DOI: 10.7256/2306-4595.2013.2.5111
Дата направления статьи в редакцию:
18-05-2013
Дата публикации:
1-06-2013
Аннотация:
Работа посвящена изложению результатов исследования проблем обеспечения безопасности на железнодорожном транспорте. Рассмотрены основные группы рисков, угроз и структурных уязвимостей объектов инфраструктуры железнодорожного транспорта (ОИЖТ). Изложены результаты разработки методов моделирования и анализа развития нештатных ситуаций (НШС) на ОИЖТ на основе использования методологии теории графов, построения структурных компонент и матриц взаимосвязи, а также моделей предупреждения НШС и чрезвычайных ситуаций с использованием индикаторного подхода. Приведены их теоретическое описание и результаты экспериментальной апробации, подтверждающие эффективность разработанных методов и моделей. Рассмотрены постановки и приведены методы решения многокритериальных задач оптимального размещения индикаторов в структуре сложных технических систем по критериям полноты, точности и своевременности обнаружения сбоев и отказов различного типа. Для решения поставленных задач с учетом их высокой вычислительной сложности предложено использовать комбинацию различных приближенных алгоритмов, строящих решения по отдельным критериям, либо модифицирующих некоторое заранее заданное по иным критериям эффективности размещение индикаторов. Приведены рекомендации по практическому использованию изложенной в работе методологии при решении задач обеспечения техногенной безопасности объектов инфраструктуры железнодорожного транспорта. Работа выполнена при поддержке гранта РФФИ 11–07–13131 офи–м–2011–РЖД.
Ключевые слова:
Безопасность, управление, железнодорожный транспорт, структурная уязвимость, угроза, нештатная ситуация, чрезвычайная ситуация, техническая система, индикаторный подход, таблица решений
УДК: 007.001.8:301:681.3.00:51
Abstract: The article describes the results of researching problems of railway transport security. The authors of the article describe the main groups of risks, threats and structural vulnerabilities of railway transport infrastructure facilities. The authors also describe the results of developing methods of modeling and analysis of emergency situations at railway transport infrastructure facilities based on the theory of graphs, structural components and communication matrices. The authors offer models of prevention of emergency situations and incidents by using the indicative approach. The authors provide theoretical description and results of their experimental approbation proving these methods and models to be effective. The authors analyze examples of formulation and solution of multi-objective problems of optimical allocation of indicators in the structure of complex technical systems based on the criteria of plentitude, accuracy and good timing of discovering failures or errors. Taking into account high computational complexity, it is recommended to use a combination of different approximate algorithms to solve these problems. These algorithms either frame solutions based on particular criteria or modify locations of indicators that were previously set based on the other efficiency criteria. The authors describe how this method can be used to complete tasks of establishing technogenic security at railway transport infrastructure facilities.
Keywords: technical system, emergency situation, incident, threat, structural vulnerability, railway transport, management, security, indicative approach, decision table
Введение Эффективное функционирование железнодорожного транспорта Российской Федерации играет исключительную роль в создании условий для модернизации, перехода на инновационный путь развития и устойчивого роста национальной экономики, обеспечивает необходимые условия для обеспечения лидерства России в мировой экономической системе.
От состояния, безопасности и качества работы железнодорожного транспорта зависят не только перспективы дальнейшего социально – экономического развития, но также возможности государства эффективно выполнять такие важнейшие функции, как защита национального суверенитета и безопасности страны, обеспечение потребности граждан в перевозках, создание условий для выравнивания уровня развития регионов.
Производственно – технологический комплекс железнодорожного транспорта, обеспечивающий непрерывность и безопасность перевозочного процесса, представляет собой сложную многоотраслевую и многопрофильную инфраструктуру. Данная инфраструктура включает путь и путевое хозяйство; сооружения для посадки, высадки и обслуживания пассажиров; производственно - технические комплексы для погрузки, выгрузки, обработки и хранения грузов; системы сигнализации, централизации и блокировки; информационные комплексы для обеспечения безопасности движения поездов; системы и средства управления производственными процессами; устройства энергоснабжения (тяговые подстанции, контактные сети и т.д.); специализированные предприятия, службы и сооружения для экипировки и ремонта локомотивов и вагонов; комплексы иных производственных, ремонтных и обеспечивающих предприятий различного назначения и т.д.
Под безопасностью инфраструктуры железнодорожного транспорта понимается такое ее состояние, при котором отсутствует недопустимый риск, связанный с причинением вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, а также окружающей среде, жизни или здоровью животных и растений [1,2].
Анализ показывает, что с каждым годом повышается уровень сложности технических систем, в том числе являющихся элементами инфраструктуры железнодорожного транспорта. При этом происходит одновременное увеличение числа задействованных элементов в системе (размерностная сложность), рост разнообразия структур взаимодействия элементов (структурная сложность) и повышение разнообразия этого взаимодействия (функциональная сложность). Значительный рост сложности систем неизбежно приводит к увеличению количества и разнообразия природы рисков различного типа, сопутствующих производству, наладке, техническому обслуживанию и эксплуатации этих систем [3,4]. В зависимости от конкретной системы и ситуации проявление этих рисков может быть различным. При этом риск может заключаться в возможности нарушения нормального функционирования или выхода из строя отдельного узла или всей системы в целом.
Обширный опыт эксплуатации сложных технических систем (СТС) различного класса и назначения показывает, что, как правило, возникновению внезапных чрезвычайных ситуаций (ВЧС) предшествует фаза накопления каких-либо дефектов в технологическом оборудовании или отклонений в протекании того или иного технологического процесса [5]. Длительность данной фазы может очень существенно различаться (от минут до суток). При этом на первом этапе сами по себе дефекты или отклонения не представляют непосредственной угрозы возникновения ВЧС. Происходящие на практике процессы накопления подобных отклонений от нормы связаны, как правило, либо с ненаблюдаемостью работы элементов и подсистем СТС из-за отсутствия эффективных средств мониторинга и диагностики, либо, что бывает гораздо чаще, с тем, что персонал привыкает к такого рода отклонениям, поскольку они далеко не всегда приводят к авариям. На следующей фазе происходит внезапное так называемое инициирующее событие, которое приводит к лавинообразному развитию неблагоприятных процессов и возникновению ВЧС, последствия которой существенно усугубляются отсутствием организационно – технических механизмов противодействия, а также недостатком времени и ресурсов для его эффективного осуществления. Очевидно, что возникающая на третьей фазе как результат быстрого развития событий авария или чрезвычайная ситуация в абсолютном большинстве случаев была бы невозможной без накопления ошибок на первой стадии.
Именно поэтому в процессе эксплуатации СТС очень важно иметь точную информацию о текущем состоянии системы и ее отдельных узлов, а также сценарный прогноз развития ситуации на определенные будущие периоды времени [6]. Данная информация крайне необходима для своевременного диагностирования текущих и будущих вероятных отклонений состояния системы от нормального, а также для принятия решений по исправлению этих отклонений.
Для решения данной задачи и предназначен изложенный в настоящей работе индикаторный подход, включающий комплекс моделей и технологий анализа процессов воздействия угроз и распространения возмущений различной природы в сложных технических системах; методов структурной декомпозиции, позволяющих снизить структурную сложность модели и уменьшить число рассматриваемых элементов и связей между ними без потери уровня информированности оператора (диспетчера), а также методов решения многокритериальных задач оптимального размещения индикаторов в структуре СТС по критериям полноты, точности и своевременности обнаружения отказов различного типа. 1. Анализ угроз и структурных уязвимостей объектов инфраструктуры железнодорожного транспорта Как и любая транспортная система, железнодорожный транспорт представляет потенциальную опасность для человека. Основными особенностями железнодорожного транспорта являются:
- концентрация большого количества пассажиров в пригородных и поездах дальнего следования;
- высокие скорости перевозок пассажиров и грузов на магистральных линиях;
- уязвимость для проведения террористических актов на путях, подвижном составе, пассажирских и грузовых станциях;
- большие объемы перевозок и высокая концентрация опасных грузов на узловых станциях (воспламеняющиеся газы, горючие жидкости, токсичные и высокотоксичные вещества, окисляющие вещества, взрывчатые вещества, радиоактивные вещества, боеприпасы и вооружение и т.п.);
- наличие большого количества пересечений с автомобильными дорогами в одном уровне;
- огромная протяженность магистральных линий, удаленность значительной их части от населенных пунктов и автодорог.
Перечисленные особенности вызывают особую тяжесть последствий аварий, катастроф и стихийных бедствий на железнодорожном транспорте, которая обусловлена слабой предсказуемостью мест их возникновения, комплексным характером последствий и наличием вторичных факторов риска, затрудненностью и большим временем доступа сил и средств ликвидации последствий к очагу чрезвычайной ситуации [7-9].
В настоящее время в условиях увеличивающейся интенсивности различного рода угроз и резкого изменения экономического механизма функционирования объектов инфраструктуры железных дорог и всей транспортной системы в целом, особую актуальность приобретает разработкаконцептуальных и методологическихоснов анализа и повышения эффективности систем обеспечения безопасного функционирования железнодорожного транспорта.
По уровню рисков, технической сложности, потенциальной опасности и функциональной значимости объекты инфраструктуры железнодорожного транспорта условно можно подразделить на объекты технического регулирования, опасные производственные объекты и критически важные объекты [10]. При анализе рисков для каждой категории объектов предлагается исходить из трехкомпонентной системы их взаимодействия с факторами внешней среды:
- взаимодействие с человеком (социальный фактор);
- взаимодействие с производственным процессом (техногенный фактор);
- взаимодействие с окружающей средой (природный фактор).
В утвержденной Правительством РФ Стратегии развития железнодорожного транспорта в Российской Федерации до 2030 года [11] выделены основные группы рисков его функционирования: операционные, макроэкономические, техногенные, социальные, природно - климатические и ряд других. Данные риски определяют, в свою очередь, совокупность угроз и структурных уязвимостей объектов инфраструктуры железнодорожного транспорта (ОИЖТ).
Совокупность объектов железнодорожного транспорта, характеристики которых существенно влияют на интегральный уровень безопасности функционирования железных дорог включает: формы собственности и характеристики системы управления, железнодорожные пути общего и других видов пользования, железнодорожные станции, устройства электроснабжения, сети связи, системы сигнализации, централизации и блокировки (СЦБ), информационные комплексы и системы управления движением, железнодорожный подвижной состав, а также технологические процессы, формирующие перевозочный процесс.
Существенным для данной системы являются отношения подчиненности, так как именно они определяют направление, последовательность и приоритеты разработки технических регламентов функционирования ее элементов, а также используемые модели и методы обеспечения их безопасности. Поэтому, чтобы обеспечить заданный уровень безопасности для ОИЖТ более высокого уровня, необходимо обеспечить соответствующие значения параметров безопасности составляющих его объектов и их функциональных взаимосвязей.
В соответствии с действующими техническими регламентами уровень безопасности объектов железнодорожного транспорта определяется подтвержденными значениями показателей безопасности функциональных подсистем и процесса перевозки, а последние – соответствующими параметрами безопасности составляющих их элементов.
Эксплуатационная безопасность железнодорожного транспорта определяется как состояние защищенности жизни и здоровья людей, жизненно важных интересов общества и государства от опасностей и угроз, возникающих в процессе функционирования железных дорог. В соответствии с этим безопасное функционирование такой сложной технико - технологической системы, как железнодорожный транспорт, определяется качеством (степенью) их парирования, которое со стороны государства обеспечивается созданием нормативно - правовых регуляторов, организационных механизмов, моделей и методов обеспечения безопасности функционирования железных дорог. Таким образом, чтобы эффективно управлять процессом обеспечения эксплуатационной безопасности железнодорожного транспорта, необходимо точно и однозначно установить те процессы и объекты управления (включая их характеристики), которые являются потенциальными источниками опасностей и угроз, и затем обеспечить эффективное управление ими с целью осуществления в необходимых объемах и с достаточным уровнем безопасности перевозок грузов и пассажиров.
Проведенный анализ нормативно – правового обеспечения процессов управления эксплуатационной безопасностью объектов железнодорожного транспорта показал, что в настоящее время одним из основных его недостатков является отсутствие рекомендаций по разработке моделей и методов анализа процессов возникновения чрезвычайных, нештатных и аварийных ситуаций на ОИЖТ, а также по выбору способов снижения тяжести отрицательных последствий их возникновения и обеспечения необходимых уровней отказоустойчивости, живучести и общей безопасности функционирования ОИЖТ.
Анализ ключевых факторов риска, несущих в себе различного рода угрозы безопасности ОИЖТ, позволил их сгруппировать в иерархический ряд поколений (фактор каждого верхнего уровня является порождающим для ряда факторов следующего). Онтология групп рисков функционирования ОИЖТ представлены на рис. 1 [12].
Рис. 1. Группировка факторов безопасности ОИЖТ.
(ОИЖТ – объекты инфраструктуры железнодорожного транспорта, НШС - нештатная ситуация, ВЧС - внезапная чрезвычайная ситуация).
Не ставя своей целью разработку полной и всеобъемлющей классификации конкретных угроз безопасности железнодорожного транспорта, ограничимся перечислением лишь наиболее типичных из них, реализация которых приводит к сходам подвижного состава, крушению поездов, железнодорожным авариямиликатастрофам.
1. Путь и путевое хозяйство:
- повреждения пути или неисправности путевого хозяйства в результате ненадлежащего технического обслуживания в том числе:
- наличие остродефектных рельсов, имеющих выколы головки, поперечный излом, трещины, выбоины или недопустимый вертикальный (боковой) износ;
- уширение или сужение пути;
- недопустимые отступления по уровню или перекосы; резко выраженные углы, угон и выбросы пути;
- вертикальный и боковой уступы в рельсовых стыках либо недопустимая величина стыкового зазора;
- ослабление рельсовых скреплений;
- изношенность, кустовая гнилость или оседание шпал и др.;
- неисправности стрелочных переводов (неплотное прилегание или разъединение стрелочного остряка и рамного рельса, недопустимое понижение наружной нити по отношению к внутренней (обратное возвышение) и др.);
- дефекты балластного слоя (наличие просадок, пучин, оползней, разжижений, так называемых «балластных корыт» и т.п.);
- повреждения пути в результате стихийных бедствий, в том числе:
- разрушение участков путей в результате землетрясения;
- подмывания грунтов (балластного слоя) водными потоками или в результате наводнения;
- разрушение пути в результате схода селей, грунтовых обвалов, оползней, схода снежных лавин и т.п.;
- падение деревьев на пути в результате ураганов, торнадо и т.п.;
- разрушение путевого хозяйства под воздействием природных пожаров;
- умышленное разрушение или повреждение путевых сооружений или верхнего строения пути (рельсов, шпал, рельсовых скреплений) в результате терактов (подрыва путей, разболчивания рельсовых звеньев и т.п.) или актов вандализма;
- оставление на железнодорожных путях предметов и иных препятствий, создающих помехи движению поездов;
- падение на путь деталей подвижного состава;
- нарушение правил безопасного проезда железнодорожных переездов автомобильным или гужевым транспортом;
- нарушение правил прогона скота через железнодорожные пути.
2. Системы энергоснабжения, СЦБ и связи, диспетчерские службы:
- обрыв контактной сети под воздействием неблагоприятных метеорологических условий (вызывающий падение деревьев сильный ветер, обледенение и т.п.) или техногенных аварий;
- внезапное прекращение подачи электроэнергии как следствие выхода из строя питающих линий, постов секционирования или тяговых подстанций в результате короткого замыкания в сети, разрушения средств релейной защиты, перегрузки и веерного отключения внешних источников электропитания и т.п.;
- технические неисправности устройств СЦБ и связи (отказ в работе автоматической блокировки, централизации стрелок и сигналов и т.п.);
- отказ систем автоматической блокировки, централизации стрелок и сигналов в результате несогласованности схем электропитания контактной сети и линий СЦБ и связи, а также их необеспеченности резервным питанием;
- ложное появление разрешающего показания на светофоре вместо запрещающего в результате сбоя системы автоблокировки и сигнализации;
- прием поезда на занятый путь или отправление на занятый перегон;
- приём или отправление поезда по неподготовленному маршруту.
3. Подвижной состав;
- проезд запрещающего сигнала светофора или предельного столбика;
- превышение скорости движения состава;
- отказ тормозной системы подвижного состава;
- пожар пассажирского подвижного состава в пути следования;
- самопроизвольный уход подвижного состава на маршруты приёма или отправления поездов или на перегон;
- превышение предельно допустимого веса груза товарного вагона;
- развал груза в пути следования состава;
- возгорание или взрыв пожаровзрывоопасных грузов в пути следования, при выполнении маневровых работ, экипировке и других передвижениях или при стоянке на грузовой станции;
- самопроизвольное высвобождение из вагонов или контейнеров (высыпание, разлив или выброс в атмосферу) агрессивных, ядовитых или иных опасных веществ, материалов, изделий или отходов (грузов);
- излом и другие повреждения ходовой части подвижного состава (оси колесной пары, осевой шейки, боковой рамы или надрессорной балки тележки вагона, рессорных комплектов, кронштейнов и др.);
- отцепка вагона от пассажирского поезда в пути следования из-за обрыва автосцепки подвижного состава или иных технических неисправностей;
- отцепка вагона от грузового поезда в пути следования из-за перегрева буксы или иных технических неисправностей.
Проведенный анализ угроз и структурных уязвимостей ОИЖТ позволил разработать методы моделирования и анализа развития нештатных ситуаций в системе железнодорожного транспорта с использованием аппарата теории матриц и индикаторного подхода.
2. Методы моделирования и анализа процессов развития нештатных ситуаций на основе построения структурных компонент и матриц взаимосвязи Одним из развитых общих средств предварительного анализа множества возможных альтернативных решений или реакций системы управления сложными техническими объектами железнодорожного транспорта на различные условия внутренней и внешней среды являются таблицы решений (ТР).
При составлении таблиц решений, описывающих условия и правила их принятия при управлении ОИЖТ в условиях возникновения нештатных и чрезвычайных ситуаций, предполагается, что набор действий системы управления детерминирован и определяется набором значений конечного числа ее входных параметров или условий функционирования, каждое из которых может принимать одно из конечного множества значений. Таким образом, функционирование системы описывается вектором - функцией `A=F(R)` , где `R` – вектор входных параметров (условий), `A` – вектор выходных параметров (действий).
Таблицы решений оказываются весьма удобными при анализе и принятии решений в так называемых состязательных ситуациях, т.е. в условиях детерминированных или случайных отклонений в функционировании ОИЖТ, связанных с нештатными ситуациями различного типа.
На основе результатов анализа выявленных отклонений формируется множество возможных альтернативных действий, из которых выбирается подмножество альтернатив, наиболее эффективных в смысле максимального влияния на процесс восстановления нормального функционирования ОИЖТ.
Для решения комплекса рассматриваемых задач разработана классификация нештатных ситуаций (НШС) на ОИЖТ с точки зрения степени готовности системы управления и технических служб железных дорог к ликвидации последствий возникновения внезапных чрезвычайных ситуаций (ВЧС), которая иллюстрируется рис. 2. [12,13].
Чрезвычайная ситуация на ОИЖТ определяется как неблагоприятное сочетание факторов и событий, создающих угрозу жизни людей, нарушающих условия их нормальной жизнедеятельности.
Нештатная ситуация определяется как непредусмотренное программой или регламентом штатного функционирования состояние ОИЖТ, их составных частей и элементов, включая путевое хозяйство и станции, грузовые и пассажирские поезда, вокзальные и иные помещения, оборудование, обслуживающий персонал и обслуживаемое население и т.д.
Рис.2. Классификация нештатных ситуаций
Аварийные ситуации определяются как ситуации, следствием которых являются полное или частичное разрушение ОИЖТ или его отдельных частей, а также угроза ухудшения здоровья или гибели обслуживающего персонала и обслуживаемого населения.
Рассмотренные НШС – это нештатные ситуации в процессе эксплуатации ОИЖТ, возможность возникновения которых была выявлена в процессе их проектирования и создания, и которые внесены в конструкторскую и эксплуатационную документацию, а также в регламенты функционирования зданий и сооружений ОИЖТ.
Нерассмотренные – это такие НШС, анализ которых не мог быть проведен или не проводился в проектный период и которые не содержатся в конструкторской и эксплуатационной документации, а также в регламентах функционирования зданий и сооружений ОИЖТ.
Прогнозируемые – это такие НШС в процессе эксплуатации ОИЖТ, способы и средства выхода из которых предусмотрены и внесены в конструкторскую и эксплуатационную документацию, а также в регламенты функционирования зданий и сооружений ОИЖТ.
Непрогнозируемые – это НШС, причиной возникновения которых являются отказы, приводящие к нерасчётным или неопределённым условиям эксплуатации. Выходы из таких НШС не гарантируются с помощью разработанных способов и средств, но для них могут быть предусмотрены мероприятия, снижающие риск и повышающие отказоустойчивость и живучесть ОИЖТ.
Проведенный анализ показывает, что одним из характерных проявлений НШС является появление соответствующих индикативных данных о состоянии элементов ОИЖТ, моделируемых с использованием теории графов и аппарата теории матриц
Содержательно, основная задача анализа и предупреждения ВЧС в рамках предлагаемой методологии состоит в определении матриц предшествования и достижимости для конкретного элемента ОИЖТ, который может находиться в ненормированном, близком к отказу состоянии [14,15]. Дальнейший анализ матрицы предшествования позволяет выявить информационные элементы (причины), которые могли повлечь появление ВЧС, а анализ матрицы достижимости – взаимовлияния ВЧС и ее последствий. Рассмотрим процесс построения этих матриц, совокупность которых представляет собой динамическую модель развития ВЧС на ОИЖТ.
Процесс построения матрицы достижимости осуществляется в два этапа.
На первом этапе множество элементов модели ОИЖТ разделяется на отдельные подмножества, образующие ее структурные компоненты. Процедура разделения обеспечивает построение удобной для последующего анализа матрицы достижимости в блок - треугольной форме (все записи справа от главной блок - диагонали не равны 1), формирование структуры модели, а также ее частичное заполнение, выполняемое автоматически на основании свойства транзитивности отношения достижимости соответствующих элементов. Разделение модели ОИЖТ на структурные компоненты носит итеративный характер. Каждая итерация процесса разделения состоит из нескольких частей. Первая итерация всегда содержит только одну часть; вторая итерация - до трех, в зависимости от результатов реализации первой итерации; третья - до девяти частей; `n` –я итерация может иметь до `3^(n-1)` частей. Каждая часть включает три одинаковых для всех итераций шага.
Рассмотрим содержание каждого шага для первой итерации процесса разделения модели ОИЖТ на структурные компоненты.
Пусть `D={d_1, d_2, ... , d_i, ... , d_s}` - множество элементов модели ОИЖТ, `d_i in D` - элемент множества, наиболее подверженный отказам. На первом шаге первой итерации на основании информации о существовании путей или взаимосвязей от элемента `d_i` ко всем другим элементам формируется множество достижимости `R^0(d_i)` для `d_i` , в которое входят элементы множества `D`, достижимые из `d_i` и отличные от этого элемента.
На втором шаге во множестве достижимости `R^0(d_i)` выделяется подмножество элементов, из которых достижим элемент `d_i` . Это подмножество назовем множеством обратных связей `d_i` и обозначим `F(d_i)`. Элементы множества `F(d_i)` являются элементами множества замкнутых циклов, включающих элемент `d_i` .
Третий шаг заключается в разбиении множества элементов `D-R^0(d_i)-d_i` на два подмножества - предшествования и вакансий для `d_i` . На основании данных о существовании направленных путей от элементов множества `D-R^0(d_i)-d_i` к элементу `d_i` формируется множество предшествования `A^0(d_i)`, в которое войдут все элементы из `D-R^0(d_i)-d_i` , и для которых достижим элемент `d_i`. Остальные элементы `D-R^0(d_i)-d_i`, т.е. элементы, не связанные с `d_i`, войдут в множество вакансий `V(d_i)` для данного элемента.
Таким образом, множество `D` в результате разделения на элементе `d_i in D` разбивается на следующие пять подмножеств:
`R^0(d_i)-F(d_i); ` `F(d_i);` `d_i;` `V(d_i);` `A^0(d_i).`
Если каждое из множеств `R^0(d_i)-F(d_i);` `V(d_i)` или `A^0(d_i)` приведенного выше разделения пусто или состоит из одного элемента, то последующих итераций разделения не потребуется. В противном случае каждому из названных множеств, содержащих более одного элемента, будет соответствовать одна часть разделения второй итерации. При этом множество `R^0(d_i)-F(d_i);` `V(d_i)` или `A^0(d_i)` разделяется на произвольно выбираемом в нем элементеподобно тому, как производилось разделение множества `D` на первой итерации.
На третьей итерации разделения рассматриваются все множества, состоящие более чем из одного элемента, аналогичные множествам `R^0(d_i)-F(d_i);` `V(d_i);` `A^0(d_i)` первой итерации и т. д. Такой итеративный процесс упорядочивания множества элементов модели возможного развития ВЧС продолжается до тех пор, пока в результате не будут получены пустые или состоящие из одного элемента множества, аналогичные множествам `R^0(d_i)-F(d_i);` `V(d_i);` `A^0(d_i)` первой итерации. Число итераций разделения на элементах конечно, как конечно число `S` элементов множества `D` и не может превышать `S-1`.
Разделение множества элементов `D` на элементах `d_i in D` соответствует заполнению в матрице достижимости строки и столбца, проиндексированных этим элементом, и позволяет выделить в ней тринадцать подматриц, как показано на рис. 3, восемь из которых заполняются на основании свойства транзитивности отношения достижимости элементов.
Рис. 3. Структура матрицы достижимости
Все записи подматрицы, проиндексированной `R^0 (d_i),` `V(d_i),` должны быть нулями, т. е. ни один элемент из `V(d_i)` не достижим ни из какого элемента множества достижимости `R^0(d_i),` т. к. в противном случае в множестве вакансий были бы элементы, достижимые из элемента `d_i` , что противоречит определению множества `V(d_i)` . Все записи подматрицы, проиндексированной `R^0(d_i),` `A^0(d_i),` также должны быть нулями, т. к. в противном случае существовали бы направленные пути от `d_i` к элементам множества предшествования `A^0(d_i),` что противоречит определению множества `A^0(d_i)`. Нулевыми записями заполняется и матрица, проиндексированная `V(d_i),` `A^0(d_i),` т. к. в противном случае существовали бы направленные пути от элементов множества вакансий к элементу `d_i` , что противоречит определению множества вакансий. Подматрица, проиндексированная `R^0(d_i)-F(d_i),` `F(d_i)` , должна быть заполнена нулевыми записями, т. к. в противном случае элементы множества `R^0(d_i)-F(d_i)` должны принадлежать множеству обратных связей. Записи подматрицы, проиндексированной `V(d_i),` `F(d_i)` , также должны быть нулями, т. к. в противном случае элемент `d_i` был бы достижим из элементов множества вакансий `V(d_i)` .
Подматрицы, проиндексированные `F(d_i),` `R^0(d_i)-F(d_i)` и `F(d_i), F(d_i)` заполняются единичными записями, поскольку существуют направленные пути от любого элемента множества обратных связей `F(d_i)` к `d_i` и от `d_i` ко всем элементам множества достижимости `R^0(d_i),` включая множество обратных связей. Существование направленных путей от любого элемента множества предшествования `A^0(d_i)` к элементу `d_i` и от `d_i` ко всем элементам множества достижимости `R^0(d_i),` определяет заполнение подматрицы, проиндексированной `A^0(d_i), R^0(d_i),` единицами.
Подматрицы `M_((R^0-F)(R^0-F)` , `M_(A^0 A^0)` , `M_(VV)` расположенные вдоль главной диагонали матрицы достижимости и соответствующие структурным компонентам модели, сами могут быть интерпретированы как матрицы достижимости элементов, образующих множества индексов для этих матриц. Поэтому для определения записей `M_((R^0-F)(R^0-F)` , `M_(A^0 A^0)` , `M_(VV)` каждая из этих матриц также разделяется на произвольном элементе множества своих индексов, если, конечно, такое множество содержит более одного элемента. Это разделение осуществляется на второй итерации процесса. Если в результате второй итерации вдоль главных диагоналей названных матриц имеются незаполненные подматрицы, аналогичные `M_((R^0-F)(R^0-F)` , `M_(A^0 A^0)` , `M_(VV)` с множеством индексов, состоящим более, чем из одного элемента, то дальнейшее упорядочивание множества элементов модели осуществляется на третей итерации и т. д.
Такой процесс разбиения множества элементов позволяет определить все записи матрицы достижимости, кроме записей в подматрицах типа `M_(V(R^0-F).` `M_(A^0V)` на первой итерации и в аналогичных им подматрицах, получаемых в результате каждой последующей итерации. Каждая из этих подматриц, которые будем называть матрицами взаимосвязи, описывает взаимосвязь двух соответствующих структурных компонент модели возникновения и развития ВЧС с точки зрения отношения достижимости элементов этих компонент. Заполнение всех матриц взаимосвязи осуществляется на втором этапе конструирования матриц достижимости.
Взаимосвязи между парами структурных компонент модели развития ВЧС и соответствующими им подграфами носят каскадный характер, т. е. возможна только односторонняя связь между множеством элементов одной компоненты модели и множеством элементов другой. Например, на любой итерации первого этапа построения матрицы `M` взаимосвязи элементов множества предшествования с элементами множества вакансий могут быть направлены только от элементов первого множества к элементам второго, а взаимосвязи элементов множества, образованного вычитанием множества обратных связей из множества достижимости, с элементами множества вакансий - только от элементов второго множества к элементам первого.
Заполнение матриц взаимосвязи осуществляется на втором этапе построения матрицы достижимости на основе составления и решения логического уравнения специального типа, которое назовем характеристическим. Оно составляется следующим образом. Для каждой пары компонент и соответствующих им подграфов `A^*` и `B^*` взаимосвязи устанавливаются в результате заполнения матрицы `M_(BA)` . Пусть все взаимосвязи направлены от `A^*` к `B^*` (следовательно, `M^(*)__(AB)=0` ), а матрицы достижимости `M_(A A)` и `M_(B B)` компонент `A^*` и `B^*` являются подматрицами матрицы достижимости `M` и определяются в результате разделения на элементах на первом этапе построения матрицы достижимости `M` . Если `M_(A A)` и `M_(B B)` содержат матрицы взаимосвязи, то они заполняются в соответствии со специально разработанным для этой цели алгоритмом [13].
Будем считать, что орграфы `A^*` и `B^*` не содержат циклов, и, следовательно, главные блок - диагонали матриц `M_(A A)` и `M_(B B)` не имеют подматриц, заполненных единицами. Такой вид достигается переходом к матрицам и графам конденсации для заданных матриц достижимости.
Характеристическое уравнение выражает необходимые и достаточные условия, которым должны удовлетворить элементы матрицы взаимосвязи `M_(BA)` , связывающей два орграфа `A^*` и `B^*` в единый орграф `C^*` с матрицей достижимости `M_(C C)` .
Каждое решение характеристического уравнения определяет содержание одной из возможных матриц взаимосвязи `M_(BA)` , которая отражает взаимосвязи орграфов `A^*` и `B^*` .
Таким образом, в результате анализа матриц предшествования выявляются причины возникновения НШС, а матриц достижимости – их последствия для объектов инфраструктуры железнодорожного транспорта.
3. Модели и методы анализа и предупреждения нештатных ситуаций с использованием индикаторного подхода Как уже было отмечено выше, процесс повышения сложности ОИЖТ неизбежно приводит к увеличению количества и разнообразия различных типов возможных НШС, т.е. рисков, сопутствующих процессам эксплуатации этих систем. В зависимости от конкретной системы и ситуации проявление этих рисков может быть различным. Риск может заключаться в возможности нарушения режима нормального функционирования, заключающегося в выходе из строя (отказе) отдельного узла или всей системы в целом. Риски можно классифицировать не только по масштабам нарушений функционирования системы, но и по последствиям, вызываемым этим риском. В процессе эксплуатации любой технической системы ОИЖТ очень важно иметь точную информацию о текущем состоянии системы и ее отдельных узлов. Эта информация необходима для своевременного распознавания отклонений состояния системы от нормального, а также для принятия решений по исправлению этих отклонений. В СТС ОИЖТ для получения информации об их состоянии используются специальные системы мониторинга различного уровня автоматизации. Причем чем сложнее исследуемая система, тем выше должен быть уровень автоматизации системы мониторинга ее состояния.
Для описания и моделирования сложно - структурированных систем типа ОИЖТ будем аналогично изложенному выше использовать методы матричного анализа и теории графов, т.к. этот аппарат позволяет подробно и глубоко исследовать взаимосвязи и взаимодействия в сложных технических системах (СТС) ОИЖТ.
Элементами исследуемой модели распространения возмущений типа сбоев и отказов в СТС ОИЖТ являются события, происходящие в системе, или связанные с ней, а также различные логические комбинации таких событий. В набор элементов модели обязательно входят события срабатывания различных датчиков, установленных в СТС ОИЖТ. При этом будем считать, что все датчики регистрируют повышение опасности, т.е. срабатывание датчика означает выход некоторого параметра системы за пределы нормы. Элементы модели связаны в единый граф, отображающий взаимосвязи между элементарными событиями.
Для передачи информации о состоянии технической системы операторам (диспетчерам) среди элементов модели выбирается подмножество индикаторов, т.е. таких элементов модели, информация о состоянии которых доступна оператору. Другими словами, имеется множество элементарных событий, наступление которых операторы могут контролировать с использованием определенного множества индикаторов.
На функционирование сложных технических систем ОИЖТ могут одновременно влиять распространяющиеся по системе внутренние и внешние угрозы и возмущения, приводящие к НШС и ВЧС. Поэтому исследование процессов распространения угроз и НШС по элементам или подсистемам ОИЖТ и анализ их влияния на функционирование ОИЖТ в целом являются весьма важными задачами. Это объясняется тем, что для сложных многоэлементных технических систем не исключен эффект “падения костей домино”, когда небольшие воздействия на начальном этапе в конечном итоге выводят из строя всю техническую систему на длительный срок и в наиболее тяжелых случаях приводят к многочисленным жертвам.
Известно, что классическая теория надежности практически не предоставляет эффективных инструментов для исследования и оценки состояния технической системы в целом, прогнозирования ее поведения под влиянием угроз различной природы и поражающих факторов, а также решения задач повышения отказоустойчивости и обеспечения живучести систем, функционирующих в условиях ВЧС.
Живучесть технических систем ОИЖТ, их способность функционировать в условиях внешних поражающих воздействий будем называть стойкостью. Введение этого понятия необходимо для постановки и решения задачи обеспечения стойкости сложных технических систем в условиях действующих НШС и ВЧС.
Для решения поставленной задачи и исследования поведения элементов ОИЖТ под влиянием внешних импульсных воздействий используем теоретико - графовый подход к формализованному представлению сложных технических систем.
Будем считать тождественными следующие понятия: граф системы и ее структура, вершина графа и элемент системы, ребро графа и связь между элементами системы. Отметим, что ребра графа могут отражать различные типы связей между элементами рассматриваемой системы – механические, электрические, информационные и т.д.
Рассмотрим совокупность моделей СТС ОИЖТ, использованных в рамках индикаторного подхода к решению задачи обеспечения необходимой живучести и стойкости ОИЖТ в целом.
Наиболее полной моделью в существующей их иерархии является комплексная модель аварийной ситуации на объекте инфраструктуры. Используемый применительно к ней индикаторный подход заключается в выборе рационального или оптимального множества индикаторов, обеспечивающих необходимую живучесть и стойкость СТС.
Изменения, происходящие в структуре СТС ОИЖТ под воздействием внутренней и внешней среды, могут быть описаны с использованием множества теоретико - графовых операций: стягивание ребра, удаление (добавление) ребра, удаление (добавление) вершины.
Структурные изменения в СТС могут иметь как позитивный характер, когда в системе появляются новые элементы, улучшающие устойчивость и качество ее функционирования, так и негативный, когда по различным причинам из строя выходят элементы системы, что существенно ухудшает или останавливает работу всей системы, приводит к различного рода ВЧС с отягчающими последствиями и т.п.
Обозначим через `G=(V,E)` – соответствующий структуре исследуемой СТС ОИЖТ граф, где `V` – множество вершин, `E` – множество ребер графа `G` . Каждой вершине `v in V` припишем веса `w(v)` и `barw(v)` , отражающие текущую и предельную загрузку элемента системы. Будем считать, что в случае, когда текущая загрузка `w(v)` элемента системы достигает предельного значения `barw(v)` , то данный элемент выходит из строя, а проходящие через него потоки перераспределяются по “соседним” элементам. Выход из строя элемента системы в теоретико-графовой терминологии соответствует удалению из графа системы вершины с инцидентными ей ребрами. А перераспределение весов в тривиальном случае соответствует равному разделению веса `barw(v)` удаленной вершины по вершинам, смежным с удаляемой.
Очевидно, что структурное разрушение является динамическим процессом. Не нарушая общности, будем считать, что `w_i(v)` – текущая загрузка вершины `vin V` в момент времени `t=0, 1, 2, 3, ..., T, ...` . Если через `hatV_i={hatv^i__j}subeV`, `j=1,2,3, ..., |hatV_i|`, обозначить множество вершин, вышедших из строя в момент времени `t` , т. е. вершины, у которых `w_i(v_j)>=hatw(v_j)` , а через `xi(hatv^i__j)={v^j__i__j}` – окружение вершины `hatv^i__j` (или множество вершин смежных с вершиной `hatv^i__j` ), `|xi(v^i__j)|=` `"deg"hatv^i__j` , то процесс выявления последствий структурного разрушения может быть определен следующим образом.
В момент времени `t=0` необходимо произвести проверку по всем вершинам `v in V` , и сформировать множество `hatV_(1)` из вершин, для которых справедливо `w_(0)(hatv_(j))>=barw(hatv_(j))` . Во все последующие моменты времени `t=1, 2, 3, ..., T, ...` следует воспользоваться правилом:
`w_(i+1) (v^(j) _(i_(j)))=barw_(i) (v^(j)_(i_(j)))` + `epsi_(j)` `*barw(hatv_(j)),` `i_(j)=1,2,3,...,` `|xi(hatv^(i)_j)| ` ;
`j=1,2,3,...,|hatV_(i)| .`
Если `w_(i+1) (v^(j) _(i_(j)))=barw_(i) (v^(j)_(i_(j)))`, то вершина `v^(j)_(i_(j))` удаляется из графа `G` и `hatV_(i+1)+v^(j)_(i_(j))` .
Введем коэффициент `epsi_(j)` как параметр распределения загрузки. Параметр распределения загрузки может зависеть от различных факторов. В простейшем случае он равномерно распределяет предельную загрузку удаляемой вершины по соседним, т.е. для каждой вершины вычисляется как `epsi_(j)` `=(1)/("deg" hatv^(i)_j)` . Структурное разрушение при параметре распределения загрузки ` ` ` ` , будем назвать равномерным.
Процесс структурного разрушения необходимо рассматривать до тех пор, пока система не перейдет в критическое состояние, т.е., когда перестанет выполнять возложенные на нее функции.
Основной задачей моделирования процесса структурного разрушения является определение условий, при которых система переходит в критическое состояние. Переход системы в критическое состояние означает, что в системе начался процесс структурного разрушения, одновременно с этим система окончательно не прекратила функционировать. Систему можно считать вышедшей из строя только в том случае, когда произошедшие в ее структуре изменения будут удовлетворять определенным критериям отказа. Поэтому одной из основных характеристик в модели структурного разрушения будет служить время разрушения `T_(cp)` , отражающее длительность данного процесса.
Время `T_cp` ` ` ,соответствует продолжительности процесса структурного разрушения системы от момента первого удаления (выхода из строя) ее элемента до момента остановки данного процесса или отказа системы в целом.
Для формализации характеристик процесса структурного разрушения систем целесообразно использовать следующие критерии отказа.
- Критерий полного разрушения `sigma_(0)(k)` . Система считается вышедшей из строя, если в ней выйдут из строя все элементы (будут удалены все вершины графа структуры системы). Критерий полного разрушения `sigma_(0)(k)` зависит от параметра `k` – числа удаленных вершин в начальный момент времени процесса структурного разрушения.
- Критерий связности `sigma_(1)(k)` . Система считается вышедшей из строя, если нарушена связность ее структуры при удалении вершин. Критерий связности `sigma_(1)(k)` также зависит от параметра `k` .
- Компонентный критерий `sigma_(2)(k,m)` . Система считается вышедшей из строя, если число компонент в структуре системы при ее разрушении окажется не меньше заданного числа `m` . Компонентный критерий `sigma_(2)(k,m)` выхода системы из строя зависит от двух параметров: от `k` – числа удаленных вершин в начальный момент времени структурного разрушения, и `m` – максимально допустимого числа компонент структуры при ее разрушении.
- Диаметральный критерий `sigma_(3)(k,D)` . Система считается вышедшей из строя, если диаметр хотя бы одной из компонент структуры системы в процессе разрушения окажется меньше заданного числа `D` . Диаметральный критерий `sigma_(3)(k,D` выхода системы из строя зависит от двух параметров: от `k` – числа удаленных вершин в начальный момент времени структурного разрушения, и `D` – минимально допустимого диаметра компонент структуры при ее разрушении.
По мере необходимости в дальнейшем будут вводиться и другие критерии отказа систем.
Множество `Phi(G)` вышедших из строя или удаленных из структуры в момент времени `i=1` элементов будем называть эпицентрами структурного разрушения. В критериях `sigma_(0) (k)` , `sigma_(1) (k)` , `sigma_(2) (k,m)`, `sigma_(3) (k,D)` число соответствует количеству эпицентров структурного разрушения системы.
Для изучения реакции СТС ОИЖТ на внешнее влияние и нахождения наиболее уязвимых ее мест необходимо разработать метод формального представления системы и процесса внешнего воздействия на нее, а также определить динамику распространения возмущений по системе.
Для любого конечного графа будем использовать обозначение - `G=(V,E)`, где `V={v_(i)}, i,j=bar(1,n)` - множество вершин, а `E={e=(v_(i),v_(j))| i!=j}` - множество его ребер.
Распространение воздействия от одного элемента к другому на графе системы будем задавать ориентированным ребром - ребром с заданными началом и окончанием.
На орграфе `G=(V,E)` системы для вершины `i` `v_(i) in V` , `iin {1,2,...,n}` весом `0<w_(i)(t)<=1` является величина показателя качественного состояния элемента, соответствующего этой вершине. А весом `w(v_(i),v_(j))=epsi_(ij)` , `jin {1,2,...,n}` дуги `(v_(i),v_(j)) in E` является число `0<epsi_(ij)<=1` , равное сохранившейся доле передаваемого воздействия при переходе от вершины `v_(i)` к вершине `v_(j)` , называемой коэффициентом сопротивляемости.
Процесс изменения весов вершин графа системы можно отразить следующим правилом, называемым импульсным воздействием. Оно во многом напоминает импульсный процесс и заключается в следующем. Импульсное воздействие определяется импульсом `imp_(i) (t)` , `jin {1,2,...,n}` в дискретном времени , который задается отношением
`imp_(j) (t)=w_(j)(t)"/"w_(j)(t-1)` , при `t>0` . (1)
Тогда для `t>=0` и `i`- й вершины графа определим импульсное воздействие
`w_(i)(t+1)=w_(i) (t)` `prod^("deg"v_(i))_(j=1)` `epsi_(ji) imp_(i) (t)` , (2)
или
`w_(i) (t+1)=w_(i) (t)` `prod^("deg" v_(i))_(j=1)` `1-epsi_(ji) imp_(i) (t))` , (3)
полагая при этом, что `"deg" v_(i)` – число входящих в вершину `v_(i)` дуг.
Выражения (1), (2) и (3) задают изменения весов вершин графа `G=(V,E)` , тем самым определяя динамику распространения внешних воздействий по системе. Выражение (2) соответствует возрастающим импульсным воздействиям, которые увеличиваются при переходе от одной вершины к другой, а выражение (3) – затухающим, которые уменьшаются при переходе от одной вершины к другой.
Автономное импульсное воздействие на взвешенном орграфе `G` определим по правилу (2) с вектором начальных значений `W(0)=(w_(i) (0), w_(2) (0),..., w_(n) (0))` и вектором импульсов
`"Imp"(0)=(imp_(1) (0), imp_(2) (0),..., imp_(n) (0))` , (4)
задающим импульс `imp_(i) (0)` в каждой вершине `v_(i)` в момент времени `t=0` .
Автономное импульсное воздействие в паре с вектором начальных значений описывает состояние системы в начальный момент времени, когда под влияние внешних поражающих воздействий попадают все элементы системы.
Автономное импульсное воздействие, в котором вектор `"Imp"(0)=(1, 1,..., imp_(i) (0),...,1)`, `imp_(i)>0` имеет только `i`-ю отличную от единицы компоненту, назовем простым воздействием с начальной вершиной `v_(i) in V` . Простое импульсное воздействие описывает состояние системы в начальный момент времени, когда внешнее воздействие поражает один из элементов системы, а именно, тот, который соответствует `i` -й вершине графа.
В соответствии с описанным импульсным воздействием на орграфе можно ввести различные критерии отказа моделируемой системы. Можно считать, что система находится в состоянии отказа, если показатель качественного состояния хотя бы одного из наиболее значимых элементов системы ниже некоторого допустимого уровня. Этот уровень будем называть критическим уровнем качественного состояния элемента `v` и обозначать `"cr"(v)`. Если показатель качественного состояния элемента ниже критического уровня, то элемент не в состоянии осуществлять решение возложенных на него задач или функционировать требуемое время. Элемент, находящийся в состоянии отказа, не передает распространяющееся по системе импульсное воздействие.
Распространение поражающих воздействий по системе в модели (1) - (4) во многом зависит от структуры системы. Поэтому, целесообразно, подвергнуть тщательному анализу граф системы `G=(V,E)` , который в полной мере отражает ее структуру.
Во-первых, необходимо выяснить какую часть элементов системы может поразить внешнее воздействие, т.е. как глубоко может распространиться импульсное воздействие по структуре системы. При этом важно найти, вес каких вершин графа будет уменьшен при таком воздействии. Задача усложняется тем, что глубина распространения импульса зависит непосредственно от его “точки приложения”, т.е. от тех вершин, к которым будет приложен начальный импульс. В связи с этим, разумно, ввести ряд показателей и параметров, которые будут описывать возможную “поражаемость” элементов системы при различных внешних воздействиях.
Во-вторых, у графа системы возможно наличие контуров, т.е. конечной последовательности его дуг, начало каждой из которых обязательно совпадает с окончанием другой дуги из контура. Любой контур в модели является контуром положительной обратной связи. Таким образом, уменьшение веса любой вершины контура графа системы из модели (1) - (4) приведет к уменьшению надежности всех элементов контура, а, в конечном счете, и к уменьшению надежности первой подвергшейся воздействию вершины. Такое “зацикливание” импульсного воздействия может привести к потере работоспособности (переходу в предельное состояние) какого-либо элемента из контура. Более того, при подобном распространении импульса по графу системы, возможен отказ элемента системы, непосредственно не получавшего импульс воздействия. Необходимая формализация для определения контуров, являющихся “наименее стойкими” или “наиболее поражаемыми” местами в СТС, будет изложена ниже.
Функционирование системы в модели (1) – (4) в условиях внешних воздействий зависит от того, к каким элементам (имея в виду их количество и связи с другими элементами системы) в начальный момент времени было приложено импульсное воздействие. Проведенный выше полный анализ структуры системы как графа (точнее, орграфа) позволяет выявлять ее особые свойства. Найденные свойства позволяют, в свою очередь, ввести структурные параметры стойкости системы, которые определяют наиболее желательный вид ее структуры для обеспечения стойкости системы. Если структура не удовлетворяет выбранным параметрам, то возможно ее изменение для повышения стойкости системы.
Последовательность чередующихся вершин `v_(i)` и дуг `e_(i)=(v_(i), v_(i+1)) `
` `
`S=(v_(1), e_(1), v_(2), e_(2),..., v_(i), e_(i),..., v_(i+1), e_(i+1),... v_(N))`, `v_(i) in V`, `i=1,2,...,N` (5)
орграфа `G=(V,E)` называется маршрутом или `(v_(1), v_(N))` - маршрутом. Вершины `v_(1)` и `v_(N)` назовем крайними, а все остальные - промежуточными. Длиной маршрута назовем число входящих в него дуг. Маршрут называется цепью, если все входящие в него дуги различны, и путем, если различны входящие в него вершины. Будем говорить, что вершина `v_(N)` достижима из вершины `v_(1)` , если существует путь (v_(1)< v_(N)) . Если в орграфе `G` нет параллельных дуг и петель, маршрут (5) можно записать в виде последовательности его вершин `S=(v_(1), v_(2),...,v_(i), v_(i+1),..., v_(N))` .
Маршрут называется циклическим, если совпадают его крайние вершины. Циклический путь называется контуром.
Последовательность (5) чередующихся вершин и дуг орграфа `G` таких, что `e_(i)=(v_(i), v_(i+1))` или `e_(i)=(v_(i+1),v_(i))`, называется полумаршрутом. Аналогично определяются полуцепь, полупуть и полуконтур.
Орграф называется сильносвязным, если любые две его вершины достижимы друг из друга. Орграф называется слабосвязным, если две его вершины соединены полупутем.
Сильносвязной компонентой орграфа называется его максимальный относительно включения сильносвязный подграф. Очевидно, что отношение взаимной достижимости орграфа `G` рефлексивно, транзитивно и симметрично. Поэтому получим разбиение множества вершин `V` на классы, если в один класс включим вершины, достижимые друг из друга. Подграфы, порожденные классами этого разбиения, и только они, служат сильносвязными компонентами орграфа `G` . В орграфе могут быть ребра, не входящие ни в одну из его сильносвязных компонент.
Пусть `{H_(1), H_(2),...,H_(m)}` – множество всех сильносвязных компонент орграфа `G` . Конденсацией орграфа `G` называется граф `G^(*)` , вершины `h_(1), h_(2),..., h_(m)` которого соответствуют сильносвязным компонентам орграфа `G` , и пара `(h_(i), h_(j))` является дугой в `G^(*)` тогда и только тогда, когда в `G` есть дуга, начало которой принадлежит компоненте `H_(i)` , а окончание – `H_(j)` .
Очевидно, что любой контур орграфа `G` входит в одну из его сильносвязных компонент, но тогда конденсация `G^(*)` не имеет контуров, а значит, является бесконтурным графом.
Распространяясь по структуре системы импульсное воздействие, уменьшив надежность хотя бы одного элемента какого-либо контура графа, уменьшит надежность и всех остальных элементов этого контура. Иными словами, если импульсное воздействие достигло хотя бы одной из вершин бикомпоненты (так иногда называют сильносвязные компоненты) орграфа, то оно, очевидно, достигнет и всех остальных вершин этой бикомпоненты. Поэтому, изучение процесса распространения импульсного воздействия по графу без нарушения целостности системы имеет смысл свести к исследованию его конденсации. Гамильтоновы графы, имеющие связывающий все вершины контур, должны быть исследованы отдельно. Конденсация гамильтонова графа очевидно есть изолированная вершина.
Сильно связные компоненты графа системы, состоящие из всевозможных контуров, требуют, как и гамильтоновы графы, отдельного изучения, поскольку являются “особо слабыми местами” в структуре системы. Поэтому возникает необходимость их нейтрализации, т.е. преобразования структуры системы в бесконтурный граф. Нейтрализацию контуров, включенных в сильносвязные компоненты, можно осуществить, к примеру, сменой направлений входящих в контур дуг, если такое преобразование позволяют произвести структура системы и ее инженерные особенности. Важно отметить, что отыскание всех сильносвязных компонент орграфа `G` , и, как следствие, всех его контуров, осуществляется одновременно с построение конденсации `G^(*)` .
Рассмотрим орграф `G=(V,E)` и такое подмножество его вершин `BsubeV` , что любая вершина из `VB` достижима из какой-либо вершины, принадлежащей `B` . Если, к тому же, множество `B` минимально относительно включения среди всех подмножеств вершин с описанным свойством, то оно называется базой орграфа `C` . В любом орграфе существует база и никакие две вершины базы не соединены маршрутом.
Отметим следующую особенность бесконтурного графа `G^(*)` . Вершины с нулевыми полустепенями захода, т.е. не имеющие входящих дуг, не достижимы ни из каких вершин, а значит, все они принадлежат базе. Тогда база любого бесконтурного графа, в том числе и база `C^(*)` орграфа `G^(*)` , состоит только из таких вершин. Поэтому выделение базы бесконтурного графа сводится к поиску всех вершин с нулевыми полустепенями захода.
Каждая вершина `v_(i) in C^(*)` , `i=bar(1,|C^(*)|)` , имеет окружение `xi(v_(i))` - множество вершин, достижимых из вершины `v_(i)` , такое, что `uuu_(i)xi(v_(i))=V^(*)` . Поэтому база графа системы – это множество элементов из которых импульсное воздействие в состоянии достичь любой элемент системы без исключения.
Из определения бесконтурного графа следует, что среди его вершин есть такие, полустепени исхода которых (число исходящих из вершины дуг) равны нулю. Множество всех таких вершин называется контрабазой. Вообще говоря, контрабазой может обладать любой орграф.
Все введенные понятия связаны следующими утверждениями.
Утверждение 1. У всякого бесконтурного графа есть хотя бы одна вершина с нулевой полустепенью захода, и хотя бы одна - с нулевой полустепенью исхода.
Утверждение 2. Всякая вершина бесконтурного графа принадлежит либо базе графа, либо его контрабазе, или является промежуточной с ненулевыми полустепенями захода и исхода.
Путь, началом которого является вершина из базы, назовем базовым, если его окончанием является вершина из контрабазы, и полубазовым - в противном случае.
Утверждение 3. Всякая вершина бесконтурного графа принадлежит не менее чем одному базовому пути.
Утверждение 4. Всякая вершина бесконтурного графа из контрабазы достижима не менее чем из одной вершины его базы.
Ситуация, когда система попадает в условия поражающих воздействий и в начальный момент времени меняются показатели надежности ряда ее элементов, моделируется, как это отмечалось выше, автономным импульсным воздействием на граф системы.
Рассмотрим конденсацию графа системы и автономное импульсное воздействие на него. Поскольку поражающее воздействие в описываемом случае достигает всех вершин системы, то мера того, насколько изменится надежность конкретного элемента зависит от числа базовых путей, которым он принадлежит, или, точнее, от числа путей, окончанием которых он является.
Структурной уязвимостью `v1 (u)` вершины `uin V^(*)` назовем число путей, окончанием которых является данная вершина.
Для того, что бы осуществить подсчет структурной уязвимости вершины `v in V^(*)` графа `G^(*)` достаточно определить множество `U` вершин, из которых достижима вершина `u` , и пересчитать число всех несовпадающих друг с другом `(v,u)` - путей для каждой вершины `v in U` . Множество `U` назовем множеством уязвимости вершины `u`. Очевидно, что в образовании всех полубазовых путей вершины `u in V^(*)` участвуют только вершины ее множества уязвимости `U` . Для выделения множества уязвимости `U` вершины `u in V^(*)` на графе `G^(*)` будем использовать следующий алгоритм.
Алгоритм `alpha`. Сначала выделим исходную вершину `u,` структурную уязвимость которой требуется подсчитать. На этапе `i=1` выделим все входящие в вершину `u` дуги и вершины `u_(1,1), u_(1,2),...,u_(1,s_(1))` , из которых они исходят (здесь `s_(1)>=1` - полустепень захода вершины `u` ). Вершины `u` и `u_(1,1), u_(1,2),...,u_(1,s_(1))` объединим в множество `U` . На `i` - м этапе `(i=2,3,...I)` проведем подобную операцию с каждой из выделенных на предыдущем шаге вершин `u_(i-1),u_(i-1,2),...,u_(i-1,s_(i-1))`, а выделенные на текущем этапе вершины `u_(i,1),u_(i,2),...,u_(i,s_(i))` добавим в множество `U` . На всех этапах выделять необходимо только непомеченные, т.е. невыделенные ранее вершины. Процесс выделения продолжается, пока у выделяемых вершин полустепень захода отлична от нуля, т.е. до тех пор, пока выделяемые вершины не окажутся вершинами базы графа `G^(*)`. Все вершины из множества `U` с нулевыми полустепенями захода образуют подмножество `C^(*)_u sube U` , которое является подмножеством базы `C^(*)supe U` .
Во - первых, в алгоритме `alpha` любая выделенная на этапе `i-1` вершина достижима хотя бы из одной вершины, выделенной на следующем, `i` -м этапе, а `i=2,3,...,I` . В противном случае, указанная вершина имела бы нулевую полустепень захода. Во-вторых, для вершины `u in V^(*)` графа `G^(*)=(V^(*),E^(*))` ее множество уязвимости `U` может совпасть с множеством вершин `V^(*)` всего графа, тогда в результате работы алгоритма `alpha` будет выделено и все множество ребер `E^(*)` . Поэтому время работы алгоритма будет наиболее длительным. Подобное происходит, к примеру, когда вершина `u` является единственной вершиной контрабазы.
Оба аргумента являются основой доказательства следующей теоремы.
Теорема 1. Алгоритм `alpha` определяет множество уязвимости `U` вершины `u in V^(*)` графа `G^(*)=(V^(*),E^(*))` за время `O(n*m)` , где `n=|V^(*)|` , а `m=|E^(*)|` .
Теорема 2. Для всякой вершины `v in V^(*)` , входящей в множество уязвимости `U` вершины `u in V^(*)` графа `G^(*)=(V^(*),E^(*))` , справедливо неравенство `v1(u)>=v1(v)` .
Доказательство. Множество `U sube V^(*)` графа `G^(*)=(V^(*),E^(*))` является максимальным относительно включения в него вершин, т.е. не существует такой вершины из `V^(*)`, добавление которой в множество уязвимости `U` вершины `u in V^(*)` увеличило бы ее структурную уязвимость. А значит, подграф `J=(U,W) sube G^(*)`, порожденный множеством `U` (т.е. граф с множеством вершин `U` и множеством `W` всех их соединяющих ребер из `E^(*)`), является единственно возможным. Подграф `J=(U,W) sube G^(*)` назовем графом уязвимости вершины `u`. Тогда для всякой вершины `v in U`, отличной от `u in U`, ее множество уязвимости `barU` является подмножеством множества `U` уязвимости вершины `u`. В таком случае, граф уязвимости `barJ=(barU, barW)` вершины `v` также является подграфом `barJ supe J` графа уязвимости вершины `u`. Поэтому структурные уязвимости вершин `u` и `v` связаны неравенством `v1(u)>v1(v)`, а при совпадении вершин `u` и `v` - неравенством `v1(u)>=v1(v)`.
Следствие 2.1. Для вершин `u_(1),u_(2) in V^(*)` графа `G^(*)=(V^(*),E^(*))` и их графов уязвимости `J_(1)=(U_(1),W_(1))` и `J_(2)=(U_(2),W_(2))`соответственно, таких, что `J_(1)subeJ_(2)`, справедливо неравенство `v1(u_(1))<=v1(u_(2))`.
Доказательство. Из условия содержания `J_(1)subeJ_(2)` множества уязвимости вершины `u_(1)` в множестве уязвимости вершины `u_(2)` можно заключить, что `u_(1) in U_(2)`. Но тогда согласно теореме 2 `v1(u_(1))<=v1(u_(2))`.
Каждой вершине `u` графа `G^(*)` соответствует некоторое подмножество `C^(*)_u sube C^(*)` его базы. Но это соответствие не является взаимно однозначным. Различные вершины графа `G^(*)` могут принадлежать одним и тем же базовым путям, но иметь различные длины полубазовых путей. Более того, даже если база графа уязвимости одной вершины включена в базу графа уязвимости другой вершины, это не дает возможности установить соотношение между значениями структурной уязвимости первой и второй вершин.
Структурная уязвимость элемента дает качественную оценку его места в структуре системы и позволяет судить о том, насколько безопасно его расположение относительно других элементов в период поражающих воздействий. Однако структурная уязвимость не дает количественной оценки ухудшения надежности элемента при попадании системы в условия поражающих воздействий. Такой оценкой будет служить новый параметр, отчасти являющийся дополнением структурной уязвимости.
Надежность произвольно выбранного элемента `u in V^(*)` системы из модели (1) - (4) с автономным импульсным воздействием на граф `G^(*)=(V^(*),E^(*))` системы изменяется скачкообразно по мере прохождения импульсного воздействия от вершин графа уязвимости `J=(U,W)` до самого элемента. Промежуток времени, в течение которого меняется надежность элемента `u` назовем временем воздействия на элемент (вершину) `u` и будем обозначать через `T_(u)`.
Утверждение 5. При автономном импульсном воздействии на систему надежность любого ее элемента изменяется непрерывно в каждый момент в течение всего времени воздействия.
Утверждение 6. При автономном импульсном воздействии на систему время этого воздействия на любой ее элемент равно длине его максимального полубазового пути.
Максимальное время воздействия `T_(u)` среди всех элементов `u` графа системы `G^(*)` назовем временем распространения импульсного воздействияпо графу системы и будем обозначать через `T_(G^(*))` , `T_(G^(*))=max_(u in V^(*)) T_(u)` .
Утверждение 7. Время распространения импульсного воздействия по графу системы `G^(*)` равно длине его максимального базового пути.
Здесь важно знать, как к окончанию времени распространения по графу системы импульсного воздействия изменились надежности ее элементов. Предельной надежностью вершины `u` назовем величину надежности соответствующего ей элемента системы на момент окончания времени воздействия и обозначим через `"br"(u)` .
Описанный выше алгоритм `alpha ` для любой вершины `u in V^(*)` графа `G^(*)=(V^(*),E^(*))` выделяет множество уязвимости `U`, из всех вершин которого эта вершина достижима. Благодаря этому, можно подсчитать сумму длин всех путей, окончанием которых является вершина `u`. Обозначим эту сумму через `"ps"(u)` и назовем мерой структурной уязвимости вершины `u` .
Теорема 3. Предельная надежность `"br"(u)` вершины `u in V^(*)` графа `G^(*)=(V^(*),E^(*))` с равными весами `epsi` для всех ребер из `E^(*)` при автономном импульсном воздействии с начальными и одинаковым для всех вершин из `V^(*)` импульсом `imp_(0)` определяется выражением:
`"br"(u)=w_(u)*(imp^(v1(u)+1)_(0))*(epsi^("ps"_(u)))`, (6)
где `w_(u)` - надежность вершины `u` в начальный момент автономного импульсного воздействия.
Доказательство. Предельная надежность вершины `u in V^(*)` графа `G^(*)=(V^(*), E^(*))` определяется импульсными воздействиями, отходящими от вершин его множества уязвимости. Каждое импульсное воздействие, проходя путь от вершины `v in V^(*)` до вершины `u` (важно, что таких путей может быть несколько), уменьшается в `epsi^(l(v,u))` раз и становится равным `imp_(0)epsi^(l(v,u))` (`l(v,u)` - длина пути `(v,u)`). По этому же принципу рассчитываются значения всех подходящих в вершине `u` импульсных воздействий. Их количество, как известно, равно `v1(u)` , т.е. числу путей, окончанием которых является вершина `u`. Перемножив значения всех импульсных воздействий, подходящих к вершине `u`, получаем искомую предельную надежность `"br"(u)=w_(u) imp_(0)*(imp^(v1(u))_0)*(epsi^("ps"(u)))` `=w_(u)*(imp^(v1(u)+1)_0)*(epsi^("ps"(u)))`. Показатель `"ps"(u)` множителя `epsi^("ps"(u))` появляется в произведении (6) как результат сложения длин всех путей, окончанием которых является вершина `u`. Множитель `imp_(0)` появляется в произведении (6) без уменьшающего его сомножителя `epsi`, поскольку одно импульсное воздействие подходит к вершине `u` непосредственно.
Примечание 1. Условия теоремы 3 описывают идеализированный случай модели (1) - (4) с равными весам `epsi` для ребер графа `G^(*)` и равными импульсами `imp_(0)`, прилагаемыми ко всем его вершинам. Несмотря на это, предельная надежность является очень важным показателем для оценки состояния как системы в целом, так и отдельно взятых ее элементов. В общем случае, когда веса ребер и вершин графа `G^(*)` различны вместе с прилагаемыми к ним импульсами, для подсчета предельной надежности элементов в качестве `epsi` и `imp_(0)` можно использовать либо наименьшие, либо средние значения весов и импульсов соответственно. Для точного подсчета предельной надежности отдельного элемента системы достаточно, проследив весь путь каждого исходящего из вершин множества уязвимости элемента импульса, отметить, какая его доля достигла исследуемого элемента. А затем доли импульсов, достигших исследуемого элемента, перемножить с величиной его надежности в начальный момент импульсного воздействия.
Как показывает доказанная теорема, предельная надежность элемента непосредственно зависит от величины приложенных импульсов. В различных условиях, при различных импульсных воздействиях, предельная надежность выбранного элемента будет различной.
Примечание 2. Если критический уровень надежности элемента системы выше, чем ее предельная надежность при предстоящем импульсном воздействии, то этот элемент под влиянием данного воздействия выйдет из строя (перейдет в предельное состояние). Таким образом, предельная надежность является тем самым значением, до которого необходимо понизить критический уровень надежности элемента для выполнения возложенных на него функций в период попадания системы в моделируемые данным импульсным воздействием условия.
Вообще говоря, в доказательстве теоремы 3 было предположено, что элементы множества уязвимости вершины `u` не выходят из строя, т.е. могут передавать соседним вершинам распространяющееся по системе импульсное воздействие.
Примечание 3. Так же стоит отметить, что повышение надежности системы в целом или понижение ее критического уровня для элемента до предельно возможного требует определенных затрат. Поэтому при проектировании сложных систем связи ребра (дуги) между ее элементами следует наделять амортизирующими свойствами, которые максимально возможно уменьшали бы долю передаваемых через них импульсов. Количественным отражением таких свойств являются веса из (1). Из выражения (6) видно, что чем меньше вес ребер графа уязвимости вершины `u`, тем выше предельная надежность, а значит, тем меньше затрат потребуется для достижения критического уровня надежности элемента системы.
В модели (1) – (4), простое импульсное воздействие с определенной начальной вершиной, независимо от своей величины, имеет возможность распространения на некоторое множество элементов системы. Чем меньше это множество, тем выше уровень сопротивления системы к импульсному воздействию.
Множество вершин `V`любого орграфа `G=(V,E)` можно разделить на три попарно непересекающихся подмножества. Первое множество `C` выходных вершин или база - это вершины, в каждую из которых не заходит ни одна дуга. Второе множество входных вершин `barC` или контрабаза, представляет собой совокупность вершин, из которых не исходит ни одна дуга. И наконец, третье множество промежуточных вершин, это вершины, у которых имеется хотя бы по одной входящей и исходящей дуге. В графе системы промежуточные вершины передают простой импульс от одной смежной вершины к другой, поэтому такие вершины в графе системы наименее желательны. Наличие входных и выходных вершин в графе системы, наоборот, желательно потому, что простой импульс не дойдет ни до одной входной вершины и не будет распространяться по системе, если его начальная вершина – выходная.
Опираясь на приведенные выше рассуждения, введем показатель проникновения импульсного воздействия по системе. Показателем проникновения орграфа `G` системы будем называть число
`"gp"(G)=(|V|-|C|-|barC|)/(|V|)` .
К примеру, если граф `G` имеет гамильтонов контур, то `"gr"(G)=1` . Надо отметить, что это наихудший случай среди всевозможных орграфов. Все вершины в контуре промежуточные, а значит, импульс может распространиться по всей системе, начав с любого ее элемента.
Напомним, что любой бесконтурный граф имеет хотя бы по одной входной и выходной вершине, а поэтому справедливо следующее утверждение.
Утверждение 8. Для показателя проникновения `"gp"(G^(*))` любого бесконтурного графа справедливо неравенство:
`"gp"(G^(*))>=(|V^(*)|-2)/(|V^(*)|)` .
Подсчет показателя проникновения импульсного воздействия по орграфу сводится к поиску и подсчету всех входных и выходных вершин орграфа.
Рассмотрим особенности использования структурно-интегрированных индикаторов. Пусть `A={a_(1), a_(2),..., a_(n)}` – множество элементов модели, то есть элементарных событий и их логических комбинаций, наступление которых возможно в ходе работы системы, `n-` их количество. Все элементы модели делятся на два подмножества (типа): подмножество элементов – «И» `A_(AND)` и подмножество элементов – «ИЛИ» `A_(OR)` . Смысл такого разделения станет ясным при определении графа взаимосвязи элементов модели. На графическом изображении графов взаимосвязи элементы «И» будем обозначать знаком . Элементы «ИЛИ» будем обозначать .
В множестве элементов модели обязательно есть подмножество, взаимно - однозначно соответствующее множеству датчиков в системе. Каждому датчику в нем соответствует элементарное событие его срабатывания. Это подмножество элементов модели назовем множеством элементов - датчиков. Будем обозначать это множество через
`D={d_(1), d_(2),...,d_(n_(D))}`, `DsubeA` , где `n_(D)` - количество элементов - датчиков. Графически элементы - датчики будем обозначать окружностью .
В ходе решения задачи среди элементов модели будет выбираться подмножество индикаторов. Это подмножество будем обозначать `I={i_(1),i_(2),...,i_(n_(I))}` ` ` , `DsubeA`. Аналогично множеству элементов - датчиков, количество индикаторов будем обозначать `n_(I)` . Графически будем изображать индикаторы в виде ромба с вписанным в него соответствующим обозначением элемента модели. Например, индикатор типа «И» будем обозначать символом .
Графом взаимосвязи элементов модели является ориентированный граф `G(A,M)` , вершинам которого соответствуют элементы модели. Матрицу смежности `M` графа `G` будем называть матрицей взаимосвязи. Матрица `M` – это квадратная матрица `M(nxxn)` , строки и столбцы которой соответствуют элементам модели. Элементы матрицы могут принимать значения ноль и единица. Элемент матрицы `M` , стоящий на пересечении `i` -й строки и `j` - го столбца, будем обозначать `m_(ij)` . Элемент матрицы `m_(ij)` равен единице, если на графе взаимосвязи есть дуга из элемента модели `a_(i)` в элемент `a_(j)` . И наоборот, он равен нулю, если такой дуги на графе нет. Будем говорить, что элемент модели `a` предшествует элементу модели `b` , если они соединены дугой , в которой `a` является началом, а `b` - окончанием.
От типа элемента модели («И» или «ИЛИ») зависит заданная дугами графа `G` логическая связь с другими вершинами. Если элемент модели является элементом «ИЛИ», то считается, что его логическое выражение принимает значение «Истина», если хотя бы один из предшествующих ему на графе элементов принял это же значение. Элемент «И» принимает значение «Истина», когда значение «Истина» принимают все предшествующие ему элементы. Кроме того, если элемент является элементом - датчиком, он может принять значение «Истина» независимо от предшествующих ему элементов. Это будет соответствовать ситуации, когда срабатывает реальный датчик в системе. Но принять значение «Ложь» в случае, когда по заданной графом логике он должен принять значение «Истина», он не может. В дальнейшем, если элемент модели принял значение «Истина» будем говорить, что он принял значение 1, а если «Ложь», то 0 (рис.4).
Рис. 4. Элементы – «И» и элементы – «ИЛИ»
Таким образом, элементы модели «И» и «ИЛИ» выполняют роль соответствующих элементарных логических функций. При этом полученный граф взаимосвязи можно интерпретировать как схему распространения сигнала от датчиков. А поскольку в системе есть элементы, представляющие собой только монотонно возрастающие логические функции, то распределение сигнала на датчиках однозначным образом задает его распределение и на остальных элементах системы.
Рассмотрим некоторые ограничения, накладываемые на множества элементов модели.
1. Поскольку элементы - датчики являются источниками независимого от остальных элементов сигнала, то будем считать, что в графе взаимосвязей нет дуг, входящих в элементы системы, являющиеся датчиками. Именно по этой причине нет смысла разделять эти датчики на элементы «И» и «ИЛИ». Хотя формально такое разделение все же проводится, графически датчики «И» и «ИЛИ» обозначены одинаково, поскольку поведение таких датчиков в системе неразличимо (рис.5).
Рис. 5. Ограничение 1
2. Будем считать, что в модели отсутствуют элементы (исключая датчики), у которых нет входящих в них ребер, т.к. значение таких элементов всегда будет оставаться равным нулю и рассматривать далее такие элементы не имеет смысла. Кроме того, по аналогичной причине будем считать, что в системе нет элементов (кроме датчиков), в которые нельзя прийти никаким путем ни из какого датчика (рис.6).
Рис. 6. Ограничение 2
Рассмотрим ряд критериев и ограничений при решении задачи размещения индикаторов в СТС ОИЖТ.
- Полнота. Основная задача размещения индикаторов – получение возможности передачи информации о возникшей угрозе оператору. При этом реакция индикаторов на датчики может быть различной. Индикаторы могут реагировать на любое срабатывание датчиков, а могут реагировать лишь на часть датчиков, или на определенные их комбинации. «Чуткость» набора индикаторов и определяется полнотой их размещения, которую можно определять различным образом. Полноту, например, можно определять в процентном соотношении той части угроз, для которой должна быть обеспечена реакция индикаторов, к общему их числу. При определении полноты можно использовать различные комбинаторные требования (например, «на срабатывание любых двух датчиков должна быть реакция хотя бы одного индикатора»). Также можно определять полноту размещения индикаторов с использованием критических элементов, т.е. элементов модели, выделенных разработчиком системы, на принятие значения 1 которыми обязательно должна быть реакция индикаторов.
- Распознаваемость. Целью индикации (передачи информации оператору системы) является обеспечение возможности принятия оператором мер по предотвращению или выходу из критической ситуации. Для этого недостаточно просто знать о наличии угрозы. Необходима информация о самой угрозе. В рамках модели это означает, что индикаторы нужно размещать таким образом, чтобы по их показаниям можно было судить о показаниях датчиков. Ясно, что для обеспечения абсолютной распознаваемости необходимо разместить индикаторы в каждом элементе - датчике, что является невозможным в силу огромного числа датчиков в системе. В данной ситуации необходимо ввести величину, характеризующую сложность определения конкретного датчика, от которого поступил сигнал. Принципиально возможны два подхода к определению такой величины. Первый определяет эту величину аналогично количеству датчиков, которые могут активировать индикатор. При этом если все элементы модели являются элементами – «ИЛИ», то сложность индикатора будет совпадать с количеством датчиков, которые могут активировать этот индикатор. В случае если в модели присутствуют элементы – «И», сложность индикатора может быть ниже, поскольку возможна ситуация, когда одного датчика недостаточно для активации индикатора. Второй подход является комбинаторным и определяет сложность индикатора как количество комбинаций датчиков, которые могут активировать данный индикатор. В любом случае, чем выше сложность индикатора, тем труднее определить источник угрозы. Соответственно, размещать индикаторы нужно таким образом, чтобы сложность была минимальной.
- Количество индикаторов. Возможности оператора системы, каналов передачи информации и устройств по ее обработке, как известно, ограничены. Поэтому всегда имеется жесткое ограничение на количество размещаемых в модели СТС индикаторов. Приходится также учитывать вес и конструктивные особенности размещаемых устройств, их габариты, показатели энергопотребления и т.п., а также характеристики средств передачи информации между ними.
Рассмотрим подробнее один из подходов к постановке и решению задачи определения необходимой полноты размещения индикаторов при помощи критических элементов (задача 1).
Критическими назовем элементы модели, активация которых (принятие значения 1) должна обязательно быть идентифицирована хотя бы одним индикатором. Набор критических элементов предоставляется разработчиком СТС ОИЖТ на основе конструкторских и эксплуатационных характеристик, а также данных о критических для ее функционирования условиях. Множество критических элементов системы будем обозначать `K={k_(1),k_(2),...,k_(n_(K))}` , `KsubeA` . Количество критических элементов обозначим через `n_(K)` . Графически критические элементы будем обозначать квадратом, описанным вокруг знака соответствующего элемента: и .
Для критических элементов модели существуют ограничения на их размещение в структуре системы:
1. Будем считать, что из критических элементов системы не выходит никаких дуг, поскольку для передачи сигнала по такой дуге необходимо, чтобы критический элемент принял значение 1, что уже будет означать наступление чрезвычайной ситуации (рис.7).
Рис. 7. Ограничение на критические элементы 1
2. Будем считать, что в системе нет датчиков, из которых нет путей ни в один критический элемент, поскольку возникновение угрозы (сигнала 1) на таких датчиках ни при каких условиях не может привести к возникновению чрезвычайной ситуации (рис. 8).
Рис. 8. Ограничение на критические элементы 2
Рассмотрим теперь подробнее первый подход к определению сложности индикатора.
Поскольку сложность индикатора – величина, характеризующая сложность определения источника поступившего на индикатор сигнала, то целесообразно такую величину принять близкой по смыслу количеству датчиков, которые могут передать на индикатор сигнал 1. Но с учетом неравнозначности узлов в модели (наличия в ней как элементов «И», так и элементов «ИЛИ», соответствующих одноименным логическим операциям) выбор просто количества датчиков, соединенных путем с индикатором представляется неверным. Это можно легко увидеть на примере простейшей структуры, представленной на рис.9.
Рис. 9. Индикатор на элементе «И»
В приведенном фрагменте модели присутствует индикатор на элементе типа «И», и три датчика, соединенные с этим индикатором дугами. Для того, чтобы данный индикатор принял значение 1, необходимо, чтобы все три датчика приняли значение 1. Соответственно, если индикатор принял значение 1, то мы можем с уверенностью утверждать, что все три датчика приняли значение 1.
Предположим теперь, что в описанном примере индикатор был бы на элементе «ИЛИ», а не на элементе «И» (как это показано на рис. 10). Тогда активировать индикатор мог бы любой из трех датчиков. Соответственно, для определения настоящего источника сигнала необходимо было бы провести проверку всех трех датчиков. Сложность индикатора в этом случае будем считать равной 3. В первом же случае ситуация эквивалентна наличию всего лишь одного датчика. Поэтому сложность индикатора в первом случае равна 1.
Рис. 10. Индикатор на элементе «ИЛИ»
Приведем алгоритмическое определение сложности индикаторов. В качестве основы алгоритма будем использовать очередность выполняемых операций. Алгоритм будет состоять в последовательном выполнении операций, записанных в очереди. Каждый шаг алгоритма будет также пополнять очередь операций. Помимо очереди операций будем вести множество обработанных датчиков, и, соответственно, изменять сложность индикатора. В качестве операции может быть записан элемент модели (например, `a_(3)` ) или «элемент модели минус 1» (например, `a_(5)-1` ).
Опишем шаг алгоритма, выполняемого для индикатора `i_(j)` . На вход данного шага дан элемент модели `a_(i)` .
- Если элемент `a_(i)` является датчиком, и этот датчик еще не обрабатывался, то прибавим к вычисляемой сложности `res(i_(j))` единицу.
- Если элемент модели `a_(i)` является элементом – «ИЛИ», то запишем в конец очереди операций все элементы модели, из которых есть дуги в элемент `a_(i)` , если они еще не были записаны в очередь ранее.
- Если элемент `a_(i)` является элементом – «И», то запишем в конец очереди операций все элементы, из которых есть дуги в элемент модели a_(i) с вычитанием единицы `(a_(i)-1)`, если они еще не были записаны в очередь ранее, и увеличим вычисляемую сложность `res(i_(j))` на единицу.
- Если элемент модели `a_(i)` был записан в очереди с вычитанием единицы, то вычтем из вычисляемой сложности индикатора `res(i_(j))` единицу.
Перед выполнением алгоритма поместим в очередь операций индикатор, для которого выполняется расчет сложности, и запустим алгоритм.
Заметим, что приведенный алгоритм конечен в силу конечности количества элементов системы и того факта, что каждый элемент в ходе алгоритма используется не более одного раза.
Введем определение входящей подсистемы элемента. Входящей подсистемой элемента назовем подграф модели, состоящий из самого элемента, всех вершин, из которых достижим данный элемент, а также всех дуг, входящих во всевозможные пути из этих вершин в выделенный элемент.
На рис. 11 непрерывной линией отмечена входящая подсистема элемента 1, а пунктирной – элемента 2.
Рис. 11. Входящая подсистема элемента
Рассмотрим поведение алгоритма в частных случаях наличия во входящей подсистеме индикатора элементов только одного типа.
Лемма 1. Если во входящей подсистеме индикатора `i_(j)` все элементы (кроме датчиков) являются элементами – «ИЛИ», то сложность такого индикатора `res(i_(j))` равна количеству датчиков в его входящей подсистеме.
Доказательство. Очевидно, что алгоритм вычисления сложности индикатора затрагивает все элементы его входящей подсистемы, и только их. В силу этого, поскольку в подсистеме присутствуют только элементы – «ИЛИ», в алгоритме будут работать только пункты 1 и 2. Пункт 3 не будет работать, поскольку во входящей подсистеме нет элементов типа «И», а пункт 4 не будет работать, поскольку запись операции типа `(a_(i)-1)` возможна только при работе пункта 3. Отсюда, элементы, не являющиеся датчиками, не изменяют сложности индикатора (п. 2), а каждый датчик прибавит к сложности индикатора по единице (п. 1). Таким образом, поскольку алгоритм затрагивает все элементы входящей подсистемы индикатора по одному разу, то сложность индикатора будет равняться количеству датчиков в его входящей подсистеме.
Лемма 2. Если во входящей системе индикатора `i_(j)` все элементы кроме датчиков являются элементами типа «И», то сложность такого индикатора `res(i_(j))` равна единице.
Доказательство. Если сам индикатор является датчиком, и, следовательно, его входящая подсистема состоит только из одного элемента – его самого, то утверждение леммы очевидно.
Пусть теперь индикатор не является датчиком, следовательно, индикатором является элемент типа «И». Рассмотрим действия алгоритма на каждом из элементов входящей подсистемы индикатора.
При обработке самого индикатора вычисляемая сложность увеличится на 1 согласно п.3 рассматриваемого алгоритма. Все остальные элементы встретятся в очереди операций только с вычитанием единицы, поскольку из добавляющих в очередь операций новые элементы пунктов 2 и 3, работать будет только пункт 3. Поэтому, при обработке остальных не являющихся датчиками элементов, изменений вычисляемой сложности не будет, поскольку п.3 требует ее увеличения на 1, а пункт 4 – уменьшения. Датчики в очереди также будут записаны с вычитанием единицы, следовательно, они тоже не изменят сложность (будут работать пункты 1 и 4 алгоритма).
Таким образом, доказано, что сложность индикатора в данном случае будет равняться единице.
Рассмотренное выше определение сложности индикатора соответствует алгоритму поиска источника сигнала, состоящему из перебора элементов набора датчиков (или их наборов, если в системе присутствуют элементы типа «И»), способных активировать данный индикатор.
Сформулируем теперь полностью задачу оптимального размещения индикаторов в модели.
Пусть дано множество элементов модели `A={a_(1),a_(2),...,a_(n)}` с заданными подмножествами элементов типа «ИЛИ» `A_(OR)` и типа «И» `A_(AND)` . Связи между элементами модели заданы матрицей взаимосвязи `M` . Граф взаимосвязи `G(A,M)` формируется на основе использования множества элементов модели в качестве множества вершин, а матрицы взаимосвязи – в качестве матрицы смежности. На множестве элементов модели выделяются подмножества датчиков `D={d_(1),d_(2),...,d_(n_(D))}` и критических элементов `K={k_(1),k_(2),...,k_(n_(K))}` . Множество элементов модели `A` , их взаимосвязи `M` , подмножества датчиков `D` и критических элементов `K` удовлетворяют приведенным выше ограничениям. Задано также максимально возможное количество индикаторов `N_(I)` в системе .
Требуется найти такое подмножество индикаторов `IsubeA` , что:
- `n_(Ii)<=N_(I)` ;
- `AAk in KEE in I : (k=1rArri=1)` ;
- в множестве `I` нет индикаторов, которые не принимают значение 1 ни при каком распределении значений по датчикам или `//EEi in I : i-=0` , что то же самое;
- `f(I)->min_(I in 2^(A))` , где `f(I)=max_(1<=j<=n_(i)=||I||) (res(i_(j)))` .
Рассмотрим алгоритм решения задачи.
Шаг 1. Разместим индикаторы во всех критических элементах. Если критических элементов больше, чем максимальное количество индикаторов, то задача не имеет решения.
Шаг 2. Рассчитаем показатели сложности каждого индикатора.
Шаг 3. Выделим из множества индикаторов любой индикатор с максимальной сложностью. Если число предшествующих ему элементов модели плюс `(n_(I)-1)` больше максимального числа индикаторов, или у него нет предшествующих элементов, то работа алгоритма завершена.
Шаг 4. Удалим выделенный индикатор из множества индикаторов. Если этот индикатор был элементом – «ИЛИ», то вместо него в множество индикаторов включим все элементы модели, предшествующие удаленному индикатору. Если удаленный индикатор был элементом – «И», то рассчитаем сложности всех предшествующих ему элементов модели, и добавим в множество индикаторов предшествующий ему элемент с минимальной сложностью.
Шаг 5. Рассчитаем сложности добавленных индикаторов.
Далее необходимо циклически повторять шаги 3 - 5 до завершения алгоритма.
Основные свойства алгоритма сформулируем в виде следующих утверждений.
Утверждение 9. Предложенный алгоритм дает искомое решение задачи оптимизации.
Утверждение 10. Приведенный алгоритм конечен и имеет полиномиальную сложность. Количество операций не превосходит , где – некоторая константа, а – количество элементов модели.
Утверждение 11. Поставленная задача оптимизации имеет полиномиальную сложность. Данное утверждение напрямую следует из предыдущих двух утверждений.
Рассмотрим еще один подход к решению задачи определения полноты и сложности размещения индикаторов в СТС ОИЖТ (задача 2).
Теперь будем рассматривать 100% полноту размещения индикаторов. Это означает, что активация любого из датчиков идентифицируется и сигнализируется индикатором.
В качестве показателя сложности индикатора будем рассматривать количество датчиков из входящей подсистемы индикатора, активация которых влечет за собой и активацию данного индикатора.
Входящая система индикатора изображена на рис. 12. Как видно из рисунка, в нее входит три датчика.
Рис. 12. Входящая система индикатора
Таким образом, сложность индикатора 5 равна 3. Заметим, что при использовании предыдущего определения сложности, она равнялась бы 2.
Вторая задача оптимизации будет формулироваться следующим образом.
Пусть дано множество элементов модели `A={a_(1),a_(2),...,a_(n)}` с заданными подмножествами элементов типа «ИЛИ» `A_(OR)` и типа «И» `A_(AND)` . Взаимосвязи между элементами модели заданы матрицей `M` . Описанным выше способом построен ориентированный граф взаимосвязи `G(A,M)` с использованием множества элементов модели в качестве множества вершин, а матрицы взаимосвязи - в качестве матрицы смежности. На множестве элементов модели выделено подмножество датчиков `D={d_(1),d_(2),...,d_(n_(D))}` . Аналогично задаче 1 множество элементов модели `A` , их взаимосвязи `M` и подмножество датчиков `D` удовлетворяют ограничениям, указанным выше. Задано также максимально возможное количество индикаторов в системе `N_(I)` .
Требуется найти такое подмножество индикаторов `IsubeA` , что:
- `n_(I)<=N_(I)` ;
- `AAd in DEEi in I : (k=1rArri=1)` ;
- в множестве `I` нет индикаторов, которые не принимают значение 1 ни при каком распределении значений по датчикам или `//EEi in I :i-=0` , что то же самое;
- `f(I)->min_(Iin2^(A))` , где `f(I)=max_(1<=j<=n_(I)=||I||) (res(i_(j)))` .
Решение задачи 2. Первым этапом решения задачи является определение множества датчиков, включенных во входящие множества всех элементов модели. Для этого необходимо решить обратную задачу: для каждого датчика найти множество элементов модели, которые активируются при условии активации только данного датчика. Для этого можно воспользоваться следующим алгоритмом полиномиальной сложности:
- Сначала помечаем активный датчик. Затем для каждого элемента, соединенного исходящей дугой из этого датчика, проверяем, следует ли его активировать. Если это элемент – «ИЛИ», то следует, а если это элемент – «И», то необходимо провести проверку всех предшествующих элементов. Если все они активны, то необходимо активировать и этот элемент. Помечаем датчик как обработанный.
- Берем любой активный, но еще необработанный элемент модели. Совершаем для него описанную в п.1 операцию и помечаем элемент системы как обработанный.
- Пункт 2 повторяется до тех пор, пока не будут обработаны все активные элементы.
Основные свойства алгоритма сформулируем в виде следующих утверждений.
Утверждение 12. Приведенный алгоритм является алгоритмом полиномиальной сложности.
Доказательство. Действительно, поскольку количество элементов модели равно `n` , то пункт 2 выполняется не более `n` раз. Далее, для каждого элемента существует не более элементов, соединенных с ним исходящей дугой. И для каждого такого элемента, если это элемент – «ИЛИ», придется сделать не более `n` проверок активности предшествующих ему элементов. Таким образом, даже такая грубая оценка дает количество требуемых для выполнения алгоритма операций, не превышающее `Cn^(3)` , где `C` - некоторая константа.
Определив для каждого датчика множество активируемых им элементов модели, нетрудно получить и обратную информацию – на какие датчики реагирует тот или иной элемент модели. Одновременно с этой информацией можно получить оценки сложности каждого элемента модели (количество активирующих его датчиков).
Выбрав некоторый элемент модели в качестве индикатора, мы тем самым «покрываем» множество датчиков подмножеством, активирующим данный индикатор.
Здесь необходимо отметить, что каждому элементу модели соответствует некоторое подмножество датчиков, которые его активируют. Мощность этого подмножества равна сложности этого элемента.
Таким образом, задача нахождения оптимального распределения индикаторов сведена к задаче оптимального покрытия датчиков подмножествами из заданного набора подмножеств. При этом должен достигаться минимум максимума мощности подмножеств, входящих в покрытие, и их количество не должно превышать некоторой заданной величины.
4. Модели и методы предупреждения нештатных и аварийных ситуаций на основе использования IT-технологий и индикаторного подхода Многообразие различного рода угроз и структурных уязвимостей объектов инфраструктуры железнодорожного транспорта приводит к необходимости создания концептуальных и методологических основ проектирования структуры, а также разработки методов анализа и повышения эффективности системы обеспечения его безопасного функционирования. Эффективное решение рассматриваемых проблем невозможно без создания единого информационного пространства, а также разработки и внедрения интегрированной автоматизированной информационно - управляющей системы транспортной безопасности (АИУС ТБ), которая должна представлять собой распределенную многоуровневую информационно - аналитическую систему поддержки принятия решений с целью повышения эффективности управления техногенным риском.
Основными задачами, которые необходимо решать в рамках данной концепции являются следующие:
- анализ предметной области, выявление и предварительная оценка рисков возникновения техногенных, а также иных типов катастроф и чрезвычайных ситуаций;
- выявление критических элементов предметной области, обладающих высоким риском возникновения техногенных катастроф и чрезвычайных ситуаций;
- формирование динамических моделей предметной области, включая ее описание в форме, пригодной для анализа с целью принятия решений по предупреждению и ликвидации последствий чрезвычайных ситуаций;
- создание системного аппарата изучения и управления поведением сложных систем, объединяющего все аспекты указанной проблематики – от методологических до практических;
- создание формальной методологии использования индикаторного подхода для предупреждения НШС.
Представленные выше проблемы предполагается решать в рамках распределенной многоуровневой информационно - аналитической системы, архитектура которой, а также применяемые информационные технологии решения комплексов функциональных задач приведены на рис. 13 и 14 соответственно.
Рис. 13. Архитектура системы управления безопасностью
Рис. 14. Технология управления безопасностью
Одной из важнейших проблем, решаемых в процессе проектирования технических систем большой сложности, является проблема обеспечения безопасности, надежности и устойчивости функционирования системы, в том числе при наличии внешних или внутренних угроз, а также вызванных ими возмущений и неисправностей в системе. В особенности это важно для сложных технических систем (СТС) железнодорожного транспорта, непосредственно контактирующих с большим числом людей и в случае различных неисправностей и нештатных ситуаций, связанных с риском и опасностью для их здоровья и жизни. К таким системам, в частности, можно отнести подвижной состав железнодорожного транспорта, инфраструктуру, здания, сооружения и другие объекты.
При воздействии угроз и возмущений необходимо предоставление своевременной и точной информации о происходящих в системе процессах, возникших угрозах, возмущениях, а также их возможных последствиях машинисту, оператору системы или диспетчеру. Как уже отмечалось выше, в качестве элементов, регистрирующих различные параметры функционирования системы, в том числе возникающие угрозы, используются датчики. С ростом размеров систем, а также их структурной и функциональной сложностей, количество контролируемых датчиками параметров неизбежно растет, что вызывает трудности при анализе их показаний оператором и, как следствие, невозможности принятия своевременного и точного управляющего решения в случае возникновения угроз штатному функционированию системы.
С целью создания эффективной системы мониторинга технической системы предлагается использовать индикаторный подход, предусматривающий включение в структуру индикаторов, показания которых передаются оператору. Для решения задачи оптимального размещения индикаторов предлагается использовать рассмотренные выше модель распространения возмущений по системе и методы анализа структурных компонент и матриц взаимосвязи.
В качестве решения данной проблемы на основе анализа структуры системы и путей распространения возмущений помимо датчиков предлагается размещать в системе индикаторы, передающие точную, своевременную, достаточную и не избыточную информацию в случае возникновения угрозы в системе, необходимую для принятия эффективного решения для выхода из сложившейся нештатной ситуации. Для синтеза такого набора индикаторов используется модифицированная графовая модель распространения возмущения по технической системе.
Пусть `a={a_(1),a_(2),...,a_(n)}` – множество элементов модели объекта, где `n` – их число. В произвольный момент времени каждый элемент модели может принимать значения 0 или 1. Единица соответствует активированному состоянию (до элемента дошло возмущение), ноль соответствует неактивному состоянию. Состояние элемента `a_(i)` в момент времени `t` будем обозначать `a_(i)(t)` , а через `barA(t)` будем обозначать вектор - строку `(a_(1)(t),a_(2)(t),...,a_(n)(t))` состояний элементов системы. Множество датчиков образует подмножество элементов модели `AsupeD={d_(1),d_(2),...,d_(n_(D))}` , где `n_(D)` – количество датчиков. Также в системе выделяется подмножество критических элементов `AsupeK={k_(1),k_(2),...,k_(n_(K))}` . Если возмущение достигает критического элемента, система считается вышедшей из строя. Элементы модели включены в некоторый орграф `G` , называемый графом взаимосвязи. Граф взаимосвязи отображает пути распространения возмущения от одного элемента модели к другому. Будем называть временем прохождения дуги положительное число, сопоставленное дуге графа взаимосвязи и означающее время, за которое возмущение перейдет из элемента модели, стоящего в начале дуги в элемент, стоящий в конце дуги. Для записи времени прохождения дуг будем использовать матрицу временных взаимосвязей `M_(t)` . Матрица `M_(t)` – это квадратная матрица `nxxn` , проиндексированная по обеим осям элементами модели. При этом в позиции `(i,j),i,j,inbar(1,n)` матрицы временных взаимосвязей стоит время прохождения дуги `(a_(i),a_(j))` , если такая дуга существует, и знак бесконечности `oo` , если такой дуги нет. Назовем матрицей временных расстояний `N` квадратную матрицу `nxxn` , проиндексированную по обеим осям элементами модели. При этом в позиции `(i,j),i,j,inbar(1,n)` матрицы временных расстояний стоит временное расстояние между вершинами `a_(i)` и `a_(j)` графа. Матрица временных расстояний является результатом применения известного алгоритма Флойда - Уоршелла к матрице временных взаимосвязей.
Введем ряд определений, позволяющих сформулировать оптимизационную задачу размещения индикаторов в технической системе. Подмножество индикаторов будем обозначать `I={i_(1),i_(2),...,i_(n_(I))}` .
Назовем множеством предшествования времени `t` вершины множество всех элементов модели `Bef_(t)(a)` таких, что элемент `a` достижим из них за время, не превышающее времени `t` .
Множеством последействия времени `t` элемента `a` назовем множество всех элементов модели `Aft_(t)(a)` , достижимых из элемента `a` за время, не превышающее времени `t` .
Под индикаторным покрытием предшествования времени `t` будем понимать набор множеств предшествования времени `t` для всех индикаторов
`I^(Bef)_t={Bef_(t)(i_(1)),Bef_(t)(i_(2)),...,Bef_(t)(i_(n_(t)))}` .
Индикаторным множеством покрытия предшествования времени `t` будем называть объединение множеств элементов модели, входящих в индикаторное покрытие предшествования времени `t` , или, что то же самое, объединение множеств предшествования времени всех индикаторов:
`bar(I^(bef)_t)=uuu_(j=n_(t))Bef_(t)(i_(j))` .
Аналогично под индикаторным покрытием последействия времени `t` будем понимать набор множеств этого последействия для всех индикаторов:
`I^(Alf)_t={Alf_(t)(i_(1)),Alf_(t)(i_(2)),...,Alf_(t)(i_(n_(t)))}` .
Индикаторным множеством покрытия последействия времени `t` будем называть объединение множеств элементов модели, входящих в данное индикаторное покрытие, или, что то же самое, объединение множеств последействия времени всех индикаторов:
`bar(I^(Aft)_t)=uuu_(j=n_(t))Aft_(t)(i_(j))` .
Будем называть общим множеством покрытия предшествования набор множеств предшествования для всех индикаторов заданного для каждого из них времени:
`I^(Bef)_T={Bef_(t_(1))(i_(1)),Bef_(t_(2))(i_(2)),...,Bef_(t_n_I))(i_(n_(t)))}` ,
где `T={t_(1),t_(2),...,t_(n_(I))}` – набор времен множеств предшествования. Аналогично вводится понятие общего индикаторного покрытия последействия:
`I^(Aft)_T={Aft_(t_1)(i_(1)),Aft_(t_2)(i_(2)(i_(2)),...,Aft_(t_n_I)(i_(n_t))}` .
Назовем диаметром общего покрытиямаксимум по всем временам набора
`T:D(I^(Bef)_T)=D(^(Aft)_T)=max_(j<=n_(I))(t_(j))` .
Аналогично покрытиям времени введем понятие индикаторного множества общего индикаторного покрытия предшествования и последействия:
`bar(I^(Bef)_t)=uuu_(j<=n_(t))Bef_(t)(i_(j))` ,
`bar(I^(Aft)_t)=uuu_(j<=n_(t))Aft_(t)(i_(j))` .
Будем считать, что решением задачи размещения индикаторов является некоторое подмножество элементов модели `IsubeA` . Введем ограничения на множество решений и получим таким образом множество допустимых решений.
- Количество индикаторов должно быть ограничено. Это ограничение следует из требования снизить информационную нагрузку на оператора. Математически данное ограничение можно записать следующим образом: `|I|=n_(I)<=N_(I)` , где `N_(I)` – некоторая константа, заданная при формулировании конкретной задачи.
- Набор индикаторов должен покрывать все возможные угрозы, известные на этапе проектирования системы. Другими словами, в терминах рассматриваемой модели, не должно быть ситуации, при которой возмущение, вызванное датчиком, достигнет критического элемента раньше, чем оно достигнет индикатора. Математическую интерпретацию данного ограничения можно записать следующим образом: `AAdinD:Aft(d)nnK!=` `EEiinI:iinAft_(S)(d)` .
Таким образом, область допустимых решений должна удовлетворять следующим требованиям:
`IsubeA` ,
`|I|=n_(I)<=N_(I)` ,
`AAdinD:Aft(d)nnK!=` `EEiinI:iinAft_(S)(d)` .
Сформулируем оптимизационные критерии для поиска оптимального решения среди допустимых решений.
1. Критерий максимизации допустимого времени на принятие решения. С точки зрения безопасности функционирования системы и предупреждения выхода ее из строя необходима как можно более ранняя сигнализация об угрозе. Первый критерий оптимального решения состоит в максимизации времени, прошедшего с момента активации критического элемента до наступления критического события и в терминах и обозначениях модели записывается следующим образом:
`min_(dinD,kinK)(max_(iinInnAlf(d))(dis^(t)(d,k)-dis^(t)(d,i)))->max_(I)` .
2. Полнота покрытия. Для каждого набора индикаторов определено покрытие множествами предшествования и последействия. Для того, чтобы иметь возможность судить как можно более полно о возможных причинах и последствиях текущей ситуации в системе, необходимо выбрать индикаторы таким образом, чтобы множества покрытия предшествования и последействия охватывали как можно большую часть элементов модели. Математически это можно записать следующим образом:
`|bar(I^(Aft)) ||->max_(I)` ;
`|bar(I^(Bef)) ||->max_(I)` .
3. Точность покрытия. В предыдущем критерии используется покрытие без учета времени. Но для точного определения развивающейся ситуации необходимо, чтобы индикаторы находились «близко» по времени от возмущения, движущегося по системе. Для этого необходимо, чтобы минимальный диаметр покрытия предшествования или последействия, множество которого покрывает все множество покрытия предшествования или последействия был минимальным:
`min_(T:bar(I^(Aft)_T)=bar(I^(Aft)))(D(I^(Aft)_T))->min_(I)` ;
`min_(T:bar(I^(Bef)_T)=bar(I^(Bef)_T))(D(I^(Bef)_T))->min_(I)` .
Сформулируем задачу оптимизации размещения индикаторов.
Пусть задана модель распространения возмущения по технической системе: множество элементов модели `A={a_(1),a_(2),...,a_(n)}` , подмножество датчиков `D={d_(1),d_(2),...,d_(n_(D))}` , подмножество критических элементов `K={k_(1),k_(2),...,k_(n_(K))}` . Элементы модели связаны в граф взаимосвязей `G` , времена прохождения дуг заданы матрицей временных взаимосвязей `M` .
Требуется найти такое подмножество элементов модели (множество индикаторов) `I={i_(1),i_(2),...,i_(n_(I))}` , чтобы выполнялись условия:
- `|I|=n_(I)<=N_(I)` ,
- `AAdinD:Aft(d)nnK!=` `EEiinI:iinAft_(S)(d)` ,
- `min_(dinD,kinK)(max_(iinInnAft(d))(dis^(t)(d,k)-dis^(t)(d,i)))->max_(I)` ,
- `|bar(I^(Aft))||->max_(I)` ,
- `|bar(I^(Bef))||->max_(I)` ,
- `max_(T:bar(I^(Aft)_T)=bar(I^(Aft))) (D(I^(Aft)_t))->max_(I)` ,
- `max_(T:bar(I^(Bef)_T)=bar(I^(Bef)))(D(I^(Bef)_T))->max_(I)` .
В виду ориентированности на системы высокой структурной, функциональной и размерностной сложности, а также учитывая противонаправленность сформулированных выше критериев, точные алгоритмы решения будут выполняться, затрачивая слишком большое количество вычислительных ресурсов. Поэтому решение данной задачи предложено осуществлять с использованием комбинации различных приближенных алгоритмов, строящих решения по отдельным критериям, либо модифицирующих некоторое заранее заданное по иным критериям эффективности размещение индикаторов. Работа этих алгоритмов должна осуществляться в тесном взаимодействии со специалистами ОИЖТ, что обеспечит возможность достаточно гибкого управления соотношением данных критериев для построения вариантов размещения индикаторов, оптимальных для каждого конкретного случая. При этом, несмотря на необходимость реализации интерактивных процедур взаимодействия со специалистами ОИЖТ, предложенные алгоритмы существенно упрощают их работу и ускоряют получение вариантов размещения индикаторов на ОИЖТ, обеспечивая достаточно высокую точность полученных результатов.
Состав индикаторов, полученный в результате решения данной задачи, позволит снизить информационную нагрузку на пользователей АИУС ТБ, не снижая эффективность мониторинга в случае наличия негативных факторов или развивающейся негативной ситуации в СТС, вызванной внешними или внутренними угрозами.
Заключение Практическое решение задач обеспечения безопасности ОИЖТ должно осуществляться на трех уровнях: стратегическом, тактическом, оперативном.
Стратегические задачи обеспечения безопасности должны быть направлены прежде всего на ликвидацию источников уязвимости транспортной системы, либо как минимум на их ослабление. Фактически на рассматриваемом уровне должны приниматься и реализовываться стратегические, структурные и системообразующие решения, направленные на обеспечение приемлемого уровня безопасности ОИЖТ.
В рамках решения комплекса рассматриваемых задач можно выделить следующие базовые типы стратегий обеспечения безопасности:
- ориентированные на ликвидацию источников уязвимости или в случае невозможности – на ослабление действия внешних и внутренних источников угроз;
- ориентированные на устранение существующих или предотвращение возникновения возможных угроз (в случае невозможности воздействия на источники уязвимости);
- нацеленные на предотвращение или снижение интенсивности воздействия существующих или возможных угроз безопасности ОИЖТ;
- направленные на максимально возможное снижение тяжести последствий реализации угроз и компенсацию нанесенного ущерба.
Первый тип стратегии обуславливает необходимость разработки стратегических и структурных решений по обеспечению безопасности. Следующие два типа стратегий предполагают реализацию соответствующих функций управления, направленных на снижение интенсивности воздействия угроз безопасности, либо «блокирование» их источников. В четвертом случае априори предполагается неизбежность вероятного ущерба, и целью является компенсация или снижение тяжести последствий управленческими воздействиями, предусмотренными соответствующей выбранной стратегией управления. Очевидно, что стратегии четвертого типа могут разрабатываться или реализовываться применительно к ситуациям, где ущербы принципиально восполнимы, либо объективно неизбежны, т.е. когда нет практической возможности осуществить какую – либо программу реализации прочих стратегий.
Тактический уровень предполагает решение задач, связанных с ликвидацией угроз или предотвращением их воздействия на транспортную систему. По сути, процесс обеспечения безопасности на данном уровне представляет собой комплексы превентивных мероприятий, направленных на ликвидацию угроз ОИЖТ, либо на предотвращение последствий их воздействия.
Целью решения задач обеспечения безопасности на оперативном уровне является ликвидация последствий реализации угроз. При этом результаты решения задач на рассматриваемом уровне представляют собой преимущественно комплексы оперативных мероприятий.
Библиография
1. Федеральный закон Российской Федерации от 9 февраля 2007 г. № 16-ФЗ «О транспортной безопасности».-http://base.consultant.ru/.
2. Технический регламент «О безопасности инфраструктуры железнодорожного транспорта» (утв. постановлением Правительства Российской Федерации от 15 июля 2010 г. № 525)-http://www.referent.ru/.
3. Архипова Н.И., Кульба В.В. Управление в чрезвычайных ситуациях. – М.: РГГУ, 1998.
4. Кононов Д.А., Кульба В.В., Ковалевский С.С., Косяченко С.А. Синтез формализованных сценариев и структурная устойчивость сложных систем (синергетика и аттрактивное поведение). / Научное издание. – М.: ИПУ РАН. 1998.
5. Быков А.А. О проблемах техногенного риска и безопасности техносферы. // Проблемы анализа риска.-Том 9, 2012, № 3.
6. Модели и методы анализа и синтеза сценариев развития социально – экономических систем: в 2-х кн. / под ред. В.Л. Шульца, В.В. Кульбы. – М.: Наука 2012.
7. Кульба В.В., Косяченко С.А., Шелков А.Б. Концептуальные основы исследований проблем безопасности на железнодорожном транспорте. // Сб. докладов Российской конференции с международным участием «Технические и программные средства систем управления, контроля и измерения».-М.: ИПУ РАН, 2012.
8. Гладков Ю.М., Косяченко С.А., Шелков А.Б. Методы определения дислокации опорных пунктов сил и средств для ликвидации последствий пожаров, аварий, катастроф и стихийных бедствий на железнодорожном транспорте. // Труды IX Международной конференции по проблемам управления безопасностью сложных систем. – М.: ИПУ РАН. 2001.
9. Косяченко С.А., Шелков А.Б. Структурные исследования проблем безопасности на железнодорожном транспорте. // Сборник докладов Международной научной конференции «Проблемы регионального и муниципального управления». – М.: РГГУ, 2012.
10. Концепция единой технической политики ОАО "РЖД" (утв. 18 июля 2009 г.).-http://doc.rzd.ru/.
11. Стратегия развития железнодорожного транспорта в Российской Федерации до 2030 года (утв. распоряжением Правительства Российской Федерации от 17 июня 2008 г. № 877-р).-http://doc.rzd.ru/.
12. Кульба В.В., Косяченко С.А., Шелков А.Б. Методология исследования проблем обеспечения безопасности на железнодорожном транспорте // Управление большими системами. 2012. Специальный выпуск 38 «Проблемы управления на железнодорожном транспорте». – http://ubs.mtas.ru/upload/library/ubs3801.pdf.
13. Кульба В.В., Кононов Д.А., Косяченко С.А., Кочкаров А.А., Сомов Д.С. Использование сценарного и индикаторного подходов для управления живучестью, стойкостью и безопасностью сложных технических систем. / Научное издание. – М.: ИПУ РАН, 2011.
14. Информационное обеспечение систем организационного управления (теоретические основы). В 3-х частях. Часть 2. Методы анализа и проектирования информационных систем. / Под ред. Е.А. Микрина и В.В. Кульбы. – М.: Изд-во физ.-мат. лит., 2011.
15. Кузнецов Н.А., Кульба В.В., Ковалевский С.С., Косяченко С.А. Методы анализа и синтеза модульных информационно-управляющих систем. – М.: Изд-во физ.-мат. лит., 2002.
16. Манойло А.В. Ценностные основы управления межцивилизационными конфликтами: российская модель // NB: Международные отношения. - 2012. - 1. - C. 32 - 43. DOI: 10.7256/2306-4226.2012.1.279. URL: http://www.e-notabene.ru/wi/article_279.html
17. Целуйко А.В. К вопросу о генезисе инфраструктуры Московского метрополитена и правоохранительных органов, осуществляющих его охрану // NB: Российское полицейское право. - 2013. - 2. - C. 50 - 61. URL: http://www.e-notabene.ru/pm/article_803.html
18. Урсул А.Д. Национальная идея и глобальные процессы: безопасность, устойчивое развитие, ноосферогенез // NB: Национальная безопасность. - 2013. - 2. - C. 1 - 66. URL: http://www.e-notabene.ru/nb/article_541.html
19. Елисеев А.В., Сальников М.М. Управление комплексной автоматизированной информационно-аналитической системой (КАИАС) «Безопасный город» в деятельности органов внутренних дел // NB: Российское полицейское право. - 2012. - 1. - C. 12 - 36. DOI: 10.7256/2306-4218.2012.1.733. URL: http://www.e-notabene.ru/pm/article_733.html
20. Кульба В.В., Шульц В.Л., Шелков А.Б., Чернов И.В. Сценарный анализ в управлении информационной поддержкой процессов предупреждения и урегулирования конфликтных ситуаций в Арктике // NB: Национальная безопасность. - 2013. - 1. - C. 62 - 152. URL: http://www.e-notabene.ru/nb/article_301.html
21. А. В. Царегородцев, А. К. Качко Один из подходов к управлению информационной
безопасностью при разработке информационной
инфраструктуры организации // Национальная безопасность. - 2012. - 1. - C. 46 - 59.
22. И. В. Погодина, З. В. Мищенко, Д. Ю. Фраймович Многоуровневый подход к определению
оптимальных индикаторов региональной
безопасности на основе
экономико-математического моделирования // Национальная безопасность. - 2012. - 2. - C. 124 - 130.
References
1. Federal'nyi zakon Rossiiskoi Federatsii ot 9 fevralya 2007 g. № 16-FZ «O transportnoi bezopasnosti».-http://base.consultant.ru/.
2. Tekhnicheskii reglament «O bezopasnosti infrastruktury zheleznodorozhnogo transporta» (utv. postanovleniem Pravitel'stva Rossiiskoi Federatsii ot 15 iyulya 2010 g. № 525)-http://www.referent.ru/.
3. Arkhipova N.I., Kul'ba V.V. Upravlenie v chrezvychainykh situatsiyakh. – M.: RGGU, 1998.
4. Kononov D.A., Kul'ba V.V., Kovalevskii S.S., Kosyachenko S.A. Sintez formalizovannykh stsenariev i strukturnaya ustoichivost' slozhnykh sistem (sinergetika i attraktivnoe povedenie). / Nauchnoe izdanie. – M.: IPU RAN. 1998.
5. Bykov A.A. O problemakh tekhnogennogo riska i bezopasnosti tekhnosfery. // Problemy analiza riska.-Tom 9, 2012, № 3.
6. Modeli i metody analiza i sinteza stsenariev razvitiya sotsial'no – ekonomicheskikh sistem: v 2-kh kn. / pod red. V.L. Shul'tsa, V.V. Kul'by. – M.: Nauka 2012.
7. Kul'ba V.V., Kosyachenko S.A., Shelkov A.B. Kontseptual'nye osnovy issledovanii problem bezopasnosti na zheleznodorozhnom transporte. // Sb. dokladov Rossiiskoi konferentsii s mezhdunarodnym uchastiem «Tekhnicheskie i programmnye sredstva sistem upravleniya, kontrolya i izmereniya».-M.: IPU RAN, 2012.
8. Gladkov Yu.M., Kosyachenko S.A., Shelkov A.B. Metody opredeleniya dislokatsii opornykh punktov sil i sredstv dlya likvidatsii posledstvii pozharov, avarii, katastrof i stikhiinykh bedstvii na zheleznodorozhnom transporte. // Trudy IX Mezhdunarodnoi konferentsii po problemam upravleniya bezopasnost'yu slozhnykh sistem. – M.: IPU RAN. 2001.
9. Kosyachenko S.A., Shelkov A.B. Strukturnye issledovaniya problem bezopasnosti na zheleznodorozhnom transporte. // Sbornik dokladov Mezhdunarodnoi nauchnoi konferentsii «Problemy regional'nogo i munitsipal'nogo upravleniya». – M.: RGGU, 2012.
10. Kontseptsiya edinoi tekhnicheskoi politiki OAO "RZhD" (utv. 18 iyulya 2009 g.).-http://doc.rzd.ru/.
11. Strategiya razvitiya zheleznodorozhnogo transporta v Rossiiskoi Federatsii do 2030 goda (utv. rasporyazheniem Pravitel'stva Rossiiskoi Federatsii ot 17 iyunya 2008 g. № 877-r).-http://doc.rzd.ru/.
12. Kul'ba V.V., Kosyachenko S.A., Shelkov A.B. Metodologiya issledovaniya problem obespecheniya bezopasnosti na zheleznodorozhnom transporte // Upravlenie bol'shimi sistemami. 2012. Spetsial'nyi vypusk 38 «Problemy upravleniya na zheleznodorozhnom transporte». – http://ubs.mtas.ru/upload/library/ubs3801.pdf.
13. Kul'ba V.V., Kononov D.A., Kosyachenko S.A., Kochkarov A.A., Somov D.S. Ispol'zovanie stsenarnogo i indikatornogo podkhodov dlya upravleniya zhivuchest'yu, stoikost'yu i bezopasnost'yu slozhnykh tekhnicheskikh sistem. / Nauchnoe izdanie. – M.: IPU RAN, 2011.
14. Informatsionnoe obespechenie sistem organizatsionnogo upravleniya (teoreticheskie osnovy). V 3-kh chastyakh. Chast' 2. Metody analiza i proektirovaniya informatsionnykh sistem. / Pod red. E.A. Mikrina i V.V. Kul'by. – M.: Izd-vo fiz.-mat. lit., 2011.
15. Kuznetsov N.A., Kul'ba V.V., Kovalevskii S.S., Kosyachenko S.A. Metody analiza i sinteza modul'nykh informatsionno-upravlyayushchikh sistem. – M.: Izd-vo fiz.-mat. lit., 2002.
16. Manoilo A.V. Tsennostnye osnovy upravleniya mezhtsivilizatsionnymi konfliktami: rossiiskaya model' // NB: Mezhdunarodnye otnosheniya. - 2012. - 1. - C. 32 - 43. DOI: 10.7256/2306-4226.2012.1.279. URL: http://www.e-notabene.ru/wi/article_279.html
17. Tseluiko A.V. K voprosu o genezise infrastruktury Moskovskogo metropolitena i pravookhranitel'nykh organov, osushchestvlyayushchikh ego okhranu // NB: Rossiiskoe politseiskoe pravo. - 2013. - 2. - C. 50 - 61. URL: http://www.e-notabene.ru/pm/article_803.html
18. Ursul A.D. Natsional'naya ideya i global'nye protsessy: bezopasnost', ustoichivoe razvitie, noosferogenez // NB: Natsional'naya bezopasnost'. - 2013. - 2. - C. 1 - 66. URL: http://www.e-notabene.ru/nb/article_541.html
19. Eliseev A.V., Sal'nikov M.M. Upravlenie kompleksnoi avtomatizirovannoi informatsionno-analiticheskoi sistemoi (KAIAS) «Bezopasnyi gorod» v deyatel'nosti organov vnutrennikh del // NB: Rossiiskoe politseiskoe pravo. - 2012. - 1. - C. 12 - 36. DOI: 10.7256/2306-4218.2012.1.733. URL: http://www.e-notabene.ru/pm/article_733.html
20. Kul'ba V.V., Shul'ts V.L., Shelkov A.B., Chernov I.V. Stsenarnyi analiz v upravlenii informatsionnoi podderzhkoi protsessov preduprezhdeniya i uregulirovaniya konfliktnykh situatsii v Arktike // NB: Natsional'naya bezopasnost'. - 2013. - 1. - C. 62 - 152. URL: http://www.e-notabene.ru/nb/article_301.html
21. A. V. Tsaregorodtsev, A. K. Kachko Odin iz podkhodov k upravleniyu informatsionnoi bezopasnost'yu pri razrabotke informatsionnoi infrastruktury organizatsii // Natsional'naya bezopasnost'. - 2012. - 1. - C. 46 - 59.
22. I. V. Pogodina, Z. V. Mishchenko, D. Yu. Fraimovich Mnogourovnevyi podkhod k opredeleniyu optimal'nykh indikatorov regional'noi bezopasnosti na osnove ekonomiko-matematicheskogo modelirovaniya // Natsional'naya bezopasnost'. - 2012. - 2. - C. 124 - 130.
|