張 鑫,孫有朝

(南京航空航天大學 民航學院， 南京 211106)

民用飛機飛行試驗是一項技術(shù)性強、風險大、周期長、投資大的綜合性系統(tǒng)工程，其最根本的目的就是驗證飛機的安全性[1]。飛行試驗需要在諸如舵面卡阻、動力裝置失效、液壓系統(tǒng)失效等系統(tǒng)故障下進行，這些試驗技術(shù)復雜、風險極高，必須經(jīng)過科學的風險識別并采取有效的風險降低措施，才能安全地執(zhí)行。根據(jù)《航空器型號合格審定試飛安全計劃》(AP-21-AA-2014-31R1)要求，民用飛機在開展飛行試驗時，必須進行試飛風險的評估和控制。試飛工作的首要任務是要識別出飛行試驗中的風險，明確風險發(fā)生的概率和發(fā)生后果的危害程度，制定出規(guī)避和降低風險的相應措施，確保飛行試驗能夠安全實施。

目前，殷銘[2]闡述了SHEL風險管理模型在民用飛機試飛中的應用價值?；萆儆耓3]詳細分析了試飛風險管理體系的風險管理范疇，確立試飛風險評價方法與預防措施，提出試飛風險的應對和應急處理策略。張霆霆[4]提出了試飛安全管理體系建設總方案，并闡述了實施和評估步驟。王劍鋒[5]引入了模糊綜合評價理論對試飛風險進行評價。這些方法大多是采用定性評估，缺乏定量數(shù)據(jù)的有力支撐，評估結(jié)果的往往不夠精準。而貝葉斯網(wǎng)絡是一種能夠?qū)＜医?jīng)驗和事故數(shù)據(jù)等結(jié)合在一起的技術(shù)，有很強的描述能力，能對事故進行推理診斷，適合用于風險評估。

本文根據(jù)美國國家運輸安全委員會(National Transportation Safety Board,NTSB)關(guān)于灣流G650試飛事故的調(diào)查，建立了試飛風險的故障樹，然后在故障樹的基礎(chǔ)上建立貝葉斯網(wǎng)絡模型[6]。采用貝葉斯建模軟件GENIE進行正向與反向的概率推理計算，從而評估試飛的風險水平，研究試飛風險的關(guān)鍵致因，并提出改進的建議。

1 貝葉斯網(wǎng)絡

貝葉斯網(wǎng)絡(Bayesian Network,BN)是一個有向無環(huán)圖，由表示變量的網(wǎng)絡節(jié)點和節(jié)點的有向邊組成，BN是進行不確定性表達和推理的有效工具。在BN模型里，節(jié)點表示隨機變量，有向弧表示不同變量間的關(guān)系。在BN中，如果有向邊由節(jié)點X指向節(jié)點Y，那么X為Y的父節(jié)點，Y為X的子節(jié)點，沒有任何導入箭頭的節(jié)點稱為根節(jié)點，沒有子節(jié)點的節(jié)點稱為葉節(jié)點[7]。每個子節(jié)點都有在不同父節(jié)點取值組合下的條件概率分布，相應的條件概率表可以用來描述子節(jié)點與父節(jié)點之間的關(guān)系。

在BN中，利用聯(lián)合概率分布即可求得頂事件T發(fā)生的概率。

(1)

式(1)中，Xi為子節(jié)點，F(xiàn)(xi)為父節(jié)點，n為貝葉斯網(wǎng)絡中節(jié)點的數(shù)目。

根據(jù)BN對于條件概率的定義

(2)

假設A為某個變量，其存在著n種狀態(tài)a1,a2,…,an，由全概率公式可以求得：

P(B)=∑P(B|A=ai)P(A=ai)

(3)

從而可以由BN得到后驗概率P(B/A)。

2 基于BN的試飛風險評估建模

在民機試飛風險評估的過程中經(jīng)常會使用故障樹分析(Fault Tree Analysis，F(xiàn)TA)方法，首先將可能發(fā)生的危險事件作為頂層輸入，然后找出導致頂事件發(fā)生的各方面的因素，并根據(jù)不同因素之間的邏輯關(guān)系選用相應的邏輯門來連接它們，最后對試飛風險因素進行定性和定量的評估。

將故障樹(Fault Tree,FT)轉(zhuǎn)化為BN，需要確定二者之間的對應關(guān)系。試飛風險評估BN建模包括兩份部分，需要建立BN網(wǎng)絡拓撲結(jié)構(gòu)并確定BN中各個節(jié)點的條件概率。網(wǎng)絡拓撲結(jié)構(gòu)的構(gòu)造以及局部的條件概率可以由試飛員、專家或者查詢相應的事故調(diào)查報告來設定。將FT轉(zhuǎn)化為試飛風險評估BN的具體步驟：

1) BN中的根節(jié)點即為FT中所有的底事件，并且FT中重復出現(xiàn)的底事件僅需在BN中添加一個根節(jié)點。

2) FT中底事件發(fā)生的概率即為其對應BN中的根節(jié)點的先驗概率。

3) FT的每個邏輯門輸出的中間事件都對應著BN的一個中間節(jié)點，該節(jié)點的取值由對應邏輯門輸出事件來決定。

4) 按照FT中邏輯門與底事件的關(guān)系來確定BN中各節(jié)點間的邏輯關(guān)系，并按照FT中事件發(fā)生順序來連接各個節(jié)點。

5) BN中節(jié)點的條件概率FT中的邏輯關(guān)系來確定。

圖1與圖2給出了將FT中邏輯或/與門的輸入和輸出分別等價轉(zhuǎn)換為相應BN節(jié)點的實例，表1和表2則分別給出了邏輯或/與門的條件概率。

圖1 FT或門的BN轉(zhuǎn)換

圖2 FT與門的BN轉(zhuǎn)換

ABP(C|A,B))000011101111

表2 與門條件概率表

3 案例分析

3.1 案例描述

2011年4月2日，美國當?shù)貢r間9時34分左右，灣流宇航公司一架編號為N652GD的G650試驗機在起飛時墜毀。事故發(fā)生在美國新墨西哥州的羅斯維爾國際飛行中心，試驗機在進行單發(fā)起飛時右機翼外側(cè)失速，產(chǎn)生不可控的滾轉(zhuǎn)力矩，導致飛機右翼尖擦到跑道并偏離至跑道右側(cè)。最終飛機撞到一個混凝土建筑和機場氣象站，導致飛機出現(xiàn)嚴重的結(jié)構(gòu)損傷，并被大火吞沒，機上兩名試飛員和兩名試飛工程師不幸身亡。按照民航規(guī)則以及國內(nèi)外的實踐經(jīng)驗，與試飛風險相關(guān)的因素一般分為人、機、環(huán)境和管理4類。根據(jù)航空專家給出的建議以及NTSB對此次事故的調(diào)查分析，將試飛風險發(fā)生作為FT的頂事件，構(gòu)建如圖3所示的FT，整個FT共有7個邏輯門，12個底事件，6個中間事件。假設FT中的底事件均相互獨立，并存在正常、失效兩種狀態(tài)，利用專家信息以及事故數(shù)據(jù)，設定各底事件即根節(jié)點的失效概率如表3所示。

圖3 試飛風險的故障樹

節(jié)點(失效)概率/%A1試飛員能力1.8A2試飛員身體情況1.6A3試飛工程師能力1.8A4試飛工程師身體情況1.6B1動力系統(tǒng)0.5B2導航系統(tǒng)0.4B3電子設備0.7B6安全檢查與監(jiān)管1.5B7試飛計劃合理性2.0B8試飛安全管理體系3.2B9自然環(huán)境0.5B10意外事件0.5

3.2 貝葉斯網(wǎng)絡模型的推理計算

將圖3的FT轉(zhuǎn)換為試飛風險評估的BN。首先FT的所有的底事件(A1、A2、A3、A4、B1、B1、B2、B3、B6、B7、B8、B9、B10)對應轉(zhuǎn)換為BN中的根節(jié)點，并將底事件的先驗概率賦值給BN中對應的根節(jié)點作為它的先驗概率，并按照圖1和圖2的邏輯門轉(zhuǎn)換方法，將FT輸出事件轉(zhuǎn)換為BN中的中間節(jié)點，連接節(jié)點的有向邊的方向和FT中輸入/輸出關(guān)系相對應。利用匹茲堡大學決策實驗室開發(fā)的GENIE軟件，構(gòu)建試飛風險評估的BN模型如圖4所示[8]。由于篇幅原因，省去邏輯門轉(zhuǎn)換為BN節(jié)點的條件概率表。

圖4 試飛風險評估的貝葉斯網(wǎng)絡模型

以構(gòu)建的BN拓撲結(jié)構(gòu)和底事件先驗概率得到的試飛風險評估模型如圖5所示。從圖5中各個節(jié)點的條件概率計算結(jié)果可得，試飛過程正常進行的概率P=86%(T為Normal)，試飛風險發(fā)生的概率為P=14%(T為Failure)。

圖5 試飛風險評估的貝葉斯網(wǎng)絡模型

當設定試飛風險發(fā)生的概率P=1(T為Failure)時，通過BN模型的反向推理，可以得到如圖6所示各節(jié)點導致試飛風險發(fā)生的條件概率值[9]。當試飛風險發(fā)生時，由于事件A1、A2、A3、A4、B1、B2、B3、B6、B7、B8、B9、B10導致的概率分別為13%、11%、13%、11%、4%、3%、5%、11%、14%、23%、1%、1%?？梢钥闯鲈囷w風險發(fā)生的主要原因是人的因素以及灣流宇航公司在管理上的問題。

3.3 與故障樹分析法對比

假設導致試飛風險發(fā)生的底事件的概率為pi，令p=(p1,p2,…,pn)，則ψ(p)=ψ(p1,p2,…,pn)是試飛故障樹的概率組成函數(shù)。

圖6 BN模型的反向推理結(jié)果

如果一組底事件的取值能夠使P=1(T為failure)，則這組底事件組合成為一個割集，試飛故障樹的最小割集是導致試飛風險發(fā)生的最少數(shù)量底事件的集合。通過下行法可以求得最小割集為：{A1}、{A2}、{A3}、{A4}、{B1}、{B2}、{B3}、{B6}、{B7}、{B8}、{B9,B10}。

通過最小割集可以求得頂事件T發(fā)生的概率，設Ci(i=1,2,…,n)是試飛故障樹的第i個最小割集，由最小割集可以求得試飛風險發(fā)生的概率為

(4)

概率重要度為底事件發(fā)生時試飛故障樹頂事件發(fā)生的概率，通過概率重要度可以分析底事件概率的增減對于試飛風險的影響程度，事件xi的概率重要度為

(5)

因此，可以求得各底事件的概率重要度，對試飛風險影響較大的底事件為A1、A2、A3、A4、B6、B7、B8，其概率重要度分別為86.7%、86.5、86.7%、86.5%、86.4%、86.9%、88.1%，即人的因素與灣流宇航公司管理的因素對試飛風險的影響最大。

將傳統(tǒng)的故障樹分析方法與基于貝葉斯網(wǎng)絡模型的方法相比較，兩種方法均對可有效的進行試飛風險評估，并且得到的試飛風險發(fā)生概率分析結(jié)果相同。在分析底事件的影響程度方面，兩種方法均可以定量的給出底事件對于試飛風險的影響程度，并且均得到了試飛風險的關(guān)鍵致因，便于對試飛風險的控制與管理。

與傳統(tǒng)的故障樹相比，貝葉斯網(wǎng)絡模型的優(yōu)點在于它能夠通過推理表達試飛風險與影響因素間的不確定關(guān)系，進行相關(guān)性分析，并且借助GENIE軟件采用圖形化的方法來描述數(shù)據(jù)間的關(guān)系，更直觀且易于理解。

3.4 關(guān)鍵致因分析與改進措施

對于底事件A1、A2試飛員的能力、試飛員的身體情況：試飛員在試飛前要完成必要的身體檢查。在飛行試驗執(zhí)行中，試飛員要根據(jù)飛行中出現(xiàn)的不安全情況和存在影響飛行安全因素等情況隨時終止試驗。在這次試飛過程中，試飛員對于單發(fā)起飛過程中的抬前輪技術(shù)掌握得不夠成熟，降低了實際的安全起飛速度以縮短起飛距離，降低安全起飛速度意味著飛機更早的離地，使飛機離地時的速度更接近失速，從而導致事故發(fā)生。因此建議在試飛前，通過飛行仿真平臺加強試飛員對抬前輪試飛技術(shù)的訓練，使試飛員確定安全的起飛速度。

對于底事件A3、A4試飛工程師的能力和試飛工程師的身體情況：試飛前，試飛工程師同樣要完成必要的身體檢查。試飛工程師在原型機的飛行試驗階段，以空勤人員的身份參與到整個飛行試驗過程，是試飛工作開展的核心力量，同時也是試飛安全關(guān)鍵的負責人。在試飛過程中，試飛工程師要能夠?qū)崟r把控試飛動作的安全性，實時分析飛機響應，實時確認試飛動作的有效性并把握試飛進程。試飛工程師如果發(fā)現(xiàn)不具備試驗條件、無法獲取有效數(shù)據(jù)、采集器故障等情況，可以協(xié)商試飛員終止試驗。在這次試飛過程中，試飛工程師雖然考慮了地面效應對飛機起飛性能的影響，但是預估的失速攻角高于實際值。因此，飛機失速告警觸發(fā)的攻角閾值以及相應的姿態(tài)限制顯示器的設定值均過高，從而導致在真實失速發(fā)生前，機組成員未收到告警提示，最終產(chǎn)生了試飛風險事故。建議試飛工程師要運用飛行仿真技術(shù)對地面效應下的失速迎角進行預測，并將最新的預測結(jié)果用于改進試飛方法并更新機載設備中迎角裕度的設置。從而確保失速前能得到有效的告警提示。

對于底事件B6安全檢查與監(jiān)管：試飛事故發(fā)生前，G650試飛項目就已出現(xiàn)過兩次類似的不可控滾轉(zhuǎn)現(xiàn)象，但是灣流公司沒有意識到這兩次不可控滾轉(zhuǎn)事件是由失速引起的，因此并沒有進行深入的氣動分析，導致沒有完整地識別出潛在的風險。試飛過程中所遭遇的風險沒有得到有效的監(jiān)督，因此建議設立安全監(jiān)管員，負責確保灣流公司為飛行試驗和飛行活動制定的安全程序能夠嚴格落實。

對于底事件B7試飛計劃合理性：灣流公司為了能在2011年第3季度完成對G650的取證，制定了過于激進的項目計劃。受到試飛項目進度的壓力，灣流公司為了確保項目節(jié)點，避免拖延項目進展，對試飛過程中飛機的異常表現(xiàn)沒有進行深入的分析，導致沒有發(fā)現(xiàn)地面效應影響下理論攻角偏高的問題。在沒有明確危險源以及不確定因素的情況下，灣流公司繼續(xù)執(zhí)行既定的飛行計劃，最終導致了試飛事故的發(fā)生。應該為項目制定更合理的試飛計劃，按照柔性的試飛進度表來完成各項試飛科目，而不是帶著潛在的危險源來試飛。

對于B8底事件試飛安全管理體系：按照試飛安全管理體系的要求，在試飛過程中若出現(xiàn)意外情況，在試飛結(jié)束后應該召開試飛安全評審會議。然而在發(fā)生兩次不可控滾轉(zhuǎn)之后，灣流公司并沒有召開相應的試飛安全評審會議。因此，灣流公司的試飛安全管理體系也存在著嚴重的問題。建議成立由安全專家組成的安全委員會，在每次試飛結(jié)束后召開會議檢查相應的試飛結(jié)果，評估該試驗機的安全風險水平。

3.5 NTSB事故調(diào)查結(jié)論分析

根據(jù)NTSB的事故調(diào)查報告顯示，此次試飛事故的直接原因是試飛過程中的空氣動力學失速以及不可控的滾轉(zhuǎn)運動，由以下3點導致：

1) 灣流公司沒有能夠開發(fā)驗證用于飛行試驗的起飛速度并且沒有識別和糾正之前飛行試驗中V2的錯誤。

2) G650試飛團隊為了達到安全起飛速度進行了持續(xù)并且激進地嘗試，錯誤地低估了安全起飛速度。

3) 灣流公司沒有充分調(diào)查之前飛行試驗過程中G650不可控滾轉(zhuǎn)事件，這表明飛機處于地面效應的過程中，失速攻角設置得過高。

進一步分析試飛風險的關(guān)鍵致因：灣流公司沒有制定合理的試飛任務時間表來有效地管理飛行試驗計劃，未能確保試飛團隊的能力達到要求、試飛前沒有進行充分的技術(shù)訓練、未能確定所有潛在的危險并采用適當有效的風險控制措施。

通過對比可以發(fā)現(xiàn)，NTSB在灣流G650試飛事故調(diào)查報告中總結(jié)的風險致因與通過貝葉斯網(wǎng)絡推理所找出的風險致因相符合，證明了本文提出的基于貝葉斯網(wǎng)絡的試飛風險評估方法的有效性。

4 結(jié)論

利用BN模型對試飛風險因素進行評估分析，找出了試飛風險的主要致因。運用故障樹的方法與BN模型對比，體現(xiàn)了BN模型的正確性和優(yōu)越性。對比分析NTSB在此次試飛事故調(diào)查報告中的風險致因與BN模型找到的風險致因無差異，驗證了基于BN模型的風險評估方法的有效性。并針對主要致因提出了改進措施，從而降低了試飛科目的風險，提高試飛的安全性，有利于試飛計劃的完成。