《基于STAMP的航空安全理論與實踐》課件-第2章

第二章基于STPA方法的典型航空事故分析2.1民航航班客艙失壓事故分析2.2民航航班發(fā)動機失控事故分析2.3典型軍機墜機事故分析2.4某無人機被誘捕案例致因分析本章小結

2.1民航航班客艙失壓事故分析2.1.1事故簡述1990年的一天,某民航航班由A機場飛往B機場。在飛行大約13分鐘后,飛機駕駛艙的一部分擋風玻璃脫落,巨大的壓力差導致機長大部分身體被吸出機外,一名空乘人員拼命地抱住已失去知覺、被嚴重凍傷的機長,更糟糕的是,機長面臨著極度缺氧的危險。在這種情況下,副機長被迫在另一機場實施緊急迫降。最終,憑借著副機長的努力,飛機成功著陸,未造成人員死亡,包括機長在內(nèi)的所有機組人員都從傷病中恢復過來,機長更是在事故發(fā)生后的短短幾個月就重返工作崗位。

2.1.2基于STPA方法的安全性分析

1.構建STAMP分層控制結構

所有高空飛行都在機艙加壓的環(huán)境下進行,以確保機組人員和乘客有足夠的可呼吸的氧氣。如果機艙內(nèi)的增壓系統(tǒng)發(fā)生故障,無論是由于增壓系統(tǒng)本身的故障,還是由于飛機內(nèi)部的結構故障(例如窗戶的丟失),飛機都將面臨減壓情況。減壓的速度受到許多因素的影響,包括受壓空間與外部環(huán)境之間的壓差,以及對增壓系統(tǒng)或飛機結構的破壞程度等。雖然快速減壓是一種嚴重且可能危及生命的危險,但一般不會立即對乘客和機組人員造成致命傷害。

在快速減壓過程中,飛機駕駛艙可能會出現(xiàn)混亂程度很高的情況,經(jīng)常充滿蒸汽、噪音和碎屑等。機組人員在應對快速減壓場景時,其操作技能的正確與否往往意味著一個飛

行事件和一個飛行事故之間的區(qū)別,嚴重操作差錯甚至會導致飛機的損壞進而威脅機組人員的生命。同時,為了支持機組人員處理這一罕見但危險的事件,并突出已確定的相互作

用可能導致不安全行為的潛在領域,需建立由許多機構組成的控制結構,如圖2.1所示。

圖2.1某航班事故分層安全控制結構

2.識別危險

在STAMP分析中,危險被定義為一個系統(tǒng)狀態(tài)或一系列條件,在特定的最不利環(huán)境條件下,危險會導致事故或損失。根據(jù)STAMP框架,危險是可以控制的,但也可能導致潛在的事故。在本案例中,潛在事故定義為機組人員對飛機快速減壓事件的反應。

1)識別系統(tǒng)級危險

在進行基于STAMP的致因分析時,首先要確定該研究涉及的具體系統(tǒng),然后通過相應的分析判斷來識別系統(tǒng)中存在的主要危險,這些危險造成的后果包括人員受傷或者死亡、設備結構受損、環(huán)境受到污染等。

該航班事故涉及的系統(tǒng)主要為客機實體系統(tǒng)和乘員安全系統(tǒng)。由于這兩個系統(tǒng)由不同且獨立的管理者控制,因此可將它們看作兩個相互影響但獨立的系統(tǒng)。客機實體系統(tǒng)由歐

洲航空安全局控制飛機證書頒發(fā)以及審定過程;乘員安全系統(tǒng)由航空公司負責乘員(指乘客和機組人員)的人身安全。客機實體系統(tǒng)和乘員安全系統(tǒng)組合起來造成的事故(或者說損

失事件)可以定義為飛機受損導致的快速減壓事件使乘客死亡或受到傷害。

2)確定系統(tǒng)級安全約束

辨識系統(tǒng)和其結構的危險后,下一步的主要目標是詳細說明防止危險發(fā)生所必需的系統(tǒng)級安全需求和設計約束(即安全約束)。該事故的安全約束包括客機實體系統(tǒng)的安全約束和乘員安全系統(tǒng)的安全約束。

客機實體系統(tǒng)的安全約束如下:

(1)飛機擋風玻璃的結構強度達到要求。

(2)如果發(fā)生不可避免的快速減壓的情況,需保證飛行員氧氣供應設備正常。

(3)飛行員能夠操縱飛機下降到安全高度,減少減壓事件帶來的影響。

乘員安全系統(tǒng)的安全約束如下:

(1)不能讓乘員長時間暴露于失壓條件下。

(2)一旦發(fā)生快速減壓事件,必須采取措施以快速恢復到正常壓力條件。

(3)必須采取可用的、有效的措施,保證飛行員能夠在減壓事件中正常操作。

3)實施安全約束的安全控制結構

下面主要對已構建的分層安全控制結構中的相關層級進行分析,以了解其安全約束。

(1)監(jiān)管機構層級。

安全約束:監(jiān)管機構嚴格按照規(guī)章制度向具備資質的航空公司頒發(fā)AOC。

(2)航空公司層級。

安全約束:航空公司具備足夠的資質,擁有科學的管理水平。

(3)飛機層級。

安全約束:飛機能夠正常進行信息反饋,且保證反饋的信息準確。

(4)機組人員層級。

安全約束:機組人員具備能夠應對各種突發(fā)情況的能力水平。

(5)空中交通管制/空中交通管理層級。

安全約束:能夠及時對機組人員提供幫助,并引導和指揮其他飛機避讓。

(6)機身制造商層級。

安全約束:制造商設計制造的飛機功能完整。

(7)其他飛機層級。

安全約束:能夠及時收到ATC/ATM管制中心提供的信息,并及時采取正確的應對措施。

3.識別不安全控制行為

機組人員與飛機之間的四項控制行為包括:

(1)確保機艙內(nèi)有足夠的壓力。

(2)確保機組人員有充足的氧氣。

(3)確保飛機下降至10000英尺。

(4)完成QRH(快速參考手冊)程序。

任何一種控制行為在快速減壓過程中出現(xiàn)差錯,都可能最終導致缺氧,造成潛在的致命后果。使用這四個控制行為共有可能生成21個不安全控制行為,如表2.1所示。

隨后將生成的不安全控制行為映射到控制回路中,如圖2.2所示。

圖2.2的左下角顯示了延遲操作,如延遲關閉壓力閥、啟動下降時機太晚、QRH檢查太慢等。

圖2.2機組人員和飛機之間的控制回路

需要強調(diào)的是,圖2.1中所示的分層安全控制結構是基于STAMP方法中給出的假設而構建的,不同的假設可能產(chǎn)生不同的控制結構?？刂平Y構中的每一個不安全控制行為都可能造成嚴重后果,因此應該對每一個潛在的不安全控制行為實施安全約束。這對于由錯誤的心理模型假設或缺乏明顯的緊急警告而導致機組人員不能正確處理故障的事故可能特別有用。

4.致因因素分析及安全約束生成

通過對與事故有關的不安全控制行為進行識別,再根據(jù)相關不安全場景就可以得到事故發(fā)生的根本原因。若控制回路中的安全約束未被有效實施,則會發(fā)生相對應的不安全控制行為。針對此次事故,繼續(xù)進行各層次結構的控制回路分析,得到的事故原因主要有以下幾個方面:

1)機械原因

該型號飛機的擋風玻璃的設計方式為由內(nèi)往外裝,當固定擋風玻璃的螺栓失效時,玻璃會由于巨大的壓力差而脫落。

2)人為因素

(1)錯誤螺栓的選擇和使用。

(2)使用不合適的安裝設備。

(3)維修工作在昏暗條件下進行。

(4)機庫大門已經(jīng)關閉,導致工作梯無法放置于機頭前方,維修人員只能從側面進行安裝工作,不能發(fā)現(xiàn)安裝好的螺栓與正常情況的差異。

3)組織管理

(1)未進行工作質量檢驗。

(2)航空公司未進行該項工作的反饋。

(3)未定期對維修人員進行培訓和測試。

5.總結

通過對某民航航班客艙失壓事故進行基于STAMP的致因分析,可以發(fā)現(xiàn)這種方法對復雜系統(tǒng)的分析結果較傳統(tǒng)方法的分析結果更為先進,如在本事故中飛機和機組人員的控

制回路中,被控過程即飛機存在高度表、近地預警系統(tǒng)、高度(壓力)報警系統(tǒng)這三個系統(tǒng)都會導致潛在故障的特點,其一直對飛機的安全產(chǎn)生重要影響。

從分析過程可以看出,民機以經(jīng)濟性為目標,安全性設計和管理也主要是考慮到整體效益,通過總結基于STAMP的事故致因分析流程,并將其作為對軍機事故的致因分析方法,可以指導軍機的安全性分析設計。

本例重點分析了使用維修階段的安全性,對設計制造領域涉及較少。對于軍方而言,不僅僅需要關心軍機的使用維護階段,隨著新裝備的大量研制和列裝,更要關注設計制造領域。因此,需在此基礎上進一步研究設計制造方法的安全性或者由于制造原因引起的安全事故分析流程。

2.2民航航班發(fā)動機失控事故分析

2.2.1事故簡述1997年8月6日,某民航航班從某國一機場飛往另一國家,機上有乘客237人,機組人員17人。駕駛飛機的機長是前空軍飛行員,有駕駛波音747飛機安全飛行6年的經(jīng)驗,在事故發(fā)生的幾個月前,因在飛機發(fā)動機失控的情況下安全降落一架747飛機而得到了航空公司的表彰。

2.2.2基于STPA方法的安全性分析

1.構建STAMP分層控制結構

依據(jù)航空系統(tǒng)管理機制,建立航空系統(tǒng)的整體控制結構,以便于了解各部門之間的聯(lián)系。結構圖如圖2.3所示。

圖2.3航空系統(tǒng)控制結構

2.識別事故和危險

1)確定系統(tǒng)級危險

在確定系統(tǒng)的安全控制結構后,就可分析系統(tǒng)中存在的潛在控制缺陷,即分析對事故施加的安全約束的缺失有哪些。本事故中表現(xiàn)出的系統(tǒng)災害是飛機撞上了山腰。

在該航班事故中,經(jīng)事后的調(diào)查顯示,在事故發(fā)生過程中,出現(xiàn)了如下幾種情況:

(1)該航班機組人員疲勞駕駛。

(2)機長在事發(fā)時,未按照手動降落操作程序執(zhí)行。

(3)儀表著陸系統(tǒng)故障。

(4)機場最低安全高度警告系統(tǒng)不能準確工作。

(5)該航班機組使用了過期的飛行圖,錯誤估計了安全飛行高度。

(6)機組人員未能依靠測距儀辨別跑道位置。

3)識別不安全控制行為

在約束識別的基礎上,下一步是根據(jù)事故相關信息,識別每一個控制層級和涉及的參與方在事故中體現(xiàn)的失效行為。根據(jù)控制結構圖,從上至下,依次分析每個控制層級出現(xiàn)的問題,即分析它們發(fā)生了哪些與其安全約束相悖的失效行為。

3.致因因素分析及安全約束生成

STAMP模型從系統(tǒng)控制學角度分析事故,即主要從組織管理、技術方法、參與人員、交互反饋、環(huán)境背景等方面入手進行分析。據(jù)此,從以上幾個方面出發(fā),將STAMP模型的分析結論進行分類匯總,如表2.2所示。

2.3典型軍機墜機事故分析

2.3.1事故簡述2010年11月17日晚,某國空軍的兩架戰(zhàn)機組織編隊飛行訓練,在順利完成指定科目后開始返航。在當晚19時40分左右,其中一名飛行員駕駛的某型戰(zhàn)機突然失去了聯(lián)系,從雷達屏幕上消失。伴飛的另一名飛行員在完成了空中加油后,嘗試對失蹤的某型戰(zhàn)機進行搜尋。同時,該國空軍及相關部門立即啟動應急救援程序,迅速派出救援直升機以及一架運輸機對失事區(qū)域進行連夜空中搜尋。

由于失事范圍過于巨大,加之地形復雜和環(huán)境條件惡劣,搜尋工作一直未取得進展。直到第二天早晨,救援直升機才發(fā)現(xiàn)了失蹤的戰(zhàn)機的部分殘骸,并且初步確定了飛機墜落的地點。隨著搜救工作的進一步展開,救援人員發(fā)現(xiàn)了越來越多的戰(zhàn)機殘骸,同時,飛行員的飛行服的殘片接連被發(fā)現(xiàn),這一系列的證據(jù)表明飛行員已經(jīng)死亡。

2.3.2典型軍機生命保障系統(tǒng)STPA分析

1.構建STAMP分層控制結構

當代先進戰(zhàn)機在最初進行設計論證時,對機體中保證飛行員處于正常生理環(huán)境的系統(tǒng)或部件尤為重視,飛行員的生命也由其提供支持。一旦飛行員在駕駛戰(zhàn)機過程中某一部件

發(fā)生故障,將會直接影響到最后能否遂行任務,甚至于威脅到飛行員的生命。當飛機的制氧過程中斷時,飛行員會直接面臨缺氧的風險。而制氧過程受到許多因素的影響,飛機生命保障系統(tǒng)中與制氧有關聯(lián)的任一環(huán)節(jié)出現(xiàn)問題,都可能使整個系統(tǒng)癱瘓,導致其無法繼續(xù)工作。如果發(fā)生上述情況,至關重要的是采取必要措施以確保有充足的氧氣供飛行員呼吸。若已確定飛機失去了為飛行員繼續(xù)提供氧氣的能力,飛行員不得不面臨跳傘的選擇。

為了發(fā)現(xiàn)此次軍機墜毀事故中存在的不安全控制行為并分析事故致因,在當前系統(tǒng)研究中,主要確定了7個主要的利益相關者:高空抗荷服、飛行員、引氣系統(tǒng)、環(huán)控系統(tǒng)、機載制氧系統(tǒng)、備份制氧系統(tǒng)、應急制氧系統(tǒng)。各層級控制關系以及回路如圖2.4所示。

圖2.4某型軍機生命保障系統(tǒng)分層安全控制結構

2.識別事故和危險

1)識別系統(tǒng)級危險

根據(jù)STAMP致因分析方法,首先要識別造成此次軍機缺氧事故的系統(tǒng),為此將某型軍機的生命保障系統(tǒng)作為研究對象,其組成主要包括高空抗荷服、飛行員、引氣系統(tǒng)、環(huán)控

系統(tǒng)、機載制氧系統(tǒng)、備份制氧系統(tǒng)以及應急制氧系統(tǒng)。生命保障系統(tǒng)的事故可以定義為生命保障系統(tǒng)失效,使飛行員缺氧導致其失去對戰(zhàn)機的操控能力,本次事故最終結果表現(xiàn)

為機毀人亡。

2)確定系統(tǒng)級安全約束

生命保障系統(tǒng)的安全約束包括:

(1)飛機制氧功能始終處于正常水平。

(2)必須有報警或其他措施來提醒以及保護飛行員的生命安全。

(3)不能長時間使飛行員處于缺氧條件。

3)實施安全約束的安全控制結構

(1)高空抗荷服層級。

安全約束:為飛行員在恰當時機加壓,調(diào)整呼吸。

(2)飛行員層級。

安全約束:飛行員正確操作,避免誤操作導致缺氧。

(3)引氣系統(tǒng)層級。

安全約束:引氣過程順利,完成指定功能。

(4)環(huán)控系統(tǒng)層級。

安全約束:使駕駛艙及各電子艙保持通風。

(5)機載制氧系統(tǒng)層級。

安全約束:必須保證分子篩制氧過程正常。

(6)備份制氧系統(tǒng)層級。

安全約束:在第一氧源失效后,能自動進行補氧。

(7)應急制氧系統(tǒng)層級。

安全約束:能保證飛行員正常操作且工作正常以應對突發(fā)情況。

3.識別不安全控制行為

1)高空抗荷服與飛行員控制回路的不安全控制行為

高空抗荷服與飛行員控制回路的不安全控制行為如表2.3所示。

2)引氣系統(tǒng)與環(huán)控系統(tǒng)控制回路的不安全控制行為

引氣系統(tǒng)與環(huán)控系統(tǒng)控制回路的不安全控制行為如表2.4所示。

3)機載制氧系統(tǒng)與備份制氧系統(tǒng)控制回路的不安全控制行為

機載制氧系統(tǒng)與備份制氧系統(tǒng)控制回路的不安全控制行為如表2.5所示。

4)備份制氧系統(tǒng)與應急制氧系統(tǒng)控制回路的不安全控制行為

備份制氧系統(tǒng)與應急制氧系統(tǒng)控制回路的不安全控制行為如表2.6所示。

2.3.3典型軍機研制及組織管理系統(tǒng)STPA分析

1.構建STAMP分層控制結構

根據(jù)某型軍機研制管理機制,某國空軍首先提出“先進戰(zhàn)術戰(zhàn)斗機”(ATF)項目需求,向工業(yè)界招標,并發(fā)布了研制招標書。招標書中只給出了關鍵性能參數(shù)的范圍而并未指定

硬性指標,且允許某些參數(shù)最終低于或高于給定范圍,只要未達標的參數(shù)能通過其他性能參數(shù)的允許或者是整個系統(tǒng)的效能能夠得到增強即可,此項目的研發(fā)由防務承包商來

完成。

某國承包商(即研制單位)在完成了某型軍機ATF項目后,將定型生產(chǎn)的某型軍機交付軍方使用,由軍方對某型軍機的使用進行規(guī)劃和日常飛行訓練管理。為了研究和分析某

型軍機在研制及組織管理層面上潛在的不安全條件,建立了由某空軍裝備部門、項目管理辦公室、飛機研制單位、飛機設計團隊、某型飛機、飛行員、飛行基地、飛行訓練管理單位組成的分層安全控制結構,如圖2.5所示。

圖2.5某型軍機研制及組織管理系統(tǒng)分層安全控制結構

2.識別事故和危險

1)識別系統(tǒng)級危險

下面針對某型軍機研制及組織管理系統(tǒng)進行STAMP分析。其組成主要包括某空軍裝備部門、項目管理辦公室、飛機研制單位、飛機設計團隊、某型飛機、飛行基地以及飛行訓練管理單位。

某型軍機研制及組織管理系統(tǒng)面臨的危險主要包括飛機研制不合理、飛機設計有缺陷以及飛行員能力水平欠缺等。

2)確定系統(tǒng)級安全約束

某型軍機研制及組織管理系統(tǒng)的安全約束如下:

(1)某型軍(2)飛機結構及相關系統(tǒng)設計合理。

(3)某型軍機能夠滿足用戶(即某空軍)的需求。

(4)空軍飛行訓練組織體系完善。機按計劃要求研制,達到其技術標準。

3)實施安全約束的安全控制結構

(1)某空軍裝備部門層級。

安全約束:必須下發(fā)相關政策,從而為項目提供支持。

(2)項目管理辦公室層級。

安全約束:確保項目采辦過程正常進行,控制項目完成進度。

(3)飛機研制單位層級。

安全約束:了解用戶需求,設計的飛機功能完善、安全性高。

(4)飛機設計團隊層級。

安全約束:設計合理,確保安全。

(5)某型飛機層級。

安全約束:能夠正常飛行,完成規(guī)定功能。

(6)飛行員層級。

安全約束:飛行員技術水平合格,心理素質好。

(7)飛行基地層級。

安全約束:組訓方式合理。

(8)飛行訓練管理單位層級。

安全約束:訓練管理實施科學,及時采取有效措施管控危險訓練情況。

3.識別不安全控制行為

1)某空軍裝備部門與項目管理辦公室控制回路的不安全控制行為

某空軍裝備部門與項目管理辦公室控制回路的不安全控制行為如表2.7所示。

2)項目管理辦公室與飛機研制單位控制回路的不安全控制行為

項目管理辦公室與飛機研制單位控制回路的不安全控制行為如表2.8所示。

3)飛機研制單位與飛機設計團隊控制回路的不安全控制行為

飛機研制單位與飛機設計團隊控制回路的不安全控制行為如表2.9所示。

4)飛行訓練管理單位與飛行基地控制回路的不安全控制行為

飛行訓練管理單位與飛行基地控制回路的不安全控制行為如表2.10所示。

5)飛行基地與飛行員控制回路的不安全控制行為

飛行基地與飛行員控制回路的不安全控制行為如表2.11所示。

6)飛行員與某型飛機控制回路的不安全控制行為

飛行員與某型飛機控制回路的不安全控制行為如表2.12所示。

7)飛機設計團隊與某型飛機控制回路的不安全控制行為

飛機設計團隊與某型飛機控制回路的不安全控制行為如表2.13所示。

2.3.4事故致因因素分析

通過分析某型軍機的生命保障系統(tǒng)和研制及組織管理系統(tǒng)的內(nèi)部控制關系,對兩個系統(tǒng)模型中各層次的控制回路存在的不安全控制行為進行了詳細梳理,發(fā)現(xiàn)了與事故有直接

聯(lián)系的不安全控制行為。針對這些不安全控制行為,總結出事故原因如下:

1.機械原因

(1)發(fā)動機引氣系統(tǒng)故障。發(fā)動機引氣系統(tǒng)故障直接導致環(huán)境控制系統(tǒng)停止向機載制氧系統(tǒng)提供壓力,導致機載制氧系統(tǒng)失效,輸送至飛行員氧氣面罩的氣體壓力減小,導致

飛行員呼吸困難。

(2)缺少備用氧源。根源為設計團隊未將備份制氧系統(tǒng)列為影響飛行安全的關鍵設備,其次是軍方未采納承包商提出的加裝備份制氧系統(tǒng)的方案?，F(xiàn)代軍機以機載制氧系統(tǒng)

輸出的富氧氣體作為飛行員呼吸用的主要氧源。為提高系統(tǒng)可靠性,預防機載制氧系統(tǒng)失效導致無氧可用的情況發(fā)生,通常以高壓氧瓶儲氧作為第二氧源,為主氧備份。

(3)應急供氧系統(tǒng)圓環(huán)所處位置不方便。應急供氧系統(tǒng)圓環(huán)位于座椅下部靠后的位置,當出現(xiàn)緊急情況要拉動時,非常不利于飛行員提拉操作。

(4)飛行員所穿抗荷背心存在閥門設計缺陷。抗荷背心在高速飛行時對飛行員加壓,防止上身血液流向下身并積聚,導致飛行員腦部缺氧。在調(diào)查中發(fā)現(xiàn)該背心的一個閥門存

在設計缺陷,會在不該加壓時向飛行員增加壓力,導致飛行員呼吸困難,出現(xiàn)缺氧情況。

(5)未采取有效手段(如安裝傳感器等)對制氧過程中的實時氧氣濃度進行監(jiān)控。事故證明當機載制氧系統(tǒng)失效時,飛行員應在第一時間得到警告,掌握故障情況。

2.人為原因

人為原因主要是針對飛行員的注意力局限。所謂注意力局限,就是說飛行員在緊急狀況下不能將注意力分配到所有的事物上。飛行員在機載制氧系統(tǒng)失效時會激活應急供氧系

統(tǒng),呼吸困難也會促使飛行員開啟應急供氧系統(tǒng),但事后的調(diào)查發(fā)現(xiàn)應急供氧系統(tǒng)并未被開啟,這可能是飛行員在呼吸困難時注意力受限,將注意力放在了恢復氧氣面罩氧氣的恢復供應上。其次,在飛行員經(jīng)歷了可辨別的每秒45度的機動后,由于注意力局限導致其并未發(fā)現(xiàn)這一飛行狀態(tài),從而導致其視野喪失,延遲了將飛機調(diào)整至正常飛行姿態(tài)的時機。另外,部分某型飛機飛行員在反饋缺氧事件時,信息不夠準確,靠主觀直覺進行判斷。

3.技術層面和組織管理方面的原因

在這起事故中,設計層為了節(jié)約項目經(jīng)費,對飛機的安全性設計不夠重視,對裝備的使用環(huán)境研究不足,未按照適航要求進行設計。管理層方面存在對飛行員駕駛某型飛機高空飛行缺氧情況分析以及模擬訓練不足等問題,同時還有對某型飛機飛行員的生理情況監(jiān)控不及時,未充分分析引氣系統(tǒng)故障影響,未將備用氧源列為關鍵設備,抗荷背心設計缺陷監(jiān)管不足等方面的問題。另外,飛行基地在飛行員執(zhí)行任務前未正確地評估訓練風險,及時發(fā)現(xiàn)存在的問題。

4.總結

通過對某型軍機墜機事故構建STAMP模型進行致因分析,得出的事故致因與某軍事故調(diào)查結論相比較為接近,說明基于STAMP的致因分析在軍機層面上同樣有效,可以作為一種分析軍用飛機航空事故原因的有效手段和方法。需要注意的是,相對于民機來講,軍機的主要目的是遂行作戰(zhàn)任務,具有特定的結構設計、生產(chǎn)研制流程以及組織管理體系,在構建系統(tǒng)模型時必須要將其考慮在內(nèi)。

在設計制造領域,應該關注軍機的全系統(tǒng)、全過程、全壽命的各個階段,從最初軍機的設計和制造到接下來軍機的使用和管理,需要對其進行全方位的分析,尤其是要注意各環(huán)

節(jié)、系統(tǒng)、因素之間的交聯(lián)關系,控制過程稍有差錯,便易導致事故。

隨著軍用航空裝備復雜程度的增加和信息化水平的提升,新型軍用飛機在作戰(zhàn)效能提高的同時,并未帶來安全性的提升。因此,需要發(fā)展新的理論方法(如軍機適航理論)來預防和緩解軍機事故的發(fā)生。

2.4某無人機被誘捕案例致因分析

2.4.1事件簡介2011年12月4日,某國宣布其防空部隊在與他國交界的東部邊境地區(qū)成功捕獲了一架入侵的隱身無人偵察機,同時表示該機只是輕微受損,該架無人機被俘獲時正承擔著某國中央情報局(CIA)的偵察任務。12月9日,該國展示了被捕獲的無人機,展示中的機體相當完整,幾乎沒有損毀。

通過以上對此次無人機事故的簡要描述,采用STEP模型,將此次事故進行圖形描述,具體情況如圖2.6所示。圖2.6某軍無人機被他國誘捕事故過程簡述圖

2.4.2無人機系統(tǒng)控制結構分析

在前文基本了解事故發(fā)生過程,并采用STEP模型對事故進行STEP圖形描述的基礎上,首先構建某軍無人機的系統(tǒng)控制結構,之后從STEP模型所描述的處于非正常工作狀態(tài)的事件中識別系統(tǒng)危險,再根據(jù)系統(tǒng)危險進行系統(tǒng)安全約束和安全性需求的識別,構建出實施安全約束的安全控制結構,最后按照STAMP模型中的四類不安全控制行為找出此次典型事故中的不安全控制行為,得出不安全致因場景(因素),闡明事故原因。

根據(jù)某軍無人機的管理機制,構建出的無人機系統(tǒng)控制結構圖如圖2.7所示。

圖2.7無人機系統(tǒng)控制結構圖

2.4.3系統(tǒng)危險識別

系統(tǒng)級事故是相對的,把每一個高層的系統(tǒng)與低層的系統(tǒng)進行對比,就可以把相對高層的系統(tǒng)當作是系統(tǒng),低層的當作是子系統(tǒng)。系統(tǒng)級事故就是指發(fā)生在系統(tǒng)層面上的事故,

往往會很明顯地暴露出來,它常常是由它的子系統(tǒng)的事故引起的。危險也可以照此定義。

危險(Hazard)是指某事物存在遭受損失、傷害、不利或毀滅的可能狀態(tài)。系統(tǒng)級危險是指系統(tǒng)存在遭受損失、傷害、不利或毀滅的可能狀態(tài)。可見,危險強調(diào)的是發(fā)生這種不利情況的概率高低。在STAMP分析中,危險被定義為一個系統(tǒng)狀態(tài)或一系列條件,在特定的最不利環(huán)境條件下,會導致事故或損失,根據(jù)STAMP框架,安全問題被看成是一個控制問題,但控制不好也有可能導致潛在的事故。

對于無人機組成的系統(tǒng)來說,它的最高級系統(tǒng)———無人機系統(tǒng)(UAS)就包括了無人飛行器(UAV)、指揮和控制數(shù)據(jù)鏈、通信系統(tǒng)、UAV控制站(UCS)及其他用于起飛和降落的輔助部件。因此,系統(tǒng)級事故不再僅僅表現(xiàn)為無人飛行器的墜毀、碰撞等,還有其他部件或者系統(tǒng)的事故。通過分析得出無人機系統(tǒng)主要存在五類危險,如表2.14所示。

在此典型事故案例中,系統(tǒng)危險就是上述無人機系統(tǒng)五類危險中的第二類危險。在一定程度上,還造成了第五類危險。將STEP分析結果和危險識別標準結合起來,可以看出

有幾個不正常的事件(即危險):

(1)某國對無人機的通信進行干擾,給無人機提供了虛假信息。

(2)飛機操縱員失去了無人機的控制權。

(3)無人機控制系統(tǒng)軟件被某國下達指令,按照虛假信息指令飛抵指定機場。

2.4.4系統(tǒng)安全性需求和安全約束識別

基于STAMP模型的系統(tǒng)安全性需求和安全約束識別首先應明確分析對象,在無人機事故中,需要分析的對象有三類:

①人,主要指飛行指揮員、飛行操縱員和地面保障人員等;

②無人機,主要包括子系統(tǒng)的硬件和軟件;

③飛行環(huán)境。

根據(jù)以上分析對象以及對無人機事故的了解掌握,可以得出分析對象的安全性需求和安全約束如圖2.8所示。

圖2.8無人機系統(tǒng)的安全性需求和安全約束

要預防此次飛行事故需要以下的安全約束:

(1)飛行操縱員實時注意無人機的通信鏈路系統(tǒng)是否斷開。

(2)無人機控制系統(tǒng)在與自身系統(tǒng)斷開后,自動開啟自毀系統(tǒng)。

2.4.5實施安全約束的安全控制結構分析

根據(jù)STAMP理論,需要建立無人機的控制結構圖?？刂平Y構圖一個最大的優(yōu)點是能夠很清晰明了地描述系統(tǒng),很容易看出因為哪個部件約束失效而導致了意外的發(fā)生。某軍

對無人機的控制結構圖如圖2.9所示。

圖2.9某軍對無人機的控制結構圖

2.4.6導致危險的不安全控制行為分析

在運用STAMP分析方法時,非常重要的一步是評估在系統(tǒng)設計時采取的控制行為,以確定可能會導致危險的不安全控制行為,在實際過程中識別系統(tǒng)中存在的不安全控制行為時,通常有四種形式:

(1)發(fā)出不正確或對安全有影響的控制命令。

(2)不能實施所需要的安全控制行動。

(3)控制命令發(fā)出的時機不恰當。

(4)控制過程停止(結束)得太早或實施時間太長。

通過前文分析發(fā)現(xiàn)無人機系統(tǒng)主要存在五類危險,接下來就每一類危險源來分析其不安全控制行為。

1.無人機空中相撞

無人機空中相撞的不安全控制行為如表2.15所示。

為避免無人機空中相撞,應采取的控制行動有:

(1)確保無人機不偏離預定的飛行航線或飛行高度。

(2)確保飛行前的航路規(guī)劃沒有問題、無人機具有較強的自主決策能力。

(3)確保無人機上安裝的傳感器沒有故障或者失效。

表2.15中列舉了空中相撞的不安全控制行為,接下來將其應用于控制回路,如圖2.10所示。

圖2.10空中相撞不安全控制行為圖

2.無人機被誘捕事件

將圖2.7與無人機被誘捕事件對照,可以把某軍的無人機系統(tǒng)控制結構圖進行簡化,如圖2.11所示。

根據(jù)圖2.11構建的控制結構,依次考慮典型事故案例中必須實施的所有控制行動,從而確定涉及的所有不安全控制行為,并將它們作為系統(tǒng)中潛在的故障源。

圖2.11簡化的無人機系統(tǒng)控制結構圖

根據(jù)誘捕事件的簡要過程,將控制行動主要分為以下三大類:

(1)發(fā)現(xiàn):確保無人機不被敵方雷達發(fā)現(xiàn)。

(2)干擾:確保無人機和GPS衛(wèi)星連接正常,地面指揮控制站能收到無人機的相關狀態(tài)信息,確保地面指揮控制站能及時向無人機輸送控制指令。

(3)接管:確保飛行指揮員對無人機的控制權,確保無人機嚴格按照控制指令進行飛行。

誘捕事件中具體的不安全控制行為如表2.16所示。

將上述的不安全控制行為應用于簡化后的無人機控制圖,如圖2.12所示。

圖2.12誘捕事件中的不安全控制行為圖

將前文分析的誘捕事件中的不安全控制行為與此次某軍無人機被他國誘捕事故過程對應起來,將不安全控制行為應用于某軍對無人機的控制圖,得出如圖2.13的結果。

圖2.13某軍對無人機的不安全控制行為圖

在此次事件中,發(fā)生的不安全控制行為主要是:

(1)某軍地面站無法獲得無人機的狀態(tài)信息,從而失去了對無人機的控制權。

(2)空地通信設備阻斷了無人機和地面指揮站之間的通信。

(3)無人機處于失控狀態(tài)。

3.無人機可控條件下的墜毀事件

防墜毀事件中主要的控制行動有:

(1)在無人機上安裝防墜毀裝置,并確保其在關鍵時刻能正常工作。

(2)確保傳感器能及時、準確地發(fā)現(xiàn)數(shù)據(jù)(姿態(tài)信息)的大幅度變化。

(3)確保無人機具有自動避障功能。

(4)確保執(zhí)行機構不發(fā)生異常情況。

墜毀事件中的不安全控制行為如圖2.14所示,主要有:

(1)無人機上未加裝防墜毀裝置。

(2)無人機操縱人員注意力不集中。

(3)設計時考慮防墜毀因素少。

(4)傳感器故障,對數(shù)據(jù)變化不敏感。

(5)執(zhí)行機構未在無人機飛行前進行檢查。

圖2.14墜毀事件中的不安全控制行為

4.無人機事故所造成的任務終止、環(huán)境污染等

對于此類事件,一般都不會產(chǎn)生很大的危險,只會導致一些活動的結束。對于此類事件,我們需要做的就是盡量避免前三類事件的發(fā)生。

5.無人機造成地面操作和空管人員負擔加重等

近年來,無人機干擾民航飛機飛行的情況時有發(fā)生,導致空管人員不得不改變民航原來計劃好的飛行路線,此時無疑增加了空管人員的工作內(nèi)容,加重了工作負擔。對于此類危險類型,采取的控制行動僅為限制無人機的活動空域,避免其與其他飛機的空間接觸。該類事件的不安全控制行為有:無人機失控;無人機的頻段與民航飛機的頻段臨近,導致出現(xiàn)兩者相互干擾的事件發(fā)生;未設置禁飛區(qū)。

最后的兩類危險一般都作為附帶危險出現(xiàn),所以它的不安全行為基本上就為前三類危險的部分組合。

2.4.7不安全致因場景分析

前文分析出了三個控制回路的不安全控制行為,接下來對本次事故中出現(xiàn)的不安全控制行為分析致因場景。分析不安全致因場景就是對不安全控制行為的發(fā)生場景進行分析,

目的是深入分析每一個不安全控制行為發(fā)生背后的原因。具體如圖2.15所示。

圖2.15不安全致因因素圖

(1)某軍無法獲得無人機的狀態(tài)信息,從而失去對無人機的控制權。此次不安全控制行為屬于人為失誤中的監(jiān)督不足,某軍飛行操縱員應時刻注意對無人機進行控制。

(2)空地通信設備阻斷了和地面指揮站之間的通信。通信設備(GPS衛(wèi)星)受到某國信號干擾,從而阻斷了信息傳遞。

(3)無人機處于失控狀態(tài)。在飛行前設置好