Безопасность полетов воздушных судов гражданской авиации с учетом рисков возникновения негативных
событий
М. Ю. СМУРОВ, докт. техн. наук, профессор, ректор Санкт-Петербургского университета гражданской авиации (ГУГА), Е. А. КУКЛЕВ, докт. техн. наук, профессор, завкафедрой ГУГА, директор Центра экспертиз научных проектов (ЦЭНС),
В. Г. ЕВДОКИМОВ, канд. техн. наук, генеральный директор ОАО «Авиатехприемка», Г. Н. ГИПИЧ, докт. техн. наук, зам. генерального директора по научно-техническому развитию ОАО «Авиатехприемка»
В процессах эксплуатации транспортных систем возникла необходимость решения задач обеспечения безопасности с учетом характеристик внешней среды и других воздействий при условиях, что опасные события типа аварий, катастроф — события редкие, происходящие с вероятностью «почти ноль». Для прогнозирования возникновения таких событий разработан метод применения моделей рисков по ИКАО.
Редкость опасных событий (аварий, катастроф) обусловлена тем, что транспортные комплексы отличаются достаточной надежностью. При этом редкость не отменяет необходимости заниматься этими событиями, поскольку ущерб от них оказывается очень велик
Редкие события плохо поддаются анализу в рамках методов теории надежности (ТН) из-за неясностей во взаимосвязи положений теорий безопасности систем (БС-safety), теории системной безопасности (ТСБ) [2; 4] и ТН в форме ВАБ (вероятностный анализ безопасности) [6]. Новые подходы оценивания безопасности [1; 3] базируются на применении методологии исчисления рисков возникновения негативных последствий в транспортных системах, обусловленных:
• условиями эксплуатации (ошибки управления, проявление человеческого фактора и пр.);
• скрытыми угрозами в зависимости от остаточного риска, заложенного в системы на стадиях разработки и производства транспортной техники, и авиационной техники (самолетов, вертолетов) в частности.
Одна из научно-методических проблем нового подхода состоит в разработ-
ке инструментов оценивания рисков, начиная с определений и физического смысла введенной новой категории математических трактовок показателей безопасности (не надежности, а именно безопасности) и их численных оценок по результатам измерений параметров наблюдаемых или ожидаемых результатов испытаний процессов [4].
В гражданской авиации (ГА) разрабатывается стандарт на системы обеспечения безопасности полетов в виде специального приложения к Конвенции ИКАО типа ANNEX-19, в котором используются принципы управления рисками по факторам опасных воздействий на системы [4]. Рекомендовано применение матриц оценивания значимости рисков без использования вероятностных показателей случайности рисковых событий, поскольку такие события крайне редки. Это определяет сущность ТБС в ГА. Главным при этом является изучение опасных (катастрофических) цепей событий. Но в транспортных системах других отраслей — на железнодорожном, водном транспорте — ориентация сделана на применение ВАБ, что затрудняет проведение сравнительного анализа безопасности разнородных транспортных систем. В связи с этим в данной работе предс-
тавлены некоторые рекомендации ANNEX-19 и на этой основе намечены пути для создания единого подхода к оценке безопасности сложных транспортных систем. Кроме того, предлагается терминология и единый аппарат для оценивания рисков возникновения в системах негативных последствий. Оценивание осуществляется на основе прогнозирования опасных сценариев развития событий до того, как появится необходимая статистика с оценкой возможных ущербов, в чем и состоит практический смысл методов оценивания и обеспечения безопасности полетов воздушных судов (ВС) на основе рекомендаций приложения ANNEX-19.
На практике в ГА, как, впрочем, и на железнодорожном транспорте, используются нормированные частоты, условные показатели и т. п., не имеющие никакого отношения к чисто математическим неслучайным величинам типа вероятности случайного события.
На рис. 1 представлен результат аварийной ситуации с ВС АН-12 (с достаточным ресурсом), произошедшей вследствие проявления одного из множества возможных различных факторов (что становится причиной точно таких же ситуаций, но в других регионах мира). Функциональная система данного ВС отличается высокой надежностью, но, несмотря на вероятность события «почти ноль», авария произошла. Главное здесь состоит в том, что по выделенному фактору можно было бы просчитать ущерб и предпринять меры по предотвращению аварии (или катастрофы). Это не было сделано на основании действующего свидетельства о летной годности ВС, присвоенного данному ВС согласно положениям классической ТН.
Рис. 1. Авария с воздушным судном АН-12. Рисовое поле, Камбоджа, 2006 г. Фото из архива Г. Н. Гипича — участника расследования аварии
На рис. 1 видно, что произошедшее с этим ВС очень похоже на катастрофу парома «Коста Конкордиа», оказавшегося на рифах вблизи морского побережья: сходство состоит в том, что совершенно надежный и исправный теплоход вследствие очень редкого стечения обстоятельств (с вероятностью «почти ноль») по опасному сценарию (в виде цепи событий) попал в опасную береговую зону, что и привело к возникновению серьезного неприемлемого ущерба (с человеческими жертвами).
Оба примера аварийных происшествий показывают, что в классической ТН невозможно назначить такой нормативный по вероятности показатель надежности, при котором уровень безопасности может считаться приемлемым. Вероятность функционального отказа системы (иногда очень опасного) никогда не свести к нулю. Поэтому можно утверждать, что ТН и ТБС не имеют ничего общего, так как оценивание безопасности начинается с выявления опасности (критичности) последствий от возможных отказов в спроектированной системе с заданными показателями качества при условии внешних воздействий и прочих факторов (включая внутренние факторы —
например, действия экипажей или операторов). Таким образом, к определению уровней безопасности систем требуется особый подход — на основе соответствующих концепций и инструментов оценивания рисков возникновения негативных последствий — например, по методам, изложенным в [4].
По проблематике оценивания транспортной безопасности опубликовано достаточно много работ, см., например, [7; 8]. Однако гармоничных определений, касающихся, например, физиче-
ского смысла понятий «риск» или «безопасность», до сих пор не сформулировано. В [7] представлен очень обширный, детальный и интересный материал по оценке рисков и аварийности морского транспорта с применением матриц оценки рисков (рис. 2).
При этом некоторые из принятых автором позиций [7] не совпадают с рекомендациями ИКАО [4], действующими в ГА РФ. В частности, некорректно вводить термин «математическое ожидание вероятности», поскольку вероят-
ПОСЛЕДСТВИЯ АВАРИЙ ВЕРОЯТНОСТЬ АВАРИЙ
1 2 3 4 5
Крайне маловероятные Маловероятные Возможные Вероятные Частые
1 Пренебрежимо малые 1 1,4,5 2 6,8 3 4 5
2 Малые 2 3,4,5 4 8,9 6 8 10
3 Значительные 3 2,3,5 6 7,8 9 12 15
4 Крупные 4 5,8 8 12 16 20
5 Катастрофические 5 5 10 15 20 25
Примечание: цифры в центре каждой клетки обозначают уровень риска, а цифры в нижнем правом углу клетки — номер сценария, имеющего данный уровень риска
Рис. 2. Матрица уровней риска. Ист.: статья Н. А. Вальдмана «О применении экспе-ртно-статистического метода при оценке риска морских работ» [7]
ность есть строго неслучайное число и уже математическое ожидание некоторого множества случайных чисел типа индикаторов событий. Все остальное классифицируется как оценки с доверительными интервалами и критериями адекватности.
Понятие средней вероятности аварии одного танкера из множества в зоне разлива нефти нуждается в более строгом описании пространства исходов, генеральной совокупности событий и прочих условий задач. Ввиду определенных технических сложностей оперирования с объектами из области теории вероятностей, особенно в задачах, когда события имеют вероятность «почти ноль», в ГА (в ИКАО) пришлось в основном отказаться от методов теории вероятностей и переходить в область нечетких подмножеств, чтобы применять методы функций принадлежности.
Поскольку было бы целесообразно выявить определенные принципы возможного единого подхода к оценке транспортной безопасности, ниже в достаточно систематизированном виде излагаются некоторые положения аксиоматики рисков, базирующиеся в основном на здравом смысле и на некоторой логичности взаимосвязанных определений по [1-4].
Анализ безопасности систем и риска возникновения неблагоприятных происшествий
Анализ осуществлен на основе аксиоматики моделей рисков возникновения катастроф управления безопасностью полетов в ГА.
Принципиальное различие положений ТН и ТБС в сформулированной проблеме состоит в следующем:
• безопасность в ТН — это свойство (так принято в известных публикациях [2; 6], но не согласуется с [1; 4; 5]);
• безопасность в ТБС [1; 3; 4], согласно международному стандарту ¡ЭО-8402 [9], — это состояние, в котором учтены характеристики источников угроз, «вызовов», поражающих воздействий и т. п.
В положении ТН [6] неявно подразумевается, что если система надежная (в известном смысле), то система — безопасная [4]: формулировка «если надежно, то безопасно» строится на основе понятия функциональной надежности систем (или летной годности в гражданской авиации). Например, применительно к атомным энергетическим станциям (АЭС), согласно МАГАТЭ,
используются следующие определения: «безопасность АЭС — это свойство не допускать вреда населению от радиационных последствий за пределы нормы»; или: «атомная станция (АС) считается безопасной, если население не подвергается чрезмерному риску» [6]; а также: «АС считается безопасной, если она удовлетворяет действующим правилам и нормам» [6]. Последнее уже совершенно неясно, так как никаких стандартов на нормы не представлено, кроме указаний на позиции классической ТН.
Из анализа сформулированной позиции следует, что в ТН не удается корректно оценить БС в особых аварийных случаях функционирования, поскольку за счет повышения надежности как свойства дается всего лишь рекомендация на «сдвиг в бесконечность» момента времени наступления катастрофы. Но, например, по ТСБ [4; 9] производится анализ безопасности систем как состояния (в дискретном пространстве состояний) путем сравнения потенциальных (расчетных) рисков с приемлемым риском возникновения катастрофы с вероятностью «почти ноль». Таким образом, никаких экспертных прогнозов величины вероятности не требуется, поскольку, с одной стороны, вероятность не удается найти из-за отсутствия априорных данных (вероятность — «почти ноль»), и, с другой стороны, по ВАБ, аналитические функции распределения плотности вероятностей столь размыты, что вероятностные расчеты теряют всякий практический смысл. Но при этом особое значение приобретают методы экспертного анализа рисков возникновения негативных сценариев событий с применением матриц анализа рисков и в ГА, и на других видах транспорта.
Однако категория «риск» должна быть строго и непротиворечиво определена. Между тем это не доведено до логического конца даже в [4], и только в ANNEX-19 уже закреплено в качестве некоторой математической нормы.
Концепция безопасности на основе аксиоматикии
моделей рисков возникновения катастроф
Концепция обеспечения безопасности техногенных комплексов базируется на ряде положений и принципов, вытекающих из сказанного выше.
Положение 1: функционирование систем обеспечения безопасности (safety) обеспечивают две подсистемы,
основанные на двух независимых принципах, определенных ISO [9]:
• принцип мониторинга и управления рисками;
• принцип управления надежностью систем [1; 5; 7] как качеством.
Положение 2: обоснование выбора возможных уровней безопасного и устойчивого функционирования техногенного комплекса производится на основе прогнозирования уровней возможных последствий, вреда и ущерба с использованием прогнозных сценариев попадания систем в критические состояния [8], т. е. проактивно по [9].
Основные принципы единого подхода следующие:
• безопасность (по ISO-8402) определена как состояние системы (не свойство), уровень безопасности или опасности измеряется через риск [3] в сравнении с приемлемым риском [4; 10];
• надежность — основа безопасности, но с помощью положений только надежности безопасность оценить не удается (например, можно утверждать, что назначение вероятности аварии 10-5 в год на реактор [6] недостаточно для обеспечения безопасности;
• в системе может быть заложена катастрофа (или системная ошибка), которая должна быть найдена путем прогнозирования критических состояний [1-4] (по риску — потенциальному, приемлемому с учетом структуры системы и характеристик внешней среды);
• методологию управления безопасностью и рисками аварий составляет комбинаторика дискретных событий и прогнозирование катастроф, аварий, нежелательных последствий на множестве факторов риска (независимых поражающих, управляемых и управляющих) с целью снижения уровня рисков;
• при конструировании сложных технических систем необходимо учитывать требования к обеспечению и надежности, и безопасности (ввиду возможности возникновения катастроф с вероятностью «почти ноль») на основе аксиоматики моделей рисков возникновения катастроф и различать понятия «конструкционная (пассивная [8]) безопасность» и «эксплуатационная безопасность» [8].
Методология теории системной безопасности
В первом приближении можно ограничиться изучением риска возникновения катастрофических явлений, таких как аварии или серьезные инциденты и происшествия, связанных с разрушением транспортных средств
Серьезность риска
Частота/ возможность (likelihood) Катастрофическая А Опасная В Значительная С Незначительная D Ничтожная Е
Часто 5 5А 5В 5С 5D 5Е
Иногда 4 4А 4В 4С 4D 4Е
Весьма редко 3 ЗА зв ЗС 3D ЗЕ
Очень редко 2 2А 2B 2С 2D 2Е
Крайне редко 1 1А 1В 1С 1D 1Е
Рис. 3. Матрица анализа рисков
(ТС), путей, причалов, аэропортов и т. п., с нанесением вреда или ущерба людям (пассажирам, операторам ТС, обслуживающему персоналу или случайным лицам).
На этом основании понятие «риск» можно трактовать как некоторую интегральную характеристику или меру опасности, и при этом с помощью величины (уровня, цены) риска измерять необходимые показатели безопасности или опасности через некоторые другие показатели более низкого системного уровня. Таким образом, необходимо найти способы измерения риска.
В этом заключается сущность и универсальность единого подхода к оценке безопасности через риски — в ГА по [8] на основе индикаторов без вероятностных показателей с помощью, например, матриц анализа рисков в виде той, что представлена на рис. 3 (она аналогична изображенной на рис. 2, но более корректна и взята из [4]; коррекция произведена по ANNEX-19).
Формула и определение значимости риска
Общепринятые определения видов рисков, таких как индивидуальные, социальные, политические, финансовые, экологические, техногенные, конструкционные, при использовании единого подхода обозначают всего лишь признаки области применения концепции риска при оценке возможностей проявления опасности в системах.
Принимается, что рисковое событие Я как математическая категория — это дискретное событие с двойственными свойствами 3 . Оценка риска как количества опасности в системе с прогнозируемым рисковым событием Я первоначально всегда задается в двухмерном (или трехмерном) множестве показателей и в интегральном виде, например в баллах или в индикаторах по класси-
фикации РАН [10], или с помощью матриц анализа рисков [3; 4] (рис. 3).
Степень случайности, или неопределенности, рискового события — это степень риска, которую можно измерить экспертно без вероятностной категории, в отличие от [7], что более корректно.
Качественное (физическое) определение, отражающее физическую сущность риска, следующее: риск — это опасность с нечеткой мерой степени или количества опасности (степени риска) и с определенным ущербом. Более строгая формулировка выглядит так: риск — мера количества опасности с нечеткой мерой. При возникновении ущерба с нечеткой или случайной мерой оценивается интегральный ущерб, не совпадающий с простейшим понятием среднего риска — например, в [6], что доступно только в методе ВАБ для АЭС.
Подобное определение необходимо при нечетких описаниях опасных физических явлений (например, «финансовые риски проектов растут...»).
Следствие 1. Величина риска как физической категории или его оценка Я, которая должна оцениваться через двухмерное или трехмерное множество показателей, может быть записана в виде:
(1)
или Л = {ц, д Н„ | 2,} , (2)
где ц1 — мера риска 1-го рода (неопределенность появления негативного результата — степень риска);
НЯ — мера последствий или ущерба (цена или величина риска);
/12 — мера риска 2-го рода в системе за счет системных ошибок;
— условия опыта или ситуация при эксплуатации системы (класс опасности или модель системы) сценарий развития событий при аварии или при катастрофе.
Введенное трехэлементное множество (1), а также (2), не является вектором и не может быть сведено к скалярной свертке для случая катастрофических событий приц = 0 [10], однако его можно выразить в нечетких терминах [10].
Неопределенность возникновения рисковых результатов зависит от способов определения системы S, состояния внешней среды и условий опытов на момент начала развертывания соответствующих цепочек событий Lк в момент времени t = t0 из начального состояния q0 системы в группе рисковых ситуаций g(a, в) и задается в виде:
Zo={ek\q0, t0, S, Г, g(a,p)}, (3)
где ек = ек (у), k = 1, 2, ... — характеристики изучаемой структурно-сложной системы S, такие как признак способа испытания системы nS, ее элементов, способ соединения элементов между собой в схеме, состояние среды и наличие той или иной угрозы [6], признаки критических дискретных состояний [3; 4] в системе и пр.
Мера неопределенности ц1 — это практически экспертный показатель степени риска (больше, меньше или однозначное число — типа частоты из статистики событий или из матриц риска), а также при априорных оценках в исключительных случаях в виде вероятности события). Допустимо теперь рассматривать в исключительных случаях и вероятности событий, если это будет достоверно. Поэтому в матрице для оценки рисков из [7] (рис. 2) будет более точным заменить слово «вероятность» фразой «мера случайности появления рискового события».
Впрочем, это всего лишь предложение или пожелание, которое вытекает из рекомендаций ИКАО для ГА РФ, но совсем, например, не подходит для морского и железнодорожного транспорта.
Постоянная величина ущерба HR=HR= = const, принимаемая в (1) или в (2) при
изучении катастрофических рисков с оценками Я*, обозначает возможность гибели системы одного и того же заданного типа при разных причинных факторах и при разных сценариях развития событий, приводящих к катастрофе.
Следствие 2. В опасных ситуациях с вероятностью результатов «почти ноль» допустимо оценивать риск по относительным и условным показателям и, в пределе, только по величине возможного ущерба. Такова практика оценивания рисков по величине убытков, ущербов или потерь, например, в гражданской авиации по ИКАО, при страховании или при оценке последствий от землетрясений.
Схема оценки значимости рисков в пространстве исходов
Согласно международным стандартам [3; 9], безопасность системы при наличии угрозы определяется через риск, как состояние системы с приемлемым (допустимым) значением оценки риска Я* при рисковом событии Я, т. е. с условием Я<Я* по (2), (3) или в виде некоторого интегрального (обобщенного) показателя Я с критическим значением Я*, находимого также на основе (1), (2) в форме
R. = fR(ÎL \I0) = ft(n,.,n2„H.%),
(4)
где — функционал от множества элементов (2) — например в баллах или в индикаторах, как и в [7];
(*) — обозначение критичности значений показателей соответственно, Я^Я*, Я*^Я**, по сравнению со значениями Я«~Я** допустимого критического риска с индексом (••), так что должно быть
Л Л ,— ___.
Я. < я.., Я. < Я.., причем Я* = Я. (Я.), Я.. =Я.. (Я..).
Интегральное значение Я (уровень) оценки риска в (5) может быть также найдено с помощью операций назначения предпочтений тем или иным сочетаниям элементов в множествах Я^Я (Я) по (1), (2).
В частности, можно допустить существование операции скалярной свертки множества элементов из Я в (1) или (2) для усредненного по ц1 значения оценки ущерба Н = Н (ш)~Н(А(ш,)) как среднего ущерба НЯ*=Я• по всем из соответствующего распределения в вероятностном пространстве, если оно задано в (1), что в подобных задачах практически невозможно.
Логическая формула физического события типа катастрофы
Описание сложного события типа аварии [5; 7] можно дать в логической форме на основе анализа дизъюнкции конъюнкций условий возникновения неблагоприятных факторов {<рг} из 20 — например, в виде отказов элементов типа {х,-}* с X, х/ ^ с 2 воздействующих на систему [2; 3; 10].
Из этого следует, что функциональный отказ (катастрофа) есть критическая дизъюнкция конъюнкций логических признаков только критических отказов (факторов и реакций), которые в совокупности привели систему к возникновению события — попадания в критическое состояние Ф* [2].
Классификатор рисковых ситуаций по ИПУ РАН
Классификатор РАН [10] дается с использованием нечеткой меры интегральной значимости риска (опасности) с признаками классификации для трех ситуаций на основе двухмерного показателя риска [3] из (1): ситуация 1 — «Риск велик» («Ущерб большой и вероятность события достаточно велика»); ситуация 2 — «риск невелик» («ущерб мал, вероятность события велика»); ситуация 3 — «риск нулевой» («ущерб велик, но вероятность события нулевая — событие невозможно»). Для полноты классификатора вводится [10] дополнительная ситуация, пограничная по отношению к ситуациям 1, 2, 3, в следующем виде: ситуация 4 — «Катастрофическая» («Катастрофический риск велик» — «Ущерб очень большой, вероятность катастрофы — «почти ноль»»). При этом удается изучать такие свойства технических систем, как функциональная надежность, летная годность воздушных судов с учетом показателей безопасности типа цены рисков.
Событие Я — катастрофа имеет свойства: 51~{7,га} — случайность, 52~НЯ — ущерб). Оценка риска Я = (~1, НЯ120, 5) дается через интегральную значимость по (4). В данной постановке удается найти Я^Я — интегральный (нечеткий) показатель по классификатору ИПУ РАН — по Г. Г. Малинецкому [10], по МЧС и даже скаляр типа НЯ (средний риск или мини-макс).
В данной схеме обеспечивается возможность управления безопасностью полетов путем факторного управления рисками и состоянием системы, а именно:
• управление риском Я^Я (событиями или состоянием системы) и его оценками Я~ ;
• управление рисковыми цепями событий в структуре системы;
• целевое резервирование элементов надежности системы на основе программ (MEL) по критерию обеспечения БП и снижения рисков — по образцу ВС АН-148 или «Боинг» и «Аэр-бас» [5].
• применение других способов типа принятия риска или снижения последствий от проявления опасных факторов.
Выводы
В общем случае положения надежности не позволяют непосредственно оценивать уровни системной безопасности, поскольку в теории надежности главным является принцип отодвигания по времени момента наступления катастрофы. Основная задача ТСБ состоит в прогнозировании катастроф, возникающих в структурно-сложных системах с вероятностью «почти ноль».
Отождествление понятия риска с определением вероятности некоторого события, особенно в случаях изучения управляемых рисков и маловероятных редких событий, неконструктивно.
Литература
1. Вопросы теории безопасности и устойчивости систем. Вып. 7 / под ред. Н. А. Северце-ва. — М.: ВЦ им. А. А. Дородницына РАН, 2005.
2. Хэнли Э. Дж., Кумамото Х. Надежность технических систем и оценка риска. — М.: Машиностроение, 1984.
3. Куклев Е. А. Оценивание безопасности сложных систем на основе моделей рисков. Труды XV Межд. конф. Ч. 1. Проблемы управления безопасностью сложных систем.— М.: ИПУ РАН, МЧС, 2007. — С. 93-97.
4. Руководство по обеспечению безопасности полетов (РУБП). Doc. 9859, AN/460. ИКАО (Монреаль). — М.: Минтранс РФ, 2009.
5. Boeing-CD-Guide (516-BASP Safety Impl.ppt). — М.: МАК, 2003.
6. Ковалевич О. М. Основы безопасности атомных станций. — М.: МЭИ, 1999 (переиздание — 2007 г.).
7. Вальдман Н. А. О применении экспертно-статистического метода при оценке риска морских работ. — Транспорт Российской Федерации. — 2011. — № 2 (33). — С. 40-42.
8. Асаул Н. А. Участие России в программе ООН по повышению безопасности дорожного движения. — Транспорт Российской Федерации. — 2011. — № 2 (33). — С. 37-39.
9. British Standart. Quality management and quality-assurance. Vocabulary. ВСEN IS0-8402: 1992.
10. Малинецкий Г. Г., Фалеев С. А. Стратегические риски России. — МЧС — 2003. — № 12.