Методические основы оценки безопасности полетов и управления рисками в авиационных системах

В традициoнных cхемах oценки надежнocти cлoжных cиcтем вoзникают задачи oпределения пoказателей безoпаcнocти при уcлoвиях, чтo некoтoрые coбытия типа ocoбых функциoнальных oтказoв, привoдящих к авариям или катаcтрофам, cобытия редкие — c вероятноcтью «почта-ноль». Они трудно поддаютcя анализу на оcнове методов теории надёжноcти, поcкольку имеютcя неяcности во взаимосвязи положений теорий безопасности систем (БС) и теории надёжности (ТН) в классах safety, security, а также существуют проблемы использования информации из статистических материалов с малыми объемами выборок.

Понятие безопасности полетов базируется на определении смысла безопасности как состояния систем с приемлемым уровнем риска возникновения нежелательных последствий или ущерба в условиях воздействия на рассматриваемые системы опасных факторов, которые порождаются внешней средой и самой системой.

Рассмотрим применяемые сегодня методы анализа риска неблагоприятных происшествий и управления безопасностью систем на основе разработки моделей опасности, оценивание рисков и определение уровней безопасности с учетом характеристик надежности изделий и показателей летной годности в связи с внедрением в гражданской авиации СУБП (SMS).

За основу определения и классификации рисков принимаются признаки рисковых событий, обладающих такими свойствами, как — «случайность» событий и сопутствующий им «ущерб». При этом физический смысл «риску» как некоторой математической категории и соответственно величине риска или его мере (того, что можно измерять, или того, чем можно управлять на основе принципов классической теории управления) придается на основе того явления, где применение понятия риска полезно и необходимо.

Предлагается считать главным использование понятия безопасности сложных систем, основанного на определении смысла безопасности как состояния с приемлемым уровнем риска возникновения нежелательных последствий или ущерба в условиях воздействия на систему опасных факторов, которые порождаются внешней средой и самой системой. Широко применяется формула оценки риска, определенного в нечетких множествах, в форме — «Риск велик», «Риск невелик», «Риск большой», «Риск небольшой» и т.д.

Представленные характеристики «риска» (как некоторой категории) дают основания полагать, что риск — это математическая величина (символ — X,Y,Z, ), задающая прогнозируемое количество опасности в состояниях (опасных) системы, когда возможно возникновение опасного или рискового события R (здесь символ R — обозначение дискретного события, как в теории надежности, которое может произойти, а может и не произойти).

Соответственно и «состояние системы» можно понимать в первом приближении также в смысле определений теории надежности как одну из комбинаций элементов надежности, находящихся в физических состояниях типа «отказ», «неотказ».




Мера возможности возникновения любых различимых состояний рассматриваемого типа при анализе различных групп событий на этапе анализа структуры пространства исходов (в полной группе событий) совершенно не имеет значения и не учитывается до тех пор, пока не будут заданы функции распределения вероятностей событий или других показателей, способы привязки свойств событий к некоторым аргументам типа параметра в виде случайного момента времени возникновения отказа элементов и пр.

Основные направления возможных разработок следующие:

• «вероятностный и статистический анализ безопасности систем (БС) с помощью методов теории надежности (ТН) на основе понятия о функциональной надежности систем в виде положения «Если надежно, то безопасно», при этом предполагается, что данное утверждение вполне справедливо, если определен некоторый малый уровень вероятности отказа системы в целом — до первого (функционального) отказа;

• «анализ безопасности систем как состояния в дискретном вероятностном пространстве путем сравнения потенциальных (расчётных) рисков с «приемлемым риском» возникновения катастрофы с вероятностью «почти-ноль».

Рассмотрим принципиальное различие положений ТН и БС в сформулированной проблеме:

• в теории системной безопасности «безопасность», согласно международному стандарту ISO-8402, это «состояние», (не свойство), в котором учтены характеристики источников угроз, «вызовов», поражающих воздействий и т.п.

• в ТН «безопасность» трактуется как свойство (принято в некоторых известных публикациях, что, однако, вызывает сильные сомнения);

В положении ТН (о безопасности) неявно подразумевается, что если «система надёжная» (в известном смысле - по функции надежности), то «система — «безопасная». Например, в случае атомных энергетических станций (АЭС), согласно МАГАТЭ, используется определение «Безопасность АЭС — это «свойство», и «АЭС считается безопасной, если она удовлетворяет действующим правилам и нормам».

Однако в ТН не удаётся корректно оценить БС в особых аварийных случаях функционирования, поскольку за счёт повышения надёжности как «свойства» может быть дана всего лишь рекомендация на «сдвиг в бесконечность» момента времени наступления катастрофы.

Например, по БС, «Вертолёт с одним несущим ротором» — «опасен», так как в нём «заложена катастрофа", возникающая почти всегда в случае разрушения несущего винта (хотя это событие за счет повышения надёжности может наступить не скоро).

«Аэротакси с одним двигателем всегда опасно» в случае отказе двигателя при полётах над густонаселённым районом города. Однако данное «Аэротакси» «менее опасно» в случае отказе двигателя при полётах над пустынным районом некоторой территории, что почти очевидно, но как это формализовать? Теория рисков и системной безопасности дает формализованный обоснованный ответ, согласующийся со здравым смыслом. Надо рассчитать все риски, и те из них, которые не устранить просто так (например, «слишком дорого не летать»), принять, и считать их приемлемыми. Но для уменьшения возможного большого ущерба при данной стратегии разумно уменьшить риски в других возможных «прогнозируемых» катастрофических ситуациях путем управлениями рисками при эксплуатации систем, для чего необходимо разрабатывать СУБП — SMS по ИКАО. В случае принятия стратегии — для «Аэротакси с одним двигателем» — применить рекомендацию теории надежности и отодвинуть момент наступления катастрофы за счет усиления прочности, улучшения техобслуживания, введения более жестких ограничений на условия эксплуатации и т.п.

Безопасность полетов воздушных судов ГА представляет собой состояние авиационной транспортной системы, при котором риск причинения вреда лицам или нанесения ущерба имуществу снижен до приемлемого уровня и поддерживается на этом либо более низком уровне посредством непрерывного процесса выявления источников опасности и контроля факторов риска. (Распоряжение Правительства РФ № 641-р от 06 мая 2008 г.)

Таким образом, следует отказаться от использования устаревшего понятия, такого, как «Безопасность.... —  отсутствие недопустимого риска..... и т.д.». Необходимо, видимо, давать по мере возможности дополнительные разъяснения к условиям применения следующих определений — «Финансовый риск - это вероятность недополучения прибыли...» и т. п. в разных сочетаниях. Действительно, как можно страховать финансовые риски, если это — вероятность, (т.е. страховать «вероятность»), которую всегда даже вычислить трудно, особенно в финансовой сфере. Можно было бы страховать «опасности» (события), «последствия от рисковых событий» и т.п.

Совершенно неоправданным представляется использование иногда «архаизма» из положений теории надежности на уровне разработок 60-х годов: «Риск — вероятность, обратная вероятности надежной работы». Здесь имеются две неточности: произведение прямой и обратной величин равно единице, поэтому речь может идти только о вероятности, дополняющей функцию надежности до единицы.

Рассмотрим Концепцию безопасности на основе моделей «рисков возникновения катастроф», при этом примем основные положения «безопасности полетов», вытекающие из системной безопасности с учетом требований к надежности систем:

Положение 1. Функционирование систем обеспечения безопасности (Safety, Security) составляют две подсистемы, основанные на независимых принципах (№ 1, № 2), определённых ISO в виде: «Аудита» (№ 1) и мониторинга и управления рисками и надёжностью систем (№ 2).

Положение 2. Обоснование выбора возможных уровней безопасного и устойчивого функционирования техногенного комплекса производится на основе прогнозирования уровней возможных последствий, вреда и ущерба в сравнении с уровнем приемлемого риска в прогнозных сценариях попадания систем в критические состояния.

Принимаются определения:

• «безопасность» (по ISO-8402) определена как состояние системы (не свойство), уровень «безопасности» или «опасности» измеряется через «риск» в сравнении с «приемлемым риском»;

• «надежность — основа безопасности, но с помощью положений только «надёжности» безопасность не удается оценить (например, можно утверждать, что назначение вероятности аварии 10-5 в год на реактор недостаточно для обеспечения безопасности);

• в системе может быть заложена «катастрофа» (или «системная ошибка»), которая должна быть найдена «путём прогнозирования» критических состояний («по риску» — потенциальному, приемлемому с учетом структуры системы и характеристик внешней среды);

• методологию управления безопасностью и рисками аварий составляет комбинаторика дискретных событий и прогнозирование катастроф, аварий, нежелательных последствий с применением компьютерных систем (АСУ). При этом с помощью величины (уровня, цены) «риска» можно измерять необходимые показатели безопасности или опасности через некоторые другие показатели более низкого системного уровня; > при конструировании сложных технических систем необходимо учитывать требования к обеспечению и «надежности», и «безопасности» ввиду возможности возникновения катастроф с вероятностью «почти-ноль».

Общепринятые определения таких видов рисков, как индивидуальные, социальные, политические, финансовые, экологические, техногенные, конструкционные, при использовании единого подхода обозначают всего лишь признаки области применения концепции риска при оценке возможностей проявления опасности в системах.

Принимается, что риск, как математическая категория — это прогнозируемая мера количества опасности (прогнозируемый уровень опасности - по ИКАО) для возможного (прогнозируемого) дискретного события R (есть или нет по факту проявления), т.е. — это не вероятность.

В разработанном в ОАО «Авиатехприемка» и Техническом комитете—034 «Воздушный транспорт» классификаторе число групп рисков остается неизменным в разных сферах применения концепции рисков. Поэтому простота метода численного оценивания значимости риска в реальных системах также будет неизменной, хотя число признаков сфер применения моделей риска может быть велико. При этом могут применяться матрицы экспертной значимости рисков. Образец матрицы анализа риска дан (см. рис. 2). Управление безопасностью полётов производится по схеме:

а) управление риском на основе его оценок для рисковых событий R;

б) управление рисковыми цепями событий (по Д. Ризону) в заданных структурах по параметрам состояния;

в) резервирование для обеспечения БП.

Заключение. В общем случае положения надежности не позволяют непосредственно оценивать уровни системной безопасности, поскольку в теории надежности главным является принцип «отодвигания» по времени момента наступления катастрофы. Главной задачей теории БС является прогнозирование катастроф, возникающих в структурно-сложных системах с вероятностью «почти-ноль».

Отождествление «понятия риска» с определением «вероятности» некоторого события», как это принято в теории надежности, неконструктивно, особенно в случаях изучения «управляемых рисков» и маловероятных редких событий.