CN103309342A - 一种针对工业控制系统的防危性验证方案 - Google Patents

Abstract

本发明公开了一种针对工控系统防危性的验证方法。防危性由风险来量化，风险被定义为：风险＝失效概率*事故代价。一个工控系统要建立防危机制，那么就必须有用于失效概率、事故代价级别和风险级别的标准。我们参照工业标准，制定了工控系统的防危级别。本发明公开的防危性验证方法，首先要确定其防危性指标，采用(p_a，c)表示软件的防危性指标；然后确定工控系统的关键运行，利用防危性分析对可能导致灾难性事故的危险进行分析识别，再利用故障树分析得到安全关键运行，采用重要性取样原理增加关键运行的概率；根据防危性指标可以得出验证所需的测试用例量；最后针对每个关键运行设计测试用例。

Description

一种针对工业控制系统的防危性验证方案

技术领域

本发明涉及工业控制系统的防危性研究，是一种针对工业控制系统的防危性能的测试方法。

背景技术

工业控制系统是由各种自动化控制组件以及对实时数据进行采集、监测的过程控制组件，共同构成的确保工业基础设施自动化运行、过程控制与监控的业务流程管控系统。其核心组件包括数据采集与监控系统(SCADA)、分布式控制系统(DCS)、可编程逻辑控制器(PLC)、远程终端(RTU)、智能电子设备(IED)，以及确保各组件通信的接口技术。

目前工业控制系统广泛应用于我国电力、水利、污水处理、石油天然气、化工、交通运输、制药以及大型制造行业，其中超过80％的涉及国计民生的关键基础设施依靠工业控制系统来实现自动化作业，工业控制系统已是国家安全战略的重要组成部分。

随着需求的不断增加，工控系统的规模和设计复杂性也急剧提高，导致系统的安全性降低，系统的缺陷可能导致软件失效，进而造成风险，目前工控系统更多地关注可靠性问题，对软件的防危性关注不够。如何精确或正确评估软件的防危性问题仍是一项未解决且极富实践性的工作。特别是如何通过统计测试的方法予以验证，是防危性验证亟待解决的问题。

目前传统的可靠性增长模型RGM(Reliability Grow Models)，使用当前失效时间内观测到的软件失效趋势来推测软件未来失效的可能性。然而对于软件失效率极小的安全关键软件，使用传统的RGM来测试高防危性需求的安全关键软件，将需要大量的测试时间，除此，基于RGM的测试方法使用的用例数很大，使用RGM来量化安全关键软件的防危性是行不通的。

发明内容

首先，我们定义了工业控制系统防危性的量化标准。

防危性由风险来量化，风险被定义为：风险＝失效概率*事故代价。风险级别被用于确定系统失效的风险程度，主要根据对人类生命及系统外界环境的危害程度来确定的。一个工控系统要建立防危机制，那么就必须有用于失效概率、事故代价级别和风险级别的标准。我们参照工业标准，大体制定了工控系统的防危级别。

为了确定系统的防危级别，首先要制定风险的级别。如表所示，在工控系统中，把风险分为A、B、C、D、E五个级别，其中A级具有最高风险，E级具有最低风险。

A  无法容忍的

B  不期望有的风险，而且只有当风险降低行不通时才可以接受

C  项目防危委员认可就可以容忍

D  所有条件都能容忍

E  一般项目审查认可就可以容忍

对应的防危级别也定义为五个级别：I、II、III、IV、V。I级具有最低的防危能力，V级具有最高的防危能力。

I级：系统关键运行的风险评估至少有一个属于级别A

II级：系统关键运行的风险评估属于级别B、C、D、E，且至少有一个运行属于级别B

III级：系统关键运行的风险评估属于级别C、D、E，且至少有一个运行属于级别C

IV级：系统关键运行的风险评估属于级别D、E，且至少有一个运行属于级别D

V级：系统关键运行的风险评估都属于级别E

风险是由失效概率和事故代价两个共同决定的。我们同时定义了失效概率的级别和事故级别的级别，同时表给出了二者组合的意义。

意外事件的频率范围：

频繁：1000*10^-6，可能是连续发生

可能：100*10^-6，可能是经常发生

偶尔：1*10^-6，可能是发生几次

极少：0.01*10^-6，可能是有时候发生

不可能：0.0001*10^-6，不可能，但在意外情况下可能发生

难以置信：0.000001*10^-6，事情根本不可能发生

事故代价分级：

灾难性：多人死亡或环境遭遇严重破坏

危险的：一人死亡，和/或多人严重受伤或严重环境破坏

重大的：一人严重受伤和/或多人轻伤或轻微环境破坏

次要的：最多一人轻伤或轻微环境破坏

可以忽略的：没有影响

风险与失效概率和事故代价的对应关系：

事故	灾难性的	危险的	重大的	次要的	可以忽略的
						频繁	A	A	B	D	E
可能	A	A	B	E	E
						偶尔	A	B	C	E	E
极少	A	B	C	E	E
						不可能	B	C	D	E	E
难以置信	C	D	D	E	E

本发明的主要目的是提供一种针对工控系统防危性的验证方法，在加快了软件的测试时间和减少了测试用例数量的同时，保证了验证的精确度，能有效的评价工控软件是否达到系统要求的防危性。

为了达到上述目的，该方法在设计上，主要有以下几个机制：

防危性指标：防危性评测指标包括两项：一是用防危性参数表示的软件防危性最低可接受值(软件事故率、平均软件事故间隔时间、软件防危可靠度、软件出事率等)；另一个是对这一防危性最低可接受值得可信性水平。采用(pa，c)表示软件的防危性指标，它的意义是随机运行软件一次导致灾难性事故的概率不高于pa，且可信性水平不低于c。

验证研究方案：防危性测试不但要考虑失效的频率，还要兼顾失效的代价，因此，把重要性采样理论应用于防危性测试用例选择中，提出了基于加速险剖面的软件防危性验证测试方法。其流程图1

下面主要对软件的加速剖面的开发方法、测试用例量的决定以及测试用例的生成做详细描述。软件加速剖面开发：

首先，开发软件的运行剖面，得到软件每一个运行的相对发生频率。然后，利用防危性分析对可能导致灾难性事故的危险进行分析识别，得到危险剖面。然后，利用故障树分析得到原因事件剖面并分析得到安全关键运行。识别出安全关键运行后，结合软件的运行剖面就可以生成软件的安全运行剖面。

软件运行剖面标明了每个安全关键运行oc_i的发生概率pc_i。令P_o＝∑_ipc_j，则软件加速剖面中安全关键运行oc_i发生的概率为：

于是软件的加速剖面就完成了，软件加速剖面生成示意图2

从加速剖面的开发过程可知，依据加速剖面产生的测试用例集合与依据运行剖面产生测试用例集合

的测试加速因子为：

测试用例数量确定：

假设随机对系统进行一次测试，导致灾难性事故的概率为pa，每次测试都满足贝努利(Bernoulli)实验的统计独立性，则n次测试中，出现r次灾难性事故的概率服从二项分布。使用贝叶斯函数，系统导致灾难性事故的概率pa的密度函数可表示为：

其中B(a，b)为Beta函数，pa在软件的标准使用状态下的分布可以看作为Beta分布。

根据软件加速剖面，执行n个测试用例，导致r个失效，而依据软件运行剖面产生测试用例，需要n/Pc个测试用例，才能导致r个失效。那么，pa的后验分布为：

对于无先验知识情况，则a＝b＝1，上式可变为

当从加速剖面产生测试用例，不容忍灾难性事故的(r＝0)验证软件防危性指标(pa0，c)，所需要的测试用例量N为满足下式中n的最小整数：

可得测试用例量：

显然，基于加速剖面需要的测试用例量约为传统的RGM方式验证同样防危性指标所需用例量的Pc(Pc＜1)倍，所以，基于软件加速剖面进行软件防危性验证测试能显著的减少用例量。

测试用例产生：

根据运行剖面生成的测试用例是遵循运行剖面反映的软件统计使用方式，采取随机取样的方法生成，以完成对某一功能进行测试的、按顺序输入到被测软件的一系列输入变量的有序组合。基于运行剖面产生测试用例包括两个方面：一是依据运行剖面选择相应的运行；二是产生出发软件运行的相应的输入变量的具体取值。具体步骤如下：

1.将加速剖面中所有运行oci所对应的加速运行概率paci求前j项和，形成一个数列{SCi}，

其中j＝1，2，3，...，N；N为软件加速剖面的总个数。规定S0＝0，并有Si＝paci，Sj-Sj-1＝pacj。

2.任意产生一个随机数μ∈〔C，观察其落在哪个区间，若满足S_j-1＜μ，则该随机数与pacj这个概率值对应，而这时随机抽到的运行为ocj。

3.分析确定每一个运行对应的输入变量以及输入变量的取值区间。然后在输入区间随机抽取一个值作为该变量的输入。

这样，便基于软件加速剖面产生了一个具体的测试用例。不断地重复上述步骤，直到获得所要求的测试用例量。

验证测试执行：

在系统测试过程中，如果发现测试执行导致软件进入软件危险状态，就认为是软件失效，那么软件存在相应的防危缺陷，证明没有通过软件防危性验证，防危性不达标，拒绝该软件。如果所有的测试用例都经过测试执行，没有进入软件危险状态，则证明通过了软件防危性验证，软件防危性达标，接受该软件。

附图说明

图1为本发明的防危性验证测试流程图

图2为软件加速剖面生成示意图

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，下面举具体实施例，对本发明作进一步详细的说明。

根据Musa等人对软件运行剖面的理论来建立工控系统的运行剖面，把软件系统划分成有限个功能独立的模块，并假设在模块间的控制转移是服从马尔可夫过程的，系统运行最终会成功或者失效并进入终态。

工业控制系统(Industrial Control Systems，ICS)，是由各种自动化控制组件以及对实时数据进行采集、监测的过程控制组件，共同构成的确保工业基础设施自动化运行、过程控制与监控的业务流程管控系统。其核心组件包括数据采集与监控系统(SCADA)、分布式控制系统(DCS)、可编程逻辑控制器(PLC)、远程终端(RTU)、智能电子设备(IED)，以及确保各组件通信的接口技术。

其中数据采集与监控系统由于其承载着海量的实时数据，并可以通过篡改逻辑控制器控制指令而实现对目标控制系统的攻击，针对工业控制网络的定向攻击目前正成为敌对势力和网络犯罪集团实施渗透攫取利益的重点对象。稍有不慎就有可能对涉及国计民生的重要基础设施造成损害。

针对数据采集与监控系统进行分析，该系统主要包括：数据采集模块、设备控制模块、、报警处理模块、事故追忆和趋势分析模块。

数据采集模块：

数据采集模块是整个系统的基础部分，通过完成生产实时数据的采集和转化，为管理系统提供最基本的管控依据，为监控系统提供数据，包括数据采集、数据预处理、对数据进行高效的数据压缩和长期的历史存储，同时提供方便易用的客户端程序和通用的数据接口等功能模块。具体地按规定的扫描周期，连续地采集全部模拟量。扫描周期视模拟量参数重要性及变化速度而定。在1秒内，对全部的开关量进行一遍采集更新。对于重要的开关量变态，需要进行事件顺序记录，系统能够在采集过程中区分先后秩序，精度为1-5毫秒。

设备控制模块：

实现设备状况在线监测系统实现设备状态历史、实时数据趋势、震动分析等功能。在线监测系统主要由设备运行状态总览图、监测点历史趋势显示、震动数据分析(概率密度、功率谱、包络谱、倒谱、自相关、互相关、细化谱、轴心轨迹、时频域分析等)、监测点故障预报、监测点故障分析、历史现状数据对比，结果报告等功能群或子系统所组成。其设备管理子系统以设备的档案管理和备品备件管理为基础，建立标准化的设备基础信息结构，包括设备基本设置管理、设备档案管理、设备运行维修管理、设备台帐管理，设备报表管理、设备备件管理等内容。

报警处理模块：

根据观察到的情况(数据)来推断出某个对象机能失常(即故障)的原因。

对已经发生的故障或报警迅速找到故障设备。该判断不是简单通过单故障点判断产生，而是通过各类数学模型或分析案例，利用决策树、模糊逻辑、神经网络等多种方法对事故进行分析，以找出其最根本原因，并能提出应对措施。能够了解被诊断对象各组成部分的特性及其之间的关系，能够区分一种现象及其所掩盖的另一种现象。

在专业标准和可靠运行经验的基础上，依据运行规程和有关技术措施，建立各类工况下各类具体的参数定值和各种报警预警模型，根据内在报警故障传播逻辑分析产生的根本原因，提供正确控制运行的途径和目标，提供原因分析或可能后果并提供应对措施。充分利用PI实时数据库的强大功能，结合专业分级模型，建立报警预警体系，对系统安全运行进行全方位的指导。

事故追忆和趋势分析模块：

根据生产设备的运转情况和预测系统可能发生的事故。在发生事故时能快速地找到事故的原因，并找到恢复生产的最佳方法。实时历史数据的保留和系统操作情况记录变得非常重，要对所有模拟量输入信息，通过极值、变化率、相关比较等方法作正确性判断和误差检查，包括对信号故障的检查和处理，对不正确的或误差超限的信号进行记录。

经分析可得系统各个模块的运行剖面。

对每个模块可能导致的危险进行风险分析，以数据采集模块为例，如果数据库未能及时采集实时数据，比如锅炉温度过高的数据，可能导致锅炉爆炸，后果不堪设想，所以设置以数据采集模块所造成的危险权值为4，越严重的危险权值越大。通过故障分析可得造成这种风险的关键运行。

表1列举了数据采集与监控系统基于上述防危测试方法的关键运行操作数以及其他度量元。

表1基于关联风险剖面的防危性测试数据

通过上表的数据可知，在经过重要性采样处理之后，测试用例的数量大大减少了，但是对于防危性的测试结果不会产生太大的影响。因此大大提高了防危性测试的效率。，下面对数据进行分析处理，进一步得到防危性的量化结果，再根据风险级别分类表，得出此系统所达到的防危等级。

由表1得出的数据和公式， ${{\mathrm{pc}}_i}^{\′}=\frac{\mathrm{\ϵ}\left({\mathrm{harzard}}_i\right)}{{\mathrm{\Σ}}_i\mathrm{\ϵ}\left({\mathrm{harzard}}_i\right)}$

得到在关联风险剖面的情况下危险发生的概率、关键运行的风险转换概率和关键运行的概率。

表2各模块风险转换率以及关联运行概率

模块名称	风险转换率pci′	关键运行概率pci
			数据采集	0.32	0.0061
设备控制	0.32	0.0042
			报警处理	0.14	0.0017
事故追忆	0.14	0.0032
			趋势分析	0.07	0.0019

由表2得出的数据和公式

P_i(harzard_j)＝P_i′(harzard_j)Δ〔oc_i〕

$\mathrm{\Δ}\left({\mathrm{oc}}_i\right)=\frac{{\mathrm{pc}}_i}{{\mathrm{pc}}_i}$

可以算出放大率和危险发生的概率。

表3各模块放大率以及风险发生概率

模块名称	放大率Δ〔oci〕	风险发生概率Pi(harzardj)
			数据采集	0.0191	0.0857
设备控制	0.0131	0.0625
			报警处理	0.0121	0.125
事故追忆	0.0229	0.0909
			趋势分析	0.0271	0

根据公式： $\mathrm{Risk}\left({\mathrm{harzard}}_j\right)=\underset{i}{\mathrm{\Σ}}\mathrm{\ϵ}\left({\mathrm{harzard}}_i\right)\×P_i\left({\mathrm{harzard}}_j\right)$

可以得出每个模块产生的风险。

表4各模块的风险

模块名称	风险
		数据采集	0.0065
设备控制	0.0033
		报警处理	0.0030
事故追忆	0.0042
		趋势分析	0

再根据公式： ${\mathrm{Risk}}_{\mathrm{all}}\left({\mathrm{harzard}}_j\right)=\underset{j}{\mathrm{\Σ}}\mathrm{Risk}\left({\mathrm{harzard}}_j\right)$

得到数据采集与监控系统的风险是0.017，根据风险级别分类表，可得此系统的防危等级。

Claims (6)

1.一种针对工控系统防危性的验证方案，该方案包括：

工控系统风险等级评判标准：根据关键操作发生的概率和导致的危险来确定其达到的风险等级。

工控系统的防危性测试系统：采用重要性采样原理，对工控系统建立基于风险的关键运行剖面，基于关键运行选取测试用例，根据防危测试指标确定测试用例量，对系统进行防危性测试。通过统计数据分析，计算才出系统的事故风险，根据风险级别分类表，即可得到此系统的防危等级。

2.根据权利要求1所述的方法，其特征在于：

防危性由风险来量化，风险被定义为：风险＝失效概率*事故代价。风险级别被用于确定系统失效的风险程度，主要根据对人类生命及系统外界环境的危害程度来确定的。

为了确定系统的防危级别，首先要制定风险的级别。在工控系统中，把风险分为A、B、C、D、E五个级别，其中A级具有最高风险，E级具有最低风险。

A  无法容忍的

B  不期望有的风险，而且只有当风险降低行不通时才可以接受

C  项目防危委员认可就可以容忍

D  所有条件都能容忍

E  一般项目审查认可就可以容忍

防危级别也定义为五个级别：I、II、III、IV、V。I级具有最低的防危能力，v级具有最高的防危能力。

I级：系统关键运行的风险评估至少有一个属于级别A

II级：系统关键运行的风险评估属于级别B、C、D、E，且至少有一个运行属于级别B

III级：系统关键运行的风险评估属于级别C、D、E，且至少有一个运行属于级别C

IV级：系统关键运行的风险评估属于级别D、E，且至少有一个运行属于级别D

V级：系统关键运行的风险评估都属于级别E

风险是由失效概率和事故代价两个共同决定的。我们同时定义了失效概率的级别和事故级别的级别，同时表给出了二者组合的意义。

意外事件的频率范围：

频繁：1000*10^-6，可能是连续发生

可能：100*10^-6，可能是经常发生

偶尔：1*10^-6，可能是发生几次

极少：0.01*10^-6，可能是有时候发生

不可能：0.0001*10^-6，不可能，但在意外情况下可能发生

难以置信：0.000001*10^-6，事情根本不可能发生

事故代价分级：

灾难性：多人死亡或环境遭遇严重破坏

危险的：一人死亡，和/或多人严重受伤或严重环境破坏

重大的：一人严重受伤和/或多人轻伤或轻微环境破坏

次要的：最多一人轻伤或轻微环境破坏

可以忽略的：没有影响

风险与失效概率和事故代价的对应关系：

  事故  灾难性的   危险的   重大的   次要的   可以忽略的

  频繁  A   A   B   D   E   可能  A   A   B   E   E   偶尔  A   B   C   E   E   极少  A   B   C   E   E   不可能  B   C   D   E   E   难以置信  C   D   D   E   E

3.根据权利要求1所述的方法，其特征在于：

工控软件防危性评测指标包括两项：一是用防危性参数表示的软件防危性最低可接受值(软件事故率、平均软件事故间隔时间、软件防危可靠度、软件出事率等)；另一个是对这一防危性最低可接受值得可信性水平。采用(pa₀，c)表示软件的防危性指标，它的意义是随机运行软件一次导致灾难性事故的概率不高于pa₀，且可信性水平不低于c。

4.根据权利要求1所述的方法，其特征在于：

开发软件的运行剖面，得到软件每一个运行的相对发生频率。然后，利用防危性分析对可能导致灾难性事故的危险进行分析识别，得到危险剖面。然后，利用故障树分析得到原因事件剖面并分析得到安全关键运行。识别出安全关键运行后，结合软件的运行剖面就可以生成软件的安全运行剖面。

软件运行剖面标明了每个安全关键运行oc_i的发生概率pc_i。令P_c＝∑_ipc_i，则软件加速剖面中安全关键运行oc_i发生的概率为：

于是就生成了软件的加速剖面，见图2。

5.根据权利要求1所述的方法，其特征在于：

研究使用贝叶斯函数确定测试用例数。假设导致灾难性事故的概率为pa，每次测试都满足贝努利(Bernoulli)实验的统计独立性，则n次测试中，出现r次灾难性事故的概率服从二项分布。使用贝叶斯函数，

即可推算出测试用例量。

6.根据权利要求1所述的方法，其特征在于：

根据运行剖面生成的测试用例是遵循运行剖面反映的软件统计使用方式，采取随机取样的方法生成，以完成对某一功能进行测试的、按顺序输入到被测软件的一系列输入变量的有序组合。基于运行剖面产生测试用例包括两个方面：一是依据运行剖面选择相应的运行；二是产生出发软件运行的相应的输入变量的具体取值。具体步骤如下：

1.将加速剖面中所有运行oci所对应的加速运行概率paci求前j项和，形成一个数列{SCi}，

其中j＝1，2，3，...，N：N为软件加速剖面的总个数。规定S0＝0，并有Si＝paci，Sj-Sj-1＝pacj。

2.任意产生一个随机数μ∈〔C，观察其落在哪个区间，若满足S_j-1＜μ，则该随机数与pacj这个概率值对应，而这时随机抽到的运行为ocj。

3.分析确定每一个运行对应的输入变量以及输入变量的取值区间。然后在输入区间随机抽取一个值作为该变量的输入。

这样，便基于软件加速剖面产生了一个具体的测试用例。不断地重复上述步骤，直到获得所要求的测试用例量。

Images