Wpływ A-SMGCS na bezpieczeństwo operacji lotniskowych A

PRACE NAUKOWE POLITECHNIKI WARSZAWSKIEJ
z. 103
Transport
2014
Micha "abu#
Przedsi+biorstwo Pa/stwowe Porty Lotnicze
WP"YW A-SMGCS NA BEZPIECZE(STWO
OPERACJI LOTNISKOWYCH
R+kopis dostarczono: luty 2014
Streszczenie: W artykule opisano budow+ systemu A-SMGCS stosowanego m.in. do poprawy
bezpiecze/stwa operacji lotniskowych. W odniesieniu do tego systemu opisano schemat
podejmowania decyzji i wystBpienia bD+du w ukDadzie czDowiek-maszyna. W ko/cowej cz+Fci opisano
przypadek katastrofy lotniczej i wskazano miejsca, w których dziaDajBcy system nie pozwoliD by na
zaistnienie tego zdarzenia lub poprawiDby efektywnoFX akcji ratowniczo-gaFniczej.
S owa kluczowe: A-SMGCS, bezpiecze/stwo, podejmowanie decyzji
1. A-SMGCS
1.1. OPIS FUNKCJONALNY SYSTEMU
A-SMGCS (Advanced Surface Movement Guidance and Controls Systems) to
zaawansowany system kontroli i kierowania ruchem w polu manewrowym lotniska. Jest to
system majBcy na celu zwi+kszenie bezpiecze/stwa operacji lotniczych na ziemi,
niezb+dnego dla utrzymania zdolnoFci operacyjnych lotniska w warunkach ograniczonej
widzialnoFci.
Podr+cznik ICAO Doc 9830 z 2004 roku definiuje podstawowe funkcje tego systemu na
4 poziomach:
a) Nadzór (Surveillance), polegajBcy na uFwiadomieniu kontrolerów (oraz
w ograniczonym zakresie pilotów i kierowców pojazdów) o aktualnej nad sytuacji
operacyjnej, (np. wyFwietlacze pokazujBce pozycj+ i identyfikacj+ wszystkich statków
powietrznych i pojazdów);
b) Sterowanie (Control), zapewniajBc wykrywanie konfliktów i alarmowanie
potencjalnych konfliktach na zarówno na drogach startowych jak i w caDym polu
manewrowym lotniska;
c) Trasowanie (Routing), to r+czne lub automatyczne wyznaczanie najbardziej
efektywnej trasa przeznaczonej osobno dla kaadego statku powietrznego lub pojazdu;
148
MichaD babuF
d) Kierowanie (Guidance), udzielanie wskazówek pilotom i kierowcom w sposób
umoaliwiajBcy im podBaanie przypisanB trasB.
Ponadto EUROCONTROL (Europejska Organizacja ds. Bezpiecze/stwa deglugi
Powietrznej) okreFliDa cztery poziomy realizacji systemu:
a) Poziom pierwszy – zapewnia nadzór kontrolera, dostarcza systemy wizualizacji
i procedury, umoaliwiajBc wytworzenie kompleksowej FwiadomoFci sytuacyjnej;
b) Poziom drugi – skDada si+ z funkcjonalnoFci poziomu pierwszego, wraz
z automatycznymi, kilkustopniowymi, funkcjami monitorowania i ostrzegania, w tym
przewidywania konfliktów na drogach startowych w uayciu, a takae wtargni+cia do strefy
zastrzeaonej lotniska;
c) Poziomy trzy i cztery odpowiadajB prowadzeniu routingu, automatycznego
kierowania i funkcji planowania, ale ich wytyczne nie zostaDy jeszcze okreFlone.
1.2. ELEMENTY SYSTEMU
Jak w kaadym systemie nawigacyjnym w lotnictwie, jakim niewBtpliwie jest A-SMGCS
rozwiBzania stosowane w indywidualnych implementacjach muszB speDniaX, poza
ogólnymi, wiele szczegóDowych, lokalnych wymaga/. Tym nie mniej w kaadym
z istniejBcych i projektowanych systemów moana wyróaniX nast+pujBce elementy:
• SMR (Surface Movement Radar) – Radar kontroli powierzchni sDuaBcy do
wykrywania statków powietrznych i pojazdów na powierzchni lotniska. Jest on uaywany
przez kontrolerów ruchu lotniczego w celu uzupeDnienia wizualnych obserwacji.
Stosowany zwDaszcza w nocy i podczas sDabej widocznoFci do monitorowania przepDywu
samolotów i pojazdów.
• MLAT – Multilateracja jest technologiB wykorzystujBcB odbiór emisji radiowych,
zarówno zamierzonych, jak i pochodzBcych od systemów pokDadowych. Korzysta si+
z odpowiedzi transponderów radaru wtórnego w trybach (modach) 3/A, C i S. Odpowiedzi
te mogB byX rzeczywistymi odpowiedziami na zapytania radaru wtórnego lub tea
zaprogramowanymi emisjami samorzutnymi. Sama zasada dziaDania jest analogiczna do
hiperbolicznych systemów nawigacyjnych. Pewna iloFX stacji odbiorczych umiejscowiona
w strategicznych miejscach lotniska odbiera odpowiedzi transponderów ze statków
powietrznych. Pozycja statku powietrznego wyznaczana jest na podstawie róanicy
w czasie dotarcia odpowiedzi do poszczególnych stacji.
• ADS-B – (Automatic Dependant Surveilance – Broadcast), automatyczny system
raportowania pozycji statku powietrznego. Jest to system niezaleany od A-SMGCS, lecz
stanowi waane hródDo danych dla stacji MLAT.
• Data Fusion – ukDad DBczenia danych pochodzBcych z róanych hródeD. Poza danymi
pochodzBcymi z systemu A-SMGCS pobiera dane z lotniskowych baz danych, systemu
A-CDM, depesz itp. Zawiera w sobie równiea szereg algorytmów optymalizacyjnych
i filtrujBcych.
• HMI (Human Machine Interface) –fizyczne stanowisko pracy kontrolera.
WpDyw A-SMGCS na bezpiecze/stwo operacji lotniskowych
149
Rys. 1. Schemat dziaDania M-LAT
2. PODEJMOWANIE DECYZJI W UK"ADZIE
CZ"OWIEK-MASZYNA
Przyjmijmy, ae chcielibyFmy opisaX prawdopodobie/stwo wystBpienia ogólnie poj+tej
utraty zdatnoFci w ukDadzie czDowiek-maszyna w obiekcie technicznym, jakim jest
lotnisko. Jeaeli proces utraty sprawnoFci operatora jest procesem Markowa, to dla
klasycznego ukDadu dwustanowego, rozwiBzanie ogólnych równa/ KoDmogorowa
wyznacza funkcj+ niezawodnoFci (bezpiecze/stwa) obiektu:
t !$
R(t ,$ ) # pZN (t ,$ ) # e
% ZN ( u ) du
"
t
(1)
gdzie:
R(t , $ ) – prawdopodobie/stwo, ae w czasie nie nastBpi przejFcie ukDadu w stan
niezdatnoFci;
pZN (t ,$ ) – prawdopodobie/stwo utraty sprawnoFci operatora;
%ZN (u ) – intensywnoFX podejmowania bD+dnych decyzji.
150
MichaD babuF
Analizowany ukDad czDowiek – urzBdzenie techniczne znajduje si+ w stanie zdatnoFci
(bezpiecze/stwa), gdy obydwa elementy sB w stanie zdatnoFci ( Z C – stan zdatnoFci
czDowieka, Z U – stan zdatnoFci urzBdzenia). UkDad znajduje si+ w stanie niezdatnoFci
(ryzyko zdarzenia lotniczego), gdy obydwa elementy przejdB w stan niezdatnoFci DBcznej
( N C – stan niezdatnoFci czDowieka, N U – stan niezdatnoFci urzBdzenia).
%
U1
Dzia#anie
prawid#owe
ZC ZU
ZC ZU
%C 0
%U 0
ZC
NU
NC
NU
%C1
ZC
NU
Dzia#anie
nieprawid#owe
Rys. 2. Struktura procesu zdarze/ prowadzBcych do incydentu
Przyj+te nast+pujBce oznaczenia:
%U 0 – intensywnoFX wystBpienia bD+du technicznego,
%U 1 – intensywnoFX prawidDowej pracy urzBdzenia,
%C 0 – intensywnoFX podejmowania przez czDowieka bD+dnych decyzji,
%C1 – intensywnoFX podejmowania przez czDowieka prawidDowych decyzji.
Prawdopodobie/stwo przejFcia ze stanu zdatnoFci (ZC, ZU) do stanu niezdatnoFci
DBcznej (NC, NU), a tym samym zaistnienia zdarzenia lotniczego, wynosi (2):
%C 0
%U 0
p( Z ,Z )/( N , N ) (t ) # C 0
.
% ! %C1 %U 0 ! %U 1
%C 0 ! %C1
%U 0 ! %U 1
"&% !% 't
e
e "&%
. ++1 " C 0
!
C1
U0
U1
C0
C1
U0
U1
% !% "% "%
, % !% "% "%
C
U
C
U
U0
U1
C0
' *(
!%U 1 t
(2)
(
)
OczywiFcie przy analizie podejmowania decyzji naleay uwzgl+dniX caDoFX struktury
niezawodnoFciowej obiektu technicznego, jakim jest lotnisko. Powyaszy wzór dotyczy
tylko pojedynczej zaleanoFci w ukDadzie CzDowiek-Maszyna. Naleay go teraz odpowiednio
przeDoayX na skomplikowanB, redundantnB, szeregowo-równolegDB struktur+
niezawodnoFciowB lotniska. Z uwagi na szczupDoFX miejsca struktura ta nie zostanie
szczegóDowo omówiona w niniejszym referacie.
Ogólnie moana stwierdziX, ae zaleanoFX na prawdopodobie/stwo poprawnej pracy
systemu o strukturze k z n, przy zaDoaeniu ae czasy poprawnej pracy jego elementów sB
niezaleanymi zmiennymi losowymi, jest nast+pujBca:
WpDyw A-SMGCS na bezpiecze/stwo operacji lotniskowych
151
m
Rs (t ) # 0 R j (t )
(3)
j #1
gdzie:
Rj(t) – prawdopodobie/stwo poprawnej pracy odniesione do j-tej kombinacji zdatnych
elementów dajBcej zdatnoFX systemu,
m – liczba kombinacji zdatnych elementów dajBcych zdatnoFX systemu (liczba stanów
zdatnoFci systemu).
3. ANALIZA WP"YWU A-SMGCS NA BEZPIECZE(STWO
NA PRZYK"ADZIE ZDARZENIA LOTNICZEGO
3.1. KATASTROFA SAS SK 686 – MEDIOLAN
3.1.1. Opis katastrofy
Dnia 8 pahdziernika 2001 r. na mediola/skim lotnisku Linate samolot MD-87 linii
lotniczych SAS, lot nr SK686 do Kopenhagi, zderzyD si+ w czasie startu z odrzutowcem
Cessna Citation D-IEVX. W wyniku zderzenia zgin+Dy wszystkie osoby na pokDadzie obu
samolotów (110 na pokDadzie MD-87 i 4 w Cessnie), oraz 4 osoby pracujBce w sortowni
bagaau, w którB uderzyD samolot SAS.
W dniu katastrofy na lotnisku panowaDa g+sta mgDa - widocznoFX nie przekraczaDa
50-100 m. Lotnisko nie posiadaDo odpowiednich systemów do kontroli koDowana
samolotów po pDycie lotniska. Mimo, ae w 1998 r. zostaD zakupiony radar SMR w ciBgu
3 lat nie zostaD on zainstalowany. Do pomocy kontrolerom sDuayDa mapa lotniska i kartka,
na której odnotowywano poDoaenie statków powietrznych.
Pilot dyspozycyjnej Cessny z 4 osobami na pokDadzie poprosiD kontrol+ naziemnB
o zgod+ na koDowanie do progu drogi startowej. Kontroler nakazaD koDowanie na póDnoc
drogB "R5" oraz zgDoszenie zatrzymania na przedDuaeniu progu drogi startowej 36R (tym
samym omijajBc drog+ startowB w uayciu). Pilot jednak bD+dnie skr+ciD na poDudnie
w drog+ "R6" prowadzBcB bezpoFrednio na drog+ startowB w uayciu.
Jednym z momentów, w którym moana byDo zapobiec katastrofie, byDo zgDoszenie przez
pilota Cessny mini+cia zatoki drogi "S4", która nie byDa zaznaczona na oficjalnej mapie
lotniska i o której istnieniu nie miaD poj+cia kontroler. Pilot, kontynuowaD koDowanie drogB
"R6", gdy dojechaD do linii zatrzymania przed drogB startowB skontaktowaD si+ z wieaB.
ZameldowaD, ia stoi w punkcie oczekiwania (w jego i kontrolera mniemaniu przed
póDnocnB pDytB postojowB) i oczekuje na zezwolenie na kontynuowanie koDowania.
Kontroler zezwoliD na kontynuowanie koDowania po "gDównej pDycie postojowej" i gDównej
drodze koDowania" (nazwy sprzeczne z oficjalnie obowiBzujBcymi).
W tym samym momencie, od innego kontrolera, skandynawski MD-87 dostaD zgod+ na
wjazd na drog+ startowB i rozpocz+cie startu. W momencie, gdy MD-87 osiBgnBD znacznB
152
MichaD babuF
pr+dkoFX, Cessna wyjechaDa na pas. Piloci MD-87 widzieli Cessn+ przez uDamek sekundy
(pr+dkoFX MD-87 wynosiDa okoDo 75 m/s, a widocznoFX byDa na poziomie 50m), ale nie
mogli w aaden sposób zareagowaX. Uderzenie miaDo miejsce z prawej strony MD-87.
Uszkodzenie przedniego, prawego i lewego podwozia oraz uszkodzenie prawego silnika
spowodowaDy prawie natychmiastowB utrat+ wysokoFci (samolot na 9 s wzniósD si+
w powietrze) i MD-87 uderzyD w znajdujBca si+ w okolicach ko/ca drogi startowej
sortowni+ bagaay. Zgin+Do 118 osób.
Ponadto sama akcja ratownicza okazaDa si+ wysoce nieskuteczna. Dopiero pi+X minut po
zderzeniu na lotnisku rozlegD si+ alarm, a po aa 25 minutach znaleziono wrak Cessny.
W wyniku dochodzenia okazaDo si+, ia cztery z pi+ciu osób na pokDadzie Cessny zgin+Do na
skutek zatrucia dymem, czyli przeayDo sam moment katastrofy, lecz pomoc nie zostaDa im
udzielona w odpowiednim czasie.
Rys. 3. Schemat katastrofy w Mediolanie
WpDyw A-SMGCS na bezpiecze/stwo operacji lotniskowych
153
3.1.2. Przyczyny katastrofy
Jako gDównB przyczyn+ katastrofy wskazano brak systemu, monitorujBcego pozycje
statków powietrznych w polu manewrowym lotniska. OdpowiedzialnoFX spada tutaj na
wDadze lotniska, które dopuFciDy do tego, ae przez 3 lata dostarczony system nie zostaD
zamontowany. Ponadto win+ ponosi system organizacji kontroli ruchu naziemnego (dwóch
kontrolerów nie wymieniajBcych si+ informacjami o prowadzonym ruchu, brak
odpowiednich szkole/), jak i sam kontroler prowadzBcy Cessn+, który mógD kilkakrotnie
zauwaayX pomyDk+.
3.1.3. Analiza Ryzyka
Sam przypadek katastrofy lotniczej w Mediolanie byD jua wielokrotnie opisywany
w literaturze. Tym nie mniej warto spróbowaX dokonaX jego analizy w oparciu o narz+dzia
analizy ryzyka jakich dostarcza nam norma PN-EN ISO 31010.
Norma ta opisuje zbiór narz+dzi majBcych zastosowanie w róanych aspektach analiz
ryzyka. Jako narz+dzie w najwi+kszym stopniu ukazujBce wpDyw A-SMGCS na
bezpiecze/stwo wskazano tu metod+ Bow-Tie. Stanowi ona uporzBdkowane i zrozumiaDe
zwizualizowanie zaleanoFci pomi+dzy przyczynami wywoDujBcymi zagroaenia, zjawiskami
eskalujBcymi te zagroaenia, aa do niepoaBdanych skutków oraz istniejBcymi (lub
moaliwymi) Frodkami kontrolujBcymi ryzyko - zarówno od strony przyczyn jak i skutków.
Po raz pierwszy o tej metodzie wspomniano w 1979, w publikacji Uniwersytetu
w Queensland, w Australii. Samo tworzenie diagramu Bow-Tie rozpoczyna si+ od
zdefiniowania zjawiska, które generuje zagroaenie lub samego zagroaenia. Lewa strona
diagramu pokazuje zdarzenia inicjujBce dane ryzyko oraz istniejBce Frodki zabezpieczajBce
nie pozwalajBce tym zdarzeniom zaistnieX. Prawa strona pokazuje moaliwe skutki lub
scenariusze rozwoju wypadków, jeFli zdarzenie zmaterializuje dane ryzyko, oraz pokazuje
Frodki zapobiegawcze po stronie skutków nie pozwalajBce zdarzeniu eskalowaX. Metoda
jest powszechnie wykorzystywana do rozpracowania ryzyk zwiBzanych z wypadkami przy
pracy, incydentami Frodowiskowymi, zjawiskami takimi jak ogie/, wybuch, powódh, czy
tea ryzyka IT i bezpiecze/stwa fizycznego. Firmy takae wykorzystujB jB niejednokrotnie
do zademonstrowania, ae dane ryzyko speDnia zasad+ ALARP.
Rys. 4. Uproszczony schemat Bow-Tie dla zdarzenia ze wskazaniem barier pochodzBcych
z systemu A-SMGCS
154
MichaD babuF
Jak widaX na powyaszym schemacie A-SMGCS jest narz+dziem generujBcym znaczne
odpornoFci na zdarzenia. O ile wpDyw samego systemu na znajomoFX topografii lotniska
przez pilota jest aadna, o tyle pozwala kontrolerowi na poprawne prowadzenie statku
powietrznego podczas koDowania niezaleanie od warunków atmosferycznych. Ponadto
stosowane w systemie systemy zobrazowania i przekazywania informacji nie pozwalajB na
brak FwiadomoFci sytuacji operacyjnej na lotnisku podczas warunków ograniczonej
widzialnoFci.
Po stronie skutków system A-SMGCS, dzi+ki zaawansowanym algorytmom, w czasie
rzeczywistym wykrywa potencjalnie niebezpieczne zdarzenia, jak i zaistniaDe klasy
incydentów (np. runway incursion) w obszarze pola manewrowego lotniska. PozwoliDoby
to, w tym konkretnym przypadku, na szybsze rozpocz+cie akcji ratowniczo-gaFniczej
i wczeFniejsze wykrycie wraku Cessny na drodze startowej, a co za tym idzie
prawdopodobne uratowanie czterech jej pasaaerów.
4. PODSUMOWANIE
Jak przedstawiono w niniejszym referacie budowa systemu A-SMGCS to dla lotniska
ogromna poprawa bezpiecze/stwa wykonywania operacji lotniczych. System ten przez
ksztaDtowanie w czasie rzeczywistym FwiadomoFci operacyjnej wpDywa na poprawnoFX
podejmowania decyzji, oraz dzi+ki automatycznym moduDom wykrywania kolizji pozwala
na odpowiednio wczeFniejszB reakcj+ kontrolera na sytuacje potencjalnie niebezpieczne.
W teorii podejmowania decyzji jego wpDyw moana opisaX, jako zwi+kszenie
wspóDczynnika %C 0 i odpowiednie zmniejszenie %C1 .
OczywiFcie rodzi si+ tu pytanie czy niezawodnoFX tego systemu jest na tyle wysoka,
aby on sam nie staD si+ przyczynB ewentualnych incydentów lotniczych. Otóa stosowane
w systemie A-SMGCS zabezpieczenia powodujB, ae w przypadku krytycznych dla niego
awarii ulega on stopniowej degradacji do niaszego poziomu, nie dopuszczajBc do sytuacji
zagroaenia bezpiecze/stwa i umoaliwiajBc proceduralnB prac+ kontrolera.
Bibliografia
1.
2.
3.
4.
Podr+cznik ICAO Doc 9830.
PN-EN 31010:2010 ZarzBdzanie ryzykiem – Techniki oceny ryzyka.
Jahwi/ski J., Borgo/ J.: NiezawodnoFX eksploatacyjna i bezpiecze/stwo lotów. Warszawa, WKib 1989.
Gerek J.,Winiewski A.: Analiza ZawodnoFci UkDadu CzDowiek – Technika na PrzykDadzie Wybranego
Zdarzenia Lotniczego. MateriaDy konferencyjne XXXVII ZSN Szczyrk 2009.
5. babuF M.: Projekt Systemu A-SMGCS na Lotnisku Chopina w Warszawie w Aspekcie Poprawy
PrzepustowoFci i Bezpiecze/stwa Wykonywania Operacji Lotniczych. MateriaDy konferencyjne,
III MKN D+blin 2013.
6. ZapData S.: Metody oceny ryzyka na potrzeby implementacji znormalizowanych systemów zarzBdzania.
WspóDczesne ZarzBdzanie. 1/2012 WUJ Kraków 2012.
WpDyw A-SMGCS na bezpiecze/stwo operacji lotniskowych
155
A-SMGCS IMPACT ON AIRPORT OPERATIONS SAFETY
Summary: The article describes the construction of the A-SMGCS used, among others, to improve the
safety of airport operations. In relation to this system article describes a scheme decision-making and an error
occurs in the man-machine system. The final part describes the case of the plane crash and indicated the
points where the operating system would not allow for the existence of this event or would improve the
effectiveness of emergency response.
Keywords: A-SMGCS, safety, decision making