设计出易产生电磁等干扰的节点集中布局,必然容易造成传输错误;网络容量配置不合理,如网络流量大的地方容量分配不够,则必然引起拥塞,造成传输延时和/或传输丢失。
控制规则是指根据感知单元对环境和系统状态的感知结果,决定系统内部被控对象的运行方式,以实现系统功能的预先制定的规则。与网络结构相同,控制规则设计不合理,也可能蕴含必然的缺陷。如美国西部联合电网大停电,由于控制规则不合理,由单一元件跳闸逐步导致潮流瞬时转移、电压大幅波动、设备负载越限,进而发生一系列故障,最终发生大规模停电事故,系统崩溃。
1.2 外因
外因是指来自装备体系外部的因素,包括环境条件、运行模式和外部攻击,它们通过作用在系统上导致硬件或软件故障,进而影响系统可靠性。
环境条件包括自然环境和社会环境:自然环境条件是指系统在使用时的物理、化学和生物等条件,例如气候环境条件、生物环境条件、化学、机械等,自然环境不可避免地会对系统内的硬件产品产生影响,造成如磨损、腐蚀、老化等故障;社会环境包括政治环境、经济环境和法制环境等,对装备体系相关人员和理论、技术产生影响,引起系统演化,容易导致故障的发生。
运行模式是指装备体系为完成不同任务,或使系统安全、经济、合理运行,需要经常变更系统的运行方式,由此相应地会引起系统结构或参数的变化。
外部攻击是指来自系统外部的人或物的蓄意攻击,尤其是装备体系对于网络的依赖,使得系统面临网络的分布式拒绝服务攻击、蠕虫病毒、对Internet域名系统(DNS)的攻击和对路由器攻击或利用路由器的攻击等多种威胁,不但影响网络系统本身,还将形成链式反应,导致更加严重的后果。
2 装备体系可靠性测评框架
因此,综合考虑影响装备体系可靠性的因素,内因作为测评对象,外因作为测评的外部条件,该文提出装备体系可靠性测评技术的体系结构(如图1所示)。
装备体系可靠性测评的时机分为准入阶段和运行阶段:准入阶段是指为度量装备体系各产品投入使用前的可靠性,开展测试、检查、试验与评价活动,以验证和评价其是否符合规定要求;运行阶段是指在装备体系运行使用的过程中,各产品参数会随外部和内部条件发生变化,由于能够反映产品在实际使用环境和维修条件下的情况,运行阶段的测评比之试验数据更能代表产品的表现,通过监控、评估等手段评价系统实时的可靠性,为故障检测、定位和快速恢复提供支持。
为使装备体系正常实现功能、安全运行,应保证系统硬件可靠、软件可信、信息安全、网络连通可靠、控制规则完备,同时,在系统出现故障的情况下,能够快速进行故障诊断、故障定位、故障恢复,避免系统崩溃或造成更严重的后果。因此,测评内容可分为以下3项。
(1)对待测系统的组成结构、功能性能、控制规则、运行模式、使用环境和外部攻击情况进行分析,确定测评的方式和目标。
(2)对组成系统的硬件可靠性、软件可信性和网络可靠性进行测评,对整个系统的信息安全、弹性和脆性进行测评。
(3)根据各分立指标的测评结果,对系统可靠性进行综合评估。
硬件是具有特定形状的可分离的有形产品,是装备体系所有功能实现的基础。硬件可靠性水平低,对整个系统的各种特性都有影响。
软件是装备体系的重要组成部分,计算、决策等主要功能都由软件实现。装备体系属于软件密集型系统,即系统中的软件在系统研制费用、研制时间或系统功能特性等一个或多个方面占主导地位。随着软件的规模增大,软件缺陷引发的产品故障,甚至灾难性事故也越来越严重。因此在保证硬件可靠的基础上,还应保证软件的可信运行。对软件进行可信性测评,找出软件中的缺陷错误,并评价其可信性是否能够支持CPS的可靠安全运行。
网络作为装备体系的一个重要组成部分,是实现资源共享的基础,负责将每个具备网络模块的单元相互连接,以实现数据交换、资源共享和互操作。装备体系网络从无线传感网络技术脱胎而来,和无线传感网络不同的是其每一个物理部件都能无缝联入网络,能够实现动态重组,因而其网络能否长期稳定可靠对整个装备体系网络来说举足轻重。合理地评价和设计装备体系网络能够大幅提高装备体系的生存性和可靠性,降低由于网络故障导致的重大甚至是灾难性的后果。
此外,随着信息系统与控制系统的不断融合,装备体系更容易受到来自网络的攻击,病毒、蠕虫、木马等传统网络威胁成为体系面临的重要威胁。以关键基础设施为例,据权威工业安全事件信息库(Repository of industrial security Incidents,RISI)统计,2012年(截至10月),全球已发生200余起针对网络工业控制系统的攻击事件,超过了过去10年安全事件的总和。而2010年Stuxnet (“震网”)病毒攻击伊朗布什尔核电站造成20%的离心机失灵甚至是完全报废的安全事件,更标志着针对CPS的网络攻击从传统“软攻击”升级为直接攻击物理设备的“硬摧毁”[15]。因此,为帮助系统建立信息安全防护体系,评价系统安全性指标,需要对装备体系进行信息安全测评。
作为一个综合计算、网络和物理环境的多维复杂系统,装备体系的故障呈现出新的复杂特性和特殊机理以及复杂的故障行为。“鲁棒但又脆弱”是复杂系统的最重要和最基本的特征之一,这一特征同样也适用于信息物理系统。鲁棒是指在设计装备体系的过程中,人们考虑到了各种可能的干扰因素,系统在这些干扰因素的影响下,按照预先设定的控制规则,仍能够通过自组织等方式降低或避免事故的发生,防止系统崩溃;脆弱则是指存在个别意想不到的干扰,使得系統对这些干扰可能是极端脆弱的,小的扰动就可能导致系统崩溃甚至灾难性后果。前者表现为系统的弹性,为保证系统在出现故障的情况下仍然能够可靠安全运行,需要设置一定的控制规则,在系统故障时做出响应;后者则是由于装备体系具有脆性,指系统某一部分受到内、外因素的扰动或攻击产生崩溃,由此使得其他部分或整个系统受到直接或间接的影响,最终导致整个系统的崩溃,宏观上的表现是系统从一种有序状态(正常工作状态)转换到另一种相对无序的状态(崩溃状态)。
在对装备体系的硬件、软件、网络结构、弹性和脆性的特征分别测试后,可以从不同方面衡量系统的可靠性,但无法评价系统整体的状态,在运行过程中,实时获取整个系统的可靠性状态对故障响应、系统改进和风险预测具有重要的意义。因此,需要对装备体系可靠性进行综合评估,将各个方面的数据结合起来形成统一认识。
3 结语
该文基于信息物理系统的特征,对影响装备体系可靠性的内、外因素进行了详细分析,考虑这些因素提出了进行装备体系可靠性测试与评价的框架,通过对体系的组成结构、功能性能、控制规则、运行模式、使用环境和外部攻击进行分析,综合考虑硬件可靠性、软件可信性、网络结构及性能可靠性、信息安全、系统弹性和脆性,然后进行可靠性综合评估。这一框架可以为装备体系实施完整、动态和连续的测评提供有效的支持,并为建立装备体系测评系统和设备做了技术准备。
参考文献
[1] Lee, Seshia.Cyber Physical System[EB/OL].http://cyberphysicalsystems.org/Cyber-Physical-Systems.html.
[2] Lee E A.Cyber physical systems: Design challenges: Object Oriented Real-Time Distributed Computing (ISORC)[A].IEEE International Symposium on[C].2008.
[3] Cortes L A, Eles P, Peng Z.Modeling and formal verification of embedded systems based on a Petri net representation[J].Journal of Systems Architecture, 2003(49):571-598.
[4] Jia Y, Zhang Z, Xie S.Modeling and verification of interactive behavior for cyber-physical systems: Software Engineering and Service Science (ICSESS)[A].IEEE 2nd International Conference on[C].2011.
[5] Wang S, Ayoub A, Sokolsky O, et al.Runtime Verification of Traces under Recording Uncertainty[M].Springer Berlin Heidelberg, 2012.
[6] Lin J, Sedigh S, Miller A.A General Framework for Quantitative Modeling of Dependability in Cyber-Physical Systems: A Proposal for Doctoral Research.[A].Computer Software and Applications Conference[C].Annual IEEE International,2009:668-671.
[7] Huang J, Bastani F, Yen I L, et al.Extending service model to build an effective service composition framework for cyber-physical systems: Service-Oriented Computing and Applications (SOCA)[A].IEEE International Conference on[C].2009.
[8] 刘厦,王宇英,周兴社,等.面向CPS系统仿真的建模方法研究与设计[J].计算机科学,2012(39):32-35.
[9] Ten C, Liu C, Govindarasu M.Vulnerability Assessment of Cybersecurity for SCADA Systems Using Attack Trees[A].Power Engineering Society General Meeting[C].2007.
[10] Zhang Y, Wang L, Xiang Y, et al.Power System Reliability Evaluation With SCADA Cybersecurity Considerations[A].IEEE Transactions on Smart Griad[C].2015.
[11] Chen T M, Sanchez-Aarnoutse J C, Buford J.Petri Net Modeling Of Cyber-Physical Attacks On Smart Grid[J]. Smart Grid, IEEE Transactions on, 2011,2(4):741-749.
[12] Mahimkar A, Shmatikov V.Game-based analysis of denial-of-service prevention protocols[A]. In IEEE Computer Security Foundations Workshop[C].2005:287-301.
[13] Chittester Y Y H C, Chittester C G.A Roadmap for Quantifying the Efficacy of Risk Management of Information Security and Interdependent SCADA Systems[J].Journal of Homeland Security and Emergency Management,2005(2).
[14] 黎作鹏,张天驰,张菁.信息物理融合系统(CPS)研究综述[J].计算机科学,2011,38(9):25-31.
[15] Karnouskos S.Stuxnet worm impact on industrial cyber-physical system security[A].IECON 2011 - 37th Annual Conference on IEEE Industrial Electronics Society[C].2011.
①作者簡介:李梓(1990—),女,汉族,河北廊坊人,博士,工程师,研究方向:综合保障,复杂系统可靠性。