航班显示系统风险管理与控制(2011年终稿)

航班显示系统风险管理与控制

南京禄口国际机场航显系统SMS小组一、概述1、系统架构功能说明：（1）数据库服务器

（2）应用服务器（3）与信息集成系统的接口（4）显示终端（5）配置管理主机

（6）运行监控主机（7）航班信息维护主机

2、本文引用的标准文献

《民用航空重要信息系统灾难备份与恢复管理规范》MH-T0026-2005《民用机场航站楼航班信息显示系统工程设计规范》MH/T5015-20043、航班显示系统危险源定义

危险源的界定是风险管理的前提，由于目前学术界尚未对设备危险源形成

统一的概念，根据中国民用航空总局的《民用航空重要信息系统灾难备份

与恢复管理规范》文献，结合机场实际运营情况，将航班显示系统危险源

定义为：在系统运行过程中可能导致设备损害，经济损失，工作环境破坏

等，影响正常航班保障的不安全因素。二、小组概况和活动计划安排科室弱电系统科课题名称航显系统SMS管理课题小组成员名单：序号姓名组内职务岗位技术状况年龄1石晓梅组长系统负责人高级工程师462赵春风付组长科长工程师343贺辉组员弱电科工程师344王晓瑾组员弱电科助工285王毅组员弱电科助工321、小组概况2、活动计划：为保证此轮的风险控制工作顺利开展，小组结合部门的总

体安排，制定了本次风险管理与控制的具体活动进度表：课题小组活动计划安排：序号活动阶段时间安排责任人1编制风险指数分级表，可能性、严重度分级表3.1-3.30石晓梅、赵春风2查找危险源4.1-5.31全体人员3风险评估6.1-6.15赵春风、王毅4制定控制措施6.16-7.30赵春风、王毅5控制措施效果验证8.1-10.30石晓梅、贺辉6控制措施实施验证评估11.1-11.15石晓梅、王晓瑾7控制措施标准化11.16-11.30赵春风、王毅8编制课题发布材料12.1-12.30石晓梅、王晓瑾三、航班显示系统风险管理与控制步骤四、危险源识别1、危险源识别原则：（1）合法（规范）性原则（2）预防性原则（3）真实（现实）性原则（4）时效性原则：2、危险源识别方法

（1）系统与行业标准规范对照法（2）工作任务分析法（系统功能梳理法）（3）现场观察法（4）故障树分析法序号参数或性能标准规范要求本系统是否存在风险1环境温度室内0-40℃机房22-28℃终端5-35℃，机房26℃无2设备选型有质检部门认定有资质单位设计，设备经过质检认定无3网络类型各种显示终端和相应的若干个终端控制计算机服务器和其他网络辅助设备组成的一个计算机局域网-LAN。由服务器计算机工控机网络设备LCD，PDP组成的局域网无4控制方法既能集中控制，又能单独控制对终端设备可以全部、区域、单独控制无5安全性应有安全措施和防病毒措施安装了诺顿防病毒软件。定期升级无6开放性采用开放互联协议技术支持多种国际标准协议采用TCP/IP,UDP,RS232符合国际标准无7可靠性主机系统应具有冗余、备分功能有双机热备，冷备，交换机热备无8可扩展性根据用户需要方便的增加终端控制计算机或显示设备，并由网络管理人员进行再设置；可以随时增加终端和显示设备，重新分配权限无9终端显示内容对候机楼各部位的显示有具体字段要求一一对照，显示字段全面无10显示终端可视距离2-15M在5-15M内可视无11防雷与接地设计应有有效的防雷措施，机房应有接地设计航站楼有统一的防雷和接地设计无3、危险源识别方法1：系统与行业标准规范对照法表(《民用机场航站楼航班信息显示系统工程设计规范》MH/T5015-2004)结论：系统符合规范，此方法未发现危险源！序号工作任务功能危险源查找过程（测试）危险源1地调接口航显数据库与AODB中相应数据的同步，即从集成数据库读取信息，存储在航显数据库过程：在地调系统中输入非常规数据模拟工作人员误操作的情形，看航显系统的容错性程序中有BUG2应用服务读取数据库服务器的消息；向终端分发消息过程：在数据库服务器中产生消息，看终端的响应情况暂未发现危险3广播接口定时从航班显示系统提取动态数据库转换成广播系统需要的.DBF文件过程：在航显系统航班动态库中输入非常规字符2个系统的兼容性差4监控模块对终端运行状态及画面进行监控，同时对终端进行控制例如开关机过程：对远程工控机反复开关UDP协议缺陷5配置管理可以对整个系统的显示设备、显示参数、用户、权限等进行集中管理，并能发布旅客须知、紧急通知等消息过程：权限检查，由于东航深航和机场运输都需要对办票柜台做配置，而权限是分配到办票岛的，所以权限有重叠之处配置管理中权限有冲突6航班维护与地调联接中断时在本系统内维护动态航班信息过程：输入非常规数据测试软件的容错性暂未发现危险7终端显示负责接收来自应用服务器的航班及配置数据，并转换成设备支持的显示格式过程：终端显示内容和服务器数据库内容对照暂未发现危险方法2：工作任务分析表（系统功能梳理法）结论：系统存在危险源。下面对以上危险源进行分析：序号危险源危险情景及后果诱发原因1地调接口中有BUG航显系统不能读取动态数据，影响整个系统的显示，造成航班延误程序设计容错性差：当某个航班的值机时间字段为空时程序不能识别。2广播和航显的兼容性差广播和航显的兼容性差当航班号中包含中文时广播系统不能判别。3监控模块中远程开机成功率低局部不能开机，旅客看不到信息UDP协议本身的缺陷：由于远程唤醒是使用的UDP协议，存在掉包现象，导致开机成功率不能达到100%。4配置管理中权限有冲突柜台的显示不准确，旅客误解程序设计不严谨：国际柜台不固定，东航和运输都有权限管理，当2台管理机同时对一个柜台的信息进行编辑时，引起冲突序号类别名称危险源观察危险源1设备服务器已经采用双机备份暂未发现危险2交换机已经采用双机备份暂未发现危险3管理机有备份机暂未发现危险4楼层交换机有备份机暂未发现危险5终端显卡能正常显示暂未发现危险6环境温度和湿度温度湿度在标准范围暂未发现危险7人员维修能力对维修人员进行口试、笔试及现场操作考核维修人员技术水平不达标方法3：现场观察法表结论：系统存在危险源。下面对以上危险源进行分析：序号危险源危险情景及后果诱发原因1维修人员技术水平不达标出现单点故障不能及时维修培训考核不严格；缺乏操作实战经验方法4：故障树分析法在系统使用中，查阅工作人员的故障维修记录发现终端显示设备有黑屏的现象，一个月内出现了12次，为此使用故障树分析法对此故障进行分析如下：结论：系统存在危险源。下面对以上危险源进行分析：序号危险源危险情景及后果诱发原因1工控机内存接触不良该工控机不能开机，航班不能显示厂家在安装过程中工艺不过关2显示屏锁定该区域航班不能显示，影响旅客登机值机厂家在程序中设定PC状态下，主机关闭15分钟后自锁。必须人工按键解锁序号危险源危险源描述（诱发原因）后果影响1地调接口中有BUG当某个航班的值机时间字段为空时程序不能识别。与地调系统的动态数据交互不能继续，所有主机不能显示正确的航班动态旅客看不到实时信息，影响旅客的判断，造成投诉和航班误点2广播和航显接口兼容性差数据库在转换时出错：当航班号中包含中文时广播系统不能判别。广播系统不能正常广播旅客听不到正常信息的广播，引起误机和投诉。3配置管理中权限有冲突国际值机柜台不固定，东航和运输都有权限管理，当2台管理机同时对一个柜台的信息进行编辑时，引起冲突。柜台信息显示不准确不准确的信息引起旅客误解4监控模块中远程开机成功率低由于远程唤醒是使用的UDP协议，存在掉包现象，导致开机成功率不能达到100%该区域不能正常开机旅客看不到信息，引起不便5LG显示器自锁厂家在程序中设定PC状态下，主机关闭15分钟后自锁。必须人工按键解锁。晚上关机后第二天不能打开LG显示屏，导致该区域不能正常显示。显示屏黑屏，旅客得不到及时的航班信息。6工控机在组装过程中内存接触不良厂家组装过程中工艺不过关该终端内存松动导致工控机不能正常开机该处的显示设备不能正常使用，旅客和工作人员看不到航班信息。7维修人员技术水平不达标维修人员在值班时技术不熟练出现单点故障不能及时维修影响该点航班显示4、危险源汇总表将以上四种方法得到的危险源进行汇总，得到以下危险源汇总表可能性（Likehood）现实的危险潜在的危险1极不可能近1年内航显系统未发生可预见，实际不会发生2不太可能近1年内航显系统发生1-2次可预见，很难发生3可能性很小航显系统每月发生1-2次可预见，会发生4相对可能航显系统每月发生3到12次可预见，容易发生5经常航显系统每月发生12次以上可预见，即将发生五、风险评估风险管理小组针对上述7个危险源，采取专业技术和操作员工相结合，定性分析和定量分析相结合的方式，广泛收集相关数据、信息，确定隐患来源和可能产生的情景，对情景结果的可能性、严重度进行评估，计算出相应的风险指数。1、风险指数分级可能性分级表严重度分级表严重度（Severity）：已经发生了一连串事件，其后果的严重程度1可容忍的人员：没有受伤设备：导致设备直接损失在1000元（含1000元）以内系统运行：单点设备故障，一天内可以解决。通过广播和工作人员及时通知旅客，不影

响系统整体运行，不影响航班保障。公众信心：没有影响到公众信心2一般的人员：急救受伤，没有残疾，但造成工作延误设备：导致设备直接损失在1000元—10000元（含1万元）之间系统运行：局部设备故障，1天内解决。不影响系统整体运行，影响局部运行。比如由于楼层交换机故障影响国内进港显示，不影响航班整体保障。公众信心：可能会降低，但公众觉得情况可以接受3中等的人员：人员受伤，需要住院养护，造成直接损失，但没有人员残疾设备：导致设备直接损失在1万元—5万元（含5万元）之间系统运行：主要设备故障，一周内解决。影响系统整体运行，但是启用应急后不影响系统运行。公众信心：公众由于等待时间较长，导致信心显著降低。4重要的人员：造成人员残疾或严重受伤设备：导致设备直接损失在5万元—50万元（含50万元）之间系统运行：主要设备（服务器，主交换机）故障，应急无法启动。影响系统整体运行2小时以内。公众信心：公众对机场的服务质量造成怀疑，并表示不满。5灾难性的人员：死亡或旅客受伤，公众生命受威胁设备：接损失在50万元以上系统运行：主要设备故障，系统整体瘫痪，应急无法启动。影响旅客出行。公众信心：众表现出对机场的强烈抵制情绪。航班显示系统风险指数分级表风险指数（可能性×严重度=风险指数）风险指数措

施1—4（低）最低风险，航班显示系统正常运行5—9（中）中等风险，但必须采取风险控制措施>9（高）高风险，不可以接受。必须采取措施才能正常运行评估风险的标准---评估风险的结果用风险指数（RISK）表示：风险指数（Risk）=可能性（Likelihood）×严重度（Severity）。根据危险源的可能性和导致的严重性来确认风险存在的等级。2、航班显示系统风险评估及分级表序号危险源风险指数评估依据等级可能性严重性风险指数1工控机在组装过程中内存接触不良414根据故障次数统计，对照可能性表，可能性为“相对可能”；但是由于是单点设备故障，所以严重度为“1”。低2维修人员技术水平不达标313根据危险实际发生的次数，对照可能性表，可能性为3，但是由于是单点故障，严重度为1低3地调接口中有BUG248由于该故障只有在工作人员误操作的情形下发生，2011年发生1次，可能性为“2”，但影响整个系统运行，故严重度为“4”中4广播和航显接口兼容性差248由于该故障只有在工作人员误操作的情形下发生，2011年发生1次，可能性为“2”，但影响广播系统运行，故严重度为“4”中5配置管理中权限有冲突326根据该情形发生次数，可能性为“3”，由于影响单台运行，严重度为“2”中6监控模块中远程开机成功率低428根据该情形发生次数，可能性为“4”，由于影响单台运行，严重度为“2”中7LG显示器自锁428根据该情形发生次数，可能性为“4”，由于影响单台运行，严重度为“2”中六、风险控制措施

1、在制定航班显示系统的风险控制措施时，主要考虑以下原则：（1）利用技术进步，实施控制措施。（2）对不符合规范的设备要进行更新换代。（3）对重大危险源要有应急预案。2、针对两类风险对航显系统的影响程度，我们采取不同控制措施低等风险危险源管理一览表序号危险源风险指数控制措施责任人或监督人完成时间1工控机在组装过程中内存接触不良4由于工控机尚在保修期，要求厂家提供多台备机赵春风2011-07-302维修人员技术水平不达标3加强培训，定期考核石晓梅2011-07-30对低等风险（风险指数1-4），加强制度建设、日常巡视检查和维保工作，将风险控制在可接受范围内，并纳入培训内容和危险源管理历史资料库内。中等风险危险源管理一览表序号危险源风险指数控制措施应急措施责任人或监督人完成时间1地调接口中有BUG8对接口程序进行测试，找出程序问题，修改程序在指挥中心和运输各增加一台航班维护管理机，接口不能正常运行时，用管理机对航班动态进行维护赵春风石晓梅2011-06-172广播和航显接口兼容性差8广播接口中增加对航班号字段类型的判别，出现中文字段时跳过该航班记录，同时发出警告。发现中文字段后，电话通知指挥中心，进行修改石晓梅贺辉2011-06-253配置管理中权限有冲突6通过修改程序将原来权限分配到岛修改为权限具体到柜台，要求运输在分配柜台时将东航的柜台相对固定，各自对自己的柜台进行操作；同时在柜台需要变更使用时由动力部重新分配权限。做到各自为政，互不干扰固定各柜台的使用权限，使用部门不得随意变更。石晓梅王晓瑾2011-07-054监控模块中远程开机成功率低8由于目前远程唤醒只能使用UDP协议，在程序中发送唤醒数据包时一次发送6个唤醒包，增加可靠性每天开机时监控各台终端的状态，对状态“离线”的终端，现场开机贺辉王晓瑾2011-07-105LG显示器自锁8经测试与检查，发现显示屏可以通过RS232口控制开关，编写程序进行自动控制在机房对各显示屏进行监控，对状态为“关”的显示屏，现场解锁石晓梅贺辉2011-06-20对中等风险（风险指数5-9），制定专门控制方案，将这些方案付诸实施。七、措施实施（针对中高危险源）1、地调接口中有BUG:当某个航班的值机时间字段为空时导致与地调系统的动态

数据交互不能继续。

技术措施：错误是由于在字段为空时转换出错引起，通过修改接口程序，增

加为空时的处理消除危险源.

程序流程分析：应急措施：在指挥中心和运输各增加一台航班维护管理机，接口不能正常运行时，用管理机对航班动态进行维护2、广播和航显接口兼容性差：当航班号中包含中文时数据库在转换时出错，广播系统不能判别。

技术措施：广播接口中增加对航班号字段类型的判别，出现中文字段时跳过该航班记录，同时发出警告。应急措施：发现中文字段后，电话通知指挥中心，进行修改。3、配置管理权限有冲突：配置管理中国际值机柜台不固定，东航和运输都有

权限管理，当2台管理机同时对一个岛同一柜台的信息进行编辑时，引起冲突。

技术措施：修改程序将原来权限分配到岛修改为权限具体到柜台，要求运

输在分配柜台时将东航的柜台相对固定，各自对自己的柜台进行操作；同时在柜台需要变更使用时由动力部重新分配权限。做到各自为政，互不干扰。应急措施：固定各柜台的使用权限，使用部门不得随意变更。4、监控模块中远程开机成功率低：由于远程唤醒是使用的UDP协议，存在掉包现象，导致开机成功率低。技术措施：在唤醒程序中，一次发出6个唤醒包，提高唤醒的可靠性。应急措施：每天开机时监控各台终端的状态，对状态“离线”的终端，现场

开机。5、LG显示屏自锁：LG厂家在程序中设定PC状态下，主机关闭15分钟后显示屏自锁。必须人工按键解锁。

技术措施：经测试与检查，发现显示屏可以通过RS232口控制开关，编写程序

进行自动控制。

原理图管理机上监控程序逐个往终端显示程序发送开关机指令，终端显示程序收到指令后，往串口发送开、关屏指令。应急措施：在机房对各显示屏进行监控。对状态为“关”的显示屏，现场解锁。序号危险源风险等级评估依据可能性严重性风险等级1地调接口中有BUG111测试各种非正常数据时航班信息的容错性好2广播和航显接口兼容性差111接口修改后测试运行一段时间正常3配置管理中权限有冲突111对每个屏分配使用权限，细化管理，不会引起冲突4监控模块中远程开机成功率低212反复发送开机命令后，经测试成功率提高5LG显示器自锁111现场观察监控控制显示屏程序有效八、措施实施后效果评估九、控制措施标准化

鉴于以上措施的有效性，用风险控制单的方式将措施标准化，归入资料库和规范化手册，载入史册！！

动力技术部弱电系统科风险控制记录单危险源风险评估控制措施/确定时间控制措施效果验证/确认时间实施后评估控制措施标准化/时间危险源名称地调接口中的BUG可能性2预防性控制修改接口程序，增加为空时的处理。/确定时间2011年6月预防性措施经测试后有效；应急措施经演练后证明可行。/确定时间2011年10月可能性1控制措施有效，纳入操作手册，进行规范管理。/时间2011年11月发现时间2011.4.15严重性1发现方式运行中出现问题后做测试严重性4风险指数1危险情景及后果航显系统不能取得最新的动态数据，航班显示不准确。风险指数8应急控制在指挥中心和运输各增加一台航班维护管理机，当航显系统与地调系统的数据交互不能实现时，用管理机对航班动态进行维护。/确定时间2011年6月评估时间11年11月诱发原因值机时间字段为空时导致与地调系统的动态数据交互不能继续评估时间11年6月风险控制人员：石晓梅、赵春风纳入历史记录时间：2011年11月编号：2011年01航班显示系统动力技术部弱电系统科风险控制记录单危险源风险评估控制措施/确定时间控制措施效果验证/确认时间实施后评估控制措施标准化/时间危险源名称广播和航显的兼容性差可能性2预防性控制广播接口中增加对航班号字段类型的判别，出现中文及时通知地调系统修改。/确定时间2011年6月经测试当航班号为中文时，广播接口报错，通知地调系统及时修改，不影响广播系统的数据。/确定时间2011年10月可能性1措施有效，纳入规范化手册。时间2011年11月发现时间2011.5.11严重性1发现方式应急演练时输入特殊航班发现严重性4风险指数1危险情景及后果广播系统不能继续广播，影响广播系统运行，造成航班延误风险指数8应急控制当发现航班号为中文后，电话通知指挥中心，进行修改。/确定时间2011年6月评估时间11年11月诱发原因当航班号中包含中文时广播系统不能判别。评估时间11年6月风险控制人员：贺辉、石晓梅纳入历史记录时间：2011年11月编号：2011年02航班显示系统动力技术部弱电系统科风险控制记录单危险源风险评估控制措施/确定时间控制措施效果验证/确认时间实施后评估控制措施标准化/时间危险源名称对值机柜台的权限管理有冲突可能性3预防性控制修改程序将原来权限分配到岛修改为权限具体到柜台，要求运输在分配柜台时将东航的柜台相对固定，各自对自己的柜台进行操作；同时在柜台需要变更使用时由动力部重新分配权限。做到各自为政，互不干扰。/确定时间2011年7月各航空公司柜台相对固定，只能对自己的柜台进行操作，杜绝了错误。/确定时间2011年10月可能性1措施有效，纳入规范化手册。时间2011年11月发现时间2011.4．26严重性1发现方式用户报修，程序检查严重性2风险指数1危险情景及后果当2台管理机同时对一个柜台的信息进行编辑时，引起冲突。导致数据显示不准确，影响旅客办票风险指数6应急控制固定各柜台的使用权限，使用部门不得随意变更。。/确定时间2011年7月评估时间11年11月诱发原因配置管理中国际值机柜台不固定，东航和运输都有权限管理。评估时间11年6月风险控制人员：石晓梅、王晓瑾纳入历史记录时间：2011年11月编号：2011年03航班显示系统动力技术部弱电系统科风险控制记录单危险源风险评估控制措施/确定时间控制措施效果验证/确认时间实施后评估控制措施标准化/时间危险源名称远程唤醒时数据掉包可能性4预防性控制在唤醒程序中，一次发出6个唤醒包，提高唤醒的可靠性。/确定时间2011年7月。反