基于融合系統方法的飛機復雜系統安全性分析

李耀華, 溫迪

(1.中國民航大學交通科學與工程學院, 天津 300300; 2.中國民航大學航空工程學院, 天津 300300)

現代飛機的機載控制系統大都是由機械、液壓、電氣等子系統所組成的高度集成的系統。飛機系統的安全性對飛機的運行安全具有重要影響。然而隨著系統的復雜程度不斷提高,系統的故障不僅僅是任意單一子系統或部件的故障所導致的,很多情況下是由非故障部件之間的危險控制和不安全交互作用所導致的,這種故障對持續(xù)適航階段的飛機系統安全性分析方法的有效性提出了挑戰(zhàn)[1]。

傳統的系統安全性分析方法是基于線性的事故致因模型,大多局限于對具有靜態(tài)邏輯或者靜態(tài)故障模式的系統進行分析,認為事故是由于組件故障所引起的。而忽略了組件間的不安全交互行為所導致的危險,如故障樹分析方法(fault tree analysis,FTA)[2],概率安全評估方法(probabilistic safety assessment,PSA)[3]等。雖然這些方法被廣泛應用于各個領域,但是對復雜系統中非故障組件間的相互作用和人機交互導致故障很難能夠識別和分析[4]。系統理論與過程分析[5](system theoretic process analysis,STPA)是建立在控制理論和系統理論(system theoretic accident model and processes,STAMP)上的一種安全性分析方法。該方法將復雜系統的安全性分析問題視為控制問題。目前已經成功應用到武器工業(yè)[6]、水路運輸[7]、航空航天[8-9]等多個領域。

不同于以往的系統安全性分析方法,STPA可以準確地分析系統組件間的不安全非線性交互,對于復雜系統來說更適合。雖然STPA能有效識別傳統的安全性分析方法所忽略的系統潛在危險,降低了致因分析的工作量。但是應用于民機上仍然存在適用性障礙,主要表現在沒有考慮對結果的定量分析和概率計算,并且沒有準確給出關鍵致因因素。為解決上述問題。文獻[10]針對定檢階段的機務人員導致的人為因素原因,基于STPA建立規(guī)范化分析模型,進行維修疲勞致因分析。文獻[11]將STPA分析與Bayes網格結合,彌補了STPA分析在定量化分析方面的缺失。文獻[12]把FMEA引入到STPA分析過程中,構建了STPA-FT的分析方法,擴大了危險致因的范圍,而且可以評估風險。文獻[13]利用一階線性時態(tài)邏輯(LTL)將識別出的不安全控制行為規(guī)范化描述,建立不安全行為約束的形式化表達式。文獻[14]為克服STPA的局限性,將STPA方法與傳統人因失誤相結合,對航空事故中的人為因素展開有效分析。文獻[15]將網格分析法進入STPA分析中,改進了對危險控制動作的評估與分析。雖然現有研究都對STPA進行了不同程度的改進,但是缺少對系統危險的關鍵致因因素的分析。

為了使STPA更適用于復雜系統的分析,現將STPA和動態(tài)故障樹(dynamic fault tree,DFT)[16]相融合,構建一種面向復雜系統安全性分析的標準流程與框架,結合定量方法。改進STPA方法中對致因因素分析較為籠統和缺少關鍵危險致因的識別與定量分析框架。并以空客A320飛機的主起落架系統為例進行分析,來證明此方法的適用性和有效性。

1 STPA-DFT安全性分析模型

1.1 STPA/STAMP工作流程

STPA是一種事故因果擴展模型的為危險分析工具,是由Leveson[17]于2004年提出。將復雜系統視為自上而下的分層控制結構,將系統安全性問題轉化為控制問題。其基本的危險識別分析步驟按照圖1所示進行。

圖1 STPA流程Fig.1 STPA process

1.2 STPA-DFT安全性分析模型

雖然通過STPA的分析流程可以得出引發(fā)系統危險的危險控制行為,并識別出相關致因場景,但是仍然停留在定性階段,缺少對系統造成威脅的關鍵致因因素的識別和定量的分析框架,無法精確危險對系統的影響程度。動態(tài)故障樹(DFT)更加適用于動態(tài)隨機失效的系統故障問題[18-19],可以通過概率計算結果來描述危險致因對系統的影響程度。將DFT中底事件重要度概念[20]與STPA中致因因素相對應,以彌補缺少關鍵致因因素分析的缺點。然而DFT缺少對系統的危險致因的完整分析流程。所以融合了DFT的定量分析框架對STPA方法進行改進,結合兩者優(yōu)勢,提出一種結合定性和定量分析的關鍵致因因素分析框架,其具體的分析流程如圖2所示。

圖2 STPA-DFT分析流程Fig.2 STPA-DFT analysis process

STPA-DFT系統安全性分析的具體分析步驟如下。

步驟1系統安全性分析建模。首先針對具體的復雜系統使用場景定義分析目的,包括識別系統邊界、定義事故和系統級危險。然后,根據系統組件間的控制關系構建系統的安全分層控制結構模型。最后,基于所形成的分層控制結構模型和控制反饋回路來生成危險控制行為(unsafe control actions,UCA)。

步驟2STPA-DFT致因因素分析。將系統安全性分析所識別出的UCA進行定性分析,得到UCA的事故致因因素,生成導致UCA發(fā)生的動態(tài)故障樹模型。通過將DFT模型轉化為馬爾科夫鏈對致因因素進行定量分析,并通過概率計算得出導致UCA發(fā)生的關鍵致因因素。

2 系統安全性建模與分析

基于STPA的工作流程,通過對系統邊界的識別,定義事故及系統級危險和系統控制與反饋行為的識別對系統進行建模。捕捉系統模型中的功能性關系及相互作用形成危險控制行為。

2.1 系統級事故及危險的確定

系統級事故是發(fā)生在預期之外的危險事件[21],根據不同的系統,系統級事故可能包括人身傷害或死亡、經濟損失、設備損壞或損毀和任務失敗等。針對民機系統應用場景,可能發(fā)生的系統級事故及描述如表1所示。

表1 系統級事故及描述Table 1 The accident levels and description

系統級危險指的是一種系統狀態(tài)或者條件,并非識別某個單一組件所涉及的危險。在民機運行階段,根據系統的應用場景不同,面對的不安全環(huán)境條件不同,如人為的錯誤操作、惡劣的工作環(huán)境等,所引發(fā)的危險也不同。對特定系統的故障模式進行總結得出系統級危險。

2.2 建立系統STAMP模型

根據STAMP原理和所分析系統的功能組件和控制反饋過程,建立系統的分層控制結構模型。將系統的工作過程用控制反饋回路表示,為系統建模捕捉更詳細的功能細節(jié),完整地表示系統工作原理,作為進一步的系統安全性分析的基礎。

2.3 生成系統潛在UCA

根據系統分層控制模型和系統的工作過程對系統的整個安全控制回路進行分析,在系統安全控制框架內識別出危險控制行為(UCA)。

3 STPA-DFT致因因素分析

通過STPA-DFT的分析流程生成可能會導致危險控制行為發(fā)生的致因因素,進行基礎的STPA分析,并融合定量化評估方法DFT,優(yōu)化整個致因分析框架,以得到引發(fā)UCA發(fā)生的關鍵致因因素。

3.1 UCA定性分析

當識別出危險控制行為后,需要進一步分析其發(fā)生的原因。根據所建立的系統控制反饋回路和致因因素分析框架對UCA進行定性分析。所識別出的致因因素可分為四類:控制器、作動器、控制行為和反饋過程,如圖3所示,13種普遍致因因素如表2所示。依據事故致因理論對每個UCA進行詳細分析得到具體的致因因素。

圖3 STPA致因分析框架Fig.3 Cause analysis framework based on STPA

3.2 UCA定量分析

動態(tài)故障樹來進行安全性分析是通過在靜態(tài)子樹中引入動態(tài)邏輯門,能根據系統的故障模式,通過描述動態(tài)系統失效特征來定量分析評估復雜系統的動態(tài)故障事件,近年來DFT在多個領域成功應用。

將DFT融入STPA以完善致因因素的定量分析框架,將定性分析所識別出的致因因素所涉及組件的失效模式轉化為底事件,并與系統的分層控制結構模型一同轉化為動態(tài)故障樹模型。通過將各組件的失效率賦值給各底事件,并將動態(tài)故障樹向馬爾科夫鏈進行轉化,便可計算UCA的發(fā)生概率,完成UCA的定量分析。最后引入動態(tài)故障樹中的底事件重要度的概念,底事件重要度表示某個底事件的概率變化之后,對頂事件的概率變化的影響程度。可找出系統中對系統影響最大部分。與STPA中的關鍵致因因素相對應可以得到引發(fā)系統故障的關鍵致因,STPA與DFT的重點概念對應關系如圖4所示。

圖4 STPA與DFT重點概念對應關系Fig.4 Correspondence between key concepts of STPA and DFT

DFT作為一種對復雜系統動態(tài)可靠性和安全性的分析方法,在描述和概率計算復雜系統部件的某些行為和相互作用的方面具有優(yōu)勢。STPA是一種結合系統理論和控制理論的定性研究方法,STPA的定性分析結果和STAMP模型可以輸入DFT概率計算模型,DFT可以完整準確地定量評估STPA的定性分析結果,找到影響系統安全的關鍵致因,更為簡單和直觀,兩者可以更為緊密地融合。

4 系統模型的實例驗證

基于起落架系統對高安全性的需求[22],選取空客A320飛機主起落架系統來進行實例分析。飛機起落架是飛機作為唯一一種支撐飛機的重要部件,承擔著飛機安全起降,地面移動與支撐的任務,其系統的工作狀態(tài)和性能直接影響到飛機飛行安全。因此需要保證起落架安全水平滿足持續(xù)適航的要求。

起落架系統主要由前起落架系統和主起落架系統組成。主要以前起落架的收放過程進行研究,其系統組成主要有駕駛員、起落架控制手柄、應急控制手柄、液壓系統、機械系統、信號顯示面板、機械組件、傳感器等組件組成[23]。

4.1 起落架系統建模

根據起落架系統在飛機起降階段的工作原理和失效模式,可得到起落架系統收放過程中的系統級危險,具體內容如表3所示。

表3 致因分析Table 3 Cause analysis

起落架收放控制系統主要是由液壓作為動力源,通過電氣系統控制機械結構來控制起落架的伸出與收回,并通過各部分傳感器來對起落架的實時狀態(tài)進行監(jiān)控和反饋。

在起落架伸出過程中,飛行員通過起落架控制手柄對起落架進行控制,控制指令傳到起落架電磁閥,此時電磁閥將液壓管路與起落架放下管路接通,高壓液壓油進入,沿著液壓管路依次流過起落架伸出作動筒和上下位鎖以完成起落架伸出動作。在起落架收起過程中,液壓管路回油以完成起落架的收回動作。當起落架的收放控制系統出現故障時,起落架無法正常工作,駕駛員可以通過應急控制程序,帶動連桿機構在重力的作用下實現起落架的應急放下[24]。起落架系統的分層控制結構如圖5所示。

圖5 起落架系統分層安全控制結構Fig.5 Layered safety control structure of landing gear system

4.2 UCA識別

為保證起落架收放過程的安全性,需結合系統分層控制結構對整個系統控制回路進行安全性分析,在系統的安全控制框架內識別系統的UCA。依據系統的控制回路和反饋回路,共識別出8個控制行為和7個反饋,以僅識別起落架在伸出時系統的危險控制行為作為例子進行說明。在系統工作時,收放控制手柄、應急控制手柄和電磁閥作為控制器,起落架裝置為被控對象,控制過程由液壓系統和機械結構執(zhí)行,并將系統狀態(tài)通過傳感器反饋給駕駛員。基于STPA分析流程將起落架伸出過程的系統潛在UCA分為四類,具體如表4所示。

4.3 UCA定性分析

當確定系統的危險控制行為后,需要進一步分析其發(fā)生的原因,根據事故致因理論所建立的系統控制反饋回路和致因因素分析框架對所識別出的UCA進行定性致因因素分析,從控制方面和反饋方面來對UCA-3進行詳細的致因因素分析,結果如表5所示。

4.4 UCA定量致因分析

根據致因因素分析,將定性致因分析結果和系統分層控制結構模型相融合,并建立系統的動態(tài)故障樹模型。DFT對復雜系統定義了可以描述復雜系統動態(tài)特征的邏輯門結構,根據需求,采用了可以描述系統工作順序的順序相關門[25](sequence-enforcing,SEQ)。

順序相關門要求輸入事件從左至右的發(fā)生,頂事件才會發(fā)生,此發(fā)生順序的邏輯是強制的。SEQ門與飛機起落架系統的收放過程的控制邏輯高度適配。以UCA-3為例,駕駛員放下起落架但執(zhí)行機構沒有響應,應急系統失效為頂事件,使用順序相關門為頂事件的動態(tài)邏輯門建立DFT模型,具體如圖6所示。

UCA-3的動態(tài)概率樹模型中的初始事件和關鍵事件的動態(tài)故障樹所對應的各個動/靜態(tài)邏輯門的描述如表6所示。

表6 DFT中各個邏輯門的狀態(tài)描述Table 6 Status description of each logic gate in DFT

為確定起落架系統DFT模型的各基本事件的發(fā)生概率,通過不同的渠道收集底事件發(fā)生的數據和信息。

(1)專家經驗判斷和故障案例庫。

(2)可靠性標準及手冊的失效率數據。

(3)飛機零部件供應商、制造商、運營商所提供的數據。

(4)定性概率估計。

所得到的基本事件的失效率/發(fā)生概率和分布類型及參數如表7所示。

表7 基本事件的失效率/發(fā)生概率Table 7 Failure rate/probability of occurrence of basic events

將所建成的DFT模型進行遍歷搜索,對其進行模塊化分析,分離出其所有的獨立子樹。依據其不同的特點,和在故障樹中的結構。將分解得出的所有獨立子樹,分為動態(tài)子樹和靜態(tài)子樹。可得到18個靜態(tài)子樹和1個動態(tài)子樹。

4.4.1 靜態(tài)子樹的定量分析

基于最小割集求解靜態(tài)子樹,當最小割集不相交時,其靜態(tài)子樹的結構函數為

(1)

式(1)中:Kn(t)為在t時刻,第n個最小割集發(fā)生的概率;Fj(t)為在t時刻,第n個最小割集中第j個組件的故障概率。

(2)

頂事件的發(fā)生概率為

(3)

對所有的靜態(tài)子樹采取下行法以尋找故障樹的最小割集,可得到30個最小割集。進行最小割集求解可得出各靜態(tài)子樹的發(fā)生概率。

4.4.2 動態(tài)子樹的定量分析

識別出的動態(tài)子樹的動態(tài)邏輯門為SEQ門,頂事件為G1。對于復雜系統通常將動態(tài)故障門轉化為馬爾可夫模型進行求解。建立的故障樹模型轉化成的馬爾科夫鏈如圖7所示。

FA表示系統失效狀態(tài);NF表示系統非失效狀態(tài);1表示底事件失效;0表示底事件正常圖7 轉化后的馬爾可夫鏈Fig.7 Transformed Markov chain

將DFT轉化為馬爾可夫狀態(tài)轉移圖后,根據馬爾可夫狀態(tài)轉移公式取t=100 h代入順序相關門計算公式中[26],可得

=1.008 7×10-8

(4)

可得到系統工作時間為100 h時,以UCA-3為例,駕駛員放下起落架,但執(zhí)行機構未響應,應急系統失效的發(fā)生概率PG1=1.008 7×10-8h-1,小于1×10-7h-1符合定量概率要求。

4.4.3 底事件重要度

采取計算底事件重要度的理論來分析各致因因素對系統的影響程度,以求得關鍵致因。令底事件概率分別為0和1,代入式(3)中,分別求出兩個失效率,兩數相減便可求出該底事件的概率重要度[27]。采用MATLAB進行編程代數計算結果如表8所示,對表8中數據進行排序即可準確得出對頂事件影響最大的事件為E1(起落架選擇門失效)和E17、E18(起落架撐桿失效),即為起落架系統故障的關鍵致因因素,需要在后續(xù)維修中重點關注。

表8 底事件概率重要度Table 8 Probability importance of bottom event

5 結論

面向持續(xù)適航階段的飛機系統的安全性分析,提出了一種融合系統理論方法,通過對該方法的研究可得到以下結論。

(1)從系統理論角度建立了飛機系統的分層控制結構模型,采取STPA-DFT方法對飛機系統進行安全性分析,綜合考慮所建立的STAMP模型中各組件的交互行為,識別出系統潛在的危險控制行為,并對危險控制行為定性分析,得到導致危險發(fā)生的致因因素。

(2)通過融合動態(tài)故障樹,提出了STPA-DFT的安全性分析方法,完善了STPA中的定量致因分析框架,計算可得到關鍵致因因素,定量地分析了致因因素對系統的影響程度。改進了STPA的致因因素分析流程,為飛機復雜系統的安全性分析提供了重要參考。