馬 亮，王子軒，苑晨亮，張曉叢，王美璇

（1. 中核第四研究設(shè)計工程有限公司，石家莊 050000；2. 河北省核安保技術(shù)創(chuàng)新中心，石家莊 050000）

近年來，國內(nèi)外安全形勢日益復雜，核設(shè)施與核材料面臨的安全情況和問題日趨嚴峻。核安全作為總體國家安全觀的要素之一，不僅事關(guān)核工業(yè)發(fā)展命脈，也是國家安全發(fā)展的重要著力點。為此，需要對核材料和核設(shè)施的安保問題給予高度關(guān)注，建立有效的實物保護系統(tǒng)有效性分析體系和方法，提高核安保水平、確保國家安全［1，2］。

核安保是核安全的重要組成部分，是指預(yù)防、探知和應(yīng)對涉及核材料、其他放射性物質(zhì)、相關(guān)設(shè)施和相關(guān)活動的擅自接觸、未經(jīng)授權(quán)的轉(zhuǎn)移、盜竊、蓄意破壞或其他惡意行為［3］。實物保護系統(tǒng)作為核設(shè)施的第一道安全屏障，對于保障核設(shè)施、核材料是否在安全受控狀態(tài)下運行至關(guān)重要。本文主要針對實物保護系統(tǒng)展開研究。

實物保護系統(tǒng)是指利用實體屏障、探測延遲技術(shù)及人員的響應(yīng)能力，阻止盜竊、搶劫或非法轉(zhuǎn)移核材料以及破壞核設(shè)施行為的安全防御系統(tǒng)［4］。主要包含探測、延遲和響應(yīng)三個主要功能［5］：

（1）探測主要用于發(fā)現(xiàn)敵手的入侵行為，是實物保護系統(tǒng)的第一道防線，探測失敗將導致防護設(shè)施的延遲與響應(yīng)功能衰退甚至無效。

（2）延遲是利用墻體、門鎖、柵欄等延遲設(shè)備阻止或延緩敵手的入侵。在探測設(shè)備監(jiān)測到入侵后，延遲設(shè)備延緩敵手的時間越長，越有利于響應(yīng)力量中斷入侵。

（3）響應(yīng)是指接收到探測到敵手的報警信號后，響應(yīng)力量出發(fā)對敵手進行中斷和壓制的行動。制定完善有效的防御策略是提高響應(yīng)能力的有效措施。

實物保護系統(tǒng)的有效性分析是實物保護中的一個重要環(huán)節(jié)。實物保護有效性分析是應(yīng)用定量或定性的分析技術(shù)使實物保護系統(tǒng)達到有效水平的結(jié)構(gòu)化系統(tǒng)過程。因此，有必要展開實物保護系統(tǒng)有效性分析的研究，提高實物保護系統(tǒng)的可用性、可靠性、有效性。

1 國內(nèi)外研究現(xiàn)狀

為評估實物保護系統(tǒng)的防護效果，國內(nèi)外學者與專家對實物保護系統(tǒng)有效性分析展開研究。20 世紀70 年代，美國桑迪亞國家實驗室提出EASI（Estimation of Adversary Sequence Interruption，EASI）方法［6］，該方法借助探測、延遲和響應(yīng)的實物保護系統(tǒng)基本功能計算特定路徑的中斷敵手概率。1980 年，美國桑迪亞國家實驗室提出入侵薄弱路徑系統(tǒng)性分析方法（Systematic Analysis of Vulnerability to Intrusion，SAVI）［7］，該方法使用入侵序列圖（Adversary Sequence Diagram，ASD）將敵手可能的入侵路徑圖形化。在此基礎(chǔ)上，美國能源部1990 年提出ASSESS（Analytic System and Software for Evaluating Safeguards and Security，ASSESS）分析系統(tǒng)，該系統(tǒng)將內(nèi)部威脅考慮到分析中。1990 年，日利納大學提出SATANO 軟件，該方法可基于不同的設(shè)計基準威脅對實物保護系統(tǒng)有效性展開分析。2008 年，韓國核不擴散與控制研究所提出一種基于二維模型計算和評估實物保護系統(tǒng)有效性方法（Systematic Analysis of Physical Protection Effectiveness，SAPE），該方法可圖形化展示敵手入侵路徑。2008 年，俄羅斯ISTA 公司研發(fā)用于實物保護系統(tǒng)有效性分析軟件SPURT，該軟件可對探測設(shè)備的探測范圍進行仿真，從而找出檢測盲區(qū)。2017 年，哈爾濱工程大學提出了基于蟻群算法的啟發(fā)式有效性評估方法（HAPPS）［8］，該方法參考螞蟻覓食的仿生行為，在二維地圖中尋找實物保護系統(tǒng)的脆弱入侵與逃跑路徑。2018 年，哈爾濱工程大學提出了基于啟發(fā)式A*算法的實物保護系統(tǒng)有效性分析方法（HPEP）［9］，該方法基于二維模型對實物保護系統(tǒng)進行有效性分析，并且在分析中考慮了探測設(shè)備的探測范圍。2021 年，河北省核安保技術(shù)創(chuàng)新中心提出了實物保護系統(tǒng)設(shè)計薄弱性分析與評價系統(tǒng)及實物保護設(shè)計基準威脅分析與評價系統(tǒng)，該系統(tǒng)可實現(xiàn)薄弱性分析、設(shè)計基準威脅分析、三維地圖仿真等功能，填補了國內(nèi)相關(guān)領(lǐng)域空白。

本文對實物保護系統(tǒng)有效性分析軟件與算法進行總結(jié)歸納，客觀分析其優(yōu)缺點，最后提出面向工程應(yīng)用的實物保護系統(tǒng)有效性分析算法的研究方向與思路，為后續(xù)相關(guān)算法優(yōu)化、研究提供參考。

2 實物保護系統(tǒng)有效性分析軟件及算法

本節(jié)對常用且具有代表性的實物保護系統(tǒng)有效性分析軟件與算法進行總結(jié)分析，包括EASI 模型、SAVI 模型、HPEP 算法（基于A*算法的啟發(fā)式有效性評估）和河北省核安保技術(shù)創(chuàng)新中心-實物保護系統(tǒng)設(shè)計薄弱性分析與評價系統(tǒng)。

2.1 基于EASI 模型的有效性分析方法

EASI 模型是20 世紀70 年代由美國桑迪亞國家實驗室提出的。該方法用一維地圖模型描述實物保護系統(tǒng)，在此基礎(chǔ)上評估特定威脅下單一路徑的實物保護系統(tǒng)有效性。該方法能夠根據(jù)檢測、延遲、響應(yīng)和通信特征確定攔截成功的概率。其中，探測概率使用點估計方法，包括開始穿越障礙物的檢測概率、穿越障礙物中檢測概率和穿越障礙物后的檢測概率。保護元件延遲時間和響應(yīng)力量的響應(yīng)時間服從正態(tài)分布。在通信中考慮通信成功概率。

在基于EASI 模型的有效性分析中，響應(yīng)力量成功中斷敵手入侵必須滿足：

其中，TR為從探測到敵手開始計算到敵手實現(xiàn)入侵目標的剩余路徑延遲時間；RFT為響應(yīng)力量的響應(yīng)時間，入侵路徑示意圖如圖1所示。

圖1 入侵路徑示意圖Fig.1 Intrusion path diagram

圖1 中，p1、p2、p3、p4、p5、p6為探測點；t1、t2、t3、t4、t5、t6為各部分的延遲時間。假設(shè)剩余路徑延遲時間TR和響應(yīng)時間RFT均服從正態(tài)分布，則X的均值和方差如下：

在敵手入侵路線上某一點i檢測到敵手入侵事件Ai的情況下，響應(yīng)力量可以在敵手突破防線前進行防御的概率為：

因此，在敵手入侵路徑上的攔截概率之和為

故，在EASI 模型下攔截并戰(zhàn)勝概率PE為：

其中，PN為戰(zhàn)勝對手的可能性，即反應(yīng)部隊比敵手強，能夠抓捕、消滅或迫使敵手逃跑的概率。

EASI 模型方法的優(yōu)點如下：能夠簡單易行地對指定威脅下的單條路徑進行有效性計算，模型考慮越全面，計算結(jié)果越符合實際情況。

EASI 模型方法的缺點如下：

（1） EASI 模型無法判斷最脆弱的路徑，依賴人為輸入攻擊方式與攻擊路徑，但隨著核設(shè)施復雜度的提高，很難人為選出最薄弱的路徑。

（2） EASI 模型假設(shè)最小剩余時間和響應(yīng)時間符合正態(tài)分布，但缺乏實際工程應(yīng)用中的數(shù)據(jù)支撐。

2.2 基于SAVI 的有效性分析方法

SAVI 方法是1980 年由美國桑迪亞國家實驗室提出的。該方法同樣使用一維地圖模型描述實物保護系統(tǒng)，與EASI 方法不同的是，SAVI 方法使用敵對序列圖（Adversary Sequence Diagram，ASD）分析所有路徑并識別出最脆弱的路徑集合，如圖2 所示。

圖2 敵對序列圖Fig.2 Adversary sequence diagram

該方法包含兩個模塊：

（1）防護設(shè)施——搭建核設(shè)施、核材料的防護設(shè)施及其組件。在防護設(shè)施模塊中，可修改設(shè)施運行狀態(tài)、響應(yīng)力量的響應(yīng)時間、延遲設(shè)備的延遲時間、探測設(shè)備的探測概率、區(qū)域間的最小距離等因素。

（2）外部入侵者——計算分析中斷外部入侵的可能性，并找到最脆弱的路徑集合。在外部入侵者模塊中，可修改設(shè)計基準威脅，如敵手數(shù)量、武器裝備、戰(zhàn)術(shù)等因素。

基于敵對序列圖，SAVI 方法提出了臨界探測點（Critical Detection Point，CDP）的思想，將剩余路徑延遲時間與響應(yīng)力量平均響應(yīng)時間相同的前一個探測點視為臨界探測點，入侵路徑示意圖如圖3 所示。

圖3 入侵路徑示意（臨界探測點）圖Fig.3 CDP-based Intrusion path diagram

在敵手突破臨界探測點之前被檢測到，響應(yīng)力量可以有足夠的時間對敵手進行攔截。在敵手突破臨界探測點之前未被檢測到，響應(yīng)力量無法進行及時有效的攔截。在這種情況下，攔截概率可簡化為臨界探測點前敵手被檢測到的概率，其表達式如下：

SAVI 的優(yōu)點如下：

（1） SAVI 方法在設(shè)置防護設(shè)施模塊與外部入侵模塊時可結(jié)合實物保護系統(tǒng)的具體特點，可針對不同的設(shè)施進行配置分析。

（2） SAVI 方法在設(shè)置好防護設(shè)施模塊和外部入侵者模塊后，可自主分析出最脆弱的路徑集合，不需要人為選擇路徑。

SAVI 的缺點如下：

（1） SAVI 方法在分析過程中使用了保護層之間的最小距離，分析過于保守導致評價結(jié)果過于薄弱。

（2） SAVI 方法提出了臨界探測點的思想，在敵手突破臨界探測點后被檢測到的情況直接認定為防御失敗，分析過于保守。

（3）在SAVI 方法的薄弱路徑分析中，使用的枚舉分析法，分析效率較低。

2.3 基于A＊算法的啟發(fā)式有效性分析方法

2018 年，哈爾濱工程大學提出了基于啟發(fā)式A*算法的實物保護系統(tǒng)有效性分析方法（HPEP），該方法基于二維地圖模型對實物保護系統(tǒng)進行有效性分析，并且在分析中考慮了探測設(shè)備的探測范圍。

A*算法是啟發(fā)式尋徑算法。在二維地圖模型下，相對于非啟發(fā)式算法，A*算法可以提高運算效率。當目標從當前位置移動到下一個位置時，A*算法可以依據(jù)離開的位置和到達的位置計算出大致的路徑，然后細化每個區(qū)域的粗略路徑。與其他尋徑算法相比，A*算法在尋找最短路徑方面具有較高的搜索效率路徑。A*算法最短路徑選取算法如下：

其中，n 是路徑上的最后一個節(jié)點；G（n）為從起始節(jié)點到n 節(jié)點的路徑代價函數(shù)（已知函數(shù)，為廣度優(yōu)先搜索）；H（n）是啟發(fā)式函數(shù)，它估計從n 節(jié)點到目標節(jié)點最小代價的路徑（未知函數(shù)，為深度優(yōu)先搜索）。啟發(fā)式函數(shù)H（n）越準確，算法找到實際最短路徑的速度越快。

基于A*算法，將探測概率作為啟發(fā)式信息，對A*算法進行了改進，用于對手入侵路徑的評估。在搜索過程中，可以控制A*算法來估計最佳路徑，而不是盲目地搜索路徑。如果存在G（n）＜G*（n）［（G*（n）是A* 算法對G（n）的最小估計值］，且H（n）＜H*（n）［（H*（n）是A*算法對H（n）的最小估計值，依賴于啟發(fā)式信息，稱為評價函數(shù)］，當F（n）值最小時，A*算法會找到一條最佳（脆弱）路徑。假設(shè)入侵事件失敗的判據(jù)是被檢測到的對手，則算法如下：

其中，P（D）G表示G（n），P（D）H表示H（n）。

將P（D）G視為A*算法的代價函數(shù)。G（n）是一個常數(shù)值，用于實時計算從起始節(jié)點到節(jié)點n 的檢測概率。n 為對手入侵的當前節(jié)點，t 為目標節(jié)點。I 是被入侵的中間節(jié)點之一，實時代表對手的入侵行為。h（p）為評價H（n）的影響因子。如果所有網(wǎng)格h（p） = 0，則A*等價于Dijkstra 算法，降低了搜索效率。這里對Manhattan Distance 進行類比分析，即（nx，ny）與（tx，ty）在笛卡爾坐標下的距離為|nx-tx| + |ny-ty|，h（p）為嚴格按照水平和垂直路徑在網(wǎng)格中兩點之間的探測概率。h（p）X→Y表示為X→Y的探測概率，表達式如下：

算法流程如圖4 所示。

圖4 HPEP 算法流程Fig.4 HPEP algorithm flowchart

該方法的優(yōu)點如下：

（1）模型將二維地圖劃分為網(wǎng)格，二維地圖中包含的信息多于一維地圖。

（2）引入了啟發(fā)式算法，避免了盲目搜索，提高了薄弱路徑搜索效率。

該方法的缺點如下：

（1）算法的代價函數(shù)和啟發(fā)式函數(shù)中只考慮了探測概率，未考慮設(shè)備延遲信息。

（2）啟發(fā)式算法雖提高了搜索效率，但不是全圖搜索，可能導致局部最優(yōu)解。

2.4 河北省核安保技術(shù)創(chuàng)新中心-實物保護系統(tǒng)設(shè)計薄弱性分析與評價系統(tǒng)

2021 年，河北省核安保技術(shù)創(chuàng)新中心通過對國內(nèi)外實物保護系統(tǒng)薄弱性分析方法的分析與研究，結(jié)合我國現(xiàn)有核材料和核設(shè)施實物保護系統(tǒng)的運行現(xiàn)狀，基于核設(shè)施實物保護能力驗證評價體系，提出國內(nèi)適用的實物保護系統(tǒng)薄弱性分析方法與流程邏輯，建立基于核設(shè)施模型的入侵路徑動態(tài)分析結(jié)構(gòu)化系統(tǒng)，研究延遲設(shè)備延遲時間推算方法及測試方法，構(gòu)建延遲設(shè)備數(shù)據(jù)庫，形成一套科學完善、邏輯自洽、實用性強、泛用性廣的薄弱性分析工具，為開展實物保護系統(tǒng)設(shè)計、建設(shè)、維護及升級改造相關(guān)任務(wù)打下堅實基礎(chǔ)。該系統(tǒng)已在多個核設(shè)施、軍工設(shè)施應(yīng)用，產(chǎn)生直接經(jīng)濟效益約2200 萬元。

設(shè)施描述模型作為基礎(chǔ)模塊，用于描述實物保護系統(tǒng)的相關(guān)設(shè)施環(huán)境信息。采用敵手序列圖（ASD）理論將設(shè)施分成多個相鄰的保護區(qū)域，區(qū)域之間通過保護層連接。保護層由一個或多個路徑元件組成。從一個區(qū)域到達另一個區(qū)域必須通過路徑元件，路徑元件具有探測和/或延遲的功能，元件屬性包括距離/尺寸、出入控制、入侵探測、通過延遲和警衛(wèi)檢查等類別，如圖5 所示。

圖5 敵對序列圖Fig.5 Adversary sequence diagram

外部入侵模型在設(shè)施描述模型的基礎(chǔ)上，利用系統(tǒng)薄弱性分析方法將部分敵手信息量化為元件可探測的實際探測概率和延遲時間數(shù)值，用排列組合方法，列出敵手通過設(shè)施元件到達保護對象的所有可能路徑，計算出薄弱路徑的截住概率，作為實物保護系統(tǒng)對付外部入侵的有效性度量。同時，根據(jù)設(shè)施空間布局，建立設(shè)施三維模型，搭載設(shè)施結(jié)構(gòu)化信息，根據(jù)現(xiàn)實情況與實物保護設(shè)備建立入侵路徑耦合關(guān)系，呈現(xiàn)入侵路徑動態(tài)展示功能，如圖6 所示。

圖6 三維建模圖Fig.6 3D modeling diagram

2.5 算法總結(jié)

上述已有的有效性分析方法各有優(yōu)劣，本文在工程應(yīng)用領(lǐng)域進行總結(jié)，如表1 所示。

表1 實物保護系統(tǒng)有效性分析方法Table 1 Method for vulnerability analysis of physical protection systems

3 面向工程應(yīng)用的有效性分析方法研究

本節(jié)在面向工程應(yīng)用方面提出實物保護系統(tǒng)有效性分析方法的研究方向與思路：

（1）在基于二維地圖的實物保護系統(tǒng)有效性分析方法中，代價函數(shù)與啟發(fā)式函數(shù)中只包含實物保護系統(tǒng)中探測設(shè)備的探測概率，延遲設(shè)施的延遲時間并未直接參與算法的運算與迭代，算法迭代過程中沒有延遲設(shè)施信息可能導致分析結(jié)果不準確。因此，可以在HPEP 算法基礎(chǔ)上加入延遲信息θ（t），組合為θα（t）［1-P（Dn）］β，通過α與β調(diào)整延遲時間與探測概率在分析過程中所占比重。

（2）在工程應(yīng)用中，隨著科學的發(fā)展與技術(shù)的進步，核設(shè)施面臨多維度、多空間（空中、水下、網(wǎng)絡(luò)空間等）的新威脅。在新形式、新威脅的環(huán)境下，二維地圖無法滿足新形勢下威脅手段的有效性分析。因此，有必要展開基于三維空間與數(shù)據(jù)庫的有效性分析與仿真模擬。

（3）在工程應(yīng)用中，實物保護系統(tǒng)的有效性分析可在設(shè)計階段進行評估，評估主要是針對實物保護系統(tǒng)設(shè)計中的薄弱路徑與薄弱環(huán)節(jié)進行分析，從而提高設(shè)計的安全性、合理性。因此，有必要研究將CAD 繪制的dwg 格式圖紙轉(zhuǎn)化為三維模型和數(shù)據(jù)庫的算法與軟件系統(tǒng)。

4 結(jié)論

本文對實物保護系統(tǒng)有效性分析算法與模型展開對比分析與歸納總結(jié)。最后提出一種面向工程應(yīng)用（目標特征屬性、廠址周邊環(huán)境、人員屬性、系統(tǒng)設(shè)備及管理程序等）的實物保護系統(tǒng)有效性分析算法的研究方向與思路，同時為后續(xù)相關(guān)算法優(yōu)化、研究提供參考與借鑒，提高實物保護系統(tǒng)有效性分析的科學性、合理性。