znaczenie analizy drzewa zdarze w wybranych aspektach

PRACE NAUKOWE POLITECHNIKI WARSZAWSKIEJ
z. 103
Transport
2014
Andrzej Fellner, Rados"aw Fellner
Politechnika /l5ska, Wydzia9 Transportu
ZNACZENIE ANALIZY DRZEWA ZDARZE'
W WYBRANYCH ASPEKTACH IMPLEMENTACJI
SYSTEMU GBAS
R;kopis dostarczono: stycze= 2014
Streszczenie: Implementacj; nowych technologii w ruchu lotniczym poprzedza proces certyfikacji
oparty o kompleksow5 analiz; bezpiecze=stwa. Wykorzystuje ona szereg metod, w tym m.in. analiz;
drzewa zdarze= (ETA). Za jej pomoc5 dokonano oceny zagroQe= i ryzyka dla eksperymentalnych
podejVX LPV opartych na sygnale GNSS w porcie lotniczym Katowice-Pyrzowice. Ich celem by9o
zidentyfikowanie moQliwoVci wdroQenia systemu GBAS. Testy wykonano w ramach
mi;dzynarodowego projektu badawczego SHERPA (Support ad-Hoc to Eastern Region with Preoperational Actions on GNSS).
S"owa kluczowe: GBAS, Event Tree Analysis, bezpiecze=stwo ruchu lotniczego
1. WST-P
Niezb;dnym elementem implementacji kaQdej nowej technologii w ruchu lotniczym jest
proces certyfikacji. Gwarantuje on, Qe dane urz5dzenie, procedura czy system spe9nia
najwyQsze standardy bezpiecze=stwa. Niestety dopiero przeprowadzone badania naukowe
w ramach mi;dzynarodowego projektu SHERPA (Support ad-Hoc to Eastern Region with
Pre-operational Actions on GNSS), pozwoli9y zebraX materia9, w wyniku którego moQliwe
sta9o si; opracowanie nowej metody oraz metodyki, jakie naleQy przyj5X podczas
implementacji nowych procedur, technik i technologii zwi5zanych z podejVciem do
l5dowania opartego na sygna9ach systemów satelitarnych. Jest to szczególnie przydatne
podczas realizacji unijnego projektu SESAR (Single European Sky ATM) [22]. W wyniku
przeprowadzonych bada=, zgodnie z wymaganiami przyj;tymi przez Uni; Europejsk5,
opracowane zosta9y dokumenty: National Scenario Report, EGNOS National
Implementation Plan, EGNOS Poland Market Analysis [4] sk9adaj5ce si; m.in. z dwóch
elementów: Safety Case i Business Case, konieczne zgodnie z prawem do wykonania
podczas implementacji podejVX RNAV GNSS.
Ze wzgl;du na obszernoVX powyQszych analiz, w prezentowanym materiale rozwaQania
zosta9y zaw;Qone tylko do Safety Case jako istotnego elementu podczas wdraQania wyQej
68
Andrzej Fellner, Rados9aw Fellner
wymienionych procedur dla dowolnego lotniska. Jest spraw5 oczywist5, Qe
bezpiecze=stwo moQe byX pojmowane jako: safety (bezpiecze=stwo ruchu lotniczego)
i security (ochrona przed aktami bezprawnej ingerencji), st5d konieczne jest rozróQnianie
tych poj;X. W niniejszym artykule przedstawione zosta9y wyniki przeprowadzonych bada=
zaw;Qone do analizy ryzyka i przyj;tych w jej ramach za9oQe=. Analiza ryzyka jest przy
tym rozumiana jako ci5g9y, powtarzalny proces z9oQony z gromadzenia danych
iloVciowych i jakoVciowych, oceny prawdopodobie=stwa wyst5pienia zdarze= lotniczych,
jak równieQ ich skutków zgodnie z obowi5zuj5cymi metodologiami, regulacjami [19].
Warto podkreVliX, iQ dopuszczenie w lotnictwie technologii do powszechnego uQytku,
wi5Qe si; z przygotowaniem uprzednio wspomnianego Studium Bezpiecze=stwa (Safety
Case). Zawiera ono argumentacj;, która ma na celu udowodnienie, iQ realizacja przyj;tego
przedsi;wzi;cia (np. wdroQenie procedury podejVcia GNSS) czy rozwi5zania
technologicznego, przy spe9nieniu okreVlonych prawem wymaga=, przyczyni si; do
podniesienia bezpiecze=stwa operacji.
Z analiz i bada= naukowych przeprowadzonych w ramach realizowanych projektów
mi;dzynarodowych: HEDGE (Helicopters Deploy GNSS in Europe), SHERPA, EGNOS
APV (European Geostationary Navigation Overlay Service - Approaches with Vertical
Guidance), wynika koniecznoVX wykonywania Studium Bezpiecze=stwa dla kaQdych
nowych procedur podejVcia w polskich portach lotniczych, które do 2016 r. musz5 zostaX
wdroQone na zasadniczych kierunkach podejVcia LPV GNSS a nast;pnie stopniowo
przechodziX do stosowania systemu GBAS (Ground Based Augmentation System Naziemny System Wspomagaj5cy GNSS) [21].
System GBAS zapewnia: dok9adnoVX, wiarygodnoVX, dost;pnoVX, ci5g9oVX informacji
nawigacyjnej, które z kolei umoQliwia wykonywanie precyzyjnych podejVX do l5dowania
w kaQdych warunkach pogodowych. Jest takQe odporny na zak9ócenia sygna9u
spowodowane przeszkodami terenowymi (dowiod9y tego przeprowadzone testy na
szwajcarskim lotnisku Lugano-Agno), zatem powinien znalehX szerokie zastosowanie
równieQ w terenach górzystych. GBAS przyczynia si; m.in. do zwi;kszenia
przepustowoVci lotnisk poprzez zmniejszenie opóhnie=, a takQe skrócenia czasu podróQy
czy obniQenia wydatków linii lotniczych na paliwo. MoQliwoVci jego implementacji
sprawdzano w ramach podejVX do l5dowania z prowadzeniem pionowym (Localiser
Performance with Vertical Guidance - LPV) w porcie lotniczym Katowice-Pyrzowice
(EPKT) w ramach uprzednio wspomnianego mi;dzynarodowego projektu badawczego
SHERPA [20].
WVród szeregu koniecznych do przeprowadzenia metod analizy ryzyka dla nowych
procedur, jedn5 z najcz;Vciej uQywanych jest Analiza Drzewa Zdarze= (Event Tree
Analysis - ETA) [17]. Jest ona zalecana przez mi;dzynarodowe organizacje lotnicze takie,
jak: ICAO, EASA czy Eurocontrol [2,3,11]. Stosuje j5 takQe Polska Agencja jeglugi
Powietrznej [8]. ETA u9atwia ona ocen; bezpiecze=stwa systemów i procesów, wykrycie
potencjalnych zagroQe=, a takQe relacji jakie wyst;puj5 mi;dzy dzia9aniami czy
zdarzeniami. Polega ona na formu9owaniu logicznych zwi5zków za pomoc5 rozumowania
opartego na indukcji, a wi;c wyci5gania ogólnych wniosków na podstawie przes9anek oraz
obserwacji cz;Vci (szczegó9ów) pewnej ca9oVci. W przeciwie=stwie do Analizy Drzewa
NiezdatnoVci/B9;dów (Fault Tree Analysis - FTA), pole docieka= jest szersze, gdyQ oprócz
b9;dów i niepowodze=, obejmuje takQe w9aVciwe dzia9anie i reagowanie [7].
Znaczenie analizy drzewa zdarze= w wybranych aspektach implementacji systemu GBAS
69
2. ZA.O/ENIA METODOLOGICZNE
ETA zak9ada zdefiniowanie mog5cego zapocz5tkowaX scenariusz wypadku tzw.
zdarzenia inicjuj5cego oraz okreVlenie moQliwie wszystkich jego logicznych, poQ5danych
i niepoQ5danych, nast;pstw (dotycz5cych np. podzespo9ów, elementów systemu) czy
dalszych konsekwencji, takQe przesuni;tych w czasie [9,10]. Mog5 to byX róQnego rodzaju
uszkodzenia, awarie mechaniczne, ludzkie pomy9ki, ale równieQ i zaniechania dzia9a=
personelu. Poprawnie przeprowadzon5 analiz; ko=czy tzw. zdarzenie wierzcho9kowe,
zwane takQe szczytowym, przyjmuj5ce postaX katastrofy, wypadku lub Vmierci.
Metod; przedstawia si; w postaci graficznej uwzgl;dniaj5c wszelkie punkty
rozga9;zie=, bramki logiczne („i”, „lub”), VcieQki rozwoju sytuacji. Omawiana metoda
s9uQy wi;c do jakoVciowej analizy bezpiecze=stwa poprzez ustalenie zdarze=, zwi5zków
mi;dzy nimi. MoQe takQe pos9uQyX do iloVciowego oszacowania prawdopodobie=stwa
wyst5pienia okreVlonego skutku dzi;ki pomnoQeniu przez siebie prawdopodobie=stwa
wszystkich zdarze= sk9adaj5cych si; na VcieQk; w drzewie [1]. Wskazane jest, aby podczas
definiowania zdarzenia inicjuj5cego wzi5X pod uwag; w9aVciwoVci badanego systemu
i zasady jego funkcjonowania (eksploatacji). W zwi5zku z tym analiza drzewa zdarze=
umoQliwia:
kompleksowe zestawienie VcieQki rozwoju sytuacji dzi;ki ustaleniu zaleQnoVci
przyczynowo - skutkowych mi;dzy moQliwymi zdarzeniami,
zhierarchizowanie i pogrupowanie ci5gu zdarze=,
obliczenie prawdopodobie=stwa wyst;powania danej sytuacji,
wskazanie skutków dzia9a= i zaniecha=, przyczyn b9;dów,
docelowo: dobranie narz;dzi i wprowadzenie regulacji maj5cych zwi;kszyX
bezpiecze=stwo,
skuteczne zarz5dzanie ryzykiem.
3. ETA DLA PODEJ34 PRECYZYJNYCH
Prezentowana analiza ryzyka zosta9a wykorzystana przy opracowaniu Studium
Bezpiecze=stwa dla procedury podejVcia precyzyjnego wykorzystuj5cej technologie
satelitarne na lotnisku Katowice-Pyrzowice, w ramach realizowania projektów: HEDGE
i SHERPA [20, 21]. Zasadne jest podkreVlenie, Qe jej metodologia zosta9a w9aVnie
opracowana w ramach wymienionych wyQej projektów i obecnie, po zatwierdzeniu przez
GSA (European GNSS Agency) i Eurocontrol jest zalecana do stosowania w pa=stwach
UE [16]. Uprzednio dokonano jednak opisu Vrodowiska operacyjnego uwzgl;dniaj5cego
S9uQby Ruchu Lotniczego (Air Traffic Services - ATS), lotnicze urz5dzenia CNS
(Communication, Navigation and Surveillance - n5cznoVX, Nawigacja i Dozorowanie),
infrastruktur; lotniskow5 oraz procedury. Nast;pnym krokiem by9a analiza zagroQe=
funkcjonalnych, b;d5ca istotnym narz;dziem w budowie Systemu Zarz5dzania
Bezpiecze=stwem (Safety Management System - SMS). Dla podejVcia LPV
70
Andrzej Fellner, Rados9aw Fellner
scharakteryzowano pocz5tkowo nast;puj5ce zagroQenia:
wybór i rozpocz;cie niew9aVciwej procedury podejVcia (H1),
b95d przechwycenia VcieQki kierunku podejVcia ko=cowego (H2),
lot poniQej poziomu wyznaczonego w minimach (H3),
b9;dny kierunek lotu przy próbie przechwycenia VcieQki kierunku podejVcia
ko=cowego (H4),
b9;dna VcieQka podejVcia ko=cowego (H5),
brak moQliwoVci utrzymania ko=cowej VcieQki schodzenia (H6),
zejVcie poniQej wysokoVci decyzji bez nawi5zania kontaktu wzrokowego
z terenem (H7),
nieprawid9owe wykonanie procedury MA (H8).
Ze wzgl;du na fakt, iQ niektóre wytypowane moQliwe zagroQenia znajduj5 si; poza
zakresem oceny bezpiecze=stwa lub s5 zwi5zane z innymi zagroQeniami, w analizach
uwzgl;dniono jedynie zagroQenia: H3, H4, H6, H7, H8. Dalsz5 procedur; analizy
bezpiecze=stwa wykonano w nast;puj5cych etapach:
1. Zidentyfikowano konsekwencje zagroQe= i sklasyfikowano je ze wzgl;du na stopie= ich
dotkliwoVci zgodnie z wytycznymi zawartymi w ESARR 4 [2];
Tablica 1
Lista konsekwencji zagro5e6
ID
C1
C2
Konsekwencje
Lot Kontrolowany w Kierunku Terenu
(Controlled Flight Into Terrain - CFIT)
Wypadek podczas l5dowania (Landing Accident LA)
Stopie= dotkliwoVci
Katastrofalny (Severity 1)
Katastrofalny (Severity 1)
C3
Kolizja w powietrzu (Mid-air collision -MAC)
Katastrofalny (Severity 1)
C4
Nieudane podejVcie (Missed Approach - MA)
Ma9y (Severity 4)
C5
Bezpieczne l5dowanie (Safe Landing - SA)
Bez efektu
2. Zidentyfikowano ograniczenia i bariery (systemy, dzia9ania, czynnoVci lub procedury)
prowadz5ce do eliminacji zagroQenia lub zredukowania: cz;stotliwoVci jego
wyst;powania, prawdopodobie=stwa skutków zagroQenia, dotkliwoVci skutków
zagroQenia;
3. Dopiero po dokonaniu uprzednich kroków, uQyto Analizy Drzewa Zdarze= do kaQdego
z zagroQe=. PoniQej przedstawiono drzewo ETA dla braku moQliwoVci utrzymania
ko=cowej VcieQki podejVcia (H6) oraz schodzenia poniQej wysokoVci decyzji bez
nawi5zania kontaktu wzrokowego z terenem (H7).
Znaczenie analizy drzewa zdarze= w wybranych aspektach implementacji systemu GBAS
71
Rys. 1. Drzewo ETA dla zagroQenia H6
Rys. 2. Drzewo ETA dla zagroQenia H7
Wyniki analizy ETA dla poszczególnych zagroQe=, a zatem stopie=
prawdopodobie=stwa ich nast;pstw wygl5da9y nast;puj5co:
dla lotu poniQej poziomu wyznaczonego w minimach skutkuj5cego CFIT - 0,125;
dla b9;dnego kierunek lotu przy próbie przechwycenia VcieQki kierunku podejVcia
ko=cowego skutkuj5ce wypadkiem podczas l5dowania - 0,00025;
dla braku moQliwoVci utrzymania ko=cowej VcieQki schodzenia skutkuj5cej CFIT –
0,125;
72
Andrzej Fellner, Rados9aw Fellner
dla zejVcia poniQej wysokoVci decyzji bez nawi5zania kontaktu wzrokowego z terenem
skutkuj5cego CFIT lub wypadkiem podczas l5dowania - po 0,125;
dla nieprawid9owego wykonania procedury MA skutkuj5cego kontrolowanym lotem w
kierunku ziemi - 0,0025, a kolizj5 w powietrzu - 0,00025.
4. PowyQsze rezultaty zosta9y wykorzystane do dalszych oblicze=, w tym okreVlenia
wymaga= iloVciowych dla celów bezpiecze=stwa i opracowania drzew ryzyk. W tym
celu okreVlono wymagane Poziomy Bezpiecze=stwa (Target Level of Safety - TLS) dla
kaQdej kategorii wypadków;
Tablica 2
Wymagane Poziomy Bezpiecze6stwa dla LPV
Typ wypadku
Lot Kontrolowany w Kierunku Terenu
(Controlled Flight Into Terrain - CFIT)
Scenariusz TLS dla LPV
1 x 10-8
Wypadek podczas l5dowania
1 x 10-10
Sytuacja kolizyjna w powietrzu
2 x 10-7
5. Przyporz5dkowano TLS dla kaQdego rodzaju wypadku do poszczególnych zagroQe=
wykrytych dzi;ki drzewom zdarze= (punkt 3.) oraz wyznaczono TLS (na drodze
oblicze=) dla poszczególnych rozga9;zie=;
6. OkreVlono cele bezpiecze=stwa (Safety Objectives - SO) z wykorzystaniem poprzednich
oblicze= i przyj;tych wartoVci za pomoc5 wzoru:
gdzie:
SOHX - cel bezpiecze=stwa dla poszczególnych zagroQe=
Q – to prawdopodobie=stwo zdarzenia wywo9anego przez zagroQenie (Hazard) X, które
prowadzi do wypadku;
C - kolejne rozga9;zienia w drzewie zdarze=
Tak wyliczone propozycje celów bezpiecze=stwa dla kaQdego z zagroQe= uj;to w tabeli
oraz wykorzystano do opracowania drzew ryzyk. PoniQej przedstawiono drzewo dla
kontrolowanego lotu ku ziemi podczas wykonywania procedury LPV.
Znaczenie analizy drzewa zdarze= w wybranych aspektach implementacji systemu GBAS
73
Rys. 3. Drzewo ryzyka – okreVlenie celów bezpiecze=stwa CFIT
Tablica 3
Propozycje celów bezpiecze6stwa dla CFIT
Zagro5enie
H3
H4
H6
H7
H8
Margines bezpiecze6stwa
Propozycja Celów
Bezpiecze6stwa
1.6e-8
ZagroQenie nie prowadzi do CFIT
1.6e-8
1.6e-8
1.6e-8
2e-9
Udzia" w TLS dla CFIT
20%
20%
20%
20%
20%
4. PODSUMOWANIE
Przeprowadzone badania dowiod9y, Qe Analiza Drzewa Zdarze= umoQliwi9a
identyfikacj;, ocen; zagroQe=, a takQe ryzyk oraz iloVciowego okreVlenia celów
bezpiecze=stwa w przypadku eksperymentalnych podejVX LPV opartych na sygnale GNSS
w ramach unijnego projektu SHERPA. By9o to niezb;dne podczas opracowywania
Studium Bezpiecze=stwa dla wyQej wymienionej procedury wed9ug metodologii zalecanej
74
Andrzej Fellner, Rados9aw Fellner
przez mi;dzynarodowe organizacje lotnicze, a stanowi5cego etap przygotowawczy
implementacji systemu GBAS w Polsce. ETA pozwoli9o na oszacowanie
prawdopodobie=stwa wyst5pienia zagroQe= takich, jak: lot poniQej poziomu wyznaczonego
w minimach, b9;dny kierunek lotu przy próbie przechwycenia VcieQki kierunku podejVcia
ko=cowego, brak moQliwoVci utrzymania ko=cowej VcieQki schodzenia, zejVcie poniQej
wysokoVci decyzji bez nawi5zania kontaktu wzrokowego z terenem, nieprawid9owe
wykonanie procedury MA. UmoQliwi9o równoczeVnie udowodnienie, iQ wprowadzenie
nowego typu podejVcia przyczyni si; do podniesienia bezpiecze=stwa operacji.
O tym jak waQne jest zachowanie maksymalnego poziomu bezpiecze=stwa
w szczególnoVci podczas podejVcia do l5dowania Vwiadcz5 mi;dzynarodowe statystyki.
Wynika z nich bowiem, Qe do wypadków lotniczych dochodzi najcz;Vciej podczas
podchodzenia do l5dowania, samego l5dowania oraz startu i wznoszenia, choX stanowi5
niewiele ponad 1 proc. czasu lotu [18] (Tab. 4).
Tablica 4
Zestawienie procentowe wypadków lotniczych uwzgl<dniaj=ce udzia"
faz lotu w ca"ym czasie lotu
Faza lotu
Za9adowanie
Start
Wznoszenie
Przelot
Schodzenie do
l5dowania
Podchodzenie do
l5dowania
L5dowanie
Udzia" fazy w czasie ca"ego
lotu (w proc.)
0
1
15
57
Udzia" wypadków przypadaj=cych
na dan= faz< lotu (w proc.)
11
11
13
9
11
4
15
29
1
23
Konieczna jest zatem implementacja technologii satelitarnych, takich jak GBAS, które
umoQliwiaj5 wykonywanie precyzyjnych podejVX do l5dowania w kaQdych warunkach
pogodowych, co pozwala na zwi;kszenie przepustowoVci lotnisk czy zmniejszenie
opóhnie= przy jednoczesnym zachowaniu maksymalnego poziomu bezpiecze=stwa.
Bibliografia
1.
2.
3.
4.
5.
6.
Borysiewicz M.: Wykorzystanie probabilistycznych analiz bezpiecze=stwa (PSA) w tworzeniu
wymogów bezpiecze=stwa dla elektrowni j5drowych. Warszawa 2010, s. 70, 72-73.
ESARR4: Risk Assessment and Mitigation in ATM. Eurocontrol, 2001, s. 11.
European Guidance Material on Integrity Demonstration in Support of Certification of ILS and MLS
Systems. ICAO DOC 016/2004, s. 10.
Fellner A.: National Scenario Report. SHERPA-PANSA-NSR-D21EP, Issue 1/2013, SHERPA Grant
Agreement number 287246.
Guidance for the preparation of D11XX (EGNOS National Market Analysis) based on the survey of
candidate airports and aircraft operatorsSHERPA-ESSP-TN-001, 2012.
Guidance Material for the Implementation of RNP APCH Operations. ICAO 2012.
Znaczenie analizy drzewa zdarze= w wybranych aspektach implementacji systemu GBAS
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
75
Guide to methods and tolls for safety analysis in air traffic management. Global Aviation Safety
Network, June 2003, s. 49.
KrzyQanowski M.: Pomiar i zarz5dzanie bezpiecze=stwem ruchu lotniczego – uj;cie praktyczne. Prace
naukowe Politechniki Warszawskiej. nr 92, Warszawa 2013, s. 110.
Liderman K.: Analiza ryzyka dla potrzeb bezpiecze=stwa teleinformatycznego. Biuletyn Instytutu
Automatyki i Robotyki, nr 16, Wojskowa Akademia Techniczna im. Jaros9awa D5browskiego,
Warszawa 2010, s.10.
Magott J.: Moc opisowa drzew niezdatnoVci zaleQnoVciami czasowymi. Problemy eksploatacji, nr 4,
Wydawnictwo Naukowe Instytutu Technologii Eksploatacji - Pa=stwowego Instytutu Badawczego,
Radom 2009, s. 33-40.
Methodology to Assess Future Risks, European Aviation Safety Plan. EASA, December 2012, s. 16.
Operational and Functional model of LPV approaches in the ECAC area OFM-LPV. 2007.
Performance-based Navigation (PBN) Manual. ICAO DOC 9613, 3rd edition, 2008.
Procedures for Air Navigation Services: Aircraft Operations. ICAO DOC 8168, Volume 2, 2007.
Project Management Plan. SHERPA-ESSP-PMP-D0100, 2012.
Safety Assessment Methodology. Safety Regulation Commission Document (SRC DOC 12),
Eurocontrol, Version 2.1., 26 October 2009.
Skorupski J.: Metody analizy ryzyka w sterowaniu ruchem lotniczym, [w:] Gruszecki J., Wybrane
zagadnienia sterowania obiektami lataj5cymi. Oficyna Wydawnicza Politechniki Rzeszowskiej,
Rzeszów 2011, s. 137.
Statistical Summary of Commercial Jet Airplane Accidents Worldwide Operations 1959- 2011. Boeing,
July 2012, s. 20.
Stelmach A.: Wybrane aspekty zarz5dzania bezpiecze=stwem w transporcie lotniczym. Journal of
KONBiN, nr 2(5), Wydawnictwo Instytutu Technicznego Wojsk Lotniczych, Warszawa 2008, s. 265.
www.sherpa.essp-sas.eu
www.hedge.askhelios.com
www.eu/legislation_summaries/transport/air_transport/l24459_pl.htm
THE IMPORTANCE OF EVENT TREE ANALYSIS IN SOME ASPECTS OF THE GBAS
IMPLEMENTATION
Summary: Implementation of new technologies in aviation are determined by certification process based on
a comprehensive safety analysis. It uses a number of methods, including event tree analysis (ETA). Those
method allow to assesses risks and threats for experimental LPV approaches based on GNSS signal at the
Katowice-Pyrzowice airport. The goal was to identify the possibility of implementation of the GBAS. Tests
were performed within the framework of the international research project SHERPA (Support ad-Hoc to
Eastern Region with Pre-operational Actions on GNSS).
Keywords: GBAS, Event Tree Analysis, air traffic safety