基于STPA-ANP模型的民機(jī)系統(tǒng)安全性分析

李耀華, 高 源

(1. 中國民航大學(xué)交通科學(xué)與工程學(xué)院, 天津 300300; 2. 中國民航大學(xué)航空工程學(xué)院, 天津 300300)

0 引 言

對于民機(jī)而言,民機(jī)系統(tǒng)是完成飛行任務(wù)并確保飛行安全的重要組成部分。民機(jī)系統(tǒng)作為一種分層控制結(jié)構(gòu),當(dāng)系統(tǒng)復(fù)雜程度增加時(shí),同一個(gè)資源在一個(gè)系統(tǒng)或多個(gè)子系統(tǒng)中共享,存在系統(tǒng)互聯(lián)和交互問題,這都為民機(jī)系統(tǒng)安全性分析提出了新的挑戰(zhàn)。

針對系統(tǒng)安全性分析問題的研究,傳統(tǒng)安全性分析方法一般從事故鏈的線性角度對系統(tǒng)進(jìn)行分析,忽略了組件之間非線性交互導(dǎo)致的安全性問題,例如故障樹分析(fault tree analysis, FTA)、故障模式及影響分析(failure mode and effects analysis, FMEA)等,都是將系統(tǒng)安全性問題轉(zhuǎn)化為組件可靠性問題,雖然已在各類安全性分析研究中廣泛應(yīng)用,但難以準(zhǔn)確分析復(fù)雜系統(tǒng)組件交互、人機(jī)交互等非線性問題。系統(tǒng)理論過程分析(system-theory process analysis, STPA)將安全性問題轉(zhuǎn)化為控制問題,更適用于分析不同的組件相互作用產(chǎn)生的安全性問題,其源于系統(tǒng)理論事故模型與過程(system-theory accident model and processes, STAMP),已成功應(yīng)用于航空、醫(yī)療、交通、項(xiàng)目管理等領(lǐng)域的復(fù)雜系統(tǒng)安全性分析。

盡管STPA在危害分析方面具有傳統(tǒng)方法所不具備的優(yōu)勢,但STPA滿足民機(jī)系統(tǒng)安全性分析要求的障礙在于缺乏嚴(yán)謹(jǐn)?shù)男问交?yàn)證和定量分析。為完善危險(xiǎn)識別評價(jià)過程,文獻(xiàn)[12]將FMEA引入STPA,并開發(fā)了STPA-FT方法;文獻(xiàn)[13]將STPA與Bowtie方法相結(jié)合,優(yōu)化STPA危險(xiǎn)辨識結(jié)果;文獻(xiàn)[14]將STPA結(jié)構(gòu)與Bayes網(wǎng)絡(luò)結(jié)合,為STPA補(bǔ)充了對于危險(xiǎn)控制動作(unsafe control actions, UCA)的定量化分析過程;文獻(xiàn)[15]給出了具體的STPA形式化過程,提出了基于模型驗(yàn)證的航空電子系統(tǒng)安全性分析流程;為補(bǔ)充STPA過程缺乏明確形式化定義問題,文獻(xiàn)[16]基于系統(tǒng)理論提出了STPA方法第一部分的具體形式化過程?，F(xiàn)有研究雖然將融合性手段、形式化以及定量分析引入STPA,但沒有結(jié)合STPA框架給出完整的危險(xiǎn)致因分析過程,無法確定危險(xiǎn)關(guān)鍵致因。

為解決現(xiàn)有研究中存在的限制性問題,本文提出了一種結(jié)合STPA與網(wǎng)絡(luò)分析法(analytic network process,ANP)的方法,為民機(jī)系統(tǒng)安全性分析提供了一個(gè)定性與定量分析有效結(jié)合的完整危險(xiǎn)致因分析流程與框架,以某型民機(jī)數(shù)字式飛控系統(tǒng)為例進(jìn)行分析,并通過形式化建模和系統(tǒng)仿真建模對分析結(jié)果進(jìn)行驗(yàn)證,證明該模型方法的適用性和分析結(jié)果的合理性。

1 STPA-ANP安全性分析模型

STPA是Leveson在STAMP因果模型的基礎(chǔ)上提出的一種新的危害分析方法。STPA方法的局限性在于缺乏嚴(yán)格的形式化定義及定量分析。ANP作為處理復(fù)雜決策問題的工具,可以定量描述危險(xiǎn)致因等級,但難以全面分析系統(tǒng)邏輯及危險(xiǎn)致因,將ANP與STPA相結(jié)合,可使定量化致因分析結(jié)果更加全面完整。因此,本文結(jié)合STPA、ANP的方法優(yōu)勢,提出面向民機(jī)系統(tǒng)的STPA-ANP安全性分析方法,為民機(jī)系統(tǒng)安全性分析提供了完整的危險(xiǎn)識別和致因分析框架,具體模型框架如圖1所示。

圖1 STPA-ANP模型框架Fig.1 Framework of STPA-ANP model

面向民機(jī)系統(tǒng)的STPA-ANP安全性分析方法具體步驟如下:

系統(tǒng)安全性分析建模。針對民機(jī)系統(tǒng)在不同飛行階段應(yīng)用場景,從全局角度定義事故,通過分析系統(tǒng)功能確定系統(tǒng)級危險(xiǎn)。提取系統(tǒng)控制邏輯和控制邊界,基于STAMP建立民機(jī)系統(tǒng)分層控制結(jié)構(gòu)模型。建模完成后根據(jù)STPA基本步驟,充分考慮指定功能下組件間的交互行為,識別系統(tǒng)潛在UCA。

基于STPA-ANP模型的UCA致因分析。采用定性分析和定量分析相結(jié)合的方法,定性分析得到潛在致因因素,定量分析過程將STPA與ANP的關(guān)鍵結(jié)構(gòu)對應(yīng)結(jié)合,對UCA潛在致因因素進(jìn)行定量評估,得到UCA關(guān)鍵致因因素。

2 系統(tǒng)安全性分析建模

在STAMP因果模型中,系統(tǒng)通過分層控制結(jié)構(gòu)保持動態(tài)平衡并對外部環(huán)境變化作出反應(yīng)。當(dāng)系統(tǒng)及其組件的行為受到合適的約束時(shí),系統(tǒng)的安全性就可以滿足。基于STPA方法進(jìn)行系統(tǒng)安全性建模,通過對事故、系統(tǒng)危險(xiǎn)以及系統(tǒng)控制/反饋關(guān)系的定義和描述,分析系統(tǒng)潛在UCA。

2.1 定義事故及系統(tǒng)級危險(xiǎn)

事故是一種非計(jì)劃性損失事件,這種損失可能涉及人員傷亡,但也可能涉及其他重大損失,包括任務(wù)、設(shè)備、財(cái)務(wù)和信息損失。結(jié)合適航文件的要求,建立事故級別及描述,如表1所示。

表1 事故級別及描述Table 1 Accident levels and desriptions

系統(tǒng)危險(xiǎn)是一種潛在不安全狀況,加之外部因素作用將會導(dǎo)致事故的發(fā)生,這些外部因素包含系統(tǒng)部件故障、惡劣的系統(tǒng)工作環(huán)境、人為操作失誤等。在不同的飛行階段,民機(jī)系統(tǒng)需要執(zhí)行的功能也有所區(qū)別,根據(jù)系統(tǒng)級功能可以確定民機(jī)系統(tǒng)可能存在的失效模式,總結(jié)得到民機(jī)系統(tǒng)在指定飛行階段的系統(tǒng)級危險(xiǎn)。

2.2 構(gòu)建系統(tǒng)分層控制結(jié)構(gòu)

根據(jù)民機(jī)系統(tǒng)的組成和功能描述,結(jié)合STAMP原理,建立民機(jī)系統(tǒng)分層控制結(jié)構(gòu)。系統(tǒng)建模過程中,要充分考慮控制結(jié)構(gòu)元素之間的控制、反饋和其他交互作用。構(gòu)建分層控制結(jié)構(gòu)可以更好地識別民機(jī)系統(tǒng)控制動作與反饋,為生成系統(tǒng)潛在UCA構(gòu)建模型基礎(chǔ)。

2.3 生成系統(tǒng)潛在UCA

生成民機(jī)系統(tǒng)潛在UCA需要充分考慮民機(jī)所處的飛行階段,以及需要執(zhí)行的飛行任務(wù)。根據(jù)系統(tǒng)建模結(jié)果,分析組件或子系統(tǒng)之間的控制交互和民機(jī)系統(tǒng)安全性要求,得出階段指定功能下的系統(tǒng)潛在UCA。

3 UCA致因分析

STPA-ANP危險(xiǎn)致因分析模型結(jié)合定性分析和定量分析,首先基于STPA基本框架生成通用致因,得到指定UCA的潛在致因因素。然后,將ANP引入STPA過程,實(shí)現(xiàn)潛在致因因素的定量化評估,得到UCA關(guān)鍵致因。

3.1 UCA致因定性分析

根據(jù)構(gòu)建的民機(jī)系統(tǒng)分層控制結(jié)構(gòu)和STPA致因分析框架,對UCA展開定性致因分析。STPA UCA通用致因因素可以分為4種類別,10條通用致因因素,如圖2所示。

圖2 UCA通用致因因素Fig.2 General causal factors of UCA

針對每一個(gè)具體UCA,充分考慮系統(tǒng)交互,逐一細(xì)化致因因素,得到與UCA相對應(yīng)的潛在致因因素。

3.2 UCA致因定量分析

致因定量分析過程將STPA的基本框架與ANP的定量分析過程相結(jié)合,將STPA的致因分析轉(zhuǎn)化為ANP定量化決策過程,通過分析計(jì)算得到目標(biāo)系統(tǒng)級危險(xiǎn)下UCA的關(guān)鍵致因。

構(gòu)建致因定量分析模型

建立STPA與ANP的關(guān)鍵概念之間的聯(lián)系,對應(yīng)關(guān)系如圖3所示。系統(tǒng)級危險(xiǎn)對應(yīng)ANP決策目標(biāo),UCA對應(yīng)決策準(zhǔn)則,通過決策網(wǎng)絡(luò)的構(gòu)建,定量分析指定UCA的致因因素,得到UCA關(guān)鍵致因。每組致因因素映射為ANP網(wǎng)絡(luò)層元素組,每個(gè)致因因素映射為網(wǎng)絡(luò)層元素,構(gòu)建的分層控制結(jié)構(gòu)用于表示元素的組內(nèi)/組間關(guān)系。

圖3 STPA和ANP的關(guān)鍵概念之間的對應(yīng)關(guān)系Fig.3 Correspondence between key concepts of STPA and ANP

構(gòu)建判斷矩陣

為此,確定了與初始適航和持續(xù)適航相關(guān)的專家,并要求他們根據(jù)專業(yè)知識和態(tài)度確定致因因素之間的關(guān)系,將專家意見進(jìn)行匯總。將指定UCA作為主準(zhǔn)則,不同致因類別中的致因因素作為次準(zhǔn)則,形成初始判斷矩陣。計(jì)算得到指定UCA下定量分析致因因素的初始判斷矩陣。

構(gòu)建極限超矩陣

以指定UCA作為主準(zhǔn)則,根據(jù)STPA-ANP模型中控制結(jié)構(gòu)關(guān)系,依次將各致因類別中的致因因素之間的內(nèi)外關(guān)系進(jìn)行比較,得到無權(quán)重超矩陣。根據(jù)特征值向量,計(jì)算矩陣值的關(guān)系權(quán)值,然后對矩陣值進(jìn)行歸一化處理,獲得指定UCA下反應(yīng)致因因素之間關(guān)系的權(quán)重矩陣,將權(quán)重矩陣乘以無權(quán)重超矩陣,得到權(quán)重超矩陣。加權(quán)超矩陣必須收斂,通過反復(fù)迭代、趨穩(wěn),得到致因因素分析極限超矩陣。

生成定量致因分析結(jié)果

根據(jù)元素組的權(quán)重和極限矩陣計(jì)算出最終的致因因素權(quán)重,輸出定量化致因因素分析結(jié)果,得到致因因素關(guān)鍵致因。

4 民機(jī)系統(tǒng)實(shí)例分析

本文選取民機(jī)數(shù)字式飛控系統(tǒng)(digital flight control system, DFCS)作為實(shí)例分析對象,DFCS是由駕駛員、飛控計(jì)算機(jī)(flight control computer, FCC)、方式控制面板(mode control panel,MCP)、駕駛操縱盤(control wheel steering, CWS)、作動組件、受控過程組件、傳感器組件等組成的分層控制結(jié)構(gòu),其包含多層控制源以及多種功能狀態(tài)下的控制交互。

4.1 DFCS建模分析

根據(jù)DFCS在民機(jī)巡航階段的功能和失效模式,得到DFCS在民機(jī)巡航階段的系統(tǒng)級危險(xiǎn),詳細(xì)內(nèi)容如表2所示。

表2 DFCS巡航階段的系統(tǒng)級危險(xiǎn)及對應(yīng)事故Table 2 System hazards and corresponding accidents of DFCS during cruise phase

在DFCS控制交互過程中,駕駛員可以通過MCP或CWS為FCC輸入控制指令,FCC根據(jù)輸入信息計(jì)算控制指令發(fā)送給作動系統(tǒng),作動系統(tǒng)接收指令并調(diào)整飛行姿態(tài),傳感器接收飛行數(shù)據(jù)并傳輸給FCC。自動駕駛模式下,自動駕駛系統(tǒng)(autopilot,A/P)可與FCC進(jìn)行數(shù)據(jù)交互,并為作動系統(tǒng)提供控制指令;緊急情況下自動切換CWS輸入方式,由駕駛員手動控制。DFCS分層控制結(jié)構(gòu)如圖4所示。

圖4 基于STAMP的DFCS分層控制結(jié)構(gòu)Fig.4 Hierarchical control structure of DFCS based on STAMP

基于構(gòu)建的分層控制結(jié)構(gòu),識別出9個(gè)控制動作和6個(gè)反饋。由于篇幅限制,后續(xù)分析過程只關(guān)注DFCS中FCC與作動系統(tǒng)的控制交互過程。在此過程中,FCC作為控制器,作動系統(tǒng)作為被控對象。FCC的主要職責(zé)是接收來自駕駛員或A/P發(fā)出的控制指令,并對執(zhí)行器系統(tǒng)施加控制動作,以確保飛機(jī)的安全飛行。

在民機(jī)巡航階段,要求DFCS中的FCC組件可以正確產(chǎn)生、傳遞控制指令,作動系統(tǒng)可以正確執(zhí)行指令并改變飛行姿態(tài)。在俯仰、橫滾控制功能下的DFCS潛在UCA,具體內(nèi)容描述如表3所示。

表3 DFCS潛在UCATable 3 Potential UCA of DFCS

4.2 UCA致因分析

4.2.1 UCA致因定性分析

針對UCA U-1“控制指令缺失或錯(cuò)誤傳遞”進(jìn)行詳細(xì)分析,得到其潛在致因因素,具體內(nèi)容如表4所示。

表4 U-1潛在致因因素Table 4 Potential causal factors of U-1

4.2.2 UCA致因定量分析

根據(jù)上文定性分析,STPA-ANP致因定量分析模型控制層決策目標(biāo)設(shè)定為系統(tǒng)級危險(xiǎn)H-1,判斷準(zhǔn)則設(shè)定為UCA U-1。

將專家意見進(jìn)行匯總,計(jì)算得到定量評估U-1致因因素的初始判斷矩陣(兩兩比較矩陣),如表5所示。通過處理初始判斷矩陣,計(jì)算加權(quán)超矩陣,并將加權(quán)超矩陣反復(fù)迭代、趨穩(wěn),得到定量評估U-1致因因素的極限矩陣,如表6所示。

表5 U-1潛在致因因素初始判斷矩陣Table 5 Original judgment matrix for potential causal factors of U-1

表6 致因因素定量分析極限矩陣Table 6 Limit matrix for quantitative analysis of causal factors

根據(jù)元素組的權(quán)重和極限矩陣計(jì)算定量評估U-1致因因素的排序,如表7所示。根據(jù)計(jì)算結(jié)果可以看出,導(dǎo)致U-1產(chǎn)生的關(guān)鍵致因因素為FCC物理故障(A1)、FCC控制指令缺失(C2)、FCC控制算法缺陷(A2)。

表7 致因因素定量化分析結(jié)果Table 7 Resulis of quantitative analysis of causal factors

續(xù)表7Continued Table 7

4.3 結(jié)果驗(yàn)證

4.3.1 形式化驗(yàn)證分析

為驗(yàn)證DFCS建模結(jié)果,利用形式化建模工具UPPAAL對實(shí)例分析中DFCS各部分建立時(shí)間自動機(jī)模型,并將各模型組成時(shí)間自動機(jī)網(wǎng)絡(luò)。在此過程中,需要將DFCS分層控制結(jié)構(gòu)中的模型元素和控制/反饋映射到UPPAAL中,然后執(zhí)行驗(yàn)證以確定建模是否正確。將駕駛員、FCC、A/P、CWS、作動系統(tǒng)、傳感器系統(tǒng)、飛行姿態(tài)的UPPAAL模型組成時(shí)間自動機(jī)網(wǎng)絡(luò),如圖5所示。

圖5 基于UPPAAL的DFCS時(shí)間自動機(jī)網(wǎng)絡(luò)Fig.5 Time automata network of DFCS based on UPPAAL

通過形式化建模及系統(tǒng)活性驗(yàn)證可以表明,系統(tǒng)無鎖死情況并且各子系統(tǒng)可以正常工作,滿足系統(tǒng)功能要求,證明了分層控制結(jié)構(gòu)建模的合理性。在系統(tǒng)建模的基礎(chǔ)上,通過形式化語言對潛在UCA進(jìn)行描述,為驗(yàn)證UCA定性分析結(jié)果提供了自動化方案,減少了人工驗(yàn)證工作量,保證了定性分析結(jié)果的準(zhǔn)確性。

驗(yàn)證系統(tǒng)活性需要滿足3個(gè)條件:① 所有的控制動作和反饋都包含在模型中;② 時(shí)間自動機(jī)的所有狀態(tài)都可用;③ 時(shí)間自動機(jī)的同步一致,模型中不存在死鎖。利用巴科斯范式(Backus normd form, BNF)語句“A<>p”對驗(yàn)證性質(zhì)進(jìn)行描述,驗(yàn)證建模結(jié)果的合理性,UPPAAL驗(yàn)證器截圖如圖6所示。

圖6 系統(tǒng)活性的UPPAAL驗(yàn)證截圖Fig.6 Screeenshot of UPPAAL verifier for system liveness

對潛在UCA的驗(yàn)證,使用BNF語句“E<>UCA”判斷是否存在一條路徑使得UCA在該路徑的某一狀態(tài)下發(fā)生,從而判斷生成的潛在UCA是否符合系統(tǒng)邏輯規(guī)則,UPPAAL驗(yàn)證器截圖如圖7所示。

圖7 系統(tǒng)潛在UCA的UPPAAL驗(yàn)證截圖Fig.7 Screeenshot of UPPAAL verifier for the system potential UCA

4.3.2 對比驗(yàn)證分析

對于U-1關(guān)鍵致因的驗(yàn)證采用基于模型的安全性分析方法,通過對DFCS進(jìn)行系統(tǒng)仿真,驗(yàn)證STPA-ANP致因分析結(jié)果。在巡航階段,對DFCS進(jìn)行俯仰控制信號輸入,對比正常情況下的俯仰角變化曲線與致因因素注入后的俯仰角變化曲線,將正常變化曲線與致因注入后的變化曲線分別作差,誤差超出閾值認(rèn)為故障(U-1)發(fā)生,離散化得到規(guī)定安全裕度下不同致因因素導(dǎo)致危險(xiǎn)發(fā)生的概率,得到U-1致因因素排序,對比曲線如圖8所示。

圖8 俯仰角變化對比曲線Fig.8 Contrast curve of pitch angle change

通過與STPA-ANP模型致因分析得到的結(jié)果相對比,驗(yàn)證了STPA-ANP模型致因分析結(jié)果的準(zhǔn)確性,詳細(xì)內(nèi)容見表8。仿真驗(yàn)證結(jié)果表明,只有少數(shù)非關(guān)鍵致因排序有略微變化,關(guān)鍵致因無差異,STPA-ANP得到的關(guān)鍵致因分析結(jié)果是準(zhǔn)確的。

表8 致因因素對比驗(yàn)證結(jié)果Table 8 Result of comparison validation for causal fastors

5 結(jié) 論

面向民機(jī)系統(tǒng),提出了一種基于STPA-ANP模型的安全性分析方法,通過對該方法的研究得出以下結(jié)論:

(1) 采用基于系統(tǒng)理論的方法構(gòu)建民機(jī)系統(tǒng)分層控制結(jié)構(gòu),利用STPA方法對民機(jī)系統(tǒng)進(jìn)行安全性建模分析,綜合考慮系統(tǒng)組件之間復(fù)雜交互過程中產(chǎn)生的安全性問題,更好地識別分析民機(jī)系統(tǒng)潛在UCA。

(2) 通過STPA-ANP模型方法識別危險(xiǎn)致因因素,計(jì)算得到危險(xiǎn)關(guān)鍵致因。結(jié)合定性、定量分析,解決了STPA缺少完整致因分析過程的問題,利于系統(tǒng)安全約束的構(gòu)建,為民機(jī)系統(tǒng)安全性分析提供了參考。