关键基础设施及其安全管理

第12卷第6期2009年12月管理科学学报JOURNALOFMANAGEMENTSCIENCESINCHINAVo.l12No.6Dec.2009¹1,4,2,ZhangWJ3,TuYL4(1.上海交通大学机械与动力学院,上海200240;2.东北大学工商管理学院,沈阳110004;3.萨斯客彻温省大学机械工程学院,加拿大;4.卡尔加里大学机械与制造工程学院,加拿大):(CI)、、),,、、.,CI,CI,,.,CI、.:;-;;:N949:A:1007-9807(2009)06-0107-090近年来,灾难事件在世界范围内频频发生,如中国的SARS、欧洲的疯牛病、美国的911袭击、印度洋海啸、美国和加拿大大停电、英国的地铁爆炸事件,法国的机场坍塌事件,加拿大的安大略洪水灾难等等.同样,我国对灾难的预防及应急处理技术也存在很大的需求,很多地方都可以看到由灾难事故及其引发的链锁式反应造成的严重后果.比如,广东江门某油库在施工过程中,电焊产生的火花使一座存有少量废油的油罐发生爆炸,导致周边数万人被疏散.另一个案例更加触目惊心,1989年8月12日中国石油天然气总公司管道局胜利油田输油公司黄岛油库的特大火灾,造成19人死亡,100多人受伤,烧掉原油4万多立方米,大约600吨石油在胶州湾海面形成几条10多海里长、几百米宽的污染带,另外还烧毁消防车10辆,直接经济损失达3540万元.这一系列的灾难严重影响到人们的正常生活,它不仅对人的生命造成威胁,而且在心理上也会产生巨大的负面影响.因此该领域的研究工作受到国内外政府及学者越来越多的重视.灾难事件的诱因主要可以分为以下几类:(1)自然灾害,例如飓风、地震、大范围发生的传染病等;(2)人为事故,主要是由人的误操作引起的事故;(3)技术问题,主要是由设备可靠性问题引发的事故;(4)恐怖袭击,主要是人为的故意破坏.尽管各国政府也都对上述各类事件都做出了积极的反应,但由于灾难事件管理是巨大的社会)技术复杂系统,尚缺乏行之有效的管理理论或者实践经验[1,2].这就要求人们对那些一旦收到破坏就会对直接威胁到国民健康、社会安定、经济稳定,甚至导致整个社会体系崩溃的特殊基础设施,即关键基础设施事先考虑其发生灾难的风险,并作好应对措施.所谓关键基础设施(criticalinfrastructures,CI)是指能够为国土防御、经济安全以及国民健康、福利事业持续提供产品或服务的行业、公共机构和传播媒介[1].它主要包括:公共事业、电信设¹收稿日期:2006-11-13;修订日期:2008-03-17.基金项目:国家自然科学基金资助项目(70571077).作者简介:刘晓(1967)),女,吉林人,博士,副教授.Emai:lxliu@mai.lneu.edu.cn施、能源、金融、物流5个重要部门.其中,公共事业部门又包括水、食品、执法机构和公共卫生设施等众多的子部门,所有这些部门构成了为国民生存提供必备的物资和服务的复杂网络;电信设施和能源部门(如电力、石油、天然气)的可靠安全运行是其它关键基础设施正常运转的基本保证,在CI系统中起着非常重要的作用;金融、物流(机场、港口、地铁、高速公路、铁路、邮政服务和航运)是人们日常生活的重要组成部分,同时也是其它基础设施高度依赖的两个关键部门.1CI1.1综合HealthCanada[1],Kuban[3],Rinaldi[4]以及Thissen和Herder[5]等的论述,复杂的CI系统具有相互依赖和内部依赖的关系,如图1所示.这些依赖关系可以分为物质流依赖关系和非物质流依赖关系[6],二者的区别在于是否存在物质的流动.物质又包括:1)材料;2)能源;3)信息;4)人.CI系统的物质流关系是显而易见的,并且在作应急预案的时候也得到了考虑,然而对于非物质流关系来说,却很少得到关注.例如对于在同一地区提供医疗服务的两家医院来说,尽管两个CI之间没有任何物质的流动,但它们却是相关的,因为它们都要对伤员进行处理.如果一家医院收到了破坏,那么另一家医院就必须接待更多的患者.鉴于CI系统复杂的相互依赖及内部依赖关系,本文将称之为/网络化CI系统0.1CI[7]Fig.1AnexampleofthenetworkedCIsystem1.2由于系统边界的开放性和拓扑结构的可变性,网络化CI系统变得非常复杂.当灾难发生时,现有的CI系统可能会因为资源耗尽而变成孤立系统,与此同时还可能涉及到管理团队的变动(如成员的增减).例如在经历灾难之后,运输系统可能由于种种原因而遭到破坏,此时它便会脱离原来的CI系统,同时也要求对该运输系统的管理团队进行裁减.网络化CI系统对于这种增加或裁减也是开放的.由于CI系统的这种开放性特点,如果增加新的CI,那么新增的CI将与现有的CI建立新的联系;相反,如果某些现有CI被裁减,那么这些CI将与现有的CI脱离原有的联系,导致原来CI系统的连通性发生变化.这就表明灾难中的网络化CI系统具有可变的拓扑结构.1.3每个CI本身就是一个高度自治的系统(比如核电站),它具有自己的灾难管理系统.当某一CI发生灾难时,其灾难管理系统就会首先被触发.在这一问题上,Ibarra等[8]讨论了运输系统的灾难管理,Houck等[9]讨论了电信系统的灾难管理.如果灾难和灾难管理的影响范围超出了特定的CI系统,那么该CI系统的灾难管理水平将会得到增强,进而影响其他的CI系统.1.4CI系统的地理位置在灾难状态下可能发生变化(例如移动发电站可以从一个地方转移到另一个地方),然而这种变化可能会影响到它的功能.因为对于一个特定的CI系统来说,其运行条件会随位置的改变而改变.或者说,每个CI都运行于特定的外部条件下.一些CI系统(例如动力系统、电信系统)可能包含分布式的子单元,而这些子单元位于不同的地理位置.如果这些子单元的地理位置发生了改变,那么CI系统的地理位置也将随之相应地改变.1.5网络化CI系统不仅包括技术系统,而且还包括社会系统.例如发电厂必须由人来进行操纵和监督.任何灾难的影响都将最终作用于人,同时灾难中的受害者又会作为反馈的一部分作用于灾难)108)管理科学学报2009年12月管理系统,如图2所示.从图中可以看到,受害者的状态作为灾难管理系统输出的一部分,而这些输出会被进一步反馈到灾难管理系统来调整它的管理决策或者制定新的决策.但需要注意的是,由于环境和人的双重不确定性,受害者的状态也在随时间而改变.因此可以看出,灾难管理是具有不确定输出的复杂的控制问题.2Fig.2Thedualgoalindisastermanagement总之,网络化CI系统具有如下特点:1)开放性(C1);2)拓扑结构可变性(C2);3)社会)技术以及人)机之间的交互性(C3);4)动态演变性(C4);5)地理位置动态性(C5);6)自治性(C6).这些特点描述了网络化CI系统的静态特性.然而当CI系统运行时,其动态特性又包括极其复杂的过程,这些过程具有以下特征:(i)并发性,(ii)异步性,(iii)分布式,(iv)并行性,(v)随机性[6].综上所述,CI系统是个复杂的、网络化的、/社会)技术0以及/人)机0交互系统.而人-机交互的本质意味着每一个CI系统都与人自身休戚相关.许多众所周知的灾难性事件就是由于人为因素造成的,比如三里岛事件.这些事件对管理能力提出了新的挑战,即如何对网络化CI系统在正常工作条件下或是在有意外事件发生的情况下进行有效地控制与管理.目前,在国内外的研究中主要存在两个与网络化CI系统相联系的基本问题:灾难预警和灾难处理.其中,灾难预警的关键问题是如何确定网络化CI系统中的薄弱环节;灾难处理的关键问题是如何使损失最小化并使系统功能得到迅速恢复.本文侧重于灾难处理(或称应急处理)的研究.2FEBPSS系统是由一系列相互关联的元素或实体构成的.本文将其描述为/功能–效果–行为–规则–结构–状态0(function2effect2behavior2principle2structure2state,FEBPSS)框架[10].FEBPSS框架的核心概念包括:1)结构、状态和状态变量;2)行为;3)规则;4)功能和效果;5)系统分解.上述概念之间的关系如图3所示.从图中可以看出结构位于整个体系的最低层,继而依次是状态、行为和功能.规则处于状态和行为之间,用于支配或者解释行为.效果位于行为和功能之间,它给出了从行为到功能的基本准则.此外,FEBPSS框架沿两个维度安排这些概念:1)聚合维(结构y状态y行为y功能);2)控制维(规则和效果).3FEBPSSFig.3TheFEBPSSframework另外,图3的右下部分体现了系统分解的思想.对于一个系统来说,不仅其本身可以被分解成多个子系统和组件,而且其结构、行为、规则、效果和功能也都是可以再分解的.这说明研究组件、子系统、系统的行为(功能、规则、效果)是必要的.同时可以清楚地看出,系统分解和FEBPSS是正交的.3CI3.1CI前面的讨论表明灾难管理实质上是决策问题或者控制问题.因此,可以从控制系统的角度来研)109)第6期刘晓等:关键基础设施及其安全管理究网络化CI系统的灾难管理过程,从而可以得到具有控制系统的网络化CI系统的概念模型(参见图4).4Fig.4Controlsystemviewofdisastermanagement控制系统通常有目标导向和任务导向两种类型的工作.在目标导向型的控制工作中,通常会有一个明确定义的目标.而对于任务导向型的工作来说,工作不能通过预定义的方式进行描述,比如在人员的搜救工作中,救援队对是否有人员的伤亡,具体的伤亡数目,或者是他们处于什么状态并不知道.为了量化问题,不得不将面向任务的工作分解成一系列在某一时间段内面向目标的工作.网络化CI系统中的灾难管理便是任务导向型的工作,它的首要任务就是在限定的时间内恢复处于灾难状态下的CI系统.这一任务可以被分解成多个子任务,例如在10小时内用地面运输系统将伤员从A地运送到B地,把他们送到最近的医院等等.与此同时,控制、管理和协调将会起到应有的作用.3.2按照控制论的观点,为了有效的控制和管理一个工厂,需要建立使工厂与其输入、输出关联的模型.建立此模型有两种策略,第1种是从工厂的结构开始建模,第2种是从工厂的行为开始建模.对于网络化的CI系统来说,第2种策略并不合适,因为要了解网络化CI系统的行为并非易事(要了解其行为要求灾难发生在一个特定的网络CI系统中,而这是不现实的).因此本文采用第1种建模策略,即利用FEBPSS框架来建立模型(见图5).在图5中,对每一个CI系统,甚至网络化CI系统整体都利用FEBPSS框架进行建模.这种方法符合第2部分提到的FEBPSS体系结构与系统分解相互正交的建模原则.5FEBPSSCIFig.5ApplicationoftheFEBPSSframeworktothenetworkedCIsystem3.3CI系统的体系结构包括系统的组成元素和它们之间的功能性关系.在本文中,提出了网络化CI系统体系结构的通用模型GANetCI(genericarchi2tectureofthenetworkedCIsystem).为了使GANetCI具有前述网络化CI系统的所有特征,需要首先做一些假定,以使该体系结构能够利用FEBPSS框架来进行建模.将网络化CI系统中的每个CI都看作是拥有FEBPSS框架的智能体.为具有CI系统的开放性特点(C1),假定智能体的数量是可变的.为了具有拓扑结构可变的特点(C2),假定CI之间联系的数量是开放的.为具有自治性特点(C6),假定每个CI系统都具有灾难管理系统(见图5);同时假定同一层次的所有CI系统构成的聚合体也具有灾难管理系统(见图5).为了具有动态演变性和地理位置动态性的特点(C4,C5),认为网络化CI系统的所有状态都是时间和位置的函数.在研究包含多种上述关系的复杂性动态系统时,视图模型被认为是最有效的方法[10].每种视图都从一个特定的角度对系统进行描述,并且都可以视为