航班显示系统风险管理与控制(XXXX年终稿)

航班显示系统风险管理与控制南京禄口国际机场航显系统SMS小组一、概述1、系统架构功能说明：（1）数据库服务器（2）应用服务器（3）与信息集成系统的接口（4）显示终端（5）配置管理主机（6）运行监控主机（7）航班信息维护主机2、本文引用的标准文献《民用航空重要信息系统灾难备份与恢复管理规范》MH-T0026-2005《民用机场航站楼航班信息显示系统工程设计规范》MH/T5015-20043、航班显示系统危险源定义危险源的界定是风险管理的前提，由于目前学术界尚未对设备危险源形成统一的概念，根据中国民用航空总局的《民用航空重要信息系统灾难备份与恢复管理规范》文献，结合机场实际运营情况，将航班显示系统危险源定义为：在系统运行过程中可能导致设备损害，经济损失，工作环境破坏等，影响正常航班保障的不安全因素。二、小组概况和活动计划安排科室弱电系统科课题名称航显系统SMS管理课题小组成员名单：序号姓名组内职务岗位技术状况年龄1石晓梅组长系统负责人高级工程师462赵春风付组长科长工程师343贺辉组员弱电科工程师344王晓瑾组员弱电科助工285王毅组员弱电科助工321、小组概况2、活动计划：为保证此轮的风险控制工作顺利开展，小组结合部门的总体安排，制定了本次风险管理与控制的具体活动进度表：课题小组活动计划安排：序号活动阶段时间安排责任人1编制风险指数分级表，可能性、严重度分级表3.1-3.30石晓梅、赵春风2查找危险源4.1-5.31全体人员3风险评估6.1-6.15赵春风、王毅4制定控制措施6.16-7.30赵春风、王毅5控制措施效果验证8.1-10.30石晓梅、贺辉6控制措施实施验证评估11.1-11.15石晓梅、王晓瑾7控制措施标准化11.16-11.30赵春风、王毅8编制课题发布材料12.1-12.30石晓梅、王晓瑾三、航班显示系统风险管理与控制步骤四、危险源识别1、危险源识别原则：（1）合法（规范）性原则（2）预防性原则（3）真实（现实）性原则（4）时效性原则：2、危险源识别方法（1）系统与行业标准规范对照法（2）工作任务分析法（系统功能梳理法）（3）现场观察法（4）故障树分析法序号参数或性能标准规范要求本系统是否存在风险1环境温度室内0-40℃机房22-28℃终端5-35℃，机房26℃无2设备选型有质检部门认定有资质单位设计，设备经过质检认定无3网络类型各种显示终端和相应的若干个终端控制计算机服务器和其他网络辅助设备组成的一个计算机局域网-LAN。由服务器计算机工控机网络设备LCD，PDP组成的局域网无4控制方法既能集中控制，又能单独控制对终端设备可以全部、区域、单独控制无5安全性应有安全措施和防病毒措施安装了诺顿防病毒软件。定期升级无6开放性采用开放互联协议技术支持多种国际标准协议采用TCP/IP,UDP,RS232符合国际标准无7可靠性主机系统应具有冗余、备分功能有双机热备，冷备，交换机热备无8可扩展性根据用户需要方便的增加终端控制计算机或显示设备，并由网络管理人员进行再设置；可以随时增加终端和显示设备，重新分配权限无9终端显示内容对候机楼各部位的显示有具体字段要求一一对照，显示字段全面无10显示终端可视距离2-15M在5-15M内可视无11防雷与接地设计应有有效的防雷措施，机房应有接地设计航站楼有统一的防雷和接地设计无3、危险源识别方法1：系统与行业标准规范对照法表(《民用机场航站楼航班信息显示系统工程设计规范》MH/T5015-2004)结论：系统符合规范，此方法未发现危险源！序号工作任务功能危险源查找过程（测试）危险源1地调接口航显数据库与AODB中相应数据的同步，即从集成数据库读取信息，存储在航显数据库过程：在地调系统中输入非常规数据模拟工作人员误操作的情形，看航显系统的容错性程序中有BUG2应用服务读取数据库服务器的消息；向终端分发消息过程：在数据库服务器中产生消息，看终端的响应情况暂未发现危险3广播接口定时从航班显示系统提取动态数据库转换成广播系统需要的.DBF文件过程：在航显系统航班动态库中输入非常规字符2个系统的兼容性差4监控模块对终端运行状态及画面进行监控，同时对终端进行控制例如开关机过程：对远程工控机反复开关UDP协议缺陷5配置管理可以对整个系统的显示设备、显示参数、用户、权限等进行集中管理，并能发布旅客须知、紧急通知等消息过程：权限检查，由于东航深航和机场运输都需要对办票柜台做配置，而权限是分配到办票岛的，所以权限有重叠之处配置管理中权限有冲突6航班维护与地调联接中断时在本系统内维护动态航班信息过程：输入非常规数据测试软件的容错性暂未发现危险7终端显示负责接收来自应用服务器的航班及配置数据，并转换成设备支持的显示格式过程：终端显示内容和服务器数据库内容对照暂未发现危险方法2：工作任务分析表（系统功能梳理法）结论：系统存在危险源。下面对以上危险源进行分析：序号危险源危险情景及后果诱发原因1地调接口中有BUG航显系统不能读取动态数据，影响整个系统的显示，造成航班延误程序设计容错性差：当某个航班的值机时间字段为空时程序不能识别。2广播和航显的兼容性差广播和航显的兼容性差当航班号中包含中文时广播系统不能判别。3监控模块中远程开机成功率低局部不能开机，旅客看不到信息UDP协议本身的缺陷：由于远程唤醒是使用的UDP协议，存在掉包现象，导致开机成功率不能达到100%。4配置管理中权限有冲突柜台的显示不准确，旅客误解程序设计不严谨：国际柜台不固定，东航和运输都有权限管理，当2台管理机同时对一个柜台的信息进行编辑时，引起冲突序号类别名称危险源观察危险源1设备服务器已经采用双机备份暂未发现危险2交换机已经采用双机备份暂未发现危险3管理机有备份机暂未发现危险4楼层交换机有备份机暂未发现危险5终端显卡能正常显示暂未发现危险6环境温度和湿度温度湿度在标准范围暂未发现危险7人员维修能力对维修人员进行口试、笔试及现场操作考核维修人员技术水平不达标方法3：现场观察法表结论：系统存在危险源。下面对以上危险源进行分析：序号危险源危险情景及后果诱发原因1维修人员技术水平不达标出现单点故障不能及时维修培训考核不严格；缺乏操作实战经验方法4：故障树分析法在系统使用中，查阅工作人员的故障维修记录发现终端显示设备有黑屏的现象，一个月内出现了12次，为此使用故障树分析法对此故障进行分析如下：结论：系统存在危险源。下面对以上危险源进行分析：序号危险源危险情景及后果诱发原因1工控机内存接触不良该工控机不能开机，航班不能显示厂家在安装过程中工艺不过关2显示屏锁定该区域航班不能显示，影响旅客登机值机厂家在程序中设定PC状态下，主机关闭15分钟后自锁。必须人工按键解锁序号危险源危险源描述（诱发原因）后果影响1地调接口中有BUG当某个航班的值机时间字段为空时程序不能识别。与地调系统的动态数据交互不能继续，所有主机不能显示正确的航班动态旅客看不到实时信息，影响旅客的判断，造成投诉和航班误点2广播和航显接口兼容性差数据库在转换时出错：当航班号中包含中文时广播系统不能判别。广播系统不能正常广播旅客听不到正常信息的广播，引起误机和投诉。3配置管理中权限有冲突国际值机柜台不固定，东航和运输都有权限管理，当2台管理机同时对一个柜台的信息进行编辑时，引起冲突。柜台信息显示不准确不准确的信息引起旅客误解4监控模块中远程开机成功率低由于远程唤醒是使用的UDP协议，存在掉包现象，导致开机成功率不能达到100%该区域不能正常开机旅客看不到信息，引起不便5LG显示器自锁厂家在程序中设定PC状态下，主机关闭15分钟后自锁。必须人工按键解锁。晚上关机后第二天不能打开LG显示屏，导致该区域不能正常显示。显示屏黑屏，旅客得不到及时的航班信息。6工控机在组装过程中内存接触不良厂家组装过程中工艺不过关该终端内存松动导致工控机不能正常开机该处的显示设备不能正常使用，旅客和工作人员看不到航班信息。7维修人员技术水平不达标维修人员在值班时技术不熟练出现单点故障不能及时维修影响该点航班显示4、危险源汇总表将以上四种方法得到的危险源进行汇总，得到以下危险源汇总表可能性（Likehood）现实的危险潜在的危险1极不可能近1年内航显系统未发生可预见，实际不会发生2不太可能近1年内航显系统发生1-2次可预见，很难发生3可能性很小航显系统每月发生1-2次可预见，会发生4相对可能航显系统每月发生3到12次可预见，容易发生5经常航显系统每月发生12次以上可预见，即将发生五、风险评估风险管理小组针对上述7个危险源，采取专业技术和操作员工相结合，定性分析和定量分析相结合的方式，广泛收集相关数据、信息，确定隐患来源和可能产生的情景，对情景结果的可能性、严重度进行评估，计算出相应的风险指数。1、风险指数分级可能性分级表严重度分级表严重度（Severity）：已经发生了一连串事件，其后果的严重程度1可容忍的人员：没有受伤设备：导致设备直接损失在1000元（含1000元）以内系统运行：单点设备故障，一天内可以解决。通过广播和工作人员及时通知旅客，不影响系统整体运行，不影响航班保障。公众信心：没有影响到公众信心2一般的人员：急救受伤，没有残疾，但造成工作延误设备：导致设备直接损失在1000元—10000元（含1万元）之间系统运行：局部设备故障，1天内解决。不影响系统整体运行，影响局部运行。比如由于楼层交换机故障影响国内进港显示，不影响航班整体保障。公众信心：可能会降低，但公众觉得情况可以接受3中等的人员：人员受伤，需要住院养护，造成直接损失，但没有人员残疾设备：导致设备直接损失在1万元—5万元（含5万元）之间系统运行：主要设备故障，一周内解决。影响系统整体运行，但是启用应急后不影响系统运行。公众信心：公众由于等待时间较长，导致信心显著降低。4重要的人员：造成人员残疾或严重受伤设备：导致设备直接损失在5万元—50万元（含50万元）之间系统运行：主要设备（服务器，主交换机）故障，应急无法启动。影响系统整体运行2小时以内。公众信心：公众对机场的服务质量造成怀疑，并表示不满。5灾难性的人员：死亡或旅客受伤，公众生命受威胁设备：接损失在50万元以上系统运行：主要设备故障，系统整体瘫痪，应急无法启动。影响旅客出行。公众信心：众表现出对机场的强烈抵制情绪。航班显示系统风险指数分级表风险指数（可能性×严重度=风险指数）风险指数措施1—4（低）最低风险，航班显示系统正常运行5—9（中）中等风险，但必须采取风险控制措施9（高）高风险，不可以接受。必须采取措施才能正常运行评估风险的标准---评估风险的结果用风险指数（RISK）表示：风险指数（Risk）=可能性（Likelihood）×严重度（Severity）。根据危险源的可能性和导致的严重性来确认风险存在的等级。2、航班显示系统风险评估及分级表序号危险源风险指数评估依据等级可能性严重性风险指数1工控机在组装过程中内存接触不良414根据故障次数统计，对照可能性表，可能性为“相对可能”；但是由于是单点设备故障，所以严重度为“1”。低2维修人员技术水平不达标313根据危险实际发生的次数，对照可能性表，可能性为3，但是由于是单点故障，严重度为1低3地调接口中有BUG248由于该故障只有在工作人员误操作的情形下发生，2011年发生1次，可能性为“2”，但影响整个系统运行，故严重度为“4”中4广播和航显接口兼容性差248由于该故障只有在工作人员误操作的情形下发生，2011年发生1次，可能性为“2”，但影响广播系统运行，故严重度为“4”中5配置管理中权限有冲突326根据该情形发生次数，可能性为“3”，由于影响单台运行，严重度为“2”中6监控模块中远程开机成功率低428根据该情形发生次数，可能性为“4”，由于影响单台运行，严重度为“2”中7LG显示器自锁428根据该情形发生次数，可能性为“4”，由于影响单台运行，严重度为“2”中六、风险控制措施1、在制定航班显示系统的风险控制措施时，主要考虑以下原则：（1）利用技术进步，实施控制措施。（2）对不符合规范的设备要进行更新换代。（3）对重大危险源要有应急预案