帶有量化的信息物理系統(tǒng)安全控制①

朱俊威 吳 珺 馮 宇

(浙江工業(yè)大學信息工程學院 杭州 310023)

0 引 言

隨著近年來計算機控制技術和電子硬件設備的快速發(fā)展，信息物理系統(tǒng)(cyber-physical systems，CPSs)在工業(yè)控制領域受到廣泛應用。與傳統(tǒng)數(shù)字控制系統(tǒng)相比，信息物理系統(tǒng)融合了網絡資源和物理資源，將所有設備和網點通過通信網絡連接在一起，大大提高了系統(tǒng)的時效性。如今，CPSs在工業(yè)現(xiàn)場、樓宇自動化、智能電網和智慧城市等領域中起著重要的作用。也正是由于網絡環(huán)境的開放性，CPSs較傳統(tǒng)控制網絡面臨更高的安全威脅。例如，2003年1月，SQLSlammer蠕蟲病毒攻擊了美國戴維斯貝斯核電站，使得過程控制中心連續(xù)數(shù)小時無法工作。2010年6月，stuxnet“震網”蠕蟲病毒[1]突破西門子公司的數(shù)據采集與監(jiān)控系統(tǒng)，對伊朗的布什爾核電站造成極大破壞。2012年“打印機木馬”橫掃美國、印度等國家，使得打印機瘋狂打印毫無意義的內容，造成極大的浪費。諸如此類的工業(yè)控制網絡攻擊的例子屢見不鮮，在此背景下，CPSs的安全問題已經引起了政府企業(yè)和社會各界的廣泛關注。

從控制的角度看，網絡攻擊通常被建模為一種附加信號，根據攻擊的對象不同，攻擊會影響控制器到執(zhí)行器的通道，也會影響傳感器到觀測器的通道。針對復雜系統(tǒng)的攻擊問題，一些研究著重考慮了攻擊檢測問題。Pasqualetti等人[2]從圖論和系統(tǒng)理論的角度闡述基本檢測的限制，提出了攻擊檢測的數(shù)學框架，并設計了集中式和分布式攻擊檢測觀測器。Do[3]研究了智能電網中的攻擊檢測問題。Wang等人[4]設計了一個區(qū)間觀測器來估計物理系統(tǒng)內部的區(qū)間狀態(tài)，并用區(qū)間殘差來取代傳統(tǒng)攻擊檢測方法中的評價函數(shù)和檢測門限。Miao等人[5]在輸入端隨機附加變量信號來改變傳感器的輸出，目的是增加攻擊下的估計誤差以使攻擊被檢測到。攻擊檢測主要關注攻擊是否發(fā)生以及攻擊發(fā)生的時間，另一些研究者側重攻擊估計問題，即不僅要知道攻擊是否發(fā)生，還要能夠跟蹤到攻擊的大小和具體波形，例如Alan等人[6]針對服務降級控制的數(shù)據注入攻擊提出了一種鏈路監(jiān)控策略，以辨識攻擊中間人的線性時不變傳遞函數(shù)，且不會對系統(tǒng)造成干擾。Hu等人[7]針對受到網絡攻擊和通信故障下的電力系統(tǒng)設計了一種安全估計器來獲得電網系統(tǒng)的動態(tài)性能并重構攻擊信號。有些研究在攻擊估計的基礎上進一步完成了安全控制，例如，Hu等人[8]針對帶有不確定性和量化的多智能體系統(tǒng)提出了一種自適應反饋控制，先用高增益觀測器估計系統(tǒng)不確定性部分，再設計自適應輸出反饋控制器以實現(xiàn)安全控制。

CPSs的開放性和自身的可靠性能提高了系統(tǒng)的安全性和可維護性，但同時網絡中的不確定性無法避免，例如，當多信號共享系統(tǒng)信道時會產生數(shù)據擁擠從而導致網絡時延[9]；在總線中傳輸?shù)臄?shù)據通常會經過多臺下位機，線路復雜、通信情況較差時會發(fā)生丟包問題[10，11]；囿于通信帶寬的限制，在設備交換信息和數(shù)據采樣的過程中需要經過量化處理，這會導致信號失真，使得觀測器難以對系統(tǒng)參數(shù)作出精確的估計[12，13]。其中量化過程不可避免，且量化的存在必然導致系統(tǒng)穩(wěn)定性能下降。針對抑制量化誤差影響的研究有，龍躍[14]研究了量化環(huán)境下的帶有時延及丟包的網路控制系統(tǒng)在有限頻率范圍下的故障檢測問題，將其轉化為一個多目標優(yōu)化問題。俞立等人[15]將量化器建模為系統(tǒng)不確定性部分，定義性能指標和設計魯棒預測控制器來補償系統(tǒng)中的量化和丟包現(xiàn)象。Elia和Mitter[16]研究了量化狀態(tài)反饋控制器和量化狀態(tài)估計器，并提供了一種有線數(shù)量級量化的對數(shù)量化器，并實現(xiàn)閉環(huán)系統(tǒng)的穩(wěn)定性。歐洋等人[17]針對量化環(huán)境下的網絡化不確定性系統(tǒng)設計了魯棒預測控制器，通過性能指標來分析系統(tǒng)的性能上界和控制輸入的收斂性。文獻[15，17]是從傳統(tǒng)魯棒控制的角度出發(fā)，通過引入H∞性能指標來抑制量化誤差的影響，實現(xiàn)魯棒預測控制。朱俊威[18]針對故障診斷問題設計了一種中間觀測器，在系統(tǒng)含有時延和丟包的情況下，對干擾和故障有非常好的估計效果。中間觀測器通常用于故障診斷領域，也可以在攻擊辨識問題上實現(xiàn)較好的估計效果，但是上述工作中大多數(shù)觀測器在分析中都沒有考慮到量化的情況，或者考慮了量化的影響但沒有考慮對攻擊作出估計。

基于上述分析本文主要做出如下幾點工作：(1)首次考慮了量化下基于觀測器的CPSs安全控制問題，而傳統(tǒng)方法的重點主要放在時延[9]和丟包[10]問題上，對于量化問題沒有充分考慮。(2)不同于處理量化問題的傳統(tǒng)方法[17,19]，本文通過直接調節(jié)特定參數(shù)來抑制量化誤差的影響，而不需要引進任何魯棒性能指標，同時得到的閉環(huán)系統(tǒng)穩(wěn)定性條件的保守性更小。(3)通過網絡化運動控制系統(tǒng)驗證了算法的有效性。

1 數(shù)學模型及問題描述

CPSs是數(shù)字化和網絡化時代的產物，通過信息感知技術和信號傳輸技術將網絡環(huán)境和物理設備融合起來，利用算法和計算機控制技術進行管理和調控，實現(xiàn)二者的深度融合。

本文考慮的CPSs結構框圖如圖1所示，在傳感器將信息傳輸?shù)接^測器的通道上會受到量化影響，這條通道和控制器到執(zhí)行器的傳輸通道也會受到未知網絡攻擊的影響。執(zhí)行器、被控對象和傳感器處于物理層中。

圖1 帶有量化的CPSs結構圖

根據以上描述考慮下列離散系統(tǒng)：

x(k+1)=Ax(k)+Bu(k)+Bau(k)

y(k)=Cx(k)

(1)

式中，x(k)∈Rn為系統(tǒng)的狀態(tài)量，u(k)∈Rm是控制輸入，y(k)∈Rp為系統(tǒng)的測量輸出，A、B、C為常數(shù)矩陣，其中A∈Rn×n，B∈Rn×m，C∈Rp×n。

考慮到攻擊者也能訪問通信網絡，因此CPSs可能受到攻擊，設置au(k)∈Rr為外部對執(zhí)行器的攻擊，B∈Rn×m為對應au的攻擊分布矩陣；攻擊者利用網絡注入虛假數(shù)據，通過篡改量化器的輸出值來破壞系統(tǒng)的控制和數(shù)據測量通道，同理在觀測器側接收到的測量值為s(k):

s(k)=(I+Δq)y(k)+Day(k)

(2)

式中，Δq∈Rp×n用來表示描述系統(tǒng)中的量化影響。設置ay(k)∈Rq為外部對傳感器的網絡攻擊，D∈Rp×q是關于ay的攻擊分布矩陣。au和ay互相不相關，分屬不同的攻擊。下面給出2個假設。

假設1攻擊信號及其變化率是有界的，即存在：

‖au(k+1)-au(k)‖≤ηu

‖ay(k+1)-ay(k)‖≤ηy

其中ηu≥0且ηy≥0。

假設2執(zhí)行器和傳感器的攻擊分布矩陣B和D是列滿秩，即：

rank(B)=r且rank(D)=r

注釋1假設1在大多數(shù)攻擊估計的文獻中被廣泛使用，例如文獻[14,18,19]。

注釋2假設2是非常普遍的，文獻[15,18]中也采用了這種假設。列滿秩在攻擊估計里是十分常見的，當矩陣非列滿秩時觀測器無法對攻擊信號進行重構從而得到準確的估計值。

同時考慮觀測器在CPSs環(huán)境下所存在的量化現(xiàn)象，量化過程將離散信號轉換成數(shù)字信號，量化精度影響信息傳輸?shù)臏蚀_性。本文考慮一種靜態(tài)時不變量化器，即對數(shù)量化器。首先對該模型做出具體描述：定義量化密度為ρ∈(0,1)，給定對數(shù)量化器的輸入為y(k)，輸出為f(k)，則有f(k)=Q(y(k))，Q(y(k))表示相關的量化過程。

容易驗證，對于量化器Q和0<ε<1，定義#g[ε]為區(qū)間[ε，ε-1]上的量化級數(shù)，則量化器滿足：

其中，ηq表示量化器的量化密度。根據文獻[2]易知，對于對數(shù)量化器滿足ηq=2/[ln(1/ρ)]。該式表明ρ值和ηq值呈正相關，因此后文描述對數(shù)量化器時用ρ表示量化密度。

得到量化映射關系函數(shù)如下：

(3)

f(k)=Q(y(k))=(1+Δq)y(k)

其中，Δq∈[-τ,τ]。下文中使用該量化器來描述網絡中的量化影響。

由于CPSs同時受到執(zhí)行器和傳感器攻擊，需要觀測器能夠對狀態(tài)和多個攻擊信號實現(xiàn)準確估計，因此本文通過改進文獻[18]的中間觀測器方法來實現(xiàn)對量化環(huán)境下的CPSs狀態(tài)和外部攻擊等未知信號的同時估計。

綜合式(1)～式(3)，本文閉環(huán)系統(tǒng)可描述為

x(k+1)=Ax(k)+Bu(k)+Bau(k)

y(k)=Cx(k)

s(k)=(Iq+Δq)Cx(k)+Day(k)

(4)

此時，式(1)和式(2)可改寫為增廣系統(tǒng)：

ζ(k+1)=Aaζ(k)+Bau(k)+Baau(k)

+May(k+1)

s(k)=Caζ(k)+ΔqCx(k)

(5)

設置中間變量如下：

(6)

其中，ω是可調整的參數(shù)，改變ω的值可以改善估計效果。此時可以確定設計的觀測器為

(7)

同時設計容侵控制器為

(8)

(9)

本文著重解決量化下受攻擊的CPSs系統(tǒng)的安全控制問題，設計中間觀測器得到狀態(tài)和攻擊信號的估計值，并基于估計值設計容侵控制器，使得閉環(huán)系統(tǒng)的狀態(tài)一致最終有界。

2 閉環(huán)系統(tǒng)穩(wěn)定性分析

結合式(5)～式(9)可得出系統(tǒng)的閉環(huán)系統(tǒng)方程如下：

(10)

本節(jié)通過求解以下定理中所定義的線性矩陣不等式(linear matrix inequality， LMI)條件求解估計增益矩陣L。

<0 (11)

其中，aij位置上的*表示aji位置上元素的轉置，

-P3

證明定義Lyapunov函數(shù)為

(12)

對上式求導，首先計算3個分量，由式(10)可得第1個分量的誤差項為

xT(k+1)P1x(k+1)

=xT(k)(A-BKs)TP1(A-BKs)x(k)

考慮所定義的誤差系統(tǒng)，得到第2個分量的誤差項為

其中，He(P)=P+PT，對于非對稱項和不確定項，由假設1可知存在參數(shù)ε>0使下面不等式成立：

整理上式得到如下結果：

其中，He(P)=P+PT，同理可以得到第3個分量eτ(k+1)的誤差項為

關于不確定項Δy和Δu，由假設1可知存在參數(shù)ε>0使下面不等式成立：

整理上式并得到如下結果：

將上述結果代回到式(12)的變化率中得到如下結果：

Δv(k)=v(k+1)-v(k)

-P3

Δv(k)≤λmax(Σ)(‖x(k)‖2+‖eζ(k)‖2

+‖eτ(k)‖2)+β

(13)

同時，聯(lián)合定理1可知：

v(k)≤λmax(P1)‖x(k)‖2+λmax(P2)‖eζ(k)‖2

+λmax(P3)‖eτ(k)‖2

≤max[λmax(P1),λmax(P2),λmax(P3)]

·(‖x(k)‖2+‖eζ(k)‖2+‖eτ(k)‖2)

由此，式(13)可以表達為

Δv(k)≤-κv(k)+β

Ω=

v(k)≥λmin(P1)‖x(k)‖2+λmin(P2)‖eζ(k)‖2

由此可知ΔV(k)≤0。根據李雅普諾夫穩(wěn)定性理論，eζ(k)和eτ(k)都是有界的。所以閉環(huán)系統(tǒng)是一致有界最終有界的。在實際調節(jié)中，只需要通過調節(jié)參數(shù)ω即可影響整體估計效果。安全控制整體流程如圖2所示。

圖2 安全控制流程圖

注釋3本文主要工作是考慮CPSs中存在量化影響時觀測器的設計和閉環(huán)系統(tǒng)的安全控制問題。針對網絡不確定性的研究，以往的文獻主要從時延[9,20，21]和丟包[11,22]的攻擊估計問題考慮,但是均沒有考慮量化因素的相關結果，因此本文主要針對量化環(huán)境下基于估計的安全控制問題作出研究。

注釋4通過定理1得到估計增益L的作用是改善攻擊估計的速度和準度，并抑制量化誤差的影響。通過觀測器對狀態(tài)和攻擊進行估計并設計容侵控制。傳統(tǒng)的處理量化誤差的方法通常是通過引入H∞性能指標將量化問題轉化為魯棒控制問題，如文獻[17,19]，而本文通過直接調整參數(shù)ω來調節(jié)估計的效果，設計容侵反饋控制器調整控制效果，從而避免了引入其他性能指標。

3 實驗仿真

為了驗證上述定理的有效性，本節(jié)選用一個基于網絡化運動控制系統(tǒng)的實驗來驗證上述定理。該運動系統(tǒng)由電機、交流伺服系統(tǒng)和PC上位機組成，并用CAN總線連接，如圖3所示。PC上位機負責處理控制算法和數(shù)據，并通過總線將控制命令傳輸?shù)礁鹘涣魉欧到y(tǒng)，同時返回交流伺服系統(tǒng)的數(shù)據，例如速度、位移、力矩等信息，并把這些數(shù)據交給PC上位機進行處理。CAN總線負責實現(xiàn)分布式控制系統(tǒng)各節(jié)點之間的實時數(shù)據通信。交流伺服系統(tǒng)包含4個電機，受到ARM單片機的控制，同時單片機接受PC上位機的控制命令。

圖3 網絡化運動控制系統(tǒng)

P3=1.5799，

給定被控對象的初始條件為x(0)=[11]，觀測器的初始狀態(tài)設為零初始條件，實驗結果如圖4～圖7所示。圖4中將受到量化影響和網絡攻擊的系統(tǒng)和標稱系統(tǒng)進行對比，s2表示在量化密度ρ=0.7下系統(tǒng)在攻擊影響下的輸出量，y2表示沒有受到量化影響的系統(tǒng)的輸出量，通過二者的比較可以看到在上述影響下系統(tǒng)的輸出值呈現(xiàn)鋸齒形狀，表明了量化過程對系統(tǒng)的影響。圖5和圖6是在量化系統(tǒng)下，分別采用標稱中間觀測器和本文所設計的考慮量化的中間觀測器對執(zhí)行器攻擊和傳感器攻擊的估計曲線對比圖，圖中虛線為估計值，實線為實際值，對應系統(tǒng)的量化密度ρ=0.7。其中圖5為執(zhí)行器攻擊估計曲線，標稱中間觀測器在此時有較大誤差，而本文所設計中間觀測器能夠很好地擬合攻擊曲線。圖6為傳感器攻擊估計曲線，可以看到二者對該攻擊的跟蹤性能較好。圖7為狀態(tài)響應曲線，可以看出，在攻擊發(fā)生的情況下，系統(tǒng)狀態(tài)依舊能夠保持穩(wěn)定。

圖4 受到攻擊的量化系統(tǒng)和標稱系統(tǒng)輸出比較

圖5 執(zhí)行器攻擊信號估計曲線對比

圖6 傳感器攻擊信號估計曲線對比

圖7 狀態(tài)響應曲線

ω的調節(jié)對估計性能有積極影響。當完成一次實驗后，觀察ey和閾值的差值，如果曲線的幅值在給定的閾值之內，則認為此時的ω是符合控制要求的值；否則，調節(jié)ω的值以及容侵控制率ks直到曲線的幅值在給定閾值內。

影響跟蹤性能的參數(shù)是ω，而ω的取值范圍和量化密度ρ有關。當ρ的值越小，即量化效果的影響因素越大的時候，ω的可調節(jié)范圍越小。

需要注意的是，在實際情況中通常無法確定攻擊信號的確切表達式，而衡量攻擊估計性能的好壞需要從ey值的擬合程度去判斷。當狀態(tài)的估計值能夠跟蹤到其實際值時，此時認為得到的攻擊信號的估計值和真實信號十分接近。

4 結 論

針對受到量化影響的CPSs，設計了一種基于中間觀測器的安全控制方法，通過狀態(tài)和攻擊信號的估計值設計容侵控制器，并證明了閉環(huán)系統(tǒng)狀態(tài)一致最終有界。實驗結果證明該方法能夠抑制量化誤差的影響，在量化影響較大的情況下仍能保持較高的估計精度。因此本文提出的方法有一定的實際意義。