91精品人妻互换日韩精品久久影视|又粗又大的网站激情文学制服91|亚州A∨无码片中文字慕鲁丝片区|jizz中国无码91麻豆精品福利|午夜成人AA婷婷五月天精品|素人AV在线国产高清不卡片|尤物精品视频影院91日韩|亚洲精品18国产精品闷骚

劉杰，甘旭升，曲虹，戴喆

（1．西京學(xué)院，陜西西安710123；

2．空軍工程大學(xué)空管領(lǐng)航學(xué)院，陜西西安710051）

摘要：傳統(tǒng)危險(xiǎn)性分析方法將事故視為開始事件誘發(fā)的一連串事件所造成的不幸后果，適于處理相對簡單或由物理組件構(gòu)成的系統(tǒng)，但無法勝任較為復(fù)雜的社會技術(shù)系統(tǒng)，有必要研究和探索推廣性更好、更為有效的系統(tǒng)安全分析手段。系統(tǒng)理論事故模型與過程( STAMP)將安全視為系統(tǒng)組件間交互的一種涌現(xiàn)特性，并認(rèn)為事故起因除了組件失效，組件間交互失常而違背安全約束也是重要誘因。主張?jiān)谙到y(tǒng)開發(fā)、設(shè)計(jì)和運(yùn)行中通過加強(qiáng)控制和強(qiáng)化有關(guān)安全約束來預(yù)防事故。基于此，先引入了STAMP的基本概念，并介紹了其分析步驟，然后，以貼近真實(shí)的導(dǎo)彈攔截系統(tǒng)危險(xiǎn)性分析案例，闡述了基于STAMP的分析過程。該分析方法可為開發(fā)較高安全性水平的社會技術(shù)系統(tǒng)提供技術(shù)支持。

關(guān)鍵詞：危險(xiǎn)性分析方法；涌現(xiàn)；系統(tǒng)理論；過程模型；控制行為

0  引言

 傳統(tǒng)危險(xiǎn)性分析方法將危險(xiǎn)視為一系列事件作用的結(jié)果，所考慮事件通常涉及若干類型的組件失效或人的失誤。主要采用前向序列法（如故障模式與影響分析）或后向序列法（如故障樹）直接描述失效與影響因素間的線性關(guān)系。此類方法適合于分析物理組件失效造成的損失或較為簡單的系統(tǒng)。然而，一個(gè)不爭的事實(shí)是，隨著科技的進(jìn)步，現(xiàn)代系統(tǒng)變得越來越復(fù)雜。這意味著人員、技術(shù)或組織等方面的更多因素會融人一個(gè)系統(tǒng)內(nèi)共同運(yùn)行。系統(tǒng)呈現(xiàn)了繁冗復(fù)雜的非線性特性，此時(shí)失效與影響因素間的解析關(guān)系不明顯，傳統(tǒng)方法顯然無法處理這種情況，亟待探索更為有效的危險(xiǎn)性分析方法。

 系統(tǒng)理論事故模型與過程( Systems - Theoretic Accident Model and Process,STAMP)是Leveson提出的一種新型危險(xiǎn)性分析方法，已廣泛應(yīng)用于航空、核電、能源開采和衛(wèi)生保健等領(lǐng)域。STAMP不同于傳統(tǒng)分析方法，它在分析系統(tǒng)失效及其因果關(guān)系時(shí)，將系統(tǒng)視為一個(gè)整體，并把安全作為一個(gè)控制問題來處理。STAMP認(rèn)為，安全是某一環(huán)境下系統(tǒng)組件間交互而呈現(xiàn)出的一種涌現(xiàn)特性，該涌現(xiàn)特性受系統(tǒng)組件行為有關(guān)約束的控制。不難理解，事故誘因中除了組件失效或人的失誤之外，還應(yīng)涵蓋組件間的非功能交互作用。而這種系統(tǒng)內(nèi)組件間的非功能交互誘發(fā)的事故又稱為系統(tǒng)事故，系統(tǒng)事故就是因缺少適當(dāng)控制以約束組件間的交互而造成的。相應(yīng)地，STAMP安全思想是，預(yù)防事故需要辨識和消除（或減輕）組件間的不安全交互，即在系統(tǒng)開發(fā)、設(shè)計(jì)和運(yùn)行中加強(qiáng)控制和強(qiáng)化有關(guān)安全約束。

 從掌握的文獻(xiàn)來看，目前國內(nèi)有關(guān)STAMP及其應(yīng)用的研究尚不多見，本文可使我們更系統(tǒng)地了解和掌握相關(guān)知識。

1  基于STAMP的過程分析(STPA)

 STAMP是一種系統(tǒng)安全分析方法，它繼承了控制理論思想，將安全視為一個(gè)控制問題，并認(rèn)為系統(tǒng)是動態(tài)的，而非靜態(tài)的。STAMP采用了系統(tǒng)理論的約束與涌現(xiàn)、通信與控制以及過程模型等基本概念。

1.1  約束與涌現(xiàn)

 STAMP的最基本概念是約束，而不是事件。在系統(tǒng)理論中，系統(tǒng)被視為一個(gè)層次控制結(jié)構(gòu)，且各層級施加約束給下一層級。較高層級的約束控制著較低層級的行為。安全約束特指系統(tǒng)變量間的某些關(guān)系，這些關(guān)系有助于防止系統(tǒng)進(jìn)入危險(xiǎn)狀態(tài)。涌現(xiàn)通常是指多個(gè)組件構(gòu)成系統(tǒng)后，出現(xiàn)了系統(tǒng)構(gòu)成前單個(gè)組件所不具有的性質(zhì)，這個(gè)性質(zhì)并不存在于任何單個(gè)組件當(dāng)中，而是系統(tǒng)在低層次構(gòu)成高層次時(shí)才表現(xiàn)出來。在STAMP中，安全可視為系統(tǒng)組件間交互而在各層級產(chǎn)生的一種涌現(xiàn)特性，它取決于系統(tǒng)內(nèi)的組件行為上約束的強(qiáng)化。同時(shí)，也說明拋開背景信息討論安全是無意義的。

1.2交流與控制

在控制過程中，保持順暢有效的交流通道非常重要，它決定了能否建立有效的控制過程或達(dá)成預(yù)期目標(biāo)。STAMP控制結(jié)構(gòu)的層級間有兩種交流通道：一種為向下的參考通道，為強(qiáng)化下一層級的安全約束提供必要的信息；另一種為向上的測量通道，提供有關(guān)如何有效滿足約束的反饋信息，它是提供自適應(yīng)控制的關(guān)鍵，如圖1所示。典型的控制過程常通過反饋回路使關(guān)聯(lián)組件保持在一個(gè)動態(tài)平衡狀態(tài)，如圖2所示。圖中的自動控制器受人工控制器監(jiān)督。虛線說明人工監(jiān)督員可直接使用系統(tǒng)狀態(tài)信息（非計(jì)算機(jī)提供），并且可不通過計(jì)算機(jī)指令去執(zhí)行受控過程。

1.3過程模型

 過程模型為控制理論的概念，也同樣是STAMP中的一個(gè)基本概念�？刂埔粋�(gè)過程通常需要目標(biāo)、行為、模型和可觀測性等4個(gè)條件，而以模型條件最為重要。無論是人工控制器，還是自動控制器，都需要構(gòu)建一個(gè)受控過程的模型，以期更有效地控制它。過程模型的作用：根據(jù)對受控過程當(dāng)前狀態(tài)的了解，確定需要何種控制行為，并對不同控制行為對當(dāng)前狀態(tài)的影響進(jìn)行估計(jì)。

 STPA是一種基于STAMP的危險(xiǎn)性分析技術(shù)。它在分析系統(tǒng)時(shí)，使用了一系列交互作用的控制回路集合，可用于系統(tǒng)周期的任何階段。以下為STPA的具體實(shí)現(xiàn)過程。

1.3.1  定義系統(tǒng)危險(xiǎn)和相關(guān)的安全約束

 危險(xiǎn)通常根據(jù)具體條件或事件來定義，如設(shè)備損毀或任務(wù)失敗。目前尚無具體定義標(biāo)準(zhǔn)，主要依賴領(lǐng)域?qū)＜业闹饔^評價(jià)。定義系統(tǒng)危險(xiǎn)后，即可通過對危險(xiǎn)的理解，指定相關(guān)安全約束預(yù)防危險(xiǎn)。對于自動電梯門例子，危險(xiǎn)為：電梯關(guān)門時(shí)，有人出現(xiàn)在門口；安全約束為：門口出現(xiàn)任何人時(shí)，電梯門都不能關(guān)閉。

1.3.2開發(fā)安全控制結(jié)構(gòu)

定義了危險(xiǎn)與安全約束，隨后，應(yīng)著手建立包含安全控制過程的典型社會技術(shù)層次結(jié)構(gòu)，即層次安全控制結(jié)構(gòu)。廣義的安全控制結(jié)構(gòu)如圖3所示，其不代表任何特定系統(tǒng)。從圖中可發(fā)現(xiàn)，其結(jié)構(gòu)包括兩個(gè)基本部分：系統(tǒng)開發(fā)和系統(tǒng)運(yùn)行。而每部分又由若干層級、層級間交互、反饋控制回路以及通信信道構(gòu)成。每個(gè)節(jié)點(diǎn)代表社會技術(shù)系統(tǒng)的一個(gè)人或機(jī)器組件；向下的連線代表施加的控制行為，用以強(qiáng)化對系統(tǒng)的安全約束；而向上的連線代表提供給控制器的信息反饋，以便更有效地滿足約束。層次安全控制結(jié)構(gòu)非常復(fù)雜，對不同危險(xiǎn)進(jìn)行分析時(shí)，通常僅將總體結(jié)構(gòu)的一部分作為研究對象，其它都可視為環(huán)境因素。

1.3.3辨識潛在的不適當(dāng)控制行為

 定義了系統(tǒng)級的安全控制結(jié)構(gòu)后，需要辨識可使系統(tǒng)處于危險(xiǎn)狀態(tài)的潛在不適當(dāng)控制行為。而危險(xiǎn)狀態(tài)是指違反已定義的安全約束所處的系統(tǒng)狀態(tài)。根據(jù)控制行為可能引起的危險(xiǎn)，給出了4種不適當(dāng)控制的辨識方式：①無法提供或執(zhí)行確保安全所需的控制行為；②提供了誘發(fā)危險(xiǎn)的不安全控制行為；③提供了過早、過遲或無序的潛在安全控制行為；④終止過快的安全控制行為。不正確或不安全的控制行為可能會引起行為失�；蚪M件間的交互失調(diào)。為確保評估的完整性，必須依次對每個(gè)控制行為進(jìn)行深入研究。

1.3.4確定潛在的不適當(dāng)控制行為如何發(fā)生

該步驟可找出違反安全約束導(dǎo)致不適當(dāng)控制行為的場景。找出了潛在原因，就可以設(shè)計(jì)一些方法，用以防止或削弱所識別的場景。STAMP按功能控制圖工作，并通過一系列控制回路的缺陷來牽引�？刂迫毕菔侵缚刂七^程中出現(xiàn)的任何不完整特性或缺點(diǎn)。由于事故是因不適當(dāng)控制和安全約束造成的，事故原因可按控制缺陷來理解。可能導(dǎo)致危險(xiǎn)的4類控制缺陷見圖4和參見文獻(xiàn)[3]。

2案例分析

 為直觀地闡述STPA分析過程，引用了一個(gè)類似于美國彈道導(dǎo)彈防御系統(tǒng)( BMDS)的虛擬導(dǎo)彈攔截系統(tǒng)( FMIS)的危險(xiǎn)性分析案例。因篇幅有限，無法企及所有危險(xiǎn)，僅選取個(gè)別典型危險(xiǎn)作了剖析。

2.1  定義FMIS系統(tǒng)的危險(xiǎn)及有關(guān)約束

 實(shí)踐和統(tǒng)計(jì)表明，意外發(fā)射攔截導(dǎo)彈是FMIS系統(tǒng)的一個(gè)重要危險(xiǎn)，那么，在最高級別的系統(tǒng)規(guī)范中能追溯到兩個(gè)要求（約束）：其一，F(xiàn)MIS系統(tǒng)不應(yīng)存在災(zāi)難性危險(xiǎn)發(fā)生的可能性；其二，F(xiàn)MIS系統(tǒng)不應(yīng)存在意外發(fā)射的可能性。且后者包含于前者之中。

2.2建立FMIS系統(tǒng)的安全控制結(jié)構(gòu)

圖5給出了FMIS系統(tǒng)的安全控制結(jié)構(gòu)。圖中包括不同的系統(tǒng)組件、各組件施加給其它組件的控制行為以及提供給控制器的反饋。例如，對于飛行計(jì)算機(jī)來說，一方面它為導(dǎo)彈硬件施加了保險(xiǎn)和解除保險(xiǎn)等控制行為，這些行為影響著硬件的狀態(tài)，需要對定義的安全約束進(jìn)行強(qiáng)化以確保系統(tǒng)的安全；另一方面，BIT（機(jī)內(nèi)測試）結(jié)果和硬件Safe &Arm（保險(xiǎn)與解除保險(xiǎn)）狀態(tài)的信息反饋給飛行計(jì)算機(jī)，以便更好地滿足安全約束。此外，通過軟件變更運(yùn)行模式（測試、訓(xùn)練和現(xiàn)場操作）和引導(dǎo)系統(tǒng)攻擊目標(biāo)，操作人員可對點(diǎn)火控制軟件的行為進(jìn)行控制。

2.3  找出潛在的不適當(dāng)控制行為

 分析FMIS系統(tǒng)的安全控制結(jié)構(gòu)，可找出諸多不適當(dāng)?shù)目刂菩袨�。這些不適當(dāng)?shù)目刂菩袨�，可能出現(xiàn)在實(shí)際系統(tǒng)中，也可能不出現(xiàn)。這些預(yù)先假設(shè)的不適當(dāng)控制行為，在設(shè)計(jì)和制造時(shí)，應(yīng)根據(jù)對系統(tǒng)行為的研究，逐一予以確認(rèn)或排除。以下為攔截任務(wù)從火控軟件到發(fā)射陣位的部分不適當(dāng)控制行為。

2.3.1  缺失的“點(diǎn)火生效”指令

 “點(diǎn)火生效”控制行為指揮發(fā)射陣位對攔截導(dǎo)彈進(jìn)行現(xiàn)場點(diǎn)火。當(dāng)在此之前，發(fā)送的是“攔截任務(wù)”和“任務(wù)取消”時(shí)，發(fā)射陣位將返回一個(gè)錯(cuò)誤。如果忽略此控制，導(dǎo)彈將不會發(fā)射。盡管涉及到潛在的任務(wù)保證，但它不是潛在的不適當(dāng)控制行為，不會造成意外發(fā)射的危險(xiǎn)。

2.3.2不正確的“點(diǎn)火生效”指令

 如果發(fā)送到發(fā)射陣位的“點(diǎn)火生效”指令不正確，發(fā)射陣位將轉(zhuǎn)換到一個(gè)接受攔截任務(wù)并按發(fā)射程序推進(jìn)的狀態(tài)。該行為與其它不正確或不合適宜的控制行為相組合，可能導(dǎo)致意外發(fā)射。

2.3.3過早、過遲或失序的“點(diǎn)火生效”指令

 較遲的“點(diǎn)火生效”指令僅會延遲發(fā)射陣位對發(fā)射程序的處理能力，而不會造成意外發(fā)射；“點(diǎn)火生效”指令發(fā)送過早，可能會給意外發(fā)射提供機(jī)會，其危險(xiǎn)取決于不適當(dāng)控制的可能性和提前執(zhí)行控制行為的程度；最壞的情況是“點(diǎn)火生效”指令與“點(diǎn)火失效”指令失序，可能的話，所設(shè)計(jì)和建造的系統(tǒng)是有能力處理攔截和發(fā)射任務(wù)的。

2. 3.4過快終止的“點(diǎn)火生效”指令

 “點(diǎn)火生效”指令不是一個(gè)連續(xù)控制信號，而是一個(gè)單純的允許攔截命令，在這里討論“點(diǎn)火生效”并無實(shí)際意義。

2. 3.5  確定潛在的不適當(dāng)控制行為是如何出現(xiàn)的

 為簡化問題，更好說明應(yīng)用過程，文中選擇了相對簡單的“不正確的點(diǎn)火生效指令”作為分析對象。

 火控計(jì)算機(jī)在收到“武器射擊”指令且火控系統(tǒng)至少一個(gè)主動跟蹤時(shí)，將“點(diǎn)火生效”指令發(fā)送到發(fā)射陣位。根據(jù)要求和規(guī)范，“武器射擊”指令處理相對簡單，但在判斷主動跟蹤還是被動跟蹤上有困難。軟件支持的被動跟蹤標(biāo)準(zhǔn)：①一段時(shí)間無雷達(dá)信號輸入后；②預(yù)測總彈著時(shí)間后；③確認(rèn)截獲后。但是，這樣會少考慮一種情況：若操作人員對上述3項(xiàng)都不選定，跟蹤將不會標(biāo)記為被動。在此前提下，縱使當(dāng)前跟蹤目標(biāo)沒威脅，一次意外“武器射擊”指令輸入，也會將“點(diǎn)火生效”指令立刻發(fā)送至發(fā)射陣位。

 攔截導(dǎo)彈模擬器用于模擬導(dǎo)彈的飛行計(jì)算機(jī)，F(xiàn)MIS系統(tǒng)通過該模擬器周期性地測試系統(tǒng)的可操作性。危險(xiǎn)性分析的目的是確定測試指令發(fā)送到操作系統(tǒng)的可能性。而發(fā)射陣位提供的系統(tǒng)狀態(tài)信息包括：發(fā)射陣位是與模擬器相連接，還是與現(xiàn)有攔截導(dǎo)彈相連接。若火控計(jì)算機(jī)檢測到狀態(tài)變化，它會對操作人員做出提示，并重置為相匹配狀態(tài)。然而，在發(fā)射陣位給火控組件發(fā)送狀態(tài)變更信息前，火控軟件將測試“點(diǎn)火生效”指令發(fā)送到發(fā)射陣位的時(shí)間窗口極小，從而為意外發(fā)射提供了機(jī)會。

 從以上過程可知，基于STAMP的危險(xiǎn)性分析，并非如傳統(tǒng)分析方法那樣通過提高組件可靠性來改善系統(tǒng)安全性，認(rèn)為事故發(fā)生足一個(gè)復(fù)雜過程，涉及到整個(gè)社會技術(shù)系統(tǒng)，傳統(tǒng)方法無法充分描述這個(gè)過程，而使用系統(tǒng)理論能夠更好地分析和評估安全及危險(xiǎn)，即從整體上分析哪些系統(tǒng)行為造成了事故，而不只是歸咎于某個(gè)人或事。

3結(jié)論

  1) STAMP將安全視為控制問題，把事故視為違背系統(tǒng)安全約束的結(jié)果。這種觀點(diǎn)尤其適合于航空、航天、航海、核電和化工等復(fù)雜社會技術(shù)系統(tǒng)，為系統(tǒng)的危險(xiǎn)性分析提供了一種新的方法和思路。

  2)STAMP強(qiáng)調(diào)事故的發(fā)生存在由低風(fēng)險(xiǎn)向高風(fēng)險(xiǎn)轉(zhuǎn)變的過程，且這一轉(zhuǎn)變過程是可控的，因此，摒棄以往傳統(tǒng)的事后補(bǔ)救思想，通過事前對風(fēng)險(xiǎn)轉(zhuǎn)變過程的科學(xué)分析，是完全可以做到防患于未然的。

  3)案例分析表明：對于類似于F'MIS系統(tǒng)的社會技術(shù)系統(tǒng)，可以按照定義危險(xiǎn)約束確定控制結(jié)構(gòu)一識別不當(dāng)行為一找出行為起因的過程（即STPA分析）進(jìn)行危險(xiǎn)性分析，得出的危險(xiǎn)分析結(jié)果，對于制訂有效可行的防控措施，具有重要的實(shí)用價(jià)值。

  4) STAMP危險(xiǎn)性分析是一種有序的、有組織的危險(xiǎn)分析方法，同時(shí)兼具結(jié)構(gòu)嚴(yán)謹(jǐn)、簡便直觀、操作性強(qiáng)等優(yōu)點(diǎn)。然而，作為新發(fā)展起來的新方法，尚存在如安全控制結(jié)構(gòu)的確定等難題亟待解決，也是下一步深入研究的方向。