從風險分析角度研究民航安全信息特征

■ 余海燕 孟志豪/北京飛機維修工程有限公司

0 引言

民航安全管理的基礎是豐富、及時和有效的安全數據。當前，民航業的安全管理正在從傳統的經驗管理向主動預防式的安全風險控制轉變，支撐這種轉變的是多途徑、多方位、不同形式的安全數據來源。航空業在百年的發展歷史中建立起了多種航空安全數據源，包括事故與事故征候的強制報告，飛行數據記錄的超限事件記錄，基于主動安全文化的自愿安全報告，基于第三方專家的航線安全審計、運行安全監測、政府和行業組織的監察和安全審計、審核，以及不安全事件達到規定級別以上所進行的調查等[1]。安全數據本身并不能提高系統的安全水平，只有通過對其進行有效的分析和利用才能有效發揮其功能。目前，中國民航在安全信息的分析和利用方面的研究還不夠，尚未建立以安全信息為驅動的安全管理機制[2]。

風險管理是SMS的核心，危險源識別和風險分析又是風險管理的核心[3-4]。但是如何結合實際工作有效地進行危險源識別和風險分析工作，是目前民用航空業普遍遇到的難點和關鍵問題。目前，行業內通常使用系統和工作分析的方法、危險源引導詞、威脅與差錯管理（TEM)等方法[5]。然而，在開展風險管理時，通常不安全信息無法與風險分析有效結合，上文提到的方法適用于專家開展定性或半定量風險分析，安全信息僅用作參考；多方面收集的安全信息僅做數量上的統計分析，對風險的定量分析沒有實質的貢獻。本文結合Bow-tie和HFACS的特點建立分析模型，從風險的嚴重度和可能性兩個方面分析各種不安全信息的特征。該方法可以更好地利用現有的安全信息開展風險分析，建立以安全信息為驅動的安全管理機制。

1 安全信息和風險之間的關系模型

在民航業中，風險一般用危險源導致潛在不良后果發生的可能性和嚴重性來評價。結果可能是一起事故的“中間不安全事件或后果”，可定義為“最可信的結果”。危險源是指具有造成人員傷害、設備或結構損壞、材料損失或實現既定功能的能力降低的潛在條件、物體或活動[6]。根據定義分析得出，民航業通過安全信息進行風險分析的過程為：辨識出危險源，預測可能引發的最可信的后果，評價該后果的嚴重性，預估該后果發生的可能性，最終得出該危險源的風險值和所處的風險可接受水平。因此，本文擬從危險源、可能性和后果（嚴重度)三個方面分析安全信息的特征。

1.1 危險源的特征分析

2004年，美國聯邦航空管理局（FAA)下屬的專業科研技術團隊開發了一套“領結圖”技術。事實上，Bow-tie是事故樹和事件樹的結合方法。完整的領結圖可以用圖示說明危險源、頂層事件、風險事件及其潛在的結果，以及為盡量減少風險而建立的風險控制機制[7]。

人因分析與分類系統（HFACS)在里森模型的基礎上定義了隱性差錯和顯性差錯，它是在分析了數以百計的飛行事故報告的基礎上提煉出來的框架。HFACS描述了四個層次的失效，包括不安全行為、不安全行為的前提條件、不安全的監督和組織影響[8]。

Bow-Tie模型能呈現出危險源和后果之間的關系，HFACS能呈現四個危險源層級。兩者構建的安全信息分析模型如圖1所示。

依據安全信息分析模型可知，危險源存在于不同層級，可以分為不安全行為、不安全行為的前提條件、不安全的監督和組織影響。

1.2 可能性特征分析

事故鏈理論指出大事故極少是由一個原因引起的，而是在多個條件同時滿足的情況下由相關因素誘發產生的。事故鏈中間環節的觸發由各種影響因素導致，在事故鏈中間環節逐步觸發的過程中，事故鏈L1的發生概率可以用條件概率公式表示為：

P(x)為發生的概率，Tij為第i條事故鏈的第j個中間環節，j=1，2，3，…mi。

依據事故鏈發生概率的公式，不同層級危險源的可能性計算公式如表1所示。

無論采用專家定性/定量評估，還是通過數據計算方法確定危險源發生的可能性，依據不同層級危險源的可能性計算公式可以得出如下結論：

1)評估/計算危險源可能性的準確度：T4>T3>T2>T1。

2)評估/計算危險源可能性的難易度：T4>T3>T2>T1。

越接近“組織影響”層級的危險源評估計算出的可能性數值越小。

1.3 嚴重度特征分析

依據安全信息分析模型構建了不同層級的導致事件的過程，從圖2中可以看出：

圖1 安全信息分析模型

表1 不同層級危險源的可能性計算公式

圖2 危險源引發后果的關系圖

表2 不同信息來源的危險源所處的層級表

1)越接近“組織影響”層級的危險源越難推測可能引發的后果?！敖M織影響”層級的危險源能引發“不安全的監督”層級的多個危險源，“不安全的監督”層級的危險源將引發“不安全行為的前提條件”層級的多個危險源，并以此類推?！安话踩袨椤睂蛹壍奈ｋU源能導致直接后果（差錯)，“直接后果”層級在一定條件下有可能引發事件。

2)越接近“組織影響”層級的危險源可能引發的后果的數量越多。例如，“公司存在按照經驗工作，不按工卡工作的工作文化”會導致各個層級的后果不一樣，如漏裝、空中油液泄漏、滑梯誤放等。

2 民航不安全信息的特征分析

民航不安全信息來源包括：自查、審核、監察、不安全事件、自愿報告。從收集到的不安全信息中辨識危險源，不同來源的信息具有不同的特征，辨識的危險源也存在于不同層次，見表2。

依據安全信息分析模型，從危險源所處層級、可能性和關聯后果難度三個方面分析了不同來源的民航安全信息的特征。

1)來自監督、自查和自愿報告的信息

a. 危險源處于HFACS的層級：信息描述簡單，主要是“不安全行為”和“不安全行為的前提條件”的問題。

b. 可能性：能準確預測危險源的可能性。

c. 關聯后果的難易度：能推測出直接后果。

2)來自審核的信息

a. 危險源處于HFACS的層級：信息描述復雜，除了“不安全行為”和“不安全行為的前提條件”以外，也能發現“組織影響”和“不安全監督”層面的問題。

b. 可能性：部分信息較難準確預測危險源的可能性。

c. 關聯后果的難易度：部分信息較難推測出直接后果。

3)來自不安全事件的信息

a. 危險源處于HFACS的層級：事件調查能發現從“組織影響”到“不安全行為”再到后果的事件鏈和涉及系統存在的問題，所以四個層級的危險源都會存在。

表3 不同來源的信息處于不同層次的數量

表4 不同信息來源關聯危險源（可能性）和關聯后果（嚴重度）的情況

b. 可能性：能準確預測危險源的可能性。

c. 關聯后果的難易度：能得出直接后果和最終后果。不安全事件關聯的危險源和后果可以作為其他來源的相同不安全信息關聯危險源和后果，評價風險可能性和嚴重度的參考。

3 實例分析

表3、表4所示為某公司半年收集到的不安全信息，共計1268條。實際風險分析是按照每月開展，因此下文分析的數據為半年收集的信息的月平均數，分析的結果與上文一致。

4 結論

本文依據Bow-tie和HFACS建立了不安全信息分析模型：

1)危險源存在于不同層級，可分為不安全行為、不安全行為的前提條件、不安全的監督和組織影響。

2)越接近“組織影響”層級的危險源，計算其可能性的難易度越高，準確度越低。

3)越接近“組織影響”層級的危險源，推測其可能引發的事件后果數量的難易度越高，可能引發的事件后果數量越多。

本文從風險分析的角度分析了不同來源安全信息的特征：

1)來自監督、自查和自愿報告的信息：主要屬于“不安全行為”和“不安全行為的前提條件”，能準確評估危險源的可能性和嚴重度。

2)來自審核的信息：危險源四個層面都存在，較難預測危險源的可能性和嚴重度。

3)來自不安全事件的信息：危險源四個層面都存在，是風險分析的重要參考。

依據本文研究成果，既能指導風險分析模型的改進，也能指導提高信息收集質量。例如，可以從以下兩個方面改進風險分析模型：

1)在嚴重度評價標準中加入違章性后果和行為性后果，如“未使用工卡中規定的工具”能直接推斷后果為“違規使用工具”，但是很難推斷出“飛機損傷”的后果。但這么做將出現危險源與后果重復的情況，本文建議將本單位不可容忍的違規行為或安全底線加入后果清單中。

2)依據以往發生的不安全事件梳理出危險源與后果的清單，作為關聯后果的參考。

[1]王文俊、白福利. 民航安全監管信息研究綜述[J]. 綜合運輸. 2013,3;62-64.

[2]史亞杰、陳艷秋. 航空安全信息管理的問題與對策[J].中國安全生產科學技術，2010， 6(3); 116-120.

[3]中國民用航空局，飛行標準司.關于航空營運人安全管理體系的要求[S]. AC-121/135-fs-2008-26, 2008.

[4]中國民用航空局，飛行標準時.維修單位的安全管理體系[S]. AC-145-15, 2009.

[5]霍志勤、呂人力、史亞杰. 民航運行中的威脅與差錯管理[J]. 中國安全科學學報。2007,17（12)；60-62.

[6]國際民航組織. 安全管理手冊（SMM)Doc 9859 AN/474[S].2013.;2-27.

[7]花迎春，鄒葆華，田玲玲. 航空維修系統危險源識別和風險分析方法[J].中國安全生產科學技術，2013,9(3);104-107.

[8]道格拉斯 A.維格曼, 斯科特A.夏佩爾. 飛行事故人的失誤分析—人的因素分析與分類系統[S]. 2006，44-45.