Ващенко Г.В., Добронец Б.С. Надежность информационных систем

Подождите немного. Документ загружается.

Надежность информационных систем 221

Очевидно, что следует различать способности человека действовать ка-

чественно, безотказно, эффективно и оптимально. Рассмотрим некоторые из

определений этих понятий.

Одной из первых отечественных фундаментальных работ по проблеме

надежности оператора является статья В.Д. Небылицына (1964). В ней ав-

тор определяет надежность работы человека-оператора как способность к

сохранению требуемых рабочих качеств в условиях возможного усложнения

обстановки, или, короче, как “сохраняемость”, устойчивость оптимальных ра-

бочих параметров индивида. Фактически, в этом определении свойство на-

дежности отождествляется с гомеостазом, т.е — нечувствительностью состо-

яния системы к внешним возмущающим воздействиям.

Два года спустя Небылицын уточняет это определение, вводя понятие

оперативной надежности человека, базирующееся на основных свойствах

нервной системы и выражающееся в способности индивида к устойчивому

сохранению оптимальных рабочих параметров (работоспособности, помехо-

устойчивости и др.) в течение заданных промежутков времени и при воз-

можных усложнениях обстановки.

Позже свойство надежности человека было разделено на базовую на-

дежность и прагматическую. Если базовая надежность рассматривается как

потенциальная способность организма человека к надежной работе, то в усло-

виях реальной деятельности проявляется прагматическая надежность, ко-

торая выражается вероятностью выполнения оператором требуемого алго-

ритма действий, либо принятия оптимального (или хотя бы приемлемого)

решения.

Однако более точно понятие прагматической надежности было введено

А.И. Губинским (1971) и определено как способность (свойство) в принципе

(независимо от качества) достигать поставленной цели.

Толкование надежности как способности достигать цель положено в ос-

нову известных определений, сформулированных в классических работах 60-

х гг.:

Б.Ф. Ломовым: Надежность работы человека определяется как вероят-

ность того, что работа или поставленная задача будет выполнена успешно

персоналом на любой заданной стадии работы системы в течение заданного

времени;

Д. Мейстером: Надежность человека — это вероятность, что работа или

задача будет успешно выполнена персоналом на любом требуемом уровне

работы системы в течение требуемого промежутка времени;

А. Суэйном и X. Гутманом: Надежность человека — это вероятность

того, что оператор правильно выполнит некоторые обусловленные системой

222 Влияние человека-оператора...

действия за определенный период времени (если время — ограничивающий

фактор) и не произведет никаких посторонних действий, способных нанести

ущерб системе.

Наряду с прагматической трактовкой, на сегодняшний день весьма рас-

пространенным является понимание надежности как процессуального свой-

ства, т.е. как способности человека безотказно работать. Такое понимание

характерно для классической теории надежности технических систем. Имен-

но такое определение дается и “эргономическим” ГОСТом [9], в котором под

надежностью человека-оператора понимается свойство человека-оператора,

характеризующее его способность безотказно выполнять деятельность в те-

чение определенного интервала времени при заданных условиях.

Подобным же образом А.И. Губинский в [26] определяет понятие надеж-

ности функционирования как способность сохранять устойчивость заплани-

рованного процесса функционирования, заключающуюся в отсутствии вы-

нужденных прекращений процесса (срывов) и неправильного его исполнения

по отношению к запланированному (ошибочных действий).

В приведенных определениях явно читаются два подхода к интерпрета-

ции надежности оператора:

процессуальный, когда под надежностью понимается некоторое свойство,

проявляемое человеком в процессе деятельности, и не указывается, какой

результат был в итоге достигнут;

результативный (прагматический), когда под надежностью понимает-

ся свойство человека достигать результат, независимо от того, как склады-

вался процесс деятельности.

В процессуальном смысле надежность понимается как способность чело-

века сохранять требуемые рабочие качества и устойчивость оптимальных ра-

бочих параметров (работоспособности, помехоустойчивости), безотказно вы-

полнять деятельность, сохранять устойчивость запланированного процесса

функционирования, заключающуюся в отсутствии срывов и ошибочных дей-

ствий.

С прагматической точки зрения надежность рассматривается как спо-

собность человека достичь поставленную цель, успешно выполнить работу

(задание) или поставленную задачу, выполнить в полном объеме возложен-

ные функции и некоторые обусловленные системой действия, принять опти-

мальное (или хотя бы приемлемое) решение, не нанести ущерба системе.

Важнейшим обстоятельством, характеризующим надежность, являют-

ся условия, в которых протекает деятельность оператора. Одно дело, когда

надежным называют оператора, не ошибающегося в обычной спокойной об-

становке, другое — когда он справился с задачей в экстремальной ситуа-

Надежность информационных систем 223

ции. Именно это подчеркивается в ряде определений, отмечающих, что на-

дежность как свойство человека проявляется на любом требуемом уровне

функционирования системы, при определенных условиях работы и при воз-

можном усложнении обстановки. Другим важным обстоятельством, присут-

ствующим в большинстве определений, является время, выступающее в двух

ролях — как ограничивающий фактор (выполнение задания должно завер-

шиться своевременно — такое требование к надежной работе присутствует в

“прагматических” определениях) и как условие (устойчивость работы должна

сохраняться в течение заданного времени — такова надежность в “процессу-

альных” определениях).

Рассмотрим наряду с надежностью еще и эффективность и качество

функционирования. Вот их определения.

Эффективность — свойство достигать конечной цели (т.е. получать про-

дукт труда с заданным качеством в заданных условиях) и обусловленные

достижением цели результаты или эффект от них. В зависимости от задач

исследования СЧМ предлагается различать несколько градаций эффектив-

ности:

• прагматическую эффективность (результативность) — степень дости-

жения поставленной цели;

• специфическую (техническую, военную и т.д.) эффективность — опре-

деленный эффект, получаемый благодаря достижению цели системой;

• экономическую эффективность — достижение определенного соотно-

шения “материальный доход — материальные затраты”;

• социальную эффективность — достижение определенного соотноше-

ния “социальные результаты — социальный ущерб”.

Качество функционирования — совокупное свойство, определяемое ха-

рактеристиками процесса функционирования, ведущего к достижению конеч-

ной цели в заданных условиях.

Иными словами, надежность и качество функционирования — это про-

цессуальные свойства, отражающие тот факт, что оператор действовал безот-

казно (надежно, бесперебойно) и хорошо (качественно, оптимально), а эффек-

тивность — это результирующее свойство, свидетельствующее, что оператор

достиг цели и работал не зря (эффективно).

Количественная оценка указанных свойств выполняется с помощью по-

казателей эффективности, качества и надежности. Для СЧМ в целом основ-

ными показателями эффективности и надежности считаются:

• вероятность достижения поставленной цели в виде однократного (мно-

гократного) получения запланированного результата;

• вероятность безотказного, безошибочного и своевременного выполне-

224 Влияние человека-оператора...

ния задачи системой.

Надежность оператора характеризуется показателями:

• безотказности — вероятность безотказной работы в течение опреде-

ленного отрезка времени, процент выполненных (не сорванных отказами) за-

даний, вероятность появления отказа в результате совершения ошибки, ин-

тенсивность и частота отказов в заданный момент времени, среднее время

работы до первого отказа, среднее время работы между двумя отказами (на-

работка на отказ), общее число отказов за данный промежуток времени;

• безошибочности — вероятность безошибочной работы в течение опре-

деленного отрезка времени, общее число ошибок за данный промежуток вре-

мени, вероятность ошибки как отношение количества совершенных ошибок

к числу возможных ошибок;

• своевременности — вероятность своевременного выполнения работы,

т.е. фактическое время выполнения функции меньше предельно допустимого

(оценка своевременности опирается на оценку быстродействия, показателем

которого является время решения задачи или выполнения функции);

• готовности — коэффициент готовности оператора (вероятность вклю-

чения оператора в работу в нужный момент времени);

• восстанавливаемости — вероятность исправления допущенной ошиб-

ки, среднее время восстановления.

Для оценивания показателей надежности применяется широкая номен-

клатура методов — от вероятностных, использующих деревья событий, до

экспертных, основанных на эвристических суждениях. Кроме того, авторами

ряда работ (в основном зарубежных) были предложены эмпирические кри-

вые, позволяющие судить о характере зависимости надежности от внешних

факторов, влияющих на операторскую деятельность, а именно:

• зависимость вероятности совершения ошибки от времени, отпущенного

на решение задачи;

• зависимость вероятности совершения ошибки от типа поведения, на

котором решается задача;

• зависимость надежности (в относительных единицах) от коэффициента

загруженности оператора (коэффициент загрузки — отношение суммарного

времени активной работы к общей продолжительности смены);

•зависимость надежности (в относительных единицах) от степени неожи-

данности задачи для оператора (предложены четыре градации неожиданно-

сти задач: 1 — постоянно ожидаемые (нормальное функционирование); 2 —

ожидаемые (проектные исходные события); 3 — наименее ожидаемые (непро-

ектные исходные события); 4 — полностью неожиданные (редкие, уникальные

аварии)).

Надежность информационных систем 225

12.3. Понятие отказа оператора

Очевидно, что смысл, вкладываемый в понятие надежности, напрямую

зависит от того, что мы понимаем под отказом человека (иначе говоря, в

чем состоит событие, наступления которого не должен допустить надежный

оператор). Определения человеческого отказа многочисленны и, порой, раз-

норечивы. Рассмотрим их.

Одно из первых определений отказа, близкое по смыслу к аналогичному

понятию в технике, было сформулировано следующим образом:

— в узком смысле отказом нужно считать прекращение работы вслед-

ствие развития органического или функционального, обратимого или необ-

ратимого процесса в сенсорной, моторной или церебральной сферах субъекта

(сон, потеря сознания, “черная пелена”, психические расстройства, неперено-

симое болевое ощущение, смерть);

— в широком смысле отказ — действие, которое ведет к ухудшению эф-

фективности рабочего процесса.

Обратим внимание, что в этом определении появляются сразу две трак-

товки отказа — потеря человеком работоспособности и ухудшение работы

системы. Позже обе эти трактовки легли в основу других определений:

— отказ следует рассматривать как полную или частичную потерю ра-

ботоспособности, в результате которой человек перестает удовлетворять хотя

бы одному из требований, установленных для данного вида деятельности;

— если оператор допустил выход системы из нормального режима в зону

ненормальной работы, принято считать, что произошел отказ оператора.

Опираясь на такое понимание отказа, была сформулирована концепция

ошибки как особого вида кратковременного отказа, не связанного с потерей

работоспособности и/или ухудшением работы системы:

отказ человека квалифицируется как событие, проявляющееся в дей-

ствии (или бездействии) оператора, влекущем за собой отклонение выходных

параметров системы за установленные ограничения, которые он не предот-

вратил, или как событие, проявившееся в выходе за допустимые пределы

характеристик жизнедеятельности оператора. Ошибками оператора будем

называть все его неправильные действия, которые не влекли за собой отказ

системы, а если и влекли, то были своевременно исправлены или парированы

самим же оператором.

Приведем наиболее развернутое определение, классифицирующее отка-

зы человека-оператора и ошибку как вид отказа:

отказ эргатического элемента — событие, заключающееся в потере

работоспособности (структурный или S-отказ) или неправильном функ-

ционировании при условии сохранения работоспособности (функциональный

226 Влияние человека-оператора...

или F-отказ, ошибка). Различаются временные и окончательные структур-

ные отказы. Временные отказы (отказы дееспособности) — психофизиологи-

ческий отказ 1-го рода (утомление); психофизиологический отказ 2-го рода

(заболевание, травма); временный эргатический отказ (выключение освеще-

ния, задымленность, стресс и др.); временный мотивационный отказ (страх,

нежелание). Окончательные отказы (отказы работоспособности) — оконча-

тельный отказ трудоспособности (потеря трудоспособности); окончательный

биологический отказ (смерть); окончательный мотивационный отказ.

К другим определениям, в которых ошибка рассматривается как разно-

видность отказа, относятся:

— отказ человека-оператора — невыполнение человеком оператором пред-

писанных действий или снижение качества их выполнения за пределы, необ-

ходимые для достижения цели деятельности. Ошибка человека-оператора —

вид отказа человека-оператора, не связанный с прекращением деятельности;

— ошибка — кратковременный отказ, причина которого самоустранима.

Характерным для таких отказов является то, что они не связаны с какими-

либо изменениями в организме оператора. При выполнении очередного дей-

ствия отказ такого вида может уже не иметь места;

— ошибка оператора — кратковременный (биологический) отказ.

Рассмотрим определения, опирающиеся на содержательную интерпрета-

цию ошибок (в частности, на новое понятие — ошибочное действие). К ним

относятся:

— ошибка оператора — это любое конкретное действие человека в про-

цессе его деятельности, которое выходит за некоторые допустимые границы,

т.е. превышает допуск, границы которого определены режимами работы си-

стемы;

— неадекватное восприятие информации, неверные решения, неточные

команды или неправильные действия персонала, инициирующие события, ве-

дущие к отклонениям от режима нормальной эксплуатации, определяются

как ошибки человека. Факт неправильного воздействия на процесс эксплуа-

тации определяется как ошибочное действие человека;

— ошибка — результат ошибочного действия. Ошибочное действие —

действие, не достигающее цели;

ошибочное действие — такое, которое не адекватно объективным, соци-

ально заданным целям управления. В то же время оно адекватно субъектив-

ной цели человека и в этом смысле должно рассматриваться как закономер-

ное (В.Ф. Венда);

Опираясь на понятие “норма деятельности”, определим ошибку как крат-

ковременное непроизвольное отклонение от нормы деятельности или одно-

Надежность информационных систем 227

кратное неправильное формирование нормы.

В эргономической практике существуют два взаимодополняющих подхо-

да к проблеме анализа надежности и снижению ошибок персонала. Первый

подход состоит в изучении ошибок, накоплении их статистики, описании и

детальном анализе с целью выявления необходимых изменений в системе,

человеко-машинном интерфейсе, эксплуатационной и нормативной докумен-

тации или в подготовке операторов. Второй подход имеет противоположную

направленность и основан на системном анализе операторской деятельности

с целью выявления и предупреждения возможностей возникновения ошибок.

Глоссарий

Алгоритмическая избыточность — способность обеспечить правильный

результат, несмотря на возможные отдельные ошибки в ходе вычислений.

Аттестация (certiﬁcation) — авторитетное подтверждение правитель-

ности программы. При тестировании с целью аттестации выполняется срав-

нение с некоторым заранее определенным стандартом.

Безотказность — свойство объекта непрерывно сохранять работоспо-

собность в течение некоторого времени или некоторой наработки.

Вероятность безотказной работы P (t)— вероятность того, что в пре-

делах заданной наработки отказ не возникает.

Вероятность отказа Q(t) — вероятность того, что в пределах заданной

наработки отказ объекта возникает.

Восстанавливаемый объект — объект, для которого проведение восста-

новления работоспособного состояния предусмотрено в нормативно-технической

и конструкторской документации.

Гамма-процентный ресурс — время, в течение которого объект не до-

стигает предельного состояния с заданной вероятностью γ процентов.

Гамма-процентный срок сохраняемости — срок сохраняемости, который

будет достигнут объектом с заданной вероятностью γ процентов.

Доказательство (proof) — попытка найти ошибки в программе безотно-

сительно к внешней для программы среде.

Долговечность — свойство объекта сохранять работоспособность до на-

ступления предельного состояния при установленном режиме технического

обслуживания и ремонта.

Достоверность информации — свойство системы выдавать достоверную

информацию при возникновении в ней сбоев.

Живучесть — свойство объекта или системы сохранять работоспособ-

ность (полностью или частично) в условиях неблагоприятных воздействий,

не предусмотренных нормативными условиями эксплуатации.

Избыточность — дополнительные программные и аппаратные средства,

возможности алгоритма для выполнения дополнительных функций, предна-

значенных для повышения надежности ИС.

Интенсивность отказов — условная плотность вероятности возникно-

228

Надежность информационных систем 229

вения отказа невосстанавливаемого объекта, определяемая для рассматрива-

емого момента времени при условии, что до этого момента отказ не возник.

Информационная избыточность — некоторое повторение информации в

той или иной форме, позволяющее восстанавливать исходные данные в случае

каких-либо нарушений в работе системы. Характерным способом введения

избыточности является.

Испытание (validation) — попытка найти ошибки, выполняя программу

в заданной реальной среде.

Качество технического объекта — комплексное свойство, включающее

в себя целую совокупность отдельных свойств.

Контроль (veriﬁcation) — попытка найти ошибки, выполняя программу

в тестовой, или моделируемой, среде.

Конфигурация — совокупность и способ взаимодействия программных и

аппаратных средств системы, направленных на выполнение рабочего зада-

ния.

Коэффициент готовности — вероятность того, что восстанавливаемый

объект окажется работоспособным в произвольный момент времени его ис-

пользования по назначению.

Коэффициент оперативной готовности — вероятность того, что объект,

находясь в режиме ожидания, окажется работоспособным в произвольный

момент времени и, начиная с этого момента, будет работать безотказно в

течение заданного времени.

Коэффициент вынужденного простоя — вероятность того, что объект

окажется неработоспособным в произвольный момент времени в промежут-

ках между плановыми ремонтами.

Коэффициент сохранения эффективности — это отношение показателя

эффективности реального с точки зрения надежности объекта к показателю

эффективности того же объекта при условии его идеальной надежности.

Наработка — время работы объекта до первого отказа.

Надежность — свойство объекта сохранять во времени в установленных

пределах значения всех параметров, характеризующих способность выпол-

нять требуемые функции в заданных режимах и условиях применения, тех-

нического обслуживания, ремонтов, хранения и транспортирования (ГОСТ

27.002-83).

Надежность ИС — свойство системы выполнять возложенные на нее

задачи в определенных условиях эксплуатации.

Обслуживаемый объект — объект, для которого проведение техниче-

ского обслуживания предусмотрено в нормативно-технической и конструк-

торской документации.

230 Испытания на надежность

Отказоустойчивость — свойство системы продолжать выполнение за-

данных функций после возникновения одного или нескольких сбоев или от-

казов отдельных элементов.

Отказ — событие, заключающееся в том, что система полностью или

частично теряет свойство работоспособности.

Отладка (debugging) — установление точной природы известной ошибки,

а затем — на исправление этой ошибки.

Ошибка — проявление сбоя или отказа компонента ИС.

Показатель достоверности — вероятность искажения, либо потери ин-

формации в одном знаке.

Прибор — группа блоков, имеющая конструктивно самостоятельное на-

значение.

Работоспособность — такое состояние объекта, при котором он способен

выполнять заданные функции, удовлетворяя требованиям нормативнотехни-

ческой документации. Работоспособность — это характеристика состояния

объекта в некоторый момент времени.

Резервирование — использование дополнительных средств и возможно-

стей с целью сохранения работоспособности системы при отказе одного или

нескольких ее элементов.

Реконфигурация — изменение состава и способа взаимодействия про-

граммных и аппаратных средств системы с целью исключения отказавших

элементов.

Ремонт — восстановление работоспособности системы с помощью спе-

циалистов.

Ремонтируемый объект — объект, для которого проведение ремонтов

предусмотрено в нормативно-технической и конструкторской документации.

Ремонтопригодность — свойство объекта, заключающееся в приспособ-

ленности его к предупреждению и обнаружению отказов и восстановлению

работоспособности объекта либо путем проведения ремонта, либо путем за-

мены отказавших элементов.

Сбой — кратковременное нарушение работоспособности системы, после

которого работоспособность восстанавливается оператором без проведения

ремонта или самовосстанавливается.

Сохраняемость — свойство объекта сохранять работоспособность в те-

чение и после его хранения и (или) транспортирования.

Средний ресурс — математическое ожидание ресурса.

Средний срок сохраняемости — математическое ожидание срока сохра-

няемости.

Средняя наработка до отказа

t — математическое ожидание наработки