Лекция 17. Графоаналитический метод анализа риска «Древовидные структуры»(продолжение).

Использование графоаналитического метода анализа риска «Древовидные структуры» для поиска наиболее вероятных причин отказа технической системы

Метод «Древовидные структуры», включающий в себя, как частные случаи, такие известные методы, как «Дерево отказов», «Дерево событий», «Дерево решений», «Причина – последствие», позволяет:

- чётко формализовать рассматриваемый материал;

- проводить анализ не только негативных, но и позитивных состояний и целей;

- анализировать различные, но взаимосвязанные ситуации и собы­тия в рамках одного «дерева»;

- проводить эффективную количественную оценку условий недопущения негативных событий или условий дости­жения цели;

- равноправно, в рамках одного «дерева», учитывать все элементы системы «человек-техника-среда».

Анализ техногенной ситуации проводится в сле­дующей последовательности:

1) изучается имеющаяся информация;

2) выбирается цель анализа;

3) анализируется имеющаяся информация, отбираются сведения применительно к цели анализа;

4) строится древовидная структура применительно к цели анализа;

5) количественно анализируется ситуация;

6) делаются выводы по анализу ситуации.

В качестве примера приведём демонстрационный качественный и количественный анализ информации, содержащейся в статье «Платный взлёт» [Зубахин А. Платный взлёт //Журнал МЧС России. «Гражданская защита». №1. 1999]:

Сразу после ноябрьских праздников из якутского города Мирный вылетел в Новосибирск АН-12 (бортовой номер 12955) авиа­компании «Вилюй». Ни для командира авиалайнера, ни для шести членов эки­пажа в тот день не было ничего необычного - рядовой рейс. Благополучно приземлились в Новосибирске, заправились керосином, за­грузили на борт 13 380 килограммов груза. Самолёт взял курс на Красноярск. Там предстояло осуществить кратковременную посадку для доза­правки.

Самолёт вырулил на старт и в 8.20 по московскому времени, оторвавшись от бетонной полосы аэропорта «Емельяново», стал набирать высоту. Погода была самая что ни на есть осенняя. Ливневый снег, порывистый ветер, ухудше­ние видимости с 700 до 300 метров при температуре, близкой к нулевой отметке.

Пилоты убрали шасси и доложили о том, что взлёт прошёл нормально. На этом связь с бортом оборвалась. На экранах авиадиспетчеров яркая точка, обо­значавшая борт № 12955, исчезла через четыре с небольшим минуты после на­чала его полёта.

В 9.15 пилоты Як-40 увидели в 10 километрах от взлётно-посадочной полосы аэропорта «Емельяново» сильный пожар. Как оказалось, это горели остан­ки Ан-12. От удара о землю лайнер превра­тился в бесформенную груду металла.

Версий причин катастрофы было несколько: некачественное топливо, отказ двигателей, старение самолёта, обледенение лайнера, ошибки пилотов, злой умысел.

В нашем случае, в качестве це­ли анализа попытаемся по приведённой информации понять причины падения самолёта. Далее, уже целенаправленно проанализируем информацию. Методо­логия проведения анализа информации может быть различной. Главное, чтобы анализ позволил построить древовидную структуру, отвечающую цели. Поэто­му, приводимый далее анализ информации следует рассматривать как один из возможных вариантов его проведения.

Факты, версии, аналогии:

1. От удара о землю лайнер превратился в груду металла.

2. Возможно, кому-то из членов экипажа или пассажиров и удалось бы выжить после столкновения самолёта с землей, но моментально вспыхнуло то­пливо.

3. В полётном листе числилось 13 человек, погибло 14 человек: пять -члены экипажа, два - авиационные техники и семь - сопровождающие груз.

4. Ошибки пилотирования допустить трудно. Командир экипажа - опыт­ный грамотный летчик, большой лётный стаж. Второй пилот - огромный опыт полётов в условиях Севера.

5. Перед вылетом не проводился обдув самолета теплым воздухом или обработка его специальным раствором.

Версия:

6. Услуги аэропорта по обработке самолёта тёплым воздухом очень доро­ги; оплата — наличными. Вместе с экипажем в рейс вылетает представитель авиакомпании с большим количеством денег и расплачивается за все услуги, взлёт, посадку, стоянку, заправку и обслуживание самолёта. Вероятно, у ко­мандира не нашлось денег и поэтому перед вылетом не проводился обдув само­лёта тёплым воздухом или обработка его специальным раствором.

7. Сотрудники Федеральной авиационной службы России считают, что причины технические:

- самолёт эксплуатировался около 30 лет;

- мог отказать один из четырёх двигателей.

Такая причина привела ранее к катастрофе другого АН-12 в аэропорту «Пулково» при взлёте, без жертв.

8. Летчики, летавшие на самолётах этой марки, утверждают: остановка одного двигателя — событие неприятное, но не самое ужасное. Машина надёж­ная и даже при остановке двух двигателей остаётся шанс избежать трагедии.

9. Официально: борт 12955 прошел контроль и в Новосибирске, и в Крас­ноярске. Но факт скоротечности развития катастрофы позволил экспертам сде­лать акцент на проблеме с двигателем.

10. Версия:

Анализ ситуации:

1. Полёт продолжался более 4 минут. За это время самолёт, вероятно, на­брал значительную высоту. Поэтому навряд ли кому-либо удалось выжить в любом случае.

2. Экипаж опытный. Поэтому маловероятно, что пилоты не обратили внимание на обледенелый самолёт при подготовке к взлёту. Самолет мог обле­денеть и за 4 минуты полёта. За это время вероятно:

- в случае предварительной обдувки корпуса лайнера тёплым воздухом он успел бы охладиться и быть готовым к обледенению;

- в случае обработки лайнера специальным раствором его (раствор) ус­пело бы сдуть набегающим потоком и далее — вновь готовность к обледенению.

3. Техническую проверку лайнер прошёл, но двигатели проверяются не­большое время. В случае возможной заправки некондиционным топливом по­следствия могут проявиться не сразу. Двигатели при этом начинают терять тягу и вообще останавливаются из-за прекращения подачи топлива.

Отказ сразу двух двигателей по техническим причинам, не связанным с качеством топлива, маловероятен. Если самолет эксплуатировался около 30 лет, это совсем не значит, что столько же лет эксплуатировались двигатели. Тем более, что к ним не было претензий при перелёте из Новосибирска в Красно­ярск. Что за это время могло измениться, так это появление другого топлива в баках.

4. Возможен вариант одновременного действия совокупности причин:

а) уменьшение тяги двигателей;

б) экипаж вынужден увеличить угол атаки;

в) далее продолжает падать тяга, вновь увеличение угла атаки и падение самолета из-за того, что он попал в штопор или из-за остановки двигателей.

Может быть, такая «спонтанная занятость» экипажа объясняет то, что бо­лее чем четыре минуты полёта от экипажа не было никакой информации.

5. Последнее может говорить и о внезапности события, приведшего к ката­строфе:

- разрушение самолета (большой срок эксплуатации, вибрация из-за тя­жёлых метеоусловий взлёта);

- злой умысел.

Целью анализа является поиск наиболее вероятных причин падения самолёта. Любая из причин: ос­тановка двигателей, нерасчётный режим полёта, разрушение планера в воздухе - могла стать причиной катастрофы. Взаимосвязь событий, которые могли при­вести к трагедии, приведена на древовидной структуре:

Остановка двигателей могла произойти из-за прекращения подачи горюче­го по причине засорения топливных фильтров в случае заправки самолёта некондиционным горючим. Эта же причина могла привести к уменьшению тяги двигателей. Двигатели могли остановиться и по техническим причинам иного характера.

Нерасчётный режим полёта мог произойти из-за уменьшения тяги двигате­лей или нештатного режима обтекания планера воздушным потоком (последст­вия возможного обледенения или действий экипажа). В статье утверждается, что антиобледенительная обработка не проводилась, а метеоусловия способст­вовали обледенению. Но сам факт обледенения не оговаривается.

Разрушение планера могло произойти по техническим причинам или злому умыслу.

Количественный анализ ситуации (определение вероятности головного со­бытия) начнём с оценки вероятностей исходных событий:

1) некондиционное горючее. Несмотря на упоминание об этом в статье «Платный взлёт», будем считать, что Р₁ = 0, поскольку этим горючим заправлялись и дру­гие самолёты, а не только рухнувший АН-12;

2) возможные последствия засорения топливных фильтров примем равно-вероятными (Р₂=0,5), т.е. если бы некондиционное горючее всё-таки использовалось, то это могло привести как к остановке двигателей, так и к уменьшению их тяги;

3) примем, что Р₃=0. Планер используется во всё время эксплуатации са­молёта, а двигатели меняются (к двигателям до происшествия не было никаких претензий);

4) утверждается, что антиобледенительная обработка не проводилась, по­этому Р₄=1;

5) метеоусловия способствовали обледенению, но перед взлётом, скорее всего, поверхность планера была свободной, поскольку опытный экипаж не стал бы взлетать на обледенелом самолете. Однозначно о факте обледенения во время падения говорить затруднительно. Оценим Р₅=0,8;

6) злой умысел не учитываем, поскольку нет никакой информации об этом, т.е. Р₆=0;

7) самолёт эксплуатировался давно, но нареканий к планеру не было. Оценим Р₇=0,1;

8) вероятность падения самолёта при принятых Р_i, оценивается величиной Р_вых=0,82.

Увеличение вероятности возможности обледенения до Р₅=0,9 приводит к Р_вых=0,92. К таким же последствиям приводит увеличение, например, веро­ятности влияния злого умысла или разрушения планера до 0,5.

Похоже, что определяющим событием в этой катастрофе явилось всё-таки обледенение самолета.

Исходные события древовидной структуры в общем случае могут иметь вероятность реализации в диапазоне от 0 до 1. В случае Р = 0 - событие невоз­можно; при Р = 1 - событие достоверное. Для всех прочих событий 1>Р>0.

Для конкретного события в конкретной ситуации существует наиболее ре­альное значение Р = m. В теории вероятностей эта величина называется мате­матическим ожиданием, центром распределения или средним значением.

Вероятность реализации конкретного события имеет некоторую область рассеивания случайной величины около её среднего значения.

Характер рассеивания определяет плотность распределения случайной ве­личины f (х):

Встречаются различные законы распределения. Для вероятностей реализа­ции исходных событий логично предположить, во-первых, возможность сим­метричного отклонения значения вероятности от его математического ожида­ния, во-вторых,- «скученность» возможных значений около математического ожидания, При этих предположениях наиболее приемлемым законом распреде­ления можно считать так называемый нормальный закон распределения, полу­ченный Гауссом:

где σ - стандартное (или среднеквадратичное) отклонение.

В интервале m ± 3σ заключено 99,7 % значений случайной величины, имеющей нормальное распределение. Отсюда возникает «правило 3σ» - прак­тически все значения случайной величины лежат в этом интервале.

Обычно при проведении количественного анализа возможности наступле­ния головного события с помощью древовидной структуры пользуются конкретными значениями вероятностей реализации исходных событий.

Нет никакой гарантии точного определения этих вероятностей. Правиль­нее использовать такой подход: «скорее всего вероятность реализации будет такой-то», т.е. подразумевать возможность разброса значения Р около наиболее вероятного.

К примеру, вероятность i-го события скорее всего будет равной 0,2, хотя

возможен разброс от 0,1 до 0,3. В этом случае m=0,2; σ=0,1/3≈ 0,033 :

Подобные рассуждения имеет смысл провести для возможных вероятно­стей реализации всех исходных событий.

Сам количественный анализ следует проводить для всех возможных комбинаций вероятностей исходных событий. Результатом будет итоговая плот­ность распределения вероятностей головного события, а не конкретное значе­ние при обычном анализе.

Проведение подобного анализа возможно лишь с помощью компьютера, поскольку число «проб» достаточно велико. Для конкретной выборки значений вероятностей исходных событий используется генератор случайных перемен­ных величин нормального распределения при выбранных значениях m и σ.

Рассмотрим влияние плотностей распределения вероятностей исходных событий на распределение итоговой вероятности:

Результаты, представленные на рисунке, получены следующим образом. Первоначально среднеквадратичные отклонения для всех исходных событий были приняты равными 0,001 , а затем изменялись в сторону увеличения, но так, чтобы вероятность головного события оставалась прежней (0,92) с возмож­ным небольшим разбросом около этой величины.

Далее увеличили вероятность события "метеоусловия, способствующие обледенению" до Р₅=0,9 при неизменных остальных условиях:

Похоже, что событие 5 действительно является определяющим.

Проанализируем возможные последствия события 6.

Будем считать, что по-прежнему Р₆=0, поскольку, как уже говорилось, ни­какой информации об этом нет. Но среднеквадратичное отклонение увеличим до σ₆=0,1 и σ₆=0,2. Это значит, что, например, при σ₆=0,2 возможно увеличе­ние вероятности этого события до Р₆=0,6 . Все прочие условия оставим соот­ветствующими исходному варианту.

Видно, что для головного события по-прежнему Р_вых=0,92 , хотя и увели­чился разброс вероятностей по сравнению с исходным вариантом. Ско­рее всего, в данном случае злого умысла не было, а трагичные последствия -результат обледенения и связанные с ним действия экипажа.

В заключение рассмотрим вариант, которого, похоже, не было - проведена качест­венная антиобледенительная обработка:

Видно, что в этом случае произошло резкое уменьшение вероятности со­бытия "падение самолёта", что не соответствует действительности.

Скорее всего катастрофа произошла из-за обледенения. Сопутствующей причиной могло быть уменьшение тяги двигателей. Пилоты из-за обледенения могли все-таки ввести самолёт в штопор. Вероятно, сам корпус самолета АН-12 чувствителен к изменению геометрии (в данном случае из-за обледенения или налипания мокрого снега).

Видно, что плотность распределения вероятности головного события - па­дение самолёта - определяется, скорее всего, возможными последствиями ме­теоусловий взлёта АН-12. Даже большие разбросы . вероятностей некондиционности горючего и его последствий, старости планера или злого умысла, мало что добавляют к результату.