Ebben a tanulmányban egy stratégiai játékelméleti modellt mutatunk be a logikai kockázatkezelés felfogásában. A stratégiai játékelméleti modell fogalmát lényegileg úgy értjük, ahogyan azt Neumann János és Otto Morgenstern klasszikus munkájában bevezette, de természetesen nem lesz szükség az ott szerepeltetett általánosság fokára és a matematikai apparátus mélységére. A modell, amelyet a logikai kockázatkezelés elnevezéssel illetünk, a kockázatkezelésben általánosan ismert és elfogadott hibafamódszer [Henley–Kumamoto] egy változata. E változat lényege, hogy a hibafamódszer fogalmi apparátusából kirekesztjük azokat a fogalmakat, amelyek a valószínűség fogalmához kötődnek. Ezt a megközelítésmódot a „logikai kockázatelemzés” terminussal illetjük. A katasztrófahelyzetek megelőzésére és elhárítására kidolgozott stratégiai eljárásokra összefoglalóan – a tűzoltók védőszentjére utalva – a Florian-stratégia elnevezést vezettük be, amely egyben egy angol mozaikszó is: „Failure Logic Oriented Risk Imminence Assessment Normatives (Meghibásodás-logikai orientációjú kockázat-fenyegetés becslési normatívák).”

A FLORIAN-modell intuitív megközelítése
A katasztrófakezelés mindkét alapművelete úgy fogható fel, mint egy „természet elleni játék”.
Ez a terminológia – amely tehát a természetet az ember ellenfelének tekinti – a mai „környezetbarát” eufemisztikus társadalmi szemléletben meglehetősen bizarrnak tűnhet. Ugyanakkor példázza a matematikai szemlélet érdekmentes jellegét. Ha tehát a katasztrófakezelés szövegkörnyezetében „természet elleni játszmákról” esik szó, őrizkednünk kell a felszínes köznyelvi moralizálástól.
A katasztrófakezelés mint játék
A katasztrófakezelés mindig döntések sorozata. A döntések célja a hatáskörünkben lévő események kimenetelének olyan befolyásolása, amelyek szükségszerű logikai következménye egy be nem következett nem kívánt esemény elkerülése – azaz megelőzése – vagy pedig egy bekövetkezett nem kívánt esemény (következményeinek) elfogadhatóvá tétele – azaz elhárítása.
A köznyelv a „be nem következett esemény” jelentését a „hol van a szél, ha nem fúj” típusú tréfás értelmetlenségek körébe sorolja (bár a költői nyelv az „el nem csókolt csók” és hasonló kifejezésekkel árulkodik, hogy a meghiúsulás is érdemelhet figyelmet) és már ez az egyetlen jelenség is intő példa, hogy a kríziskommunikáció paradigmája nem tévesztendő és nem keverhető össze a köznyelvi közlésmódokkal. A katasztrófakezelés tehát olyan döntések sorozata, amelynek célja valamely nemkívánatos esemény megelőzése vagy elhárítása. A köznyelv (és bizonyos mértékig a jogi szöveg is) – inherens sajátosságainál fogva – nem képes és nem is szándékozik különbséget tenni esemény és eseménykategória között. Ugyanakkor jelenleg a jogi szöveg az egyetlen fogalmi apparátus, amely legalább megkísérli a katasztrófával kapcsolatos fogalmak egzakt értelmezését. Ennek sikere szakmai háttér (diszciplína és professzió, valamint paradigma) nélkül erősen vitatható.
A katasztrófa mint egyedi jelenség
Minden katasztrófa egyedi, egyszeri, tehát azonos körülmények között meg nem ismételhető véletlen esemény. Múlt századi közkeletű felfogás szerint [L. pl. Rényi, 9. old.]: „Azonos körülmények között megismételhetetlen, egyszeri [Rényi Alfréd kiemelése] véletlen eseményekkel a valószínűségszámítás és általában a tudomány [az én kiemelésem: B. I.] nem foglalkozik” Ez a felfogás ma már némiképpen túlhaladott, és a terrorizmus, a természeti katasztrófák és az éghajlat-szélsőségesedés problémái aktualizálódása folytán kihívásként jelenik meg. Rényi írja: (i. h.) „Egy egyszeri véletlen eseménnyel kapcsolatban a tudomány nem tehet többet, mint hogy megállapítja annak véletlen jellegét.”
Álláspontom szerint a tudomány igenis többet tehet ennél. A tudomány nem tagadhatja és nem ignorálhatja, hogy az egyszeri eseménynek is lehet kockázata, és hogy különböző eseményeknek különböző lehet a kockázatuk. Erre utal már az a körülmény is, hogy az interneten ezrével találhatók olyan helyek, ahol a „nemvalószínűségi” illetve a „determinisztikus” kockázattal foglalkoznak1 („non-probabilistic risk assessment” illetve:
„deterministic risk assessment”). A tudomány megállapíthatja, hogy mi a szükséges és elegendő feltétele egy egyszeri, megismételhetetlen esemény bekövetkezésének. Megállapíthatja ennek alapján, hogy egy ilyen esemény hányféleképpen következhet be annak ellenére, hogy az esemény nem ismételhető meg, és így gyakoriságáról nem (és ezért valószínűségéről sem) lehet beszélni. Az is megállapítható a tudomány módszereivel, hogy melyek azok a legkisebb számú eseményhalmazok – eseménykombinációk –, amelyek elemeinek bekövetkezése vagy be nem következése saját hatáskörünkbe esik, és egyben a vizsgált kockázati rendszer nem kívánt eseménye bekövetkezésének szükséges és elegendő feltételét alkotják. Ily módon azután módszereket adhat valamely egyszeri esemény megelőzésére, elhárítására vagy előidézésére.
Egy ilyen tudomány éppen a kockázatbecslés azon ága, amely elvileg bármely esemény (akár egyszeri, akár nem) bekövetkezésének (vagy be nem következésének) szükséges és elegendő feltételeiből (pontosabban az ezekre vonatkozó – a logika szabályai szerint kifejezett – információkból, állításokból) messzemenő következtetéseket képes levonni. Az idézett valószínűségszámítási (egyébként rendkívül értékes) tankönyv [Rényi] megjelenését követő alig egy évtized után vették kezdetét azok a kutatások, amelyektől ma – a munkánk főtárgyát képező – logikai kockázatelmélet, ill. kockázatelemzés megszületését számíthatjuk [L. Henley – Kumamoto].

A LOGIKAI KOCKÁZATELEMZÉS

A magyar szóhasználatban a „non-probabilistic risk assessment”, illetve: „deterministic risk assessment” elnevezések megfelelőjeként a „logikai kockázatelemzés” elnevezést javasoljuk.
Ennek fogalmához legegyszerűbben úgy lehet eljutni, hogy a hibafamódszertanon alapuló kockázatbecslés standard eljárásából elhagyunk minden valószínűséggel kapcsolatos részletet, és mellőzzük a grafikus technikát.
Henley–Kumamoto alapművében a következő – számunkra iránymutató – mondat szerepel: „… Fault trees … are complex logic structures and their construction and quantitative analysis involves, minimally, a sound knowledge of Boolean algebra, set theory and other advanced mathematical topics…” Vessük ezt össze Jaglom [131. old] következő soraival, amelyek arra vonatkoznak, hogy „a Boole-algebrák elméletének … apparátusa felhasználható az elektromos áramkörök tervezésére.”
A múlt század 30-as éveiben az elektromos áramkörök tervezése csak grafikus módszerrel, lényegileg sorozatos próbálgatással (próba szerencse [trial and error] módszerrel), kapcsolási rajzok készítésével volt lehetséges. Akkoriban alakultak ki a logikai áramkörök grafikus szimbólumai (a logikai kapuk) is, amelyet a hibafatechnikában mind a mai napig alkalmaznak. Jaglom így ír:„…örök időkre megelégedjünk az ilyen feladatok megoldásánál a maradi grafikus próbálkozással? Igaz-e, hogy tekintet nélkül a logika már kidolgozott »algebrájának« létére, az elosztórendszerek ugyanolyan jellegű algebráját utópiának kell tekinteni? ” (uo.) Felfogásunk szerint a kockázati rendszerek általában és a katasztrófák különösen, a közvetlen logikai leírás alkalmazásával kezelhetők a leghatékonyabban. Mi marad meg mármost a kockázati rendszereket leíró hibafa módszerből, ha elhagyjuk belőle a valószínűségi vonatkozásokat és a grafikus segédeszközöket? Úgy gondoljuk, hogy a következő:
Megmarad mindenekelőtt az, hogy egy nem kívánt esemény bekövetkezésének (és be nem következésének) szükséges és elegendő feltételeit olyan pontosan és annyira kezelhetően leírjuk, amennyire az egyáltalán lehetséges, azaz amelyet az eseményről való tudásunk és annak formális leírására való felkészültségünk lehetővé tesz. Röviden: megmarad a közvetlen (extradiszciplináris) logikai eseményleírás lehetősége. Megmarad a sokváltozós Boole-függvények megkonstruálásának hatékony iteratív technikája. Ez Henley–Kumamoto könyvében kitűnő tárgyalásban megtalálható. Megmaradnak és továbbfejleszthetők a kockázati rendszerek gyenge és erős pontjainak kezelésére kidolgozott módszerek alkalmazásának lehetőségei. Megmaradnak és továbbfejleszthetők a kockázati rendszerek nem kívánt eseményeinek megelőzésére és elhárítására alkalmas stratégiai játékelméleti módszerek alkalmazásának lehetőségei. Ez munkánk főtárgya. A következő fejezetekben e lehetőséget fejtjük ki részletesebben.

A KÖZVETLEN LOGIKAI
ESEMÉNYLEÍRÁS

Ez a körülmény egyedülálló előnyt biztosít a hagyományos (diszciplináris) leírásmódokkal szemben. A természettudományos jelenségleírás mindig absztrakt, absztrakcióra törekszik és absztrakciókkal dolgozik. Ezért mindig tudatosan elhanyagol bizonyos tényeket. Hiába tudjuk például, hogy az emelő csigakerekén átvetett kötél súlya életfontosságú (lezuhanása halálos balesetet okozhat), hiába ismerjük is adott esetben a súlyát, sőt a súrlódási tényezőjét, ezek a fizikai (mechanikai) számításokban nem vehetők figyelembe, elhanyagolandók, lényegtelenek. Nem azért, mintha a mechanika matematikai apparátusa erre alkalmatlan lenne, hanem azért, mert a kötél súlyából következő eseményeknek mind a szükséges, mind pedig elégséges feltételei kívül esnek a mechanika fogalmi körén, jelrendszerén, szaknyelvi korlátain, relevanciáján és illetékességén, egyszóval: paradigmáján. A mechanika terminológiájában nem lehet megfogalmazni például azt, hogy „munkavédelmi ellenőrzés-mulasztás történt a csigás emelő kötélzetének biztosítására vonatkozóan”, márpedig ilyen és ehhez hasonló – logikailag egzakt, de a mechanikában meg nem fogalmazható – eseményeken (állításokon, kijelentéseken, ítéleteken) múlik minden, amitől egy létfontosságú esemény függ. A mechanika nem ismeri sem az eseményalgebrát, sem az ítéletkalkulust, ezek (szimbolikus) jeleit nem tudja formálisan (tehát jelentésüktől függetlenül) kezelni.
A szaktudomány különválasztja, a kockázatelmélet összekapcsolja a lényegest és a létfontosságút.

BOOLE-FÜGGVÉNYEK
HATÉKONY KEZELÉSE

A matematikai szakirodalomban a „többváltozós függvény” terminust teljes általánosságban szokás bevezetni, azaz nem különböztetnek meg „kevés-” és „sok-” változós függvényeket.
Az alkalmazásokban pedig (elsősorban a matematikai fizika parciális differenciálegyenleteire gondolunk) már a 6, 7, 8 változós függvények használata is meglehetősen ritka. A 100-nál több változós függvények jelentette problémák kívül esnek a matematika érdeklődési körén. Más a helyzet a Boole-függvényekkel, amelyeknél a változók száma a gyakorlatban igen nagy (100-tól a több millióig) és az ilyen esetek minőségileg új problémákat jelentenek. Számítástechnikai eljárások nélkül egy több tízezer (esetleg millión felüli) mikroelektronikai alkatrészt tartalmazó logikai áramkör megtervezésénél persze ezek a valóban sokváltozós Boole-függvények nélkülözhetetlenek, de a gyakorlatban szó nincs arról, hogy ezeket a tankönyvekben megismert képletekkel netán táblázatos formában vagy grafikusan adjuk meg. Egy n-változós Boole-függvény táblázatos megadásához általában 2n–1 adatra van szükség, és minden adat n bitet jelent. Ez például egy 100 változós Boole-függvény esetében több kvintillió! (1030) bájtot jelent, amit még a mai számítógépek tárolókapacitására kialakított szakkifejezésekkel is nehéz kifejezni. Több kvadrillió Quattrobájtról van szó. (Egy Quattrobájt = 250 bájt, azaz 1024 Terabájt = 220 Gigabájt.) Gondoljuk meg, hogy ehhez képest egy 145 változós gyakorlati kockázatelemzési probléma hibafájának eltárolásához például mind- össze 40 Kbájtra van szükség. Ha a hibafa tárolóképességét ezzel a memóriaigénnyel mérjük, akkor nagyságrendben 30 körüli értéket kapunk.

GYENGE ÉS ERŐS PONTOK MEGHATÁROZÁSA

A gyenge és erős pont fogalmát a mindennapi gondolkodás széleskörűen használja, bár ez a használat logikailag némiképpen következetlen.
Intuitív megközelítés
Az Achilles-mítosz szerint mindaddig, amíg Achilles sarka meg nem sérül, a hős is sértetlen marad. Ebből az az intuitív következtetés vonható le, hogy Achilles sarka (megsérülése) Achilles „gyenge pontja”. Ennek egy kézenfekvő pontosítása a következő:
l Ha Achilles sarka megsérül, Achilles elbukik.
l Ez pedig úgy interpretálható, hogy „Achilles sarka (sérülése) Achilles gyenge pontja”.
l Intuitíve adódik azonban az az interpretáció is, miszerint
l Ha Achilles sarka sértetlen, Achilles nem bukik el.
l Ez pedig úgy interpretálható, hogy „Achilles sarka (sértetlensége) Achilles erős pontja”.
A logikai kockázatelmélet terminológiájában átfogalmazva ezt úgy foghatjuk fel, hogy itt a főesemény „Achilles bukása”, az egyik prímesemény pedig „Achilles sarkának sérülése”. Amíg ez a prímesemény nem áll fenn, azaz passzív,
Achilles sem bukik el, azaz nem következik be a főesemény, vagyis a főesemény is passzív. Így tehát e prímesemény passzivitása (be nem következése) maga után vonja a főesemény passzivitását (be nem következését). A második interpretáció szerint e prímesemény aktivitása (bekövetkezése) maga után vonja a főesemény aktivitását (bekövetkezését).
Ennek megfelelően a logikai kockázatelméletben
l a prímesemények valamely minimális halmazát akkor mondjuk erős pontnak, ha elemei egyidejű passzivitása maga után vonja a főesemény passzivitását. (Régi gráfelméleti reminiszcenciák okán szokásos a „Path Set” „Járathalmaz” elnevezés.);
l a prímesemények valamely minimális halmazát akkor mondjuk gyenge pontnak, ha elemei egyidejű aktivitása maga után vonja a főesemény aktivitását. (Régi gráfelméleti reminiszcenciák okán szokásos a „Cut Set” „Vágathalmaz” elnevezés.)
A népi tudat azonban nem tesz éles fogalmi különbséget az erős és a gyenge pont között, hanem összemossa azokat. Minthogy a mitológiai vonatkozások úgy is értelmezhetők, hogy Achilles akkor és csak akkor bukik el, ha sarka megsérül, azt kell mondanunk, hogy itt egyidejűleg van szó gyenge és erős pontról. Legyen szabad az Olvasónak ajánlani, hogy az erős és gyenge pont fogalmának intuitív tartalmát próbálja meg azáltal erősíteni, hogy elvégzi a következő események „kockázatelemzését”: Sámson hajának elvesztése (feltételezve, hogy Sámson akkor és csak akkor bukik el, ha elveszti a haját); Anteusz pusztulása (feltételezve, hogy Anteusz akkor és csak akkor veszít, ha Herkules elragadja a föld felszínéről); A hétfejű sárkány pusztulása (feltételezve, hogy a sárkány akkor és csak akkor pusztul el, ha mindegyik és nem bármelyik fejét vágjuk le).
A kritikus pontok meghatározása
Ebben a pontban bemutatunk egy algoritmust, amely a kritikus pontok meghatározására szolgál. A Boole-algebra terminológiájában az algoritmus egy közvetett pozitív (azaz negációt nem tartalmazó) Boole-függvény úgynevezett diszjunktív normálformájának – röviden DNF – meghatározására szolgál. Az algoritmus – némi mechanikus módosítással az úgynevezett konjunktív normálforma röviden – KNF – meghatározására is alkalmas. E fogalmak pontos és didaktikus leírása megtalálható Demetrovics és szerzőtársai könyvében.
Szemléletesen szólva a DNF nem más, mint a független konjunkciók diszjunkciója, a KNF pedig nem más, mint a független diszjunkciók konjunkciója, azaz az alábbi példa szerinti esetben
DNF(G1) = E1 • E2 + E1 • E3 + E1 • E4 + E5 • E7 + E5 • E8 + E6 • E7 + E6 • E8
KNF(G1) = (E1 + E5 + E6) • (E1 + E7 + E8) • (E2 + E3 + E4 + E5 + E6) • (E2 + E3 + E4 + E7 + E8)
Egy példa
Az alábbi példa a NASA által kiadott „Fault Tree Handbook” c. könyv 11.3 fejezetéből való (www.hq.nasa.gov/office/
codeq/doctree/fthb.pdf). Itt egy nyolcváltozós közvetett Boole-függvényről van szó, jele G1, a változók jele pedig E1,…,E8. A változók jelentése itt számunkra érdektelen, egyébként a fenti internetcímen megtalálható. A főesemény, (G1), a következő egyenletekkel (közvetítő függvényekkel) van megadva:
G1 = G2 • G3
G2 = G4 + E2
G3 = G5 + E1
G4 = G6 + E3
G5 = G8 • G9
G6 = G7 + E4
G7 = G8 • G9
G8 = E7 + E8
G9 = E5 + E6
Fejezzük ki G1-et, mint az E1,…,E8 függvényét.
Az idézett helyen kimutatják, hogy
G1 = E6 • E7 + E6 • E8 + E5 • E7 + E5 • E8 + E1 • E3 + E1 • E4 + E1 • E2
G1 = E1 • E2 + E1 • E3 + E1 • E4 + E5 • E7 + E5 • E8 + E6 • E7 + E6 • E8
Az algoritmus lépései
A bemutatandó algoritmus egy hibafával leírt kockázati rendszer gyenge pontjainak meghatározására való. Hasonló módon építhető fel az erős pontok meghatározására szolgáló algoritmus is. A gyenge és az erős pontokat közös néven kritikus pontoknak nevezzük.
Az algoritmus előkészítésére a következőképpen járunk el:
Előkészületek:
Készítsünk egy Eseményjegyzéket, amely az összes összetett eseményt tartalmazza Az eredmény:
Eseményjegyzék = {G1}
Készítsünk egy Gyengepont-jegyzéket
Az eredmény: Gyengepont-jegyzék = {} (Az üres halmaz)
Lépés: Kiindulunk a főeseményt definiáló G1 egyenletből:
G1 = G2 • G3
Lépés:
Vegyük sorra az előző lépésben szereplő esemény explikánsait (azaz tényezőit vagy tagjait aszerint, hogy az esemény konjunktív vagy diszjunktív).
Ha az esemény konjunktív, akkor helyettesítsük az Eseményjegyzék megfelelő elemét a tényezők halmazával.
Ha az esemény diszjunktív, akkor bővítsük az Eseményjegyzék megfelelő elemét az esemény tagjaival.
Az eredmény: A G1 elem helyettesítése a {G2,G3} halmazzal.
Eseményjegyzék = {G2,G3}
Végezzük el a Boole-algebra szabályai szerinti egyszerűsítéseket az eseményjegyzéken
Lépés:
Ha az eseményjegyzék valamelyik eleme csupa prímesemény halmaza, akkor jegyezzük fel ezt a halmazt a Gyengepontjegyzékbe.
Az eredmény:
Gyengepont-jegyzék= {}
Lépés:
Ha elértük az utolsó eseményegyenletet, akkor az algoritmus véget ért.
Lépés:
Térjünk át a következő eseményegyenletre és folytassuk a 2. Lépéssel
Az algoritmus futása
Az algoritmus futását a következő táblázat mutatja:
A DNF és a KNF az adott Boole-függvény két ekvivalens alakja, azaz minden B Boole-fügvényre igaz, hogy: DNF(B) = B = KNF(B)
A kritikus pontok szemléleti háttere és alkalmazásának korlátai
A kritikus pontok a kockázati rendszer legtökéletesebb jellemzői. Egy aktív rendszerállapot (amelyben tehát a főesemény esete fennáll) erős pontjai alapján megállapítható a veszély háríthatósága illetve a hárítási stratégia, vagyis az, hogy mely prímesemények passziválásával érhető el „legelőnyösebben” a főesemény passzív állapota. Itt a „legelőnyösebben” kétféle jelentéssel bír. Jelentheti a leggyorsabb (azaz a legkisebb időigényű, vagyis a legrövidebb ideig tartó) és a legolcsóbb (vagyis a legkisebb költségigényű azaz a legkisebb költséggel megvalósítható) hárítást.
Hasonlóképpen: Egy passzív rendszerállapot (amelyben tehát a főesemény esete nem áll fenn) gyenge pontjai alapján megállapítható a rendszer sebezhetősége, illetve a megelőzési stratégia, vagyis az, hogy mely prímesemények passzívan tartásával kerülhető el „legelőnyösebben” a főesemény aktív állapota. Itt a „legelőnyösebben” kétféle jelentéssel bír. Jelentheti a leggyorsabb (azaz a legkisebb időigényű, vagyis a legrövidebb ideig tartó) és a legolcsóbb (vagyis a legkisebb költségigényű, azaz a legkisebb költséggel megvalósítható) megelő zést.
Természetesen aktív állapotban nincs értelme gyenge pontról beszélni, csakúgy, mint passzív állapotban erős pontról. Feltehető, hogy a kritikus pontok e tulajdonságai okán törekednek a kockázatelemző rendszerek a gyenge és az erős pontok meghatározására. Ugyanekkor azonban van egy alapvető elvi nehézség, amely ezt a törekvést megnehezíti, illetve kudarcra ítéli.
A nehézség abból ered, hogy a kritikus pontok meghatározása matematikailag egy Boole-függvény konjunktív és diszjunktív normálformájának meghatározását jelenti. Ez pedig igen időigényes számítástechnikai feladat, mivel egy tipikus hibafa esetén (amelyben kb. 100 prímesemény fordul elő) a független diszjunkciók, illetve konjunkciók száma több millióra rúghat. Ezek kiszámítása napokat vehet igénybe a mai személyi számítógépeken. Ha adott esetben mégis sikerül e normálformák kiszámítása és eltárolása, akkor még mindig megmarad az a feladat, hogy minden konkrét esetben – más szóval: minden konkrét állapotban – a normálforma valamelyikét (alkalmasint a számítástechnikailag előnyösebbet) ki kell értékelni, hogy megtudjuk, fennáll-e a főesemény esete. Ezek után (az esettől függően) ki kell választani a legelőnyösebben kiküszöbölhető kritikus pontot. Ez újabb számítógépi erőforrást köt le. Ilyen körülmények között valós idejű kockázatkezelésről a számítástechnika jelenlegi fejlettségi szintjén (és a racionálisan belátható jövőben) szó sem lehet. E nehézség kiküszöbölésére szolgál a kockázatkelés játékelméleti modellje, s annak Florian-stratégiája.

A JÁTÉKELMÉLETI MODELL

A kockázati rendszer eseményeit – pontosabban: eseményrendszerét – a hibafa Boole-függvénye definiálja, ábrázolja. Azt is mondhatjuk, hogy az eseményrendszer a kockázati rendszer alrendszere. Van azonban a kockázati rendszernek ezen kívül egy másik alapvető alrendszere is, és ez az állapotrendszer.
Állapot
Minden esemény vagy bekövetkezett (rossz magyarsággal, de pontosabb kifejezéssel: „be van következve”, illetve „esete fennáll”, „fennforog”), vagy nem. Ha igen, azt mondjuk, hogy az esemény aktív (vagy aktív állapotú, vagy aktív állapotban van), ha nem, azt mondjuk, hogy az esemény passzív (vagy passzív állapotú, vagy passzív állapotban van). A kockázati rendszer elemi komponenseinek (vagyis a prímeseményeknek) az állapota időről időre megváltozhat. Ennek megfelelően a (kockázati) rendszer állapotáról fogunk beszélni aszerint, hogy a primitív események adott állapota esetén a főesemény aktív-e, vagy sem. Ha aktív, akkor azt mondjuk, hogy a rendszer aktív állapotban van, ha paszszív, akkor azt mondjuk, hogy a rendszer passzív állapotban van. Ez annyit jelent, hogy:
l A kockázati rendszer állapotát az elemi kockázati tényezők (más szóval a prímesemények) állapota egyértelműen meghatározza.
l A kockázati rendszer állapotán az elemi kockázati tényezők (prímesemények) állapotainak rendszerét (összességét) értjük.
A „kockázati rendszer állapota” kifejezésből, ha nem okoz félreértést, a rövidség kedvéért elhagyjuk a jelzőt, és egyszerűen csak állapotról vagy rendszerállapotról beszélünk. Megengedjük magunknak azt a pongyolaságot is, hogy – amennyiben nem okoz félreértést – egyszerűen a főesemény nevével hivatkozzunk az állapotra.
A gyakorlatban előforduló kockázati rendszerek (amelyekben a prímesemények száma 100–200 között van) elképzelhetetlenül sok lehetséges állapottal rendelkeznek. Mint könnyen belátható, ezek száma a kvintillió (trilliószor billió, 1030) és a decillió (kvintilliószor kvintillió, 1060) közé esik. Ezen állapotok bármilyen formában való tárolása vagy végigvizsgálása természetesen szóba sem jöhet. (Ha egy másodpercenkénti egybillió számlálási sebességű szuperszámítógépet veszünk is alapul, akkor a 1030 számú állapot pusztán leszámlálására egytrillió másodpercre, azaz több mint 30 milliárd évre van szükség!) Úgy tűnik tehát, hogy a kockázatelemzés reménytelen számítástechnikai nehézséggel jár. Ezen a nehézségen azonban a matematikai logika eszközeivel könnyíteni lehet.
JÁTÉK
Általában
A játékmodell alkalmazhatóságának szükséges feltétele, hogy legalább a következő fogalmak értelmezettek legyenek:
l a játékosok megnevezése,
l a lehetséges lépések,
l a következmények az egyes lépések megtétele után,
l a győzelem, illetve a vereség.
Esetünkben két játékos van: az egyik a Természet, a másik a Kockázetkezelő. A lehetséges lépések meghatározásához célszerű valamit mondani a játéktérről és a játék eszközeiről. A sakk játéktere a sakktábla, eszközei a sakkfigurák. A kártyajátékok játéktere lényegtelen, eszközük a kártya(csomag). A labdarúgás játéktere a (futball)pálya, eszköze a labda. Ami a stratégiai játékok játékterében fogalmilag közös, az az állapottér.
A sakkban az állapotot a figurák helyzete határozza meg. (Matematikailag ez azzal ekvivalens, hogy a figurák helyzete az állapot.) A labdarúgásban az állapotot az egyes játékosok és a labda pillanatnyi helyzete és mozgásállapota (sebessége és gyorsulása) határozza meg. Hasonló felfogásban definiálható a különféle kártyajátékok állapotának fogalma is.
Elméleti megfogalmazásban azt mondhatjuk, hogy a játék során a játék (eszközeivel és lépései által) a játék állapota megváltozik. Magának a játéknak a folyamata (lefutása) matematikailag egy olyan függvénnyel írható le, amely a rendszer állapotainak halmazát önmagába képezi le.
Esetünkben a kockázatkezelés játékmodelljéről van szó. Itt az állapotot – definíciónk szerint – az egyidejűleg aktív prímesemények határozzák meg. A lehetséges lépéseket a Kockázatkezelő esetében valamely aktív, de passzíválható prímesemény passziválása jelenti. A lehetséges lépéseket a Természet esetében valamely passzív, de aktiválható prímesemény aktiválása jelenti. Az aktiválható passzív és a passziválható aktív prímesemény fogalma centrális jelentőségű a kockázatkezelés játékelméleti modelljében, ezért ezekkel külön pontban foglalkozunk.
Lépések
Azok az események, amelyek befolyásolása saját hatáskörünkben áll, már az ókori görög filozófiában is felkeltette az érdeklődést (Epiktétosz). Az „eseménybefolyásolás” kifejezéssel terminus technicusként lényegileg három emberi képességet kívánunk megjelölni.
Vannak először is azok az események, amelyeket minden további (esemény bekövetkezése mint feltétel) nélkül létre tudunk hozni. Ezek az események elemi emberi aktusok eredményei. Az aktusok elméleti vizsgálatának – az akcióelméletnek – igen kiterjedt szakirodalma van, és igen szoros rokonságot mutat a logikai programozással. L. pl.: J. Lobo.
Az aktusok két csoportba különíthetők: informatikai és energetikai lépésekre.
Az informatikai csoport két alcsoportja: információadás és információvétel. Ezek legelemibb megnyilvánulásai az olvasás és az írás a szó legáltalánosabb köznapi értelmében. Ezeket például tovább általánosítva Lobo észlelési és nem-észlelési akcióknak nevezi. Ezek a fogalmak, és az ezekre épülő elmélet a robotikában alapvető jelentőségű.
Az energetikai elemi aktusokat más néven szomatikus funkcióknak nevezzük. Két csoportja hasonlóan: az energiaadás és az energiavétel. Az informatikai funkció mindig energetikai funkciót tételez fel, még akkor is, ha ennek mértéke elhanyagolható. (Például teljesen bénult beteg közlése szemmozgással vagy szemhéjmozgással.) Példák:
l Műszaki készülékek, berendezések kezelőszerveinek használata.
l Egy gomb – különféle módozatú – megnyomása egy billentyűzeten, egy telefonkészüléken, egy gépkocsiban, egy távirányítón, egy fegyveren stb.
l Szomatikus funkcióink a legelemibb szemmozgástól a különféle sportokig.
l Egy szerszám használata, tárgy elmozdítása stb. stb.
l Valamely jelzés kiadása a segélykiáltástól a parancskiadásig.
l Minden elemi emberi aktus lehet sikeres és lehet sikertelen, diszfunkcionális.
l A diszfunkcionalitást a köznyelv következetlenül használja. A „nem működik”, a „rosszul működik”, valamint a „nem rendeltetésszerűen működik”, „működésképtelen” fogalmai összemosódnak. A kockázatelmélet feladata e fogalmak pontos és hatékony (tehát ellenőrizhető következtetések levonására alkalmas) meghatározása.
l Az ember mindig és minden körülmények között bizonyos eseményeket képes minden közreműködés nélkül befolyásolni, bizonyos eseményeket viszont nem.
l Műszaki készülékek, berendezések kezelőszervei lehetnek használhatatlanok:
Egy gomb – különféle módozatú – megnyomása lehet sikertelen, ha „rossz gombot” nyomtunk meg. A köznyelv jellemző módon nem tesz különbséget a „rossz gomb lenyomása” kifejezés két alapvetően különböző jelentése között. Akkor is „rossz gomb lenyomása” történik, ha a kezelő diszfunkcionális (tévedett, nem a kellő gombot nyomta meg), és akkor is, ha a kezelőszerv diszfunkcionális (működésképtelen, rosszul működik stb.). A „rossz gomb lenyomása” ugyanúgy katasztrófához vezethet, mint a legsúlyosabb hadi cselekmény vagy természeti csapás. Kellő elméleti megalapozása, paradigmája mindmáig nincs kidolgozva, jóllehet az ergonómia, a munkavédelem eredményei nem elhanyagolhatóak.
A szomatikus diszfunkciók a kockázatelméletben kiemelt szerepet játszanak. Ugyanakkor a téma játékelméleti megközelítésére – egyetlen jelentős kivétellel [M. Kis] – (tudomásunk szerint) nincsen példa.
Egy szerszám hibás használata, egy tárgy nem megfelelő módon való elmozdítása, és az ehhez hasonló kérdéseket a munkavédelem körébe szokás sorolni, de a munkavédelem és a katasztrófavédelem problematikáját a társadalom, a jogalkotás külön kezeli, ami pedig egy konzekvens kockázatelméleti megalapozottság hiányában csak növeli azt a zűrzavart, ami a kockázatkezelés tudományos vonatkozásaival összefüggésben tapasztalható. Azok a kockázatok, amelyek valamely jelzés (téves, megtévesztő, vagy gondatlanságból eredő stb.) kiadásából erednek, nem szorulnak kockázatelméleti méltatásra, hiszen jelentőségüket aligha lehet túlbecsülni.
Lépésfajták
Az a körülmény, hogy minden elemi emberi akció nemcsak sikeres, hanem sikertelen is lehet, a kockázatelmélet konzekvens megalapozása érdekében szükségessé teszi, hogy a – játékelméleti szemlélettől eltérően – a lépés fogalmát tovább finomítsuk. A játékelméletben hallgatólagosan felteszik, hogy minden lépés – amennyiben szabályos –, egyben sikeres is abban az értelemben, hogy végrehajtható (és természetesen nem abban az értelemben, hogy a játék megnyeréséhez vezet). A „végrehajthatatlan lépés” fogalma ugyanúgy értelmetlen a játékelméletben, mint a „be nem következett esemény” a köznyelvben.
A valóságban tapasztalható viszonyok jobb leírásához jutunk, ha figyelembe vesszük, hogy egy eseményt nemcsak kiváltani (előidézni) lehet, hanem meg is lehet akadályozni; ha egy esemény (bekövetkezését) nem is lehet megakadályozni, a következményeit viszont adott esetben meg lehet akadályozni. (Az esőt nem tudjuk elállítani, de vihetünk ernyőt, és ezzel megakadályozhatjuk az eső egyik következményét, ti. hogy megázunk. Az árvizet nem tudjuk elkerülni, de – esetleg halálos – következményeit gátépítéssel, kimenekítéssel megakadályozhatjuk). Hogy kellő egzaktsággal kezelni tudjuk ezeket a körülményeket, ki kell alakítani a szakmai terminológiát. Ezért kell bevezetni az aktív és passzív esemény, valamint az esemény passziválásának és aktiválásának a fogalmát. Most ennek kiterjesztéseként bevezetjük a passziválható aktív és az aktiválható passzív esemény fogalmát. Ezek intuitív tartalmának megvilágítására szolgálnak az alábbi példák:
Gondoljunk el egy üzemben lévő rendeltetésszerűen üzemelő szelepet. Ennek – mármint az ennek megfelelő prímeseménynek – az állapota passzív. A szelep azonban – hacsak valamilyen külön intézkedéssel (akcióval) nem akadályozzuk meg – elvileg bármikor elromolhat, azaz aktiválódhat, (a megfelelő prímesemény tehát) aktiválható. Megtörténhet, hogy egy aktiválható, de passzív esemény bekövetkezése létfontosságú következmény- nyel jár. Ilyenkor elvileg megtehető, hogy (például egy berendezés őrzésével és védelmével) megakadályozzuk az esemény bekövetkezését. Ez a tartós passziválás esete. Ez elméletileg annyit jelent, hogy bizonyos esetekben feltételezhetjük, hogy valamely passzív esemény egy bizonyos ideig nem aktiválódik, nem következik be. Ez lesz az esemény megelőzési időigénye. Ugyanakkor egy esemény tartósan passzívan tartásának megvan a maga költségvonzata is. Ez lesz az esemény megelőzési költsége.
Ennek analógiájára értendő a valamely aktív, de passzíválható esemény passziválási ideje és költsége. Ennek szinonimájaként beszélünk a felújítási vagy hárítási (költség- és idő-) tényezőkről. Mindezek pontosításával és általánosításával szisztematikusabban foglalkozik a következő fejezet.

A FRANKLIN-TÉR

Franklin Benjamin (1706–1790) híres mondása szerint: „Az idő pénz.”
Hogy minden eseménynek költségvonzatot lehet és kell is tulajdonítani, az mind a számvitelnek, mind a biztosításelméletnek kiindulópontja, előfeltevése, axiómája.
Franklin-paraméterek
Ha elfogadjuk a fenti „Franklin-elvet” akkor ebből következik, hogy nemcsak költségigénye, hanem időigénye is van minden eseménynek, és így minden olyan cselekvésnek, aktusnak, akciónak is, amelynek eredménye valamilyen esemény. (Hacsak a fogalmilag meglehetősen problematikus „semmittevés”-t nem tekintjük cselekvésnek, aligha utasítható el, hogy minden cselekvés eredménye valamilyen esemény. Természetesen a megfordítást nem kötjük ki:
Nem minden eseményt gondolunk valamilyen cselekvés eredményének. Legalábbis tárgyalásunkban (ha mást nem mondunk) a „cselekvés”-t mint a primitív események állapotának megváltoz(tat)ását fogjuk érteni. A kockázatkezelésben a cselekvéseket kézenfekvő módon három alapvető osztályra bonthatjuk, ezek:
l a megelőzés,
l az elhárítás
l és a felújítás.
Mivel mindezekhez tartozik valamilyen idő- és költségtényező, a Franklin-pataméterek két-két alosztályát különböztethetjük meg. Így foglalkozunk majd a megelőzési idővel, az elhárítási idővel és a felújítási idővel, valamint a megelőzési költséggel, az elhárítási költséggel és a felújítási költséggel.
Megelőzés, hárítás, felújítás
A magyarban a „megelőzni” igének három jól elkülönülő jelentése van. Az első, amit az angolban a „prevent” fejez ki, a betegség, a veszély megelőzésére vonatkozik. A „kézmosással megelőzhető a fertőzés” nem azt jelenti, hogy „fertőzést kézmosás után lehet kapni”. A „Széchenyi megelőzte korát” nem azt jelenti, hogy „akadályt gördített a jelene elé”. „A villamos megelőzte a kerékpárost” nem azt jelenti, hogy a „villamos megakadályozta a kerékpáro(zá)st”, (jóllehet abban valóban megakadályozta, hogy egyszerre érjenek egy helyre). Már ezek a példák is mutatják, hogy a szavak köznyelvi és szaknyelvi jelentését gondosan meg kell különböztetni egymástól. Itt megelőzésen azon be nem következett primitív események bekövetkezésének megakadályozását értjük, amely elegendő a be nem következett főesemény bekövetkezésének megakadályozására.
Hárításon azon bekövetkezett primitív események be nem következésének előidézését értjük, amely elegendő a bekövetkezett főesemény be nem következéséhez. A katasztrófakezelés gyakorlata nem elméleti, hanem tapasztalati alapokra épül. Ennek megfelelően ott ezek a fogalmak értelmezése kissé más.
Katasztrófamegelőzés
a) minden szervezeti, jogi, műszaki intézkedés, annak érdekében, hogy a nem kívánt esemény ne következzen be,
b) ha az a) pont ellenére bekövetkezik a nem kívánt esemény vagy állapot, akkor minden szervezeti, jogi,
műszaki intézkedés annak károsító hatásának csökkentése érdekében (pl. gát, tűzfal stb.),
c) az eredményes védekezés feltételeinek biztosítása (pl. felkészülés, tervezés, gyakorlat,
lakosságtájékoztatás stb.).
Védekezés: az emberi élet, anyagi javak, állatok, környezet mentése, a katasztrófa keletkezési okának felszámolásával és/vagy annak hatásának felszámolásával. Rendszerint ezen időszak feladata a keletkezés objektív és szubjektív okainak vizsgálatainak megkezdése.
Rehabilitáció: Az eredeti, vagy azt megközelítő élet- és munkakörülmények visszaállítása, illetve biztosítása.
Szakmai körökben még nem teljesen tisztázott, hogy meddig katasztrófavédelmi feladat és mikor gazdasági, esetleg politikai kérdés. Ezen időszak feladata a pontos keletkezési okok vizsgálata, a vizsgálati tapasztalatok visszacsatolása a megelőzési feladatkörbe.
Ha azt akarjuk, hogy a katasztrófavédelem gyakorlata profitáljon a kockázat elméletéből, akkor törekednünk kell a két szemlélet közelítésére. Nyilvánvaló, hogy a kockázatelmélet nem tud mit kezdeni a „szervezeti, jogi, műszaki intézkedés” kifejezésekkel, különösen akkor nem, ha az valaminek az „érdekében” történik. Mint minden egzakt tudomány, a kockázatelmélet is érdekmentes. (Ellenkező esetben politikai erők játékszerévé válhatna.) Tudjuk persze, hogy ebben a szóhasználatban az „érdek” szó nem politikai értelemben szerepel, de ha nem vigyázunk a köznyelvi és a szaknyelvi kifejezések elkülönítésére, könynyen félreértésekre adhatunk okot. Nyilvánvaló továbbá, hogy a kockázatelmélet felfogásában a szervezeti, jogi, műszaki intézkedések csakis primitív eseményekre irányulhatnak, hiszen – definíció szerint – csak ezek kimenetelére lehet közvetlen befolyásunk. Mármost bizonyos ilyen intézkedések együttese vagy elegendő egy nem kívánt esemény megszűnéséhez, vagy nem.
A probléma – ismét az elmélet terminológiájában – az, hogy melyek azok a primitív események, amelyekre irányuló intézkedések a legeredményesebben (leggyorsabban vagy legolcsóbban) vezetnek célhoz. Sokkal nagyobb elméleti problémát jelent a főesemény károsító hatásának fogalma a kockázatkezelés szempontjából. A kockázatelméleti kárfogalom kezelése A hibafamódszeren alapuló kockázatelméle
t nem ismeri a konzekvenciaanalízist („következményelemzést”). Elvileg nem alkalmas arra, hogy a „mi van akkor, ha” típusú kérdésekre az adott (hibafával elemzett) szituációban elvárható választ adjon. Ennek intuitív belátására vegyük a Gátszakadás (nevű főesemény hibafájának) példáját. A következő pontban foglalkozunk bizonyos további részletekkel. Ha az a kérdés merül fel, hogy milyen következményekkel jár a „gátfal-átcsövesedés” („piping”), akkor a legkülönfélébb válaszok képzelhetők el. Köznyelvi kríziskommunikációs helyzetben az abszolút semmitmondástól és az üvöltő demagógiától a felelősségteljes, ám ismerethiányos nyilatkozatig. Például:
l a gátfal-átcsövesedés meglehetősen súlyos következményekkel járhat, de nincsen komolyabb félelemre ok;
l a gátfal-átcsövesedés tekintetében nincsen felhatalmazásom további információk közlésére; l csak remélni lehet, hogy jelen esetben, csakúgy, mint a múltban, most is átvészeljük a bajt
.
Amit az esemény következményéről elméletileg megalapozottan valamely adott hibafa alapján mondani lehet, az nem több, mint „az attól függ”. A következő pontban ismertetettek szerint (illetve a Profes + 4 program futása alapján) látható, hogy ha a többi prímesemény mindegyike passzív, akkor a gátfal-átcsövesedésnek semmiféle következménye nincsen a hibafa, illetve az azt megalapozó (szakértői grémium által elkészített) szaknyilatkozat alapján! (Az intuitív „magyarázat”: a Főesemény (gátszakadás) bekövetkezéséhez a „GÁTFEDŐRÉTEG-SÉRÜLÉS” is szükséges. Más kérdés, hogy ezt a laikus kérdésfeltevő beleérti-e az átcsövesedésbe, vagy sem.) A valóságban azonban természetesen felmerül az a kérdés, hogy „elönti-e az árvíz a vetést?”
Nos erre a kérdésre elvileg nem adható válasz az adott hibafa alapján. Ugyanis – nyilvánvaló módon – egy hibafa (azaz szaknyilatkozat) alapján csak azokra a kérdésekre adható válasz, amelyek szerepelnek a hibafában. Az hogy „az árvíz elönti a vetést?” (illetve az ezzel tartalmilag azonos megfogalmazású esemény) nem szerepel a Gátszakadás hibafájában, ezért – intuitíve bármennyire is kézenfekvőnek tűnik – nem tartozik a hibafa kompetenciájába. Ez azonban nem jelenti azt, hogy a hibafamódszer alkalmatlan lenne a gyakorlatban felmerülő természetes kérdések megválaszolására. Adott esetben a Gátszakadás hibafája mellett el kell készíteni a „vetés elöntése” (vagy ezzel logikailag ekvivalens) szaknyilatkozatot (hibafa formájában), és akkor a kérdésre egzakt választ kaphatunk.
1. ábra

A „Gátszakadás” kockázatelemzésének megfelelő hibafa Windows® intéző típusú megjelenítésben második logikai szinten nyitott állapotban.
Az elemzés a Technische Universität Braunschweig és az Universität Essen egyetemek együttműködésével készült. A számítástechnikai feldolgozás a Profes + 4 programmal készült (www.Profes.hu) (Az L, V szimbólumok rendre az „És” és a „Vagy” logikai műveleteknek felelnek meg.)

A „Gátszakadás” kockázatelemzésének megfelelő hibafa Windows® intéző típusú megjelenítésben második logikai szinten nyitott állapotban.
Az elemzés a Technische Universität Braunschweig és az Universität Essen egyetemek együttműködésével készült. A számítástechnikai feldolgozás a Profes + 4 programmal készült (www.Profes.hu)
(Az L, V szimbólumok rendre az „És” és a „Vagy” logikai műveleteknek felelnek meg.)
2. ábra

A „Gátszakadás” kockázatelemzésének megfelelő hibafa Windows® intéző típusú megjelenítésben harmadik logikai szinten nyitott állapotban (részlet).
Az elemzés a Technische Universität Braunschweig és az Universität Essen egyetemek együttműködésével készült. A számítástechnikai feldolgozás a Profes + 4 programmal készült (www.Profes.hu)
(Az L, V szimbólumok rendre az „És” és a „Vagy” logikai műveleteknek felelnek meg.)
Az algoritmus hatékonysága – mint általában – annak a programnyelvnek, illetve annak a programnak a függvénye, amelyen az algoritmus implementálásra került.
Az algoritmusnak megfelelő program a Profes Környezetbiztonsági Programiroda (www.profes.hu) munkája. A program jelenlegi verziója Profes + 4 néven Windows® XP operációs rendszer alatt fut. Teljesítményének demonstrálására a Gátszakadás nevű esemény hibafája (1–3 ábrák) alapján készült 1. táblázat ad tájékoztatást.

3. ábra

Hárítási táblázat (részlet)
A „Gátszakadás” néhány hárítási lehetősége adott hibafa esetén (A Profes Környezetbiztonsági Programiroda engedélyével) A Hárítási táblázat (1. táblázat) jelmagyarázata:
Első oszlop: („#Case”) A vizsgált esetek sorszáma.
Második oszlop: („The number of the active prime events.”)
Első sor: Az aktív prímesemények száma, vagyis azon prímeseményeké, amelyek esete a szóban forgó állapotban fennáll.
Második sor: A kerek zárójelben álló szám azon passzivált (hárított) prímesemények száma, amelyek a főesemény minimális megújítási költség melletti hárulásához vezettek
Harmadik sor: A szögletes zárójelben álló szám azon passzivált (hárított) prímesemények száma, amelyek a főesemény minimális megújítási idő alatti hárulásához vezettek.
Harmadik oszlop: („The active and the passivated prime events”) az adott esethez tartozó rendszerállapotot (definíció szerint) meghatározó aktív prímesemények sorozata.
A sorozat kerek, illetve szögletes zárójelben álló tagjai azon prímesemények sorszámai, amelyek egyidejű passziválása (azaz hárítása) a főesemény legkisebb költség melletti, illetve legrövidebb idő alatti hárulásához (azaz passzívvá válásához) vezetnek. Az erre vonatkozó számítások az egyes prímeseményekhez véletlenszerűen hozzárendelt 1 és 99 közötti értékeken alapulnak.
Negyedik oszlop:
Első sor: Az adott esethez tartozó minimális felújítási költség (a vonatkozó passzivált egyes prímesemények adatainak összege).
Második sor: Az adott esethez tartozó pesszimális felújítási költség.
Harmadik sor: Az adott esethez tartozó számítógépi futási idő.

1. táblázat

A gátszakadás példája
A Gátszakadás megnevezésű esemény definíciója és részletes leírása
a következő internethelyen található: http://www.lwi.tu-bs.de/hyku/deutsch/
conferences/icce_2002/kor_icce2002.pdf Itt megtalálható a Technische Universität Braunschweig és közreműködő munkatársai által a hibafamódszerrel készített kockázatelemzés részletes leírása.
A (magyar változatú hibafa alapján történt) elemzés számítástechnikai feldolgozását a Profes Környezetbiztonsági Programiroda által kifejlesztett Profes + 4 programmal végeztük. (Ennek eredményeként 13 gyengepont és 126 erőspont adódott.) Magát a hibafát – magyar változatban az 1–3. ábra mutatja.

SZAKIRODALMI
ÁTTEKINTÉS

Ebben a részben rövid áttekintést adunk azokról a szakirodalmi megnyilvánulásokról, illetve az azokat alátámasztó vonatkozásokról, amelyek – túl a szövegben tett hivatkozásokon – megítélésünk szerint jól megvilágítják a katasztrófakezelés új szemléletét.
Alessandro, M. D.–A. Bonne: Fault-tree analysis for probabilistic assessment of hazardous waste segregation. Computational Geology 4., 45–63, 1982. (Számunkra a valószínűségi kockázatelemzés kritikája szempontjából érdekes.)
Baer, J.–A. Verruijt: Modelling Groundwater Flow and Pollution. Reidel, Dordrecht etc. 1987. Besenyei Lajos–Gidai Erzsébet–Nováky Erzsébet: Előrejelzés, megbízhatóság, valóság. Közgazdasági és Jogi Kiadó, Budapest, 1982. (Számunkra az 1.4.2 fejezet „A számszerűsítő szemlélet” bír alapvető jelentőséggel a Grose-féle dolgozat ismertetése révén az egyedi esemény valószínűségének képtelenségével összefüggésben.) Bognár Katalin: Leíró logikák az ismeretábrázolásban. Alkalmazott Matematikai Lapok, 20, (2000) 183–193. Buck, Sharon P.: Applying Probabilistic Risk Assessment to Agricultural Nonpoint Source Pollution. MSc Thesis, State University, Virginia, 1997. http://scholar.lib.vt.edu/theses/available/ etd-7391653976940/unrestricted/etd.pdf)
Bukovics István: Apollo 13 Risk Assessment Revisited 2005 to be published Crombie, R.: Risk & Insurance, April 14, 2003 (http://www.findarticles.com/p/articles/mi_m0BJK/is_6_14/ai_100390108/pg_2) Cseh Gábor: Az ipari kockázatok értékelésének és hatósági szabályozásának elvei és terminológiája. 2004 Internet: www.mbf.hu/fuzet5.pdf
De Kleer, J.–J. S. Brown: A Qualitatve Physics Based on Confluences. Artificial Intelligence, 24, 7-83, 1984 Demetrovics János–Jordan Denev–Radiszlav Pavlov: A számítástudomány matematikai alapjai. Tankönyvkiadó, Budapest, 1985.
Fáy, G. és szerzőtársai: A Logic Theory of Hazards and Its Application to Combustion Processes. Acta Techn. Hung. 86, 237–269. (1978). (Az első hazai publikáció, mely a hibafatechnikát alkalmazza.) Gleick, J.: Káosz. Egy új tudomány születése. Göncöl Kiadó, Budapest, 1999 (A pillangóhatás leírása a 34. oldalon).
Grose, V. L.: Reliability Can Be Predicted? (A Negative Position) Annals of Reliability and Maintainabiliy 1965, 119–129. oldal. (Az egyedi esemény valószínűségének megkérdőjelezése.)
Hadas János: A kockázat műszaki-jogi határterületének időszerű kérdései. Biztosítási Szemle, 1980, március–április, 53–60. oldal.
Havas Ádám: Kockázatelemzés: mágia vagy tudomány? Iskolakultúra: 1993/23. 21. old.
Henley, E. J.,–Kukamoto, H.: Reliability Engineering and Risk Assessment Prentice Hall, 1981. Jaglom, I. M.: Boole-struktúrák és modelljeik. Műszaki Könyvkiadó, 1983.
Kéri Gerzson–Rapcsák Tamás: A talajvíz-szennyeződés modellezése és számítása Nagykáta térségében. Alkalmazott Matematikai Lapok, 20, (2000) 61–73.
Kiss, Lidia: From Fault-Tree to Fault Identification. IEEE Transactions on Reliability, R-32, 422–425. 1983.
Kovács B.–Szabó I.: Hulladékelhelyezés IV. Ipar a Környezetért Alapítvány, 1995.
Lobo, J.–G. Mendez–S. R. Taylor: Knowledge and the action description Language. A Theory and Practice of Logic Programming Jounal of Logic Programming. 1 (2): 129–184. 2001.
Lovász László–Gács Péter: Algoritmusok. Műszaki Könyvkiadó, 1978.
M. Kis Margit: A szomatikus diszfunkció konfliktuselméleti és játékelméleti megközelítése. Egyetemi doktori értekezés. Janus Pannonius Tudományegyetem Pécs, 1991.
Magyar Szabványügyi Hivatal:
Hibafa-elemzés. MSZ-09-96. 0615-87 sz. szabványok. 1987 (Az első hazai szabvány, mely a hibafaelemzéssel foglalkozik. 1995-ben visszavonták. Azóta nem létezik a tárgyban újabb magyar szabvány.
Molnár Gábor–Bukovics István (szerk.): Munkahelyi tűzvédelem. Aktuális kézikönyv tűz- és munkavédelmi szakemberek számára. Verlag Dashöfer Szakkiadó Kft.. Budapest, 2000. (A kockázatelmélet néhány alapfogalmának (explikáció, főesemény, prímesemény, gyenge pontok stb.) ismertetése a 9. rész (Katasztrófavédelem) 10. 6 fejezetében (Rendszerek együttműködésének, kölcsönös egymásra hatásának elemzése.)
Moore, E.–C. E. Shannon: Reliable circuits using less reliable relays. J. Franklin Inst. 262, 191–208. (1956) (Klasszikus dolgozat, mely a ma már Shannon-modell néven ismert kockázatelemzési technikát ismerteti. A dolgozat a megbízhatóság elméletet megalapozó korszakos jelentőségű Neumann-dolgozat továbbfejlesztése.)
NASA: Fault Tree Handbook” 2002 (www.hq.nasa.gov/office/
codeq/doctree/fthb.pdf)
Neumann, J. Von: Probabilistic Logics and the Synthesis of Reliable Organisms from Unreliable Components. California Institute of Technology, 1952. (Az eredetileg az USA Tengerészeti Hivatal megbízására készült kutatási jelentés négy évvel később a világhírű Shannon-gyűjteménybe is bekerült. Azóta e dolgozatot tekintik a kockázatkezelés alapművének.)
Profes Környezetbiztonsági Programiroda: www.Profes.hu, 2000.
Rényi Alfréd: Valószínűségszámítás. Tankönyvkiadó, Budapest, 1954.
Roget, P. M.: Roget’s Thesaurus. New York T. Y. Crowell Publishers, 1911. (Különösen a kockázat, a bizonytalanság és a megbízhatóság fogalmi strukturáltságát elemző rész igen tanulságos számunkra.) Shannon, C. E.: A Symbolic Analysis of Relay and Switching Circuits. AIEE Transactions 57, 713–723, (1938) (Klasszikus dolgozat, amelyben Shannon kimutatja, hogy a kapcsolóáramkörök a Boole-algebra eszközeivel írhatók le.)
Vajda György: Kockázat és biztonság. Akadémiai Kiadó, Budapest, 1998.
Vesely, W. E. et al.: Fault Tree Handbook. NUREG-0492. Systems and Reliability Research Office of Nuclear Regulatory Research, 1981. (A hibafatechnikán alapuló kockázatelemzés első alkalmazásai a nukleáris energetika, valamint a vegyipari rendszerek területén jelentek meg. Ez a munka az első átfogó tankönyvi feldolgozás, mely az Egyesült Államok egyik szövetségi hivatalának megbízására készült. Az előzményeket ismertető szak- és szabványirodalom is itt található.)
Wartofsky, M. W.: A tudományos gondolkodás fogalmi alapjai. Gondolat Kiadó, Budapest, 1977. (A statisztikailag ellentmondó következtetések problematikájával foglalkozik a 230. oldalon.)