基于贝叶斯网络的可控飞行撞地事件量化研究

2023-05-30刘俊杰叶英豪杜尹岚

中国民航大学学报 2023年2期

刘俊杰，叶英豪，杜尹岚

（中国民航大学安全科学与工程学院，天津 300300）

安全信息是获取和识别安全风险的重要渠道，对其深入分析和量化是安全风险管理和事故预防的数据基础，也是安全管理体系的重要环节[1]。近年来，中国航空安全信息的收集量已达到一定规模，但对信息的量化分析尚停留在数量统计分析阶段，对信息蕴含的价值获取不足[1-2]，亟需拓展航空安全信息深入量化分析的方法，为风险控制和安全保障提供数据支持。

目前信息量化研究主要以香农经典信息理论为基础，建立信息量化模型应用于不同领域的信息量化分析[3-5]。贝叶斯网络（BN，Bayesian network）是一种有向无环图，节点代表关注的随机变量，有向弧则代表变量间因果关系，变量间的影响强度由节点与对应父节点之间的条件概率表示，其提供了一种表示因果信息的方法[6-7]。因此，贝叶斯网络可将航空安全信息中的影响因素与后果严重程度进行关联，得到事件原因与后果间的影响关系，获取信息价值。

考虑可控飞行撞地（CFIT，controlled flight into terrain）事件具有后果严重、影响因素复杂等特点，选取该类事件信息作为研究样本开展航空安全信息量化分析。CFIT 事件[8]指一架完全满足适航要求的飞机，在非失效、可控的状态下撞到地面、山体、水面或其他障碍物。目前关于CFIT 事件的研究主要集中在事故分析和降低风险方面。Smith等[9]首次将飞行性能风险评价模型应用于分析CFIT 事故；汪磊等[10]建立CFIT 事故树模型对致因因子进行详细分析，为CFIT 事故树分析奠定基础；杜红兵等[11]提出了融合事故树与贝叶斯网络计算CFIT 机组人员失误的概率；Lee[12]提出通过地形识别警告系统来降低CFIT 事件发生的风险；Wang等[13]首次结合Bow-tie 模型与快速访问记录器数据，实现了CFIT 事件风险预警；文献[14]基于无线地面连接快速存取记录器数据构建了CFIT 事件严重程度计算器，量化其风险值。

综上，对CFIT 事件的研究多针对事故分析与风险预警，较少从信息量化的角度深入研究。因此，本文从CFIT 事件信息入手，通过分析CFIT 事件演化过程，建立事件后果层—飞机状态层—诱发因素层三层贝叶斯网络，选取已知节点与目标节点进行量化分析，获得目标节点可能性排序、最大可能性目标节点及影响强度，得出各层节点可能性；依据样本贝叶斯网络的事件后果层、诱发因素层及样本整体贝叶斯网络分析结果，得到CFIT 事件关键风险环节及其量化结果，为后续风险控制措施提供数据支持。

1 CFIT 事件量化分析流程

基于贝叶斯网络的CFIT 事件量化分析流程如下。

（1）事件演化分析。参照基元事件分析法[15]对CFIT 事件进行演化过程分析。

（2）建立贝叶斯网络结构。基于演化分析结果，确定节点，建立贝叶斯网络三层结构图。

（3）基于贝叶斯网络进行量化。获取样本数据，实现不同层节点的量化分析。

（4）分析结果。分析CFIT 事件样本量化结果得出结论。

2 CFIT 事件贝叶斯网络结构

2.1 CFIT 事件演化过程分析

基元事件分析法的核心是每个基元事件都有责任者（人、机或环境），都对应一个主要问题且每个问题对应一个主要原因。参照基元事件分析法提取每起CFIT 事件信息的核心特征，按照事件、责任者、直接影响飞机状态的问题、问题的直接原因以及更深层次的促成因素逐级进行分类，建立CFIT 事件分析系统结构图，如图1 所示（各事件成因不同，简单列举）。

图1 CFIT 事件分析系统结构图Fig.1 Structure of CFIT event analysis system

2.2 三层贝叶斯网络结构建立

通过CFIT 事件分析系统结构图建立贝叶斯网络结构。由于责任者（直接原因）基于机组和环境因素，且大部分事件信息缺乏对促成因素的记录分析，因此为降低贝叶斯网络的复杂性和提高网络节点数据的准确性，对五层CFIT 事件分析系统结构图进行改进，建立事件、直接问题及直接原因三层贝叶斯网络结构模型如下。

（1）事件后果层。将事件后果层记为A，根据事件后果严重等级分为事故A1、征候A2和一般事件A3，并作为该层3 个节点。

（2）飞机状态层。将直接问题定义为飞机状态层，该层记为B。依据CFIT 事件发生时近地警告系统（GPWS）告警情况，分为下降率过大B1、高度过低B2和低于下滑道B33 种情况。

（3）诱发因素层。将直接原因视为直接影响飞机状态的诱发因素，该层记为C。机组因素包括机组对飞机的操控情况：速度控制C1、飞行高度控制C2、姿态控制C3、机组丧失情景意识C4；环境因素包括：能见度差C5、地形复杂C6、风切变C7和飞行保障C8。

按照诱发因素层—飞机状态层—事件后果层顺序建立CFIT 事件三层贝叶斯网络结构模型，如图2所示。

图2 CFIT 事件贝叶斯三层网络结构Fig.2 Three-layer Bayesian network structure of CFIT event

3 基于三层贝叶斯网络的CFIT 事件量化

3.1 基本概念

3.1.1 基本公式

CFIT 事件三层贝叶斯网络量化分析包括事件后果层与飞机状态层、飞机状态层与诱发因素层以及事件后果层与诱发因素层3 组量化关系，每组量化分析包括正向与反向的概率推理，由条件概率和贝叶斯公式得出量化的基本公式为

式中：Am表示事件后果层第m 个节点，m=1，2，3；Bn表示飞机状态层第n 个节点，n=1，2，3；Cq表示诱发因素层第q 个节点，q=1，2，…，8。

式（1）和式（2）表示飞机状态层与事件后果层的概率推理，P（AmBn）为Am和Bn同时发生的概率；P（Bn）为Bn节点的先验概率；P（Am|Bn）称为Bn节点的似然度；P（Bn|Am）表示在Am的条件下Bn的条件概率，即Bn节点的后验概率；P（Am|Bn）与P（Bn|Am）量化Am与Bn节点的影响关系。

同理式（3）和式（4）表示诱发因素层与飞机状态层的概率推理，P（Cq）为Cq节点的先验概率；P（Bn|Cq）称为Cq节点的似然度；P（Cq|Bn）表示在Bn的条件下Cq的条件概率，即Cq节点后验概率；P（Bn|Cq）与P（Cq|Bn）量化Bn与Cq节点的影响关系。

式（5）和式（6）表示诱发因素层与事件后果层的概率推理，P（Am|Cq）称为Cq节点的似然度；P（Cq|Am）表示在Am的条件下Cq的条件概率，即Cq节点的后验概率；P（Am|Cq）与P（Cq|Am）量化Am与Cq节点的影响关系。

3.1.2 目标节点选取原则

目标节点指的是当已知某节点确定发生，需要推理出其相关联的节点，则称相关联的节点为已知节点的目标节点。而由已知节点推理目标节点可能性大小为条件概率，即影响强度值。例如已知A3节点发生，推理出B2节点发生，则称B2是A3的目标节点，P（B2|A3）即为A3节点对B2节点的影响强度值。

3.2 量化分析

在CFIT 事件三层贝叶斯网络结构图的基础上，逐层分析事件样本，确定各层节点参数值。量化分析B层与A 层、C 层与B 层、C 层与A 层的影响关系：

分析B 层与A 层双向概率推理，正向推理得出与Bn对应的A 层目标节点可能性排序，获得最大可能性目标节点Am及影响强度值；反向推理与Am对应的B层目标节点可能性排序，并获得最大可能性目标节点Bn及影响强度值；

分析C层与B层双向概率推理，正向推理得出与Cq对应的B层目标节点可能性排序，获得最大可能性目标节点Bn及影响强度值，反向推理与Bn对应C层目标节点可能性排序，并获得最大可能性目标节点Cq及影响强度值；

分析C 层与A层双向概率推理，正向推理得出与Cq对应的A层目标节点可能性排序，获得最大可能性目标节点Am及影响强度值，反向推理与Am对应C 层目标节点可能性排序，并获得最大可能性目标节点Cq及影响强度值。

同时由CFIT 事件贝叶斯三层网络结构和网络节点参数建立样本三层贝叶斯网络。网络节点参数确定：C 层节点依据其先验概率，B 层、A层节点参数值可根据多个原因节点独立地影响同一结果的因果机制独立关系[8]确定。对A、B、C 层的网络进行整体分析，基于样本贝叶斯网络确定A、B、C 层节点发生可能性。

通过上述不同层节点的概率推理CFIT 事件的事件后果、飞机状态和诱发因素三者的影响强度值，并基于样本三层贝叶斯网络得到各层节点可能性大小，可作为该事件风险预防与控制措施的量化依据。

4 实例分析

4.1 信息样本选取

本文选取两种不同来源的CFIT 事件信息样本。样本1 来源于中国民用航空安全信息系统2017—2019年CFIT 事件信息；样本2 来源于航空安全网（ASN，Aviation Safety Network）2000—2019 年CFIT 事件信息，包含国外事故和征候信息。经过数据处理，最终得到样本1 包括事故11起，征候9起，一般事件110起；样本2 包括事故224起，征候14 起。前者具有大量一般事件信息，而后者主要包含事故信息，基于两类样本的量化分析，获得CFIT 事件风险预防控制的关键风险环节及量化值。

4.2 样本量化分析

采用GeNIe 2.0 软件建立样本B 层与A 层、C 层与B 层以及C 层与A 层的双向推理关系图，图3 和图4 分别表示样本1 和样本2 不同层双向推理关系图。

图3 样本1 不同层双向推理关系图Fig.3 Bidirectional reasoning graph of different layers in sample 1

以样本1 为例说明不同网络层的量化分析结果。B 层与A 层推理表示如图3（a）所示，弧的方向表示推理方向，标注值表示两节点影响强度，弧的厚度越厚，值越大，如B1导致A3发生的影响强度为0.952。比较影响强度值，得出B1、B2和B3均导致可能性最高事件后果目标节点为A3，A3导致B1发生的影响强度0.182，反向推理得出导致CFIT 事件后果A1、A2、A3发生可能性最高的飞机状态节点为B2。

C 层与B 层推理表示如图3（b）所示，正向推理得出C1、C6和C7均导致可能性最高的飞机状态目标节点为B1；C2、C3、C4、C5和C8均导致可能性最高的飞机状态目标节点为B2；B1、B2和B3得出可能性最高的诱发因素目标节点分别为C1、C8和C2。

C 层与A 层推理表示如图3（c）所示，正向推理得出C5导致可能性最高的CFIT 事件后果目标节点为A1；C 层其余节点导致可能性最高的CFIT 事件后果目标节点为A3；A1、A2和A3发生得出可能性最高的诱发因素目标节点分别为C4、C2和C8。

由图3 和图4 整理得出在样本1 和样本2中，由已知节点为Am，得到B 层和C 层目标节点可能性排序，最大可能性目标节点Bn和Cq及其影响强度，如表1 所示；已知节点为Bn得A 层和C 层目标节点可能性排序，最大可能性目标节点Am和Cq及其影响强度，如表2 所示；已知节点为Cq得B 层和A 层目标节点可能性排序，最大可能性目标节点Bn和Am及其影响强度，如表3 所示。

表1 已知节点为Am 的分析结果Tab.1 Analysis results of the known node Am

表2 已知节点为Bn 的分析结果Tab.2 Analysis results of the known node Bn

表3 已知节点为Cq 的分析结果Tab.3 Analysis results of the known node Cq

对A、B、C 层的网络整体量化分析，按照网络结构构建样本1 和样本2 三层贝叶斯网络，如图5 所示。在GeNIe 软件中设置C 层节点为普通机会节点（general chance node），按照因果机制独立中噪音或门逻辑关系，设置B 层和A 层节点为噪音最大节点（noisy max node），节点参数值由父节点对其影响强度值确定，样本1 三层贝叶斯网络B2节点参数确定如表4 所示。

表4 样本1 三层贝叶斯网络B2 节点参数Tab.4 B2 node parameters of three-layer Bayesian network of sample 1

基于样本1 三层贝叶斯网络，推理得出事件后果A3发生可能性最大为55%，飞机状态B2问题表现最明显，可能性为57%，诱发因素C8比例最高，可能性为39%。

基于样本2 三层贝叶斯网络，推理得出事件后果A1发生可能性最大为59%，飞机状态B2问题表现最明显，可能性为60%，诱发因素C2比例最高，可能性为28%。

4.3 确定关键风险环节

CFIT 事件风险预防重点关注诱发因素与事件后果，即诱发因素发生的先验概率值以及在不同事件后果发生条件下的后验概率值，将其作为诱发因素影响事件风险的量化值。

因此，结合表1 中样本1 事件后果层与诱发因素层量化排序结果和图3（c）的推理结果，得出基于样本1 的关键风险环节：诱发因素“飞行高度控制C2”导致不同事件后果的量化值为0.182，0.556，0.155；“机组丧失情景意识C4”导致不同事件后果的量化值为0.636，0.222，0.109；“飞行保障C8”导致不同事件后果的量化值为0.091，0.111，0.445。

结合表1 中样本2 事件后果层与诱发因素层量化排序结果和图4（c）的推理结果，得出基于样本2 的关键风险环节，诱发因素“飞行高度控制C2”导致不同事件后果的量化值为0.259，0.636，0；“机组丧失情景意识C4”导致不同事件后果的量化值为0.196，0.091，0；“能见度差C5”导致不同事件后果的量化值为0.165，0，0；“飞行保障C8”导致不同事件后果的量化值为0.143，0，0。

综合两个样本量化结果，得出“飞行高度控制”“机组丧失情景意识”“飞行保障”这3 种诱发因素在制定CFIT 事件风险防控措施时需重点关注，因此建议重点关注机组飞行高度控制因素，重视提升机组在飞行教学和训练中的情景意识，完善飞行保障环境，为机组飞行提供有力的外部支持，最终实现对该类型事件风险的有效预防和控制。