（高清版）GBT 41274-2022 可编程控制系统内生安全体系架构

可编程控制系统内生安全体系架构国家标准化管理委员会I本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国工业过程测量控制和自动化标准化技术委员会(SAC/TC124)归口。本文件起草单位：浙江大学、杭州优稳自动化系统有限公司、上海电气集团股份有限公司、北京机械工业自动化研究所有限公司。1可编程控制系统内生安全体系架构本文件规定了可编程控制系统内生安全体系架构，描述了可编程控制系统内生安全的目标和各单元模块的相关安全需求，规定了可编程控制系统的内生安全要求。其中，可编程控制系统内生安全的目标为保障可编程控制系统的完整性；各单元模块的相关安全需求包括全生命周期安全保护、综合诊断与高可用实现等。本文件适用于工程设计商、设备生产商、系统集成商、用户以及评估认证机构等，主要应用于化工、2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。GB/T15969.3—2017可编程序控制器第3部分：编程语言3术语和定义下列术语和定义适用于本文件。3.1安全术语人身损伤、人的健康损害、财产或环境的损害。伤害的潜在根源。注：这个术语包括短时间对人身的伤害(如着火和爆炸),以及那些对人身健康长时间的损害(如有毒物质释放)。伤害发生的概率与该伤害严重程度的组合。安全safety免于不可接受的风险。2整体安全中与EUC(3.2.1)和EUC控制系统(3.2.2)相关的部分，它取决于E/E/PE安全相关系统(3.2.8)和其他风险降低措施正确执行其功能。注：E/E/PE是指基于电气(E)和/或电子(E)和/或可编程电子(PE)的技术。基于计算机系统的能力，能够提供充分的把握使非授权人员和系统既无法修改软件及其数据也无法访问系统功能，却保证授权人员和系统不被阻止。注1:保护系统所采取的措施。注2:由建立和维护保护系统的措施而产生的系统状态。注3:能够免于非授权访问或意外的变更、破坏或者损失的系统资源的状态。注4:防止对工业自动化和控制系统的非法或有害的入侵，或者干扰其正确和计划的操作。注5:措施是与物理信息安全(控制物理访问计算机的资产)或者逻辑信息安全(登录给定系统和应用的能力)相关的控制手段。内生安全体系架构endogenoussafetyarchitecture注：EUC控制系统与EUC是分开的并且是截然不同的。EUC控制系统EUCcontrolsyst由传感器、电子控制单元和执行机构三部分组成的控制系统。可编程电子系统的软件的一部分，涉及可编程装置自身的功能和提供的服务。而不像应用软件那样规定执行EUC安全相关任务的功能。配置(组态)数据configurationdata可编程电子系统的软件的一部分，规定了执行EUC相关任务的功能而不是可编程装置自身的功能和提供的服务。3可编程电子programmableelectronics;PE以计算机技术为基础，可以由硬件、软件及其输入和(或)输出单元构成的微电子装置。注：这个术语包括以一个或多个中央处理器(CPUs)及相关的存储器等为基础的微电子装置。可编程序(逻辑)控制器programmable(logic)controller;PLC一种用于工业环境的数字式操作的电子系统。这种系统用可编程的存储器作面向用户指令的内部型的机械或过程。可编程序(逻辑)控制器及其相关外围设备的设计，使它能够非常方便地集成到工业控制系统中，并能很容易地达到所期望的所有功能。注：在本文件中使用缩写词PLC代表可编程序(逻辑)控制器(programmablelogiccontrollers),这在自动化行业中已形成共识。原来曾用PC作为可编程序(逻辑)控制器的缩略语，它容易与个人计算机所使用的缩略语PC相混淆。可编程控制系统programmablecontrollersystem用户根据所要完成的自动化系统要求而建立的由可编程控制器及其相关外围设备组成的配置。a)可编程控制系统包括分布式控制系统(DCS)、可编程序(逻辑)控制器(PLC)、智能电子设备(IED)、监视控制与数据采集(SCADA)系统、运动控制(MC)系统、网络电子传感和控制、监视和诊断系统，在本文件中，不论物理上是分开的还是集成的，过程控制系统(PCS)包括基本过程控制系统和安全仪表系统(SIS);b)相关的信息系统，例如先进控制或者多变量控制、在线优化器、专用设备监视器、图形界面、过程历史记录、制造执行系统(MES)和企业资源计划(ERP)管理系统；c)相关的部门、人员、网络或机器接口，为连续的、批处理、离散的和其他过程提供控制、安全和制造操作功能。安全相关系统safety-relatedsystem执行所要求的安全功能(3.3.1)使EUC(3.2.1)达到或保持安全状态的系统，自身或与其他E/E/PE安全相关系统、其他风险降低措施一起，能够实现要求的安全功能所需的安全完整性。注1:安全相关系统与其他风险降低措施一起，实现必要的风险降低量，以满足所要求的可容忍风险。参见GB/T20438.5—2017中附录A。注2:安全相关系统能在检测到可导致危险事件的情况时采取适当的动作以防止EUC进入危险状态。安全相关系统的失效包含于导致危险的事件中。尽管可能存在具备安全功能的其他系统，但所指定的安全相关系统仅靠其自身能力达到要求的可容忍风险。安全相关系统一般被分为安全相关控制系统和安全相关保护系统。注3:安全相关系统是EUC控制系统的组成部分，也能用传感器和/或执行器与EUC连接。即能通过EUC控制系统(也可能通过分开的和独立的附加系统)或者利用分开的、独立的、安全专用的安全相关系统执行安全功能达到要求的安全完整性等级。注4:安全相关系统能：a)用于防止危险事件发生(即安全相关系统一旦执行其安全功能则避免伤害事件发生)。b)用于减轻伤害事件的影响，即通过减轻后果的办法来降低风险。c)同时具有a)和b)的功能组合。注5:人也能作为安全相关系统的一部分。例如，人能接收来自可编程电子装置的信息，并根据接收信息执行安全动作，或通过可编程电子装置执行安全动作。4注6:安全相关系统包括执行规定安全功能所需的全部硬件、软件以及支持服务(如电源),因此，传感器、其他输入装置、最终元件(执行器)和其他输出装置都包括在安全相关系统中。注7:安全相关系统基于广泛的技术基础，包括电气、电子、可编程电子、液压和气动等。对于执行一个要求的功能或对于表示信息而言，存在多于一种方法的机制。示例：功能元件加倍和增加奇偶校验位。注1:冗余主要用于提高可靠性(在给定时间范围内功能正确的概率)或可用性(在特定时间点具有功能的概率),也能通过像2oo3这样的架构来使误动作最小化。注2:冗余可能是“活动的(hotoractive)”(所有冗余项同时运行)、“待机的(coldorstand-by)”(在同一时间只有一个冗余项运行)、“混合的(mixed)”(在同一时间一个或几个项运行和一个或几个项待机)。3.3安全功能和安全完整性针对特定的危险事件，为实现或保持EUC(3.2.1)的安全状态，由E/E/PE安全相关系统(3.2.8)或其他风险降低措施实现的功能。示例1:在要求时执行的功能，作为一种主动行动以避免危险状况(如关闭电机)。示例2:采取预防行为的功能(如防止马达启动)。安全完整性safetyintegrity在规定的时间段内和规定的条件下，安全相关系统(3.2.8)成功执行规定的安全功能(3.3.1)的概率。注1:安全完整性越高，安全相关系统在要求时未能执行规定的安全功能或未能实现规定的状态的概率就越低。注2:有4个安全完整性等级(见3.3.6)。注3:在确定安全完整性时，包括所有导致非安全状态的失效原因(随机硬件失效和系统性失效),如硬件失效、软件导致的失效和电磁干扰导致的失效。某些类型的失效，尤其是随机硬件失效，能用危险失效模式下的平均失效频率或安全相关保护系统未能在要求时动作的概率来量化，但是安全完整性还取决于许多不能精确量化只可定性考虑的因素。注4:安全完整性由硬件安全完整性(见3.3.5)和系统性安全完整性(见3.3.4)构成。注5:本定义针对安全相关系统执行安全功能的可靠性(见IEC60050-192:2015可靠性的定义)。软件安全完整性softwaresafetyintegrity安全完整性(3.3.2)中，与软件造成的危险失效模式下的系统性失效有关的部分。系统性安全完整性systematicsafetyintegrity安全完整性(3.3.2)中，与危险失效模式下的系统性失效有关的部分。注：系统性安全完整性通常不能量化(与通常可量化的硬件安全完整性明显不同)。硬件安全完整性hardwaresafetyintegrity安全完整性(3.3.2)中，与危险失效模式下的随机硬件失效有关的部分。注：本术语涉及在危险模式下的失效，是将削弱其安全完整性的安全相关系统的这类失效。与本术语有关的两个参数是危险失效平均频率和在要求时动作失效的概率。前一可靠性参数在为保持安全而保持连续控制时使用，后一可靠性参数在安全相关保护系统场合中使用。5安全完整性等级safetyintegritylevel;SIL一种离散的等级(4个可能等级之一),对应安全完整性量值的范围。安全完整性等级4是最高的，安全完整性等级1是最低的。注1:4个安全完整性等级对应的目标失效量(见GB/T20438.4—2017中3.5.17)参见GB/T20438.1—2017中表2和表3。注2:安全完整性等级用于规定分配给E/E/PE安全相关系统安全功能的安全完整性要求。注3:安全完整性等级(SIL)并非系统、子系统、组件或元器件的属性。对“SILn安全相关系统”(n=1、2、3、4)的正确解释是系统具有支持安全功能的安全完整性等级达到n的潜在能力。4可编程控制系统内生安全体系架构4.1概述可编程控制系统的系统架构与内生安全部署如图1所示，主要包括可编程电子模块或工业控制系统、实时工业网络、安全增强控制软件平台3部分，通过组合部署或分层递阶，可构成嵌入式可编程控制器单机系统、模块式工业控制系统及分布式计算机控制系统，分别满足小型、中型及大型工业装备、工业装置及工业系统的自动化需要。内生安全包括信息安全和功能安全，其中信息安全包括认证授权、黑白MNet:管理网络服务器SNet:系统网络CNet:控制网络域级综合安控制网络控制站CS0l冗余10模块●异构冗余●同构冗余/4U通用IO底中控制网络安全隔离模坝适应防燥场合的异构冗余的·伪时钟同步检测●场景行为分析图1可编程控制系统的系统架构与内生安全部署图64.2可编程控制系统内生安全特性4.2.1可编程控制系统的完整性保障可编程控制系统硬件资源、软件环境与应用程序应具有完整性保障检测与保护措施。注1:该保护措施能监测可编程电子部件的硬件功能、配置信息、固件程序等静态完整性。注2:该保护措施能监测进程列表、堆栈数据、全局符号表等系统资源，构建安全进程与资源列表，及时发现代码注注3:该保护措施能制定线程及资源的创建、分配、回收等进程调度安全策略，实现安全进程与资源列表的动态维护。注4:控制器内核架构及资源受限访问控制与应用隔离机制，能拦截非法跨进程资源访问请求，实现运行空间的隔离与保护。4.2.2应用程序的全生命周期安全保护应用程序编辑、编译、发布、运行、维护等应具有全生命周期的安全保护。注1:应用程序的多样化生成方法包括动态多样化混淆编辑、异构等价二进制数据动态生成等方法。注2:通过构建应用程序文件的安全存储与发布系统，实现应用程序文件完整性校验与传输方法。注3:结合基于时间多变性、空间多样性等动态轻量加密方法，实现被攻击视图的动态随机化分配与非明文表达。4.2.3可编程控制系统的综合诊断与高可用实现可编程控制系统的综合诊断与表决冗余等方法，应保障控制器的高可用性。注1:综合诊断方法包括控制系统模件/模块/功能电路的随机失效与安全威胁综合诊断、故障隔离与在线修复等。注2:控制器组件或模块的在线配置、在线诊断、联机调试等方法，能设计随机失效与安全威胁在线综合诊断技术，实现故障或失效的自动识别及快速定位。注3:结合硬件部件、操作系统、工程程序运行空间分布、算法调度等异构多样化方法，通过控制运算节奏同步与数据同步及异构多模冗余表决，能实现异构动态与冗余容错，保障控制装备的高安全性与高可用性。4.3可编程控制系统工业网络4.3.1控制网络的安全机制控制网络信息的安全传输，应确保数据的机密性、完整性、安全性。4.3.2控制网络与现场总线安全监测与异常预警控制网络与现场总线安全监测与异常预警应通过数据流场景序列关联分析、数据包分类基线检测、控制系统编程时或运行时的网络行为分析等技术实现。注：基于控制网络与现场总线协议的深度理解，通过通信包完整性分析、数据字段合法性监测等方法，能实现非法数据包的检测与过滤。4.4可编程控制系统的应用软件开发与运行平台4.4.1总体架构应用软件开发与运行平台的总体架构示意图如图2所示，图2左侧为不同层次的硬件平台，主要运行工程师站图形组态与控制编程软件、操作员站实时监控软件、控制器或控制站实时控制软件等，通过系统网络交互各种数据、管理和控制信息，协调一致地完成整个控制系统的各种功能；主要功能包括现场数据采集、算法执行、实时数据和历史数据处理、报警和安全机制、流程控制、动画显示、趋势曲线和报7表输出以及监控网络等。)S/)S/ES操作员站完整性保障硬件陈置软件完整性实时数据库(sva)(shets)(第三方驱动)(系统网络安个通行通信负荷CS控制器或控制站安全通信与安全防护单元光整安全通信功能SNelASNelß系统网络安全通信受限数据流实时控制单元标通信限制CVet应用分离信息安全防护功能事长及时响应)动态防炉静术书计更新完整2完整性资源管理源可用性受限数扼流信总加密功能配置内部资源启动应川程序检测启动完整性功能验证序检测历史数排库第三方设备数据控制在验其他功能传密信总留行通信负荷物理防篡改事件算法编料实时数据库接口使用画面控制软件诊断控制权茨分配服务恢复报告安全控制会话监视资源T/O处理权限控制配置管理审计监视访问控制备份资复安全配置交五加密策识图2应用软件开发与运行平台的总体架构示意图4.4.2监控操作功能用户登录权限管理，应建立用户权限授权管理机制。注1:通过构建授权管理组，管理组仅能实现用户权限的建立、管理、授权和变更，但无操作权限。注2:用户登录安全管理机制的建立能实现用户授权密码复杂性、差异性、使用期限、尝试次数、单操作站/工程师站登录绑定、登录主动退出、无操作超时自动退出等安全功能。注3:用户身份信息的轻量标识方法能实现动态轻量加解密策略，进而实现快速身份识别。注4:用户权限分配方法能实现授权链安全管理与查询优化策略，进而实现快速用户权限鉴别。监控操作运行模块应实现人机交互画面的动态显示与操作管理。基于实时数据库应实现画面显示、在线操作、趋势曲线、报警处理等图形化监视功能；用户操作安全区与系统软件功能区的授权配置，应支持安全区与功能区操作的访问受控；基于实时数据库逐点权限访问控制、图形操作单元权限访问控制、图形操作单元关键数据输入值的范围限制与关键数据二次确认，应保证关键操作的访问受控。注1:按周期记录或变差记录能生成历史数据序列。注2:依据设置的报警条件，能生成实时数据事件报警记录，同时能支持多种报警响应处理。注3:依据报表组态信息生成报表记录，能形成报表管理系统。监控操作生成模块应实现流程画面绘制组态，提供丰富的图库和图元库，应满足基本工程组态需求，同时应支持工程师自行开发所需图库。画面图元应支持动态链接，建立画面的图素与数据库记录点的对应关系；应支持事件定义，执行写值、执行脚本等预定义的动作；应支持画面模板制作，减少重复组态相同布局的画面，减少组态工作量。8用户操作权限管理应支持用户操作安全区与系统软件功能区的多级多组授权配置；应支持实时数据库逐点权限访问控制、图形操作单元权限访问控制、图形操作单元关键数据输入值的范围限制与关键数据二次确认机制。注1:工程程序与运行数据所采用的分级动态轻量加密方法，能适应工业场景安全性与可用性多级多样的需求。注2:数据完整性校验和动态恢复方法能实现关键数据代码的安全存储与周期性校验，确保非法篡改的及时发现与快速恢复。4.4.2.4监控操作脚本语言模块监控操作脚本语言模块应提供监控操作脚本语言，通过脚本应实现画面显示计算、画面动态响应、画面操作相关的数值计算与逻辑操作等功能。注1:模块能自动检测脚本中错误的位号或语法并实现错误定位。注2:模块能结合用户操作权限管理配置信息，识别审核安全区与功能区、数据点与图形单元等非授权操作。4.4.2.5基于网络的远程操作信息的审计模块基于网络的远程操作信息的审计模块应基于远程操作相关授权与配置信息，审计相关操作。4.4.2.6软件环境升级代码安全保护模块软件环境升级代码安全保护模块应支持引导程序或软件环境升级代码的安全保护。4.4.3应用程序编程功能4.4.3.1应用程序编程模块控制算法编辑器用于生成控制系统所有应用程序，应包括连续控制、逻辑控制、顺序控制、特殊处理算法等控制策略，应符合GB/T15969.3—2017中FBD、LD、SFC、ST和IL控制编程语言及其混合编程发生器、控制策略等主流基本算法块，覆盖通用控制策略与行业专有控制的不同需求；应支持用户自定义子程序，封装后类似系统算法块，可以被用户程序调用；应支持程序、子程序导入导出，实现一次编辑重复利用；应支持根据链接关系自动排序算法块；应支持手动干预算法块运行顺序，实现运行时序的精确控制。注1:工程程序算法编辑器区分安全工程程序与非安全工程程序，安全程序编辑中有且仅有通过功能安全规范认证的安全相关FBD算法块能选择与编辑，分别生成安全工程程序文件与非安全工程程序文件，并在程序文件中附加程序完整性校验信息。注2:用户安全工程程序能进行错误检查与编译生成，其中错误检查包括非法数据源、非法算法块、无效算法链接与无效数据链接、逻辑死循环、冗余版本一致性检查、控制周期合规性、运算负荷预计过高等。4.4.3.2应用程序生命周期安全管理机制注1:基于控制算法编程规则的人为失误审核、基于哈希函数(MD5、CRC32等)等的工程程序源码，及工程程序目标码的完整性检测、最小化安全相关FBD算法功能块集合等的安全相关措施，能实现控制算法编辑器的存储介质随机失效、控制算法编辑器软件设计缺陷、人为恶意篡改等的安全防范。注2:用户项目工程密码授权、工程程序页密码授权能防范非授权工程程序访问。注3:基础元件、单元设备、行业装备等工程特性的抽取，典型控制工程的模型库、方法库、界面库等的逐级构建，能实现信息物理系统智能封装与流程可信重构；集成、派生、重用、重构机制能实现工程程序的自动生成与行业流程的复用重构，防范关键控制程序与核心工艺参数的篡改与泄露。94.4.4实时控制功能实时控制模块包括控制运算处理单元与网络通信及安全防护处理单元，控制运算处理单元实现I/O输入输出扫描、实时数据库更新、控制程序运行、控制模块诊断与冗余处理；网络通信及安全防护处理单元应实现系统网络通信和信息安全防护功能，支持工程文件的诊断审核与解析转发、工程程序运行监视信息转发等功能。控制运算处理单元应通过控制模块私有内部总线连接网络通信及安全防护处理单元，实现数据交换与安全隔离。注1:控制运算处理单元通过IO总线连接AI模块、DI模块、AO模块、DO模块和其他特殊模块(AI模块、DI模块、AO模块、DO模块分别具有I/O数据采集、数据处理、故障诊断等功能),以及控制网络状态、实时数据响应、控制运算输出及其硬件诊断信息等，能实现控制单元及其冗余组件的综合诊断与冗余切换。注2:网络通信与安全防护处理单元能通过系统网络实现操作站与工程师站的数据交互。注3:控制模块具有硬件诊断与软件诊断功能，能满足功能安全认证等级；其中硬件诊断功能包括供电电路过欠压注4:实时控制软件初始化能实现控制模块硬件环境资源的自检诊断、控制软件固件版本信息完整性自检、用户安全应用程序的审核诊断(非法数据源、非法算法块、无效算法链接与无效数据链接、逻辑死循环、冗余版本一致性检查、控制周期合规性、运算负荷预计过高等)。注5:控制引擎能实现安全功能程序的解释运行，安全功能程序仅包括安全型算法块及其链接关系；能支持安全功能程序的工程师站在线监视功能、单向封装单向传输所需要的算法块实时数据信息；能根据需要确定是否支持算法参数与常数的在线修改、算法块及其链接的在线编辑、安全控制站与安全控制站/安全控制站与非安全控制站间的相互通信与站间引用。注6:运行态/运行编程态/编程态的硬件系统安全锁或安全系统安全锁能支持控制模块运行态、运行与编程态、编程态的3种工作模式：在运行态，操作站和工程师站能通过监控软件监视安全相关