核设施实物保护系统有效性分析方法研究

马 亮，王子轩，苑晨亮，张晓丛，王美璇

（1. 中核第四研究设计工程有限公司，石家庄 050000；2. 河北省核安保技术创新中心，石家庄 050000）

近年来，国内外安全形势日益复杂，核设施与核材料面临的安全情况和问题日趋严峻。核安全作为总体国家安全观的要素之一，不仅事关核工业发展命脉，也是国家安全发展的重要着力点。为此，需要对核材料和核设施的安保问题给予高度关注，建立有效的实物保护系统有效性分析体系和方法，提高核安保水平、确保国家安全［1，2］。

核安保是核安全的重要组成部分，是指预防、探知和应对涉及核材料、其他放射性物质、相关设施和相关活动的擅自接触、未经授权的转移、盗窃、蓄意破坏或其他恶意行为［3］。实物保护系统作为核设施的第一道安全屏障，对于保障核设施、核材料是否在安全受控状态下运行至关重要。本文主要针对实物保护系统展开研究。

实物保护系统是指利用实体屏障、探测延迟技术及人员的响应能力，阻止盗窃、抢劫或非法转移核材料以及破坏核设施行为的安全防御系统［4］。主要包含探测、延迟和响应三个主要功能［5］：

（1）探测主要用于发现敌手的入侵行为，是实物保护系统的第一道防线，探测失败将导致防护设施的延迟与响应功能衰退甚至无效。

（2）延迟是利用墙体、门锁、栅栏等延迟设备阻止或延缓敌手的入侵。在探测设备监测到入侵后，延迟设备延缓敌手的时间越长，越有利于响应力量中断入侵。

（3）响应是指接收到探测到敌手的报警信号后，响应力量出发对敌手进行中断和压制的行动。制定完善有效的防御策略是提高响应能力的有效措施。

实物保护系统的有效性分析是实物保护中的一个重要环节。实物保护有效性分析是应用定量或定性的分析技术使实物保护系统达到有效水平的结构化系统过程。因此，有必要展开实物保护系统有效性分析的研究，提高实物保护系统的可用性、可靠性、有效性。

1 国内外研究现状

为评估实物保护系统的防护效果，国内外学者与专家对实物保护系统有效性分析展开研究。20 世纪70 年代，美国桑迪亚国家实验室提出EASI（Estimation of Adversary Sequence Interruption，EASI）方法［6］，该方法借助探测、延迟和响应的实物保护系统基本功能计算特定路径的中断敌手概率。1980 年，美国桑迪亚国家实验室提出入侵薄弱路径系统性分析方法（Systematic Analysis of Vulnerability to Intrusion，SAVI）［7］，该方法使用入侵序列图（Adversary Sequence Diagram，ASD）将敌手可能的入侵路径图形化。在此基础上，美国能源部1990 年提出ASSESS（Analytic System and Software for Evaluating Safeguards and Security，ASSESS）分析系统，该系统将内部威胁考虑到分析中。1990 年，日利纳大学提出SATANO 软件，该方法可基于不同的设计基准威胁对实物保护系统有效性展开分析。2008 年，韩国核不扩散与控制研究所提出一种基于二维模型计算和评估实物保护系统有效性方法（Systematic Analysis of Physical Protection Effectiveness，SAPE），该方法可图形化展示敌手入侵路径。2008 年，俄罗斯ISTA 公司研发用于实物保护系统有效性分析软件SPURT，该软件可对探测设备的探测范围进行仿真，从而找出检测盲区。2017 年，哈尔滨工程大学提出了基于蚁群算法的启发式有效性评估方法（HAPPS）［8］，该方法参考蚂蚁觅食的仿生行为，在二维地图中寻找实物保护系统的脆弱入侵与逃跑路径。2018 年，哈尔滨工程大学提出了基于启发式A*算法的实物保护系统有效性分析方法（HPEP）［9］，该方法基于二维模型对实物保护系统进行有效性分析，并且在分析中考虑了探测设备的探测范围。2021 年，河北省核安保技术创新中心提出了实物保护系统设计薄弱性分析与评价系统及实物保护设计基准威胁分析与评价系统，该系统可实现薄弱性分析、设计基准威胁分析、三维地图仿真等功能，填补了国内相关领域空白。

本文对实物保护系统有效性分析软件与算法进行总结归纳，客观分析其优缺点，最后提出面向工程应用的实物保护系统有效性分析算法的研究方向与思路，为后续相关算法优化、研究提供参考。

2 实物保护系统有效性分析软件及算法

本节对常用且具有代表性的实物保护系统有效性分析软件与算法进行总结分析，包括EASI 模型、SAVI 模型、HPEP 算法（基于A*算法的启发式有效性评估）和河北省核安保技术创新中心-实物保护系统设计薄弱性分析与评价系统。

2.1 基于EASI 模型的有效性分析方法

EASI 模型是20 世纪70 年代由美国桑迪亚国家实验室提出的。该方法用一维地图模型描述实物保护系统，在此基础上评估特定威胁下单一路径的实物保护系统有效性。该方法能够根据检测、延迟、响应和通信特征确定拦截成功的概率。其中，探测概率使用点估计方法，包括开始穿越障碍物的检测概率、穿越障碍物中检测概率和穿越障碍物后的检测概率。保护元件延迟时间和响应力量的响应时间服从正态分布。在通信中考虑通信成功概率。

在基于EASI 模型的有效性分析中，响应力量成功中断敌手入侵必须满足：

其中，TR为从探测到敌手开始计算到敌手实现入侵目标的剩余路径延迟时间；RFT为响应力量的响应时间，入侵路径示意图如图1所示。

图1 入侵路径示意图Fig.1 Intrusion path diagram

图1 中，p1、p2、p3、p4、p5、p6为探测点；t1、t2、t3、t4、t5、t6为各部分的延迟时间。假设剩余路径延迟时间TR和响应时间RFT均服从正态分布，则X的均值和方差如下：

在敌手入侵路线上某一点i检测到敌手入侵事件Ai的情况下，响应力量可以在敌手突破防线前进行防御的概率为：

因此，在敌手入侵路径上的拦截概率之和为

故，在EASI 模型下拦截并战胜概率PE为：

其中，PN为战胜对手的可能性，即反应部队比敌手强，能够抓捕、消灭或迫使敌手逃跑的概率。

EASI 模型方法的优点如下：能够简单易行地对指定威胁下的单条路径进行有效性计算，模型考虑越全面，计算结果越符合实际情况。

EASI 模型方法的缺点如下：

（1） EASI 模型无法判断最脆弱的路径，依赖人为输入攻击方式与攻击路径，但随着核设施复杂度的提高，很难人为选出最薄弱的路径。

（2） EASI 模型假设最小剩余时间和响应时间符合正态分布，但缺乏实际工程应用中的数据支撑。

2.2 基于SAVI 的有效性分析方法

SAVI 方法是1980 年由美国桑迪亚国家实验室提出的。该方法同样使用一维地图模型描述实物保护系统，与EASI 方法不同的是，SAVI 方法使用敌对序列图（Adversary Sequence Diagram，ASD）分析所有路径并识别出最脆弱的路径集合，如图2 所示。

图2 敌对序列图Fig.2 Adversary sequence diagram

该方法包含两个模块：

（1）防护设施——搭建核设施、核材料的防护设施及其组件。在防护设施模块中，可修改设施运行状态、响应力量的响应时间、延迟设备的延迟时间、探测设备的探测概率、区域间的最小距离等因素。

（2）外部入侵者——计算分析中断外部入侵的可能性，并找到最脆弱的路径集合。在外部入侵者模块中，可修改设计基准威胁，如敌手数量、武器装备、战术等因素。

基于敌对序列图，SAVI 方法提出了临界探测点（Critical Detection Point，CDP）的思想，将剩余路径延迟时间与响应力量平均响应时间相同的前一个探测点视为临界探测点，入侵路径示意图如图3 所示。

图3 入侵路径示意（临界探测点）图Fig.3 CDP-based Intrusion path diagram

在敌手突破临界探测点之前被检测到，响应力量可以有足够的时间对敌手进行拦截。在敌手突破临界探测点之前未被检测到，响应力量无法进行及时有效的拦截。在这种情况下，拦截概率可简化为临界探测点前敌手被检测到的概率，其表达式如下：

SAVI 的优点如下：

（1） SAVI 方法在设置防护设施模块与外部入侵模块时可结合实物保护系统的具体特点，可针对不同的设施进行配置分析。

（2） SAVI 方法在设置好防护设施模块和外部入侵者模块后，可自主分析出最脆弱的路径集合，不需要人为选择路径。

SAVI 的缺点如下：

（1） SAVI 方法在分析过程中使用了保护层之间的最小距离，分析过于保守导致评价结果过于薄弱。

（2） SAVI 方法提出了临界探测点的思想，在敌手突破临界探测点后被检测到的情况直接认定为防御失败，分析过于保守。

（3）在SAVI 方法的薄弱路径分析中，使用的枚举分析法，分析效率较低。

2.3 基于A＊算法的启发式有效性分析方法

2018 年，哈尔滨工程大学提出了基于启发式A*算法的实物保护系统有效性分析方法（HPEP），该方法基于二维地图模型对实物保护系统进行有效性分析，并且在分析中考虑了探测设备的探测范围。

A*算法是启发式寻径算法。在二维地图模型下，相对于非启发式算法，A*算法可以提高运算效率。当目标从当前位置移动到下一个位置时，A*算法可以依据离开的位置和到达的位置计算出大致的路径，然后细化每个区域的粗略路径。与其他寻径算法相比，A*算法在寻找最短路径方面具有较高的搜索效率路径。A*算法最短路径选取算法如下：

其中，n 是路径上的最后一个节点；G（n）为从起始节点到n 节点的路径代价函数（已知函数，为广度优先搜索）；H（n）是启发式函数，它估计从n 节点到目标节点最小代价的路径（未知函数，为深度优先搜索）。启发式函数H（n）越准确，算法找到实际最短路径的速度越快。

基于A*算法，将探测概率作为启发式信息，对A*算法进行了改进，用于对手入侵路径的评估。在搜索过程中，可以控制A*算法来估计最佳路径，而不是盲目地搜索路径。如果存在G（n）＜G*（n）［（G*（n）是A* 算法对G（n）的最小估计值］，且H（n）＜H*（n）［（H*（n）是A*算法对H（n）的最小估计值，依赖于启发式信息，称为评价函数］，当F（n）值最小时，A*算法会找到一条最佳（脆弱）路径。假设入侵事件失败的判据是被检测到的对手，则算法如下：

其中，P（D）G表示G（n），P（D）H表示H（n）。

将P（D）G视为A*算法的代价函数。G（n）是一个常数值，用于实时计算从起始节点到节点n 的检测概率。n 为对手入侵的当前节点，t 为目标节点。I 是被入侵的中间节点之一，实时代表对手的入侵行为。h（p）为评价H（n）的影响因子。如果所有网格h（p） = 0，则A*等价于Dijkstra 算法，降低了搜索效率。这里对Manhattan Distance 进行类比分析，即（nx，ny）与（tx，ty）在笛卡尔坐标下的距离为|nx-tx| + |ny-ty|，h（p）为严格按照水平和垂直路径在网格中两点之间的探测概率。h（p）X→Y表示为X→Y的探测概率，表达式如下：

算法流程如图4 所示。

图4 HPEP 算法流程Fig.4 HPEP algorithm flowchart

该方法的优点如下：

（1）模型将二维地图划分为网格，二维地图中包含的信息多于一维地图。

（2）引入了启发式算法，避免了盲目搜索，提高了薄弱路径搜索效率。

该方法的缺点如下：

（1）算法的代价函数和启发式函数中只考虑了探测概率，未考虑设备延迟信息。

（2）启发式算法虽提高了搜索效率，但不是全图搜索，可能导致局部最优解。

2.4 河北省核安保技术创新中心-实物保护系统设计薄弱性分析与评价系统

2021 年，河北省核安保技术创新中心通过对国内外实物保护系统薄弱性分析方法的分析与研究，结合我国现有核材料和核设施实物保护系统的运行现状，基于核设施实物保护能力验证评价体系，提出国内适用的实物保护系统薄弱性分析方法与流程逻辑，建立基于核设施模型的入侵路径动态分析结构化系统，研究延迟设备延迟时间推算方法及测试方法，构建延迟设备数据库，形成一套科学完善、逻辑自洽、实用性强、泛用性广的薄弱性分析工具，为开展实物保护系统设计、建设、维护及升级改造相关任务打下坚实基础。该系统已在多个核设施、军工设施应用，产生直接经济效益约2200 万元。

设施描述模型作为基础模块，用于描述实物保护系统的相关设施环境信息。采用敌手序列图（ASD）理论将设施分成多个相邻的保护区域，区域之间通过保护层连接。保护层由一个或多个路径元件组成。从一个区域到达另一个区域必须通过路径元件，路径元件具有探测和/或延迟的功能，元件属性包括距离/尺寸、出入控制、入侵探测、通过延迟和警卫检查等类别，如图5 所示。

图5 敌对序列图Fig.5 Adversary sequence diagram

外部入侵模型在设施描述模型的基础上，利用系统薄弱性分析方法将部分敌手信息量化为元件可探测的实际探测概率和延迟时间数值，用排列组合方法，列出敌手通过设施元件到达保护对象的所有可能路径，计算出薄弱路径的截住概率，作为实物保护系统对付外部入侵的有效性度量。同时，根据设施空间布局，建立设施三维模型，搭载设施结构化信息，根据现实情况与实物保护设备建立入侵路径耦合关系，呈现入侵路径动态展示功能，如图6 所示。

图6 三维建模图Fig.6 3D modeling diagram

2.5 算法总结

上述已有的有效性分析方法各有优劣，本文在工程应用领域进行总结，如表1 所示。

表1 实物保护系统有效性分析方法Table 1 Method for vulnerability analysis of physical protection systems

3 面向工程应用的有效性分析方法研究

本节在面向工程应用方面提出实物保护系统有效性分析方法的研究方向与思路：

（1）在基于二维地图的实物保护系统有效性分析方法中，代价函数与启发式函数中只包含实物保护系统中探测设备的探测概率，延迟设施的延迟时间并未直接参与算法的运算与迭代，算法迭代过程中没有延迟设施信息可能导致分析结果不准确。因此，可以在HPEP 算法基础上加入延迟信息θ（t），组合为θα（t）［1-P（Dn）］β，通过α与β调整延迟时间与探测概率在分析过程中所占比重。

（2）在工程应用中，随着科学的发展与技术的进步，核设施面临多维度、多空间（空中、水下、网络空间等）的新威胁。在新形式、新威胁的环境下，二维地图无法满足新形势下威胁手段的有效性分析。因此，有必要展开基于三维空间与数据库的有效性分析与仿真模拟。

（3）在工程应用中，实物保护系统的有效性分析可在设计阶段进行评估，评估主要是针对实物保护系统设计中的薄弱路径与薄弱环节进行分析，从而提高设计的安全性、合理性。因此，有必要研究将CAD 绘制的dwg 格式图纸转化为三维模型和数据库的算法与软件系统。

4 结论

本文对实物保护系统有效性分析算法与模型展开对比分析与归纳总结。最后提出一种面向工程应用（目标特征属性、厂址周边环境、人员属性、系统设备及管理程序等）的实物保护系统有效性分析算法的研究方向与思路，同时为后续相关算法优化、研究提供参考与借鉴，提高实物保护系统有效性分析的科学性、合理性。