Интегрированная система управления безопасностью авиационной деятельности на основе стандартов и рекомендованной практики ИКАО (Annex-19)
Необходимость создания систем управления безопасностью авиационной деятельности (СМБ АД) в гражданской авиации (ГА) России обусловлена требованиями проекта нового приложения Annex-19, дополняющего комплект документов Международной организации гражданской авиации (ИКАО), регулирующих безопасность полетов (БП). Указанный комплекс нормативно-правовых документов, стандартов и руководств по управлению БП совместно с набором инструментов и методик определения уровней безопасности и управления рисками характеризует в некотором смысле разновидность SMS (Safety Management System), признаваемой мировым авиационным сообществом.
В. Г. Евдокимов,
канд. техн. наук, генеральный директор ОАО «Авиатехприемка» (Москва)
Для ГА Российской Федерации нужно создавать так называемую международную SMS. Новым для России является необходимость преобразования признанных авиационным сообществом систем управления безопасностью полетов (СУБП — SMS) в более развитый комплекс СМБ АД для оценивания безопасности и управления ею не только с позиций надежности [1] (качества и потребительских свойств), но и с позиции методик исчисления показателей опасности, выраженных через понятия рисков [2; 3]. Для ГА России в ближайшем будущем должен быть разработан ряд стандартов на СМБ АД. В связи с этим мы рассматриваем как наиболее важные для СМБ АД и интермодальных перевозок (в модуле совместно с ОАО «РЖД») вопросы исчисления рисков и способ интеграции двух систем: SMS и OMS (Ouality Management System).
Построение системы управления безопасностью (SMS)
Главные особенности построения международной SMS наиболее четко изложены в документе [3; 4], созданном в американской FAA (Federal Aviation Administration — Федеральное управление гражданской авиации США) под руководством Амера Юносси, главы департамента БП FAA. В этом документе представлены основные модули системы, рекомендованные ИКАО для включения в новые международные стандарты типа Annex-19 [3; 5]. Предлагаются 10 позиций (Blue Folder), которые должны быть отражены в структуре проектируемой SMS
1 п мш
I U ÏUL IMUIlu ÍKOW ASClfT U/ЕТУ
ШКии t miiiK ■
Рис. 1. Титульный лист документа, подготовленного FAA: 10 вещей, которые следует знать о системах управления безопасностью
(титульный лист документа приведен на рис. 1). Показано, что SMS фокусируется на возможностях постоянного улучшения общей безопасности авиационной системы. Ключевыми для SMS являются следующие процессы:
• идентификация опасностей, связанных с деятельностью организации;
• управление рисками на основе стандартного подхода к оценке и контролю рисков.
SMS — это активная система: она интегрируется с другими системами управления для формирования гибкой нормативно-правовой базы организации, в ней определяются опасности и риски, которые влияют на всю организацию, а также устанавливается контроль над рисками для полного соответствия стандартам надежности [6]. Поскольку SMS фокусирует-
СУБП - аналог SMS. Подсистема Б - замкнутая, с обратными связями
Подсистема 1 ИДЕНТИФИКАЦИЯ РИСКОВ связь № 3 Подсистема 2 УПРАВЛЕНИЕ БП (цепи Дж. Ризона, SHEL) -А
УГРОЗЫ
(определение источников опасности) ФАКТОРЫ ОПАСНОСТИ ПЕРЕЧЕНЬ ОПАСНОСТЕЙ (БД 1)
Обратная связь № 2
ПРОСТЫЕ РИСКИ
СОСТАВНЫЕ РИСКИ Цепи Дж. Ризона
ПОЛНАЯ БД РИСКОВ АВИАКОМПАНИИ (факторы риска, ситуации, рисковые цепи, события, тенденции)
МОДУЛИ ПРОЦЕДУРЫ ФОРМИРОВАНИЯ РЕШЕНИЙ ПО СНИЖЕНИЮ РИСКОВ
ОЦЕНКА ЭКОНОМИЧЕСКИХ ЗАТРАТ
СТРАТЕГИЯ РУКОВОДСТВА ГА И ВЫДЕЛЕНИЕ РЕСУРСОВ
Рис. 2. Управление рисками в системе СМБ-SMS
ся на опасностях и при этом из-за несоответствия стратегическим целям бизнес-организации (например, государству) обе системы могут повлиять на безопасность, должна разрабатываться SMS, интегрированная с QMS. Предлагается альтернативное по отношению к [3] определение SМS (СУБП) на русском языке, отражающее стандартный подход к оценке и контролю рисков: «Система управления безопасностью полетов — это множество взаимосвязанных и упорядоченных элементов или модулей (в минимальном составе по Annex-19), предназначенных для достижения цели управления по обеспечению необходимого уровня безопасности полетов в соответствии с принятым системным подходом» [5].
Следующее определение вошло в национальный стандарт ГА РФ (ТК-ОЗ4), согласно идеологии Annex-19 и [5], что, возможно, будет полезным и для ОАО «РЖД»: «Системный подход ИКАО к управлению безопасностью полетов определяет инструменты для управления состоянием систем, создания иерархической структуры организации СУБП, включающей модуль функций обеспечения ответственности руководителя за БП в бизнес-структуре».
Принцип построения и определения состава СМБ АД
Основной блок СМБ АД состоит из отдельных модулей, которые позволяют оценить и повысить общий уровень безопасности: выявив характеристики неблагоприятных одиночных и редких событий при малых статистических выборках, принять меры к их устранению и предотвращению.
В качестве основных модулей принимаются схемы упреждающего управления безопасностью полетов (рис. 2), позволяющие получить от поставщиков обслуживания следующие выходные результаты:
• идентификацию угроз (список опасностей, событий и факторов);
• идентификацию рисковых событий (оценивание рисков);
• определение последствий (оценка ущербов из базы знаний);
• определение управляющих воздействий на систему для снижения рисков.
Понятие риска в представленной системе трактуется в первоначальном смысле, как в инженерно-физических науках: риск — возможная опасность. Эта опасность обусловлена ошибками управления, человеческим фактором и прочим и всегда рассматривается в методологии исчисления рисков как прогнозируемая, если обнаружены условия возникновения рискового события. Проблему представляет обнаружение в системе скрытых угроз в зависимости от остаточного риска, заложенного на стадиях разработки и производства транспортной техники в целом и авиационной техники (самолетов, вертолетов) в частности.
Общий способ управления безопасностью на основе про-активного (предиктивного) метода с учетом идентификации факторов риска может быть определен на основе обобщенной цепи категорий СУБП в следующем виде [4; 5; 7]:
(угроза — рисковое событие — прогноз сценария событий, ведущих к катастрофе — опасное состояние — оценка риска —
управляющее воздействие). (1)
В общей структуре СМБ-SМS выделяются два основных типовых модуля:
• модуль 1 — это интеграция требований QMS с принципами функционирования SМS для достижения основного результата — обеспечения заданного уровня безопасности на основе концепции рисков (по ИКАО) с учетом всех аспектов деятельности;
• модуль 2 — инструментальные средства измерения и прогнозирования рисков, оценивание интегральной значимости рисков, нормирование приемлемых рисков, формализация и создание системы идентификации рисков и базы факторов риска, управление рисками по схеме (рис. 2) и предотвращение возникновения негативных ситуаций в соответствии с рекомендациями регламентирующих документов.
Главные требования к национальным стандартам СМБ АД и базы данных (БД) различаются в зависимости от типа СМБ АД. СМБ, работающая на государственном уровне АД, выполняет следующие функции:
• непрерывный мониторинг параметров полета и состояния систем всех ВС в регионе (это всегда делалось в ГА РФ, но на другой технической информационной основе);
• создание на основе прототипа ACARS (А-380) системы взаимодействия ВС с наземными техническими службами во время полета и при обслуживании ВС;
• пополнение баз данных и администрирование всех поставщиков обслуживания.
Глобальная СМД АД и БД, созданная по прототипу NASA, выполняет следующие функции:
• автоматизированный сбор и анализ полученной информации на борту воздушного судна;
• анализ связи воздушного судна на всей поверхности земного шара (FORAS, ACARS и в наземных службах);
• обработка накопленной информации с позиций анализа рисков и качества работы систем и агрегатов на основе эталонов качества (надежности агрегатов, опасных сценариев и пр.);
• оценивание на основе руководящих документов актуального уровня надежности и безопасности авиатехники в течение жизненного цикла;
• автоматизированное выявление факторов возникновения опасности по маршруту полета и заблаговременное информирование экипажа воздушного судна о возможных угрозах, о деятельности поставщика услуг, о ресурсах, транспортных средствах и пр.
Необходимо создать отдельный стандарт, содержащий классификацию угроз, перечень опасностей и моделей опасностей, например в виде сценариев и цепей Дж. Ри-зона.
Исчисление рисков на основе новой доктрины оценки уровня безопасности авиационных систем
Приведенные ниже положения можно рассматривать как некоторое предостережение против применения в теории безопасности систем ряда недостаточно корректных рекомендаций теории надежности (ТН) касательно известной проблемы редких событий.
Предлагается принять новую доктрину [7], формулируемую авторами статьи [5], в том числе профессором Е. А. Куклевым, в виде «надежность — риски — безопасность» (НРБ).
В соответствии с доктриной НРБ показатели безопасности авиационных систем в СМД АД определяются через категории риска при переходе от нормативных показателей надежности к уровням безопасности в индикаторной форме оценки значимости рисков по NASA. Эта доктрина является особым продолжением ТН, переносом ее в область множеств математических объектов и систем в сфере Fuzzy Sets (для рисковых событий типа функциональных отказов [8]). В рамках теории системной безопасности данная доктрина позволяет перейти к новым программам обеспечения безопасности полетов (и промышленной безопасности).
Стратегия дальнейших действий вытекает из логики построения структуры модулей SMS. Создаваемая система должна быть высоконадежной; производитель техники должен обеспечивать такое качество (свойство по ТН), чтобы остаточный риск по вероятности рискового события был не хуже, чем 10-4...10-6.
Высокая надежность технической системы определяется:
• обеспечением нормативных показателей надежности в соответствии с гипотезой истинности событий на гиперкубе состояний [5] на основе положений классической ТН;
• регламентированием (по актам) нормативных показателей надежности и значений остаточных рисков по основным важнейшим факторам рисков с наиболее значимыми негативными последствиями от функциональных отказов по факторам производства и эксплуатации (Ф1 и Ф2).
Опыт преодоления указанных проблем, в частности путем смягчения последствий от факторов остаточного риска, проиллюстрирован эксплуатацией в России воздушных судов иностранного производства, таких как Airbus, Boeing и другие, c применением стратегий и программ MSG и MEL. Также известен опыт ГосНИИ ГА, применявшего MSG в ГА РФ для отечественных судов типа ТУ-154.
В свете предупреждения, высказанного выше, необходимо рассмотреть особенности одного комплексного показателя безопасности полетов, который был разработан в ОАО «Аэрофлот», но подвергся справедливой критике в [9] ввиду трудностей его применения в ситуациях с редкими событиями с почти нулевой вероятностью. Остановиться на этом необходимо, чтобы не допустить проникновения подобных положений в новые стандарты по БП в ГА (и тем более в ОАО «РЖД»). Так, был предложен средневзвешенный показатель значимости особых ситуаций, фиксируемых в авиакомпаниях в полетах в процессе эксплуатации воздушных судов, в виде:
Иууп ' ^УУП + "ее ' Kœ + ПАС ■ КАС +п КС • Ккс
N
100%, (2)
где п. — число авиационных событий разного типа по руководству по летной эксплуатации (РЛЭ) за полетное время воздушного судна;
К — коэффициент учета влияния каждого компонента на общий уровень показателя БП.
Ввиду отсутствия статистики в показатель (2) не удается включить значимость катастроф, причем сценарии событий по ИКАО были игнорированы. Значение этого показателя всегда остается высоким, изменяясь в диапазоне [100...99,900 %]. Следовательно, все это не может иметь практического значения. Включать (2) в общий стандарт на СМБ АД [3] не рекомендуется. Целесообразно ориентироваться на документацию ИКАО [2; 3; 5; 6].
Следующее замечание касается формулы оценивания так называемой «вероятности безопасного полета» по [10] в виде: Рбп = ¡{А,В, В(А)}.
В примерах [10] для трех отказов разного сорта (В) по этой формуле были получены выражения:
РБП0 = РО = 1 - (Ъ'Ь ■ <2з); РБП1 = РО + &Р((Р1 • ^ Р • Р^ (Рз • Чз)), (3)
где А — событие; В — гипотеза;
(А/В) — некоторое условное событие на гипотезе; Р — оператор вычисления вероятности события.
Этот пример отражает попытку определить показатель состояния системы при редких рисковых событиях по аналогии с вероятностью безотказной работы системы и среднего времени до катастрофы. Все это невозможно, поскольку при редких рисковых событиях необходимая статистика для определения
вероятностей обратных событий типа q = 1- Ро где «О» — это надежная работа со средним временем наработки То до первого отказа. При этом Ро меняется примерно от Ро = 0,95 до 0,9999, а q — от q = 0,05 до 0,0001, что соответствует известным сведениям о катастрофах воздушных судов типа Airbus от одной до трех за 10-15 лет эксплуатации в ГА. Из этого следует, что значение delP((p1 ■ q.), (p1 • p2), (p3 • q3)) ничтожно мало и недостоверно. Поэтому необходимо разрабатывать альтернативные методы оценки уровня безопасности по ИКАО для ГА, в частности на основе исчисления рисков, например по [7] в виде функции от множества двух элементов:
^ R = / (Д | 20),
где R — интегральная значимость риска для рискового события негативным результатом HR;
HR— мера последствий или ущерба (цена риска - «тяжесть» вреда); Хо — условия опыта или ситуация при эксплуатации системы (класс опасности и модель опасности системы, дерево отказов и т. д.); R = (jllt> HR) — двухмерная оценка риска.
Необходимая эффективность СМБ АД может быть достигнута при расширении ее функциональных возможностей, при этом можно создать механизмы и инструменты управления состоянием АТС на основе управления рисками в условиях неопределенности информации об АТС. Фактически в данной статье решена проблема поиска численной меры такой категории, как возможность возникновения случайных событий, причем не с помощью вероятности, которую невозможно вычислить [2; 6], а на другой основе [5] — например, в рамках проблемы редких событий Fuzzy Sets [12]. □
Литература
1. Аронов И. З., Александровская Г. Г. и др. Безопасность и надежность технических систем. М.: Логос, 2008.
2. Руководство по обеспечению безопасности полетов (РУБП) / пер. с англ. Doc. 9859, AN/460 - ИКАО (Монреаль). М.: Минтранс РФ, 2009.
3. SMM. Doc. 9859 AN/474. Руководство по управлению безопасностью полетов (РУБП). 2-е изд. ИКАО, 2012.
4. Amer Younossy. 10 Things You Should Know about SMS. FAA, Washington, 2012.
5. Смуров М. Ю., Куклев Е. А., Евдокимов В. Г., Гипич Г. Н. Безопасность полетов воздушных судов гражданской авиации с учетом рисков возникновения негативных событий // Транспорт РФ. 2012. № 1(38). С. 48-52.
6. British Standart. Ouality management and quality-assurance. Vocabulary. BCEN 1S0-8402: 1992.
7. Куклев Е. А. Оценивание рисков катастроф в высоконадежных системах // Труды 13-й Межд. конф. «Проблемы управления безопасностью сложных систем». ИПУ РАН. М.: 2005. С. 5 5.
8. ГОСТ Р 51901.13-2005. Анализ дерева неисправностей в сложных системах.
9. Матвеев Г. Н. Метод проактивного управления безопасностью полетов в авиакомпании. Автореф. дисс. ... канд. техн. наук. М., 2010.
10. Сакач Р. В., Зубков Б. В. Безопасность полетов. М.: Транспорт, 1989.
11. ГОСТ 2005. Менеджмент риска. Исследование опасности и работоспособности технических систем.
12. Рыбин В. В. Основы теории нечетких множеств и нечеткой логики. М.: МАИ, 2007.