首页 > 专利学习

用于在存在网络攻击的情况下控制工业资产的系统和方法与流程

1.本公开一般涉及工业资产，并且更特别地涉及用于在存在网络攻击（cyber-attack）的情况下控制工业资产的系统和方法。
2.关于联邦资助的研究或开发的声明本发明是在由美国能源部（doe）授予的合同号为de-oe0000902下在政府支持的情况下完成的。政府具有本发明中的某些权利。

背景技术：

3.如本文所公开的，工业资产可以采取多种形式。因此，工业资产可以包括针对航空工业，核工业，石油工业，工业基础设施（例如，管道和/或泵站）和/或功率生成工业的资产。例如，工业资产可以是功率生成资产，并且可以包括依赖于可再生和/或不可再生能源的资产。
4.那些依赖于可再生能源的功率生成资产通常可以被认为是目前可用的最清洁、环境最友好的能量源之一。例如，风力涡轮在这方面已经获得越来越多的关注。现代风力涡轮通常包括塔架、发电机、齿轮箱、机舱和一个或多个转子叶片。机舱包括耦合到齿轮箱并且耦合到发电机的转子组合件。转子组合件和齿轮箱安装在位于机舱内的底座（bedplate）支承框架上。转子叶片使用已知的翼型件原理捕获风的动能。转子叶片以旋转能的形式传送动能，以便转动轴，该轴将转子叶片耦合到齿轮箱，或者如果不使用齿轮箱，则该轴将转子叶片直接耦合到发电机。发电机然后将机械能转换成电能，并且电能可被传送到容纳在塔架内的转换器和/或变压器，并且随后被部署到公用电网。现代的风功率生成系统通常采取具有多个风力涡轮发电机的风电场（wind farm）的形式，所述风力涡轮发电机可操作以将功率供应到传输系统，所述传输系统将功率提供到功率电网。
5.某些工业资产(诸如可再生能源功率生成资产)可以由影响工业资产的操作的各种变量的随机性质来表征。因此，可以通过网络攻击定目标工业资产。网络攻击可能具有许多可能对工业资产的组件，工业资产的操作和/或工业资产的输出有害的目标。例如，网络攻击可能具有针对下列的目的：降低工业资产的输出的幅度和/或质量，不希望的停机，工业资产的组件的加速磨损，结构损坏和/或工业资产的破坏。应当领会，这样的目的可能与工业资产的期望使用相反，并且可能导致增加的成本和/或损失的利润。因此，可能期望检测和中和/缓解网络攻击的影响。
6.因此，本领域不断寻求解决上述问题的新的和改进的系统和方法。因此，本公开涉及在存在网络攻击的情况下控制工业资产的系统和方法。

技术实现要素：

7.本发明的方面和优点将在以下描述中部分地阐述，或可从描述中明白，或可通过本发明的实践来学习。
8.在一个方面中，本公开涉及一种用于控制工业资产的方法。该方法可以包括经由
控制器生成网络攻击模型，该模型被配置成预测多个潜在网络攻击的对工业资产的多个操作影响和对应的多个潜在的缓解响应（mitigation response）。该方法还可以包括经由控制器经由训练数据集来训练网络攻击模型，以将多个潜在缓解响应与对应于多个潜在网络攻击的预测的多个操作影响相关联。另外，网络攻击中和模型（neutralization model）（中和模型）可以检测影响工业资产的至少一个组件的网络攻击。中和模型可以基于网络攻击模型来识别对应于所检测的网络攻击的多个操作影响中的预测的操作影响。因此，中和模型可以基于网络攻击的预测的操作影响来选择多个缓解响应中的至少一个缓解响应。另外，可以基于（一个或多个）所选择的缓解响应来更改工业资产的操作状态。
9.在实施例中，检测网络攻击还可以包括经由中和模块的攻击检测定位（adl）模块来识别网络攻击的攻击点。攻击点可以对应工业资产的第一传感器，第一致动器和/或系统控制器。
10.在另外的实施例中，攻击点可以对应第一传感器的受影响的输出信号。在这样的实施例中，选择（一个或多个）缓解响应可以包括过滤受影响的输出信号，以便阻止（preclude）由系统控制器利用受影响的输出信号来影响工业资产的操作状态。另外，系统控制器可以至少部分地基于从第二传感器获得的备选信号来生成用于工业资产的设定点。
11.在另外的实施例中，确定预测的操作影响可以包括经由adl模块确定对于网络攻击的严重性得分。因此，（一个或多个）缓解响应的选择可以至少部分地基于严重性得分。
12.在又一实施例中，（一个或多个）缓解响应可包括响应于影响工业资产的操作条件，经由系统仿真器仿真工业资产的标称操作状态。另外，该方法可以包括生成对应于输入的系统仿真器的至少一个输出，其中在没有网络攻击的情况下工业资产的第一传感器，第一致动器和/或系统控制器的输出。
13.在实施例中，攻击点可以对应用于第一致动器的受影响的命令信号。因此，替换遭受网络攻击的输入和/或输出可包括过滤受影响的命令信号并经由系统仿真器生成用于第一致动器的替换命令信号。
14.在另外的实施例中，攻击点可以对应第一致动器的受影响的反馈信号。因此，替换遭受网络攻击的输入和/或输出可以包括过滤受影响的反馈信号。此外，仿真可以包括经由系统仿真器的致动器仿真器对用于第一致动器的替换反馈信号建模。另外，可以将替换反馈信号传递到系统控制器，并且可以至少部分地基于替换反馈信号来生成用于第一致动器的命令信号。
15.在另外的实施例中，攻击点可以对应系统控制器。因此，替换遭受网络攻击的输入和/或输出可以包括系统控制器的过滤和输出，以便阻止系统控制器影响工业资产的操作状态。另外，该仿真可以包括经由该系统仿真器的控制器仿真器生成至少一个设定点命令，该至少一个设定点命令被配置成用于通过更改该工业资产的操作状态来建立或维持该工业资产的操作。
16.在又一实施例中，攻击点可以对应第一传感器的受影响的输出信号。因此，替换遭受网络攻击的输入和/或输出可以包括经由系统仿真器从至少第二传感器接收未影响的输出信号。另外，用于第一传感器的替换输出信号可以至少部分地基于未影响的输出信号经由系统仿真器的传感器仿真器来生成，并且替换输出信号可以被传递到系统控制器。
17.在实施例中，第二传感器可以与工业资产分开定位。
18.在另外的实施例中，确定所检测的网络攻击的预测的操作影响可以包括经由中和模块将预测的操作影响与对传递到所连接的系统的工业系统的输出的影响相关联。另外，可以利用系统仿真器的至少一个输出来缓解网络攻击对工业系统的输出的影响。
19.在另外实施例中，缓解网络攻击对工业系统的输出的影响可以包括降低该工业系统的额定值（derate）。
20.在又一实施例中，确定所检测的网络攻击的预测的操作影响可以包括经由中和模块将预测的操作影响与对工业资产的组件的损坏的累积相关联。因此，可以降低工业资产的额定值以缓解损害的累积。
21.在实施例中，确定所检测的网络攻击的预测的操作影响可以包括：响应于安全性系统响应于所检测的网络攻击的停机协议（shuntdown protocol），经由中和模块将预测的操作影响与工业资产的不希望的停机相关联。对于工业资产的操作状态，停机协议可以是未经授权的（unwarranted）。因此，中和模块可以超驰停机协议以阻止工业资产的未经授权的停机。
22.在另外的实施例中，工业资产可以是风力涡轮。
23.在另一个方面中，本发明针对一种用于控制工业资产的系统。该系统可以包括可操作地耦合到工业资产的至少一个传感器和至少一个致动器，以及可通信地耦合到（一个或多个）传感器和（一个或多个）致动器的系统控制器。该控制器可以包括至少一个处理器，该至少一个处理器被配置成执行第一多个操作以便影响该工业资产的操作状态。另外，该系统可包括可操作地耦合到（一个或多个）传感器，（一个或多个）致动器，系统控制器的中和模块。该中和模块可包括被配置成执行第二多个操作的至少一个处理器。第二多个操作可以包括本文描述的操作和/或特征中的任何操作和/或特征。
24.本发明提供一组技术方案，如下。
25.技术方案1. 一种用于控制工业资产的方法，所述方法包括：经由控制器生成网络攻击模型，所述网络攻击模型配置成预测多个潜在网络攻击的对所述工业资产的多个操作影响以及对应的多个潜在缓解响应；经由所述控制器、经由训练数据集来训练所述网络攻击模型，以将所述多个潜在缓解响应与对应于所述多个潜在网络攻击的预测的多个操作影响相关联；经由网络攻击中和模块（中和模块）检测影响所述工业资产的至少一个组件的网络攻击；经由所述中和模块、基于所述网络攻击模型来识别所述多个操作影响中对应所检测的网络攻击的预测的操作影响；经由所述中和模块、基于所述网络攻击的所述预测的操作影响来选择所述多个潜在缓解响应中的至少一个缓解响应；以及基于所述至少一个缓解响应来更改所述工业资产的操作状态。
26.技术方案2. 如技术方案1所述的方法，其中，检测所述网络攻击还包括：经由所述中和模块的攻击检测定位（adl）模块识别所述网络攻击的攻击点，所述攻击点对应所述工业资产的第一传感器、第一致动器和系统控制器中的至少一个。
27.技术方案3. 如技术方案2所述的方法，其中，所述攻击点对应所述第一传感器的受影响的输出信号，并且其中选择所述至少一个缓解响应还包括：
对所述受影响的输出信号进行过滤，以阻止由所述系统控制器利用所述受影响的输出信号来影响所述工业资产的所述操作状态；以及经由所述系统控制器至少部分地基于从第二传感器获得的备选信号来生成用于所述工业资产的设定点。
28.技术方案4. 如技术方案2所述的方法，其中，确定所述预测的操作影响还包括：经由所述adl模块确定对于所述网络攻击的严重性得分；以及其中选择所述至少一个缓解响应还包括至少部分地基于所述严重性得分来选择所述至少一个缓解响应。
29.技术方案5. 如技术方案2所述的方法，其中，所述至少一个缓解响应包括：经由系统仿真器、响应于影响所述工业资产的操作条件来仿真所述工业资产的标称操作状态；在没有网络攻击的情况下，生成对应于所述工业资产的所述第一传感器、所述第一致动器和所述系统控制器中的至少一个的输入或输出的所述系统仿真器的至少一个输出；以及利用所述仿真器的所述至少一个输出替换遭受所述网络攻击的所述第一传感器、所述第一致动器和所述系统控制器中的所述至少一个的至少一个输入或输出，其中利用所述仿真器的所述至少一个输出替换所述至少一个输入或输出缓解所述网络攻击的所述预测的操作影响。
30.技术方案6. 如技术方案5所述的方法，其中，所述攻击点对应用于所述第一致动器的受影响的命令信号，并且其中替换遭受所述网络攻击的所述至少一个输入或输出还包括：过滤所述受影响的命令信号；以及经由所述系统仿真器生成用于所述第一致动器的替换命令信号。
31.技术方案7. 如技术方案5所述的方法，其中，所述攻击点对应所述第一致动器的受影响的反馈信号，并且其中替换遭受所述网络攻击的所述至少一个输入或输出还包括：过滤所述受影响的反馈信号；经由所述系统仿真器的致动器仿真器对用于所述第一致动器的替换反馈信号进行建模；向所述系统控制器递送所述替换反馈信号；以及至少部分地基于所述替换反馈信号生成用于所述第一致动器的命令信号。
32.技术方案8. 如技术方案5所述的方法，其中，所述攻击点对应所述系统控制器，并且其中替换遭受所述网络攻击的所述至少一个输入或输出还包括：过滤所述系统控制器的输出，以阻止所述系统控制器影响所述工业资产的所述操作状态；以及经由所述系统仿真器的控制器仿真器生成至少一个设定点命令，所述至少一个设定点命令配置成通过更改所述工业资产的所述操作状态来建立或维持所述工业资产的操作。
33.技术方案9. 如技术方案5所述的方法，其中，所述攻击点对应所述第一传感器的受影响的输出信号，并且其中替换遭受所述网络攻击的所述至少一个输入或输出还包括：
过滤所述第一传感器的所述受影响的输出信号；经由所述系统仿真器至少从第二传感器接收未影响的输出信号；至少部分地基于所述未影响的输出信号，经由所述系统仿真器的传感器仿真器生成用于所述第一传感器的替换输出信号；以及向所述系统控制器递送所述替换输出信号。
34.技术方案10. 如技术方案9所述的方法，其中，所述第二传感器与所述工业资产分开定位。
35.技术方案11. 如技术方案5所述的方法，还包括：经由所述中和模块将所述预测的操作影响与对传递到所连接的系统的所述工业资产的输出的影响相关联；以及利用所述系统仿真器的所述至少一个输出来缓解所述网络攻击对所述工业资产的所述输出的所述影响。
36.技术方案12. 如技术方案11所述的方法，其中，缓解所述网络攻击对所述工业资产的所述输出的所述影响还包括降低所述工业资产的额定值。
37.技术方案13. 如技术方案1所述的方法，其中，确定所述网络攻击的所述预测的操作影响还包括：经由所述中和模块将所述预测的操作影响与对所述工业资产的组件的损坏的累积相关联；以及降低所述工业资产的额定值以缓解损坏的累积。
38.技术方案14. 如技术方案1所述的方法，其中，确定所述网络攻击的所述预测的操作影响还包括：经由所述中和模块，响应于所检测的网络攻击将所述预测的操作影响与响应于安全性系统的停机协议的所述工业资产的未经授权的停机相关联，其中所述停机协议对于所述工业资产的所述操作状态是未经授权的；以及经由所述中和模块超驰所述停机协议以阻止所述工业资产的未经授权的停机。
39.技术方案15. 如技术方案1所述的方法，其中，所述工业资产包括风力涡轮。
40.技术方案16. 一种用于控制工业资产的系统，所述系统包括：可操作地耦合至所述工业资产的至少一个传感器；可操作地耦合到所述工业资产的至少一个致动器；通信地耦合到所述至少一个传感器和所述至少一个致动器的系统控制器，所述系统控制器包括至少一个处理器，所述至少一个处理器配置成用于执行第一多个操作以便影响所述工业资产的操作状态；以及中和模块，所述中和模块可操作地耦合到所述至少一个传感器，所述至少一个致动器，以及所述系统控制器，所述中和模块包括配置成用于执行第二多个操作的至少一个处理器，所述第二多个操作包括：经由网络攻击中和模块（中和模块）检测影响所述工业资产的至少一个组件的网络攻击，基于网络攻击模型识别与检测的网络攻击相对应的多个操作影响中的预测的操作影响，其中所述多个操作影响经由实现网络攻击模型的控制器生成，以预测多个潜在网
络攻击对工业资产的多个操作影响，基于所述网络攻击的预测的操作影响来选择多个潜在缓解响应中的至少一个缓解响应，其中所述多个潜在缓解响应经由所述网络攻击模型生成，并且其中基于所述至少一个缓解响应来更改所述工业资产的操作状态。
41.技术方案17. 如技术方案16所述的系统，其中，检测所述网络攻击还包括：经由所述中和模块的攻击检测定位（adl）模块识别所述网络攻击的攻击点，所述攻击点对应所述工业资产的第一传感器，第一致动器和系统控制器中的至少一个。
42.技术方案18. 如技术方案17所述的系统，其中，所述至少一个缓解响应还包括：经由系统仿真器，响应于影响所述工业资产的操作条件仿真所述工业资产的标称操作状态，以及在没有网络攻击的情况下，生成对应于所述工业资产的所述第一传感器，所述第一致动器和所述系统控制器中的至少一个的输入或输出的所述系统仿真器的至少一个输出。
43.技术方案19. 如技术方案18所述的系统，其中，所述攻击点对应所述系统控制器，并且其中替换遭受所述网络攻击的所述输入和/或输出还包括：过滤所述系统控制器的输出，以阻止所述系统控制器影响所述工业资产的所述操作状态；以及经由所述系统仿真器的控制器仿真器生成至少一个设定点命令，所述至少一个设定点命令配置成通过更改所述工业资产的所述操作状态来建立或维持所述工业资产的操作。
44.技术方案20. 如技术方案16所述的系统，其中，所述工业资产包括风力涡轮。
45.参考以下描述和所附权利要求，本发明的这些和其他特征、方面和优点将变得更好理解。并入本说明书并且构成本说明书的一部分的附图图示本发明的实施例，并且与该描述一起用于解释本发明的原理。
附图说明
46.在参照附图的说明书中阐述了本发明(包括其最佳模式)的针对本领域普通技术人员的完整且能够实现的公开，其中：图1图示根据本公开的被配置为风力涡轮的工业资产的一个实施例的透视图；图2图示根据本公开的图1的风力涡轮的机舱的一个实施例的内部透视图；图3图示根据本公开的供与工业资产一起使用的控制器的一个实施例的框图；图4图示根据本公开的用于在存在网络攻击的情况下控制工业资产的系统的示意图；图5图示根据本公开的用于在存在影响传感器的网络攻击的情况下控制工业资产的图4的系统的一部分的示意图；图6图示根据本公开的用于在存在影响系统控制器的网络攻击的情况下控制工业资产的图4的系统的一部分的示意图；图7图示根据本公开的用于在存在影响致动器命令信号的网络攻击的情况下控制工业资产的图4的系统的一部分的示意图；
图8图示根据本公开的用于在存在影响致动器反馈信号的网络攻击的情况下控制工业资产的图4的系统的一部分的示意图；以及图9图示根据本公开的用于控制工业资产的方法的实施例的流程图。
47.在本说明书和附图中重复使用的参考字符旨在表示本发明的相同或类似的特征或元件。
具体实施方式
48.现在将详细参考本发明的实施例，在附图中图示其一个或多个示例。每个示例通过解释本发明的方式来提供，而不是通过限制本发明的方式来提供。实际上，对于本领域技术人员将明白的是，在不脱离本发明的范围或精神的情况下，可以在本发明中作出各种修改和变型。例如，作为一个实施例的一部分说明或描述的特征可以与另一个实施例一起使用以产生又一个实施例。因此，旨在的是，本发明覆盖如落入所附权利要求及它们的等同体的范围内的这类修改和变型。
49.如本文中所使用的，术语“第一”、“第二”和“第三”可互换地使用，以便将一个组件与另一组件区分开，并且不旨在表示个体组件的位置或重要性。
50.术语“耦合”、“固定”、“附接到”等指直接耦合、固定或附接以及通过一个或多个中间组件或特征的间接耦合、固定或附接两者，除非本文中另有指示。
51.如本文中贯穿说明书和权利要求书所使用的，近似语言被应用于修饰可容许地变化的任何定量表示，而不导致与其相关的基本功能中的改变。相应地，由一个或多个术语（诸如“大约”、“近似”和“基本上”）修饰的值不要被限制于所指定的精确值。在至少一些实例中，近似语言可对应用于测量该值的仪器的精度，或者用于构造或制造组件和/或系统的方法或机器的精度。例如，近似语言可指在百分之10的余量内。
52.在此以及贯穿说明书和权利要求书，范围限制被组合和互换，这样的范围被识别并且包括在其中所包含的所有子范围，除非上下文或语言另有指示。例如，本文中公开的所有范围包括端点，并且端点彼此独立地可组合。
53.通常，本公开针对用于在存在网络攻击的情况下控制工业资产的系统和方法。换句话说，本文公开的系统和方法针对工业资产对网络攻击的响应。工业资产例如可以是功率生成资产（例如风力涡轮，太阳能发电厂，水力发电厂，燃料燃烧发电厂等），电力网，泵站，管道，精炼厂，核设施，航空资产和/或其它类似资产。
54.针对工业资产的各种潜在网络攻击可能影响工业资产的不同组件，信号和/或操作。因此，潜在的网络攻击通常影响工业资产的组件的输入或输出，以便影响工业资产的操作。
55.可以选择由网络攻击定目标的工业资产的组件，信号和/或操作，并且可以基于网络攻击的期望目标来定制网络攻击。网络攻击的目的可以例如包括触发工业资产的计划外/不期望的停机，减少工业资产的输出，和/或修改工业资产的输出以便影响所连接的系统（例如，减少风电场的输出以影响所连接的电力网）。另外，网络攻击的目标可以例如包括例如通过下列对工业资产造成物理损坏：调整工业系统的组件的操作参数（例如，转速，冷却状态，制动状态等）以增加工业资产的组件的磨损和/或对工业资产或其组件造成灾难性损坏。
56.为了实现网络攻击的目的，网络攻击可以设法通过将攻击引导到传感器信号来影响工业资产的操作。在这样的实例中，网络攻击可能设法更改/破坏如由系统控制器看到的至少一个传感器的输出。这可能导致由（一个或多个）传感器报告的参数与在不受网络攻击（例如，在标称操作条件下）影响时由（一个或多个）传感器报告的参数不同（例如，具有不同的幅度）。例如，网络攻击可以以环境传感器为目标，使得由环境传感器报告的风速不同于影响工业资产（例如，风力涡轮）的真实风速。
57.应当领会，如果在对工业资产进行控制确定中使用破坏的传感器信号，则工业资产可以以次优的方式操作。因此，本文公开的系统和方法可以用于通过防止使用被破坏/更改的输出信号和通过向系统控制器提供备选信号来缓解网络攻击的影响。
58.类似地，网络攻击可以设法通过将攻击引导到来自至少一个致动器的反馈信号来影响工业资产的操作。在这样的实例中，网络攻击可能设法更改/破坏传递到系统控制器的反馈信号。这可能导致报告给系统控制器的（一个或多个）致动器的操作状态（例如，位置，取向等）不同于（一个或多个）致动器的实际操作状态。
59.例如，在风力涡轮中，网络攻击可能设法破坏俯仰控制系统的反馈信号，使得报告给系统控制器的转子叶片的桨距小于转子叶片的实际桨距。在这样的实例中，系统控制器可以命令俯仰系统将转子叶片的桨距增大到最佳设定点。然而，由于转子叶片的桨距可能已经处于最佳设定点，桨距中的增加可能导致对于当前环境条件而言过高的俯仰角。
60.利用对于环境条件而言俯仰过高的转子叶片来操作风力涡轮可能导致对风力涡轮的操作有害的许多影响，例如转子不平衡，超速事件，转子叶片失速等。因此，应当领会，如果在生成致动器命令中利用破坏/更改的反馈信号，则工业资产可能以次优的方式操作。因此，本文公开的系统和方法可以用于通过经由从系统仿真器向系统控制器提供备选信号来防止利用破坏/更改的反馈信号，从而缓解网络攻击的影响。
61.作为附加说明，网络攻击可以设法通过将对命令信号的攻击从系统控制器引导到致动器来影响工业资产的操作。破坏/更改的命令信号可导致致动器将工业资产的组件置于与由系统控制器所引导的操作状态不同的操作状态。这可能导致对于给定的条件的工业资产的不是最佳的操作，增加的组件磨损和/或对工业资产的损坏。因此，可能期望采用本文公开的系统和方法来过滤被破坏/更改的命令信号，并利用由系统仿真器生成的替换命令信号来替换它。
62.作为进一步的说明，网络攻击可以设法通过下列来影响工业资产的操作：将攻击引导到系统控制器，使得系统控制器生成与不在网络攻击下的系统控制器所期望的那些命令信号相偏离的命令信号。因此，可能期望采用本文公开的系统和方法来隔离系统控制器，以便阻止系统控制器控制或不控制工业资产的操作。在系统控制器被隔离的情况下，根据本公开，工业资产的控制可以转移到系统仿真器。系统仿真器可以接收（一个或多个）传感器输入，（一个或多个）传感器输入可以另外已经被提供给系统控制器，并且可以生成用于（一个或多个）致动器的（一个或多个）命令信号，（一个或多个）命令信号可以另外在没有网络攻击的情况下由系统控制器生成。
63.现在参考附图，图1图示根据本公开的工业资产100的一个实施例的透视图。如所示，工业资产100可以被配置为功率生成资产，例如风力涡轮114。在另外的实施例中，当被配置为功率生成资产时，工业资产100可以例如被配置为太阳能功率生成资产，水力发电
厂，化石燃料发电机和/或混合功率生成资产。然而，在另外的实施例中，工业资产100可以被配置为电力网，泵站，管道，精炼厂，核设施，航空资产和/或其他类似资产。
64.当被配置为风力涡轮114时，工业资产100通常可以包括从支承表面104延伸的塔架102、安装在塔架102上的机舱106以及耦合到机舱106的转子108。转子108可包括可旋转毂110和耦合到毂110并从毂110向外延伸的至少一个转子叶片112。例如，在所图示实施例中，转子108包括三个转子叶片112。然而，在附加的实施例中，转子108可以包括多于或少于三个转子叶片112。每个转子叶片112可以围绕毂110间隔开以促进使转子108旋转，以便使得动能能够从风转变为可用的机械能，并且随后转变为电能。例如，毂110可以可旋转地耦合到定位在机舱106内的发电机118（图2）以允许产生电能。
65.工业资产100还可以包括系统控制器202。当被配置为风力涡轮114时，系统控制器202可以被配置为集中在机舱106内的涡轮控制器。然而，在其它实施例中，系统控制器202可位于风力涡轮114的任何其它组件内或风力涡轮外部的位置处。此外，系统控制器202可以通信地耦合到工业资产100的任何数量的组件，以便控制这些组件。因此，系统控制器202可以包括计算机或其它合适的处理单元。因此，在若干实施例中，系统控制器202可以包括适当的计算机可读指令，该指令当被执行时，将系统控制器202配置成执行各种不同的功能，例如接收，传送和/或执行风力涡轮控制/命令信号。另外，工业资产100可以包括多个致动器160，其被配置成实现各种命令信号并影响工业资产100的操作状态。应当领会，如本文所使用的，“操作状态”可以指工业资产100或其组件的物理配置，取向和/或操作状况。
66.现在参见图2，图示图1中所示的风力涡轮114的机舱106的一个实施例的简化内部视图。如所示，发电机118可耦合到转子108以用于从由转子108生成的旋转能量产生电功率。例如，如所图示实施例中所示，转子108可包括耦合到毂110以用于与其一起旋转的转子轴122。转子轴122可以由主轴承144可旋转地支承。转子轴122又可以通过连接到底座支承框架136的齿轮箱126可旋转地耦合到发电机118的高速轴124。如通常理解的，转子轴122可以响应于转子叶片112和毂110的旋转向齿轮箱126提供低速、高扭矩输入。齿轮箱126然后可以被配置成将低速、高扭矩输入转换成高速、低扭矩输出以驱动高速轴124并且因此驱动发电机118。
67.每个转子叶片112还可包括配置成使每个转子叶片112围绕其俯仰轴线116旋转的俯仰控制机构120。每个俯仰控制机构120可包括俯仰驱动马达128、俯仰驱动齿轮箱130和俯仰驱动小齿轮（pinion）132。在这样的实施例中，俯仰驱动马达128可以耦合到俯仰驱动齿轮箱130，使得俯仰驱动马达128向俯仰驱动齿轮箱130给予机械力。类似地，俯仰驱动齿轮箱130可以耦合到俯仰驱动小齿轮132以用于与其一起旋转。俯仰驱动小齿轮132又可以与耦合在毂110与对应的转子叶片112之间的俯仰轴承134旋转接合，使得俯仰驱动小齿轮132的旋转引起俯仰轴承134的旋转。因此，在这样的实施例中，俯仰驱动马达128的旋转驱动俯仰驱动齿轮箱130和俯仰驱动小齿轮132，由此使俯仰轴承134和（一个或多个）转子叶片112围绕俯仰轴线116旋转。
68.应当领会，使转子叶片112围绕俯仰轴线116俯仰可改变（一个或多个）转子叶片112与视风之间的迎角。因此，当（一个或多个）转子叶片112围绕俯仰轴线116朝向与视风对齐旋转时，（一个或多个）转子叶片112可以俯仰以顺桨，并且当（一个或多个）转子叶片朝向大致垂直于视风的取向旋转时，（一个或多个）转子叶片112可以俯仰以提供功率。还应该领
会，由于所产生的升力中的减小，俯仰以顺桨通常使（一个或多个）转子叶片112失去动力。
69.类似地，风力涡轮114可以包括通信地耦合到系统控制器202的一个或多个偏航（yaw）驱动机构138，其中每个偏航驱动机构138被配置成改变机舱106相对于风的角度（例如，通过接合风力涡轮114的偏航轴承140）。应当领会，系统控制器202可以引导机舱106的偏航和/或转子叶片112的俯仰，以便使风力涡轮114相对于作用在风力涡轮114上的风而空气动力学地取向，从而促进功率生成。
70.在实施例中，工业资产100可以包括环境传感器156，其被配置用于收集指示一个或多个环境状况的数据。环境传感器156可以可操作地耦合到系统控制器202。因此，在实施例中，（一个或多个）环境传感器156例如可以是风向标、风速计、激光雷达传感器、温度计、气压计或任何其他合适的传感器。由（一个或多个）环境传感器156收集的数据可以包括风速、风向、风切变、阵风、风转向、大气压力和/或环境温度的测量。在至少一个实施例中，（一个或多个）环境传感器156可以安装到功率生成资产100（例如，在转子108的顺风位置处安装到机舱106）。例如，在备选实施例中，（一个或多个）环境传感器156可以耦合到转子108或与其集成和/或定位在机舱106内。
71.在另外的实施例中，（一个或多个）环境传感器156可以远离工业资产100定位。例如，（一个或多个）环境传感器156可以是距工业资产100某个距离的气象桅杆。另外，（一个或多个）环境传感器156可以耦合到工业资产100的子系统或附加资产，例如风电场的第二风力涡轮。还应当领会，（一个或多个）环境传感器156可以包括传感器网络，并且可以远离工业资产100定位。
72.此外，工业资产100可以包括至少一个操作传感器158。（一个或多个）操作传感器158可以被配置成例如响应于环境条件来检测工业资产100的性能。例如，（一个或多个）操作传感器158可以是可操作地耦合到系统控制器202的旋转速度传感器，位置传感器，加速度传感器和/或输出传感器。（一个或多个）操作传感器158可以指向工业资产100的任何合适的组件或与工业资产100的任何合适的组件集成。例如，（一个或多个）操作传感器158可以指向风力涡轮114和/或发电机118的转子轴122。（一个或多个）操作传感器158可以收集至少转子轴122或工业资产100的任何其他轴的旋转速度和/或旋转位置的数据，并且因此以转子速度，转子方位角和/或任何其他合适的测量的形式收集表示转子108或泵的旋转速度和/或旋转位置的数据。在一个实施例中，操作传感器158可以是模拟转速计，d. c.转速计，a.c.转速计，数字转速计，接触式转速计，非接触式转速计或时间和频率转速计。在实施例中，（一个或多个）操作传感器158例如可以是编码器，例如光学编码器。另外，（一个或多个）操作传感器158可以是安培计，伏特计，欧姆计和/或用于监测工业资产100的电状况的任何其他合适的传感器。此外，在实施例中，操作传感器158可以是应变计，近程传感器，lidar和/或被配置成检测工业资产100或其组件的位移的任何其他合适的传感器。
73.还应当领会，如这里所使用的，术语“监测器”及其变型指示工业资产100的各种传感器可以被配置成提供被监测的参数的直接测量或这样的参数的间接测量。因此，本文描述的传感器可以例如用来生成与被监测的参数相关的信号，然后可以通过相同控制器202利用该信号来确定工业资产100和/或其组件的状况或响应。
74.现在参考图3-8，提出根据本公开的用于控制工业资产100的系统300的多个实施例。如特别图3中所示，图示可包括在系统300内的合适组件的一个实施例的示意图。例如，
如所示，系统300可以包括控制器200。控制器200可用于生成和训练网络攻击模型302，该模型被配置成预测多个潜在的网络攻击的对工业资产100的多个操作影响和相应的多个潜在的缓解响应。控制器200还可以被配置成实现网络攻击中和模型（中和模型）304。另外，控制器200可以被配置成系统控制器202。因此，控制器200可以离线和/或实时使用。另外，控制器200可以是与工业资产一起定位的单个组件。在另外的实施例中，控制器200可以包括与工业资产一起定位的多于一个组件。在另外的实施例中，控制器200可包括位于距工业资产100某个距离处的附加组件。
75.控制器200和/或系统控制器202可通信地耦合到（一个或多个）环境传感器156和/或（一个或多个）操作传感器158。此外，如所示，控制器200可以包括一个或多个处理器206和相关联的存储器设备208，其被配置成执行多种计算机实施的功能(例如，如本文中公开的那样执行方法、步骤、计算等以及存储有关数据)。另外，控制器200还可以包括通信模块210，其用来促进控制器200和工业资产100的各种组件之间的通信。此外，通信模块210可以包括传感器接口212（例如，一个或多个模数转换器），其用来允许从（一个或多个）传感器156，158传送的信号被转换为可以由处理器206理解和处理的信号。应当领会，（一个或多个）传感器156，158可以使用任何合适的部件通信地耦合到通信模块210。例如，（一个或多个）传感器156，158可以经由有线连接耦合到传感器接口212。然而，在其他实施例中，（一个或多个）传感器156，158可以经由无线连接（诸如通过使用本领域中已知的任何适合的无线通信协议）耦合到传感器接口212。另外，通信模块210还可以可操作地耦合到至少一个致动器160，该致动器160被配置成实现如由命令信号（例如，控制向量）指示的控制动作。
76.如本文中所使用的，术语“处理器”不仅指本领域中被称为被包括在计算机中的集成电路，而且还指控制器、微控制器、微计算机、可编程逻辑控制器（plc）、专用集成电路和其他可编程电路。另外，（一个或多个）存储器装置208通常可包括（一个或多个）存储器元件，该存储器元件包括但不限于计算机可读介质（例如，随机存取存储器（ram））、计算机可读非易失性介质（例如，闪速存储器）、软盘、致密盘只读存储器（cd-rom）、磁光盘（mod）、数字多功能盘（dvd）和/或其他合适的存储器元件。这样的（一个或多个）存储器装置208通常可被配置成存储合适的计算机可读指令，该计算机可读指令当由（一个或多个）处理器206实现时将控制器200配置成执行各种功能，所述各种功能包括但不限于：操作工业资产100，生成和训练网络攻击模型，检测网络攻击，以及基于如本文所述的网络攻击的预测操作影响来实现缓解响应，以及各种其他适当的计算机实现的功能。
77.图3-8示出了用于在存在网络攻击的情况下控制工业资产100的系统300的各个方面。因此，在实施例中，控制器200可以被配置成生成网络攻击模型302。网络攻击模型302可以被配置成预测对工业资产100的多个操作影响，其可以源自多个潜在的网络攻击。在实施例中，网络攻击模型302还可以预测对应（例如，最小化或抵消）可能由各种潜在的网络攻击引起的多个潜在的操作影响的多个潜在的缓解响应。应当领会，潜在的操作影响可以对应潜在的网络攻击的目标。例如，网络攻击的目标可以包括：对于给定的条件的工业资产100的不是最佳的操作，工业资产100的（一个或多个）组件的增加的磨损，和/或对工业资产100的损坏。
78.应当领会，网络攻击模型302可以是工业资产100的系统动态的数学表示。因此，网络攻击模型302可以从第一原理或其他部件（例如，数据驱动模型）导出。因此，网络攻击模
method for anomaly and cyber threat detection in a wind turbine
ꢀ”
的美国专利申请no.15/988515出于所有目的通过引用将其全部内容结合于此。此外，2017年4月4日提交的标题为“automated attack localization and detection using feature driven dynamic model
ꢀ”
的美国专利no.10417415出于所有目的通过引用将其全部内容结合于此。
85.在检测到影响工业资产100的至少一个组件的网络攻击之后，中和模块304可以识别网络攻击的预测的操作影响。预测的操作影响可以是经由网络攻击模型302生成的多个操作影响之一。换言之，中和模块304可以首先确定网络攻击的类型和网络攻击所针对的（一个或多个）组件。中和模块304然后可以利用网络攻击模型302来确定预期的（例如，预测的）操作影响，该预期的（例如，预测的）操作影响可以（如果未被中和/缓解）由针对所识别的攻击点308的网络攻击的类型。
86.在实施例中，对所检测的网络攻击的预测的操作影响的识别可以促进由中和模块304选择至少一个缓解响应（如由箭头309所指示）。可以从由网络攻击模型302开发的多个潜在缓解响应中选择缓解响应。在实施例中，（一个或多个）缓解响应可以被定制为抵消如由预测的操作影响所指示的网络攻击的罪犯的感知目标。例如，在实施例中，缓解网络攻击的影响可以包括降低工业资产100的额定值。应当领会，可以经由中和模块304与（一个或多个）缓解响应的接收者之间的安全/硬化通信协议来实现（一个或多个）缓解响应。还应该领会，通过安全/硬化手段实现（一个或多个）缓解响应可以降低或消除（一个或多个）缓解响应对持续网络攻击的敏感性。
87.在实施例中，中和模块304可以响应于由网络攻击直接或间接触发的安全性系统的停机协议，将网络攻击的预测操作影响与工业资产100的未经授权的停机相关联。对于工业资产100的操作状态，停机协议可以是未经授权的。换言之，工业资产100的继续操作不会对下列造成危险：工业资产100；工业资产100的组件；周围人员，设备或设施；和/或连接的系统（例如，连接的电力网）。因此，由安全性系统发起停机协议可归因于网络攻击。在这样的实施例中，（一个或多个）缓解响应可以包括控制命令和/或输入，其可以超驰安全性系统和/或促进工业资产的继续操作。因此，中和模块304可以超驰停机协议以阻止工业资产100的未经授权的停机。
88.在另外的实施例中，中和模块304可以将网络攻击的预测的操作影响与组件的增加的磨损（例如损坏的累积）和/或对工业资产100的其它损坏相关联。在这样的实施例中，（一个或多个）缓解响应可以包括诸如通过下列来更改工业资产的操作状态316：更改工业资产100的组件的取向，和/或降低工业资产100的额定值（包括发起工业资产100的控制停机）。例如，在实施例中，降低工业资产100的额定值可以缓解对工业资产100或其组件的损坏的累积。
89.作为进一步的说明，在实施例中，网络攻击的预测操作影响可以对应如被递送到连接的系统（例如，电力网，水/气分配网络等）的工业资产100的输出的更改。例如，当被配置为风力涡轮114时，网络攻击可以设法更改由风力涡轮114传递到所连接的电力网的功率。因此，网络攻击可以设法更改从电力网接收的需求信号，使得风力涡轮114传递以某种方式偏离由电力网需求的功率量的功率量。例如，网络攻击的操作影响可以是传递到电力网的功率量大于或小于由电网所需的最佳量和/或在形式上（例如，频率，电压，安培数，无功功率分量等）不同。在这样的实施例中，由中和模块304实现的（一个或多个）缓解响应可
以包括过滤更改的需求信号，确定标称需求信号的备选指示，将备选指示（箭头318）传递到系统控制器202，和/或降低工业资产100的额定值。
90.在选择（一个或多个）缓解响应之后，可以更改工业资产100的操作状态316。操作状态316的改变可以基于（一个或多个）所选择的缓解响应。应当领会，可以实现操作状态316的更改以缓解/抵消所检测的网络攻击的预测的操作影响。因此，在实施例中，操作状态316的更改可以包括重新建立受影响组件和/或信号的攻击前操作状态。然而，在另外的实施例中，操作状态316的更改可以包括建立与攻击前操作状态不同的攻击后操作状态，并且被配置成缓解所检测的网络攻击的预测的操作影响。
91.在实施例中，确定网络攻击的预测的操作影响还可以包括经由adl模块310确定网络攻击的严重性得分。因此，（一个或多个）缓解响应的选择可以至少部分地基于严重性得分。在实施例中，严重性得分可以对应工业资产100的物理损坏，对所连接系统的影响，对工业资产100的操作影响的持续时间，与将工业资产返回到标称操作状态相关联的恢复成本，和/或与预测的操作影响相关联的其他类似效果。例如，针对临时减少工业资产100的输出的网络攻击的严重性得分可以低于以损坏工业资产100为其目标的网络攻击的严重性得分。因此，当严重性得分相对低时，（一个或多个）缓解响应可以包括工业资产100的连续操作，即使在降低的水平处。然而，当严重性得分相对高时，（一个或多个）缓解响应可以包括将工业资产从连接的系统解耦和/或使工业资产100空转，停车或以其他方式停机。
92.在实施例中，攻击点308可以对应第一传感器312的受影响的输出信号。在这样的实施例中，（一个或多个）缓解响应可以包括经由滤波器320（图5）对受影响的输出信号进行过滤。过滤受影响的输出信号可以阻止由系统控制器202利用受影响的输出信号来影响工业资产100的操作状态316。在实施例中，（一个或多个）缓解响应还可以包括经由系统控制器202至少部分地基于从第二传感器322获得的备选信号（例如备选传感器信号）来生成工业资产100的设定点。
93.应当领会，在实施例中，第二传感器322可以是工业资产100的附加的，未影响的传感器。例如，当工业资产100被配置为风力涡轮114时，第一传感器312可以是监测转子叶片112中的一个的桨距的桨距传感器，并且第二传感器322可以是监测转子叶片112中的另一个的桨距传感器。
94.还应当领会，第一和第二传感器312，322可以监测工业资产100的不同操作参数和/或影响工业资产100的环境参数。因此，系统控制器202可以从来自第二传感器322的传感器信号中导出由于第一传感器信号的替代物。例如，发电机118的转速的替代物可以从风力涡轮114的转子轴122的转速导出。
95.还应当领会，第二传感器322可以在与工业资产100分开一定距离定位。例如，第二传感器322可以是环境和/或操作传感器156，158，其耦合到附加工业资产，例如风电场的附加风力涡轮114。另外，在实施例中，第二传感器322可以被配置成单独的感测系统，例如风电场的气象桅杆162。
96.仍然参考图4-8，在实施例中，缓解网络攻击的预测的操作影响可以包括响应于影响工业资产100的操作条件，经由系统仿真器324仿真工业资产100的标称操作状态。系统仿真器324可以利用基于模型的技术来响应于影响工业资产100的实际操作条件而连续地仿真工业资产的操作。换言之，系统仿真器324可以被认为是工业资产100的“数字影象”，“数
字副本”或“数字镜像”。因此，系统仿真器324可以可操作地耦合到工业资产100的传感器，致动器和/或控制器，以及任何连接的系统和/或外部传感器系统。应当领会，系统仿真器324可以被配置成数字地复制工业资产100的所有方面，使得数字复制品以与工业资产100在物理环境中操作相同的方式在虚拟环境中操作。
97.系统仿真器324可以由控制器200实现，并且可以与系统控制器202分离。在实施例中，系统仿真器324可以采用模型预测控制（mpc）和/或线性二次调节器（lqr）策略。因此，系统仿真器可以采用系统动态的数学表示，并且可以从第一原理或其他部件（例如，数据驱动模型）导出。因此，系统仿真器324可以用在系统300中以生成对应于第一传感器312，第一致动器314和/或系统控制器202的标称输入或输出的至少一个输出326。换句话说，系统仿真器324可以生成输出326，其仿真未被网络攻击更改/破坏的信号。然后，输出326可以替换受影响的输入或输出信号。应当领会，利用来自系统仿真器324的输出326替代受网络攻击影响的输入或输出信号可以缓解网络攻击对工业资产100的影响。
98.例如，在实施例中，中和模块304可以将预测的操作影响与对工业资产100的输出的影响相关联。在实施例中，输出可以被传递到连接的系统（例如，连接到风力涡轮114的电力网）。在这样的实施例中，系统仿真器324的输出326可用于缓解网络攻击对工业资产100的输出的影响。
99.现在特别参考图7，在实施例中，攻击点308可以对应由于第一致动器314的受影响的命令信号327。因此，（一个或多个）所选择的缓解响应可以包括过滤受影响的命令信号327，同时允许未影响的命令信号328到达（一个或多个）附加致动器160。利用过滤器320对受影响的命令信号327进行过滤可以阻止由第一致动器314对受影响的命令信号327的接收。
100.在其中受影响的命令信号327被过滤或以其它方式未能到达第一致动器314的实施例中，替换命令信号330可由系统仿真器324生成。替换命令信号330可以替换受影响的命令信号327，并且可以更改工业资产100的操作状态316。例如，系统仿真器324的控制器仿真器332可以接收传感器信号334和/或致动器反馈336。控制器仿真器332还可以接收需求信号338，其可以指示工业资产100的期望输出。基于这些输入，控制器仿真器332可以在没有网络攻击的情况下确定用于第一致动器314的仿真的标称命令信号。替换命令信号330可以对应仿真的标称命令信号。
101.现在特别参考图8，在实施例中，攻击点308可以对应来自第一致动器314的受影响的反馈信号340。因此，（一个或多个）所选择的缓解响应可以包括过滤受影响的反馈信号340，同时允许来自（一个或多个）附加致动器160的未影响的反馈信号342到达系统控制器202和/或系统仿真器324。对受影响的反馈信号340进行过滤可以阻止由系统控制器202对受影响的反馈信号340的接收，并且因此可以阻止在系统控制器202对致动器命令信号的确定中利用受影响的反馈信号340。应当领会，受影响的和未影响的反馈信号340，342可以指示（一个或多个）致动器160的操作点，例如取向，旋转位置，线性位置，激活状况和/或（一个或多个）致动器160的操作点的其他类似指示。（一个或多个）致动器160的操作点可以是（一个或多个）致动器160可以响应于来自系统控制器202的命令信号而平移的起始点。
102.在其中受影响的反馈信号340被过滤或以其他方式未能到达系统控制器202的实施例中，致动器仿真器344可以仿真（例如建模）用于第一致动器314的替换反馈信号346。例
如，致动器仿真器344可以响应于来自系统控制器202和/或控制器仿真器332的命令信号而数字地复制第一致动器314的物理操作。虽然致动器仿真器344可能不能可操作地控制工业资产100的组件，但是由致动器仿真器344生成的替换反馈信号346可以复制在没有网络攻击的情况下从第一致动器314获得的标称反馈信号。在实施例中，替换反馈信号346可以与未影响的反馈信号342组合，以促进由系统控制器202或控制器仿真器332生成未影响的命令信号328，以用于建立/更改工业资产100的操作状态316。
103.现在特别参考图6，在实施例中，攻击点308可以对应系统控制器202。因此，（一个或多个）所选择的缓解响应可以包括系统控制器202的过滤和输出。过滤系统控制器202的输出可以阻止系统控制器202影响工业资产100的操作状态316。换言之，在实施例中，网络攻击可以以系统控制器202的计算机实现的功能（例如，如本文所公开的方法，步骤，计算等以及存储相关数据）为目标。结果，在工业资产100的给定操作条件（例如，环境参数，需求信号和/或操作参数）下，系统控制器202的（一个或多个）输出可被更改/破坏并偏离系统控制器202的标称输出。因此，系统控制器202的输出的过滤可以将系统控制器202与工业资产100的控制隔离。
104.在其中系统控制器202被过滤或隔离（例如停机，置于安全模式，置于诊断模式等）的实施例中，系统仿真器324的控制器仿真器332可用作工业资产100的替代控制器。在这样的实施例中，控制器仿真器332可以生成至少一个设定点命令348，该至少一个设定点命令被配置成通过更改工业资产100的操作状态316来建立或维持工业资产100的操作。例如，在实施例中，控制器仿真器332可以接收（一个或多个）传感器信号334和/或仿真的传感器信号。控制器仿真器332然后可以在数字环境中仿真系统控制器202的标称控制逻辑。系统控制器202的标称控制逻辑可以对应在没有网络攻击的情况下由系统控制器202实现的控制逻辑。通过利用控制器仿真器332而不是受影响的系统控制器202来控制工业资产100，可以促进工业资产100的连续操作和/或有序停机，以便缓解网络攻击的预测的操作影响。
105.现在特别参考图5，在实施例中，攻击点308可以对应第一传感器312的受影响的输出信号350。因此，（一个或多个）所选择的缓解响应可以包括过滤受影响的输出信号350，同时允许来自至少第二传感器322的至少一个未影响的输出信号352到达系统控制器202。利用滤波器320对受影响的输出信号350进行过滤可以阻止由系统控制器202对受影响的输出信号350的接收。
106.在其中受影响的输出信号350被过滤或以其他方式未能到达系统控制器202的实施例中，系统仿真器324可以被配置成从至少第二传感器322接收未影响的输出信号352。在实施例中，第二传感器322可以是工业资产100的附加传感器（例如，附加环境和/或操作传感器156，158）。在另外的实施例中，第二传感器322可以与工业资产100分离地定位。例如，第二传感器322可以耦合到附加工业资产100和/或是附加传感器系统的组件（例如，气象桅杆162）。
107.在实施例中，系统仿真器324可以利用传感器仿真器354（例如虚拟传感器）来至少部分地基于（一个或多个）未影响的输出信号352来仿真第一传感器312的标称性能。通过系统仿真器324可以利用第一传感器312的仿真性能来为第一传感器312生成至少一个替换输出信号356。换言之，系统仿真器324可以利用基于模型的估计算法（例如，虚拟感测）来至少部分地基于未受攻击的传感器156，158产生第一传感器312的传感器信号334的值的计算。
（一个或多个）替换输出信号356然后可以被传递到系统控制器202，并由系统控制器202用来更改工业资产100的操作状态316。
108.现在参考图9，其中图示用于在存在网络攻击的情况下控制工业资产100的方法400的一个实施例的流程图。方法400可以使用例如上面参考图3-8讨论的控制系统300来实现。图9描绘出于说明和论述的目的以特定次序执行的步骤。使用本文提供的公开，本领域普通技术人员将理解，在不脱离本公开的范围的情况下，方法400的各种步骤或本文公开的其它方法中的任何方法可以以各种方式被适配，修改，重新排列，同时执行或修改。
109.如（402）处所示，方法400可以包括经由控制器生成网络攻击模型，该模型被配置成预测多个潜在网络攻击的对工业资产的多个操作影响以及对应的多个潜在缓解响应。如（404）处所示，方法400可包括经由训练数据集、经由控制器训练网络攻击模型，以使多个潜在缓解响应与对应于多个潜在网络攻击的预测的多个操作影响相关联。如（406）处所示，方法400可包括经由网络攻击中和模块（中和模块）检测影响工业资产的至少一个组件的网络攻击。如（408）处所示，方法400可包括经由中和模块基于网络攻击模型来识别对应于所检测的网络攻击的多个操作影响中的预测的操作影响。如（410）处所示，方法400可包括经由中和模块基于网络攻击的预测的操作影响来选择多个缓解响应中的至少一个缓解响应。另外，如（412）处所示，方法400可以包括基于所选择的至少一个缓解响应来更改工业资产的操作状态。
110.此外，技术人员将认识到来自不同实施例的各种特征的可互换性。类似地，可由本领域普通技术人员混合和匹配所描述的各种方法步骤和特征以及对于每个这样的方法和特征的其它已知的等同体，以便根据本公开的原理构造附加的系统和技术。当然，要理解的是，根据任何特定实施例，不一定可以实现上述所有这样的目的或优点。因此，例如，本领域技术人员将认识到，本文中描述的系统和技术可以以实现或优化如本文中教导的一个优点或者一组优点的方式来体现或者执行，而不一定实现如本文中教导或建议的其它目的或优点。
111.本书面描述使用包括最佳模式的示例来公开本发明，并且还使本领域的技术人员能够实施本发明，包括制作和使用任何装置或系统，以及执行任何结合方法。本发明的可取得专利范围由权利要求书来定义，并且可包括本领域的技术人员想到的其他示例。如果这类其他示例包括与权利要求书的文字语言完全相同的结构元件，或者如果它们包括具有与权利要求书的文字语言的非实质差异的等效结构元件，则它们意在处于权利要求书的范围之内。
112.本发明的另外的方面由以下条款的主题来提供：条款1. 一种用于控制工业资产的方法，所述方法包括：经由控制器生成网络攻击模型，所述网络攻击模型被配置成预测多个潜在网络攻击的对所述工业资产的多个操作影响以及对应的多个潜在缓解响应；经由所述控制器，经由训练数据集来训练所述网络攻击模型，以将所述多个潜在缓解响应与对应于所述多个潜在网络攻击的预测的多个操作影响相关联；经由网络攻击中和模块（中和模块）检测影响所述工业资产的至少一个组件的网络攻击；基于所述网络攻击模型经由所述中和模块识别所述多个操作影响中对应所检测的网络攻击的预测的操作影响；经由所述中和模块，基于所述网络攻击的预测的操作影响来选择所述多个潜在缓解响应中的至少一个缓解响应；以及基于所述至少一个缓解响应来更改
所述工业资产的操作状态。
113.条款2. 如条款1所述的方法，其中，检测所述网络攻击还包括：经由所述中和模块的攻击检测定位（adl）模块识别所述网络攻击的攻击点，所述攻击点对应所述工业资产的第一传感器，第一致动器和系统控制器中的至少一个。
114.条款3. 如任何前述条款所述的方法，其中，所述攻击点对应所述第一传感器的受影响的输出信号，并且其中选择所述至少一个缓解响应还包括：对所述受影响的输出信号进行过滤，以阻止由所述系统控制器利用所述受影响的输出信号来影响所述工业资产的操作状态；以及至少部分地基于从第二传感器获得的备选信号，经由系统控制器生成用于工业资产的设定点。
115.条款4. 如任何前述条款所述的方法，其中，确定所述预测的操作影响还包括：经由所述adl模块确定用于网络攻击的严重性得分；并且其中选择所述至少一个缓解响应还包括至少部分地基于所述严重性得分来选择所述至少一个缓解响应。
116.条款5. 如任何前述条款所述的方法，其中，所述至少一个缓解响应包括：响应于影响所述工业资产的操作条件，经由系统仿真器仿真所述工业资产的标称操作状态；在没有网络攻击的情况下，生成对应于工业资产的第一传感器，第一致动器和系统控制器中的至少一个的输入或输出的系统仿真器的至少一个输出；以及利用所述仿真器的所述至少一个输出替换遭受所述网络攻击的所述第一传感器，所述第一致动器和所述系统控制器中的所述至少一个的至少一个输入或输出，其中理由所述仿真器的所述至少一个输出替换所述至少一个输入或输出缓解所述网络攻击的所述预测的操作影响。
117.条款6. 如任何前述条款所述的方法，其中，所述攻击点对应用于所述第一致动器的受影响的命令信号，并且其中替换遭受所述网络攻击的所述至少一个输入或输出还包括：过滤受影响的命令信号；以及经由所述系统仿真器生成用于所述第一致动器的替换命令信号。
118.条款7. 如任何前述条款所述的方法，其中，所述攻击点对应所述第一致动器的受影响的反馈信号，并且其中替换遭受所述网络攻击的所述至少一个输入或输出还包括：过滤所述受影响的反馈信号；经由所述系统仿真器的致动器仿真器对用于所述第一致动器的替换反馈信号建模；向所述系统控制器传递所述替换反馈信号；以及至少部分地基于所述替换反馈信号生成用于所述第一致动器的命令信号。
119.条款8. 如任何前述条款所述的方法，其中，所述攻击点对应所述系统控制器，并且其中替换遭受所述网络攻击的所述至少一个输入或输出还包括：过滤系统控制器的输出，以阻止系统控制器影响工业资产的操作状态；以及经由所述系统仿真器的控制器仿真器生成至少一个设定点命令，所述至少一个设定点命令被配置成通过更改所述工业资产的操作状态来建立或维持所述工业资产的操作。
120.条款9. 如任何前述条款所述的方法，其中，所述攻击点对应所述第一传感器的受影响的输出信号，并且其中替换遭受所述网络攻击的所述至少一个输入或输出还包括：过滤所述第一传感器的受影响的输出信号；经由所述系统仿真器从至少第二传感器接收未影响的输出信号；至少部分地基于所述未影响的输出信号，经由所述系统仿真器的传感器仿真器生成用于所述第一传感器的替换输出信号；以及将所述替换输出信号传递到所述系统控制器。
121.条款10. 如任何前述条款所述的方法，其中，所述第二传感器与所述工业资产分开定位。
122.条款11. 如权利要求5上述的方法，还包括：经由所述中和模块将所述预测的操作影响与对传递到所连接的系统的所述工业资产的输出的影响相关联；以及利用所述系统仿真器的所述至少一个输出来缓解所述网络攻击对所述工业资产的输出的影响。
123.条款12. 如任何前述条款所述的方法，其中，缓解所述网络攻击对所述工业资产的输出的影响还包括降低所述工业资产的额定值。
124.条款13. 如任何前述条款所述的方法，其中，确定所述网络攻击的所述预测的操作影响还包括：经由所述中和模块将所述预测的操作影响与对所述工业资产的组件的损坏累积相关联；以及降低所述工业资产的额定值以缓解损坏的累积。
125.条款14. 如任何前述条款所述的方法，其中，确定所述网络攻击的所述预测的操作影响还包括：响应于所检测的网络攻击，经由所述中和模块将所述预测的操作影响与响应于安全性系统的停机协议的所述工业资产的未经授权的停机相关联，其中所述停机协议对于所述工业资产的操作状态是未经授权的；以及经由所述中和模块超驰所述停机协议，以阻止所述工业资产的未经授权的停机。
126.条款15. 如任何前述条款所述的方法，其中，所述工业资产包括风力涡轮。
127.条款16. 一种用于控制工业资产的系统，所述系统包括：可操作地耦合至所述工业资产的至少一个传感器；可操作地耦合到所述工业资产的至少一个致动器；通信地耦合到所述至少一个传感器和所述至少一个致动器的系统控制器，所述系统控制器包括至少一个处理器，所述至少一个处理器被配置成用于执行第一多个操作以便影响所述工业资产的操作状态；以及中和模块，所述中和模块可操作地耦合到所述至少一个传感器，所述至少一个致动器和所述系统控制器，所述中和模块包括被配置成执行第二多个操作的至少一个处理器，所述第二多个操作包括：经由网络攻击中和模块（中和模块）检测影响所述工业资产的至少一个组件的网络攻击，基于网络攻击模型识别对应所检测的网络攻击的多个操作影响的预测的操作影响，其中所述多个操作影响是经由控制器生成的，所述控制器实现网络攻击模型以预测多个潜在的网络攻击的对所述工业资产的多个操作影响，基于所述网络攻击的预测的操作影响来选择多个潜在缓解响应中的至少一个缓解响应，其中所述多个潜在缓解响应是经由所述网络攻击模型生成的，并且其中基于所述至少一个缓解响应来更改所述工业资产的操作状态。
128.条款17. 如任何前述条款的所述系统，其中，检测所述网络攻击还包括：经由所述中和模块的攻击检测定位（adl）模块识别所述网络攻击的攻击点，所述攻击点对应所述工业资产的第一传感器，第一致动器和系统控制器中的至少一个。
129.条款18. 如任何前述条款所述的系统，其中，所述至少一个缓解响应还包括：响应于影响所述工业资产的操作条件，经由系统仿真器仿真所述工业资产的标称操作状态，并且在没有网络攻击的情况下，生成对应于所述工业资产的所述第一传感器，所述第一致动器和所述系统控制器中的至少一个的输入或输出的所述系统仿真器的至少一个输出。
130.条款19. 如任何前述条款所述的系统，其中，所述攻击点对应所述系统控制器，并且其中替换遭受所述网络攻击的所述输入和/或输出还包括：过滤所述系统控制器的输出，以阻止所述系统控制器影响所述工业资产的操作状态；以及经由该系统仿真器的控制器仿
真器生成至少一个设定点命令，所述至少一个设定点命令被配置成通过更改所述工业资产的操作状态来建立或维持所述工业资产的操作。
131.条款20. 如任何前述条款所述的系统，其中，所述工业资产包括风力涡轮。

技术特征：

1.一种用于控制工业资产的方法，所述方法包括：经由控制器生成网络攻击模型，所述网络攻击模型配置成预测多个潜在网络攻击的对所述工业资产的多个操作影响以及对应的多个潜在缓解响应；经由所述控制器、经由训练数据集来训练所述网络攻击模型，以将所述多个潜在缓解响应与对应于所述多个潜在网络攻击的预测的多个操作影响相关联；经由网络攻击中和模块（中和模块）检测影响所述工业资产的至少一个组件的网络攻击；经由所述中和模块、基于所述网络攻击模型来识别所述多个操作影响中对应所检测的网络攻击的预测的操作影响；经由所述中和模块、基于所述网络攻击的所述预测的操作影响来选择所述多个潜在缓解响应中的至少一个缓解响应；以及基于所述至少一个缓解响应来更改所述工业资产的操作状态。2.如权利要求1所述的方法，其中，检测所述网络攻击还包括：经由所述中和模块的攻击检测定位（adl）模块识别所述网络攻击的攻击点，所述攻击点对应所述工业资产的第一传感器、第一致动器和系统控制器中的至少一个。3.如权利要求2所述的方法，其中，所述攻击点对应所述第一传感器的受影响的输出信号，并且其中选择所述至少一个缓解响应还包括：对所述受影响的输出信号进行过滤，以阻止由所述系统控制器利用所述受影响的输出信号来影响所述工业资产的所述操作状态；以及经由所述系统控制器至少部分地基于从第二传感器获得的备选信号来生成用于所述工业资产的设定点。4.如权利要求2所述的方法，其中，确定所述预测的操作影响还包括：经由所述adl模块确定对于所述网络攻击的严重性得分；以及其中选择所述至少一个缓解响应还包括至少部分地基于所述严重性得分来选择所述至少一个缓解响应。5.如权利要求2所述的方法，其中，所述至少一个缓解响应包括：经由系统仿真器、响应于影响所述工业资产的操作条件来仿真所述工业资产的标称操作状态；在没有网络攻击的情况下，生成对应于所述工业资产的所述第一传感器、所述第一致动器和所述系统控制器中的至少一个的输入或输出的所述系统仿真器的至少一个输出；以及利用所述仿真器的所述至少一个输出替换遭受所述网络攻击的所述第一传感器、所述第一致动器和所述系统控制器中的所述至少一个的至少一个输入或输出，其中利用所述仿真器的所述至少一个输出替换所述至少一个输入或输出缓解所述网络攻击的所述预测的操作影响。6.如权利要求5所述的方法，其中，所述攻击点对应用于所述第一致动器的受影响的命令信号，并且其中替换遭受所述网络攻击的所述至少一个输入或输出还包括：过滤所述受影响的命令信号；以及经由所述系统仿真器生成用于所述第一致动器的替换命令信号。
7.如权利要求5所述的方法，其中，所述攻击点对应所述第一致动器的受影响的反馈信号，并且其中替换遭受所述网络攻击的所述至少一个输入或输出还包括：过滤所述受影响的反馈信号；经由所述系统仿真器的致动器仿真器对用于所述第一致动器的替换反馈信号进行建模；向所述系统控制器递送所述替换反馈信号；以及至少部分地基于所述替换反馈信号生成用于所述第一致动器的命令信号。8.如权利要求5所述的方法，其中，所述攻击点对应所述系统控制器，并且其中替换遭受所述网络攻击的所述至少一个输入或输出还包括：过滤所述系统控制器的输出，以阻止所述系统控制器影响所述工业资产的所述操作状态；以及经由所述系统仿真器的控制器仿真器生成至少一个设定点命令，所述至少一个设定点命令配置成通过更改所述工业资产的所述操作状态来建立或维持所述工业资产的操作。9.如权利要求5所述的方法，其中，所述攻击点对应所述第一传感器的受影响的输出信号，并且其中替换遭受所述网络攻击的所述至少一个输入或输出还包括：过滤所述第一传感器的所述受影响的输出信号；经由所述系统仿真器至少从第二传感器接收未影响的输出信号；至少部分地基于所述未影响的输出信号，经由所述系统仿真器的传感器仿真器生成用于所述第一传感器的替换输出信号；以及向所述系统控制器递送所述替换输出信号。10.如权利要求9所述的方法，其中，所述第二传感器与所述工业资产分开定位。

技术总结

提供用于控制诸如功率生成资产之类的工业资产的系统和方法。因此，网络攻击模型预测由多个潜在的网络攻击导致的对工业资产的多个操作影响。网络攻击模型还预测对应的多个潜在缓解响应。在操作中，经由网络攻击中和模块检测影响工业资产的至少一个组件的网络攻击，并且基于网络攻击模型识别网络攻击的所保护操作影响。网络攻击中和模块基于预测的操作影响选择多个缓解响应中的至少一个缓解响应，并基于选择的缓解响应更改工业资产的操作状态。基于选择的缓解响应更改工业资产的操作状态。基于选择的缓解响应更改工业资产的操作状态。