民航空管设备风险管理的案例思考

前言：想要写出一篇引人入胜的文章？我们特意为您整理了民航空管设备风险管理的案例思考范文，希望能给你带来灵感和参考，敬请阅读。

安全是民航业的头等大事。为了深入贯彻落实的重要批示精神，民航局出台了加强当前安全工作的26条具体措施，按照“对安全隐患零容忍”的要求，民航空管设备的安全运行必须实施全过程的风险管理，这既是安全运行管理的必然要求，也是安全隐患排查治理的重要抓手。笔者结合民航空管设备日常运行的12个真实案例，从危险源识别、风险评价和风险缓控三个方面深入分析思考。

一、空管设备运行的危险源识别

空管设备运行的危险源是指根源、状态、行为，或其组合，如果不加以控制可能导致空管不安全事件发生。对空管设备运行进行危险源识别是实施风险管理的基础。

（一）实现步骤。

空管设备运行的危险源识别分为两步。一是确定是否影响安全运行。当发生空管责任原因的不安全事件或者影响空管安全运行的事件，必须启动风险管理进行危险源识别。当安全运行发生重大变更时，要进行安全评估，如果评估结果是影响安全运行，也必须启动风险管理进行危险源识别。二是甄别危险源。通过运行值班人员报告法、安全检查识别法、安全信息分析对比法、工作任务分析法、情景假设预测法、事件调查识别法和座谈讨论分析法等方法，辨析出危险源。

（二）实现途径。

主要有以下七种。一是运行值班人员报告法。现场值班人员掌握设备运行的现状，一旦安全运行发生变化，值班人员在第一时间发现并应急处置，识别出危险源并形成安全自愿报告。案例1：航班结束当晚，机场有关申请进入下滑台保护区割草，为避免人员车辆在保护区作业导致设备告警关机，导航值班员提前向管制申请关闭下滑设备。但是到了第二天航前，导航值班员仍未接到退出保护区的报告，如果这时没有打开下滑设备，将影响进场着陆的航班安全，导航值班员马上联系机场，确认割草车辆已退出，立即开启下滑设备。这是一起典型的危险源识别案例，其关键风险点在于机场割草作业结束后忘记报告退出，而导航值班员提前识别出危险源为“机场在下滑保护区割草作业”，航前及时处置，避免了一起不安全事件的发生，事后整理形成安全自愿报告上报。二是安全检查识别法。通过运行质量监督检查、“四不两直”检查、现场音频视频监控回放、现场抽查、法定自查等方式，发现设备运行和管理过程中可能存在的危险源，发现岗位运行存在的违规违纪行为。案例2：根据安全持续改进计划和质量管理工作的要求，每周都要检查值班现场音频视频的监控回放。在例行检查终端管制室值班现场的监控回放时，检查人员把重点放在交接班这个时间段，逐条对照管制部门反映的问题，发现交接班时遗漏了“昨天23∶00区调主用频率受干扰”这项内容，而且在ATS运行管理系统上也未发现相关记录，这是典型的工作“错漏忘”。通过定期的现场音频视频监控回放检查出危险源“交接班漏项”，可以进一步督促现场交接班的整改，跟踪完善信息通报流程。三是安全信息分析对比法。结合本单位本部门设备运行的实际情况，对不安全事件信息、设备维修维护案例、安全风险通告等安全信息的分析挖掘，举一反三，查找设备运行存在的危险源。案例3：学习《安全风险通告》中No.4032018.12AirTransport&Business的“关于部分型号UPS并机系统故障且未跳转至旁路供电的风险通告”内容，知悉该型号UPS自身并机功能存在局限性可能导致安全隐患，立即对照检查本单位同型号UPS并机运行情况，实施“并机运行的UPS出现故障应急演练”，演练时发现两台UPS并机失败后过载，同时UPS系统立即自我保护直接关机，无法切换至旁路，造成供电输出中断。根据应急演练发现的“UPS并机系统故障”这个危险源，及时制定优化保障方案和应急处置措施，避免影响设备的正常供电。四是工作任务分析法。将整个工作任务分解成若干个具体的工作子项，对每一个工作子项，列出可能潜在的危险源。案例4：航管甚高频通信系统投产。空管设备运行保障部门将航管甚高频通信系统投产工作任务分解成若干个工作子项。如制定《终端运行室航管甚高频通信系统投产实施方案及应急处置预案》、检查测试航管甚高频通信系统设备以及现有在用甚高频通信系统设备、甚高频通信系统设备投产飞行校验、甚高频通信系统设备开放报批、人员业务技能培训、甚高频通信系统设备投产安全评估等。针对每个工作子项，逐一查找可能存在的危险源。如在人员业务技能培训方面，发现危险源为“维护人员对信号引接线路不熟”；甚高频通信系统设备投产安全评估方面，发现危险源为“航管甚高频及龙岩红尖山甚高频通信系统设备出现故障”，从而有针对性地加以风险防控。五是情景假设预测法。在完成一项任务之前，情景假设任务进行过程中可能出现的问题，考虑到最坏的方面，预测出可能出现的危险源。案例5：不停航施工。机场α9滑行道不停航施工15天的通告，技术保障部分析不停航施工给设备运行保障带来的风险。先进行情景假设，尽量往最坏的方面考虑，如下滑台的导航设备巡检线路是否因α9滑行道不停航施工发生变更？如果发生变更，就存在向塔台和机场相关通报的问题。另外，空管设备的遥控线路的走向与α9滑行道有交叉，不停航施工会不会影响到空管设备的遥控线路？α9滑行道靠近下滑台保护区，施工车辆频繁进出会不会影响到设备信号的准确完好？针对这些情景假设，预测潜在的危险源，最后识别出危险源为“α9滑行道不停航施工挖断空管设备遥控线路”。六是事件调查识别法。按照不安全事件调查程序，深入调查事件发生的致因，识别与事件致因相关的危险源。案例6：人为责任原因导致关键空管设备供电中断，影响管制工作。11月29日14∶30，外部施工人员在航管楼安装配电柜，未经许可进入设备间擅自分/合配电柜总开关，导致区域管制室主/备自动化席位主机SDD和协调席主机FDD、区域管制室主/备内话系统席位主机、区域管制室甚高频遥控盒、二楼机房ATM/DDN雷达信号传输节点路由器、交换机等设施设备供电断电。受影响的区域01扇区内个别航班由区管中心高扇临时指挥，4个航班在01扇区外等待，3个航班在02扇区外等待，6个航班地面等待。深入调查事件发生的原因：发现安全责任意识薄弱、风险管控意识不强，施工现场监管缺失，继续查找事件致因，识别出危险源“相关电闸未悬挂‘禁止合闸’警示标牌”、“配电柜未上锁”、“供配电方式缺陷”。七是座谈讨论分析法。定期召集运行一线值班人员、安全管理人员座谈讨论，通过头脑风暴，集思广益，找出潜在的危险源。案例7：航管扩容工程暨航管楼辅楼搬迁。航管楼辅楼建成，区域管制大厅、进近管制室和飞行报告室面临整体搬迁，加上主备用自动化系统席位扩容、主用内话系统席位扩容、备用内话系统席位和甚高频通信系统更新、配套的供电和网络传输设施更新、技术主任席位新设等等。技术保障部召集科主管和相关值班人员，对搬迁工程中所辖设备进行安全评估，群策群力，找出各种潜在的危险源，如“管制员和值班员对更新后的备用内话系统操作不熟悉”、“搬迁过程中管制席位设备故障”、“搬迁过程中区域管制大厅断电”，并有针对性地提出风险缓控措施。（三）注意事项。一是重点识别跑道侵入、军民航防相撞、人为因素、管制带新等空管“四大危险源”，侧重识别《空管系统不安全事件标准》中界定的不安全事件发生可能的根源或状态。二是地区空管局每年至少组织一次危险源识别活动，空管分局（站）安全管理部门每半年至少组织一次危险源识别活动，技术保障部至少每季度开展一次危险源识别活动。三是判定一个危险源是否属于安全隐患，既要检查其是否客观存在、违反有关法规标准，又要检查是否采取过措施进行整改和控制、由于资源或手段局限无法有效管控缓解。重大危险源均属于安全隐患。

二、空管设备运行的风险评价

空管设备运行的风险评价是指评估预测危险源影响设备安全运行的严重度和可能性的综合风险后果。对空管设备运行进行风险评价是实施风险管理的关键。

（一）实现步骤。

空管设备运行的风险评价分成三步。一是评估现有的控制措施。列出现有的控制措施，评估在这些控制措施和环境条件下，危险源对空管设备运行产生的预期影响后果。二是确定严重度和确定可能性。严重度是危险源影响或后果在损失或损害方面的程度。可能性是危险源造成后果的预计发生次数除以设备运行总小时数。三是确定风险等级。将严重度和可能性的评估结果组成风险矩阵，就生成安全风险指数，并确定风险等级。

（二）实现途径。

主要有以下两种。一是风险矩阵法。（1）确定严重度。严重度等级分类为“可忽略不计的、较小的、重大的、危险的、灾难性的”5级。（2）确定可能性。可能性定量分为“极不可能的、罕见的、偶然的、经常的、频繁的”5类。（3）确定风险值。风险评估矩阵将风险划分为可接受的、可容忍的和不可接受的三个等级。风险指数表示可能性和严重度评估的综合结果。其中，红色区域代表高风险，风险不可接受，应立即停止或减少操作或运行，或实施额外或增强的控制措施，使风险指数降至中度或低度的范围。黄色区域代表中度风险，风险可容忍，应及时采取缓控措施，尽可能使风险指数降低至低度范围。绿色区域代表低风险，风险可接受，无需进一步采取风险缓解措施。案例8：主用28所自动化系统RFP（雷达数据处理前置机）设备老化。主用28所自动化系统共有3台RFP设备，现有的控制措施是合理分配二次雷达信号接入，防止单台设备故障影响系统数据融合，设备巡检时要及时发现故障，做好设备切换。先分析确定严重度，一旦主用28所自动化系统RFP设备故障，将造成管制工作负荷大幅度增加、安全裕度明显较少的，属于3级即重大的。再分析确定可能性，主用28所自动化系统RFP设备从投产运行至今已有8年，3台RFP设备中只发生1次故障的概率至少是1/（24*365*8*3），预计后果发生概率约等于1/（2*105），显然：1/105＞预计后果发生概率≥1/107的，属于3类即偶然的；对照风险矩阵，风险指数为3×3=9，位于黄色区域，风险等级确认为可容忍的。二是模糊综合评价法。模糊综合评价法以模糊数学理论和层次分析法为基础，采用定性评价和定量计算相结合的方法分别计算风险发生的可能性和后果的严重性，然后计算风险的等级。相对风险矩阵法而言，由于步骤繁琐，空管设备风险评价中较少运用模糊综合评价法。

（三）注意事项。

一是评估与空管设备保障相关的危险源时，要使用设备运行小时数用于确定危险源发生后果可能性。二是评估现有的控制措施，要立足于设备安全运行实际，做最坏的打算。三是对空管设备运行的风险评估并非只进行一次，必要时，对安全风险可重新评估，根据评估结果重新修改风险缓控措施。

三、空管设备运行的风险缓控

空管设备运行的风险缓控是指采取科学合理有效的方式缓解和控制安全风险，以期将风险降低到可接受的安全水平。对空管设备运行进行风险缓控是实施风险管理的根本。

（一）实现步骤。

空管设备运行的风险缓控分成三步。一是制定合理的风险缓解措施。对不可接受的风险，应立即制定详细的风险控制计划，明确责任以及所需资源。必要时，对风险重新评估，修改风险缓控计划。二是确定预测剩余风险。预测剩余风险是基于缓控措施得到有效实施的一种假设。如果在尝试所有可能的缓控措施后，风险仍不能降低到可容忍或可接受的水平，需要放弃相应的变更。三是实施持续监控。持续监控主要包含监控的频次或时间、负责人、风险控制措施的执行情况和效果。

（二）实现途径。

一是风险控制。风险控制策略是通过制定相应的缓控措施，能够减低风险等级（可能性或严重度）。案例9：对危险源“甚高频RS8信道设备老化且容量不足”进行风险评价，由于甚高频RS8服役年限长，设备老化、性能下降、故障率高，加上管制业务增长导致需求增加，信道容量明显不足，部分主用频率无法满足双重覆盖的需求，依靠应急DTR单机弥补备份，现有的防控措施是加强维护维修，做好备件储备。经风险评价，可能性为偶然的、严重度为严重的，风险等级为3×3=9，属于可容忍的范围。对这个危险源进行风险缓控的有效措施是通过加强维护维修、备件储备和其他VHF设备的调配，基本满足现有容量配置需求；该危险源风险等级降为2×1=2，属于可接受的范围。后期将在空管设施扩容工作中完成8信道VHF设备更新，关闭该危险源。目前已完成设备调试，并接入内话系统试用，有效控制了设备运行风险。二是风险规避。风险规避策略是通过选择不同的方法或不实施相应的方案，避免潜在危险源的发生。案例10：雷达站选址。对雷达站的运行需求进行分析，对预选台址进行电磁环境测试，地理测绘与环境评价，分析预选台址的设备信号覆盖、建台条件包括供电、通信等方面。重点审查电磁环境及场地保护区是否满足要求和技术分析是否满足运行需求，一般可选择两个甚至多个台址，根据不同的选址方案列出潜在的危险源，对危险源进行分析评价，通过排除法规避安全风险。三是风险转移。风险转移策略是将风险所有权转移给另一方，接收方可能更有能力在运营或组织层面减轻风险。接收方应该是最有能力管理相关风险的组织或单位，必须记录风险转移过程。案例11：签订盲降保护区割草协议书。盲降保护区的割草作业由机场负责，经风险评价，以往发生类似不安全事件的致因均为信息通报不畅，机场有关和导航值班人员的责任界面不清晰。因此对危险源“机场在保护区割草作业”进行风险缓控的措施是定期与机场有关签订盲降保护区割草协议书，进一步规范固化信息通报的流程，谁的责任谁承担，以签订协议的形式，将风险转移到应当承担风险的责任方。四是风险承担。风险承担策略意味着接收风险，风险接受者应负承担风险的责任。风险承担策略不能用来对待高风险，必须在中等或以下才能被接受。案例12：内场航向台Ⅰ回路供电突发故障中断，ATS自动切换到Ⅱ回路供电正常，当前航向台UPS工作也正常。经风险评价，Ⅱ回路供电突发故障和航向台UPS同时发生故障是极不可能的，风险等级属于可接受的范围，我们在承担这个安全风险的同时，也要积极联系机场供电部门，督促抓紧检修恢复航向台Ⅰ回路供电，同时提前准备移动发电机，随时做好进场应急供电的准备。

（三）注意事项。

一是围绕安全绩效目标实施监控计划，持续监控的证据不能是间接的，必须通过观察、测量测试或其他手段获得。二是按要求填写上报《危险源控制清单》。三是对于空管分局（站）技术保障部无法缓解的风险，应逐级上报空管分局（站）安全管理部、地区空管局通信导航监视部协商解决。对于空管分局（站）无法缓解的风险，应逐级上报至地区空管局和空管局协调解决。

作者：黄武 单位：民航厦门空管站