基于BPMN和故障樹的管制交接班認(rèn)知危險分析

王潔寧，曹雪梅，周 沅

（1.中國民航大學(xué)天津市空管運行規(guī)劃與安全技術(shù)重點實驗室，天津 300300；2.中國民用航空華東地區(qū)管理局，上海 200335）

基于BPMN和故障樹的管制交接班認(rèn)知危險分析

王潔寧1，曹雪梅1，周 沅2

（1.中國民航大學(xué)天津市空管運行規(guī)劃與安全技術(shù)重點實驗室，天津 300300；2.中國民用航空華東地區(qū)管理局，上海 200335）

在業(yè)務(wù)流程建模與標(biāo)注的基礎(chǔ)上結(jié)合故障樹分析方法對區(qū)域管制員交接班過程中的危險項進行定性/定量分析，根據(jù)業(yè)務(wù)流程建模與標(biāo)注的要求，對區(qū)域管制工作任務(wù)進行分析，建立了交接班過程模型，結(jié)合故障樹分析方法，對過程中的每一項任務(wù)進行危險識別。計算結(jié)果表明，該方法可有效識別空管交接班中危險項，為管制交接工作提供科學(xué)合理的風(fēng)險定量計算具有指導(dǎo)意義。

交接班任務(wù)；認(rèn)知流程；BPMN；故障樹

空中交通管制是保障空管運行安全的重要環(huán)節(jié)，空中交通管制的安全性受多種因素影響，如設(shè)備運行狀況、天氣情況、空域限制和空中交通管制員人為差錯等[1]，其中人為差錯占有較大比重?；糁厩诘萚2]采用修正的REASON模型，結(jié)合空管運行的實際情況，構(gòu)建了事故調(diào)查分析分解框架，為空管安全管理中的危險識別提供了依據(jù)。閆少華[3]在Wickens人類信息加工模型的基礎(chǔ)上，加入注意功能、情景意識、內(nèi)部和外部操作成形因素，建立了管制員信息處理模型，模型從認(rèn)知角度對空中交通管制人為差錯進行分類，進一步確定差錯的心理致因。事實上，空管系統(tǒng)是一個高度分布式、具有聯(lián)合認(rèn)知特征的社會-技術(shù)系統(tǒng)，且人為差錯往往是嵌套在特定的空管業(yè)務(wù)流程之中[4]。2000年，歐控提出了管制員認(rèn)知流程模型[5]，該模型在管制員訪談、管制運行過程觀察及空管運行仿真分析的基礎(chǔ)上，采用自定義符號建立了管制員認(rèn)知流程模型，是本文重要的參考基礎(chǔ)。充分考慮國內(nèi)管制工作的實際情況，通過業(yè)務(wù)流程建模語言構(gòu)建包括任務(wù)流、信息流和控制流等為一體的管制認(rèn)知流程能夠為風(fēng)險分析提供幫助。

從20世紀(jì)60年代開始，針對化工系統(tǒng)中風(fēng)險分析的復(fù)雜性，人們從化工工藝流程出發(fā)，提出了過程危險分析（PHA,process hazard analysis）概念化模型，模型包括HAZOP[6-7]、FMEA[8-10]等在內(nèi)的一系列風(fēng)險分析方法。過程危險分析方法將傳統(tǒng)的方法嵌入到管道儀表流程圖（PID）中，從而能夠在特定的節(jié)點針對特定的危險子節(jié)點開展分析。

本文依據(jù)區(qū)域管制員工作任務(wù)及各個任務(wù)之間的邏輯關(guān)系，引入業(yè)務(wù)流程建模與標(biāo)注(BPMN,business process modelling and notation)[11]構(gòu)建區(qū)域管制交接班流程模型，同時，提出將BPMN模型與故障樹模型相結(jié)合的方法，識別出流程中可能存在的危險項，實現(xiàn)風(fēng)險的定性/定量分析。

1 區(qū)域管制工作任務(wù)分析

區(qū)域管制單位主要為航路（航線）或指定范圍內(nèi)飛行的航空器提供空中交通管制服務(wù)和告警服務(wù)，同時還可為部分航空器提供飛行情報服務(wù)。區(qū)域管制員不僅需要具有宏觀的計劃、預(yù)測、協(xié)調(diào)、組織能力，同時還要具有良好的管制工作節(jié)奏感和發(fā)送指令與解決沖突時機的把握能力[12]。

根據(jù)“集成任務(wù)分析方法”[13]，結(jié)合某區(qū)域管制中心SMS手冊，并經(jīng)過訪談?wù){(diào)研，確定了以下3種工作任務(wù)：

1）管制活動（controller’s action） 管制員實施管制指揮的基本工作任務(wù)。主要包括以下子任務(wù)：①交接班，管制員工作席位交接，并建立當(dāng)前空域態(tài)勢的情景意識；②監(jiān)控，管制員保持對當(dāng)前空域運行情況的監(jiān)視；③處理常規(guī)請求，管制員處理如飛行器高度、速度改變等一些常規(guī)情況；④處理請求/協(xié)助飛行員，管制員處理其他空管人員的請求，并協(xié)助飛行員實施飛行活動；⑤解決沖突，管制員在預(yù)計將要發(fā)生飛行沖突時，通過協(xié)調(diào)和發(fā)布指令等方式解決沖突。

2）認(rèn)知活動（cognitive task） 管制員在執(zhí)行管制活動時，對信息進行加工處理的行為活動。主要包括以下子任務(wù)：①準(zhǔn)備工作，管制員在交接班前需熟悉和觀察當(dāng)前的交通狀況；②更新心理圖，管制員在完成一個任務(wù)后需重新建立對當(dāng)前空域態(tài)勢的情景意識；③檢查，管制員對設(shè)備的簡單檢查，及對實時信息的掌握；④查找沖突，管制員需預(yù)測是否存在潛在沖突，預(yù)判當(dāng)前空域運行態(tài)勢是否符合安全規(guī)則；⑤發(fā)布指令，管制員向飛行員發(fā)布調(diào)配指令。

3）注意力轉(zhuǎn)換（attention） 管制員需將注意力轉(zhuǎn)移到更高優(yōu)先級任務(wù)上。

區(qū)域管制工作任務(wù)中管制活動、認(rèn)知活動和注意力轉(zhuǎn)換這3種任務(wù)過程并非孤立存在，三者之間可能存在依賴關(guān)系、關(guān)聯(lián)關(guān)系、聚合關(guān)系等多種關(guān)系，為了更好地說明，本文采用UML方法[14]刻畫三者之間關(guān)系，如圖1所示。

由圖1可知：認(rèn)知活動類，由準(zhǔn)備工作、更新心理圖、檢查、查找沖突和發(fā)布指令5種子任務(wù)構(gòu)成，同樣地，管制活動由交接班、監(jiān)控、處理常規(guī)請求、處理請求/協(xié)助飛行員和解決沖突5種子任務(wù)聚合而成；管制活動與認(rèn)知活動存在“一對多”的關(guān)聯(lián)關(guān)系，如交接班任務(wù)關(guān)聯(lián)到4種認(rèn)知活動，分別是準(zhǔn)備工作、更新心理圖、檢查、查找沖突。

圖1 區(qū)域管制工作任務(wù)關(guān)系類圖Fig.1 Relationship class diagram of en-route control task processes

通過UML構(gòu)建區(qū)域管制工作任務(wù)關(guān)系類圖，有助于明確管制工作任務(wù)之間的層次關(guān)系，及各個任務(wù)之間的關(guān)聯(lián)關(guān)系?！敖唤影唷边^程是區(qū)域管制員進行基本工作任務(wù)的始端，同時是實現(xiàn)其他任務(wù)的重要基礎(chǔ)，故本文以交接班過程作為研究對象。

2 “管制交接班”任務(wù)分析及建模

2.1 “管制交接班”任務(wù)分析

管制交接班是為避免交班管制員工作時間過長，導(dǎo)致身體和心理勞累、注意力松懈的崗位輪換制度。中國交接班任務(wù)是強制執(zhí)行的工作任務(wù)，在交班管制員講解信息、管制意圖等過程時，有助于接班管制員盡快從非工作狀態(tài)轉(zhuǎn)入高度集中的工作狀態(tài)。良好交接班為后續(xù)管制指揮和解決沖突奠定了堅實的基礎(chǔ)。

通過第1節(jié)關(guān)于管制工作任務(wù)的分析可知：交接班任務(wù)包含的4種認(rèn)知活動，分別是準(zhǔn)備工作、檢查、查找沖突和更新心理圖。表1是對每個認(rèn)知活動存在的認(rèn)知行為分析。

2.2 基于BPMN的“管制交接班”流程建模

從2.1節(jié)關(guān)于管制交接班認(rèn)知行為的分析可知，管制交接班過程是一種時序流程，其中具體認(rèn)知活動中包含一些并行或復(fù)雜事件等。鑒于管制交接班過程存在流程特點，故采用業(yè)務(wù)流程建模與標(biāo)注，這是一種以圖形化的方式表述業(yè)務(wù)流程的建模語言，可給用戶提供一種容易理解的表示方式，同時可用于描述業(yè)務(wù)流程中的任務(wù)流、信息流和控制流[11]。

BPMN2.0中含有5種核心元素集合，分別是任務(wù)集合（T）、事件集合（E）、網(wǎng)關(guān)集合（G）、池（P）和流集合（F）。核心元素的圖形如圖2所示，關(guān)于每種核心元素的定義、表示符號具體參見Cameo Business Modeler 18.3專業(yè)軟件手冊[15]，本文不再贅述。

表1 管制交接班認(rèn)知活動任務(wù)Tab.1 Cognitive task of‘taking over position’

圖2 核心BPMN元素Fig.2 Core element of BPMN

在BPMN2.0中，為了得到標(biāo)準(zhǔn)的流程模型，需對流程作出以下邏輯約束定義：

定義1 BPMN=（T，E，G，P，F(xiàn)），其中，集合T、E、G、P互不相交。

定義2 業(yè)務(wù)流程中的邏輯約束條件，如

條件1 ?e∈ES：in（e）=?∧ out（e） =1

條件2 ?e∈EE：in（e）=?∧ in（e）=1

條件3 ?t∈T：ou（tt）=1

其中：ES表示開始事件；EE表示結(jié)束事件。

因此，在符合BPMN2.0邏輯約束的前提下，應(yīng)用Cameo Business Modeler 18.3專業(yè)軟件構(gòu)建如圖3所示的管制交接班過程模型，及檢查任務(wù)內(nèi)嵌套的認(rèn)知流程，如圖4所示。

圖3 區(qū)域管制員交接班認(rèn)知流程模型Fig.3 Cognitive process model of en-route controllers’taking over position

圖4 基于BPMN的區(qū)域管制員"檢查"過程模型Fig.4 En-route controllers’checking process model based on BPMN

在區(qū)域管制交接班認(rèn)知流程模型中，本文將交接班過程中包含的4種認(rèn)知活動定義為子過程（即用帶有加號的矩形框表示），子過程意味該過程內(nèi)包含更具體的流程。圖4顯示的是管制交接班檢查活動的認(rèn)知流程模型，其他3種認(rèn)知活動同樣存在具體的流程模型。在管制交接班進程中，每進行一項認(rèn)知活動，就可能產(chǎn)生一定危險，隨著每項認(rèn)知活動的進行，認(rèn)知活動中的危險也會相應(yīng)的累加，即準(zhǔn)備工作任務(wù)中產(chǎn)生的危險會對信息檢查任務(wù)產(chǎn)生影響。隨著過程發(fā)展的進程，危險累加，最終會導(dǎo)致管制交接班失敗，甚至造成不良后果。因此，可將管制交接班過程劃分為合理的分析節(jié)點，以便較全面地分析每項認(rèn)知活動中存在的危險，從而降低管制員交接班存在隱患的可能性。

本文應(yīng)對管制交接班過程中存在的4種認(rèn)知活動分別進行基于BPMN的故障樹分析，但由于篇幅限制，僅以檢查認(rèn)知活動為例進行分析。

3 故障樹定量風(fēng)險分析

故障樹分析法是一種通過演繹推理的方式，用樹形圖表示系統(tǒng)可能發(fā)生的某種事故與導(dǎo)致事故發(fā)生的各種原因之間的邏輯關(guān)系[16]。很多學(xué)者直接將故障樹分析方法用于分析系統(tǒng)故障，這樣分析存在的缺點是分析較大型系統(tǒng)時，無法保證所構(gòu)建故障樹的完整性，也給定量分析增加了難度。為了構(gòu)建較為完整的故障樹，本文在HAZOP和FMEA過程危險分析方法基礎(chǔ)上，將系統(tǒng)劃分為合理的分析節(jié)點，再針對每個分析節(jié)點進行故障樹定性/定量分析。圖5所示的就是將故障樹用于BPMN模型中任務(wù)節(jié)點的分析模型，即基于BPMN的故障樹模型[17]。

從圖5可知，導(dǎo)致任務(wù)故障的原因不僅僅來自于任務(wù)本身的致因因素，還有上一任務(wù)的危險輸入，故在使用該模型進行過程危險分析時，不應(yīng)忽視關(guān)聯(lián)任務(wù)之間的相互影響。以“檢查”認(rèn)知活動為例進行定性分析，對于進行掃視雷達屏幕或提示信息行為時，可能出現(xiàn)視頻信息超出視界、視頻信息干擾、錯誤等差錯。進而得到如表2中列舉導(dǎo)致檢查信息不全面的致因因素，其中還包含準(zhǔn)備工作不充分產(chǎn)生的危險因素。

圖5 基于BPMN的故障樹模型Fig.5 FTA model based on BPMN

表2 檢查信息不全面危險致因因素Tab.2 Causing factors of incomplete information checking

表2中的致因因素是導(dǎo)致活動故障的直接因素。這些直接致因因素就構(gòu)成了故障樹的基本事件，再通過樹狀結(jié)構(gòu)的節(jié)點互聯(lián)，形成了完整的信息檢查不全面的故障樹，本文在Fault Tree+軟件中構(gòu)建了如圖6所示故障樹。圖中的節(jié)點代表了故障或失效路徑，并通過布爾邏輯和符號連接起來。基本事件概率是根據(jù)某空管局2009—2012年度不安全事件報告統(tǒng)計得到，如表3所示。為使用Fault Tree+軟件對管制交接班中檢查認(rèn)知過程進行定量分析，需將基本事件發(fā)生頻率轉(zhuǎn)換為故障率（即每百萬小時失效率），代入軟件計算，得到圖7所示的關(guān)于信息檢查不全面的結(jié)果報告，及圖8所示的人為差錯重要度分析結(jié)果。

圖6 信息檢查不全故障樹Fig.6 Fault tree of incomplete information checking

表3 某空管局2009—2012年度不安全事件報告統(tǒng)計Tab.3 2009—2012 unsafe event report of one sub-bureau of CAAC

圖7 信息檢查故障樹結(jié)果報告Fig.7 Fault tree result report of incomplete information checking

從信息檢查結(jié)果報告中明顯可以看出，管制交接班過程中，信息檢查不全面的故障率為5.048E-08每百萬小時，不可用度為1.262E-14。從圖8可得知，在信息檢查認(rèn)知活動中，管制員信息檢查的人為差錯問題主要受管制員檢查時間不充足影響。從一線了解到中國管制交接班時間一般為10 min左右，這期間不僅要了解、熟悉交通態(tài)勢，還需要聽交班管制員講解，對可能的沖突進行調(diào)配等活動，因此檢查信息時間不充分對導(dǎo)致管制員信息檢查不全面影響較為顯著。進而提醒管理者對管制員進行培訓(xùn)、考核時，應(yīng)對合理分配交接班時間給予足夠重視，使得管制員可以高效地完成交接班任務(wù)。

圖8 信息檢查重要度分析Fig.8 Importance analysis of incomplete information checking

同理，可使用基于BPMN的故障樹方法對其余的3種認(rèn)知活動進行故障樹構(gòu)建和重要度分析。

4 結(jié)語

高效交接班是管制員正常流暢工作的重要保障，這是一個不能出現(xiàn)任何紕漏的環(huán)節(jié)，任何一個空中動態(tài)的遺忘移交都可能形成潛在的隱患。本文將業(yè)務(wù)流程建模工具BPMN引入到空中交通管制員認(rèn)知風(fēng)險分析中，結(jié)合故障樹分析方法對流程模型中的任務(wù)節(jié)點進行最小割集、最小徑集和重要度的定性/定量分析。本方法可較為準(zhǔn)確地識別出管制員交接班過程中的危險項，并計算出相應(yīng)的故障率，對于一些重要度較高的危險項，應(yīng)引起管理者和管制員的足夠重視，為實現(xiàn)區(qū)域管制交接班精細化管理打下堅實的基礎(chǔ)。本文后續(xù)工作將進一步細化認(rèn)知過程，通過大量的實際數(shù)據(jù)進行驗證。

[1]隋 東,韓明良,董襄寧,等.空中交通管制員認(rèn)知可靠性研究[J].南京航空航天大學(xué)學(xué)報,2007,39(3):384-387.

[2]霍志勤,謝孜楠.Reason模型在空中交通管制中的應(yīng)用[J].中國安全科學(xué)學(xué)報,2008,18(1):155-159.

[3]閆少華.基于信息加工模型的管制員差錯分類與分析[J].中國安全科學(xué)學(xué)報,2009,19(8):121-125.

[4]施和平.空管系統(tǒng)安全管理——基于資源、機制、效用模式的理論和實踐[M].北京:中國民航出版社,2015.

[5]EUROCONTROL.Integrated Task and Job Analysis of Air Traffic Controllers Phase 3 Baseline Reference of Air Traffic Controller Tasks and Cognitive Processes in the ECAC Area[R].European Organization for the Safety of Air Navigation,2000:111-128.

[6]盧琳琳,張來斌,梁 偉,等.基于因果依賴圖的HAZOP推理方法研 究[J].中國安全科學(xué)學(xué)報,2012,22(2):63-68.

[7]郭麗杰,王 楠,康建新.石化裝置HAZOP節(jié)點重要度模糊綜合評價研究[J].中國安全科學(xué)學(xué)報,2015,25(1):98-104.

[8]鄭晶晶,張欽禮,王新民,等.充填管道系統(tǒng)失效模式與影響分析(FMEA)及失效影響模糊評估[J].中國安全科學(xué)學(xué)報,2009,19(6): 166-171.

[9]胡海濤,高朝暉,何正友,等.基于FTA和FMEA法的地鐵牽引供電系統(tǒng)可靠性評估[J].鐵道學(xué)報,2012,34(10):48-54.

[10]李中興,陳國華,李 剛,等.基于PHA-FMEA的電梯安全評估方法及應(yīng)用[J].2014,24(10):60-64.

[11]OBJECTMANAGEMENTGROUP.Businessprocessmodelandnotation (BPMN)2.0,StandardDocumentformal/2011-01-03[R].Object ManagementGroup,Needham,2011.

[12]杜 實.空中交通監(jiān)視服務(wù)[M].北京:中國民航出版社,2012.

[13]SEAMSTER T L,REDDING R E,KAEMPF L.Applied cognitive task analysis in aviation[J].International Journal of Cognitive Ergonomics, 1999,3(3):377-378.

[14]冀振燕.UML系統(tǒng)分析與設(shè)計教程[M].北京:人民郵電出版社, 2009.

[15]OBJECT MANAGEMENT GROUP INC.Cameo Business Modeler User Guide[G].2013.

[16]SINNAMON R M,ANDREWS J D.New approaches to evaluating fault trees[J]．Reliability Engineering&System Safety,1997,58(2):89-96.

[17]LUKE T.HERBERT,R S.Quantitative Analysis of Probabilistic BPMN workflows[C]//Tcyl ASME 2012 International Design Engineering Technical Conference&Computers and Information in Engineering Conrfeence,Chicago,2012.

（責(zé)任編輯：黃 月）

Research on controllers’cognitive risk based on BPMN and FTA

WANG Jiening1,CAO Xuemei1,ZHOU Yuan2
（1.Tianjin Key Lab of ATM Operation Planning and Safety Technology,CAUC,Tianjin 300300,China; 2.East China Regional Administration,CAAC,Shanghai 200335,China）

Risk factor analysis of ARTCC controllers’taking over position task is studied based on BPMN model and FTA. En-route controllers’task is analyzed,meanwhile,taking over position process is established according to the requirements of BPMN model.In order to address the safety risk analysis,BPMN model is extended to analyze cognitive risks of every key task element in the model by FTA.Results show that it can help to identify key risk factors of taking over position tasks and to conduct quantitative calculation risk level.

taking over position task;cognitive process;BPMN;FTA

V355

：A

：1674－5590（2016）06－0010－05

2015-12-28；

：2016-03-27

中央高?；究蒲袠I(yè)務(wù)費專項（3122013P008,3122014D040）；空管科研課題（GKG201410003）

王潔寧（1966—），男，甘肅蘭州人，研究員，博士，研究方向為空管仿真與空管軟件技術(shù).