CC BY
79
УДК 621.311:682.039
К ПРОБЛЕМЕ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ СЛОЖНЫХ СИСТЕМ
Н.К.Юрков
Пензенский государственный университет
В качестве критерия безопасности предлагается использовать информационный показатель, определяющий нахождение сложной технической системы в аттракторе, переход из которого ведет к резкому росту количества информации. Создание систем безопасности следует проводить так, чтобы разрушить рекуррентный характер построения системы, а именно использовать системы обеспечения безопасности другой физической природы, нежели охраняемый объект.
As a criterion of safety is proposed to use the information indicator of the presence of complex technical systems in the attractor, the transition of which leads to a sharp increase in the amount of information. Creating safety systems should be conducted so as to destroy the recurrent nature of the system construction, namely the use of security systems of another physical nature than the protected object.
Ключевые слова: безопасность, сложная система, информация, критерий, рекуррентность, физическая природа процессов.
Keywords: security, complex systems, information criteria, recurrence, the physical nature of processes.
Для реализации процесса проектирования безопасности сложных технических систем (СТС) используются разнообразные подходы, различающиеся характером решаемых задач, используемых методов, структурой программноалгоритмического обеспечения и аппаратной поддержки. Все эти подходы, несмотря на свое различие, выполняют некоторые общие функции: сбор информации, управление, обработку данных по некоторому алгоритму, представление выходной информации пользователю в удобном для него виде. СТС представляют собой комплексы для приема, переработки и передачи информации, т.е. в этом смысле являются информационными системами. Информационный характер процесса проектирования безопасности определяет
1
целесообразность анализа информационных характеристик СТС и использования этих характеристик при структурно-алгоритмическом синтезе сложных систем.
В большинстве практических задач все многообразие состояний объекта может быть сведено к нескольким классам, число которых невелико, ввиду ограниченного набора действий, принимаемых в том или другом состоянии. В простейшем случае речь идет о двух состояниях объекта (опасное или неопасное, устойчивое или не устойчивое и т.д.)
Для формирования критерия безопасности СТС естественно использовать информативность процесса. Под информативностью будем понимать количество информации, поступающей на вход системы в единицу времени, т.е. информативность - это характеристика разрешающей способности сложной технической системы как некоторого измерительного прибора. Пусть СТС может обеспечить получение максимального потока входной информации I0 (бит/с). Эта информация определяется характером процесса и типом инструмента получения входной информации при условии, что все параметры системы соответствуют своему номинальному значению. Например, для входных периферийных устройств СТС информативность определяется количеством и производительностью каналов выходной информации. Следует отметить, что введенное понятие информативности является своего рода технической характеристикой СТС и не учитывает характера входной информации в смысле ее новизны для процесса проектирования, зависимости от характеристик проектируемого процесса и т.п.
Процессы создания и функционирования СТС на всех этапах ее жизненного цикла можно разбить на временные дискреты (атомы), в течение которых выполняются основные технологические и вспомогательные (в том числе и контрольные) операции. Не уменьшая общности рассуждений, примем, что эти временные промежутки равны между собой, и будем считать, что условия выбора
временного дискрета выполнены. Средняя доля времени gi, затрачиваемая на
2
выполнение контрольных (вспомогательных) операций, определяется следующим выражением:
Si — ft^ki,
где f - частота включения контрольных атомов, tki - время выполнения
вспомогательных действий.
Условия проведения процесса проектирования накладывают ограничения на время выполнения основных и вспомогательных функциональных процедур. Например, при регистрации данных существует ограничение сверху на период Тд дискретизации сигнала, которое вытекает из теоремы Котельникова:
Т < Т
Тд ^ 1 max?
где Tmax - интервал Котельникова.
Очевидно, что реальная длительность одного цикла измерений входных параметров системы состоит из времени измерений и времени выполнения вспомогательных действий:
Тд = tr + tk,
где tr - время, затрачиваемое на измерение, т.е. время выполнения цепочки основных атомов.
Поскольку считаем, что конфигурация исполнительной компоненты периферийного оборудования системы проектирования определена, время выполнения цепочки основных атомов не может быть меньше некоторой минимальной величины, т. е. имеется следующее ограничение снизу:
tr > trmin.
В общем случае, исходя из условий существования ограничений сверху и снизу на длительность выполнения цепочки основных атомов, получается ограничение на среднее время выполнения вспомогательных атомов:
tk < Tm
t
rmin
С учетом вышеприведенных выражений это соотношение можно переписать в виде:
3
Ng
Ng
X gi = X ft
T
t„
ki < A Tk
A Tk -
T
T
i=l i=1
где A Tk — средняя доля времени, затрачиваемое на контроль; Nd - количество постоянно выполняемых вспомогательных атомов для некоторого примитива.
Потери информативности при проектировании СТС являются функциями от частоты выполнения вспомогательных операций. Задача построения цепочки для реализации некоторого заданного примитива сводится к определению частоты f выполнения вспомогательных атомов. Очевидно, что все частоты f удовлетворяют соотношению
AT
0 < f <
t,
В частном случае, когда вспомогательные атомы не включены в цепочку
выполнения i-го примитива, частота f = 0. В другом крайнем случаеf- ^^kA , т.е.
весь цикл измерений тратится на выполнение вспомогательных действий.
Определим оптимальные частоты выполнения вспомогательных атомов, исходя из принципа получения максимума информативности процесса подготовки входных данных
Задача определения оптимальных частот fi имеет решение на границе допустимого множества значений, определяемого накладываемыми
ограничениями. Информационные потери f являются монотонно убывающими функциями частот f (чем короче интервал между моментами выполнения вспомогательных действий, тем меньше потери). Пусть вектор частот находится в некотором положении внутри разрешенной области и имеет значения своих составляющихf1, f2,... fn. Движение от этой точки к границе области соответствует увеличению значений всех компонент этого вектора, т.е. уменьшению функционала информационных потерь, что и доказывает утверждение о наличии решения на границе. Нахождение решения сводится к задаче минимизации функционала информационных потерь и имеет единственное решение [1].
4
В практических приложениях можно вводить наравне с рассмотренным информационным показателем качества алгоритма проектирования и другие показатели качества и оптимизировать затраты времени на проведение процесса подготовки и проектирования, самого процесса проектирования, а также материальные затраты и т.п.
Чем больше физике приходится заниматься сложными системами, тем больше мы осознаем необходимость введения новых понятий. Физика все более утрачивает некоторые черты, например, способность делать точные предсказания
[2].
В задаче распознавания состояния безопасности различных СТС наиболее точное решение может быть получено, если оно принимается на основе достаточного количества исходных данных.
По своей сути, сложные технические системы строятся по рекуррентному алгоритму управления, т.е. новый элемент управления основан на предыдущем (определен на основе предшествующих). Это ведет к усилению единожды допустимого сбоя - потому, что атомная электростанция сама предназначена для выработки электроэнергии и безопасность ее обеспечивается электроэнергией -т.е. один сбой по электропитанию приводит к катастрофе. В авиации управление полетом осуществляет человек, он принимает решение о посадке, выходе на аэродром и т.п. и вся система безопасности основана на человеческом факторе (нет дублирующих систем, отсутствует препятствие на пути принятия катастрофического управления, разрывающего рекуррентный характер алгоритма управления). (Конечно, надежность энергосистемы высочайшая, но ведь по определению системная безопасность как наука занимается катастрофами (сбоями) в супернадежных системах.
Таким образом, напрашивается вывод о необходимости внедрения в систему элементы (подсистемы), неподвластные рекуррентному алгоритму, не поддающимися описанию рекуррентными моделями, разрушающими
рекуррентный алгоритм управления СТС. Например, охлаждение АЭС
5
альтернативными источниками энергии - приливная волна, ветер и др. В самолете
- антипосадочная система, неподвластная указаниям министров.
В рекуррентных системах одна ошибка в любом элементе системы или ее подсистемы превращают гармонию (аттрактор) в хаос. Именно рекуррентность, лежащая в основе построения сложной системы, ведет к катастрофам - надо найти возможность разрушения рекуррентности (как обоюдосторонней рекурсии), например, за счет информационного управления.
Здесь мы имеем дело, по сути, с сильной положительной обратной связью
- финансовый рынок зациклен на финансовых операциях и не подкреплен отрицательной обратной связью, например, производственными мощностями.
Переход на катастрофический сценарий развития ситуации сродни буферкации, т.е происходит переход количества в качество, переход в другой аттрактор, имеющий катастрофически низкий потенциальный (организационный, энергетический, информационный, затратный) уровень, в который скатывается высокоорганизованная система с поразительной скоростью. Идти вниз легче, чем подниматься в гору.
Таким образом, на концептуальном уровне необходимо предусмотреть меры, разрушающие рекуррентный алгоритм управления (построения) СТС (и не только технических, а произвольных сложных систем).
На техническом уровне нельзя оценивать безопасность, как во многих современных приложениях, по временным характеристикам (например, по величине дисперсии промежутков между регламентными осмотрами и ремонтами), т.к. они (осмотры и ремонты) не обеспечивают отсутствие сбоев (в том числе и катастрофических) в работе системы. Так, в теории гарантированного управления эксплуатацией это положение вполне доказывается.
Что может служить критерием безопасности? Как это можно связать с информационным критерием безопасности?
Если аттрактор рассматривать как устойчивое состояние системы, переход на которое сопровождается всплеском (резким увеличением) количества информации, а катастрофа - это самый нижний энергетический уровень
6
(энтропийный) согласно законам термодинамики, при переходе на который не только не тратится, но даже выделяется большое количество энергии (той энергии, которая была затрачена на организацию среды существования СТС), то для обеспечения безопасности следует предотвратить буферкацию - как переход сложно организованной системы плюс сильный случайный толчок в новый аттрактор. Для этого на концептуальном уровне следует установить буфер, способный вернуть систему в сбалансированное состояние, но этот буфер должен обладать другой (отличной) физической структурой, не должен описываться рекуррентной моделью, должен в момент времени появления внешнего толчка (внешней накачки), если сравнивать с лазерным излучением) поднять «энергетический» барьер, с тем, чтобы не допустить «туннельного перехода» системы из стабильного в катастрофическое состояние.
Таким образом, напрашивается вывод о необходимости введения информационного критерия безопасности как индикатора повышения информационного уровня (в аттракторе информация локально минимальна, а для перехода в другой аттрактор уровень информации необходимо увеличивается). Превышение некоторого порога информационного критерия должно вести к изоляции СТС от внешней среды.
Ограниченность сознания влечет за собой тот эффект, согласно которому создаваемые алгоритмы (имитационные модели) как единственное средство описания (анализа) сложных систем (процессов, технологий) не учитывают все факторы и каналы взаимодействия систем. Основополагающими же принципами обеспечения безопасности СТС были и остаются ответственность управления, эшелонированная защита, имеющая иную, нежели сама система, физическую природу и технические принципы.
Статья подготовлена в рамках реализации проекта «Разработка методов и средств неразрушающего диагностирования бортовых радиотехнических устройств космических систем» (ГК № 14.740.11.0840) ФЦП «Научные и научно-педагогические кадры инновационной России (2009-2013 гг.)».
7
Литература
1. Юрков Н.К. Модели и алгоритмы управления интегрированными производственными комплексами Пенза, ИИЦ Пенз. гос. ун-та, 2003, -
198 с.
2. Хакен Г. Информация и синергетика. Макроскопический подход к сложным системам: пер. с англ./изд. 2-е доп. М.: КомКнига, 2005, - 248 с.
8
