徐俊明+张晨
摘要:美国“9.11”事件、伦敦、马德里等地恐怖袭击,以及卡特里娜飓风等灾难性气象条件和全球范围内气候突变等严峻现实,引发了各国政府对关键基础设施和重大安全性行业如何具备持续服务能力问题的高度重视。空管作为国家关键安全系统之一,如何确保其在各类不利条件下的服务安全性和业务连续性受到愈加广泛关注。该文从风险评估、部署方式和运行维护三方面研究大型空管机构灾备策略,可为各地管制中心的灾备系统规划与建设提供借鉴。
关键词:容灾备份;管制中心;规划
Abstract:More and more countries have paid attentions to the continuous serviceability of critical facilities in the industry as for the nations safety and security after they met the problems caused by terrorist attacks in U.S., London, and Madrid, severe weather such as hurricane Katrina, and abrupt climate changes in the whole world. ATM facility is one of the important components of nations safety and security system. Therefore, the service safety and continuity of the ATM facility under various adverse conditions are getting more and more attentions. The paper reviewed strategies of the disaster backup and recovery as for the main ATM facilities from the aspects of risk evaluation, deployment mode, and maintenance mode, which proposes the reference for planning and constructing new disaster backup and recovery system of ATM control centers in different areas.
Keywords:Disaster backup and recovery;Air traffic control centers;Plan
引言
2007年,《關于印发全国高空管制区规划调整方案的通知》下发,明确了建设沈阳、北京、上海、广州、三亚、成都、西安、乌鲁木齐8个高空管制区,同时全面深入推进各地区域管制中心建设。“十二五”期间,随着成都、西安和沈阳完成区域管制中心建设,全国已建成并陆续运行6个区域管制中心。“十三五”期间,空管系统将加快乌鲁木齐区域管制中心建设,加快上海、广州终端管制中心建设,继续推进空域管理中心、运行管理中心和航空情报中心建设,以及亚洲航空气象中心建设,初步形成大区域、高度集成和自动化运行的空管机构及其基础设施网络。然而,为了衔接“空管全球一体化”的发展趋势,实现中国现代化空管系统的建设战略,在大都市圈、高密度和复杂运行环境下如何评价和维系众多空管机构和大量基础设施的安全运行和持续服务能力,开始成为空管系统规划和建设的关键命题。同时,随着航班量的进一步跃升和空防安全性要求的进一步提高,如何应对大型灾害和黑天鹅事件的影响,也成为空管持续发展必须面对和解决的问题。本文从风险评估、部署方式和运行维护三个方面,系统分析了空管机构及设施的灾备策略。
一、风险评估
需求方面,俄罗斯在2003年第11次航行会议上向国际民航组织提交的《在全球和国家层面对空中交通安全水平进行评估的问题》中指出,不同国家空中交通安全目标水平及其评估方法可能不同,国际民航组织有必要制定一个统一的、标准化的空中交通安全指标及其确定方法[1]。美国联邦航空管理局在2004年印发的《国家航空研究计划》中提出:要开展安全数据分析方面的数据搜集和发布研究;要在航空安全分析方法研究中,针对安全等级如何确定提出更有效的方法,降低系统差错造成的后果;要研发风险管理决策支持系统,用以建立识别风险、危害和事故的数学模型,并基于这些模型使用系统工程方法开发下一代安全评估方法和风险指示系统[1]。
方法工具方面,安全系统工程领域的风险评估方法较为经典,但在定量描述空管安全状态、识别系统风险、建立关键指标,以及软件研发等方面的研究相对欠缺,有关灾难、风险及其对空管业务的影响的研究总体处于起步阶段[2]。目前,国外风险评估方面的研究主要侧重对空管运行状态的定性描述,重点研究飞行过程中的事故风险,如H.H. de Jong等最早归纳了空管运行中可能发生的灾难类型[3],S.H. Stroeve等提出了空管运行中的事故风险评估方法和一般流程[4]。国内学者尽管作了一些工程化结合,但距离应用仍有差距,例如朱艳芸等对适合空管系统的风险评估方法进行了归纳[5]。李小鹏等对如何在空管设施、设备运行保障中应用风险管理流程进行了研究[6]。丁松滨等提出一种管制员风险评价的证据理论模型[7]。曾敬等提出风险势能概念,提出了通航管制的风险评估方法[8]。文兴忠等提出基于灰色理论的空管安全风险评价方法[9]。高杨提出航空安全风险评估的层次分析方法[10]。1996年,民航总局航空安全办公室启动“民用航空安全评估系统”建设,并于1998年基于“航空公司安全评估系统”和“民用机场安全评估系统”提出进一步开发“空中交通服务安全评估系统”的设想。“民用航空安全评估系统”的研发在建设民航安全管理体系方面取得了初步成效,但在灾备功能的实现方面未做深入考虑,无法支持空管业务的灾难影响分析等科学风险评估的进一步需求。
因此,尽管航空发达国家早已在需求层面对空管业务的风险评估范畴和要点进行了阐述,但在大型空管机构的灾备方面,传统的风险评估方法无法满足空管现实的运行需要,有必要引入和提出新的方法工具,加快重视空管业务领域灾备风险的评估方法研究。
二、部署方式
选择合适的灾备部署方式的对大型空管机构的整体规划与建设起到重要影响。由于运行模式不尽相同,各国和地区空管系统的容灾能力参差不齐。因此,欧洲航行安全组织推荐了6种部署方式,包括:同址式、多用式、中央式、共享式、委托式和混合式[11]。
(一)同址式。
灾备系统与主用系统同址建设,其管制应用终端、数据处理模块和网络日常可用,并在进行仿真训练和开发升级时与主用系统共享硬件资源,满足管制员应急演练和设备维护的需要。这种灾备方式下,人员、后勤等迁移难度较小,通过使用冗余或淘汰系统实施“应急净空”可以使灾备处置相对快速和简便,共享硬件设施也可降低设备管理等维护成本。利用军用设备实现部分空管机构的同址灾备还可以增强军民航的协同水平。但这种灾备方式对管制员有额外培训要求,一般无法提供高密度或长时间管制服务,在地震、洪水等重大灾难中也无法提供应急服务,不利于“单一天空计划”和“功能空域区块”等运行新概念的部署和实施。随着时间推移和灾备能力下降,可能还需要重新划分扇区应对席位资源的持续丧失。
(二)多用式。
多用式灾备系统建立在相关高校或培训机构中,或在大型区管中心附近构建国家级容灾备份中心。与同址式相似,多用式灾备系统也具有人员、后勤等迁移难度较小,可以使用冗余或淘汰系统实施“应急净空”任务,以及共享基础设施降低设备维护成本等优势。但在灾难出现初期,这种灾备方式需要对应急系统进行重新配置和相关调试,管理和协调难度较大。此外,这种方式在规划时需要考虑两用基础设施在空管系统内部的共享方案,异址建设还需考虑选址问题。
(三)中央式。
统一容灾备份中心覆盖全国或多个空管单元,通过规模经济降低各地分散建设灾备系统的总体成本。中央式灾备系统兼顾了同址和多用式灾备系统的特点,如作为模拟和训练中心与培训院校、管理机构同址建设,或与一个区域管制中心同址规划,避免重复建设。统一容灾备份中心可从各管制中心招募运行和工程人员作为中心和失效管制单位的支持人员,并籍由“最小差异”原则,协调统一各管制中心在资源利用和培训方面的认识,减少或避免程序协调以及大规模演练等问题。主要困难在于为防止全国性流行病或恐怖袭击,中心选址比较困难;招募各管制中心员工长期留在容灾备份中心存在一定难度;中心仍然存在无法应对的场景,如多个管制单位同时失效等。
(四)共享式。
随着“单一天空计划”和“功能空域区块”运行新概念的推进实施,欧洲航行安全组织建议相邻国家建设共享的灾备系统,减少各国单独建设和维护相关设施的巨额费用。建设方案一是共同出资建设一个灾备中心,二是选择某国设施作为所有参与国的灾备中心。共享方式下,相关协议涉及政策、管理和技术各个方面,需要获得参与国家相关部门许可。为实现快速接管,参与单位的相关系统需要进行重构,并涉及运行和工程人员的短期调动。反馈机制十分关键,灾备中心激活和失效机构恢复后,相关信息均需告知参与各方。国家间“统一语言”有助于提高运行的透明度,增加安全性,尤其在应对潜在恐怖袭击活动方面增加决策的协同水平和减少费用支出。然而,考虑到国家主权,尤其在政治和安保方面,法规问题(如许可和认证等)十分复杂,管制员在灾备中心的工作难度较大。参与方的运行系统要有较高的相似性,共享式灾备中心才能体现规模经济。但目前各国的运行模式仍有不少差异,要满足参与各方需求的总体费用较高,分摊费用的方式也缺乏标准,单一灾备中心应对参与各方变化需求的灵活度也远远不够。
(五)委托式。
这种灾备方式是以协议形式委托邻国承担国内部分管制中心失效条件下的灾备任务。委托方式下,一个或多个管制中心可以根据水平范围划分承担援助任务(根据扇区、飞行情报区等),也可以为指定高度或高度层以上/以下飞行提供灾备服务。与共享方式类似,委托灾备方式可以相对低成本地最大化利用现有设施资源。但由于涉及国际协议,跨国商讨较为复杂,受参与各方国家政策的影响较大。此外,在有季节性波动情况下,或在高密度运行期间,援助单位的系统容量和冗余度不足可能造成协议履行的稳定性变差,受托方无法提供长时间的灾备保障。由此造成的互不信任将导致委托方式无法持续推行。
(六)混合式。
混合灾备方式是指多种灾备方式的互补应急,如某国空管单位建立了中央式灾备中心,同时与邻国签订委托协议书,并与其他使用类似软件的国家进行共享式备份。混合方式的多样性造成实际运行的复杂性,但可针对不同范围和程度的安保威胁和灾害提供不同的解决方案,灵活性和适应性较好,为安全生產和业务连续提供力更大应变空间。尽管欧洲航行安全组织为了推进“单一天空计划”和“功能空域区块”运行新概念,更倾向于共享灾备方式,但相比单一策略,混合方式允许但不完全依赖国际合作,兼顾了各种灾备方式的优点,为应对多区和多样失效场景提供了更加可靠的纵深防御手段。
综上,6种灾备部署方式各有利弊,根据不同合作层面提供了建设灾备中心的可能路径。可以看到,确定灾备部署方式的主要因素涉及安保和防恐形势、现有设施和运行方式的相似程度、人员培训与调动、成本总额和分摊标准,以及相关协议的履约难度。欧洲航行安全组织在泛欧国家间定义和推荐这些部署方式,对比我国目前初步实现一体化运行的空管系统,在标准不统一、成本难核算、人员素质差异大等关键因素方面仍有较多相似之处。随着单个空管单位保障飞行量的逐年提升,以及设施设备复杂程度和规模越来越大,有必要借鉴欧洲的灾备部署思路,尽早确定我国重要空管机构的灾备方式,规划相关灾备中心的立项建设。
三、运行维护
灾备系统运维对灾难发生后运维人员的快速响应和关键业务的快速恢复起到更加决定性的作用。然而,随着航班流量的急剧增加,世界范围大型空管机构的飞行保障压力越来越大,灾备系统的运维普遍遭遇以下瓶颈。一是运维能力的科学规划比较薄弱。相关岗位设置不合理、人员数量有限、工作任务繁重、运维质量不高的情况无法满足系统规模增加后的运维需求。二是运维人员的业务素养有待提高。在空管系统不断更新和完善的情况下,缺乏对新业务的系统培训和运维专业知识的及时更新,高效运维就无从谈起。三是运维手段落后。当前空管系统的信息系统架构日益复杂,运维线路逐渐延伸,涉及面更加宽泛,客户端、服务器、机房环境、网络等设施的监控和管理手段尚未全面实现信息化,不能及时、高效应对突发事件及各类灾难。各类空管系统的安装、更新和调试、软件故障恢复、信息网络及信息系统安全防护等均对灾备系统的运维提出全新要求。
为了应对这种严峻形势,20世纪70年代,随着银行、证券、保险、医疗和政府部门对灾难备份需求的不断增加,美国灾难备份行业得到迅猛发展。民航领域借鉴其他行业的既有经验,开始着手针对民航关键基础设施的灾备系统运维研究[12]。作为阶段性成果,2009年,美国联邦航空局印发了《机场应急规划》[13],对机场各类运行人员在发生航空器事故、恐怖袭击、火灾、暴风雨、地震、龙卷风、火山爆发和洪水等灾难时应提供的应急服务进行了描述,并对各自职责和任务范围进行了界定,以确保机场开展顺利和高效的应急保障。2012年,美国联邦航空局印发了《空中交通技术培训》,对可能发生的空管事件中各类人员应提供的应急服务进行了总体描述[14]。2013年,美国联邦航空局印发了《空管业务应急规划》,对空中交通管制系统指挥中心、航路管制中心、系统运行服务部门、洋区/终端服务部门和技术服务部门各类人员在应急服务过程中应扮演的角色和职责进行了分工,为维持空管业务的可持续性提供了强有力指导[15]。欧洲航行安全组织印发了《空中导航服务应急规划纲要》,对成员国的航行服务提供商和各国行业管理监督机构在应急和风险管理中的业务流程和职责划分进行了详细描述[11]。目前,欧美在空管灾备系统运维方面的主要举措仍然集中在针对各类危险事件的应急预案体系建设方面。
因此,尽管现代空管系统作为大型复杂系统牵涉越来越的生产运行环节,灾备系统的运维随之达到空前规模,但在具体的运维理念、方法和手段工具方面仍然捉襟见肘。美国在应急层面提出了相关服务的分工描述,欧洲航行安全组织在规划层面提出了概略要求。随着各类系统本身级联程度和关联网络的进一步复杂化,灾备系统的运维效能将更难判断、评估。亟需在风险评估的基础上,从成本和效能的角度,加大对于灾备系统运维措施的审慎考量,才能更顺畅和有效地发挥灾备系统的建设目标。
四、小结
本文从风险评估、部署方式、运行维护等方面系统回顾了欧美大型空管机构主要的灾备策略。尽管各个领域的研究进展和已有实践均不完善,但总体上揭示出空管灾备系统规划和建设的架构思路和主要困难。民航强国,空管先行。随着我国航空业务进一步迅猛发展,现有空管系统设施设备的许多方面已经濒临效能极限,加快着手灾备系统的整体规划和建设成为当务之急。此文仅为相关研究的主要线索,可以为相关工作的开展提供借鉴。
参考文献:
[1] 石荣.空中交通管理风险分析系统[D].中国民航大学,2007.
[2] 张旭婧.空管系統安全评价方法及其应用研究[D]. 南京航空航天大学,2009.
[3] H.H. de Jong. Guidelines for the Identification of Hazards[R]. Netherlands: NLR Air Transport Safety Institute, NLR-CR-2004-094, 2004.
[4] SH Stroeve, HAP Blom, HHD Jong. Comparison of Accident Risk Assessment by Event Sequence Analysis Versus Monte Carlo Simulation[C]. Southampton, UK: Eurocontrol Safety R&D Seminar,2008.
[5] 朱艳芸.空管系统安全风险分析方法研究[D].天津:中国民航大学,2008.
[6] 李小鹏. 风险管理方法在空管设备保障工作中的运用[J]. 民航科技,2005 (4):1-3.
[7] 丁松滨,石荣.空中交通管制人员风险评价的证据理论模型[J].系统仿真学报,2007,19(15):3368-3371.
[8] 曾敬,林灵,闫克斌. 基于通用航空的空中交通管制压力和风险评估方法的探讨[J]. 中国民航飞行学院学报,2011,22 (5):14-18.
[9] 文兴忠.基于灰色多层次的空中交通管理安全风险评价[J].科技导报,2011,29 (32):47-51.
[10] 高扬,牟德一. 航空安全评估中的层次分析法[J]. 中国安全科学学报,2000,10 (3):39-41.
[11] EUROCONTROL. EUROCONTROL Guidelines for Contingency Planning of Air Navigation Services (including Service Continuity). EUROCONTROL-GUID-0118.(2009-04-06). http://www.eurocontrol.int/sites/default/files/article/content/documents/nm/safety/safety-guidelines-contingency-planning-ans-2009.pdf
[12] 曲晓丽.金融系统灾难备份技术研究与部署[D].青岛:中国海洋大学,2007.
[13] FAA.AIRPORT EMERGENCY PLAN[S]. Washington DC: FAA, AC 150/5200-31C, 2010.
[14] FAA. Air Traffic Technical Training[S]. Washington DC: FAA, FAA Order JO 3120.4N, 2013.
[15] FAA. Air Traffic Organization Operational Contingency Plan[S]. Washington DC: FAA, FAA Order JO1900.47C, 2009.
作者简介:
1.徐俊明(1963年5月),男,汉族,籍贯上海。现就职于民航华东空管局,职务局长助理,职称经济师。本科学位,主要研究空中交通管理领域的地区政策、规划管理与应用技术。
2.张晨(1980年3月),男,汉族,籍贯江苏省武进市。现就职于民航华东空管局战略发展部,职务三级行政助理,职称工程师。博士学位,主要研究空中交通管理领域的地区政策、规划管理与应用技术。