基于Bow-Tie事故模型的軍機適航條款選取方法*

崔利杰 ，丁 野 ，孫 超 ，任 博

（1.空軍工程大學裝備管理與安全工程學院，西安 710051；2.解放軍95910部隊，甘肅 酒泉 735018）

0 引言

隨著軍用航空器技術復雜程度不斷提升，軍用航空器發生事故的故障模式也愈發復雜，由此導致的軍用航空事故愈發嚴重，影響也越來越大。當前，適航是提升航空器安全水平的重要途徑，軍用適航標準是飛機的最低安全性要求，無論在飛機的設計制造過程中，還是飛機的使用維護階段都需要選取合理、準確的適航條款與要求。軍機適航條款的選取，既要避免過多、過濫導致安全性成本的盲目增大，更要防止不足與缺項而導致出現安全性問題。由于在任務特點、管理方式、目標定位、進度要求等方面與民機存在很大不同，軍機適航條款應根據實際需求開展選取和裁剪。因此，如何理清導致航空事故發生的危險要素以及分析事故發生可能導致的不同后果，進而有針對性地選取相關條款開展設計與預防，是軍用航空器設計和使用人員所關注的重要問題。針對航空事故建模與分析這一現實問題，2004年美國聯邦航空局（FAA）下屬的專業科研技術團隊開發出了一套“領結圖”技術，英文原稱Bow-Tie，并以此作為事故分析的主要機制。此套技術亦被其他負責航空安全管理及高危性產業的安全管理機構所推薦使用［1-3］。

目前，Bow-Tie模型已經在工業界風險分析管理領域得到了廣泛的應用［4-5］。Refaul Ferdous和Faisal Khan等人建立了在不確定條件下的系統安全性和風險分析的Bow-Tie模型，并針對2005年英國石油公司（BP）在美國德克薩斯州的精煉廠爆炸事故的Bow-Tie風險分析模型，給出了預防事故的針對性措施［6］；Celeste Jacinto和 Cristina Silva運用了半量化的Bow-Tie方法針對船舶故障模式構建了風險分析評價模型，也取得了不錯的分析效果［7］；而Nima Khakzad等人結合貝葉斯網絡，建立了針對熱交換器蒸汽點燃事故的Bow-Tie分析模型［8］。在國內，賈朋美和於孝春等人將Bow-Tie技術引入到城鎮燃氣管道的風險管理中，通過定性分析導致燃氣管道泄漏的原因和后果，針對性地提出預防減緩措施［9］。鄭衛東等人統計了美軍航母艦載機的161起飛行事故，采用Bow-Tie模型進行了風險分析，提出了防范措施和對策［10］。上述研究證明了Bow-Tie模型能夠有效解決傳統事故分析模型量化不足、條塊分割和直觀性、針對性不強的問題［11-12］，為事故分析領域提供了新的思路和方法，目前已在事故分析和風險評估中成為了研究熱點。

Bow-Tie模型在工業風險分析中的廣泛應用，證實了這種分析方法具有獨到的優勢。本文將采用這種方法作為分析工具，以航空機輪為例，建立起航空器輪胎爆破事故的Bow-Tie模型，進而針對模型中的具體環節給出預防措施。根據模型中的故障模式以及改進建議，進一步選取與航空機輪相關的適航條款，探究通過Bow-Tie模型的適航條款生成方法。

1 Bow-Tie模型方法簡介

Bow-Tie模型結合了故障樹分析和事件樹分析，第一次把事故的預防以及事故發生后的應急反應統一到一起［13-14］，它以一種可視化的方式，呈現出事故的前因后果。其原理［15-16］如圖1所示。

該模型左邊為故障樹，主要通過故障樹的分析方法從事故出發向前推導，尋找導致事故發生的底事件，作為事故發生的危險源。模型右邊為事件樹，分析該事故可能產生的所有后果。Bow-Tie模型的引入目的是為了進行風險安全評估，一個完整的風險評估過程應當包含以下4個步驟：

1）對于危險源的識別；

2）對于后果的分析；

3）對于可能性的評估；

4）對于風險的評價。

通過建立故障樹實現了對于危險源的識別，通過事件樹實現了對于事件結果的分析，但是還要對風險和結果建立評價，并給出針對性的預防解決措施。因此，完整的Bow-Tie模型還應當包含風險管理措施。在Bow-Tie模型中，應當含有防止頂層風險事件發生的保護性或前瞻性屏障，其在頂層事件的左邊，同時，糾正或體現控制機構，其在頂層事件的右邊。這些機構用于防止頂層事件導致產生不必要的結果或減輕該結果的嚴重影響程度［1］。

2 航空機輪的Bow-Tie事故模型研究

機輪作為航空器起落系統中的重要部件，對于飛機能否安全起降起著至關重要的作用，一旦飛機輪胎發生爆破，將會嚴重影響飛機的安全性水平。通過統計歷史上發生由于機輪產品導致的軍用航空事故，發現導致輪胎爆破是導致飛機發生嚴重事故的主要原因。該事件發生的危險源涵蓋面廣，基本包括了人為、環境以及機械原因中的要素。另外，輪胎爆破所產生的后果也比較復雜，如果控制不當，甚至會導致機毀人亡的嚴重事故。因此，本文主要針對輪胎爆破事故構建航空機輪的Bow-Tie事故模型，研究導致事故的各類風險和事故后果，并提出針對性的風險控制建議。

2.1 危險源分析

要建立起以輪胎爆破為頂事件的故障樹，首先就要確定可能導致頂事件發生的危險源，也就是通過統計確定故障樹的底事件，分析危險源之間的關系，為故障樹的構建提供資料的支撐。

直接造成輪胎爆破的原因有輪胎故障、剎車系統故障以及機輪故障。導致輪胎故障的原因有充氣壓力低、充氣嘴斷裂、機輪磨損和輪胎本身的質量問題等，在這幾個因素中，充氣壓力低主要是由于維護不當導致，輪胎質量問題則是制造廠商的問題，這些都是人為原因導致機械故障的發生；機輪磨損既會直接導致機輪的失效，也會對輪胎造成直接的影響。導致機輪故障的因素中，由于人為的維護不當造成剎車片誤裝，進而造成機輪損壞。剎車盤掉塊則是由于剎車系統的問題而對機輪造成不良影響。在導致剎車系統故障的因素中，沙塵導管內的異物是由于機務人員檢查時疏漏導致，同樣是人為因素導致機械故障的發生。異物的存在同時還會對放氣活門以及慣性傳感器造成不利影響，而放氣活門和慣性傳感器故障也會直接對剎車系統造成影響。由于環境原因導致的輪胎過熱漏氣，如果不及時維護，同樣會造成輪胎爆破。各種因素之間相互作用，層層遞進共同導致事故發生。

通過以上分析，不難看出在導致輪胎爆破的各種危險因素中，包含了人為因素、機械因素以及環境因素。因此，在探討對于危險源的風險控制時，要從人、機、環3個完整的角度入手，從各個環節入手預防危險源狀態的轉移。

表1 輪胎爆破故障樹基本事件

2.2 后果分析

輪胎爆破事件發生后，飛機由于無法掌控方向，很容易出現沖出跑道、飛機側翻以及飛行員由于操作慌亂而導致二次事故的情況。人們針對事故所采取的不同的動作會導致不同后果的發生。根據對歷史上飛機輪胎爆破事件后果的統計，主要有以下幾類不安全后果：

1）由于輪胎爆破碎片造成人員傷亡；

2）輪胎爆破后，由于飛行員操縱失誤，處置不當所導致的飛機失控；

3）由于地面指揮失誤而導致的飛機失控；

4）由于地面準備不充分而導致的二次事故的發生。

通過對以上后果的分析，不難發現，對于輪胎爆破這起事件而言，不安全后果大多數都是由于人為的因素所造成的。因此，控制不安全事件向不好的方向發展，主要的控制措施應當從人員的控制入手。

2.3 Bow-Tie模型的建立

前文中，研究分析了導致飛機輪胎爆破事故發生的危險源以及該事故可能造成的后果。根據積累的資料［17-18］，能夠建立起關于輪胎爆破事故的Bow-Tie模型，如圖2所示。表1列出了故障樹的基本事件。通過Bow-Tie模型的建立，比較清晰地呈現了輪胎爆破的危險源以及不同的后果。下面將對識別出的風險進行分析，給出預防措施。

3 基于Bow-Tie模型適航條款選取方法

3.1 風險控制分析

前文基于輪胎爆破事故建立了Bow-Tie分析模型，確定危險源和研究事故后果，根本目的還是為了對風險進行防范，減少不期望的事故后果出現。因此，在圖2的基礎上，針對危險事件和時間后果，對輪胎爆破事故進行風險控制分析。

從故障樹中不難發現，導致頂事件發生的各級事件之間的邏輯運算都是或門，這就意味著每一個底事件都可能單獨導致頂事件的發生。因此，在進行風險控制時，必須綜合考慮每個危險源可能導致的后果，阻斷危險源向頂事件轉化的路徑。建立基于風險控制的Bow-Tie航空機輪事故模型所圖3所示。

根據前文中建立的輪胎爆破事故分析Bow-Tie模型，針對每一種危險源提供風險預防控制建議，反映到Bow-Tie結構圖上，就是防止危險源向事故發展的控制手段。進一步針對事故可能導致的后果給出預防措施。

3.2 基于Bow-Tie模型的輪胎爆破適航條款選取

通過基于Bow-Tie模型的輪胎爆破風險控制分析，不難看出導致該類事故發生主要是由機輪故障、輪胎失效以及剎車系統所導致。因此，預防輪胎爆破事故的發生，就要從這3個主要因素入手，結合相對應的適航標準［19］，即可有針對性地選取相關條款。其中，關于機輪有如下可選取以下條款要求：

1）每一機輪的最大靜載荷額定值，不得小于如下情況對應的地面靜反作用力。

a）設計最大重量；

b）臨界重心位置。

2）每一機輪的最大限制載荷額定值，必須不小于按本部中適用的地面載荷要求確定的最大徑向限制載荷。

3）過壓爆裂保護。每一機輪必須提供防止機輪和輪胎組件因過度壓力引起機輪失效和輪胎爆裂的措施。

4）剎車機輪。每一剎車機輪必須滿足適用要求。

由于輪轂裂紋、機輪破裂等是進一步導致輪胎爆破的重要危險源之一。生產廠家和維護單位應當貫徹適航要求，對于機輪強度進行試驗和校核。

關于輪胎應選取的條款有：

1）當起落架輪軸上裝有單個機輪和輪胎的組件時，機輪必須配以合適的輪胎，其速度額定值應經批準，且在臨界條件下不會被超過，其載荷額定值應經適航當局批準，且不會被下列載荷超過：

a）主輪輪胎上的載荷，對應于飛機重量（直到最大重量）和重心位置的最臨界組合；

b）前輪輪胎上的載荷，應按照對應的地面反作用力分析。

2）對于最大起飛重量超過34 050 kg的飛機，裝在有剎車的機輪上的輪胎必須用干燥氮氣或表明為惰性的其他氣體充氣，使輪胎內混合氣體的氧體積含量不超過5%，除非能表明輪胎襯墊材料在受熱后不會產生揮發性氣體或采取了防止輪胎溫度達到不安全程度的措施。

對于輪胎正常承受的載荷和輪胎充氣量，均應做出明確的規定，嚴格遵守標準要求，能夠減少不必要事件的發生。

根據CCAR 25.735條，關于剎車有以下要求：

1）每一包含機輪和剎車的組件都必須經批準。

2）剎車系統能力剎車系統及其相關系統必須設計和構造成。

如果任何電氣、氣動、液壓或機械連接元件或傳動元件損壞，或者任何單個液壓源或其他剎車能源失效，能使飛機停下且滑行距離不超過規定的滑行距離的兩倍。

3）過熱爆裂保護。對于每個帶剎車的機輪，必須提供措施防止由于剎車溫度升高導致的機輪失效和輪胎爆裂。并且，所有機輪必須滿足要求。

關于輪胎爆破的適航條款基本覆蓋了對于危險源的識別，并給出了相應的預防方法。因此，通過對適航條款的貫徹，能夠實現對于危險源的控制。

4 結論

作為一種新生的分析理論，Bow-Tie模型能夠直觀清晰地反映出導致飛機發生事故的危險源以及危險后果，形成對特定事故一種“前因后果”式的分析模式。通過對各類危險源的識別，人們能夠針對導致事故的成因和后果采取控制措施，實現了從問題認識到問題解決的完整過程。

通過統計航空機輪引起的輪胎爆破歷史事故資料和Bow-Tie模型分析，本文分析了導致事故發生的人、機、環3個層次的危險因素，并分析了在事故發生后不同行為所導致的危險后果，針對各種風險提出了控制措施，通過對適航規章中相關條款的分析，構建了相應的適航條款體系，實現了適航條款與風險控制措施的對接，形成了較為完整的定性航空事故分析與預防研究機制。在對特定航空事故進行分析時，可以將適航分析與Bow-Tie模型相結合，提出一種航空器適航分析與條款選取的新模式。

參考文獻：

［1］孫殿閣，孫佳，王淼，等.基于Bow-Tie技術的民用機場安全風險分析應用研究［J］.中國安全生產科學技術，2010，6（4）：85-89.

［2］COURONNEAU J C，TRIPATHI A.Implementation of the new approach of risk analysis in france［C］//Proceedings of the 41st International Petroleum Conference，Bratislava，Slovakia，2003.

［3］BELLAMY L J.Exploring the relationship between major hazard，fatal and non-fatal accidents through outcomes and causes［J］.Safety Science，2015，71（2）：93-103.

［4］SAUD Y E，ISRANL K，GODDARD J.Bow-tie diagrams in downstream hazard identification and risk assessment［J］.Process Safety Progress，2014，33（1）：26-35.

［5］MARKOWSKI ADAM S，KOTYNIA A.Bow-tie model in layer of protection analysis［J］.Process Safety and Environment Protection，2011，89（4）：205-213.

［6］FERDOUS R，KHAN F，SADIQ R，et al．Analyzing system safety and risks under uncertainty using a bow-tie diagram：an innovative approach［J］.Process Safety and Environmental Protection，2013，91（8）：1-18.

［7］JACINTO C，SILVA C.A semi-quantitative assessment of occupational risks using boe-tie representation ［J］.Safety Science，2010，48（8）：973-979.

［8］KHAKZAD N，KHAN F，AMYOTTE P.Dynamic safety analysis of process systems by mapping boe-tie into Bayesian network ［J］.Process Safety and Environmental Protection，2013，91（1）：46-53.

［9］賈朋美，於孝春，宋前甫.Bow-tie技術在城鎮燃氣管道風險管理中的應用［J］.工業安全與環保，2014，40（2）：14-17.

［10］鄭衛東，萬輝，張孝強，等.基于Bow-Tie模型的美軍航母艦載航飛行安全風險分析［J］.職業與健康，2014，30（23）：3352-3355.

［11］DELVOSALLE C，FIEVEZ C，PIPART A，et al.ARAMIS project：a comprehensive methodology for the identification of reference accident scenarios in process industries［J］.J.Hazard.Mater，2006，130（3），200-219.

［12］FERDOUS R，KHAN F，SADIQ R，et al.Analyzing system safety and risks under uncertainty using a Bow-tie diagram：an innovative approach［J］.Process Safety and Environmental Protection，2013，91（1）：1-18.

［13］COCKSHOTT J E.Probability bow-ties a transparent risk management tool［J］.Process Safety and Environmental Protection，2005，83（3）：307-316.

［14］FERDOUS R，KHAN F，SADIQ R，et al.Handling and updating uncertain information in bow-tie analysis［J］.Journal of Loss Prevention in the Process industries，2012，20（1）：8-19.

［15］KHAKZAD N，KHAN F，AMYOTTE P.Dynamic risk analysis using bow-tie approach［J］.Reliability Engineering and System Safety，2012，104（4）：36-44

［16］劉茂.事故風險分析理論與方法［M］.北京：北京大學出版社，2011.

［17］TERRYN W C.Accidents and incidents involving military aircraft（2000-present）［M］.Shenzhen：Cypt Publishing，2011.

［18］DAVID R E.Location of commercial aircraft accidents/incidents relative to runways［R］.Washington DC：Federal Aviation Administration，1990.

［19］中國民航總局.CCAR-25-R4.運輸類飛機適航標［S］.北京：中國民航總局，2011.