К вопросу о формализации антропометрических параметров эргатических моделей безопасности Текст научной статьи по специальности «Компьютерные и информационные науки»

О.М. Булгаков,

доктор технических наук, доцент

С.Б. Ахлюстин

К ВОПРОСУ О ФОРМАЛИЗАЦИИ АНТРОПОМЕТРИЧЕСКИХ ПАРАМЕТРОВ ЭРГАТИЧЕСКИХ МОДЕЛЕЙ БЕЗОПАСНОСТИ

ABOUT THE FORMALISATION OF ANTROPOMETRIC PARAMETERS OF ERGATIC SECURITY MODELS

Проанализированы основные проблемы моделирования надёжности эргатиче-ских систем безопасности. Рассмотрены некоторые подходы к формализации влияния человеческого фактора на надёжность таких систем. Показано, что оценки надёжности эргатических систем могут быть получены на основе анализа эквивалентных последовательно-параллельных схем надёжности. Предложены способы упрощения многофакторных моделей надёжности систем безопасности.

Principal problems of ergatic security systems reliability modeling are analyzed. Some approaches to formalization of a human factor influence on reliability of such systems are considered. It is shown that reliability evaluations of ergatic systems can be obtained on the basis of equivalent series-parallel reliability schemes analysis. Methods of simplification of multifactor models of security systems reliability are suggested.

Учёт человеческого фактора при анализе надёжности систем безопасности сопряжён с рядом проблем моделирования надёжности эрратических подсистем, среди которых следует выделить:

1) необходимость сочетания детерминированных и стохастических подходов к описанию характеристик человека как элемента системы безопасности. Так, мгновенное значение количественной характеристики готовности человека к выполнению той или иной операции является случайной величиной, во-первых, по своей природе, во-вторых, статистическое описание такой характеристики во многих случаях предпочтительнее ввиду сложности построения детерминированных моделей;

2) многофакторность описания эргатических подсистем со сложной, подчас неявной или сложно формализуемой зависимостью отдельных характеристик от внешних условий и друг от друга, что требует как учёта большого количества вторичных факторов, так и построения сложных для дальнейшего анализа математических моделей, учитывающих взаимное влияние параметров, которыми оперирует модель эргатиче-ской подсистемы. Например, надёжность работы оператора определяется, в том числе, состоянием его здоровья (первичного фактора) — функции многих переменных, каждая из которых зависит от таких вторичных факторов, как погода, перенесённые заболевания, наследственные предрасположенности, качество и образ жизни и др., которые, в свою очередь, могут описываться большим количеством параметров. Успешное выполнение некоторого количества операций за определённое время повышает статистические показатели надёжности системы. С другой стороны, это одновременно приводит и к усталости оператора, и к улучшению его эмоционального состояния, и повышает его квалификацию за счёт приобретённого опыта. Как это в данный момент времени сказывается на вероятности отказа эргатического сегмента системы, предсказать прак-

тически невозможно. Однако и игнорировать разную степень деятельности оператора на текущий момент его дежурства также представляется некорректным;

3) неоднозначность влияния и учёта влияния отдельных воздействий на показатели надёжности эргатических подсистем. Так, например, длительный отдых временно повышает устойчивость оператора к утомляемости, но, с другой стороны, также на какое-то время ухудшает его функциональные характеристики. Негативный опыт оператора (ранее совершённые ошибки) должен объективно учитываться как фактор, снижающий надёжность эргатической подсистемы, хотя бы в статистическом смысле. В то же время, именно опыт собственных ошибок зачастую является залогом надёжной работы оператора в дальнейшем;

4) необходимость учёта временной зависимости характеристик надёжности эргатических подсистем как по относительной шкале (время от начала дежурства оператора), так и по абсолютной (время суток). Кроме того, неизбежно разный уровень интегральных показателей готовности (в простейшем приближении — квалификация плюс состояние здоровья) смен или отдельных операторов диктует необходимость введения дополнительной «посменной» временной шкалы;

5) практическая невозможность корректного моделирования таких воздействий на эргатическую подсистему, как конфликт интересов, халатность или преступные намерения персонала, в особенности — имеющих ограниченный во времени характер.

Наиболее адекватным инструментом анализа надёжности эргатических систем безопасности является составление эквивалентных последовательно-параллельных схем надёжности с последующим расчётом таких характеристик, как вероятность безотказной работы (вероятность отказа ), коэффициент готовности или среднее время наработки на отказ.

Необходимым условием построения таких схем является формализация человеческой компоненты подсистемы с выделением характеристик, подвергающихся воздействию факторов, способных вызвать частичный или полный отказ подсистемы.

Так, на наш взгляд, уместна классификация по возможности влияния на надёжность системы в режиме реального времени. Введём параметр tH — время эффективного злонамеренного воздействия нарушителя на систему (проникновения на охраняемую территорию, «взлома» программного обеспечения системы контроля доступа и т.п.). В случае пресечения попытки нарушения

ТН = ТО + tP + tM , (1)

где to — время обнаружения — временной интервал от момента начала непосредственного воздействия на систему t0 до обнаружения системой нарушителя; tp — время реакции системы, в течение которого принимается решение о введении в действие дополнительного рубежа контроля доступа, блокировании помещений, в которые проник или пытается проникнуть нарушитель, выдвижении группы быстрого реагирования для задержания нарушителя и т.п.; tM — время действия ответных мер от момента принятия решения до поступления сигнала о пресечении попытки нарушения целостности системы.

Для приведения системы безопасности в исходное состояние требуется некоторое время восстановления tB, при этом полное время отработки системой сигнала тревоги

tn = tH +tB. (2)

Для каждого сотрудника системы безопасности можно ввести два временных параметра : tpc — время работы по предотвращению (пресечению) попыток злонамеренного воздействия на систему и t0c — момент начала такой работы. Очевидно, на ос-

нове сопоставления значений t0, tH и toc, tpc весь персонал системы безопасности можно разделить на четыре группы :

1) оперативного реагирования: t0c > t0; tpc £tH;

2) обеспечения: t0c < t0; tpc >tH;

3) восстановления: t0c > t0 + tH; tpc = t

4) анализа и управления: t0c < t0; tpc >>tH + tB.

К первой группе относятся дежурные пульта централизованного наблюдения (ПЦН), группа быстрого реагирования, патрульные, т.е. те сотрудники, которые непосредственно участвуют в пресечении попытки нарушения. Во вторую группу входят электромонтёры, инженеры, программисты, т.е. технический персонал, обеспечивающий работоспособность системы и её реакцию на попытку проникновения нарушителя, а также менеджеры низшего уровня, осуществляющие оперативное планирование и руководство работой дежурных смен. Третью группу составляют сотрудники, приводящие систему в исходное рабочее состояние после предотвращения попытки несанкционированного доступа. В неё могут входить полностью или частично сотрудники первых двух групп, а также специалисты по восстановлению выведенных из строя рубежей системы безопасности и устранению последствий атаки системы. К четвёртой группе относятся менеджеры высшего звена и специалисты, занимающиеся анализом, в том числе статистическим, попыток злонамеренного воздействия на системы безопасности данного класса или данной принадлежности.

Сопоставление временных характеристик персонала и их детализация, вплоть до представления непрерывными математическими функциями, по нашему мнению, призваны обеспечить корректность динамических моделей надёжности систем безопасности, в том числе при множественных динамических воздействиях.

Как эквивалентные схемы надёжности, так и графы состояний сложных систем оперируют вероятностными характеристиками образующих их элементов или переходов. Это позволяет учесть степень влияния отдельных категорий сотрудников на надёжность системы безопасности и её отдельных подсистем.

По нашему мнению, уместно следующее ранжирование персонала по ролевой значимости в системе безопасности и влиянию на её надёжность (по мере убывания вероятности воздействия на систему в целом), в частности на основе экспертных оценок:

- системный менеджер (I);

- менеджер (II);

- оператор (III);

- инженер, электромонтёр, системный администратор (программист), сетевой администратор, специалист по техническому обслуживанию (IV);

- охранник, боец группы быстрого реагирования (V).

С другой стороны, по степени влияния на надёжность отдельных, в том числе эргатических, подсистем системы безопасности, те же категории сотрудников следует ранжировать по-другому:

- III (оператор);

- V (охранник, боец группы быстрого реагирования);

- II (менеджер);

- IV (инженер, электромонтёр, системный администратор (программист), сетевой администратор, специалист по техническому обслуживанию);

- I (системный менеджер).

В связи с этим следует разделить эр гатические подсистемы на три группы :

- с непосредственным контактом — подразумевающие постоянное взаимодействие сотрудника и технического сегмента подсистемы, например «оператор — видеомо-

нитор — видеокамеры» или «дежурный ПЦН — система передачи извещений — объектовое оборудование»;

- с опосредованным контактом — в них взаимодействие сотрудника и технических средств безопасности не требует непрерывного контакта, осуществляется не в реальном времени или посредством удалённого доступа, например, в ходе настройки специализированного программного обеспечения или датчиков охранной сигнализации, обучения систем аутентификации и др.;

- смешанного типа — сочетающие признаки обоих приведённых выше подсистем.

Значения вероятности воздействия на эргатическую подсистему той или иной категории персонала или соответствующие весовые коэффициенты определяются для каждой конкретной подсистемы.

Ранжирование на основе мнений экспертов категорий персонала по возможности (вероятности) сокрытия следов своего воздействия на систему безопасности: I, IV, II, V, III, по степени доступа к информации по организационному и техническому обеспечению работы системы безопасности и возможности скрытой её передачи: IV, I, II, III, V, наряду с приведёнными выше распределениями данных категорий, позволяет выявить наиболее вероятные риски в функционировании систем безопасности, обусловленные человеческим фактором. Обобщённая характеристика потенциальных угроз работоспособности системы со стороны персонала может находиться как произведение численных значений экспертных оценок по отдельным признакам, их суммированием с весовыми коэффициентами, определяющими значимость отдельных признаков, и др. Следствием результатов такого анализа должны стать организационные и технические мероприятия, направленные на повышение надёжности системы. Формализация мероприятий заключается в снижении количественных значений потенциальных угроз системе безопасности со стороны отдельных категорий персонала, уменьшении весовых коэффициентов в соответствующих суммах и т.п.

Так же, на наш взгляд, следует классифицировать персонал в эргатических системах с непосредственным контактом и смешанного типа по степени воздействия факторов, вызывающих физическое и психическое утомление.

Для этого можно использовать вероятность отказа ,-го элемента 1-й подсистемы по некоторому к- му антропогенному параметру рку [4]:

- 0,693 &

Здесь у, — параметр, определяемый механизмами и статистикой отказов;

0,693= - 1п(0,5) — нормировочный коэффициент, обеспечивающий значение Рку = 0,5 при достижении параметром рку критического значения ркр к (рисунок).

0,5 1,0 1,5 2,0 2,5 3,0 3,5 4,0 4,5 р/ркр

Графики вероятностей отказов по параметру р:

1 — у = 1; 2 — у = 2; 3 — у = 4; 4 — у = 6

С учётом уменьшения с течением времени устойчивости к воздействию неблагоприятных факторов [4]

Рк, (рп-у,-;*)--

ехр - 0,693 • ркр ку (х) у,

^ Рку

где

ркр ку

(3а)

(4)

х — время работы с начала смены; ркр к,(0) — начальные критические значения.

Характеристики Л(рк, ) и Z(рк, ), определяющие вид кривой временных отказов, в общем случае зависят от средних или интегральных значений р,. Они определяются данными диагностики (тестирования персонала), статистикой отказов подсистем и особенностями моделей индивидуальных реакций на неблагоприятные факторы.

Рассмотренная модель позволяет относительно просто анализировать многофакторные воздействия на подсистемы [4]. При этом, если действующие факторы и механизмы реакции на них независимы, вероятность отказа

м

Р,=1 -П(1 - рк, )■

(5)

к=1

Если действующие факторы и механизмы реакции на них взаимосвязаны, следует выделить механизм отказа, который, как и критическое значение, в этом случае зависит только от индекса ] и определяется или единственным параметром (например, физическая готовность), или группой взаимосвязанных параметров (например, физическая готовность, функциональная готовность, состояние здоровья — в данном случае определяющий параметр). Это позволяет свести выражение (5) к виду (3) или (3а):

ехр

(Р Л у,"

- 0,693 • Р кр к,

к

(3б)

Вероятность отказа 1-й подсистемы при условии пренебрежимо малой вероятности отказа технической компоненты

р=1 -П (1 -р,)- (б)

,=1

и всей системы безопасности из N подсистем в целом

N N I

р=1 -П1 - р)=1 -ПП(1 -— (7)

ч=1 ч=1 ,=1

Аналогичным образом может быть построена необходимая для оценок надёжности системы безопасности в чрезвычайных ситуациях модель динамических отказов эргатических подсистем с предварительным ранжированием категорий персонала по степени подверженности динамическим нагрузкам, в том числе — при действии нескольких факторов с разными начальными моментами включения. В целях упрощения анализа можно полагать, что каждая подсистема, согласно установленному разграничению ответственности, реагирует на «своё» воздействие в условиях помех функционированию, создаваемых другими динамическими воздействиями. При этом повышение надёжности системы обеспечивается за счёт частичного или полного взаимного дублирования подсистемами функций с заранее прогнозируемыми потерями в значениях характеристик функциональной эффективности и надёжности.

ЛИТЕРАТУРА

1. Организация взаимодействия человека с техническими средствами АСУ: учеб. пособие: в 7 кн. / под ред. В. Н. Четверикова. — М.: Высш. шк., 1990—1991.

2. Падерно П.И. Автоматизация эргономических исследований и разработок ин-формационно-управляющих человеко-машинных систем: дис. ... д-ра техн. наук / П.И. Падерно. — СПб., 1998. — 347 с.

3. Савченко В.В. Методы и средства повышения эффективности функционирования операторов эргатических систем: дис. ... канд. техн. наук / В.В. Савченко. — Минск, 1991. — 153с.

4. Булгаков О.М., Никитина Ю.С., Петров С.А. Декомпозиционная модель катастрофического отказа мощного ВЧ (СВЧ) транзистора // Вестник Воронежского института МВД России. — 2007. — №4. — С. 116—119.