标准规范下载简介
GB/T 41274-2022 可编程控制系统内生安全体系架构.pdf简介:
GB/T 41274-2022,全称为《可编程控制系统内生安全体系架构》。这是一项由中国制定并发布的国家标准,它主要规范了可编程控制系统(Programmable Control System, PCS)的安全设计和实现方法,强调了内生安全(Intrinsic Safety)的概念。
内生安全是一种设计方法,旨在通过系统和组件的设计,以及操作过程的控制,从源头上消除或降低设备或系统的危险,无需依赖外部保护措施。在PCS中,内生安全体系架构主要包括以下几个方面:
1. 安全设计:在系统设计阶段,应考虑安全因素,如故障模式、故障影响分析,以及安全功能的集成。
2. 安全编程:规范编程语言,强调使用安全的编程模式和错误处理机制,避免潜在的代码漏洞。
3. 安全认证:对系统进行安全认证,确保其在各种运行条件下的安全性能。
4. 安全管理:建立安全管理机制,包括安全策略、安全培训、安全审计和应急响应等。
5. 安全更新:提供安全更新和维护机制,以应对新的威胁和漏洞。
这份标准旨在提升PCS的安全性,预防可能出现的安全事故,保障工业生产过程的稳定和人员的安全。
GB/T 41274-2022 可编程控制系统内生安全体系架构.pdf部分内容预览:
伤害harm 人身损伤、人的健康损害、财产或环境的损害。 [来源ISO/IECGUIDE51:2014,3.1] 3.1.2 危险hazard 伤害的潜在根源。 注:这个术语包括短时间对人身的伤害(如着火和爆炸),以及那些对人身健康长时间的损害(如有毒物质释放) [来源:ISO/IECGUIDE51:2014,3.2] 3.1.3 风险risk 伤害发生的概率与该伤害严重程度的组合。 [来源ISO/IECGUIDE51:2014,3.9] 3.1.4 安全safety 免于不可接受的风险
伤害harm 人身损伤、人的健康损害、财产或环境的损害。 [来源ISO/IECGUIDE51:2014,3.1] 3.1.2 危险hazard 伤害的潜在根源。 注:这个术语包括短时间对人身的伤害(如着火和爆炸),以及那些对人身健康长时间的损害(如有毒物质释放) [来源:ISO/IECGUIDE51:2014,3.2] 3.1.3 风险risk 伤害发生的概率与该伤害严重程度的组合。 [来源:ISO/IECGUIDE51:2014,3.9] 3.1.4 安全safety 免于不可接受的风险
CJ∕T 146-2001 城市供水 酚类化合物的测定 液相色谱分析法功能安全functional safety
整体安全中与EUC(3.2.1)和EUC控制系统(3.2.2)相关的部分,它取决于E/E/PE安全相关系 .8)和其他风险降低措施正确执行其功能。 注:E/E/PE是指基于电气(E)和/或电子(E)和/或可编程电子(PE)的技术,
注:E/E/PE是指基于电气(E)和/或电子(E)和/或可编程电子(PE)的技术, 3.1.6 信息安全informationsecurity 基于计算机系统的能力,能够提供充分的把握使非授权人员和系统既无法修改软件及其数据也无 法访问系统功能,却保证授权人员和系统不被阻止, 注1:保护系统所采取的措施。 注2:由建立和维护保护系统的措施而产生的系统状态, 注3:能够免于非授权访问或意外的变更、破坏或者损失的系统资源的状态。 注4:防止对工业自动化和控制系统的非法或有害的人侵,或者干扰其正确和计划的操作。 注5:措施是与物理信息安全(控制物理访问计算机的资产)或者逻辑信息安全(登录给定系统和应用的能力)相关 的控制手段。
内生安全endogenoussafety 功能安全(3.1.5)与信息安全(3.1.6)的结合,实现控制工程全生命周期安全防护。 3.1.8 内生安全体系架构endogenoussafetyarchitecture 使系统具有动态防御、主动防御、纵深防御等能力的体系架构,
受控设备equipmentundercontrol;EUC 用于制造业、流程工业、运输业、制药业或其他行业的设备、机器、装置或成套设备。 注:EUC控制系统与EUC是分开的并且是截然不同的 L来源:GB/T20438.42017,3.2.1 3.2.2 EUC控制系统 EUCcontrol system 由传感器、电子控制单元和执行机构三部分组成的控制系统。 3.2.3 系统软件 system software 可编程电子系统的软件的一部分,涉及可编程装置自身的功能和提供的服务。而不像应用软件那 样规定执行EUC安全相关任务的功能 [来源:GB/T 20438.4—2017,3.2.6] 3.2.4 应用软件 application software 应用数据 applicationdata 配置(组态)数据 configurationdata 可编程电子系统的软件的一部分,规定了执行EUC相关任务的功能而不是可编程装置自身的功 能和提供的服务。 厂±源CP/T 20428 42017 2 2 7
系统软件systemsoftw
应用软件applicationsoftware 应用数据applicationdata 配置(组态)数据configurationdata 可编程电子系统的软件的一部分,规定了执行EUC相关任务的功能而不是可编程装置自身的功 能和提供的服务。 『来源.GB/T20438.42017.3.2.77
GB/T412742022
以计算机技术为基础,可以由硬件、软件及其输人和(或)输出单元构成的微电子装置。 注:这个术语包括以一个或多个中央处理器(CPUs)及相关的存储器等为基础的微电子装置。
一种用于工业环境的数字式操作的电子系统。这种系统用可编程的存储器作面向用户指令的内部 奇存器,完成规定的功能,如逻辑、顺序、定时、计数、运算等,通过数字或模拟的输入/输出,控制各种类 型的机械或过程。可编程序(逻辑)控制器及其相关外围设备的设计,使它能够非常方便地集成到工业 控制系统中,并能很容易地达到所期望的所有功能 注:在本文件中使用缩写词PLC代表可编程序(逻辑)控制器(programmablelogiccontrollers),这在自动化行业中 已形成共识。原来曾用PC作为可编程序(逻辑)控制器的缩略语,它容易与个人计算机所使用的缩略语PC相 混。 『来源:GB/T15969.1—2007,3.51
用户根据所要完成的目动化系统要求而建立的由可编程控制器及其相关外围设备组成的配置。 注:系统包括,但不限于: a)可编程控制系统包括分布式控制系统(DCS)、可编程序(逻辑)控制器(PLC)、智能电子设备(IED)、监视控 制与数据采集(SCADA)系统、运动控制(MC)系统、网络电子传感和控制、监视和诊断系统,在本文件中 不论物理上是分开的还是集成的,过程控制系统(PCS)包括基本过程控制系统和安全仪表系统(SIS); b 相关的信息系统,例如先进控制或者多变量控制、在线优化器、专用设备监视器、图形界面、过程历史记录 制造执行系统(MES)和企业资源计划(ERP)管理系统: 相关的部门、人员、网络或机器接口,为连续的、批处理、离散的和其他过程提供控制、安全和制造操作 功能。 『来源:GB/T 15969.1—20073.6
装置、最终元件(执行器)和其他输出装置都包括在安全相关系统中。 注7:安全相关系统基于广泛的技术基础包括电气、电子、可编程电子、液压和气动等。
3.3安全功能和安全完整性
安全功能safety function
GB/T 412742022
安全完整性等级safetyintegritylevel;SIL 一种离散的等级(4个可能等级之一),对应安全完整性量值的范围。安全完整性等级4是最高的, 安全完整性等级1是最低的。 注1:4个安全完整性等级对应的目标失效量(见GB/T20438.4—2017中3.5.17)参见GB/T20438.1—2017中表2 和表3。 注2:安全完整性等级用于规定分配给E/E/PE安全相关系统安全功能的安全完整性要求。 注3:安全完整性等级(SIL)并非系统、子系统、组件或元器件的属性。对"SILn安全相关系统”(n=1、2、3、4)的正 确解释是系统具有支持安全功能的安全完整性等级达到的潜在能力
4可编程控制系统内生安全体系架构
可编程控制系统的系统架构与内生安全部署如图1所示,主要包括可编程电子模块或工业控制系 充、实时工业网络、安全增强控制软件平台3部分,通过组合部署或分层递阶,可构成嵌入式可编程控制 器单机系统、模块式工业控制系统及分布式计算机控制系统,分别满足小型、中型及大型工业装备、工业 装置及工业系统的自动化需要。内生安全包括信息安全和功能安全,其中信息安全包括认证授权、黑白 名单、数据加密、权限控制等
可编程控制系统的系统架构与内生安全部署
4.2可编程控制系统内生安全特性
可编程控制系统硬件资源、软件环境与应用程序应具有完整性保障检测与保护措施 注1:该保护措施能监测可编程电子部件的硬件功能、配置信息、固件程序等静态完整性 注2:该保护措施能监测进程列表、堆栈数据、全局符号表等系统资源,构建安全进程与资源列表,及时发现代码注 入、堆栈溢出、数据宴改等异常行为。 注3:该保护措施能制定线程及资源的创建、分配、回收等进程调度安全策略,实现安全进程与资源列表的动态 维护。 注4:控制器内核架构及资源受限访问控制与应用隔离机制,能拦截非法跨进程资源访问请求,实现运行空间的隔 离与保护。
4.2.2应用程序的全生命周期安全保护
应用程序编辑、编译、发布、运行、维护等应具有全生命周期的安全保护。 注1:应用程序的多样化生成方法包括动态多样化混淆编辑、异构等价二进制数据动态生成等方法。 注2:通过构建应用程序文件的安全存储与发布系统,实现应用程序文件完整性校验与传输方法 注3:结合基于时间多变性、空间多样性等动态轻量加密方法,实现被攻击视图的动态随机化分配与非明文表达
GB∕T 9978.8-2008 建筑构件耐火试验方法 第8部分:非承重垂直分隔构件的特殊要求4.2.3可编程控制系统的综合诊断与高可用实现
可编程控制系统的综合诊断与表决穴余等方法,应保障控制器的高可用性。 注1:综合诊断方法包括控制系统模件/模块/功能电路的随机失效与安全威胁综合诊断、故障隔离与在线修复等。 注2:控制器组件或模块的在线配置、在线诊断、联机调试等方法,能设计随机失效与安全威胁在线综合诊断技术, 实现故障或失效的自动识别及快速定位 注3:结合硬件部件、操作系统、工程程序运行空间分布、算法调度等异构多样化方法,通过控制运算节奏同步与数 据同步及异构多模元余表决,能实现异构动态与元余容错,保障控制装备的高安全性与高可用性
4.3可编程控制系统工业网络
4.3.1控制网络的安全机制
控制网络信息的安全传输,应确保数据的机密性、完整性、安全性。
国企铝合金模板体系培训讲义4.3.2控制网络与现场总线安全监测与异常预
控制网络与现场总线安全监测与异常预警应通过数据流场景序列关联分析、数据包分类基线检测、 控制系统编程时或运行时的网络行为分析等技术实现。 注:基于控制网络与现场总线协议的深度理解,通过通信包完整性分析、数据字段合法性监测等方法,能实现非法 数据包的检测与过滤
应用软件开发与运行平台的总体架构示意图如图2所示,图2左侧为不同层次的硬件平台,主要 程师站图形组态与控制编程软件、操作员站实时监控软件、控制器或控制站实时控制软件等,通 网络交互各种数据、管理和控制信息,协调一致地完成整个控制系统的各种功能;主要功能包括 据采集、算法执行、实时数据和历史数据处理、报警和安全机制、流程控制、动画显示、趋势曲线和