基于BPMN和故障树的管制交接班认知危险分析

王洁宁，曹雪梅，周 沅

（1.中国民航大学天津市空管运行规划与安全技术重点实验室，天津 300300；2.中国民用航空华东地区管理局，上海 200335）

基于BPMN和故障树的管制交接班认知危险分析

王洁宁1，曹雪梅1，周 沅2

（1.中国民航大学天津市空管运行规划与安全技术重点实验室，天津 300300；2.中国民用航空华东地区管理局，上海 200335）

在业务流程建模与标注的基础上结合故障树分析方法对区域管制员交接班过程中的危险项进行定性/定量分析，根据业务流程建模与标注的要求，对区域管制工作任务进行分析，建立了交接班过程模型，结合故障树分析方法，对过程中的每一项任务进行危险识别。计算结果表明，该方法可有效识别空管交接班中危险项，为管制交接工作提供科学合理的风险定量计算具有指导意义。

交接班任务；认知流程；BPMN；故障树

空中交通管制是保障空管运行安全的重要环节，空中交通管制的安全性受多种因素影响，如设备运行状况、天气情况、空域限制和空中交通管制员人为差错等[1]，其中人为差错占有较大比重。霍志勤等[2]采用修正的REASON模型，结合空管运行的实际情况，构建了事故调查分析分解框架，为空管安全管理中的危险识别提供了依据。闫少华[3]在Wickens人类信息加工模型的基础上，加入注意功能、情景意识、内部和外部操作成形因素，建立了管制员信息处理模型，模型从认知角度对空中交通管制人为差错进行分类，进一步确定差错的心理致因。事实上，空管系统是一个高度分布式、具有联合认知特征的社会-技术系统，且人为差错往往是嵌套在特定的空管业务流程之中[4]。2000年，欧控提出了管制员认知流程模型[5]，该模型在管制员访谈、管制运行过程观察及空管运行仿真分析的基础上，采用自定义符号建立了管制员认知流程模型，是本文重要的参考基础。充分考虑国内管制工作的实际情况，通过业务流程建模语言构建包括任务流、信息流和控制流等为一体的管制认知流程能够为风险分析提供帮助。

从20世纪60年代开始，针对化工系统中风险分析的复杂性，人们从化工工艺流程出发，提出了过程危险分析（PHA,process hazard analysis）概念化模型，模型包括HAZOP[6-7]、FMEA[8-10]等在内的一系列风险分析方法。过程危险分析方法将传统的方法嵌入到管道仪表流程图（PID）中，从而能够在特定的节点针对特定的危险子节点开展分析。

本文依据区域管制员工作任务及各个任务之间的逻辑关系，引入业务流程建模与标注(BPMN,business process modelling and notation)[11]构建区域管制交接班流程模型，同时，提出将BPMN模型与故障树模型相结合的方法，识别出流程中可能存在的危险项，实现风险的定性/定量分析。

1 区域管制工作任务分析

区域管制单位主要为航路（航线）或指定范围内飞行的航空器提供空中交通管制服务和告警服务，同时还可为部分航空器提供飞行情报服务。区域管制员不仅需要具有宏观的计划、预测、协调、组织能力，同时还要具有良好的管制工作节奏感和发送指令与解决冲突时机的把握能力[12]。

根据“集成任务分析方法”[13]，结合某区域管制中心SMS手册，并经过访谈调研，确定了以下3种工作任务：

1）管制活动（controller’s action） 管制员实施管制指挥的基本工作任务。主要包括以下子任务：①交接班，管制员工作席位交接，并建立当前空域态势的情景意识；②监控，管制员保持对当前空域运行情况的监视；③处理常规请求，管制员处理如飞行器高度、速度改变等一些常规情况；④处理请求/协助飞行员，管制员处理其他空管人员的请求，并协助飞行员实施飞行活动；⑤解决冲突，管制员在预计将要发生飞行冲突时，通过协调和发布指令等方式解决冲突。

2）认知活动（cognitive task） 管制员在执行管制活动时，对信息进行加工处理的行为活动。主要包括以下子任务：①准备工作，管制员在交接班前需熟悉和观察当前的交通状况；②更新心理图，管制员在完成一个任务后需重新建立对当前空域态势的情景意识；③检查，管制员对设备的简单检查，及对实时信息的掌握；④查找冲突，管制员需预测是否存在潜在冲突，预判当前空域运行态势是否符合安全规则；⑤发布指令，管制员向飞行员发布调配指令。

3）注意力转换（attention） 管制员需将注意力转移到更高优先级任务上。

区域管制工作任务中管制活动、认知活动和注意力转换这3种任务过程并非孤立存在，三者之间可能存在依赖关系、关联关系、聚合关系等多种关系，为了更好地说明，本文采用UML方法[14]刻画三者之间关系，如图1所示。

由图1可知：认知活动类，由准备工作、更新心理图、检查、查找冲突和发布指令5种子任务构成，同样地，管制活动由交接班、监控、处理常规请求、处理请求/协助飞行员和解决冲突5种子任务聚合而成；管制活动与认知活动存在“一对多”的关联关系，如交接班任务关联到4种认知活动，分别是准备工作、更新心理图、检查、查找冲突。

图1 区域管制工作任务关系类图Fig.1 Relationship class diagram of en-route control task processes

通过UML构建区域管制工作任务关系类图，有助于明确管制工作任务之间的层次关系，及各个任务之间的关联关系。“交接班”过程是区域管制员进行基本工作任务的始端，同时是实现其他任务的重要基础，故本文以交接班过程作为研究对象。

2 “管制交接班”任务分析及建模

2.1 “管制交接班”任务分析

管制交接班是为避免交班管制员工作时间过长，导致身体和心理劳累、注意力松懈的岗位轮换制度。中国交接班任务是强制执行的工作任务，在交班管制员讲解信息、管制意图等过程时，有助于接班管制员尽快从非工作状态转入高度集中的工作状态。良好交接班为后续管制指挥和解决冲突奠定了坚实的基础。

通过第1节关于管制工作任务的分析可知：交接班任务包含的4种认知活动，分别是准备工作、检查、查找冲突和更新心理图。表1是对每个认知活动存在的认知行为分析。

2.2 基于BPMN的“管制交接班”流程建模

从2.1节关于管制交接班认知行为的分析可知，管制交接班过程是一种时序流程，其中具体认知活动中包含一些并行或复杂事件等。鉴于管制交接班过程存在流程特点，故采用业务流程建模与标注，这是一种以图形化的方式表述业务流程的建模语言，可给用户提供一种容易理解的表示方式，同时可用于描述业务流程中的任务流、信息流和控制流[11]。

BPMN2.0中含有5种核心元素集合，分别是任务集合（T）、事件集合（E）、网关集合（G）、池（P）和流集合（F）。核心元素的图形如图2所示，关于每种核心元素的定义、表示符号具体参见Cameo Business Modeler 18.3专业软件手册[15]，本文不再赘述。

表1 管制交接班认知活动任务Tab.1 Cognitive task of‘taking over position’

图2 核心BPMN元素Fig.2 Core element of BPMN

在BPMN2.0中，为了得到标准的流程模型，需对流程作出以下逻辑约束定义：

定义1 BPMN=（T，E，G，P，F），其中，集合T、E、G、P互不相交。

定义2 业务流程中的逻辑约束条件，如

条件1 ∀e∈ES：in（e）=Ø∧ out（e） =1

条件2 ∀e∈EE：in（e）=Ø∧ in（e）=1

条件3 ∀t∈T：ou（tt）=1

其中：ES表示开始事件；EE表示结束事件。

因此，在符合BPMN2.0逻辑约束的前提下，应用Cameo Business Modeler 18.3专业软件构建如图3所示的管制交接班过程模型，及检查任务内嵌套的认知流程，如图4所示。

图3 区域管制员交接班认知流程模型Fig.3 Cognitive process model of en-route controllers’taking over position

图4 基于BPMN的区域管制员"检查"过程模型Fig.4 En-route controllers’checking process model based on BPMN

在区域管制交接班认知流程模型中，本文将交接班过程中包含的4种认知活动定义为子过程（即用带有加号的矩形框表示），子过程意味该过程内包含更具体的流程。图4显示的是管制交接班检查活动的认知流程模型，其他3种认知活动同样存在具体的流程模型。在管制交接班进程中，每进行一项认知活动，就可能产生一定危险，随着每项认知活动的进行，认知活动中的危险也会相应的累加，即准备工作任务中产生的危险会对信息检查任务产生影响。随着过程发展的进程，危险累加，最终会导致管制交接班失败，甚至造成不良后果。因此，可将管制交接班过程划分为合理的分析节点，以便较全面地分析每项认知活动中存在的危险，从而降低管制员交接班存在隐患的可能性。

本文应对管制交接班过程中存在的4种认知活动分别进行基于BPMN的故障树分析，但由于篇幅限制，仅以检查认知活动为例进行分析。

3 故障树定量风险分析

故障树分析法是一种通过演绎推理的方式，用树形图表示系统可能发生的某种事故与导致事故发生的各种原因之间的逻辑关系[16]。很多学者直接将故障树分析方法用于分析系统故障，这样分析存在的缺点是分析较大型系统时，无法保证所构建故障树的完整性，也给定量分析增加了难度。为了构建较为完整的故障树，本文在HAZOP和FMEA过程危险分析方法基础上，将系统划分为合理的分析节点，再针对每个分析节点进行故障树定性/定量分析。图5所示的就是将故障树用于BPMN模型中任务节点的分析模型，即基于BPMN的故障树模型[17]。

从图5可知，导致任务故障的原因不仅仅来自于任务本身的致因因素，还有上一任务的危险输入，故在使用该模型进行过程危险分析时，不应忽视关联任务之间的相互影响。以“检查”认知活动为例进行定性分析，对于进行扫视雷达屏幕或提示信息行为时，可能出现视频信息超出视界、视频信息干扰、错误等差错。进而得到如表2中列举导致检查信息不全面的致因因素，其中还包含准备工作不充分产生的危险因素。

图5 基于BPMN的故障树模型Fig.5 FTA model based on BPMN

表2 检查信息不全面危险致因因素Tab.2 Causing factors of incomplete information checking

表2中的致因因素是导致活动故障的直接因素。这些直接致因因素就构成了故障树的基本事件，再通过树状结构的节点互联，形成了完整的信息检查不全面的故障树，本文在Fault Tree+软件中构建了如图6所示故障树。图中的节点代表了故障或失效路径，并通过布尔逻辑和符号连接起来。基本事件概率是根据某空管局2009—2012年度不安全事件报告统计得到，如表3所示。为使用Fault Tree+软件对管制交接班中检查认知过程进行定量分析，需将基本事件发生频率转换为故障率（即每百万小时失效率），代入软件计算，得到图7所示的关于信息检查不全面的结果报告，及图8所示的人为差错重要度分析结果。

图6 信息检查不全故障树Fig.6 Fault tree of incomplete information checking

表3 某空管局2009—2012年度不安全事件报告统计Tab.3 2009—2012 unsafe event report of one sub-bureau of CAAC

图7 信息检查故障树结果报告Fig.7 Fault tree result report of incomplete information checking

从信息检查结果报告中明显可以看出，管制交接班过程中，信息检查不全面的故障率为5.048E-08每百万小时，不可用度为1.262E-14。从图8可得知，在信息检查认知活动中，管制员信息检查的人为差错问题主要受管制员检查时间不充足影响。从一线了解到中国管制交接班时间一般为10 min左右，这期间不仅要了解、熟悉交通态势，还需要听交班管制员讲解，对可能的冲突进行调配等活动，因此检查信息时间不充分对导致管制员信息检查不全面影响较为显著。进而提醒管理者对管制员进行培训、考核时，应对合理分配交接班时间给予足够重视，使得管制员可以高效地完成交接班任务。

图8 信息检查重要度分析Fig.8 Importance analysis of incomplete information checking

同理，可使用基于BPMN的故障树方法对其余的3种认知活动进行故障树构建和重要度分析。

4 结语

高效交接班是管制员正常流畅工作的重要保障，这是一个不能出现任何纰漏的环节，任何一个空中动态的遗忘移交都可能形成潜在的隐患。本文将业务流程建模工具BPMN引入到空中交通管制员认知风险分析中，结合故障树分析方法对流程模型中的任务节点进行最小割集、最小径集和重要度的定性/定量分析。本方法可较为准确地识别出管制员交接班过程中的危险项，并计算出相应的故障率，对于一些重要度较高的危险项，应引起管理者和管制员的足够重视，为实现区域管制交接班精细化管理打下坚实的基础。本文后续工作将进一步细化认知过程，通过大量的实际数据进行验证。

[1]隋 东,韩明良,董襄宁,等.空中交通管制员认知可靠性研究[J].南京航空航天大学学报,2007,39(3):384-387.

[2]霍志勤,谢孜楠.Reason模型在空中交通管制中的应用[J].中国安全科学学报,2008,18(1):155-159.

[3]闫少华.基于信息加工模型的管制员差错分类与分析[J].中国安全科学学报,2009,19(8):121-125.

[4]施和平.空管系统安全管理——基于资源、机制、效用模式的理论和实践[M].北京:中国民航出版社,2015.

[5]EUROCONTROL.Integrated Task and Job Analysis of Air Traffic Controllers Phase 3 Baseline Reference of Air Traffic Controller Tasks and Cognitive Processes in the ECAC Area[R].European Organization for the Safety of Air Navigation,2000:111-128.

[6]卢琳琳,张来斌,梁 伟,等.基于因果依赖图的HAZOP推理方法研 究[J].中国安全科学学报,2012,22(2):63-68.

[7]郭丽杰,王 楠,康建新.石化装置HAZOP节点重要度模糊综合评价研究[J].中国安全科学学报,2015,25(1):98-104.

[8]郑晶晶,张钦礼,王新民,等.充填管道系统失效模式与影响分析(FMEA)及失效影响模糊评估[J].中国安全科学学报,2009,19(6): 166-171.

[9]胡海涛,高朝晖,何正友,等.基于FTA和FMEA法的地铁牵引供电系统可靠性评估[J].铁道学报,2012,34(10):48-54.

[10]李中兴,陈国华,李 刚,等.基于PHA-FMEA的电梯安全评估方法及应用[J].2014,24(10):60-64.

[11]OBJECTMANAGEMENTGROUP.Businessprocessmodelandnotation (BPMN)2.0,StandardDocumentformal/2011-01-03[R].Object ManagementGroup,Needham,2011.

[12]杜 实.空中交通监视服务[M].北京:中国民航出版社,2012.

[13]SEAMSTER T L,REDDING R E,KAEMPF L.Applied cognitive task analysis in aviation[J].International Journal of Cognitive Ergonomics, 1999,3(3):377-378.

[14]冀振燕.UML系统分析与设计教程[M].北京:人民邮电出版社, 2009.

[15]OBJECT MANAGEMENT GROUP INC.Cameo Business Modeler User Guide[G].2013.

[16]SINNAMON R M,ANDREWS J D.New approaches to evaluating fault trees[J]．Reliability Engineering&System Safety,1997,58(2):89-96.

[17]LUKE T.HERBERT,R S.Quantitative Analysis of Probabilistic BPMN workflows[C]//Tcyl ASME 2012 International Design Engineering Technical Conference&Computers and Information in Engineering Conrfeence,Chicago,2012.

（责任编辑：黄 月）

Research on controllers’cognitive risk based on BPMN and FTA

WANG Jiening1,CAO Xuemei1,ZHOU Yuan2
（1.Tianjin Key Lab of ATM Operation Planning and Safety Technology,CAUC,Tianjin 300300,China; 2.East China Regional Administration,CAAC,Shanghai 200335,China）

Risk factor analysis of ARTCC controllers’taking over position task is studied based on BPMN model and FTA. En-route controllers’task is analyzed,meanwhile,taking over position process is established according to the requirements of BPMN model.In order to address the safety risk analysis,BPMN model is extended to analyze cognitive risks of every key task element in the model by FTA.Results show that it can help to identify key risk factors of taking over position tasks and to conduct quantitative calculation risk level.

taking over position task;cognitive process;BPMN;FTA

V355

：A

：1674－5590（2016）06－0010－05

2015-12-28；

：2016-03-27

中央高校基本科研业务费专项（3122013P008,3122014D040）；空管科研课题（GKG201410003）

王洁宁（1966—），男，甘肃兰州人，研究员，博士，研究方向为空管仿真与空管软件技术.