CN106548286B

CN106548286B - 工业控制系统的功能安全与信息安全实时协调控制方法

Info

Publication number: CN106548286B
Application number: CN201610969379.6A
Authority: CN
Inventors: 周纯杰; 李璇; 张琦; 秦元庆; 胡博文
Original assignee: Huazhong University of Science and Technology
Current assignee: Huazhong University of Science and Technology
Priority date: 2016-10-28
Filing date: 2016-10-28
Publication date: 2017-12-26
Anticipated expiration: 2036-10-28
Also published as: CN106548286A

Abstract

本发明公开了一种工业控制系统的功能安全与信息安全实时协调控制方法，首先建立系统模型，包括工业控制系统功能支撑模型、安全相关任务与功能间映射关系模型、安全相关任务评价模型；然后分析获取就绪的功能安全任务与信息安全任务之间可能存在的冲突或矛盾；按照预设的冲突协调规则获取无冲突安全相关任务集；根据系统功能性任务集和无冲突安全相关任务集，确定全局任务集；基于全局任务集构建基于DAG的任务图；并将风险作为约束条件、将全局任务的完成时间作为优化目标，利用遗传算法对任务图里的全局任务进行一体化调度及优化，获取各执行节点的任务调度表；解决了功能安全任务与信息安全任务间的冲突，并通过全局的实时控制兼顾到系统性能和安全能力。

Description

工业控制系统的功能安全与信息安全实时协调控制方法

技术领域

本发明属于工业控制系统安全控制技术领域，更具体地，涉及一种工业控制系统的功能安全与信息安全实时协调控制方法。

背景技术

工业控制系统属于生产运行系统，其应用涉及化工、电网、交通运输、航空、制造业等众多安全关键领域，保障其正常运行至关重要。工业控制系统安全涉及功能安全和信息安全，二者的实时协调控制是保障系统正常运行的前提和基础。

传统工业控制系统安全技术大多集中于功能安全控制。随着信息和通信技术的广泛应用，工业控制系统向开放互联式系统发展，因此引入了信息安全问题。信息安全防护策略的实施，一定程度上可以抵御或者容忍入侵攻击，避免入侵攻击导致功能失效引发安全事故。因此，功能安全和信息安全是工业控制系统安全控制的两个重要方面。然而，对于现有的系统，功能安全保障与信息安全防护彼此独立，在系统运行过程中，动态评估系统风险，确定待执行的功能安全措施和信息安全措施；两类措施间可能存在冲突或矛盾，如措施间的资源竞争或者不兼容等，由此导致的后果可能比故障或者攻击而导致的后果更为严重。功能安全标准IEC61508和已制定的部分信息安全标准IEC62443只涉及其中一个方面的安全，并未考虑两类安全的协调控制。

发明内容

针对现有技术的以上缺陷或改进需求，本发明提供了一种工业控制系统的功能安全与信息安全实时协调控制方法，其目的在于解决功能安全保障与信息安全防护彼此独立导致的运行阶段的工业控制系统的功能安全与信息安全冲突的问题。

为实现上述目的，按照本发明的一个方面，提供了一种工业控制系统的功能安全与信息安全实时协调控制方法，包括如下步骤：

(1)建立系统模型，包括工业控制系统功能支撑模型、安全相关任务与功能间映射关系模型、安全相关任务评价模型；其中，安全相关任务包括功能安全任务、信息安全任务；

(2)分析获取就绪的功能安全任务与信息安全任务之间可能存在的冲突或矛盾；按照预设的冲突协调规则获取无冲突安全相关任务集；

(3)根据系统功能性任务集和上述无冲突安全相关任务集，确定全局任务集；

基于全局任务集构建基于DAG(Directed Acyclic Graph)的任务图；并将风险作为约束条件、将全局任务的完成时间(调度长度)作为优化目标，利用遗传算法(GeneticAlgorithm，GA)，对任务图里的全局任务进行一体化调度及优化，获取各执行节点的任务调度表。

优选地，上述工业控制系统的功能安全与信息安全实时协调控制方法，其步骤(1)包括如下子步骤：

(1.1)根据系统目标确定支撑该目标实现所需的功能；建立各功能的功能支撑模型，根据功能支撑模型确定系统的原子功能；

某一系统功能正常工作需要其他子功能正常工作的配合以支撑该功能；若其他配合的子功能失效，被支撑的功能也将无法工作；功能支撑模型是描述系统功能之间的支撑关系的模型；

(1.2)根据任务实现的功能，建立安全相关任务与功能间映射关系模型；

(1.3)根据任务所固有的属性建立安全相关任务评价模型，获取任务的评价分数；

其中，任务的属性包括但不限于任务执行时间、占用内存、防护等级、所实现功能的重要程度和通信损失；

一个功能可采用多种任务实现，彼此优劣程度不同；根据任务所固有的多方面属性建立安全相关任务评价模型，是一种基于多属性的、对任务进行统一尺度评价的综合评价方法。

优选地，上述工业控制系统的功能安全与信息安全实时协调控制方法，其步骤(1.3)包括如下子步骤：

(1.3.1)采用模糊综合评价方法确定各任务属性的权重ω₁,ω₂,…,ω_i,…,ω_m，m是指任务属性的个数；

(1.3.2)对各属性进行等级划分，确定各属性所属的等级xl_i；

(1.3.3)根据属性的权重及等级，采用加权平均的方法获取任务τ的评价分数

优选地，上述工业控制系统的功能安全与信息安全实时协调控制方法，其步骤(2)包括如下子步骤：

(2.1)将就绪的功能安全任务与系统安全任务求并集获得安全相关任务集合，根据安全相关任务与功能间映射关系模型，确定各任务所实现的功能；

(2.2)将安全相关任务集合的所有任务按照各自所实现的功能进行分组，将实现相同功能的任务分在同一组，将实现不同的功能任务分到不同的组；

(2.3)采用上述安全相关任务评价模型对任务分组内的每个任务进行评价，获取每个任务的评价分数；

(2.4)根据预设的冲突协调规则来协调任务；其中，冲突协调规则具体为：同一分组内，若任务的评价分数不相等，则保留评价分数最大的一个任务，删除其他任务；否则，随机保留一个任务，删除其他任务；根据保留的任务构建该分组的无冲突安全相关任务集；

(2.5)重复步骤(2.3)～(2.4)，直至将所有任务分组遍历完毕，获取无冲突安全相关任务集。

优选地，上述工业控制系统的功能安全与信息安全实时协调控制方法，其步骤(3)包括如下子步骤：

(3.1)将无冲突安全相关任务集和系统功能性任务集求并集；删除并集中重复的、实现相同功能的系统功能性任务，获得系统全局任务集；

(3.2)根据全局任务中任务间的优先级关系构建基于DAG的全局任务图；

(3.3)采用遗传算法进行全局任务调度分析以获取各执行节点的任务调度表。

优选地，上述工业控制系统的功能安全与信息安全实时协调控制方法，其步骤(3.3)包括如下子步骤：

(3.3.1)对所述全局任务进行染色体编码；编码包括两个部分：一部分代表符合DAG任务图中各任务的优先级关系的任务排列顺序；另一部分代表任务与执行节点间的映射关系，即当前染色体下任务分配到了哪个执行节点执行；任务分配的执行节点必须符合可执行该任务的节点列表约束；其中，一个染色体代表一个可行的任务调度方案；

(3.3.2)通过随机方法对染色体编码获得的规模为Pop_Size的种群进行初始化，使得种群中的每个个体符合DAG内任务优先级约束、以及各任务的可执行节点列表约束；对不满足所述两类约束的个体重新初始化，直至满足约束；

(3.3.3)从步骤(3.3.2)获得的初始种群开始进行遗传迭代处理，直到迭代次数达到设定最大迭代次数；根据种群中的最优个体，确定各执行节点的任务调度表；

其中，遗传迭代处理包括评价运算、更新运算、交叉运算、变异运算，具体如下：

评价运算：计算获取种群中个体的适应度；第k个个体的任务的适应度makespan_k为该个体的调度长度；

建立第i个任务实施所降低的风险与时间的关系Δr_i(t)＝r_i×u(t-st_i-δ_i)；

其中，u(t)为单位阶跃函数；Δr_i(t)指为实施该任务的风险降低函数，r_i是指实施该任务的风险降低的量，st_i是指该任务的起始执行时间，δ_i是指相对于st_i，实施该任务风险降低的滞后时间；

获取任务实施过程中的系统实时风险其中，R₁(t)为任务实施前评估的动态系统风险；其中，N是指全局任务的个数；

在任务调度过程中，风险满足以下约束条件：

其中，RISK_Accept为根据行业标准或者专家经验确定的系统可接受风险，t是指任意时刻。

更新运算：采用轮盘赌方法，从当前种群中按照适应度从高到低的顺序选择Pop_Size个个体，构成新一代种群；

交叉运算：采用单点交叉方法对染色体基因进行交叉生成新的个体，并对不符合约束条件的新个体进行修复，使之满足约束条件；

变异运算：对染色体中某个基因值按照有效值范围进行迭代地随机变换，将该基因值变异为另一个允许的值。

本发明综合考虑了运行阶段工业控制系统功能安全和信息安全，解决了功能安全任务和信息安全任务间的冲突或矛盾问题；并结合系统功能性任务，进行全局的实时控制，兼顾了系统性能和安全能力；总体而言，通过本发明所构思的以上技术方案与现有技术相比，能够取得下列有益效果：

(1)面向运行阶段的工业控制系统，提出一种功能安全和信息安全实时协调方法，能够在系统出现异常(故障或入侵攻击)时，有效地消除功能安全和信息安全防护过程中的冲突，保障系统的正常运行；

(2)提出的基于多属性综合评价方法，从安全相关措施以及控制系统所固有的特点出发，全面地对功能安全、信息安全的防护措施进行统一尺度的定量评价，便于后续两类安全防护的协调优化；

(3)将系统实时风险作为约束条件，以任务的完成时间为优化目标，所求解的任务调度方案能够在保证风险始终处于可接受范围内的条件下，使得系统功能性任务和安全相关任务及时的实施。

附图说明

图1是本发明实施例提供的工业控制系统的功能安全与信息安全实时协调控制方法的总体流程示意图；

图2是实施例里的化工系统结构示意图；

图3是图2所示的化工系统的功能支撑模型示意图；

图4是实施例提供的工业控制系统的功能安全与信息安全实时协调控制方法的流程发明所涉及功能安全和信息安全协调的具体流程示意；

图5是实施例里第一种DAG任务图实例的示意图；

图6是实施例里第二种DAG任务图实例的示意图；

图7是实施例里第三种DAG任务图实例的示意图；

图8是实施例所采用的遗传算法的流程图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。此外，下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。

本发明实施例提供的工业控制系统的功能安全与信息安全实时协调控制方法的总体流程如图1所示，包括功能安全任务与信息安全任务协调阶段、风险约束的一体化任务调度阶段。以下结合图2所示的化工系统，具体阐述实施例提供的这种工业控制系统的功能安全与信息安全实时协调控制方法。

图2所示的化工系统所基于的环境包括一个主节点、三个从节点以及相应的传感器和执行器，并且均连接在工业现场总线网络上；通过主节点分析就绪的功能安全任务、信息安全任务，识别并解决可能存在冲突或矛盾；然后根据评估的系统风险，结合系统功能性任务集，采用GA进行一体化的任务调度，获取各执行节点的任务调度表；具体如下：

步骤1：根据系统功能结构建立系统层次化的功能支撑模型；根据安全相关任务特点建立安全相关任务与功能间映射关系模型以及安全相关任务评价模型；具体包括如下子步骤：

步骤1.1：建立系统层次化的功能支撑模型，获取原子功能集；对实现系统目标所需要的支撑功能进行分解，建立如图3所示的系统功能支撑模型；

本实施例里，化工系统的生产目标由压力控制功能F₁、产率控制功能F₂和成分控制功能F₃共同作用而实现；各功能由相应的子功能支撑：譬如，压力控制功能F₁的正常工作需要压力信号采集功能F₁₁，阀门V3控制命令计算功能F₁₂以及阀门V3控制指令执行功能F₁₃三个支撑功能的配合；获取系统原子功能集合{F₁₁,F₁₂,F₁₃,F₂₁,F₂₂,F₂₃,F₂₄,F₃₁,F₃₂,F₃₃}；

步骤1.2：根据安全相关任务的实施所能实现或恢复的功能，建立功能与安全相关任务之间的映射关系模型；

本实施例中，根据系统预置的安全相关任务，建立如表1所示的安全相关任务与功能间映射关系模型：

表1实施例安全相关任务与功能间映射关系模型

功能	安全相关任务
		F₁₁	τ_Sa1,τ_Se1
F₁₂	τ_Sa2,τ_Se2,τ_Se3
		F₁₃	τ_Sa3

步骤1.3：根据安全相关任务的属性建立安全相关任务评价模型，根据该模型对任务进行统一尺度评价，获取任务的评价分数；

其中，安全相关任务的属性包括任务的执行时间、占用内存、防护等级、任务所实现功能的重要度、任务通信损失；具体如下：

将上述各属性指标分为“5”、“4”、“3”、“2”、“1”五个等级，表示上述指标的优劣程度，建立如表2所示的各指标等级列表：

表2指标等级列表

等级	5	4	3	2	1
						执行时间	极短	短	一般	长	极长
占用内存	极小	小	一般	大	极大
						防护等级	极高	高	一般	低	极低
重要程度	极重要	重要	一般	不重要	极不重要
						通信损失	极小	小	一般	大	极大

计算每项指标平均值，按照四舍五入的原则，确定各指标的等级，即为该任务的该指标的最终等级。

由于不同的工业控制系统的评价指标可能有所差异，根据不同的系统可以减少或者增加评价指标；对不同的系统而言，各指标的重要程度也可能不同，因此采取加权平均的方法获得最终的任务评价分数；各指标的权重通过模糊综合评价方法获取，具体如下：

首先构造一致性判定矩阵：

其中，r_ij＝1/r_ji；i,j＝1,2,…,n，n表示评价该任务的指标个数；r_ij表示元素f_i与f_j之间的模糊关系，即对于系统目标，元素f_i相对于f_j的重要程度，其评判规则如表3所示：

表3元素间相对重要程度评判规则表

重要程度	含义
		1	两个元素具有同样的重要程度
3	一个比另一个稍微重要
		5	一个比另一个明显重要
7	一个比另一个很重要
		9	一个比另一个极端重要
2,4,6,8	处于上述重要程度中的中间值

根据一致性判定矩阵J计算出该矩阵的最大特征根和对应的特征向量：

Jω＝λ_maxω

检验矩阵J的一致性：

其中，λ_max为J的最大特征根，CI为其一致性指数；

根据一致性指数获取一致性比率

其中，RI为平均一致性指数，本实施例中的平均一致性指数值如表4所示：

表4平均一致性指数值列表

n	3	4	5	6	7	8	9
								RI	0.52	0.89	1.12	1.24	1.32	1.41	1.45

本实施例中，当CR<0.1，认为该J的一致性在允许范围内，是可以接受的，则特征向量ω即为指标的权重向量；当CR≥0.1，则认为该J的一致性不在允许范围内，需要修正判定矩阵J，直至获得可接受的一致性；

若n不在3～9之间，则通过分解或者封装相应的指标，使其处于这个范围，由此可获得各指标的权重；

获得任务τ的最终评价分数Score_τ＝ω₁×el+ω₂×rl+ω₃×pl+ω₄×cl+ω₅×ccl；

其中，ω₁,ω₂,…,ω₅和el,rl,pl,cl,ccl分别为实施例中五个指标各自的权重和对应的等级；通过上述处理，完成对每个安全相关任务的评价。

步骤2：根据就绪的功能安全任务集T_Sa＝{τ_Sa1,τ_Sa2,…}和信息安全任务集T_Se＝{τ_Se1,τ_Se2,…}识别并协调任务间的冲突，获得无冲突安全相关任务集，其处理流程如图4所示，包括如下子步骤：

步骤2.1：将就绪的功能安全任务与系统安全任务求并集获得安全相关任务集合T_Sa∪T_Se；根据安全相关任务与功能间映射关系模型，确定各任务所实现的功能F_ij；

步骤2.2：将T_Sa∪T_Se中的所有任务按照各自所实现的功能F_ij进行分组，将实现相同功能的任务分在同一组，将实现不同的功能任务分到不同的组；

同一分组内的任务，源于相同的需求，存在矛盾，需要协调；不同组间的任务，源于不同的需求，实现不同的功能，彼此间不存在冲突，不需要协调；

步骤2.3：采用步骤1.3建立的安全相关任务评价模型分别对一个分组的任务进行评价，并计算出每个任务的评价分数；

步骤2.4：根据预设的冲突协调规则来协调任务：同一分组内，若任务的评价分数不相等，则保留评价分数最大的一个任务，删除其他任务；否则，随机保留一个任务，删除其他任务；根据保留的任务构建该分组的无冲突安全相关任务集T_S&S；

步骤2.5：重复步骤2.3～步骤2.4，直至所有的任务分组遍历处理完，获得无冲突安全相关任务集。

步骤3：任务调度：根据无冲突安全相关任务集T_S&S和系统功能性任务集T_SYS获取全局任务集T_GLO；基于全局任务集T_GLO构建基于DAG的全局任务图；将系统风险作为约束条件，以全局任务的完成时间为优化目标，利用遗传算法进行全局任务调度分析；具体包括如下子步骤：

步骤3.1：将无冲突安全相关任务集T_S&S和系统功能性任务集T_SYS求并集；由于安全相关任务与系统功能性任务可能实现相同的功能，从并集中删除重复的实现相同功能的系统功能性任务，获得系统全局任务集T_GLO；

将任务i描述为τ_i＝(st_i,e_i,c_i,nl_i,r_i,δ_i)，各参数依次表示任务τ_i的起始执行时间、最坏执行时间、执行周期、可执行该任务的节点列表、任务实施所能降低的风险量、风险降低的滞后时间(相对于该任务起始执行时间)；st_i通过GA算法求解而得；e_i,c_i,nl_i由具体的应用决定；r_i,δ_i：对于无冲突安全相关任务而言，由专家经验获取；对于系统功能性任务而言，二者均为0。

步骤3.2：分析任务间的优先级关系：本实施例中，压力信号采集任务必须在压力控制指令计算任务之前执行，构造基于DAG的任务图(T_GLO,E)，其中T_GLO＝{τ₁,τ₂,…,τ_N}表示含有N个全局任务的集合，E表示任务优先级关系的有向边集合；

对于任意e(i,j)∈E，表示任务τ_j必须在任务τ_i执行完毕之后才能开始执行；如图5所示，任务τ₄必须在任务τ₂和τ₃执行完成之后才能开始执行；全局任务中，某些任务间可能不存在优先级关系，如压力信号采集任务和成分信号采集任务，则导致构造的DAG任务图不止一个，如图5，图6所示；需将各个子DAG任务图集成为一个综合DAG任务图，其具体方法为：假设存在虚拟起始任务S₀和结束任务S₁，该任务的参数均为0；用有向虚线将虚拟起始任务和各子DAG任务图中起始任务连接起来，并且也用有向虚线将各子DAG任务图中结束任务连接至虚拟结束任务，如此构建一个综合DAG任务图；图7所示即为将图5、图6集成到一起获得的综合任务图。

步骤3.3：利用GA算法进行任务调度；本实施例的系统包括M个节点，编号依次为p₀,p₁,…,p_M-1；M＝4，包括主控制器、成分控制器、流速控制器、压力控制器共四个节点；

首先对染色体进行编码，如表5所示：

表5染色体编码列表

染色体代表一个个体，即一个符合约束的任务调度方案，包括两部分：S为符合DAG任务图中各任务的优先级关系的任务排列顺序，如τ₆必须在τ₂之后执行；A代表各任务的执行节点，如τ₆分配到节点p₁上执行；任务i分配的执行节点必须符合其nl_i参数约束；S和A的长度均为全局任务的个数N。

步骤3.4：对种群(个体/染色体集合)进行初始化；种群规模为Pop_Size，通过随机方法，初始化Pop_Size个个体，每个个体必须符合DAG内任务优先级约束，以及各任务的可执行节点列表约束。对于不满足约束的个体，重新初始化，直至满足约束；

步骤3.5：从步骤3.4获得的初始种群开始迭代，其具体流程如图8所示，包括评价、更新、交叉、变异运算；具体如下：

(1)评价运算

遗传算法中一般通过个体适应度的大小来评价个体的优劣程度，从而决定该个体基因遗传给下一代的机会大小。设种群中第k个个体的任务调度长度为makespan_k，则该个体适应度为：

数组at[M]分别表示M个节点当前周期内可利用的时间的起始时刻，初始值均为0；Pred(τ_i)和Succ(τ_i)分别表示任务τ_i的前驱任务集合和后继任务集合；如图7所示的，任务τ₄的前驱任务为τ₂和τ₃，后继任务为τ₅和τ₆；对于某个个体，其调度长度根据如下方法获取：

按照个体S部分，从左至右依次轮询各任务，按照下式进行迭代：

如果Pred(τ_S[i])为空集，则st_S[i]＝at[A[i]]，at[A[i]]＝st_S[i]+e_S[i]，i＝i+1；

否则，

直至所有任务轮询完毕；获取该个体任务调度长度为：

第i个任务实施的风险降低函数为：Δr_i(t)＝r_i×u(t-st_i-δ_i)；其中，u(t)为单位阶跃函数；

在任务实施过程中，系统实时风险为：其中，R₁(t)为任务实施前评估的动态系统风险；

在调度过程中，需满足风险约束条件：其中，RISK_Accept为根据行业标准或者专家确定的系统可接受风险。

(2)更新运算

更新运算是按一定的方法，从种群中选取适当的个体，以维持种群规模不变；

实施例里采用典型的轮盘赌方法选取个体，将全体个体的适应度用一种饼状图代表，每个个体对应饼状图中的一块，块的大小与个体的适应度成正比，适应度越高，它在饼状图中所占面积越大；第一个小块的范围，从0到该小块的适应度，后续每个小块的范围的下界是其上一个小块的上界，上界是该小块下界加上该个体的适应度。

譬如：对于适应度分别为0.2、0.4、0.8的3个个体，各块范围分别是(0-0.2)、(0.2-0.6)和(0.6-1.4)；在0到总适应度值1.4中随机选取一个数，当这个数落到某个个体所对应小块内时，这个个体被选入下一代；如此依次选取个体，直到到达种群规模Pop_Size为止。

(3)交叉运算

交叉运算是选取父代染色体中的部分基因，进行交叉以产生新的个体。随机产生一个交叉点，采用单点交叉的方式，对父代染色体进行交叉，产生新的个体；针对每个新个体，如果其S不满足DAG中任务优先级约束，则对S和A中相应基因做出调整。

(4)变异运算

变异运算是选取某个个体，并对某个基因在有效值范围内进行随机变换，从而扩展解空间的多样性；

本实施例中，随机选择一个个体，然后针对该个体的A部分，随机从中选取一位，随机变换为可执行该任务的节点列表中的另一个数值。如随机选取表5中A的第2位；假定压力采集任务τ₂的可执行节点列表为nl₂＝{1,2,3}，随机选取nl₂中与A[2]不同的数值，譬如2，则表5中A[2]通过变异运算将由1变换为2。

按照图8所示过程进行迭代；当迭代次数达到设定的最大迭代次数时，退出迭代；根据种群中最优个体，确定各执行节点的任务调度表。

本领域的技术人员容易理解，以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims

1.一种工业控制系统的功能安全与信息安全实时协调控制方法，其特征在于，包括如下步骤：

(1)建立系统模型，包括工业控制系统功能支撑模型、安全相关任务与功能间映射关系模型、安全相关任务评价模型；所述安全相关任务包括功能安全任务和信息安全任务；

所述步骤(1)包括如下子步骤：

(1.1)根据系统目标确定支撑该目标实现所需的功能，建立各功能的功能支撑模型，根据功能支撑模型确定系统的原子功能；

(1.3)根据任务所固有的属性建立安全相关任务评价模型，获取任务的评价分数；所述步骤(1.3)包括如下子步骤：

(1.3.1)采用模糊综合评价方法确定各任务属性的权重ω₁,ω₂,…,ω_i,…,ω_m；m是指任务属性的个数；安全相关任务的属性包括任务的执行时间、占用内存、防护等级、任务所实现功能的重要度以及任务通信损失；

(1.3.2)对各属性进行等级划分，确定各属性所属的等级xl_i；

(1.3.3)根据属性的权重及等级，采用加权平均的方法获取任务τ的评价分数(2)获取就绪的功能安全任务与信息安全任务之间可能存在的冲突或矛盾；根据所述冲突或矛盾，按照预设的冲突协调规则获取无冲突安全相关任务集；所述步骤(2)包括如下子步骤：

(2.1)将功能安全任务与系统安全任务求并集获得安全相关任务集合，根据所述安全相关任务与功能间映射关系模型，确定各任务所实现的功能；

(2.2)将所述安全相关任务集合的所有任务按照各自所实现的功能进行分组，将实现相同功能的任务分在同一组，将实现不同的功能任务分到不同的组；

(2.3)采用所述安全相关任务评价模型对任务分组内的每个任务进行评价，获取每个任务的评价分数；

(2.4)根据预设的冲突协调规则来协调任务；所述冲突协调规则具体为：同一分组内，若任务的评价分数不相等，则保留评价分数最大的一个任务，删除其他任务；否则，随机保留一个任务，删除其他任务；根据保留的任务构建该分组的无冲突安全相关任务集；

(2.5)重复步骤(2.3)～(2.4)，直至将所有任务分组遍历完毕，获取无冲突安全相关任务集；

(3)根据系统功能性任务集和所述无冲突安全相关任务集，确定全局任务集；

基于全局任务集构建基于DAG的任务图；并将风险作为约束条件、将全局任务的完成时间作为优化目标；采用遗传算法对任务图里的全局任务进行一体化调度及优化，获取各执行节点的任务调度表。

2.如权利要求1所述的功能安全与信息安全实时协调控制方法，其特征在于，所述步骤(3)包括如下子步骤：

(3.1)将所述无冲突安全相关任务集与系统功能性任务集求并集；删除并集中重复的、实现相同功能的系统功能性任务，获得系统全局任务集；

3.如权利要求2所述的功能安全与信息安全实时协调控制方法，其特征在于，所述步骤(3.3)包括如下子步骤：

(3.3.1)对所述全局任务进行染色体编码；

(3.3.3)从步骤(3.3.2)获得的初始种群开始进行遗传迭代处理，直到迭代次数达到设定最大迭代次数；根据种群中的最优个体，确定各执行节点的任务调度表；所述遗传迭代处理包括评价运算、更新运算、交叉运算、变异运算；

所述评价运算具体为：计算获取种群中个体的适应度；第k个个体的适应度其中makespan_k为第k个个体的调度长度；

建立第i个任务的实施所降低的风险与时间的关系Δr_i(t)＝r_i×u(t-st_i-δ_i)；

其中，u(t)为单位阶跃函数；Δr_i(t)是指实施第i个任务的风险降低函数；r_i是指实施第i个任务的风险降低的量；st_i是指第i个任务的起始执行时间，δ_i是指相对于st_i、实施第i个任务风险降低的滞后时间；

在任务调度过程中，风险满足以下约束条件：

<mrow> <mi>R</mi> <mrow> <mo>(</mo> <mi>t</mi> <mo>)</mo> </mrow> <mo>&le;</mo> <msub> <mi>RISK</mi> <mrow> <mi>A</mi> <mi>c</mi> <mi>c</mi> <mi>e</mi> <mi>p</mi> <mi>t</mi> </mrow> </msub> <mo>,</mo> <mo>&ForAll;</mo> <mi>t</mi> </mrow>

其中，RISK_Accept为系统可接受风险，t是指任意时刻；

所述更新运算具体为：采用轮盘赌方法，从当前种群中按照适应度从高到低的顺序选择Pop_Size个个体，构成新一代种群；

所述交叉运算具体为：采用单点交叉方法对染色体基因进行交叉生成新的个体，并对不符合约束条件的新个体进行修复；

所述变异运算具体为：对染色体中基因值按照有效值范围内随机变换，将所述基因值变异为另一个允许的值。