基于STAMP／STPA的機(jī)輪剎車系統(tǒng)安全性分析

鄭磊，胡劍波

基于STAMP／STPA的機(jī)輪剎車系統(tǒng)安全性分析

鄭磊，胡劍波＊

空軍工程大學(xué) 裝備管理與安全工程學(xué)院，西安 710051

把機(jī)輪剎車系統(tǒng)在飛機(jī)降落過程中的安全性問題當(dāng)作系統(tǒng)控制問題，不采用基于故障概率模型的事故模型，而是采用基于系統(tǒng)理論的事故模型和過程（STAMP），構(gòu)建機(jī)輪剎車系統(tǒng)在飛機(jī)降落過程中的STAMP控制關(guān)聯(lián)模型和系統(tǒng)理論過程分析（STPA）反饋控制回路。根據(jù)系統(tǒng)運(yùn)行的上下文信息識別機(jī)輪剎車系統(tǒng)在飛機(jī)降落過程中的不安全控制行為，分析產(chǎn)生不安全控制行為的關(guān)鍵原因。對機(jī)輪剎車系統(tǒng)在飛機(jī)降落過程中的不安全控制行為進(jìn)行仿真研究，結(jié)果表明了STAMP／STPA的有效性和用仿真方法分析安全性問題的可行性。

機(jī)輪剎車系統(tǒng)；STAMP；STPA；不安全控制；仿真分析

計(jì)算機(jī)、軟件等高新技術(shù)的飛速發(fā)展使得飛機(jī)呈現(xiàn)出信息密集、高度集成、軟硬結(jié)合等特點(diǎn)，也為飛機(jī)的事故模型構(gòu)建和安全性分析提出了新的挑戰(zhàn)?，F(xiàn)代飛機(jī)是一個具有多功能的復(fù)雜系統(tǒng)，呈現(xiàn)出相互關(guān)聯(lián)、信息融合、人機(jī)結(jié)合、軟硬件結(jié)合的發(fā)展趨勢，使得影響飛機(jī)運(yùn)行安全的因素增加、安全因素之間的關(guān)聯(lián)性增強(qiáng)，同時(shí)存在著人為操作的復(fù)雜因素，使得事故模型構(gòu)建和安全性分析變得更為困難。

傳統(tǒng)的基于故障模型的事故模型，如多米諾事故模型［1］和瑞 士 奶 酪 事 故 模 型［2－5］都 沒 有 從 系統(tǒng)思維的角度去分析事故的根源，都假設(shè)事故的產(chǎn)生是由線性事件鏈導(dǎo)致的，雖然也認(rèn)識到人是系統(tǒng)產(chǎn)生故障的重要因素，但一般將人為因素作為獨(dú)立的要素，對人在事故中作用的假設(shè)都是不健全的，很難說明產(chǎn)生的原因和解決問題的方法。同時(shí)認(rèn)為系統(tǒng)的安全依賴于組成系統(tǒng)各部件的可靠性，如果所有的組件沒有失效，那么整個系統(tǒng)的安全就有保證。這種基于組件可靠性的安全性分析模型忽略了子系統(tǒng)間的相關(guān)性和耦合性，同時(shí)也沒有考慮到軟硬件結(jié)合等方面的情況。雖然之后出現(xiàn)的功能共振事故模型［6－8］以系統(tǒng)思維從系統(tǒng)整體角度出發(fā)來識別整個系統(tǒng)的功能共振和影響功能共振的環(huán)境因素，考慮到了復(fù)雜系統(tǒng)各功能之間的相關(guān)性和耦合性，但難以發(fā)現(xiàn)由于系統(tǒng)設(shè)計(jì)缺陷所產(chǎn)生的事故。同時(shí)基于以上的事故模型也產(chǎn)生了相應(yīng)安全性分析方法，如故障樹分析（FTA）［9］、事故樹分析（ETA）［9－11］、故障模式及影響分析（FMEA）［12－14］和危險(xiǎn)性、操作性分析，都是基于線性思維，用系統(tǒng)組件的可靠性來分析系統(tǒng)的安全性，對于人的行為、軟件出錯、需求缺陷、上下文場景和非線性等問題難以進(jìn)行準(zhǔn)確的描述和分析，另外由于傳統(tǒng)方法中描述的組件都假設(shè)相對獨(dú)立，因此也不能有效地分析強(qiáng)耦合事故原因。盡管功能 共 振 模 型 分 析 （FRAM）［7－8，15］強(qiáng) 調(diào) 相 互作用和相關(guān)性的重要性，同時(shí)在對人為因素理解方面有了更好的方法，但沒有被用來深入研究復(fù)雜的軟件系統(tǒng)，還只限于性能正常變化引起的事故，對于沒有性能變化、性能異常、需求缺陷和上下文影響等原因引起的事故原因不能進(jìn)行很好的分析。

針對以上復(fù)雜系統(tǒng)安全性分析所面臨的挑戰(zhàn)，結(jié)合STAMP模型和STPA （Systems－Theoretic Process Analysis）方法，本文從控制的角度對飛機(jī)著陸階段機(jī)輪剎車系統(tǒng)進(jìn)行了安全性分析。根據(jù)機(jī)輪剎車系統(tǒng)的建模，對機(jī)輪剎車系統(tǒng)的不安全控制行為和潛在風(fēng)險(xiǎn)進(jìn)行了詳細(xì)的闡述，分析了產(chǎn)生這些危險(xiǎn)的關(guān)鍵原因，并用仿真方法進(jìn)行了安全性分析驗(yàn)證。

1 STAMP／STPA工作機(jī)理

Leveson［16］于2004年提出STAMP，以捕獲更多類型的事故原因因素，包括社會組織結(jié)構(gòu)、新型的人為差錯、設(shè)計(jì)需求缺陷以及非故障組件之間不良交聯(lián)。STAMP不同于以往的安全性分析方法，是基于系統(tǒng)理論和控制理論，認(rèn)為安全性是復(fù)雜系統(tǒng)的涌現(xiàn)性［17］，并把復(fù)雜系統(tǒng)的安全性分析當(dāng)作一個控制問題來解決。其要點(diǎn)是明確各種功能組件及其相互的上下層控制關(guān)系和信號關(guān)系，同時(shí)還應(yīng)考慮組件可能遭遇的干擾、外部指令以及環(huán)境因素，從而明確出各個組件正常工作所需的控制要求和信息關(guān)系。STAMP將復(fù)雜系統(tǒng)當(dāng)成具有多個層次的分層結(jié)構(gòu)，同時(shí)用控制結(jié)構(gòu)關(guān)系來構(gòu)建模型，用以揭示上層對下層的控制要求或約束，以及向上層來反饋下層的信息。STAMP認(rèn)為只有控制有效，滿足約束要求，反饋信息及時(shí)、準(zhǔn)確、有效才能保證系統(tǒng)的運(yùn)行性能，確保系統(tǒng)的安全。同時(shí)，STAMP認(rèn)為事故的產(chǎn)生是由于復(fù)雜動態(tài)過程并發(fā)運(yùn)行和相互作用所創(chuàng)造的不安全情形所致，強(qiáng)調(diào)多個組件相互作用，著重考慮事件發(fā)生的時(shí)機(jī)、次序及上下文環(huán)境等因素，通過對復(fù)雜動態(tài)過程的控制進(jìn)行分析來查找安全威脅，評估安全問題。結(jié)合以上要求，提出了3類基本控制缺陷作為安全性分析的指導(dǎo)：① 控制器發(fā)出不足或不恰當(dāng)?shù)目刂菩袨椋▽收匣驍_動的物理過程處置不當(dāng)；② 控制行為的不充分執(zhí)行；③ 反饋信息的不正確或丟失［18］。目前，STAMP已經(jīng)成功地應(yīng)用于許多領(lǐng)域，包括航天航空、國防、能源、化工、健康、運(yùn)輸系統(tǒng)等，特別適用于現(xiàn)代復(fù)雜系統(tǒng)和軟件密集系統(tǒng)的安全性分析與控制。

STPA是一種建立在STAMP基礎(chǔ)上的危險(xiǎn)性分析方法，通過構(gòu)建諸如由執(zhí)行器、控制過程和傳感器構(gòu)成的反饋控制回路，如圖1所示，分析其輸入、輸出信號在性能、時(shí)間或邏輯上可能的不合理情形，深入挖掘可能的不安全控制作用和場景。STPA需要執(zhí)行以下兩個步驟：① 識別不安全的控制行為；② 識別相關(guān)的致因因素。針對不安全的控制行為，STPA定義了4種形式：① 沒有提供控制行為；② 提供了產(chǎn)生危險(xiǎn)的控制行為；③提供的安全控制行為過早或過晚；④ 提供的控制行為作用時(shí)間過短或過長［19］。然后，根據(jù)控制過程回路來識別產(chǎn)生不安全控制的因素。

2 飛機(jī)機(jī)輪剎車系統(tǒng)的STAMP模型

機(jī)輪剎車系統(tǒng)（WBS）安裝在兩個主起落架上面，在飛機(jī)滑行、著陸及中斷起飛（RTO）階段可通過其對主輪的制動來達(dá)到飛機(jī)安全停止的目的。參照文獻(xiàn)［20］給出了飛機(jī)機(jī)輪剎車系統(tǒng)的基本結(jié)構(gòu)，如圖2所示。

首先，飛機(jī)剎車是在飛行員的參與下自動或人工完成的，由飛行員設(shè)置剎車參數(shù)、選擇剎車方式。飛機(jī)著陸階段地面剎車可以通過剎車踏板腳蹬進(jìn)行人工控制，也可以在沒有剎車踏板腳蹬輸入的情況下通過自動剎車進(jìn)行控制。飛行員可以在飛機(jī)著陸之前為自動剎車預(yù)先設(shè)置好減速率。值得注意的是，只有主剎車系統(tǒng)工作時(shí)自動剎車才能使用，備用與應(yīng)急剎車模式下都沒有自動剎車。

其次，飛行員選擇的剎車方式和設(shè)置的參數(shù)必須經(jīng)過剎車系統(tǒng)控制組件（Brake System Control Unit，BSCU）進(jìn)行處理，以發(fā)出剎車指令。其由兩套獨(dú)立的BSCU組成，各BSCU包含獨(dú)立的檢測通道。BSCU系統(tǒng)具有如下功能：① 代替人工剎車或?qū)崿F(xiàn)自動剎車；② 控制與飛機(jī)其他系統(tǒng)的接口；③ 依照收到的指令和系統(tǒng)的狀態(tài)發(fā)出剎車命令；④ 自動避免飛機(jī)主輪滑動；⑤ 傳輸有關(guān)BSCU的狀態(tài)信息（通過顯示器指示、報(bào)警燈、警告音等方式）給駕駛艙以及飛機(jī)的各種控制計(jì)算機(jī)。

進(jìn)一步，剎車指令可通過BSCU自動控制器作用于BSCU液壓控制器來實(shí)現(xiàn)自動剎車，也可通過腳蹬作用于BSCU液壓控制器來實(shí)現(xiàn)人工剎車。BSCU液壓控制器將剎車指令傳輸?shù)綑C(jī)輪剎車液壓系統(tǒng)，作用于機(jī)輪來實(shí)現(xiàn)剎車。當(dāng)然，人工剎車指令可不通過BSCU液壓控制器直接作用于機(jī)輪剎車液壓系統(tǒng)。同時(shí)，與剎車系統(tǒng)工作相關(guān)的狀態(tài)參數(shù)及反饋信息由傳感器測量獲得，并在儀表上顯示。

可見，機(jī)輪剎車系統(tǒng)主要由飛行員、測量裝置、儀表、BSCU、BSCU液壓控制器等組成，且相互之間存在著邏輯上、時(shí)間上和功能上的控制與反饋關(guān)系。在深入分析機(jī)輪剎車系統(tǒng)工作原理的基礎(chǔ)上，通過梳理各個組成的輸入、輸出信號和相互關(guān)系，即可得到如圖3所示的飛機(jī)機(jī)輪剎車系統(tǒng)的STAMP模型。

3 基于STPA的機(jī)輪剎車系統(tǒng)安全性

基于STPA方法分析剎車系統(tǒng)是一個將從飛機(jī)級開始直到機(jī)輪剎車系統(tǒng)存在的風(fēng)險(xiǎn)充分解決的迭代過程。與其他的安全性分析方法相似，基于STPA的安全性分析方法主要也是識別系統(tǒng)存在的風(fēng)險(xiǎn)，與傳統(tǒng)的方法不同，其目的不是通過分析得到相應(yīng)的危險(xiǎn)概率，而是為了通過系統(tǒng)風(fēng)險(xiǎn)的識別來制定減緩或排除產(chǎn)生系統(tǒng)風(fēng)險(xiǎn)的策略，為日后系統(tǒng)的改進(jìn)提供依據(jù)。

3．1 系統(tǒng)級事故的確定

根據(jù)STPA方法的研究過程，首先是識別飛機(jī)著陸階段機(jī)輪剎車系統(tǒng)存在的系統(tǒng)級事故，主要包括人員受傷或死亡、飛機(jī)受損、地面設(shè)施受損，具體如表1所示。人員受傷或死亡（A－1）包括機(jī)組人員、乘客和地面工作人員；飛機(jī)受損（A－2）包括飛機(jī)的各個子系統(tǒng)的受損；地面設(shè)施受損（A－3）包括機(jī)場的全部地面固定設(shè)施和移動設(shè)施。

表1 機(jī)輪剎車系統(tǒng)的系統(tǒng)級事故Table 1 System accidents of wheel brake system

3．2 系統(tǒng)級危險(xiǎn)的確定

系統(tǒng)級的事故確定之后，就可以生成系統(tǒng)級的危險(xiǎn)，參照文獻(xiàn)［20］對系統(tǒng)級危險(xiǎn)的相關(guān)論述，結(jié)合STPA分析方法，總結(jié)出系統(tǒng)級危險(xiǎn)主要包括飛機(jī)沖出跑道、飛機(jī)與地面障礙物或地面設(shè)施碰撞、阻擋其他飛機(jī)起飛降落或其他地面設(shè)施正常運(yùn)行，具體如表2所示。

表2 機(jī)輪剎車系統(tǒng)的系統(tǒng)級危險(xiǎn)Table 2 System hazards of wheel brake system

飛機(jī)沖出跑道（H－1）主要包括剎車輸入不及時(shí)、機(jī)輪剎車系統(tǒng)故障和剎車減速率過低等造成飛機(jī)沿跑道沖出跑道盡頭，一般不會造成地面設(shè)施受損，但不可避免地會造成飛機(jī)部分受損（A－2）和相應(yīng)的人員傷亡（A－1）。飛機(jī)與地面障礙物或地面設(shè)施碰撞（H－2）包括由于飛機(jī)失控導(dǎo)致的與地面建筑、地面滑行的其他飛機(jī)和其他地面行駛車輛等碰撞，伴隨有人員受傷或死亡（A－1）、飛 機(jī) 部 分 受 損 （A－2）和 地 面 設(shè) 施 受 損（A－3）等事故。阻擋其他飛機(jī)起飛降落或其他地面設(shè)施正常運(yùn)行（H－3），主要指飛機(jī)由于機(jī)輪剎車系統(tǒng)的故障導(dǎo)致?？课恢玫牟徽_，進(jìn)而阻擋其他飛機(jī)或地面車輛的正常運(yùn)行，并有可能發(fā)生碰撞，導(dǎo)致人員受傷或死亡（A－1）和飛機(jī)受損（A－2）等事故的發(fā)生。

3．3 不安全的控制行為

本文旨在分析機(jī)輪剎車這一動作產(chǎn)生的危險(xiǎn)行為，故將飛機(jī)在著陸階段的方向舵控制、反推控制、減速板控制等都列為其他控制?？紤]到不安全的控制行為分析的實(shí)際情況，作如下假設(shè)：

假設(shè)1 在飛機(jī)著陸地面滑行階段，如果飛機(jī)速度小于安全滑行速度的臨界值，只要飛機(jī)在指定停止區(qū)域內(nèi)，認(rèn)為有／無剎車的輸入都不會出現(xiàn)沖出跑道的危險(xiǎn)。

假設(shè)2 在飛機(jī)著陸地面滑行階段，如果飛機(jī)速度大于安全滑行速度的臨界值，即使飛機(jī)在指定停止區(qū)域內(nèi)，認(rèn)為就算有剎車的輸入也會產(chǎn)生飛機(jī)沖出跑道的危險(xiǎn)。

假設(shè)3 在飛機(jī)著陸地面滑行階段，如果其他相關(guān)控制（方向舵控制、反推控制、減速板控制等）有不恰當(dāng)?shù)男袨榫蜁霈F(xiàn)飛機(jī)失控的危險(xiǎn)。

根據(jù)STPA分析方法的4種不安全控制行為，得到表3所示的剎車動作的不安全控制行為。表3通過系統(tǒng)理論過程為剎車行為定義了不安全控制行為，隨后選取了符合過程模型的可變參數(shù)（飛機(jī)速度、剎車溫度、飛機(jī)所處區(qū)域、其他控制行為）為剎車控制行為構(gòu)建了上下文信息，如表4所示。表4中的V代表飛機(jī)著陸滑行時(shí)地面安全滑行速度的臨界值，C代表剎車溫度的安全臨界值。

表4中的第1列為分析對象，第2～5列代表過程模型中的可變參數(shù)，第6～9列為控制時(shí)機(jī)。例如，第3行第9列表示飛機(jī)速度超出了安全滑行速度，同時(shí)飛機(jī)的剎車溫度也超出了安全剎車溫度臨界值，但是此時(shí)飛機(jī)所處位置不在指定的停止區(qū)域內(nèi)，還有很長的滑行距離，并且飛機(jī)有關(guān)著陸滑行的其他控制都是恰當(dāng)?shù)模虼?，此時(shí)不應(yīng)有剎車命令的輸入，應(yīng)等剎車溫度下降到安全臨界值以下再采取動作，所以過晚提供剎車行為是不會產(chǎn)生危險(xiǎn)的；第14行第6列和第14行第8列表示飛機(jī)速度在安全滑行速度臨界值以下，同時(shí)飛機(jī)的剎車溫度也在安全剎車溫度臨界值以下，但是飛機(jī)所處位置在指定停止區(qū)域外，若此時(shí)或過早的提供剎車輸入，那么飛機(jī)有發(fā)生H－3的危險(xiǎn)。另外，表中所列的16種狀態(tài)都可以通過不同的控制行為進(jìn)行相互轉(zhuǎn)換，所以對剎車輸入的恰當(dāng)控制可以避免危險(xiǎn)的發(fā)生。

表3 剎車動作不安全控制行為Table 3 Unsafe control actions of braking

3．4 關(guān)鍵原因分析

在具體的上下文信息和不安全控制行為導(dǎo)致的危險(xiǎn)確定之后，根據(jù)STPA分析方法的控制反饋模型，總結(jié)了剎車動作產(chǎn)生危險(xiǎn)的兩方面原因：① 因不恰當(dāng)控制行為導(dǎo)致的危險(xiǎn)；② 因錯誤反饋信息導(dǎo)致的危險(xiǎn)。

根據(jù)以上提到產(chǎn)生危險(xiǎn)的兩方面原因，將剎車系統(tǒng)控制反饋環(huán)節(jié)分成兩個部分，如圖4所示。

3．4．1 不恰當(dāng)控制行為導(dǎo)致的危險(xiǎn)

圖4中左邊部分為主動控制，分析其產(chǎn)生不安全控制行為的關(guān)鍵原因如下。

① 飛行員：飛行員誤認(rèn)為設(shè)置了自動剎車從而放棄提供人工剎車；自動剎車系統(tǒng)沒有正常工作，且沒有警告飛行員；飛行員間誤認(rèn)為對方提供了剎車行為；飛行員在飛機(jī)著陸前就提供剎車行為；飛行員提供的剎車壓力過大，持續(xù)時(shí)間過長；飛行員在沒有達(dá)到安全速度時(shí)就停止剎車行為；突發(fā)的外部情況導(dǎo)致飛行員不能及時(shí)提供恰當(dāng)?shù)牟僮?；錯誤的狀態(tài)信息反饋，使飛行員誤認(rèn)為無需提供剎車或提供錯誤的剎車策略。

② WBS系統(tǒng)：BSCU檢測到內(nèi)部的錯誤并且關(guān)閉了綠壓終止閥門和藍(lán)壓防滑閥門，導(dǎo)致人工剎車無效；WBS處在備用剎車模式時(shí)，由于機(jī)輪速度的錯誤反饋信息，使控制藍(lán)壓防滑閥門的脈沖跳動過強(qiáng)，導(dǎo)致人工剎車效果不明顯；受外界環(huán)境因素的影響，自動剎車系統(tǒng)錯誤地認(rèn)為飛機(jī)沒有接觸地面或已經(jīng)接觸地面；自動剎車系統(tǒng)沒有發(fā)現(xiàn)剎車系統(tǒng)已轉(zhuǎn)換到備用剎車模式，同時(shí)仍然提供自動剎車行為并為飛行員提供自動剎車運(yùn)行良好的錯誤反饋信息，造成無效剎車；綠壓系統(tǒng)出現(xiàn)故障或飛行員沒有意識到已經(jīng)人工關(guān)閉綠壓系統(tǒng)（假設(shè)可以人工關(guān)閉），同時(shí)仍然提供自動剎車行為并為飛行員提供自動剎車運(yùn)行良好的錯誤反饋信息，造成無效剎車；自動剎車與人工剎車產(chǎn)生沖突。

③其他控制系統(tǒng)：反推力、減速板的有效控制使自動剎車系統(tǒng)因速度達(dá)到安全速率而停止剎車行為，導(dǎo)致潛在的速度過快。

3．4．2 錯誤反饋信息導(dǎo)致的危險(xiǎn)

圖4中右邊部分為反饋，分析其反饋信息不正確或不充分的關(guān)鍵原因如下。

①反饋信息的產(chǎn)生階段：測量飛機(jī)速度的方法不恰當(dāng)或存在缺陷；測量飛機(jī)剎車溫度的方法不恰當(dāng)或存在缺陷；剎車系統(tǒng)各個閥門狀態(tài)信息的獲取不充分或存在缺陷；飛機(jī)剎車模式信息的獲取方法不恰當(dāng)或存在缺陷；對相關(guān)的重要信息沒有進(jìn)行獲取或獲取方法存在沖突。

②反饋信息的傳輸階段：有關(guān)飛機(jī)速度的反饋信息不正確、延時(shí)或丟失；有關(guān)飛機(jī)剎車溫度的反饋信息不正確、延時(shí)或丟失；有關(guān)飛機(jī)減速率的反饋信息不正確、延時(shí)或丟失；有關(guān)飛機(jī)剎車（自動或人工）狀態(tài)的反饋信息不正確、延時(shí)或丟失；沖突的反饋信息暗示危險(xiǎn)的發(fā)生，但實(shí)際并無危險(xiǎn)。

③ 外部因素的影響：外部（如塔臺）指揮信息的不正確或丟失；環(huán)境信息的獲取不充分、不正確或丟失。

4 仿真分析

本文主要針對飛機(jī)著陸滑行階段的運(yùn)動過程進(jìn)行仿真，根據(jù)機(jī)輪剎車系統(tǒng)的剎車過程，構(gòu)建了飛機(jī)著陸滑行階段的動力學(xué)模型，將部分不恰當(dāng)控制行為導(dǎo)致的危險(xiǎn)抽象考慮為剎車時(shí)間的延時(shí)效應(yīng)，通過剎車實(shí)際作用的時(shí)機(jī)來反映飛機(jī)著陸滑行階段的危險(xiǎn)狀況。以某型飛機(jī)為例，假設(shè)跑道長度為2 000m，實(shí)際滑行距離容限為1 600m，飛機(jī)著陸速度為72m／s，其中用于降落時(shí)剎車的檔位分為1、2、3、4和 Max，剎車前的剎車溫度為70℃，剎車溫度容限為1 000℃。針對表3中的部分不安全控制行為，對飛機(jī)的著陸滑行過程進(jìn)行仿真。

4．1 飛機(jī)著陸滑跑模型

參照文獻(xiàn)［21－23］構(gòu)建了飛機(jī)著陸滑行階段的機(jī)輪剎車系統(tǒng)仿真結(jié)構(gòu)，其簡化結(jié)構(gòu)如圖5所示。

具體數(shù)學(xué)模型如下：

1）機(jī)體模型

式中：T0為機(jī)體推力；Fx、Fx1、Fx2分別為迎風(fēng)阻力、主輪摩擦力以及前輪摩擦力；M為機(jī)體質(zhì)量；X為飛機(jī)滑行距離；G為機(jī)體重力；Fy為空氣升力；N1、N2分別為主、前起支撐力；Y為機(jī)體重心位移；a、b分別為機(jī)體重心到主輪中心、前輪中心的水平距離；ht為發(fā)動機(jī)推力線距機(jī)體水平軸下移距離；H為重心高度初值；I為飛機(jī)轉(zhuǎn)動慣量；θ為飛機(jī)俯仰角。

2）機(jī)輪模型

式中：ω為機(jī)輪角速度；J為機(jī)輪轉(zhuǎn)動慣量；Tf為結(jié)合力矩；Tb為剎車力矩；Vzx為機(jī)輪線速度；Rvb為機(jī)輪動態(tài)滾動半徑。

3）起落架模型

主、前起支撐力為

式中：K1、K2分別為主、前緩沖器剛度系數(shù)；c1、c2分別為主、前緩沖器阻尼系數(shù)；q為俯仰角速度。

4）剎車裝置溫度估算

式中：tb為當(dāng)前剎車盤溫度；t0為機(jī)輪周邊環(huán)境溫度；K為調(diào)節(jié)系數(shù)；mi、Ci分別為剎車材料的質(zhì)量與比熱容；F為剎車壓力；υ為剎車材料摩擦力系數(shù)。

4．2 仿真結(jié)果

對飛機(jī)的16個剎車開始時(shí)刻進(jìn)行仿真分析，剎車開始時(shí)刻分別為接觸地面延時(shí)t＝0，1，…，15s，剎車壓力設(shè)置為3檔，反推、減速板等減速系統(tǒng)正常工作，具體結(jié)果如圖6所示。其中前13個時(shí)刻的滑行距離符合假設(shè)的滑行距離容限，后3個時(shí)刻的滑行距離超出了假設(shè)的滑行距離容限，屬于表3中過晚執(zhí)行剎車動作導(dǎo)致危險(xiǎn)的不安全控制行為，剎車溫度在提供剎車動作的最初階段有明顯上升趨勢，但溫度保持在允許范圍內(nèi)，在滑行的最后階段有所下降并保持平穩(wěn)。

對飛機(jī)在接觸地面延時(shí)t＝13，14，15s3個剎車開始時(shí)刻進(jìn)行仿真，剎車壓力設(shè)置為4檔，反推、減速板等減速系統(tǒng)正常工作，具體結(jié)果如圖7所示。雖然沒有及時(shí)提供剎車行為，但由于加大了剎車的檔位，飛機(jī)在接觸地面13s后執(zhí)行剎車動作的滑行距離符合假設(shè)的滑行距離容限，飛機(jī)在接觸地面14s、15s后執(zhí)行剎車動作的滑行距離超出了假設(shè)的滑行距離容限，因增大了剎車壓力，剎車溫度有所增加，但也保持在假設(shè)允許范圍以下，同時(shí)在滑行的最后階段有所下降并保持平穩(wěn)。

對飛機(jī)在接觸地面延時(shí)14s、15s兩個剎車時(shí)刻進(jìn)行仿真，剎車壓力設(shè)置為Max檔，反推、減速板等減速系統(tǒng)正常工作，具體結(jié)果如圖8所示。由于過晚的執(zhí)行剎車動作，雖然采取了最大剎車壓力，但是14s、15s兩個時(shí)刻進(jìn)行剎車的滑行距離超出了假設(shè)的滑行距離容限，同時(shí)，14s時(shí)刻進(jìn)行剎車時(shí)的剎車溫度也超出了假設(shè)的溫度容限。

綜上，針對剎車動作沒有及時(shí)提供的情況，通過對剎車壓力和剎車時(shí)機(jī)的合理調(diào)整，可以有效地控制飛機(jī)從著陸滑跑開始到最后停止的滑行距離和剎車溫度，但是延時(shí)提供剎車動作必須滿足一定的范圍。

5 結(jié) 論

1）采用基于系統(tǒng)理論的STAMP模型對機(jī)輪剎車系統(tǒng)進(jìn)行了建模，并用STPA方法進(jìn)行了分析，克服了傳統(tǒng)安全性分析方法中對子系統(tǒng)間的相關(guān)性和耦合性及人為因素考慮不充分的不足，指出了不安全的控制行為，分析了不安全控制行為產(chǎn)生的原因。

2）通過仿真研究，定量化地說明在一定的范圍內(nèi)合理地控制行為可以有效避免事故的發(fā)生，保證系統(tǒng)安全，實(shí)現(xiàn)了基于STAMP／STPA的定量安全性仿真分析。

［1］ HAYHURST E R．Industrial accident prevention：A scientific approach［J］．Industrial ＆ Labor Relations Review，1932（1）：119－120．

［2］ HICKEY J，QI V E H．Effectiveness of accident models：System theoretic model vs．the Swiss Cheese model：A case study of a US Coast Guard aviation mishap［J］．International Journal of Risk Assessment ＆ Management，2013，17（1）：46－68．

［3］ SURYOPUTRO M R，SARI A D，KURNIA R D．Preliminary study for modeling train accident in indonesia using Swiss Cheese model［J］．Procedia Manufacturing，2015（3）：3100－3106．

［4］ PERNEGER T V．The Swiss Cheese model of safety incidents：Are there holes in the metaphor？［J］．Bmc Health Services Research，2005，5（1）：71．

［5］ REASON J．Revisiting the《Swiss Cheese》model of accidents［EB／OL］．［2016－02－16］．https：／www．researchgate．net／publication／285486777，2006．

［6］ HOLLNAGEL E，GOTEMAN ．The functional resonance accident model［C］／Proceedings of Cognitive System Engineering in Process Plant，2004：155－161．

［7］ HOLLNAGEL E．The changing nature of risk［J］．Biological Bulletin，2008，19（3）：179－194．

［8］ GAN X S．Analysis of aviation accident based on functional resonance accident model［J］．China Safety Science Journal，2013，23（7）：67－72．

［9］ YAO S．Applying system－theoretic accident model and processes（STAMP）to hazard analysis［D］．Hamilton：Mcmaster University，2012．

［10］ HONMA K，HASHIMOTO A，MITOMO N．GS－5evaluation of an aircraft accident by event tree analysis［J］．International Review of Trachoma，1959，36（1）：5－56．

［11］ ASNAR Y，GIORGINI P．Modelling risk and identifying countermeasure in organizations［C］／International Confer－ence on Critical Information Infrastructures Security．Berlin：Springer，2006：55－66．

［12］ YUAN H．Network topology model and fault analysis for electrical control systems［M］．London：Springer，2012．

［13］ HUANG G Q，MAK K L．Failure mode and effect analysis（FMEA）over the WWW［C］／Internet Applications in Product Design and Manufacturing．Berlin：Springer，2003．

［14］ MIKULAK R J，MCDERMOTT R，BEAUREGARD M．The basics of FMEA［M］．2nd ed．New York：Productivity Press，2008．

［15］ CARVALHO P V R D．The use of functional resonance analysis method（FRAM）in a mid－air collision to understand some characteristics of the air traffic management system resilience［J］．Reliability Engineering ＆ System Safety，2011，96（11）：1482－1498．

［16］ LEVESON N G．A new accident model for engineering safer systems［J］．Safety Science，2004，42（4）：237－270．

［17］ LEVESON N G．Engineering a safer world：Systems thinking applied to safety［M］． Massachusetts： MIT Press，2012．

［18］ LIU J．Safety analysis on control system for water level of steam generator in nuclear power plant based on STAMP model［J］．Journal of Safety Science and Technology，2014，10（5）：78－83．

［19］ FLEMING C H，LEVESON N G．Improving hazard analysis and certification of integrated modular avionics［J］．Journal of Aerospace Information Systems，2014，11（6）：397－411．

［20］ 修忠信．民用飛機(jī)系統(tǒng)安全性設(shè)計(jì)與評估技術(shù)概論［M］．上海：上海交通大學(xué)出版社，2013．XIU Z X．System safety design ＆assessment in civil aircraft［M］．Shanghai：Shanghai Jiao Tong University Press，2013（in Chinese）．

［21］ 陳潔．飛機(jī)防滑剎車系統(tǒng)控制器的設(shè)計(jì)及仿真研究［D］．長沙：中南大學(xué)，2014．CHEN J．Design and simulation of aircraft anti－skid brake system controller［D］．Changsha：Central South University，2014（in Chinese）．

［22］ 劉文勝．航空機(jī)輪的剎車瞬態(tài)熱場模擬［J］．粉末冶金材料科學(xué)與工程，2015，20（2）：168－174．LIU W S．Transient thermal field simulation of aircraftwheel［J］．Materials Science and Engineering of Powder Metallurgy，2015，20（2）：168－174（in Chinese）．

［23］ 張明，聶宏．飛機(jī)地面轉(zhuǎn)彎和剎車響應(yīng)動力學(xué)分析［J］．航空學(xué)報(bào)，2008，29（3）：616－621．ZHANG M，NIE H．Dynamicsanalysis of aircraft ground steering and braking responses［J］．Acta Aeronautica et Astronautica Sinica，2008，29（3）：616－621（in Chinese）．

Safety analysis of wheel brake system based on STAMP／STPA

ZHENG Lei，HU Jianbo＊
College of Material Management and Safety Engineering，Air Force Engineering University，Xi’an 710051，China

The safety analysis of wheel brake system in the aircraft landing process is regarded as a system control problem in this paper．Instead of the accident model based on failure probability，we use the systems－theoretic accident model and process（STAMP）accident model based on systems thinking to construct the STAMP control interaction model and the systems－theoretic process analysis（STPA）feedback control loop of wheel brake system．Furthermore，the unsafe control actions in the aircraft landing process are identified by the context of running system，and the causes of unsafe control actions are analyzed．Finally，the unsafe control actions of wheel brake system in the aircraft landing process are studied by simulation．It is shown that the STAMP／STPA method is effective and the simulation method is feasible with respect to safety analysis．

wheel brake system；STAMP；STPA；unsafe control；simulation analysis

2016－02－16；Revised：2016－05－16；Accepted：2016－06－03；Published online：2016－06－06 16：16

V37

A

1000－6893（2017）01－320144－11

http：／hkxb．buaa．edu．cn hkxb＠buaa．edu．cn

10．7527／S1000－6893．2016．0178

2016－02－16；退修日期：2016－05－16；錄用時(shí)間：2016－06－03；網(wǎng)絡(luò)出版日期：2016－06－06 16：16

www．cnki．net／kcms／detail／11．1929．V．20160606．1616．008．html

＊通訊作者 ．E－mail：jian＿bo＿h(yuǎn)＠163．com

鄭磊，胡劍波．基于STAMP／STPA的機(jī)輪剎車系統(tǒng)安全性分析［J］．航空學(xué)報(bào)，2017，38（1）：320144．ZHENG L，HU J B．Safety analysis of wheel brake system based on STAMP／STPA［J］．Acta Aeronautica et Astronautica Sinica，2017，38（1）：320144．

（責(zé)任編輯：李明敏）

URL：www．cnki．net／kcms／detail／11．1929．V．20160606．1616．008．html

＊Corresponding author．E－mail：jian＿bo＿h(yuǎn)＠163．com