jī)著陸滑行時(shí)地面安全滑行速度的臨界值，C代表剎車(chē)溫度的安全臨界值。

表4中的第1列為分析對(duì)象，第2～5列代表過(guò)程模型中的可變參數(shù)，第6～9列為控制時(shí)機(jī)。例如，第3行第9列表示飛機(jī)速度超出了安全滑行速度，同時(shí)飛機(jī)的剎車(chē)溫度也超出了安全剎車(chē)溫度臨界值，但是此時(shí)飛機(jī)所處位置不在指定的停止區(qū)域內(nèi)，還有很長(zhǎng)的滑行距離，并且飛機(jī)有關(guān)著陸滑行的其他控制都是恰當(dāng)?shù)?，因此，此時(shí)不應(yīng)有剎車(chē)命令的輸入，應(yīng)等剎車(chē)溫度下降到安全臨界值以下再采取動(dòng)作，所以過(guò)晚提供剎車(chē)行為是不會(huì)產(chǎn)生危險(xiǎn)的；第14行第6列和第14行第8列表示飛機(jī)速度在安全滑行速度臨界值以下，同時(shí)飛機(jī)的剎車(chē)溫度也在安全剎車(chē)溫度臨界值以下，但是飛機(jī)所處位置在指定停止區(qū)域外，若此時(shí)或過(guò)早的提供剎車(chē)輸入，那么飛機(jī)有發(fā)生H－3的危險(xiǎn)。另外，表中所列的16種狀態(tài)都可以通過(guò)不同的控制行為進(jìn)行相互轉(zhuǎn)換，所以對(duì)剎車(chē)輸入的恰當(dāng)控制可以避免危險(xiǎn)的發(fā)生。

表3 剎車(chē)動(dòng)作不安全控制行為T(mén)able 3 Unsafe control actions of braking

3．4 關(guān)鍵原因分析

在具體的上下文信息和不安全控制行為導(dǎo)致的危險(xiǎn)確定之后，根據(jù)STPA分析方法的控制反饋模型，總結(jié)了剎車(chē)動(dòng)作產(chǎn)生危險(xiǎn)的兩方面原因：① 因不恰當(dāng)控制行為導(dǎo)致的危險(xiǎn)；② 因錯(cuò)誤反饋信息導(dǎo)致的危險(xiǎn)。

根據(jù)以上提到產(chǎn)生危險(xiǎn)的兩方面原因，將剎車(chē)系統(tǒng)控制反饋環(huán)節(jié)分成兩個(gè)部分，如圖4所示。

3．4．1 不恰當(dāng)控制行為導(dǎo)致的危險(xiǎn)

圖4中左邊部分為主動(dòng)控制，分析其產(chǎn)生不安全控制行為的關(guān)鍵原因如下。

① 飛行員：飛行員誤認(rèn)為設(shè)置了自動(dòng)剎車(chē)從而放棄提供人工剎車(chē)；自動(dòng)剎車(chē)系統(tǒng)沒(méi)有正常工作，且沒(méi)有警告飛行員；飛行員間誤認(rèn)為對(duì)方提供了剎車(chē)行為；飛行員在飛機(jī)著陸前就提供剎車(chē)行為；飛行員提供的剎車(chē)壓力過(guò)大，持續(xù)時(shí)間過(guò)長(zhǎng)；飛行員在沒(méi)有達(dá)到安全速度時(shí)就停止剎車(chē)行為；突發(fā)的外部情況導(dǎo)致飛行員不能及時(shí)提供恰當(dāng)?shù)牟僮?；錯(cuò)誤的狀態(tài)信息反饋，使飛行員誤認(rèn)為無(wú)需提供剎車(chē)或提供錯(cuò)誤的剎車(chē)策略。

② WBS系統(tǒng)：BSCU檢測(cè)到內(nèi)部的錯(cuò)誤并且關(guān)閉了綠壓終止閥門(mén)和藍(lán)壓防滑閥門(mén)，導(dǎo)致人工剎車(chē)無(wú)效；WBS處在備用剎車(chē)模式時(shí)，由于機(jī)輪速度的錯(cuò)誤反饋信息，使控制藍(lán)壓防滑閥門(mén)的脈沖跳動(dòng)過(guò)強(qiáng)，導(dǎo)致人工剎車(chē)效果不明顯；受外界環(huán)境因素的影響，自動(dòng)剎車(chē)系統(tǒng)錯(cuò)誤地認(rèn)為飛機(jī)沒(méi)有接觸地面或已經(jīng)接觸地面；自動(dòng)剎車(chē)系統(tǒng)沒(méi)有發(fā)現(xiàn)剎車(chē)系統(tǒng)已轉(zhuǎn)換到備用剎車(chē)模式，同時(shí)仍然提供自動(dòng)剎車(chē)行為并為飛行員提供自動(dòng)剎車(chē)運(yùn)行良好的錯(cuò)誤反饋信息，造成無(wú)效剎車(chē)；綠壓系統(tǒng)出現(xiàn)故障或飛行員沒(méi)有意識(shí)到已經(jīng)人工關(guān)閉綠壓系統(tǒng)（假設(shè)可以人工關(guān)閉），同時(shí)仍然提供自動(dòng)剎車(chē)行為并為飛行員提供自動(dòng)剎車(chē)運(yùn)行良好的錯(cuò)誤反饋信息，造成無(wú)效剎車(chē)；自動(dòng)剎車(chē)與人工剎車(chē)產(chǎn)生沖突。

③其他控制系統(tǒng)：反推力、減速板的有效控制使自動(dòng)剎車(chē)系統(tǒng)因速度達(dá)到安全速率而停止剎車(chē)行為，導(dǎo)致潛在的速度過(guò)快。

3．4．2 錯(cuò)誤反饋信息導(dǎo)致的危險(xiǎn)

圖4中右邊部分為反饋，分析其反饋信息不正確或不充分的關(guān)鍵原因如下。

①反饋信息的產(chǎn)生階段：測(cè)量飛機(jī)速度的方法不恰當(dāng)或存在缺陷；測(cè)量飛機(jī)剎車(chē)溫度的方法不恰當(dāng)或存在缺陷；剎車(chē)系統(tǒng)各個(gè)閥門(mén)狀態(tài)信息的獲取不充分或存在缺陷；飛機(jī)剎車(chē)模式信息的獲取方法不恰當(dāng)或存在缺陷；對(duì)相關(guān)的重要信息沒(méi)有進(jìn)行獲取或獲取方法存在沖突。

②反饋信息的傳輸階段：有關(guān)飛機(jī)速度的反饋信息不正確、延時(shí)或丟失；有關(guān)飛機(jī)剎車(chē)溫度的反饋信息不正確、延時(shí)或丟失；有關(guān)飛機(jī)減速率的反饋信息不正確、延時(shí)或丟失；有關(guān)飛機(jī)剎車(chē)（自動(dòng)或人工）狀態(tài)的反饋信息不正確、延時(shí)或丟失；沖突的反饋信息暗示危險(xiǎn)的發(fā)生，但實(shí)際并無(wú)危險(xiǎn)。

③ 外部因素的影響：外部（如塔臺(tái)）指揮信息的不正確或丟失；環(huán)境信息的獲取不充分、不正確或丟失。

4 仿真分析

本文主要針對(duì)飛機(jī)著陸滑行階段的運(yùn)動(dòng)過(guò)程進(jìn)行仿真，根據(jù)機(jī)輪剎車(chē)系統(tǒng)的剎車(chē)過(guò)程，構(gòu)建了飛機(jī)著陸滑行階段的動(dòng)力學(xué)模型，將部分不恰當(dāng)控制行為導(dǎo)致的危險(xiǎn)抽象考慮為剎車(chē)時(shí)間的延時(shí)效應(yīng)，通過(guò)剎車(chē)實(shí)際作用的時(shí)機(jī)來(lái)反映飛機(jī)著陸滑行階段的危險(xiǎn)狀況。以某型飛機(jī)為例，假設(shè)跑道長(zhǎng)度為2 000m，實(shí)際滑行距離容限為1 600m，飛機(jī)著陸速度為72m／s，其中用于降落時(shí)剎車(chē)的檔位分為1、2、3、4和 Max，剎車(chē)前的剎車(chē)溫度為70℃，剎車(chē)溫度容限為1 000℃。針對(duì)表3中的部分不安全控制行為，對(duì)飛機(jī)的著陸滑行過(guò)程進(jìn)行仿真。

4．1 飛機(jī)著陸滑跑模型

參照文獻(xiàn)［21－23］構(gòu)建了飛機(jī)著陸滑行階段的機(jī)輪剎車(chē)系統(tǒng)仿真結(jié)構(gòu)，其簡(jiǎn)化結(jié)構(gòu)如圖5所示。

具體數(shù)學(xué)模型如下：

1）機(jī)體模型

式中：T0為機(jī)體推力；Fx、Fx1、Fx2分別為迎風(fēng)阻力、主輪摩擦力以及前輪摩擦力；M為機(jī)體質(zhì)量；X為飛機(jī)滑行距離；G為機(jī)體重力；Fy為空氣升力；N1、N2分別為主、前起支撐力；Y為機(jī)體重心位移；a、b分別為機(jī)體重心到主輪中心、前輪中心的水平距離；ht為發(fā)動(dòng)機(jī)推力線距機(jī)體水平軸下移距離；H為重心高度初值；I為飛機(jī)轉(zhuǎn)動(dòng)慣量；θ為飛機(jī)俯仰角。

2）機(jī)輪模型

式中：ω為機(jī)輪角速度；J為機(jī)輪轉(zhuǎn)動(dòng)慣量；Tf為結(jié)合力矩；Tb為剎車(chē)力矩；Vzx為機(jī)輪線速度；Rvb為機(jī)輪動(dòng)態(tài)滾動(dòng)半徑。

3）起落架模型

主、前起支撐力為

式中：K1、K2分別為主、前緩沖器剛度系數(shù)；c1、c2分別為主、前緩沖器阻尼系數(shù)；q為俯仰角速度。

4）剎車(chē)裝置溫度估算

式中：tb為當(dāng)前剎車(chē)盤(pán)溫度；t0為機(jī)輪周邊環(huán)境溫度；K為調(diào)節(jié)系數(shù)；mi、Ci分別為剎車(chē)材料的質(zhì)量與比熱容；F為剎車(chē)壓力；υ為剎車(chē)材料摩擦力系數(shù)。

4．2 仿真結(jié)果

對(duì)飛機(jī)的16個(gè)剎車(chē)開(kāi)始時(shí)刻進(jìn)行仿真分析，剎車(chē)開(kāi)始時(shí)刻分別為接觸地面延時(shí)t＝0，1，…，15s，剎車(chē)壓力設(shè)置為3檔，反推、減速板等減速系統(tǒng)正常工作，具體結(jié)果如圖6所示。其中前13個(gè)時(shí)刻的滑行距離符合假設(shè)的滑行距離容限，后3個(gè)時(shí)刻的滑行距離超出了假設(shè)的滑行距離容限，屬于表3中過(guò)晚執(zhí)行剎車(chē)動(dòng)作導(dǎo)致危險(xiǎn)的不安全控制行為，剎車(chē)溫度在提供剎車(chē)動(dòng)作的最初階段有明顯上升趨勢(shì)，但溫度保持在允許范圍內(nèi)，在滑行的最后階段有所下降并保持平穩(wěn)。

對(duì)飛機(jī)在接觸地面延時(shí)t＝13，14，15s3個(gè)剎車(chē)開(kāi)始時(shí)刻進(jìn)行仿真，剎車(chē)壓力設(shè)置為4檔，反推、減速板等減速系統(tǒng)正常工作，具體結(jié)果如圖7所示。雖然沒(méi)有及時(shí)提供剎車(chē)行為，但由于加大了剎車(chē)的檔位，飛機(jī)在接觸地面13s后執(zhí)行剎車(chē)動(dòng)作的滑行距離符合假設(shè)的滑行距離容限，飛機(jī)在接觸地面14s、15s后執(zhí)行剎車(chē)動(dòng)作的滑行距離超出了假設(shè)的滑行距離容限，因增大了剎車(chē)壓力，剎車(chē)溫度有所增加，但也保持在假設(shè)允許范圍以下，同時(shí)在滑行的最后階段有所下降并保持平穩(wěn)。

對(duì)飛機(jī)在接觸地面延時(shí)14s、15s兩個(gè)剎車(chē)時(shí)刻進(jìn)行仿真，剎車(chē)壓力設(shè)置為Max檔，反推、減速板等減速系統(tǒng)正常工作，具體結(jié)果如圖8所示。由于過(guò)晚的執(zhí)行剎車(chē)動(dòng)作，雖然采取了最大剎車(chē)壓力，但是14s、15s兩個(gè)時(shí)刻進(jìn)行剎車(chē)的滑行距離超出了假設(shè)的滑行距離容限，同時(shí)，14s時(shí)刻進(jìn)行剎車(chē)時(shí)的剎車(chē)溫度也超出了假設(shè)的溫度容限。

綜上，針對(duì)剎車(chē)動(dòng)作沒(méi)有及時(shí)提供的情況，通過(guò)對(duì)剎車(chē)壓力和剎車(chē)時(shí)機(jī)的合理調(diào)整，可以有效地控制飛機(jī)從著陸滑跑開(kāi)始到最后停止的滑行距離和剎車(chē)溫度，但是延時(shí)提供剎車(chē)動(dòng)作必須滿足一定的范圍。

5 結(jié) 論

1）采用基于系統(tǒng)理論的STAMP模型對(duì)機(jī)輪剎車(chē)系統(tǒng)進(jìn)行了建模，并用STPA方法進(jìn)行了分析，克服了傳統(tǒng)安全性分析方法中對(duì)子系統(tǒng)間的相關(guān)性和耦合性及人為因素考慮不充分的不足，指出了不安全的控制行為，分析了不安全控制行為產(chǎn)生的原因。

2）通過(guò)仿真研究，定量化地說(shuō)明在一定的范圍內(nèi)合理地控制行為可以有效避免事故的發(fā)生，保證系統(tǒng)安全，實(shí)現(xiàn)了基于STAMP／STPA的定量安全性仿真分析。

［1］ HAYHURST E R．Industrial accident prevention：A scientific approach［J］．Industrial ＆ Labor Relations Review，1932（1）：119－120．

［2］ HICKEY J，QI V E H．Effectiveness of accident models：System theoretic model vs．the Swiss Cheese model：A case study of a US Coast Guard aviation mishap［J］．International Journal of Risk Assessment ＆ Management，2013，17（1）：46－68．

［3］ SURYOPUTRO M R，SARI A D，KURNIA R D．Preliminary study for modeling train accident in indonesia using Swiss Cheese model［J］．Procedia Manufacturing，2015（3）：3100－3106．

［4］ PERNEGER T V．The Swiss Cheese model of safety incidents：Are there holes in the metaphor？［J］．Bmc Health Services Research，2005，5（1）：71．

［5］ REASON J．Revisiting the《Swiss Cheese》model of accidents［EB／OL］．［2016－02－16］．https：／www．researchgate．net／publication／285486777，2006．

［6］ HOLLNAGEL E，GOTEMAN ．The functional resonance accident model［C］／Proceedings of Cognitive System Engineering in Process Plant，2004：155－161．

［7］ HOLLNAGEL E．The changing nature of risk［J］．Biological Bulletin，2008，19（3）：179－194．

［8］ GAN X S．Analysis of aviation accident based on functional resonance accident model［J］．China Safety Science Journal，2013，23（7）：67－72．

［9］ YAO S．Applying system－theoretic accident model and processes（STAMP）to hazard analysis［D］．Hamilton：Mcmaster University，2012．

［10］ HONMA K，HASHIMOTO A，MITOMO N．GS－5evaluation of an aircraft accident by event tree analysis［J］．International Review of Trachoma，1959，36（1）：5－56．

［11］ ASNAR Y，GIORGINI P．Modelling risk and identifying countermeasure in organizations［C］／International Confer－ence on Critical Information Infrastructures Security．Berlin：Springer，2006：55－66．

［12］ YUAN H．Network topology model and fault analysis for electrical control systems［M］．London：Springer，2012．

［13］ HUANG G Q，MAK K L．Failure mode and effect analysis（FMEA）over the WWW［C］／Internet Applications in Product Design and Manufacturing．Berlin：Springer，2003．

［14］ MIKULAK R J，MCDERMOTT R，BEAUREGARD M．The basics of FMEA［M］．2nd ed．New York：Productivity Press，2008．

［15］ CARVALHO P V R D．The use of functional resonance analysis method（FRAM）in a mid－air collision to understand some characteristics of the air traffic management system resilience［J］．Reliability Engineering ＆ System Safety，2011，96（11）：1482－1498．

［16］ LEVESON N G．A new accident model for engineering safer systems［J］．Safety Science，2004，42（4）：237－270．

［17］ LEVESON N G．Engineering a safer world：Systems thinking applied to safety［M］． Massachusetts： MIT Press，2012．

［18］ LIU J．Safety analysis on control system for water level of steam generator in nuclear power plant based on STAMP model［J］．Journal of Safety Science and Technology，2014，10（5）：78－83．

［19］ FLEMING C H，LEVESON N G．Improving hazard analysis and certification of integrated modular avionics［J］．Journal of Aerospace Information Systems，2014，11（6）：397－411．

［20］ 修忠信．民用飛機(jī)系統(tǒng)安全性設(shè)計(jì)與評(píng)估技術(shù)概論［M］．上海：上海交通大學(xué)出版社，2013．XIU Z X．System safety design ＆assessment in civil aircraft［M］．Shanghai：Shanghai Jiao Tong University Press，2013（in Chinese）．

［21］ 陳潔．飛機(jī)防滑剎車(chē)系統(tǒng)控制器的設(shè)計(jì)及仿真研究［D］．長(zhǎng)沙：中南大學(xué)，2014．CHEN J．Design and simulation of aircraft anti－skid brake system controller［D］．Changsha：Central South University，2014（in Chinese）．

［22］ 劉文勝．航空機(jī)輪的剎車(chē)瞬態(tài)熱場(chǎng)模擬［J］．粉末冶金材料科學(xué)與工程，2015，20（2）：168－174．LIU W S．Transient thermal field simulation of aircraftwheel［J］．Materials Science and Engineering of Powder Metallurgy，2015，20（2）：168－174（in Chinese）．

［23］ 張明，聶宏．飛機(jī)地面轉(zhuǎn)彎和剎車(chē)響應(yīng)動(dòng)力學(xué)分析［J］．航空學(xué)報(bào)，2008，29（3）：616－621．ZHANG M，NIE H．Dynamicsanalysis of aircraft ground steering and braking responses［J］．Acta Aeronautica et Astronautica Sinica，2008，29（3）：616－621（in Chinese）．

Safety analysis of wheel brake system based on STAMP／STPA

ZHENG Lei，HU Jianbo＊
College of Material Management and Safety Engineering，Air Force Engineering University，Xi’an 710051，China

The safety analysis of wheel brake system in the aircraft landing process is regarded as a system control problem in this paper．Instead of the accident model based on failure probability，we use the systems－theoretic accident model and process（STAMP）accident model based on systems thinking to construct the STAMP control interaction model and the systems－theoretic process analysis（STPA）feedback control loop of wheel brake system．Furthermore，the unsafe control actions in the aircraft landing process are identified by the context of running system，and the causes of unsafe control actions are analyzed．Finally，the unsafe control actions of wheel brake system in the aircraft landing process are studied by simulation．It is shown that the STAMP／STPA method is effective and the simulation method is feasible with respect to safety analysis．

wheel brake system；STAMP；STPA；unsafe control；simulation analysis

2016－02－16；Revised：2016－05－16；Accepted：2016－06－03；Published online：2016－06－06 16：16

V37

A

1000－6893（2017）01－320144－11

http：／hkxb．buaa．edu．cn hkxb＠buaa．edu．cn

10．7527／S1000－6893．2016．0178

2016－02－16；退修日期：2016－05－16；錄用時(shí)間：2016－06－03；網(wǎng)絡(luò)出版日期：2016－06－06 16：16

www．cnki．net／kcms／detail／11．1929．V．20160606．1616．008．html

＊通訊作者 ．E－mail：jian＿bo＿h(yuǎn)＠163．com

鄭磊，胡劍波．基于STAMP／STPA的機(jī)輪剎車(chē)系統(tǒng)安全性分析［J］．航空學(xué)報(bào)，2017，38（1）：320144．ZHENG L，HU J B．Safety analysis of wheel brake system based on STAMP／STPA［J］．Acta Aeronautica et Astronautica Sinica，2017，38（1）：320144．

（責(zé)任編輯：李明敏）

URL：www．cnki．net／kcms／detail／11．1929．V．20160606．1616．008．html

＊Corresponding author．E－mail：jian＿bo＿h(yuǎn)＠163．com