每个生产过程都有其固有的风险。为了实现最大程度的安全和安保,在过程控制和安全系统之间必须实施有效的隔离,这是功能安全和网络安全标准所必需的。这牵涉到很多方面的利益,包括员工的健康、公司的资产和环境等因素。
为了更好地理解安全与安保之间的相互作用,需要澄清几个术语。安全有很多定义。一般情况下,安全被定义为没有危险。这意味着如果没有普遍认可的危险,那该工况就是安全的。通常不可能消除所有潜在风险;在复杂的系统中更是如此。
更常见的安全定义,则是没有不可接受的风险。将风险降低到可接受的水平是功能安全的任务。应用的安全性,取决于相应的技术系统 (如安全控制器) 的功能。如果该系统履行其保护功能,则将该应用视为功能安全。
可用两个例子来说明: 石油从管道中泄露,会危及附近人身的安全控制工程网版权所有,这是安全问题。一个系统,如果不能防止管道结冰(即使这被认为是它的任务),就会出现紧急工况,那它就是一个功能安全问题。功能安全系统保护人员、设施和环境,旨在预防事故,避免设备或系统停机。
过程工业越来越意识到有关标准对系统安全和收益的重要性。技术标准IEC 61511,功能安全-过程工业领域安全仪表系统,定义了减少事故和停机风险的最佳方法。它为控制和监测、预防和遏制以及紧急措施规定了单独的安全层 (见图 1)。这三层中的每一层,都为减少风险提供了具体功能,三层协同工作控制工程网版权所有,共同减轻生产过程带来的危害。
图 1: IEC 61511 为控制和监测、预防和遏制以及紧急措施规定了单独的安全层。图片来源: HIMA
IEC 61511 还规定了每个保护层级的独立性、多样性和物理隔离。为了满足这些要求,不同层次的功能需要彼此独立。对不同的层使用不同的 I/O 模块是远远不够的,因为自动化系统也依赖于I/O总线系统、CPU和软件功能。
根据IEC 61511的规定,如果要想被视为自主保护层,安全系统和过程控制系统必须基于不同的平台、开发基础和理念。具体而言,这意味着在系统体系结构中,过程控制系统层和安全保护系统层绝对不能共享部件。
不断上升的风险
在过去10年中,由于数字化的持续推进,工业系统遭受网络攻击的风险也在不断上升。这些攻击,除了危及信息安全,对系统安全也日益构成直接威胁。系统运行人员需要意识到这些风险并采取相应的措施,这可以通过多种方式来实现。与旨在保护人员安全的功能安全系统不同,这些系统和措施旨在保护技术信息系统免遭蓄意或无意的操纵,并防止旨在扰乱生产过程或窃取工业机密的攻击。
安全和安保已更紧密地结合在一起。网络安全起着关键的作用控制工程网版权所有,对于面向安全的系统而言更是如此www.cechina.cn,因为它构成了抵御潜在灾难的最后一道防线。
标准定义框架
安全控制器的设计、操作和规范,必须符合国际标准。IEC 61508是关于功能安全和安全系统的基本标准,适用于所有面向安全的系统 (电气、电子和可编程电子设备)。IEC 61511 是关于过程工业功能安全的基本标准,定义了选择安全功能组件适用的标准。
对于网络和系统中的信息技术(IT)安全,还必须考虑 IEC 62443网络安全系列标准。它确定了IT的安全管理系统,将保护层从相互独立的操作和保护设施中隔离出来,以及确保系统在完整的生命周期中的IT安全。它还需要为企业网络、控制室、安全仪表系统 (SIS) 和基本过程控制系统 (BPCS) 设置单独的区域,每个区域都必须受到防火墙的保护,以防止未经授权的访问 (见图 2)。
图 2: IEC 62443 需要为企业网络、控制室、安全仪表系统 (SIS) 和基本过程控制系统 (BPCS) 设置单独的区域,必须为每个区域设置防火墙,以防止未经授权的访问。
网络安全设计
安全和安保是与过程系统密切相关的两个方面,必须作为一个整体加以考虑。在过程控制系统中,标准化的硬件和软件需要定期更新,给软件和操作系统的漏洞打补丁。然而,由于软件体系结构复杂,要想评估分析所有风险是很难或不切实际的,这些风险可能是由系统更新引起的。例如www.cechina.cn,对过程控制系统的更新,可能会影响集成到控制系统中的安全系统的功能。
为了避免因控制系统更新而导致的安全相关过程中出现不可预知后果的严重故障,过程控制系统必须在技术上与安全系统分离。为了实现有效的网络安全,仅通过增加软件功能来升级现有产品是不够的。每个功能安全的解决方案,从开始时就必须考虑网络安全的设计和开发。这种理念,同样适用于固件和应用程序软件。
一个有效保护的例子是专门为面向安全应用设计专有操作系统,并在自主安全控制器上运行该操作系统。它包括安全 PLC 的所有功能,并排除所有其它功能,使其免受对信息系统的典型攻击。即使在通信处理器受到攻击的情况下,CPU 和通信处理器也需要独立,这主要是出于运行安全性的需求。
控制器允许在单个通信处理器或处理器模块上,运行多个物理上独立的网络。这可防止从相互连接的开发工作站直接访问自动化网络。此外,还可以单独禁用未使用的接口。
过程工业标准和网络安全标准的一个共同特点,是安全仪表系统和基本过程控制系统的分离。从现实和经济的角度来看,安全系统的独立性是一个很好的选择。例如www.cechina.cn,安全仪表系统和基本过程控制系统的生命周期和变化率非常不同。系统运行人员可以自由选择来自不同制造商的最佳解决方案。
与工艺技术无关的系统,尽管在物理上是分离的,但也可以集成到过程控制系统中,为关键应用提供最高程度的安全和安保。它们是提高过程系统的运行可靠性和可用性,以及提高生产过程总体利润率的最佳方法。(作者:Alexander Horch)