網絡攻擊下安全級儀控系統人因失誤風險分析初探

郝祖龍，袁 睿，郝 琦，玉 宇

（1. 華北電力大學核科學與工程學院，北京 102206；2. 非能動核能安全技術北京市重點實驗室，北京 102206）

伊朗“震網”病毒事件后，核電數字化儀控系統（簡稱DCS）的信息安全問題成為業界關注的熱點[1-3]。DCS 系統的“封閉性”設計將隨著工業互聯網與電站控制網絡的深度融合而被打破，來自電站外部或內部的網絡攻擊對機組設備運行帶來潛在威脅。國際相關組織陸續出臺了RG1.152、RG5.71 等一系列導則，國內監管部門也加強了對核電運營單位的網絡安全功能合規性審查力度[4]。但是由于缺乏詳細的網絡防御指導細則和應急響應預案，惡意網絡攻擊對核電DCS 系統和電站設備安全仍構成潛在威脅。

近年來有學者從功能設計[5]、脆弱性分析[6]、入侵檢測[7]、風險評估[8]等角度對核電DCS 信息安全開展了相關研究，嘗試從工控網絡安全視角去分析和解決核電站控制系統的網絡安全問題，但這些研究未考慮核電站操縱員受網絡攻擊影響產生的人因失誤風險。

現代核電廠具有龐大復雜的人 - 機交互系統，而操縱員在其中承擔著重要的認知和決策任務。張力等[9]從操縱員的認知行為模型、失誤機理等多個方面入手揭示了數字化核電廠控制系統在人因可靠性方面的變化及其內部機制。蔡旭等[10]研究了人因失誤的分類和發生概率對反應堆保護系統可靠性的影響。文獻［11］以核電廠先進控制室為對象，分析了數字化人 - 機界面對人員操作行為及其可靠性帶來的影響，但上述研究沒有考慮網絡攻擊下操縱員的作業行為與系統安全之間的關聯性。Kim 等人針對韓國實驗堆，采用情景演繹推理方法研究了網絡攻擊導致人因失誤的影響[12]，對國內核電廠網絡安全評價中增加人因風險分析具有重要借鑒意義。

本文基于概率安全理論對網絡攻擊下安全級儀控系統人因失誤風險分析進行了探索性研究，初步給出一種網絡攻擊引發的人因失誤風險評價方法。以喪失所有二回路冷源事故為例，分析了由于非安全級系統遭受信息安全威脅而引發安全系統失效的可能性，建立了考慮網絡攻擊因素的人因失誤風險故障樹模型，比較了不同人因失誤概率下的事故發生概率。該方法可為國內核電DCS 系統網絡安全風險評估提供一種新思路。

1 網絡攻擊引發的操縱員失誤行為

核電廠安全功能可通過安全級儀控系統、非安全級儀控系統以及操縱員來實現，如圖1所示。

核電廠DCS 系統的安全級平臺可以自動實現安全功能實施和專設安全設施動作，事故發生時操縱員只需確認安全系統是否工作正常并依據應急運行規程（EOP）產生手動執行信號。盡管安全級儀控系統在功能設計方面考慮了信息安全需求，然而，非安全級DCS 的內部通信安全等級相對較低，一旦遭受網絡攻擊，在特定情況下會對操縱員的認知行為形成誤導，未能及時執行正確的手動確認操作而導致安全功能失效，這種人因失誤造成的后果可看成是EOP 執行中遺漏了相應步驟產生的影響。而執行型失誤（EOC）主要是由于操縱員的不恰當行為導致異常事件或事故惡化，這些假想行為及其后果無法直接獲得，需要從大量事故情境中辨識。為后續方便分析，這里默認所有操縱員能嚴格遵守核電廠正常運行規程以及EOP，而且電廠運行過程中操縱員始終關注操作臺中顯示的信息。

2 網絡攻擊下人因失誤風險分析方法

采用基于情境的人誤分析方法[12]，通過剖析網絡攻擊下由于非安全級DCS 故障導致人因操作失誤、繼而引發安全功能喪失等假想情景，從人因失誤機理的角度定性展示網絡攻擊導致的操縱員作業失誤風險。圖2 給出了一種假想的網絡攻擊下人因失誤導致安全功能喪失情景。

這里將可能的網絡入侵途徑分為兩類：一類是黑客從電廠外部網絡突破管理層的安全防護層侵入至非安全級DCS 系統；另一類是通過便攜式存儲設備經工程師站侵入儀控系統。由于非安全級DCS 平臺中的信息處理系統與安全級DCS 平臺中的安全級顯示單元有信號連接，因此網絡攻擊可通過網絡擁塞、傳輸遲延、虛假信息注入等方式影響安全系統運行參數的正常顯示，以此誤導操縱員的認知行為。一旦出現堆芯損傷等事故，受顯示信息影響的操縱員可能會停閉需要執行的專設安全設施導致安全響應失效，從而給電廠安全帶來極大隱患。

通常，網絡攻擊下人因失誤風險分析主要包括3 個基本過程：

（1）攻擊事件情境辨識

雖然故障樹分析方法可以處理系統部件物理失效以及人因失誤引發的失效事件，但在考慮網絡攻擊后，操縱員受網絡攻擊影響引發的失效事件則無法用現有的部件失效模式替代，而應被看出是一個新的失效模式作為網絡攻擊的基本事件。在基本事件的確認過程中，需要檢查該人誤事件是否會引起部件失效，如不滿足條件時則不計入基本事件。

（2）操縱員錯誤行為劃分

為獲取網絡攻擊引入的基本事件，需要定義出不同類型的操縱員錯誤行為。由前述討論可知，遺漏型失誤（EOO）行為產生的影響容易分析。但對于EOC 而言，由于可能性太多導致很難進行全面分析，這里僅考慮因網絡攻擊導致顯示系統信息錯誤等情況引發的EOC。

（3）建立故障樹模型

從分析人的行為意識來看，網絡入侵者對于核電廠的攻擊目的和意圖千差萬別，具有較大的不確定性和多變性，但從攻擊手段、攻擊路徑、攻擊時間等方面具備一定的統計特征。這里采用故障樹分析方法建立相應的PSA 模型，用于評價網絡攻擊帶來的操縱員失誤風險。其基本思路為：在未考慮網絡攻擊的故障樹模型基礎上加入網絡攻擊引發的人因失誤基本事件，使得最小割集可以包含網絡攻擊的影響因素?？紤]到網絡攻擊的復雜性，建模時不考慮部件隨機失效事件、結構失效和非能動部件失效事件、以及攻擊引起的其他安全部件失效事件。

3 仿真分析

下面以典型壓水堆電廠喪失所有二回路冷源事故為例，對事故緩解過程中由于網絡攻擊引起的人因失誤風險進行初步仿真。

3.1 事故序列

當壓水堆核電廠喪失全部二回路冷卻手段后，在緊急停堆成功的情況下，操縱員將按照相應的事故處理規程進行處置。首先是啟動安注系統，延時一段時間后順序打開穩壓器的各個安全閥組；當安全殼壓力超過安全限值時則自動觸發安全殼噴淋系統；后期轉入安注再循環過程直至滿足正常余熱排出系統（RRA）投入，最后將核反應堆穩定在冷停堆狀態。喪失全部二回路冷卻后相應的事故序列如圖 3所示。

3.2 故障樹分析

（1）安全注入系統。首先給出未考慮網絡攻擊的安注系統故障樹，主要涉及水箱、安注泵、閥門等設備失效情況。在此基礎上考慮了兩種網絡攻擊的可能：一是網絡攻擊導致無法生成安注信號；二是網絡攻擊導致無法顯示正確的泵狀態，如圖4 所示。

（2）安全閥。安全閥在收到安注信號時自動打開，由于在安注系統中已經考慮了安注信號，故在此不做考慮，其故障樹如圖5所示。

（3）安注再循環系統。當水箱中的水注完后，則轉入安注再循環，水源為安全殼內的地坑水。由于此時需使用安注系統設備，因此故障樹模型仍然需要考慮安注泵信息顯示面臨的攻擊風險，如圖6 所示。

（4）安全殼噴淋系統

當安注信號發出一段時間后，安全殼噴淋系統的投入以降低冷卻劑溫度。安全殼噴淋系統收到安注信號時自動啟動，故在此不用考慮網絡攻擊，可用傳統故障樹建模（見圖7）。

3.3 結果分析

事故結果可分為事故緩解成功和事故緩解失敗而導致堆芯損傷。利用 RiskSpectrum軟件[13]計算該事故導致堆芯損傷的頻率約為3.42×10-4。通過堆芯損壞最小割集分析，可進一步了解導致損傷原因，各類事件占比如圖8 所示。

本例中，網絡攻擊雖然不會導致設備損壞，但是網絡攻擊所引起的信息阻塞或誤導會使人的判斷出錯，從而導致緩解系統不能正常投入運行，造成安全事故。從圖 8 可知，安注泵與安全殼泵的設備損壞仍為堆芯損壞的主要原因，但是網絡攻擊導致的安注信號啟動失敗和泵運行的失效概率也不可忽略。

此外，主控室操縱員針對網絡攻擊的認知和處理能力也會影響事故發生概率。為方便比較，將人被誤導概率分別取1，0.1，0.01，0.001，計算了不同人因失誤概率下堆芯損傷頻率，結果如表 1 所示。可見，隨著人被誤導的概率降低，網絡攻擊引發的堆芯損傷頻率將顯著減少。需要說明的是，由于目前國內外壓水堆核電機組還未曾發生過類似攻擊事件，一般性的事故預演很難提高操縱員對該類事故的認知和處理能力，后續還有待進一步研究。

表1 不同人因失誤概率下的堆芯損傷頻率Table 1 The probability of accidents with different human factor probabilities

4 結束語

本文通過模擬非安全級DCS 故障導致人因操作失誤、繼而引發安全功能喪失等假想情景，在簡化攻擊方式和部件失效模式前提下，采用概率安全評價理論對網絡攻擊引發的人因失誤風險評價進行了初步探討。通過仿真分析可得如下初步結果：

（1）安全級儀控系統在概率安全風險評價中建議考慮網絡攻擊引發的人因失誤因素。

（2）為降低網絡攻擊引發的堆芯損傷頻率，可考慮增加運行操縱員對網絡攻擊現象與后果的認知處理能力，但具體的培訓形式、內容有待進一步研究。