基于故障樹分析方法的民機飛機駕駛艙門控制邏輯改進設(shè)計

陸 崢，劉 劍

(上海飛機客戶服務(wù)有限公司，上海 200241)

0 引言

駕駛艙門是安裝在飛機客艙和駕駛艙之間的可鎖艙門。震驚世界的“9.11”恐怖襲擊事件發(fā)生后，為保障駕駛安全及飛行機組的人身安全，國際民航組織和各國適航當(dāng)局都修改了適航條例，明確要求所有民航運輸類客機必須安裝具備防暴力入侵以及防爆的駕駛艙門。

按照CCAR-25部中關(guān)于駕駛艙的保護適航條款相關(guān)要求[1]，駕駛艙門必須可鎖，能夠阻止未被授權(quán)的人員進入駕駛艙；以及能抵御輕型武器的活力或爆炸裝置的穿透，以保證機組人員的安全。目前，飛機上通常在駕駛艙內(nèi)側(cè)安裝有駕駛艙門控制系統(tǒng)，可以有效阻止未經(jīng)授權(quán)的非機組人員進入駕駛艙搶奪飛機控制權(quán)，為飛行員提供安全保護。因此飛行機組人員具有駕駛艙門的最高控制權(quán)限。

2015年3月4日，德國之翼客機墜毀事件發(fā)生。官方發(fā)布的事件調(diào)查報告確認(rèn)，該墜毀事件是由當(dāng)班客機副駕駛蓄意改變自動駕駛模式下的飛機巡航高度設(shè)定，導(dǎo)致飛機加速下降直至墜毀。在發(fā)現(xiàn)飛機異常下降期間，客艙機組人員試圖通過使用艙門密碼鍵盤、駕駛艙內(nèi)話設(shè)備及拍打艙門等措施請求進入駕駛艙。但該肇事飛行員始終未打開駕駛艙門，最終造成飛機墜毀，機上144名乘客和6名機組人員全部遇難。

蓄意墜機事件發(fā)生，暴露了飛行員權(quán)限過大；當(dāng)發(fā)生蓄意惡性事件時，無法進入駕駛艙進行糾正。因此次，有必要進行防止蓄意墜機的駕駛艙門禁系統(tǒng)研究。

1 現(xiàn)有飛機駕駛艙門控制原理

1.1 駕駛艙門禁控制系統(tǒng)

駕駛艙門禁控制系統(tǒng)如圖1 所示[2-4]，主要由艙門控制器、電磁鎖、傳感器、密碼輸入板、警告指示燈和蜂鳴器以及控制面板等組成。

艙門控制器是駕駛艙門控制系統(tǒng)的核心，管理來自密碼輸入板(客艙內(nèi))、控制面板(駕駛艙內(nèi))的控制信號或請求信號，按照預(yù)先設(shè)定的艙門控制邏輯順序，對駕駛艙門的打開和關(guān)閉進行管理控制。

密碼輸入板安裝在靠近客艙一側(cè)的駕駛艙門上，客艙乘務(wù)人員輸入密碼后可發(fā)出請求進入駕駛艙；同時密碼板上還設(shè)置有指示燈，用于提示當(dāng)前駕駛艙門的狀態(tài)。電磁鎖是艙門的鎖定機構(gòu)。若駕駛艙門閉合，當(dāng)有外部電源供電時，電磁鎖處于鎖閉狀態(tài)，駕駛艙門將鎖定。駕駛艙外的人員將無法打開駕駛艙門；當(dāng)電源斷開時，電磁鎖處于開鎖狀態(tài)，此時駕駛艙外的人員可以打開駕駛艙門。

圖1 駕駛艙門控制系統(tǒng)原理

艙門控制器輸出的告警和指示信息由指示燈和蜂鳴器輸出，提示機組人員有人請求進入駕駛艙或者艙門控制系統(tǒng)出現(xiàn)的異常。

控制面板安裝在駕駛艙內(nèi)的中央操縱臺上，主副飛行員都可以操縱駕駛艙門上鎖或解鎖。

1.2 駕駛艙門控制邏輯

駕駛艙門的實際控制邏輯如圖2所示。

正常進入駕駛艙流程：如前所述，駕駛艙門控制系統(tǒng)通電后，電磁鎖會閉鎖，艙門會被鎖定。客艙內(nèi)人員需要在密碼板上按“#”鍵請求進入駕駛艙。飛行員在確認(rèn)請求者身份后，將控制面板上的三位開關(guān)置于“Unlock”解鎖位置，此時駕駛艙門電磁鎖解鎖，門外人員可以開門進入駕駛艙。如果飛行員發(fā)現(xiàn)可疑情況，可以將三位開關(guān)置于“Deny”拒絕位置，此時電磁鎖仍然處于閉鎖狀態(tài)，駕駛艙門持續(xù)關(guān)閉。

緊急進入駕駛艙流程：當(dāng)客艙人員發(fā)現(xiàn)駕駛艙內(nèi)發(fā)生意外需要進入駕駛艙時，可使用應(yīng)急進門程序。客艙人員通過密碼板輸入緊急密碼+“#”鍵，密碼檢驗正確后，系統(tǒng)將發(fā)出30 s提示音信息。如果飛行機組人員發(fā)生意外，30 s內(nèi)沒有進行任何控制面板操作，駕駛艙門電磁鎖將在30 s時間到后解鎖，艙門可以打開。若機組人員沒有失能想拒絕客艙人員進入，則可操作控制面板上的三位開關(guān)置于“Deny”拒絕位，此時駕駛艙門仍然保持上鎖狀態(tài)，客艙人員被拒絕進入。

圖2 駕駛艙門控制邏輯

2 蓄意墜機事件及其故障樹分析

2.1 蓄意墜機事件分析

目前民用運輸飛機普遍采用雙人制機組，工作負(fù)荷、運行成本、安全性都達到了較好的平衡。911事件發(fā)生之后，為避免民航航班被恐怖分子當(dāng)做“導(dǎo)彈”攻擊平民，飛機上的駕駛艙艙門設(shè)計對安全性的考慮放在了首位。設(shè)計中預(yù)設(shè)的事故場景是傳統(tǒng)的劫機事件，即：飛行員在駕駛艙，劫機分子在客艙，劫機分子試圖通過暴力手段進入駕駛艙接管飛機。現(xiàn)代客機的艙門較好的滿足了該場景下的飛行安全。只要鎖死艙門，小口徑武器、消防斧及一般破拆手段都無法破壞鎖死機構(gòu)。匹配嚴(yán)格的機場安檢，基本可杜絕劫機后實施恐怖襲擊的可能。

但這種預(yù)設(shè)場景為飛行員蓄意墜機事件留下了可利用的空檔。肇事飛行員在同組另一名飛行員離開駕駛艙的時候，通過鎖死駕駛艙門能自由進行危險操作。即使地面人員或其他機組成員能夠發(fā)現(xiàn)肇事飛行員作出了危險操作，仍然無法干預(yù)飛機飛行過程。此時肇事飛行員擁有對飛機的絕對控制權(quán)。

2.2 蓄意墜機事件故障樹建立

故障樹分析(FTA)是定性的可靠性分析的重要方法工具[8-9]。故障樹分析是演繹推理，采用從上到下的方式，分析復(fù)雜系統(tǒng)初始失效及事件的影響。故障樹建模過程的本質(zhì)是研究系統(tǒng)失效(頂事件)與部件失效(底事件)之間的因果關(guān)系。

選擇飛機遭遇非法控制作為頂事件進行故障樹分析，建立故障樹模型如圖3所示。故障樹共有7個中間事件和8個底事件。

圖3 飛機遭遇非法控制頂事件故障樹

由于劫機事件發(fā)生牽涉多方面的因素。為便于進行故障樹分析，采用模型簡化的方法，抓住核心關(guān)鍵因素，舍棄其他不重要因素。因此，在進行故障樹建模時，只考慮飛機遭遇非法控制的核心關(guān)鍵因素：飛行員個人行為、劫機者行為與駕駛艙門。其他因素，如飛機電子系統(tǒng)蓄意遠程劫持控制、機場安檢失效的具體因素等暫不考慮。

故障樹中底事件如表1所示。為方便后續(xù)定量計算分析，參考相關(guān)工程系統(tǒng)失效率和社會人口活動大數(shù)據(jù)，對底事件的發(fā)生率數(shù)據(jù)進行了部分假定。

表1 故障樹底事件及其發(fā)生率

2.3 故障樹分析

1)故障樹定性分析

對于故障樹而言，最小割集的階數(shù)越小，一階最小割集數(shù)量越多，則故障樹頂事件發(fā)生的可能性越大。

通過布爾運算對圖3故障樹進行分析，得到最小割集9個，分別為{q1,q4}，{q1,q6}，{q2,q4}，{q2,q6}，{q3,q4}，{q5,q6}，{q7,q7}，{q7,q8}，{q7,q9}。全部為二階最小割集。

可以看出不存在由于單個因素作用直接導(dǎo)致惡性事件發(fā)生的可能性。

2)故障樹定量分析

進一步對故障樹進行定量分析，求出故障樹頂事件的發(fā)生概率以及故障樹中各底事件的重要度，并根據(jù)重要度的大小排序確定故障診斷和維護順序。

計算方法如下：

若故障樹有n個最小割集，分別為E1，E2，…，En，則故障樹頂事件T的發(fā)生概率為

P(T)=P(E1∪E2∪…∪En)=

(1)

對式(1)進行運算，代入各最小割集的發(fā)生率，即可求出故障樹頂事件的發(fā)生率為5.05*10-9。

對故障樹的重要度進行分析，研究底事件發(fā)生對頂事件發(fā)生的貢獻大小，得到不同底事件的重要度排序。故障樹重要度包括概率重要度Ip和關(guān)鍵重要度Ic，如式(2)和式(3)所示。

(2)

(3)

式中,Q為頂事件的不可靠度；qi為第i個底事件的發(fā)生率。

故障樹重要度分析計算結(jié)果如表2所示。從表中可以看出底事件q4，q7概率重要度相對較高，其他底事件概率重要度很小。這說明劫機者攜帶武器通過機場安檢、單個飛行員失常的概率一旦發(fā)生變化，必然會對頂事件發(fā)生率引起重大變化。

進一步考察底事件的關(guān)鍵重要度，數(shù)值越大說明底事件發(fā)生引發(fā)故障樹頂事件發(fā)生的可能性越大。從表中可以看出q7，q8，q3，q4底事件最為緊要。

表2 故障樹底事件重要度

為提升飛行安全，保障公眾利益，應(yīng)對上述底事件的發(fā)生，航空界可采取針對性的應(yīng)對措施：1)加強安檢，避免殺傷性武器帶入飛機。如果武器帶入飛機，劫機者能夠輕而易舉破門和挾持飛行員，進而控制飛機作出重大傷害性事件；

2)加強飛行員失常監(jiān)測和引導(dǎo)。由于飛行員思想狀態(tài)具有一定的隱蔽性和欺騙性。因此航空公司要重在平時的思想狀態(tài)監(jiān)測、引導(dǎo)和防范，要在航前重點監(jiān)測；

3)針對飛行員離開駕駛艙后無法進入駕駛艙的缺陷，必須從駕駛艙門控制邏輯上加以改進，使得飛行員離開后仍然能夠打開駕駛艙門。

3 駕駛艙門控制系統(tǒng)控制邏輯改進

由上文事件故障樹分析可見，此類駕駛艙門禁系統(tǒng)雖然滿足了反恐防暴的要求，但在蓄意墜機事件中反而成為了悲劇發(fā)生的必要條件。其原因并非技術(shù)問題，而是飛機設(shè)計時預(yù)設(shè)的場景給予了駕駛艙內(nèi)飛行員過高的權(quán)限。

因此，針對蓄意墜機事件，必須重新設(shè)計駕駛艙門控制邏輯，賦予離開駕駛艙的飛行員能夠打開駕駛艙門的權(quán)限，避免類似事件再度發(fā)生。

為了“讓合適的人在恰當(dāng)?shù)臅r刻擁有進出駕駛艙的最高權(quán)限”，本文研究確定了門禁最高權(quán)限優(yōu)化分配方案如下表3。

表3 多種預(yù)設(shè)場景的門禁最高權(quán)限分配

由表3中的最高權(quán)限分配方案可見，遭遇劫機時，駕駛艙內(nèi)的飛行機組有門禁最高權(quán)限，消除了恐怖分子突襲駕駛艙的可能。單飛行員在座時，離座的飛行員有門禁最高權(quán)限，能夠及時返回駕駛艙中，防止在座飛行員實現(xiàn)蓄意墜機的意圖。單飛行員在座且遭遇劫機時，駕駛艙內(nèi)的飛行機組重新獲得門禁最高權(quán)限，防止恐怖分子趁隙進入駕駛艙。出現(xiàn)駕駛艙飛行機組失能情況時，客艙機組有進入駕駛艙的最高權(quán)限。該方案能夠有效應(yīng)對多種預(yù)設(shè)場景，預(yù)防劫機和蓄意墜機事件，保證飛行安全。

根據(jù)上述權(quán)限更改思路，重新設(shè)計駕駛艙開門邏輯流程如圖4所示。

圖4 改進后駕駛艙門控制邏輯流程圖

正常飛行時，機組將兩側(cè)旋鈕都放在AUTO位。左右兩座飛行員在接到異常的客艙進入請求后，同時將門禁控制旋鈕調(diào)至DENY位置。此時駕駛艙艙門鎖死，兩名飛行員共同擁有最高權(quán)限。任一側(cè)旋鈕未調(diào)至DENY位置或從DENY位置離開或兩座飛行員操作間隔超過某一限度，則門鎖仍然可由客艙輸入緊急進入密碼予以打開。

在巡航階段，任一飛行員均可離開駕駛艙。離開前需先將一側(cè)門禁控制旋鈕調(diào)至“LEAVE” 位置。另一側(cè)門禁控制旋鈕仍然在“AUTO”位置。駕駛內(nèi)的艙門密碼器(或指紋采集器)激活。飛行員出艙時須在艙門密碼器上點擊設(shè)置個人密碼(或在指紋采集器上使用某個手指采集指紋)才能開門。該飛行員離開后，艙門關(guān)閉自動上鎖。此時最高進出權(quán)限轉(zhuǎn)是該飛行員的個人密碼(或某手指指紋)。實現(xiàn)上述駕駛艙門禁控制邏輯電路圖如圖5所示。

圖5 改進后駕駛艙門禁控制邏輯電路圖

4 改進后可靠性分析

根據(jù)上述改進思路——重新賦予離開駕駛艙的飛行員開門權(quán)限，故障樹中的中間事件G6和底事件X8得以消除。故障樹的最小割集也縮減為8個。故障樹頂事件的發(fā)生率大幅度下降，為5.02*10-11。改進后的底事件重要度如表4所示。

表4 改進后底事件重要度

對比表2和表4可以看出，底事件q7(單個飛行員失常)的概率重要度和關(guān)鍵重要度已經(jīng)大幅度下降，說明飛行員失常事件的發(fā)生對頂事件飛機遭遇非法控制的影響非常小。

因此，通過改進駕駛艙門控制邏輯，大幅度降低了飛行員失常對飛機飛行安全的危害程度，保障了公眾的飛行安全。

5 結(jié)束語

1)本文針對民用飛機現(xiàn)有駕駛艙門控制邏輯無法防止蓄意墜機事件發(fā)生的問題，飛機駕駛艙遭遇非法控制的頂事件，構(gòu)建了故障樹模型；

2)通過對故障樹的定量和定性分析，查找出飛機遭遇非法控制的具體薄弱環(huán)節(jié)，即劫機者攜帶武器通過機場安檢、單個飛行員失常、離開駕駛艙無法進入駕駛艙，并提出了針對性的建議措施；

3)針對飛行員離開駕駛艙后存在無法進入被鎖駕駛艙的重大駕駛艙門控制邏輯缺陷，對駕駛艙控制權(quán)限進行了優(yōu)化分配，提出了改進的駕駛艙門控制流程和邏輯。

4)改進后的故障樹分析結(jié)果表明，飛行員失常事件的發(fā)生對頂事件飛機遭遇非法控制的影響非常小，飛行安全性得到了提升。