基于STAMP／STPA的機輪剎車系統(tǒng)安全性分析

鄭磊，胡劍波

基于STAMP／STPA的機輪剎車系統(tǒng)安全性分析

鄭磊，胡劍波＊

空軍工程大學 裝備管理與安全工程學院，西安 710051

把機輪剎車系統(tǒng)在飛機降落過程中的安全性問題當作系統(tǒng)控制問題，不采用基于故障概率模型的事故模型，而是采用基于系統(tǒng)理論的事故模型和過程（STAMP），構(gòu)建機輪剎車系統(tǒng)在飛機降落過程中的STAMP控制關(guān)聯(lián)模型和系統(tǒng)理論過程分析（STPA）反饋控制回路。根據(jù)系統(tǒng)運行的上下文信息識別機輪剎車系統(tǒng)在飛機降落過程中的不安全控制行為，分析產(chǎn)生不安全控制行為的關(guān)鍵原因。對機輪剎車系統(tǒng)在飛機降落過程中的不安全控制行為進行仿真研究，結(jié)果表明了STAMP／STPA的有效性和用仿真方法分析安全性問題的可行性。

機輪剎車系統(tǒng)；STAMP；STPA；不安全控制；仿真分析

計算機、軟件等高新技術(shù)的飛速發(fā)展使得飛機呈現(xiàn)出信息密集、高度集成、軟硬結(jié)合等特點，也為飛機的事故模型構(gòu)建和安全性分析提出了新的挑戰(zhàn)?，F(xiàn)代飛機是一個具有多功能的復雜系統(tǒng)，呈現(xiàn)出相互關(guān)聯(lián)、信息融合、人機結(jié)合、軟硬件結(jié)合的發(fā)展趨勢，使得影響飛機運行安全的因素增加、安全因素之間的關(guān)聯(lián)性增強，同時存在著人為操作的復雜因素，使得事故模型構(gòu)建和安全性分析變得更為困難。

傳統(tǒng)的基于故障模型的事故模型，如多米諾事故模型［1］和瑞 士 奶 酪 事 故 模 型［2－5］都 沒 有 從 系統(tǒng)思維的角度去分析事故的根源，都假設事故的產(chǎn)生是由線性事件鏈導致的，雖然也認識到人是系統(tǒng)產(chǎn)生故障的重要因素，但一般將人為因素作為獨立的要素，對人在事故中作用的假設都是不健全的，很難說明產(chǎn)生的原因和解決問題的方法。同時認為系統(tǒng)的安全依賴于組成系統(tǒng)各部件的可靠性，如果所有的組件沒有失效，那么整個系統(tǒng)的安全就有保證。這種基于組件可靠性的安全性分析模型忽略了子系統(tǒng)間的相關(guān)性和耦合性，同時也沒有考慮到軟硬件結(jié)合等方面的情況。雖然之后出現(xiàn)的功能共振事故模型［6－8］以系統(tǒng)思維從系統(tǒng)整體角度出發(fā)來識別整個系統(tǒng)的功能共振和影響功能共振的環(huán)境因素，考慮到了復雜系統(tǒng)各功能之間的相關(guān)性和耦合性，但難以發(fā)現(xiàn)由于系統(tǒng)設計缺陷所產(chǎn)生的事故。同時基于以上的事故模型也產(chǎn)生了相應安全性分析方法，如故障樹分析（FTA）［9］、事故樹分析（ETA）［9－11］、故障模式及影響分析（FMEA）［12－14］和危險性、操作性分析，都是基于線性思維，用系統(tǒng)組件的可靠性來分析系統(tǒng)的安全性，對于人的行為、軟件出錯、需求缺陷、上下文場景和非線性等問題難以進行準確的描述和分析，另外由于傳統(tǒng)方法中描述的組件都假設相對獨立，因此也不能有效地分析強耦合事故原因。盡管功能 共 振 模 型 分 析 （FRAM）［7－8，15］強 調(diào) 相 互作用和相關(guān)性的重要性，同時在對人為因素理解方面有了更好的方法，但沒有被用來深入研究復雜的軟件系統(tǒng)，還只限于性能正常變化引起的事故，對于沒有性能變化、性能異常、需求缺陷和上下文影響等原因引起的事故原因不能進行很好的分析。

針對以上復雜系統(tǒng)安全性分析所面臨的挑戰(zhàn)，結(jié)合STAMP模型和STPA （Systems－Theoretic Process Analysis）方法，本文從控制的角度對飛機著陸階段機輪剎車系統(tǒng)進行了安全性分析。根據(jù)機輪剎車系統(tǒng)的建模，對機輪剎車系統(tǒng)的不安全控制行為和潛在風險進行了詳細的闡述，分析了產(chǎn)生這些危險的關(guān)鍵原因，并用仿真方法進行了安全性分析驗證。

1 STAMP／STPA工作機理

Leveson［16］于2004年提出STAMP，以捕獲更多類型的事故原因因素，包括社會組織結(jié)構(gòu)、新型的人為差錯、設計需求缺陷以及非故障組件之間不良交聯(lián)。STAMP不同于以往的安全性分析方法，是基于系統(tǒng)理論和控制理論，認為安全性是復雜系統(tǒng)的涌現(xiàn)性［17］，并把復雜系統(tǒng)的安全性分析當作一個控制問題來解決。其要點是明確各種功能組件及其相互的上下層控制關(guān)系和信號關(guān)系，同時還應考慮組件可能遭遇的干擾、外部指令以及環(huán)境因素，從而明確出各個組件正常工作所需的控制要求和信息關(guān)系。STAMP將復雜系統(tǒng)當成具有多個層次的分層結(jié)構(gòu)，同時用控制結(jié)構(gòu)關(guān)系來構(gòu)建模型，用以揭示上層對下層的控制要求或約束，以及向上層來反饋下層的信息。STAMP認為只有控制有效，滿足約束要求，反饋信息及時、準確、有效才能保證系統(tǒng)的運行性能，確保系統(tǒng)的安全。同時，STAMP認為事故的產(chǎn)生是由于復雜動態(tài)過程并發(fā)運行和相互作用所創(chuàng)造的不安全情形所致，強調(diào)多個組件相互作用，著重考慮事件發(fā)生的時機、次序及上下文環(huán)境等因素，通過對復雜動態(tài)過程的控制進行分析來查找安全威脅，評估安全問題。結(jié)合以上要求，提出了3類基本控制缺陷作為安全性分析的指導：① 控制器發(fā)出不足或不恰當?shù)目刂菩袨?，包括對故障或擾動的物理過程處置不當；② 控制行為的不充分執(zhí)行；③ 反饋信息的不正確或丟失［18］。目前，STAMP已經(jīng)成功地應用于許多領(lǐng)域，包括航天航空、國防、能源、化工、健康、運輸系統(tǒng)等，特別適用于現(xiàn)代復雜系統(tǒng)和軟件密集系統(tǒng)的安全性分析與控制。

STPA是一種建立在STAMP基礎上的危險性分析方法，通過構(gòu)建諸如由執(zhí)行器、控制過程和傳感器構(gòu)成的反饋控制回路，如圖1所示，分析其輸入、輸出信號在性能、時間或邏輯上可能的不合理情形，深入挖掘可能的不安全控制作用和場景。STPA需要執(zhí)行以下兩個步驟：① 識別不安全的控制行為；② 識別相關(guān)的致因因素。針對不安全的控制行為，STPA定義了4種形式：① 沒有提供控制行為；② 提供了產(chǎn)生危險的控制行為；③提供的安全控制行為過早或過晚；④ 提供的控制行為作用時間過短或過長［19］。然后，根據(jù)控制過程回路來識別產(chǎn)生不安全控制的因素。

2 飛機機輪剎車系統(tǒng)的STAMP模型

機輪剎車系統(tǒng)（WBS）安裝在兩個主起落架上面，在飛機滑行、著陸及中斷起飛（RTO）階段可通過其對主輪的制動來達到飛機安全停止的目的。參照文獻［20］給出了飛機機輪剎車系統(tǒng)的基本結(jié)構(gòu)，如圖2所示。

首先，飛機剎車是在飛行員的參與下自動或人工完成的，由飛行員設置剎車參數(shù)、選擇剎車方式。飛機著陸階段地面剎車可以通過剎車踏板腳蹬進行人工控制，也可以在沒有剎車踏板腳蹬輸入的情況下通過自動剎車進行控制。飛行員可以在飛機著陸之前為自動剎車預先設置好減速率。值得注意的是，只有主剎車系統(tǒng)工作時自動剎車才能使用，備用與應急剎車模式下都沒有自動剎車。

其次，飛行員選擇的剎車方式和設置的參數(shù)必須經(jīng)過剎車系統(tǒng)控制組件（Brake System Control Unit，BSCU）進行處理，以發(fā)出剎車指令。其由兩套獨立的BSCU組成，各BSCU包含獨立的檢測通道。BSCU系統(tǒng)具有如下功能：① 代替人工剎車或?qū)崿F(xiàn)自動剎車；② 控制與飛機其他系統(tǒng)的接口；③ 依照收到的指令和系統(tǒng)的狀態(tài)發(fā)出剎車命令；④ 自動避免飛機主輪滑動；⑤ 傳輸有關(guān)BSCU的狀態(tài)信息（通過顯示器指示、報警燈、警告音等方式）給駕駛艙以及飛機的各種控制計算機。

進一步，剎車指令可通過BSCU自動控制器作用于BSCU液壓控制器來實現(xiàn)自動剎車，也可通過腳蹬作用于BSCU液壓控制器來實現(xiàn)人工剎車。BSCU液壓控制器將剎車指令傳輸?shù)綑C輪剎車液壓系統(tǒng)，作用于機輪來實現(xiàn)剎車。當然，人工剎車指令可不通過BSCU液壓控制器直接作用于機輪剎車液壓系統(tǒng)。同時，與剎車系統(tǒng)工作相關(guān)的狀態(tài)參數(shù)及反饋信息由傳感器測量獲得，并在儀表上顯示。

可見，機輪剎車系統(tǒng)主要由飛行員、測量裝置、儀表、BSCU、BSCU液壓控制器等組成，且相互之間存在著邏輯上、時間上和功能上的控制與反饋關(guān)系。在深入分析機輪剎車系統(tǒng)工作原理的基礎上，通過梳理各個組成的輸入、輸出信號和相互關(guān)系，即可得到如圖3所示的飛機機輪剎車系統(tǒng)的STAMP模型。

3 基于STPA的機輪剎車系統(tǒng)安全性

基于STPA方法分析剎車系統(tǒng)是一個將從飛機級開始直到機輪剎車系統(tǒng)存在的風險充分解決的迭代過程。與其他的安全性分析方法相似，基于STPA的安全性分析方法主要也是識別系統(tǒng)存在的風險，與傳統(tǒng)的方法不同，其目的不是通過分析得到相應的危險概率，而是為了通過系統(tǒng)風險的識別來制定減緩或排除產(chǎn)生系統(tǒng)風險的策略，為日后系統(tǒng)的改進提供依據(jù)。

3．1 系統(tǒng)級事故的確定

根據(jù)STPA方法的研究過程，首先是識別飛機著陸階段機輪剎車系統(tǒng)存在的系統(tǒng)級事故，主要包括人員受傷或死亡、飛機受損、地面設施受損，具體如表1所示。人員受傷或死亡（A－1）包括機組人員、乘客和地面工作人員；飛機受損（A－2）包括飛機的各個子系統(tǒng)的受損；地面設施受損（A－3）包括機場的全部地面固定設施和移動設施。

表1 機輪剎車系統(tǒng)的系統(tǒng)級事故Table 1 System accidents of wheel brake system

3．2 系統(tǒng)級危險的確定

系統(tǒng)級的事故確定之后，就可以生成系統(tǒng)級的危險，參照文獻［20］對系統(tǒng)級危險的相關(guān)論述，結(jié)合STPA分析方法，總結(jié)出系統(tǒng)級危險主要包括飛機沖出跑道、飛機與地面障礙物或地面設施碰撞、阻擋其他飛機起飛降落或其他地面設施正常運行，具體如表2所示。

表2 機輪剎車系統(tǒng)的系統(tǒng)級危險Table 2 System hazards of wheel brake system

飛機沖出跑道（H－1）主要包括剎車輸入不及時、機輪剎車系統(tǒng)故障和剎車減速率過低等造成飛機沿跑道沖出跑道盡頭，一般不會造成地面設施受損，但不可避免地會造成飛機部分受損（A－2）和相應的人員傷亡（A－1）。飛機與地面障礙物或地面設施碰撞（H－2）包括由于飛機失控導致的與地面建筑、地面滑行的其他飛機和其他地面行駛車輛等碰撞，伴隨有人員受傷或死亡（A－1）、飛 機 部 分 受 損 （A－2）和 地 面 設 施 受 損（A－3）等事故。阻擋其他飛機起飛降落或其他地面設施正常運行（H－3），主要指飛機由于機輪剎車系統(tǒng)的故障導致?？课恢玫牟徽_，進而阻擋其他飛機或地面車輛的正常運行，并有可能發(fā)生碰撞，導致人員受傷或死亡（A－1）和飛機受損（A－2）等事故的發(fā)生。

3．3 不安全的控制行為

本文旨在分析機輪剎車這一動作產(chǎn)生的危險行為，故將飛機在著陸階段的方向舵控制、反推控制、減速板控制等都列為其他控制?？紤]到不安全的控制行為分析的實際情況，作如下假設：

假設1 在飛機著陸地面滑行階段，如果飛機速度小于安全滑行速度的臨界值，只要飛機在指定停止區(qū)域內(nèi)，認為有／無剎車的輸入都不會出現(xiàn)沖出跑道的危險。

假設2 在飛機著陸地面滑行階段，如果飛機速度大于安全滑行速度的臨界值，即使飛機在指定停止區(qū)域內(nèi)，認為就算有剎車的輸入也會產(chǎn)生飛機沖出跑道的危險。

假設3 在飛機著陸地面滑行階段，如果其他相關(guān)控制（方向舵控制、反推控制、減速板控制等）有不恰當?shù)男袨榫蜁霈F(xiàn)飛機失控的危險。

根據(jù)STPA分析方法的4種不安全控制行為，得到表3所示的剎車動作的不安全控制行為。表3通過系統(tǒng)理論過程為剎車行為定義了不安全控制行為，隨后選取了符合過程模型的可變參數(shù)（飛機速度、剎車溫度、飛機所處區(qū)域、其他控制行為）為剎車控制行為構(gòu)建了上下文信息，如表4所示。表4中的V代表飛機著陸滑行時地面安全滑行速度的臨界值，C代表剎車溫度的安全臨界值。

表4中的第1列為分析對象，第2～5列代表過程模型中的可變參數(shù)，第6～9列為控制時機。例如，第3行第9列表示飛機速度超出了安全滑行速度，同時飛機的剎車溫度也超出了安全剎車溫度臨界值，但是此時飛機所處位置不在指定的停止區(qū)域內(nèi)，還有很長的滑行距離，并且飛機有關(guān)著陸滑行的其他控制都是恰當?shù)?，因此，此時不應有剎車命令的輸入，應等剎車溫度下降到安全臨界值以下再采取動作，所以過晚提供剎車行為是不會產(chǎn)生危險的；第14行第6列和第14行第8列表示飛機速度在安全滑行速度臨界值以下，同時飛機的剎車溫度也在安全剎車溫度臨界值以下，但是飛機所處位置在指定停止區(qū)域外，若此時或過早的提供剎車輸入，那么飛機有發(fā)生H－3的危險。另外，表中所列的16種狀態(tài)都可以通過不同的控制行為進行相互轉(zhuǎn)換，所以對剎車輸入的恰當控制可以避免危險的發(fā)生。

表3 剎車動作不安全控制行為Table 3 Unsafe control actions of braking

3．4 關(guān)鍵原因分析

在具體的上下文信息和不安全控制行為導致的危險確定之后，根據(jù)STPA分析方法的控制反饋模型，總結(jié)了剎車動作產(chǎn)生危險的兩方面原因：① 因不恰當控制行為導致的危險；② 因錯誤反饋信息導致的危險。

根據(jù)以上提到產(chǎn)生危險的兩方面原因，將剎車系統(tǒng)控制反饋環(huán)節(jié)分成兩個部分，如圖4所示。

3．4．1 不恰當控制行為導致的危險

圖4中左邊部分為主動控制，分析其產(chǎn)生不安全控制行為的關(guān)鍵原因如下。

① 飛行員：飛行員誤認為設置了自動剎車從而放棄提供人工剎車；自動剎車系統(tǒng)沒有正常工作，且沒有警告飛行員；飛行員間誤認為對方提供了剎車行為；飛行員在飛機著陸前就提供剎車行為；飛行員提供的剎車壓力過大，持續(xù)時間過長；飛行員在沒有達到安全速度時就停止剎車行為；突發(fā)的外部情況導致飛行員不能及時提供恰當?shù)牟僮?；錯誤的狀態(tài)信息反饋，使飛行員誤認為無需提供剎車或提供錯誤的剎車策略。

② WBS系統(tǒng)：BSCU檢測到內(nèi)部的錯誤并且關(guān)閉了綠壓終止閥門和藍壓防滑閥門，導致人工剎車無效；WBS處在備用剎車模式時，由于機輪速度的錯誤反饋信息，使控制藍壓防滑閥門的脈沖跳動過強，導致人工剎車效果不明顯；受外界環(huán)境因素的影響，自動剎車系統(tǒng)錯誤地認為飛機沒有接觸地面或已經(jīng)接觸地面；自動剎車系統(tǒng)沒有發(fā)現(xiàn)剎車系統(tǒng)已轉(zhuǎn)換到備用剎車模式，同時仍然提供自動剎車行為并為飛行員提供自動剎車運行良好的錯誤反饋信息，造成無效剎車；綠壓系統(tǒng)出現(xiàn)故障或飛行員沒有意識到已經(jīng)人工關(guān)閉綠壓系統(tǒng)（假設可以人工關(guān)閉），同時仍然提供自動剎車行為并為飛行員提供自動剎車運行良好的錯誤反饋信息，造成無效剎車；自動剎車與人工剎車產(chǎn)生沖突。

③其他控制系統(tǒng)：反推力、減速板的有效控制使自動剎車系統(tǒng)因速度達到安全速率而停止剎車行為，導致潛在的速度過快。

3．4．2 錯誤反饋信息導致的危險

圖4中右邊部分為反饋，分析其反饋信息不正確或不充分的關(guān)鍵原因如下。

①反饋信息的產(chǎn)生階段：測量飛機速度的方法不恰當或存在缺陷；測量飛機剎車溫度的方法不恰當或存在缺陷；剎車系統(tǒng)各個閥門狀態(tài)信息的獲取不充分或存在缺陷；飛機剎車模式信息的獲取方法不恰當或存在缺陷；對相關(guān)的重要信息沒有進行獲取或獲取方法存在沖突。

②反饋信息的傳輸階段：有關(guān)飛機速度的反饋信息不正確、延時或丟失；有關(guān)飛機剎車溫度的反饋信息不正確、延時或丟失；有關(guān)飛機減速率的反饋信息不正確、延時或丟失；有關(guān)飛機剎車（自動或人工）狀態(tài)的反饋信息不正確、延時或丟失；沖突的反饋信息暗示危險的發(fā)生，但實際并無危險。

③ 外部因素的影響：外部（如塔臺）指揮信息的不正確或丟失；環(huán)境信息的獲取不充分、不正確或丟失。

4 仿真分析

本文主要針對飛機著陸滑行階段的運動過程進行仿真，根據(jù)機輪剎車系統(tǒng)的剎車過程，構(gòu)建了飛機著陸滑行階段的動力學模型，將部分不恰當控制行為導致的危險抽象考慮為剎車時間的延時效應，通過剎車實際作用的時機來反映飛機著陸滑行階段的危險狀況。以某型飛機為例，假設跑道長度為2 000m，實際滑行距離容限為1 600m，飛機著陸速度為72m／s，其中用于降落時剎車的檔位分為1、2、3、4和 Max，剎車前的剎車溫度為70℃，剎車溫度容限為1 000℃。針對表3中的部分不安全控制行為，對飛機的著陸滑行過程進行仿真。

4．1 飛機著陸滑跑模型

參照文獻［21－23］構(gòu)建了飛機著陸滑行階段的機輪剎車系統(tǒng)仿真結(jié)構(gòu)，其簡化結(jié)構(gòu)如圖5所示。

具體數(shù)學模型如下：

1）機體模型

式中：T0為機體推力；Fx、Fx1、Fx2分別為迎風阻力、主輪摩擦力以及前輪摩擦力；M為機體質(zhì)量；X為飛機滑行距離；G為機體重力；Fy為空氣升力；N1、N2分別為主、前起支撐力；Y為機體重心位移；a、b分別為機體重心到主輪中心、前輪中心的水平距離；ht為發(fā)動機推力線距機體水平軸下移距離；H為重心高度初值；I為飛機轉(zhuǎn)動慣量；θ為飛機俯仰角。

2）機輪模型

式中：ω為機輪角速度；J為機輪轉(zhuǎn)動慣量；Tf為結(jié)合力矩；Tb為剎車力矩；Vzx為機輪線速度；Rvb為機輪動態(tài)滾動半徑。

3）起落架模型

主、前起支撐力為

式中：K1、K2分別為主、前緩沖器剛度系數(shù)；c1、c2分別為主、前緩沖器阻尼系數(shù)；q為俯仰角速度。

4）剎車裝置溫度估算

式中：tb為當前剎車盤溫度；t0為機輪周邊環(huán)境溫度；K為調(diào)節(jié)系數(shù)；mi、Ci分別為剎車材料的質(zhì)量與比熱容；F為剎車壓力；υ為剎車材料摩擦力系數(shù)。

4．2 仿真結(jié)果

對飛機的16個剎車開始時刻進行仿真分析，剎車開始時刻分別為接觸地面延時t＝0，1，…，15s，剎車壓力設置為3檔，反推、減速板等減速系統(tǒng)正常工作，具體結(jié)果如圖6所示。其中前13個時刻的滑行距離符合假設的滑行距離容限，后3個時刻的滑行距離超出了假設的滑行距離容限，屬于表3中過晚執(zhí)行剎車動作導致危險的不安全控制行為，剎車溫度在提供剎車動作的最初階段有明顯上升趨勢，但溫度保持在允許范圍內(nèi)，在滑行的最后階段有所下降并保持平穩(wěn)。

對飛機在接觸地面延時t＝13，14，15s3個剎車開始時刻進行仿真，剎車壓力設置為4檔，反推、減速板等減速系統(tǒng)正常工作，具體結(jié)果如圖7所示。雖然沒有及時提供剎車行為，但由于加大了剎車的檔位，飛機在接觸地面13s后執(zhí)行剎車動作的滑行距離符合假設的滑行距離容限，飛機在接觸地面14s、15s后執(zhí)行剎車動作的滑行距離超出了假設的滑行距離容限，因增大了剎車壓力，剎車溫度有所增加，但也保持在假設允許范圍以下，同時在滑行的最后階段有所下降并保持平穩(wěn)。

對飛機在接觸地面延時14s、15s兩個剎車時刻進行仿真，剎車壓力設置為Max檔，反推、減速板等減速系統(tǒng)正常工作，具體結(jié)果如圖8所示。由于過晚的執(zhí)行剎車動作，雖然采取了最大剎車壓力，但是14s、15s兩個時刻進行剎車的滑行距離超出了假設的滑行距離容限，同時，14s時刻進行剎車時的剎車溫度也超出了假設的溫度容限。

綜上，針對剎車動作沒有及時提供的情況，通過對剎車壓力和剎車時機的合理調(diào)整，可以有效地控制飛機從著陸滑跑開始到最后停止的滑行距離和剎車溫度，但是延時提供剎車動作必須滿足一定的范圍。

5 結(jié) 論

1）采用基于系統(tǒng)理論的STAMP模型對機輪剎車系統(tǒng)進行了建模，并用STPA方法進行了分析，克服了傳統(tǒng)安全性分析方法中對子系統(tǒng)間的相關(guān)性和耦合性及人為因素考慮不充分的不足，指出了不安全的控制行為，分析了不安全控制行為產(chǎn)生的原因。

2）通過仿真研究，定量化地說明在一定的范圍內(nèi)合理地控制行為可以有效避免事故的發(fā)生，保證系統(tǒng)安全，實現(xiàn)了基于STAMP／STPA的定量安全性仿真分析。

［1］ HAYHURST E R．Industrial accident prevention：A scientific approach［J］．Industrial ＆ Labor Relations Review，1932（1）：119－120．

［2］ HICKEY J，QI V E H．Effectiveness of accident models：System theoretic model vs．the Swiss Cheese model：A case study of a US Coast Guard aviation mishap［J］．International Journal of Risk Assessment ＆ Management，2013，17（1）：46－68．

［3］ SURYOPUTRO M R，SARI A D，KURNIA R D．Preliminary study for modeling train accident in indonesia using Swiss Cheese model［J］．Procedia Manufacturing，2015（3）：3100－3106．

［4］ PERNEGER T V．The Swiss Cheese model of safety incidents：Are there holes in the metaphor？［J］．Bmc Health Services Research，2005，5（1）：71．

［5］ REASON J．Revisiting the《Swiss Cheese》model of accidents［EB／OL］．［2016－02－16］．https：／www．researchgate．net／publication／285486777，2006．

［6］ HOLLNAGEL E，GOTEMAN ．The functional resonance accident model［C］／Proceedings of Cognitive System Engineering in Process Plant，2004：155－161．

［7］ HOLLNAGEL E．The changing nature of risk［J］．Biological Bulletin，2008，19（3）：179－194．

［8］ GAN X S．Analysis of aviation accident based on functional resonance accident model［J］．China Safety Science Journal，2013，23（7）：67－72．

［9］ YAO S．Applying system－theoretic accident model and processes（STAMP）to hazard analysis［D］．Hamilton：Mcmaster University，2012．

［10］ HONMA K，HASHIMOTO A，MITOMO N．GS－5evaluation of an aircraft accident by event tree analysis［J］．International Review of Trachoma，1959，36（1）：5－56．

［11］ ASNAR Y，GIORGINI P．Modelling risk and identifying countermeasure in organizations［C］／International Confer－ence on Critical Information Infrastructures Security．Berlin：Springer，2006：55－66．

［12］ YUAN H．Network topology model and fault analysis for electrical control systems［M］．London：Springer，2012．

［13］ HUANG G Q，MAK K L．Failure mode and effect analysis（FMEA）over the WWW［C］／Internet Applications in Product Design and Manufacturing．Berlin：Springer，2003．

［14］ MIKULAK R J，MCDERMOTT R，BEAUREGARD M．The basics of FMEA［M］．2nd ed．New York：Productivity Press，2008．

［15］ CARVALHO P V R D．The use of functional resonance analysis method（FRAM）in a mid－air collision to understand some characteristics of the air traffic management system resilience［J］．Reliability Engineering ＆ System Safety，2011，96（11）：1482－1498．

［16］ LEVESON N G．A new accident model for engineering safer systems［J］．Safety Science，2004，42（4）：237－270．

［17］ LEVESON N G．Engineering a safer world：Systems thinking applied to safety［M］． Massachusetts： MIT Press，2012．

［18］ LIU J．Safety analysis on control system for water level of steam generator in nuclear power plant based on STAMP model［J］．Journal of Safety Science and Technology，2014，10（5）：78－83．

［19］ FLEMING C H，LEVESON N G．Improving hazard analysis and certification of integrated modular avionics［J］．Journal of Aerospace Information Systems，2014，11（6）：397－411．

［20］ 修忠信．民用飛機系統(tǒng)安全性設計與評估技術(shù)概論［M］．上海：上海交通大學出版社，2013．XIU Z X．System safety design ＆assessment in civil aircraft［M］．Shanghai：Shanghai Jiao Tong University Press，2013（in Chinese）．

［21］ 陳潔．飛機防滑剎車系統(tǒng)控制器的設計及仿真研究［D］．長沙：中南大學，2014．CHEN J．Design and simulation of aircraft anti－skid brake system controller［D］．Changsha：Central South University，2014（in Chinese）．

［22］ 劉文勝．航空機輪的剎車瞬態(tài)熱場模擬［J］．粉末冶金材料科學與工程，2015，20（2）：168－174．LIU W S．Transient thermal field simulation of aircraftwheel［J］．Materials Science and Engineering of Powder Metallurgy，2015，20（2）：168－174（in Chinese）．

［23］ 張明，聶宏．飛機地面轉(zhuǎn)彎和剎車響應動力學分析［J］．航空學報，2008，29（3）：616－621．ZHANG M，NIE H．Dynamicsanalysis of aircraft ground steering and braking responses［J］．Acta Aeronautica et Astronautica Sinica，2008，29（3）：616－621（in Chinese）．

Safety analysis of wheel brake system based on STAMP／STPA

ZHENG Lei，HU Jianbo＊
College of Material Management and Safety Engineering，Air Force Engineering University，Xi’an 710051，China

The safety analysis of wheel brake system in the aircraft landing process is regarded as a system control problem in this paper．Instead of the accident model based on failure probability，we use the systems－theoretic accident model and process（STAMP）accident model based on systems thinking to construct the STAMP control interaction model and the systems－theoretic process analysis（STPA）feedback control loop of wheel brake system．Furthermore，the unsafe control actions in the aircraft landing process are identified by the context of running system，and the causes of unsafe control actions are analyzed．Finally，the unsafe control actions of wheel brake system in the aircraft landing process are studied by simulation．It is shown that the STAMP／STPA method is effective and the simulation method is feasible with respect to safety analysis．

wheel brake system；STAMP；STPA；unsafe control；simulation analysis

2016－02－16；Revised：2016－05－16；Accepted：2016－06－03；Published online：2016－06－06 16：16

V37

A

1000－6893（2017）01－320144－11

http：／hkxb．buaa．edu．cn hkxb＠buaa．edu．cn

10．7527／S1000－6893．2016．0178

2016－02－16；退修日期：2016－05－16；錄用時間：2016－06－03；網(wǎng)絡出版日期：2016－06－06 16：16

www．cnki．net／kcms／detail／11．1929．V．20160606．1616．008．html

＊通訊作者 ．E－mail：jian＿bo＿h＠163．com

鄭磊，胡劍波．基于STAMP／STPA的機輪剎車系統(tǒng)安全性分析［J］．航空學報，2017，38（1）：320144．ZHENG L，HU J B．Safety analysis of wheel brake system based on STAMP／STPA［J］．Acta Aeronautica et Astronautica Sinica，2017，38（1）：320144．

（責任編輯：李明敏）

URL：www．cnki．net／kcms／detail／11．1929．V．20160606．1616．008．html

＊Corresponding author．E－mail：jian＿bo＿h＠163．com