SAVI模型及软件缺陷研究

苗强，方忻

SAVI模型及软件缺陷研究

苗强，方忻

（中国原子能科学研究院，北京 102413）

SAVI是一款实物保护系统有效性评价软件，可综合分析多条外部敌手入侵路线。SAVI模型是SAVI软件的基础，由多种元件模型组成，以PER元件和SUR元件为例介绍了元件模型的构成。分析了SAVI软件的主要数据要素，结合实际应用总结出实物保护系统有效性计算公式。最后，针对实际应用中发现的软件缺陷，给出了相应解决方法，并提出了建议。

实物保护系统；有效性评价；SAVI模型；软件缺陷

1 引言

当今世界，针对核材料及核设施的威胁真实存在。2007年，南非佩林达巴核动力工厂遭到武装分子入侵，有工作人员遭到枪击，据称丢失了一些办公用品，但未造成核材料丢失。近年来，欧洲还发生过多起环保组织为了宣扬其主张而公然非法闯入核电站、乘坐滑翔伞飞入核电站投掷烟幕弹和操控无人机故意撞击核设施建筑的核安保事件[1-5]。

2001年美国“9·11”事件以来，核安保问题日益受到国际社会的广泛关注。加强核安保能力，既符合国家的安全利益，也是中国核事业健康、稳定和持续发展的基本保证。对核材料及核设施的保护依赖于有效的实物保护系统（Physical Protection System，简称PPS）。实物保护系统是由探测、延迟、响应三部分组成，实现实物保护目的的综合防范系统[6]。为了评估是否达到预期设计目标，需要对实物保护系统进行有效性评价，评价方法主要有定性和定量两种。在定量评价技术方面，国外相关研究开展得较早，美国20世纪70年代研究开发的EASI（Estimate of Adversary Sequence Interruption，敌手行动序列阻断评估）模型和软件是一种简单易用的PPS有效性定量评估工具，可计算单条路径上阻截外部敌手入侵的概率，国际原子能机构（IAEA）在其举办的核安保培训中经常使用。在EASI的基础上，美国能源部（DOE）下属各国家实验室还陆续开发了SAVI、ASSESS、ATLAS和VISA等更为复杂的工具[7]。

SAVI（Systematic Analysis of Vulnerability to Intrusion，入侵薄弱环节系统分析）是一款多路径分析软件，用于评价PPS的有效性。SAVI基于EASI算法，可综合分析所有敌手进入核设施的路径，输入威胁、目标、核设施实物保护系统的相关要素信息和响应力量的响应时间等数据后，SAVI软件就可计算出最容易遭到攻击的10条路径[8]。SAVI模型和软件是中国开展实物保护系统有效性分析的一个重要参考工具。本文介绍SAVI模型的基本构造、软件设计思路和实

物保护系统有效性计算公式，并结合实际应用中发现的软件缺陷给出了相应解决方法。

2 SAVI模型和算法分析

2.1 SAVI模型的基本构造和软件设计

SAVI模型是SAVI软件的基础，采用ASD（Adversary Sequence Diagram，敌手行动序列图）自上而下、由外而内逐层描述设施的各区域和实物保护措施。一个假想核材料存储设施的实物保护措施简图和对应ASD如图1所示，图 1（b）中白框黑色字体部分描绘了图1（a）中一条敌手可能采用的路径。

图1 假想核材料存储设施安保措施简图和ASD图

ASD由防护层（Layer）和若干保护元件（PE）构成。防护层用于描述设施的各保护区域，主要描述各层的名称、能否行车和两层间的距离。保护元件用于描述进入下一层经过的各部位的特征，绘制于相应层的上方。保护元件分为保护类和位置类，保护类元件用于描述防护措施，位置类元件用于描述被保护目标外的位置特征，只能在最底层使用。具体分类和常用符号含义如表1所示。

表1 元件模型分类、含义和各要素设置表

元件复核尺寸通行保护措施（B） 出入口控制（B1）违禁品探测（B2）核材料探测（B3）入侵探测（B4）延迟（B5）警卫与巡逻（B6） 保护类元件EMP*应急通道√√-√√√√√√ DUC*管道√√-√--√√√ GAT大门√-√√√√√√√ EMX应急出口√--√√√√√√ ISO隔离带√√----√√√ FEN栅栏/围墙√-----√√√ MAT*核材料运送通道√√√√√√√√√ HEL直升机航路√√----√√√ DOR人员门√-√√√√√√√ OVP跨越√√----√√√ SHD收发货门√-√√√√√√√ PER*人员通道√√√√√√√√√ SUR**表面体√-----√√√ SHP*收发货通道√√√√√√√√√ VHD车辆门√-√√√√√√√ TUN*廊道√√-√--√√√ WND窗√√-√--√√√ VEH*车辆通道√√√√√√√√√ 位置类元件BPL散料生产线√--√--√√√ CGE笼子/罩子√--√--√√√ FLV地库√--√--√√√ GNL一般场所√--√--√√√ IPL件料生产线√--√--√√√ OPN开放空间√--√--√√√ TNK储存容器/槽罐√--√--√√√

注：“√”表示适用，“-”表示不适用。标注*的元件具备通道/管道特征，在两端可设置门或其他类型屏障。

结合文献[2]并分析SAVI软件的数据结构可知，每种保护元件对应一个抽象的元件模型。元件模型围绕一个耗费敌手前进时间的核心“延迟”类构件而建立，按敌手的出入方向划分为3～5个区域（外侧、中间靠外、中间、中间靠内和内侧），并根据常见防护控制手段设置了出入口控制、违禁品探测、特殊核材料探测、入侵探测、延迟装置与结构、警卫部署等若干类要素。上述各类要素是可选的，在实际应用中描述设施的安保措施时需结合现场情况进行设置。

人员通道（PER）模型如图2所示。

分别以PER（人员通道）元件和SUR（表面体）元件为例介绍元件模型的构成。如图2所示，PER元件模型分为外侧、中间和内侧三个区域。中间区域的封闭式通道是核心区域，由门和“表面体”构成，门上包括入侵探测、锁具和自动控制的验证人员信息的个人识别联动锁，通道的前后两道门之间包括站岗的警卫、证件检查、违禁品检查、核材料探测、核材料转运控制和入侵探测等要素。内侧和外侧区域的两道门外均包括岗楼中的警卫、站岗的警卫和巡逻的警卫三种警卫措施，以及证件检查和入侵探测器。外侧区域还设置了用于防止车辆接近和冲撞的可移动屏障。

表面体（SUR）模型如图3所示。

图2 人员通道（PER）模型

图3 表面体（SUR）模型

如图3所示，SUR元件模型也分三个区域，核心区域是中间部位的“表面体”，内外两侧各类要素的设置与PER元件模型基本相同。核心区域的“延迟”类构件“表面体”为分隔内外区域的实体屏障，常见的“表面体”实体屏障有栅栏、建筑物外墙或室内房间的墙壁等，可使用某些工具将其破坏，如大锤、液压钳或常规爆炸物等。由于核设施建筑物的外立面和部分墙体为几十厘米甚至更厚的钢筋混凝土，使用常规手段将其破坏至少需要两步，即破坏混凝土和弄断钢筋，SUR模型将表面体的延迟时间设置为两个阶段。

SAVI软件基于SAVI模型设计、开发，分为Facility（设施）和Outsider（外部敌手）两个模块。Facility模块用于构建设施的PPS模型，Outsider模块用于计算并获得敌手最可能采用的路径。使用Facility模块描述设施的安保措施时，需根据相应部位的特征选择对应元件，并根据实际情况选择或输入与各类要素相关的参数数据。SAVI软件设有专门的数据库，存储了多种类型的入侵探测概率、各种延迟装置的延迟时间、不同条件下的警报复核概率，以及不同位置、不同装备条件下警卫的探测概率和延迟时间等参考性基础数据。这些数据有一定合理性，但真实性有待验证。

SAVI软件进一步对各种保护元件模型进行了扩展，增加了报警复核、尺寸和通行选项。每种元件模型的选项设置各自不同，具体如表1所示。其中，复核指通过查看视频、录像或派员至现场查看等方式对来自入侵探测器的报警信息进行复查核实，判断是否为真实报警；尺寸用于描述元件的开口尺寸或进深，用于评判人是否可出入并计算通过时间；通行用于设置人员、车辆及物料是否准许进出。保护措施选项则分为6个子选项，分别为出入口控制、违禁品探测、核材料探测、入侵探测、延迟、警卫与巡逻。

入侵探测概率包括探测器的探测概率、欺骗手段的探测概率、警卫的探测概率和普通工作人员发现敌手的探测概率四种，用0～1之间的数值表示。其中，探测器的探测概率指红外、微波等各种入侵探测器探知敌手入侵的探知概率，按其种类和敌手拥有的工具或武器类型进行划分。欺骗手段的探测概率是探知敌手伪造证件、授权文件、生物特征信息以及藏匿、夹带违禁品等欺骗手段的概率。警卫和普通工作人员的探测概率指他们在工作现场发现附近异常状况的探测概率。

SAVI软件中的延迟时间分为五类，包括基础设施类延迟装置（如门、窗、墙壁、栅栏等）、锁具类、警卫类、敌手在层之间行进（行走或驾车）的延迟时间，以及盗取或破坏保护目标所需时间。基础设施类延迟装置和锁具类的延迟时间按敌手可能拥有的破坏工具种类进行划分。

2.2 SAVI软件的主要算法分析

实物保护系统由探测、延迟和响应三个要素组成，其有效性不能用任何一个要素单独衡量，三者相辅相成。SAVI软件采用基于及时探知原理来计算所有路径上的最小累积阻截概率，进而给出敌手最可能采用的路径。

在计算时，SAVI做了三个偏保守且有利于外部敌手的假设：①敌手充分了解PPS的特点和相关信息；②敌手受过一系列训练，具备对付PPS的技能，并拥有相应的工具；③敌手使用最佳的策略。对于一条选定的路径，及时探知的原理如图4所示。

图4 及时探知原理图

图4中路径上的各点即为保护元件所在的点。有效的实物保护系统必须确保敌手在路径起点和终点之间的某一点上被探测到，且该点就是沿该路径剩余部分的最短延迟时间（）刚好超过响应力量的响应时间（）的那个地方，称为临界探测点（CDP）。

SAVI用最小累积阻截概率这个指标来表示及时探知。为了计算，假设敌手在CDP之前会采用各种手段将被发现的概率降至最低，在CDP之后改变战术，无视后续路径上被发现的概率，选择累积延迟时间最短的方式穿行，尽快在响应部队到来前完成任务。基于上述假设，在满足公式（1）的条件下，的计算公式为：

式（1）（2）中：为沿该路径上的保护元件总数；为CDP所在那个点，+1点至点的累计延迟时间刚好超过；为第层元件提供的最短延迟时间；NDi为第层元件提供的最大未探测概率（即第个元件没有探测到敌人的 概率）。

在SAVI软件的实际应用中发现，探测器的探测概率和工作人员的探测概率需要复核，警卫的探测概率和欺骗的探测概率不需要复核。对于一个元件模型来说，由于其不同区域可采用多种探测、延迟手段和其他控制手段，则该元件上的累积探测概率和累积延迟时间的计算公式为：

式（3）中：为该元件中全部探测手段的总数；为第种探测手段的探测概率。

式（4）中：A为该元件处的复核概率；Sj为探测器或探测手段的探测概率。

式（5）中：为该元件中全部延迟手段的总数；为第种延迟手段的延迟时间。

需要注意的是，在一个元件中相应的探测手段和延迟手段必须是有效的。例如，门上有普通暗锁但未锁闭，则认为锁是无效的，门的延迟时间计为0。

在SAVI软件中，如果某元件的通行选项中选择了车辆和/或行人可通行，同时出入口控制措施中包括人员、车辆检查和证件检查等选项，则需要计算欺骗的探测概率。同一元件的累积欺骗的探测概率计算式与式（3）相同。当该元件还有入侵探测器、警卫和工作人员等其他探测手段时，该元件处的累积探测概率为累积欺骗的探测概率和累积其他探测概率中的最小值，计算公式为：

式（6）中：为该元件的累积探测概率；为该元件的累积其他探测概率；为该元件的累积欺骗的探测概率。

将式（6）代入式（2），则有：

式（7）中：NDi为路径中自起点至CDP的第个元件提供的最大未探测概率；为第元件的累积探测概率。

3 SAVI模型及软件的缺陷与解决方法

对国内多个核电站开展实物保护系统有效性评估后发现，使用SAVI模型和软件有助于发现系统存在的薄弱环节。但是，SAVI模型与软件存在一些缺陷，需要使用一些技巧并结合其他方法提高分析结果的合理性与可信性，主要包括如下缺陷和解决方法。

难以描述复杂地貌环境。美国的核电站均为内陆核电站，周边环境主要是平地。中国的核电站均沿海建设，有的依山环海，个别核电站控制区和保护区部分周界建在山上，使用SAVI软件分析会出现敌手驾车从海上或山上进入控制区和保护区的不合理情景。解决方法是建立设施PPS模型时增设经特别设计的层和元件，输入不可能行车的条件，结合情景分析法剔除不合理路径。

层间敌手行进的延迟时间计算方法过于简单，并且层上未考虑探测概率，无法适应实际情况。如图1所示，SAVI模型将设施的各层简化为同心方结构，并将每一层各元件至下一层各元件的距离视为均等，按步行4 m/s和驾车16 m/s计算所需时间。在一些核设施中，各保护区域的形状是不规则的，某些保护目标通常不在正中位置。随着技术的发展及对核安保的重视，很多核设施不但在周界及出入口部署了探测设备，在某些保护区域内（对应SAVI模型的相邻两层之间）也使用了视频移动探测系统，具备一定外来入侵探测能力。上述问题导致SAVI软件给出的计算结果和薄弱路径不合常理。解决方法是通过情景分析筛选出合理的路径，再根据公式手工计算PPS有效性值。

未考虑敌手使用枪械和爆炸物时产生的声响对探测概率的影响。开枪和爆炸的声响必然会引起警卫和工作人员的警觉，增加被探知的概率，但SAVI软件忽略了该问题。解决方法是在可能使用枪械或爆炸物的元件处修改并提高相关探测概率参数，重新计算。

某些元件模型设计存在缺陷或已不能适应新技术的发展。例如，OVP元件模型用于描述跨越区域周界的情况，其设计缺陷是未考虑攀爬跨越物（如横跨的管道、建筑物的侧梯等）所额外耗费的时间。再如，为了加强人员出入控制，核设施的新型门禁系统具备了人员胁迫密码报警、防电子证卡返传、禁止跨区域通行和外来人员陪访等功能，PER等保护元件缺少针对此类新技术的选项，导致对欺骗的探测概率值较实际偏低。解决方法是，使用SAVI软件构建设施模型时，根据现场实际情况增设其他延迟或探测手段并标注出来，估算并提高相应参数值。

软件对敌手过度使用车辆和爆炸物的假设不合理。无论敌手是否拥有自己的车辆，车辆是否已在之前的元件上撞毁，SAVI软件均假设敌手随时可重新获得和使用设施内的车辆，遇到下个元件时，如果驾车所用的延迟时间最短，则选用车辆前行。此外，SAVI软件中敌手拥有的爆炸物没有总量限制，存在敌手从头至尾疯狂使用爆炸物的不合理计算结果。解决方法是结合设施的实际情况，使用情景分析法，剔除不合理使用爆炸物和车辆的路线。

软件数据库中的某些延迟类装置不适用于国内，且软件未提供原始数据库维护功能。例如，数据库内存在诸如“9号金属网格”“16号天窗”“建筑圆顶”“V级或VI级地库”等不适用于国内情况的延迟类装置。解决方法是选择一个与国内装置相似的选项，利用Facility模块提供的自定义功能修改对应延迟数据值，并进行标注。

软件中个别元件的计算逻辑存在问题。例如，在进行薄弱路线计算时，无论FEN元件所在的层及前后层能否行车，都会出现敌手坚决用车撞入而不采用翻过栅栏或破坏栅栏等其他方式的情况。即使人为将对车辆的延迟时间值调整至远大于无装备或使用手动工具的时间，SAVI软件也不会选择延迟时间更短的方式，但是计算探测概率时却选择了探测概率最低的使用手动工具，与驾车的方式不匹配，示例数据对比如表2所示。进一步实验发现，当CDP正好位于该FEN元件时，驾车的延迟时间被计入CDP后的累积延迟时间，而未选择更短的其他延迟时间，造成累积延迟时间计算结果错误。另外，无论CDP是否在FEN元件处，当把驾车的延迟时间设置为不可能（即无穷大）时，软件会认为威胁遇到无穷大的延迟，将FEN元件处的总探测概率计算为1，进而认定经过该元件路径的总的I值为1。解决方法有两种：使用情景分析方法，手工计算；根据设施实际情况，在使用SAVI软件时使用一些技巧，先进行薄弱路线分析，再根据现场情况利用软件提供的自定义功能调整相关参数值。例如，先使用Outsider模块找到CDP，当FEN元件位于CDP之前时，在Facility模块中选定栅栏的自定义处设置驾车闯入所需时间，该时间与数据库内默认值相等时也要设置相同值，并标注出来；正好位于CDP或在之后时，在自定义处将驾车闯入所需时间设为其他方式中的最小值，以保证FEN元件处的最小累积延迟时间是正确的。

表2 FEN元件探测概率与延迟时间计算缺陷数据对比

FEN元件无装备手动工具电动工具爆炸物驾车软件选项 光纤震动探测器的默认探测概率0.50.10.10.750.85手动工具 高于3.66 m顶部带外伸支架的网状栅栏的默认延迟时间/s201010101（3 000）驾车

4 结论与建议

SAVI模型是一个由多种保护元件模型组成，以及时探知原理为基础，以敌手行动序列图（ASD）为手段，基于性能的、通过量化方式评价实物保护系统有效性的模型。它结合了实物保护措施的物理特征和管理措施，并对探测、延迟和响应三个实物保护系统功能要素进行了抽象。SAVI软件是基于SAVI模型开发的软件，可用于描绘核设施的实物保护情况，并给出敌手最可能采用的入侵路线。

SAVI模型和软件可帮助发现实物保护系统存在的薄弱环节，是评价实物保护系统抵御外部敌手入侵性能较为有效的工具。虽然其存在一些缺陷，且不能适应技术发展和中国国情的情况，但其核心思想和设计思路是值得借鉴并补充完善的。

为了更好地评价中国核设施实物保护系统的有效性，发现系统存在的薄弱环节，提出以下建议：借鉴SAVI模型和软件的核心思想和设计思路，根据中国核设施实物保护的特点建立元件模型，修补SAVI存在的各类缺陷；梳理中国核设施常用的探测、延迟和违禁品探测等系统、装置，开展性能测试，建立符合中国国情的实物保护基础数据库，并开发适合中国国情的软件；借鉴、利用地理信息系统（GIS）和路线规划等技术，研究多路线条件下最优路线算法，实现敌手行进路线的精确预测；在SAVI模型的二维基础上进行扩展，研究三维描述核设施和保护元件的方法，并对现有算法进行适应性改进。

［1］央视网.“绿色和平”支持者潜入法核电站一路畅通无阻［EB/OL］.［2011-12-09］.http://news.cntv.cn/20111209/ 102446.shtml.

［2］搜狐网.绿色和平成员闯入法国南部一核电站21人遭逮捕［EB/OL］.［2013-07-15］.http://news.sohu.com/ 20130715/n381674527.shtml.

［3］网易新闻.环保人士飞闯法国核电站［EB/OL］.［2012-05-03］.http://news.163.com/12/0503/10/80IS317B00014JB5.html.

［4］新华网.22名环保者“兵分三路”闯入法国一座核电站［EB/OL］.［2017-11-30］.http://www.xinhuanet.com// world/2017-11/30/c_129752372.htm.

［5］凤凰网.这个国际组织用无人机撞法国核电站：想证明其脆弱［EB/OL］.［2018-07-04］.http://news.ifeng.com/a/ 20180704/58990030_0.shtml.

［6］中华人民共和国国家质量监督检验检疫总局，中国国家标准化管理委员会.GB/T 4960.7—2010核科学技术术语第7部分：核材料管制与核保障［S］.北京：中国标准出版社，2010.

［7］MARY L G.The design and evaluation of physical protection systems［M］.2nd ed. Butterworth-Heinemann，2007.

［8］IAEA.The 23rd International training course on physical protection of nuclear facilities and materials:supporting information［Z］.New Mexico，2012.

TP311.53

A

10.15913/j.cnki.kjycx.2020.18.005

2095－6835（2020）18－0011－05

苗强（1976—），男，吉林长春人，硕士，工程师，研究方向为核安保与核保障。

〔编辑：严丽琴〕