Индикаторный подход и сценарное сопровождение в обеспечении эффективной безопасности сложных технических систем Текст научной статьи по специальности «Математика»

Индикаторный подход и сценарное сопровождение в обеспечении эффективной безопасности сложных технических систем

Сомов Д.С., Кочкаров А.А.

Институт проблем управления им. В.А. Трапезникова РАН Институт прикладной математики им. М.В. Келдыша РАН,

Концерн «Радиотехнические и информационные системы» [email protected], [email protected]

Введение

Современные технические изделия представляют собой сложные системы, состоящие из множества взаимодействующих друг с другом разнородных элементов, число которых может достигать десятков тысяч. Вместе с тем требования по обеспечению набора ключевых характеристик на заданном уровне только ужесточаются. С одной стороны, затраты на производство и эксплуатацию самих

и _ /"Ч U

технических изделий и их комплектующих возрастает. С другой стороны, сложность технических изделий во многом повышает риск возникновения опасностей, аварий и катастроф при их эксплуатации. Поэтому модельные и экспериментные исследования таких ключевых характеристик сложных технических систем, как надежность, стойкость, отказоустойчивость, живучесть представляется чрезвычайно важной задачей. Перечисленные характеристики являются составляющими такого емкого понятия, как эффективная безопасность.

Обеспечение эффективной безопасности сложных технических и информационно-управляющих систем требует сопровождения по трем ключевым направлениям - модельному, сценарному и экспериментному.

Модельное сопровождение предполагает наличие взаимодополняющих и взаимосвязанных математических моделей, обеспечивающих формирование набора сценариев поведения исследуемой системы в различных режимах при различных условиях. Фактически, только качественно сформированная база математических моделей может позволить построить сценарное сопровождение. Кроме того, по средствам имеющегося набора математических моделей можно решать

мониторинговые задачи, наделяя систему структурно-интегрированными индикаторами.

Сценарное сопровождение представляет собой, во-первых, набор траекторий поведения системы (изменения показателей как элементов так и системы в целом) от момента появления потенциальных угроз до полного выхода системы из строя. Во-вторых, сценарное сопровождение содержит алгоритмический блок принятия решений и управляемого перехода между различными сценариями поведения системы. Комплектование алгоритмического блока сценарного сопровождения не возможно без теоретической базы, обосновывающей, например, возможность перехода между различными сценариями и прогнозирующего затраты, требуемые на эти переходы.

Экспериментное сопровождение в задачах обеспечения эффективной безопасности призвано подтвердить и скорректировать результаты в двух предыдущих направления (в модельном и сценарном сопровождении). Экспериментное сопровождение включает в себя как компьютерные так и стендовые эксперименты с полным или частичным аппаратным обеспечением.

Все три направления сопровождения обеспечения эффективной безопасности сложных технических и информационно-управляющих систем комплексно связаны между собой. Использование всех описанных в настоящей работе направлений сопровождения может обеспечить высокий уровень эффективной безопасности сложных технических и информационно-управляющих систем.

Одними из важнейших задач, решаемых при проектировании сложных технических систем, являются задачи обеспечения безопасности, надежности и устойчивости функционирования системы. Одной из составляющих решения данных задач является использование систем мониторинга, позволяющих получать различные параметры состояния системы, ее функционирования, состояния

с» с» с» с» с» /—^

окружающей среды и взаимодействия между системой и окружающей средой. С ростом размеров технических систем, их функциональной и структурной сложностей растет количество параметров, подлежащих оценке в системе мониторинга и количество датчиков, измеряющих эти параметры. При этом растет информационная нагрузка на оператора системы, что затрудняет принятие оператором системы

своевременного и точного управляющего решения. Это в свою очередь приводит к ошибочным или несвоевременным решениям оператора, что снижает безопасность, надежность и устойчивость функционирования системы. Особенно это актуально при наличии внутренних или внешних угроз работоспособности системы и возмущений, потенциально приводящих систему в состояние неработоспособности, отказа, нештатной, чрезвычайной ситуации, поломки и т.д.

В настоящей работе предлагается на основе анализа структуры системы, схемы ее функционирования размещать в системе мониторинга индикаторы - точки, информация о которых будет доступна оператору системы. При этом необходимо снизить информационную нагрузку на оператора, не снижая точности и полноты передаваемой ему информации в ситуации наличия потенциально опасных угроз или возмущений в системе. Для синтеза такого набора индикаторов используется модифицированная графовая модель распространения возмущения по технической системе [4].

Краткое описание модели

Рассмотрим основные понятия, используемые в модели.

A = {,a2,...,an} - множество элементов модели, в каждый момент времени каждый элемент модели может принимать значения 0 или 1. Единица соответствует активированному состоянию (до элемента дошло возмущение), ноль соответствует неактивному состоянию.

Множество датчиков образует подмножество элементов модели A з D = {^,d2,. .,d }. Также в системе выделено подмножество критических

элементов A з K = {^,k2,...,k }. Если возмущение достигает критического

элемента, система считается вышедшей из строя.

Элементы модели связаны в некоторый орграф G, называемый графом взаимосвязи. Граф взаимосвязи отображает пути распространения возмущения от одного элемента модели к другому. Дуги графа G взвешены временами прохождения дуг.

Для записи времени прохождения дуг используется матрица временных взаимосвязей Mt.

Из матрицы временных взаимосвязей при помощи алгоритма Флойда-Уоршелла получаем матрицу временных расстояний.

Доказана лемма, позволяющая получать моменты времени активации элементов модели на основе времен активации датчиков.

Дополнительные определения

Введем ряд определений, позволяющих сформулировать оптимизационную задачу размещения индикаторов в технической системе. Подмножество индикаторов будем обозначать I = {г1,i2,...,¡П1 }, где п1 - их количество.

Назовем множеством предшествования времени t вершины a множество всех элементов модели Beft {а) таких, что элемент a достижим из них за время, не

превышающее времени t.

Множеством последействия времени t элемента a назовем множество всех элементов модели Aftt {а), достижимых из элемента a за время, не превышающее

Под индикаторным покрытием предшествования времени t будем понимать набор множеств предшествования времени t для всех индикаторов:

предшествования времени t будем называть объединение множеств элементов модели, входящих в индикаторное покрытие предшествования времени t, или, что то же самое, объединение множеств предшествования времени t всех индикаторов:

По аналогии, под индикаторным покрытием последействия времени t будем понимать набор множеств последействия времени t для всех индикаторов:

последействия времени t будем называть объединение множеств элементов модели,

и у

входящих в индикаторное покрытие последействия времени t, или, что то же самое,

времени t .

Индикаторным множеством покрытия

Индикаторным множеством покрытия

объединение множеств последействия времени t всех индикаторов: ^ Aftt

Будем называть общим множеством покрытия предшествования набор множеств предшествования для всех индикаторов заданного для каждого индикатора

времени: ^ = {веЛ1 (АIВ^ч{2^..^Ве^П1 {п1)} где Т = ^^1»t2,...,tnI} - набор времен

множеств предшествования. Аналогично вводится понятие общего индикаторного покрытия последействия: 1Л = {4/^ {¡1),ЛАН {¡2),...,)}. Назовем диаметром

общего покрытия по всем временам набора Т: )= о{1Л)= шах(.).

]—п1 .

Аналогично покрытиям времени введем понятие индикаторного множества общего индикаторного покрытия предшествования и последействия:

^ = и Щ {). ^ = и ЛА{ )•

]—п1 ]—п1

Постановка задачи выбора индикаторов

Будем считать, что решением задачи размещения индикаторов является

некоторое подмножество элементов модели: I с Л.

Введем ограничения на множество решений и получим таким образом множество допустимых решений.

1. Количество индикаторов должно быть ограничено. Это ограничение следует из требования снизить информационную нагрузку на оператора. Ограничение на количество индикаторов необходимо выбирать таким образом, чтобы оператор системы имел возможность контролировать показания индикаторов, оперативно реагировать на изменения их показаний. Оператор должен помнить или иметь возможность максимально быстро определить (например, при помощи надписей или условных буквенных или символьных обозначений) назначение индикатора, область, за которую он отвечает, причины, которые вызывают срабатывание индикатора, набор и последовательность действий, которые необходимо совершить при срабатывании данного индикатора. Математически данное ограничение можно записать следующим образом: Ц = п1 — Ы1, где Ы1 - некоторая константа, заданная при формулировании конкретной задачи.

2. Набор индикаторов должен покрывать все возможные угрозы, известные на этапе проектирования системы. Другими словами, в терминах рассматриваемой модели, не должно быть ситуации, при которой возмущение, вызванное датчиком, достигнет критического элемента раньше, чем оно достигнет индикатора. Математическую интерпретацию данного ограничения можно сформулировать следующим образом. Для каждого датчика, множество последействия которого содержит хотя бы один критический элемент, множество безопасного последействия должна содержать хотя бы один индикатор:

Vd е D : Aft(d)Ц K ^ 0 Eli е I : i е Afts(d).

Таким образом область допустимых решений должна удовлетворять следующим требованиям:

I С A ;

II = n, < N, ;

Vd е D : Aft (d )Ц K ^0 3i е I : i е Afts (d ).

Сформулируем оптимизационные критерии для поиска оптимального решения среди допустимых решений.

1. Критерий времени. С точки зрения безопасности функционирования системы и предупреждения выхода ее из строя необходимо как можно более ранняя сигнализация об угрозе. Сформулируем математическую интерпретацию данного требования в рамках терминов рассматриваемой модели. Предположим, датчик d зарегистрировал угрозу, при этом других угроз и возмущений в системе нет. Тогда разница во времени между активацией некоторого индикатора i , входящего во множество последействия датчика d и некоторого критического элемента k составит

dist (d, k)— dist (d, i). Заметим, что данное выражение имеет место, даже если критический элемент не входит в множество последействия датчика d. В этом случае временное расстояние между датчиком и критическим элементом будет равно бесконечности, а т.к. индикатор входит в множество последействия датчика, то временное расстояние до него от датчика конечно, следовательно, в таком случае, разница расстояний будет равна бесконечности.

Максимум max (dist (d, k)- dist (d, i)) этой разницы по всем индикаторам из

ieI IAft (d )

множества последействия выбранного датчика - время на принятие решения после активации первого индикатора до активации выбранного критического элемента. Заметим, что полученная сумма равна бесконечности в том и только том случае, если критический элемент недостижим из датчика. Датчики, из которых недостижим ни один критический элемент, рассматривать не будем, поскольку они не могу зарегистрировать угрозу, возмущение от которой может достичь критического элемента. Из ограничений на область решений следует, что в множестве последействия каждого датчика, из которого достижим критический элемент, есть хотя бы один индикатор. Следовательно, это выражение имеет смысл для любой пары датчика и критического элемента.

Минимизируя данное выражение по парам датчиков и критических элементов, получаем наименьшее время, отводимое оператору для принятия решения среди всех возможных (в рамках данной модели) ситуаций.

Первый критерий оптимального решения состоит в максимизации данного времени:

min max [dis1 (d,k)-dist(d,i)) I — max.

deD,keK ^ ieI1 Aft (d У У I

Критерий точности определения причин и возможных последствий. Для того, чтобы оператор мог принимать эффективные управляющие решения необходимо, чтобы информация, поступающая к оператору, давала возможность судить о причинах возникновения данной ситуации и о возможных ее последствиях. Для реализации этого требования предлагается размещать индикаторы таким образом, чтобы их множества предшествования и последействия как можно плотнее покрывали все множество элементов модели. Данное требование разбивается на две части, которые в дальнейшем можно рассматривать как 2 разных критерия оптимизации размещения индикаторов.

2. Полнота покрытия. Для каждого набора индикаторов определено покрытие множествами предшествования и последействия. Для того, чтобы иметь возможность судить как можно более полно о возможных причинах и последствиях

текущей ситуации в системе необходимо, чтобы индикаторы были выбраны таким образом, чтобы множество покрытия предшествования и последействия охватывало как можно большую часть элементов модели. Математически это можно записать следующим образом:

I

Aft

I

Bef

— max;

i

— max;

i

3. Точность покрытия. В предыдущем критерии используется покрытие без учета времени. Но для точного определения развивающейся ситуации необходимо, чтобы индикаторы находились «близко» по времени от возмущения, движущегося по системе. Для этого необходимо, чтобы минимальный диаметр покрытия предшествования или последействия, множество которого покрывает все множество

jBef ».» т Aft

покрытия предшествования I или последействия I :

»—

min (D(lf )) — min ;

(D(lBef ))-

T :lAft=IAft

min U — min;

T :lBef=IB

Таким образом, получаем многокритериальную постановку задачи оптимизации размещения индикаторов в технической системе:

Пусть дана модель распространения возмущения по технической системе. Множество элементов модели A = [а1, а2,..., ап}, подмножество датчиков

D = di, d2,..., dnD }, подмножество критических элементов K = {k1, k2,..., k }.

Элементы модели связаны в граф взаимосвязей G, времена прохождения дуг заданы матрицей временных взаимосвязей Mt.

Требуется найти такое подмножество элементов модели (множество индикаторов) I = {i1,i2,...,i } такое, чтобы выполнялись следующие условия:

1. И = п, < Ni ;

2. Vd e D : Aft (d )Ц K ^0 3i e I : i e Afts (d );

3. min I max [dis1 (d,k)-dist(d,i))I — max;

deD,keK ^ iell Aft (d ) !) I

- 174 -

4.

5.

6.

7.

І

А/і

I

Ве/

— тах;

і

— тах;

і

тіп_Ь(іАі)) — тіп ;

_ А/і _ А/і ' \ Т // і

(о(іВе/))

Т:Iаа/=ІА/і

тіп

Т :іВЄ = ІВе/

— тіп.

і

Набор индикаторов, выбранный таким образом, позволит снизить информационную нагрузку на оператора, при этом останется возможность контролировать возмущения, распространяющиеся по системе, анализировать причины и возможные последствия развивающейся ситуации. Все это повысит безопасность функционирования системы и ее устойчивость к различным угрозам. Критерии размещения индикаторов на примере простых структур Цепь. Рассмотрим простейший пример структуры, состоящей из п элементов. Пусть граф взаимосвязи представляет собой простую (все дуги и вершины различны)

орцепь с началом в вершине а1 и а1

О

С

ап

а

а

п-2

а

п—1

а,„

-м-

-м-

О

Рис. 1. Цепь

концом в вершине ап. Пусть

вершина а1 является датчиком d, а вершина ап - критическим

элементом к. Других датчиков и критических элементов в системе нет. Пусть время прохождения каждой дуги одинаково и равно единице.

В данной ситуации ограничение 2 о покрытии всех возможных угроз выполняется, когда в системе выбран хотя бы один индикатор, не совпадающий с критическим элементом.

Рассмотрим поведение оптимизационных критериев для данного типа структур. Критерий времени:

тіп

СєД,кєК

тах щІ81 (С,к)— Сія1 (С,і)) I — тах.

е!I А/і (С )У У 4 " 1

Поскольку в данной системе есть только один датчик и один критический элемент, данное выражение можно записать в виде, опустив минимизацию по паре датчик, критический элемент:

max (dis1 (d,к)- dist(d,i) ^ max.

izï I Aft(d Ÿ V ' V ’’ I

Поскольку Aft (d ) = A, то данное выражение упрощается до

max(dist (d, к) - dist (d, i)) ^ max.

Поскольку структура системы представляет собой орцепь, то разница расстояний от датчика до критического элемента и от датчика до индикатора равна расстоянию от индикатора до критического элемента. Таким образом, можем записать этот критерий следующим образом:

max(dist (i, к ))^ max.

iel ' ' I

Отсюда можно сделать вывод, что данное выражение максимизируется на множествах индикаторов, среди которых самый дальний от критического элемента индикатор отстоит как можно дальше от критического элемента.

Критерий 4 полного покрытия множеством предшествования. В данной системе множеством предшествования любого элемента является множество элементов с индексом не большим, чем индекс самого элемента. Таким образом, чем ближе будет располагаться индикатор к критическому элементу, тем более полным будет покрытие множествами предшествования.

Критерий 5 полного покрытия множествами последействия дает аналогичные результаты, только приближает индикатор к датчику.

Критерий 6 минимального радиуса покрытия предшествования. Очевидно, что в случае, если датчик один, то этот критерий представляет собой полную противоположность критерия 4 - критерий выполняется тем лучше, чем ближе индикатор расположен к датчику. Предположим, что индикаторов п1 штук. Тогда

диаметром покрытия будет максимум из расстояний между датчиком и индикатором и между другими индикаторами, если их расположить последовательно, согласно

ап а

а

Рис. 2. Цикл

индексам в множестве A. Пример: пусть множество индикаторов состоит из элементов а4, а10 и а15. Тогда диаметром максимально полного покрытия будет

max(dist (а1, а4 ), dis1 (а4, а10 ), dis1 (a10, a15 )) = max(3,6,5) = 6.

Таким образом, в общих словах, критерий выполняется тем лучше, чем равномернее распределены индикаторы.

Аналогичные выкладки можно сделать и для критерия 7 минимального покрытия радиуса последействия, с заменой датчика на критический элемент.

г | 1 /—• U U U

Таким образом, даже на такой простейшей структуре как цепь видно, что критерии разнонаправлены, в некоторых случаях и противоположны. Поэтому при решении каждой конкретной задачи необходимо определять порядок взаимодействия данных критериев.

Цикл. Рассмотрим модель системы, состоящую из n элементов. Пусть граф системы представляет собой простой (дуги и вершины не повторяются) цикл. Пусть в модели выделено подмножество датчиков D = {d1,d2,...,d } и критических

элементов K = {k1, k 2,..., к }.

Утверждение. Для выполнения ограничения 2 о покрытии всех возможных угроз в системе необходимо и достаточно, чтобы внутри каждой цепи в цикле, началом которой является датчик, а концом критический элемент, а других критических элементов и датчиков в цепи нет, располагался индикатор.

Доказательство. Достаточность. Действительно, предположим, что в начальный момент времени активируется датчик d1. Тогда возмущение первым достигнет индикатора, а не критического элемента. Т.к. в противном случае либо сам датчик d1,

либо один из датчиков, следующих за ним был бы началом цепи из утверждения, при этом на ней не было бы индикатора, следовательно, такая ситуация противоречила бы условию утверждения. Необходимость. Предположим, что в цикле существует цепь с началом в датчике, а концом в критическом элементе без индикаторов на ней. Тогда не выполняется ограничение 2 на размещение индикаторов, поскольку возмущение, вызванное угрозой, зарегистрированной данным датчиком достигло бы критического элемента раньше, чем индикатора. Утверждение доказано.

Рассмотрим решение задачи оптимального размещения индикаторов по критерию максимизации времени, отводимого на реакцию оператора. Рассмотрим алгоритм построения такого решения.

Шаг 1. На первом этапе необходимо построить матрицу временных расстояний

Шаг 2. Определяем датчик, расстояние от которого до ближайшего критического элемента минимально. Для выполнения этого шага для каждого датчика производится

Поиск ближайшего критического элемента производится для всех датчиков, таким образом, верхняя оценка количества операций, необходимых для выполнения этого

Шаг 3. Индикатор нужно разместить в найденном на предыдущем шаге датчик. Также индикаторы необходимо разместить на остальных участках цикла с началом в датчике и концом в критическом элементе, не содержащих других датчиков или критических элементов, но не ближе к критическому элементу, чем расстояние от датчика, найденного на предыдущем шаге, до ближайшего к нему критического элемента. В зависимости от способа выбора индикаторов на остальных участках цепи для выполнения данного шага требуется от 0(п) операций.

Утверждение. Подмножество индикаторов, выбранное на предыдущем шаге является оптимальным по критерию максимизации времени, отводимого на реакцию оператора, при этом выполняется требование ограничения 2 о покрытии всех возможных угроз.

N для заданной системы. На выполнение этой операции требуется не более О(п3 операций.

поиск ближайшего критического элемента, на что требуется не более О(п) операций.

Доказательство. Результатом выполнения шага 2 алгоритма является датчик, временное расстояние от которого до ближайшего критического элемента минимально. Очевидно, что время отводимое на реакцию оператора не может быть больше расстояния от найденного датчика до критического элемента, поскольку регистрация угрозы данным датчиком реализует наихудший с точки зрения критерия времени сценарий. Для того, чтобы построить оптимальный набор индикаторов необходимо разместить один индикатор в найденном датчике, а остальные разместить на расстоянии до критических элементов не меньшем, чем расстояние от найденного датчика до ближайшего критического элемента. На шаге 3 алгоритма производится такое размещение индикаторов с учетом требования ограничения о покрытии всех возможных угроз. Таким образом, утверждение доказано.

Дерево. Предположим, что граф взаимосвязи системы представляет собой нисходящее дерево (полустепени исхода всех вершин кроме корня равны единице). При этом в системе один критический элемент, расположенный в корне дерева, и пп датчиков,

расположенных в листьях дерева.

Утверждение. Для выполнения ограничения 2 о покрытии всех возможных угроз достаточно, чтобы подмножество индикаторов содержало все вершины графа, соединенные дугой с критическим элементом.

к

Рис. 3. Дерево

Рассмотрим решение задачи оптимального размещения индикаторов по критерию максимизации времени, отводимого на реакцию оператора. Рассмотрим алгоритм построения такого решения.

Шаг 1. На первом этапе необходимо построить матрицу временных расстояний N для заданной системы. На выполнение этой операции требуется не более О(п3) операций.

Шаг 2. С помощью матрицы временных расстояний определяем датчик, расстояние от которого до критического элемента минимально. На выполнение этой операции требуется не более 0(п) операций, поскольку в системе присутствует только один критический элемент. Пусть временное расстояние от датчика до критического элемента равно td.

Шаг 3. Необходимо поместить индикатор в найденном на предыдущем шаге датчике.

Шаг 4. При помощи матрицы временных расстояний строим Вв/( (к) -

множество предшествования критического элемента времени td. При помощи матрицы временных расстояний построение такого множества занимает не более 0(п ) операций.

Шаг 5. Цикл по всем элементам множества Вв/( (к). Обозначим элемент,

обрабатываемый на каждом шаге, как а{.

Шаг 5.1. При помощи матрицы временных взаимосвязей определяем

множество элементов, непосредственно предшествующих рассматриваемому

элементу а. Если такой элемент принадлежит множеству Вв/{ (к), пропускаем

его. Если не принадлежит, помещаем в него индикатор.

Шаг 5.2. Конец цикла.

Шаг 6. Построенное таким образом множество индикаторов является оптимальным по критерию времени, удовлетворяющим ограничению 2 о покрытии всех угроз решением задачи.

Заключение

В данной работе рассматривается индикаторный подход в мониторинге сложных технических систем, позволяющий на основе анализа структуры системы и схемы ее функционирования снижать информационную нагрузку на оператора системы, не снижая информативности, точности и своевременности передаваемой ему информации в потенциально опасных ситуациях, путем размещения в структуре системы индикаторов, информация о состоянии которых будет передаваться оператору. В работе предложена модель распространения возмущения по

технической системе, служащая основой для постановки задачи оптимального размещения индикаторов в системе. На основе требований к набору индикаторов, вытекающих из необходимости обеспечить оператора системы своевременной, точной и не избыточной информацией, сформулирована многокритериальная постановка задачи размещения индикаторов. Предложены алгоритмы решения задачи на простых примерах структур.

Полученное при решении задачи множество индикаторов позволяет снизить информационную нагрузку на оператора, при этом своевременно сигнализируя о потенциально опасных ситуациях, позволяя с высокой точностью анализировать причины возникновения потенциально опасной ситуации и ее возможных последствия, следить за развитием ситуации во времени. Все это упрощает работу оператора технической системы в потенциально опасных ситуациях, при наличии внешних или внутренних угроз и возмущений, что в свою очередь повышает безопасность, устойчивость и надежность функционирования системы.

Литература

1. Микрин Е.А., Кочкаров А.А., Сомов Д. С. Мониторинг функционирования сложных технических систем в условиях внешних угроз. Метод структурно-интегрировнных индикаторов и иерархия моделей / Научное издание. - М.: ИПУ им. В. А. Трапезникова РАН, 2010. - 54 с.

2. АрхиповаН.И., КульбаВ.В. Управление в чрезвычайных ситуациях. - М.: РГГУ, 1998.

3. Кульба В.В., Микрин Е.А., Павлов Б.В., Платонов В.Н. Теоретические основы проектирования информационно-управляющих систем космических

аппаратов. - М.: Наука, 2006.

4. Салпагаров М.Б., Кочкаров А.А. Исследование структурного разрушения сложных коммуникационных систем // Материалы международной научной конференции “Проблемы регионального и муниципального управления”. М.: РГГУ, 2007. - С. 224 - 229.