飛機(jī)差動(dòng)剎車(chē)糾偏過(guò)程的STAMP/STPA安全性分析

劉炳琪,胡劍波,劉 暢,李 俊

(1.空軍工程大學(xué) 裝備管理與無(wú)人機(jī)工程學(xué)院,西安 710051； 2.空軍工程大學(xué) 研究生學(xué)院,西安 710051)

飛機(jī)在著陸過(guò)程中容易發(fā)生飛行事故,其事故主要集中在著陸緩沖、滑跑減速和偏航糾偏等方面,尤其是由于飛機(jī)自身結(jié)構(gòu)的不完全對(duì)稱(chēng)性、機(jī)場(chǎng)跑道的凹凸和側(cè)風(fēng)擾動(dòng)等原因,飛機(jī)在滑跑過(guò)程中往往會(huì)相對(duì)于跑道中軸位置發(fā)生一定的偏航，若不及時(shí)修正偏航角，很可能導(dǎo)致飛機(jī)沖出跑道,釀成事故.總體來(lái)看,飛機(jī)滑跑糾偏過(guò)程是一個(gè)涉及飛行員、飛行指揮員、剎車(chē)系統(tǒng)、機(jī)載設(shè)備、空管法規(guī)以及外界環(huán)境等的典型復(fù)雜系統(tǒng),關(guān)于這一復(fù)雜系統(tǒng)的安全性分析對(duì)航空兵部隊(duì)或航空公司有效預(yù)防和減少事故的發(fā)生有著重要意義.

傳統(tǒng)安全性分析方法主要有故障樹(shù)分析(FTA)[1]、事故樹(shù)分析(ETA)[2]和故障模式及影響分析(FMEA)[3]等,上述方法都是從線性角度對(duì)各失效部件進(jìn)行獨(dú)立分析,忽略了各子系統(tǒng)之間的耦合性和協(xié)調(diào)性,尤其是對(duì)設(shè)計(jì)缺陷、軟件出錯(cuò)、協(xié)調(diào)能力不足、人為差錯(cuò)和非線性等問(wèn)題[4]缺乏準(zhǔn)確的描述與分析,致使在復(fù)雜過(guò)程和復(fù)雜系統(tǒng)的安全性分析中具有很大的局限性.基于系統(tǒng)理論的安全性分析方法通過(guò)考慮部件或子系統(tǒng)之間的相互作用,運(yùn)用系統(tǒng)分析方法開(kāi)展安全性研究,主要有以下3種方法:1)基于分層社會(huì)-技術(shù)模型(HSTM)[5]的方法;2)基于功能共振事故模型(FRAM)[6]的方法;3)基于系統(tǒng)理論事故模型及過(guò)程(STAMP)[7]的方法.基于HTSM的方法著重關(guān)注系統(tǒng)運(yùn)行過(guò)程中的社會(huì)-技術(shù)因素對(duì)安全的影響,利用分層控制結(jié)構(gòu)系統(tǒng)地分析事故原因,但該方法是以假定存在線性因果事件鏈為前提的.基于FRAM的方法將系統(tǒng)運(yùn)行過(guò)程分解為若干個(gè)運(yùn)行單元進(jìn)行性能波動(dòng)分析,并根據(jù)各單元之間的交聯(lián)關(guān)系對(duì)整個(gè)系統(tǒng)進(jìn)行安全性分析,但該方法難以識(shí)別因系統(tǒng)設(shè)計(jì)缺陷而導(dǎo)致的安全問(wèn)題.基于STAMP的方法將安全問(wèn)題轉(zhuǎn)化為控制問(wèn)題而非可靠性問(wèn)題,通過(guò)施加安全約束、建立分層控制結(jié)構(gòu)和分析過(guò)程模型以識(shí)別系統(tǒng)生命周期各階段存在的不安全控制行為,分析事故原因.該方法已成功應(yīng)用于航空航天[8-9]、能源化工[10]、交通運(yùn)輸[11]和組織管理[12]等安全領(lǐng)域.

本文從控制的角度建立了考慮人機(jī)協(xié)調(diào)的全電差動(dòng)剎車(chē)系統(tǒng)STAMP模型,對(duì)飛機(jī)差動(dòng)剎車(chē)糾偏過(guò)程進(jìn)行了STPA分析,對(duì)識(shí)別出的不安全控制行為進(jìn)行了定性分析,并通過(guò)建模仿真從定量角度提出了安全約束,驗(yàn)證了STAMP/STPA方法在飛機(jī)全電差動(dòng)剎車(chē)糾偏過(guò)程安全性分析中的可行性.

1 STAMP/STPA基本原理

Leveson[13]于2004年提出系統(tǒng)理論事故模型及過(guò)程(STAMP),認(rèn)為安全性是系統(tǒng)的一種涌現(xiàn)特性,并從控制的角度來(lái)研究復(fù)雜系統(tǒng)的安全問(wèn)題,通過(guò)確保滿(mǎn)足安全約束這一控制目標(biāo)以實(shí)現(xiàn)系統(tǒng)安全性.一個(gè)完整的STAMP模型通常由安全約束、分層控制結(jié)構(gòu)和過(guò)程模型3部分組成.其中，安全約束未施加或未執(zhí)行往往是導(dǎo)致事故發(fā)生的重要原因,其約束主要包括物理定律、法律及策略等用于限制組件控制行為的安全機(jī)制;系統(tǒng)的安全運(yùn)行需要不同層次控制結(jié)構(gòu)之間的交互、溝通和協(xié)調(diào),通過(guò)高層向低層施加控制要求或約束和低層向高層反饋信息或溝通的方式以確保整個(gè)系統(tǒng)的安全性,控制行為的不恰當(dāng)或不充足、控制行為未執(zhí)行或執(zhí)行不充分、反饋信息缺失或錯(cuò)誤等都可能造成事故發(fā)生;過(guò)程模型是控制理論的重要組成部分,當(dāng)過(guò)程模型或人工控制器的心智模型與被控系統(tǒng)不匹配時(shí),往往會(huì)導(dǎo)致組件交互事故或人為差錯(cuò)事故.基于以上基本概念,STAMP模型從控制反饋回路的角度將事故的致因大致分為:1)不恰當(dāng)?shù)目刂戚斎搿⒖刂扑惴ê瓦^(guò)程模型;2)被控過(guò)程行為失效或執(zhí)行器故障;3)控制器和決策者之間的溝通、協(xié)調(diào)沖突.同時(shí),控制結(jié)構(gòu)中所涉及的外界干擾也是導(dǎo)致事故發(fā)生的重要原因.

系統(tǒng)理論過(guò)程分析(STPA)[14]是一種基于STAMP模型的安全分析方法,該方法首先從全局角度確定系統(tǒng)級(jí)事故和危險(xiǎn),然后根據(jù)所建立的分層控制結(jié)構(gòu)進(jìn)行不安全控制行為(UCA)識(shí)別,通過(guò)識(shí)別UCA,進(jìn)一步分析控制反饋回路以完成事故的致因分析,最后針對(duì)事故產(chǎn)生的原因?qū)ο到y(tǒng)提出安全約束及要求.其中,UCA主要分為4種類(lèi)型[15]:1)未提供安全所要求的控制行為;2)提供了不恰當(dāng)或錯(cuò)誤的控制行為;3)提供的控制行為時(shí)序錯(cuò)亂,過(guò)早或過(guò)遲;4)提供的控制行為時(shí)效性過(guò)長(zhǎng)或過(guò)短.

2 全電差動(dòng)剎車(chē)系統(tǒng)STAMP建模

不同于傳統(tǒng)的液壓剎車(chē)系統(tǒng),全電差動(dòng)剎車(chē)系統(tǒng)[16]通過(guò)電傳機(jī)構(gòu)傳遞電信號(hào)的方式控制剎車(chē)裝置,以完成差動(dòng)剎車(chē)糾偏.該系統(tǒng)主要由剎車(chē)控制器、電作動(dòng)控制器(EMA控制器)、電作動(dòng)機(jī)構(gòu)(EMA)、機(jī)輪速度傳感器、力矩傳感器、機(jī)輪剎車(chē)裝置等組成,其結(jié)構(gòu)原理如圖1所示.

圖1 全電差動(dòng)剎車(chē)系統(tǒng)結(jié)構(gòu)原理

飛機(jī)進(jìn)入跑道后發(fā)生一定的偏轉(zhuǎn)和側(cè)移,首先,飛行員綜合考慮環(huán)境信息、管制員指令信息、飛機(jī)自身狀態(tài)信息和自身操作經(jīng)驗(yàn),選擇滑跑糾偏模式,采用人工控制的方式踩動(dòng)剎車(chē)踏板提供飛機(jī)偏差信號(hào);然后,利用邏輯選擇開(kāi)關(guān)將飛機(jī)偏差信號(hào)轉(zhuǎn)化為左(或右)側(cè)機(jī)輪剎車(chē)、右(或左)側(cè)機(jī)輪不剎車(chē)的剎車(chē)信號(hào),并傳遞至左(或右)機(jī)輪剎車(chē)控制器;左(或右)機(jī)輪剎車(chē)控制器結(jié)合機(jī)輪速度傳感器、力矩傳感器傳來(lái)的速度信號(hào)和力矩信號(hào)對(duì)剎車(chē)信號(hào)做進(jìn)一步分析,將控制信號(hào)傳遞至EMA控制器;EMA控制器進(jìn)一步將控制信號(hào)作用于EMA上,從而控制左(或右)機(jī)輪剎車(chē)裝置進(jìn)行剎車(chē).當(dāng)左(或右)機(jī)輪發(fā)生滑動(dòng)摩擦、右(或左)機(jī)輪正?；邪l(fā)生滾動(dòng)摩擦?xí)r,由于滑動(dòng)摩擦的滑移率大于滾動(dòng)摩擦滑移率(滑移率為零),導(dǎo)致左(或右)機(jī)輪所受的摩擦力大于右(或左)機(jī)輪,從而兩機(jī)輪因產(chǎn)生相對(duì)飛機(jī)重心的偏航力矩使飛機(jī)向左(或右)發(fā)生偏轉(zhuǎn),完成飛機(jī)右(或左)偏糾正.

此外,在差動(dòng)剎車(chē)糾偏過(guò)程中,其正常運(yùn)行還依賴(lài)于其他系統(tǒng)的正常工作,比如EMA控制器的正常運(yùn)行依賴(lài)于電源系統(tǒng)的運(yùn)行狀態(tài),儀表信息的正常顯示依賴(lài)于電源系統(tǒng)和GPS系統(tǒng)的運(yùn)行狀態(tài).

通過(guò)對(duì)飛機(jī)全電差動(dòng)剎車(chē)糾偏過(guò)程的原理描述,進(jìn)一步梳理整個(gè)控制系統(tǒng)所涉及的控制對(duì)象、輸入/輸出信號(hào)、控制器、執(zhí)行器和控制/反饋關(guān)系,建立考慮人機(jī)協(xié)調(diào)的全電差動(dòng)剎車(chē)系統(tǒng)STAMP模型,如圖2所示.通過(guò)對(duì)STAMP模型中控制反饋回路的系統(tǒng)分析,從控制缺陷、反饋缺陷和協(xié)調(diào)缺陷3個(gè)方面分析滑跑糾偏過(guò)程中的安全問(wèn)題,同時(shí)也綜合考慮人為因素和外界環(huán)境的干擾.

圖2 全電差動(dòng)剎車(chē)系統(tǒng)STAMP模型

3 全電差動(dòng)剎車(chē)糾偏過(guò)程STPA分析

3.1 系統(tǒng)級(jí)事故的確定

全電差動(dòng)剎車(chē)糾偏過(guò)程中的系統(tǒng)級(jí)事故通常分為飛機(jī)損傷、人員傷亡以及地面設(shè)備、設(shè)施損壞等3種類(lèi)型.飛機(jī)損傷(A-1)是指由于飛機(jī)的落地姿態(tài)、飛行員的操作失誤、空中交通管制(air traffic control,ATC)信息提供不準(zhǔn)確等原因?qū)е禄芗m偏效果差或未糾偏,最終使得機(jī)體、機(jī)翼或者其他子系統(tǒng)偏出跑道而受損;人員傷亡(A-2)是指在滑跑糾偏過(guò)程中出現(xiàn)不可控的情況而導(dǎo)致飛行員、乘客或者其他地面人員傷亡;地面設(shè)備、設(shè)施損壞(A-3)是指在滑跑糾偏過(guò)程中地面保障設(shè)備、固定設(shè)施或地面飛機(jī)等損壞,具體見(jiàn)表1.

表1 全電差動(dòng)剎車(chē)糾偏過(guò)程的系統(tǒng)級(jí)事故

Tab.1 System level accident of all-electric differential braking correction process

編號(hào)系統(tǒng)級(jí)事故A-1飛機(jī)損傷A-2人員傷亡A-3地面設(shè)備、設(shè)施損壞

3.2 系統(tǒng)級(jí)危險(xiǎn)的確定

全電差動(dòng)剎車(chē)糾偏過(guò)程的系統(tǒng)級(jí)危險(xiǎn)主要包括飛機(jī)偏出跑道(H-1)、飛機(jī)與地面設(shè)施碰撞(H-2)和飛機(jī)失控(H-3)3種.每個(gè)系統(tǒng)級(jí)危險(xiǎn)可能導(dǎo)致的系統(tǒng)級(jí)事故見(jiàn)表2.

表2 全電差動(dòng)剎車(chē)糾偏過(guò)程的系統(tǒng)級(jí)危險(xiǎn)

Tab.2 System level risk of all-electric differential braking correction process

編號(hào)系統(tǒng)級(jí)危險(xiǎn)系統(tǒng)級(jí)事故H-1飛機(jī)偏出跑道A-1、A-3H-2飛機(jī)與地面設(shè)施碰撞A-1、A-2、A-3H-3飛機(jī)失控A-1、A-2、A-3

飛機(jī)偏出跑道(H-1)可能是由于差動(dòng)剎車(chē)控制執(zhí)行不充分、飛行員反應(yīng)速度過(guò)慢、對(duì)飛機(jī)本身的狀態(tài)認(rèn)識(shí)不準(zhǔn)確等原因造成的,一般在飛行員控制速度的情況下,不會(huì)出現(xiàn)人員傷亡情況,但通常會(huì)造成飛機(jī)損傷(A-1)或地面設(shè)備、設(shè)施損壞(A-3);飛機(jī)與地面設(shè)施碰撞(H-2)主要是由于飛行員未及時(shí)提供差動(dòng)剎車(chē)動(dòng)作、ATC信息提供不準(zhǔn)確等原因?qū)е嘛w機(jī)滑跑糾偏過(guò)程中側(cè)偏距離較大,與跑道周邊地面保障設(shè)施發(fā)生碰撞,造成飛機(jī)損傷(A-1)、人員傷亡(A-2)以及地面設(shè)備、設(shè)施受損(A-3);飛機(jī)失控(H-3)主要是由于存在強(qiáng)側(cè)風(fēng)等其他危險(xiǎn)因素導(dǎo)致飛行員實(shí)施了錯(cuò)誤的控制行為或飛機(jī)發(fā)生故障,從而使飛機(jī)進(jìn)入失控狀態(tài),造成飛機(jī)損傷(A-1)、人員傷亡(A-2)以及地面設(shè)備、設(shè)施受損(A-3).

3.3 不安全控制行為的識(shí)別

為保證差動(dòng)剎車(chē)系統(tǒng)的安全運(yùn)行,需要對(duì)整個(gè)系統(tǒng)控制回路的各組成部分進(jìn)行分析，進(jìn)而識(shí)別出可能導(dǎo)致危險(xiǎn)的不安全控制行為.飛機(jī)在地面滑跑過(guò)程中,必須在短時(shí)間內(nèi)實(shí)現(xiàn)差動(dòng)剎車(chē)控制以完成飛機(jī)糾偏,本文旨在識(shí)別飛行員提供差動(dòng)剎車(chē)動(dòng)作所產(chǎn)生的不安全控制行為,基于STPA方法將不安全控制行為分為4類(lèi),主要包括未提供或錯(cuò)誤提供差動(dòng)剎車(chē)動(dòng)作、過(guò)早或過(guò)晚提供差動(dòng)剎車(chē)動(dòng)作、差動(dòng)剎車(chē)動(dòng)作作用時(shí)間過(guò)短或過(guò)長(zhǎng)、差動(dòng)剎車(chē)系統(tǒng)組件失效等,具體見(jiàn)表3.

表3 差動(dòng)剎車(chē)動(dòng)作的不安全控制行為

3.4 致因分析

根據(jù)STAMP控制缺陷分類(lèi)[17],從控制缺陷、反饋缺陷和協(xié)調(diào)缺陷3個(gè)方面建立全電差動(dòng)剎車(chē)系統(tǒng)控制反饋回路,如圖3所示.

圖3中①包含了飛行員、剎車(chē)踏板、剎車(chē)控制器、EMA控制器、電作動(dòng)機(jī)構(gòu)、剎車(chē)裝置和機(jī)輪,可以用來(lái)表示控制缺陷.圖3中②包含了飛機(jī)實(shí)體、相關(guān)傳感器和儀表信息,可以用來(lái)表示反饋缺陷.圖3中③包含了管制員、飛行員和剎車(chē)控制器,它們之間的交互表示協(xié)調(diào)缺陷,具體致因分析見(jiàn)表4.

4 仿真分析

4.1 飛機(jī)地面滑跑模型的建立

本文以文獻(xiàn)[18]提出的飛機(jī)地面滑跑模型為例,對(duì)飛機(jī)全電差動(dòng)剎車(chē)糾偏過(guò)程進(jìn)行建模仿真.在MATLAB/SIMULINK環(huán)境下構(gòu)建飛機(jī)地面滑跑模型[18],主要包括:機(jī)體動(dòng)力學(xué)模型、電作動(dòng)機(jī)構(gòu)模型、機(jī)輪模型和剎車(chē)裝置模型.各子模型之間的控制關(guān)系如圖4所示.

4.1.1 機(jī)體動(dòng)力學(xué)模型

飛機(jī)機(jī)體動(dòng)力學(xué)模型由力方程組、力矩方程組、角運(yùn)動(dòng)方程組和線運(yùn)動(dòng)方程組構(gòu)成,具體如下.

力方程組為

圖3 全電差動(dòng)剎車(chē)系統(tǒng)控制反饋回路

表4 致因分析

圖4 飛機(jī)地面滑跑控制系統(tǒng)

Fig.4 Schematic diagram of control system for aircraft ground sliding

力矩方程組為

角運(yùn)動(dòng)方程組為

線運(yùn)動(dòng)方程組為

4.1.2 電作動(dòng)機(jī)構(gòu)模型

電作動(dòng)機(jī)構(gòu)模型主要分為無(wú)刷直流電機(jī)模型和機(jī)電作動(dòng)器模型.

1)無(wú)刷直流電機(jī)的數(shù)學(xué)模型為

式中:Id為電樞電流;Rd為總電阻;L為繞組電感;E為電機(jī)電勢(shì);Ud為電樞電壓;Ce為電勢(shì)系數(shù);nd為電機(jī)轉(zhuǎn)速.

2)機(jī)電作動(dòng)器的數(shù)學(xué)模型為

4.1.3 剎車(chē)裝置模型

剎車(chē)裝置模型為

式中:Mb為剎車(chē)力矩;p0為最小剎車(chē)壓力;pb為剎車(chē)壓力;k1、k2分別為力矩的斜率;rp為上次輸入壓力;M1為上次輸出力矩;pm為最大剎車(chē)壓力.

4.1.4 機(jī)輪模型

機(jī)輪的轉(zhuǎn)動(dòng)主要由剎車(chē)力矩和結(jié)合力矩共同控制,從而影響機(jī)輪轉(zhuǎn)動(dòng)過(guò)程中的角速度、角加速度和線速度.

4.2 仿真分析

本文主要針對(duì)飛機(jī)全電差動(dòng)剎車(chē)糾偏過(guò)程中的UCA1、UCA2和UCA5這3種不安全控制行為進(jìn)行仿真分析.其中,仿真時(shí)間20 s,機(jī)場(chǎng)跑道寬度48 m,飛機(jī)翼展38 m,飛機(jī)著陸滑跑的初始速度72 m/s,側(cè)偏距離大于5 m視為沖出跑道,外在干擾為飛機(jī)著陸后存在1°初始偏航角或1 m/s持續(xù)側(cè)風(fēng).

對(duì)飛機(jī)存在偏航角且未提供差動(dòng)剎車(chē)動(dòng)(UCA1)和存在側(cè)風(fēng)且未提供差動(dòng)剎車(chē)動(dòng)作(UCA2)分別進(jìn)行仿真分析.從圖5、6中可以看出,在1°初始偏航角或1 m/s持續(xù)側(cè)風(fēng)的情況下,飛行員未提供差動(dòng)剎車(chē)動(dòng)作,飛機(jī)在5 s后會(huì)發(fā)生偏出跑道的危險(xiǎn).由此可見(jiàn),即使在很小的初始偏航角或持續(xù)側(cè)風(fēng)干擾下,飛行員如果不提供差動(dòng)剎車(chē)動(dòng)作進(jìn)行糾偏，飛機(jī)很可能沖出跑道，與跑道周邊的設(shè)備、設(shè)施發(fā)生碰撞并造成人員傷亡.

在1°初始偏航角(不考慮側(cè)風(fēng)影響)的情況下對(duì)飛機(jī)進(jìn)行差動(dòng)剎車(chē)糾偏,從圖7(a)、圖7(b)、圖7(c)中可以看出,側(cè)偏距離、偏航角和偏航角速度大約需要10 s的時(shí)間歸零,從而完成糾偏.

圖5 1°偏航角情形下的側(cè)偏距離-時(shí)間曲線

圖6 1 m/s持續(xù)側(cè)風(fēng)情形下的側(cè)偏距離-時(shí)間曲線

圖7 1°偏航角情形下的相關(guān)時(shí)間曲線

對(duì)飛機(jī)在地面滑跑x秒后,提供差動(dòng)剎車(chē)動(dòng)作(UCA5)進(jìn)行仿真分析.圖8表示在1°初始偏航角情況下,差動(dòng)剎車(chē)動(dòng)作延遲0,1,2,…,9 s時(shí)的側(cè)偏距離-時(shí)間曲線,陰影部分是非安全區(qū)域.由仿真結(jié)果可以看出,當(dāng)差動(dòng)剎車(chē)動(dòng)作延遲大于5 s時(shí)飛機(jī)會(huì)偏出跑道.因此,該不安全控制行為的安全約束應(yīng)設(shè)置為控制動(dòng)作延遲不得大于5 s.

圖8 考慮延遲的側(cè)偏距離-時(shí)間曲線

通過(guò)UCA1、UCA2和UCA5這3種不安全控制行為的仿真結(jié)果可以看出,對(duì)在著陸滑跑階段發(fā)生側(cè)偏的飛機(jī)及時(shí)進(jìn)行差動(dòng)剎車(chē)糾偏是十分必要的,尤其是要盡可能地降低差動(dòng)剎車(chē)動(dòng)作延遲時(shí)間,以防止糾偏過(guò)程中飛機(jī)偏出跑道,發(fā)生事故.

綜述所述，從安全性的角度對(duì)滑跑糾偏過(guò)程做進(jìn)一步分析.飛機(jī)在著陸滑跑階段出現(xiàn)偏航時(shí),要確保飛行員、管制員和飛機(jī)差動(dòng)剎車(chē)系統(tǒng)三者之間的及時(shí)溝通和協(xié)調(diào),并對(duì)外界復(fù)雜環(huán)境和突發(fā)情況做出有效判斷,同時(shí)正確認(rèn)識(shí)和處理反饋信息,按照空管法規(guī)以正確的操作規(guī)范完成差動(dòng)剎車(chē)糾偏,從而預(yù)防和減少事故的發(fā)生.

5 結(jié) 論

1)從控制的角度進(jìn)行了飛機(jī)全電差動(dòng)剎車(chē)系統(tǒng)STAMP建模,采用STPA方法對(duì)滑跑糾偏過(guò)程進(jìn)行了安全性分析,綜合考慮了各部件或子系統(tǒng)之間的交互性、協(xié)調(diào)性以及人為差錯(cuò)等原因,識(shí)別出更多潛在的不安全控制行為,并從控制缺陷、反饋缺陷和協(xié)調(diào)缺陷3個(gè)方面了做出了詳細(xì)的致因分析.

2)針對(duì)部分不安全控制行為進(jìn)行了仿真分析,從定量角度驗(yàn)證了STAMP/STPA方法的有效性,并制訂了確保系統(tǒng)安全的定量化安全約束,對(duì)航空裝備安全性分析具有重要的參考價(jià)值.