信息安全技術 工業(yè)控制系統(tǒng)專用防火墻技術要求

信息安全技術工業(yè)控制系統(tǒng)專用防火墻技術要求

1范圍

本標準規(guī)定了工業(yè)控制系統(tǒng)專用防火墻（以下簡稱工控防火墻）的安全技術要求。

本標準適用于工控防火墻的設計、開發(fā)與測試。

本標準適用于工程設計方、設備生產商、系統(tǒng)集成商、用戶以及評估認證機構等。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅所注日期的版本

適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T20281信息安全技術防火墻安全技術要求和測試評價方法

GB/T25069信息安全技術術語

GB/T18336.1信息技術安全技術信息技術安全性評估準則第1部分:簡介和一般模

型

GB/T18336.2信息技術安全技術信息技術安全性評估準則第2部分:安全功能要求

GB/T18336.3信息技術安全技術信息技術安全性評估準則第3部分:安全保證要求

GB/T30976.1-2014工業(yè)控制系統(tǒng)信息安全第1部分評估規(guī)范

GB/T30976.2-2014工業(yè)控制系統(tǒng)信息安全第2部分驗收規(guī)范

GB/Txxxxx集散控制系統(tǒng)（DCS）安全防護標準

3術語和定義

GB/T25069界定的以及下列術語和定義適用于本文件。

3.1

工業(yè)控制系統(tǒng)專用防火墻industrialfirewalI

可應用于工業(yè)控制環(huán)境，對工業(yè)控制系統(tǒng)邊界以及工業(yè)控制系統(tǒng)內部不同控制域之間進

行邊界保護，并滿足特定工業(yè)環(huán)境和功能要求的防火墻。

根據(jù)工控防火墻在工控系統(tǒng)中保護對象的不同，又可細分為部署域間工控防火墻和部署

現(xiàn)場控制層工控防火墻，附錄C為工控防火墻典型應用。圖C.1,C.2為部署域間的工控防火

墻，圖C.3為部署現(xiàn)場控制層工控防火墻。

3.2

深度包檢測deeppacketinspection

基于應用層的流量檢測和控制技術，通過讀取IP包載荷的內容并對應用層信息進行重組,

從而得到整個應用程序的內容，然后按照系統(tǒng)定義的策略對內容進行相應處置。

（GB/T20281-2015,定義3.2）

3.3

深度內容檢測deepcontentinspection

能夠對應用協(xié)議的深入解析，識別出協(xié)議中的各種要素(如http協(xié)議，可具體解析到如

cookie、Get參數(shù)、Post表單等)以及協(xié)議所承載的業(yè)務內容(如業(yè)務系統(tǒng)交互中包含在協(xié)

議或文件中的數(shù)據(jù)內容)，并對這些數(shù)據(jù)進行快速的解析，以還原其原始通信的信息。根據(jù)

這些解析后的原始信息，可以檢測其是否包含威脅以及敏感內容。

(GB/T20281-2015,定義3.3)

4縮略語

下列縮略語適用于本文件。

DMZ：非軍事區(qū)(DemilitarizedZone)

DNAT：目的網絡地址轉換(DestinationNAT)

FTP：文件傳輸協(xié)議(FileTransferProtocol)

HTTP：超文本傳輸協(xié)議(HypertextTransferProtocol)

ICMP：互聯(lián)網控制報文協(xié)議(InternetControlMessagesProtocol)

IP：網際協(xié)議(InternetProtocol)

MAC：介質訪問控制(MediaAccessControl)

NAT：網絡地址轉換(NetworkAddressTranslation)

OPC：用于過程控制的0LE(ObjectLinkingandEmbedding(OLE)forProcessControl)

SNAT：源網絡地址轉換(SourceIPNAT)

TCP：傳輸控制協(xié)議(TransportControlProtocol)

UDP：用戶數(shù)據(jù)報協(xié)議(UserDatagramProtocol)

5安全技術要求

5.1總體說明

本標準參考GB/T20281關于IT防火墻技術分類和安全功能的強度劃分方式，從安全技術

要求方面將工控防火墻分為安全功能、安全保證兩個大類，從安全功能的強度方面將工控防

火墻分為基礎級和增強級。其中安全功能要求在GB/T20281的基礎上進行增、減等修改，以

滿足工業(yè)應用的特殊要求。安全保證要求則仍然采用GB/T20281的相關規(guī)定。GB/T20281

中關于IT防火墻安全功能強度等級的適用性仍適用于本標準。表1為工控防火墻安全功能要

求表，表中“加粗字體”為工控防火墻相對于1T防火墻新增安全功能要求。在具體技術要求

部分，與基本級內容相比，增強級中要求有所增加或變更的內容在正文中通過“字體加粗”

表示。

表1工控防火墻安全功能要求

基本級增強級

安全功能要求

部署域間部署現(xiàn)場控制層部署域間部署現(xiàn)場控制層

包過濾******

網絡

NAT——*—

層控

狀態(tài)檢測****

制

動態(tài)開放端口*—*—

表1（續(xù)）

基本級增強級

安全功能要求

部署域間部署現(xiàn)場控制層部署域間部署現(xiàn)場控制層

IP/MAC地址綁定****

連接數(shù)控制****

——**

網絡流量會話管會話管理

層控理流量監(jiān)測——*—

制帶寬監(jiān)測——*—

抗拒絕服務攻擊****

網絡掃描防護****

應用應用協(xié)議控制******

層控

工業(yè)協(xié)議深度內容檢測——**

制

運維管理******

安全審計******

日志管理******

安全安全支撐系統(tǒng)****

管理異常處理機制****

安全

旁路保護****

運維

多工作模式******

管理

安全策略無擾下裝****

高可

時鐘同步****

用性

電源冗余一一一*

散熱方式一一一一*

雙機熱備一一*一

注：“*”表示具有該要求，“**”表示要求有所增強，“一一”表示不適用。

5.2基本級安全要求

5.2.1安全功能要求

5.2.1.1網絡層控制

5.2.1.1.1包過濾

工控防火墻的包過濾要求如下：

a）安全策略應使用最小安全原則，即除非明確允許，否則就禁止；

b）安全策略應包含基于源IP地址、目的IP地址的訪問控制；

c）安全策略應包含基于源端口、目的端口的訪問控制；

d）安全策略應包含基于協(xié)議類型的訪問控制；

e）安全策略可包含基于MAC地址的訪問控制；

f）應支持用戶自定義的安全策略，安全策略可以是MAC地址、IP地址、端口的部分

或全部組合。

5.2.1.1.2狀態(tài)檢測

工控防火墻應具備狀態(tài)檢測功能，支持基于狀態(tài)檢測技術的訪問控制。

5.2.1.1.3動態(tài)端口開放

工控防火墻應具備動態(tài)開放端口功能，應至少支持OPC、FTP。

5.2.1.1.4IP/MAC地址綁定

工控防火墻應支持自動或管理員手工綁定IP/MAC地址；應能夠檢測IP地址盜用，攔截盜

用IP地址的主機經過工控防火墻的各種訪問。

5.2.1.1.5流量會話管理

工控防火墻應能夠設置單IP的最大會話數(shù)，防止大量非合規(guī)連接產生時影響網絡的性能。

5.2.1.1.6抗拒絕服務攻擊

工控防火墻應具有抗拒絕服務攻擊的能力，具體技術要求如下（包括，但不限于）：

a）ICMPFlood攻擊；

b）UDPFlood攻擊；

c）SYNFlood攻擊；

d）TearDrop攻擊；

e）Land攻擊；

f）超大ICMP數(shù)據(jù)攻擊。

5.2.1.1.7網絡掃描防護

工控防火墻應能夠檢測和記錄掃描行為，包括對受保護網絡的掃描。

5.2.1.2應用層控制

工控防火墻應能識別并控制各種通用應用層協(xié)議及常用工業(yè)控制協(xié)議，具體技術要求如

下：

a）支持HTTP、FTP、Telnet等常見通用應用層協(xié)議;

b）支持至少一種工業(yè)控制協(xié)議，例如OPC、ModBusTCP、Profinet、BACnet等。

5.2.1.3安全運維管理

5.2.1.3.1運維管理

工控防火墻應具備管理功能，具體技術要求如下：

a）支持對授權管理員的口令鑒別方式，且口令設置滿足安全要求：

b）應在所有授權管理員、可信主機、主機和用戶請求執(zhí)行任何操作之前，對每個授權

管理員、可信主機、主機和用戶進行唯一的身份鑒別；

c）應具有登錄失敗處理功能，身份鑒別在經過一個可設定的鑒別失敗最大次數(shù)后，工

控防火墻應終止可信主機或用戶建立的會話；

d）工控防火墻應為每一位規(guī)定的授權管理員、可信主機、主機和用戶提供一套唯一的

為執(zhí)行安全策略所必需的安全屬性；

e）應支持進行本地管理工控防火墻；

f）應支持通過網絡接口進行遠程管理，并可限定可進行遠程管理的網絡接口；

g）遠程管理過程中，管理端與工控防火墻之間的所有通訊數(shù)據(jù)應非明文傳輸：

h）對于數(shù)據(jù)加密或者非明文的傳輸、存儲要求，需遵守國家密碼局的相關規(guī)定；

i）向授權管理員提供設置和修改安全管理相關的數(shù)據(jù)參數(shù)的功能；

j）向授權管理員提供設置、查詢和修改各種安全策略的功能；

k）向授權管理員提供管理審計日志的功能。

5.2.1.3.2安全審計

工控防火墻應具備安全審計功能，具體技術要求如下：

a）記錄事件類型

1）試圖登錄工控防火墻管理端口和管理身份鑒別請求；

2）對工控防火墻系統(tǒng)所有配置操作，包括但不限于IP地址設置，路由設置，管

理用戶的增加、刪除、修改，安全策略的配置等；

3）日志信息的備份、刪除、查找等；

4）從內部網絡、外部網絡發(fā)起的試圖穿越或到達工控防火墻的違反安全策略的訪

問請求；

5）被訪問控制策略允許、禁止的訪問請求；

6）檢測到的攻擊行為；

7）其他應該記錄的事件信息。

b）日志內容

1）數(shù)據(jù)包的協(xié)議類型、源地址、目標地址、源端口和目標端口；

2）訪問控制發(fā)生的時間，日期必須包括年、月、日，時間必須包括時、分、秒;

3）產生日志記錄的訪問控制策略執(zhí)行結果；

4）攻擊事件其他需要描述的信息；

5）工控防火墻操作事件發(fā)生的時間，日期必須包括年、月、日，時間必須包括時、

分、秒；

6）執(zhí)行操作的用戶、執(zhí)行操作的結果；

7）應根據(jù)日志內容設置日志級別，包括但不限于調試、信息、警告、錯誤等多個

級別。

5.2.1.3.3日志管理

工控防火墻應具備日志管理功能，具體技術要求如下

a）應只允許授權審計員能夠對日志進行讀取、存檔、導出、刪除和清空等操作；

b）應提供能查閱日志的工具，具備對審計事件以時間、日期、主體標識、客體標識等

條件檢索的能力，并且只允許授權審計員使用查閱工具；

c）審計事件應存儲于掉電非易失性存儲介質中，且在存儲空間達到閾值時至少能夠通

知授權審計員。

5.2.1.3.4安全管理

5.2.1.3.4.1安全支撐系統(tǒng)

工控防火墻的底層支撐系統(tǒng)應滿足以下要求：

a）確保其支撐系統(tǒng)不提供多余的網絡服務；

b）不含任何導致產品權限丟失、拒絕服務等的安全漏洞。

5.2.1.3.4.2異常處理機制

工控防火墻在非正常條件（比如掉電、強行關機）關機再重新啟動后，應滿足如下技術

要求：

a）安全策略恢復到關機前的狀態(tài)；

b）日志信息不會丟失：

c）管理員重新鑒別。

5.2.1.3.5高可用性

5.2.1.3.5.1Bypass功能

部署在現(xiàn)場控制層的工控防火墻應具備Bypass功能，當工控防火墻自身出現(xiàn)斷電或其他

軟硬件故障時;應使工控防火墻內部接口與外部接口直接物理連通，保持內部網絡與外部網

絡之間的正常通信。

5.2.1.3.5.2多工作模式

工控防火墻應支持多種工作模式，保證工控防火墻區(qū)分部署和工作過程以實現(xiàn)對被防護

系統(tǒng)的最小影響，具體技術要求如下：

a）支持學習模式，工控防火墻記錄運行過程中經過防火墻的所有策略、資產等信息，

形成白名單策略集；

b）支持驗證模式或測試模式，該模式下工控防火墻對白名單策略外的行為做告警，但

不攔截；

c）支持工作模式，工控防火墻的正常工作模式，嚴格按照防護策略進行過濾等動作保

護。

5.2.1.3.5.3安全策略無擾下裝

進行工控防火墻安全策略應用時不應該影響正常的數(shù)據(jù)通信。

5.2.時鐘同步

工控防火墻應支持與時鐘服務器自動同步時鐘的功能。

5.2.2安全保證要求

工控防火墻基本級安全保證要求，按照IT防火墻標準GB/T20281中關于IT防火墻基本級

安全保證要求的規(guī)定執(zhí)行。

5.3增強級安全要求

5.3.1安全功能要求

5.3.1.1網絡層控制

5.3.1.1.1包過濾

工控防火墻的包過濾要求如下：

a）安全策略應使用最小安全原則，即除非明確允許，否則就禁止；

b）安全策略應包含基于源IP地址、目的IP地址的訪問控制；

c）安全策略應包含基于源端口、目的端口的訪問控制；

d）安全策略應包含基于協(xié)議類型的訪問控制；

e）安全策略可包含基于MAC地址的訪問控制；

f）安全策略可包含基于時間的訪問控制；

g）應支持用戶自定義的安全策略，安全策略可以是MAC地址、IP地址、端口、協(xié)議

類型和時間的部分或全部組合。

5.3.1.1.2NAT

部署域間的工控防火墻應具備NAT功能，具體技術要求如下：

a）應支持雙向NAT：SNAT和DNAT；

b）SNAT應至少可實現(xiàn)“多對一”地址轉換，使得內部網絡主機訪問外部網絡時，其

源IP地址被轉換；

c）DNAT應至少可實現(xiàn)“一對多”地址轉換，將DMZ的IP地址/端口映射為外部網絡

合法IP地址/端口，使外部網絡主機通過訪問映射地址和端口實現(xiàn)對DMZ服務器

的訪問。

5.3.1.1.3狀態(tài)檢測

工控防火墻應具備狀態(tài)檢測功能，支持基于狀態(tài)檢測技術的訪問控制。

5.3.1.1.4動態(tài)端口開放

工控防火墻應具備動態(tài)開放端口功能，應至少支持OPC、FTP。

5.3.1.1.5IP/MAC地址綁定

工控防火墻應支持自動或管理員手工綁定IP/MAC地址；應能夠檢測IP地址盜用，攔截盜

用IP地址的主機經過工控防火墻的各種訪問。

5.3.1.1.6流量會話管理

5.3.1.1.6.1連接數(shù)控制

工控防火墻應能夠設置單IP的最大會話數(shù)，防止大量非合規(guī)連接產生時影響網絡的性能。

.6.2會話管理

工控防火墻應能夠在會話處于非活躍一定時間或會話結束后，終止網絡連接。

5.3.1.1.6.3流量監(jiān)測

部署域間的工控防火墻應具備流量統(tǒng)計功能：

a）能夠通過IP地址、網絡服務、時間和協(xié)議類型等參數(shù)或它們的組合對流量進行正

確的統(tǒng)計；

b）能夠實時或者以報表形式輸出流量統(tǒng)計結果；

c）能夠對流量超過預警值的行為進行告警。

5.3.1.1.6.4帶寬監(jiān)測

部署域間的工控防火墻應具備對客戶端占用帶寬進行監(jiān)測的功能。

5.3.1.1.7抗拒絕服務攻擊

工控防火墻具有抗拒絕服務攻擊的能力，具體技術要求如下（包括，但不限于）：

a）ICMPFlood攻擊；

b）UDPFlood攻擊；

c）SYNFlood攻擊；

d）TearDrop攻擊；

e）Land攻擊；

f）超大ICMP數(shù)據(jù)攻擊。

5.3.1.1.8網絡掃描防護

工控防火墻應能夠檢測和記錄掃描行為，包括對受保護網絡的掃描。

5.3.1.2應用層控制

5.3.1.2.1應用協(xié)議控制

工控防火墻應能識別并控制各種應用類型，具體技術要求如下：

a）支持HTTP、FTP、Telnet等常見通用應用層協(xié)議；

b）支持目前常用工業(yè)控制協(xié)議，例如OPC、ModBusTCP、Profinet、BACnet.DNP3、

IEC104等（僅對部署域間的工控防火墻適用）；

c）自定義應用類型。

5.3.1.2.2工業(yè)協(xié)議深度內容檢測

工控防火墻應能對主流工業(yè)協(xié)議進行深度內容檢測，具體技術要求如下：

a）應至少支持對一種工業(yè)協(xié)議的深度內容檢測；

b）協(xié)議格式檢查；

c）支持對工業(yè)協(xié)議的操作類型、操作對象、操作范圍等參數(shù)進行控制；

d）其他類型的應用內容。

具體工控協(xié)議檢測深度見附錄D

5.3.1.3安全運維管理

5.3.1.3.1運維管理

工控防火墻應具備管理功能，具體技術要求如下：

a）支持對授權管理員的口令鑒別方式，且口令設置滿足安全要求；

b）應在所有授權管理員、可信主機、主機請求執(zhí)行任何操作之前,對每個授權管理員、

可信主機、主機進行唯一的身份鑒別；

C）應對授權管理員選擇兩種或兩種以上組合的鑒別技術進行身份鑒別；

d）應具有登錄失敗處理功能，身份鑒別在經過一個可設定的鑒別失敗最大次數(shù)后，工

控防火墻應終止可信主機或用戶建立的會話；

e）工控防火墻應為每一個規(guī)定的授權管理員、可信主機、主機提供一套唯一的為執(zhí)行

安全策略所必需的安全屬性；

f）應支持進行本地管理工控防火墻；

g）應支持通過安全管理平臺方式對工控防火墻進行集中管理；

h）應支持通過網絡接口進行遠程管理，并可限定可進行遠程管理的網絡接口；

i）遠程管理過程中，管理端與工控防火墻之間的所有通訊數(shù)據(jù)應非明文傳輸；

j）對于數(shù)據(jù)加密或者非明文的傳輸、存儲要求，需遵守國家密碼局的相關規(guī)定；

k）向授權管理員提供設置和修改安全管理相關的數(shù)據(jù)參數(shù)的功能；

1）向授權管理員提供設置、查詢和修改各種安全策略的功能；

m）向授權管理員提供管理審計日志的功能；

n）工控防火墻應支持將管理用戶分為系統(tǒng)管理員、審計員和安全管理員，實現(xiàn)工控

防火墻設備的三權分離。

5.3.1.3.2安全審計

工控防火墻應具備安全審計功能，具體技術要求如下：

a）記錄事件類型

1）試圖登錄工控防火墻管理端口和管理身份鑒別請求；

2）對工控防火墻系統(tǒng)所有配置操作，包括但不限于IP地址設置，路由設置，管

理用戶的增加、刪除、修改，安全策略的配置等；

3）日志信息的備份、刪除、查找等；

4）從內部網絡、外部網絡發(fā)起的試圖穿越或到達工控防火墻的違反安全策略的訪

問請求；

5）被訪問控制策略允許、禁止的訪問請求；

6）檢測到的攻擊行為；

7）其他應該記錄的事件信息。

b）日志內容

1）數(shù)據(jù)包的協(xié)議類型、源地址、目標地址、源端口和目標端口；

2）訪問控制發(fā)生的時間，日期必須包括年、月、日，時間必須包括時、分、秒;

3）產生日志記錄的訪問控制策略執(zhí)行結果；

4）攻擊事件其他需要描述的信息；

5）工控防火墻操作事件發(fā)生的時間，日期必須包括年、月、日，時間必須包括時、

分、秒；

6）執(zhí)行操作的用戶、執(zhí)行操作的結果；

7）應根據(jù)日志內容設置日志級別，包括但不限于調試、信息、警告、錯誤等多個

級別；

8）應至少支持一種以上工業(yè)協(xié)議深度內容審計，審計深度與工業(yè)協(xié)議深度內容

檢測深度一致。

5.3.1.3.3日志管理

工控防火墻應支持日志管理功能，具體技術要求如下：

a）應只允許授權審計員能夠對日志進行讀取、存檔、導出、刪除和清空等操作；

b）應提供能查閱日志的工具，具備對審計事件以時間、日期、主體標識、客體標識等

條件檢索的能力，并且只允許授權管理員使用查閱工具；

c）審計事件應存儲于掉電非易失性存儲介質中，且在存儲空間達到閾值時至少能夠通

知授權審計員；

d）應支持第三方日志管理系統(tǒng)對工控防火墻日志信息進行集中收集、存儲。

5.3.1.3.4安全管理

5.3.1.3.4.1安全支撐系統(tǒng)

工控防火墻的底層支撐系統(tǒng)應滿足以下要求：

a）確保其支撐系統(tǒng)不提供多余的網絡服務；

b）不含任何導致產品權限丟失、拒絕服務等的安全漏洞。

5.3.1.3.4.2異常處理機制

工控防火墻在非正常條件（比如掉電、強行關機）關機再重新啟動后，應滿足如下技術

要求：

a）安全策略恢復到關機前的狀態(tài)；

b）日志信息不會丟失；

c）管理員重新鑒別。

5.3.1.3.5高可用性

.5.1Bypass功能

部署在現(xiàn)場控制層的工控防火墻應具備Bypass功能，當工控防火墻自身出現(xiàn)斷電或其他

軟硬件故障時，應使工控防火墻內部接口與外部接口直接物理連通，保持內部網絡與外部網

絡之間的正常通信。

5.3.1.3.5.2多工作模式

工控防火墻應支持多種工作模式，保證工控防火墻區(qū)分部署和工作過程以實現(xiàn)對被防護

系統(tǒng)的最小影響，具體技術要求如下：

a）支持學習模式，工控防火墻記錄運行過程中經過防火墻的所有策略、資產等信息，

形成白名單策略集；

b）應至少支持一種工控協(xié)議的深度策略學習，學習深度與工業(yè)協(xié)議深度內容檢測深

度一致；

c）支持驗證模式或測試模式，該模式下工控防火墻對白名單策略外的行為做告警，但

不攔截；

d）支持工作模式，工控防火墻的正常工作模式，嚴格按照防護策略進行過濾等動作保

護。

5.3.1.3.5.3安全策略無擾下裝

進行工控防火墻安全策略應用時不應該影響正常的數(shù)據(jù)通信。

5.3.1.3.5,4時鐘同步

工控防火墻應支持與時鐘服務器自動同步時鐘功能。

5.3.1.3.5.5電源冗余

部署現(xiàn)場控制層的工控防火墻應提供雙電源冗余功能

5.3.1.3.5.6散熱方式

部署現(xiàn)場控制層的工控防火墻應采用自然散熱，無風扇方式設計。

5.3.1.3.5.7雙機熱備

部署域間的工控防火墻應具備雙機熱備的能力，當主防火墻自身出現(xiàn)斷電或其他故障

時，備防火墻應及時發(fā)現(xiàn)并接管主防火墻進行工作

5.3.2安全保證要求

工控防火墻增強級安全保證要求，按照IT防火墻標準GB/T20281中關于IT防火墻增

強級安全保證要求的規(guī)定執(zhí)行。

附錄A

附錄B（資料性附錄）

附錄C環(huán)境適應性要求

本標準的環(huán)境適應性要求包括氣候、電磁兼容、絕緣、接地、機械適應性、外殼防護。

每一項又有各自的具體要求。應根據(jù)設備實際部署環(huán)境的不同，由用戶和設備制造商確定具

體應滿足的要求。

本標準環(huán)境適應性要求章節(jié)的編寫主要參考了GB/T30094-2013工業(yè)以太網交換機技

術規(guī)范，其參考的相關標準主要為GB/T2423系列電工電子產品環(huán)境試驗，GB/T17626系列

電磁兼容試驗和測量技術，其余詳見下文。

本章節(jié)所涉及的標準，凡是未注明日期的，應參考該標準最新版本。

A.1氣候

A.1.1溫度

表A.1規(guī)定了設備工作、貯存和運輸溫度條件。設備在規(guī)定的工作溫度范圍內工作時，

其功能和性能應滿足本標準的規(guī)定。在規(guī)定的溫度范圍內貯存和運輸時，不應發(fā)生裂痕、老

化或其他損壞；當經受該溫度范圍后再恢復到工作溫度范圍時.，設備應能正常工作。

應用于溫度快速變化場合的設備、在經受不超過5°C/min的溫度變化時應能正常工作。

表A.1溫度條件

工作溫度/匕貯存和運輸溫度/°c

等級

低溫高溫低溫高溫

I060-4070

II-4070-4085

X特定

注：X是一個開放等級，具體溫度要求范圍可根據(jù)設備實際應用環(huán)境與客戶協(xié)商確定。

A.1.2相對濕度

設備在表A.2規(guī)定的相對濕度環(huán)境條件下應能正常工作:

表A.2相對濕度條件（無凝結）

等級低相對濕度小）高相對濕度（％）

I595

X特定

注：X是一個開放等級，具體相對濕度要求范圍可根據(jù)設備實際應用環(huán)境與客戶協(xié)商確

定。

A.1.3大氣壓力

設備工作大氣壓力條件見表A.3

表A.3大氣壓力條件

等級低氣壓/kPa高氣壓/kPa

I80106

II70106

X特定

注：X是一個開放等級，具體抗腐蝕性要求范圍可根據(jù)設備實際應用環(huán)境與客戶協(xié)商確

定。

A.1.4防腐蝕

設備工作在鹽霧環(huán)境條件下或存在其他化學活性物質，應提供工業(yè)環(huán)境中抗腐蝕和侵蝕

的能力，保證設備在表A.4、A.5規(guī)定的環(huán)境條件下能夠長期使用。

表A.4鹽霧

等級最大鹽霧濃度（mg/n?）

IW5

X特定

注：X是一個開放等級，具體抗腐蝕性要求范圍可根據(jù)設備實際應用環(huán)境與客戶協(xié)商確

定。

表A.5化學活性物質條件

等級依據(jù)標準化學活性物質

I工業(yè)清潔空氣

n中等污染

GB/T17214.4

in嚴重污染

X特定

注：X是一個開放等級，具體抗腐蝕性要求范圍可根據(jù)設備實際應用環(huán)境與客戶協(xié)商確

定。

A.1.5抗霉變

設備工作在潮濕多雨地區(qū)和霉菌滋生環(huán)境下不應發(fā)生霉變，并能夠正常工作。

A.2電磁兼容性

設備應滿足工業(yè)環(huán)境中的電磁兼容性要求，具體技術指標見下列表A.7?表A.26。

其中，電磁兼容輻射和傳導發(fā)射限值按GB4824為CLASSA,電磁兼容抗擾度的性能判據(jù)

要求詳見表A.6。

表A.6性能判據(jù)

性能評價判據(jù)說明

A試驗期間和試驗后受試設備均應按預期要求繼續(xù)運行，無功能喪失或性能下降

B試驗期間，受試設備允許出現(xiàn)暫時的性能下降或功能喪失，但設備可以自我恢復，

試驗后設備應按預期要求繼續(xù)運行。不能出現(xiàn)系統(tǒng)死機、復位或重啟。

C試驗期間，允許受試設備出現(xiàn)暫時的性能下降或功能喪失，但需要人工干預或系

統(tǒng)復位才能恢復

表A.7輻射發(fā)射及傳導發(fā)射要求

測試項測試端口參考標準測試頻段限值

輻射發(fā)射整機GB4824、30MHz?1GHzA類

GB9254

傳導發(fā)射電源口、信號口150KHz?30MHzA類

表A.8外殼端口靜電放電抗擾度要求

等級依據(jù)標準嚴酷等級判據(jù)

I3（接觸放電±6KV,空氣放電±8KV）A

IIGB/T17626.24（接觸放電±8KV,空氣放電±15KV）A

X特定

注：X是一個開放等級，具體電磁兼容性能力要求可根據(jù)設備實際應用環(huán)境與客戶協(xié)商確定。

表A.9整機射頻電磁場輻射抗擾度要求

等級依據(jù)標準嚴酷等級試驗頻段判據(jù)

I2(3V/m,80%AM)A

80MHz?1GHz

11GB/T17626.33(lOV/m,80%AM)A

X特定

注：X是一個開放等級，具體電磁兼容性能力要求可根據(jù)設備實際應用環(huán)境與客戶協(xié)商

確定。

表A.10電源端口及信號端口電快瞬變脈沖群抗擾度要求

等級依據(jù)標準嚴酷等級據(jù)

I3（電源口±2KV,信號口±1KV）A

IIGB/T17626.44（電源口±4KV,信號口±2KV）A

X特定

注：X是一個開放等級，具體電磁兼容性能力要求可根據(jù)設備實際應用環(huán)境與客戶協(xié)商

確定。

表A.11信號端口浪涌（沖擊）抗擾度要求

等級依據(jù)標準嚴酷等級判據(jù)

I2A

II線-地3A

GB/T17626.5

III4A

X特定

注：X是一個開放等級，具體電磁兼容性能力要求可根據(jù)設備實際應用環(huán)境與客戶協(xié)商

確定。

表A.12直流電源輸入端口浪涌（沖擊）抗擾度要求

等級依據(jù)標準嚴酷等級判據(jù)

I33A

線-地線-線

IIGB/T17626.544A

X特定

注：X是一個開放等級，具體電磁兼容性能力要求可根據(jù)設備實際應用環(huán)境與客戶協(xié)商

確定。

表A.13交流電源輸入端口浪涌（沖擊）抗擾度要求

等級依據(jù)標準嚴酷等級判據(jù)

I33A

線-地線-線

11GB/T17626.544A

X特定

注：X是一個開放等級，具體電磁兼容性能力要求可根據(jù)設備實際應用環(huán)境與客戶協(xié)商

確定。

表A.14電源端口及信號端口射頻場感應的傳導騷擾抗擾度要求

等級依據(jù)標準嚴酷等級試驗頻段判據(jù)

I2(3V,80%AM)A

150KHz?80MHz

IIGB/T17626.63(10V,80%AM)A

X特定

注：X是一個開放等級，具體電磁兼容性能力要求可根據(jù)設備實際應用環(huán)境與客戶協(xié)商

確定。

表A.15整機工頻磁場抗擾度要求

等級依據(jù)標準嚴酷等級判據(jù)

I穩(wěn)定持續(xù)磁場：4級A

短時作用磁場：4級

11GB/T17626.8穩(wěn)定持續(xù)磁場：5級A

短時作用磁場：5級

X特定

注：X是一個開放等級，具體電磁兼容性能力要求可根據(jù)設備實際應用環(huán)境與客戶協(xié)商確定。

表A.16整機阻尼振蕩磁場抗擾度要求

等級依據(jù)標準嚴酷等級判據(jù)

I4A

IIGB/T17626.105A

X特定

注：X是一個開放等級，具體電磁兼容性能力要求可根據(jù)設備實際應用環(huán)境與客戶協(xié)商

確定。

表A.17電源端口阻尼振蕩波抗擾度要求

等級依據(jù)標準嚴酷等級判據(jù)

I2A

IIGB/T17626.12-1998表23A

X特定

注：X是一個開放等級，具體電磁兼容性能力要求可根據(jù)設備實際應用環(huán)境與客戶協(xié)商

確定。

表A.18振鈴波抗擾度要求

等級依據(jù)標準嚴酷等級判據(jù)

I3A

IIGB/T17626.12表14A

X特定

注：X是一個開放等級，具體電磁兼容性能力要求可根據(jù)設備實際應用環(huán)境與客戶協(xié)商

確定。

表A.19電源口0Hz?150Hz共模傳導騷擾抗擾度要求

等級依據(jù)標準嚴酷等級判據(jù)

I3A

IIGB/T17626.164A

X特定

注：X是一個開放等級，具體電磁兼容性能力要求可根據(jù)設備實際應用環(huán)境與客戶協(xié)商

確定。

表A.20交流電源輸入端口電壓暫降抗擾度要求

等級依據(jù)標準嚴酷等級判據(jù)

I2類B

IIGB/T17626.113類B

X特定

注：X是一個開放等級，具體電磁兼容性能力要求可根據(jù)設備實際應用環(huán)境與客戶協(xié)商

確定。

表A.21交流電源輸入端口短時中斷抗擾度要求

等級依據(jù)標準嚴酷等級判據(jù)

I2類C

IIGB/T17626.113類C

X特定

注：X是一個開放等級，具體電磁兼容性能力要求可根據(jù)設備實際應用環(huán)境與客戶協(xié)商

確定。

表A.22交流電源輸入端口電壓變化抗擾度要求

試驗參數(shù)

等

依據(jù)標準

級電壓實驗等電壓降低所需時降低后電壓維持時電壓增加所需時

判據(jù)

級間間間

I70%突變1周期25周期A

GB/T17626.11

X特定特定特定特定特定

注：X是一個開放等級，具體電磁兼容性能力要求可根據(jù)設備實際應用環(huán)境與客戶協(xié)商確定。

表A.23直流電源輸入端口紋波抗擾度

等級依據(jù)標準嚴酷等級判據(jù)

I2A

113A

GB/T17626.17

III4A

X特定

注：X是一個開放等級，具體電磁兼容性能力要求可根據(jù)設備實際應用環(huán)境與客戶協(xié)商

確定。

表A.24直流電源輸入端口電壓暫降抗擾度

等級依據(jù)標準嚴酷等級判據(jù)

I試驗等級：40%和70%%持續(xù)時間：1sA

GB/T17626.29

X特定

注：X是一個開放等級，具體電磁兼容性能力要求可根據(jù)設備實際應用環(huán)境與客戶協(xié)商

確定。