2.1 Definice použitých pojmů – z pohledu Integrální bezpečnosti
Na základě analýzy zdrojů [1-6,8-76] je dále uveden souhrn znalostí a odkazy vztahující se k použitým termínům a k jejich definicím, použitým v předložené disertační práci.
Obsah kapitoly
2.1.1 Aktiva
Aktivem se rozumí fyzická, logická či kybernetická položka, která určuje strukturu a chování sledovaného systému [6]. Výsledky prací [1,4] poskytují seznamy identifikovaných aktiv modelové stanice metra a systému řízení pražského metra (tj. lidi, majetek včetně technologií, energetické informační a materiálové toky), a to především na základě analýz dokumentace metra [1,4,10,11]. Vzhledem k tomu, že se jedná o otevřený systém systémů, je nutné zvažovat mimo technické části, zvažované v [1,4] také další aspekty, tj. například organizační, finanční, funkční, logické vazby, a další. Pro účely dalších analýz a uvažujeme následující skupiny aktiv: konstrukce, technika, personál, místa, funkce, vazby a toky, organizace a ekonomika.
2.1.2 Pohromy
Příčinou rizik jsou pohromy 1poznámka.: jednou z hlavních připomínek oponentů je manipulace s pojmem pohroma ve vztahu k riziku, pojem pohroma v tomto smyslu se používá v oblastech integrální bezpečnosti, bezpečnosti území a krizového řízení (všeho druhu) , tzv. All-Hazard-Approach [12]) a v případě rizik u technologických systémů se jedná také o poruchové stavy v důsledku náhodných či systematických chyb systému [4,13]. Z výše uvedeného je patrné, že vznik jedné extrémní pohromy může vyvolat řetězec dalších pohrom, tj. sekundární dopady, i celou kaskádu dopadů. Sekundární, terciální a další dopady jsou označovány jako nepřímé dopady. Nepřímé dopady extrémních pohrom jsou znázorněny na obrázku 1. Obrázek 1 ukazuje propojení dopadů extrémní pohromy s různými chráněnými aktivy, které vyvolají další dopady na jiná aktiva, tj. nepřímé dopady, které mají tvar kaskád (tj. kaskádový efekt).
Podle velikosti škod a ztrát na veřejných aktivech a pravděpodobnosti výskytu, tj. na základě analýzy a vyhodnocení rizik pomocí metody matice rizik dle [13], lze pohromy v řízení bezpečnosti kategorizovat do tří kategorií:
- Pohromy kritické: mohou vyvolat na sledovaném území nebo jeho části kritickou situaci, při které, podle současné české legislativy, může být vyhlášena krizová situace, a tudíž bude třeba dělat obnovu majetku po krizové situaci. Z pohledu řízení bezpečnosti je třeba dělat preventivní a zmírňující opatření v územním plánování, projektování, výstavbě a provozu občanských a technologických objektů i infrastruktury.
- Pohromy specifické: mohou vyvolat nouzové situace, a proto s nimi musí počítat odezva a připravenost (opatření na zmírnění). Z pohledu řízení bezpečnosti je třeba dělat preventivní opatření v územním plánování, projektování, výstavbě a provozu občanských a technologických objektů i infrastruktury a zmírňující opatření v rámci připravenosti na odezvy.
- Pohromy relevantní: všechny ostatní pohromy, které mohou entitu postihnout a nejsou kritickými ani specifickými. Měly by být zvládnuty běžnými standardními prostředky, tj. prevencí prováděnou v praxi. Z pohledu řízení bezpečnosti dosavadní opatření prováděná v územním plánování, projektování, výstavbě a provozu občanských a technologických objektů i infrastruktury jsou dostatečná, a tudíž je nutná jen pravidelná kontrola jejich účinnosti.
Pro účely předložené disertační práce byly použité následující pohromy, identifikované v práci [4] analýzou archivních dokumentů hl. m. Prahy [15]:
Výsledky procesů probíhající vně i uvnitř Země: povodeň, vichřice, zemětřesení, ztekucení podloží, výstup plynu na zemský povrch.
Výsledky procesů v lidském těle, v chování lidí a procesů v lidské společnosti: epidemie, pandemie, porucha stability lidské společnosti, útok, teroristický útok, útok za použití chemických, jaderných, radiologických a biologických (CBRNE) zbraní, ozbrojený konflikt, válka.
Výsledky procesů a činností instalovaných lidmi: průmyslová havárie, havárie při přepravě či skladování nebezpečných látek, havárie při dopravě, pohroma v oblasti kritické infrastruktury, pohroma v ekonomice, pohroma v územní infrastruktuře, pohroma v kybernetické infrastruktuře, pohroma v infrastruktuře služeb, zásobování a spojení, selhání technologií, ztráty obslužnosti.
Interakce planety Země a životního prostředí na činnosti lidí: porušení stability podloží vlivem vibrací, kontaminace ovzduší, kontaminace vody, rychlé variace klimatu, migrace velkých skupin lidí.
Vnitřní závislosti v lidském systému přirození nebo lidmi vytvoření: organizační havárie, porucha toků surovin a výrobků, porucha v toku energií, porucha v toku informací.
Tabulka 1 obsahuje rozdělení pohrom, které jsou relevantní pro hl. m. Prahu, do kategorií, podrobnosti jsou uvedené v práci [4]. Tj. zvažuje přístup All-Hazard-Approach [12,13] a data [15]; detaily jsou v pracích [12,13,16].
Tabulka 1 Rozložení pohrom – relevantní, specifické, kritické.
Relevantní | Specifické | Kritické | |
Výsledky procesů probíhající vně i uvnitř Země | |||
Povodeň | ano | ano | ano |
Vichřice | ano | ano | |
Zemětřesení | ano | ||
Ztekucení podloží | ano | ano | ano |
Výstup plynu na zemský povrch | ano | ||
Výsledky procesů v lidském těle, v chování lidí a procesů v lidské společnosti | |||
Epidemie | ano | ano | ano |
Pandemie | ano | ano | ano |
Porucha stability lidské společnosti | ano | ano | |
Kriminalita | ano | ano | |
Útok | ano | ano | |
Teroristický útok | ano | ano | ano |
Útok za použití chemických, jaderných, radiologických a biologických (CNRB) zbraní | ano | ano | ano |
Ozbrojený konflikt | ano | ano | ano |
Válka | ano | ano | ano |
Výsledky procesů a činností instalovaných lidmi | |||
Průmyslová havárie | ano | ||
Havárie při přepravě či skladování nebezpečných látek | ano | ||
Havárie při dopravě | ano | ano | ano |
Pohroma v oblasti kritické infrastruktury | ano | ano | |
Pohroma v ekonomice | ano | ||
Pohroma v územní infrastruktuře | ano | ||
Pohroma v kybernetické infrastruktuře | ano | ano | |
Pohroma v infrastruktuře služeb, zásobování a spojení | ano | ||
Selhání technologií | ano | ano | ano |
Ztráty obslužnosti | ano | ||
Interakce planety Země a životního prostředí na činnosti lidí | |||
Porušení stability podloží vlivem vibrací | ano | ano | ano |
Kontaminaci ovzduší | ano | ano | |
Kontaminace vody | ano | ano | |
Rychlé variace klimatu | ano | ||
Migrace velkých skupin lidí | ano | ||
Vnitřní závislosti v lidském systému přirozené nebo lidmi vytvořené | |||
Organizační havárie | ano | ano | ano |
Selhání toků surovin a výrobků | ano | ||
Selhání toků energií | ano | ano | ano |
Selhání toků informací | ano | ano | ano |
2.1.3 Riziko a kritičnost
Pojem riziko má v mnoha oblastech rozdílné a nejednotné pojetí, některé definice rizika staví na pravděpodobnosti, jiné pak na očekávané hodnotě nebo nejistoty a neurčitosti [17]. Z hlediska projektového řízení a systému řízení bylo riziko obecně definováno jako „účinek nejistoty“ [18]. Účinek nejistoty, pokud dojde k její realizaci, může nabývat negativních, ale i pozitivních vlastností (tj. příležitosti) [18].
Riziko v inženýrských oborech, jako je řízení rizik systému, řízení spolehlivosti a řízení bezpečnostních rizik, vyjadřuje pravděpodobnou velikost nepřijatelných (tj. nežádaných) dopadů (ztrát, škod a újmy) pohromy o velikosti ohrožení (tj. potenciál pohromy normativně určený) na chráněné zájmy (aktiva) za stanovený časový interval v určitém místě [17].
Zdrojem uvedených rizik jsou pohromy uvedené předchozím odstavci. Jedná se o rizika pro člověka, jeho majetek, životní prostředí, kritickou infrastrukturu a v neposlední řadě i pro stát. Rizika lze členit podle toho, jaká jsou pro zvážení rizika zvolená chráněná aktiva a zda je sledováno jedno chráněné aktivum (tj. dílčí riziko) či soubor chráněných aktiv (integrované riziko) nebo soubor chráněných aktiv a vazby a toky mezi nimi (komplexní riziko / integrální riziko).
Dále se rizika dělí podle toho, jaké pohromy, resp. zdroje pohrom, se berou v úvahu (pouze některé pohromy, část jejich scénářů nebo veškeré relevantní pohromy apod.).
V běžné praxi, a především u dopravních systémů, se počítá většinou s riziky dílčími a integrovanými, která bývají vyjádřená součinem pravděpodobnosti výskytu pohromy (resp. incidentu nebo selhání) či četnosti výskytu a velikosti jejich dopadů (ztrát, škod, újmy) na sledovanou entitu či vybraný soubor entit. Veličin pro výpočet rizika může být dle sledované oblasti mnoho, ale většinou se jedná o součin výše dvou uvedených. V podrobnějších studiích se zvažuje míra zranitelnosti a někdy též míra ovladatelnosti škodlivé události; například v oblasti automobilového průmyslu [19].
V chápání rizika (R) tedy pozorujeme mnoho rozdílů a společné je jen to, že riziko vychází z obav z nejisté budoucnosti [5,17]:
R = četnost ∙ důsledky;
R = závažnost ∙ možnost výskytu;
R = ohrožení (hrozba) ∙ zranitelnost;
R = ohrožení (hrozba) ∙ zranitelnost ∙ dopady;
R = ohrožení (hrozba) ∙ zranitelnost / kapacity;
R = (ohrožení (hrozba) ∙ zranitelnost) / protiopatření ∙ dopady;
R = f (ohrožení (hrozba) ∙ zranitelnost / kapacity);
R = f (aktiva (chráněný zájem) ∙ ohrožení (hrozba) ∙ zranitelnost);
R = četnost ∙ populace ∙ zranitelnost.
Pro zajištění bezpečného území, popřípadě větších technologických celků nebo zařízení, je nutné počítat s komplexním rizikem, tj. rizikem integrálním založeném na systémovém pojetí reality [2]. Integrální riziko zahrnuje více chráněných aktiv včetně života, zdraví a bezpečí lidí, majetku a veřejného blaha, životního prostředí i technologií a infrastruktur a zahrnuje i vliv propojení mezi uvedenými chráněnými aktivy (anglicky interdependences) [4,17].
Integrální riziko označené jako R je pro všechny pohromy v území dané vztahem [17]:
Rk vyjadřuje riziko pro k-tou pohromu:
(2)
Pk označuje pravděpodobnost výskytu k-té pohromy a Di,k dopad k-té pohromy na i-tý chráněný zájem. Podobné vztahy jsou aplikované i pro integrované riziko, ovšem s tím rozdílem, že dopady Di,k pro riziko integrální zahrnují mimo přímé dopady DDi,k i dopady nepřímé (sekundární, terciální a více) DIi,k, jejichž vztahy jsou dle zdroje [19] následující:
(3)
Vi je hodnota chráněného zájmu, S je sledované území či objekt, Zi,k je zranitelnost i-tého chráněného zájmu při k-té pohromě, Ii,k je funkce vzájemných vazeb (interdependences). Vzájemné vazby závisí na konkrétní struktuře chráněných zájmů v území a konkrétních propojení chráněných zájmů a na pohromě, tj. dle [17]:
(4)
VDk je charakteristika míry k-té pohromy, která ovlivňuje dopady na chráněná aktiva. VPi,k charakteristika míry vzájemné propojitelnosti chráněných zájmů v daném území. Stanovení VPi,k je předmětem podrobného výzkumu na základě Booleovské logiky nebo při složitějších vazeb na základě metod operační analýzy [17,19,20].
Pro technické systémy [21] platí vztah:
(5)
ve kterém H je ohrožení spojené s danou pohromou v místě objektu; Ai jsou hodnoty sledovaných aktiv pro i = 1,2,…, n; Zi jsou zranitelnosti aktiv pro i = 1,2,…, n; F je ztrátová funkce; Pi jsou pravděpodobnosti výskytu poškození aktiv pro i = 1,2,…, n – jde o podmíněné pravděpodobnosti; O zranitelnost ochranných opatření; S velikost sledovaného objektu; t je čas měřený od vzniku škodlivého jevu; T je čas, po který vznikají ztráty; a t je perioda opakování pohromy. Jelikož není obvykle známa ztrátová funkce, tak se vytváří scénáře selhání a k ocenění rizika se používají multikriteriální metody; obvykle systémy pro podporu rozhodování [22].
Z výše uvedených znalostí a vzhledem ke komplexnosti (složitosti) systémů je zřejmé, že integrální bezpečnost lze zvyšovat pouze při zvažování a řízení integrálních rizik, které nezvažují pouze součet dílčích rizik, ale počítají i s vazbami a toky mezi aktivy [13].
Pro účely řízení bezpečnosti se kritičností aktiva (K) rozumí funkce důležitosti a zranitelnosti sledovaného aktiva nebo i celé entity vyjádřená součinem [13,17]:
K = důležitost ∙ zranitelnost (6)
Kritičnost s ohledem na jistou pohromu lze vyjádřit vztahem
C = S ∙ O ∙ B (7)
ve kterém S je závažnost největšího dopadu pohromy (škodlivého jevu), O pravděpodobnost výskytu pohromy a B podmíněná pravděpodobnost, že se vyskytne nejzávažnější dopad [13,23].
Riziko, jak již bylo zmíněno v úvodu tohoto odstavce, se odkazuje na účinek nejistoty, tj. jak často (resp. pravděpodobně) dojde k jak rozsáhlým ztrátám. Snižováním rizika snižujeme četnost výskytu nepříznivé události (pokud je to v naší moci) nebo její dopady. Riziko tímto souvisí s bezpečností, ale není jím bezpečnost definována. Kritičnost se vztahuje na mezní (prahovou) hodnotu mezi dvěma stavy, v oblasti bezpečnosti jde o nežádoucí (nebezpečí) a žádoucí (bezpečí). Snižováním kritičnosti, tj. prahové hodnoty mezi nebezpečí a bezpečí, zvyšujeme stavový prostor systému v bezpečné oblasti, tj. zvyšujeme bezpečnost. Proto je kritičnost komplementární veličinou k bezpečnosti, i když je kritičnost důsledkem rizikových faktorů a může mít s rizikem stejné vstupní parametry (např. zranitelnost) [27].
2.1.4 Bezpečnost
V současné praxi se pojmu bezpečnost přikládá několik různých významů. V dopravních systémech je pojem bezpečnost spojován s: ochranou lidí bez zvážení vazeb se systémem; odolností systému proti narušení nějakou nepříznivou událostí (pohromou); nebo proti vnitřním chybám. Ve spojení s ochrannými, resp. zabezpečovacími systémy je bezpečnost chápána jako tzv. funkční bezpečnost, tj. realizace bezpečné funkce nebo procesu v případě předvídaných situací [24]. Ve skutečnosti mají zmíněné významy stejný cíl, chránit zdraví a životy lidí, a zajistit rozvoj lidské společnosti, tj. všechny významy jsou součástí integrální bezpečnosti, která všechny slučuje dohromady.
Systémová bezpečnost v kontextu integrální bezpečnosti znamená, že je systém chráněn proti interním i externím pohromám, včetně lidského faktoru, tj. systém má dostatečnou odolnost a přizpůsobivost vůči očekávaným podmínkám. Bezpečný systém navíc nesmí neohrozit své okolí ani v jeho kritických podmínkách [20,25,26,27], Obrázek 2 dle [20].
Případné dopady poruch systémů znázorněné na obrázku 2 se projeví u dalších systémů jako pohroma v jejich okolí, v tomto případě vzniká zřetězení pohrom, tj. kaskádový efekt.
Obrázek 2. Vztah mezi bezpečností a zabezpečením systému [20].
Pojem bezpečnost (Safety) dle současných znalostí znamená soubor prostředků a opatření, kterými lidstvo zajišťuje svoje bezpečí (angl. Security) a udržitelný rozvoj (angl. Sustainable Development). Na obrázku 3 je znázorněn koncept zacílený na bezpečí, tj. na vyšší cíl; nejde jen o snížení rizika, ale o zvýšení bezpečí lidí a dalších veřejných aktiv, na kterých jsou lidé závislí [27].
Obrázek 3. Vztah mezi bezpečím a bezpečností, jako nástrojem k zajištění bezpečí [27].
Z výše uvedeného vyplývá, že bezpečnost a riziko sice spolu souvisí, ale nejsou komplementárními veličinami, protože bezpečnost lze zvýšit i organizačními opatřeními, kterými velikost rizika neovlivníme. K bezpečnosti je komplementární veličinou kritičnost. Snižováním kritičnosti zvyšujeme bezpečnost sledovaného objektu.
2.1.5 Bezpečí lidí a integrální bezpečnost
Bezpečí lidí (anglicky Human Security), jehož zajištění je cílem řízení bezpečnosti, je téma známé od počátku lidstva, nicméně je tento pojem v oblasti bezpečnostních věd definován teprve nedávno. Organizace spojených národů definovala Bezpečí lidí jako koncept, který znamená:
„… ochraňovat nezbytný základ všech lidských životů takovým způsobem, který lidi obohatí o jejich svobodu a seberealizaci. Bezpečí lidí znamená chránit základy svobod – svobod, které jsou podstatou života. To znamená chránit lidi před kritickými (závažnými) a všudypřítomnými (rozsáhlými) hrozbami a situacemi, To znamená používat procesy, které staví na lidských silných stránkách a touhách. To znamená vytvářet politické, sociální, environmentální, ekonomické, vojenské a kulturní systémy, které společně pro lidi poskytují základní stavební kameny pro jejich přežití, obživu a důstojnost… „ [8].
Jedná se tedy především o změnu přístupu od pouhé ochrany státu před hrozbami nepřátelských ozbrojených sil k přístupu, který klade důraz na životy lidí a jejich ochranu před dalšími známými hrozbami. Základní oblasti konceptu „Bezpečí lidí a jejich hrozby“ jsou dle OSN následující [8]:
- zabezpečení ekonomiky (přetrvávající bída, nezaměstnanost),
- zabezpečení potravin (hlad, hladomor),
- zabezpečení zdraví (smrtelné infekční choroby, nebezpečné jídlo, podvýživa, pochybení v základní zdravotní péči),
- zabezpečení životního prostředí (environmentální degradace, úbytek zdrojů, živelní pohromy, znečištění),
- osobní zabezpečení (fyzické násilí, kriminalita, terorismus, domácí násilí, týrání dětí),
- politické zabezpečení (inter-etnikum, náboženství a další napětí založené na identitě),
- zabezpečení politiky (politická represe, zneužívání lidských práv).
Z hlediska ekonomického zabezpečení klade koncept Bezpečí lidí důraz na obnovu (rehabilitaci) dopravy a dopravních cest. Doprava podmiňuje úspěšné plnění cílů jednotlivých oblastí zabezpečení, tj. konceptu Bezpečí lidí, zároveň může naopak předmět jednotlivých cílů vlastními chybami a slabinami poškodit. Z toho vyplývá, že doprava a dopravní systém vytváří nové hrozby, kterými jsou například znečištění, přímý vliv na životy a zdraví lidí a majetek [19].
Státy zajišťují bezpečí lidí a jednotlivé cíle zabezpečení pomocí tzv. hlavních funkcí státu. Jedním z prostředků je infrastruktura [2]. Zaměřením předložené práce je infrastruktura dopravní a související kritická infrastruktura (například kritická informační infrastruktura).
Nástrojem k zajištění bezpečí lidí je integrální bezpečnost, která je zajišťována různými druhy bezpečnostních metod a technologií. Zastřešuje další inženýrské oblasti, jako jsou například řízení spolehlivosti, funkční bezpečnost, zabezpečení kyber-fyzických systémů, technické i fyzické zabezpečení, ostraha, bezpečnost práce, zajištění bezpečného místa, bezpečnost lidí aj. Integrální bezpečnost se zabývá bezpečností více aktiv ve sledované oblasti, které navzájem interagují, jsou vzájemně provázané a mají různé typy vazeb s nadřazenými a okolními systémy. Koncept integrální bezpečnosti zároveň zvažuje výskyt všech možných zdrojů ohrožení, která mohou sledovanou entitu postihnout [2]. Řízení integrální bezpečnosti pracuje s řízením integrálních rizik [19].
Reálný svět, který vnímáme, není ideální, a proto kvůli nedokonalostem a rozdílnostem v něm vznikají konflikty. Konflikty vznikají také v jednotlivých oblastech zabezpečení, bezpečnosti i mezioborových kontextech. Důsledkem je, že zvyšováním zabezpečeni jednoho prvku sledovaného systému můžeme nepřímou úměrou zhoršovat bezpečnost prvku druhého, tím ovlivňujeme integrální bezpečnost i celkové bezpečí lidí.
Z výše uvedeného je patrné, že pro to, aby byla zajištěná integrální bezpečnost, nestačí zvyšovat bezpečnost nebo zabezpečení jednotlivých prvků systému, které svými vzájemnými vazbami tvoří komplexní systém, ale musíme zajistit efektivnější systém řízení, který je schopen se se složitostí reálného světa co nejlépe vypořádat [19].
Zvyšování integrální bezpečnosti je založené na procesním a projektovém řízení, jejichž cílem je neustálé zlepšování kvality a zachování jisté míry bezpečnosti systémů při dynamicky se měnících podmínkách reálného světa (okolní fyzikální podmínky, vazby s jinými systémy, změna kultury a chování jednotlivců či skupin lidí apod.). V podmínkách Evropské unie se používá projektové řízení typu tzv. řízení celkové jakosti (angl. Total Quality Management, dále jen TQM) [28]. Pro jeho úspěšnost byly vytvořeny ISO normy třídy 9000, 14000 apod.
Přístup TQM spočívá na požadavku, že na procesu zlepšování kvality entity se podílí všichni zaměstnanci, od řadových zaměstnanců až po nejvyšší řídící pracovníky entity. Proces zlepšování jakosti (tj. v jeho nejvyšší úrovni jde de facto o zvyšování integrální bezpečnosti) vychází z impulsů, které vychází z potřeb zákazníka, respektive občana [29,30]. TQM vychází z předpokladu, že trvalá kvalita (jakost) výrobků a služeb se nedá zajistit příkazy, kontrolou, dílčími programy, organizačními nebo ekonomickými opatřeními, ale cíleným hledáním, měřením a hodnocením příčin toho, proč se produktivita a kvalita nezvyšuje; de facto jde o jistou kulturu bezpečnosti (jinými slovy způsobu aplikace opatření a činností lidí). Pozornost se zaměřuje na procesy probíhající v entitě. Při implementaci TQM se přihlíží na specifika entity, protože z důvodu účinnosti všechna opatření musí odpovídat struktuře entity, tj. musí být místně specifická [19,30].
Navíc od standardizovaných systémů řízení (ISO normy), které jsou na principech TQM založeny, TQM zahrnuje i principy a postoje k řízení měkkých socio-technických systémů, s jednoduchými idealizovanými cíli tak, aby byli pochopené veškerým dotčeným personálem, respektive obyvateli v uvažovaném místě. Z hlediska bezpečnosti TQM buduje tzv. systémy celkové bezpečnosti (z angličtiny Total Safety Systems, zkráceně TSS). TSS zavádí koncept nulových rizik (angl. Zero Risks), který je základem pro následování strategie nulových defektů (angl. Zero Defects) a dělání věcí tzv. hned napoprvé (angl. Right First Time).
Začleněním specifické prevence do bezpečnosti u socio-technických elementů organizačních systémů zahrnuje porovnávání příspěvků tzv. systému celkové prevence (angl. Total Prevention Systems – TPS), které zahrnují principy nulové poruchy (angl. Zero Breakdown), a systému rozvoje lidí (angl. Human Development System), který je určen ke vzdělávání a tréningu pracovníků k uvedenému principu „hned napoprvé“ [28]. Uvedené systémy celkové prevence zahrnují například implementaci známé údržby celkového provozu (angl. Total Operation Maintenance) [28] apod.
Celkově (integrálně) bezpečný systém zahrnuje tři základní elementy:
- bezpečnost místa (dispozice, řízení environmentálních aspektů, nouzové postupy, protipožární opatření, zajištění první pomoci, osvětlení, sociální zázemí a jiné),
- bezpečnost procesů (fyzická ostraha, prvky nouzového zastavení, principy „selži bezpečně“, ochrana perimetru),
- bezpečnost lidských zdrojů (bezpečnostní školení, osobní ochranné pomůcky, dohled, zdravotní prohlídky).
EU vydala kontrolní seznam, ve velké míře využívaný především pro inspekce, zahrnující tři výše uvedené oblasti [2]. Systém TQM společně s TSS v mnoha oblastech výrazně přesahuje legislativní požadavky platné v ČR. Pro účely zvyšování bezpečnosti je základním předpokladem představených systémů snižování rizika, pomocí proaktivních programů s neustálým měřením a eliminací již tzv. skoro-nehod (angl. Near-misses). Skoro-nehody jsou události, které na základě současného poznání by obvykle vedly k nehodě nebo havárii, ale v daném případě k žádnému problému nedošlo, např. z důvodu duchapřítomnosti obsluhy [19,21,28].
Současné trendy v oblasti bezpečnostních věd a inženýrství rizika jsou založené na principech inženýrského řízení rizik, a to s uvážením složitosti systémů, která vyplývá z podstaty, vlastností a neurčitostí socio-technických, kyber-fyzických systémů, označovaných jako systémy systémů (z angličtiny zkráceně SoS) [2,19,26,30,31].
2.1.6 Kritická infrastruktura a její bezpečnost
Kritická infrastruktura je z hlediska Směrnice rady 2008/114/ES o určování a označování evropských kritických infrastruktur a o posouzení potřeby zvýšit jejich ochranu [32] definována jako: „Prostředky, systémy a jejich části nacházející se v členském státě, které jsou zásadní pro zachování nejdůležitějších společenských funkcí, zdraví, bezpečnosti, zabezpečení nebo dobrých hospodářských či sociálních podmínek obyvatel a jejichž narušení nebo zničení by mělo pro členský stát závažný dopad v důsledku selhání těchto funkcí“. Dle zdroje [33] lze jinými slovy kritickou infrastrukturu definovat jako systémy různé povahy (technické, organizační, kybernetické, územní, vzdělávací atd.), které mohou mít vliv na fungování ekonomiky, státu a na zvládání nouzových a kritických situací. V České republice je kritická infrastruktura složena z infrastruktur rozdělených do následujících devíti oblastí [33]:
- Dodávky energie (elektrické, plyn, teplo, olej a ropné produkty).
- Voda (zajištění pitné a užitkové vody, zabezpečení a správa povrchových i podzemních vodních zdrojů, systém odpadních vod).
- Zásobování potravinami a zemědělství (výroba potravin, péče o potraviny, zemědělská produkce).
- Zdravotní péče (přednemocniční neodkladná péče, nemocniční péče, ochrana veřejného zdraví, výroba, skladování a distribuce farmaceutických produktů a zdravotních zařízení).
- Doprava (silniční, železniční, letecká a vodní).
- Kybernetické, komunikační a informační systémy (pevné a mobilní telekomunikační síťové služby, rádiová komunikace a navigace, televizní a satelitní komunikace, pošta a zásilkové služby, internet a datové služby).
- Bankovnictví a finanční sektor (správa veřejných financí, bankovnictví, pojištění, kapitálový trh).
- Záchranný systém (Hasičský záchranný sbor ČR, jednotky požární ochrany, Policie ČR, Armáda ČR, monitoring radiace, předpovědi, varovací systém apod.).
- Veřejná správa (státní správa a samospráva, sociální zabezpečení a zaměstnanost, statní sociální podpora a sociální pomoc, výkon soudního a vězeňského systému).
Oblast kritické infrastruktury upravuje krizový zákon [34]. Objektem neboli prvkem kritické infrastruktury se rozumí stavba, zařízení, prostředek nebo veřejná infrastruktura, určená podle průřezových a odvětvových kritérií, tj. dle [35]. Z hlediska drážního systému jsou objektem kritické infrastruktury například nádraží, stanice metra, významné mosty či tunely, technologická zařízení a informační, materiálové, energetické toky v systémech, a to podle metodiky určení kritičnosti objektů dle zdroje [33].
Ochrana zdraví a majetku lidí je předním zájmem základní funkce státu zakotvené v Ústavě České republiky (zákon č. 1/1993 Sb.). Možné výskyty pohrom mohou ovlivnit nejen správnou funkci prvku kritické infrastruktury, ale taktéž mohou ohrozit zdraví a majetek lidí i životní prostředí. Proto se podle kategorie pohromy, uvedené v předchozím odstavci, provádí příslušná opatření [4,13,33].
2.1.7 Moderní přístupy: All-Hazard-Approach a Defence in Depth
Přístup All-Hazard-Approach [12] znamená zvažovat při řízení bezpečnosti všechny možné druhy pohrom, tj. jevů, které mohou způsobit škody, ztráty a újmy sledovaným aktivům, tj. lidem i příslušným entitám v daném území [2].
Defence-In-Depth (ochrana do hloubky) je komplexní filozofie zajištění bezpečnosti, která se začala v technologii aplikovat v 80. letech minulého století [27]. V obecné rovině lze tento přístup chápat jako ochranu systému za pomocí opatření ve více vrstvách systému.
Na základě [36] Defence-In-Depth představuje komplexní přístup, který zajišťuje, že lidé i životní prostředí budou ochráněny i při kritických podmínkách v objektu. Zahrnuje všechny činnosti zacílené na bezpečnost objektu i území, ve kterém se objekt nachází, a to počínaje umísťováním, přes navrhování a projektování, výstavbu, konstrukci, uvedení do provozu, provoz a odstavení objektu z provozu. Pro zajištění bezpečného systému systémů se používají systémy bariér a režimová opatření.
Přístup Defence-In-Depth je známý také v kybernetice a zabezpečení řídicích systémů např. dle [37], obrázek 4.
Obrázek 4 znázorňuje přístup Defence-In-Depth jako strategii pro řízení zabezpečení zahrnující následující oblasti:
- směrnice pro zabezpečení,
- specifikace požadavků na zabezpečení,
- zabezpečení pomocí návrhu (designu),
- zabezpečená implementace,
- verifikace a validace zabezpečení,
- strategie Defence-In-Depth.
Zobecněný vrstvový model pro řízení bezpečnosti podle přístupu Defence-In-Depth, použitý v disertační práci, je popsán dále v odstavci 2.3.4.
Obrázek 4. Strategie Defence-In-Depth dle [37].
2.1.8 Systémy systémů (SoS), projektové a nadprojektové jevy
Systém systémů (SoS) je v oblasti systémového inženýrství [38] definován jako množina nezávislých systémů, integrovaných do většího systému, který poskytuje unikátní vlastnosti. Nezávislé tzv. složkové (angl. constituent) systémy spolupracují na produkci globálního chování, které nemohou sami produkovat. V souladu se zdrojem [39] se klasické pojetí systému a SoS liší především v následujících elementech:
- autonomie – autonomie je vykonávána složkovými systémy, aby splnila účel globálního systému, tj. SoS,
- příslušnost – jednotlivé složkové systémy volí příslušnost dle poměru nákladů a přínosů, kvůli naplnění svého vlastního účelu a ve víře v supra-účel SoS; u klasického pojetí systému je příslušnost daná dle jejich povahy a nemůže ji svévolně změnit (např. jako člen jedné rodiny),
- konektivita – nesčetné možné propojení systémů a jejich částí pro zlepšení schopností SoS,
- diverzita – vyšší diverzita (rozmanitost) v schopnostech SoS dosažená pomocí autonomie různých složkových systémů, zaujaté příslušnosti a otevřené konektivity,
- emergence – v pojetí SoS má zvýšena záměrná nepředvídatelnost systému a vytvoření podmínek pro možnost emergence (tj. vzniku) zásadní význam ve smyslu negativním (vznik nepředvídatelných negativních událostí, pohrom) i pozitivním (včasná detekce a eliminace nepříznivého chování systémů).
Element emergence má zásadní vliv pro volbu metod pro práci se systémy, převaha metod exaktních pro klasické systémy, a převaha metod heuristických pro SoS, tj. včetně použití umělé inteligence (angl. Artificial Intelligence – AI), apod.
Pro účely disertační práce chápeme SoS jako množinu otevřených vzájemně propojených systémů [33], dále složených z podsystémů a objektů (komponent) různých vlastností i jejich umístění. Vazby mezi subsystémy a objekty zajišťují potřebné funkce a chování celého SoS [40]. Vzájemné vazby a závislosti, tj. interdependence, jsou dle jejich povahy fyzické, kybernetické, místní a logické [6]. Dále lze interdependence SoS rozdělit na:
- žádané: zlepšují vlastnosti systémů, zařízení a infrastruktur,
- nežádané:
a) za normálních a abnormálních podmínek: jsou ošetřené projektem dle požadavků legislativy [41],
b) za podmínek kritických (nadprojektových):
- vedou ke ztrátám systému,
- způsobují, že systémy řádně neplní svoje funkce,
- způsobují, že systémy ohrožují sebe a své okolí.
Při zajištěných jistých podmínek řešeného systému, lze některé situace řešit exaktními metodami. Uvedené podmínky pro zajištění bezpečnosti jsou stanovené v projektu dle jeho životnosti a kritičnosti, v tomto případě hovoříme o projektových kritériích. V případě, že nastanou nepříznivé jevy, resp. nehody, po kterých nedojde k překročení projektových kritérií, resp. podmínek, jde o tzv. projektové jevy (nehody). Bezpečnost zasahuje především do oblasti mimo uvedené limity a podmínky systémů, tj. nadprojektové jevy, resp. nehody.
Pojmy projektové (angl. Design Basis Accident) a nadprojektové (angl. Beyond Design Basis Accident) nehody jsou například formálně definované Mezinárodní agenturou pro atomovou energii (IAEA) [42], ovšem jsou běžně používané i v dalších oblastech řízení bezpečnosti technických děl [41].