基于证据理论的Bow-tie 航空风险评估方法及应用*
2019-11-19徐吉辉王晓琳陈玉金
徐吉辉,王晓琳,王 瑛,章 磊,陈玉金
(空军工程大学装备管理与无人机工程学院,西安 710051)
0 引言
安全是航空业永恒的主题,航空活动往往伴随着高风险、高隐患、事故后果严重等特点,为有效缓解与控制安全风险,航空风险分析工作备受关注[1-3]。
近年来,针对航空风险分析进行了广泛的研究,王永刚[4]等在事故树分析法(FTA)的基础上结合贝叶斯网络(BN)建立风险模型;Cui[5]在安全性指标的基础上,提出一种基于不确定性的安全性功能函数,结合Bow-tie 模型进行给定严酷度条件下的风险评估;李岩[6]等提出一种基于Kriging 和蒙特卡罗半径外重要抽样混合的结构概率风险评估方法;施志坚[7]等引入多元联系数集对分析理论进行航空维修风险态势评估。相较于其他安全风险分析方法,Bow-tie 分析是一种能够全面整合定性与定量信息、联系事因和后果的系统性风险分析方法。目前关于航空风险的Bow-tie 分析应用主要集中于定性分析。孙殿阁等[8]利用Bow-tie 模型对民用机场的日常运行安全风险进行了分析;高扬[9]等在Bow-tie 模型量化中引入结构重要度,识别需要重点控制的基本事件。
然而,实际航空活动中存在的大量认知不确定会导致理论分析与实践结果存在明显差异,解决不确定条件下的航空风险评估定量化分析不足越来越成为研究的重点与难点。按照不确定性的来源及其对不确定性认知水平的不同,不确定性分为随机不确定性(Aleatory uncertainty) 和认知不确定性(Epistemic uncertainty)两大类,随机不确定性为系统固有属性,难以处理或消除[10-11]。针对认知不确定性,模糊理论、证据理论、云模型等都是有效的解决手段。Faisal 等[12]利用模糊理论解决Bow-tie 分析中的不确定性,从而实现对风险的定量评价;Refaul 等[13]提出了基于证据理论的Bow-tie 分析方法,比较而言,证据理论对认知不确定性的处理更具优势,能够直接表达“不确定”的信息和“不知道”的信息。
因此,为充分利用专家信息,解决Bow-tie 模型对航空风险进行评估过程中存在大量认知不确定性的问题,本文考虑引入D-S 证据理论,一方面有效处理了Bow-tie 分析中数据及模型不确定性,另一方面通过灵敏度分析,得到危害度较大的关键事件,最后,结合某型航空器轮胎爆破事故进行实例分析,验证了本文方法的有效性。
1 Bow-tie 方法
Bow-tie 分析法(Bow-tie Analysis)是由事故树分析(FTA)和事件树分析(ETA)通过顶事件结合产生的,能够直观地显示出潜在危险源与后果事件的内在联系,主要用于识别危险源、评估及控制风险等[14]。
图1 所示为Bow-tie 模型的结构示意图,包括基本事件(BE)、中间事件(IE)、逻辑门、顶事件(CE)、控制事件(E)和结果事件(OE)等元素。其中,基本事件为可能导致事故发生的危险源,顶事件为事故本身,控制事件为缓解和补救措施,结果事件则为事故可能会造成的一系列后果[15-16]。
图1 Bow-tie 模型示意图
在进行Bow-tie 模型定量化分析时,以基本事件和控制事件的发生概率作为输入变量,通过相应路径的逻辑运算计算得到输出变量,即顶事件的发生概率以及结果事件的发生概率。由于确定的输出事件能够限定其严重程度,因此,可以用该事件发生的可能性描述其风险水平,进一步地,表示评价对象或活动的安全性。
2 证据理论
D-S 证据理论是Dempster 和Shafer 提出的描述认知不确定性的重要理论,利用上下概率(即信任函数与似然函数)代替精确概率值来描述研究变量的不确定性[17-19]。
信任函数与似真函数构成的信度区间[Bel(A),Pl(A)]用于描述变量发生可能性的取值范围。当存在多个证据时,就需要进行证据合成计算,Sentz 总结了证据理论合并规则,并指出Dempster 合成规则是最为应用广泛规则[17]:
设m1,m2为可获取的独立证据,则
3 基于证据理论的Bow-tie 分析流程
3.1 构造基于证据理论的Bow-tie 模型
Bow-tie 模型定量化分析过程中存在大量的不确定问题,如由于样本量不足或数据缺失所导致的数据不确定性问题,或由于同一类元素之间相互依赖影响在模型中无法体现所导致的模型不确定性问题。本文利用D-S 证据理论来解决此类不确定问题,具体的模型构造及证据理论的应用如图2 所示。
图2 引入证据理论的Bow-tie 模型分析流程
3.2 建立辨识框架
Bow-tie 分析中,不确定信息主要来源于基本事件BE、控制事件E 及节点依赖系数,利用D-S 证据理论处理事件及节点依赖程度的不确定性时,首先要针对不确定参数建立辨识框架,在此基础上收集专家证据。
1)对事件变量(BE 和E 发生概率P)进行的证据描述主要针对的是数据不确定性问题。一般而言,在Bow-tie 模型中,基本事件的状态对应“发生”或“不发生”,控制事件则具有“成功”或“失败”双重分支,因此,事件辨识框架可以定义为Θ{S,F},对应幂集P 为{Φ,{S},{F},{S,F}}。
2)对节点变量(依赖系数Cd)进行证据描述主要针对的是模型不确定性问题。Refaul[13]认为节点所连接的事件之间存在相互影响,提出了依赖系数描述这种影响程度的大小。基于此,本文结合相关度9 级评语,论域由1~9 分别为非常低、很低、低、较低、中等、较高、高、很高、非常高,将节点依赖系数的辨识框架定义为Θ{1,2,3,4,5,6,7,8,9}。
3.3 确定基本概率赋值
假定专家意见相互独立,依据相应的辨识框架,通过德尔菲法获取专家评语,根据经验对Bow-tie 分析中涉及的输入变量的各种情况作出判断,其判断结果用概率表示,即为幂集P 中情况的基本概率赋值。对于事件变量而言,幂集P{Φ,{S},{F},{S,F}}为全部假设;对于节点变量而言,全部假设为{{1},{2},{3},{4},{5},{6},{7},{8},{9},{Θ}}。基本概率赋值(BPA,Basic Probability Assignment)表示专家对某一假设发生的信任程度,也可以认为是证据对该假设下输入变量发生可能性的支持度。
3.4 合成专家证据
对于两个或多个专家提供的证据,通常需要利用合成规则,计算出一个mass 函数。通常采用Dempster 合成规则,但当证据存在高度冲突时,Dempster 合成规则得到的组合结果可能存在悖论,本文引进Yager 合成规则计算存在融合悖论时的组合mass 函数:
3.5 计算输入变量的信度区间
在合成得到mass 函数后,需要依据事件及节点依赖系数,计算相应的信度区间。信度区间表示对某一假设的支持力度,区间下限为信任函数Bel(A),区间上限为似真函数Pl(A)。
1)事件变量信度区间的计算主要是依据定义法,根据式(1)计算得到。对于基本事件BE 关注其发生故障(S 假设)的信度区间,对于控制事件则关注其措施失效(F 假设)的信度区间。
2)对于节点变量信度区间的计算,一方面与节点变量本身的专家证据有关,另一方面与假设情况的固有取值区间有关,其计算公式如下:
3.6 计算输出变量的信度区间
在FTA 中,以基本事件发生概率和节点依赖系数的信度空间为基础输入变量,结合不同的逻辑门算法传导至顶事件;在ETA 中,以控制事件概率和节点依赖系数的信度空间为基础输入变量,按照生效或失效路径传导至结果事件。表1 所示为计算顶事件和结果事件的发生概率的信度区间的公式。
图3 依赖程度评语等级的上下限
表1 输出变量发生概率信度区间的计算公式
3.7 确定精确取值
计算得到输出变量的信度区间后,需要进一步精确化处理,得到描述其发生可能性大小的取值,直观地表示出输出事件的风险水平,其估算公式如下:
其中,N(Pi)为假设Pi中所包含的元素个数。
3.8 灵敏度分析
对Bow-tie 模型进行灵敏度分析的主要作用是可以评估各基本事件对顶事件的影响程度差异,查找导致事故发生的基本事件中的系统薄弱环节,从而制定针对性的安全水平提升措施。
首先,分别计算基本事件对不同后果事件的Birnbaum 重要度:
根据重要度数值对输入事件进行排序,对不同后果事件得到的重要度排序进行综合排序,从而更加合理地识别得到重要度大的输入事件即为需要关键事件。
4 案例分析
轮胎是航空器起落系统中的重要部件,对于飞机正常起降活动产生至关重要的作用,一旦故障可能会导致严重的后果。本文以某型航空器轮胎爆破事故为例,分析导致事故发生的原因及其后果事件,并对故障实施控制措施,具体分析过程如下。
4.1 构建轮胎爆破事故的Bow-tie 模型
对轮胎爆破事故进行Bow-tie 分析要以模型为基础,因此,通过识别事件元素、节点元素,分析事故原因及发展路径,构建事故Bow-tie 模型如下页图4 所示,底层故障模式为基本事件,顶事件CE 为轮胎爆破,控制事件E1为启动应急刹车系统、E2为避让飞机及建筑物、E3为增设隔离网、E4为启动应急消防措施,结果事件OE1为停留在跑道、OE2为机体轻度损伤、OE3为机体严重损伤、OE4为飞机起火且人员伤亡,N-1 至N-15 为节点。
图4 轮胎爆破事故的Bow-tie 模型
4.2 计算输入变量发生概率的信度区间
由两位相互独立的专家分别对输入变量提供证据,节点依赖系数的证据见表2,基本事件和控制事件的发生概率的证据见下页表3,根据Dempster合成规则进行计算,表4 为输入变量经过证据合成后的结果。
4.3 计算输出变量发生概率的精确描述值
根据输入变量合成后的信度区间,根据表1 中给出的公式计算输出变量发生概率的信度区间,结果见表5。
对输出变量的信度区间进行解模糊化处理,得到相对精确的描述值:
表2 输入节点变量的专家证据
表3 输入事件变量的专家证据
4.4 灵敏度分析
分别以OE1、OE2、OE3和OE4为输出变量,计算输入事件的重要度,具体排序结果及综合重要度见下页表6。
根据表6 中计算结果可知,对于不同的后果事件所需要重点关注的基本事件略有差异,通过加权平均后得到的综合重要度在一定程度上能够代表基本事件的排序。因此,本例中得到,需要在工作过程中重点关注的基本事件为BE1、BE4、BE6,在工程实践中应采取相应的措施对其所对应的危险源进行控制。
5 结论
本文利用证据理论处理航空风险Bow-tie 分析中的认知不确定问题,一方面Bow-tie 分析图能够清晰表示事故的原因与后果,另一方面定量化分析又能有效地计算事故及其引起的后果发生的可能性,具有较强的实际应用价值。
表4 证据合成后输入变量的信度区间
表5 输出变量发生概率的信度区间
1)引入证据理论的Bow-tie 分析能够有效解决当前航空风险评估工作中量化难、专家信息利用率不高的问题。
表6 灵敏度分析结果
2)专家经验解决了量化过程中由于数据缺失所导致的数据不确定性问题,节点依赖系数的引入则解决了模型变量间影响的不确定问题。
3)通过基于Birnbaum 重要度的灵敏度分析,确定了实际工程中需要重点关注的关键事件。
4)通过轮胎爆破事故实例,验证了本文方法的可行性,同时,灵敏度分析得到对后果事件影响较大的事故原因,为安全性指标的预计与分配、预防措施和控制措施的制定提供了决策依据。