Разработка инструментов оценивания рисков возникновения АНВ в САБ аэропортового комплекса Текст научной статьи по специальности «Экономика и бизнес»

Разработка инструментов

оценивания рисков возникновения АНВ в САБ аэропортового комплекса

М. Ю. СМУРОВ, докт. техн. наук, профессор, ректор Санкт-Петербургского государственного университета гражданской авиации (СПбГУ ГА), Е. А. КУКЛЕВ, докт. техн. наук, профессор, завкафедрой СПбГУ ГА, директор Центра экспертиз научных проектов, В. Г. ЕВДОКИМОВ, канд. техн. наук, генеральный директор ОАО «Авиатехприемка», Г. Н. ГИПИЧ, докт. техн. наук, зам. директора по научной работе ОАО «Авиатехприемка»

Методы оценивания и управления рисками возникновения актов незаконного вмешательства (по ИКАО) могут применяться как универсальный рабочий инструмент служб авиационной безопасности в условиях неопределенности результатов противодействия терроризму.

В гражданской авиации (ГА) в сферу обеспечения безопасности полетов (БП) при эксплуатации воздушных судов (ВС), а также в деятельность провайдеров авиационных услуг интенсивно внедряется методология Международной организации гражданской авиации (ИКАО) по управлению рисками и безопасностью в ГА. При этом используются терминологические категории «риски», «угрозы», «вызовы», «модели опасности», «матрицы оценивания рисков», «уязвимость» и т. п. [1]. Данный подход рекомендуется использовать также в деятельности служб авиационной безопасности (САБ): известно Приложение 17 ИКАО (Doc. 8973), в котором представлена методика оценки угроз и модели управления рисками возникновения актов незаконного вмешательства (АНВ) в ГА.

В США сформулирована идеология проведения антитеррористических операций по GAO [2] как способа защиты нации от возможных нападений террористов. Рекомендованный подход находит достаточное признание как в ГА [3; 4], так и на транспорте в целом. Методология оценивания и управление рисками эффективно применяется при разработке упреждающих воздействий на состояние авиационных систем для компенсации возможных последствий от прогнозируемых опасностей при сомнительных (неопределенных) условиях, характеризующих, например, деятельность САБ аэропортов ГА [4].

В НУЦ «АБИНТЕХ» принята формулировка ГОСТ-Р-2001: «риск — это ве-

роятность события <...> с ущербом...» [5] — как в теории надежности. Однако в документах ИКАО прослеживаются иные тенденции [1; 6]. Терминологические аспекты трактовок, определений и их системных взаимосвязей по темам «угроза, опасность», «риск», «управление риском», «управление безопасностью», «уязвимость» в [5] неоднозначны. Кроме того, в методиках [там же] неясно применение инструментов оценивания рисков с помощью так называемых матриц анализа рисков [1; 6] без аналитических вычислений вероятностных показателей критичности состояний для групп событий, не имеющих достоверной статистики. Однако при разработке методов категорирования критически важных объектов (КВО) в [4] матрицы анализа рисков применяются без использования вероятностных показателей, но с расчетом возможных ущербов. Известно, что в Центре транспортной безопасности созданы программные комплексы «РискМенеджер» и «Риск-Анализ», позволяющие категорировать КВО, оценивать степень их уязвимости, осуществлять мониторинг состояния безопасности КВО и выполнять другие функции, обеспечивающие эффективное управление рисками нарушения штатных условий работы аэропортов и других КВО [4].

Таким образом, в настоящее время возможны дискуссии о целесообразности поиска компромиссов в понимании сути проблемы. Здесь в свете [5] следует обратить внимание на известную из СМИ историю с «тулузским

стрелком»: главным в той ситуации было заранее получить информацию о возможном печальном событии (с вероятностью «почти ноль») и проверить применимость указанной методики.

В данной статье развиваются предложения, изложенные в предыдущей работе авторов [6] касательно менеджмента рисков по ИКАО на основе SMS (Safety Management System — «Системы менеджмента безопасности полетов») [1; 6] при производстве полетов в гражданской авиации РФ. Здесь рассматриваются два наиболее неясных вопроса: о применении матриц оценки значимости разного рода рисков в исследуемых системах и о подходах к построению моделей опасности по ИКАО [1] на основе цепей Дж. Ризона без использования вероятностных показателей случайности возникновения разных событий.

Методические положения системы управления риском

Известно, что на железнодорожном и водном транспорте, на АЭС и в некоторых других отраслях принято ориентироваться на применение вероятностного анализа безопасности (ВАБ), что затрудняет проведение сравнительного анализа безопасности разнородных техногенных и транспортных систем [6; 8].

В гражданской авиации разрабатывается стандарт на системы обеспечения безопасности полетов в виде специального приложения к конвенции ИКАО типа ANNEX 19, в котором принципы управления рисками [6; 7] разде-

лены по факторам опасных воздействий на системы. Так, понятие среднего риска по ВАБ (или средней вероятности аварии одного танкера из множества в зоне разлива нефти, как, например, в [8]) нуждается в определении генеральной совокупности событий и прочих условий задач, что не сделано в [5; 8].

В данном случае для САБ термин «авиационная безопасность систем» предлагается определять так же, как термин «безопасность полетов» БП [1; 6] в соответствии с рекомендациями международных стандартов ISO-8404, ISO-9000, по ИКАО (док. 9435, 2002), т. е. через понятие риска возникновения некоторого негативного явления (события) — типа происшествия, террористического акта, отказа системы, катастрофы — в следующей форме: Safety: state in which the risk of harm (to persons) or damage is limited to an acceptable level.

В Воздушном кодексе РФ (1999 г.) понятие безопасности полетов по ИКАО не введено. Принятая формулировка «Авиационная безопасность — состояние защищенности авиации от незаконного вмешательства» не позволяет измерять уровни авиационной безопасности так, как это принято в случае с безопасностью полетов для SMS [1; 3; 6; 7].

Мы предлагаем для ряда ключевых терминов принять трактовки на основе концепции риска по ИКАО [1], а именно:

• риск — это возможная (предполагаемая) опасность с нечеткой мерой количества опасности и с определенным ущербом (это качественное, т. е. физическое определение);

• риск может быть больше или меньше, что определяется сочетаниями показателей частоты (возможности) появления события и тяжести последствий.

Таким образом, риск — объективная характеристика или мера количества опасности в некотором прогнозируемом состоянии при условии, что еще не осуществившееся опасное событие может случайно произойти и принести последствия в виде вреда или ущерба. Из этого (по умолчанию из [1-3]) вытекают определения и для практических разработок в виде четко различимых понятий [6; 7]:

• риск — опасность с нечеткой мерой или количеством опасности (определение № 1);

• величина риска (просто риск) есть интегральная значимость (или мера) риска с учетом частоты и ущерба, измеренная экспертно с помощью единого

инструмента «матрица анализа рисков» (определение № 2) [1; 2; 6; 7].

Интегральный риск не может совпадать с простейшим понятием среднего риска (например, в [5]), что принято в методе ВАБ (к примеру, для АЭС), так как вероятность рискового события «почти ноль».

Далее могут быть рассмотрены следующие понятия и определения:

• угроза — источник опасности, локализованный во времени и пространстве (системно, т. е. с указанием признаков и факторов этой угрозы);

• опасность — состояние системы, в которой может произойти опасное (прогнозируемое рисковое) событие при данной выявленной (обнаруженной) угрозе по некоторым факторам, если факторы могут проявиться;

• опасное (рисковое) событие — случайное неопределенное (возможное, предполагаемое) событие, которое может произойти или не произойти, но обязательно влечет за собой ущерб, вред или другие нежелательные последствия для системы.

В системе может быть заложена катастрофа (или системная ошибка), которая должна быть найдена путем прогнозирования критических состояний [1] (по разным показателям, но наиболее целесообразно по риску — потенциальному, приемлемому с учетом структуры системы и характеристик внешней среды).

Оценка угроз и модель управления рисками

Ниже обосновывается полезность применения в деятельности САБ методов управления риском и определения угроз с учетом критериев уязвимости, например по способам категорирова-ния КВО [4] для формирования ответных действий по обеспечению авиационной безопасности путем снижения уровня риска возникновения неприемлемых последствий. На основе изложенной концепции риска по ИКАО может быть введен ряд определений.

Рисковое событие Я как математическая категория — это дискретное событие с такими двойственными свойствами, как случайность и ущерб [1; 6; 7]. Тогда оценка риска Я как количества опасности в системе с прогнозируемым рисковым событием Я первоначально задается множеством соответствующих показателей, а затем — в интегральном виде, например в баллах или в индикаторах с помощью матриц анализа рисков (рис. 1,2) [2; 3; 6].

Математическая характеристика, отражающая физическую сущность риска, вытекает из понятия бинарного разбиения пространства й исходов на события ш0, ш1:

й = (00 и т1 и 0, т0= А, ю1= А = Я, (1) где т0 — класс (множество) событий, не являющихся опасными;

А — событие, обратное к ш0, т. е. опасное,

Степень опасности проявления терроризма Категории опасности объектов транспорта (ущерб)

Высокая Средняя Низкая

Высокая 1 2 3

Средняя 4 5 6

Низкая 7 8 9

Рис. 1. Матрица рисков возникновения АНВ в авиакомпании Boeing

Угроза Степень защищенности U (уровень обеспечения авиационной безопасности)

Возможность совершения AHB в деятельность «Аэрофлота» (уровень угроз) К Класс А Класс В КлассС КлассД Класс Е

Категория 1 Категория 2 1А 1В 1С 1Д 1Е

2А 2В 2С 2Д 2Е

Категория 2 ЗА ЗВ ЗС зд ЗЕ

Категория 4 4А 4В 4С 4Д 4Е

Категория 5 5А 5В 5С 5Д 5Е

Рис. 2. Матрица рисков АНВ в авиакомпании «Аэрофлот

например рисковое R такое, что R = Rx = = uRj — класс событий в группе Rs [6], составленной из событий Rj.

Формула (1) обосновывает практическое применение матриц рисков по ИКАО (для Boeing) из [1; 2]: матрица дает значение случайности (и ущерба) только для одного события — исхода A = R &Rs без детального построения генеральной совокупности событий. Ввиду редкости событий класса а1 в (1) приходится экспертно оценивать меру случайности этого события, например «угадывать» ее значение без генеральной совокупности событий для танкеров [8]. При этом матрица будет одна, а результатов оценки значимости рисков (в баллах по опасным факторам) может быть несколько. Набор таких «угаданных» оценок не нормирован ни в [5], ни в [8].

С учетом этого в качестве примера предлагается рассмотреть матрицы рисков Boeing и «Аэрофлот» (рис. 1, 2).

Здесь предложено находить индикатор риска без вероятности в виде

R =f(K, U); K = 1, ..., 5; U=A,..., E.

Интегральный риск R не совпадает с простейшим понятием среднего риска, например в [5], что принято в методе ВАБ, так как вероятность рискового события «почти ноль».

Следствие 1. Величина риска как физической категории, или его оценка R, формально, согласно концепции риска, оценивается через двух- или трехмерное множество показателей, как было предложено [6; 7] в виде

R = {^,Hr\-L0},

R =

(2) (3)

где и1 — прогнозируемая мера риска первого рода в форме показателя случайности или неопределенности возникновения рискового события, которую можно измерить экс-пертно (редко, часто и т. п.) без вероятностной категории (более корректно, чем в [5; 8]); Ик — мера последствий или ущерба; и2 — мера риска 2-го рода в системе за счет системных ошибок;

20—условия опыта или ситуации при эксплуатации системы (класс опасности или модель системы), в том числе сценарии развития событий при аварии или катастрофе.

Условие и знак 20 в (2), (3) задавать обязательно, так как в них заложены принимаемые гипотезы о моделях угроз и поражающих факторах, особенно при анализе АНВ с возможным проявлением признаков терроризма.

Следствие 2. В опасных ситуациях с вероятностью результатов «почти

ноль» допустимо оценивать риск по относительным и условным показателям и, в пределе, только по величине возможного ущерба (убытков), как, например, при страховании или при оценке последствий от землетрясений.

Согласно международным стандартам [1; 2; 6], безопасность (safety or security) системы при наличии угрозы определяется через риск как состояние системы с приемлемым (допустимым) значением оценки риска R при возможном рисковом событии R, т. е. с условием RsR-. На основе интегрального (обобщенного) показателя R с критическим значением R• по (2), (3) условие безопасности будет

R^R,^>R, = {R,j}, (4)

= fR(R.\Z0) = fJn^M.%). (5)

где fR — функционал от множества элементов (2), например в баллах или в индикаторах [6; 7].

Интегральное значение R (уровень) оценки риска в (5) может быть найдено также путем назначения предпочтений R ■ R(R) для объектов типа аэровокзалов, взлетных полос, хранилищ горючего, технических служб и т. д. В матрице значимости рисков возникновения АНВ авиакомпании «Аэрофлот» (рис. 2) возможность АНВ ранее была определена через вероятность, что признано некорректным и уже исправлено ИКАО в А^ЕХ 19 для [1] (в виде Likelihood).

Проактивная (прогнозируемая) оценка значимости опасности от АНВ

Что касается стратегий и способов проактивного управления рисками в САБ, то принимается полный отказ от стратегии действий в расчете «на авось» (исходя из трактовок NASA, США). Управление рисками осуществляется в зависимости от классифицированных по ИКАО факторов опасности на основе априорных и прогнозируемых (про-активных) информационных баз данных и баз знаний в САБ [2].

Альтернативными корректирующими способами управления состоянием системы и рисками АНВ являются полная компенсация всех расчетных потерь и ущербов (страхование, перестрахование рисков); принятие рисков по стратегии «на авось», т. е. без управления рисками; непринятие рисков (возможных рисковых событий) путем уклонения от факторов риска при проявлении факторов (проявлении рисковых факторов) в виде стратегии час-

или

тичного принятия расчетных рисков и т. п. [1; 6].

При категорировании критически важных объектов инфраструктуры транспорта ГА принимается, что риск возможного нарушения режимов работы САБ является единым критерием для всех уровней иерархии управления безопасностью КВО. Аэропорт первой категории, например, имеет такие критически важные элементы, как здание аэровокзала, ВС, стоянки ВС, пункт управления воздушным движением. Требуемый профиль защиты каждого критического элемента устанавливается с помощью матрицы оценки рисков (рис. 2) по критерию достаточности защиты на допустимом уровне риска нарушения нормального состояния критических элементов.

Говоря о принципах оценивания уровня безопасности в системах САБ на основе моделей прогнозирования катастроф с помощью цепей событий, необходимо отметить, что для построения систем обеспечения защиты объектов транспорта от терроризма и других опасных угроз (с вероятностью «почти ноль») приходится отказываться от расчета вероятностных показателей редких событий и применять — для прогноза возможных последствий — комбинаторные методы теории цепей (по ИКАО — цепи Дж. Ризона).

Действительно, ошибки 1-го и 2-го рода технических устройств в САБ влияют на оценку и точность прогноза рисков АНВ и порождают новые проблемы из-за ложного срабатывания устройств, например при просвечивании багажа, или пропуска (необнаружения) сигнала от целей. Так, в случае единичного факта (события) необнаружения взрывчатки, пронесенной на борт ВС в конкретном аэропорту, АНВ произойдет в другом аэропорту, на другом ВС. Установить, в каком месте возникает риск АНВ трудно, и оценить какие бы то ни было вероятности невозможно (и не имеет смысла из-за малости и неточности оценок и неясности структуры генеральной совокупности событий [5]), поэтому метод оценивания рисков АНВ на основе определений (1), (2) (см. выше) представляется более продуктивным.

Наконец, следует сказать о моделях путей к катастрофе в виде путей блуждания некоторой точки на графе смены дискретных состояний. Модели процессов попадания системы в состояние катастрофы по маршрутам на графах дерева событий в виде цепей случай-

ных событий (Дж. Ризона) позволяют рассматривать (априорно-проактив-но) опасные тенденции возникновения АНВ. В случае терроризма вероятность обнаружения террористических группировок (или намерений) про КВО или мест нанесения поражающих ударов оказывается недостоверной и очень малой. Поэтому целесообразно переходить к управлению риском (но не вероятностями, что теоретически невозможно) и заранее на основе прогноза устранять причины потенциальных катастроф.

Пути к катастрофе — это цепи событий Ьк, составленные из состояний qK в процессе блуждания изображающей точки на графе смены возможных состояний [7], например для САБ. Любые состояния на графе могут быть выявлены по методу деревьев событий (исходя из теории надежности) через признаки состояний типа отказов элементов или барьеров защиты, например в виде:

qк.=f{zi^,G), (6)

где Хц »хц индикатор отказа в виде логиче-

ского отрицания истинности состояния Хц. (знак („„) — логическое отрицание [7]); qк— критические состояния системы, опре-

деляющие катастрофу как состояние системы на графе смены состояний О^к}.

Возможные пути Ьк (цепи) из множества {1к} формально обозначаются в виде [7]:

^к = ^о, ql, q2, . qK). (7)

Множество {1к} в (7) — это множество путей (сценариев событий) на графе О. Задача заключается в том, чтобы связать эти цепи со множеством состояний типа «минимального сечения отказов», что позволит находить (трактовать) эти цепи как цепи Ризона. Оценка значимости комбинации элементов в виде некоторых событий, составляющих цепи Дж. Ризона, основана на матрицах, изображенных на рис. 1, 2, и может быть задана для КВО в виде обобщенной (комбинаторной) категории опасности по факторам (без вероятностей, например, для рис. 2), где

2ц еZ = {2ц \ /,ц} ~{кък2,к} ,..., к9},

где — элементарные события типа отказов, ошибочных действий, пропуски сигналов; кп — индексы критичности по [4], находимые с помощью матриц (рис. 2).

В соответствии с методологией исчисления рисков проведение анализа последствий от АНВ только по значимости ущербов (в отличие от [5; 8], где за основу взяты понятия «вероятность»

и «условная вероятность») вполне оправданно, так как это позволяет находить корректирующее управление в САБ для противодействия АНВ без учета вероятности возникновения угроз или других событий (поскольку такой учет все равно невозможен).

Литература

1. Руководство по обеспечению безопасности полетов (РУБП) / пер. с англ. Doc. 9859, AN/460. ИКАО (Монреаль); Минтранс РФ.

М., 2009.

2. GAO: Risk Management. Washington, 2005. № 91105.

3. Boeing-CD-Guide (516-BASP Safety Impl.ppt). М.: МАК, М., 2003.

4. Методика категорирования критически важных объектов гражданской авиации www.gosniiga.ru. Центр транспортной безопасности ГосНИИ ГА.

5. Волынский-Басманов Ю. М., Михайлов Ю. Б. Методика определения и количественная оценка рисков получения объектами гражданской авиации ущербов от результатов реализации актов незаконного вмешательства // Транспортная безопасность и технологии. 2012. № 1.

6. Смуров М. Ю., Куклев Е. А., Евдокимов В. Г., Гипич Г. Н. Безопасность полетов воздушных судов гражданской авиации с учетом рисков возникновения негативных событий // Транспорт РФ. 2012. № 1 (38).

7. Куклев Е. А. Оценивание безопасности сложных систем на основе моделей рисков // Тр. XV Междунар. конф. Ч. 1. Проблемы управления безопасностью сложных систем / ИПУ РАН, МЧС. М., 2007.

8. Вальдман Н. А. О применении экспертно-статистического метода при оценке риска морских работ // Транспорт РФ. 2011. № 2 (33).

Pent air

Technical Products

5chroFF»