可信评估

2024-07-31

可信评估（共8篇）

可信评估篇1

摘要：云会计下的AIS可信性水平是企业选择云会计时考虑的关键因素。在考虑云会计环境动态性与复杂性的基础上,本文以功能模块可信性为节点、功能模块间可信性影响关系为边,提取出AIS业务模块可信性影响关系网络,分析复杂网络原理模拟模块失效对AIS可信性的影响,并提出基于可信性影响关系网络的可信性评估方法,以期为云会计下AIS可信性评估提供理论支撑。

关键词：云会计,可信性评价,AIS,复杂网络,结构洞

云会计［1］的产生与发展是会计信息化的里程碑,云会计下会计信息系统( Accounting Informa-tion System,以下简称AIS) 的可信性［2］令人关注。目前,采用合理有效的方法,针对云会计环境下AIS进行可信性评估［3］,是云会计发展中亟待解决的关键问题,可信性评估必须充分考虑存在勾稽影响的服务之间乃至功能组件之间的相互作用关系。本文提出了一种基于可信性影响关系网络的云会计下AIS可信性评估方法,以期对云会计环境下AIS得出可信性评估结论。

一、云会计下AIS可信性评估方法

云会计下的AIS作为商品化软件的一种新兴服务方式,可信性水平如何直接关系到用户根据自身业务需求选择云会计产品、云会计厂商的产品质量控制和定价、行业可信性标准的制定［4］等方面的问题,使云会计可信性评价的相关研究在其推广发展中起到重要作用。在考虑云会计各个模块、服务以及细化的业务单元之间存在复杂的相互依存关系,以及协作完成AIS的各项功能,本文构建可信性影响关系网络,以描述这种复杂相互依存影响关系对可信性的影响,并运用复杂网络［5］原理对云会计下AIS进行科学合理的可信性评价。

( 一) 构建可信性影响关系网络TAN

云会计下AIS可信性评估应充分考虑模块之间存在复杂的相互调用、数据勾稽处理关系情况下模块可信性的相互影响关系,这种模块之间可信性影响关系可以用模块可信性影响关系网络( Trustworthiness Affecting Network,以下简称TAN )来表示,可将这种复杂的控制影响、调用关系抽象化为复杂有向网络。TAN不是传统意义上模拟内部调用结构的调用网络,而是综合考虑技术层面和功能层面模块之间可信性影响因素,构建的是可信性影响关系网络。

由节点和边组成的图G = ( V,E) 可以表示一个具体的网络,其中V代表网络中节点的集合{ v1,v2,…,vn} ,E代表网络中边的集合{ ( vi,vj) } ,i,j ∈ { 1,2,…,n} 。依据云会计下AIS的主要业务流程建立功能模块可信性影响关系的复杂网络,复杂网络中的节点V代表云会计服务中各个功能模块的可信性,有向边E代表所连接的两个功能模块之间的可信性影响关系。

( 二) 可信性水平的度量

由于云会计下AIS业务处理的协作性、复杂性和灵活性,用户所需的复杂业务难以由单个功能模块完成,往往需要多个模块协作处理,模块之间具有复杂的业务勾稽关系,并产生大量的指令和数据交互。因此,TAN拓扑结构构建的优良程度极大程度地决定了在AIS关键模块失效时引起整个系统瘫痪的可能性。本文利用复杂网络及其相关理论,基于TAN对云会计AIS的可信性进行评估,从度、介数、结构洞等方面进行分析,提出了度量可信性水平的标度和节点失效策略,以度量云会计下AIS可信性水平。

1. 度。云会计下AIS中模块、功能组件乃至细化的最小功能单元的可信性即为复杂网络节点,节点的度可以代表该节点与其他相连节点的可信性影响程度,能够从一定程度上反映该节点可信性水平受到其相连节点影响的复杂程度,节点的度越大则与该节点发生可信性联系和相互作用的节点就越多,其所面临的可信性评价就越复杂。对于有向加权网络来说,节点的出度反映了该节点对其他节点施加可信性影响的程度,入度反映了该节点受其他节点可信性影响的程度。

2. 介数。在网络的所有最短路径中,通过节点i的最短路径的条数占最短路径总数的比例称之为节点i的介数。节点v ∈ V的介数CB( v) ,定义如下:

其中 σww'表示w和w' 之间的最短路径数,σww'( v) 表示经过点v ,w和w' 之间的所有最短路径的个数。可以看出介数高的节点在网络中的集中性比较高,在网络中的影响就越明显。移除高集中性的节点会比移除度大的节点更易破坏网络的性能。在一些情况下,低度节点可能会有高的集中性。因此,移除高集中性节点来攻击网络可能导致与度攻击不同的效果。

3. 结构洞。社会网络中结构洞( Structural Holes) 指某些个体之间存在无直接联系或关系间断的现象,从网络整体来看,好像网络结构中出现了洞穴,其中将无直接联系的两者连接起来的第三者( 即结构洞位置占据者) 将拥有信息优势和控制优势［6］。将结构洞理论引入可信性评价的TAN分析中,可以作为节点间存在结构洞情况下分析可信性影响程度的手段。作为 “桥梁”作用的第三方节点占据了其他网络成员进行相互联系的关键路径,即网络中存在结构洞,使得被结构洞联系的节点间可信性影响关系出现缓冲效应———可信性的正向和负向影响都一定程度的减弱。作为 “桥梁”的第三方节点占据可信性影响关系的关键通路,受到两方以及多方的直接影响,能控制可信性影响是否传递以及传递的影响程度。

( 1) 可信性影响pij,结点i与j的可信性影响关系概率值,同i的所有可信性影响关系值之比。这里aij指i ,j两点间的边的属性值。

( 2) 二值约束cij,它表示围绕节点j和i的初始 “结构洞”的缺失约束,节点j通过以下方式约束节点i的 “桥梁” 作用,以节点对其他节点的依赖程度作为评价标准,数值越大,约束性越强; 依赖性越强则能力越小,跨越结构洞的可能性就小［7］:

( a) 节点i要经过较长的时间与较重程度的影响,才能改变节点j的可信性;

( b) 节点j被很少的结构洞包围着,通过这些结构洞,节点i可以发起支持,促进AIS整体的可信性。

由上式可以看出当j是i的惟一连接节点时,cij取最大值1,当j不通过其他节点与j间接相连时,cij取最小值P2ij。

(3)节点约束Ci:

求得的节点约束可以作为衡量TAN内部可信性影响关系传播范围与能力的标度。

4. 可信性系数。云会计下AIS可信性评估着重关注在AIS关键模块失效时引起整个系统瘫痪的可能性,即TAN在关键节点失效后网络的完整程度。AIS可信性评估可以转化为对AIS的TAN研究,即在网络部分节点失效后,该网络的连通程度。因此,定义云会计环境下AIS可信性系数V来衡量可信性水平,其定义为:

即某个或某些节点失效后TAN的最大弱连通图所包含的节点个数和原TAN节点个数的比值,该度量指标描述了当TAN在某个或某些节点失效后其连通程度,用某个或某些组件失效对AIS正常运行实现原预期功能的影响来衡量可信性。在网络中没有节点失效的情况下,可信性系数为1,而出现若干失效节点的网络其可信性系数的取值范围为[0,1) ,可信性系数越大代表AIS的可信性水平越高。当网络中出现失效节点时,可信性系数大的AIS的TAN中最大联通子图中节点个数相对于未失效的情况并未出现大比例损失,整个网络的连通性变化不大,即这个网络所代表的大部分AIS组件仍能够正常运行,并能实现原AIS绝大部分预期功能,该AIS的可信性水平较高。

5. 节点失效策略。本文在模拟失效的情境中采用的节点失效策略,是按照节点介数由高到低依次失效,逐步观察每次节点失效后对AIS可信性系数的影响。之所以根据节点介数制定失效策略而不是依据节点度数失效,是因为介数高的节点在TAN中的集中度高,相对于代表着可信性影响关系复杂的业务模块度高的节点,无论是从用户关注的程度来看,还是从对TAN的影响来看都更具有代表性和说服力。在案例分析中采用此种节点失效策略实现了节点失效情境模拟: 对每个待评估的AIS中的节点的介数进行排序,依次去除TAN的最大联通子图中介数最高的节点及与其直接相连的边,得到存在部分失效模块的AIS,逐步记录可信性系数及其变化趋势,对比采用节点度的高低制定失效策略,引入结构洞理论分析二者的优劣,进而可以得到可信性评估结论。

( 三) 可信性评估流程

基于可信性影响关系网络的云会计下AIS可信性评估,先基于AIS提取出模块的可信性影响关系,在Pajek中构建TAN,结合复杂网络原理分析TAN并制定相应的节点失效策略,模拟节点失效,综合分析后得出可信性评估结论,可以通过以下五个步骤实现( 以金蝶K/3 为例) :

步骤一: 根据购买的会计云服务获取模块的可信性影响关系。

以金蝶K/3 总账系统为核心提取出22 个相关模块,作为企业购买的会计云服务。依据业务流程勾稽关系和服务中数据接口反映出的云会计服务之间调用关系,得出云会计下AIS功能模块的可信性影响关系,如图1 所示。

步骤二: 将可信性影响关系导入复杂网络计算工具Pajek中。

将22 项会计云服务作为TAN的节点,将各项会计云服务之间的可信性影响关系作为TAN的有向边,构建出云会计下AIS的TAN,将节点和边的信息导入复杂网络计算工具Pajek中,得到的TAN如图2 所示。

步骤三: 分析TAN,制定节点失效策略。

TAN的识别和构建是对云会计下AIS进行可信性评估的基础,而各个节点介数是识别TAN中节点及其可信性影响关系重要程度的主要依据。在Pajek中计算出TAN中各节点的入度、出度以及入度出度和,即节点的度,以及介数、结构洞等指标,以备对比分析,如表1 所示。从表1 可以发现在22 个节点中,总账、销售管理、固定资产、内控管理、存货核算、项目管理等节点的介数和度数均较高,在网络中起到决定性的支配作用。

步骤四: 模拟节点失效。

通过移除一部分介数高的节点以及与这些节点直接相连的边( 包括入边和出边) 模拟AIS功能模块失效,记录每次节点失效对TAN的影响,并相应计算可信性系数V。图3 例举了部分节点失效前和失效后的网络。

步骤五: 得出可信性评估结论。

分析关键节点失效后对AIS可信性的影响,如果没有超出可接受的阈值就可选择该云会计服务购买方案。在存在多种备选方案时,针对每套方案进行以上四步可信性评估,并采用一致的节点失效策略,得到各自可信性系数,对比选出最优方案。

二、案例分析

本文以下以A公司欲购买的云会计供应商XYZ提供的云会计产品为例,说明基于可信性影响关系网络的AIS可信性评估方法的应用。A公司为小型制造型企业,主营业务为制造型机械的金属外壳设计与生产,业务流程复杂度不高,与财务相关的业务流程涵盖设备管理、生产管理、财务管理、采购及销售管理等,业务量与年销售额均处于较低水平。现为节约财务信息处理与信息化维护成本,提高财务核算与业务处理的规范性,拟从XYZ云会计供应商处购买若干云会计服务组成的云会计产品,A公司对其云会计产品的可信性水平了解程度不高,现需可靠的第三方评估机构对其购买的云会计产品进行可信性评估,以确定是否购买。

根据A公司的财务业务需求,欲从XYZ云会计供应商处购买的云会计服务有设备管理、在建工程、固定资产、工资、网上报销、销售管理、应收款管理、采购管理、应付款管理、库存、总账、报表、生产管理、预算管理、现金管理、存货核算、成本管理、项目管理、目标管理、费用管理、内控管理、内控分析共22 项云会计服务,由这些服务集成的AIS可信性水平如何是A公司决策是否购买XYZ公司云会计产品的关键因素。

假设本案例中建立的TAN与前文述及的功能模块可信性影响关系( 图1) 和TAN ( 图2) 一致。由于该云会计产品TAN的节点数目较少,网络复杂度不高,因而将节点的失效策略定义为按节点依次按介数的高低失效,每次出现节点失效时,记录并分析其对TAN的影响并求出相应的可信性系数,用以观测关键节点失效给云会计下AIS可信性带来的影响,从而反映出该云会计产品的可信性水平。

在无节点失效的情况下,“总账”节点的介数最高,对网络作用明显,将该节点及与其相连的有向边移除后,求出新TAN的最大弱连通子图,以模拟 “总账”节点失效后的系统状况,如图4 所示。当 “总账”节点失效后,TAN中 “销售管理”节点介数最高,将其以及与其相连的边在网络中移除,观察对网络的影响。再移除介数最高的“存货核算” 节点及其相连边,观察对网络的影响。移除三个介数最高的节点后云会计可信性影响关系网络最大弱连通子图,如图5 所示。记录每次移除节点后对TAN中各个节点介数的影响,并求得相应的可信性系数,如表2 所示。

关键节点失效对云会计环境下AIS可信性具有制约性和级联性的影响,按照定义的节点失效策略,节点的失效顺序为 “总账”、 “销售管理”、“存货核算”。然而,由于在调用结构网络中介数较高的节点失效对网络连通性的影响较大,在模拟第三批节点失效时,当 “存货核算” 失效,调用结构网络中一并删去与 “存货核算”直接相连的边。此时 “工资”成为孤立节点,TAN的最大联通子图一次性减少2 个节点,出现了关键节点失效对整个网络连通性的级联影响,从而影响可信性系数的数值。由此可见以TAN中移除节点及其相连边的方法反映出可信性影响关系的复杂性和动态性,有效模拟云会计环境下AIS业务模块失效时对可信性的影响。

由于结构洞可以反映TAN中节点可信性影响关系传播的范围与能力,现使用节点度为标度的节点失效策略( 简称度方案) 与上文采用的以介数为标度的节点失效策略( 简称介数方案) 三批失效后的结构洞节点约束进行对比,检验介数方案在失效策略上的有效性。度方案与介数方案在前三批失效中失效节点数相同,也就是对可信性系数的影响相同,然而具体失效的节点不完全一致: “总账”节点第一批失效, “销售管理”节点第二批失效,“内控管理”、“内控分析”节点第三批失效。可以看出两个方案下前两批失效节点相同,在对比结构洞节点约束时不再考虑这两个节点,结构洞节点约束对比结果如表3 所示。

通过对比介数方案与度方案结构洞节点约束的均值和方差,发现介数方案无论是均值还是方差均低于度方案,即相对于度方案,介数方案网络中剩余节点具有整体上更低水平的节点约束,说明在可信性系数相同的情况下,以介数为标度的节点失效策略能够移除TAN中更加重要的节点,这些节点移除后,TAN的结构更加松散、节点之间的可信性相互影响程度更低,由此说明了以介数为标度的节点失效策略的有效性和高效性。

三、结论

基于可信性影响关系网络的云会计下AIS可信性评估方法是运用复杂网络理论,充分考虑云会计环境的复杂性与动态性,同时分析并提取出AIS业务模块内在勾稽关系,构建出可信性影响关系网络,以模拟业务模块失效的方式对云会计下AIS进行有效的可信性评估。案例分析证明了方法的正确性,反映出关键业务模块失效对AIS可信性的影响程度,揭示出云会计下AIS可信性水平的变化规律,可以为行业制定云会计可信性标准、厂商提供可信的云会计产品、用户根据业务需求选择相应可信性水平的云会计产品提供了理论支撑。

“可信网站”凭什么可信? 篇2

“抓鱼”英雄毁誉参半

我们正在使用一个什么样的互联网？

郭美美会说，这是一个不真实的互联网；安全厂商会说，这是一个不安全的互联网；而网民会说，这是一个不可信的互联网。

不安全，不可信——在给网民带来方便、快捷的同时，互联网也正逐步呈现出它凶险的一面。

中国反钓鱼网站联盟日前透露，2011年11月底，联盟累计认定并处理了钓鱼网站7.2万个。此外，一组由中国互联网信息中心发布的2011年上半年的调查数据，也让人触目惊心：2.17亿人遭受过病毒或木马的攻击，1.21亿人的账号或密码被盗，3880万人在网上消费时被钓鱼网站“钓走”财务。

被钓鱼网站和木马病毒欺负多了，网民开始变得小心翼翼。在浏览网站时，他们担心：这个网站是不是钓鱼网站？这个网站上面有没有藏着病毒和木马，会把我的个人信息和账户信息偷走？出于这种不信任心理，导致90％的用户最终选择“悄悄地来，悄悄地走，不掏一分钱”。

网民对网络安全和信任的缺失，对企业的影响不言而喻。为了消除网民的安全忧虑，放心地在正规网站交易下单，京东商城、当当网、1号店等正规网站纷纷选择申请“可信网站”验证来验明正身——有“可信网站”验证标识的，说明黑客无法在此“布雷”，网民可放心浏览、交易。

“可信网站”验证具有诚信说服力，是因其具有权威性——它是由中国互联网络信息中心（CNNIC）携手北龙中网联合颁发的验证网站真实身份的第三方权威服务。它通过对域名注册信息、网站信息和企业工商或事业单位组织机构信息进行严格交互审核来认证网站真实信息，并利用先进的木马扫描技术帮助网站了解自身安全情况，是中国数百万网站的“可信身份证”。

“‘可信网站’、‘可信互联网’的理念和思路，早在2009年就提出来了。当时，中国网民规模首次突破3亿，国内域名总数接近2000万个，网站数量也首度突破300万大关，网络虚假信息、网络诈骗也开始大行其道。如何给网民一个安全、可信赖的网站，已是迫在眉睫的大事。”中网的战略合作伙伴网上有名CEO陈培桄向本报记者表示，“可信网站”验证是由北龙中网率先提出来的，其初衷是推动“可用网络”走向“可信网络”。

自诞生之初，“可信网站”就怀有一种英雄情结：对知名网站，它希望做形象保护神，防止知名网站被假冒网站和钓鱼网站“傍名牌”；对中小企业网站，它希望兼任验证官和广告宣传大使，证明中小企业网站的合法身份，帮助企业赢得用户的信任，提升互联网营销效果；对普通网民，它想做扫描仪和显微镜，帮助网民分辨真假网站，避免他们上当受骗，损失钱财。

“可信网站”验证像个“老好人”，谁都可以从它这里受益，号召力自然非同凡响。经过2年多的发展，选择通过“可信网站”验证的商业网站趋之若鹜，覆盖金融、证券、电商、机械制造、食品、旅游等行业和领域。陈培桄列举的一组数字，足有说服力：截止目前，在国内300多家正规券商中，超过70％以上已通过“可信网站”验证。

不过，同所有新生事物一样，在逐渐得到认可的同时，“可信网站”验证也遭到了各方的质疑。经过“可信网站”认证就一定可信？它是免费的验证机构还是“给钱就给信”的商业行为？它的技术真的就能拼得过黑客？“可信网站”验证也正承受着外界对其的质疑。

商业操作行为是否真可信？

在中网发布的“可信网站”验证申请流程上可以看到，申请认证的企业需要提供公司营业执照、机构代码证、域名证书等资料。

“这些资料只能证明这是一个正常运营的网站，也是最基本的条件，满足不了可信网站所要达到的要求。而且认证是要收费的，这更多的是一个商业操作行为，网站只是出钱买了一块牌子。”有人对“可信网站”验证的审核能力提出了质疑。据了解，经过“可信网站”验证之后，每年都需要年检，每年的验证服务费为1500元，有效期为10年，也就是10年中，网站将为这个标识付出1.5万元。

“‘可信网站’验证的申请原则是‘政府倡导、申请自主’，中网并不强制网站申请验证。”陈培桄首先对验证的年检收费问题做出澄清，并否认了外界所传的，可信网站验证是个商业操作行为。

据陈培桄介绍，“可信网站”验证需要企业提交最基本的条件，但在审核过程中，为确保这些条件是真实可信的，验证机构会对其进行形式性和真实性的审查。形式性审查是要求申请材料和申请资质缺一不可；而真实性审查，则要求这些材料必须是真实可靠的。

审核的过程，企业要过的关卡也有很多。“申请验证的企业需要先通过企业所在地的‘可信网站’验证机构的审核，一个要点是：网站验证方的域名注册机构与网站的所有权人必须一致，企业的营业执照及织织机构代码证必须是经当年年检真实有效的。然后要通过中网的中审和终审两道关，只有这三关的审核全部过关才能通过验证。”陈培桄说。

严格的审核机制，说明认证机构是“先证后认”，并非“给钱就给信”，而各级交互审核，则避免了认证机构在审核服务过程中搞暗箱操作。这样的审核保障，才能确保经过可信认证的网站是真李逵，而非“李鬼”。

可信认证后就高高挂起？

对于经过可信认证的网站，现在通行的做法，是给网站颁发一个“可信网站”验证标识，用户点击这个图标可以链接到验证页面，查看该网站的验证信息及安全信息。

“谁能保证这个网站申请的时候是安全的，以后就会永远安全呢？”有网友怀疑验证机构收完钱之后，就事不关己高高挂起。

“其实，拿标不容易，养标更不容易。”陈培桄告诉记者，验证管理机构之所以实行年检制度，就是为了对已经拿到验证标识的网站实施监督，“拿到验证标识，就得承诺诚信经营，切实维护消费者合法权益。如果持有者网站出现不当运营行为，或者得到了网民的投诉等，验证管理机构有权暂停或者收回验证标识。”

除了每年的硬件年检外，中网的技术中心还会将其验证方的网站域名通过解析链接到后台自动跟踪扫描，为企业网站保驾护航，对申请者的网站运营状况实施动态监测。并设立服务质量监督投诉电话和电子邮箱，建立公众投诉处理机制，接受公众、媒体和社会的监督。

对通过信用认证的网站进行监督管理之外，验证管理机构也会进行自我管理和监督。2011年11月3日，中网率先推出“验证出错赔偿”机制，承诺其若违反公开的验证规则，给网站提供验证服务、发放验证标识，而致使网民利益受损，中网将给予网民每个网站最高1000元的赔偿。

“敢于自我惩罚，就是最大的监督。中网敢于打出‘验证出错赔偿’，充分表明中网自信其‘可信网站’验证的规则或方法已经成熟，完全经得住市场的考验。” 陈培桄说。

“火眼金睛”能斗得过黑客？

近年来，黑客越来越猖獗，技术越来越高超。“可信网站”验证要保证认证网站的安全，最大的敌人非黑客莫属。

“通过认证的网站只得到一个验证图标，难保黑客不会对这个图标下手。”广大网友普遍担心，验证图标会被不法分子用“超链接”等方式冒用、冒称“可信网站”。

病毒无孔不入，“可信网站”验证就做孙悟空的火眼金睛无毒不杀；黑客技术不断翻新，“可信网站”验证的扫描防范技术就不断升级。据了解，早在2011年6月9日，《第三方网站可信服务行业规范（征求意见稿）》发布后，“可信网站”验证就开始了新定位——从“网站身份验证”升级为“可信安全解决方案”。

升级后的“可信网站”验证将从单一的“身份可信”，升级为“身份可信、服务可信、传输可信”；功能也从单一的“网站身份验证”升级为“网站身份可信验证、网站运行监护、网页篡改监护、木马病毒扫描、数据加密传输”五大综合功能。

挑货才是买货人。来自多方的质疑声音，恰恰可以反映出网民对“信用网站”验证的认可。网民认可的，是其对互联网经济应从“可用网络经济”转变为“可信网络经济”的理念，及其致力于为网民提供一个诚信网络环境的美好愿景。但“信用网站”验证自诞生至今，只有2年时间，未来，需要探索的路还很长，需要解决的问题也很多，此时，不仅需要“信用网站”验证机构自身的努力，更需要广大网民的支持与包容。正如陈培桄先生所说，“网络环境的安全诚信问题，是一个社会性大课题，值得我们共同关心与维护。政府、公众、社会和媒体等多方位、多纬度的监督和支持，对‘可信网站’验证走好未来之路非常重要。”

可信评估篇3

随着计算机网络在社会各个层面的应用不断加深,人类对它的依赖愈来愈严重。计算机网络在不断提高速度、功能的同时,开始向安全、可信的提供服务的方向发展。国际上由此展开了大量的标准制定与可信评估等基础性的研究[7]。

本文提出的网络可信评估,是通过测试网络结点行为特征对内(自身抵御病毒和抗物理干扰)是安全的、对外(提供的服务或对外访问)是可信的,来保证整个网络的可信性,并且通过综合对各网络结点行为特征的测试得出结点的可信度,给出整个网络的可信性等级。采用国际上的关于信息安全可信的标准,把网络可信定义为4个部分:政策法律公约可信、网络安全管理可信、网络评估测试构架可信、网络安全技术可信。当符合所有这些标准时,那就认为这个网络是可信的。

根据可信计算组织(TCG)提出的一系列可信平台的标准与规范,并针对(TCG/TNC)标准模型并加以扩充和改进,给出一个评估网络可信性的建模和评估测试框架;同时根据国际标准通信协议与国际安全技术管理标准来设置测试的数据库。建模采用“策划—实施—检查—改进”(PDCA)模式。该模式适用于本文的所有过程。

2 测试模型构架的建立

可信计算组织(TCG)提出的可信网络连接(TNC)标准在原来强调建构安全硬件平台的宗旨上,希望从操作环境的硬件组件和软件接口两方面制定可信计算相关标准与规范。

TNC的架构分为三类行为特征实体:请求访问者、策略执行者、策略定义者,这些都是逻辑实体,可以分布在任意位置。TNC将传统的接入方式“先连接,后安全评估”变为“先安全评估,后连接”,大大增强网络接入的安全性。这种演变是通过可信网络连接技术的三级结构实现的。如图1:

网络测试结点分类:

根据结点在网络拓扑结构上的功能划分,把结点分为几类如下:客户机,工作站,服务器,网络设备,防火墙,其它设备。

而根据(TCG/TNC)给出的模型,按结点在行为特征测试模型中的位置不同,把结点分成三种类型:AR(Access Requestor)(访问结点,PEP(Policy Enforcement Point)策略执行结点,PDP(Policy Decision Point)策略决策结点。

结点行为特征类型用来设置测试过程和方法流程,而结点功能类型表明结点实体在网络拓扑结构中的位置、功能和作用。所有功能结点都可以在测试时按它们的行为特征,把它们放在行为模型的不同位置,测试它们的相应属性功能,计算得出可信度。

2.1 分析获取三种真实数据源,并建立数据库

先获得网络测试评估的权限,通过边界路由、核心交换机、服务器获得结点的信息,建立网络拓扑结构,把结点和拓扑结构数据建成结点指纹库NFB(Node Fingerprint Base)。用于仿真环境中的各结点的数据参数设置。

undefined

(说明:NFB{Nmn|网络共有m+1个设备;每个设备有n+1种参数})

同理根据国际标准协议文档格式,建立包含标准协议的协议指纹库PFB(Protocol Fingerprint Base),用于表达协议的构造特征,存储、处理通信所需要的基本数据。在仿真实验中将根据该库建立表达结点特征行为的各种协议数据包进行测试。同时根据国际组织的TCG体系结构总体规范;ISO/IEC15408-2(技术标准); ISO/IEC 17799:2005(管理体系标准)中对可信与安全的属性有明确的规定,把要评估的项目和数据结构建成一个评估指纹库EPB(Evaluate Fingerprint Base) ;而其中的一些参数是在仿真实验前根据网络和网络所有者给出的静态文档得出的。如表1所示:

某行向量为:Nx114={ A114, A114-1, A114-2, A114-3, A114-4, A114-5, A114-6, A114-7,…}

2.2 建立仿真网络实验环境

根据被评估网络的设计图纸或网络管理工具绘制得到的网络拓扑结构,把相应功能结点和链路在仿真软件或虚拟机网络环境上体现出来。并根据结点特征指纹库NFB的参数信息给网络各结点的多种设置赋值,使仿真或虚拟环境下的结点和真实网络中的结点设置尽量接近一致。再由标准协议库PFB,设计批量产生各种通信离散随机测试数据测试。

对仿真环境自身可信性进行验证,把结点特征标准库NFB的结点行为特征子库做为基本测试库,把它转换成仿真软件可处理的库形式。库中的每个行为特征格式按照PFB库的标准协议数据包的格式进行封装。建好仿真环境后,让仿真软件把基本测试库的行为特征事件重新按测试数据的格式进行通信,检测目的结点收到数据的数量与内容经过执行后是否和真实结点所采集的数据和日志记录相吻合,这样可以评价并改进仿真环境,使之更接近真实网络。

3 评估方法

3.1 网络可信评估标准级别

根据可信计算机系统评估准则(TCSEC)和CC标准(ISO/IEC 15408)并给予改进,把可信分等级如表2所示:

所有的静态可信评估、动态可信评估和结点单个属性评估、单个结点整体性能评估、子网评估、整网的可信性评估和附值均采用多级评估和附值标准,当完成测试得出的结果和实际测试(国际标准认可实验室)结果评估级别不一致时,所有级别只做相应调整即可。例如:测试的某结点的自身可信度是undefined,是0101(B2) 级,而把此结点(计算机实体)让国际标准认可实验室测试它的安全可信级别是undefined;则所有可信级别均降一级,以便所有的仿真测试可信评估结果和实际国际标准更好的符合。

3.2 网络可信度计算

可信评估(Trust Evaluation)分两大部分:静态特征设置评估(Trust Static Evaluation)和动态测试评估(Trust Dynamic Evaluation)。关系如下(总公式1):

T= (1-β)Ts+βTd

为了提高动态测试在仿真环境中的作用,并体现整体的和谐性、合理性,令加权因子β取到黄金分割点的位置:

β=(√5-1)/2≈0.618(黄金分割点)

3.2.1 静态文档可信评估

结点静态可信度的测试标准主要是根据实际网络中获得的NFB库的结点管理文档、物理环境、物理结点硬件软件属性、设置、可信安全防护措施等使用EFB库对结点的静态特征给一个初始的评估。结点TNx静态可信度计算方式采取平均求和的方式:

undefined

说明:Ts(Nx):Nx结点的静态可信度。n,K:此结点共有n个属性,有K个静态属性,n-K个动态属性。

注1:所做可信评估测试为突出法律法规(包括本网所有者的规章规定)的严肃性,实行法律法规一票否决制,一旦确定某结点为非法结点(此结点是违法的,或它的设置、通信行为严重违反规定,如下面注2中定义的结点属性评估测试中多项为负值),则直接定义其总可信度T=-1,不再需要对它进行其它的评估测试,但可以参加总的可信度计算,使总的网络可信度值减小。

3.2.2 动态可信测试评估

测试的过程主要采用破坏性崩溃测试。这在真实环境下是不能实现的或者代价太高,而在仿真环境下只要平台搭建合理则可以反复地进行破坏性测试。定义的破坏性崩溃测试是:当对某个结点的某个性能指标进行测试时,在不断减少结点的相应防护措施同时增大攻击强度(如方法和流量)直到此结点安全措施被攻破或者结点停止所有服务甚至崩溃。

我们通过收集结点从接受测试到被破坏甚至崩溃所经历的测试次数、强度、时间、受破坏程度等信息来确定此结点的可信评估级别,得出相应可信度。结点TNx 动态可信度Td(Nx)计算方式采取平均求和的方式:

undefined

根据总公式1,得到结点Nx可信度为:

TNx =(1-β) Ts(Nx)+βTd(Nx)

注2:每个结点在真实网络环境中总是处于不断提出访问、服务请求或者验证访问、接受访问、为别的结点提供服务,在不同时刻结点表现的行为特征是不同的,评估标准也不一样。从可信性方面考虑的安全定义就是:结点对外来的访问、攻击表现出了健壮性,它对自己的安全是有信心的,是可信的。对其它结点来讲,这个有自信的结点可能会非法访问、发动对外的攻击或者发送错误的服务信息,这时认为它的影响是负面的,对受到攻击的结点来说它是不安全、不可信的,此时它对外访问属性测试可信度取负值;当没有对外非法访问、攻击时,评估测试可求得结点此项属性的可信度T=0。

3.2.3 网络整体可信度测试评估

采用对整个网络分级,把在整网中的功能作用、地位相同或类似的结点分在同级;而整个网络的可信度的计算采取加权平均求和的方式,这主要是根据各级的各个结点在网络中的重要程度是不同的。权重的计算是当此结点受到破坏不能通信后在整个网络中的影响范围来决定的,如图2。

如图2所示,当结点N11受破坏后,整个局域网内部通信外部通信将全部受到影响,把它设成第一级。例如第一级有三台, N11的权重是N12的两倍,则N11的可信度在整个网络中所占的份额是:undefined。则网络可信度T为(总公式2):

undefined

(M:此网共分M级 ;Ti:为第i级所有结点的可信度;Ti1:为第i级的第一个结点可信度 ;ai1:第i级第1个结点对应权重;ki:为第i级有ki个结点实体)

4 实验结果处理

TCG/TNC给出的三级模型主要目的是验证在通信连接过程中的数据的完整性,而可信通信连接之后的其它属性如可用性、保密性、可控性、可靠性和结点行为的可预测性等属性的验证则没有涉及。在仿真环境中,改进TCG/TNC给出的三级模型,以便更适合仿真环境进行网络多种属性地评估测试,并用此改进模型对目标结点的通信特征行为属性可信度进行仿真设计、实验,得出各结点可信性评估结果。根据上面所给的总公式1,2得出网络的可信度值,最终由可信度值与表2的对应关系得出整个网络的可信评估等级。

4.1 网络通信完整性可信评估

访问端结点N′(x),设为AR;被测试结点的N(x); PDP相当于PEP中的完整性验证设置或设备如图3:

①:N′(x) 请求访问PEP, PEP将访问请求描述发往网络访问授权者N(x)。

②:提出完整性验证要求,同时把自己的测试数据Data1备份为Data1′并传给AR。

③:AR发送测试数据Data2,并备份为Data2′,同时把接收到的Data1处理后重新发回。

④:PDP对接收到的Data1与本身的Data1′进行完整性比较,完整则继续通信,发送返回验证信息Data2,否则发出拒绝信息。

⑤:AR对接收到的Data2与本身的Data2′进行完整性比较,完整则结束测试握手开始正常数据通信,否则发出拒绝信息。

在真实环境中,验证过程①②③④⑤只进行一次或有限的几次,使用的协议也基本一致,如果验证通过,就开始正常通信。而在仿真环境下,在完整性测试时,只反复进行这五个步骤操作。实验采用在测试目标AR允许的范围内的多种协议不断随机变化,强度、流量不断增加,直到目标结点停止请求或者崩溃。则第一种破坏实验得到的完整性可信度T1:

undefined

C15:①②③④⑤过程完全执行过的次数。

C1Z:停止服务前,AR提出的总的访问次数。

第二种实验采用在传输过程中,对AR传输的验证数据进行修改、破坏、插入、延迟、乱序、丢失处理,然后进行破坏性实验,记录总的破坏数据的条数R2Z,PDP检测到受破坏的记录条数R25,由此得出第二种破坏实验得到的完整性可信度T2:

undefined

如果这两类共进行了n次实验,则完整性评估可信度,取它们中的最小值(木桶原理:整个属性的可信安全程度由许多同类的测试得出,它不是取决于最强的地方,而是取决于最薄弱的地方的强度。):

TNx22=Min(T1,T2,……,Tn)

注3:上面测试的过程是对某结点自身面向外来访问进行的完整性测试验证;当验证此结点对外访问、提供服务可信性时则把它放到AR的位置,PEP和PDP的位置设为它访问或提供服务的对象结点,此时的测试数据为NEB库中的结点行为特征子库的此结点已发生的对外访问事件,以此来确定在它对外提供的访问或服务是否可信。所有结点对外访问、服务属性的评估均包括此项测试,评估方式将有所不同,在此,结点的对外访问、服务完整性可信度TNxw为:

TNxw=-1*(1-TNx)

TNx:为PDP结点用真实历史数据测得的此结点的发出完整数据包的可信度。结点的其它对外访问、服务测试类似。

4.2 网络通信可控性-抗DDOS攻击可信评估

访问端结点N′(x),设为AR;被测试结点的N(x);PDP相当于独立的或PEP中的处理访问的控制设置或设备如图4:

①:m′个N′(x) 同时向PEP的N (x)发出请求访问。

②:提出验证要求,PDP正常相应。

③:m′个数和请求频率不断加大到m ,形成DDOS攻击。

④:PDP失去响应服务能力。

本实验的PEP可以与PDP是一个功能结点(测试目标为IDS(入侵检测系统)或装有IDS的服务端);也可以是分开的(IDS+测试目标服务端),则实验采用在传输过程中,PEP对ARm传输数据不断加强保护抗攻击处理,然后进行破坏性实验,记录总的PEP阻止DDOS非法请求数据的条数,AR发出DDOS攻击到PDP崩溃总的数据条数,破坏实验得到的抗DDOS可信度T1:

undefined

C1m' :PDP正常稳定响应的最大次数。

C1m:停止服务时,AR提出的总的访问次数。

如果共进行了n次这类实验,则抗DDOS攻击可信度,取它们中PEP保护设置最完善时的最小值:

TNx22=Min(T1,T2,……,Tn)

4.3 网络通信可靠性-数据备份容灾可信评估

访问端结点N′(x),设为AR;被测试结点的N(x); PDP相当于PEP中的数据存储设置或设备如图5:

①:N′(x)向PEP的N(x)发出DDOS攻击或带病毒数据协议测试包,导致PDP停止服务或者崩溃。

②:PDP在接受访问同时,把有用数据同步传给PDP′和PDP″, 两份备份结点探测到PDP停止服务时就先由PDP′提供服务,同时用异地备份修复PDP或者直接用PDP″暂时通信,同时修复PDP或者PDP′。

③:AR等待一段时间接到非PDP发送正常协议数据后,也开始发送问候协议数据,直到PDP恢复正常功能。

④:PDP发送正常回复数据,开始正常通信。

本实验的time是最多AR可以等待的时间,time1是AR与PDP通信时间,time2是PDP与PDP′或PDP″通信时间,time3是PDP′或PDP″与AR通信时间,time4为PDP恢复到可与AR通信时间,最大PDP可允许的恢复时间是time5(超过这个时限恢复备份是没有意义的)。

当time1+time2+time3≦time≦time4

undefined

而当time≦time1+time2+time3≦time4

undefined

(注: time4>time5时说明系统的备份是不可信的)

如果这两类共进行了n次实验,则数据容灾备份的可信度,取它们中各自的最小值来分别表示这两类的可信度:

TNx22=Min(T1,T3,……, Tn-1)1

TNx22=Min(T2,T4,……, Tn)2

其它属性实验测试类似。

5 系统效果

实验环境:

操作系统:Microsoft Windows XP Professional 2007 Service Pack 3 ; CPU:Pentium(R)D CPU 2.80GHz Hard Disk: 160.0GB Memory:1.024GB;

语言环境:Microsoft Visual C++ 6.0

数据库:Microsoft SQL Server 2005

仿真环境:网络仿真软件环境OPNET Modeler 11.5 ;

虚拟机:Vmware Networkstation_ Red Hat linux 4 Memory:256MB Hard Disk: 8.0GB ;Vmware Networkstation_Windows Server 2008 x6 Memory:512MB Hard Disk:12.0GB

拓扑图2的网络可信评估:

TN1S=0.8 ;TN1d=0.5则:

TN1=(1-β)*0.8+β*0.5=0.382*0.8+0.618*0.5=0.6146

它在第2级的权重undefined(第2级共有四台同类结点设备)

共四级,则

undefined

则此网络的可信度值是:undefined级,中级,0101)

6 结论

通过对局域网仿真测试,给出了一种测量网络可信度的可实现的实验模型,而且根据国际标准对整个网络给出一个具体的评估等级。通过国际标准认可实验室的校对、测试,可以对真实网络进行更准确的评估。

参考文献

[1]中华人民共和国《信息安全等级保护管理办法》[S],公安部、国家保密局、国家密码管理局、国务院信息工作办公室发布,2007.2-16.

[2]GB中华人民共和国国家标准《信息安全风险评估指南》[S],国家质量监督检验检疫总局发布,2006.2-39.

[3]Trusted Computing Group.TCGtrusted network connect TNC architecture for interoperability-specification ver-sion1.3[S].[2009-05-18].USA,Copyright Trusted Computing Group,Incorporated,11-40.

[4]ISO/IEC15408-2:2008[S]Published in Switzerland,ISO/IEC Copyright Office,3-28.

[5]ISO/IEC17799:2005[S]Published in Switzerland,ISO copyright office,66-99.

[6]Jennifer Golbeck,Bijan Parsia,Trust network-based fil-tering of aggregated claims,Maryland Information and Network Dynamics Laboratory,University of Maryland[R],College Park,New York:McGraw-Hill,2006.

可信评估篇4

关键词：电力生产管理软件,可信性评估,云模型

0 引言

电力是国民经济命脉和社会发展的基础保障之一,因此电力行业作为国家关键部门在保障国民经济顺利运行过程中起到无可替代的重要作用。随着社会信息化的发展,电力行业信息化也日益全面和深入,因此对于电力行业信息化关键应用也提出了更高的要求,尤其是作为保证电力企业正常生产的核心软件—电力生产管理系统,但是目前电力生产管理系统还存在可靠性、可用性和可维护性不强,实施周期长、费用高,行业知识和信息资源难以积累和统一表示等一系列问题,这也成为了制约电力行业信息化发展的瓶颈,因此对高可信软件的需求日益凸显,构造高可信软件已成为电力生产领域乃至整个软件行业发展和应用的重要趋势和必然选择。国家“863”计划在“十一五”期间启动实施了“可信软件基础研究”重大研究,并取得了基于Trustie技术体系可信软件研究进展等相关初步成果。

有关软件的可信性评估方法一直是高可信软件理论研究领域的热点,目前采用的综合评价方法如系统分析法、层次分析法、逻辑分析法、模糊综合评价法等大多忽略评价过程中出现的不确定性即模糊性和随机性,同时也缺乏有效而简便的定性定量互转模型。因此,如何对模糊信息进行量化处理、建立合理而准确的评估指标体系以及评估模型,已成为软件可信研究亟待解决的问题之一。

利用云模型将模糊性和随即性相结合的知识表达特点,本文将定性的软件可信性结果转换成云模型来表达,完成软件可信等级综合评价,并将其应用于电力生产管理软件的可信评估中,为类似不确定性问题的定量研究提供了新的思路。

1 相关知识

1.1 软件可信性

(1) 软件可信

ISO/IEC 15408标准关于可信性的描述[1]:一个可信的组件、操作或过程的行为,在任意操作条件下是可以预测的,并能很好地抵抗应用软件、病毒以及一定的物理干扰造成的破坏。由美国多家政府和商业组织参与的TSM(可信软件方法学)项目于1994年将软件可信性扩展定义为“软件满足既定需求的信心度”[2],该定义进一步阐述了可信性对管理决策、技术决策,以及既定需求集合的高度依赖性。国家“863”计划“可信软件基础研究”中基于Trustie技术体系将软件可信理解为,如果软件系统的行为总是与人们期待的愿望一致,那么该软件系统是可信的[3]。

目前,学术界仍没有对软件可信作出一致的严格定义,不过从一般意义上来理解,软件可信性应包括可用性、可靠性、可生存性、安全性和可维护性等属性,Trustie技术体系中定义的软件可信分级规范[3]如表1所示。

(2) 评估方法

软件可信评估过程是对软件能否正确完成用户所期望服务的评价过程,通常借助软件可信属性和可信证据评估来描述和刻画软件可信性。典型的可信评估过程可用软件可信评估三角模型来表示,如图1所示。

即:可信评估过程=<软件可信证据模型,软件可信属性模型,软件可信评估指标体系>。

软件可信证据模型:多层次树状结构用于组织和定义可信证据;

软件可信属性模型:多层次树状结构用于描述可信属性以及属性间的关系;

软件可信评估指标体系:一系列评估指标的集合,评估指标是通过定义分析模型和评估结果标度对可信属性进行评估的方法。

可信评估过程往往需要综合多个因素或多个指标刻画其本质与特性,并且其评判结果往往不是简单的好或差。此时一般采用模糊语言进行评判,再使用综合评判模型对可信属性进行度量。常用的分析手段包括模糊理论、神经网络和贝叶斯网络等方法,本文采用了基于云模型的软件可信评估方法来对电力生产管理软件进行可信性评估。

1.2 云理论

云模型[4]最初是由李德毅院士提出的,云是利用语言值表示某个定性概念与其定量表示之间不确定性转换模型,它主要反映自然语言中概念的两种不确定性即模糊性和随机性,并把两者完全集成在一起,构成定性和定量间的映射。

1) 基本概念

设U是一个用精确数值量表示的论域,U上对应的定性概念A,对于任意一个论域中的元素x,都存在一个有稳定倾向的随机数y∈[0,1],叫做x对A的隶属度,则隶属度在论域上的分布称为隶属云,简称为云。云由许许多多云滴组成,云的整体形状反映了定性概念的重要特性,云滴则是对定性概念的定量描述,云滴的产生过程表示定性概念和定量值之间的不确定性映射。

2) 数字特征

云模型所表达概念的整体特性可以用云的数字特征来反映,通过期望Ex、熵En和超熵He这三个数字特征来整体表征一个概念。

期望(Expectation,Ex):在数域空间最能够代表定性概念的点,或者说是这个概念量化的最典型样本,它代表A的信息中心值。

熵(Entropy,En):代表定性概念的可度量粒度,即A的粒度。熵越大通常概念越宏观,模糊性也越大,表示定性概念不确定性的度量,反映了在论域空间可被概念接受的云滴的取值范围。

超熵(Hyper entropy,He):熵En的不确定性度量,即熵的熵,由熵的随机性和模糊性共同决定。

用这三个数字特征表示定性概念的整体特征可以记为:(Ex,En,He)。

3) 云的3En规则[5]

论域U中的所有元素对定性概念A的总贡献为1,但有99.7%是落在[Ex-3En,Ex+3En]之中。因此,对于一个定性语言值,其相应的云图在[Ex-3En,Ex+3En]以外的云滴是小概率事件,一般可以忽略不计,如图2所示。

4) 云发生器

云的生成算法称为云发生器,其算法按照不同的应用范围可以分为正向云、逆向云、X条件发生云、Y条件云发生等。

(1) 正向云发生器

由云的三个数字特征产生云滴,即实现从定性到定量的转换,称为正向云发生器,一维正向云发生器算法FCG(Forward Cloud Generator)[6]。输入:定性概念的期望Ex、熵En和超熵He;输出:N个云滴在数域空间的定量位置和每个云滴代表概念的确定度。步骤:

① 生成以En为期望值,He为方差的正态随机数Eni=f(En,He);

② 生成以Ex为期望值,Eni为方差的正态随机xi=f(Ex,Hni);

③ 计算xi的确定度 $C (x_{i}) = e^{\frac{- (x_{i} - E_{x})^{2}}{2 (E_{n_{i}})^{2}}}$ ;

④ 把确定度为C(xi)的xi作为数域中的一个云滴;

⑤ 重复①-④,直到产生N个云滴为止。

在计算出云模型的三个数字特征值以及云滴数N时,通过正向云发生器生成的云,实现了概念空间到数值空间的转换,如图2所示为CG(0,2,2,0.3,10000)的正向云图。

(2) 逆向云发生器

给定符合某一云分布规律的一组云滴作为样本xi,产生云所描述的定性概念的3个数字特征值的云模型,成为逆向云发生器。

本文主要介绍基于云X信息的逆向云发生器算法BCG(Backward Cloud Generator)[7]。输入:N个云滴X[N]={x1,x2,…,xn}输出:云的数字特征(期望Ex,熵En和超熵He)。步骤:

① 根据xi计算这组数据的样本均值, $\bar{x} = \frac{\sum_{i = 1}^{Ν} x_{i}}{Ν}$ ,一阶样本绝对中心距 $L = \frac{\sum_{i = 1}^{Ν} | x_{i} - \bar{x} |}{Ν}$ ,样本方差 $S^{2} = \frac{\sum_{i = 1}^{Ν} (x_{i} - \bar{x})^{2}}{Ν}$ ;

② $E_{x} = \bar{x}$ ;

③ $E_{n} = \sqrt{\frac{π}{2}} \times L$ ;

④ $Η_{e} = \sqrt{S^{2} - E_{n}^{2}}$ ,Return。

2 电力生产管理软件可信性分析

在Trustie技术体系[3]中提出的软件可信属性主要包括:可用性、可靠性、安全性、实时性、可维护性、可生存性,这些是通用的重要的软件特性,因此本文首先对这些可信属性,结合电力行业特点和企业应用需求,进行深入的研究,分析上述六个可信属性在电力生产管理系统可信评估中的作用。基于已有电力行业知识和项目经验,针对不同类型的电力生产企业、不同的生产管理应用、不同的生产时期,上述可信属性对可信评估的影响也是动态变化的,因此,需要根据电力行业特点和电力生产企业生产管理需求,进行深入的调查研究,确定已有可信属性是否满足现有需要,以及是否需要根据领域特点进行完善。

根据电力行业特点和电力生产管理的应用需求,拟采用可用性、可靠性和可维护性作为系统评估的可信属性,建立可信属性模型,作为系统可信评估的基础。采用这三个属性建立可信属性集合,主要是基于行业特点、电力生产企业需求和可操作性考虑的。电力生产企业信息化已经全面展开,每一个企业都需要对生产管理活动进行信息化提高企业的生产、经营、管理和决策的效率和水平,规范企业的管理标准,提高企业的经济效益和核心竞争力。随着信息化过程的不断深入,很多企业已经建立了生产管理系统,企业用户对系统的可用性要求较高,由于生产管理系统在企业中所起到的辅助分析决策的重要作用,因此系统的可靠性和可维护性也是用户极为关注的。目前,企业已经普遍实施了电力生产管理系统,因此度量和获取系统可用性、可靠性和可维护性的可信证据的可操作性相对较强。基于上述原因,将采用可用性、可靠性和可维护性三个可信属性来建立可信属性模型,以此作为系统可信评估指标体系建立的基础,如图3所示。

3 评价因素的云模型化

软件可信评估主要是分析可信评估证据项,设定评估指标权重,参照可信等级的评估指标基准,运用相应的综合评估方法得出评估结论(评语)的过程。评估过程中,可以先将指标基准和评语进行云模型化处理,然后通过可信等级综合评估方法得出评估结果。

3.1 评估基准的云模型化

每个评语可用一维正向云来描述,对于较模糊的双边约束,如“良好”,它们对应的可信度的取值既有上限又有下限,而对于单边约束,它们的满意度的取值范围只有上限或只有下限,例如“优秀”、“不合格”之类的评语。对于双边约束的评语(Cmin,Cmax),可以用期望值的约束均值[8,9]。云参数用以下公式计算:

${\begin{cases} E_{x} = (C_{\min} + C_{\max}) / 2 \\ E_{n} = (C_{\max} - C_{\min}) / 6 \end{cases} (1)$

对于超熵He的确定,参考评价值的区间大小来调整。一般情况下,区间值越大评价结果的不定性和随机性就越大,He的值也就越大;相反则越小,此处超熵He均取值0.01。

3.2 指标权重的云模型化

按照评语的转换方法, 用定性语言表达指标权重描述采用多标度法,也就是将[0,1]区间化为多个标度,依次表示的重要程度依次递增,重要性也可以通过熵值的确定予以调整[9]。

4 电力生产管理软件可信评估方法

综合考虑电力生产领域软件可信的各种属性,本文在已有研究的基础上提供了一个软件可信性的综合度量模型,从可用性、可靠性和可维护性等三个方面对软件进行评估,并提出了软件可信性的综合度量指标体系。由图3可知,电力生产管理软件的可信评估属于两级评估,由一级和二级指标层构成,设软件可信性评价的一级指标集合为:U={U1,U2,U3},设一级指标Ui(i=1,2,3)有Ki个二级指标,分别记为:Ui={ui1,ui2,…,uij} (i=1,2,3;j=1,2,…,ki),其中uij代表Ui的第j个二级指标。分别建立针对每个可信属性指标的评价集云模型和软件可信等级综合评估云模型。

4.1 评价集云模型

针对每个可信属性指标,每个专家根据自己的理解做出评价,按照评价基准区间为每个评价指标确定一个评价等级,也可以直接由专家给出每个定性评价的云数字特征,直接形成评价云模型。多位专家给出的相应的云模型可以利用云合并算法[10]得出每个可信属性指标的合并云:

${\begin{cases} E_{x} = \sum_{i = 1}^{n} E_{x_{i}} \times E_{n_{i}} / \sum_{i = 1}^{n} E_{n_{i}} \\ E_{n} = \sum_{i = 1}^{n} E_{n_{i}} \\ Η_{e} = \sum_{i = 1}^{n} Η_{e_{i}} \times E_{n_{i}} / \sum_{i = 1}^{n} E_{n_{i}} \end{cases} (2)$

4.2 可信等级综合评估

得到每个指标的评价云模型后,就可以运用综合云的思想进行综合计算,由底向上获得上一层评价指标的云模型,完成软件可信等级的综合评估。设指标Ui的综合云为Ai,权重因子Wi,则最终软件可信等级评价A=(Ex,En,He),可用综合云公式表示为:

${\begin{cases} E_{x} = (\sum_{i = 1}^{n} E_{x_{i}} \times E_{n_{i}} \times W_{i}) / (\sum_{i = 1}^{n} E_{n_{i}} \times W_{i}) \\ E_{n} = (\sum_{i = 1}^{n} E_{n_{i}} \times W_{i}) / n \\ Η_{e} = (\sum_{i = 1}^{n} Η_{e} \times E_{n_{i}} \times W_{i}) / (\sum_{i = 1}^{n} E_{_{n_{i}}} \times W_{i}) \end{cases} (3)$

5 评估举例

应用本文建立的软件可信评估体系对电力生产管理软件进行可信性评估,首先,按照图3对电力生产管理软件的可信属性进行指标分析,生成相应的专家评估表(如表2所示)。专家在对可信指标进行评估时,要严格参照贯穿软件生命周期的各类需求、设计和测试评估可信证据,综合领域知识,分析给出客观评价,同时,参照评估基准形成若干软件可信评价区间,记为[0,0.6],[0.6,0.8],[0.8,0.9],[0.9,1.0],分别代表的评估基准为{不合格,合格,良好,优秀}四个评语基准等级。利用评估基准的云模型算法,可计算得到评估基准云,其数字特征参见表3所示,利用正向云发生器可得评估基准云图,如图4所示。

以下有10位专家对电力生产管理软件某子系统进行了可信性评估,各二级可信评估指属性的云模型数字特征可以根据相关软件说明和实际评价经验,通过专家评估表统计获得相应数据,运用逆向云发生器来计算获得,通过专家打分法和AHP法初步得到各一级指标的权重及评估结果统计如表4所示。

根据上表的评估结果,利用云合并算法可得各可信属性指标的合并云,具体参数如表5所示。

得到各可信属性指标的合并云参数之后,再计算式(3),可以得到该子系统的软件可信等级的综合云为A=CG(0.862,0.019,0.01),如图5所示,云滴的数据范围主要落在“良好”区间,因此可以得出该子系统的可信评估等级为良好。

6 结语

本文结合软件可信性定义及电力生产管理软件的特点,提出了适用于电力生产管理软件的可信性二级评估指标,借助云模型来处理电力生产管理软件可信性评估的模糊性与随机性,使得软件可信等级评价更加客观化和准确化。同时,对于二级评估指标的综合运算采用可信属性指标云合并算法和综合云算法,并将最终评价结果用云模型数字特征图来表示,体现了各可信属性指标元素间的相关性和独立性,使评估过程更细腻,结果更直观和真实。但是,该方法评价结果的准确性取决于一些因子的选取,如可信属性指标权重的确定和云模型参数中超熵的确定等,需要根据评估人员的实际经验以及反复测试。因此,如何更加合理地确定这些参数是需要进一步研究的问题。

参考文献

[1]ISO/IEC.Informationtechnology-security Techniques-Evaluation Crite-ria for IT Security.Part1:Introduction and General Model[S].2005.

[2]Amoroso E,Taylor C,Watson J,et al.A process-oriented methodology for assessing and improving software trustworthiness[C]//Proceedings of the2nd ACM Conference on Computer and communications securi-ty.Virginia,USA,1994:39-50.

[3]刘旭东,郎波,谢冰,等.软件可信分级规范[EB/OL].2009-5.ht-tp://www.trustie.com/clinks/trustiecriterion.jsp.

[4]李德毅,刘常昱,杜鹅,等.不确定性人工智能[J].软件学报,2004,15(9):1583-1594.

[5]黄海生,王汝传.基于隶属云理论的主观信任评估模型研究[J].通信学报,2008,29(4):13-19.

[6]李德毅,孟海军,史雪梅.隶属云和隶属云发生器[J].计算机研究与发展,1995,32(6):15-20.

[7]刘常,冯芒,等.基于云X信息的逆向云新算法[J].系统仿真学报,2004,14(11):2417-2420.

[8]石亮,黄仕家,邓有为.基于云模型的机载电子对抗系统效能评估方法[J].弹箭与制导学报,2006,26(3):311-314.

[9]史彦斌,高宪军,张安.云理论在航空电子战系统效能评估中的应用[J].计算机工程与应用,2009,45(22):241-243.

可信评估篇5

随着我国明确提出中国企业要实施“走出去”发展战略, 中国企业开始进入大规模对外直接投资的时期, 越来越多的中国企业, 特别是名牌企业率先走了出去, 开始进军海外市场。2010年度中国对外直接投资统计公报显示, 从2002年至2010年, 我国投资流量由27亿美元增长到688.1亿美元, 增加了20多倍, 存量从299亿美元增加至3 172.1亿美元, 增加了10倍多。尽管如此, 我国2010年的对外投资存量占GDP比重5.01%, 远远落后于全球平均水平26.1%。估计到“十二五”末期, 中国对外投资流量可望达千亿美元、存量达4 000亿~5 000亿美元的规模, 中国对外投资有巨大的发展空间。在此过程中, 随着企业投资范围的拓宽和投资机会的增多, 投资风险也随之增加。因此, 切实加强对外直接投资风险管理, 通过对相关风险的识别、评估、预警、监控来防范甚至化解风险, 减少由此而导致的财产损失和人员伤亡, 对开展对外直接投资活动的企业来说具有十分重要的意义。

谷广朝[1], 聂名华[2]和王凤丽[3]主要探讨了中国企业所面临的FDI风险因素, 进而提出一些防范风险的建议。这些研究提升了人们对FDI风险的认识, 提供了一些常见的防范风险的方法。然而, 由于缺乏对中国企业FDI风险的定量分析, 企业难以利用这些研究成果估计对外直接投资过程中所面临风险的大小。白远[4]介绍了一种简单的评估FDI风险的方法:首先确立风险因素并给定其权重, 然后对每项风险因素进行评估, 最终把各项风险因素的评估值与其权重的乘积相加, 从而得到风险的综合评估值。这种方法要求专家给出每项风险的具体评估值, 然而, 由于风险本身具有不确定性、动态性和复杂性以及专家知识、经验的有限性, 导致专家无法对风险进行准确预测。聂名华和颜晓晖[5]在建立FDI风险评价指标体系后, 结合各种风险指标的特性, 建立多级模糊综合评价模型, 进而得出风险评价结果。这种方法可以对风险的大小做出定性的评估, 但这种方法是建立在模糊集理论基础上的一种模糊综合评价方法。由于模糊集理论缺乏像概率论一样公理化的理论体系, 并且确定模糊集的隶属度具有较大的主观性, 这种评价方法所得的结果往往难以令人信服。

随着模糊数学的不断发展, B Liu[6]于2004年创建了公理化的可信性理论。这一理论可以有效避免传统模糊集理论中选取隶属函数的主观性问题。并且可信性测度具有自对偶性, 基于可信性测度的模糊评估结果更符合人们的思维习惯, 便于理解和接受。有鉴于此, 本文摒弃传统的多层次模糊综合评估方法, 采用基于可信性理论的多层次综合评估方法来评判中国企业FDI风险, 力图使得评判结果更为科学、客观与精确。

本文首先简要介绍可信性理论的基本原理, 然后根据可信性测度的理论和经典的层次分析法, 构建一个多层次模糊评估模型。在分析中国企业所面临的FDI风险因素后, 进一步建立相应的风险指标体系。在此基础上, 以一个拟对外直接投资企业为例, 利用本文构建的模糊评估模型, 对其所面临的FDI风险进行综合评估, 验证了本文模型的可行性与有效性。

2 可信性理论简介

Zadeh[7]于1965年提出的模糊集理论, 在众多学者的共同努力下, 取得长足的发展, 并在许多领域得到实际应用。在模糊数学中有三类重要的测度:可能性测度、必要性测度和可信性测度。传统的观念认为, 可能性测度是与概率测度平行的概念。事实上, 在模糊集合理论中, 只有可信性测度才能扮演概率测度的角色。B Liu和Y Liu[8]在2002年定义了具有自对偶性的可信性测度, 然后根据可信性测度建立了一个公理化的理论体系。下面简要介绍一下这3种测度的定义以及可信性空间的概念。

假设模糊变量ξ的隶属函数为μ (下文中相同字母表示相同的含义) , h为任意实数, 则模糊事件{ξ≤h}的可能性为

该模糊事件的必要性测度定义为其对立事件的不可能性, 即

该模糊事件的可信性测度是可能性测度与必要性测度的平均值, 即

假设Θ为非空集合, P (Θ) 是Θ的幂集, P (Θ) 中的元素称为模糊事件;对P (Θ) 于中的任一事A件赋予一个实数, 记为Cr (A) , 称为A可信性测度, 这里Cr (Θ) 是一个集合函数, 满足如下4条公理[6]:

公理1 (规范性) Cr (Θ) =1;

公理2 (单调性) 若A奂B, 则Cr{A}≤Cr{B};

公理3 (自对偶性) 对任意事件A∈P (Θ) , 有Cr{A}+Cr{AC}=1;

公理4 (极大性) 对于任意满足supiCr{Ai}<0.5的事件{Ai}, 有Cr{∪iAi}=supiCr{Ai};

则称三元组 (Θ, P (Θ) , Cr) 为可信性空间。

定义[6]若ξ是定义在可信性空间 (Θ, P (Θ) , Cr) 上的模糊变量, t为任一实数, 则ξ的隶属函数可由下面的可信性测度导出

进而可以得到可信性反演定理

定理[6]若模糊变量ξ的隶属函数为μ, 则对于任意实数集合A, 有

可信性测度不但摆脱了主观选取隶属函数的困扰, 由于具有类似于传统概率论测度的自对偶性, 其在模糊评估中的评判结果也更容易被人们所理解和接受。为此, 特举一例来说明。假定一个模糊评估结果可以由一个三角模糊变量ξ= (0, 0.5, 1) 来描述 (如图1) , 根据可能性测度, 一个评估结果不低于0.5的可能性为Pos{ξ≥0.5}=1, 乍看起来, 评估结果大于等于0.5的事件肯定会发生。然而, 确实又存在不成立的事件{ξ≥0.5}。这一对比结果表明, 即便评估结果的自信水平为1, 预期的事件仍然不确定会发生。此外, 已知Pos{ξ≥0.5}=0.9, 而Pos{ξ<0.5}=1。这种评估结果会让人“摸不到头脑”, 究竟哪一个结果更可能发生:是事件{ξ≥0.55}, 还是事件{ξ<0.55}?

尽管如此, 一旦使用可信性测度就能有效摆脱这种困扰。通过计算容易得到Cr{ξ≥0.5}=0.5, 这意味着评估结果不小于0.5会有一半的机会发生。通过可信性反演公式 (1) 可以得到, Cr{ξ≥0.55}=0.45, 而Cr{ξ<0.55}=0.55, 这表明评估结果小于0.55比起对立事件更可能发生。因此, 采用可信性测度来度量模糊评估的结果更为合适。

3 基于可信性测度与AHP的多层次模糊综合评估模型

本文在此给出基于可信性测度的3个层次因素评估模型, 对于具有更多层次因素的评估, 可以仿照此法类推。

假设待评估的主因素集为u={u1, u2, …, un}, 其中子因素ui={ui1, ui2, …, uim} (i=1, 2, …, n) 。评估专家对于各个风险因素的评语集v={v1, v2, …, vk}是可信性空间 (Θ, P (Θ) , Cr) 上的模糊子集, 其中Θ=[0, 1]。由于各个风险指标的重要性不同, 因此, 它们在风险评估中所占据的权重也不相同。在此, 我们利用层次分析法 (Analytic Hierarchy Process, 简称AHP) 来确定各级指标的权重。AHP是由美国运筹学家Saaty提出的解决多属性决策问题的有效方法[9,10]。这里采用AHP法的基本步骤是: (1) 将FDI风险的所有指标按照其属性分成若干大类; (2) 利用两两比较矩阵求出每个大类要素在FDI风险综合评估中的相对权重, 以及各指标在其所属的大类中的相对权重; (3) 按照分类对每个评价要素下的各个评估指标作单因素评估, 形成单因素评估矩阵; (4) 运用综合评判函数通过矩阵运算对各个评估要素作综合评估。

下面将介绍基于可信性理论与AHP的中国企业FDI风险评估的一般性步骤。

Step 1利用AHP法分别求出主因素集u={u1, u2, …, un}和子因素集ui={ui1, ui2, …, uim}的权向量为w= (u1, u2, …, wn) , wi= (wi1, wi2, …, wim) (i=1, 2, …, n) 。这些权重集都是因素集上的模糊子集。

Step 2利用德尔菲法得到指标因素uij (i=1, 2, …, n;j=1, 2, …, m) 对评语级别vl (l=1, 2, …, k) 的隶属度gijl, 其中gijl为认定指标uij属于级别vl的专家人数与参加评估的专家总人数的比值。

Step 3求出因素uij的单因素可信性测度评估向量

这里rijl=Cr{vl=gijl}为模糊事件{vl=gijl}发生的可信性测度, 即待评估对象在因素uij下的属性值gijl属于评语vl的可信性测度 (i=1, 2, …, n;j=1, 2, …, m;l=1, 2, …, k) 。根据可信性反演公式 (1) , rijl满足下式

其中μij (t) 表示在因素uij下t对于评语vl的隶属度。最终所得的单因素可信性测度评估向量rij也是评语集上的模糊子集。

Step 4对rij={rij1, rij2, …, rijk}进行归一化处理, 从而可得因素uij的归一化可信性评估向量

Step 5将m个单因素uij (j=1, 2, …, m) 的归一化可信性测度评估向量按序数排列, 构成一个关于上一级因素ui的可信性测度评估矩阵

Step 6对可信性测度矩阵Ri作模糊线性变换, 得到关于因素ui的评语集上的模糊子集

其中运算符*表示矩阵的乘法运算, bil为因素ui对于评语级别vl的综合可信性测度 (l=1, 2, …, k) , 能较为客观地反映因素ui的优劣程度。

Step 7求主因素U={u1, u2, …, un}评估结果的可信性测度向量。为此, 把n个单因素ui (i=1, 2, …, n) 的可信性评估向量Bi= (bi1, bi2, …, bik) 按序数排列, 构成主因素U的可信性测度评估矩阵

Step 8对矩阵R作模糊线性变换, 求出关于主因素U在评语集上的可信性测度向量

并根据最大可信性测度原则, 选择B= (b1, b2, …, bk) 中最大的元素bl所对应的评语vl作为最终的综合评估结果。

4 构建中国企业FDI风险指标体系

对中国企业FDI风险进行度量, 首先需要对存在的风险进行分析和识别。风险识别是整个风险管理活动的前提和基础, 它包括调查投资项目面临的所有潜在风险是否存在, 分析风险产生的各种原因, 以及按照所产生的原因对风险进行分类。

在参考大量相关文献资料后, 我们认为FDI风险主要包括政治风险、外汇风险、经营风险、管理风险、技术风险等。其中, 政治风险指由于东道国的政局变动以及由此所采取的政治性变革使跨国公司所蒙受损失的可能性, 主要包括战争和内乱风险、国有化风险、政策变动风险、资金转移风险、政府违约风险等。外汇风险是指因汇率变动导致的企业以外币计价的资产和负债的变化, 从而发生损失或收益的不确定性, 主要分为交易外汇风险、经济外汇风险和会计风险三大类。经营风险是指由东道国政府经济政策的变化或者经济环境如市场、汇率和经营条件等因素的变化, 以及投资者自身对市场环境的把握和预计不足给投资者造成损失的可能, 主要包括宏观经济风险、微观经济风险和企业运营风险。管理风险是指企业在对外投资的过程中, 由于企业内部一系列管理环节的不确定给企业的投资收益带来的影响, 主要包括组织管理风险、财务管理风险、人力资源风险、跨文化风险、内部控制和管理风险。企业对外投资的技术风险主要是企业在海外经营中技术研发、转移和使用过程中所遭遇的各种风险, 包括产品开发风险、技术保护风险、技术引进风险、技术壁垒风险等。

在深入分析中国企业FDI风险因素后, 我们需要进一步构建中国企业FDI风险指标体系, 以便于为风险评估服务。构建FDI风险评估指标体系, 即要借鉴其他国家FDI企业的相关经验, 又要结合本国企业的实际情况, 进而根据全面性、系统性、可比性、科学性等原则综合提炼出具体的评估指标。根据以上的要求及原则, 本文从中国企业FDI风险的内容、特征和影响因素出发, 构建多层次的FDI风险评估指标体系, 风险指标内容及其相应的参数代码如图2所示。

5 举例应用

国内某个企业根据自身发展战略的需要, 拟到东南亚某国开展对外直接投资活动, 以便降低产品成本, 提高市场份额, 增强国际竞争力。拟投资企业邀请了10名风险投资专家对企业现阶段对外直接投资所面临的最底层FDI风险指标进行模糊评估, 同时, 这10位专家还负责对FDI风险指标的重要性进行评估。

5.1 确立FDI风险因素集与评语集

根据第3部分的分析, 可以确立该企业FDI风险的主因素集u= (u1, u2, u3, u4, u5) , 子因素集分别为u1= (u11, u12, u13, u14, u15) , u2= (u21, u22, u23) , u3= (u31, u32, u33, u34) , u4= (u41, u42, u43, u44, u45) , u5= (u51, u52, u53, u54) , 各个因素集中元素的含义见图2。

根据中国企业的FDI风险级别, 可以建立专家对于风险指标的评语集v={v1, v2, v3, v4, v5}。评语集中的元素分别表示低风险、较低风险、中等风险、较高风险和高风险。

5.2 FDI风险评价指标权重的确定

中国企业FDI风险评价的各项指标间的重要程度有所差别, 因此各个指标所占有的权重也就不同, 本文根据评估专家对于各个风险指标重要性的评审结果, 利用经典的AHP来确定各个指标的权重。由于AHP在实际应用中已经相当成熟, 可以通过专业的计算机软件操作实现, 本文在此不再展示详细的处理过程, 仅将最终所得的各个指标的权重填入表1。其中指标因素u1, u2, u3, u4, u5的权重向量为w= (0.22, 0.15, 0.23, 0.25, 0.15) ;指标因素u11, u12, u13, u14, u15的权重向量为w1= (0.26, 0.16, 0.18, 0.21, 0.19) ;指标因素u21, u22, u23的权重向量为w2= (0.37, 0.46, 0.17) ;指标因素u31, u32, u33, u34的权重向量为w3= (0.16, 0.19, 0.23, 0.42) ;指标因素u41, u42, u43, u44, u45的权重向量为w4= (0.26, 0.21, 0.17, 0.13, 0.23) ;指标因素u51, u52, u53, u54的权重向量为w5= (0.37, 0.18, 0.25, 0.20) 。

5.3 基于可信性理论的企业FDI风险综合评估

对于某项最底层风险指标, 评审其风险等级为vi (i=1, 2, …, 5) 的专家人数与参加评估的专家总人数的比值, 即为该风险指标对风险等级vi (i=1, 2, …, 5) 的隶属度。利用这一方法, 求出各个风险指标对风险等级的隶属度, 然后将其分别填入表1。

由表1的结果可以看出, 专家对于指标因素u11的模糊评估向量为

利用公式 (3) 可得u11的可信性测度向量为

结合 (4) 式可得u11可信性测度的归一化向量

利用相同的方法分别求出u12, u13, u14, u15的可信性测度的归一化向量, 并按 (5) 中的方式排列, 进而可得因素集u1= (u11, u12, u13, u14, u15) 的可信性测度评估矩阵

再由 (6) 可以得到可得因素u1的可信性测度综合评估向量

同理分别可得u2, u3, u4, u5的可信性测度综合评估向量为

把u1, u2, u3, u4, u5的可信性测度综合评估向量按照 (7) 中的方式排列, 继而可得因素集u={u1, u2, u3, u4, u5}的可信性测度评估矩阵

最后, 由 (8) 式可得, 主因素u在评语集上的可信性测度向量

根据最大可信性原则可知, 该企业的FDI风险的状况处于低风险, 因此可以考虑实施该项对外直接投资决策。

6 总结

运用公理化的可信性理论, 本文将可信性测度引入到多因素多层次评估模型中, 构建基于AHP与可信性测度的综合评估模型。考虑到中国企业FDI风险评估对象的复杂性, 建立了相应的多层次评估指标体系, 并利用AHP确定各指标的权重, 然后对各层指标进行可信性测度综合评估, 最终得到企业的FDI风险状况评估值。实例证明了本文提出的模型的可行性与有效性。

将可信性测度运用到风险模糊评估模型中, 有两方面的优点: (1) 有效地避免了在模糊评估中选择隶属函数存在主观性的问题, 从而使得评估的结果更为科学客观; (2) 由于可信性测度具有类似与概率测度的自对偶性, 它使得评估的结果更容易被人们理解和接受。此外, 本文的提出的风险评估模型能推广到更多领域的模糊评估中, 为多目标决策的模糊评估提供一种新的有效方法。

参考文献

[1]谷广朝.中国企业“走出去”面临的风险及防范[J].国际经济合作, 2007 (2) :3-5.

[2]聂名华.论中国企业对外直接投资的风险防范[J].国际贸易, 2008 (10) :4-8.

[3]王凤丽.中国企业海外直接投资风险的成因及对策[J].中国流通经济, 2009 (3) :74-77.

[4]白远.中国企业对外投资的风险管理[J].国际经济合作, 2005 (12) :7-11.

[5]聂名华, 颜晓晖.境外直接投资风险识别及其模糊综合评价[J].中南财经政法大学学报, 2007 (2) :86-90.

[6]B Liu.Uncertainty Theory:An Introduction to Its Axiomatic Foundations[M].Berlin:Springer-Verlag, 2004.

[7]L A Zadeh.Fuzzy Sets[J].Information and Control, 1965, 8 (3) :338-353.

[8]B Liu, Y Liu.Expected Value of Fuzzy Variable and Fuzzy Expected Value Models[J].IEEE Transactions on Fuzzy Systems, 2002, 10 (4) :445-450.

[9]T L Saaty.A Scaling Method for Priorities in Hierarchical Structures[J].Journal of Mathematical Psychology, 1977, 15 (3) :234-281.

可信评估篇6

关键词：火箭助飞鱼雷,装载可靠度,指数分布,Bayes融合评估

火箭助飞鱼雷装载可靠度是评价鱼雷任务可靠性的一项重要战术技术指标,是遂行战斗任务的关键前提。但是装载可靠度试验,存在着一是试验样本数少;二是考核周期短。

如果采用经典的统计理论进行评定时,因现场样本数太少而易造成双方风险太大,置信度偏低。为了在短期内充分考核出该型鱼雷装载可靠度指标,可补充验前信息,如地面试验、已有分系统的试验、仿真试验、陆湖试验等试验数据可作为验前信息的来源,利用贝叶斯理论对小子样进行统计推断是目前比较好的一种评估方法。

而验前信息的采集和使用,又必须引起关注[1,2]。相对于试验现场样本数来说,验前信息中的试验样本数一般较大,这样存在着验前样本数的信息“淹没”现场试验子样,导致针对装载可靠度指标评估出现较大的偏差,不利于充分考核和评价鱼雷性能。同时,如果补充的验前信息不可信的话,则会影响对指标的正确评估。

针对鱼雷装载可靠度指标的考核,本文提出了基于可信度验后分布Bayes融合评估方法。

1验前信息可信度分析

在利用Bayes理论处理大量验前信息时,一般都会对验前信息子样和现场试验信息子样进行相容性检测,通过了相容性检测就可以使用验前信息了。

然而,当存在的验前信息样本数太大时,很容易让验前信息“淹没”现场小子样信息,因此在使用验前信息时,必须对验前信息的可信度进行分析。

记X= (x1,x2,…,xm)为现场子样,Y=(y1,y2,…,ym)为验前子样,为了检验这两个子样是否属于同一总体,引入假设检验:

H0:X与Y属于同一总体。

H1:X与Y不属于同一总体。

在采纳H0的情况下,H0成立的概率,即X与Y属于同一总体的概率,称为验前子样Y的可信度。

在检验水平α1下,数据相容,利用Bayes公式可得:

$\begin{array}{l} Ρ (Η_{0} | A) = \\ \frac{Ρ (A | Η_{0}) Ρ (Η_{0})}{Ρ (A | Η_{0}) Ρ (Η_{0}) + (1 - Ρ (Η_{0})) Ρ (A | Η_{1})} (1) \end{array}$

式(1)中P(A|H1)=β1为采伪概率,即H1为真时,采纳H0的概率。又知P(A|H0)=1-α1,P(H0)表示在获得现场子样之前H0成立的先验概率,反映了获取验前子样的方法或者过程的可信度。

式(1)进一步表示为:

$Ρ (Η_{0} | A) = \frac{1}{1 + \frac{(1 - Ρ (Η_{0}))}{Ρ (Η_{0})} \frac{β_{1}}{1 - α_{1}}} (2)$

工程上一般采取“风险上平等对待”的原则来确定α1和β1,并且取α1=β1(α1一般取1%～5%)[3]。

2基于无信息先验的可信度Bayes估计

验前信息样本X(1)=[X $_{1}^{(1)}$ X $_{2}^{(1)}$ …X $_{n_{1}}^{(1)}$ ],那么根据可信度的定义,可信度p=P(H0|A)则是X(1)的先验。

现在就是考虑信息可信度的Bayes估计的实质就是要将对补充样本的先验认识体现在验前样本的分布中[4]。用π0(θ)表示无信息先验时的验前分布,事件A表示先验可信,当其发生时,先验分布为π(θ);事件 $\bar{A}$ 表示先验不可信,当其发生时,验前分布为π0(θ)。于是可定义考虑可信度时的先验分布πp(θ),见式(3)对其的定义。

根据Bayes公式,获得现场子样X后,θ的后验分布πp(θ|X)为:

$\begin{array}{l} π_{p} (θ | X) = p π (θ) + (1 - p) π_{0} (θ) = \\ f (X | θ) π_{p} (θ) / m_{Ρ} (X) = \\ \frac{p m (X) π (θ | X) + (1 - p) m_{0} (X) π_{0} (θ | X)}{m_{p} (X)} (3) \end{array}$

故:

$π_{p} (θ | X) = λ_{0} π (θ | X) + (1 - λ_{0}) π_{0} (θ | X) (4)$

式(4)中:

$\begin{array}{l} λ_{0} = [1 + \frac{(1 - p) m (X | π_{0})}{p m (X | π)}]^{- 1} (5) \\ m (x) = \int_{θ} f (x | θ) π (θ) d θ (6) \end{array}$

在Bayes统计中,依赖于参数θ的密度函数记为f(x|θ),它表示在随机变量θ给定某个值时,总体指标X的联合密度或似然函数,参数θ的验前分布表示为π(θ)。

从公式(1)—式(5)中可以看出,要想充分利用可信度,应先解出λ0,这就需要算出m(X|π0)和m(X|π),那么必须应首先知道鱼雷装载可靠度属于何种分布。

3鱼雷装载可靠度与平均寿命的关系

3.1可靠度与平均寿命的关系

产品在规定的条件下规定的时间内能完成规定功能的概率叫做产品的可靠度。

研究产品的可靠性是从不可靠性即从故障入手的。各种各样的综合条件下,产品都可能会出现故障,这使得每一产品发生故障的时间是无法事前知道的,但对于设计定型已经稳定的产品来说,发生故障的时间是有统计规律的,亦即产品发生故障的时间是服从某一分布的随机变量。

产品从开始工作的时刻到发生故障的时刻之间的时间是产品的寿命。寿命是随机变量,因此可用概率来表示一批产品的寿命特征,亦即可用概率来表示产品的可靠性。

对于一种产品来说,它在规定的条件和规定功能的情况下,其可靠度是时间的函数。它与故障概率在同一时间和总是1,是对立事件。

由于寿命是随机变量,通常采用其数学期望值E(T)来表示,即平均寿命。

3.2指数分布假设

鱼雷装载可靠度分布属于成败型的二项分布,只有成功或者失败两种,因此可以当作二项分布来考核其指标,但是因为样本条次数太少,运用二项分布难以评价。为了更充分考核出这一指标,可以将装载可靠度指标转化为平均寿命下的指数分布指标来考核。

之所以假设鱼雷装载时的寿命分布属于指数分布,这基于以下几点考虑:

a.除非由充分的分析依据或工程鉴定证明应选非指数分布,一般假设产品的寿命为指数分布[5];

b.指数分布的寿命试验在实际使用中较为普遍,许多产品的失效率曲线,都可以用指数分布来描述[6];

c.指数分布与许多试验结果较为接近。寿命服从指数分布模型的大量试验结果表明,在实际使用中的寿命都近似服从指数分布;

d.在研究鱼雷总体及其系统可靠性工程问题时,仍可按指数分布模型来分析处理,取得满意的工程效果[7]。现代鱼雷中绝大部分的零部件、组件及系统是电子产品。电子产品剔除了早期故障进入偶然故障期,其故障率λ(t)为常数,即服从指数分布。

对于鱼雷搁置试验产品的实际分布尚未得知,假设其寿命为指数分布,在实际应用中算是一种比较保守的用法,也适合目前的形势。

3.3可靠度和平均寿命的转换

设产品的寿命分布为指数分布,其不可靠度分布函数为:

$F (t) = 1 - e^{- λ t} (t > 0) (7)$

当可靠度函数R(t)为指数分布时,平均寿命θ等于失效比λ的倒数[6],λ为失效率,t为时间,可得可靠度:

$R (t) = e^{- λ t} = e^{- \frac{t}{θ}} (8)$

4基于可信度的验后分布Bayes评估方法

4.1失效率λ的计算

对于寿命服从指数分布的产品,在进行有替换定时截尾试验时,在总试验时间T内设备因实效而更换了r次,由此给出指数分布下失效率λ的函数为:

$f (r | λ) = (λ Τ)^{r} \frac{e^{- λ Τ}}{r!}, λ > 0 (9)$

根据贝叶斯公式,一般取失效率λ的验前分布为Gamma分布,即:

$π (λ) = Γ (λ; t_{0}, Ν_{0}) = \frac{t_{0}^{Ν_{0}}}{Γ (Ν_{0})} λ^{Ν_{0} - 1} e^{- λ t_{0}} (10)$

式(10)中:N0为验前分布的故障数。

4.2指数分布的Bayes评估方法

对于λ未知时参数的Bayes估计,在进行有替换定时截尾试验时,获得现场试验样本,其失效时间T=[T1T2…Tn],失效数r=[r1r2…rn]后,由式(6)、式(9)、式(10)可得:

$\begin{array}{l} m (x | π) = \int_{θ} f (x | θ) π (θ) d θ = \\ \int \frac{t_{0}^{Ν_{0}}}{Γ (Ν_{0})} λ^{Ν_{0} - 1} e^{- λ t_{0}} \sum_{i = 1}^{n} (λ Τ)^{r_{i}} \frac{e^{- λ Τ}}{r_{i}!} d λ (11) \end{array}$

若在(N0,t0)之前无先验信息,通常取验前密度为π0(λ)=Γ(λ|1/2,0)∝λ-1/2,则有:

$\begin{array}{l} m (x | π_{0}) = \int_{θ} f (x | θ) π_{0} (θ) d θ = \\ \int_{λ} λ^{- 1 / 2} \sum_{i = 1}^{n} (λ Τ)^{r_{i}} \frac{e^{- λ Τ}}{r_{i}!} d λ (12) \end{array}$

由式(5)、式(11)、式(12)可得:

$λ_{0} = [1 + \frac{(1 - p) m (X | π_{0})}{p m (X | π)}]^{- 1} (13)$

4.3Bayes估计方法

考虑Bayes点估计模型,设参数θ的验后分布为π(θ|X),其Bayes估计值 $\hat{θ}$ 为使E[L(θ,θ*)|X]最小的θ*。考虑平方损失函数

$L (θ, \hat{θ}) = (θ - \hat{θ})^{2} (14)$

则θ的Bayes估计即为其验后分布π(θ|X)的数学期望值 $\hat{θ}_{E}$ ,即

$\hat{θ}_{E} = E (θ | X) = \int θ π (θ | X) d θ (15)$

指数分布下故障率λ无信息先验时采用贝叶斯方法的Box-Tiao方法,λU,B置信上限为:

$λ^{'}_{U, B} = x_{2 z + 1, γ}^{2} / 2 τ (16)$

根据贝叶斯定理,有验前信息时,λ的贝叶斯方法的故障率上限λU,B为:

$λ_{U, B} = Γ (λ | z_{0} + z, τ_{0} + τ) (17)$

4.4Bayes融合估计

应用平方损失函数,则λ的Bayes估计为:

$\hat{λ} = E [λ | X] (18)$

考虑验前信息时,式(4)中的π(θ|X)分布参数值由式(17)给出;π0(θ|X)分布参数值由式(16)给出。

由式(4)、式(16)、式(17)、式(18)可得,所以,在考虑验前信息可信度的Bayes估计为:

$\hat{λ}_{p - B a y e s} = λ_{0} λ_{U, B} + (1 - λ_{0}) λ^{'}_{U, B} (19)$

5算例仿真应用

假设某型鱼雷进行定时截尾试验,装载任务时间3个月,现场试验时,共抽取8条鱼雷进行装载试验,5个月后,结束试验,检查结果如下:失败数r=[0,1,0,0,0,0,0,0]。验前信息为:失败数r0=2,装载时间t0=50个月,在置信水平0.8的条件下,试利用本文的算法评估该型鱼雷装载可靠度值。

解:根据式(11)、式(12)、式(13)、式(16)、式(17)、式(19)可得到 $\hat{λ}_{p - B a y e s}$ =0.052 79。

则由式(8)可得到鱼雷装载可靠度值RP-Bayes=0.853 5。

而采用经典Bayes方法,即根据式(17)和式(8)则可得到鱼雷装载可靠度经典Bayes值RC-Bayes=0.867 2。

两者的计算结果表明没有近似相当,但采用了本文的算法,能够在考虑了置信度之后融合评估了鱼雷装载可靠度值,因而更能较真实地评估该指标值。

6结论

本文采用了基于可信度的验后分布鱼雷装载可靠度Bayes融合评估方法,具有比较实际的意义,一是提出了将按二项分布的可靠度指标转化为平均寿命指数分布下的指标考核;二是充分利用验前信息,使之能够更真实评估鱼雷装载可靠度指标;三是考虑验前信息可信度的Bayes融合估计降低了不可信验前信息对现场试验信息的影响。

参考文献

[1]张金槐,唐雪梅.Bayes方法.修订版.长沙:国防科技大学出版社,1993:1—3,54—57

[2]张湘平,张金槐,谢红卫.关于样本容量、验前信息与Bayes决策风险的若干讨论.电子学报,2003;31(4):536—538

[3]冯静,董超,刘琦,等.基于随机加权仿真的火箭发动机可靠性评估.系统仿真学报,2003;15(11):1603—1606

[4]黄寒砚,段晓君,王正明,等.考虑先验信息可信度的后验加权Bayes估计.航空学报,2008;29(5):1245—1251

[5]何国伟,戴慈庄.许海宝,等.可靠性试验技术.北京:国防工业出版社,2003

[6]秦英孝,周明德,严勇,等.可靠性维修性保障性概率.北京:国防工业出版社,2002

可信评估篇7

近些年有一些人工智能方法用于电力系统故障诊断,如专家系统[1,2]、因果网络[3,4]、Petri网[5,6,7]、模糊与概率[3,6,7]、优化解析法[8,9]、贝叶斯网络[10]、信息融合[11]等。文献[1,2]研究专家系统在保护与断路器误动或拒动情况下实现故障定位;文献[3]研究利用因果网络和模糊规则诊断故障;文献[5,6,7]将模糊、概率与Petri网结合对输电网进行故障诊断。文献[8]将报警处理问题描述为无约束0-1整数规划问题,采用Tabu搜索算法优化求解。但采用Petri网诊断时某断路器拒动使一些变迁不能触发,一定程度上影响诊断效果,采用遗传算法进行优化求解,其计算模型复杂、求解时间较长。

若故障发生后把所有时序信息汇总到调度中心进行集中处理,会造成诊断模型复杂化、信息泛滥,不利于及时有效予以诊断和报警处理。如果由数字化变电站采用一定方法对站内各报警及时处理后再上报,将对保证系统安全稳定运行起到重要作用。

本文在已有研究的基础上,提出了一种基于分层因果规则网和模糊可信度的变电站报警评估方法。它以由报警信号快速寻求变电站级故障原因为目标,根据电网与变电站结构、保护原理,为各元件分别建立4层因果规则网络,给出故障源层、候选原因层、保护动作层、断路器动作层之间的因果关系;对于可能的候选原因,采用模糊可信度的评估方法,其计算量小,可快速、准确地获得故障发生时可信度高的故障元件及其原因。通过对实际变电站的多种故障的算例分析,验证了该方法的有效性。

1 变电站报警评估分层因果规则网模型

变电站的报警信息一般包括保护动作、断路器动作、保护设备自检(如采样故障、跳闸失灵、保护计算出错)、通信故障等,这里以保护动作、断路器动作为主构建变电站报警评估分层因果规则网,以保护设备自检、通信故障等为辅来解释报警原因。

本文构建的变电站报警评估分层因果规则网模型,涉及到故障源F、故障候选原因C、报警事件A、故障源与故障候选原因的包含关系、故障候选原因与报警事件的因果关系、故障候选原因的可达路径集、故障源和候选原因发生的可信度等概念。

故障源F指电网发生故障时对应的元件Fi,具体分为线路Li、变压器Ti、母线Bi等故障元件。

故障候选原因指某元件Fi发生故障时可能的候选原因集C(Fi)={c1,c2,…,cn},故障源可包含多个候选原因,彼此独立(“或”关系),每个候选原因的引发概率为PFC(Fi,cj),它们存在一定的差异。

报警事件指由故障引发各保护和断路器动作产生的报警,考虑保护出口动作a和断路器动作x。

变电站有2种因果关系,即故障候选原因C与保护动作报警a之间、保护动作报警a与断路器动作报警x之间。1个故障候选原因ci引发多个报警征兆,形成其报警征兆集SCA(ci)={a1,a2,…,am}和因果关系对(ci,a1),…,(ci,am),它们一般是同时发生(“与”关系)。每个因果关系对有候选原因ci引发报警aj的引发概率PCA(ci,aj),由于各候选原因存在差异和优先级,并为了一定程度抑制误报,赋予它们不同的引发概率。一个报警aj可能由多个故障候选原因引发。保护出口动作a与断路器动作x之间存在保护动作引发断路器跳闸的因果关系(a,x)及其引发概率PAX(a,x),一个保护动作aj可有一个或多个断路器跳闸与之对应,其断路器跳闸集为SAX(aj)={x1,x2,…,xl}。

故障候选原因的一条可达路径指由该候选原因ci引发一个保护动作aj、该保护动作又引发某个(些)断路器xk跳闸2阶段产生2条子路径组成的一条完整路径,或。

故障候选原因发生的模糊可信度(CF)指根据该候选原因ci的报警征兆集确定其发生的真实程度ui,ui∈[0,1]。同理,故障源发生的可信度指根据该故障源的候选原因集发生情况确定其发生的真实程度。保护aj和断路器xk动作时的动作概率分别是P(aj)和P(xk)(若动作,定为0.95,否则为0.05)。某报警缺失原因是其拒动或其设备通信发生故障。

变电站故障处理评估分层因果规则网有故障源(元件)、候选原因、保护动作、断路器动作4层。变电站某线路的报警评估分层因果规则网示例如图1所示。

保护动作a和断路器动作x的标记规定:线路(如L211)的主保护m、近后备保护s1与远后备保护s2标记分别为a $_{L 211}^{m}$ ,a $_{L 211}^{s 1}$ ,a $_{L 211}^{s 2}$ ;变压器(如T1)的主保护m、后备保护Ⅰ段s1与Ⅱ段s2标记分别为a $_{Τ 1}^{m}$ ,a $_{Τ 1}^{s 1}$ ,a $_{Τ 1}^{s 2}$ ;母线(如B1)的差动主保护m标记为a $_{B 1}^{m}$ ;断路器(如211)的动作标记为x211。

10 kV侧线路L211的故障候选原因有6种组合:c211_1(线路L211故障,主保护动作,断路器211正常动作)、c211_2(线路L211故障,主保护拒动,近后备保护动作,断路器211正常动作)、c211_3(线路L211故障,远后备保护动作,断路器211正常动作)、c211_4(线路L211故障,主保护动作,断路器211拒动)、c211_5(线路L211故障,主保护拒动,近后备保护动作,断路器211拒动)、c211_6(线路L211故障,远后备保护动作,断路器211拒动)。候选原因c211_4的可达子路径有3条:(主保护动作,断路器211拒动)、(1号主变后备过电流Ⅰ段保护动作,母联分段断路器231动作)、(1号主变后备过电流Ⅱ段保护动作,断路器201动作)。各保护的引发概率PCA分别为0.99,0.96,0.93。

2 变电站报警的模糊可信度评估方法

当电网发生故障时,站层的评估系统接收各保护设备的实时报告,收集一个时间段内所有相关报警,根据已建的评估分层因果规则网及其规则,对故障候选原因评估,获得相应的故障源及其原因。变电站报警的模糊可信度评估方法如下。

步骤1:根据收集的已发生的保护动作和断路器动作集,沿着其因果关系对回溯,找到相应疑似的候选原因集C′及其对应的疑似故障源集F′。

步骤2:对于每个疑似故障源,逐一计算其所有候选原因发生的可信度。计算方法如下:

1)对于故障候选原因ci,计算其所有可达路径的可信度。如前所述,候选原因的一条可达路径一般由(ci,aj),(aj,xk)2个可达子路径组成(个别除外)。根据保护原理,一个元件故障必然会引发保护动作,保护动作又引发断路器跳闸,这2个环节缺一不可,而继电保护中故障引发保护动作的这个环节更重要,因此,给这2条可达子路径分别赋予不同的可信度贡献率PC1,PC2(分别为0.54,0.46),而不采用文献[7]将各子路径可信度连乘的做法。

该可达路径的可信度=PC1P(aj)PCA(ci,aj)+PC2P(xk)PAX(aj,xk)。

2)对于故障候选原因ci,综合其所有可达路径的可信度,如果各可达路径都是“与”关系(或是有条件“与”关系),就采用平均法获得该候选原因的原始可信度。

3)将该故障源各候选原因的原始可信度乘以引发概率PFC(Fi,cj),作为该候选原因的可信度。

步骤3:对于某疑似故障源,选取其所有候选原因的可信度中的最大值,如果它超过预设的评估阈值(如0.55),就认为该元件发生故障。

步骤4:对所有疑似故障源,重复步骤2和步骤3进行处理。

3 实际变电站报警评估模型的构造

本文以某实际变电站为例构造报警评估模型,该变电站主接线结构如图2所示。

10 kV左侧各线路、母线B21、变压器T1的评估分层因果规则网分别如图3～图5所示。母线B21各候选原因的引发概率分别为0.99,0.97,0.95;变压器T1各候选原因的引发概率分别为0.99,0.97,0.95,0.93。

图4中,母线B21的候选原因cB21_1表示母线B21故障、母差保护动作且各断路器正常;cB21_2表示母线B21故障、母差保护拒动且各断路器正常,依靠变压器T1的10 kV侧后备保护动作和线路211～214对侧(受端R)的各后备保护动作,因此需要通过广域通信获得各线路对侧的保护动作和断路器动作信息;cB21_3表示母线B21故障、母差保护动作、断路器201拒动、断路器211拒动(或其他1路或多路馈线的断路器拒动),其保护包括母差主保护、变压器T1的110 kV侧后备保护、线路211对侧的后备保护。cB21_3对应的第3个保护(线路211对侧的后备保护或其他线路212～214对侧的后备保护)要参与评估有一定的条件限制:①检测到断路器211拒动;②能够通过广域通信获得线路对侧后备保护动作和断路器动作信息,因此,cB21_3对应的3个保护之间是有条件“与”关系。通过这种有条件的规则定义,可有效地减少断路器201与各线路上断路器拒动的组合个数,从而减少母线B21的候选原因个数。

图5中,变压器T1的候选原因cT1_3表示变压器T1故障、变压器主差保护动作、断路器201拒动、断路器211拒动(或其他1路或多路馈线的断路器拒动),其各保护报警之间也是有条件“与”关系。cT1_4与之类似,图中未画出。

下面给出线路L211故障时6种候选原因中各保护分别正常动作时其可信度的计算过程。c211_1的可达路径为ML211),(AML211,X211),其余候选原因对应可达路径见图3。

则有

4 算例验证

4.1 单重故障伴随保护和断路器拒动及信息缺失

图2中10 kV侧线路L211故障(f1),报警为:①检测到1号主变10 kV侧后备Ⅱ段保护设备通信故障;②收到线路L211主保护动作;③1号主变后备过电流Ⅰ段保护动作;④断路器231跳闸;⑤断路器201跳闸。其分层因果规则网的报警赋值如图3所示。线路L211各候选原因的可信度计算如下:

对线路L211的6个候选原因的可信度排序,候选原因c211_4的可信度最大,并超过评估阈值0.55。

同理,计算线路L212各候选原因的可信度:u212_1=0.049 0,u212_2=0.048 0,u212_3=0.047 0,u212_4=0.444 0,u212_5=0.434 5,u212_6=0.424 9,它们均未超过评估阈值。其他线路类似处理。

最后判定线路L211故障,原因为c211_4,结果正确。可看到线路L211后备保护a $_{L 211}^{s 1}$ 拒动、断路器x211拒动,1号主变10 kV侧后备保护a $_{Τ 1_10}^{s 2}$ 实际动作并跳开了断路器201,但其因通信故障而缺失,共3位信息出错,但仍作出了正确的判断。

候选原因c211_1中线路主保护动作,虽然断路器211拒动,但其可信度为0.525 3,仍具有一定的可信性,这与保护原理相符合。若采用各段子路径可信度连乘方法,则其可信度会很低。这说明了对一条路径2阶段赋予不同的可信度贡献率较合适。

如果此时线路L212后备保护a $_{L 212}^{s 1}$ 误动、断路器x212未动作,则u212_5=0.704 7,就会误判线路L212故障。此时需检查断路器x212是否存在跳闸失灵,如果未失灵,则a $_{L 212}^{s 1}$ 有误报的嫌疑。在保护误动时该评估有一定的问题。当元件的可信度位于0.55～0.80之间时,对评估情况需要再慎重地分析。

4.2双重故障伴随2个断路器拒动

变压器T1和母线B21同时故障(见图2的f2,f3),并且断路器201,211拒动。报警依次为:①T1差动主保护动作;②断路器111跳闸;③断路器131跳闸;④断路器301跳闸;⑤B21主保护动作;⑥断路器212,213,214,231依次跳闸。

先计算母线B21的各候选原因的可信度如下:

对于cB21_2,如果只考虑保护a $_{Τ 1_10}^{s}$ ,则uB21_2=0.525 3,如果能获得线路L211对侧的后备保护和断路器动作,即考虑a $_{L 211_R}^{s}$ ,则uB21_2=0.718 8。

对于cB21_3,它包括2条基本子路径(cB21_3,a $_{B 21}^{m}$ ),(cB21_3,a $_{Τ 1_110}^{s}$ )和1条有条件子路径(cB21_3,a $_{L 211_R}^{s}$ ),分别记为pB31,pB32,pB33。uB31=0.793 7,uB32=0.54×0.95×0.99+0.46×(0.95×0.99+0.95×0.99)/2=0.940 5。

如果只考虑子路径pB31和pB32,则uB21_3=(0.793 7+0.940 5)/2×0.95=0.823 7。

如果能获得线路L211对侧的后备保护和断路器动作,即考虑子路径pB33,则uB33=0.54×0.95×0.99+0.46×0.95×0.99=0.940 5,则uB21_3=(0.793 7+0.940 5+0.940 5)/3×0.95=0.847 0。

候选原因cB21_3的可信度最大,因此判定母线B21故障,原因为cB21_3,结果正确。

计算变压器T1的各候选原因可信度如下:

cT1_2有3条子路径,它们的可信度分别为0.54×0.95×0.99+0.46×(0.95×0.99+0.95×0.99)/2=0.940 5;0.54×0.95×0.99+0.46×0.05×0.99=0.530 6;0.54×0.95×0.99+0.46×0.95×0.99=0.940 5。

uT1_2=(0.940 5+0.530 6+0.940 5)/3×0.97=0.779 8

对于cT1_3,uT1_3=0.796 2,如果考虑断路器201拒动后线路211对侧的后备保护动作和断路器跳闸动作等广域信息,则uT1_3=0.871 0,uT1_4=0.438 9。

如果没有广域通信,候选原因cT1_1的可信度最大;否则,cT1_3的可信度最大。2种候选原因都能判定变压器T1故障、断路器201拒动,结果正确。

从算例2的评估结果可看到,如果具备广域通信的条件,就能利用线路对侧的广域信息来增强判断变压器和母线故障的可信度。

5 结语

本文提出了一种基于分层因果规则网的变电站报警评估方法。根据电网与变电站结构、保护原理,构建4层结构的报警评估因果规则网,其物理含义明确。对同一故障不同候选原因的发生程度有模糊性区别,对候选原因的一条可达路径2阶段赋予不同的贡献度,采用平均法获得同一故障各候选原因可信度的融合结果,计算量较小。对于变压器和母线,增加广域通信更有利于报警评估。算例表明,该评估方法具有较高的准确性和一定的容错性,但对于误报情况,方法的容错性有待进一步的提高。

摘要：以在变电站快速评估保护动作、断路器动作等报警情况寻求故障原因为目标,根据电网与变电站结构、保护原理,为站内各元件建立4层结构的分层因果规则推理网,包括故障源层、故障候选原因层、保护动作层、断路器动作层。建立各层之间的因果关系,为一个故障的各候选原因赋予不同的引发概率。将故障候选原因的一条可达路径分为候选原因到保护动作、保护动作到断路器跳闸两阶段,给它们赋予不同的可信度贡献率。当故障发生时,计算某候选原因各条可达路径的可信度,采用平均法获得其综合可信度,对疑似故障源各候选原因的可信度进行排序和评估,以获得故障元件及其原因。该评估方法计算量小,能快速准确地找到可信度高的故障元件及其原因。通过多个算例验证了该方法的有效性和容错性。

关键词：变电站,故障诊断,报警评估,故障信息处理,分层因果规则网,可信度

参考文献

[1]LEE H J,AHN B S,PARK Y M.A fault diagnosis expertsystem for distribution substations[J].IEEE Trans on PowerDelivery,2000,15(1):92-97.

[2]刘青松.基于正反向推理的电力系统故障诊断专家系统[J].电网技术,1999,23(9):66-71.LIU Qingsong.Expert system of power system fault diagnosisbased on forward and backward reasoning[J].Power SystemTechnology,1999,23(9):66-71

[3]CHEN W H,LIU C W,TSAI M S.On-line fault diagnosis ofdistribution substations using hybrid cause-effect network andfuzzy rule-based method[J].IEEE Trans on Power Delivery,2000,15(2):710-717.

[4]韦刘红,郭文金,文福拴,等.数字化变电站在线智能警报处理系统[J].电力系统自动化,2010,34(18):39-45.WEI Liuhong,GUO Wenjin,WEN Fushuan,et al.An on-lineintelligent alarm processing system for digital substations[J].Automation of Electric Power Systems,2010,34(18):39-45.

[5]BINH P T,TUYEN N D.Fault diagnosis of power systemusing neural Petri net and fuzzy neural Petri net[J].IEEETrans on Systems,Man,and Cybernetics,2006,10(12):1-5.

[6]孙静,秦世引,宋永华.模糊Petri网在电力系统故障诊断中的应用[J].中国电机工程学报,2004,24(9):74-79.SUN Jing,QIN Shiyin,SONG Yonghua.Fuzzy Petri nets andits application in the fault diagnosis of electric power systems[J].Proceedings of the CSEE,2004,24(9):74-79

[7]庆胜,邬学礼.模糊Petri网在FMS故障诊断中的应用研究[J].计算机研究与发展,1998,35(4):358-361.QING Sheng,WU Xueli.Research on the application of fuzzyPetri nets in FMS fault diagnosis[J].Computer Research&Development,1998,35(4):358-361.

[8]文福拴,韩祯祥.基于覆盖集理论和Tabu搜索方法的电力系统警报处理[J].电力系统自动化,1997,21(2):18-23.WEN Fushuan,HAN Zhenxiang.A new approach to alarmprocessing in power systems based upon the set covering theoryand Tabu search method[J].Automation of Electric PowerSystems,1997,21(2):18-23.

[9]张智晟,孙雅明,张世英.基于蚁群算法的容错RBF-NN诊断模型性能评估[J].电力系统及其自动化学报,2007,19(2):44-48.ZHANG Zhisheng,SUN Yaming,ZHANG Shiying.Assessment on performance of fault diagnosis model based onfault-tolerance RBF-NN using ant colony algorithm[J].Proceedings of the CSU-EPSA,2007,19(2):44-48.

[10]吴欣,郭创新,曹一家.基于贝叶斯网络及信息时序属性的电力系统故障诊断方法[J].中国电机工程学报,2005,25(13):14-18.WU Xin,GUO Chuangxin,CAO Yijia.A new fault diagnosisapproach of power system based on Bayesian network andtemporal order information[J].Proceedings of the CSEE,2005,25(13):14-18.

可信电子文件与电子文件可信管理篇8

关键词：电子文件,可信管理,审计认证

电子文件本质上是档案,只是载体形式不同于传统档案,因此其本质属性必然也是原始记录性。从电子文件内容上看,是形成者在社会活动中直接形成的,原始地记录和反映着形成者从事某一社会实践活动的实际内容与客观过程;从电子文件形式看,是其形成者当时当事使用的原始文件的直接转化物,原样地保留着形成者当时的工作痕迹以及当时的照片、录音录像等,是形成者的原稿、原作、原声、原貌。因此,电子文件同传统档案一样,都是历史活动的最真实可信的原始记录,是后人查考历史事实的最确凿可靠的原始凭证。

从电子文件出现直到现在,虽然其研究取得了很多进展,得到了社会的广泛认可,然而还有许多档案人员甚至包括一些档案专家在内对电子文件依然不认可。问题的根本在于电子文件的真实性是否得到了保障,档案管理人员是否能提供电子文件真实的充足证明。

一、可信电子文件

可信的电子文件是指真实性、完整性与长期可用性得到确认的电子文件[1]。这里使用了“确认”一词,而非常见的“保障”。二者的区别在于“确认”不仅表明电子文件真实性得到了保障,还能对其真实性提供证明,从而满足社会对电子文件真实性要求的主观认知,电子文件是可信的,也就具有了法律效力。因此,可信电子文件是真实性、完整性、长期可用性得到保障并能进行真实性证明的电子文件。

二、电子文件可信管理工作内容

1. 档案管理工作的本质。根据档案的本质属性———原始记录性,可以明确档案管理的本质是保障其真实性、完整性,维护其长期可用性,档案管理的所有作用工作都应该围绕这个“保障”、“维护”来开展。只有真实性得到了保障,长期可用性才有意义。离开了真实性,长期可用性就是无源之水、无本之木。因此,档案管理的首要任务是保障档案的真实性并证明其真实性,其次是维护其完整性与长期可用性。

首先对传统档案管理进行简单分析。传统档案管理工作主要内容大体为八项:收集、鉴定、整理、保管、检索、提供利用、统计、编研。这八项内容从理论上划分为两个基本方面:即档案实体管理与档案信息内容的开发利用[2]。

这两大方面主要考虑的是档案的完整、齐全与可用性,基本没有涉及档案的真实性问题。内容信息的开发利用自不必说,实体管理依然没有考虑档案的真实属性问题。如收集工作主要是保证归档和进馆档案的齐全完整,维护全宗和全宗群的相对完整性。保管工作是指对已经整理好并排架入库存放的档案进行日常维护,一是维护档案实体的管理秩序,使档案在库房存放与使用时始终有序;二是保护档案实体不受损害,尽量延长档案实体的“自然寿命”。前者实际上是为了下次的查找利用方便,后者则是为了档案的长期可用。鉴定工作是指对档案价值的鉴定判别,以此来决定档案的存毁。

整理工作基本任务是建立档案实体的管理秩序,使档案实体有序化、条理化,最终目的是方便查找、方便利用,整理中的逻辑方法或历史方法均指的是如何实施实体档案有序化管理,即库房中档案的排列问题,实质上是档案分类方案的确定问题。可以说,整理工作关注的是实体的排列,而非档案信息的真实性问题。实际上,由于信息与载体的分离以及计算机强大的处理能力,电子文件可以同时有多个分类方案,当然,历史方法的分类方案应是最基本的方案,但完全可以同时具有逻辑方法的分类方案。从这个意义上,电子文件实体排列的重要性急剧降低,也就是说,其整理工作主要是制定分类方案。

从以上分析可以看出,传统档案工作关注档案的完整性与可用性,但基本没有考虑档案的最本质属性——真实性。这应该不是档案学者的疏忽。由于载体与信息不可分离的特性造成了纸质档案真实性不言自明。很可能正是这种不言自明、所见即所得的明显感觉, 使得档案学者没有考虑纸质档案的真实性管理问题,纸质档案管理工作也就忽略了真实性保障与真实性证明方面。但由于在档案工作没有做到真实性保障与真实性证明的同时,社会却依然认可了纸质档案的真实性,这种忽略并没有影响纸质档案的法律效力。因此传统档案管理可以不涉及真实性保障与证明工作,从管理理论到实践几乎都没有这方面的思考与行动。但电子文件呢?信息与载体分离的电子文件其管理工作是否还可以不考虑真实性问题呢?电子文件管理还按照传统档案管理的工作内容来进行就能满足需求吗?答案是否定的。

2.电子文件可信管理。

(1)电子文件管理的常规性工作。电子文件的本质是档案,必然遵循档案管理的规律。其工作也应该包含档案管理的八项内容,但有一定的变化。

收集,同纸质档案收集工作一样,其基本任务是将电子文件集中到档案机构中。不一样的是,后者除了收集电子文件本身,还要收集其元数据,这些元数据对以后的长期保存有着重要作用。考虑到电子文件对软硬件的依赖性,常用“捕获”一词来替代“收集”,以表明元数据收集、实时归档等方面的主动性与必要性。该项工作对电子文件全程管理具有重要意义,也是本课题重点分析的内容之一。

整理工作的重心不再是实体的排列上架,而是多种分类方案的制定与相关元数据的补充,并将这多种分类方案固化在管理系统中。

与传统档案保管工作极为重视载体不同,电子文件保管工作则将实体与信息本身均作为其管理对象,即不仅对载体进行保管、保护,更重要的是对信息内容进行保管、保护。实际上由于载体的容灾备份与可以在其寿命终结前将信息迁移到新的载体上,载体保管的重要性在电子文件长期保存中急剧降低。

鉴定工作除了对电子文件价值进行鉴定判别外,还需要实施技术鉴定,即“双重鉴定”。对于检索工作而言,最重要的是进行著录、标引工作。需要注意的是,该工作需对元数据与传统档案著录项进行区别、区分。

(2)电子文件可信管理必须包含的两个内容。除了传统档案工作的八环节外,电子文件管理还应包括两方面的工作:一是保障电子文件的自然属性——真实性、完整性与长期可用性,二是证明其真实性。相对于纸质档案管理工作而言,这两方面工作是全新的,也是至为关键的。

1对电子文件实施全生命周期管理。电子文件从生成开始,除了文件属性,还具有自己特有的文件类型、格式、生成环境等技术属性;在流转过程中,可能还会有数字签名、电子签章、流转的流程记录等;转化为档案后,可能还有保存位置、存储介质等属性;在长期保存过程中,还会有格式迁移、介质迁移等。这些因素都会对电子文件的真实性、完整性与长期可用性产生影响,必须用全生命周期管理来解决这三性的保障问题。

前述常规工作实际上就是全生命周期管理中的工作环节与工作内容。除了这些常规工作,至少还应有文件捕获、格式管理、元数据管理(非著录工作)、跟踪审计等和可信保障密切相关的工作。可信的收集与归档、可信OAIS电子文件库、可信保存流程等是电子文件生命周期管理中的关键环节与关键问题。

2对电子文件管理实施审计认证。前述分析,电子文件具有法律效力,要证明其真实性,就要对电子文件的真实性进行确认,常见方法是对电子文件管理过程进行审计跟踪,施加数字签名、水印、电子签章等技术手段,进行认证。电子文件管理依赖于软硬件系统,数字签名、水印、电子签章以及审计跟踪的信息也全部保存在电子文件管理系统中,为了确保这些信息能够产生并能被正确保存,电子文件管理系统就必须满足相应标准。证明系统满足管理标准, 首先需要有认证机构(可以是政府机构,最好是中立的第三方)对系统进行认证。如果使用了未经认证的系统,很有可能满足不了对电子文件的审计跟踪,这种系统产生与保管的电子文件其真实性就难以得到证明。只有满足了认证的系统,才可以实现对电子文件真实性的管理保障。

档案管理中需要档案管理人员大量的智力劳动,因此电子文件管理系统需要人机交互,不能完全自动运行。人机交互的程度、不同档案人员的操作能力不同,系统运行的结果存在不一样的可能。因此,满足认证的系统是电子文件真实性的必要条件,但不是充分条件,还需要对电子文件管理过程进行认证,也就是对电子文件管理系统运行进行认证。

最后一个认证是保管机构的文件保管能力认证,包括管理人员的职业能力、规章制度、软硬件条件、管理规范、运行维护等的投入资金等等。只有经过认证的机构才有资质、有能力管理电子文件。

【可信评估】推荐阅读：

可信认证05-23

可信计算09-02

可信环境09-22

可信方案11-27

可信管理01-09

可信网络空间05-23

可信移动平台06-14

可信网络连接07-22

可信身份识别08-22

虚拟可信平台09-18