本文探討機(jī)器人控制系統(tǒng)的安全風(fēng)險(xiǎn)以及有效的安全措施，文中除了探討產(chǎn)業(yè)安全標(biāo)準(zhǔn)，並分析了遵循這些標(biāo)準(zhǔn)的關(guān)鍵要求。

工廠(chǎng)自動(dòng)化是工業(yè)4.0的核心，包括工業(yè)機(jī)器人、自主式行動(dòng)機(jī)器人（AMR）、以及協(xié)作式機(jī)器人等皆扮演關(guān)鍵角色，並共同促成業(yè)界實(shí)踐現(xiàn)代的工業(yè)4.0。如今的機(jī)器人變得越來(lái)越聰明，並具備更高的協(xié)作能力，不論在有人與無(wú)人操作的情況下都能執(zhí)行各種複雜任務(wù)。更高層級(jí)的自動(dòng)化以及更廣泛地運(yùn)用機(jī)器人，亦促成對(duì)機(jī)器人控制系統(tǒng)面臨著更高的物理維安，以及資安抗駭?shù)囊蟆?/span>

從機(jī)器人最初大多應(yīng)用於工廠(chǎng)環(huán)境，發(fā)展至今已廣泛用在諸多不同領(lǐng)域，包括醫(yī)療、軍事、物流、以及農(nóng)業(yè)等。對(duì)於物理維安與資安抗駭?shù)男枨蠖?，此方面的重要性遠(yuǎn)甚過(guò)於10年前。相關(guān)的應(yīng)用場(chǎng)域中，各種意外都可能發(fā)生，其中，由惡意攻擊引發(fā)的事件尤其關(guān)鍵，惡意劫持與控制機(jī)器人都可能造成嚴(yán)重的經(jīng)濟(jì)與財(cái)務(wù)損失。

機(jī)器人控制系統(tǒng)的安全風(fēng)險(xiǎn)

圖一顯示典型的安全風(fēng)險(xiǎn)，可能引發(fā)對(duì)機(jī)器人控制系統(tǒng)的惡意攻擊。

圖一 : 機(jī)器人控制系統(tǒng)的安全風(fēng)險(xiǎn)

表一所列舉的是與安全風(fēng)險(xiǎn)相關(guān)的疑慮及概述：

工業(yè)與機(jī)器人領(lǐng)域的規(guī)範(fàn)與法律 促進(jìn)資安韌性與保護(hù)運(yùn)作

資安領(lǐng)域的面貌快速演變，越來(lái)越多的規(guī)範(fàn)與法律也瞄準(zhǔn)工業(yè)與機(jī)器人領(lǐng)域。其中一些針對(duì)資安抗駭?shù)姆桑ā稓W盟網(wǎng)路安全法》、《歐盟網(wǎng)路韌性法》以及《美國(guó)關(guān)鍵基礎(chǔ)設(shè)施資安事件通報(bào)法》。另外中國(guó)與印度也逐步制定相關(guān)的規(guī)範(fàn)與法律。 美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（National Institute of Standards and Technology；NIST）的操作技術(shù)（OT）安全指南 ，以及如IEC 62443 此類(lèi)標(biāo)準(zhǔn)提供方向，讓我們能採(cǎi)取安全設(shè)計(jì)（secure-by-design）的原則與設(shè)計(jì)，協(xié)助開(kāi)發(fā)的控制系統(tǒng)能具備充分的韌性，得以抵禦各種網(wǎng)路攻擊。

IEC 62443制定 IACS 安全性規(guī)範(fàn)

IEC 62443針對(duì)工業(yè)自動(dòng)化與控制系統(tǒng)安全（Industrial Automation and Control Systems Security；IACS）制定了安全性規(guī)範(fàn)。此為一項(xiàng)各界廣泛採(cǎi)納的標(biāo)準(zhǔn)，用以開(kāi)發(fā)工業(yè)自動(dòng)化控制系統(tǒng)，大多數(shù)的法律和規(guī)範(fàn)也都建議遵循這項(xiàng)標(biāo)準(zhǔn)，並認(rèn)可其在保障安全方面的重要性，讓我們能夠遵循相關(guān)規(guī)範(fàn)、紓解控制系統(tǒng)中的潛在資安風(fēng)險(xiǎn)、補(bǔ)救控制系統(tǒng)中的安全缺口、保護(hù)關(guān)鍵資產(chǎn)、以及提供其他更多的益處。

圖二 : IEC 62443 是一項(xiàng)組件安全標(biāo)準(zhǔn)

雖然IEC標(biāo)準(zhǔn)中有一些部分是專(zhuān)注規(guī)範(fàn)過(guò)程與程序，不過(guò)IEC 62443-4-1和IEC 62443-4-2則是專(zhuān)門(mén)針對(duì)組件安全而制定。根據(jù)IEC 62443-4-2的規(guī)範(fàn)，零組件的種類(lèi)包含了軟體程式、主機(jī)裝置、嵌入式裝置、以及網(wǎng)路裝置。這些標(biāo)準(zhǔn)根據(jù)每種零組件必須達(dá)到的零組件要求（CR）和增強(qiáng)要求（RE）來(lái)為每種零組件類(lèi)型規(guī)範(fàn)功能安全等級(jí)（SL）。其定義了從SL0到SL3的安全等級(jí)（SL）。其中SL2與SL3特別要求硬體層面的安全防護(hù)。

開(kāi)發(fā)機(jī)器人安全系統(tǒng)不可或缺的功能與技術(shù)

要建構(gòu)安全的機(jī)器人控制系統(tǒng)，我們需要解決機(jī)器人控制系統(tǒng)安全的各項(xiàng)風(fēng)險(xiǎn)。此方面需要的關(guān)鍵功能與技術(shù)包括：

u 安全驗(yàn)證：匯整各項(xiàng)安全驗(yàn)證機(jī)制，檢驗(yàn)裝置/零組件的身份

u 安全協(xié)同處理器：運(yùn)用專(zhuān)屬硬體執(zhí)行安全儲(chǔ)存與加密作業(yè)

u 安全通訊：建置加密協(xié)定，保護(hù)資料交換的程序

u 存取控制：實(shí)施細(xì)分的權(quán)限，用以限制未經(jīng)授權(quán)的系統(tǒng)存取動(dòng)作

u 實(shí)體安全措施：整合各項(xiàng)措施，藉以防止物理竄改

全套輸出式安全I(xiàn)C，像是安全驗(yàn)證晶片與協(xié)同處理器，為了因應(yīng)這些需求量身打造的方案，能簡(jiǎn)化建置流程與節(jié)省成本。這些固定功能IC背後有完備的軟體堆疊作為輔助，這些軟體是針對(duì)主機(jī)處理器所設(shè)計(jì)。

運(yùn)用分立式安全元件可以提高系統(tǒng)韌性，防止已被入侵的應(yīng)用處理器去存取儲(chǔ)存在獨(dú)立IC（隔離）內(nèi)的權(quán)證。

除了這些方面之外，系統(tǒng)開(kāi)發(fā)者必須採(cǎi)取結(jié)構(gòu)化的方法來(lái)保護(hù)開(kāi)發(fā)程序，包括收集各項(xiàng)需求、建立與分析威脅模型、安全設(shè)計(jì)、實(shí)施、測(cè)試、認(rèn)證、以及維護(hù)等方面。依循安全開(kāi)發(fā)生命週期（SDL）可確保從一開(kāi)始安全即融入到開(kāi)發(fā)程序之中。

ADI不僅是供應(yīng)晶片等整套輸出式安全I(xiàn)C的廠(chǎng)商，藉由整合安全與機(jī)器人方面的專(zhuān)業(yè)技術(shù)，已蛻變成一個(gè)理想的解決方案供應(yīng)商，能夠克服在維護(hù)機(jī)器人系統(tǒng)方面衍生的各種獨(dú)特挑戰(zhàn)。讓客戶(hù)能夠建構(gòu)出全方位的解決方案，兼顧硬體、軟體、以及系統(tǒng)層級(jí)的設(shè)計(jì)考量。

ADI認(rèn)識(shí)到機(jī)器人系統(tǒng)的安全需要全面覆蓋的設(shè)計(jì)，因此決定跳脫出零組件層級(jí)的方案，採(cǎi)取系統(tǒng)層級(jí)的視野角度。我們衡量了各種因素，包括硬體、軟體、通訊、以及整合，確保所有關(guān)鍵零組件都無(wú)縫地整合。

ADI與汽車(chē)產(chǎn)業(yè)的合作，展現(xiàn)在無(wú)線(xiàn)電池管理系統(tǒng)（wBMS）的成果上，並反映在建構(gòu)強(qiáng)韌安全措施上的諸多卓越能力。ADI藉由與客戶(hù)緊密合作，成功開(kāi)發(fā)出一套完全維安與抗駭?shù)腎SO 21434認(rèn)證wBMS系統(tǒng)。鼓勵(lì)機(jī)器人產(chǎn)業(yè)進(jìn)行類(lèi)似的合作，就能促成客戶(hù)運(yùn)用ADI在安全實(shí)作方面的專(zhuān)業(yè)。藉由和相關(guān)產(chǎn)業(yè)夥伴的緊密結(jié)盟，ADI得以持續(xù)發(fā)展兼顧物理維安與數(shù)據(jù)資安的機(jī)器人系統(tǒng)，引進(jìn)從汽車(chē)產(chǎn)業(yè)所累積的經(jīng)驗(yàn)與成功戰(zhàn)績(jī)。

機(jī)器人關(guān)節(jié)控制器的使用情境範(fàn)例

圖三顯示在機(jī)器人關(guān)節(jié)中，機(jī)器人關(guān)節(jié)控制系統(tǒng)的系統(tǒng)設(shè)計(jì)。

圖三 : MAXQ1065在機(jī)器人聯(lián)合控制系統(tǒng)中的潛在應(yīng)用

在這項(xiàng)設(shè)計(jì)中，MAXQ1065的潛在應(yīng)用變得顯而易見(jiàn)，因?yàn)樗艽俪砂踩_(kāi)機(jī)功能，進(jìn)而提升系統(tǒng)的整體安全。此外，MAXQ1065本身還具備諸多額外功能，例如安全密鑰儲(chǔ)存、安全通訊協(xié)定、以及譯密作業(yè)等。後續(xù)的專(zhuān)文將深入探討這些應(yīng)用情境，以及探討其實(shí)際應(yīng)用。

總結(jié)

在維護(hù)未來(lái)機(jī)器人的安全方面，資安扮演十分重要的角色。包括安全驗(yàn)證、加密通訊、供應(yīng)鏈防駭?shù)葟?qiáng)韌措施，皆是防範(fàn)各種威脅極為關(guān)鍵的環(huán)結(jié)。藉由優(yōu)先維護(hù)資安以及運(yùn)用ADI的專(zhuān)業(yè)，不僅能夠充分發(fā)揮機(jī)器人的潛能，還能夠防範(fàn)在互連世界中各種新浮現(xiàn)的風(fēng)險(xiǎn)。

（本文作者M(jìn)anoj Rajashekaraiah為ADI首席工程師）