基于故障樹分析方法的民機(jī)飛機(jī)駕駛艙門控制邏輯改進(jìn)設(shè)計(jì)

陸 崢，劉 劍

(上海飛機(jī)客戶服務(wù)有限公司，上海 200241)

0 引言

駕駛艙門是安裝在飛機(jī)客艙和駕駛艙之間的可鎖艙門。震驚世界的“9.11”恐怖襲擊事件發(fā)生后，為保障駕駛安全及飛行機(jī)組的人身安全，國際民航組織和各國適航當(dāng)局都修改了適航條例，明確要求所有民航運(yùn)輸類客機(jī)必須安裝具備防暴力入侵以及防爆的駕駛艙門。

按照CCAR-25部中關(guān)于駕駛艙的保護(hù)適航條款相關(guān)要求[1]，駕駛艙門必須可鎖，能夠阻止未被授權(quán)的人員進(jìn)入駕駛艙；以及能抵御輕型武器的活力或爆炸裝置的穿透，以保證機(jī)組人員的安全。目前，飛機(jī)上通常在駕駛艙內(nèi)側(cè)安裝有駕駛艙門控制系統(tǒng)，可以有效阻止未經(jīng)授權(quán)的非機(jī)組人員進(jìn)入駕駛艙搶奪飛機(jī)控制權(quán)，為飛行員提供安全保護(hù)。因此飛行機(jī)組人員具有駕駛艙門的最高控制權(quán)限。

2015年3月4日，德國之翼客機(jī)墜毀事件發(fā)生。官方發(fā)布的事件調(diào)查報(bào)告確認(rèn)，該墜毀事件是由當(dāng)班客機(jī)副駕駛蓄意改變自動駕駛模式下的飛機(jī)巡航高度設(shè)定，導(dǎo)致飛機(jī)加速下降直至墜毀。在發(fā)現(xiàn)飛機(jī)異常下降期間，客艙機(jī)組人員試圖通過使用艙門密碼鍵盤、駕駛艙內(nèi)話設(shè)備及拍打艙門等措施請求進(jìn)入駕駛艙。但該肇事飛行員始終未打開駕駛艙門，最終造成飛機(jī)墜毀，機(jī)上144名乘客和6名機(jī)組人員全部遇難。

蓄意墜機(jī)事件發(fā)生，暴露了飛行員權(quán)限過大；當(dāng)發(fā)生蓄意惡性事件時(shí)，無法進(jìn)入駕駛艙進(jìn)行糾正。因此次，有必要進(jìn)行防止蓄意墜機(jī)的駕駛艙門禁系統(tǒng)研究。

1 現(xiàn)有飛機(jī)駕駛艙門控制原理

1.1 駕駛艙門禁控制系統(tǒng)

駕駛艙門禁控制系統(tǒng)如圖1 所示[2-4]，主要由艙門控制器、電磁鎖、傳感器、密碼輸入板、警告指示燈和蜂鳴器以及控制面板等組成。

艙門控制器是駕駛艙門控制系統(tǒng)的核心，管理來自密碼輸入板(客艙內(nèi))、控制面板(駕駛艙內(nèi))的控制信號或請求信號，按照預(yù)先設(shè)定的艙門控制邏輯順序，對駕駛艙門的打開和關(guān)閉進(jìn)行管理控制。

密碼輸入板安裝在靠近客艙一側(cè)的駕駛艙門上，客艙乘務(wù)人員輸入密碼后可發(fā)出請求進(jìn)入駕駛艙；同時(shí)密碼板上還設(shè)置有指示燈，用于提示當(dāng)前駕駛艙門的狀態(tài)。電磁鎖是艙門的鎖定機(jī)構(gòu)。若駕駛艙門閉合，當(dāng)有外部電源供電時(shí)，電磁鎖處于鎖閉狀態(tài)，駕駛艙門將鎖定。駕駛艙外的人員將無法打開駕駛艙門；當(dāng)電源斷開時(shí)，電磁鎖處于開鎖狀態(tài)，此時(shí)駕駛艙外的人員可以打開駕駛艙門。

圖1 駕駛艙門控制系統(tǒng)原理

艙門控制器輸出的告警和指示信息由指示燈和蜂鳴器輸出，提示機(jī)組人員有人請求進(jìn)入駕駛艙或者艙門控制系統(tǒng)出現(xiàn)的異常。

控制面板安裝在駕駛艙內(nèi)的中央操縱臺上，主副飛行員都可以操縱駕駛艙門上鎖或解鎖。

1.2 駕駛艙門控制邏輯

駕駛艙門的實(shí)際控制邏輯如圖2所示。

正常進(jìn)入駕駛艙流程：如前所述，駕駛艙門控制系統(tǒng)通電后，電磁鎖會閉鎖，艙門會被鎖定。客艙內(nèi)人員需要在密碼板上按“#”鍵請求進(jìn)入駕駛艙。飛行員在確認(rèn)請求者身份后，將控制面板上的三位開關(guān)置于“Unlock”解鎖位置，此時(shí)駕駛艙門電磁鎖解鎖，門外人員可以開門進(jìn)入駕駛艙。如果飛行員發(fā)現(xiàn)可疑情況，可以將三位開關(guān)置于“Deny”拒絕位置，此時(shí)電磁鎖仍然處于閉鎖狀態(tài)，駕駛艙門持續(xù)關(guān)閉。

緊急進(jìn)入駕駛艙流程：當(dāng)客艙人員發(fā)現(xiàn)駕駛艙內(nèi)發(fā)生意外需要進(jìn)入駕駛艙時(shí)，可使用應(yīng)急進(jìn)門程序?？团撊藛T通過密碼板輸入緊急密碼+“#”鍵，密碼檢驗(yàn)正確后，系統(tǒng)將發(fā)出30 s提示音信息。如果飛行機(jī)組人員發(fā)生意外，30 s內(nèi)沒有進(jìn)行任何控制面板操作，駕駛艙門電磁鎖將在30 s時(shí)間到后解鎖，艙門可以打開。若機(jī)組人員沒有失能想拒絕客艙人員進(jìn)入，則可操作控制面板上的三位開關(guān)置于“Deny”拒絕位，此時(shí)駕駛艙門仍然保持上鎖狀態(tài)，客艙人員被拒絕進(jìn)入。

圖2 駕駛艙門控制邏輯

2 蓄意墜機(jī)事件及其故障樹分析

2.1 蓄意墜機(jī)事件分析

目前民用運(yùn)輸飛機(jī)普遍采用雙人制機(jī)組，工作負(fù)荷、運(yùn)行成本、安全性都達(dá)到了較好的平衡。911事件發(fā)生之后，為避免民航航班被恐怖分子當(dāng)做“導(dǎo)彈”攻擊平民，飛機(jī)上的駕駛艙艙門設(shè)計(jì)對安全性的考慮放在了首位。設(shè)計(jì)中預(yù)設(shè)的事故場景是傳統(tǒng)的劫機(jī)事件，即：飛行員在駕駛艙，劫機(jī)分子在客艙，劫機(jī)分子試圖通過暴力手段進(jìn)入駕駛艙接管飛機(jī)?，F(xiàn)代客機(jī)的艙門較好的滿足了該場景下的飛行安全。只要鎖死艙門，小口徑武器、消防斧及一般破拆手段都無法破壞鎖死機(jī)構(gòu)。匹配嚴(yán)格的機(jī)場安檢，基本可杜絕劫機(jī)后實(shí)施恐怖襲擊的可能。

但這種預(yù)設(shè)場景為飛行員蓄意墜機(jī)事件留下了可利用的空檔。肇事飛行員在同組另一名飛行員離開駕駛艙的時(shí)候，通過鎖死駕駛艙門能自由進(jìn)行危險(xiǎn)操作。即使地面人員或其他機(jī)組成員能夠發(fā)現(xiàn)肇事飛行員作出了危險(xiǎn)操作，仍然無法干預(yù)飛機(jī)飛行過程。此時(shí)肇事飛行員擁有對飛機(jī)的絕對控制權(quán)。

2.2 蓄意墜機(jī)事件故障樹建立

故障樹分析(FTA)是定性的可靠性分析的重要方法工具[8-9]。故障樹分析是演繹推理，采用從上到下的方式，分析復(fù)雜系統(tǒng)初始失效及事件的影響。故障樹建模過程的本質(zhì)是研究系統(tǒng)失效(頂事件)與部件失效(底事件)之間的因果關(guān)系。

選擇飛機(jī)遭遇非法控制作為頂事件進(jìn)行故障樹分析，建立故障樹模型如圖3所示。故障樹共有7個(gè)中間事件和8個(gè)底事件。

圖3 飛機(jī)遭遇非法控制頂事件故障樹

由于劫機(jī)事件發(fā)生牽涉多方面的因素。為便于進(jìn)行故障樹分析，采用模型簡化的方法，抓住核心關(guān)鍵因素，舍棄其他不重要因素。因此，在進(jìn)行故障樹建模時(shí)，只考慮飛機(jī)遭遇非法控制的核心關(guān)鍵因素：飛行員個(gè)人行為、劫機(jī)者行為與駕駛艙門。其他因素，如飛機(jī)電子系統(tǒng)蓄意遠(yuǎn)程劫持控制、機(jī)場安檢失效的具體因素等暫不考慮。

故障樹中底事件如表1所示。為方便后續(xù)定量計(jì)算分析，參考相關(guān)工程系統(tǒng)失效率和社會人口活動大數(shù)據(jù)，對底事件的發(fā)生率數(shù)據(jù)進(jìn)行了部分假定。

表1 故障樹底事件及其發(fā)生率

2.3 故障樹分析

1)故障樹定性分析

對于故障樹而言，最小割集的階數(shù)越小，一階最小割集數(shù)量越多，則故障樹頂事件發(fā)生的可能性越大。

通過布爾運(yùn)算對圖3故障樹進(jìn)行分析，得到最小割集9個(gè)，分別為{q1,q4}，{q1,q6}，{q2,q4}，{q2,q6}，{q3,q4}，{q5,q6}，{q7,q7}，{q7,q8}，{q7,q9}。全部為二階最小割集。

可以看出不存在由于單個(gè)因素作用直接導(dǎo)致惡性事件發(fā)生的可能性。

2)故障樹定量分析

進(jìn)一步對故障樹進(jìn)行定量分析，求出故障樹頂事件的發(fā)生概率以及故障樹中各底事件的重要度，并根據(jù)重要度的大小排序確定故障診斷和維護(hù)順序。

計(jì)算方法如下：

若故障樹有n個(gè)最小割集，分別為E1，E2，…，En，則故障樹頂事件T的發(fā)生概率為

P(T)=P(E1∪E2∪…∪En)=

(1)

對式(1)進(jìn)行運(yùn)算，代入各最小割集的發(fā)生率，即可求出故障樹頂事件的發(fā)生率為5.05*10-9。

對故障樹的重要度進(jìn)行分析，研究底事件發(fā)生對頂事件發(fā)生的貢獻(xiàn)大小，得到不同底事件的重要度排序。故障樹重要度包括概率重要度Ip和關(guān)鍵重要度Ic，如式(2)和式(3)所示。

(2)

(3)

式中,Q為頂事件的不可靠度；qi為第i個(gè)底事件的發(fā)生率。

故障樹重要度分析計(jì)算結(jié)果如表2所示。從表中可以看出底事件q4，q7概率重要度相對較高，其他底事件概率重要度很小。這說明劫機(jī)者攜帶武器通過機(jī)場安檢、單個(gè)飛行員失常的概率一旦發(fā)生變化，必然會對頂事件發(fā)生率引起重大變化。

進(jìn)一步考察底事件的關(guān)鍵重要度，數(shù)值越大說明底事件發(fā)生引發(fā)故障樹頂事件發(fā)生的可能性越大。從表中可以看出q7，q8，q3，q4底事件最為緊要。

表2 故障樹底事件重要度

為提升飛行安全，保障公眾利益，應(yīng)對上述底事件的發(fā)生，航空界可采取針對性的應(yīng)對措施：1)加強(qiáng)安檢，避免殺傷性武器帶入飛機(jī)。如果武器帶入飛機(jī)，劫機(jī)者能夠輕而易舉破門和挾持飛行員，進(jìn)而控制飛機(jī)作出重大傷害性事件；

2)加強(qiáng)飛行員失常監(jiān)測和引導(dǎo)。由于飛行員思想狀態(tài)具有一定的隱蔽性和欺騙性。因此航空公司要重在平時(shí)的思想狀態(tài)監(jiān)測、引導(dǎo)和防范，要在航前重點(diǎn)監(jiān)測；

3)針對飛行員離開駕駛艙后無法進(jìn)入駕駛艙的缺陷，必須從駕駛艙門控制邏輯上加以改進(jìn)，使得飛行員離開后仍然能夠打開駕駛艙門。

3 駕駛艙門控制系統(tǒng)控制邏輯改進(jìn)

由上文事件故障樹分析可見，此類駕駛艙門禁系統(tǒng)雖然滿足了反恐防暴的要求，但在蓄意墜機(jī)事件中反而成為了悲劇發(fā)生的必要條件。其原因并非技術(shù)問題，而是飛機(jī)設(shè)計(jì)時(shí)預(yù)設(shè)的場景給予了駕駛艙內(nèi)飛行員過高的權(quán)限。

因此，針對蓄意墜機(jī)事件，必須重新設(shè)計(jì)駕駛艙門控制邏輯，賦予離開駕駛艙的飛行員能夠打開駕駛艙門的權(quán)限，避免類似事件再度發(fā)生。

為了“讓合適的人在恰當(dāng)?shù)臅r(shí)刻擁有進(jìn)出駕駛艙的最高權(quán)限”，本文研究確定了門禁最高權(quán)限優(yōu)化分配方案如下表3。

表3 多種預(yù)設(shè)場景的門禁最高權(quán)限分配

由表3中的最高權(quán)限分配方案可見，遭遇劫機(jī)時(shí)，駕駛艙內(nèi)的飛行機(jī)組有門禁最高權(quán)限，消除了恐怖分子突襲駕駛艙的可能。單飛行員在座時(shí)，離座的飛行員有門禁最高權(quán)限，能夠及時(shí)返回駕駛艙中，防止在座飛行員實(shí)現(xiàn)蓄意墜機(jī)的意圖。單飛行員在座且遭遇劫機(jī)時(shí)，駕駛艙內(nèi)的飛行機(jī)組重新獲得門禁最高權(quán)限，防止恐怖分子趁隙進(jìn)入駕駛艙。出現(xiàn)駕駛艙飛行機(jī)組失能情況時(shí)，客艙機(jī)組有進(jìn)入駕駛艙的最高權(quán)限。該方案能夠有效應(yīng)對多種預(yù)設(shè)場景，預(yù)防劫機(jī)和蓄意墜機(jī)事件，保證飛行安全。

根據(jù)上述權(quán)限更改思路，重新設(shè)計(jì)駕駛艙開門邏輯流程如圖4所示。

圖4 改進(jìn)后駕駛艙門控制邏輯流程圖

正常飛行時(shí)，機(jī)組將兩側(cè)旋鈕都放在AUTO位。左右兩座飛行員在接到異常的客艙進(jìn)入請求后，同時(shí)將門禁控制旋鈕調(diào)至DENY位置。此時(shí)駕駛艙艙門鎖死，兩名飛行員共同擁有最高權(quán)限。任一側(cè)旋鈕未調(diào)至DENY位置或從DENY位置離開或兩座飛行員操作間隔超過某一限度，則門鎖仍然可由客艙輸入緊急進(jìn)入密碼予以打開。

在巡航階段，任一飛行員均可離開駕駛艙。離開前需先將一側(cè)門禁控制旋鈕調(diào)至“LEAVE” 位置。另一側(cè)門禁控制旋鈕仍然在“AUTO”位置。駕駛內(nèi)的艙門密碼器(或指紋采集器)激活。飛行員出艙時(shí)須在艙門密碼器上點(diǎn)擊設(shè)置個(gè)人密碼(或在指紋采集器上使用某個(gè)手指采集指紋)才能開門。該飛行員離開后，艙門關(guān)閉自動上鎖。此時(shí)最高進(jìn)出權(quán)限轉(zhuǎn)是該飛行員的個(gè)人密碼(或某手指指紋)。實(shí)現(xiàn)上述駕駛艙門禁控制邏輯電路圖如圖5所示。

圖5 改進(jìn)后駕駛艙門禁控制邏輯電路圖

4 改進(jìn)后可靠性分析

根據(jù)上述改進(jìn)思路——重新賦予離開駕駛艙的飛行員開門權(quán)限，故障樹中的中間事件G6和底事件X8得以消除。故障樹的最小割集也縮減為8個(gè)。故障樹頂事件的發(fā)生率大幅度下降，為5.02*10-11。改進(jìn)后的底事件重要度如表4所示。

表4 改進(jìn)后底事件重要度

對比表2和表4可以看出，底事件q7(單個(gè)飛行員失常)的概率重要度和關(guān)鍵重要度已經(jīng)大幅度下降，說明飛行員失常事件的發(fā)生對頂事件飛機(jī)遭遇非法控制的影響非常小。

因此，通過改進(jìn)駕駛艙門控制邏輯，大幅度降低了飛行員失常對飛機(jī)飛行安全的危害程度，保障了公眾的飛行安全。

5 結(jié)束語

1)本文針對民用飛機(jī)現(xiàn)有駕駛艙門控制邏輯無法防止蓄意墜機(jī)事件發(fā)生的問題，飛機(jī)駕駛艙遭遇非法控制的頂事件，構(gòu)建了故障樹模型；

2)通過對故障樹的定量和定性分析，查找出飛機(jī)遭遇非法控制的具體薄弱環(huán)節(jié)，即劫機(jī)者攜帶武器通過機(jī)場安檢、單個(gè)飛行員失常、離開駕駛艙無法進(jìn)入駕駛艙，并提出了針對性的建議措施；

3)針對飛行員離開駕駛艙后存在無法進(jìn)入被鎖駕駛艙的重大駕駛艙門控制邏輯缺陷，對駕駛艙控制權(quán)限進(jìn)行了優(yōu)化分配，提出了改進(jìn)的駕駛艙門控制流程和邏輯。

4)改進(jìn)后的故障樹分析結(jié)果表明，飛行員失常事件的發(fā)生對頂事件飛機(jī)遭遇非法控制的影響非常小，飛行安全性得到了提升。