摘要

 

信息物理生产系统（CPPS）具有互联互通、高度集成、人机协同、数据驱动等特点，使其对工业生产过程可实施高效管控，同时也带来诸多安全挑战，包括传统预防/减轻措施降险能力减弱，信息物理深度融合、智能化等新技术和新产品带来的新的不可接受风险等，急需解决新形势下的功能安全问题、信息安全问题以及功能安全与信息安全协同问题。文中梳理了CPPS安全挑战与安全领域的映射关系，提出了协同功能安全和信息安全的安全一体化解决思路。

 

 

1、CPPS的概念和特点

 

信息物理系统（Cyber-physical System，CPS）是一个综合计算、网络和物理环境的多维复杂系统，它通过3C（Computer、Communication、Control）技术的有机融合与深度协作，实现对大型工程系统的实时感知、动态控制和信息服务[1]。信息物理生产系统（CPPS，Cyber-Physical Production System）是新型的、基于CPS的智能化生产系统，基于数据驱动和人机协同理念，通过物联网技术实现设备互联、生产环节互联和人机互联，其概念内涵如下：

(1) 以信息物理融合为基础

CPPS是基于先进的信息技术和工业生产技术深度融合的产物，实现生产系统与对应信息系统的深度双向交互。

(2) 高度集成化

CPPS将生产过程中的物质流、能源流、信息流的有机集成，能够与其他系统实现互联互通，形成一个高度协同的生产网络，实现大范围的全面信息感知。

(3) 人机协同

CPPS重视人员技能的发挥，使得人员能够参与智能化生产过程的规划、协调和监控。

(4) 数据驱动下的智能管控

对多源数据统一采集、处理和分析，基于数据实现对生产过程的协同控制和自主优化决策。

相比传统工业生产系统，CPPS在结构、功能、数据和安全机制等方面均具有更高复杂性：

(1) 结构方面

CPPS包含工业生产系统中的各类物理设备，如换热器、压缩机、管道、控制器、传感器等，及相应的软件系统，还广泛应用物联网、智能传感、边缘计算、工业智能等先进技术。与传统工业生产系统相比，CPPS设备和组件更加多样化，各类技术相互关联、交织，形成一个复杂的系统架构。

(2) 数据方面

CPPS中的各个组件和子系统需要通过数据交互来实现协同工作和实时监控。这包括传感器采集到的大量实时数据、设备之间的通信以及与上层系统（如SCADA系统、MES、ERP等）的数据交互。

(3) 功能方面

CPPS相较于传统工业生产系统，具有更高的实时数据采集、状态感知、生产过程控制和优化决策能力。

(4) 安全机制方面

CPPS涉及功能安全、电气安全、数据安全、信息安全等，系统架构和功能复杂性使其产生多方面的安全需求。

 

2、CPPS的应用

 

CPPS在石油天然气、化工、电力、船舶、汽车制造、基础设施等领域具有广泛应用前景。

在油气场站远程集中调控和无人值守模式运行，以及煤化工智能工厂建设中，CPPS都成为企业实现智能化生产运行的重要载体。在工业领域，一般可将CPPS按照特性分为信息域、耦合域、物理域。

物理域一般是指生产过程的工艺装置/系统；耦合域一般是指监测和控制生产过程的工业自动化网络/系统；信息域包括物理域、耦合域之外的信息网络系统，如企业的经营管理网络/系统。物理域、耦合域、信息域与网络环境、物理环境之间存在信息交互、能量交互。

 

3、CPPS面临的安全挑战

 

CPPS互联互通、高度集成、人机协同、数据驱动等特点使工业生产效率和质量大幅度提升的同时也带来诸多安全挑战。

在梳理安全挑战前，我们首先定义何谓安全，安全是不存在不可接受的风险。风险的定义是伤害发生可能性与该伤害严重性的组合。因此，为实现安全，需要将风险控制在可接受范围内，可实现的途径就是通过一些措施来降低危险事件发生的可能性（即预防措施）或者后果的严重性（即减轻措施）。而CPPS面临的安全挑战就包括：传统生产运行风险相关事件发生可能性或后果严重性的变化（即原始风险变化），传统预防/减轻措施降险能力的变化（减弱），以及新的不可接受风险的产生。

 

3.1、传统生产运行风险变化

 

CPPS的底座是生产系统，因此传统生产系统中设备异常状态、人员异常行为、环境异常变化带来的风险依然存在于CPPS的物理域和耦合域中，成为安全考虑的关键要素。传统工业生产中存在的典型危险源包括：易燃易爆或有毒的危险介质、设备故障/缺陷、人员异常行为、第三方活动、外部火灾、雷电、地质灾害等。

为控制生产风险，安全技术一直随着工业技术的发展在进步。第一次工业革命以机器代替手工，为抵御风险产生了机械安全；第二次工业革命以电力的广泛应用为显著特点，需要通过电气安全技术来保障安全。但机械安全和电气安全解决的主要是单个人员伤亡的安全问题。

随着自动化技术的发展，通过功能安全技术实现主动安全的理念日趋成熟。尤其在石油化工等过程工业领域，介质大多易燃易爆或有毒，生产过程高危，一旦发生安全事故，将导致大规模人员伤亡、财产损失和环境影响，后果严重，通过功能安全技术手段在危险事件发生之前将生产过程导入安全状态成为安全设计的必要选择，例如储罐液位高联锁关阀/停泵、反应器温度高联锁停止进料等都是典型的功能安全技术措施。

图1就是过程工业领域典型的保护层分布图，通过工艺和基本过程控制/监视设计实现固有安全（如设计裕量），通过一定量预防、减轻等保护层的设计实现功能安全，结合固有安全和功能安全达到工业生产运行的本质安全，目标是实现失误安全和故障安全，即操作者即使操作失误也不会受到伤害或发生其他事故，设备、设施或生产技术工艺即使发生故障也能暂时维持正常工作或自动进入安全状态。

 

图1 过程工业典型保护层分布图

然而，CPPS的互联互通、人机协同、结构及功能复杂等特点，在传统生产运行风险控制方面带来新挑战：

(1) 传统的功能安全技术措施（如安全仪表系统）面临更复杂的应用环境（如黑客攻击、恶意软件等信息安全威胁，人工智能AI的失控危险），其原本的降险能力（可信性）减弱。

(2) 外部影响因素增多、各单元相关性增强，使得原有风险相关事件发生可能性或后果严重性发生变化（原始风险变化），如某组件的随机故障或某员工的误操作原先可能仅影响本设备运行，在CPPS中可能会因设备间协作相关性增强，而造成后果影响传播扩散更为广泛；同时在CPPS复杂环境下，组件可能产生的失效模式可能超出以往经验。传统的经验数据已不再完全适用，原有的风险降低措施可能不足以将风险控制在可接受范围。

(3) CPPS整体架构正趋向于扁平化发展，系统固有脆弱性进一步增加，外部攻击至底层生产过程的链路进一步缩短，在对网络安全监测防护提出更高要求的同时，对功能安全措施也提出更高的风险降低能力要求。

此外，在CPPS中增加的新安全技术措施还可能与传统的功能安全技术措施产生冲突，如影响安全功能的响应时间，或阻碍安全功能执行，也导致传统功能安全技术措施降险能力减弱。

 

3.2 新技术和新产品带来的新安全问题

 

CPPS引入的各类新技术、新产品也带来各类新的不可接受风险，如：

(1) 信息物理融合带来的信息安全风险

传统工业生产系统与外界隔离，监控和控制操作大多在本地执行。CPPS架构下，原本封闭的工业控制系统增加了更多的接入设备和互联系统，企业之间和工厂内部各层级间互联互通，数据交互频繁复杂，系统呈现出信息域与物理域深度融合、结构元素间复杂耦合，这为外部攻击提供了更多类型的渠道和更广泛的攻击面，攻击者可以利用CPS漏洞，篡改控制系统（包括功能安全相关系统）的功能逻辑或数据，使系统受控/失控，进而对物理域生产系统实施破坏，引发严重的生产安全事故。

与此同时，工业生产系统结构复杂，软硬件众多，供应商、制造商各不相同，每个产品都可能存在安全漏洞或在集成/部署过程中存在意外行为，导致信息安全风险难以估计和防御。

此外，工业现场针对高危后果设置的功能安全相关系统（如安全仪表系统）如何部署网络安全防护以及网络安全防护如何不影响安全功能执行的问题尚未得到很好解决。

(2) 智能化带来的新安全问题

CPPS高度集成，提倡人机协同，大规模应用AI、大数据、云计算等智能化新技术，为人类提供更便捷的操作体验的同时，也带来新的安全问题。如：

1) 智能感知系统（如语音、视觉、触觉等感知技术措施）识别不准可能带来危险后果，造成系统失效或失控，需对其可信性进行评估；

2) 智能分析和控制系统（包括大数据、云计算以及大系统的互联互通）逻辑极度复杂，存在功能错误危险，造成系统失效或失控；同时如何安全的使用大数据和云计算也涉及信息安全问题；

3) 智能决策系统（包括认知、执行、学习等）决策模型成熟度不够可能导致决策错误进而引发生产异常；

4) 人机协作过程中AI可能会因为对危险情况的错误评估导致危险反应，也可能因为对人员行为的错误分析导致危险行为；同时人机协作安全措施失效或AI意外受控也可能对人员造成伤害；

人机协作导致危险的一个典型案例，2015年6月29日，德国汽车制造商大众位于保纳塔尔的工厂内，一名22岁的工人，被机器人抓住挤向一块金属板不幸身亡。

5) 智能化设备所处环境超出限制，或AGV小车等移动危险源因感知不准或失控也可能产生危险情况，如对人员伤害或对机器设备损伤。

 

3.3安全问题分析

 

针对CCPS面临的风险问题，笔者做了大致归类，与传统危险源有关的安全挑战主要体现在原始风险变化以及传统预防/减轻措施降险能力减弱，原始风险变化属于新形势下的功能安全问题，传统预防/减轻措施降险能力减弱属于功能安全及功能安全与信息安全协调问题；新技术和新产品都可能带来新的不可接受风险，导致系统失效、失控、受控等问题，需要解决新形势下的功能安全问题（如针对智能感知、智能分析控制、智能决策、人机协同和智能化设备等新技术新产品在不同生产运行场景下开展全面的危险和风险评估与保护层分析，合理设置降险措施）、信息安全问题以及功能安全与信息安全协同问题。

CPPS面临的安全挑战映射关系如图2所示，系统失效、失控、受控问题交织，涉及多维安全领域，唯有协同考虑是最佳途径。 

 

图2 CPPS面临的安全挑战映射关系图

 

4、CPPS安全问题的解决思路

 

在CPPS架构下，当前功能安全和信息安全割裂考虑的现状会带来诸多问题，如功能安全措施可能因信息安全事件导致降险能力减弱或完全丧失，信息安全设施在设计时未考虑功能安全需求而导致两安措施冲突，在CPPS系统受到信息安全攻击导致受控或失控后，功能安全措施未能及时协同响应而导致严重事故等。

因此需对功能安全和信息安全进行一体化的协同考虑，我们可将CPPS看作人体，有感知的五官、有分析和决策的大脑、也有执行动作的神经和四肢。为了保障健康运行，人体合理设置了皮肤、骨骼、粘膜作为屏障来抵御外部攻击和病毒/细菌侵入，一些病毒/细菌突破屏障进入人体后，我们自身的免疫系统可立即响应启动工作来对抗其可能对人体造成的损伤；与此同时，身体和免疫系统的异常又会通过皮肤的异常状态（温度、颜色、病变等）反映出来。当身体严重不适时，再通过吃药就医等外部力量干预；此外通过定期体检来评估我们的综合健康状态。这样，免疫系统和外部屏障形成一体化的保护系统协同行使人体健康保障职责，缺一不可，免疫系统本身也在外部屏障保护下运行，而外部屏障一般不影响免疫系统工作，一旦免疫系统崩溃，人体感知、分析决策和执行各环节都可能被侵蚀最终造成严重后果。

CPPS也一样，我们可建立信息安全和功能安全协同的安全一体化系统来保障系统安全运行。将信息安全防护作为外部屏障抵御病毒和恶意攻击，功能安全措施作为CPPS的免疫系统开展主动防御和响应，当信息安全防护失效，病毒或攻击侵入时，功能安全措施应能及时发现异常/偏差并触发保护（如导入安全状态）；同时，应在CPPS物理域和耦合域部署信息安全探测措施（如探针）实时监测运行异常，通过系统异常行为分析（如工艺参数偏离、异常报文等）判断并发出异常事件报警。当CPPS运行状态偏离严重时，通过外部干预启动紧急停机检修。同时通过定期的检验测试来评估CPPS健康状态和功能安全与信息安全一体化防护系统状态。功能安全系统在信息安全防护下运行，信息安全防护对功能安全的负面影响应控制在可接受范围，确保CPPS在信息安全防护失效后可通过功能安全实现风险可控。CPPS安全一体化示意如图3。

 

图3 CPPS安全一体化示意

安全一体化的核心目标是系统识别CPPS面临的危险，并建立高可信的两安协同防护系统将风险控制在可容忍的范围之内。为确保安全一体化系统设置合理，应在全生命周期贯彻安全一体化理念，包括：

(1) 建立统一的风险评估框架和融合安全目标，对CPPS内外部、新旧类危险源引起的失效、失控、受控问题进行全面分析，梳理多源风险演化路径，提出一体化的安全要求。

(2)基于安全要求开展安全一体化协同设计，保障CPPS可靠的执行指定的功能，考虑如何保障功能可信、执行可靠、不会意外受控，同时结合物理域特征合理设计异常侦测机制，为安全一体化风险实时感知提供基础。

(3)对安全一体化系统开展安全确认和相关评测，确保两安协同，风险可控。

(4)在运行阶段定期对安全一体化系统开展检验测试和系统加固，保障风险降低措施的安全完整性和信息安全防护能力。

(5)执行变更管理，在系统发生任何变化（包括出现新的安全威胁）后，开展影响分析，并根据分析结果返回到安全生命周期相关阶段（如安全要求分配），依次完成安全相关活动（如设计、确认等），确保风险依然可控。

(6)建立融合信息安全与功能安全的综合生产安全应急处置方案，将信息安全应急处置相关考虑融入生产安全应急响应中，综合考虑后果影响遏制、攻击遏制（如阻断恶意数据流）、人员安置、污染物处理、信息系统恢复、生产系统恢复，以及功能安全相关系统（如安全仪表系统SIS）的完整性确认。

 

5、结语

 

CPPS是当前工业领域智能化建设的主要载体，是具有广泛应用前景的新型架构，其安全保障问题不应被忽视。本文基于CPPS面临的安全挑战，提出了一种安全一体化解决思路，协同解决功能安全和信息安全问题，希望能与各领域用户、制造商、集成商、设计单位、研究院所携手共同建立可落地的CPPS安全技术体系，为工业领域高质量发展贡献力量。

 

 

 

作者：刘瑶，张鑫，王麟琨

 

参考文献

 

[1] 徐宗本. 数字化 网络化 智能化 把握新一代信息技术的聚焦点 [N].人民日报,2019-03-01(9).

[2] 郑佩祥.配电网CPS理论架构和典型场景应用[J].中国电力,2019,52(01):10-16+31.

[3] Timo Müller, Jazdi N , Schmidt J P ,et al.Cyber-Physical Production Systems: enhancement with a self-organized reconfiguration management[J]. 2020. DOI: 10.13140/RG.2.2.12562.48323/1

[4] Tao F , Qi Q , Wang L ,et al.Digital Twins and Cyber–Physical Systems toward Smart Manufacturing and Industry 4.0: Correlation and Comparison[J]. Engineering, 2019, 5(4):9.DOI:10.1016/j.eng.2019.01.014.