基于STPA沖偏出跑道不安全控制行為分析

王潔寧，張鈺涵，張聰俊

（中國民航大學空中交通管理學院，天津 300300）

世界飛機失事總結（WAAS,world aircraft accident summary）的數(shù)據報告指出，1995—2008年全球共發(fā)生了1 429 起有重大損失的飛機事故，有431 起事故與跑道相關，約占30%，其中有417 起為飛機沖偏出跑道事故，占97%，因此，研究飛機沖偏出跑道具有重要意義[1]。

民航是一個復雜、開放、多樣的系統(tǒng)[2]，這使得影響飛機運行安全的因素增加，安全因素之間的關聯(lián)性增強，同時也存在著人為操作的復雜性，采用傳統(tǒng)分析方法很難系統(tǒng)地識別導致飛機沖偏出跑道的人為差錯。如多米諾事故模型[3]和瑞士奶酪事故模型[4-6]，沒有從系統(tǒng)思維角度去分析事故根源，都假設事故的產生是由線性事件鏈導致的；功能共振事故模型[7-8]難以發(fā)現(xiàn)由于系統(tǒng)設計缺陷所產生的事故。

系統(tǒng)理論過程分析方法[9]（STPA, system theoretic process analysis）是基于系統(tǒng)思維的安全危險分析方法，可應用STPA 來預防醫(yī)院不良事件的發(fā)生[4]、分析軟件密集性系統(tǒng)存在的危險[10]。因此，結合基于系統(tǒng)理論與控制理論的STPA 安全分析方法，構建了飛機沖偏出跑道模型，識別沖偏出跑道存在的人為差錯，并針對具體的人為差錯給出相對應的安全約束。

1 基于系統(tǒng)理論的事故模型

基于系統(tǒng)理論的事故模型（STAMP,systems theortic accident modeling and process）是一種新的系統(tǒng)理論的致因模型，它擴展了傳統(tǒng)的事故致因觀念，包括系統(tǒng)設計缺陷、系統(tǒng)外部干擾、系統(tǒng)組件之間的交互作用以及導致系統(tǒng)危險狀態(tài)的單個系統(tǒng)組件行為。STAMP 將安全問題轉變成一個控制問題，其目標是通過在設計與運行過程中實施安全約束以控制系統(tǒng)的行為。STAMP 模型的3 種基本結構包括安全約束、分層安全控制結構和過程模型。

STPA 是建立在STAMP 基礎上的危險性分析方法，該模型認為系統(tǒng)危險是由于組件之間的交互缺乏充足的控制而導致的，不只是因為簡單的組件失效而引起的，系統(tǒng)組件的交互需要有一系列的安全約束來保證系統(tǒng)的安全。在系統(tǒng)理論中，系統(tǒng)被視為一種分層結構，控制過程在各層之間進行操作以控制分層結構中較低層次的過程，實施其負責的安全約束，即高層的約束控制低層的行為。過程模型是控制理論的一個重要組成部分，有效地控制可能需要一個非常復雜的模型，模型中包括許多狀態(tài)變量和中間變量，是一個帶有過程模型的控制結構，如圖1 所示。

圖1 控制結構圖Fig.1 Control structure diagram

2 STPA 分析步驟

2.1 定義系統(tǒng)級事故

分析安全工作的第一步首先是確定需要考慮的事故。STPA 的分析效果與考慮事故的全面性呈正相關關系，目前對于事故的基本術語定義差別很大，采用美國聯(lián)邦航空管理局對于安全事故的定義：導致?lián)p失的不希望或意外的事件，這里的損失包括人的生命損失或人身傷害、財產損失、環(huán)境污染、任務失敗等[11]。針對飛機沖偏出跑道定義的系統(tǒng)級事故如表1 所示。

2.2 定義系統(tǒng)級危險

危險在不同的領域有不同的定義，STPA 是一個系統(tǒng)性的分析方法，在STPA 中危險被定義為：系統(tǒng)與環(huán)境物體的關系，即：一個系統(tǒng)狀態(tài)或一系列條件在特定的最不利環(huán)境條件下會導致事故（損失）。

根據危險的定義，可以確定出事故與危險之間的聯(lián)系，即

危險+環(huán)境條件=事故（損失）

表1 系統(tǒng)級事故Tab.1 System-level accidents

定義飛機沖偏出跑道的系統(tǒng)級危險如表2 所示。表2 中第3 列表示的是系統(tǒng)級危險與事故之間的聯(lián)系，例如系統(tǒng)級危險飛機沖出跑道（H-1）可能造成的事故有飛機內機組人員與乘客的傷亡（A-1）、飛機機體結構的損壞（A-2），飛機沖出跑道一般不會阻礙其他飛機起飛與地面活動的正常運行。

表2 系統(tǒng)級危險Tab.2 System-level hazards

2.3 不安全的控制行為

飛機沖偏出跑道的安全控制結構如圖2 所示，包括控制器、執(zhí)行器、控制過程、傳感器以及它們之間的交互，它將控制行為分為恰當?shù)目刂菩袨榧胺答佌_的信息。通過分析控制器、執(zhí)行器、控制過程和傳感器的輸入、輸出信號在性能、邏輯及時間上的安全控制，以確定可能會導致系統(tǒng)級危險的不恰當控制，進而找出可能造成（導致）系統(tǒng)級危險狀態(tài)的不安全控制行為和相應的致因因素。

圖2 沖偏出跑道的控制結構圖Fig.2 Runway excursion control structure diagram

STPA 將不安全控制行為根據在性能、邏輯及時間上的不合理性結合引導詞分為4 種類型：未提供或不遵守安全所要求的控制，提供不安全的控制從而導致的危險，所提供的潛在安全控制太晚、過早或無序以及控制結束太快或應用時間過長。

根據圖2 分析得出飛機沖偏出跑道事故中管制員與機組人員可能存在的不安全控制行為（UCA,unsafe control action）以及可能造成的系統(tǒng)級危險，共識別出32 個不安全控制行為，如表3 所示。以必要情況下發(fā)布中斷起飛（RTO,rejected take off）指令為例（表3 中的UCA-4 和UCA-5），根據美國聯(lián)邦航空條例（FAR，fedral aviation regulations）對V1 速度的定義可知，當飛機速度大于V1 速度時是不允許中斷起飛的，否則可能造成飛機沖出跑道，所以必要情況下發(fā)布錯誤的中斷起飛指令、發(fā)布中斷起飛指令過晚都有可能造成飛機沖出跑道（H-1）。

2.4 尋找致因因素

從構建的安全控制結構分析得到不安全控制行為，因此，要分析出每個不安全控制行為的致因場景必須考慮過程模型，安全控制結構圖已經將過程模型構建在內，如圖2 所示。通過分析過程模型可以找出不安全控制行為的致因場景，因篇幅有限，僅考慮影響因素較大的著陸/RTO/GA 情況，以必要情況下（沒有/延遲）發(fā)布著陸/RTO/GA 指令（UCA-4 和UCA-5）和（沒有/錯誤/過晚）執(zhí)行正確的著陸/RTO/GA 程序（UCA-24，UCA-25，UCA-26）為例的飛機沖偏出跑道不安全控制行為致因因素，如表4 所示。

表3 不安全控制行為Tab.3 Unsafe control actions

表4 致因因素表Tab.4 Causal factors

從表4 可知，造成UCA-4 和UCA-5 的主要原因有：管制員的身體狀態(tài)、精神狀態(tài)不佳或技能熟練程度不達標，導致管制工作有誤或不及時；管制員認為飛機反饋的狀態(tài)信息都正確且及時，而實際情況是飛機可能由于相關設備的故障導致飛機反饋的信息錯誤或者延遲，對管制員發(fā)布命令造成影響；管制員認為機組人員的請求都合理，而實際情況是機組人員的請求由于其他原因可能是不合理的。造成UCA-24，UCA-25 和UCA-26 的主要原因有：機組人員的身體、精神狀態(tài)不佳或操作熟練度不達標；機組認為飛機反饋的狀態(tài)信息都正確且及時，而實際情況是由于硬件設備原因，飛機狀態(tài)信息有誤；機組人員認為管制人員的命令都合理，而實際情況是由于某些情況該命令不合理。

3 安全約束

STPA 中最基本的概念不是事件而是約束，事故或損失正是由于安全約束缺失或沒有被有效執(zhí)行，因篇幅有限，以表4 中提到的不安全控制行為（UCA-4，UCA-5，UCA-24，UCA-25，UCA-26）為例提出相對應的安全約束（SC,safety constraint），如表5 所示。

在發(fā)布正確的著陸/RTO/GA 命令上，管制員的人為差錯占主導地位，因而在安全約束上主要針對管制員執(zhí)行。同時導致管制員管制差錯或失誤有部分原因是由于硬件設備的故障，因而在硬件設備上也對其有所約束。在執(zhí)行正確的著陸/RTO/GA 指令上，機組人員的人為差錯占主導地位，此時的安全約束主要針對機組人員考慮。同時在機組人員接收有誤或不及時的反饋信息上，硬件設備的完善程度有著重要影響，在實施約束上也應將其考慮在內。

表5 安全約束表Tab.5 Safety constraints

4 結語

采用基于系統(tǒng)理論的STPA 方法對飛機沖偏出跑道進行分析，克服了傳統(tǒng)安全分析方法不能有效分析強耦合事故與人因因素考慮不充分的局限性，分析得到了飛機沖偏出跑道的不安全控制行為及原因。

針對不安全控制行為，根據不安全控制行為的致因，給出了相應的安全約束。STPA 無法對不安全控制行為量化分析，如何確定不安全控制行為的影響程度是下一步研究的重點。