Проблемные вопросы безопасности сложных систем и управление рисками с учётом требований к надёжности изделий Текст научной статьи по специальности «Математика»

Северцев Н.А., Куклев Е.А., Гипич Г.Н. ПРОБЛЕМНЫЕ ВОПРОСЫ БЕЗОПАСНОСТИ СЛОЖНЫХ СИСТЕМ И УПРАВЛЕНИЕ РИСКАМИ С УЧЁТОМ ТРЕБОВАНИЙ К НАДЁЖНОСТИ ИЗДЕЛИЙ

Дается развитие научной идеи о возможности применения новых моделей рисков для прогнозирования заранее возникновения опасных сценариев развития событий в транспортных комплексах, в космических полетах. Риски катастроф оцениваются как измеримые случайные события в рамках теории вероятностных пространств.

Введение. В сферах разработки и эксплуатации сложных систем возникла необходимость решения задач обеспечения безопасности с учётом характеристик внешней среды и других воздействий при условиях, что рисковые события типа аварий, катастроф - события редкие (с вероятностью "почти-нуль".) Подобные события трудно поддаются анализу в рамках методов теории надёжности, поскольку имеются неясности во взаимосвязи положений теорий безопасности систем (БС) и теории надёжности (ТН) - в safety и в security.

1. Обзор альтернативных направлений анализа риска неблагоприятных происшествий и управления безопасностью систем

Основные альтернативные направления следующие:

• Вероятностный и статистический анализ безопасности систем (БС) с помощью методов теории надежности (ТН) на основе положения "Если надежно, то безопасно " на основе понятия - функциональная надежность систем или "лётная годность"- в гражданской авиации (№ 1);

• Анализ безопасности систем как состояния в дискретном вероятностном пространстве путем сравне-

ния потенциальных (расчётных рисков) с "приемлемым риском" возникновения катастрофы с вероятностью "почти-нуль" (№ 2).

Принципиальное различие положений ТН и БС в сформулированной проблеме состоит в следующем:

- "безопасность" в ТН - это свойство (принято в известных публикациях [1], но вызывает сомнения);

- "безопасность" в теории системной безопасности [2], согласно международному стандарту ISO-8402

[3], - это "состояние", в котором учтены характерисиики источников угроз, "вызовов", поражающих воздействий и т.п.

В положении ТН (о безопасности) неявно подразумевается, что если "система надёжная" ( в известном смысле), то "система - "безопасная" [4] . Например, в случае атомных энергетических станций (АЭС),

согласно МАГАТЭ, используется определение [4] "Безопасность АЭС - это "свойство" не допускать вреда

населению от радиационных последствий за пределы нормы" или "Атомная станция (АС) считается безопасной, если население не подвергается чрезмерному риску" (Ковалевич О.М. [4], стр. 11); "АС считается

безопасной, если она удовлетворяет действующим правилам и нормам" ([4].

Из анализа сформулированной позиции следует, что в ТН не удаётся корректно оценить БС в особых аварийных случаях функционирования, поскольку за счёт повышения надёжности как "свойства" дается всего лишь рекомендация на "сдвиг в бесконечность" момента времени наступления катастрофы. Но например по БС, "Вертолёт с одним несущим ротором" - "опасен", так как в нём "заложена катастрофа", возникающая почти всегда в случае разрушения несущего винта (хотя это событие за счет повышении надёжности может наступить нескоро). "Аэротакси с одним двигателем всегда опасно" в случае отказе двигателя при полётах над густонаселённым районом города.

2. Анализ безопасности систем на основе аксиоматики вероятностных пространств и моделей "рисков возникновения катастроф"

Излагаются некоторые положения системной безопасности, которые в дальнейшем при их реализации могут стать основой формирования единых представлений о безопасности с учетом требований к надежности систем [5].

2.1. Концепция безопасности

Концепция обеспечения безопасности техногенных комплексов базируется на следующих положениях и принципах:

Положение 1. Функционирование систем обеспечения безопасности (Safety, Security) составляют две подсистемы, основанные на следующих независимых принципах (№ 1, № 2), определённых ISO в ви-

де:"Аудита" (№ 1) [6]; мониторинга и управления рисками и надёжностью систем (№ 2) [1, 5, 7].

Положение 2. Обоснование выбора возможных уровней безопасного и устойчивого функционирования техногенного комплекса производится на основе прогнозирования уровней возможных последствий, вреда и ущерба с использованием прогнозных сценариев попадания систем в критические состояния [8].

Основные положения единого подхода следующие:

• "Безопасность" (по ISO-8402) определена как состояние "системы (не свойство), уровень "безопасности" или "опасности" измеряется через "риск" [10] в сравнении с "приемлемым риском" [9, 11];

• "Надежность - основа безопасности, но с помощью положений только "надёжности" безопасность не удается оценить (например, можно утверждать, что назначение вероятности аварии 10-5 в год на реактор

[4] (у Ковалевича О.М. на стр. 54) недостаточно для обеспечения безопасности;

• В системе может быть заложена "катастрофа" (или "системная ошибка"), которая должна быть найде-

на "путём прогнозирования" критических состояний [8] ("по риску"- потенциальному, приемлемому с учетом структуры системы и характеристик внешней среды);

• Методологию управления безопасностью и рисками аварий составляет комбинаторика дискретных событий и прогнозирование катастроф, аварий, нежелательных последствий с помощью компьютерных систем (АСУ);

• При конструировани сложных технических систем ", необходимо учитывать требования к обеспечению и "надежности", и "безопасности", ввиду возможности возникновения катастроф с вероятностью "почти-нуль.

2.2. Методология теории системной безопасности

В первом приближении можно ограничиться изучением риска возникновения таких катастрофических явлений, как аварии или серьёзные инциденты и происшествия, связанные с разрушением транспортных средств (ТС), путей, причалов, аэропортов и т.п. с нанесением вреда или ущерба людям (пассажирам, операторам ТС, обслуживающему персоналу или случайным лицам). Модели рисков предлагается строить в рамках некоторой аксиоматики, положения которой были даны в ряде работ ИПУ РАН [5, 7], ВЦ РАН (им.

академика Дородницына А.А. [2]), СПб. ГУГА [10, 12] и др.

На этом основании понятие "риска" можно трактовать как некоторую интегральную характеристику или меру опасности, и при этом с помощью величины (уровня, цены) "риска" измерять необходимые показатели безопасности или опасности через некоторые другие показатели более низкого системного уровня. Таким образом, необходимо найти способы измерения риска.

В этом заключается сущность и универсальность единого подхода к оценке безопасности через риски.

3. Аксиоматика моделей рисков

Общепринятые определения видов рисков таких, как индивидуальные, социальные, политические, финансовые, экологические, техногенные, конструкционные, при использовании единого подхода обозначают всего лишь признаки области применения концепции риска при оценке возможностей проявления опасности в системах. Целесообразным представляется разработка математических моделей всего лишь для нескольких категорий рисков, даваемых в предложенном ниже (а, р) ^-классификаторе [10] .

3.1. Формула и определение значимости риска

Принимается, что риск R как математическая категория - это дискретное событие (есть или нет по

факту проявления, т.е. это - не вероятность) с двойственными свойствами [2]. Оценка Я риска И первоначально всегда задаётся в 2-х мерном (или 3-х мерном) множестве показателей и в особых оговоренных случаях в интегральном виде, например по классификации РАН [13] или с помощью матриц анализа рисков [11].

Степень случайности или неопределённости события - это степень риска, которую можно измерить, в частности, через вероятность события, если такую величину можно достоверно найти. Качественное (физическое ) определение, отражающее физическую сущность риска, следующее:

"Риск - это опасность с нечёткой мерой степени или "количества" опасности (степени риска) и с определенным ущербом". При возникновении ущерба с нечеткой или случайной мерой, оценивается интегральный ущерб, эквивалентный понятию среднего риска (в простейшем случае, например, в теории надёжности АЭС) .

Подобное определение необходимо при нечётких описаниях опасных физических явлений, например, "Финансовые риски проектов растут ... ".

Следствие 1. Величина риска как физической категории или его оценка Я , которая должна оцениваться через 2-х-мерное или 3-х- множество показателей, может быть записана в виде:

К = {/4,Яд | Е0}, (1) или К = Е0}, (2)

где Ц.1 - мера риска 1-го рода (неопределенность появления негативного результата - степень риска) , - мера последствий или ущерба (цена или величина риска) ; \х2 ~ мера риска 2-го рода в системе

за счёт системных ошибок; Ео - условия опыта или ситуация при эксплуатации системы (класс опасности или модель системы).

Введённое трёхэлементное множество (1) (а также и (2)) не является вектором и не может быть сведено к скалярной свёртке для случая катастрофических событий при ^ = 0 [10], однако может быть вы-

ражено в нечетких терминах [10].

Неопределённость возникновения рисковых результатов зависит от способов определения системы S, состояния внешней среды и условий опытов на момент начала развёртывания соответствующих цепочек событий Lк* в момент времени t = ^ из начального состояния qo системы в группе рисковых ситуаций g(а,р)

- по классификатору рис. 1 (ниже) и задается в виде:

Хо = { еk | qo, ^, S, Г, g(a,P)}, (3)

где еk = еk (у), к = 1, 2, ...- характеристики изучаемой структурно-сложной системы S такие, как

признак способа испытания системы Лз , её элементов, способ соединения элементов между собой в схеме, состояние среды и наличие террористической угрозы [6], признаки критических состояний [7, 8] в си-

стеме и пр. .

~ ~ Л

При катастрофах Н^ = Н^ = сопз1 ; в других задачах - средний риск (скаляр), причем оценка

- л л

К -> Д "переходит" (—>•) в скаляр. Однако использование скаляра Яд при вероятности события (риска) " почти-нуль" допустимо лишь при соответствующих обоснованных физических предположениях.

Мера неопределённости ц.1 - это практически экспертный показатель степени риска (больше, меньше или однозначное число - типа частоты из статистики событий или из матриц риска, а также при априорных оценках - вероятность события).

Постоянная величина ущерба Н^ = Н^ =сот1 , принимаемая в (1) или в (2) при изучении катастрофиче-

Л

ских рисков с оценками Я* , обозначает возможность гибели системы одного и того же заданного типа при разных причинных факторах и при разных сценариях развития событий, приводящих к катастрофе.

Следствие 2. В опасных ситуациях с вероятностью результатов "почти нуль" допустимо оценивать риск по относительным и условным показателям и, в пределе, только по величине возможного ущерба. Такова практика оценивания рисков по величине убытков, ущербов или потерь, например, в гражданской авиации по ИКАО, при страховании или при оценке последствий от землетрясений.

Из представленных соотношений автоматически вытекают известные схемы определения среднего риска

Л

Я , среднего параметрического риска на множестве гипотез { д1 } ^ Rl (д0, R2 (д2), ■■■ .

3.2. Применение концепции вероятностных пространств в теории безопасности систем Х

В рамках положений аксиоматики Колмогорова А.Н. [10] удается путем изолированного оперирования только элементарными событиями ©1 е О из пространства исходов О разделить процедуры нахождения структуры сложных событий и процедуры оценивания вероятности событий Р (©1) или А (©1) в сигме алгебре Е с и вероятностного пространства и [2, 7, 10]. Это более предпочтительно, чем непосредственное использование и устоявшееся на практике в теории надежности применение положений теории вероятностей.

• В предлагаемой схеме риски различной природы [13, 7, 19], как было показано выше, трактуются в

виде случайных дискретных событий с двойственными свойствами в виде случайности и обязательного проявления негативных последствий в форме определенного ущерба. Такие события могут быть корректно описаны в рамках аксиоматических положений теории вероятностей Колмогорова А.Н. [10], включающих использование или а-алгебры Е элементарных дискретных событий - исходов ©1 е О, А(©1) е Е в вероятностном пространстве и:

А (©1) = и ©1 ; и А (©) и А (©) с Е ,

к к з ]

и = (О, Е, Р) , (4)

Подмножество Е из и в (4) может быть введено в виде борелевской

а-алгебры при квадрировании непрерывных пространств в случае параметрической зависимости меры

случайности дискретных событий ц (©1), ц (А (©1)), от некоторого непрерывного аргумента т ~ (т е [0, ^) типа случайного момента времени наступления избранного события А (©1) в интервале времени наблюдения [0, ^: и, п - соответственно объединение и пересечение событий.

• Дискретное элементарное событие ©1 или класс А (©1 (31) | qj) е О с Е определяются как результат

смены qjl ^ qj2 некоторых дискретных состояний системы qj е О, являющихся точками в гиперпространстве

О, образованном декартовым произведением дискретных пространств Х1 , характеризующих свойства и

структуру исследуемой системы:

0 = Х1 х Х2 х ..., Х1 .х Хп , (5)

qj ^ А (©1 ) = А (©1 (3) | qj ) с Е,

знак ^ - "влечёт".

• Рисковое событие А является классом А = Я = иЯ^., составленным из несовместных частных рисков

Rj , т.е. из альтернативных событий (способов) попадания системы в катастрофическое состояние заданного типа в подмножестве состояний ^ с2 системы.

• Аксиоматическое определение риска как события, несущего ущерб, вводится достаточно корректно путем реализации отображения исходов © и событий А (©) е Е из (4) в фазовое борелевское вероятностное пространство ив ^ и. При этом V© е О 3 £ = 5 (©) е ив с распределением Р из (4), где £ - произвольная функция от © в виде вещественной величины. Если придать £ (©) физический смысл и размерность

величины ущерба Н при каждом со е О, т.е. £ (со) = Н (со) = Ню , то событие А (со) на сигма-алгебре из

(4) принимает вид

А (©) ^ А (©) = А (©, Н (©))= R ({©} I Р (©), , Н (©)). (6)

Схема оценки значимости рисков в вероятностном пространстве

Безопасность системы при наличии угрозы определяется через "риск", согласно международным стандартам [3, 11], как состояние системы с приемлемым (допустимым) значением Я* риска И, т.е. с усло-

~ ~ л

вием Я < Л* по (2), (3) или в виде некоторого интегрального (обобщенного) показателя Я с критиче-

Л

ским значением Я* , находимого также на основе (1), (2) в форме

~ ~ А ~

Я —> Я* => Я* = } ,

А ~

К* = = |^о) 5 (5)

где - функционал, имеющий в частности вид операции скалярной свертки множества элементов из Я

в (1) или (2) для усредненного по значения оценки ущерба Н = Н(б)^) ~ Н(А(бО^) как среднего ущерба

Л Л

Ня = Я* по всем Ц1 из соответствующего распределения в вероятностном пространстве (1); (*) - знак

обозначения критичности значений показателей соответственно Я^>Я*, по сравнению со значе-

Л _

ниями Я** ~ Я** допустимого критического риска с индексом (**) , так что должно быть ЛЛ лл~лл~

Я* < Я**, Я* < Я**, причем Я* = Я* (Я*\ Я** = Я**

Л

Интегральное значение Я (уровень) оценки риска в (5) может быть также найдено с помощью операций

_ А _

назначения предпочтений тем или иным сочетаниям элементов в множествах Я—> Я (Я) по (1), (2) .

При этом значимость риска И или его оценок Я определяется путём сравнения фактического (расчёт-

~Л _ л _ _ АЛ

ного) риска (8) с некоторыми его критическими значениями Я*,Я* или Л.*,Л»»: {Я < Яж: или Я < Я** } -

~ ~ Л Л

риски И, допустимые (приемлемые) ПО оценкам Я ; {./?*<./?** или Я*<Я**} - риски, предельно допусти-

_ Л

мые, Н** или Н ** - интегральные предельно допустимые значения возможного критического (допустимо-

го) ущерба. По аналогии с (8) записывается:

~ , ЛЛ~ЛЛ~

Я*#=0) , соответственно Я* = Я* (Я*), Я** = 7^** (Т^жж).

При этом в дополнение к (8) на множестве ОR = и Rj , ОR с О рисковых событий (4) из (1) может быть найдена при определённых условиях некоторая усреднённая оценка ущерба Ня , эквивалентная интегральной значимости (8), в частности, в виде скалярной свертки н , необходимой для определения суммарных потерь от возникновения рисковых ситуаций:

Йк = Йя={Яа(щ,)\Р(^,)}, (9)

где { ... } - операция усреднения Ию на распределении р ^ р (®г*) в U из (1). В случае катастрофических рисков, как было указано выше, HR=HR=const , поскольку понятие среднего риска нк по (9) или

Я [4, 8, 2] типа (7) в этом случае не имеет практического смысла.

Логическая формула физического события - типа "катастрофы"

Описание сложного события типа "аварии" [4, 8] возможно дать в логической форме на основе анализа "дизъюнкции конъюнкций" условий возникновения неблагоприятных факторов {ф1*} из Хо, например, в виде отказов элементов типа {Х1} с X, Х1 ^ Zi с Е, воздействующих на систему [10].

Из этого следует, что функциональный отказ (катастрофа) есть критическая "дизъюнкция конъюнкций" логических признаков только критических отказов (факторов и реакций), которые в совокупности привели систему к возникновению события - попадания в критическое состояние Ф (Рябинин И.А. [8]) . При этом может быть предложена логическая формула достижения системой подмножества 0 класса критических состояний О с 0, задаваемого логическим уравнением для логической переменной уз , что можно назвать логической формулой катастрофы:

Уз

Уз (Q*):

; V

Jk*

K±1 ({Zjt (il)

= V

Jk*

(Zj (il ) A Zj (il) Л...Л Zj (il)

Q.}) =

~Q*)=1, (10)

где соответственно v и л - операции конъюнкции и дизъюнкции элементов, ii - ранг дизъюнкции, равный числу выявленных опасных конъюнкций; jk* - максимальный ранг минимальной конъюнкции, входящей в дизъюнкцию (10).

"Высказывание" не является событием, а всего лишь частной формой указания некоторых (не всех) условий, имеющих отношение к событиям.

Оператор "вероятности" должен быть применен только к событиям в некоторых вероятностных пространствах. Поэтому с учетом (10) необходимо в соответствии с (3) для ц.1 ~ P из (1), (2), (4) записать:

P (Q* с U) « P (Q* с U | ys (Q*) = 1) , (11)

где некоторое "высказывание" типа ys = 1 - условие в логической форме, которое при необходимости

следует учесть.

3.3. Классификатор рисковых ситуаций по ИПУ РАН

Классификатор РАН [13] даётся с использованием нечёткой меры интегральной значимости риска (опасности) по (8) с признаками классификации для 3-х ситуаций на основе 2-х мерного показателя риска [7]

из (1):

Ситуация 1 - "Риск велик" ("Ущерб большой и вероятность события достаточно велика"); Ситуация 2 -"Риск невелик" ("Ущерб мал, вероятность события велика"); Ситуация 3 - "Риск нулевой" ("Ущерб велик, но вероятность события нулевая - событие невозможно"). Неполнота классификатора в том, что выпадает из анализа практически важная ситуация № 4.

Вводится [10, 12] дополнительная ситуация (№ 4), "пограничная" к ситуациям № 1, № 2, № 3, в следующем виде: Ситуация 4 - "Катастрофическая" ("Катастрофический риск - велик" - "Ущерб очень боль-

шой, вероятность катастрофы почти-нуль"). При этом удается изучать такие свойства технических систем, как функциональная надёжность, лётная годность воздушных судов с учетом показателей безопасности типа "цены рисков". Можно также оценить последствия от использования контрафактных изделий при проведении технического обслуживания.

3.4. Общий классификатор рисков

За основу классификации рисков (рис. 1) принимаются признаки их свойств как событий - "случайность" и "ущерб" [10]. С помощью данного классификатора может быть выделено всего лишь четыре группы

gi , i = 1,4 , моделей риска следующего вида

gi = (ai , Pi); g2 = (ai , P2 ), дз = fe , Pi); g4 = fe , P2) , (12)

где gi = (ai , pi) - риски простые (ai) с тривиальной значимостью (pi); g2 = (ai, P2) - риски простые (ai), но катастрофические по значимости ( P2); g3 = fe, Pi) - риски сложные (составные ) в виде

цепей fe) с тривиальными последствиями по значимости (Pi); g4 = fe, P2) - риски сложные fe - например, цепи элементарных событий), с катастрофическими последствиями (P2).

При этом число групп рисков, даваемых классификатором (12), остается неизменным в разных сферах применения концепции рисков. Поэтому простота метода численного оценивания значимости риска в реальных системах также будет неизменной, хотя число признаков сфер применения моделей риска может быть велико. При этом могут применяться матрицы [11, 14] экспертной значимости рисков. Образец матрицы

анализа риска дан в [14]. Однако аналогичные таблицы ранее также были предложены в России в работах МЧС [15].

Концепция математической модели рисков

Рис. 1

4. Лётная годность и риски авиапроисшествий

A

k

k

Термином "летная годность", согласно документам ИКАО [11], обозначается свойство авиационной техники и ее качество, определяемые показателями функциональной надежности по (10), (11) из п.п. 3.2.

При этом принимается, что момент нарушения условия нормального функционирования обозначает появление случайного момента xFs отказа. Исходные положения лётной годности (FA: Flight Airworthiness) могут

определять коэффициент качества Kfa в виде:

KFA=P{ ^FS^T^I^i^T],- Sof SFA}f ^FS^AFS ,

где событие AFS - функциональный отказ FS (Failure State)

afs={ ^ ^ aij (^fs ) } e^FA^^FS=^Z . i j

При этом Afs - событие функционального отказа в вероятностном пространстве (4), а^ - отказ (событие) элементарного звена системы Sfa.

Учет требований обеспечения безопасности производится на основе критерий безопасности по ISO-8402

(9000) - через риски R и оценки R на [t0, Т] , где риск R - 2-х мерный феномен по формулам (1), (2) .

R - 2-х мерное множество (формула 1), 3-х мерное множество (формула 2).

Событие "катастрофа" имеет свойства: Si ~ {TFS} - случайность, S2 ~ HR - ущерб) . Оценка риска

R = (fil,HR\'L0,S) дается через интегральную значимость по (7), (8) . В данной постановке удается найти

Л

Л

- скаляр типа Hr (средний риск или мини-макс), интегральный (нечёткий показатель по классификатору ИПУ РАН - по Малинецкому Г.Г.), по МЧС.

Принимаются: Положение 1-FA: KFA иR- определяются в различных областях параметров FA; Положение

2-FA: приемлемый риск R* назначается для оценки R* :

~ А _

а) по ущербу Hg r Hr* для обеспечения Afs (t0 , TJ;

• по стандарту ИКАО - для обеспечения заданного интервала высоконадежного функционирования в течение фиксированного отрезка времени (методика ИКАО) в виде:

~ ~ л

б) {R,,Ür,,Hr*, Д,} = ETOPS (to, TJ ~ {1 час, 2 часа, ..., TJ о AFS (t0, TJ .

В данной схеме обосновывается Положение 3-FA:

управление безопасностью полётов в случае FS по схеме:

а) управление риском R ( событиями) и его оценками R ;

б) управление рисковыми цепями событий в ETOPS - в структуре Sfa;

в) резервирование FA (по БП) - "не более дублирования ";

г) управление - путём возврата в Sfao;

д) восстановление по Kfa*

Заключение

В общем случае положения надежности не позволяют непосредственно оценивать уровни системной безопасности, поскольку в теории надежности главным является принцип «отодвигания» по времени момента наступления катастрофы. Главной задачей СБ является прогнозирование катастроф, возникающих в структурно-сложных системах с вероятностью "почти-нуль".

Отождествление "понятия риска" с определением "вероятности" некоторого события", особенно в случаях изучения "управляемых рисков" и маловероятных редких событий, неконструктивно. Для оценивания значений или уровней рисков целесообразно использовать две разнородных по смыслу меры риска 1-го рода и 2-го рода, отражающих двойственность свойств риска как события с некоторой мерой (1-го рода) случайности или возможности появления риска и как степень опасности состояния или процесса (мера 2го рода).

ЛИТЕРАТУРА

1. Володин В.В. (ред.). Надежность в технике. Научно-технические, экономические и правовые аспекты надежности. - Институт машиноведения им. А.А. Благонравова, МНТК "Надежность машин" - РАН, М.: 1993, с. 119-123.

2. Вопросы теории безопасности и устойчивости систем. /Вып. 7. Под ред. Н.А. Северцева./ М.: ВЦ им. А.А. Дородницына РАН, 2005.

3. British Standart. Quality management and quality-assurance. - Vocabulary. ВС EN ISO-8402:

1992.

4. Ковалевич О.М. Основы безопасности атомных станций. - МЭИ, М.:1999 (переиздание 2007 г.).

5. Кульба В.В. и др. Системные предпосылки сценарного анализа в системах управления безопасностью социально-экономических систем - Материалы международной конференции "Проблемы безопасности сложных систем" - РГТУ, М.: 19.12.2001.

6. Государственная Концепция обеспечения безопасности России (проект, Минтранс России, 2005 г.).

7. Бурков В.Н. и др. Модели и механизмы управления безопасностью. - Синтег. М.: 2001.

8. Рябинин И.А. Надежность, живучесть и безопасность корабельных электроэнергетических систем. -ВМА им. Н.Г. Кузнецова, С.Пб.:1997.

9. Э. Дж. Хэнли, Х. Кумамото. Надежность технических систем и оценка риска. - Машиностроение, М.:

1984 (пер. с анг.- ред. В.С. Сыромятников).

10. Куклев Е.А. Оценивание безопасности сложных систем на основе моделей рисков, - Труды XV Межд. конференции. Часть 1. «Проблемы управления безопасностью сложных систем». ИПУ РАН, МЧС. М.: 2007, с. 93-97.

11. Руководство по обеспечению безопасности полетов (РУБП) (перев. с англ.) - Doc. 9859, AN/460-ИКАО (Монреаль), Минтранс РФ, М.: 2007.

12. E. Kuklev, Prof. D.S. Prognosis of atomic reactor catastrophe based on using the chains of

random events and theory of risk. Sunghai - Fudan University, 2005.

13. Малинецкий Г.Г.,Фалеев С.А. Стратегические риски России.МЧС, № 12,2003.

14. Boeing-CD-Guide (516-BASP Safety Impl.ppt). - МАК, М.: 2003.

15. Фалеев С.А. Безопасность России. - МЧС.: 1989.