李耀華, 溫迪

(1.中國(guó)民航大學(xué)交通科學(xué)與工程學(xué)院, 天津 300300; 2.中國(guó)民航大學(xué)航空工程學(xué)院, 天津 300300)

現(xiàn)代飛機(jī)的機(jī)載控制系統(tǒng)大都是由機(jī)械、液壓、電氣等子系統(tǒng)所組成的高度集成的系統(tǒng)。飛機(jī)系統(tǒng)的安全性對(duì)飛機(jī)的運(yùn)行安全具有重要影響。然而隨著系統(tǒng)的復(fù)雜程度不斷提高,系統(tǒng)的故障不僅僅是任意單一子系統(tǒng)或部件的故障所導(dǎo)致的,很多情況下是由非故障部件之間的危險(xiǎn)控制和不安全交互作用所導(dǎo)致的,這種故障對(duì)持續(xù)適航階段的飛機(jī)系統(tǒng)安全性分析方法的有效性提出了挑戰(zhàn)[1]。

傳統(tǒng)的系統(tǒng)安全性分析方法是基于線性的事故致因模型,大多局限于對(duì)具有靜態(tài)邏輯或者靜態(tài)故障模式的系統(tǒng)進(jìn)行分析,認(rèn)為事故是由于組件故障所引起的。而忽略了組件間的不安全交互行為所導(dǎo)致的危險(xiǎn),如故障樹(shù)分析方法(fault tree analysis,FTA)[2],概率安全評(píng)估方法(probabilistic safety assessment,PSA)[3]等。雖然這些方法被廣泛應(yīng)用于各個(gè)領(lǐng)域,但是對(duì)復(fù)雜系統(tǒng)中非故障組件間的相互作用和人機(jī)交互導(dǎo)致故障很難能夠識(shí)別和分析[4]。系統(tǒng)理論與過(guò)程分析[5](system theoretic process analysis,STPA)是建立在控制理論和系統(tǒng)理論(system theoretic accident model and processes,STAMP)上的一種安全性分析方法。該方法將復(fù)雜系統(tǒng)的安全性分析問(wèn)題視為控制問(wèn)題。目前已經(jīng)成功應(yīng)用到武器工業(yè)[6]、水路運(yùn)輸[7]、航空航天[8-9]等多個(gè)領(lǐng)域。

不同于以往的系統(tǒng)安全性分析方法,STPA可以準(zhǔn)確地分析系統(tǒng)組件間的不安全非線性交互,對(duì)于復(fù)雜系統(tǒng)來(lái)說(shuō)更適合。雖然STPA能有效識(shí)別傳統(tǒng)的安全性分析方法所忽略的系統(tǒng)潛在危險(xiǎn),降低了致因分析的工作量。但是應(yīng)用于民機(jī)上仍然存在適用性障礙,主要表現(xiàn)在沒(méi)有考慮對(duì)結(jié)果的定量分析和概率計(jì)算,并且沒(méi)有準(zhǔn)確給出關(guān)鍵致因因素。為解決上述問(wèn)題。文獻(xiàn)[10]針對(duì)定檢階段的機(jī)務(wù)人員導(dǎo)致的人為因素原因,基于STPA建立規(guī)范化分析模型,進(jìn)行維修疲勞致因分析。文獻(xiàn)[11]將STPA分析與Bayes網(wǎng)格結(jié)合,彌補(bǔ)了STPA分析在定量化分析方面的缺失。文獻(xiàn)[12]把FMEA引入到STPA分析過(guò)程中,構(gòu)建了STPA-FT的分析方法,擴(kuò)大了危險(xiǎn)致因的范圍,而且可以評(píng)估風(fēng)險(xiǎn)。文獻(xiàn)[13]利用一階線性時(shí)態(tài)邏輯(LTL)將識(shí)別出的不安全控制行為規(guī)范化描述,建立不安全行為約束的形式化表達(dá)式。文獻(xiàn)[14]為克服STPA的局限性,將STPA方法與傳統(tǒng)人因失誤相結(jié)合,對(duì)航空事故中的人為因素展開(kāi)有效分析。文獻(xiàn)[15]將網(wǎng)格分析法進(jìn)入STPA分析中,改進(jìn)了對(duì)危險(xiǎn)控制動(dòng)作的評(píng)估與分析。雖然現(xiàn)有研究都對(duì)STPA進(jìn)行了不同程度的改進(jìn),但是缺少對(duì)系統(tǒng)危險(xiǎn)的關(guān)鍵致因因素的分析。

為了使STPA更適用于復(fù)雜系統(tǒng)的分析,現(xiàn)將STPA和動(dòng)態(tài)故障樹(shù)(dynamic fault tree,DFT)[16]相融合,構(gòu)建一種面向復(fù)雜系統(tǒng)安全性分析的標(biāo)準(zhǔn)流程與框架,結(jié)合定量方法。改進(jìn)STPA方法中對(duì)致因因素分析較為籠統(tǒng)和缺少關(guān)鍵危險(xiǎn)致因的識(shí)別與定量分析框架。并以空客A320飛機(jī)的主起落架系統(tǒng)為例進(jìn)行分析,來(lái)證明此方法的適用性和有效性。

1 STPA-DFT安全性分析模型

1.1 STPA/STAMP工作流程

STPA是一種事故因果擴(kuò)展模型的為危險(xiǎn)分析工具,是由Leveson[17]于2004年提出。將復(fù)雜系統(tǒng)視為自上而下的分層控制結(jié)構(gòu),將系統(tǒng)安全性問(wèn)題轉(zhuǎn)化為控制問(wèn)題。其基本的危險(xiǎn)識(shí)別分析步驟按照?qǐng)D1所示進(jìn)行。

圖1 STPA流程Fig.1 STPA process

1.2 STPA-DFT安全性分析模型

雖然通過(guò)STPA的分析流程可以得出引發(fā)系統(tǒng)危險(xiǎn)的危險(xiǎn)控制行為,并識(shí)別出相關(guān)致因場(chǎng)景,但是仍然停留在定性階段,缺少對(duì)系統(tǒng)造成威脅的關(guān)鍵致因因素的識(shí)別和定量的分析框架,無(wú)法精確危險(xiǎn)對(duì)系統(tǒng)的影響程度。動(dòng)態(tài)故障樹(shù)(DFT)更加適用于動(dòng)態(tài)隨機(jī)失效的系統(tǒng)故障問(wèn)題[18-19],可以通過(guò)概率計(jì)算結(jié)果來(lái)描述危險(xiǎn)致因?qū)ο到y(tǒng)的影響程度。將DFT中底事件重要度概念[20]與STPA中致因因素相對(duì)應(yīng),以彌補(bǔ)缺少關(guān)鍵致因因素分析的缺點(diǎn)。然而DFT缺少對(duì)系統(tǒng)的危險(xiǎn)致因的完整分析流程。所以融合了DFT的定量分析框架對(duì)STPA方法進(jìn)行改進(jìn),結(jié)合兩者優(yōu)勢(shì),提出一種結(jié)合定性和定量分析的關(guān)鍵致因因素分析框架,其具體的分析流程如圖2所示。

圖2 STPA-DFT分析流程Fig.2 STPA-DFT analysis process

STPA-DFT系統(tǒng)安全性分析的具體分析步驟如下。

步驟1系統(tǒng)安全性分析建模。首先針對(duì)具體的復(fù)雜系統(tǒng)使用場(chǎng)景定義分析目的,包括識(shí)別系統(tǒng)邊界、定義事故和系統(tǒng)級(jí)危險(xiǎn)。然后,根據(jù)系統(tǒng)組件間的控制關(guān)系構(gòu)建系統(tǒng)的安全分層控制結(jié)構(gòu)模型。最后,基于所形成的分層控制結(jié)構(gòu)模型和控制反饋回路來(lái)生成危險(xiǎn)控制行為(unsafe control actions,UCA)。

步驟2STPA-DFT致因因素分析。將系統(tǒng)安全性分析所識(shí)別出的UCA進(jìn)行定性分析,得到UCA的事故致因因素,生成導(dǎo)致UCA發(fā)生的動(dòng)態(tài)故障樹(shù)模型。通過(guò)將DFT模型轉(zhuǎn)化為馬爾科夫鏈對(duì)致因因素進(jìn)行定量分析,并通過(guò)概率計(jì)算得出導(dǎo)致UCA發(fā)生的關(guān)鍵致因因素。

2 系統(tǒng)安全性建模與分析

基于STPA的工作流程,通過(guò)對(duì)系統(tǒng)邊界的識(shí)別,定義事故及系統(tǒng)級(jí)危險(xiǎn)和系統(tǒng)控制與反饋行為的識(shí)別對(duì)系統(tǒng)進(jìn)行建模。捕捉系統(tǒng)模型中的功能性關(guān)系及相互作用形成危險(xiǎn)控制行為。

2.1 系統(tǒng)級(jí)事故及危險(xiǎn)的確定

系統(tǒng)級(jí)事故是發(fā)生在預(yù)期之外的危險(xiǎn)事件[21],根據(jù)不同的系統(tǒng),系統(tǒng)級(jí)事故可能包括人身傷害或死亡、經(jīng)濟(jì)損失、設(shè)備損壞或損毀和任務(wù)失敗等。針對(duì)民機(jī)系統(tǒng)應(yīng)用場(chǎng)景,可能發(fā)生的系統(tǒng)級(jí)事故及描述如表1所示。

表1 系統(tǒng)級(jí)事故及描述Table 1 The accident levels and description

系統(tǒng)級(jí)危險(xiǎn)指的是一種系統(tǒng)狀態(tài)或者條件,并非識(shí)別某個(gè)單一組件所涉及的危險(xiǎn)。在民機(jī)運(yùn)行階段,根據(jù)系統(tǒng)的應(yīng)用場(chǎng)景不同,面對(duì)的不安全環(huán)境條件不同,如人為的錯(cuò)誤操作、惡劣的工作環(huán)境等,所引發(fā)的危險(xiǎn)也不同。對(duì)特定系統(tǒng)的故障模式進(jìn)行總結(jié)得出系統(tǒng)級(jí)危險(xiǎn)。

2.2 建立系統(tǒng)STAMP模型

根據(jù)STAMP原理和所分析系統(tǒng)的功能組件和控制反饋過(guò)程,建立系統(tǒng)的分層控制結(jié)構(gòu)模型。將系統(tǒng)的工作過(guò)程用控制反饋回路表示,為系統(tǒng)建模捕捉更詳細(xì)的功能細(xì)節(jié),完整地表示系統(tǒng)工作原理,作為進(jìn)一步的系統(tǒng)安全性分析的基礎(chǔ)。

2.3 生成系統(tǒng)潛在UCA

根據(jù)系統(tǒng)分層控制模型和系統(tǒng)的工作過(guò)程對(duì)系統(tǒng)的整個(gè)安全控制回路進(jìn)行分析,在系統(tǒng)安全控制框架內(nèi)識(shí)別出危險(xiǎn)控制行為(UCA)。

3 STPA-DFT致因因素分析

通過(guò)STPA-DFT的分析流程生成可能會(huì)導(dǎo)致危險(xiǎn)控制行為發(fā)生的致因因素,進(jìn)行基礎(chǔ)的STPA分析,并融合定量化評(píng)估方法DFT,優(yōu)化整個(gè)致因分析框架,以得到引發(fā)UCA發(fā)生的關(guān)鍵致因因素。

3.1 UCA定性分析

當(dāng)識(shí)別出危險(xiǎn)控制行為后,需要進(jìn)一步分析其發(fā)生的原因。根據(jù)所建立的系統(tǒng)控制反饋回路和致因因素分析框架對(duì)UCA進(jìn)行定性分析。所識(shí)別出的致因因素可分為四類:控制器、作動(dòng)器、控制行為和反饋過(guò)程,如圖3所示,13種普遍致因因素如表2所示。依據(jù)事故致因理論對(duì)每個(gè)UCA進(jìn)行詳細(xì)分析得到具體的致因因素。

圖3 STPA致因分析框架Fig.3 Cause analysis framework based on STPA

3.2 UCA定量分析

動(dòng)態(tài)故障樹(shù)來(lái)進(jìn)行安全性分析是通過(guò)在靜態(tài)子樹(shù)中引入動(dòng)態(tài)邏輯門(mén),能根據(jù)系統(tǒng)的故障模式,通過(guò)描述動(dòng)態(tài)系統(tǒng)失效特征來(lái)定量分析評(píng)估復(fù)雜系統(tǒng)的動(dòng)態(tài)故障事件,近年來(lái)DFT在多個(gè)領(lǐng)域成功應(yīng)用。

將DFT融入STPA以完善致因因素的定量分析框架,將定性分析所識(shí)別出的致因因素所涉及組件的失效模式轉(zhuǎn)化為底事件,并與系統(tǒng)的分層控制結(jié)構(gòu)模型一同轉(zhuǎn)化為動(dòng)態(tài)故障樹(shù)模型。通過(guò)將各組件的失效率賦值給各底事件,并將動(dòng)態(tài)故障樹(shù)向馬爾科夫鏈進(jìn)行轉(zhuǎn)化,便可計(jì)算UCA的發(fā)生概率,完成UCA的定量分析。最后引入動(dòng)態(tài)故障樹(shù)中的底事件重要度的概念,底事件重要度表示某個(gè)底事件的概率變化之后,對(duì)頂事件的概率變化的影響程度。可找出系統(tǒng)中對(duì)系統(tǒng)影響最大部分。與STPA中的關(guān)鍵致因因素相對(duì)應(yīng)可以得到引發(fā)系統(tǒng)故障的關(guān)鍵致因,STPA與DFT的重點(diǎn)概念對(duì)應(yīng)關(guān)系如圖4所示。

圖4 STPA與DFT重點(diǎn)概念對(duì)應(yīng)關(guān)系Fig.4 Correspondence between key concepts of STPA and DFT

DFT作為一種對(duì)復(fù)雜系統(tǒng)動(dòng)態(tài)可靠性和安全性的分析方法,在描述和概率計(jì)算復(fù)雜系統(tǒng)部件的某些行為和相互作用的方面具有優(yōu)勢(shì)。STPA是一種結(jié)合系統(tǒng)理論和控制理論的定性研究方法,STPA的定性分析結(jié)果和STAMP模型可以輸入DFT概率計(jì)算模型,DFT可以完整準(zhǔn)確地定量評(píng)估STPA的定性分析結(jié)果,找到影響系統(tǒng)安全的關(guān)鍵致因,更為簡(jiǎn)單和直觀,兩者可以更為緊密地融合。

4 系統(tǒng)模型的實(shí)例驗(yàn)證

基于起落架系統(tǒng)對(duì)高安全性的需求[22],選取空客A320飛機(jī)主起落架系統(tǒng)來(lái)進(jìn)行實(shí)例分析。飛機(jī)起落架是飛機(jī)作為唯一一種支撐飛機(jī)的重要部件,承擔(dān)著飛機(jī)安全起降,地面移動(dòng)與支撐的任務(wù),其系統(tǒng)的工作狀態(tài)和性能直接影響到飛機(jī)飛行安全。因此需要保證起落架安全水平滿足持續(xù)適航的要求。

起落架系統(tǒng)主要由前起落架系統(tǒng)和主起落架系統(tǒng)組成。主要以前起落架的收放過(guò)程進(jìn)行研究,其系統(tǒng)組成主要有駕駛員、起落架控制手柄、應(yīng)急控制手柄、液壓系統(tǒng)、機(jī)械系統(tǒng)、信號(hào)顯示面板、機(jī)械組件、傳感器等組件組成[23]。

4.1 起落架系統(tǒng)建模

根據(jù)起落架系統(tǒng)在飛機(jī)起降階段的工作原理和失效模式,可得到起落架系統(tǒng)收放過(guò)程中的系統(tǒng)級(jí)危險(xiǎn),具體內(nèi)容如表3所示。

表3 致因分析Table 3 Cause analysis

起落架收放控制系統(tǒng)主要是由液壓作為動(dòng)力源,通過(guò)電氣系統(tǒng)控制機(jī)械結(jié)構(gòu)來(lái)控制起落架的伸出與收回,并通過(guò)各部分傳感器來(lái)對(duì)起落架的實(shí)時(shí)狀態(tài)進(jìn)行監(jiān)控和反饋。

在起落架伸出過(guò)程中,飛行員通過(guò)起落架控制手柄對(duì)起落架進(jìn)行控制,控制指令傳到起落架電磁閥,此時(shí)電磁閥將液壓管路與起落架放下管路接通,高壓液壓油進(jìn)入,沿著液壓管路依次流過(guò)起落架伸出作動(dòng)筒和上下位鎖以完成起落架伸出動(dòng)作。在起落架收起過(guò)程中,液壓管路回油以完成起落架的收回動(dòng)作。當(dāng)起落架的收放控制系統(tǒng)出現(xiàn)故障時(shí),起落架無(wú)法正常工作,駕駛員可以通過(guò)應(yīng)急控制程序,帶動(dòng)連桿機(jī)構(gòu)在重力的作用下實(shí)現(xiàn)起落架的應(yīng)急放下[24]。起落架系統(tǒng)的分層控制結(jié)構(gòu)如圖5所示。

圖5 起落架系統(tǒng)分層安全控制結(jié)構(gòu)Fig.5 Layered safety control structure of landing gear system

4.2 UCA識(shí)別

為保證起落架收放過(guò)程的安全性,需結(jié)合系統(tǒng)分層控制結(jié)構(gòu)對(duì)整個(gè)系統(tǒng)控制回路進(jìn)行安全性分析,在系統(tǒng)的安全控制框架內(nèi)識(shí)別系統(tǒng)的UCA。依據(jù)系統(tǒng)的控制回路和反饋回路,共識(shí)別出8個(gè)控制行為和7個(gè)反饋,以僅識(shí)別起落架在伸出時(shí)系統(tǒng)的危險(xiǎn)控制行為作為例子進(jìn)行說(shuō)明。在系統(tǒng)工作時(shí),收放控制手柄、應(yīng)急控制手柄和電磁閥作為控制器,起落架裝置為被控對(duì)象,控制過(guò)程由液壓系統(tǒng)和機(jī)械結(jié)構(gòu)執(zhí)行,并將系統(tǒng)狀態(tài)通過(guò)傳感器反饋給駕駛員?；赟TPA分析流程將起落架伸出過(guò)程的系統(tǒng)潛在UCA分為四類,具體如表4所示。

4.3 UCA定性分析

當(dāng)確定系統(tǒng)的危險(xiǎn)控制行為后,需要進(jìn)一步分析其發(fā)生的原因,根據(jù)事故致因理論所建立的系統(tǒng)控制反饋回路和致因因素分析框架對(duì)所識(shí)別出的UCA進(jìn)行定性致因因素分析,從控制方面和反饋方面來(lái)對(duì)UCA-3進(jìn)行詳細(xì)的致因因素分析,結(jié)果如表5所示。

4.4 UCA定量致因分析

根據(jù)致因因素分析,將定性致因分析結(jié)果和系統(tǒng)分層控制結(jié)構(gòu)模型相融合,并建立系統(tǒng)的動(dòng)態(tài)故障樹(shù)模型。DFT對(duì)復(fù)雜系統(tǒng)定義了可以描述復(fù)雜系統(tǒng)動(dòng)態(tài)特征的邏輯門(mén)結(jié)構(gòu),根據(jù)需求,采用了可以描述系統(tǒng)工作順序的順序相關(guān)門(mén)[25](sequence-enforcing,SEQ)。

順序相關(guān)門(mén)要求輸入事件從左至右的發(fā)生,頂事件才會(huì)發(fā)生,此發(fā)生順序的邏輯是強(qiáng)制的。SEQ門(mén)與飛機(jī)起落架系統(tǒng)的收放過(guò)程的控制邏輯高度適配。以UCA-3為例,駕駛員放下起落架但執(zhí)行機(jī)構(gòu)沒(méi)有響應(yīng),應(yīng)急系統(tǒng)失效為頂事件,使用順序相關(guān)門(mén)為頂事件的動(dòng)態(tài)邏輯門(mén)建立DFT模型,具體如圖6所示。

UCA-3的動(dòng)態(tài)概率樹(shù)模型中的初始事件和關(guān)鍵事件的動(dòng)態(tài)故障樹(shù)所對(duì)應(yīng)的各個(gè)動(dòng)/靜態(tài)邏輯門(mén)的描述如表6所示。

表6 DFT中各個(gè)邏輯門(mén)的狀態(tài)描述Table 6 Status description of each logic gate in DFT

為確定起落架系統(tǒng)DFT模型的各基本事件的發(fā)生概率,通過(guò)不同的渠道收集底事件發(fā)生的數(shù)據(jù)和信息。

(1)專家經(jīng)驗(yàn)判斷和故障案例庫(kù)。

(2)可靠性標(biāo)準(zhǔn)及手冊(cè)的失效率數(shù)據(jù)。

(3)飛機(jī)零部件供應(yīng)商、制造商、運(yùn)營(yíng)商所提供的數(shù)據(jù)。

(4)定性概率估計(jì)。

所得到的基本事件的失效率/發(fā)生概率和分布類型及參數(shù)如表7所示。

表7 基本事件的失效率/發(fā)生概率Table 7 Failure rate/probability of occurrence of basic events

將所建成的DFT模型進(jìn)行遍歷搜索,對(duì)其進(jìn)行模塊化分析,分離出其所有的獨(dú)立子樹(shù)。依據(jù)其不同的特點(diǎn),和在故障樹(shù)中的結(jié)構(gòu)。將分解得出的所有獨(dú)立子樹(shù),分為動(dòng)態(tài)子樹(shù)和靜態(tài)子樹(shù)?？傻玫?8個(gè)靜態(tài)子樹(shù)和1個(gè)動(dòng)態(tài)子樹(shù)。

4.4.1 靜態(tài)子樹(shù)的定量分析

基于最小割集求解靜態(tài)子樹(shù),當(dāng)最小割集不相交時(shí),其靜態(tài)子樹(shù)的結(jié)構(gòu)函數(shù)為

(1)

式(1)中:Kn(t)為在t時(shí)刻,第n個(gè)最小割集發(fā)生的概率;Fj(t)為在t時(shí)刻,第n個(gè)最小割集中第j個(gè)組件的故障概率。

(2)

頂事件的發(fā)生概率為

(3)

對(duì)所有的靜態(tài)子樹(shù)采取下行法以尋找故障樹(shù)的最小割集,可得到30個(gè)最小割集。進(jìn)行最小割集求解可得出各靜態(tài)子樹(shù)的發(fā)生概率。

4.4.2 動(dòng)態(tài)子樹(shù)的定量分析

識(shí)別出的動(dòng)態(tài)子樹(shù)的動(dòng)態(tài)邏輯門(mén)為SEQ門(mén),頂事件為G1。對(duì)于復(fù)雜系統(tǒng)通常將動(dòng)態(tài)故障門(mén)轉(zhuǎn)化為馬爾可夫模型進(jìn)行求解。建立的故障樹(shù)模型轉(zhuǎn)化成的馬爾科夫鏈如圖7所示。

FA表示系統(tǒng)失效狀態(tài);NF表示系統(tǒng)非失效狀態(tài);1表示底事件失效;0表示底事件正常圖7 轉(zhuǎn)化后的馬爾可夫鏈Fig.7 Transformed Markov chain

將DFT轉(zhuǎn)化為馬爾可夫狀態(tài)轉(zhuǎn)移圖后,根據(jù)馬爾可夫狀態(tài)轉(zhuǎn)移公式取t=100 h代入順序相關(guān)門(mén)計(jì)算公式中[26],可得

=1.008 7×10-8

(4)

可得到系統(tǒng)工作時(shí)間為100 h時(shí),以UCA-3為例,駕駛員放下起落架,但執(zhí)行機(jī)構(gòu)未響應(yīng),應(yīng)急系統(tǒng)失效的發(fā)生概率PG1=1.008 7×10-8h-1,小于1×10-7h-1符合定量概率要求。

4.4.3 底事件重要度

采取計(jì)算底事件重要度的理論來(lái)分析各致因因素對(duì)系統(tǒng)的影響程度,以求得關(guān)鍵致因。令底事件概率分別為0和1,代入式(3)中,分別求出兩個(gè)失效率,兩數(shù)相減便可求出該底事件的概率重要度[27]。采用MATLAB進(jìn)行編程代數(shù)計(jì)算結(jié)果如表8所示,對(duì)表8中數(shù)據(jù)進(jìn)行排序即可準(zhǔn)確得出對(duì)頂事件影響最大的事件為E1(起落架選擇門(mén)失效)和E17、E18(起落架撐桿失效),即為起落架系統(tǒng)故障的關(guān)鍵致因因素,需要在后續(xù)維修中重點(diǎn)關(guān)注。

表8 底事件概率重要度Table 8 Probability importance of bottom event

5 結(jié)論

面向持續(xù)適航階段的飛機(jī)系統(tǒng)的安全性分析,提出了一種融合系統(tǒng)理論方法,通過(guò)對(duì)該方法的研究可得到以下結(jié)論。

(1)從系統(tǒng)理論角度建立了飛機(jī)系統(tǒng)的分層控制結(jié)構(gòu)模型,采取STPA-DFT方法對(duì)飛機(jī)系統(tǒng)進(jìn)行安全性分析,綜合考慮所建立的STAMP模型中各組件的交互行為,識(shí)別出系統(tǒng)潛在的危險(xiǎn)控制行為,并對(duì)危險(xiǎn)控制行為定性分析,得到導(dǎo)致危險(xiǎn)發(fā)生的致因因素。

(2)通過(guò)融合動(dòng)態(tài)故障樹(shù),提出了STPA-DFT的安全性分析方法,完善了STPA中的定量致因分析框架,計(jì)算可得到關(guān)鍵致因因素,定量地分析了致因因素對(duì)系統(tǒng)的影響程度。改進(jìn)了STPA的致因因素分析流程,為飛機(jī)復(fù)雜系統(tǒng)的安全性分析提供了重要參考。