每1小時的飛行時間中,航機的衝突次數須小於「5.0乘以10的負9次方」次,這表示設計航空交通系統時,必須將發生衝突的機率,控制在每飛行兩億小時只能一次以下。這是遵循國際民航組織規定所設定的國際基準,用以規範航機的容許衝突次數的數字。
如何建構出「安全的」飛航管制系統?可概分為兩類:
第一類,設計構想是嘗試減少系統本身產生的錯誤,例如提升軟硬體的可靠度,也可說是訓練機師和管制員不出錯。這類想法稱為「抗誤」(error-resistant)。
第二類,設計構想是企圖將系統設計成就算發生錯誤也不會馬上引發事故,稱為「容錯」(error-tolerant)。特別是重大事故多由稀少事件的連鎖效應所引發。
以2009年發生的兩起飛機事故為例,用容錯的概念分析:
「哈德遜奇蹟」聞名的全美航空(US Airways)1549號班機迫降事件,搭載150名乘客和5名機組員的空中巴士A320從紐約拉瓜地亞機場起飛後,隨即遭到加拿大黑雁群撞擊,鳥擊的破壞導致雙引擎熄火,在兩起稀少事件接連發生後,航機無法維持飛行高度。駕駛該班機的機長薩利非常資深,曾擔任美國空軍飛行員,在他巧妙的手動駕駛下,飛機成功迫降哈德遜河。有賴於機師的優異判斷與技巧,才倖免於稀少事件的連鎖效應,未導致飛機墜落在紐約市區的大慘事。延伸閱讀:《知識》從電影「薩利機長」學航空科學
另一件事故則是因稀少事件的連鎖效應,最終走向不幸。2009年5月31日,法航447號班機從里約熱內盧加利昂國際機場飛往巴黎戴高樂機場,這架搭載216名乘客和12名機組員的空中巴士A330當時正飛行在巴西大西洋海域上空。飛行在越洋管制區域範圍內的航機,原本應可藉由數據鏈路(data link)通訊,依規定的時間間隔向管制中心傳送飛行資訊,但當天因管制中心無法確認該班機的飛行計畫資訊,造成無法連接數據鏈路通訊,實際上是透過與管制員的聲音通訊來飛行。延伸閱讀:《知識》管制員-駕駛員資料鏈結通信(CPDLC)系統
後來,航機進入伴隨在赤道附近形成的低氣壓帶所產生的不穩定氣流區域,機長拉升了飛行高度以躲避亂流。將操作交接給兩名副機長後,機長輪替休息,離開駕駛艙。約十分鐘後,機體再度遭遇亂流,副機長操作躲避雲層區域後,空速表數值開始出現異常。飛機使用稱為皮托管(pitot)的裝置測量速度,皮托管一旦凍結就無法偵測飛行速度。結果,自動駕駛無法正常運作進而自行解除,雖然副機長手握操縱桿以手動駕駛,航機還是陷入失速狀態,終至墜落大西洋。
法航447號班機的事故報告書中指出,空中巴士A330的操作訓練並未預想到高空飛行時自動駕駛解除的狀況。空中巴士飛機是以自動化系統為本的概念設計,未預期讓機師補足自動化系統的缺點,再加上法航447號班機與地面管制中心間的數據鏈路通訊失敗,情況才一發不可收拾。
如果通訊暢通,管制員或許就能即時注意到飛行狀況異常,說不定能從地面協助副機長。案例告訴我們,在系統設計上必須能容錯,得以在亂流等環境因素、人為失誤、機械故障等稀少事件接連發生而導致事故之前,截斷這樣的連鎖效應。
資料來源:
