基于IDAC-STPA模型的战机飞行安全性分析与评价

王 瑛, 孙 贇, 李 超

(空军工程大学装备管理与无人机工程学院, 陕西 西安 710051)

摘 要: 针对战机飞行安全性分析不全面且缺少定量评价的问题,提出了一种新的飞行安全性分析和评价方法。首先,危险分析技术(system theoretic process analysis,STPA)可以从系统的角度分析影响战机飞行安全的风险源,基于人为可靠性动态分析(information, decision and action in crew,IDAC)模型是目前最全面的人为可靠性分析模型,结合两者的优势提出了IDAC-STPA分析方法。然后,利用该方法分析战机飞行风险源,并在此基础上建立了飞行员操纵-战机机体模型,叠加不同飞行条件下飞行参量的风险度可以得到相应机动动作的安全谱,在此基础上得到该飞行动作的风险度。最后,通过对某型战机眼镜蛇机动的安全性分析,发现该型战机飞行中的不安全控制行为和潜在风险。通过安全谱提供一种直观的分析事故演化的方法,在此基础上计算的风险度提供了一种定量分析事故演化的方法,该方法可以为飞行员的飞行训练提供一定的借鉴。

关键词: 基于人为可靠性动态分析-危险分析技术; 飞行仿真; 安全谱; 风险度

0 引 言

战机是一个典型的复杂装备系统,各种高新科技在战机上的广泛应用使得战机表现出信息集成、高度融合、人机交互、软硬交叉等发展特点^[1],由此导致影响战机飞行安全的风险因素增多,风险因素与风险因素之间的相互耦合特性增强^[2-3],分析战机在不确定条件下的飞行安全性、构建战机在不确定条件下的飞行事故模型亟待解决^[4-5]。当前对于战机的安全性分析方法中“还原法”还占据主流地位,即分解拆离影响战机系统安全性的各个风险因素,分别研究各风险因素的影响。但是各风险因素间的相互耦合联系对于整个战机的安全性影响更大,单纯从单一风险因素入手研究,忽视了风险因素间的关系^[6-8]。因此,单一的研究某一风险因素将不能适应日益复杂的战机系统安全飞行的需要,战机系统的复杂性催生新的安全分析方法。

目前,对于事故分析应用较多的方法是故障树分析、事故树分析、危险性和操作性分析等方法^[9-11],这些都是用系统组元的可靠性基于线性思维进行系统安全性分析,不能描述系统间的非线性联系。文献[12]认为事故的发生不是单个组件引起的,通过对复杂系统的层次化建模,应用系统事故的概念描述多组件交互导致的事故;文献[13]认为应该建立系统安全观,关注影响系统结构与功能的各种交互作用;文献[14]在航天工程领域提出系统组元间交互作用引起安全问题的观点,同时建立仿真模型,研究复杂系统内的交互问题;文献[15]认为信息流、控制流以及接口间的不安全交互影响系统安全,要把系统安全性融入系统的目标与发展规划中;文献[16]认为复杂系统内存在各种异质组元,系统内部的不安全交互与协作引起系统安全水平的降低。国外将复杂系统安全性分析模型应用在航空航天领域、物流管理、供应链管理、公司运营管理等诸多领域,取得了不错的效果。文献[17]采用基于系统理论的事故模型和过程(systems-theoretic accident modeling and processes, STAMP)/ 危险分析技术(system theoretic process analysis,STPA)对战机刹车系统安全分析,并进行了安全性验证,该方法对分析战机飞行安全有很好的借鉴意义。

康奈尔认为，性别是一种社会实践，它与种族、阶级、国别等社会结构相互交叉或产生互动。因此，男性气质不是一成不变的，它形成于特定的时间和场所，是历时性的，总是随着社会历史文化的发展做出自己的调整。《德古拉》的背景是19世纪维多利亚时代末期，当时的英国是一个等级分明的男权社会。在典型的男权社会中，作为天生的户主和家庭保护者，男性的社会地位和性别关系地位远高于女性，并且被认为应该具有积极活跃，勇敢无畏等品质，这些都是当时社会理想的男性气质。对比之下，女性的活动范围局限于家庭之内，在社会主流眼中的理想形象是一个温顺、贞洁的“家庭天使”。

针对战机飞行安全性分析的复杂性,需要新的安全性分析方法。STPA可以从系统的角度分析影响战机飞行安全的风险源,为了进一步突出人为因素对于战机飞行安全性的影响,利用最新的基于人为可靠性动态分析(information, decision and action in crew,IDAC)模型对STPA方法进行改进,在IDAC-STPA方法分析风险源的基础上,根据复杂系统仿真模型对战机飞行过程建模仿真,利用飞行安全谱对飞行安全进行定量分析,从中发现风险演化规律,分析战机飞行中的不安全控制行为和潜在风险,为飞行员进行飞行训练提供参考,提高飞行安全性。

1 基于IDAC-STPA 的飞行安全性分析

1.1 STPA 分析

复杂系统运行时,系统元素时时更新,元素联系随时可能改变,系统不断调整以适应自身及其环境的变化,这为辨识系统风险因素提出巨大挑战。STPA方法和其他风险分析方法一样,其目的都是辨识系统的风险因素,在此基础上提出相应的安全约束,以保证系统处于动态平衡的状态。为了对系统进行规范安全性分析,STPA包括两个步骤^[16]。

步骤 1 对系统中存在的各种安全控制行为进行评估,从中明确可能引起风险的不安全控制行为。不安全控制行为包括没有提供控制行为或者没有遵守相关安全要求、虽然提供控制行为但同时引入不安全风险、虽然提供控制行为但控制时机不恰当、虽然提供控制行为但控制行为持续时间不恰当。

她坐在一块青色的大石头上，掏出背包来喝水，又碰到了那一团柔软的羊皮。眼前闪动着一个高个子男人深深的眼睛，忽然有了分享的冲动。这么多年，她一个人行走，赚钱，再行走，已经忽略了分享的快乐。

步骤 2 针对步骤1中明确的不安全控制行为,确定不安全控制行为如何发生,识别出致因场景或风险路径。构建出事故致因场景或者是风险路径,为满足后续风险分析,需要控制结构包含每个组件的过程模型,如图1所示。

图1 标准的控制回路
Fig.1 Standard control loop

1.2 IDAC-STPA 分析方法

复杂系统安全性受到人为因素影响越来越大,针对STPA方法分析人为因素时缺乏明确流程,借鉴人为分析模型对其进行改进。文献[18]将行为科学与认知心理学引入人因可靠性分析,建立了IDAC模型。IDAC模型以行为科学中IDA为基础,动态评估复杂系统人为可靠性。该模型由3个部分构成,即认知行为、行为影响和认知响应模型,如图2所示。首先采集系统及其外部信息,直接采集的信息中存在干扰,利用外部过滤器处理后利用。行为人进一步分析有效信息,在科学分析基础上做出行为决策,制定行为策略时存在多方面影响因素,这些因素分为外部影响因子和内部影响因子。行为人充分考虑各类信息和内外因素后,作出行为响应。由于行为执行遵循一定行为规范,经过对行为人的研究得到行为因果模型,抽象出行为规则,据此对行为人进一步分析^[19]。

图2 IDAC响应模型
Fig.2 IDAC response model

构建IDAC-STPA系统风险识别模型如图3所示,模型中实线表示人工控制器通过自动控制器对执行机构施加控制,虚线表示人工控制器直接对执行机构施加控制。

图3 IDAC-STPA复杂装备系统风险识别模型
Fig.3 IDAC-STPA complex equipment system risk identification model

改进模型的输入主要在原有传感器输入和仪表输入基础上增加外部视景输入,行为人信息来源除了借助外在仪器设备帮助,本身存在直观认识,这些认识对决策起重要作用,紧急情况下,个人感官认识有时成为决策唯一依据。模型改进后可以将分析过程划分为3个阶段:信息预处理、信息分析决策、控制策略执行^[20]。

我的小弟才九个月，但已经有点“无法无天”。他喜欢用头到处撞，用手抓任何东西。无论给他什么东西，他都要先尝一尝，再拿在手里玩弄。

(1) 信息预处理阶段

行为人接收到信息后,对信息进行处理和分析,一方面判断信息的科学性,可用性,对异常信息进行处理;另一方面容易错误理解信息,或者接收信息出现时滞,影响信息传入下一阶段。

(2) 信息分析决策阶段

行为人对信息进行预处理后,对本身状态和周围环境形成初步认识,形成过程模型,同时借鉴个人经验和记忆信息,进一步处理信息,形成最终认识,做出决策。

采用四元数法得到f 的表达式为^[20]

行为人决策后,要把个人决策转化为具体指令,传达给自动控制器。指令传达过程中,信息可能失真或是时滞,同时,内外因素作用可能影响其操纵精度和时间。

分析新模型得到8种控制缺陷,其中,缺陷2～缺陷4受到缺陷5和缺陷6中行为人心智模式和生理状态较大影响,因此该缺陷单独列出,突出人为因素的影响。

此外，由人民文学出版社出版，董卿主编的《朗读者》图书，采用了AR技术来提升阅读体验，借助“朗读者AR”客户端，扫描书中的任何一张图片，即可观看近1000分钟的视频片段，体验观看视频、聆听朗读与阅读文本的无缝连接；国内首部 VR 旅行类图书《奇遇》2017年9月上市，随书赠送一副 VR 眼镜，读者只需要扫描书中的二维码，就可以观看爱奇艺的 VR 视频，实现观看视频与阅读图书的完美结合，大大增强与读者的互动感。因此，出版社要想在VR/AR图书领域突围，做好内容的原创和选题创新成为重点。

缺陷 1 信息输入不安全。可能会出现丢失信息、不同信息源输入信息矛盾、输入信息出现延迟、没有及时更新等问题。

(1) 飞行员自我感觉错误对战机姿态误判。

缺陷 3 信息分析决策过程不安全。过程模型存在模型构件缺失、信息更新缓慢等缺陷或者存在过程设计错误,记忆信息存在信息冲突等缺陷或者存在信息错误,因为过程模型和记忆信息的缺陷导致行为人在面临具体情况时容易决策失误,对执行机构发出错误指令,给系统带入风险。

缺陷 4 控制策略执行过程不安全。行为人形成决策指令时,可能因为犹豫产生时滞现象,或者因为生理或心理原因出现操作精度下降等情况,具体生理或心理原因可以参照缺陷5和缺陷6的分析。

缺陷 5 行为人生理状态不佳。生理状态主要从两个方面分析,即行为人是否进入生理极限状态、行为人是否处于疲惫状态。

（三）剖检及病理变化 鼻腔有粘液和泡沫，气管充血，胸腔浆膜有弥散性出血斑点，肺轻度水肿，充血、出血，心包内有淡黄色积液，心包膜有出血点，在心脏冠状沟，心冠基部有成片出血，心内膜和心肌出血严重呈条索状，块片状，有的胆囊壁水肿增厚约3倍，脾不同程度肿大，在其边缘和脏面有多处芝麻大红色圆形突起。有的在心包膜、胸腔、腹腔有纤维素渗出物，脾肿大，胆囊充盈，呈深黄色，脾淡紫色，肾肿胀，在皮质，髓质交界处有几处黑红色出血点，胃底部出血，十二指肠和空肠前段有弥散性、粟粒大的出血，全身淋巴结肿大，充血、出血发黑，脑膜充血。

缺陷 6 行为人心智模式不佳。心智模式主要从5个方面分析,即认知模式和趋向、焦虑与态度、情绪激励、感知与评估和内在素质。

以“计算机网络”课程为例，探究学习过程如图1所示.根据课程的特点，初步设计了探究学习模式，如图2所示.具体实施步骤如下:

缺陷 7 执行器和被控过程不安全。此处的分析主要针对装备本身,从可靠性角度出发,建立装备的可靠性模型,研究装备部件的安全性水平。

缺陷 8 不合适的环境或团队等因素。此处的缺陷虽然是外界影响因素,但是对行为人的认知产生影响,进而影响其决策行为,因此会对装备造成重要影响,应该引起足够的关注。

2 基于飞行员模型的飞行安全性仿真

为得到战机飞行安全风险度,在前文分析的基础上,进行安全性仿真。本文主要针对战机的机动过程仿真,根据机动动作构建动力学模型,仿真中把部分不恰当控制行为导致的风险抽象为延时效应和噪声干扰,通过飞行参量的变化反映该飞行动作的风险状况。

限于时间和资源的限制,本文只选取部分因素,这些因素很大程度上反映飞行员感知、决策和控制对飞行安全影响。其他因素仿真类似,本文不再赘述,采取如下规则选取:

(1) 人为因素需对飞行有直接影响,不考虑产生间接影响的人为因素;

(2) 人为因素可以进行量化,排除只能定性描述的人为因素。

2.1 战机机体模型

战机机体动力学模型^[21]表示为

(1)

式中,u 为控制向量;x 为状态向量,且

x =[V α β q ₀q ₁q ₂q ₃p q r x _g y _g z _g ]^T

(2)

式中,V 、α 和β 分别表示战机的飞行速度、战机的飞行迎角与战机的飞行侧滑角;x _g 、y _g 、z _g 分别表示战机在地面坐标系不同方向的位置。

u =[δ _thδ _e δ _a δ _r ]^T

(3)

式中,δ _th表示战机油门偏度;δ _e 、δ _a 、δ _r 分别表示战机的升降舵偏转角度、副翼偏转角度以及方向舵偏转角度。

(3) 控制策略执行阶段

(4)

(5)

(6)

(7)

②飞行员达到生理极限(如过载过大);

(8)

2.2 飞行员模型

参考文献[22-23],建立飞行员模型如图4所示,输入信号是标准的输入量与仿真系统实际响应量间的偏差值,飞行员主要行为特性主要应用虚线框中的4个模块进行描述。

图4 飞行员模型结构示意图
Fig.4 Schematic diagram of structure of pilot model

(1) 显示环节

治疗前对照组与实验组患者神经功能缺损评分分别为18.4±3.7分与18.2±3.5分；治疗后对照组与实验组患者神经功能缺损评分分别为7.6±1.9分与4.2±1.1分。在治疗前两组患者神经功能缺损评分没有差异，差异无统计学意义（t=0.175，P＞0.05）；在治疗后实验组患者神经功能缺损评分均比对照组患者好；差异有统计学意义（t=6.925，P＜0.05）。

显示环节相当于感知环节,飞行员通过屏显、传感器、感官感知等接收战机当前飞行状态时引入误差,此处引入噪声影响模拟该误差。

(2) 延迟环节

延迟环节相当于飞行员在读取信号、信号传输至大脑以及大脑做出决策的过程中未感知到信息或者错误的理解信息造成延时,该延时效应用e^-τs 表示,对于中等水平的飞行员τ 取值为0.16～2.4 s,飞行员进行复杂机动动作时τ 取值为0.2～0.6 s。

(3) 补偿环节

补偿环节相当于决策模块。根据不同的飞行情形,可以设定战机目标俯仰角、滚转角,在此基础上,根据文献[21]中采用的飞行员模型,本文在各通道上建立飞行员补偿操纵策略模型。

俯仰角控制模型为

(q sinφ +r cosφ )[p +(q sinφ +r cosφ )tanθ ])}

技术路线：文献检索、政策调研—走访、会议、实地调查—信息系统技术调研—财务专家咨询—设计信息化管理模式—探索财务信息化管理体系的搭建—培训和选拔科研财务助理—试行信息化管理系统的运行—方案评审和完善。

(9)

式中,I _xx 、I _yy 、I _zz 、I _xz 为战机的转动惯量;K _θ1 、K _θ2 为常数值,其他中间变量的计算参照文献[21]中所示。滚转角控制模型为

(10)

式中,φ _c 为指令俯仰角;K _pa 、K _Da 和K _Ia 为常数值,但在不同的φ _c 区间段取值不同。

控制模型中参量的改变会直接影响战机的飞行安全状况,因此在不同的飞行情形条件下,尽量保证战机能够按照指令飞行。

(4) 控制环节

现代信息技术已经渗透到各个领域当中，使得人们的工作效率以及生活质量得到了很大的提高。旅游行业要想在现代社会背景下得到更好的发展，与信息技术相融合是一条重要的路径。实现旅游管理信息化建设不仅是时代发展的必然要求，也与其行业本质之间存在一定的联系。因此，旅游管理的相关部门应该充分认识到信息化建设的重要性，并采用合适的方式完成这项工作。

2.3 飞行安全性评价

飞行事故一般伴随着飞行参量的异常变化,通过飞行参量的变化可以判断出飞行的风险程度。目前飞行安全参量的阈值一般是确定的,但是人们对该阈值的认识往往是不确定的,为此,文献[23]提出了利用色彩叠加构成的安全谱研究风险演化的方法,本文在此基础上提出利用历史数据和专家经验得到各风险色的风险度,对各风险色在安全谱中的百分比赋权相加算得飞行风险度的方法。

飞行参量各自区间对应的风险色如表1所示,表1中彩条表示飞行状态参量x 对应的风险色彩区间。风险度h 反映飞行动作的风险程度,其取值范围为h ∈[0,1],h =0表示该飞行动作没有风险,可以安全飞行;h =1表示该飞行动作风险很大,最终飞行事故发生。当或时,表示飞行参量超过阈值,事故发生,浅灰色和深灰色分别表示状态参量超出了左边界和右边界,分界点处的风险度设为和当或时,表示战机比较危险,用浅红色和深红色分别表示,分界点处的风险度设为h _a 和h _d ;用绿色表示安全范围,分界点处的风险度设为h _b 和h _c 。确定分界点需要考虑战机的本身性能及所处飞行状态等因素,参照飞行手册。

表1 飞行参量风险色及其风险区间

Table 1 Flight parameter risk color and its risk interval

为实时反映飞行风险度,应该对每一时刻的飞行参量进行计算,但是实际应用中受限于飞行参数较多、资源有限,计算风险度前首先对飞行参数进行离散化,选取各时段最危险的飞行参量进行计算,由此,各风险色的风险度计算公式为

(11)

式中,x _i 表示在该风险色中时段i 的飞行参量;n 表示在该风险色持续的时间;和分别表示飞行参量近安全端分界点和远安全端分界点;和分别表示和的风险度。

假设黑、红、黄、绿占飞行时间段的占比分别为S _k 、S _r 、S _y 、S _g ,相应风险度分别为h _k 、h _r 、h _y 、h _g ,则该飞行时间段风险度计算公式为

h =S _k h _k +S _r h _r +S _y h _y +S _g h _g

(12)

飞行安全存在木桶效应,所以飞行安全谱与在该时刻最危险的飞行参量的风险色相同,飞行风险度与之类似,所以该情形下飞行风险度为全部飞行参量在对应时刻下最危险飞行参量的风险度的和。

3 案例分析

眼镜蛇机动是一种纵向过失速机动动作^[24],飞行员通过控制飞行姿态,达到进攻或防御的目的,在当前部队大抓训练战备的背景下,对眼镜蛇机动的安全性分析具有重要意义,因此本文以某型战机眼镜蛇机动为例,进行安全性分析与评价。

3.1 确定系统级事故和风险

系统级事故主要指人员伤亡或战机损坏甚至损毁。人员伤亡包括空勤人员受伤或死亡和因战机坠机导致地面人员受伤或死亡;战机损坏甚至损毁指战机子系统损坏或是战机整机的损毁。参照文献[25],总结系统级风险主要包括战机失速、驾驶舱内弹射座椅弹射不成功、战机坠落触地爆炸、战机与地面建筑碰撞或坠落在人员密集区等。

3.2 不安全的控制行为

3.2.1 飞行员没有识别存在的危险

缺陷 2 信息预处理阶段不安全。行为人没有接收到输入的系统状态信息,或者是接收到输入信息后对信息理解错误或理解出现迟疑导致出现时滞,对信息进行预处理过程中出现偏差。

(2) 飞行员未能从屏显或传感器显示的信息中心觉察到飞行风险

①飞行员未能看清信息;

其实李小树也并不是完全没有去理会那些女人的眼神，很多时候，他都在宽大的镜片下打量着她们，只不过在遇到自己喜欢的女人时，他才会主动上去搭讪回应。即便如此，他对一个女人的新鲜感最长时间也不会超过三个月。

②飞行员看清信息但判断错误;

③安全文化不良,安全意识、责任不强;

④安全教育不充分;

本研究以鲁迅小说《离婚》的五个英译本为研究素材。《离婚》是鲁迅以现实生活为题材所写的最后一篇小说。它运用对话的形式展开故事情节，介绍人物。这种文学创作形式在当时的文坛是一种创新。也许正是因为其独特的创作手法吸引了译者们对该小说翻译的兴趣。

⑤团队沟通交流不畅。

3.2.2 飞行员意识到飞行风险,但是控制行为不恰当、无效或缺失

控制环节相当于飞行员对战机进行操纵,可以用(1+T _L s )/(1+T _N s )(1+T _I )表示,其中,T _N 描述的是当肌肉接收指令时,因自身惯性和收缩引发的时迟特性,取值0.8～1.2 s;T _L 描述的是飞行员根据经验提前操纵补偿滞后而呈现导前特性,取值0～1 s;T _I 描述的是飞行员任务负荷量,取值越大,负荷量越大,取值0～1 s。此外,飞行员操纵时因自发性手抖或者因为生理和心理因素导致出现操纵失误,同样会引入噪声信号。

(1) 飞行员无法做出决策或者决策迟疑。

(2) 飞行员作出的控制行为不恰当(包含决策错误)

①飞行员进行了错误的机动指令;

②飞行员记忆中的机动程序有误;

③书面操作程序不正确;

对面向对象嵌入式操作系统定制模块功能进行抽象，使之成为对应于配置模型的抽象模块，抽象模块以文件的形式放在构件库中，依据上述思路，构建了如图3所示嵌入式Linux操作系统配置模型。

④飞行员认为自己的操纵足以脱险,过早停止机动;

⑤飞行员认为自己的操纵不足以脱险,过晚停止机动。

(3) 飞行员无法做出控制行为(机动动作)。

完善东西部对口支援制度，使中西部青少年更多地能够到东部或城市接受职业教育，提高他们的就业创业能力。推进招生计划管理改革，新增本科招生计划全部安排给高等教育资源相对缺乏、升学压力较大的中西部和人口大省，进一步缩小录取率最低省份与全国平均水平的差距。继续实施中西部高等教育振兴计划，推进中西部高校基础能力建设工程和中西部高校综合实力提升工程，支持中西部地区建设一批有特色、高水平的高等学校。构建利用信息化手段扩大优质教育资源覆盖面的有效机制，加强慕课建设、使用和管理，充分利用现代教育技术和方法，提高办学质量和人才培养水平。

以上3种情况下,飞行员均存在如下缺陷:

①飞行员疲劳;

q ₀、q ₁、q ₂和q ₃表示四元数,满足

③飞行员的不恰当的认知模式或者认知倾向(如偏倚、注意力分散);

④飞行员情绪紧张;

⑤飞行员焦虑与自觉(如警报过多、对任务过于自信等)。

3.3 识别控制缺陷

3.3.1 执行机构不恰当地执行

(1) 电传操作系统给战机发出不正确的指令；

(2) 操作杆故障；

(3) 电传操纵系统和迎角限制器电门故障；

(4) 液压系统故障；

(5) 战机其他机械故障；

(6) 时间延迟。

3.3.2 反馈不恰当或缺失

(1) 反馈信息的产生阶段

①战机姿态、速度、位置等测量机构故障(包括测量不准确);

②时间延迟。

(2) 反馈信息的传输阶段

①信息传递通道故障(包括丢失信息);

②屏显信息不更新;

③不同信息源的信息相冲突;

④大气计算机故障；

⑤时间延迟。

(3) 飞行员感官知觉差错。

3.3.3 其他

(1) 不正确的通信、导航、气象等信息；

(2) 恶劣的气象环境；

(3) 不恰当的组织管理因素,如计划制定、沟通交流、安全文化、风险管理、组织结构等；

(4) 不恰当的团队因素,如团结程度、合作协调、领导效能、团队组成等。

3.4 眼镜蛇机动的风险度

本文主要针对战机眼镜蛇机动过程进行仿真,根据该机动动作的过程,构建了眼镜蛇机动的动力学模型,将部分不恰当控制行为引入的风险抽象为延时效应和噪声干扰。

仿真可得预测时间段飞行参量的变化情况,按照表1中飞行参量的色彩区间画出相应的安全谱,战机的初始条件设定为高度H =1 000～11 200 m,速度V =310～420 km/h,战机保持定常直线飞行,达到飞行条件后进行战机机动。图5为在该预测时间段内战机迎角变化的安全谱。

图5 战机迎角变化曲线及安全谱
Fig.5 Change angle of fighter angle of attack and safety spectrum

通过图5可以看出,眼镜蛇机动持续时间约5～6 s,整个机动过程风险度较高,虽然机动过程中迎角超出了战机的最大限制,安全谱中出现了黑色色块,但是该迎角变化是飞行员主动做出的变化,只要操纵得当不会发生飞行事故,所以本案例以表示风险度较高,其他端点风险度设定为据此可以求得该情形下,迎角的变化反映出的风险度h =0.812 5。

各个飞行参量的安全谱反应的是该参量在预测时间内的变化,最后一行安全谱为整个预测时间内该飞行情形下战机飞行参量的风险变化。下面选取机动过程中的两个飞行情形进行分析,图6为飞机加速爬升开始进行机动动作,根据安全谱求得此时战机的飞行风险度为h =0.315 4;图7为飞机处于最高点开始下降进入俯冲阶段的情形,此时战机的飞行风险度为h =0.745 3。由此,对各个状态进行仿真求解可以得到整个机动动作在预测时间内的风险度变化趋势图如图8所示。从风险的演化过程可以看出,眼镜蛇机动容易出现失速导致飞行姿态难以控制,为确保该机动动作的顺利完成,需要保证战机处于安全的飞行范围,同时着重注意速度、迎角、高度变化率等关键参数的实时变化。

图6 加速爬升时的飞行安全谱
Fig.6 Flight safety spectrum when accelerating climb

图7 俯冲下降时的飞行安全谱
Fig.7 Flight safety spectrum when dive descends

图8 眼镜蛇机动飞行风险度趋势图
Fig.8 Trend of Cobra mobility risk

从图8中可以看出眼镜蛇机动在整个预测过程中风险度都比较高,由于眼镜蛇机动持续时间较短,如果机动过程中出现危险时,飞行员不能及时处置险情,极易发生严重的飞行事故,因此有必要研究发生险情时,如何采取合适的控制行为尽量降低风险,避免飞行事故发生。

3.5 不同控制行为下飞行安全分析

(1) 未采取合理控制行为

眼镜蛇机动过程中,飞行员需要操纵驾驶杆控制战机在纵向上的飞行姿态,除此以外还需要通过蹬舵和推力差控制战机姿态,如果不进行修正,由于陀螺力矩作用,飞机会出现偏航和滚转等情况。图9为不同控制行为下飞行风险度,从图9可见,飞行员未进行修正操作,战机的飞行风险度随之升高,其中后半段的风险度比前半段升高的更多,在不采取合理控制的情况下,战机后半段的状态变化更剧烈。

图9 不同控制行为下飞行风险度
Fig.9 Flight risk under different control behaviors

(2) 采取不恰当控制行为

机动过程后半段,战机高度下降,迎角减小,此时迎角的减小速度对飞行安全影响很大。图10为不同迎角减小速度下飞行风险度,由图10可见,迎角过快减小,战机容易进入负迎角,飞行员难以操纵战机姿态;迎角过慢减小,战机速度损失较大,战机失速的可能性大大升高。经过仿真可知,战机的迎角减小速度保持在20°/s左右时战机的风险度较低。

从以上分析可以看出眼镜蛇机动风险度高,对该机动产生影响的因素复杂,完成动作难度很大。机动过程中,战机速度迅速降低,对推重比较小的战机而言,速度降低意味着丧失机动能力,因此当常规机动有较大把握时,应该避免使用眼镜蛇机动。

图10 不同迎角减小速度下飞行风险度
Fig.10 Flight risk under different angle of altack reduction velocity

4 结 论

(1) 基于最新的人因分析IDAC模型改进了STPA方法,使用IDAC-STPA分析方法对战机的飞行安全性进行分析,指出了飞行过程中存在的不安全控制行为,在此基础上分析了产生的原因,克服了传统方法对复杂装备系统中子系统存在的相关性及人为因素考虑不充分的缺点。

(2) 通过仿真分析,利用安全谱定量评价飞行安全,尝试应用定量的方式对战机进行安全性分析,同时通过仿真说明采取必要的控制行为可以降低飞行风险,尽量避免飞行事故的发生,提高战机的任务完成率。

(3) 通过本文模型获取的安全谱可以直观反映出战机按指定指令飞行时的风险演变过程,求得飞行风险度。在训练战备中将计算数据储存于机载计算机中,不同飞行情形,特别是遭遇多种不利条件时,可以给飞行员以操纵提示,提高飞行任务完成率;在飞行员试飞新动作,特别是高难度动作时,可以通过本文模型得到的安全操纵范围给飞行员以飞行建议,提高飞行员试飞成功率。

参考文献：

[1] BALACHANDRAN S, OZAY N, ATKINS E M. Verification guided refinement of flight safety assessment and management system for takeoff[J]. Journal of Aerospace Computing Information & Communication, 2016, 13(9): 1-13.

[2] VIOLETTE M G, SAFARIAN P, HAN N, et al. Transport airplane risk analysis[J]. Journal of Aircraft, 2015, 52(2): 395-402.

[3] SOETERS J L, BOER P C. Culture and flight safety in military aviation[J]. The International Journal of Aviation Psychology,2000,10(2):111-133.

[4] ETHERINGTON T J, KRAMER L J, BAILEY R E, et al. Quantifying pilot contribution to flight safety for normal and non-normal airline operations[C]∥Proc.of the Digital Avionics Systems Conference, 2016: 1-14.

[5] ASHOKKUMAR C R, YORK G W, GRUBER S F. Fault tolerant margins for unmanned aerial vehicle flight safety[J]. Journal of Intelligent & Robotic Systems, 2017, 88(2/4): 1-14.

[6] BALACHANDRAN S, ATKINS E. Markov decision process framework for flight safety assessment and management[J]. Journal of Guidance Control & Dynamics, 2016, 40(4): 1-14.

[7] PEI B, XU H, XUE Y. Flight-safety space and cause of incident under icing conditions[J]. Journal of Guidance Control & Dynamics, 2017, 40(11): 1-8.

[8] 薛源, 徐浩军, 胡孟权. 结冰条件下人-机-环系统的飞行风险概率[J]. 航空学报, 2016, 37(11): 3328-3339.

XUE Y, XU H J, HU M Q. Flight risk probability of pilot-aircraft-environment system under icing conditions[J]. Acta Aeronautica et Astronautica Sinica, 2016, 37(11): 3328-3339.

[9] KAMMÜLLER F, KERBER M. Investigating airplane safety and security against insider threats using logical modeling[C]∥Proc.of the Security and Privacy Workshops,2016: 304-313.

[10] MINDOCK J, LUMPKINS S, ANTON W, et al. Integrating spaceflight human system risk research[J]. Acta Astronautica, 2017, 139: 306-312.

[11] TOMCZYK A. Handling qualities augmentation system for general aviation aircraft[J]. Proceedings of AIAA Space, 2001, 40(10): 1954-1960.

[12] PERROW C.Normal accidents:living with high-risk technologies[J].American Journal of Sociology,1999,10(2):366-368.

[13] RAHEJA D, MORIARTY B. New paradigms in system safety[J]. Journal of System Safety, 2006, 42(3): 1-3.

[14] HALLMAY M, KELLY T. Using agent-based modelling approaches to support the development of safety policy for systems of systems[C]∥Proc.of the 25th International Conference on Computer Safety, Reliability and Security, 2006: 330-343.

[15] BODEAU D J. System-of-systems security engineering[C]∥Proc.of the Computer Security Applications Conference, 1994: 228-235.

[16] LEVESON N. Engineering a safer world: systems thinking applied to safety[M]. Massachusetts: MIT Press, 2011.

[17] 郑磊, 胡剑波. 基于STAMP/STPA的机轮刹车系统安全性分析[J]. 航空学报,2017, 38(1): 241-251.

ZHENG L, HU J B. Safety analysis of wheel brake system based on STAMP/STPA[J]. Acta Aeronautica et Astronautica Sinica, 2017,38(1):241-251.

[18] DEGRAUWE M R, NYS O, DIJKSTRA E, et al. IDAC: an interactive design tool for analog CMOS circuits[J]. IEEE Journal of Solid-State Circuits, 1987, 22(6): 1106-1116.

[19] BAO Y, LI Z, WEN D, et al. Development and design of dispatcher training simulation evaluation system based on IDAC[C]∥Proc.of the Power and Energy Engineering Conference,2016:1-5.

[20] 王瑛, 孙贇, 李超, 等.基于STAMP模型的军机飞行训练安全性分析[J].中国安全科学学报,2018,28(9):68-73.

WANG Y, SUN Y, LI C, et al. Analysis of military aircraft flight training safety based on STAMP model[J]. China Safety Science Journal,2018,28(9):68-73.

[21] STEVENS B L, LEWIS F L, JOHNSON E N. Aircraft control and simulation: dynamics, controls design, and autonomous systems, third edition[M]. New York: Wiley, 2015.

[22] DOGAN A, KAEWCHAY K. Probabilistic human pilot approach: application to microburst escape maneuver[J]. Journal of Guidance, Control, and Dynamics, 2007, 30(2): 357-369.

[23] 裴彬彬, 徐浩军, 薛源, 等. 基于复杂动力学仿真的结冰情形下飞行安全窗构建方法[J]. 航空学报, 2017, 38(2): 37-50.

PEI S S, XU H J, XUE Y, et al. Development of flight safety window in icing conditions based on complex dynamics simulation[J]. Acta Aeronautica et Astronautica Sinica,2017,38(2):37-50.

[24] ERICSSON L E. Cobra maneuver unsteady aerodynamic considerations[J]. Journal of Aircraft, 1995, 32(1): 214-216.

[25] MUKHERJEE B K, THOMAS P R, SINHA M. Automatic recovery of a combat aircraft from a completed Cobra and Herbst maneuver: A sliding mode control based scheme[C]∥Proc.of the Control Conference,2016: 259-266.

Aircraft flight safety analysis and evaluation based on IDAC-STPA model

WANG Ying, SUN Yun, LI Chao

(Equipment Management and UAV Engineering College ,Air Force Engineering University ,Xi ’an 710051 ,China )

Abstract : Aiming at the incomplete safety analysis and lacking qualitative analysis of fighter flight safety, a new flight safety analysis and evaluation method is proposed. The system theoretic process analysis (STPA) method can analyze the source of the risk that influences the flight safety of the fighter from the perspective of the system. The information, decision and action in crew (IDAC) model is the latest human reliability analysis model, and the IDAC-STPA analysis method is firstly proposed combining the advantages of both. Then, the IDAC-STPA method is used to analyze the fighter flight risk source, on this basis, the pilot pilot-fighter aircraft body-servo model is established. Through the superposition of the flight parameter risk in different flight situations, the safety spectrum of the flight action is obtained, and on basis of it, the flight action is obtained. Finally, through the analysis of the safety of Cobra maneuver, the unsafe behavior and potential risks in fighter flight are discovered. The safety spectrum provides an intuitive method for analyzing the evolution of accidents. Based on this, the calculated risk degree provides a quantitative analysis of the evolution of accidents. At the same time, it can provide a reference for the pilot’s flight.

Keywords : information, decision and action in crew-system theoretic process analysis (IDAC-STPA); flight simulation; safety spectrum; risk degree

中图分类号: U 283.2

文献标志码: A

DOI: 10.3969/j.issn.1001-506X.2019.05.18

收稿日期: 2018-03-19;

修回日期: 2018-12-03;网络优先出版日期: 2019-02-18。

网络优先出版地址: http:∥kns.cnki.net/kcms/detail/11.2422.TN.20190218.1343.022.html

基金项目: 国家自然科学基金(71601183)资助课题

作者简介：

王 瑛 (1967-),女,教授,博士,主要研究方向为装备系统工程与管理决策。E-mail:yingwangkgd@163.com

孙 贇 (1993-),男,硕士研究生,主要研究方向为复杂装备系统安全性分析。E-mail:1259006637@qq.com

李 超 (1984-),男,讲师,博士,主要研究方向为装备系统工程与管理决策。E-mail:leecharle@sina.com

标签：基于人为可靠性动态分析-危险分析技术论文;  飞行仿真论文;  安全谱论文;  风险度论文;  空军工程大学装备管理与无人机工程学院论文;