Рождение Матрицы оценки состояния системы защиты
Каким же образом необходимо и возможно проводить оценку состояния авиационной транспортной системы (оценку риска по ИКАО) при выявлении самой АТС или проявлении отклонений от нормального функционирования (опасностей по ИКАО)?
Ещё раз упомянем о том, почему мы говорим об отклонении от нормального функционирования АТС, как об опасности?
Приложение 19 ИКАО определяет, что понимается под опасностью в целях СУБП -
ОПАСНОСТЬ. Состояние или объект, которые могут вызвать авиационный инцидент или авиационное происшествие или способствовать его возникновению.
(это же определение, кстати, наконец-то готовится к внесению в статью 24.1 Воздушного кодекса Российской Федерации)
Но в настоящее время мы и вся авиационная транспортная система работаем не первый день.
И все разнообразные и возможные состояния или объекты, которые уже проявились и смогли вызвать авиационный инцидент или авиационное происшествие в Российской Федерации, давно определены на практике по результатам расследования множества и множества авиационных событий.
Эти отклонения от нормального функционирования, обусловившие авиационные события, определены и сведены в перечень Руководства по информационному обеспечению Автоматизированной системы обеспечения безопасности полетов воздушных судов гражданской авиации Российской Федерации (АСОБП), изложенный в приложении № 9 «Факторы, обусловившие события».
Исходя из этого перечня факторами, обусловившими расследуемые события, являлись и являются невыполнение требований нормативных документов, несовершенство нормативных документов и отсутствие необходимых нормативных документов.
Это и есть искомые «опасности» для функционирования авиационной транспортной системы.
Опасности неизбежно и постоянно проявляющиеся в рамках авиационной деятельности.
Специалистам СУБП остаётся следить за проявлениями подобных отклонений от нормального функционирования или выявлениями отклонений в рамках деятельности АТС и анализировать состояние авиационной транспортной системы, её способность предотвращать появление/проявление данных отклонений и способность продолжать функционирование при проявлении данных отклонений без развития негативных событий.
ИКАО предлагает использовать для оценки состояния авиационной транспортной системы (оценки риска) Количественный или Качественный методы оценки.
Количественный метод оценки - фактически представляет собой Ретроактивный метод оценки по количеству уже произошедших проявлений данной опасности и серьёзности последствий уже произошедших проявлений отклонений от нормального функционирования (опасностей).
Качественный метод оценки - представляет собой Проактивный метод оценки до проявления отклонений с конкретным количеством проявлений и зафиксированной серьёзностью последствий проявления отклонений.
Предполагается, что при данном методе оценки будет использоваться Мозговой штурм специалистов, обладающих глубокими знаниями о работе авиационной транспортной системы на данном участке/направлении.
В любом случае цель оценки состояния АТС (оценки риска) - определение необходимости или отсутствия необходимости корректирования состояния функционирующей АТС.
ИКАО прямо указывает, что при принятии корректирующих мер необходимо учитывать способность/неспособность существующей системы поддерживать приемлемый уровень функционирования, то есть такое состояние АТС, при котором отклонения проявляются с приемлемой вероятностью и серьёзность последствий их проявления приемлема.
Вероятность появления/проявления отклонений и серьёзность последствий проявления отклонений от нормального функционирования вторичные признаки состояния АТС.
Они полностью зависят от способности/неспособности функционирующей системы своими существующими процедурами уменьшать вероятность появления/проявления отклонений и снижать серьёзность последствий их проявления.
Зависят от того имеются ли процедуры, выполняющие необходимые функции, от того насколько эти процедуры эффективны и от того, выполняются ли эти процедуры в полном объёме.
Оценка наличия, эффективности и полноты выполнения процедур, снижающих вероятность появления анализируемого отклонения, даст материал для последующего корректирования состояния системы в этом направлении или основания для вывода о том, что корректирования системы защиты на этом направлении не требуется.
Оценка наличия, эффективности и полноты выполнения процедур, снижающих серьёзность последствий проявления анализируемого отклонения, даст материал для последующего корректирования состояния системы в этом направлении или основания для вывода о том, что корректирования системы защиты на этом направлении не требуется.
Сопоставление двух полученных оценок состояния системы защиты -
- по направлению контроля вероятности появления анализируемого отклонения
и
- по направлению контроля серьёзности последствий проявления анализируемого отклонения
даст различные варианты сочетаний этих одномерных оценок.
Для оценки различных сочетаний оценок по двум направления оценки ИКАО предлагается в качестве примера Матрица оценки риска 5 на 5.
Надо обратить внимание, что это пример Матрицы оценки риска, образец.
Элементарной матрицей для сопоставления результатов оценок состояния системы, определения их сочетания была бы матрица, учитывающая только наличие или отсутствие процедур, определяющих вероятность появления отклонения (по одной вети анализа) и процедур, определяющих серьёзность последствий проявления анализируемого отклонения.
По линии Вероятности - Есть - Отсутствуют
По линии Серьёзности - Есть - Отсутствуют
Что даст три варианта оценки состояния в четырёх ячейках Матрицы -
Есть/Есть - Приемлемо
Есть/Отсутствуют или Отсутствуют/Есть - Допустимо
Отсутствуют/Отсутствуют - Недопустимо
Это примитивная Матрица оценки риска, пригодная только для грубой оценки.
Учитывая, что возможные отклонения от нормального функционирования тех элементов (процедур) системы, которые определяют вероятность и серьёзность последствий проявления опасности, в свою очередь могут быть в форме не только отсутствия необходимых процедур, но и в форме неэффективности существующих процедур, а также в форме невыполнения установленных процедур, Матрица риска может иметь более развёрнутый вид, вплоть до предлагаемого за образец вида Пять ячеек на Пять ячеек.
Ведь в случае трёх видов отклонения от нормального функционирования вариантов сочетания с учётом имеющихся у каждого вида отклонения вариантов
Наличие процедур - Есть - Отсутствуют
Эффективность процедур - Эффективны - Неэффективны
Выполнение процедур - Выполняются - Не выполняются
можно рассматривать восемь разных вариантов сочетаний трёх
Причём варианты сочетаний с отсутствием необходимых процедур (их четыре) сводятся в один вариант с оценкой «недопустимо».
Вариант с наличием и полным выполнением эффективных процедур сразу определяется как «приемлемо».
Оставшиеся три варианта специалисты, глубоко знающие функционирование данного элемента системы защиты отнесут к «допустимо».
Но это будет всего лишь одна из двух ветвей Матрицы оценки риска, оценки состояния системы.
Сочленив две ветви анализа по направлению вероятности и по направлению серьёзности последствий мы получим те же самые 25 ячеек с индексами риска, которые предлагает ИКАО.
Однако, при подобном подходе полученные оценки локального состояния АТС будут сразу непосредственно связаны с состоянием процессов, происходящих в функционирующей системе защиты, и дадут возможность сразу определять конкретные направления последующего корректирования состояния существующей системы защиты при выявленной необходимости этого корректирования по одному из двух или сразу по двум направлениям деятельности системы, как это и предлагает делать ИКАО в РУБП 9859.
«2.5.5.2 Организации следует принять меры контроля риска, с тем чтобы уменьшить:
a) подверженность организации данному фактору риска, т. е. уменьшить вероятностную составляющую этого риска до приемлемого уровня;
b) степень серьезности последствий, связанных с опасным составляющую серьезности риска до приемлемого уровня; или
c) одновременно степень серьезности и вероятность, с тем чтобы довести риск до приемлемого уровня.»
Бороться с появлением отклонения уменьшая вероятностную составляющую риска значительно проще, но здесь существует опасность оставить систему без защиты на случай возможного, так и не предотвращённого появления отклонения, затем последующего ничем эффективно не парированного проявления этого отклонения, складывания проявившегося отклонения в сочетании с иными отклонениями в цепочку отклонений, и в результате появления таким образом незащищённого участка в деятельности системы защиты.