基于HAZOP法的飛行沖突故障樹的建立*

吳奇科，姚登凱，甘旭升，孫千銳

（空軍工程大學(xué)空管領(lǐng)航學(xué)院，西安710051）

基于HAZOP法的飛行沖突故障樹的建立*

吳奇科，姚登凱，甘旭升，孫千銳

（空軍工程大學(xué)空管領(lǐng)航學(xué)院，西安710051）

針對故障樹的建立中所存在的主觀性、覆蓋性、以及模糊性等問題，提出了一種基于HAZOP法來建立進近和離場期間飛行沖突故障樹的方法。通過引導(dǎo)詞與航管參數(shù)的排列組合確定偏差，然后以偏差事件為節(jié)點，分析產(chǎn)生偏差的原因和造成的結(jié)果并構(gòu)建故障樹，最后對故障樹進行定性定量分析。并以美國兩架民航客機在機場上空發(fā)生的飛行沖突示例了完整的建模過程。結(jié)果表明所建立的故障樹在能準確分析飛行沖突成因的基礎(chǔ)上，較好地解決傳統(tǒng)FTA所存在的局限性。

安全工程，危險與可操作性，故障樹分析，空中交通管理，可靠性分析

0 引言

危險與可操作性分析（HAZOP）可以指導(dǎo)工藝設(shè)計人員，及早發(fā)現(xiàn)項目設(shè)計中存在的危險、理清潛在事故形成并提出降低風(fēng)險的建議措施［1-3］。國內(nèi)飛行沖突安全分析以故障樹模式影響分析（FMEA）、BOW-Tie分析等傳統(tǒng)安全工程技術(shù)為主，而HAZOP以其“借助引導(dǎo)詞創(chuàng)新思維”、“發(fā)揮集體智慧”和“科學(xué)系統(tǒng)全面地剖析事故劇情”等鮮明突出的特點［4-5］，已開始被NATS（國家空中交通服務(wù)）應(yīng)用在ATM中。

隨著航空業(yè)的迅速發(fā)展，飛行流量與日俱增，飛行安全的可靠性問題越來越受到人們的關(guān)注。故障樹（Fault Tree，F(xiàn)T）法已被熟練運用于飛行安全的可靠性分析中。但傳統(tǒng)的故障樹也存在主觀性、覆蓋性、模糊性等問題。當對于頂事件的確定模糊不清時，必然會導(dǎo)致所建立的故障樹龐大而復(fù)雜，從而導(dǎo)致重點不突出。為了解決故障樹的這些局限性，本文提出了一種基于HAZOP法建立故障樹的方法，以機場上空進近和離場航空器容易發(fā)生飛行沖突為場景進行分析，解決了故障樹建立中存在的主觀性、覆蓋性、模糊性等問題，并結(jié)合案例，證明了該方法的可行性。

1 HAZOP和FTA分析方法

1.1 HAZOP方法介紹

HAZOP（危險與可操作性）法是以引導(dǎo)詞為引導(dǎo)，將連續(xù)的工藝流程分成許多節(jié)點，針對每一個分析節(jié)點，列出可能導(dǎo)致工藝或操作上偏離于正常工作的偏差，確認產(chǎn)生偏離的原因，分析每一個原因可能造成的最終后果，然后對問題的嚴重性和現(xiàn)有安全措施的充分性進行評估，并提出相應(yīng)的對策與措施［6-8］。為了符合空管問題的研究，本文將HAZOP的引導(dǎo)詞進行歸納，如表1所示，目的在于能夠便于搜索（窮舉）符合空管情景的事件。

表1 偏差類型與相關(guān)的引導(dǎo)詞

1.2 故障樹方法介紹

故障樹分析（簡稱FTA）是安全系統(tǒng)工程的重要分析方法之一，它能對各種系統(tǒng)的危險性進行辨識和評價，不僅能分析出事故的直接原因，而且能深入地揭示出事故的潛在原因［9］。

1.3 模型基本原理

如圖1左半部分，示意了運用HAZOP分析機場上空進近和離場期間飛行沖突的基本流程，最后輸出危險源列表，并將其作為故障樹建立的基礎(chǔ)。具體步驟如下：

圖1 HAZOP分析建立故障樹的流程圖

第1步：確定所要研究的場景，選擇一個場景，最主要的是確定研究對象和目的，明確研究的范圍，可以減小危險源分析的工作量，使得故障樹的分析結(jié)果也更加精確。

第2步：選擇空管參數(shù)，將一個飛行程序過程劃分為若干個節(jié)點，空管參數(shù)即是每一個節(jié)點的實際設(shè)計意圖劃分的要素或特征。空管參數(shù)的選擇必須能夠描述空管領(lǐng)域所要研究的事故場景的特征。

第3步：選擇引導(dǎo)詞，建立偏差，偏差為引導(dǎo)詞與空管參數(shù)的組合，一般表示如下：“引導(dǎo)詞+空管參數(shù)=偏差”，即選取一個過程的空管參數(shù)用引導(dǎo)詞進行結(jié)構(gòu)化，確定具有實際意義的偏差。例如“無（None）+流量=沒有流量”，表示所研究的場景沒有飛機飛過。這里運用表1的引導(dǎo)詞與航管參數(shù)進行排列組合，可以系統(tǒng)性地搜索出可能的偏差，從而避免遺漏。

第4步：生成危險源列表，構(gòu)建故障樹。按照圖1左半側(cè)的流程圖進行HAZOP分析，在遍歷所有的引導(dǎo)詞和空管參數(shù)后，選擇有意義的偏差，生成危險源列表。將危險源中的最壞結(jié)果作為故障樹的頂事件，構(gòu)建故障樹。

第5步：確定對頂事件影響最大的基本事件，并針對容易引發(fā)飛行沖突的基本事件，采取相應(yīng)的預(yù)防措施。

確定危險源列表中無法接受的事件作為頂事件，按照圖1右半部分的流程圖構(gòu)建故障樹，然后確定對頂事件變化率影響最大的基本事件，依據(jù)危險性大小制定相應(yīng)的預(yù)防措施。

2 案例分析

2010年5月21日，盧森堡貨運航空公司一架B747，從美國安克雷奇市飛往本國奧黑爾國際機場，機上2名機組成員，當?shù)貢r間午夜12點過后不久，飛機從安克雷奇機場25號跑道起飛。與此同時，美國航空公司一架A319從菲尼克斯飛往安克雷奇，飛機載有138名乘客，在最后進近準備降落安克雷奇機場14號跑到時，由于風(fēng)切變，飛機隨后在低高度進行復(fù)飛。就在復(fù)飛過程中，兩架飛機發(fā)生飛行沖突，垂直間隔最小時僅有100 ft，水平間隔僅為0.3 n mile［10］。

2.1 HAZOP分析

根據(jù)案例分析，確定該場景是在機場上空的進近和離場匯聚點，兩架航空器由于飛行間隔小于規(guī)定的最小安全間隔而發(fā)生的飛行沖突。按照圖1的分析流程進行HAZOP分析。為了方便對空域環(huán)境進行更好的理解，畫出示意圖如圖2所示。

圖2 場景分析示意圖

場景分析結(jié)束后，進行參數(shù)選擇，Ilias Maragakis［11］等人將空管參數(shù)總結(jié)為流量、探測、協(xié)調(diào)、通告、傳輸、指令、復(fù)誦、引導(dǎo)或指示、移交、監(jiān)管、爬升、下降、速度、轉(zhuǎn)彎、高度等，分析兩架飛機發(fā)生飛行沖突的前后過程，危險源主要來自于4個方面：人為因素、設(shè)備因素、空域運行管理及環(huán)境因素。在飛行沖突具有針對性的評估過程中，人為因素方面主要體現(xiàn)為飛行員的誤操作及操作上的誤差；設(shè)備因素考慮出現(xiàn)突發(fā)故障情況，系統(tǒng)運行的誤差和航空器本身性能限制因素，如機動性能限制、續(xù)航能力限制；空域運行管理方面的因素主要體現(xiàn)為航空器安全間隔制定的合理性，它將直接影響飛行沖突判斷的準則；環(huán)境因素則主要為各種惡劣天氣，偏流造成的航向偏差等。

由HAZOP分析小組結(jié)合空管發(fā)生飛行沖突的經(jīng)常性原因，選擇航管參數(shù)。確保將“人-機-環(huán) -管”4個方面的問題包含到飛行沖突的分析中，分別選取指令、移交、傳輸、下降為此次分析的參數(shù)。借助于表1引導(dǎo)詞的幫助，依據(jù)某機場管制員、飛行指揮員、飛行員、領(lǐng)航員、氣象員等有關(guān)專家的意見，應(yīng)用類似于頭腦風(fēng)暴法的分析方法，將引導(dǎo)詞與航管參數(shù)進行組合，從“人-機-環(huán)-管”4個方面進行篩選，形成具有實際意義的偏差，遍歷全部跟飛行沖突有關(guān)的偏差事件，最后，綜合得到針對機場上空該風(fēng)險場景的危險源列表［12-13］，如表2所示。

表2 危險源列表（部分）

2.2 故障樹建立

故障樹頂事件的確定，對于FTA起到了關(guān)鍵的影響。所以，本文基于危險源列表，將飛行沖突作為故障樹的頂事件進行分析，以偏差作為中間事件，將偏差產(chǎn)生的原因作為偏差的子事件，將偏差的結(jié)果作為偏差的父事件，按照“人-機-環(huán)-管”的分析順序，可以遍歷所有可能的原因，從而確定每個事件在故障樹中的位置［14-15］。按照圖1中的方法，構(gòu)建故障樹如圖3所示。圖3中飛行沖突故障樹的基本事件如下頁表3所示［16］。

在建立了上述故障樹后，既可進行定性分析，也可以進行定量分析。在定性分析方面，故障樹可以幫助查明系統(tǒng)內(nèi)固有的或潛在的各種危險因素，為機場上空進近與離場期間發(fā)生飛行沖突的緩解提供合理的依據(jù)。在定量分析方面，通過最小割集分析，可以計算各基本事件的重要度，以此發(fā)現(xiàn)系統(tǒng)的薄弱環(huán)節(jié)，從而有針對性地改善系統(tǒng)的整體可靠性［16-18］。

圖3 飛行沖突故障樹

表3 故障樹基本事件

2.3 基本事件的結(jié)構(gòu)重要度分析

為了確定故障樹基本事件對頂上事件的影響程度，需要進行結(jié)構(gòu)重要度分析。

其中，K為故障樹包含的最小割集數(shù)，m為包含第i個基本事件的最小割集數(shù)，Rj為包含第i個基本事件的第j個最小割集的基本事件數(shù)。

利用式（1），計算得到表3中所示基本事件的結(jié)構(gòu)重要度如表4所示。由結(jié)果可知，最小割集為19個，最小徑集為6個，差值并非很大，說明合理有效的規(guī)避措施，能夠避免飛行沖突的發(fā)生。單事件最小割集中的基本事件結(jié)構(gòu)重要度最大，且單事件數(shù)目較多，結(jié)構(gòu)重要度相等，故定性分析無法更精確的描述基本事件對頂事件的影響程度。所以下面需要進行更精確的定量分析。

表4 基本事件的結(jié)構(gòu)重要度

2.4 基本事件的概率重要度分析

結(jié)合圖3所示的故障樹，可以得到頂事件飛行沖突發(fā)生概率Q：

PEi代表第i個最小割集發(fā)生的概率。

［10］中對軍民航1994年～2014年飛行事故及飛行事故征候的統(tǒng)計分析，確定基本事件發(fā)生概率如表5所示。

表5 基本事件發(fā)生概率

故障樹中第i個基本事件的概率重要度系數(shù)IP（i）可定義［19］為：

聯(lián)立式（2）、式（3）和表5所示的基本事件發(fā)生概率，計算得到各個基本事件的概率重要度系數(shù)，如表6所示。

根據(jù)計算結(jié)果分析如下：①“管制員正忙于其他工作”、“管制員能力不足”、“塔臺管制員工作負荷過大，精力不集中”、“管制員人為差錯”、“進近管制員工作負荷過大導(dǎo)致的疏忽”等基本事件概率重要度系數(shù)遠大于其他基本事件，其概率的變化對頂事件影響占有絕對比重，與美國國家運輸安全委員會（NTSB）發(fā)布的事故最終調(diào)查報告的主要原因一致。②為了避免類似飛行沖突的發(fā)生，要針對以上發(fā)現(xiàn)的安全隱患，進行及時的排查和解決。比如采取縮短輪班時間以減輕管制員工作負荷；加強機組人員對于飛行基本規(guī)則的學(xué)習(xí)，使機組人員從思想上重視飛行的高嚴謹性和高風(fēng)險性。

表6 基本事件發(fā)生概率重要度系數(shù)

3 結(jié)論

將HAZOP方法與故障樹結(jié)合，與傳統(tǒng)的故障樹建立相比，解決了由于人的主觀原因而導(dǎo)致建立的故障樹種類繁多以及導(dǎo)致的部分事件遺漏；當頂事件過于模糊時，由于FT龐大復(fù)雜而導(dǎo)致重點不突出等問題，并應(yīng)用于進近與離場期間飛行沖突的分析中，經(jīng)驗證方法可行。

參考文獻：

［1］付希燕.推廣HAZOP技術(shù)提高工藝安全水平［J］.現(xiàn)代職業(yè)安全，2011（12）：28-33.

［2］DUNLAY W J.Analytical models of perceived air traffic control conflicts［J］.Transportation Science，1975（9）：149-164.

［3］SHEPHERD R，CASSELL R，THAPA R，et al.A reduced aircraft separation risk assessment model［C］//American Institute of Aeronautics and Astronautics，AIAA-97-3735，1997：1418-1433.

［4］陳勇，賴小林.HAZOP分析方法及其應(yīng)用最新進展［J］.安全科學(xué)技術(shù)研究院，2013，29（4）：30-33.

［5］郭凱.基于風(fēng)險矩陣的我國煤炭企業(yè)安全風(fēng)險評價研究［J］.中國礦業(yè)，2014，23（5）：23-27.

［6］杜廷召，田文德，任偉.危險與可操作性分析研究［J］.現(xiàn)代化工，2010，30（7）：90-93.

［7］姚剛，韓艷萍.HAZOP分析方法簡述［J］.化工管理，2014（12）：131.

［8］趙建民，王麗紅，荊展平.HAZOP的基本假設(shè)［J］.現(xiàn)代職業(yè)安全，2012（3）：96-99.

［9］蘇曉勤.故障樹分析算法改進研究與實現(xiàn)［D］.天津：河北工業(yè)大學(xué)，2005.

［10］秦保鹿，張利群.防相撞不安全事件分析［M］，西安：藍天出版社，2015.

［11］MARAGAKIS I，CLARK S.Guidance on hazards identification［R］.Cologne：European Commercial Aviation Safety Team（ECAST），2012.

［12］JONG H H D，STROEVE H，BLOM H A P.The role of air traffic controllers and pilots in safety risk analysis［R］.Amsterdam：National Aerospace Laboratory（NLR），2006.

［13］SHORROCK S，KIRWAN B，SMITH E.Human error prediction in air traffic management：acomparison of two approaches［R］London：International Broadcast Center（IBC）Conference on Preventing Human Errors and Violations，2003.

［14］馮庚，蔣雨宏，范路，等.基于事故樹分析與貝葉斯網(wǎng)絡(luò)的土石壩風(fēng)險分析［J］.水力發(fā)電，2013，39（4）：34-36.

［15］李淑敏，孫樹棟，司書賓，基于模塊分解的多態(tài)故障樹可靠性分析方法［J］.西北工業(yè)大學(xué)學(xué)報，2014，3（2）：251-253.

［16］徐維如.航空管制概論［M］.北京：藍天出版社，2008.

［17］周帥，施富強，柴儉.HAZOP偏離度在鐵路安全風(fēng)險分析中的應(yīng)用［J］.中國安全科學(xué)學(xué)報，2014，24（8）：92-96.

［18］付罡，張貝克，吳重光.基于風(fēng)險的半定量SDG-HAZOP的研究［J］.系統(tǒng)仿真學(xué)報，2008，20（5）：1126-1129.

［19］楊宇杰.事故樹和貝葉斯網(wǎng)絡(luò)用于潰壩風(fēng)險分析的研究［D］.大連：大連技術(shù)大學(xué)，2008.

Fault Tree Establishment of Flight Conflict During Based on the HAZOP Method

WU Qi-ke，YAO Deng-kai，GAN Xu-sheng，SUN Qian-rui
（School of Air Control and Navigation，Air Force Engineering University，Xi’an 710051，China）

Aiming at the issues of subjectivity，coverage and ambiguity，this paper presents a systematic approach to constructing fault trees of flight conflict at airport based on HAZOP.Firstly，the HAZOP methodis introduced.Then the deviations is regarded that acquiring through associating the HAZOP guide words as plots.The causes and results of the deviation are determined in order to construct fault trees.Finally，it in qualitative and quantitative is analyzed.The overall model as well as the modeling process of the airport where two planes flight conflict happened in the United States is presented.The results show that the fault tree can solve the limitations of the traditional establishment of FT better on the basis of analyzing the causes accurately.

safety engineering，HAZOP，F(xiàn)TA，ATM，reliability analysis

X949

A

1002-0640（2017）02-0124-06

2016-01-05

2016-02-18

省部級自然科學(xué)基金面上項目（2015JM7364）；國家空管科研基金資助項目（GKG201410005）

吳奇科（1990-），男，山東煙臺人，碩士研究生。研究方向：空域運行規(guī)劃與管理。