随着地面无人平台(Unmanned Ground Vehicles,UGVs)在复杂作业环境中的潜在应用和战略价值日益凸显,确保其自主行为的安全性变得至关重要。提出一种结合系统理论过程分析(System-Theoretic Process Analysis,STPA)和Bow-Tie模型的地面...
详细信息
随着地面无人平台(Unmanned Ground Vehicles,UGVs)在复杂作业环境中的潜在应用和战略价值日益凸显,确保其自主行为的安全性变得至关重要。提出一种结合系统理论过程分析(System-Theoretic Process Analysis,STPA)和Bow-Tie模型的地面无人平台系统安全分析方法。围绕遥控操作地面无人平台系统安全,通过STPA方法识别UGV系统中的不安全控制行为及其潜在风险,并利用Bow-Tie模型分析从损失致因场景到可能事故后果的事件链,得到风险传播路径和风险扩散路径。最终,基于Bow-Tie分析结果确定主被动安全分级控制措施,并通过自主安全控制器实现了系统安全管理。
机载平视显示(head-up display,HUD)系统可以大幅提高恶劣天气下的飞机起降成功率,已成为我国民航重点推广的安全提升技术。构建低能见度下飞机使用HUD系统进行特殊Ⅰ/Ⅱ进近场景,利用系统理论过程分析(system-theoretic process analys...
详细信息
机载平视显示(head-up display,HUD)系统可以大幅提高恶劣天气下的飞机起降成功率,已成为我国民航重点推广的安全提升技术。构建低能见度下飞机使用HUD系统进行特殊Ⅰ/Ⅱ进近场景,利用系统理论过程分析(system-theoretic process analysis,STPA)方法识别该场景下潜在的不安全控制行为,通过严格的形式化语言对其进行验证与致因分析,并给出了包含21条通用因素的致因场景分析框架。同时,为弥补STPA方法缺少定量分析的缺点,引入贝叶斯网络计算不安全控制行为发生概率,提出了STPA-Bayes安全性分析与评价模型。结果表明,该方法能有效地识别并分析系统潜在的危险,减少人为因素对分析结果的影响,为机载显示系统的安全性分析提供支持。
针对智能航电系统在非线性耦合运行场景下产生的预期功能安全(safety of the intended functionality,SOTIF)问题,提出一种将系统理论过程分析(systematic theory process analysis,STPA)与决策试验与评价实验法(decision-making trial ...
详细信息
针对智能航电系统在非线性耦合运行场景下产生的预期功能安全(safety of the intended functionality,SOTIF)问题,提出一种将系统理论过程分析(systematic theory process analysis,STPA)与决策试验与评价实验法(decision-making trial and evaluation laboratory,DEMATEL)相结合的致因分析框架。首先,在定义系统级危险的基础上构建安全控制结构,识别其不安全控制行为并提取与智能化缺陷相关的STPA致因要素。接下来,引入毕达哥拉斯模糊加权平均算子和闵可夫斯基距离对传统DEMATEL方法进行优化,专家根据控制反馈回路对致因要素进行评价并计算其中心度与原因度。最后,分析STPA致因要素与SOTIF致因属性之间的映射关系,给出关键致因要素的风险减缓措施。以单一飞行员驾驶(single-pilot operation,SPO)模式下的虚拟驾驶员助理系统为例说明了所提方法的可行性与有效性。研究结果表明,改进的STPA-DEMATEL方法可以有效识别关键致因要素,且能够克服专家评价的模糊性与不确定性,为智能航电系统的安全性设计提供了参考依据。
随着民机系统复杂程度不断提高,传统的安全性分析方法已不能完全满足危险源高效识别的要求,为有效分析和评估民机系统安全性,提出系统理论过程分析(system-theory process analysis,STPA)和网络分析法(analytic network process,ANP)相...
详细信息
随着民机系统复杂程度不断提高,传统的安全性分析方法已不能完全满足危险源高效识别的要求,为有效分析和评估民机系统安全性,提出系统理论过程分析(system-theory process analysis,STPA)和网络分析法(analytic network process,ANP)相结合的安全性分析方法。针对STPA没有给出完整的关键致因分析与评估过程,将STPA与ANP关键结构对应结合,对危险控制动作进行致因分析和评估,得到危险控制动作关键致因。以某型民机数字式飞控系统为例展开分析,通过形式化建模验证及仿真验证,证明该模型方法可以准确和完整地识别分析系统潜在危险并确定危险关键致因,为民机系统安全性分析提供支持。
平视显示(Head-up Display,HUD)系统属于航电安全关键系统,可以提高低能见度下的飞机运行安全,需要在系统研制过程中开展完善的风险识别与分析。随着系统复杂性的增加,传统方法很难捕获系统组件交互带来的危险。为此,采用系统理论过程分析(Systematic Theory Process Analysis,STPA)对HUD进行分析,充分考虑系统的多方交互,识别系统潜在的不安全控制行为,同时利用时间自动机理论及其工具UPPAAL对系统进行建模,验证STPA识别的不安全控制行为;最后设计了一个路径算法,对导致其发生的危险路径进行检索。结果表明,该方法能够识别出系统潜在的危险及其原因,减少了人为因素对分析的影响。
列车行车智能感知(Intelligent Train Operation Perception,ITOP)系统布置于列车前端,可以主动感知列车运行环境和运行状态,获取并向司机提供前方障碍物、列车速度和位置等行车关键信息,实现障碍物预警、限速曲线生成及超速报警等功能,从而在没有列车运行控制系统防护的情况下辅助司机实现列车运行安全防护,提升列车运行的安全性。然而,一旦ITOP系统出现安全问题,可能导致司机不安全的控车行为,进而造成列车运行事故。ITOP系统的环境感知依赖传感器和机器学习等人工智能算法,随之而来的系统预期功能的功能不充分性会造成与传统功能安全不同的安全问题,即预期功能安全(Safety of the Intended Functionality,SOTIF)问题,这给系统安全分析带来了新的挑战。论文针对ITOP系统的SOTIF问题,提出了包含危险致因辨识、危险致因评价与控制、致因传播分析在内的安全分析方法。首先,在深入研究ITOP系统特点及SOTIF致因机制的基础上,提出了面向SOTIF的系统安全控制结构构建方法,并给出了以该安全控制结构为基础的SOTIF相关危险致因辨识方法。其次,论文研究了基于三点异质致因网络的危险致因拓扑评价指标,实现了对危险致因重要度的评价,进一步提出了危险控制方法,有助于形成防控危险致因发生的危险控制策略。最后,论文研究了基于全局容量-负载传播机制的致因传播模型,可对危险致因发生后的传播过程进行分析,并以此为基础提出致因传播阶段的危险控制方法。论文的主要创新点如下:(1)针对ITOP系统基于传感器和智能感知算法的特点,提出安全控制结构模型的构建方法,采用智能化感知“传感-理解-决定-动作”(Sense-UnderstandDecide-Act,SUDA)模型及Endsley三层态势理解模型扩展系统理论过程分析(System-Theoretic Process Analysis,STPA)方法中的控制结构,更加准确地刻画系统的智能化环境感知过程。(2)针对SOTIF危险致因机制的特点,提出基于安全控制结构模型的SOTIF相关危险致因的辨识方法,包括辨识预期外系统行为、合理可预见误用行为相关致因的方法,以及为ITOP系统SOTIF相关致因因素提供了的一组分类,有助于更加系统和全面地辨识SOTIF类型危险致因。(3)针对SOTIF危险致因的特点,提出基于三点异质网络的危险致因评价方法,其中包括针对网络整体和网络要素进行评价的拓扑指标,能够处理SOTIF危险致因之间的复杂因果关系,并对危险致因的重要程度进行评价。提出基于该致因评价的危险控制方法,以帮助制定针对性的策略进而防控危险致因的发生,为提高系统安全水平提供方法基础。(4)针对SOTIF危险致因关联关系的全局性特点,提出基于网络全局的负载分配规则,构建基于全局容量-负载传播机制的致因传播模型,从而实现对致因传播过程的描述和分析。进一步,提出以该传播分析为基础的危险控制方法,为致因传播阶段下危险控制策略的制定提供了依据。论文最后以一种典型的ITOP系统——列车智能障碍物检测系统为例,采用本文所提方法对该系统进行安全建模,并辨识其SOTIF相关危险致因。随后基于拓扑的方法对危险致因的重要程度进行评价,并提出基于致因评价的危险控制策略。进一步,构建基于容量-负载的模型对致因传播进行分析,并提出传播阶段的危险控制策略。
暂无评论