STPA安全性分析方法
- STPA原理
STPA是基于STMAP的一种危险分析方法。在STMAP中,系统安全被视为是控制问题,即外部干扰、组件失效和(或)组件的异常交互没有很好地被控制将会导致系统事故地出现。
STMAP基于系统理论分析在开发、设计和运行阶段中存在地控制问题,适用分层控制结构描述系统组件间地控制关系,并认为只有当这些控制满足安全约束时,系统地安全性才得以保障。换言之,当相应安全约束被违反时(即出现不恰当地控制),就会导致系统事故发生。STMAP给出了4类不恰当地控制类型:
(1)控制器没有提供所需地控制行为,或者提供了控制行为却没有被很好地实施;
(2)控制器提供了错误地或不安全地控制行为;
(3)控制行为出现在错误的时间(过早或过晚);
(4)正确的控制行为停止的过早或持续过久。
此外STMAP人为上述不恰当控制的出现是由于系统控制结构中存在控制缺陷而造成的。实际上这些控制缺陷就是导致系统事故发生的根本原因。
STPA基于STMAP对已辨识的系统危险进行致因分析,即通过分析系统中存在的控制问题,
逐步辨识出导致系统危险的根本原因以及可用于保障系统安全的约束条件,其实施步骤如图1所示。具体包括:第1步,针对已知的系统级危险,确立相应的系统级安全约束;第2步,建立系统的分层控制结构,用以描述系统内部的控制关系;第3步,根据控制结构,辨识出导致系统危险出现的不恰当控制,并针对这些不恰当控制制定比系统安全约束更加细化的安全约束;第4步,进一步辨识导致上述不恰当控制出现的原因,该原因即是导致系统危险的根本原因。