2024智能工厂安全一体化第1部分：一般要求

1目次目次PAGE\*ROMANPAGE\*ROMANI前言 III引言 IV范围 1规范性引用文件 1术语和定义 1缩略语 4安全一体化的对象 4安全一体化生命周期 5安全一体化管理 6一般要求 6安全方针和策略 7组织要求 7人员 7变更管理 7安全集中管理 8概念和目标确定 8概念确定 8安全目标的确定和实现 8安全一体化风险评估 10安全一体化要求分配和设计 11安全一体化确认 12安全一体化运行维护 13修改和变更 14退役和停用 14附录A（资料性） 功能安全和信息安全的异同 15附录B（资料性） 风险降低过程及补偿措施示例 17风险降低过程 17补偿措施 19附录C（资料性） 安全协同的考虑和建议 21参考文献 24图B.1 风险降低过程示例（功能安全） 17图B.2 风险降低过程的示例（功能安全和信息安全） 18PAGE\*ROMANPAGE\*ROMANII图B.3 风险降低过程的示例（安全一体化） 19图C.1 功能安全和信息安全交互影响模型 22表A.1 功能安全和信息安全异同 15表C.1 功能安全和信息安全交互影响状态 21引言引言IVIV传统工厂一般采用GB/T20438和应用领域标准（例如GB/T21109，GB/T16855，GB28526）来实现GB/T35673施（如安全仪表系统）面临更复杂的应用环境（如黑客攻击、恶意软件等信息安全威胁，人工智能AI的失控危险等GB/T——第1部分：一般要求。目的在于提出安全一体化生命周期的整体要求，以及实现安全一体化的基本原则。——第2部分：风险评估要求。目的在于提出开展安全一体化风险评估的流程和要求。——第3部分：系统协同设计要求。目的在于针对智能工厂制造执行层、过程监控层、现场控制层和现场设备层提出系统协同设计的要求。——第4部分：系统评测要求。目的在于提出开展安全一体化完善度评测的方法和要求。GB/TXXXXX.1PAGEPAGE111 范围本文件适用于智能工厂安全一体化的风险评估、设计和实施。规范性引用文件（包括所有的修改单适用于本文件。GB/T20438（所有部分）电气/电子/可编程电子安全相关系统的功能安全GB/T21109.1过程工业领域安全仪表系统的功能安全第1部分：框架、定义、系统、硬件和软件的要求GB/T22239信息安全技术网络安全等级保护基本要求GB/T30976.1工业控制系统信息安全第1部分：评估规范GB/T33007工业通信网络网络和系统安全建立工业自动化和控制系统安全程序GB/T35673工业通信网络网络和系统安全系统安全要求和安全等级\hGB/T41257数字化车间功能安全要求\hGB/T41260数字化车间信息安全要求GB/TXXXXX.2智能工厂安全一体化第2部分：风险评估要求GB/TXXXXX.3智能工厂安全一体化第3部分：系统协同设计要求GB/TXXXXX.4智能工厂安全一体化第4部分：系统评测要求术语和定义下列术语和定义适用于本文件。智能工厂 SmartFactory安全一体化 safety and securityintegrationPAGEPAGE2安全完整性等级 safety integrity level（四个可能等级之一4是最高的，安全完整性等级1是最低的。注1：四个安全完整性等级对应的目标失效量（见3.5.17）在GB/T20438.1的表2和表3中规定。注2：安全完整性等级用于规定分配给E/E/PE安全相关系统安全功能的安全完整性要求。注3：安全完整性等级(SILSILn234）的正确解释是系统具有支持安全功能的安全完整性等级达到n的潜在能力。[来源：GB/T20438.4—2017,3.5.8]安全一体化完善度 safety and security integration level表征智能工厂功能安全和信息安全冲突消减能力程度的一种离散等级。注：按照离散的区间分为3个级别，安全一体化完善度越高，智能工厂的整体安全协调能力越强，安全冲突发生的可能性越小。安全一体化生命周期 safety and security integration lifecycle功能安全相关系统 Functional Safety related System所指的系统应满足以下两项要求：——执行要求的安全功能足以实现或保持EUC的安全状态；并且——自身或与其他安全相关系统、其他风险降低措施一起, 能够实现要求的安全功能所需的安完整性。注1：由于security和safety的中文都是安全，因此安全相关系统（safetyrelatedsystem）的概念可能会产生混淆，因此本文件将原有的定义改为功能安全相关系统。注2：功能安全相关系统可：用于防止危险事件发生（即安全相关系统一旦执行其安全功能则避免伤害事件发生）。用于减轻伤害事件的影响，即通过减轻后果的办法来降低风险。ab)的功能组合。注3：人也可作为功能安全相关系统的一部分。例如，人可以接收来自可编程电子装置的信息，并根据接收信息执行安全动作，或通过可编程电子装置执行安全动作。注4：功能安全相关系统包括执行规定安全功能所需的全部硬件、软件以及支持服务（如电源）[因此，传感器，其他输入装置，最终元件（执行器）和其他输出装置都包括在安全相关系统中]。注5：功能安全相关系统可基于广泛的技术基础，包括电气、电子、可编程电子、液压和气动等。[来源：GB/T20438.4—2017,3.4.1,有修改]功能安全functionalsafety整体安全中与EUC和EUCE/E/PE安全相关系统和其他风险降低措施正确执行其功能。[来源：GB/T20438.4—2017,3.1.12]安全状态safestate达到安全时EUC的状态。从潜在的危险条件到最终的安全状态，EUC可能必须经过几个中间的安全状态。有时，仅当EUC处于连续控制下才存在一个安全状态。这样的连续控制可能是短时间的或是不确定的一段时间。[来源：GB/T20438.4—2017,3.1.13]随机硬件失效randomhardwarefailure在硬件中，由一种或几种可能的退化机理而产生的，在随机时间出现的失效。1：在各种元件中，存在以不同速率发生的许多退化机理，在这些元件工作不同的时间之后，这些机理可使制造公差引起元件发生故障，从而使包含许多元件的设备将以可预见的速率，但在不可预见的时间(即随机时间)发生失效。2：（（或其他合适的度量可以用合理的精度来量化，但系统性失效无法精确预计，因此系统性失效引起的系统失效率则不能精确地用统计法量化。也就是说，由随机硬件失效引起的系统失效率可以用合理的精度来量化，但是由系统性失效引起的系统失效率不能精确地用统计法量化，因为导致系统性失效的这些事件无法简单预测。[来源：GB/T20438.4—2017,3.6.5]系统性失效systematicfailure注1：仅修正性维护而不加修改，通常无法消除失效原因。注2：通过模拟失效原因可以引出系统失效。注3：系统性失效的原因可包括以下情况中的人为错误：安全要求规范：c)软件的设计和实现等。注4：在本文件中，安全相关系统的失效被分为随机硬件失效（见3.4.5）和系统性失效。[来源：GB/T20438.4—2017,3.6.6]危险失效dangerousfailure对执行安全功能有影响的组件和/或子系统和/或系统的失效，其：在要求时阻止安全功能的执行（要求模式），或导致安全功能失效（连续模式）EUC降低在要求时安全功能正确执行的概率。[来源：GB/T20438.4—2017,3.6.7]安全失效safefailure对于执行安全功能有影响的组件和/或子系统和/或系统的失效，其：EUC（或其一部分）进入或保持安全状态；或EUC（或其一部分）进入或保持安全状态的概率。PAGEPAGE10[来源：GB/T20438.4—2017,3.6.8]诊断diagnostic通过自动在线自测试检测失效的一种安全机制。信息安全区域securityzone共享通用信息安全需求的逻辑资产或物理资产的集合。注1：本文中所用的“区域”应当都是指信息安全区域。注2：一个区域应当和其他区域有明显的边界。一个信息安全区域的信息安全策略在其内部和边缘都要强制执行。一个信息安全区域可以包括多个不同等级的子区域。[来源：GB/T40211—2021,3.2.117]信息安全等级securitylevel[来源：GB/T40211—2021,3.2.108]安全功能safetyfunction针对特定的危险事件，为实现或保持EUC的安全状态，由功能安全相关系统实现的功能。示例：安全功能的例子包括：在要求时执行的功能，作为一种主动行动以避免危险状况（如关闭电机）；和采取预防行为的功能（如防止马达启动）。[来源：GB/T20438.4—2017,3.5.1,有修改]缩略语下列缩略语适用于本文件。DDoS：分布式拒绝服务（DistributedDenialofService）EUC：受控设备（EquipmentUnderControl）IACS：工业自动化控制系统（IndustryAutomationControlSystem）PHA：过程危险分析（ProcessHazardAnalysis）SIL：安全完整性等级（SafetyIntegrityLevel）SL：信息安全等级（SecurityLevel）SSIL：安全一体化完善度（SafetyandSecurityIntegrationLevel）安全一体化的对象注：本文件所定义的4个层次是一种逻辑层次的概念，与GB/T20720.1的层次架构对应关系见图1。各个层所包含的内容如下：现场设备层：包括现场制造设备、感知执行设备和实际生产过程等；现场控制层：包括操纵生产过程的控制组件、安全相关组件等；过程监控层：包括监测生产过程和设备状态的组件；制造执行层：包括生产过程调度（非安全一体化相关部分）和安全调度管控等；企业资源层：一般不涉及安全一体化的内容，因此在本文件中不对其提出要求。业务计划和物流管理业务计划和物流管理企业资源层业务计划和物流管理第4层第3层 （非安全一体化相关部分如生产过程调度）制造运行管理（安全一体化相关部分，如安全调度管控）2层安过程监控层1层批控制全一现场控制层体0层现场设备层化制造执行层基于GB/T20720.1的层次架构 本文件所定义的实现安全一体化的的层次架构图1 安全一体化对象示意图安全一体化生命周期安全一体化生命周期模型见图理理（见本文件第7章）概念和目标确定（8章）安全一体化风险评估（9章）是否需要增加否风险降低措施是更（安全一体化分配和设计（10章）安全一体化确认（11）13章）安全一体化运行维护（12）退役和停用（14）注1：根据不同应用，生命周期有可能增加新的相应阶段。注2：生命周期可能并非始终顺序执行，由于修改或变更可能存在一些反复或迭代，返回到生命周期的早期阶段。注3：安全一体化管理贯穿生命周期的各个阶段。图2 安全一体化生命周期模型安全一体化管理一般要求智能工厂应建立安全一体化管理体系，并贯穿于整个安全一体化生命周期过程中。GB/T20438.1、GB/T33007、GB/T222397.2-7.5注：传统的功能安全和信息安全已有大量的标准和法规要求，例如在信息安全管理方面的GB/T22080等，本文件无法穷尽，这些要求也需要在特定的项目中适当使用，功能安全和信息安全的区别与联系参见附录A。安全方针和策略应优先考虑最小化人员伤害，并综合考虑财产损失、环境破坏、生产连续性影响和社会声誉影响等，作为安全一体化实现的基本方针。功能安全防护措施本身应得到适当的信息安全防护。应综合考虑功能安全、信息安全和安全协调等问题制定安全策略。当功能安全防护要求和信息安全防护要求之间存在冲突时，应采取可替换的防护设计手段或补偿措施。信息安全的设计不应对装置功能安全目标的实现有从风险角度不可接受的负面影响，应评估以下负面影响的程度，对于导致不可接受风险的影响应采取协同设计：——阻止功能安全的有效实现，例如由于传输的限制导致安全控制信号被阻塞；——产生误动，导致生产过程连续性遭受影响；——响应时间变慢；——可靠性降低；——运行维护复杂化；——其他负面影响。.4组织要求应建立功能安全和信息安全相关人员之间的沟通交互机制。注：协调起来。应对从事安全一体化活动的相关人员规定清晰的任务，进行明确的职责分配和考核监督。应根据具体的应用考虑执行安全一体化人员能力的适宜性，在智能工厂设计、实现和运行过程\hGB/T41260-20225.420438.1-20176宜建立具备功能安全、信息安全复合能力的人员培训机制。变更管理应制定统一变更管理规程，其中包含功能安全和信息安全的变更要求。EUCEUC（包括组态情况、执行状态等），应考虑重新执行安全一体化风险评估，以确定变更后的风险仍然可以接受。应制定规程以评估当功能安全相关系统和信息安全防护设施发生变更时（包括组态情况、执行状态等），对于安全一体化造成负面影响的可能性。当功能安全相关系统发生变更时，应重新确认其信息安全防护设施仍然有效。信息安全的变更应考虑到对于生产和功能安全相关系统的影响，当这种影响产生的风险不可容忍而不能立即执行时，其脆弱性应得到及时的跟踪和管理，并在后续合适的时机补充执行变更。注：必要时可开展一次专门的风险评估，以识别出不会对安全一体化完善度造成影响的补偿措施，这些补偿措施的执行需要得到专门的分析和批准。当信息安全防护措施发生变更时（例如更新补丁），应开展相应的测试以确认这些变更不会降低安全一体化完善度。应建立完整的变更记录和审计措施，以确保出现新的变更时可以进行溯源恢复。安全集中管理宜建立覆盖主要安全目标的安全集中管理平台，以实现生产现场全过程安全事件的动态感知和快速响应。安全集中管理平台的任何功能及其组合不应影响安全功能的正常执行。注：考虑到平台自动响应（如自动关闭边界）的风险，不宜利用平台对安全事件进行自动响应和自主处置。通常这种处理方式应由功能安全控制回路实现。安全集中管理平台应作为信息安全关键区域进行要求，安全集中管理平台的信息安全防护至少应达到与之直接关联的安全区域同等级的信息安全防护能力。概念和目标确定概念确定应辨识出可能造成危险的所有相关系统、网络及其边界范围，包括：EUCEUC在概念确定时，应识别并列出如下所有信息：——应用在该厂区/车间装置及其控制系统的种类、用途；——所有装置及其控制系统数据的物理传输介质与通道；——所有装置及其控制系统与公网进行数据交换的物理传输介质与通信协议；——需要进行隔离的通信网络；——不同控制系统间数据通信方式；——各种不同虚拟网络和物理区域的范围边界，包括典型系统的功能边界等；——其他相关信息。安全目标的确定和实现41EUC、EUC注1：该条意味着功能安全相关系统也需要满足信息安全要求，例如功能安全相关系统的工程师站和控制器之间可能会被非授权的访问或篡改，从而导致安全组态逻辑遭受破坏，可以采用加密或某种完整性控制措施，以识别组态数据的变化。——原则2：应确保功能安全措施和信息安全措施之间相互协调，避免出现相互的不利影响；当冲突难以完全避免时，应从整个生产系统的角度权衡获得损失风险最小的安全策略；注2：这种不利影响可能包括阻止安全功能的有效执行、响应时间变慢、可靠性降低、运行维护复杂化等。例如在功能安全相关的通信过程中增加不适当的加密措施，可能会造成安全指令的延迟和不确定；在功能安全相关的一些具有紧急停止功能的人机界面上增加过多的访问控制和鉴别措施，可能导致在紧急情况下安全功能无法有效执行。注3：在上述注2fi-aestate），此时生产制造过程一般是停止的，然而对于信息安全来说，可用性是实现信息安全目标的属性之一，如果攻击（如DDoS攻击造成功能安全防护频繁的fail-safe——原则3：当某项信息安全措施直接参与了功能安全逻辑的执行，则该信息安全措施应按照功能安全所要求的安全完整性能力实现；注4：SIL3能力的安全PLC（如可信或加密算法）全防护机制也需要按照SIL3的要求研发设计。注5：但这并不意味所有信息安全措施都需要符合功能安全要求，例如某具有信息安全机制的交换机处于功能安全通信之中，而该部分属于功能安全通信的黑色通道，因此该交换机无需满足SIL的要求。——原则4：应综合考虑功能安全和信息安全措施来实现整体的风险降低。注6：安全一体化风险评估的具体要求见GB/TXXXXX.2。8.2.1为实现安全目标，智能工厂的安全一体化应至少满足以下三个指标：——应满足相应的SIL要求（符合GB/T20438标准）；——应满足相应的SL要求（符合GB/T35673等标准）；——对于功能安全和工控信息安全的协调应满足安全一体化完善度SSIL的要求。3。安全一体化完善度总体要求安全一体化完善度总体要求安全一体化风险评估（XXXXX.2）安全要求提出及分配功能安全相关信息安全防护系统（SIL）措施（SL）安全协同措施设计XXXXX.3）否SSIL1可接受？安全一体化完善度评GB/TXXXXX.3SSIL0是SSIL2SIL/SL/SSIL图3 安全目标的实现过程安全一体化完善度分为三个等级，各个等级的定义如下：——SSIL0——SSIL1——SSIL2SSIL1。安全一体化风险评估8应通过对生产系统、设备和人员等可能产生的危险、威胁的全面辨识，分析所有的危险、威胁发生的可能性和导致的后果，确定风险等级。应基于安全一体化风险评估的结论提出安全一体化要求。GB/TXXXXX.2。安全一体化要求分配和设计5：原始安全一体化风险评估风险安全一体化要求必要的风险降低

信息安全防护设计

EUC和EUC控制系统信息安全防护

其他风险降低协同设计#1设计复审/补偿措施可容忍风险 实施表示安全一体化分配和设计相关的活动；图4 安全一体化要求分配和设计流程应基于风险评估提出以下要求，并分配给相应的系统，包括：——功能安全要求（安全功能和安全完整性），将风险降低要求分配给功能安全相关系统（如安全仪表系统）GB/T20438（所有部分）等标准；——功能安全相关系统的工控信息安全防护要求（区域及管道界定，工控信息安全等级），将风险降低要求分配给功能安全相关系统上的信息安全防护措施；EUCEUCGB/T30976——其他风险降低措施。10.4-10.11。应从以下两个方面考虑协调性的风险：——在没有攻击/入侵和遭受攻击/入侵时，信息安全措施正常运行对功能安全造成负面影响的风险；——在没有攻击/入侵和遭受攻击/入侵时，信息安全措施丧失（例如发生硬件失效或系统性失效）对功能安全造成负面影响的风险。注：一些具有主动防护能力的信息安全措施(例如入侵检测和控制)在检测到入侵前后可能处于的状态、行为模式以及网络控制策略均不同，因此需要分别考虑没有攻击/入侵和遭受攻击/入侵时的情况。10.4——不能执行安全功能导致生产事故；注1：一种可能的情形是信息安全攻击导致基本过程控制失效提出要求，同时导致安全功能失效（甚至包括其他的保护层失效），从而发生事故。——安全功能误动作导致生产连续性受损。注2：由于攻击者不同于随机失效或人员失误，从概率的角度随机失效和人员失误的叠加发生可能性极低，但攻击者可能会尽最大的可能造成破坏，这将导致可能多个安全功能误动作以及频繁的、长期的发生误动作，从风险的角度这将导致更加严重的后果。的概念和目标确定阶段，修改系统和网络的基本规划和设计，并重新执行安全一体化风险评估。注：安全协同的分析过程参考本文件的附录C。在诊断到入侵攻击时，应至少采取以下措施之一：——实施有效报警；——将生产导入安全状态；——采取隔离等措施，以防止进一步攻击的发生。GB/TXXXXX.3GB/TXXXXX.4SSIL——不会遭受信息攻击可能性的其他安全控制措施，如纯机电、液动或气动安全控制；——对边界防护设备进行冗余设计；——附加的物理防护；——附加的管理要求。应评估补偿措施的独立性和失效可能性等，以确保其可实现要求的风险降低能力。注：可参考本文件附录B和GB/T35673-2017中补偿措施的描述，以及GB/T21109中关于保护层（PL）和独立保护层（IPL）的要求。安全一体化确认10安全一体化确认应至少包括以下内容：——确认风险评估所提出的所有安全要求都完成分配并已设计相应的风险降低措施；——确认对所有功能安全措施都已考虑信息安全威胁的影响，并将这些影响降低到可接受水平；GB/TXXXXX.3——确认所有附加的补偿措施已具备足够的风险降低能力；——确认最终的安全一体化设计按照第8章的要求已实现所有的安全目标。安全一体化运行维护智能工厂应统筹考虑安全一体化运行维护管理规章和运行维护管理活动。注：企业宜建立统一的安全管理体系，集成企业现有的安全管理制度，并集中开展安全运维活动。GB/T20438、GB/T41260、GB/T4125712安全一体化运行维护活动宜在本地（就地）实施。注：某些维护活动可能需要临时建立远程访问路径，此时需考虑其附加的信息安全风险。安全一体化的运行维护活动不应影响正常的生产过程和相关系统的可用性。注：通常在特定的阶段（如工序维护时）实施有可能影响生产过程的功能性检查活动。13应开展安全一体化运行管理活动，内容包括但不限于：——定期进行安全一体化风险评估；——组织相关部门进行SIL、SL和SSIL的确认；——组织安全一体化相关人员进行技术培训；——组织制定或更新管理规定和记录文件等。注：验记录、调节阀联校记录、不合格品登记、安全一体化维护记录等。应开展安全一体化维护管理活动，内容包括但不限于：——功能安全相关系统的维护；——信息安全防护措施的维护；——安全集中管理的维护。修改和变更应按照安全一体化管理要求（7）产生变更申请，其中应包括下列内容：——可能受影响的已确定的危险；——建议的更改（硬件和软件）；——变更的理由。对于信息安全防护措施的变更应详细分析其是否可能对功能安全相关系统造成负面影响。如果由于变更引起人员的职责和能力要求发生变化，应对人员开展附加的培训。典型的可能会对功能安全相关系统造成影响的工控信息安全防护措施变更包括但不限于：——对维护/工程接口的访问限制进行了变更；——对正常运行时，维护接口采取何种接入策略进行了变更；——人员执行写入（工艺参数修改）权限的变更；——工程师站杀毒软件等程序升级变更；——嵌入式软件/固件的升级；——控制网络结构或路由设备的变更。注：宜按照具体现场情况选择工控信息安全防护措施变更的实施时机，来确保这种负面影响的程度在可接受范围。退役和停用本文件中有关功能安全、工控信息安全和安全一体化要求，执行所有后续阶段。附 录 A（资料性）功能安全和信息安全的异同功能安全和信息安全异同见表A.1。表A.1功能安全和信息安全异同安全一体化生命周期阶段功能安全信息安全风险评估评估对象-智能化生产过程/受控设备(EUC)-待考虑的系统（SUC）失效的原因由于运行和环境压力的随机失效 由于安全生命周期过程错误导致的系统性失效威胁：内部，外部或内外部 脆弱性：组件或系统的设计疏漏；没有遵循信息安全实践和规程；威胁揭露脆弱性导致失效后果-对环境的影响，对人员或公众的健康和人身伤害可用性和完整性的丧失将对功能安全产生直接影响机密性的丧失对功能安全将产生间接影响风险分类-基于原因可能性和后果严重性确定，风险可以是定量的 基于原因可能性和后果严重性确定，风险是定性的 对于每个信息安全要求进行风险分类多维度问题为每个区域和管道分配目标SL风险减缓措施一般采用独立的保护层保护措施可以降低可能性和后果 可以确定完整性要求：对SIF目标SIL 采用基于区域和管道的信息安全措施和纵深防御的概念保护措施一般仅降低可能性 对于每一个威胁向量都需要识别应对措施的要求以确定该区域的目标SL是否实现保护措施的实现组件的安全手册对于安全功能的定量SIL验证组件的信息安全手册 通过不同的测试方法对SL性验证运行和维护 有具有资格的人员才能访问IACS对技术措施周期性的测试 需要对要求率和组件的失效进行监视人员教育和培训只有具有资格的人员才能访问IACS对技术措施周期性的测试频繁的审查以发现新的脆弱性并采取相应的修改人员教育和培训在任何软件或硬件变更后重新开展信息风险评估管理体系审计、变更管理和文档化要求；安全管理-定义人员能力、培训、验证、测试、审计、变更管理和文档化要求附 录 B（资料性）风险降低过程及补偿措施示例风险降低过程在GB/T20438.5B.1。残余风险残余风险可容忍风险2*10-6EUC风险10-31*10-6风险增加必要的风险降低实际的风险降低被其他风险降低措被功能安全相关系统覆盖的风险施覆盖的风险RRF1=100RRF2=10所有安全系统和其他风险降低措施所获得的风险降低图B.1风险降低过程示例（功能安全）相关概念的含义如下：——EUCEUC、EUCGB/T20438.4-20173.1.9）；——可容忍风险：根据当今社会水平所能接受的风险（见GB/T20438.4-2017中的3.1.7）；E/E/PEEUCEUC见GB/T2048.420173.17。RR=10RRF=1。图B.1给出的仅是考虑功能安全时风险降低过程，如果考虑信息安全，则风险降低过程示例见图B.2。残余风险残余风险可容忍风险（无法准确量化）2*10-6EUC（威胁等情况下）10-2必要的风险降低实际的风险降低被其他风险降低措被功能安全相关系统覆盖的风险被信息安全防护措施覆盖的风险RRF1=100（难以RRF2=10 量化）所有安全系统和其他风险降低措施所获得的风险降低图B.2风险降低过程的示例（功能安全和信息安全）体化RR=10低能（EUC和EUC控制系统所在一片区域GB/T险降RR=1B.。残余风险残余风险可容忍风险2*10-6EUC（威胁等情况下）1*10-610-2必要的风险降低实际的风险降低被其他风险降被补偿措施低措施覆盖的覆盖的风险RRF2=10RRF1=100，信息安全措施得到协同设计RRF3=10所有安全系统和其他风险降低措施所获得的风险降低图B.3风险降低过程的示例（安全一体化）补偿措施在GB/T35673——（组件级）：使用加锁的机柜，对没有充分的网络访问控制措施的控制器进行防护；——（控制系统/区域级）：物理出入口控制（门卫、门闸、枪）用来保护一个控制室，只允许对IACS——（组件级）：设备供应商提供的可编程逻辑控制器（PLC）不具备满足终端用户进行访问控制PLC一些可能需要补偿措施的场景示例如下：——如功能安全相关系统上位机需要人员在紧急状态下执行关断操作，则可能需要多个操作员共享账户从而保证任何人都可以在紧急状态下能够成功执行该操作，此时需要增加相应的补偿措施例如：从物理上进行限制访问，制定响应的组织化规程等。——在某些情况下，会话锁定可能会导致人员无法在紧急情况下对功能安全相关系统操作，从而EUCEUC此外，可以通过多种关联设计方式，实现将危险事件的后果限制在可容忍范围：——电气安全设计：如限压限流设计可抑制负载异常造成的电气设施整体损坏。——机械安全设计：如防护栏设计可将机械手等运动部件造成的伤害抑制在特定区域内。附 录 C（资料性）安全协同的考虑和建议C.1定义了5种可能存在的功能安全和信息安全交互影响状态。表C.1功能安全和信息安全交互影响状态状态解释如何揭露（证明）如何避免（实现）1、无影响信息安全措施得以有效实施，其对于安全功能的执行没有负面影响定性风险分析；安全确认：信息安全攻击仿真或测试；良好的架构设计，良好的信息安全设计，良好的功能安全设计2、冲突冲突的结果可能是造成安全相关系统误动或拒动，而且这种误动的后果严重程度可能远远大于要求率增加，因此需尽可能避免定量风险分析；安全确认：信息安全攻击仿真或测试；系统级安全一