Simulation cyber-physischer Systeme zur Validierung kritischer Infrastrukturen

Wichtigste Erkenntnisse

• Cyber-physische Systeme erfordern eine Validierung, bei der software, Zeitsteuerung, Sensor-und Datenfusion sowie das Verhalten der Anlage als ein einziger Regelkreis betrachtet werden.
• Tests kritischer Infrastrukturen Tests am effektivsten, wenn die Szenarien nach ihren betrieblichen Folgen und den Auswirkungen auf die Wiederherstellung gewichtet werden.
• Akzeptanzkriterien sind nur dann von Bedeutung, wenn sie die Testergebnisse mit der Sicherheit der Reaktion, der Kontinuität des Dienstes und der Verständlichkeit für den Bediener verknüpfen.

Die Validierung kritischer Infrastrukturen funktioniert nur, wenn Sie Zeitablauf, Sensorik und Steuerung als einen geschlossenen Regelkreis testen.

Cyber-physische Systeme verbinden software mit elektrischen, mechanischen und prozessbezogenen Abläufen, sodass Fehler häufig an der Schnittstelle zwischen Code und Physik auftreten. Etwa 85 % der kritischen Infrastruktur des Landes befinden sich im Besitz Branche und werden von ihr betrieben. Diese Mischung aus Altanlagen, kundenspezifischen Steuerungen und Branche bedeutet, dass Sie sich nicht auf generische software verlassen können. Sie benötigen Simulationen und Tests Signale, Verzögerungen, Fehler und Bedieneraktionen vor der Inbetriebnahme reproduzieren.

„Ein Entwurf kann bei der Offline-Analyse korrekt erscheinen und dennoch im Betrieb zu Aussetzern, Blockaden oder Schwankungen führen.“

Cyber-physische Systeme verbinden Rechenvorgänge mit dem zeitlichen Ablauf physikalischer Prozesse

Cyber-physische Systeme vereinen Rechenleistung, Kommunikation und physikalische Prozesse unter zeitlichen Vorgaben, die für Sicherheit und Dienstleistung entscheidend sind. Ein verspätet eintreffender Steuerungsbefehl kann die Ventilstellung, die Relaisansprechung oder die Bremskraft verändern. Diese enge Verknüpfung macht die Validierung zu einer systemweiten Aufgabe. Software allein reichen hierfür nicht aus.

Ein Zuleitungsrelais veranschaulicht diesen Punkt deutlich. Strommesswerte werden in eine analoge Vorstufe eingespeist, die Schutzlogik berechnet eine Auslösung, und die Spule eines Leistungsschalters muss innerhalb eines festgelegten Zeitfensters reagieren. Eine Wasserpumpstation funktioniert auf dieselbe Weise, da Druck, Motordrehzahl und Netzwerkverzögerung in die Steuerlogik zurückgemeldet werden. Jeder Pfad hat zeitliche und physikalische Auswirkungen.

Sie müssen die Anlage und den Regler in einem Regelkreis modellieren, damit sich das System so verhält, wie es im Betrieb tun wird. Das bedeutet, dass die Sensorauflösung, die Stellgliedgrenzen, Kommunikationsschwankungen und Fehlertransienten nachgebildet werden müssen. Teams, die die cyber-physischen Komponenten getrennt behandeln, übersehen in der Regel kombinierte Fehler. Diese Übersehenen treten erst spät zutage, wenn Korrekturen teurer sind und das Vertrauen vor Ort geringer ist.

Die Validierung schlägt fehl, wenn die Annahmen zum Zeitablauf nicht überprüft werden

Die Validierung schlägt fehl, wenn Ingenieur:innen , dass die Zeit eine Konstante und keine Testvariable ist. Abtastintervalle, Aufgabenunterbrechungen, Bus-Latenzzeiten und die Interrupt-Behandlung beeinflussen alle die Reaktionszeit der Steuerung. Ein Entwurf kann in der Offline-Analyse korrekt erscheinen und dennoch im Betrieb zu Ausfällen, Blockierungen oder Schwankungen führen. Das Timing erfordert direkte Tests.

Ein Regelkreis für einen Kompressor macht dies deutlich. Das Modell mag den Druck zwar in 1-Millisekunden-Schritten innerhalb der Grenzwerte halten, doch kann es vorkommen, dass das eingebettete Zielsystem während eines Kommunikationsbursts seine Frist verpasst und den falschen Ventilzustand anweist. Dieser Fehler wird bei einer Codeüberprüfung nicht sichtbar. Er tritt erst zutage, wenn Ausführungszeit, I/O und die Reaktion der Anlage zusammenwirken.

Bei Timing-Tests reichen die CPU-Werte für den ungünstigsten Fall nicht aus. Man sollte Latenzzeiten einbauen, die Auslastung des Schedulers variieren und den genauen Punkt erfassen, an dem die Steuerungsqualität nachlässt. Dieser Ansatz unterscheidet zwischen harmlosen Verzögerungen und solchen, die das physikalische Verhalten verändern. Sobald man die Grenze kennt, werden Designänderungen konkret statt spekulativ.

Die Sensorsimulation muss dem Verhalten im Einsatz unter Belastung entsprechen

Die Sensorsimulation muss nachbilden, wie Feldgeräte unter Belastung Fehlmessungen liefern, in die Sättigung geraten, Drift zeigen und sich wieder erholen. Saubere Signale liefern saubere Ergebnisse, doch kritische Systeme arbeiten selten mit sauberen Signalen. Wenn Sie aussagekräftige Ergebnisse erzielen wollen, müssen Ihre Testeingaben dieselben Unvollkommenheiten enthalten, die das Regelverhalten im Betrieb beeinflussen.

Ein Fernrelais, das mit idealen Stromverläufen gespeist wird, erscheint stabil, bis ein Fehler einen Stromwandler in die Sättigung treibt. Ein Rohrleitungsdruckregler kann präzise erscheinen, bis der Messumformer nach dem Anlaufen einer Pumpe Störsignale liefert. Diese Fälle sind keine Vorteil . Sie entscheiden über den Zeitpunkt der Auslösung, die Qualität der Alarme und das Vertrauen des Bedienpersonals.

Eine gute Sensorsimulation berücksichtigt Bereichsgrenzen, Quantisierung, fehlende Pakete, festgefrorene Werte und Kalibrierungsfehler. Außerdem ist die richtige Fehlerdauer entscheidend, da ein 20-Millisekunden-Ausfall und ein 2-Sekunden-Einfrieren unterschiedliche Logikabläufe auslösen. Die Übereinstimmung mit dem Verhalten im Feld ist wichtiger als die Anzahl der Signale. Eine kleine Auswahl glaubwürdiger Sensorfehler sagt weit mehr aus als Tausende von einwandfreien Durchläufen.

Tests für eingebettete Systeme Tests eine hohe Genauigkeit bei der Ausführung im geschlossenen Regelkreis

Tests für eingebettete Systeme Tests eine Ausführung im geschlossenen Regelkreis, damit Code, I/O und Anlagenreaktion mit derselben Geschwindigkeit interagieren. Eine Wiedergabe im offenen Regelkreis kann zwar Funktionen bestätigen, deckt jedoch keine instabile Regelung, verpasste Fristen oder unsichere Zustandsübergänge auf. „Fidelity“ bedeutet in diesem Zusammenhang, dass der Regler die Konsequenzen sofort sieht. Genau das macht aus einer Laborprüfung eine Validierung.

Ein Motorantriebsregler verdeutlicht, warum das so ist. Firmware, die in einem software stabil erscheint, kann ins Schwanken geraten, sobald Impulsaktualisierungen, ADC-Abtastungen und Lastmomente hardware exakter zeitlicher Abstimmung auf die hardware treffen. Teams nutzen häufig Plattformen wie OPAL-RT, um hardware einem Anlagenmodell zu verbinden und diese Interaktionen vor einem Feldtest zu überprüfen. Dieser Aufbau verdeutlicht den Unterschied zwischen Code, der läuft, und einer Regelung, die stabil bleibt.

Bei der Closed-Loop-Genauigkeit geht es nicht darum, überall ein Höchstmaß an Detailtreue zu erreichen. Hochpräzis müssen Hochpräzis die Schnittstellen sein, die das Regelverhalten bestimmen, insbesondere das PWM-Timing, die Interrupt-Behandlung, der Datenaustausch im Netzwerk und die Schutzlogik. Weniger wichtige Teilsysteme können vereinfacht bleiben, solange sie diese Schnittstellen nicht verändern. Diese Ausgewogenheit gewährleistet die Zuverlässigkeit der Tests, ohne dass das Modell zu einem Wartungsaufwand wird.

Die Validierung kritischer Infrastrukturen beginnt mit folgebasierten Szenarien

Bei der Validierung kritischer Infrastrukturen sollte man von den Folgen ausgehen, denn nicht jeder Fehler erfordert denselben Testaufwand. Ein Fehlalarm an einer redundanten Schalttafel ist etwas anderes als eine ausgebliebene Abschaltung an einer Zuleitung oder ein falscher Öffnungsbefehl an einem Ventil. Der Testumfang richtet sich nach den Auswirkungen. So lässt sich die knappe Laborzeit sinnvoll nutzen.

Branche macht diese Priorisierung notwendig. Kanada unterteilt kritische Infrastruktur in 10 Branchen, wobei jede Branche unterschiedliche Prozesse, Ausfallkosten und Reaktionszeiten Branche . Ein Notstromregler für ein Krankenhaus erfordert andere Szenarien als eine Abwasserhebestation. Einheitliche Testpläne sehen auf dem Papier ordentlich aus, versagen aber in der Praxis.

Ein folgebasierter Plan ordnet Szenarien nach Dienstausfall, Sicherheitsrisiko, Wiederherstellungszeit und Arbeitsaufwand für das Bedienpersonal. Anhand dieser Rangfolge können Sie entscheiden, bei welchen Fehlern hardware erforderlich ist, welche längere Dauerlaufversuche erfordern und welche im Rahmen der Modellprüfung verbleiben können. Sie werden zwar nicht alle Unsicherheiten beseitigen können, aber Sie werden Ihre Anstrengungen dort konzentrieren, wo eine falsche Annahme die höchsten Kosten verursacht.

„Sicherheitsnachweise müssen die physischen Folgen des Cybervorfalls umfassen.“

Zum Schutz des Stromnetzes sind hardware-Fehleranalysen erforderlich

Für den Schutz von Stromnetzen sind hardware erforderlich, da Relais auf schnelle Transienten reagieren und nicht auf gemittelte Verläufe. Ansprechschwellen, Logikablaufzeiten und die Koordination der Leistungsschalter hängen von den exakten Strom- und Spannungswellenformen ab. Ein statisches Modell lässt diese Details außer Acht. Fehleranalysen müssen mit Schutzgeschwindigkeit durchgeführt werden.

Ein Schutzprüfungstest für die Einspeisung kann in einem einzigen Ablauf einen Einphasen-Erdschluss, die Sättigung des Stromwandlers, einen Ausfall des Leistungsschalters und eine verzögerte Fernschutzauslösung simulieren. Das Relais wird dabei mit denselben Wellenformverzerrungen und zeitlichen Belastungen konfrontiert, wie sie im Netz auftreten würden. Hier zeigen sich Unter- und Überreaktionen sowie Fehlauslösungen. Einstellungen, die konservativ erschienen, können sich unter Belastungsbedingungen als instabil erweisen.

Die Netzteams müssen zudem die Wiederherstellungslogik nach der Auslösung testen. Wiedereinschalt-Timer, Synchronisationsprüfungen und Sperrsignale können nach einer Störung auf unvorhersehbare Weise zusammenwirken. Aus diesem Grund umfasst die Schutzvalidierung den gesamten Vorfall, vom stationären Zustand vor dem Fehler bis zur Wiederherstellung nach dem Fehler. Eine Validierung, die sich ausschließlich auf die anfängliche Auslösung stützt, lässt den risikobehafteten Teil der Abfolge unberücksichtigt.

Tests die deterministische Reaktion unter Angriffsbedingungen messen

Tests cyber-physische Systeme müssen deterministische Reaktionen messen und dürfen sich nicht nur auf die Erkennung von Eindringversuchen beschränken. Ein Angriff ist von Bedeutung, weil er zu einem bestimmten Zeitpunkt das Timing, die Datenqualität oder den Steuerungszustand verändert. Wenn Ihr Test nicht aufzeigen kann, wie die Anlage innerhalb dieses Zeitfensters reagiert, kennen Sie das Betriebsrisiko noch nicht.

Betrachten wir einen Replay-Angriff auf den Messdatenstrom eines Umspannwerks. Der Inhalt des Pakets kann gültig erscheinen, während der Zeitstempel veraltet ist, was dazu führen kann, dass ein Regler in einem unsicheren Zustand verbleibt oder eine Abschaltung verzögert wird. Eine Wasseraufbereitungsanlage steht vor einem ähnlichen Problem, wenn ein gefälschtes Füllstandssignal die Abschaltung einer Pumpe verhindert. Sicherheitsnachweise müssen die physischen Folgen des Cybervorfalls berücksichtigen.

Tests deterministischen Tests auf begrenzten Ergebnissen. Sie sollten die maximale sichere Verzögerung, den maximal tolerierbaren Paketverlust und den Punkt messen, an dem die Fallback-Logik die Kontrolle übernimmt. Diese Methode liefert den Betreibern Regeln, auf die sie sich in Stresssituationen stützen können. Außerdem wird die Sicherheitsarbeit so an die Anlagenleistung gekoppelt, anstatt sich auf abstrakte Schweregrade zu stützen.

Die Abnahmekriterien sollten vor der Inbetriebnahme das operative Risiko berücksichtigen

Akzeptanzkriterien sollten das Betriebsrisiko vor der Inbetriebnahme widerspiegeln, denn ein bestandener Test ist nur dann von Bedeutung, wenn er den Zielen in Bezug auf Service, Sicherheit und Wiederherstellung entspricht. Sie benötigen Schwellenwerte, die festlegen, wann ein Zeitfehler akzeptabel ist, wann eine Sensorabweichung tolerierbar ist und wann ein Ausweichverhalten zwingend erforderlich ist. Das ist der Maßstab, auf den es ankommt.

Ein brauchbares Akzeptanzkriterium ist spezifisch genug, um ein mangelhaftes Design durchfallen zu lassen, und einfach genug, damit Teams es konsequent anwenden können. Ein Relais-Test könnte hinsichtlich der Auslösegeschwindigkeit bestehen, aber dennoch hinsichtlich der Rückstellstabilität nach einer Leistungsschalter-Sperre durchfallen. Eine Pumpensteuerung könnte den Durchfluss zwar innerhalb der Grenzwerte halten, den Bediener aber dennoch mit mehrdeutigen Alarmen überfordern. Gute Kriterien spiegeln den gesamten Betriebsablauf wider, nicht nur einen einzelnen, einwandfreien Moment.

• Die Latenzgrenzwerte hängen von der Schutz- oder Steuerungsfunktion ab, auf die sie sich auswirken.
• Zu den Fehlergrenzen von Sensoren zählen Drift, Ausfall und Sättigung im Fehlerzustand.
• Ausweichmodi stellen innerhalb eines festgelegten Wiederherstellungsfensters einen sicheren Zustand wieder her.
• Auch wenn Alarme, Übersteuerungen und Abschaltungen gleichzeitig auftreten, bleiben die Maßnahmen des Bedieners klar erkennbar.
• Die Testergebnisse müssen bei Nenn- und Belastungsläufen reproduzierbare Leistungen aufweisen.

Teams, die diese Kriterien stets im Blick behalten, entwickeln mit der Zeit ein besseres Urteilsvermögen, da jedes Testergebnis einem konkreten Betriebsrisiko zugeordnet ist. Diese Disziplin ist wichtiger als ein langer Bericht voller isolierter Bestanden-Werte. OPAL-RT kommt in vielen Labors genau für diese Art von Anwendungsarbeit zum Einsatz, bei hardware, Anlagemodelle und Störungsfälle als ein zeitgesteuertes System zusammenlaufen müssen. Der Mehrwert liegt in der disziplinierten Testgestaltung und ehrlichen Akzeptanzschwellen, denn genau das macht aus der Simulation handfeste Beweise.