Автоматика и телемеханика, № 8, 2021
Управление в технических системах
© 2021 г. В.В. ВОРОБЬЕВ, д-р техн. наук (v.vorobjev@mstuca.aero),
В.Л. КУЗНЕЦОВ, д-р техн. наук (v.kuznetsov@mstuca.aero),
В.Д. ШАРОВ, д-р техн. наук (v.sharov@mstuca.aero)
(Московский государственный технический университет гражданской авиации)
МОДИФИКАЦИЯ МЕТОДИКИ ОЦЕНКИ УРОВНЯ БЕЗОПАСНОСТИ
ПОЛЕТОВ ПРИ УПРАВЛЕНИИ ВОЗДУШНЫМ ДВИЖЕНИЕМ
С ИСПОЛЬЗОВАНИЕМ СИСТЕМЫ АЗН-В
В документе Радиотехнической комиссии по аэронавтике (RTCA) [1]
разработана методика оценки уровня безопасности полетов при исполь-
зовании перспективной системы автоматического зависимого наблюдения
в вещательном режиме (АЗН-В), предназначенная для сертификации си-
стемы управления воздушным движением. Как показал приведенный в
статье анализ, в основе этой методики лежит ошибочная гипотеза, ис-
пользование которой приводит к заниженным требованиям к сертифи-
цируемой системе АЗН-В. В рассмотренном в статье примере показано,
что отказ от этой ошибочной гипотезы может приводить к ужесточению
требований на порядок. Для получения корректных результатов в статье
предложена простая для расчетов модификация методики, лишенная это-
го, вообще говоря, серьезного недостатка. Использование предложенной
методики проиллюстрировано на примере.
Ключевые слова: АЗН-В, оценка уровня безопасности полетов, фактор
опасности, целевой уровень безопасности, вероятность авиационного про-
исшествия.
DOI: 10.31857/S0005231021080067
1. Введение
Разрабатываемый Международной организацией гражданской авиации
(ИКАО) переход на принципиально новую систему обслуживания воздушно-
го движения (ОВД), связанную с использованием спутниковых систем, новых
самолетных ответчиков и радиолокационной информации, должен начаться
в США и в Европе уже в этом году [2, 3]. В его основе лежит принцип сов-
местной ситуационной осведомленности, когда информация о координатах и
скоростях воздушных судов (ВС) доступна не только наземным службам, но
и каждому участнику воздушного движения (ВД). Общие положения, опре-
деляющие требования к этой новой системе ОВД, сформулированы в цирку-
ляре ИКАО [4]. Появлению этого документа предшествовала большая работа,
связанная с подготовкой и разработкой моделей, позволяющих оценить на-
дежность, эффективность и безопасность вводимых новых технологий.
Так, например, оперативной группой, созданной при сотрудничестве Ев-
роконтроля и Радиотехнической комиссии по аэронавтике (Radio Technical
129
Commission for Aeronautics — RTCA), был опубликован объемный документ,
определяющий требования к системе АЗН-В в зоне радарного покрытия [1].
Во всех сценариях, рассмотренных в этом документе, АЗН-В используется
как основной источник информации при наблюдении за воздушной обста-
новкой, а радар выступает как резервный источник, используемый лишь во
время потери или ухудшения данных, поступающих от АЗН-В. Кроме того,
результаты радиолокационных измерений используются с целью проверки
согласованности данных двух систем наблюдения.
Аналогичная работа проводится и в Российской Федерации. Реализуют-
ся пилотные проекты в укрупненных центрах Единой системы организации
воздушного движения (ЕС ОрВД) [5-7], а в апреле 2018 г. была утвержде-
на Концепция внедрения автоматического зависимого наблюдения на основе
единого стандарта с развитием до функционала многопозиционных систем
наблюдения [8], начали реализовываться пилотные проекты в укрупненных
центрах ЕС ОрВД.
Требования, предъявляемые к оценке состояния безопасности системы на-
блюдения ОВД при использовании системы АЗН-В, изложены в [4]. Однако в
этом документе концепция оценки представлена только в общих чертах. По-
этому за основу, как правило, берется методика, разработанная и опублико-
ванная в [1]. Она была апробирована авиационными агентствами Австралии
и США, и включает в себя оценки эксплуатационных рисков и разработку, и
реализацию мер по их снижению до приемлемого уровня.
В большинстве последующих работ [9-12], посвященных этой тематике,
рассматривались вопросы, связанные в основном с построением и анализом
дерева отказов.
Так, в [9] дается обзор существующих методов оценки безопасности поле-
тов с использованием АЗН-В, отмечаются их слабые стороны и предлагается
свой метод, основанный на анализе дерева отказов. В [10] представлен обстоя-
тельный обзор подходов к задаче построения дерева отказов. Работы [11-13]
также посвящены этой теме. Тот факт, что анализ дерева событий ускольза-
ет от внимания исследователей, объясняется его относительной простотой в
сравнении с существенно более сложной задачей построения дерева отказов.
Видимо, этим обстоятельством объясняется отсутствие работ, посвященных
анализу дерева событий и вскрывающих гипотезу, лежащую «на поверхно-
сти» и заложенную неявно в алгоритм RTCA.
Подчеркнем здесь еще раз, что принятие этой, вообще говоря, ошибоч-
ной гипотезы приводит к неоправданно заниженным требованиям методики
RTCA к уровню безопасности полетов ВС. В этой статье анализируется общая
методика, представленная в [1], выделяется отмеченная латентная гипотеза и
предлагается относительно несложно реализуемая модернизация, лишенная
отмеченного серьезного недостатка.
2. Латентная гипотеза в методике RTCA
Система АЗН-В представляет достаточно сложную структуру, для по-
строения математической модели, которой в [1] выдвинуто большое количе-
ство технических гипотез, перечисление и обсуждение которых занимает зна-
130
Целевые
Условия применения АЗН-В
требова-
ния
Последствие
Категория
Базовая причина
серьезности
возникновения
А
фактора опасности
Последствие
Категория
Целевая
серьезности
задача
В
Базовая причина
возникновения
Факторы опасности
фактора опасности
Последствие
Категория
серьезности
С
Базовая причина
возникновения
Фактор смягчения
Фактор смягчения
Последствие
фактора опасности
отказов
последствия
Категория
серьезности
D
Достижение целевой
Смягчение
Требования безопасности
Требования безопасности
задачи факторов
последствий
опасности
факторов опасности
Иллюстрация к методике оценки состояния безопасности.
чительную долю объема разработанного документа. Принимая их, отметим
здесь еще некоторые моменты, которые ускользнули от внимания разработчи-
ков этого фундаментального документа. Принимаемые в методике гипотезы
важны, поскольку сделанные допущения являются ключевым вкладом в ра-
боту по определению требований к системе АЗН-В. Они обеспечивают основу
адекватности рассматриваемой модели, и должны быть тщательно проанали-
зированы. Отметим, что все требования к системе наблюдения, полученные в
результате проводимого анализа, адекватны лишь тогда, когда вся совокуп-
ность принятых допущений выполняется. Поэтому любая ситуация, которая
не вписывается в систему принятых гипотез, может быть охарактеризована
иной совокупностью требований. Такие отклонения должны учитываться при
проведении анализа конкретных систем.
Рассмотрим подробнее общую схему используемой методики, базирующей-
ся на подходе вероятностной оценки безопасности. В основе методики лежит
выделение некоторых совокупностей состояний системы, именуемых в соот-
ветствии со сложившейся практикой факторами опасности (ФО), с которыми
могут столкнуться экипаж ВС и наземные службы. В [1] выделено 21 такое
состояние. Далее, для каждого ФО строится дерево событий, описывающее
все возможные последствия с указанием вероятностей реализации соответ-
ствующих ветвей и тяжести последствий, а также дерево отказов, приводя-
щих к этому ФО. Таким образом, проводится декомпозиция исходной задачи.
Она распадается на 21 идейно близкую задачу существенно меньшей слож-
ности. На рисунке представлен один из компонентов такой декомпозиции.
Математическая модель оценки риска негативных последствий отказов
оборудования является дискретной стохастической моделью системы наблю-
дения ОВД, включающей два сегмента (наземный и бортовой), в которой
131
может реализовываться множество различных цепочек событий (реализаций
случайного процесса).
Создание такой модели означает формирование всего множества возмож-
ных цепочек событий, начинающихся с возникновения отказа и заканчиваю-
щихся конкретным негативным исходом, с указанием вероятности реализации
каждой такой цепочки.
Очевидно, что мощность такого множества (число различных цепочек)
слишком велика для того, чтобы указанный выше подход к числовому опи-
санию риска негативных последствий отказов мог быть реализован при внед-
рении АЗН-В в регионах. Поэтому в [1] был реализован упрощенный подход,
базирующийся на утверждении о существовании состояний системы наблю-
дения ОВД, обладающих марковским свойством.
Гипотеза о марковости выглядит в приложении к рассматриваемой задаче
следующим образом: если наступление ФО зафиксировано, то вероятности
сценариев развития дальнейших событий не зависят от того, в результате
какого конкретно отказа возник этот ФО.
Таким образом, все цепочки событий оказываются разбитыми на отдель-
ные группы, объединяемые одним признаком — наличием события, именуе-
мого ФО. Очевидно, что число таких групп будет равно числу выделенных
экспертами различных факторов опасности. Это, с одной стороны, позволяет
существенно уменьшить множество различных сценариев развития событий
(поскольку каждый раз рассматривается лишь один ФО), а с другой стороны,
упрощает расчет вероятности реализации того или иного сценария.
Последнее становится понятным из следующего представления модели.
Пусть {ai} = A - множество различных так называемых базовых причин (от-
казов техники) возникновения негативных для ОВД последствий, {ФОj } -
множество различных факторов опасности, а {bk} = B - множество негатив-
ных исходов, порожденных различными сценариями развития событий. Тогда
вероятность появления какого-либо конечного негативного события bk ∈ B
может быть оценена следующим образом:
∑∑
∑∑
(1)
P (bk) =
P (ai, ΦOj , bk) =
P (bk|ΦOj , ai.) · P (ΦOj |ai.) · P (ai
).
j
i
j
i
Здесь P (ai, ΦOj , bk) - вероятность реализации одной из возможных цепо-
чек развития событий.
В случае справедливости марковской гипотезы для ΦOj получаем
P (bk |ΦOj , ai ) = P (bk |ΦOj ) .
Здесь учтено, что события ai (отказы) порождают ΦOj, т.е. предшествуют
во времени его наступлению. Тогда выражение для вероятности появления
конечного негативного исхода bk (соотношение (1)) может быть записано в
виде
∑
∑
∑
(2)
P (bk) =
P (bk |ΦOj )
P (ΦOj |ai ) · P (ai) =
P (bk |ΦOj ) P (ΦOj
).
j
i
j
132
Далее следует сформулировать гипотезу методики [1], которая в руковод-
стве явно не выписана, но с необходимостью следует из алгоритма дальней-
ших предлагаемых расчетов.
Гипотеза. Будем полагать, что множество {ФОj} выбрано так, что сце-
нарий, завершающийся событием bk, может быть порожден при реализации
лишь одного ФО, например ФОj.
При выполнении этой гипотезы первое суммирование в (3) можно опу-
стить.
Возвращаясь к основным положениям методики [1] получаем, что вероят-
ность P (bk) может быть рассчитана как произведение вероятностей
)
(∑
(3)
P (bk) = P (bk | ΦOj ) ·
P (ΦOj |ai ) · P (ai)
i
Второй множитель в (3) описывает вероятность появления конкретно-
го ФО, получаемого из анализа дерева отказов, а первый - вероятность на-
ступления события bk при условии, что ΦOj зафиксирован — из дерева собы-
тий.
Под риском неблагоприятного исхода bk понимают упорядоченную пару
{P (bk), C (bk)}, объединяющую как вероятность исхода P (bk), так и функцию
штрафа или оценку тяжести последствий этого исхода — C (bk).
Экспертами для каждого bk выставляется функция штрафа C (bk), кото-
рую принято называть категорией серьезности последствия. Каждой катего-
рии серьезности поставлена в соответствии допустимая (приемлемая) частота
ее (категории) появления или, что то же самое, максимально допустимая ве-
роятность события — Pmax (bk) [14].
Для того чтобы риск был признан приемлемым, необходимо, чтобы вы-
полнялось неравенство
(4)
Pmax (bk) ≥ P(bk
),
где P (bk) определено в (3). Поэтому Pmax (bk) обозначают в [1] как «целевое
требование».
В случае, если неравенство (4) не выполняется, необходимо принимать
дополнительные меры, направленные, например, на повышение надежности
аппаратуры бортового или наземного сегментов АЗН-В.
Поскольку одному ΦO, как правило, соответствует несколько различных
сценариев развития событий, то необходимо выбрать «худший» и убедиться
в том, что для него тем не менее неравенство (4) выполняется.
В предложенной в [1] методике этот вопрос решается следующим обра-
зом. Вводится понятие «целевая задача», которая определяется как величи-
на максимально допустимого значения вероятности появления j -го фактора
опасности
Pjцелевая. Поскольку, однако, требования ИКАО накладывают огра-
задача
ничения на вероятности появления опасных событий bk, а не ФО, возникает
необходимость выразить
Pjцелевая через определенные ИКАО ограничения -
задача
133
величины Pmax (bk):
[
]
Pmax (bk)
целевая
= min
,
задача
k
P (bk |ΦOj )
рассматривая при этом «наихудший» вариант, соответствующий наименьшей
вероятности. Вероятность реального появления ФОj , полученная на осно-∑
вании данных дерева отказов, P (ΦOj ) = (i P (ΦOj |ai ) · P (ai)) не должна
превышать
Pjцелевая, т.е. должно выполняться условие:
задача
)
[
]
(∑
Pmax (bk)
(5)
min
≥
P (ΦOj |ai ) · P (ai)
k
P (bk |ΦOj)
i
Если неравенство (5) не выполняется, то необходимо вводить новые
демпфирующие барьеры.
Далее покажем, что в случае невыполнения отмеченной выше гипотезы
проверка условия (5), да и просто введение целевой задачи указанным спо-
собом, приведет к заниженным требованиям к уровню безопасности.
3. Коррекция алгоритма RTCA
В случае отказа от гипотезы реализации единственного ФО суммирование
по j в (3) не может быть отброшено, и соотношение (3), а также следующие за
ним уравнения становятся несправедливыми. Ошибочным становится также
и приведенное в [1] выражение (5) для определения целевой задачи.
Проиллюстрируем ограниченность обсуждаемой гипотезы на примере со-
бытия bk - нарушению норм эшелонирования в контролируемом воздуш-
ном пространстве, относящегося к первой группе событий, характеризуемой
наибольшей тяжестью последствий. Рассмотрим ФО1 (в [1] обозначено как
OH01) — «Внезапное пропадание информации АЗН-В о местоположении од-
ного ВС», и ФО2 (ОН02) — «Внезапное пропадание информации АЗН-B о
местоположении нескольких ВС». И тот, и другой ФО ведут к невозможно-
сти обеспечить соблюдение установленных норм эшелонирования в целом — к
одному событию bk. Отметим, что в соответствии с таблицей C-19a Summary
of Safety Objectives per Hazard, приведенной в [1], к столкновению могут при-
вести и проявления девяти других ФО, а именно: ОН03, 04, 05 case2, 07, 08,
11, 12, 15, 16 case2.
Таким образом, в сумме по j в исходном соотношении (3) может стоять
11 слагаемых, каждое из которых заведомо больше нуля, и переход к соотно-
шению (3) оказывается некорректен.
Система АЗН-В удовлетворяет требованиям безопасности полетов, если
вероятность любого события bk будет меньше величины приемлемого риска —
Pmax (bk), определенного в [14]. Но тогда, в соответствии с (3), можно записать
∑
(6)
Pmax (bk) =
Pjmax (bk
),
j=1
134
где Pmax (bk) - парциальный приемлемый риск наступления события bk, вы-
званного j-м фактором опасности, m - количество соответствующих фак-
торов. В рассмотренном примере m = 11. Отсюда нетрудно видеть, что из
перечисленного множества ФО найдется, по крайней мере, один фактор, при
появлении которого приемлемый риск должен быть на порядок меньше, чем
Pmax (bk).
Таким образом, если стремиться сохранить методику RTCA, то в усло-
вии (5) величину Pmax (bk) необходимо заменить вероятностью Pmax (bk), ко-
торая для некоторых ФО в рассмотренном в статье примере может быть на
порядок меньше, чем приемлемый уровень:
)
[
]
(∑
PJmax (bk)
(7)
min
=
целевая ≥
P (ΦOj |ai ) · P (ai)
k
P (bk |ΦOj)
задача
i
Из (7) следует, что найдутся такие ФО, целевая задача для которых будет
на порядок «жестче», чем рассчитанная по методике RTCA [1].
Приведенный анализ показывает, что рассматриваемая методика дает
некорректные оценки уровня безопасности системы АЗН-В. Получить адек-
ватные резул
{
}
вероятностей Pmax (bk) j = 1, . . . , m появления события bk как следствия
наступления j -го ФО.
К сожалению, такой простой способ модификации алгоритма не может
быть реализован, поскольку ограничения накладываются на всю сумму (6),
а не на ее отдельные члены. Поэтому предлагается следящая модификация
методики оценки уровня безопасности АЗН-В.
В соотношении (7) для каждого j и выбранного для оценки bk заменяем
знак неравенства на знак равенства:
)
[
]
(∑
PJmax (bk)
(8)
=
P (ΦOj |ai ) · P (ai)
= P (ΦOj)
P (bk |ΦOj)
i
и рассматриваем его как уравнение для неизвестной величины Pmax (bk). Если
бы числовое значение Pmax (bk) было известно, то соотношение (8) можно
было бы рассматривать как предельное условие выполнимости (7).
Полученные из (8) значения парциальных приемлемых рисков PJmax (bk)
суммируем (в соответствии с соотношением (6)) по всем j , для которых за
наступлением ФОj следует событие bk. Далее, если полученная сумма не пре-
высит установленный в [14] приемлемый риск Pmax (bk), то сертифицируемая
система АЗН-В соответствует предъявляемым требованиям безопасности, в
противном случае необходимо установление дополнительных демпфирующих
барьеров.
Проиллюстрируем результаты на рассмотренном ранее примере.
В таблице приведены результаты расчетов по модифицированной методи-
ке для события первой группы по классу серьезности последствии (потеря
эшелонирования), полученные на основании данных [1].
135
В таблице рассмотрены ветви деревьев, приводящие к потере эшелониро-
вания, относящейся к первой группе событий, характеризуемой наибольшей
тяжестью последствий. Значения, стоящие в столбцах P (ΦOj ), P (bk |ΦOj ),
взяты из [1]. Для получения значений столбца PJmax (bk) использовались урав-
нение (8) и свойство несовместности ветвей дерева событий, приводящих
к анализируемому исходу. В результате суммирования значений последне-
го столбца (в соответствии с (6)) получили вероятность P (bk) = 7,9 · 10-9
потери эшелонирования.
4. Заключение
В представленной работе обращено внимание на не вполне корректную ги-
потезу, использованную, но не проанализированную, в методике [1]. Ее суть
заключается в том, что каждое конечное событие может порождаться только
одним фактором опасности. Именно благодаря предположению о справедли-
вости этой гипотезы в методике RTCA удается преобразовать (3), положив
в последней сумме все члены, кроме одного, равными нулю. В работе пока-
зано, что в общем случае гипотеза не верна, и результаты, полученные при
ее использовании, приводят к ослаблению требований безопасности полетов,
предъявляемых к сертифицируемой системе.
Скорректировать методику можно было бы, используя соотношение (7),
однако парциальная приемлемая вероятность PJmax (bk) — максимально допу-
стимая вероятность появления исследуемого конечного события в результате
наступления одного конкретного фактора опасности, не определена. Зада-
ются лишь ограничения на суммарную вероятность, которая определяется
допустимым риском.
В предлагаемой модификации метода расчета безопасности полетов с ис-
пользованием системы АЗН-В этот сложный момент обходится следующим
образом.
Из соотношения (8) для каждого ФО находятся значения, претендующие
на парциальные приемлемые риски. Если их сумма будет меньше или рав-
на установленному приемлемому риску, то эти претензии обоснованы, и сама
сертифицируемая система АЗН-В удовлетворяет предъявляемым требовани-
ям. В случае отрицательного результата необходима доработка системы, на-
правленная на повышение надежности аппаратуры, или пересмотр барьеров
безопасности. После этой работы с барьерами указанный алгоритм должен
быть продолжен до тех пор, пока положительный результат не будет до-
стигнут. Разработка и внедрение барьеров безопасности для снижения риска
авиационных происшествий при ОВД соответствует требованиям Стандартов
ИКАО к системам управления безопасностью полетов на государственном и
корпоративном уровнях [15, 16].
В иллюстративном примере, рассмотренном в работе, в качестве конечного
события bk было проанализировано состояние первой группы по классу се-
рьезности последствий, соответствующее потере эшелонирования в системе.
Для приведенных в [1] данных значение вероятности такого события, соглас-
но модифицированной методике, составляет P (bk) = 7.9 · 10-9 на час полета
одного ВС.
138
СПИСОК ЛИТЕРАТУРЫ
1.
Safety, Performance and Interoperability Requirements Document for Enhanced
Air Traffic Services in Radar-Controlled Areas Using ADS-B Surveillance
(ADS-B-RAD). - RTCA DO-318, 2009.
2.
Electronic Code of Federal Regulations e-CFR data is current as of April 10, 2020.
ращения 10.04.2020].
3.
Law J. European ADS-B Regulation, ADS-B Workshop - SP/22. [Эл. ресурс. Ре-
ращения 18.04.2020].
4.
Оценка наблюдения с использованием систем АЗН-В и мультилатерации в це-
лях обеспечения обслуживания воздушного движения и рекомендации по их
внедрению. - Циркуляр ИКАО 326-AN/188, 2013.
5.
Алипов И.В. Проблемы внедрения вещательного автоматического зависимого
наблюдения (АЗН-В) в Российской Федерации // Научный вестник ГосНИИ ГА.
№ 7. 2015. С. 86-92.
6.
Дупиков В.В., Тараканов А.А. Анализ оснащенности воздушных судов оборудо-
ванием АЗН-В в Московской зоне ЕС ОрВД // Научный вестник ГосНИИ ГА.
№ 7. 2015. С. 93-99.
7.
Кузнецов В.Л., Дупиков В.В. Аналитическая модель радарного мониторинга
целостности информации АЗН-В // Научный Вестник МГТУ ГА. № 220. 2015.
С. 64-72.
8.
«Концепции внедрения автоматического зависимого наблюдения на основе еди-
ного стандарта с развитием до функционала многопозиционных систем наблю-
дения», утверждена Минтрансом РФ в 2018 г. М., 2018.
9.
Ali B.S., Ochieng W., Majumdar A., Schuster W., Chiew T.K. Safety assessment
framework for the Automatic Dependent Surveillance Broadcast (ADS-B) system //
Elsevier Safety Sci.2015. No. 78. P. 91-100.
10.
Kabir S. An overview of fault tree analysis and its application in model based
dependability analysis // Elsevier, Expert Syst. Appl. 2017. No. 77. P. 114-135.
11.
Olaganathan Rajeev Safety Analysis of Automatic Dependent Surveillance
-
Broadcast (ADS-B) System // Int. Y. Aerospace Mechanical Engineering. 2018. V. 5.
No. 2. P. 9-18.
12.
Ali B.S., Ochieng W.Y., Majumdar A. ADS-B: Probabilistic safety assessment //
J. Navig. 2017. No. 70. P. 887-906.
13.
Tabassum A., Sabatini R., Gardi A. Probabilistic Safety Assessment for UAS
Separation Assurance and Collision Avoidance Systems // Aerospace. 2019. No. 6.
P. 19-39.
14.
Руководство по системе управления безопасностью полетов при АНО. ФГУП
«Госкорпорация по ОрВД», 2014.
15.
Приложение 19 к Конвенции о международной гражданской авиации. Управле-
ние безопасностью полетов. ИКАО, 2-е изд., 2016.
16.
Руководство по управлению безопасностью полетов (РУБП). Doc.9859. ИКАО,
4-е изд., 2018.
Статья представлена к публикации членом редколлегии М.Ф. Караваем.
Поступила в редакцию 14.05.2020
После доработки 03.02.2021
Принята к публикации 16.03.2021
139
