用量化评估方法探析核设施实物保护系统设计优化

仇春华，柏志军，何斯琪，谭俊龙，张仁和，王黎明

用量化评估方法探析核设施实物保护系统设计优化

仇春华，柏志军，何斯琪，谭俊龙，张仁和，王黎明

（国家核安保技术中心，北京 102401）

核设施实物保护系统作为保护核设施免遭恐怖主义袭击的主要手段，其有效性对于确保核设施安全至关重要。当前，我国核设施实物保护系统的设计过于依赖法规标准，缺少针对不同威胁的区别化设计方案，设计过程中的有效性分析验证缺少数据支撑，影响了实物保护系统功能的发挥。为了探究通过优化设计提高核设施实物保护系统有效性的方法，本文从影响核设施实物保护系统有效性的主要因素分析入手，探讨了当前核设施实物保护系统设计中存在的一些不足，并通过定量分析的方法论证了核设施实物保护系统设计优化的可能方案，为优化核设施实物保护系统设计提供了相关建议。

实物保护系统；有效性评估；设计优化

近年来，恐怖主义活动频发，核恐怖主义威胁日益突显，核安保问题受到高度关注。核设施实物保护系统作为保护核设施免遭恐怖主义袭击的主要手段，其有效性对于确保核设施安全至关重要，如何通过优化设计提高核设施实物保护系统的有效性是核安保领域的一项重要研究课题。本文将从影响核设施实物保护系统有效性的主要因素分析入手，探讨当前核设施实物保护系统设计方面存在的不足，并通过定量分析的方法论证核设施实物保护系统设计优化的可能方案，以期为优化核设施实物保护系统设计开拓一些思路。

1　影响核设施实物保护系统有效性的主要因素[1]

核设施实物保护系统是指具有探测、延迟及响应功能，用于阻止破坏核设施及核材料，以及防止盗窃、抢劫或擅自转移和使用核材料活动的安全防范系统。从以上定义可以看出，核设施实物保护系统的有效性主要是由探测、延迟和响应三大功能决定的。探测主要用于及时发现敌手，延迟则是在发现敌手后尽可能延缓敌手到达保护目标的时间，为响应力量尽快赶到事发现场争取时间，响应是指发现敌手后响应力量尽快赶到事发现场阻击敌手，防止敌手的阴谋得逞。

通常情况下，实物保护系统的有效性E可以用公式（1）来表示[2]：

式中：I——响应力量在敌手到达保护目标之前及时截住敌手的概率；

N——响应力量成功击败（制服）敌手的概率。

I主要是由敌手入侵路径上的入侵探测器的探测概率、延迟设施（实体屏障、门、墙体等）能够提供的延迟时间，以及响应力量在接到报警后赶到现场所需时间（响应时间）决定的。N主要由响应力量的人数、武器和技战术水平决定，当响应力量的人数、武器和技战术水平相对敌手占有绝对优势时，N=1，即响应力量只要能截住敌手，就一定能够成功击败敌手。本文后面的分析都将基于这一假设，即N=1。

基于上述假设，则实物保护系统的有效性主要与探测概率、延迟时间和响应时间三个变量有关。进一步分析发现：在成功探测敌手入侵之前的延迟时间，都是无效延迟时间，因为敌手可以花足够的时间来突破延迟设施却不会被发现；而如果探测到敌手入侵后剩余的延迟时间小于响应时间，则该探测为无效探测，因为即使成功探测敌手入侵，但由于其后续的延迟设施不能提供足够的延迟时间，在响应力量赶到事发现场时，敌手已成功达到其目标[3]。

图1描述了截住概率与响应时间和延迟时间之间的关系。从图中可以看出，虽然沿敌手入侵路径一共设有6个探测点，但探测点4、5、6后面的延迟时间小于响应时间，即使它们能够成功探测敌手入侵，由于响应力量不能及时赶到，并不能阻止敌手达到其目标，因此为无效探测。接近保护目标的最后一个有效探测点通常称其为临界探测点。为了提高核设施实物保护系统的有效性，在设计实物保护系统时，需要处理好探测、延迟和响应三者之间的关系，探测系统尽可能在外围设置，延迟系统尽可能设置在探测系统与保护目标之间，只有响应力量的响应时间小于所有探测点与保护目标之间延迟系统能够提供的延迟时间，才能保证所有探测点均是有效探测点，不会出现因为有无效探测点而造成无效投入。

图1　实物保护系统有效探测点示意图

对于入侵路径上有多个有效探测点的实物保护系统，其累积截住概率计算公式如下[4]：

式中：Di——第个探测点的探测概率。

可以看出，在入侵路径上设置的有效探测点越多，则累积截住概率越大，实物保护系统有效性越高。但工程设计中是要考虑成本因素的，设计的最佳方案应是用最少的投入实现设计目标[5]。为了探究入侵路径上有效探测点个数与实物保护系统有效性之间的关系，这里作如下假设：核设施实物保护系统是严格按照纵深防御和均衡保护的原则设计的，所有探测系统和延迟系统均是环绕需要保护的目标分层、均衡设置的，从外向内分别设置5层探测系统，所有探测系统均为有效探测点且探测概率均为0.7。基于上述假设的简化模型，利用公式（2）可以计算出理想状态下入侵路径上有效探测点个数与累积截住概率之间的对应关系，如表1所示。图2为累积截住概率随有效探测点个数的变化趋势图，可以看出，随着有效探测点个数的增加，累积截住概率的增长是逐渐趋缓的。因此，在入侵路径上设置两到三个有效探测点是较为经济合理的。

2　当前核设施实物保护系统设计中存在的不足

当前，核设施实物保护系统主要是基于特定设计基准威胁，依据安全防范领域或实物保护领域的一些国家标准和行业标准，以及相关规范性技术文件进行设计的。这些标准或技术文件是业内专家在总结以往良好实践的基础上起草的，对实物保护系统各子系统的配置要求和技术指标均有较为详细和明确的规定，为实物保护系统的设计提供了重要的参考依据。然而，需要指出的是，这些标准和规范性技术文件主要根据核设施的实物保护级别提出实物保护系统相关技术要求，未针对不同威胁分别给出应对建议，且一般仅对技防系统的配置要求和技术指标规定得较为明确具体，对人防系统尤其是响应力量的部署规范较少，没有给出响应力量的响应时间指标，这就容易导致严格按照相关标准和规范性技术文件设计的实物保护系统重技防、轻人防，不能做到技防和人防的有机结合，在应对威胁时的实际效果与预期目标存在一定差距，影响核设施实物保护系统的有效性。

表1　累积截住概率与有效探测点个数关系对比

图2　累积截住概率随有效探测点个数的变化趋势图

2.1　相关标准和规范性技术文件未针对不同威胁提供区别化解决方案

建造核设施实物保护系统的目的，主要是用于防范不法分子盗窃核材料或破坏核设施。而实物保护系统防范和应对不法分子的效果除了取决于实物保护系统本身的配置与性能，还与不法分子的人数、携带的武器和工具、训练程度等密切相关。例如，同样配置的周界实体屏障，在应对缺乏训练的单人入侵时，所能起到的延迟作用要远远大于应对受过特殊训练且多人配合入侵时的延迟效果。

在设计实物保护系统前，通常要求核设施建造单位根据当地治安状况制定实物保护系统的设计基准威胁，对不法分子的作案动机、人数、携带的武器（种类、性能与数量）和工具、训练程度等进行分析和描述。设计单位需根据主管部门批准的设计基准威胁确定实物保护系统设计方案。然而，现实情况是，无论设计基准威胁如何变化，由于实物保护系统设计所主要依据的相关标准和规范性技术文件未针对不同威胁提供区别化解决方案，设计的实物保护系统技防措施仅与核设施实物保护级别相关，对于同一实物保护级别的核设施，所采取的实物保护系统技防措施是基本相同的。相同的技防系统要应对不同的威胁，只能通过调整人防系统尤其是响应力量的部署来与技防系统协同应对。而在设计阶段，响应力量的兵力部署和分配等往往还悬而未决，很难做到精准预测，这就导致设计的实物保护系统难以做到技防和人防的有机结合，不能针对不同设计基准威胁进行量身设计，影响了实物保护系统应对威胁的实际效果。

2.2　实物保护系统有效性分析缺少基础性测试数据作为支撑

当前，核设施实物保护系统设计过程中，一般会使用基于本文第1节所述基本原理的有效性分析软件对设计方案进行分析，找出设计中存在的薄弱环节，针对薄弱环节对设计进行优化，直至分析结果达到要求。有效性分析是实物保护系统设计阶段的重要环节，对于提升设计质量、确保设计的实物保护系统能够有效应对设计基准威胁发挥着重要作用。

目前主要使用的实物保护系统有效性分析软件都是基于敌手行动序列图（见图3）建立的分析模型。敌手行动序列图是核设施实物保护系统的图解模型，采用防护层和若干路径元件自上而下、由外而内逐层描述核设施的各保护区域和实物保护措施，涵盖了敌手为达成目的可以采取的所有路径以及这些路径上必须克服的所有实物保护元件。

图3　假想设施的实物保护措施简图和敌手行动序列图

路径元件用于描述实物保护系统各主要设备部件，在使用路径元件建立核设施实物保护系统有效性分析模型时，需要确定各主要设备部件在应对敌手使用不同工具情况下的延迟时间、探测概率等参数作为基础性支撑数据。这些参数需要基于大量测试数据才能精确获得，然而，目前我国尚未系统开展相关测试工作，建立有效性分析模型中使用的各种参数数据主要是基于国际相关软件提供的数据以及分析人员的经验估计值，准确性无法保证。因此，使用有效性分析软件验证和改进实物保护系统设计的效果大打折扣。

2.3　缺少根据核设施特点对主要威胁方式的分析

通常情况下，核设施面临的恐怖主义威胁主要有两种，一种是恐怖分子直接袭击核设施，以图造成大量放射性物质释放；另一种是恐怖分子通过盗窃存储在核设施里的核材料和其他放射性物质，用于制造放射性物质散布装置——脏弹或核爆炸装置，以引发核恐怖主义事件，如在大型公众活动或公共场所中使用上述装置，旨在通过放射性破坏效果产生严重的核恐怖社会心理影响，破坏社会安定，实现表达其特殊的政治意图和诉求的目的。

在应对以上两种威胁方式时，对实物保护系统的要求是有所差异的。对于第一种威胁方式，恐怖分子只需到达保护目标并实施破坏活动就能成功实现其目的；因此，要确保恐怖分子入侵路径上的所有探测点均是有效探测点，必须保证距离保护目标最近的一个探测点到保护目标之间能够提供的延迟时间大于响应时间。而对于第二种威胁方式，恐怖分子不仅要到达保护目标，而且还要盗取核材料或其他放射性物质并成功逃出，恐怖分子需要突破的实体屏障和探测点都将翻倍，因此，同样的实物保护系统设计可以提供更高的探测概率和更长的延迟时间。

不同类型的核设施面临的威胁形式是有所差异的，这里以核电站和浓缩铀储存设施进行举例说明。大多数核电厂使用的核材料都是以燃料组件的形式存在的，体积和重量都很大，恐怖分子要想把它盗走是非常困难的。而核电厂的堆芯功率一般都比较大，一旦发生超临界事故，可能会发生大量放射性释放，后果不堪设想。此外，从反应堆堆芯卸出的乏燃料具有很强的放射性，如果遭到破坏，也将造成大量放射性物质释放。因此，核电厂面临的威胁主要是遭受直接袭击的威胁。而浓缩铀储存设施则不同，浓缩铀的放射性不大，但高浓铀却是制造核爆炸装置的重要原料，对恐怖分子来说，破坏浓缩铀储存设施远不如盗取浓缩铀的吸引度大。

实物保护系统设计过程中，往往容易忽略不同类型核设施可能面临的主要威胁方式不同这一因素，对于同样是一级实物保护的核电厂和浓缩铀储存设施，设计的实物保护系统基本上是一样的。而通过前面的分析可知，由于核电厂面临的主要是遭受破坏的威胁，浓缩铀储存设施面临浓缩铀被盗的威胁则更大。因此，对于同样的实物保护系统设计和投入，浓缩铀储存设施的实物保护系统应对浓缩铀被盗威胁时的有效性要大于核电站实物保护系统应对遭受破坏威胁时的有效性。这显然不符合设计者的初衷，对于设计者来说，针对同一实物保护级别的核设施，相似的设计和投入，所期望得到的实物保护系统有效性应是相近的。

2.4　缺少对响应力量响应时间的精确考虑

如前所述，核设施实物保护系统的有效性主要是由入侵路径上的有效探测点个数及各有效探测点的探测概率决定的。而一个探测点是否为有效探测点，则与该探测点后面延迟设施能够提供的延迟时间和响应力量的响应时间息息相关。只有当响应时间小于延迟时间时，该探测点才是有效探测点。因此，实物保护系统有效性与响应力量的响应时间密切相关。

当前，设计单位在设计核设施实物保护系统时，一般也会考虑响应时间的因素，但往往仅会给一个响应时间的理论估计值，用于最后对设计方案做有效性评估验证。设计单位既不会针对核设施的不同部位分别进行响应时间的估算，也缺少对响应力量的响应时间的有效验证。这样就容易导致核设施某些部位的响应时间可能大大高于设计者当初设计时对响应时间的估计值，从而使某些探测点成为无效探测点。

这里再举一例，核电站海水泵房为核电厂提供冷却水，一旦遭受破坏，不仅会造成重大的经济损失，还可能会造成意外停堆，严重时甚或导致不可预知的核事故，因此，海水泵房是需要加以保护的重要目标之一，被布置在要害区内。在当前核电厂实物保护系统的设计中，海水泵房的四周被设置了一层要害区周界，并安装了入侵探测和视频复核设备，同时具备探测和延迟功能。然而，如果海水泵房外围要害区周界距离泵房很近，如不到十米，且泵房大门不锁闭，恐怖分子一旦突破要害区周界实体屏障，很快就会来到泵房内实施破坏活动。也就是说，海水泵房外围的要害区周界实体屏障及其以内的设施所能提供的延迟时间会小于响应力量的响应时间，如果恐怖分子在入侵海水泵房过程中，在要害区周界才首次触发报警，则还未等到响应力量赶到事发现场，恐怖分子已成功实施破坏活动，即要害区周界的入侵探测是无效探测。如果设计者缺少对响应时间的有效验证，也未针对特殊部位专门考虑响应时间与延迟时间之间的关系，就很容易出现上述情况。

3　核设施实物保护系统设计优化建议

针对当前核设施实物保护系统设计中存在的不足，在需要实现某一特定实物保护系统有效性目标的前提下，尽可能提高产出投入比，必须从影响实物保护系统有效性的主要因素入手，针对核设施特点及其面临的威胁类型，综合考虑探测、延迟及响应三大功能的相互协调和配合，确保所有探测点均为有效探测点，实现资源的最优化配置。为此提出如下建议。

3.1　核设施实物保护系统评审应更注重有效性分析指标

当前，监管部门对核设施实物保护系统的设计评审和监督检查主要是对照相关标准和规范性技术文件进行符合性检查，缺少对反映实物保护系统总体性能的有效性指标的关注。这就无形形成了一种导向，只要设计单位严格按照相关标准和规范性技术文件进行实物保护系统硬件设计，往往容易通过评审，导致设计单位缺少针对核设施实际特点进行个性化设计的动力。只有监管单位在核设施实物保护系统评审过程中，更注重有效性指标，才能扭转这种导向，使设计单位在设计时更注重实物保护系统的综合性能，针对核设施特点采取更多个性化设计，而不是机械照搬相关标准和规范性技术文件，才能在实现某一特定有效性目标前提下，最大限度提高产出投入比。

相关单位在编制实物保护领域的标准和规范性技术文件时，应针对不同威胁提出区别化解决方案，同时兼顾技防系统和人防系统，确保对技防系统所提技术指标与人防系统要求相结合，有效应对所面临的威胁；同时，也应强调相关指标仅供参考，最终应以实物保护系统有效性分析指标作为评判标准。并且，根据实物保护系统建成投运后进行的实兵对抗演练和沙盘推演结果，定期对相关标准和技术文件予以调整和改进。

3.2　建立实物保护系统有效性分析基础数据库

针对中国核设施常用探测设备，开展性能测试，收集其在核设施现场环境条件下应对敌手不同入侵方式（破拆、翻越、走、跑、爬、跳等）的核心性能指标数据（如探测概率、噪扰报警率、误报率等）；针对中国核设施常用延迟设备及装置，开展性能测试，收集其在核设施现场环境条件下应对不同类型敌手（训练有素、未进行特殊训练等）使用不同工具（车辆、绳索、梯子、手动破拆工具、电动破拆工具、炸药等）入侵时的延迟时间，基于测试数据建立符合中国国情的实物保护系统有效性分析基础数据库，以此为基础开发有效性分析软件，提升实物保护系统有效性分析的准度和效果。

3.3　在设计实物保护系统前应对核设施面临的主要威胁方式进行分析

如前所述，不同的核设施可能面临的威胁类型不同，从而实物保护系统的设计思路也会有所不同。对于面临的威胁主要是防止核材料被盗的核设施，其实物保护系统在相同设计方案下，与防破坏的核设施相比，可以达到更高的有效性指标。因此，建议核设施建造单位在制定设计基准威胁时，应根据核设施特点明确其面临的主要威胁方式是盗窃还是破坏，或者二者兼有。设计单位在设计实物保护系统时，对于主要是防止核材料被盗的核设施，应将侧重点放在加强核材料保护，可在现有标准下对以防止破坏为主的设计适当简配，从而在不降低其有效性的情况下，减少实物保护系统投入成本。

3.4　实物保护系统设计中应综合考虑响应力量的响应时间因素

核设施实物保护系统的有效性与响应力量的响应时间密切相关，核设施的不同保护目标由于所处位置各不相同，响应力量赶到不同位置的响应时间也会略有不同，此外，响应时间也与响应力量的营房位置、训练程度和技战术水平密切相关。因此，设计者在设计核设施实物保护系统时，应针对每一个保护目标分别评估响应时间。在响应时间大于延迟时间时，要么通过在探测点与保护目标之间增设延迟系统来增加延迟时间，要么通过合理布局响应力量的营房位置，或者设置备勤点来缩短响应时间，确保各探测点到保护目标之间的延迟时间均大于响应时间，避免出现无效探测点而造成无效投资。

［1］ D W Whithead，C S Potter，S L O’Connor．Nuclear power plant security assessment technical manual：SAND-007-5591［R］．Albuquerque，NM：Sandia National Laboratory，2007．

［2］ A A Wadoud，A S Adail，A A Saleh．Physical protection evaluation process for nuclear facility via sabotage scenarios［J］．Alexandria Engineering Journal，2018，57：831-839．

［3］ 苗强，方忻．SAVI模型及软件缺陷研究［J］．科技与创新，2020，18：11-15．

［4］ 赵培祥，江俊，曾毅，等．实物保护系统的定量评估模型之研究现状及发展［J］．核安全，2020，19（2）：56-63．

［5］ M L Garcia．The design and evaluation of physical protection systems，2nd ed［R］．Burlington，MA：Elsevier Butterworth-Heinemann，2008．

Optimization of Physical Protection System Design for Nuclear Facilities with Quantitative Evaluation Method

QIU Chunhua，BAI Zhijun，HE Siqi，TAN Junlong，ZHANG Renhe，WANG Liming

（State Nuclear Security Technology Center，Beijing 102401，China）

As the main means to protect nuclear facilities from terrorist attacks，the effectiveness of physical protection system of nuclear facilities is very important to ensure the safety of nuclear facilities. At present，the design of physical protection system of nuclear facilities in China relies too much on regulations and standards，lacks differentiated design schemes for different threats，and lacks data support for the effectiveness analysis and verification in the design process，which affects the function of the physical protection system. In order to explore the method of improving the effectiveness of the physical protection system through design optimization，this paper starts with the analysis of the main factors affecting the effectiveness of the physical protection system of nuclear facilities，discusses some shortcomings of the current design of the physical protection system，and demonstrates the possible scheme of the design optimization of the physical protection system through quantitative analysis. Some suggestions are provided for optimizing the design of physical protection system of nuclear facilities.

Physical protection system；Effectiveness evaluation；Optimization of the design

TL48

A

0258-0918（2021）03-0569-07

2020-11-29

仇春华（1980—），男，湖北广水人，高级工程师，博士，现主要从事核安保政策法规方面研究