王潔寧，張鈺涵，張聰俊

（中國(guó)民航大學(xué)空中交通管理學(xué)院，天津 300300）

世界飛機(jī)失事總結(jié)（WAAS,world aircraft accident summary）的數(shù)據(jù)報(bào)告指出，1995—2008年全球共發(fā)生了1 429 起有重大損失的飛機(jī)事故，有431 起事故與跑道相關(guān)，約占30%，其中有417 起為飛機(jī)沖偏出跑道事故，占97%，因此，研究飛機(jī)沖偏出跑道具有重要意義[1]。

民航是一個(gè)復(fù)雜、開放、多樣的系統(tǒng)[2]，這使得影響飛機(jī)運(yùn)行安全的因素增加，安全因素之間的關(guān)聯(lián)性增強(qiáng)，同時(shí)也存在著人為操作的復(fù)雜性，采用傳統(tǒng)分析方法很難系統(tǒng)地識(shí)別導(dǎo)致飛機(jī)沖偏出跑道的人為差錯(cuò)。如多米諾事故模型[3]和瑞士奶酪事故模型[4-6]，沒有從系統(tǒng)思維角度去分析事故根源，都假設(shè)事故的產(chǎn)生是由線性事件鏈導(dǎo)致的；功能共振事故模型[7-8]難以發(fā)現(xiàn)由于系統(tǒng)設(shè)計(jì)缺陷所產(chǎn)生的事故。

系統(tǒng)理論過(guò)程分析方法[9]（STPA, system theoretic process analysis）是基于系統(tǒng)思維的安全危險(xiǎn)分析方法，可應(yīng)用STPA 來(lái)預(yù)防醫(yī)院不良事件的發(fā)生[4]、分析軟件密集性系統(tǒng)存在的危險(xiǎn)[10]。因此，結(jié)合基于系統(tǒng)理論與控制理論的STPA 安全分析方法，構(gòu)建了飛機(jī)沖偏出跑道模型，識(shí)別沖偏出跑道存在的人為差錯(cuò)，并針對(duì)具體的人為差錯(cuò)給出相對(duì)應(yīng)的安全約束。

1 基于系統(tǒng)理論的事故模型

基于系統(tǒng)理論的事故模型（STAMP,systems theortic accident modeling and process）是一種新的系統(tǒng)理論的致因模型，它擴(kuò)展了傳統(tǒng)的事故致因觀念，包括系統(tǒng)設(shè)計(jì)缺陷、系統(tǒng)外部干擾、系統(tǒng)組件之間的交互作用以及導(dǎo)致系統(tǒng)危險(xiǎn)狀態(tài)的單個(gè)系統(tǒng)組件行為。STAMP 將安全問題轉(zhuǎn)變成一個(gè)控制問題，其目標(biāo)是通過(guò)在設(shè)計(jì)與運(yùn)行過(guò)程中實(shí)施安全約束以控制系統(tǒng)的行為。STAMP 模型的3 種基本結(jié)構(gòu)包括安全約束、分層安全控制結(jié)構(gòu)和過(guò)程模型。

STPA 是建立在STAMP 基礎(chǔ)上的危險(xiǎn)性分析方法，該模型認(rèn)為系統(tǒng)危險(xiǎn)是由于組件之間的交互缺乏充足的控制而導(dǎo)致的，不只是因?yàn)楹?jiǎn)單的組件失效而引起的，系統(tǒng)組件的交互需要有一系列的安全約束來(lái)保證系統(tǒng)的安全。在系統(tǒng)理論中，系統(tǒng)被視為一種分層結(jié)構(gòu)，控制過(guò)程在各層之間進(jìn)行操作以控制分層結(jié)構(gòu)中較低層次的過(guò)程，實(shí)施其負(fù)責(zé)的安全約束，即高層的約束控制低層的行為。過(guò)程模型是控制理論的一個(gè)重要組成部分，有效地控制可能需要一個(gè)非常復(fù)雜的模型，模型中包括許多狀態(tài)變量和中間變量，是一個(gè)帶有過(guò)程模型的控制結(jié)構(gòu)，如圖1 所示。

圖1 控制結(jié)構(gòu)圖Fig.1 Control structure diagram

2 STPA 分析步驟

2.1 定義系統(tǒng)級(jí)事故

分析安全工作的第一步首先是確定需要考慮的事故。STPA 的分析效果與考慮事故的全面性呈正相關(guān)關(guān)系，目前對(duì)于事故的基本術(shù)語(yǔ)定義差別很大，采用美國(guó)聯(lián)邦航空管理局對(duì)于安全事故的定義：導(dǎo)致?lián)p失的不希望或意外的事件，這里的損失包括人的生命損失或人身傷害、財(cái)產(chǎn)損失、環(huán)境污染、任務(wù)失敗等[11]。針對(duì)飛機(jī)沖偏出跑道定義的系統(tǒng)級(jí)事故如表1 所示。

2.2 定義系統(tǒng)級(jí)危險(xiǎn)

危險(xiǎn)在不同的領(lǐng)域有不同的定義，STPA 是一個(gè)系統(tǒng)性的分析方法，在STPA 中危險(xiǎn)被定義為：系統(tǒng)與環(huán)境物體的關(guān)系，即：一個(gè)系統(tǒng)狀態(tài)或一系列條件在特定的最不利環(huán)境條件下會(huì)導(dǎo)致事故（損失）。

根據(jù)危險(xiǎn)的定義，可以確定出事故與危險(xiǎn)之間的聯(lián)系，即

危險(xiǎn)+環(huán)境條件=事故（損失）

表1 系統(tǒng)級(jí)事故Tab.1 System-level accidents

定義飛機(jī)沖偏出跑道的系統(tǒng)級(jí)危險(xiǎn)如表2 所示。表2 中第3 列表示的是系統(tǒng)級(jí)危險(xiǎn)與事故之間的聯(lián)系，例如系統(tǒng)級(jí)危險(xiǎn)飛機(jī)沖出跑道（H-1）可能造成的事故有飛機(jī)內(nèi)機(jī)組人員與乘客的傷亡（A-1）、飛機(jī)機(jī)體結(jié)構(gòu)的損壞（A-2），飛機(jī)沖出跑道一般不會(huì)阻礙其他飛機(jī)起飛與地面活動(dòng)的正常運(yùn)行。

表2 系統(tǒng)級(jí)危險(xiǎn)Tab.2 System-level hazards

2.3 不安全的控制行為

飛機(jī)沖偏出跑道的安全控制結(jié)構(gòu)如圖2 所示，包括控制器、執(zhí)行器、控制過(guò)程、傳感器以及它們之間的交互，它將控制行為分為恰當(dāng)?shù)目刂菩袨榧胺答佌_的信息。通過(guò)分析控制器、執(zhí)行器、控制過(guò)程和傳感器的輸入、輸出信號(hào)在性能、邏輯及時(shí)間上的安全控制，以確定可能會(huì)導(dǎo)致系統(tǒng)級(jí)危險(xiǎn)的不恰當(dāng)控制，進(jìn)而找出可能造成（導(dǎo)致）系統(tǒng)級(jí)危險(xiǎn)狀態(tài)的不安全控制行為和相應(yīng)的致因因素。

圖2 沖偏出跑道的控制結(jié)構(gòu)圖Fig.2 Runway excursion control structure diagram

STPA 將不安全控制行為根據(jù)在性能、邏輯及時(shí)間上的不合理性結(jié)合引導(dǎo)詞分為4 種類型：未提供或不遵守安全所要求的控制，提供不安全的控制從而導(dǎo)致的危險(xiǎn)，所提供的潛在安全控制太晚、過(guò)早或無(wú)序以及控制結(jié)束太快或應(yīng)用時(shí)間過(guò)長(zhǎng)。

根據(jù)圖2 分析得出飛機(jī)沖偏出跑道事故中管制員與機(jī)組人員可能存在的不安全控制行為（UCA,unsafe control action）以及可能造成的系統(tǒng)級(jí)危險(xiǎn)，共識(shí)別出32 個(gè)不安全控制行為，如表3 所示。以必要情況下發(fā)布中斷起飛（RTO,rejected take off）指令為例（表3 中的UCA-4 和UCA-5），根據(jù)美國(guó)聯(lián)邦航空條例（FAR，fedral aviation regulations）對(duì)V1 速度的定義可知，當(dāng)飛機(jī)速度大于V1 速度時(shí)是不允許中斷起飛的，否則可能造成飛機(jī)沖出跑道，所以必要情況下發(fā)布錯(cuò)誤的中斷起飛指令、發(fā)布中斷起飛指令過(guò)晚都有可能造成飛機(jī)沖出跑道（H-1）。

2.4 尋找致因因素

從構(gòu)建的安全控制結(jié)構(gòu)分析得到不安全控制行為，因此，要分析出每個(gè)不安全控制行為的致因場(chǎng)景必須考慮過(guò)程模型，安全控制結(jié)構(gòu)圖已經(jīng)將過(guò)程模型構(gòu)建在內(nèi)，如圖2 所示。通過(guò)分析過(guò)程模型可以找出不安全控制行為的致因場(chǎng)景，因篇幅有限，僅考慮影響因素較大的著陸/RTO/GA 情況，以必要情況下（沒有/延遲）發(fā)布著陸/RTO/GA 指令（UCA-4 和UCA-5）和（沒有/錯(cuò)誤/過(guò)晚）執(zhí)行正確的著陸/RTO/GA 程序（UCA-24，UCA-25，UCA-26）為例的飛機(jī)沖偏出跑道不安全控制行為致因因素，如表4 所示。

表3 不安全控制行為Tab.3 Unsafe control actions

表4 致因因素表Tab.4 Causal factors

從表4 可知，造成UCA-4 和UCA-5 的主要原因有：管制員的身體狀態(tài)、精神狀態(tài)不佳或技能熟練程度不達(dá)標(biāo)，導(dǎo)致管制工作有誤或不及時(shí)；管制員認(rèn)為飛機(jī)反饋的狀態(tài)信息都正確且及時(shí)，而實(shí)際情況是飛機(jī)可能由于相關(guān)設(shè)備的故障導(dǎo)致飛機(jī)反饋的信息錯(cuò)誤或者延遲，對(duì)管制員發(fā)布命令造成影響；管制員認(rèn)為機(jī)組人員的請(qǐng)求都合理，而實(shí)際情況是機(jī)組人員的請(qǐng)求由于其他原因可能是不合理的。造成UCA-24，UCA-25 和UCA-26 的主要原因有：機(jī)組人員的身體、精神狀態(tài)不佳或操作熟練度不達(dá)標(biāo)；機(jī)組認(rèn)為飛機(jī)反饋的狀態(tài)信息都正確且及時(shí)，而實(shí)際情況是由于硬件設(shè)備原因，飛機(jī)狀態(tài)信息有誤；機(jī)組人員認(rèn)為管制人員的命令都合理，而實(shí)際情況是由于某些情況該命令不合理。

3 安全約束

STPA 中最基本的概念不是事件而是約束，事故或損失正是由于安全約束缺失或沒有被有效執(zhí)行，因篇幅有限，以表4 中提到的不安全控制行為（UCA-4，UCA-5，UCA-24，UCA-25，UCA-26）為例提出相對(duì)應(yīng)的安全約束（SC,safety constraint），如表5 所示。

在發(fā)布正確的著陸/RTO/GA 命令上，管制員的人為差錯(cuò)占主導(dǎo)地位，因而在安全約束上主要針對(duì)管制員執(zhí)行。同時(shí)導(dǎo)致管制員管制差錯(cuò)或失誤有部分原因是由于硬件設(shè)備的故障，因而在硬件設(shè)備上也對(duì)其有所約束。在執(zhí)行正確的著陸/RTO/GA 指令上，機(jī)組人員的人為差錯(cuò)占主導(dǎo)地位，此時(shí)的安全約束主要針對(duì)機(jī)組人員考慮。同時(shí)在機(jī)組人員接收有誤或不及時(shí)的反饋信息上，硬件設(shè)備的完善程度有著重要影響，在實(shí)施約束上也應(yīng)將其考慮在內(nèi)。

表5 安全約束表Tab.5 Safety constraints

4 結(jié)語(yǔ)

采用基于系統(tǒng)理論的STPA 方法對(duì)飛機(jī)沖偏出跑道進(jìn)行分析，克服了傳統(tǒng)安全分析方法不能有效分析強(qiáng)耦合事故與人因因素考慮不充分的局限性，分析得到了飛機(jī)沖偏出跑道的不安全控制行為及原因。

針對(duì)不安全控制行為，根據(jù)不安全控制行為的致因，給出了相應(yīng)的安全約束。STPA 無(wú)法對(duì)不安全控制行為量化分析，如何確定不安全控制行為的影響程度是下一步研究的重點(diǎn)。