大型空管機構的容災備份策略研究

徐俊明+張晨

摘要：美國“9.11”事件、倫敦、馬德里等地恐怖襲擊，以及卡特里娜颶風等災難性氣象條件和全球范圍內氣候突變等嚴峻現(xiàn)實，引發(fā)了各國政府對關鍵基礎設施和重大安全性行業(yè)如何具備持續(xù)服務能力問題的高度重視。空管作為國家關鍵安全系統(tǒng)之一，如何確保其在各類不利條件下的服務安全性和業(yè)務連續(xù)性受到愈加廣泛關注。該文從風險評估、部署方式和運行維護三方面研究大型空管機構災備策略，可為各地管制中心的災備系統(tǒng)規(guī)劃與建設提供借鑒。

關鍵詞：容災備份；管制中心；規(guī)劃

Abstract：More and more countries have paid attentions to the continuous serviceability of critical facilities in the industry as for the nations safety and security after they met the problems caused by terrorist attacks in U.S.， London， and Madrid， severe weather such as hurricane Katrina， and abrupt climate changes in the whole world. ATM facility is one of the important components of nations safety and security system. Therefore， the service safety and continuity of the ATM facility under various adverse conditions are getting more and more attentions. The paper reviewed strategies of the disaster backup and recovery as for the main ATM facilities from the aspects of risk evaluation， deployment mode， and maintenance mode， which proposes the reference for planning and constructing new disaster backup and recovery system of ATM control centers in different areas.

Keywords：Disaster backup and recovery；Air traffic control centers；Plan

引言

2007年，《關于印發(fā)全國高空管制區(qū)規(guī)劃調整方案的通知》下發(fā)，明確了建設沈陽、北京、上海、廣州、三亞、成都、西安、烏魯木齊8個高空管制區(qū)，同時全面深入推進各地區(qū)域管制中心建設。“十二五”期間，隨著成都、西安和沈陽完成區(qū)域管制中心建設，全國已建成并陸續(xù)運行6個區(qū)域管制中心。“十三五”期間，空管系統(tǒng)將加快烏魯木齊區(qū)域管制中心建設，加快上海、廣州終端管制中心建設，繼續(xù)推進空域管理中心、運行管理中心和航空情報中心建設，以及亞洲航空氣象中心建設，初步形成大區(qū)域、高度集成和自動化運行的空管機構及其基礎設施網絡。然而，為了銜接“空管全球一體化”的發(fā)展趨勢，實現(xiàn)中國現(xiàn)代化空管系統(tǒng)的建設戰(zhàn)略，在大都市圈、高密度和復雜運行環(huán)境下如何評價和維系眾多空管機構和大量基礎設施的安全運行和持續(xù)服務能力，開始成為空管系統(tǒng)規(guī)劃和建設的關鍵命題。同時，隨著航班量的進一步躍升和空防安全性要求的進一步提高，如何應對大型災害和黑天鵝事件的影響，也成為空管持續(xù)發(fā)展必須面對和解決的問題。本文從風險評估、部署方式和運行維護三個方面，系統(tǒng)分析了空管機構及設施的災備策略。

一、風險評估

需求方面，俄羅斯在2003年第11次航行會議上向國際民航組織提交的《在全球和國家層面對空中交通安全水平進行評估的問題》中指出，不同國家空中交通安全目標水平及其評估方法可能不同，國際民航組織有必要制定一個統(tǒng)一的、標準化的空中交通安全指標及其確定方法[1]。美國聯(lián)邦航空管理局在2004年印發(fā)的《國家航空研究計劃》中提出：要開展安全數據分析方面的數據搜集和發(fā)布研究；要在航空安全分析方法研究中，針對安全等級如何確定提出更有效的方法，降低系統(tǒng)差錯造成的后果；要研發(fā)風險管理決策支持系統(tǒng)，用以建立識別風險、危害和事故的數學模型，并基于這些模型使用系統(tǒng)工程方法開發(fā)下一代安全評估方法和風險指示系統(tǒng)[1]。

方法工具方面，安全系統(tǒng)工程領域的風險評估方法較為經典，但在定量描述空管安全狀態(tài)、識別系統(tǒng)風險、建立關鍵指標，以及軟件研發(fā)等方面的研究相對欠缺，有關災難、風險及其對空管業(yè)務的影響的研究總體處于起步階段[2]。目前，國外風險評估方面的研究主要側重對空管運行狀態(tài)的定性描述，重點研究飛行過程中的事故風險，如H.H. de Jong等最早歸納了空管運行中可能發(fā)生的災難類型[3]，S.H. Stroeve等提出了空管運行中的事故風險評估方法和一般流程[4]。國內學者盡管作了一些工程化結合，但距離應用仍有差距，例如朱艷蕓等對適合空管系統(tǒng)的風險評估方法進行了歸納[5]。李小鵬等對如何在空管設施、設備運行保障中應用風險管理流程進行了研究[6]。丁松濱等提出一種管制員風險評價的證據理論模型[7]。曾敬等提出風險勢能概念，提出了通航管制的風險評估方法[8]。文興忠等提出基于灰色理論的空管安全風險評價方法[9]。高楊提出航空安全風險評估的層次分析方法[10]。1996年，民航總局航空安全辦公室啟動“民用航空安全評估系統(tǒng)”建設，并于1998年基于“航空公司安全評估系統(tǒng)”和“民用機場安全評估系統(tǒng)”提出進一步開發(fā)“空中交通服務安全評估系統(tǒng)”的設想?！懊裼煤娇瞻踩u估系統(tǒng)”的研發(fā)在建設民航安全管理體系方面取得了初步成效，但在災備功能的實現(xiàn)方面未做深入考慮，無法支持空管業(yè)務的災難影響分析等科學風險評估的進一步需求。

因此，盡管航空發(fā)達國家早已在需求層面對空管業(yè)務的風險評估范疇和要點進行了闡述，但在大型空管機構的災備方面，傳統(tǒng)的風險評估方法無法滿足空管現(xiàn)實的運行需要，有必要引入和提出新的方法工具，加快重視空管業(yè)務領域災備風險的評估方法研究。

二、部署方式

選擇合適的災備部署方式的對大型空管機構的整體規(guī)劃與建設起到重要影響。由于運行模式不盡相同，各國和地區(qū)空管系統(tǒng)的容災能力參差不齊。因此，歐洲航行安全組織推薦了6種部署方式，包括：同址式、多用式、中央式、共享式、委托式和混合式[11]。

（一）同址式。

災備系統(tǒng)與主用系統(tǒng)同址建設，其管制應用終端、數據處理模塊和網絡日常可用，并在進行仿真訓練和開發(fā)升級時與主用系統(tǒng)共享硬件資源，滿足管制員應急演練和設備維護的需要。這種災備方式下，人員、后勤等遷移難度較小，通過使用冗余或淘汰系統(tǒng)實施“應急凈空”可以使災備處置相對快速和簡便，共享硬件設施也可降低設備管理等維護成本。利用軍用設備實現(xiàn)部分空管機構的同址災備還可以增強軍民航的協(xié)同水平。但這種災備方式對管制員有額外培訓要求，一般無法提供高密度或長時間管制服務，在地震、洪水等重大災難中也無法提供應急服務，不利于“單一天空計劃”和“功能空域區(qū)塊”等運行新概念的部署和實施。隨著時間推移和災備能力下降，可能還需要重新劃分扇區(qū)應對席位資源的持續(xù)喪失。

（二）多用式。

多用式災備系統(tǒng)建立在相關高校或培訓機構中，或在大型區(qū)管中心附近構建國家級容災備份中心。與同址式相似，多用式災備系統(tǒng)也具有人員、后勤等遷移難度較小，可以使用冗余或淘汰系統(tǒng)實施“應急凈空”任務，以及共享基礎設施降低設備維護成本等優(yōu)勢。但在災難出現(xiàn)初期，這種災備方式需要對應急系統(tǒng)進行重新配置和相關調試，管理和協(xié)調難度較大。此外，這種方式在規(guī)劃時需要考慮兩用基礎設施在空管系統(tǒng)內部的共享方案，異址建設還需考慮選址問題。

（三）中央式。

統(tǒng)一容災備份中心覆蓋全國或多個空管單元，通過規(guī)模經濟降低各地分散建設災備系統(tǒng)的總體成本。中央式災備系統(tǒng)兼顧了同址和多用式災備系統(tǒng)的特點，如作為模擬和訓練中心與培訓院校、管理機構同址建設，或與一個區(qū)域管制中心同址規(guī)劃，避免重復建設。統(tǒng)一容災備份中心可從各管制中心招募運行和工程人員作為中心和失效管制單位的支持人員，并籍由“最小差異”原則，協(xié)調統(tǒng)一各管制中心在資源利用和培訓方面的認識，減少或避免程序協(xié)調以及大規(guī)模演練等問題。主要困難在于為防止全國性流行病或恐怖襲擊，中心選址比較困難；招募各管制中心員工長期留在容災備份中心存在一定難度；中心仍然存在無法應對的場景，如多個管制單位同時失效等。

（四）共享式。

隨著“單一天空計劃”和“功能空域區(qū)塊”運行新概念的推進實施，歐洲航行安全組織建議相鄰國家建設共享的災備系統(tǒng)，減少各國單獨建設和維護相關設施的巨額費用。建設方案一是共同出資建設一個災備中心，二是選擇某國設施作為所有參與國的災備中心。共享方式下，相關協(xié)議涉及政策、管理和技術各個方面，需要獲得參與國家相關部門許可。為實現(xiàn)快速接管，參與單位的相關系統(tǒng)需要進行重構，并涉及運行和工程人員的短期調動。反饋機制十分關鍵，災備中心激活和失效機構恢復后，相關信息均需告知參與各方。國家間“統(tǒng)一語言”有助于提高運行的透明度，增加安全性，尤其在應對潛在恐怖襲擊活動方面增加決策的協(xié)同水平和減少費用支出。然而，考慮到國家主權，尤其在政治和安保方面，法規(guī)問題（如許可和認證等）十分復雜，管制員在災備中心的工作難度較大。參與方的運行系統(tǒng)要有較高的相似性，共享式災備中心才能體現(xiàn)規(guī)模經濟。但目前各國的運行模式仍有不少差異，要滿足參與各方需求的總體費用較高，分攤費用的方式也缺乏標準，單一災備中心應對參與各方變化需求的靈活度也遠遠不夠。

（五）委托式。

這種災備方式是以協(xié)議形式委托鄰國承擔國內部分管制中心失效條件下的災備任務。委托方式下，一個或多個管制中心可以根據水平范圍劃分承擔援助任務（根據扇區(qū)、飛行情報區(qū)等），也可以為指定高度或高度層以上/以下飛行提供災備服務。與共享方式類似，委托災備方式可以相對低成本地最大化利用現(xiàn)有設施資源。但由于涉及國際協(xié)議，跨國商討較為復雜，受參與各方國家政策的影響較大。此外，在有季節(jié)性波動情況下，或在高密度運行期間，援助單位的系統(tǒng)容量和冗余度不足可能造成協(xié)議履行的穩(wěn)定性變差，受托方無法提供長時間的災備保障。由此造成的互不信任將導致委托方式無法持續(xù)推行。

（六）混合式。

混合災備方式是指多種災備方式的互補應急，如某國空管單位建立了中央式災備中心，同時與鄰國簽訂委托協(xié)議書，并與其他使用類似軟件的國家進行共享式備份?；旌戏绞降亩鄻有栽斐蓪嶋H運行的復雜性，但可針對不同范圍和程度的安保威脅和災害提供不同的解決方案，靈活性和適應性較好，為安全生產和業(yè)務連續(xù)提供力更大應變空間。盡管歐洲航行安全組織為了推進“單一天空計劃”和“功能空域區(qū)塊”運行新概念，更傾向于共享災備方式，但相比單一策略，混合方式允許但不完全依賴國際合作，兼顧了各種災備方式的優(yōu)點，為應對多區(qū)和多樣失效場景提供了更加可靠的縱深防御手段。

綜上，6種災備部署方式各有利弊，根據不同合作層面提供了建設災備中心的可能路徑?？梢钥吹剑_定災備部署方式的主要因素涉及安保和防恐形勢、現(xiàn)有設施和運行方式的相似程度、人員培訓與調動、成本總額和分攤標準，以及相關協(xié)議的履約難度。歐洲航行安全組織在泛歐國家間定義和推薦這些部署方式，對比我國目前初步實現(xiàn)一體化運行的空管系統(tǒng)，在標準不統(tǒng)一、成本難核算、人員素質差異大等關鍵因素方面仍有較多相似之處。隨著單個空管單位保障飛行量的逐年提升，以及設施設備復雜程度和規(guī)模越來越大，有必要借鑒歐洲的災備部署思路，盡早確定我國重要空管機構的災備方式，規(guī)劃相關災備中心的立項建設。

三、運行維護

災備系統(tǒng)運維對災難發(fā)生后運維人員的快速響應和關鍵業(yè)務的快速恢復起到更加決定性的作用。然而，隨著航班流量的急劇增加，世界范圍大型空管機構的飛行保障壓力越來越大，災備系統(tǒng)的運維普遍遭遇以下瓶頸。一是運維能力的科學規(guī)劃比較薄弱。相關崗位設置不合理、人員數量有限、工作任務繁重、運維質量不高的情況無法滿足系統(tǒng)規(guī)模增加后的運維需求。二是運維人員的業(yè)務素養(yǎng)有待提高。在空管系統(tǒng)不斷更新和完善的情況下，缺乏對新業(yè)務的系統(tǒng)培訓和運維專業(yè)知識的及時更新，高效運維就無從談起。三是運維手段落后。當前空管系統(tǒng)的信息系統(tǒng)架構日益復雜，運維線路逐漸延伸，涉及面更加寬泛，客戶端、服務器、機房環(huán)境、網絡等設施的監(jiān)控和管理手段尚未全面實現(xiàn)信息化，不能及時、高效應對突發(fā)事件及各類災難。各類空管系統(tǒng)的安裝、更新和調試、軟件故障恢復、信息網絡及信息系統(tǒng)安全防護等均對災備系統(tǒng)的運維提出全新要求。

為了應對這種嚴峻形勢，20世紀70年代，隨著銀行、證券、保險、醫(yī)療和政府部門對災難備份需求的不斷增加，美國災難備份行業(yè)得到迅猛發(fā)展。民航領域借鑒其他行業(yè)的既有經驗，開始著手針對民航關鍵基礎設施的災備系統(tǒng)運維研究[12]。作為階段性成果，2009年，美國聯(lián)邦航空局印發(fā)了《機場應急規(guī)劃》[13]，對機場各類運行人員在發(fā)生航空器事故、恐怖襲擊、火災、暴風雨、地震、龍卷風、火山爆發(fā)和洪水等災難時應提供的應急服務進行了描述，并對各自職責和任務范圍進行了界定，以確保機場開展順利和高效的應急保障。2012年，美國聯(lián)邦航空局印發(fā)了《空中交通技術培訓》，對可能發(fā)生的空管事件中各類人員應提供的應急服務進行了總體描述[14]。2013年，美國聯(lián)邦航空局印發(fā)了《空管業(yè)務應急規(guī)劃》，對空中交通管制系統(tǒng)指揮中心、航路管制中心、系統(tǒng)運行服務部門、洋區(qū)/終端服務部門和技術服務部門各類人員在應急服務過程中應扮演的角色和職責進行了分工，為維持空管業(yè)務的可持續(xù)性提供了強有力指導[15]。歐洲航行安全組織印發(fā)了《空中導航服務應急規(guī)劃綱要》，對成員國的航行服務提供商和各國行業(yè)管理監(jiān)督機構在應急和風險管理中的業(yè)務流程和職責劃分進行了詳細描述[11]。目前，歐美在空管災備系統(tǒng)運維方面的主要舉措仍然集中在針對各類危險事件的應急預案體系建設方面。

因此，盡管現(xiàn)代空管系統(tǒng)作為大型復雜系統(tǒng)牽涉越來越的生產運行環(huán)節(jié)，災備系統(tǒng)的運維隨之達到空前規(guī)模，但在具體的運維理念、方法和手段工具方面仍然捉襟見肘。美國在應急層面提出了相關服務的分工描述，歐洲航行安全組織在規(guī)劃層面提出了概略要求。隨著各類系統(tǒng)本身級聯(lián)程度和關聯(lián)網絡的進一步復雜化，災備系統(tǒng)的運維效能將更難判斷、評估。亟需在風險評估的基礎上，從成本和效能的角度，加大對于災備系統(tǒng)運維措施的審慎考量，才能更順暢和有效地發(fā)揮災備系統(tǒng)的建設目標。

四、小結

本文從風險評估、部署方式、運行維護等方面系統(tǒng)回顧了歐美大型空管機構主要的災備策略。盡管各個領域的研究進展和已有實踐均不完善，但總體上揭示出空管災備系統(tǒng)規(guī)劃和建設的架構思路和主要困難。民航強國，空管先行。隨著我國航空業(yè)務進一步迅猛發(fā)展，現(xiàn)有空管系統(tǒng)設施設備的許多方面已經瀕臨效能極限，加快著手災備系統(tǒng)的整體規(guī)劃和建設成為當務之急。此文僅為相關研究的主要線索，可以為相關工作的開展提供借鑒。

參考文獻：

[1] 石榮.空中交通管理風險分析系統(tǒng)[D].中國民航大學，2007.

[2] 張旭婧.空管系統(tǒng)安全評價方法及其應用研究[D]. 南京航空航天大學，2009.

[3] H.H. de Jong. Guidelines for the Identification of Hazards[R]. Netherlands： NLR Air Transport Safety Institute， NLR-CR-2004-094， 2004.

[4] SH Stroeve， HAP Blom， HHD Jong. Comparison of Accident Risk Assessment by Event Sequence Analysis Versus Monte Carlo Simulation[C]. Southampton， UK： Eurocontrol Safety R&D Seminar，2008.

[5] 朱艷蕓.空管系統(tǒng)安全風險分析方法研究[D].天津：中國民航大學，2008.

[6] 李小鵬. 風險管理方法在空管設備保障工作中的運用[J]. 民航科技，2005 （4）：1-3.

[7] 丁松濱，石榮.空中交通管制人員風險評價的證據理論模型[J].系統(tǒng)仿真學報，2007，19（15）：3368-3371.

[8] 曾敬，林靈，閆克斌. 基于通用航空的空中交通管制壓力和風險評估方法的探討[J]. 中國民航飛行學院學報，2011，22 （5）：14-18.

[9] 文興忠.基于灰色多層次的空中交通管理安全風險評價[J].科技導報，2011，29 （32）：47-51.

[10] 高揚，牟德一. 航空安全評估中的層次分析法[J]. 中國安全科學學報，2000，10 （3）：39-41.

[11] EUROCONTROL. EUROCONTROL Guidelines for Contingency Planning of Air Navigation Services （including Service Continuity）. EUROCONTROL-GUID-0118.（2009-04-06）. http：//www.eurocontrol.int/sites/default/files/article/content/documents/nm/safety/safety-guidelines-contingency-planning-ans-2009.pdf

[12] 曲曉麗.金融系統(tǒng)災難備份技術研究與部署[D].青島：中國海洋大學，2007.

[13] FAA.AIRPORT EMERGENCY PLAN[S]. Washington DC： FAA， AC 150/5200-31C， 2010.

[14] FAA. Air Traffic Technical Training[S]. Washington DC： FAA， FAA Order JO 3120.4N， 2013.

[15] FAA. Air Traffic Organization Operational Contingency Plan[S]. Washington DC： FAA， FAA Order JO1900.47C， 2009.

作者簡介：

1.徐俊明（1963年5月），男，漢族，籍貫上?！，F(xiàn)就職于民航華東空管局，職務局長助理，職稱經濟師。本科學位，主要研究空中交通管理領域的地區(qū)政策、規(guī)劃管理與應用技術。

2.張晨（1980年3月），男，漢族，籍貫江蘇省武進市?，F(xiàn)就職于民航華東空管局戰(zhàn)略發(fā)展部，職務三級行政助理，職稱工程師。博士學位，主要研究空中交通管理領域的地區(qū)政策、規(guī)劃管理與應用技術。