kok电子竞技

第二章基于STPA方法的典型航空事故分析2.1民航航班客舱失压事故分析2.2民航航班发动机失控事故分析2.3典型军机坠机事故分析2.4某无人机被诱捕案例致因分析本章小结

2.1民航航班客舱失压事故分析2.1.1事故简述1990年的一天,某民航航班由A机场飞往B机场。在飞行大约13分钟后,飞机驾驶舱的一部分挡风玻璃脱落,巨大的压力差导致机长大部分身体被吸出机外,一名空乘人员拼命地抱住已失去知觉、被严重冻伤的机长,更糟糕的是,机长面临着极度缺氧的危险。在这种情况下,副机长被迫在另一机场实施紧急迫降。最终,凭借着副机长的努力,飞机成功着陆,未造成人员死亡,包括机长在内的所有机组人员都从伤病中恢复过来,机长更是在事故发生后的短短几个月就重返工作岗位。

2.1.2基于STPA方法的安全性分析

1.构建STAMP分层控制结构

所有高空飞行都在机舱加压的环境下进行,以确保机组人员和乘客有足够的可呼吸的氧气。如果机舱内的增压系统发生故障,无论是由于增压系统本身的故障,还是由于飞机内部的结构故障(例如窗户的丢失),飞机都将面临减压情况。减压的速度受到许多因素的影响,包括受压空间与外部环境之间的压差,以及对增压系统或飞机结构的破坏程度等。虽然快速减压是一种严重且可能危及生命的危险,但一般不会立即对乘客和机组人员造成致命伤害。

在快速减压过程中,飞机驾驶舱可能会出现混乱程度很高的情况,经常充满蒸汽、噪音和碎屑等。机组人员在应对快速减压场景时,其操作技能的正确与否往往意味着一个飞

行事件和一个飞行事故之间的区别,严重操作差错甚至会导致飞机的损坏进而威胁机组人员的生命。同时,为了支持机组人员处理这一罕见但危险的事件,并突出已确定的相互作

用可能导致不安全行为的潜在领域,需建立由许多机构组成的控制结构,如图2.1所示。

图2.1某航班事故分层安全控制结构

2.识别危险

在STAMP分析中,危险被定义为一个系统状态或一系列条件,在特定的最不利环境条件下,危险会导致事故或损失。根据STAMP框架,危险是可以控制的,但也可能导致潜在的事故。在本案例中,潜在事故定义为机组人员对飞机快速减压事件的反应。

1)识别系统级危险

在进行基于STAMP的致因分析时,首先要确定该研究涉及的具体系统,然后通过相应的分析判断来识别系统中存在的主要危险,这些危险造成的后果包括人员受伤或者死亡、设备结构受损、环境受到污染等。

该航班事故涉及的系统主要为客机实体系统和乘员安全系统。由于这两个系统由不同且独立的管理者控制,因此可将它们看作两个相互影响但独立的系统。客机实体系统由欧

洲航空安全局控制飞机证书颁发以及审定过程;乘员安全系统由航空公司负责乘员(指乘客和机组人员)的人身安全。客机实体系统和乘员安全系统组合起来造成的事故(或者说损

失事件)可以定义为飞机受损导致的快速减压事件使乘客死亡或受到伤害。

2)确定系统级安全约束

辨识系统和其结构的危险后,下一步的主要目标是详细说明防止危险发生所必需的系统级安全需求和设计约束(即安全约束)。该事故的安全约束包括客机实体系统的安全约束和乘员安全系统的安全约束。

客机实体系统的安全约束如下:

(1)飞机挡风玻璃的结构强度达到要求。

(2)如果发生不可避免的快速减压的情况,需保证飞行员氧气供应设备正常。

(3)飞行员能够操纵飞机下降到安全高度,减少减压事件带来的影响。

乘员安全系统的安全约束如下:

(1)不能让乘员长时间暴露于失压条件下。

(2)一旦发生快速减压事件,必须采取措施以快速恢复到正常压力条件。

(3)必须采取可用的、有效的措施,保证飞行员能够在减压事件中正常操作。

3)实施安全约束的安全控制结构

下面主要对已构建的分层安全控制结构中的相关层级进行分析,以了解其安全约束。

(1)监管机构层级。

安全约束:监管机构严格按照规章制度向具备资质的航空公司颁发AOC。

(2)航空公司层级。

安全约束:航空公司具备足够的资质,拥有科学的管理水平。

(3)飞机层级。

安全约束:飞机能够正常进行信息反馈,且保证反馈的信息准确。

(4)机组人员层级。

安全约束:机组人员具备能够应对各种突发情况的能力水平。

(5)空中交通管制/空中交通管理层级。

安全约束:能够及时对机组人员提供帮助,并引导和指挥其他飞机避让。

(6)机身制造商层级。

安全约束:制造商设计制造的飞机功能完整。

(7)其他飞机层级。

安全约束:能够及时收到ATC/ATM管制中心提供的信息,并及时采取正确的应对措施。

3.识别不安全控制行为

机组人员与飞机之间的四项控制行为包括:

(1)确保机舱内有足够的压力。

(2)确保机组人员有充足的氧气。

(3)确保飞机下降至10000英尺。

(4)完成QRH(快速参考手册)程序。

任何一种控制行为在快速减压过程中出现差错,都可能最终导致缺氧,造成潜在的致命后果。使用这四个控制行为共有可能生成21个不安全控制行为,如表2.1所示。

随后将生成的不安全控制行为映射到控制回路中,如图2.2所示。

图2.2的左下角显示了延迟操作,如延迟关闭压力阀、启动下降时机太晚、QRH检查太慢等。

图2.2机组人员和飞机之间的控制回路

需要强调的是,图2.1中所示的分层安全控制结构是基于STAMP方法中给出的假设而构建的,不同的假设可能产生不同的控制结构。控制结构中的每一个不安全控制行为都可能造成严重后果,因此应该对每一个潜在的不安全控制行为实施安全约束。这对于由错误的心理模型假设或缺乏明显的紧急警告而导致机组人员不能正确处理故障的事故可能特别有用。

4.致因因素分析及安全约束生成

通过对与事故有关的不安全控制行为进行识别,再根据相关不安全场景就可以得到事故发生的根本原因。若控制回路中的安全约束未被有效实施,则会发生相对应的不安全控制行为。针对此次事故,继续进行各层次结构的控制回路分析,得到的事故原因主要有以下几个方面:

1)机械原因

该型号飞机的挡风玻璃的设计方式为由内往外装,当固定挡风玻璃的螺栓失效时,玻璃会由于巨大的压力差而脱落。

2)人为因素

(1)错误螺栓的选择和使用。

(2)使用不合适的安装设备。

(3)维修工作在昏暗条件下进行。

(4)机库大门已经关闭,导致工作梯无法放置于机头前方,维修人员只能从侧面进行安装工作,不能发现安装好的螺栓与正常情况的差异。

3)组织管理

(1)未进行工作质量检验。

(2)航空公司未进行该项工作的反馈。

(3)未定期对维修人员进行培训和测试。

5.总结

通过对某民航航班客舱失压事故进行基于STAMP的致因分析,可以发现这种方法对复杂系统的分析结果较传统方法的分析结果更为先进,如在本事故中飞机和机组人员的控

制回路中,被控过程即飞机存在高度表、近地预警系统、高度(压力)报警系统这三个系统都会导致潜在故障的特点,其一直对飞机的安全产生重要影响。

从分析过程可以看出,民机以经济性为目标,安全性设计和管理也主要是考虑到整体效益,通过总结基于STAMP的事故致因分析流程,并将其作为对军机事故的致因分析方法,可以指导军机的安全性分析设计。

本例重点分析了使用维修阶段的安全性,对设计制造领域涉及较少。对于军方而言,不仅仅需要关心军机的使用维护阶段,随着新装备的大量研制和列装,更要关注设计制造领域。因此,需在此基础上进一步研究设计制造方法的安全性或者由于制造原因引起的安全事故分析流程。

2.2民航航班发动机失控事故分析

2.2.1事故简述1997年8月6日,某民航航班从某国一机场飞往另一国家,机上有乘客237人,机组人员17人。驾驶飞机的机长是前空军飞行员,有驾驶波音747飞机安全飞行6年的经验,在事故发生的几个月前,因在飞机发动机失控的情况下安全降落一架747飞机而得到了航空公司的表彰。

2.2.2基于STPA方法的安全性分析

1.构建STAMP分层控制结构

依据航空系统管理机制,建立航空系统的整体控制结构,以便于了解各部门之间的联系。结构图如图2.3所示。

图2.3航空系统控制结构

2.识别事故和危险

1)确定系统级危险

在确定系统的安全控制结构后,就可分析系统中存在的潜在控制缺陷,即分析对事故施加的安全约束的缺失有哪些。本事故中表现出的系统灾害是飞机撞上了山腰。

在该航班事故中,经事后的调查显示,在事故发生过程中,出现了如下几种情况:

(1)该航班机组人员疲劳驾驶。

(2)机长在事发时,未按照手动降落操作程序执行。

(3)仪表着陆系统故障。

(4)机场最低安全高度警告系统不能准确工作。

(5)该航班机组使用了过期的飞行图,错误估计了安全飞行高度。

(6)机组人员未能依靠测距仪辨别跑道位置。

3)识别不安全控制行为

在约束识别的基础上,下一步是根据事故相关信息,识别每一个控制层级和涉及的参与方在事故中体现的失效行为。根据控制结构图,从上至下,依次分析每个控制层级出现的问题,即分析它们发生了哪些与其安全约束相悖的失效行为。

3.致因因素分析及安全约束生成

STAMP模型从系统控制学角度分析事故,即主要从组织管理、技术方法、参与人员、交互反馈、环境背景等方面入手进行分析。据此,从以上几个方面出发,将STAMP模型的分析结论进行分类汇总,如表2.2所示。

2.3典型军机坠机事故分析

2.3.1事故简述2010年11月17日晚,某国空军的两架战机组织编队飞行训练,在顺利完成指定科目后开始返航。在当晚19时40分左右,其中一名飞行员驾驶的某型战机突然失去了联系,从雷达屏幕上消失。伴飞的另一名飞行员在完成了空中加油后,尝试对失踪的某型战机进行搜寻。同时,该国空军及相关部门立即启动应急救援程序,迅速派出救援直升机以及一架运输机对失事区域进行连夜空中搜寻。

由于失事范围过于巨大,加之地形复杂和环境条件恶劣,搜寻工作一直未取得进展。直到第二天早晨,救援直升机才发现了失踪的战机的部分残骸,并且初步确定了飞机坠落的地点。随着搜救工作的进一步展开,救援人员发现了越来越多的战机残骸,同时,飞行员的飞行服的残片接连被发现,这一系列的证据表明飞行员已经死亡。

2.3.2典型军机生命保障系统STPA分析

1.构建STAMP分层控制结构

当代先进战机在最初进行设计论证时,对机体中保证飞行员处于正常生理环境的系统或部件尤为重视,飞行员的生命也由其提供支持。一旦飞行员在驾驶战机过程中某一部件

发生故障,将会直接影响到最后能否遂行任务,甚至于威胁到飞行员的生命。当飞机的制氧过程中断时,飞行员会直接面临缺氧的风险。而制氧过程受到许多因素的影响,飞机生命保障系统中与制氧有关联的任一环节出现问题,都可能使整个系统瘫痪,导致其无法继续工作。如果发生上述情况,至关重要的是采取必要措施以确保有充足的氧气供飞行员呼吸。若已确定飞机失去了为飞行员继续提供氧气的能力,飞行员不得不面临跳伞的选择。

为了发现此次军机坠毁事故中存在的不安全控制行为并分析事故致因,在当前系统研究中,主要确定了7个主要的利益相关者:高空抗荷服、飞行员、引气系统、环控系统、机载制氧系统、备份制氧系统、应急制氧系统。各层级控制关系以及回路如图2.4所示。

图2.4某型军机生命保障系统分层安全控制结构

2.识别事故和危险

1)识别系统级危险

根据STAMP致因分析方法,首先要识别造成此次军机缺氧事故的系统,为此将某型军机的生命保障系统作为研究对象,其组成主要包括高空抗荷服、飞行员、引气系统、环控

系统、机载制氧系统、备份制氧系统以及应急制氧系统。生命保障系统的事故可以定义为生命保障系统失效,使飞行员缺氧导致其失去对战机的操控能力,本次事故最终结果表现

为机毁人亡。

2)确定系统级安全约束

生命保障系统的安全约束包括:

(1)飞机制氧功能始终处于正常水平。

(2)必须有报警或其他措施来提醒以及保护飞行员的生命安全。

(3)不能长时间使飞行员处于缺氧条件。

3)实施安全约束的安全控制结构

(1)高空抗荷服层级。

安全约束:为飞行员在恰当时机加压,调整呼吸。

(2)飞行员层级。

安全约束:飞行员正确操作,避免误操作导致缺氧。

(3)引气系统层级。

安全约束:引气过程顺利,完成指定功能。

(4)环控系统层级。

安全约束:使驾驶舱及各电子舱保持通风。

(5)机载制氧系统层级。

安全约束:必须保证分子筛制氧过程正常。

(6)备份制氧系统层级。

安全约束:在第一氧源失效后,能自动进行补氧。

(7)应急制氧系统层级。

安全约束:能保证飞行员正常操作且工作正常以应对突发情况。

3.识别不安全控制行为

1)高空抗荷服与飞行员控制回路的不安全控制行为

高空抗荷服与飞行员控制回路的不安全控制行为如表2.3所示。

2)引气系统与环控系统控制回路的不安全控制行为

引气系统与环控系统控制回路的不安全控制行为如表2.4所示。

3)机载制氧系统与备份制氧系统控制回路的不安全控制行为

机载制氧系统与备份制氧系统控制回路的不安全控制行为如表2.5所示。

4)备份制氧系统与应急制氧系统控制回路的不安全控制行为

备份制氧系统与应急制氧系统控制回路的不安全控制行为如表2.6所示。

2.3.3典型军机研制及组织管理系统STPA分析

1.构建STAMP分层控制结构

根据某型军机研制管理机制,某国空军首先提出“先进战术战斗机”(ATF)项目需求,向工业界招标,并发布了研制招标书。招标书中只给出了关键性能参数的范围而并未指定

硬性指标,且允许某些参数最终低于或高于给定范围,只要未达标的参数能通过其他性能参数的允许或者是整个系统的效能能够得到增强即可,此项目的研发由防务承包商来

完成。

某国承包商(即研制单位)在完成了某型军机ATF项目后,将定型生产的某型军机交付军方使用,由军方对某型军机的使用进行规划和日常飞行训练管理。为了研究和分析某

型军机在研制及组织管理层面上潜在的不安全条件,建立了由某空军装备部门、项目管理办公室、飞机研制单位、飞机设计团队、某型飞机、飞行员、飞行基地、飞行训练管理单位组成的分层安全控制结构,如图2.5所示。

图2.5某型军机研制及组织管理系统分层安全控制结构

2.识别事故和危险

1)识别系统级危险

下面针对某型军机研制及组织管理系统进行STAMP分析。其组成主要包括某空军装备部门、项目管理办公室、飞机研制单位、飞机设计团队、某型飞机、飞行基地以及飞行训练管理单位。

某型军机研制及组织管理系统面临的危险主要包括飞机研制不合理、飞机设计有缺陷以及飞行员能力水平欠缺等。

2)确定系统级安全约束

某型军机研制及组织管理系统的安全约束如下:

(1)某型军(2)飞机结构及相关系统设计合理。

(3)某型军机能够满足用户(即某空军)的需求。

(4)空军飞行训练组织体系完善。机按kok电子竞技要求研制,达到其技术标准。

3)实施安全约束的安全控制结构

(1)某空军装备部门层级。

安全约束:必须下发相关政策,从而为项目提供支持。

(2)项目管理办公室层级。

安全约束:确保项目采办过程正常进行,控制项目完成进度。

(3)飞机研制单位层级。

安全约束:了解用户需求,设计的飞机功能完善、安全性高。

(4)飞机设计团队层级。

安全约束:设计合理,确保安全。

(5)某型飞机层级。

安全约束:能够正常飞行,完成规定功能。

(6)飞行员层级。

安全约束:飞行员技术水平合格,心理素质好。

(7)飞行基地层级。

安全约束:组训方式合理。

(8)飞行训练管理单位层级。

安全约束:训练管理实施科学,及时采取有效措施管控危险训练情况。

3.识别不安全控制行为

1)某空军装备部门与项目管理办公室控制回路的不安全控制行为

某空军装备部门与项目管理办公室控制回路的不安全控制行为如表2.7所示。

2)项目管理办公室与飞机研制单位控制回路的不安全控制行为

项目管理办公室与飞机研制单位控制回路的不安全控制行为如表2.8所示。

3)飞机研制单位与飞机设计团队控制回路的不安全控制行为

飞机研制单位与飞机设计团队控制回路的不安全控制行为如表2.9所示。

4)飞行训练管理单位与飞行基地控制回路的不安全控制行为

飞行训练管理单位与飞行基地控制回路的不安全控制行为如表2.10所示。

5)飞行基地与飞行员控制回路的不安全控制行为

飞行基地与飞行员控制回路的不安全控制行为如表2.11所示。

6)飞行员与某型飞机控制回路的不安全控制行为

飞行员与某型飞机控制回路的不安全控制行为如表2.12所示。

7)飞机设计团队与某型飞机控制回路的不安全控制行为

飞机设计团队与某型飞机控制回路的不安全控制行为如表2.13所示。

2.3.4事故致因因素分析

通过分析某型军机的生命保障系统和研制及组织管理系统的内部控制关系,对两个系统模型中各层次的控制回路存在的不安全控制行为进行了详细梳理,发现了与事故有直接

联系的不安全控制行为。针对这些不安全控制行为,总结出事故原因如下:

1.机械原因

(1)发动机引气系统故障。发动机引气系统故障直接导致环境控制系统停止向机载制氧系统提供压力,导致机载制氧系统失效,输送至飞行员氧气面罩的气体压力减小,导致

飞行员呼吸困难。

(2)缺少备用氧源。根源为设计团队未将备份制氧系统列为影响飞行安全的关键设备,其次是军方未采纳承包商提出的加装备份制氧系统的方案。现代军机以机载制氧系统

输出的富氧气体作为飞行员呼吸用的主要氧源。为提高系统可靠性,预防机载制氧系统失效导致无氧可用的情况发生,通常以高压氧瓶储氧作为第二氧源,为主氧备份。

(3)应急供氧系统圆环所处位置不方便。应急供氧系统圆环位于座椅下部靠后的位置,当出现紧急情况要拉动时,非常不利于飞行员提拉操作。

(4)飞行员所穿抗荷背心存在阀门设计缺陷。抗荷背心在高速飞行时对飞行员加压,防止上身血液流向下身并积聚,导致飞行员脑部缺氧。在调查中发现该背心的一个阀门存

在设计缺陷,会在不该加压时向飞行员增加压力,导致飞行员呼吸困难,出现缺氧情况。

(5)未采取有效手段(如安装传感器等)对制氧过程中的实时氧气浓度进行监控。事故证明当机载制氧系统失效时,飞行员应在第一时间得到警告,掌握故障情况。

2.人为原因

人为原因主要是针对飞行员的注意力局限。所谓注意力局限,就是说飞行员在紧急状况下不能将注意力分配到所有的事物上。飞行员在机载制氧系统失效时会激活应急供氧系

统,呼吸困难也会促使飞行员开启应急供氧系统,但事后的调查发现应急供氧系统并未被开启,这可能是飞行员在呼吸困难时注意力受限,将注意力放在了恢复氧气面罩氧气的恢复供应上。其次,在飞行员经历了可辨别的每秒45度的机动后,由于注意力局限导致其并未发现这一飞行状态,从而导致其视野丧失,延迟了将飞机调整至正常飞行姿态的时机。另外,部分某型飞机飞行员在反馈缺氧事件时,信息不够准确,靠主观直觉进行判断。

3.技术层面和组织管理方面的原因

在这起事故中,设计层为了节约项目经费,对飞机的安全性设计不够重视,对装备的使用环境研究不足,未按照适航要求进行设计。管理层方面存在对飞行员驾驶某型飞机高空飞行缺氧情况分析以及模拟训练不足等问题,同时还有对某型飞机飞行员的生理情况监控不及时,未充分分析引气系统故障影响,未将备用氧源列为关键设备,抗荷背心设计缺陷监管不足等方面的问题。另外,飞行基地在飞行员执行任务前未正确地评估训练风险,及时发现存在的问题。

4.总结

通过对某型军机坠机事故构建STAMP模型进行致因分析,得出的事故致因与某军事故调查结论相比较为接近,说明基于STAMP的致因分析在军机层面上同样有效,可以作为一种分析军用飞机航空事故原因的有效手段和方法。需要注意的是,相对于民机来讲,军机的主要目的是遂行作战任务,具有特定的结构设计、生产研制流程以及组织管理体系,在构建系统模型时必须要将其考虑在内。

在设计制造领域,应该关注军机的全系统、全过程、全寿命的各个阶段,从最初军机的设计和制造到接下来军机的使用和管理,需要对其进行全方位的分析,尤其是要注意各环

节、系统、因素之间的交联关系,控制过程稍有差错,便易导致事故。

随着军用航空装备复杂程度的增加和信息化水平的提升,新型军用飞机在作战效能提高的同时,并未带来安全性的提升。因此,需要发展新的理论方法(如军机适航理论)来预防和缓解军机事故的发生。

2.4某无人机被诱捕案例致因分析

2.4.1事件简介2011年12月4日,某国宣布其防空部队在与他国交界的东部边境地区成功捕获了一架入侵的隐身无人侦察机,同时表示该机只是轻微受损,该架无人机被俘获时正承担着某国中央情报局(CIA)的侦察任务。12月9日,该国展示了被捕获的无人机,展示中的机体相当完整,几乎没有损毁。

通过以上对此次无人机事故的简要描述,采用STEP模型,将此次事故进行图形描述,具体情况如图2.6所示。图2.6某军无人机被他国诱捕事故过程简述图

2.4.2无人机系统控制结构分析

在前文基本了解事故发生过程,并采用STEP模型对事故进行STEP图形描述的基础上,首先构建某军无人机的系统控制结构,之后从STEP模型所描述的处于非正常工作状态的事件中识别系统危险,再根据系统危险进行系统安全约束和安全性需求的识别,构建出实施安全约束的安全控制结构,最后按照STAMP模型中的四类不安全控制行为找出此次典型事故中的不安全控制行为,得出不安全致因场景(因素),阐明事故原因。

根据某军无人机的管理机制,构建出的无人机系统控制结构图如图2.7所示。

图2.7无人机系统控制结构图

2.4.3系统危险识别

系统级事故是相对的,把每一个高层的系统与低层的系统进行对比,就可以把相对高层的系统当作是系统,低层的当作是子系统。系统级事故就是指发生在系统层面上的事故,

往往会很明显地暴露出来,它常常是由它的子系统的事故引起的。危险也可以照此定义。

危险(Hazard)是指某事物存在遭受损失、伤害、不利或毁灭的可能状态。系统级危险是指系统存在遭受损失、伤害、不利或毁灭的可能状态。可见,危险强调的是发生这种不利情况的概率高低。在STAMP分析中,危险被定义为一个系统状态或一系列条件,在特定的最不利环境条件下,会导致事故或损失,根据STAMP框架,安全问题被看成是一个控制问题,但控制不好也有可能导致潜在的事故。

对于无人机组成的系统来说,它的最高级系统———无人机系统(UAS)就包括了无人飞行器(UAV)、指挥和控制数据链、通信系统、UAV控制站(UCS)及其他用于起飞和降落的辅助部件。因此,系统级事故不再仅仅表现为无人飞行器的坠毁、碰撞等,还有其他部件或者系统的事故。通过分析得出无人机系统主要存在五类危险,如表2.14所示。

在此典型事故案例中,系统危险就是上述无人机系统五类危险中的第二类危险。在一定程度上,还造成了第五类危险。将STEP分析结果和危险识别标准结合起来,可以看出

有几个不正常的事件(即危险):

(1)某国对无人机的通信进行干扰,给无人机提供了虚假信息。

(2)飞机操纵员失去了无人机的控制权。

(3)无人机控制系统软件被某国下达指令,按照虚假信息指令飞抵指定机场。

2.4.4系统安全性需求和安全约束识别

基于STAMP模型的系统安全性需求和安全约束识别首先应明确分析对象,在无人机事故中,需要分析的对象有三类:

①人,主要指飞行指挥员、飞行操纵员和地面保障人员等;

②无人机,主要包括子系统的硬件和软件;

③飞行环境。

根据以上分析对象以及对无人机事故的了解掌握,可以得出分析对象的安全性需求和安全约束如图2.8所示。

图2.8无人机系统的安全性需求和安全约束

要预防此次飞行事故需要以下的安全约束:

(1)飞行操纵员实时注意无人机的通信链路系统是否断开。

(2)无人机控制系统在与自身系统断开后,自动开启自毁系统。

2.4.5实施安全约束的安全控制结构分析

根据STAMP理论,需要建立无人机的控制结构图。控制结构图一个最大的优点是能够很清晰明了地描述系统,很容易看出因为哪个部件约束失效而导致了意外的发生。某军

对无人机的控制结构图如图2.9所示。

图2.9某军对无人机的控制结构图

2.4.6导致危险的不安全控制行为分析

在运用STAMP分析方法时,非常重要的一步是评估在系统设计时采取的控制行为,以确定可能会导致危险的不安全控制行为,在实际过程中识别系统中存在的不安全控制行为时,通常有四种形式:

(1)发出不正确或对安全有影响的控制命令。

(2)不能实施所需要的安全控制行动。

(3)控制命令发出的时机不恰当。

(4)控制过程停止(结束)得太早或实施时间太长。

通过前文分析发现无人机系统主要存在五类危险,接下来就每一类危险源来分析其不安全控制行为。

1.无人机空中相撞

无人机空中相撞的不安全控制行为如表2.15所示。

为避免无人机空中相撞,应采取的控制行动有:

(1)确保无人机不偏离预定的飞行航线或飞行高度。

(2)确保飞行前的航路规划没有问题、无人机具有较强的自主决策能力。

(3)确保无人机上安装的传感器没有故障或者失效。

表2.15中列举了空中相撞的不安全控制行为,接下来将其应用于控制回路,如图2.10所示。

图2.10空中相撞不安全控制行为图

2.无人机被诱捕事件

将图2.7与无人机被诱捕事件对照,可以把某军的无人机系统控制结构图进行简化,如图2.11所示。

根据图2.11构建的控制结构,依次考虑典型事故案例中必须实施的所有控制行动,从而确定涉及的所有不安全控制行为,并将它们作为系统中潜在的故障源。

图2.11简化的无人机系统控制结构图

根据诱捕事件的简要过程,将控制行动主要分为以下三大类:

(1)发现:确保无人机不被敌方雷达发现。

(2)干扰:确保无人机和GPS卫星连接正常,地面指挥控制站能收到无人机的相关状态信息,确保地面指挥控制站能及时向无人机输送控制指令。

(3)接管:确保飞行指挥员对无人机的控制权,确保无人机严格按照控制指令进行飞行。

诱捕事件中具体的不安全控制行为如表2.16所示。

将上述的不安全控制行为应用于简化后的无人机控制图,如图2.12所示。

图2.12诱捕事件中的不安全控制行为图

将前文分析的诱捕事件中的不安全控制行为与此次某军无人机被他国诱捕事故过程对应起来,将不安全控制行为应用于某军对无人机的控制图,得出如图2.13的结果。

图2.13某军对无人机的不安全控制行为图

在此次事件中,发生的不安全控制行为主要是:

(1)某军地面站无法获得无人机的状态信息,从而失去了对无人机的控制权。

(2)空地通信设备阻断了无人机和地面指挥站之间的通信。

(3)无人机处于失控状态。

3.无人机可控条件下的坠毁事件

防坠毁事件中主要的控制行动有:

(1)在无人机上安装防坠毁装置,并确保其在关键时刻能正常工作。

(2)确保传感器能及时、准确地发现数据(姿态信息)的大幅度变化。

(3)确保无人机具有自动避障功能。

(4)确保执行机构不发生异常情况。

坠毁事件中的不安全控制行为如图2.14所示,主要有:

(1)无人机上未加装防坠毁装置。

(2)无人机操纵人员注意力不集中。

(3)设计时考虑防坠毁因素少。

(4)传感器故障,对数据变化不敏感。

(5)执行机构未在无人机飞行前进行检查。

图2.14坠毁事件中的不安全控制行为

4.无人机事故所造成的任务终止、环境污染等

对于此类事件,一般都不会产生很大的危险,只会导致一些活动的结束。对于此类事件,我们需要做的就是尽量避免前三类事件的发生。

5.无人机造成地面操作和空管人员负担加重等

近年来,无人机干扰民航飞机飞行的情况时有发生,导致空管人员不得不改变民航原来kok电子竞技好的飞行路线,此时无疑增加了空管人员的工作内容,加重了工作负担。对于此类危险类型,采取的控制行动仅为限制无人机的活动空域,避免其与其他飞机的空间接触。该类事件的不安全控制行为有:无人机失控;无人机的频段与民航飞机的频段临近,导致出现两者相互干扰的事件发生;未设置禁飞区。

最后的两类危险一般都作为附带危险出现,所以它的不安全行为基本上就为前三类危险的部分组合。

2.4.7不安全致因场景分析

前文分析出了三个控制回路的不安全控制行为,接下来对本次事故中出现的不安全控制行为分析致因场景。分析不安全致因场景就是对不安全控制行为的发生场景进行分析,

目的是深入分析每一个不安全控制行为发生背后的原因。具体如图2.15所示。

图2.15不安全致因因素图

(1)某军无法获得无人机的状态信息,从而失去对无人机的控制权。此次不安全控制行为属于人为失误中的监督不足,某军飞行操纵员应时刻注意对无人机进行控制。

(2)空地通信设备阻断了和地面指挥站之间的通信。通信设备(GPS卫星)受到某国信号干扰,从而阻断了信息传递。

(3)无人机处于失控状态。在飞行前设置好自动返航程序,使无人机即使处于失控状态,也能按照既定程序返航。

2.4.8事故致因因素分析

1.人为因素

无人机事故中的人为因素如图2.16所示,人为原因在事故中占据着重要地位,我们将人为原因分为在实施层面上的人的不安全行为和在管理层面上的不安全监督,并就具体事项进行说明。

图2.16无人机事故中的人为因素

不安全行为的具体事项如图2.17所示。图2.17不安全行为的具体事项

不安全行为的前提的具体事项如图2.18所示。图2.18不安全行为的前提的具体事项

不安全监督的具体事项如图2.19所示。图2.19不安全监督的具体事项

组织影响的具体事项如图2.20所示。图2.20组织影响的具体事项

2.子系统机械故障

无人机系统中包含的子系统较多,有些子系统的故障属于飞行时不可避免的,有些可以避免,但因为无人化的特点加大了在飞行过程中排除机械故障的难度,相比于有人机来说,无人机机械故障的次数会更高一点。

机械故障对应着我们的日常维护,无论是外场简单维护还是定检大修,都需要尽可能把无人机的状态保持在很好的状态,提高战备出勤率。机械故障中包含的具体故障很多,但对无人机影响最大的是其最核心的子系统,即飞控系统,它直接影响着飞行安全。

3.数据链路通信中断

数据链路通信中断是无人机操作中极易出现的故障,但有些性能突出的无人机因为具有高度自动化的特点加之飞行前已经将线路规划得毫无问题,因此,也能够自主完成任务

并安全返航。对数据链路通信中断进行深层次的分析,可以看出直接造成数据链路系统通信中断的原因有数据链路系统故障、无线电电磁干扰(EMI)和信号强度弱。数据链路系统

故障包括网络故障、电源故障、终端故障、接触不良和其他原因。

4.人机交互问题

地面站的指挥人员是通过人机交互界面来判断无人机状态的,但存在着许多人机交互的问题。比如死神无人机,其操作步骤比较复杂,易造成误操作。同时,和有人机自动飞行

时一样,都必须考虑一个问题:机器在重要时刻到底是听人指挥还是按照自己设定好的程序进行操作。人最大的特点是可以灵活处理问题,只要培训到位、危险能规避,那么就可以消除风险。

而现如今的机器虽然具有很强的学习能力,但需要处于某种特定的状态才可以自动开启程序,且需要机器对状态判断准确,若误判,则会发生同样的危险。比如：胶褪ê737MAX飞机,在不到半年的时间内发生了两起事故,导致了全世界停飞该机型。在这两起事件中,就是因为设计时将飞机发动机前置,为了保持飞机飞行稳定,添加了自动增稳系统。导致事故的原因是飞机俯仰迎角(AOA迎角)传感器数据错误导致自动驾驶断开后,飞行员在手动飞行情况下,为了防止飞机失速,自动触发了飞机水平尾翼配平子程序。

结合本次典型事故案例,经过我们上述的研究分析之后,知道了发生此次某军无人机被他国诱捕事故的原因是某国综合利用了网络黑客攻击和电子战手段。

本章小结

本章以几起典型航空事故为例,介绍了STPA方法的具体应用情况。在案例分析过程中,分别对四个案例的事故经过进行了简要叙述,基于STPA方法,建立了事故安全性分析的分层控制结构,识别了事故、危险和不安全控制行为,最后得到了事故的致因因素。