空中交通管理中应对复杂性的安全管理

姓名：戴蕴杰学号：110440304选题：《SafetyManagementCopingwithComplexityinAirTrafficManagement》翻译：《空中交通管理中应对复杂性的安全管理》一．概述空中交通管理部门作为一个高度可靠的组织机构（HRO）已经存在了很长的时间。这意味着与其他的行业相比，它是十分安全的。然而，当前的运行方案存在的缺陷急需可行的更高的安全标准，容量和效率的提高会对当代空中运输的景观产生重大的改变。因为安全性的根源、灾难的根源，通常都是在早期的设计阶段就已经注定了，这种隐性的安全情景是可以被改变的。未来ATM安全管理的挑战之一是应对复杂性的管理（尤其是在当假定入侵和防御是两个相互独立的元素时获得跟好的理解）。这就要求对整个系统进行整体性的评估有更好的理解并且了解新的元素之间是怎样相互作用的。（包括消除消极的影响并捕获积极的影响。）新的安全管理方法R&D已经开始圆满地解决这些问题。二．作者关键词ATM,HRO,复杂性,相互作用,综合风险,跨边界灾害,风险建模.三．引言多年来，空中交通管理(ATM)一直被视为一个高可靠性的组织(HRO),有着非常良好的安全纪录,尽管在欧洲发生过两个重大事故(2001年米兰跑道入侵事故以及2002年Uberlingen空中相撞事故)。然而,在未来十年内，为了应对不断增长的民用航空旅行需求，我们可以预见许多重大变化将会发生。这些设想的变化分为三个主要类型:提供自动化工具帮助管制员处理增加的交通密度和复杂性;空域结构和程序的改变;责任的主体将由管制员向飞行员逐渐转变。这些变化必须保证安全的而不是进行妥协的,如果成功实施的话,实际上是对交通运作安全的稳步提升。这些改变将在两个时间段内广泛的出现，从现在开始到2012年以及2012年到2020年。初始变化的完成时通过引进是从一系列的小改变初步完成的，但是到了2020年时情况会变得更加激进，ATM转变的范例也将更加具有代表性。因此，怎样保证当现行的相对安全操作向未来运行转变的过渡过程是安全的将是安全管理的一大挑战。这里列举了几个方面关于由于变化而带来对于复杂性的挑战：·至今我们也不知道未来各种辅助管制员的工具将会如何协同工作，也无法确定这些工具能否满足空余结构和程序的变化。对于2012年乃至2020年的情况有很多技术上和操作上的不确定性。·当前的安全案例工作是在一个子系统的基础上进行的-因为操作的细节不足以具化系统间的相互作用。因此，很难清晰的了解提供安全的各个独立的子系统同时工作时能否为欧洲的ATM提供并维持目标的安全水平。同样不确定的还有子系统间计划外的相互作用或许使得一些预计的安全优势无效，这些潜在的不同子系统间的“复合安全”在程序的设计和过渡阶段能否被发现。因此，在安全管理中对于固有的复杂性的目标处理需要同时处理许多元素以及这些元素间的相互作用，无论它们是计划中的还是计划外的，无论影响是积极的还是消极的，只要这些影响与安全管理相关，都应该被识别；但是在传统的安全管理中只有负面消极的影响被识别了。·欧洲各国间的各种辅助工具的使用和各类空域的变化将会根据具体的国情分批次的实现，这样就会在时间和次序上保证安全的实施，尤其在面对在交通量提升的背景下-这就意味着安全管理可以应对很多不同的排序。·安全管理初始时依赖于各种改变的安全性的预测，但是在2007至2020这段时间完成过渡后，实际变化的影响能够被量化测量-这就能够实现对安全测量和预测之间的校正，并警示我们预测是否是乐观的（例如，某项事故风险的增加）-这意味安全管理具有一种能够被确定的动态性（即使在实际过程中变化缓慢）。·这样的变化也许在某些方面产生影响，在这些方面中技术的比重较低而人的因素比重较高，这使得现行的ATM系统是十分安全的-安全的文化是会被影响的-因此，安全管理必须解决这方面的问题，尽管还没有任何研究-对于安全绩效的评估，是在了解情况后采用间接的方法完成的而不是进行直接的反应。以上的要点显示了未来ATM中安全管理的挑战与对于应对复杂性有直接关系，因为这些任务都具有复杂性问题的印记：不确定性、难以识别相互作用的不确定的元素、计划外相互作用带来的机遇、许多时序问题、动态特征（不稳定性）；并且缺乏基本的理论基础（为什么ATM是一个可靠的组织，以及在哪些方面是可靠的）。对于ATM安全管理最重要的挑战是没有足够的时间找出合适的方法来解决上面提出的问题。这些挑战至少能够被部分满足通过关键因素的调查和安全管理和方法领域的活动的发展。文章的剩余部分将会对两种特别的方法经行探讨，第一个是关于方法的发展，这个方法是处理在ATM中的综合风险评估，第二个方法讨论的是计划外的相互影响，这些影响将作为风险和额外的安全的起因经行讨论。四．一体化风险图像范围研究的目标是为欧洲ATM发展一种综合风险的图像（IRP），这种图像能够显示门对门的ATN循环中相对安全的优先权（G2G）。这种方式被国际民航组织（ICAO）定义为，,“G2G,开始于ATM第一次被联系的时刻，结束于引擎的关闭。”图1中阐述了不同的阶段：。空中交通管理（ATM）被ICAO定义为“空中功能（空中交通服务、空域管理、空中流量管理）和地面功能的集合确保航空器所有运行阶段的安全和有效。”先行的工作覆盖了整个ATM服务，那就是所有ATM能提供给飞行员的支持。这包括：·战略冲突管理；·空域组织和管理；·需求和容量的平衡；·交通同步化；·交通冲突管理；·提供空域间隔；·冲突避免；·信息服务（ATIS,MET）。这个工作将会覆盖所有ATM系统，那就是，所有与空中交通安全有关的元素，包括地基和空基的通信、导航和监视（CNS）设备，与ATC有关的机载设备。目的发展IRP的目的是显示门对门的ATM循环中安全的相对优先权。为了实现目标，必须具备以下能力：·ATM整体的贡献是规避风险，那就是，在有ATM保护的地方减少发生事故的风险；·不同种类事故的相对重要程度和潜在的ATM系统中肯造成风险的偶然因素；·ATM中造成事故和阻止事故发生的因素，这能够在原则上显示在哪些区域风险是需要被减少的；·不同阶段的G3G循环中的相对重要程度，那就是，战略与战术冲突管理的影响。系统要能够将上面的原因和影响的因素整合为连续的单元，以便于更加清晰的比较它们。显示优点是必要的，这些优点靠各类安全防范的改善实现，这些防御措施能帮助ATM控制产生风险的因素。如同上面所定义的，一张“综合”风险评估图能基本的G2G循环中各种偶然因素影响的总和。然而，这种总和并不是简单的加法，因为一个区域安全的获得伴随着另外一个区域的安全的减少。例如，一个新的安全建议也许会提供多余的警告当事故的发生迫在眉睫的时候，但是却能够减少飞行员和管制员的被动性；或者是没有意识到潜在的常见原因引起的失效，这可能会抵消甚至是反作用于预期的安全收益。因此IRP不仅必须考虑考虑直接的安全防御的好处，也要考虑到其他安全防御间可能产生的直接影响。这些影响被称为“跨边界灾害”（见下图）初始的工作在2004年时将覆盖整个ATM系统。2004年的图像将会成为针对安全重要性改变的基本规范，为了能在2012内对这些变化进行量化的测量。因此，2004年的风险模型将会被量化和标准化，通过使用由UKNATS（NationalAirTrafficServices）、ASRS(NASA'sAviationSafetyReportingSystem)和FlightSafetyFoundation(FSF)提供的事件和事故的资料完成；此外，还有欧洲的SAFLEARN项目和MaastrichtUAC的功能灾害评估(FHA)提供的高空运行的数据资料。模型方法这部分工作将会用于两个不同的模型。（见图2）·ATM模型代表了商业航空的操作性概念，那就是，在常规操作模式中，不同部件和不同系统（显著的ATM安全网）在航空业中共同协作的方式。这尤其注重反应器和系统之间安全性信息和指令的流量。·风险模型，代表一种方式，在这种方式中不同的偶然因素（人为因素、程序和设备的失效，包括安全网的失效）组合在一起造成了事故。它的输出将会要求高风险的图像。这个风险模型将会以综合建模的方式实施，并且将提供基本的方式，用以呈现起依赖的条件和结果。正如之前所提到的那样，ATM和通用航空，是由覆盖的多重性和相互支持防御性共同组成的。连续的保护层已经证明ATM和航空中存在鼓励的个别的失效，都与人为因素相关；也存在于技术和设备当中。然而，很少有能够显示事件和事故的窗口开始发展，当各种防范是相互独立的假设被侵犯的时候（例如，潜在的防御，这种防御针对ATC开始犯错或者或者没有正确的探测到管制飞行而设计的）。因此，识别由ATM及相关从属所引起的灾害是十分重要的。因此，风险群作为一个方面被包括在组建IRP的挑战当中。这是因为它涉及到风险减少的评估和相互作用，那就是，跨边界灾害，在下一个部分中将会详细讨论。跨边界灾害片面的安全评估方法已经导致了ATM的错误，因为它忽略了潜在的消极或者是积极的相互作用（那即是屈从于安全的利益）。风险评估包括物理原件、程序和人力资源的组合达到一个功能。然而，独立的威胁时无法孤立的被调查的，这需要从整体的ATM图像上进行分析，那即是，风险必须被整体的了解。Überlingen发生的空中相撞已经展示了这种错误，那就是在过去动态的连锁反应没有被充分的考虑。然而，这些错误再也不能够被忽视，因为给类ATM领域内的相互影响正在持续的增长，无论是尺寸还是重要性都增长迅速。相互影响是风险和附加安全探究的重要源头。跨边界灾害可能是由以下的原因造成的：·外部事件-这些外部灾害是由自然事件（例如，地震、高空风、闪电风、切边和湍流）和社会事件（人为因素，包括工作环境、潜在系统的恢复性和辅助工具的失效）；·子系统间相互作用-包括积极的和消极的影响，设计中存在的预期的和计划外的影响；·移动-系统向相邻的系统输出它的风险和产生与保护之间的动态关系。调查相互影响是通过灾害和操作性的研究完成的（HAZOP），那就是，一种正式的、系统的、批判性的检查，这种检查针对的是ATM系统的设计和运行。然而，直到现在，简明的趋势已经应用于HAZOP方法，初期发展是ICI（帝国化工产业）在1960年的英国首先开始的，为了细化系统的组件和程序，例如，当研究一个程序时，硬件本身是否适用。下图3阐述了由物理硬件、程序和人力资源组合作用时的功能变化，其中HAZOP技术将会被采用。值得注意的是，一系列新的引导将会被发展成为新的过程（例如，信息的获得、协同决策、协调、恢复等），并假想出可能的跨界灾害带来的问题。优点因此，EUROCRONTROL意图使用IRP实现：·提炼出安全中关于ATM风险的主要部分，增强在安全优化领域的投入的优先级；·提供风险图像的基线，评估独立安全元件的能力，这些能力能评价出优化的重要性。2012年的风险图像是基于运行的概念产生的，它将能识别功能和过程，并且伴随着相互影响和信息的流量、相关反应单元以及它们的角色和责任。最终，通过记录2004到2012年的风险基线，我们获得了一个道路图用两种主要的风险进行分析，与风险相关的操作实施策略也将得到发展。这就使安全的绩效是能够得到追踪的，通过记录这段时间的安全事件，我们能检查它是否在轨迹中，是否是安全的主要目标，或者系统本身是否需要加强。五．结论IRP将会成为一个从顶层向底层变化的未来的ATM模型。这个模型能够指明哪些地方是需要增强安全的意识，同时它还要能够监测安全的过程，当过度过程开始实施直到ATM的最终形态。跨边界灾害分析的方法将特别帮助避免特殊事件的发生，这些特殊事件将归为事故，会使得安全的预测性和安全管理变得无效。因此，两种新的方法将在2004-2006年中被持续的发展和应用。这不会增加复杂性，只会使得安全管理更加具有操作性。