工業，是一個國家得以安身立命的根本。雖然中國已經成為全球唯一擁有全部工業門類的國家，但在工業自動化的核心——工業控製軟件方麵卻遠稱不上強。

　　隨著 Simulink 等工業控製軟件設計分析平台的被禁，大部分人已認清了形勢，並在關鍵環節
，惡補功課，展開追趕。

　　這個艱難的過程
，離不開一些人的默默支持
，他們就是負責工業控製軟件安全方麵的專家們。

　　工業控製軟件安全無小事

　　工業控製軟件的安全主要可以分成兩個維度，信息安全（Security）和功能安全（Safety）。這兩個維度互為表裏，同樣重要。

　　舉幾個現實生活中的例子。

　　2009 年 11 月，美國 NSA 製作的專門針對伊朗鈾濃縮設施的“震網病毒”
，通過對特定型號的變頻器操控，讓其生產效率大大降低
，直接導致其研發進度退後多年。

　　2015 年 12 月 23 日，來自俄羅斯的黑客利用 SCADA 係統協議中的漏洞
，攻擊了烏克蘭的電力控製係統，導致 7 個 110 KV 的變電站和 23 個 35 KV 的變電站出現故障，80000 用戶斷電數小時。

　　以上這些安全事件都屬於信息安全領域，而引發廣泛關注的僅為冰山一角。

　　據國家互聯網應急中心報告指出，2019 年，累計發現針對我國工業設備的惡意嗅探事件約 5151 萬起。

　　而在功能安全領域的事故更為觸目驚心。

　　2011 年，我國發生了 “7·23” 甬溫線特別重大鐵路交通事故。由北京南站開往福州站的 D301 次列車與前方由杭州站開往福州南站的 D3115 次列車發生同向追尾事故
，後車 D301 次四節車廂墜橋。據官方公布
，事故造成 40 人死亡
、172 人受傷，中斷行車 32 小時 35 分，直接經濟損失 1 億 9371.65 萬元。

　　還有持續至今的波音停飛事件，印尼和埃塞俄比亞先後兩架波音 737 MAX 8 型客機失事，機上人員全部遇難。事後波音通過調查發現
，在某些情況下
，若查覺有失速（氣流平衡被破壞）可能，737 MAX kejikenenghuizidongjiangdijitou。erfaguohangkongshigutiaozhachufenxizhichu，feixingyuanyiwanquanzuncongboyinjimeiguolianbanghangkongguanlijufachudejianyihezhiyinquchulijinjiqingkuang
，danrengwufaxiuzhengkongzhixitongchixuyadijitoudeqingkuang。

　　這一連串悲劇性的事件

，無一不向世人昭示著工業控製軟件安全的重要性。

　　薑宇正是這個領域的專家
，他今年 31 歲，是清華大學軟件學院的副教授
、博士生導師。先後師從孫家廣教授
、Lui Raymond Sha 教授和任尚蘋教授，以第一作者或通訊作者發表學術論文 47 篇。獲 ICSE-SEIP
、EMSOFT 等會議最佳論文獎或提名獎 5 次，授權發明專利 7 項。

　　9 月 9 日，薑宇榮獲阿裏巴巴達摩院所評選的“青橙獎”
，該獎項麵向全球範圍對科技進步有關鍵推動作用的中國青年學者的年度獎項，旨在發掘和支持從事基礎科學
、應用技術研究的優秀青年工作者。

　　薑宇說，工業控製軟件的安全和日常軟件在安全方麵主要有兩點不同。

　　第一
，工業控製軟件的交互對象、使用環境方麵非常複雜多變。大到飛機坦克，航母潛艇，小到一隻機械手臂
，都是工控軟件控製的對象
；而環境交互方麵，雨林、沙漠

、高山、海底
，都可能存在它的身影。

　　第二，出現問題所導致的結果不同。輕則導致係統失效、生產停滯
，重則引發嚴重的工業事故，導致生命財產的損失。

　　zheshiyigexiangduixiaozhongdelingyu，hechuantongyingyongruanjiandeyanjiutouruxiangbi，guoneizhuanmencongshigongyekongzhiruanjiandeyanjiurenyuanyijingxiangduijiaoshao，erzuogongkongruanjiananquanderenkenenghaiyaoshaoshangyidaolianggeshuliangji。

　　聽到 “Bug” 就興奮

　　薑宇說
，很遺憾，在這個領域，中國也處於被 “卡脖子” 的狀態。一些核心的工控軟件控製器和工控軟件設計分析工具
，均為國外所掌握和壟斷。

　　一方麵，如高鐵列車的控製網絡包含的兩種最典型的控製器，一個是 MVB（Multifunction Vehicle Bus
，連接一節車輛或一組車輛單元內部各種設備的多功能車輛總線）控製器，一個是 WTB（Wire Train Bus 連接各節可動態編組車輛間的絞線式列車總線）控製器，目前我國使用的方案基本都是國外采購。前文提到的烏克蘭停電事故中關鍵的電力控製係統（SCADA）
，內部的通信協議等核心軟件也被我國普遍采用。

　　另一方麵，目前主流的安全保障工具及核心設計分析技術如 Simulink、Peach
、Defensics 等

，均被國外壟斷。

　　在(zai)這(zhe)種(zhong)情(qing)況(kuang)下(xia)
，使(shi)用(yong)國(guo)外(wai)的(de)安(an)全(quan)測(ce)評(ping)工(gong)具(ju)分(fen)析(xi)購(gou)買(mai)的(de)國(guo)外(wai)的(de)工(gong)控(kong)軟(ruan)件(jian)控(kong)製(zhi)器(qi)
，在(zai)某(mou)些(xie)時(shi)候(hou)會(hui)產(chan)生(sheng)一(yi)些(xie)意(yi)想(xiang)不(bu)到(dao)的(de)問(wen)題(ti)，難(nan)以(yi)保(bao)障(zhang)自(zi)主(zhu)安(an)全(quan)可(ke)控(kong)。

　　“當然，我並不是說應該全盤國產化，但是在關鍵、核心的領域還是應該如此。”

　　“國外媒體總說我們的硬件、軟ruan件jian有you後hou門men
，卻que拿na不bu出chu任ren何he的de證zheng據ju。其qi實shi反fan過guo來lai也ye是shi一yi樣yang

，國guo外wai的de軟ruan件jian有you沒mei有you後hou門men？對dui我wo們men來lai說shuo也ye是shi一yi個ge黑hei盒he
，如ru果guo真zhen的de有you後hou門men，在zai緊jin急ji時shi刻ke人ren家jia關guan閉bi使shi用yong權quan限xian，將jiang造zao成cheng難nan以yi預yu測ce的de後hou果guo。不bu是shi自zi己ji寫xie的de終zhong究jiu不bu能neng放fang心xin。其qi次ci，隨sui著zhe Simulink 等工具的使用限製，也不得不加速推進國產化的進程。”

　　
圖 | 薑宇在北京（來源：薑宇）

　　薑宇和他的研究團隊已經取得了初步的成果，圍繞工業控製軟件展開，在功能安全性保障和信息安全性保障兩個方向均作了探索。

　　
圖 | 薑宇和他年輕的研究團隊 （來源：薑宇）

　　在功能安全性保障方麵
，他的主要研究成果是 Tsmart-MDD——一款應用於工業控製軟件設計構造階段的建模、驗證與綜合工具集。目前該工具集的部分功能已經開發完畢，投入到了小範圍的測試之中。

　　
圖 | 模型驅動的工業控製軟件安全設計工具（Tsmart-MDD）

　　在該工具集中
，工業控製軟件的功能設計階段主要分三步：首先構建必要的環境模型、交互模型及控製軟件本身的控製模型
；然後通過模型去仿真驗證一個個功能需求是否被滿足；確認滿足之後自動生成對相應的控製代碼，這樣就避免了手動編寫代碼可能產生的錯誤。

　　在 Tsmart-MDD 中
，首先設計了一個異構形式計算模型，在這個計算模型的基礎上去開發工控軟件模型的仿真器
、測試器， 和相應的代碼生成器，可以自動生成 VHDL 代碼
，也可以生成 C 代碼。

　　這部分工作主要是對標 Simulink 的部分典型應用場景。在與華為車控軟件方麵合作當中
，通過 Tsmart-MDD 所生成的代碼，相比 Simulink 和 Ptolemy 大概要減少約 28% 左右
；生成的測試輸入較 Simulink Design Verifier 生成的測試輸入相比

，可以提升模型覆蓋率約 20%。他們的工作也得到了中車集團、日本三菱重工的認可和資助。

　　在信息安全性保障方麵
，研究團隊研製了 Tsmart-DATE，用於工業控製軟件的安全測試分析。通過覆蓋率敏感的程序調度、跨進程的覆蓋率統計和進程管理
、動態搜索變異的集成等策略，顯著提升當前主流工具的精度和效率。

　　
圖 | 靜動結合的工業控製軟件測試分析工具（Tsmart-DATE）

　　同國際通用的 Peach
、AFL 等工具相比， Tsmart-DATE 覆蓋率提升 27%，時間縮短三倍
，平均多找出 17% 的漏洞。在國際通用的工控協議如 IEC61850, IEC104 等協議中，挖掘了大量的 CVSS 評分大於 9 的高危漏洞
，相關的成果也連續獲得嵌入式軟件頂級會議 EMSOFT2019
、2020 的最佳論文提名獎。

　　薑宇說，由於研究方向的緣故
，他和小組成員聽到 “Bug” 這個詞時，會覺得興奮。“每次在一些廣泛應用的軟件

，比如說 Linux 內核
、MySQL 等大型的係統軟件裏
，使用我們的分析工具找出 Bug，我們就很開心。”

　　未來 3 到 5 年，薑宇和他的研究團隊
，將會繼續圍繞著工具平台進行算法和理論的創新
，力爭實現典型應用場景的國產化替代。

　　陰差陽錯的科研路

　　在科研生涯的起步階段，薑宇並非一下就認準了計算機。

　　他用了好幾個 “陰差陽錯” 來描繪自己的命運。“我最開始不是很喜歡計算機，考大學時想去同濟大學念土木工程，也不知道為啥想去。”

　　但住在他家對麵的老師說，北郵的軟件工程專業好
，出來能賺好多錢。於是陰差陽錯地去了北京郵電大學。

　　後來，又陰差陽錯地拿到了保送清華計算機係的資格，覺得不用有點可惜，所以就去了。

　　zaihoulai，suiranduijisuanjihaibushihenganxingqu，danlunwenjingranfadehaicouhe，tiqianbiyehainaleyoubo，erqiezaiyiciyinchayangcuodidaomeiguoyilinuoyidaxuexiangbinfenxiaozuoboshihou。

　　事後薑宇回想
，最關鍵的轉變其實發生在他的讀博階段的第三年底
，自己的第一篇 A 類期刊論文，曆時兩年半，前後被打回要求修改了 6 輪終於接收；師兄師姐帶著一起研發的車輛總線控製器成功上車裝配…… 讓自己感受到了科研帶來的樂趣和滿足。個中辛苦，冷暖自知。

　　現在，薑宇的科研之路已經走得愈發堅實，他將自己稱為工業控製軟件的“羽林衛”
，希望可以和組員一起
，不負韶華，為工業控製軟件設計和分析工具的自主可控貢獻清華力量
，為國產工業控製軟件的安全保駕護航。