王永刚,左北辰
(中国民航大学a.安全科学与工程学院;b.经济与管理学院,天津300300)
飞机维修是飞行安全的重要保障,C 检是飞机维修的重要组成,其流程复杂、涉及因素众多、安全风险较大。“川航3U8633 事件”发生前,飞机刚刚完成C 检,但却在飞行过程中遭遇挡风玻璃突然破裂并脱落,造成严重险情。因此,识别并评估C 检中的风险,对于进一步控制维修风险,规避不安全事件具有重要意义。
1976 年Lowrance[1]首次提出,维修风险包括计划性和技术性两类,为后续飞机维修风险的类别划分奠定了基础。起初,对飞机维修风险的识别主要集中于技术性风险领域,认为造成飞机不符合安全要求的风险来源于人、机、环、管4 个方面[2-5];也有学者根据SHELL(software,hardware,environment,liveware)模型,从软件、硬件、环境、人的角度划分风险[6-8],为控制飞机维修“实施过程”中的风险提供了科学依据,但并未系统识别“计划过程”中的风险。计划性风险易导致费用超支、工期拖延,许多工程为保证飞机按期出厂,从而降低安全质量标准,进而造成飞机安全质量不合格,引发安全事件。常用的危险源辨识方法有直观经验法和系统安全分析法[9],直观经验法适用于有可参考先例的危险源辨识过程,易受经验和占有资料的限制;系统安全分析法适用于分析部件数量有限的机械装置,或操作固定、可程序化的工作。但传统的危险源辨识方法并不适用于C 检。辨识危险源后,学者针对飞机维修风险建立单一风险评估模型,筛选出关键风险,并对关键风险进行排序,重点控制风险值较大的风险[6,10-12],但并未考虑不同风险之间的交互作用。Reason 模型[13]提出,事故不是孤立因素导致的,而是系统缺陷共同作用的结果;当层次缺陷同时出现时,系统会失去多层次保护,导致事故发生。防止事故发生不仅仅是消除“奶酪中的孔洞”,更重要的是阻止孔洞之间的交互与重合。维修各环节中的风险就像“孔洞”,若不同风险交互作用,将导致“孔洞”重合,大大增加风险程度。
为解决上述问题,以A 航空公司的4C 检为例,分析4C 检的流程,利用层次全息模型(HHM,hierarchical holographic model)方法,从多方面建立危险源辨识模型,构建具有可拓展性的危险源框架;将计划性风险纳入飞机维修风险识别范围,识别计划和技术两方面的风险;并利用风险过滤、评级和管理(RFRM,risk filtering,rating and management)理论对交互作用下的关键风险组合进行风险评估,考虑不同风险之间的交互作用,建立关键风险的交互风险评估模型,为后续4C 检的风险控制奠定基础。
采用HHM 方法辨识航空公司4C 检大修项目中的危险源;利用改进后的RFRM 评估交互风险。RFRM[14]由8 个阶段组成,每个阶段的具体内容如表1 所示。
表1 RFRM 各阶段具体内容Tab.1 Tasks at various RFRM phases
风险评估涉及前5 个阶段,第6 阶段到第8 阶段属于风险控制及层次全息模型修正的范畴,暂不分析。
针对A 航空公司4C 检的实际情况,为提高HHMRFRM 的适用性,从以下3 个方面对HHM-RFRM 进行改进。
1)危险源造成伤害的概率
A 航空公司初次进行4C 检工作,没有相关的事故记录可以参考,因而无法得到危险源造成伤害的先验概率。因此,结合文献资料及专家意见量化危险源造成伤害的概率。
2)危险源造成伤害的严重程度
系统具有3 个特性:复原力,强健性和冗余性。能够击溃系统防御特性的危险源可造成严重后果,为反映危险源造成伤害的严重程度,列出6 个标准[14]作为衡量指标,标准及其含义如表2 所示。
表2 危险源造成伤害的严重程度衡量指标Tab.2 The severity of the damage caused by the source of the hazard
3)危险源间的交互作用分析
危险源间的交互作用表现为一个危险源除了自身固有的风险外,还具有与其他危险源同时作用引发的联合风险[15]。根据Reason 模型,联合风险往往会导致事故发生。如在4C 检过程中,质检是维修的重要环节,可避免由于维修行为不规范而造成的质量不达标情况,若没有按照规定授权质检人员,导致质检人员能力不足,会造成严重后果。因此提出“多维风险”的概念,用表示编号为n,由m 个危险源构成的风险情景,将其称为编号为n 的m 维风险情景,可表示为
式中:N 为不同类型的风险源;符号“·”的运算法则满足交换律,即A·B=B·A。由于当m≥3 时,对于风险子要素的耦合分析过于复杂,故添加约束m≤2。
图1 为A·B 风险情景图,阴影部分表示2 个危险源交互产生的新危险源。图形的边长用2 个危险源的风险值表示,阴影部分的面积可用来衡量2 个危险源交互作用下的风险值。
图1 A·B 风险情景图Fig.1 Scenario of A·B risk
为全面收集危险源,向维修部4C 检项目的所有参与者进行意见征求。征求意见的方式多种多样,如小组讨论、工作总结、设置无记名意见箱等。先分部门征求意见,再进行归类整理,可有效防止部门间的争论推诿现象。参与人员主要回答下面几个问题:你所在的工作岗位哪些地方最容易出问题?问题的后果是什么?有哪些解决办法?对此问题,你有什么好的建议?将这些问题以问卷形式发放,要求参与4C 检项目的所有人员填写。此次调查共发出问卷300 份,收回问卷287 份,其中有效问卷271 份。
为从工作流程角度辨识危险源,参考以过程为基础的质量管理体系,按照“PDCA(plan do check action)”准则,将收集到的危险源分类、归纳、总结为计划控制、施工准备、维修实施、维修放行4 个大类别。其中,计划控制和施工准备属于计划性风险,维修实施和维修放行属于技术性风险。4 个大类别下包括37 个子类别,确定飞机4C 检的HHM 如图2 所示。
图2 飞机4C 检的HHMFig.2 HHM for 4C inspection of aircraft
在风险评估过程中,需综合考虑危险源造成伤害的概率及严重程度,因此,下文中用术语“风险”代替术语“危险源”[16]。4C 检项目复杂,面临的风险众多,没有足够资源对每个风险子类别进行建模和跟踪。因此需要进行风险评估,筛选出关键的子类别并排序,然后对关键风险子类别进行交互风险评估。
4C 检的HHM 包括4 个大类别和37 个子类别,已涵盖了4C 检中的绝大多数风险。
基于当前系统使用者的认知、时间域、决策水平,根据当前系统使用者的职责与利益进行场景过滤。此过滤过程可以采纳专家小组的意见。为确保风险过滤的准确性,专家小组由5 位至少具备10 年工作经验的维修人员和5 位具有相关研究经验的教授组成。
在计划控制方面,A 公司首次进行4C 检,维修条目新增,若过渡方案设计不合理,易引发风险;不同班组、工种的搭配、流程控制及资源配置均没有足够经验,需要保留。在施工准备方面,厂房设施的状态应满足新的储存和工作要求,各种设施系统均需要维护保养;A 公司之前一直做飞机A 检,合格的4C 检维修人员数量不足,存在较大风险。在维修实施方面,4C 检维修范围大、深度深,且时间紧迫,对航材、工具设备等的使用,以及维修行为、人员配合、工作监管均提出更高要求;安全质量指标制定需要重新调整。在维修放行方面,由于维修工作量巨大,维修记录的填写、签署及保存均面临较大风险;且C 检放行时,必须编写出厂报告;质检人员和放行人员需要重新授权,因此保留这几项。场景过滤后剩余的子类别如图3 所示。
图3 场景过滤后的剩余子类别Fig.3 The remaining subcategories after the scene filtering
这一阶段,将剩余的子类别,根据其造成伤害的可能性及严重程度,利用风险矩阵图评估其风险等级。表3 列出了每个子类别造成伤害的可能性、严重程度和预期风险,具有高风险的子类别被留下。风险发生的可能性及严重程度仍由10 位专家评估所得。
表3 子类别严重性评估Tab.3 Sub-category severity assessment
系统具有3 个防御特性:复原力、强健性和冗余性。复原力指一个系统在突发事件之后的恢复能力;强健性指系统性能对外部压力的不敏感性;冗余性指用系统的额外成分推测故障成分函数的能力。能够击溃这些特性的风险可造成严重后果,应被给予更多重视。将表2 中标准Ⅰ~Ⅵ作为反映防御特性的6 个辅助标准,依照每个标准,将利益情景分为“高”“中”“低”3 级,每级分别表示了这6 个标准的不同风险情景。对于不适合应用于某准则的危险源,用“N/A”表示。每个标准在不同情景下的含义如表4 所示。
表4 标准在不同情景下的含义Tab.4 The meaning of the standard in different scenarios
利用6 个标准来量化子类别造成伤害的严重程度,某一属性中,评估为“高”的计10 分,评估为“中”的计5 分,评估为“低”的计1 分,评估为“N/A”的计0分,则有得分
按照百分制换算后,计算结果如表5 所示。
表5 子类别造成伤害的严重程度评分Tab.5 Severity scoring of sub-category consequence
量化评级7 个子类别的风险(表3 中高风险类别),造成伤害的严重程度由表5 计算可得,将风险发生的可能性用概率P 表示[17],即:不可能,0.001 <P <0.010;很少,0.010 ≤P <0.020;偶尔,0.020 ≤P <0.100;可能,0.100 ≤P <0.500;经常,0.500 ≤P ≤1.000。可能性由10 位专家评估所得。从概率和严重程度两个维度对风险进行定量计算,得到类别的风险值
式中Crisk代表风险造成伤害的严重程度。综合各位专家的评估结果,得到各子类别的风险值如表6 所示。
表6 子类别风险值Tab.6 The risk value of the sub-category
设定门限值来筛选风险子类别,高于门限值的子类别将被留下,低于门限值的子类别将被删除。考虑到A 航空公司第一次做4C 检项目,虽然在人力和物力上的投入是巨大的,但各个部门在能力上还是存在较大缺口,对大多数风险进行跟踪控制都很难完成,因此只能选最主要的风险进行有效控制跟踪。在考虑A 公司实际能力的基础上,结合10 位专家的意见,设定风险门槛值为1.00 分。留下来的关键风险子类别为:维修工作交叉、人力资源配置不当、合格维修人员数量不足、特种车辆操作不当、维修行为不规范及未按规定授权放行人员。
在4C 检风险识别、分析的基础上,对最终得到的6 个风险子类别的交互作用进行分析。A 航空公司4C检的关键风险子类别的HHM 如图4 所示。将剩余6个风险子类别的风险程度相乘,可得到2 个风险子类别交互作用下产生新风险的风险值。关键风险子类别的交互作用分析如表7 所示。
图4 关键风险子类别的HHMFig.4 HHM for key risk sub-categories
表7 关键风险子类别交互风险值Tab.7 Interactive risk value of key risk sub-category
从表7 中可以看出,当人力资源配置不当与维修工作交叉、维修行为不规范、合格维修人员数量不足交互时,风险程度非常大。在人力资源配置不当与合格维修人员数量不足的情况下,若维修工作交叉且维修行为不规范,极易导致维修人员忽视流程步骤,简化操作程序,进而导致飞机的安全质量不达标。4C 检确定工期为16 d,工期调整的可能性极小。为在时间紧迫的情况下,尽量减少维修风险,提高维修的安全质量,保证飞机的安全运行,科学合理的人力资源配置和维修工作安排是安全施工的重要前提;数量足够的合格维修人员和规范的维修行为才可保证4C 检的维修安全质量。
从计划和技术两方面识别了飞机4C 检中的风险,计划性风险包括计划控制和施工准备,技术性风险包括维修实施和维修放行;建立交互风险评估模型,发现当人力资源配置不当与维修工作交叉、维修行为不规范、合格维修人员数量不足交互时,风险最大。该模型比单一风险评估模型更贴合民航多重防护系统,可为后续制定风险控制措施、避免事故奠定基础。