Текст книги "Системная безопасность гражданской авиации страны (анализ, прогнозирование, управление)"

1.3. Менеджмент безопасности. Структурно-функциональный синтез

«Авиация – это цельная система, включающая все необходимое для безопасности перелетов» [35].

Система включает: самолеты; аэропорты; контроль над воздушным пространством; ремонт; экипаж; наземную службу поддержки; диспетчеров; системы контроля и управления. При этом система безопасности должна охватывать все ее подсистемы.

Безопасность – это интегральная характеристика, которая характеризуется тремя параметрами (факторами):

– риском R как вероятностью возникновения события;

– ценой Ц возникшего события или последствиями;

– степенью приемлемости П цены последствия, т. е. рассматривается характеристика Б = (R,Ц,П).

Итак, характеристика безопасности количественно характеризуется как вероятностью события, так и последствиями этого события.

В дальнейшем будем изучать динамические системы, к которым относится как система гражданской авиации, так и система управления безопасностью полетов.

В силу сказанного выше, из-за ошибок, обусловленных возмущающими факторами (внешними W и внутренними V) функционирования, как системы гражданской авиации, так и системы управления безопасностью полетов могут находиться в области как безопасных, так и опасных состояний. Этим областям состояния динамической системы соответствуют вероятности опасных (рисковых) и безопасных состояний. Области опасных (критических) и безопасных состояний разделяются граничными значениями параметров S_доп, т. е. допустимыми значениями.

При воздействии различных факторов риска (внешних W и внутренних V) вероятность Р выхода динамической системы в область опасного состояния различна.

Управление безопасностью в системе гражданской авиации связано с предотвращением аварий и происшествий, т. е. выходом параметров системы в область опасных состояний.

ICAO вводит следующие понятия:

«Авария – это случай во время маневра в воздухе, который приводит к смерти или серьезным увечьям; существенному повреждению; исчезновению самолета. Происшествие – это случай, отличный от аварии…, который может повлиять на безопасность маневра».

Авария возникает под воздействием системы факторов риска, обусловливающих ее возникновение. При этом, как сказано в документах ICAO: «Риск – это система». Согласно работам [19, 20] риск есть процесс, созданный динамической системой, характеризуемый вероятностью, зависящей от времени.

На рис. 1.4 представлены результаты структурно-функционального синтеза факторов риска, приводящих к аварии.

Неизбежность ошибок системы порождают следующие факторы риска:

1) скрытые и продолжительные неисправности в защите;

2) временная недоступность к некоторым элементам системы;

3) активные ошибки подсистем системы;

4) человеческие ошибки или нарушения.

Рис. 1.4

Система – это комплексное взаимодействие человеческого фактора, материально-технического фактора, внешней среды (внешних систем) [46].

Любой организационной структуре свойственны ошибки, которые порождают потери, обусловливающие риски.

Проблема создания систем высокой надежности, в которой ошибки не приводят к авариям, кризисам, катастрофам, была и остается сегодня актуальной.

В связи с тем, что аварии никогда не происходят только из-за одной ошибки (причины), а включают комплексную последовательность событий, анализ причин аварий должен учитывать системность, обусловливающую опасное состояние авиационной системы.

Сущность защиты состоит в следующем. Система должна содержать множество (серию) защитных механизмов различных уровней от микро– до макро-, так как сами защитные механизмы не работают идеально. При этом обеспечивается нахождение ошибок в системе, их нейтрализация до развития необходимых для аварии условий.

Выявление нарушений – это процесс идентификации тех ситуаций и условий, которые потенциально могут создать опасную ситуацию для системы гражданской авиации.

1. Системные ошибки связаны с неполадками в системе, обусловливающими ошибки системы в целом.

Погрешность трактуется как отказ в работе оборудования, человеческая ошибка – погрешность в работе человека.

2. Активные ошибки и латентные условия.

Активная ошибка – ошибка, которая происходит в системе, а ее результаты проявляются как итог работы системы. Латентное условие – это описание существующего нарушения, которое может дать сбой в системе, содержащее человеческий фактор, в том числе человеческие ошибки.

3. Погрешности оборудования проявляются в виде сбоя в системе, обусловленного потерей ее функциональных свойств.

Ошибка – это непреднамеренный результат человеческой деятельности. Выполнение задания происходит согласно умению, правилам, знаниям. Ошибки включают забывчивость, пропуск операции, результат ошибочного решения. Возможны «честная» нормальная ошибка при выполнении задания, грубое нарушение предписанных процедур или проверенной практикой безопасности [40].

Безопасность системы гражданской авиации реализуется посредством:

1) менеджмента безопасности;

2) менеджмента риска,

которые реализуют безопасность системы гражданской авиации на системном уровне.

В общем случае менеджмент безопасности включает:

1) структурно-функциональный синтез, который реализуется в два этапа:

– на первом этапе разрабатывается качественная модель системы, порождающей процессы, которые создают опасные ситуации;

– на втором этапе осуществляется структурно-функциональной синтез системы;

2. Структурно-функциональный анализ, который реализуется в два этапа:

– на первом этапе разрабатывается качественная модель анализа;

– на втором этапе – количественная модель, включая математическое моделирование.

Безопасность может рассматриваться на макро– и микроуровнях. Так, проблемы безопасности глобальные (макроуровня) рассматриваются промышленностью или государством. Например, система гражданской авиации контролирует частоту и величину потерь при посадке, она изучает ситуации, вырабатывает рекомендации по ее улучшению и внедряет глобальные меры по борьбе с риском.

Менеджмент риска включает:

1) доказательство риска;

2) контроль над риском;

3) ограничение риска;

4) оптимизацию риска.

Ограничение риска. Ограничение риска требует, чтобы подверженность эксплуатационному риску была ниже заданного уровня безопасности полетов в соответствии с политикой организации. В случае когда первоначальное сравнение определит, что риск превышает заданный уровень безопасности полетов, должны быть предприняты меры по его уменьшению.

Оптимизация риска. Оптимизация риска означает определение того, как может быть уменьшена вероятность и частота каждого события или цепочки ошибочных действий, и применение всех возможных действий по снижению уровня риска. Данные действия включают:

1) изучение всех возможных причин исходных явлений для анализа того, как случившееся может быть изменено путем внедрения факторов восстановления;

2) изучение итогов внедрения факторов восстановления с целью снижения вероятности данных потерь.

Затем администрация оценивает стоимость и практичность возможных мер по снижению уровня риска и решает, применять ли меры, основанные на результатах их оценки, или нет.

Доказательство риска. Риск должен быть доказан, исходя из количества людей, подвергнутых ему, и вытекающей выгоды.

Контроль риска должен осуществляться, чтобы гарантировать, что уровень риска соответствует норме. В контроле над риском скрыта необходимость выявления хода событий, параметров, системы отчетности, требований к анализу и механизмов изменений.

Анализ ситуаций риска может быть количественным и качественным, в зависимости от информации о риске и легко доступных данных, величины опасности и других факторов. Использование количественных данных помогает внести ясность в большинство решений и должно использоваться, где это возможно. Однако некоторые из самых важных факторов в принятии решений невозможно измерить количественно. Данные факторы тоже должны быть тщательно изучены.

Риск определяется как результат вероятности опасных событий и последствий произошедших событий. Например, учитывая начальное предположение о том, что все люди на борту самолета при столкновении умрут, заданный уровень безопасности полетов должен быть связан с числом столкновений в воздухе.

I. Предварительный анализ опасности при ее идентификации применяется на ранней стадии разработки проекта, когда нет возможности использовать всесторонние методы.

II. Метод анализа характера последствий проявления неисправности – фундаментальный метод определения опасности и ее частного анализа в основном использует качественный анализ.

Процедурно метод требует полного и точного моделирования изучаемой системы, наряду с детальным знанием работы системы и связанных с ней других систем. Существенная особенность метода – это рассмотрение каждого компонента системы, неисправности (характер проявления неисправности) и влияние характера проявления неисправности на систему. Если включен анализ критического состояния, каждая неисправность классифицируется согласно объединенному влиянию вероятности ее появления и серьезности ее последствий.

В дальнейшем покажем, что риск и безопасность неразрывно взаимосвязаны не только на качественном уровне, как в случае с посадкой, но и на количественном уровне, когда рассматривается контроль и управление параметром, подлежащим ограничению по минимуму или по максимуму либо по тому и другому одновременно.

Менеджмент безопасности включает: совокупность принципов, методов управления, направленных на достижение заданного уровня безопасности (заданной цели) путем использования внутреннего потенциала системы.

Система менеджмента безопасности включает вполне определенные функциональные назначения на уровне управления процессами риска и безопасности согласно документам ICAO.

1. Планирование.

2. Руководство безопасностью.

3. Создание организации со структурой, которая реализует бизнес и менеджмент безопасности.

4. Выявление нарушений.

5. Менеджмент риска, реализующий способность к расследованию, способность к анализу безопасности, содействие безопасности и тренировкам, а также формирующий документацию менеджмента безопасности.

6. Наблюдения за безопасностью и оценкой работы.

Согласно принципу минимального риска [21] и качественной модели, система менеджмента безопасности синтезирована на структурно-функциональном уровне как система управления безопасностью полетов и представлена на рис. 1.5 (здесь СГА – система гражданской авиации).

Рис. 1.5

Приведем функциональное назначение подсистем.

Подсистема (1) – установление иерархии приемлемых уровней безопасности полетов, достижение которых является целями конкретных программ работ, т. е. целеполагание.

Подсистема (2) – обеспечение требований постоянного роста целевого приемлемого уровня безопасности полетов и текущего уровня безопасности полетов, т. е. уровня целедостижения.

Подсистема (3) – проведение методов и средств безопасности полетов на каждом из иерархических уровней, т. е. целереализация.

Подсистема (4) – регулярная оценка на каждом иерархическом уровне соответствия текущего уровня безопасности полетов назначенному целевому нормативному (приемлемому) уровню безопасности полетов и формирование выводов для подсистемы (1).

Реализация решений или управлений, сформированных системой управления безопасностью полетов, осуществляется подсистемой (3) (рис. 1.5), представляющей иерархическую систему:

– государственной власти;

– отдельных подсистем государственной власти;

– ведомственных уровней;

– корпорационных ведомственных уровней;

– на уровне отдельных предприятий и организаций.

Каждая из подсистем синтезированной структуры представляет систему со структурой, включающей подсистемы, реализующие следующие функции: что делать; как делать; делать; контроль, анализ сделанного.

Рассмотрим подсистему (1) (рис. 1.5). Она включает:

– подсистему (1–1), сформированную из старшего руководства безопасностью, решающую «что делать»;

– подсистему (1–2), в которой реализуется планирование и другие мероприятия анализа, направленные на решение «как делать»;

– подсистему (1–3), где формируется документация менеджмента безопасности;

– подсистему (1–4), где реализуется руководство информацией.

Рассмотрим подсистему (2) (рис. 1.5). Она включает:

– подсистему (2–1), в которой реализуется менеджмент риска, в том числе анализ возможных нарушений;

– подсистему (2–2), в которой реализуется способность к анализу (оценка) безопасности и риска;

– подсистему (2–3), где формируются методы борьбы с риском;

– подсистему (2–4), которая реализует контроль за результатами анализа.

Рассмотрим подсистему (3) (рис. 1.5). Она включает:

– подсистему (3–1), реализующую как организацию со структурой, бизнес;

– подсистему (3–2), реализующая как организацию со структурой, менеджмент безопасности;

– подсистему (3–3), реализующую как организацию со структурой, содействие безопасности, тренировки;

– подсистему (3–4), контроль за созданным.

Рассмотрим подсистему (4) (рис. 1.5). Она выполняет роль обратной связи и включает:

– подсистему (4–1), реализующую наблюдение за безопасностью;

– подсистему (4–2), осуществляющую выявление нарушений;

– подсистему (4–3), осуществляющую способность к расследованию;

– подсистему (4–4), осуществляющую оценку работы.

Любая система требует обратной связи по выполнению системных задач, чтобы приспособиться к различным нововведениям и процессам. Обзор программы придает вес системе менеджмента безопасности, он подтверждает, что применяется системный подход (как оппозиция нерегулируемых и несвязанных инициатив по безопасности). Через регулярный и системный обзор руководство может улучшать работу организации.

Таким образом, в монографии, согласно требованиям ICAO разрабатывается системный подход к реализации политики безопасности, более того, на структурно-функциональном уровне. Так, например, в документах ICAO (см. стр. 13) сказано:

«Эффективный менеджмент безопасности требует применения системного подхода к развитию политики безопасности, процедур и практик таким образом, чтобы организация достигала поставленных целей безопасности, как и в других типах менеджмента, менеджмент безопасности требует планирования, организации, коммуникаций и управления. Менеджмент безопасности интегрирует различные действия в неразделимое целое предотвращения аварий. В дальнейшем потребуется оценка эффективности менеджмента безопасности, чтобы завершить круг безопасности.

Существует несколько путей удовлетворения потребности организации в менеджменте безопасности, нет единой модели, подходящей под все. Размер, сложность и тип функциональных операций так же, как и корпоративная культура безопасности и условия проведения операций, будут изменять структуру, чтобы она подходила под организацию и ее уникальные обстоятельства. Использование системного подхода поможет удостовериться, что все необходимые для построения системы элементы присутствуют».

Системы менеджмента безопасности нуждаются в обратной связи (подсистема 4) по действиям безопасности, чтобы завершить круг цикла менеджмента. Через эту обратную связь оценивается работа системы и принимаются необходимые меры. Например, руководству необходима обратная связь, чтобы нейтрализовать события, противоречащие целям производства процессов, необходимых системе гражданской авиации, и осуществлять предотвращение аварий [44].

В документах ICAO [35] сказано:

«Оценка безопасности – это структурированный процесс выявления нарушений в системе и оценки риска, связанного с каждым нарушением. Приемлемость риска определяется сравнением оцененного уровня риска с предопределенным критерием оценки… Оценка риска может проводиться до внедрения изменений в систему, потенциально влияющих на безопасность, чтобы показать, что эти изменения соответствуют допустимому уровню риска. Например, когда планируются большие изменения, приобретение оборудования, изменения в организации работы, оценка безопасности может быть оправданной. Приложение 11 ICAO: «Обслуживание воздушного пространства требует, чтобы все серьезные изменения в системе Управления воздушным движением внедрялись только после того, как оценка безопасности продемонстрировала, что уровень риска допустимый. Рамки оценки безопасности должны быть настолько широкими, чтобы принимать во внимание все аспекты системы, на которые идет влияние прямо или косвенно.

Если результат оценки безопасности системы не соответствует определенному ранее критерию, необходимо искать средства модификации системы, чтобы снизить уровень риска. Этот процесс называется борьба с риском. Определение способов борьбы с риском является неотъемлемой частью процесса оценки безопасности, адекватность предложенных мер может определяться с помощью повторной оценки безопасности с условием, что эти меры уже внедрены».

Процесс анализа безопасности реализуется на системном уровне (рис. 1.6), что обеспечивает цикличность построения необходимой величины оценки риска для различных возможных мер борьбы с риском.

Рис. 1.6

Система, реализующая процесс оценки безопасности, включает подсистемы со следующими функциональными свойствами:

– подсистема (1) создает математическую модель объекта или системы, которую нужно исследовать на риск и безопасность, в которую включены факторы внешние W и внутренние V, создающие нарушения (потери, риски), документальное оформление принятого решения;

– подсистема (2) определяет последствия нарушений, создает модель математического расчета искомой вероятности риска;

– подсистема (3) создает программы расчета и осуществляет расчет численной величины искомых вероятностей;

– подсистема (4) реализует оценку (сравнение) допустимости риска.

Подсистема (1) совместно с подсистемой (2) реализует один из методов и соответствующие им средства борьбы с недопустимым риском и запускает следующий (второй) этап процесса оценки риска.

Если на втором этапе расчетная вероятность больше допустимого, подсистема (1) вводит новый метод и средства снижения риска. Если риск приемлем, то последнее решение оформляется документально и переходит к новому уровню развития (внедрения).

Отметим, что при оценке безопасности изучаемая система принадлежит иерархии систем, которые при функционировании представляют собой динамические системы [20].

Подсистема контроля (4) (рис. 1.5) системы менеджмента безопасности включает два фактора контроля и управления:

1) системные способы борьбы с неизвестными возмущающими факторами в организации;

2) формирование показателя способности организации (системы со структурой) приспосабливаться к неизвестным возмущающим факторам внешнего W и внутреннего V происхождения.

При этом безопасность означает такой уровень риска, который приемлем.

Безопасность организации так же, как и риски [19], – это динамические процессы, переменные во времени.

Стратегические показатели характеризуют изменение безопасности в виде графиков, чисел – это уровень безопасности в макро– и микросистеме. Так, например, на макроуровне это может быть количество аварий с летальным исходом в год или за последние 10 лет. На микроуровне показатели характеризуют, например, отказы элементов двигателя, системы управления, системы контроля.

Ретроспективный подход полезен в анализе тенденций, оценке риска, выборе способов контроля.

Наблюдение за безопасностью, ее контроль, требует регулярного мониторинга всех подсистем авиационной системы, влияющих на безопасность организации.

Мониторинг направлен на фиксацию нарушений и последующей оценки эффективности мероприятий по безопасности. Мониторинг реализуется: на международном уровне; на уровне государства или организации.

В документах ICAO [35] сказано: «Действия по обследованию риска могут объединять весь цикл менеджмента риска и выявления нарушений через оценку риска, наблюдения и подтверждения качества».

Указанные действия включают:

– инспекции;

– обследования;

– мониторинг безопасности;

– оценку качества посредством системы оценки качества;

– аудиты безопасности, включая универсальную программу аудита.

Отметим, что суть системы оценки качества состоит в том, чтобы определить и поддерживать цели и политику качества системы гражданской авиации.

Программа оценки качества содержит в себе процедуры всех аспектов работы организации:

1) хорошо разработанные и задокументированные процедуры;

2) методы инспекции и тестирования;

3) мониторинг оборудования и операций;

4) внутренние и внешние аудиты;

5) мониторинг действий по коррекции;

6) использование статистического анализа.

Приведем главные цели универсальной программы аудита от ICAO:

1) определение уровня подчинения государств стандартам ICAO;

2) наблюдение и оценка строгого соблюдения государствами рекомендованных ICAO практик, процедур, руководств по безопасности;

3) определение эффективности внедренных государствами систем наблюдения через образование необходимых, законных, контрольных органов управления безопасностью и возможностей инспекции и аудита;

4) обеспечение государств Советом по усовершенствованию их возможностей наблюдения за безопасностью.

Цели и задачи странового аудита безопасности.

1. Надзор и уступчивость. Органы контроля, перед тем как выдавать лицензию или что-то одобрять, должны быть уверены, что требуемые международные, национальные и локальные стандарты выполняются, и что данная лицензия может быть продлена. Органы контроля вырабатывают способы выражения соответствия. От организации, в которой проводится аудит, требуется предоставление документации, подтверждающей, что требования органов контроля выполняются.

2. Области и степень риска. Аудит должен подтверждать, что менеджмент безопасности организации основывается на четких принципах и процедурах. Системы организаций существуют для того, чтобы постоянно проверять процедуры для уверенности, что они отвечают стандартам. Должны проводиться оценки того, как выявляется риск и какие принимаются меры после его выявления. Аудит должен подтвердить, что отдельные части системы работают слаженно как единое целое. Таким образом, регулярные аудиты проводятся на высоком уровне, чтобы подтвердить, что организация учитывает все стороны в менеджменте безопасности.

3. Компетенция. Организация имеет персонал профессионалов, чтобы гарантировать то, что система менеджмента риска работает так, как она и должна. В добавок к этому должна быть подтверждена компетенция персонала. Органы контроля должны оценить действия персонала в ключевых позициях. То, что индивид обладает лицензией, дающей определенные преимущества, еще не означает, что он может выполнять задания по руководству, данные организацией, например, лицензия пилота может не быть тождественной проницательности руководителя. Где существуют недостатки в умениях, организация должна убедить контролера, что справится с ними в кратчайшие сроки. Ко всему прочему, контролер должен быть заинтересован в привлечении наивысшего уровня руководства к ответственности за безопасность во время каждодневной работы организации.

4. Организация справляется с главными вопросами безопасности и соответствует своим целям.