活動(dòng)鏈接：2013年控制網(wǎng)技術(shù)專(zhuān)題---新時(shí)代的安全變革

  解讀“安全”（一）：功能安全

在國外，尤其是歐洲在安全標準方面已經(jīng)有很多很成熟的標準和法規，功能安全標準體系已初步形成。實(shí)踐證明，以安全完整性等級和全安全生命周期管理為特色的功能安全是解決和提高電氣/電子/可編程電子安全系統或裝置的功能安全保障的有效技術(shù)和管理模式。

功能安全定義

IEC61508對功能安全（Safety）的定義是：“與受控設備和受控設備控制系統有關(guān)的整體的組成部分，它取決于電氣、電子、可編程安全相關(guān)系統、其它技術(shù)安全相關(guān)系統和外部風(fēng)險降低設施功能的正確行使。”

 功能安全防止的是安全相關(guān)系統或設備的功能失效所導致的危險。例如鍋爐控制系統的功能是當鍋爐壓力達到危險值時(shí)關(guān)閉爐火。如果這個(gè)功能失效，壓力達到危險值時(shí)爐火不能熄滅，而是持續燃燒，鍋爐就會(huì )爆炸，人員就會(huì )遇到危險。在這種情況下，安全依賴(lài)于鍋爐控制系統執行正確的功能。這種安全依賴(lài)于系統功能的情況，就稱(chēng)為“功能安全”。

關(guān)于控制系統功能安全的國際標準

國際標準IEC61069.1~8（中國國家標準GB/T18272.1~8）“工業(yè)過(guò)程測量和控制系統評估中系統特性的評定”包括8個(gè)分標準，可以供控制系統的用戶(hù)和制造廠(chǎng)以及負責評估的獨立研究機構評估控制系統特性時(shí)使用，進(jìn)行可信性評估時(shí)，這是一套可借鑒的標準。

IEC62278（GB/T21562）“ 軌道交通 可靠性、可用性、可維修性和安全性規范及示例”雖然是為軌道交通行業(yè)制定的，但它定義的安全性與可用性評估、管理、分析方法等要求可以為其它應用領(lǐng)域借鑒。

IEC61508.1~7（GB/T20438.1~7）“電氣、電子、可編程電子安全相關(guān)系統的功能安全”包括7個(gè)分標準，它規定了控制系統功能安全的基本要求，也可用于功能安全評估。以此標準為基礎的其它功能安全標準都是進(jìn)行安全性評估時(shí)需要考慮的重要內容。

IEC61511.1~3（GB/T21109.1~3）“過(guò)程工業(yè)領(lǐng)域安全儀表系統的功能安全”。這套標準包括3個(gè)分標準，規定了流程工業(yè)領(lǐng)域安全儀表系統功能安全的基本要求，在石油、化工、電力、冶金等流程工業(yè)領(lǐng)域進(jìn)行評估時(shí)需要參考此標準。

IEC 62439與IEC61784-3分別描述了自動(dòng)化網(wǎng)絡(luò )的可用性與安全性相關(guān)要求。

國外功能安全標準應用情況

雖然功能安全早在20世紀80年代就已提出，然而多年來(lái)工業(yè)領(lǐng)域的功能安全保障問(wèn)題一直沒(méi)有得到有效解決。工業(yè)界在設計、操作、維護安全系統方面積累了大量經(jīng)驗，但在監控、評估和保證整個(gè)系統功能的功能安全保障方面缺乏理論依據和量化指標，對于系統功能的安全性與人、器件（軟硬件）、網(wǎng)絡(luò )和子系統的可靠性之間沒(méi)有建立量化關(guān)系。常常是采用多重冗余，選擇可靠性最高的器件，但系統的安全性并沒(méi)有提高。

2000年，IEC發(fā)布了功能安全基礎標準IEC61508《電氣、電子、可編程電子安全相關(guān)系統的功能安全》，解決了困擾多年的對復雜系統功能進(jìn)行功能安全保障的理論與實(shí)踐問(wèn)題。隨后，不同應用領(lǐng)域的功能安全標準陸續出臺。IEC61508作為功能安全的基本標準，衍生出不同的基礎標準和行業(yè)應用標準。

——機械行業(yè)：ISO13849，IEC62061，IEC60204-1，NFPA79；

——過(guò)程工業(yè)：IEC61511；

——核電：IEC61513；

——鍋爐：EN50156，EN230，EN298，EN12967等；

——鐵路：EN 50126，EN50128，EN50129；

——升降機：EN81；A17.x/B44.x（美國適用）；

——扶梯：EN115；

——……。

同時(shí)安全系統的子系統、設備功能安全標準也開(kāi)始出臺，如IEC61784-3《測量和控制數字數據通信第3部分：工業(yè)網(wǎng)絡(luò )中功能安全通信行規》、IEC61131-6《可編程序控制器第6部分：功能安全》等。

使用安全部件來(lái)降低風(fēng)險的安全應用已遍布工業(yè)領(lǐng)域各個(gè)環(huán)節，其中包括：工業(yè)機械、自動(dòng)化生產(chǎn)線(xiàn)（機器人等）、化工（測量、控制和監控設備）、鉆井平臺、核電廠(chǎng)、鍋爐、電梯和升降機、劇院舞臺升降機、起重機的無(wú)線(xiàn)控制、特殊用途車(chē)輛等。

由于安全系統的要求越來(lái)越嚴格，國際標準IEC61508以及IEC61511越來(lái)越多地被用作公認的良好慣例的基準，來(lái)證明已經(jīng)達到所需功能安全并且已經(jīng)符合相關(guān)法規要求。這些標準的采用無(wú)疑增強了對安全儀表系統的依賴(lài)性。

國內典型行業(yè)功能安全標準化基本情況

（1）石油石化行業(yè)

自IEC61508等標準和安全儀表系統等產(chǎn)品引入我國以來(lái)，石化行業(yè)內的眾多企業(yè)已經(jīng)紛紛感受到了功能安全型系統的架設與產(chǎn)品的選用，需要“精耕細作”的標準來(lái)引導和規范，因此，國內石化行業(yè)的三大龍頭企業(yè)已經(jīng)領(lǐng)先于我國標準的制定步伐，制定了相關(guān)的企業(yè)標準。這些標準雖然往往致力于解決某一具體領(lǐng)域SIS應用問(wèn)題，提出了設計與應用要求。但由于企業(yè)標準在制修訂工作能夠調集的人力、物力有限，此類(lèi)標準大部分都只是將多年的現場(chǎng)經(jīng)驗落在紙面上，內容不夠詳盡，編寫(xiě)不夠規范，“做工”比較粗糙。具體應用過(guò)程中設計施工人員有可能產(chǎn)生誤解甚至是曲解，需要規范其形式和細化其內容。因此行業(yè)功能安全技術(shù)推廣應用和發(fā)展需要充分利用國內標準化專(zhuān)家資源，對此類(lèi)企業(yè)標準執行形式化規范和內容完善工作，使之能夠上升為國家標準，規范我國石油、化工企業(yè)，實(shí)現企業(yè)在具體應用領(lǐng)域的功能安全應用問(wèn)題解決方案步調一致，真正做到合理可行地降低生產(chǎn)風(fēng)險。

（2）機器人功能安全

我國第一個(gè)機器人安全標準GB11291-1989是1989年3月發(fā)布，并于1998年進(jìn)行了修訂，目前版本完全參照采用了ISO10218，在內容上有所增加，首次提出了安全分析和風(fēng)險評價(jià)的概念以及機器人系統的安全設計和防護措施。相對國外而言，我國機器人安全性方面的研究起步較晚，隨著(zhù)我國工業(yè)現代化進(jìn)程的加快，機器人技術(shù)也得以飛速發(fā)展和應用，而借鑒國外在機器人安全性方面的研究成果，對于提升我國機器人安全性標準化水平、提高機器人的使用效能具有非常重要的意義。

對于我國工業(yè)領(lǐng)域功能安全標準體系建立的建議

功能安全技術(shù)涉及安全設備、儀器儀表和安全監測控制系統等各個(gè)方面，加強功能安全技術(shù)的研究和開(kāi)發(fā)，可以極大地提高我國工業(yè)領(lǐng)域安全防護和管理水平，推動(dòng)以電氣、電子、計算機技術(shù)為核心的安全監測、監控系統的廣泛應用，提高對整套裝置、重大危險源和事故隱患的監控水平，降低整套裝置及重要危險源、事故隱患點(diǎn)的風(fēng)險，大幅度減少經(jīng)濟損失和事故死亡人數，達到用技術(shù)為國民創(chuàng )造安全的生產(chǎn)生活環(huán)境。

國外眾多企業(yè)，如西門(mén)子、羅克韋爾、ABB、三菱電機等，都競相推出了自己的安全部件和安全解決方案，而在我國相關(guān)產(chǎn)品和技術(shù)的研發(fā)尚處于起步階段。安全要求在國際貿易中就成為阻礙我國貿易的技術(shù)壁壘，嚴重影響我國經(jīng)濟技術(shù)的發(fā)展。

為改變在安全產(chǎn)品和安全系統方面與國外企業(yè)的差距，國內的自動(dòng)化企業(yè)近年來(lái)加大了研發(fā)投入，在一些重點(diǎn)領(lǐng)域已經(jīng)得到突破。和利時(shí)公司在高速鐵路業(yè)務(wù)獲得多項產(chǎn)品SIL級認證改為獲得6項產(chǎn)品的SIL4級認證，達到了鐵路行業(yè)對安全產(chǎn)品的安全性需求。在石油化工等領(lǐng)域，和利時(shí)推出的HiaGuard安全儀表系統通過(guò)了SIL 3級國際安全產(chǎn)品認證，填補了國內空白，為生產(chǎn)企業(yè)實(shí)現安全生產(chǎn)打下了堅實(shí)的基礎。和利時(shí)與中廣核的合資公司在核安全級產(chǎn)品方面已經(jīng)投入了巨大的人力、物力和財力，所開(kāi)發(fā)的安全級產(chǎn)品已經(jīng)獲得國家核安全局的認可。

在此基礎上，我國必須重視國際相關(guān)標準的相關(guān)研究，積極開(kāi)展更加廣泛的功能安全產(chǎn)品認證，同時(shí)推動(dòng)我國自主的功能安全標準體系的建立。

（1）不論是石油化工、電力復雜的流程工業(yè)，還是機器人、數控機床、汽車(chē)大型裝備，以及燃氣灶、電動(dòng)玩具等電子產(chǎn)品，都存在著(zhù)大量的危險源，需要采用安全技術(shù)或裝置來(lái)解決和實(shí)施安全保障；

（2）以前絕大多數的安全系統或裝置，大到安全儀表系統、緊急停車(chē)系統、鐵路信號系統，小到熄火保護裝置、安全電路，無(wú)不都是采用基于電氣/電子/可編程電子技術(shù)的安全系統或裝置；

（3）國外的實(shí)踐證明，以安全完整性等級和全安全生命周期管理為特色的功能安全是解決和提高電氣/電子/可編程電子安全系統或裝置的功能安全保障的有效技術(shù)和管理模式。我國需加速推廣應用功能安全的理念和技術(shù)；　

（4）在國外，尤其是歐洲在安全標準方面已經(jīng)有很多很成熟的標準和法規，功能安全標準體系已初步形成。因此，我們應緊密跟蹤和研究ISO、IEC和EN標準，積極轉化國外先進(jìn)標準，同時(shí)根據我國國情的具體情況制定相應安全標準，以國外標準體系和管理模式為參考，建立我國功能安全標準體系；　

（5）應參考國外成熟的安全保障體系和流程，對現有的安全領(lǐng)域的國標和行標進(jìn)行系統的審查分析，搭配和協(xié)調各行業(yè)的安全標準，注重標準的有效性、配套性，解決目前安全相關(guān)標準存在的矛盾，重復、交叉等問(wèn)題；

（6）建立安全保護屏障必須依靠法律法規以及強硬的行政手段。功能安全體系作為安全標準體系的有機組成部分是實(shí)施法律、法規和行政的重要基礎；

（7）以SAC/TC124/SC10功能安全分技術(shù)委員會(huì )為核心，充分發(fā)揮各個(gè)行業(yè)的力量，加速制定一批關(guān)鍵的功能安全標準并推動(dòng)其貫徹執行；

（8）功能安全標準的貫徹，應該借鑒國外功能安全（企業(yè)、人員、產(chǎn)品）認證經(jīng)驗和我國ISO9000/ISO14000等認證辦法，建立具有中國特色的功能安全認證體系。

參考文獻

[1]史學(xué)玲.我國功能安全標準實(shí)施預案研究[J]，自動(dòng)化儀表，2006.

[2]王春喜，石鎮山.功能安全標準化發(fā)展現狀分析[J]，儀器儀表標準化與計量，2010,5.  

解讀“安全”（二）：信息安全

什么是工業(yè)控制系統信息安全？如何劃分安全等級？

在IEC 62443中針對工業(yè)控制系統對信息安全（Security）的定義是：（1）保護系統所采取的措施；（2）由建立和維護保護系統的措施所得到的系統狀態(tài)；（3）能夠免于對系統資源的非授權訪(fǎng)問(wèn)和非授權或意外的變更、破壞或者損失；（4）基于計算機系統的能力，能夠保證非授權人員和系統既無(wú)法修改軟件及其數據也無(wú)法訪(fǎng)問(wèn)系統功能，卻保證授權人員和系統不被阻止；（5）防止對工業(yè)控制系統的非法或有害入侵，或者干擾其正確和計劃的操作。

IEC 62443中引入了信息安全保障等級（SAL，Security Assurance Level）的概念，嘗試用一種定量的方法來(lái)處理一個(gè)區域的信息安全。通過(guò)定義并比較用于信息安全生命周期的不同階段的目標SAL、設計SAL、完成SAL和能力SAL，實(shí)現預期設計結果的安全性。它從身份和授權控制、使用控制、數據完整性、數據保密性、受限數據流、事件適時(shí)響應、資源可用性7個(gè)基本要求入手，將信息安全保障等級分為4個(gè)等級。

國外目前發(fā)展情況

國際上，針對工業(yè)控制系統的信息安全評估和認證還處于起步階段，尚未出現一個(gè)統一的評估規范。為了搶占市場(chǎng)，美國ISA組織于2010年成立了專(zhuān)門(mén)的測試機構ISCI（ISA信息安全符合性研究院），授權第三方測試實(shí)驗室進(jìn)行工業(yè)自動(dòng)化信息安全認證，但目前僅針對嵌入式設備進(jìn)行評估。

專(zhuān)家建議

吳 澄：震網(wǎng)病毒震動(dòng)了工業(yè)界，也破滅了專(zhuān)用網(wǎng)絡(luò )、工業(yè)系統固有的安全基礎，我們應高度警惕物理隔離網(wǎng)絡(luò )和工業(yè)控制系統的安全。 

第一，加強工業(yè)控制系統漏洞及其挖掘技術(shù)研究。工業(yè)級控制軟件的安全逐步得到大家的重視，通過(guò)挖掘發(fā)現存在大量的漏洞。

第二，進(jìn)行ICS安全應用行為分析與學(xué)習能力的研究。例如對系統性能的異常檢測模型、工業(yè)系統協(xié)議的內容識別模型、OPC組件的調用規則模型,以及外設和WIFI 的審計報警模型等研究。知識庫和各種分析模型的建立離不開(kāi)對用戶(hù)工業(yè)控制系統的理解和產(chǎn)業(yè)攻擊事件與趨勢的跟蹤分析研究。 

第三，建立重要ICS安全應急響應機制。建立重要工業(yè)基礎設施的應急響應機制，實(shí)現對重要目標或系統的監測、防護和應急處理，采取技術(shù)手段實(shí)現追蹤定位、災害恢復和攻擊反制；建立類(lèi)似西方國家實(shí)戰演習的工作方式，定期進(jìn)行內外網(wǎng)的工業(yè)系統安全演練，發(fā)現技術(shù)、制度上的薄弱環(huán)節，及時(shí)應對。

第四，必須加強國產(chǎn)工業(yè)軟件核心技術(shù)的研究，這其中包括國產(chǎn)核心基礎軟件的研究和國產(chǎn)核心網(wǎng)絡(luò )產(chǎn)品的研制，另外，國產(chǎn)核心工業(yè)軟件系統的研究也非常重要。

歐陽(yáng)勁松：盡管工業(yè)控制系統信息安全已成為一個(gè)全球性的問(wèn)題，但是我國用戶(hù)與發(fā)達國家相比，在安全意識和防范措施等方面仍存在著(zhù)巨大的差距，標準與法規尚未健全，第三方認證機構沒(méi)有得到系統管理。工業(yè)控制系統信息安全問(wèn)題必須在國家的推動(dòng)和貫徹下才能得到切實(shí)解決。在傳統IT信息安全領(lǐng)域，根據《中華人民共和國計算機信息系統安全保護條例》等有關(guān)法律法規，我國在2007年發(fā)布了《信息安全等級保護管理辦法》，對信息系統分等級實(shí)行安全保護。同樣地，為保障工業(yè)控制系統的信息安全，更加迫切地需要有關(guān)政府部門(mén)發(fā)布相關(guān)法令法規，引起各行業(yè)足夠的重視，并規范行業(yè)實(shí)踐。

工業(yè)控制系統涉及眾多行業(yè)，各行業(yè)的具體管理要求和系統設備工作環(huán)境不盡相同。因此，我們必須深入研究我國工業(yè)控制系統的行業(yè)特點(diǎn)和需求，有針對性地制定相關(guān)行業(yè)信息安全保障應用行規。同時(shí)，以工業(yè)自動(dòng)化標準化機構為先導，聯(lián)合相關(guān)組織機構，研究我國工業(yè)信息安全標準體系，積極開(kāi)展工業(yè)控制系統信息安全評估標準的制定工作，健全工業(yè)信息安全評估認證機制，建立有效的工業(yè)控制系統信息安全應急系統，形成我國自主的工業(yè)控制系統信息安全產(chǎn)業(yè)和管理體系。 

參考文獻

[1]關(guān)于加強工業(yè)控制系統信息安全管理的通知[Z].工信部協(xié)[2010]451號，2011,9.

[2] 吳澄.信息化工業(yè)化深度融合中值得關(guān)注的幾個(gè)問(wèn)題[R].哈爾濱：第三屆全國自動(dòng)化企業(yè)發(fā)展戰略論壇，2012,8.

[3] 歐陽(yáng)勁松.加強工業(yè)控制系統信息安全保障工業(yè)自動(dòng)化產(chǎn)業(yè)發(fā)展[J].自動(dòng)化博覽，2012,2.