GB/T-英文版可编程控制系统内生安全体系架构

提供更多标准英文版。

1范围

本文件规定了可编程控制系统内生安全体系架构,描述了可编程控制系统内生安全的目标和各单元模块的相关安全需求,规定了可编程控制系统的内生安全要求。其中,可编程控制系统内生安全的目标为保障可编程控制系统的完整性;各单元模块的相关安全需求包括全生命周期安全保护、综合诊断与高可用实现等。

本文件适用于工程设计商,设备生产商,系统集成商、用户以及评估认证机构等,主要应用于化工、石化、电力等行业。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。

GB/T.3——可编程序控制器第3部分:编程语言

3术语和定义

下列术语和定义适用于本文件。

3.1安全术语

3.1.1

伤害harm

人身损伤、人的健康损害、财产或环境的损害。[来源:ISO/IECGUIDE51:,3.1]

3.1.2

危险hazard伤害的潜在根源。

注。这个术语包括短时间对人身的伤害(如着火和爆炸),以及那些对人身健康长时间的损害(如有毒物质释放).[来源:ISO/1ECGUIDE51:,3.2]

3.1.3

风险risk

伤害发生的概率与该伤害严重程度的组合。[来源:ISO/IECGUIDE51:,3.9]

3.1.4

安全safety

免于不可接受的风险。

3.2设备和装备

3.2.1

受控设备equipmentundercontrol;EUC

用于制造业,流程工业、运输业﹑制药业或其他行业的设备、机器、装置或成套设备。注:EUC控制系统与EUC是分开的并且是截然不同的-

[来源;GB/T.4——,3.2.1]

3.2.2

EUC控制系统EUCcontrolsystem

由传感器、电子控制单元和执行机构三部分组成的控制系统。

3.2.3

系统软件systemsoftware

可编程电子系统的软件的一部分,涉及可编程装置自身的功能和提供的服务。而不像应用软件那样规定执行EUC安全相关任务的功能。

[来源;GB/T.4——,3.2.6]

3.2.4

应用软件applicationsoftware应用数据applicationdata

配置(组态)数据configurationdata

可编程电子系统的软件的一部分,规定了执行EUC相关任务的功能而不是可编程装置自身的功能和提供的服务。

[来源;GB/T.4——,3.2.7]

3.3安全功能和安全完整性

3.3.1

安全功能safetyfunction

针对特定的危险事件,为实现或保持EUC(3.2.1)的安全状态,由E/E/PE安全相关系统(3.2.8)或其他风险降低措施实现的功能。

示例1:在要求时执行的功能,作为一种主动行动以避免危险状况(如关闭电机).示例2:采取预防行为的功能(如防止马达启动)-

3.3.2

安全完整性safetyintegrity

在规定的时间段内和规定的条件下,安全相关系统(3.2.8)成功执行规定的安全功能(3.3.1)的概率。

注1:安全完整性越高,安全相关系统在要求时未能执行规定的安全功能或未能实现规定的状态的概率就越低，

注2:有4个安全完整性等级(见3.3.6).

注3:在确定安全完整性时,包括所有导致非安全状态的失效原因(随机硬件失效和系统性失效),如硬件失效,软件导致的失效和电磁干扰导致的失效。某些类型的失效,尤其是随机硬件失效v能用危险失效模式下的平均失效频率或安全相关保护系统未能在要求时动作的概率来量化,但是安全完整性还取决于许多不能精确量化只可定性考虑的因素。

注4:安全完整性由硬件安全完整性(见3.3.5)和系统性安全完整性(见3.3.4)构成.

注5:本定义针对安全相关系统执行安全功能的可靠性(见IEC-,可靠性的定义)，

3.3.3

软件安全完整性softwaresafetyintegrity

安全完整性(3.3.2)中,与软件造成的危险失效模式下的系统性失效有关的部分。

3.3.4

系统性安全完整性systematicsafetyintegrity

安全完整性(3.3.2)中,与危险失效模式下的系统性失效有关的部分。注:系统性安全完整性通常不能量化(与通常可量化的硬件安全完整性明显不同).

4可编程控制系统内生安全体系架构

4.1概述

可编程控制系统的系统架构与内生安全部署如图1所示,主要包括可编程电子模块或工业控制系统、实时工业网络、安全增强控制软件平台3部分,通过组合部署或分层递阶,可构成嵌入式可编程控制器单机系统,模块式工业控制系统及分布式计算机控制系统,分别满足小型,中型及大型工业装备、工业装置及工业系统的自动化需要。内生安全包括信息安全和功能安全,其中信息安全包括认证授权,黑白名单,数据加密﹑权限控制等。

4.2可编程控制系统内生安全特性

4.2.1可编程控制系统的完整性保障

可编程控制系统硬件资源、软件环境与应用程序应具有完整性保障检测与保护措施。注1:该保护措施能监测可编程电子部件的硬件功能﹑配置信息.固件程序等静态完整性，

注2:该保护措施能监测进程列表、堆栈数据.全局符号表等系统资源,构建安全进程与资源列表,及时发现代码注入.堆栈溢出,数据篡改等异常行为.

注3:该保护措施能制定线程及资源的创建、分配.回收等进程调度安全策略,实现安全进程与资源列表的动态维护.

注4∶控制器内核架构及资源受限访问控制与应用隔离机制,能拦截非法跨进程资源访问请求,实现运行空间的隔离与保护

4.2.2应用程序的全生命周期安全保护

应用程序编辑,编译、发布、运行,维护等应具有全生命周期的安全保护。

注1:应用程序的多样化生成方法包括动态多样化混淆编辑、异构等价二进制数据动态生成等方法，

注2:通过构建应用程序文件的安全存储与发布系统,实现应用程序文件完整性校验与传输方法。

注3∶结合基于时间多变性.空间多样性等动态轻量加密方法,实现被攻击视图的动态随机化分配与非明文表达，

4.2.3可编程控制系统的综合诊断与高可用实现

可编程控制系统的综合诊断与表决冗余等方法,应保障控制器的高可用性。

注1:综合诊断方法包括控制系统模件/模块/功能电路的随机失效与安全威胁综合诊断,故障隔离与在线修复等。

注2控制器组件或模块的在线配置﹑在线诊断,联机调试等方法,能设计随机失效与安全威胁在线综合诊断技术，实现故障或失效的自动识别及快速定位。

注3:结合硬件部件,操作系统、工程程序运行空间分布.算法调度等异构多样化方法,通过控制运算节奏同步与数据同步及异构多模冗余表决,能实现异构动态与冗余容错﹐保障控制装备的高安全性与高可用性。

4.3可编程控制系统工业网络

4.3.1控制网络的安全机制

控制网络信息的安全传输,应确保数据的机密性完整性、安全性。

4.3.2控制网络与现场总线安全监测与异常预警

控制网络与现场总线安全监测与异常预警应通过数据流场景序列关联分析、数据包分类基线检测、控制系统编程时或运行时的网络行为分析等技术实现。

注:基于控制网络与现场总线协议的深度理解,通过通信包完整性分析、数据字段合法性监测等方法,能实现非法数据包的检测与过滤.

4.4可编程控制系统的应用软件开发与运行平台

4.4.1―总体架构