带有量化的信息物理系统安全控制①

朱俊威 吴 珺 冯 宇

(浙江工业大学信息工程学院 杭州 310023)

0 引 言

随着近年来计算机控制技术和电子硬件设备的快速发展，信息物理系统(cyber-physical systems，CPSs)在工业控制领域受到广泛应用。与传统数字控制系统相比，信息物理系统融合了网络资源和物理资源，将所有设备和网点通过通信网络连接在一起，大大提高了系统的时效性。如今，CPSs在工业现场、楼宇自动化、智能电网和智慧城市等领域中起着重要的作用。也正是由于网络环境的开放性，CPSs较传统控制网络面临更高的安全威胁。例如，2003年1月，SQLSlammer蠕虫病毒攻击了美国戴维斯贝斯核电站，使得过程控制中心连续数小时无法工作。2010年6月，stuxnet“震网”蠕虫病毒[1]突破西门子公司的数据采集与监控系统，对伊朗的布什尔核电站造成极大破坏。2012年“打印机木马”横扫美国、印度等国家，使得打印机疯狂打印毫无意义的内容，造成极大的浪费。诸如此类的工业控制网络攻击的例子屡见不鲜，在此背景下，CPSs的安全问题已经引起了政府企业和社会各界的广泛关注。

从控制的角度看，网络攻击通常被建模为一种附加信号，根据攻击的对象不同，攻击会影响控制器到执行器的通道，也会影响传感器到观测器的通道。针对复杂系统的攻击问题，一些研究着重考虑了攻击检测问题。Pasqualetti等人[2]从图论和系统理论的角度阐述基本检测的限制，提出了攻击检测的数学框架，并设计了集中式和分布式攻击检测观测器。Do[3]研究了智能电网中的攻击检测问题。Wang等人[4]设计了一个区间观测器来估计物理系统内部的区间状态，并用区间残差来取代传统攻击检测方法中的评价函数和检测门限。Miao等人[5]在输入端随机附加变量信号来改变传感器的输出，目的是增加攻击下的估计误差以使攻击被检测到。攻击检测主要关注攻击是否发生以及攻击发生的时间，另一些研究者侧重攻击估计问题，即不仅要知道攻击是否发生，还要能够跟踪到攻击的大小和具体波形，例如Alan等人[6]针对服务降级控制的数据注入攻击提出了一种链路监控策略，以辨识攻击中间人的线性时不变传递函数，且不会对系统造成干扰。Hu等人[7]针对受到网络攻击和通信故障下的电力系统设计了一种安全估计器来获得电网系统的动态性能并重构攻击信号。有些研究在攻击估计的基础上进一步完成了安全控制，例如，Hu等人[8]针对带有不确定性和量化的多智能体系统提出了一种自适应反馈控制，先用高增益观测器估计系统不确定性部分，再设计自适应输出反馈控制器以实现安全控制。

CPSs的开放性和自身的可靠性能提高了系统的安全性和可维护性，但同时网络中的不确定性无法避免，例如，当多信号共享系统信道时会产生数据拥挤从而导致网络时延[9]；在总线中传输的数据通常会经过多台下位机，线路复杂、通信情况较差时会发生丢包问题[10，11]；囿于通信带宽的限制，在设备交换信息和数据采样的过程中需要经过量化处理，这会导致信号失真，使得观测器难以对系统参数作出精确的估计[12，13]。其中量化过程不可避免，且量化的存在必然导致系统稳定性能下降。针对抑制量化误差影响的研究有，龙跃[14]研究了量化环境下的带有时延及丢包的网路控制系统在有限频率范围下的故障检测问题，将其转化为一个多目标优化问题。俞立等人[15]将量化器建模为系统不确定性部分，定义性能指标和设计鲁棒预测控制器来补偿系统中的量化和丢包现象。Elia和Mitter[16]研究了量化状态反馈控制器和量化状态估计器，并提供了一种有线数量级量化的对数量化器，并实现闭环系统的稳定性。欧洋等人[17]针对量化环境下的网络化不确定性系统设计了鲁棒预测控制器，通过性能指标来分析系统的性能上界和控制输入的收敛性。文献[15，17]是从传统鲁棒控制的角度出发，通过引入H∞性能指标来抑制量化误差的影响，实现鲁棒预测控制。朱俊威[18]针对故障诊断问题设计了一种中间观测器，在系统含有时延和丢包的情况下，对干扰和故障有非常好的估计效果。中间观测器通常用于故障诊断领域，也可以在攻击辨识问题上实现较好的估计效果，但是上述工作中大多数观测器在分析中都没有考虑到量化的情况，或者考虑了量化的影响但没有考虑对攻击作出估计。

基于上述分析本文主要做出如下几点工作：(1)首次考虑了量化下基于观测器的CPSs安全控制问题，而传统方法的重点主要放在时延[9]和丢包[10]问题上，对于量化问题没有充分考虑。(2)不同于处理量化问题的传统方法[17,19]，本文通过直接调节特定参数来抑制量化误差的影响，而不需要引进任何鲁棒性能指标，同时得到的闭环系统稳定性条件的保守性更小。(3)通过网络化运动控制系统验证了算法的有效性。

1 数学模型及问题描述

CPSs是数字化和网络化时代的产物，通过信息感知技术和信号传输技术将网络环境和物理设备融合起来，利用算法和计算机控制技术进行管理和调控，实现二者的深度融合。

本文考虑的CPSs结构框图如图1所示，在传感器将信息传输到观测器的通道上会受到量化影响，这条通道和控制器到执行器的传输通道也会受到未知网络攻击的影响。执行器、被控对象和传感器处于物理层中。

图1 带有量化的CPSs结构图

根据以上描述考虑下列离散系统：

x(k+1)=Ax(k)+Bu(k)+Bau(k)

y(k)=Cx(k)

(1)

式中，x(k)∈Rn为系统的状态量，u(k)∈Rm是控制输入，y(k)∈Rp为系统的测量输出，A、B、C为常数矩阵，其中A∈Rn×n，B∈Rn×m，C∈Rp×n。

考虑到攻击者也能访问通信网络，因此CPSs可能受到攻击，设置au(k)∈Rr为外部对执行器的攻击，B∈Rn×m为对应au的攻击分布矩阵；攻击者利用网络注入虚假数据，通过篡改量化器的输出值来破坏系统的控制和数据测量通道，同理在观测器侧接收到的测量值为s(k):

s(k)=(I+Δq)y(k)+Day(k)

(2)

式中，Δq∈Rp×n用来表示描述系统中的量化影响。设置ay(k)∈Rq为外部对传感器的网络攻击，D∈Rp×q是关于ay的攻击分布矩阵。au和ay互相不相关，分属不同的攻击。下面给出2个假设。

假设1攻击信号及其变化率是有界的，即存在：

‖au(k+1)-au(k)‖≤ηu

‖ay(k+1)-ay(k)‖≤ηy

其中ηu≥0且ηy≥0。

假设2执行器和传感器的攻击分布矩阵B和D是列满秩，即：

rank(B)=r且rank(D)=r

注释1假设1在大多数攻击估计的文献中被广泛使用，例如文献[14,18,19]。

注释2假设2是非常普遍的，文献[15,18]中也采用了这种假设。列满秩在攻击估计里是十分常见的，当矩阵非列满秩时观测器无法对攻击信号进行重构从而得到准确的估计值。

同时考虑观测器在CPSs环境下所存在的量化现象，量化过程将离散信号转换成数字信号，量化精度影响信息传输的准确性。本文考虑一种静态时不变量化器，即对数量化器。首先对该模型做出具体描述：定义量化密度为ρ∈(0,1)，给定对数量化器的输入为y(k)，输出为f(k)，则有f(k)=Q(y(k))，Q(y(k))表示相关的量化过程。

容易验证，对于量化器Q和0<ε<1，定义#g[ε]为区间[ε，ε-1]上的量化级数，则量化器满足：

其中，ηq表示量化器的量化密度。根据文献[2]易知，对于对数量化器满足ηq=2/[ln(1/ρ)]。该式表明ρ值和ηq值呈正相关，因此后文描述对数量化器时用ρ表示量化密度。

得到量化映射关系函数如下：

(3)

f(k)=Q(y(k))=(1+Δq)y(k)

其中，Δq∈[-τ,τ]。下文中使用该量化器来描述网络中的量化影响。

由于CPSs同时受到执行器和传感器攻击，需要观测器能够对状态和多个攻击信号实现准确估计，因此本文通过改进文献[18]的中间观测器方法来实现对量化环境下的CPSs状态和外部攻击等未知信号的同时估计。

综合式(1)～式(3)，本文闭环系统可描述为

x(k+1)=Ax(k)+Bu(k)+Bau(k)

y(k)=Cx(k)

s(k)=(Iq+Δq)Cx(k)+Day(k)

(4)

此时，式(1)和式(2)可改写为增广系统：

ζ(k+1)=Aaζ(k)+Bau(k)+Baau(k)

+May(k+1)

s(k)=Caζ(k)+ΔqCx(k)

(5)

设置中间变量如下：

(6)

其中，ω是可调整的参数，改变ω的值可以改善估计效果。此时可以确定设计的观测器为

(7)

同时设计容侵控制器为

(8)

(9)

本文着重解决量化下受攻击的CPSs系统的安全控制问题，设计中间观测器得到状态和攻击信号的估计值，并基于估计值设计容侵控制器，使得闭环系统的状态一致最终有界。

2 闭环系统稳定性分析

结合式(5)～式(9)可得出系统的闭环系统方程如下：

(10)

本节通过求解以下定理中所定义的线性矩阵不等式(linear matrix inequality， LMI)条件求解估计增益矩阵L。

<0 (11)

其中，aij位置上的*表示aji位置上元素的转置，

-P3

证明定义Lyapunov函数为

(12)

对上式求导，首先计算3个分量，由式(10)可得第1个分量的误差项为

xT(k+1)P1x(k+1)

=xT(k)(A-BKs)TP1(A-BKs)x(k)

考虑所定义的误差系统，得到第2个分量的误差项为

其中，He(P)=P+PT，对于非对称项和不确定项，由假设1可知存在参数ε>0使下面不等式成立：

整理上式得到如下结果：

其中，He(P)=P+PT，同理可以得到第3个分量eτ(k+1)的误差项为

关于不确定项Δy和Δu，由假设1可知存在参数ε>0使下面不等式成立：

整理上式并得到如下结果：

将上述结果代回到式(12)的变化率中得到如下结果：

Δv(k)=v(k+1)-v(k)

-P3

Δv(k)≤λmax(Σ)(‖x(k)‖2+‖eζ(k)‖2

+‖eτ(k)‖2)+β

(13)

同时，联合定理1可知：

v(k)≤λmax(P1)‖x(k)‖2+λmax(P2)‖eζ(k)‖2

+λmax(P3)‖eτ(k)‖2

≤max[λmax(P1),λmax(P2),λmax(P3)]

·(‖x(k)‖2+‖eζ(k)‖2+‖eτ(k)‖2)

由此，式(13)可以表达为

Δv(k)≤-κv(k)+β

Ω=

v(k)≥λmin(P1)‖x(k)‖2+λmin(P2)‖eζ(k)‖2

由此可知ΔV(k)≤0。根据李雅普诺夫稳定性理论，eζ(k)和eτ(k)都是有界的。所以闭环系统是一致有界最终有界的。在实际调节中，只需要通过调节参数ω即可影响整体估计效果。安全控制整体流程如图2所示。

图2 安全控制流程图

注释3本文主要工作是考虑CPSs中存在量化影响时观测器的设计和闭环系统的安全控制问题。针对网络不确定性的研究，以往的文献主要从时延[9,20，21]和丢包[11,22]的攻击估计问题考虑,但是均没有考虑量化因素的相关结果，因此本文主要针对量化环境下基于估计的安全控制问题作出研究。

注释4通过定理1得到估计增益L的作用是改善攻击估计的速度和准度，并抑制量化误差的影响。通过观测器对状态和攻击进行估计并设计容侵控制。传统的处理量化误差的方法通常是通过引入H∞性能指标将量化问题转化为鲁棒控制问题，如文献[17,19]，而本文通过直接调整参数ω来调节估计的效果，设计容侵反馈控制器调整控制效果，从而避免了引入其他性能指标。

3 实验仿真

为了验证上述定理的有效性，本节选用一个基于网络化运动控制系统的实验来验证上述定理。该运动系统由电机、交流伺服系统和PC上位机组成，并用CAN总线连接，如图3所示。PC上位机负责处理控制算法和数据，并通过总线将控制命令传输到各交流伺服系统，同时返回交流伺服系统的数据，例如速度、位移、力矩等信息，并把这些数据交给PC上位机进行处理。CAN总线负责实现分布式控制系统各节点之间的实时数据通信。交流伺服系统包含4个电机，受到ARM单片机的控制，同时单片机接受PC上位机的控制命令。

图3 网络化运动控制系统

P3=1.5799，

给定被控对象的初始条件为x(0)=[11]，观测器的初始状态设为零初始条件，实验结果如图4～图7所示。图4中将受到量化影响和网络攻击的系统和标称系统进行对比，s2表示在量化密度ρ=0.7下系统在攻击影响下的输出量，y2表示没有受到量化影响的系统的输出量，通过二者的比较可以看到在上述影响下系统的输出值呈现锯齿形状，表明了量化过程对系统的影响。图5和图6是在量化系统下，分别采用标称中间观测器和本文所设计的考虑量化的中间观测器对执行器攻击和传感器攻击的估计曲线对比图，图中虚线为估计值，实线为实际值，对应系统的量化密度ρ=0.7。其中图5为执行器攻击估计曲线，标称中间观测器在此时有较大误差，而本文所设计中间观测器能够很好地拟合攻击曲线。图6为传感器攻击估计曲线，可以看到二者对该攻击的跟踪性能较好。图7为状态响应曲线，可以看出，在攻击发生的情况下，系统状态依旧能够保持稳定。

图4 受到攻击的量化系统和标称系统输出比较

图5 执行器攻击信号估计曲线对比

图6 传感器攻击信号估计曲线对比

图7 状态响应曲线

ω的调节对估计性能有积极影响。当完成一次实验后，观察ey和阈值的差值，如果曲线的幅值在给定的阈值之内，则认为此时的ω是符合控制要求的值；否则，调节ω的值以及容侵控制率ks直到曲线的幅值在给定阈值内。

影响跟踪性能的参数是ω，而ω的取值范围和量化密度ρ有关。当ρ的值越小，即量化效果的影响因素越大的时候，ω的可调节范围越小。

需要注意的是，在实际情况中通常无法确定攻击信号的确切表达式，而衡量攻击估计性能的好坏需要从ey值的拟合程度去判断。当状态的估计值能够跟踪到其实际值时，此时认为得到的攻击信号的估计值和真实信号十分接近。

4 结 论

针对受到量化影响的CPSs，设计了一种基于中间观测器的安全控制方法，通过状态和攻击信号的估计值设计容侵控制器，并证明了闭环系统状态一致最终有界。实验结果证明该方法能够抑制量化误差的影响，在量化影响较大的情况下仍能保持较高的估计精度。因此本文提出的方法有一定的实际意义。