基于STAMP的試飛安全指標體系構建方法*

陳浩然，崔利杰，任 博，張賈奎

（1.空軍工程大學研究生院，西安 710051；2.空軍工程大學裝備管理與無人機工程學院，西安 710051）

0 引言

試飛是航空器研制的一個必經階段，主要包括科研試飛、生產交付試飛、適航審定試飛以及與之相關的飛行試驗和地面功能試驗［1］。由于試飛特別是首飛或科研試飛的目的是驗證飛行邊界，因此，具有高風險性，被人們稱為“刀尖上的舞蹈”。一個科學、系統(tǒng)、完備的試飛安全指標體系，能夠有效提升試飛工作的事前安全預測、事中安全決策的效率和準確性，也能為試飛事故事后調查提供依據和指導。

目前國內外鮮有針對試飛安全的專門指標體系，但很多學者對航空安全開展了大量研究和探索，提出了一系列不同的航空安全指標體系，這能夠為構建試飛安全指標體系提供有益參考。如端木京順等［2］經多年研究，提出了基于Reason理論的航空事故飛行因素指標體系；劉軍等［3］基于模糊綜合評價模型，提出了針對影響飛行安全人為因素的指標體系；張曉燕等［4］基于物元分析理論，確定了空管危險源指標體系及權重；王永剛等［5］基于風險管理理論，從事故、事故癥候及危險源和行為差錯3方面構建了機場五級安全目標指標體系；另外，部分學者［6-8］基于傳統(tǒng)人、機、環(huán)、管系統(tǒng)理論和航空事故危險源分析，構建了航空系統(tǒng)人員、飛機、空管與環(huán)境、組織管理等4個方面的安全指標體系，為航空事故預警和風險評估提供依據。

這些研究成果，雖然能夠在不同方面有效監(jiān)控航空風險因素，但仍然具有一些局限性。體現在一方面是傳統(tǒng)試飛安全預測評估方法應用領域的局限性，另一方面這些指標多是基于Reason模型［9］、多米諾模型［10］等傳統(tǒng)安全分析理論，分離導致事故發(fā)生的人、機、環(huán)、管等因素，對系統(tǒng)交互行為影響考慮十分有限，加之近年來隨著技術的進步，新型航空器部件可靠性水平大幅度提升，以軟件為代表的復雜邏輯系統(tǒng)應用廣泛，由系統(tǒng)交聯、人機交互、空地協同方面引發(fā)的試飛事故或事故征候劇增，因此，基于系統(tǒng)理論構建新的適用于試飛安全的指標體系勢在必行。

本世紀初，Leveson基于系統(tǒng)思維提出了STAMP（Systems-Theoretic Accident Modeling and Processes）理論［11-12］。STAMP理論將事故視為控制失效問題，應同時考慮系統(tǒng)失效和部件交互、外界擾動等問題，通過對系統(tǒng)組件、組件交互、環(huán)境條件等施加安全約束控制系統(tǒng)安全；基于STAMP模型，能夠充分識別組件失效、組織漏洞、需求遺漏、設計缺陷、人為差錯和組件交互等控制要素，涵蓋所有事故致因因素［13］。目前，該理論已經成功應用于航空航天［14］、交通運輸［15］、核設施［16］、軍用航空［17］等諸多領域，并取得了較好的工程效果。基于此，本文將結合STAMP理論，構建試飛安全控制模型，探索試飛安全指標體系的構建方法。

1 STAMP基本理論

2004年，Leveson在系統(tǒng)控制論的基礎上提出了STAMP模型。該模型將安全性視為系統(tǒng)的涌現性，認為安全性是系統(tǒng)中各組件及其交互行為相關的一系列約束限制，而事故正是由于系統(tǒng)各層次的行為缺乏約束所導致的［13］。由此，STAMP將安全性看作是控制問題而不是組件失效問題，在組件失效、環(huán)境干擾和組件交互無法及時、準確、有效得到控制時事故往往發(fā)生。

STPA（System Theoretic Process Analysis）方法是基于STAMP事故模型的危險分析方法，通過構建如圖1所示的系統(tǒng)自適應反饋控制結構圖，來對系統(tǒng)的安全性進行全面、系統(tǒng)的分析。

圖1 典型STAMP反饋控制回路

圖中系統(tǒng)主要包括控制器、執(zhí)行器、被控對象和傳感器4個部分，系統(tǒng)可以被看作相互關聯的一系列組件，通過反饋控制回路保持在一個動態(tài)的平衡狀態(tài)，而安全是系統(tǒng)的涌現特性，當系統(tǒng)及其組件的行為滿足適當的約束時，即可保持這一特性。因此，在系統(tǒng)設計時，必須對系統(tǒng)行為實施適當約束以安全運行。同樣，在修改和完善系統(tǒng)設計時，也必須持續(xù)實施安全約束。而事故可以被描述為帶有缺陷過程的結果，可能會涉及到導致違反系統(tǒng)安全約束的人、軟件、硬件、環(huán)境間的相互作用及導致違反系統(tǒng)安全約束的物理系統(tǒng)組件失效等。

圖中控制邏輯可以看出：通過過程模型可以識別被違反的安全約束并確定為何控制行為不能恰當實施安全約束，確定導致不安全事件發(fā)生的原因以及實施不安全控制的需求，并將其轉化為安全約束和設計需求，為設計出更安全的系統(tǒng)提供保證。

2 試飛STAMP模型與安全性分析

依據STAMP原理及安全分析過程，結合試飛作業(yè)流程和信息交互狀況，構建完整試飛系統(tǒng)STAMP模型，進而開展STPA安全性分析。

2.1 試飛系統(tǒng)模型構建

按照試飛工作中涉及的各類人員要素和工作流程，可將其分為試飛執(zhí)行系統(tǒng)和試飛保障系統(tǒng)，兩系統(tǒng)均圍繞試飛飛機開展工作。試飛執(zhí)行系統(tǒng)主要包括：以試飛指揮員為主的飛行指揮系統(tǒng)，以飛行員為主的試飛機組，以及伴飛飛機、監(jiān)控雷達、導航通信等各類傳感監(jiān)測設備構成的飛行狀態(tài)信息監(jiān)測系統(tǒng)。試飛保障系統(tǒng)主要包括：以保障指揮員為主的保障指揮系統(tǒng)，以保障機組為主的保障人員及相關裝（設）備，以安全監(jiān)察和質量控制為主的數據收集與信息反饋系統(tǒng)。根據上述邏輯關系和系統(tǒng)控制理論，構建飛機試飛控制模型如圖2所示。

圖2 試飛安全系統(tǒng)STAMP模型

不難發(fā)現，試飛系統(tǒng)可由兩個控制回路組成，即試飛執(zhí)行系統(tǒng)和試飛保障系統(tǒng)。在試飛執(zhí)行系統(tǒng)中，以試飛指揮員為主的飛行指揮系統(tǒng)構成控制器，飛行機組作為執(zhí)行器，試飛飛行器為被控對象，而伴飛飛機、監(jiān)測雷達和機上的通信設備執(zhí)行監(jiān)測反饋功能，作為反饋器傳輸飛機狀況信息。

按照層次劃分，飛行機組與飛行器也構成了一個小的反饋控制回路，主要表現在機組對飛行器的直接操縱和飛行員通過感官以及機載儀表設備等得到的反饋信息。同時，試飛執(zhí)行系統(tǒng)中也存在外部擾動因素，如天氣情況、空管狀況、鳥類災害等。對于試飛保障系統(tǒng)，以保障指揮員為主的保障指揮系統(tǒng)構成控制器，保障機組構成執(zhí)行器，試飛飛行器為執(zhí)行對象，而安全監(jiān)察、質量控制、工程控制等信息收集系統(tǒng)構成反饋系統(tǒng)。

本實驗在確定進樣口溫度、檢測器溫度、載氣流速及其他相關條件一致的情況下，實驗中采用HP-5(30 m×0.25 mm×0.25μm)柱子無法使其中的某些化合物分開。經過多次試驗，試驗中采用DB-1701(30 m×0.25 mm×0.25μm)的色譜柱可以使所有化合物達到很好的分離，并且在保證分離效果的前提下，改變升溫程序還可以縮短分析樣品所需時間。所得色譜最佳分離條件如前所述，色譜分離效果見圖2。

同樣，保障機組與飛行器之間構成一個完整回路，而保障工具、設施設備、航材備件等保障要素可構成保障的外部因素。對于兩個控制回路中的控制器，都有相應的控制模型，為改善人員的心智模型，飛行機組和保障機組也要經過相應的培訓，這些培訓等措施也可以單獨構成反饋控制回路。

2.2 試飛系統(tǒng)安全性分析

根據STPA分析方法，造成系統(tǒng)事故發(fā)生或危險出現的原因分為4類，即組件失效、系統(tǒng)外部干擾、系統(tǒng)組件之間的交互作用和單個系統(tǒng)組件的危險行為［18］，事故致因的具體類型如圖3所示。

圖3 導致危險的控制缺陷種類

根據圖3所示系統(tǒng)安全約束傳遞過程，可將上述4類原因進行進一步細化分解，其中組件失效可以分為控制器、執(zhí)行器、被控對象和傳感器失效，而系統(tǒng)外部干擾主要包括系統(tǒng)外部擾動和多控制器交叉控制產生的沖突控制行為，組件間交互可以從4類組件之間的相互關系進行分析，最后要注意導致危險狀態(tài)的單個系統(tǒng)組件的行為。下面結合圖2逐一進行分析。

2.2.1 組件失效

1）控制器失效

控制器操作主要包括3部分：控制輸入及其他相關外部信息源、控制算法和過程模型。系統(tǒng)安全控制行為的失當、失效及缺失，都是由這3個部分中控制缺陷所致。

對于圖1所示的試飛安全控制模型而言，典型的控制器有兩個，即飛行指揮系統(tǒng)和保障指揮系統(tǒng)。當前，兩類控制器都還是以人（飛行指揮員或保障指揮員）為主，輔之以一定的計算機輔助決策系統(tǒng)構成。因此，需重點考慮的外部輸入有任務類型、天氣狀況、空管因素、機場航線等；控制算法主要體現在各指揮員的經驗水平、決策能力、安全意識等，也要考慮所用輔助決策系統(tǒng)的先進程度；與在控制模型相關的因素有各類計劃方案和應用預案等，指揮員的心智模型不能包含在內，主要通過其經驗水平、培訓經歷、考核成績等要素來體現。

2）執(zhí)行器失效

如果控制器能發(fā)出及時準確的控制指令而未被執(zhí)行，其中一個很可能的原因為執(zhí)行器失效。由于本模型中的執(zhí)行器為飛行機組和保障機組，兩者均由單人或多人構成，因此，可進一步細化為由其心智模型決定的人工控制器發(fā)生問題。心智模型又可經培訓、療養(yǎng)、考核、實踐等培塑，同時，應該特別注意由人組成的執(zhí)行器，特別容易受外部干擾引起情緒波動而導致失誤。

3）被控對象失效

被控對象在本模型中為試飛飛行器，整個模型都圍繞飛行器的受控狀態(tài)進行調整，因此，這里被控對象不發(fā)生超過控制范圍的事件或現象，均可被系統(tǒng)控制或防范。

4）反饋系統(tǒng)失效

由于STAMP理論構建的模型是一個正反饋控制模型，反饋系統(tǒng)一旦失效將難以向控制器提供準備完整的輸入，控制器無法根據執(zhí)行情況調整指令，進而導致整個控制過程失效。因此，本模型中試飛執(zhí)行系統(tǒng)重點關注監(jiān)測雷達、伴飛飛機及機載導航設備、通信設備的工作情況，而試飛保障系統(tǒng)應重點關注安全監(jiān)察、質量控制和工程控制系統(tǒng)的工作情況。

2.2.2 外部干擾

擾動往往導致安全約束在傳遞過程中丟失、延誤或錯誤，進而引發(fā)系統(tǒng)事故或危險發(fā)生。本模型外部干擾因素主要有兩類，一是試飛執(zhí)行系統(tǒng)中對試飛機組的和飛行器飛行階段的擾動（如鳥類災害、積雨云層、雷暴天氣等），二是試飛保障系統(tǒng)在外場保障環(huán)節(jié)存在保障工具是否充分、保障裝（設）備是否完整、航材備件是否滿足要求、保障任務的頻度和強度，以及天氣的惡劣程度對保障工作的影響等，這兩類因素共同構成了外部干擾因素安全性分析的重要對象。

2.2.3 組件間交互

STAMP模型與其他致因模型的一個重要區(qū)別在于不是把事故歸咎于組件失效，而是要尋找引起失效或事故的原因（包括系統(tǒng)性因素），也就是確定專門用于防止此類失效發(fā)生的控制為何缺失或不足。

本模型中組件交互因素可以從圖2發(fā)現，如試飛執(zhí)行系統(tǒng)中的指令傳遞、操作信息完整性、反饋信息準確性等，試飛保障系統(tǒng)中保障工卡指令和操作指令下達與實施準確及時程度、工卡單指令單故障單及時準確上報情況等。其次，控制器之間的邊界區(qū)域交叉沖突、重疊或遺漏也容易造成安全事故，如試飛過程或保障過程中指令的唯一性問題。

2.2.4 單個組件危險行為

模型中還存在一類致因因素，即在各組件均保持不失效的情況下，組件的某一行為導致危險狀態(tài)，如試飛人員違規(guī)操作、飛行器意外不工作、保障人員遺漏工具等。由于此類因素與組件行為密切相關，也可視作組件失效行為。

3 安全性指標體系構建

根據圖1所構建的試飛安全控制模型和上述STPA安全性分析情況，可構建試飛安全性指標體系如下頁圖4所示。

該指標按照系統(tǒng)控制理論從組件失效、外部干擾、組件交互3個維度構建科學、合理、完整的試飛安全指標體系。以各個組件的航前準備為例，該指標共涉及試飛指揮、試飛機組、試飛監(jiān)測、保障指揮、保障機組、保障監(jiān)測等6類組件，試飛指揮航前準備主要包括熟悉飛行資料、下發(fā)飛行計劃、飛行空域天氣及航路情況、任務風險評價等；試飛機組航前準備主要包括熟悉飛行計劃及高難度科目、試飛空域、飛機特性、應急處理等；試飛監(jiān)測航前準備主要包括測試保障設備、熟悉伴飛計劃、應急風險處理等；保障指揮航前準備主要為配置保障資源、下發(fā)保障計劃及維護標準等；保障機組航前準備主要為日前機務準備、熟悉保障任務內容、保障強度及保障環(huán)境等；保障監(jiān)測航前準備主要包括熟悉保障計劃、把握保障重點技術標準、檢查通報落實情況等。其他重復指標也根據所在分類而有所差異，這里不再一一贅述。

4 結論

從方法層面來講，傳統(tǒng)安全性分析方法如Reason模型，雖然也采用系統(tǒng)思想，但在具體操作過程中分離了導致事故發(fā)生的人、機、環(huán)、管等因素，無法充分考慮到復雜的人類行為、組件交互等不安全因素，一定程度上存在安全缺陷；本文基于STAMP模型軍機試飛控制反饋模型，使用STPA方法系統(tǒng)分析得到各個系統(tǒng)組件的安全指標，且考慮到外部干擾、組件交互的情況，有利于試飛事故風險快速定位，更具針對性、便捷性、全面性。

從指標層面來講，傳統(tǒng)安全性分析方法在機務保障、空管指揮、機組操縱、組管理等因素存在離散化、不精確的問題，不利于事故快速歸因；本文依據試飛安全系統(tǒng)的STAMP模型，分析得到各個系統(tǒng)組件失效、外部干擾、組件交互3個方面因素的安全性指標，涵蓋導致事故發(fā)生的所有場景，指標全面具體、有針對性。如針對航前準備，該指標體系細分到各個組件，比傳統(tǒng)安全指標更加有針對性；再如該指標體系增加了外部干擾和組件交互因素，相對傳統(tǒng)指標體系更加全面具體。

圖4 基于STAMP的試飛系統(tǒng)安全指標

綜上所述，采用STAMP理論構建試飛系統(tǒng)指標體系構建，邏輯過程清晰、指標定位準確且涵蓋范圍廣泛，為構建安全指標提供一種新思考，能夠更加科學全面地反映了航空器試飛安全形勢。該指標體系將為下一步結合大數據思想和智能預測理論，為開展飛機試飛的危險預警和事故預防提供重要依據。同時，這項研究得到的試飛安全指標體系，經過相關單位實際驗證，為試飛危險預警和預防提供了重要參考。但個別指標仍然不夠精確，指標難以量化，有待進一步研究。