Автоматная модель деятельности
аэропортовой САБ
при противодействии АН В
Е. А. Куклев,
докт. техн. наук, профессор, зав. кафедрой Санкт-Петербургского государственного универститета гражданской авиации (СПбГУ ГА), директор Центра экспертиз научных проектов
Ф. В. Зунг,
специалист в области безопасности полетов в Управлении гражданской авиации (УГА) Вьетнама, преподаватель Авиационного учебного центра при УГА Вьетнама (г. Ханой),
аспирант СПбГУ ГА
Систему обеспечения авиационной безопасности (САБ) аэропортового комплекса предлагается трактовать в виде некоторого нестохастического преобразователя информационных потоков, включающих сведения о потоках пассажиров, множество характеристик и показателей, необходимых для осуществления процедур предотвращения актов незаконного вмешательства (АНВ) в деятельность аэропорта.
Найдено компромиссное решение по разграничению областей применения традиционных вероятностных подходов и новых методов оценки эффективности деятельности САБ, в которых предлагаются способы комбинаторного анализа интегральных показателей значимости рисков без использования параметров вероятности возникновения критических событий в возможных опасных ситуациях [1, 2]. Основанием для этого, как было показано в [2], является справедливость гипотезы о высокой надежности работы структур САБ и редкости (по вероятности) рисковых событий, определяющих степень серьезности АНВ. Действительно, надежность обеспечивается высоким уровнем обученно-сти персонала служб САБ и аэропортового комплекса, наличием высококлассного оборудования для досмотра пассажиров, для выявления предметов, запрещенных к авиаперевозкам, высокой мобильностью служб охраны и т. п. Признано, что при подобном порядке вещей главным оказывается не оценка вероятности возникновения редкого события, а определение серьезности последствий от АНВ, если допустить, что они могут возникать как случайные события с вероятностью почти-ноль [1]. Такое значение меры случайности редкого события означает, что остаточный риск в системах неустраним, и серьезное АНВ или другое происшествие могут возникнуть. Поэтому вполне очевидно, что необходимо предусматривать меры по ликвидации возможных последствий, но это уже идеология ИКАО, изложенная в документах типа РУБП [3], внедряемая в настоящее время в системах обеспе-
чения безопасности полетов на основе SMS (Safety Management System).
Таким образом, структура САБ обеспечивает четкое функционирование аппаратного эргатического комплекса в режиме ожидания катастрофы и готовность немедленно пресечь АНВ на основе действующих регламентов. В информационно-вычислительном комплексе САБ имеются почти все необходимые базы данных для построения прогностических сценариев развития различных АНВ, включая возможность возникновения террористических угроз и пр. Изложенное здесь представление о сущности функции САБ дает основание рассматривать весь этот защитный комплекс как некоторый преобразователь «входов» в «выходы».
Такой преобразователь, который непрерывно совершенствуется и в авиации, и в ОАО «РЖД», и на водном транспорте может быть наиболее полно — с учетом его сложности — описан в рамках теории дискретных автоматов. Автоматная модель позволяет обеспечить оценку рисков возникновения АНВ и шансов по его успешному прекращению с оптимальной компенсаций последствий и ущерба, как того требуют проактивные и предикативные методы формирования корректирующих управлений по ИКАО (Annex-19 [3]).
Во Вьетнаме (аэропорт Нобай и др.) подобные САБ создаются в полном соответствии с рекомендациями национальной системы обеспечения безопасности в США по GAO [4]. Это требует расширения функциональных возможностей САБ на основе современных информационных технологий, что вполне оправдано, хотя и требует дополнительного
финансирования. Автоматные модели САБ, рассматриваемые ниже, позволяют наиболее эффективно решать задачи по минимизации рисков возникновения последствий от АНВ.
Постановка задачи
Систему САБ для предупреждения возможных АНВ предлагается создавать (или модернизировать) на основе двух принципов:
• сохранения без изменения функционирующей в штатных режимах системы АБ аэропортового комплекса с тем набором технических средств контроля, наблюдения и регистрации признаков возможных АНВ при заданном числе рубежей защиты, например, как в аэропорту Домодедово и Шереметьево и «Нобай»;
• создания специального компьютерного модуля и программы для обработки всех имеющихся в САБ данных, циркулирующих в компьютерной сети САБ и необходимых для оценки реальной текущей ситуации и опасности на основе методов распознавания образов определенных кризисных ситуаций.
В таком модуле обеспечивается принятие решения на использование средств противодействия АНВ в соответствии с наиболее правдоподобным сценарием событий, адекватных объявленной кризисной ситуации и регламентированному плану мероприятий.
Кроме того, производится специальная обработка массивов данных в действующих САБ, построенных на традиционных схемах, и создание множества возможных вариантов моделей окружающей среды и вариантов поведения системы (отклика на внешние воздействия) в форме синтезированных сценариев развития событий на основе метода построения цепей случайных событий [3, 5]. Новизна предлагаемого подхода состоит в реализации принципа обработки информации и распознавания опасных ситуаций при принятии решений в САБ в кризисных ситуациях.
Однако в действующих САБ приоритетным является экспертное категори-рование уровней опасности на основе цветовой диаграммы по GAO [4]. Дело в том, что автоматизированный оперативный прогноз множества альтернативных сценариев развития событий в форме некоторых цепей причинно-следственных элементарных событий трудно реализуется из-за отсутствия соответствующих моделей оценки уровней опасности.
Один из способов преодоления отмеченных трудностей состоит в использовании схем прогнозирования цепей событий по [3], характеризующих рисковые ситуации и отражающих комбинаторный анализ [5] взаимосвязанных между собой потоков входных и выходных параметров с нечеткими мерами взаимосвязи и соотношений между анализируемыми переменными.
Схема решения
Для обеспечения работы компьютерного модуля САБ, реализующего принцип распознавания ситуаций, в системе необходимо создавать информационно-факторный базис, например, в форме, разработанной Б. В. Есиповым (авторство отмечено в [5]). Однако для оценки рисков возникновения предпосылок к опасным ситуациям в сложных системах сначала должен создаваться так называемый множественно-параметрический базис. Тогда на основе последовательной реализации процедур итерационного процесса можно оценивать интегральные риски и сравнивать их с приемлемыми по методике, предложенной ИКАО в Аппех-19 [3] и принятой в [2, 5].
Однако в рассматриваемом случае для событий с вероятностью почти-ноль применение интегрального риска Яи в форме Н. А. Махутова [6] может приводить к затруднениям:
(1)
где Р,,, и. — вероятность и ущерб от происшествия как события в А—(.).
Дело в том, что требуемые вероятности для этой определить схемы практически невозможно [1, 2]. Должна рассматриваться наиболее реальная схема возникновения происшествий типа аварий, катастроф в форме цепей событий с описанием возникновения в системе дискретных состояний определенного вида типа q¡£Q. Понятие дискретного состояния q£0 совершенно необходимо [5], так как возникновение происшествия — это всегда событие Л1 или В. и т. д. в случайный момент времени т. т.е [Ю,Т) на интервале функционирования системы. Смена дискретных состояний в САБ по аналогии со сменой состояний типа «отказ», «неотказ» в высоконадежных системах может стать основой для анализа свойств антитеррористической устойчивости систем.
Принципиально важным в излагаемой схеме является предложения на переход от оценки риска (1) к его нечеткой мере [2] по интегральным ущербам.
Информационно-факторный базис системы
Введение такого базиса необходимо для установления соответствия между факторами поражения системы Б' и её откликами У на воздействия с учетом комбинаторики возможных связей и альтернативными скачкообразными результатами, совпадающими в конечном итоге с возникновением рискового события типа Я.
При этом определяется множество СЯ нежелательных исходов в защищаемой системе, возникающих под воздействием факторов V (поражающих, опасных, рисковых и т. п.):
={СГ |г = 1,2,...,ия}, (2)
где С — элементы (последствия или тип происшествия) множества СЯ, например, «пожар», «взрыв», «обрушение перекрытий конструкций»; (^ ), ( — символы операций, соответственно, «воздействий (перехода)», «следствий». По существу С — это обозначения (или символы) пронумерованных признаков физических воздействий х,, составляющих множество, так что
Ху={х,\{ = 1,2,-,пц}, (3)
где пЯ совпадает с пя из (2). При этом очевидно, что имеет место равнозначная запись с символом (о) эквивалентности операций:
(V 5) о (Х(Г) 5), ее Х(Г) . (4)
По физическому смыслу X(V) — это некоторый поток входных воздействий на систему с признаками воздействий из V [6, 7]. Каждому результату СеС11 как символу или обозначению вида результата можно сопоставить меру л случайности и меру нежелательных последствий Н, как при обозначении рисков в [2, 5], поскольку каждое СеС11 есть обозначение типа событий С —Я в системе,
г г '
для которого в дальнейшем находится оценка Сг по каждому рисковому Яг:
Сг=(рг,Нг\Б,У) . (5)
С учётом этого можно ввести в рассмотрение выходной поток У событий или результатов, связанных с характеристиками функций отклика У, т. е.
Yv=Y{v)=fy(Cr\Xv,S) Yv -ftiií'rt'-J»/
(6)
В общем случае число факторов
№ 5 (48) 2013
«Транспорт Российской Федерации» | 27
КXV тТЩ •
пк —Сг не совпадает с числом п функций отклика. Поэтому можно установить соответствие между V, Сг с учетом степени реагирования 5 в форме Уу на Ху (и V) на основе операторов связности Р = Р(С, V) в виде V. е V для факторов воздействия V, и операторы чувствительности отклика Рв в виде ¥у на Х¥ (и на V).
В результате вводимый базис В может быть описан в виде множества:
В = ¡V, Р{Ху, ¥у), Рв {Ху, 7Г), С^, Ц 1 (7)
Yr=fAcr\xr,v,uR,s) .
(9)
Приходится задавать также набор символов R,= R,(Cr\V), определяющих множество (в виде матриц) значений приемлемых уровней риска в виде двух элементов — частоты (возможности) появления случайного рискового события и соответствующих ущербов [2, 5]. При этом Lr — множество функций потерь, характеризующих степень поражения системы в зависимости от ее уязвимости и величины ущерба в каждом из исходов CR. При этом также могут оцениваться потери системы в совокупности в зависимости от комбинаций сочетания факторов vt е V через булевы переменные и соответствующие матрицы связности. Соответственно, могут быть введены матрицы типа Mab по разным индексам (ab) о взаимосвязи элементов в нечеткой мере по [7]:
F{Xr,Yp) = farx,MrR,MXL,
1 (8) ^tlMVCr>MYCr I V>Lr>Ur],
Lr ~ /ЛСя>Хг,НЕ),
где UR — уровень и тип угрозы, порождающей V, XV; Lr — функции потерь с учетом ущербов HR.
На основе введенного базиса В может быть создано описание S САБ в форме дискретного автомата W, преобразующего входные воздействия [XV,V\UR} при угрозе UR в выходные результаты YV:
Автоматная структура САБ как преобразователя информационных потоков данных
Вводится граф О смены дискретных состояний системы:
е = гв),гв:в->в, (10)
где ГО — операция отображения пространства О дискретных состояний самого в себя, что эквивалентно множеству дуг (ребер), соединяющих вершины графа. Отношениям ГО соответствует булева матрица переходов МО, состоящая из «0» и «1».
Здесь необходимо отметить, что МО — это не матрица вероятностей, как в теории Марковских цепей [7], так как здесь вероятностей нет, а есть только возможности.
Автомат Ш есть кортеж вида:
ш = {хг,тт,ч,<ъ,а\а,рг111л,в}, (11)
где Ф, Ф — соответственно, функции перехода из состояния в состояние и выходов У'
(12)
где — средства защиты, вводимые в действие в каждой ситуации, т. е. это ресурсы. Среди ресурсов Би можно выделить штатные Б0 и дополнительные ДБ для преодоления кризисных ситуаций.
При этом модель системы также может быть определена как кортеж элементов в виде
8=<Хг,Гг,УГ\В,ил,И,81]^т\>, (13) где Т (или [^ Т\) — интервал (или цикл) времени работы и наблюдения системы.
Таким образом, решение проблем, рассмотренных в [1, 2], удается гармо-
4>:\Xr,Q\CR^Q;<S> = = (Q,Xr\C,)%Yr(V,CR\UR,Su)\,
нично представить в единой форме, в частности в форме автоматной модели.
Задача состоит в том, чтобы с помощью автомата (11) находить в САБ оперативно все возможные пути — цепи событий, ведущие к катастрофе, и оценить меру опасности с помощью моделей рисков по [2, 5]. □
Литература
1. Куклев Е. А., Волынский-Басманов Ю. М. Обеспечение авиационной безопасности объектов гражданской авиации на основе методов управления рисками возникновения АНВ // Наука и транспорт. Гражданская авиация. 2013. № 3 (7). С. 16-21.
2. Смуров М. Ю. , Куклев Е. А., Евдокимов В. Г., Гипич Г. Н. Разработка инструментов оценивания рисков возникновения АНВ в САБ аэропортового комплекса // Транспорт РФ. 2012. № 2(39). С. 54-58.
3. Руководство по обеспечению безопасности полетов (РУБП) / пер. с англ. Doc. 9859, AN/460. ИКАО (Монреаль). М.: Минтранс РФ, 2009.
4. GAO: Risk Management. Washington, 2005. № 91105.
5. Куклев Е. А. Оценивание безопасности сложных систем на основе моделей рисков // Труды XV Междунар. конф. Ч. 1. Проблемы управления безопасностью сложных систем. ИПУ РАН, МЧС. М., 2007. С. 93-97.
6. Махутов Н. А. и др. Обеспечение защищённости магистральных нефтепро-дуктопроводов по критериям рисков // Наука и технология трубопроводного транспорта нефти и нефтепродуктов. 2012. № 4. С. 10-16.
7. Мушик Э., Мюллер П. Методы принятия технических решений / пер. с нем. М.: Мир, 1990.