SAVI模型及軟件缺陷研究

苗強，方忻

SAVI模型及軟件缺陷研究

苗強，方忻

（中國原子能科學研究院，北京 102413）

SAVI是一款實物保護系統有效性評價軟件，可綜合分析多條外部敵手入侵路線。SAVI模型是SAVI軟件的基礎，由多種元件模型組成，以PER元件和SUR元件為例介紹了元件模型的構成。分析了SAVI軟件的主要數據要素，結合實際應用總結出實物保護系統有效性計算公式。最后，針對實際應用中發現的軟件缺陷，給出了相應解決方法，并提出了建議。

實物保護系統；有效性評價；SAVI模型；軟件缺陷

1 引言

當今世界，針對核材料及核設施的威脅真實存在。2007年，南非佩林達巴核動力工廠遭到武裝分子入侵，有工作人員遭到槍擊，據稱丟失了一些辦公用品，但未造成核材料丟失。近年來，歐洲還發生過多起環保組織為了宣揚其主張而公然非法闖入核電站、乘坐滑翔傘飛入核電站投擲煙幕彈和操控無人機故意撞擊核設施建筑的核安保事件[1-5]。

2001年美國“9·11”事件以來，核安保問題日益受到國際社會的廣泛關注。加強核安保能力，既符合國家的安全利益，也是中國核事業健康、穩定和持續發展的基本保證。對核材料及核設施的保護依賴于有效的實物保護系統（Physical Protection System，簡稱PPS）。實物保護系統是由探測、延遲、響應三部分組成，實現實物保護目的的綜合防范系統[6]。為了評估是否達到預期設計目標，需要對實物保護系統進行有效性評價，評價方法主要有定性和定量兩種。在定量評價技術方面，國外相關研究開展得較早，美國20世紀70年代研究開發的EASI（Estimate of Adversary Sequence Interruption，敵手行動序列阻斷評估）模型和軟件是一種簡單易用的PPS有效性定量評估工具，可計算單條路徑上阻截外部敵手入侵的概率，國際原子能機構（IAEA）在其舉辦的核安保培訓中經常使用。在EASI的基礎上，美國能源部（DOE）下屬各國家實驗室還陸續開發了SAVI、ASSESS、ATLAS和VISA等更為復雜的工具[7]。

SAVI（Systematic Analysis of Vulnerability to Intrusion，入侵薄弱環節系統分析）是一款多路徑分析軟件，用于評價PPS的有效性。SAVI基于EASI算法，可綜合分析所有敵手進入核設施的路徑，輸入威脅、目標、核設施實物保護系統的相關要素信息和響應力量的響應時間等數據后，SAVI軟件就可計算出最容易遭到攻擊的10條路徑[8]。SAVI模型和軟件是中國開展實物保護系統有效性分析的一個重要參考工具。本文介紹SAVI模型的基本構造、軟件設計思路和實

物保護系統有效性計算公式，并結合實際應用中發現的軟件缺陷給出了相應解決方法。

2 SAVI模型和算法分析

2.1 SAVI模型的基本構造和軟件設計

SAVI模型是SAVI軟件的基礎，采用ASD（Adversary Sequence Diagram，敵手行動序列圖）自上而下、由外而內逐層描述設施的各區域和實物保護措施。一個假想核材料存儲設施的實物保護措施簡圖和對應ASD如圖1所示，圖 1（b）中白框黑色字體部分描繪了圖1（a）中一條敵手可能采用的路徑。

圖1 假想核材料存儲設施安保措施簡圖和ASD圖

ASD由防護層（Layer）和若干保護元件（PE）構成。防護層用于描述設施的各保護區域，主要描述各層的名稱、能否行車和兩層間的距離。保護元件用于描述進入下一層經過的各部位的特征，繪制于相應層的上方。保護元件分為保護類和位置類，保護類元件用于描述防護措施，位置類元件用于描述被保護目標外的位置特征，只能在最底層使用。具體分類和常用符號含義如表1所示。

表1 元件模型分類、含義和各要素設置表

元件復核尺寸通行保護措施（B） 出入口控制（B1）違禁品探測（B2）核材料探測（B3）入侵探測（B4）延遲（B5）警衛與巡邏（B6） 保護類元件EMP*應急通道√√-√√√√√√ DUC*管道√√-√--√√√ GAT大門√-√√√√√√√ EMX應急出口√--√√√√√√ ISO隔離帶√√----√√√ FEN柵欄/圍墻√-----√√√ MAT*核材料運送通道√√√√√√√√√ HEL直升機航路√√----√√√ DOR人員門√-√√√√√√√ OVP跨越√√----√√√ SHD收發貨門√-√√√√√√√ PER*人員通道√√√√√√√√√ SUR**表面體√-----√√√ SHP*收發貨通道√√√√√√√√√ VHD車輛門√-√√√√√√√ TUN*廊道√√-√--√√√ WND窗√√-√--√√√ VEH*車輛通道√√√√√√√√√ 位置類元件BPL散料生產線√--√--√√√ CGE籠子/罩子√--√--√√√ FLV地庫√--√--√√√ GNL一般場所√--√--√√√ IPL件料生產線√--√--√√√ OPN開放空間√--√--√√√ TNK儲存容器/槽罐√--√--√√√

注：“√”表示適用，“-”表示不適用。標注*的元件具備通道/管道特征，在兩端可設置門或其他類型屏障。

結合文獻[2]并分析SAVI軟件的數據結構可知，每種保護元件對應一個抽象的元件模型。元件模型圍繞一個耗費敵手前進時間的核心“延遲”類構件而建立，按敵手的出入方向劃分為3～5個區域（外側、中間靠外、中間、中間靠內和內側），并根據常見防護控制手段設置了出入口控制、違禁品探測、特殊核材料探測、入侵探測、延遲裝置與結構、警衛部署等若干類要素。上述各類要素是可選的，在實際應用中描述設施的安保措施時需結合現場情況進行設置。

人員通道（PER）模型如圖2所示。

分別以PER（人員通道）元件和SUR（表面體）元件為例介紹元件模型的構成。如圖2所示，PER元件模型分為外側、中間和內側三個區域。中間區域的封閉式通道是核心區域，由門和“表面體”構成，門上包括入侵探測、鎖具和自動控制的驗證人員信息的個人識別聯動鎖，通道的前后兩道門之間包括站崗的警衛、證件檢查、違禁品檢查、核材料探測、核材料轉運控制和入侵探測等要素。內側和外側區域的兩道門外均包括崗樓中的警衛、站崗的警衛和巡邏的警衛三種警衛措施，以及證件檢查和入侵探測器。外側區域還設置了用于防止車輛接近和沖撞的可移動屏障。

表面體（SUR）模型如圖3所示。

圖2 人員通道（PER）模型

圖3 表面體（SUR）模型

如圖3所示，SUR元件模型也分三個區域，核心區域是中間部位的“表面體”，內外兩側各類要素的設置與PER元件模型基本相同。核心區域的“延遲”類構件“表面體”為分隔內外區域的實體屏障，常見的“表面體”實體屏障有柵欄、建筑物外墻或室內房間的墻壁等，可使用某些工具將其破壞，如大錘、液壓鉗或常規爆炸物等。由于核設施建筑物的外立面和部分墻體為幾十厘米甚至更厚的鋼筋混凝土，使用常規手段將其破壞至少需要兩步，即破壞混凝土和弄斷鋼筋，SUR模型將表面體的延遲時間設置為兩個階段。

SAVI軟件基于SAVI模型設計、開發，分為Facility（設施）和Outsider（外部敵手）兩個模塊。Facility模塊用于構建設施的PPS模型，Outsider模塊用于計算并獲得敵手最可能采用的路徑。使用Facility模塊描述設施的安保措施時，需根據相應部位的特征選擇對應元件，并根據實際情況選擇或輸入與各類要素相關的參數數據。SAVI軟件設有專門的數據庫，存儲了多種類型的入侵探測概率、各種延遲裝置的延遲時間、不同條件下的警報復核概率，以及不同位置、不同裝備條件下警衛的探測概率和延遲時間等參考性基礎數據。這些數據有一定合理性，但真實性有待驗證。

SAVI軟件進一步對各種保護元件模型進行了擴展，增加了報警復核、尺寸和通行選項。每種元件模型的選項設置各自不同，具體如表1所示。其中，復核指通過查看視頻、錄像或派員至現場查看等方式對來自入侵探測器的報警信息進行復查核實，判斷是否為真實報警；尺寸用于描述元件的開口尺寸或進深，用于評判人是否可出入并計算通過時間；通行用于設置人員、車輛及物料是否準許進出。保護措施選項則分為6個子選項，分別為出入口控制、違禁品探測、核材料探測、入侵探測、延遲、警衛與巡邏。

入侵探測概率包括探測器的探測概率、欺騙手段的探測概率、警衛的探測概率和普通工作人員發現敵手的探測概率四種，用0～1之間的數值表示。其中，探測器的探測概率指紅外、微波等各種入侵探測器探知敵手入侵的探知概率，按其種類和敵手擁有的工具或武器類型進行劃分。欺騙手段的探測概率是探知敵手偽造證件、授權文件、生物特征信息以及藏匿、夾帶違禁品等欺騙手段的概率。警衛和普通工作人員的探測概率指他們在工作現場發現附近異常狀況的探測概率。

SAVI軟件中的延遲時間分為五類，包括基礎設施類延遲裝置（如門、窗、墻壁、柵欄等）、鎖具類、警衛類、敵手在層之間行進（行走或駕車）的延遲時間，以及盜取或破壞保護目標所需時間。基礎設施類延遲裝置和鎖具類的延遲時間按敵手可能擁有的破壞工具種類進行劃分。

2.2 SAVI軟件的主要算法分析

實物保護系統由探測、延遲和響應三個要素組成，其有效性不能用任何一個要素單獨衡量，三者相輔相成。SAVI軟件采用基于及時探知原理來計算所有路徑上的最小累積阻截概率，進而給出敵手最可能采用的路徑。

在計算時，SAVI做了三個偏保守且有利于外部敵手的假設：①敵手充分了解PPS的特點和相關信息；②敵手受過一系列訓練，具備對付PPS的技能，并擁有相應的工具；③敵手使用最佳的策略。對于一條選定的路徑，及時探知的原理如圖4所示。

圖4 及時探知原理圖

圖4中路徑上的各點即為保護元件所在的點。有效的實物保護系統必須確保敵手在路徑起點和終點之間的某一點上被探測到，且該點就是沿該路徑剩余部分的最短延遲時間（）剛好超過響應力量的響應時間（）的那個地方，稱為臨界探測點（CDP）。

SAVI用最小累積阻截概率這個指標來表示及時探知。為了計算，假設敵手在CDP之前會采用各種手段將被發現的概率降至最低，在CDP之后改變戰術，無視后續路徑上被發現的概率，選擇累積延遲時間最短的方式穿行，盡快在響應部隊到來前完成任務。基于上述假設，在滿足公式（1）的條件下，的計算公式為：

式（1）（2）中：為沿該路徑上的保護元件總數；為CDP所在那個點，+1點至點的累計延遲時間剛好超過；為第層元件提供的最短延遲時間；NDi為第層元件提供的最大未探測概率（即第個元件沒有探測到敵人的 概率）。

在SAVI軟件的實際應用中發現，探測器的探測概率和工作人員的探測概率需要復核，警衛的探測概率和欺騙的探測概率不需要復核。對于一個元件模型來說，由于其不同區域可采用多種探測、延遲手段和其他控制手段，則該元件上的累積探測概率和累積延遲時間的計算公式為：

式（3）中：為該元件中全部探測手段的總數；為第種探測手段的探測概率。

式（4）中：A為該元件處的復核概率；Sj為探測器或探測手段的探測概率。

式（5）中：為該元件中全部延遲手段的總數；為第種延遲手段的延遲時間。

需要注意的是，在一個元件中相應的探測手段和延遲手段必須是有效的。例如，門上有普通暗鎖但未鎖閉，則認為鎖是無效的，門的延遲時間計為0。

在SAVI軟件中，如果某元件的通行選項中選擇了車輛和/或行人可通行，同時出入口控制措施中包括人員、車輛檢查和證件檢查等選項，則需要計算欺騙的探測概率。同一元件的累積欺騙的探測概率計算式與式（3）相同。當該元件還有入侵探測器、警衛和工作人員等其他探測手段時，該元件處的累積探測概率為累積欺騙的探測概率和累積其他探測概率中的最小值，計算公式為：

式（6）中：為該元件的累積探測概率；為該元件的累積其他探測概率；為該元件的累積欺騙的探測概率。

將式（6）代入式（2），則有：

式（7）中：NDi為路徑中自起點至CDP的第個元件提供的最大未探測概率；為第元件的累積探測概率。

3 SAVI模型及軟件的缺陷與解決方法

對國內多個核電站開展實物保護系統有效性評估后發現，使用SAVI模型和軟件有助于發現系統存在的薄弱環節。但是，SAVI模型與軟件存在一些缺陷，需要使用一些技巧并結合其他方法提高分析結果的合理性與可信性，主要包括如下缺陷和解決方法。

難以描述復雜地貌環境。美國的核電站均為內陸核電站，周邊環境主要是平地。中國的核電站均沿海建設，有的依山環海，個別核電站控制區和保護區部分周界建在山上，使用SAVI軟件分析會出現敵手駕車從海上或山上進入控制區和保護區的不合理情景。解決方法是建立設施PPS模型時增設經特別設計的層和元件，輸入不可能行車的條件，結合情景分析法剔除不合理路徑。

層間敵手行進的延遲時間計算方法過于簡單，并且層上未考慮探測概率，無法適應實際情況。如圖1所示，SAVI模型將設施的各層簡化為同心方結構，并將每一層各元件至下一層各元件的距離視為均等，按步行4 m/s和駕車16 m/s計算所需時間。在一些核設施中，各保護區域的形狀是不規則的，某些保護目標通常不在正中位置。隨著技術的發展及對核安保的重視，很多核設施不但在周界及出入口部署了探測設備，在某些保護區域內（對應SAVI模型的相鄰兩層之間）也使用了視頻移動探測系統，具備一定外來入侵探測能力。上述問題導致SAVI軟件給出的計算結果和薄弱路徑不合常理。解決方法是通過情景分析篩選出合理的路徑，再根據公式手工計算PPS有效性值。

未考慮敵手使用槍械和爆炸物時產生的聲響對探測概率的影響。開槍和爆炸的聲響必然會引起警衛和工作人員的警覺，增加被探知的概率，但SAVI軟件忽略了該問題。解決方法是在可能使用槍械或爆炸物的元件處修改并提高相關探測概率參數，重新計算。

某些元件模型設計存在缺陷或已不能適應新技術的發展。例如，OVP元件模型用于描述跨越區域周界的情況，其設計缺陷是未考慮攀爬跨越物（如橫跨的管道、建筑物的側梯等）所額外耗費的時間。再如，為了加強人員出入控制，核設施的新型門禁系統具備了人員脅迫密碼報警、防電子證卡返傳、禁止跨區域通行和外來人員陪訪等功能，PER等保護元件缺少針對此類新技術的選項，導致對欺騙的探測概率值較實際偏低。解決方法是，使用SAVI軟件構建設施模型時，根據現場實際情況增設其他延遲或探測手段并標注出來，估算并提高相應參數值。

軟件對敵手過度使用車輛和爆炸物的假設不合理。無論敵手是否擁有自己的車輛，車輛是否已在之前的元件上撞毀，SAVI軟件均假設敵手隨時可重新獲得和使用設施內的車輛，遇到下個元件時，如果駕車所用的延遲時間最短，則選用車輛前行。此外，SAVI軟件中敵手擁有的爆炸物沒有總量限制，存在敵手從頭至尾瘋狂使用爆炸物的不合理計算結果。解決方法是結合設施的實際情況，使用情景分析法，剔除不合理使用爆炸物和車輛的路線。

軟件數據庫中的某些延遲類裝置不適用于國內，且軟件未提供原始數據庫維護功能。例如，數據庫內存在諸如“9號金屬網格”“16號天窗”“建筑圓頂”“V級或VI級地庫”等不適用于國內情況的延遲類裝置。解決方法是選擇一個與國內裝置相似的選項，利用Facility模塊提供的自定義功能修改對應延遲數據值，并進行標注。

軟件中個別元件的計算邏輯存在問題。例如，在進行薄弱路線計算時，無論FEN元件所在的層及前后層能否行車，都會出現敵手堅決用車撞入而不采用翻過柵欄或破壞柵欄等其他方式的情況。即使人為將對車輛的延遲時間值調整至遠大于無裝備或使用手動工具的時間，SAVI軟件也不會選擇延遲時間更短的方式，但是計算探測概率時卻選擇了探測概率最低的使用手動工具，與駕車的方式不匹配，示例數據對比如表2所示。進一步實驗發現，當CDP正好位于該FEN元件時，駕車的延遲時間被計入CDP后的累積延遲時間，而未選擇更短的其他延遲時間，造成累積延遲時間計算結果錯誤。另外，無論CDP是否在FEN元件處，當把駕車的延遲時間設置為不可能（即無窮大）時，軟件會認為威脅遇到無窮大的延遲，將FEN元件處的總探測概率計算為1，進而認定經過該元件路徑的總的I值為1。解決方法有兩種：使用情景分析方法，手工計算；根據設施實際情況，在使用SAVI軟件時使用一些技巧，先進行薄弱路線分析，再根據現場情況利用軟件提供的自定義功能調整相關參數值。例如，先使用Outsider模塊找到CDP，當FEN元件位于CDP之前時，在Facility模塊中選定柵欄的自定義處設置駕車闖入所需時間，該時間與數據庫內默認值相等時也要設置相同值，并標注出來；正好位于CDP或在之后時，在自定義處將駕車闖入所需時間設為其他方式中的最小值，以保證FEN元件處的最小累積延遲時間是正確的。

表2 FEN元件探測概率與延遲時間計算缺陷數據對比

FEN元件無裝備手動工具電動工具爆炸物駕車軟件選項 光纖震動探測器的默認探測概率0.50.10.10.750.85手動工具 高于3.66 m頂部帶外伸支架的網狀柵欄的默認延遲時間/s201010101（3 000）駕車

4 結論與建議

SAVI模型是一個由多種保護元件模型組成，以及時探知原理為基礎，以敵手行動序列圖（ASD）為手段，基于性能的、通過量化方式評價實物保護系統有效性的模型。它結合了實物保護措施的物理特征和管理措施，并對探測、延遲和響應三個實物保護系統功能要素進行了抽象。SAVI軟件是基于SAVI模型開發的軟件，可用于描繪核設施的實物保護情況，并給出敵手最可能采用的入侵路線。

SAVI模型和軟件可幫助發現實物保護系統存在的薄弱環節，是評價實物保護系統抵御外部敵手入侵性能較為有效的工具。雖然其存在一些缺陷，且不能適應技術發展和中國國情的情況，但其核心思想和設計思路是值得借鑒并補充完善的。

為了更好地評價中國核設施實物保護系統的有效性，發現系統存在的薄弱環節，提出以下建議：借鑒SAVI模型和軟件的核心思想和設計思路，根據中國核設施實物保護的特點建立元件模型，修補SAVI存在的各類缺陷；梳理中國核設施常用的探測、延遲和違禁品探測等系統、裝置，開展性能測試，建立符合中國國情的實物保護基礎數據庫，并開發適合中國國情的軟件；借鑒、利用地理信息系統（GIS）和路線規劃等技術，研究多路線條件下最優路線算法，實現敵手行進路線的精確預測；在SAVI模型的二維基礎上進行擴展，研究三維描述核設施和保護元件的方法，并對現有算法進行適應性改進。

［1］央視網.“綠色和平”支持者潛入法核電站一路暢通無阻［EB/OL］.［2011-12-09］.http://news.cntv.cn/20111209/ 102446.shtml.

［2］搜狐網.綠色和平成員闖入法國南部一核電站21人遭逮捕［EB/OL］.［2013-07-15］.http://news.sohu.com/ 20130715/n381674527.shtml.

［3］網易新聞.環保人士飛闖法國核電站［EB/OL］.［2012-05-03］.http://news.163.com/12/0503/10/80IS317B00014JB5.html.

［4］新華網.22名環保者“兵分三路”闖入法國一座核電站［EB/OL］.［2017-11-30］.http://www.xinhuanet.com// world/2017-11/30/c_129752372.htm.

［5］鳳凰網.這個國際組織用無人機撞法國核電站：想證明其脆弱［EB/OL］.［2018-07-04］.http://news.ifeng.com/a/ 20180704/58990030_0.shtml.

［6］中華人民共和國國家質量監督檢驗檢疫總局，中國國家標準化管理委員會.GB/T 4960.7—2010核科學技術術語第7部分：核材料管制與核保障［S］.北京：中國標準出版社，2010.

［7］MARY L G.The design and evaluation of physical protection systems［M］.2nd ed. Butterworth-Heinemann，2007.

［8］IAEA.The 23rd International training course on physical protection of nuclear facilities and materials:supporting information［Z］.New Mexico，2012.

TP311.53

A

10.15913/j.cnki.kjycx.2020.18.005

2095－6835（2020）18－0011－05

苗強（1976—），男，吉林長春人，碩士，工程師，研究方向為核安保與核保障。

〔編輯：嚴麗琴〕