Andrzej Fellner, Rados"aw Fellner
Politechnika /l5ska, Wydzia9 TransportuZNACZENIE ANALIZY DRZEWA ZDARZE'
W WYBRANYCH ASPEKTACH IMPLEMENTACJI
SYSTEMU GBAS
R;kopis dostarczono: stycze= 2014
Streszczenie: Implementacj; nowych technologii w ruchu lotniczym poprzedza proces certyfikacji
oparty o kompleksow5 analiz; bezpiecze=stwa. Wykorzystuje ona szereg metod, w tym m.in. analiz; drzewa zdarze= (ETA). Za jej pomoc5 dokonano oceny zagroQe= i ryzyka dla eksperymentalnych podejVX LPV opartych na sygnale GNSS w porcie lotniczym Katowice-Pyrzowice. Ich celem by9o zidentyfikowanie moQliwoVci wdroQenia systemu GBAS. Testy wykonano w ramach mi;dzynarodowego projektu badawczego SHERPA (Support ad-Hoc to Eastern Region with Pre-operational Actions on GNSS).
S"owa kluczowe: GBAS, Event Tree Analysis, bezpiecze=stwo ruchu lotniczego
1. WST-P
Niezb;dnym elementem implementacji kaQdej nowej technologii w ruchu lotniczym jest proces certyfikacji. Gwarantuje on, Qe dane urz5dzenie, procedura czy system spe9nia najwyQsze standardy bezpiecze=stwa. Niestety dopiero przeprowadzone badania naukowe w ramach mi;dzynarodowego projektu SHERPA (Support ad-Hoc to Eastern Region with Pre-operational Actions on GNSS), pozwoli9y zebraX materia9, w wyniku którego moQliwe sta9o si; opracowanie nowej metody oraz metodyki, jakie naleQy przyj5X podczas implementacji nowych procedur, technik i technologii zwi5zanych z podejVciem do l5dowania opartego na sygna9ach systemów satelitarnych. Jest to szczególnie przydatne podczas realizacji unijnego projektu SESAR (Single European Sky ATM) [22]. W wyniku przeprowadzonych bada=, zgodnie z wymaganiami przyj;tymi przez Uni; Europejsk5, opracowane zosta9y dokumenty: National Scenario Report, EGNOS National Implementation Plan, EGNOS Poland Market Analysis [4] sk9adaj5ce si; m.in. z dwóch elementów: Safety Case i Business Case, konieczne zgodnie z prawem do wykonania podczas implementacji podejVX RNAV GNSS.
Ze wzgl;du na obszernoVX powyQszych analiz, w prezentowanym materiale rozwaQania zosta9y zaw;Qone tylko do Safety Case jako istotnego elementu podczas wdraQania wyQej
wymienionych procedur dla dowolnego lotniska. Jest spraw5 oczywist5, Qe bezpiecze=stwo moQe byX pojmowane jako: safety (bezpiecze=stwo ruchu lotniczego) i security (ochrona przed aktami bezprawnej ingerencji), st5d konieczne jest rozróQnianie tych poj;X. W niniejszym artykule przedstawione zosta9y wyniki przeprowadzonych bada= zaw;Qone do analizy ryzyka i przyj;tych w jej ramach za9oQe=. Analiza ryzyka jest przy tym rozumiana jako ci5g9y, powtarzalny proces z9oQony z gromadzenia danych iloVciowych i jakoVciowych, oceny prawdopodobie=stwa wyst5pienia zdarze= lotniczych, jak równieQ ich skutków zgodnie z obowi5zuj5cymi metodologiami, regulacjami [19]. Warto podkreVliX, iQ dopuszczenie w lotnictwie technologii do powszechnego uQytku, wi5Qe si; z przygotowaniem uprzednio wspomnianego Studium Bezpiecze=stwa (Safety Case). Zawiera ono argumentacj;, która ma na celu udowodnienie, iQ realizacja przyj;tego przedsi;wzi;cia (np. wdroQenie procedury podejVcia GNSS) czy rozwi5zania technologicznego, przy spe9nieniu okreVlonych prawem wymaga=, przyczyni si; do podniesienia bezpiecze=stwa operacji.
Z analiz i bada= naukowych przeprowadzonych w ramach realizowanych projektów mi;dzynarodowych: HEDGE (Helicopters Deploy GNSS in Europe), SHERPA, EGNOS APV (European Geostationary Navigation Overlay Service - Approaches with Vertical Guidance), wynika koniecznoVX wykonywania Studium Bezpiecze=stwa dla kaQdych nowych procedur podejVcia w polskich portach lotniczych, które do 2016 r. musz5 zostaX wdroQone na zasadniczych kierunkach podejVcia LPV GNSS a nast;pnie stopniowo przechodziX do stosowania systemu GBAS (Ground Based Augmentation System - Naziemny System Wspomagaj5cy GNSS) [21].
System GBAS zapewnia: dok9adnoVX, wiarygodnoVX, dost;pnoVX, ci5g9oVX informacji nawigacyjnej, które z kolei umoQliwia wykonywanie precyzyjnych podejVX do l5dowania w kaQdych warunkach pogodowych. Jest takQe odporny na zak9ócenia sygna9u spowodowane przeszkodami terenowymi (dowiod9y tego przeprowadzone testy na szwajcarskim lotnisku Lugano-Agno), zatem powinien znalehX szerokie zastosowanie równieQ w terenach górzystych. GBAS przyczynia si; m.in. do zwi;kszenia przepustowoVci lotnisk poprzez zmniejszenie opóhnie=, a takQe skrócenia czasu podróQy czy obniQenia wydatków linii lotniczych na paliwo. MoQliwoVci jego implementacji sprawdzano w ramach podejVX do l5dowania z prowadzeniem pionowym (Localiser Performance with Vertical Guidance - LPV) w porcie lotniczym Katowice-Pyrzowice (EPKT) w ramach uprzednio wspomnianego mi;dzynarodowego projektu badawczego SHERPA [20].
WVród szeregu koniecznych do przeprowadzenia metod analizy ryzyka dla nowych procedur, jedn5 z najcz;Vciej uQywanych jest Analiza Drzewa Zdarze= (Event Tree Analysis - ETA) [17]. Jest ona zalecana przez mi;dzynarodowe organizacje lotnicze takie, jak: ICAO, EASA czy Eurocontrol [2,3,11]. Stosuje j5 takQe Polska Agencja jeglugi Powietrznej [8]. ETA u9atwia ona ocen; bezpiecze=stwa systemów i procesów, wykrycie potencjalnych zagroQe=, a takQe relacji jakie wyst;puj5 mi;dzy dzia9aniami czy zdarzeniami. Polega ona na formu9owaniu logicznych zwi5zków za pomoc5 rozumowania opartego na indukcji, a wi;c wyci5gania ogólnych wniosków na podstawie przes9anek oraz obserwacji cz;Vci (szczegó9ów) pewnej ca9oVci. W przeciwie=stwie do Analizy Drzewa NiezdatnoVci/B9;dów (Fault Tree Analysis - FTA), pole docieka= jest szersze, gdyQ oprócz b9;dów i niepowodze=, obejmuje takQe w9aVciwe dzia9anie i reagowanie [7].
2. ZA.O/ENIA METODOLOGICZNE
ETA zak9ada zdefiniowanie mog5cego zapocz5tkowaX scenariusz wypadku tzw. zdarzenia inicjuj5cego oraz okreVlenie moQliwie wszystkich jego logicznych, poQ5danych i niepoQ5danych, nast;pstw (dotycz5cych np. podzespo9ów, elementów systemu) czy dalszych konsekwencji, takQe przesuni;tych w czasie [9,10]. Mog5 to byX róQnego rodzaju uszkodzenia, awarie mechaniczne, ludzkie pomy9ki, ale równieQ i zaniechania dzia9a= personelu. Poprawnie przeprowadzon5 analiz; ko=czy tzw. zdarzenie wierzcho9kowe, zwane takQe szczytowym, przyjmuj5ce postaX katastrofy, wypadku lub Vmierci.
Metod; przedstawia si; w postaci graficznej uwzgl;dniaj5c wszelkie punkty rozga9;zie=, bramki logiczne („i”, „lub”), VcieQki rozwoju sytuacji. Omawiana metoda s9uQy wi;c do jakoVciowej analizy bezpiecze=stwa poprzez ustalenie zdarze=, zwi5zków mi;dzy nimi. MoQe takQe pos9uQyX do iloVciowego oszacowania prawdopodobie=stwa wyst5pienia okreVlonego skutku dzi;ki pomnoQeniu przez siebie prawdopodobie=stwa wszystkich zdarze= sk9adaj5cych si; na VcieQk; w drzewie [1]. Wskazane jest, aby podczas definiowania zdarzenia inicjuj5cego wzi5X pod uwag; w9aVciwoVci badanego systemu i zasady jego funkcjonowania (eksploatacji). W zwi5zku z tym analiza drzewa zdarze= umoQliwia:
kompleksowe zestawienie VcieQki rozwoju sytuacji dzi;ki ustaleniu zaleQnoVci przyczynowo - skutkowych mi;dzy moQliwymi zdarzeniami,
zhierarchizowanie i pogrupowanie ci5gu zdarze=,
obliczenie prawdopodobie=stwa wyst;powania danej sytuacji, wskazanie skutków dzia9a= i zaniecha=, przyczyn b9;dów,
docelowo: dobranie narz;dzi i wprowadzenie regulacji maj5cych zwi;kszyX bezpiecze=stwo,
skuteczne zarz5dzanie ryzykiem.
3. ETA DLA PODEJ34 PRECYZYJNYCH
Prezentowana analiza ryzyka zosta9a wykorzystana przy opracowaniu Studium Bezpiecze=stwa dla procedury podejVcia precyzyjnego wykorzystuj5cej technologie satelitarne na lotnisku Katowice-Pyrzowice, w ramach realizowania projektów: HEDGE i SHERPA [20, 21]. Zasadne jest podkreVlenie, Qe jej metodologia zosta9a w9aVnie opracowana w ramach wymienionych wyQej projektów i obecnie, po zatwierdzeniu przez GSA (European GNSS Agency) i Eurocontrol jest zalecana do stosowania w pa=stwach UE [16]. Uprzednio dokonano jednak opisu Vrodowiska operacyjnego uwzgl;dniaj5cego S9uQby Ruchu Lotniczego (Air Traffic Services - ATS), lotnicze urz5dzenia CNS (Communication, Navigation and Surveillance - n5cznoVX, Nawigacja i Dozorowanie), infrastruktur; lotniskow5 oraz procedury. Nast;pnym krokiem by9a analiza zagroQe= funkcjonalnych, b;d5ca istotnym narz;dziem w budowie Systemu Zarz5dzania Bezpiecze=stwem (Safety Management System - SMS). Dla podejVcia LPV
scharakteryzowano pocz5tkowo nast;puj5ce zagroQenia:
wybór i rozpocz;cie niew9aVciwej procedury podejVcia (H1), b95d przechwycenia VcieQki kierunku podejVcia ko=cowego (H2), lot poniQej poziomu wyznaczonego w minimach (H3),
b9;dny kierunek lotu przy próbie przechwycenia VcieQki kierunku podejVcia ko=cowego (H4),
b9;dna VcieQka podejVcia ko=cowego (H5),
brak moQliwoVci utrzymania ko=cowej VcieQki schodzenia (H6),
zejVcie poniQej wysokoVci decyzji bez nawi5zania kontaktu wzrokowego z terenem (H7),
nieprawid9owe wykonanie procedury MA (H8).
Ze wzgl;du na fakt, iQ niektóre wytypowane moQliwe zagroQenia znajduj5 si; poza zakresem oceny bezpiecze=stwa lub s5 zwi5zane z innymi zagroQeniami, w analizach uwzgl;dniono jedynie zagroQenia: H3, H4, H6, H7, H8. Dalsz5 procedur; analizy bezpiecze=stwa wykonano w nast;puj5cych etapach:
1. Zidentyfikowano konsekwencje zagroQe= i sklasyfikowano je ze wzgl;du na stopie= ich dotkliwoVci zgodnie z wytycznymi zawartymi w ESARR 4 [2];
Tablica 1
Lista konsekwencji zagro5e6
ID Konsekwencje Stopie= dotkliwoVci
C1 Lot Kontrolowany w Kierunku Terenu
(Controlled Flight Into Terrain - CFIT) Katastrofalny (Severity 1)
C2 Wypadek podczas l5dowania (Landing Accident -
LA) Katastrofalny (Severity 1)
C3 Kolizja w powietrzu (Mid-air collision -MAC) Katastrofalny (Severity 1) C4 Nieudane podejVcie (Missed Approach - MA) Ma9y (Severity 4) C5 Bezpieczne l5dowanie (Safe Landing - SA) Bez efektu
2. Zidentyfikowano ograniczenia i bariery (systemy, dzia9ania, czynnoVci lub procedury) prowadz5ce do eliminacji zagroQenia lub zredukowania: cz;stotliwoVci jego wyst;powania, prawdopodobie=stwa skutków zagroQenia, dotkliwoVci skutków zagroQenia;
3. Dopiero po dokonaniu uprzednich kroków, uQyto Analizy Drzewa Zdarze= do kaQdego z zagroQe=. PoniQej przedstawiono drzewo ETA dla braku moQliwoVci utrzymania ko=cowej VcieQki podejVcia (H6) oraz schodzenia poniQej wysokoVci decyzji bez nawi5zania kontaktu wzrokowego z terenem (H7).
Rys. 1. Drzewo ETA dla zagroQenia H6
Rys. 2. Drzewo ETA dla zagroQenia H7
Wyniki analizy ETA dla poszczególnych zagroQe=, a zatem stopie= prawdopodobie=stwa ich nast;pstw wygl5da9y nast;puj5co:
dla lotu poniQej poziomu wyznaczonego w minimach skutkuj5cego CFIT - 0,125; dla b9;dnego kierunek lotu przy próbie przechwycenia VcieQki kierunku podejVcia
ko=cowego skutkuj5ce wypadkiem podczas l5dowania - 0,00025;
dla braku moQliwoVci utrzymania ko=cowej VcieQki schodzenia skutkuj5cej CFIT – 0,125;
dla zejVcia poniQej wysokoVci decyzji bez nawi5zania kontaktu wzrokowego z terenem skutkuj5cego CFIT lub wypadkiem podczas l5dowania - po 0,125;
dla nieprawid9owego wykonania procedury MA skutkuj5cego kontrolowanym lotem w kierunku ziemi - 0,0025, a kolizj5 w powietrzu - 0,00025.
4. PowyQsze rezultaty zosta9y wykorzystane do dalszych oblicze=, w tym okreVlenia wymaga= iloVciowych dla celów bezpiecze=stwa i opracowania drzew ryzyk. W tym celu okreVlono wymagane Poziomy Bezpiecze=stwa (Target Level of Safety - TLS) dla kaQdej kategorii wypadków;
Tablica 2
Wymagane Poziomy Bezpiecze6stwa dla LPV
Typ wypadku Scenariusz TLS dla LPV
Lot Kontrolowany w Kierunku Terenu
(Controlled Flight Into Terrain - CFIT) 1 x 10
-8
Wypadek podczas l5dowania 1 x 10-10
Sytuacja kolizyjna w powietrzu 2 x 10-7
5. Przyporz5dkowano TLS dla kaQdego rodzaju wypadku do poszczególnych zagroQe= wykrytych dzi;ki drzewom zdarze= (punkt 3.) oraz wyznaczono TLS (na drodze oblicze=) dla poszczególnych rozga9;zie=;
6. OkreVlono cele bezpiecze=stwa (Safety Objectives - SO) z wykorzystaniem poprzednich oblicze= i przyj;tych wartoVci za pomoc5 wzoru:
gdzie:
SOHX - cel bezpiecze=stwa dla poszczególnych zagroQe=
Q – to prawdopodobie=stwo zdarzenia wywo9anego przez zagroQenie (Hazard) X, które prowadzi do wypadku;
C - kolejne rozga9;zienia w drzewie zdarze=
Tak wyliczone propozycje celów bezpiecze=stwa dla kaQdego z zagroQe= uj;to w tabeli oraz wykorzystano do opracowania drzew ryzyk. PoniQej przedstawiono drzewo dla kontrolowanego lotu ku ziemi podczas wykonywania procedury LPV.
Rys. 3. Drzewo ryzyka – okreVlenie celów bezpiecze=stwa CFIT
Tablica 3
Propozycje celów bezpiecze6stwa dla CFIT
Zagro5enie Propozycja Celów Bezpiecze6stwa Udzia" w TLS dla CFIT
H3 1.6e-8 20%
H4 ZagroQenie nie prowadzi do CFIT
H6 1.6e-8 20%
H7 1.6e-8 20%
H8 1.6e-8 20%
Margines bezpiecze6stwa 2e-9 20%
4. PODSUMOWANIE
Przeprowadzone badania dowiod9y, Qe Analiza Drzewa Zdarze= umoQliwi9a identyfikacj;, ocen; zagroQe=, a takQe ryzyk oraz iloVciowego okreVlenia celów bezpiecze=stwa w przypadku eksperymentalnych podejVX LPV opartych na sygnale GNSS w ramach unijnego projektu SHERPA. By9o to niezb;dne podczas opracowywania Studium Bezpiecze=stwa dla wyQej wymienionej procedury wed9ug metodologii zalecanej
przez mi;dzynarodowe organizacje lotnicze, a stanowi5cego etap przygotowawczy implementacji systemu GBAS w Polsce. ETA pozwoli9o na oszacowanie prawdopodobie=stwa wyst5pienia zagroQe= takich, jak: lot poniQej poziomu wyznaczonego w minimach, b9;dny kierunek lotu przy próbie przechwycenia VcieQki kierunku podejVcia ko=cowego, brak moQliwoVci utrzymania ko=cowej VcieQki schodzenia, zejVcie poniQej wysokoVci decyzji bez nawi5zania kontaktu wzrokowego z terenem, nieprawid9owe wykonanie procedury MA. UmoQliwi9o równoczeVnie udowodnienie, iQ wprowadzenie nowego typu podejVcia przyczyni si; do podniesienia bezpiecze=stwa operacji.
O tym jak waQne jest zachowanie maksymalnego poziomu bezpiecze=stwa w szczególnoVci podczas podejVcia do l5dowania Vwiadcz5 mi;dzynarodowe statystyki. Wynika z nich bowiem, Qe do wypadków lotniczych dochodzi najcz;Vciej podczas podchodzenia do l5dowania, samego l5dowania oraz startu i wznoszenia, choX stanowi5 niewiele ponad 1 proc. czasu lotu [18] (Tab. 4).
Tablica 4
Zestawienie procentowe wypadków lotniczych uwzgl<dniaj=ce udzia" faz lotu w ca"ym czasie lotu
Faza lotu Udzia" fazy w czasie ca"ego lotu (w proc.) Udzia" wypadków przypadaj=cych na dan= faz< lotu (w proc.)
Za9adowanie 0 11 Start 1 11 Wznoszenie 15 13 Przelot 57 9 Schodzenie do l5dowania 11 4 Podchodzenie do l5dowania 15 29 L5dowanie 1 23
Konieczna jest zatem implementacja technologii satelitarnych, takich jak GBAS, które umoQliwiaj5 wykonywanie precyzyjnych podejVX do l5dowania w kaQdych warunkach pogodowych, co pozwala na zwi;kszenie przepustowoVci lotnisk czy zmniejszenie opóhnie= przy jednoczesnym zachowaniu maksymalnego poziomu bezpiecze=stwa.
Bibliografia
1. Borysiewicz M.: Wykorzystanie probabilistycznych analiz bezpiecze=stwa (PSA) w tworzeniu wymogów bezpiecze=stwa dla elektrowni j5drowych. Warszawa 2010, s. 70, 72-73.
2. ESARR4: Risk Assessment and Mitigation in ATM. Eurocontrol, 2001, s. 11.
3. European Guidance Material on Integrity Demonstration in Support of Certification of ILS and MLS Systems. ICAO DOC 016/2004, s. 10.
4. Fellner A.: National Scenario Report. SHERPA-PANSA-NSR-D21EP, Issue 1/2013, SHERPA Grant Agreement number 287246.
5. Guidance for the preparation of D11XX (EGNOS National Market Analysis) based on the survey of candidate airports and aircraft operatorsSHERPA-ESSP-TN-001, 2012.
7. Guide to methods and tolls for safety analysis in air traffic management. Global Aviation Safety Network, June 2003, s. 49.
8. KrzyQanowski M.: Pomiar i zarz5dzanie bezpiecze=stwem ruchu lotniczego – uj;cie praktyczne. Prace naukowe Politechniki Warszawskiej. nr 92, Warszawa 2013, s. 110.
9. Liderman K.: Analiza ryzyka dla potrzeb bezpiecze=stwa teleinformatycznego. Biuletyn Instytutu Automatyki i Robotyki, nr 16, Wojskowa Akademia Techniczna im. Jaros9awa D5browskiego, Warszawa 2010, s.10.
10. Magott J.: Moc opisowa drzew niezdatnoVci zaleQnoVciami czasowymi. Problemy eksploatacji, nr 4, Wydawnictwo Naukowe Instytutu Technologii Eksploatacji - Pa=stwowego Instytutu Badawczego, Radom 2009, s. 33-40.
11. Methodology to Assess Future Risks, European Aviation Safety Plan. EASA, December 2012, s. 16. 12. Operational and Functional model of LPV approaches in the ECAC area OFM-LPV. 2007.
13. Performance-based Navigation (PBN) Manual. ICAO DOC 9613, 3rd edition, 2008.
14. Procedures for Air Navigation Services: Aircraft Operations. ICAO DOC 8168, Volume 2, 2007. 15. Project Management Plan. SHERPA-ESSP-PMP-D0100, 2012.
16. Safety Assessment Methodology. Safety Regulation Commission Document (SRC DOC 12), Eurocontrol, Version 2.1., 26 October 2009.
17. Skorupski J.: Metody analizy ryzyka w sterowaniu ruchem lotniczym, [w:] Gruszecki J., Wybrane zagadnienia sterowania obiektami lataj5cymi. Oficyna Wydawnicza Politechniki Rzeszowskiej, Rzeszów 2011, s. 137.
18. Statistical Summary of Commercial Jet Airplane Accidents Worldwide Operations 1959- 2011. Boeing, July 2012, s. 20.
19. Stelmach A.: Wybrane aspekty zarz5dzania bezpiecze=stwem w transporcie lotniczym. Journal of KONBiN, nr 2(5), Wydawnictwo Instytutu Technicznego Wojsk Lotniczych, Warszawa 2008, s. 265. 20. www.sherpa.essp-sas.eu
21. www.hedge.askhelios.com
22. www.eu/legislation_summaries/transport/air_transport/l24459_pl.htm
THE IMPORTANCE OF EVENT TREE ANALYSIS IN SOME ASPECTS OF THE GBAS IMPLEMENTATION
Summary: Implementation of new technologies in aviation are determined by certification process based on
a comprehensive safety analysis. It uses a number of methods, including event tree analysis (ETA). Those method allow to assesses risks and threats for experimental LPV approaches based on GNSS signal at the Katowice-Pyrzowice airport. The goal was to identify the possibility of implementation of the GBAS. Tests were performed within the framework of the international research project SHERPA (Support ad-Hoc to Eastern Region with Pre-operational Actions on GNSS).