CN114139939A - 一种基于atheana-stpa混合方法的航空人为因素分析方法 - Google Patents

Abstract

本发明公开了一种基于ATHEANA‑STPA混合方法的航空人为因素分析方法，包括以下步骤：S1、对航空安全事故进行详细审查，得到事故背景；S2、明确航空安全事故的分析目标和研究问题；S3、对可能引发的系统级事故进行分级；S4、对可能导致系统级事故的危险因素展开分析，得到危险因素分析结果；S5、使用STPA方法构建系统控制模型；S6、通过系统控制模型和事故背景识别得到不安全控制行为序列；S7、通过不安全控制行为序列识别得到迫使失误情景；S8、计算得到人因失误的发生概率；S9、制定风险管控措施；然后进行管控优先级排序，最终得到风险管控方案；S10、将危险因素分析结果与风险管控方案相结合，形成人为因素分析报告。

Description

一种基于ATHEANA-STPA混合方法的航空人为因素分析方法

技术领域

本发明涉及航空领域，尤其涉及一种基于ATHEANA-STPA混合方法的航空人为因素分析方法。

背景技术

随着航空技术的发展，航空器的安全性能在不断提升，设备可靠性得到显著改善。但随着空中飞行活动的增加，航空安全事故仍然时有发生，特别是一些重大空难事故给人们造成了极大的社会影响和损失。而通过对事故原因的分析和统计发现，危险致因的比例结构正在发生显著变化。根据美国国家运输安全委员会对十年间发生的144起飞行事故的分析结果表明，其中105起事故直接或间接由人为差错引起，占事故总数的73％，机械故障为第二大致因，环境因素和管理因素所占比例最低。因此，对航空人为因素的分析和预防显得尤为迫切。

当前常用的航空事故分析方法主要有SHEL模型、Reason模型、故障树分析、故障模式与影响分析等。但这些模型均是从线性角度考虑失效部件与影响因素之间的关系，对于系统内各部件之间的影响挖掘不够。随着现代应用系统规模的增大，系统设计也不断复杂化，传统分析很难对系统模块之间的非线性特性和交互行为进行充分分析，安全防范措施有一定局限性。2003年，Nancy Leveson首次提出了系统理论事故建模和过程(Systems-Theoretic Accident Modeling and Processes，STAMP)分析方法，该分析方法旨在捕捉单一组件之外的更多危险因素，包含了“人-机-环-管”各个方面。2004年，Nancy Leveson再次基于STAMP分析方法提出了系统理论过程分析(systems-theoretic process analysis，STPA)方法，并被广泛应用于化工、核能、航空等多个领域的安全事故分析中。丛继平使用STPA方法对空中加油摔鞭现象展开分析，结合仿真平台验证安全措施的有效性。赵长啸提出了STPA-Bayes模型分析机载平视显示系统的安全性。这些模型对安全事故的分析普遍适用，但对人为因素的剖析缺乏针对性，会存在人为因素诱因识别不充分的现象。为充分研究人为因素在安全事故中的运行机理，多种人因可靠性分析(Human Reliability Analysis，HRA)方法被开发和使用，其中人因失误分析技术(A Technique for Human ErrorAnalysis，ATHEANA)是较为有效和新颖的一种。Forester基于专家知识研究了ATHEANA方法中定量分析的方法。Teresa使用ATHEANA方法对核能发电控制中的人为因素进行研究，对定量化分析的方法进行了探讨。在国内，张力首先对ATHEANA方法进行了介绍，并使用该方法对核电站非正常情况下的人为因素引发机制进行了分析。郭隽使用ATHEANA方法对地铁突发事故人员疏散中的不安全控制行为展开研究，使用事故树模型改进了不安全行为的识别方法，并提出了相应的人因管控措施。在航空邻域，苏润娥使用ATHEANA方法对一起航空事故中的人因失误行为进行了剖析，并对失误行为触发概率进行了探讨，但其定量研究过程中仍存在准确数据难以获得的问题。

随着航空系统的日趋复杂化，航空安全事故的分析难度也逐步提升。安全事故中的人为因素往往是系统中多个子部件相互作用形成的结果，安全措施也不能基于某一个部件独自制定。传统ATHEANA方法基于UA和EFC的识别开展人为因素形成机理的分析，但由于缺乏系统化的分析方法，对UA和EFC的识别往往不充分；因此，有必要研究一种更加精确的分析方法来解决上述问题。

发明内容

本发明目的是针对上述问题，提供一种有效实现风险管控的基于ATHEANA-STPA混合方法的航空人为因素分析方法。

为了实现上述目的，本发明的技术方案是：

一种基于ATHEANA-STPA混合方法的航空人为因素分析方法，包括以下步骤：

S1、对航空安全事故发展演变的前因后果进行详细审查，得到事故背景；

S2、明确航空安全事故的分析目标和研究问题，确定分析目标和研究问题的定义范围；

S3、根据事故背景、分析目标、研究问题对定义范围内可能引发的系统级事故进行分级，得到分级结果；

S4、结合事故背景、分析目标、研究问题对可能导致系统级事故的危险因素展开分析，得到危险因素分析结果；

S5、使用STPA方法构建系统控制模型；

S6、通过系统控制模型和事故背景识别得到不安全控制行为序列；

S7、将每一个不安全控制行为序列发生的非正常情景与标准化情景进行比较，同时参考绩效因子对照检查表，识别得到迫使失误情景及其产生原因；

S8、计算得到人因失误的发生概率；

S9、根据不安全控制行为序列、迫使失误情景制定风险管控措施；然后根据人因失误的发生概率对不安全控制行为序列、迫使失误情景的管控优先级进行排序，最终得到风险管控方案；

S10、将危险因素分析结果与风险管控方案相结合，形成人为因素分析报告。

进一步的，所述步骤S1中进行详细审查时，审查内容包括机组成员的工作状态变化、机组间的交流、控制行为序列、工作系统的的状态变化、外界环境的状态变化、与地面各保障部门之间的交流信息。

进一步的，所述步骤S6中将识别得到不安全控制行为序列划分为四类；其分别为：未提供所需的控制行为；提供了错误的控制行为；提供的控制行为时序错乱；提供的控制行为时效性过长或过短。

进一步的，所述步骤S8中计算人因失误的发生概率包括以下步骤：

S81、对第j种人因失误发生的概率进行计算；其计算公式为：

其中，P(EFC_j)为第j种迫使失误情景发生的概率；P(UA_i|EFC_j)为第j种EFC下，第i种不安全控制行为发生的概率；P(UNREC_i)为第i种不安全控制行为不可恢复的概率；

S82、依照上述公式，分别计算出对所有种人因失误发生的概率并进行求和，即得到人因失误的发生概率。

与现有技术相比，本发明具有的优点和积极效果是：

本发明基于ATHEANA-STPA混合方法对事故案例的分析，其具有两个不同于其他分析方法的显著特征：一是以构建系统控制模型的方式挖掘系统各子部件之间的关联性，结合识别的关联性描绘UA背后的EFC，相较传统ATHEANA方法的情景识别能力更为准确；二是对UA形成的原因分析突破了ATHEANA和STPA单一视角的局限性，既能够通过绩效因子的对照检查挖掘人因层面原因，也能够从系统运行的原理层面识别机械、管理与环境的原因；其通过ATHEANA与STPA方法的混合应用，使得改进分析方法的适用性与结论准确性得到提升，且流程简洁，对分析者的知识结构依赖性低，同时其以瓦解EFC的方式制定安全管控措施，进一步拓宽了管控方案制定的灵活性，可应用于更多的安全生产领域中，给航空安全领域作出了一定的贡献。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为ATHEANA方法的分析流程图；

图2为ATHEANA-STPA混合方法的分析流程图；

图3为系统控制模型的控制回路图；

图4为事故航空器控制结构图；

图5为基于UA和EFC构建的事故链示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

1.ATHEANA方法介绍

ATHEANA方法与传统人因分析方法最大的不同在于该方法认为人因失误(HumanFactors Error，HFE)是迫使失误情景(Error Forcing Context，EFC)作用于人而引发的，强调HFE是非正常条件下系统状态、情景环境和人的绩效形成因子共同作用的结果。在HFE致因分析过程中，注重查找EFC的形成环境与不安全控制行为(Unsafe Action，UA)的作用关系，从而制定具有针对性的UA管控措施。

1.1ATHEANA方法的分析流程

ATHEANA方法的分析流程主要分为两个部分，分别为HFE的识别和HFE的量化。在HFE的识别部分主要对分析情景、分析目标和范围进行定义，在定义的分析范围内开展HFE、EFC、UA的识别和关系分析。其中，EFC的识别和分析极为重要，其将系统中的各个部件的工作状态、外界环境和人的绩效形成因子联系到了一起，是开展系统化分析的重要一环。在HFE的量化部分主要基于前期分析的作用关系、先验知识开展HFE发生的概率水平，从而对非正常条件下的系统工作可靠性展开评价。分析流程如图1所示。

1.2ATHEANA方法的分析步骤

ATHEANA方法共可分为9个步骤。

STEP1:定义研究问题

描述所要研究的问题，使研究者对研究的目标有一个清晰的认知。在具体的安全事故案例研究中，往往需要对事情经过、事发时的情景、系统的工作状态及操作人员的状态进行描述，便于后续开展针对性的分析。

STEP2:定义研究范围

为避免问题研究规模持续性扩大，需要对问题的研究内容和边界进行明确。也只有在明确的边界范围内，才能在后续开展有针对性的HFE和UA识别，并描述准确的EFC。

STEP3:描述事故情景和名义情景

开展事故发生时非正常情景的描述和标准情景的描述。情景的描述包括周围环境、系统状态、操作流程、事情进展、人员状态等要素。

STEP4:识别事故中的HFE和UA

通过事故情景和名义情景的对比，系统初始状态、动态变化和标准状态的对比，对操作人员的各个操控环节展开研究，确定各个失效环节是否与人为因素有关，从而识别各个环节中可能存在的HFE和UA。

STEP5:评估班组成员的绩效因子，识别HFE和UA发生的原因

ATHEANA的手册中共给出了16个绩效因子，通过对照检查，查找班组成员在非正常情况下发生HFE和UA的原因。绩效因子如表1所示。

表1绩效因子对照检查表

序号	绩效因子	序号	绩效因子
				PSF-1	培训经历的适用性	PSF-9	人力资源使用管理是否符合标准
PSF-2	管控程序是否符合标准	PSF-10	人机交互的工程学特性
				PSF-3	操作者动作倾向的影响	PSF-11	实施操控行为所需的环境
PSF-4	仪器设备的清晰度和实用性	PSF-12	操控设备的适用性和操作性
				PSF-5	工作强度、工作时长和工作压力	PSF-13	特殊工具需求
PSF-6	操作人员的动力学特性	PSF-14	机组间的交流
				PSF-7	特殊适应性需求	PSF-15	现实事故序列偏离和偏差的考虑
PSF-8	完成操控行为的时间冗余度	PSF-16	处置情况的复杂性，情景的熟悉度

STEP6:识别与基本情景存在的偏差，确定EFC

通过对比事发情景与标准情景，联系班组人员实施的UA和HFE情况，对情景差异展开特性分析，确定EFC。

STEP7:评估恢复的潜在性

在班组人员一些列的操控序列中查找中断非正常情景的可能。可通过构建事故树的方式评估恢复的概率指数。

STEP8:评估HFE/UA概率

根据前期整理的事故序列和恢复潜在性，评估发生HFE和UA发生的可能。但在实际应用中，由于部分情景发生的稀缺性，HFE/UA的发生概率数据往往难以获得，部分文献借助专家知识开展概率评估，但数据的准确性仍有局限性，只能作为概略参考。

STEP9:形成分析报告

形成HFE/UA触发的原因分析报告，对EFC构成原因展开剖析，对识别的安全薄弱环节采取管控措施。

1.3ATHEANA方法的缺陷

ATHEANA方法对UA和危险致因的识别主要基于对EFC的查找，认为是EFC迫使班组人员产生HFE，并引发UA。但ATHEANA方法并没有进一步对通过绩效因子对照检查表识别的EFC展开关联性分析。一个事故的发生往往是多个不安全因素共同作用的结果，通过一些列的不安全行为，使得事故逐渐往负面方向发展，最终酿成灾害性结果。这一系列的UA与EFC共同组成了事故链，节点之间存在严密的因果关联性。若最后的安全预防措施忽视了事故链之间的关联性，则仍有可能留下安全漏洞。另一方面，ATHEANA方法在定量分析部分需要准确的先验概率知识作为支撑，若在先验知识缺乏的情况下定量分析则很难进行。最常用的方法是借助专家知识来弥补先验知识的匮乏，但这样的分析结果会存在一定的概略性。

2.STPA方法介绍

STPA是基于STAMP模型的一种分析方法。STAMP模型将安全问题转化为系统控制过程加以研究，通过对系统控制过程的分析识别系统运行过程中的安全约束缺陷，模型通常由安全约束、分层控制结构和过程模型3部分组成。SPTA方法在STAMP模型的基础上进行了拓展和深化，首先从系统全局角度定义系统级危险和事故，而后构建系统运行控制反馈模型，再识别不安全的控制行为，最后通过不安全的控制行为查找事故的致因因素并制定安全约束和防范措施。STPA方法对系统运行过程中产生的UA的识别及其前后因果关系的追溯具有较好的优势，但其对HFE的分析却并不透彻，容易将其视为事故链中的简单一环，安全防范措施的制定也主要基于识别的UA，缺乏对人为因素形成机理的分析。

3.ATHEANA-STPA航空事故人因分析方法

现代航空安全事故的引发往往是系统中多个部件相互作用的结果，期间掺杂着一系列的UA，而每一个UA都会与多个人为因素发生关联。对人为因素的分析既需要有STPA系统化的分析方法，又要有ATHEANA方法对人为因素的关联和挖掘方法，通过相互弥补，将各个系统部件的薄弱环节进行关联，从而制定更为全面的管控方案。对此，本发明提出ATHEANA-STPA混合人为因素分析方法，分析流程如图2所示。

ATHEANA-STPA混合分析方法共分为9步。

STEP1:事故描述

在事故描述部分，首先需要详细审查航空安全事故发展演变的前因后果，包括机组成员的工作状态变化、机组间的交流、控制行为序列、系统的的工作状态变化、外界环境的状态变化、与地面各保障部门间的交流等。

STEP2:定义分析范围

明确开展此次航空安全事故分析的目标和所要研究的问题，确定所要研究问题的边界，避免研究规模过大。例如在航空人为因素的研究中，只将系统可靠性、系统设计合理性、实时的工作状态等因素作为诱因进行分析，不展开进一步的挖掘和技术分析，但对于各类诱因之间的关联作用则有必要进行探析。

STEP3:定义系统级事故

根据事故背景和所研究的目标问题，对定义范围内可能引发的系统级事故展开分析，通常按照损失的严重程度和附带范围展开分级。

STEP4:系统级危险的确定

结合事故背景和问题目标，对可能导致系统级事故的危险因素展开分析。“危险”可以是一种系统状态，或一组特定的环境条件，这些因素导致事故的发生。通常导致某一类航空事故的系统级危险因素有很多，但在确定的问题边界内可以将系统级危险因素缩减至较小规模。

STEP5:系统控制模型的构建

系统控制模型的构建是为了更好地识别UA和EFC，并能从系统的角度出发将各类系统薄弱点进行关联。系统控制模型的构建遵从STPA方法同样的准则，典型控制回路如图3所示。

STEP6:识别各类情景下的UA

借助构建的控制模型与前期描述的事故演变经过，识别UA序列。并按照STPA方法将UA分为四类：①未提供所需的控制行为；②提供了错误的控制行为；③提供的控制行为时序错乱，过早或过迟；④提供的控制行为时效性过长或过短。

STEP7:挖掘导致人因失效事件的EFC

按照识别的UA序列，将每一个UA发生下的非正常情景与标准化的情景进行比较，参考绩效因子对照检查表，识别EFC及其产生原因。

STEP8:评价UA和EFC的触发概率

在标准化的ATHEANA分析方法中，最后需要对UA和EFC的触发概率进行评估，同时需要考虑EFC恢复的可能，最终对事故的发生概率进行量化的评估。通过概率值的对比，可以对不同UA和EFC下的危害性有一个直接的认知。概率计算公式为：

式中：P(EFC_j)为第j种EFC发生的概率；P(UA_i|EFC_j)为在第j种EFC下，第i种UA发生的概率；P(UNREC_i)为第i种UA不可恢复的概率。

对所有的UA和EFC概率进行求和，便是某一类HFE的发生概率。

STEP9:形成最终结论

依据前期识别的UA和EFC，分别制定可行的风险管控措施，从事故链的不同阶段和系统运行的不同子部件，全面管控HFE的发生概率。根据得出的概率值，可以对UA和EFC的管控优先级进行排序，提升管控效率。通过对危险因素的分析和风险管控方案的整理，最终形成人为因素分析报告。

4.偏出跑道航空事故人因分析应用

根据设计的ATHEANA-STPA混合分析方法步骤，对一起典型航空安全事故进行分析，剖析其人为因素，形成管控方案。事故报告摘录自美国国家运输安全委员会(NationalTransportation Safety Board,NTSB)官方网站。

STEP1:事故描述

2015年3月5日上午09时45分，一架由美国波音公司生产，隶属于Delta航空公司的MD-88客机正准备飞往纽约LaGuardia机场。LaGuardia机场紧邻两个港湾，其中13号跑道离场端紧邻水面。当天纽约刚刚经历了一场大雪，机组在出发前便已收到LaGuardia机场航行公告(Notice To Airman,NOTAM)，预计着陆时刻(10时55分)会有中度的降雪，跑道上会有4～7英寸的积雪。然而机组在接收到的自动终端情报服务(Automatic TerminalInformation Services,ATIS)信息中显示LaGuardia机场的13号跑道信息为湿滑，但已经过除冰处理。机组最终决定实施本次飞行计划，并在飞行过程中时刻关注降落机场的天气情况。10时05分，机组探讨了在中度降雪环境下飞机着陆的可能，并意识到在中度或较差制动作用下跑道滑跑距离不够的问题。于是，机组立即用无线电联系管制部门反映飞机只能在刹车制动作用良好情况下着陆，并询问当前机场跑道的刹车制动作用状况。然而管制部门并没有得到当时跑道制动作用的相关报告，因为LaGuardia机场的后勤保障人员此时正在全力清理跑道积雪。随后管制部门询问机组是否要在导航台上空等待，此时机长表现出了沮丧的情绪，而在后续多次询问签派和管制部门机场跑道制动作用情况中，都因为信息缺失而表现出沮丧情绪。由于对跑道实时信息的缺失，机长的压力感增大。10时45分，纽约终端区管制员告诉机组LaGuardia机场13号跑道的制动效果较差。随后管制部门又告诉机组一架刚刚着陆的空客飞机反映13号跑道制动效果好。在这之后，又有一架飞机反映13号跑道着陆制动效果好。此时ATIS信息仍显示为09时04分的观测信息，显示跑道潮湿且会有积雪，这与刚刚降落的飞行员报告情况相矛盾。事实上，LaGuardia机场的后勤保障人员只是在跑道上进行了一定的清扫，并没有完全消除跑道的湿滑和积雪状况。机组再进行一定的评估后相信了最近着陆的飞行员报告信息，并决定实施着陆。

10时58分，管制员同意了机组的进近请求。在进近过程中，机组询问了管制员跑道风向风速情况，管制部门答复为顺风4节。无论是顺风还是侧风，均小于Delta航空公司的限制标准(顺风为10节，侧风为9节)。机长和副机长均决定继续进近着陆。10时40分，机组人员听到管制部门在无线电中讲到飞机因为跑道清理而等待的事，而此时ATIS信息也显示跑道经过清扫和化学除冰处理，但仍然湿滑并伴有积雪。这使得机组人员误以为飞机出云后能够大致见到跑道道面。而事实上，飞机在出云后机组看到的是完全被一层白色覆盖的跑道。

飞机在机长目视跑道17秒后接地，而从飞机接地到机场保障人员最近一次清理跑道已经过去了27分钟，机场上空降雪仍在持续。机场道面状况与09时03分发布的NOTAM一致。在飞机接地的几秒后，突然遭受了9节风速的左侧风，同时飞行员也开启了反推系统，但推力并不对称(参数显示左反推力要大于右边)，这导致了飞机两侧主起落架摩擦力的不均衡，飞机滑行开始往左侧偏离。在正常情况下，飞机的偏航能够被迅速修正，但该飞机在接地后的6秒内，偏航角由3°扩大至20°。根据Delta航空公司飞行员操作手册的规程，当航空器在未被清理干净的跑道上着陆时，应当适当延迟反推装置的使用，在前起落架完全接地后再打开以便于方向的控制。但事发当日，机长在飞机主起落架接地的同时打开了反推装置，以便于更快地减速，缩短滑跑距离。Delta航空公司建议的推力数值为1.3，但根据飞行数据记录仪的数据显示飞机的左反推力增大速度要显著快于右发，且推力最大值达到了2.07，右发反推力达到了1.91(正常数值在1.3～1.6之间)。在巨大的反推力作用下，飞机方向舵面的气动性能下降，方向控制受阻，而跑道上的积雪又降低了滑轮的摩擦力，最终飞机未能及时修正方向，偏出跑道撞击在堤坝上。事故造成飞机严重受损，机上127名乘客中的29名遭受轻伤，并未造成人员重大伤亡。

STEP2:定义分析范围

显然该起事故是复杂天气环境和多个部门人为因素共同作用的结果，但本发明将机组人为因素的产生机理作为目标问题，将其他部门和子部件作为关联因素展开分析。重点在于识别事故链中的UA和产生UA的EFC，剖析EFC形成的原因和构成EFC的要素。

STEP3:定义系统级事故

由本次事故中偏、冲出跑道事故展开分析，定义该类事故可能形成的系统级事故如表2所示：

表2系统级事故分类

STEP4:系统级危险的确定

事故分析过程中，系统级危险的确定需限定在本次冲出跑道事故的分析边界之内，危险因素主要识别系统运行中的人为因素。从事故描述中提取各个环节可能导致安全事故的危险致因，如表3所示：

表3事故中的系统级危险

序号	系统级危险	可能引发的系统级损失
			D-1	航行情报部门未及时更新公告	ALL
D-2	机组人员决定改航备降	L-1
			D-3	机组人员使用反推系统过早	L-2、L-3、L-4
D-4	机组人员操控反推系统推力过大	L-2、L-3、L-4
			D-5	监控失效	L-2、L-3、L-4
D-6	方向控制失败	L-2、L-3、L-4

STEP5:系统控制模型的构建

从事故描述中可知，机组在巡航和着陆过程中与其发生信息交互的部门主要为管制部门和航行情报部门。机场的天气实况对机组的决策和操控行为的品质均产生一定的影响。机场的地理环境对机组的决策也形成了扰动。此外，在事故航空器进近着陆过程中，其他着陆航空器在无线电中的报告也会影响机组的心理状况和决策。由此构建系统控制模型如图4所示；

图4中航行情报部门发布的信息通过NOTAM、ATIS及管制部门传达给飞行员，飞行员基于航行情报信息和自主的观察作出是否进近的决策。飞行员对航空器姿态的判断主要基于仪表系统显示的参数及对周边环境的观察，通过观测到的信息作出飞机状态是否异常的判断。随后根据觉察到的异常情况作出修正的控制行为。在飞行员着陆滑行过程中，减速控制和方向控制之间会有较强的耦合作用，相互影响操控效果。在本次事故中，飞行员主要是通过刹车系统、反推装置及方向舵控制飞机的航向与速度。

STEP6:识别各类情景下的UA

从事故描述中可知，不安全控制行为主要来自于两个部件，一是航行情报部门未及时发布实时的航行公告，二是飞行员在进近和着陆过程中由一系列错误的决策引发的UA。识别的UA如表4所示：

表4偏出跑道事故中的UA

STEP7:挖掘导致人因失效事件的EFC

根据识别的的UA，逐一对照绩效因子对照检查表，查找引发UA的原因，比对正常情况下的操作程序，识别EFC。关联的绩效因子如表5所示：

表5绩效因子关联识别

将UA和绩效因子进行充分关联后，得出三个EFC，描述如下：

EFC1：LaGuardia机场的航行情报部门未及时更新跑道道面信息的原因主要来自于两方面。一是美国联邦航空局有关航行情报更新频率的制度缺陷，规定中并没有明确的最小更新时间间隔规定。二是事发当日纽约正遭受持续性降雪影响，需要定时进行道面清理维护。纽约终端区管制部门联系机场时，航行情报部门人员正好不在位，导致了航行情报的缺失。两方面因素共同作用下，正好形成了事故航班飞行期间的情报更新空白期。

EFC2：机组若及时进行备降，则可有效降低事故的损失等级。机组作出UA2的原因即来源于其本身希望尽快完成任务的心理倾向，还来源于航行情报的缺失与反复。在航行情报长时间未更新的情况下，其他飞行员的道面报告变得更为可信，机组由此作出道面制动效果良好，可以进近的决定。

EFC3：由于道面实况与前期飞行员的报告存在较大差距，对飞行员心理形成了极大冲击。机场临水而建，且13号跑道端紧邻水面的地理环境给机长造成了巨大压力，加剧了机长使用大推力减速的倾向。道面的积雪降低了摩擦系数，使得航空器的方向控制更为困难，在复杂的环境下，机组对数据的监控能力降低，忽视了左右反推装置推力不一致的状况，采取了错误的方向修正方案。

在上述三类情景之下，极易产生相应的不安全控制行为，可通过对EFC的管控降低UA的发生概率。

STEP8:评价UA和EFC的触发概率

以UA2为例展开触发概率评价方法的应用分析。此时P(EFC₂)主要指复杂天气下航行情报信息更新中断的发生概率；P(UA₂|EFC₂)是指在EFC2之下机组仍然决定继续进近的概率；P(UNREC₂)则是指机组未中断进近，持续实施备降的概率。则可得出该类情景之下人为差错发生的概率为：

P(HFE₂)＝P(EFC₂)×P(UA₂|EFC₂)×P(UNREC₂) (2)

其他场景下的人为差错触发概率评价方法类似。由于先验数据的缺失，本发明不开展进一步量化的评价，但这不影响管控措施的制定与最终结论的形成。

STEP9:形成最终结论

根据识别的UA和EFC，可以形成新的事故链，如图5所示；

结合识别的EFC，制定UA管控措施，对事故链的多个环节进行风险管控，如表6所示：

表6风险管控措施

综上所述，基于ATHEANA-STPA方法对事故案例的分析具有两个不同于其他分析方法的显著特征：一是以构建系统控制模型的方式挖掘系统各子部件之间的关联性，结合识别的关联性描绘UA背后的EFC，相较传统ATHEANA方法的情景识别能力更为准确；二是对UA形成的原因分析突破了ATHEANA和STPA单一视角的局限性，既能够通过绩效因子的对照检查挖掘人因层面原因，也能够从系统运行的原理层面识别机械、管理与环境的原因。通过ATHEANA与STPA方法的混合应用，使得改进分析方法的适用性与结论准确性得到提升，且流程简洁，对分析者的知识结构依赖性低。以瓦解EFC的方式制定安全管控措施也进一步拓宽了管控方案制定的灵活性，可应用于更多的安全生产领域中。

5.结论

(1)通过事故分析的应用，验证了ATHEANA-STPA混合分析方法能够对航空事故中的人为因素展开有效分析，且形成风险管控方案。

(2)STPA方法对风险的管控基于识别的UA，ATHEANA方法则主要基于构建的EFC。通过UA和绩效因子的识别，ATHEANA方法构建的EFC可作为人因差错管控的关键性线索，通过控制EFC的出现概率可实现降低相关人因差错的发生。

(3)ATHEANA-STPA混合人为因素分析方法结合了STPA方法系统化的分析视角和ATHEANA方法人为因素的分析优势，注重前后各因子的关联性挖掘，在数据完备的条件下具备定量分析的能力。

Claims (4)

1.一种基于ATHEANA-STPA混合方法的航空人为因素分析方法，其特征在于：包括以下步骤：

S1、对航空安全事故发展演变的前因后果进行详细审查，得到事故背景；

S2、明确航空安全事故的分析目标和研究问题，确定分析目标和研究问题的定义范围；

S3、根据事故背景、分析目标、研究问题对定义范围内可能引发的系统级事故进行分级，得到分级结果；

S4、结合事故背景、分析目标、研究问题对可能导致系统级事故的危险因素展开分析，得到危险因素分析结果；

S5、使用STPA方法构建系统控制模型；

S6、通过系统控制模型和事故背景识别得到不安全控制行为序列；

S7、将每一个不安全控制行为序列发生的非正常情景与标准化情景进行比较，同时参考绩效因子对照检查表，识别得到迫使失误情景及其产生原因；

S8、计算得到人因失误的发生概率；

S9、根据不安全控制行为序列、迫使失误情景制定风险管控措施；然后根据人因失误的发生概率对不安全控制行为序列、迫使失误情景的管控优先级进行排序，最终得到风险管控方案；

S10、将危险因素分析结果与风险管控方案相结合，形成人为因素分析报告。

2.如权利要求1所述的基于ATHEANA-STPA混合方法的航空人为因素分析方法，其特征在于：所述步骤S1中进行详细审查时，审查内容包括机组成员的工作状态变化、机组间的交流、控制行为序列、工作系统的的状态变化、外界环境的状态变化、与地面各保障部门之间的交流信息。

3.如权利要求2所述的基于ATHEANA-STPA混合方法的航空人为因素分析方法，其特征在于：所述步骤S6中将识别得到不安全控制行为序列划分为四类；其分别为：未提供所需的控制行为；提供了错误的控制行为；提供的控制行为时序错乱；提供的控制行为时效性过长或过短。

4.如权利要求3所述的基于ATHEANA-STPA混合方法的航空人为因素分析方法，其特征在于：所述步骤S8中计算人因失误的发生概率包括以下步骤：

S81、对第j种人因失误发生的概率进行计算；其计算公式为：

其中，P(EFC_j)为第j种迫使失误情景发生的概率；P(UA_i|EFC_j)为第j种EFC下，第i种不安全控制行为发生的概率；P(UNREC_i)为第i种不安全控制行为不可恢复的概率；

S82、依照上述公式，分别计算出对所有种人因失误发生的概率并进行求和，即得到人因失误的发生概率。

Images