馬 亮，王子軒，苑晨亮，張曉叢，王美璇

（1. 中核第四研究設(shè)計(jì)工程有限公司，石家莊 050000；2. 河北省核安保技術(shù)創(chuàng)新中心，石家莊 050000）

近年來，國內(nèi)外安全形勢日益復(fù)雜，核設(shè)施與核材料面臨的安全情況和問題日趨嚴(yán)峻。核安全作為總體國家安全觀的要素之一，不僅事關(guān)核工業(yè)發(fā)展命脈，也是國家安全發(fā)展的重要著力點(diǎn)。為此，需要對核材料和核設(shè)施的安保問題給予高度關(guān)注，建立有效的實(shí)物保護(hù)系統(tǒng)有效性分析體系和方法，提高核安保水平、確保國家安全［1，2］。

核安保是核安全的重要組成部分，是指預(yù)防、探知和應(yīng)對涉及核材料、其他放射性物質(zhì)、相關(guān)設(shè)施和相關(guān)活動的擅自接觸、未經(jīng)授權(quán)的轉(zhuǎn)移、盜竊、蓄意破壞或其他惡意行為［3］。實(shí)物保護(hù)系統(tǒng)作為核設(shè)施的第一道安全屏障，對于保障核設(shè)施、核材料是否在安全受控狀態(tài)下運(yùn)行至關(guān)重要。本文主要針對實(shí)物保護(hù)系統(tǒng)展開研究。

實(shí)物保護(hù)系統(tǒng)是指利用實(shí)體屏障、探測延遲技術(shù)及人員的響應(yīng)能力，阻止盜竊、搶劫或非法轉(zhuǎn)移核材料以及破壞核設(shè)施行為的安全防御系統(tǒng)［4］。主要包含探測、延遲和響應(yīng)三個(gè)主要功能［5］：

（1）探測主要用于發(fā)現(xiàn)敵手的入侵行為，是實(shí)物保護(hù)系統(tǒng)的第一道防線，探測失敗將導(dǎo)致防護(hù)設(shè)施的延遲與響應(yīng)功能衰退甚至無效。

（2）延遲是利用墻體、門鎖、柵欄等延遲設(shè)備阻止或延緩敵手的入侵。在探測設(shè)備監(jiān)測到入侵后，延遲設(shè)備延緩敵手的時(shí)間越長，越有利于響應(yīng)力量中斷入侵。

（3）響應(yīng)是指接收到探測到敵手的報(bào)警信號后，響應(yīng)力量出發(fā)對敵手進(jìn)行中斷和壓制的行動。制定完善有效的防御策略是提高響應(yīng)能力的有效措施。

實(shí)物保護(hù)系統(tǒng)的有效性分析是實(shí)物保護(hù)中的一個(gè)重要環(huán)節(jié)。實(shí)物保護(hù)有效性分析是應(yīng)用定量或定性的分析技術(shù)使實(shí)物保護(hù)系統(tǒng)達(dá)到有效水平的結(jié)構(gòu)化系統(tǒng)過程。因此，有必要展開實(shí)物保護(hù)系統(tǒng)有效性分析的研究，提高實(shí)物保護(hù)系統(tǒng)的可用性、可靠性、有效性。

1 國內(nèi)外研究現(xiàn)狀

為評估實(shí)物保護(hù)系統(tǒng)的防護(hù)效果，國內(nèi)外學(xué)者與專家對實(shí)物保護(hù)系統(tǒng)有效性分析展開研究。20 世紀(jì)70 年代，美國桑迪亞國家實(shí)驗(yàn)室提出EASI（Estimation of Adversary Sequence Interruption，EASI）方法［6］，該方法借助探測、延遲和響應(yīng)的實(shí)物保護(hù)系統(tǒng)基本功能計(jì)算特定路徑的中斷敵手概率。1980 年，美國桑迪亞國家實(shí)驗(yàn)室提出入侵薄弱路徑系統(tǒng)性分析方法（Systematic Analysis of Vulnerability to Intrusion，SAVI）［7］，該方法使用入侵序列圖（Adversary Sequence Diagram，ASD）將敵手可能的入侵路徑圖形化。在此基礎(chǔ)上，美國能源部1990 年提出ASSESS（Analytic System and Software for Evaluating Safeguards and Security，ASSESS）分析系統(tǒng)，該系統(tǒng)將內(nèi)部威脅考慮到分析中。1990 年，日利納大學(xué)提出SATANO 軟件，該方法可基于不同的設(shè)計(jì)基準(zhǔn)威脅對實(shí)物保護(hù)系統(tǒng)有效性展開分析。2008 年，韓國核不擴(kuò)散與控制研究所提出一種基于二維模型計(jì)算和評估實(shí)物保護(hù)系統(tǒng)有效性方法（Systematic Analysis of Physical Protection Effectiveness，SAPE），該方法可圖形化展示敵手入侵路徑。2008 年，俄羅斯ISTA 公司研發(fā)用于實(shí)物保護(hù)系統(tǒng)有效性分析軟件SPURT，該軟件可對探測設(shè)備的探測范圍進(jìn)行仿真，從而找出檢測盲區(qū)。2017 年，哈爾濱工程大學(xué)提出了基于蟻群算法的啟發(fā)式有效性評估方法（HAPPS）［8］，該方法參考螞蟻覓食的仿生行為，在二維地圖中尋找實(shí)物保護(hù)系統(tǒng)的脆弱入侵與逃跑路徑。2018 年，哈爾濱工程大學(xué)提出了基于啟發(fā)式A*算法的實(shí)物保護(hù)系統(tǒng)有效性分析方法（HPEP）［9］，該方法基于二維模型對實(shí)物保護(hù)系統(tǒng)進(jìn)行有效性分析，并且在分析中考慮了探測設(shè)備的探測范圍。2021 年，河北省核安保技術(shù)創(chuàng)新中心提出了實(shí)物保護(hù)系統(tǒng)設(shè)計(jì)薄弱性分析與評價(jià)系統(tǒng)及實(shí)物保護(hù)設(shè)計(jì)基準(zhǔn)威脅分析與評價(jià)系統(tǒng)，該系統(tǒng)可實(shí)現(xiàn)薄弱性分析、設(shè)計(jì)基準(zhǔn)威脅分析、三維地圖仿真等功能，填補(bǔ)了國內(nèi)相關(guān)領(lǐng)域空白。

本文對實(shí)物保護(hù)系統(tǒng)有效性分析軟件與算法進(jìn)行總結(jié)歸納，客觀分析其優(yōu)缺點(diǎn)，最后提出面向工程應(yīng)用的實(shí)物保護(hù)系統(tǒng)有效性分析算法的研究方向與思路，為后續(xù)相關(guān)算法優(yōu)化、研究提供參考。

2 實(shí)物保護(hù)系統(tǒng)有效性分析軟件及算法

本節(jié)對常用且具有代表性的實(shí)物保護(hù)系統(tǒng)有效性分析軟件與算法進(jìn)行總結(jié)分析，包括EASI 模型、SAVI 模型、HPEP 算法（基于A*算法的啟發(fā)式有效性評估）和河北省核安保技術(shù)創(chuàng)新中心-實(shí)物保護(hù)系統(tǒng)設(shè)計(jì)薄弱性分析與評價(jià)系統(tǒng)。

2.1 基于EASI 模型的有效性分析方法

EASI 模型是20 世紀(jì)70 年代由美國桑迪亞國家實(shí)驗(yàn)室提出的。該方法用一維地圖模型描述實(shí)物保護(hù)系統(tǒng)，在此基礎(chǔ)上評估特定威脅下單一路徑的實(shí)物保護(hù)系統(tǒng)有效性。該方法能夠根據(jù)檢測、延遲、響應(yīng)和通信特征確定攔截成功的概率。其中，探測概率使用點(diǎn)估計(jì)方法，包括開始穿越障礙物的檢測概率、穿越障礙物中檢測概率和穿越障礙物后的檢測概率。保護(hù)元件延遲時(shí)間和響應(yīng)力量的響應(yīng)時(shí)間服從正態(tài)分布。在通信中考慮通信成功概率。

在基于EASI 模型的有效性分析中，響應(yīng)力量成功中斷敵手入侵必須滿足：

其中，TR為從探測到敵手開始計(jì)算到敵手實(shí)現(xiàn)入侵目標(biāo)的剩余路徑延遲時(shí)間；RFT為響應(yīng)力量的響應(yīng)時(shí)間，入侵路徑示意圖如圖1所示。

圖1 入侵路徑示意圖Fig.1 Intrusion path diagram

圖1 中，p1、p2、p3、p4、p5、p6為探測點(diǎn)；t1、t2、t3、t4、t5、t6為各部分的延遲時(shí)間。假設(shè)剩余路徑延遲時(shí)間TR和響應(yīng)時(shí)間RFT均服從正態(tài)分布，則X的均值和方差如下：

在敵手入侵路線上某一點(diǎn)i檢測到敵手入侵事件Ai的情況下，響應(yīng)力量可以在敵手突破防線前進(jìn)行防御的概率為：

因此，在敵手入侵路徑上的攔截概率之和為

故，在EASI 模型下攔截并戰(zhàn)勝概率PE為：

其中，PN為戰(zhàn)勝對手的可能性，即反應(yīng)部隊(duì)比敵手強(qiáng)，能夠抓捕、消滅或迫使敵手逃跑的概率。

EASI 模型方法的優(yōu)點(diǎn)如下：能夠簡單易行地對指定威脅下的單條路徑進(jìn)行有效性計(jì)算，模型考慮越全面，計(jì)算結(jié)果越符合實(shí)際情況。

EASI 模型方法的缺點(diǎn)如下：

（1） EASI 模型無法判斷最脆弱的路徑，依賴人為輸入攻擊方式與攻擊路徑，但隨著核設(shè)施復(fù)雜度的提高，很難人為選出最薄弱的路徑。

（2） EASI 模型假設(shè)最小剩余時(shí)間和響應(yīng)時(shí)間符合正態(tài)分布，但缺乏實(shí)際工程應(yīng)用中的數(shù)據(jù)支撐。

2.2 基于SAVI 的有效性分析方法

SAVI 方法是1980 年由美國桑迪亞國家實(shí)驗(yàn)室提出的。該方法同樣使用一維地圖模型描述實(shí)物保護(hù)系統(tǒng)，與EASI 方法不同的是，SAVI 方法使用敵對序列圖（Adversary Sequence Diagram，ASD）分析所有路徑并識別出最脆弱的路徑集合，如圖2 所示。

圖2 敵對序列圖Fig.2 Adversary sequence diagram

該方法包含兩個(gè)模塊：

（1）防護(hù)設(shè)施——搭建核設(shè)施、核材料的防護(hù)設(shè)施及其組件。在防護(hù)設(shè)施模塊中，可修改設(shè)施運(yùn)行狀態(tài)、響應(yīng)力量的響應(yīng)時(shí)間、延遲設(shè)備的延遲時(shí)間、探測設(shè)備的探測概率、區(qū)域間的最小距離等因素。

（2）外部入侵者——計(jì)算分析中斷外部入侵的可能性，并找到最脆弱的路徑集合。在外部入侵者模塊中，可修改設(shè)計(jì)基準(zhǔn)威脅，如敵手?jǐn)?shù)量、武器裝備、戰(zhàn)術(shù)等因素。

基于敵對序列圖，SAVI 方法提出了臨界探測點(diǎn)（Critical Detection Point，CDP）的思想，將剩余路徑延遲時(shí)間與響應(yīng)力量平均響應(yīng)時(shí)間相同的前一個(gè)探測點(diǎn)視為臨界探測點(diǎn)，入侵路徑示意圖如圖3 所示。

圖3 入侵路徑示意（臨界探測點(diǎn)）圖Fig.3 CDP-based Intrusion path diagram

在敵手突破臨界探測點(diǎn)之前被檢測到，響應(yīng)力量可以有足夠的時(shí)間對敵手進(jìn)行攔截。在敵手突破臨界探測點(diǎn)之前未被檢測到，響應(yīng)力量無法進(jìn)行及時(shí)有效的攔截。在這種情況下，攔截概率可簡化為臨界探測點(diǎn)前敵手被檢測到的概率，其表達(dá)式如下：

SAVI 的優(yōu)點(diǎn)如下：

（1） SAVI 方法在設(shè)置防護(hù)設(shè)施模塊與外部入侵模塊時(shí)可結(jié)合實(shí)物保護(hù)系統(tǒng)的具體特點(diǎn)，可針對不同的設(shè)施進(jìn)行配置分析。

（2） SAVI 方法在設(shè)置好防護(hù)設(shè)施模塊和外部入侵者模塊后，可自主分析出最脆弱的路徑集合，不需要人為選擇路徑。

SAVI 的缺點(diǎn)如下：

（1） SAVI 方法在分析過程中使用了保護(hù)層之間的最小距離，分析過于保守導(dǎo)致評價(jià)結(jié)果過于薄弱。

（2） SAVI 方法提出了臨界探測點(diǎn)的思想，在敵手突破臨界探測點(diǎn)后被檢測到的情況直接認(rèn)定為防御失敗，分析過于保守。

（3）在SAVI 方法的薄弱路徑分析中，使用的枚舉分析法，分析效率較低。

2.3 基于A＊算法的啟發(fā)式有效性分析方法

2018 年，哈爾濱工程大學(xué)提出了基于啟發(fā)式A*算法的實(shí)物保護(hù)系統(tǒng)有效性分析方法（HPEP），該方法基于二維地圖模型對實(shí)物保護(hù)系統(tǒng)進(jìn)行有效性分析，并且在分析中考慮了探測設(shè)備的探測范圍。

A*算法是啟發(fā)式尋徑算法。在二維地圖模型下，相對于非啟發(fā)式算法，A*算法可以提高運(yùn)算效率。當(dāng)目標(biāo)從當(dāng)前位置移動到下一個(gè)位置時(shí)，A*算法可以依據(jù)離開的位置和到達(dá)的位置計(jì)算出大致的路徑，然后細(xì)化每個(gè)區(qū)域的粗略路徑。與其他尋徑算法相比，A*算法在尋找最短路徑方面具有較高的搜索效率路徑。A*算法最短路徑選取算法如下：

其中，n 是路徑上的最后一個(gè)節(jié)點(diǎn)；G（n）為從起始節(jié)點(diǎn)到n 節(jié)點(diǎn)的路徑代價(jià)函數(shù)（已知函數(shù)，為廣度優(yōu)先搜索）；H（n）是啟發(fā)式函數(shù)，它估計(jì)從n 節(jié)點(diǎn)到目標(biāo)節(jié)點(diǎn)最小代價(jià)的路徑（未知函數(shù)，為深度優(yōu)先搜索）。啟發(fā)式函數(shù)H（n）越準(zhǔn)確，算法找到實(shí)際最短路徑的速度越快。

基于A*算法，將探測概率作為啟發(fā)式信息，對A*算法進(jìn)行了改進(jìn)，用于對手入侵路徑的評估。在搜索過程中，可以控制A*算法來估計(jì)最佳路徑，而不是盲目地搜索路徑。如果存在G（n）＜G*（n）［（G*（n）是A* 算法對G（n）的最小估計(jì)值］，且H（n）＜H*（n）［（H*（n）是A*算法對H（n）的最小估計(jì)值，依賴于啟發(fā)式信息，稱為評價(jià)函數(shù)］，當(dāng)F（n）值最小時(shí)，A*算法會找到一條最佳（脆弱）路徑。假設(shè)入侵事件失敗的判據(jù)是被檢測到的對手，則算法如下：

其中，P（D）G表示G（n），P（D）H表示H（n）。

將P（D）G視為A*算法的代價(jià)函數(shù)。G（n）是一個(gè)常數(shù)值，用于實(shí)時(shí)計(jì)算從起始節(jié)點(diǎn)到節(jié)點(diǎn)n 的檢測概率。n 為對手入侵的當(dāng)前節(jié)點(diǎn)，t 為目標(biāo)節(jié)點(diǎn)。I 是被入侵的中間節(jié)點(diǎn)之一，實(shí)時(shí)代表對手的入侵行為。h（p）為評價(jià)H（n）的影響因子。如果所有網(wǎng)格h（p） = 0，則A*等價(jià)于Dijkstra 算法，降低了搜索效率。這里對Manhattan Distance 進(jìn)行類比分析，即（nx，ny）與（tx，ty）在笛卡爾坐標(biāo)下的距離為|nx-tx| + |ny-ty|，h（p）為嚴(yán)格按照水平和垂直路徑在網(wǎng)格中兩點(diǎn)之間的探測概率。h（p）X→Y表示為X→Y的探測概率，表達(dá)式如下：

算法流程如圖4 所示。

圖4 HPEP 算法流程Fig.4 HPEP algorithm flowchart

該方法的優(yōu)點(diǎn)如下：

（1）模型將二維地圖劃分為網(wǎng)格，二維地圖中包含的信息多于一維地圖。

（2）引入了啟發(fā)式算法，避免了盲目搜索，提高了薄弱路徑搜索效率。

該方法的缺點(diǎn)如下：

（1）算法的代價(jià)函數(shù)和啟發(fā)式函數(shù)中只考慮了探測概率，未考慮設(shè)備延遲信息。

（2）啟發(fā)式算法雖提高了搜索效率，但不是全圖搜索，可能導(dǎo)致局部最優(yōu)解。

2.4 河北省核安保技術(shù)創(chuàng)新中心-實(shí)物保護(hù)系統(tǒng)設(shè)計(jì)薄弱性分析與評價(jià)系統(tǒng)

2021 年，河北省核安保技術(shù)創(chuàng)新中心通過對國內(nèi)外實(shí)物保護(hù)系統(tǒng)薄弱性分析方法的分析與研究，結(jié)合我國現(xiàn)有核材料和核設(shè)施實(shí)物保護(hù)系統(tǒng)的運(yùn)行現(xiàn)狀，基于核設(shè)施實(shí)物保護(hù)能力驗(yàn)證評價(jià)體系，提出國內(nèi)適用的實(shí)物保護(hù)系統(tǒng)薄弱性分析方法與流程邏輯，建立基于核設(shè)施模型的入侵路徑動態(tài)分析結(jié)構(gòu)化系統(tǒng)，研究延遲設(shè)備延遲時(shí)間推算方法及測試方法，構(gòu)建延遲設(shè)備數(shù)據(jù)庫，形成一套科學(xué)完善、邏輯自洽、實(shí)用性強(qiáng)、泛用性廣的薄弱性分析工具，為開展實(shí)物保護(hù)系統(tǒng)設(shè)計(jì)、建設(shè)、維護(hù)及升級改造相關(guān)任務(wù)打下堅(jiān)實(shí)基礎(chǔ)。該系統(tǒng)已在多個(gè)核設(shè)施、軍工設(shè)施應(yīng)用，產(chǎn)生直接經(jīng)濟(jì)效益約2200 萬元。

設(shè)施描述模型作為基礎(chǔ)模塊，用于描述實(shí)物保護(hù)系統(tǒng)的相關(guān)設(shè)施環(huán)境信息。采用敵手序列圖（ASD）理論將設(shè)施分成多個(gè)相鄰的保護(hù)區(qū)域，區(qū)域之間通過保護(hù)層連接。保護(hù)層由一個(gè)或多個(gè)路徑元件組成。從一個(gè)區(qū)域到達(dá)另一個(gè)區(qū)域必須通過路徑元件，路徑元件具有探測和/或延遲的功能，元件屬性包括距離/尺寸、出入控制、入侵探測、通過延遲和警衛(wèi)檢查等類別，如圖5 所示。

圖5 敵對序列圖Fig.5 Adversary sequence diagram

外部入侵模型在設(shè)施描述模型的基礎(chǔ)上，利用系統(tǒng)薄弱性分析方法將部分?jǐn)呈中畔⒘炕癁樵商綔y的實(shí)際探測概率和延遲時(shí)間數(shù)值，用排列組合方法，列出敵手通過設(shè)施元件到達(dá)保護(hù)對象的所有可能路徑，計(jì)算出薄弱路徑的截住概率，作為實(shí)物保護(hù)系統(tǒng)對付外部入侵的有效性度量。同時(shí)，根據(jù)設(shè)施空間布局，建立設(shè)施三維模型，搭載設(shè)施結(jié)構(gòu)化信息，根據(jù)現(xiàn)實(shí)情況與實(shí)物保護(hù)設(shè)備建立入侵路徑耦合關(guān)系，呈現(xiàn)入侵路徑動態(tài)展示功能，如圖6 所示。

圖6 三維建模圖Fig.6 3D modeling diagram

2.5 算法總結(jié)

上述已有的有效性分析方法各有優(yōu)劣，本文在工程應(yīng)用領(lǐng)域進(jìn)行總結(jié)，如表1 所示。

表1 實(shí)物保護(hù)系統(tǒng)有效性分析方法Table 1 Method for vulnerability analysis of physical protection systems

3 面向工程應(yīng)用的有效性分析方法研究

本節(jié)在面向工程應(yīng)用方面提出實(shí)物保護(hù)系統(tǒng)有效性分析方法的研究方向與思路：

（1）在基于二維地圖的實(shí)物保護(hù)系統(tǒng)有效性分析方法中，代價(jià)函數(shù)與啟發(fā)式函數(shù)中只包含實(shí)物保護(hù)系統(tǒng)中探測設(shè)備的探測概率，延遲設(shè)施的延遲時(shí)間并未直接參與算法的運(yùn)算與迭代，算法迭代過程中沒有延遲設(shè)施信息可能導(dǎo)致分析結(jié)果不準(zhǔn)確。因此，可以在HPEP 算法基礎(chǔ)上加入延遲信息θ（t），組合為θα（t）［1-P（Dn）］β，通過α與β調(diào)整延遲時(shí)間與探測概率在分析過程中所占比重。

（2）在工程應(yīng)用中，隨著科學(xué)的發(fā)展與技術(shù)的進(jìn)步，核設(shè)施面臨多維度、多空間（空中、水下、網(wǎng)絡(luò)空間等）的新威脅。在新形式、新威脅的環(huán)境下，二維地圖無法滿足新形勢下威脅手段的有效性分析。因此，有必要展開基于三維空間與數(shù)據(jù)庫的有效性分析與仿真模擬。

（3）在工程應(yīng)用中，實(shí)物保護(hù)系統(tǒng)的有效性分析可在設(shè)計(jì)階段進(jìn)行評估，評估主要是針對實(shí)物保護(hù)系統(tǒng)設(shè)計(jì)中的薄弱路徑與薄弱環(huán)節(jié)進(jìn)行分析，從而提高設(shè)計(jì)的安全性、合理性。因此，有必要研究將CAD 繪制的dwg 格式圖紙轉(zhuǎn)化為三維模型和數(shù)據(jù)庫的算法與軟件系統(tǒng)。

4 結(jié)論

本文對實(shí)物保護(hù)系統(tǒng)有效性分析算法與模型展開對比分析與歸納總結(jié)。最后提出一種面向工程應(yīng)用（目標(biāo)特征屬性、廠址周邊環(huán)境、人員屬性、系統(tǒng)設(shè)備及管理程序等）的實(shí)物保護(hù)系統(tǒng)有效性分析算法的研究方向與思路，同時(shí)為后續(xù)相關(guān)算法優(yōu)化、研究提供參考與借鑒，提高實(shí)物保護(hù)系統(tǒng)有效性分析的科學(xué)性、合理性。