КОЛИЧЕСТВЕННОЕ ОЦЕНИВАНИЕ ФАКТОРОВ РИСКА АВИАЦИОННОГО ПРОИСШЕСТВИЯ ПО ГРУППЕ ФАКТОРОВ «ВОЗДУШНОЕ СУДНО» С ИСПОЛЬЗОВАНИЕМ «ДЕРЕВА ОТКАЗОВ»
Рассматривается возможность анализа причин отказов авиационной техники с последствиями и выработки мероприятий, наиболее эффективных для их предупреждения, путем построения дерева отказов и неработоспособных состояний. Сделан акцент на возможность количественного оценивания факторов риска авиационных происшествий. Подчеркивается, что именно количественное оценивание позволяет перейти к «проактивной» стратегии управления уровнем безопасности полетов.
Появление и развитие столь сложных и потенциально опасных технических конструкций как летательные аппараты обусловило необходимость обеспечения безопасности полетов (БП), что, в свою очередь, привело к созданию и развитию методологии предотвращения авиационных происшествий (АП) через снижение риска АП в предстоящих полетах.
Однако сформировавшийся в течение десятилетий подход к оценке БП, построенный на анализе статистики АП и инцидентов, не позволяет отразить истинное (текущее) состояние БП. Тем более такой подход не дает возможность спрогнозировать безопасность предстоящих полетов поскольку, к счастью, АП – крайне редкое явление, чтобы статистическую оценку считать достаточно достоверной.
Стратегия предотвращения АП с управлением БП по информации об имевших место происшествиях и инцидентах позволяет, в лучшем случае, предотвращать повторение указанных событий по тем же причинам. Поэтому эта стратегия названа нормативной [1] или «ретроактивной» [2], хотя декларирует принцип «предотвращать АП, сокращая инциденты». При этом применяется самый доступный и дорогой метод познания - метод проб и ошибок. Данный метод позволяет идти по пути от свершившихся авиационных событий к вызвавшим их причинам (к аварийным факторам). Ценность информации о факторах, оказавшихся аварийными, и о проявившихся их сочетаниях несомненна. Но выявлять эти факторы приходится при расследовании АП и инцидентов в условиях дефицита информации, иногда по фрагментам объектов и субъектов исследования. Поэтому в Руководстве ИКАО по ПАП делается упор на «активный поиск аварийных факторов, которые необходимо устранять и избегать» [1]. Такой подход способствует реализации «проактивной» стратегии ПАП [3] - от факторов риска АП (пока они не стали аварийными) к предотвращению АП.
Очевидная актуальность перехода от «ретроактивной» к «проактивной» стратегии ПАП обусловила необходимость [4] проведения фундаментальных исследований, направленных на создание соответствующих научных, методических, нормативных, организационных и аппаратных основ управления уровнем БП.
Тщательному анализу причин отказов (инцидентов, катастроф) и выработке мероприятий, наиболее эффективных для их устранения, способствует построение дерева отказов и неработоспособных состояний авиационной техники. Такой анализ проводят для каждого периода эксплуатации каждого компонента авиационно-транспортной системы в целом.
Дерево отказов (аварий, происшествий, последствий, нежелательных событий, несчастных случаев и пр.) лежит в основе логико-вероятностной модели причинно-следственных связей отказов системы с отказами ее элементов и другими событиями (воздействиями). При детальном анализе выявлено, что возникновение отказа состоит из последовательностей и комбинаций нарушений и неисправностей. Следовательно дерево отказов представляет собой многоуровневую графологическую структуру причинных взаимосвязей, полученных в результате прослеживания опасных ситуаций в обратном порядке, для того чтобы отыскать возможные причины их возникновения (рис. 1).
Рис. 1. Общий вид дерева отказов
Практическая ценность анализа методом дерева отказов заключается в следующем:
- позволяет показать в явном виде ненадежные места;
- обеспечивается графикой и представляет наглядный материал для той части сотрудников (специалистов), которые принимают участие в обслуживании системы;
- дает возможность выполнять качественный или количественный анализ надежности системы;
- позволяет специалистам поочередно сосредотачиваться на отдельных конкретных отказах системы;
- обеспечивает глубокое представление о поведении системы и проникновение в процесс ее работы;
- помогает дедуктивно выявлять отказы;
- дает конструкторам, эксплуатантам и руководителям возможность наглядно обосновывать конструктивные изменения или установление степени соответствия конструкции системы заданным требованиям и анализ компромиссных решений;
- упрощает анализ надежности сложных технических и эргатических систем, делает его доступным для широкого круга специалистов.
Чтобы отыскать и наглядно представить причинную взаимосвязь с помощью дерева отказов, необходимы элементарные блоки, подразделяющие и связывающие большое число событий.
Имеется два типа блоков: логические символы (знаки) и символы событий.
Логические символы связывают события в соответствии с их причинными взаимосвязями. Обозначения логических знаков приведены в табл. 1. Логический символ может иметь один или несколько входов, но только один выход, или выходное событие.
Логический знак «И» (схема совпадения). Выходное событие логического знака «И» наступает тогда, когда все входные события появляются одновременно.
Правило формулирования событий. События, входные по отношению к операции «И», должны формулироваться так, чтобы второе было условным по отношению к первому, третье условным по отношению к первому и второму, а последнее - условным ко всем предыдущим. Кроме того, по крайней мере, одно из событий должно быть связано с появлением выходного события.
Полная характеристика события не требуется. Иногда она даже мешает графической ясности диаграммы. Требуется лишь упорядочить события так, чтобы событие, стоящее справа, зависело от появления стоящего слева. Таким образом, появление выходного события будет определяться появлением последнего события в ряду N – событий.
Правило применения логического знака «И». Если имеется несколько причин, которые должны появиться одновременно, то обычно используют операцию «И». Входы операции должны отвечать на вопрос: «Что необходимо для появления выходного события?».
Таблица 1
Логические символы
Логический знак «ИЛИ» (схема объединения). Выходное событие логического знака «ИЛИ» наступает тогда, когда имеет место любое из входных событий.
Правило формулирования событий. События, входные по отношению к операции «ИЛИ», должны формулироваться так, чтобы они вместе исчерпывали все возможные пути появления выходного события. Кроме того, любое из входных событий должно приводить к появлению выходного события. Правило не дает способа описания событий, но оно должно выполняться при построении дерева отказов.
Правило применения логического знака «ИЛИ». Если любая из причин приводит к появлению выходного события, следует использовать операцию «ИЛИ». Входы операции отвечают на вопрос: «Какие события достаточны для появления выходного события?».
Порядок применения логических знаков «И» и «ИЛИ». Для любого события, подлежащего дальнейшему анализу, вначале рассматриваются все возможные события, являющиеся входами операций «ИЛИ», затем входы операций «И». Это справедливо как для головного события, так и для любого события, анализ которого целесообразно продолжить.
Логический знак запрета. Шестиугольник, расположенный в стр. 3 табл. 1, является логическим знаком запрета и используется для представления вероятностных причинных связей. Событие, помещенное под логическим знаком запрета называется входным событием, в то время как событие, расположенное сбоку от логического знака, называется условным событием. Условное событие принимает форму события при условии появления входного события. Выходное событие происходит, если и входное и условное событие имеют место. Другими словами, входное событие вызывает выходное событие с вероятностью (обычно постоянной) появления условного события. Логический знак запрета часто появляется в тех случаях, когда событие вызывается по требованию. Он используется, главным образом, для удобства и может быть заменен логическим знаком «И».
Событие на выходе появляется, если события на входе происходят в определенной последовательности (слева направо). Появление событий на входе в другом порядке не вызывает события на выходе.
Логический символ «исключающее «ИЛИ»» (стр. 5 табл. 1) описывает ситуацию, в которой событие на выходе появляется, если одно из двух (но не оба) событий происходят на входе.
Логический знак голосования m из n (стр. 6 табл. 1) имеет n событий на входе, а событие на выходе появляется, если происходят, по меньшей мере, m из n событий на входе.
Символы событий. Символы событий приведены в табл. 2.
Таблица 2
Основные символы событий
Прямоугольный блок обозначает событие отказа, которое возникает в результате элементарных, исходных отказов, соединенных с помощью логических элементов.
Круглый блок обозначает исходный отказ (исходное событие) отдельного элемента (в пределах данной системы или окружающей среды), который таким образом определяет разрешающую способность данного дерева отказов. Для того чтобы получить количественные результаты с помощью дерева отказов, круглые блоки должны представлять события, для которых имеются данные по надежности. Они называются исходными событиями. «Отказ детали из-за износа» может быть примером исходного отказа элемента и помещается в круг. Обычно такое событие обусловливается определенным элементом и, когда оно происходит, этот элемент необходимо отремонтировать или заменить.
Ромбы используются для обозначения детально неразработанных событий в том смысле, что детальный анализ не доведен до исходных типов отказов в силу отсутствия необходимой информации, средств или времени. «Авария из-за саботажа или диверсии» является примером детально неразработанного события. Часто такие события не увеличиваются при количественном анализе. Они включаются на начальном этапе, и их присутствие служит показателем глубины и ограничений данного исследования.
Символ «домик» – ожидаемое событие. Иногда желательно рассмотреть различные особые случаи дерева отказов, заведомо предполагая, что одни события происходят, а другие события исключаются из рассмотрения. В таких случаях целесообразно пользоваться символом, изображенным на стр. 5 табл. 2 в виде домика. Когда этот символ включают в дерево отказов, предполагают, что данное событие обязательно происходит. Если событие не происходит - его исключают.
Можно также опустить причинные взаимосвязи, расположенные под знаком «И», не учитывая событие, заключенное в домике и стоящее на входе этого логического знака. Подобным образом можно аннулировать связи под логическим знаком «ИЛИ», присоединив событие, заключенное в домике, непосредственно к этому знаку.
Анализ методом «дерева отказов» широко используется в комплексных системах при оценке вопросов авиационной безопасности. Этот метод по существу представляет собой логическую диаграмму, которая поясняет сложные процессы и взаимосвязь, и может быть применена для демонстрации причинно-следственных связей, приводящих к АП.
Таким образом, такой анализ отказов помогает проследить цепи событий, ведущих к отказу всей системы. При подобном «системном» подходе подчеркивается, что человеческая ошибка, отказ оборудования или неблагоприятные условия окружающей среды способны повлиять на другие факторы [5].
Сложное дерево имеет различные наборы исходных событий, при которых достигается событие в вершине. Они называются аварийными сочетаниями (сечениями) или прерывающими совокупностями событий. Минимальным аварийным сочетанием (МАС) называют наименьший набор исходных событий, при которых возникает событие в вершине. Полная совокупность МАС дерева представляет собой все варианты сочетаний событий, при которых может развиться АП. Минимальная траектория – наименьшая группа событий, при появлении которых происходит АП.
Качественно и количественно дерево отказов исследуют с помощью выделенных минимальных аварийных сочетаний и траекторий.
Качественный анализ заключается в сопоставлении различных маршрутов и начальных событий к конечному и определении критических (наиболее опасных) путей, приводящих к АП. При количественном исследовании рассчитывают вероятность появления аварии в течение задаваемого промежутка времени по всем возможным маршрутам.
На рис. 2 приводится пример упрощенного анализа. Начиная прослеживать развитие АП или инцидента с верхней части в обратном направлении, можно предположить, что диаграмма анализа отказов развивается по мере движения вниз по различным уровням через блоки «И» или «ИЛИ» в ответ на вопрос «почему». Ответвления становятся более детальными по мере того, как добавляется вся имеющаяся информация, ведущая к выявлению основной причины или факторов риска АП. Диаграмма анализа дефектов представлена не полностью, и лишь поясняет общее развитие причинно-следственной связи.
Использование анализа «методом отказов» требует глубокого знания процессов разработки, изготовления и эксплуатации соответствующего компонента или системы. Данным методом достигаются положительные или отрицательные результаты на каждом уровне или в логическом звене. Его применение дает значительный успех при анализе механических отказов [6].
При наличии более ясной картины причинно-следственных связей, ведущих к АП или инциденту, легче определить уровни и области наиболее рационального применения процедур предотвращения АП, а также их потенциальную эффективность.
Применительно к существующим авиационно-транспортным системам упомянутый метод анализа отказов способствует выявлению областей, в которых требуется принять более активные меры по предотвращению АП.
Увеличить gladkin11-2008-04.gif (31кб)
Рис. 2. Вид упрощенного «дерева отказов»
Итак, опираясь на вышеизложенное, обратим особое внимание на рассмотрение количественного анализа дерева отказов. Очевидно, любое событие можно представить в виде какой-либо логической функции достаточно тривиального вида, например:
А=В+С.
С=DхEхFхG.
При построении дерева каждому событию присваивается определенная вероятность, рассчитанная также путем применения соответствующих показателей:
Pа =1-(1-Pb)(1-Pc);
Pс = PdPePfPg.
Стохастические данные, полученные в ходе количественного анализа, далее могут быть использованы в нескольких вариантах.
Во-первых, по их величине можно количественно, в цифрах, судить об уровне риска [7] (максимального риска, допустимого риска) применения исследуемого объекта, части объекта, системы.
Во-вторых, полученные вероятности для выбранной системы можно сравнивать с ранее существовавшими вероятностями, разработанными альтернативно, либо с эталонными.
В-третьих, если в качестве события, недостаточно проработанного (символ 5 табл. 2), ввести вероятность ошибочных действий оператора, то, варьируя данную вероятность, можно получить вероятность возможных осложнений при эксплуатации исследуемого объекта с учетом человеческого фактора.
Работа выполнена при финансовой поддержке РФФИ,
№ гранта 06-08-01518
Литература
1. Руководство по предотвращению авиационных происшествий. Doc. 9422-AN/923. Первое издание – 1984 г. – ИКАО, 1984.
2. Михалик Н. Ф., Джафарзаде Р. М., Малишевский А. В. Проблема эксплуатации воздушных судов в экстремальных условиях. Постановка задачи./ Труды общества независимых расследователей авиационных происшествий (Выпуск 16). – М.: Полиграф, 2004. с. 182 - 198.
3. Руководство по управлению безопасностью полетов (РУБП). Издание первое. Doc. 9859 – AN/460. – ИКАО, 2006.
4. Гузий А. Г., Онуфриенко В. В. Методология предотвращения авиационных происшествий через активное управление уровнем безопасности предстоящих полетов.// Проблемы безопасности и чрезвычайных ситуаций. Научный информационный сборник. - М.: ВИНИТИ, 2006, № 3. – с. 52 - 60.
5. Надежность технических систем и техногенный риск./ Электронное учебное пособие. МЧС РФ. www.obzh.ru.
6. Крюков С. П., Бодрунов С. Д., Александровская Л. Н., Аронов И. З., Захаревич А. П., Кузнецов А. Г., Кушельман В. Я./ Методы анализа и оценивания рисков в задачах менеджмента безопасности сложных технических систем. Корпорация «Аэрокосмическое оборудование», 2007.
7. Гузий А. Г., Онуфриенко В. В., Гладкин С. М. Нейросетевой подход к разработке интеллектуальной информационно-аналитической системы управления уровнем безопасности полетов.// Проблемы безопасности и чрезвычайных ситуаций. Научный информационный сборник. - М.: ВИНИТИ, 2007, № 9.