图片来源:由AI生成
国际自动化协会(ISA)将自动化定义为创建和应用技术来监控和控制产品和服务的生产和交付。对于过程工业来说,另一个有用的通用术语是工业自动化控制系统(IACS);根据IEC 62443-1-1控制工程网版权所有,工业自动化和控制系统是一个由流程、人员、硬件和软件组成的集合,能够影响工业流程的安全、可靠运行。这一术语通常用来描述不同类型的控制系统和相关仪器,包括用于操作和自动化工业过程的设备、系统、网络和控制。一般来说,在提及IACS系统时,工业控制系统(ICS)这个词会被更多地使用。
ICS安全可以综合归类为功能安全和网络安全。分别对其进行研究,可以帮助理解它们是如何重叠的。
01 功能安全与网络安全
什么是功能安全?它是系统或设备整体安全的一部分,依赖于自动保护,并以可预测的方式对其输入反馈或故障做出正确响应。
什么是网络安全?它包括与网络相关的安全和物理安全。尽管“网络安全”一词通常意味着只关注“互联网”连接,但在ICS环境中并非如此。
直到几年前,功能安全和网络安全还被认为是彼此独立的,并被分别处理。但现在情况不再是这样了,因为过程工业安全标准需要进行网络评估。根据ANSI/ISA 61511/IEC 61511标准,需要对网络风险进行评估以符合标准。
在进一步了解ICS安全性之前,还需要了解故障和威胁。ICS的设计应充分解决功能安全问题,故障可能来自硬件故障、人为错误、系统错误以及运营和环境压力。
02 ICS的硬件故障
硬件故障通常来自ICS中的现场设备、传感器和仪表。硬件故障(也被称为随机故障)是比较常见的。这些故障的发生有多种原因,可能是由于设备中的子组件发生故障、运营、环境压力或不适当的维护而造成的。
系统性错误可能是设计错误,也可能是由文件错误引起的。硬件故障也可以说是一种系统性错误。然而,应该对其分开处理,而不是作为一个问题来对待。运行或环境压力取决于综合控制系统的位置,是在受控环境中还是在机密区域。
03 网络威胁的类型
网络威胁可以是外部的,也可以是内部的,分为蓄意的或意外的。典型的外部威胁包括黑客、商业竞争对手和恶意组织的攻击。典型的内部威胁通常是由错误操作和不当行为引发的。适当的ICS安全意味着功能安全和网络安全必须得到满足,并且必须是集成的。当这两方面都得到充分解决时,就实现了ICS安全。
那种认为拥有一个安全仪表系统(SIS)就足够了CONTROL ENGINEERING China版权所有,而网络安全是一个可选项的想法是错误的。SIS本身可能会受到攻击,从而危及安全。同时,没有SIS系统并不意味着不需要网络安全,因为独立于过程控制系统的保护层可能会受到损害,从而危及安全。网络安全生命周期取决于三个过程:分析、实施和维护。
04 相关的安全标准
功能安全相关的标准包括:IEC 61508/ANSI/ISA 61511/IEC 61511。IEC 61508被视为主要标准或总标准。ANSI/ISA 61511/IEC 61511则属于过程工业的特定标准。在过程工业中,IEC 61508主要适用于供应商特定的组件。因此,ICS的安全性和可靠性分析应在这两个标准的框架内进行。
ANSI/ISA 61511/IEC 61511包括三个部分:
第1部分:框架、定义、系统、硬件和应用程序编程要求;
第2部分:第1部分的应用指南;
第3部分:安全完整性等级(SIL)的定义指南。
批量过程控制系统满足IEC 61511标准在某些情况下可能会采用SIS,也可能不需要SIS,这取决于过程的固有设计以及可用的仪表和控制实施。此外,并非必须使用安全PLC,因为SIS系统也可以通过硬件布线设计来实现。硬件布线设计通常会带来复杂的布线和维护问题。虽然标准并未强制使用安全PLC,但安全PLC有许多优点,如简化复杂的布线、易于配置选项和提供现场诊断。
采用智能仪表和安全PLC,使企业获得使用数据收集方法进行预测性和预防性维护等优势,还可以提高工厂的可靠性。
对于网络安全,可以使用ISA/IEC62443系列标准,它分为四部分:第1部分为总则,第2部分为政策和程序,第3部分为系统,第4部分为部件层。此外,还有一些针对特定行业和行业的指南和标准可供参考。
标准和准则的好坏取决于实施情况。标准通常不是规定性的,因为不可能解决每个工艺装置的设计问题。尽管标准不一定是法律,但它们具有一定程度的确定性;因此,用户有责任通过适当的设计来满足标准要求。最终用户也有责任确保满足标准需求,并且比供应商的责任更大。
通过达到并保持SIL等级1-4有助于实现功能安全。SIL衡量的是与需求故障概率(PFD)有关的系统性能。在过程工业中,PFDAvg被广泛使用,较少使用每小时故障概率(PFH)。
ANSI/ISA 61511/IEC 61511要求,如果任何供应商声称其设备满足功能安全,供应商需要制定功能安全管理(FSM)计划。最终用户组织应该有自己的FSM。根据该标准控制工程网版权所有,从事SIS设计的FSM人员必须具备相关资质。这种能力可以通过外部或内部培训来实现。
05 安全完整性等级和安全保障等级
有三个参数对实现任何SIL目标都至关重要:架构约束、系统功能和故障概率。对于SIL 3目标,可以选择部分行程测试,但这将会导致复杂的设计变化,如测试期间的新旁通线路和复杂的部分行程测试设备。因此,在考虑这一方案之前,最好先解决其它保护层的问题。
对于网络安全,标准制定了最佳实践,并提供了评估安全性能的方法。IEC62443将安全保障等级(SAL)分配为0-4,与SIL等级非常相似。SAL取决于7个因素,这些因素被称为基本需求,包括访问控制、使用控制、数据完整性、数据机密性、受限数据流、对事件的及时响应和资源可用性。
SIL是可量化的,但SAL还不是。当不同行业有足够的数据可用,并就建模方法达成一致时,就有可能量化SAL。当然,由于网络威胁和意图不断变化,可能无法很快实现量化。
对于SAL定性方法,风险图是一个很好的工具。公司可以使用任何现有的过程安全风险图,也可以开发新的网络安全风险图。
■ 及时响应事件:建议在控制室制定并保持应急响应计划www.cechina.cn,以便运营人员可以立即实施。
■ 资源可用性:这很像功能安全的平均修复时间(MTTR),需要充分维护。将系统备份和设备库存,作为事件响应计划的一部分。
■ 恢复计划:建议制定适当的恢复计划。运营技术(OT)人员应在制定恢复计划中发挥关键作用,因为信息技术(IT)人员通常不具备ICS装置功能方面的知识。OT中的主题专家可以扮演这一角色。
企业必须保存适当的测试记录和维护程序CONTROL ENGINEERING China版权所有,因为ICS安全将贯穿整个生命周期,直至项目退役。虽然基本上不可能实现100%的安全,但制造企业可以朝这个方向努力。
关键概念:
■ 了解功能安全和网络安全的定义和相关标准,以及它们在工业控制系统环境下的含义。
■ 了解ICS的硬件故障点和网络威胁类型。
思考一下:
您是否了解过程安全和网络安全标准以及适当的专业知识来降低风险?