Индикаторная оценка безопасности полетов воздушных судов в ситуациях с редкими событиями Текст научной статьи по специальности «Экономика и бизнес»

Индикаторная оценка безопасности полетов воздушных судов в ситуациях с редкими событиями

Д. З. Тогрул,

канд. техн. наук, старший инструктор по наземной

и тренажерной подготовке воздушных судов Airbus 320 и Boeing 757/767 кафедры летной эксплуатации воздушных судов Национальной академии авиации (г. Баку, Республика Азербайджан)

Рассматриваются вопросы управления безопасностью полетов воздушных судов с позиций теории высоконадежных технических систем с дискретными состояниями, определенными в нечетких подмножествах исходного универсального множества элементов. Предложено оценивать риски возникновения критичных условий, при которых возможно попадание воздушных судов в катастрофические сценарии в зависимости от комбинации опасных факторов.

Актуальность темы обусловлена необходимостью оценивать возможность прогнозирования поведения сложных систем с учетом неопределенности внешних воздействий. Научно-технические задачи такого рода решаются с применением различных инструментов не только в гражданской авиации [1], но и в других транспортных отраслях. Например, в отрасли железнодорожного транспорта в основном применяется метод вероятностного анализа безопасности (ВАБ) [2]. Он основан на трактовке риска как вероятности опасных событий и сравнении величины риска с приемлемым

риском при определении уровня безопасности исследуемых систем. Приемлемый риск находится по нормативным показателям через некоторую допустимую величину ущерба, неизбежно возникающего при эксплуатации транспортных систем или при оказании некоторых транспортных услуг.

Использование такого подхода, по-видимому, наиболее обосновано в настоящее время, хотя он давно известен [1]. В представленной публикации указано, что одним из авторов подхода является М. Кумамото. Однако для гражданской авиации (ГА) подобное определение трудно приспособить к индикаторным методам оценки безопасности полетов, рекомендованным ИКАО и в корпорации «Боинг» [1, 3]. Уровень риска, принятый в [2], трудно проверить экспериментально на примерах эксплуатации технических систем из-за объективного существования редких событий и недостаточной статистики о серьезных авиапроисшествиях.

Перспективным представляется построение фрактальных моделей [4] по схеме [5] для выявления опасных сценариев полетов воздушных судов (ВС), вытекающих из идеи синергетики сложных технических комплексов. Однако при многообразии опасных факторов трудно вывести уравнения для ствола фрактального дерева событий (типа сценариев) и построить соответствующую методологию в рамках традиционного риск-ориентированного подхода к решению вопросов обеспечения безопасности полетов.

В [2, 6] внимание акцентируется на синтезе возможных опасных сценариев развития событий в виде цепей, ведущих к катастрофе, поэтому целесообразно принять в качестве первого приближения компромиссную схему [1] определения индикаторных показателей безопасности из [3, 4] с учетом свойств нечетких подмножеств элементов из четкого универсального множества дискретных элементов системы, упомянутой выше: ВС - ЛЭ - среда [7]. Необходимые катастрофические сценарии событий могут быть сконструированы с помощью стандартных алгоритмов из FMEA [6] и других, указанных и в [2]. Разработки в данном направлении ведутся совместно в Петербургском университете ГА (Россия) и в Национальном университете авиации г. Баку (Азербайджан) с перспективой внедрения в летно-тренажерных центрах, где при обучении пилотов на новой технике используются тренажеры А-320, В-737 и др.

Проблема оценки и прогноза свойств редких событий заключается в разработке принципов определения условий аварий и катастроф в гражданской авиации, возникающих с вероятностью «почти ноль» [1]. При определенном редком стечении обстоятельств в поведении системы оператор (летчик, автомат) -ЛА - эксплуатационная среда может образоваться цепь критических причинно-следственных связей, необратимо ведущих к летному происшествию (ЛП). Возникновение опасных событий и процессов в ГА, как и в других транспортных отраслях [2], обусловлено перекрестным влиянием нескольких разнородных эксплуатационных факторов (ЭФ), несогласованностью действий летчика и автоматики, влиянием внешней среды и т. п.

Почти в каждом ЛП можно обнаружить точку невозврата - последний момент, когда еще возможно восстановить безопасный режим и уйти от катастрофических последствий. Важно заранее определить подобные точки, чтобы на занятиях пилотов в тренажерных центрах обучить их необходимым навыкам и умениям.

Постановка задачи по определению угроз безопасности полетов и возникновения аварий и катастроф

Безопасность полетов ВС трактуется по ИКАО как состояние систем, в которых риск ЛП невелик. К ЛП относятся

особые ситуации (ОС) с разным уровнем последствий при определенных угрозах.

Нормы летной годности регламентируют отказы, отказные состояния, ОС, внешние воздействия по частоте их возникновения как «повторяющиеся, умеренно вероятные, маловероятные, крайне маловероятные и практически невероятные» [3, 7]. При традиционном подходе [2] значения вероятностей ОС в ГА, отнесенных либо к одному часу полета, либо к одному полету, следующие [4]: повторяющиеся - более 10-3; умеренно-вероятные - 10-3-10-5; маловероятные - 10-5-10-7; крайне маловероятные - 10-7-10-9 и практически невероятные - менее 10-9.

Причины катастроф - сложность и неоднозначность изменения состояний системы в многофакторном ситуационном пространстве полета, дефицит априорной информации о динамике и логике развития таких ситуаций. Пробелами знаний о возможных нестандартных вариантах поведения системы и ошибками специалиста (конструктора, испытателя, инструктора, летчика) обусловлен «остаточный риск» возникновения катастроф. (Риск там, где человек.)

Возникновение «остаточного риска» в указанных ЛП объясняется тем, что конструктивные факторы опасности в системах проявляются в виде не устраненного в полете несоответствия между ранее неизвестным нестандартным (опасным) и предписанным (безопасным) сценарием. При изучении сложных (многофакторных) ЛС необходимо учитывать нелинейность, многомерность, комбинаторный характер поведения реальной системы, что вызывает нарушение функционирования систем и, главное, серьезность последствий при редких событиях типа катастроф в высоконадежных системах.

«Редкие» события встречаются реже, чем одно событие на 10 млн полетов. Поэтому при риск-ориентированном подходе к проблемам безопасности полетов (БП) именно отношение событие/ полет (подчеркнем: не отношение событие/час) дает возможность создать методику индикаторной оценки уровня БП в авиакомпаниях и в тренажерных центрах.

Согласно «Руководству по летной эксплуатации ВС» (РЛЭ), экипаж ВС обязан выполнять полеты только

в ожидаемых условиях эксплуатации, включающих в себя расчетные условия и эксплуатационные ограничения, а также рекомендуемые режимы полета, установленные для данного типа ВС при его сертификации. В практике летной эксплуатации, однако, известно немало случаев, когда экипаж попадает в неожиданные условия эксплуатации системы экипаж - ВС- среда [7].

Отметим, что некоторые условия эксплуатации не относятся к ожидаемым, но реально имеют место и классифицируются по документам (Приложение 8 к Чикагской конвенции) как нерасчетные или экстремальные. При этом экстремальные условия, которые можно эффективно предотвратить введением правил эксплуатации, встречаются настолько редко, что для их компенсации требуются такие высокие уровни летной годности, при которых эксплуатация ВС становится практически невозможной. В этом и заключается суть проблемы, решаемой в настоящей статье.

Возможные способы построения моделей опасностей, возникающих при полетах

Модели опасностей в полетных ситуациях описывают взаимосвязь групп событий, характеризующих смену состояний авиационной системы под воздействием возмущающих факторов. Наиболее полно это представлено в работах [1, 2], что можно принять за отправную точку выполненных исследований.

Первичная тройка некоторых элементов в виде начальное событие -процесс - конечное событие (Е0, П, Е*) - есть элементарная ситуация «кубик» [4]. Из таких элементов можно собрать модель ЛС практически любого типа: катастрофический вариант, испытательный полет, учебный полет и др. Эксплуатационные факторы полета задают вариации параметров системы с заданной структурой. В результате могут быть созданы унифицированные компьютерные модели сценариев ситуаций для основных этапов, режимов и условий полета [4].

Однако примерно 20 % ОС имеют место в экстремальных условиях, не предусмотренных нормами летной годности, и в РЛЭ не представлены. В статье в качестве исходных условий использованы постулаты безопасности, указанные в [4] и записанные в качестве рекомендаций для членов экипажей магистральных ВС: катастрофы

никогда не бывают следствием какой-нибудь отдельной причины и происходят в результате взаимосвязи нескольких разных причин. В связи с этим, по [1, 5], предотвращение катастроф состоит в проактивном (предупредительном) выявлении и устранении таких причин до того, как они могут возникнуть в реальном полете. Это достигается за счет процедур управления безопасностью на основе априорно созданной базы опасных факторов и оценки критичности прогнозируемых сценариев. Здесь предлагается оценивать риски возникновения последствий с помощью понятия риска как меры опасности (подчеркнем, не вероятности) событий. В ГА как один из важных выделяют человеческий фактор (ЧФ). Перспективная модель ЧФ - фрактал [5].

Оценка значимости человеческого фактора в форме модели фрактала для обеспечения безопасности полетов

Фрактал - это множество особых элементов в виде специального геометрического образа (например, острова Коха, дерева ветвлений), удобного для отображения некоторых ветвящихся процессов в различных системах [5]. В работах РАН [5] и в публикации [4] изучаются множества возможных сценариев развития событий при эксплуатации ВС в зависимости от полноты базы данных о катастрофических ситуациях по схеме. Подход считается перспективным для построения моделей влияния ЧФ на цепочку событий с учетом таких параметров, как профессиональный уровень членов экипажей и уровень угрозы от воздействий внешней среды.

На рисунке показаны шаги к роста фрактала, имеющего генотип «дерево». Видно, что число и толщина ветвей-связей увеличиваются пропорционально налетным часам летчика (к) и ко-

личеству освоенных им типов сложных ситуаций. Эти характеристики, в частности, определяют специализацию и компетентность оператора (пилота).

Фрактальная аналогия позволяет выявить корни неадекватных или ошибочных решений летчика, принимаемых в нестандартных условиях эксплуатации. Подобные разрывы в системе ситуационно-тактических знаний отражают логические дефекты опыта летчика в форме неплотности кроны ситуационного дерева полета вблизи ограничений на изменение функциональных характеристик полета ВС.

В развитии особой ситуации составляющие ЧФ проявляются по-разному с учетом состояния отдельных ветвей в кроне дерева (фрактала). В частности, на рисунке отражены дефекты дерева фрактала вследствие недостатка знаний и опыта летчика, необходимых для преодоления особых ситуаций.

Фрактальная модель полетной ситуации удобна для анализа (геометрического) формирования у летчика адекватной внутренней модели полета в многофакторных условиях. Об этом свидетельствуют следующие оценки летчиками-испытателями серьезности ситуаций: «сочетание обстоятельств полета», «аналитическое описание особенностей поведения самолета на разных режимах полета», «четкое понимание предела», «многообразие факторов», «неблагоприятное сочетание обстоятельств», «множество возможных решений», «одновременный параллельный анализ <...> разных, почти невозможных пересекающихся вариантов решения» [4]. Приведенные понятия основаны на известных нечетких лингвистических переменных Л. А. Заде [1]. Нечеткое ограничение описывает переход от неприемлемых (опасных) значений избранной переменной к приемлемым (безопасным

Рост дерева-фрактала как модель идеального процесса формирования ситуационно-тактического опыта летчика в долговременной памяти (цит. по [3]: к = 1 - опыт курсанта, к = 10 - опыт эксперта)

по уровню интегрального риска) величинам. Особенности представленной модели выявления множества комбинаций опасных факторов (на фрактале) служат основой для поиска индикаторов безопасности полетов. Это позволяет полностью отказаться от вероятностных показателей, принятых, например, в [2], которые вычислить (и предугадать в ситуациях для ГА) невозможно.

Фрактальная геометрия в теории обеспечения безопасности полетов крайне интересна и полезна для создания «виртуальных» аналогий полетных ситуаций. Но этот подход пока практически бесполезен, так как уравнения «корня и ствола» дерева не удается описать аналитически вследствие сложности реальных полетных ситуаций. Значимые успехи были достигнуты в [4] за счет создания стохастических имитационных комбинаторных компьютерных моделей. Однако это значительно увеличивает трудоемкость исследований и не всегда оправданно, поэтому переход на индикаторы БП в соответствии с рекомендуемой практикой ИКАО неизбежен. Это целесообразно осуществлять на примере систем с множеством четких дискретных состояний и его подмножествами с нечеткими элементами [1, 3, 8].

Правило назначения индикаторов безопасности полетов

Правила корректно заимствованы из [4] в форме таблицы, где определены пять категорий безопасности полетных ситуаций: безопасные (I), условно-безопасные (II), потенциально опасные (III), опасные, или запрещенные (IV), и катастрофические (V). Данная шкала позволяет автоматизировать задачу разбиения любого ситуационного дерева или множества родственных ситуаций комбинаций событий с одинаковыми уровнями.

На основе известных по ИКАО рекомендаций и из [1] приходится по умолчанию принимать постулат: надежность - основа безопасности, но с помощью положений только надежности безопасность не удается оценить и, тем более, эффективно обеспечить. Некорректно вводить по аналогии с надежностью показатель «среднее время до катастрофы» в случае редких событий. Способы оценки опасности (безопасности) по дополнительным источникам информации без статистики недостоверны [1].

Категория безопасности полетов

Цвет Код Название Критерий классификации ситуаций (сценариев)

I Безопасные Допускается приближение состояния системы к ограничениям без их нарушения, т. е. кратковременное пребывание состояния в желтой зоне с последующим ее покиданием к концу ситуации

II Условно-безопасные (виды a и Ь) Допускается временное пребывание состояния системы в зоне ограничений (в желтой зоне - а). Допускается длительное пребывание состояния системы в зоне ограничений (в желтой зоне - Ь)

III Потенциально опасные Наблюдается кратковременное нарушение ограничений, т. е. нахождение состояния системы в красной зоне с последующим ее покиданием к концу ситуации

IV Опасные (запрещенные) Наблюдается длительное нарушение ограничений, т. е. нахождение состояния системы в красной зоне длительное либо до конца ситуации

V Катастрофические (цепная реакция) Хотя бы одно ограничение нарушено с катастрофическими последствиями, т. е. состояние системы переходит в черную зону

Определения и принципы управления безопасностью полетов на основе моделей исчисления рисков

Согласно [1, 3] принимается следующее определение: система управления безопасностью полетов - это множество взаимосвязанных и упорядоченных элементов и модулей типа Sets (в минимальном составе по АННЕКС-19), предназначенных для достижения цели управления по обеспечению необходимого уровня безопасности полетов в соответствии с принятым системным подходом. При этом рекомендовано применить «предупредительное» (про-активное) управление состоянием СТС с учетом факторов риска на основе, например, алгоритмов ИКАО при ограниченности объемов статистики (при неопределенности меры возникновения редких событий). Ввиду трудностей c достоверной оценкой показателей безопасности систем при редких событиях приходится переходить на подходы типа Fuzzy Sets.

В теории обеспечения безопасности полетов могут быть выделены виды неопределенностей по признакам функционирования систем: детерминированные; статистически определенные (четкие статистически детерминированные); нечеткие модели на нечетких подмножествах объектов; игровые модели и «фрактальные» процессы.

Случайная величина - это параметр или физическая величина, значение которой нельзя предсказать заранее, но ее вероятностные (статистические) свойства детерминированы и четки [1, 2]. Неопределенность типа случайности отражает свойство измеримо-

сти функций от случайного события в виде набора четких функций плотности распределения вероятностей, существовании математического ожидания, дисперсии и т. д. в случае достоверной статистики.

Интегральные уровни рисков и шансов в проблеме редких событий нужно оценивать в отсутствие достоверной статистики о возникновении катастроф. Предупредительные управляющие воздействия на состояние системы позволяют исключить возникновение аварий или катастроф до того, как они могут появиться при известном наборе угроз.

Для ситуаций с редкими событиями необходимо принять ряд утверждений. Риск - нечеткая мера количества опасности в состояниях СТС при выявленной угрозе и опасных факторах (риск

- большой, малый, допустимый). Шанс

- нечеткая (прогнозируемая) мера количества «удачи» в опыте или в состоянии системы при условиях, необходимых для осуществления благоприятного прогнозного события B (шанс - ничтожный, малый, мало шансов для осуществления благоприятного прогнозного события B, обратного рисковому событию Я). Вероятностный подход не обеспечивает достоверности вычислений при редких событиях, поэтому приходится определять только индикаторные оценки уровня БП в состоянии СТС в виде [0, Ш, 1] для допустимых состояний СТС на основе БД: 0 - безопасно, 1 - опасно, Ш - приемлемо (с нечеткими индикаторами «не очень», «вполне», «достаточно» и т. п.).

Предупредительные (проактивные) управляющие решения находят на ос-

нове категорий событий типа R, В при отказе от «процессности» по ИКАО. Значимость рисков можно оценивать на основе двумерной модели оценки риска (формулы Е. А. Куклева - аналог концепции ИКАО, но в математическом виде [1, 7]), при этом предлагается принять следующие соотношения:

R = (Hi. HR I so); О)

л = /(л|2:0)=/([11,яЛ|20), (2)

где | - мера риска первого рода, обозначающая неопределенность (или случайность) появления (возникновения) рискового события R с негативным результатом HR, например [8]: HR - мера последствий или ущерба (цена риска - «тяжесть» вреда); Е0 - условия опыта или ситуация при эксплуатации системы (класс опасности и модель опасности системы), тип «сценария», дерево событий по образцу FMEA; R - интегральный риск при нечетких оценках по [1, 8].

Управление безопасностью рассмотренных сложных технических систем формируется для структур и состояний, определенных в нечетких множествах в классе Fuzzy Sets на основе оценок уровней рисков. Проверяются логические условия возможности возникновения катастроф вследствие потери свойств функциональности систем под воздействием некоторого внешнего потока поражающих факторов, включающих отказы физических элементов, с помощью уравнения логических условий катастроф [8].

Трактовка физического смысла опасности, принятая в документах не только в технической, но и в финансовой сфере, следующая: в опасной зоне возможно падение предметов и нане-

сение травм персоналу и случайным посетителям. В этой зоне событие еще не произошло, но если произойдет, то возникнет ущерб с серьезными последствиями. Это определяет окно уязвимости.

Взвешивание рисков и шансов

Предлагается принять за основу некоторые рекомендации из [8]. Рассматриваются, как и в ВАБ, отказы только типа функциональных отказов A(t)*, обратных в логическом смысле главному событию A(t) или множеству событий - нормальному функционированию в штатном режиме. Но при этом теперь вместо «вероятностей» в системе с генеральной совокупностью событий предлагается искать условия «потери свойства функциональности» в условном бинарном пространстве исходов без вероятностных показателей.

Приемлемые решения по предупредительному (проактивному) управлению состоянием систем принимаются на основе «чистых стратегий» взвешиванием рисков и шансов, оцененных с помощью индикаторов из таблицы, без вычисления вероятностных показателей. В исследуемых состояниях систем должны быть выявлены четко прогнозируемые события в условных бинарных пространствах исходов с показателями возможности возникновения в нечетких подмножествах. Оценить значимость интегральных рисков удается провести c помощью матриц рисков ИКАО (NASA) или известных матриц

анализа рисков (по МЧС или ИКАО) с использованием индикаторных оценок уровня опасности, что вытекает из методических положений теории нечетких множеств (и подмножеств). Интерпретации введенных понятий отражают концепции Fuzzy Sets [9]. Научная проблема состоит в построении функций оценок качества (2) от множества элементов в (1), образующих кортеж (отметим: не пространство). При этом в предлагаемом подходе в указанной статье удается использовать сочетания классического метода ВАБ и новые положения риск-ориентированного подхода [3, 6].

Основное положение следующее: нечеткость информации о неопределенности возникновения редкого события в СТС является научным объективным фактом, поэтому наиболее важно изучить физические возможности возникновения условий потери системой своих функций с некоторой нечеткой мерой уровня изучаемых возможностей.

Для ситуаций с редкими событиями необходимо принять следующее: риск -нечеткая мера количества опасности в состояниях СТС при выявленной угрозе и опасных факторах (риск большой, малый, допустимый).

Таким образом, фрактальный анализ особых ситуации, взятых из практики летной эксплуатации ВС разных типов, показал перспективность метода для оценки и прогноза редких событий в авиации в сочетании с риск-ориентированным подходом к поиску сценари-

ев возникновения катастроф в системах с множеством дискретных состояний.

Методология превентивного (про-активного) управления безопасностью полетов позволяет выявлять особенности и аномалии в поведении системы оператор (летчик, автомат) - ЛА - эксплуатационная среда в многофакторных ситуациях и вблизи летных ограничений. Критичность прогнозируемых сценариев может быть определена с помощью стандарта FMEA, позволяющего установить, что причина аварий - цепочка событий или сценарий с попаданием системы в опасное состояние в виде цепей событий. Вероятность возникновения таких сценариев не имеет значения, если ущерб от аварии значим и недопустим для пользователей систем [l]. Важно лишь утверждение, что критический сценарий возможен хотя бы и с вероятностью «почти ноль». □

Литература

1. Гипич Г Н., Куклев Е. А., Евдокимов В. Г, Шапкин В. С. Риски и безопасность авиационных систем. M.: Инсофт, 2013. 232 с.

2. Зайцев А. А., Шматченко В. В., Плеханов П. А. и др. Современная нормативная база обеспечения безопасности высокоскоростного транспорта // Транспорт РФ. 2015. № 5 (60). С. 60-63.

3. Amer Younossy. 10 Things You Should Know about SMS. Washington, 2012.

4. Бурдун И. Е. Изучение физики и логики сложных полетных ситуаций с помощью программно-моделирующего комплекса VATES. Жуковский MO. M., 2002.

5. Капица С. П., Кюрдюмов С. П., Mали-нецкий Г. Г. Синергетика и прогнозы будущего. 2015. URL: http://sprurdyumov. narod.ru/prodi.htm

6. ГОСТ Р 51901.13-2005 Анализ дерева неисправностей в сложных системах ^ЕА).

7. Лейченко С. Д., Mалишевский А. В., Mихайлик Н. Ф. Человеческий фактор в авиации: моногр. в 2-х кн. Кн. 1. СПб.: Санкт-Петербург. гос. ун-т ГА, 2005. 473 с.

8. Смуров M. Ю., Куклев Е. А., Евдокимов В. Г., Гипич Г. Н. Безопасность полетов воздушных судов гражданской авиации с учетом рисков возникновения негативных событий // Транспорт РФ. 2012. № 1(38). С. 54-58.

9. Mалинецкий Г Г. «Hard Tails» from Risk Theory. ИПУ РАН.