新空管航班數據處理器雙重故障陷緊急狀態 部分功能失效改人手操作

新空管系統航班數據處理器在8月13日出現故障,傳真社獲民航處確認,今次事故涉及主系統兩個航班數據處理器同時出現故障,先後進入「降級模式」及「緊急狀態」,須轉用備用系統。

政府

新空管系統航班數據處理器在8月13日出現故障,傳真社獲民航處確認,今次事故涉及主系統兩個航班數據處理器同時出現故障,先後進入「降級模式」及「緊急狀態」,須轉用備用系統。其間部分功能受到影響,空管人員須改用人手操作。另外,發生故障的主系統在重啟後,須進行數據同步約一小時,才能轉為備用系統。上述具體情況,民航處從未向外公佈。

民航處在15日發表新聞稿時,強調工程人員當日按程序轉用備用系統後,航班數據的處理和顯示回復正常運作,歷時六分鐘。其間有三班航班未能在雷達屏幕顯示全部資料,空管人員透過話音系統與所有航班保持聯絡及提供空管服務,及透過衞星導航監察技術(ADS-B)掌握全部航班所有資料。處方又指出現故障的系統在重啟後即時回復正常運作,按設計用作後備之用。

消息人士向傳真社解釋,新空管的主系統和備用系統,各自配備兩個航班數據處理器(Flight Data Processor,簡稱FDP),其中一個處於活動狀態時,另一個會作為備用;當運行中的FDP出現問題,系統會自動切換至備用FDP。消息人士透露,13日下午主系統運行中的FDP出現故障,切換至備用FDP後仍未能解決問題,屬數據器雙重故障(Dual FDP failure)。當時系統發出警報訊息,主系統進入了喪失大部分FDP功能的降級(degraded)模式及緊急狀態(E-Mode),因此須轉用備用系統。

民航處回覆傳真社查詢時,承認按內部安全設定,當日主系統在其中一個FDP出現故障時進入了「degraded」模式,當主系統兩個FDP均故障時,空管人員的雷達屏幕顯示了「emergency state」作為提示。

傳真社又進一步確認,當日系統有其他功能受到影響,包括透過FDP與鄰近飛行情報區交換航班資料的功能,空管人員須改以語音通話與鄰近情報區確保安全交接飛機。另外,讓空管人員透過特定收發器,向機師傳送離場路線和飛行高度等指示的飛前放行指示數據服務(Pre-departure clearance),也在轉換至備用系統時停止運作,空管人員須轉用效率較低的無線電語音通話與機師聯絡,消息指有關情況持續逾半小時。至於出現故障的主系統,在重啟後也需要進行約一小時的「數據同步」,才順利轉為備用系統。

引發今次事故的FDP,自新空管系統AT3於2016年11月中啟用以來,曾多次出現故障。在2016年11月29日及12月12日,工作人員在存取數據時,系統切換至備用數據器,但FDP的資訊未能與雷達資料配對,令航班部分資料消失達26秒和75秒,民航處因此成立專家小組就新空管系統磨合問題提交意見。到2017年4月8日,FDP又因用戶個人設定總數超出上限,令雷達屏幕未能顯示所有航班資料,新空管須首次轉用備用系統,導致本港離港航班停飛15分鐘,處方其後公佈雷神公司已於5月中安裝新軟件程式解決問題。

消息人士向傳真社表示,一套高性能的空管系統應該有完善的容錯功能及韌性,能夠自我修復人為或隨機問題。他批評FDP屢次出現雙重故障,說明系統無法將問題隔離在運行中的處理器上,令備用FDP不受影響。

本身是民航機師的公民黨立法會議員譚文豪質疑新空管系統的可靠性:「系統要磨合到甚麼時候?上次是用戶設定超出上限,今次又是甚麼原因?一套系統經常因不知明的原因而故障,是否仍然可靠?」他促請民航處公佈今次事故成因及考慮購買新空管系統。

民航處昨日回應傳真社查詢時,仍未有交代是甚麼原因導致今次故障,僅指「事發後即時責成承辦商徹底調查事件和盡快提交長遠的解決方案。」

傳真社去年起多次報道,美國雷神公司設計的AT3屢次出現系統「死機」、航機在顯示屏消失、雷達偵測到「鬼機」或「航機重疊」等事故。而系統工作席及子系統,也要透過定期重啟及人手檢查防止故障;系統啟用一年,2017年涉及飛行間距不足的安全事故創6年新高,較2016年急增七成;「輕微技術事故」也達12宗,是2016年3倍。

相關報道