【儀表網(wǎng) 行業(yè)科普】為了確保過程制造企業(yè)實現(xiàn)全面的工業(yè)安全，需要關注工業(yè)控制系統(tǒng)(ICS)的功能安全和網(wǎng)絡安全。
 

　　國際自動化協(xié)會(ISA)將自動化定義為創(chuàng)建和應用技術來監(jiān)控和控制產(chǎn)品和服務的生產(chǎn)和交付。對于過程工業(yè)來說，另一個有用的通用術語是工業(yè)自動化控制系統(tǒng)(IACS)；根據(jù)IEC 62443-1-1，工業(yè)自動化和控制系統(tǒng)是一個由流程、人員、硬件和軟件組成的集合，能夠影響工業(yè)流程的安全、可靠運行。這一術語通常用來描述不同類型的控制系統(tǒng)和相關儀器，包括用于操作和自動化工業(yè)過程的設備、系統(tǒng)、網(wǎng)絡和控制。一般來說，在提及IACS系統(tǒng)時，工業(yè)控制系統(tǒng)(ICS)這個詞會被更多地使用。
 

　　ICS安全可以綜合歸類為功能安全和網(wǎng)絡安全。分別對其進行研究，可以幫助理解它們是如何重疊的。
 

　　01  功能安全與網(wǎng)絡安全
 

　　什么是功能安全？它是系統(tǒng)或設備整體安全的一部分，依賴于自動保護，并以可預測的方式對其輸入反饋或故障做出正確響應。
 

　　什么是網(wǎng)絡安全？它包括與網(wǎng)絡相關的安全和物理安全。盡管“網(wǎng)絡安全”一詞通常意味著只關注“互聯(lián)網(wǎng)”連接，但在ICS環(huán)境中并非如此。
 

　　直到幾年前，功能安全和網(wǎng)絡安全還被認為是彼此獨立的，并被分別處理。但現(xiàn)在情況不再是這樣了，因為過程工業(yè)安全標準需要進行網(wǎng)絡評估。根據(jù)ANSI/ISA 61511/IEC 61511標準，需要對網(wǎng)絡風險進行評估以符合標準。
 

　　在進一步了解ICS安全性之前，還需要了解故障和威脅。ICS的設計應充分解決功能安全問題，故障可能來自硬件故障、人為錯誤、系統(tǒng)錯誤以及運營和環(huán)境壓力。
 

　　02  ICS的硬件故障
 

　　硬件故障通常來自ICS中的現(xiàn)場設備、傳感器和儀表。硬件故障(也被稱為隨機故障)是比較常見的。這些故障的發(fā)生有多種原因，可能是由于設備中的子組件發(fā)生故障、運營、環(huán)境壓力或不適當?shù)木S護而造成的。
 

　　系統(tǒng)性錯誤可能是設計錯誤，也可能是由文件錯誤引起的。硬件故障也可以說是一種系統(tǒng)性錯誤。然而，應該對其分開處理，而不是作為一個問題來對待。運行或環(huán)境壓力取決于綜合控制系統(tǒng)的位置，是在受控環(huán)境中還是在機密區(qū)域。
 

　　03  網(wǎng)絡威脅的類型
 

　　網(wǎng)絡威脅可以是外部的，也可以是內(nèi)部的，分為蓄意的或意外的。典型的外部威脅包括黑客、商業(yè)競爭對手和惡意組織的攻擊。典型的內(nèi)部威脅通常是由錯誤操作和不當行為引發(fā)的。適當?shù)腎CS安全意味著功能安全和網(wǎng)絡安全必須得到滿足，并且必須是集成的。當這兩方面都得到充分解決時，就實現(xiàn)了ICS安全。
 

　　那種認為擁有一個安全儀表系統(tǒng)(SIS)就足夠了，而網(wǎng)絡安全是一個可選項的想法是錯誤的。SIS本身可能會受到攻擊，從而危及安全。同時，沒有SIS系統(tǒng)并不意味著不需要網(wǎng)絡安全，因為獨立于過程控制系統(tǒng)的保護層可能會受到損害，從而危及安全。網(wǎng)絡安全生命周期取決于三個過程：分析、實施和維護。
 

　　04  相關的安全標準
 

　　功能安全相關的標準包括：IEC 61508/ANSI/ISA 61511/IEC 61511。IEC 61508被視為主要標準或總標準。ANSI/ISA 61511/IEC 61511則屬于過程工業(yè)的特定標準。在過程工業(yè)中，IEC 61508主要適用于供應商特定的組件。因此，ICS的安全性和可靠性分析應在這兩個標準的框架內(nèi)進行。
 

　　ANSI/ISA 61511/IEC 61511包括三個部分：
 

　　第1部分：框架、定義、系統(tǒng)、硬件和應用程序編程要求；
 

　　第2部分：第1部分的應用指南；
 

　　第3部分：安全完整性等級(SIL)的定義指南。
 

　　批量過程控制系統(tǒng)滿足IEC 61511標準在某些情況下可能會采用SIS，也可能不需要SIS，這取決于過程的固有設計以及可用的儀表和控制實施。此外，并非必須使用安全PLC，因為SIS系統(tǒng)也可以通過硬件布線設計來實現(xiàn)。硬件布線設計通常會帶來復雜的布線和維護問題。雖然標準并未強制使用安全PLC，但安全PLC有許多優(yōu)點，如簡化復雜的布線、易于配置選項和提供現(xiàn)場診斷。
 

　　采用智能儀表和安全PLC，使企業(yè)獲得使用數(shù)據(jù)收集方法進行預測性和預防性維護等優(yōu)勢，還可以提高工廠的可靠性。
 

　　對于網(wǎng)絡安全，可以使用ISA/IEC62443系列標準，它分為四部分：第1部分為總則，第2部分為政策和程序，第3部分為系統(tǒng)，第4部分為部件層。此外，還有一些針對特定行業(yè)和行業(yè)的指南和標準可供參考。
 

　　標準和準則的好壞取決于實施情況。標準通常不是規(guī)定性的，因為不可能解決每個工藝裝置的設計問題。盡管標準不一定是法律，但它們具有一定程度的確定性；因此，用戶有責任通過適當?shù)脑O計來滿足標準要求。最終用戶也有責任確保滿足標準需求，并且比供應商的責任更大。
 

　　通過達到并保持SIL等級1-4有助于實現(xiàn)功能安全。SIL衡量的是與需求故障概率(PFD)有關的系統(tǒng)性能。在過程工業(yè)中，PFDAvg被廣泛使用，較少使用每小時故障概率(PFH)。
 

　　ANSI/ISA 61511/IEC 61511要求，如果任何供應商聲稱其設備滿足功能安全，供應商需要制定功能安全管理(FSM)計劃。最終用戶組織應該有自己的FSM。根據(jù)該標準，從事SIS設計的FSM人員必須具備相關資質。這種能力可以通過外部或內(nèi)部培訓來實現(xiàn)。
 

　　05  安全完整性等級和安全保障等級
 

　　有三個參數(shù)對實現(xiàn)任何SIL目標都至關重要:架構約束、系統(tǒng)功能和故障概率。對于SIL 3目標，可以選擇部分行程測試，但這將會導致復雜的設計變化，如測試期間的新旁通線路和復雜的部分行程測試設備。因此，在考慮這一方案之前，最好先解決其它保護層的問題。
 

　　對于網(wǎng)絡安全，標準制定了最佳實踐，并提供了評估安全性能的方法。IEC62443將安全保障等級(SAL)分配為0-4，與SIL等級非常相似。SAL取決于7個因素，這些因素被稱為基本需求，包括訪問控制、使用控制、數(shù)據(jù)完整性、數(shù)據(jù)機密性、受限數(shù)據(jù)流、對事件的及時響應和資源可用性。
 

　　SIL是可量化的，但SAL還不是。當不同行業(yè)有足夠的數(shù)據(jù)可用，并就建模方法達成一致時，就有可能量化SAL。當然，由于網(wǎng)絡威脅和意圖不斷變化，可能無法很快實現(xiàn)量化。
 

　　對于SAL定性方法，風險圖是一個很好的工具。公司可以使用任何現(xiàn)有的過程安全風險圖，也可以開發(fā)新的網(wǎng)絡安全風險圖。
 

　　■ 及時響應事件：建議在控制室制定并保持應急響應計劃，以便運營人員可以立即實施。
 

　　■ 資源可用性：這很像功能安全的平均修復時間(MTTR)，需要充分維護。將系統(tǒng)備份和設備庫存，作為事件響應計劃的一部分。
 

　　■ 恢復計劃：建議制定適當?shù)幕謴陀媱潯＿\營技術(OT)人員應在制定恢復計劃中發(fā)揮關鍵作用，因為信息技術(IT)人員通常不具備ICS裝置功能方面的知識。OT中的主題專家可以扮演這一角色。
 

　　企業(yè)必須保存適當?shù)臏y試記錄和維護程序，因為ICS安全將貫穿整個生命周期，直至項目退役。雖然基本上不可能實現(xiàn)100%的安全，但制造企業(yè)可以朝這個方向努力。