2. 中国电子科技集团公司第20研究所 通信事业部, 陕西 西安 710068;
3. 杭州公共交通云科技有限公司 数据中台产品部, 浙江 杭州 310051
自飞行器发明伊始,安全问题就一直是航空发展的重点研究问题。安全性作为一种固有属性,以事故为研究对象,贯穿飞行器整个生命周期,接连不断的飞行事故使系统任务过程安全问题引起更加广泛的关注。恶劣气象会严重影响飞行安全,是飞行事故发生的重要原因之一,机载气象雷达系统(airborne weather radar system)就是针对气象因素而设计的航空电子系统,是保障飞行安全的有力屏障。从安全的角度来看,气象雷达系统不是单一的技术系统,而是具有社会-技术特性的社会-技术系统(social-technical system)。其系统风险通常是单一因素诱发,多因素耦合的结果,单一的技术因素已然不是风险事故的唯一致因。因此,为了保证飞行安全,必须针对新一代航空电子系统,研究符合社会-技术系统特性的安全性分析方法,以达到识别系统深层、潜在危险致因因素的目的。
1997年Rasmussen教授[1]针对核电站核泄漏事件,将风险管理视作控制问题,通过建立控制结构来分析系统中存在的不安全因素。自此,安全性研究成为了研究者关注的热点问题。Swuste在其综述性文章[2]中,统计并介绍了不同的安全性分析方法。传统的安全性分析方法仅关注组件失效、系统级故障对于系统的影响,忽略了组件交互产生的不利影响,如故障树分析(fault tree analysis, FTA)[3]、事件树分析(event tree analysis, ETA)[4],故障模式及影响分析(failure model and effect analysis, FMEA)[5]等。对于社会-技术系统,系统自动化程度越来越高,相应人员获得了更多的控制权和决策权,人与系统更为频繁的交互关系对系统安全造成新的不利影响。
美国马里兰大学Mosleh教授[6]及其团队于2009年根据安全性多学科交叉的特征,整合了多种建模及分析方法,提出SoTeRiA(social-technical risk assessment)系统安全性分析理论模型。该方法从系统风险着手分析,以安全性关键性能参数作为整个模型的联系点,分析传递到组织基础的安全性影响因素,建立了社会系统与技术系统的交互模型,从而实现了分析系统安全性的目的,SoTeRiA模型能够体现由社会系统向技术系统传递的影响因素,但是在体现系统层级控制关系时受到的局限性很大。荷兰代尔夫特理工大学的Blom教授[7]针对空中交通管理安全,提出了基于multi-agent的安全性分析方法(agent-based modelling and simulation, ABMS),该方法基于特征参数量化,通过multi-agent模型模拟空管系统中的元素交互,反映系统“涌现性”特征,并利用蒙特卡罗技术加速实验,仿真未来空域态势,分析系统的安全性表现。基于multi-agent的安全性分析方法能够表征系统的动态特征,但是同样很难建立完整的系统任务过程层级控制关系,因此不能清晰地体现事故发生机制。系统安全不能仅定义为防止组件失效,而应该是针对系统特性,构建持续有效的安全控制结构[8]。美国麻省理工大学的Leveson教授等[9]提出了基于系统论的事故模型及过程(systems-theoretic accident model and process, STAMP)理论方法,该事故致因模型将系统视为一种分层控制结构,将系统安全问题转换为控制问题。与传统分析方法相比(比较结果如表 1所示),该理论方法着重分析系统组件的交互情况、社会组织管理情况以及针对危险情况的安全约束问题,能够完整的体现风险影响从社会组织层向技术系统层的传递机制。STAMP理论方法随后被广泛应用于航空[10]、航天[11]、航海[12]、矿业[13]等诸多安全苛求领域。
特征 | 对比 | |
ARP4761 | STAMP | |
事故致因 | 系统部件故障 | 组件交互/安全约束缺失 |
评估方式 | 定量 | 定性 |
概念 | 安全性等于可靠性 | 安全性是固有属性 |
目标 | 安全评估 | 危险分析 |
分析结果 | 失效概率/严重度 | 功能安全需求/ 系统设计缺陷 |
人为因素 | 不包含 | 包含 |
针对民机气象雷达任务过程安全性问题,本文基于STAMP理论,提出了一种案例激励安全性分析方法。首先构建机载气象雷达系统任务过程的一般分层控制结构,分析系统任务过程存在的潜在危险致因因素以及风险演化机制。然后结合相关适航法规条款约束,构建了任务过程的总体通用控制模型,并以达美航空事故案例激励通用控制模型,识别导致系统风险的潜在深层危险致因因素。最后提出相应的安全约束建议,改善并优化通用控制结构模型,目的是实现完整的,没有控制缺陷的安全控制结构模型,从而提高系统任务过程安全性分析的完整性、客观性,为民机气象雷达系统综合优化与安全性设计提供技术支持。
1 系统任务过程安全性分析方法 1.1 STAMP理论方法基于系统论、控制论的STAMP理论方法将系统安全性视为一种涌现特性,通过对单一组件行为及各个组件间的交互行为施加安全约束,从而抑制事故发生。因此,STAMP理论方法将系统安全问题转换为系统控制问题,在系统整个生命周期的各个阶段,分析潜在的危险致因,进而确保安全约束能够充分控制系统任务过程。
STAMP理论方法包含3个基本要素,分别为安全约束、分层控制结构以及过程模型。安全约束的充分执行是防止事故发生的必要条件。STAMP理论方法通过分层控制结构来描述系统组件间的层级控制关系,同时体现层级控制过程。在系统分层控制结构中,上层控制结构通过控制过程向下层控制结构施加安全约束,而下层控制过程通过反馈回路向上层控制结构反馈安全约束的执行情况,因而完整体现了系统组件间的交互关系。STAMP理论方法描述的过程模型既能指自动化设备,也能指代相关操作人员,其作用是体现控制器对于被控过程的理解和认知程度,包括过程变量(被控对象的系统变量以及与系统危险关联的环境变量)、变量关系、状态变迁方式等。过程模型通过反馈回路更新系统状态,为控制器提供信息,从而辅助控制者制定决策,控制者做出不恰当控制行为决策往往是因为过程模型未能与对应的被控过程匹配,通用的控制过程模型如图 1所示。
系统理论过程分析(system theoretic process analysis, STPA)是基于STAMP理论的危险分析方法,该方法首先定义系统级危险,构建系统分层控制结构,进而建立过程模型,然后辨识诱发系统风险的不安全控制行为,并分析导致不安全控制行为发生的潜在危险致因因素。不安全控制行为的一般分类如下:
1) 控制器未提供所需的控制行为,或提供的控制行为未执行;
2) 控制器提供了错误的控制行为;
3) 控制行为提供过早或过晚;
4) 控制行为过早停止或持续过久。
1.2 案例激励的安全性分析方法 1.2.1 航空安全事故衍变机制分析机载气象雷达系统属于安全苛求系统,适航法规中要求系统的失效率不能超过10-5(每飞行小时)。因此,与机载气象雷达系统任务过程关联的航空事故案例相对较少,安全性分析以事故为研究对象,对于安全性分析而言,事故案例是宝贵的研究资料,其中蕴藏着导致事故发生的潜在危险致因(控制缺失信息)。每一个事故案例都具有独特性,研究其发生机理,分析危险致因因素触发下的安全事故衍变机制,并充分识别案例中存在的潜在、深层危险致因,从而制定相应的系统安全约束建议,完善适航法规安全约束条款,抑制事故事件链的衍变过程,最终实现预防事故的目的。因此,研究安全事故的衍变机制对于预防事故、提高系统任务过程安全性而言至关重要。
航空运输系统具有社会-技术特性,由系统硬件故障导致的航空事故占比很小,更多的原因是由于系统多层级间组件交互过程中存在着控制缺失问题。“事件链”理论指出,事故的发生是多起孤立事件共同作用的结果,其实质是由于多起孤立事件相继发生,从而导致多种系统缺陷集中到了相同的系统任务过程中。阻断事故“事件链”中的任何一个环节,都能够有效抑制事故发生。基于"事件链"理论定性分析航空事故的发生机制,分析过程如下。
单次孤立事件描述为:
(1) |
单次孤立事件中包含了多个相互关联的控制器, 而事故是由于相关联控制器发生属性变化而导致的。控制器描述为
(2) |
式中, Attr(Attribution)指控制器Controlleri的属性集合, CA(ControlAction)指控制器Controlleri所有可能发生的控制行为集合, T(Type)是指控制器Controlleri能够提供的控制类型, 通常包括正确提供控制行为或未正确提供控制行为2种类型, 即为T∈{Provided, NotProvided}, 而Cond(Condition)是指控制器Controlleri提供控制行为CA时所处的环境条件。
那么事件链可以描述为
(3) |
式中, E={Event1, Event2, …, Eventn}, Revent表示事件关系(通常包括同源关系、时序关系、互生关系、因果关系以及混合关系等), 一个事件链中包含了一系列孤立事件, 以及孤立事件之间存在的关联。Context指事件链发生时系统所处的环境条件, 即任务过程处于社会-技术系统环境。
社会-技术控制结构表示为五元组的形式[14]
(4) |
式中, DM(DevelopmentManagement)是系统开发管理子集, 包括了立法管理, 政府法规机构管理, 企业管理, 项目管理等。OM(OperatingManagement)是系统操作管理子集, MM(MaintenanceManagement)是系统维护管理子集, PS(PhysicalSystem)是物理系统集合, F(Flows)是子集元素之间的信息流。
如果事件链导致了航空安全事故, 则称其为航空事故事件链, 表示为
(5) |
式中, H(Hazard)表示风险, H表示所有可能发生的风险集合, H ∈H{H1, H2, …, Hn}, 航空事故事件链定义如下
(6) |
(6) 式表示在社会-技术系统环境下, 存在多起孤立事件, 对于系统任务过程而言, 事故发生的原因是事件中存在多个控制器在特定的环境因素影响下, 未能正确提供控制行为而造成的系统控制缺陷集中问题。因此, 识别事故致因, 消除系统任务过程中失效控制结构, 从而阻断事故衍变事件链, 是防止事故发生的有效途径。基于以上分析, 本文提出了一种案例激励的安全性分析方法, 该方法基于多重事故案例, 能够更全面的辨识系统任务过程中存在的潜在、深层危险致因。
1.2.2 案例激励安全性分析方法在作者之前的论文[15]中, 针对空中危险接近事件, 完成了空中交通避撞系统(traffic collision avoidance system, TCAS)的任务过程安全性分析。研究发现, 针对单次事故案例开展安全性分析, 无法全面识别系统存在的潜在、深层控制缺陷, 难以有效抑制事故发生。因为, 事故致因因素具有复杂性的特点, 会导致事故发生的事件链具有特异性, 系统任务过程安全应当通过逐步迭代的安全性设计方式来确保。本文提出的案例激励安全性分析方法能够充分利用多重事故案例中蕴藏的控制缺失信息, 更全面地识别系统任务过程中存在的潜在危险致因, 指导系统安全性设计。案例激励的安全性分析方法将单次飞行事故案例作为通用整体模型中一个具体而细化的子控制结构, 针对每一次事故案例, 分析系统任务过程中存在的潜在危险致因(控制缺陷), 并对分析出的潜在危险致因提出对应控制约束建议, 通过分析出的安全约束建议修正通用飞行控制结构, 基于多重事故案例激励逐步构建没有控制条件缺失的安全分层控制系统结构。
方法实现步骤如下:
1) 针对系统任务过程构建通用控制结构模型Loop(多重案例激励过程)
2) 基于STAMP理论方法进行事故案例分析
3) 辨识任务过程中存在的不安全控制行为
4) 识别潜在危险致因
5) 提出安全约束建议
6) 识别通用飞行控制结构中存在的控制缺陷
7) 制定适航法规等约束完善通用控制结构
end
8) 得到无控制条件缺失的安全飞行控制结构
案例激励安全性分析方法原理框图如图 2所示。
2 案例分析 2.1 事故危险致因分析本文以遭遇危险气象条件下, 机载气象雷达系统任务过程为研究对象, 构建一般分层控制结构以及通用分析模型, 该场景下系统存在的危险因素(hazards)如下:
H-1:飞机驶入异常气候区域
H-2:飞机气象探测显示信息冗杂难辨
H-3:气象探测系统进入失控状态
H-4:气象探测系统与其他系统交互发生错误
H-5:气象探测系统目标获取失效
机载气象雷达系统任务过程属于安全苛求过程, 其一般社会-技术安全分层控制结构如图 3所示。图 3中的2个阶梯控制结构间存在交互关系, 分别用于系统开发过程及系统操作过程。作为顶层控制的国际民航组织, 一方面通过建立国家航空法、CAAC(Civil Aviation Administration of China)规章等相关法规对国家民航总局进行约束, 实现安全性控制; 另一方面接收由下层机构提供的反馈意见(如事故反馈报告和变更报告等), 从而确保控制过程的成功运行。民航总局作为政府监管机构, 责任是促成相关法制、法规的有效执行, 并将执行情况以报告形式反馈给上层控制机构。操作管理层的目的是将上层制定的法规转换为具体的执行标准, 指导行为规范。系统安全工程师针对机载气象雷达的任务过程进行安全维护及评估工作, 并以评估报告为基础, 根据危险分析的结果, 修改并完善系统设计资料。
针对进近阶段机载气象雷达系统的任务过程, 辨别与任务过程有关的控制器与控制环节, 并构建任务过程控制结构。机载气象雷达系统任务总体控制结构如图 4所示, 与任务执行有关的控制器主要集中在地面支持部分、综合模块化航空电子系统(integrated modular avionic, IMA)、飞行机组3个模块之中。其中地面支持模块包括民航气象服务中心、机场气象台、空管中心, 3个机构共同对机载气象雷达系统任务执行过程提供气象建议。气象建议数据通过机载通信模块传递至相应的机组人员, 机组人员基于气象建议操纵飞机执行相应指令, 随后向地面支持系统反馈前方空域气象信息以及当前的飞行信息。在IMA模块中, 相应的感知设备(如大气数据计算机、无线电高度表、惯性系统等)收集必要的飞机外部环境信息, 同时将整理后的信息提供给机载气象雷达系统, 以支持其任务执行。机组成员通过飞行控制系统向机载气象雷达系统发送指令, 并通过显示系统获取前方区域气象信息以及危险气象告警信息。
机载气象雷达系统任务过程模型由控制器(飞行机组)、执行器(机载气象雷达系统)、被控过程(机载气象雷达系统任务执行过程)、传感器(相应感知组件)组成。机组成员接收来自空中交通管制部门(air traffic center, ATC)发布的指令, ATC提供的气象数据, 以及与其他飞行器的通信信息等。机组人员向ATC提供飞机当前的飞行状态信息、通信信息以及相应的气象需求, 作为控制器的输出内容。过程模型中, 机组成员作为控制器的安全需求体现为:与其他飞行器通信; 控制机载气象雷达扫掠; 确认前方气象情况; 根据风险条件调整飞行姿态; 以及与ATC建立联系并执行ATC发布的相应指令等。该过程模型中主要包括4个组件, 分别为:收发机、天线、显示系统以及电源。机载气象雷达系统作为过程模型中的执行器, 其任务主要包括2个方面:对前方目标区域进行气象探测, 以及提供危险气象判定提示。具体的机载气象雷达任务过程模型如图 5所示。
飞行机组作为控制器向机载气象雷达系统发送操作指令, 在系统状态变迁过程中, 可能存在的不安全控制行为包括4种:未提供执行指令; 执行过程不符合标准; 前向气象探测时间过长; 以及ATC明确给出拒绝指令时机组依然执行任务过程。在执行器与控制过程交互时, 可能存在的不安全控制行为包括:未提供正确指令, 或探测行为存在延迟等。该过程模型对应的控制过程为:控制雷达扫掠, 并探测前方区域气象条件。此外, 由于飞行管理系统故障导致的控制行为冲突, 以及过程输入丢失/错误同样会影响控制过程。控制过程输出的风险为:导致系统危险的过程输出, 以及传感器提供错误数据或未提供数据等。在传感器部分与控制器部分的交互过程中, 可能存在的不安全控制行为包括:未提供探测到的气象信息; 气象信息不完整; 探测延迟; 探测信息不准确等。
针对机载气象雷达系统任务过程模型, 识别系统任务过程中存在的不安全控制行为(unsafe control actions, UCAS), 进而辨识导致事故发生的潜在危险致因, 通过对危险致因因素施加安全约束来消除、减少、控制其对系统设计、开发、制造、操作等多个环节造成的不利影响。机载气象雷达系统任务过程中, 与不安全控制行为关联的危险致因因素如表 2所示。
UCAS-H1:飞机驶入异常气候区域 | ||||
控制器 | 未提供控制行为 导致风险 | 提供控制行为 导致风险 | 控制行为 过早、过晚、无序 | 控制行为 结束过早或持续时间过长 |
机组 | 未向机载气象雷达系 统发出探测指令 | 气象探测行为进行的 过早、过晚、无序 | 未有效探测目标, 但结束探测行为 | |
收发系统 | 收发机未正常 收发雷达信号 | |||
显示系统 | 未显示前方 气象信息 | 提供了不必要的气象信息, 影响飞行员判断 | 气象信息显示的 过早、过晚、无序 | 气象显示结束过快, 机组人员未获取必要信息 |
天线 | 天线扫掠未执行 | 扫掠动作结束过快 | ||
电源 | 未提供电源 | 供电中断 | ||
UCAS-H2:飞机气象探测显示信息冗杂难辨 | ||||
显示器 | 未显示前方 气象信息 | 提供了不必要的气象 信息, 影响飞行员判断 | 气象信息显示的 过早, 过晚, 无序 | 气象显示结束过快, 机组人员未获取必要信息 |
UCAS-H3:气象探测系统进入失控状态 | ||||
收发机 | 收发机未正常 收发雷达信号 | |||
显示系统 | 未显示前方 气象信息 | 提供了不必要的气象信息, 影响飞行员判断 | 气象信息显示的 过早, 过晚, 无序 | 气象显示结束过快, 机组人员未获取必要信息 |
天线 | 天线扫掠未执行 | 扫掠动作结束过快 | ||
电源 | 未提供电源 | 供电中断 | ||
UCAS-H4:气象探测系统与其他系统交互发生错误 | ||||
FMC | 向机载气象雷达系统提 供冲突的控制行为 | |||
显示系统 | 未显示气象信息 | 提供了不必要的气象信息, 影响飞行员判断 | 气象信息显示的 过早, 过晚, 无序 | 气象显示结束过快, 机组人员未获取必要信息 |
UCAS-H5:气象探测系统目标获取失败 | ||||
机组 | 未向机载气象雷达系 统发出探测指令 | 气象探测进行的 过早, 过晚, 无序 | 未有效探测目标, 但结束探测行为 | |
收发机 | 收发机未正常 收发雷达信号 | |||
天线 | 天线扫掠未执行 | 扫掠动作结束过快 | ||
电源 | 未提供电源 | 供电中断 |
结合适航法规条款, 构建机载气象雷达系统任务过程通用飞行控制结构模型, 如图 6所示。
图 6中, 箭头表示不同控制层级间的安全约束关系。上/下层级间的控制关系以及反馈关系共同遵循相应的法规约束(由于对应的法规约束条款过多, 图中无法完全显示, 因此图 6中用数字标注了部分法规, 并在图 6的右下方处列出了法规名称)。由于上/下层级间的法规约束内容基本一致, 本文对适航法规进行了成对整理。如果任务过程的层级控制结构能够符合适航法规条款约束, 那么就表示当前系统任务执行过程是安全的。通过本文提出的案例激励安全性分析方法, 分析多重飞行安全事故案例, 改进并完善控制结构模型, 进一步提高系统任务过程安全性。
2.2 达美航空飞行事故案例危险致因分析1985年8月2日, 达美航空L-1011客机于雷暴天气下着陆, 坠毁并与机场车辆发生撞击, 事故发生于达拉斯/福特沃斯国际机场(DFW), 造成飞行机组、5名空乘人员、128名乘客以及汽车司机死亡。机组人员在观察到闪电的情况下依然制定了穿越雷暴区域的决策, 期间与塔台多次通信, 穿越过程遭遇猛烈风切变及微下冲气流的强烈影响, 最终造成事故。
与达美航空事故有关的控制器包括:机组成员、进近管制员、福特沃斯预报室、达美航空气象及签派人员、塔台管制以及中央气象情报站。针对与事故相关的控制器失效原因分析如下:
机组人员应执行的标准操作为:在观察航路气象条件后, 向雷达管制部门或塔台发送飞行员报告。然而, 在达美航空事故案例中, 机组成员未及时向塔台或雷达管制部门提供气象报告, 影响了预报室人员以及进近管制员的决策结果。机组人员低估了雷暴活跃能力, 制定了穿越雷暴区域的错误决策, 进而导致飞机遭遇风切变以及微下冲气流的强烈影响, 是诱发事故的直观原因。
进近管制机构负责指引飞机进近任务, 然而在达美航空事故案例中, 进近管制员未能在多个信息源之间维持良好通信的关系。尤其是在已然察觉进近线路可能存在危险气象的情况下。管制员在发现机组人员未发送飞行员报告时, 未及时联系机组人员, 同时, 负责当次进近任务的管制员在执行引导任务的通信过程中, 未使用规范化的航空术语, 在一定程度上影响了机组成员决策过程。
福特沃斯预报室的相关预报人员在未收到飞行员报告的情况下, 忽略了雷达系统显示的回波单体(认定其危害程度轻), 并单方面决定不发布气象警告。因此, 预报人员的风险感知能力缺失, 是对情报错误判断的原因之一。
达美航空气象人员和签派人员, 在本次达美航空事故案例中, 由于通信原因未能与斯蒂芬维尔雷达站建立联系, 因此未向191号航班提供其所需的气象信息。
塔台管制员本应观测气象信息, 接收飞行员报告并向进近管制机构提供航空情报。但在本次事故中, 塔台管制员对于未及时收到机组成员提供的飞行员报告事件没有做出任何响应, 同时根据与机组成员的通信内容, 主观地判定机组成员已然知晓航路上存在危险气象情况。
中央气象情报站的职责是观测航路上存在的异常情况, 并及时向相应机构发出告警信息。在达美航空飞行事故案例中, 由于中央气象情报站人员用餐恰好与191号航班进近任务阶段发生时间重叠, 致使中央气象情报站当时在岗的气象专家人数不足, 影响了气象专员对于危险气象的理解程度, 进而影响其发出告警信号过程。另一方面, 气象台与塔台间存在的通信延迟问题, 同样是影响飞行安全的一个重要因素。
本文提出的案例激励安全性分析方法, 主要实现的目的包括2种:①基于多重航空事故案例, 构建出没有控制缺陷的安全控制结构; ②根据案例激励安全性分析方法更全面地识别出系统任务过程中存在的潜在危险致因因素, 辨识适航法规中存在的安全约束缺陷, 从而完善适航法规安全体系。对于航空系统而言, 想要将安全性设计固化在系统的设计阶段, 最好的途径就是通过制定相应的适航安全法规约束。
达美航空飞行事故中, 机载气象雷达系统任务正常执行过程的有效控制结构及该次事故下的失效控制结构如图 7所示, 图 7中的虚线连接部分表示该次事故中的控制失效环节。
系统任务过程中存在的不安全控制行为是导致控制过程失效的重要原因, 对于达美航空飞行事故, 机载气象雷达系统任务过程存在的不安全控制行为如表 3所示。
编号 | 控制行为 | 描述 | 失效原因 |
UCAS1 | 气象信息 或警告 | 福特沃斯预报室发向 塔台管制员 | 未发送 |
UCAS2 | 警告信息 | 中央气象情报站发向 进近管制员 | 未发送 |
UCAS3 | 飞行员报告 | 机组发向塔台管制员 | 未发送 |
UCAS4 | 气象信息 | 达美航空公司气象 和签派人员发向机组 | 未发送 |
UCAS5 | 最新气象 信息 | 史蒂芬雷达站发向达 美航空气象和签派人员 | 未发送 |
UCAS6 | 气象情报 和进近路径 | 进近管制员发向机组 | 发送错误 |
UCAS7 | 飞行员报告 | 机组发向进进管制员 | 未发送 |
UCAS8 | 气象信息 或警告 | 福特沃斯预报室发向 进近管制员 | 未发送 |
UCAS9 | 警告信息 | 中央气象情报站发向 塔台管制员 | 未发送 |
UCAS10 | 飞行员报告 | 进近管制员发向 福特沃斯预报室 | 未发送 |
UCAS11 | 目视信息 | 塔台管制员发向机组 | 未发送 |
达美航空飞行事故案例中控制组件失效原因总结分析如表 4所示。
控制组件 | 失效原因 |
进近管制员 | 认定机组已经意识到气象问题 |
塔台管制员 | 认定机组已知气象问题 |
福特沃斯预报室 | 轻视雷达回波显示的问题 |
中央气象情报站 | 气象专家未在岗, 通信能力缺失 |
机组成员 | 错误判定雷暴活跃能力 |
达美航空气象/签派人员 | 轻视事件严峻性 |
根据危险致因生成相应的安全约束, 以具体的约束条件指导系统任务安全控制过程, 同时辨识适航法规中存在的安全约束缺失, 改进通用安全飞行控制结构模型, 指导系统安全性设计。在图 6描述的通用安全飞行控制结构模型中, 需要施加安全约束的具体位置为3, 5, 17, 18, 19, 20, 21, 22, 23, 25(图 6中以带下划线标注的数字表示通用安全飞行控制结构模型中需要施加安全约束的位置)。具体的约束改进建议如下:
1) 加装风切变探测系统
由本次事故的控制结构可见, 达美航空公司191号航班并未装载风切变探测系统, 机组成员对于外部环境的感知能力仅依赖于管制机构及机组成员的目视能力。单一的气象感知途径与基于人工逻辑的危险判断方式都会对飞行安全造成影响。因此, 加装机载风切变探测系统。是提高系统冗余度, 保证任务安全性的有效途径。
自1985年达美航空事故发生后, 美国、欧洲已经在适航规章中增加了相应的条款约束, 在其中已经对‘将加装风切变探测系统’进行规定。因此, 无需对适航法规补充此条约束内容。
2) 拉近气象探测台的距离
对应图 6中23号标记表示的控制层级处。机场附近的气象探测站间隔较远, 导致临近探测站间有一定范围的探测盲区存在, 因此未能及时探测到空域存在的风切变气象。相应的安全约束建议为:增设气象探测台并进行合理布局, 消除气象台间的探测盲区。
现有的适航法规中除CCAR-116-R1部民用航空气象探测环境管理办法第十一条中规定“障碍物对气象雷达的遮蔽仰角”外, 缺少关于气象台间距标准的相关约束条款, 应适当增设此类约束条款。
3) 合理规划气象预报人员在岗时间
对应图 6中5号标记表示的控制层级处, 中央气象情报站在有飞机执行进近任务时, 未及时向执行进近任务的机组人员提供气象警告信息。相应的安全约束建议为:增派气象专员, 合理安排分工时间, 确保在有飞机执行进近任务时, 气象情报站能够及时并准确的提供气象信息, 辅助飞行机组人员正确决策。
需要完善适航法规CCAR-116-R1、CCAR-175T M-R1以及CCAR-117-R2部中对应的条款内容。
4) 改进通信设备, 确保空管机构与机组人员能及时获取气象信息
对应图 6中21, 22号标记表示的控制层级处。达美航空事故中, 气象站与塔台间存在严重的通信延迟问题, 加强气象站与管制员之间的通信能力, 是确保飞机安全执行进近任务的有效途径。
需要更新适航法规CCAR-117-R2部中关于气象站与塔台间通信能力的相应条款约束, 使气象信息能够及时的送达空管和机组人员。分析结果与美国下一代航空运输系统(next generation air transportation system, nextGen)新一代网络化气象系统(nextGen network enabled weather, NNEW)[16]提出的改进措施一致。
5) 加派进近管制员负责飞机进近引导任务, 确保空管机构的内部监察能力
对应图 6中的19, 20号标记表示的控制层级处。达美航空事故中, 管制员在与飞行机组进行通信时, 未严格执行标准的航空术语规范, 机组成员也未对此异常现象提出异议。相应的安全约束建议为:加派通信管制专员, 在通信过程中甄别错误信息, 避免管制人员发送、接收不恰当的气象信息。
需要完善适航法规CCAR-91-R2、CCAR-93T M-R2以及CCAR-117-R2部中对应的条款内容。
6) 通过培训提高相关人员的危险感知能力
对应图 6的3, 17, 18, 25号标记表示的控制层级处。达美航空事故中, 机组成员在未获取明确气象信息的条件下, 操控飞机驶入雷暴气象区域, 而地面支持人员未能及时向机组成员提供气象支持, 机组人员以及地面支持人员表现出的危险感知能力严重不足。相应的安全约束建议为:增加有效的培训过程, 提高机组、空管预报等人员的危险感知能力。
需要完善适航法规CCAR-83、CCAR-93TM-R2、CCAR-117-R2、CCAR-91-R2部以及中华人民共和国飞行基本规则中对应的条款内容。
具体的安全约束建议如表 5所示。
约束 | 约束改进建议 | 对应法规 |
23, 24 | 拉近气象探测台间距 | CCAR-116-R1 |
5, 6 | 合理规划气象预报 人员在岗时间 | CCAR-116-R1 CCAR-175TM-R1 CCAR-117-R2 |
21, 22 | 改进通信设备, 使气象 信息能够及时的送达 空管人员与机组人员 | CCAR-117-R2 |
19, 20 | 避免发送错误气象信息 | CCAR-91-R2 CCAR-93TM-R2 CCAR-117-R2 |
3, 4 | 组织培训, 提高工作人 员危险感知能力 | CCAR-83 CCAR-93TM-R2 CCAR-117-R2 |
17, 18 | 组织培训, 提高工作人 员危险感知能力 | CCAR-93TM-R2 CCAR-117-R2 中华人民共和国 飞行基本规则 |
25, 26 | 组织培训, 提高工作人 员危险感知能力 | CCAR-91-R2 中华人民共和国 飞行基本规则 |
本文提出的案例激励安全性分析方法具有以下优点:
1) 基于多重事故案例激励, 能够更全面地挖掘系统任务过程中存在的潜在、深层控制缺陷, 确保系统任务过程安全;
2) 将系统安全问题转换为控制问题, 结合多重事故案例逐步构建无控制缺失的安全飞行控制结构模型, 指导系统安全性设计, 该模型能够整合多重事故案例分析得到的安全约束建议, 使安全性设计始终处于动态迭代的状态下, 提高系统任务过程安全性;
3) 能够辨识现行适航法规中存在的安全约束缺陷, 有助于进一步完善适航安全体系。
本文提出的安全性分析方法能够为机载气象雷达系统的安全性优化设计提供理论依据以及技术支持。首先, 结合事件链理论剖析了航空事故发生机制以及抑制事故发生的必要途径。其次, 提出了案例激励安全性分析方法, 基于STAMP理论方法, 针对民机气象雷达系统任务过程, 构建了系统分层控制结构模型, 识别系统任务过程中存在的不安全控制行为以及危险致因。第三, 结合适航法规构建了通用安全飞行控制结构模型, 以达美航空事故案例为例, 挖掘系统存在的潜在、深层危险致因, 并提出相应的安全约束建议改进通用安全飞行控制结构模型中存在的控制缺陷, 指导系统任务过程安全性设计。第四, 根据多重事故案例分析得到的危险致因, 辨识出了现行适航法规中存在的安全约束缺陷, 为进一步完善适航安全体系提供安全性约束建议。今后将围绕如何辨识任务过程中存在的更深层次事故致因, 以及安全性分析的自动化实现方法开展进一步的研究工作。
[1] | RASMUSSEN J. Risk Management in a Dynamic Society:A Modelling Problem[J]. Safety Science, 1997, 27(2/3): 183-213. |
[2] | SWUSTE P, GULIJK C V. Developments in the Safety Science Domain, in the Field of General and Safety Management between 1970 and 1979, the Year of the Near Disaster on Three Mile Island, a Literature Review[J]. Safety Science, 2016, 86: 10-26. DOI:10.1016/j.ssci.2016.01.022 |
[3] | SHLAPATSKYI V O, KAMAK Y O, ANDRIYENKO O V, et al. A Fault Tree of Unmanned Aircraft Systems for Military Applications[C]//IEEE 4th International Conference Actual Problems of Unmanned Aerial Vehicles Developments, Ukraine, Kiev, 2017: 104-107 |
[4] | MUZIK V, VOSTRACKY Z. Possibilities of Event Tree Analysis Method for Emergency States in Power Grid[C]//IEEE 19th International Scientific Conference on Electric Power Engineering, Brno, Czech Republic, 2018: 1-5 |
[5] | YAZDI M, DANESHVAR S, SETAREH H. An Extension to Fuzzy Developed Failure Model and Effects Analysis(FDFMEA) Application for Aircraft Landing System[J]. Safety Science, 2017, 98: 113-123. DOI:10.1016/j.ssci.2017.06.009 |
[6] | MOHAGHEGH Z. Combing System Dynamic and Bayesian Belief Networks for Socio-Technical Risk Analysis[C]//IEEE International Conference on Intelligence & Security Informatics Vancouver, BC, Canada, 2010: 196-201 |
[7] | BLOM H A P, BAKKER G J. Safety Evaluation of Advanced Self-Separation under very High Enroute Traffic Demand[J]. Journal of Aerospace Information Systems, 2015, 12(6): 413-427. DOI:10.2514/1.I010243 |
[8] | LEVESON N G. Rasmussen's legacy:a Paradigm Change in Engineering for Safety[J]. Applied Ergonomics, 2017, 59(8): 581-591. |
[9] | FLEMING C H, LEVENSON N G. Improving Hazard Analysis and Certification of Integrated Modular Avionics[J]. Journal of Aerospace Information Systems, 2014, 11(6): 397-411. DOI:10.2514/1.I010164 |
[10] | ALLISION C K, REVELL K M, SEARS R, et al. Systems Theoretic Accident Model and Process(STAMP) Safety Modelling Applied to an Aircraft Rapid Decompression Event[J]. Safety Science, 2017, 98: 159-166. DOI:10.1016/j.ssci.2017.06.011 |
[11] | ISHIMATSU T, LEVESON N G, THOMAS J P, et al. Hazard Analysis of Complex Spacecraft Using Systems-Theoretic Process Analysis[J]. Journal of Spacecraft and Rockets, 2014, 51(2): 509-522. DOI:10.2514/1.A32449 |
[12] | ROKSETH B, UTNE I B, VINNEM J E. Deriving Verification Objectives and Scenarios for Maritime Systems Using the System-Theoretic Process Analysis[J]. Reliability Engineering & System Safety, 2018, 169: 18-31. |
[13] | DVZGVN H S, LEVESON N. Analysis of Soma Mine Disaster Using Causal Analysis Based on Systems Theory(CAST)[J]. Safety Science, 2018, 110(A): 37-57. |
[14] | WANG Rui, ZHENG Wei, LIANG Ci, et al. An integrated Hazard Identification Method Based on the Hierarchical Colored Petri Net[J]. Safety Science, 2016, 88: 166-179. DOI:10.1016/j.ssci.2016.05.006 |
[15] | NIU Haotian, MA Cunbao, WANG Chen, et al. Hazard Analysis of Traffic Collision Avoidance System Based on STAMP Model[C]//International Conference on Progress in Informatics and Computing, Suzhou, 2018: 445-450 |
[16] | ROGER W S, RUSSELL J B, JOHN L, et al. Weather in the Cockpit: Priorities, Source, Delivery, and Needs in the Next Generation Air Transportation System[R]. Office of Aerospace Medicine, Federal Aviation Administration, DOT/FAA/AM-12/7 |
2. Communication Division, 20thInstitute, China Electronics Technology Group Corporation, Xi'an 710068, China;
3. Data Center, DT Intelligence Public Transport, Hangzhou 310051, China