基于复杂系统模型的跑道侵入安全风险分析

2021-01-21宋广宏

中国民航大学学报 2020年6期

宋广宏

（中国民用航空华北地区空中交通管理局天津分局，天津 300300）

随着中国民航运输总量迅速增长，跑道不安全事件发生概率呈逐年上升趋势[1]。研究[2]表明，空中交通流量每增加20%，发生跑道侵入的风险增加约140%。同时，跑道安全事故在民用航空事故中也占有很大比例，造成了较为严重的事故[3]。

根据国际民航组织（ICAO）规定，跑道侵入是指在机场发生的任何航空器、车辆或人员误入指定用于航空器着陆和起飞的地面保护区情况。Stoeve 等[4]采用事件树与多agent 动态风险模型评估了跑道侵入场景的安全风险。Wilke 等[5]提出跑道侵入致因因素与跑道侵入严重度之间的关系。Zhang 等[6]对15 种引起跑道侵入的危险源进行了验证，通过层次分析法确定了危险源权重，采用故障树法评估了危险源的风险频率。霍志勤等[7]融合案例和规则推理，构建跑道侵入危险致因智能推理模型，提高了跑道侵入事件调查的效率与准确性。以上常用分析方法主要包括故障树分析法、事故树分析法、失效模式及影响分析法等。这些方法在研究跑道侵入事故成因及改进措施方面发挥了重大作用，但由于这些方法本质都是基于简单线性关系假设，在面对复杂的管制运行规则和程序时，此类方法在应对跑道侵入安全分析中的作用逐渐减弱。

面向复杂系统的安全分析方法，即系统理论事故模型和流程（STAMP,system theoretic accident model and processes）方法，在分析复杂系统的安全风险中具有较好的作用，已在石油采集和运输、航空器设计及制造等领域取得了较好的应用效果。因此，引入该方法全面分析跑道侵入风险，把管制员和机组行为、管制指挥逻辑、运行设备可靠性、监控与反馈的有效性等多方面因素，统筹纳入风险分析与识别中[8-11]。

1 跑道侵入事故场景构建

跑道使用过程中的关键实体和环节包括3 个方面[12]：①运行设备，包括航空器、机场内的车辆、通信设备及相关保障设备；②相关人员，包括管制员、飞行员、车辆驾驶人员及机场相关保障人员；③运行环境，包括与跑道运行相关的各项规章和程序。为分析各实体和环节在跑道运行中的关联性，以航空器在机场中各项场面活动的运行剖面为基础，分析跑道运行时可能产生的跑道侵入事故场景，并以此为系统级风险，依据STAMP 理论展开跑道侵入风险分析。

1.1 航空器起降过程中的跑道侵入场景

航空器在起飞时，需经管制员允许后才可进入跑道，并在飞行员收到起飞许可后1 min 内完成起飞。在航空器起飞过程中，当出现航空器、车辆或人员未经管制员授权进入该跑道，或经管制员授权进入后但未及时脱离跑道的情况时，均会造成航空器起飞过程中的跑道侵入。

航空器在着陆时，当飞行员收到管制员发布的着陆许可后，执行相关操作，在跑道着陆、滑行并脱离跑道。在航空器收到着陆许可后，当出现航空器、车辆或人员未经管制员授权进入该跑道，或经管制员授权进入后但未及时脱离跑道的情况时，均会造成航空器着陆过程中的跑道侵入。

航空器在场面活动过程中也存在跑道侵入情形，主要包括穿越跑道和进入跑道两类。当航空器需要穿越跑道完成场面活动任务时，与使用该跑道着陆或起飞的航空器发生冲突时，造成跑道侵入。当机场内的车辆需要执行场务任务时，场面活动过程中也会涉及地面保护区[13]，可能会造成跑道侵入。

1.2 不同运行模式下的跑道侵入场景

跑道数量、构型和运行模式会随空中交通流量而变化，不同运行模式下跑道侵入场景也有所差异。

单跑道运行模式时，跑道侵入场景主要有两类：①机场内车辆完成相关任务时，未经许可穿越跑道，造成正在使用的跑道被占用；②航空器未经许可提前进入跑道，造成正在使用的跑道被占用。

当处在平行跑道[14]运行模式时，除单跑道运行模式中存在的两类跑道侵入场景外，由于存在多条跑道，且滑行道布局或航站楼位置的差异，可能存在航空器需要穿越跑道才能到达指定停机位的情况，这种情形极大地增加了跑道侵入的概率。

2 系统理论事故模型和流程分析方法

奥地利学者路德维罗提出基于系统论的事故模型，其中系统是由若干相互联系的基本要素构成，且具有确定特性和功能的有机整体。基于系统论的事故模型有两个基本原则：①系统存在整体性，组成系统的各要素与系统是不可分割的，系统的整体功能不等同于各组成部分的功能之和，系统整体具备不同于各组成部分的新功能；②系统存在层次等级性，低一级层次是高一级层次的基础，且系统本身也是另一系统的组成要素，不同层次系统间存在相互制约和关联。

Rasmussen[15]基于系统理论提出事故致因方法，即系统理论事故模型。该模型不再将系统结构化分为组件及其功能，不关注系统组成要素的功能，而更关注系统整体功能。在系统理论事故模型中，模型中的事件仍然会有因果次序，但每个事件可能会有多个前驱和后继事件，因此模型不存在因果推理方向，只有从事故开始的溯因推理方向，事故传播途径也不再是独立的，而具备整体性。为解决航空航天领域中复杂系统运行过程中的安全控制问题，Leveson[16]首次提出系统理论事故模型和流程方法。该方法认为安全性作为涌现特性，是源自系统组件之间的相互作用，而控制其方法是给系统组件行为和组件间施加约束条件。

系统理论事故模型和流程方法原理如图1所示。STAMP 方法主要从系统结构角度，分析控制器、执行器及传感器的工作特征，以系统被控过程输入和输出为流程分析系统功能风险。要避免或管控复杂系统的安全事故，需从人员、规则、技术、控制逻辑、执行机构、过程监控、反馈调节、矫正和调控等多层面综合分析事故成因，并有效控制系统中危险因素的启动。该模型具备极强的复杂系统安全问题分析处理能力。

图1 系统理论事故模型和流程方法原理Fig.1 Principle of system theoretic accident model and process

2.1 跑道侵入系统级危险

在STAMP 理论中，系统级危险的产生是由于系统高层次约束被突破，将航空器起降过程中的跑道侵入场景作为系统级危险，相应的系统安全约束如表1所示。进一步分析系统组件间的相互作用，可得引起系统级风险的各项子危险，如图2所示。

表1 跑道侵入场景的系统级危险及系统安全约束Tab.1 System-level hazards and system safety constraints in runway intrusion scenarios

图2 系统级风险及各项子危险Fig.2 System-level risks and sub-risks

2.2 跑道侵入安全控制结构

以跑道使用过程中的3 类关键实体和环节为基础，分析管制员、机组和机场内车辆与人员三者之间的交互关系，包括与其直接交互的系统组件和与运行有直接关联的组织机构。管制员、机组和机场内车辆与人员的交互关系分别如图3～图5所示。

图3 系统中管制员的交互关系Fig.3 Controller interaction in system

对交互关系中系统组件的职责和功能进行分析。其中，管制运行单位负责制定相关运行规章和程序，并负责管制员的培训；航空公司负责为机组准备工作程序，并对机组进行培训；机场管理机构负责机场内场面的运行规章和程序，提供机场基础设施，并对机场保障人员进行培训；管制员负责跑道运行的具体指挥，向航空器发布许可及协调和移交等工作；机组负责操作飞机，申请并核实相关管制指令，按照管制员指令执行相关任务作业；机场内的车辆与人员主要是执行机场内的特定任务，包括拖车、维修和基础保障工作；管制设施提供任务过程中的通信、监视和告警等功能。根据交互关系和组件功能，基于STAMP 方法构建跑道侵入安全控制结构，如图6所示。安全控制结构中的组件交互行为如表2所示。

图4 系统中机组的交互关系Fig.4 Flight crew interaction in system

图5 系统中车辆与人员的交互关系Fig.5 Interaction between vehicles and pedestrians in system

图6 跑道侵入安全控制结构图Fig.6 Safety control model structure of runway intrusion

表2 安全控制结构中的组件交互行为Tab.2 Components interaction behavior in security control structure

3 跑道侵入案例分析

2016年10月11日，东航MU5643 航班计划由上海虹桥国际机场起飞，航班在收到塔台发布的起飞许可时，东航MU5106 航班得到空管指令穿越36L 和18L 跑道滑向停机位。其在穿越跑道过程中，遭遇正在起飞的MU5643 航班，事故中两架飞机垂直距离最短仅19 m，翼尖距13 m，发生跑道入侵事件。该事件属于A 类跑道侵入（间隔减小以至于双方必须采取极度措施，勉强避免碰撞发生的跑道侵入），性质极为严重。

事发后，调查组分别对相关人员进行了调查问询，并调取通话录音、雷达录像，对两架涉事飞机的飞行数据记录器、驾驶舱语音记录器进行了译码。调查组判断，这一事件是由于塔台管制员指挥失误造成的跑道侵入不安全事件。塔台管制员由于遗忘飞机动态、违反工作标准从而造成严重事故征候。

根据构建的跑道侵入安全结构，分别从不安全控制行为和被控制过程未遵守安全规则控制行为两个角度分析致因。其中，前者包括不恰当的控制输入、人为行为和控制；后者包括不恰当的反馈、执行失效和协调与交流不当。

从跑道运行角度而言，运行相关人员在接收信息后，形成短期感官储存；大脑完成信息挑选后，配合长期记忆对周围信息进行感知；大脑基于感知和短期记忆再进行决策和响应，进而执行决策，完成响应。当相关人员完成结果监测与调整环节后，即完成整个工作流程。整个信息处理过程中的信息感知与决策响应等环节均可能导致运行差错，主要包括不恰当的信息探测、记忆、控制决策、控制行为和反馈监测。

1）不恰当的信息探测主要是由于与跑道运行安全相关的人员在信息获取过程中出现了差错。信息探测过程主要与人的警觉性、注意力分配、信息容量、视觉或听觉感知和环境条件等因素有关。

2）不恰当的记忆主要包括不恰当的短期记忆和长期记忆。短期记忆主要与人的工作强度、疲劳程度、信息容量、相似信息处理、注意力和工作环境等因素相关。长期记忆主要与人的培训、知识储备、使用频率和干扰等因素相关。以管制员为例，由于工作负荷过高或疲劳可能导致其出现忘记执行相关指令或遗忘航班动态的行为，以及因其注意力分散导致的动态记忆偏差等现象都属于不恰当的短期记忆。不恰当的长期记忆则包括因知识储备不足或培训内容不充分导致的错误。

3）不恰当的控制决策是指相关人员在对交通态势进行判断后，做出不恰当的运行决策。跑道侵入事故的发生与其密切相关，以机组为例，当管制员给出指令为前架航空器飞越跑道入口后进入跑道，而机组未按照指令执行，提前进入跑道入口造成跑道侵入。

4）不恰当的控制行为在跑道侵入事故中出现的概率极高。跑道侵入事故最常见的两类致因为管制员指令发布错误和机组执行指令错误。

5）不恰当的反馈监测在跑道侵入事故中通常是由于设备原因造成的。例如，因甚高频通信设备失效导致通信延迟或通信干扰，造成管制员监听机组复诵错误。如管制员发出指令为在跑道等待点等待，机组复诵为进跑道等待时，若管制员能够监听到复诵指令错误，就能及早制止跑道侵入事件。