民航运营中面向变革的风险管理:以中国民航服务提供商为例

抽象的

面向变革的风险管理是民航安全管理的核心内容。危害识别被认为是最困难和最灵活的部分之一。为了解决现有系统变更带来的风险管理问题，本文首先提出了一种面向系统变更的风险识别(SCOHI)模型。SCOHI模型通过整合“5M”(任务-人-机-管理-媒介)来识别危害，并且危害和可操作性(HAZOP)技术指定系统的变化和对周围环境的相关影响。与传统的头脑风暴方法相比，SCOHI模型为动态环境下的危险识别提供了一种明确的方法。然后，以西北某空中导航服务提供商为例，分析了系统由非雷达管制业务向雷达管制业务的转变。通过风险评估检验了SCOHI模型的有效性和适用性。初步评估的结果表明，面向系统变化的四个关键危害是空中交通管制(ATC)技能、人员能力、控制程序和空域结构。此外，“人”类约占总风险的55%，排名第一，其次是“管理”、“中等”和“机器”类。最后，在系统变更期间，向安全策划处提供一套完善的风险控制策略，以帮助控制风险并维持可接受的安全水平。

1.介绍

安全评估和风险管理是民航安全的重要组成部分。他们不断帮助识别和跟踪危害，并建议降低风险，以保持可接受的安全水平，并使系统以适当的方式运行。危害识别的目的是找出可能导致不希望事件发生的不利来源和不安全条件。危害识别被认为是安全分析和危害预防中最困难和最灵活的部分之一[1］．

在空运系统中，有一套程序，人和设备。众多研究人员，学者，航空专家，航空公司管理人员和决策者已经开展了关于危险识别的探索。根据危险识别来源和危险识别方法，在国际民用航空组织（ICAO）文档中界定了用于识别民用航空危害的三组方法。9859安全管理手册（SMM）。（1）反应性：反应方法通过调查已经发生的事故和事故来收集危险。（2）积极主动：主动方式使用所有可能的手段来解决危险，然后造出任何不利影响。这些技术可能包括安全调查，安全审计或自愿安全报告系统。（3）预测性：预测性是指统计数据的应用，目的是预测未来潜在危害的目的[2］．然而，由于世界上没有两个完全相同的系统，因此不存在一刀切的危险识别技术。因此，各种研究人员和从业人员以及航空工业，如机场、航空公司和航空导航服务提供商(ANSPs)开发了他们独特的方法和技术来识别危险。例如，在ANSPs领域，欧洲航空安全组织(Eurocontrol)于2001年初发布了名为“空中交通管理风险评估和缓解”(ATM)的监管文件，要求对ATM行业进行安全评估。欧洲控制中心还建立了一套称为安全评估方法(SAM)的方法和工具，以指导在欧洲实施自动取款机安全评估[3.］．在美国，国防部(DoD)和联邦航空管理局(FAA)出版了系统安全手册(SSH) [4.］．

由于航空运输是一个高技术驱动的行业，对现有系统的升级经常发生在运营中心。系统的变化必然导致系统风险的变化。因此，民航安全评估应找出系统变化可能带来的新风险，以及对系统安全输出的影响范围。传统的危害识别技术，如失效模式和影响分析(FMEA)，已经远远不够。首先，目前的危害识别技术是为了应用于现有的系统而设计的，而变化的风险和影响通常不包括在危害识别程序中。第二，航空操作系统是一个大规模、嵌入式、实时、安全关键的系统，具有复杂的人-机-环境交互。在成本、进度和质量方面，系统变更被认为是一个困难和昂贵的问题，也是风险的主要来源。通常在现行安全评价的最后阶段进行变更分析。应采取更积极主动的方法来识别危害和分析变化及其相关风险。

因此，本研究的目的是提出一种有效的风险管理方法，用于系统变化情况下的危害识别和风险控制。以西北某安企部中心为例，主要任务是识别与现有系统、子系统或系统组件运行变化相关的新风险，并对相关风险进行度量，最终为风险控制提供有效的指导。

2.现有技术

２.１.民航安全管理体系

如今，已经成功开发了大量的方法和技术，以便为安全从业者提高现实世界应用中的航空安全[5.-8.］．特别是PDCA循环(计划-执行-检查-行动)、全面质量管理(TQM)、质量管理体系(QMS)和安全管理体系(SMS)对航空安全改进产生了巨大的影响[9.-11.］．国际民航组织已授权航空公司、机场、安防系统和飞机制造商实施SMS [12.］．短信包括必要的组织结构，问责制，政策和程序[13.］．它不仅雇用了PDCA周期并涉及质量，环境和金融部门的安全问题，而且还在一般管理框架下纳入了安全[14.］．2006年，国际民航组织为SMS开发了一个名为Doc. 9859安全管理手册的综合框架。然后在2013年，ICAO进一步升级了SMS的要求，发布了新的附件19安全管理。附件19讨论了国家安全计划(SSP)、SMS和其他安全管理做法，并为国际民航组织的缔约国建立了航空安全管理框架[2那13.］．在SMM和附件19中，民航组织概述了SMS的四个基本支柱;它们是安全政策和目标、安全风险管理、安全保证和安全促进。安全政策和目标为SMS的成就提供了一个框架和基准。安全风险管理在识别危害、评估相关风险和制定适当的缓解措施方面发挥着重要作用。安全保证监督标准和法规的符合性，并结合差距分析(GA)的常规使用。它还为短信业务提供了一个信心水平，并评估短信策略的有效性。安全宣传提供培训和其他必要的活动，以提高组织内的安全意识和建立积极的安全文化[2那13.］．

２.２.安全评估过程

如图所示1，安全评估的一般过程包括危害识别、风险分析、风险控制和评估文件或报告[1］．理论上，已识别的危害是根据严重程度进行评估的( ）和可能性/概率( ）它们是按照风险承受能力的顺序排列的。然后，危害通常由一组经验丰富的专业人员通过标准化技术和分析程序进行评估。如果风险( ）被认为是可接受的，操作继续没有任何干预。如果是不可接受的话，风险缓解过程将参与。在这些过程中，记录整个过程的文件通常是作为证据表明所有风险的识别和管理，并不会带来任何意外后果[1那4.］．

２.３.传统的风险识别

尽管有大量的研究涉及危险识别和管理[1那15.那16.]，预测研究通常用于航空工业;现将它们列示如下:(我)功能危害评估(FHA)。FHA是一种预测技术，旨在探索系统部分功能失效的影响。通过对某些功能丧失或退化的后果分析提取危害。Eurocontrol使用FHA作为安全评估方法(SAM)的一部分。FHA作为一种主要的危险识别工具，通常用于系统设计的早期阶段。它是指导性的，过多的信息不是强制性的。同时，它也有局限性，例如，它可能不能完全贯穿整个系统，没有充分考虑外部条件。(2)危害和可操作性(HAZOP)。HAZOP方法是一种过程危害分析(PHA)技术，它不仅用于研究系统的危害，而且还用于研究其可操作性问题，通过探索任何偏离设计条件的影响[17.］．该技术考虑了系统的不同部分，例如硬件，软件，程序和人类运营商。该技术的一个重要特征是应用参数和指导词的组合，其用作危险索引。例如，参数压力通常与引导词“更多”，“较少”或“除此之外”组合。哈波普在安全关键行业中广泛采用;但是，有时会受到参与者的专业知识和经验。(3)故障模式和影响分析(FMEA)。FMEA旨在分析系统的潜在失效模式，并评估与系统、设计和过程相关的可能负面影响[18.那19.］．FMEA通常符合工作表，其中包括组件的描述，故障模式，故障率，因果因素，效果，检测和动作。FMEA是最早的结构化可靠性和风险分析方法之一，其优缺点也很明显。数十年的申请为用户提供了有用的指导。然而，正确执行FMEA通常意味着许多文书工作，并且是耗时的。在某些情况下，由于专家的“盲点”，还可能存在丢失或不正确的输出。（iv）故障树分析(FTA)。FTA使用基于布尔逻辑的二叉树结构符号来识别不希望发生的事件的根本原因，并计算相关概率。该技术的目的是图形化地呈现一棵树，表示可能导致顶级不希望发生的事件的正常和异常事件。FTA被公认为可靠性和风险分析的经典定量技术。它提供了一个强大的工具，让人们看到原因和事故之间的路径;从而找到事故预防的关键点。FTA从一个错误或失败开始，而不是一个过程或体系的一部分，因此其结果可能不会呈现出整体的观点。另一方面，当一个系统是巨大的和/或复杂的，FTA将很难完成没有专业的软件。

这些危险识别和分析技术大多源于工业，在硬件系统中运行良好。然而，当将它们应用于一个更多人-机器-环境交互的复杂系统时，情况就大不相同了。另一方面，这些技术通常被设计用于现有系统或日常操作。对于由系统变化引起的安全评估，特别是在航空等复杂系统中发生的变化，这些技术通常是不够的。

3.面向系统变更的危害识别

３.１.系统更改

在本文中，开发了一个面向系统变更的危险识别(SCOHI)概念框架，旨在促进从当前5M模型到预期变更并以知情方式管理变更的变更(见图)2）.该框架说明了在系统变化的影响下它们之间的关系。

“5M”指任务、人、机、管、媒;这些是事故/事件引发因素可能出现的五个核心领域。“5M”为系统及其工作环境的描述提供了一个清晰的框架。“5M”的每个要素都可以根据需要评估的具体系统被分解成子要素或因素。如表所示1，ANSP字段中的相关因素列为示例。“C”是指变化。由于与他们相关的不确定性和风险，更改是一个困难且昂贵的元素。将应用危害和可操作性（HAZOP）方法来支持系统变更分析。首先，在识别特定过程的故障的识别中开发了一个关键特征或元素的列表。其次，一组指导词，例如“或多或少”，“早期或之后”和“增加或减少”用于反映不同5M区域的系统的变化。桌子2提供了一个框架，以确定民航ANSP字段中系统的任何更改。

３．２．危害识别和风险评估

危险识别被认为是安全评估的关键。在使用Scohi时，开发理性变更识别工作表对危险识别非常重要。为了评估与变革相关的风险，有必要能够评估变革的概率和这种变化的影响[20.］．因此，变更分析应包括敏感性分析和影响分析。敏感性分析预测哪些变化对系统高度敏感。影响分析预测变化的后果。敏感性和影响的结合提供了风险后果的度量。在一般安全评估程序的基础上，SCOHI模型采用了三步危险识别方法(见图)3.）.在第一步中，应该清楚地描述系统及其环境，以便从事安全评估工作的人员能够很好地理解系统、它的子系统和组件。工作环境中所有可能影响操作结果的因素都需要清楚地识别和定义。第二步将在变更识别工作表上工作，即识别与系统及其工作环境有关的可能发生的变更。第三步将根据变更的敏感性分析和影响分析所提供的信息来定义风险的后果评分。

应用SCOHI模型后，可以进行风险评估。假设存在风险后果 以及与这种风险相关的可能性 那然后是标准化风险评分r最危险的是 在哪里是衡量尺度的尺度;在这里，我们使用的最大值= 25。如果 和 那这意味着没有发生以系统为导向的变化。然后对所有 那三个风险等级是为这种危险而设计的:

4.案例研究

本研究以中国一家名为“Z”的空中导航服务提供商(ANSP)为研究对象。ANSP是一个提供空中导航服务的组织，负责管理飞行中的飞机或机场的机动区域。空中交通管制(ATC)服务是安全装置(ANSP)提供的最重要的服务，它是防止碰撞、组织和加快空中交通的流动，并为飞行员提供信息和其他支持。管制员提供指令、许可和飞行信息，引导航班从一个点飞到另一个点。飞机之间的分离依赖于通信、导航和监视技术。提供给管制员的飞机位置精度直接影响飞机之间的最小间隔;因此，一个管制员可以操纵的飞机数量。在我们的研究案例中，“Z”管理着中国最繁忙的空域之一。随着日常航班的快速增长，空中交通管制员的工作负担也变得复杂和紧张。因此，需要通过操作优化和有效手段来维持甚至平稳加速空中交通流。 Transition from a traditional procedural control (or nonradar control) to a radar control is considered as one of the important approaches that have been taken to accommodate the rapid growth of air traffic in the airspace. Thus, radar control implementation is identified as a vital change to the current system.

在应用SCOHI方法之前，需要了解一些背景知识。传统的非雷达控制是基于飞行员的位置报告和点对点的时速计算，采用复杂的分离标准解决飞机之间的冲突。在非雷达管制情况下，管制员要求飞行员在通过特定航标或航路点时不断报告自己的位置，并根据报告向飞行员发出指令。事实上，由于飞机在视线上的隐形性，管制员限制了整个空中交通状况的整体图景。出于安全考虑，管制员必须以略高于实际需要的距离(或安全裕度)来分隔飞机，这意味着空域的容量会减少。另一方面，当采用雷达控制时，位置报告不再被认为是飞行员的强制操作。在雷达屏幕上直接监控飞机，管制员可以有效地引导飞机并管理更多的飞机，这在很大程度上减少了空对地通信。此外，与飞行员的口头位置报告相比，雷达为管制员提供了更精确的位置，所需的飞机之间的最小距离大大减少。因此，空域的容量可能会增加。

4．1.应用SCOHI

首先，12名参与者组成安全评估工作组。已通知有关的空中交通管理部门为工作组提供支助。工作组由空中交通管制员和航空专家组成(他们的专业知识包括航空电信、导航、雷达和atc综合自动化系统)。此外，还邀请了来自大学的安全专家和其他空中交通管制中心经验丰富的空中交通管制员一起工作。其次，对“Z”空管中心空中交通管制监视方法的过渡进行安全评估，遵循通用的安全评估程序。结合提出的SCOHI模型的应用，将中国民用航空局(CAAC)发布的ANSPs安全评估要求应用到评估中，特别是危险度的分类、似然度和风险分类矩阵。第三，在“5M”框架内，开发了安全评估工作表，以发现系统不同层次的变化。安全评估工作表及其输出的“人”部分如表所示3.．几次由控制人员、技术人员和安全专家参与的头脑风暴会议已经进行，通过自由和公开的讨论，讨论和分析了可能的变化和衍生危害。

4．2.结果与讨论

在安全专家的指导下，经过多次会议得出了安全评价结果，并进行了记录。如表所示4.和数字4(一)和4（b）．

如表所示4.在美国，四个主要危害被识别为“不可接受”的风险级别，它们包括人、管理和环境类别。四个关键的系统变化导向的危险是空中交通管制技能、人员能力、控制程序和空域结构。其中一种危害被确定为“容忍”的风险级别，即训练。研究发现，对于具有功能和任务的风险标题，风险评分为r是0。这意味着在这个领域没有发现变化，所以风险水平R是可以接受的。综上，13个风险项的风险评价热图如图所示4(一)．在可能性和后果方面，更容易找出不同风险名称的相对位置。此外，由于系统的变化，不同的风险类别会产生不同的风险影响。如图所示4（b）在美国，“人”类别约占总风险的55%，排名第一，其次是“管理”、“中等”和“机器”类别。

从非雷达控制业务向雷达控制业务转变的五大风险及降低这些风险的风险控制建议如下:(我)空管技能:空管人员以前的工作经验不适合雷达控制操作;通过雷达分离标准、态势感知、雷达屏幕扫描等技术的应用，提高无线电话通信、冲突检测和解决能力。要控制风险，首先要在现场实施雷达控制之前完成相关的模拟训练。第二，在雷达控制操作的试验阶段开始时，应该有几个主管职位是开放的。第三，针对雷达操作过程中出现的新问题进行更新培训。(2)员工容量：在雷达控制操作中，交通流量远高于非radar控制操作中的流量。由于工作负载问题，必须增加所需的控制器数量。但是，在现场训练控制器有一个长周期;因此，有必要在几年内逐步发展劳动力。由于员工容量，应仔细考虑未来雷达控制空域的扇区数量。(3)管制程序:大部分管制程序将被修改以适应雷达管制操作，特别是两个扇区之间的飞行转换、不同管制单位之间的协调、流量管理程序、最小雷达导引高度、飞行程序。为了控制风险，需要进行模拟培训和理论评估。（iv）空域结构：在雷达控制空间下，有足够的机动空域来解决冲突。良好地设计空域结构，路线和部门为未来的运作奠定了基础。更好的空域结构将增加空域能力和安全性。为了减轻与空域结构相关的风险，该团队应设立由控制器，空域设计专家和不同的空域用户组成的团队来讨论并找到未来空域结构的合适解决方案。(v)培训:培训是将非雷达作业成功转化为雷达作业的关键。训练计划和主题的设计应考虑到管制员的工作量。根据中国民航法规，每个管制员必须接受不少于40小时的雷达训练。每个控制器的性能必须在训练结束时进行评估。

在CAAC航空法之后，规划培训计划对于控制相关风险非常重要，因为上述风险控制过程对时间尺度产生不同的风险控制影响。根据经验，可能需要几年时间来减轻从“不可接受”或“耐受”水平到“可接受的”水平的危害。在案例研究中，未来五年的风险控制计划如图所示5.．在该计划中，我们试图逐步控制风险。在一年内，应该减轻四个关键的危害，以“耐受”水平，然后在未来两三年内进行“可接受的”水平。应该强调的是，工作人员短缺问题是一个中期的长期问题;因此，需要更多的时间来将“员工能力”的风险降低到“可接受的”水平。

结论

本文主要集中在危险识别中，通常被认为是航空风险管理和安全评估中最重要的考虑因素之一。为了应对以系统为导向的变化和相关的风险，提出了一种组合“5M”模型和HAZOP技术的危险识别Scohi模型。通过在与专业人士相关的中国的真正ANSP上应用提出的方法，发现“人类”类别应对风险控制的极度关注，与其他四类：机器，管理，中等和使命相比。此外，参考四个关键系统改变导向的危险，例如ATC技能，员工容量，控制程序和空域结构，以及一个耐受培训，风险分析和控制计划等一个容忍危险。最后，Scohi模型被认为是中国空中交通运营中心的现场安全评估活动有效。本研究是中国民航业的第一个安全评估探针之一，它被认为对其他地区的空中交通管制运作非常有用。

数据可用性

由于安全问题，当前研究中生成和/或分析的数据集不能公开获得，但可在合理请求的情况下从通信作者处获得。

披露

本文所表达的观点完全是Man Liang的观点，并不一定反映UniSA或澳大利亚政府的政策。

的利益冲突

Man Liang就职于南澳大利亚大学(UniSA)。

作者的贡献

谢逸然协助一些论文的起草工作。

致谢

乐平元从中国民航大学获得了研究资助。该工作得到了中国国家重点研究和发展方案的支持（授予第2016YFB0502405）。

参考文献

1. Y.罗和Y. X. Fan，风险分析和安全评估，化学工业出版社，北京，2004。
2. 国际民航组织，安全管理手册，国际民航组织，蒙特利尔，加拿大，2013年第3版。
3. 欧元弦机，安全评估方法， EUROCONTROL，布鲁塞尔，比利时，2013。
4. FAA，系统安全手册联邦航空局，华盛顿特区。美国,2013年。
5. A. P. N. House，J.G. Ring，M. J. Hill和P. P. Shaw，“昆虫和航空安全：澳大利亚宫孔（Hymenoptera：Vespidae）的髓鞘，”运输研究跨学科视角，卷。4,2020。查看在：出版商的网站|谷歌学术搜索
6. 崔林，张军，任斌，“不确定条件下的航空安全指标及其求解方法研究”，安全科学， 2018, vol. 107, pp. 55-61。查看在：出版商的网站|谷歌学术搜索
7. H. Bagan和E. Gerede，“使用标称组技术在飞机维护外包的安全危险中使用”，“安全科学，第118卷，第795-804页，2019。查看在：谷歌学术搜索
8. N. Mogles, J. Padget，和T. Bosse，“航空事故分析的系统方法:邮票、基于主体的建模和机构的比较”，安全科学，第108卷，第59-71页，2018。查看在：出版商的网站|谷歌学术搜索
9. S. Karapetrovic和W. Willborn，《质量和环境管理系统的整合》，《全面质量管理》杂志，第10卷，第5期。3，第204-213页，1998。查看在：出版商的网站|谷歌学术搜索
10. L. S. Robson，J.A.Clarke，K. Cullen等，“职业健康和安全管理系统干预的有效性：系统审查，”安全科学第45卷第5期3，页329-353,2007。查看在：出版商的网站|谷歌学术搜索
11. A. Griffith和K. Bhutto，“在英国通过综合管理系统(IMS)改善环境绩效”，环境质量管理:国际期刊，卷。19，没有。5，pp。565-578，2008。查看在：出版商的网站|谷歌学术搜索
12. 史密斯，“安全管理系统——新酒旧皮”年度可靠性和维修性研讨会论文集，第596-599页，IEEE, Alexandria, VA, USA, 2005年1月。查看在：谷歌学术搜索
13. 国际民航组织，安全管理，国际民航组织，蒙特利尔，加拿大，2013年。
14. 余志强和亨特，《香港安全管理系统的新方法》，《全面质量管理》杂志，卷。16，不。3，pp。210-215,2004。查看在：出版商的网站|谷歌学术搜索
15. J. W.Vincoli，系统安全基本指南，威利在线图书馆，霍博肯，美国新泽西州，2006。
16. C. Raspotnig和A. OPDAHL，“对安全和安全要求的风险识别技术进行比较”系统和软件杂志，卷。86，没有。4，pp。1124-1151,2013。查看在：出版商的网站|谷歌学术搜索
17. J. Dunjó， V. Fthenakis, J. A. Vílchez，和J. Arnaldos，“危害和可操作性(HAZOP)分析。文献综述”,危险材料杂志号，第173卷。1-3，页19-32,2010。查看在：出版商的网站|谷歌学术搜索
18. T. Omdahl，可靠性、可用性和可维护性字典，美国质量学会，Milwaukee，Wi，USA，1988年。
19. d . Kececioglu可靠性工程手册，Destech Publications，Inc，兰开斯特，帕，美国，2002年。
20. M. Strens和R. Sugden，“变更分析:迈向满足变更需求挑战的一步”IEEE计算机系统工程研讨会论文集，页278-283,IEEE, Friedrichshafen，德国，1996年3月。查看在：谷歌学术搜索

版权

版权所有©2020 Le-Ping Yuan等。这是分布下的开放式访问文章知识共享署名许可协议如果正确引用了原始工作，则允许在任何媒体中的不受限制使用，分发和再现。