УДК 629.735.08
РАЗРАБОТКА СИСТЕМЫ УПРАВЛЕНИЯ РИСКАМИ В ОРГАНИЗАЦИИ ПО ТЕХНИЧЕСКОМУ ОБСЛУЖИВАНИЮ И РЕМОНТУ
В.Д. ШАРОВ, Р.В. ЕНИКЕЕВ
Статья представлена доктором технических наук, профессором Зубковым Б.В.
В статье представлена новая методология построения системы управления риском по безопасности для организации по техническому обслуживанию и ремонту на примере системы, разрабатываемой и внедряемой в ООО «С 7 ИНЖИНИРИНГ».
Ключевые слова: управление риском, барьеры безопасности.
Введение
При разработке Системы управления безопасностью полетов (СУБП) в соответствии с SARPs ИКАО организация по техническому обслуживанию и ремонту (ТОиР) сталкивается с рядом проблем организационного, методологического и технического характера. Естественное стремление эксплуатантов к увеличению интенсивности использования ВС порой вступает в противоречие с необходимостью строгого соблюдения графика регламентных работ и качества их выполнения.
В этих условиях возрастает значение системы управления риском (СУР) как универсального инструмента разрешения дилеммы “Production - Protection” [1].
В настоящее время нет единой методологии построения СУР для ТОиР, поэтому каждая организация ищет свои пути решения проблемы.
ООО «С 7 ИНЖИНИРИНГ» входит в состав ЗАО «С 7 Групп», не имеет собственного флота ВС, но, имея действующий PART-145 сертификат, оказывает услуги по поддержанию летной годности, планированию и выполнению ТО ВС западного производства различным эксплуатантам. Предоставляемые услуги в объеме базового и линейного технического обслуживания относятся к следующим типам ВС: АйЬш-310; А^^-319/320/321; Boeing-737-300/400/500/600/700/800/900; Boeing-767. Основными обслуживаемыми авиакомпаниями являются «Глобус» и «Сибирь».
При разработке СУР специалистами «С 7 ИНЖИНИРИНГ » были проанализированы несколько вариантов её построения. Система должна, прежде всего, анализировать риски, связанные с событиями и отклонениями в текущей эксплуатационной деятельности. «Классическая» модель ИКАО из [1] малопригодна для этой цели. Как отмечается в [3], эта модель ориентирована только на прогнозирование ситуации с использованием экспертных оценок.
Принципиально невозможно, опираясь на метод ИКАО, суммировать риски, поскольку при этом вероятность (частота) будет учитываться дважды, в то время как серьезность (тяжесть последствий) только один раз. Текущий мониторинг риска на основе модели ИКАО также связан с трудноразрешимыми проблемами.
Было решено использовать новый метод, предложенный в [2] и развитый в [3], который предусматривает:
1. Выполнение специальной процедуры оценки рисков для имевших место событий, мониторинг и статистическую обработку этих рисков. Риск измеряется с помощью специальной матрицы оценки индекса риска событий (ОИРС).
2. Выявление на основе процедуры ОИРС укрупненных факторов опасности и оценка риска их воздействия с учетом возможных изменений в деятельности с помощью метода оценки риска опасности (ОРО).
3. Использование при оценке рисков «барьера безопасности» (в соответствии с известной схемой проф. Д. Ризона) как ключевого элемента СУР.
Общая схема процесса, разработанная [3], приведена на рис. 1.
Рис. 1. Принципиальная схема процесса управления риском при ТОиР
Корректирующие действия разрабатываются на основе как процедуры ОИРС, так и статистического анализа и мониторинга риска и, разумеется, процедуры ОРО. Действия фиксируются в БД. Обратная связь обеспечивается корректировкой эксплуатационной деятельности и предполагаемых изменений.
1. Ввод данных
Процедура начинается со сбора информации из подразделений организации с помощью единой электронной системы «FleetWatch». Это система предназначена для планирования и управления деятельностью группы компаний S7, но она также позволяет накапливать сведения о событиях в деятельности в удобной форме [4].
Авиакомпании «Сибирь» и «Глобус» используют эту возможность в своих СУР, для чего была разработана система буквенно-цифрового кодирования - «классификатор событий». Поскольку этот классификатор не мог непосредственно использоваться для событий, относящихся к деятельности ООО «С 7 ИНЖИНИРИНГ», нами был разработан и внесен в БД «Fleet Watch» специальный классификатор.
Прежде всего, каждому подразделению организации была присвоена буква английского алфавита. Далее, все события и отклонения, наблюдаемые в деятельности подразделения, были разбиты на несколько больших групп в зависимости от аспектов деятельности, на которые эти события оказывают влияние. В каждой группе события разделены на подгруппы. Группы и подгруппы событий кодируются цифрами (от 1 до 9). На рис. 2 показан пример классификатора для цеха оперативного технического обслуживания (ОТО).
т Люди Индекс риска т Отказы авиационной техники по вине личного состава 1 І Y2-0 Нарушения в работе по вине личного состава 1! та Повреждения ВС на земле по вине личного состава И ЇДІ Имущество 1 І
Y01 Травш Y1I Отнэы систем Y21 Нарушение процедур Y31 Повреждение cvjioBoi установки Y4I Полона
Y02 Отгулы Y12 Отказы Y22 Наруие-« /кструсук Y32 ГІ0Ер5ХДЄ"/Є фпэеляха Y42 Утеря
YM MJlfcW".-=e Y13 Другое Y23 Фата несмстаемкм работы YJ3 ГоБрэаденге срыла Y4J Краха
Y04 Оікадаьге на работу Y24 Другое YJ4 ПоБрэвденее хвостоеого оперения Y44 Другое
Y05 Кшэнлгровм YJ5 Другое
YOe Другое
Э ■3 ■3 3 ■3
YM Оборудован»« Индекс риска Y-E-0 Инструмент Индекс риска ЇЇ0 Естественная среда Индекс риска та Финансовые потери II YS1 Логистическо е обеспечение Индекс риска
Y51 Полоуса Y81 Полона YT1 Кл/щтмекж условия YB1 Долги Y91 Засулка
Уй Отсутствге YB2 Утеря Y72 Рабочее условия YS2 Возмещение ущерба YS2 Выдача
YS3 Негаравюсть Y53 Неюрззность Y73 Другое Y&J Другое YS3 ДоэтэЕса
Y54 Догтава YS4 0ТСУТСТБ№ YS4 Пркеи
Y55 Другое Y65 ДостаБса YS5 Xpai-et-w
Yffi Другое YSe ¿Pi™
Рис. 2. Классификатор событий цеха ОТО
В зависимости от специфики подразделения поля классификатора могут меняться. Любое событие вносится в ячейку, соответствующую определенной подгруппе с уникальным буквенно-цифровым кодом. Благодаря этому можно отслеживать индексы риска всей организации в целом, каждого подразделения и каждой подгруппы событий по отдельности.
Ввод данных в БД осуществляется с помощью программы “Risk”, разработанной в авиакомпании «Сибирь» и описанной в [4]. Интерфейс ввода данных для «С 7 ИНЖИНИРИНГ» представлен на рис. 3.
Рис. 3. Рабочий интерфейс ввода данных в систему FleetWatch
Для реализации возможностей блока управления рисками «FleetWatch» в организации назначаются специалисты для ввода-вывода и статистического мониторинга.
2. Первоначальная оценка риска
Первоначальная обработка заключается в оценке риска имевших место событий с помощью матрицы ОИРС (рис. 4).
Измеряется риск, который имел место в изучаемом событии, при этом часть барьеров безопасности была «сломана», и для нас важно, какие барьеры остались и насколько они эффективны. Поэтому оценка риска основана на совокупности ответов по двум специальным вопросам, затрагивающим тяжесть возможных последствий и близость к авиационному происшествию.
Вопрос 2 Вопрос 1
Какова эффективность оставшихся барьеров между событием и вероятным сценарием развития опасной ситуации? Какое наиболее вероятное развитие могла получить данная ситуация?
Высокая Средняя Незначи- тельная Отсутствует
50 100 500 2500 Катастрофическая ситуация (КС)
10 20 100 500 Аварийная ситуация (АС)
2 4 20 100 Сложная ситуация (СС)
1 Усложнение условий эксплуатации (УУЭ)
Рис. 4. Матрица оценки индекса риска событий (ОИРС)
Численные значения индексов (обозначим их как 1г) от 1 до 2500 в матрице заимствованы из [2], где были получены на основе изучения данных страхования при АП. Целью была примерно экспоненциальная в обоих направлениях шкала при разнице между нижними и самым высоким уровнями около 1000. В нашей системе возможно их изменение на основе собственных данных в процессе апробации системы.
Наиболее вероятная серьезность развития ситуации в ходе ответа на Вопрос 1 оценивается в соответствии с Нормами летной годности (АП-25), но вместо «Усложнения условий полета» (УУП) мы используем состояние «Усложнение условий эксплуатации», которое в большей мере соответствует деятельности организации.
Оценку в виде ответов на указанные вопросы выполняют опытные специалисты по направлениям деятельности. Полученный индекс события оценивается по «светофорному» принципу (рис. 5).
Немедленно расследовать и предпринять действия
Использовать для дальнейшего анализа
Только занести в базу данных
Рис. 5. Схема рекомендуемых действий в зависимости от значения индекса риска
Для оценки суммарного риска разработана таблица, в которую заносится количество событий N за период отчетности по каждому значению 1г (табл. 1). По собранным данным рассчитывается индекс Яг для каждого 1г и суммарный индекс Я для отчетного периода
Я,= 1г - М„
Яз = £ Я,.
г=1
Таблица универсальна, поэтому ее можно применять как к структурному элементу, так и ко всей организации в целом, с привязкой к любому удобному периоду отчетности.
Таблица 1
Фрагмент таблицы учета рисков цеха ОТО (данные условные)
Значения ИРС (1г) Январь Февраль Декабрь Сумма
1 N1 Ш N1 Ш N1 Ш
1 1 31 31 37 37 32 32 323
2 2 19 38 21 42 18 36 472
3 4 15 60 17 68 13 52 728
4 10 8 80 8 80 7 70 990
5 20 8 160 6 120 9 180 2100
6 50 3 150 2 100 2 100 1350
7 100 2 200 2 200 2 200 2400
8 500 0 0 0 0 0 0 0
9 2500 0 0 0 0 0 0 0
Сумма 86 719 93 647 83 670 8363
На основании данных таблицы выполняется мониторинг суммарного индекса риска (рис. 6).
1000
900
т 500
ГО
К
41
700
<4
2 600
Щ
500
2 400 >5
х 300
га
и
200
100
суммарный индекс риска -количество событий
96
101
100
120
80
60
40
20
32
2
I-
2
ю
о
и
к
2
х
х
го
и
о
а
г
и
-©■
ГО
гг»
о
е
ь
г
т
г
о
янв
фев мар апр май
июн
и юл
авг
сен
окт
ноя
дек
Рис.6. Распределение суммарного индекса риска и количества событий по цеху ОТО в течение года (данные условные)
Можно видеть, что оценка риска по сумме индексов может существенно отличаться от оценки риска по количеству событий. Таким образом, учет индекса риска позволяет более обоснованно подходить к разработке корректирующих мероприятий.
3. Анализ риска опасностей
Анализ вероятного будущего риска представляет собой более трудоемкий процесс и требует применения иных методов. Для этой цели используется процедура ОРО, которая базируется на схеме развития события, представленной на рис. 7.
Катастрофа
Авария
Средний ущерб
Незначительный ущерб
Рис. 7. Схема развития авиационного события
На пути развития авиационного события (АС), как правило, существуют две группы барьеров: мы называем их «барьеры предотвращения» и «барьеры парирования». Если не срабатывает первая группа барьеров, происходит некоторое нежелательное событие. Оно может перерасти в АС в том случае, если недостаточно эффективны барьеры парирования.
Для анализа ОРО используются три матрицы (рис.8). Первая оценивает частоту проявления ФО и частоту отказов барьеров предотвращения. Вторая матрица оценивает частоту отказов барьеров парирования и серьезность вероятного исхода события. Мы сознательно отошли от рекомендации [1] и вместо наихудшего сценария рассматриваем наиболее вероятный.
Результат двух матриц в виде буквенно-цифрового показателя является источником информации для третьей матрицы, которая выдает итоговую ячейку риска. Третья матрица имеет три цвета, приемлемость риска определяется по аналогии с матрицей ОИРС.
Рис. 8. Схема оценки риска опасностей
Рассмотрим пример расчета риска, связанного с утерей инструмента во время выполнения технического обслуживания на ВС.
Факторами опасности (ФО) здесь могут быть высокая рабочая нагрузка, спешка при выполнении операций, отвлечение внимания техника на второстепенные операции и т.д. По имеющимся данным частота их проявления равна примерно 10 .
Барьерами предотвращения будут являться процедуры, которые препятствуют потере инструмента. Если ФО «пробивают» эти барьеры, наступает событие - оставление инструмента на борту ВС. Частота отказов барьеров предотвращения по нашим данным равна 10-1, что свидетельствует о не очень высокой их эффективности. С этими данными входим в первую матрицу и получаем ячейку с индексом «4».
Барьерами парирования будут процедуры, способствующие обнаружению утерянного инструмента. Их эффективность довольно высокая, частота отказов 10-2. Наиболее вероятный исход - локальное повреждение ВС без причинения серьезного вреда людям, т.е. средний ущерб. По этим данным из второй матрицы получаем ячейку с индексом «А».
По совокупности значений получаем ячейку в третьей матрице с индексом «4А». Цвет ячейки желтый, что означает приемлемость риска при условии проведения действий по его уменьшению, а информацию о нем необходимо использовать для дальнейшего анализа.
4. Контроль и уменьшение риска
После анализа проводятся мероприятия по устранению или уменьшению риска, связанные с разработкой и внедрением корректирующих и предупреждающих действий или, в терминах нового метода, создание новых и/или модернизация имеющихся барьеров безопасности. После этого может быть выполнена повторная оценка с определением уровня остаточного риска.
В рассмотренном примере с утерей инструмента следует разрабатывать меры, повышающие эффективность барьеров предотвращения. Это значит, нужно вносить изменения в технологии и процедуры, позволяющие своевременно обнаружить факт потери инструмента с возможно более точной идентификацией места его оставления. Задача - не допустить запуска двигателя или включение какой-либо системы/агрегата ВС с оставленным в нем инструментом.
Разработка рекомендаций по уменьшению риска является заключительным этапом анализа риска.
Меры по уменьшению риска, как известно, могут быть трех видов:
технические меры - предметы, оборудование или приспособления, которые препятствуют ненадлежащим действиям, предотвращают их, либо смягчают последствия;
организационные меры - процедуры, руководства, инструкции, правила и т.д., снижающие вероятность нежелательных событий;
обучение и подготовка персонала - совершенствование учебных программ, обучение сотрудников приемам снижения риска.
При выборе мер решающее значение имеет общая оценка действенности и надежности мер, оказывающих влияние на риск, а также размер затрат на их реализацию.
Решения в отношении контроля и уменьшения риска в организации ООО «С 7 ИНЖИНИРИНГ» выносятся лицами, ответственными за систему управления рисками, и носят обязательный характер.
5. Предлагаемый метод управления риском и анализ уязвимости сложных технических систем
Уместно отметить, что подход и схема развития события (рис. 7) согласуются с результатами работ по снижению уязвимости сложных технических систем (СТС) и критически важных объектов, приведенными в [5].
Математически уязвимость V определяется в [5] как условная вероятность выхода конечного состояния системы из заданной области е0 пространства состояний О т в случае, если произойдет инициирующее событие Н :
V=-р[[||кс„ - КС0| |)>е„ | Н ]. (1)
Для организации по ТОиР состоянием системы можно считать наличие или отсутствие «конечных событий», а заданной областью пространства состояний - область приемлемого риска.
Далее, в [5] цепочка событий, приводящая к разрушению системы, имеет аналог «события» в виде «локального повреждения». Соответственно уязвимость определяется двумя факторами, а в нашей терминологии - двумя группами барьеров безопасности.
Указанные общности в подходе дают возможность использовать результаты [5] и записать в принятых обозначениях сценарий АС как
М=К № № I. (2)
где {¿'} - вектор «конечных событий» системы ТОиР, его компоненты - вероятности реализации этих событий;
\УК ] - матрица уязвимости барьеров парирования, компонентами которой являются условные вероятности наступления «конечных событий» в случае различных НС;
V ] - матрица уязвимости барьеров предотвращения, компонентами которой являются условные вероятности наступления «события» в случае воздействия различных ФО;
[н ] - вектор факторов опасности (ФО), его компоненты - вероятности различных ФО.
Матрицу \уА ] можно рассматривать как матрицу перехода от вектора ФО [н] к вектору НС {е} и на основании формулы (17) из [5] записать
' " Р( ё1/ н 1) Р(Е1/ Н 2) . . Р(Е1/Нп)" Р( Н1)'
р( Е2) < > Р( Е 2/Н1) Рф2/ Н 2 . . Р(Е2/ Нп) X ■ Р(Н 2)
Р( Ет ), Р(Ет / Н1} Рфт / Н 2) . . Р(Ет / Нп )_ Р( Нп),
С помощью формулы (3) осуществляется переход от большого числа ФО к гораздо меньшему числу НС (т << п), что позволяет существенно снизить размерность задачи.
Матрица V ] представляет собой матрицу перехода от вектора НС {е} к вектору «конечных событий» по аналогии с формулой (18) из [3]
' Р№)' ■ РФ/ Е1) Р(^1/ Е2) . . Р№/ Ет ) " Р(Н1)
Р(Л 2) < > — Р(Б 2/Е1) Р(Л2/ е2 . . Р(82/ Ет ) X- Р( Н 2)
Р&9) 1 . 1Е} р^9 /е2) . . Р(^ / Ет )_ Р(Нп ),
Работа по снижению уязвимости начинается с анализа строения матрицы уязвимости парирования [¥к ], это позволяет выявить критические события. Далее рассматривается матрица [уА ], которая позволяет определить наиболее опасные ФО. Действия по снижению уязвимости включают разработку соответствующих барьеров как предотвращения, так и парирования.
Построение точных математических моделей для сценариев развития отказов СТС, как отмечено в [3], не представляется возможным. Это справедливо и для человеко-машинной системы, какой является организация по ТОиР. Поэтому важно идентифицировать наиболее критические сценарии. Возможно применение специальных методов снижения уязвимости, например, сетевых структурных моделей, описанных в [5], и здесь не обойтись без разработки специального программного обеспечения.
Выводы
1. Доказана возможность использования нового метода оценки риска событий, разработанного для авиакомпании, в организации по техническому обслуживанию. Метод свободен от многих недостатков традиционных схем, понятен и прост.
2. Важным преимуществом метода является возможность мониторинга риска отказов и имевших место событий и отклонений по группам факторов опасности, типам обслуживаемых ВС, цехам и т. д.
3. Предложенный метод оценки риска опасностей, основанный на анализе «барьеров безопасности», является логическим продолжением метода анализа риска событий, и позволяет быстро оценить эффективность предлагаемых мероприятий.
4. Отмеченное сходство предлагаемого метода и результатов исследований по оценке уязвимости СТС подтверждает обоснованность методологии.
ЛИТЕРАТУРА
1. Safety Management Manual (SMM), Second Edition, ICAO, 2009, http://www.icao.int/anb/safetymanagement/
2. Nisula J. Operational Risk Assessment. Next Generation Methodology, 2009, http://www.easa.europa.eu/essi/documents/ARMS.pdf
3. Зубков Б. В., Шаров В. Д. Теория и практика определения рисков в авиапредприятиях при разработке системы управления безопасностью полетов. - М.: МГТУ ГА, 2010.
4. Кулавский В. Г., Жуков С. А., Шаров В. Д. Разработка системы управления риском с использованием базы данных FleetWatch // Проблемы безопасности полетов. - М.: ВИНИТИ, 2010. - № 3.
5. Махутов Н. А., Петров В. П., Резников Д. О., Куксова В. И Обеспечение защищенности критически важных объектов на основе снижения их уязвимости // Проблемы безопасности и чрезвычайных ситуаций. - М.: ВИНИТИ, 2009. - № 2.
DEVELOPMENT OF RISK MANAGEMENT SYSTEM IN MAINTENANCE ORGANIZATION
Sharov V. D., Enikeev R. V.
The article presents new methodology of development of safety risk management system for maintenance organization based on the example of system being developed and implemented in S7 ENGINEERING Ltd.
Key words: risk management, safety barriers.
Сведения об авторах
Шаров Валерий Дмитриевич, 1955 г. р., окончил Академию ГА (1977), кандидат технических наук, ведущий специалист по управлению риском и анализу ОАО Авиакомпания «Сибирь», автор более 40 научных работ, область научных интересов - безопасность полетов, аэронавигация.
Еникеев Руслан Валериевич, 1986 г. р., окончил МГТУ ГА (2009), аспирант МГТУ ГА, аудитор отдела обеспечения качества ООО «С 7 ИНЖИНИРИНГ», область научных интересов - безопасность полетов.