标准规范下载简介
GB/T 41274-2022 可编程控制系统内生安全体系架构.pdfICS 25.040.40 CCS N 18
GB/T 41274—2022
Endogenous safety architecture of programmable control system
民用建筑电气施工方案国家市场监督管理总局 发布 国家标准化管理委员会
GB/T 412742022
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任, 本文件由全国工业过程测量控制和自动化标准化技术委员会(SAC/TC124)归口。 本文件起草单位:浙江大学、杭州优稳自动化系统有限公司、上海电气集团股份有限公司、北京机械 工业自动化研究所有限公司。 本文件主要起草人:王文海、高慧、贾廷纲、张益南、许志正、张晓东、嵇月强、张稳稳、曹剑、范鹏鹏 袁超、周伟、徐斌、王秋婷、何萍、邵舒婷、赵璐、张雪嫣、王凯
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任, 本文件由全国工业过程测量控制和自动化标准化技术委员会(SAC/TC124)归口。 本文件起草单位:浙江大学、杭州优稳自动化系统有限公司、上海电气集团股份有限公司、北京机械 工业自动化研究所有限公司。 本文件主要起草人:王文海、高慧、贾廷纲、张益南、许志正、张晓东、嵇月强、张稳稳、曹剑、范鹏鹏 袁超、周伟、徐斌、王秋婷、何萍、邵舒婷、赵璐、张雪嫣、王凯
GB/T 412742022
编程控制系统内生安全体系架松
本文件规定了可编程控制系统内生安全体系架构,描述了可编程控制系统内生安全的目标和各单 元模块的相关安全需求,规定了可编程控制系统的内生安全要求。其中,可编程控制系统内生安全的目 标为保障可编程控制系统的完整性;各单元模块的相关安全需求包括全生命周期安全保护、综合诊断与 高可用实现等 本文件适用于工程设计商、设备生产商、系统集成商、用户以及评估认证机构等,主要应用于化工 石化、电力等行业
下列文件中的内容通过文中的规范性引用 而构成本文件必不可少的条款。其中,注日期的引用文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于 本文件。 GB/T15969.3一2017可编程序控制器第3部分:编程语言
术语和定义适用于本文件
伤害harm 人身损伤、人的健康损害、财产或环境的损害。 [来源ISO/IECGUIDE51:2014,3.1] 3.1.2 危险hazard 伤害的潜在根源。 注:这个术语包括短时间对人身的伤害(如着火和爆炸),以及那些对人身健康长时间的损害(如有毒物质释放) [来源:ISO/IECGUIDE51:2014,3.2] 3.1.3 风险risk 伤害发生的概率与该伤害严重程度的组合。 [来源ISO/IECGUIDE51:2014,3.9] 3.1.4 安全safety 免于不可接受的风险
伤害harm 人身损伤、人的健康损害、财产或环境的损害。 [来源ISO/IECGUIDE51:2014,3.1] 3.1.2 危险hazard 伤害的潜在根源。 注:这个术语包括短时间对人身的伤害(如着火和爆炸),以及那些对人身健康长时间的损害(如有毒物质释放) [来源:ISO/IECGUIDE51:2014,3.2] 3.1.3 风险risk 伤害发生的概率与该伤害严重程度的组合。 [来源:ISO/IECGUIDE51:2014,3.9] 3.1.4 安全safety 免于不可接受的风险
功能安全functional safety
整体安全中与EUC(3.2.1)和EUC控制系统(3.2.2)相关的部分,它取决于E/E/PE安全相关系 .8)和其他风险降低措施正确执行其功能。 注:E/E/PE是指基于电气(E)和/或电子(E)和/或可编程电子(PE)的技术,
注:E/E/PE是指基于电气(E)和/或电子(E)和/或可编程电子(PE)的技术, 3.1.6 信息安全informationsecurity 基于计算机系统的能力,能够提供充分的把握使非授权人员和系统既无法修改软件及其数据也无 法访问系统功能,却保证授权人员和系统不被阻止, 注1:保护系统所采取的措施。 注2:由建立和维护保护系统的措施而产生的系统状态, 注3:能够免于非授权访问或意外的变更、破坏或者损失的系统资源的状态。 注4:防止对工业自动化和控制系统的非法或有害的人侵,或者干扰其正确和计划的操作。 注5:措施是与物理信息安全(控制物理访问计算机的资产)或者逻辑信息安全(登录给定系统和应用的能力)相关 的控制手段。
内生安全endogenoussafety 功能安全(3.1.5)与信息安全(3.1.6)的结合,实现控制工程全生命周期安全防护。 3.1.8 内生安全体系架构endogenoussafetyarchitecture 使系统具有动态防御、主动防御、纵深防御等能力的体系架构,
受控设备equipmentundercontrol;EUC 用于制造业、流程工业、运输业、制药业或其他行业的设备、机器、装置或成套设备。 注:EUC控制系统与EUC是分开的并且是截然不同的 L来源:GB/T20438.42017,3.2.1 3.2.2 EUC控制系统 EUCcontrol system 由传感器、电子控制单元和执行机构三部分组成的控制系统。 3.2.3 系统软件 system software 可编程电子系统的软件的一部分,涉及可编程装置自身的功能和提供的服务。而不像应用软件那 样规定执行EUC安全相关任务的功能 [来源:GB/T 20438.4—2017,3.2.6] 3.2.4 应用软件 application software 应用数据 applicationdata 配置(组态)数据 configurationdata 可编程电子系统的软件的一部分,规定了执行EUC相关任务的功能而不是可编程装置自身的功 能和提供的服务。 厂±源CP/T 20428 42017 2 2 7
系统软件systemsoftw
应用软件applicationsoftware 应用数据applicationdata 配置(组态)数据configurationdata 可编程电子系统的软件的一部分,规定了执行EUC相关任务的功能而不是可编程装置自身的功 能和提供的服务。 『来源.GB/T20438.42017.3.2.77
GB/T412742022
以计算机技术为基础,可以由硬件、软件及其输人和(或)输出单元构成的微电子装置。 注:这个术语包括以一个或多个中央处理器(CPUs)及相关的存储器等为基础的微电子装置。
一种用于工业环境的数字式操作的电子系统。这种系统用可编程的存储器作面向用户指令的内部 奇存器,完成规定的功能,如逻辑、顺序、定时、计数、运算等,通过数字或模拟的输入/输出,控制各种类 型的机械或过程。可编程序(逻辑)控制器及其相关外围设备的设计,使它能够非常方便地集成到工业 控制系统中,并能很容易地达到所期望的所有功能 注:在本文件中使用缩写词PLC代表可编程序(逻辑)控制器(programmablelogiccontrollers),这在自动化行业中 已形成共识。原来曾用PC作为可编程序(逻辑)控制器的缩略语,它容易与个人计算机所使用的缩略语PC相 混。 『来源:GB/T15969.1—2007,3.51
用户根据所要完成的目动化系统要求而建立的由可编程控制器及其相关外围设备组成的配置。 注:系统包括,但不限于: a)可编程控制系统包括分布式控制系统(DCS)、可编程序(逻辑)控制器(PLC)、智能电子设备(IED)、监视控 制与数据采集(SCADA)系统、运动控制(MC)系统、网络电子传感和控制、监视和诊断系统,在本文件中 不论物理上是分开的还是集成的,过程控制系统(PCS)包括基本过程控制系统和安全仪表系统(SIS); b 相关的信息系统,例如先进控制或者多变量控制、在线优化器、专用设备监视器、图形界面、过程历史记录 制造执行系统(MES)和企业资源计划(ERP)管理系统: 相关的部门、人员、网络或机器接口,为连续的、批处理、离散的和其他过程提供控制、安全和制造操作 功能。 『来源:GB/T 15969.1—20073.6
装置、最终元件(执行器)和其他输出装置都包括在安全相关系统中。 注7:安全相关系统基于广泛的技术基础包括电气、电子、可编程电子、液压和气动等。
3.3安全功能和安全完整性
安全功能safety function
GB/T 412742022
安全完整性等级safetyintegritylevel;SIL 一种离散的等级(4个可能等级之一),对应安全完整性量值的范围。安全完整性等级4是最高的, 安全完整性等级1是最低的。 注1:4个安全完整性等级对应的目标失效量(见GB/T20438.4—2017中3.5.17)参见GB/T20438.1—2017中表2 和表3。 注2:安全完整性等级用于规定分配给E/E/PE安全相关系统安全功能的安全完整性要求。 注3:安全完整性等级(SIL)并非系统、子系统、组件或元器件的属性。对"SILn安全相关系统”(n=1、2、3、4)的正 确解释是系统具有支持安全功能的安全完整性等级达到的潜在能力
4可编程控制系统内生安全体系架构
可编程控制系统的系统架构与内生安全部署如图1所示,主要包括可编程电子模块或工业控制系 充、实时工业网络、安全增强控制软件平台3部分,通过组合部署或分层递阶,可构成嵌入式可编程控制 器单机系统、模块式工业控制系统及分布式计算机控制系统,分别满足小型、中型及大型工业装备、工业 装置及工业系统的自动化需要。内生安全包括信息安全和功能安全,其中信息安全包括认证授权、黑白 名单、数据加密、权限控制等
可编程控制系统的系统架构与内生安全部署
4.2可编程控制系统内生安全特性
可编程控制系统硬件资源、软件环境与应用程序应具有完整性保障检测与保护措施 注1:该保护措施能监测可编程电子部件的硬件功能、配置信息、固件程序等静态完整性 注2:该保护措施能监测进程列表、堆栈数据、全局符号表等系统资源,构建安全进程与资源列表,及时发现代码注 入、堆栈溢出、数据宴改等异常行为。 注3:该保护措施能制定线程及资源的创建、分配、回收等进程调度安全策略,实现安全进程与资源列表的动态 维护。 注4:控制器内核架构及资源受限访问控制与应用隔离机制,能拦截非法跨进程资源访问请求,实现运行空间的隔 离与保护。
4.2.2应用程序的全生命周期安全保护
应用程序编辑、编译、发布、运行、维护等应具有全生命周期的安全保护。 注1:应用程序的多样化生成方法包括动态多样化混淆编辑、异构等价二进制数据动态生成等方法。 注2:通过构建应用程序文件的安全存储与发布系统,实现应用程序文件完整性校验与传输方法 注3:结合基于时间多变性、空间多样性等动态轻量加密方法,实现被攻击视图的动态随机化分配与非明文表达
4.2.3可编程控制系统的综合诊断与高可用实现
可编程控制系统的综合诊断与表决穴余等方法,应保障控制器的高可用性。 注1:综合诊断方法包括控制系统模件/模块/功能电路的随机失效与安全威胁综合诊断、故障隔离与在线修复等。 注2:控制器组件或模块的在线配置、在线诊断、联机调试等方法,能设计随机失效与安全威胁在线综合诊断技术, 实现故障或失效的自动识别及快速定位 注3:结合硬件部件、操作系统、工程程序运行空间分布、算法调度等异构多样化方法,通过控制运算节奏同步与数 据同步及异构多模元余表决,能实现异构动态与元余容错,保障控制装备的高安全性与高可用性
4.3可编程控制系统工业网络
4.3.1控制网络的安全机制
控制网络信息的安全传输,应确保数据的机密性、完整性、安全性。
4.3.2控制网络与现场总线安全监测与异常预
控制网络与现场总线安全监测与异常预警应通过数据流场景序列关联分析、数据包分类基线检测、 控制系统编程时或运行时的网络行为分析等技术实现。 注:基于控制网络与现场总线协议的深度理解,通过通信包完整性分析、数据字段合法性监测等方法,能实现非法 数据包的检测与过滤
应用软件开发与运行平台的总体架构示意图如图2所示,图2左侧为不同层次的硬件平台,主要 程师站图形组态与控制编程软件、操作员站实时监控软件、控制器或控制站实时控制软件等,通 网络交互各种数据、管理和控制信息,协调一致地完成整个控制系统的各种功能;主要功能包括 据采集、算法执行、实时数据和历史数据处理、报警和安全机制、流程控制、动画显示、趋势曲线和
表输出以及监控网络等
GB/T412742022
4.4.2监控操作功能
4.4.2.1用户权限管理
图2应用软件开发与运行平台的总体架构示意图
用户登录权限管理,应建立用户权限授权管理机制。 注1:通过构建授权管理组,管理组仅能实现用户权限的建立、管理、授权和变更,但无操作权限。 注2:用户登录安全管理机制的建立能实现用户授权密码复杂性、差异性、使用期限、尝试次数、单操作站/工程师 站登录绑定、登录主动退出、无操作超时自动退出等安全功能。 注3:用户身份信息的轻量标识方法能实现动态轻量加解密策略,进而实现快速身份识别。 注4:用户权限分配方法能实现授权链安全管理与查询优化策略,进而实现快速用户权限鉴别
4.4.2.2监控操作运行模块
4.4.2.3监控操作生成模块
用户操作权限管理应支持用户操作安全区与系统软件功能区的多级多组授权配置;应支持实时数 据库逐点权限访问控制、图形操作单元权限访问控制、图形操作单元关键数据输人值的范围限制与关键 数据二次确认机制。 注1:工程程序与运行数据所采用的分级动态轻量加密方法,能适应工业场景安全性与可用性多级多样的需求。 注2:数据完整性校验和动态恢复方法能实现关键数据代码的安全存储与周期性校验施工组织设计(完),确保非法篡改的及时发现 与快速恢复
4.4.2.4监控操作脚本语言模块
画面操作相关的数值计算与逻辑操作等功能 注1:模块能自动检测脚本中错误的位号或语法并实现错误定位 核安全区与功能区、数据点与图形单元等非授权操作
4.4.2.5基于网络的远程操作信息的审计模块
基于网络的远程操作信息的审计模块应基于远程操作相关授权与配置信息,审计
4.4.2.6软件环境升级代码安全保护模块
海航北京后沙峪综合配套基地项目冬期施工方案软件环境升级代码安全保护模块应支持引导程序或软件环境升级代码的安全保护