Содержание к диссертации
Введение
2. Концепции применения ВЭСС и требования к модели ВЭСС 16
2.1. Отказ элементов СТС 16
2.2. Надежность персонала 17
2.3. Экспертно - советующая система 19
2.4. Базы знаний и способы их представления 21
2.4.1. Продукционная модель 21
2.4.2. Фреймы 22
2.4.3. Семантические сети 24
2.5. Возможность применения ЭСС 25
3. Структура базы знаний 29
3.1. Логика формирования базы знаний 29
3.2. Понятие реляционной и многомерной модели данных 31
3.3. База знаний ВЭСС 33
3.3.1. Связь между объектами внутри РТ МаіпКВ 36
3.3.2. Связь между объектами внутри остальных РТ 40
3.3.3. Создание нового описания события 41
3.3.4. Коррекция и удаление 41
3.3.5. Логика обработки и работы со знаниями 43
4. Программная часть проекта на Transact SQL и Visual Basic 46
5. Математический аппарат ВЭСС 48
5.1. Метод квантильных оценок 53
5.2. Вероятностная оценка итогового события 68
5.2.1. Определение вероятностных параметров начальных событий 69
5.2.2. Определение дисперсии итогового события 71
5.2.3. Определение доверительного интервала итогового события 74
5.2.4. Алгоритм вычисления итоговой вероятности события 75
5.3. Обратные связи между событиями и работа с кольцевыми структурами 76
5.4. Составление временных зависимостей и определение поведения итогового события во времени 77
6. Функциональные возможности ВЭСС 91
7. Проведение тестирования ВЭСС 93
7.1. Системы учета и контроля ядерных материалов 94
7.1.1. Требования, возлагаемые на СУиК 96
7.1.2. Недостатки СУиК 97
7.2. Методика оценки эффективности и надежности функционирования СУиК 100
8. Заключение 108
Список литературы 115
Приложение 1 123
Приложение 2 159
Приложение 3 161
Приложение 4 170
- Возможность применения ЭСС
- Связь между объектами внутри остальных РТ
- Определение вероятностных параметров начальных событий
- Системы учета и контроля ядерных материалов
Введение к работе
В связи с возможными катастрофическими последствиями отказов и происшествий в работе сложных технических систем (СТС), проблема оценки их эффективности и надежности функционирования как на стадии проектирования и выбора основных технических решений, так и в период эксплуатации, является одной из приоритетных при исследовании проблем обеспечения безопасности населения и окружающей среды. Для решения данной проблемы необходимо рассмотреть особенности СТС и требования, выдвигаемые по отношению к методике проведения оценок эффективности и надежности функционирования СТС.
Сложная техническая система - человеко-машинная система разрабатывается на основании только присущих ей индивидуальных особенностей, которые зависят от типа объекта, будущего местоположения системы, от внешних условий эксплуатации (в первую очередь от сейсмологической ситуации в районе расположения объекта, климатических условий и социальных факторов). Индивидуальные особенности СТС напрямую влияют на дальнейшие функционирование системы, а также на надежность элементов системы. Даже для двух «одинаково» спроектированных человеко-машинных систем, эффективность и надежность функционирования будут различны. Это зависит от персонала, который будет обслуживать систему, от качества установки системы на объект, от внешних условий эксплуатации и от многих других причин, выявление которых на этапе проектирования и установки системы на объекте затруднительно (сюда входит и так называемый отказ по общей причине).
СТС изначально проектируют высоконадежной, и, следовательно, статистика по фактическим отказам чрезвычайно мала, а иногда полностью отсутствует. Прогноз поведения системы при нестандартных ситуациях затруднен, т.к. за все время эксплуатации СТС рассматриваемые ситуации могут иметь место ограниченное количество раз, или, как правило, вообще не происходят. Поэтому прогноз поведения системы в нестандартных ситуациях строится чаще на субъективных оценках экспертов1. Работа с субъективными оценками экспертов подразумевает только интервальные оценки.
Использование субъективных оценок при недостатке исходной информации не является новым [1]. Введем для событий с ограниченными статистическими данными понятие редкие события [2]. Все события, рассмотренные выше, являются редкими событиями .
Особенностью создаваемых СТС, как человеко-машинных систем, является отсутствие либо ограниченность опыта эксплуатации таких систем, либо их аналогов, отсутствие либо ограниченность статистических данных по надежности новых элементов таких систем в реальных условиях эксплуатации и неизбежных неопределенностях в оценках поведения таких систем при возникновении редких проектных и т.н. «запроектных» ситуаций, связанных с отказами оборудования, ошибками персонала, различными внешними воздействиями, обусловленными неполнотой знаний о реальных условиях эксплуатации СТС.
Целью оценки эффективности и надежности функционирования является анализ проектируемых либо созданных СТС для выявления наиболее уязвимых мест в оборудовании и режимах функционирования СТС, и оценки эффективности СТС в сравнении с установленными критериями, если они есть.
При проведении оценки эффективности, СТС рассматривается как система, содержащая некоторое количество принципиальных элементов (подсистем), взаимодействующих друг с другом. При проведении оценки эффективности выявляются наиболее уязвимые места СТС. Следовательно, критерий эффективности можно рассматривать как критерий безопасности.
Проблема анализа в условиях больших неопределенностей в частотах исходных событий решается с помощью программного пакета «Вероятностная экспертно советующая система» (ВЭСС) [3,4,5], созданного для задачи оценки эффективности и надежности работоспособности СТС. ВЭСС использует специальную статистическую методологию в соответствии с принципом так называемых «скудных знаний». В основу методологии положен метод квантильных оценок неопределенностей в анализе частот, процессов развития и последствий редких и маловероятных событий, метод построения и анализа структур событий и отказов, имеющих как иерархическую, так и сетевую организацию, в т.ч. деревьев событий и отказов, позволяющих описать логику отказа и успеха в функционировании системы в виде булевых алгебраических уравнений, и метод интервальной оценки событий во времени.
В ходе разработки ВЭСС, был рассмотрен Российский и международный опыт применения экспертных систем (ЭС) в ядерном производстве и в области определения надежности элементов ядерных объектов (ЯО), как наиболее совпадающих по требованиям безопасности, надежности и важности.
Широкое применение ЭС нашли на АЭС. Существуют четыре основных направления применения ЭС на АЭС:
• Организация работ по загрузке топлива и формированию активной зоны.
• Управление безопасностью при эксплуатации.
• Конструирование и анализ компонентов.
• Организация производства и контроль качества.
Наиболее важное направление - это обеспечение безопасности и надежности функционирования. Это направление нашло широкое применение, как за рубежом, так и в России, и стало надежным и удобным средством анализа и управления безопасностью АЭС. Ниже приведен обзор нескольких систем и методологий проведения анализа безопасности и надежности, реализованных на принципах использования математического аппарата теории вероятности:
1. RiskSpectrum - широко распространенная компьютерная система для проведения вероятностного анализа безопасности (ВАБ) АЭС, построенная на основе методов построения деревьев отказов и деревьев событий (http://www.reskspectrum.com).
2. Для решения задач вероятностного анализа безопасности и оценки риска в атомной энергетике в институте проблем безопасного развития атомной энергетики разработаны вероятностные методы анализа последствий аварийных ситуаций, реализованных в виде компьютерных программ (http://www.ibrae.ac.ru/russiarj/dir.html). Методы предназначены для решения задач вероятностной оценки аварийных ситуаций, оценки надежности систем, оценки значимости и чувствительности исходных данных, оценки неопределенности используемых данных и моделей [6,7].
3. Программные средства анализа сложных объектов и процессов на основе информационной технологии автоматизированного логико-вероятностного моделирования [8,9,10], суть которой - составление деревьев событий и работа с точечными значениями вероятностей.
4. Среди Российских разработок можно отметить систему вероятностного анализа безопасности атомных станций, разработанную в Российском научном центре «Курчатовский институт» (РНЦ КИ) [11].
В РНЦ КИ был разработан метод анализа вероятностных характеристик проектной и оперативной безопасности АЭС на основе формального представления вероятностной модели технологической схемы АЭС в виде многокомпонентных систем и элементов, имеющих развитые связи, в том числе, кольцевого типа, рассматриваемых в качестве абстрактных автоматов типа «вход - выход». При отсутствии в исследуемых вероятностных моделях связей событий типа кольцевых, эта методика допускает интерпретацию в терминах традиционной методики деревьев отказов. Разработанная методика позволяет явно учитывать неопределенности в вероятностных характеристиках событий отказа, и позволяет рассчитывать характеристики риска, определяющие безопасность.
Опыт, полученный в ходе этой разработки, был успешно применен при создании пакета ВЭСС для оценки эффективности и надежности функционирования СТС.
Резюмируя все вышесказанное, можно сделать вывод, что методика оценки эффективности и надежности функционирования СТС, и соответствующий программный пакет необходимы для оценки надежности и определения степени безопасности работы на объектах, оборудованных СТС. На основании оценки эффективности и надежности функционирования можно сделать вывод о соответствии или несоответствии СТС требованиям к безопасности и надежности, а также о степени выполнения СТС своих функциональных задач. Таким образом, выбранная тема диссертации обладает актуальностью и имеет практическую ценность.
Автор выносит на защиту следующие положения:
1. Математический аппарат вероятностной оценки эффективности и работоспособности сложных человеко-машинных систем. В основу математического аппарата положен метод квантильных оценок неопределенностей в анализе частот, процессов развития и последствий редких и маловероятных событий, метод построения и анализа структур событий и отказов, имеющих как иерархическую, так и сетевую организацию, в т.ч. деревьев событий и отказов, позволяющий описать логику отказа и успеха в функционировании системы в виде булевых алгебраических уравнений, и метод интервальной оценки событий во времени.
Математический аппарат обеспечивает работу с вероятностными и временными характеристиками начальных событий, представленными в виде интервальных значений и позволяет выявлять наиболее уязвимые места в оборудовании и режимах функционирования СТС. Математический аппарат также позволяет прогнозировать развитие ситуации во времени (интервальное оценивание). В доступной литературе не удалось найти описания математического аппарата, подобного этому.
2. Программный пакет ВЭСС, реализующий разработанные алгоритмы обработки знаний, логику ведения Базы знаний и логику оценки ситуации на объекте, выполненный на Transact SQL (серверная часть) и Visual Basic (клиентская часть). ВЭСС прошла тестирование на действующей СУиК Центрального Хранилища РНЦ КИ, в ходе выполнения совместных работ с Брукхенвеской Национальной Лабораторией США. Пакет ВЭСС также был использован при составлении долгосрочного прогноза о возможных путях нарушения режима нераспространения ядерного оружия.
3. Методику выполнения оценки эффективности и работоспособности СУиК как СТС.
Данная диссертационная работа состоит из введения, шести разделов и заключения. В разделе «Введение» обоснована актуальность и необходимость выбранной темы, сформулировано направление данной работы, приведены основные положения, выносимые на защиту.
В первом разделе приводятся концепции применения ВЭСС и требования, которые необходимо учитывать при создании ВЭСС. В этом разделе приводятся некоторые понятия теории надежности, определяются типы отказов, которые будут рассмотрены при анализе СТС, и рассматривается влияние человеческого фактора. Приведен обзор ЭС по видам, по возможностям, и по форме построения.
В этой главе сформулированы направления использования ЭС для оценки СТС, а также единые требования к программному пакету ВЭСС, включая:
1. Возможность по определенному набору исходных событий определить последствия этих событий. 2. Возможность по набору исходных событий, характерных для определенной ситуации (отказ, катастрофа), оценить вероятность возникновения этой ситуации.
3. Способность системы самообучаться через общение с пользователем.
4. Отслеживание аномальных событий. Статистический анализ.
5. Анализ развития ситуации на объекте в зависимости от времени.
В начале второго раздела вводится терминология, используемая при последующем описании ВЭСС. Оперируя введенными понятиями, строится логика формирования базы знаний на основе метода построения деревьев событий и деревьев отказов. Знания экспертов, формализованные в соответствии с этой логикой, записывают в базу знаний ВЭСС.
База знаний ВЭСС представляет собой набор связанных между собой реляционных таблиц, образуя иерархическую структуру, в основе которой лежит многомерная модель представления данных.
Далее перечислены операции обработки знаний, возможные связи между объектами БЗ и логика выполнения оценки ситуации на объекте.
Третий раздел содержит информацию по программной части проекта. Программная часть ВЭСС реализована в архитектуре Клиент - Сервер. Язык программирования для клиентской части - Visual Basic, для серверной части - Transact SQL.
Четвертый раздел посвящен описанию математического аппарата ВЭСС. В основе математического аппарата ВЭСС лежит метод квантильных оценок редких событий, который был выбран на основании результата сравнения метода квантильных оценок с методом Монте-Карло, байесовскими методами оценивания, методологией на основе интервальных статистических моделей и методологией на основе теории нечетких множеств и теории возможностей. В результате сравнения был сделан вывод о том, что метод квантильных оценок наиболее соответствует принципам работы с редкими событиями. Этот раздел содержит описание этого метода. Следует отметить вывод, который приводится в этом разделе, о том, что все сложные по своей природе события, рассматриваются как композиция простых событий и являются высокоэнтропийными с коэффициентом энтропии Кэ 1,73. Данный вывод еще раз подтверждает возможность применения метода квантильных оценок к сложным человеко-машинным системам.
Также, в этом разделе приведены концепции вероятностной оценки редких событий во времени и пример, который наглядно показывает неоднозначность доминирования одной цепочки событий, при развитии ситуации во времени. Значения вероятностей событий и времена их реализации представлены в виде интервальных оценок. Таким образом, удалось отойти от традиционной точечной формы оценивания вероятностей событий и времени.
В пятом разделе описываются функциональные возможности ВЭСС. Возможности ВЭСС были сведены к пяти функциональным блокам:
1. Система безопасности ВЭСС.
2. Подсистема работы с БЗ.
3. Подсистема обработки событий.
4. Операции вероятностной оценки.
5. Вспомогательный блок.
Шестой раздел включает описание примеров практического применения ВЭСС для оценки СУиК, требований возлагаемых на СУиК и их недостатков, описание методики оценки эффективности, результаты тестирования ВЭСС на действующей СУиК и прогноз о возможных путях нарушения режима нераспространения ядерного оружия.
ВЭСС прошла тестирование в ходе выполнения оценки эффективности СУиК ЦХ КИ. В этом разделе представлена методика проведения оценки эффективности СУиК, даны разъяснения о способах формирования исходных данных для оценки, а также приведены результаты оценки. По результатам оценки были сделаны выводы о целесообразности использования ВЭСС в столь чувствительной области, как работа в области учета и контроля ядерных материалов.
Кроме того, в этом разделе приведен пример использования ВЭСС в другой области знания. Пакет ВЭСС был использован при составлении прогноза о возможных путях переключения ЯМ из мирной сферы применения в военную сферу, и прогноза о наиболее уязвимом типе ЯМ с точки зрения распространения ядерного оружия в будущем.
В разделе «Заключение» сформулированы основные выводы работы, и рассмотрены направления дальнейшего использования ВЭСС как в области проведения оценок эффективности и надежности функционирования СТС, так и в области прогнозирования развития ситуаций, и в качестве инструмента принятия решений.
Научная новизна работы. Впервые была разработана методика оценки эффективности и надежности функционирования модели СТС, при работе с неполной информацией об объекте, и создан программный продукт, который может выполнять вероятностные интервальные оценки событий и проводить анализ ситуации во времени. Основная цель данной методики и программного продукта - выявление наиболее уязвимых мест в человеко-машинных системах.
Разработан метод интервальной оценки событий во времени, причем интервальные значения используются не только для представления вероятностей событий, но и для описания временных характеристик процесса. Благодаря этому математическому аппарату появилась возможность анализа динамики прогноза развития ситуации.
Практическая ценность работы состоит в том, что был создан программный продукт ВЭСС и методика, применение которых позволяет выполнять оценки ситуаций при недостатке информации (появление редких событий), рассматривать развитие этих ситуаций во времени и составлять долгосрочные прогнозы. ВЭСС допускает модификацию, поэтому на базе этого пакета могут быть созданы как системы для анализа безопасности и надежности ядерных объектов, системы анализа уязвимости ядерных объектов с точки зрения кражи ЯМ, проведения диверсий и саботажа, системы поддержки принятия решений в области учета и контроля ядерных материалов, а также системы, пригодные для использования в других областях деятельности человека (например, страхование, оценка риска финансовых операций или законодательства).
При помощи программного продукта ВЭСС был проведен анализ эффективности усовершенствованных СУиК Центрального Хранилища РНЦ КИ, в ходе выполнения совместных работ с Брукхевенской Национальной Лабораторией США. Пакет ВЭСС также был использован при составлении прогноза о возможных путях переключения ЯМ из мирной сферы применения в военную сферу, и прогноза о наиболее уязвимом типе ЯМ с точки зрения распространения ядерного оружия в будущем.
Разработанные методика интервальной вероятностной оценки и программный пакет ВЭСС являются существенно новым и эффективным инструментом проведения вероятностного анализа эффективности и надежности функционирования СТС как на стадии проектирования, так и эксплуатации таких систем.
Возможность применения ЭСС
В предыдущих главах были рассмотрены особенности СТС и возможные уязвимые места в работе системы. СТС, как уже было неоднократно подчеркнуто, является сложной человеко-машинной системой, с отсутствием достаточной статистики по возможным отказам функционирования, и где не маловажную роль играет человеческий фактор. Заключение об эффективности и надежности функционирования СТС очень часто можно построить основываясь только на субъективном мнении экспертов. Поэтому выполнение оценки СТС только стандартными средствами (например, используя теорию надежности) затруднено.
Для выявления и устранения «слабых» мест СТС можно использовать экспертно - советующую систему, БЗ которой включает в себя определенный формализованный набор правил, по которому можно выявить и оценить эти недостатки.
При создании любой экспертно - советующей системы необходимо точно сформулировать область ее применения, т.к. основу экспертной системы составляет база знаний, которая в свою очередь является набором правил, сформулированных экспертом. Другими словами, экспертная система представляет собой интеграцию интеллекта эксперта с возможностями современных программных и аппаратных средств. Ниже перечислены некоторые возможные направления применения системы: 1. Создание системы, позволяющей проводить оценку СТС с целью определения лучшей. 2. Создание системы, в которую интегрирована система интерактивной подачи совета. 3. Создание системы, которая также учитывает оборудование и его отказоустойчивость. 4. Создание системы, в базу знаний которой заложены сценарии нестандартных ситуаций (аварии, отказы по общей причине, природные катастрофы, диверсии). 5. Создание системы, в которую интегрирована система обучения персонала. 6. Создание системы, способной само обучаться. 7. Создание системы для мониторинга событий на объекте (отслеживание аномальных событий). 8. Создание системы, позволяющей проводить анализ событий по принципу «Что будет ... если ...» с учетом человека и без него. 9. Создание системы, которая могла бы быть использована для подбора персонала и его оценки для конкретной деятельности. В результате рассмотрения возможных направлений использования системы, был сделан вывод о целесообразности разделения интерфейса пользователя и ядра системы, в которое входит база знаний и процедуры ее ведения, включая загрузку, обработку и обновление знаний. Ядро системы должно быть универсальным для выполнения различных задач, возложенных на ЭСС. Причем логика базы знаний и процедур ядра должна быть построена так, чтобы обеспечить универсальность этого ядра для множества различных задач. Пользовательский интерфейс может меняться в зависимости от задачи, а одна серверная часть должна поддерживать несколько клиентских, которые выбираются в зависимости от конкретных целей на текущий момент времени. Целесообразность такого разделения объясняется сложностью охвата всех направлений возможного использования ЭСС и необходимостью сделать общую оптимизацию ядра для всех конкретных случаев применения системы на объектах. Кроме того, разделением ядра и пользовательского интерфейса можно обеспечить дополнительную информационную безопасность системы. Разделение ядра системы от пользовательского интерфейса осуществляется использованием разных программных средств. Для ядра -это Transact SQL, а для программного интерфейса Visual Basic. Возможность оптимизации ядра вытекает из следующих соображений: 1. В основном, все итоговые события можно описать по логике «Если ... то» и «Что если ... то». 2. Основа ВЭСС - база знаний, которая реализована как матрица событий в виде набора строк. В каждой строке описывается одно событие. Любое событие может входить в набор событий, который определяет итоговое событие. Итоговое событие можно представить набором событий более низкого уровня иерархии, связанных между собой по логике «И» и/или «ИЛИ», и реализация которого возможна только при возникновении всех низкоуровневых событий хотя бы одной цепочки событий по логике «И» (Понятно, что события по логике «ИЛИ» дают ветвления, образуя набор цепочек по логике «И»). События, определяющие итоговое событие, связаны между собой иерархическими связями, которые при наличии обратных связей образуют сетевую модель БЗ. Каждое событие может иметь сложную иерархическую структуру в виде дерева, представляя свойства события. Свойствами событий являются вероятностные характеристики события -значения вероятности возникновения события и интервала неопределенности. Свойством события может также являться ссылка на объект или на процедуру, которая, например, вычисляет значение вероятности события. Такая структура является оптимальной для базы знаний и применима для любого вида ЭСС. Используя хранимые процедуры, написанные на Transact SQL, можно отделить базу знаний от интерфейсной оболочки. Через хранимые процедуры выполняются все стандартизованные операции ведения базы знаний (добавление нового события, описание события, выборка результата по стандартным запросам типа: Что будет если?, анализ возможности возникновения определенного события на объекте и анализ последствия определенных событий и т.д.). Теперь сформулируем единые требования к оптимизированному ядру ЭСС: 1. Возможность по определенному набору исходных событий определить последствия этих событий. 2. Возможность по набору исходных событий, характерных для определенной ситуации (отказ оборудования, катастрофа, саботаж), оценить вероятность возникновения этой ситуации. 3. Способность системы самообучаться, через общение с пользователем. Нахождение «идеального» алгоритма для заполнения базы знаний через такое общение. 4. Отслеживание аномальных событий. Статистический анализ. 5. Анализ развития ситуации на объекте в зависимости от времени. Единые требования по безопасности к ядру ЭСС представим в следующем виде: 1. Разделение полномочий пользователей в зависимости от их грифа секретности. Причем необходимо учитывать, что каждое событие по отдельности может быть не секретным, а полный набор событий уже может обладать определенным грифом секретности. 2. Пользователь должен иметь доступ только к той информации о событиях, на которую он имеет разрешение. То есть в зависимости от полномочий пользователя может появиться неполное представление знаний. Резюмируя рассуждения данного раздела, можно сказать, что ЭСС может быть использована для выявления «слабых» мест СТС. Формализация требований к ядру позволяет применять ЭСС для анализа любых сложных человеко-машинных систем. Следовательно, ЭСС может быть использована для выполнения оценки эффективности и надежности функционирования СТС.
Связь между объектами внутри остальных РТ
Пакет ВЭСС реализован в архитектуре Клиент - Сервер. Серверная часть (ядро системы) изолирована от прямого обращения клиентской части (программный интерфейс), и является независимой от клиентской части. Это достигается использованием разных языков программирования, на которых написана клиентская часть и серверная часть. Для ядра - это Transact SQL, а для программного интерфейса Visual Basic.
На серверную часть возложены все операции с БЗ, а именно процедуры загрузки, обработки и обновления данных, и операции по оценке ситуаций на ЯО и определению вероятности возникновения события. Серверная часть является универсальной для выполнения различных задач, возложенных на ВЭСС. Роль сервера выполняет Microsoft SQL Server, на основе которого построена БЗ и выполнены хранимые процедуры, отрабатывающие всю логику системы.
Клиентская часть представляет собой интерфейс пользователя, логику вызова хранимых процедур, передачу данных хранимым процедурам и сортировку данных, получаемых клиентом.
Пользовательский интерфейс может меняться в зависимости от задачи, а единая серверная часть может поддерживать несколько клиентских приложений, которые выбираются в зависимости от конкретных целей исследований. Целесообразность такого разделения объясняется разнообразием направлений возможного использования ВЭСС и необходимостью оптимизации ядра для всех конкретных случаев применения системы на объектах. Так же с помощью разделения ядра и пользовательского интерфейса решается вопрос безопасности системы.
Интерфейс пользователя является MDI приложением под Windows. MDI приложение представляет собой набор окон, открывающихся в основном окне приложения. В этом наборе окон необходимо отметить, так называемое, главное окно приложения, которое отображает структуру БЗ с помощью стандартного элемента Visual Basic Tree View. Как уже говорилось, БЗ представляет собой набор связанных векторов, образующих иерархические деревья, которые описывают определенное событие (для более точного понимания описания события в БЗ выше приведен пример). Поэтому элемент TreeView идеально подходит для наглядного отображения структуры БЗ. Хранимые процедуры, реализованные на Transact SQL, выполняют всю логику работы с БЗ. Вероятностная оценка событий на ЯО также выполняется хранимыми процедурами. Передача данных между форматами Transact SQL и Visual Basic осуществляется с помощью объектов из библиотеки Remote Data Object (RDO) при посредничестве драйверов ODBC. Такой способ обеспечивает быстрый доступ к данным и манипулирование ими. Этот способ, помимо быстроты, наиболее прост для передачи данных хранимым процедурам по параметрам. События в ВЭСС для оценки СТС рассматриваются относительно редкими событиями1. Часть информации о событиях приобретается в результате статистических испытаний. Однако, в отношении редких событий информация о них в большинстве случаях может быть получена только в результате оценок экспертов, и является, по сути, интервальной оценкой вероятности. Следовательно, можно сделать вывод, что работа с редкими событиями в виде интервальных оценок является единственно возможной, а работа с точечными оценками, которые не несут всю доступную информацию о событии, может привести к ошибочным заключениям. Конечная цель математического аппарата ВЭСС - определение вероятности возникновения итогового события и интервала неопределенности для этого события. При выборе метода работы с редкими событиями были рассмотрены следующие подходы: 1. Метод Монте-Карло. Метод Монте-Карло - это численный метод решения математических задач при помощи моделирования случайных величин [26,27,28]. 2. Байесовские методы оценивания [29,30,31]. Случайным параметрам оцениваемой системы приписывается априорное распределение. Затем результаты наблюдения и априорное распределение объединяются с помощью теоремы Байеса с целью получения апостериорного распределения параметров. Вывод об апостериорном распределении делается исходя из максимизации ожидаемой полезности, в частности минимизации потерь, связанных с применением этого правила. Интервальные статистические модели, теория нечетких множеств и теория возможностей. Общий аппарат теории интервальных статистических моделей основан на обобщенных понятиях средних и признаков. Главным шагом для построения универсальных, гибких и простых интервальных моделей является концепция продолжения первичных средних и принцип продолжения [32-34]. Теория нечетких множеств и теория возможностей позволяет формально описывать нестрогие, нечеткие понятия и обеспечивает возможность работы с процессами рассуждений, содержащими такие понятия [35-43]. Метод квантильных оценок неопределенностей в анализе частот, процессов развития и последствий редких и маловероятных событий аварий, разработанный А.Н.Румянцевым, Ю.А.Остроумовым, в РНЦ "Курчатовский институт" в 1993 г [44,45]. Этот метод будет рассмотрен более подробно ниже, т.к. он был использован в создании математического аппарата пакета вэсс.
Определение вероятностных параметров начальных событий
В практике проведения анализа редких событий, используются отвечающие принципу "скудости знаний" распределения плотности вероятностей исходных событий в виде, начиная от логарифмически нормальных (логнормальных), и кончая логарифмически равномерными (логравномерными), задаваемыми значениями математических ожиданий, иногда - медиан, и границами 90%-го доверительного интервала в виде квантилей Х95 и Хо5. Эти распределения относятся к классу высокоэнтропийных симметричных распределений с энтропийным коэффициентом Кэ 1,73 относительно логарифмов случайных параметров.
В основе аналитического метода квантильных оценок (МКО) высокоэнтропийных логарифмических распределений плотности вероятности, лежит тот факт [46,53], что для широкого класса симметричных, высокоэнтропийных распределений /(X) случайной величины X с энтропийным коэффициентом Кэ 1,7 (равномерного, треугольного, трапециидального, нормального, экспоненциальных с а 2/3 и двухмодальные с небольшой глубиной антимодальности Сд = а/а 1,5) интегральные кривые функций распределения вероятностей F(X) в области 0,05-го и 0,95-го квантилей пересекаются друг с другом в очень узком интервале значений Х-Хо/а(Х)=1,6±0,05, где Хо является центром распределения, и совпадает с его медианой и математическим ожиданием. Из этого следует, что значения 0,05-го и 0,95-го квантилей распределения, математического ожидания Хо и среднеквадратичного (стандартного) отклонения ст(Х) подчинены приближенным соотношениям:
Применяя соотношения (7) и (8) при определенных значениях СКО ст0О и медианы Ym=ln(Xm), зависящей от вида распределения /(Y), можно вычислить оценку значений границ 90%-го доверительного интервала в виде квантилей Х05 И Х95.
Определение вида распределения /(Y) в общем случае также порождает значительные трудности. Однако, МКО можно сформулировать в виде, пригодном для анализа всего класса высокоэнтропийных логарифмических распределений и без необходимости определения вида распределения /(Y) [44]. Попробуем определить правомерность применения МКО для анализа всего класса высокоэнтропийных логарифмических распределений без определения априорного вида распределения ДУ).
Для начала определим виды возможных априорных законов распределений, которые используются на практике при проведении оценок надежности, безопасности и работоспособности сложных высоконадежных человеко-машинных систем. Типичные законы распределений для одиночных элементов или событий [12,13] обычно относятся к высокоэнтропийным и попадают под граничные условия применения МКО (распределения должны быть симметричные, высокоэнтропийные, и центр распределения должен совпадать с медианой и математическим ожиданием). Следовательно, применение МКО для этих законов распределений правомерно.
Все же рассмотрим вариант, когда закон распределения случайной величины может быть низкоэнтропийным (Кэ 1,7). Например, арксинусоидальное распределение погрешности от наводки на вход прибора или линии связи синусоидального напряжения силовых цепей с частотой 50 или 400 Гц (Кэ = 1,11). Однако напряжение наводки на вход прибора или линию связи редко имеет чисто синусоидальную форму кривой. Необходимо учитывать высшие гармоники. Но уже композиция двух арксинусоидальных распределений имеет коэффициент энтропии Кэ 1,7.
В большинстве случаев ([46, стр. 86-110]), при рассмотрении итогового события как совокупности независимых простых событий, где отсутствует доминирование одного из событий, коэффициент энтропии Кэ растет.
Все сложные по своей природе события можно рассматривать как суперпозицию простых независимых событий (рост энтропии в зависимости от сложности системы очевиден, см. определение информации) и, следовательно, они в большинстве случаях являются высокоэнтропийными. Сложные человеко-машинные системы всегда представляют собой комбинаторику элементов, подсистем и т.д. и, следовательно, могут быть рассмотрены как высокоэнтропийные.
Данное предположение сделано на основании центральной предельной теоремы теории вероятности, в которой говорится, что если случайная величина X представляет собой сумму очень большого числа взаимно независимых случайных величин, влияние каждой из которых на вся сумму ничтожно мало, то X имеет распределение, близкое к нормальному. Формулировка центральной предельной теоремы, которая устанавливает условия, при которых сумма большого числа независимых слагаемых имеет распределение, близкое к нормальному приведена, например в [28], а для исходных логнормальных и логравномерных распределений в [44]. Известно [60], что при суммировании случайных величин с различными распределениями энтропийный коэффициент их композиций имеет значения, равные либо превышающие наименьшее значение энтропийного коэффициента суммируемых случайных величин, но не более Кэ = 2,066 для нормального распределения. Ограничивая класс рассматриваемых распределений (см. выше), можно сделать вывод о том, что, с увеличением количества исходных событий, значение коэффициента энтропии итогового события, по крайней мере, не уменьшается, и, как правило, растет. Проведем грубую оценку количества элементов в системе, начиная с которого ее можно рассматривать как высокоэнтропийную. В работах [48,54,56-63] рассматривается зависимость итогового энтропийного коэффициента от композиции суммируемых составляющих элементов и их энтропийных коэффициентов. Примеры рассмотренных композиций для двух событий представлены в таблице 5.
Системы учета и контроля ядерных материалов
В процессе выполнения совместных работ с Брукхевенской Национальной Лабораторией США пакет ВЭСС прошел тестирование во время проведения оценки эффективности усовершенствований системы учета и контроля (СУиК) Центрального Хранилища РНЦ КИ [69]. Пакет ВЭСС также был использован при составлении прогноза о возможных путях переключения ЯМ из мирной сферы применения в военную сферу, и прогноза о наиболее уязвимом типе ЯМ с точки зрения распространения ядерного оружия в будущем.
Цель данной диссертационной работы - создание методики и программного продукта для оценки СТС. Поэтому результаты тестирования ВЭСС на действующей СТС, а именно СУиК Центрального Хранилища РНЦ КИ будут рассмотрены подробно. Пакет ВЭСС упомянут, как средство для составления долгосрочных прогнозов, для того чтобы подчеркнуть универсальность разработанной системы и ее широкие возможности.
Результаты анализа привлекательности различных видов ядерных материалов для злоумышленников (широкий термин, который включает в себя все, начиная от террористов, и, кончая государствами, ведущими скрытые ядерные программы) показал, что низко обогащенный уран является более привлекательным материалам, чем высоко обогащенные уран или оружейный плутоний, как это раньше считалось. Более подробно с результатами данной работы можно ознакомиться в [70].
Системы учета и контроля ядерных материалов являются одним из средств выявления несанкционированной деятельности с ядерными материалами (ЯМ), находящимися под контролем. Необходимость контроля обусловлена нестабильной ситуацией в мире. Нельзя допустить использование ядерного материала для политического шантажа, как фактор угрозы террористов и как материала для проведения диверсий. Поэтому совершенствование СУиК является важным направлением программы нераспространения ядерного оружия.
СУиК представляет собой сложную человеко-машинную систему, цель которой - решение всего разнообразия технических и организационных задач в области контроля и учета ядерных материалов (ЯМ)1. Компьютеры, измерительное и следящее оборудование, инвентаризационные процедуры и процедуры перемещения образуют систему для определения инвентарных количеств и контроля перемещений ядерных материалов. Оценка эффективности и надежности функционирования такой системы является своевременной и необходимой задачей.
При проведении оценки эффективности, СТС рассматривается как содержащая некоторое количество принципиальных элементов (подсистем), взаимодействующих друг с другом, и каждая из которых рассматривается критичной для обнаружения потерь ядерных материалов и определения с установленной доверительной вероятностью наличного количества материалов. При проведении оценки эффективности выявляются наиболее уязвимые места СУиК. Следовательно, критерий эффективности можно рассматривать как критерий безопасности.
Типичными примерами таких элементов являются наблюдение за материалами, устройства индикации несанкционированного доступа, портальные мониторы, системы ведения учетных записей, подтверждающие и контрольные измерения инвентарного количества ЯМ, контроль пределов инвентаризационной разницы. В дополнение, аварийные запасные выходы и аварийная эвакуация также могут быть включены как элементы или деятельность, анализируемые как часть СУиК.
В ходе выполнения данной работы было установлено, что на данный момент не существует методики, а тем более программного пакета, который мог бы выполнять количественную оценку эффективности и надежности функционирования элементов СУиК и анализировать развитие ситуации на объекте во времени, а так же способного работать с большими неопределенностями в частотах (или вероятностях) исходных событий. Наиболее близкое по целям задачи приложение ASSESS [71], разработанное Ливерморской национальной лабораторией (ЛНЛ) США для оценки уязвимости, способно работать только с точечными (математическими ожиданиями) значениями частот событий. Работа с точечными оценками мало информативна и может привести к ошибочным заключениям, если данные по частотам (вероятностям) исходных событий определяются со значительной неопределенностью. Что касается методики, то существует руководство по оценке эффективности «элементов обнаружения»1 СУиК, изданное Министерством энергетики США [72], которое возможность выполнения оценки эффективности ставит в прямую зависимость от возможного набора статистики по отказам подсистем, на основании которого делается вывод о соответствии или несоответствии подсистем сформулированным в руководстве требованиям. Методика оценки эффективности элементов обнаружения СУиК, изложенная в руководстве,
Термин используется в данном руководстве. сильно зависит от объема статистики по отказам подсистем и очень уязвима к неопределенностям в поведении элементов подсистем. Поэтому из данной методики могут быть использованы только критерии эффективности элементов обнаружения, т.к. соответствующих количественных параметров соответствия элементов обнаружения требованиям надежной работы в России нет.
Необходимо отметить разработки ГУП СНПО «Элерон» в области создания методики оценки эффективности систем физической защиты (СФЗ) ядерных объектов и методики оценки уязвимости СФЗ от внешних и внутренних нарушителей [73, 74], и в области накопления и упорядочивания статистической информации об отказах элементов средств обнаружения, физических барьеров, элементов системы доступа, скоростях и временах движения сил реагирования и т.д., а также в области составления моделей развития ситуаций при несанкционированной деятельности и моделей нарушителя.
Среди зарубежных разработок следует отметить результаты национальных лабораторий США (СНЛ, ЛНЛ) в области создания подходов и программного продукта для выполнения оценки уязвимости ЯО, например, система Joint Conflict and Tactical Simulation (JCATS)1. При разработке концепций применения пакета ВЭСС для оценки эффективности СУиК необходимо определить и рассмотреть возможные «слабые» места в функционировании системы. СУиК, помимо выполнения своих прямых задач (учет и контроль), должна соответствовать требованиям, выдвигаемым к СУиК как к СТС. Рассмотрим некоторые из этих требований к системе [75]: Надежность получаемых данных. Возможность работы в почти реальном времени, и способность системы восстановить хронологию всех событий, происшедших на установке. Регистрация всех событий. Связанность всех событий. То есть в системе не должно быть событий, не имеющих первоначальных. Исключением может быть только загрузка базы данных (БД) при инсталляции СУиК. Возможность создания отчетов в короткий период времени. Распределение полномочий между обслуживающим персоналом установки. Способность системы проводить соответствие между операцией с ЯМ и лицом, выполняющим эту операцию.
