A model of distributed key generation for industrial control systems

11th International Workshop on Discrete Event Systems, WODES 2012; Guadalajara, Jalisco; Mexico; 3 October 2012 through 5 October 2012The cyber-security of industrial control systems (ICS) is gaining high relevance due to the impact of industrial system failures on the citizen life. There is an urgent need for the consideration of security in their design, and for the analysis of the related vulnerabilities and potential threats. The high exposure of industrial critical infrastructure to cyber-threats is mainly due to the intrinsic weakness of the communication protocols used to control the process network. The peculiarities of the industrial protocols (low computational power, large geographical distribution, near to real-time constraints) make hard the effective use of traditional cryptographic schemes and in particular the implementation of an effective key management infrastructure supporting a cryptographic layer. In this paper, we describe a "model of distributed key generation for industrial control systems" we have recently implemented. The model is based on a known Distributed Key Generator protocol we have adapted to an industrial control system environment and to the related communication protocol (Modbus). To validate in a formal way selected security properties of the model, we introduced a Petri Nets representation. This representation allows for modeling attacks against the protocol and understanding some potential weaknesses of its implementation in the industrial control system environment

Synthesis observation equivalence and weak synthesis observation equivalence

This working paper proposes an algorithm to simplify automata in such a way that compositional synthesis results are preserved in every possible context. It relaxes some requirements of synthesis observation equivalence from previous work, so that better abstractions can be obtained. The paper describes the algorithm, adapted from known bisimulation equivalence algorithms, for the improved abstraction method. The algorithm has been implemented in the DES software tool Supremica and has been used to compute modular supervisors for several large benchmark examples. It successfully computes modular supervisors for systems with more than 10¹² reachable states

Distributed Supervisory Control of Discrete-Event Systems with Communication Delay

This paper identifies a property of delay-robustness in distributed supervisory control of discrete-event systems (DES) with communication delays. In previous work a distributed supervisory control problem has been investigated on the assumption that inter-agent communications take place with negligible delay. From an applications viewpoint it is desirable to relax this constraint and identify communicating distributed controllers which are delay-robust, namely logically equivalent to their delay-free counterparts. For this we introduce inter-agent channels modeled as 2-state automata, compute the overall system behavior, and present an effective computational test for delay-robustness. From the test it typically results that the given delay-free distributed control is delay-robust with respect to certain communicated events, but not for all, thus distinguishing events which are not delay-critical from those that are. The approach is illustrated by a workcell model with three communicating agents

Contribution à la commande sûre des Systèmes à Événements Discrets

Les activités de recherche rentrent dans le spectre de la section 61 du CNU et ont pour domaine l’Automatique des Systèmes à Événements Discrets (SED). Elles sont conduites en vue d’accroître la sûreté de fonctionnement des systèmes automatisés comme ceux qu’il est possible de trouver dans le cadre de la production manufacturière, de la production d'énergie ou du transport. Une grande partie de ces recherches a concerné la conception sûre des systèmes de contrôle-commande à base d’Automates Programmables Industriels (API) et plus particulièrement les thématiques suivantes :- la vérification formelle de programmes de contrôle-commande,- la synthèse algébrique de programmes de contrôle-commande à partir de spécifications informelles,- le test de conformité d’un contrôleur logique vis-à-vis de sa spécification.D'autres recherches ont porté sur la formalisation des outils pour l’analyse de sûreté, utilisés dans le cadre de l’analyse prévisionnelle des risques d’un équipement ou d’une installation industrielle. Cette formalisation des outils utilisés en sûreté a été faite en examinant avec un point de vue SED une problématique qui ne l’était pas à son origine. Il a été étudié :- la modélisation algébrique des arbres de défaillances dynamiques,- l’analyse prévisionnelle des risques d’un point de vue qualitatif pour les systèmes réparables à partir de Boolean logic Driven Markov Processes (BDMPs),- l’analyse prévisionnelle des risques d’un point de vue quantitatif pour les systèmes réparables à l’aide de chaînes de Markov.D'une manière générale, ces activités de recherche ont pour objectif de proposer des apports formels ou méthodologiques à des outils de modélisation généralement issus de l’industrie tout en répondant à des besoins industriels déjà présents ou sur le point de le devenir

A Control And Automation Engineering Approach To Railway Interlocking System Design

Tez (Doktora) -- İstanbul Teknik Üniversitesi, Fen Bilimleri Enstitüsü, 2014Thesis (PhD) -- İstanbul Technical University, Institute of Science and Technology, 2014Demiryollarının ilk inşaat maliyetleri oldukça yüksek olmasına rağmen diğer ulaşım sistemleri ile karşılaştırıldığında, demiryolu sistemleri daha ekonomik, güvenli ve çevrecidir. Tüm bu özelliklerine rağmen, diğer Avrupa ülkeleri ile karşılaştırıldığında yakın zamana kadar Türkiye’de demiryollarına yapılan yatırım oldukça kısıtlı kalmıştır. Son yıllarda demiryolu sektörüne yapılan yatırımların gözle görülür bir şekilde artmasıyla gelişimi hız kazanan demiryolu ulaşım sistemlerinde dışarıya bağımlılığın azaltılması gündeme gelmiştir. Bu bağlamda gerek uyum ve güncelleme sıkıntıları gerekse yüksek maliyetler nedeni ile yerli sinyalizasyon sistemlerinin geliştirilmesi Türkiye Cumhuriyeti Devlet Demiryolları (TCDD) tarafından bir ihtiyaç olarak belirtilmiştir. Bunun bir sonucu olarak Türkiye’nin ilk yerli demiryolu sinyalizasyon projesi TCDD, Türkiye Bilimsel ve Teknolojik Araştırma Kurumu (TÜBİTAK) ve İstanbul Teknik Üniversitesi (İTÜ) ortaklığında tamamlanarak TCDD’ye teslim edilmiştir. Demiryolu sistemlerinde ulaşım ve taşımanın güvenli olarak gerçekleştirilmesini sağlayan en önemli bileşen anklaşman (interlock) sistemidir. Anklaşman sisteminin geliştirilmesinde izlenilecek olan temel adımlar Avrupa Elektroteknik Standardizasyon Komitesi (European Committee for Electrotechnical Standardization - CENELEC) gibi uluslararası komiteler tarafınca hazırlanan güvenlik standartlarında tanımlanmıştır. Geliştirilen sinyalizasyon sisteminin istenilen Güvenlik Bütünlüğü Seviyesi (Safety Integrity Level - SIL) seviyesini sağlayabilmesi için bu güvenlik standartlarınca tavsiye edilen yöntem, teknik ve mimarilerin kullanılması yüksek önem arz etmektedir. Uluslararası güvenlik standartlarının gereksinimlerine ek olarak, sinyalizasyon sisteminin kurulacağı ülkeye ait ihtiyaçlar ve güvenlik kriterleri de göz önünde bulundurulmalıdır. Yazılım geliştirme süreci başlangıcında yazılımdan beklenen çıktılar veya başka bir deyişle yazılım isterleri oluşturulmalıdır. Sonrasında güvenlik standartlarında tavsiye edilen yöntem ve mimarilerin istenilen SIL seviyesinin sağlanabilmesi için uygun bir şekilde seçilmesi gerekmektedir. Seçilen yöntem ve mimariler yazılım isterlerini eksiksiz sağlayacak şekilde tasarımı gerçekleştirecek olan grup tarafından yazılım geliştirme sürecinde kullanılmalıdır. Yazılım geliştirme sürecinde tasarımı gerçekleştirilen yazılım blok ve alt blokları (veya modülleri) yazılım test grubu tarafından oluşturulan test prosedürüne göre test edilerek doğrulanmalıdır. Test prosedüründe uygulanan adımlar yazılım isterlerini doğrulayacak şekilde oluşturmalıdır. Yazılım geliştirme ve test süreçleri eksiksiz şekilde tamamlandıktan sonra doğrulanmış yazılım Fabrika Kabul Testi ve Saha Kabul Testleri ile de doğrulanmalıdır. Yazılım testlerinde herhangi bir hata ile karşılaşılması durumunda hatalar raporlanmakta ve gerekli düzeltmelerin yapılması amacıyla yazılım geliştirme gruplarına sunulmaktadır. Gerekli düzeltmeler gerçekleştirildikten sonra tüm testler en baştan tekrar gerçekleştirilmelidir. Bu tezde, sabit-blok (fixed-block) demiryolu sinyalizasyon sistemlerine ilişkin fonksiyonel güvenlik gereksinimleri tanımlanmış ve en az SIL 3 seviyesine sahip bir demiryolu anklaşman sistemi tasarımında kullanılan biçimsel modelleme yöntemleri, yazılım mimarileri detaylı olarak anlatılmıştır. Özellikle, güvenlik-kritik yazılım geliştirme sürecinde kullanılan çoklu programlama (Diverse Programming, N-version Programming) tekniğinin kullanımında ortaya çıkan eşzamanlama (synchronization) problemleri tanımlanmış ve bunlara yönelik çözüm yöntemleri önerilmiştir. Karşılaşılan eşzamanlama problemleri tip-1 ve tip-2 olarak iki farklı gruba ayrılmıştır. Bu iki farklı problem için iki farklı çözüm önerilmiş ve programlanabilir mantıksal kontrolörler üzerinde uygulanarak doğrulanmıştır. 1800’lü yılların ortalarından bugüne kadar kullanılmakta olan sabit-blok sinyalizasyon sistemleri, yolcu ve taşıma yoğunluğun artması, trenler arası yolculuk sürelerinin (headway time) gerekenden yüksek olması nedeniyle özellikle metro sistemlerinde yerini hareketli-blok (moving-block) sistemlere bırakmaktadır. Hareketli-blok sistemlerin en bilinen örneği olan Haberleşme Tabanlı Tren Kontrolü (Communication Based Train Control - CBTC) uygulamaları ile mevcut metro ve şehir içi demiryolu hatları daha etkin ve verimli bir şekilde kullanılabilmektedir. Buna ek olarak, farklı Avrupa ülkelerinde uygulanan tren kontrol, sinyalizasyon yöntemleri ile güvenlik kriterlerinin tek bir çatı altında toplanması, bu kriter ve uygulamaların şehir içi şehirlerarası demiryolu hatlarında da kullanılabilmesi amacıyla Avrupa Raylı Ulaşım Yönetim Sistemi (European Rail Traffic Management System - ERTMS) tanımlanmıştır. ERTMS, Avrupa Demiryolu Trafik Kontrolü (European Rail Traffic Control - ETCS) ve Demiryolu Mobil İletişim için Küresel Sistem (Global System for Mobile communications - Railway - GSM-R) uygulamalarının bir araya getirilmesi sonucunda oluşturulmuştur. ETCS uygulama seviyesi 1 ve 2, ek güvenlik kriterleri getirilmiş olan sabit-blok sistemlerdir. ETCS uygulama seviyesi 3 ise seviye 1 ve 2’den farklı olarak hareketli-blok sistemler olarak tanımlanmaktadır. ETCS uygulama seviye 3’ün en önemli bir diğer avantajı ise, sabit-blok sistemlerde kullanılan yol boyu sinyallerin ve ray devrelerinin kaldırılmış olmasıdır. Güvenli tren hareketi için gereken tüm bilgiler tren üzeri bilgisayar ve trafik kumanda merkezi arasında GSM-R vasıtası iletilmektedir. Sabit-blok demiryolu sinyalizasyon sistemlerinde gerçekleştirilen çözüm ve uygulamalara ek olarak, hareketli-blok sinyalizasyon sistemlerinin temel bileşenleri ve kavramları da tez kapsamında açıklanmıştır. Hareketli-blok sistemlerde trenlerin birbirini güvenli bir şekilde takip edebilmeleri için göz önünde bulundurulması gereken kriterler tanımlanmıştır. Avrupa Demiryolu Ajansı (European Railway Agency - ERA) ve Uluslararası Demiryolu Sendikası (International Union of Railways - UIC) gibi kurumların konu hakkında tavsiye ve önerilerine uygun olarak tren frenleme eğrilerinin hesaplanması ve güvenli tren takip mesafesi gibi kavramlar da açıklanmıştır. ERA ve UIC tarafından tanımlanmış güvenli tren takip mesafeleri ve tren frenleme mesafeleri göz önünde bulundurularak, ETCS uygulama seviye 3 kriterlerine göre aynı demiryolu hattı üzerinde aynı yönde ilerleyen trenlerin birbirlerini güvenli olarak takip etmesini sağlayan bir çevrimiçi uyarlamalı kontrolör tasarım yönteminin uygulaması önerilmiştir. Önerilen bu kontrolörün doğrulanması amacıyla benzetim çalışmaları yapılmış ve kontrolörün doğruluğu gösterilmiştir.Despite the high initial costs of railway constructions, railway systems are more economic, safer and more environment friendly than other ways of transport. Notwithstanding all these positive features, the investments in Turkey had been rather limited in comparison with other European countries until recent years. A need for reducing the dependency to other countries has arisen in line with the development in railway transportation after a visible increase in the investments on railway sector in recent years. Owing to high costs and problems in adaptation, development of local signaling systems has been required by TCDD. As a result, the first signaling system has been developed by the partnership of TCDD, TUBITAK and ITU. The most important component of railway systems that enables a safe transportation is interlocking. The safety basis of developing an interlocking system is described by standards developed by international committees like CENELEC. In order to provide the required SIL, using these techniques, methods and architectures has a great importance. Besides the international safety standards, the needs and safety rules of the country where the signaling system to be applied have to be considered. In this thesis, functional safety requirements related to fixed-block railway signaling systems are described, and formal modeling methods and software architectures used for a minimum SIL 3 railway interlocking system has discussed in detail. In particular, some of the problems that arise in using the diverse programming technique, which is used in developing failsafe software, have been determined and solution methods to these problems have been proposed. . Besides fixed-block signaling systems, moving-block signaling systems are also explained within the thesis. The implementation levels of European Rail Traffic Management System (ERTMS) are explained, and application of an online adaptive controller design method that guarantees the trains to follow each other within safe distances is proposed.DoktoraPh

Diagnostic, opacité et test de conformité pour des systèmes récursifs

L'une des façons les plus efficace de s'assurer du bon fonctionnement d'un système informatique est de les représenter par des modèles mathématiques. De nombreux travaux ont été réalisés en utilisant des automates finis comme modèles, nous essayons ici d'étendre ces travaux à des modèles infinis. Dans cette thèse, nous nous intéressons à quelques problèmes dans lesquels un système est observé de façon incomplète. Dans ce cas, il est impossible d'accéder à certaines informations internes. La diagnosticabilité d'une propriété donnée consiste à vérifier qu'à l'exécution du système, un observateur sera en mesure de déterminer avec certitude que la propriété est vérifiée par le système. L'opacité consiste, réciproquement, à déterminer qu'un doute existera toujours. Une autre application concerne la génération de cas de test. Une fois encore, on considère qu'un observateur n'accède qu'à une partie des événements se produisant dans le système (en général les entrées et les sorties). À partir d'une spécification, on produit automatiquement des cas de test, qui ont pour but de détecter des non-conformités (elles même formalisées de façon précise). Ces trois problèmes ont été étudiés pour des modèles finis. Dans cette thèse, nous étendons leur étude aux modèles récursifs, pour cela nous avons introduit notre propre modèle, les RTS, qui sont une généralisation des automates à pile, et d'autres modèles de la récursivité. Nous adaptons ensuite les techniques utilisées sur des modèles finis, qui servent à résoudre les problèmes qui nous intéressent.An effective way to ensure the proper functioning of a computer system is to represent it by using mathematical models . Many studies have been conducted using finite automata as models, in this thesis we try to extend these works to infinite models. We focus on three problems in which a system is partially observed. In this case, it is impossible to access certain internal informations. Diagnosability of a given property consist in checking, that, during the execution of the system, an observer will be able to determine with certainty that the property is verified by the system. Conversely, the opacity consists in determining if a doubt will always exist. Another application is the generation of test cases. Once again, we consider that an observer accesses only some events of the system (typically the inputs and outputs): from a specification, we automatically generate test cases, which are designed to detect non-conformance. These three problems have been studied for finite models. In this thesis, we extend their study to recursive models. For this purpose, we have introduced a new model, the RTS, which are a generalization of pushdown automata and other models of recursion. In order to solve problems of interest, we adapt the techniques used in finite models.RENNES1-Bibl. électronique (352382106) / SudocSudocFranceF

On Minimum-time Control of Continuous Petri nets: Centralized and Decentralized Perspectives

Muchos sistemas artificiales, como los sistemas de manufactura, de logística, de telecomunicaciones o de tráfico, pueden ser vistos "de manera natural" como Sistemas Dinámicos de Eventos Discretos (DEDS). Desafortunadamente, cuando tienen grandes poblaciones, estos sistemas pueden sufrir del clásico problema de la explosión de estados. Con la intención de evitar este problema, se pueden aplicar técnicas de fluidificación, obteniendo una relajación fluida del modelo original discreto. Las redes de Petri continuas (CPNs) son una aproximación fluida de las redes de Petri discretas, un conocido formalismo para los DEDS. Una ventaja clave del empleo de las CPNs es que, a menudo, llevan a una substancial reducción del coste computacional. Esta tesis se centra en el control de Redes de Petri continuas temporizadas (TCPNs), donde las transiciones tienen una interpretación temporal asociada. Se asume que los sistemas siguen una semántica de servidores infinitos (velocidad variable) y que las acciones de control aplicables son la disminución de la velocidad del disparo de las transiciones. Se consideran dos interesantes problemas de control en esta tesis: 1) control del marcado objetivo, donde el objetivo es conducir el sistema (tan rápido como sea posible) desde un estado inicial a un estado final deseado, y es similar al problema de control set-point para cualquier sistema de estado continuo; 2) control del flujo óptimo, donde el objetivo es conducir el sistema a un flujo óptimo sin conocimiento a priori del estado final. En particular, estamos interesados en alcanzar el flujo máximo tan rápido como sea posible, lo cual suele ser deseable en la mayoría de sistemas prácticos. El problema de control del marcado objetivo se considera desde las perspectivas centralizada y descentralizada. Proponemos varios controladores centralizados en tiempo mínimo, y todos ellos están basados en una estrategia ON/OFF. Para algunas subclases, como las redes Choice-Free (CF), se garantiza la evolución en tiempo mínimo; mientras que para redes generales, los controladores propuestos son heurísticos. Respecto del problema de control descentralizado, proponemos en primer lugar un controlador descentralizado en tiempo mínimo para redes CF. Para redes generales, proponemos una aproximación distribuida del método Model Predictive Control (MPC); sin embargo en este método no se considera evolución en tiempo mínimo. El problema de control de flujo óptimo (en nuestro caso, flujo máximo) en tiempo mínimo se considera para redes CF. Proponemos un algoritmo heurístico en el que calculamos los "mejores" firing count vectors que llevan al sistema al flujo máximo, y aplicamos una estrategia de disparo ON/OFF. También demostramos que, debido a que las redes CF son persistentes, podemos reducir el tiempo que tarda en alcanzar el flujo máximo con algunos disparos adicionales. Los métodos de control propuestos se han implementado e integrado en una herramienta para Redes de Petri híbridas basada en Matlab, llamada SimHPN