The Wstępny raport z poważnego incydentu w Nat potwierdziło, że pierwotną przyczyną błędu, który doprowadził do powstania dużej liczby plików, były podejrzane dane w planie lotu zakłócenia lotów w dniu 28 sierpnia. Błąd spowodował, że podsystem krajowych służb ruchu lotniczego (Nats), zautomatyzowany pakiet odbioru planu lotu (FPRSA-R), przełączył się w tryb odporny na awarie, co wymagało ręcznego przetwarzania danych planu lotu.
W ramach kontroli ruchu lotniczego linie lotnicze przesyłają swoje plany lotu do Eurocontrolu, który następnie przekazuje je regionalnym dostawcom usług żeglugi powietrznej (ANSP), takim jak Nats.
Plan lotu zawiera kluczowe informacje, takie jak typ statku powietrznego, prędkość, znak wywoławczy i planowana trasa, co umożliwia instytucjom zapewniającym służby żeglugi powietrznej planowanie statku powietrznego, bezpieczne sterowanie nim i komunikację ze statkiem powietrznym. W raporcie zauważono, że systemy kontroli ruchu lotniczego wymagają dokładnych danych o locie, aby zrozumieć zamierzoną trasę statku powietrznego, tak aby instytucje zapewniające służby żeglugi powietrznej mogły ocenić zapotrzebowanie na ruch lotniczy w ich przestrzeni powietrznej oraz zapewnić bezpieczną i wydajną obsługę wielu statków powietrznych w tej przestrzeni powietrznej.
The Podsystem FPRSA-R w Nats istnieje w celu konwersji danych otrzymanych od Eurocontrol (w formacie znanym jako prezentacja wymiany danych ATS, ADEXP) na format zgodny z krajowym systemem przestrzeni powietrznej Wielkiej Brytanii (NAS). Służy do jednoznacznej identyfikacji punktu orientacyjnego w danych planu lotu, aby pokazać, gdzie lot będzie opuszczał przestrzeń powietrzną Wielkiej Brytanii.
Autorzy raportu zauważają, że specyfikacja punktów nawigacyjnych oznacza, że nie ma wymogu unikania powielania, a jedynie to, że powielanie jest niedozwolone w przestrzeni powietrznej tego samego regionu.
Powiedzieli, że FPRSA-R pomyślnie zidentyfikował punkt wejścia do przestrzeni powietrznej Wielkiej Brytanii, a następnie przeszukał sekcję danych, aby znaleźć punkt wyjścia z przestrzeni powietrznej Wielkiej Brytanii. Nie pojawiło się to w tej części planu lotu, więc poszukiwania zakończyły się niepowodzeniem. Logika oprogramowania została zaprojektowana tak, aby poradzić sobie z tym scenariuszem i zamiast tego wykorzystuje punkty orientacyjne zgodnie z opisem w pliku ADEXP do wyszukiwania następnego najbliższego punktu za punktem wyjścia z Wielkiej Brytanii. Tego również nie było. Następnie oprogramowanie przeszło do następnego punktu orientacyjnego, który powiódł się jako zduplikowany identyfikator.
„Po znalezieniu punktu wejścia i wyjścia, przy czym ten ostatni jest zduplikowany, a zatem niepoprawny geograficznie, oprogramowanie nie mogło wyodrębnić ważnej brytyjskiej części planu lotu pomiędzy tymi dwoma punktami. To jest główna przyczyna zdarzenia” – czytamy w raporcie.
Następnie system główny FPRSA-R zgłosił błąd krytyczny i prawidłowo przeszedł w tryb konserwacji. W przypadku takiej awarii system tworzenia kopii zapasowych jest tak zaprojektowany, aby bezproblemowo przejąć przetwarzanie. Jednak w tym przypadku, jak stwierdzono w raporcie systemu kopii zapasowychktóry przejął przetwarzanie komunikatów dotyczących planu lotu, zastosował tę samą logikę do planu lotu z tym samym skutkiem, a następnie zgłosił własny krytyczny wyjątek, przechodząc w tryb konserwacji.
Wszystko to miało miejsce zaledwie 20 sekund po zidentyfikowaniu zduplikowanych danych punktów orientacyjnych. „Bez wątpienia lepszym sposobem poradzenia sobie z tym konkretnym błędem logicznym byłoby zidentyfikowanie i usunięcie komunikatu przez FPRSA-R oraz uniknięcie krytycznego wyjątku” – czytamy w raporcie.
Firma Nats opracowała nowe instrukcje operacyjne umożliwiające szybkie przywrócenie podsystemu FPRSA-R w przypadku powtórzenia się tych samych okoliczności. Producent oprogramowania wprowadził aktualizację, mającą na celu zapobieganie powtórzeniu się krytycznego wyjątku w przypadku dowolnego planu lotu, który powoduje wystąpienie warunków, które doprowadziły do incydentu. Ta zmiana zapobiegnie znajdowaniu przez oprogramowanie duplikatów punktów orientacyjnych, które mogłyby spowodować wypadek.
