航空过程风险因素分析

2022-05-04 chapter

SHEL模型是在航空人为因素研究领域使用最为普遍的模型,最初由爱德华教授提出,1975年霍金斯提出修改框图。该模型认为航空系统由软件(Software)、硬件(Hardware)、环境(Environment)和人(Liveware)四个要素组成[1],各要素的界面必须谨慎匹配,不匹配可能成为人为差错的根源。

也就是说,如果处于中心地位的操作人员与其他四个界面匹配程度不够,系统内的应力就会过高,最终引起事故。因此减少人为差错要从增加四个界面的匹配入手。

飞机机组的不安全行为大致可以分为两类:差错和违规。通常,差错代表的是个人导致的没有达到预期结果的精神和身体的活动。差错不是操作人员有意为之的,而违规是操作人员故意违反相关操作程序有意为之的。

根据四个界面的匹配识别出以下重要的人为因素的形式[2]:

表1 航空人为因素风险识别表

除却航空过程的人为因素,航空过程的高风险部分也包括起飞和降落时的进近管制,也即空中交通管制。空管受到了多种因素的影响,管制能力技术影响比较显著,管制人员的理论知识掌握程度、飞行调配经验等都会对交通管制造成影响。还包括了管制能力非技术因素的影响,比如,管制人员的心理及生理情况等。

图片

图片

图1 空中交通管制区域示意图[3]

从飞行方面来看,影响空管效果的因素包括机组准备、飞行员操作、跑道容量等。此外,在空域因素影响下,雷达管制中空域对交通流有着比较大的影响。飞机在升降过程中容易产生飞行冲突,空域会受到地形及进离场航线的影响。

航空风险也包括飞机自身机器存在的各种机械风险、电气风险和碰撞危险:

  1. 机械故障。在飞机延误和事故分析中,最常见的原因是机械故障。机械故障常见的有起落架收不起来、发动机故障、仪表显示不正常等情况,一般在起飞之前能检查出不少机械故障。

  2. 油箱失灵,这种情况是指燃油在汽化的状态下,爆炸起火,历史上,航空史上也发生过这种情况,不过还是比较少。

  3. 电磁干扰。据统计,近年来世界范围内每年都发生20多起因为电磁波干扰而引起的飞行事故,因此世界上许多航空公司规定,飞机飞行时禁止使用手机。除手机外,使用寻呼机、笔记本电脑、游戏机时也会辐射电磁波,因此这些设备也不能在飞机上使用。此外,太阳黑子和北极光等天文现象产生的电磁波也会干扰飞机的正常航行。

  4. 鸟类撞击。1988年埃塞俄比亚的一架波音737飞机在起飞爬升到3800米时,突然遭遇大鸟袭击,结果造成机上85人死亡,21人受伤。一只体重为3千克左右的鸟儿与飞机相撞时可以产生16吨的冲击力,对飞机来说无异于遭到一枚导弹的袭击。

同时,气候风险也是全球变暖和气候危机时代以来越发重要的造成飞机失事和风险的因素。雷雨天气直接危及飞行安全,因为航路或机场上空的雷暴、雷雨云、台风、龙卷风、强烈颠簸及低云、低能见度以及跑道结冰等恶劣气候,会对飞机结构和通讯设备以及飞机起降构成直接威胁。

东航失事事件介绍

出事的飞机是波音737-800NG客机,是美国波音公司生产的一种中短程双发喷气式客机,这台出事的飞机737-800机龄只有6.8年。

该飞机是在“巡航阶段”发生事故的,一架飞机要完成一次飞行任务,总共要经历以下7个阶段,分别是滑行、起飞、爬升、巡航、下降、进近和着陆这7个阶段。而巡航,就处于这个环节里面的第4个环节了。所谓巡航就是指“飞机在完成起飞了之后,进入预定航线之后的飞行状态”。

事发飞机的巡航高度约在8907米的高空,之后飞机突然从巡航高度下降,极速达到了1120km/h,而要知道这台飞机最高的允许飞行速度是946km/h,速度非常的快,在大约3分钟左右的时间极速坠落。

东航航行事件流程-风险关联

图片

图2 航行过程与航行风险关联图

如图2所示,东航失事飞机航行过程的全程在各方面都存在一定的风险因素,包括机械风险,人为风险,气候风险,电磁风险和其他风险(主要为生物体物理撞击和自动航线软件故障),其中飞机爬升、巡航和缓降过程存在较多风险因素。

东航失事事故树分析

已知东航失事发生于平流层巡航时期,故基于此展开事故树分析。从上图归纳可得,平流层的东航巡航时期存在的风险因素及具体种类为:

以下分析这些风险因素间的关系以便得出风险逻辑结构:

飞机失事风险 = 人为风险 AND可应急处理的其他风险

OR 不可应急处理的其他风险 OR 致命的人为风险

该部分的事故树为:

图片

进一步,对M2:不可应急处理的风险,<天体电磁现象>和<高空切边湍流>是无法应对的罕见自然灾害,用或门表示,也即:

不可应急处理的风险 = 天体电磁现象 OR高空切边湍流

对M3:人为事故,人为事故主要是执行错误的命令且未能纠正,所以人为事故可表示为<命令错误>AND<误解信息>AND<软件故障>,也即:

人为事故 = 命令错误AND误解信息AND软件故障

进一步地,误解信息是因为人员心理生理不适造成的精神状态问题,或是信号干扰产生的问题。命令错误既可以是单纯的命令错误,也可以是具体执行的操作错误。

误解信息 = 人员生心理不适OR信号干扰

命令错误 = 命令输入错误OR操作执行错误

因此,我们可以对飞机失事的第二个和第三个原因进行拓展:

图片

剩余风险因素都是可以执行一定应急处理办法来防止失事事故的风险因素,包含机身风险和未能检测到机身风险的监控风险因素,在这里监控风险就是仪表未能正常反应机身情况,因此该因素表示为:

未能应急处理的故障 = 机身风险AND仪表显示不正常

机身主要可以分为两大因素:失去方向控制、失去速度控制。因此改为或门:

机身风险 = 失去方向控制OR失去速度控制

其中,两个因素都包含信号干扰和电离层冲击造成的电子控制故障,同时,对于失去方向控制,包含舵机卡死和螺丝松动的因素;对于失去速度控制,包含发动机故障或螺丝松动:

失去方向控制 = 舵机卡死OR螺丝松动

失去速度控制 = 发动机故障OR螺丝松动

综上可得到总体风险事故树图:

图片

可得该事故树的最小割集(发生失事的基本事件组合)为:

1、(X1),X1:天体电磁现象。

2、(X2),X2:高空切变湍流。

3、(X3X4X6),X3:软件故障,X4:命令输入错误,X6:人员生心理不适。

4、(X3X4X7),X3:软件故障,X4:命令输入错误,X7:信号干扰。

5、(X3X5X6),X3:软件故障,X5:操作执行错误,X6:人员生心理不适。

6、(X3X5X7),X3:软件故障,X5:操作执行错误,X7:信号干扰。

7、(X8*X10),X8:仪表显示不正常,X10:螺丝松动。

8、(X8*X11),X8:仪表显示不正常,X11:发动机故障。

9、(X8*X12),X8:仪表显示不正常,X12:螺丝松动。

10、(X8*X9),X8:仪表显示不正常,X9:舵机卡死。

进一步得到基本事件的结构重要度大小比较:

I(X2)=I(X1)>I(X8)>I(X3)>I(X7)=I(X6)=I(X5)=I(X4)>I(X12)=I(X11)=I(X10)=I(X9)

接下来对该事故树进行模拟,以下是各基本事件的概率表:

图片

X1,X2为罕见自然现象,取百万分之一的概率,X3,X8为软件错误,取万分之一的概率,X9.X10,X11,X12为机械部件错误,取千分之一的概率,X4,X5,X7为人员操作不当等人员错误和常见多发的通讯现象,取百分之一的概率,X6为出现条件最简单的现象,取十分之一的概率。

据此可分析各基本事件的概率重要度为:

1、X1(0.9999983836903030442540083686)

2、X2(0.9999983836903030442540083686)

3、X8(0.0039939951446583212588575073)

4、X3(0.0021690947954644943548585072)

5、X9(0.0000997000788735511009533770)

6、X10(0.0000997000788735511009533770)

7、X11(0.0000997000788735511009533770)

8、X12(0.0000997000788735511009533770)

9、X4(0.0000107909741080896955342203)

10、X5(0.0000107909741080896955342203)

11、X6(0.0000019700952729448159736793)

12、X7(0.0000017909957026771054306169)

并计算得到顶上事件的发生概率为0.0000026163080806460490358867

参考文献:

[1] ICAO DOC9859 , Safety Management Manual .

[2]蔡蔚荣.大型客机安全性人为因素分析[J].科技视界,2020(17):172-174.

[3]刘俊涛,李伊雯.民航进近管制过程中的风险识别[J].中国航班,2021(07):48-50.