对“过渡方案”实施评估的方法设计与思考——探索安全评估一种新的运用方向
摘要:笔者基于日常安全管理工作的实践与思考,尝试将应对系统变更所开展的安全评估,这一风险管理方法运用于对“过渡方案”的评估,通过多纬度和系统方法来检验过渡方案的可行性、合理性、可靠和要素全面性;使过渡工作所依据的方案是安全的,并在方案的实施过程中,确保运行系统、服务系统始终保持原有的安全水平。对过渡方案的安全评估结果亦可用于优化方案,也可为将来类似过渡工作形成方案时,有一个可依据的思路并能精准锁定其关键要素。
目前,按照民航安全管理体系(SMS)、《民用航空空中交通管理运行单位安全管理规则》(CCAR-83)等要求,安全评估在民航业务变更、建设投产和系统变化中运用较为广泛,安全评估的本质是源于应对变更的管理,也就是应对系统变化(包括新系统加入原运行系统等)可能产生的新的危险源进行识别、风险分析和制定管控措施,是基于变更前后的静态分析,使运行系统不因为变更而降低安全水平。但在民航业务建设和发展过程中,新设施设备建成投产、系统更新升级、新机场搬迁等都涉及不停航施工,这类新旧系统从切换准备、实施切换、直至新系统上线稳定运行的整个阶段统称为过渡工作。为保障过渡工作顺利实施,需要拟定系统切换的“过渡方案”,而过渡方案的合理、完备、可靠和可操作性等,是新旧系统切换过渡的基本保障。针对过渡方案实施安全评估在业内鲜有运用,但过渡工作有时涉及面广,系统庞杂,对过渡方案(以下称:方案)的评估是很有必要的而且是非常重要的,也应是安全风险管理工作的组成部分。
一、过渡方案的评估问题概述
(一)方案评估的目的意义
保障过渡工作总体平稳,一是检验“方案”可行性、完整性和可靠性,为方案的实施,以及随进度进程对方案进行优化完善提供依据;二是在新系统投产前后发现一些主要问题,或查找可能产生的新的危险源,以便制定针对性管控措施,提高新系统过渡运行的可靠性,或检验与现行运行系统交互界面是否匹配与融合;三是为下一步空管系统新建、改建、扩建类似系统的过渡方案的制定积累经验。
(二)方案评估的工作目标
通过对总体方案的评估,检验其合理性、可操作性,使各相关单位在依据方案实施过渡工作平稳顺利,不同专业间对接合理有效;不发生因方案制定不周导致过渡工作的终止,或因方案设计缺陷导致过渡运行期间发生责任原因的航空不安全事件;查找新系统投产运行后可能产生的新的危险源,有针对性采取管控措施,控制并降低其可能的风险,使系统始终处于安全可接受水平。
(二)评估的主要思路和方法
1、时间轴的方法
通过时间轴分析的方法分析方案的可行性,将系统过渡、切换等所有动作,按时间顺序进行跟踪,检验过渡、切换过程是否考虑了不确定性和可能存在的风险,当过渡、切换失败时,是否有跟进或应急措施,措施是否覆盖所有专业,专业间是否匹配。
2、检查单的方法
通过设计针对性检查单,从过渡工作的组织管理、要素、流程、应急程序、重点监控点(关键设备)、人员适应性、资源投入、切换方案(如现场管理和信息通报)、执行情况评价等多方面进行逐一对照,以检验总体过渡方案所考虑涉及的要素是否覆盖全面,从而评估过渡方案的充分性、合理性、可操作性。
3、事件树的方法
为了确保新系统的平稳过渡,运用事件树的方法对过渡方案进行可靠性研究。事件树分析(Event Tree Analysis,简称ETA)是一种按事故发展的时间顺序由初始事件开始推论可能的后果,从而进行风险分析的方法。事件树分析法是一种时序逻辑的事故分析方法,它以一初始事件为起点,按照事故的发展顺序,分成阶段,一步一步地进行分析,每一事件可能的后续事件只能取完全对立的两种状态(成功或失败,正常或故障,安全或危险等)之一的原则,逐步向结果方面发展,直到达到系统故障或事故为止。事件树可以定性地了解整个事件的动态变化过程,又可以定量计算出各阶段的概率,最终了解事故发展过程中各种状态的发生概率。
(三)评估的范围
对于过渡方案的评估,当然越全面越好,但考虑经济性和评估效能之间的平衡,一般范围锁定在方案涉及的所有内容,所涉及的相关的所有单位,以及相关单位细化的针对本单位的二级方案之间的对接。
二、过渡方案评估的具体方法设计
(一)描述并分析“过渡方案”
首先对方案进行简介描述,然后运用时间轴分析法分析方案的依时间推进的可行性,最后对方案中的关键时间节点进行分析。
方案一般要涉及组织保障及人员,各个专业的过渡步骤和行动,应急及应急联动,人员的知识准备;而对方案的评估是要找准方案的关键时序步骤、核心内容等。同时还要考虑方案中是否有为方案过渡过程中所发生的应急情况提供预案,从而为顺利过渡提供保障;是否为过渡提供人员的准备,为相关人员对新系统能熟练掌握并顺利过渡提供保障。
(二)依照项目过渡推进的时序分析
1、时间轴分析
根据方案的主要内容进行分析发现过渡过程可以用下图描述:满足了过渡条件之后,过渡单位和过渡现场一起经历三个阶段从而达到系统的安全过渡。三个阶段如下图所示:
图一
对于上述三个阶段的每一个阶段我们都可以列出如:过渡准备阶段时间表、过渡运行阶段时间表、过渡稳定阶段时间表。以过渡运行阶段时间表为例,如图二所示(推荐样例):
图二 过渡阶段时间表(样例)
通过表格方式来检验各单位在某个特定时间的工作,变化,及其相关各单位的工作是否相互对接,或是否有效沟通,需要协调的事项,以保障步调一致和协调配合。
2、关键节点分析
我们可将过渡方案的关键节点称为“决策点”,每个决策点都设计检查表单,每个检查表单由若干条件组成(每个条件对应于一项前一步骤的工作),只有检查单中所有条件符合过渡工作即可进入下一步骤。分析主要的关键的决策点X1、X2….每个决策点对应的检查单进行分析,作为过渡相关负责人做决策的依据。
图三 过渡方案关键节点和决策点分析图
(三)方案评估的检查单法
通过检查单的方法,关注过渡方案考虑要素的完备性。过渡方案完备的重要性主要体现在:一是过渡方案必须充分审查实施过程中的各种关键性要素是否落实;是否涵盖了每个阶段的关键性环节和要素;是否根据项目实施的特点,针对各关键环节和要素逐个进行分析,并采取有效的措施,保证项目按预定目标完成。二是在项目的过程中,并不是一项工作完成之后才开展下一项工作,而往往是各个环节交叉进行;因此,能否合理安排好项目各个环节之间的衔接,对项目的实施非常重要。三是过渡方案应有一定的弹性。由于项目的实施过程环节繁多,各环节之间的关系错综复杂,而且在实施过程中,往往会由于管理水平的局限或其他突发事件等原因,影响项目的正常实施。因此,在制定过渡方案的时候,应尽可能使计划符合实际,安排计划时必须留有余地。
根据以上考虑,检查单按三层结构设计:检查模块、检查项和检查点三层。具体的检查单模块可考虑:组织管理、要素、流程、应急程序、重点监控点(关键设备)、人员适应性、资源投入、切换方案(现场管理和信息通报)、后勤保障及其他等10个模块。检查项和检查点可以根据具体的项目分层设计和细化。
|
序号 |
模块 |
检查项 |
检查点 |
评价结果 |
备注 |
|
1 |
组织管理 (举例) |
|
|
是□部分□否□ |
|
|
|
是□部分□否□ |
|
|||
|
|
|
是□部分□否□ |
|
||
|
|
是□部分□否□ |
|
|||
|
|
是□部分□否□ |
|
|||
|
2 |
XX |
|
|
|
|
|
… |
… |
… |
… |
… |
|
图四 过渡方案检查单(样例)
我们可以通过发放表格给参与到过渡工作相关人员,让相关人员共同检验过渡方案,并通过调查问卷检验相关人员对过渡方案的了解掌握情况,问卷可分别发放给运行人员和管理人员。对问卷结果进行统计分析,一方面通过三层结构分析和对个检查点的评价,以检验方案的要素完备性、流程合理性、资源投入、人员适应性以及现场管理和信息通报的有效和及时,另一方面通过决策层、管理层和运行人员的问卷分析,检验各层级对过渡方案的掌握了解状况,为方案的顺利实施打下基础。
(四)过渡方案可靠性分析
过渡方案可靠性分析是对过渡准备阶段,过渡运行阶段,稳定运行阶段是否可以顺利往前推进进行评估。运用事件树的方法对过渡是否能够顺利推进进行分析,并对决定各主要影响因素的成功失败的概率的决定因素进行梳理,最后根据相关技术人员提供的概率值进行研究。(以下以区管自动化过渡工作为例来说明)
1、过渡准备阶段的主要要素,如人员知识储备、新系统的验收状况或可靠性,备份方式的可靠性 ;
图五 过渡准备阶段事件树
2、过渡运行阶段
方案中过渡运行阶段主要是启用备份系统,新系统同步运行;如果正常,将部分子系统切换为新系统进行对空指挥;如果正常,将把剩余席位接入;如果运行正常,将进入满负荷运行阶段,满负荷未发现出现需要回滚的问题,将进入下一个阶段。依据以上分析运用事件树分析过渡运行阶段的方案如图六所示。
|
过渡运行 |
启用备份系统 |
新系统同步运行 |
部分子系统切换到新系统 |
剩余子系统接入新系统 |
满负荷过渡 |
结果 |
图六 过渡运行阶段事件树
3、稳定运行阶段
稳定运行阶段的情况相对于上一个阶段要简单的多,事件树如图七所示,主要是两个结果(1)(2)。
图七 稳定运行阶段事件树
4、事件树分析的样例
以工作中尝试对航管自动化版本升级方案评估为样例,进行概率分析。
最后依据相关部门根据数据和经验给出的每个步骤发生的概率值进行计算。以下数据值,由于缺乏一定的数据积累所以缺乏一定的精确性,可以根据各元素的不断完善从而加大成功概率。
假定:
P111=99% P112=1% ;
P121=90% P122=10% ;
P131=90% P132=10% ;
因此过渡准备阶段顺利完成的概率为P1=P111×P121×P131=80%。
P211=95% P212=5% ;
P221=95% P222=5% ;
P231=97% P232=3% ;
P241=99% P242=1% ;
P251=90% P252=10% ;
因此过渡运行阶段顺利完成的概率为P2=P211×P221×P231×P241×P251 =78%。
P311=90% P312=10% ;
因此稳定运行阶段顺利完成的概率为P3=P311=90%。
我们假定过渡准备阶段,过渡运行阶段和稳定运行阶段成功的概率彼此相互独立,那么此方案成功过渡的概率P为:
P=P1×P2×P3=56%
该数据可以作为一个评判方案可靠性的参考数值,不是精确值。而且该值反应的是,依据方案顺利完成自动化版本升级过渡的概率,如果失败不能过渡到新系统,针对三个事件树中的失败的情况方案中都提出详细的应对措施和应急响应,也就是说即使不能过渡到新的系统也能确保不影响安全运行。
(五)基于危险源的风险分析
此分析方法的主要思路是,通过针对新系统投入运行开展的安全评估所查找出的危险源进行分析,确定危险源在过渡过程中所影响的时间段,提出相应的管控措施,从而降低新系统过渡的风险。针对所进行的分析给出了相应的风险提示,从而明确影响系统过渡的主要的风险并给以充分的关注。经采取风险管控措施后,剩余风险值均控制在可接受和可容忍的范围内。
|
编号 |
可能的 风险 |
缓控 措施 |
影响阶段 |
||
|
过渡准备阶段 |
过渡运行阶段 |
稳定运行阶段 |
|||
|
1 |
(危险源一) |
|
▲ |
▲ |
▲ |
|
2 |
|
|
|
▲ |
▲ |
|
… |
… |
… |
… |
… |
… |
图八 危险源清单(样例)
同时,还需分析重要危险源的影响阶段,这对我们在设备过渡过程中对某个危险源的重点关注有着非常好的预警作用。在危险源管理的过程中,已识别的危险源初始风险值都较高,这些危险源在采取了管控措施的情况下,风险值得以降低。但如果风险管控措施的实施效果没有达到原来设想,或者风险管控措施没有完全落实,那么原来预想的剩余风险也将改变。所以针对风险管控措施的持续监督是必要的。在内外部条件变化时,危险源的风险值(风险等级)可能发生变化。
三、过渡方案的评估结果
根据以上的时间轴分析法,检查单方法,事件树分析法,新增危险源分析法(即变更的安全评估)的研究,给出方案的总体评价,提出过渡方案中的关键问题、关键节点,给出修改完善的建议措施,以及实施时需要注意的事项。评估结果一般分为以下几个部分:
(一)存在问题;
例如:新系统设备的稳定性,备份设备的可靠性,人员的知识储备,应急程序和演练等;这些都能从前面的分析得出。
(二)关键节点提示;
(三)建议措施。
四、小结
过渡方案评估,可运用时间轴分析方案的可行性,分析方案过渡的关键节点和需要做出决策的四个决策点,给相关负责人做出相应的决策提出了建议。
运用检查单的方法可分析方案的充分性,合理性和可操作性;并可发放收集调查问卷分析方案中尚不完善的部分;并明确方案过渡的关键问题、困难和协调解决的途径。同时亦可检验运行人员、管理人员、决策人员对方案的理解和掌握情况 。
运用事件树的分析方法可研究方案的可靠性的参考概率值,使方案对过渡失败给出详细的应对措施,即使不能顺利过渡也能确保回滚到原系统运行,并且确保整个过程的安全运行。
可对危险源进行了分析,提出管控措施,确定了每个危险源的影响阶段,最后给出了风险提示。
依据所分析的结果对所存在的问题以及关键节点给出了相应的建议措施。
大系统的过渡工作,比如将来首都新机场投入运行时空中交通服务的过渡工作等,其过渡方案是复杂和综合性的,涉及的专业多、部门多,笔者认为对其过渡方案的评估非常有必要,同时过渡方案的评估中也已包含了民航局规章中要求的应对变更的安全评估的所有相关工作。方案和应对变更的全面评估,将有助于新机场的启用,和一市两场运行模式的顺利实施。(周沅 华东空管局)
参考文献
1.《民航空中交通管理安全评估管理办法》[S],2011年5月
2.《“新建、改建、扩建空管运行设施设备情况”安全评估指导材料》[S],2012年12月
3.Clifton A.Ericson Ⅱ《危险分析技术》[M],国防工业出版社 2012年,P209-P220
4. 《上海THALES自动化系统升级改造运行过渡总体方案的评估》[Z]单位第一作者
