结合IT、OT和高速DAQ,安全发射火箭
融合信息技术(IT)、操作技术(OT)和高速数据采集(DAQ)有助于使航空航天固体助推器试验台免受网络攻击。
信息技术(IT)和操作技术(OT)正在迅速融合。信息的流动与物理过程的操作以及使其发生的硬件相结合,是一个强有力的效率福音。无论是控制石油管道还是生产网球拍的工厂车间,IT和OT一起使用可以实现以前不可能实现的效率。
这项技术已被应用于创建监控和数据采集(SCADA)系统,用于测试欧洲航天局(ESA)阿丽亚娜6号火箭发射的助推器,但有一个扭曲。固体助推器试验台(BEAP)是法属圭亚那唯一的试验台,用于测试欧洲阿丽亚娜5、VEGA和阿丽亚娜6发射装置的助推器。试验台获取测量和控制喷嘴,以检查机载电子设备的操作。
技术挑战
工程师们决定,他们需要一个系统,该系统有一些额外的高速模数转换器(adc),以对发动机进行精确测量。在过去,他们必须采购高速数据采集(DAQ)系统,并将其与控制系统分开运行。这不是一个非常优雅的解决方案,但以前是唯一的解决方案。
最近,全世界都在关注国际黑客破坏了美国东海岸一条重要的燃料管道,并以此勒索赎金。想象一下,他们用一个44英尺长、装满142吨固体火箭推进剂的航天器助推器能造成多大的破坏(图1)。阿丽亚娜号的工程师需要一个控制解决方案,它能将IT、OT和高速DAQ技术巧妙地融合在一起,并提供最好的网络安全。
图1:法属圭亚那圭亚那航天中心(CSG)的火箭试验台。礼貌:ESA-CNES-ARIANESPACE
法国国家研究中心(法国版的美国国家航空航天局)代表欧空局寻找一个系统集成商来改进阿丽亚娜火箭试验台,用高速信号调理和数字化硬件取代实时控制器和DAQ系统。他们要求系统的所有元素都与现有的测试台集成。新系统必须提供高可靠性的控制和指挥以及一流的网络安全。
法国Eiffage公司的一个部门,ees - cle凌乱被选为该系统的系统集成商,用于测试阿丽亚娜发射上的助推器,并监督系统维护。ees - cle凌乱长期专注于工业控制装置的工程和实施。该系统集成商有一个专门为航空航天工业开发系统的部门。
为BEAP(固体助推器试验台)选择的系统是ees - cle凌乱Syclone,这是一种可扩展的控制和命令软件,配置类似工具箱。这种模块化使得开发定制的解决方案成为可能,该解决方案可以适应各种各样的应用程序和环境。Syclone结合了监督、实时过程控制和物理硬件的世界。Syclone接口与操作员和运行实时排序器以及服务器。
对于高速DAQ元件,选用ees - cle凌乱DEWESOFT是DAQ硬件和软件的制造商。与以前的独立DAQ系统不同,Dewesoft数据采集和控制系统不仅用作DAQ系统,而且还将数据实时提供给Syclone控制系统(图2)。
该决策支持系统为圭亚那航天中心的操作人员在高风险操作(如发射火箭或试射发动机)期间提供所有危险区域的地图。该系统的目标是分析和交叉检查850平方英里范围内的气象和消防参数,并实时显示多达10个同时进行的危险操作的信息。
图2:顶层系统概述。礼貌:Dewesoft
从头开始构建网络安全
从系统集成开始,ees - cle凌乱决定解决OT和IT系统中的网络安全问题,尽管它们并不总是共享相同的安全级别,或者在机密性、完整性和可用性(CIA)方面具有相同的要求。
健壮的网络安全首先要将数字“攻击面”减少到操作需求所需的最低限度。ees - cle凌乱将一种名为“纵深防御”的策略应用于火箭测试系统。纵深防御意味着在系统的每一层都解决网络安全问题,每一层都实现了大部分独立的安全措施(图3)。这是系统的各个层:
图3:确保BEAP控制和命令系统的安全。礼貌:Dewesoft
系统间通信(例如IT/OT数据交换)。网络安全是通过隔离和隔离系统来解决的,并将数据流减少到最低限度。添加可以观察流量、检测异常活动和入侵的网络监听器也很重要。这些“轻敲”查找与预期行为的偏差,例如异常量或重复登录尝试和失败。在某些情况下,增加只允许单向数据流的“数据二极管”可以阻碍黑客从一个系统跳到另一个系统的企图。另一种方法是安装带有内置协议转换控件的网关。
OT内部的系统内通信。
这包括实时控制器服务器和测量存储库服务器之间的通信。如果OT的一部分在本质上更具有操作性,而另一部分更多地是关于准备和/或利用结果,则可以在严格的规则下在两者之间使用防火墙。除了预定义的功能需求之外,所有东西都被阻塞了。
的服务器间的通信。剧烈过滤用于开关级别。重要步骤包括:
- 交换机配置小心
- 禁用逻辑上或物理上未使用的端口
- 嵌入防止溢出的保护等等。
服务器和操作站操作系统(Linux或Microsoft Windows级别)。可以通过消除不需要的服务来减小攻击面大小。其中包括内置游戏、视频播放器、网络服务器等等,当然,还要确保安装了最新的安全更新。
通信协议和现场总线(EtherCAT)。选择现场总线及其协议是因为它们对网络威胁具有高度健壮性(没有“即插即用”,使用加密帧,嵌入时间戳)。例如,EtherCAT(又名“以太网现场总线”)几乎用于所有由ess - cle凌乱集成的实时要求高的项目。Dewesoft DAQ硬件支持EtherCAT, EtherCAT也支持实时确定性。
操作站级别。登录管理、健壮的程序技术等。
应用软件(Syclone)级别。这里采取的步骤包括严格的编码规则、一组用于检查代码的特殊工具、内存管理等等。
图4:系统循环时间和同步需求。礼貌:Dewesoft
把它们放在一起
当测试火箭发射器助推器或发动机时,被测试单元的独特性和高附加值,以及高烟火风险,要求控制命令的最佳安全性和可靠性,必须能够使用几十年。
在这种情况下,被测试的产品是唯一的,价值约6060万美元。
正如美国宇航局喜欢说的那样,“失败不是一种选择。”考试必须每次都顺利进行。面临风险的不仅仅是数百万美元:相关人员的安全是至关重要的。
在项目的早期阶段,法国研究中心要求若干高级功能:
- 把全球系统看作是一个测量单位
- 从一个事件触发所有的测量单位。
系统集成商对Syclone系统进行了配置,以便能够管理分散在发射中心的多个DAQ系统的高速数据采集。DAQ系统结合起来提供1000个录音通道,每个通道每秒运行20万个样本。所有这些频道都必须彼此同步,并与绝对时间同步。此外,所有这些通道必须以小于500微秒的延迟对控制系统可用(图4)。
Syclone控制和监控整个火箭测试过程,包括驱动驱动火箭喷嘴本身的执行器。在收到点火点火信号后,所有模拟通道启动,测试开始。
在控制器中对数据进行处理,以执行选定的测试:喷管在任何时候的确切位置是什么?序列的下一步是什么?法国中央研究中心要求这些参数的分辨率为400微秒。
由于网络本身有2.5英里长,处理循环时间为1毫秒。在配置系统时必须考虑到这一点。前面提到的快速数据通道访问时间和系统数据更新时间等关键周期时间子系统必须与整个循环时间相适应。
最终的想法
网络安全不可能一次在一个地方解决;它必须被构建到系统的每一个层面,并得到维护。必须创建漏洞监视来监视已进行的利用企图,无论其来源如何,也不管它们是针对操作系统或其协议的。几个独立的系统并行运行,以监视新的威胁,并提供需要分析或可能的补丁的警报。网络安全是一个永远不会结束的过程。
除了一长串技术网络安全措施之外,人为因素始终发挥着关键作用。应该采取有组织的措施来提高用户对角色和责任的认识。用户需要了解最佳实践,并知道在发生故障或入侵时该做什么。对于任何复杂的系统,制定业务连续性计划和灾难恢复计划都是非常重要的。在洪水或火灾后,当组织需要将敏感数据从一个位置移动到另一个位置时,充分准备风险是抵御网络安全威胁的最佳保护措施。
无论挑战是控制强大的火箭发动机、石油管道还是生产网球拍的工厂车间,都存在相同的基本要求,而网络安全是成功和持久集成的核心。
您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献,并获得你和你的公司应得的认可。点击在这里开始这个过程。
