装备体系可靠性测试与评价框架

李梓 谢汶姝 马骥

摘  要：信息化条件下，信息技术的普遍运用颠覆了传统装备体系的概念，使战场对抗呈现出明显的体系化特征。装备体系是一个复杂巨系统，不再是武器和人员的简单加和，而是具备了信息物理系统的特征。该文基于信息物理系统的特征，对影响装备体系可靠性的内、外因素进行了详细分析，考虑这些因素提出了进行装备体系可靠性测试与评价的框架，包括硬件、软件、网络结构、网络性能、信息安全、弹性、脆性以及可靠性综合评估等内容。该文提出的技术策略可以为装备体系实施完整、动态和连续的测评提供有效的支持。

关键词：装备体系  可靠性  测评  框架

中图分类号：TB114.3                               文献标识码：A                         文章编号：1672-3791（2019）04（b）-0244-04

信息化条件下，信息技术的普遍运用颠覆了传统装备体系的概念，使战场对抗呈现出明显的体系化特征。作战战场扩展到了陆、海、空、天、电磁等多维空间。信息化条件下体系作战指的是战场对抗中，在指挥控制系统（或理解为C4ISR）的支撑下，各种作战要素、作战单元、作战系统融合成一个有机整体，共同感知战场态势，实时共享战场信息，准确协调战场行动，同步遂行作战任务。装备体系是一个复杂巨系统，不再是武器和人员的简单加和，而是具备了信息物理系统的特征。信息物理系统（Cyber Physical System，CPS）这一概念是由美国科学家Helen Gill于2006年在美国国家科学基金会上提出的[1]，是一系列计算进程和物理进程组件的紧密集成，通过计算核心监控物理实体的运行，而物理實体又借助于网络和计算组件实现对环境的感知和控制[2]。当前广泛使用的电力网络、交通网络、通讯网络、能源网络、空管网络、制造网络等关键基础设施越来越具备信息物理系统的特征。装备体系的深入研究和应用使其可靠性越发重要，一旦体系中的某一部分发生故障或遭到攻击，由于各分系统或模块的互联互通互操作，故障的传播将会产生巨大的连锁影响。目前由于对装备体系的信息物理故障规律认识不够、未能进行有效测评与验证，导致故障、事故频发，甚至造成重大损失和人员伤亡的例子时有发生。因此，开展基于CPS的装备体系可靠性测试与评价，以认识系统的故障规律，为保证系统可靠安全运行，在出现故障时快速响应、恢复以及系统优化改进提供支持，是亟待解决的问题。但由于装备体系的复杂性特点，增加了参数测量、模型建立、分析评价的难度和不确定性，给系统可靠性的测评带来了很大难度。

针对CPS的分析和测评已从各不同角度开展了大量研究，文献从软件的形式化建模[3]、属性的静态[4]和动态验证[5]方面，研究了CPS软件可信性验证方法;文献研究了基于代理的建模[6]（agent-based modeling）、物理实体的面向服务体系的建模[7]（Physical-Entity service oriented model）、基于UML框架的异质模型融合建模等CPS仿真建模方法[8]，在系统开发过程中对系统进行测试和验证;此外，CPS的信息安全是普遍关注的方向，利用攻击树[9]、贝叶斯攻击图[10]、Petri网[11]博弈论[12]等方法对网络攻击进行定量分析，利用概率风险评估、层次全息建模[13]对信息安全风险进行评估。可以看出，这些研究都是针对CPS的组成部分或关键性能进行的分析和测试，但在实践中如何针对整个系统形成完整的、全面的测试方案尚无人研究。

因此，该文对影响装备体系可靠性的内、外因素进行了详细分析，并提出了基于CPS的装备体系可靠性测试与评价框架，包括硬件、软件、网络结构、网络性能、信息安全、弹性、脆性以及可靠性综合评估等内容。

1  影响装备体系可靠性的因素分析

影响装备体系可靠安全运行的根本原因是故障，装备体系的故障原因可以分为内因和外因两类。

1.1 内因

内因是指影响装备体系可靠性的系统内部因素，包括硬件故障、软件故障、网络结构不合理和控制规则不合理。

装备体系组成结构为硬件和软件，在硬件上搭载具有计算功能的软件，硬件、软件通过有线或无线互联互通，以纯硬件或硬件与软件相结合的方式实现感知、连接、计算和控制等功能[14]。因此，硬件和软件是装备体系实现一切功能的基础和前提，这二者的故障直接影响装备体系功能的实现，使装备体系无法安全可靠运行。

硬件和软件是构成网络的要素，要将这些要素整合起来构成网络系统，则必然构成网络结构。网络结构是否合理，可能影响系统是否故障。网络结构包括拓扑结构和容量配置两方面。拓扑结构设置不合理，例如设计出易产生电磁等干扰的节点集中布局，必然容易造成传输错误;网络容量配置不合理，如网络流量大的地方容量分配不够，则必然引起拥塞，造成传输延时和/或传输丢失。

控制规则是指根据感知单元对环境和系统状态的感知结果，决定系统内部被控对象的运行方式，以实现系统功能的预先制定的规则。与网络结构相同，控制规则设计不合理，也可能蕴含必然的缺陷。如美国西部联合电网大停电，由于控制规则不合理，由单一元件跳闸逐步导致潮流瞬时转移、电压大幅波动、设备负载越限，进而发生一系列故障，最终发生大规模停电事故，系统崩溃。

1.2 外因

外因是指来自装备体系外部的因素，包括环境条件、运行模式和外部攻击，它们通过作用在系统上导致硬件或软件故障，进而影响系统可靠性。

环境条件包括自然环境和社会环境：自然环境条件是指系统在使用时的物理、化学和生物等条件，例如气候环境条件、生物环境条件、化学、机械等，自然环境不可避免地会对系统内的硬件产品产生影响，造成如磨损、腐蚀、老化等故障;社会环境包括政治环境、经济环境和法制环境等，对装备体系相关人员和理论、技术产生影响，引起系统演化，容易导致故障的发生。

运行模式是指装备体系为完成不同任务，或使系统安全、经济、合理运行，需要经常变更系统的运行方式，由此相应地会引起系统结构或参数的变化。

外部攻击是指来自系统外部的人或物的蓄意攻击，尤其是装备体系对于网络的依赖，使得系统面临网络的分布式拒绝服务攻击、蠕虫病毒、对Internet域名系统（DNS）的攻击和对路由器攻击或利用路由器的攻击等多种威胁，不但影响网络系统本身，还将形成链式反应，导致更加严重的后果。

2  装备体系可靠性测评框架

因此，综合考虑影响装备体系可靠性的因素，内因作为测评对象，外因作为测评的外部条件，该文提出装备体系可靠性测评技术的体系结构（如图1所示）。

装备体系可靠性测评的时机分为准入阶段和运行阶段：准入阶段是指为度量装备体系各产品投入使用前的可靠性，开展测试、检查、试验与评价活动，以验证和评价其是否符合规定要求;运行阶段是指在装备体系运行使用的过程中，各产品参数会随外部和内部条件发生变化，由于能够反映产品在实际使用环境和维修条件下的情况，运行阶段的测评比之试验数据更能代表产品的表现，通过监控、评估等手段评价系统实时的可靠性，为故障检测、定位和快速恢复提供支持。

为使装备体系正常实现功能、安全运行，应保证系统硬件可靠、软件可信、信息安全、网络连通可靠、控制规则完备，同时，在系统出现故障的情况下，能够快速进行故障诊断、故障定位、故障恢复，避免系统崩溃或造成更严重的后果。因此，测评内容可分为以下3项。

（1）对待测系统的组成结构、功能性能、控制规则、运行模式、使用环境和外部攻击情况进行分析，确定测评的方式和目标。

（2）对组成系统的硬件可靠性、软件可信性和网络可靠性进行测评，对整个系统的信息安全、弹性和脆性进行测评。

（3）根据各分立指标的测评结果，对系统可靠性进行综合评估。

硬件是具有特定形状的可分离的有形产品，是装备体系所有功能实现的基础。硬件可靠性水平低，对整个系统的各种特性都有影响。

软件是装备体系的重要组成部分，计算、决策等主要功能都由软件实现。装备体系属于软件密集型系统，即系统中的软件在系统研制费用、研制时间或系统功能特性等一个或多个方面占主导地位。随着软件的规模增大，软件缺陷引发的产品故障，甚至灾难性事故也越来越严重。因此在保证硬件可靠的基础上，还应保证软件的可信运行。对软件进行可信性测评，找出软件中的缺陷错误，并评价其可信性是否能够支持CPS的可靠安全运行。

网络作为装备体系的一个重要组成部分，是实现资源共享的基础，负责将每个具备网络模块的单元相互连接，以实现数据交换、资源共享和互操作。装备体系网络从无线传感网络技术脱胎而来，和无线传感网络不同的是其每一个物理部件都能无缝联入网络，能够实现动态重组，因而其网络能否长期稳定可靠对整个装备体系网络来说举足轻重。合理地评价和设计装备体系网络能够大幅提高装备体系的生存性和可靠性，降低由于网络故障导致的重大甚至是灾难性的后果。

此外，随着信息系统与控制系统的不断融合，装备体系更容易受到来自网络的攻击，病毒、蠕虫、木马等传统网络威胁成为体系面临的重要威胁。以关键基础设施为例，据权威工业安全事件信息库（Repository of industrial security Incidents，RISI）统计，2012年（截至10月），全球已发生200余起针对网络工业控制系统的攻击事件，超过了过去10年安全事件的总和。而2010年Stuxnet （“震网”）病毒攻击伊朗布什尔核电站造成20%的离心机失灵甚至是完全报废的安全事件，更标志着针对CPS的网络攻击从传统“软攻击”升级为直接攻击物理设备的“硬摧毁”[15]。因此，为帮助系统建立信息安全防护体系，评价系统安全性指标，需要对装备体系进行信息安全测评。

作为一个综合计算、网络和物理环境的多维复杂系统，装备体系的故障呈现出新的复杂特性和特殊机理以及复杂的故障行为。“鲁棒但又脆弱”是复杂系统的最重要和最基本的特征之一，这一特征同样也适用于信息物理系统。鲁棒是指在设计装备体系的过程中，人们考虑到了各种可能的干扰因素，系统在这些干扰因素的影响下，按照预先设定的控制规则，仍能够通过自组织等方式降低或避免事故的发生，防止系统崩溃;脆弱则是指存在个别意想不到的干扰，使得系統对这些干扰可能是极端脆弱的，小的扰动就可能导致系统崩溃甚至灾难性后果。前者表现为系统的弹性，为保证系统在出现故障的情况下仍然能够可靠安全运行，需要设置一定的控制规则，在系统故障时做出响应;后者则是由于装备体系具有脆性，指系统某一部分受到内、外因素的扰动或攻击产生崩溃，由此使得其他部分或整个系统受到直接或间接的影响，最终导致整个系统的崩溃，宏观上的表现是系统从一种有序状态（正常工作状态）转换到另一种相对无序的状态（崩溃状态）。

在对装备体系的硬件、软件、网络结构、弹性和脆性的特征分别测试后，可以从不同方面衡量系统的可靠性，但无法评价系统整体的状态，在运行过程中，实时获取整个系统的可靠性状态对故障响应、系统改进和风险预测具有重要的意义。因此，需要对装备体系可靠性进行综合评估，将各个方面的数据结合起来形成统一认识。

3  结语

该文基于信息物理系统的特征，对影响装备体系可靠性的内、外因素进行了详细分析，考虑这些因素提出了进行装备体系可靠性测试与评价的框架，通过对体系的组成结构、功能性能、控制规则、运行模式、使用环境和外部攻击进行分析，综合考虑硬件可靠性、软件可信性、网络结构及性能可靠性、信息安全、系统弹性和脆性，然后进行可靠性综合评估。这一框架可以为装备体系实施完整、动态和连续的测评提供有效的支持，并为建立装备体系测评系统和设备做了技术准备。

参考文献

[1] Lee， Seshia.Cyber Physical System[EB/OL].http：//cyberphysicalsystems.org/Cyber-Physical-Systems.html.

[2] Lee E A.Cyber physical systems： Design challenges： Object Oriented Real-Time Distributed Computing （ISORC）[A].IEEE International Symposium on[C].2008.

[3] Cortes L A， Eles P， Peng Z.Modeling and formal verification of embedded systems based on a Petri net representation[J].Journal of Systems Architecture， 2003（49）：571-598.

[4] Jia Y， Zhang Z， Xie S.Modeling and verification of interactive behavior for cyber-physical systems： Software Engineering and Service Science （ICSESS）[A].IEEE 2nd International Conference on[C].2011.

[5] Wang S， Ayoub A， Sokolsky O， et al.Runtime Verification of Traces under Recording Uncertainty[M].Springer Berlin Heidelberg， 2012.

[6] Lin J， Sedigh S， Miller A.A General Framework for Quantitative Modeling of Dependability in Cyber-Physical Systems： A Proposal for Doctoral Research.[A].Computer Software and Applications Conference[C].Annual IEEE International，2009：668-671.

[7] Huang J， Bastani F， Yen I L， et al.Extending service model to build an effective service composition framework for cyber-physical systems： Service-Oriented Computing and Applications （SOCA）[A].IEEE International Conference on[C].2009.

[8] 刘厦，王宇英，周兴社，等.面向CPS系统仿真的建模方法研究与设计[J].计算机科学，2012（39）：32-35.

[9] Ten C， Liu C， Govindarasu M.Vulnerability Assessment of Cybersecurity for SCADA Systems Using Attack Trees[A].Power Engineering Society General Meeting[C].2007.

[10] Zhang Y， Wang L， Xiang Y， et al.Power System Reliability Evaluation With SCADA Cybersecurity Considerations[A].IEEE Transactions on Smart Griad[C].2015.

[11] Chen T M， Sanchez-Aarnoutse J C， Buford J.Petri Net Modeling Of Cyber-Physical Attacks On Smart Grid[J]. Smart Grid， IEEE Transactions on， 2011，2（4）：741-749.

[12] Mahimkar A， Shmatikov V.Game-based analysis of denial-of-service prevention protocols[A]. In IEEE Computer Security Foundations Workshop[C].2005：287-301.

[13] Chittester Y Y H C， Chittester C G.A Roadmap for Quantifying the Efficacy of Risk Management of Information Security and Interdependent SCADA Systems[J].Journal of Homeland Security and Emergency Management，2005（2）.

[14] 黎作鹏，张天驰，张菁.信息物理融合系统（CPS）研究综述[J].计算机科学，2011，38（9）：25-31.

[15] Karnouskos S.Stuxnet worm impact on industrial cyber-physical system security[A].IECON 2011 - 37th Annual Conference on IEEE Industrial Electronics Society[C].2011.

①作者簡介：李梓（1990—），女，汉族，河北廊坊人，博士，工程师，研究方向：综合保障，复杂系统可靠性。