Проблемы оценки опасностей и управления...

51Повышение надежности и безопасности объектов газовой промышленности

№ 2 (34) / 2018

Ключевые слова: критически важная

инфраструктура,

риск,

безопасность,

угроза,

живучесть,

устойчивость,

уязвимость,

эффективность

функционирования,

показатели.

УДК 614.8

Проблемы оценки опасностей и управления рисками объектов критически важной инфраструктуры Группы «Газпром»: аналитический обзор

А.В. Бочков

ООО «НИИгазэкономика», Российская Федерация, 105066, г. Москва, ул. Старая Басманная, д. 20/8

E-mail: [email protected]

Тезисы. Представлен обзор традиционных и принципиально новых подходов к оценке опасности

и риска, а также смягчению последствий аварий для объектов критически важной инфраструктуры

Группы «Газпром». Сформулирована проблема исследования и оценки рисков, стабильности, уязви-

мости и живучести крупномасштабных систем. Обсуждаются вопросы априорной (докризисной, кри-

зисной) оценки аномальной ситуации в подобных системах и построения системы показателей опас-

ности и риска. Описана концепция рационального распределения ресурсов, выделенных на защи-

ту от выявленных угроз и рисков. Предложен алгоритм ранжирования объектов по критерию их си-

стемной значимости с учетом конструктивных и технологических различий. Применительно к важ-

нейшим объектам инфраструктуры структурно сложных систем показаны методы анализа и контро-

ля рисков, позволяющие принимать обоснованные решения о рациональном распределении средств

защиты таких объектов. Отмечены особенности ситуационного управления в понимании процесса

управления как процесса передачи информационных потоков от одного субъекта к другому.

Часто обсуждаемая в последнее время [1, 2] проблема критически важной инфра-структуры (КВИ) заключается в следующем: почти во всех важнейших секторах эко-номики существуют системы, элементы которых настолько далеко разнесены в про-странстве, что экономическими методами практически невозможно полностью защи-тить все объекты даже одного из секторов, не говоря уже о системе целиком. Главной проблемой лица, принимающего решения в области обеспечения безопасности функ-ционирования подобных систем, (далее – ЛПР) являются вопросы оценки существу-ющих угроз и рисков, значимых как для системы в целом, так и для ее элементов, и определения приоритетности защиты элементов и объектов КВИ с учетом имею-щихся в распоряжении ресурсов.

Помимо огромных размеров многие сектора экономики настолько сложны, что технологически и экономически невозможно предвидеть и просчитать все послед-ствия какого-либо инцидента, независимо от того, вызван ли он злонамеренными действиями людей или природными бедствиями. Как правило, крайне трудно пред-сказать последствия малых возмущений в одной части КВИ для других ее участков. Например, все коммуникации в сети интернет в Южной Африке были полностью прекращены вследствие падения башен-близнецов в результате террористической атаки на США 9 сентября 2001 г., а относительно незначительные неисправности в электрических сетях компании First Energy Corp. в Огайо (США) ускорили в августе 2003 г. блэкаут, затронувший 50 млн чел. за тысячи километров от источника пробле-мы. По сути, существующая инфраструктура уязвима просто потому, что она содер-жит настолько много взаимосвязанных компонентов, что анализ их взаимодействий превращается в неразрешимую задачу для большинства технических консультантов, аналитиков и ЛПР, определяющих политику безопасности системы.

Под термином «система» здесь и далее будем понимать совокупность действую-щих элементов, взаимосвязанных между собой и рассматриваемых как единое струк-турное целое [3]. Вообще, любая систем предполагает наличие некоторого количе-ства элементов, обладающих определенным качеством и характеризующихся отно-шениями между собой. При этом ряд исследователей обращает внимание на то, что, если речь идет именно о системе, в этих отношениях должен соблюдаться принцип

52 Научно-технический сборник · ВЕСТИ ГАЗОВОЙ НАУКИ

№ 2 (34) / 2018

пропорциональности [4]. Все это в совокуп-ности определяет условия решения основной задачи – поиска аргументов функции риска. Существует много классификаций систем, каж-дая из которых обладает специфическими осо-бенностями. Далее рассмотрим класс так на-зываемых структурно сложных систем (ССС), к которым можно отнести и Группу «Газпром». И отдельные элементы систем, и системы в це-лом характеризуются набором свойств. Одно из базовых свойств таких объектов – надеж-ность – означает способность безотказно функ-ционировать непрерывно со 100%-ной эффек-тивностью. При анализе надежности главным считается критерий отказа, который делит все события на «да» и «нет». Оперативной эф-фективностью функционирования называет-ся свойство объекта функционировать непре-рывно, хотя, возможно, и с пониженным уров-нем выходных параметров. Фактически это та же надежность, но уже без учета жесткого критерия отказа, а с несколькими уровнями ка-чества/эффективности.

Устойчивость – это свойство объекта воз-вращаться (за допустимое время) к прежнему 100%-ному уровню функционирования после выведения из строя его отдельных компонен-тов. При естественных воздействиях устойчи-вость может характеризоваться числом элемен-тов, случайное «выключение» которых из си-стемы приводит ее в состояние, когда она пе-рестает удовлетворять понятию 100%-ной ра-ботоспособности. (Под элементами при этом понимают структурные единицы (блоки) рав-ного масштаба.) При враждебных воздействи-ях устойчивость характеризуется числом эле-ментов, упорядоченных по важности, удаление которых приводит систему к состоянию, ког-да она перестает быть 100%-но работоспособ-ной. Таким образом, устойчивость есть способ-ность системы адаптироваться и возвращаться в исходное состояние. В последние годы при анализе устойчивости ССС стали также при-менять термины «упругость» (англ. resilience) и «антихрупкость» [5].

Живучесть – свойство объекта продол-жать функционирование в допустимых преде-лах даже после выведения из строя отдельных компонентов. При естественных воздействи-ях живучесть системы характеризуется чис-лом элементов, «выключение» которых из си-стемы случайным образом приводит к ее «уми-ранию»; при враждебных в оздействиях –

с оответственно, «выключением» элементов, упорядоченных по важности. Таким образом, живучесть – это запас прочности.

И, наконец, безопасность – это свойство объекта выполнять свои функции без нанесе-ния ущерба обслуживающему персоналу, окру-жающей среде и пр., одновременно характери-зующееся и как ощущение, и как состояние. Состояние безопасности определяется разви-тием соответствующих технологий, а оценива-ется с помощью математических методов мо-делирования; оно основано на анализе и оцен-ке рисков и эффективности различных мер, средств и механизмов защиты. Ощущение бе-зопасности – это психологические реакции че-ловека на угрозы и риски и психологическое же восприятие им достаточности мер защи-ты, т.е. того, что уровень риска является прием-лемым. Таким образом, ощущение безопасно-сти способно меняться субъективно. И в дан-ном контексте можно согласиться с высказы-ванием американского криптографа, писателя и специалиста по компьютерной безопасности Брюса Шнайдера [6], утверждавшего, что безо-пасность – это процесс, а не результат. Однако нельзя считать, что у процесса обеспечения безопасности нет цели. Цель обеспечения безо-пасности – достигнуть такого состояния защи-щенности человека в окружающей среде, ко-торое соответствует его субъективному ощу-щению безопасности (т.е. приемлемому уров-ню риска). Для достижения этой цели приме-няют так называемый риск-ориентированный подход.

Проблемы обеспечения безопасности объектов КВИЕсли говорить о теории безопасности, следует помнить, что любая теоретическая дисципли-на опирается на математический аппарат, не-обходимый для проведения расчетов и получе-ния точных количественных оценок и прогно-зов поведения изучаемого объекта. Но наряду с этим существует достаточно широкий спектр задач и вопросов, для которых ответом являет-ся качественный результат. Так, нередко прихо-дится говорить о возможности либо невозмож-ности того или иного события. И такой – каче-ственный – ответ имеет не меньшую ценность, например, в задачах анализа рисков.

Количество новой информации о состо-янии объектов КВИ таково, что систематизи-ровать его без добротной теории и р азвитого


№ 2 (34) / 2018

математического аппарата невозможно. Математика выступает здесь как метод не толь-ко количественного анализа, но и качественно-го мышления. Методы, применяемые при реше-нии задач обеспечения безопасности, нередко заимствованы из других дисциплин. Системы обеспечения безопасности не могут эффек-тивно бороться с потенциальными угрозами, если их создают «раз и навсегда», т.е. неизмен-ными. Меняются и окружающая объекты сре-да, и спектр значимых угроз, и риски, следо-вательно, система обеспечения безопасности должна учитывать эти изменения, быть разви-вающейся. Представляется, что при исследова-нии систем обеспечения безопасности могут быть востребованы методы теории дискрет-ных автоматов. И такие работы появляются все чаще [7, 8]. Действительно, хотя управление безопасностью осуществляется непрерывно во времени, систему обеспечения безопасно-сти возможно рассматривать как триггер, име-ющий дискретный набор устойчивых состоя-ний. Такой триггер может выступать в роли со-ставной части более сложного дискретного ав-томата. В живых системах, например, неустой-чивость используется целесообразно: это одна из самых важных движущих сил эволюции. Можно сказать, что высокая адаптивность жи-вых организмов – следствие их неустойчиво-сти [9]. Известный сторонник «управляемой неустойчивости» Насим Талеб также неодно-кратно подчеркивал, что многоуровневая избы-точность есть главное свойство естественных (живых) систем, управляющее риском [5].

Как и в живых системах, неустойчивые процессы в системах обеспечения безопасно-сти – залог их адаптивности к изменяющимся угрозам и опасностям. Наилучшей мерой для количественного описания опасности является риск. Это понятие широко используется в со-временной литературе, и часто в него вклады-вают совершенно различные смыслы. В наи-более общем случае риск характеризуется ве-роятностью: возникновения неблагоприятного воздействия; того, что возникнет неблагопри-ятное воздействие именно данного типа; того, что данный тип воздействия заставит объект воздействия отклониться от состояния динами-ческого равновесия в определенной степени. Таким образом, риск – векторная величина, ко-торая может описывать опасности разного вида и аккумулирует все перечисленные смысловые составляющие. Поскольку далее в о сновном

обсуждаются вопросы, так или иначе связан-ные с обеспечением безопасности объектов КВИ, то там, где это не оговорено особо, под термином «риск» будем понимать риск техно-генного, или – более конкретно – промышлен-ного, происхождения.

Первым приближением, в вопросах, свя-занных с обеспечением безопасности, чаще всего является требование достижения прене-брежимо малого или «нулевого» риска, свя-занного с той или иной, как правило, произ-водственной, деятельностью. Поэтому систе-мы безопасности, которые создавались и ис-пользовались в промышленности, чаще всего являлись инженерными решениями, направ-ленными на выполнение требования абсолют-ной безопасности. Основной принцип создания этих систем – так называемый принцип ALAPA (англ. as low as practicably achievable). Согласно этому принципу необходимо повышать про-мышленную безопасность любыми средства-ми и независимо от достигнутого уровня, если это технически осуществимо. Иными словами, в соответствии с ALAPA необходимо создавать технические меры безопасности, которые пре-дотвращали бы аварийные ситуации, т.е. сво-дили на нет саму возможность возникновения и развития аварии. О качестве и эффективно-сти таких систем безопасности чаще всего су-дили по статистическим данным о результа-тах их внедрения. Однако, несмотря на пред-принимаемые меры предосторожности, ава-рии на промышленных предприятиях, и ино-гда очень серьезные, происходили и происхо-дят в настоящее время. Усложнение техноло-гий привело к тому, что часто просто немыс-лимо предугадать все возможные сценарии развития аварии и, соответственно, предусмо-треть инженерные и организационные реше-ния для их предотвращения, что лишний раз убедительно показали аварии в Чернобыле и на Фукусиме [10]. Все это потребовало раз-работки принципиально нового подхода к ре-шению задач обеспечения безопасности вооб-ще и промышленной безопасности в частно-сти. В последние три десятилетия этим вопро-сам посвящено значительное количество работ, которые убедительно подтвердили уже став-шее аксиоматическим утверждение, что дости-жение абсолютной безопасности невозможно.

Таким образом, философия риска, осно-ванная на концепции абсолютной безопасно-сти, с необходимостью пришла к концепции


№ 2 (34) / 2018

приемлемого риска, которая потребовала от-каза от принципа ALAPA и перехода к ново-му принципу ALARA (англ. as low as reasonably achievable). Согласно ALARA необходимо до-стижение определенного уровня безопасности, который должен определяться исходя из соци-альных и экономических условий развития об-щества. Применительно к авариям, риск кото-рых выше приемлемого, необходимо разрабаты-вать инженерные решения для их предотвраще-ния и ослабления последствий, а применительно к авариям, риск которых меньше, – только меры по ослаблению последствий. Реализацию этого принципа, например, в атомной энергетике от-ражают соответствующие положения по обеспе-чению безопасности. Можно сказать, что в на-стоящее время решение задач безопасности сво-дится к тому, чтобы на основании определен-ных критериев ответить на вопрос о том, каки-ми средствами и до какого уровня необходимо снижать риск в той или иной области производ-ственной деятельности, чтобы безопасность че-ловека и окружающей среды была оптимальной.

Проблемы анализа защищенностиСовременная социально-политическая обста-новка характеризуется сохранением в отноше-нии объектов КВИ криминальной опасности со стороны экстремистских организаций, пре-ступных группировок и отдельных физических лиц. Достаточно высокой остается в отноше-нии этих объектов угроза террористических действий (терактов).

Проблема обеспечения инженерно-технической защиты КВИ Группы «Газпром» в рамках задачи создания систем их физи-ческой защиты (СФЗ) является комплексной [11, 12] и включает целый ряд достаточно са-мостоятельных и сложных подзадач, в числе которых анализ уязвимости, категорирование объектов, выбор и обоснование типовых тре-бований к организации охраны объектов раз-личных категорий, оценка эффективности при-нятых проектно-технических и организацион-ных решений, оптимизация структуры и соста-ва СФЗ по критерию «эффективность – стои-мость» и т.п. Разработка методических подхо-дов к решению этих задач и на сегодняшний день остается актуальной. Можно сказать, что в настоящее время только заложены теоретиче-ские основы анализа СФЗ [13, 14].

Применительно к защите от противо-правных действий (ПД) рассматривают как

и нженерно-техническую укрепленность объек-та, так и, собственно, его СФЗ. Инженерно-техническая укрепленность характеризует свой-ство самого объекта противостоять действиям нарушителя, а СФЗ предназначена для воспре-пятствования достижению им целей на о бъекте. Защищенность объекта – способность как само-го объекта, так и специально созданной на нем СФЗ противостоять действиям нарушителя. С учетом физико-географических условий раз-мещения объекта его защищенность количе-ственно может быть оценена вероятностью пре-сечения ПД ответными действиями сил охраны, использующими инженерно-техническую укре-пленность объекта и его инженерно-технические средства охраны (ИТСО). Показатели защищен-ности объекта принято выражать через показа-тели его уязвимости перед противоправными действиями [15].

Обеспечение безопасности любого объек-та предполагает некоторый комплекс мер про-тиводействия угрозам этому объекту, т.е. поня-тие «угроза» является базовым, поскольку от-носительно него строится система обеспече-ния безопасности. Вместе с тем четкое опреде-ление этого понятия в теории и практике сфе-ры обеспечения безопасности до сих пор от-сутствует, что нередко приводит к его неодно-значному толкованию. Термин «угроза» имеет широкую семантическую шкалу, т.е. его смысл меняется в зависимости от контекста примене-ния. В американских официальных докумен-тах «угроза» (англ. threat) рассматривается как возможность какой-либо страны, группы госу-дарств или явлений угрожать; под «вызовом» (англ. challenge) понимается возможность про-тиводействовать; «риск» (англ. risk) определя-ется как возможность мешать достижению це-лей безопасности. Разрешение неопределенно-сти, связанной с реализацией угроз, достигает-ся построением системы безопасности на осно-ве так называемого принципа равной защищен-ности. Этот принцип лежит, например, в осно-ве разработки требований к обеспечению безо-пасности критических объектов транспортной инфраструктуры.

Рассмотренные понятия, связанные с опре-делением угроз, позволяют выстроить прин-ципиальную схему их взаимодействия в виде модели угроз отдельному объекту, группе или классу однородных объектов. Например, ком-прессорные станции (КС) Единой системы газоснабжения (ЕСГ) могут быть признаны


№ 2 (34) / 2018

о днородными объектами относительно спек-тра угроз критическим элементам их инфра-структуры, поскольку КС всех типов по вну-триотраслевой классификации имеют одинако-вую инфраструктуру и отличаются друг от дру-га только масштабом производственной дея-тельности и характеристиками критических элементов.

В ряде работ предпринята попытка рас-сматривать угрозу ПД в привязке к географи-ческим и социально-политическим условиям размещения КВИ. Полученные расчетные со-отношения учитывают местоположение объ-екта КВИ на территории страны, число пред-ставляющих интерес для нарушителей объек-тов в рассматриваемом регионе и предпочти-тельность выбранного объекта, его доступ-ность для нарушителей по сравнению с дру-гими объектами. Эти соотношения важны при задании требований к СФЗ объектов и оценке криминально-террористического риска в зада-че определения приоритетности защиты объек-та. Базовой для прогноза степени криминально-террористической опасности территории неко-торого региона является частота противоправ-ных проявлений в стране, определяемая по ста-тистике готовившихся (пресеченных) и свер-шившихся противоправных акций в стране за ряд лет (временной ряд). Для учета разли-чий в предпочтительности объектов (из чис-ла размещенных на рассматриваемой террито-рии) для нарушителей при планировании ими акта технологического терроризма при расчете частоты противоправных действий в отноше-нии конкретного объекта вводится показатель его предпочтительности для нарушителей. Чем привлекательнее объект для нарушителей и ме-нее защищен (более доступен), тем он предпо-чтительнее для совершения противоправных действий, и, следовательно, ожидаемая часто-та противоправных действий в отношении него выше. Полученные соотношения позволяют оценить безусловную уязвимость объекта в за-дачах оценки криминально-террористического риска при его эксплуатации.

Обеспечение требуемого уровня защищен-ности объектов любой ССС требует проведе-ния комплекса организационных, оперативных, режимных, инженерно-технических, пожарно-профилактических мероприятий и действий физических лиц, направленных на предотвра-щение ущерба интересам системы и ее персо-налу за счет хищения материально-технических

и финансовых средств, уничтожения имуще-ства и ценностей, разглашения, утраты, утечки и уничтожения информации, нарушения рабо-ты технических средств, обеспечивающих про-изводственную деятельность [16].

Важнейшая роль в построении эффектив-ных систем обеспечения безопасности принад-лежит методам анализа защищенности объек-тов. Теоретико-вероятностные методы широко и успешно применяются в научных исследова-ниях и моделировании СФЗ. Анализ показыва-ет, что получение показателей эффективности системы защиты в основном строится на ис-пользовании математического аппарата теории вероятностей, теории множеств и методов ими-тационного моделирования.

В настоящее время приняты два основ-ных подхода к выбору и оценке показателя эф-фективности СФЗ. Первый из них – детерми-нированный – предусматривает наличие жест-ких требований к СФЗ и проверку их выполне-ния [17]. Второй – вероятностный, используе-мый в настоящее время в США, России и ряде других стран, – должен позволять получать ко-личественные значения эффективности СФЗ на всех стадиях ее жизненного цикла. На прак-тике чаще всего используется комбинирован-ная модель, сочетающая элементы качествен-ного и количественного описаний, вероятност-ного и детерминированного подходов.

Первой расчетной методикой оценки эф-фективности СФЗ можно считать программу EASI, которая предназначена для оценки одно-го маршрута движения нарушителя: маршрут представлен последовательностью рубежей физической защиты и участками движения на-рушителей между ними. В той или иной сте-пени базовой концепции этой программы при-держиваются при анализе эффективности СФЗ большинство отечественных и зарубежных ис-следователей. Статистический метод исполь-зуется в случае наличия достаточного набора статистических данных о ПД на рассматрива-емом объекте или на объектах, имеющих ана-логичное архитектурно-планировочное реше-ние. Однако поскольку такая статистика, как правило, отсутствует, для оценки инженерно-технической защищенности объектов исполь-зуют вероятностно-статистический и эксперт-ный методы. Вероятностно-статистический ме-тод основан на использовании дополнительной информации о распределении ущербов от угро-зы в случае ее реализации на объекте [7, 8].


№ 2 (34) / 2018

Тем не менее частота негативных собы-тий с тяжелыми последствиями, находящи-мися в хвосте распределения негативных со-бытий по размеру ущерба, мала, т.е. они яв-ляются редкими событиями (на рассматривае-мом объекте происходят не каждый год либо в прошлом не происходили вообще). Для та-ких событий даже при использовании объеди-ненной выборки за интервал наблюдения ха-рактерна значительная статистическая нео-пределенность оценок как вероятности реали-зации, так и их доли. Для ПД, классифициру-емых как катастрофические, точность оцен-ки существенно зависит от точности определе-ния вида и параметров формы распределения. Для повышения точности необходимо увели-чить объем статистических данных, что связа-но в свою очередь с увеличением интервала на-блюдения. Однако с течением времени условия проявления рассматриваемых угроз ПД в отно-шении объекта охраны меняются, и статисти-ческие данные уже не принадлежат исследуе-мой генеральной совокупности. При этом из-меняется не только число негативных собы-тий, но и их распределение по ущербу, а зна-чит, прямое объединение статистических дан-ных невозможно. В этом случае применяют экспертные методы оценки. Экспертный метод [16] использует знания и опыт экспертов – вы-сококвалифицированных специалистов в обла-сти оценки защищенности объектов отрасли1. Применение экспертного метода целесообраз-но в том случае, когда нет достаточного объе-ма статистических данных и математических моделей. К основным недостаткам таких мето-дов относят отсутствие гарантий достоверно-сти, полученных в результате обработки отве-тов экспертов, трудности в проведении опро-са и неоднозначность самих процедур обра-ботки данных. Повышение достоверности оце-нок требует соответствующих процедур отбо-ра экспертов по множеству критериев и коли-чественных методов обработки высказанных мнений. В начале 1970-х гг. американский ма-тематик Томас Саати предложил процедуру об-работки экспертных оценок [17] под названи-ем англ. Analityc hierarchy process (AHP). Этот метод, относящийся к классу критериальных,

1 См. Типовые требования по антитеррористической защищенности объектов промышленности и энергетики Российской Федерации, утвержденные замминистра промышленности и энергетики Российской Федерации в 2006 г.

получил исключительно ш ирокое распростра-нение и активно применяется во многих стра-нах мира. Главным достоинством AHP можно считать тот факт, что веса́ критериев и оцен-ки по субъективным критериям не назначают-ся прямым волевым решением, а вычисляются на основе парных сравнений. AHP более уни-версален, чем, например, метод Дельфи, так как допускает использование как групповых сравнительных суждений лиц, принимающих решения, так и независимых суждений, кото-рые затем объединяют в рамках матриц попар-ных сравнений. Важно также, что метод обе-спечивает структурирование проблемы участ-никами обсуждения непосредственно во время ее решения. К недостаткам метода можно отне-сти жесткие ограничения на согласованность мнений экспертов.

Кроме того, до настоящего времени в Группе «Газпром» (за исключением обла-сти обеспечения информационной безопасно-сти) не существует полностью формализован-ного описания модели нарушителя [11, 13, 14]. При количественной форме параметры моде-ли описываются абсолютными и относитель-ными значениями. Как правило, используется 3-уровневая качественно-количественная шка-ла характеристик нарушителя. В такой шка-ле модификации нарушителя по некоторой ха-рактеристике могут, например, задаваться так называемыми «коэффициентами усиления». В абсолютном качественном выражении пара-метры модели задаются с помощью качествен-ных шкал в случае, когда составление характе-ристики нарушителя является сложно форма-лизуемой задачей, статистика по которой от-сутствует. Дальнейшее развитие предложенно-го метода и анализ различных сценариев защи-ты могут дать заметный эффект, поскольку ме-тод обеспечивает легкое включение новых фак-торов и сценариев, а схема «что будет, если» позволяет найти плюсы и минусы различных стратегий защиты.

Синтез рискаКак уже отмечалось, КВИ Группы «Газпром» характеризуют распределенность в простран-стве, большое разнообразие и взаимодействие типов объектов, неоднородная структура техно-логических цепочек, уникальные условия воз-действия на отдельные объекты, подсистемы и систему в целом рисков различной природы. Если под устойчивостью ф ункционирования


№ 2 (34) / 2018

такой сложной системы понимать выполнение ею плана своего развития с допустимыми от-клонениями по объемам и времени выполне-ния задач, то управление безопасностью в этой системе сводится к минимизации внеплановых потерь при возникновении внештатных ситу-аций и проведению мероприятий по их упре-ждению.

Оптимальное управление ССС, нацелен-ное на получение прибыли от ее деятельности, заключается в умении находить баланс в пе-рераспределении имеющихся в распоряжении собственника компании ресурсов (материаль-ных, людских, информационных) между про-изводственной деятельностью и поддержани-ем потенциала развития. Простейшей моде-лью, иллюстрирующей сказанное, является мо-дель взаимодействия развивающегося объекта и окружающей его среды [18, 19] (рис. 1).

Производственная подсистема при-носит прибыль пропорционально количе-ству получаемых ресурсов α(t)·x(t) с некото-рым положительным коэффициентом скоро-сти прироста имеющихся в системе ресурсов

1– ( )( )

tt

. Этот положительный коэффициент

скорости прироста имеющихся ресурсов в си-стеме – потенциал развития (φ) – играет роль ускорителя (замедлителя) скорости воспроиз-водства ресурсов в системе. Фактически раз-ность γ(t) = γ1(t) – γ2(t) – это доля ресурсов, вы-водимых из цикла воспроизводства в виде по-терь того или иного рода, например конечного потребления, налогов и т.п.

В простейшем представлении воздей-ствие «потенциала» – значение функции

1– ( )( )

tt

– и коэффициент γ(t) для крупно-

масштабных систем будем считать константа-ми, не зависящими в явном виде от времени. В этом случае развитие системы описывается однородным линейным уравнением по пере-менной x(t) при параметрах α и γ:

( ) 1 ( )( ) ( ) ( ).( )

dx t tt x t x tdt t

(1)

Оптимальная пропорция α*(t) между про-изводственной подсистемой и потенциалом ее развития определяется из условия

**

*

1 max. (2)

При естественном предположении, что за-висимость потенциала развития φ от затрачен-

ных средств 1– есть монотонная функ-

ция с насыщением (рис. 2), существует про-стой способ определения ее оптимума, так как

11

.

На рис. 2 видно, что этот оптимум дости-гается в некоторой точке ξ*, имеющей впол-не определенный смысл. Так, если ресур-сов на развитие потенциала выделено «чрез-мерно много» (ξ > ξ*), то средства, составля-ющие ξ – ξ*, некорректно изъяты из текущего воспроизводства и возникает ситуация, к огда

Рис. 1. Деятельность ССС как развивающейся системы:t – время; α(t) – пропорция распределения ресурсов между производственной подсистемой и потенциалом ее развития; γ1(t), γ2(t) – коэффициенты интенсивности обмена ресурсами

между исследуемой системой и некоторой внешней по отношению к ней системой в процессе их сосуществования; x(t) – прибыль производственной подсистемы

1(t)·x(t)

2(t)·x(t)

t))·x(t)

x(t t))·x(tt)·x(t)

t)t)


№ 2 (34) / 2018

з атрачиваются усилия на изучение и проти-водействие многочисленным рискам, с кото-рыми развивающаяся система может никогда и не столкнуться. Точка ξ = 0 на рис. 2 соответ-ствует ситуации, когда все ресурсы тратятся ис-ключительно на рост производственной систе-мы. Потенциал подобной системы низок из-за постоянных потерь, которых можно избежать, если наличествует потенциал для предвидения возникающих рисков и борьбы с ними. Участок (отрезок) ξ = [0; ξ1] показывает, что если сред-ства, выделяемые на изучение и противодей-ствие угрозам и рискам, малы, то отдача от по-добных исследований и поведенных меропри-ятий меньше выделенных на них ресурсов. Сбор информации, исследование внутренних и внешних угроз на низком уровне не позволя-ют получать адекватную оценку для улучше-ния качества принятия решений в большинстве так или иначе складывающихся обстоятельств. На участке ξ = [ξ1; ξ2] вклад в потенциал разви-тия начинает давать положительную отдачу, од-нако только в точке ξ2 будет достигнут уровень «самоокупаемости» затрат на развитие «потен-циала» системы: φ(ξ2) = φ(0). Поэтому целесо-образно рассматривать ξ2 как точку «критиче-ского» положения. Снижение потенциала φ(ξ) до уровня φ(ξ2) угрожает тому, что «в силу об-стоятельств» экономически целесообразной окажется стратегия «выживания», т.е. полно-го отказа от затрат на решение задач предви-дения и упреждения угроз и рисков и обеспе-чения воспроизводств лишь за счет наращива-ния низкоэффективных мощностей в производ-ственной подсистеме ξ → 0.

Несмотря на схематичность описанной мо-дели, она дает представление о том, что у грозы

и риски можно рассматривать как «антипотен-циалы» развития, т.е. замедлители скорости воспроизводства всей системы.

Для оценки системной значимости объ-ектов (а по сути – уровня угрозы внештат-ной ситуации) ССС, в роли которой рассма-тривалась ЕСГ, предложено использовать и ерархическую многокритериальную модель [20]. Интегральный риск внештатной ситуа-ции R(r1, .., ri, .., rn) при этом представляет со-бой функцию рисков возникновения частных внештатных ситуаций ri (i = 1, .., n). Вид зави-симости R от своих аргументов выбирается ис-ходя из условий:

0 ≤ R(r1, .., ri, .., rn) ≤ 1;R(0, .., 0, .., 0);R(0, .., ri, .., 0) = ri и0 ≤ R(r1, .., 1, .., rn) = 1 для ri = 1 независи-

мо от значений других аргументов.Непрерывная функция R(r1, .., ri, .., rn),

удов летворяющая вышеуказанным условиям, имеет следующий общий вид:

1

11

( , , , , )

1 (1 ) ( , .., , .., ),

i n

n

i i ni

R r r r

r g r r r (3)

где g(0, .., ri, .., 0) = 1.Если в частном случае g(r1, ..., ri, …, rn) ≡ 1,

то, соответственно,

11

( , , , , ) 1 (1 ) ,n

i n ii

R r r r r (4)

что дает заниженную оценку интегрального риска из расчета, что поток внештатных ситуа-ций представляет собой смесь ординарных со-бытий, взятых из однородных, но различаю-щихся значениями ri (i = 1, .., n) выборок.

Рис. 2. Зависимость потенциала развития от затраченных средств

0–1

*)

min

*1 2


№ 2 (34) / 2018

Поскольку для реальных систем риски, как правило, зависимы, получаем:

1

11 1

( , , , , ) 1 [ ;] [ ]ij ijn n

i n ij i ji j i

g r r r C r r (5)

1

1 1

1, 0, 0, 0,n n

ij ij ij iji j i

C C (6)

где Cij – коэффициенты связности рисков i-й и j-й внештатных ситуаций; αij и βij – положи-тельные коэффициенты эластичности заме-ны соответствующих рисков. Коэффициенты αij и βij позволяют учитывать факты «замеще-ния» рисков, обусловленные главным образом тем, что мероприятия по снижению всех ри-сков не могут быть одновременно проведены эффективно вследствие ограниченности вре-мени и ресурсов.

Текущие значения рисков ri (i = 1, ..., n), входящие в интегральный показатель рисков R, являются величинами, изменяющимися во вре-мени с различными скоростями (например, в зависимости от сезонного фактора суще-ственно меняются приоритеты решаемых тех-нологических задач). Вследствие этого клас-сический расчет сбалансированности рисков приводит к задачам комбинаторной сложно-сти на исходных данных, имеющих объективно случайную, неопределенную, часто качествен-ную (полуколичественную) природу. Задачи анализа рисков осложняются еще и тем, что значительную роль могут сыграть слабо фор-мализуемые угрозы (СФУ).

Для учета этих факторов предложено [20] формировать величины ri как произведение че-тырех составляющих:

( ) ( ) ( ) ( ) .a b c di i i i ir r r r r (7)

Составляющая ri(a) (см. формулу (7)) оце-

нивается через категорийность задач, выпол-нение которых отменяется или задерживает-ся вследствие возникшей внештатной ситуа-ции (например, в системах газоснабжения ка-тегорийность может определяться через про-центное распределение категорий потреби-телей энергии, пострадавших в случае внеш-татной ситуации из-за прекращения поставок газа). При достаточном уровне осведомленно-сти при прочих равных условиях, имея сред-ства для поражения одной цели, террорист вы-бирает объект, совершающий наибольший объ-ем товарно-транспортной работы (W ). Первый

базовый критерий оценки системной значимо-сти объекта ЕСГ получается при допущении, что в широком диапазоне изменения W эффект от нарушения его функционирования линеен. Критерий оценивает недопоставки продукции по сравнению с идеальным режимом функци-онирования ЕСГ как системы в целом, являет-ся расчетным показателем и тесно связан с по-казателем мощности объекта ЕСГ. Последний рассчитывается с помощью моделей функцио-нирования объекта: например, для компрессор-ных и газораспределительных (ГРС) станций, а также подземных хранилищ газа – по моде-лям потоков газа в магистральных газопрово-дах; для заводов – через суточные объемы от-гружаемой продукции и т.п. В силу конъюнкту-ры места и времени функционирования (сезон-ности) газовые объекты принципиально отли-чаются друг от друга эффектом от недопостав-ки газа. Один и тот же газ используется в раз-личных технологических цепочках. Поэтому нарушителю «выгоднее» (при прочих равных условиях) поразить объект, выполняющий наи-более важную, критическую и «высокооплачи-ваемую» работу или ту, за невыполнение ко-торой могут последовать бо́льшие штрафные санкции.

Второй множитель ri(b) (см. формулу (7))

показывает важность выполнения единицы ра-боты: возможны случаи, когда W1 > W2, но при этом r1

(b)W1 < r2(b)W2. Тогда второй объект стано-

вится для террориста привлекательнее перво-го как более «квалифицированный», т.е. более «дефицитный ресурс». Составляющая ri

(b) оце-нивается через предельно допустимые потери (ПДП, Ξ) при внештатных ситуациях на фоне существующего уровня технологий и прогноз-ных (субъективно установленных) расчетных данных о таких потерях. По сути, ri

(b) является поправочным коэффициентом, учитывающим все категории потребителей (например, в соот-ветствии с очередью отключения) и топологию их размещения в регионе, на функционирова-ние которых влияет снижение производитель-ности данного объекта. До достижения уровня ПДП ri

(b) может рассматриваться как линейная

функция: ( )b iir , где ξi – текущий уровень по-

терь. В случае превышения уровня ПДП при-нимается, что ri

(b) = 1.Третий множитель ri

(c) (см. форму-лу (7)) служит показателем потенциальной


№ 2 (34) / 2018

о существимости запланированной акции, свя-занной с возможностью доставки средств по-ражения, наличием в регионе расположения поражаемого объекта потенциальных сооб-щников и т.п. По аналогии с техническими си-стемами ri

(c) показывает уровень «агрессивно-сти» внешней среды, в которой работает объ-ект. Считается, что труднодоступные для тер-рористов объекты с меньшим значением ri

(c) не включаются ими в список потенциальных целей, поскольку существуют цели, «пораже-ние» которых даст тот же эффект, но, напри-мер, расположенные ближе к базе террористов, границе государства и т.п. Критерий ri

(c) – без-размерная величина, рассчитываемая по эм-пирически подобранным статистическим дан-ным о характеристиках объектов в привязке к их территориальному размещению и имею-щая смысл показателя безусловной уязвимо-сти объекта, на котором инициируется сцена-рий i-й внештатной ситуации. Для каждой тер-ритории вследствие географических факто-ров, особенностей производственной структу-ры, социально-культурных, этнических и про-чих различий требуется построение уникаль-ных моделей расчета, в значительной степени опирающихся на субъективные оценки экспер-тов, знакомых со спецификой территории.

Показатель ri(d) (см. формулу (7)) определя-

ется на основе ранжирования типов объектов. Он отражает свойство относительной «воспри-имчивости» объектов заданного типа к измене-нию (в широком диапазоне) факторов, опреде-ляющих ri

(c). Значения ri(d) используются таким

образом, чтобы привести оценки рисков внеш-татных ситуаций, инициированных событиями на объектах различных типов, к единой шкале. Это поправочный коэффициент, характеризую-щий тип (группу) объектов. Он отражает срав-нительную привлекательность для террори-стов объектов разных типов: нормирует сред-нюю доступность точек приложения поража-ющих средств в зависимости от «компоновоч-ных характеристик» объектов в ЕСГ, корректи-рует величины эффекта поражения. В случае систем газоснабжения, например, ГРС распо-ложены ближе к потребителю и часто не име-ют дублеров, а КС, напротив, как правило, име-ют и внутрицеховое переключение газоперека-чивающих агрегатов, и разветвленную систему лупингов на многониточных магистралях.

Предложенная схема вычисления ин-тегрального риска R (см. формулу (7), [20])

г лавным образом предназначена для предва-рительного анализа вариантов развития си-стемы на основе иерархии показателей, харак-теризующих все аспекты внештатных ситуа-ций, включая как оценки последствий ri

(a) и ri(b),

так и оценки причин ri(c) и ri

(d). Введенные ба-зовые показатели строятся через свертки ре-сурсных показателей, имеющих натуральное выражение, однако формулы сверток прихо-дится реконструировать экспертным путем. Специфика использования свертки показателей в виде мультипликаторов обусловлена тем, что восприятие ожидаемых потерь (впрочем, как и природных сигналов) органами чувств чело-века сопоставимо с логарифмической шкалой. Для описания связей между показателями вве-ден в рассмотрение направленный граф (граф влияний). Поскольку деятельность любого че-ловека в отдельности, группы людей, трудо-вого коллектива компании в целом многогран-на и разнообразна, представляется наиболее уместным применение многокритериального подхода с элементами «нечеткой» логики и ис-пользованием (насколько позволяют данные) аппарата обнаружения скрытых закономерно-стей в сочетании и с учетом взаимного усиле-ния многочисленных факторов.

Анализ и оценка рискаАнализ риска является единственной возмож-ностью исследовать те вопросы безопасности, на которые не может дать ответы статистика, например, аварии с малой вероятностью реали-зации, но большими потенциальными послед-ствиями. Конечно, анализ риска не решает всех проблем безопасности, но только он позволя-ет сравнить риски, обусловленные различны-ми источниками опасности, выделить наибо-лее существенные из них, выбрать самые эф-фективные и экономичные с точки зрения обе-спечения безопасности системы, разработать мероприятия по снижению последствий ава-рий и т.д.

В зарубежной печати наравне с терми-ном «анализ риска» (англ. risk analysis) ино-гда встречается термин «вероятностная оцен-ка риска» (англ. probabilistic risk analysis, PRA), утвержденный NRC (англ. National Research Council, Канада). Принципиального разли-чия между этими понятиями нет, хотя счи-тается, что PRA преимущественно нацелена на анализ аварий с низкой вероятностью. Тем не менее при помощи PRA часто и сследуются


№ 2 (34) / 2018

и с обытия, в ероятность возникновения кото-рых варьируется в широком диапазоне. В от-ечественной литературе такого разделения не существует.

В настоящее время процедуру анализа ри-ска можно условно разделить на две основные составные части – оценку и управление – и не-сколько промежуточных, каждая из которых ха-рактеризуется своими проблемами и использу-ет присущие ей методы и модели. Важно пом-нить, что вопросы анализа риска нельзя рас-сматривать отдельно от игровой постанов-ки. Следует признать, что в настоящее вре-мя основные формулы в анализе риска извра-щены, упрощены, забыта их принадлежность к теории игр. Причин несколько. Слово риск стало модным, в итоге специалисты «ухва-тись за термин», не понимая, откуда он проис-ходит и какие аксиомы в этот термин «заложе-ны». Экономисты, страховщики, экологи и дея-тели других отраслей народного хозяйства не-редко плодят ложные научные результаты ис-ходя из некорректных определений, введен-ных ими самими. Для ряда приложений нуж-но было упростить формулу расчета риска. Справедливости ради заметим, что иногда по-лучаются приемлемые результаты. Но это, как правило, касается только статических и стацио-нарных случаев (где работает традиционная те-ория надежности), но никак не динамических случаев. В результате риск как динамическая характеристика, зависящая от времени, средств и информации, свелась к двумерным оценкам вероятности и ущерба. В современном анали-зе рисков «сохранены» теории прочности и на-дежности, но свернуты исследования в области теорий живучести и гомеостазиса, а также адап-тивных теорий, включая теории выбора реше-ний, перспективной активности, рефлексий, са-моорганизующихся систем и др. Следует также помнить принципиальное различие между сто-хастическими факторами, приводящими к при-нятию решения в условиях риска, и неопреде-ленными факторами, приводящими к принятию решения в условиях неопределенности. И те, и другие приводят к разбросу возможных исхо-дов управляющих воздействий. Но стохастиче-ские факторы полностью описываются извест-ной стохастической информацией, которая и по-зволяет выбрать лучшее в среднем решение. Применительно к н еопределенным факторам подобная информация отсутствует. В общем случае н еопределенность может быть в ызвана

либо противодействием разумного противни-ка (более сложный случай, связанный с реф-лексиями противника; пример – террористиче-ская угроза), либо недостаточной осведомлен-ностью об условиях, в которых осуществляет-ся выбор решения.

Проблема обеспечения безопасности объ-ектов топливно-энергетического комплекса (ТЭК) в условиях изменения состава и интен-сивности угроз устойчивому развитию отрасли не теряет своей актуальности на протяжении длительного времени [1]. Требования безопас-ности, установленные для объектов высокой и средней категорий опасности, порой высоки и существенно повышают затраты собственни-ков объектов. Возникает вопрос ранжирования объектов внутри заданных категорий для опре-деления очередности их оснащения требуемы-ми средствами защиты. Для этого необходимо задать критерий, относительно которого будет определяться важность (и, соответственно, по-рядковый номер) того или иного объекта в ран-жированном перечне. Используемые методы ранжирования объектов основаны на матема-тическом моделировании, экспертных оцен-ках, теории принятия решений и интервальном оценивании [21–23]. В той или иной мере они учитывают интересы эксплуатирующих орга-низаций, государственных надзорных органов, страховых компаний. Вместе с тем существую-щие на сегодняшний день методы ранжирова-ния (например, ранжирование объектов по за-щищенности от чрезвычайных ситуаций на же-лезнодорожном транспорте [24], ранжирова-ние опасных производственных объектов си-стем газораспределения [25] и др.) не учитыва-ют особенностей структурной связности объек-тов ранжирования и важности работы конкрет-ного объекта для смежных систем и подсистем.

Ранжирование объектов является типовой задачей теории измерения сложных синтети-ческих свойств объектов [26]. Формально ре-шение задачи сводится к построению некото-рой функции ценности, полезности, связыва-ющей измеряемое свойство с более просты-ми, измеряемыми в натуральных величинах ресурсными показателями (факторами) [27]. Функция ценности используется как для реше-ния задач выбора некоторого наилучшего вари-анта из множества альтернатив [28], так и для решения более композиционных задач типа за-дачи формирования портфеля заказов на вы-полнение работ при ограничениях на р есурсы


№ 2 (34) / 2018

(о бъемы ф инансирования при создании или модификации объектов) [23]. Факторы, че-рез которые строятся ранги, часто измеряют-ся не по количественным, а по качественным шкалам, поэтому для построения зависимо-стей между полезностью и первичными ре-сурсными факторами требуется использова-ние экспертных оценок и экспертных техноло-гий [23, 29]. В связи с развитием компьютер-ной техники появилась возможность оценива-ния объектов, факторы описания которых зада-ются с погрешностью, что требует разработки специфического аппарата статистической об-работки первичных данных [30] и использова-ния инструментария нечеткой логики [31, 32]. Существенной чертой задач ранжирования яв-ляется адаптивный характер процедур приня-тия решений при выборе оптимальных вариан-тов [31], когда для построения окончательной формулы функции ранжирования требуется не-сколько циклов согласования эксперименталь-ных данных и экспертных предпочтений [31].

Оценка риска служит этапом, на котором определяются неблагоприятные последствия, связанные с той или иной производственной деятельностью. И прежде всего необходи-мо идентифицировать источники опасности, для чего нужно определить границы исследу-емой системы. Другими словами, необходимо знать, какие источники включать в рассмотре-ние, а какие – нет, при оценке риска в регио-не или происходящего от конкретной исследу-емой системы.

Жестких правил здесь нет и быть не мо-жет. Однако на сегодняшний день разработаны положения, которые должны быть учтены при исследовании вопросов безопасности. Так, на-пример, в процессе оценки риска, обусловлен-ного энергетическими и другими сложными технологиями, при сравнении их друг с другом или, когда исследования проводятся в регио-нальном или даже национальном масштабах границы определяются так, чтобы охватить всю энергетическую или промышленную систему от добычи топлива или сырья до производства конечного продукта. По мере уменьшения ис-следуемых географических или технологиче-ских масштабов ценность включения в рассмо-трение полных энергетических или промыш-ленных циклов уменьшается. Наиболее под-робно сформулированные положения по опре-делению границ исследуемых региональных или крупных промышленных систем можно

найти в Национальной стратегии США и рабо-те Д.Д. Дуденхоффера с соавторами [2].

Международные организации отмечают тот факт, что при оценке риска, создаваемого даже одной конкретной технологией, в различных странах в большинстве случаев получают раз-ные цифры. Это объясняется не только разноо-бразием рабочих характеристик и показателей качества топлива, нормируемых требованиями к контролю уровня загрязнения, но и не всегда адекватным определением границ самой иссле-дуемой системы. Поэтому для облегчения сбо-ра и обработки данных следует принять еди-ный набор терминов и положений для описа-ния энергетических и промышленных систем и их основных компонент. Тезаурус основных понятий для таких систем был предложен, на-пример, Министерством внутренней безопас-ности США (англ. Department of Homeland Security, DHS). Описание снабжения любой энергетической системы в рамках предлагае-мых DHS определений будет зависеть от вида используемого топлива. Подобная унификация понятий и способов описания систем для нужд Группы «Газпром» облегчит компании получе-ние статистических данных и позволит специ-алистам более адекватно описывать соответ-ствующие процессы.

Основными моментами оценки риска яв-ляются подробное описание источника опас-ности и определение связанного с ним возмож-ного ущерба. Существуют различные моде-ли источников опасности, которые позволяют определить вероятность того или иного сцена-рия развития аварии и соответствующую мощ-ность выброса опасных веществ в окружаю-щую среду. В зависимости от типа источника выделяют три категории риска.

Обычный риск связан с нормальной рабо-той предприятия. Условия нормальной рабо-ты подразумевают и аварии с незначительным ущербом, которые происходят довольно часто. Таким образом, эта категория риска характе-ризуется равной или близкой к единице веро-ятностью реализации. В большинстве случа-ев обычный риск либо является неотъемлемой частью самого производственного процесса, либо легко контролируется. Источники такого риска принято описывать мощностью выброса или утечки в окружающую среду, вызванных нормальной работой либо каким-то мелким происшествием. Оценка мощности выбро-са или утечки для работающих п редприятий


№ 2 (34) / 2018

м ожет быть произведена на основании изме-рений либо опыта работы аналогичных пред-приятий.

Другие две категории риска связаны с ава-риями на производстве, при транспортировке или хранении опасных веществ. Под аварией при этом понимается событие с низкой вероят-ностью осуществления (например, менее одно-го случая за все время жизни предприятия), но со значительными или даже катастрофиче-скими последствиями. В ходе анализа аварий-ных ситуаций обычно рассматриваются воз-можные сценарии развития аварии. При этом должны быть учтены такие факторы, как тип инициирующего события, количество имею-щегося опасного вещества, эффективность ава-рийных систем безопасности и многие другие. Обычно существует большое число возможных сценариев развития аварии, и поэтому в оценке риска необходимо определить весь спектр и ве-роятности возможных сценариев. Вероятность события при этом может изменяться в диапазо-не от 10–6 до 10–8 событий в год. Более редкие события настолько трудно оценить, что их счи-тают практически невероятными.

Периодический риск связан с теми авари-ями, которые довольно часто повторяются, но вызывают ограниченный ущерб, куда могут входить даже человеческие жертвы. Это вовсе не означает, что такие аварии являются плани-руемыми. Они, конечно, нежелательны, и для их предотвращения создаются и используют-ся системы безопасности. Однако, как пока-зывает статистика, несмотря на эти меры, та-кие аварии могут происходить, и риск, связан-ный с ними, имеет довольно широкий диапа-зон значений в зависимости от типа производ-ственной деятельности. Причинами подобных аварий обычно становятся нарушения техно-логического процесса, неверное использование оборудования и ошибки персонала. Для оцен-ки риска этой категории частота аварий и дру-гие необходимые параметры оцениваются при помощи стандартных статистических методов на основе имеющихся данных.

Гипотетический риск связан с авария-ми, которые, как считается, могут происхо-дить с очень малой вероятностью, но приво-дить к очень большим последствиям. Для та-кого класса аварий характерно отсутствие либо недостаточное количество статистических дан-ных. Однако из-за огромного потенциально-го ущерба невозможно просто ждать, пока

наберется достаточный практический опыт. Поэтому в этих случаях анализируют гипоте-тические аварии с целью определения вероят-ности реализации и оценки возможных послед-ствий аварии такого типа. Обычно недостаток статистических данных относится к поведе-нию крупной промышленной или энергетиче-ской системы в целом. Поэтому такой анализ проводится либо при помощи экспертной оцен-ки, либо методом «деревьев событий», где ве-роятность гипотетической аварии может быть предсказана на основе возможных неисправ-ностей или отказов в работе отдельных узлов или механизмов, по которым имеются соответ-ствующие статистические данные. Во многих случаях такой метод прогноза составляет одну из основных частей упомянутого ранее вероят-ностного анализа риска – PRA.

Следует помнить о том, что для оценки ри-ска нет необходимости использовать чрезмер-но усложненные модели переноса из-за боль-ших неопределенностей и осреднений, воз-никающих при расчете риска. Кстати, значе-ние неопределенности и диапазон возмож-ных значений риска также характеризуют риск в целом. Так, по мнению различных экспер-тов, н еопределенность в оценке риска аварий на промышленных предприятиях может со-ставлять один и даже достигать двух порядков величины. Это связано с недостатком базы зна-ний по широкому кругу технических, экологи-ческих и социальных факторов, которые необ-ходимо учитывать в анализе риска. Есть даже заключения, основанные на анализе точности и неопределенной при определении риска, что модели переноса, позволявшие получить зна-чение концентрации опасного вещества в ис-следуемом месте с точностью 10 % (максимум 20 %), вполне приемлемы [33].

Таким образом, устойчивое функциониро-вание и развитие любой ССС зависит от боль-шого числа внешних и внутренних факторов, в том числе факторов негативного воздей-ствия. Для мониторинга и оценки этих факто-ров, а также принятия решений, направленных на снижение негативных последствий их про-явления, повсеместно внедряются так называ-емые системы сбалансированных показателей (англ. balanced scorecard), т.е. ключевые пока-затели эффективности (КПЭ), количествен-но характеризующие факторы риска, которым подвержена система. Из числа КПЭ выбирают-ся стратегические целевые п оказатели (СЦП),


№ 2 (34) / 2018

количественно отражающие стратегические цели функционирования системы и представ-ляющие собой базовые экономические и про-изводственные показатели эффективности ее развития (опосредовано, недостижение СЦП характеризует уровень существующих угроз и степень их реализации в рассматриваемый промежуток времени).

На основе КПЭ и СЦП строятся систе-мы мониторинга угроз и рисков, позволяю-щие собирать данные об изменениях и прово-дить анализ эффективности функционирова-ния системы по нескольким сотням показате-лей в организационном, продуктовом, геогра-фическом и других разрезах на суточном, квар-тальном и годовом горизонтах планирования. Считается, что результаты анализа позволяют осуществлять «управление по отклонениям», акцентируя внимание на проблемных областях каждого объекта управления посредством «све-тофорной» индикации. Однако по мере нако-пления данных возникает проблема интерпре-тации сигналов этих сотен «светофорных ин-дикаторов». Неочевидно, что́ считать «хоро-шим» или «плохим» сигналом в целом для си-стемы, если, например, половина индикаторов «горят» зеленым цветом, а половина – «крас-ным»? Как квалифицировать ситуацию, если «зеленых» индикаторов немного больше, чем «красных»? И т.п. Неочевидны также связь анализируемых индикаторов с СЦП высоко-го уровня и степень их влияния на достиже-ние целевых значений СЦП, утвержденных ру-ководством компании. Возникает так называе-мый эффект «больших данных», когда анали-тики не успевают обработать накапливающую-ся информацию, а стандартные статистические методы просто перестают работать.

Кроме того, система мониторинга угроз и рисков, построенная на основе анализа трен-дов изменения показателей, не способна пред-сказывать кризисы и ситуации с негативной динамикой. Такие события редки и протека-ют, как правило, на различных прогнозных фо-нах, а в случае анализа рядов исторических данных о редких событиях имеют место дис-кретные динамические вероятностные процес-сы. Поэтому целью анализа Группы «Газпром» как объекта прогнозирования является постро-ение такой прогностической модели динамики ситуаций, возникающих при ее функциониро-вании, которая позволит с помощью вычисли-тельных экспериментов и подбора п риемлемых

п араметров уменьшать степень неопределен-ности оценки дат событий и их масштаба, т.е. получать прогнозную информацию об объек-те прогнозирования за счет выявления скры-тых закономерностей, которые указывают либо на изменения состояния объекта, либо на зако-номерности изменений параметров внешней среды, существенно влияющей на функциони-рование системы (так называемые законы из-менчивости «прогнозного фона») [34].

Из-за дискретной природы кризисных си-туаций использование аппарата анализа дан-ных, основанного на классических законах больших чисел, некорректно. Сходимости по вероятности в реальности практически ни-когда не наблюдается, за исключением стати-стики, накопленной в системах массового об-служивания. Панель индикаторов, реализован-ная в виде «светофора», построенного на осно-ве использования дисперсии как основного по-казателя, может в течение всего года указывать на нормальное состояние, когда на самом деле система переходит в область предкризисных значений. Кроме того, при официально декла-рируемой (в том числе и в Группе «Газпром») иерархической системе показателей, как прави-ло, отсутствуют однозначная функциональная связь и взаимное влияние показателей нижнего и верхнего уровней.

Необходим корректный первичный анализ многолетней статистики, и уже на основе это-го анализа можно дать заключение о том, воз-можна ли разработка адекватного исследуе-мой задаче инструмента прогнозирования и ка-кая доля случайности в оценке дат возникно-вения неблагоприятных ситуаций и их мас-штабов может быть с его помощью устране-на. Также очевидно, что, поскольку истинные законы распределения анализируемых случай-ных процессов и, главное, факторы, их опре-деляющие, будут непрерывно корректировать-ся (любая высокотехнологичная система изме-няется быстрее, чем накапливаются адекват-ные статистические данные), необходимо ис-пользовать критерии, «свободные от распре-делений». В частности, в качестве критери-ев достижения прогностической цели следует взять не погрешности модельных данных от-носительно реальных, а критерии, используе-мые методами классификации и распознавания образов. Например, в качестве меры точности прогноза можно использовать ошибки предска-зания первого и второго родов для различных


№ 2 (34) / 2018

классов и типов ситуаций, причем, если удаст-ся, в зависимости от класса физического объ-екта и значений параметров прогнозного фона. Второе обстоятельство очень важно, посколь-ку, например, некорректно складывать стати-стические показатели аварийности, рассчитан-ные для разных времен года, так как в различ-ные сезоны технологические процессы проте-кают по-разному.

Надежное выполнение системой своих функций характеризуется сохранением неко-торых заданных характеристик (отражаемых в соответствующих значениях СЦП и КПЭ) в установленных пределах. На практике полно-стью избежать отклонений невозможно, одна-ко необходимо стремиться к минимизации от-клонений текущего состояния от некоторого заданного идеала – цели, заданной, например, в виде значений СЦП первого уровня.

Мера угрозы недостижения заданных зна-чений СЦП первого уровня (по сути, мы сно-ва говорим о риске) рассматривается в данном случае как переменная величина, представля-ющая собой функцию текущего положения си-стемы: она увеличивается при приближении оцениваемой ситуации к некоторой допусти-мой границе, по достижении которой система не может выполнить свои обязательства и до-биться заданных значений соответствующих СЦП первого уровня.

Общая математическая постановка обсуж-даемой задачи такова: пусть заданы множе-ство X признаков текущей ситуации (напри-мер, текущих значений КПЭ, факторов риска и т.п.), множество Y допустимых реализаций ситуации (например, текущее значение СЦП первого уровня больше или меньше предыду-щего и т.п.) и существует целевая функция y*: X → Y, значения которой yi = y*(xi) известны только на конечном подмножестве объектов {x1, …, xl} X (например, соответствующие те-кущему значению СЦП первого уровня значе-ния КПЭ). Пары «объект – ответ» (xi, yi) – пре-цеденты. Совокупность пар Xl = (xi, yi)l

i=1 = 1 сос-тавит обучающую выборку. Требуется по вы-борке Xl восстановить зависимость y*, т.е. по-строить решающую функцию A: X → Y, кото-рая приближала бы целевую функцию y*(x), причем не только на объектах обучающей вы-борки, но и на всем множестве X. Поскольку при этом решающая функция A должна допу-скать эффективную компьютерную реализа-цию, возможно называть ее также алгоритмом.

Условно существуют два класса объектов, с которыми приходится сталкиваться специа-листам в области автоматизации управления, – простые и сложные. Простыми являются объ-екты, точные математические модели кото-рых, например, в виде системы алгебраических уравнений или модели линейного программи-рования при учете всех необходимых количе-ственных факторов, влияющих на поведение объекта, пригодны для реализации на компью-тере выбранного класса и вполне адекватны объекту. Сложные объекты управления име-ют следующие главные отличительные особен-ности: не все цели выбора управляющих реше-ний и условия, влияющие на этот выбор, могут быть выражены количественными соотноше-ниями; отсутствует либо является неприемле-мо сложным формализованное описание объ-екта управления; значительная часть инфор-мации, необходимая для математического опи-сания объекта, существует в форме представ-лений и пожеланий специалистов-экспертов, имеющих опыт работы с данным объектом.

Построение точных и пригодных для реа-лизации и эксплуатации на современных ком-пьютерах математических моделей сложных объектов либо затруднительно, либо (часто) во-обще невозможно. Но это не означает, что зада-ча не имеет решения. В общем случае возмож-ных направлений поиска может быть два: 1) по-пытаться применить нетрадиционный матема-тический аппарат для построения модели, учи-тывающей все особенности объекта и пригод-ной для реализации; 2) строить не модель объ-екта, а модель управления объектом (т.е. моде-лировать не сам объект, а человека-оператора в процессе управления объектом). По своей сути описанный алгоритм (см., например, [35]) связан с построением поля структуры данных и анализом его эффектов, включая и уточнение самой структуры. В любых данных одновре-менно присутствуют и порядок, и беспорядок. Поскольку исключающее ИЛИ «построить» трудно, реализована идея построения решаю-щих правил на монотонных функциях, задаю-щих сетевой порядок [35]. Суть решателя в гео-метрии достаточно проста. Необходимо так по-добрать признаки, сохраняя свойства частного порядка, чтобы объекты на подмножестве при-знаков разделились: «хорошие» (по заданному критерию) поднялись, «плохие» опустились.

Это классическая задача дискретной ма-тематики о нахождении логической функции,


№ 2 (34) / 2018

принимающей значение ИСТИНА (1) на «хоро-ших» примерах и значение ЛОЖЬ (0) на «пло-хих» примерах [35]. Решается она десятками различных способов, в основе которых лежит метод разложения любой логической функции в суперпозицию более простых функций (фор-мула фон Неймана) [36].

Существуют роботизированные системы, изготавливающие любые микросхемы с за-данными свойствами для решения специали-зированных функций. В том числе реализова-ны сверхбольшие интегральные схемы для об-работки массивов очень большой размерно-сти. Но чаще всего это технически оптимизи-рованные решения. При всех успехах эвристи-ческой математики оптимизационные методы, как правило, приводят к большому перебору вариантов, не гарантирующему того, что най-денные решения оптимальны. Методы постро-ения оптимальных (содержащих меньше пере-менных или с непересекающимися сомножите-лями в логических суммах) формул для частич-но заданных логических функций имеют алго-ритмы комбинаторной сложности с экспонен-циальным ростом затрат вычислительных ре-сурсов в зависимости от размеров решаемых таблиц (как по количеству переменных, так и по количеству обучающих объектов) [19].

Фактически А.В. Бочковым и Н.Н. Жиги-ревым [35] задача сведена к построению моде-ли «серого ящика» [36], тестирующего входы и выходы некоторого имитатора реальной си-стемы. «Серый ящик» – это частично «прозрач-ная» модель, в которой видны элементы струк-туры решений и есть возможность вмеши-ваться в процесс настройки решателя. Вопрос о предельном количестве возможных ошибок решателя при «сером» подходе может решать-ся автоматически при условии введения есте-ственным образом ограничения на тип логи-ческих функций, адекватных поставленной за-даче. Так, следуя логике аксиом выбора, авто-ры концепции [35] ограничились достаточно представительным классом логических функ-ций, известных как монотонные. Монотонная логическая функция – это логическая функция, дизъюнктивная нормальная форма которой не содержит ни одной переменной с использо-ванием логического отрицания (одноместная операция НЕ отсутствует).

Решатель имеет следующий вид:

,1 ,1

( ),v

V

v v Dv

y x x (8)

где y – оценка объекта (y = 1 (ИСТИНА) для принятых объектов, y = 0 (ЛОЖЬ) для отверг-нутых объектов); v – номер группы перемен-ных; V – количество групп; Dv – размерность (количество признаков) группы; xv,1 – первый признак в группе; , vv Dx – последний признак в группе. Истинное значение (y = 1) достига-ется в том и только в том случае, когда в описа-нии объекта отражены признаки хотя бы одной группы.

Существует много способов усилить ре-шатель вида (8). Например, посредством зада-ния требования, что классифицируемый объект должен быть отобран хотя бы на двух группах, трех группах, на группах с большим (избыточ-ным) количеством вопросов. Можно сократить количество групп V, т.е. повысить надежность отбора, оставив тех, кто прошел первые V ис-пытаний. Это способ управления ошибками первого рода. Возможно управлять структурой признаков: рассматривать либо сразу основные признаки, либо группу специфических. Тогда динамика прохождения сформирует группы со средней спецификой, т.е. данные о количе-стве объектов, прошедших через каждое испы-тание, станут более равномерными.

Получается интересный инструмент си-туационного анализа: как бы автоматически строятся слабо пересекающиеся группы схо-жих описаний ситуаций, т.е. создается типоло-гия ситуаций по сочетанию признаков, которые входят в решатель. Такая типология, опять же, может быть полезна при предквалификации (приеме или отказе новых соискателей) на тор-гах: незачем брать фирму того профиля (типа), экземпляров которых (среди уже выбранных) достаточно. Здесь можно пойти на ошибки вто-рого рода, взяв в предквалификацию, напри-мер, тех, кто не ответил на все вопросы Dv, а от-ветил лишь на Dv – 1 или Dv – 2 вопроса.

Возникает механизм действенного адап-тивного управления. Он особенно проявляется, когда используется оцифровка не логических, а количественных переменных, где признаку соответствует некоторый диапазон допустимых значений КПЭ. Тем самым, «щадя», мы расши-ряем допустимые диапазоны изменения зна-чений этих показателей и, напротив, «ужесто-чая», сужаем эти диапазоны. Последнее дости-гается тогда, когда в качестве признака уже-сточения выбирается признак, описывающий близость к границам допустимых зон значе-ний КПЭ. Резкий рост ошибок второго рода


№ 2 (34) / 2018

требует переобучения решателя для «разведе-ния» признаков, принадлежащих старым груп-пам, по новым группам, а если и этот прием окажется малодейственным (не возрастет за-пас надежности решателя – количество оши-бок первого и второго родов приблизится к по-роговым значениям), необходимо вводить но-вые признаки.

Принятие решений в системах управления безопасностьюИерархическая структура задач построения сис-темы управления внештатными и кризисны-ми ситуациями с учетом современного уровня и перспективных направлений развития нефте-газовой отрасли должна включать: основные по-нятия; описание методов управления безопасно-стью и принципов составления полного набо-ра данных для анализа и решения задачи управ-ления безопасностью; методику предваритель-ного анализа данных (на актуальность, полно-ту, н епротиворечивость); требования к результа-там анализа (времени реагирования, видам от-четных материалов, решений, рекомендаций); последовательность представления результатов; принципы построения и формат протокола, со-гласно которому должны быть предоставлены выходящие материалы и др. Однако попытки практического создания такой системы наталки-ваются на ряд принципиальных проблем.

Группа «Газпром» относится к классу от-крытых систем, крайне сложных для оценки и управления. Характерная особенность от-крытой системы – динамическое взаимодей-ствие с окружающим миром. Организации та-кого типа получают сырье, финансовые и че-ловеческие ресурсы из окружающего мира. Технологический процесс создается для пе-реработки сырья в конечный продукт, кото-рый, в свою очередь, продается заказчику. Финансовые учреждения, рабочая сила, по-ставщики и заказчики, правительство – все яв-ляются частью окружения [37].

Степень разграничения открытой или за-крытой систем меняется. Открытые системы тя-готеют к нарастанию усложненности и диффе-ренциации (т.е. открытая система будет по мере роста стремиться к большей специализации сво-их элементов и усложнению структуры, нередко расширяя свои границы или создавая новую су-персистему с более широкими границами). Если предприятие растет, то н аблюдаются значитель-ная его д ифференциация и у сложнение (что

х орошо видно на примере Группы «Газпром», диверсифицирующей свою деятельность на об-ласти электроэнергетики, нефтедобычи и др.). Неизолированность Группы «Газпром» как ССС подразумевает также ее взаимодействие с внеш-ним окружением и воздействие этого окружения на него. Такое воздействие, вообще говоря, мо-жет трактоваться весьма широко: это могут быть природные катаклизмы (например, землетрясе-ния, приводящие к разрушению дамб и других строительных конструкций), крупномасштаб-ные аварии (например, взрыв на атомной элек-тростанции, нарушение электропитания це-лого региона), а также противоправные акции или информационные диверсии, где спектр воз-действий наиболее широк. Принятие решений в этих условиях становится очень сложной и не-однозначной задачей. Какому о бъекту управ-ления уделить больше внимания? Как перерас-пределить имеющиеся ресурсы? Появляются задачи определения приоритетов, ранжирова-ния проблем и угроз. Отсюда следует, что оцен-ку значимости объектов и проблем в сложной н езамкнутой динамической системе следует проводить, используя математический аппарат теории игр и, в более общей постановке, теории конфликтующих систем. Для научного описа-ния этих явлений требуются такие модели и ма-тематические методы, которые способны учиты-вать неопределенные и случайные факторы, ин-тересы и побуждения людей.

Впервые принципы научного анализа дей-ствий в конфликтных ситуациях сформулиро-ваны фон Нейманом и Моргенштерном в 1944 г. [27]. Опубликованная ими работа положила на-чало «потоку» математических исследований игр и решений, которые во многом способство-вали выработке правил оптимального поведения для широкого класса конфликтных ситуаций.

В современном виде теория игр неизбеж-но носит нормативный характер: игрок, приме-няющий ее, узнает, что должно делать и какую стратегию выбрать, чтобы обеспечить себе бла-гоприятный исход. Но, как и многие другие аб-страктные математические модели, теоретико-игровая модель конфликта ограничена. Она не может выявить природы конфликта, скрытых пружин человеческой деятельности в конфликт-ной ситуации. Поэтому, когда речь идет о кон-фликте, следует отчетливо различать два воз-можных п редмета исследования. Мы можем, встав на позицию одной из сторон, искать дей-ствия, направленные к достижению некоторой


№ 2 (34) / 2018

цели. При этом мы, естественно, должны учи-тывать противодействие противника, цель кото-рого помешать нам. Если в этой ситуации вы-брать одну из возможных стратегий поведения, то нужно иметь обоснование того, что некоторая стратегия поведения является лучшей и что сле-дует поступить так, а не иначе. Естественно, та-кой выбор будет обоснованным, если его мож-но подкрепить количественными данными. Главное здесь в том, что решение (а следова-тельно, и все последующие действия) обосно-вывается тем, что именно на этом пути игрок увеличивает свой выигрыш за счет противника.

Такого рода схема используется при ре-шении задач исследования операций [38]. Поскольку ЛПР редко располагает всеми необ-ходимыми сведениями о «противнике» (его це-лях, ресурсах и стратегиях), ему приходится принимать решения в условиях, характеризую-щихся той или иной степенью неопределенно-сти, т.е. степенью неинформированности ЛПР об этих условиях. В соответствии с имеющей-ся информацией о «противнике» в рамках ис-следования операций в основу выбора страте-гии обычно кладется принцип гарантирован-ного результата: какое бы решение ни при-нял «противник», некоторый выигрыш должен быть ЛПР гарантирован. Конфликтная ситуа-ция хотя и входит в модель операции, планиру-емой одной из сторон, не является предметом самостоятельного исследования.

В конкретных задачах исследования опе-раций деятельность конфликтующих сторон не рассматривается как особый вид человече-ской деятельности, и конфликт как таковой вы-ступает лишь в роли фона, на который проеци-руются действия сторон. В математической те-ории игр мы имеем дело с аналогичной поста-новкой задачи. Идет ли речь о реальном против-нике или конфликтующая сторона представле-на природой, предметом изучения остается вы-бор стратегии, выбор поведения. Принцип га-рантированного результата в теории игр кон-кретизируется в критериях выбора решения. Отличие состоит, пожалуй, в том, что «теорети-ки игр» оперируют с игровыми моделями с по-зиции объективного исследования (обе сторо-ны выступают в модели как равноправные пар-тнеры), а исследователи операций по необхо-димости занимают позицию одной из сторон.

Остановимся, например, на проблеме при-нятия решения в задаче обеспечения защищен-ности объектов Группы «Газпром». Рассмотрим

некоторый (k-й) объект. В результате предпо-лагаемой атаки нарушителей того или иного уровня подготовки j этому объекту через его полный (или частичный) выход из работоспо-собного состояния будет нанесен определен-ный ущерб (обозначим его через X ). Отметим, что не всякая атака априори приводит к успе-ху нападающей стороны. Поэтому профиль за-щиты k-го объекта может быть описан интер-вальными представлениями посредством зада-ния четырех матриц:

[ ] [ ] [ ] [ ]min max min max( , ), ( , ), ( , ), ( , ).k k k kQ i j Q i j X i j X i j (9)

Здесь i (i = 0, 1, …, I [k]) – уровень защиты k-го объекта. Нулевой уровень (i = 0) соответствует текущему состоянию защиты.

Интерпретация элементов матрицы тако-ва: если на указанный объект k с уровнем за-щиты i будет осуществлена атака против-ника с уровнем подготовленности j, то с ве-роятностью от [ ]

min ( , )kQ i j до [ ]max ( , )kQ i j Группе

«Газпром» будет нанесен ущерб величиной от [ ]

min ( , )kX i j до [ ]max ( , )kX i j . Ясно, что величины

[ ] [ ] [ ] [ ]min max min max( , ), ( , ), ( , ), ( , )k k k kQ i j Q i j X i j X i j по мере

роста j будут расти, а по мере роста i – сни-жаться. Очевидно также, что защита на лю-бом уровне требует определенных материаль-ных затрат со стороны как Группы «Газпром», так и государства. Обозначим величину затрат на создание и поддержание защиты k-го объек-та на i-м уровне через Y [k](i[k]).

Поскольку суммарный ресурс, выделяемый на защиту всех объектов, ограничен, должно выполняться неравенство

[ ] [ ]( ) ,k k

kY i Y (10)

где Y – сумма всех затрат на защиту объектов при условии, что для каждого объекта k выбран вариант системы защиты i[k].

Если бы у преступников не существова-ло преимущества выбора цели и варианта ата-ки, т.е. если бы преступность была неизбира-тельна, как природа или технологические отка-зы, то «оптимального» профиля защищенности объектов можно было бы достичь последова-тельным выполнением следующего алгоритма:

а) оцениваются вероятности λ[k](j) атаки каждого k-го объекта противником j-го уровня подготовленности;

б) рассчитывается медианное значение ри-ска, обусловленного реализацией нападения


№ 2 (34) / 2018

на k-й объект противником j-го уровня подготовленности при i[k]-м варианте реализа-ции системы защиты объекта:

[ ] [ ] [ ] [ ] [ ] [ ] [ ] [ ][ ] [ ] min max min max

0

( , ) ( , ) ( , ) ( , )[ ; ] ( ) ;

2 2

k k k k k k k kJk k

j

Q i j Q i j X i j X i jR k i j (11)

в) определяется величина предотвращенного риска на единицу вложенных в за-щиту средств:

[ ][ ]

[ ] [ ]

[ ; ][ ; ] ;( )

kk

k k

R k ik iY i

(12)

г) для каждого k-го объекта выбирается максимальное из значений θ[k; i[k]]:

[ ]

*[ ] [ ][ ; ] max{ [ ; ]},k

k k

ik i k i (13)

т.е. при выбранном варианте i*[k] наблюдается максимальное снижение риска на еди-ницу вложенных средств для k-го объекта;

д) составляется ранжированный перечень объектов, располагаемых по убыванию величины показателя θ[k; i*[k]];

е) далее по списку объектов отсчитываются первые K объектов, суммарные затра-ты на защиту которых вкладываются в выделенные средства Y, тогда как на ( 1)K -й объект ресурсов не хватает.

Суть процедуры предельно проста: нет смысла изыскивать средства на допол-нительную защиту тех объектов, которым ничто не грозит (вероятности атак λ[k]( j) малы). Также нецелесообразно защищать дополнительно те объекты, вре́менная по-теря работоспособности которых практически не сказывается на величине суммар-ных потерь Группы «Газпром» (соответственно, малы [ ] [ ]

max ( , )k kX i j ). И, наконец, до-полнительная защита нецелесообразна на тех объектах, которые уже защищены на-столько хорошо, что снижение потерь может быть достигнуто, но неадекватно боль-шими средствами (т.е. малы значения θ[k; i*[k]]). Ключевым моментом приведенно-го алгоритма является составление ранжированного перечня объектов по критерию минимизации математического ожидания потерь на единицу средств, вложенных в их защиту (в их устойчивое функционирование).

В формуле (11) четко прослеживается необходимость сбора и оценки данных по трем компонентам: 1) потерям [ ] [ ]

min max( , ), ( , )k kX i j X i j , вызванным реализацией атак; 2) показателю «агрессивности преступной среды» λ[k]( j); 3) зависимости рисков от типов объектов k.

Вследствие того, что объекты Группы «Газпром» не являются автономными пред-приятиями, размеры потерь X должны отражать системный эффект (или социально-экономический мультиэффект), который существенно возрастает в зависимости от того, какие из потребителей продукции атакованного объекта пострадают из-за потери работоспособности предприятия. Общий вывод из сказанного: следует рас-сматривать не средние, а верхние границы показателей ущербов и дополнительно учитывать необходимость непрерывного функционирования объекта в связи с ка-скадным эффектом усиления последствий потери его работоспособности для других о бъектов ЕСГ и ТЭК в целом.

Классифицируем нарушителей по уровню подготовленности j (j = 0, 1, .., J ). Нулевой уровень (j = 0) соответствует самому низкому уровню подготовленности. Максимальный уровень (j = J ) соответствует сверхподготовленной диверсионной группе. Будем считать, что на реализацию атаки нарушителем j-го уровня потребует-ся Zj единиц ресурсов. Естественно предположить, что чем выше уровень j, тем суще-ственно больше требуется ресурсов Zj (более серьезная атака требует от нарушителей принципиально бо́льших затрат на ее подготовку: времени, квалифицированных ка-дров, изучения функционирования объектов и систем их охраны и т.п.).


№ 2 (34) / 2018

Естественно также предположить, что суммарные ресурсы у преступного мира ограничены (боевики, снаряжение, вооружение), а значит, моделью интегрального профиля нарушителей будет являться кортеж количества (интенсивности) атак со-ответствующего уровня подготовленности 0 1{ , , , }JN N N N с учетом вышеуказан-ных ограничений:

.max

0

( 0, .., )

( ) ,

j j

J

j jj

N N j J

N Z Z (14)

где Z – суммарное количество средств, выделяемых преступностью на подготовку и реализацию атак на объекты.

Пусть также Z – наша оценка суммарного ресурса, имеющегося у сил, заинтере-сованных в нарушении безопасности объектов Группы «Газпром». Если Z < Z, то за-щищающаяся сторона недооценивает возможности противника, если Z > Z, то, напро-тив, имеет место переоценка его сил. Считаем, что на момент выбора атаки наруши-тель имеет собственные представления о количестве ресурсов, выделяемых компани-ей на охрану своих объектов, т.е. у него имеются некоторые представления и о том, как мог измениться известный ему «нулевой вариант».

Нарушители обладают правом выбора целей и способны выбирать наборы объ-ектов, которые будут ими атакованы. Пусть их выбор базируется на их собствен-ной модели ожидаемого ущерба, т.е. в их распоряжении имеются по четыре ма-трицы [ ] [ ] [ ] [ ]

min max min max( , ), ( , ), ( , ), ( , )k k k kQ i j Q i j X i j X i j , аналогичные матрице (9), на каждый из о бъектов и свое представление о том, сколько ресурсов Y потрачено Группой «Газпром» на защиту всех объектов. Соответственно, если Y < Y, то противник не-дооценивает возможности защиты объектов, и если Y > Y, то он их переоценивает.

Очевидно, что оценки [ ] [ ]min max( , ), ( , ),k kQ i j Q i j [ ] [ ]

min max( , ), ( , )k kX i j X i j также могут быть противником как завышены, так и занижены, тем не менее в соответствии со сво-им правом выбора он определяет такой набор объектов для атаки и такие варианты подготовленности нарушителей для каждого объекта, при которых наносится макси-мальный ущерб.

Обозначим через δ[k](i, j) характеристическую функцию, которая означает, что против k-го объекта с ожидаемым уровнем защиты i (i = 0, 1, .., I [k]) выбрана атака уровня j (j = 0, 1, .., J). Если для всех i (i = 0, 1, .., I [k]) значения δ[k](i, j) равны нулю, то k-й объект не будет подвержен атаке уровня j. Если при всех j и всех i значения δ[k]

(i, j) равны нулю, то k-й объект при предполагаемом противником варианте целепола-гания полностью выбывает из списка целей.

Если для некоторого i значение [ ] ( , ( ))k i j i равно единице, считаем, что о бъект k с уровнем защиты i выбран противником как цель для атаки уровнем подготовлен-ности ( )j i .

Перечисленные свойства записываются системой равенств:

[ ] [ ]

[ ] [ ]

0 0 0 0

( , )(1 ( , )) 0

( , ) 1 ( , ) 0.k k

k k

I IJ Jk k

i j i j

k i j i j i j

k i j i j (15)

Учитывая, что

[ ]

0( , ) ,

kIk

ji k

j i j N (16)

и дополняя эти уравнения системой ограничений, приведенной ранее, мы получа-ем возможность рассчитать суммарный ожидаемый ущерб, наносимый противником (т.е. риск):


№ 2 (34) / 2018

[ ] [ ] [ ] [ ] [ ] [ ] [ ] [ ][ ] min max min max

0 0

( , ) ( , ) ( , ) ( , )( , )

2 2

k k k k k k k k kI Jk

k i j

Q i j Q i j X i j X i jR i j . (17)

Обозначим R как R(Var_I, Var_J ), подчеркивая, что R зависит как от варианта за-щиты объектов (Var_I ), так и от варианта атаки (Var_J ). Ищем максимум R для всех вариантов атак, удовлетворяющих ограничениям, при рассмотрении всех вариантов оснащения дополнительной защитой в качестве параметров:

*

Var_(Var_ ) max { (Var_ , Var_ )}.

JR I R I J (18)

Тем самым мы постулируем, что противник выбирает самый худший для защи-щающейся стороны (Группы «Газпром») вариант. При этом задача защиты сводит-ся к ограничению множества выбора для противника: ищется такое усиление объек-тов Группы «Газпром», чтобы минимизировать R*(Var_I ), т.е. решается задача поис-ка равновесного значения R**:

** *

Var_min{ (Var_ )}.

IR R I (19)

Предлагаемая постановка имеет типовой вид задач теории игр. Решением этой за-дачи является равновесие по Нэшу – седловая точка (Var_I *, Var_J *):

** * *(Var_ , Var_ ).R R I J (20)

В этой точке Группе «Газпром» невыгодно менять стратегию оснащения Var_I *, поскольку вне этой стратегии у противника появляются возможности для нанесения более «чувствительных» ударов. При этом атакующей стороне тоже невыгодно ме-нять свой план Var_J *(Var_I *), так как любое изменение приводит к снижению сум-марных ущербов, которые она стремится нанести объектам Группы «Газпром», а че-рез них – ТЭК РФ и стране в целом.

Несмотря на то что предлагаемая задача теоретически имеет очень большую размерность и обладает большой комбинаторной сложностью, она вполне решаема вследствие монотонности используемых критериев и линейности систем ограниче-ний. В рамках рассмотренной постановки, учитывающей комплексное воздействие потенциального противника, кардинально меняется понимание оценки эффективно-сти систем защиты. Так, в силу ограниченности ресурсов, доступных преступному миру, естественно ожидать перемещения целеполагания с хорошо защищенных объ-ектов (с малой ожидаемой результативностью атак) на менее защищенные (с боль-шей результативностью, но при меньших разовых ущербах). Очевидно, что нерацио-нально дополнительно защищать объекты, которые никто не атакует.

Ранее неоднократно подчеркивалось, что описанная процедура оперирует толь-ко оценками с обеих сторон. Из-за неустранимой неопределенности оценок в каче-стве решения задачи о выработке стратегии и тактики усиления защиты объектов Группы «Газпром» от возможных противоправных действий, включая террористиче-ские акты и атаки диверсионных групп, на первом этапе целесообразно «загрубить» игровую постановку. При «загрублении» должны «идеализироваться» возможности противника и ужесточаться характеристики вероятных потерь, например, путем пере-хода от медианных оценок рисков к максимальным. Решение задачи в данной поста-новке позволило бы на основе многокритериальной теории полезности разработать для Группы «Газпром» адаптивный алгоритм, устанавливающий порядок и принци-пы ранжирования объектов ЕСГ России по критерию системной значимости с учетом вида их деятельности, технологических особенностей, региона размещения и взаи-мосвязей с другими элементами системы.


№ 2 (34) / 2018

Принципы составления полного набора данных для анализа и решения задачи управления безопасностьюИдеология оценок, анализа и управления ри-сками, собственно говоря, исходит из следую-щего образного определения: рискованное дей-ствие – это дело, затеянное наудачу в надежде на успех. В первую очередь, оно отражает на-личие как минимум двух исходов – «успешно-го», на который надеются, и «неуспешного», при котором затеянное не свершается или свер-шается в меньшем масштабе. В тех редких слу-чаях, когда имеются только два исхода, риско-вая ситуация описывается «платежной матри-цей» (таблица).

Недополученная выгода X0 – X1 называет-ся, как правило, ущербом, а величина матема-тического ожидания недополученной прибы-ли – риском R:

0 0 0 1 0 1

1 0 1

( ) ( )( ).

R p X X p X Xp X X (21)

В случае когда возможна угроза реализа-ции неуспешных исходов с различными ущер-бами, риск исчисляется по формуле

01

( ).N

n nn

R p X X (22)

Формула (22) корректно применима для те-кущей оценки рискового действия только в тех случаях, когда это действие «обратимо», т.е. су-ществует возможность повторить это действие достаточно большое число раз, для того что-бы обеспечить сходимость «по вероятности». При анализе СФУ такой ситуации не наблю-дается. Во-первых, как правило, исследова-телям ничего не известно о возможности или невозможности появления «новых» сценари-ев с неуспешными исходами, кроме тех, что внесены в анализируемую платежную матри-цу (см. таб лицу). Поэтому, хотя и должно вы-

полняться классическое условие 01

1N

nn

p p ,

но величины pn (n = 0, .., N) – это вероятности

не апостериорные, т.е. подсчитанные часто-ты (англ. probability), а априорные, т.е. возмож-ности, или предполагаемые пропорции реали-зации исходов (англ. likelihood – правдоподо-бие). Во-вторых, приходится считать, что раз-личных сценариев слишком много и каждый из них имеет пренебрежительно малую веро-ятность реализации. Собственно, возможен только один единственный сценарий – тот, ко-торый реализуется в реальности. Поэтому н еуспешные исходы должны группировать-ся в классы. Первая процедура при разбиении исходов на классы осуществляется по призна-ку эквивалентности ущербов, что опять-таки н еправильно с позиций классической теории вероятностей: величины оценок возможностей pg (g = 0, .., G ), где индекс g указывает на груп-пу исходов, зависят от субъективного воспри-ятия (значимости) ущерба. В результате ана-лизируется распределение «псевдовероятно-стей» по шкале исследователя, а не по шкале «природы явления». В-третьих, часто решение о вступлении в рискованное действие реализу-ется лишь один раз, поэтому сомнительно ис-пользовать вероятностные имитационные ин-струменты анализа, типа метода Монте-Карло. В-четвертых, часто приходится решать зада-чу выбора рискованного действия из множе-ства альтернативных вариантов, чтобы исклю-чить риски неприемлемого уровня. Оценочная функция, соответствующая случаю недопуще-ния ущерба ниже теоретически возможного, предполагает, что от действий, для которых су-ществует хотя бы один сценарий n, при кото-ром ущерб 0( )nX X превышает заданный уро-вень, надо отказаться. Оценочная функция, со-ответствующая политике «крайней осторожно-сти», строится на основе минимаксного крите-рия [39].

Для оценки угроз такой критерий, впро-чем, трудно признать пригодным: редкие сце-нарии с большими ущербами отменили бы лю-бую деятельность кроме «безнаказанной». Поэтому на практике приходится «сглаживать» ситуацию, что делается несколькими путями. Первый: оценивать ущербы и риски, занимая «уравновешенную» позицию. Предполагается, что на практике реализуются варианты меж-ду точками зрения крайнего оптимизма (толь-ко успех, а другого не может быть) и крайнего пессимизма (прикладываются максимальные усилия на предотвращение и/или смягчение ущербов от угрозы, но все равно р еализуется

Платежная матрицаУспешный исход

Неуспешный исход

Выгода (платеж за действие) X0 X1

Мера возможности реализации p0 p1 = 1 – p0


№ 2 (34) / 2018

наихудший из возможных сценариев реализа-ции угрозы). Второй: угадать и корректиро-вать пропорции, в которых ожидаются возмож-ные реализации сценариев угроз (для этого не-обходимо «периодически» оценивать текущее состояние, тенденции изменения и прогнози-руемые состояния угроз). Речь идет о построе-нии адаптивной схемы корректировки платеж-ных матриц (см. таблицу).

Различные источники информации имеют различную специфику воздействия на оценки рискованных действий. Так, например, «ком-петентные источники» могут уточнять текущее состояние – вплоть до внесения новых альтер-натив реализаций угроз (столбцов платежных матриц). Но отслеживание динамики состоя-ния угроз для них не является основным видом деятельности. Научно-технологические источ-ники достаточно уверенно могут дать предель-ные характеристики прогнозируемых величин (скажем, даты промышленного освоения той или иной технологии). А вот оценки тенден-ций, оценки скоростей нарастания или ослабле-ния угроз можно получать только путем анали-за показателей внештатных и кризисных ситу-аций. Экспертно-аналитическая система долж-на быть многофункциональной и многоуровне-вой, предназначенной как для фиксации и ана-лиза каждого конкретного случая (события), так и для прогнозирования тенденций и формиро-вания профилактических мероприятий, если та-ковые ожидаются. Ожидание тех ситуаций, ко-торые требуют действий, типично для служб пожарной охраны, МЧС, скорой медицинской помощи. В случае же СФУ стационарного ха-рактера негативных событий нет «по определе-нию», поэтому об этих угрозах система узнает из «компетентных источников», сообщающих о них в дополнение к своей основной деятель-ности, либо из СМИ, когда об угрозе говорят все, «кому не лень». Между «компетентными источниками» и общедоступными СМИ при-сутствует широкий спектр информационных источников типа материалов выставок и конфе-ренций, публикаций научных изданий и специ-алистов, местной прессы (заведомо более близ-кой к субъектам и объектам угроз) и т.п.

Все источники информации, таким об-разом, выстраиваются в некоторую двумер-ную шкалу. Первое измерение которой отра-жает комплиментарность источника инфор-мации: «свой», «приближенный», «нейтраль-ный», «аффилированный с конкурентами»,

«н едружественный». Второе измерение отра-жает уровень специализации (компетентности) источника информации. Например, к мнению специалиста (узкоспециализированного жур-нала) естественно относиться с бо́льшим до-верием в его области, но с меньшим доверием в более широкой области, поскольку такой ис-точник, «очевидно», будет переоценивать фак-ты и результаты из своей области и принижать значимость фактов и результатов из смежных областей, рассматривая их в качестве конкурен-тов. Оценивая ту или иную информацию, по-ступающую от источника, на соответствие ре-альности (по ретроспективным данным), мож-но сформировать отношение к источнику как к некоторому инструменту измерений, типиза-ции, распознавания той или иной ситуации.

Большое разнообразие альтернативных источников информации требует их сравни-тельного анализа и, по возможности, отбо-ра и оптимизации задолго до принятия реше-ния об их использовании в практической ра-боте системы обеспечения безопасности. Для этого необходим ответ на ключевой вопрос, а именно: по каким критериям оценивать ис-точники, чтобы обеспечить сравнимость ре-зультатов их использования? В качестве тех-нических критериев качества источников мож-но использовать показатели полноты и точно-сти [40, 41]. Коэффициент полноты некото-рого метода классификации равен доле пра-вильно классифицированных объектов клас-са C из тестирующей выборки в полном коли-честве объектов класса C, находящихся в ней. Коэффициент точности метода классификации равен доле правильно классифицированных объектов класса C из тестирующей выборки в полном количестве объектов этой выборки, которые были классифицированы как принад-лежащие классу C. Коэффициент полноты свя-зан с ошибками первого рода – неправильной классификацией объектов, принадлежащих классу C. Коэффициент точности корреспон-дируется с ошибками второго рода – классифи-кациями ложных объектов как принадлежащих классу C. Хороший метод классификации дол-жен допускать меньше ошибок, т.е. иметь боль-шие значения коэффициентов точности и пол-ноты. Однако 100%-ный результат достигается лишь на специально подготовленных «эталон-ных» массивах данных. На практике же редко наблюдается одновременное превышение эти-ми коэффициентами 70 % [40, 42].


№ 2 (34) / 2018

Повышение надежности оценок для фор-мирования обучающих выборок требует на-личия объясняющих компонент, что вытека-ет из аналитического характера деятельности. Окончательную оценку качества источников требуется проводить по «конечному результа-ту». В качестве интегральных критериев дове-рия к источнику информации можно рекомен-довать использовать среднее время наработ-ки критического количества ошибок источни-ка и среднее время наработки критического со-отношения ошибок первого и второго рода, со-вершенных на базе данных источника.

Рациональное размещение защитных ресурсовПосле того как выделена группа критически важных объектов, возникает задача распреде-ления ресурсов, имеющихся у собственника системы, для рациональной защиты этих объ-ектов. В качестве критерия эффективности те-кущих мероприятий по повышению защищен-ности используется отношение размера ущер-ба для собственника и страны в целом, пре-дотвращаемого планируемыми мероприятия-ми по оснащению объектов комплексами защи-ты, к затратам на реализацию этих мероприя-тий. Индекс эффективности для экономически обоснованных мероприятий должен быть боль-ше единицы.

Средства на защиту объектов, имеющиеся в распоряжении ЛПР, как правило, ограничены, следовательно, возникает задача рационально-го распределения этих средств. Возможны две постановки задачи [43]. Прямая: разместить оптимальным образом имеющиеся ресурсы, чтобы гарантировать максимально возможный уровень безопасности защищаемого объек-та. Обратная: разместить оптимальным обра-зом имеющиеся ресурсы, чтобы гарантировать требуемый (желаемый) уровень безопасности

з ащищаемого объекта при минимально воз-можном использовании имеющихся ресурсов.

Защитные меры условно делят на три от-носительно независимых уровня, функцио-нирование которых можно схематично пред-ставить в виде трехуровневого «сита» (уров-ни объекта, региона, государства), причем чем ниже уровень, тем выше его «разрешаю-щая способность» [43, 44]. Достаточно адек-ватно математически описать подобный про-цесс может так называемая «ветвящаяся си-стема» [43] (рис. 3). Если для каждого объек-та нижнего уровня ветвящейся системы вы-бран индивидуальный показатель эффектив-ности (или же обратной величины – ущерба), то полная эффективность системы может быть найдена как сумма этих индивидуальных по-казателей [44]. Это следствие одной из основ-ных теорем теории вероятностей: математиче-ское ожидание суммы случайных величин рав-но сумме математических ожиданий этих слу-чайных величин независимо от того, зависи-мы они или нет. Предложенный подход мо-жет быть использован как при планировании мероприятий по улучшению защиты объектов от ПД, оценки эффективности этой защиты, так и для оптимального (рационального) рас-пределения затрат на защиту групп объектов.

Методики оценки экономической эффек-тивности инвестиционных проектов широко известны [45], однако их применение к решае-мой задаче осложняется необходимостью опре-деления «выгод» от повышения защищенности объектов. С увеличением числа объектов в си-стеме трудности возрастают.

Разработана методика оценки экономи-ческой эффективности целевых мероприятий по повышению защищенности от противоправ-ных действий в социально-экономических си-стемах с большим числом объектов, к которым относится и Группа «Газпром», в ладеющая

Рис. 3. Пример ветвящейся системы

F

S1 S2 Sk SN

(1, 1) (1, 2) (1, N1) (N, 1) (N, 2) (N, NN)

...

... ...... ...

... ...

...


№ 2 (34) / 2018

б олее чем 30 тыс. объектов, подлежащих охра-не [46]. В общем случае прогноз экономической эффективности затрат на реализацию меропри-ятий в рамках целевой программы может быть дан по исходным данным двух видов: времен-но́му ряду наблюдений за рассматриваемой социально-экономической системой (корпора-цией) и пространственному ряду наблюдений за аналогичными системами. Однако достаточ-но продолжительного (десятки лет) ряда наблю-дений за результативностью затрат на оснаще-ние объектов ИТСО в рамках Группы «Газпром» нет, так как с течением времени изменяются криминально-террористические угрозы, требо-вания к СФЗ (модели нарушителя), сами ИТСО, их стоимость и другие факторы.

В целях прогноза предложено [47] вос-пользоваться пространственным рядом наблю-дений за результативностью затрат по оснаще-нию объектов ИТСО, образованному соответ-ствующими данными о структурных подразде-лениях корпорации – ее дочерних обществах и организациях. Такой подход может быть эф-фективен, например:

1) при проверке экономической обоснован-ности программы. Затраты на оснащение объ-ектов ИТСО с точки зрения экономических ин-тересов рассматриваемой системы являются обоснованными, если «выгоды» Δw′ превыша-ют «затраты» c (в этом случае для владельцев корпорации (государства) доходность от реали-зации целевой программы, понимаемая в ши-роком смысле, превысит доходность от альтер-нативных инвестиций с равным уровнем риска; стоимость корпорации в данном случае не вы-растет, но возрастет национальное богатство страны);

2) оптимизации состава программных ме-роприятий (с этой целью обычно рекоменду-ют разрабатывать различные варианты целевой программы i I, где I – множество возможных вариантов (как правило, не менее трех)).

Н.Н. Радаевым с соавторами [11] cделан вывод о том, что обоснование экономической эффективности целевых мероприятий по повы-шению инженерно-технической защищенности объектов корпорации с государственным уча-стием, превышающим 50 % акций, имеет осо-бенности по отношению к инвестиционным проектам, целью которых являются получе-ние прибыли и рост стоимости компании. Для больших совокупностей объектов КВИ должна осуществляться м акрооценка э ффективности

целевых мероприятий. При этом «выгоды» от проводимых мероприятий состоят в пре-дотвращении возможного ущерба для Группы «Газпром» в результате достигнутого повыше-ния защищенности объектов.

Объекты, разрушение и/или прекраще-ние функционирования которых приводит к наибольшему ущербу для заинтересован-ного с убъекта, относятся к КВИ [11, 43, 48]. Решения о повышении защищенности КВИ принимаются на основе общих принципов при-нятия решений в условиях неопределенности и риска: нормирования, обоснования, оптими-зации. Однако принятие рациональных реше-ний заинтересованным субъектом затруднено большим числом объектов, значительным ко-личеством влияющих на принимаемое реше-ние случайных (так называемых рискообра-зующих) факторов и значительными затрата-ми на обеспечение защищенности объектов. Поэтому корректная процедура принятия ре-шений о повышении защищенности объектов должна быть в значительной степени формали-зована. Первым шагом в этом направлении яв-ляется выработка концепции, позволяющей за-интересованному субъекту обосновать рацио-нальные решения о повышении защищенности своих объектов от ПД. Для некоторой совокуп-ности объектов общий объем средств на их за-щиту («затраты») должен быть адекватен су-ществующей угрозе и определяется с учетом н епревышения ими размера предотвращенного благодаря предпринимаемым мерам возмож-ного ущерба (риска). Эти средства необходи-мо рационально распределить между объекта-ми. Вначале целесообразно защитить объекты КВИ, причем из указанных объектов выделить те, которые требуют первоочередной защиты. Поскольку с повышением защищенности объ-ектов эффективность затрат на их защиту сни-жается, целесообразно вначале защищать наи-более уязвимые объекты. В основу концепции защиты объектов может быть положен прин-цип равного риска от их разрушения (прекра-щения функционирования) для рассматривае-мого субъекта [46].

В качестве рискообразующих факторов це-лесообразно использовать [11, 43]: террори-стическую опасность территории, террористи-ческие угрозы для размещенных на рассма-триваемой территории объектов, уязвимость (или защищенность) объектов по отношению к террористическим действиям, последствия


№ 2 (34) / 2018

р азрушения (прекращения функционирования) объекта для рассматриваемого субъекта и вос-приятие террористического риска населением рассматриваемой территории. Показатели, учи-тывающие эти факторы, являются условными, а комплексный показатель, который можно ин-терпретировать как вероятность сложного со-бытия, определяется произведением показате-лей по частным событиям.

Особое значение необходимо придавать оценке неопределенностей при задании каж-дой из названных величин, так как ЛПР долж-но иметь однозначную информацию о том, ка-кие материальные, финансовые, социальные и экологические потери могут быть понесе-ны в результате реализации неверно принято-го решения. Стоит обратить внимание, напри-мер, на методику [43], основанную на алгорит-ме ранжирования мероприятий защиты по эко-номической эффективности с использованием оптимизационного метода наискорейшего спу-ска, который позволяет решить обе задачи, обо-значенные в начале раздела (прямую и обрат-ную). Различные объекты имеют разные при-оритеты защиты (например, атака на газопро-водные системы может привести к огромным потерям человеческих жизней; уничтожение компрессорной станции – породить серьезные коммуникационные проблемы и на значитель-ное время прервать нормальное функциони-рование газотранспортной системы), причем предполагается, что эксперты по безопасности способны оценить стоимость тех или иных за-щитных мероприятий, величину возможного ущерба в случае совершения враждебной ак-ции, т.е. приоритеты, или веса, защищаемых объектов (например, через описанную ранее процедуру оценки системной значимости).

Эксперты оценивают коэффициенты «важ-ности» объектов и влияние затрат на повыше-ние защищенности объектов, а также степень защищенности объектов без специальных ме-роприятий. В качестве коэффициента «важ-ности» возможно использовать значение по-казателя системной значимости (см. ранее). Ранжирование объектов осуществляется с по-мощью вычисления относительных прираще-ний защищенности на единицу затрат:

1

1 ,s s

s i ii i s s

i i

p pa

C C (23)

где ai – коэффициент «важности» i-го объекта; pi

s – уровень защищенности на шаге s п роцесса

повышения защищенности i-го объекта; Cis –

затраты, связанные с достижением уровня за-щищенности на шаге s. Такой подход позволяет достигнуть максимального отношения предот-вращаемого ущерба к затратам на реализацию мероприятий. Названное отношение выбира-ется в качестве критерия эффективности меро-приятий по повышению защищенности, кото-рый может быть использован при планирова-нии мероприятий по повышению уровня защи-щенности объектов от враждебных действий, оценки эффективности этой защиты, а также для рационального распределения затрат на за-щиту групп объектов.

Анализ показывает, что предлагаемая мо-дель оптимального распределения ресурсов, предназначенных для защиты объектов КВИ от возможных атак террористов, работает до-статочно устойчиво [47].

Построение иерархической структуры системы управления безопасностьюВо многих организациях управление строит-ся по иерархическому принципу. В иерархи-ческой системе управления любая подсистема некоторого уровня подчинена подсистеме бо-лее высокого уровня, в состав которой она вхо-дит и которой управляется. Система управле-ния делится на подсистемы, пока полученная подсистема не перестанет выполнять функции управления, т.е. подсистемой низшего уров-ня станет подсистема, которая осуществляет непосредственное управление конкретными орудиями труда, механизмами, устройствами или технологическими процессами. Система управления более высокого уровня осущест-вляет управление технологическими процес-сами через подсистемы более низких (проме-жуточных) уровней.

Система управления предприятием также, как правило, имеет многоуровневую структуру. От подсистем, расположенных на более высо-ком уровне, идет поток управляющей информа-ции к подсистемам, расположенным на более низком уровне, в то же время подсистемы более низкого уровня посылают информацию о теку-щем состоянии объекта управления подсисте-мам более высокого уровня. Преимущество и ерархической структуры управления пред-приятием заключается в том, что решение за-дач управления основывается на базе локаль-ных решений, принимаемых на соответствую-щих уровнях иерархии управления.


№ 2 (34) / 2018

Нижний уровень управления является ис-точником информации для принятия управ-ленческих решений на более высоком уров-не. С повышением уровня поток информации от уровня к уровню по количеству информа-ции уменьшается, но при этом увеличивает-ся смысловое (семантическое) содержание ин-формации.

Все решения, принимаемые для управле-ния производством, делятся на регламентные и случайные. К регламентным решениям от-носятся решения, которые принимаются регу-лярно с определенной периодичностью, поэто-му бо́льшая часть процедур, связанных с вы-полнением этих решений, поддается автомати-зации. Случайные решения принимаются в ре-зультате непредвиденных обстоятельств и поэ-тому не поддаются надежному информацион-ному обслуживанию.

В крупных производственных объеди-нениях для руководителей верхнего уровня управления создаются специализированные системы контроля исполнения директивных вышестоящих и собственных решений (инди-кативные системы). Это позволяет руководи-телям сосредоточить свое внимание на стра-тегических вопросах, исполнении перспектив-ных задач и долгосрочных плановых работах за счет повышения скорости получения страте-гической информации, широты и глубины ана-лиза на основе информационной группировки сведений.

Таким образом, для организации эффек-тивной системы управления безопасностью в Группе «Газпром» необходимы интегра-ция научно-технических результатов и инфор-мационных ресурсов и разработка методики комплексного анализа устойчивости функци-онирования и методических основ комплекс-ной системы управления рисками компании. Внедрение подобной системы повысит обосно-ванность решений не только в области прогно-зирования угроз возникновения внештатных и кризисных ситуаций различных типов и мас-штабов, но и в области решения задач оценки эффективности вложений в направления обе-спечения безопасности и устойчивого функ-ционирования ЕСГ. Комплексный анализ вза-имосвязанных рисков отрасли и ТЭК в целом позволит обосновать необходимые и достаточ-ные уровни безопасности опасных объектов и производств исходя из их важности для ре-шения широкого спектра задач управления.

В настоящее время существует ряд подхо-дов к оценке кризисной (предкризисной) ситу-ации на некотором объекте (системе), которые с системной точки зрения базируются на реше-нии задач классификации состояний исследу-емого частично управляемого динамического объекта (системы) в условиях риска и неопре-деленности или, другими словами, на оценке последствий прогнозируемых сценариев раз-вития текущего состояния в последующие. Для адекватной оценки текущего состояния систе-мы необходимо иметь:

• полную систему индикаторов состоя-ния системы и внешней (конкурентной) среды (описание позиции);

• генератор конечного обозримого коли-чества возможных сценариев развития систе-мы (ходы «своих фигур», «нейтральные» ходы «природы» и антагонистические ходы «фигур противника»);

• функцию оценки состояния (выигрыш – улучшение позиции – ухудшение позиции – проигрыш).

При этом, не дожидаясь наступления «про-игрыша» (при ухудшении оценки текущего со-стояния или же когда конкуренты предпринима-ют нерассмотренные ранее ходы), необходимо искать новые сценарии развития, поскольку все рассмотренные ранее варианты приводят к про-игрышу или вероятность благоприятных по-следствий чрезвычайно мала. Вследствие того что в развитии любой системы присутствуют активные противники (конкуренты), частично управляемые внутренние факторы (техногенная и антропогенная аварийность) или неуправляе-мые факторы (природные бедствия и катастро-фы), все сценарии носят вероятностный харак-тер. Поэтому даже при плавном изменении со-стояния системы (когда невозможно получить крупный проигрыш за короткое время) необхо-димо учитывать фактор накопления случайно-стей и разрабатывать индикаторы-предвестники оценки близости исследуемой системы к грани-цам потери устойчивости развития.

С позиций системологии потеря устойчи-вости развития системы проявляется на не-скольких иерархически связанных уровнях, каждый из которых требует отдельного об-стоятельного анализа. Первый уровень – уро-вень «прочности» (сложная конструкция долж-на состоять из устойчивых элементов) – свя-зан с устареванием оборудования, отставанием квалификации персонала от скорости развития


№ 2 (34) / 2018

с овременных технологий и исчерпанием ресур-сов, на базе которых работает система. Второй уровень – уровень «надежности» (сохране-ние работоспособности целого в условиях от-каза части элементов) – обеспечивается глав-ным образом дублированием элементов, узлов, подсистем. Третий уровень – уровень «живу-чести» – связан со способностью системы ак-тивно противодействовать внешним угрозам. Четвертый уровень – уровень «самоорганиза-ции» – проявляется в адаптивных свойствах си-стемы по следующим «подуровням»:

1) «гомеостазису» – поддержанию «в нор-ме» целостности системы и ее жизненно важ-ных функций;

2) «обучению, тренингу» – выработке но-вых методов функционирования для обеспече-ния способности решать более сложные зада-чи в будущем;

3) «преадаптации» (предвидению, интел-лекту) – подготовке «впрок» оптимизированных планов, механизмов и ресурсов для разрешения кризисных и предкризисных ситуаций, которые не произошли, но возможны в будущем;

4) «перерождению» – формированию в не-драх старой системы «новой» системы, функ-ционирующей по «новым» правилам, в кото-рых старая система существовать не сможет.

Кроме того, как уже упоминалось, ситуа-ционное управление принципиально базирует-ся на том факте, что значительная часть инфор-мации представлена в виде текстовых сообще-ний СМИ и имеет внеплановый непрогнозиру-емый характер. Поскольку такая информация уникальна и изменчива во времени, аналитиче-ские структуры компании зачастую не способ-ны оценить ее достоверность, новизну и полез-ность. Нередко вследствие этого информация переходит в разряд СФУ, которым свойственны неопределенность и динамичность исходных данных и знаний. Для СФУ характерны:

• большое количество информации сим-вольной природы;

• отсутствие математической постанов-ки задачи и формального алгоритмического ре-шения (а если они и существуют, то простран-ство поиска решения очень велико и найти его за допустимое время и с имеющимися ресурса-ми практически невозможно);

• потребность для решения задач в эври-стиках – утверждениях, основанных на экспе-риментальных данных, интуиции (цель приме-нения эвристик – путем исключения заранее

непригодных решений найти более рациональ-ное решение, а не точное математическое).

Несмотря на рост в последнее время доли СФУ (появление новых информационных, со-циальных и инженерных технологий, терро-ристические и военные риски, вопросы изме-нения ценовой политики, миграционные про-цессы и т.п.), неизбежно отражающемся в том числе и на комплексной безопасности Группы «Газпром», оценке и анализу этих угроз уделя-ется недостаточно внимания. Вместе с тем на-капливается опыт создания систем пополне-ния знаний, появляются модели, позволяющие отличить просто информационный шум от ин-формационной атаки или информационного обозначения поступающих событий. В частно-сти, меняются лексика и частотный характер сообщений до «критических» событий и по-сле. Информация имеет, как правило, много-ас пектный характер, существуют так называ-емые «классификаторы проблем». Тем самым кроме навыков идентификации угроз накапли-ваются и систематизируются знания относи-тельно того, какая проблема «цепляет» другие проблемы в соответствии некоторыми сценари-ями. Таким образом, только комплексный ана-лиз взаимосвязанных рисков для отрасли и ТЭК в целом может дать обоснование необходимых и достаточных уровней безопасности опасных объектов КВИ исходя из их важности для реше-ния широкого спектра задач управления.

Следует также отметить, что в современ-ной практике экономико-математического ана-лиза наблюдается «засилье» методов, порож-денных успешным решением тех или иных физико-технических задач. Вместе с тем те-зис «классической науки» о беспристрастно-сти законов природы (безусловной воспроизво-димости их в жизни) не выдерживает критики. Практические решения часто носят разовый, неповторяемый характер.

При этом исследование большинства явле-ний, происходящих в реальном мире, вызвано именно необходимостью активного сознатель-ного («пристрастного») изменения познающим субъектом объектов познания, в частности не-обходимостью конструирования таких объек-тов, которых не было ранее. При этом надо уметь прогнозировать деятельность и выте-кающий из нее результат с учетом того, что «другие не спят», т.е. работать в условиях кон-куренции в постоянном поиске оптимальных (приемлемых) решений.


№ 2 (34) / 2018

В этом аспекте уместна методологическая проработка вопроса, что значит оптимально? Содержательные представления об оптималь-ности в условиях конфликтов (т.е. в услови-ях различия интересов) возникли и развива-ются достаточно давно. Во многих исследова-ниях представление о конфликте и оптималь-ности в условиях конфликтов является веду-щим в том смысле, что отказ от их рассмотре-ния делает беспредметным все исследование. Достаточно сослаться на такие явления, как бо-евые конфликты, политическая борьба, конку-ренция в экономике и т.п.

Наличие конкуренции в корне меняет су-щество прогнозных оценок, в том числе и про-гнозных оценок достижений тех или иных на-правлений бизнеса. Например, модели на осно-ве системы уравнений Лотки – Вольте́рры, предназначенной для изучения явления «кон-вергентной эволюции» (отбора наиболее пер-спективных направлений развития), исполь-зуются для прогнозирования перспектив от-носительно однородных технологий, конкури-рующих между собой (например, вследствие принадлежности различным собственникам), но имеющих и «общего врага». В частности, для газовой промышленности таковыми яв-ляются ядерная энергетика, возможно, другие альтернативные виды энергетики, химическое производство материалов, замещающих газ, и т.д. Например, последний доклад Римского клуба предрекает «закат» газовой и нефтяной эры уже к 2030 г. [49].

Как показывает даже сильно упрощенная аналитическая модель, построенная на упомя-нутых уравнениях Лотки – Вольте́рры, «техни-ческий анализ» экономических данных посред-ством различных моделей регрессии не всегда корректен. По крайней мере, в условиях, ког-да доминирующим обстоятельством является не динамика предыдущей успешности, а фак-торы, определяющие конкурентоспособность старых (проверенных) технологий на фоне раз-вивающихся новых технологий (и «своих», и «чужих») в условиях их борьбы за одного и того же потребителя с ограниченными воз-можностями, необходимы методы анализа кон-курентных систем. Заметим, что вычисление параметров, описывающих уровни конкурен-ции, требует помимо использования стратеги-ческого «коридорного» прогноза создания си-стемы мониторинга СФУ устойчивому функ-ционированию и развитию Группы «Газпром».

Очевидно, что разработка индикаторов предкризисных ситуаций – сложнейшая много-уровневая задача, не укладывающаяся в единую универсальную схему, поэтому дальнейшее раз-витие системы стандартизации и методологиче-ского обеспечения управления безопасностью в Группе «Газпром» предполагает рассмотрение ряда направлений дополнительных исследова-ний по разработке индикаторов предкризисных ситуаций, которые должны вестись в «частных» исследовательских парадигмах с использовани-ем различных теоретических подходов и моде-лей. Перечислим их кратко.

Информационно-логический подход. В данном случае сущность «критической си-туации C» описывается логической функцией ИЛИ объединения возможных частных «эта-лонных» реализаций С:

[ ].n

nC C (24)

Каждая реализация С [n] критической си-туации С описывается некоторым достаточ-но большим подмножеством информационно-логических признаков (подобным ключевым словам в тексте). В общем случае эти описа-ния неоднозначны, возможны «синонимы», пропуски «подразумеваемых» признаков и т.п. Как правило, признаки разделяются на три ка-тегории: индикаторы состояния самой иссле-дуемой системы X, индикаторы «нейтраль-ной» внешней (природной) среды p и индика-торы д еятельности потенциального противни-ка («конкурента») Y:

[ ] [ ] [ ,1] [ , ( )]

[ ,1] [ , ( )] [ ,1] [ , ( )]

{ , ..., ;, ..., ; , ..., }.

n n n n K n

n n L n n n M n

C F X Xp p Y X (25)

Предкризисная ситуация (угроза критиче-ской ситуации) диагностируется как неполный набор индикаторов, близкий к одному или не-скольким «эталонным» наборам аргументов функции F [n]. При этом предполагается, что ре-шающая система способна оценивать вероят-ности перерастания угроз в реальные крити-ческие ситуации. Здесь нужны модели природ-ных явлений и модели поведения конкурентов в ответ на реализацию тех или иных управляю-щих решений.

Подобный подход развивается теориями конфликтующих структур, эвристик в много-шаговых позиционных играх [50], принятия ре-шений [51], а также в ряде областей п рименения


№ 2 (34) / 2018

искусственного интеллекта (например, для по-строения медицинских диагностических си-стем и других систем распознавания образов). В любом случае при этом подходе реализуют-ся некоторая автоматизация формирования ги-потез [52] и некоторые механизмы «размы-вания» образа «эталона». Описания моделей сценариев предкризисных ситуаций оформля-ются в форме деревьев (сетей) событий (отка-зов), иллюстрирующих логику развертки сце-нариев [51]. Синонимия (конкуренция или за-мещение рисков) моделируется в виде вложен-ных друг в друга функций сверток информаци-онных признаков F [n], начиная со сверток пер-вичных признаков в более крупные агрегатив-ные признаки [53]. При большом количестве первичных признаков зачастую используется иерархическое устройство словарей признаков. Описание деревьев событий – прерогатива экс-пертов, однако в последнее время проявляется устойчивый интерес к описанию сложных сла-бо формализуемых решений экспертов с помо-щью «генетических» алгоритмов и других эв-ристических методов, сочетающих поиск наи-лучшего описания сложной системы (предкри-зисной ситуации в ней) и ограниченную логику эволюционного отбора [54].

Энергетический (балансовый) подход. В деятельности любой компании прослежи-ваются три компоненты: ресурсная, научно-технологическая (производственная) и внеш-неэкономическая (рыночная). Исходя из этих представлений количество проданного това-ра T может быть оценено согласно следующей формуле:

,T EK K (26)

где E – энергия, необходимая для производства товара; Kпд (0 ≤ Kпд ≤ 1) – коэффициент полез-ного действия, отражающий эффективность производства товара (научно-технологический уровень производителя); Kпдан – коэффициент качества плана. Меньший единицы Kпдан указы-вает на то, что продукт произведен, но оказался невостребованным (или проданным по мень-шей цене), например, из-за действий конкурен-тов на рынке (появление альтернативных ис-точников энергии) или внешнеполитических (внешнеэкономических) обстоятельств (риски неплатежей, перенос энергоемких, загрязняю-щих окружающую среду производств в стра-ны третьего мира и др.). Этот подход позволяет

разрабатывать индикаторы угроз критических ситуаций на языке вероятностей срыва потока мощности производства товаров. Особое место при этом уделяется выявлению «узких мест», определяющих предельные скорости потоков товаров (принцип Гаузе, «узкое горло» Пауэлла и др.). Показатели таких «узких мест» исполь-зуются при анализе продуктивности самовос-производящихся систем с учетом «внутривидо-вой» и «межвидовой» конкуренции [55].

Балансовый подход (программно-целевое планирование). Методами сетевого (календарного) планирования можно рассчи-тать зависимости вероятностей выполнения тех или иных работ от объемов выделенных ре-сурсов R и выделенного времени T. По физиче-ским причинам существуют минимальные зна-чения времени и ресурсов – Tmin и Rmin соответ-ственно, ниже которых работа невыполнима в принципе. Поэтому для более вероятного вы-полнения работ создаются «резервы» времени и ресурсов, и с учетом этих резервов предпо-лагается соблюдение графика исчерпания вре-мени и ресурсов в зависимости от оставшего-ся объема работ. Анализируя динамику расхо-да времени и средств уместно в качестве инди-каторов использовать данные, свидетельству-ющие о приближении показателей исполне-ния работ, не лежащих на «критических» путях в сетевых графиках, к показателям критиче-ских работ. Угроза образования большого коли-чества новых критических путей по ресурсам и/или времени может служить индикатором предкризисной ситуации. Такой подход пред-полагает усложняющуюся детализацию описа-ния динамики системы в парадигме адаптивно-го управления: анализируются уровни отклоне-ния от выбранного планового графика деятель-ности изучаемой системы так, как будто толь-ко внешние факторы (природа, конкуренция) выбивают систему из устойчивого равновесия и надо измерить вероятность выхода за неко-торый барьер устойчивости. Вместе с тем воз-можны ситуации, в которых удержать равнове-сие невозможно или нецелесообразно и требу-ется перестройка структуры системы – поиск «жизни по-новому».

Индикация состояния системы на осно-ве моделей группового поведения элемен-тов систем. В последнее время для предсказа-ния поведения экономических систем часто ис-пользуются «полевые» модели на основе урав-нений Ланжевена и Фоккера – Планка. Эти


№ 2 (34) / 2018

уравнения описывают динамику элементов си-стемы как некоторый «рой частиц», на кото-рый действуют два типа факторов: факторы дрейфа, смещающие «центр тяжести» под дей-ствием внешней силы, и диффузионные факто-ры, отражающие уровни свободы перемещения частиц внутри роя. В моделях разрабатывают-ся индикаторы разрушения целостности «роя» или его вырождения. Модельные индикаторы носят оценочный характер, поскольку опира-ются главным образом на справедливость зако-нов больших чисел (теорию больших отклоне-ний при случайных блужданиях). Отмечается близкая связь «полевых» моделей с приклад-ной теорией катастроф [56], в частности, по-казывается близость таких индикаторов, как «учащение больших отклонений – сокращение времени выхода контролируемых показателей из “коридоров”», замедление «скорости релак-сации системы к равновесным состояниям», «вырождение матрицы устойчивости Гессе».

Индикация состояния системы на осно-ве измерения корреляционных связей в ди-намике показателей элементов системы. В этих постановках основанием для классифи-кации критической ситуации является измене-ние устойчивых (например, корреляционных, причинно-следственных, ассоциативных, ин-формационных) связей между элементами си-стемы. Для анализа взаимосвязанного экономи-ческого поведения крупных подсистем (дочер-них предприятий) представляют интерес раз-работки в области анализа гендерных (семей-ных) отношений, а также математической тео-рии комплиментарности этносов Гумилева [57].

Индикация состояния системы на осно-ве моделей «серого ящика» (нейронные сети). Нейросетевая классификация состоя-ний сложной системы основана на выявлении информационных признаков и связей между ними, соответствующих наиболее часто встре-чающимся конструкциям критических ситуа-ций. Получение решающих правил осущест-вляется посредством «обучения на примерах». Поскольку законы распределения критических ситуаций неизвестны, требуется большое ко-личество параметров для их описания и при-меров, поэтому при решении задач классифи-кации «критическая ситуация – некритическая ситуация» используются те или иные методы упрощения. Для моделирования стохастиче-ских процессов наиболее эффективны следу-ющие нейросетевые решения: в ероятностные

нейронные сети [58], самоорганизующие-ся карты Кохонена [59] и динамически под-страиваемые под изменяемую статистику алго-ритмы, описывающие координаты «эталонов» критических ситуаций в виде растущего «ней-ронного газа», распространяющегося по про-странству описания примеров [60].

***Таким образом, основой современных си-

стем мониторинга угроз и рисков безопасности должна стать концепция управления рисками, суть которой заключается в формировании ме-ханизмов, методов и инструментов, с помощью которых возможно не только выполнить оцен-ку рисков и угроз, но и прогнозировать их по-явление и развитие в будущем. При этом во гла-ву угла ставится реализация эффективных пре-дупредительных мероприятий с целью сниже-ния аварийности и недопущения внештатных ситуаций, чему в большой степени может спо-собствовать внедрение риск-ориентированного подхода к управлению безопасностью объектов КВИ. Разработку и внедрение подсистемы про-гноза состояния безопасности объектов КВИ, основанной на расчете количественных и ка-чественных показателей рисков и индикаторов угроз, целесообразно проводить с применени-ем методологии так называемых систем ранне-го оповещения. Особое внимание необходимо уделить влиянию факторов риска на систему сбалансированных показателей безопасности и рисков, поскольку прогнозирование по еди-ничным показателям не дает целостной карти-ны тенденций развития и состояния системы.

В общем случае риск-ориентированный подход охватывает как вероятностные ме-тоды моделирования аварийных процессов и событий, так и детерминистские методы. Применению вероятностных и детерминиро-ванных оценок уделяется значительное внима-ние в исследованиях, посвященных повыше-нию безопасности и совершенствованию экс-плуатационных процедур. Однако опыт ис-пользования в атомной промышленности су-губо вероятностного анализа безопасности (по сути, однокритериального инструмента) показал, что этот подход охватывает не все не-обходимые аспекты обеспечения безопасности. Риск в области безопасности объектов крити-ческой инфраструктуры следует рассматри-вать как многокомпонентный вектор, набор па-раметров которого может меняться. Реальная


№ 2 (34) / 2018

оценка уровня безопасности на основе риск-ориентированного подхода невозможна без достаточно информативной базы относитель-но количественных и качественных характе-ристик факторов рисков, с одной стороны, и, с другой стороны, данных о состоянии объек-тов и технологического процессов на них, кото-рые испытывают влияние этих факторов риска. Оценка риска всегда имеет целью определе-ние его количественных показателей, что дает возможность использования ее не только для оценки состояния промышленной безопасно-сти, но и для обоснования экономической эф-фективности мероприятий, экономических рас-четов необходимого возмещения или компен-саций потерянного здоровья рабочим и окру-жающей среде, когда рассматривается вопрос соотношения затрат и пользы. Слепая реали-зация существующих подходов к наблюдению и анализу приведет к ситуации, когда текущее состояние безопасности объектов будет харак-теризоваться несколькими сотнями показате-лей «светофорного» типа. На этапе решения задачи оценки рисков необходимо у становить

связи анализируемых показателей безопасно-сти с показателями высокого уровня (напри-мер, стратегическими целевыми показателями) и определить степень их влияния на достиже-ние целевых значений этих показателей.

Контроль объекта мониторинга должен быть организован таким образом, чтобы мож-но было вовремя провести управленческие ре-шения, если состояние объекта приближает-ся к опасной зоне. Данная задача распадает-ся на ряд подзадач, так как в вертикально ин-тегрированных компаниях есть несколько цен-тров принятия решений на разных уровнях управления. Перспективными при решении данной задачи могут оказаться методы оцен-ки надежности достижения целевых показа-телей и методы группового анализа (послед-ние более предпочтительны, так как позволя-ют строить траектории изменения показателей без учета «диффузионных» составляющих и, как следствие, могут служить базовым элемен-том для наращивания совокупностей, показа-телей и индикаторов в будущей разветвленной системе мониторинга).

Список литературы1. Critical infrastructure security. Assessment,

prevention, detection, response / под ред. F. Flammini. – 1-е изд. – Саутгемптон, Великобритания: WIT Press, 2012. – Т. 54. – 326 c. – (WIT Transactions on state-of-the-art in science and engineering).

2. Dudenhoeffer D.D. CIMS: a framework for infrastructure interdependency modeling and analysis / D.D. Dudenhoeffer, M.R. Permann, M. Manic // Proc. of the 2006 Winter Simulation Conference / под ред. L.F. Perronc, F.P. Wieland, J. Liu и др. – NJ, Piscataway: Institute of electrical and electronics engineers, 2006. – С. 478–485.

3. Рябинин И.А. Надежность и безопасность структурно-сложных систем / И.А. Рябинин. – СПб.: Политехника, 2000. – 248 c.

4. Токалин В.Н. Комментарии к переводу книги Станфорда Л. Оптнера «Системный анализ для решения деловых и промышленных проблем [Электронный ресурс]» / В.Н. Токалин // Бизнес и экономика. – 116 с. – http://www.vixri.ru/ ?p=754

5. Taleb, N.N. Antifragile: Things that gain from disorder. Кн. 3: A nonpredictive view of the world / N.N. Taleb. – Нью-Йорк: Random House Trade Paperbacks, 2014. – 544 с.

6. Шнайер Б. Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си / Б. Шнайер; пер. с англ. – М.: Триумф, 2002. – 816 c.

7. Левин В.И. Структурно-логические методы исследования сложных систем / В.И. Левин. – М.: Наука, 1987. – 304 с.

8. Чигарев А.В. Введение в мехатронику: учеб. пособие / А.В. Чигарев, К. Циммерман, В.А. Чигарев. – Минск: БНТУ, 2013. – 388 с.

9. Романовский Ю.М. Математическое моделирование в биофизике / Ю.М. Романовский, Н.В. Степанова, Д.С. Чернавский. – М.-Ижевск: Институт компьютерных исследований, 2003. – 402 с.

10. Yastrebenetsky M. Fukushima lessons for safety of critical control systems / M. Yastrebenetsky, A. Klevtsov, Y. Rozen et al. // Reliability: Theory & Applications. – 2017. – Т. 12. – № 1 (44). – С. 12–17. – http://www.gnedenko-forum.org/Journal/2017/012017 /RTA_1_2017-02.pdf

11. Радаев Н.Н. Методические аспекты задания требований, оценки и обеспечения защищенности объектов газовой отрасли от противоправных действий / Н.Н. Радаев, В.В. Лесных, А.В. Бочков. – М.: Газпром ВНИИГАЗ, 2009. – 164 с.


№ 2 (34) / 2018

12. Biringer B. Critical infrastructure system security and resiliency / B. Biringer, E. Vugrin, D. Warren. – Флорида, Бока Ратон: CRC Press, 2013. – 229 p.

13. Радаев Н.Н. Оценка террористической угрозы для объекта / Н.Н. Радаев, А.В. Бочков // Труды международной научной школы «Моделирование и анализ безопасности и риска в сложных системах» (МАБР-2007), Санкт-Петербург, 4–8 сентября 2007 г. – СПб.: Институт проблем машиноведения РАН, 2007.

14. Бочков А.В. Категорирование критически важных объектов по уязвимости к возможным противоправным действиям. Экспертный подход / А.В. Бочков // Безопасность, достоверность, информация. – 2009. – № 1 (82). – С. 22–24.

15. Костров А.В. Интервальное ранжирование объектов по многим показателям / А.В. Костров // Проблемы безопасности и чрезвычайных ситуаций. – 1996. – № 1. – С. 46–68.

16. Литвак Б.Г. Экспертные технологии в управлении / Б.Г. Литвак. – 2-е изд., испр. и доп. – М.: Дело, 2004. – 399 с.

17. Saaty, T.L. The analytic hierarchy process: Planning, priority setting, resource allocation / Thomas L. Saaty. – Нью-Йорк: McGraw-Hill, 1980. – 278 с.

18. Клыков Ю.И. Ситуационное управление большими системами / Ю.И. Клыков. – М.: Энергия, 1974. – 130 с.

19. Жигирев Н.Н. Модель взаимодействия развивающегося объекта с окружающей средой: препринт № 3799/16 / Е.И. Воробьев, Н.Н. Жигирев, И.И. Кузьмин и др. – М.: Институт атомной энергии им. И.В. Курчатова, 1983. – 69 с.

20. Bochkov A.V. Some methodical aspects of critical infrastructure protection / A.V. Bochkov, V.V. Lesnykh, N.N. Zhigirev et al. // Safety Science. – 2015. – Т. 79. – С. 229–242. – DOI: https://doi.org/10.1016/j.ssci.2015.06.008

21. Петров Н.В. Системы физической защиты. Пути построения и модернизации. Оценка эффективности / Н.В. Петров // Безопасность, достоверность, информация. – 2005. – № 3 (60). – С. 6–12.

22. Махутов Н.А. Возможность ранжирования систем «человек – машина – среда» машиностроительного профиля на базе нечетких множеств / Н.А. Махутов, О.В. Крышевич // Проблемы безопасности при чрезвычайных ситуациях. – 2002. – № 2. – С. 94–103.

23. Гохман О.Г. Экспертное оценивание: учеб. пособие / О.Г. Гохман. – Воронеж: Изд-во Воронежского университета, 1991. – 152 с.

24. Зиневич C.B. Критерии ранжирования объектов по степени опасности чрезвычайных ситуаций / C.B. Зиневич, В.А. Тарасенко, Е.В. Усолов // Материалы 11-й науч.-практ. конф. – Иркутск: Восточно-Сибирский институт МВД России, 2006. – С. 220–223.

25. Буйко К.В. Подходы к оценке уровня промышленной безопасности в организациях, эксплуатирующих опасные производственные объекты / К.В. Буйко, Ю.В. Пантюхова // Безопасность труда в промышленности. – 2010. – № 10. – С. 42–46.

26. Брук В.М. Начала общей теории систем / В.М. Брук, В.И. Николаев. – Л.: СЗПИ, 1977. – 63 с.

27. Neumann, J., von. Theory of games and economic behavior / J. von Neumann, O. Morgenstern. – 60th юбилейное изд. – Нью-Джерси, Принстон: Princeton University Press, 2007 – 776 с.

28. Ларичев О.И. Свойства методов принятия решений в многокритериальных задачах индивидуального выбора / О.И. Ларичев // Автоматика и телемеханика. – 2002. – № 2. – С. 146–158.

29. Cox D.R. Theoretical statistics / D.R. Cox, D.V. Hinkley. – 1-е изд. – Флорида, Бока Ратон: Chapman and Hall/CRC, 1979. – 528 с.

30. Кувшинов Б.М. Использование комитетов в задачах распознавания образов с неточными экспертными оценками / Б.М. Кувшинов, И.И. Шапошник, В.И. Ширяев и др. // Известия РАН. Теория и системы управления. – 2002. – № 5. – С. 87–94.

31. Жуковский В.И. Риск в многокритериальных и конфликтных системах при неопределенности / В.И. Жуковский, Л.В. Жуковская; Междунар. науч.-исслед. ин-т проблем упр. – М.: Издательская группа URSS, 2004. – 267 с.

32. Мелихов А.Н. Ситуационные советующие системы с нечеткой логикой / А.Н. Мелихов, Л.С. Берштейн, С.Я. Коровин. – М.: Наука, 1990. – 272 с.

33. Perrow C. Normal accidents / C. Perrow. – Нью-Джерси, Принстон: Princeton University Press, 1999. – 450 с.

34. Бочков А.В. Научно-методические основы мониторинга и прогнозирования состояния производственной безопасности ПАО «Газпром» / А.В. Бочков, Д.В. Пономаренко // Газовая промышленность. – 2017. – № 3 (749) – С. 20–30.

35. Бочков А.В. Использование метода опорных векторов для поиска скрытых


№ 2 (34) / 2018

закономерностей в задачах классификации ситуаций, описываемых оцененными вопросниками / А.В. Бочков, Н.Н. Жигирев // Материалы 8-й Международной конференции по разработке жизненного цикла и управлению (ICDQM-2017), 29–30 июня 2017 г., Приевор, Сербия / под ред. проф. Ljubisha Papic. – Чачак, Сербия: Istraživački centar DQM, 2017. – XIII. – C. 43–71.

36. Neumann J., von. Theory of self-reproducing automata / J. von. Neumann; под ред. Arthur W. Burks. – Урбана, Иллинойс: University of Illinois Press, 1966. – 408 с.

37. Мильнер Б.3. Теория организации: учеб. / Б.З. Мильнер – 2-е изд., перераб. и доп. – М.: Инфра-М, 2000. – 480 с.

38. Смолян Г.Л. Исследование операций – инструмент эффективного управления / Г.Л. Смолян. – М.: Знание, 1967. – 63 с.

39. Wald A. Statistical decision functions / A. Wald. – Нью-Йорк: John Wiley & Sons, 1950.

40. Корнеев В.А. Интеллектуальная обработка данных / В.А. Корнеев, А.Ф. Гареев, С.В. Васютин, В.В. Райх – М.: Нолидж, 2000. – 351 с.

41. Salton G. Automatic text processing / G. Salton. – Ридинг, Массачусетс: Addison-Wesley Publishing Company, Inc., 1989.

42. Гареев А.Ф. Решение проблемы размерности словаря при использовании вероятностной нейронной сети для задач информационного поиска / А.Ф. Гареев // Нейрокомпьютеры: разработка, применение. – 2000. – № 1. – С. 60–63.

43. Ushakov I. Counter-terrorism: Protection, resources allocation / I. Ushakov // Reliability: Theory & Applications. 2006. – Т. 1. – № 2. – С. 71–78; 2006. – Т. 1. – № 3. – С. 48–55; 2007. – Т. 2. – № 1. – С. 50–59.

44. Ushakov I. Sensitivity analysis of optimal counter-terrorism resources allocation under subjective expert estimates / I. Ushakov, A. Bochkov // Reliability: Theory & Applications. – 2007. – Т. 2. – № 2.

45. Мельников А.В. Математические методы финансового анализа / А.В. Мельников, Н.В. Попова, В.С. Скорнякова. – М.: Анкил, 2006. – 440 c.

46. Бурков В.Н. Модели и механизмы управления безопасностью / В.Н. Бурков, Е.В. Грацианский, С.И. Дзюбко и др. – М.: Синтез, 2001. – 140 с.

47. Бочков А.В. Решение задачи распределения ресурсов, предназначенных для защиты объектов критической инфраструктуры от террористических атак на основе субъективных экспертных оценок /

А.В. Бочков, И.А. Ушаков // Надежность. – 2015. – № 1(52). – С. 88–92 (русс.); 93–96 (англ.). – DOI:10.21683/1729-2646-2015-0-1-88-96.

48. Зуев А.Г. Категорирование потенциально опасных объектов как основа создания эффективных систем обеспечения безопасности / А.Г. Зуев. // Системы безопасности. – 2002. – № 3 (45). – С. 14–19.

49. Weizsäcker, E.U., von. Come On! Capitalism, short-termism, population and the destruction of the planet: A report to the Club of the Rome / Ernst Ulrich von Weizsäcker, Anders Wijkman. – Нью-Йорк: Springer. – 232 c.

50. Лефевр В.А. Конфликтующие структуры / В.А. Лефевр. – М.: Советское радио, 1973. – 158 с.

51. Мушик Э. Методы принятия технических решений / Э. Мушик, П. Мюллер; пер. с нем. Н.В. Васильченко, В.А. Душского. – М.: Мир, 1990. – 208 с.

52. Гаек П. Автоматическое образование гипотез: математические основы общей теории / П. Гаек, Т. Гавранек; пер. с англ. В.К. Финна, И.С. Красильщика, М.И. Забежайло. – М.: Наука, 1984. – 280 с.

53. Подиновский В.В. Парето-оптимальные решения многокритериальных задач / В.В. Подиновский, В.Д. Ногин. – М.: Наука, 1982. – 256 с.

54. Price K.V. Genetic annealing / K.V. Price // Dr. Dobb’s Journal. – 1994. – Т. 19. – № 11. – С. 117.

55. Эбелинг В. Физика процессов эволюции / В. Эбелинг, А. Энгель, Р. Файстель. – М.: Эдиторал УРСС, 2001. – 328 с.

56. Гилмор Р. Прикладная теория катастроф: в 2-х т. / Р. Гилмор; пер. с англ. под ред. Ю.П. Гупало, А.А. Пионтковского. – М.: Мир, 1984.

57. Гуц А.К. Математические модели социальных систем: учеб. пособие в 2-х т. / А.К. Гуц, В.В. Коробицын и др. – Омск: ОмГУ, 2000. – 256 с.

58. Specht D.F. Probabilistic neural networks / D.F. Specht // Neural Networks. – 1990. – T. 3. – C. 109–118.

59. Kohonen T. Self-organizing maps / T. Kohonen. – Берлин: Springer-Verlag, 1995.

60. Fritzke B. A growing neural gas network learns topologies / B. Fritzke // Advanced in neural information processing systems 7 / под ред. G. Tessauro, D.S. Touretsky, T.K. Leen. – Cambridge MA: MIT Press, 1995.


№ 2 (34) / 2018

Issues of hazard estimation and risk control at critically important infrastructure facilities of the Gazprom Group: analytical review

A.V. Bochkov

NIIgazekonomika LLC, Bld. 20/8, Staraya Basmannaya street, Moscow, 105066, Russian FederationE-mail: [email protected]

Abstract. The paper contains review of traditional and principally new approaches to estimation of hazards and risks, as well as to moderation of accident after-effects to facilities of the critically important Gazprom Group’s infrastructure. A problem of risks, stability, vulnerability and vitality studying and estimation in respect to big-scale systems is formulated. Questions of aprioristic (pre-crisis, crisis) assessment of an abnormal situation in these systems and construction of a hazard-risk indicators system are discussed. A concept for rational allocation of resources provided for protection from diagnosed threats and risks is revealed. An algorithm for ranking of facilities according to a criterion of their system importance on account of their structural and technological distinctions is suggested. Few risk analysis and control methods are shown regarding the most topical infrastructure objects of structurally complex systems. Such methods enable managers to make substantiated decisions on rational distribution of the correspondent security guards for these facilities. The peculiarities of situational control are stressed by insight of management as a process of information fl ows transfer from one subject to another.

Keywords: critically important infrastructure, risk, safety, hazard, vitality, fastness, vulnerability, effi ciency of functioning, indicators.

References1. FLAMMINI, F. (ed.) Critical infrastructure security. Assessment, prevention, detection, response. In: WIT

Transactions on state-of-the-art in science and engineering. Southampton, UK: WIT Press, 2012, vol. 54.2. DUDENHOEFFER, D.D., M.R. PERMANN & M. MANIC. CIMS: A framework for infrastructure

interdependency modeling and analysis. In: PERRONC, L.F., F.P. WIELAND, J. LIU et al. (eds.). Proc. of the 2006 Winter Simulation Conference. Piscataway, NJ: Institute of Electrical and Electronics Engineers, 2006, pp. 478–485.

3. RYABININ, I.A. Reliability and safety of structural-complex systems [Nadezhnost i bezopasnost strukturno-slozhnykh sistem]. St. Petersburg: Politekhnika, 2000. (Russ.)

4. TOKALIN, V.N. Comments to translating book ‘OPTNER, Stanford L. Systems analysis for business and industrial problem solving. N.J.: Prentice-Hall, 1965’ [online]. Available from: http://www.vixri.ru/?p=754.

5. TALEB, N.N. Antifragile: Things that gain from disorder. N.Y.: Random House Trade Paperbacks, 2014.6. SCHNEIER, B. Applied cryptography. Protocols, algorithms, source texts in C language [Prikladnaya

kriptografi ya. Protokoly, alroritmy, iskhodnyye teksty na yazyke Si]. Transl. from English. Moscow: Triumph, 2002. (Russ.).

7. LEVIN, V.I. Structural-logical methods for studying complex systems [Strukturno-logicheskiye metody issledovaniya slozhnykh system]. Moscow: Nauka, 1987. (Russ.).

8. CHIGAREV, A.V., K. TSIMMERMAN, V.A. CHIGAREV. Introduction to mechatronics [Vvedeniye v mekhatroniku]. Minsk: Belarusian National Technical University, 2013. (Russ.).

9. ROMANOVSKIY, Yu.M., N.V. STEPANOVA, D.S. CHERNAVSKIY. Mathematic simulation in biophysics [Matematicheskoye modelirovaniye v biofi zike]. Moscow, Izhevsk: Institute of computer science, 2003. (Russ.).

10. YASTREBENETSKY, M., A. KLEVTSOV, Y. ROZEN et al. Fukushima lessons for safety of critical control systems. Reliability: Theory & Applications [online]. 2017, vol. 12, no. 1(44), pp. 12–17. Available from: http://www.gnedenko-forum.org/Journal/2017/012017/RTA_1_2017-02.pdf. ISSN 1932-2321.

11. RADAYEV, N.N., V.V. LESNYKH, A.V. BOCHKOV. Methodical aspects of specifi cation, assessment and anti-abuse security support for gas industrial facilities [Metodicheskiye aspekty zadaniya trebovaniy, otsenki i obespecheniya zashchishchennosti obyektov gazovoy otrasli ot protivopravnykh deystviy]. Moscow: Gazprom VNIIGAZ, 2009. (Russ.).

12. BIRINGER, B., E. VUGRIN, D. WARREN. Critical infrastructure system security and resiliency. Boca Raton, FL: CRC Press, 2013.

13. RADAYEV, N.N., A.V. BOCHKOV. Estimation of terroristic threat to an object [Otsenka terroristicheskoy ugrozy dlya obyekta]. In: Modelling and analysis of safety and risk in complex systems (MABR-2007) [Trudy Mezhdunarodnoy nauchnoy shkoly “Modelirovaniye i analiz bezopasnosti i riska v slozhnykh sistemakh” (MABR-2007)]. St.-Petersburg: Institute of Problems of Mechanical Engineering RAS, 2007.

14. BOCHKOV, A.V. Expert ranking of the critically important objects by vulnerability to possible unjudicial acts [Kategorirovaniye kriticheski vazhnykh obyektov po uyazvimosti k vozmozhnym protivopravnym deystviyam. Ekspertnyy podkhod]. Bezopasnost, dostovernost, informatsiya. 2009, no. 1(82), pp. 22–24. (Russ.).


№ 2 (34) / 2018

15. KOSTROV, A.V. Interval ranking of objects by many indicators [Intervalnoye ranzhirovaniye obyektov po mnogim pokazatelyam]. Problemy Bezopasnosti i Chrezvychaynykh Situatsiy. 1996, no. 1, pp. 46–68. ISSN 0869-4176. (Russ.).

16. LITVAK, B.G. Expert technologies in management [Ekspertnyye tekhnologii v upravlenii]. 2nd ed. Moscow: Delo, 2004. (Russ.).

17. SAATY, T.L. The analytic hierarchy process: planning, priority setting, resource allocation. New York: McGraw-Hill, 1980.

18. KLYKOV, Yu.I. Situational management of big systems [Situatsionnoye upravleniye bolshimi sistemami]. Moscow: Energiya, 1974. (Russ.).

19. ZHIGIREV, N.N., Ye.I. VOROBYEV, I.I. KUZMIN et al. Model of interaction between a developing object and its environment [Model vzaimodeystviya razvivayushchegosya obyekta s okruzhauyshchey sredoy]: preprint no. 3799/16. Moscow: Kurchatov Institute of Atomic Energy, 1983. (Russ.).

20. BOCHKOV, A.V., V.V. LESNYKH, N.N. ZHIGIREV et al. Some methodical aspects of critical infrastructure protection. Safety Science. 2015, vol. 79, pp. 229–242. ISSN 0925-7535. DOI: https://doi.org/10.1016/j.ssci.2015.06.008.

21. PETROV, N.V. Systems of physical protection [Sistemy fi zicheskoy zashchity]. Bezopasnost, dostovernost, informatsiya. 2005, no. 3 (60), pp. 60–12. (Russ.).

22. MAKHUTOV, N.A., O.V. KRYSHEVICH. Possibility of “man-machine-environment” systems of machine-building profi le based on fuzzy sets [Vozmozhnosti ranzhirovaniya system “chelovek-mashina-sreda” mashinostroitelnogo profi lya na baze nechetkikh mnozhestv]. Problemy Bezopasnosti pri Chrezvychaynykh Situatsiyakh. 2002, no. 2, pp. 94–103. ISSN 0869-4176. (Russ.).

23. GOKHMAN, O.G. Expert assessment [Ekspertnoye otsenivaniye]. Voronezh: Voronezh University Publishers, 1991. (Russ.).

24. ZINEVICH, S.V., V.A. TARASENKO, Ye.V. USOLOV. Criteria of objects ranking by emergency hazard levels [Kriterii ranzhirovaniya obyektov po stepeni opasnosti chrezvychaynykh situatsiy]. In: Proc. of the 11th Research and Practical Conference. Irkutsk: East-Siberian Institute of RF Ministry of Interior, 2006, pp. 220–223. (Russ.).

25. BUYKO, K.V., Yu.V. PANTYUKHOVA. Approaches to assessment of industrial safety in organizations operating hazardous industrial facilities [Podkhody k otsenke urovnya promyshlennoy bezopasnosti v organizatsiyakh, ekspluatiruyushchikh opasnyye proizvodstvennyye obyekty]. Bezopasnost Truda v Promyshlennosti. 2010, no.10, pp. 42–46. ISSN 0409-2961. (Russ.).

26. BRUK, V.M., V.I. NIKOLAYEV. Fundamentals of general Systems Theory [Nachala obshchey teorii system]. Leningrad: SZPI Publishers, 1977.

27. NEUMANN, J., von & O. MORGENSTERN. Theory of games and economic behavior. 60th anniversary commemorative ed. Princeton, NJ: Princeton University Press, 2007.

28. LARICHEV, O.I. Features of decision making methods in multicriteria individual choice problems [Svoystva metodov prinyatiya resheniy v mnogokriterialnykh zadachakh individualnogo vybora]. Avtomatika i Telemekhanika. 2002, no. 2, pp. 146–158. ISSN 0005-2310. (Russ.).

29. COX, D.R., D.V. HINKLEY. Theoretical statistics. 1st ed. Boca Raton, FL: Chapman and Hall/CRC, 1979.30. KUVSHINOV, B.M., I.I. SHAPOSHNIK, V.I. SHIRYAYEV et al. Use of committees in pattern-classifi cation

problems with inexact expert estimations [Ispolzovaniye komitetov v zadachakh raspoznavaniya obrazov s netochnymi ekspertnymi otsenkami]. Izvestia RAN. Teoriya i Sistemy Upravleniya. 2002, no. 5, pp. 81–88. ISSN 0002-3388. (Russ.).

31. ZHUKOVSKIY, V.I., L.V. ZHUKOVSKAYA. INTERNATIONAL RESEARCH INSTITUTE FOR ADVANCED SYSTEMS. Risk in multi-criteria and confl icting systems in case of uncertainty [Risk v mnogokriterialnykh i konfl iktnykh sistemakh pri neopredelennosti]. Moscow: Editorial URSS, 2004. (Russ.).

32. MELIKHOV, A.N., L.S. BERSHTEYN, S.Ya. KOROVIN. Situational advising systems with fuzzy logic [Situatsionnyye sovetuyushchiye sistemy s nechetkoy logikoy]. Moscow: Nauka, 1990. (Russ.).

33. PERROW, C. Normal accidents. Princeton, NJ: Princeton University Press, 1999.34. BOCHKOV, A.V., D.V. PONOMARENKO. Scientifi c-and-methodical principals for Gazprom PJSC industrial

safety monitoring and forecasting [Nauchno-metodicheskiye osnovy monitoringa i prognozirovaniya sostoyaniya proizvodstvennoy bezopasnosti PAO “Gazprom”]. Gazovaya Promyshlennost. 2017, no. 3(749), pp. 20–30. ISSN 0016-5581. (Russ.).

35. BOCHKOV, A.V., N.N. ZHIGIREV. Application of the Support Vector Machines method for search of latent dependencies in the problems aimed at classifi cation of situations being described with weighted questionnaires [Ispolzovaniye metoda opornykh vektorov dlya poiska skrytykh zakonomernostey v zadachakh klassifi katsii situatsiy, opisyvayemykh otsenennymi voprosnikami]. In: PAPIC Ljubisha (ed.). Proc. of ICDQM-2017, June 29–30, 2017, Prijevor, Serbia. Čačak, Serbia: Istraživački centar DQM, 2017, XIII, pp. 43–71. (Russ.).

36. NEUMANN, J., von. Theory of self-reproducing automata. Edited by Arthur W. BURKS. Urbana, IL: University of Illinois Press, 1966.

37. MILNER, B.Z. Organization theory [Teoriya organizatsii]. 2nd ed. Moscow: Infra-M, 2000. (Russ.).38. SMOLYAN, G.L. Operations study as an instrument of effective management [Issledovaniye operatsiy –

instrument effektivnogo upravleniya]. Moscow: Znaniye, 1967. (Russ.).


№ 2 (34) / 2018

39. WALD, A. Statistical decision functions. New York: John Wiley & Sons, 1950.40. KORNEYEV, V.A., A.F. GAREYEV et al. Intellectual data processing [Intellektualnaya obrabotka dannykh].

Moscow: Nolidzh, 1999.41. SALTON, G. Automatic text processing. Reading, MA: Addison-Wesley Publishing Company, Inc., 1989. 42. GAREYEV, A.F. [Решение проблемы размерности словаря при использовании вероятностной нейронной

сети для задач информационного поиска]. Neyrokompyutery: Razrabotka, Primeneniye. 2000, no. 1, pp. 60–63. ISSN 1999-8554. (Russ.).

43. USHAKOV, I. Counter-terrorism: Protection, resources allocation. Reliability: Theory & Applications. 2006: vol. 1, no. 2, pp. 71–78; vol. 1, no. 3, pp. 48–55; 2007: vol. 2, no. 1, pp. 50–59. ISSN 1932-2321.

44. USHAKOV, I., A. BOCHKOV. Sensitivity analysis of optimal counter-terrorism resources allocation under subjective expert estimates. Reliability: Theory & Applications. 2007, vol. 2, no. 2. ISSN 1932-2321.

45. MELNIKOV, A.V., N.V. POPOVA, V.S. SKORNYAKOVA. Mathematical methods of fi nancial analysis [Matematicheskiye metody fi nansovogo analiza]. Moscow: Ankil, 2006. (Russ.).

46. BURKOV, V.N., Ye.V. GRATSIANSKIY, S.I. DZYUBKO et al. Models and mechanisms of safety control [Model ii mekhanizmy upravleniya bezopasnostyu]. Moscow: Sintez, 2001. (Russ.).

47. BOCHKOV, A.V., I.A. USHAKOV. Solving the task of resources allocation for critical infrastructure protection against terrorists’ attacks based on subjective expert estimates. Nadezhnost. 2015, no. 1(52), pp. 93–96. ISSN 1729-2646. DOI:10.21683/1729-2646-2015-0-1-88-96.

48. ZUYEV, A.G. Ranking of potentially hazardous objects as a foundation for creation of effective safety support systems [Kategorirovaniye potentsialno opasnykh obyektov kak osnova sozdaniya effektivnykh system obespecheniya bezopasnosti]. Sistemy Bezopasnosti. 2002, no. 3(45), pp. 14–19. (Russ.).

49. WEIZSÄCKER, E.U., von & A. WIJKMAN. Come On! Capitalism, short-termism, population and the destruction of the planet: a report to the Club of the Rome. New York, USA: Springer.

50. LEFEVR, V.A. Confl icting structures [Konfl iktuyushchiye struktury]. Moscow: Sovetskoye radio, 1973. (Russ.).

51. MUSCHICK, E., P.H. MULLER. Methods for making technical decisions [Metody prinyatiya tekhnicheskikh resheniy]. Translated from German into Russian by N.V. VASILCHENKO, V.A. DUSHSKOY. Original German title: Entscheidungspraxis. Moscow: Mir, 1990. (Russ.).

52. HAJEK, P., T. HAVRANEK. Mechanizing hypothesis formation: mathematical foundations for a general theory [Avtomaticheskoye obrazovaniye gipotez: matematicheskiye osnovy obshchey teorii]. Translated from English by V.K. FINN, I.S. KRASILSHCHIK, M.I. ZABEZHAYLO. Moscow: Nauka, 1984.

53. PODINOVSKIY, V.V., V.D. NOGIN. Pareto-optimal solutions for multi-criteria problems [Paret-optimalnyye resheniya mnogokriterialnykh zadach]. Moscow: Nauka, 1982. (Russ.).

54. PRICE, K.V. Genetic annealing. Dr. Dobb’s Journal. 1994, vol. 19, no. 11, pp. 117. ISSN 1044-789X.55. EBELING, W., von, A. ENGEL, R. FEISTEL. Physics of evolution processes [Fizika protsessov evolutsii].

Translated from German by Yu.A. DANILOVA. Original German title: Physik der evolutionsprozesse. Moscow: Editorial URSS, 2001- 328с.

56. GILMORE, R. Catastrophe theory for scientists and engineers [Prikladnaya teoriya katastrof]: in 2 bks. Translated from English. Moscow: Mir, 1984. (Russ.).

57. GUTS, A.K., V.V. KOROBITSYN et al. Mathematical models of social systems [Matematicheskiye modeli sotsialnykh system]: in 2 vols. Omsk: Omsk State University, 2000.

58. SPECHT, D.F. Probabilistic neural networks. Neural Networks. 1990, vol. 3, pp. 109–118. ISSN 0893-6080.59. KOHONEN, T. Self-organizing maps. Berlin: Springer-Verlag, 1995.60. FRITZKE, B. A growing neural gas network learns topologies. In: TESSAURO, G., D.S. TOURETSKY and

T.K. LEEN (Eds). Advanced in neural information processing systems 7. Cambridge, MA: MIT Press, 1995.

Date post:	17-Jul-2020
Category:	Documents
Upload:	others
View:	5 times
Download:	0 times

Проблемы оценки опасностей и управления...

Documents