ПРИНЦИПЫ ОПРЕДЕЛЕНИЯ ПОЛНОГО ПЕРЕЧНЯ ВОЗМОЖНЫХ ОШИБОЧНЫХ ДЕЙСТВИЙ ЭКИПАЖА
Оценка безопасности полета без учета правильности действий экипажа является неполной. Дело даже не в том, что по данным различных источников из-за ошибочных действий экипажа (ОДЭ) происходит от 70 до 90 процентов летных происшествий. Основой модели безопасности полета является полный перечень возможных видов нарушения функционирования самолетных систем (ФО). Если этот перечень не учитывает такое важнейшее звено в контуре управления самолетом и его системами, как экипаж, то его нельзя считать полным. И, следовательно, неполной является модель безопасности полета. Из сказанного следует, что модель нарушенного функционирования самолетных систем необходимо дополнить соответствующей моделью для экипажа, причем эти модели должны быть одинаковыми по структуре, чтобы составить единую модель безопасности полета. При таком подходе ошибка экипажа становится аналогом ФО системы.
Рассмотрим формирование модели действий экипажа как части модели надежности и безопасности самолета. В настоящее время существует немалое число различных моделей оператора, основанных на математических и психофизиологических исследованиях, экспериментальном материале и опыте эксплуатации. Эти важные и полезные работы с позиции обеспечения безопасности полета самолета имеют, на наш взгляд, определенные недостатки, а именно:
— отсутствие единого подхода (единой модели) к понятию "функция экипажа";
— отсутствие единого подхода (единой модели) к "ошибочным действиям" экипажа;
— невозможность включения имеющихся’моделей оператора (экипажа) в модель безопасности полета, основанную на ФО, что не позволяет замкнуть контур "система отображения информации — экипаж — функциональная система самолета — самолет — служба управления движением (УВД)".
Преодолеть указанные недостатки позволяет подход, основанный на проведении АФО и использовании метода приведения. При таком подходе экипаж рассматривается как функциональная система самолета.
В соответствии с методом приведения необходимо определить состав системы и модели составляющих систему агрегатов.
Состав системы "экипаж" можно представить в виде. ряда независимых блоков. Входом в каждый из этих блоков является фиксированный набор сигналов и индикации кабинных приборов и сигнализаторов, внешние признаки событий (перегрузка, дым, вибрация и т. д.), внешняя информация (состояние окружающей среды, указания УВД), выходами — воздействия на определенные органы управления и выбор параметров управления самолетом и его системами.
АФО, как модель отказобезопасности любой технической системы, базируется на полном перечне ФО системы. В соответствии с этим перечень возможных ошибочных действий экипажа служит основой модели экипажа. Перечень возможных ОДЭ определяется в соответствии с методом приведения на основании универсальных моделей состояния для выделенных блоков системы "экипаж". При таком подходе возможные ОДЭ являются аналогом ФО для самолетных систем, и было бы логично использовать термин "функциональный отказ экипажа", но, учитывая широкое использование термина "ошибочные действия экипажа", мы будем тоже его использовать, помня, что по смыслу это ФО.
Таким образом, определяется полный перечень ОДЭ и их причин. В соответствии с методом приведения полный перечень ФО определяется нарушениями выходных сигналов выходных агрегатов системы. Аналогично определяется перечень ОДЭ. Особенностью является то, что каждый блок системы "экипаж" является выходным, так как выходы блоков (действия экипажа) являются входами для других систем самолета. Поэтому все возможные нарушения выходов блоков, определенные на основании соответствующей универсальной модели, определяют полный перечень ОДЭ.
На следующем этапе работы определяются возможные причины ОДЭ. В качестве причин рассматриваются отказы самого блока, т. е. экипажа, и нарушения входов, т. е. ФО системы отображения информации (СОИ) или нарушения других видов входной информации (например, отсутствие или искажение информации УВД).
Дальнейший анализ проводится в соответствии с методикой выполнения АФО, т. е. определяются последствия ОДЭ, их степень опасности и вероятность. Вероятность ОДЭ в соответствии с моделью нарушенного функционирования определяется вероятностью нарушения входов (СОИ, УВД) и вероятностью ошибок самого экипажа. Если ОДЭ рассматривать как аналог ФО, то ошибка экипажа является аналогом вида отказа агрегата. Для определения вероятностей таких ошибок можно использовать анализ результатов эксплуатации, летных и стендовых испытаний, математическое моделирование, материалы различных справочников. При этом важно не рассматривать числовое значение как самоцель и помнить, что для нашей задачи вполне устраивает точность в пределах одного, а часто и двух порядков. Кроме того, анализ имеющихся материалов позволяет сделать вывод, подтверждаемый опытом эксплуатации, что значения вероятностей различного рода ошибок оператора в зависимости от условий лежат в диапазоне 10 …10-5. Этих данных достаточно, чтобы с помощью предлагаемого подхода достичь проведения полного анализа отказобезопасности самолета.
Изложенный подход к определению ОДЭ обеспечивает:
1) единый подход к понятию "функция экипажа";
2) единый и объективный подход к "ошибочным действиям" экипажа;
3) получение однозначного и полного перечня возможных ОДЭ;
4) включение модели действий экипажа в модель безопасности полета самолета, основанную на АФО;
5) проведение объективного анализа действий экипажа по аналогии с АФО самолетных систем;
6) проведение анализа полноты или избыточности СОИ с позиции обеспечения предписанных экипажу действий;
7) анализ рекомендаций РЛЭ на основании их сравнения с моделью экипажа.
Важнейшим моментом изложенной методики является то, что в качестве одной из причин ОДЭ рассматриваются нарушения входной информации (СОИ, УВД), а сами ОДЭ являются причинами ФО систем самолета. Таким образом, при выполнении оценки уровня безопасности полета самолета замыкается контур "СОИ — экипаж — самолет — служба УВД" и сама эта оценка приобретает необходимую полноту.
Предложенная методика требует существенного изменения толкования понятий "ошибка экипажа", "причина ошибки экипажа", "вина экипажа". Смысл этого изменения в том, что анализ ошибок экипажа должен быть методически аналогичен анализу отказов самолетных систем, и в качестве причин ошибок необходимо рассматривать случайные отказы (ошибки), неблагоприятные (нерасчетные) внешние условия, нарушения правил эксплуатации. Из этой аналогии с неизбежностью следует необходимость создания единой системы сертификации самолета, экипажей и наземных служб обеспечения полета. Все эти важнейшие вопросы требуют отдельного рассмотрения.
В заключение отметим, что в рамках изложенного подхода не отвергаются, а получают свое строгое назначение существующие модели оператора. Одни модели позволяют провести количественную оценку для выявленных нарушений функций экипажа, другие — определить возможные последствия этих нарушений для самолета и его систем.