基于Bow-Tie模型的航空事故分析及適航條款生成方法

崔利杰 任恒 李澤

1.空軍工程大學(xué)裝備管理與安全工程學(xué)院 陜西西安710051 2.中國人民解放軍95941部隊北京102202

自航空器產(chǎn)生以來,盡管人們在航空安全方面的工作取得了顯著的效果,但是隨著航空器在人們生活中的深入廣泛應(yīng)用,新的航空安全問題依然在不斷發(fā)生.航空災(zāi)難事件所導(dǎo)致的嚴(yán)重后果,往往會帶來巨大的危害,其中主要以經(jīng)濟損失和人員傷亡的形式直接表現(xiàn)出來.除此之外,航空事故對環(huán)境造成的影響以及對個人和單位造成的負(fù)面影響、損失也是難以估計的.例如世界著名的泛美航空公司,其運營范圍曾遍布六大洲的160個國家,卻由于1988年的洛克比空難導(dǎo)致270人罹難,對其運營造成了非常惡劣的影響,最終導(dǎo)致泛美航空公司破產(chǎn).而適航作為保障航空運營安全的重要手段,深入了解研究航空空難事故,建立健全適航管理規(guī)章體系,對提高航空器安全性水平具有重要意義.

1 事故分析管理方法模型

1.1 Bow-Tie分析方法模型

Bow-Tie模型是將導(dǎo)致事故產(chǎn)生影響的直接表現(xiàn)事件向兩邊進(jìn)行拓展[1].一方面通過故障樹向前推,分析導(dǎo)致事故發(fā)生的危險源,明確航空器系統(tǒng)缺陷;另一方面則是通過事件樹向后推,通過對事故發(fā)生后導(dǎo)致事件產(chǎn)生二次傷害的因素進(jìn)行分析研究,幫助人們更加全面地提出改進(jìn)措施.Bow-Tie模型很好地將上述兩方面結(jié)合起來,使得航空事故原因分析能夠更加準(zhǔn)確細(xì)致,使所有分析內(nèi)容的結(jié)構(gòu)體系更加直觀,原理如圖1所示.

圖1 Bow-Tie模型原理簡圖

1.2 Bow-Tie分析方法模型要素

為保證事故分析過程中能夠科學(xué)全面地對事故內(nèi)容進(jìn)行分析,Bow-Tie模型中各個要素具有不同的涵義,其中分析各階段要素定義如下:

1)危險源的識別.指識別找出事故中可能導(dǎo)致出現(xiàn)人員傷亡、財產(chǎn)損失或者周邊自然環(huán)境破壞等因素的根源[2].這些危險源可能平時處于潛在狀態(tài),需要一定的環(huán)境、時間或者人員的誘發(fā),最終才能引發(fā)這些危險源向?qū)е率鹿拾l(fā)生的狀態(tài)發(fā)生轉(zhuǎn)變.

2)危險源失控點.指系統(tǒng)中存在的危險源在經(jīng)過誘發(fā)因子誘發(fā)后出現(xiàn)的不安全事件.這是導(dǎo)致事故產(chǎn)生危害的直接原因,該不安全事件的發(fā)生可能是由一系列不確定因素同時失效或者針對這些不確定因素設(shè)置的控制措施失效而最終導(dǎo)致的,該事件的發(fā)生往往具有集體涌現(xiàn)的特性.

4)識別控制.指統(tǒng)計、分析系統(tǒng)中原本針對系統(tǒng)可能出現(xiàn)的不安全情況采取的相應(yīng)控制管理措施,其中包括對危險源本身的控制和危險發(fā)生后對危險事件的控制,一種是預(yù)防性控制,一種是事后控制.預(yù)防性控制主要是延緩危險源的狀態(tài)轉(zhuǎn)移,或者采取相應(yīng)的狀態(tài)監(jiān)控、告警設(shè)備,達(dá)到對危險源的狀態(tài)實時監(jiān)控的目的,從而幫助人們提前采取有效措施,避免事故的發(fā)生.事后控制是通過對事故發(fā)生后可能產(chǎn)生的故障模式進(jìn)行控制,使得事故在發(fā)生后,事故本身對系統(tǒng)的影響在人們可接受的范圍內(nèi).

5)識別擴大因素.指在事故發(fā)生后,導(dǎo)致事故的影響擴大或者后果超過預(yù)期的影響因子,這些因素中一方面包括致使事后控制措施發(fā)生失效的因素,另一方面包括一些事后處理不當(dāng)或者不及時導(dǎo)致事故影響惡化等因素.

6)識別后果.指由一系列影響因子失效后,導(dǎo)致危險源發(fā)生危險事件,從而產(chǎn)生的損失,其中包括了人員損傷、航空器設(shè)備以及人員財產(chǎn)損失,另外還包括對環(huán)境的影響等各個方面.

2 適航條款生成方法

由于事故案例的分析控制是以危險源的分析和控制為核心,故而在此選擇風(fēng)險管理方法對導(dǎo)致事故發(fā)生的各個危險源進(jìn)行有效控制[4],具體的管理工作流程可進(jìn)行如下描述.

2.1 辨識危險源

首先是對事故案例的收集和整理.隨著信息共享技術(shù)的發(fā)展,我們可以利用目前已有的數(shù)據(jù)資源,通過建立飛行事故數(shù)據(jù)資料庫對航空器安全可能產(chǎn)生影響的因素進(jìn)行匯總.資料庫中既包括設(shè)計人員在設(shè)計過程中的一些經(jīng)驗教訓(xùn),也包括使用過程中發(fā)生的一些事故以及詳細(xì)的事故調(diào)查過程及結(jié)果,還包括維修過程中維修人員發(fā)現(xiàn)的問題.作為事故風(fēng)險管理的基礎(chǔ)性資料信息庫,首先應(yīng)該保證資料來源的準(zhǔn)確性,只有如此才能保證后續(xù)信息的使用能夠符合實際.還應(yīng)該保證事故信息的及時性,只有做到信息的及時反饋才能更好的發(fā)揮事故的教育意義,最大限度的降低傷害.在本過程中可以通過問卷調(diào)查法、安全檢查表以及事故報告統(tǒng)計等途徑對資料進(jìn)行收集整理.在完成事故案例的收集后,就是對事故危險源的分析,事故原因分析時可以按照Bow-Tie模型方法進(jìn)行.

2.2 風(fēng)險控制

風(fēng)險控制是在風(fēng)險辨識和評價基礎(chǔ)上進(jìn)行的風(fēng)險管控,是風(fēng)險管理的核心要素.風(fēng)險控制主要從排除風(fēng)險、預(yù)防風(fēng)險、降低風(fēng)險3個方面進(jìn)行考慮[5].首先應(yīng)該明確所要控制的對象,即確定危險源.通過風(fēng)險辨識評價階段對事故原因的分析辨識,我們應(yīng)該根據(jù)分析的結(jié)果,確定控制對象,實現(xiàn)對事件鏈的有效控制,避免事故的發(fā)生.

2.3 措施評價

評價過程主要是為了保證針對事故原因提出的措施的有效性.如果存在任何問題可以反饋回去,再進(jìn)行分析解決.由于事故的發(fā)生是由一系列事件鏈組成的,所以針對不同的危險源,在飛機這個復(fù)雜的大系統(tǒng)中采取的控制措施一定會存在差異,為保證整機層級的系統(tǒng)安全性和物理完整性,我們在進(jìn)行具體措施的有效性評價后,還需要對所有控制措施進(jìn)行全面的試驗評價,確保每一個控制措施之間不會產(chǎn)生交互作用,并且這些控制措施對其他部件及系統(tǒng)的影響在預(yù)期的范圍內(nèi),不能因為控制措施的增加而影響到其他系統(tǒng)的正常運行,導(dǎo)致新的危險源的出現(xiàn).

2.4 有效措施標(biāo)準(zhǔn)化

基于事故風(fēng)險主要是由人為因素所導(dǎo)致的,并且航空器應(yīng)用范圍非常廣泛,使用環(huán)境錯綜復(fù)雜,為確?？刂拼胧┑暮侠碛行蜇瀼芈鋵?使得每項風(fēng)險控制環(huán)節(jié)工作有理有據(jù),更好地約束操作人員的行為,最大限度避免事故的發(fā)生,需要對飛行事故進(jìn)行風(fēng)險管理并把相應(yīng)的管理措施進(jìn)行標(biāo)準(zhǔn)化,從而方便控制措施的有效落實.

記得9歲那年，國慶長假，爸爸帶你徒步茅山。茅山距離句容近二十五公里。你和爸爸日出而出，日落才到。整整步行了一天。中途雙腿發(fā)酸發(fā)軟，腳板心疼痛，你想過放棄，特別是公交車從你身邊駛過時。但正當(dāng)你想放棄時，腦海中又想起爸爸常說的那一句話——堅持就是勝利。你牙一咬，心一橫，終于堅持步行到了茅山。到達(dá)茅山腳下的興奮沖走了你所有的疲倦，你快樂無比，從而你更加堅信只有持之以恒，才能獲得成功。

在前面的管理過程中,我們對事故危險源進(jìn)行了辨識分析,進(jìn)而給出了控制措施的提出方法和思路,最后對風(fēng)險控制措施的效果進(jìn)行了評估.如果控制措施能夠符合公眾對航空安全性水平的最低要求,那么我們就需要對這些控制措施進(jìn)行標(biāo)準(zhǔn)化,在法規(guī)體系上進(jìn)行約束,使得航空器的設(shè)計、生產(chǎn)以及使用過程有法可依.

3 典型案例研究

3.1 事故經(jīng)過簡述

1998年4月28日,美國阿洛哈航空公司一架波音737客機,由希洛機場飛往瓦胡島檀香山的過程中,飛機機艙頂部發(fā)生爆裂,客艙前部35m2范圍空間完全暴露藍(lán)天之下,飛機的安全性面臨嚴(yán)重的威脅,主要有以下幾個方面:

1)關(guān)鍵輸氧管出現(xiàn)故障,機上人員供氧出現(xiàn)問題,長時間的供氧不足易導(dǎo)致組織缺氧;

2)高空溫度低,乘客衣著比較單薄,容易出現(xiàn)人員損傷;

3)駕駛艙下垂1m,客艙及駕駛艙通訊設(shè)施故障,客艙人員無法判斷飛機是否有人駕駛,乘客出現(xiàn)恐慌,駕駛艙內(nèi)機長與副機長也難以正常溝通;

4)飛機的爆裂使得飛機結(jié)構(gòu)強度降低,在飛行過程中隨時有可能斷裂;

5)降落時如果按照飛行手冊計算速度降落,飛機將失去控制;

6)由于液壓系統(tǒng)故障,不能確定起落架狀態(tài).

針對飛機發(fā)生事故后的種種問題,機組人員采取了下面幾種解決措施:

1)機長迅速下降飛機高度,一方面使機上人員能夠滿足最基本的呼吸以及溫度需要;另一方面,駕駛艙內(nèi)也能實現(xiàn)正常溝通;

2)副機長及時與附近的毛伊島塔臺取得聯(lián)系,請求在毛伊島卡胡盧伊機場迫降并要求準(zhǔn)備緊急救援;

3)通訊過程中告知起落架問題,通過迫降前地面人員的觀察,得知起落架已經(jīng)正常放下;

4)針對迫降時飛機的失控問題,機長決定使用高速迫降,以保證飛機在著落時是可控的.

事故發(fā)生后,機組人員通過采取正確有效的方法,最終使飛機成功迫降于毛伊島卡胡盧伊機場.本次事故從事故發(fā)生至迫降成功歷時13min,最終僅造成65名乘客受傷,7名乘客重傷,1名乘務(wù)長死亡,堪稱奇跡.

3.2 運用Bow-Tie模型進(jìn)行致因分析

結(jié)合事故發(fā)生過程中出現(xiàn)的問題以及事故調(diào)查結(jié)果,結(jié)合Bow-Tie分析模型對事故原因進(jìn)行分析,分析結(jié)果如圖2所示.

3.3 事故控制措施標(biāo)準(zhǔn)化

事故發(fā)生是由于飛機長時間使用,起飛架次超過設(shè)計限制.另外維修人員在維修時,由于晚上光線較暗且維修手冊上的內(nèi)容晦澀難懂,致使維修人員沒有及時檢測出飛機蒙皮上存在的疲勞裂紋,最終導(dǎo)致了事故的發(fā)生,事故案例風(fēng)險管理過程如圖3所示.

圖2 事故案例原因分析圖

圖3 事故案例風(fēng)險管理

事故處理:由事故的發(fā)生過程可以看出,事故是由一系列事件鏈共同發(fā)生導(dǎo)致的,一旦事故中某一個環(huán)節(jié)受到控制就會極大降低事故后果的影響.本次事故中蒙皮屬于零部件級別、蒙皮失效后導(dǎo)致操縱系統(tǒng)受到嚴(yán)重影響、最終導(dǎo)致飛機整體安全性存在風(fēng)險.針對本次事故,在相關(guān)適航條款中有相應(yīng)的法規(guī)對其危險源進(jìn)行控制約束.在我國適航性法規(guī)CCAR-25-R4以及CCAR-121-R4中對以上危險源都進(jìn)行了相關(guān)規(guī)定:首先針對使用次數(shù)過多導(dǎo)致失效問題,我們不僅從使用飛行時間上進(jìn)行要求還從起落的架次方面進(jìn)行了規(guī)定,使得要求更全面;針對維修過程中環(huán)境光線問題,我們也進(jìn)行了具體要求;除此之外,我們針對容易導(dǎo)致材料失效的環(huán)境條件也進(jìn)行了規(guī)定;另外,為防止人員對維修手冊的誤解,我們在維修手冊制定以及維修人員培訓(xùn)方面都進(jìn)行了針對性要求.例如:在CCAR-25-R4附錄H(持續(xù)適航文件)中的適航限制部分要求:維修人員必須按照規(guī)定的時間間隔對相關(guān)條款中要求檢查更換的部件進(jìn)行維修保障[6];在CCAR-121-R4第121.135條中規(guī)定:1)合格證持有人應(yīng)當(dāng)向下列人員提供本規(guī)則第121.131條所要求的手冊及其修改和補充,或者該手冊的有關(guān)部分:a)維修人員和有關(guān)地面運作人員;b)機組成員;c)負(fù)責(zé)管理該合格證持有人的局方人員.2)按照本條1)款持有手冊或者手冊相關(guān)部分的每個人,應(yīng)當(dāng)使用合格證持有人提供的修改和補充頁,使手冊內(nèi)容保持最新有效狀態(tài),并在執(zhí)行指定任務(wù)時可以隨時查閱.