高正明,赵 娟,李素若
(1.荆楚理工学院计算机工程学院,湖北 荆门 448000;2.荆楚理工学院电子信息工程学院,湖北 荆门 448000)
20世纪90年代以来,脆弱性研究受到了广泛的关注[1],该研究最早始于社科领域研究环境对人文变化的响应,用以描述环境受到灾害、人为破坏等不利因素时受到的损害的程度或可能性[2]。随着脆弱性研究的深入,脆弱性分析逐渐成为全球环境变化和可持续发展研究的热点问题和重要的分析工具[3],并逐步扩展到其它学科和领域。
目前,脆弱性研究已经扩展到消费金融[4]、气候变化[5]、软件测试[6]等多个领域,并且较多地应用于各种大型系统之中,评估系统对于某一种破坏因素的抗性或受损害难易程度[7]。这一特征可以很容易地扩展到各种大型复合系统的评估过程中[8]。显然,在核裁军监护链中,为确保核部件的全程高安全、高可靠性,必须综合采用多种监护手段,组成全程可信监护链。但即使如此,在互信的前提条件下,仍然需要评估监控系统对各种有意或意外因素的抵御能力,这一评估机制,亟需监控系统的脆弱性分析工具。
当前已经开展的系统的脆弱性分析研究主要集中于电力系统脆弱性[9]和软件脆弱性[10],前者以故障作为脆弱性表征对象,以高样本量为基础,是一种基于大规模数据表征的系统整体故障率的描述;后者以黑客或病毒攻击行为日志为基础,采用攻防测试的方式评估攻击后系统崩溃的几率。电力系统和软件系统的脆弱性,均源于大样本的统计测试。而监控系统的脆弱性分析属于系统部署前的评测,缺乏现实数据支撑,不能直接挪用电力系统或软件系统的脆弱性研究。
裁减后核武器监护链监控系统的脆弱性分析,和其它系统如空间信息网[11]的脆弱性分析方法也有所不同,其防范对象虽然同样具有时滞性[12],但往往是人为有目的入侵,尤其是有意识有组织的篡改行为,防范对象的高技术性、严密性更强。因此,对核部件储存库房的脆弱性进行分析,不仅需要考虑核部件周边环境如支撑体[13]对测量数据的影响,明确测量数据的精度和测量方法[14],更需要站在系统的角度,针对具体的篡改行为开展有针对性的脆弱性分析。
为此,本文结合当前国内外研究工作,针对核裁军监护链中的辐射探测系统,分析了影响基于辐射探测的核部件储存库房安全监控系统的脆弱性因素,建立了脆弱性评估指标体系,并结合可靠性理论探索了脆弱性评估方法,以期提出核裁军监控链脆弱性分析与评估工作。
故障是指产品、设备或系统(以下统称为系统)丧失规定的功能,故障描述了系统的一种状态,该状态对应的事件称为失效。失效是人类在系统使用过程中需要直接面对的一种异于常态的事件,是早期人们开发和使用系统的过程中不得不重视的问题,其评价指标是故障率,即工作至某一时刻时尚未失效的系统在该时刻发生故障的概率。故障率是关于时间的函数,随着时间的增长,故障率一般会增大。人们对故障和失效的研究,逐步形成了系统的状态监测技术和故障诊断技术,用于系统设计加工、使用过程故障的发现、识别与修复。
系统在规定的时间内、规定的条件下,完成规定的功能的能力,定义为系统的可靠性。可靠性是系统不发生故障的测度,是人类对失效理论的深入发展。系统可靠性越高,发生故障的机率就越低。
可靠性是对系统总体功能的测度,是系统的固有属性特征之一。系统可靠性不考虑异常因素,即一旦出现超出规定之外的条件,如系统承受环境温湿度超出许可范围、承受过载的振动冲击等情况时,系统可靠性就需要重新测算,或对系统进行检修论证后予以忽略。此外,由于可靠性是统计参数,对单个产品的测度是不稳定的,对超出规定时间之外的测算也十分困难。
针对这一现象,随着技术研究的深入,学者们将可靠性影响因素进行细化,强化导致系统失效的诸因素的量化分析,将可靠性概念和失效机理分析相结合,提出了脆弱性的概念。
脆弱性是系统对内外干扰的敏感性,以及由于缺乏应对能力而导致系统结构或功能容易发生改变的一种属性。系统的脆弱性总是相对某一或某些因素而言,用于量化分析系统抵御给定的某一因素或某些因素的影响的能力,它是可靠性概念的进一步深化和延拓。系统的脆弱性采用脆弱度进行量化分析,脆弱度是系统对某一或某些因素的脆弱程度,它用于量化系统抵御该因素影响的能力。
系统失效、可靠性和脆弱性具有如图 1所示的关系,即对系统失效的研究是可靠性研究的基础,可靠是失效的反问题,而脆弱性则是可靠性研究的进一步深入和延拓。
图1 系统失效、可靠与脆弱性之间的关系
系统是由相互作用相互依赖的若干单元组成的具有特定功能的有机整体。因此对监控系统的脆弱性研究,可定量为系统各单元对给定的某一或某些因素的组合。这就需要开展以下4个部分的研究工作。
(1)监控系统脆弱性影响因素。根据脆弱性定义可知,影响监控系统脆弱性的因素包括两个方面:一是监控系统的内部干扰,包括系统的其它固有属性及其关联作用;二是监控系统外部干扰,包括环境因素、人为因素等。系统的脆弱性总是针对特定因素而来,因此脆弱性影响因素分析是脆弱性研究的基础和首要条件。
(2)监控系统脆弱度量化方法。系统抵御某一因素的影响的能力采用脆弱度进行量化,其量化的方法根据系统对该因素的响应而定。
(3)监控系统脆弱性评价指标和评估方法。监控系统的脆弱性虽然可以脆弱度进行评价,但是由于监控系统和影响因素的复杂性,目前整个系统的脆弱度尚不具备科学计算的条件。
(4)脆弱性评价与决策。开展监控系统脆弱性分析的目的是确保系统正常运行,因此,依托监控系统对某些因素的脆弱性评估结果开展决策分析,预测和评价系统受内外干扰的影响程度,评估其抵抗力和恢复能力,提出保持系统正常运行、减轻干扰对系统的不利影响或为退化的系统提出综合整治意见建议,是监控系统脆弱性研究的另一重要内容。
由于系统总是由若干个单元组件构成,因此监控系统对某一因素的脆弱度,是监控系统组成单元对该因素的脆弱度的权函数,取值区间为(0,1],其基本计算方法保持可靠性、失效率的计算方法。所不同的是,由于不同单元所处位置、组成构成等的不同,不同单元遭遇某一因素的机率不同。因此,系统对该因素的脆弱度,是脆弱性事件发生机率的权函数。从原理上讲,监控系统或组成单元对某一因素的脆弱度具有如下性质:
(1)监控系统或组成单元对任一因素的脆弱度总是大于0的。理论上讲,监控系统对任一因素都具有敏感性,只是程度不同,因此,脆弱度总是大于0的数值。
(2)监控系统或组成单元对任一因素的脆弱度表征其对该因素响应的敏感程度。敏感事件的发生具有随机性,因此,脆弱度不具备统计特性,脆弱度和事件发生机率表征监控系统或组成单元对某一因素的脆弱性。
(3)监控系统整体对某一因素的脆弱度,是系统各组成单元对该因素的脆弱度的权和,其计算原则是事件发生后,系统对其不敏感,或系统维持其结构和功能不发生改变的能力不受明显影响。因此,监控系统对某一因素的脆弱度可表征为各组成单元对该因素脆弱度的权函数,其中基本函数式可采用可靠性、失效率或故障率的串并联关系式。即对于n个串联单元,若对某一因素的脆弱性事件发生机率分别为p1,p2,…,pn,脆弱度分别为v1,v2,…,vn,则系统对该因素的脆弱度为:
(1)
对于组成单元并联组成的系统,则有:
(2)
公式(1)、(2)同样适用于系统对多个因素的脆弱度量化计算。
核部件储存库房安全监控系统由周界监控系统、出入库监控系统和库区内部监控系统组成,包含红外、微波、地音、视频、辐射探测、金属探测等监控手段,如图 2所示。
图2 核部件储存库房安全监控系统组成
辐射探测系统以核部件核材料自身辐射粒子为探测源,采用中子和γ探测器构建探测单元,运用计算机软件开展数据分析,实现对核部件的存在性判别、识别认证、监控、定位和衡算等。
周界监控系统中的辐射探测器主要用于核部件的存在性判定,在发现核部件时,及时告知监控中心,由监控中心进行输运许可判断与处置。在出入库监控系统中,辐射探测器主要完成核部件的存在性判定、识别认证、衡算和监控管理等功能。库区内部的辐射探测器主要用于核部件的精确定位管理。采集处理后的辐射探测数据通过有线或无线通信传输至监控中心,由配套软件进行处理后,提交监管人员处置。基于辐射探测的核部件储存库房安全监控系统结构组成如图 3所示。
开展核部件储存库房安全监控系统的脆弱性研究,主要包括脆弱性影响因素分析、脆弱性量化指标构建和脆弱性评价三个部分的工作,考虑到核部件储存库房安全监控系统构成复杂,功能多样,此处以辐射探测系统为研究对象,开展基于辐射探测技术的核部件储存库房安全监控系统脆弱性分析与评价。
由图 3可知,基于辐射探测的核部件储存库房安全监控系统由辐射探测器、数据采集与传输系统、计算机软硬件系统和外设等组成,可分为通信系统、软件系统、硬件设备三大类,其影响因素仍然区分为内部干扰和外部干扰两大类,见表1。其中内部干扰因素不仅包括系统结构特征如结构尺寸、材料性质、构成方式、部署方式等,还包括系统的技术特点如冗余、技术成熟度、技术适应性等,而外部干扰可区分为人为因素和自然因素,考虑到脆弱性分析属事前安全性分析论证,本文暂不讨论脆弱性因素的权重分布。
表1 基于辐射探测的核部件储存库房安全监控系统脆弱性影响因素
图3 核部件储存库房安全监控系统结构
由脆弱性定义可知,对监控系统脆弱性的量化指标可区分为四个部分:一是监控系统对内部干扰的敏感性(ⅰ类);二是监控系统对外部干扰的敏感性(ⅱ类);三是由于缺乏应对能力而使监控系统功能容易发生改变的属性(ⅲ类);四是由于缺乏应对能力而使监控系统结构容易发生改变的属性(ⅳ类)。据此可提出脆弱性量化评估指标,列于表2。
表2 基于辐射探测的核部件储存库房安全监控系统脆弱性评估指标
根据特定的评价指标可以构建量化计算方法,目前评价指标的量化方法主要可分为以下几种:
(1)加权平均法。如恢复率、冗余率、覆盖率、服务率、干扰率;转换率等指标,可进一步细化为更小的二级、三级甚至更低层次的指标,其数值大小是低级指标的加权平均值。
(2)数学函数法。如抗氧化性、热敏性、抗电击能力等指标,可采用特定设备在给定条件下的化学反应几率、电学参数漂移量、击穿几率等数学量表示,这些参数可表示为特定干扰因素数学量的函数。
(3)统计平均法。有些指标如系统漏报率、误报率等,具有统计特性,需要结合具体实验或历史数据统计分析而来。
(4)模糊处理法。有些指标如设备抗弯曲、抗冲击、抗挤压能力等,由于系统结构具有阈值而表现出不同的特性,如材料的应力极限区分为弹性极限、屈服极限和强度极限等,当应力小于弹性极限时,材料具有显著的恢复能力,一旦撤除应力,系统恢复正常状态,若应力大于弹性极限而小于屈服极限,材料将产生塑性变形,而若应力大于强度极限,材料将发生断裂现象。此时,需要根据影响因素量值的不同采用模糊处理的方法,构建阶段性分布函数进行量化,该方法也可以作为数学函数法的特殊情况。
在确定监控系统脆弱性影响因素,建立脆弱性评价指标体系之后,可采用脆弱性评估方法对监控系统脆弱性进行量化评估。常见的脆弱性评价方法如综合指数法,包括加权求和法、主成分分析法、层次分析法、模糊综合评价法、专家打分法等,原理和操作都很简单。除此之外,对于某些特定的量化指标,可构建脆弱性函数评价模型开展定量评估。如基于辐射探测的核部件储存库房安全监控系统中,为防止库区内部核部件不被偷窃、转移和替换,需要采用辐射探测器阵列对放射性材料实施精细管理。系统监控核部件转移功能的主要指标可细化为对辐射源的定位精度、对多个辐射源的区分度以及对人员、工地装设备和环境本底的辨别能力等。其中多个辐射源的区分度由探测器阵列数量保证,则可定义监控系统防人为转移功能的脆弱性函数vp为不同人员、工地装设备条件下的辐射源定位误差的函数:
vp=f(σloc)
(3)
式中,σloc为特定条件下辐射源的定位误差;函数f可根据需要定义为定位误差的倒函数,即在给定人员、工地装和环境本底的条件下,基于辐射探测技术的核部件储存库房安全监控系统对辐射源的定位精度越高,监控系统对人为转移功能的脆弱性越小。
基于辐射探测的库房安全监控系统中,为防止库区内部核部件不被偷窃、转移和替换,需要采用辐射探测器阵列对核部件实施精细管理。系统监控放核部件移功能的主要指标可细化为对辐射源的定位精度、对多个辐射源的区分度以及对人员、工地装设备和环境本底的辨别能力等。其中多个辐射源的区分度由探测器阵列数量保证,考虑到探测器计数与距离源的尺寸、源活度等参数相关,参考照射率/剂量率的计算方法[15],可定义监控系统防人为替换功能的脆弱性函数vp为不同人员、工地装设备条件下的辐射源定位误差的函数:
(4)
式中,n为辐射探测器个数;x为探测器距离房间中心距离,m;A为探测器计数,cps或μSv/h;k为脆弱度标准化系数,后续计算中k=3 600,(m/μSv或m/cps);t为探测器响应时间,s。
对某辐射源实验大厅进行防替换功能实验研究,探测实验场景和采点设置如图 4所示,四个探测器分别位于门和墙壁侧上方,源分别放置于1、2、…、8等位置,测量探测器对不同位置源的区分能力。首先采用Inspector 10000测量大厅γ辐射本底;再移动Cs-137辐射源,测量获得各点位的剂量率。对实验数据进行本底扣除后,由式(4)计算可得由4个探测器组成的辐射探测系统对替换的脆弱度为0.2132。需要说明的是,本次实验中由于未能组建完整的辐射探测系统,而只是采用了两个探测器进行了模拟,因此该数据不能用于实际辐射探测系统的描述,而且采用此公式描述辐射探测系统防替换功能时,该数据只有在对比的条件下才有意义,如探测器的响应时间为0.2 s,若采用响应时间为0.5 s的AGM型γ辐射探测器,则脆弱度数据为原来的2.5倍,即采用响应时间更为灵敏的辐射探测器可降低脆弱度,提高监控系统防替换功能。
图4 防替换功能实验场景设置
根据脆弱性在环境、政治、经济等领域的研究成果,结合监控系统脆弱性分析需求,本文提出监控系统脆弱性研究是系统可靠性和失效机理分析的综合,脆弱性是可靠性研究的深入和延拓的理念,并初步论证了脆弱性研究范畴,提出了监控系统脆弱性量化计算方法。结合裁减后核武器储存库房安全监控系统设计实际,本文重点基于辐射探测系统分析了核部件储存库房案例监控系统的脆弱性,梳理和汇总了脆弱性影响因素,并对脆弱性量化评估指标体系进行了分析,论证给出了脆弱性评价分析方法。最后结合实地开展的基于辐射探测系统的核部件的防替换功能实验,分析给出了该系统防替换功能的脆弱度计算方法和实际数据,最后提出了基于辐射探测的核部件储存库房安全监控系统脆弱性分析方法,为后续核部件储存房安全监控系统脆弱性评估提供技术支持。