具有輸入量化的信息物理系統(tǒng)的安全控制

賈欣婷, 鄭柏超,2*, 劉曉光, 賈忠益

(1.南京信息工程大學自動化學院， 南京 210044； 2.江蘇省大氣環(huán)境與裝備技術協(xié)同創(chuàng)新中心， 南京 210044；3.海軍大連艦艇學院航海系， 大連 116018)

信息物理系統(tǒng)(cyber-physical systems, CPS)是一種信息系統(tǒng)和物理系統(tǒng)的融合體，具體是一個通過實時感知物理系統(tǒng)狀態(tài)，而后在信息系統(tǒng)內(nèi)通過模型分析形成對物理系統(tǒng)的調(diào)控策略，再對物理系統(tǒng)執(zhí)行調(diào)控的循環(huán)迭代過程[1]。與傳統(tǒng)的控制系統(tǒng)相比，信息物理系統(tǒng)具有低成本、 低功耗、安裝和維護簡便以及易于實現(xiàn)遠程控制等優(yōu)點。因此，信息物理系統(tǒng)在制造業(yè)、航空航天、交通運輸、民用基礎設施、醫(yī)療保健、智能電網(wǎng)等領域得到廣泛應用[2-5]。同時，隨著信息技術的不斷發(fā)展，網(wǎng)絡安全方面的問題[6-9]成為了當下的一個熱點。

從信息物理系統(tǒng)的安全性考慮，由于信息物理系統(tǒng)使用開放的通信設備，攻擊者可以通過訪問網(wǎng)絡層并篡改系統(tǒng)測量和控制輸入數(shù)據(jù)，從而嚴重影響系統(tǒng)的性能和完整性[10]。由于惡意攻擊者的陰謀可能導致攻擊信號無法檢測到，因此，在針對執(zhí)行器攻擊的信息物理系統(tǒng)的彈性和可靠控制問題中，文獻[11]提出了一種基于事件觸發(fā)的安全觀測器控制策略。在文獻[12]中，提出了自適應控制體系結構來緩解信息物理系統(tǒng)中的傳感器攻擊以恢復系統(tǒng)性能。在文獻[13]中，同時考慮傳感器和執(zhí)行器攻擊，提出了自適應控制策略以確保系統(tǒng)的穩(wěn)定性。在文獻[14]中，提出了針對頻率約束的傳感器和執(zhí)行器在無報警情況下攻擊的相應彈性控制方法。

另外，由于將網(wǎng)絡嵌入到實時控制回路之中，數(shù)字通信在現(xiàn)代工業(yè)控制系統(tǒng)中的廣泛應用，不可避免地引入了信道帶寬限制的問題，如數(shù)字網(wǎng)絡傳送信號的量化誤差。對于網(wǎng)絡系統(tǒng)量化反饋控制問題，已經(jīng)有不少信號量化領域的成果發(fā)表，信號量化的過程可以看作是編碼和解碼的過程，在文獻[15]中，針對具有輸入量化和外部擾動的不確定線性系統(tǒng)，設計了狀態(tài)反饋控制器。然而該方法未考慮實踐中可能導致量化編碼/解碼參數(shù)不匹配的問題。針對此缺陷，文獻[16]研究了具有量化參數(shù)不匹配的線性系統(tǒng)的控制器的設計。以上文獻都是將通信網(wǎng)絡中的網(wǎng)絡攻擊和信號量化獨立進行研究的，所以在這些通信約束的基礎上，如何對信息物理系統(tǒng)進行穩(wěn)定性分析與控制器設計，是當前的研究重點。

現(xiàn)針對信息物理系統(tǒng)，研究其在執(zhí)行器攻擊、外部干擾和量化編碼器/解碼器參數(shù)不匹配情況下的控制器設計。魯棒自適應控制器包括線性和非線性兩部分：線性部分的增益由線性矩陣不等式給出，旨在考慮信息物理系統(tǒng)H2性能問題；非線性部分用于消除外部干擾、量化誤差以及抑制或抵消隱蔽式假數(shù)據(jù)執(zhí)行器攻擊對系統(tǒng)的影響，以確保閉環(huán)系統(tǒng)的穩(wěn)定。

1 預備知識及問題描述

1.1 預備知識

1.2 問題描述

CPS系統(tǒng)結構如圖1所示。它由物理系統(tǒng)層，網(wǎng)絡層以及控制層組成。物理系統(tǒng)、異常檢測器、編碼/解碼器不匹配和執(zhí)行器攻擊的模型描述如下。

圖1 信息物理系統(tǒng)結構圖Fig.1 The structure of cyber-physical systems

1.2.1 物理系統(tǒng)

CPS物理系統(tǒng)模型由連續(xù)線性時不變的狀態(tài)空間表達式形式來描述：

(1)

1.2.2 執(zhí)行器攻擊

執(zhí)行器攻擊是一種網(wǎng)絡攻擊，即虛假數(shù)據(jù)注入攻擊，其主要特征是攻擊者可以將錯誤或期望的數(shù)據(jù)注入到通過網(wǎng)絡層傳輸?shù)目刂戚斎胄盘栔幸詫崿F(xiàn)隱身和欺騙的目的，使得系統(tǒng)的性能受到損害。攻擊的形式類似于文獻[17-18]中的形式，受損的控制輸入為

(2)

1.2.3 編碼器/解碼器不匹配

控制系統(tǒng)的執(zhí)行過程越來越多地采用遠程通信或數(shù)字方式來實現(xiàn)，而數(shù)字通信網(wǎng)絡往往受到通信帶寬、有限數(shù)據(jù)率等困擾，所以通常需要對所測得的信息進行量化處理。量化器Q(·)由向最接近的整數(shù)舍入的函數(shù)q(·)定義，采用如下的量化器形式：

(3)

式(3)中：μc(t)和μd(t)分別為編碼側和解碼側的量化靈敏度參數(shù)，令r(t)=μd(t)/μc(t)，理想情況下μc(t)和μd(t)是相等的，即r(t)≡1。然而在實際控制工程中，由于硬件執(zhí)行不理想，該要求顯然是非常嚴格且難以實施的，所以本文考慮量化不匹配更一般的情況，

綜合式(1)～式(3)，建立CPS動態(tài)方程模型為

(4)

(5)

假設系統(tǒng)(4)配備了基于觀測器的異常檢測器來檢查可能的異常情況。觀測器形式如式(6)所示。

(6)

(7)

令g(t)=ζT(t)ζ(t)，異常檢測器的檢測準則為

(8)

式(8)中：Jth是閾值；H0表示系統(tǒng)正常運行；H1表示系統(tǒng)異常，檢測器觸發(fā)警報。

為了得到系統(tǒng)隱蔽式攻擊的上界，令d(t)=0，式(7)變?yōu)?/p>

(9)

(10)

(11)

根據(jù)式(11)可以得到系統(tǒng)隱蔽式攻擊的上界為

δ2≤J0

(12)

(13)

(14)

δ2≤J2

(15)

在給出本文的控制器設計之前，首先引入如下的性能指標的概念[12]：

(16)

式(16)中：Q和R是給定的對稱正定加權矩陣；K是控制器中給出的線性反饋增益矩陣。

2 魯棒控制器的設計

在無警報情況下，攻擊也可能發(fā)生，從而降低系統(tǒng)性能。所以，在本文中針對上述未觸發(fā)警報的信息物理系統(tǒng)[式(4)]，設計一種新型魯棒控制器來消除隱蔽式攻擊、量化參數(shù)不匹配以及干擾對系統(tǒng)的影響，從而保證閉環(huán)系統(tǒng)的穩(wěn)定性并同時實現(xiàn)CPS的最佳性能J(t)。

對系統(tǒng)[式(4)]，設計如下的魯棒自適應控制器:

u(t)=Kx(t)+un(t)+ua(t)

(17)

式(17)中：線性部分Kx(t)中的增益K待求，使系統(tǒng)實現(xiàn)式(16)的H2性能；un(t)與ua(t)為控制器的非線性部分，其中：

(18)

un(t)為處理量化誤差和外部干擾對系統(tǒng)的影響，

(19)

ua(t)為抑制或抵消狀態(tài)相關的執(zhí)行器攻擊對系統(tǒng)的影響；σ(t)是滿足式(20)的正函數(shù)：

(20)

(21)

式(21)中：參數(shù)η為正的調(diào)節(jié)增益。

min Trace(M)

(22)

(23)

式中：Γ=AX+XAT+rBW+rWTBT，當取控制器增益矩陣K=WX-1，則由式(17)給出的滿足式(18)～式(21)的控制器能使閉環(huán)系統(tǒng)是漸近穩(wěn)定的。當δa[t,x(t)]=0時，系統(tǒng)滿足H2性能，并可以通過最小化矩陣M的跡來達到最小的H2性能上界。

Ax(t)+rB(u+eμc)+μdBδa[t,x(t)]+Bd(t)=

Ax(t)+rB[Kx(t)+un+ua+eμc]+

μdBδa[t,x(t)]+Bd(t)

(24)

和

(25)

取Lyapunov函數(shù)：

(26)

對V(t)沿系統(tǒng)[式(24)]關于時間t求導得：

xT(ATP+PA+rKTBTP+rPBK)x+

2rxTPB(un+eμc+ua)+

(27)

2rxTPB(un+eμc)+2xTPBd≤2rxTPBun+

利用通分，配方等技術可得：

(28)

如果不等式

ATP+PA+rKTBTP+rPBK+Q+KTRK<0

(29)

成立，可以得到：

(30)

在式(30)兩邊同乘以P-1，令X=P-1以及W=KP-1，根據(jù)Schur補引理，可以得到如式(22)的不等式。

(31)

對式(30)兩邊進行時間[t0,t]上積分，得：

(32)

進一步，結合式(31)和式(32)可以得到：

(33)

因此，ξ(t)是一致有界的，意味著x(t)也是一致有界的，所以x(t)是一致連續(xù)的。根據(jù)式(32)以及V[ξ(t)]≥0，可得：

(34)

從上述結論可以看出系統(tǒng)H2性能的上界與系統(tǒng)的初始狀態(tài)x(0)有關，而在實際應用中，很難精確確定系統(tǒng)的初始狀態(tài)，為了克服這一困難，可以假定初始狀態(tài)x(0)是一個滿足E{x(0)xT(0)}=I的零均值隨機變量。通過考慮性能指標的期望值，得到

(35)

所以，系統(tǒng)性能的上界與矩陣P的跡有關，定理1中的約束條件[式(23)]等價于M>P>0，因此，對于δa[t,x(t)]=0的情況，可以最小化矩陣M的跡來達到最小的H2性能上界。由此定理1證明完畢。

3 數(shù)值仿真

根據(jù)定理1，選取參數(shù)矩陣Q=I2，R=0.1，利用線性矩陣不等式工具箱求解式(22)～式(23)可得：

為說明隱蔽式虛假數(shù)據(jù)注入攻擊和輸入量化對系統(tǒng)的影響以及本文算法的優(yōu)越性，仿真中考慮如下三類情況。

(1)考慮隱蔽式虛假數(shù)據(jù)注入攻擊的信息物理系統(tǒng)，僅采用線性狀態(tài)反饋控制。

(2)同時考慮虛假數(shù)據(jù)注入攻擊和輸入量化靈敏度參數(shù)不匹配的信息物理系統(tǒng)，僅采用線性狀態(tài)反饋控制。

(3)同時考慮虛假數(shù)據(jù)注入攻擊、輸入量化靈敏度參數(shù)不匹配和外部干擾的信息物理系統(tǒng)，采用本文提出的式(17)～式(21)魯棒自適應控制算法。

情況① 運用MATLAB/Simulink對算例進行仿真，在線性狀態(tài)反饋控制u=Kx(t)的作用下，閉環(huán)系統(tǒng)[式(4)]的狀態(tài)軌跡和控制輸入分別如圖2和圖3所示，異常檢測器的曲線軌跡如圖4所示?？梢钥闯?，當系統(tǒng)遭受隱蔽式虛假數(shù)據(jù)注入攻擊時，檢測器并未觸發(fā)警報，但系統(tǒng)的狀態(tài)和輸入響應不能收斂到零，系統(tǒng)控制性能較差。

圖2 執(zhí)行器攻擊下系統(tǒng)狀態(tài)響應曲線Fig.2 Response curves of system state under actuator attack

圖3 執(zhí)行器攻擊下系統(tǒng)控制輸入響應曲線Fig.3 Response curve of system control input under actuator attack

圖4 執(zhí)行器攻擊下檢測函數(shù)響應曲線Fig.4 Response curve of detector under actuator attack

情況② 運用MATLAB/Simulink對算例進行仿真，在線性狀態(tài)反饋控制u=Kx(t)的作用下，得到系統(tǒng)的狀態(tài)和控制輸入響應曲線如圖5和圖6所示，與情況①的響應曲線相比，僅是區(qū)間震蕩的系統(tǒng)狀態(tài)和控制輸入直接趨向于發(fā)散，呈現(xiàn)不穩(wěn)定現(xiàn)象，說明輸入量化靈敏度參數(shù)不匹配對系統(tǒng)性能的影響。

圖5 執(zhí)行器攻擊和量化不匹配下系統(tǒng)狀態(tài)響應曲線Fig.5 Response curves of system state under actuator attack and quantization mismatch

圖6 執(zhí)行器攻擊和量化不匹配下系統(tǒng)控制輸入響應曲線Fig.6 Response curve ofsystem control input under actuator attack and quantization mismatch

情況③ 為了更好地闡述本文所設計魯棒自適應控制算法的有效性，控制器參數(shù)設為η=0.000 1，εd=5，σ(t)=0.01e-0.01t， 圖7和圖8給出了系統(tǒng)的狀態(tài)和控制輸入響應曲線軌跡，圖9給出了異常檢測器的曲線軌跡?？梢钥闯?，檢測器未觸發(fā)警報且趨近于穩(wěn)定狀態(tài)，在控制算法式(17)～式(21)作用下，即使存在隱蔽式虛假數(shù)據(jù)注入攻擊、輸入量化靈敏度參數(shù)不匹配以及外部干擾，系統(tǒng)狀態(tài)和控制輸入也能在一定時間內(nèi)趨于零，實現(xiàn)系統(tǒng)的漸近穩(wěn)定。

圖7 本文控制算法下系統(tǒng)狀態(tài)響應曲線Fig.7 Response curves of system state under the control algorithm

圖8 本文控制算法下系統(tǒng)控制輸入響應曲線Fig.8 Response curve ofsystem control input under the control algorithm

圖9 本文控制算法下檢測函數(shù)響應曲線Fig.9 Response curve of detector under the control algorithm

從上面3種情況的仿真效果對比表明，本文設計的控制算法能有效克服外部干擾、輸入量化靈敏度參數(shù)不匹配、隱蔽式虛假數(shù)據(jù)注入攻擊等的影響，確保信息物理系統(tǒng)的穩(wěn)定與安全運行，充分驗證了本文控制算法的有效性和優(yōu)越性。

4 結論

研究了執(zhí)行器攻擊、量化編碼器/解碼器參數(shù)不匹配以及外部干擾影響的信息物理系統(tǒng)安全控制問題，主要做了如下工作。

(1)結合Lyapunov穩(wěn)定性理論，利用線性矩陣不等式方法，分析了系統(tǒng)的穩(wěn)定性。

(2)得到了系統(tǒng)滿足H2性能的充分條件，給出了魯棒自適應控制器的設計方法。

(3)與線性狀態(tài)反饋控制方法相比較，所提控制策略能夠有效地消除外部干擾、量化誤差以及抑制或抵消狀態(tài)相關的執(zhí)行器攻擊對系統(tǒng)的影響，具有較好的有效性與優(yōu)越性。

下一步的工作可以對通信中斷和時延等情形下的信息物理系統(tǒng)進行研究。