A modeling and simulation framework for analyzing failures in cyber-physical systems for energy applications

Cyber-Physical Systems (CPSs) feature a tight combination of (and coordination between) physical processes and cyber systems, for automation and control. The integration of cyber resources into energy production processes enables the energy CPSs to be real-time monitored and dynamically controlled, during normal operation as well as in case of accidents. Specifically to nuclear energy, the introduction of digital Instrumentation and Control (I&C) systems allows Nuclear Power Plants (NPPs) to take advantage of CPSs, for improved process monitoring, control, and protection. CPSs are subjected to failures (i.e., deviations from the system expected behaviors, which can lead the system to damage) due to degradations and failures of the physical components, and to intentional or accidental breaches in the cyber security. Thus, CPSs failure analysis must comprise safety and security aspects. The objective of the Ph.D. work is to develop a general modeling and simulation framework for the failure analysis of CPSs, which include I. identification and prioritization of hazards and threats (to identify the conditions that trigger anomalies in the systems and their causes), II. failure scenarios modeling and simulation (to characterize the system behavior under different operational conditions, including hazardous and malicious ones), III. consequence analysis (to explore the effects of stochastic component failures and cyber attacks onto the CPS functionality) and, IV. protection design (to take decisions on recovery measures for increasing system resilience). The proposed framework is fundamental to address all possible hazards and threats in a comprehensive and holistic way. With respect to I, II and III, the framework addresses the tasks keeping hazards and threats (with their effects on the CPSs functionalities) separate: on one hand, the hazards (i.e., the stochastic failures more affecting the CPS safety) are proposed to be identified by the Multi-State Physical Modeling (MSPM) approach that accounts for uncertainties on environmental conditions, aging and degradation of component failure events, whereas the threats (i.e., the malicious attacks more affecting the CPS security) by a Monte Carlo (MC)-based exploration framework that, based on safety margin estimation, allows simulating the effects of the cyber threats on the system functionality and prioritizing the most vulnerable components of the CPSs. With respect to the IV, to protect the CPS from (unknown and uncertain) cyber attacks, we propose an Adversarial Risk Analysis (ARA) approach to provide a novel one-sided prescriptive support strategy for the defender to optimize the defensive resource allocation, based on a subjective expected utility model. Once hazards and threats are well identified and protections selected, efforts can be devoted to optimally design protections. Moreover, the prompt recognition and distinction of cyber attacks from component failures in CPSs rely on the simultaneous treatment, within a consolidated Non-Parametric Cumulative Sum (NP-CUSUM) approach, of the measurements taken from redundant channels. Specifically, case studies considered include nuclear CPSs (i.e., a typical Reactor Protection System (RPS) of NPPs, and the digital I&C system of an Advanced Lead-cooled Fast Reactor European Demonstrator (ALFRED)).

I sistemi cyber-fisici (CPSs) sono caratterizzati da una stretta combinazione di (e coordinazione tra) processi fisici e sistemi cyber. L’integrazione di risorse cyber nei processi di produzione di energia consentono il controllo dinamico e il monitaraggio in tempo reale dei CPSs, sia nelle normali operazioni che in caso di incidenti. Specificamente per l’energia nucleare, l’introduzione di sistemi di Strumentazione e Controllo (I&C) digitali rende le Centrali Nucleari (NPPs) equivalenti ad un sistems cyber-fisico, garantendo un migliore monitoraggio del processo, controllo e protezione. I CPSs sono soggetti a guasti (i.e. deviazioni dal comportamento atteso del sistema, che possono danneggiarlo) a causa del degrado e rottura dei componenti fisici del sistema, e di attacchi intenzionali o accidentali ai componenti cyber. Dunque, l’analisi dei guasti dei sistemi cyber-fisici deve considerare la sicurezza di entrambi gli aspetti. L’obiettivo del lavoro di Ph.D. è lo sviluppo di un framework generale di modellizzazione e simulazione per l’analisi dei guasti dei CPSs, che include I. l’identificazione e la prioritizzazione delle minacce e delle occorrenze incidentali (per identificare le condizioni che comportano anomalie nei sistemi e le loro cause), II. La modellizzazione e la simulazione degli scenari incidentali di guasto (per caratterizzare il comportamento del sistema in diverse condizioni operative, incluse condizioni di incidente e pericolo), III. L’analisi delle conseguenze (per esplorare gli effetti di fallimento stocastico dei componenti e attacchi cyber sulla funzionalità del CPS) e, IV. design per la protezione (per prendere decisioni su misure di recupero per migliorare la resilienza del sistema). Il framework proposto è fondamentale per considerare in maniera completa e olistica tutti gli eventi incidentali e le minacce al sistema. Con riferimento a I, II e III, nel framework proposto eventi incidentali e minacce (e i loro effetti sulla funzionalità dei CPSs) vengono mantenuti separati: da un lato, gli eventi incidentali (i.e. i fallimenti stocastici incidentali del sistema e dei suoi componenti) sono identificati con un approccio Multi-State Physical Modeling (MSPM) che include incertezze sulle condizioni ambientali e gli eventi di fallimento dovuti al degrado e invecchiamento dei componenti; dall’altro le minacce (i.e. gli attacchi malevoli e intenzionali alla sicurezza del sistema) sono identificate da uno schema di esplorazione Monte Carlo (MC) che, basato sulla stima dei margini di sicurezza probabilistici, consente la simulazione delle conseguenze delle minacce cyber sulla funzionalità del sistema e prioritizza i componenti più vulnerabili dei CPSs. Con riferimento a IV, per proteggere il sistema da attacchi cyber (sconosciuti e incerti), viene proposto un approccio Adversarial Risk Analysis (ARA) per fornire al difensore del CPS un’innovativa strategia per ottimizzare l’allocazione di risorse di difesa. Identificati correttamente gli eventi incidentali e le minacce, e selezionate le misure di protezione, è possibile concentrare gli sforzi per ottimizzare il design delle misure di riconscimento delle minacce cyber a cui il CPS è soggetto: il tempestivo riconoscimento e distinzione di attacchi cyber dal fallimento dei componenti nei CPSs proposto nell’ultima parte della tesi è basato sul processamento di misurazioni acquisite da canali ridondanti di monitoraggio del sistema, con approccio Non-Parametric Cumulative Sum (NP-CUSUM). Specificamente, i casi studio considerati includono sistemi CPSs nucleari (i.e., un tipico Sistema di Protezione del Reattore (RPS) di un impianto nucleare, e il sistema digitale I&C di Advanced Lead-cooled Fast Reactor European Demonstrator (ALFRED)).