基于TARAM的民机EWIS实际风险评估方法研究

孙缨军，鲍 晗

(1.中国民航上海航空器适航审定中心，上海 200335)(2.南京航空航天大学民航学院，江苏 南京 211106)

1 背景

电气导线互联系统(EWIS)是指所有线路、线路装置或者这两者的组合,包括安装在飞机任何区域的传输电能、数据和信号的终端部件，如导线或电缆、连接器、保护材料、卡箍等[1-2]。EWIS主要故障包括导线的磨损、短路和连接器故障等，可能引发的不安全事件包括部件老化、系统损坏、电缆起火等。因为EWIS部件为飞机各系统输送信号及电能，这些EWIS不安全事件可能导致飞机控制能力降低以及飞机空中失火等严重事故，因此EWIS的持续运行安全性对飞机安全具有非常重要的意义。

由于历史上曾连续发生多起因飞机电气设备故障和电线短路引起火花而导致飞机坠毁的事故，美国联邦航空局(FAA)于2007年底颁布了FAR第25-123号修正案，增加了EWIS相关的适航条款，规定研制的飞机必须把EWIS作为一个单独的系统来进行设计和适航审定。

尽管如此，在飞机持续适航阶段，由于特定型号的航空器和产品在EWIS相关标准制定或标准符合方面可能存在未探明的变化、EWIS设计和制造缺陷可能会引起不可预计的EWIS综合失效、可能存在意料之外的环境条件等，EWIS实际的适航安全风险水平可能会高于设定的标准。这些情况是不能预计和计划的，国际民航公约附件8要求建立相应的持续适航系统来收集信息、识别风险、管理风险，即运用风险管理方法解决飞机运行阶段EWIS的实际风险问题[3-4]。

针对EWIS的风险分析与评估是飞机EWIS实际风险管理的核心要素。国内外关于风险分析和评估方法模型非常繁多，LEVESON[5]提出系统理论过程模型(STAP)，ENRICO[6]运用蒙特卡洛模拟方法解决复杂系统风险分析问题，BIGUN[7]和葛志浩等[8]采用飞行事故概率模型和随机过程模型，通过统计量对飞行安全进行定量描述。美国空军电子系统中心(ESC)提出了风险矩阵方法[9]。

具体应用到运输类飞机EWIS实际风险评估的方法，需结合具体飞机型号的设计特征，在通用方法上进一步改进才具有可操作性。目前，国产飞机EWIS的风险评估主要依赖于工程经验，实践中定量风险评估缺乏数据支持且分析方法几乎空白，因此亟待对持续适航阶段EWIS的风险评估工作开展研究，本文将基于运输飞机风险评估方法(TARAM)对EWIS电缆起火事件进行风险评估研究。

2 运输飞机风险类型与指标

2.1 运输飞机风险类型

在运输飞机持续运行阶段，不安全事件的风险类型可以分为单机风险和机队风险两类，用以保证每架飞机以及整个机队的安全水平均达到可接受程度[10]。

1)单机风险。

单机风险即每架飞机的风险水平，用每飞行小时乘员遭受致命损伤的概率表示。单机风险影响因素如图1所示，主要包括不安全状况可能发生的最大频率、该状况导致严重后果的条件概率以及未在规定时间里采取纠正措施导致的致命损伤率。

2)机队风险。

机队风险即在没有采取措施来纠正已确定的不安全状况时，预计在规定时间内机队死亡人员的数量。机队风险评估本质上是对整个机队单机风险的累积。单机风险计算是以“每飞行小时”或“每飞行循环”为单位计算出概率，而机队风险评估的结果通常表示为整个机队到退役前或故障排除前的乘员损伤率或损伤人数，如图2所示。

图1 单机风险指标定义与影响因素分析

图2 机队风险指标定义与影响因素分析

2.2 风险指标

在运输飞机实际风险评估的过程中，会遇到以下3个问题：是否有必要采取纠正措施？是否紧急？纠正措施是否可接受？为了解决这3个问题，进一步定义了在运输飞机风险评估不同阶段的5个风险：3个机队风险和2个单机风险，其定义和用途见表1。

表1同时给出了上述5种风险指标的风险参考标准，风险指标来源于工业实践，用以判断风险值的大小。值得注意的是，在运输飞机风险评估的过程中，并不是一定要同时考虑这5个风险，如果基于初始风险值或其他信息，可以判断出没必要采取纠正措施，那么受控风险或90天风险则均没必要计算。

表1 风险值的定义、用途和指标

3 运用传统方法进行EWIS风险评估的缺陷

风险矩阵法是经典的风险分析方法，该方法分别对由EWIS失效可能引发事故的严重程度和可能导致飞机事故的EWIS失效事件发生概率进行等级划分，通过综合严重程度和发生概率形成风险矩阵，风险矩阵推荐采取的纠正措施见表2。通过风险矩阵，可以快速地判断出该EWIS失效的风险级别，并针对不同的风险级别采取不同的纠正措施。但是风险矩阵只能定性地判断出风险等级，且事故的严重程度和EWIS事件发生概率的确定在很大程度上依据评估者的工程经验，因此该方法不具备精确性，其判断结果对后续确定具体纠正措施的实际帮助很小，仅适合用于EWIS失效事件的初步风险分析，不适合用于对EWIS进行详细的风险分析。

表2 风险矩阵推荐采取的纠正措施

基于美国汽车工程师协会(SAE)发布的ARP4761[11]中提出的基于功能危险分析(FHA)、失效模式影响分析(FMEA)、故障树分析(FTA)的系统安全性分析方法被广泛应用于民机持续阶段的风险分析。针对EWIS的风险分析，首先通过飞机级的FHA识别出EWIS失效模式，通过FMEA分析EWIS事件可能导致飞机事故的严重性S，利用FTA确定某EWIS事件的发生概率P，再由工程经验确定该EWIS事件导致某种飞行事故的条件概率C，经公式R=S×C×P计算出该EWIS事件的风险值R。该方法对风险的计算较风险的矩阵法更为精确，但也存在如下不足：1)由于EWIS失效涉及到飞机的各系统，而基于FHA、FMEA和FTA的安全性评估方法很难覆盖到所有系统和设备，即使覆盖到了某些系统，也很难具体到相关线缆；2)只评估了导线失效对系统功能的影响，没有具体到导线物理失效对EWIS中其他导线的失效影响；3)没有考虑机队风险；4)没有对纠正措施实施的符合性期限进行计算；5)没有对采用纠正措施后的受控风险进行判断。

4 基于TARAM的民机EWIS事件风险评估过程

针对传统风险评估方法在民机EWIS风险评估中的缺陷，TARAM方法具有明显优势。TARAM是一种概率风险评估方法，最早由美国运输飞机部提出，目的是进一步落实国际民航组织(ICAO)的安全管理系统(SMS)，并符合美国联邦航空局(FAA)指令8110.107安全监控/数据分析(MSAD)中提出的风险分析流程[10]。

针对民机EWIS,TARAM方法可以用于判定运输类飞机持续运行中的EWIS事件，分析事件可能导致的单机风险和机队风险，为后续风险缓解措施的制定及其符合性期限的确定提供重要依据。运用TARAM进行EWIS风险评估的基本步骤如下。

4.1 确定EWIS相关不安全事件信息

在对EWIS事件进行风险评估的开始阶段，首先需要确定潜在EWIS事件的具体信息，包括确定EWIS不安全事件、可能会导致的不安全结果以及受影响机队。EWIS不安全事件包括任何与飞机相关的、潜在的EWIS不安全状况，而不安全后果发生的概率是EWIS事件的发生概率与从研究中的不安全状况转入严重后果的条件概率的乘积。

以EWIS电缆起火事件为例，由于电缆起火可能会造成飞机空中着火等严重后果，因此需要对受影响机队电缆起火事件进行风险分析。

4.2 确定受影响机队暴露情况

机队暴露情况表示受该EWIS事件影响的机队在某一具体时间段内总的暴露情况，其表达式为：

机队暴露情况=U×T×Σ

(1)

式中：U为机队利用率，即在规定的单位时间内机队飞行小时或飞行循环数；T为计算风险的时间范围；Σ为受该EWIS事件影响机队的飞机总数。

在电缆起火事件的案例中，根据受影响航空公司提供的飞机数据，目前受影响机队总数(Σ)为120架，平均机龄为6年，预计退役年龄为25年，因此该机队此型飞机的平均剩余工作时间(T)为19年，或者说6 935天。而机队平均利用率(U)是10飞行小时/天。由此计算出受影响机队的暴露情况为10×6 935×12=8.322×106(飞行小时)。

4.3 确定该类EWIS事件可能发生次数

对于随机失效分布事件，T时间内该类EWIS事件可能发生的次数等于机队暴露情况与该类EWIS失效事件发生频率(F)的乘积。

一般情况下，可以直接计算整个受影响机队可能发生该类EWIS事件的次数。但当该类EWIS失效发生频率(F)在子机队之间显著变化时，需要单独确定每个子机队的暴露情况以及该类EWIS失效事件在相关子机队可能发生的频率。

在电缆起火事件的案例中，据统计受影响机队的累计飞行时间约270万飞行小时，距离电缆起火导致飞机着火事故的时间间隔为100万飞行小时。假设下一次电缆起火事件将导致飞机空中失火，则电缆起火引发飞机空中着火事故的频率(F)为1/(2 700 000+1 000 000)=2.7×10-7/飞行小时。因此，在机队寿命中电缆起火事件可能发生次数为8.322×106×2.7×10-7=2.25。

4.4 确定该类EWIS事件的后果因素

1)事件链建模。

事件链是指一串按时间排序的事件顺序，它由某些偶发事件(初因事件)引起，通过一个或多个中间事件的作用最终导致特定的后果，如图3所示。在EWIS失效事件风险定量评估中，针对所识别出的潜在EWIS不安全事件建立从初因事件到不安全后果的事件链是评估的关键。

2)确定条件概率。

图3 事件链模型构建过程

根据建立的事件链模型，分析上一个事件(原因)导致后一个事件(结果)的条件概率(CP)，方法包括历史数据统计、实验测试、专家经验、故障树分析、仿真模拟等。图4为一个事件链的示意图，图中显示了3种条件模型：

①研究中的EWIS不安全状况，如状况“A1”、状况“B2”；②EWIS失效事件发生频率，如PC；③研究中的EWIS不安全状况发展成已知严重后果的条件概率，如PA1，PB2等。

图4 事件链示意图

图4显示了两个不安全结果，即不安全结果A和不安全结果B，其风险值分别为：

风险A=PC×(PA1×PA2×PA3×PA4)×SA

(3)

风险B=PC×(PA1×PA2×PB1×PB2×PB3)×SB

(4)

式中：SA和SB分别为不安全结果A和B的严重性。

总的EWIS风险通常可以用相关的每个不安全结果的和来估计，表达式为：

总风险=风险A+风险B

(5)

3)确定严重性(S)。

不安全后果的严重性即该EWIS事件对飞机运营过程产生影响的严重程度，例如对飞机、乘客及机组人员的影响。TARAM过程用发生致命伤害的概率表示不安全后果的严重性。

对于未受控机队风险和单机风险，严重性即是损伤率(IR)，表达式为：

S=IR

(6)

对于90天风险和受控机队风险，严重性是每发生一次严重后果的死亡人数，表达式为：

S=IR×EO

(7)

式中：EO是暴露的机上人数，包括乘客和机组人员。

为了简化计算，假设下一次电缆起火事件将引起空中失火，则由电缆起火导致飞机空中失火的条件概率(CP)为1。根据经验及统计资料确定飞机着火的死亡率(IR)为0.16。该机队飞机的座椅配置平均座位数为164座,规定机组人员为4人，暴露的机上人数(EO)为168人。因此，电缆起火事件的严重性为0.16×168=26.88人。

4.5 计算EWIS事件风险

1)不受控机队风险(R)。

对于随机失效问题，风险是某类EWIS事件发生次数、条件概率和后果严重性的乘积：

R=(U×T×Σ)×CP×IR

(8)

由式(8)可得R=0.36。

计算结果高于规定的可接受机队风险值0.02，说明潜在的不安全状况确实存在，针对受影响机队，必须实施相应的纠正措施以控制由电缆起火引发的机队风险。

2)不受控单机风险(RI)。

对于不受控的单机风险，其计算公式为：

RI=F×CPI×IR

(9)

式中：CPI为单个飞机电缆起火导致飞机空中着火的条件概率。如果飞机之间没有很大的差异，通常用平均值表示不受控单机风险，如果机队中包括特殊情况、多种情况的组合或者存在子机队，则用最高值表示不受控单机风险。

由式(9)可得，RI=4.32×10-8/飞行小时。

计算结果低于规定的可接受单机风险值1×10-7，说明由电缆起火事件引发的单机风险值在可接受范围内，但是由于受影响机队规模较大，机队风险超标，仍然需要采取必要的纠正措施。

3)受控机队风险(RC)和受控单机风险(RCI)。

在采取相应的纠正措施之后，还应该检验方案的可行性和不同方案的优先级，因此需要分别计算受控机队风险和受控单机风险：

RC=(UC×TC×ΣC×F)×CPC×(IR×EO)

(10)

RCI=FCI×CPCI×IR

(11)

式中：UC,TC,ΣC分别为针对EWIS事件采取相应纠正措施后的机队利用率、风险时间范围和受该EWIS事件影响并采取纠正措施的飞机总数；CPC和CPCI分别为采取纠正措施后的机队和单机的条件概率；FCI表示采取纠正措施后电缆起火的事件频率。

在电缆起火的案例中，经过紧急调查发现几次电缆起火的原因是两根导线由于存在严重挤压和磨损产生电弧。在无腐蚀性的环境下，产生的电弧使系统工作不正常，但不一定影响系统安全和飞机安全；但在腐蚀和潮湿的环境下线路对地产生火花，可能会引发电缆起火。因此，在机队规模保持不变的情况下，制定维修方案，在9个月即270天内排除整个机队的风险，且经过维修检查后单机电缆起火的时间频率将下降至1×10-8。根据式(10)计算采取维修方案后受控的机队风险为：RC=2.35。根据式(11)计算初受控单机风险为：RCI=1.6×10-8/飞行小时。

由于RC低于受控机队风险标准3，且RCI低于受控单机风险标准1×10-6/飞行小时，因此该纠正措施符合安全要求。

5 结束语

本文论述了在飞机运行阶段对电气导线互联系统进行实际风险分析并及时采取控制措施的必要性，研究了持续运行安全不同阶段的风险指标和传统风险分析方法用于EWIS事件的缺陷，提出基于TARAM的民机EWIS实际风险评估方法，并运用TARAM方法对某航空公司机队电缆起火事件进行风险评估，根据对应风险等级，判断了实施纠正措施的必要性以及纠正措施的有效性，为实际风险控制提供了借鉴。

[1] 李鹏昌. 民用飞机EWIS需求及确认要求研究[J]. 科技创新导报，2016(1): 14-27.

[2] 车程，白康明. EWIS分离设计及符合性验证研究[J]. 飞机设计，2017(3): 60-62.

[3] 王冠茹. 民用飞机运营事件风险评估方法研究[D]. 南京：南京航空航天大学, 2012.

[4] GALILEO T, MICAELA D. Risk assessment techniques for civil aviation security[J]. Reliability Engineering and System Safety,2011,96(8):892-899.

[5] LEVESON N．A new approach to hazard analysis for complex systems[C]//Proceedings of International Conference of the System Safety Society. Denver:ISSC Press,2003:498-507.

[6] ENRICO Zio, 齐奥, 翟庆庆. 可靠性与风险分析蒙特卡罗方法[M]. 北京:国防工业出版社, 2014.

[7] BIGUN E S. Risk analysis of catastrophes using experts' judgements: an empirical study on risk analysis of major civil aircraft accidents in Europe[J]. European Journal of Operational Research, 1995, 87(3):599-612.

[8] 葛志浩, 徐浩军, 刘琳,等.飞行事故概率模型与风险评估方法[J]. 中国安全科学学报, 2008, 18(2):162-165.

[9] 朱启超, 匡兴华, 沈永平. 风险矩阵方法与应用述评[J]. 中国工程科学, 2003, 5(1):89-94.

[10] Transport Airplane Directorate.PS-ANM-25-05 Transport Airplane Risk Assessment Methodology Handbook[S]. Washington, D.C: Federal Aviation Administration,2011.

[11] SAE International S-18 Committee.ARP4761 Guidelinesand Methods for Conducting the Safety Assessment AProcess on Civil Airborne Systems and Equipment[S].Washington, D.C.:Society of Automotive Engineer，1996.