《航班显示系统风险管理与控制(2011年终稿)》由会员分享,可在线阅读,更多相关《航班显示系统风险管理与控制(2011年终稿)(43页珍藏版)》请在金锄头文库上搜索。
1、航班显示系统风险管理与控制南京禄口国际机场航显系统SMS小组一、概述1、系统架构功能说明: (1)数据库服务器(2)应用服务器(3)与信息集成系统的接口(4)显示终端(5)配置管理主机 (6)运行监控主机(7)航班信息维护主机2、本文引用的标准文献民用航空重要信息系统灾难备份与恢复管理规范MH-T 0026-2005民用机场航站楼航班信息显示系统工程设计规范MH/T5015-20043、航班显示系统危险源定义危险源的界定是风险管理的前提,由于目前学术界尚未对设备危险源形成统一的概念,根据中国民用航空总局的民用航空重要信息系统灾难备份与恢复管理规范文献,结合机场实际运营情况,将航班显示系统危险源
2、定义为:在系统运行过程中可能导致设备损害,经济损失,工作环境破坏等,影响正常航班保障的不安全因素。二、小组概况和活动计划安排科室弱电系统科课题名 称航显系统SMS 管理 课题小组成员名单:序号姓名组内职 务岗位技术状 况年龄1石晓梅组长系统负 责人高级工 程师462赵春风 付组长科长工程师343贺辉组员弱电科工程师344王晓瑾组员弱电科助工285王毅组员弱电科助工321、小组概况2、活动计划:为保证此轮的风险控制工作顺利开展,小组结合部门的总 体安排,制定了本次风险管理与控制的具体活动进度表: 课题小组活动计划安排:序 号活动阶段时间安 排责任人1编制风险指数分级表,可能 性、严重度分级表3.
3、1-3.30石晓梅、 赵春风 2查找危险源4.1-5.31 全体人员3风险评估6.1-6.15赵春风、 王毅 4制定控制措施6.16- 7.30赵春风、 王毅 5控制措施效果验证8.1- 10.30石晓梅、 贺辉 6控制措施实施验证评估11.1- 11.15石晓梅、 王晓瑾 7控制措施标准化11.16- 11.30赵春风、 王毅 8编制课题发布材料12.1- 12.30石晓梅、 王晓瑾三、航班显示系统风险管理与控制步骤四、危险源识别1、危险源识别原则:(1)合法(规范)性原则(2)预防性原则(3)真实(现实)性原则(4)时效性原则:2、危险源识别方法(1)系统与行业标准规范对照法(2)工作任务
4、分析法(系统功能梳理法)(3)现场观察法(4)故障树分析法序 号参数或性能标准规范要求本系统是否存在 风险1环境温度室内0-40 机房22-28终端5-35,机房26无2设备选型有质检部门认定有资质单位设计,设备经过质检认定无3网络类型各种显示终端和相应的若干个终端控制计算机服务 器和其他网络辅助设备组成的一个计算机局域网- LAN。由服务器计算机工控机网络设备LCD,PDP 组成的局域网无4控制方法既能集中控制,又能单独控制对终端设备可以全部、区域、单独控制无5安全性应有安全措施和防病毒措施安装了诺顿防病毒软件。定期升级无6开放性采用开放互联协议技术支持多种国际标准协议采用TCP/IP,UD
5、P,RS232 符合国际标准无7可靠性主机系统应具有冗余、备分功能有双机热备,冷备,交换机热备无8可扩展性根据用户需要方便的增加终端控制计算机或显示设 备,并由网络管理人员进行再设置;可以随时增加终端和显示设备,重新分配 权限无9终端显示内 容对候机楼各部位的显示有具体字段要求一一对照,显示字段全面无10显示终端可 视距离2-15M在5-15M内可视无11防雷与接地 设计应有有效的防雷措施,机房应有接地设计航站楼有统一的防雷和接地设计无3、危险源识别方法1:系统与行业标准规范对照法表 (民用机场航站楼航班信息显示系统工程设计规范MH/T5015-2004)结论:系统符合规范,此方法未发现危险源
6、!序 号工作任 务功能危险源查找过程 (测试)危险源1地调 接口航显数据库与AODB中相应数据的 同步,即从集成数据库读取信息 ,存储在航显数据库过程:在地调系统中输入非常规数据模 拟工作人员误操作的情形,看航显系统 的容错性程序中有BUG 2应用 服务读取数据库服务器的消息; 向终端分发消息过程:在数据库服务器中产生消息,看 终端的响应情况暂未发现危 险3广播 接口定时从航班显示系统提取动态数 据库转换成广播系统需要的.DBF 文件过程:在航显系统航班动态库中输入非 常规字符2个系统的兼 容性差 4监控 模块对终端运行状态及画面进行监控 ,同时对终端进行控制例如开关 机过程:对远程工控机反复
7、开关UDP协议缺陷5配置 管理可以对整个系统的显示设备、显 示参数、用户、权限等进行集中 管理,并能发布旅客须知、紧急 通知等消息过程:权限检查,由于东航深航和机场 运输都需要对办票柜台做配置,而权限 是分配到办票岛的,所以权限有重叠之 处配置管理中 权限有冲突6航班 维护与地调联接中断时在本系统内维 护动态航班信息过程:输入非常规数据测试软件的容错 性暂未发现危 险7终端 显示负责接收来自应用服务器的航班 及配置数据,并转换成设备支持 的显示格式过程:终端显示内容和服务器数据库内 容对照暂未发现危 险方法2:工作任务分析表(系统功能梳理法)结论:系统存在危险源。下面对以上危险源进行分析:序
8、号危险源危险情景及后果诱发原因1地调接 口中有 BUG航显系统不能读 取动态数据,影 响整个系统的显 示,造成航班延 误程序设计容错性差: 当某个航班的值机时 间字段为空时程序不 能识别。2广播和 航显的 兼容性 差广播和航显的兼 容性差当航班号中包含中文 时广播系统不能判别 。3监控模 块中远 程开机 成功率 低局部不能开机, 旅客看不到信息UDP协议本身的缺陷 :由于远程唤醒是使 用的UDP协议,存在 掉包现象,导致开机 成功率不能达到100% 。 4配置管 理中权 限有冲 突柜台的显示不准 确,旅客误解程序设计不严谨:国 际柜台不固定,东航 和运输都有权限管理 ,当2台管理机同时 对一个
9、柜台的信息进 行编辑时,引起冲突序号类别名称危险源观察危险源1设备服务器已经采用双机备份暂未发现危险2交换机已经采用双机备份暂未发现危险3管理机有备份机暂未发现危险4楼层交换机有备份机暂未发现危险5终端显卡能正常显示暂未发现危险6环境温度和湿度温度湿度在标准范围暂未发现危险7人员维修能力对维修人员进行口试、笔试及现场操作考 核维修人员技术水平不达标方法3:现场观察法表结论:系统存在危险源。下面对以上危险源进行分析:序 号危险源危险情景及后 果诱发原因1维修人员 技术水平 不达标出现单点故障 不能及时维修培训考核不严格;缺 乏操作实战经验方法4:故障树分析法在系统使用中,查阅工作人员的故障维修记
10、录发现终端显示设备有黑屏的现象,一个月内出现了12次,为此使用故障树分析 法对此故障进行分析如下:结论:系统存在危险源。下面对以上危险源进行分析:序 号危险源危险情景及后 果诱发原因1工控机内 存接触不 良该工控机不能 开机,航班不 能显示厂家在安装过程中工 艺不过关2显示屏锁 定该区域航班不 能显示,影响 旅客登机值机厂家在程序中设定PC 状态下,主机关闭15 分钟后自锁。必须人 工按键解锁序号危险源危险源描述(诱发原因)后果影响1地调接口中 有BUG当某个航班的值机时间字段为空时程 序不能识别。与地调系统的动态数据交 互不能继续,所有主机不 能显示正确的航班动态旅客看不到实时信息 ,影响旅
11、客的判断, 造成投诉和航班误点2广播和航显 接口兼容性 差数据库在转换时出错:当航班号中包 含中文时广播系统不能判别。广播系统不能正常广播旅客听不到正常信息 的广播,引起误机和 投诉。3配置管理中 权限有冲突国际值机柜台不固定,东航和运输都 有权限管理,当2台管理机同时对一 个柜台的信息进行编辑时,引起冲突 。柜台信息显示不准确不准确的信息引起旅 客误解4监控模块中 远程开机成 功率低由于远程唤醒是使用的UDP协议,存 在掉包现象,导致开机成功率不能达 到100%该区域不能正常开机旅客看不到信息,引 起不便5LG显示器自 锁厂家在程序中设定PC状态下,主机关 闭15分钟后自锁。必须人工按键解锁
12、 。晚上关机后第二天不能打 开LG显示屏,导致该区域 不能正常显示。显示屏黑屏,旅客得 不到及时的航班信息 。6工控机在组 装过程中内 存接触不良厂家组装过程中工艺不过关该终端内存松动导致工控 机不能正常开机该处的显示设备不能 正常使用,旅客和工 作人员看不到航班信 息。7维修人员技 术水平不达 标维修人员在值班时技术不熟练出现单点故障不能及时维 修影响该点航班显示4、危险源汇总表将以上四种方法得到的危险源进行汇总,得到以下危险源汇总表可能性(Likehood )现实的危险潜在的危险1极不可能近1年内航显系统未发生可预见,实际不会发 生 2不太可能近1年内航显系统发生1- 2次可预见,很难发生
13、 3可能性很小航显系统每月发生1-2次可预见,会发生 4相对可能航显系统每月发生3到12 次可预见,容易发生 5经常航显系统每月发生12次 以上可预见,即将发生 五、风险评估风险管理小组针对上述7个危险源,采取专业技术和操作员工相结合,定性 分析和定量分析相结合的方式,广泛收集相关数据、信息,确定隐患来源和可能 产生的情景,对情景结果的可能性、严重度进行评估,计算出相应的风险指数。 1、风险指数分级 可能性分级表严重度分级表严重度(Severity):已经发生了一连串事件,其后果的严重程度1可容忍的人员:没有受伤 设备:导致设备直接损失在1000元(含1000元)以内 系统运行:单点设备故障,
14、一天内可以解决 。通过广播和工作人员及时通知旅客,不影 响系统整体运行,不影响航班保障。 公众信心:没有影响到公众信心2一般的人员:急救受伤,没有残疾,但造成工作延误 设备:导致设备直接损失在1000元10000元(含1万元)之间 系统运行:局部设备故障,1天内解决。不影响系统整体运行,影响局部运行。比如由于楼层交 换机故障影响国内进港显示,不影响航班整体保障。 公众信心:可能会降低,但公众觉得情况可以接受3中等的人员:人员受伤,需要住院养护,造成直接损失,但没有人员残疾 设备:导致设备直接损失在1万元5万元(含5万元)之间 系统运行:主要设备故障,一周内解决。影响系统整体运行,但是启用应急后
15、不影响系统运行 。 公众信心:公众由于等待时间较长,导致信心显著降低。4重要的人员:造成人员残疾或严重受伤 设备:导致设备直接损失在5万元50万元(含50万元)之间 系统运行:主要设备(服务器,主交换机)故障,应急无法启动。影响系统整体运行2小时以内 。 公众信心:公众对机场的服务质量造成怀疑,并表示不满。5灾难性的人员:死亡或旅客受伤,公众生命受威胁 设备:接损失在50万元以上 系统运行:主要设备故障,系统整体瘫痪,应急无法启动。影响旅客出行。 公众信心:众表现出对机场的强烈抵制情绪。航班显示系统风险指数分级表风险指数(可能性严重度=风险指数)风险指数措 施14(低 )最低风险,航班显示系统
16、正常运行 59(中 )中等风险,但必须采取风险控制措施 9(高)高风险,不可以接受。必须采取措施才能正常运行评估风险的标准-评估风险的结果用风险指数(RISK)表示: 风险指数(Risk)= 可能性(Likelihood)严重度(Severity)。 根据危险源的可能性和导致的严重性来确认风险存在的等级。2、航班显示系统风险评估及分级表序 号危险源风险指数评估依据等 级 可 能 性严 重 性风 险 指 数1工控机在组装过程中内存接触不良414根据故障次数统计,对照可能性表,可能性为“相对可能” ;但是由于是单点设备故障,所以严重度为“1”。低2维修人员技术水平不达标313根据危险实际发生的次数,对照可能性表,可能性为3,但 是由于是单点故障,严重度为1低3地调接口中有BUG248由于该故障只有在工作人员误操作的情形下发生,2011年发 生1次,可能性为“2”,但影响整个系统运行,故严重度为 “4”中4广播和航显接口兼容性差248由于该故障只有在工作人员误操作的情形下发生,2011年发 生1次,可能性为“2”,但
