CC BY
69
УДК 629.735.067
ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ АВИАЦИОННЫХ СИСТЕМ НА ОСНОВЕ УПРАВЛЕНИЯ РИСКАМИ ВОЗНИКНОВЕНИЯ НЕБЛАГОПРИЯТНЫХ СОБЫТИЙ С УЧЕТОМ ТРЕБОВАНИЙ
К НАДЕЖНОСТИ ИЗДЕЛИЙ
Г.Н. МАТВЕЕВ
Статья представлена доктором технических наук, профессором Куклевым Е.А.
Дается изложение схемы применения моделей рисков для оценки уровня безопасности полетов (БП) в качестве дополнения к расчетам надежности систем. Рассматриваемый подход применяется для прогнозирования возникновения опасных сценариев развития событий в авиационных комплексах.
Ключевые слова: безопасность, управление рисками, авиационные системы, прогноз.
В сферах разработки и эксплуатации сложных систем возникла необходимость решения задач обеспечения безопасности функционирования с учетом характеристик внешней среды и других воздействий при условиях, что рисковые события типа аварий, катастроф - события редкие (с вероятностью "почти нуль".) Подобные события трудно поддаются анализу в рамках методов теории надежности (ТН), поскольку имеются неясности во взаимосвязи положений теории безопасности систем (БС) и ТН - в "safety" и в "security".
В связи с этим в практической деятельности эксплуатантов воздушных судов (ВС) применяются рекомендации известного документа ИКАО-РУБП № 9859-AN/460, в котором изложены принципы построения так называемой системы SMS (Satety Menegement System) - "Системы менеджмента безопасности полетов". Одним из положений указанного документа является использование концепции "рисков" в виде формулировки: "вероятность (частота) - тяжесть последствий" [1].
Распространенные трактовки данного сочетания в ряде случаев приводят к некорректным результатам. Так, в некоторых работах предлагается находить скалярную свертку и за показатель уровня безопасности принимать получающееся при этом вещественное число. Но это не будет соответствовать случаю, когда вероятность события "почти ноль", то есть может возникнуть неверное представление о ситуациях в случае катастроф, происходящих с вероятностью "почти ноль". При использовании матриц анализа из РУБП [1] приходится применять некоторые функции от "пары" элементов в указанном соотношении, что позволяет экспертно вводить показатели безопасности типа некоторых индикаторов.
Схемы анализа риска неблагоприятных происшествий и управления БП ВС
По-видимому, более правильно будет использовать комбинированный подход и исходить из известного положения в теории рисков, сформулированного в [2]. В данной статье обращается внимание на необходимость разумного сочетания различных подходов к оценке БП ВС на основе рекомендованной практики ИКАО [1].
Наиболее известны два подхода:
• вероятностный и статистический анализ БС с помощью методов ТН на основе положения "Если надежно, то безопасно" на основе понятий функциональной надежности систем или "летной годности" - в гражданской авиации (№ 1) [3, 4];
• анализ БС как состояния в некотором пространстве параметров путем сравнения потенциальных (расчетных) рисков с "приемлемым риском" возникновения катастрофы с вероятностью "почти нуль" (№ 2) [1, 2].
Принципиальное различие положений ТН и БС в сформулированной проблеме состоит в следующем:
- "безопасность" в ТН - это свойство, принятое в известных публикациях [3], что не соответствует стандарту [5];
- "безопасность" в теории системной безопасности [4] согласно международному стандарту ISO-8402 [5] - это "состояние", в котором учтены характеристики источников угроз, "вызовов", поражающих воздействий и т.п.
В положении ТН (о безопасности) неявно подразумевается, что если "система надежная" (в известном смысле), то "система - "безопасная" [3]. Например, в случае атомных энергетических станций (АЭС) согласно МАГАТЭ используется определение [3]: "Безопасность АЭС — это "свойство" не допускать вреда населению от радиационных последствий за пределы нормы" или "Атомная станция (АС) считается безопасной, если население не подвергается чрезмерному риску"; "АС считается безопасной, если она удовлетворяет действующим правилам и нормам" [3].
Из анализа сформулированной позиции следует, что в ТН не удается корректно оценить БС в особых аварийных случаях функционирования авиационных систем, поскольку за счет повышения надежности как "свойства" дается всего лишь рекомендация на "сдвиг в бесконечность" момента времени наступления катастрофы.
Модели "рисков возникновения катастроф” на основе положений теории системной безопасности
Рассматриваются некоторые положения системной безопасности, которые отражают единые представления о БП ВС с учетом требований к надежности систем [6].
Концепция безопасности
Концепция обеспечения безопасности техногенных комплексов базируется на следующих положениях и принципах:
Положение 1. Функционирование систем обеспечения безопасности (Safety, Security) составляют две подсистемы, основанные на следующих независимых принципах (№ 1, № 2), определенных в ISO в виде: Аудита (№ 1) [1]; мониторинга и управления рисками и надежностью систем (№ 2) [2, 3, 6].
Положение 2. Обоснование выбора возможных уровней безопасного и устойчивого функционирования авиационного или транспортного комплекса производится на основе прогнозирования уровней возможных последствий, вреда и ущерба с использованием прогнозных сценариев попадания систем в критические состояния [6].
Главные позиции следующие:
• безопасность (по ISO-8402) определена как состояние системы (не свойство), уровень "безопасности" или "опасность" измеряется через "риск" в сравнении с "приемлемым риском” [1];
• надежность - основа безопасности, но с помощью положений только "надежности" безопасность не удается оценить (например, можно утверждать, что назначение вероятности аварии 10-5 в год на реактор [3] недостаточно для обеспечения безопасности);
• в системе может быть заложена "катастрофа" (или "системная ошибка"), которая должна быть найдена путем прогнозирования критических состояний [6] (по риску - потенциальному, приемлемому с учетом структуры системы и характеристик внешней среды) [1, 2];
• методологию управления безопасностью и рисками аварий составляет комбинаторика дискретных событий и прогнозирование катастроф, аварий, нежелательных последствий с помощью компьютерных систем (АСУ);
• при конструировании сложных технических систем необходимо учитывать требования к обеспечению и "надежности", и "безопасности" ввиду возможности возникновения катастроф с вероятностью "почти нуль".
Трактовка понятия риска. В первом приближении можно ограничиться изучением риска возникновения таких катастрофических явлений, как аварии или серьезные инциденты и происшествия, связанные с разрушением транспортных средств (ТС), путей, причалов, аэропортов и т.п. с нанесением вреда или ущерба людям (пассажирам, операторам ТС, обслуживающему персоналу или случайным лицам). Модели рисков предлагается строить в рамках некоторой аксиоматики построения "Моделей опасности" [2, 3].
На этом основании понятие риска можно трактовать как некоторую интегральную характеристику или меру количества опасности, и при этом с помощью величины (уровня, цены) риска измерять необходимые показатели безопасности или опасности через некоторые другие показатели более низкого системного уровня. В этом заключается универсальность единого подхода к оценке БП ВС через риски.
Формула и определение значимости риска
Общепринятые определения видов рисков, таких, как индивидуальные, социальные, политические, финансовые, экологические, техногенные, конструкционные при использовании единого подхода обозначают всего лишь признаки области применения концепции риска при оценке возможностей проявления опасности в системах.
Принимается, что риск Я , как математическая категория - это "количество опасности" в состоянии, в котором возможно (или прогнозируется) возникновение дискретного опасного (рискового) события (есть или нет по факту проявления).
Таким образом, риск - это не вероятность, как принято в [3, 4]. Рисковое событие Я характеризуется двойственными свойствами: случайностью возникновения и негативными последствиями [2]. Оценка риска Я первоначально всегда задается в 2-х мерном множестве показателей и в особых оговоренных случаях в интегральном виде, например по классификации [3] или с помощью матриц анализа рисков [1].
Степень случайности или неопределенности события - это степень риска, которую можно измерить, в частности, через вероятность события, только в том случае, если такую величину можно достоверно найти.
Качественное (физическое) альтернативное определение, отражающее физическую сущность риска, как количества опасности, следующее: риск - это опасность с нечеткой мерой степени или "количества" опасности (степени риска) и с определенным ущербом. Интегральный ущерб, эквивалентный понятию среднего риска, задаваемого скаляром, удается найти только в простейшем случае, например, как в ТН АЭС [3]. Представленные определения оказываются полезными при нечетких описаниях опасных физических явлений, например, в ситуации - "финансовые риски проектов растут...".
Таким образом, величина риска как физической категории или его оценка Я , которая должна оцениваться через совокупность 2-х-мерных показателей, может быть записана в виде [2]:
Я ня | Е0}, (1)
где М1 - мера риска 1-го рода (неопределенность появления негативного результата - степень риска), Н Я - мера последствий или ущерба (цена или величина риска); Е0 - условия опыта или ситуация при эксплуатации системы из заданного класса опасности или в соответствии с принятой "Моделью опасности" по ИКАО [1].
Неопределенность возникновения рисковых событий и соответствующих результатов зависит от способов определения системы Б, состояния внешней среды и условий опытов на момент начала развертывания соответствующих цепочек событий Ьк* в момент времени 1 = 1:0 из начального состояния д0 системы в группе рисковых ситуаций в виде:
X = {ек | q0, t0, S, Г, g(a, p)}, (2)
где ек = ек (g), к = 1, 2, ...- характеристики изучаемой структурно-сложной системы S, такие, как признак способа испытания системы pS , ее элементов, способ соединения элементов между собой в схеме, состояние среды, в том числе наличие террористической угрозы, признаки критических состояний в системе и т. д.
В предложенной постановке задачи необходимые индексы типа Ik, где к - номер опыта или ситуации выбора, удобно трактовать в виде некоторого интегрального показателя риска R. Этот показатель будет функцией от (1) и может быть первоначально задан в следующей форме по [4]:
R = f„(R) = f„(( m 1,Hr | X „)). (3)
При этом если полагать, что S0 из (1) определено достаточно детально, то интегральный показатель может быть задан применительно к системе и условиям ее эксплуатации, что отражено в S0. В результате получается:
R=^«L*}) ® 1к. (4)
где 1к - индекс из матрицы анализа рисков. Эта схема послужила основой формирования в ОАО "Аэрофлот" "портфеля листов БД", составляющих информационную базу данных БП.
При катастрофах Hr = Hr = const; в других задачах Hr ° Hr - средний риск (скаляр),
те. R ® R "переходит" в скаляр. Однако использование подобного скаляра Н R при вероят-
ности события (риска) "почти нуль” допустимо лишь при соответствующих обоснованных физических предположениях. Мера неопределенности m1 — это практически экспертный показатель степени риска (больше, меньше или однозначное число типа частоты из статистики событий или из матриц риска, а также при априорных оценках, в особых случаях, и вероятность события), т.е. по (2) риск не может трактоваться как вероятность в [3].
Постоянная величина ущерба Hr = Hr = const, принимаемая в (1) при изучении катастрофических рисков с оценками R *, обозначает возможность гибели системы одного и того же заданного типа при разных причинных факторах и при разных сценариях развития событий, приводящих к катастрофе. В опасных ситуациях с вероятностью результатов "почти нуль" допустимо оценивать риск по относительным и условным показателям и, в пределе, по величине возможного ущерба. Такова практика оценивания рисков по величине убытков (по регистру Ллойда) ущербов или потерь, например, в гражданской авиации по ИКАО, при страховании.
Формализованная модель физического события типа "катастрофы" в рамках ТН
Описание сложного события типа аварии можно дать в логической форме [2] на основе анализа "дизъюнкции конъюнкций" условий возникновения неблагоприятных факторов {ji*} из Ь, например, в виде отказов элементов типа {xi}* с X, xi ® zi с Z, изучаемых в ТН [6].
Из этого следует, что функциональный отказ (авария или катастрофа), задаваемый формально по наборам и признакам, есть критическая "дизъюнкция конъюнкций" логических признаков только критических отказов (факторов и реакций), которые в совокупности привели систему к возникновению события - попадания в критическое [6] состояние Ф*:
yS = yS (Q*)=V Ki1 ({^к (i1)| j ~ Q*})° 1 ^ фк Ф 0 (5)
где, соответственно, V и Kij - операции дизъюнкции и конъюнкции элементов; i1 - ранг дизъюнкций, равный числу выявленных опасных конъюнкций; ^к* - максимальный ранг минимальной конъюнкции, входящей в дизъюнкцию [6]; 0 - знак "пусто".
Если в (3) определен оператор вероятности, т.е. m1 ~ P из (1), то можно записать:
P (Q* с U) û P (Q* с U | ys (Q*) = 1) , (6)
где некоторое высказывание типа ys = 1 из (3) - всего лишь условие в логической форме, которое при необходимости следует учесть. Оператор вероятности должен быть всегда применен только к событиям в некоторых вероятностных пространствах.
Главное замечание здесь то, что для случая "катастроф" с вероятностью "почти ноль" оператор вероятности Р в (4) построить невозможно. Поэтому (4) - это всего лишь иллюстрация научной идеи. Дело в том, что конечный результат оценивается с помощью цепей Дж. Ризона (по РУБП), которые можно найти на основе логического уравнения (3).
Заключение
В общем случае положения надежности не позволяют непосредственно оценивать уровни системной безопасности, поскольку в ТН главным является принцип "отодвигания" по времени момента наступления катастрофы. Задачей системной безопасности является прогнозирование катастроф, которые могут возникать в структурно-сложных системах с вероятностью "почти нуль".
Отождествление понятия риска с определением вероятности некоторого события, особенно в случаях изучения " управляемых рисков" и маловероятных редких событий, неконструктивно. Целесообразно вводить меру риска 1-го рода и понятия ущерба по РУБП, отражающего проявление двойственности свойств прогнозируемых рисковых событий.
ЛИТЕРАТУРА
1. Руководство по обеспечению безопасности полетов (РУБП) (пер. с англ.) - Doc. 9859, AN/460 - ИКАО (Монреаль). - М.: Минтранс РФ, 2007.
2. Куклев Е.А. Оценивание безопасности сложных систем на основе моделей рисков // Труды XV Межд. конференции. Часть 1. "Проблемы управления безопасностью сложных систем" / ИПУ РАН, МЧС. - М., 2007. - С. 93 - 97.
3. Надежность в технике. Научно-технические, экономические и правовые аспекты надежности / под ред. В.В. Володина / МНТК "Надежность машин". Институт машиноведения им. А.А. Благонравова. - М.: РАН, 1993. С. 119 - 123.
4. Вопросы теории безопасности и устойчивости систем / под ред. Н.А. Северцева. - М.: ВЦ им. А. А. Дородницына: РАН, 2005. - Вып. 7.
5. British Standart. Quality management and quality-assurance. - Vocabulary. ВС EN IS0-8402: 1992.
6. Рябинин И.А. Надежность, живучесть и безопасность корабельных электроэнергетических систем. - СПб. : ВМА им. Н.Г. Кузнецова, 1997.
QUALITY INVESTIGATION OF FLIGHT SAFETY SYSTEM UPON USING THE RELIABILITY
METHOD AND THEORY OF RISK CONCEPT
Matveev G.N.
It's presented the results of research in sphere of flight safety, based on the models of risk at systems reliability position.
Key words: safe aviation, accident prevention, risk management, aviation systems, forecast.
Сведения об авторе
Матвеев Георгий Николаевич, 1953 г.р., окончил ОЛАГА (1982), заместитель директора Департамента управления и обеспечения безопасности полетов ОАО "Аэрофлот", соискатель ГосНИИ ГА, автор 35 научных работ, область научных интересов - построение систем типа SMS по ИКАО.
