引自:《一体两翼:虚实融合的真谛》(作者:朱文海、唐明南、肖莹莹)
该书已出版,详细信息请见文末~
赛博物理系统(cyber-physical system,CPS)是具有嵌入式软件的系统。其核心就在于虚拟(数字)空间与实体(物理)空间水乳交融般的深度融合,而虚拟系统的价值在于对实体系统的状态和活动进行精确评估。
由于CPS的范围很大,为了易于理解,以下提及的CPS仅指制造业的智能制造系统,即覆盖制造领域的、具有嵌入式软件的系统,它是虚实融合世界的典型范例,具有虚实融合世界的一切特点。
「 1. CPS是虚实融合世界的子集 」
德国工业4.0是以智能制造为主导的第四次工业革命或革命性的生产方法,目标是建立高度灵活的个性化和数字化的产品与服务的生产模式,推动制造业向智能化转型。工业4.0概念的基础是CPS,采用信息通信技术与网络空间虚拟系统、物理系统相结合的手段,即实体物理世界和虚拟网络世界的融合,由集中式控制向分散式增强型控制的基本模式转变,实现数字化和基于IT的端到端的集成。其核心是融入虚拟制造及智能制造,实现产品生命周期管理和生产生命周期管理的对接和信息共享,旨在把产品、机器、资源和人有机联系在一起,并实时感知、采集、监控生产过程中产生的大量数据,达到生产系统的智能分析和决策优化。
按照工业4.0纲领,未来的工业企业各种CPS将由全球的物(务)联网支持,将各类智能机器、后勤系统与生产系统集成在一起,在制造环境中,这些CPS所包含的智能机器、存储系统和生产实体可以自动地交换信息,触发动作、相互独立地控制。这些实体对工业过程的基本改进涉及了制造、工程、材料使用、供应链和全生命周期管理。在CPS支持下,出现了实现着全新生产方法的智能工厂及具有动态配置生产方式的智能生产线。CPS生产出的智能产品在整个生产时段内,都知道自己的历史、现状以及达到最终生产目标的生产路径。以物联网与服务网为基础的工业4.0中的CPS,其核心是智能工厂和智能产品。(图1)
图1 物联网和服务网——网络中的人、物和系统
工业4.0中的CPS可将个体客户和产品特殊性能需求融入产品设计、组态、订货、生产、运行与回收各阶段。也可在制造前或制造进行时将最后一分钟的客户需求加入制造中,也可实现单件或小批量制造并赢利。也可让生产者来控制、调节或组态智能制造的资源网络和制造步骤。生产者可以从生产任务的过程中解放出来,致力于创新和增值的生产活动。他们将在生产过程中起关键作用,特别是在质量保证方面。同时,灵活的工作条件也可协调他们的工作和个人的需求。
图2 清楚地展示了CPS、体系(SoS)与虚实融合世界之间的关系。通俗地讲,虚拟融合世界是体系、简单系统/复杂系统+模型的总和,由完整的物理世界和广义的虚拟世界构成,包括人类头脑中虚构、幻想出的世界;体系是由一些分布的复杂系统构成的集合,其中每个复杂系统可独立运行;CPS的集合中一部分属于体系,还存在一些独立的CPS在体系之外(复杂系统),但都包含在虚实融合世界中。由此,不难得出结论:CPS是虚实融合世界的子集。
图2 CPS与体系、虚实融合世界的关系
CPS之所以是虚实融合世界的子集,是因为CPS无论是在覆盖的范围、涉及的领域,以及对象的种类等方面,都小于一般意义上的虚实融合的世界。具体而言,制造业CPS中的赛博空间,指的是工业软件和管理软件、工业互联网平台(系统)、模型、数据等构成的虚拟空间(不含虚拟人、精神世界,以及违反物理规律、逻辑等的臆想情境);其中的物理空间,是指能源环境、人(不含赛博格)、工作环境、网络通信以及设备与产品等。
虽然CPS仅是虚实融合世界的一个子集,但它依旧是连续离散混合系统、复杂自适应系统、软件密集型系统、健壮的系统、均衡的系统。
「 2. CPS模型的演化 」
严格意义上讲,我们对CPS的认知根本不可能一步到位,需要在大量的研究与工程实践中不断纠正错误、修正航向、提高认识。以下简要分析几种模型,从中可以看出模型进化的轨迹。更重要的是,可以看到我们的认识越来越逼近真实的目标。
1)鸡蛋模型(图3)
CPS有一个极为通俗的解释,即所谓鸡蛋模型。蛋黄——Physical,表示了物理实体;蛋清——Cyber,表示了信息、网络、计算机等虚拟世界。只有蛋黄不称其为鸡蛋,Cyber愈多,鸡蛋的营养愈大,价值愈高。它形象地说明了Cyber的虚拟空间对实体的作用,说明了Cyber与Physical的相依关系。
图3 CPS的鸡蛋模型示意图
CPS连接了虚拟空间与物理现实世界,使物理实体能够通信,能与虚拟世界相互作用,创造一个真正的网络互联物理实体的世界。一旦网络扩展到互联网范畴,CPS就可发展成为无处不在的智能系统。一个个物理实体就处在“无处不连接”的连接之中,互联网的蛋清将与物理实体的蛋黄融为一体成为工业4.0的核心。
鸡蛋模型存在明显的不足之处:该模型虽然表明了CPS由虚实两个部分组成,但仅仅是物理形式的组合,也难以展现出CPS是个复杂适应系统,无法显式地体现虚实部分的双向进化,更无法体现CPS所拥有的智能(包括人的智能)。其实最大的问题是无法展现鸡蛋之间(多个CPS之间)的关联关系和群体效应,即使成千上万的鸡蛋堆在一起,也无法爆发出新的涌现特性。实际上,稍加思考就会发现这种静态模型是无法反映CPS的本质/精髓的。
2)太极图模型(图4)
一个简单的太极图,可以揭示出宇宙、生命、物质的起源及其发生、发展、运动的自然规律。太极图中的S曲线将太极图清晰地分为阴阳两个部分,表明任何事物的内部都有一个太极结构模式。太极图的整体结构均衡对称(旋转对称),表明它是一个稳定的结构。阴阳两侧的运动始终是均衡的、平衡的、稳固的。阴阳两者又是相对独立的体系,阴中生阳,阳中生阴,既对立又统一,双方均衡的互抱为一,处在平等的地位。“太”字有至的意思,“极”是极限的意思,就是到了极限。不但包括了至极的理,而且包括了至大至小的时空极限。能够大于任意的量,但不能超过圆周以及空间;还可以小于任意的量,但并不等于零或者无。宇宙是无限大的,因此称为太极,可是宇宙是有形的,也就是有实质性的内容。
图4 CPS的太极图模型示意图
太极模型中的阳级代表CPS的实体部分(白色区域),阴极代表赛博部分(黑色区域)。有学者认为中间的S形曲线代表人的参与。太极模型很好地反映了CPS作为对立统一的整体,具有阴阳均衡、相互转化,以及自适应环境变化等特性。当然,太极模型可表示不同规模的虚实融合世界。
太极模型存在明显的不足之处:强调整体性,缺乏层次性,使得人们无法体会不同层次的CPS如何连接而构成一个更大的太极世界,无法展示CPS分布式的集群特性。另外,智能的体现也不够充分。
3)一体两翼模型(图5)
CPS是“一体两翼”的典范。其中,由虚拟现实生成系统构建的赛博空间与由人、机器、设备、物料、产品等组成物理空间犹如鸟的一对翅膀,即所谓的“两翼”。工业互联网平台与智能化的软件,以及回路中的人构成拥有智能/智慧的“主体”,即所谓的“一体”。决策能力是CPS的核心能力(CPS的算法智能+人的智能/智慧),是快速响应变化的自主适应能力。
图5 CPS的“一体两翼”模型示意图
“一体两翼”的鸟类模型具有的优点:CPS不仅具有对称、动态均衡的能力,而且具有自主决策能力,可以根据周围环境的变化调整状态。更显著的优点是可以反映CPS的体系特性,像鸟儿一样,既可以三五成群,也可以成百上千地聚集在一起,如图6所示。它们既可以独自生活,也可以群居,充分体现了CPS的独立运行、分布式集成、动态调整体系结构等特征。虽然鸟类模型在展示虚实方面不如太极模型那样分明,但更接近现实。现实世界中,如果不借助显示、感知体验设备,人们也根本看不到或感受不到虚拟世界(赛博空间)。虚拟世界的外在表现依赖于显示或感知设备。不管是否看见、是否体验到虚拟世界,它总是以0和1的组合形式存在于网络的某个(些)地方,并且是不以我们的意志为转移。
图6 CPS集群的鸟群示意图
「 3. CPS开发与运行面临的挑战 」
CPS是复杂的混合系统,在部署层面可能跨越社会的多个领域,组成的系统在不同程度上展现智能、适应或自主特性。CPS由若干复杂系统组合而成,每个复杂系统均需独立面临一些关键的挑战。最重要的需求如下:
(1)自主协同:物理组件和软件组件相互交织,每个组件在不同的时空尺度上运行,并展现不同的行为,随环境的变化进行交互。它们共同表现出(期望的/或不期望)所谓的涌现行为。
(2)开放性:某些时候,CPS组件和用户以随进随出的方式进行交互。例如,实时更新的交通信息与空中、铁路调度的集成,动态地规划符合当前状态的交通路径。
(3)学习和强韧性:在某些情况下,CPS元素必须从新的状况中学习并适应;或与新的系统进行协同,当创建CPS时,有些系统并未出现。
(4)智能:决策能力是CPS的核心,通常需要自我感知以及第三方感知,还需要具有面向解决方案目标的推理和推断的能力。
(5)深度人机交互:系统与监控、支配CPS运行的个人或团组进行交互,需要实现一致的赛博、物理和人员元素的无缝集成。
多个领域中的CPS功能相互重叠并不断增加,给其他工程系统带来了前所未有的复杂性。同时,跨部门的部署和使用也会带来风险,在高度的网络化环境中这些风险可以产生级联式的影响。网络环境中远程控制系统是降低技术风险的一种可能的解决方案,但是绝对数量的变量以及各种可能的情景,也会在多个方面带来复杂性,而这种复杂性必然导致仅能制定有限覆盖的测试计划。与赛博物理系统相关的智能性、适应性、自主性和安全性等,也将使问题变得更加严重。CPS属于人造世界中超复杂系统的那一类别,诸如体系(系统之系统,SoS)、复杂自适应系统(CAS)。
随着计算和通信技术的进步,赛博物理系统的复杂度正在迅速提高。同时由于这些系统的连接和自主性,在CPS设计、测试和运行方面的复杂性面临着若干的关键挑战。
「 4. CPS安全的建模与仿真 」
CPS既可以是独自运行的复杂系统,也可以作为体系的组成部分,其中涉及多种传感器、计算和作动装置的连接,从而支持直接的共享数据或跨多个传感器聚合数据结果而实现系统的执行。CPS具有正确地感知输入、做出相应的反应动作并在各种可能的环境条件下运行而无需任何人为干预的能力,这对于CPS至关重要。考虑连通性和自主性的引入,就有必要重点关注系统的安全性、可靠性和强韧性。从赛博安全的角度来看,CPS是一个活跃的研究领域,具有众多的复杂性和挑战。复杂性来自于系统设计的复杂性、组件异构性、复杂的互联、缺乏整体可见性、物理过程的安全性和可靠性之间的权衡等。
当今的汽车都是CPS的实例。它们配备了多种自动功能,包括驾驶员辅助技术、自动制动以及感应和规避技术。这些功能中的每一种都可感知车辆周围的状况并以最少的人工干预自动做出反应。结果是,这些功能将会带来设计中始料未及的脆弱性。2015年7月,Charlie Miller和Chris Valasek演示了通过车载互联网娱乐系统远程侵入并控制车辆关键功能的过程。Miller和Valasek最终能够接入Jeep Cherokee的CAN(控制器接入网络)总线,该总线用于控制汽车的主要功能(转向、制动、加速等)。虽然CANBUS与互联网之间没有直接连接,但Jeep娱乐系统可作为一个桥接点。一个称为Uconnect的服务,为数千辆菲亚特克莱斯勒汽车用户提供互联网连接,并提供汽车娱乐系统与互联网之间的连接。Miller和Valasek通过该链接访问娱乐系统,并重写娱乐系统的固件,使其能通过CANBUS网络发送命令。当他们获得了CANBUS的访问权时,便能够禁用或驱动转向、制动或发动机等组件。Jeep汽车黑客攻击报告的脆弱性凸显了保证CPS安全所面临的主要挑战。未来的运输系统不只是单个的网络使能功能的车辆,未来的系统将由联网的汽车组成,通过网络汽车相互交互并与道路上的传感器交互。在车到车(V2V)和车到基础设施(V2I)通信的设计过程中,如果无法适当地开发出安全控制机制,则可能会引入具有重大安全影响的脆弱性。随着CPS复杂性的增加,理解所有可能的脆弱性将成为持续的挑战。
能源CPS的运行规模范围非常巨大,实际上能源系统是成百上千CPS的集合。理解和保护如此大型的CPS网络是一项重大的挑战。2016年12月,黑客使用恶意软件CRASHOVERIDE发起对乌克兰电网的攻击,这是对电力设施最恶劣的赛博攻击之一。与以往不同的是,这次攻击完全是自动的,通过编程使其具有直接与电网设备“对话”的能力,以不为人知的协议发送命令来控制电流的开启和关闭,预示着不久的将来针对能源公共事业可能会发起更加复杂的攻击。
许多的强韧性研究都涉及工业控制系统(ICS)——主要的一类CPS。与传统IT安全系统不同,ICS往往是时间关键系统,许多都是建立在实时操作系统之上。ICS可用性要求较高,影响服务的中断是无法接受的。对于ICS不能通过卸载和重启组件的传统方式来进行软件修补或滚动开发。ICS将人员安全和公共卫生放在首位,任何影响公共安全的安全控制都无法接受。在许多情况下,由于设备的遗留特性或根本无法说服制造商进行更新,因此采取的安全控制可能行不通。
M&S技术已证明是改善系统的整体设计、开发、集成和测试的有效工具,使用M&S改进设计以及在系统工程过程中提高效率的事例比比皆是。波音777的设计和建造利用数字化产品定义(DPD)、数字化预装配(DPA)、计算机辅助工程分析(CAE)、可制造性设计(DFM)等,在制造前全面评估设计和权衡性能,充分展现了M&S的巨大作用。在系统的设计阶段,使用M&S作为识别潜在安全脆弱性的方法,对安全工程师具有极大的吸引力。近年来,将安全性纳入正式的系统工程过程的想法开始备受关注。美国国家标准和技术研究院(NIST)出版物800-160特别提及在赛博强韧性验证过程中使用M&S。M&S方法可对各种威胁性的系统进行行为建模,并帮助开发具有强韧性的方法。CPS的M&S并不成熟,需要表达目标系统的物理动态特性、系统的网络连接性以及连接对目标系统的影响。随着这种能力的成熟,我们可以预见到在许多情况下,将有效地使用M&S来确保CPS的安全。
在许多CPS案例中,由于系统处于关键应用(能源、健康)的持续使用中或考虑到制造方的问题,直接在真实系统上进行验证并不是一种可选方案,此时就可使用CPS的数字孪生,从而研究系统关于威胁的响应,而无需实际系统的停机。数字孪生是“贯穿整个生命周期的物理对象或系统的虚拟化表达”,它使用实时数据和其他资源实现学习、推理和动态调整,以改善决策能力。由于CPS系统的连接特性,随着新软件功能集成到系统中而创建新的连接,系统始终在演进和变化。数字孪生概念可确保随着实际CPS的变化,该系统上的传感器将这些变化传给数字孪生体,因此可保持一致性。通过支持生产过程和机器运行分析,数字孪生已在制造领域中获得显著关注。数字孪生的概念将使安全工程师可监视CPS的数字复制品,并创建安全的数字方法而不影响到实际的设备。安全控制、脆弱性评估以及针对CPS威胁响应的理解都可在数字域中开展,并可在实际CPS应用之前进行验证。
在不了解复杂组织体内部存在哪些风险的情况下,盲目地应用安全控制措施不会提升其安全性;相反,它有可能使安全资源与最优先级的脆弱性不匹配。M&S应用不仅可表达CPS的复杂性,而且可表达CPS是如何耦合到运行环境中,以及它所经受的外部威胁影响。同时作为执行风险评估的工具,M&S也是极其有用的。
当CPS在工业互联网中部署时,将会给间接使用的关键基础设施架构带来大量的风险。因此,未来的物联网和CPS面临许多挑战,随着管理和运行关键基础设施架构的利益相关方意识到所涉及的风险,风险的增长可能会受到遏制。CPS可能具有多种模式,将现有CPS置于新的运行环境中,将使事情变得更加复杂。如果缺乏充分的T&E(测试和评估)和V&V(校核和验证),就无法预测CPS是否会威胁可靠性的行为并对基础设施造成新的压力,从而导致级联式故障。
确保CPS安全的一个主要问题是理解系统内部的脆弱性如何引发大量的大规模系统之间的级联性效应。因为CPS可能依赖于跨多个系统的众多网络连接,所以大规模地发生意外行为的可能性确实存在。目前,尚无容纳规模巨大的CPS的试验场,也无法为大家提供在受控环境中探究此类行为的机会。随着M&S更好地表达CPS,在较大范围内部部署仿真实例,将更有意义地支持CPS的交互分析。
版权归原作者所有
编辑:刘杨
编审:辛召
——————————————————————
▼购买链接▼
