Глава I. Системная безопасность гражданской авиации. структурно-функциональный синтез
Основополагающим принципом обеспечения безопасности, эффективности и минимизации риска авиации служит системный контроль и управление как на макроуровне, когда анализируется гражданская авиация страны, так и на микроуровне, когда анализируется самолет как микросистема гражданской авиации страны.
Необходимость создания теории системной авиации обусловлена стремлением обеспечить на уровне международной авиационной системы потребную безопасность, эффективность и минимизировать риски.
Основы системной безопасности авиации начали создаваться Международной организацией гражданской авиации (ICAO) и которые были оформлены в 2006 году в виде концепции системы управления безопасностью полетов.
1.1. Программы и системы обеспечения безопасности полетов. Структурно-функциональный синтез
Реализация безопасности полетов возложена на ICAO согласно статье 44 Конвенции по Международной гражданской авиации (Чикагской Конвенции).
Требования по безопасности полетов, сформулированные в системе ICAO, включают:
1) программы безопасности полетов, а также интегрированный набор правил по развитию безопасности полетов;
2) системы обеспечения безопасности полетов, реализующие программы безопасности полетов, которые включают политику, формирующую необходимые функциональные свойства подсистем.
В рамках национальных систем обеспечения безопасности полетов необходимо участие всех органов системы, реализующих полет, в том числе: организаций технического обслуживания; служб воздушного движения; эксплуатационных служб аэродромов; летчиков, которые внедряют систему обеспечения безопасности полетов, одобренную государством. Такая система четко определяет на системном уровне субординацию организаторов полетов, т. е. представляет иерархическую систему.
В основу такой системы следует положить специальные программы руководства, обеспечивающие концептуальную структуру систем безопасности полетов, а также системных процессов и деятельности, реализующих задачи Государственной программы безопасности полетов, включая разработку нормативных характеристик безопасности полетов.
1.1.1. Общая концепция создания системы управления безопасностью полетов
В связи с тем, что сегодня воздушное пространство заполнено авиацией различных стран, на аэродромы различных стран совершают посадки самолеты других стран, которые перевозят пассажиров из различных стран, безопасность полетов представляет собой международную проблему, реализация которой совершается на уровне международной иерархической системы управления безопасностью авиационных систем.
В 2006 году ICAO предложило мировому сообществу новую систему стратегического контроля и управления безопасностью полетов. Функции новой системы включают на основе изучения летных происшествий глубокое и всестороннее изучение процессов возникновения и развития опасных ситуаций и разработку на их основе превентивных мер, направленных на стратегическое управление безопасностью полетов.
Система, реализующая обязательства по управлению безопасностью полетов, синтезированная на структурно-функциональном уровне, приведена на рис. 1.1 (здесь ПОГА – полномочный орган гражданской авиации). В этой системе выделены проблемы управления безопасностью полетов: стратегические, тактические, оперативные, контролирующие.
Рис. 1.1
Международная система управления безопасностью полетов создала систему разработки и внедрения стандартов и рекомендаций, результаты структурно-функционального синтеза которой приведены на рис. 1.2 (здесь СУБП – система управления безопасностью полетов).
Рис. 1.2
Для реализации процессов в подсистемах (1–4) (рис. 1.2) разработаны руководства по: подготовке полетов (док. 9376); летной годности (док. 9760); сертификации аэродромов (док. 9774); тренировке человеческого фактора (док. 9683); надзору за безопасностью полетов (док. 9735); работе с человеческим фактором для руководства по проверке безопасности полетов (док. 9806); расследованию авиационных происшествий (док. 9756); подготовке бортпроводников по безопасности полетов (док. 7192); человеческому фактору для систем управления воздушным транспортом (директивы) (док. 9758); человеческому фактору для руководства по техническому обслуживанию воздушных судов (директивы) (док. 9824); проверке безопасности (LOSA) (док. 9803); дайджест N16 по человеческому фактору – факторы в безопасности авиации (цирк. 302).
ICAO осуществляет целерегулирование безопасности полетов (разработку процедур и руководства их исполнения) посредством системы, включающей следующие подсистемы (рис. 1.2).
Подсистема 1. Создана для организации международных безопасных авиационных операций; планирования и развития авиационного транспорта (целеполагание). Эта система создала и развивает нормы и нормативные практики, которые приняты Чикагской Конвенцией и отражают наилучший опыт работы различных государств. Процедуры для авианавигационных служб содержат материалы, в которых создается критерий международного единообразия требований к безопасности и эффективности авиации.
Все сказанное ICAO реализует следующим образом:
– обеспечивает материалами (руководствами, проектами) исполнителей по управлению полетами, пригодности самолетов к полету, обслуживанию воздушных путей, обслуживанию аэродромов и аэропортов;
– разрабатывает принципы управления безопасностью и контроль за эффективной реализацией программ по управлению безопасностью;
– распространяет объективную информацию о состоянии дел и перспективах безопасности полетов;
– осуществляет управление Всеобщей программой проверки безопасности.
Подсистема 2. Государства создают методы реализации целей, сформированные ICAO, и реализуют эти методы в авиационной системе страны.
Обязанности государства включают в себя следующие.
Обеспечивать условия, необходимые для управления безопасностью полетов, используя соответствующие законы и регулирование. При этом авиационное законодательство устанавливает авиационные цели государства, включающие авиационную безопасность страновых авиационных систем и определяет степень ответственности, подотчетность при выполнении этих целей.
Подсистема 3. Для реализации авиационных целей, в том числе безопасности полетов, государство создает необходимые организации, которые включают: корпоративные ассоциации, такие как IATA, ATA, CANSO; национальные и международные авиационные ассоциации, такие как IFALPA, IFATCA; международные органы безопасности; промышленные правительственные группы (CAST, GAIN); фирмы по безопасности крупных производителей.
При этом каждое государство решает проблему выбора государственного целевого уровня безопасности полетов. Государство отвечает на морально-правовом уровне за реализацию этой цели перед обществом и ICAO.
Подсистема 4. Принятый каждым членом ICAO обоснованный государственный целевой уровень безопасности полетов становится целью страновой авиационной системы. Эта цель – предмет деятельности надзорного органа, который устанавливает нормативные величины уровней безопасности полетов для всех подсистем и объектов страновой авиационной системы на основе государственного целевого уровня. При этом частные нормативные безопасности назначаются и обосновываются согласно нормативному уровню безопасности полетов страны с учетом технических требований подсистем, включающих: проектирование; научно-исследовательские и опытно-конструкторские работы; испытания, производство, а также подсистемы, ответственные за организацию и реализацию полетов самолетов.
В итоге мы выделили на макроуровне три подсистемы, ответственные за организацию и выполнение нормативных уровней безопасности полетов:
– международную (ICAO), формирующую цель организации полетов на международных линиях и аэродромах;
– страновую подсистему, формирующую нормативные уровни безопасности полетов, т. е. цель организации авиационной макросистемы, а также методы достижения цели;
– подсистему реализации цели, включающую все уровни практической реализации безопасных и экономичных полетов.
Так, согласно государственной (подсистема 2) программе обеспечения безопасности полетов, приведенной в рекомендуемых уровнях безопасности полетов, созданных ICAO (см. п. 1.4.16), приемлемый уровень безопасности полетов в качестве примера задается шестью показателями ωi, включающими:
– количество катастроф – ω1;
– количество летных инцидентов – ω2;
– количество столкновений с птицами – ω3;
– количество несанкционированных выездов транспортных средств на взлетно-посадочную полосу – ω4;
– количество инцидентов, связанных с управлением воздушным движением, – ω5.
В качестве ω6 следует включить количество жертв летных происшествий, абсолютное значение или в единицу времени или в отношении к числу перевезенных пассажиров. Этот показатель широко применяется в различных странах, в странах членах ICА и IАТА.
Каждому показателю безопасности полетов должна соответствовать количественная характеристика, которой, согласно четко сформулированному в п. 1.4.12 РУБП ICAO, соответствует «заданный уровень безопасности полетов», либо текущее ее значение получено согласно эксплуатационным данным.
Совокупность заданных уровней безопасности полетов по всем ωi представляет собой «количественные целевые показатели, характеризующие приемлемый уровень безопасности полетов», что соответствует п. 1.4.12 и 5.3.19 РУБП ICAO.
Главные требования программ, направленных на создание систем управления безопасностью полетов, включают:
– назначение приемлемых для государства целевых уровней безопасности полетов с постоянным ростом их значений во времени;
– организацию постоянного мониторинга безопасности полетов и его регулярной оценки;
– разработку адекватных методов оценки текущего уровня безопасности полетов и средств достижения целевого уровня безопасности полетов, так, например, по завершении программы.
В основу построения методов и средств реализации системы управления безопасностью полетов следует положить разработку достаточно оперативного и одновременно адекватного вероятностного метода анализа текущего уровня безопасности полетов [19].
1.1.2. Целевой, приемлемый для государства уровень безопасности полетов гражданской авиации
В настоящее время в РФ целевой уровень безопасности полетов устанавливается только для сертификации новых самолетов в виде ограничения вероятности катастрофы воздушного судна значением 1·10–7 на 1 час полета по совокупности отказов материальной части, в ожидаемых условиях эксплуатации при условии безошибочного выполнения экипажем воздушного судна всех положений руководства по летной эксплуатации.
Учитывая, что 75–80 % катастроф обусловлено человеческим фактором, а также резкими изменениями метеоусловий в аэропортах, обусловливая необходимость реализации посадки в условиях ниже погодного минимума аэропорта, необходимо констатировать, что реальный уровень безопасности полета, как правило, отличается от сертификационного более чем на порядок.
В дополнении к двум важным факторам риска: человеческому; колебаниям погодного минимума в аэропорту, существует третий, который создается в условиях устаревшего парка тяжелых воздушных судов, составляющих 60 % парка аналогичных воздушных судов, которые не проходили сертификации, т. е. для которых не существует никаких требований по уровню безопасности полетов.
Учитывая сказанное, следует ожидать отклонение реального уровня безопасности полетов по РФ от рекомендованного ИCА. Согласно статистическим данным по катастрофам, собранным Международным авиационным комитетом [64] за последние 10 лет, среднегодовое количество катастроф на 1 миллион летных часов в СНГ, где РФ – определяющая доля, в 14 раз больше сертифицированного норматива и значительно больше, чем в США за тот же период. При этом число жертв авиационных катастроф на 1 миллион перевезенных пассажиров значительно больше, чем в США [17].
Начиная с 1989 года уровень безопасности полетов в РФ неуклонно снижается в среднем более чем в 7 раз по количеству катастроф тяжелых воздушных судов при регулярных и нерегулярных полетах на 1 миллион часов полета; повышается по количеству погибших примерно в 18 раз. Отметим, что в США первый показатель повышается в среднем в 3 раза, а второй сокращается в 10 раз.
Третья характеристика: в 1992 году в СНГ было катастроф больше, чем в США, в 3,5 раза; в 1996 году – в 7,4 раза; в 2000 году – в 23 раза. И этот показатель постоянно увеличивается.
Причина: отсутствие государственного регулирования процессов безопасности полетов, а также отсутствие постоянно действующей программы по безопасности полетов и жесткого контроля за ее выполнением.
Основа работ по безопасности полетов включает формулировку цели (целеполагание от подсистемы (1)), которая в системе управления безопасностью полетов реализует выбор обоснованного показателя общего уровня безопасности полета, т. е. главного сертифицированного показателя.
В качестве такого показателя следует принять коэффициент потери воздушного судна (частота катастроф воздушных судов за 1 час полета), применяемый IАТА для оценки уровня безопасности полетов по данным эксплуатации. При этом кроме количества катастроф входит количество потерянных воздушных судов, чьи пассажиры в полном составе остаются в живых.
Такой подход оправдан со стороны технико-экономических показателей. Обозначим его α1.
Со стороны социальной системы следует ввести показатель безопасности полетов α2, равный количеству жертв на миллион перевезенных пассажиров.
В среднем по ICAO α2 0,75 (США α2 = 0,075), а по СНГ этот показатель существенно хуже, чем в США.
Возможен иной подход (более целесообразный) для различных типов воздушных судов, различных допустимых значений вероятностей катастроф на 1 полет в зависимости от пассажировместительности и прогноза изменения структуры эксплуатирующегося парка воздушных судов.
Если следовать IАТА, то при выборе количественного значения показателя общего уровня безопасности полетов необходимо учитывать его значения в 2006 году [14] в виде нормативной величины вероятности Pн:
– по Европе он равен 3,2·10–7;
– по Северной Америке – 4,9·10–7;
– в целом по миру – 6,5·10–7;
– по США – 2,3·10–7.
Таким образом, исчерпывающие характеристики общего уровня безопасности полетов должны включать:
– главный показатель: «вероятность катастроф на один полет»;
– дополнительный показатель: «количество жертв на 1 миллион перевезенных пассажиров».
Все остальные показатели, так, например, вероятность аварийных или сложных ситуаций, служат в системе управления безопасностью полетов для выявления тенденций эволюции или инволюции безопасности полетов.
Проблема разделения показателя общего целевого уровня безопасности полетов на составляющие, согласно сказанному выше, производится уполномоченным органа надзора в рамках общего анализа безопасности полетов.
На начальном этапе возможен следующий вариант:
1) в качестве главного показателя безопасности полетов воздушного судна принять в Гражданской авиации РФ вероятность катастрофы тяжелого коммерческого самолета на один полет;
2) в качестве нормативной величины вероятности Рн общего целевого уровня безопасности полетов принять значение этой вероятности Рн = 3,2·10–7, т. е. уровня, достигнутого в Европе;
3) если принять в качестве нормативной величины долю причины катастроф, связанных с несовершенством авиационной техники, в общем количестве причин, равную 15 %, то искомую нормативную вероятность для техники получим (РТ)н = 0,48·10–7;
4) учитывая, что на долю авионики приходится 30 % от (РТ)н, то в качестве целевого уровня безопасности вероятности катастрофы тяжелого коммерческого самолета на один полет по причинам, связанным с отказами систем авионики или невыполнением интегрированными комплектами авионики, оговоренными в технических заданиях функций, следует задать нормативную вероятность (Ра)н = 1,44·10–8.
1.2. Структурно-функциональный синтез системы управления безопасностью полетов
1.2.1. Международная программа безопасности
Цель системы: поддерживать допустимый уровень риска на различных уровнях авиационных систем.
Средства достижения цели: прочная законодательная структура; эффективные нормативные требования; установленный порядок выполнения полетов.
Методы и средства включают:
– применение научно обоснованных методов контроля рисков;
– юридически узаконенные обязательства системы управления безопасности полетов;
– корпоративная культура безопасности, основа практики безопасных полетов;
– эффективное внедрение стандарта правил связи по международным каналам связи;
– система сбора и обмена данными по безопасности полетов;
– профессиональное расследование авиационных происшествий с оценкой уровня достаточности системной безопасности;
– решение проблем человеческого фактора, так, например, подготовки летного состава к проведению безопасных полетов;
– систематический надзор за безопасностью полетов с целью оценки опыта.
Система управления безопасностью полетов на качественном уровне формируется в виде модели профессионалами-прикладниками международного уровня. Отметим, что в целом система управления авиацией как динамической системы включает:
– систему управления эффективностью авиации;
– систему управления безопасностью авиации.
При разработке системы управления безопасностью авиации применяется такое понятие, как менеджмент безопасности и менеджмент риска авиационных систем. Менеджмент безопасности включает как составляющую менеджмент риска.
Авиапромышленность сталкивается с риском каждый день: риск для жизни исполнителя или риск для промышленности в целом. В самом деле, риск идет рядом с бизнесом. Не все типы риска могут быть выявлены, не все меры по избавлению от риска экономически рентабельны. Риск и цена в авиации требуют механизмов рационального принятия решений. Каждодневные решения принимаются в реальное время, взвешивая возможность и неблагоприятные последствия риска и прибыль, которую можно получить, идя на риск. Этот процесс называется менеджмент риска.
Менеджмент риска – это выявление, анализ и избавление (и/или снижение до приемлемого уровня) от тех нарушений и тех величин риска, которые угрожают жизнеспособности организации.
Другими словами, возможности менеджмента риска балансируют между оценкой риска и борьбой с ним. Менеджмент риска – это составляющая менеджмента безопасности. Он включает в себя логический процесс анализа задач, особенно в оценке риска.
Результаты структурно-функционального синтеза системы менеджмента риска авиационной системы представлены на рис. 1.3.
Рис. 1.3
Рассмотрим функциональные задачи подсистем синтезированной системы (рис. 1.3).
Подсистема 1. Ее функциональные задачи направлены на разработку (формирование) стратегии уменьшения риска. Согласно структуре, после определения вероятности происшествия в подсистеме 4 должны быть оценены последствия неблагоприятного события. В результате формируется степень срочности нейтрализуемых действий. В наиболее катастрофических условиях необходимо анализировать:
1) количество возможных человеческих жертв;
2) каковы материальные потери авиаинфраструктуры, влияние на экономику государства;
3) каков ущерб окружающей среде (вред месту обитания населения);
4) каков уровень политических потерь.
Подсистема 2. Ее функциональные задачи: анализ, включая оценку риска или величину потерь, характеризуемую вероятностным показателем. При анализе необходимо рассчитать:
1) вероятность возникновения неблагоприятного события; вероятность неблагоприятных последствий;
2) степень (величину) неблагоприятных последствий, возникших после происшествия;
3) подверженность нарушениям или вероятность неблагоприятных условий.
При этом риск – это вероятность реализации события, которое приносит вред. Оценка риска включает оценку как возможности, так и последствий. Как правило, возможность причинения вреда обусловливает нарушение, а вероятность того, что эта возможность будет реализована в некоторый момент времени, представляет вероятность риска.
Подсистема 3. Ее функциональные задачи: выявление нарушений при практической реализации цели, сформированной подсистемой (1), методов реализации цели, разработанных в подсистеме (2).
Подсистема 4. Ее функциональные задачи: оценка допустимости риска по критерию безопасности, созданному данной организацией.
Согласно возможностям организации, например, один тип риска можно оценивать по последствиям выше, чем другой. Это обусловливает первоочередность мероприятий, направленных на предотвращение риска.
В качестве критериев роли риска можно использовать следующие:
1) роль риска варьируется в пределах: катастрофических (α1); опасных (α2); основных (α3); второстепенных (α4); незначительных (α5);
2) вероятности P(αi) ;
3) ценность, так, например, числовая, для сравнения относительной важности P(αi).
Классификация вероятностей риска согласно ICAO
Схема классификации риска
При этом нераспознанная опасность относится к промежуточной между приемлемой и неприемлемой. При этом каждый случай должен быть рассмотрен согласно его качествам.
Так как указанные значения характеризуются различными численными вероятностными величинами, то вводится такое понятие, как управляемый риск. При этом изменение риска происходит как по нашим желаниям, так и под влиянием неуправляемых и неконтролируемых факторов риска W и V.
Внутренние факторы риска
При некачественном выполнении Государственной программы безопасности возникают рисковые ситуации, обусловленные внутренними факторами риска по следующим причинам [14].
1. Не отвечающие требованиям законопроекты и инструкции, принятые руководством (незавершенные, устаревшие и т. д.).
2. Возможные несоответствия: сотрудника регулятивного органа и поставщика услуг; наставника и сотрудника правоприменяющего органа; сотрудника регулятивного органа расследующего происшествия; вызванные недоработками сотрудника регулятивного органа и т. д.
3. Не отвечающая требованиям ICAO инфраструктура системы гражданской авиации и ее подсистем (навигационные и коммуникационные вспомогательные средства, аэродромы, организация воздушного пространства и т. д.).
4. Не отвечающее требованиям (незавершенное, несвоевременное, противоречивое) выполнение распорядительных функций, таких как лицензирование, контроль и меры наказания (вследствие ограничения денежных средств, политической ситуации, чрезвычайного положения в стране и т. д.).
5. Не отвечающие требованиям ресурсы и структура, способствующая расширению и усложнению регуляторных требований (нехватка обученного и компетентного штата, административных должностей, информационных технологий).
6. Нестабильность и неясность внутри полномочного органа гражданской авиации, подвергающие риску качество и своевременность регулятивной работы (трудовая дисциплина, государственное вмешательство, ограничение средств и т. д.).
7. Отсутствие официальных программ безопасности (добровольная подача сведений о предпосылках к происшествиям, регулирующая проверку эксплуатационной безопасности и т. д.).
8. Пренебрежение идеей безопасности (повышение количества происшествий, низкий национальный уровень понимания идеи безопасности, нежелание воспользоваться лучшими методами организации работ и т. д.).
Отметим важность и целесообразность применения менеджмента риска при принятии решений для администрации государств.
1. Избежание значимых ошибок в процессе принятия решения.
2. Уверенность в том, что все аспекты риска выявлены и рассмотрены при принятии решений.
3. Уверенность в том, что законные интересы посредников соблюдены.
4. Обеспечение тех, кто принимает решения, защитой.
5. Понятное объяснение принятых решений посредникам и общей массе.
6. Значительная экономия времени и денег.
Государственная программа безопасности полетов
Данная программа реализует на высоком (эффективном) уровне свои функции по обеспечению нормативных пределов безопасности, если созданы системы и осуществляются мероприятия, включая следующие.
1. Административный аппарат для координации и интеграции всех аспектов программы объединен в единый комплекс.
2. Контроль над всеми функциями безопасности (лицензирование, сертификация, принудительные меры и т. д.).
3. Обеспечение Государственными программами по выявлению угрозы безопасности (обязательный отчет о происшествиях, добровольный (ненаказуемый), отчет о предпосылках к происшествию, отчеты о помехах при оказании услуг и т. д.).
4. Программа имеет право на расследование авиационных происшествий и предпосылок к ним (независимо от распорядительного органа).
5. Распределение ресурсов, основанных на факторе риска, для выполнения регуляторных функций (профилактическое привлечение внимания руководства к областям повышенного риска).
6. Активное и пассивное продвижение программ безопасности в помощь операторам и для того, чтобы сделать идею безопасности общедоступной (включая базу данных по безопасности, анализ изменений, наблюдение за лучшими методами организации работ и т. д.).
7. Общенациональные мониторинговые программы по безопасности (контроль тенденций и анализ изменений, инспектирование уровня безопасности, расследование предпосылок к происшествиям, контроль за безопасностью).
8. Систематические регуляторные проверки эксплуатационной безопасности для подтверждения следования правилам безопасности всеми операторами и поставщиками услуг.
Государство обеспечивает безопасность авиационной системы своей страны, тем самым внося свой вклад в безопасность Международной авиационной системы, т. е. в глобальную авиационную систему.
При этом, реализуя свои обязательства, государство формирует необходимые системы по реализации заданных критериев безопасности полетов, которые, согласно проведенному структурно-функциональному синтезу, включают подсистемы (1–4) с соответствующими функциональными свойствами на организационно-контролирующем и управляющем уровне. Структура этих систем аналогична приведенной на рис. 1.3.
Подсистема 1 реализует свои функции, формируя принцип «что делать». Для этого государство создает структуру (с подсистемами 1–4), которая обеспечивает введение в действие стандартов ICAO в своем воздушном пространстве и аэропортах.
Подсистема 2 («как делать»): вводится орган власти как полномочный орган гражданской авиации, который полномочен обеспечивать соблюдение инструкций по безопасности полетов.
Подсистема 3 («делать»): распорядительный орган, способный выполнять активные функции, включая тщательный контроль за деятельностью всех служб, связанных с воздушными перевозками.
Подсистема 4 («контроль»): контроль за безопасностью итоговый – системы гражданской авиации. Введение в действие системы контроля безопасности по всей системе гражданской авиации при помощи наблюдения, инспектирования, проверки эксплуатационной безопасности.
Дополнительные функциональные свойства.
В подсистеме 2: проведение анализа тенденций в области безопасности.
В подсистеме 3: создание и введение в действие правил, инструкций и процедур для выполнения безопасных и квалифицированных воздушных перевозок, а также наблюдения за технологическими новшествами. Подсистема 3 включает полномочные органы гражданской авиации, задача которых – регулирование процессов авиационной системы путем поддержания эффективности системы контроля и управления безопасностью авиационной системы.
В подсистеме 3 реализуются функции обслуживания авиационных систем, в том числе создаются необходимые структуры, направленные на эксплуатацию авиационных систем и систем обслуживания.
Подсистема 4 выполняет роль контроля за итогами выполнения безопасности полета, т. е. роль регулятора или обратной связи системы управления безопасностью полетов.
При этом полномочные органы гражданской авиации осуществляют:
1) эффективную программу безопасного полета (применения авиационной техники или безопасности авиационной системы);
2) контроль за выполнением государственных законов и инструкций, касающихся воздушной безопасности и выполнения государственных целей безопасности.
Организационно-полномочные органы гражданской авиации включают производителей, создающих оборудование, которое пригодно к обеспечению полетов и существующих авиационных систем; соответствуют экономическим и авиационным требованиям покупателей.
Для осуществления контролирующих функций ICAO создана Всемирная программа контролю за безопасностью, которая проводит надзор за работой полномочных органов гражданской авиации с целью обнаружения погрешностей в работе полномочных органов гражданской авиации и их компенсаций, т. е. с целью предотвращения потерь Государственной авиационной системы. При этом реализуются основные условия управления безопасностью Государственной авиационной системы.
1.2.2. Проблема прогнозирования показателей безопасности полетов (фактического уровня безопасности полетов)
Сегодня деятельность различных организаций и предприятий РФ, направленная на повышение безопасности полетов, происходит не на системном уровне и без обратной связи по сигналам рассогласования между тем, к чему мы стремимся, и тем, что есть сегодня. Кроме этого в системе гражданской авиации никогда не задавался целевой уровень безопасности, а посему реальный уровень не с чем было сравнивать.
Введение системы управления безопасностью полетов призвано изменить указанную ситуацию путем:
1) введения общего целевого приемлемого государством нормативного уровня безопасности полетов;
2) организации (процессов оценки соответствия выбранному целевому) определенного перечня программных работ и мероприятий, направленных на доведение безопасности полетов до назначенного целевого уровня;
3) оценки фактического уровня безопасности полетов в гражданской авиации при постоянном мониторинге в соответствии со стандартами ICAO по системе управления безопасностью полетов.
Полную и исчерпывающую количественную оценку фактического уровня безопасности полетов по отдельным системам воздушного судна и в частности по авионике не может дать статистика летных происшествий в гражданской авиации, а также материалы расследования летных происшествий в силу их малой вероятности.
Однако в свете последних требований ICAO о регулярной оценке поддерживаемого уровня безопасности полетов обуславливается необходимость разработки методов, позволяющих рассчитывать ожидаемый (т. е. прогнозированный) уровень безопасности в тех же форматах, в которых он задан.
В монографии разрабатывается метод, который заключается в синтезе общей вероятностной модели безопасности полетов, включающей вероятностные модели полной совокупности функциональных задач комплекса авиаоники, в первую очередь задач пилотирования и самолетовождения, включая аэронавигацию, т. е. на теоретическом уровне: структурно-функционального синтеза и анализа процессов, реализуемых при создании ЛА (проведения научно-исследовательских и опытно-конструкторских работ) и производстве; эксплуатации самолетов гражданской авиации.
Такой подход предполагает подробный анализ каждой из функциональных задач комплекса авионики, разработку насколько это возможно подробных описаний алгоритмов их решения без априорного пренебрежения влиянием различных факторов впредь до доказательного обоснования. После этого производится разработка на основе указанных алгоритмов и определенных в реальных условиях эксплуатации необходимых вероятностных характеристик каждого фактора в структурно-функциональной вероятностной модели, причем для каждой задачи комплекса.
В современных теоретических методах синтеза и анализа при сертификации самолетов метод оценки безопасности полетов, основанный на расчете отказобезопасности бортовых систем, может быть использован лишь частично, поскольку этот метод абстрагируется от множества факторов, имеющих место в реальных условиях эксплуатации.
Отметим, что отказы бортовых систем в совокупности с неучтенными при сертификации факторами являются реальными причинами большого числа катастроф. Поэтому при разработке методов расчета безопасности полетов мы должны учесть главным образом надежность выполнения каждой из полного перечня функций, оговоренных в техническом задании на комплекс авионики.
При этом в структуре общей структурно-функциональной вероятности модели безопасности полетов, кроме характеристик надежности инструментальных средств авионики, должны содержаться характеристики программно-математического обеспечения вычислительных блоков и резервирования аппаратных средств, параметры настройки внутренних и внешних систем контроля, вероятностные характеристики изменчивости ожидаемых условий эксплуатации, вероятностные характеристики ошибочных действий экипажа воздушного судна и диспетчерской службы, а также аэродромной службы. Указанные модели характеризуют самолет на этапе эксплуатации. На этапе проектирования, научно-исследовательских и опытно-конструкторских работ необходимы модели, характеризующие его стратегические свойства и характеристики с позиции не только безопасности, но и экономической эффективности. Их совместное рассмотрение позволяет решать социально-экономические проблемы эксплуатации воздушных судов.
Отметим, что в настоящее время структурно-функциональная вероятностная модель безопасности полетов разработана для: обеспечения вертикального эшелонирования воздушного судна; систем предупреждения критических режимов.
Учитывая сказанное, проблема создания структурно-функциональной вероятностной модели безопасности полетов представляет фундаментальную проблему построения системы управления безопасности полетов в области авионики, поскольку ее решение – единственно обоснованный способ количественной оценки соответствия ожидаемого (для создаваемого воздушного судна) и фактического (для эксплуатируемого воздушного судна) уровня безопасности полетов, который может быть использован в качестве методологической основы для выполнения требований ICAO по п.н. 1.2.б и 1.2.в.
При этом отказ от количественной оценки фактического или ожидаемого уровня безопасности полетов означает отказ от выполнения требований ICAO, т. е. нарушение требований Международных организаций и невозможность реализации полетов по международным маршрутам, посадки отечественных воздушных судов на аэродромы иных стран.
1.3. Менеджмент безопасности. Структурно-функциональный синтез
«Авиация – это цельная система, включающая все необходимое для безопасности перелетов» [35].
Система включает: самолеты; аэропорты; контроль над воздушным пространством; ремонт; экипаж; наземную службу поддержки; диспетчеров; системы контроля и управления. При этом система безопасности должна охватывать все ее подсистемы.
1.3.1. Структурный синтез факторов риска
Безопасность – это интегральная характеристика, которая характеризуется тремя параметрами (факторами):
– риском R как вероятностью возникновения события;
– ценой Ц возникшего события или последствиями;
– степенью приемлемости П цены последствия, т. е. рассматривается характеристика Б = (R,Ц,П).
Итак, характеристика безопасности количественно характеризуется как вероятностью события, так и последствиями этого события.
В дальнейшем будем изучать динамические системы, к которым относится как система гражданской авиации, так и система управления безопасностью полетов.
В силу сказанного выше, из-за ошибок, обусловленных возмущающими факторами (внешними W и внутренними V) функционирования, как системы гражданской авиации, так и системы управления безопасностью полетов могут находиться в области как безопасных, так и опасных состояний. Этим областям состояния динамической системы соответствуют вероятности опасных (рисковых) и безопасных состояний. Области опасных (критических) и безопасных состояний разделяются граничными значениями параметров Sдоп, т. е. допустимыми значениями.
При воздействии различных факторов риска (внешних W и внутренних V) вероятность Р выхода динамической системы в область опасного состояния различна.
Управление безопасностью в системе гражданской авиации связано с предотвращением аварий и происшествий, т. е. выходом параметров системы в область опасных состояний.
ICAO вводит следующие понятия:
«Авария – это случай во время маневра в воздухе, который приводит к смерти или серьезным увечьям; существенному повреждению; исчезновению самолета. Происшествие – это случай, отличный от аварии…, который может повлиять на безопасность маневра».
Авария возникает под воздействием системы факторов риска, обусловливающих ее возникновение. При этом, как сказано в документах ICAO: «Риск – это система». Согласно работам [19, 20] риск есть процесс, созданный динамической системой, характеризуемый вероятностью, зависящей от времени.
На рис. 1.4 представлены результаты структурно-функционального синтеза факторов риска, приводящих к аварии.
Неизбежность ошибок системы порождают следующие факторы риска:
1) скрытые и продолжительные неисправности в защите;
2) временная недоступность к некоторым элементам системы;
3) активные ошибки подсистем системы;
4) человеческие ошибки или нарушения.
Рис. 1.4
Система – это комплексное взаимодействие человеческого фактора, материально-технического фактора, внешней среды (внешних систем) [46].
Любой организационной структуре свойственны ошибки, которые порождают потери, обусловливающие риски.
Проблема создания систем высокой надежности, в которой ошибки не приводят к авариям, кризисам, катастрофам, была и остается сегодня актуальной.
В связи с тем, что аварии никогда не происходят только из-за одной ошибки (причины), а включают комплексную последовательность событий, анализ причин аварий должен учитывать системность, обусловливающую опасное состояние авиационной системы.
Сущность защиты состоит в следующем. Система должна содержать множество (серию) защитных механизмов различных уровней от микро– до макро-, так как сами защитные механизмы не работают идеально. При этом обеспечивается нахождение ошибок в системе, их нейтрализация до развития необходимых для аварии условий.
Выявление нарушений – это процесс идентификации тех ситуаций и условий, которые потенциально могут создать опасную ситуацию для системы гражданской авиации.
Факторы риска, влияющие на безопасность системы гражданской авиации
1. Системные ошибки связаны с неполадками в системе, обусловливающими ошибки системы в целом.
Погрешность трактуется как отказ в работе оборудования, человеческая ошибка – погрешность в работе человека.
2. Активные ошибки и латентные условия.
Активная ошибка – ошибка, которая происходит в системе, а ее результаты проявляются как итог работы системы. Латентное условие – это описание существующего нарушения, которое может дать сбой в системе, содержащее человеческий фактор, в том числе человеческие ошибки.
3. Погрешности оборудования проявляются в виде сбоя в системе, обусловленного потерей ее функциональных свойств.
Виды человеческих ошибок
Ошибка – это непреднамеренный результат человеческой деятельности. Выполнение задания происходит согласно умению, правилам, знаниям. Ошибки включают забывчивость, пропуск операции, результат ошибочного решения. Возможны «честная» нормальная ошибка при выполнении задания, грубое нарушение предписанных процедур или проверенной практикой безопасности [40].
1.3.2. Система менеджмента безопасности. Структурно-функциональный синтез
Безопасность системы гражданской авиации реализуется посредством:
1) менеджмента безопасности;
2) менеджмента риска,
которые реализуют безопасность системы гражданской авиации на системном уровне.
В общем случае менеджмент безопасности включает:
1) структурно-функциональный синтез, который реализуется в два этапа:
– на первом этапе разрабатывается качественная модель системы, порождающей процессы, которые создают опасные ситуации;
– на втором этапе осуществляется структурно-функциональной синтез системы;
2. Структурно-функциональный анализ, который реализуется в два этапа:
– на первом этапе разрабатывается качественная модель анализа;
– на втором этапе – количественная модель, включая математическое моделирование.
Безопасность. Приоритеты изучения и анализа
Безопасность может рассматриваться на макро– и микроуровнях. Так, проблемы безопасности глобальные (макроуровня) рассматриваются промышленностью или государством. Например, система гражданской авиации контролирует частоту и величину потерь при посадке, она изучает ситуации, вырабатывает рекомендации по ее улучшению и внедряет глобальные меры по борьбе с риском.
Менеджмент риска
Менеджмент риска включает:
1) доказательство риска;
2) контроль над риском;
3) ограничение риска;
4) оптимизацию риска.
Ограничение риска. Ограничение риска требует, чтобы подверженность эксплуатационному риску была ниже заданного уровня безопасности полетов в соответствии с политикой организации. В случае когда первоначальное сравнение определит, что риск превышает заданный уровень безопасности полетов, должны быть предприняты меры по его уменьшению.
Оптимизация риска. Оптимизация риска означает определение того, как может быть уменьшена вероятность и частота каждого события или цепочки ошибочных действий, и применение всех возможных действий по снижению уровня риска. Данные действия включают:
1) изучение всех возможных причин исходных явлений для анализа того, как случившееся может быть изменено путем внедрения факторов восстановления;
2) изучение итогов внедрения факторов восстановления с целью снижения вероятности данных потерь.
Затем администрация оценивает стоимость и практичность возможных мер по снижению уровня риска и решает, применять ли меры, основанные на результатах их оценки, или нет.
Доказательство риска. Риск должен быть доказан, исходя из количества людей, подвергнутых ему, и вытекающей выгоды.
Контроль риска должен осуществляться, чтобы гарантировать, что уровень риска соответствует норме. В контроле над риском скрыта необходимость выявления хода событий, параметров, системы отчетности, требований к анализу и механизмов изменений.
Анализ ситуаций риска
Анализ ситуаций риска может быть количественным и качественным, в зависимости от информации о риске и легко доступных данных, величины опасности и других факторов. Использование количественных данных помогает внести ясность в большинство решений и должно использоваться, где это возможно. Однако некоторые из самых важных факторов в принятии решений невозможно измерить количественно. Данные факторы тоже должны быть тщательно изучены.
Риск определяется как результат вероятности опасных событий и последствий произошедших событий. Например, учитывая начальное предположение о том, что все люди на борту самолета при столкновении умрут, заданный уровень безопасности полетов должен быть связан с числом столкновений в воздухе.
Методы определения риска
I. Предварительный анализ опасности при ее идентификации применяется на ранней стадии разработки проекта, когда нет возможности использовать всесторонние методы.
II. Метод анализа характера последствий проявления неисправности – фундаментальный метод определения опасности и ее частного анализа в основном использует качественный анализ.
Процедурно метод требует полного и точного моделирования изучаемой системы, наряду с детальным знанием работы системы и связанных с ней других систем. Существенная особенность метода – это рассмотрение каждого компонента системы, неисправности (характер проявления неисправности) и влияние характера проявления неисправности на систему. Если включен анализ критического состояния, каждая неисправность классифицируется согласно объединенному влиянию вероятности ее появления и серьезности ее последствий.
В дальнейшем покажем, что риск и безопасность неразрывно взаимосвязаны не только на качественном уровне, как в случае с посадкой, но и на количественном уровне, когда рассматривается контроль и управление параметром, подлежащим ограничению по минимуму или по максимуму либо по тому и другому одновременно.
Менеджмент безопасности включает: совокупность принципов, методов управления, направленных на достижение заданного уровня безопасности (заданной цели) путем использования внутреннего потенциала системы.
Система менеджмента безопасности включает вполне определенные функциональные назначения на уровне управления процессами риска и безопасности согласно документам ICAO.
1. Планирование.
2. Руководство безопасностью.
3. Создание организации со структурой, которая реализует бизнес и менеджмент безопасности.
4. Выявление нарушений.
5. Менеджмент риска, реализующий способность к расследованию, способность к анализу безопасности, содействие безопасности и тренировкам, а также формирующий документацию менеджмента безопасности.
6. Наблюдения за безопасностью и оценкой работы.
Согласно принципу минимального риска [21] и качественной модели, система менеджмента безопасности синтезирована на структурно-функциональном уровне как система управления безопасностью полетов и представлена на рис. 1.5 (здесь СГА – система гражданской авиации).
Рис. 1.5
Приведем функциональное назначение подсистем.
Подсистема (1) – установление иерархии приемлемых уровней безопасности полетов, достижение которых является целями конкретных программ работ, т. е. целеполагание.
Подсистема (2) – обеспечение требований постоянного роста целевого приемлемого уровня безопасности полетов и текущего уровня безопасности полетов, т. е. уровня целедостижения.
Подсистема (3) – проведение методов и средств безопасности полетов на каждом из иерархических уровней, т. е. целереализация.
Подсистема (4) – регулярная оценка на каждом иерархическом уровне соответствия текущего уровня безопасности полетов назначенному целевому нормативному (приемлемому) уровню безопасности полетов и формирование выводов для подсистемы (1).
Реализация решений или управлений, сформированных системой управления безопасностью полетов, осуществляется подсистемой (3) (рис. 1.5), представляющей иерархическую систему:
– государственной власти;
– отдельных подсистем государственной власти;
– ведомственных уровней;
– корпорационных ведомственных уровней;
– на уровне отдельных предприятий и организаций.
Каждая из подсистем синтезированной структуры представляет систему со структурой, включающей подсистемы, реализующие следующие функции: что делать; как делать; делать; контроль, анализ сделанного.
Рассмотрим подсистему (1) (рис. 1.5). Она включает:
– подсистему (1–1), сформированную из старшего руководства безопасностью, решающую «что делать»;
– подсистему (1–2), в которой реализуется планирование и другие мероприятия анализа, направленные на решение «как делать»;
– подсистему (1–3), где формируется документация менеджмента безопасности;
– подсистему (1–4), где реализуется руководство информацией.
Рассмотрим подсистему (2) (рис. 1.5). Она включает:
– подсистему (2–1), в которой реализуется менеджмент риска, в том числе анализ возможных нарушений;
– подсистему (2–2), в которой реализуется способность к анализу (оценка) безопасности и риска;
– подсистему (2–3), где формируются методы борьбы с риском;
– подсистему (2–4), которая реализует контроль за результатами анализа.
Рассмотрим подсистему (3) (рис. 1.5). Она включает:
– подсистему (3–1), реализующую как организацию со структурой, бизнес;
– подсистему (3–2), реализующая как организацию со структурой, менеджмент безопасности;
– подсистему (3–3), реализующую как организацию со структурой, содействие безопасности, тренировки;
– подсистему (3–4), контроль за созданным.
Рассмотрим подсистему (4) (рис. 1.5). Она выполняет роль обратной связи и включает:
– подсистему (4–1), реализующую наблюдение за безопасностью;
– подсистему (4–2), осуществляющую выявление нарушений;
– подсистему (4–3), осуществляющую способность к расследованию;
– подсистему (4–4), осуществляющую оценку работы.
Любая система требует обратной связи по выполнению системных задач, чтобы приспособиться к различным нововведениям и процессам. Обзор программы придает вес системе менеджмента безопасности, он подтверждает, что применяется системный подход (как оппозиция нерегулируемых и несвязанных инициатив по безопасности). Через регулярный и системный обзор руководство может улучшать работу организации.
Таким образом, в монографии, согласно требованиям ICAO разрабатывается системный подход к реализации политики безопасности, более того, на структурно-функциональном уровне. Так, например, в документах ICAO (см. стр. 13) сказано:
«Эффективный менеджмент безопасности требует применения системного подхода к развитию политики безопасности, процедур и практик таким образом, чтобы организация достигала поставленных целей безопасности, как и в других типах менеджмента, менеджмент безопасности требует планирования, организации, коммуникаций и управления. Менеджмент безопасности интегрирует различные действия в неразделимое целое предотвращения аварий. В дальнейшем потребуется оценка эффективности менеджмента безопасности, чтобы завершить круг безопасности.
Существует несколько путей удовлетворения потребности организации в менеджменте безопасности, нет единой модели, подходящей под все. Размер, сложность и тип функциональных операций так же, как и корпоративная культура безопасности и условия проведения операций, будут изменять структуру, чтобы она подходила под организацию и ее уникальные обстоятельства. Использование системного подхода поможет удостовериться, что все необходимые для построения системы элементы присутствуют».
Системы менеджмента безопасности нуждаются в обратной связи (подсистема 4) по действиям безопасности, чтобы завершить круг цикла менеджмента. Через эту обратную связь оценивается работа системы и принимаются необходимые меры. Например, руководству необходима обратная связь, чтобы нейтрализовать события, противоречащие целям производства процессов, необходимых системе гражданской авиации, и осуществлять предотвращение аварий [44].
В документах ICAO [35] сказано:
«Оценка безопасности – это структурированный процесс выявления нарушений в системе и оценки риска, связанного с каждым нарушением. Приемлемость риска определяется сравнением оцененного уровня риска с предопределенным критерием оценки… Оценка риска может проводиться до внедрения изменений в систему, потенциально влияющих на безопасность, чтобы показать, что эти изменения соответствуют допустимому уровню риска. Например, когда планируются большие изменения, приобретение оборудования, изменения в организации работы, оценка безопасности может быть оправданной. Приложение 11 ICAO: «Обслуживание воздушного пространства требует, чтобы все серьезные изменения в системе Управления воздушным движением внедрялись только после того, как оценка безопасности продемонстрировала, что уровень риска допустимый. Рамки оценки безопасности должны быть настолько широкими, чтобы принимать во внимание все аспекты системы, на которые идет влияние прямо или косвенно.
Если результат оценки безопасности системы не соответствует определенному ранее критерию, необходимо искать средства модификации системы, чтобы снизить уровень риска. Этот процесс называется борьба с риском. Определение способов борьбы с риском является неотъемлемой частью процесса оценки безопасности, адекватность предложенных мер может определяться с помощью повторной оценки безопасности с условием, что эти меры уже внедрены».
Процесс анализа безопасности реализуется на системном уровне (рис. 1.6), что обеспечивает цикличность построения необходимой величины оценки риска для различных возможных мер борьбы с риском.
Рис. 1.6
Система, реализующая процесс оценки безопасности, включает подсистемы со следующими функциональными свойствами:
– подсистема (1) создает математическую модель объекта или системы, которую нужно исследовать на риск и безопасность, в которую включены факторы внешние W и внутренние V, создающие нарушения (потери, риски), документальное оформление принятого решения;
– подсистема (2) определяет последствия нарушений, создает модель математического расчета искомой вероятности риска;
– подсистема (3) создает программы расчета и осуществляет расчет численной величины искомых вероятностей;
– подсистема (4) реализует оценку (сравнение) допустимости риска.
Подсистема (1) совместно с подсистемой (2) реализует один из методов и соответствующие им средства борьбы с недопустимым риском и запускает следующий (второй) этап процесса оценки риска.
Если на втором этапе расчетная вероятность больше допустимого, подсистема (1) вводит новый метод и средства снижения риска. Если риск приемлем, то последнее решение оформляется документально и переходит к новому уровню развития (внедрения).
Отметим, что при оценке безопасности изучаемая система принадлежит иерархии систем, которые при функционировании представляют собой динамические системы [20].
Подсистема контроля (4) (рис. 1.5) системы менеджмента безопасности включает два фактора контроля и управления:
1) системные способы борьбы с неизвестными возмущающими факторами в организации;
2) формирование показателя способности организации (системы со структурой) приспосабливаться к неизвестным возмущающим факторам внешнего W и внутреннего V происхождения.
При этом безопасность означает такой уровень риска, который приемлем.
Безопасность организации так же, как и риски [19], – это динамические процессы, переменные во времени.
Стратегические показатели характеризуют изменение безопасности в виде графиков, чисел – это уровень безопасности в макро– и микросистеме. Так, например, на макроуровне это может быть количество аварий с летальным исходом в год или за последние 10 лет. На микроуровне показатели характеризуют, например, отказы элементов двигателя, системы управления, системы контроля.
Ретроспективный подход полезен в анализе тенденций, оценке риска, выборе способов контроля.
Мониторинг
Наблюдение за безопасностью, ее контроль, требует регулярного мониторинга всех подсистем авиационной системы, влияющих на безопасность организации.
Мониторинг направлен на фиксацию нарушений и последующей оценки эффективности мероприятий по безопасности. Мониторинг реализуется: на международном уровне; на уровне государства или организации.
В документах ICAO [35] сказано: «Действия по обследованию риска могут объединять весь цикл менеджмента риска и выявления нарушений через оценку риска, наблюдения и подтверждения качества».
Указанные действия включают:
– инспекции;
– обследования;
– мониторинг безопасности;
– оценку качества посредством системы оценки качества;
– аудиты безопасности, включая универсальную программу аудита.
Отметим, что суть системы оценки качества состоит в том, чтобы определить и поддерживать цели и политику качества системы гражданской авиации.
Программа оценки качества содержит в себе процедуры всех аспектов работы организации:
1) хорошо разработанные и задокументированные процедуры;
2) методы инспекции и тестирования;
3) мониторинг оборудования и операций;
4) внутренние и внешние аудиты;
5) мониторинг действий по коррекции;
6) использование статистического анализа.
Приведем главные цели универсальной программы аудита от ICAO:
1) определение уровня подчинения государств стандартам ICAO;
2) наблюдение и оценка строгого соблюдения государствами рекомендованных ICAO практик, процедур, руководств по безопасности;
3) определение эффективности внедренных государствами систем наблюдения через образование необходимых, законных, контрольных органов управления безопасностью и возможностей инспекции и аудита;
4) обеспечение государств Советом по усовершенствованию их возможностей наблюдения за безопасностью.
Цели и задачи странового аудита безопасности.
1. Надзор и уступчивость. Органы контроля, перед тем как выдавать лицензию или что-то одобрять, должны быть уверены, что требуемые международные, национальные и локальные стандарты выполняются, и что данная лицензия может быть продлена. Органы контроля вырабатывают способы выражения соответствия. От организации, в которой проводится аудит, требуется предоставление документации, подтверждающей, что требования органов контроля выполняются.
2. Области и степень риска. Аудит должен подтверждать, что менеджмент безопасности организации основывается на четких принципах и процедурах. Системы организаций существуют для того, чтобы постоянно проверять процедуры для уверенности, что они отвечают стандартам. Должны проводиться оценки того, как выявляется риск и какие принимаются меры после его выявления. Аудит должен подтвердить, что отдельные части системы работают слаженно как единое целое. Таким образом, регулярные аудиты проводятся на высоком уровне, чтобы подтвердить, что организация учитывает все стороны в менеджменте безопасности.
3. Компетенция. Организация имеет персонал профессионалов, чтобы гарантировать то, что система менеджмента риска работает так, как она и должна. В добавок к этому должна быть подтверждена компетенция персонала. Органы контроля должны оценить действия персонала в ключевых позициях. То, что индивид обладает лицензией, дающей определенные преимущества, еще не означает, что он может выполнять задания по руководству, данные организацией, например, лицензия пилота может не быть тождественной проницательности руководителя. Где существуют недостатки в умениях, организация должна убедить контролера, что справится с ними в кратчайшие сроки. Ко всему прочему, контролер должен быть заинтересован в привлечении наивысшего уровня руководства к ответственности за безопасность во время каждодневной работы организации.
4. Организация справляется с главными вопросами безопасности и соответствует своим целям.
1.4. Организационный уровень реализации программ безопасности полетов
Результаты синтеза структуры системы управления безопасностью на организационном уровне представлены на рис. 1.7. Каждой подсистеме (1–4) структуры присущи определения функции, которые она способна выполнять.
Рис. 1.7
Приведенная система реализации процессов менеджмента включает совокупность подсистем, обладающих функциями, наделенными создателями этой системы: разработка стратегии (1); анализ информации (2); работа над неблагоприятными условиями (3); сбор информации (4).
Рассмотрим подробнее функции каждой подсистемы (рис. 1.7).
1.4.1. Функциональные задачи подсистем управления безопасностью
1. Корпоративная подсистема (1), реализующая корпоративный подход, включающий в себя политику по безопасности организации, цели и задачи органов власти авиационной системы, направленные на разработку стратегий управления.
2. Организационная подсистема (2), разрабатывающая организационные средства, необходимые для внедрения действий и процессов по совершенствованию безопасности, в том числе путем анализа информации.
3. Реализационная подсистема (3) создает средства и политику по безопасности, целям и задачам в среде с помощью методов и способов, созданных подсистемой (2), выделяя первоочередные работы над неблагоприятными условиями.
4. Подсистема (4) контроля за безопасностью подтверждает реализацию претворения политики по безопасности, целей и задач в жизнь. Эта подсистема обратной связи способствует постоянному развитию. Подсистема реализует: мониторинг; анализ операционной базы; аудит безопасности и анализ выполнения, выявления и использования лучших способов работы.
Проведем в качестве примера синтез структуры подсистемы 1 и подсистемы (3) для системы менеджмента безопасности. Структура системы разработки стратегии управления (подсистема 1) включает подсистемы, реализующие:
1) утверждение стратегии (подсистема 1–1);
2) назначение ответственных, методология (подсистема 1–2);
3) сбор дополнительной информации (подсистема 1–3);
4) повторная оценка ситуации (обратная связь) (подсистема 1–4).
Стратегия, принятая авиационной системой, отражает корпоративные свойства безопасности, направлена на оценку риска, присущего данной авиационной системе.
Структура подсистемы реализации безопасности полетов (подсистема 3).
Подсистема 3–1. Организация создает культуру безопасности для уменьшения потерь в авиации. Реализует поощрение безопасности и обзор выполнения целей и задач.
Подсистема 3–2. Реализует оценку безопасности, расследование и анализ.
Подсистема 3–3. Реализует уведомление о происшествиях, схему выявления нарушений по всей организации, включающие: анализ данных полета; аудит безопасности линейных операций; службу безопасности нормальных операций.
Подсистема 3–4. Реализует текущий контроль за безопасностью, мониторинг, внутренний аудит.
Рис. 1.8
В рамках государственной системы управления безопасностью полетов результаты структурно-функционального синтеза на уровне реализации программ безопасности полетов представлены на рис. 1.8. После государственного уровня (подсистема 1) следуют:
– подсистема (2), группы предприятий и организаций, реализующих создание новой техники;
– подсистема (3), включающая группы предприятий и организаций, осуществляющих эксплуатацию воздушных судов гражданской авиации;
– подсистема (4), включает предприятия, реализующие мониторинг и оценку достигнутых показателей безопасности полетов.
Подсистема (1) разрабатывает для подсистем (2) и (3) отдельные программы повышения безопасности, что структурно вполне согласуется с концепцией системы управления безопасности полета, созданной ICAO. При этом подсистемам (2) и (3) вводятся различные наборы показателей приемлемых уровней безопасности полета.
Однако в целевом плане показатели подсистем (2) и (3) направлены (взаимосвязаны, взаимозависимы) на реализацию тех основных показателей и их целевых значений, которые приняты для государственной программы (подсистемы (1)). Все это обеспечивает приемлемый уровень безопасности, который установлен для государственной программы.
Задачи подсистем по реализации программ безопасности полетов (рис. 1.8).
Подсистема (1) (рис. 1.8) реализует синтез систем и средств для обеспечения безопасности полетов, включает представителей ICAO, государства, полномочных органов, формирующих идеологию.
Подсистема (2) (рис. 1.8) реализует анализ синтезированных систем и средств безопасности полетов, на уровне создания и проектирования включает производителей, формирует методологию.
Подсистема (3) (рис. 1.8) реализует внедрение разработок подсистем, созданных в подсистеме (2), в виде реальных систем авиационной системы, обеспечивая нужный уровень безопасности полетов, осуществляя синтез на уровне реализации цели; включает пользователей самолетов, поставщиков и пользователей средств обслуживания, осуществляя реализацию функциональных свойств авиационной системы.
Подсистема (4) (рис. 1.8) реализует: мониторинг и качественную и количественную оценку реализованной безопасности полетов; синтез на уровне целеконтроля; включает деловые и профессиональные ассоциации: оценщиков авиационных систем и подсистем, т. е. контроль, анализ, оценку, формирует рекомендации для подсистемы (1).
С учетом сказанного уточним функции подсистем, изображенных на рис. 1.8, реализующих программы по безопасности полетов.
Подсистема (1) реализует всесторонний подход к безопасности осуществления (реализации) полетов посредством:
– ответственности Совета директоров по выполнению мер безопасности, в том числе уменьшению количества аварий и летальных случаев, правильно распределенных обязанностей и ответственности;
– четкой формулировки идеологии безопасности, основывающейся на корпоративных ценностях;
– руководства в своей деятельности целями и программой корпоративной безопасности;
– объективной оценки культуры безопасности;
– четкого исполнения процессов по контролю и надзору за безопасностью.
Подсистема (2) реализует всесторонний анализ возможных средств, синтезированных подсистемой (1), для реализации стратегических целей посредством:
– структурно-функционального синтеза и анализа систем максимизации эффективности авиационных систем различного уровня, разрабатывая методы и средства;
– структурно-функционального синтеза и анализа систем минимального риска для авиационных систем различного уровня, разрабатывая соответствующие методы и средства.
Подсистема (3) реализует эффективные организационные средства обеспечения безопасности посредством:
– размещения ресурсов по подсистемам (3), обеспечивая минимальные риски или максимальную безопасность;
– внедрения стандартных операционных процедур;
– разработки стандарта для контроля за оборудованием и системами;
– контроля за своевременным обнаружением повреждений оборудования и систем, используемых в работе;
– внедрения систем выявления нарушений, оценки риска и руководства ресурсами по компенсации выявленного риска;
– привлечения персонала к участию по безопасности руководства, т. е. реализации обратной связи;
– оценки коммерческой политики, реализующей необходимую безопасность.
Подсистема (4) реализует систему контроля за безопасностью посредством:
– системы анализа данных полетов, включая обнаружение опасных условий функционирования авиационной системы;
– системы аудита, которая изучает опасные условия функционирования по мере их возникновения;
– периодического контроля за безопасностью независимыми организациями;
– системы, реализующей внутренние расследования безопасности;
– системы эффективного использования информации о безопасности для анализа действий и мониторинга организационных изменений как части системы менеджмента безопасности;
– мониторинга линейного руководства, выполняющего работы по безопасности, для оценки регуляторных требований со стандартами.
1.4.2. Человеческий фактор в системе контроля (мониторинга) за безопасностью
Контроль за безопасностью или мониторинг итогов безопасности, осуществляемых подсистемой (4) (рис. 1.7), – одна из основных функций в общей стратегии системы менеджмента безопасности организации.
Система контроля безопасности или мониторинга действий по безопасности нейтрализует свои потери до аварии или серьезного происшествия.
Функции системы:
– определение релевантных индикаторов безопасности;
– развитие системы уведомления;
– развитие системы расследования происшествий;
– развитие процедур интеграции информации из всех источников;
– развитие процедур анализа информации.
Таким образом, решается задача получения критериев оценки безопасности работы системы посредством мониторинга. Показатели безопасности характеризуют допустимый уровень безопасной работы системы. Цель безопасности – сформировать обоснованный требуемый уровень безопасной работы системы.
Типичные показатели безопасности на макроуровне:
– количество авиапроисшествий в месяц;
– серьезные аварии в месяц;
– потери от различных аварий в месяц;
– проникновения на взлетно-посадочную полосу в месяц;
– летальный исход в авиакатастрофах за год.
Не существует единого показателя безопасности, подходящего под все случаи. Показатель, выбранный для того, чтобы выражать цель безопасности, должен подходить к ситуации, в которой он будет использован, чтобы было возможно провести оценку безопасности в тех же терминах, что и определение цели.
Факторы, создающие аварийные ситуации (ICAO): конструкция оборудования; человеческие и культурные факторы; корпоративная культура безопасности; факторы цены.
Человеческие факторы [40]
Человеческая система – наиболее приспосабливающаяся часть авиационной системы. «Термин «человеческие ошибки» мало полезен в руководстве по безопасности. Хотя он может показать, где в системе произошел срыв в работе, но не в состоянии объяснить почему» [35].
Модель системы, контролирующей аварийные ситуации, взаимоотношения различных компонент управления авиасистемой, синтезированная на структурно-функциональном уровне, приведена на рис. 1.9.
Рис. 1.9
Охарактеризуем кратко внешние возмущающие факторы W, действующие на человека, изменяя его функциональные свойства [30, 31, 40]:
– физические (сила, высота, зрение и слух и т. п.);
– физиологические факторы, влияющие на внутренние интеллектуально-энергетические процессы;
– психологические факторы, влияющие на психологическую готовность к любым ситуациям;
– психосоциальные факторы (финансовые проблемы; недовольство своим положением).
Человеческие ошибки
В документах ICAO (см. стр. 13) сказано: «Человеческая ошибка считается причиной или одним из основных факторов в большинстве авиааварий. Слишком часто компетентный персонал совершает такие ошибки, хотя, безусловно, они не планировали попадать в аварию. Ошибки не являются неким типом отклонений в поведении, они – естественный продукт виртуальности всех усилий человека. Ошибки должны быть приняты как нормальный компонент любой системы, в которой взаимодействуют техника и человек. «Человек может ошибаться…»
«Погрешность – это ошибка памяти, незаметная ни для кого». Погрешности в принятии решений, так, например, в планировании, ведут к ошибкам.
Человек в процессе деятельности совершает множество ошибок, часть из которых реализует происшествия, т. е. являются опасными, а часть реализует аварии, т. е. являются катастрофическими.
При этом источниками ошибок являются:
1) внешние (относительно человека) факторы W, включающие организационные, конструкцию оборудования и т. п.;
2) внутренние факторы V, включающие обучение, личные факторы, культуру и т. п.
Можно выделить:
– запланированные ошибки;
– ошибки при выполнении (промах и погрешности) задания или своего же решения;
– грубые нарушения.
Сертификационный уровень безопасности полетов определяется при допущении, что экипаж воздушного судна безошибочно выполняет все предписанные в руководстве по летной эксплуатации действия по управлению воздушным судном в простых и сложных, в том числе аварийных условиях.
Очевидно, что при оценке общего уровня безопасности полета необходимо исходить из того, что экипаж воздушного судна, как и любая другая бортовая система, имеет ограниченную надежность, все аспекты которой должны исследоваться и учитываться. Более того, в свете поставленной ICAO задачи постоянного роста безопасности полетов необходимо постоянно искать способы обеспечения работы экипажа воздушного судна, главным образом, за счет повышения ситуационной осведомленности, а также за счет совершенствования эргономики пилотской кабины.
В соответствии с результатами статистических исследований, проводимых в США, в настоящее время надежность пилота как оператора сложного человеко-машинного комплекса, очень приближенно может быть оценена показателем: 4 ошибочных действия на 1 млн. выполненных операций. Если предположить, что в течение каждого полета экипаж выполняет около 20 важных операций, неправильное выполнение которых может инициировать развитие опасных ситуаций, то, связывая эти величины с достигнутым в настоящее время уровнем безопасности в США (2,3 катастрофы на 1 млн. полетов) и долей человеческого фактора в общем числе причин катастроф (75 %), нетрудно получить еще одну приближенную оценку, что 2 из каждых 100 ошибочных действий экипажа воздушного судна приведет к катастрофам.
Степень негативного влияния человеческого фактора на безопасность полетов в первую очередь зависит от уровня профессиональной подготовки экипажей воздушных судов. В проекте Государственной программы повышения безопасности полетов воздушных судов гражданской авиации предусмотрены необходимые мероприятия по обеспечению этого процесса.
В стрессовых ситуациях, которые возникают в процессе полета даже при неполадках, вначале непосредственно не угрожающих развитием опасных ситуаций, психоэмоциональный фактор может разрушить динамические стереотипы экипажа воздушного судна, наработанные в процессе профессиональной подготовки. По-видимому, это является основной причиной того, что доля негативного влияния человеческого фактора на уровень безопасности полетов (75–80 %) долгие годы сохранялась во всем мире независимо от степени совершенства системы обучения.
Отметим, что в наибольшей степени человеческий фактор проявляется в летных происшествиях, связанных с потерей пространственного положения, сваливания, превышения установленных предельных ограничений (15 % от общего количества катастроф), а также связанных со столкновениями исправных воздушных судов с возвышенностями (также 15 % катастроф за период с 1958 по 2001 год). Основными причинами таких происшествий являются:
1) неумение экипажей выводить самолет из сложного пространственного положения;
2) неумение экипажей распознавать ненормальную работу пилотажно-навигационного комплекса;
3) отсутствие контроля за параметрами полета в процессе возникновения и развития особой ситуации;
4) неправильная работа с функциональными системами самолета, в том числе:
– пропуск операций (невыпуск закрылков перед взлетом, нерасстопоривание рулей перед взлетом, невключение реверса тяги двигателей на посадке, невключение противообледенительной системы в условиях обледенения);
– неправильное выполнение операций (неправильный ввод координат радиомаяка в вычислитель бортовой навигационной системы);
– непреднамеренное включение или выключение той или иной функциональной системы в полете (выпуск интерцепторов на взлете, включение реверса тяги двигателя в воздухе, выключение питания авиагоризонта и др.).
Для уничтожения ошибок летчика вводятся система предупреждения о приближении опасности.
Существующие системы предупреждения об опасном сближении с землей (ССОС-1, ССЩС-2, СППЗ) достаточно эффективно работают только при полетах над слабопересеченной местностью, поскольку построены на использовании сигналов от барометрического и радиовысотомеров. В сильнопересеченной и горной местности указанные системы малоэффективны по принципу действия. ICAO рекомендуется усовершенствованная EGPWS, основанная на использовании спутниковой навигации и цифровой карты местности.
Предполагается также реализовать рекомендации Международного авиационного комитета по расширению комплекса технических средств, позволяющих свести к минимуму влияние перечисленных выше ошибочных действий экипажей воздушных судов. К таким средствам должны относиться:
– усовершенствованные световые и звуковые сигнализаторы режимов работы систем при выходе параметров полета за ограничения;
– расширенная номенклатура бортовых устройств, подсказывающих экипажу необходимость выполнения определенных действий;
– блокировки, предотвращающие неправильное использование систем;
– активные средства вмешательства в парирование особых ситуаций.
Следующим важнейшим направлением должна являться работа по усовершенствованию и развитию интерфейсов в системе «Экипаж – воздушное судно – окружающая среда» [18] (разработка более совершенных форматов представления визуальной информации, звуковой сигнализации, усовершенствование пультов управления). Особое внимание должно быть уделено разработке интегрированных пультов управления с целью сокращения общего количества органов управления и решения задачи блокировки возможных неправильных действий экипажа.
В ряде случаев психоэмоциональный фактор оказывается настолько сильным, что сценарий катастрофической ситуации развивается, несмотря на наличие всех предупредительных сигналов (например, взлет с невзлетной конфигурацией, несмотря на выдачу сигнала «к взлету не готов», упорное приближение к сваливанию при наличии предупреждающих сигналов о нарушении режимов по скорости и углу атаки). Для таких случаев в интегрированном комплексе бортового оборудования должны быть предусмотрены режимы принудительного вывода воздушного судна в область безопасных параметров полета на базе теории структур [60].
В рамках следующего направления работ должны быть специализированные исследования особенностей психоэмоционального состояния экипажа воздушного судна в различных условиях полета, в том числе в стрессовых состояниях.
С учетом вышеизложенного приведем перечень новых функций комплексов БРЭО (бортового электронного оборудования), который должен быть основой для разработки программных мероприятий, направленных на снижение негативного влияния человеческого фактора на безопасность полетов:
1) раннее предупреждение экипажа о возможности столкновения воздушного судна с землей за счет использования спутниковых навигационных систем и цифровых трехмерных карт местности;
2) раннее предупреждение экипажа о возможности потери воздушным судном пространственной ориентации (в том числе о возможности сваливания) за счет более совершенных алгоритмов обработки информации по сравнению с реализованными в штатных системах и системе предупреждения критических режимов, учета факторов, характеризующих конкретные условия полета;
3) измерение массы и центровки воздушного судна на стоянке и в полете;
4) автоматический контроль параметров разбега и взлета (скорости, ускорения, пройденного на взлетно-посадочной полосе расстояния) с выдачей сигнала на прекращение взлета при их несоответствии нормативным значениям;
5) организация в рамках интегрированного комплекса авионики бортовой электронной библиотеки с функцией автоматического контроля правильности выполнения экипажем нормативной последовательности операций по управлению воздушным судном на всех этапах полета;
6) блокировка операций по управлению воздушным судном, которые могут привести к развитию осложненных ситуаций в катастрофические (например, блокировка отключения нормально работающих двигателей при отказе или пожаре в одном из двигателей);
7) представление экипажу воздушного судна предупреждающей информации об опасности в более эффективных форматах, например замена штатной сигнализации и системы предупреждения критических режимов на комплексную визуально-звуковую (в том числе речевую) сигнализацию с нарастающей интенсивностью по мере развития опасной ситуации, а также с сообщением о лимите времени до возможного катастрофического финала и с выдачей команд по его предотвращению.
1.4.3. Система проверки безопасности
Одна из основных целей системы управления безопасностью является проверка безопасности, включая качество безопасности.
Реализация цели осуществляется на следующих уровнях:
1) внешний контроль, например на уровне государственного органа надзора;
2) внутренний контроль, осуществляемый внутренней системой управления безопасностью.
Цели внутренней проверки безопасности.
1. Определение рисков, а также обнаружения потенциала, который создает источник опасных ситуаций системы гражданской авиации.
2. Обеспечение в системе управления безопасностью устойчивой структуры согласно оценке персонала, ее реализующего; соблюдение предписанных процедур и инструкций путем создания достаточного уровня компетентности персонала эксплуатирующего оборудования, способного сохранить необходимый уровень их эксплуатационных качеств.
3. Создаются необходимые меры, обеспечивающие предотвращение критических ситуаций.
4. Создаются эксплуатационные качества системы, обеспечивающие необходимый уровень безопасности предоставляемых услуг.
5. Создаются эффективные меры по обеспечению безопасности, контроля над качеством безопасности и обработки материалов, связанных с безопасностью функционирования системы гражданской авиации.
Процесс проверки безопасности реализуется в рамках системы, каждая из подсистем которой выполняет необходимые функции. Результаты структурно-функционального синтеза этой системы представлены на рис. 1.10.
Система управления технической безопасностью структурно идентична системе проверки безопасности (рис. 1.10). При этом ее подсистемы обладают следующими свойствами.
Подсистема 1: служба безопасности.
Подсистема 2: комитет безопасности.
Подсистема 3: проведение исследования по технике безопасности.
Подсистема 4: управление и распространение информации по безопасности.
Рис. 1.10
Служба безопасности. Анализ работы системы управления технической безопасностью
Приведем основные функции указанных подсистем.
Служба безопасности (подсистема 1). Команда по проверке техники безопасности включает:
– функции службы безопасности;
– критерии выбора начальника службы безопасности;
– роль лидера;
– функции начальника службы безопасности в больших или расширяющихся организациях;
– взаимосвязь начальника службы безопасности с исполнителями.
Комитет безопасности (подсистема 2): председатель комитета и члены комитета руководят следующими видами подготовки:
– начальная подготовка всего персонала;
– подготовка руководящего персонала;
– подготовка специалистов;
– подготовка рабочего персонала;
– подготовка менеджеров по технике безопасности;
– требования по продолжительной подготовке по технике безопасности.
Проведение исследования по технике безопасности (подсистема 3) реализует:
– принципы проверки;
– периодичность исследований;
– методы активного мониторинга;
– итоги исследования на всех объектах контроля.
Распространение информации по безопасности (подсистема 4) включает:
– критическую информацию по безопасности;
– информацию типа «хорошо это знать»;
– отчет руководству;
– методы содействия.
Управление информацией о безопасности (подсистема 4).
1. Общее:
– требования ICAO;
– система оповещения (отчетности) об авариях и происшествиях.
2. Потребности информационной системы.
3. Понимание базы данных:
– что такое база данных;
– ограничения базы данных;
– целостность базы данных.
4. Управление базами данных:
– защита данных о безопасности;
– возможности базы данных по безопасности.
5. Рассмотрение/разбор/анализ выборки базы данных.
Компании, реализующей полет, необходимо создать и ввести в действие систему контроля за безопасностью. Такая система должна включать подсистемы, реализующие необходимые действия по обеспечению безопасности. Синтезированная на структурно-функциональном уровне система контроля за безопасностью авиакомпании приведена на рис. 1.11.
Рис. 1.11
Выводы по разделу
Решение проблем безопасности полетов требует:
1) разработки и внедрения программ на уровне идеологических основ обеспечения безопасности полетов;
2) разработки структурно-функционального синтеза системы управления безопасностями полета, способной осуществить программы безопасности полетов;
3) практической реализации организации, синтезированной на структурно-функциональном уровне, способной выполнить программу, созданную из условия идеологического обеспечения безопасности полетов.
1.5. Проблемы разработки нормативных величин показателей безопасности полетов
1.5.1. Целевой приемлемый для государства уровень безопасности полетов воздушных судов гражданской авиации
Целевой приемлемый для государства уровень безопасности полетов вводится впервые в мировой истории гражданской авиации.
В принципе этот государственный акт должен означать, что государство гарантирует своим гражданам – пассажирам, пассажирам-иностранцам функционирование воздушного транспорта в стране с установленным и поддерживаемым нормативным уровнем безопасности, заданным согласно этико-правовым нормам общества [25].
Представляется, что создание в РФ системы управления безопасностью полетов в полном соответствии со стандартами ICAO является безальтернативным способом исправления ситуации.
Для установления общего целевого приемлемого для государства уровня безопасности полетов необходимо рассмотреть выбор показателя уровня безопасности и определение его количественного значения.
Дальнейшее использование в качестве показателя общего уровня безопасности вероятности катастрофы воздушного судна на 1 час полета (т. е. главного сертификационного показателя) представляется недостаточно обоснованным, поскольку каждый пассажир в отдельности и российское общество в целом заинтересованы в том, чтобы надлежащим нормативом был защищен не летный час, а полностью каждый рейс, на который покупаются билеты. Если не учесть этого аспекта, то для пассажиров, совершающих перелет с длительностью 10 летных часов, риск гибели будет в 10 раз больше, чем у пассажира часового рейса. С этой точки зрения в качестве показателя общего уровня безопасности был бы более понятен коэффициент потери воздушного судна, применяемый IАТА для оценки уровня безопасности полетов по данным эксплуатации. Этот коэффициент очень близок к частоте катастроф воздушных судов в расчете на 1 полет. Разница состоит только в том, что в коэффициент IАТА кроме количества катастроф входит также количество потерянных воздушных судов, чьи пассажиры в полном составе остаются в живых. Для нашей цели потерянные воздушные суда без человеческих жертв должны быть приравнены к катастрофам. В этом случае коэффициент потери воздушных судов мог бы быть выбран в качестве показателя общего приемлемого уровня безопасности полетов тяжелых воздушных судов. Однако следует еще учесть, что ни один из рассмотренных выше показателей не ограничивает роста абсолютного количества жертв при увеличении объемов воздушных перевозок, в частности при использовании воздушных судов с большой и сверхбольшой пассажировместимостью (например, А-380, 550 человек). Эта проблема, по-видимому, может быть частично решена путем назначения для различных типов воздушных судов различных допустимых значений вероятностей катастроф на полет в зависимости от пассажировместимости и прогноза изменения структуры эксплуатирующегося парка воздушных судов. Другим способом решения проблемы, связанной с использованием самолетов с большой пассажиро-вместимостью, является применение дополнительного показателя безопасности полетов, выражаемого количеством жертв на 1 млн. перевезенных пассажиров. По этому показателю в воздушном пространстве США в настоящее время достигнуто беспрецедентно низкое значение – 0,075 (среднегодовое значение за последние 10 лет). В среднем по ICAO этот показатель выше почти на порядок, т. е. 0,75, а по СНГ-региону – еще выше. Информация, получаемая в процессе постоянного контроля над данным показателем, по-видимому, также может быть использована при определении количественных значений основного показателя – вероятности катастрофы на 1 полет – для различных типов воздушных судов.
Официальный выбор и разделение показателя общего целевого уровня безопасности полетов на составляющие, в том числе на долю, приходящуюся на бортовое оборудование, должны проводиться уполномоченным органом в рамках общего анализа безопасности полетов.
Однако до завершения такого анализа для организации работ в области бортового радиоэлектронного оборудования (БРЭО) в полном соответствии со стандартами ICAO целесообразно руководствоваться следующими временными положениями.
1. В качестве главного показателя безопасности полетов воздушных судов в гражданской авиации принять вероятность катастрофы тяжелого коммерческого самолета на 1 полет.
В качестве общего целевого уровня безопасности принять значение этой вероятности, равное 3·10–7, что ниже достигнутого в настоящее время уровня безопасности полетов тяжелых коммерческих самолетов в США, где в период с 2002 по 2005 гг. в этой группе воздушных судов катастроф не было, но примерно вдвое выше среднемирового уровня, достигнутого в 2006 году [14].
2. Принимая во внимание, что в период с 1992 по 2001 гг. доля причин катастроф, связанных с несовершенством авиационной техники, в общем количестве причин составила 15 % (за период с 2002 по 2007 гг. аналогичные данные пока не опубликованы), и выделяя из нее 30 % как долю, приходящуюся на авионику, принять в качестве целевого уровня безопасности вероятность катастрофы тяжелого коммерческого самолета на 1 полет (по причинам, связанным с отказами систем авионики или невыполнением интегрированными комплексами авионики оговоренных в технических заданиях функций), равную 1,35·10–8.
Отметим, что приведенное значение главного показателя общего уровня безопасности полетов является временным. На данном этапе он необходим для отработки методологии регулярной оценки фактического уровня безопасности в той части, которая относится к авионике, по данным, получаемым из эксплуатации. При назначении официального приемлемого для государства уровня безопасности полетов значение показателя 1,35·10–8 соответственным образом должно быть откорректировано.
Рассмотренные выше главный и дополнительный показатели (вероятность катастрофы на полет и количество жертв на 1 млн. перевезенных пассажиров) должны рассматриваться как исчерпывающие характеристики общего уровня безопасности. Любые другие характеристики, такие, например, как вероятности аварийных и сложных ситуаций, являются вспомогательными инструментами, полезными для выявления тенденций.
1.5.2. Оценка соответствия ожидаемого или фактического уровней безопасности полетов общему целевому, приемлемому для государства уровню
Ввиду принципиальной разницы между сертификационным уровнем безопасности полетов и общим приемлемым для государства уровнем в РФ до настоящего времени никогда не давалась оценка того, являлась ли достигнутая на том или ином историческом этапе безопасность полетов воздушных судов в гражданской авиации достаточной или нет. Материалы по летным происшествиям тщательно собирались, анализировались, сопровождались, как правило, обоснованными рекомендациями по устранению причин летных происшествий и представлялись на обозрение авиационной общественности в синхронном сопоставлении с аналогичными материалами США и ICAO. Но очень редко эти результаты являлись действенным импульсом для практической деятельности соответствующих органов, предприятий и организаций внутри авиационной системы. Именно поэтому в настоящее время основные причины летных происшествий можно разбить на те же самые группы, что и много десятков лет назад, а катастрофы в значительной своей части повторяются по одним и тем же причинам.
Иными словами, деятельность различных организаций и предприятий, направленная на повышение безопасности полетов, происходит в рамках не слишком хорошо организованной системы без жесткой обратной связи по сигналам рассогласования между тем, что должно быть, и тем, что было или есть на самом деле. То, что должно было быть (общий целевой уровень безопасности), никогда не задавалось, а то, что было (реальный уровень безопасности), не с чем было сравнивать.
Введение системы управления безопасностью полетов призвано устранить отмеченные выше фундаментальные недостатки. Установление общего целевого приемлемого для государства уровня безопасности полетов является первым шагом при создании такой системы. Второй шаг – это организация процессов оценки соответствия выбранному целевому уровню ожидаемого в результате внедрения определенного перечня программных мероприятий уровня безопасности (что необходимо будет при обосновании программы работ по доведению безопасности полетов до назначенного целевого уровня), а также фактического уровня безопасности полетов в гражданской авиации при постоянном мониторинге в соответствии со стандартом ICAO по системе управления безопасностью полетов.
Статистика летных происшествий в гражданской авиации свидетельствует, что за последние 25 лет (с 1980 по 2005 гг.) авиационных катастроф по причине отказов или неисправной работы электронного приборного оборудования не было. Однако для подтверждения соответствия фактического уровня безопасности полетов целевому уровню непосредственно по данным статистики катастроф период наблюдения, в течение которого катастрофы будут отсутствовать, должен быть во много раз больше.
Количественную оценку фактического уровня безопасности не могут дать и материалы расследования летных инцидентов. Например, статистика срабатываний системы TCAS-II, которые происходят при уменьшении номинального вертикального разделения (300 или 500 метров) на 100–120 м, никак не может быть использована для определения вероятности столкновения воздушных судов при полетах по заданным эшелонам.
Эти обстоятельства не уменьшают значение процедур расследования летных происшествий, в результате которых поставлялась, поставляется и будет поставляться всегда самая ценная информация об их причинах и сопутствующих факторах. Однако эти же обстоятельства в свете новых требований ICAO о регулярной оценке поддерживаемого уровня безопасности обусловливают необходимость разработки методов, позволяющих рассчитывать ожидаемый уровень безопасности в тех же форматах, в которых он задан.
В настоящей работе (включая все пять томов книги «Риски и безопасность авиационных систем») предлагается один из таких методов, который заключается в синтезе общей вероятностной модели безопасности полетов на основе вероятностных моделей полной совокупности функциональных задач комплекса авионики, в первую очередь задач пилотирования и самолетовождения, включая аэронавигацию. Такой подход предполагает подробнейшее рассмотрение каждой из функциональных задач комплекса, разработку насколько возможно подробных описаний алгоритмов их решения (без априорного пренебрежения влиянием различных факторов впредь до доказательного обоснования) и далее разработку на основе указанных алгоритмов и определенных в реальных условиях эксплуатации вероятностных характеристик каждого влияющего фактора синтетической вероятностной модели каждой функциональной задачи.
При разработке вероятностных моделей, применяемых в настоящее время при сертификации самолетов, метод оценки безопасности полетов, основанный на расчете отказобезопасности бортовых систем, может быть использован лишь частично, поскольку этот метод абстрагируется от множества факторов, имеющих место в реальных условиях эксплуатации. Сочетание отказов бортовых систем с различными комбинациями этих не учитываемых при сертификации факторов и является реальной причиной подавляющего числа катастроф. Именно поэтому вероятностные модели безопасности полетов должны описывать не столько отказобезопасность систем БРЭО, сколько, главным образом, надежность выполнения каждой из полного перечня функций, оговоренных в техническом задании на комплекс авионики.
В структуре общей вероятностной модели безопасности полетов кроме характеристик надежности инструментальных средств авионики должны содержаться характеристики надежности программно-математического обеспечения вычислительных блоков, кратность резервирования аппаратных средств, параметры настройки внутренних и внешних систем контроля, вероятностные характеристики изменчивости ожидаемых условий эксплуатации, вероятностные характеристики ошибочных действий экипажа воздушного судна и диспетчерской службы.
В вероятностных моделях функциональных задач должны учитываться также вероятности возможных других сопутствующих неблагоприятных факторов, которые могут образовать цепь событий, ведущих к катастрофическому исходу. Набор этих факторов специфичен для каждой функциональной задачи.
Важнейшим элементом вероятностной модели безопасности полетов должна быть вероятностная характеристика надежности программно-математического обеспечения. В настоящее время методов количественной оценки этой характеристики не существует. Проблема является общей как для отечественных, так и для западных специалистов.
Таким образом, постановка задачи разработки общей вероятностной модели безопасности полетов для комплекса авионики не отменяет, а принципиально дополняет методологию сертификации воздушных судов гражданской авиации, основанную на расчете отказобезопасности. При этой постановке еще более актуальной становится проблема повышения инструментальной надежности систем авионики. Если ранее проблема повышения инструментальной надежности систем ставилась, главным образом, из условия снижения эксплуатационных расходов, то теперь с повышением общего целевого уровня безопасности требования к надежности критичных систем возрастут, и они должны быть введены в нормы летной годности воздушных судов.
1.5.3. Показатели безопасности по иерархическим уровням
Тем или иным способом обоснованный государственный целевой уровень безопасности становится целью для всех участников авиационной деятельности. В целях обеспечения единства подхода на всех последующих иерархических уровнях для каждого участника авиационной деятельности надзорным органом также должны устанавливаться частные приемлемые для государства уровни безопасности полетов. В зависимости от рода деятельности эти уровни могут выражаться самыми различными способами, но при условии, что частные приемлемые уровни безопасности должны обеспечивать достижение государственного целевого уровня безопасности полетов. Поэтому ни один частный приемлемый уровень безопасности не может обосновываться и назначаться в отрыве от государственного приемлемого уровня, равно как и в отрыве от тех технических требований, обеспечивающих государственные программы управления безопасностью полетов (ПУБП) и относящихся к роду деятельности рассматриваемого участка авиационной деятельности.
На каждом иерархическом уровне ПУБП определяются одним или несколькими показателями, для каждого из которых устанавливается соответствующий целевой уровень.
В обязательном порядке при разработке любой программы по повышению безопасности полетов в качестве главных требований должны быть приняты:
– назначение приемлемых для государства целевых уровней безопасности с постоянным ростом их значений во времени;
– организация постоянного мониторинга текущего состояния в области безопасности полетов и регулярной его оценки с соответствующей разработкой адекватных методов сопоставления текущего уровня безопасности полетов с назначенным приемлемым (целевым) уровнем безопасности, имея в виду, что целевой уровень безопасности – это тот уровень, который должен быть достигнут по завершении программы.
Конец ознакомительного фрагмента.