袁樂平，孫瑞山，程明

(1.國家空管運行安全技術重點實驗室，天津300300;2.中國民航大學 民航安全科學研究所，天津300300)

0 引言

跑道侵入是航空安全的重要課題，跑道侵入造成的后果可能十分嚴重:1977年西班牙特納里夫島兩架波音747客機在跑道上相撞，導致583人遇難，造成了除911事件外最慘重的航空事故［1］。與此同時，隨著機場飛行量的不斷攀升，跑道侵入的風險不斷增大。加拿大運輸部的研究顯示，機場飛行量若增長20%，跑道侵入可能性則增加140%［2］。

鑒于跑道侵入對航空安全的重大影響，國內外學者從不同角度對跑道侵入的安全評估問題開展了廣泛的研究。文獻［3］利用事件樹方法，通過專家給出主觀概率對阿姆斯特丹史基浦機場航空器穿越使用跑道的風險進行了量化評估。文獻［4］利用多Agent系統(tǒng)建模，采用蒙特卡羅模擬對跑道侵入事件的發(fā)生概率進行了分析。許桂梅、黃圣國［5］以飛行員、管制員、車輛駕駛員為跑道侵入的風險指標，在利用認知可靠性和失誤分析方法(CREAM)評估人的可靠性的基礎上，綜合計算了跑道侵入的整體風險。羅軍、林雪寧［6］通過建立影響跑道侵入的空管評價指標體系，采用模糊的方法采集各指標評判值，進而計算了整體風險。國外學者的研究只注重跑道侵入事件的建模和模擬，而對這一過程中人的角色和可靠性考量不足。國內對跑道侵入的風險分析仍處于探索階段，停留在事件本身的綜合評價上，未能深入分析跑道侵入發(fā)生的過程，并利用適當方法對跑道侵入的過程和結果進行分析。

概率安全評估是一種量化的安全風險評價方法，在核能、電力、航天、航空等行業(yè)有著較為廣泛的應用［7］，利用概率安全評估對跑道侵入進行分析和評價，對深化跑道侵入研究、防范跑道侵入風險有著十分現實的意義。本文在傳統(tǒng)概率安全評估的框架下，從跑道侵入事件的發(fā)展演化邏輯出發(fā)，利用事件樹方法分析了跑道侵入潛在風險的發(fā)展及結果，并合理選用人的可靠性模型計算了侵入事件發(fā)生的概率值。

1 跑道侵入的事件樹分析

1.1 跑道侵入的類型和原因分類

跑道侵入通俗的可以理解為航空器或地面車輛/人員出現在不應該出現的地方，導致碰撞風險增加。跑道侵入事件包括4種典型類型:(1)滑行穿越使用跑道，約占33%;(2)同一跑道上起飛與落地航空器沖突，約占11%;(3)起飛或落錯跑道，約占13%;(4)交叉跑道上同時落地或起飛航空器沖突，約占13%［8］?？紤]到跑道侵入存在不同程度的安全影響，本文對存在潛在沖突的情況進行分析，起飛落錯跑道且沒有造成沖突的情況不在分析的范圍。

造成跑道侵入的原因可能是飛行員、管制員或者地面車輛駕駛員(或場道工作人員)，為此美國聯邦航空局將跑道侵入的原因分為如下3類:飛行員偏離、(管制)運行差錯、地面車輛駕駛員偏離［8］。對跑道侵入事件的研究離不開對上述3類人員的分析。

1.2 跑道侵入的邏輯表示

現行的空中航行運行機制是一種以空管引導為主，飛行員、駕駛員響應的模式，因此跑道侵入的風險分析從運行態(tài)勢的管理者——空中交通管制員開始。管制員通過對飛行計劃、航空器位置等信息的獲取，掌握運行動態(tài)、發(fā)現交通沖突、形成調配預案、指揮航空器或車輛避開沖突。這一過程中，存在若干可能失效的情況:(1)管制員未能發(fā)現沖突，或者沖突調配失敗;(2)沖突中的A方(航空器或地面車輛)或B方(航空器或地面車輛)未采取有效措施;(3)管制員未能及時糾正;(4)管制員未發(fā)現沖突的前提下，沖突中的 A，B雙方未能及時發(fā)現沖突風險。

事件樹分析是安全系統(tǒng)工程中常用的一種演繹推理分析方法［9］。交通沖突調配是一個多方協同、交互的過程，圖1利用事件樹分析方法對跑道侵入的形成和演化過程進行了描述。

圖1 跑道侵入潛在風險的事件樹分析Fig.1 Event tree analysis of potential runway incursion risks

2 人的可靠性評估的CREAM方法

2.1 CREAM方法的基本步驟

認知可靠性和失誤分析方法(Cognitive Reliability and Error Analysis Method，CREAM)由 瑞 典Link?ping大學Erik Hollnagel教授于1998年提出，該方法以COCOM模型(Contextual Control Model)為基礎，將認知功能歸納為觀察、解釋、計劃和執(zhí)行4類，每一個認知功能包括若干失效模式，每種模式對應一個認知失效概率(Cognitive Failure Probability，CFP)，利用人所處工作環(huán)境和條件的優(yōu)劣去修正失效概率［10-12］。

采用該方法進行人的可靠性計算的步驟為:

(1)確定任務所包括的認知行為

CREAM方法將人的認知行為分為協調、通信、比較、診斷、評估、識別、執(zhí)行、保持、監(jiān)視、觀察、計劃、記錄、調整、掃視、檢驗共計15個類別，不同的認知行為需要不同的認知功能。CREAM提供了認知行為和認知功能之間的對應關系(見表1)，以及認知功能的失效模式和失效概率的基本值(見表2)。

表1 認知行為與認知功能關系Table 1 Cognitive behavior and cognitive functions

表2 認知功能失效模式和失效概率基本值Table 2 Cognitive function failure mode and probability

(2)確定最可能的認知失效模式

CREAM提供了4種認知功能下的13種認知功能失效模式，表2中每一認知功能對應若干失效模式。利用CREAM對人的可靠性進行分析時，需要確定最可能的失效模式。

(3)共同績效條件評估

人的可靠性評估通常需要根據作業(yè)人員所處的工作環(huán)境和條件來評價作業(yè)環(huán)境對可靠性的影響并對其進行修正，在CREAM方法中是通過確定共同績效條件 (Common Performance Condition，CPC)來完成的。CPC從組織完善性、工作條件、人機界面與運行支持的完善性、規(guī)程/計劃的可用性、同時出現目標數量、可用時間、工作時段、培訓和經驗的充分性、班組成員的合作質量等共計9個方面進行綜合考慮，給出了認知功能失效基本概率值的修正方法(見表3)。

(4)計算失效概率

將認知失效基本概率值和權重因子相乘，即可得到最終的人因失效概率PCF，其計算公式如下式所示:

式中:PG為表2中對應的認知失效概率基本值;φi為第i個CPC的影響權重。

表3 CPC及其權重因子Table 3 CPC and weight factors

2.2 利用CREAM方法計算跑道侵入中人的可靠性

根據圖1中的分析，跑道侵入過程中的人因失效表現為兩種情況:一種是未發(fā)現沖突，另一種是未正確響應。下面以第1種失效模式為例，應用CREAM方法進行分析。

飛行員、管制員、車輛駕駛員發(fā)現沖突的過程為:態(tài)勢感知-沖突判斷-預案形成-指揮(或通報)-實施操作，對應的認知行為是觀察、診斷、計劃、通信、執(zhí)行。每一認知行為對應的認知功能及其最可能的失效模式見表4。

以一般的工作環(huán)境為想定，假設其CPC績效水平如表5所示。

可以通過計算得到:

同理可計算出失效模式2的失效概率為:

表4 失效模式1的人誤概率Table 4 Human failure probability of failure mode 1

表5 失效模式1的影響權重Table 5 Impact factors of failure mode 1

3 計算與討論

3.1 后果發(fā)生概率的計算

事件樹的計算中，每一階段互斥的兩種狀態(tài)其概率計算可以由此及彼，各發(fā)展途徑的概率等于自初始事件開始的各事件發(fā)生概率的乘積。上文中已經通過CREAM方法計算得到了關鍵節(jié)點的概率值，根據事件樹的計算法則，帶入各節(jié)點概率值，得到的計算結果如圖1所示。

對跑道侵入潛在風險分析的兩類后果進行合并計算，得到的發(fā)生侵入的概率為0.001 26。

3.2 計算結果的討論

(1)圖1的分析中，跑道侵入沖突解脫的最常見情況(結果概率最大)是管制員及時發(fā)現并正確指揮，因此增強管制員的防范意識，強化其在跑道侵入預防中的作用是關鍵。

(2)增加跑道侵入的防范手段，比如采取設置場面監(jiān)視設備(ASDE-X)、跑道狀態(tài)燈(RWSL)等措施，能夠增加防御縱深，降低侵入風險。

(3)CREAM模型中CPC的選擇對人的可靠性計算有一定影響，這也從另一個方面顯示了防范跑道侵入事件中人因風險的途徑，例如合理安排管制班組人員搭配、加強培訓等。

4 結論

本文利用安全系統(tǒng)工程方法對跑道侵入的發(fā)生過程進行了分析，采用人因可靠性分析方法對其中的人因失效問題進行了計算，給出了量化的風險評估結果，結論如下:

(1)以事件樹為構架，對跑道侵入風險進行分析，利用CREAM方法計算了人的失效概率，得到了飛行沖突調配失敗的概率，這是空中航行系統(tǒng)概率安全評估的探索和嘗試。

(2)由于機場場面監(jiān)視設備并未普及，同時也為了便于理論分析和建模，未考慮大型復雜機場裝備場面監(jiān)視設備的情況，但從計算分析過程可以認為增加相關設備對防范跑道侵入風險是有益的。

(3)利用CREAM方法計算人因失效的過程表明，該方法在航空領域人的可靠性分析中具有建模簡便、可操作性好等優(yōu)點。但本文中管制員、飛行員的人因失效概率計算僅就一般情況進行了考慮，未考慮個體因素，未來研究應考慮結合航空交通運行的實際來改進CREAM方法，進一步考慮過程中的個體因素，以獲得更為精確的結果。

［1］ 祁元福.世界航空安全與事故分析(第3集)［M］.北京:中國民航出版社，1998:116-117.

［2］The Transport Canada.National civil aviation safety committee subcommittee on runway incursion final report［R］.Ottawa，Ontario，Cnanda:The Transport Canada，2000.

［3］ De Jong H H，Tump R S，Blom H A P，et al.Qualitative safety risk assessment of a RIASS based operation at schiphol airport including a quantitative model:crossing of departures on 10L/19R under good visibility conditions［R］.Amsterdam，the Netherlands:National Aerospace Laboratory NLR，2001.

［4］ Stroeve S，Blom H，Bakker B.Safety risk impact analysis of an ATC runway incursion alert system［C］//Proceedings of the Eurocontrol Safety R＆D Seminar.Barcelona，Spain，2006:1-33.

［5］ 許桂梅，黃圣國.基于人因可靠性的跑道侵入風險定量分析研究［J］.科學技術與工程，2010，10(19):4715-4719.

［6］ 羅軍，林雪寧.基于模糊集和改進TOPSIS方法的跑道侵入風險評估［J］.中國安全科學學報，2012，22(12):116-121.

［7］ 周經倫，龔時雨，顏兆林.系統(tǒng)安全性分析［M］.長沙:中南大學出版社，2003:186-204.

［8］ 馬平.跑道侵入研究［D］.天津:中國民航大學，2008.

［9］ 汪元輝.安全系統(tǒng)工程［M］.天津:天津大學出版社，1999:198-207.

［10］Hollnagel E.Reliability analysis and operator modeling［J］.Reliability Engineering and System Safety，1996，52(3):327-337.

［11］ Kima M C，Seonga P H，Hollnagel E.A probabilistic approach for determining the control mode in cream［J］.Reliability Engineering and System Safety，2006，91(2):19l-199.

［12］王遙，沈祖培.CREAM——第二代人的可靠性分析方法［J］.工業(yè)工程與管理，2005，10(3):17-21.