[发明专利]一种准确识别损失场景的STPA方法和装置

说明书

本发明提供了一种准确识别损失场景的STPA方法和装置。该方法包括：确定分析目标，包括确定损失；利用有限状态机生成系统状态机；利用确定的损失和生成的系统状态机，识别不安全控制动作；利用模型检测技术和识别的不安全控制动作识别损失场景。根据本发明的方法利用状态机和模型检测技术，实现了对复杂系统的损失场景的准确且高效的识别。

技术领域

本发明涉及系统安全分析领域，特别涉及一种准确识别系统损失场景的STPA方法和装置。本发明特别适合于例如交通、航空、航天、核电等复杂工程系统的安全性分析。

背景技术

对于系统进行准确高效的安全分析，一直是工程系统安全分析业界研究的方向。尤其随着大系统以及复杂系统例如交通、运输、海洋运输、航空航天等领域的快速发展，对于这一类复杂大系统进行高效准确的安全分析和诊断，就成为迫切需要研究和解决的课题。

过去常规的安全理论认为，系统的物理失效才是系统安全性的指标，物理失效即事故是由直接相关的一连串事件造成的，可通过分析导致损失的事件链来弄清事故和评估风险。因此之前的研究方法和关注重点多为传递事件链，如果组件或系统没有故障，事故就不会发生，安全性则随着系统或组件可靠性的提高而增强。因此，基于事件链的概率风险分析是本发明之前评估和表达安全与风险信息的常规和最佳途径。

但是，随着系统越来越复杂，人们对于之前理论的怀疑越来越强烈。尤其是在2004年，麻省理工学院的Nancy G.Leveson教授提出了“系统理论事故模型与过程”(STAMP：System-Theoretic Accident Model and Processes)，该理论认为系统的安全性是系统的涌现特性，即系统结构和系统环境以及它们之间关联关系，决定了系统的整体性和功能。根据此理论，系统整体性与功能是内部系统结构与外部系统环境综合集成的结果，也就是复杂性研究中所说的涌现(Emergence)。涌现过程是新的功能和结构产生的过程，是新质产生的过程，而这一过程是系统结构和系统环境以及它们之间相互作用的产物。涌现来源于系统理论中“整体大于部分之和”的思想。涌现属性是系统部件交互作用中呈现出来的属性。而对这种涌现特性的控制方法就是对系统的部件行为和部件交互进行约束，即认为系统的安全状态是通过对部件行为和部件间的交互施加安全约束而得到保持或加强。与传统事故致因模型认为事故由部件失效导致不同，STAMP理论认为事故是由不恰当的控制导致。在此基础上，基于STAMP理论的危险分析方法，Leveson教授又提出了系统理论过程分析(STPA：System-Theoretic Process Analysis)。目前，一些关于STPA的标准正在制定，例如：美国机动车工程师学会(SAE：Society of Automotive Engineers)正在制定《SAE AIR6913-Using STPA during Development and Safety Assessment of Civil Aircraft》、《SAEJ3187-Applying System Theoretic Process Analysis(STPA)to AutomotiveApplications》；中国也正在制定国家标准《系统理论过程分析(STPA)方法》。

2018年3月，Nancy G.Leveson和John P Thomas发布了《STPA Handbook》，这是当前国际STPA标准制定、工业应用、学术研究、方法改进参照的主要文件。在《STPA Handbook》中的STPA，主要包括四步工作步骤，分别是：

第一步：确定分析目标

包括的工作内容有：确定损失(Identify losses)、确定系统级危险(Identifysystem-level hazards)、确定系统级安全约束(Identify system-level safetyconstraints)，以及精化危险(Refine hazards)。

第二步：构建层级化控制结构模型