基于FTA-BN的应急救援直升机事故致因分析

2022-06-13王创业

武汉理工大学学报（信息与管理工程版） 2022年2期

王创业，李柯，郑懿，罗帆

(1.武汉理工大学安全科学与应急管理学院，湖北武汉 430070；2.华中科技大学管理学院，湖北武汉 430074；3.武汉理工大学管理学院，湖北武汉 430070)

我国疆域辽阔，人口众多，突发事件频发是我国的基本国情，航空应急救援是我国应对突发事件的重要手段。直升机应急救援具有效率高、速度快和不受地理空间影响等特点，在紧急医疗救援、抢险救灾和森林灭火等领域应用广泛。近年来随着社会需求的增大，我国的应急救援直升机数量持续增长。应急救援直升机通常在低空飞行，面对的气流环境比较复杂，一旦发生事故用于处理的高度余度比较少，事故风险较高。

2018—2020年我国共发生了5起应急救援直升机事故，共造成16人死亡。2021年5月10日，一架应急救援直升机在洱海执行山火扑救任务过程，在执行取水任务时失控坠海，4名机组成员全部不幸遇难。由此可见，对大量应急救援直升机事故进行数据分析，总结和掌握应急救援直升机事故的致因规律，有助于提高应急救援直升机安全水平，对减少直升机事故的发生有重要的现实意义。

目前，国内外学者对直升机事故的分析研究相对较少，CHOI等[1]通过对直升机法规和直升机事故统计数据进行分析，发现导致事故的主要原因是飞行员操作失误和夜间飞行。JONATHAN[2]通过分析34份民航事故报告发现飞行员由于决策失误可能引发事故的误操作行为，并发现飞行员习惯性违规现象普遍存在，建议相关部门进行飞行员态度管理培训。HOFER等[3]认为直升机救援是弥补地面救护车数量不足的有力措施，但是需要严格的安全管理，对于医护人员的要求也比较高。刘国辉等[4]在运用HFACS模型分析研究民用直升机事故时，归纳总结了事故致因因素，发现导致事故的主要原因是飞行员技术差错并提出了相关建议。张娟等[5]对2014—2016年的世界直升机事故进行了统计分析，从损伤程度、飞行阶段、事故发生率、事故原因几个方面对直升机事故进行分析并提出建议。高扬等[6]运用网络图和Apriori算法进行数据挖掘，通过可能导致直升机事故发生的频繁因素组合来发现事件之间的关联性，得出了以事件等级为关联前项的3类强关联规则。已有学者对直升机事故致因进行了研究，但该研究以定性分析为主，得出的结论是导致事故发生的单个重要原因或者对主次原因进行排序，缺乏有效的分析方法对事故致因进行量化分析。笔者基于事故树和贝叶斯网络建立应急救援直升机事故致因分析模型，对引发事故的风险因素进行结构重要度分析，同时利用贝叶斯网络分析方法分析基本事件对顶上事件发生的影响程度，找出主要事故致因因素，为加强应急救援直升机安全飞行管理工作提供参考，进一步降低应急救援直升机发生事故的概率。

1 应急救援直升机事故树模型和贝叶斯网络模型的构建

1.1 事故致因分析方法

事故树和贝叶斯网络是常用的风险分析方法，事故树分析方法运用逻辑推理对风险因素进行辨识和评价，既能分析出造成事故的直接原因，又能深层次地揭示引发事故的潜在原因。事故树分析方法常用于航空航天、核动力和煤矿等高风险领域，能直观的描述出事故的因果关系[7-10]。

贝叶斯网络也称为概率因果网，它是用来表示变量集合的连续概率分布的图形模式，贝叶斯网络提供了一种自然地表示因果信息的方法，用来发现数据间的潜在关系。作为一种知识表示和进行概率推理的框架，贝叶斯网络在具有内在不确定性的推理和决策问题中得到了广泛应用[11-13]。

1.2 应急救援直升机事故树模型的构建

笔者对美国2010—2020年86起应急救援直升机事故进行了统计分析(数据来源：美国国家安全运输委员会NTSB数据库)，如表1所示。

表1 应急救援直升机事故致因因素统计

由表1可知，绝大多数事故的发生是同时由多个原因导致的，其中发生次数最多的是飞行员技术差错(45次)，除此之外还有外部不良环境(26次)和飞行员决策错误(16次)。将发生应急救援直升机事故作为顶上事件，根据统计分析结果确定直接原因事件和风险因素，应急救援直升机事故主要由直升机安全风险和飞行员应对无效所致，两者同时发生才会导致事故，为逻辑与关系。中间事件飞行员应对无效由飞行员操作失误、飞行员违规操作或直升机操纵效果差导致，为逻辑或关系。飞行员操作失误由知觉差错、技术差错或决策差错导致，为逻辑或关系。根据上述应急救援直升机事故统计结果，技术差错主要包括忽视了与当前做法或计划有关的重要信息、飞行员控制或处理缺陷、动力或功率使用不当、未保持安全飞行高度和着陆点选择不合适。飞行员违规操作由习惯性违规或偶然性违规导致，为逻辑或关系。直升机操纵效果差由装载配重不当或检修失当导致，为逻辑或关系。检修失当由安全意识薄弱、维护保养不当和部门沟通不畅导致，为逻辑与关系。直升机事故风险包括山丘电线等障碍物、夜间飞行、鸟击、恶劣气象条件、积冰、低空空气湍流和机械故障，为逻辑或关系。恶劣气象条件有风、雨、雪、雾，为逻辑或关系。机械故障有发动机停车和电传操纵故障，为逻辑或关系。按照逻辑关系层层递进，用逻辑门连接上下层事件，能够画出事故树，如图1所示。

图1 应急救援直升机事故征候FTA模型

1.3 贝叶斯网络模型的构建

根据上文事故树模型和转化规则构建贝叶斯网络。将顶上事件、逻辑门和底层基本事件进行映射，精简后去掉事故树中的中间层事件，建立相对应的贝叶斯网络模型，如图2所示。

图2 应急救援直升机事故的贝叶斯网络模型图

1.4 贝叶斯网络节点先验概率的确定

首先确定贝叶斯网络中各节点的状态和概率值，把X1、X2、X8、X9、X10、X11、X17、X18、X19、X20、A、C、D和S的状态设置为{Yes，No}，即“发生”和“不发生”。其中根节点的先验概率主要通过筛选美国安全运输委员会统计的历年直升机事故记录结合安全飞行时长和事故率进行分析和推理来确定，确定后的先验概率如表2所示。

表2 贝叶斯网络根节点的先验概率(%)

1.4.1 贝叶斯网络先验概率的确定过程

由于数据信息、事故模型和不安全行为因素的不确定性，人的差错发生概率和环境因素不适合用精确值来表示，但是容易用自然语言对其做出模糊评价[14]，笔者采用三角模糊数表示剩余节点发生的模糊可能值,通过专家打分的方式对根节点X3、X4、X5、X6、X7、X12、X13、X14、X15和X16进行量化分析，节点的状态设置为{S,L,M,H},分别表示各节点处于安全、轻度危险、中度危险和高度危险状态。

语言型三角模糊数。三角模糊数一般用3个参数表示，记为(A=a，m，b),其隶属度函数如下：

(1)

式中：A为指定论域x上的模糊集，μA(x)为x对模糊集A的隶属函数，m为模糊数A的均值，a、b分别为模糊数A的上界值和下界值。将导致应急救援直升机事故各基本事件发生的可能性分为10个等级，对应的自然语言变量及模糊数如表3所示。

表3 三角模糊数对应的基本事件发生的可能性分级

三角模糊数的模糊概率可应用λ均值面积测算法计算得出，这里将三角模糊数A对应其均值面积Sλ(A)。Sλ(A)可利用公式(2)求得，其中λ∈[0,1]。

(2)

在评分过程中，每个专家根据各自的经验判断各基本事件在不同状态下的风险等级，因此对于不同专家的意见，还需要进行模糊数的合并及专家权重的分配。采用加权平均数法进行模糊数的聚合，如式(3)所示：

(3)

式中:Pi为聚合后的模糊数；Kj为第j位专家所打数据的权重因子；Pij为第j位专家为第i个风险因素分配的模糊数；n为风险因素数；m为专家数。

请5位通用航空领域专家对贝叶斯网络模型中基本事件层条件概率分布进行判定，他们当中有1位拥有5年以上直升机驾驶经验的直升机飞行员，2位直升机安全管理人员和2名通用航空安全管理研究人员，综合5位专家对风险的态度取λ=0.8，他们判定概率的权重是(0.20，0.15，0.15，0.25，0.25)。以基本事件X16为例，它的节点状态包括：安全S，轻危L，中危M，高危H。通过专家判定，基本事件X16条件概率分布推算过程如表4所示。其它节点事件可以采用同样的方法依次确定其条件概率分布，因篇幅有限不再一一列出计算过程，模糊语言状态下确定的根节点先验概率如表5所示。

表4 基本事件X16的条件概率分布

表5 模糊语言状态下根节点的先验概率(%)

1.4.2 事故树逻辑门和贝叶斯网络联接强度之间的映射分析

目前已经有相关文献对FTA和BBN之间的对应关系进行了讨论[15]，把事故树中的根节点、中间节点和叶节点还有节点之间的有向边与贝叶斯网络中各元素构建一一对应的映射关系：①根据基本事件或者逻辑门的输出对节点进行命名，不考虑重复事件；②将输入事件对应的节点连接到其所在逻辑门对应的节点；③根节点的先验概率分布由相应事件的失效分布决定；④贝叶斯网络非根节点的条件概率由事故树中的逻辑关系确定[16]。

中间节点的条件概率以节点C和H作为“或门”和“与门”的代表，对应的条件概率如表6和表7所示，其它中间节点与此类似。

表6 节点C的条件概率表(%)

表7 节点H的条件概率表(%)

(1)或门向联结强度的转换，全部父节点变量状态都是N时，子节点变量处于Y状态的概率是0，否则子节点变量处于Y的概率是100%。

(2)与门向联结强度的转换，全部父节点变量状态都是Y时，子节点变量处于Y状态的概率是100%，否则子节点变量处于Y状态的概率是0，处于N状态的概率是100%。

叶节点S有“发生”和“不发生”两个状态，它的发生受中间节点A和中间节点D影响，叶节点S的条件概率如表8所示。

表8 叶节点S的条件概率表(%)

2 基于事故树和贝叶斯网络的风险分析过程

2.1 事故树最小割集的计算

在事故树分析中，最小割集起着很重要的作用，全部最小割集表示所有可能导致事故的风险集合。利用布尔代数法对应急救援直升机事故树模型进行化简：

T=[X1+X2+X3+X4+X5+X6+X7+X8+X9+X10+X11]×[X12+X13+X14+X15+X16+X17+X18X19×X20]

利用布尔代数法化简的结果最终得出应急救援直升机发生事故的最小割集为84个，部分最小割集如表9所示。由于最小割集的意义是可能导致事故发生的各种途径，有多少个最小割集，顶上事件发生就存在多少可能，该事故树最小割集数量较多，系统存在较大危险性。

表9 事故树部分最小割集

2.2 事故树最小径集的计算

最小径集是所有处于正常状态下不发生事故的集合，可以利用事故树的对偶成功树求得。最小径集有4个，分别为{X1,X2,X3,X4,X5,X6,X7,X8,X9,X10,X11}、{X12,X13,X14,X15,X16,X17,X18}、{X12,X13,X14,X15,X16,X17,X19}和{X12,X13,X14,X15,X16,X17,X20}。

最小径集通常在事故树中表示系统的安全性，最小径集的数量越多、阶数越低系统就越安全。在该事故树模型中最小径集的阶数最高为11阶，说明系统存在较高风险，需要多方管控才能有效降低事故发生的风险。

2.3 事故树结构重要度排序

结构重要度排序是从结构上分析各个基本事件对顶上事件发生所产生的影响程度，可以采用下面公式(4)来进行比较：

(4)

式中：IΦ(j)表示基本事件xi结构重要度的近似别值，IΦ(j)大者，则结构重要度大；xj∈Gr表示基本事件xj属于最小径集Gr；nj表示基本事件xj所在的最小径集中包含的基本事件的数目。由此得到：

IΦ(X12)=IΦ(X13)=IΦ(X14)=IΦ(X15)=

IΦ(X16)=IΦ(X17)

IΦ(X18)=IΦ(X19)=IΦ(X20)

IΦ(X1)=IΦ(X2)=IΦ(X3)=IΦ(X4)=

IΦ(X5)=IΦ(X6)=IΦ(X7)=IΦ(X8)=

IΦ(X9)=IΦ(X10)=IΦ(X11)

此原则将最小径集代入公式(4)可求得各基本事件的结构重要度为：

最终的基本事件结构重要度排序结果如下：

IΦ(X12)=IΦ(X13)=IΦ(X14)=IΦ(X15)=

IΦ(X16)=IΦ(X17)>IΦ(X18)=IΦ(X19)=

IΦ(X20)>IΦ(X1)=IΦ(X2)=IΦ(X3)=

IΦ(X4)=IΦ(X5)=IΦ(X6)=IΦ(X7)=

IΦ(X8)=IΦ(X9)=IΦ(X10)=IΦ(X11)

根据系统事故致因结构重要度来看，飞行员操作失误中的知觉差错、技能差错、决策差错和飞行员违规操作中的习惯性违规和偶然性违规以及装载配重不当处于重要位置节点，是导致事故发生的重要原因，而山丘电线等障碍物和鸟击等所在的位置节点相对不重要。

2.4 基于贝叶斯网络的概率重要度推理

把所有贝叶斯网络节点的发生概率在Netica软件中进行赋值如图3所示，通过软件运算得到应急救援直升机风险因素出现且飞行员应对无效发生事故的可能性为0.008 7，说明存在发生事故的可能性，由于发生事故后容易造成严重后果，需要对存在的风险因素进行分析和推理，找出可以采取的相关措施能有效降低事故的风险因素。

图3 应急救援直升机事故概率运算

2.4.1 贝叶斯网络敏感性分析

系统因属性变化会造成输出值概率的不断变化，贝叶斯网络敏感性分析可以用来判断风险因素的根节点对叶节点的影响程度大小。在构建的贝叶斯网络模型中，通过对各事故致因敏感性系数的大小进行排序，可以迅速识别出对事故发生结果影响较大的事故致因，并采取相关措施应对，同时可以过滤掉敏感性较小的风险因素以降低系统的复杂性，使用Netica软件中的sensitivity to findings进行敏感性分析得出的结果如图4所示。

图4 贝叶斯网络模型事故致因敏感性分析结果

从图中可以看出，对叶节点影响程度最大的事故致因为X13(技术差错)，所占的应急救援直升机事故相关度信息百分比为16.5%，其它几个主要影响因素分别为X2(夜间飞行)、X7(雾)、X14(决策差错)和X15(习惯性违规)，导致事故的相关度百分比分别为14.2%、10.4%、9.76%和5.85%。技术差错的出现与飞行员飞行时长和训练量存在密切关系，此外相关理论知识不足也是导致技术差错的重要因素。应急救援直升机飞行员在执行任务时有时由于任务需求会进行频繁的起飞和降落，也会在恶劣气象条件下执行救援任务，因此飞行员在飞行技术不过硬或存在盲目自信、疏忽大意等不良心理状态时容易引发由技术差错导致的应急救援直升机事故。

在不适宜的飞行环境中，夜间飞行和有雾天气飞行对应急救援直升机事故发生影响程度最大，为了确保应急救援直升机的飞行安全，在起飞前充分了解天气状况，飞行过程中加强和航务人员的联系，飞行员可以根据准确的气象因素参数采取合理的应对策略，以保证救援直升机的飞行安全。应急救援直升机飞行员不仅要面对复杂的飞行环境，还要执行难度较大的救援任务，和民用直升机飞行员相比，应急救援直升机飞行员做决策的频率和难度都相对较大，同时由于应急救援任务的紧迫性导致飞行员在做决策时有一定的心理压力，因此出现决策差错导致应急救援直升机事故发生的可能性也比较大。除此之外，飞行员习惯性违规，在不具备目视飞行条件下飞行、低于规定安全高度飞行、违反检查程序和操纵程序等也是应急救援直升机发生事故的重要致因因素。

总之，X13、X2、X7、X14和X15在结构重要度、敏感性分析和后验概率推理中都处在较靠前的位置，所以在采取措施降低应急救援直升机事故的概率时，应把上述节点作为重点考虑对象。

2.4.2 针对应急救援直升机主要事故致因的应对措施

①直升机飞行员要强化安全意识，要充分考虑到飞行中的环境复杂性以及运行中遇到的各种风险。相关部门应进一步加强飞行驾驶员的直升机理论知识及操作技能培训，加强对天气情况的分析和直升机特情科目的训练，提高飞行员的应急操作能力。②当面临复杂状况的处置时，比如涉及救援任务时间压力、恶劣气象条件、机械故障等，飞行员需要对各个因素进行综合考量，按照相关运行原则进行决策处置，防止出现决策失误的情况。③建立风险思维提高风险意识，通过日常警示教育和培训来提高飞行员的安全意识水平，减弱违规行为意向，防止违规行为的发生。同时要严格监督，避免存在边缘天气下飞行的侥幸心理，降低违规的潜在可能性。

3 应急救援直升机事故实例验证分析

以昆明“6·16”应急救援直升机撞山事故为例，验证本研究提出方法的可行性。2018年6月16日，云南昆明一架直升机在执行应急救援飞行任务时失去联系，在昆明西山区撞山后坠毁，该事故导致3名机组人员全部遇难。事故发生时，救援直升机经过区域有不同程度的雾出现。由于该直升机不具备在仪表气象条件下飞行的能力，且机组成员未接受过目视飞行无意进入仪表气象条件处置方法训练。事后调查报告显示：撞山的原因可能是机组在按照目视飞行规则飞行到边缘天气条件时决策失误，导致直升机在山区低高度进入仪表气象条件。进入仪表气象后爬升不及时，机组成员由于缺乏在仪表气象条件下飞行的经验未能保持正确航向，导致直升机撞山后坠毁。

根据事故调查结果可得，该起应急救援直升机事故的主要事故致因是在有雾天气飞行，由于决策错误进入复杂仪表气象条件和机组成员缺乏在仪表气象条件下飞行的经验(技术差错)，各根节点的状态如表10所示。

表10 贝叶斯网络根节点的状态值

把各根节点的状态值输入到Netica软件中，软件运算结果如图5所示，通过软件运算得到应急救援直升机发生事故的概率为3.17%。由于X7为环境因素无法进行人为的调控，可以调节X13(技术差错)和X14(决策差错)的状态来分析顶上事件发生的变化情况。

图5 应急救援直升机事故概率运算结果

如表11所示，将X13(技术差错)的状态由高度危险(H)调整到安全(S)，其他根节点的状态不变，顶上事件的发生概率由3.17%降到0.70%，将X14(决策差错)的状态由中度危险(M)调整为安全(S)，顶上事件的发生概率由3.17%降至2.62%。对该起应急救援直升机事故来说，加强飞行驾驶员的直升机理论知识及操作技能培训避免发生技术差错能更有效的降低应急救援直升机发生事故的概率。根据计算结果可以得出，该起应急救援直升机事故的主要原因是飞行员技术差错，跟上述结论保持一致且符合事故调查结果，故上述分析方法可行。