活动链接：2013年控制网技术专题---新时代的安全变革

  解读“安全”（一）：功能安全

在国外，尤其是欧洲在安全标准方面已经有很多很成熟的标准和法规，功能安全标准体系已初步形成。实践证明，以安全完整性等级和全安全生命周期管理为特色的功能安全是解决和提高电气/电子/可编程电子安全系统或装置的功能安全保障的有效技术和管理模式。

功能安全定义

IEC61508对功能安全（Safety）的定义是：“与受控设备和受控设备控制系统有关的整体的组成部分，它取决于电气、电子、可编程安全相关系统、其它技术安全相关系统和外部风险降低设施功能的正确行使。”

 功能安全防止的是安全相关系统或设备的功能失效所导致的危险。例如锅炉控制系统的功能是当锅炉压力达到危险值时关闭炉火。如果这个功能失效，压力达到危险值时炉火不能熄灭，而是持续燃烧，锅炉就会爆炸，人员就会遇到危险。在这种情况下，安全依赖于锅炉控制系统执行正确的功能。这种安全依赖于系统功能的情况，就称为“功能安全”。

关于控制系统功能安全的国际标准

国际标准IEC61069.1~8（中国国家标准GB/T18272.1~8）“工业过程测量和控制系统评估中系统特性的评定”包括8个分标准，可以供控制系统的用户和制造厂以及负责评估的独立研究机构评估控制系统特性时使用，进行可信性评估时，这是一套可借鉴的标准。

IEC62278（GB/T21562）“ 轨道交通 可靠性、可用性、可维修性和安全性规范及示例”虽然是为轨道交通行业制定的，但它定义的安全性与可用性评估、管理、分析方法等要求可以为其它应用领域借鉴。

IEC61508.1~7（GB/T20438.1~7）“电气、电子、可编程电子安全相关系统的功能安全”包括7个分标准，它规定了控制系统功能安全的基本要求，也可用于功能安全评估。以此标准为基础的其它功能安全标准都是进行安全性评估时需要考虑的重要内容。

IEC61511.1~3（GB/T21109.1~3）“过程工业领域安全仪表系统的功能安全”。这套标准包括3个分标准，规定了流程工业领域安全仪表系统功能安全的基本要求，在石油、化工、电力、冶金等流程工业领域进行评估时需要参考此标准。

IEC 62439与IEC61784-3分别描述了自动化网络的可用性与安全性相关要求。

国外功能安全标准应用情况

虽然功能安全早在20世纪80年代就已提出，然而多年来工业领域的功能安全保障问题一直没有得到有效解决。工业界在设计、操作、维护安全系统方面积累了大量经验，但在监控、评估和保证整个系统功能的功能安全保障方面缺乏理论依据和量化指标，对于系统功能的安全性与人、器件（软硬件）、网络和子系统的可靠性之间没有建立量化关系。常常是采用多重冗余，选择可靠性最高的器件，但系统的安全性并没有提高。

2000年，IEC发布了功能安全基础标准IEC61508《电气、电子、可编程电子安全相关系统的功能安全》，解决了困扰多年的对复杂系统功能进行功能安全保障的理论与实践问题。随后，不同应用领域的功能安全标准陆续出台。IEC61508作为功能安全的基本标准，衍生出不同的基础标准和行业应用标准。

——机械行业：ISO13849，IEC62061，IEC60204-1，NFPA79；

——过程工业：IEC61511；

——核电：IEC61513；

——锅炉：EN50156，EN230，EN298，EN12967等；

——铁路：EN 50126，EN50128，EN50129；

——升降机：EN81；A17.x/B44.x（美国适用）；

——扶梯：EN115；

——……。

同时安全系统的子系统、设备功能安全标准也开始出台，如IEC61784-3《测量和控制数字数据通信第3部分：工业网络中功能安全通信行规》、IEC61131-6《可编程序控制器第6部分：功能安全》等。

使用安全部件来降低风险的安全应用已遍布工业领域各个环节，其中包括：工业机械、自动化生产线（机器人等）、化工（测量、控制和监控设备）、钻井平台、核电厂、锅炉、电梯和升降机、剧院舞台升降机、起重机的无线控制、特殊用途车辆等。

由于安全系统的要求越来越严格，国际标准IEC61508以及IEC61511越来越多地被用作公认的良好惯例的基准，来证明已经达到所需功能安全并且已经符合相关法规要求。这些标准的采用无疑增强了对安全仪表系统的依赖性。

国内典型行业功能安全标准化基本情况

（1）石油石化行业

自IEC61508等标准和安全仪表系统等产品引入我国以来，石化行业内的众多企业已经纷纷感受到了功能安全型系统的架设与产品的选用，需要“精耕细作”的标准来引导和规范，因此，国内石化行业的三大龙头企业已经领先于我国标准的制定步伐，制定了相关的企业标准。这些标准虽然往往致力于解决某一具体领域SIS应用问题，提出了设计与应用要求。但由于企业标准在制修订工作能够调集的人力、物力有限，此类标准大部分都只是将多年的现场经验落在纸面上，内容不够详尽，编写不够规范，“做工”比较粗糙。具体应用过程中设计施工人员有可能产生误解甚至是曲解，需要规范其形式和细化其内容。因此行业功能安全技术推广应用和发展需要充分利用国内标准化专家资源，对此类企业标准执行形式化规范和内容完善工作，使之能够上升为国家标准，规范我国石油、化工企业，实现企业在具体应用领域的功能安全应用问题解决方案步调一致，真正做到合理可行地降低生产风险。

（2）机器人功能安全

我国第一个机器人安全标准GB11291-1989是1989年3月发布，并于1998年进行了修订，目前版本完全参照采用了ISO10218，在内容上有所增加，首次提出了安全分析和风险评价的概念以及机器人系统的安全设计和防护措施。相对国外而言，我国机器人安全性方面的研究起步较晚，随着我国工业现代化进程的加快，机器人技术也得以飞速发展和应用，而借鉴国外在机器人安全性方面的研究成果，对于提升我国机器人安全性标准化水平、提高机器人的使用效能具有非常重要的意义。

对于我国工业领域功能安全标准体系建立的建议

功能安全技术涉及安全设备、仪器仪表和安全监测控制系统等各个方面，加强功能安全技术的研究和开发，可以极大地提高我国工业领域安全防护和管理水平，推动以电气、电子、计算机技术为核心的安全监测、监控系统的广泛应用，提高对整套装置、重大危险源和事故隐患的监控水平，降低整套装置及重要危险源、事故隐患点的风险，大幅度减少经济损失和事故死亡人数，达到用技术为国民创造安全的生产生活环境。

国外众多企业，如西门子、罗克韦尔、ABB、三菱电机等，都竞相推出了自己的安全部件和安全解决方案，而在我国相关产品和技术的研发尚处于起步阶段。安全要求在国际贸易中就成为阻碍我国贸易的技术壁垒，严重影响我国经济技术的发展。

为改变在安全产品和安全系统方面与国外企业的差距，国内的自动化企业近年来加大了研发投入，在一些重点领域已经得到突破。和利时公司在高速铁路业务获得多项产品SIL级认证改为获得6项产品的SIL4级认证，达到了铁路行业对安全产品的安全性需求。在石油化工等领域，和利时推出的HiaGuard安全仪表系统通过了SIL 3级国际安全产品认证，填补了国内空白，为生产企业实现安全生产打下了坚实的基础。和利时与中广核的合资公司在核安全级产品方面已经投入了巨大的人力、物力和财力，所开发的安全级产品已经获得国家核安全局的认可。

在此基础上，我国必须重视国际相关标准的相关研究，积极开展更加广泛的功能安全产品认证，同时推动我国自主的功能安全标准体系的建立。

（1）不论是石油化工、电力复杂的流程工业，还是机器人、数控机床、汽车大型装备，以及燃气灶、电动玩具等电子产品，都存在着大量的危险源，需要采用安全技术或装置来解决和实施安全保障；

（2）以前绝大多数的安全系统或装置，大到安全仪表系统、紧急停车系统、铁路信号系统，小到熄火保护装置、安全电路，无不都是采用基于电气/电子/可编程电子技术的安全系统或装置；

（3）国外的实践证明，以安全完整性等级和全安全生命周期管理为特色的功能安全是解决和提高电气/电子/可编程电子安全系统或装置的功能安全保障的有效技术和管理模式。我国需加速推广应用功能安全的理念和技术；　

（4）在国外，尤其是欧洲在安全标准方面已经有很多很成熟的标准和法规，功能安全标准体系已初步形成。因此，我们应紧密跟踪和研究ISO、IEC和EN标准，积极转化国外先进标准，同时根据我国国情的具体情况制定相应安全标准，以国外标准体系和管理模式为参考，建立我国功能安全标准体系；　

（5）应参考国外成熟的安全保障体系和流程，对现有的安全领域的国标和行标进行系统的审查分析，搭配和协调各行业的安全标准，注重标准的有效性、配套性，解决目前安全相关标准存在的矛盾，重复、交叉等问题；

（6）建立安全保护屏障必须依靠法律法规以及强硬的行政手段。功能安全体系作为安全标准体系的有机组成部分是实施法律、法规和行政的重要基础；

（7）以SAC/TC124/SC10功能安全分技术委员会为核心，充分发挥各个行业的力量，加速制定一批关键的功能安全标准并推动其贯彻执行；

（8）功能安全标准的贯彻，应该借鉴国外功能安全（企业、人员、产品）认证经验和我国ISO9000/ISO14000等认证办法，建立具有中国特色的功能安全认证体系。

参考文献

[1]史学玲.我国功能安全标准实施预案研究[J]，自动化仪表，2006.

[2]王春喜，石镇山.功能安全标准化发展现状分析[J]，仪器仪表标准化与计量，2010,5.  

解读“安全”（二）：信息安全

什么是工业控制系统信息安全？如何划分安全等级？

在IEC 62443中针对工业控制系统对信息安全（Security）的定义是：（1）保护系统所采取的措施；（2）由建立和维护保护系统的措施所得到的系统状态；（3）能够免于对系统资源的非授权访问和非授权或意外的变更、破坏或者损失；（4）基于计算机系统的能力，能够保证非授权人员和系统既无法修改软件及其数据也无法访问系统功能，却保证授权人员和系统不被阻止；（5）防止对工业控制系统的非法或有害入侵，或者干扰其正确和计划的操作。

IEC 62443中引入了信息安全保障等级（SAL，Security Assurance Level）的概念，尝试用一种定量的方法来处理一个区域的信息安全。通过定义并比较用于信息安全生命周期的不同阶段的目标SAL、设计SAL、完成SAL和能力SAL，实现预期设计结果的安全性。它从身份和授权控制、使用控制、数据完整性、数据保密性、受限数据流、事件适时响应、资源可用性7个基本要求入手，将信息安全保障等级分为4个等级。

国外目前发展情况

国际上，针对工业控制系统的信息安全评估和认证还处于起步阶段，尚未出现一个统一的评估规范。为了抢占市场，美国ISA组织于2010年成立了专门的测试机构ISCI（ISA信息安全符合性研究院），授权第三方测试实验室进行工业自动化信息安全认证，但目前仅针对嵌入式设备进行评估。

专家建议

吴 澄：震网病毒震动了工业界，也破灭了专用网络、工业系统固有的安全基础，我们应高度警惕物理隔离网络和工业控制系统的安全。 

第一，加强工业控制系统漏洞及其挖掘技术研究。工业级控制软件的安全逐步得到大家的重视，通过挖掘发现存在大量的漏洞。

第二，进行ICS安全应用行为分析与学习能力的研究。例如对系统性能的异常检测模型、工业系统协议的内容识别模型、OPC组件的调用规则模型,以及外设和WIFI 的审计报警模型等研究。知识库和各种分析模型的建立离不开对用户工业控制系统的理解和产业攻击事件与趋势的跟踪分析研究。 

第三，建立重要ICS安全应急响应机制。建立重要工业基础设施的应急响应机制，实现对重要目标或系统的监测、防护和应急处理，采取技术手段实现追踪定位、灾害恢复和攻击反制；建立类似西方国家实战演习的工作方式，定期进行内外网的工业系统安全演练，发现技术、制度上的薄弱环节，及时应对。

第四，必须加强国产工业软件核心技术的研究，这其中包括国产核心基础软件的研究和国产核心网络产品的研制，另外，国产核心工业软件系统的研究也非常重要。

欧阳劲松：尽管工业控制系统信息安全已成为一个全球性的问题，但是我国用户与发达国家相比，在安全意识和防范措施等方面仍存在着巨大的差距，标准与法规尚未健全，第三方认证机构没有得到系统管理。工业控制系统信息安全问题必须在国家的推动和贯彻下才能得到切实解决。在传统IT信息安全领域，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规，我国在2007年发布了《信息安全等级保护管理办法》，对信息系统分等级实行安全保护。同样地，为保障工业控制系统的信息安全，更加迫切地需要有关政府部门发布相关法令法规，引起各行业足够的重视，并规范行业实践。

工业控制系统涉及众多行业，各行业的具体管理要求和系统设备工作环境不尽相同。因此，我们必须深入研究我国工业控制系统的行业特点和需求，有针对性地制定相关行业信息安全保障应用行规。同时，以工业自动化标准化机构为先导，联合相关组织机构，研究我国工业信息安全标准体系，积极开展工业控制系统信息安全评估标准的制定工作，健全工业信息安全评估认证机制，建立有效的工业控制系统信息安全应急系统，形成我国自主的工业控制系统信息安全产业和管理体系。 

参考文献

[1]关于加强工业控制系统信息安全管理的通知[Z].工信部协[2010]451号，2011,9.

[2] 吴澄.信息化工业化深度融合中值得关注的几个问题[R].哈尔滨：第三届全国自动化企业发展战略论坛，2012,8.

[3] 欧阳劲松.加强工业控制系统信息安全保障工业自动化产业发展[J].自动化博览，2012,2.