Инновационная технология прогнозирования рисков для сложных систем различного функционального назначения

1. Инновационная технология
прогнозирования рисков для сложных
систем различного функционального
назначения
Дтн, проф. Костогрызов А.И.,
ктн Нистратов А.А., ктн Нистратов Г.А.
(495) 795-85-24, (499) 764-26-58
www.mathmodels.net
Москва – 03 июня 2013г.
Всероссийская научно-практическая конференция
«Реализация инновационных технологий в производстве современных технических
средств обеспечения безопасности в Российской Федерации»

2. Новые определения
Система - комбинация взаимодействующих элементов,
организованная для достижения одной или нескольких
поставленных целей (по ГОСТ Р ИСО/МЭК 15288-05, 9001 -
2008)
Риск - мера опасности с ее последствиями (по ФЗ «О
техническом регулировании», ГОСТ Р ИСО/МЭК 15026-02,
ГОСТ Р ИСО/МЭК 16085-07, ГОСТ РВ 51987-02)
Риск – эффект неопределенности в целях (задачах) (по
ISO 31000 - 2009)
Эффект – отклонение от ожидаемого – негативного или позитивного
Предлагаются практические решения
проблемы прогнозирования рисков для
обеспечения комплексной безопасности

3. Общее
Сегодня в индустрии безопасности и ее приложений
действуют Федеральные законы, правила безопасности,
системообразующие стандарты – это ISO 9001 (требования к
системе менеджмента качества), ISO/IEC 15288 (первый
стандарт по системной инженерии, регламентирует процессы
жизненного цикла систем), стандарты ISO серий
14000 (менеджмент экологической безопасности),
18000 (менеджмент охраны труда),
20000 (сервис-менеджмент),
27000 (менеджмент информационной безопасности),
31000 (менеджмент риска) и др.
Всех их роднит требование системного
управления рисками!
Но! Чтобы эффективно управлять – надо
уметь прогнозировать риски и обосновывать
действенные меры в режиме упреждения!

4. Пример требований
Принципиальные положения ФЗ «О безопасности
объектов топливно-энергетического комплекса»
№256-ФЗ от 21.07.2011
Статья 6, п. 1 Обеспечение безопасности объектов ТЭК осуществляется
субъектами ТЭК … п.4 Контроль – за ФОИВ
Статья 7, п.1 Требования …определяются Правительством РФ; п.3 Субъекты ТЭК
на стадиях проектирования и строительства объектов ТЭК обязаны
предусматривать осуществление комплекса специальных мер по безопасному
функционированию таких объектов, локализации и уменьшению последствий
чрезвычайных ситуаций
2. Паспорт безопасности объекта ТЭК составляется на основании результатов
категорирования объекта в зависимости от степени его потенциальной опасности,
а также на основании оценки достаточности инженерно-технических мероприятий,
мероприятий по физической защите и охране объекта при террористических
угрозах согласно требованиям Правительства РФ (по статье 7)

5. Паспорт
Статья 6, п. 1
Обеспечение
безопасности объектов
ТЭК осуществляется
субъектами ТЭК !!!
А какой
остаточный риск
будет иметь
место в
различных
сценариях угроз?

6. ВЫВОДЫ по результатам анализа
1. Для приложений, в которых уже были многочисленные факты трагедий с гибелью людей - в сфере
промышленной, пожарной, радиационной, ядерной, авиационной безопасности - требования к
допустимым рискам выражены количественно на вероятностном уровне и на уровне необходимых
требований к исходным материалам, используемым ресурсам, технологиям, начальным состояниям,
условиям эксплуатации
2. Для иных приложений - в сфере химической, биологической, транспортной, экологической безопасности,
безопасности зданий и сооружений, информационной безопасности, в т.ч. в условиях
террористических угроз – требования к допустимым рискам задаются преимущественно на
качественном уровне в форме требований к выполнению конкретных условий.
Это означает невозможность корректного решения обратных задач управления безопасностью исходя
из задаваемого уровня допустимого риска

7. 3. Во всех случаях эффективное
управление рисками для любого
рода систем при штатных
начальных состояниях возможно
и целесообразно на основе:
а) использования исходных
ресурсов и защитных технологий
с более лучшими
характеристиками с
точки зрения безопасности, в т.ч.
для восстановления целостности;
б) рационального применения
адекватной системы
ситуационного анализа
потенциально опасных
событий, эффективных
способов контроля и
мониторинга состояний и
оперативного восстановления
целостности;
в) рационального применения
мер противодействия рискам
4. Существующие модели для анализа рисков в приложении к rприродным и техногенным ситуациям
неидентичны (поэтому понятие допустимых рисков логически не сравнимо), они не позволяют
решать обратные задачи обоснования требований к системам сбора и анализа информации,
параметрам контроля и мониторинга и мер противодействия при ограничениях на выделяемые средства
и допустимые риски.
А это не позволяет утверждать об эффективности упреждающего решения проблем безопасности!
ВЫВОДЫ по результатам анализа (продолжение)

8. В какой ситуации предприятия?
Природные и
техногенные
угрозы
неизбежны
Требования
безопасности
объективны
Остаточные
риски неминуемы,
несмотря на
контроль
Но при реализации рисков ответственность
– лишь на предприятиях!
Используемые методы специфичны, результаты
несравнимы. В общем случае для различного рода
угроз задачи количественного обоснования
требований к средствам и системным процессам
при ограничениях на ресурсы и допустимые риски –
не решаются!
Методы анализа рисков не направлены
на эффективное упреждение!
(за некоторыми исключениями)
В итоге интерес предприятия сводится к получению «галочки»

9. Вместе с тем, все предприятия заинтересованы в выявлении
скрытых возможностей и эффектов, приводящих к снижению
затрат, ущербов и увеличению доходности!
Это достижимо путем обоснования выбора средств и
упреждающих мер контроля, мониторинга и восстановления
нарушаемой целостности в результате количественного
прогнозирования рисков! – Надо лишь подобрать методы…
В основе –
десятки
созданных
вероятностных
моделей
для
прогнозирования
рисков
В основе –
десятки
созданных
вероятностных
моделей
для
прогнозирования
рисков

10. Объективные потребности в оценке качества и рисков в жизненном цикле систем

11. Предлагаемые методы
и программные
инструментарии
прогнозирования
рисков

12. ГОСТ Р ИСО/МЭК 15288 «Системная инженерия. Процессы жизненного цикла систем»

13. Имеет место логическая общность в процессах реализации различного
рода угроз, мер контроля, мониторинга и восстановления целостности
для сложной системы
для совокупности объектов
Общие исходные данные
по составным элементам:
- частота возникновения угроз
- среднее время развития кризисной
ситуации с момента возникновения угрозы
- период между моментами контроля
- средняя длительность контроля
- средняя наработка на ошибку средств
мониторинга (если таковой имеет место)
- среднее время восстановления
нарушенной целостности
Единые расчетные показатели:
- риск нарушения безопасности
функционирования элемента в течение
периода прогноза
- риск нарушения комплексной
безопасности в течение периода прогноза

14. Применение для построения системы противоаварийной устойчивости

15. Пример. Качество функционирования информационных систем по ГОСТ 34.602,
ГОСТ РВ 51987, ГОСТ Р ИСО/МЭК 15288

16. Анализ угроз в обеспечение информационной безопасности

17. Пример задаваемых исходных данных
по составным элементам, объектам, подсистемам:
частота возникновения угроз (появления источника опасности)
среднее время развития кризисной ситуации с момента возникновения
угрозы (стойкость к реализации угроз)
период между моментами системного контроля безопасности
функционирования объекта
средняя длительность системного контроля безопасности
средняя наработка на ошибку средств мониторинга между моментами
системного контроля (если таковой имеет место)
среднее время восстановления объекта после нарушения целостности
Расчетный показатель:
риск нарушения комплексной безопасности
в течение задаваемого периода прогноза

18. БАЗОВЫЕ МОДЕЛИ ОПАСНОГО ВОЗДЕЙСТВИЯ
Базовая модель 1 (периодический контроль состояния целостности )
Пример события «отсутствие нарушения
целостности» в течение периода прогноза Тзад.
Тзад.
τвозникновения τразвития угрозы
Пример события «нарушение целостности»
в течение периода прогноза Тзад.
х х
Тзад.
Риск нарушения целостности R=
для варианта 1 - Тзад< Тмеж+ Тдиаг
Периодическая
диагностика
с восстановлением
целостности
при ее нарушении х
Тзад.
τвозникновения τразвития угрозы
х хТзад.
Риск R =
Базовая модель 2 (+ мониторинг между контролями):
Пример наработки на ошибку
при мониторинге, ФР А(τ)
х
для варианта 2 - Тзад≥ Тмеж+ Тдиаг
Рвозд = Рсеред • Ркон ,
х
Тзад. Тзад.
,
Тсередины (N=2)
Тостатка
Что брать в
качестве Тдиаг., если
времена диагностики и
восстановления различны?
Тсередины (N=2) Тостатка
R = P (τвозни. + τразвития угрозы ≤Тзад.)
ФР ФР
τ
θ
Наработка на ошибку меньше периода прогноза и
времени до нарушения целостности
R = 1 – Рвозд ,
Тмеж+ Тдиаг
х

19. Вероятностные модели для оценки качества и рисков в
соответствии с требованиями системообразующих
стандартов

21. Примеры моделирующих комплексов

22. Ввод исходных данных Построение сложных архитектур
Последовательное
объединение -
«И» 1-я «И» 2-я
подсистемы
Параллельное
объединение - «ИЛИ»
Пример логического объединения
различных угроз
Численный алгоритмический расчет
рисков в точках прогноза
от 0 до ∞

23. Виртуальное моделирование
(в т.ч. через Интернет)

24. Контроль и оптимизация

25. Объективные потребности в оценке качества и рисков в жизненном цикле систем

26. Оптимизационные задачи для управления рисками в «процессном» подходе
Вариант реализации процесса Q(A,M) характеризуется параметрами:
сценарием критичных изменений среды реализации процесса и/или ресурсов и/или достигаемой безопасности на
заданном множестве потенциальных угроз (А - множество параметров сценария);
осуществляемыми мерами упреждения и реакции с учетом их стоимости для обеспечения целостности процесса
(М - множество параметров, характеризующих эти меры)
Управляемые параметры процесса Q(A,M) признаются наиболее
рациональными для заданного периода эксплуатации Tзад., если на них достигается
минимум затрат на создание системы Zсозд. при ограничениях на приемлемый
уровень риска Rдоп и допустимый уровень затрат при эксплуатации Сдоп.:
Zсозд. (Qрац.) = min Zсозд. (Q)
управляемые
параметры A,M
при ограничениях R ≤ Rдоп. и Сэкспл. ≤ Сдоп. и, возможно, ограничениях на
допустимые значения других показателей, отнесенных к критичным
Концепция,
разработка ТЗ
Разработка
(эскизно- техническое
проектирование, рабочая
документация)
Производство
Эксплуатация
Сопровождение
Формирование технического
облика. Обоснование
системных количественных
требований к качеству и
безопасности
Оценка потенциальных
угроз качеству и безопасности
функционирования системы. Рациональная
настройка параметров функционирования.
Сертификация. Обоснование направлений
совершенствования и развития системы
Анализ выполнимости
требований, оценка потенциальных угроз,
технических решений и возможных рисков.
Испытания и оценка качества и безопасности
функционирования системы
Управляемые параметры процесса Q(A,M)
признаются наиболее рациональными для заданного
периода эксплуатации Tзад., если на них достигается
минимум риска нарушения безопасности
функционирования системы R
R (Q рац.) = min R (Q)
управляемые
параметры A,M
при ограничениях Сэкспл. ≤ Сдоп. и, возможно,
ограничениях на допустимые значения других
показателей, отнесенных к критичным

28. Приложения для
рационального
управления
безопасностью и
эффективностью

29. Анализ рисков в опасном производстве
Исходные данные: поток существенных событий - до 100 условных событий в час,
содержащий не более 1% потенциально опасных событий. Скорость смысловой
интерпретации события составляет около 30 секунд. Частота ошибок
диспетчерского персонала и сбоев программно-технических средств SCADA-системы -
1 ошибка в год
Оценка риска неадекватной интерпретации событий диспетчером (пример 1)
за 1 час, 8 часов (одну смену), 1 месяц, 1 год и 10 лет функционирования SCADA-системы

30. 18
За счет автоматической реализации
функций мониторинга вероятность
безопасного функционирования
системы в течение года составит 0.998,
а в течение 5 лет – превысит 0.99
СРАВНИТЕЛЬНЫЙ АНАЛИЗ РАЗЛИЧНЫХ СПОСОБОВ МОНИТОРИНГА
Пример 2. Требуется спрогнозировать степень
защищенности предприятия в течение года
(j=1,2) и 5 лет (j=3,4) и сравнить эффективность
автоматической противоаварийной защиты
(j=1,3) и ручной реакции на опасные
воздействия по результатам контроля типовых
процессов (j=2,4)
Выявленная закономерность:
АНАЛИЗ ЭФФЕКТИВНОСТИ ДИСПЕТЧИРОВАНИЯ (пример 3)
Вывод по результатам моделирования
По критерию минимума рисков при
ограничениях на затраты обосновано
целенаправленное укрепление
диспетчерской службы только
высококвалифицированными
специалистами, характеризуемыми
наработкой на ошибку ≥ 1 год.
Привлечение в качестве диспетчера
специалиста средней квалификации
допустимо как исключение и лишь в
течение несколько недель
Зависимости риска для диспетчера средней квалификации

31. Условия возникновения и реализации террористических
угроз и защиты от них описываются
Пример 4. Анализ результативности действий ФБР показал: риск
ошибочных аналитических выводов из собранной оперативной
информации и, как следствие, непринятия вовсе или принятия
неадекватных мер противодействия выше 0.998 (!)
Вывод: превентивным образом предупредить сегодня реализацию
террористических актов без целенаправленной работы по коренному
снижению рисков практически невозможно. Необходима глубоко
продуманная стратегия. Основой является МОДЕЛИРОВАНИЕ
в терминах случайных процессов

32. (пример 5)

34. При реализуемой технологии контроля, мониторинга и восстановления целостности наработка на отказ 42219
часов (выше в 2.44 раза), а вероятность надежного функционирования в течение года 0.828, (выше в 1.26 раза)
После автоматизации
До автоматизации
Наработка системы электропитания на отказ составит 16196 часов,
а вероятность надежного функционирования системы в течение года равна 0.649
16196ч 0.649
42219ч 0.828
Оценка безопасности функционирования системы инженерного обеспечения
(пример 6) - 1

35. Оценка безопасности функционирования системы инженерного обеспечения - 2
После автоматизации
До автоматизации
Наработка на отказ
составит 9322 часа
Вероятность надежного
функционирования в
течение года равна 0.515
В 1.26 раза выше
0.515
В 1.73 раза выше
9322ч
0.6516172ч

36. Оценка безопасности функционирования системы инженерного обеспечения - 3
После автоматизации
До автоматизации
Уменьшение надежности – всего 0.02, что соизмеримо с вкладом от добавления двух ИБП и ДГУ.
Последнее означает, что с увеличением состава соответствующее снижение надежности электроснабжения может
быть компенсировано наличием в резерве дополнительно двух ИБП и одного-двух ДГУ!
7809ч
Наработка на отказ
составит 7809 часов
Вероятность надежного
функционирования в
течение года равна 0.471
0.471
Риск нарушения
электроснабжения в
1.7-7 раз ниже!
14869ч 0.63

37. ЭФФЕКТИВНОЕ УПРАВЛЕНИЕ РЕГЛАМЕНТОМ ПЛАНОВОГО РЕМОНТА В
НЕПРЕРЫВНОМ ПРОИЗВОДСТВЕ (на примере 7 для обогатительной фабрики)
По сравнению с существующим вариантом при реализации планового ремонта 4 раза в сутки
риск нарушения целостности за сутки снижается 2.13 раза!
Сокращение количества простоев повысит экономическую эффективность предприятия!
Риски нарушения экономически приемлемого производственного процесса в течение 0.5-2 суток
при системном контроле
(необходимом плановом
ремонте) через 20 часов
при системном контроле
(необходимом плановом
ремонте) через 5 часов
снижение риска 2.13 раза
Риск = 0.424
Риск = 0.199

40. Более 70 практических примеров управления качеством и рисками для информационных,
промышленных, транспортных, нефтегазовых систем, анализ «человеческого фактора» и др.

42. Глава 7 - 70 страниц в монографии изд-ва InTech

43. Министерство образования и науки РФ
Федеральное агентство по государственным резервам, ФГУП НИИ проблем хранения
Министерство информационных технологий и связи Московской области
Банк Российской Федерации
Институт проблем информатики Российской академии наук
Российская академия ракетных и артиллерийских наук
3 ЦНИИ Минобороны РФ
Центр информационных технологий и систем органов исполнительной власти
Международный центр по информатике и электронике
Центр стандартизации, проектирования и разработки информационно-коммуникационных
технологий и систем
ОАО «Газавтоматика», ОАО «Газпромавтоматизация» ОАО «Газпром»
ООО "Газпром добыча Ямбург", ООО «Нормет»
Сибирская угольная энергетическая компания (СУЭК)
ООО “Информ ТБ Уголь +”
ОАО «ICL-КПО ВС»
ЗАО "ИНГРАС-М"
Российский гуманитарный научный фонд
РГУ нефти и газа им. И.М.Губкина
Юго-Западный государственный университет (ЮЗГУ)
Самарский государственный аэрокосмический университет им. академика С.П. Королева
Консорциум «ИНТЕГРА-С»
CIM College, Сербия и др.
Заказчики, Потребители:

44. ► поставка, наладка, адаптация, разработка на заказ и сопровождение программных
инструментариев и информационных технологий, выполнение НИОКР
► разработка на заказ баз знаний, методов и программных инструментариев для ситуационных
центров, систем поддержки принятия решений
► количественное обоснование технического облика сложных комплексов и системных
требований к характеристикам составных компонентов, планируемым технологиям и квалификации
работников, разработка проектов технических заданий
► независимая оценка выполнимости системных требований, количественная экспертиза
эффективности технических решений по проектированию систем, выявление «узких мест» на всех
этапах жизненного цикла
► математическое моделирование процессов в различных сценариях потенциальных угроз,
сравнение вариантов защиты по критериям «эффективность - стоимость»
► разработка методик, поддерживающих программных инструментариев, анализ рисков
(технологических, информационных, организационно-производственных, связанных с человеческим
фактором, политических, финансово-экономических, террористических и др.), оценка качества и
безопасности, в т.ч. в процессе испытаний и эксплуатации
► обоснование эксплуатационных условий эффективного использования систем и
рациональных значений настраиваемых параметров
► обучение системным основам управления качеством, рисками, конкурентоспособностью
ПРЕДЛАГАЕТСЯ: