91精品人妻互换日韩精品久久影视|又粗又大的网站激情文学制服91|亚州A∨无码片中文字慕鲁丝片区|jizz中国无码91麻豆精品福利|午夜成人AA婷婷五月天精品|素人AV在线国产高清不卡片|尤物精品视频影院91日韩|亚洲精品18国产精品闷骚

  作者：張毅

  系統(tǒng)理論事故模型與過程( Systems - Theoretic Accident Model and Process,STAMP)是Leveson提出的一種新型危險性分析方法，已廣泛應(yīng)用于航空、核電、能源開采和衛(wèi)生保健等領(lǐng)域。STAMP不同于傳統(tǒng)分析方法，它在分析系統(tǒng)失效及其因果關(guān)系時，將系統(tǒng)視為一個整體，并把安全作為一個控制問題來處理。STAMP認為，安全是某一環(huán)境下系統(tǒng)組件間交互而呈現(xiàn)出的一種涌現(xiàn)特性，該涌現(xiàn)特性受系統(tǒng)組件行為有關(guān)約束的控制。不難理解，事故誘因中除了組件失效或人的失誤之外，還應(yīng)涵蓋組件間的非功能交互作用。而這種系統(tǒng)內(nèi)組件間的非功能交互誘發(fā)的事故又稱為系統(tǒng)事故，系統(tǒng)事故就是因缺少適當控制以約束組件間的交互而造成的。相應(yīng)地，STAMP安全思想是，預(yù)防事故需要辨識和消除（或減輕）組件間的不安全交互，即在系統(tǒng)開發(fā)、設(shè)計和運行中加強控制和強化有關(guān)安全約束。

    從掌握的文獻來看，目前國內(nèi)有關(guān)STAMP及其應(yīng)用的研究尚不多見，本文可使我們更系統(tǒng)地了解和掌握相關(guān)知識。

1  基于STAMP的過程分析(STPA)

    STAMP是一種系統(tǒng)安全分析方法，它繼承了控制理論思想，將安全視為一個控制問題，并認為系統(tǒng)是動態(tài)的，而非靜態(tài)的。STAMP采用了系統(tǒng)理論的約束與涌現(xiàn)、通信與控制以及過程模型等基本概念。

1.1  約束與涌現(xiàn)

    STAMP的最基本概念是約束，而不是事件。在系統(tǒng)理論中，系統(tǒng)被視為一個層次控制結(jié)構(gòu)，且各層級施加約束給下一層級。較高層級的約束控制著較低層級的行為。安全約束特指系統(tǒng)變量間的某些關(guān)系，這些關(guān)系有助于防止系統(tǒng)進入危險狀態(tài)。涌現(xiàn)通常是指多個組件構(gòu)成系統(tǒng)后，出現(xiàn)了系統(tǒng)構(gòu)成前單個組件所不具有的性質(zhì)，這個性質(zhì)并不存在于任何單個組件當中，而是系統(tǒng)在低層次構(gòu)成高層次時才表現(xiàn)出來。在STAMP中，安全可視為系統(tǒng)組件間交互而在各層級產(chǎn)生的一種涌現(xiàn)特性，它取決于系統(tǒng)內(nèi)的組件行為上約束的強化。同時，也說明拋開背景信息討論安全是無意義的。

1.2交流與控制

在控制過程中，保持順暢有效的交流通道非常重要，它決定了能否建立有效的控制過程或達成預(yù)期目標。STAMP控制結(jié)構(gòu)的層級間有兩種交流通道：一種為向下的參考通道，為強化下一層級的安全約束提供必要的信息；另一種為向上的測量通道，提供有關(guān)如何有效滿足約束的反饋信息，它是提供自適應(yīng)控制的關(guān)鍵，如圖1所示。典型的控制過程常通過反饋回路使關(guān)聯(lián)組件保持在一個動態(tài)平衡狀態(tài)，如圖2所示。圖中的自動控制器受人工控制器監(jiān)督。虛線說明人工監(jiān)督員可直接使用系統(tǒng)狀態(tài)信息（非計算機提供），并且可不通過計算機指令去執(zhí)行受控過程。

1.3過程模型

    過程模型為控制理論的概念，也同樣是STAMP中的一個基本概念�？刂埔粋�過程通常需要目標、行為、模型和可觀測性等4個條件，而以模型條件最為重要。無論是人工控制器，還是自動控制器，都需要構(gòu)建一個受控過程的模型，以期更有效地控制它。過程模型的作用：根據(jù)對受控過程當前狀態(tài)的了解，確定需要何種控制行為，并對不同控制行為對當前狀態(tài)的影響進行估計。

    STPA是一種基于STAMP的危險性分析技術(shù)。它在分析系統(tǒng)時，使用了一系列交互作用的控制回路集合，可用于系統(tǒng)周期的任何階段。以下為STPA的具體實現(xiàn)過程。

1.3.1  定義系統(tǒng)危險和相關(guān)的安全約束

    危險通常根據(jù)具體條件或事件來定義，如設(shè)備損毀或任務(wù)失敗。目前尚無具體定義標準，主要依賴領(lǐng)域?qū)＜业闹饔^評價。定義系統(tǒng)危險后，即可通過對危險的理解，指定相關(guān)安全約束預(yù)防危險。對于自動電梯門例子，危險為：電梯關(guān)門時，有人出現(xiàn)在門口；安全約束為：門口出現(xiàn)任何人時，電梯門都不能關(guān)閉。

1.3.2開發(fā)安全控制結(jié)構(gòu)

定義了危險與安全約束，隨后，應(yīng)著手建立包含安全控制過程的典型社會技術(shù)層次結(jié)構(gòu)，即層次安全控制結(jié)構(gòu)。廣義的安全控制結(jié)構(gòu)如圖3所示，其不代表任何特定系統(tǒng)。從圖中可發(fā)現(xiàn)，其結(jié)構(gòu)包括兩個基本部分：系統(tǒng)開發(fā)和系統(tǒng)運行。而每部分又由若干層級、層級間交互、反饋控制回路以及通信信道構(gòu)成。每個節(jié)點代表社會技術(shù)系統(tǒng)的一個人或機器組件；向下的連線代表施加的控制行為，用以強化對系統(tǒng)的安全約束；而向上的連線代表提供給控制器的信息反饋，以便更有效地滿足約束。層次安全控制結(jié)構(gòu)非常復雜，對不同危險進行分析時，通常僅將總體結(jié)構(gòu)的一部分作為研究對象，其它都可視為環(huán)境因素。

1.3.3辨識潛在的不適當控制行為

    定義了系統(tǒng)級的安全控制結(jié)構(gòu)后，需要辨識可使系統(tǒng)處于危險狀態(tài)的潛在不適當控制行為。而危險狀態(tài)是指違反已定義的安全約束所處的系統(tǒng)狀態(tài)。根據(jù)控制行為可能引起的危險，給出了4種不適當控制的辨識方式：①無法提供或執(zhí)行確保安全所需的控制行為；②提供了誘發(fā)危險的不安全控制行為；③提供了過早、過遲或無序的潛在安全控制行為；④終止過快的安全控制行為。不正確或不安全的控制行為可能會引起行為失常或組件間的交互失調(diào)。為確保評估的完整性，必須依次對每個控制行為進行深入研究。

1.3.4確定潛在的不適當控制行為如何發(fā)生

該步驟可找出違反安全約束導致不適當控制行為的場景。找出了潛在原因，就可以設(shè)計一些方法，用以防止或削弱所識別的場景。STAMP按功能控制圖工作，并通過一系列控制回路的缺陷來牽引�？刂迫毕菔侵缚刂七^程中出現(xiàn)的任何不完整特性或缺點。由于事故是因不適當控制和安全約束造成的，事故原因可按控制缺陷來理解�？赡軐е挛ｋU的4類控制缺陷見圖4和參見文獻[3]。

2案例分析

    為直觀地闡述STPA分析過程，引用了一個類似于美國彈道導彈防御系統(tǒng)( BMDS)的虛擬導彈攔截系統(tǒng)( FMIS)的危險性分析案例。因篇幅有限，無法企及所有危險，僅選取個別典型危險作了剖析。

2.1  定義FMIS系統(tǒng)的危險及有關(guān)約束

    實踐和統(tǒng)計表明，意外發(fā)射攔截導彈是FMIS系統(tǒng)的一個重要危險，那么，在最高級別的系統(tǒng)規(guī)范中能追溯到兩個要求（約束）：其一，F(xiàn)MIS系統(tǒng)不應(yīng)存在災(zāi)難性危險發(fā)生的可能性；其二，F(xiàn)MIS系統(tǒng)不應(yīng)存在意外發(fā)射的可能性。且后者包含于前者之中。

2.2建立FMIS系統(tǒng)的安全控制結(jié)構(gòu)

圖5給出了FMIS系統(tǒng)的安全控制結(jié)構(gòu)。圖中包括不同的系統(tǒng)組件、各組件施加給其它組件的控制行為以及提供給控制器的反饋。例如，對于飛行計算機來說，一方面它為導彈硬件施加了保險和解除保險等控制行為，這些行為影響著硬件的狀態(tài)，需要對定義的安全約束進行強化以確保系統(tǒng)的安全；另一方面，BIT（機內(nèi)測試）結(jié)果和硬件Safe &Arm（保險與解除保險）狀態(tài)的信息反饋給飛行計算機，以便更好地滿足安全約束。此外，通過軟件變更運行模式（測試、訓練和現(xiàn)場操作）和引導系統(tǒng)攻擊目標，操作人員可對點火控制軟件的行為進行控制。

2.3  找出潛在的不適當控制行為

    分析FMIS系統(tǒng)的安全控制結(jié)構(gòu)，可找出諸多不適當?shù)目刂菩袨椤＿@些不適當?shù)目刂菩袨�，可能出現(xiàn)在實際系統(tǒng)中，也可能不出現(xiàn)。這些預(yù)先假設(shè)的不適當控制行為，在設(shè)計和制造時，應(yīng)根據(jù)對系統(tǒng)行為的研究，逐一予以確認或排除。以下為攔截任務(wù)從火控軟件到發(fā)射陣位的部分不適當控制行為。

2.3.1  缺失的“點火生效”指令

    “點火生效”控制行為指揮發(fā)射陣位對攔截導彈進行現(xiàn)場點火。當在此之前，發(fā)送的是“攔截任務(wù)”和“任務(wù)取消”時，發(fā)射陣位將返回一個錯誤。如果忽略此控制，導彈將不會發(fā)射。盡管涉及到潛在的任務(wù)保證，但它不是潛在的不適當控制行為，不會造成意外發(fā)射的危險。

2.3.2不正確的“點火生效”指令

    如果發(fā)送到發(fā)射陣位的“點火生效”指令不正確，發(fā)射陣位將轉(zhuǎn)換到一個接受攔截任務(wù)并按發(fā)射程序推進的狀態(tài)。該行為與其它不正確或不合適宜的控制行為相組合，可能導致意外發(fā)射。

2.3.3過早、過遲或失序的“點火生效”指令

    較遲的“點火生效”指令僅會延遲發(fā)射陣位對發(fā)射程序的處理能力，而不會造成意外發(fā)射；“點火生效”指令發(fā)送過早，可能會給意外發(fā)射提供機會，其危險取決于不適當控制的可能性和提前執(zhí)行控制行為的程度；最壞的情況是“點火生效”指令與“點火失效”指令失序，可能的話，所設(shè)計和建造的系統(tǒng)是有能力處理攔截和發(fā)射任務(wù)的。

2. 3.4過快終止的“點火生效”指令

    “點火生效”指令不是一個連續(xù)控制信號，而是一個單純的允許攔截命令，在這里討論“點火生效”并無實際意義。

2. 3.5  確定潛在的不適當控制行為是如何出現(xiàn)的

    為簡化問題，更好說明應(yīng)用過程，文中選擇了相對簡單的“不正確的點火生效指令”作為分析對象。

    火控計算機在收到“武器射擊”指令且火控系統(tǒng)至少一個主動跟蹤時，將“點火生效”指令發(fā)送到發(fā)射陣位。根據(jù)要求和規(guī)范，“武器射擊”指令處理相對簡單，但在判斷主動跟蹤還是被動跟蹤上有困難。軟件支持的被動跟蹤標準：①一段時間無雷達信號輸入后；②預(yù)測總彈著時間后；③確認截獲后。但是，這樣會少考慮一種情況：若操作人員對上述3項都不選定，跟蹤將不會標記為被動。在此前提下，縱使當前跟蹤目標沒威脅，一次意外“武器射擊”指令輸入，也會將“點火生效”指令立刻發(fā)送至發(fā)射陣位。

    攔截導彈模擬器用于模擬導彈的飛行計算機，F(xiàn)MIS系統(tǒng)通過該模擬器周期性地測試系統(tǒng)的可操作性。危險性分析的目的是確定測試指令發(fā)送到操作系統(tǒng)的可能性。而發(fā)射陣位提供的系統(tǒng)狀態(tài)信息包括：發(fā)射陣位是與模擬器相連接，還是與現(xiàn)有攔截導彈相連接。若火控計算機檢測到狀態(tài)變化，它會對操作人員做出提示，并重置為相匹配狀態(tài)。然而，在發(fā)射陣位給火控組件發(fā)送狀態(tài)變更信息前，火控軟件將測試“點火生效”指令發(fā)送到發(fā)射陣位的時間窗口極小，從而為意外發(fā)射提供了機會。

    從以上過程可知，基于STAMP的危險性分析，并非如傳統(tǒng)分析方法那樣通過提高組件可靠性來改善系統(tǒng)安全性，認為事故發(fā)生足一個復雜過程，涉及到整個社會技術(shù)系統(tǒng)，傳統(tǒng)方法無法充分描述這個過程，而使用系統(tǒng)理論能夠更好地分析和評估安全及危險，即從整體上分析哪些系統(tǒng)行為造成了事故，而不只是歸咎于某個人或事。

3結(jié)論

  1) STAMP將安全視為控制問題，把事故視為違背系統(tǒng)安全約束的結(jié)果。這種觀點尤其適合于航空、航天、航海、核電和化工等復雜社會技術(shù)系統(tǒng)，為系統(tǒng)的危險性分析提供了一種新的方法和思路。

  2)STAMP強調(diào)事故的發(fā)生存在由低風險向高風險轉(zhuǎn)變的過程，且這一轉(zhuǎn)變過程是可控的，因此，摒棄以往傳統(tǒng)的事后補救思想，通過事前對風險轉(zhuǎn)變過程的科學分析，是完全可以做到防患于未然的。

  3)案例分析表明：對于類似于F'MIS系統(tǒng)的社會技術(shù)系統(tǒng)，可以按照定義危險約束確定控制結(jié)構(gòu)一識別不當行為一找出行為起因的過程（即STPA分析）進行危險性分析，得出的危險分析結(jié)果，對于制訂有效可行的防控措施，具有重要的實用價值。

  4) STAMP危險性分析是一種有序的、有組織的危險分析方法，同時兼具結(jié)構(gòu)嚴謹、簡便直觀、操作性強等優(yōu)點。然而，作為新發(fā)展起來的新方法，尚存在如安全控制結(jié)構(gòu)的確定等難題亟待解決，也是下一步深入研究的方向。

4摘要：傳統(tǒng)危險性分析方法將事故視為開始事件誘發(fā)的一連串事件所造成的不幸后果，適于處理相對簡單或由物理組件構(gòu)成的系統(tǒng)，但無法勝任較為復雜的社會技術(shù)系統(tǒng)，有必要研究和探索推廣性更好、更為有效的系統(tǒng)安全分析手段。系統(tǒng)理論事故模型與過程( STAMP)將安全視為系統(tǒng)組件間交互的一種涌現(xiàn)特性，并認為事故起因除了組件失效，組件間交互失常而違背安全約束也是重要誘因。主張在系統(tǒng)開發(fā)、設(shè)計和運行中通過加強控制和強化有關(guān)安全約束來預(yù)防事故。基于此，先引入了STAMP的基本概念，并介紹了其分析步驟，然后，以貼近真實的導彈攔截系統(tǒng)危險性分析案例，闡述了基于STAMP的分析過程。該分析方法可為開發(fā)較高安全性水平的社會技術(shù)系統(tǒng)提供技術(shù)支持。