网络攻击下安全级仪控系统人因失误风险分析初探

2022-10-25郝祖龙

核科学与工程 2022年4期

郝祖龙，袁睿，郝琦，玉宇

（1. 华北电力大学核科学与工程学院，北京 102206；2. 非能动核能安全技术北京市重点实验室，北京 102206）

伊朗“震网”病毒事件后，核电数字化仪控系统（简称DCS）的信息安全问题成为业界关注的热点[1-3]。DCS 系统的“封闭性”设计将随着工业互联网与电站控制网络的深度融合而被打破，来自电站外部或内部的网络攻击对机组设备运行带来潜在威胁。国际相关组织陆续出台了RG1.152、RG5.71 等一系列导则，国内监管部门也加强了对核电运营单位的网络安全功能合规性审查力度[4]。但是由于缺乏详细的网络防御指导细则和应急响应预案，恶意网络攻击对核电DCS 系统和电站设备安全仍构成潜在威胁。

近年来有学者从功能设计[5]、脆弱性分析[6]、入侵检测[7]、风险评估[8]等角度对核电DCS 信息安全开展了相关研究，尝试从工控网络安全视角去分析和解决核电站控制系统的网络安全问题，但这些研究未考虑核电站操纵员受网络攻击影响产生的人因失误风险。

现代核电厂具有庞大复杂的人 - 机交互系统，而操纵员在其中承担着重要的认知和决策任务。张力等[9]从操纵员的认知行为模型、失误机理等多个方面入手揭示了数字化核电厂控制系统在人因可靠性方面的变化及其内部机制。蔡旭等[10]研究了人因失误的分类和发生概率对反应堆保护系统可靠性的影响。文献［11］以核电厂先进控制室为对象，分析了数字化人 - 机界面对人员操作行为及其可靠性带来的影响，但上述研究没有考虑网络攻击下操纵员的作业行为与系统安全之间的关联性。Kim 等人针对韩国实验堆，采用情景演绎推理方法研究了网络攻击导致人因失误的影响[12]，对国内核电厂网络安全评价中增加人因风险分析具有重要借鉴意义。

本文基于概率安全理论对网络攻击下安全级仪控系统人因失误风险分析进行了探索性研究，初步给出一种网络攻击引发的人因失误风险评价方法。以丧失所有二回路冷源事故为例，分析了由于非安全级系统遭受信息安全威胁而引发安全系统失效的可能性，建立了考虑网络攻击因素的人因失误风险故障树模型，比较了不同人因失误概率下的事故发生概率。该方法可为国内核电DCS 系统网络安全风险评估提供一种新思路。

1 网络攻击引发的操纵员失误行为

核电厂安全功能可通过安全级仪控系统、非安全级仪控系统以及操纵员来实现，如图1所示。

核电厂DCS 系统的安全级平台可以自动实现安全功能实施和专设安全设施动作，事故发生时操纵员只需确认安全系统是否工作正常并依据应急运行规程（EOP）产生手动执行信号。尽管安全级仪控系统在功能设计方面考虑了信息安全需求，然而，非安全级DCS 的内部通信安全等级相对较低，一旦遭受网络攻击，在特定情况下会对操纵员的认知行为形成误导，未能及时执行正确的手动确认操作而导致安全功能失效，这种人因失误造成的后果可看成是EOP 执行中遗漏了相应步骤产生的影响。而执行型失误（EOC）主要是由于操纵员的不恰当行为导致异常事件或事故恶化，这些假想行为及其后果无法直接获得，需要从大量事故情境中辨识。为后续方便分析，这里默认所有操纵员能严格遵守核电厂正常运行规程以及EOP，而且电厂运行过程中操纵员始终关注操作台中显示的信息。

2 网络攻击下人因失误风险分析方法

采用基于情境的人误分析方法[12]，通过剖析网络攻击下由于非安全级DCS 故障导致人因操作失误、继而引发安全功能丧失等假想情景，从人因失误机理的角度定性展示网络攻击导致的操纵员作业失误风险。图2 给出了一种假想的网络攻击下人因失误导致安全功能丧失情景。

这里将可能的网络入侵途径分为两类：一类是黑客从电厂外部网络突破管理层的安全防护层侵入至非安全级DCS 系统；另一类是通过便携式存储设备经工程师站侵入仪控系统。由于非安全级DCS 平台中的信息处理系统与安全级DCS 平台中的安全级显示单元有信号连接，因此网络攻击可通过网络拥塞、传输迟延、虚假信息注入等方式影响安全系统运行参数的正常显示，以此误导操纵员的认知行为。一旦出现堆芯损伤等事故，受显示信息影响的操纵员可能会停闭需要执行的专设安全设施导致安全响应失效，从而给电厂安全带来极大隐患。

通常，网络攻击下人因失误风险分析主要包括3 个基本过程：

（1）攻击事件情境辨识

虽然故障树分析方法可以处理系统部件物理失效以及人因失误引发的失效事件，但在考虑网络攻击后，操纵员受网络攻击影响引发的失效事件则无法用现有的部件失效模式替代，而应被看出是一个新的失效模式作为网络攻击的基本事件。在基本事件的确认过程中，需要检查该人误事件是否会引起部件失效，如不满足条件时则不计入基本事件。

（2）操纵员错误行为划分

为获取网络攻击引入的基本事件，需要定义出不同类型的操纵员错误行为。由前述讨论可知，遗漏型失误（EOO）行为产生的影响容易分析。但对于EOC 而言，由于可能性太多导致很难进行全面分析，这里仅考虑因网络攻击导致显示系统信息错误等情况引发的EOC。

（3）建立故障树模型

从分析人的行为意识来看，网络入侵者对于核电厂的攻击目的和意图千差万别，具有较大的不确定性和多变性，但从攻击手段、攻击路径、攻击时间等方面具备一定的统计特征。这里采用故障树分析方法建立相应的PSA 模型，用于评价网络攻击带来的操纵员失误风险。其基本思路为：在未考虑网络攻击的故障树模型基础上加入网络攻击引发的人因失误基本事件，使得最小割集可以包含网络攻击的影响因素。考虑到网络攻击的复杂性，建模时不考虑部件随机失效事件、结构失效和非能动部件失效事件、以及攻击引起的其他安全部件失效事件。

3 仿真分析

下面以典型压水堆电厂丧失所有二回路冷源事故为例，对事故缓解过程中由于网络攻击引起的人因失误风险进行初步仿真。

3.1 事故序列

当压水堆核电厂丧失全部二回路冷却手段后，在紧急停堆成功的情况下，操纵员将按照相应的事故处理规程进行处置。首先是启动安注系统，延时一段时间后顺序打开稳压器的各个安全阀组；当安全壳压力超过安全限值时则自动触发安全壳喷淋系统；后期转入安注再循环过程直至满足正常余热排出系统（RRA）投入，最后将核反应堆稳定在冷停堆状态。丧失全部二回路冷却后相应的事故序列如图 3所示。

3.2 故障树分析

（1）安全注入系统。首先给出未考虑网络攻击的安注系统故障树，主要涉及水箱、安注泵、阀门等设备失效情况。在此基础上考虑了两种网络攻击的可能：一是网络攻击导致无法生成安注信号；二是网络攻击导致无法显示正确的泵状态，如图4 所示。

（2）安全阀。安全阀在收到安注信号时自动打开，由于在安注系统中已经考虑了安注信号，故在此不做考虑，其故障树如图5所示。

（3）安注再循环系统。当水箱中的水注完后，则转入安注再循环，水源为安全壳内的地坑水。由于此时需使用安注系统设备，因此故障树模型仍然需要考虑安注泵信息显示面临的攻击风险，如图6 所示。

（4）安全壳喷淋系统

当安注信号发出一段时间后，安全壳喷淋系统的投入以降低冷却剂温度。安全壳喷淋系统收到安注信号时自动启动，故在此不用考虑网络攻击，可用传统故障树建模（见图7）。

3.3 结果分析

事故结果可分为事故缓解成功和事故缓解失败而导致堆芯损伤。利用 RiskSpectrum软件[13]计算该事故导致堆芯损伤的频率约为3.42×10-4。通过堆芯损坏最小割集分析，可进一步了解导致损伤原因，各类事件占比如图8 所示。

本例中，网络攻击虽然不会导致设备损坏，但是网络攻击所引起的信息阻塞或误导会使人的判断出错，从而导致缓解系统不能正常投入运行，造成安全事故。从图 8 可知，安注泵与安全壳泵的设备损坏仍为堆芯损坏的主要原因，但是网络攻击导致的安注信号启动失败和泵运行的失效概率也不可忽略。

此外，主控室操纵员针对网络攻击的认知和处理能力也会影响事故发生概率。为方便比较，将人被误导概率分别取1，0.1，0.01，0.001，计算了不同人因失误概率下堆芯损伤频率，结果如表 1 所示。可见，随着人被误导的概率降低，网络攻击引发的堆芯损伤频率将显著减少。需要说明的是，由于目前国内外压水堆核电机组还未曾发生过类似攻击事件，一般性的事故预演很难提高操纵员对该类事故的认知和处理能力，后续还有待进一步研究。