朱俊威 吳 珺 馮 宇

(浙江工業(yè)大學(xué)信息工程學(xué)院 杭州 310023)

0 引 言

隨著近年來計算機控制技術(shù)和電子硬件設(shè)備的快速發(fā)展，信息物理系統(tǒng)(cyber-physical systems，CPSs)在工業(yè)控制領(lǐng)域受到廣泛應(yīng)用。與傳統(tǒng)數(shù)字控制系統(tǒng)相比，信息物理系統(tǒng)融合了網(wǎng)絡(luò)資源和物理資源，將所有設(shè)備和網(wǎng)點通過通信網(wǎng)絡(luò)連接在一起，大大提高了系統(tǒng)的時效性。如今，CPSs在工業(yè)現(xiàn)場、樓宇自動化、智能電網(wǎng)和智慧城市等領(lǐng)域中起著重要的作用。也正是由于網(wǎng)絡(luò)環(huán)境的開放性，CPSs較傳統(tǒng)控制網(wǎng)絡(luò)面臨更高的安全威脅。例如，2003年1月，SQLSlammer蠕蟲病毒攻擊了美國戴維斯貝斯核電站，使得過程控制中心連續(xù)數(shù)小時無法工作。2010年6月，stuxnet“震網(wǎng)”蠕蟲病毒[1]突破西門子公司的數(shù)據(jù)采集與監(jiān)控系統(tǒng)，對伊朗的布什爾核電站造成極大破壞。2012年“打印機木馬”橫掃美國、印度等國家，使得打印機瘋狂打印毫無意義的內(nèi)容，造成極大的浪費。諸如此類的工業(yè)控制網(wǎng)絡(luò)攻擊的例子屢見不鮮，在此背景下，CPSs的安全問題已經(jīng)引起了政府企業(yè)和社會各界的廣泛關(guān)注。

從控制的角度看，網(wǎng)絡(luò)攻擊通常被建模為一種附加信號，根據(jù)攻擊的對象不同，攻擊會影響控制器到執(zhí)行器的通道，也會影響傳感器到觀測器的通道。針對復(fù)雜系統(tǒng)的攻擊問題，一些研究著重考慮了攻擊檢測問題。Pasqualetti等人[2]從圖論和系統(tǒng)理論的角度闡述基本檢測的限制，提出了攻擊檢測的數(shù)學(xué)框架，并設(shè)計了集中式和分布式攻擊檢測觀測器。Do[3]研究了智能電網(wǎng)中的攻擊檢測問題。Wang等人[4]設(shè)計了一個區(qū)間觀測器來估計物理系統(tǒng)內(nèi)部的區(qū)間狀態(tài)，并用區(qū)間殘差來取代傳統(tǒng)攻擊檢測方法中的評價函數(shù)和檢測門限。Miao等人[5]在輸入端隨機附加變量信號來改變傳感器的輸出，目的是增加攻擊下的估計誤差以使攻擊被檢測到。攻擊檢測主要關(guān)注攻擊是否發(fā)生以及攻擊發(fā)生的時間，另一些研究者側(cè)重攻擊估計問題，即不僅要知道攻擊是否發(fā)生，還要能夠跟蹤到攻擊的大小和具體波形，例如Alan等人[6]針對服務(wù)降級控制的數(shù)據(jù)注入攻擊提出了一種鏈路監(jiān)控策略，以辨識攻擊中間人的線性時不變傳遞函數(shù)，且不會對系統(tǒng)造成干擾。Hu等人[7]針對受到網(wǎng)絡(luò)攻擊和通信故障下的電力系統(tǒng)設(shè)計了一種安全估計器來獲得電網(wǎng)系統(tǒng)的動態(tài)性能并重構(gòu)攻擊信號。有些研究在攻擊估計的基礎(chǔ)上進一步完成了安全控制，例如，Hu等人[8]針對帶有不確定性和量化的多智能體系統(tǒng)提出了一種自適應(yīng)反饋控制，先用高增益觀測器估計系統(tǒng)不確定性部分，再設(shè)計自適應(yīng)輸出反饋控制器以實現(xiàn)安全控制。

CPSs的開放性和自身的可靠性能提高了系統(tǒng)的安全性和可維護性，但同時網(wǎng)絡(luò)中的不確定性無法避免，例如，當(dāng)多信號共享系統(tǒng)信道時會產(chǎn)生數(shù)據(jù)擁擠從而導(dǎo)致網(wǎng)絡(luò)時延[9]；在總線中傳輸?shù)臄?shù)據(jù)通常會經(jīng)過多臺下位機，線路復(fù)雜、通信情況較差時會發(fā)生丟包問題[10，11]；囿于通信帶寬的限制，在設(shè)備交換信息和數(shù)據(jù)采樣的過程中需要經(jīng)過量化處理，這會導(dǎo)致信號失真，使得觀測器難以對系統(tǒng)參數(shù)作出精確的估計[12，13]。其中量化過程不可避免，且量化的存在必然導(dǎo)致系統(tǒng)穩(wěn)定性能下降。針對抑制量化誤差影響的研究有，龍躍[14]研究了量化環(huán)境下的帶有時延及丟包的網(wǎng)路控制系統(tǒng)在有限頻率范圍下的故障檢測問題，將其轉(zhuǎn)化為一個多目標(biāo)優(yōu)化問題。俞立等人[15]將量化器建模為系統(tǒng)不確定性部分，定義性能指標(biāo)和設(shè)計魯棒預(yù)測控制器來補償系統(tǒng)中的量化和丟包現(xiàn)象。Elia和Mitter[16]研究了量化狀態(tài)反饋控制器和量化狀態(tài)估計器，并提供了一種有線數(shù)量級量化的對數(shù)量化器，并實現(xiàn)閉環(huán)系統(tǒng)的穩(wěn)定性。歐洋等人[17]針對量化環(huán)境下的網(wǎng)絡(luò)化不確定性系統(tǒng)設(shè)計了魯棒預(yù)測控制器，通過性能指標(biāo)來分析系統(tǒng)的性能上界和控制輸入的收斂性。文獻[15，17]是從傳統(tǒng)魯棒控制的角度出發(fā)，通過引入H∞性能指標(biāo)來抑制量化誤差的影響，實現(xiàn)魯棒預(yù)測控制。朱俊威[18]針對故障診斷問題設(shè)計了一種中間觀測器，在系統(tǒng)含有時延和丟包的情況下，對干擾和故障有非常好的估計效果。中間觀測器通常用于故障診斷領(lǐng)域，也可以在攻擊辨識問題上實現(xiàn)較好的估計效果，但是上述工作中大多數(shù)觀測器在分析中都沒有考慮到量化的情況，或者考慮了量化的影響但沒有考慮對攻擊作出估計。

基于上述分析本文主要做出如下幾點工作：(1)首次考慮了量化下基于觀測器的CPSs安全控制問題，而傳統(tǒng)方法的重點主要放在時延[9]和丟包[10]問題上，對于量化問題沒有充分考慮。(2)不同于處理量化問題的傳統(tǒng)方法[17,19]，本文通過直接調(diào)節(jié)特定參數(shù)來抑制量化誤差的影響，而不需要引進任何魯棒性能指標(biāo)，同時得到的閉環(huán)系統(tǒng)穩(wěn)定性條件的保守性更小。(3)通過網(wǎng)絡(luò)化運動控制系統(tǒng)驗證了算法的有效性。

1 數(shù)學(xué)模型及問題描述

CPSs是數(shù)字化和網(wǎng)絡(luò)化時代的產(chǎn)物，通過信息感知技術(shù)和信號傳輸技術(shù)將網(wǎng)絡(luò)環(huán)境和物理設(shè)備融合起來，利用算法和計算機控制技術(shù)進行管理和調(diào)控，實現(xiàn)二者的深度融合。

本文考慮的CPSs結(jié)構(gòu)框圖如圖1所示，在傳感器將信息傳輸?shù)接^測器的通道上會受到量化影響，這條通道和控制器到執(zhí)行器的傳輸通道也會受到未知網(wǎng)絡(luò)攻擊的影響。執(zhí)行器、被控對象和傳感器處于物理層中。

圖1 帶有量化的CPSs結(jié)構(gòu)圖

根據(jù)以上描述考慮下列離散系統(tǒng)：

x(k+1)=Ax(k)+Bu(k)+Bau(k)

y(k)=Cx(k)

(1)

式中，x(k)∈Rn為系統(tǒng)的狀態(tài)量，u(k)∈Rm是控制輸入，y(k)∈Rp為系統(tǒng)的測量輸出，A、B、C為常數(shù)矩陣，其中A∈Rn×n，B∈Rn×m，C∈Rp×n。

考慮到攻擊者也能訪問通信網(wǎng)絡(luò)，因此CPSs可能受到攻擊，設(shè)置au(k)∈Rr為外部對執(zhí)行器的攻擊，B∈Rn×m為對應(yīng)au的攻擊分布矩陣；攻擊者利用網(wǎng)絡(luò)注入虛假數(shù)據(jù)，通過篡改量化器的輸出值來破壞系統(tǒng)的控制和數(shù)據(jù)測量通道，同理在觀測器側(cè)接收到的測量值為s(k):

s(k)=(I+Δq)y(k)+Day(k)

(2)

式中，Δq∈Rp×n用來表示描述系統(tǒng)中的量化影響。設(shè)置ay(k)∈Rq為外部對傳感器的網(wǎng)絡(luò)攻擊，D∈Rp×q是關(guān)于ay的攻擊分布矩陣。au和ay互相不相關(guān)，分屬不同的攻擊。下面給出2個假設(shè)。

假設(shè)1攻擊信號及其變化率是有界的，即存在：

‖au(k+1)-au(k)‖≤ηu

‖ay(k+1)-ay(k)‖≤ηy

其中ηu≥0且ηy≥0。

假設(shè)2執(zhí)行器和傳感器的攻擊分布矩陣B和D是列滿秩，即：

rank(B)=r且rank(D)=r

注釋1假設(shè)1在大多數(shù)攻擊估計的文獻中被廣泛使用，例如文獻[14,18,19]。

注釋2假設(shè)2是非常普遍的，文獻[15,18]中也采用了這種假設(shè)。列滿秩在攻擊估計里是十分常見的，當(dāng)矩陣非列滿秩時觀測器無法對攻擊信號進行重構(gòu)從而得到準(zhǔn)確的估計值。

同時考慮觀測器在CPSs環(huán)境下所存在的量化現(xiàn)象，量化過程將離散信號轉(zhuǎn)換成數(shù)字信號，量化精度影響信息傳輸?shù)臏?zhǔn)確性。本文考慮一種靜態(tài)時不變量化器，即對數(shù)量化器。首先對該模型做出具體描述：定義量化密度為ρ∈(0,1)，給定對數(shù)量化器的輸入為y(k)，輸出為f(k)，則有f(k)=Q(y(k))，Q(y(k))表示相關(guān)的量化過程。

容易驗證，對于量化器Q和0<ε<1，定義#g[ε]為區(qū)間[ε，ε-1]上的量化級數(shù)，則量化器滿足：

其中，ηq表示量化器的量化密度。根據(jù)文獻[2]易知，對于對數(shù)量化器滿足ηq=2/[ln(1/ρ)]。該式表明ρ值和ηq值呈正相關(guān)，因此后文描述對數(shù)量化器時用ρ表示量化密度。

得到量化映射關(guān)系函數(shù)如下：

(3)

f(k)=Q(y(k))=(1+Δq)y(k)

其中，Δq∈[-τ,τ]。下文中使用該量化器來描述網(wǎng)絡(luò)中的量化影響。

由于CPSs同時受到執(zhí)行器和傳感器攻擊，需要觀測器能夠?qū)顟B(tài)和多個攻擊信號實現(xiàn)準(zhǔn)確估計，因此本文通過改進文獻[18]的中間觀測器方法來實現(xiàn)對量化環(huán)境下的CPSs狀態(tài)和外部攻擊等未知信號的同時估計。

綜合式(1)～式(3)，本文閉環(huán)系統(tǒng)可描述為

x(k+1)=Ax(k)+Bu(k)+Bau(k)

y(k)=Cx(k)

s(k)=(Iq+Δq)Cx(k)+Day(k)

(4)

此時，式(1)和式(2)可改寫為增廣系統(tǒng)：

ζ(k+1)=Aaζ(k)+Bau(k)+Baau(k)

+May(k+1)

s(k)=Caζ(k)+ΔqCx(k)

(5)

設(shè)置中間變量如下：

(6)

其中，ω是可調(diào)整的參數(shù)，改變ω的值可以改善估計效果。此時可以確定設(shè)計的觀測器為

(7)

同時設(shè)計容侵控制器為

(8)

(9)

本文著重解決量化下受攻擊的CPSs系統(tǒng)的安全控制問題，設(shè)計中間觀測器得到狀態(tài)和攻擊信號的估計值，并基于估計值設(shè)計容侵控制器，使得閉環(huán)系統(tǒng)的狀態(tài)一致最終有界。

2 閉環(huán)系統(tǒng)穩(wěn)定性分析

結(jié)合式(5)～式(9)可得出系統(tǒng)的閉環(huán)系統(tǒng)方程如下：

(10)

本節(jié)通過求解以下定理中所定義的線性矩陣不等式(linear matrix inequality， LMI)條件求解估計增益矩陣L。

<0 (11)

其中，aij位置上的*表示aji位置上元素的轉(zhuǎn)置，

-P3

證明定義Lyapunov函數(shù)為

(12)

對上式求導(dǎo)，首先計算3個分量，由式(10)可得第1個分量的誤差項為

xT(k+1)P1x(k+1)

=xT(k)(A-BKs)TP1(A-BKs)x(k)

考慮所定義的誤差系統(tǒng)，得到第2個分量的誤差項為

其中，He(P)=P+PT，對于非對稱項和不確定項，由假設(shè)1可知存在參數(shù)ε>0使下面不等式成立：

整理上式得到如下結(jié)果：

其中，He(P)=P+PT，同理可以得到第3個分量eτ(k+1)的誤差項為

關(guān)于不確定項Δy和Δu，由假設(shè)1可知存在參數(shù)ε>0使下面不等式成立：

整理上式并得到如下結(jié)果：

將上述結(jié)果代回到式(12)的變化率中得到如下結(jié)果：

Δv(k)=v(k+1)-v(k)

-P3

Δv(k)≤λmax(Σ)(‖x(k)‖2+‖eζ(k)‖2

+‖eτ(k)‖2)+β

(13)

同時，聯(lián)合定理1可知：

v(k)≤λmax(P1)‖x(k)‖2+λmax(P2)‖eζ(k)‖2

+λmax(P3)‖eτ(k)‖2

≤max[λmax(P1),λmax(P2),λmax(P3)]

·(‖x(k)‖2+‖eζ(k)‖2+‖eτ(k)‖2)

由此，式(13)可以表達為

Δv(k)≤-κv(k)+β

Ω=

v(k)≥λmin(P1)‖x(k)‖2+λmin(P2)‖eζ(k)‖2

由此可知ΔV(k)≤0。根據(jù)李雅普諾夫穩(wěn)定性理論，eζ(k)和eτ(k)都是有界的。所以閉環(huán)系統(tǒng)是一致有界最終有界的。在實際調(diào)節(jié)中，只需要通過調(diào)節(jié)參數(shù)ω即可影響整體估計效果。安全控制整體流程如圖2所示。

圖2 安全控制流程圖

注釋3本文主要工作是考慮CPSs中存在量化影響時觀測器的設(shè)計和閉環(huán)系統(tǒng)的安全控制問題。針對網(wǎng)絡(luò)不確定性的研究，以往的文獻主要從時延[9,20，21]和丟包[11,22]的攻擊估計問題考慮,但是均沒有考慮量化因素的相關(guān)結(jié)果，因此本文主要針對量化環(huán)境下基于估計的安全控制問題作出研究。

注釋4通過定理1得到估計增益L的作用是改善攻擊估計的速度和準(zhǔn)度，并抑制量化誤差的影響。通過觀測器對狀態(tài)和攻擊進行估計并設(shè)計容侵控制。傳統(tǒng)的處理量化誤差的方法通常是通過引入H∞性能指標(biāo)將量化問題轉(zhuǎn)化為魯棒控制問題，如文獻[17,19]，而本文通過直接調(diào)整參數(shù)ω來調(diào)節(jié)估計的效果，設(shè)計容侵反饋控制器調(diào)整控制效果，從而避免了引入其他性能指標(biāo)。

3 實驗仿真

為了驗證上述定理的有效性，本節(jié)選用一個基于網(wǎng)絡(luò)化運動控制系統(tǒng)的實驗來驗證上述定理。該運動系統(tǒng)由電機、交流伺服系統(tǒng)和PC上位機組成，并用CAN總線連接，如圖3所示。PC上位機負責(zé)處理控制算法和數(shù)據(jù)，并通過總線將控制命令傳輸?shù)礁鹘涣魉欧到y(tǒng)，同時返回交流伺服系統(tǒng)的數(shù)據(jù)，例如速度、位移、力矩等信息，并把這些數(shù)據(jù)交給PC上位機進行處理。CAN總線負責(zé)實現(xiàn)分布式控制系統(tǒng)各節(jié)點之間的實時數(shù)據(jù)通信。交流伺服系統(tǒng)包含4個電機，受到ARM單片機的控制，同時單片機接受PC上位機的控制命令。

圖3 網(wǎng)絡(luò)化運動控制系統(tǒng)

P3=1.5799，

給定被控對象的初始條件為x(0)=[11]，觀測器的初始狀態(tài)設(shè)為零初始條件，實驗結(jié)果如圖4～圖7所示。圖4中將受到量化影響和網(wǎng)絡(luò)攻擊的系統(tǒng)和標(biāo)稱系統(tǒng)進行對比，s2表示在量化密度ρ=0.7下系統(tǒng)在攻擊影響下的輸出量，y2表示沒有受到量化影響的系統(tǒng)的輸出量，通過二者的比較可以看到在上述影響下系統(tǒng)的輸出值呈現(xiàn)鋸齒形狀，表明了量化過程對系統(tǒng)的影響。圖5和圖6是在量化系統(tǒng)下，分別采用標(biāo)稱中間觀測器和本文所設(shè)計的考慮量化的中間觀測器對執(zhí)行器攻擊和傳感器攻擊的估計曲線對比圖，圖中虛線為估計值，實線為實際值，對應(yīng)系統(tǒng)的量化密度ρ=0.7。其中圖5為執(zhí)行器攻擊估計曲線，標(biāo)稱中間觀測器在此時有較大誤差，而本文所設(shè)計中間觀測器能夠很好地擬合攻擊曲線。圖6為傳感器攻擊估計曲線，可以看到二者對該攻擊的跟蹤性能較好。圖7為狀態(tài)響應(yīng)曲線，可以看出，在攻擊發(fā)生的情況下，系統(tǒng)狀態(tài)依舊能夠保持穩(wěn)定。

圖4 受到攻擊的量化系統(tǒng)和標(biāo)稱系統(tǒng)輸出比較

圖5 執(zhí)行器攻擊信號估計曲線對比

圖6 傳感器攻擊信號估計曲線對比

圖7 狀態(tài)響應(yīng)曲線

ω的調(diào)節(jié)對估計性能有積極影響。當(dāng)完成一次實驗后，觀察ey和閾值的差值，如果曲線的幅值在給定的閾值之內(nèi)，則認為此時的ω是符合控制要求的值；否則，調(diào)節(jié)ω的值以及容侵控制率ks直到曲線的幅值在給定閾值內(nèi)。

影響跟蹤性能的參數(shù)是ω，而ω的取值范圍和量化密度ρ有關(guān)。當(dāng)ρ的值越小，即量化效果的影響因素越大的時候，ω的可調(diào)節(jié)范圍越小。

需要注意的是，在實際情況中通常無法確定攻擊信號的確切表達式，而衡量攻擊估計性能的好壞需要從ey值的擬合程度去判斷。當(dāng)狀態(tài)的估計值能夠跟蹤到其實際值時，此時認為得到的攻擊信號的估計值和真實信號十分接近。

4 結(jié) 論

針對受到量化影響的CPSs，設(shè)計了一種基于中間觀測器的安全控制方法，通過狀態(tài)和攻擊信號的估計值設(shè)計容侵控制器，并證明了閉環(huán)系統(tǒng)狀態(tài)一致最終有界。實驗結(jié)果證明該方法能夠抑制量化誤差的影響，在量化影響較大的情況下仍能保持較高的估計精度。因此本文提出的方法有一定的實際意義。