张 鑫,孙有朝
(南京航空航天大学 民航学院, 南京 211106)
民用飞机飞行试验是一项技术性强、风险大、周期长、投资大的综合性系统工程,其最根本的目的就是验证飞机的安全性[1]。飞行试验需要在诸如舵面卡阻、动力装置失效、液压系统失效等系统故障下进行,这些试验技术复杂、风险极高,必须经过科学的风险识别并采取有效的风险降低措施,才能安全地执行。根据《航空器型号合格审定试飞安全计划》(AP-21-AA-2014-31R1)要求,民用飞机在开展飞行试验时,必须进行试飞风险的评估和控制。试飞工作的首要任务是要识别出飞行试验中的风险,明确风险发生的概率和发生后果的危害程度,制定出规避和降低风险的相应措施,确保飞行试验能够安全实施。
目前,殷铭[2]阐述了SHEL风险管理模型在民用飞机试飞中的应用价值。惠少勇[3]详细分析了试飞风险管理体系的风险管理范畴,确立试飞风险评价方法与预防措施,提出试飞风险的应对和应急处理策略。张霆霆[4]提出了试飞安全管理体系建设总方案,并阐述了实施和评估步骤。王剑锋[5]引入了模糊综合评价理论对试飞风险进行评价。这些方法大多是采用定性评估,缺乏定量数据的有力支撑,评估结果的往往不够精准。而贝叶斯网络是一种能够将专家经验和事故数据等结合在一起的技术,有很强的描述能力,能对事故进行推理诊断,适合用于风险评估。
本文根据美国国家运输安全委员会(National Transportation Safety Board,NTSB)关于湾流G650试飞事故的调查,建立了试飞风险的故障树,然后在故障树的基础上建立贝叶斯网络模型[6]。采用贝叶斯建模软件GENIE进行正向与反向的概率推理计算,从而评估试飞的风险水平,研究试飞风险的关键致因,并提出改进的建议。
贝叶斯网络(Bayesian Network,BN)是一个有向无环图,由表示变量的网络节点和节点的有向边组成,BN是进行不确定性表达和推理的有效工具。在BN模型里,节点表示随机变量,有向弧表示不同变量间的关系。在BN中,如果有向边由节点X指向节点Y,那么X为Y的父节点,Y为X的子节点,没有任何导入箭头的节点称为根节点,没有子节点的节点称为叶节点[7]。每个子节点都有在不同父节点取值组合下的条件概率分布,相应的条件概率表可以用来描述子节点与父节点之间的关系。
在BN中,利用联合概率分布即可求得顶事件T发生的概率。
(1)
式(1)中,Xi为子节点,F(xi)为父节点,n为贝叶斯网络中节点的数目。
根据BN对于条件概率的定义
(2)
假设A为某个变量,其存在着n种状态a1,a2,…,an,由全概率公式可以求得:
P(B)=∑P(B|A=ai)P(A=ai)
(3)
从而可以由BN得到后验概率P(B/A)。
在民机试飞风险评估的过程中经常会使用故障树分析(Fault Tree Analysis,FTA)方法,首先将可能发生的危险事件作为顶层输入,然后找出导致顶事件发生的各方面的因素,并根据不同因素之间的逻辑关系选用相应的逻辑门来连接它们,最后对试飞风险因素进行定性和定量的评估。
将故障树(Fault Tree,FT)转化为BN,需要确定二者之间的对应关系。试飞风险评估BN建模包括两份部分,需要建立BN网络拓扑结构并确定BN中各个节点的条件概率。网络拓扑结构的构造以及局部的条件概率可以由试飞员、专家或者查询相应的事故调查报告来设定。将FT转化为试飞风险评估BN的具体步骤:
1) BN中的根节点即为FT中所有的底事件,并且FT中重复出现的底事件仅需在BN中添加一个根节点。
2) FT中底事件发生的概率即为其对应BN中的根节点的先验概率。
3) FT的每个逻辑门输出的中间事件都对应着BN的一个中间节点,该节点的取值由对应逻辑门输出事件来决定。
4) 按照FT中逻辑门与底事件的关系来确定BN中各节点间的逻辑关系,并按照FT中事件发生顺序来连接各个节点。
5) BN中节点的条件概率FT中的逻辑关系来确定。
图1与图2给出了将FT中逻辑或/与门的输入和输出分别等价转换为相应BN节点的实例,表1和表2则分别给出了逻辑或/与门的条件概率。
图1 FT或门的BN转换
图2 FT与门的BN转换
ABP(C|A,B))000011101111
表2 与门条件概率表
2011年4月2日,美国当地时间9时34分左右,湾流宇航公司一架编号为N652GD的G650试验机在起飞时坠毁。事故发生在美国新墨西哥州的罗斯维尔国际飞行中心,试验机在进行单发起飞时右机翼外侧失速,产生不可控的滚转力矩,导致飞机右翼尖擦到跑道并偏离至跑道右侧。最终飞机撞到一个混凝土建筑和机场气象站,导致飞机出现严重的结构损伤,并被大火吞没,机上两名试飞员和两名试飞工程师不幸身亡。按照民航规则以及国内外的实践经验,与试飞风险相关的因素一般分为人、机、环境和管理4类。根据航空专家给出的建议以及NTSB对此次事故的调查分析,将试飞风险发生作为FT的顶事件,构建如图3所示的FT,整个FT共有7个逻辑门,12个底事件,6个中间事件。假设FT中的底事件均相互独立,并存在正常、失效两种状态,利用专家信息以及事故数据,设定各底事件即根节点的失效概率如表3所示。
图3 试飞风险的故障树
节点(失效)概率/%A1试飞员能力1.8A2试飞员身体情况1.6A3试飞工程师能力1.8A4试飞工程师身体情况1.6B1动力系统0.5B2导航系统0.4B3电子设备0.7B6安全检查与监管1.5B7试飞计划合理性2.0B8试飞安全管理体系3.2B9自然环境0.5B10意外事件0.5
将图3的FT转换为试飞风险评估的BN。首先FT的所有的底事件(A1、A2、A3、A4、B1、B1、B2、B3、B6、B7、B8、B9、B10)对应转换为BN中的根节点,并将底事件的先验概率赋值给BN中对应的根节点作为它的先验概率,并按照图1和图2的逻辑门转换方法,将FT输出事件转换为BN中的中间节点,连接节点的有向边的方向和FT中输入/输出关系相对应。利用匹兹堡大学决策实验室开发的GENIE软件,构建试飞风险评估的BN模型如图4所示[8]。由于篇幅原因,省去逻辑门转换为BN节点的条件概率表。
图4 试飞风险评估的贝叶斯网络模型
以构建的BN拓扑结构和底事件先验概率得到的试飞风险评估模型如图5所示。从图5中各个节点的条件概率计算结果可得,试飞过程正常进行的概率P=86%(T为Normal),试飞风险发生的概率为P=14%(T为Failure)。
图5 试飞风险评估的贝叶斯网络模型
当设定试飞风险发生的概率P=1(T为Failure)时,通过BN模型的反向推理,可以得到如图6所示各节点导致试飞风险发生的条件概率值[9]。当试飞风险发生时,由于事件A1、A2、A3、A4、B1、B2、B3、B6、B7、B8、B9、B10导致的概率分别为13%、11%、13%、11%、4%、3%、5%、11%、14%、23%、1%、1%。可以看出试飞风险发生的主要原因是人的因素以及湾流宇航公司在管理上的问题。
假设导致试飞风险发生的底事件的概率为pi,令p=(p1,p2,…,pn),则ψ(p)=ψ(p1,p2,…,pn)是试飞故障树的概率组成函数。
图6 BN模型的反向推理结果
如果一组底事件的取值能够使P=1(T为failure),则这组底事件组合成为一个割集,试飞故障树的最小割集是导致试飞风险发生的最少数量底事件的集合。通过下行法可以求得最小割集为:{A1}、{A2}、{A3}、{A4}、{B1}、{B2}、{B3}、{B6}、{B7}、{B8}、{B9,B10}。
通过最小割集可以求得顶事件T发生的概率,设Ci(i=1,2,…,n)是试飞故障树的第i个最小割集,由最小割集可以求得试飞风险发生的概率为
(4)
概率重要度为底事件发生时试飞故障树顶事件发生的概率,通过概率重要度可以分析底事件概率的增减对于试飞风险的影响程度,事件xi的概率重要度为
(5)
因此,可以求得各底事件的概率重要度,对试飞风险影响较大的底事件为A1、A2、A3、A4、B6、B7、B8,其概率重要度分别为86.7%、86.5、86.7%、86.5%、86.4%、86.9%、88.1%,即人的因素与湾流宇航公司管理的因素对试飞风险的影响最大。
将传统的故障树分析方法与基于贝叶斯网络模型的方法相比较,两种方法均对可有效的进行试飞风险评估,并且得到的试飞风险发生概率分析结果相同。在分析底事件的影响程度方面,两种方法均可以定量的给出底事件对于试飞风险的影响程度,并且均得到了试飞风险的关键致因,便于对试飞风险的控制与管理。
与传统的故障树相比,贝叶斯网络模型的优点在于它能够通过推理表达试飞风险与影响因素间的不确定关系,进行相关性分析,并且借助GENIE软件采用图形化的方法来描述数据间的关系,更直观且易于理解。
对于底事件A1、A2试飞员的能力、试飞员的身体情况:试飞员在试飞前要完成必要的身体检查。在飞行试验执行中,试飞员要根据飞行中出现的不安全情况和存在影响飞行安全因素等情况随时终止试验。在这次试飞过程中,试飞员对于单发起飞过程中的抬前轮技术掌握得不够成熟,降低了实际的安全起飞速度以缩短起飞距离,降低安全起飞速度意味着飞机更早的离地,使飞机离地时的速度更接近失速,从而导致事故发生。因此建议在试飞前,通过飞行仿真平台加强试飞员对抬前轮试飞技术的训练,使试飞员确定安全的起飞速度。
对于底事件A3、A4试飞工程师的能力和试飞工程师的身体情况:试飞前,试飞工程师同样要完成必要的身体检查。试飞工程师在原型机的飞行试验阶段,以空勤人员的身份参与到整个飞行试验过程,是试飞工作开展的核心力量,同时也是试飞安全关键的负责人。在试飞过程中,试飞工程师要能够实时把控试飞动作的安全性,实时分析飞机响应,实时确认试飞动作的有效性并把握试飞进程。试飞工程师如果发现不具备试验条件、无法获取有效数据、采集器故障等情况,可以协商试飞员终止试验。在这次试飞过程中,试飞工程师虽然考虑了地面效应对飞机起飞性能的影响,但是预估的失速攻角高于实际值。因此,飞机失速告警触发的攻角阈值以及相应的姿态限制显示器的设定值均过高,从而导致在真实失速发生前,机组成员未收到告警提示,最终产生了试飞风险事故。建议试飞工程师要运用飞行仿真技术对地面效应下的失速迎角进行预测,并将最新的预测结果用于改进试飞方法并更新机载设备中迎角裕度的设置。从而确保失速前能得到有效的告警提示。
对于底事件B6安全检查与监管:试飞事故发生前,G650试飞项目就已出现过两次类似的不可控滚转现象,但是湾流公司没有意识到这两次不可控滚转事件是由失速引起的,因此并没有进行深入的气动分析,导致没有完整地识别出潜在的风险。试飞过程中所遭遇的风险没有得到有效的监督,因此建议设立安全监管员,负责确保湾流公司为飞行试验和飞行活动制定的安全程序能够严格落实。
对于底事件B7试飞计划合理性:湾流公司为了能在2011年第3季度完成对G650的取证,制定了过于激进的项目计划。受到试飞项目进度的压力,湾流公司为了确保项目节点,避免拖延项目进展,对试飞过程中飞机的异常表现没有进行深入的分析,导致没有发现地面效应影响下理论攻角偏高的问题。在没有明确危险源以及不确定因素的情况下,湾流公司继续执行既定的飞行计划,最终导致了试飞事故的发生。应该为项目制定更合理的试飞计划,按照柔性的试飞进度表来完成各项试飞科目,而不是带着潜在的危险源来试飞。
对于B8底事件试飞安全管理体系:按照试飞安全管理体系的要求,在试飞过程中若出现意外情况,在试飞结束后应该召开试飞安全评审会议。然而在发生两次不可控滚转之后,湾流公司并没有召开相应的试飞安全评审会议。因此,湾流公司的试飞安全管理体系也存在着严重的问题。建议成立由安全专家组成的安全委员会,在每次试飞结束后召开会议检查相应的试飞结果,评估该试验机的安全风险水平。
根据NTSB的事故调查报告显示,此次试飞事故的直接原因是试飞过程中的空气动力学失速以及不可控的滚转运动,由以下3点导致:
1) 湾流公司没有能够开发验证用于飞行试验的起飞速度并且没有识别和纠正之前飞行试验中V2的错误。
2) G650试飞团队为了达到安全起飞速度进行了持续并且激进地尝试,错误地低估了安全起飞速度。
3) 湾流公司没有充分调查之前飞行试验过程中G650不可控滚转事件,这表明飞机处于地面效应的过程中,失速攻角设置得过高。
进一步分析试飞风险的关键致因:湾流公司没有制定合理的试飞任务时间表来有效地管理飞行试验计划,未能确保试飞团队的能力达到要求、试飞前没有进行充分的技术训练、未能确定所有潜在的危险并采用适当有效的风险控制措施。
通过对比可以发现,NTSB在湾流G650试飞事故调查报告中总结的风险致因与通过贝叶斯网络推理所找出的风险致因相符合,证明了本文提出的基于贝叶斯网络的试飞风险评估方法的有效性。
利用BN模型对试飞风险因素进行评估分析,找出了试飞风险的主要致因。运用故障树的方法与BN模型对比,体现了BN模型的正确性和优越性。对比分析NTSB在此次试飞事故调查报告中的风险致因与BN模型找到的风险致因无差异,验证了基于BN模型的风险评估方法的有效性。并针对主要致因提出了改进措施,从而降低了试飞科目的风险,提高试飞的安全性,有利于试飞计划的完成。