基于故障樹分析方法的民機飛機駕駛艙門控制邏輯改進設計

陸 崢，劉 劍

(上海飛機客戶服務有限公司，上海 200241)

0 引言

駕駛艙門是安裝在飛機客艙和駕駛艙之間的可鎖艙門。震驚世界的“9.11”恐怖襲擊事件發生后，為保障駕駛安全及飛行機組的人身安全，國際民航組織和各國適航當局都修改了適航條例，明確要求所有民航運輸類客機必須安裝具備防暴力入侵以及防爆的駕駛艙門。

按照CCAR-25部中關于駕駛艙的保護適航條款相關要求[1]，駕駛艙門必須可鎖，能夠阻止未被授權的人員進入駕駛艙；以及能抵御輕型武器的活力或爆炸裝置的穿透，以保證機組人員的安全。目前，飛機上通常在駕駛艙內側安裝有駕駛艙門控制系統，可以有效阻止未經授權的非機組人員進入駕駛艙搶奪飛機控制權，為飛行員提供安全保護。因此飛行機組人員具有駕駛艙門的最高控制權限。

2015年3月4日，德國之翼客機墜毀事件發生。官方發布的事件調查報告確認，該墜毀事件是由當班客機副駕駛蓄意改變自動駕駛模式下的飛機巡航高度設定，導致飛機加速下降直至墜毀。在發現飛機異常下降期間，客艙機組人員試圖通過使用艙門密碼鍵盤、駕駛艙內話設備及拍打艙門等措施請求進入駕駛艙。但該肇事飛行員始終未打開駕駛艙門，最終造成飛機墜毀，機上144名乘客和6名機組人員全部遇難。

蓄意墜機事件發生，暴露了飛行員權限過大；當發生蓄意惡性事件時，無法進入駕駛艙進行糾正。因此次，有必要進行防止蓄意墜機的駕駛艙門禁系統研究。

1 現有飛機駕駛艙門控制原理

1.1 駕駛艙門禁控制系統

駕駛艙門禁控制系統如圖1 所示[2-4]，主要由艙門控制器、電磁鎖、傳感器、密碼輸入板、警告指示燈和蜂鳴器以及控制面板等組成。

艙門控制器是駕駛艙門控制系統的核心，管理來自密碼輸入板(客艙內)、控制面板(駕駛艙內)的控制信號或請求信號，按照預先設定的艙門控制邏輯順序，對駕駛艙門的打開和關閉進行管理控制。

密碼輸入板安裝在靠近客艙一側的駕駛艙門上，客艙乘務人員輸入密碼后可發出請求進入駕駛艙；同時密碼板上還設置有指示燈，用于提示當前駕駛艙門的狀態。電磁鎖是艙門的鎖定機構。若駕駛艙門閉合，當有外部電源供電時，電磁鎖處于鎖閉狀態，駕駛艙門將鎖定。駕駛艙外的人員將無法打開駕駛艙門；當電源斷開時，電磁鎖處于開鎖狀態，此時駕駛艙外的人員可以打開駕駛艙門。

圖1 駕駛艙門控制系統原理

艙門控制器輸出的告警和指示信息由指示燈和蜂鳴器輸出，提示機組人員有人請求進入駕駛艙或者艙門控制系統出現的異常。

控制面板安裝在駕駛艙內的中央操縱臺上，主副飛行員都可以操縱駕駛艙門上鎖或解鎖。

1.2 駕駛艙門控制邏輯

駕駛艙門的實際控制邏輯如圖2所示。

正常進入駕駛艙流程：如前所述，駕駛艙門控制系統通電后，電磁鎖會閉鎖，艙門會被鎖定。客艙內人員需要在密碼板上按“#”鍵請求進入駕駛艙。飛行員在確認請求者身份后，將控制面板上的三位開關置于“Unlock”解鎖位置，此時駕駛艙門電磁鎖解鎖，門外人員可以開門進入駕駛艙。如果飛行員發現可疑情況，可以將三位開關置于“Deny”拒絕位置，此時電磁鎖仍然處于閉鎖狀態，駕駛艙門持續關閉。

緊急進入駕駛艙流程：當客艙人員發現駕駛艙內發生意外需要進入駕駛艙時，可使用應急進門程序。客艙人員通過密碼板輸入緊急密碼+“#”鍵，密碼檢驗正確后，系統將發出30 s提示音信息。如果飛行機組人員發生意外，30 s內沒有進行任何控制面板操作，駕駛艙門電磁鎖將在30 s時間到后解鎖，艙門可以打開。若機組人員沒有失能想拒絕客艙人員進入，則可操作控制面板上的三位開關置于“Deny”拒絕位，此時駕駛艙門仍然保持上鎖狀態，客艙人員被拒絕進入。

圖2 駕駛艙門控制邏輯

2 蓄意墜機事件及其故障樹分析

2.1 蓄意墜機事件分析

目前民用運輸飛機普遍采用雙人制機組，工作負荷、運行成本、安全性都達到了較好的平衡。911事件發生之后，為避免民航航班被恐怖分子當做“導彈”攻擊平民，飛機上的駕駛艙艙門設計對安全性的考慮放在了首位。設計中預設的事故場景是傳統的劫機事件，即：飛行員在駕駛艙，劫機分子在客艙，劫機分子試圖通過暴力手段進入駕駛艙接管飛機。現代客機的艙門較好的滿足了該場景下的飛行安全。只要鎖死艙門，小口徑武器、消防斧及一般破拆手段都無法破壞鎖死機構。匹配嚴格的機場安檢，基本可杜絕劫機后實施恐怖襲擊的可能。

但這種預設場景為飛行員蓄意墜機事件留下了可利用的空檔。肇事飛行員在同組另一名飛行員離開駕駛艙的時候，通過鎖死駕駛艙門能自由進行危險操作。即使地面人員或其他機組成員能夠發現肇事飛行員作出了危險操作，仍然無法干預飛機飛行過程。此時肇事飛行員擁有對飛機的絕對控制權。

2.2 蓄意墜機事件故障樹建立

故障樹分析(FTA)是定性的可靠性分析的重要方法工具[8-9]。故障樹分析是演繹推理，采用從上到下的方式，分析復雜系統初始失效及事件的影響。故障樹建模過程的本質是研究系統失效(頂事件)與部件失效(底事件)之間的因果關系。

選擇飛機遭遇非法控制作為頂事件進行故障樹分析，建立故障樹模型如圖3所示。故障樹共有7個中間事件和8個底事件。

圖3 飛機遭遇非法控制頂事件故障樹

由于劫機事件發生牽涉多方面的因素。為便于進行故障樹分析，采用模型簡化的方法，抓住核心關鍵因素，舍棄其他不重要因素。因此，在進行故障樹建模時，只考慮飛機遭遇非法控制的核心關鍵因素：飛行員個人行為、劫機者行為與駕駛艙門。其他因素，如飛機電子系統蓄意遠程劫持控制、機場安檢失效的具體因素等暫不考慮。

故障樹中底事件如表1所示。為方便后續定量計算分析，參考相關工程系統失效率和社會人口活動大數據，對底事件的發生率數據進行了部分假定。

表1 故障樹底事件及其發生率

2.3 故障樹分析

1)故障樹定性分析

對于故障樹而言，最小割集的階數越小，一階最小割集數量越多，則故障樹頂事件發生的可能性越大。

通過布爾運算對圖3故障樹進行分析，得到最小割集9個，分別為{q1,q4}，{q1,q6}，{q2,q4}，{q2,q6}，{q3,q4}，{q5,q6}，{q7,q7}，{q7,q8}，{q7,q9}。全部為二階最小割集。

可以看出不存在由于單個因素作用直接導致惡性事件發生的可能性。

2)故障樹定量分析

進一步對故障樹進行定量分析，求出故障樹頂事件的發生概率以及故障樹中各底事件的重要度，并根據重要度的大小排序確定故障診斷和維護順序。

計算方法如下：

若故障樹有n個最小割集，分別為E1，E2，…，En，則故障樹頂事件T的發生概率為

P(T)=P(E1∪E2∪…∪En)=

(1)

對式(1)進行運算，代入各最小割集的發生率，即可求出故障樹頂事件的發生率為5.05*10-9。

對故障樹的重要度進行分析，研究底事件發生對頂事件發生的貢獻大小，得到不同底事件的重要度排序。故障樹重要度包括概率重要度Ip和關鍵重要度Ic，如式(2)和式(3)所示。

(2)

(3)

式中,Q為頂事件的不可靠度；qi為第i個底事件的發生率。

故障樹重要度分析計算結果如表2所示。從表中可以看出底事件q4，q7概率重要度相對較高，其他底事件概率重要度很小。這說明劫機者攜帶武器通過機場安檢、單個飛行員失常的概率一旦發生變化，必然會對頂事件發生率引起重大變化。

進一步考察底事件的關鍵重要度，數值越大說明底事件發生引發故障樹頂事件發生的可能性越大。從表中可以看出q7，q8，q3，q4底事件最為緊要。

表2 故障樹底事件重要度

為提升飛行安全，保障公眾利益，應對上述底事件的發生，航空界可采取針對性的應對措施：1)加強安檢，避免殺傷性武器帶入飛機。如果武器帶入飛機，劫機者能夠輕而易舉破門和挾持飛行員，進而控制飛機作出重大傷害性事件；

2)加強飛行員失常監測和引導。由于飛行員思想狀態具有一定的隱蔽性和欺騙性。因此航空公司要重在平時的思想狀態監測、引導和防范，要在航前重點監測；

3)針對飛行員離開駕駛艙后無法進入駕駛艙的缺陷，必須從駕駛艙門控制邏輯上加以改進，使得飛行員離開后仍然能夠打開駕駛艙門。

3 駕駛艙門控制系統控制邏輯改進

由上文事件故障樹分析可見，此類駕駛艙門禁系統雖然滿足了反恐防暴的要求，但在蓄意墜機事件中反而成為了悲劇發生的必要條件。其原因并非技術問題，而是飛機設計時預設的場景給予了駕駛艙內飛行員過高的權限。

因此，針對蓄意墜機事件，必須重新設計駕駛艙門控制邏輯，賦予離開駕駛艙的飛行員能夠打開駕駛艙門的權限，避免類似事件再度發生。

為了“讓合適的人在恰當的時刻擁有進出駕駛艙的最高權限”，本文研究確定了門禁最高權限優化分配方案如下表3。

表3 多種預設場景的門禁最高權限分配

由表3中的最高權限分配方案可見，遭遇劫機時，駕駛艙內的飛行機組有門禁最高權限，消除了恐怖分子突襲駕駛艙的可能。單飛行員在座時，離座的飛行員有門禁最高權限，能夠及時返回駕駛艙中，防止在座飛行員實現蓄意墜機的意圖。單飛行員在座且遭遇劫機時，駕駛艙內的飛行機組重新獲得門禁最高權限，防止恐怖分子趁隙進入駕駛艙。出現駕駛艙飛行機組失能情況時，客艙機組有進入駕駛艙的最高權限。該方案能夠有效應對多種預設場景，預防劫機和蓄意墜機事件，保證飛行安全。

根據上述權限更改思路，重新設計駕駛艙開門邏輯流程如圖4所示。

圖4 改進后駕駛艙門控制邏輯流程圖

正常飛行時，機組將兩側旋鈕都放在AUTO位。左右兩座飛行員在接到異常的客艙進入請求后，同時將門禁控制旋鈕調至DENY位置。此時駕駛艙艙門鎖死，兩名飛行員共同擁有最高權限。任一側旋鈕未調至DENY位置或從DENY位置離開或兩座飛行員操作間隔超過某一限度，則門鎖仍然可由客艙輸入緊急進入密碼予以打開。

在巡航階段，任一飛行員均可離開駕駛艙。離開前需先將一側門禁控制旋鈕調至“LEAVE” 位置。另一側門禁控制旋鈕仍然在“AUTO”位置。駕駛內的艙門密碼器(或指紋采集器)激活。飛行員出艙時須在艙門密碼器上點擊設置個人密碼(或在指紋采集器上使用某個手指采集指紋)才能開門。該飛行員離開后，艙門關閉自動上鎖。此時最高進出權限轉是該飛行員的個人密碼(或某手指指紋)。實現上述駕駛艙門禁控制邏輯電路圖如圖5所示。

圖5 改進后駕駛艙門禁控制邏輯電路圖

4 改進后可靠性分析

根據上述改進思路——重新賦予離開駕駛艙的飛行員開門權限，故障樹中的中間事件G6和底事件X8得以消除。故障樹的最小割集也縮減為8個。故障樹頂事件的發生率大幅度下降，為5.02*10-11。改進后的底事件重要度如表4所示。

表4 改進后底事件重要度

對比表2和表4可以看出，底事件q7(單個飛行員失常)的概率重要度和關鍵重要度已經大幅度下降，說明飛行員失常事件的發生對頂事件飛機遭遇非法控制的影響非常小。

因此，通過改進駕駛艙門控制邏輯，大幅度降低了飛行員失常對飛機飛行安全的危害程度，保障了公眾的飛行安全。

5 結束語

1)本文針對民用飛機現有駕駛艙門控制邏輯無法防止蓄意墜機事件發生的問題，飛機駕駛艙遭遇非法控制的頂事件，構建了故障樹模型；

2)通過對故障樹的定量和定性分析，查找出飛機遭遇非法控制的具體薄弱環節，即劫機者攜帶武器通過機場安檢、單個飛行員失常、離開駕駛艙無法進入駕駛艙，并提出了針對性的建議措施；

3)針對飛行員離開駕駛艙后存在無法進入被鎖駕駛艙的重大駕駛艙門控制邏輯缺陷，對駕駛艙控制權限進行了優化分配，提出了改進的駕駛艙門控制流程和邏輯。

4)改進后的故障樹分析結果表明，飛行員失常事件的發生對頂事件飛機遭遇非法控制的影響非常小，飛行安全性得到了提升。