一种潜在不安全控制动作的生成方法

技术领域

本发明属于复杂系统分析技术领域，特别涉及一种潜在不安全控制动作的生成方法(后续简写为“一种PUCA生成方法”)。

背景技术

对系统进行准确高效的安全分析，一直是系统安全领域努力的方向。尤其随着大系统以及复杂系统例如交通、运输、海洋运输、航空航天等领域的快速发展，对这一类复杂大系统进行高效准确的安全分析和诊断，就成为迫切需要研究和解决的课题。

过去常规的安全理论认为，系统的物理失效才是系统安全性的指标，物理失效即事故是由直接相关的一连串事件造成的，可通过分析导致损失的事件链来弄清事故和评估风险。因此之前的研究方法和关注重点多为传递事件链，如果组件或系统没有故障，事故就不会发生，安全性则随着系统或组件可靠性的提高而增强。因此，基于事件链的概率风险分析是系统安全性分析的常规形式。

但是，随着系统越来越复杂，人们对之前理论的怀疑越来越强烈。尤其是在2004年，麻省理工学院的Nancy G.Leveson教授提出了“系统理论事故模型与过程”(STAMP：System-Theoretic Accident Model and Processes)，该理论认为系统的安全性是系统的涌现特性，即系统结构和系统环境以及它们之间关联关系，决定了系统的整体性和功能。根据此理论，系统整体性与功能是内部系统结构与外部系统环境综合集成的结果，也就是复杂性研究中所说的涌现(Emergence)。涌现过程是新的功能和结构产生的过程，是新质产生的过程，而这一过程是系统结构和系统环境以及它们之间相互作用的产物。涌现来源于系统理论中“整体大于部分之和”的思想。涌现属性是系统部件交互作用中呈现出来的属性。而对这种涌现特性的控制方法就是对系统的部件行为和部件交互进行约束，即认为系统的安全状态是通过对部件行为和部件间的交互施加安全约束而得到保持或加强。与传统事故致因模型认为事故由部件失效导致不同，STAMP理论认为事故是由不恰当的控制导致。在STAMP理论的基础上，Leveson教授又提出了危险分析方法，即系统理论过程分析(STPA：System-Theoretic Process Analysis)。目前，一些关于STPA的标准已经发布或正在制定，例如：美国机动车工程师学会(SAE：Society of Automotive Engineers)已于2022年2月正式发布标准《SAE J3187-System Theoretic Process Analysis(STPA)RecommendedPractices for Evaluations of Automotive Related Safety-Critical Systems》。我们将该标准所描述的STPA简写为SAE STPA。

在SAE STPA方法中，不安全控制动作UCA(Unsafe/Unwanted/Unexpected ControlAction)包括的类型有：“提供”、“未提供”、“过早提供”、“过晚提供”、“错误顺序提供”、“结束得太快”、“应用得太长”等。这些类型可能还包括子类型。要识别这些类型/子类型的UCA需要生成相应的潜在的不安全控制动作PUCA(Potential UCA)。

在上述UCA类型中，前2种与时间无关，后5种与时间相关。针对时间相关UCA类型，现有技术中生成PUCA的方法较模糊，难以实施，制约了PUCA生成的质量。

发明内容

本发明的目的在于提供一种PUCA生成方法，能够更加准确地描述时间相关的PUCA类型，提高PUCA生成的效率和准确性。

为实现上述目的，本发明提供的方案包括以下步骤：

S1、构建系统模型，

S2、确定控制动作，控制动作是指被控过程接收到的控制动作(CA-PR：ControlAction-Process Received)，

S3、确定语境变量，语境变量分为两类，一类是“非时间语境”变量，用于描述“非时间语境”，“非时间语境”是时间状态之外的状态，另一类是“时间语境”变量，用于描述“时间语境”，“时间语境”是通过事件发生时刻构建的时间区间，时间区间可以被认为是时间状态，

S4、通过“非时间语境”变量确定“非时间语境”，

S5、确定CA-PR与“非时间语境”的组合，每个这样的组合被称为一个CA-NC(combination of CA-PR and Non-temporal Context)，

S6、确定CA-NC涉及的“时间语境”，完成PUCA生成。

优选地，所述S1步骤，使用有限状态机描述系统行为。

优选地，所述S1步骤，系统模型包括控制器、作动器、传感器、被控过程、环境等类型的部件，其中环境包括物理环境、人或其他系统。

优选地，所述S6步骤，利用“非时间语境”下发生事件的时间构造“时间语境”。

优选地，所述S6步骤，面向各种类型UCA生成的PUCA具有统一的形式，是语境和CA-PR的组合，表示在语境下提供CA-PR。其中语境包括“非时间语境”和“时间语境”。

优选地，所述S6步骤，面向识别“提供”类型UCA的PUCA，通过在“非时间语境”持续期间提供CA-PR来生成。面向识别“不提供”类型UCA的PUCA，通过在“非时间语境”持续期间之外提供CA-PR来生成。面向识别“过早提供”类型UCA的PUCA，通过早于某个事件的发生时间提供CA-PR来生成。面向识别“过晚提供”类型UCA的PUCA，通过晚于某个事件的发生时间提供CA-PR来生成。面向识别“错误顺序提供”类型UCA的PUCA，通过设置一个或多个事件与“提供CA-PR”这个事件的发生顺序来生成。面向识别“结束得太快”类型UCA的PUCA，通过缩短连续型控制动作开始事件和结束事件之间的时间间隔来生成。面向识别“应用得太长”类型UCA的PUCA，通过增加连续型控制动作开始事件和结束事件之间的时间间隔来生成。

本发明公开的一种PUCA生成方法，具有以下技术效果：生成的PUCA具有统一的形式，PUCA的生成过程清晰，具有更高的效率和准确性，可以减少以下两种情况：为某种类型/子类型UCA生成的PUCA过多；没有为某种类型/子类型的UCA生成的PUCA。

附图说明

图1为一种PUCA生成方法的实施步骤。

图2为列车门控制系统静态结构内部块图。

图3为列车门控制系统动态行为状态机包图。

图4为门控制器状态机。

图5为列车门状态机。

图6为障碍物状态机。

具体实施方式

以下将描述实现发明的优选的实施方式，包括附图及示例。本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施方式，都属于本发明保护的范围。

本发明的步骤如图1所示，具体实施方式说明如下。

S1、构建系统模型

从架构级别看，系统模型可能包括了控制器、作动器、传感器、被控过程、环境等类型的部件。其中环境包括物理环境、人或其他系统。

这些类型的部件可以嵌套，一个类型的大部件可能包括多个类型的小部件。例如，被控过程的内部可能包括了控制器、传感器和作动器；控制器内部可以再包括控制器、作动器和传感器；作动器内部可以再包括控制器、作动器和传感器；传感器内部可以再包括控制器、作动器和传感器。

系统的静态结构可以使用SysML的内部块图描述。系统的动态行为可以采用有限状态机描述系统行为。系统状态机可能包括状态变量、变量可取值、迁移条件、迁移动作等信息。

S2、确定控制动作，控制动作是指被控过程接收到的控制动作(CA-PR：ControlAction-Process Received)

被控过程的范围可以根据需要划定。

当被控过程与控制器直接连接，并且这种连接被认为不存在任何因素的干扰时，那么控制器发出的控制动作可以认为就是被控过程接收到的控制动作，此时可将控制器发出的控制动作作为S2步骤所需要确定的控制动作。

当被控过程接收到的控制动作(CA-PR)和控制器发出的控制动作存在差异时，例如发生时间差异，数据表示差异，此时应使用CA-PR用于生成PUCA，因为CA-PR直接影响着被控过程的状态，而这个状态需要用于判断系统是否与某个危险相关。

S3、确定语境变量，语境变量分为两类，一类是“非时间语境”变量，用于描述“非时间语境”，“非时间语境”是时间状态之外的状态，另一类是“时间语境”变量，用于描述“时间语境”，“时间语境”是通过事件发生时刻构建的时间区间，时间区间可以被认为是时间状态

语境(Context)是CA-PR发生的环境条件，也称为上下文。

PUCA是语境和CA-PR的组合，表示在语境下提供CA-PR。

PUCA和UCA的定义都包括语境、CA-PR，但后者，即UCA，还包括了与某个危险相关联的信息。UCA是语境、CA-PR和危险的组合，表示在语境下提供CA-PR将导致危险。

一般形式的语境被定义为语境变量CVari的组合{CVar1,CVar2,…,CVari，…,CVarn}。语境变量包括系统状态变量和环境状态变量。每个状态变量可以取一个或若干状态值。状态值可能是一个区间。

语境变量分为两类。一类是“非时间语境”变量，用于描述“非时间语境”。“非时间语境”是时间状态之外的状态，例如门的闭合状态、门道是否存在障碍物等。与“非时间语境”相关的具有时间属性的事件可以用于构造“时间语境”，这些事件有“非时间语境”的开始或结束。

另一类是“时间语境”变量，用于描述“时间语境”。“时间语境”是通过事件发生时刻构建的时间区间，时间区间可以被认为是时间状态。“提供CA-PR”可以认为是一个事件，有其发生时间。不包括“提供CA-PR”这个事件，“非时间语境”的开始或结束时刻、某个外部或内部事件的发生时刻都可以用于描述时间区间，即“时间语境”。

将时间变量看成一个语境变量是本专利的一个特殊之处。

一个具体的语境由一组系统和环境状态组成。

SAE STPA未明确提出“时间语境”以及“时间语境”变量。

S4、通过“非时间语境”变量确定“非时间语境”

确定所有“非时间语境”变量的取值，通过遍历形成所有“非时间语境”。

这一步可能通过计算机辅助完成。通过计算机自动生成的“非时间语境”需要具体分析其是否实际存在。

S5、确定CA-PR与“非时间语境”的组合，每个这样的组合被称为一个CA-NC(combination of CA-PR and Non-temporal Context)

S6、确定CA-NC涉及的“时间语境”，完成PUCA生成

一个CA-NC包含了一个CA-PR和一个“非时间语境”。语境包含了一个“时间语境”和一个“非时间语境”，因此，一个CA-NC与一个“时间语境”的组合就是一个CA-PR与一个语境的组合。一个CA-PR与一个语境的组合使用缩写CA-C(Combination of CA-PR andContext)表示。一个CA-C就是一个PUCA，表达的意思是：在所描述的语境下提供CA-PR。

一般地说，每个CA-NC所涉及的“时间语境”是不同的，因此需要逐一为每个CA-NC确定“时间语境”。一个CA-NC可能存在多个“时间语境”。一个CA-NC和一个“时间语境”就构成一个PUCA。在所有的CA-C被确定之后，识别UCA所需要的PUCA就将全部生成。

在本实施方式中，所有“时间语境”一定对应某个CA-NC，一个CA-NC可能对应一个或多个“时间语境”。

构造“时间语境”需要使用到“非时间语境”下可能发生事件的时间。这些事件是“非时间语境”持续期间发生的事件，比如“非时间语境”的开始或结束时刻、“非时间语境”持续期间到达某个特殊的时间点、“非时间语境”持续期间的外部或内部事件。通过这些事件的发生时间来构造“提供CA-PR”这个事件发生的时间区间，即“时间语境”。

如果需要利用分布在不同“非时间语境”下的事件构造“时间语境”，则需要先识别所有这些事件共同所属的一个“非时间语境”，然后在这个共同的“非时间语境”下利用这些事件的发生时间构造“时间语境”。也就是说，构造“时间语境”所需要的事件始终发生在同一个“非时间语境”。构造“时间语境”所需要的事件包括但不限于：“非时间语境”的开始、结束、某个时间条件的满足、某个内部或外部事件的发生等。

在SAE STPA中，有以下类型的UCA：“提供”类型UCA、“不提供”类型UCA、“过早提供”类型UCA、“过晚提供”类型UCA、“错误时间提供”类型UCA、“过早结束”类型UCA、“过晚结束”类型UCA。在本实施方式中，可以利用“时间语境”为SAE STPA中各种类型的UCA生成PUCA。以下逐一说明生成方法。

1)面向“提供”类型UCA生成PUCA

“提供”类型的UCA表示在某个语境下提供某个控制动作将导致危险。

在本实施方式中，生成PUCA的时候，会生成控制动作和语境之间的组合，这个组合表示在该语境下“提供”控制动作。

语境包括“非时间语境”和“时间语境”。在本专利的具体实施方式中，通过设计“时间语境”来生成识别“不提供”、“过早提供”、“过晚提供”、“错误时间提供”、“结束得太快”(stopped too soon)、“应用得太长”(applied too long)类型UCA所需要的PUCA。

2)面向“不提供”类型UCA生成PUCA

“不提供”类型的UCA表示在某个语境下不提供某个控制动作将导致危险。

在本实施方式中，首先确定“非时间语境”的存续时间，在“非时间语境”的存续时间之外提供控制动作被认为是在“非时间语境”内不提供控制动作。

关于“非时间语境”，可以首先标记其开始时刻和结束时刻，在这两个时刻之间的时间可以认为是“非时间语境”的存续时间。

以下5种情况所构造的“时间语境”都存在于“非时间语境”的存续时间内。

3)面向“过早提供”类型UCA生成PUCA

“过早提供”类型的UCA表示控制动作的发送时机早于一个特定的时刻。

在本实施方式中，首先标记“非时间语境”的开始时刻和结束时刻。然后在“非时间语境”中确定所关心的特定时刻。一般地说，这个时刻是某个事件的发生时刻，这个事件可能是某个外部事件，也可能是某个状态的开始或结束时刻。利用该特定时刻，可以在“非时间语境”的持续时间内构造更小的“时间语境”，该“时间语境”存在于特定时刻之前。在该“时间语境”下提供控制动作，就被认为是“过早提供”控制动作。

4)面向“过晚提供”类型UCA生成PUCA

情况与第3点类似。

“过晚提供”类型的UCA表示控制动作的发送时机晚于一个特定的时刻。

在本实施方式中，首先标记“非时间语境”的开始时刻和结束时刻。然后在“非时间语境”中确定所关心的特定时刻。利用该特定时刻，可以在“非时间语境”的持续时间内构造“时间语境”，该“时间语境”存在于特定时刻之后。在该“时间语境”下提供控制动作，就被认为是“过晚提供”控制动作。

5)面向“错误顺序提供”类型UCA生成PUCA

“错误顺序提供”类型的UCA表示控制动作的发送时间与其他事件的发生时间的早晚关系出现错误。

在本实施方式中，首先标记“非时间语境”的开始时刻和结束时刻。然后在“非时间语境”中确定所关心的事件的发生时刻，可能是一个或者多个。利用这个(这些)事件的发生时刻，在“非时间语境”的持续时间内构造“时间语境”以表达控制动作是以错误的顺序提供。

举例来说，假设有“非时间语境”NC。Tstart和Tend分别代表NC的开始和结束时间，则“Tend>＝t>＝Tstart”表示该“非时间语境”的存续时间。在NC的持续时间，有事件1和事件2发生。假定事件1、事件2和CA-PR不会在同一时刻发生。Te1表示事件1的发生时刻，Te2表示2的发生时刻。正常情况下，事件1、事件2、控制动作CA-PR依次先后发生。

事件1、事件2、控制动作CA-PR，这三个事件发生的顺序一共有6种情况，除去正常情况，“错误顺序提供”类型UCA可能有5种情况(或称5个UCA子类)。

为了识别“错误顺序提供”子类型UCA，构造以下5个PUCA。t表示提供CA-PA时间。

A)CA-PR、事件1、事件2依次发生

该PUCA的“时间语境”是Tstart

B)事件1、CA-PR、事件2依次发生

该PUCA的“时间语境”是Tstart

C)CA-PR、事件2、事件1依次发生

该PUCA的“时间语境”是Tstart

D)事件2、CA-PR、事件1依次发生

该PUCA的“时间语境”是Tstart

E)事件2、事件1、CA-PR依次发生

该PUCA的“时间语境”是Tstart

在SAE STPA中，没有给出如何面向“错误顺序提供”类型UCA生成PUCA，PUCA生成方法模糊，可能为某一种“错误顺序提供”子类型生成过多PUCA，造成不必要的冗余，增加工作负担。也可能没有为某种“错误顺序提供”子类型生成PUCA，导致PUCA生成不充分。

而采用本专利的方法可以看出，生成PUCA的过程更清晰，具有更高的效率和准确性。

6)面向“结束得太快”类型UCA生成PUCA

“结束得太快”类型和“应用得太长”类型UCA中的控制动作都是连续型控制动作。

“结束得太快”类型UCA是指控制动作持续太短，小于某个期望的时长。

在本实施方式中，我们用两个事件表示连续型控制动作，分别是连续型控制动作C-CA(Continuous Control Action)的开始事件和结束事件，分别标记为ec-ca-s(eventof continuous control action start)和ec-ca-e(event of continuous controlaction end)。ec-ca-e与ec-ca-s之间有时间间隔，期望的间隔时长记为ED(ExpectedDuration)。如果间隔时长小于ED，则表明ec-ca-e发生得过早，也即C-CA“结束得太快”。

以下举例说明PUCA的生成过程。假设有“非时间语境”NC。Tstart和Tend分别代表NC的开始和结束时刻，则“Tend>＝t>＝Tstart”表示该“非时间语境”的存续时间。连续型控制动作为C-CA，其开始事件和结束事件分别为ec-ca-s和ec-ca-e。这两个事件分别对应的发生时刻为Tec-ca-s、Tec-ca-e。期望C-CA施加之后的作用时长不小于ED(ExpectedDuration)，也即Tec-ca-e>＝Tec-ca-s+ED。“结束得太快”则表示ec-ca-e过早发生，Tec-ca-e距离Tec-ca-s之间的时间间隔没有超过ED,即Tec-ca-e

构造的PUCA如下：“时间语境”为“Tstart<＝Tec-ca-s<＝t

该PUCA的含义是在所允许的t的范围内提供ec-ca-e，此即一个针对“结束得太快”类型UCA所生成的PUCA。

7)面向“应用得太长”类型UCA生成PUCA

“应用得太长”类型UCA是指控制动作持续太长，大于某个期望的时长。其中的控制动作也是连续型控制动作。面向“应用得太长”类型UCA生成PUCA的方法与面向“结束得太快”类型UCA生成PUCA的方法类似。

在本实施方式中，我们用两个事件表示连续型控制动作，分别是连续型控制动作C-CA(Continuous Control Action Start)的开始事件和结束事件，分别标记为ec-ca-s(Event of Continuous Control Action Start)和ec-ca-e(Event of ContinuousControl Action End)。ec-ca-e与ec-ca-s之间有时间间隔，期望的间隔时长记为ED(Expected Duration)。如果间隔时长大于ED，则表明ec-ca-e发生得过晚，也即C-CA“应用得太长”。

以下举例说明PUCA的生成过程。假设有“非时间语境”NC。Tstart和Tend分别代表NC的开始和结束时刻，则“Tend>＝t>＝Tstart”表示该“非时间语境”的存续时间。连续型控制动作为C-CA，其开始事件和结束事件分别为ec-ca-s和ec-ca-e。这两个事件分别对应的发生时刻为Tec-ca-s、Tec-ca-e。期望C-CA施加之后的作用时长不超过ED(ExpectedDuration)，也即Tec-ca-e<＝Tec-ca-s+ED。“应用得太长”则表示ec-ca-e过晚发生，Tec-ca-e距离Tec-ca-s之间的时间间隔超过ED,即Tec-ca-e>Tec-ca-s+ED。

构造的PUCA如下：“时间语境”为“Tstart<＝Tec-ca-s

该PUCA的含义是在所允许的t的范围内提供ec-ca-e，此即一个针对“应用得太长”类型UCA所生成的PUCA。

在完成上述六个步骤之后，就完成PUCA的生成。生成的PUCA可以用于UCA的识别。识别的过程包括两项内容：1)确定已知危险。根据经验确定当前已知的系统危险。2)逐一分析PUCA。分析每一个PUCA，判断它是否为UCA。如果PUCA可能导致某个危险，那么该PUCA就是一个真实的UCA。特别地，通过这步的分析，可能发现尚未被识别的危险。如果发现新危险，则将该危险纳入到已知危险当中。

实施例

以下以一个列车门的控制为例，说明上述具体实施方式。假定列车静止，并且已经对准站台。

S1、构建系统模型

图2是列车门控制系统静态结构，使用SysML内部块图绘制。系统包括三个组件，分别是门控制器DoorController、门PhysicalDoor以及障碍物PhysicalObstacle。

DoorController可以向PhysicalDoor发送两个命令(在STPA中被称为控制动作)，分别是关门命令Ctlr_Close_CA和开门命令Ctlr_Open_CA。由于模型中暂未考虑作动器，因此DoorController所发出的控制命令(也被称作控制动作)就是门所收到的控制命令，也即被控过程接收到的控制动作(CA-PR：Control Action-Process Received)

列车门控制系统动态行为使用状态机描述，包括门控制器状态机、列车门状态机、障碍物状态机，见图3。图4、图5、图6分别提供了门控制器、列车门、障碍物的状态机。

门一共有四个状态，分别是完全关闭状态Dr_Closed、完全打开状态Dr_Closed、关闭过程状态Dr_Closing、打开过程状态Dr_Opening。

障碍物一共有两个状态，分别是存在于门道时的状态Blocked和不存在于门道时的状态Not Blocked。

图2、3、4、5、6均使用工具EA完成。

S2、确定控制动作，控制动作是指被控过程接收到的控制动作(CA-PR：ControlAction-Process Received)

根据系统模型，系统中存在两个CA-PR，分别是关门命令Ctlr_Close_CA和开门命令Ctlr_Open_CA。

S3、确定语境变量，语境变量分为两类，一类是“非时间语境”变量，用于描述“非时间语境”，“非时间语境”是时间状态之外的状态，另一类是“时间语境”变量，用于描述“时间语境”，“时间语境”是通过事件发生时刻构建的时间区间，时间区间可以被认为是时间状态

根据系统模型，“非时间语境”变量有PhysicalDoor、PhysicalBlock。我们将时间t作为时间语境变量。

S4、通过“非时间语境”变量确定“非时间语境”

PhysicalDoor的可取值有4个：Opened、Closed、Opening、Closing。

PhysicalBlock的可取值有2个：Blocked、Not Blocked。

因此非时间语境一共有8种组合情况，见表1。

表1“非时间语境”存在的组合

S5、确定CA-PR与“非时间语境”的组合，每个这样的组合被称为一个CA-NC(combination of CA-PR and Non-temporal Context)

之所以先确定CA-PR与非时间语境的组合(以下使用CA-NC表示该组合。CA-NC＝CA-PR and Non-temporal Context)，是因为不同组合可能有不同的时间语境。

非时间语境一共有8种情况，CA-PR一共有两个。因此一共有16种组合情况，见表2。

表2 CA-PR与“非时间语境”的组合

S6、确定CA-NC涉及的“时间语境”，完成PUCA生成

每个CA-PR与非时间语境的组合，即每个CA-NC，可能有不同时间语境，因此需要逐一为每一个CA-NC确定时间语境。

在确定时间语境之后，生成PUCA所需要的语境就具备了，此时的语境包括非时间语境和时间语境。同样地，在确定时间语境之后，所有PUCA也被确定。

我们为每个CA-PR与Context的组合进行编号，见表3。以下使用CA-C(combinationof CA-PR and Context)表示该组合。每个CA-C代表着一个PUCA。

在表3中。Tstart表示进入“非时间语境”这个事件的发生时间。Tend表示退出“非时间语境”这个事件的发生时间。每个CA-NC都有自己的Tstart和Tend。

每个CA-NC的Tstart都是不同的，同样地，每个CA-NC的Tend也都是不同的。举例来说，CA-C ID为1对应的CA-NC是“CA-PR＝Ctlr_Close_CA，PhysicalDoor＝Opened，PhysicalBlock＝Blocked”。对应的非时间语境是：“PhysicalDoor＝Opened，PhysicalBlock＝Blocked”。Tstart表示进入该“非时间语境”的起始时间，而Tend表示退出该“非时间语境”的结束时间。

而对CA-C ID＝15的组合来说，“非时间语境”是“PhysicalDoor＝Closing，PhysicalBlock＝Blocked”,Tstart和Tend分别表示进入该“非时间语境”的起始时间和结束时间。

对于CA-C ID＝1的PUCA，它的含义如下：物理门处于完全打开状态，门道中有障碍物，在这个期间提供了关门命令。Tend>＝t>＝Tstart，表示“非时间语境”在开始和结束之间的存续期间。

表3 PUCA列表

/>

对于CA-C ID＝2的PUCA，它的含义如下：物理门处于完全打开状态，门道中有障碍物，在这个状态存续期间，没有提供关门命令。“t>Tend或tTend或t

对于某个具体的语境，如果有关心的事件，可以标记这个事件的发生时间，如Tevent或Tstart+2等。以CA-C ID＝27为例，“时间语境”是Tend>＝t>＝Tstart+2。该PUCA的含义如下：物理门处于关闭过程中，门道中存在障碍物，在进入该“非时间语境”之后经过不小于2单位时间发送开门命令。进入“非时间语境”之后经过2单位时间可以被认为是一个事件，这个事件的发生时刻即Tstart+2。

本发明描述PUCA的形式是统一的，表达形式都是“在某个语境下‘提供’控制动作”，其中语境包括“非时间语境”和“时间语境”。通过这种统一形式生成的PUCA可以用于识别SAE STPA中的各种类型的UCA。

ID＝1、3、5、7、9、11、13、15、17、19、21、23、29的PUCA，都是表示在“非时间语境”持续期间提供控制动作，可以用于识别SAE STPA中“提供”类型的UCA。

ID＝2、4、6、8、10、12、14、16、18、20、22、24、27、28、30的PUCA，都是表示在“非时间语境”持续期间没有提供控制动作，可以用于识别SAE STPA中“不提供”类型的UCA。

ID＝25的PUCA，表示在进入所述“非时间语境”之后经过不小于2单位时间发送开门命令。该PUCA可以用于识别SAE STPA中“过晚提供”类型的UCA。通过S6步中的分析可知，该PUCA是一个真实的UCA，提供开门命令的时刻过晚，当门道中出现了障碍物，提供开门命令的时刻大于等于2单位时间，是一项危险。

另外，ID＝26的PUCA，表示在特定的语境下，提供开门命令，这也可以认为该PUCA可以用于识别SAE STPA中“提供”类型的UCA。

在完成上述六步工作之后，就完成PUCA的生成。生成的PUCA可以用于UCA的识别。识别的过程包括两项内容：

1)确定已知危险

根据经验确定当前已知的系统危险。作为示例，已知的危险如下。

H1：当门处于关闭过程，门道中出现障碍物，超过两个单位的时间门才收到开门命令。

2)逐一分析PUCA

分析每一个PUCA，判断它是否为UCA。如果PUCA可能导致某个危险，那么该PUCA就是一个真实的UCA。在表4中，ID为1、7、11、25、27的PUCA都是危险。

在分析ID为1的PUCA时发现，存在一项尚未被识别的新危险。因此补充危险如下：

H2：当门道中存在障碍物时，门收到关门命令。

在对ID为8、12的分析中可以发现，这两条PUCA都将导致H2的出现。

表4 PUCA分析结果

/>

/>

/>