陳浩然，崔利杰，2，*，任博，2，張賈奎

（1.空軍工程大學 裝備管理與無人機工程學院，西安710051； 2.光電控制技術重點實驗室，洛陽471000）

靈敏度分析（Sensitivity Analysis，AS）是研究一個系統(tǒng)的狀態(tài)或輸出變化率對系統(tǒng)參數(shù)或周圍條件變化的敏感程度的方法［1-2］。航空器作為一個組件構成多、邏輯交互復雜、不確定因素廣泛的巨系統(tǒng)，開展靈敏度分析可以有效指導安全性設計與維護工作，提高航空安全水平。

國內外學者針對航空領域的靈敏度分析方法進行了大量探索，Li等［3］通過多變量概率積分變換分析輸入不確定性對多變量輸出整個分布的影響，得到飛機機翼旋轉軸模型的靈敏度指數(shù)；Cao等［4-5］通過建立飛機發(fā)動機高保真熱力學模型，得到了發(fā)動機參數(shù)的全局靈敏度；Zentner等［6］在不確定條件下分析變量數(shù)據(jù)來源，得到了隨機變量和主觀變量對核渦輪機振動的靈敏程度；金燕和劉少軍［7］結合神經(jīng)網(wǎng)絡和一次二階矩法對航空滾動軸承的影響因素開展靈敏度分析；權凌霄等［8］基于ANASYS軟件平臺和多目標遺傳算法分析了航空液壓管路支架參數(shù)對振動響應的靈敏度；張馬蘭等［9］結合區(qū)間數(shù)學和貝葉斯神經(jīng)網(wǎng)絡方法，對航空公司安全管理體系的指標變量進行靈敏度分析；陳超［10］、鎖斌［11］等通過模糊理論、概率包絡對認知不確定性進行描述，提出了針對航空復雜系統(tǒng)的靈敏度計算方法。上述研究主要針對航空組件本身開展靈敏度分析，少有針對事件級進行深入研究，無法直觀地表征組件及其分布參數(shù)對航空安全態(tài)勢的影響程度。

由此，本文充分考慮隨機事件和主觀事件的不確定性，基于航空不安全事件Bow-tie模型，提出一種適合多輸出條件的航空安全性函數(shù)與靈敏度指標，并采用Monte-Carlo方法開展靈敏度測算，運用實例驗證所提指標的合理性和準確性，為提高航空安全水平提供參考。

1 典型航空不安全事件建模

航空安全分析的模型有很多，如事故樹分析（Fault Tree Analysis，F(xiàn)TA）和事件樹分析（Event Tree Analysis，ETA）是2個借助圖形工具危險源和事故后果定量分析的有效工具，但兩模型均無法直觀建立危險源與事故后果的關系，而Bow-tie模型以頂事件為媒介連接危險源和事故后果，打通了事故原因和事故后果之間的聯(lián)系，解決了傳統(tǒng)模型條塊分割嚴重、直觀性不強的問題，是一種新型的安全分析工具。

1.1 Bow-tie模型構建

Bow-tie模型可分為兩部分，左側事故樹是一個用邏輯符和事件符連接的由原因到結果的樹形圖，連結基本事件和頂事件，通過分析基本事件導致頂事件發(fā)生的邏輯關系有針對地制定防范措施；右側事件樹是一個由頂事件到后果事故的過程分析圖，通過分析頂事件發(fā)生后不同的控制事件，演繹推斷出所有事故后果。因此，Bow-tie模型將基本事件、頂事件、后果事件和控制事件統(tǒng)一起來，構成了一幅展示事故發(fā)生前因后果的可視化領結圖，原理如圖1所示。

圖1 Bow-tie模型原理Fig.1 Principle of Bow-tie model

以往許多學者基于Bow-tie模型開展安全分析過程中，新的模型構建方法不斷涌現(xiàn)［12-14］，總結其構造原則主要有以下3點：①模型中只有一個頂事件，是事故樹的終點，也是事件樹的起點；②模型中最左端是導致頂事件發(fā)生的危險源，最右端是不同控制措施下頂事件可能導致的后果事件；③模型中事故樹的所有分支均向頂事件匯集，事件樹由頂事件拓展至所有事故后果。

1.2 Bow-tie模型求解

由于Bow-tie模型基于事故樹和事件樹模型而來，其求解方法可在2類樹形分析工具計算基礎上進行，以圖2簡化的Bow-tie模型展示其求解過程。

式中：

因此，后果事件OEi的發(fā)生概率可表示為n個基本事件與m個控制事件發(fā)生概率的函數(shù)，即

圖2 Bow-tie模型示意圖Fig.2 Sketch map of Bow-tie model

2 安全性靈敏度分析方法

由于航空系統(tǒng)不確定性特征顯著，傳統(tǒng)量化指標往往難以測算，本文將基于Bow-tie模型提出新的航空安全性指標和靈敏度測度。

2.1 航空安全性指標

通常情況下，人們往往更加關注航空領域超過預期嚴酷度的事故，如人員傷亡、財產損失或環(huán)境污染等，因此，航空安全性指標可定義為：在預期壞境下，執(zhí)行預定航空任務時導致危險后果的可能性低于人們預期值的概率［12］，即

航空活動中，后果事件發(fā)生概率閾值已被提前規(guī)定，如MIL-HDBK-882D［15］、ARP4754A［16］等標準已經(jīng)規(guī)定了一系列航空事故后果事件嚴酷度閾值，在給定嚴酷度下的安全性功能函數(shù)為

因此，航空安全性指標可進一步轉化安全功能函數(shù)的表示形式為

若基本事件之間相互獨立，航空安全性指標的概率表達式為

為失效域指示函數(shù)；E［·］為數(shù)學期望算子；fX（x）表示基本事件和隨機變量的聯(lián)合概率密度函數(shù)。

若采用Monte-Carlo方法計算上述指標，則安全性指標可轉換樣本的估計值為

式中：N為仿真抽樣次數(shù)。

在單一航空事故后果事件計算的基礎上，考慮多個后果發(fā)生的可能性，得到多模式下航空器安全性指標計算公式為

綜合式（7）、式（8），得到多模式下采用Monte-Carlo方法計算航空安全性指標的樣本估計值為

2.2 航空器安全性靈敏度指標

傳統(tǒng)的靈敏度測度需要獲得事故發(fā)生概率的解析函數(shù)，邏輯推導困難且計算量大而繁瑣，給靈敏度求解過程帶來巨大困難。因此，尋求一種適合不確定條件下的靈敏度分析方法，對航空不安全事件量化分析工作具有重要意義。

1）全局靈敏度

全局靈敏度是從平均的角度來衡量輸入變量的不確定性對輸出的貢獻，也被稱為輸入變量的重要性測度。參考航空領域重要性測度的概念，結合式（9）航空安全性指標，得到第i個基本事件的全局靈敏度Sx（xi）為

Monte-Carlo方法下全局靈敏度的樣本估計值可參考式（9），只是第i個基本事件的發(fā)生概率有所變化，這里不再贅述。

2）局部靈敏度

為了便于運用Monte-Carlo方法開展抽樣估計，將局部靈敏度表達式轉換成均值形式為

式（12）可進一步轉換成樣本均值估計形式為

式中：xj為概率密度函數(shù)fX（x）的第j次抽樣值。

若n個基本事件之間相互獨立，由于基本事件和控制事件相互獨立，則聯(lián)合概率密度fX（x）為n個基本事件概率密度函數(shù)與m個控制事件概率密度函數(shù)的乘積。由于分布參數(shù)θik只與第i個概率密度函數(shù)fi（xi）有關，對式（13）進一步變換，得到局部靈敏度表達式為

大量故障統(tǒng)計信息顯示［17］，若基本事件為機械件失效，其失效概率服從對數(shù)正態(tài)分布；若基本事件為電子件失效，則其失效概率服從指數(shù)分布。對于服從對數(shù)正態(tài)分布的失效件，顯然有

將式（15）、式（16）代入式（14），得到安全性指標對第i個基本事件的均值μi和標準差σi的局部靈敏度分別為

同樣思路，可以得到基本事件失效率服從指數(shù)分布時，安全性函數(shù)對第i個基本事件均值μi的局部靈敏度為

由于控制事件涉及大量主觀因素，將在3.1節(jié)給出其概率測算方法，不再討論其靈敏度測度。

3 航空不安全事件靈敏度求解

航空活動中危險變量的不確定特征顯著，若要求解上述提出的安全性指標和靈敏度測度，須提出科學準確的變量分布特征描述方法。

3.1 變量描述

對數(shù)據(jù)庫［17］中大量失效信息統(tǒng)計分析后發(fā)現(xiàn)，對于多數(shù)機械類和電子類基本事件，可采用概率方法計算其失效概率。而對于數(shù)據(jù)庫中沒有的基本事件，可根據(jù)其組件類型和故障機理，判斷失效概率的分布類型，統(tǒng)計其分布參數(shù)求解基本事件發(fā)生概率。

而多數(shù)電子類產品的MTBF服從指數(shù)分布，假定故障率為λ，則分布參數(shù)μMTBF=1/λ，因此飛行時間為T時，電子類產品的概率密度函數(shù)為

3.2 M on te-Car lo方法仿真流程

根據(jù)所提各項指標，結合相關變量描述即可求解Bow-tie模型各類輸出。Monte-Carlo方法是一種常用的數(shù)字模擬抽樣方法，本文以該方法為例開展仿真分析，具體流程見圖3。

圖3 Monte-Carlo方法的航空安全靈敏度仿真流程Fig.3 Simulation flowchart of aviation safety sensitivity using Monte-Carlo method

由圖3可知，由于基本事件失效多是與飛行時間相關，因此求解的航空安全性指標和靈敏度指標隨著飛行時間動態(tài)變化；考慮到不同基本事件失效概率的差異性，航空器安全性變化率對不同基本事件敏感程度不同。另外，其他高效的數(shù)值仿真方法也適用于本文所提各個指標。

4 典型案例

輪胎是航空器起落系統(tǒng)的重要構件，對飛機安全起降有著至關重要的作用。飛機輪胎一旦爆破，往往將造成重大的財產損失或人員傷亡。根據(jù)輪胎爆破歷史事故統(tǒng)計結果［18］，人員、機械、環(huán)境等因素是導致事故發(fā)生的主要原因，應對事故的不同控制措施也往往導致不同嚴酷程度的事故后果。很多學者已經(jīng)對輪胎爆破事件進行了深入研究，這里基于Cui等［12］構建的Bow-tie模型，驗證文中所提各類指標的可行性、合理性，模型中基本事件分布參數(shù)及其不確定描述情況見表1，控制事件服從區(qū)間分布的不確定性描述見表2。

表1 輪胎爆破基本事件分布參數(shù)及其類型描述Tab le 1 Distribu tion param eters and type descrip tion of basic even ts for tire burst acciden t

表2 輪胎爆破事故樹控制事件不確定性描述Tab le 2 Uncertain ty descrip tion of control events for event tree of tire burst accident

在模型中，輪胎爆破是唯一的頂事件，共有16個基本事件可能致事故發(fā)生；輪胎一旦爆破，共有4種控制事件分別定義如下：SE1為啟動應急剎車；SE2為避讓飛機和建筑物；SE3為增設隔離網(wǎng)；SE4為啟動應急消防措施。不同的控制事件組合由會導致4種不同嚴酷程度的后果事件：OE1（輕微的）表示停留在跑道上；OE2（較大的）表示機體輕度損傷；OE3（危險的）表示機體嚴重損傷；OE4（災難的）表示飛機起火或人員傷亡，根據(jù)航空安全領域對于風險事件的通用界定方法［19］，其可接 受 概 率 閾 值 分 別 是10-3、10-5、10-7、10-9。利用表1和表2所提供數(shù)據(jù)，結合上述分析，計算得到航空安全性指標隨時間變化情況見圖4。

由圖4可知，輪胎爆破事件航空安全性指標隨時間不斷減小，且在500～600 h發(fā)生突變，安全度急劇下降，此時是基本事件失效所致，因此需要特別關注該時間段各基本事件失效導致事故發(fā)生的可能性?？紤]到靈敏度和安全水平的關系，這里選取450～650 h時間區(qū)間，計算得到航空安全性指標對基本事件的全局靈敏度（見圖5），局部靈敏度見圖6～圖8。

圖4 不確定條件下輪胎爆破事件航空安全性指標Fig.4 Aviation safety index of tire burst accident under uncertain conditions

圖5 基本事件全局靈敏度Fig.5 Global sensitivity of basic events

圖6 機械類基本事件分布參數(shù)μ局部靈敏度Fig.6 Local sensitivity for distribution parameter μofmechanical events

圖7 電子類基本事件分布參數(shù)λ局部靈敏度Fig.7 Local sensitivity for distribution parameter λof electronic events

圖8 機械類基本事件分布參數(shù)σ局部靈敏度Fig.8 Local sensitivity for distribution parameter σofmechanical events

圖5顯示，輪胎爆破事件的安全性指標對不同基本事件的全局靈敏度存在顯著差異，且各個基本事件靈敏度指標隨著時間發(fā)生變化顯著，但各基本事件靈敏度的重要性排序保持不變。圖中所有基本事件全局靈敏度均為負值，說明減小基本事件發(fā)生概率，能夠有效提高航空器安全指數(shù)；BE6和BE4由于MTBF較小，是導致危險發(fā)生的主要因素，靈敏度指標甚至超過0.8；靈敏度較大的5種基本事件排序為：BE6＞BE4＞BE7＞BE3＞BE5，因此機務維護人員要保證剎車盤、熱熔塞、充氣嘴、輪胎氣壓和機輪磨損符合飛行要求。另外，還有一些基本事件對航空器安全性指標敏感程度較小，如全部的電子類事件和BE13～BE16等機械類事件。

圖6和圖7表明，航空安全性指標對機械類基本事件分布參數(shù)μ和電子類基本事件分布參數(shù)λ的局部靈敏度均為隨時間動態(tài)變化的正值且差異巨大：為正值說明航空安全性指標與分布參數(shù)μ和λ正相關，增大基本事件分布參數(shù)均值能夠有效提高航空安全水平；差異巨大是由于電子件和機械件事件MTBF相差太大，電子產品在450～650 h區(qū)間內幾乎不會發(fā)生故障，導致電子類事件的均值靈敏度與機械類事件相比可以忽略不計。機械類基本事件的靈敏度重要性排序為：

BE6＞BE14＞BE4＞BE15＞BE13＞BE7＞BE16＞BE3＞BE5＞BE2＞BE1。另外，600 h后，機械類事件靈敏度整體都有所下降，此時航空安全性指標趨于穩(wěn)定，而機械類事件的概率密度函數(shù)對均值μ的偏導開始下降，導致靈敏度有所下降。

圖8顯示，機械類事件分布參數(shù)σ對航空安全性指標的敏感程度排序與分布參數(shù)σ相同，這也恰恰驗證了兩者的一致性、合理性。另外，安全性指標對分布參數(shù)σ的敏感度為負值，說明要提高安全性指標要努力降低機械類基本事件的分布參數(shù)標準差σ。

5 結 論

1）本文從典型航空不安全事件的Bow-tie模型出發(fā)，提出了多模式航空安全性指標求解方法，進而推導出不確定條件下，針對不安全事件的全局靈敏度和局部靈敏度計算公式。

2）運用概率方法和區(qū)間理論對不確定變量進行描述，又采用Monte-Carlo方法對所提指標開展仿真計算，解決了航空器這類復雜系統(tǒng)難以進行靈敏度測算的困難。

3）結合典型航空事故——輪胎爆破事件開展仿真驗證分析，通過與實際機務工作數(shù)據(jù)對比，證明了所提靈敏度指標的合理性、準確性和可操作性，對提高航空器的安全設計水平具有一定的指導意義。

本文主要針對單一頂事件開展安全性和靈敏度分析，而對于航空器這類復雜系統(tǒng)，往往包含大量頂事件，如何使用本文方法開展安全性評估和靈敏度分析有待進一步研究。