В соответствие с Приложением 19 "Управление безопасностью" к Конвенции о международной гражданской авиации каждое государство - член ИКАО требует внедрения Системы управления безопасностью (СУБП, по принятому в России со-кращению, хотя правильней говорить СУБ) находящимися под его контролем организациями, ответственными за конструкцию типа, то есть разработчиком воздушных судов, а с 7 ноября 2019 г. также разработчиками двигателей или воздушных винтов.

Система управления безопасностью должна создаваться в соответствие с элементами концептуальных рамок, содержащимися в добавлении 2 Приложения 19.

При этом, Система управления безопасностью организации, ответственной, согласно Приложению 8, за конструкцию типа воздушного судна, двигателей или воздушных винтов, подлежит согласованию с государством разработчика. Для российских разработчиков воздушных судов, двигателей или воздушных винтов ведомством от государства разработчика является Федеральное агентство воздушного транспорта (Росавиация). Взаимодействие разработчиков воздушных судов, двигателей или воздушных винтов с другими организациями может внести существенный вклад в обеспечение безопасности предоставляемых ими продуктов и поэтому играет важную роль в реализации Государственной программы безопасности полетов.

Очень часто, особенно от сотрудников организаций - разработчиков воздушных судов, двигателей или воздушных винтов, можно услышать, что у них в организации уже все элементы системы управления безопасностью имеются в наличии, внедрена система управления качеством и создают они воздушное судно, двигатель или винт в соответствие с нормами летной годности, и им ничего внедрять не надо. Это очень серьезное заблуждение. Поэтому остановимся на этом вопросе поподробнее.

Между внедренной в организации-разработчике системой управления качеством продукции и внедряемой системой управления безопасностью существует принципиальная разница.

В организации - разработчике Система управления качеством продукции нацелена на сам продукт, т. е. на достижение определенных характеристик разработанного организацией типа воздушного судна, удовлетворяющих требованиям потребителя, а также обязательным минимальным требованиям к его безопасности. Основополагающая идея заключается в том, что система качества предполагает построение такой структуры управления процессом разработки воздушного судна, которая гарантирует выпуск качественного, т. е. соответствующего установленным требованиям, в том числе и к безопасности, продукта в любой момент, пока система действует. При этом, если различные характеристики воздушного судна разработчики вольны выбирать по своему усмотрению в интересах наиболее полного удовлетворения желаний потребителей, то минимальные требования к безопасности разработанного организацией типа воздушного судна вытекают из Приложения 8 "Летная годность воздушных судов" к Конвенции о международной гражданской авиации и устанавливаются национальными нормами летной годности воздушных судов. Поскольку эти нормы постоянно совершенствуются и в них периодически вносятся дополнительные требования, направленные на повышение безопасности полетов, то для каждого типа воздушного судна составляется сертификационный базис на основе норм летной годности, действующих на момент подачи разработчиком заявки на сертификацию типа данного воздушного судна. Таким образом, соответствие разработанного типа воздушного судна требованиям одобренного для него уполномоченной государством авиационной властью (в России - Росавиацией) сертификационного базиса является обязательной характеристикой качества данного типа воздушного судна и регулируется Системой управления качества организации - разработчика.

Система же управления безопасностью организации - разработчика нацелена на безопасность самой этой структуры при разработке определенного типа воздушного судна и, в частности, на усовершенствование Системы управления качеством разработки для обеспечения приемлемого уровня безопасности типа. То есть, чтобы Система гарантировала, что организация не понесет неприемлемые потери (материальные и имиджевые, которые все равно потом выливаются в финансовые) в результате своей деятельности по разработке данного конкретного типа воздушного судна из-за того, что оно не соответствует требованиям по безопасности полетов. Реально это означает совсем другой подход к проектированию безопасного воздушного судна на основе системного мышления и теории систем.

На начальных этапах проектирования разработчики опираются на предшествующий опыт конструирования, как своей организации, так и других разработчиков аналогичной авиационной техники. Для этого у разработчика должна иметься база данных, в которой были бы собраны авиационные происшествия и инциденты со всеми воздушными судами. Но одного наличия такой базы недостаточно. На предприятии должна быть группа экспертов, которые анализировали бы содержание этой базы и извлекали из нее рекомендации по повышению безопасности полетов разрабатываемых воздушных судов. При этом, необходимо изменить традиционные подходы к моделям причинности авиапроисшествий. Распространенные сейчас модели причинности аварий и катастроф предполагают, что они вызваны отказом работы компонентов или пилотов, и что повышение надежности системных компонентов или надежность работы пилотов сможет предотвратить возникновение аварий. Однако это не полностью соответствует причинам происшествий с современными сложными социотехническими системами. Группе анализа необходимо внимательнейшим образом переосмыслить факты из базы данных по авиапроисшествиям для их правильной интерпретации. Часто звучат заявления, что от 70% до 80% авиационных происшествий связаны с ошибкой пилота, а не небезопасными условиями его функционирования. Однако при ближайшем рассмотрении видно, что данные могут быть неточными и неполными: чем меньше известно об аварии, тем вероятнее, что она будет связана с ошибкой пилота. Тщательное расследование серьезных аварий почти всегда обнаруживает другие факторы. Проблемы проистекают из использования модели цепи событий в расследовании аварии, потому что трудно найти событие, предшествующее и являющееся причиной поведения пилота. Даже если технический сбой предшествует человеческой деятельности, сохраняется тенденция возлагать вину на неадекватное реагирование пилота на сбой. При этом, скрытые недостатки конструкции могут быть проигнорированы и не устранены вследствие чрезмерной уверенности в оценке рисков. Безопасность должна быть спроектирована и встроена в самолет так же, как производительность, стабильность и структурная целостность.

Так, например, утверждается, что по заключению технической комиссии по расследованию непосредственной причиной катастрофы самолета Як-42 в Ярославле в 2011 г. явились ошибочные действия экипажа, выразившиеся в обжатии тормозных педалей перед подъемом носового колеса и неправильном положении ног на педалях в процессе взлета, то есть ноги на тормозных площадках. Было заявлено, что своевременная оценка ситуации экипажем и принятие решения о прекращении взлета вместо установки взлетного режима двигателей на примерно тысячу метров до выходного торца ВПП на скорости, большей скорости принятия решения, позволило бы предотвратить катастрофу. Приводится еще целый ряд сопутствующих не основных причин катастрофы.

На самом деле, это мало что дает для предотвращения подобных авиа-происшествий в будущем. Возможно, это одна из причин того, почему не выполняются рекомендации комиссий по расследованию.

Дело в том, что комиссия по расследованию не обратила внимания на недостатки конструкции самолета и не дала рекомендаций по их устранению. А ведь в главе 3 Приложения 8 "Летная годность" к Конвенции о международной гражданской авиации ясно сказано: "Кабина экипажа проектируется таким образом, чтобы свести к минимуму возможность неправильного или затруднительного использования экипажем органов управления вследствие усталости членов экипажа, путаницы или каких либо препятствий. При этом, внимание уделяется, как минимум, расположению и четкому обозначению органов управления и приборов, обеспечению быстрого обнаружения аварийных ситуаций, направлению отклонения рычагов управления". Аналогичные требования есть в российских нормах летной годности АП-25.

Таким образом, конструкция педалей самолета Як-42 не соответствует требованиям к летной годности воздушных судов, и экипаж не мог своевременно оценить ситуацию и принять решения о прекращении взлета, поскольку в кабине отсутствовал индикатор, позволяющий пилотам своевременно оценить ситуацию. Из результатов расследования следует, что это конструктивный недостаток Як-42, который должен быть устранен директивой летной годности. Для системы управления безопасностью немаловажно установить, почему такой недостаток конструкции не был выявлен при разработке и сертификации типа самолета Як-42.

Авиационные происшествия представляют собой сложные процессы, включающие всю социально-техническую систему. Традиционные модели цепи событий не могут описать этот процесс должным образом. Модели, основанные на событиях, ограничены в своей способности представлять авиационные происшествия как сложные процессы, в частности, системные факторы аварийности, такие как, структурные недостатки в организации, недостатки управления и культуры безопасности компании или отрасли. Необходимо понять, как вся система, включая организационные и социальные компоненты, работающие вместе, привела к аварии. Модель аварии должна способствовать широкому взгляду на механизмы аварии, который позволит расследованию выйти за пределы ближайших событий: узкая направленность на действия пилота, сбои физических компонентов и технологию может привести к игнорированию некоторых из наиболее важных факторов с точки зрения предотвращения будущих аварий. Понятие "первопричины" должно быть полностью пересмотрено, так как нет никаких реальных оснований считать одно событие в цепочке событий первичным или основным, по сравнению с другими событиями.

Сложная техническая система, какой является современное воздушное судно, это не просто набор технологий, а отражение структуры, подходов к управлению, процедур и культуры организации - разработчика, которая их создала. Именно поэтому авиационными властями сначала оценивается обеспечивают ли подходы к конструированию принципиальную возможность организации - разработчика создать безопасное воздушное судно, а уже потом они оценивают безопасность разработанной ею типовой конструкции. Жером Ледерер, один из руководителей NASA, отмечал: "Безопасность системы охватывает полный спектр управления рисками. Она выходит за рамки аппаратных средств и связанных с ними процедур безопасности системы проектирования и включает в себя: отношения и мотивацию проектировщиков и работников производства, взаимопонимание между служащими и управляющими, отношения промышленных объединений между собой и с правительством, человеческие факторы при надзоре и контроле качества, документацию по согласованию промышленной и общественной безопасности с проектированием и операциями, интерес высшего руководства к проекту, влияние правовой системы на расследования авиапроисшествий и обмен информацией, сертификацию ключевых работников, политических соображений, ресурсов, общественных настроений и многих других нетехнических, но жизненно важных воздействий на достижение приемлемого уровня контроля рисков. Эти нетехнические аспекты безопасности системы нельзя игнорировать. Однако слишком часто нетехнические аспекты игнорируются".

В авариях, на первый взгляд, независимые неисправности могут иметь общую системную причину (не всегда неисправность), что приводит к возникновению совпадающих неисправностей. Когда люди пытаются спрогнозировать системный риск, они явно или неявно умножают события с низкой вероятностью - предполагая независимость - и получают невероятно малые числа, когда, на самом деле, события зависимы. Эта зависимость может быть связана с общими системными факторами, которые не появляются в цепи событий.

Наблюдающийся сегодня быстрый темп технологических изменений приводит к тому, что опыт проектирования для предотвращения происшествий может стать неэффективным при замене старых технологий на новые. Новые технологии вводят неизвестные составляющие в конструкцию и создают новые возможности возникновения происшествий. Так, например, при переходе от металлических конструкций к композитным, или даже от композитных конструкций, созданных по одной технологии, к композитным конструкциям, созданным по другой технологии. Разработчик в этом случае должен оценить риски, связанные с новой технологией изготовления композитов. Определить, насколько она доведена для использования в проектируемой им конструкции и хватит ли у него материальных и финансовых ресурсов, чтобы в заданные сроки доказать сертифицирующему органу безопасность ее применения. В противном случае можно разориться, так и не доведя объект до эксплуатации.

Следует иметь в виду, что такие методы, как дублирование компонентов для защиты от отказа отдельного компонента неэффективны в борьбе с авариями, которые возникают в результате использования цифровых систем и программного обеспечения. Более того, неадекватное взаимодействие между людьми и машинами становится все более важным фактором при возникновении аварий.

Проработка новых технологий требует немалых материальных финансовых и временных затрат, в то время, как разработчики пытаются не только сократить риски возникновения аварий, но и удовлетворить срокам вывода продукта на рынок и бюджетным ограничениям. Поэтому они все время вынуждены балансировать между средствами, выделяемыми на гарантирование безопасности продукта, и средствами, выделяемыми на достижение его конкурентоспособности по остальным параметрам и в том числе, скорейшего начала эксплуатации.

Более подробно соображения, которые здесь изложены, можно найти в великолепной книге Nancy G.Leveson - Engineering a Safer World....