Echtzeitsimulation zur Validierung cyber-physikalischer Systeme

Wichtigste Erkenntnisse

• Echtzeitsimulationen sind der direkteste Weg, um Cybersicherheitskontrollen hinsichtlich physischer Grenzen und Kontrollfristen zu validieren, sodass Cyberergebnisse anhand des Systemverhaltens und nicht anhand von Warnmeldungen beurteilt werden.
• Bestanden oder nicht bestanden erfordert messbare Kriterien, die Cyber-Aktionen mit der Leistungsfähigkeit in Verbindung bringen, darunter Stabilitätsmargen, Schutzverhalten und die Zeit, die benötigt wird, um unsichere Befehle zu erkennen und zu blockieren.
• Geschlossene SIL- und Tests sind Tests dann sinnvoll, wenn Ihr Labor deterministisch ist, Netzwerkeffekte ehrlich modelliert werden und Zeitstempel über Simulation, Geräte und Datenerfassung hinweg aufeinander abgestimmt bleiben.

Cyber-physische Systeme versagen, wenn Timing, Steuerungslogik und Netzwerkverhalten kollidieren. Daher Tests alle drei Aspekte gleichzeitig berücksichtigen. Die gemeldeten Verluste durch Cyberkriminalität beliefen sich 12,5 Milliarden US-Dollar, und angesichts dieses Ausmaßes ist eine „Checklisten-Sicherheit” für Systeme, die Ausfälle oder Geräteschäden verursachen können, kaum zu rechtfertigen. Echtzeit-Simulationen bieten Ihnen eine wiederholbare Labormethode, um zu sehen, wie sich ein Angriff auf Spannung, Frequenz, Schutz und Regelungsstabilität auswirkt, während der Angriff noch im Gange ist. Diese enge Kopplung ist der Hauptgrund, warum sie für die Validierung cyber-physischer Systeme geeignet ist.

Offline-Studien und isolierte Netzwerktests sind nach wie vor wichtig, aber ihnen fehlt das Closed-Loop-Verhalten, das ein Cyberereignis in eine physische Konsequenz umwandelt. Das praktische Ziel besteht nicht darin, eine perfekte digitale Nachbildung jeder Komponente zu erstellen. Das Ziel besteht darin, die Teile, die das Timing und die Steuerungsreaktion beeinflussen, unter denselben Einschränkungen zu betreiben, denen Ihr System ausgesetzt ist, und dann die Abwehrmaßnahmen anhand messbarer Ergebnisse des Stromversorgungssystems zu beurteilen.

Mit Echtzeit-Simulationen können Sie Cyberabwehrmaßnahmen testen, ohne die physischen Auswirkungen abschätzen zu müssen.

Echtzeit-Simulation verknüpft Cyber-Ereignisse mit physischen Reaktionen

Bei der Echtzeitsimulation wird ein Stromnetzmodell mit fester Taktung ausgeführt, während externe Steuerungen und Netzwerke mit ihm interagieren. Jeder Zeitschritt hat eine strenge Frist, sodass Steuerungsmaßnahmen, Kommunikationsverzögerungen und physikalische Dynamiken aufeinander abgestimmt bleiben. Cyberereignisse können an der Netzwerk- oder Steuerungsschnittstelle eingefügt werden, ohne dass die Physik unterbrochen wird. Sie erhalten eine einzige Zeitachse, die Ursache und Wirkung anzeigt.

Dieser einzelne Zeitplan ist wichtig, da viele Cyberausfälle zeitliche Ausfälle sind. Ein Befehl, der 200 Millisekunden zu spät eintrifft, kann in einem IT-Test harmlos sein, in einem Regelkreis jedoch destabilisierend wirken. Eine Schutzmeldung, die in falscher Reihenfolge wiederholt wird, kann wie eine harmlose Paketspur aussehen, jedoch Geräte in einem Simulator auslösen, der die Relaislogik und die Dynamik von Leistungsschaltern berücksichtigt. Die Forschung im Bereich der Echtzeit-Simulations-Cybersicherheit bleibt realitätsnah, da sie jede defensive Steuerung dazu zwingt, die „Zeitkosten“ für Erkennung, Entscheidung und Aktion zu tragen.

Genauigkeit wird auch zu einer Managemententscheidung statt zu einer philosophischen Debatte. Sie können Genauigkeit auf das verwenden, was die physikalische Reaktion beeinflusst, wie z. B. Generatordynamik, Wechselrichtersteuerungen und Relaislogik. Sie können das vereinfachen, was wenig Einfluss auf die Sicherheitsfrage hat, solange die Vereinfachung explizit ist und anhand Ihrer Metriken getestet wurde.

Validierungsziele für cyber-physische Systeme im Kraftwerksbetrieb

Die Validierung cyber-physischer Systeme bedeutet, dass Ihr System auch unter feindlichen oder fehlerhaften Cyberbedingungen innerhalb definierter physischer und betrieblicher Grenzen bleibt. Das Ziel besteht nicht nur darin, ein Eindringen zu verhindern. Das Ziel besteht darin, ein sicheres Kontrollverhalten aufrechtzuerhalten, unsichere Umschaltungen zu verhindern und nach einem fehlerhaften Befehl oder einer beschädigten Nachricht den stabilen Betrieb wiederherzustellen. Die Validierung ist nur dann erfolgreich, wenn Sie Kriterien für das Bestehen oder Nichtbestehen festlegen können.

Klare Ziele verhindern, dass die Cybersicherheitssimulation von Stromversorgungssystemen zu einer endlosen Suche nach Szenarien wird. Beginnen Sie mit Ergebnissen, die sich auf Betrieb, Schutz und Sicherheit beziehen, und verbinden Sie dann jedes Ergebnis mit einem Test, den Sie wiederholen können. Dieser Ansatz sorgt auch für eine einheitliche Ausrichtung der Teams, da die Cybersicherheitsmitarbeiter die physischen Risiken sehen können, während Ingenieur:innen die Cyber-Annahmen sehen Ingenieur:innen .

• Legen Sie physikalische Sicherheitsgrenzen für Spannung, Frequenz und thermische Belastung fest.
• Legen Sie eine akzeptable Zeit für die Erkennung, Alarmierung und Blockierung unsicherer Befehle fest.
• Identifizieren Sie Schutzmaßnahmen, die bei Angriffen nicht fehlschlagen dürfen.
• Wählen Sie Wiederherstellungsziele wie stabile Wiederverbindung und Wiederherstellung des Sollwerts.
• Geben Sie an, welche Nachweise Sie akzeptieren, z. B. Protokolle, Traces und Metriken.

Sobald diese festgehalten sind, lässt sich der Testumfang leichter kontrollieren. Sie können sich auf die wenigen Pfade konzentrieren, die diese Grenzen überschreiten können, anstatt jede Schwachstelle als gleich wichtig zu behandeln.

„Ergebnisse zur Cybersicherheit werden umsetzbar, wenn Sie sie anhand von Kennzahlen zum Stromnetz bewerten und nicht nur anhand von Sicherheitswarnungen.“

Aufbau eines geschlossenen Testumfelds mit HIL und SIL

Ein Closed-Loop-Testbed kombiniert software für Algorithmen und hardware für reale Testgeräte, die alle mit einem Echtzeit-Simulator synchronisiert sind. SIL überprüft frühzeitig die Steuerungscode-Logik und Schnittstellen, während HIL das Timing, I/O und Gerätebesonderheiten überprüft, die software nicht erfasst werden. Beide sind nützlich, aber HIL ist der Ort, an dem viele cyber-physikalische Fehlermodi auftreten.

Gute Testumgebungen trennen drei Dinge klar voneinander: das physikalische Anlagenmodell, die hardware software sowie den Kommunikationspfad, über den Angriffe erfolgen. Außerdem ist eine wiederholbare Initialisierung erforderlich, damit jeder Durchlauf vom gleichen Betriebspunkt aus startet, da sonst die Sicherheitsergebnisse schwer zu vergleichen sind. Hier kommen häufig Plattformen wie die Echtzeit-Digitalsimulatoren von OPAL-RT zum Einsatz, da sie Stromnetzmodelle in Echtzeit ausführen und gleichzeitig über I/O mit externen Steuerungen und Netzwerkgeräten kommunizieren können.

Modellierung von Bedrohungen und Abwehrmaßnahmen unter zeitlichen Einschränkungen

Echtzeit-Bedrohungsmodellierung bedeutet, dass Sie feindliche Aktionen an denselben Schnittstellen einspeisen, denen Ihr System vertraut, und dann die physischen und betrieblichen Auswirkungen in Echtzeit beobachten. Angriffe können auf Steuerbefehle, die Integrität von Messungen, die Zeitsynchronisation oder Schutzmeldungen abzielen. Auch defensive Kontrollen erfordern zeitliche Realitätsnähe, da Filterung, Anomalieerkennung und Verriegelungen innerhalb der Kontrollfristen erfolgen müssen. Der Test ist nur dann gültig, wenn sowohl Angriff als auch Verteidigung unter dem gleichen Zeitdruck laufen.

Eine konkrete Möglichkeit, dies durchzuführen, ist eine Schutzvorrichtung für Umspannwerke, bei der ein Angreifer eine hochprioritäre Auslösemeldung im Stationsnetzwerk fälscht, während Ihre Verteidigungslogik versucht, die Meldungssequenz und -quelle zu validieren, bevor sie die Auslösung weiterleitet. Der Simulator führt die Dynamik von Zuleitungen und Leistungsschaltern in Echtzeit aus, sodass Sie den Unterschied zwischen einer blockierten Meldung, die die Spannungsstabilität aufrechterhält, und einer akzeptierten Meldung, die eine sprunghafte Änderung des Lastflusses verursacht, sehen können. Dieser einzelne Durchlauf liefert sowohl Cyber-Beweise, wie z. B. Paketerfassungen und Erkennungszeitpunkte, als auch physische Beweise, wie z. B. den Zustand des Leistungsschalters und die Dauer des Spannungsabfalls.

Zeitliche Beschränkungen führen auch zu Kompromissen, die Sie offen akzeptieren müssen. Hochwertige Verschlüsselungsstacks oder Deep Packet Inspection können für strenge Kontrollzyklen zu aufwendig sein. Daher sollten Sie zunächst einen einfacheren Prototyp für die Gating-Logik erstellen und dann umfangreichere Analysen außerhalb des Bandes testen. Der Wert ergibt sich aus der Messung dessen, was Ihre Kontrollen unter Zeitdruck tatsächlich leisten, und nicht aus dem, was sie laut Anforderungsdokument leisten sollen.

Messung der Cybersicherheitsergebnisse anhand von Leistungskennzahlen des Stromnetzes

Cybersicherheitsergebnisse werden umsetzbar, wenn Sie sie anhand von Leistungssystemkennzahlen bewerten und nicht nur anhand von Sicherheitswarnungen. Sie sollten Stabilitäts- und Sicherheitsindikatoren sowie Zeitindikatoren verfolgen, die zeigen, wie schnell die Abwehrmaßnahmen im Verhältnis zum Regelkreis reagieren. Das Bestehen oder Nichtbestehen sollte an Grenzwerte wie Spannungsabweichung, Frequenznadir, Fehlfunktionen von Relais und die Zeit bis zur Blockierung oder Isolierung unsicherer Aktionen geknüpft sein. Kennzahlen machen die Validierung cyber-physischer Systeme zu einem wiederholbaren technischen Prozess.

Finanzielle Risiken sind an die physische Kontinuität geknüpft, daher sollten die Kennzahlen diese operative Priorität widerspiegeln. Die geschätzten jährlichen Ausfallkosten für Kund:innen in den USA Kund:innen etwa 44 Mrd. USD, und durch Cyberangriffe verursachte Störungen werden anhand derselben Kund:innen bewertet. Eine Abwehrmaßnahme, die zwar ein Eindringen erkennt, aber dennoch eine instabile Kontrollmaßnahme zulässt, ist eine fehlgeschlagene Abwehrmaßnahme für den Betrieb, auch wenn das Sicherheits-Dashboard gut aussieht.

Die Metrikauswahl funktioniert am besten, wenn Sie drei Ebenen voneinander trennen. Legen Sie zunächst physikalische Grenzen fest, die nicht überschritten werden dürfen. Legen Sie zweitens Zeitlimits für die Erkennung und Blockierung fest, die sich auf Ihre Kontrollschritte und Schutzkoordinationszeiten beziehen. Legen Sie drittens Anforderungen an die Beweisführung fest, damit Sie die Ergebnisse sowohl dem Technik- als auch dem Sicherheitsteam ohne Umschweife erklären können.

Häufige Fehler bei Testumgebungen und wie man Tools sicher auswählt

Die meisten fehlgeschlagenen cyber-physikalischen Tests scheitern aus banalen Gründen wie inkonsistentem Timing, unklarem Umfang oder fehlenden Grunddaten. Unrealistische Netzwerkannahmen können genau die Verzögerungen verbergen, die Instabilität auslösen. Schlechte Reset- und Initialisierungspraktiken machen Tests zu einmaligen Demonstrationen. Die Auswahl der Tools sollte anhand von Determinismus, Schnittstellenabdeckung, Automatisierungsunterstützung und der Klarheit der Ergebnisse beurteilt werden.

Einige Fehler treten immer wieder auf. Teams behandeln den Simulator oft als „die Anlage“ und ignorieren I/O , sodass das Verhalten des Geräts stabil erscheint, bis hardware angeschlossen hardware . Andere passen sich zu sehr an ein einzelnes Angriffsskript an und können dann nicht erklären, warum eine kleine Abweichung die Ergebnisse verändert. Einige Labore erfassen Pakete, versäumen es jedoch, die Zeitstempel abzugleichen, wodurch die Ursachenanalyse zu einer reinen Vermutung wird. Dies sind Probleme bei der Ausführung, keine theoretischen Probleme, und sie lassen sich durch eine disziplinierte Einrichtung und Messung beheben.

Die Auswahl der Tools wird einfacher, wenn Sie sich eine einfache Frage stellen: Kann Ihr Testumfeld nachweisen, dass eine Abwehr physikalische Grenzen unter Einhaltung von Fristen einhält, und zwar mit Nachweisen, die Ihre Kollegen reproduzieren können? OPAL-RT passt in diesen Arbeitsablauf, wenn Sie eine wiederholbare Echtzeitausführung mit enger I/O und Laborautomatisierung benötigen, aber die wichtigere Erkenntnis ist umfassender. Die cyber-physische Validierung belohnt Teams, die Timing, Metriken und Wiederholbarkeit als erstklassige Anforderungen behandeln, denn diese Disziplin macht die Simulation zu einer Zuverlässigkeit, die Sie verteidigen können.