基于系統(tǒng)理論過程分析的定檢維修疲勞致因分析與控制

楊曉強，賀非，賀強，徐晨，林躍

(中國民用航空飛行學(xué)院航空工程學(xué)院，廣漢 618307)

定檢[1]是按照飛機維修計劃，根據(jù)適航性資料，在航空器或航空器部件使用達到一定時限進行的檢查和修理，屬于預(yù)防性維修。從接收檢查到記錄和報告無不需要機務(wù)人員全身心徹底地落實，周而復(fù)始就會產(chǎn)生疲勞，而疲勞會誘發(fā)維修作業(yè)中的錯、忘、漏等安全風(fēng)險[2]。近二十年的航空事故統(tǒng)計表明，由機務(wù)人員維修差錯導(dǎo)致的事故增加了4%，而其中大部分與機務(wù)人員的疲勞作業(yè)有關(guān)[3]。《維修單位的安全管理體系》(AC-145-15)[4]咨詢通告表明，機務(wù)人員的身心健康在保障民用航空飛行安全方面起到了重要作用，使得因航空器維修問題造成的飛行事故率持續(xù)保持在較低的水平。因此，對定檢中機務(wù)人員疲勞致因進行分析，不僅有助于制定出行之有效的疲勞管理策略，而且能夠提升維修工作計劃制定的科學(xué)性。

近年來，中外學(xué)者對疲勞開展了大量的研究。朱峰等[5]基于單位時間內(nèi)眼睛閉合時間占比、最長持續(xù)閉眼時間和哈欠次數(shù)3個指標，通過改進的Yolov3算法構(gòu)建多特征融合的疲勞檢測模型，結(jié)果表明識別準確率達92.5%。廖明明等[6]基于雙流卷積神經(jīng)網(wǎng)絡(luò)融合傳統(tǒng)特征構(gòu)建駕駛員疲勞檢測模型，結(jié)果表明具有較強的魯棒性。楊如民等[7]運用蝙蝠算法獲取優(yōu)選決策樹和分類特征等參數(shù)并將其作為隨機森林算法的輸入建立精神疲勞檢測模型，結(jié)果表明準確率為96.7%。梁海軍等[8]基于遷移學(xué)習(xí)算法構(gòu)建管制員眼睛狀態(tài)識別模型，結(jié)果表明檢測準確率為97%。Zhang等[9]基于隨機森林回歸模型融合6個敏感導(dǎo)聯(lián)特征構(gòu)建航天員腦力疲勞快速檢測模型，結(jié)果表明準確率達85.25%。系統(tǒng)理論過程分析方法(systems-theoretic process analysis，STPA)方法廣泛應(yīng)用于對安全要求極高的系統(tǒng)分析中。張宏宏[10]提出了基于STPA-TOPAZ(traffic organization and perturbation analyzer，TOPAZ)的低空無人機沖突解脫安全性分析方法，仿真結(jié)果表明：該方法的有效性與優(yōu)越性。Li等[11]將系統(tǒng)理論過程分析與網(wǎng)絡(luò)分析法相結(jié)合，對某型民機數(shù)字飛控系統(tǒng)進行分析，通過形式化工具及仿真驗證，結(jié)果表明該方法能夠確定系統(tǒng)的危害致因。Lü等[12]運用系統(tǒng)理論過程分析法對空中加油過程分析出46條不安全控制行為和致因，確定與之對應(yīng)的44項約束條件，結(jié)果表明該方法的優(yōu)越性。肖國松等[13]運用系統(tǒng)理論過程分析法對通用系統(tǒng)管理中的動態(tài)重構(gòu)實例進行研究，結(jié)果表明該方法可為安全性分析提供依據(jù)。Huang等[14]運用系統(tǒng)理論過程分析法對48起航空事故進行分析，提取事故鏈繪制事故網(wǎng)絡(luò)，為后續(xù)定性分析做好鋪墊。

現(xiàn)有的維修疲勞分析方法大多基于故障樹[15]、故障模式影響分析[16]等線性方法，對于人的行為、大型工程系統(tǒng)和非線性等問題難以準確分析，此外由于傳統(tǒng)方法中的組件處于相互獨立這一假設(shè)前提下，因此也不能對強耦合系統(tǒng)進行有效分析。盡管STPA從控制的角度尋求危害發(fā)生的原因，并從系統(tǒng)全壽命周期的角度來提出改進措施，但是存在尚未形成成熟的執(zhí)行程序、繪制STPA控制結(jié)構(gòu)的困難、沒有對危害等級定量化、沒有結(jié)合有效的模型演繹或者驗證方法等缺陷。針對以上不足，首先提煉出簡潔的執(zhí)行程序并使用Visio軟件繪制STPA控制結(jié)構(gòu)；然后提出STPA-FRV定量化方法，以標準格式描述規(guī)則便于理解，而且將功能兩兩配對來檢驗?zāi)Ｐ停蛔詈笤赟TPA-FRV模型中提取出有實際含義的可變性并基于形式化驗證工具進行演繹。

1 STPA模型工作機理

STPA是基于系統(tǒng)理論事故建模和過程(systems-theoretic accident model and process，STAMP)衍生出的一種危害分析方法，可用于系統(tǒng)的全生命周期內(nèi)。該方法是從控制回路的角度對系統(tǒng)進行建模，旨在全面分析組件之間的耦合。保障系統(tǒng)安全就要對每一回路施加必要的約束，從而系統(tǒng)安全就轉(zhuǎn)換成確保回路滿足約束條件。在系統(tǒng)理論中，系統(tǒng)被劃分成由高層到低層的控制結(jié)構(gòu)，系統(tǒng)高層通過控制器將約束信息傳輸給下一層，以此類推直至執(zhí)行層，執(zhí)行層在執(zhí)行任務(wù)的過程中，可能由于各方面因素的侵擾而違反約束條件，從而產(chǎn)生危害并逐層反饋給系統(tǒng)高層，所以反饋回路是系統(tǒng)實現(xiàn)自適應(yīng)控制的核心。STPA主要包含兩個步驟：識別潛在危險控制和危害場景分析。STPA模型包括：STPA模型中的控制回路、回路的特征元素、回路之間的交互以及回路元素的可變性。STPA模型的功能可變性描述規(guī)則(functional variability of rules，RFV)表示如下。

(1)F為給定系統(tǒng)所包含控制回路的集合，CLn表示第n個控制回路，可表示為

F={CL1,CL2,…,CLn}，n=1,2,3,…

(1)

(2)A表示每個控制回路的特征元素，CUn表示第n個控制器，CAn表示第n個控制動作，F(xiàn)Bn表示第n個反饋，MP表示被控方，可表示為

A={CU1,CA1,FB1,…,CUn,CAn,FBn,MP}

(2)

(3)R=F→F表示控制回路之間的關(guān)系，RCURCA、RCURFB、RCURMP分別表示控制器與控制動作、反饋和被控方之間的關(guān)系，可表示為

R={RCUn-1RCAn,RCUn-1RFBn,RCUnRMP,…,

RCUi-1RCAn,RCUi-1RFBi,RCUiRMP}，

n=1,2,3,…且i≤n

(3)

(4)V表示可變性，即控制器、控制動作、被控方和反饋這4個方面的可變性對控制回路的影響，可表示為

n=1,2,3,…且i≤n

(4)

2 STPA模型的改進

首先使用RFV形式化定量化描述STPA中回路的可變性建立STPA-RFV模型，然后制定安全規(guī)范，最后用UPPAAL工具進行演繹，如圖1所示。

由于瑞士Uppsala大學(xué)和丹麥Aalborg大學(xué)聯(lián)合開發(fā)出系統(tǒng)驗證工具UPPAAL，因此選取這兩所大學(xué)前三個首字母作為這一工具的名稱

安全性分析的可變指數(shù)是STPA-RFV模型的核心要素，首先建立評價指標體系：將系統(tǒng)STPA模型中各回路視為一級指標，然后基于一級指標對STPA模型中各回路的交互劃分二級指標。所建立的可變指數(shù)評價體系如表1所示。對于回路的交互來說，可變指數(shù)與系統(tǒng)的穩(wěn)定性成反比。

表1 可變指數(shù)評價體系

然后請一線機務(wù)人員依據(jù)Thomas等[17]提出的1～9標度對回路之間的可變性進行評分，從而生成判斷矩陣。CLn回路交互判斷矩陣A構(gòu)建如表2所示。

表2 判斷矩陣生成規(guī)則

可變指數(shù)確定步驟如圖2所示。

圖2 確定可變指數(shù)

3 改進的STPA在定檢中機務(wù)人員疲勞研究中的應(yīng)用

3.1 確定系統(tǒng)級危險并構(gòu)建分層控制結(jié)構(gòu)

系統(tǒng)級危險：H1定檢過程中出現(xiàn)錯誤；H2定檢被長時間延遲；H3定檢項目遺漏。定檢模塊是一個龐雜的系統(tǒng)，通過熟悉整個系統(tǒng)的結(jié)構(gòu)和工作模式，找出定檢模塊中所包含的組件，分析每個組件在系統(tǒng)中的功能控制過程模型以及適用環(huán)境。定檢階段主要任務(wù)是克服一切干擾因素，嚴格遵循工卡逐項完成定檢工作，直至通過放行進程并交付給客戶。定檢模塊控制結(jié)構(gòu)如圖3所示。

圖3 定檢階段控制結(jié)構(gòu)圖

定檢進程作為定檢階段的核心環(huán)節(jié)，里面的控制結(jié)構(gòu)很復(fù)雜，僅從系統(tǒng)高層的控制結(jié)構(gòu)中不足以分析出定檢中機務(wù)人員的疲勞致因，這就要對該進程進一步構(gòu)建控制結(jié)構(gòu)，從而深入分析出定檢中機務(wù)人員疲勞產(chǎn)生機制和控制方式。在系統(tǒng)層面，定檢進程被視為一個整體，其內(nèi)部具體如何運行不做考慮。但要分析出機務(wù)人員的疲勞致因，就需要對系統(tǒng)內(nèi)部的子組件進一步細化并提取組件之間的控制動作，從而構(gòu)建定檢和放行進程的控制結(jié)構(gòu)如圖4、圖5所示。

圖4 定檢進程控制結(jié)構(gòu)

累積疲勞(accumulate fatigue，AF)

3.2 控制回路的形式化描述

3.3 辨識不安全控制行為

根據(jù)STPA理論，從“沒有提供”“提供”和“不正確的時間/順序”3個方面出發(fā)，得到不安全控制行為(unsafe control action，UCA)。以定檢進程的控制動作為例，其中CA1～CA24分別表示定檢進程控制程序要求機務(wù)人員克服身體狀態(tài)不佳、家庭壓力、時間壓迫、工作負荷、糟糕的睡眠質(zhì)量、輪班制度、發(fā)動機復(fù)雜性、航電系統(tǒng)復(fù)雜性、APU復(fù)雜性、電源系統(tǒng)復(fù)雜性、氣源系統(tǒng)復(fù)雜性、液壓系統(tǒng)復(fù)雜性、燃油系統(tǒng)復(fù)雜性、滑油系統(tǒng)復(fù)雜性、啟動系統(tǒng)復(fù)雜性、防火系統(tǒng)復(fù)雜性、空調(diào)系統(tǒng)復(fù)雜性、起落架復(fù)雜性、噪聲干擾、刺鼻氣味、照明條件、氣候和溫度、工作臺振動、臟亂工作環(huán)境。通過分析得到72個疲勞致因，如表3所示。

表3 機務(wù)人員疲勞致因表

3.4 控制算法

控制算法[18]是控制行為的理論依據(jù)，控制器會根據(jù)控制算法做出控制動作。由于統(tǒng)一建模語言(unified modeling language，UML)狀態(tài)圖能夠準確直觀地描述系統(tǒng)控制過程中的狀態(tài)轉(zhuǎn)移，使用UML狀態(tài)圖描述控制算法如圖6所示。

圖6 定檢階段狀態(tài)轉(zhuǎn)移

3.5 辨識出危害場景并提取相應(yīng)安全需求

3.5.1 確定可變指數(shù)

建立評價指標體系：根據(jù)一級指標對STPA模型中各回路的交互劃分二級指標，如控制動作交互、被控方交互和反饋交互3個影響因素。以CL3為例，建立定檢進程STPA的可變指數(shù)評價體系如表4所示。

表4 CL3回路交互評判矩陣

由式(1)～式(3)求得特征向量w1=[0.07,0.75,0.18]，由式(4)得λmax=3.029，經(jīng)查表得3階矩陣平均隨機性一致性指標RI=0.58，故由圖3得CR=0.025<0.1，表明一致性可接受。

表5 定檢進程可變指數(shù)

3.5.2 制定安全規(guī)范

基于圖6定檢階段狀態(tài)轉(zhuǎn)移圖制定出11條對應(yīng)的機務(wù)人員疲勞管理規(guī)范，如表6所示。

表6 安全規(guī)范

4 改進的STPA模型演繹

UPPAAL[19]是一個基于時間自動機的形式化驗證工具，包括編輯器、模擬器及驗證器。其理論基礎(chǔ)時間自動機(timed automata，TA)在數(shù)學(xué)上被定義為一個六元組TA=〈S,S0,Σ,X,I,E〉，其中，S為有窮位置集合，S0為初始位置集合，Σ為有窮事件的集合，X為有窮時鐘的集合，I為一個映射，它給每個狀態(tài)s∈S指定時鐘約束集合Φ(x)中的一個時間約束δ，E?SΣΦ(x)2xS表示狀態(tài)轉(zhuǎn)移的集合[20]。圖7、圖8分別為定檢進程和人-機-環(huán)誘導(dǎo)的UPPAAL模型。

rcp_alert表示定檢進程告警；Human_Factors表示人的因素；Machine_Factors表示機的因素；Surrounding_Factors表示環(huán)的因素；O_HF表示克服人的因素；O_MF表示克服機的因素；O_SF表示克服環(huán)的因素；Colleague_cross check表示同事交叉檢查；C_WARN表示同事警告

Poor_health表示身體狀態(tài)不佳；Oph表示克服身體狀態(tài)不佳；Family_stress表示家庭壓力；Ofs表示克服家庭壓力；Time _limit表示時間壓迫；Otl表示克服時間壓迫；Workload表示工作負荷；Owl表示克服工作負荷；Poor_sleep表示糟糕睡眠質(zhì)量；Ops表示克服糟糕睡眠質(zhì)量；Shift_system表示輪班制度；Ass表示適應(yīng)輪班制度；Engine_complexity表示發(fā)動機復(fù)雜性；oec表示克服發(fā)動機復(fù)雜性；avionics_complexity表示航電系統(tǒng)復(fù)雜性；oac表示克服航電系統(tǒng)復(fù)雜性；APU_complexity表示復(fù)雜性；oapuc表示克服APU復(fù)雜性；power_complexity表示電源系統(tǒng)復(fù)雜性；opc表示克服電源系統(tǒng)復(fù)雜性；hydraulic_complexity表示氣源系統(tǒng)復(fù)雜性；ohc表示克服氣源系統(tǒng)復(fù)雜性；pneumatic system_complexity表示液壓系統(tǒng)復(fù)雜性；opsc表示克服液壓系統(tǒng)復(fù)雜性；fuel_complexity表示燃油系統(tǒng)復(fù)雜性；ofc表示克服燃油系統(tǒng)復(fù)雜性；oil_complexity表示滑油系統(tǒng)復(fù)雜性；ooc表示克服滑油系統(tǒng)復(fù)雜性；start up_complexity表示啟動系統(tǒng)復(fù)雜性；osuc表示克服啟動系統(tǒng)復(fù)雜性；fire prevention_complexity表示防火系統(tǒng)復(fù)雜性；ofpv表示克服防火系統(tǒng)復(fù)雜性；air conditioning_complexity表示空調(diào)系統(tǒng)復(fù)雜性；oacc表示克服空調(diào)系統(tǒng)復(fù)雜性；landing gear_complexity表示起落架復(fù)雜性；olgc表示克服起落架復(fù)雜性；noise_disturbance表示噪音干擾；ond表示克服噪音干擾；sharp_aroma 表示刺鼻氣味；osa表示克服刺鼻氣味；lighting_conditions表示照明條件；olc表示克服照明條件；climate_and_temperature表示氣候和溫度；ocat表示克服氣候和溫度；table_vibration表示工作臺振動；otv表示克服工作臺振動；dirty_working_environment表示臟亂工作環(huán)境；odwe表示克服臟亂工作環(huán)境

定檢模塊UPPAAL模型通過時鐘變量對各組件的工作狀態(tài)進行區(qū)分，t為模塊工作的最大時間限制，當(dāng)時鐘變量小于或等于t時，機務(wù)人員克服掉干擾因素，模塊處于正常工作狀態(tài)，當(dāng)時鐘變量大于t時，機務(wù)人員克服干擾因素失敗，模塊處于延時狀態(tài)。

綜上，建立了完整的RCP系統(tǒng)時間自動機網(wǎng)絡(luò)模型，其中：Human_Factors為人的因素，Machine_Factors為機的因素，Surrounding_Factors為環(huán)的因素。

RCP=Human_Factors||Machine_Factors||Surrounding_Factors

(5)

基于表7系統(tǒng)驗證語句對定檢進程進行形式化驗證，定檢進程形式化驗證結(jié)果的部分展示如下。

表7 系統(tǒng)驗證語句

A[](normalRCP.Colleague_Crosscheck and normalRCP.C4)imply(normalRCP.Idle)

驗證費時/kernel費時/總費時：0.031 s/0 s/0.047 s.

常駐內(nèi)存/虛擬內(nèi)存的使用峰值：8 956 KB/29 308 KB.

滿足該性質(zhì).

A[](normalRCP.Human_Factors and normalRCP.C1)imply(normalRCP.Machine_Factors)

驗證費時/kernel費時/總費時：0.047 s/0 s/0.047 s.

常駐內(nèi)存/虛擬內(nèi)存的使用峰值：8 984 KB/29 368 KB.

滿足該性質(zhì).

A<>(normalRCP.Idle or normalRCP.Human_Factors or normalRCP.Machine_Factors or normalRCP.Surrounding_Factors)

驗證費時/kernel費時/總費時：0 s/0 s/0 s.

常駐內(nèi)存/虛擬內(nèi)存的使用峰值：8 984 KB/29 368 KB.

滿足該性質(zhì).

5 結(jié)論

(1)在分析出的所有72種疲勞致因中，時間壓迫和噪音干擾的交互回路發(fā)生變異的可能性最大，即機務(wù)人員極易在時間壓力和噪聲干擾下產(chǎn)生疲勞。從宣傳與獎懲、培訓(xùn)、警示標志和質(zhì)量檢驗四方面制定出11條機務(wù)人員疲勞管理規(guī)范。

(2)利用形式化工具UPPAAL演繹出人-機-環(huán)因素對機務(wù)人員疲勞的誘導(dǎo)機制以及機務(wù)人員疲勞對定檢模塊的影響機制，演繹結(jié)果準確。