【儀表網(wǎng) 行業(yè)科普】為了確保過程制造企業(yè)實現(xiàn)全面的工業(yè)安全，需要關(guān)注工業(yè)控制系統(tǒng)(ICS)的功能安全和網(wǎng)絡(luò)安全。
 

　　國際自動化協(xié)會(ISA)將自動化定義為創(chuàng)建和應(yīng)用技術(shù)來監(jiān)控和控制產(chǎn)品和服務(wù)的生產(chǎn)和交付。對于過程工業(yè)來說，另一個有用的通用術(shù)語是工業(yè)自動化控制系統(tǒng)(IACS)；根據(jù)IEC 62443-1-1，工業(yè)自動化和控制系統(tǒng)是一個由流程、人員、硬件和軟件組成的集合，能夠影響工業(yè)流程的安全、可靠運行。這一術(shù)語通常用來描述不同類型的控制系統(tǒng)和相關(guān)儀器，包括用于操作和自動化工業(yè)過程的設(shè)備、系統(tǒng)、網(wǎng)絡(luò)和控制。一般來說，在提及IACS系統(tǒng)時，工業(yè)控制系統(tǒng)(ICS)這個詞會被更多地使用。
 

　　ICS安全可以綜合歸類為功能安全和網(wǎng)絡(luò)安全。分別對其進(jìn)行研究，可以幫助理解它們是如何重疊的。
 

　　01  功能安全與網(wǎng)絡(luò)安全
 

　　什么是功能安全？它是系統(tǒng)或設(shè)備整體安全的一部分，依賴于自動保護，并以可預(yù)測的方式對其輸入反饋或故障做出正確響應(yīng)。
 

　　什么是網(wǎng)絡(luò)安全？它包括與網(wǎng)絡(luò)相關(guān)的安全和物理安全。盡管“網(wǎng)絡(luò)安全”一詞通常意味著只關(guān)注“互聯(lián)網(wǎng)”連接，但在ICS環(huán)境中并非如此。
 

　　直到幾年前，功能安全和網(wǎng)絡(luò)安全還被認(rèn)為是彼此獨立的，并被分別處理。但現(xiàn)在情況不再是這樣了，因為過程工業(yè)安全標(biāo)準(zhǔn)需要進(jìn)行網(wǎng)絡(luò)評估。根據(jù)ANSI/ISA 61511/IEC 61511標(biāo)準(zhǔn)，需要對網(wǎng)絡(luò)風(fēng)險進(jìn)行評估以符合標(biāo)準(zhǔn)。
 

　　在進(jìn)一步了解ICS安全性之前，還需要了解故障和威脅。ICS的設(shè)計應(yīng)充分解決功能安全問題，故障可能來自硬件故障、人為錯誤、系統(tǒng)錯誤以及運營和環(huán)境壓力。
 

　　02  ICS的硬件故障
 

　　硬件故障通常來自ICS中的現(xiàn)場設(shè)備、傳感器和儀表。硬件故障(也被稱為隨機故障)是比較常見的。這些故障的發(fā)生有多種原因，可能是由于設(shè)備中的子組件發(fā)生故障、運營、環(huán)境壓力或不適當(dāng)?shù)木S護而造成的。
 

　　系統(tǒng)性錯誤可能是設(shè)計錯誤，也可能是由文件錯誤引起的。硬件故障也可以說是一種系統(tǒng)性錯誤。然而，應(yīng)該對其分開處理，而不是作為一個問題來對待。運行或環(huán)境壓力取決于綜合控制系統(tǒng)的位置，是在受控環(huán)境中還是在機密區(qū)域。
 

　　03  網(wǎng)絡(luò)威脅的類型
 

　　網(wǎng)絡(luò)威脅可以是外部的，也可以是內(nèi)部的，分為蓄意的或意外的。典型的外部威脅包括黑客、商業(yè)競爭對手和惡意組織的攻擊。典型的內(nèi)部威脅通常是由錯誤操作和不當(dāng)行為引發(fā)的。適當(dāng)?shù)腎CS安全意味著功能安全和網(wǎng)絡(luò)安全必須得到滿足，并且必須是集成的。當(dāng)這兩方面都得到充分解決時，就實現(xiàn)了ICS安全。
 

　　那種認(rèn)為擁有一個安全儀表系統(tǒng)(SIS)就足夠了，而網(wǎng)絡(luò)安全是一個可選項的想法是錯誤的。SIS本身可能會受到攻擊，從而危及安全。同時，沒有SIS系統(tǒng)并不意味著不需要網(wǎng)絡(luò)安全，因為獨立于過程控制系統(tǒng)的保護層可能會受到損害，從而危及安全。網(wǎng)絡(luò)安全生命周期取決于三個過程：分析、實施和維護。
 

　　04  相關(guān)的安全標(biāo)準(zhǔn)
 

　　功能安全相關(guān)的標(biāo)準(zhǔn)包括：IEC 61508/ANSI/ISA 61511/IEC 61511。IEC 61508被視為主要標(biāo)準(zhǔn)或總標(biāo)準(zhǔn)。ANSI/ISA 61511/IEC 61511則屬于過程工業(yè)的特定標(biāo)準(zhǔn)。在過程工業(yè)中，IEC 61508主要適用于供應(yīng)商特定的組件。因此，ICS的安全性和可靠性分析應(yīng)在這兩個標(biāo)準(zhǔn)的框架內(nèi)進(jìn)行。
 

　　ANSI/ISA 61511/IEC 61511包括三個部分：
 

　　第1部分：框架、定義、系統(tǒng)、硬件和應(yīng)用程序編程要求；
 

　　第2部分：第1部分的應(yīng)用指南；
 

　　第3部分：安全完整性等級(SIL)的定義指南。
 

　　批量過程控制系統(tǒng)滿足IEC 61511標(biāo)準(zhǔn)在某些情況下可能會采用SIS，也可能不需要SIS，這取決于過程的固有設(shè)計以及可用的儀表和控制實施。此外，并非必須使用安全PLC，因為SIS系統(tǒng)也可以通過硬件布線設(shè)計來實現(xiàn)。硬件布線設(shè)計通常會帶來復(fù)雜的布線和維護問題。雖然標(biāo)準(zhǔn)并未強制使用安全PLC，但安全PLC有許多優(yōu)點，如簡化復(fù)雜的布線、易于配置選項和提供現(xiàn)場診斷。
 

　　采用智能儀表和安全PLC，使企業(yè)獲得使用數(shù)據(jù)收集方法進(jìn)行預(yù)測性和預(yù)防性維護等優(yōu)勢，還可以提高工廠的可靠性。
 

　　對于網(wǎng)絡(luò)安全，可以使用ISA/IEC62443系列標(biāo)準(zhǔn)，它分為四部分：第1部分為總則，第2部分為政策和程序，第3部分為系統(tǒng)，第4部分為部件層。此外，還有一些針對特定行業(yè)和行業(yè)的指南和標(biāo)準(zhǔn)可供參考。
 

　　標(biāo)準(zhǔn)和準(zhǔn)則的好壞取決于實施情況。標(biāo)準(zhǔn)通常不是規(guī)定性的，因為不可能解決每個工藝裝置的設(shè)計問題。盡管標(biāo)準(zhǔn)不一定是法律，但它們具有一定程度的確定性；因此，用戶有責(zé)任通過適當(dāng)?shù)脑O(shè)計來滿足標(biāo)準(zhǔn)要求。最終用戶也有責(zé)任確保滿足標(biāo)準(zhǔn)需求，并且比供應(yīng)商的責(zé)任更大。
 

　　通過達(dá)到并保持SIL等級1-4有助于實現(xiàn)功能安全。SIL衡量的是與需求故障概率(PFD)有關(guān)的系統(tǒng)性能。在過程工業(yè)中，PFDAvg被廣泛使用，較少使用每小時故障概率(PFH)。
 

　　ANSI/ISA 61511/IEC 61511要求，如果任何供應(yīng)商聲稱其設(shè)備滿足功能安全，供應(yīng)商需要制定功能安全管理(FSM)計劃。最終用戶組織應(yīng)該有自己的FSM。根據(jù)該標(biāo)準(zhǔn)，從事SIS設(shè)計的FSM人員必須具備相關(guān)資質(zhì)。這種能力可以通過外部或內(nèi)部培訓(xùn)來實現(xiàn)。
 

　　05  安全完整性等級和安全保障等級
 

　　有三個參數(shù)對實現(xiàn)任何SIL目標(biāo)都至關(guān)重要:架構(gòu)約束、系統(tǒng)功能和故障概率。對于SIL 3目標(biāo)，可以選擇部分行程測試，但這將會導(dǎo)致復(fù)雜的設(shè)計變化，如測試期間的新旁通線路和復(fù)雜的部分行程測試設(shè)備。因此，在考慮這一方案之前，最好先解決其它保護層的問題。
 

　　對于網(wǎng)絡(luò)安全，標(biāo)準(zhǔn)制定了最佳實踐，并提供了評估安全性能的方法。IEC62443將安全保障等級(SAL)分配為0-4，與SIL等級非常相似。SAL取決于7個因素，這些因素被稱為基本需求，包括訪問控制、使用控制、數(shù)據(jù)完整性、數(shù)據(jù)機密性、受限數(shù)據(jù)流、對事件的及時響應(yīng)和資源可用性。
 

　　SIL是可量化的，但SAL還不是。當(dāng)不同行業(yè)有足夠的數(shù)據(jù)可用，并就建模方法達(dá)成一致時，就有可能量化SAL。當(dāng)然，由于網(wǎng)絡(luò)威脅和意圖不斷變化，可能無法很快實現(xiàn)量化。
 

　　對于SAL定性方法，風(fēng)險圖是一個很好的工具。公司可以使用任何現(xiàn)有的過程安全風(fēng)險圖，也可以開發(fā)新的網(wǎng)絡(luò)安全風(fēng)險圖。
 

　　■ 及時響應(yīng)事件：建議在控制室制定并保持應(yīng)急響應(yīng)計劃，以便運營人員可以立即實施。
 

　　■ 資源可用性：這很像功能安全的平均修復(fù)時間(MTTR)，需要充分維護。將系統(tǒng)備份和設(shè)備庫存，作為事件響應(yīng)計劃的一部分。
 

　　■ 恢復(fù)計劃：建議制定適當(dāng)?shù)幕謴?fù)計劃。運營技術(shù)(OT)人員應(yīng)在制定恢復(fù)計劃中發(fā)揮關(guān)鍵作用，因為信息技術(shù)(IT)人員通常不具備ICS裝置功能方面的知識。OT中的主題專家可以扮演這一角色。
 

　　企業(yè)必須保存適當(dāng)?shù)臏y試記錄和維護程序，因為ICS安全將貫穿整個生命周期，直至項目退役。雖然基本上不可能實現(xiàn)100%的安全，但制造企業(yè)可以朝這個方向努力。