GB/T 41274-2022 可編程控制系統(tǒng)內生安全體系架構（正式版）

ICSCCS25.040.40GB/T41274—2022國家市場監(jiān)督管理總局國家標準化管理委員會GB/T41274—2022本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定請注意本文件的某些內容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。本文件由全國工業(yè)過程測量控制和自動化標準化技術委員會(SAC/TC124)歸口。工業(yè)自動化研究所有限公司。1GB/T41274—2022可編程控制系統(tǒng)內生安全體系架構本文件規(guī)定了可編程控制系統(tǒng)內生安全體系架構，描述了可編程控制系統(tǒng)內生安全的目標和各單高可用實現(xiàn)等。2規(guī)范性引用文件下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文GB/T15969.3—2017可編程序控制器第3部分：編程語言3術語和定義下列術語和定義適用于本文件。3.1.13.1.2傷害的潛在根源。3.1.3風險risk傷害發(fā)生的概率與該傷害嚴重程度的組合。3.1.4免于不可接受的風險。2GB/T41274—2022注1:保護系統(tǒng)所采取的措施。注5:措施是與物理信息安全(控制物理訪問計算機的資產(chǎn))或者邏輯信息安全(登錄給定系統(tǒng)和應用的能力)相關樣規(guī)定執(zhí)行EUC安全相關任務的功能?？删幊屉娮酉到y(tǒng)的軟件的一部分，規(guī)定了執(zhí)行EUC相關任務的功能而不是可編程裝置自身的功3GB/T41274—20223.2.53.2.6可編程序(邏輯)控制器programmable(logic)controller;PLC一種用于工業(yè)環(huán)境的數(shù)字式操作的電子系統(tǒng)。這種系統(tǒng)用可編程的存儲器作面向用戶指令的內部型的機械或過程?？删幊绦?邏輯)控制器及其相關外圍設備的設計，使它能夠非常方便地集成到工業(yè)注：在本文件中使用縮寫詞PLC代表可編程序(邏輯)控制器(programmablelogiccontrollers),這在自動化行業(yè)中已形成共識。原來曾用PC作為可編程序(邏輯)控制器的3.2.7用戶根據(jù)所要完成的自動化系統(tǒng)要求而建立的由可編程控制器及其相關外圍設備組成的配置。制造執(zhí)行系統(tǒng)(MES)和企業(yè)資源計劃(ERP)管理系統(tǒng)；3.2.8執(zhí)行所要求的安全功能(3.3.1)使EUC(3.2.1)達到或保持安全狀態(tài)的系統(tǒng)，自身或與其他E/E/PE注1:安全相關系統(tǒng)與其他風險降低措施一起，實現(xiàn)必要的風險降低量，以滿足所要求的可容忍風險。參見GB/T20438.5—2017中附錄A。注2:安全相關系統(tǒng)能在檢測到可導致危險事件的情況時采取適當?shù)膭幼饕苑乐笶UC進入危險狀態(tài)。安全相關系統(tǒng)的失效包含于導致危險的事件中。盡管可能存在具備安全功能的其他系統(tǒng)，但所指定的安全相關系統(tǒng)僅靠其自身能力達到要求的可容忍風險。安全相關系統(tǒng)一般被分為安全相關控制系統(tǒng)和安全相關保護注3:安全相關系統(tǒng)是EUC控制系統(tǒng)的組成部分，也能用傳感器和/或執(zhí)行器與EUC連接。即能通過EUC控制a)用于防止危險事件發(fā)生(即安全相關系統(tǒng)一旦執(zhí)行其安全功能則避免傷害事件發(fā)生)。c)同時具有a)和b)的功能組合。4GB/T41274—2022注6:安全相關系統(tǒng)包括執(zhí)行規(guī)定安全功能所需的全部硬件、軟件以及支持服務(如電源),因此，傳感器、其他輸入裝置、最終元件(執(zhí)行器)和其他輸出裝置都包括在安全相關系統(tǒng)中。示例：功能元件加倍和增加奇偶校驗位。注1:冗余主要用于提高可靠性(在給定時間范圍內功能正確的概率)或可用性(在特定時間點具有功能的概率),也能通過像2oo3這樣的架構來使誤動作最小化。個冗余項運行)、“混合的(mixed)”(在同一時間一個或幾個項運行和一個或幾個項待機)。安全功能safetyfunction其他風險降低措施實現(xiàn)的功能。示例1:在要求時執(zhí)行的功能，作為一種主動行動以避免危險狀況(如關閉電機)。示例2:采取預防行為的功能(如防止馬達啟動)。安全完整性safetyintegrity在規(guī)定的時間段內和規(guī)定的條件下，安全相關系統(tǒng)(3.2.8)成功執(zhí)行規(guī)定的安全功能(3.3.1)的概率。注1:安全完整性越高，安全相關系統(tǒng)在要求時未能執(zhí)行規(guī)定的安全功能或未能實現(xiàn)規(guī)定的狀態(tài)的概率就越低。注2:有4個安全完整性等級(見3.3.6)。注3:在確定安全完整性時，包括所有導致非安全狀態(tài)的失效原因(隨機硬件失效和系統(tǒng)性失效),如硬件失效、軟件導致的失效和電磁干擾導致的失效。某些類型的失效，尤其是隨機硬件失效，能用危險失效模式下的平均失效頻率或安全相關保護系統(tǒng)未能在要求時動作的概率來量化，但是安全完整性還取決于許多不能精確量化只可定性考慮的因素。注4:安全完整性由硬件安全完整性(見3.3.5)和系統(tǒng)性安全完整性(見3.3.4)構成。注5:本定義針對安全相關系統(tǒng)執(zhí)行安全功能的可靠性(見IEC60050-192:2015可靠性的定義)。系統(tǒng)性安全完整性systematicsafetyintegrity注：系統(tǒng)性安全完整性通常不能量化(與通?？闪炕挠布踩暾悦黠@不同)。3.3.5注：本術語涉及在危險模式下的失效，是將削弱其安全完整性的安全相關系統(tǒng)的這類失效。與本術語有關的兩個參數(shù)是危險失效平均頻率和在要求時動作失效的概率。前一可靠性參數(shù)在為保持安全而保持連續(xù)控制時使用，后一可靠性參數(shù)在安全相關保護系統(tǒng)場合中使用。5GB/T41274—20223.3.6安全完整性等級safetyintegritylevel;SIL一種離散的等級(4個可能等級之一),對應安全完整性量值的范圍。安全完整性等級4是最高的，安全完整性等級1是最低的。注1:4個安全完整性等級對應的目標失效量(見GB/T20438.4—2017中3.5.17)參見GB/T20438.1—2017中表2和表3。4可編程控制系統(tǒng)內生安全體系架構4.1概述可編程控制系統(tǒng)的系統(tǒng)架構與內生安全部署如圖1所示，主要包括可編程電子模塊或工業(yè)控制系安全增強控制軟件平臺場景識別與身份認證●數(shù)據(jù)分級輕量加密●安全多語言編譯器·主機安全加固域級綜合安全管理系統(tǒng)控制網(wǎng)絡安全協(xié)議服務器MNct控制網(wǎng)絡安全增強模塊●實時加密虛擬隨道安全監(jiān)測與異常預警內生安全控制模塊冗余10模塊·動態(tài)完整性檢測異構冗余工程程序安全保護同構冗余異常診斷與冗余容錯多重冗余2組冗余10模塊4塊IO模塊混裝本安IO模塊系列/離模型10模塊系列現(xiàn)場工業(yè)網(wǎng)關配置合法性監(jiān)測圖1可編程控制系統(tǒng)的系統(tǒng)架構與內生安全部署圖6GB/T41274—20224.2可編程控制系統(tǒng)內生安全特性4.2.1可編程控制系統(tǒng)的完整性保障可編程控制系統(tǒng)硬件資源、軟件環(huán)境與應用程序應具有完整性保障檢測與保護措施。注1:該保護措施能監(jiān)測可編程電子部件的硬件功能、配置信息、固件程序等靜態(tài)完整性。注3:該保護措施能制定線程及資源的創(chuàng)建、分配、回收等進程調度安全策略，實現(xiàn)安全進程與資源列表的動態(tài)維護。注4:控制器內核架構及資源受限訪問控制與應用隔離機制，能攔截非法跨進程資源訪問請求，實現(xiàn)運行空間的隔離與保護。4.2.2應用程序的全生命周期安全保護注1:應用程序的多樣化生成方法包括動態(tài)多樣化混淆編輯、異構等價二進制數(shù)據(jù)動態(tài)生成等方法。注2:通過構建應用程序文件的安全存儲與發(fā)布系統(tǒng)，實現(xiàn)應用程序文件完整性校驗與傳輸方法。注3:結合基于時間多變性、空間多樣性等動態(tài)輕量加密方法，實現(xiàn)被攻擊視圖的動態(tài)隨機化分配與非明文表達。4.2.3可編程控制系統(tǒng)的綜合診斷與高可用實現(xiàn)可編程控制系統(tǒng)的綜合診斷與表決冗余等方法，應保障控制器的高可用性。注1:綜合診斷方法包括控制系統(tǒng)模件/模塊/功能電路的隨機失效與安全威脅綜合診斷、故障隔離與在線修復等。注2:控制器組件或模塊的在線配置、在線診斷、聯(lián)機調試等方法，能設計隨機失效與安全威脅在線綜合診斷技術，實現(xiàn)故障或失效的自動識別及快速定位。據(jù)同步及異構多模冗余表決，能實現(xiàn)異構動態(tài)與冗余容錯，保障控制裝備的高安全性與高可用性。4.3可編程控制系統(tǒng)工業(yè)網(wǎng)絡4.3.1控制網(wǎng)絡的安全機制控制網(wǎng)絡信息的安全傳輸，應確保數(shù)據(jù)的機密性、完整性、安全性。4.3.2控制網(wǎng)絡與現(xiàn)場總線安全監(jiān)測與異常預警控制網(wǎng)絡與現(xiàn)場總線安全監(jiān)測與異常預警應通過數(shù)據(jù)流場景序列關聯(lián)分析、數(shù)據(jù)包分類基線檢測、控制系統(tǒng)編程時或運行時的網(wǎng)絡行為分析等技術實現(xiàn)。注：基于控制網(wǎng)絡與現(xiàn)場總線協(xié)議的深度理解，通過通信包完整性分析、數(shù)據(jù)字段合法性監(jiān)測等方法，能實現(xiàn)非法數(shù)據(jù)包的檢測與過濾。4.4可編程控制系統(tǒng)的應用軟件開發(fā)與運行平臺應用軟件開發(fā)與運行平臺的總體架構示意圖如圖2所示，圖2左側為不同層次的硬件平臺，主要運行工程師站圖形組態(tài)與控制編程軟件、操作員站實時監(jiān)控軟件、控制器或控制站實時控制軟件等，通過系統(tǒng)網(wǎng)絡交互各種數(shù)據(jù)、管理和控制信息，協(xié)調一致地完成整個控制系統(tǒng)的各種功能；主要功能包括現(xiàn)場數(shù)據(jù)采集、算法執(zhí)行、實時數(shù)據(jù)和歷史數(shù)據(jù)處理、報警和安全機制、流程控制、動畫顯示、趨勢曲線和報7GB/T41274—2022表輸出以及監(jiān)控網(wǎng)絡等。硬件商置實時數(shù)據(jù)庫工程師站第三方驅動)系統(tǒng)網(wǎng)絡安全通信)(控制在線監(jiān)視)CS控制器或控制站安全通信功能SNelB程序介信息安金防護功能整性保證(事作及時響應)資源可出性訪問控制)權限控制(信息加密受限數(shù)拆流)控制在線監(jiān)視余表決完整性保障安全功能驗證功能配置內部資源信息加密權泵分配2A使用《會話管理監(jiān)視完整性備份灰復恢復完整性校驗受限數(shù)據(jù)流網(wǎng)絡分區(qū)邊界防擴道信限制應用分離物理防篡攻》軟件診斷初始化與安全啟動安全配置通信內部資源靜態(tài)加固技術交互完整性更新完整性動態(tài)防護技術應用程序檢測完整性第三方史數(shù)玷庫事件及時響應標識認證其他功能數(shù)據(jù)要口傳輸加密控制運算信息留存存儲如密策略決策硬件診腳實時數(shù)據(jù)庫報告診所控制T/0處理服務訪問控制控制算法編料權限控制CNctB加密管坦設備接口CNct2圖2應用軟件開發(fā)與運行平臺的總體架構示意圖4.4.2監(jiān)控操作功能用戶登錄權限管理，應建立用戶權限授權管理機制。注2:用戶登錄安全管理機制的建立能實現(xiàn)用戶授權密碼復雜性、差異性、使用期限、嘗試次數(shù)、單操作站/工程師注3:用戶身份信息的輕量標識方法能實現(xiàn)動態(tài)輕量加解密策略，進而實現(xiàn)快速身份識別。注4:用戶權限分配方法能實現(xiàn)授權鏈安全管理與查詢優(yōu)化策略，進而實現(xiàn)快速用戶權限鑒別。監(jiān)控操作運行模塊應實現(xiàn)人機交互畫面的動態(tài)顯示與操作管理。區(qū)與系統(tǒng)軟件功能區(qū)的授權配置，應支持安全區(qū)與功能區(qū)操作的訪問受控；基于實時數(shù)據(jù)庫逐點權限訪問控制、圖形操作單元權限訪問控制、圖形操作單元關鍵數(shù)據(jù)輸入值的范圍限制與關鍵數(shù)據(jù)二次確認，應保證關鍵操作的訪問受控。注1:按周期記錄或變差記錄能生成歷史數(shù)據(jù)序列。注2:依據(jù)設置的報警條件，能生成實時數(shù)據(jù)事件報警記錄，同時能支持多種報警響應處理。注3:依據(jù)報表組態(tài)信息生成報表記錄，能形成報表管理系統(tǒng)。監(jiān)控操作生成模塊應實現(xiàn)流程畫面繪制組態(tài)，提供豐富的圖庫和圖元庫，應滿足基本工程組態(tài)需求，同時應支持工程師自行開發(fā)所需圖庫。畫面圖元應支持動態(tài)鏈接，建立畫面的圖素與數(shù)據(jù)庫記錄點GB/T41274—2022用戶操作權限管理應支持用戶操作安全區(qū)與系統(tǒng)軟件功能區(qū)的多級多組授權配置；應支持實時數(shù)注1:工程程序與運行數(shù)據(jù)所采用的分級動態(tài)輕量加密方法，能適應工業(yè)場景安全性與可用性多級多樣的需求。注2:數(shù)據(jù)完整性校驗和動態(tài)恢復方法能實現(xiàn)關鍵數(shù)據(jù)代碼的安全存儲與周期性校驗，確保非法篡改的及時發(fā)現(xiàn)與快速恢復。監(jiān)控操作腳本語言模塊應提供監(jiān)控操作腳本語言，通過腳本應實畫面操作相關的數(shù)值計算與邏輯操作等功能。注1:模塊能自動檢測腳本中錯誤的位號或語法并實現(xiàn)錯誤定位。注2:模塊能結合用戶操作權限管理配置信息，識別審核安全區(qū)與功能區(qū)、數(shù)據(jù)點與圖形單元等非授權操作。軟件環(huán)境升級代碼安全保護模塊應支持引導程序或軟件環(huán)境升級代碼的安全保護。注1:工程程序算法編輯器區(qū)分安全工程程序與非安全工程程序，安全程序編輯中有且僅有通過功能安全規(guī)范認證的安全相關FBD算法塊能選擇與編輯，分別生成安全工程程序文件與非安全工程程序文件，并在程序文件中附加程序完整性校驗信息。注2:用戶安全工程程序能進行錯誤檢查與編譯生成，其中錯誤檢查包括非法數(shù)據(jù)源、非法算法塊、無效算法鏈接注1:基于控制算法編程規(guī)則的人為失誤審核、基于哈希函數(shù)(MD5、CRC32等)等的工程程序源碼，及工程程序目標碼的完整性檢測、最小化安全相關FBD算法功能塊集合等的安全相關措施，能實現(xiàn)控制算法編輯器的存儲介質隨機失效、控制算法編輯器軟件設計缺陷、人為惡意篡注2:用戶項目工程密碼授權、工程程序頁密碼授權能防范非授權工程程序訪問。流程的復用重構，防范關鍵控制程序與核心工藝參數(shù)的篡改與泄露。89GB/T41274—2022實時控制模塊包括控制運算處理單元與網(wǎng)絡通信及安全防護處理單元，控制運算處理單元實現(xiàn)I/監(jiān)視信息轉發(fā)等功能?？刂七\算處理單元應通過控制模塊私有內部總線連接網(wǎng)絡通信及安全防護處理單元，實現(xiàn)數(shù)據(jù)交換與安全隔離。注1:控制運算處理單元通過10總線連接AI模塊、DI模塊、AO模塊、DO模塊和其他特殊模塊(AI模塊、DI