Дмитрий Дагаев писал(а):
... Был бы признателен, если бы вопросы были сориентированы на уровень "обезьяны, описанной Паронджановым": вот банан, а вот палка. Как для глупого директора.
Еще раз извиняюсь за то, что мне, как новому человеку, непонятны пока Ваши подходы на сайте Драконографика.
...
Ну, последнее в моём представлении скорее благо
это значит, что у Вас какое-то существенно отличное понимание, и есть шанс, что при взаимодействии будет какой-то новый эмерджентный результат
Насчёт первого - попробую, как обещал, на примере, на котором и Владимир Даниелович обсуждает гарантоспособность систем и её связь с характеристиками методологий формализации знаний об этих системах.
Поясню сначала своё понимание природы организационно-технической системы. Она возникает из человеческой деятельности, а её искусственная часть (комплекс технических средств) - из представления людей о том, как решить некую задачу не только "руками, ногами и головой" - ну и "камнями и палками", т.е. простейшими (ручными) орудиями труда. Но всегда как развитие этих самых орудий и опыта их применения на основе профессиональных и общих знаний. Причём новые знания могут кардинально отличаться от приобретённых на основе прошлого опыта - но используют результаты решения предыдущих задач. В то же время организационная составляющая остаётся - как в виде коллектива оргтехсистемы, так и в виде социальной среды её существования. Эта среда ожидает от системы результата, продуцируемого с некоторой эффективностью. Существуют разные оценки результата - проблемы прежних подходов показаны, напр.
здесь и
здесь (при обсуждении Гл.14), о современном см.
определение ПЭ здесь (на основе приведённого Орловым). Имеются также структурные модели - пример согласующейся, по-видимому, с новым подходом к эффективности приведён
здесь.
В работе "Алаверды ДРАКОНу" рассматривается применение техноязыка как составной части вертикально-иерархической модели (ВИМ) сложной оргтехсистемы. Если иметь в виду, что это делается на существующей ВИМ (в частности, вводится новый уровень), то для неснижения гарантоспособности системы необходимы некоторые организационно-экономические условия.
Поясню на примере из атомной энергетики - Чернобыльской катастрофе.
В /Паронджанов, 2001, Гл.18/, в п. "Почему взорвался чернобыльский реактор?" указывается, что игнорирование когнитивной эргономичности проекта АЭС (для участников разработки) и её технической части (для персонала) существенно понизили гарантоспособность станции. В то же время главные факторы лежат в общем понимании жизненного цикла АЭС вообще и данного типа в частности участниками ЖЦ на разных его этапах.
В своё время указывалось, что физика ЭАР БМК-типа (и, разумеется, конкретной модели РБМК-1000) сложная; управляющий комплекс "Скала", автоматизировавший часть задач по текущему управлению РБМК в составе энергоблока, может эффективно и безопасно её отрабатывать только при постоянном и содержательном контроле и управлении операторами ЭБ. В частности, нужно было выдерживать жёсткие коридоры по ряду физических параметров реактора - иначе процесс становился плохо управляем.
А что происходило на станции? Это одними характеристиками её как системы "человек-машина" не объясняется; нужно привлечь оргэкхарактеристики. По литературе известно следующее. Атомную энергетику в целом в "период застоя" сделали общепромышленной подотраслью в составе Минэнерго СССР. Соответственно главными критериями её оценки стали валовые. Поисковый характер создания средств производства для неё (АЭС), не всегда достаточный уровень знаний при этом во многом игнорировались. Потому и стала возможной ситуация, приведшая к катастрофе. Указывалось, что её непосредственной причиной было введение 4-го ЭБ в экспериментальный режим, имевшее целью - без ущерба для плана выработки энергии выявить возможности поднять производительность энергоблоков данного типа. Т.е. обычное "давай-давай"; при этом научные основы эксплуатации системы РБМК-Скала (диктовавшие иной стиль) игнорировались. И директор ЧАЭС Брюханов, на которого сначала возложили абсолютно всю ответственность, по сути был исполнителем директив руководства Минэнерго и Украинской ССР - конкретно Щербицкого, которому важны были успехи энергетической отрасли "по валу"; он же (вместе с союзным руководством), ничего против не имел, чтобы "наука не вмешивалась", ибо для него это было уже производство - причём не сильно отличающееся от, скажем, общемашиностроительного .
Что же произошло? По сути - недовложение труда в эксплуатацию АЭС по сравнению с требуемым исходя из природы её технической части как по объёму, так и прежде всего по качеству. А ведущая причина этому - произвольно изменившееся на протяжении ЖЦ АЭС представление о ней. При проектировании предполагалось, что она эксплуатируется в "особом режиме", как источник повышенной опасности "со многими неизвестными" - а при эксплуатации в какой-то момент сочли, что возможен "общий режим", что "всё главное уже известно", а остальное - выявим "испытанием на прочность" - притом не опытных образцов в специально отведённых местах, а промышленных - прямо по месту применения. Цель вроде бы была благая - сократить удельные трудозатраты на выпуск продукции - вот только достигать её решили "прямо сейчас", сокращая заодно трудозатраты на сокращение трудозатрат
путём совмещения разработки с эксплуатацией, что делать для такой системы было недопустимо...
Теперь к применению техноязыка. Как видно, в работе (см. Разд.5) представляются предложения, по которым берётся некая существующая ВИМ и "расширяется из середины" новым уровнем, средством описания на котором (и только на нём, если я правильно понял) принимается техноязык. Однако останется ли ВИМ при этом корректной? Не получается ли, что перестраивается фундамент построенного здания? И не будет ли такое построение иметь вид "пропатчивания"?
Модели вообще (и организации искусственных систем в частности) бывают либо общие, либо частные. Среди первых ВИМ мне известны только две системно разработанных, опубликованных и апробированных:
* ЭМВОС МОС - относится к чисто технической компоненте (описание можно найти во многих источниках);
* модель безопасной системы - относится к полной оргтехсистеме (охватывая и человеческий фактор) - можно найти в выдержке из Герасименко здесь.
Каждая из них так или иначе используется в практике. При этом нельзя рассматривать каждую из них как "окончательно верную" - но чтобы построить новую, нужна научная работа квалифицированных специалистов.
Частных ВИМ, разумеется, много; к ним, как я понимаю, относится и представленная. И для них справедливо вышесказанное. Но в более жёсткой форме - поскольку модель делалась под конкретные задачи и предполагаемые условия их решения, то пересмотр требуется при любом существенном отклонении.
Конечно, наиболее тщательно нужно к этому относиться, когда предметная область является, как говорит Г.Р. Громов "кризисной", т.е.
... <при автоматизации "некризисных" рабочих мест> отношение числа успешных срабатываний к "отказам" оказывается лишь текущим показателем достигнутого выигрыша в росте производительности труда. Принципиально иная ситуация складывается, когда «отказ» связан с возможностью аварийного исхода. "Кризисная область" приложений компьютеров и должна быть поэтому основным объектом так называемого "доказательного" программирования.
Но ведь атомная отрасль и относится к таковым...
Замечу, что ВИМ технических (программно-аппаратных) систем существуют уже различные. Можно отметить ВИМ ОС (см. в этом сообщении - там же пример соотношения между "внешним" и "нейтральным" представлением задачи), а также ВИМ информашины (см. здесь; замечу, что она кажется мне близкой к приводимой Вами).
А если при разработке нового системного представления возникнут логические дефекты? И их не обнаружат - или, обнаружив, не устранят должным образом? Как в примерах, приводимых
Ю.П. Петровым (из современной практики, между прочим). И возникнет тогда новое "неожиданное в технике"... А на сокращение трудозатрат нынешние "топ-манагеры" падки не меньше Щербицкого... и с тем, что может возникнуть недовложение труда против обеспечивающего гарантоспособность, не обязательно будут считаться...
Возможно, и инноватор М.Цукерберг какую-то научную проработку ВИМ для Facebook на корректность организовал. Если и нет, то проблемы - от того, что по концептуальным причинам ресурс будет работать не совсем "24х365" или где-то "узкое место" в пользовании обнаружится - будут не очень "кризисные". А если такое будет в СУ реактором?.. Так что это только в ограниченной "предметке" пример.
Примеры подхода к вертикальной иерархии сложных систем уже есть. На данной конференции наиболее последовательна была разработка alexus, обсуждавшаяся прежде всего
в этой теме. Характерно, что автор предполагает строить модель целиком заново, от начала до конца. Возможно, потому, что так легче избежать логических дефектов (кстати, обратим внимание: тема средств моделирования вызвала обсуждение также объекта моделирования -
в этой теме). Тогда как модификация существующих моделей (ВИМ в частности) может потребовать дополнительного анализа на корректность - ведь исходная модель строилась при предыдущем уровне знаний, а модифицируется исходя из нового, который может в чём-то и противоречить старому. Косвенно об этом предупреждает и Паронджанов, говоря о необходимости "стратегической реформы". Однако у "манагеров" по складу ума модификация может вызывать ассоциации с тем, что это всегда проще и быстрее, чем построение заново - значит, можно сэкономить трудозатраты... а не будет ли экономия "чернобыльской"?..
Итак, как нетрудно понять из вышесказанного, претензий к концепции представления знаний о сложной оргтехсистеме с применением техноязыка, представленной Дмитрием, как к "вещи в себе", нет (не в последнюю очередь потому, что во всей полноте обсуждать её научные основания неспециалисту - значит уподобляться упомянутым "манагерам"
). Но любая система существует в конкретном оргэкокружении, реальной социальной ситуации. И вот если не игнорировать этого - возникают вопросы: а правильно ли "просто добавлять уровень"; не следует ли "поэтапно и аккуратно", как говорит Илья, спроектировать заново целостную ВИМ, органически включающую новые возможности, предоставляемые шампур-методом? Не станет ли "пропатчивание когнитивным уровнем" просто оправданием очередного "давай-давай"? И без должной переработки ВИМ в целом? И не станут ли построенные по этим моделям системы менее гарантоспособными - с учётом и возможного несоответствия реальным условиям протекания ЖЦ? И возникают они из здравого смысла, указывающего, что в реальной жизни не каждый способ создания моделей сложных систем (как опять-таки сложных систем
) м.б. равно успешен...
Можно уповать на то, что среди специалистов будут противники такого подхода. Но удастся ли им не допустить кризисного развития событий?
Да, в своё время и в атомной отрасли в тяжёлый "оргмомент" был такой пример - в 1948 году, когда готовилось "развенчание не нашего" в физике по образцу биологии, руководители атомного проекта обратились прямо к Сталину с объяснением того очевидного факта, что не бывает "материалистической" и "идеалистической" атомной бомбы, а бывает работающая и неработающая, и как делать первую - решать специалистам. Но тот же Брюханов уже не больно-то возражал против антинаучного руководства работой АЭС - а если и возражал, то к нему не сильно прислушивались. И можно ли полагать, что в руководстве современной оргтехсистемы (от отраслей до "хозяйствующих субъектов") не возобладает "щербицко-брюхановский" подход?
Есть и ещё один пример на неравноценность способов создания. Как известно, отечественное атомное оружие создавалось по двум направлениям. Одно использовало материалы атомного проекта США, которые нашей разведке удавалось получать в достаточных объёмах. На другом разработка велась самостоятельно. И по современным источникам известно, что в итоге вторая разработка получилась лучше - вследствие чего после неоднократных предложений учёных стали заниматься только ею (конечно, после успешных испытаний первых образцов). Так что иногда лучше делать и "вместо", а не "вместе"...
Короче - разработка "кризисных" систем д.б. максимально "защищена от дурака" уже на уровне концепции. Иначе возникает вопрос - а не возможно ли, скажем, повторение Чернобыля? и м.б. не в единственном числе? Или уповать на то, что физика реакторов новых систем не позволит проявиться дефектам логики их создания и эксплуатации?..
Замечу ещё раз - все вопросы к специалистам. Возможно, на некоторые или даже на все из них профессиональный ответ окажется положительным (в смысле опровергающим высказанные соображения). Но важно другое - что само получение этих ответов определит роль и место нового подхода, границы его применимости. Разумеется, речь не о словах, а о конкретных результатах. И первое дело здесь - представлять как сам подход к модификации той же ВИМ, так и научные основания, почему это возможно в принципе и при каких условиях (не исключая и организационных) применение этой модели даст гарантоспособную систему. Так что цели документа, уточнённые этим высказыванием:
...
Алаверды, как правильно отметил Илья Ермаков, - документ в стиле рецензии. Там действительно есть набросок концепции. Но в силу формата документа это сделано "галопом по Европам".
...
Предложения прояснить принимаются.
Для меня главным является опубликовать концепции. С надеждой раскрутить что-то реальное.
...
Хорошо, если кто-то почитает, может подхватит знамя.
безусловно важны и своевременны. И обосновать не угрожающую гарантоспособности модель вполне может кто-то из "подхвативших знамя".
Стоит заметить, что даже стратегическая реформа не означает, что новое полностью замещает старое (что вызывает сомнения у Д. Дагаева). Так, принцип визуализации знаний, отчуждаемых как документы (средством которой является и техноязык) фактически вырос из работ по инженерной психологии проектирования материальных систем, где также (и давно) пришли к визуализации знаний, отчуждаемых как информативные признаки изделий (сигналы, продуцируемые оборудованием, и знаки, нанесённые на него).
И выстраивание моделей заново может (и должно, я думаю) использовать всё признанное правильным из выстроенного ранее. В то же время такой подход отсекает многие из поползновений "делать на скорую руку". Поэтому такое решение может оказаться корректней - если учитывать гарантоспособность моделируемых систем.
P.S. Всё это сформулировано было ещё до событий в Японии. Которые яснее обозначают необходимость продумывать свойства систем в полном жизненном цикле (используя термин из /Спицнадель, 2000/ - см.
в этом сообщении - кстати, и соседняя выдержка про обообщённый системный алгоритм, пожалуй, имеет отношение к делу моделирования). Те же японцы - люди серьёзные и в концептуальном плане продумали, чтобы их ставка на атомную энергетику была как можно менее рискованной (к чему, надо полагать, их подвигал и чудовищный опыт знакомства с "немирным атомом" - между прочим, ставший следствием как раз "топ-манагерского" количественно-скалярного подхода бело-американской политической элиты). Однако жизнь поставила серьёзные вопросы... в частности, не обойдётся ли в пожицикле атомная энергия стране дороже любой другой?.. В силу того, что если атомную станцию "пробуют на разрыв" - то нужно переходить к её утилизации, а не восстановлению (конечно, если думать о людях). И значит, недосчитываться производимой ею энергии, прикладывать усилия по её замещению - даже при отсутствии прямых катастрофических потерь (чего, надо полагать, все мы искренне японцам желаем - и для чего они, по-видимому, сделали многое уже на уровне проекта) это ведёт к значительным косвенным.