一种智能制造系统的易损性评价方法
2018-10-11杨龙
杨 龙
(中车青岛四方机车车辆股份有限公司,青岛 266111)
0 引言
智能制造是一种由智能机器和人类专家共同组成的人机一体化智能系统,它在制造过程中能进行智能活动,诸如分析、推理、判断、构思和决策等。通过人与智能机器的合作共事,去扩大、延伸和部分地取代人类专家在制造过程中的脑力劳动。并对人类专家的制造智能进行收集、存储、完善、共享、继承和发展[1]。
近些年随着智能制造技术的不断发展,智能制造系统与多系统集成交互信息和数据,使得智能制造系统被来自网络或其他系统攻击、损坏的现象变得越来越严重。
此外,基于互联网的计算机辅助工程工具,例如云计算为制造过程提供服务。这也间接地为网络攻击提供了一种捷径。
目前,智能制造系统安全常被视为纯粹的信息技术问题。然而,鉴于系统的信息物理性质,对这些系统的攻击很难用普通网络攻击办法来解决,如果网络攻击对制造业实体的威胁不能得到解决,则会使得实体设施和整个供应链处于网络攻击范畴之内。
智能制造系统本身即是信息物理系统,同时内部也包括多个子信息物理系统,而且与多个其他信息物理系统相互关联和集成。因此,信息物理系统安全是一个新型的尚处在发展阶段的研究领域,在关键技术和基础理论的研究上还有很多问题亟待解决[2]。本文提出了一种针对该系统易损性的评价方式。
1 方法及流程
为了认证智能制造系统中加工过程的信息-物理漏洞,本文提出的评价方法将基于以下理念:加工系统中的漏洞一般存在于网络、实体以及操作人互相之间交互的位置。
图1展示了这些实体和漏洞是怎么样与漏洞空间进行交互的。操作人、网络和实体之间的交互对应了一个期望的响应,但是实际得到的响应却由于漏洞空间(各类漏洞的集合)的存在而产生了变化。
本文提出的评价方法的第一步就是交互点的映射,同时分析漏洞对于每一个交互点的影响,如图2所示。
图2 易损性评价方法框架
但是,在这之前,应当做到深入了解制造过程、明晰数据的传递机制以及一个加工系统所必备的资源要求,这些都是本方法中的关键的输入条件。因此,在交互点映射之前,应当首先针对完整的过程对所关心的流程部分进行过程映射,该部分不是本文的论述内容,本文只论述与本文提出的方法相关的交叉点映射。
应该指出,这里提出的易损性评价方法适用于恶意、有指向的信息物理攻击,同时也适用于无目的性的、偶然的信息物理攻击。
1.1 交互点的映射
评价方法的第一步是通过整个生产过程跟踪不同的实体类型。为此,交叉映射被用于识别每一个生产流程中的实体,并借此追踪与该实体相关联的其他实体。制造者不仅可以通过生产过程跟踪以下四个实体,更重要的是它突出了网络物理受损最有可能发生的各个部分。下面将列出的四个实体分别是:
1)信息网络:信息网络用于数字信息的预处理、保存、传输、管理或后处理。例如:PLM、ERP、CAE、数据管理系统、数据挖掘和质量控制/检验报告系统等。
2)物理实体:物理实体是实质意义上的实体,其在制造系统中的作用无法完全由自动化系统所控制。例如:被制造的零件,人工操作的机床,原材料或中间材料,人工操作的检测设备等。
3)信息-物理实体:信息-物理实体被定义为任何具有信息网络和物理实体元素的实体,这些实体在有或没有人工监督运行的情况下自主地进行交互、生产。例如:计算机数字控制(CNC)机器、坐标测量机(CMM)、数据采集(DAQ)系统和SCADA网络。
4)操作者:在漏洞空间中,操作者也就是人为因素被定义为具有与制造系统中的其他实体都存在交互机会的实体。例如:IT人员、设计师、制造工程师、质量工程师、维护人员,运输和辅助人员等。
1.2 信息物理易损性的影响分析
分析交叉点处的特征,并基于该特征去评价该节点的易损性。这些节点的特征将被用作度量以确定这个漏洞的影响。这样的交叉点特征包括:信息的丢失、不一致性、相对频率、成熟度缺失、检测滞留时间。应该注意的是,每个指标将被列为低、中、高三个等级。低等级代表将受到较低的脆弱性影响,意味着比更高一级更安全一些。创建这些度量标准的决策树,以便于进行重复评估。每个决策树都提出了一些问题,通过回答这些问题来确定了信息物理漏洞的影响级别。下面将展开讨论针对不同特征的决策树情况。
1.2.1 信息丢失的度量
信息的丢失或改变会发生在一个流程节点的完成过程当中。例如,设计者头脑中的零部件信息与原始的CAD文件信息不对应,则在CAD信息文件与设计者之间相交互时会出现信息丢失或改变的现象。如图3所示,决策树中的第一个问题是确定节点本身的信息是丢失或改变,潜在的信息丢失会对信息物理系统造成严重的负面影响。考虑每个节点有两个输入,判断前两个节点的信息是否都被输入到本节点;然后第二个问题即是判断本节点是否获得了来自于上两个节点的信息。每种类型的交互(如操作者/操作者交互,操作者/信息交互,信息/物理实体交互等)都有自己的信息丢失决策树。
图3 信息丢失决策树
1.2.2 非一致性的度量
图4 非一致性度量决策树
考虑到过程映射中的每个节点均代表两个实体或源头的交互,则此处的决策树应该来决定到底有多少输入发生了变化,如图4所示。例如一台物理实体机器的操作者的变化都属于这类变化。
1.2.3 相对频率的度量
节点易损性决策过程中相对频率度量标示了制定节点相对于加工过程的重复次数。例如,如果一个公司只加工一件产品,该公司每天生产一个部件持续一年,则CAD文件的产生频率为1/365,对应的相对频率逼近0。同样的,计算机辅助制造节点的频率也为1/365;但是,实际加工节点的频率却为365/365,这是因为日常加工为重复过程,相对频率接近1。
1.2.4 成熟度缺失的度量
成熟度缺失指的是交互点处还未处于运行状态的时间量。对操作者来讲,成熟度缺失指代了操作者可能缺乏经验或者基本信任;一个新手机械师比起那个已经从事加工制造十年的人来说,成熟度要低一些。如图5所示该决策树考虑的是某指定节点的成熟度缺失的问题。第一个问题是决定信息源是否100%可信。典型的不可信的信息源例如一台崭新的机器,对其还不能做到完全熟知。第二个问题与这个信息源的熟练程度有关。
图5 成熟度缺失度量决策树
1.2.5 检测时间的度量
图6 检测时间度量决策树
检测时间为节点扰动和可能的检测之间所用的时间;该量不一定通过时间单位来量化,也可以用两流程之间的距离来量化。如果过程的输入最终被检测,则对应的决策树如图6所示;如果加工过程自始至终未被检测,则对应的检测时间度量为高级别。此外,第二个问题是判断检测发生时有多少后续节点受到了影响,这决定了漏洞可能影响的区域。
1.3 方法总结
以上提出的评价方法为两步法。如前所述,完整加工设施的过程映射是本方法的输入;交互点的映射是本方法的第一步,该步骤将过程映射中的所有交互信息转换为交互点的映射,需要注意的是每个交互点有两个输入和一个输出。交互点映射完毕后,则进入到易损性影响分析环节,该环节提出了5个度量指标,并通过决策树的形式实现。五个度量指标的实施顺序没有特定要求,可以打乱进行。
2 实例研究
本节将考虑一个零件的完整制造过程说明易损性评价方法,包括从设计意图到整理和质量控制的各个阶段。本节只考虑几个关键阶段来实施信息物理脆弱性评估流程,即制造过程规划和产品质量检测阶段。
制造过程规划主要有两个步骤:1)为由CAD设计者生成的部件创建一套加工设置,确保零件位置、毛坯件几何、基准以及其他过程特征参数的正确性;2)为工件加持设备生成一套类似的加工设置,该步骤由负责的机械师完成。应该指出的是,设计者和机械师有可这两个步骤中合作,机械师的现场经验通常是有非常有价值的,有可能使设计者重新调整设计。另一个阶段是质量检验阶段,由三个主要步骤组成:1)为要测量的零件搭建测试平台;2)使用预先制定的测试流程对零部件进行检测;3)对检测结果数据进行分析,从而确定零件是否符合所要求的规范。
整个过程中不管在制造过程规划阶段还是质量检验阶段,只要出现网络攻击、人为因素等,都将导致最终的结果与设计意图不符。
但只要采用本文中所述的评价方法逐个进行分析和论证,就将在分析阶段找到原因,制定合理可行的解决措施,防止意外的产生。
3 结论
本文提出的智能制造系统信息物理易损性评估方法为制造从业者提供了一个详尽的方法来认证系统中的漏洞以及漏洞可能导致的潜在危害,如果这些漏洞不被发觉,则会带来严重的负面影响。评价方法提供了现有智能制造系统的易损性发生的可能性和量化方式,有助于评估系统的网络物理安全状态并设计相应的缓解和预防技术,对实际使用具有非常重要的价值。