[发明专利]一种潜在不安全控制动作的生成方法

说明书

系统理论过程分析(STPA)需要识别不安全控制动作PUCA。目前用于生成时间相关PUCA的方法较模糊，难以实施，同时具有效率低、准确性差的问题。本发明提供一种PUCA生成方法：S1、构建系统模型，S2、确定被控过程接收到的控制动作(CA‑PR)，S3、确定语境变量，S4、通过“非时间语境”变量确定“非时间语境”，S5、确定CA‑PR与“非时间语境”的组合(CA‑NC)，S6、确定CA‑NC涉及的“时间语境”。该方法生成的PUCA具有统一的形式，生成过程清晰，有更高的效率和准确性，能减少以下情况：为某类型UCA生成的PUCA过多；没有为某类型UCA生成PUCA。

技术领域

本发明属于复杂系统分析技术领域，特别涉及一种潜在不安全控制动作的生成方法(后续简写为“一种PUCA生成方法”)。

背景技术

对系统进行准确高效的安全分析，一直是系统安全领域努力的方向。尤其随着大系统以及复杂系统例如交通、运输、海洋运输、航空航天等领域的快速发展，对这一类复杂大系统进行高效准确的安全分析和诊断，就成为迫切需要研究和解决的课题。

过去常规的安全理论认为，系统的物理失效才是系统安全性的指标，物理失效即事故是由直接相关的一连串事件造成的，可通过分析导致损失的事件链来弄清事故和评估风险。因此之前的研究方法和关注重点多为传递事件链，如果组件或系统没有故障，事故就不会发生，安全性则随着系统或组件可靠性的提高而增强。因此，基于事件链的概率风险分析是系统安全性分析的常规形式。

但是，随着系统越来越复杂，人们对之前理论的怀疑越来越强烈。尤其是在2004年，麻省理工学院的Nancy G.Leveson教授提出了“系统理论事故模型与过程”(STAMP：System-Theoretic Accident Model and Processes)，该理论认为系统的安全性是系统的涌现特性，即系统结构和系统环境以及它们之间关联关系，决定了系统的整体性和功能。根据此理论，系统整体性与功能是内部系统结构与外部系统环境综合集成的结果，也就是复杂性研究中所说的涌现(Emergence)。涌现过程是新的功能和结构产生的过程，是新质产生的过程，而这一过程是系统结构和系统环境以及它们之间相互作用的产物。涌现来源于系统理论中“整体大于部分之和”的思想。涌现属性是系统部件交互作用中呈现出来的属性。而对这种涌现特性的控制方法就是对系统的部件行为和部件交互进行约束，即认为系统的安全状态是通过对部件行为和部件间的交互施加安全约束而得到保持或加强。与传统事故致因模型认为事故由部件失效导致不同，STAMP理论认为事故是由不恰当的控制导致。在STAMP理论的基础上，Leveson教授又提出了危险分析方法，即系统理论过程分析(STPA：System-Theoretic Process Analysis)。目前，一些关于STPA的标准已经发布或正在制定，例如：美国机动车工程师学会(SAE：Society of Automotive Engineers)已于2022年2月正式发布标准《SAE J3187-System Theoretic Process Analysis(STPA)RecommendedPractices for Evaluations of Automotive Related Safety-Critical Systems》。我们将该标准所描述的STPA简写为SAE STPA。

在SAE STPA方法中，不安全控制动作UCA(Unsafe/Unwanted/Unexpected ControlAction)包括的类型有：“提供”、“未提供”、“过早提供”、“过晚提供”、“错误顺序提供”、“结束得太快”、“应用得太长”等。这些类型可能还包括子类型。要识别这些类型/子类型的UCA需要生成相应的潜在的不安全控制动作PUCA(Potential UCA)。

在上述UCA类型中，前2种与时间无关，后5种与时间相关。针对时间相关UCA类型，现有技术中生成PUCA的方法较模糊，难以实施，制约了PUCA生成的质量。

发明内容

本发明的目的在于提供一种PUCA生成方法，能够更加准确地描述时间相关的PUCA类型，提高PUCA生成的效率和准确性。