Надежность систем «человек-машина»

В работе информационных систем возможны сбои, отказы, другие ситуации, приводящие к невыполнению системой ее функций. Менеджеру в таких условиях следует опираться на адекватные модели, или описания, происходящего.

Для упрощения описания ситуаций и повышения наглядности получаемых результатов обычно принимаются следующие допущения:

1) появление отказа технологической части системы и возникновение ошибки оператора являются взаимно независимыми редкими случайными событиями, т.е. появление двух и более одноименных событий за период времени (t, t + ∆ t) работы системы практически невозможно;

2) способность оператора работать без ошибок и возможность компенсации им возникших за период времени (t, t + ∆t) ошибок являются взаимно независимыми его свойствами.

Ниже приводятся типовые ситуации анализа надежности систем. В качестве характеристики надежности при этом используется вероятность безотказной работы. Как известно, на ее основе с помощью известных преобразований могут быть получены и все другие стандартные характеристики.

Первый вариант − системы с некомпенсируемыми ошибками оператора и неустранимыми отказами технологической части. Надежность таких систем, естественно, является минимальной. Она может повышаться как за счет роста потенциальной надежности технологической части системы, так и за счет повышения надежности работы оператора как компонента системы (эти мероприятия здесь не рассматриваются).

Человеко-машинная система исправна в какой-то момент или на интервале времени, если оператор не допустил ошибки и при этом исправна технологическая часть системы. Тогда вероятность p ₁ (t ₁, ∆t) безотказной работы человеко-машинной системы на интервале времени ∆t от момента t ₁, до момента t ₂= t ₁ + ∆t с учетом принятых допущений определяется выражением

p ₁ (t ₁ ,∆t) = p _t(t ₁ ,∆t)p ₀ (∆t),

где:

- p _t(t ₁ ,∆t) - вероятность безотказной работы технологической части системы в течение интервала времени (t ₁, t ₁ + ∆t);

- p₀(∆t) - вероятность безошибочной работы оператора (или операторов) на интервале времени ∆t, которая определяется при условии, что при этом технологическая часть системы работала безотказно;

- t ₁ - полное время, прошедшее от начала использования системы до начала рассматриваемого интервала ∆t, который, в свою очередь, может характеризовать, например, рабочую смену в комплексной системе, сеанс связи, время выполнения того или иного приложения в системе и т.п.

Здесь оба сомножителя - невозрастающие функции. Однако первый сомножитель p _t(t ₁ ,∆t) уже в начальный момент t ₁, может быть меньше единицы, поскольку он отражает ресурс надежности системы, оставшийся у нее к этому моменту вследствие износа. Сомножитель p ₀ (∆t) тоже убывает со временем, но его начальное значение равно единице, поскольку обычно оператор приступает к работе, находясь в функционально работоспособном состоянии. Убывание функции p ₀ (∆t) отражает снижение работоспособности оператора со временем, обусловленное его утомлением, воздействием посторонних факторов, увеличением в процессе работы объема информации, подлежащей обработке для принятия решения, и тому подобными причинами.

Второй вариант − системы с возможностью частичной компенсации ошибок оператора: оператор, допустивший ошибку в работе и вовремя заметивший ее появление, тут же ее исправляет. Во многих случаях создатели системы такую возможность обеспечивают, по крайней мере, для некоторых ошибок и для типовых условий их возникновения. В этих условиях можно принять, что такие ошибки оператора устраняются им мгновенно.

Если возникающие отказы технологической части системы при этом не устраняются, то система в целом исправна тогда, когда не возникло отказа в технологической части и оператор или не совершил ошибочных действий, или допустил ошибку (ошибки), но тут же заметил ее (их) и мгновенно устранил. Тогда для определения вероятности безотказной работы всей системы справедлива следующая формула:

p ₂(t ₁, ∆ t) = p _T(t ₁, ∆ t){ p ₀ (∆t) + [1 - p ₀ (∆t) ]ρ}

 

где:

ρ - вероятность устранения ошибки, допущенной оператором;

- 1 - p₀(∆t) - вероятность ошибки оператора;

- [1 - p ₀ (∆t) ]ρ-вероятность совмещения ошибки оператора и факта ее мгновенного устранения, т.е. приращение вероятности безошибочной (или безотказной) работы оператора в течение рассматриваемого интервала времени.

Из сопоставления формул видно, что p ₂ (t ₁, ∆ t) >> p ₁ (t ₁,∆ t), хотя возможно и p ₂ (t ₁, ∆ t) → p ₁ (t ₁,∆ t), когда ρ → 0. Это бывает при снижении возможностей оператора устранить допущенную им ошибку по всем составляющим этого процесса: выявление, идентификация, устранение, каждая из которых характеризует определенные грани квалификации оператора. Как видно, обеспечивая для оператора квалификационную, структурную и технологическую возможность так называемого быстрого отката, позволяющего ему просто и быстро отказаться от замеченных ошибочных действий, создатели ИС могут ощутимо повысить ее надежность.

Третий вариант − системы с возможностью компенсации отказов технологической части системы при невозможности устранения ошибок оператора: в сложных, т.е. многоэлементных и имеющих разнообразные и множественные внутренние и внешние связи, системах обычно предусматриваются специальные возможности для автоматического устранения, по крайней мере, некоторых из возможных отказов. Так в системах обеспечивается свойство отказобезопасности, когда какое-то определенное число отказов не приводит к нарушению работоспособности системы как таковой. Контроль запаса надежности позволяет подкреплять надежность таких систем во время их исправной работы даже дистанционно, не ожидая глобального их отказа.

В условиях рассматриваемой задачи общей оценки надежности человеко-машинных систем все эти средства формируют величину p _T(t ₁, ∆ t).

Кроме указанных возможностей, заложенных в технологической части системы, определенные возможности и функции оператора могут использоваться не только при управлении системой, но также и в сфере устранения ошибок или отказов технологической части системы. По-видимому, в ряде ситуаций, заметив отклонения в работе каких-либо технологических комплексов, человек-оператор может определить причины возникновения этих отклонений и подать управляющие воздействия в целях компенсации нештатных явлений или просто устранить возникший отказ. Так, обнаружив, что какая-то часть технологического комплекса системы начинает проявлять тенденцию к выходу из нормального режима работы, оператор может вывести ее из состава системы, ввести замену из резерва и таким образом сохранить работоспособность системы в целом. Однако очевидно, что оператор может компенсировать только некоторые неисправности и при условии, что он их заметил, идентифицировал и в состоянии компенсировать.

С позиций оператора отказ проявляется в системе в виде выхода на недопустимое значение некоторого контролируемого параметра, который может быть векторным, комплексным или составным; изменение его во времени будет случайным процессом η(τ), свойства которого и определяют алгоритмы компенсации оператором последствий отказа. Вмешательство оператора в целях компенсации проявления отказа можно представить тоже в виде некоторого случайного процесса η_К(τ). Если для обработки ситуации и выявления отказа оператору требуется время τ_К, то изменение параметра после вмешательства оператора будет описываться случайным процессом

∆η(τ) = η_Т(τ) - η_Т (τ - τ_К).

Для каждой системы ее исправное состояние соответствует пребыванию отклонения определяющего параметра ∆η(τ) в заданной области D, т.е. ∆η(τ) ε D. Поскольку значение τ_К в каждой ситуации зависит от варианта комбинации состояний элементов и свойств оператора в части определения отказа, оно является случайным и может быть, в частности, недопустимо большим при эксплуатации системы. В связи с этим оператор в состоянии компенсировать только некоторые отказы в приемлемое время.

Описать приращение вероятности безотказной работы технологической части системы можно в виде условной вероятности р _у(t ₁,∆ t,δ) безотказной работы этой части системы в течение интервала (t ₁, t ₁ + ∆ t), определяемой при условии, что в некоторый момент δ, где t ₁ < δ < t ₁+∆ t, в ней произошел отказ, который обнаружен, идентифицирован и компенсирован оператором.

Тогда для расчета вероятности безотказной работы системы в таких условиях p ₃(t ₁, ∆ t) можно использовать следующую формулу:

p ₃(t ₁, ∆ t) = p ₀ (∆t) [ p _T(t ₁, ∆ t) + р _у(t ₁,∆ t,δ)]

где сохранены и все ранее введенные обозначения.

Обычно p ₃(t ₁, ∆ t) > p ₁ (t ₁,∆ t), хотя возможно и p ₃(t ₁, ∆ t)→ p ₁ (t ₁,∆ t), когда р _у(t ₁,∆ t,δ) → 0, что бывает при снижении возможностей оператора по всем их составляющим (выявление, идентификация, устранение) при компенсации отказов технологической части ИС.

Четвертый вариант − система с коррекцией ошибок оператора и компенсацией отказов технологической части. Тогда можно записать следующее выражение:

 

p ₄(t ₁, ∆ t) = { p ₀ (∆t) + [1- p ₀ (∆t) ]ρ}[ p _T(t ₁, ∆ t) + р _у(t ₁,∆ t,δ)]

 

где сохранены все обозначения. С учетом соотношений можно представить в виде следующего равенства:

p ₄(t ₁, ∆ t)= p ₂(t ₁, ∆ t) + р _у(t ₁,∆ t,δ) { p ₀ (∆t) + [1 - p ₀ (∆t) ] ρ } =

= p ₃(t ₁, ∆ t)+ρ[l- p ₀ (∆t) ][ p _T(t ₁, ∆ t)+ р _у(t ₁,∆ t,δ)] =

= p ₁(t ₁, ∆ t) + р _у(t ₁,∆ t,δ) p ₀ (∆t) +

+ρ[l- p ₀ (∆t) ] p _T(t ₁, ∆ t) + р _у(t ₁,∆ t,δ) [l- p ₀ (∆t) ].

Сопоставление выражений показывает, что обычно p ₄(t ₁, ∆ t) > p ₂(t ₁, ∆ t), хотя возможно и p ₄(t ₁, ∆ t)→ p ₂(t ₁, ∆ t), когда р _у(t ₁,∆ t,δ) → 0. Аналогично сопоставление выражений (6.8) и (6.9) дает, что p ₄(t ₁, ∆ t) > p ₃(t ₁, ∆ t), хотя при ρ → 0 p ₄(t ₁, ∆ t) → p ₄(t ₁, ∆ t). Очевидно, возможно и p ₄(t ₁, ∆ t) → p ₁(t ₁, ∆ t), когда р _у(t ₁,∆ t,δ) → 0 и ρ → 0, что также справедливо при определенных условиях.

Здесь можно отметить, что в приведенных выражениях члены p ₀ (∆t) и p _T(t ₁, ∆ t)отражают характеристики надежности основных элементов системы и являются базовыми: на них строятся оценки достигнутого уровня надежности и соответственно - качества системы. Поэтому именно они характеризуют основной порядок значений вероятности и должны быть как можно ближе к единице. Величины ρ и р _у(t ₁,∆ t,δ) характеризуют факторы, которые позволяют повысить надежность за счет использования специфических свойств оператора как элемента системы в части его активного воздействия на технологические элементы комплекса человеко-машинной системы. Представленные и аналогичные модели могут обеспечить повышение качества управления в текущих условиях и сформировать стратегические концепции для ИС по ее основным показателям.