Wykorzystanie metody BowTie oraz techniki GSN do analiz

Transkrypt

PRACE NAUKOWE POLITECHNIKI WARSZAWSKIEJ
z. 103
Transport
2014
Mariusz Krzy!anowski
Polska Agencja /eglugi Powietrznej (PA/P)
Agnieszka Wieczorek, Anna Chró$ciewicz
Politechnika Warszawska, Wydzia> Transportu
WYKORZYSTANIE METODY BowTie ORAZ
TECHNIKI GSN DO ANALIZ BEZPIECZE(STWA
RUCHU LOTNICZEGO
!
!
!
!
R?kopis dostarczono: luty 2014
Streszczenie: W artykule zaprezentowano metod? BowTie oraz technik? Goal Structured Notation GSN, jako przydatne narz?dzia do wykorzystania w procesie przeprowadzania analiz bezpieczeQstwa.
Pokazano moVliwoXci ich wykorzystania i zastosowania w praktyce oraz ograniczenia na przyk>adzie
analizy zdarzenia wtargni?cia na drog? startowY oraz argumentacji wprowadzenia procedur P-RNAV
w TMA Warszawa.
S+owa kluczowe: analiza bezpieczeQstwa ruchu lotniczego, metoda BowTie, technika GSN
!
!
!
1. WPROWADZENIE
!
!
Potrzeba przeprowadzania analiz bezpieczeQstwa w organizacjach lotnictwa cywilnego,
a w szczególnoXci w organach zarzYdzania ruchem lotniczym wynika wprost z wymagaQ
globalnych Aneksu 19 ICAO oraz regulacji Komisji Europejskiej KE-1035/2011.
Wymagania dotyczYce osiYgni?cia bezpieczeQstwa, majY gwarantowaa, Ve ocena i
ograniczanie ryzyka sY przeprowadzane na odpowiednim poziomie, w celu naleVytego
uwzgl?dnienia wszystkich aspektów zwiYzanych z zapewnianiem ATM [1]. W tym celu
wykorzystywane sY róVne metody analiz ryzyka szeroko opisywane w literaturze. Jeden z
przyj?tych podzia>ów stosowanych metod to podzia> na metody jakoXciowe i iloXciowe.
Niestety wed>ug tego podzia>u w niektórych przypadkach trudno jest jednoznacznie
zakwalifikowaa danY metod?. Inny podzia> metod analizy ryzyka to metody indukcyjne np.
metoda analizy drzewa zdarzeQ (ETA) oraz dedukcyjne np. metoda analizy drzewa
niezdatnoXci (FTA) [2]. Metoda ETA polega na zapisie relacji pomi?dzy przyczynY, a
skutkiem, przy uVyciu specjalnego j?zyka symboli. Metoda drzewa zdarzeQ moVe bya
!
126
Mariusz KrzyVanowski, Agnieszka Wieczorek, Anna ChróXciewicz
stosowana do analizy bezpieczeQstwa systemów na etapie projektowania. Drzewo zdarzeQ
w poglYdowy sposób wskazuje na s>abe ogniwa systemu i okreXla stopieQ spe>niania
stawianych mu wymagaQ. Analiza FTA s>uVy do analizy wypadków lub obliczania
prawdopodobieQstwa awarii urzYdzeQ lub instalacji. Polega na okreXlaniu powiYzaQ
logicznych mi?dzy przyczynami, czyli zdarzeniami elementarnymi, a ich skutkami, dla
zdefiniowania stanów odbiegajYcych od za>oVonej normy. Zdarzeniem elementarnym
moVe bya, np: awaria urzYdzenia, wadliwe zadzia>anie elementu sterowania,
nieprawid>owe dzia>anie operatora. Analiza drzewa b>?dów umoVliwia równieV
identyfikacj? i ocen? skutecznoXci rozwiYzaQ technicznych oraz proceduralnych
wprowadzonych w celu zwi?kszenia niezawodnoXci systemu. Pozwala zidentyfikowaa i
oszacowaa skutki uszkodzenia sprz?tu, b>?dów obs>ugi, zdarzeQ zewn?trznych,
wynikajYcych ze Xrodowiska pracy, zasad eksploatacji, które przyczyniajY si? do
zaistnienia okreXlonych niepoVYdanych zdarzeQ. Po>Yczenie metod ETA i FTA wraz z
elementami modelu oceny ryzyka Jamesa Reasona (model „sera szwajcarskiego”)
stanowi>o podstaw? utworzenia metody BowTie [3]. Kolejnym krokiem w
przeprowadzaniu analiz bezpieczeQstwa jest zebranie i przedstawienie argumentów
bezpieczeQstwa w postaci przypadku bezpieczeQstwa (Safety Case), które w sposób
przekonujYcy, zrozumia>y i poprawny zapewnia, Ve w danym zastosowaniu oraz
Xrodowisku, system jest bezpieczny. Taka argumentacja moVe bya przedstawiona w sposób
graficzny. JednY z technik stosowanY w tym przypadku moVe bya technika GSN (Goal
Structured Notation). W niniejszym artykule przedstawiono praktyczne zastosowanie
metody BowTie do analizy zdarzenia wypadni?cia z drogi startowej oraz zastosowania
techniki GSN do przedstawienia argumentacji dla wprowadzenia procedur P-RNAV w
TMA Warszawa.
2. METODA BowTie
Metoda BowTie powsta>a na Uniwersytecie w Queensland w Australii. Nazwa pochodzi
od kszta>tu diagramu za pomocY, którego w odpowiedni sposób odwzorowane sY
zagroVenia wraz z potencjalnymi przyczynami ich wystYpienia oraz konsekwencje wraz z
propozycjami Xrodków, które je mogY ograniczya. Powstanie tej techniki by>o odpowiedziY
na potrzeb? wprowadzenia sposobu do skutecznej kontroli ryzyka. Metoda BowTie
dostarcza czytelnY i zrozumia>Y wizualizacj? relacji pomi?dzy przyczynami zdarzeQ oraz
przygotowanymi Xrodkami, minimalizujYcymi ich negatywne skutki. W najbardziej
powszechnym uVyciu ostatecznym celem jest zademonstrowanie kontroli zagroVeQ
zdarzenia, bezpieczeQstwa oraz Xrodowiska [4]. Podstawowe sk>adowe metody zosta>y
przedstawione w Tablicy 1.
!
!
Wykorzystanie metody BowTie oraz techniki GSN do analiz bezpieczeQstwa ruchu lotniczego
127
Tablica 1
Podstawowe sk+adowe metody BowTie (opracowanie w>asne na podstawie [3])
Nazwa
Identyfikacja zdarzenia
najwyVszego poziomu
Symbol
Opis
Opisuje zdarzenie inicjujYce , b?dYce przedmiotem analizy
Identyfikacja
zagroVenia
OkreXla obszar analiz. Powinien zawieraa nazw? obszaru,
jego Xrodki kontroli, skal? do której odnosi si? kontekst.
Identyfikacja przyczyn
Opisuje zagroVenia, których aktywacja moVe spowodowaa
zdarzenie inicjujYce
Identyfikacja skutków
OkreXlenie skutków, które mogY wystYpia po zaistnieniu
zdarzenia
Identyfikacja
barier(Xrodków)
redukcji przyczyn
Identyfikacja
barier(Xrodków)
redukcji skutków
Identyfikacja
czynników
eskalujYcych
Identyfikacja
barier(Xrodków)
kontrolowania
czynników
eskalujYcych
OkreXlenie barier redukcji ryzyka zastosowanych w celu
zmniejszenia prawdopodobieQstwa wystYpienia zdarzenia
inicjujYcego
OkreXlenie dzia>aQ podejmowanych w celu redukcji skutków
zdarzenia
Wskazanie okolicznoXci
Xrodków redukcji ryzyka
zmniejszajYcych
skutecznoXa
OkreXlenie Xrodków kontroli t>umiYcych
ograniczajYce skutecznoXa pierwotnych barier
warunki
3. ZASTOSOWANIE METODY BowTie DO ANALIZY
ZDARZENIA WYPADNI/CIA Z DROGI STARTOWEJ
W oparciu o statystyki oraz raporty EUROCONTROL naleVy stwierdzia, Ve jednym z
najcz?Xciej wyst?pujYcym zdarzeniem, majYcym wp>yw na bezpieczeQstwo ruchu
lotniczego jest wtargni?cie na drog? startowY (Runway Incursion-RI) [5]. Jest to kaVde
zdarzenie na lotnisku, obejmujYce nieprawid>owY obecnoXa statku powietrznego, pojazdu
lub osoby na chronionym obszarze powierzchni przeznaczonej do lYdowaQ oraz startów
samolotów. Podczas analizy zidentyfikowano nast?pujYce g>ówne zagroVenia, wp>ywajYce
na wystYpienie RI (zdarzenie inicjujYce), które zosta>y zebrane po lewej stronie diagramu
BowTie. W kolejnym kroku zidentyfikowano potencjalne konsekwencje/skutki zdarzenia
wtargni?cie na drog? startowY, które wyst?pujY po prawej stronie diagramu. Graficzna
reprezentacja g>ównych zagroVeQ i konsekwencji (skutków) dla zdarzenie inicjujYcego RI
jest przedstawiona w postaci diagramu BowTie – rys. 1.
!
128
Rys. 1. Diagram BowTie dla zdarzenia RI [opracowanie w>asne]
!
129
Tabelaryczne zestawienie zidentyfikowanych zagroVeQ z podzia>em na grupy przyczynowe
przedstawiono w tablicy 2.
Tablica 2
Zestawienie zidentyfikowanych zagro!e3 dla RI [opracowanie w>asne]
Pilot
S!u"by ATC
Kierowca lub pieszy
Osoby nieoperacyjne
Projektanci lotniska
Samolot lub pojazd
Zidentyfikowane zagro!enia
NiezdolnoXa do zastosowania standardów lub procedur
Niew>aXciwie zastosowane standardy lub procedury
Nadmierne obciYVenie pracY
NiezdolnoXa do zastosowania standardów lub procedur
Nadmiernie obciYVone pracY
Nieuprawniony dost?p (uwzgl?dnienie równieV obecnoXci zwierzYt)
NiewystarczajYco/niew>aXciwie zaprojektowane elementy lotniska
Mechaniczne uszkodzenie (np. hamulce czy hol)
Niekorzystne warunki pogodowe
Nast?pnie g>ówne zagroVenia zosta>y zdekomponowane w celu okreXlenia barier , które
chroniY przed wystYpieniem zdarzenia. Przyk>adowe dekompozycje zagroVeQ
przedstawiono na rys. 2. - NiezdolnoXa do zastosowania standardów lub procedur przez
s>uVby ATC oraz na rys. 3. - Niekorzystne warunki pogodowe, z wyszczególnieniem
wybranych barier.
Niezdolno() do
zastosowania
standardów lub
procedur przez ATC
U!ywanie
niezawodnej
-.czno0ci
dwukierunkowej
U!ywanie narz?dzi
wspieraj.cych
podejmowanie
decyzji
U!ywanie systemu
pod0wietlania
oznacze9 poziomych
(Stop bar)
U!ywanie
systemów
dozorowania (np.
A - SMGCS)
U!ywanie
procedury w
przypadku utraty
-.czno0ci radiowej
Rys. 2. Schemat dekompozycji zagroVenia – NiezdolnoXa do zastosowania standardów lub
procedur przez s>uVby ATC [opracowanie w>asne]
Rys. 3. Schemat dekompozycji zagroVenia – Niekorzystne warunki pogodowe [opracowanie
w>asne]
W nast?pnym kroku dokonano identyfikacji konsekwencji (skutków) wynikajYcych z
wystYpienia zdarzenia RI, które zosta>y zebrane w tablicy 3.
NaleVy równieV podkreXlia, Ve kiedy kolizja ma miejsce poza pasem startowym, wtedy
zazwyczaj statek powietrzny oraz inne pojazdy poruszajY si? z niVszY pr?dkoXciY niV w
przypadku kolizji na pasie startowym, gdzie wyst?pujY wi?ksze pr?dkoXci. Prowadzi to do
!
130
zwi?kszenia ryzyka powaVnego uszkodzenia samolotów oraz moVe przyczynia si? do
dotkliwych obraVeQ cia>a, a nawet do Xmierci pasaVerów i za>ogi.
Tablica 3
Zestawienie zidentyfikowanych konsekwencji dla RI [opracowanie w>asne]
Samoloty o wadze >5700 kg
(du"a liczba pasa"erów)
Samoloty o wadze <5700 kg
(ma!a liczba pasa"erów)
Samoloty transportowe (bez
pasa"erów)
System ATM
Zidentyfikowane konsekwencje/skutki
Kolizja mi?dzy jednym lub wi?cej samolotów
Kolizja mi?dzy samolotem a pojazdem
Kolizja mi?dzy samolotem a pieszym
Zredukowana wydajnoXa systemu ATM ze wzgl?du na zwi?kszenie
obciYVenia pracY pilota
Zredukowana wydajnoXa systemu ATM ze wzgl?du na zwi?kszenie
obciYVenia pracY s>uVb ATC
Przyk>adowY ga>Yn diagramu BowTie dla konsekwencji wraz z barierami, które mogY je
ograniczaa przedstawiono na rysunku 4.
Rys. 4. Schemat dekompozycji przyk>adowej konsekwencji zdarzenia RI [opracowanie w>asne]
Po dokonaniu identyfikacji zarówno zagroVeQ jak i barier je ograniczajYcych oraz
potencjalnych konsekwencji/skutków po wystYpieniu zdarzenia RI i mitygacji w celu ich
minimalizacji, wykonuje si? ca>oXciowy schemat graficzny, aby dokonaa powiYzaQ
odpowiednich zagroVeQ i skutków.
4. TECHNIKA GRAFICZNEJ PREZENTACJ
ARGUMENTACJI BEZPIECZE(STWA - GSN
Technika GSN jest graficznym zapisem argumentacji bezpieczeQstwa oraz narz?dziem
do analizy jej przebiegu. Poprzez okreXlony z góry zbiór elementów, relacji oraz zasad
umoVliwia budow? schematów, które w sposób jednoznacznie okreXlony prezentujY
poszczególne elementy dowolnego argumentu bezpieczeQstwa i co niejednokrotnie
waVniejsze, powiYzania istniejYce mi?dzy tymi elementami. Technika ta jest
!
131
wykorzystywana w branVach kluczowych dla bezpieczeQstwa, gdzie istotne jest
przedstawienie dowodów bezpiecznego dzia>ania systemu. Jest to nie tylko przemys>
lotniczy, ale równieV kolejowy czy obronny [6].
Cele, rozwiYzania, strategie, konteksty, za>oVenia i uzasadnienia stanowiY podstawowe
elementy GSN. Dzi?ki nim moVna wyranne zaprezentowaa poszczególne elementy
kaVdego argumentu bezpieczeQstwa i co waVniejsze okreXlia relacje, jakie istniejY mi?dzy
tymi elementami.
G>ówne symbole zapisu znajdujY si? na rys. 5.
!
Rys. 5. Symbole zapisu w technice GSN [opracowanie w>asne w oparciu o [6] ]
Elementy przedstawione powyVej moVna >Yczya za pomocY strza>ek w sieci definiujYce
struktur?. G>ównym celem kaVdej struktury jest pokazanie, jak kolejno by>y dzielone
argumenty(cele) na argumenty niVszego poziomu, aV do momentu osiYgni?cia punktu, w
którym moVna stwierdzia, Ve mogY bya wsparte poprzez odniesienie do dost?pnych
dowodów.
5. ZASTOSOWANIA TECHNIKI GSN DO
PRZEDSTAWIENIA ARGUMENTACJI BEZPIECZE(STWA
DLA WPROWADZENIA PROCEDUR P-RNAV
W TMA WARSZAWA
Wprowadzenie B-RNAV dla lotów po trasach w przestrzeniach powietrznych paQstw
ECAC zwi?kszy>o zapotrzebowanie na RNAV równieV w przestrzeni terminalowej. W
celu poprawy, tam gdzie to konieczne, dok>adnoXci operacji RNAV (np. SID/STAR)
wprowadzono precyzyjnY nawigacj? P-RNAV. Precyzyjna nawigacja obszarowa w
odniesieniu do podstawowej zapewnia prowadzenie statku powietrznego wzd>uV linii drogi
z wi?kszY dok>adnoXciY (dla B-RNAV wynosi +/-5NM, a dla P-RNAV +/-1NM).
!
132
Wprowadzenie operacyjne procedur precyzyjnej nawigacji obszarowej wymaga
potwierdzenia, Ve dzia>anie to b?dzie bezpieczne wraz z przedstawieniem odpowiedniej
argumentacji. W tym celu proponuje si? zastosowanie techniki GSN. Argument wysokiego
poziomu bezpieczeQstwa ARG0, zastosowane kryteria - CR1, uzasadnienie -J1, kontekstC1 wraz z argumentami g>ównymi (ARG1,..,ARG4) przedstawiono na rysunku 6. .
Cr1#
Ryzyko%kolizji%powinno%by5:%
a)nie%wi+ksze%ni8%dla%
obecnych%operacji%w%TMA%
Warszawa%oraz%
b)%zmniejszone%je0li%jest%to%
racjonalnie%mo8liwe%
ARG1#
P!RNAV%w%TMA%
Warszawa%zosta:a%
okre0lona%jako%
bezpieczna%
J1#
P!RNAV%%przyniesie%
organizacyjne%i%0rodowiskowe%
korzy0ci%w%TMA%
ARG0#
P!RNAV%w%TMA%Warszawa%
b+dzie%bezpieczna%
ARG2#
P!RNAV%w%TMA%
Warszawa%b+dzie%
wdra8ana%zgodnie%ze%
specyfikacj2%
ARG3#
Przej0cie%do%s:u8by%
operacyjnej%P!RNAV%
w%TMA%Warszawa%
b+dzie%bezpieczne%
C1#
Dotyczy%TMA%z%wyj2tkiem%
segmentu%ko4cowego%i%
nieudanego%podej0cia%do%
l2dowania%
ARG4#
Bezpiecze4stwo%P!
RNAV%w%TMA%Warszawa%%
w%przysz:o0ci%b+dzie%
nadal%wykazywane%w%
s:u8bie%operacyjnej%
Rys. 6. Schemat dekompozycji argumentu ARG0 technikY GSN [opracowanie w>asne
w oparciu o [7] ]
Twierdzenie najwyVszego poziomu (ARG0) zosta>o zdekomponowane na cztery g>ówne
argumenty bezpieczeQstwa, które odzwierciedlajY cztery etapy cyklu Vycia koncepcji i
wykorzystania operacyjnego procedur P-RNAV:
1 Specyfikacj? (ARG1)
2 Implementacj? (ARG2)
3 Przemian? (ARG3)
4 Prac? operacyjnY (ARG4)
Zgodnie z zasadami techniki GSN, w kolejnym kroku dokonano dekompozycji na
argumenty niVszego poziomu. Jako przyk>ad poniVej przedstawiono argumenty niVszego
poziomu dla ARG1.
!
133
ARG1#
P!RNAV%w%TMA%Warszawa%
zosta:a%okre0lona%jako%
bezpieczna
ARG1.1#
Podstaw2%konceptu%
jest%wewn+trzne%
bezpiecze4stwo%
ARG1.8#
Wykonywanie%kopii%
dowodów%jest%mo8liwe%
aby%pokaza5%8e%
bezpo0rednie%dowody%
s2%wiarygodne%
ARG1.2#
Projekt%systemu%
jest%kompletny%
ARG1.7#
Wszelkie%kwestie%bezpiecze4stwa%
zosta:y%rozwi2zane%lub%okre0lono%
dzia:ania%w%celu%ich%rozwi2zania%
ARG1.3#
Projekt%systemu%
funkcjonuje%poprawnie%i%
spójnie%we%wszystkich%
spodziewanych%
warunkach%
ARG1.4#
Projekt%systemu%jest%
odporny%na%zewn+trzne%
nieprawid:owo0ci%
ARG1.6#
To%co%zosta:o%
okre0lone%jest%
realistyczne
ARG1.5#
Wszelkie%ryzyko%zwi2zane%
z%wewn+trzn2%awari2%
systemu%zosta:o%
wystarczaj2co%z:agodzone
Rys. 7. Argumenty niVszego poziomu dla ARG1 [opracowanie w>asne w oparciu o [7] ]
Nast?pnie w celu przypisania dowodów dokonano rozpisania argumentów niVszego
poziomu na sub-argumenty. Jako przyk>ad przedstawiono rozk>ad argumentu ARG1.5 .
!
134
ARG1.5#
Wszelkie%ryzyko%zwi2zane%z%
wewn+trzn2%awari2%systemu%
zosta:o%wystarczaj2co%
z:agodzone%
S1.5#
Uzyskanie%dowodów%ze%
nast+puj2ce%argumenty%
ni8szego%poziomu%s2%
prawdziwe
ARG1.5.1#
Wszystkie%
racjonalnie%
przewidywalne%
zagro8enia%zosta:y%
zidentyfikowane%
ARG1.5.2#
Dotkliwo05%skutków%
ka8dego%z%zagro8e4%
zosta:a%prawid:owo%
oceniona,%bior2c%pod%
uwag+%rozwi2zania%
za:agodzenia%ich%
wyst+powania,%które%
mog2%by5%dost+pne.%
ARG1.5.6#
Ocena%ryzyka%dla%ka8dego%
zagro8enia%zosta:a%
przeprowadzona,%
pokazuj2c,%8e%:2czne%
ryzyko%mie0ci%si+%w%
okre0lonych%kryteriach%
bezpiecze4stwa%!%jest%
akceptowalne.%
ARG1.5.3#
Cele%bezpiecze4stwa%
zosta:y%ustalone%tak,%8e%
odpowiadaj2ce%im%:2czne%
ryzyko%mie0ci%si+%w%
okre0lonych%kryteriach%
bezpiecze4stwa%i%jest%
akceptowalne%
ARG1.5.4#
Wszystkie%
racjonalnie%
przewidywalne%
przyczyny%ka8dego%
zagro8enia%zosta:y%
zidentyfikowane%
ARG1.5.5#
Wszystkie%zewn+trzne%i%
wewn+trzne%dzia:ania%
dotycz2ce%ograniczania%
ryzyka%zosta:y%uj+te%w%
wymaganiach%
bezpiecze4stwa%albo%w%
za:o8eniach%
projektowych%
Rys. 8. Przyk>ad rozk>adu argumentu ARG1.5 [opracowanie w>asne w oparciu o [7] ]
Zebranie i rozpisanie wszystkich przedstawionych powyVej argumentów g>ównych,
wraz z dowodami ich spe>nienia w poszczególnych fazach cyklu Vycia projektu P-RNAV
dla TMA Warszawa, stanowi pe>ne studium bezpieczeQstwa, na podstawie którego
podejmowane sY decyzje o jego uruchomieniu i wykorzystaniu operacyjnym.
!
135
6. PODSUMOWANIE
W przedstawionym artykule zaprezentowano metod? BowTie oraz technik? GSN, jako
przydatne narz?dzia do wykorzystania w procesie przeprowadzania analiz bezpieczeQstwa.
Na wybranych przyk>adach pokazano moVliwoXci ich wykorzystania i zastosowania w
praktyce. Podstawowe korzyXci metody BowTie to przede wszystkim mniejsza
pracoch>onnoXa w przygotowaniu schematu kontroli ryzyka, przejrzystoXa i >atwoXa w
prezentacji i zrozumieniu dla personelu na róVnych poziomach w organizacji oraz w wielu
przypadkach moVliwoXa zmniejszenia niepotrzebnych barier w analizowanym systemie.
NajwaVniejsze ograniczenia tej metody to brak moVliwoXci obliczania ryzyka w oparciu o
wartoXci bezwzgl?dne oraz ograniczone zastosowanie dla identyfikacji z>oVonych
powiYzaQ mi?dzy kontrolY ryzyka a wprowadzonymi zabezpieczeniami.
PodstawowY i najwi?kszY zaletY techniki GSN jest graficzny, czyli czytelny sposób
prezentacji argumentów potwierdzajYcych s>usznoXa g>ównego stwierdzenia, co u>atwia
dyskusje mi?dzy zainteresowanymi stronami oraz zmniejsza równieV czas potrzebny do
osiYgni?cia porozumienia w sprawie przyj?cia podejXcia do argumentacji. UmoVliwia
równieV szybkY zmian? argumentacji w przypadku zmiany podejXcia czy wprowadzenia
nowego rozwiYzania w projekcie. Istotnym elementem techniki GSN jest koniecznoXa
bardzo dobrej znajomoXci zagadnienia opisywanego za jej pomocY oraz zaleVnoXci mi?dzy
opisywanymi argumentami. Brak tej wiedzy moVe skutkowaa bezpoXrednim przejXciem od
g>ównej tezy do koQcowego dowodu, bez odpowiedniej dekompozycji na argumenty
sk>adowe, co powaVnie ogranicza wartoXa argumentacji bezpieczeQstwa. Jako ograniczenie
GSN moVna uznaa równieV brak moVliwoXci liczbowej oceny argumentacji
bezpieczeQstwa (analizy iloXciowe) oraz brak moVliwoXci jej wykorzystania dla systemów
bardzo z>oVonych.
Bibliografia
1. RozporzYdzenie wykonawcze Komisji Europejskiej - KE 1035/2011 z dnia 17 pandziernika 2011 r.
ustanawiajYce wspólne wymogi dotyczYce zapewniania s>uVb Veglugi powietrznej oraz zmieniajYce
rozporzYdzenia (WE) nr 482/2008 i (UE) nr 691/2010.
2. Szymanek A., BezpieczeQstwo i ryzyko w technice, Wyd. Politechniki Radomskiej, Radom 2006.
3. Strona internetowa : http://www.cgerisk.com/knowledge-base/risk-assessment/the-bowtie-methodology
4. Strona internetowa http://www.cgerisk.com/knowledge-base/risk-assessment/thebowtiemethod
5. EUROCONTROL , Annual Safety Report 2013
6. Kelly T., Weaver R. , The Goal Structuring Notation – A Safety Argument Notation, Proceedings of the
Dependable Systems and Networks 2004 Workshop on Assurance Cases, July 2004
7. EUROCONTROL, Safety Argument for Precision RNAV in Terminal Airspace, 2008
APPLICATION OF BowTie METHOD AND GSN IN AIR TRAFFIC SAFETY ANALYSIS
Summary: BowTie method and Goal Structured Notation – GSN have been presented in this paper as a
useful tools for air traffic safety analysis. Runway incursion and P-RNAV procedure implementation in TMA
Warszawa have been also presented as an examples of practical implementation of BowTie and GSN.
Keywords: Air Traffic Safety Analysis, BowTie Method, Goal Structured Notation
!
!
!

Wykorzystanie metody BowTie oraz techniki GSN do analiz

Transkrypt

Podobne dokumenty

generuj pdf

generuj pdf

Iluzjon Sfinks - Ciechocinek.pl

Koła Naukowego GEOWIERT

Dzień Matki w Teatrze Letnim

Artykuł w wersji PDF - Pro-Test

generuj pdf