Na základě analýzy zdrojů [1-6,8-76] je dále uveden souhrn znalostí a odkazy vztahující se k použitým termínům a k jejich definicím, použitým v předložené disertační práci.

2.1.1 Aktiva

Aktivem se rozumí fyzická, logická či kybernetická položka, která určuje strukturu a chování sledovaného systému [6]. Výsledky prací [1,4] poskytují seznamy identifikovaných aktiv modelové stanice metra a systému řízení pražského metra (tj. lidi, majetek včetně technologií, energetické informační a materiálové toky), a to především na základě analýz dokumentace metra [1,4,10,11]. Vzhledem k tomu, že se jedná o otevřený systém systémů, je nutné zvažovat mimo technické části, zvažované v [1,4] také další aspekty, tj. například organizační, finanční, funkční, logické vazby, a další. Pro účely dalších analýz a uvažujeme následující skupiny aktiv: konstrukce, technika, personál, místa, funkce, vazby a toky, organizace a ekonomika.

2.1.2 Pohromy

Příčinou rizik jsou pohromy ¹ (všeho druhu) , tzv. All-Hazard-Approach [12]) a v případě rizik u technologických systémů se jedná také o poruchové stavy v důsledku náhodných či systematických chyb systému [4,13]. Z výše uvedeného je patrné, že vznik jedné extrémní pohromy může vyvolat řetězec dalších pohrom, tj. sekundární dopady, i celou kaskádu dopadů. Sekundární, terciální a další dopady jsou označovány jako nepřímé dopady. Nepřímé dopady extrémních pohrom jsou znázorněny na obrázku 1. Obrázek 1 ukazuje propojení dopadů extrémní pohromy s různými chráněnými aktivy, které vyvolají další dopady na jiná aktiva, tj. nepřímé dopady, které mají tvar kaskád (tj. kaskádový efekt).

Podle velikosti škod a ztrát na veřejných aktivech a pravděpodobnosti výskytu, tj. na základě analýzy a vyhodnocení rizik pomocí metody matice rizik dle [13], lze pohromy v řízení bezpečnosti kategorizovat do tří kategorií:

1. Pohromy kritické: mohou vyvolat na sledovaném území nebo jeho části kritickou situaci, při které, podle současné české legislativy, může být vyhlášena krizová situace, a tudíž bude třeba dělat obnovu majetku po krizové situaci. Z pohledu řízení bezpečnosti je třeba dělat preventivní a zmírňující opatření v územním plánování, projektování, výstavbě a provozu občanských a technologických objektů i infrastruktury.
2. Pohromy specifické: mohou vyvolat nouzové situace, a proto s nimi musí počítat odezva a připravenost (opatření na zmírnění). Z pohledu řízení bezpečnosti je třeba dělat preventivní opatření v územním plánování, projektování, výstavbě a provozu občanských a technologických objektů i infrastruktury a zmírňující opatření v rámci připravenosti na odezvy.
3. Pohromy relevantní: všechny ostatní pohromy, které mohou entitu postihnout a nejsou kritickými ani specifickými. Měly by být zvládnuty běžnými standardními prostředky, tj. prevencí prováděnou v praxi. Z pohledu řízení bezpečnosti dosavadní opatření prováděná v územním plánování, projektování, výstavbě a provozu občanských a technologických objektů i infrastruktury jsou dostatečná, a tudíž je nutná jen pravidelná kontrola jejich účinnosti.

Pro účely předložené disertační práce byly použité následující pohromy, identifikované v práci [4] analýzou archivních dokumentů hl. m. Prahy [15]:

Výsledky procesů probíhající vně i uvnitř Země: povodeň, vichřice, zemětřesení, ztekucení podloží, výstup plynu na zemský povrch.

Výsledky procesů v lidském těle, v chování lidí a procesů v lidské společnosti: epidemie, pandemie, porucha stability lidské společnosti, útok, teroristický útok, útok za použití chemických, jaderných, radiologických a biologických (CBRNE) zbraní, ozbrojený konflikt, válka.

Výsledky procesů a činností instalovaných lidmi: průmyslová havárie, havárie při přepravě či skladování nebezpečných látek, havárie při dopravě, pohroma v oblasti kritické infrastruktury, pohroma v ekonomice, pohroma v územní infrastruktuře, pohroma v kybernetické infrastruktuře, pohroma v infrastruktuře služeb, zásobování a spojení, selhání technologií, ztráty obslužnosti.

Interakce planety Země a životního prostředí na činnosti lidí: porušení stability podloží vlivem vibrací, kontaminace ovzduší, kontaminace vody, rychlé variace klimatu, migrace velkých skupin lidí.

Vnitřní závislosti v lidském systému přirození nebo lidmi vytvoření: organizační havárie, porucha toků surovin a výrobků, porucha v toku energií, porucha v toku informací.

Tabulka 1 obsahuje rozdělení pohrom, které jsou relevantní pro hl. m. Prahu, do kategorií, podrobnosti jsou uvedené v práci [4]. Tj. zvažuje přístup All-Hazard-Approach [12,13] a data [15]; detaily jsou v pracích [12,13,16].

Tabulka 1 Rozložení pohrom – relevantní, specifické, kritické.

2.1.3 Riziko a kritičnost

Pojem riziko má v mnoha oblastech rozdílné a nejednotné pojetí, některé definice rizika staví na pravděpodobnosti, jiné pak na očekávané hodnotě nebo nejistoty a neurčitosti [17]. Z hlediska projektového řízení a systému řízení bylo riziko obecně definováno jako „účinek nejistoty“ [18]. Účinek nejistoty, pokud dojde k její realizaci, může nabývat negativních, ale i pozitivních vlastností (tj. příležitosti) [18].

Riziko v inženýrských oborech, jako je řízení rizik systému, řízení spolehlivosti a řízení bezpečnostních rizik, vyjadřuje pravděpodobnou velikost nepřijatelných (tj. nežádaných) dopadů (ztrát, škod a újmy) pohromy o velikosti ohrožení (tj. potenciál pohromy normativně určený) na chráněné zájmy (aktiva) za stanovený časový interval v určitém místě [17].

Zdrojem uvedených rizik jsou pohromy uvedené předchozím odstavci. Jedná se o rizika pro člověka, jeho majetek, životní prostředí, kritickou infrastrukturu a v neposlední řadě i pro stát. Rizika lze členit podle toho, jaká jsou pro zvážení rizika zvolená chráněná aktiva a zda je sledováno jedno chráněné aktivum (tj. dílčí riziko) či soubor chráněných aktiv (integrované riziko) nebo soubor chráněných aktiv a vazby a toky mezi nimi (komplexní riziko / integrální riziko).

Dále se rizika dělí podle toho, jaké pohromy, resp. zdroje pohrom, se berou v úvahu (pouze některé pohromy, část jejich scénářů nebo veškeré relevantní pohromy apod.).

V běžné praxi, a především u dopravních systémů, se počítá většinou s riziky dílčími a integrovanými, která bývají vyjádřená součinem pravděpodobnosti výskytu pohromy (resp. incidentu nebo selhání) či četnosti výskytu a velikosti jejich dopadů (ztrát, škod, újmy) na sledovanou entitu či vybraný soubor entit. Veličin pro výpočet rizika může být dle sledované oblasti mnoho, ale většinou se jedná o součin výše dvou uvedených. V podrobnějších studiích se zvažuje míra zranitelnosti a někdy též míra ovladatelnosti škodlivé události; například v oblasti automobilového průmyslu [19].

V chápání rizika (R) tedy pozorujeme mnoho rozdílů a společné je jen to, že riziko vychází z obav z nejisté budoucnosti [5,17]:

R = četnost ∙ důsledky;

R = závažnost ∙ možnost výskytu;

R = ohrožení (hrozba) ∙ zranitelnost;

R = ohrožení (hrozba) ∙ zranitelnost ∙ dopady;

R = ohrožení (hrozba) ∙ zranitelnost / kapacity;

R = (ohrožení (hrozba) ∙ zranitelnost) / protiopatření ∙ dopady;

R = f (ohrožení (hrozba) ∙ zranitelnost / kapacity);

R = f (aktiva (chráněný zájem) ∙ ohrožení (hrozba) ∙ zranitelnost);

R = četnost ∙ populace ∙ zranitelnost.

Pro zajištění bezpečného území, popřípadě větších technologických celků nebo zařízení, je nutné počítat s komplexním rizikem, tj. rizikem integrálním založeném na systémovém pojetí reality [2]. Integrální riziko zahrnuje více chráněných aktiv včetně života, zdraví a bezpečí lidí, majetku a veřejného blaha, životního prostředí i technologií a infrastruktur a zahrnuje i vliv propojení mezi uvedenými chráněnými aktivy (anglicky interdependences) [4,17].

Integrální riziko označené jako R je pro všechny pohromy v území dané vztahem [17]:

R_k vyjadřuje riziko pro k-tou pohromu:

                                                                                          (2)

P_k označuje pravděpodobnost výskytu k-té pohromy a D_i,k dopad k-té pohromy na i-tý chráněný zájem. Podobné vztahy jsou aplikované i pro integrované riziko, ovšem s tím rozdílem, že dopady D_i,k pro riziko integrální zahrnují mimo přímé dopady DD_i,k i dopady nepřímé (sekundární, terciální a více) DI_i,k, jejichž vztahy jsou dle zdroje [19] následující:

                                                           (3)

V_i je hodnota chráněného zájmu, S je sledované území či objekt, Z_i,k je zranitelnost i-tého chráněného zájmu při k-té pohromě, I_i,k je funkce vzájemných vazeb (interdependences). Vzájemné vazby závisí na konkrétní struktuře chráněných zájmů v území a konkrétních propojení chráněných zájmů a na pohromě, tj. dle [17]:

                                                                                         (4)

VD_k je charakteristika míry k-té pohromy, která ovlivňuje dopady na chráněná aktiva. VP_i,k charakteristika míry vzájemné propojitelnosti chráněných zájmů v daném území. Stanovení VP_i,k je předmětem podrobného výzkumu na základě Booleovské logiky nebo při složitějších vazeb na základě metod operační analýzy [17,19,20].

Pro technické systémy [21] platí vztah:

                      (5)

ve kterém H je ohrožení spojené s danou pohromou v místě objektu; A_i    jsou hodnoty sledovaných aktiv pro i = 1,2,…, n; Z_i jsou zranitelnosti aktiv pro i = 1,2,…, n; F je ztrátová funkce; P_i jsou pravděpodobnosti výskytu poškození aktiv pro i = 1,2,…, n – jde o podmíněné pravděpodobnosti; O zranitelnost ochranných opatření; S velikost sledovaného objektu; t je čas měřený od vzniku škodlivého jevu; T je čas, po který vznikají ztráty; a t  je perioda opakování pohromy. Jelikož není obvykle známa ztrátová funkce, tak se vytváří scénáře selhání a k ocenění rizika se používají multikriteriální metody; obvykle systémy pro podporu rozhodování [22].

Z výše uvedených znalostí a vzhledem ke komplexnosti (složitosti) systémů je zřejmé, že integrální bezpečnost lze zvyšovat pouze při zvažování a řízení integrálních rizik, které nezvažují pouze součet dílčích rizik, ale počítají i s vazbami a toky mezi aktivy [13].

Pro účely řízení bezpečnosti se kritičností aktiva (K) rozumí funkce důležitosti a zranitelnosti sledovaného aktiva nebo i celé entity vyjádřená součinem [13,17]:

K = důležitost ∙ zranitelnost                                                                         (6)

Kritičnost s ohledem na jistou pohromu lze vyjádřit vztahem

C = S ∙ O ∙ B                                                                                                  (7)

ve kterém S je závažnost největšího dopadu pohromy (škodlivého jevu), O pravděpodobnost výskytu pohromy a B podmíněná pravděpodobnost, že se vyskytne nejzávažnější dopad [13,23].

Riziko, jak již bylo zmíněno v úvodu tohoto odstavce, se odkazuje na účinek nejistoty, tj. jak často (resp. pravděpodobně) dojde k jak rozsáhlým ztrátám. Snižováním rizika snižujeme četnost výskytu nepříznivé události (pokud je to v naší moci) nebo její dopady. Riziko tímto souvisí s bezpečností, ale není jím bezpečnost definována. Kritičnost se vztahuje na mezní (prahovou) hodnotu mezi dvěma stavy, v oblasti bezpečnosti jde o nežádoucí (nebezpečí) a žádoucí (bezpečí). Snižováním kritičnosti, tj. prahové hodnoty mezi nebezpečí a bezpečí, zvyšujeme stavový prostor systému v bezpečné oblasti, tj. zvyšujeme bezpečnost. Proto je kritičnost komplementární veličinou k bezpečnosti, i když je kritičnost důsledkem rizikových faktorů a může mít s rizikem stejné vstupní parametry (např. zranitelnost) [27].

2.1.4 Bezpečnost

V současné praxi se pojmu bezpečnost přikládá několik různých významů. V dopravních systémech je pojem bezpečnost spojován s: ochranou lidí bez zvážení vazeb se systémem; odolností systému proti narušení nějakou nepříznivou událostí (pohromou); nebo proti vnitřním chybám. Ve spojení s ochrannými, resp. zabezpečovacími systémy je bezpečnost chápána jako tzv. funkční bezpečnost, tj. realizace bezpečné funkce nebo procesu v případě předvídaných situací [24]. Ve skutečnosti mají zmíněné významy stejný cíl, chránit zdraví a životy lidí, a zajistit rozvoj lidské společnosti, tj. všechny významy jsou součástí integrální bezpečnosti, která všechny slučuje dohromady.

Systémová bezpečnost v kontextu integrální bezpečnosti znamená, že je systém chráněn proti interním i externím pohromám, včetně lidského faktoru, tj. systém má dostatečnou odolnost a přizpůsobivost vůči očekávaným podmínkám. Bezpečný systém navíc nesmí neohrozit své okolí ani v jeho kritických podmínkách [20,25,26,27], Obrázek 2 dle [20].

Případné dopady poruch systémů znázorněné na obrázku 2 se projeví u dalších systémů jako pohroma v jejich okolí, v tomto případě vzniká zřetězení pohrom, tj. kaskádový efekt.

Obrázek 2. Vztah mezi bezpečností a zabezpečením systému [20].

Pojem bezpečnost (Safety) dle současných znalostí znamená soubor prostředků a opatření, kterými lidstvo zajišťuje svoje bezpečí (angl. Security) a udržitelný rozvoj (angl. Sustainable Development). Na obrázku 3 je znázorněn koncept zacílený na bezpečí, tj. na vyšší cíl; nejde jen o snížení rizika, ale o zvýšení bezpečí lidí a dalších veřejných aktiv, na kterých jsou lidé závislí [27].

Obrázek 3. Vztah mezi bezpečím a bezpečností, jako nástrojem k zajištění bezpečí [27].

Z výše uvedeného vyplývá, že bezpečnost a riziko sice spolu souvisí, ale nejsou komplementárními veličinami, protože bezpečnost lze zvýšit i organizačními opatřeními, kterými velikost rizika neovlivníme. K bezpečnosti je komplementární veličinou kritičnost. Snižováním kritičnosti zvyšujeme bezpečnost sledovaného objektu.

2.1.5 Bezpečí lidí a integrální bezpečnost

Bezpečí lidí (anglicky Human Security), jehož zajištění je cílem řízení bezpečnosti, je téma známé od počátku lidstva, nicméně je tento pojem v oblasti bezpečnostních věd definován teprve nedávno. Organizace spojených národů definovala Bezpečí lidí jako koncept, který znamená:

„… ochraňovat nezbytný základ všech lidských životů takovým způsobem, který lidi obohatí o jejich svobodu a seberealizaci. Bezpečí lidí znamená chránit základy svobod – svobod, které jsou podstatou života. To znamená chránit lidi před kritickými (závažnými) a všudypřítomnými (rozsáhlými) hrozbami a situacemi, To znamená používat procesy, které staví na lidských silných stránkách a touhách. To znamená vytvářet politické, sociální, environmentální, ekonomické, vojenské a kulturní systémy, které společně pro lidi poskytují základní stavební kameny pro jejich přežití, obživu a důstojnost… „ [8].

Jedná se tedy především o změnu přístupu od pouhé ochrany státu před hrozbami nepřátelských ozbrojených sil k přístupu, který klade důraz na životy lidí a jejich ochranu před dalšími známými hrozbami. Základní oblasti konceptu „Bezpečí lidí a jejich hrozby“ jsou dle OSN následující [8]:

• zabezpečení ekonomiky (přetrvávající bída, nezaměstnanost),
• zabezpečení potravin (hlad, hladomor),
• zabezpečení zdraví (smrtelné infekční choroby, nebezpečné jídlo, podvýživa, pochybení v základní zdravotní péči),
• zabezpečení životního prostředí (environmentální degradace, úbytek zdrojů, živelní pohromy, znečištění),
• osobní zabezpečení (fyzické násilí, kriminalita, terorismus, domácí násilí, týrání dětí),
• politické zabezpečení (inter-etnikum, náboženství a další napětí založené na identitě),
• zabezpečení politiky (politická represe, zneužívání lidských práv).

Z hlediska ekonomického zabezpečení klade koncept Bezpečí lidí důraz na obnovu (rehabilitaci) dopravy a dopravních cest. Doprava podmiňuje úspěšné plnění cílů jednotlivých oblastí zabezpečení, tj. konceptu Bezpečí lidí, zároveň může naopak předmět jednotlivých cílů vlastními chybami a slabinami poškodit. Z toho vyplývá, že doprava a dopravní systém vytváří nové hrozby, kterými jsou například znečištění, přímý vliv na životy a zdraví lidí a majetek [19].

Státy zajišťují bezpečí lidí a jednotlivé cíle zabezpečení pomocí tzv. hlavních funkcí státu. Jedním z prostředků je infrastruktura [2]. Zaměřením předložené práce je infrastruktura dopravní a související kritická infrastruktura (například kritická informační infrastruktura).

Nástrojem k zajištění bezpečí lidí je integrální bezpečnost, která je zajišťována různými druhy bezpečnostních metod a technologií. Zastřešuje další inženýrské oblasti, jako jsou například řízení spolehlivosti, funkční bezpečnost, zabezpečení kyber-fyzických systémů, technické i fyzické zabezpečení, ostraha, bezpečnost práce, zajištění bezpečného místa, bezpečnost lidí aj. Integrální bezpečnost se zabývá bezpečností více aktiv ve sledované oblasti, které navzájem interagují, jsou vzájemně provázané a mají různé typy vazeb s nadřazenými a okolními systémy. Koncept integrální bezpečnosti zároveň zvažuje výskyt všech možných zdrojů ohrožení, která mohou sledovanou entitu postihnout [2]. Řízení integrální bezpečnosti pracuje s řízením integrálních rizik [19].

Reálný svět, který vnímáme, není ideální, a proto kvůli nedokonalostem a rozdílnostem v něm vznikají konflikty. Konflikty vznikají také v jednotlivých oblastech zabezpečení, bezpečnosti i mezioborových kontextech. Důsledkem je, že zvyšováním zabezpečeni jednoho prvku sledovaného systému můžeme nepřímou úměrou zhoršovat bezpečnost prvku druhého, tím ovlivňujeme integrální bezpečnost i celkové bezpečí lidí.

Z výše uvedeného je patrné, že pro to, aby byla zajištěná integrální bezpečnost, nestačí zvyšovat bezpečnost nebo zabezpečení jednotlivých prvků systému, které svými vzájemnými vazbami tvoří komplexní systém, ale musíme zajistit efektivnější systém řízení, který je schopen se se složitostí reálného světa co nejlépe vypořádat [19].

Zvyšování integrální bezpečnosti je založené na procesním a projektovém řízení, jejichž cílem je neustálé zlepšování kvality a zachování jisté míry bezpečnosti systémů při dynamicky se měnících podmínkách reálného světa (okolní fyzikální podmínky, vazby s jinými systémy, změna kultury a chování jednotlivců či skupin lidí apod.). V podmínkách Evropské unie se používá projektové řízení typu tzv. řízení celkové jakosti (angl. Total Quality Management, dále jen TQM) [28]. Pro jeho úspěšnost byly vytvořeny ISO normy třídy 9000, 14000 apod.

Přístup TQM spočívá na požadavku, že na procesu zlepšování kvality entity se podílí všichni zaměstnanci, od řadových zaměstnanců až po nejvyšší řídící pracovníky entity. Proces zlepšování jakosti (tj. v jeho nejvyšší úrovni jde de facto o zvyšování integrální bezpečnosti) vychází z impulsů, které vychází z potřeb zákazníka, respektive občana [29,30]. TQM vychází z předpokladu, že trvalá kvalita (jakost) výrobků a služeb se nedá zajistit příkazy, kontrolou, dílčími programy, organizačními nebo ekonomickými opatřeními, ale cíleným hledáním, měřením a hodnocením příčin toho, proč se produktivita a kvalita nezvyšuje; de facto jde o jistou kulturu bezpečnosti (jinými slovy způsobu aplikace opatření a činností lidí). Pozornost se zaměřuje na procesy probíhající v entitě. Při implementaci TQM se přihlíží na specifika entity, protože z důvodu účinnosti všechna opatření musí odpovídat struktuře entity, tj. musí být místně specifická [19,30].

Navíc od standardizovaných systémů řízení (ISO normy), které jsou na principech TQM založeny, TQM zahrnuje i principy a postoje k řízení měkkých socio-technických systémů, s jednoduchými idealizovanými cíli tak, aby byli pochopené veškerým dotčeným personálem, respektive obyvateli v uvažovaném místě. Z hlediska bezpečnosti TQM buduje tzv. systémy celkové bezpečnosti (z angličtiny Total Safety Systems, zkráceně TSS). TSS zavádí koncept nulových rizik (angl. Zero Risks), který je základem pro následování strategie nulových defektů (angl. Zero Defects) a dělání věcí tzv. hned napoprvé (angl. Right First Time).

Začleněním specifické prevence do bezpečnosti u socio-technických elementů organizačních systémů zahrnuje porovnávání příspěvků tzv. systému celkové prevence (angl. Total Prevention Systems – TPS), které zahrnují principy nulové poruchy (angl. Zero Breakdown), a systému rozvoje lidí (angl. Human Development System), který je určen ke vzdělávání a tréningu pracovníků k uvedenému principu „hned napoprvé“ [28]. Uvedené systémy celkové prevence zahrnují například implementaci známé údržby celkového provozu (angl. Total Operation Maintenance) [28] apod.

Celkově (integrálně) bezpečný systém zahrnuje tři základní elementy:

• bezpečnost místa (dispozice, řízení environmentálních aspektů, nouzové postupy, protipožární opatření, zajištění první pomoci, osvětlení, sociální zázemí a jiné),
• bezpečnost procesů (fyzická ostraha, prvky nouzového zastavení, principy „selži bezpečně“, ochrana perimetru),
• bezpečnost lidských zdrojů (bezpečnostní školení, osobní ochranné pomůcky, dohled, zdravotní prohlídky).

EU vydala kontrolní seznam, ve velké míře využívaný především pro inspekce, zahrnující tři výše uvedené oblasti [2]. Systém TQM společně s TSS v mnoha oblastech výrazně přesahuje legislativní požadavky platné v ČR. Pro účely zvyšování bezpečnosti je základním předpokladem představených systémů snižování rizika, pomocí proaktivních programů s neustálým měřením a eliminací již tzv. skoro-nehod (angl. Near-misses). Skoro-nehody jsou události, které na základě současného poznání by obvykle vedly k nehodě nebo havárii, ale v daném případě k žádnému problému nedošlo, např. z důvodu duchapřítomnosti obsluhy [19,21,28].

Současné trendy v oblasti bezpečnostních věd a inženýrství rizika jsou založené na principech inženýrského řízení rizik, a to s uvážením složitosti systémů, která vyplývá z podstaty, vlastností a neurčitostí socio-technických, kyber-fyzických systémů, označovaných jako systémy systémů (z angličtiny zkráceně SoS) [2,19,26,30,31].

2.1.6 Kritická infrastruktura a její bezpečnost

Kritická infrastruktura je z hlediska Směrnice rady 2008/114/ES o určování a označování evropských kritických infrastruktur a o posouzení potřeby zvýšit jejich ochranu [32] definována jako: „Prostředky, systémy a jejich části nacházející se v členském státě, které jsou zásadní pro zachování nejdůležitějších společenských funkcí, zdraví, bezpečnosti, zabezpečení nebo dobrých hospodářských či sociálních podmínek obyvatel a jejichž narušení nebo zničení by mělo pro členský stát závažný dopad v důsledku selhání těchto funkcí“. Dle zdroje [33] lze jinými slovy kritickou infrastrukturu definovat jako systémy různé povahy (technické, organizační, kybernetické, územní, vzdělávací atd.), které mohou mít vliv na fungování ekonomiky, státu a na zvládání nouzových a kritických situací. V České republice je kritická infrastruktura složena z infrastruktur rozdělených do následujících devíti oblastí [33]:

1. Dodávky energie (elektrické, plyn, teplo, olej a ropné produkty).
2. Voda (zajištění pitné a užitkové vody, zabezpečení a správa povrchových i podzemních vodních zdrojů, systém odpadních vod).
3. Zásobování potravinami a zemědělství (výroba potravin, péče o potraviny, zemědělská produkce).
4. Zdravotní péče (přednemocniční neodkladná péče, nemocniční péče, ochrana veřejného zdraví, výroba, skladování a distribuce farmaceutických produktů a zdravotních zařízení).
5. Doprava (silniční, železniční, letecká a vodní).
6. Kybernetické, komunikační a informační systémy (pevné a mobilní telekomunikační síťové služby, rádiová komunikace a navigace, televizní a satelitní komunikace, pošta a zásilkové služby, internet a datové služby).
7. Bankovnictví a finanční sektor (správa veřejných financí, bankovnictví, pojištění, kapitálový trh).
8. Záchranný systém (Hasičský záchranný sbor ČR, jednotky požární ochrany, Policie ČR, Armáda ČR, monitoring radiace, předpovědi, varovací systém apod.).
9. Veřejná správa (státní správa a samospráva, sociální zabezpečení a zaměstnanost, statní sociální podpora a sociální pomoc, výkon soudního a vězeňského systému).

Oblast kritické infrastruktury upravuje krizový zákon [34]. Objektem neboli prvkem kritické infrastruktury se rozumí stavba, zařízení, prostředek nebo veřejná infrastruktura, určená podle průřezových a odvětvových kritérií, tj. dle [35]. Z hlediska drážního systému jsou objektem kritické infrastruktury například nádraží, stanice metra, významné mosty či tunely, technologická zařízení a informační, materiálové, energetické toky v systémech, a to podle metodiky určení kritičnosti objektů dle zdroje [33].

Ochrana zdraví a majetku lidí je předním zájmem základní funkce státu zakotvené v Ústavě České republiky (zákon č. 1/1993 Sb.). Možné výskyty pohrom mohou ovlivnit nejen správnou funkci prvku kritické infrastruktury, ale taktéž mohou ohrozit zdraví a majetek lidí i životní prostředí. Proto se podle kategorie pohromy, uvedené v předchozím odstavci, provádí příslušná opatření [4,13,33].

2.1.7 Moderní přístupy: All-Hazard-Approach a Defence in Depth

Přístup All-Hazard-Approach [12] znamená zvažovat při řízení bezpečnosti všechny možné druhy pohrom, tj. jevů, které mohou způsobit škody, ztráty a újmy sledovaným aktivům, tj. lidem i příslušným entitám v daném území [2].

Defence-In-Depth (ochrana do hloubky) je komplexní filozofie zajištění bezpečnosti, která se začala v technologii aplikovat v 80. letech minulého století [27]. V obecné rovině lze tento přístup chápat jako ochranu systému za pomocí opatření ve více vrstvách systému.

Na základě [36] Defence-In-Depth představuje komplexní přístup, který zajišťuje, že lidé i životní prostředí budou ochráněny i při kritických podmínkách v objektu. Zahrnuje všechny činnosti zacílené na bezpečnost objektu i území, ve kterém se objekt nachází, a to počínaje umísťováním, přes navrhování a projektování, výstavbu, konstrukci, uvedení do provozu, provoz a odstavení objektu z provozu. Pro zajištění bezpečného systému systémů se používají systémy bariér a režimová opatření.

Přístup Defence-In-Depth je známý také v kybernetice a zabezpečení řídicích systémů např. dle [37], obrázek 4.

Obrázek 4 znázorňuje přístup Defence-In-Depth jako strategii pro řízení zabezpečení zahrnující následující oblasti:

• směrnice pro zabezpečení,
• specifikace požadavků na zabezpečení,
• zabezpečení pomocí návrhu (designu),
• zabezpečená implementace,
• verifikace a validace zabezpečení,
• strategie Defence-In-Depth.

Zobecněný vrstvový model pro řízení bezpečnosti podle přístupu Defence-In-Depth, použitý v disertační práci, je popsán dále v odstavci 2.3.4.

Obrázek 4. Strategie Defence-In-Depth dle [37].

2.1.8 Systémy systémů (SoS), projektové a nadprojektové jevy

Systém systémů (SoS) je v oblasti systémového inženýrství [38] definován jako množina nezávislých systémů, integrovaných do většího systému, který poskytuje unikátní vlastnosti. Nezávislé tzv. složkové (angl. constituent) systémy spolupracují na produkci globálního chování, které nemohou sami produkovat. V souladu se zdrojem [39] se klasické pojetí systému a SoS liší především v následujících elementech:

• autonomie – autonomie je vykonávána složkovými systémy, aby splnila účel globálního systému, tj. SoS,
• příslušnost – jednotlivé složkové systémy volí příslušnost dle poměru nákladů a přínosů, kvůli naplnění svého vlastního účelu a ve víře v supra-účel SoS; u klasického pojetí systému je příslušnost daná dle jejich povahy a nemůže ji svévolně změnit (např. jako člen jedné rodiny),
• konektivita – nesčetné možné propojení systémů a jejich částí pro zlepšení schopností SoS,
• diverzita – vyšší diverzita (rozmanitost) v schopnostech SoS dosažená pomocí autonomie různých složkových systémů, zaujaté příslušnosti a otevřené konektivity,
• emergence – v pojetí SoS má zvýšena záměrná nepředvídatelnost systému a vytvoření podmínek pro možnost emergence (tj. vzniku) zásadní význam ve smyslu negativním (vznik nepředvídatelných negativních událostí, pohrom) i pozitivním (včasná detekce a eliminace nepříznivého chování systémů).

Element emergence má zásadní vliv pro volbu metod pro práci se systémy, převaha metod exaktních pro klasické systémy, a převaha metod heuristických pro SoS, tj. včetně použití umělé inteligence (angl. Artificial Intelligence – AI), apod.

Pro účely disertační práce chápeme SoS jako množinu otevřených vzájemně propojených systémů [33], dále složených z podsystémů a objektů (komponent) různých vlastností i jejich umístění. Vazby mezi subsystémy a objekty zajišťují potřebné funkce a chování celého SoS [40]. Vzájemné vazby a závislosti, tj. interdependence, jsou dle jejich povahy fyzické, kybernetické, místní a logické [6]. Dále lze interdependence SoS rozdělit na:

• žádané: zlepšují vlastnosti systémů, zařízení a infrastruktur,
• nežádané:

a)     za normálních a abnormálních podmínek: jsou ošetřené projektem dle požadavků legislativy [41],

b)     za podmínek kritických (nadprojektových):

• vedou ke ztrátám systému,
• způsobují, že systémy řádně neplní svoje funkce,
• způsobují, že systémy ohrožují sebe a své okolí.

Při zajištěných jistých podmínek řešeného systému, lze některé situace řešit exaktními metodami. Uvedené podmínky pro zajištění bezpečnosti jsou stanovené v projektu dle jeho životnosti a kritičnosti, v tomto případě hovoříme o projektových kritériích. V případě, že nastanou nepříznivé jevy, resp. nehody, po kterých nedojde k překročení projektových kritérií, resp. podmínek, jde o tzv. projektové jevy (nehody). Bezpečnost zasahuje především do oblasti mimo uvedené limity a podmínky systémů, tj. nadprojektové jevy, resp. nehody.

Pojmy projektové (angl. Design Basis Accident) a nadprojektové (angl. Beyond Design Basis Accident) nehody jsou například formálně definované Mezinárodní agenturou pro atomovou energii (IAEA) [42], ovšem jsou běžně používané i v dalších oblastech řízení bezpečnosti technických děl [41].

Pro odvození závislostí ve složité kritické infrastruktuře, v případě použití, tj. infrastruktura metra, je v předložené práci použita teorie citlivostí, kterou lze ocenit sílu jednotlivých závislostí, tj. míru jejich zranitelnosti, což znamená schopnosti závislostí způsobit selhání (KI, metra). Matice jsou pro jejich následnou analýzu transformované do grafu.

4.2.1     Teorie citlivosti

Z důvodů lepší interpretace a práce s informačními systémy lze zranitelnost definovat také jako citlivost s využitím teorie citlivostí [87,88], kterou lze poptat následujícím vztahem [89]:

 (22)

kde Si je absolutní citlivost výstupní funkce y na parametr vstupní funkce x_i. Přičemž dle zdroje [90] je ve smyslu elektronických systémů y = f(x1,..,,xi,…,xN) síťovou (resp. systémovou) funkcí, jež je závislá na obvodovém parametru x_i. Změna výstupní funkce systému je tedy závislá na její citlivosti a na změně vstupních parametrů x_i, uvedený vztah se z praktických důvodů zapisuje v maticovém tvaru, tj. pomocí matice citlivostí S [90]:

(23)

U elektrických, elektronických a programovatelných elektronických systémů (dále jen E/E/PE) je výhodné počítat s relativní citlivostí a s relativní změnou parametru, protože umožňuje výpočet tolerancí výstupní veličiny, návrhu tolerancí vstupních parametrů, optimalizaci citlivosti elektrického obvodu, hledání nejcitlivějších prvků, tj. prvků s největším vlivem na změny výstupní veličiny [90].

Pro práci s aktivy je vhodné pracovat s citlivostí absolutní, protože ačkoliv jsou dané stupnice pro hodnocení kritičností normalizované, každá funkce aktiva má jiný fyzikální základ.

4.2.2     Maticový zápis a kodifikace názvů

Zvyklost praxe je uvádět vztahy jednotlivých prvků v tabulkách. V našem případě se jedná o citlivost, tedy vztah vstupních veličin (pohromy, resp. aktiva a výstupních veličin (funkce systému, resp. aktiv):

Pro lepší přehlednost je použit maticový zápis znázorněn tabulkou 8.

Tabulka 8 Formát tabulky kritičností aktiv pro jednotlivé pohromy.

Tabulku 8 převedeme do maticového tvaru, ve které y_i označuje aktiva a x_i označuje pohromy. Maticový zápis umožňuje provádět patřičné operace a převod matice do grafu pro analýzu scénářů.

(24)

Vstupní parametry x_i mohou ve skutečnosti představovat také výstupní parametry jiných aktiv (funkcí). V případě, že chceme zobrazit souvislosti více do hloubky, lze kombinací vstupních a výstupních parametrů na obou stranách rovnice vytvořit zřetězení, tj. pro účely práce „zřetězené matice citlivostí“, které v technice znamenají míru zranitelností závislé na míře propojení veličin nebo parametrů [6,33].

V praxi uvedené tabulky a matice mohou nabývat velkých rozměrů a pro zajištění jejich čitelnosti je vhodné zavést přiměřenou kodifikaci názvů. V disertační práci je použito číselné označení pohrom uvedené v příloze B. Použité označení skupin aktiv je uvedeno v Tabulce 9.

Tabulka 9 Použité označení skupin aktiv.

Číselné označení dílčích tříd aktiv použitých níže v disertační práci je z důvodu jejich velkého rozsahu uvedeno v příloze C.

4.2.3     Transformace matic do grafu

Využitím teorie grafů, popsané např. v práci [91], můžeme zranitelnosti zobrazit pomocí ohodnoceného orientovaného grafu. Pro vytvoření grafu je třeba:

• použít matice citlivostí, uvedené v předchozích odstavcích 4.2.1 a 4.2.2,
• transformovat matice citlivosti do matic sousedností, které vyjadřují míry těsnosti propojení sledovaných veličin. Předmětné matice jsou základem pro generování grafů, které vyjadřují míry propojení příslušných veličin.

Pro vytvoření matic sousedností je použit nástroj MS Excel, export souboru s maticemi je dále importován do nástroje určeného pro práci s grafy – Gephi ¹Zpracování a analýza dat, nástroj: G² verze 9.0.2 [92].

Proces transformace do grafu lze rozdělit do následujících kroků:

1. Sestavení matic sousedností (měr těsnosti propojení) z matic citlivostí (měr zranitelností).
2. Sestavení orientovaného grafu – grafická interpretace.
3. Ohodnocení hran (zranitelnost dané vazby – propojení) a uzlů (zranitelnost, resp. kritičnost sledovaných veličin, aktiv).
4. Analýza grafu a grafická interpretace výsledků.

4.2.3.1   Sestavení matic sousedností z matic citlivostí

Matice sousedností [91] vyjadřuje relace mezi dvěma objekty (v uvedeném případě vstupních a výstupních parametrů funkce, respektive mezi uzly, které reprezentují aktiva či pohromy). Jejich sloupce i řádky vyjadřují tutéž množinu objektů ve stejné posloupnosti. Aby bylo možno použít matice citlivostí, je nutné začít se vstupními parametry funkce a následně pak s výstupními parametry funkce takto: APdii02; ATv; Atzb; AVi06 (použitá označení jsou vysvětlená v příloze C).

Podle teorie matic postupujeme tak, že do prázdné matice sousedností dosadíme transponovanou matici citlivostí a za předpokladu, že jde o podklad pro konstrukci orientovaného grafu, ve kterém vztahy jsou jednosměrné, do ostatních pozic matice doplníme nuly „0“. Tabulka 10 reprezentuje výslednou matice sousedností, modře podbarvené buňky tabulky znázorňují transponovanou matici citlivostí.

Tabulka 10 Matice sousedností pro vztah (44) (odstavec 6.1.3).

Předmětný algoritmus lze aplikovat pro všechny předchozí jednoduché vztahy, ve kterých nejsou některé vstupní a výstupní parametry společné. Pro zřetězené matice je nutné brát v potaz právě společné vstupní a výstupní parametry a vytvářet posloupnost uzlů obezřetně. Zápis zřetězené matice je uveden v tabulce 11

Tabulka 11 Matice sousedností pro zřetězené matice (vztah (45) a 6.1.3).

4.2.3.2   Sestavení orientovaného grafu – grafická interpretace

Orientovaný graf je dle definice [91] vyjádřen uspořádanou trojicí:

(25)

kde H je množina hran, U je množina uzlů a σ je incidenční relace vyjádřená vztahem:

(26)

kde u je počáteční vrchol a v je koncový vrchol. Graf G lze plně odvodit z matic sousedností [91]. Graf pro tabulku 10 je na obrázku 13 a pro tabulku 11 je na obrázku 14.

Obrázek 13. Graf pro tabulku 3 (AVi06), [3].

Obrázek 14. Graf pro tabulku 4 (Avi06-m01), [3].

4.2.3.3   Ohodnocení hran (zranitelnost dané vazby) a uzlů (zranitelnost, resp. kritičnost)

Obrázky 13 a 14 znázorňují grafy dle uvedených matic sousedností, ale nereprezentují ohodnocení hran a parametrů uzlů. Ke každé hraně a uzlu lze textem připsat požadované informace (ohodnocení pomocí váhy hrany, resp. zranitelnost či kritičnost uzlu). S využitím SW nástroje [92] lze navíc uvedené parametry různě interpretovat graficky, tj. změna velikosti či barvy hran a uzlů podle jejich vlastností.

Váha hrany je pro účely předložené práce ohodnocení mírou propojení čili mírou citlivosti (resp. zranitelnosti) cílové ho aktiva na vstupní parametr (funkce aktiva či pohroma).

Textové ohodnocení uzlů v disertační práci znázorňuje kritičnost, pokud je pro danou analýzu potřeba (např. Obrázek 21 v odstavci 6.2.3).

Rozměry a barvy uzlů a hran použité v disertační práci jsou popsané v následujícím odstavci.

4.2.3.4   Analýza grafu a grafická interpretace výsledků

Pro zobrazení grafu byl použit nástroj Gephi 0.9.2 [92]. Výchozí zobrazení (rozmístění) uzlů na ploše v nástroji není ideální, proto je nutné rozložení vhodně upravit. Lze využít manuálního rozmisťování uzlů podle potřeby a typu uzlu nebo je také možnost využít známých algoritmů. Zároveň barevné rozlišení uzlů a hran a jejich velikost je vhodné upravit podle jejich stupně, vah a dalších parametrů.

Pro analýzu grafů bylo zvoleno následující nastavení volitelných parametrů, které nástroj umožňuje [92]:

1. Rozložení:
2. silově zaměřené Fruchterman-Reingold [93],
3. oblast: 10000; gravitace: 10; rychlost 1, které ovlivní výsledné rozložení uzlů a hran na pracovní ploše (resp. na plátně) v SW nástroji.
4. Uzly:
5. velikost dle „Stupně dovnitř“; min: 10; max: 50; exponenciálně, uvedené nastavení na pracovní ploše exponenciálně zvětší uzly, které mají více vstupujících hran,
6. barva dle „Stupně dovnitř“; min: černá; max: červená; lineárně, uvedené nastavení na pracovní ploše červeně zabarví uzly, které mají více vstupujících hran,
7. „stupeň dovnitř“ vyjadřuje počet vstupujících hran do daného uzlu bez ohledu na jejich váhu,
8. „stupeň ven“ vyjadřuje počet vystupujících hran z daného uzlu bez ohledu na jejich váhu.
9. Hrany:
10. ve výchozím nastavení tloušťka dle váhy,
11. barva dle „Váhy“; min: černá; max: červená; v intervalu mezi minimem a maximem lineárně rozložená.

Expertní metoda resp. metody dle [86] využívají znalosti a praktické zkušenosti expertů v příslušném oboru k získání: odhadů neměřitelných veličin, odhadů údajů, které nejsou k dispozici a jejichž získání by bylo neúměrně náročně, odhadů budoucího vývoje (stavu), návrhu tvůrčích řešení, apod. Typickým využitím expertů jsou v uvedené množině metod úzké specializované problémy, anebo zejména obecné, složité a komplexní problémy (tj. složitě a špatně strukturované, slabě formalizované, jedinečné a neopakovatelné, s nedostatkem či úplnou absencí objektivní kvalitativní informace, apod.) [86]. Expertní šetření probíhalo v následujících fázích:

1. Výběr expertů.
2. Získání expertních výpovědí.
3. Vyhodnocení expertních výpovědí.

Kvalita výběru expertů přímo ovlivňuje kvalitu získaných výsledků analýzy. Rozhodujícími vlivy jsou počet expertů (tj. pro statistickou významnost získaných výsledků) a jejich relevantní vlastnosti (např. kompetentnost, kreativita, vztah k tématu, konformita, analytické myšlení a šíře myšlení, konstruktivnost, sebekritičnost, tolerance) [86]. Určení počtu expertů a výběr vhodných vlastností jsou parametry závislé na výběru metody pro získání expertních výpovědí a zároveň tímto ovlivňují náklady na analýzu, tj. finanční i časové.

Získání expertních výpovědí může probíhat více způsoby, a to dle [86] podle: způsobu komunikace organizátorů s experty, úrovně komunikace mezi experty během expertního šetření, opakovanosti zjišťování informací, stupně standardizace.

Pro účely disertační práce byla zvolena vícestupňová metoda Delphi.

4.1.1     Vícestupňová metoda Delphi

Uvedená vícestupňová metoda Delphi [23,86] ¹ je metodou získání expertních výpovědí s následujícími vlastnostmi [86]:

• více kolové anketní šetření se zpětnou vazbou,
• dochází k systematickému zpřesňování názoru skupiny expertů,
• anonymita expertů,
• zpětná vazba informací,
• experti mají před dalším kolem k dispozici skupinový názor i netypické názory,
• možnost přihlížet k okolnostem, které si expert dříve neuvědomoval, resp. možnost přehodnocení netypického názoru,
• pokud expert trvá na netypickém názoru, musí jej odůvodnit.

Získání výpovědí probíhá ve více kolech, ve kterých dochází k postupnému upřesňování posledních výsledků. Ukončení metody nastává při dosažení “shody” expertů, nebo je-li dosaženo stability individuálních výpovědí [86]. Nevýhodou metody Delphi je její časová náročnost a vyšší pracnost zpracování otázek se zacílením k požadovaným výsledkům, zpracování anketních dotazníků a interpretace výsledků pro jejich doplnění v dalším kole, resp. stupni odpovědí.

Vyhodnocení expertních výpovědí probíhá dle [86] ve dvou fázích: určení skupinového názoru, a posouzení kvality získaných informací. Určení skupinového názoru lze provést pomocí kvantitativních (aritmetický průměr, modus nebo medián, rozdělení, statistické charakteristiky – rozptyl, kvantilové rozpětí, intervalové odhady, charakteristiky rozdělení) nebo kvalitativních odhadů (nominální stupnice, převod na bodovou kvantitativní stupnici, formalizace a kvantifikace odpovědí).

4.1.2     Využití metody Delphi pro bezpečnostní výzkum provozu metra

Cílem výzkumu provedeného ve spolupráci se zaměstnanci Dopravního podniku hl. m. Prahy bylo ověření metod pro hodnocení kritické infrastruktury a určení kritičností prvků systému. Výzkum probíhal formou expertního šetření. Každý expert byl dotazován pomocí elektronického formuláře [5,16], k jeho vyplnění byl dotázán e-mailem.

Skupina expertů byla volena na základě referencí od vybraných zaměstnanců provozovatele metra a od vybraných poskytovatelů služeb a dodavatelů klíčových zařízení potřebných pro provoz metra. Každý, takto oslovený expert měl možnost doporučit další vhodné experty v následujících oblastech: bezpečnost práce a ochrana zdraví personálu, ochrana majetku, ekonomika provozu, ochrana cestujících, technická a funkční bezpečnost provozu.

Podmínkou pro doporučení experta do expertního týmu byla jeho dlouholetá znalost provozu metra s praxí v různých oblastech uvedených výše a na různých úrovní řízení, tj.: strategické řízení, taktické a projektové řízení, operativní řízení, technický pracovník, technické práce.

Celkem bylo osloveno 18 expertů, kteří byli před zahájením šetření požádáni o vyplnění krátkého dotazníku pro určení kvalifikace experta dle [86].

Dotazování metodou Delphi bylo členěno celkem do 3 fází:

1. Identifikace aktiv (funkce, místa a části systému metra, která jsou důležitá pro jeho bezpečný provoz).
2. Určení důležitosti a zranitelnosti.
3. Scénáře dopadů vybraných pohrom.

Po skončení každého kola dotazování byly výsledky vyhodnocené, a v případě neshod se provedlo upřesnění a odůvodnění, které probíhalo i v několika iteracích. Průběh šetření a jednotlivé otázky pro každé kolo jsou uvedené v příloze A.

4.1.3     Použité stupnice

V uvedeném bezpečnostním výzkumu a v předložené disertační práci pracujeme s kritičností K, jakožto funkce důležitosti D a zranitelnosti Z, v souladu s definicí v odstavci 2.1.3:

K = D x Z 

(21)

Uvedené veličiny jsou závislé na tom, v jaké úrovni systému řízení bezpečnosti danou veličinu posuzujeme, tj. dle přístupu Defence-In-Depth (odstavec 2.1.7 a 2.3.4) a podle zdroje [18] sledujeme následující úrovně (podrobnější popis úrovní pro účely předmětného výzkumu je v příloze A):

1. Bezpečný provoz metra za normálních podmínek (úroveň řízení L1).
2. Bezpečný provoz metra za abnormálních podmínek (úroveň řízení L2).
3. Bezpečný provoz metra při větších odchylkách / zvládání havárií
   (úroveň řízení L3).
4. Řízení provozu a aktiv metra v případě kritických podmínek
   (úroveň řízení L4).
5. Řízení provozu a aktiv metra v případě extrémních podmínek
   (úroveň řízení L5).

Pro veličiny D a Z byly použité ordinální škály, tj. stupnice v rozmezí 1 až 3, se zvážením kritérií pro kritickou infrastrukturu [34,35]. Popis každé číselné hodnoty je uveden v odstavci A.2.1 přílohy A.

Rozdělení pohrom do kategorií relevantní, specifické a kritické dle přístupu All-Hazard-Approach (odstavec 2.1.2 a 2.1.7).

Data o provozu metra – Pražské metro je velký komplexní, tzn. velmi složitý, systém. Každý složitější systém se skládá z několika subsystémů, vazeb a toků mezi nimi. Subsystémy lze dělit z hlediska řízení na řízené a řídicí. Další oblastí jsou systémy zabezpečovací, které plní bezpečnostní funkce, tj. zmírňují rizika, anebo plní důležitou funkci, jejíž výpadek nebo špatné provedení vede k zvýšení rizika nebo přímo k nehodě [4]. Systém pražského metra lze obecně rozdělit na samostatné provozní subsystémy (stanice, vlaky, infrastruktura), řídicí systémy (vozové počítače, dispečerská ovládací centra, sdělovací technika) a systémy zabezpečovací, které zmírňují dopady při realizace rizik (zabezpečovací zařízení, návěstidla, automatická stavědla).

Obrázek 10 popisuje vztahy mezi řídicími, zabezpečovacími a řízenými systémy. Vnější vlivy přímo ovlivňují systémy a mohou způsobit vnitřní chyby systému, které mohou vést k nebezpečným událostem. Z těchto důvodů se mezi řídicí a řízené systémy instalují systémy zabezpečovací, plnící bezpečnostně relevantní funkce, které využívají vstupů řídicích systémů nebo identifikují nepřijatelné poruchy systému či nepřijatelné vnější vlivy a vykonají svojí funkci tak, aby řízený systém uvedli do bezpečného stavu, tj. stavu v které neohrozí sebe ani své okolí.

Obrázek 10. Schéma řízení systému pražského metra [4].

Systém řízení metra, tak jako i jiné systémy řízení městské kolejové dopravy, jsou systémem distribuovaným. Distribuované systémy jsou složeny ze subsystémů (uzlů), které vykonávají dané funkce samostatně bez vazby na druhé, ale jejich propojením lze plnit jiné funkce na vyšších úrovních. Subsystémy distribuovaných systémů tedy vykonávají některé funkce samostatně a jiné funkce až po propojení více subsystémů (uzlů), čímž dostaneme komplexní distribuovaný systém se vzájemnými závislostmi [4].

Bez ohledu na vykonávanou funkci, lze subsystémy metra dále rozdělit do kategorií:

• stacionární systémy – traťové, staniční a dispečerské,
• mobilní systémy – vlaky a jejich zařízení.

Dále uvedený popis pražského metra vychází z práce [4].

3.1      Pražské metro jako řízený systém

Systém řízení pražského metra plní dvě základní funkce – dopravní a ochrannou. Ochranná funkce snižuje dopady pohrom. Dopravní funkce je řízena ze střediska plánování městské dopravy, ze kterého vychází požadavky v podobě jízdních řádů a požadavků na kvalitu provozu. Uvedené požadavky jsou plněny řízenými systémy, tj. infrastrukturou (dopravními cestami a stanicemi), dopravními prostředky a návaznými pomocnými systémy.

Síť metra tvoří páteř celého systému MHD v Praze. Cestující mohou využívat 61 stanic na třech linkách A, B, a C, jejichž délka činí cca 65 km [4,11]. Doprava je vedena na trati umístěné v tunelu, odděleného od okolního prostředí. Pouze v některých úsecích v oblasti depa je provoz vlaku ve venkovním prostoru. Trať je fyzicky oddělená od okolní infrastruktury a neumožňuje přímé napojení jiných dopravních prostředků městské a příměstské dopravy (vlaky příměstské dráhy).

Vozový park čítá dle zdroje [11] cca 730 vozidel, rozmístěných ve 3 depech: Kačerov, Zličín a Hostivař. V pražském metru se používají dva základní typy vozů spojovaných do pětivozových souprav. Vozy typu M1 zajišťují provoz na lince C a jsou vypravovány z depa Kačerov. Druhý používaný typ, zajišťující provoz linek A B, nese označení 81-71M a jedná se o vozy vzniklé rekonstrukcí starších sovětských vozů typu 81-71 [4,11]. Rozložení tras metra je znázorněno v mapě na obrázku 11.

Obrázek 11. Metro Praha – mapa linek [11].

Technologie řízeného systému tvoří samostatné jednotky, které zajišťují hlavní nebo podpůrné funkce provozu. Předmětné jednotky jsou ovládané (řízené) z místa na ovládacím pultu jednotky (tzv. místní ovládání) nebo ze vzdáleného, centralizovaného ovládacího střediska. Zmíněná střediska jsou buď umístěna v technologických místnostech stanic, nebo na centrálním dispečinku metra. Z výše uvedeného je patrné, že do technologické části patří řídící a zabezpečovací systémy metra, ale pro účely předložené práce jsou řídicí a zabezpečovací systémy rozděleny do zvláštních kategorií [4]. Technologické systémy metra dle [4,72] zahrnují:

• energetická zařízení:
• měnírny a distribuční transformovny (trasy stanice metra jsou napájeny několika napájecími zdroji 22 kV, každá stanice má navíc svůj záložní zdroj UPS pro případ výpadku elektrické energie, zabezpečovací a řídicí systémy mají také vlastní nezávislé zdroje),
• zabezpečovací zařízení (staniční, traťové a jejich napájení),
• sdělovací zařízení:
• sdělovací kabely,
• VKV spojení s vlaky,
• zařízení pro automatické odbavování cestujících,
• zařízení průmyslové televize, telefonní zřízení, rozhlasové zařízení,
• hodinové zařízení, elektrickou požární signalizaci,
• elektrickou zabezpečovací signalizaci,
• strojní zařízení:
• pohyblivé schody ve stanicích,
• čerpací stanice ve stanicích a mezistaničních úsecích,
• výtahy ve stanicích,
• dílny a sklady údržby ve stanicích,
• vzduchotechnická zařízení:
• hlavní větrání,
• staniční vzduchotechnika,
• ASDŘ – automatizovaný systém dálkového řízení,
• mobilní stroje a zařízení:
• vozový park,
• zařízení a prostředky pro čištění odpadu, která zahrnují mycí a zametací vozíky, kontejnery na odpad a soustavu žebříků a lešení pro čištění osvětlovací techniky,
• ·            prostředky požární ochrany umístěné ve stanicích, které umožňují rychlý zásah při požáru v podzemních prostorách.

3.2      Zabezpečovací zařízení

Zabezpečovací zařízení v drážním provozu, konkrétně v provozu metra zajišťují bezpečný provoz vlaků na trati. Jejich hlavním úkolem je snížit realizace rizik spojených s nepřiměřenou rychlostí vlaku, špatným nastavením jízdní cesty (obrana proti střetu vlaků) a podobně. Zabezpečovací zařízení se dělí do tří základních skupin [4]:

• staniční zabezpečovací zařízení (SZZ),
• traťová zabezpečovací zařízení,
• vlaková zabezpečovací zařízení (VZZ).

Účelem staničních zabezpečovacích zařízení je zabezpečení vlakových jízdních cest tak, aby se zabránilo střetu vlaků, tj. aby se zajistil bezpečný průjezd navolenou jízdní cestou. V pražském metru se provozuje reléové zabezpečovací zařízení AŽD 71 přizpůsobené pro provoz metra. V nových stanicích a ve vybraných stanicích metra s kolejovým větvením se provozuje elektronické zařízení (SZZ) typu ESA 11 M s napojením na reléová zařízení.

Ve vybrané typové stanici je instalováno zařízení ESA 11 M, které se ovládá buď místně z ovládacího PC zařízení, nouzově z nouzového panelu, vzdáleně na zařízení ASDŘ-D ve stanici pracovníkem SPT (samostatný provozní technik) nebo pomocí systému ASDŘ-D na pracovišti vlakového dispečera z centrálního dispečinku. Staniční nebo traťové zabezpečovací zařízení se také označuje angl. Interlocking [4].

Traťové zabezpečovací zařízení zabezpečuje jízdu následných vlaků a vylučuje jízdu protisměrných vlaků na jedné koleji. V případě pražského metra provozované reléové zařízení AŽD 71 a ESA 11 M [4].

Vlaková zabezpečovací zařízení zabezpečuje příjem návěstních znaků hlavních návěstidel a návěstidel autobloku na vlak a samočinné zabrzdění vlaku, jestliže strojvedoucí nereaguje na návěst nařizující snížení rychlosti nebo zastavení. V mezinárodním pojetí jsou VZZ součástí systému ATC (Automatic Train Control), která se dělí na části ATP (Automatic Train Protection) a ATO (Automatic Train Operation) [4,71,73].

Systém ATP je umístněný ve stanici a na trati, který zasílá řídicí zprávy do mobilní části ATP na vlaku. Vlak příslušná data přijímá a pomocí jednotky ATP zpracovává informace, vyhodnocuje je a provádí příslušné operace. Mobilní jednotka ATP spolupracuje s jednotkou ATO, která ovládá jízdu vlaku, zajišťuje tzv. automatické vedení vlaku podle režimu, na který je režim jízdy vlaku nastaven. V plně automatickém režimu, jednotka ATO ovládá rozjezdy a plynulou jízdu.

Často jednotka ATO vykonává i běžné funkcemi vlaku, jako je automatické hlášení, otevírání a zavírání dveří a podobně. V případě manuálního provozu metra, systém provádí pouze bezpečnostní funkce, kterými jsou například hlídání maximální povolené rychlosti (udaní jízdním profilem, snížené strojvedoucím nebo vzdáleně jiným pracovníkem skrze systém ATP a podobně).

Dalšími bezpečnostními funkcemi systému je například povolení průjezdu vlaku stanicí, povolení odjezdu vlaku ze stanice a rušení příkazů. Může sloužit také k přenášení zpráv do vlaku s informací o čísle vlaku nebo dokonce i s informacemi o jízdních řádech a podobně [4,71,73]. V pražském metru se provozují tři systémy VZZ, tj. zařízení LZA, ARS a zařízení MATRA [4].

3.3      Řídicí systém metra a UGTMS

Řídicí systémy pražského metra nesou název ASDŘ, což znamená automatizovaný systém dopravního řízení. Z hlediska evropských norem se nejedná o zcela přesný název, ale je již v provozu pražského metra řadu let zaveden. Dispečerská pracoviště jsou umístěna na následujících stanovištích pro každou trasu metra A, B a C zvlášť [4]:

• ASDŘ-D vlakového dispečera (pro řízení provozu),
• ASDŘ-E energetický dispečer,
• ASDŘ-T technologický dispečink,
• ASDŘ-O systém osvětlení,
• dispečink sdělovací a zabezpečovací,
• dispečink hasičů,
• dispečink depa se správou vozového parku.

Z hlediska řízení provozu je důležitý systém ASDŘ-D, které slouží k zajištění automatických ovládání některých funkcí technologií a zabezpečovacích zařízení. Například pro SZZ systém ASDŘ-D provádí automatické stavění jízdních cest, to znamená, že na základě zvoleného začátku a konce cesty systém ASDŘ-D vygeneruje sled příkazů pro postavení jízdní cesty [4].

Další funkcí ASDŘ-D jsou vzdálená ovládání technologií a zabezpečovacích zařízení, zde jde o bezpečnostně relevantní příkazy, které plní určité bezpečnostní funkce, protože chybné provedení procesu může zapříčinit nehodu. Například:

• chybná volba rychlostního stupně vlaku nebo neoprávněný či neprovedený příkaz STOP může způsobit nehodu, buď srážku vlaku s osobou anebo vykolejení a podobně,
• špatné hlášení cestujícím ve stanici v případě požáru nebo jiných mimořádných událostí může způsobit paniku, zranění či ztráty na životech, tj. ovlivnit bezpečnost.

V případě budoucího rozvoje metra a požadavku na automatizovaný provoz budou požadavky na bezpečnostní funkce systému ASDŘ vzrůstat, jak je vidět z funkcí řídicích systému dopravy dle evropského standardu EN 62290 [74], popsaného dále.

Systémy pro řízení městské a příměstské dráhy (angl. Urban Guided Transport Management and Command/Control System – UGTMS) jsou definovány normou EN 62290 [74]. Norma je rozdělena do tří částí. První část definuje stupně automatizace řízení, takzvané GOA (angl. Goal Of Automation) a stanovuje obecné požadavky na řídicí systémy. Druhá část normy obsahuje seznam povinných a volitelných funkčních požadavků, které má systém UGTMS splňovat. Část třetí obsahuje bezpečnostní požadavky na systém.

V případě plně automatizovaného provozu, bez strojvedoucího nebo bez obsluhy, jsou specifikované bezpečnostní požadavky na systém v normě EN 62267 [75].

Použitím současného řídicího systému ASDŘ lze provoz pražského metra zařadit ke GOA 2, což znamená polo-automatizovaný provoz. popisuje základní funkce UGTMS a rozdělení odpovědností mezi člověkem a elektronickým systémem dle stanoveného GOA.

Tabulka 5 Stupně automatizace UGTMS dle [74].

Tabulka 6 obsahuje požadavky na rozhraní systému, tj. rozděluje základní funkce systému podle dané stupně automatizace. Jestliže pražské metro definujeme jako systém režimu GOA2 dle [74], řídicí systém musí plnit základní funkce pro zajištění bezpečného pohybu vlaků, řízení vlaku. Další funkce mohou plnit jiné nezávislé subsystémy.  Dle normy EN 62290 musí být systém UGTMS (tj. ASDŘ-D) schopen tvořit rozhraní se subsystémy uvedenými v předmětné normě, pokud jsou použity. Tabulka 6 popisuje rozhraní, prostředí a systémové hranice v souladu se zmiňovanou normou [74] a srovnává je s reálným stavem provozu Pražského metra; detaily jsou v práci [4].

Tabulka 6 Požadavky na rozhraní systému [4].

Funkce pro automatické vybírání jízdného s lokalizací a nástupištní dveře uvedené v tabulce nejsou v systému pražského metra zatím instalované, nicméně v případě dalšího rozvoje (například pro plánovanou trasu D, které cílí na GOA 4) je nutné uvedené funkce a bezpečnostní opatření dle EN 62267 [75] zvažovat.

viz také: Smart train, metro and tramway systems | IEC

4.4      Přenosový systém řídícího systému metra a UGTMS

Obecný popis systému metra vychází z popisu systému řízení pražského metra ASDŘ [4], a evropského standardu pro definici funkcí a parametrů řídicího systému pro řízení městské kolejové dopravy [74], tj. systém UGTMS. Z technického úhlu pohledu můžeme sytém metra rozdělit na systémy řídicí, řízené a ochranné či zabezpečovací, které mají vzájemné vazby a některé společné vstupy a výstupy, jak je uvedeno výše. Vstupem systému jsou informace z procesu plánování provozu, tj. plánované jízdní řády, rozpisy služeb a podobně. Výstupem systému je zajištění dopravního výkonu v požadované kvalitě a v režimu dopravním a snížení dopadů pohrom v případě režimu ochranném [4].

Tabulka 7 obsahuje obecný systém metra dle [4] a obsahuje přiřazení bloků a rozhraní systému (technických a funkčních) dle UGTMS, v návaznosti na obrázek 10, tabulku 6, a dle [63].

Tabulka 7 Obecný model systému metra.

Uvedené funkce a členění dle UGTMS slouží pro vysokoúrovňové zadávací požadavky na systém. Neposkytují však detailní popis vazeb funkcí, parametrů jednotlivých subsystémů, nároků na bezpečnost a kvalitu. Zmíněné vlastnosti je nutné vždy specifikovat dle lokálních požadavků a podmínek návazných a nadřazených systémů, včetně vazeb na povrchovou dopravu, geologických a klimatických podmínek, míry ohrožení všech relevantních pohrom apod.

Dále se vymezíme především na požadavky a vlastnosti jádra systému UGTMS, které je kritickou částí systému řízení a jeho rozhraní, tj.:

• provozní řídící zařízení,
• traťové zařízení (zahrnuje bodový přenos mezi kolejí a vlakem),
• vlakové zařízení (zahrnuje lokalizaci, měření rychlosti a času),
• systém datové komunikace (zahrnuje datovou komunikaci traťového zařízení s provozním řídicím zařízením, komunikaci mezi traťovým zařízením a vlakovým zařízením).

Obrázek 12 popisuje vztah mezi teorií (odstavce 2.4.5 a 3.3), tj. obecným popisem systému a reálným stavem dle [10].

Obrázek 12. Model systému dle EN 62290 a reálný stav [10,63,74].

Na levé straně obrázku 12 je znázorněno členění systému UGTMS dle úrovně řízení (provozní plánování, řízení provozu, řízení vlaků), na pravé straně reálné uspořádání systému ASDŘ-D pro řízení dopravy pražského metra, tj. dispečerská pracoviště spojení komunikačním kanálem s centrálními uzly systému (na této vrstvě jsou znázorněné i rozhraní na další technologické či podnikové systémy), centrální uzly jsou propojené vlastní komunikační infrastrukturou se staničními, traťovými subsystémy. Červené body na pravé straně obrázku 11 značí kritická komunikační rozhraní a přenosové prostředí dle [63]. Označení Cat. 1-3 znamená kategorii přenosového prostření (systému) dle drážního standardu EN 50159 [76].

Při jisté míře abstrakce lze ke klasifikaci kyber-fyzického systému dle obrázku 8 z odstavce 2.4.5 přiřadit bloky systému UGTMS a reálné prvky řídicího systému ASDŘ-D pražského metra [63]:

• řídicí centrum (obrázek 8) – provozní řídicí zařízení – centrální uzly systému ASDŘ-D (respektive staniční řídicí uzly),
• systém (obrázek 8) – traťové a vlakové zařízení – staniční systémy a rozhraní, traťové přístupové body, vlakové komunikační jednotky, vlakové počítače,
• přenosové prostředí A, B (obrázek 8) – systémy datové komunikace – síť dispečerského centra, síť staničních a traťových uzlů, rádiové přenosové prostředí.

3.5      Výsledky analýzy znalostí a praxe z drážního prostředí a provozu metra

Předchozí práce v rámci magisterského a doktorského studia jsou zaměřené na:

• modelové případy (modelová stanice metra) [1,4,20,77,78],
• případové studie [10,63],
• analýzy příčin a následků železničních nehod [16,43,73,79,80],
• porovnání shody normativu a současné praxe v dopravě a průmyslu s legislativou a jejich kritické posouzení [21,40,78,81-83],

induktivní a deduktivní analýzy [43,48,84].

Na základě výše uvedených výsledků, a hlavně podle porovnání shody normativů a praxe lze konstatovat, že v praxi jsou zásadní nedostatky:

Uvedené práce analyzovaly mnoho nedostatků a kritických míst drážního systému, na která ve většině případech navrhují konkrétní procesní i technická opatření.

1. Není řádně zavedeno vrcholové řízení s proaktivním přístupem a přístupem k integrálnímu riziku.
2. Chybí mezioborová komunikace a vazba mezi jednotlivými vrstvami SMS.
3. Požadavky na bezpečnost nejsou řešeny komplexně; nemusí být identifikována všechna prioritní (tzn. významná) rizika.
4. Ve všech vrstvách řízení bezpečnosti chybí koncept All-Hazard-Approach.
5. Absence konceptu Defence-In-Depth pro kritické objekty.
6. Přístup k bezpečnosti a zabezpečení je v české i evropské legislativě pojat odděleně a neřeší vzájemné závislosti, které mohou ovlivnit bezpečnost.
7. Drážní předpisy a normy dostatečně neřeší zabezpečení drážních zařízení.
8. Neuvažují se vazby a toky za hranicemi systému.

Z hlediska systému řízení byly identifikované následující organizační zranitelnosti:

1. Špatně provedená procesní analýza, špatně nastavené procesy a pracovní instrukce nerespektující moderní přístupy řízení bezpečnosti.
2. Nedostatečná organizace, neflexibilní organizační struktura.
3. Neznalosti požadavků z vyšších vrstev SMS nebo jejich nepochopení.
4. Nedostatečná mezioborová komunikace, nejednotnost v terminologii.
5. Nedostatečný monitoring, matoucí informace o zdrojích rizik systému směrem k vyšším vrstvám řízení a naopak.
6. Nedostatečné vazby mezi procesy a rolemi v projektu, vzájemné závislosti jednotlivých rolí.
7. Nedostatečnost kompetencí v dané roli, nejasná definice rolí a jejich odpovědnosti, nedostatečné vzdělání, školení a trénink.

Současná legislativa požaduje rozsáhlou množinu technických i organizačních opatření pro zmírnění známých slabin systému, zejména pokud se jedná o řízení provozu za normálních podmínek, případně při výskytu známých dopravních mimořádností, tzn. dle přístupu Defence-In-Depth (odstavec 2.1.7) jde o zabezpečený provoz při odchylkách nebo v abnormálních podmínkách. Jestliže okolní podmínky přesáhnou očekávanou a známou mez, například při kritických pohromách, legislativní požadavky, a tím i organizační schopnosti podniků začínají selhávat. Dalším aspektem vedoucím k selhání je také míra vynucování legislativy (tj. vynucování zajištění bezpečnosti).

Případové studie na systém řízení z pohledu kyber-fyzických systémů dále ukazují na následující fakta:

1. Prvky aktivní a pasivní bezpečnosti jsou implementovány pouze na základě zkušeností, tj. nekoncepčně, bez stanovení stupnic kritičností aktiv a rizik, bez zohlednění propojení s důležitými okolními a nadřazenými systémy; z hlediska integrální bezpečnosti se jedná o jasné zranitelnosti v oblasti bezpečnosti systému.
2. Není možné zajistit neomezenou dostupnost systému kvůli velkému počtu subjektů, které se na provozu podílejí za různých okolních podmínek; nicméně dostupnost systému lze zlepšit zvýšením informačního výkonu.
3. Vzhledem k rozhraním systémů různých povah jsou včasnost a validita zpráv o poruchách směrem k uživatelům značně limitované (systémy mají různé požadavky na důvěrnost, dostupnost a integritu informací, jiné principy a opatření).
4. Kontinuita provozu systému je ovlivněna dostupností systému, to znamená, že závisí také na informačním výkonu; každý subjekt zavádí do systému jisté nejistoty a neurčitosti, které degradují informační výkon, a proto je kontinuita systému ve skutečnosti závislá na subjektu s nejhorší mírou informačního výkonu.
5. Přesnost systému je vždy méně či více omezena rozsahem, který zužován nízkým informačním výkonem, horším zajištěním informačních aktiv a vyšší systémovou komplexitou (složitostí).

Na základě analýzy příčin a následků železničních nehod byly analyzované následující problémy:

1. Problémy na rozhraní člověk – stroj (HMI, angl. Human Machine Interface).
2. Problémy na rozhraních systémů kyber-fyzických.
3. Problémy na rozhraních systémů socio-technických.
4. Stanovení odpovědností, a to ne jenom mezi subjekty, ale také mezi procesy systémů, tj. technologických děl.

Výše uvedené skutečnosti, zranitelnosti a problémy ukazují právě na složitost SoS, které jsou charakteristické svojí provázanosti, tj. interdependence. Interdependence dle znalostí uvedených v Kapitole 2 jsou dle jejich povahy fyzické, kybernetické, místní a logické [6] a za podmínek abnormálních a kritických (nadprojektových) vedou ke ztrátám systému, a způsobují, že systémy řádně neplní svoje funkce a ohrožují sebe a své okolí.

Zvláštní problémy, které vzájemně interagují, a je potřeba je na základě uvedených analýz v rámci SMS zvažovat, jsou:

• nehomogenity a anizotropie systémů a jejich prostředí – vedou k hysterezím,
• rozhraní systémů a procesů (HMI, kyber-fyzické, socio-technické, různé kritičnosti, aj.) – různé povahy rozhraní a jejich neurčitost stavů za jistých podmínek vedou k selháním,
• kaskádové jevy – vedou k eskalaci a vyšším dopadům selhání.

Informace, informační systémy a technologie zahrnují velmi širokou oblast. Informace jsou dnes vedle materiálních, energetických a finančních zdrojů řazeny k základním faktorům, které určují pokrok, a to nejen technologický, ale také pokrok v ostatních oblastech lidských aktivit [63,64]. Informační toky v systémech vytváří důležitá spojení a spřažení elementů a celých systémů v komplexních technologických objektech [10,25,33,63]. Bez jisté úrovně informace není možné vytvářet ani spravovat procesy v technických dílech a v lidské společnosti [16].

Disertační práce se zaměřuje především na systém řízení provozu pražského metra a informační podporu pro zvyšování bezpečnosti za použití informačních technologií, tj. zvyšování informačního výkonu, který na základě míry znalosti zajistí správné a včasné rozhodnutí, které je důležité především za abnormálních a kritických podmínek. Tímto informační výkon zvyšuje bezpečnost systému. Proto následující odstavce popisují využití informačních systémů, teorii vzniku informace, parametry použitých technologií, míru informace, informační výkon a zabezpečení informačních systémů.

Bližší popis problematiky informačních systémů a technologií v oblasti řízení bezpečnosti technických děl je uveden v pracích [10,16,65].

2.4.1     Využití informačních systémů na drahách

Informační technologie a systémy jsou nástroje pro řízení, anebo v případě automatizovaných provozů, sami řídí kvalitativní i bezpečnostní parametry. Informační systémy a technologie jsou nedílnou součástí drážních systémů.

Tabulka 3 uvádí příklady využití informačních systémů v různých oblastech drážní dopravy, do které spadá i provoz metra na který se disertační práce zaměřuje, dle [65].

Tabulka 3 Příklady využití informačních systémů na drahách [65].

2.4.2     Proces vzniku informace

Vznik informace je podmíněn sledováním jistých vlastností pozorovaného objektu nebo společných vlastností skupiny objektů. Každý informační systém sleduje vlastnosti entit použitím určitého jazyka, což slouží k vytvoření informace o pozorovaném objektu [64,65]¹. Podle způsobu interpretace takto získaných informací se rozlišují typy informačních systémů [64,65]:

• syntaktické informační systémy, které vytváří množinu informačních obrazů stavových veličin pozorovaného objektu,
• procesní informační systémy, které reprezentují množinu procesů.

Akční informační systémy pak zpětnou vazbou ovlivňují původní pozorovaný objekt [64],[65]. Pro účely předložené práce a v rámci řízení drážní dopravy se uplatňují především akční procesní informační systémy.

Proces vzniku informace, informačního systému, proces vzniku nového objektu nebo modifikace objektu je původního složen z následujících podprocesů, respektive množiny vazeb a jejich relací [64], které jsou popsané Tabulka 4.

Tabulka 4 Proces vzniku informace a informační technologie [65].

Proces vzniku informačního obrazu lze také vyjádřit pomocí Freggeho funkcionálního konceptu vzniku informačního obrazu [64], který je složen z množin: 

• O_i – množina stavových veličin na objektu,
• P_i – množina stavů (pozorovatelů),
• Φ_i – množina syntaktických řetězců (tok dat),
• I_i – množiny informačních obrazů stavových veličin,

a jejich vzájemných vztahů popsaných v práci [64], které určují kvalitu procesu vzniku informačního obrazu:

• OP – identifikace,
• PO – invazita (nebezpečí narušení integrity stavových veličin na objektu), 
• PΦ – projekce v množině symbolů a syntaktických řetězců,
• ΦP – korekce a identifikace neurčitelnosti,
• ΦI – interpretace, vznik informace,
• IΦ – reflexe jazykových konstruktů,
• IO – relace funkčních a strukturální uspořádání,
• OI – verifikace integrity.

Z tabulky 4 a dle zdroje [64] lze odvodit následující definice:

• data – neinterpretované údaje o stavu objektu,
• informace – interpretovaná data, údaje, signály vedoucí ke změně uspořádanosti v systémech reálného světa či vědomí.

2.4.3     Kvalitativní vlastnosti informačních systémů a technologií

Kvalitativní vlastnosti informačních systémů a technologií lze ovlivňovat vhodným nastavením jejich parametrů, kterými jsou např. množství informace dané množstvím možných zpráv omezených počtem znaků, parametry přenosové matice definované vzorcem (11) níže, která určuje schopnost interpretace a filtrace, komunikativnost systému a propustnost informací [65].

Pro praxi je důležité ocenit „velikost informace“ [65]. Míru informace dle [64] charakterizujeme nejčastěji Hartleyovou mírou informace pro binární systém symbolů (tj. pro většinu současných kyber-fyzických systémů). Vyjadřujeme ji vztahem:

(8)

ve kterém N reprezentuje počet možných zpráv (údajů):

(9)

ve kterém S je počet znaků v abecedě A (A1,A2,…AS)  a n je počet prvků v množině znaků.

Procesní informační systémy charakterizujeme dle [64] grafy přiřazenými relacím:

(10)

ve kterých I_i=1,2..n je informační obraz stavových veličin, množina stavů P a syntaktických řetězců (informačních toků) ϕ v čase t.

Předmětné přiřazení umožňuje strukturální interpretaci složitých informačních systémů, hodnocení zpětných vazeb a kvalitu převozu a zpracování informace v dílčích informačních systémech [64] a jeho informační segment vychází z maticového vyjádření [65]:

(11)

ve kterém T_i je přenosová matice i-tého informačního segmentu (tj. segmentu informačního výkonu).

V reálném systému ze vztahu (10) vyplývá, že informace nebo množina informací I_i je propojena s množinou stavů sytému a informačních toků v čase. Informační segment ze vztahu (11) můžeme přiřadit například systému sběru dat, kde I1 jsou vstupní (počáteční) informace, ϕ₁ vstupní informační tok a na druhé straně na výstupu daného systému I2 jako vstupní informace a přenesený informační tok ϕ₂ [65]. Parametry t lze získat jak kvantitativní, tak i kvalitativním způsobem [63,65] a v předmětném příkladu dle zdroje [64] představují:

t_a – schopnost interpretace (pro ta < 1 má systém velmi malou znalost a schopnost interpretace, pro t_a=1 má schopnost interpretace vlastností objektu v informačním systému, pro t_a > 1 se jedná o expertní systém se schopností reprezentace vlastních informací o objektu na základě získaných údajů a dat),

t_b – schopnost filtrace (v případě t_b < 1 systém na svém výstupu interpretuje menší množství informací než které získá na jeho vstupním informačním toku, pro t_b > 1 naopak),

t_c – komunikativnost (schopnost poskytnout výstupní informační tok na základě vstupních informací),

t_d – propustnost informačního systému (schopnost převést vstupní informační tok na jeho výstupní informační tok, v případě redundance je td mnohem větší než 1).

2.4.4     Informační výkon a jeho vztah k bezpečnosti

Pro zajištění bezpečnosti systému systémů je důležité vytvářet taková spřažení mezi systémy, které poskytují vysokou úroveň kvality propojení, tj. kvalitativních parametrů systémů [65], kterými jsou dle [25,63]:

• bezpečnost vystupující na úrovni systému systémů,
• celistvost (integrita) opatření,
• spolehlivost systému systémů,
• kvalita aktivních a pasivních opatření zvyšujících bezpečnost jednotlivých systémů,
• dostupnost určitého systému či zařízení vždy v případě potřeby,
• kontinuita procesu aplikace opatření,
• přesnost provádění opatření.

Uvedené systémové parametry jsou přímo závislé na efektivnosti informačních systémů, které zajišťují požadovanou správnost a včasnost informace a v případě akčních informačních systémů také rychlost správného rozhodnutí. Úroveň efektivnosti informačního systému se vyjadřuje pomocí veličiny informačního výkonu [63-65]:

 (12)

kde P_i(t) je okamžitý informační výkon [63-65]. Informační výkon P vyjadřuje obsah přenesené dekódované zprávy I v informačním toku Φ. Informační výkon je také roven velikosti míry odstranění nejistoty E znalosti (tj. z fyziky množství práce) na jednotku času t [64]:

(13)

Pro složité (komplexní) systémy, kvůli nehomogenitě informačních typů (množství, obsahu, správnosti, validity informací), je obtížné informační výkon jasně kvantifikovat. Kvůli výše uvedenému je nutné informační výkon neustále zlepšovat tak, aby byla zajištěna co nejvyšší míra kvality prováděné funkce řídicího systému [63-65]. Pro zvyšování informačního výkonu, a minimalizování zdrojů nutných pro tvorbu předmětných systémů, se v praxi využívá řada metod, kterými jsou například [63-65]:

• COBIT pro audit informačních systémů z hlediska vrcholového řízení [66],
• ITIL pro správu informačních systémů a služeb,
• refaktoring, tj. změny SW systému, které zlepšují jeho interní strukturu a využívání zdrojů, ale neovlivňují jeho vnější funkční chování [64].

Pro zajištění bezpečnosti řídicích systému je proto důležité provozovat takové informační systémy, které poskytují co nejrychlejší a správné rozhodnutí, což úzce souvisí s informačním výkonem [64].

Pravděpodobnost správného výběru variantního řešení z množiny řešení a pravděpodobnost správného rozhodnutí v provozu řídicího systému, tj. PCD (Probability of Proper Decision), je dána funkcí závislé na úrovně znalosti funkce „k“ a informačního toku v čase „Φ ( t )“ [63-65]:

CD = F [ Φ ( t ), k ]. 

(14)

Z uvedeného vyplývá, že řídicí systémy, které se opírají o vyšší úroveň znalostí, jsou schopné rychlejšího správného rozhodnutí při menší zátěží, tj. rozhodují rychleji [65].

Správně zvolené parametry informačních technologií a systémů zajišťují velikost jejich informačního výkonu, tj. kvalitu informace umožňující efektivní reakci systému na případné nežádoucí stavy. Tímto zlepšují bezpečnost drah, a to nejen v normálních podmínkách, ale i v abnormálních a zejména kritických podmínkách [63,65].

2.4.5     Kvalita přenosového systému

Vzhledem k povaze řešeného úkolu v předložené práci, tj. distribuovaného dopravního systému s geograficky od sebe vzdálenými systémovými uzly, je vhodné uvést vztahy popisující kvalitu přenosu informace v přenosovém prostředí (3. proces dle tabulky 4). Uvažujme proto řídicí systém se zpětnou vazbou vyjádřený obrázkem 8 v souladu s [10,67,68].

Kvalita funkcionality uvedeného kybernetického systému je tedy ovlivněna dvěma základními faktory [10]:

• správným chováním systému a řídicího centra,
• korektním přenosem dat mezi uzly kybernetického systému.

Pro exaktní matematický popis obou faktorů, tj. individuálního komunikačního kanálu a celého kybernetického systému, použijeme model Gaussova přenosového kanálu [69] a Bayesovu teorii (podmíněnou teorii pravděpodobnosti) [10,23].

Pro komunikační kanál bez paměti (bez ohledu na výstup v čase menším, než je bod t) dle [10] platí:

(15)

Pro komunikační kanál s pamětí (např. kanál se zpětnou vazbou), s daty do času M, dle [10] platí:

(16)

Pro kybernetický systém popsaný na obrázku 8 s parametry

 byly v [10] odvolené následující vztahy:

• systém:

(17)

• řídicí centrum:

(18)

• komunikační prostředí A:

(19)

• komunikační prostředí B:

(20)

2.4.6     Zabezpečení kyber-fyzických systémů

Paralelně ke zvyšování informačního výkonu se v praxi, a zejména v případě kritické infrastruktury, zvyšují nároky také na bezpečnost a zabezpečení. Bezpečnost kyber-fyzických systémů spočívá v zabezpečení informací systému tak, aby mohl řízený systém vykonávat své funkce bezpečně, tj. aby svými poruchami neohrozil sám sebe ani své okolí. Proces zajištění bezpečnosti informací (resp. Jejich zabezpečení) spočívá v ochraně důležitých aktiv kybernetického (informačního) systému tak, aby byla pro důležité informace zajištěna požadovaná úroveň dostupnosti, integrity a důvěrnosti (z angličtiny známé jako CIA – Confidentiality, Integrity, Availability) [52,65]. Na rozdíl od systémového pojetí uvedeného v předchozí kapitole, z hlediska informačních technologií zajištění CIA dle [52] znamená zajištění:

• důvěrnosti – informace není dostupná nebo není odhalena neoprávněným jednotlivcům, entitám nebo procesům,
• integrity – informace je úplná a přesná,
• dostupnosti – přístupnost a použitelnost informace vždy na žádost oprávněné entity.

Dostupnost a integritu lze vyjádřit například pomocí pravděpodobnostních parametrů ve vztazích (15) až (20) uvedených výše.

Důvěrnost v sobě zahrnuje další atributy a metody pro své zajištění. Často jsou předmětné metody v protikladu se zajištěním dostupnosti a integrity, protože se zajištěním důvěrnosti zvyšujeme například časové nároky na kódování a dekódování, přenos, autentizaci a podobně [52,65]. U procesních informačních systémů v dopravě fungujících v reálném čase, na rozdíl od jiných informačních systémů, převládají především požadavky na dostupnost a integritu, kdežto důvěrnost nemá tak velkou prioritu [52,65].

Pro zajištění kvality, informačního výkonu a bezpečnosti kybernetických systémů se aplikují přístupy procesního a projektového řízení typu TQM [8], ze kterých vychází výše uvedené metodiky i mezinárodní a evropské standardy pro systémy řízení [10,63,65]. Účelem předmětných systémů řízení je najít ekonomicky efektivní procesy zajišťující jistou míru kvality a bezpečnosti kyber-fyzických systémů, a to především ve fázi jejich návrhu, analýzy, vývoje, provozu i obnovy a likvidaci.

Každý systém pracuje správně pouze za jistých předpokladů, tj. okolních podmínek. Proto musí mít kyber-fyzické systémy stanovené jisté limity a podmínky, které podmiňují jejich kvalitativní parametry (tj. bezpečnost, spolehlivost, dostupnost, celistvost, kontinuita a přesnost) [22,41].

Návrh procesního modelu pro zabezpečení kyber-fyzických systémů je uveden například ve zdrojích [10,63,65,70,71].

Systémy řízení bezpečnosti (dále jen SMS) lze rozdělit do tří dimenzí: vertikální rozdělení dle řešení problému (obrázek 5) [2], horizontální rozdělení dle oblastí působnosti (pro účely předložené práce to je drážní doprava) [20] a třetím je rozdělení dle stupně kritičnosti dané události (řízení za stavu normálních podmínek, v odchylkách od normálního stavu, v abnormálních a kritických podmínkách).

Obrázek 6 znázorňuje proces řízení bezpečnosti dle na různých úrovních jako návazné podprocesy, cílem je zmírnit rizika pohrom a jejich dopady metodami pro řízení rizik a bezpečnosti, které sami o sobě nepokryjí veškeré události a nezajistí totální bezpečnost (znázornění oranžově), proto se zavádí proaktivní přístupy a implementují se opatření (znázorněné zeleně), odpovědnost za danou implementaci je uvedená v šedé části.

Následující odstavce popisují z hlediska integrální bezpečnosti ty nejdůležitější úrovně řízení bezpečnosti, dle zdroje [19,47].

2.3.1     Vrcholové řízení bezpečnosti

Vrcholové řízení bezpečnosti je základním kamenem řízení na úrovni politické a spočívá na identifikaci a analýze rizik mezi různými oborovými odvětvími. Analýza a řízení rizik počínaje v nejvyšší vrstvě na úrovni celého státu umožňuje identifikovat prioritní rizika a chráněná aktiva státu včetně stanovení kritičnosti objektů kritické infrastruktury [6]. Výstup řízení bezpečnosti vyšší vrstvy musí sloužit jako vstup pro řízení bezpečnosti na nižších úrovních, tj. konkrétního území, kritické infrastruktury a vybrané kritické objekty [26] (tj. strategická a taktická úroveň).

Vrcholové řízení bezpečnosti zahrnuje následující postupy blíže popsané v [6], Zásady řízení rizik složitých technologických zařízení (cvut.cz):

1. Určit seznam relevantních živelných a jiných pohrom.
2. Provést analýzu poznatků a zkušeností, spojených s každou relevantní živelnou či jinou pohromou.
3. Provést hodnocení dopadů každé sledované živelné či jiné.
4. Provést ocenění sledované živelné či jiné pohromy.
5. Regulovat činnosti v dané oblasti pro zmírnění dopadů pohrom.
6. Soustavně ověřovat přijatou metodiku vrcholového řízení bezpečnosti.

Aplikace zásad řízení na drážní systémy je provedena v práci [20].

2.3.2     Řízení bezpečnosti pro konkrétní území

Vrcholové řízení bezpečnosti státu poskytuje vstupy pro řízení bezpečnosti konkrétních území. Aby řízení bezpečnosti bylo efektivní, musí pracovat s integrálním rizikem a aplikovat přístupy All-Hazard-Approach, tj. přístup zvažování všech relevantních pohrom pro danou oblast [26]. Určí se dopady jednotlivých pohrom na aktiva entity, například pomocí metody What/IF. Dále se určí četnosti a provede se klasifikace pohrom [13]. Získáme rozdělení pohrom na relevantní pro konkrétní území, z relevantních pohrom určujeme pohromy specifické a kritické [4,13,19].

Pro veškeré relevantní pohromy se v rámci prevence v projektu a zhotovení aplikují společná opatření, jejichž zásady jsou v legislativě [41].

Pro specifické a kritické pohromy se aplikují kromě prevence i specifická opatření, jejichž aplikace povede ke zmírnění dopadů při odezvě [22], tj. pro provoz se zpracovávají nouzové plány a u kritických pohrom pak i plány kontinuity (pro podniky) a plány krizové (pro území).

Aby bylo možné zmírňovat dopady pohrom, je zapotřebí znát jejich rozsah, velikost a podrobnější popis. Proto se vytváří scénáře dopadů, kterými jsou například: scénáře záplavového území, scénář rozletu úlomků, scénáře šíření požáru, mapa seismických zón, mapa srážek a podobně. Odezva na specifické pohromy se provádí s využitím standardních finančních i lidských zdrojů, sil a prostředků dle povodňových plánů, havarijních plánů, plánů kontinuity a podobně [2,4,19].

Pro případ výskytu kritické pohromy je nutné vytvořit adekvátní schopnost zvládnout dopady [6]. Jedním z bodů připravenosti je mimo jiné zpracování scénářů odezvy (zásahů), s ohledem na vlastnosti pohromy na daném území. U scénářů odezvy na kritické pohromy nejsou standardní zdroje, síly a prostředky dostatečné, proto se počítá s nadstandardními zdroji, připravují se typové plány, vytváří se finanční zálohy a krizové plány [2,4,19,41].

2.3.3     SMS technických děl zacílený na bezpečnost a zabezpečení

V úvahách, koncepcích, a praxi [6,27] se rozlišuje SMS, který zajišťuje bezpečné technické dílo, jeho bezpečné okolí a bezpečnostní systém (ve smyslu zabezpečení, tj. angl. Security System), tj. systém zajišťující zabezpečené technické dílo. První jmenovaný zahrnuje v sobě druhý, protože obsahuje nejen prvky systému, ale i pravidla pro hierarchicky uspořádané soubory opatření a činností, kterými se zajišťuje jistá úroveň bezpečnosti sledovaného technického díla a jeho okolí a která jsou navázaná na momentální situace, krátkodobé i strategické cíle řízení bezpečnosti.

Cíle prvního systému jsou stále proaktivně zvyšovat úroveň bezpečnosti v čase a technickém díle, které má jasný prostorový obsah a ke kterému patří i lidská společnost) tím, že se provádí soustavný monitoring a prognózy, předem se připravují plány akcí na možné situace a ve správném okamžiku se aplikují opatření a činnosti, které rychle stabilizují technické dílo při výskytu pohromy a vedou k růstu bezpečnosti v území a čase. Cílem komplexního SMS území je integrální neboli ucelená či sjednocená bezpečnost s ohledem na chráněná aktiva a udržitelný rozvoj technického díla a jeho okolí.

Komplexní SMS technického díla má nadřazená pravidla, kterými řídí bezpečnost dílčích systémů řízení bezpečnosti v technickém díle, protože bezpečnost technického díla je chápaná jako vlastnost na úrovni celku, přičemž obecně platí, že soubor bezpečných systémů není bezpečný systém [6].

Systém řízení bezpečnosti technického díla (tj. v našem případě systém drážní dopravy) musí dle práce [6] založené na směrnici OECD [46] a konceptu bezpečnosti OSN 1994 [9], který sleduje jak vlastní chráněná aktiva, tak veřejná chráněná aktiva, zahrnovat šest hlavních procesů (blíže popsaných v [6]) pro:

SMS zahrnuje organizační strukturu, odpovědnosti, praktiky, předpisy, postupy a zdroje pro určování a uplatňování prevence pohrom či alespoň zmírnění jejich nepřijatelných dopadů v komunitě a jejím okolí. Opírá se o koncepci prevence pohrom či alespoň jejich závažných dopadů, která zahrnuje povinnost zavést a udržovat systém řízení., ve kterém jsou zohledněny dále uvedené aspekty (popsané v [6]):

1. Role a odpovědnosti osob.
2. Plány pro systematické identifikování závažných ohrožení.
3. Plány a postupy pro řízení bezpečnosti všech komponent a funkcí technického díla.
4. Plány na implementaci změn v technickém díle (území, objektech i zařízeních).
5. Plány na identifikaci předvídatelných nouzových situací.
6. Plán pro pravidelné hodnocení souladu s cíli.
7. Plán pro pravidelné hodnocení mechanismů pro vyšetřování a provádění korekčních činností v případě selhání dílčích opatření a činností s cílem dosáhnout stanovené cíle bezpečnosti.
8. Plán na periodické systematické hodnocení koncepce bezpečnosti, účinnosti a vhodnosti SMS.
9. Plán na periodické systematické hodnocení kritérií pro posuzování úrovně bezpečnosti vrcholovým týmem pracovníků.

Komplexní SMS technického díla stanovuje obecné principy pro plánování zajištění bezpečnosti technického díla v proměnném světě. Jeho základní principy jsou určené pro všechny zúčastněné, tj. jak řídící pracovníky a zaměstnance technického díla, tak veřejnou správu, která dává povolení ke zřízení a v zájmu bezpečí lidí i státu musí provádět dohled nad provozem technického díla [6].

2.3.4     SMS pro systémy systémů (SoS)

V moderním pojetí řízení bezpečnosti se pro složité technologické objekty, tedy SoS, používá dvou principů, a to All-Hazards-Approach [26] a zobecněná „ochrana do hloubky“ (Defence-In-Depth) [16,22,25]. Obecný koncept obrany do hloubky pro technologické systémy (objekty, infrastruktury) byl definován v práci [25]. Jedním z výsledků výše uvedené práce je definice pětistupňového modelu řízení bezpečnosti technologického objektu. Obrázek 7 znázorňuje implementaci uvedeného modelu konkrétně pro drážní systém v kontextu s vyššími úrovněmi řízení dle [48].

Při rozlišení míry bezpečnosti objektů a infrastruktur se dle zdroje [25] používá bezpečnostní charakteristika, dle které má objekt jednostupňovou nebo až pětistupňovou ochranu do hloubky, obrázek 7. Jednotlivé systémy řízení bezpečnosti zajišťují aplikaci technických, provozních a organizačních opatření a činnosti, které jsou navrženy tak, aby buď zabránily iniciaci řetězce škodlivých jevů, anebo ho zastavily.

Principy možných opatření pro jednotlivé vrstvy následovné [4,19,22,25,47]:

1. Prevence abnormálního provozu a selhání. V návrhu, výstavbě a konstrukci inherentně používat principy bezpečného projektu, tj.:
2. All-Hazards-Approach, proaktivní, systémový aplikující integrální riziko, tj. i dílčí rizika spojená s vazbami a toky hmotnými, energetickými, finančními a informačními v dílčích systémech i napříč nich,
3. správná práce s riziky,
4. a monitoring, ve kterém jsou zabudovány korekční opatření a činnosti).
5. Řízení / ovládání abnormálního provozu a detekce selhání. Řídicí systém objektu musí mít základní řídící funkce, alarmy a reakce operátora zpracované tak, aby technologický objekt byl udržen v normálním (stabilním) stavu za normálních podmínek.
6. Řízení / ovládání havárií pomocí projektových opatření. Technologický objekt musí mít speciální řídicí systémy orientované na bezpečnost a ochranné bariéry, které ho udržují v bezpečném stavu i při větší změně provozních podmínek (tj. při abnormálních podmínkách) a zabraňují vzniku nežádoucích jevů, což znamená, že má dobrou odolnost. Předmětné systémy udržují bezpečný provoz i za změny podmínek nebo mají schopnost zajistit normální provoz po aplikaci nápravných opatření (vyčištění, oprava…).
7. Řízení / ovládání kritických podmínek včetně prevence dalšího rozvoje havárie a zmírnění dopadů havárie. Pro případ, že se vyskytnou kritické podmínky, které způsobí, že dojde ke ztrátě ovládání objektu, musí mít technologický objekt systém opatření pro vnitřní nouzovou odezvu, zmírnění dopadů, a pro návrat do normálního provozu (plán kontinuity a vnitřní nouzový / havarijní plán). 
8. Zmírnění dopadů havárie vně objektu. Pro případ, že dopady ztráty ovládání technologického systému postihnou okolí techno-logického objektu, musí mít technologický systém opatření i pro vnější odezvu, zmírňující opatření pro prevenci ztrát v objektu; a kapacitu pro překonání obtíží.

2.3.5     Řízení bezpečnosti v dopravě

Systémy řízení bezpečnosti v dopravě jsou částečně definovány Evropskými směrnicemi a následně příslušnou legislativou členských zemí. Legislativa je rozdělená pro každou oblast dopravy zvlášť a je velmi stručná nebo v mnoha případech nejasná či nedostatečná [19].

V průmyslu se pro řízení bezpečnosti uplatňují především systémy řízení kvality založené na procesním a projektovém řízení TQM, s implementovaným procesem analýzy rizik, respektive standardu ISO 9001 [49] s rozšířenými požadavky pro kvalitu i bezpečnost výrobků v dané oblasti. Pro elektronické systémy, tj. elektrické / elektronické / programovatelné (E/E/PE) se v průmyslu zavádí mezinárodní standard funkční bezpečnosti IEC 61508 [50]. Uvedené přístupy a standardy systémů řízení jsou pro každou průmyslovou oblast upraveny a doplněny příslušnými standardy uvedenými v následujících odstavcích.

Pouze velmi úzká skupina subjektů zahrnutých do kategorie subjekt kritické infrastruktury je podřízena krizovému zákonu [34] tzn., zavádí alespoň základní principy krizového řízení, má povinnost vypracovat plán krizové připravenosti na základě krizového plánu dotčené oblasti, který je pravidelně přezkoumáván, a je odpovědná za veškerou součinnost s dalšími subjekty uvedenými v zákoně.

Oblasti řízení bezpečnosti zahrnují také systémy řízení bezpečnosti informací (ISMS) a kybernetické bezpečnosti (angl. Cyber Security). Zde je nutné poznamenat, že se ve skutečnosti jedná o zabezpečení informací a zabezpečení kyberprostoru (od anglického slova Security), ale v českých podmínkách se ujal nepřesný pojem bezpečnost informací. Účelem uvedeného systému je zajistit tzv. důvěrnost, integritu (tj. celistvost) a dostupnost informace v organizaci, resp. kybernetickém prostoru jakéhokoliv systému.

Povinnost zavádění ISMS mají pouze některé subjekty definované v zákoně o kybernetické bezpečnosti [51], jedná se o vlastníky či provozovatele kritické informační infrastruktury nebo provozovatele kritické infrastruktury dle zákonem stanovených kritérií. Standardů v této oblasti existuje mnoho, základními jsou normy řady ISO/IEC 27000 [52] pro systémy řízení bezpečnosti založené na systému řízení standardů řady ISO 9001 [32]. ISO norma řady 27000 [52] je uznávaná zmíněným kybernetickým zákonem [51].

Další normou je IEC 62443 [53] pro zabezpečení průmyslové automatizace a řídicích systémů, která obsahuje jak procesně organizační požadavky, tak i technické požadavky na výrobky v průmyslových sítích zvyšující jejich kybernetickou bezpečnost. Dále jsou známé standardy pro hodnocení úrovně zabezpečení produktů v informačních technologií ISO/IEC 15408 [54], z angličtiny Common Criteria (CC).

Kromě leteckého průmyslu se v průmyslových oblastech v dopravě informační, resp. kybernetická bezpečnost nezavádí vůbec nebo pouze v dílčích a úzce zaměřených oblastí. V leteckém průmyslu se doporučuje integrace systémů řízení, kde vedle systému řízení bezpečnosti (SMS) je integrován i systém zabezpečení (SeMS) nejen pro plnění požadavků předpisu L17 [55]. V rámci SeMS lze požadavky normy ISO/IEC 27000 uplatnit.

Výše uvedená fakta implikují tvrzení, že jsou současné dopravní systémy zabezpečené z hlediska funkční bezpečnosti, ale nepřipouští, že se mohou vyskytnout i jiné nepředvídatelné události. Například kybernetický útok a další pohromy (i živelní) mohou uvažovaný systém uvést do abnormálních a kritických podmínek, které výrazným způsobem ohrožující své okolí, dle obrázku 2 v podkapitole 2.1.4.

Následující odstavec se, vzhledem k tématu případové studie v disertační práci, zaměřuje pouze na SMS v železniční dopravě. Porovnání přístupů SMS v ostatních oblastech dopravy je uvedeno ve zdrojích [19,47].

2.3.6     SMS v železniční dopravě

V rámci železniční dopravy je základním dokumentem Směrnice o bezpečnosti železnic [56]. Uvedená směrnice vedle SMS zavádí i společné bezpečnostní cíle (angl. Common Safety Targets – CST) a společné bezpečnostní metody (angl. Common Safety Methods – CSM), např. dle [57] při jakékoliv technické, provozní a organizační změně je nutné tuto změnu zdokumentovat, posoudit a odůvodnit její vliv na bezpečnost, tj. aplikovat metodu analýzy a řízení rizik.

Část výše uvedené směrnice vztahující se k SMS [56] byla v CŘ transponována do Vyhlášky o systému bezpečnosti provozování dráhy a železniční dopravy a postupech při vzniku mimořádných událostí na dráhách [58]. SMS má dle této Vyhlášky povinnost zavádět pouze provozovatel dráhy, s tím, že při tom respektuje pouze systém za normálních podmínek a při tzv. mimořádných událostech. Mimořádné události se ohlašují Drážní inspekci, která události vyšetřuje a je-li potřeba, navrhuje bezpečnostní opatření.

Drážní průmysl není vždy povinen, ale je konkurenčním prostředím stimulován k zavedení drážního standardu IRIS [59], který je integrován do stávajícího systému řízení. IRIS rozšiřuje požadavky systému řízení jakosti (dle ISO 9001 [49]) s důrazem na kvalitu a bezpečnost vyvíjených a instalovaných systémů v jejich celém životním cyklu, tj. mimo jiné implementuje požadavky EN 50126 pro prokázání bezporuchovosti, dostupnosti, udržovatelnosti a bezpečnosti systému (RAMS) [60]. Principy funkční bezpečnosti jsou dále rozšířené normou EN 50129 [61] pro bezpečnostně relevantní systémy (zabezpečovací zařízení) a EN 50128 [62] pro jakýkoliv software aplikovaný na drahách. Uvedené evropské normy jsou založené na funkční bezpečnosti dle IEC 61508 [50]. Bližší informace o požadavcích standardu IRIS a jemu příbuzných norem jsou uvedeny v práci [48].

Současné poznání ukazuje, že při řešení problémů současného světa je pro bezpečnost technických děl nutno zvažovat systémovou podstatu, jednotlivé entity a skutečnost, že u velkých technických děl jde o složité systémy, jejichž struktura je popsána modelem SoS [19]. Aktiva každé entity jsou: všechny základní veřejné zájmy, (tj. životy, zdraví a bezpečí lidí, majetek, veřejné blaho, životní prostředí, kritické infrastruktury a technologie [2], zájmy spojené s plněním úkolů, ke kterým byla entita zřízena); prosperita (zisk); a soulad entity se státem v místě působení. Poslední vyjmenovaná tři aktiva jsou typická pro soukromé entity, jako např. pro systém provozující železniční dopravu.

Pro úplnost je třeba uvést, že aktiva lidského systému jsou strukturní elementy a že vazby a toky energií, hmot, informací a povelů mezi nimi jsou vytvářeny fyzikálními, biologickými, chemickými, společenskými, sociálními či psychickými zákonitostmi, které jsou spojené s hmotnou a energetickou podstatou světa, legislativou, financemi, etickými a morálními pravidly, tj. představují toky v architektuře sledovaného systému [43]. ¹

(zdroj článku Bezpečnost technických děl: Posouzení bezpečnosti vybraného kritického objektu z pohledu integrální bezpečnosti a návrh opatření na snížení kritičnosti objektu – Bezpečnost technických děl (cvut.cz))

2.2.1 Vztah systému s jeho okolím

V realitě každý systém existuje v rámci nějakého kontextu nebo okolí a ze vztahu mezi systémem a okolím vyplývá, že vlastnosti okolí se odráží ve vlastnostech systému. Proto např. se Bossel [44]²zabýval uvedenou skutečností a ukázal základní vlastnosti systému, které souvisí s chováním okolí systému. Tabulka 2 shrnuje současné poznání v předmětné oblasti.

2.2.2 Bezpečnost a rizika technických děl

Bezpečnost technických děl v současném pojetí založeném na dokumentu OSN z r. 1994 [9] je soubor opatření a činností, které provádí člověk, aby zajistil své bezpečí a udržitelný rozvoj. V uvedeném pojetí bezpečnost zahrnuje jak funkčnost, tak spolehlivost.

Analýza a syntéza poznatků a zkušeností uvedených v odborných publikacích, shrnutá v knize [6] ukazuje, že bezpečnost drážního systému (v integrálním smyslu) lze naplnit jen tehdy, když se při jejím řízení: zvažují všechna výše uvedená aktiva; používá současné poznání v kontextu teorie systému; a drážní systém provádí své činnosti tak, aby nezpůsobovaly jevy, které by vedly k desintegraci až rozpadu drážního systému, anebo až celého lidského systému, tj. i jejího okolí. Jinými slovy cíl je možné dosáhnout jen tehdy, když technické dílo:

• zná a zvažuje všechna možná rizika v detailech i souvislostech (tzv. All Hazard Approach v představě zpracované pro Evropu v rámci projektu FOCUS [45],

• má správně nastavené řízení rizik.

Řízení rizik složitých systémů není jednoduché, protože jejich chování a stav jsou ovlivněny procesy a jevy, které probíhají uvnitř i vně systému, a navíc jejich dopady se modifikují spletitou sítí vazeb a toků, které jsou uvnitř podsystémů, napříč podsystémů, napříč celého systému i v okolí. Řízení rizik proto musí být komplexní a jeho priority musí být zaměřeny na bezpečí a udržitelný rozvoj entity [6].

2.2.3 Charakteristika systémů (pro bezpečnost technických děl)

Ze současného poznání systémů a způsobů jejich ovládání (dle zdrojů [6,17,27] a v pracích v nich citovaných), z vlastního výzkumu v oblasti fyzikálních a geovědních disciplín a ze zkušeností získaných při řešení závažných úkolů spojených s umísťováním, projektováním a provozem důležitých objektů vyplývá, že celistvou charakteristiku každého systému dostaneme, když vytvoříme:

1. Morfologický popis systému, tj. popis souboru prvků systému a vnitřních vazeb mezi prvky.
2. Popis souboru spřažení (angl. Couplings) prvků systému, po kterých probíhají toky energií, hmot, informací, peněz a pokynů (jako lidských instrukcí pro realizaci opatření a činností) mezi prvky buď vždy, nebo jen za určitých okolností. Důležité je, že tato spřažení na jedné straně zajišťují jisté žádoucí procesy v systému, tj. jisté chování a podmínky v systému, a na straně druhé jsou příčinou nežádoucích jevů, mezi které patří např. kaskádovité šíření poruch v systému, vytváření slabých míst systému apod.
3. Popis souboru odezev na dynamické procesy probíhající v systému a v jeho okolí, tj. možné typy chování systému způsobem určitý proces v systému nebo jeho okolí – určitá odezva systému.
4. Popis souboru ovládacích mechanismů, kterými za očekávaných podmínek dosáhneme žádoucí chování systému a při neočekávaných podmínkách (abnormálních a zvláště kritických) zajistíme, aby selhání systému nevedlo k degradaci až rozpadu systému, tj. v případě lidského systému zajistíme za kritických podmínek přežití lidí a kontinuitu důležitých činností v území.

Důkladnou znalostí a pochopení položek, na které jsme výše soustředili pozornost, vytváříme schopnost člověka v oblasti zdokonalování ovládacích mechanismů předmětného systému. Vnitřní vazby v systému řízení technického díla jsou založeny v jeho projektu a v provozních předpisech. Spřažení, soubory odezev na dynamické procesy v technickém díle a jeho okolí i soubory ovládacích mechanismů, kterými člověk usměrňuje v rámci svých možností chování technického díla, jsou pak určené jak přírodními, tak ekonomickými, technickými, finančními, společenskými a sociálními zákonitostmi, z nichž jen některé jsou kodifikovány platnou legislativou.

Pro podporu žádoucích spřažení, odezev a ovládacích mechanismů byly na základě znalostí a zkušeností vytvořeny jisté specifické nástroje pro podporu řízení [6,22], z nichž nejdůležitější jsou:

• • zlatá pravidla bezpečnosti (angl. Golden Rules for Safety),
• • kultura bezpečnosti (angl. Safety Culture),
• • program na zvyšování bezpečnosti (angl. Safety Performance Indicator Programme),
• • indikátory / ukazatelé bezpečnosti (angl. Safety Performance Indicators).

Uvedené nástroje jsou souhrnně popsány v práci [6]. Z pohledu současného poznání do nástrojů patří i systematická aplikace řízení znalostí (angl. Knowledge Management) a přátelského řízení (angl. Friendly Management) lidských zdrojů [6].
V oblasti technologické má dominantní roli pro bezpečnost technických děl vlastník / majitel licence, protože on má znalosti a možnosti pro účinné a kvalitní řízení technologických pohrom, ale celkově má významnější roli veřejná správa, která musí vlastníky donutit k tomu, aby ve veřejném zájmu zajišťovali možnou úroveň bezpečnosti aplikací výše uvedených principů [6,27,46].

Tento objev není jen o nalezení vody; jde o odhalení tajemství planetárních atmosfér ve vesmíru. Planeta obíhá svou hvězdu při spalující teplotě, podobné Venuši, s povrchovými podmínkami daleko příliš extrémními pro život, jak ho známe. Přesto samotná přítomnost vodní páry naznačuje minulost planety, možná jako mini-Neptuna nebo skalnatého světa obklopeného parou. “Je to jako nahlédnout do historie planety, pokoušet se rozluštit její minulost a cestu, kterou podnikla kosmosem,” vysvětlil Pierre-Alexis Roy, hlavní autor studie.

Tento objev otevírá nové cesty pro průzkum, zejména s nadcházejícím teleskopem James Webb Space Telescope, který se bude hlouběji zabývat tajemstvími atmosféry GJ 9827d. Úsilí o pochopení diverzity planet v naší galaxii pokračuje, přičemž každý objev nás přibližuje k odpovědi na starou otázku: Jsme ve vesmíru sami? Když stojíme na prahu nových objevů, příběh GJ 9827d slouží jako připomínka divů, které nás ve vesmíru čekají. Je to svědectví lidské zvědavosti a našeho nekonečného úsilí porozumět vesmíru a našemu místu v něm.

Tento článek byl vygenerován pomocí ChatGPT-4, modelu umělé inteligence vyvinutého společností OpenAI, vstupem byl článek esa.int a požadavek na zpracování popularizační formou pro běžnou veřejnost (uživatele internetu, ne vědce).

Co je Hubbleův teleskop?

Vesmírný dalekohled je jeden z nejvýkonnějších nástrojů pro pozorování vesmíru, který byl vypuštěn do orbitální dráhy Země v roce 1990. Od té doby poskytl astronomům bezprecedentní pohled na vesmír, od nejbližších sousedů naší sluneční soustavy až po nejvzdálenější galaxie na okraji pozorovatelného vesmíru. Díky své schopnosti pozorovat v různých vlnových délkách umožňuje Hubble studovat široké spektrum astronomických jevů.

Exoplanety a jejich význam

Exoplanety jsou planety obíhající kolem jiných hvězd než je naše Slunce. Odhalení těchto světů rozšířilo naše chápání toho, jak mohou planetární systémy vypadat a fungovat. Studium jejich atmosfér, zejména detekce molekul jako je vodní pára, je klíčové pro pochopení jejich složení, klimatu a potenciální obyvatelnosti.

Význam vodní páry

Vodní pára je významná nejen proto, že je základním předpokladem pro život na Zemi, ale také proto, že její přítomnost v atmosféře exoplanety může poskytnout důležité informace o teplotě, tlaku a celkové složení atmosféry. Vodní pára hraje klíčovou roli v atmosférických procesech, jako je tvorba oblaků a srážek, a také v regulaci klimatu prostřednictvím skleníkového efektu.

Přechodová metoda

Přechodová metoda, která byla použita k detekci vodní páry na exoplanetě GJ 9827d, spočívá v pozorování poklesu jasnosti hvězdy, když planeta prochází mezi hvězdou a pozorovatelem na Zemi. Během tohoto tranzitu část světla prochází atmosférou planety, což umožňuje detekci a analýzu molekul v atmosféře na základě absorpčních linií ve spektru hvězdného světla.

Budoucí průzkumy

Další pozorování, například pomocí teleskopu James Webb, nám umožní získat ještě podrobnější pohled na atmosféru GJ 9827d a dalších exoplanet. Tyto pokročilé teleskopy mohou identifikovat další molekuly a potenciální chemické znaky života, rozšiřující naše chápání planetárních atmosfér a podmínek pro život ve vesmíru.

Závěr

Objev vodní páry na exoplanetě GJ 9827d představuje významný krok vpřed v našem pochopení vesmíru. Tento objev, spolu s budoucími pozorováními, nám může poskytnout cenné informace o tom, jak často se vyskytují planetární atmosféry bohaté na vodu a jaké jsou šance na nalezení obyvatelných světů mimo naši sluneční soustavu. S každým novým objevem se posouváme blíže k odpovědi na otázku, zda ve vesmíru existuje život mimo Zemi.

2.1.1 Aktiva

Aktivem se rozumí fyzická, logická či kybernetická položka, která určuje strukturu a chování sledovaného systému [6]. Výsledky prací [1,4] poskytují seznamy identifikovaných aktiv modelové stanice metra a systému řízení pražského metra (tj. lidi, majetek včetně technologií, energetické informační a materiálové toky), a to především na základě analýz dokumentace metra [1,4,10,11]. Vzhledem k tomu, že se jedná o otevřený systém systémů, je nutné zvažovat mimo technické části, zvažované v [1,4] také další aspekty, tj. například organizační, finanční, funkční, logické vazby, a další. Pro účely dalších analýz a uvažujeme následující skupiny aktiv: konstrukce, technika, personál, místa, funkce, vazby a toky, organizace a ekonomika.

2.1.2 Pohromy

Příčinou rizik jsou pohromy (všeho druhu), tzv. All-Hazard-Approach [12]) a v případě rizik u technologických systémů se jedná také o poruchové stavy v důsledku náhodných či systematických chyb systému [4,13]. Z výše uvedeného je patrné, že vznik jedné extrémní pohromy může vyvolat řetězec dalších pohrom, tj. sekundární dopady, i celou kaskádu dopadů. Sekundární, terciální a další dopady jsou označovány jako nepřímé dopady. Nepřímé dopady extrémních pohrom jsou znázorněny na obrázku 1. Obrázek 1 ukazuje propojení dopadů extrémní pohromy s různými chráněnými aktivy, které vyvolají další dopady na jiná aktiva, tj. nepřímé dopady, které mají tvar kaskád (tj. kaskádový efekt).

Podle velikosti škod a ztrát na veřejných aktivech a pravděpodobnosti výskytu, tj. na základě analýzy a vyhodnocení rizik pomocí metody matice rizik dle [13], lze pohromy v řízení bezpečnosti kategorizovat do tří kategorií:

1. Pohromy kritické: mohou vyvolat na sledovaném území nebo jeho části kritickou situaci, při které, podle současné české legislativy, může být vyhlášena krizová situace, a tudíž bude třeba dělat obnovu majetku po krizové situaci. Z pohledu řízení bezpečnosti je třeba dělat preventivní a zmírňující opatření v územním plánování, projektování, výstavbě a provozu občanských a technologických objektů i infrastruktury.
2. Pohromy specifické: mohou vyvolat nouzové situace, a proto s nimi musí počítat odezva a připravenost (opatření na zmírnění). Z pohledu řízení bezpečnosti je třeba dělat preventivní opatření v územním plánování, projektování, výstavbě a provozu občanských a technologických objektů i infrastruktury a zmírňující opatření v rámci připravenosti na odezvy.

Pohromy relevantní: všechny ostatní pohromy, které mohou entitu postihnout a nejsou kritickými ani specifickými. Měly by být zvládnuty běžnými standardními prostředky, tj. prevencí prováděnou v praxi. Z pohledu řízení bezpečnosti dosavadní opatření prováděná v územním plánování,

1. projektování, výstavbě a provozu občanských a technologických objektů i infrastruktury jsou dostatečná, a tudíž je nutná jen pravidelná kontrola jejich účinnosti.

Pro účely předložené disertační práce byly použité následující pohromy, identifikované v práci [4] analýzou archivních dokumentů hl. m. Prahy [15]:

Výsledky procesů probíhající vně i uvnitř Země: povodeň, vichřice, zemětřesení, ztekucení podloží, výstup plynu na zemský povrch.

Výsledky procesů v lidském těle, v chování lidí a procesů v lidské společnosti: epidemie, pandemie, porucha stability lidské společnosti, útok, teroristický útok, útok za použití chemických, jaderných, radiologických a biologických (CBRNE) zbraní, ozbrojený konflikt, válka.

Výsledky procesů a činností instalovaných lidmi: průmyslová havárie, havárie při přepravě či skladování nebezpečných látek, havárie při dopravě, pohroma v oblasti kritické infrastruktury, pohroma v ekonomice, pohroma v územní infrastruktuře, pohroma v kybernetické infrastruktuře, pohroma v infrastruktuře služeb, zásobování a spojení, selhání technologií, ztráty obslužnosti.

Interakce planety Země a životního prostředí na činnosti lidí: porušení stability podloží vlivem vibrací, kontaminace ovzduší, kontaminace vody, rychlé variace klimatu, migrace velkých skupin lidí.

Vnitřní závislosti v lidském systému přirození nebo lidmi vytvoření: organizační havárie, porucha toků surovin a výrobků, porucha v toku energií, porucha v toku informací.

Tabulka 1 obsahuje rozdělení pohrom, které jsou relevantní pro hl. m. Prahu, do kategorií, podrobnosti jsou uvedené v práci [4]. Tj. zvažuje přístup All-Hazard-Approach [12,13] a data [15]; detaily jsou v pracích [12,13,16].

Tabulka 1 Rozložení pohrom – relevantní, specifické, kritické.

2.1.3 Riziko a kritičnost

Pojem riziko má v mnoha oblastech rozdílné a nejednotné pojetí, některé definice rizika staví na pravděpodobnosti, jiné pak na očekávané hodnotě nebo nejistoty a neurčitosti [17]. Z hlediska projektového řízení a systému řízení bylo riziko obecně definováno jako „účinek nejistoty“ [18]. Účinek nejistoty, pokud dojde k její realizaci, může nabývat negativních, ale i pozitivních vlastností (tj. příležitosti) [18].

Riziko v inženýrských oborech, jako je řízení rizik systému, řízení spolehlivosti a řízení bezpečnostních rizik, vyjadřuje pravděpodobnou velikost nepřijatelných (tj. nežádaných) dopadů (ztrát, škod a újmy) pohromy o velikosti ohrožení (tj. potenciál pohromy normativně určený) na chráněné zájmy (aktiva) za stanovený časový interval v určitém místě [17].

Zdrojem uvedených rizik jsou pohromy uvedené předchozím odstavci. Jedná se o rizika pro člověka, jeho majetek, životní prostředí, kritickou infrastrukturu a v neposlední řadě i pro stát. Rizika lze členit podle toho, jaká jsou pro zvážení rizika zvolená chráněná aktiva a zda je sledováno jedno chráněné aktivum (tj. dílčí riziko) či soubor chráněných aktiv (integrované riziko) nebo soubor chráněných aktiv a vazby a toky mezi nimi (komplexní riziko / integrální riziko).

Dále se rizika dělí podle toho, jaké pohromy, resp. zdroje pohrom, se berou v úvahu (pouze některé pohromy, část jejich scénářů nebo veškeré relevantní pohromy apod.).

V běžné praxi, a především u dopravních systémů, se počítá většinou s riziky dílčími a integrovanými, která bývají vyjádřená součinem pravděpodobnosti výskytu pohromy (resp. incidentu nebo selhání) či četnosti výskytu a velikosti jejich dopadů (ztrát, škod, újmy) na sledovanou entitu či vybraný soubor entit. Veličin pro výpočet rizika může být dle sledované oblasti mnoho, ale většinou se jedná o součin výše dvou uvedených. V podrobnějších studiích se zvažuje míra zranitelnosti a někdy též míra ovladatelnosti škodlivé události; například v oblasti automobilového průmyslu [19].

V chápání rizika (R) tedy pozorujeme mnoho rozdílů a společné je jen to, že riziko vychází z obav z nejisté budoucnosti [5,17]:

R = četnost ∙ důsledky;

R = závažnost ∙ možnost výskytu;

R = ohrožení (hrozba) ∙ zranitelnost;

R = ohrožení (hrozba) ∙ zranitelnost ∙ dopady;

R = ohrožení (hrozba) ∙ zranitelnost / kapacity;

R = (ohrožení (hrozba) ∙ zranitelnost) / protiopatření ∙ dopady;

R = f (ohrožení (hrozba) ∙ zranitelnost / kapacity);

R = f (aktiva (chráněný zájem) ∙ ohrožení (hrozba) ∙ zranitelnost);

R = četnost ∙ populace ∙ zranitelnost.

Pro zajištění bezpečného území, popřípadě větších technologických celků nebo zařízení, je nutné počítat s komplexním rizikem, tj. rizikem integrálním založeném na systémovém pojetí reality [2]. Integrální riziko zahrnuje více chráněných aktiv včetně života, zdraví a bezpečí lidí, majetku a veřejného blaha, životního prostředí i technologií a infrastruktur a zahrnuje i vliv propojení mezi uvedenými chráněnými aktivy (anglicky interdependences) [4,17].

Integrální riziko označené jako R je pro všechny pohromy v území dané vztahem [17]:

                                                                                                  (1)

R_k vyjadřuje riziko pro k-tou pohromu:

                                                                      (2)

P_k označuje pravděpodobnost výskytu k-té pohromy a D_i,k dopad k-té pohromy na i-tý chráněný zájem. Podobné vztahy jsou aplikované i pro integrované riziko, ovšem s tím rozdílem, že dopady D_i,k pro riziko integrální zahrnují mimo přímé dopady DD_i,k i dopady nepřímé (sekundární, terciální a více) DI_i,k, jejichž vztahy jsou dle zdroje [19] následující:

                                                           (3)

V_i je hodnota chráněného zájmu, S je sledované území či objekt, Z_i,k je zranitelnost i-tého chráněného zájmu při k-té pohromě, I_i,k je funkce vzájemných vazeb (interdependences). Vzájemné vazby závisí na konkrétní struktuře chráněných zájmů v území a konkrétních propojení chráněných zájmů a na pohromě, tj. dle [17]:

                                                                                      (4)

VD_k je charakteristika míry k-té pohromy, která ovlivňuje dopady na chráněná aktiva. VP_i,k charakteristika míry vzájemné propojitelnosti chráněných zájmů v daném území. Stanovení VP_i,k je předmětem podrobného výzkumu na základě Booleovské logiky nebo při složitějších vazeb na základě metod operační analýzy [17,19,20].

Pro technické systémy [21] platí vztah:

                    (5)

ve kterém H je ohrožení spojené s danou pohromou v místě objektu; A_i    jsou hodnoty sledovaných aktiv pro i = 1,2,…, n; Z_i jsou zranitelnosti aktiv pro i = 1,2,…, n; F je ztrátová funkce; P_i jsou pravděpodobnosti výskytu poškození aktiv pro i = 1,2,…, n – jde o podmíněné pravděpodobnosti; O zranitelnost ochranných opatření; S velikost sledovaného objektu; t je čas měřený od vzniku škodlivého jevu; T je čas, po který vznikají ztráty; a t  je perioda opakování pohromy. Jelikož není obvykle známa ztrátová funkce, tak se vytváří scénáře selhání a k ocenění rizika se používají multikriteriální metody; obvykle systémy pro podporu rozhodování [22].

Z výše uvedených znalostí a vzhledem ke komplexnosti (složitosti) systémů je zřejmé, že integrální bezpečnost lze zvyšovat pouze při zvažování a řízení integrálních rizik, které nezvažují pouze součet dílčích rizik, ale počítají i s vazbami a toky mezi aktivy [13].

Pro účely řízení bezpečnosti se kritičností aktiva (K) rozumí funkce důležitosti a zranitelnosti sledovaného aktiva nebo i celé entity vyjádřená součinem [13,17]:

K = důležitost ∙ zranitelnost                                                                         (6)

Kritičnost s ohledem na jistou pohromu lze vyjádřit vztahem

C = S ∙ O ∙ B                                                                                                  (7)

ve kterém S je závažnost největšího dopadu pohromy (škodlivého jevu), O pravděpodobnost výskytu pohromy a B podmíněná pravděpodobnost, že se vyskytne nejzávažnější dopad [13,23].

Riziko, jak již bylo zmíněno v úvodu tohoto odstavce, se odkazuje na účinek nejistoty, tj. jak často (resp. pravděpodobně) dojde k jak rozsáhlým ztrátám. Snižováním rizika snižujeme četnost výskytu nepříznivé události (pokud je to v naší moci) nebo její dopady. Riziko tímto souvisí s bezpečností, ale není jím bezpečnost definována. Kritičnost se vztahuje na mezní (prahovou) hodnotu mezi dvěma stavy, v oblasti bezpečnosti jde o nežádoucí (nebezpečí) a žádoucí (bezpečí). Snižováním kritičnosti, tj. prahové hodnoty mezi nebezpečí a bezpečí, zvyšujeme stavový prostor systému v bezpečné oblasti, tj. zvyšujeme bezpečnost. Proto je kritičnost komplementární veličinou k bezpečnosti, i když je kritičnost důsledkem rizikových faktorů a může mít s rizikem stejné vstupní parametry (např. zranitelnost) [27].

2.1.4 Bezpečnost

V současné praxi se pojmu bezpečnost přikládá několik různých významů. V dopravních systémech je pojem bezpečnost spojován s: ochranou lidí bez zvážení vazeb se systémem; odolností systému proti narušení nějakou nepříznivou událostí (pohromou); nebo proti vnitřním chybám. Ve spojení s ochrannými, resp. zabezpečovacími systémy je bezpečnost chápána jako tzv. funkční bezpečnost, tj. realizace bezpečné funkce nebo procesu v případě předvídaných situací [24]. Ve skutečnosti mají zmíněné významy stejný cíl, chránit zdraví a životy lidí, a zajistit rozvoj lidské společnosti, tj. všechny významy jsou součástí integrální bezpečnosti, která všechny slučuje dohromady.

Systémová bezpečnost v kontextu integrální bezpečnosti znamená, že je systém chráněn proti interním i externím pohromám, včetně lidského faktoru, tj. systém má dostatečnou odolnost a přizpůsobivost vůči očekávaným podmínkám. Bezpečný systém navíc nesmí neohrozit své okolí ani v jeho kritických podmínkách [20,25,26,27], Obrázek 2 dle [20].

Případné dopady poruch systémů znázorněné na obrázku 2 se projeví u dalších systémů jako pohroma v jejich okolí, v tomto případě vzniká zřetězení pohrom, tj. kaskádový efekt.

Pojem bezpečnost (Safety) dle současných znalostí znamená soubor prostředků a opatření, kterými lidstvo zajišťuje svoje bezpečí (angl. Security) a udržitelný rozvoj (angl. Sustainable Development). Na obrázku 3 je znázorněn koncept zacílený na bezpečí, tj. na vyšší cíl; nejde jen o snížení rizika, ale o zvýšení bezpečí lidí a dalších veřejných aktiv, na kterých jsou lidé závislí [27].

Z výše uvedeného vyplývá, že bezpečnost a riziko sice spolu souvisí, ale nejsou komplementárními veličinami, protože bezpečnost lze zvýšit i organizačními opatřeními, kterými velikost rizika neovlivníme. K bezpečnosti je komplementární veličinou kritičnost. Snižováním kritičnosti zvyšujeme bezpečnost sledovaného objektu.

2.1.5 Bezpečí lidí a integrální bezpečnost

Bezpečí lidí (anglicky Human Security), jehož zajištění je cílem řízení bezpečnosti, je téma známé od počátku lidstva, nicméně je tento pojem v oblasti bezpečnostních věd definován teprve nedávno. Organizace spojených národů definovala Bezpečí lidí jako koncept, který znamená:

„… ochraňovat nezbytný základ všech lidských životů takovým způsobem, který lidi obohatí o jejich svobodu a seberealizaci. Bezpečí lidí znamená chránit základy svobod – svobod, které jsou podstatou života. To znamená chránit lidi před kritickými (závažnými) a všudypřítomnými (rozsáhlými) hrozbami a situacemi, To znamená používat procesy, které staví na lidských silných stránkách a touhách. To znamená vytvářet politické, sociální, environmentální, ekonomické, vojenské a kulturní systémy, které společně pro lidi poskytují základní stavební kameny pro jejich přežití, obživu a důstojnost… „ [8].

Jedná se tedy především o změnu přístupu od pouhé ochrany státu před hrozbami nepřátelských ozbrojených sil k přístupu, který klade důraz na životy lidí a jejich ochranu před dalšími známými hrozbami. Základní oblasti konceptu „Bezpečí lidí a jejich hrozby“ jsou dle OSN následující [8]:

• zabezpečení ekonomiky (přetrvávající bída, nezaměstnanost),
• zabezpečení potravin (hlad, hladomor),
• zabezpečení zdraví (smrtelné infekční choroby, nebezpečné jídlo, podvýživa, pochybení v základní zdravotní péči),
• zabezpečení životního prostředí (environmentální degradace, úbytek zdrojů, živelní pohromy, znečištění),
• osobní zabezpečení (fyzické násilí, kriminalita, terorismus, domácí násilí, týrání dětí),
• politické zabezpečení (inter-etnikum, náboženství a další napětí založené na identitě),
• zabezpečení politiky (politická represe, zneužívání lidských práv).

Z hlediska ekonomického zabezpečení klade koncept Bezpečí lidí důraz na obnovu (rehabilitaci) dopravy a dopravních cest. Doprava podmiňuje úspěšné plnění cílů jednotlivých oblastí zabezpečení, tj. konceptu Bezpečí lidí, zároveň může naopak předmět jednotlivých cílů vlastními chybami a slabinami poškodit. Z toho vyplývá, že doprava a dopravní systém vytváří nové hrozby, kterými jsou například znečištění, přímý vliv na životy a zdraví lidí a majetek [19].

Státy zajišťují bezpečí lidí a jednotlivé cíle zabezpečení pomocí tzv. hlavních funkcí státu. Jedním z prostředků je infrastruktura [2]. Zaměřením předložené práce je infrastruktura dopravní a související kritická infrastruktura (například kritická informační infrastruktura).

Nástrojem k zajištění bezpečí lidí je integrální bezpečnost, která je zajišťována různými druhy bezpečnostních metod a technologií. Zastřešuje další inženýrské oblasti, jako jsou například řízení spolehlivosti, funkční bezpečnost, zabezpečení kyber-fyzických systémů, technické i fyzické zabezpečení, ostraha, bezpečnost práce, zajištění bezpečného místa, bezpečnost lidí aj. Integrální bezpečnost se zabývá bezpečností více aktiv ve sledované oblasti, které navzájem interagují, jsou vzájemně provázané a mají různé typy vazeb s nadřazenými a okolními systémy. Koncept integrální bezpečnosti zároveň zvažuje výskyt všech možných zdrojů ohrožení, která mohou sledovanou entitu postihnout [2]. Řízení integrální bezpečnosti pracuje s řízením integrálních rizik [19].

Reálný svět, který vnímáme, není ideální, a proto kvůli nedokonalostem a rozdílnostem v něm vznikají konflikty. Konflikty vznikají také v jednotlivých oblastech zabezpečení, bezpečnosti i mezioborových kontextech. Důsledkem je, že zvyšováním zabezpečeni jednoho prvku sledovaného systému můžeme nepřímou úměrou zhoršovat bezpečnost prvku druhého, tím ovlivňujeme integrální bezpečnost i celkové bezpečí lidí.

Z výše uvedeného je patrné, že pro to, aby byla zajištěná integrální bezpečnost, nestačí zvyšovat bezpečnost nebo zabezpečení jednotlivých prvků systému, které svými vzájemnými vazbami tvoří komplexní systém, ale musíme zajistit efektivnější systém řízení, který je schopen se se složitostí reálného světa co nejlépe vypořádat [19].

Zvyšování integrální bezpečnosti je založené na procesním a projektovém řízení, jejichž cílem je neustálé zlepšování kvality a zachování jisté míry bezpečnosti systémů při dynamicky se měnících podmínkách reálného světa (okolní fyzikální podmínky, vazby s jinými systémy, změna kultury a chování jednotlivců či skupin lidí apod.). V podmínkách Evropské unie se používá projektové řízení typu tzv. řízení celkové jakosti (angl. Total Quality Management, dále jen TQM) [28]. Pro jeho úspěšnost byly vytvořeny ISO normy třídy 9000, 14000 apod.

Přístup TQM spočívá na požadavku, že na procesu zlepšování kvality entity se podílí všichni zaměstnanci, od řadových zaměstnanců až po nejvyšší řídící pracovníky entity. Proces zlepšování jakosti (tj. v jeho nejvyšší úrovni jde de facto o zvyšování integrální bezpečnosti) vychází z impulsů, které vychází z potřeb zákazníka, respektive občana [29,30]. TQM vychází z předpokladu, že trvalá kvalita (jakost) výrobků a služeb se nedá zajistit příkazy, kontrolou, dílčími programy, organizačními nebo ekonomickými opatřeními, ale cíleným hledáním, měřením a hodnocením příčin toho, proč se produktivita a kvalita nezvyšuje; de facto jde o jistou kulturu bezpečnosti (jinými slovy způsobu aplikace opatření a činností lidí). Pozornost se zaměřuje na procesy probíhající v entitě. Při implementaci TQM se přihlíží na specifika entity, protože z důvodu účinnosti všechna opatření musí odpovídat struktuře entity, tj. musí být místně specifická [19,30].

Navíc od standardizovaných systémů řízení (ISO normy), které jsou na principech TQM založeny, TQM zahrnuje i principy a postoje k řízení měkkých socio-technických systémů, s jednoduchými idealizovanými cíli tak, aby byli pochopené veškerým dotčeným personálem, respektive obyvateli v uvažovaném místě. Z hlediska bezpečnosti TQM buduje tzv. systémy celkové bezpečnosti (z angličtiny Total Safety Systems, zkráceně TSS). TSS zavádí koncept nulových rizik (angl. Zero Risks), který je základem pro následování strategie nulových defektů (angl. Zero Defects) a dělání věcí tzv. hned napoprvé (angl. Right First Time).

Začleněním specifické prevence do bezpečnosti u socio-technických elementů organizačních systémů zahrnuje porovnávání příspěvků tzv. systému celkové prevence (angl. Total Prevention Systems – TPS), které zahrnují principy nulové poruchy (angl. Zero Breakdown), a systému rozvoje lidí (angl. Human Development System), který je určen ke vzdělávání a tréningu pracovníků k uvedenému principu „hned napoprvé“ [28]. Uvedené systémy celkové prevence zahrnují například implementaci známé údržby celkového provozu (angl. Total Operation Maintenance) [28] apod.

Celkově (integrálně) bezpečný systém zahrnuje tři základní elementy:

• bezpečnost místa (dispozice, řízení environmentálních aspektů, nouzové postupy, protipožární opatření, zajištění první pomoci, osvětlení, sociální zázemí a jiné),
• bezpečnost procesů (fyzická ostraha, prvky nouzového zastavení, principy „selži bezpečně“, ochrana perimetru),
• bezpečnost lidských zdrojů (bezpečnostní školení, osobní ochranné pomůcky, dohled, zdravotní prohlídky).

EU vydala kontrolní seznam, ve velké míře využívaný především pro inspekce, zahrnující tři výše uvedené oblasti [2]. Systém TQM společně s TSS v mnoha oblastech výrazně přesahuje legislativní požadavky platné v ČR. Pro účely zvyšování bezpečnosti je základním předpokladem představených systémů snižování rizika, pomocí proaktivních programů s neustálým měřením a eliminací již tzv. skoro-nehod (angl. Near-misses). Skoro-nehody jsou události, které na základě současného poznání by obvykle vedly k nehodě nebo havárii, ale v daném případě k žádnému problému nedošlo, např. z důvodu duchapřítomnosti obsluhy [19,21,28].

Současné trendy v oblasti bezpečnostních věd a inženýrství rizika jsou založené na principech inženýrského řízení rizik, a to s uvážením složitosti systémů, která vyplývá z podstaty, vlastností a neurčitostí socio-technických, kyber-fyzických systémů, označovaných jako systémy systémů (z angličtiny zkráceně SoS) [2,19,26,30,31].

2.1.6 Kritická infrastruktura a její bezpečnost

Kritická infrastruktura je z hlediska Směrnice rady 2008/114/ES o určování a označování evropských kritických infrastruktur a o posouzení potřeby zvýšit jejich ochranu [32] definována jako: „Prostředky, systémy a jejich části nacházející se v členském státě, které jsou zásadní pro zachování nejdůležitějších společenských funkcí, zdraví, bezpečnosti, zabezpečení nebo dobrých hospodářských či sociálních podmínek obyvatel a jejichž narušení nebo zničení by mělo pro členský stát závažný dopad v důsledku selhání těchto funkcí“. Dle zdroje [33] lze jinými slovy kritickou infrastrukturu definovat jako systémy různé povahy (technické, organizační, kybernetické, územní, vzdělávací atd.), které mohou mít vliv na fungování ekonomiky, státu a na zvládání nouzových a kritických situací. V České republice je kritická infrastruktura složena z infrastruktur rozdělených do následujících devíti oblastí [33]:

1. Dodávky energie (elektrické, plyn, teplo, olej a ropné produkty).
2. Voda (zajištění pitné a užitkové vody, zabezpečení a správa povrchových i podzemních vodních zdrojů, systém odpadních vod).
3. Zásobování potravinami a zemědělství (výroba potravin, péče o potraviny, zemědělská produkce).
4. Zdravotní péče (přednemocniční neodkladná péče, nemocniční péče, ochrana veřejného zdraví, výroba, skladování a distribuce farmaceutických produktů a zdravotních zařízení).
5. Doprava (silniční, železniční, letecká a vodní).
6. Kybernetické, komunikační a informační systémy (pevné a mobilní telekomunikační síťové služby, rádiová komunikace a navigace, televizní a satelitní komunikace, pošta a zásilkové služby, internet a datové služby).
7. Bankovnictví a finanční sektor (správa veřejných financí, bankovnictví, pojištění, kapitálový trh).
8. Záchranný systém (Hasičský záchranný sbor ČR, jednotky požární ochrany, Policie ČR, Armáda ČR, monitoring radiace, předpovědi, varovací systém apod.).
9. Veřejná správa (státní správa a samospráva, sociální zabezpečení a zaměstnanost, statní sociální podpora a sociální pomoc, výkon soudního a vězeňského systému).

Oblast kritické infrastruktury upravuje krizový zákon [34]. Objektem neboli prvkem kritické infrastruktury se rozumí stavba, zařízení, prostředek nebo veřejná infrastruktura, určená podle průřezových a odvětvových kritérií, tj. dle [35]. Z hlediska drážního systému jsou objektem kritické infrastruktury například nádraží, stanice metra, významné mosty či tunely, technologická zařízení a informační, materiálové, energetické toky v systémech, a to podle metodiky určení kritičnosti objektů dle zdroje [33].

Ochrana zdraví a majetku lidí je předním zájmem základní funkce státu zakotvené v Ústavě České republiky (zákon č. 1/1993 Sb.). Možné výskyty pohrom mohou ovlivnit nejen správnou funkci prvku kritické infrastruktury, ale taktéž mohou ohrozit zdraví a majetek lidí i životní prostředí. Proto se podle kategorie pohromy, uvedené v předchozím odstavci, provádí příslušná opatření [4,13,33].

2.1.7 Moderní přístupy: All-Hazard-Approach a Defence in Depth

Přístup All-Hazard-Approach [12] znamená zvažovat při řízení bezpečnosti všechny možné druhy pohrom, tj. jevů, které mohou způsobit škody, ztráty a újmy sledovaným aktivům, tj. lidem i příslušným entitám v daném území [2].

Defence-In-Depth (ochrana do hloubky) je komplexní filozofie zajištění bezpečnosti, která se začala v technologii aplikovat v 80. letech minulého století [27]. V obecné rovině lze tento přístup chápat jako ochranu systému za pomocí opatření ve více vrstvách systému.

Na základě [36] Defence-In-Depth představuje komplexní přístup, který zajišťuje, že lidé i životní prostředí budou ochráněny i při kritických podmínkách v objektu. Zahrnuje všechny činnosti zacílené na bezpečnost objektu i území, ve kterém se objekt nachází, a to počínaje umísťováním, přes navrhování a projektování, výstavbu, konstrukci, uvedení do provozu, provoz a odstavení objektu z provozu. Pro zajištění bezpečného systému systémů se používají systémy bariér a režimová opatření.

Přístup Defence-In-Depth je známý také v kybernetice a zabezpečení řídicích systémů např. dle [37], obrázek 4.

Obrázek 4 znázorňuje přístup Defence-In-Depth jako strategii pro řízení zabezpečení zahrnující následující oblasti:

• směrnice pro zabezpečení,
• specifikace požadavků na zabezpečení,
• zabezpečení pomocí návrhu (designu),
• zabezpečená implementace,
• verifikace a validace zabezpečení,
• strategie Defence-In-Depth.

Zobecněný vrstvový model pro řízení bezpečnosti podle přístupu Defence-In-Depth, použitý v disertační práci, je popsán dále v odstavci 2.3.4.

Obrázek 4. Strategie Defence-In-Depth dle [37].

2.1.8 Systémy systémů (SoS), projektové a nadprojektové jevy

Systém systémů (SoS) je v oblasti systémového inženýrství [38] definován jako množina nezávislých systémů, integrovaných do většího systému, který poskytuje unikátní vlastnosti. Nezávislé tzv. složkové (angl. constituent) systémy spolupracují na produkci globálního chování, které nemohou sami produkovat. V souladu se zdrojem [39] se klasické pojetí systému a SoS liší především v následujících elementech:

• autonomie – autonomie je vykonávána složkovými systémy, aby splnila účel globálního systému, tj. SoS,
• příslušnost – jednotlivé složkové systémy volí příslušnost dle poměru nákladů a přínosů, kvůli naplnění svého vlastního účelu a ve víře v supra-účel SoS; u klasického pojetí systému je příslušnost daná dle jejich povahy a nemůže ji svévolně změnit (např. jako člen jedné rodiny),
• konektivita – nesčetné možné propojení systémů a jejich částí pro zlepšení schopností SoS,
• diverzita – vyšší diverzita (rozmanitost) v schopnostech SoS dosažená pomocí autonomie různých složkových systémů, zaujaté příslušnosti a otevřené konektivity,
• emergence – v pojetí SoS má zvýšena záměrná nepředvídatelnost systému a vytvoření podmínek pro možnost emergence (tj. vzniku) zásadní význam ve smyslu negativním (vznik nepředvídatelných negativních událostí, pohrom) i pozitivním (včasná detekce a eliminace nepříznivého chování systémů).

Element emergence má zásadní vliv pro volbu metod pro práci se systémy, převaha metod exaktních pro klasické systémy, a převaha metod heuristických pro SoS, tj. včetně použití umělé inteligence (angl. Artificial Intelligence – AI), apod.

Pro účely disertační práce chápeme SoS jako množinu otevřených vzájemně propojených systémů [33], dále složených z podsystémů a objektů (komponent) různých vlastností i jejich umístění. Vazby mezi subsystémy a objekty zajišťují potřebné funkce a chování celého SoS [40]. Vzájemné vazby a závislosti, tj. interdependence, jsou dle jejich povahy fyzické, kybernetické, místní a logické [6]. Dále lze interdependence SoS rozdělit na:

• žádané: zlepšují vlastnosti systémů, zařízení a infrastruktur,
• nežádané:

a)     za normálních a abnormálních podmínek: jsou ošetřené projektem dle požadavků legislativy [41],

b)     za podmínek kritických (nadprojektových):

• vedou ke ztrátám systému,
• způsobují, že systémy řádně neplní svoje funkce,
• způsobují, že systémy ohrožují sebe a své okolí.

Při zajištěných jistých podmínek řešeného systému, lze některé situace řešit exaktními metodami. Uvedené podmínky pro zajištění bezpečnosti jsou stanovené v projektu dle jeho životnosti a kritičnosti, v tomto případě hovoříme o projektových kritériích. V případě, že nastanou nepříznivé jevy, resp. nehody, po kterých nedojde k překročení projektových kritérií, resp. podmínek, jde o tzv. projektové jevy (nehody). Bezpečnost zasahuje především do oblasti mimo uvedené limity a podmínky systémů, tj. nadprojektové jevy, resp. nehody.

Pojmy projektové (angl. Design Basis Accident) a nadprojektové (angl. Beyond Design Basis Accident) nehody jsou například formálně definované Mezinárodní agenturou pro atomovou energii (IAEA) [42], ovšem jsou běžně používané i v dalších oblastech řízení bezpečnosti technických děl [41].

Integrální Bezpečnost

Články k integrální bezpečnosti jsou přepisem disertační práce Ing. Tomáš Kertis v názvem “Posouzení bezpečnosti vybraného kritického objektu z pohledu integrální bezpečnosti a návrh na snížení kritičnosti objektu” obhájené dne 31.10.2021 na Fakultě dopravní Českého Vysokého Učení Technického v Praze. Celé neupravené znění disertační práce na téma integrální bezpečnost je ke stažení na stánkách ČVUT F6-D-2021-Kertis-Tomas.pdf (cvut.cz).

Přepis obsahuje z velké části originální text, s originálními odkazy do literatury, ale také může být mírně poupraven dle aktuální znalosti ve dne přepisu, či doplněn o poznámky. Úpravy a poznámky budou v textu řádně označeny.

Texty disertační práce budou postupně publikovány podle kapitol v sekce Integrální Bezpečnost – KINT S.r.o. některé důležité části přispívající vědě pro další použití také ve Věda A Výzkum – KINT S.r.o.

Úvod

Životy a zdraví lidí, jejich majetek a blaho, životní prostředí a také technologie a kritická infrastruktura jsou základními veřejnými aktivy lidského systému, který je modelem světa, ve kterém žijeme [1,2]. Kritická infrastruktura je důležitým aktivem, protože zajišťuje základní výrobky a služby pro lidi. Proto v případě kritických podmínek, jako například při výskytu velkých živelních, technologických a jiných pohrom, je třeba, aby prvky kritické infrastruktury bezpečně plnily své úkoly.

Předmětný úkol je dnes složitější a obtížný, protože dochází ke zvyšujícímu zavádění nových neozkoušených technologií a jejich propojování. Propojováním systémů vznikají tzv. složité (komplexní) systémy a nové funkce, které by za normálních okolností jednotlivých nepropojených systémů nevznikly, proto se jedná o takzvaný systém systémů. Za pomoci žádaných vazeb vytvořených podle norem mají předmětné komplexní systémy systémů vysokou spolehlivost za normálních provozních podmínek, tj. podmínek, které jsou zvažovány v projektu. Pomocí provozních předpisů jsou zvládnuté výchylky, které nastávají při abnormálních provozních podmínkách.

Problémy nastávají při kritických podmínkách, kdy se často vyskytují nežádané a nežádoucí vazby, které vedou k selhání kritických aktiv, a tím ohrožují celý systém i jeho okolí. Proto je třeba hledat kritická aktiva systému, hodnotit jejich kritičnosti a zajišťovat jejich provozuschopnost i za nepříznivých podmínek. Hodnocení kritičnosti aktiv umožňuje identifikovat a řídit významná rizika, analyzovat zranitelnosti systému a navrhovat opatření pro zvýšení jeho bezpečnosti (integrální bezpečnost).

Při řízení bezpečnosti kritické infrastruktury je nezbytné počítat s aktivy a vazbami, které za určitých podmínek mohou vést k selhání systému. Tzn. je nutné je zahrnout do analýzy aktiv a jejich kritičností a definovat pravidla pro práci s nimi [3]. Současné znalosti, metody a nástroje umožňují zajištění bezpečnosti (integrální bezpečnost) infrastruktur na jisté úrovni, ale z důvodu neustálého rozvíjení technologií, nároků na rozhraní mezi systémy i operujícími subjekty se stále ukazuje, že existují nezajištěná místa.

Oblast bezpečnosti a zabezpečení kritické infrastruktury kvůli složitosti kritické infrastruktury se vyznačuje prací s mnoha měkkými faktory, objekty a subjekty v rámci systému systémů (dále jen SoS). Z důvodu rozsahu a složitosti mnoha vnitřních propojení ve studovaném objektu lze systém analyzovat pouze expertními a heuristickými metodami. Existuje mnoho metod a nástrojů systémové analýzy a inženýrství, ale neexistuje formalizovaný metodický postup pro stanovení kritičnosti jednotlivých prvků (aktiv) kritické infrastruktury, míry bezpečnosti a návrh opatření pro zvýšení bezpečnosti. Proto jsem se na problematiku bezpečnosti kritické infrastruktury zaměřil ve svém doktorském studiu.

Doktorské studium v oboru Inženýrská informatika v dopravě a spojích na Ústavu bezpečnostních technologií a inženýrství jsem navázal na svojí Diplomovou práci zaměřenou na plán bezpečnosti modelové stanice metra [4]. V rámci doktorského studia jsem provedl výzkum bezpečnosti provozu pražského metra s případovými studiemi ve spolupráci s Dopravním podnikem hlavního Města Prahy [5]. Cílem bylo najít a ověřit vhodný metodický postup, navrhnout metodu pro analýzu a stanovení kritičností aktiv, dále pak ověřit postupy na konkrétním případu, tj. zajištění bezpečného provozu metra jako prvku kritické infrastruktury.

Výsledky práce, a to jak definované metody či konkrétní případové studie a události, byly průběžně prezentované na řadě českých i mezinárodních konferencí a také zveřejněné v řadě odborných recenzovaných i impaktovaných publikací.

Předložená disertační představuje ve své první části rešerši zaměřenou na nejmodernější metody v oblast řízení bezpečnosti a stav inženýrské praxe a techniky. V další části zavádí metodologii pro identifikaci a analýzu aktiv objektu kritické infrastruktury, stanovení jejich kritičností a následné zpracování pro analýzu primárních rizik, hledání scénářů dopadů různých událostí a tím umožnění jejich zvládnutí, respektive jejich řízení. Kromě heuristických metod také aplikuje teorii citlivosti a teorii grafů. V posledních dvou částí pak uvádí výsledky výzkumu bezpečnosti provozu pražského metra, jejich diskusi, vyhodnocení a návrhy opatření na zvýšení bezpečnosti provozu metra.

Výsledky disertační práce lze aplikovat na další podobné složité systémy, u kterých je zapotřebí identifikovat a řídit slabá místa, při kterých je třeba zvažovat zranitelnost a důležitost jejich aktiv, kritičnost a bezpečnost. Oblasti aplikovatelnosti výsledků disertační práce jsou kritické infrastruktury, prvky kritické infrastruktury, řízení kritických aktiv a řízení bezpečnosti v území či složitých technologických celků.

1.1      Cíle a rozsah vědecké práce

Tématem práce je posouzení bezpečnosti vybraného kritického objektu z pohledu integrální bezpečnosti a návrh na snížení kritičnosti objektu, tj. zvýšení jeho bezpečnosti. Vybraným kritickým objektem je metro v Praze.

Hlavním cílem práce je zvýšení bezpečnosti metra aplikací metod pro identifikaci a práci s aktivy, jejich kritičnostmi a riziky tak, aby bylo možné zajistit celkovou (integrální) bezpečnost metra na základě zvýšení znalostí o problémech a zranitelnostech aktiv, a to v oblasti techniky, v oblasti kybernetické, kde jde o zvýšení informačního výkonu systému, a dalších oblastech řízení, které jsou důležité pro bezpečný provoz.

Dílčí cíle disertační práce jsou:

• zvýšit znalost o problémech, rizicích systémů a jejich zvládání,
• data o sledovaném problému, tj. data o provozu pražského metra,
• stanovit metodický postup, popsat metody a nástroje pro práci s aktivy,
• identifikovat a určit kritičnosti aktiv pro bezpečné řízení provozu pražského metra,
• vhodně interpretovat a vyhodnotit výsledky pro další práci s aktivy,
• transformovat výsledky do grafů s cílem najít slabá místa provozu metra z hlediska bezpečnosti (integrální bezpečnost),
• analyzovat a vyhodnotit vybraný scénář dopadů na pohromy,
• navrhnout opatření pro snížení kritičností aktiv metra a tím snížit jeho celkovou kritičnost a zvýšit jeho bezpečnost (integrální bezpečnost).

1.2      Formulace vědeckého problému

Předložená disertační práce je zaměřena na studium složitých systémů typu SoS (systém systémů) v reálném světě a na zajištění jejich bezpečnosti (integrální bezpečnost). Z důvodu složitosti systémů je třeba zohledňovat kritičnost aktiv v závislosti na různých zdrojích rizik v reálném světě. Zvláště při realizaci nadprojektových jevů, které jsou původci rizik, dochází ke kritickým situacím, které jsou způsobeny vznikem nežádaných propojení v složitém systému, tj. vznikají neočekávaná propojení, která vedou k selhání, a často k celým kaskádám selhání [6]. Tím vznikají dopravní nehody, jejichž důsledkem jsou ztráty na lidských životech, škody na majetku veřejném i dopravce a na životním prostředí.

Vzájemné závislosti (angl. Interdependences), a to žádané i nežádané, mají povahu fyzickou, logickou, kybernetickou a místní [6], což znamená, že problematika je velmi široká. Při zvážení povahy SoS (tj. socio-kyber-fyzického systému), kterým je i pražské metro, lze navíc konstatovat, že se jedná o měkký systém, kde vzniká mnoho problémů především z nedostatečného řízení, tj. managementu, na různých úrovních a v různých souvislostech mezi technikou, informačním systémem a lidským faktorem.

Při zajištěných jistých podmínek technického díla, resp. řešeného systému, lze některé situace řešit exaktními metodami, avšak bezpečnost (integrální bezpečnost) zasahuje především do oblasti mimo uvedené limity a podmínky systémů, tj. nadprojektové jevy. Za uvedených podmínek, a kvůli anizotropiím a nehomogenitám v systému i jeho okolí, vznikají v SoS propojení, která nebyla zvažována v projektu [6]. Proto u velmi komplexních systémů s velkým počtem známých i neznámých stavů, nelze za uvedených podmínek s určitostí predikovat jejich chování, tj. vznikají tzv. emergentní jevy (jevy, které vznikají spontánně a nelze je jednoduše odvodit z vlastností prvků systému a jejich vazeb).

Předložená disertační práce, vzhledem k výše uvedenému rozsahu a složitostem, proto používá metody multikriteriální a heuristické a zaměřuje se pouze na vybrané části problémů v řízení bezpečnosti (integrální bezpečnost) řešeného systému. Pro řešení uvedeného problému používá postup uvedený níže.

1.3      Metodika zpracování disertační práce

K dosažení výsledků práce byl použit následující postup:

1. Výběr a návrh metod a nástrojů pro:
2. pro sběr dat – identifikaci aktiv, zranitelností (výběr),
3. pro práci s daty – stanovení kritičností a jejich interpretace (výběr),
4. pro transformaci matic citlivostí (zranitelností) do grafu (návrh),
5. tvorbu scénářů dopadů (návrh).
6. Identifikace aktiv objektu kritické infrastruktury (provozu pražského metra).
7. Určení zranitelností a kritičností aktiv.
8. Zjištění reálného stavu zabezpečení systému vůči specifickým a kritickým pohromám.
9. Interpretace výsledků pomocí matic citlivostí.
10. Transformace matic do grafu.
11. Modelování scénářů dopadů na vybranou kritickou pohromu.

1.4      Očekávaný přínos disertační práce

Disertační práce přispívá aplikací pokrokových metod, nástrojů a recentních znalostí ke zvýšení integrální bezpečnosti systému, jak požaduje koncept OSN [9]. Výsledky práce, tj. návrh opatření na celkové zvýšení bezpečnosti provozu pražského metra byly předány Dopravnímu podniku hl. Města Prahy pro implementaci v praxi [7].

Práce uvádí řadu otevřených neošetřených zranitelností, čímž otevírá možnost novým výzkumným projektům. Navržené metody a nástroje disertační práce lze dále rozvíjet a podpořit vhodnými softwarovými nástroji, čímž je otevřena možnost dalším projektům v rámci vývoje a inovací. Přínosem práce je souhrn poznatků, stanovení a ověření metody, která umožňuje dosažení vyšších cílů než jen bezpečnost procesů nebo jednotlivých technických zařízení, tj. dosažení integrální bezpečnosti. To je v souladu nejen s cíli odborného poznání, ale především s požadavky OSN i EU na bezpečný a udržitelný svět [2,8,9].