GB/T 41274-2022
基本信息
标准号: GB/T 41274-2022
中文名称:可编程控制系统内生安全体系架构
标准类别:国家标准(GB)
英文名称:Endogenous safety architecture of programmable control system
标准状态:现行
发布日期:2022-03-09
实施日期:2022-10-01
出版语种:简体中文
下载格式:.pdf .zip
下载大小:3540922
标准分类号
标准ICS号:机械制造>>工业自动化系统>>25.040.40工业过程的测量与控制
中标分类号:仪器、仪表>>工业自动化仪表与控制装置>>N18工业控制与计算机应用装置
关联标准
出版信息
出版社:中国标准出版社
页数:16页
标准价格:31.0
相关单位信息
起草人:王文海、高慧、贾廷纲、张益南、许志正、张晓东、嵇月强、张稳稳、曹剑、范鹏鹏、袁超、周伟、徐斌、王秋婷、何萍、邵舒婷、赵璐、张雪嫣、王凯
起草单位:浙江大学、杭州优稳自动化系统有限公司、上海电气集团股份有限公司、北京机械工业自动化研究所有限公司
归口单位:全国工业过程测量控制和自动化标准化技术委员会(SAC/TC 124)
发布部门:国家市场监督管理总局 国家标准化管理委员会
标准简介
本标准规定了可编程控制系统内生安全体系架构,描述了可编程控制系统内生安全的目标和各单元模块的相关安全需求,规定了可编程控制系统的内生安全要求。
本标准适用于工程设计商、设备生产商、系统集成商、用户以及评估认证机构等,主要应用于化工、石化、电力等行业。
标准图片预览
标准内容
ICS25.040.40
ccsN18
中华人民共和国国家标准
GB/T41274—2022
可编程控制系统内生安全体系架构Endogenoussafety architectureofprogrammablecontrolsystem2022-03-09发布
国家市场监督管理总局
国家标准化管理委员会
2022-10-01实施
GB/T41274—2022
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国工业过程测量控制和自动化标准化技术委员会(SAC/TC124)归口。本文件起草单位:浙江大学、杭州优稳自动化系统有限公司、上海电气集团股份有限公司、北京机械工业自动化研究所有限公司。
本文件主要起草人王文海、高慧、贾廷纲、张益南、许志正、张晓东、嵇月强、张稳稳、曹剑、范鹏鹏袁超、周伟、徐斌、王秋婷、何萍、邵舒婷、赵璐、张雪嫣、王凯。I
1范围
可编程控制系统内生安全体系架构GB/T41274—2022
本文件规定了可编程控制系统内生安全体系架构,描述了可编程控制系统内生安全的目标和各单元模块的相关安全需求,规定了可编程控制系统的内生安全要求。其中,可编程控制系统内生安全的目标为保障可编程控制系统的完整性;各单元模块的相关安全需求包括全生命周期安全保护、综合诊断与高可用实现等。
本文件适用于工程设计商、设备生产商、系统集成商、用户以及评估认证机构等,主要应用于化工、石化、电力等行业。
2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T15969.3—2017可编程序控制器第3部分:编程语言3术语和定义
下列术语和定义适用于本文件。3.1安全术语
伤害harm
人身损伤、人的健康损害、财产或环境的损害。[来源:ISO/IECGUIDE51:2014,3.1]3.1.2
危险hazard
伤害的潜在根源。
注:这个术语包括短时间对人身的伤害(如着火和爆炸),以及那些对人身健康长时间的损害(如有毒物质释放)。[来源:ISO/IECGUIDE51:2014,3.2]3.1.3
风险risk
伤害发生的概率与该伤害严重程度的组合。[来源:ISO/IECGUIDE51:2014.3.9]3.1.4
安全safety
免于不可接受的风险。
GB/T41274—2022
功能安全functionalsafety
整体安全中与EUC(3.2.1)和EUC控制系统(3.2.2)相关的部分,它取决于E/E/PE安全相关系统(3.2.8)和其他风险降低措施正确执行其功能注:E/E/PE是指基于电气(E)和/或电子(E)和/或可编程电子(PE)的技术。3.1.6
信息安全informationsecurity
基于计算机系统的能力,能够提供充分的把握使非授权人员和系统既无法修改软件及其数据也无法访问系统功能,却保证授权人员和系统不被阻止。注1:保护系统所采取的措施。
注2:由建立和维护保护系统的措施而产生的系统状态,注3:能够免于非授权访问或意外的变更、破坏或者损失的系统资源的状态。注4:防止对工业自动化和控制系统的非法或有害的入侵,或者干扰其正确和计划的操作。注5:措施是与物理信息安全(控制物理访问计算机的资产)或者逻辑信息安全(登录给定系统和应用的能力)相关的控制手段。
内生安全endogenoussafety
功能安全(3.1.5)与信息安全(3.1.6)的结合,实现控制工程全生命周期安全防护。3.1.8
内生安全体系架构endogenoussafetyarchitecture使系统具有动态防御、主动防御、纵深防御等能力的体系架构。3.2设备和装备
受控设备equipmentundercontrol;Euc用于制造业、流程工业、运输业、制药业或其他行业的设备、机器、装置或成套设备。注:EUC控制系统与EUC是分开的并且是截然不同的。[来源:GB/T20438.4—2017,3.2.1]3.2.2
EUCcontrolsystem
EUC控制系统
由传感器、电子控制单元和执行机构三部分组成的控制系统。3.2.3
系统软件systemsoftware
可编程电子系统的软件的一部分,涉及可编程装置自身的功能和提供的服务。而不像应用软件那样规定执行EUC安全相关任务的功能。[来源:GB/T20438.4—2017.3.2.6]3.2.4
应用软件application software应用数据applicationdata
配置(组态)数据configurationdata可编程电子系统的软件的一部分,规定了执行EUC相关任务的功能而不是可编程装置自身的功能和提供的服务。
[来源:GB/T20438.4—2017,3.2.7]2
可编程电子programmableelectronics;PEGB/T41274—2022
以计算机技术为基础,可以由硬件、软件及其输入和(或)输出单元构成的微电子装置。注:这个术语包括以一个或多个中央处理器(CPUs)及相关的存储器等为基础的微电子装置。3.2.6
可编程序(逻辑)控制器programmable(logic)controller;PLC一种用于工业环境的数字式操作的电子系统。这种系统用可编程的存储器作面向用户指令的内部寄存器,完成规定的功能,如逻辑、顺序、定时、计数、运算等,通过数字或模拟的输入/输出,控制客种类型的机械或过程。可编程序(逻辑)控制器及其相关外围设备的设计,使它能够非常方便地集成到工业控制系统中并能很容易地达到所期望的所有功能。注:在本文件中使用缩写词PLC代表可编程序(逻辑)控制器(programmablelogiccontrollers),这在自动化行业中已形成共识。原来曾用PC作为可编程序(逻辑)控制器的缩略语,它容易与个人计算机所使用的缩略语PC相混淆。
[来源:GB/T15969.1—2007,3.5]3.2.7
可编程控制系统
programmablecontrollersystem用户根据所要完成的自动化系统要求而建立的由可编程控制器及其相关外围设备组成的配置。注:系统包括,但不限于:
a)可编程控制系统包括分布式控制系统(DCS)、可编程序(逻辑)控制器(PLC)、智能电子设备(IED)、监视控制与数据采集(SCADA)系统、运动控制(MC)系统、网络电子传感和控制、监视和诊断系统,在本文件中,不论物理上是分开的还是集成的,过程控制系统(PCS)包括基本过程控制系统和安全仪表系统(SIS);b)
相关的信息系统,例如先进控制或者多变量控制、在线优化器、专用设备监视器、图形界面、过程历史记录、制造执行系统(MES)和企业资源计划(ERP)管理系统c)相关的部门、人员、网络或机器接口,为连续的、批处理、离散的和其他过程提供控制、安全和制造操作功能。
[来源:GB/T15969.1—2007,3.6]3.2.8
安全相关系统safety-relatedsystem执行所要求的安全功能(3.3.1)使EUC(3.2.1)达到或保持安全状态的系统,自身或与其他E/E/PE安全相关系统、其他风险降低措施一起,能够实现要求的安全功能所需的安全完整性。注1:安全相关系统与其他风险降低措施一起,实现必要的风险降低量,以满足所要求的可容忍风险。参见GB/T20438.5—2017中附录A。
注2:安全相关系统能在检测到可导致危险事件的情况时采取适当的动作以防止EUC进入危险状态。安全相关系统的失效包含于导致危险的事件中。尽管可能存在具备安全功能的其他系统,但所指定的安全相关系统仅靠其自身能力达到要求的可容忍风险。安全相关系统一般被分为安全相关控制系统和安全相关保护系统。
注3:安全相关系统是EUC控制系统的组成部分,也能用传感器和/或执行器与EUC连接。即能通过EUC控制系统(也可能通过分开的和独立的附加系统)或者利用分开的、独立的、安全专用的安全相关系统执行安全功能达到要求的安全完整性等级。注4:安全相关系统能:
a)用于防止危险事件发生(即安全相关系统一旦执行其安全功能则避免伤害事件发生)。b)用于减轻伤害事件的影响,即通过减轻后果的办法来降低风险。c免费标准bzxz.net
同时具有a)和b)的功能组合。
注5:人也能作为安全相关系统的一部分。例如,人能接收来自可编程电子装置的信息,并根据接收信息执行安全动作,或通过可编程电子装置执行安全动作。3
GB/T41274—2022
注6:安全相关系统包括执行规定安全功能所需的全部硬件、软件以及支持服务(如电源),因此,传感器、其他输入装置、最终元件(执行器)和其他输出装置都包括在安全相关系统中,注7:安全相关系统基于广泛的技术基础,包括电气、电子、可编程电子、液压和气动等。3.2.9
穴余redundancy
对于执行一个要求的功能或对于表示信息而言,存在多于一种方法的机制。示例:功能元件加倍和增加奇偶校验位。注1:几余主要用于提高可靠性(在给定时间范围内功能正确的概率)或可用性(在特定时间点具有功能的概率),也能通过像2003这样的架构来使误动作最小化。注2:几余可能是\活动的(hotoractive)”(所有几余项同时运行)、“待机的(coldorstand-by)”(在同一时间只有一个几余项运行)、“混合的(mixed)”(在同一时间一个或几个项运行和一个或几个项待机)。3.3安全功能和安全完整性
安全功能safetyfunction
针对特定的危险事件,为实现或保持EUC(3.2.1)的安全状态,由E/E/PE安全相关系统(3.2.8)或其他风险降低措施实现的功能。示例1:在要求时执行的功能,作为一种主动行动以避免危险状况(如关闭电机)。示例2:采取预防行为的功能(如防止马达启动)。3.3.2
安全完整性safetyintegrity
在规定的时间段内和规定的条件下,安全相关系统(3.2.8)成功执行规定的安全功能(3.3.1)的概率。
注1:安全完整性越高,安全相关系统在要求时未能执行规定的安全功能或未能实现规定的状态的概率就越低。注2:有4个安全完整性等级(见3.3.6)。注3:在确定安全完整性时,包括所有导致非安全状态的失效原因(随机硬件失效和系统性失效),如硬件失效、软件导致的失效和电磁干扰导致的失效。某些类型的失效,尤其是随机硬件失效,能用危险失效模式下的平均失效频率或安全相关保护系统未能在要求时动作的概率来量化,但是安全完整性还取决于许多不能精确量化只可定性考虑的因素。
注4:安全完整性由硬件安全完整性(见3.3.5)和系统性安全完整性(见3.3.4)构成。注5:本定义针对安全相关系统执行安全功能的可靠性(见IEC60050-192:2015可靠性的定义)。3.3.3
软件安全完整性softwaresafetyintegrity安全完整性(3.3.2)中,与软件造成的危险失效模式下的系统性失效有关的部分。3.3.4
系统性安全完整性systematicsafetyintegrity安全完整性(3.3.2)中,与危险失效模式下的系统性失效有关的部分。注:系统性安全完整性通常不能量化(与通常可量化的硬件安全完整性明显不同)。3.3.5
硬件安全完整性hardwaresafetyintegrity安全完整性(3.3.2)中,与危险失效模式下的随机硬件失效有关的部分。注:本术语涉及在危险模式下的失效,是将削弱其安全完整性的安全相关系统的这类失效。与本术语有关的两个参数是危险失效平均频率和在要求时动作失效的概率。前一可靠性参数在为保持安全而保持连续控制时使用,后一可靠性参数在安全相关保护系统场合中使用。4
安全完整性等级safetyintegritylevel;SILGB/T 41274—2022
种离散的等级(4个可能等级之一),对应安全完整性量值的范围。安全完整性等级4是最高的,安全完整性等级1是最低的。
注1:4个安全完整性等级对应的目标失效量(见GB/T20438.4—2017中3.5.17)参见GB/T20438.1—2017中表2和表3。
注2:安全完整性等级用于规定分配给E/E/PE安全相关系统安全功能的安全完整性要求。注3:安全完整性等级(SIL)并非系统、子系统、组件或元器件的属性。对“SILn安全相关系统”(n=1、2、3、4)的正确解释是系统具有支持安全功能的安全完整性等级达到n的潜在能力。4可编程控制系统内生安全体系架构4.1概述
可编程控制系统的系统架构与内生安全部署如图1所示,主要包括可编程电子模块或工业控制系统、实时工业网络、安全增强控制软件平台3部分,通过组合部署或分层递阶,可构成嵌入式可编程控制器单机系统、模块式工业控制系统及分布式计算机控制系统,分别满足小型、中型及大型工业装备、工业装置及工业系统的自动化需要。内生安全包括信息安全和功能安全,其中信息安全包括认证授权、黑白名单、数据加密、权限控制等。MNet:管理网络
SNer系统网络
CNet:控制网络
安全增强控制款件平台
·场最识别与身份认证
·数据分级轻量加密
·程序封装与流程重构
·安全多语育编译器
,主机安全加图
轻制网终安全增强模块
·实时加密整拟降道
·协议解析与异常限断
·安全监测与异常预答
内生安全控制模块
·动态完整性检测
》·工程程序安全保护
操作清工程师站
控制站CS01
元余10模块
·异构元余
·同格元余
·异常诊断与元会容错·多重元余想充杂的您
模快养器
近应爆场合的适应强于扰环境的隔本家1O模块系列模双I0模换器列1g
异构元余的
KO摄扶
域级综合安
全管理系垫
控制网络
安全协议
服务器
服务器
控制网路安
全隔离模块
现场工业网关
·伤时钟间步检测
配置合法性监激
.场最行为分析
工业总线连接现场智能设备
可编程控制系统的系统架构与内生安全部署图5
GB/T 41274—2022
4.2可编程控制系统内生安全特性4.2.1可编程控制系统的完整性保障可编程控制系统硬件资源、软件环境与应用程序应具有完整性保障检测与保护措施。注1:该保护措施能监测可编程电子部件的硬件功能、配置信息、固件程序等静态完整性。注2:该保护措施能监测进程列表、堆栈数据、全局符号表等系统资源,构建安全进程与资源列表,及时发现代码注入、堆栈溢出、数据篡改等异常行为。注3:该保护措施能制定线程及资源的创建、分配、回收等进程调度安全策略,实现安全进程与资源列表的动态维护。
注4:控制器内核架构及资源受限访问控制与应用隔离机制,能截非法跨进程资源访问请求,实现运行空间的隔离与保护。
4.2.2应用程序的全生命周期安全保护应用程序编辑、编译、发布、运行、维护等应具有全生命周期的安全保护。注1:应用程序的多样化生成方法包括动态多样化混淆编辑、异构等价二进制数据动态生成等方法。注2:通过构建应用程序文件的安全存储与发布系统,实现应用程序文件完整性校验与传输方法。注3:结合基于时间多变性、空间多样性等动态轻量加密方法,实现被攻击视图的动态随机化分配与非明文表达。4.2.3可编程控制系统的综合诊断与高可用实现可编程控制系统的综合诊断与表决亢余等方法,应保障控制器的高可用性。注1:综合诊断方法包括控制系统模件/模块/功能电路的随机失效与安全威胁综合诊断、故障隔离与在线修复等。注2:控制器组件或模块的在线配置、在线诊断、联机调试等方法,能设计随机失效与安全威胁在线综合诊断技术,实现故障或失效的自动识别及快速定位。注3:结合硬件部件、操作系统、工程程序运行空间分布、算法调度等异构多样化方法,通过控制运算节奏同步与数据同步及异构多模亢余表决,能实现异构动态与亢余容错,保障控制装备的高安全性与高可用性。4.3可编程控制系统工业网络
4.3.1控制网络的安全机制
控制网络信息的安全传输,应确保数据的机密性、完整性、安全性。4.3.2控制网络与现场总线安全监测与异常预警控制网络与现场总线安全监测与异常预警应通过数据流场景序列关联分析、数据包分类基线检测、控制系统编程时或运行时的网络行为分析等技术实现。注:基于控制网络与现场总线协议的深度理解,通过通信包完整性分析、数据字段合法性监测等方法,能实现非法数据包的检测与过滤。
4.4可编程控制系统的应用软件开发与运行平台4.4.1总体架构
应用软件开发与运行平台的总体架构示意图如图2所示,图2左侧为不同层次的硬件平台,主要运行工程师站图形组态与控制编程软件、操作员站实时监控软件、控制器或控制站实时控制软件等,通过系统网络交互各种数据、管理和控制信息,协调一致地完成整个控制系统的各种功能;主要功能包括现场数据采集、算法执行、实时数据和历史数据处理、报警和安全机制、流程控制、动画显示、趋势曲线和报6
表输出以及监控网络等。
OS/ES深作员站
实时数库
工程舞站
SNetASNeB第三方驱动系航网络安全通信控制在线整视CS控制器膜控制站
安全通信与安全防护单元
安全通信功能
SNeIASNetB
系统网络安全通售
实时控制单元
信总安全防护功能
资覆可用性
完整性保证(事件及时响应)
问控机权限控制信息加密受限数据流实时数据库
4.4.2监控操作功能
4.4.2.1用户权限管理
与安全
应用型
序检测
控制车
线值视
物理防幕改区
软件完整性区
事件及时率应
动间控制
完整性保障
配置管理
安全配置
动能配置
权限控制
张源管理
通信负荷
内部资源
信息加密
加密理
图2应用软件开发与运行平台的总体架构示意图用户登录权限管理,应建立用户权限授权管理机制。信
GB/T41274—2022
备份恢复
受课数据液
网络分区
边界防护
遗信限制
虚用分离
注1:通过构建授权管理组,管理组仅能实现用户权限的建立、管理、授权和变更,但无操作权限。动卷腾护技术
注2:用户登录安全管理机制的建立能实现用户授权密码复杂性、差异性、使用期限、尝试次数、单操作站/工程师站登录绑定、登录主动退出、无操作超时自动退出等安全功能。注3:用户身份信息的轻量标识方法能实现动态轻量加解密策略,进而实现快速身份识别。注4:用户权限分配方法能实现授权链安全管理与查询优化策略,进而实现快速用户权限鉴别。4.4.2.2监控操作运行模块
监控操作运行模块应实现人机交互画面的动态显示与操作管理。基于实时数据库应实现画面显示、在线操作、趋势曲线、报警处理等图形化监视功能;用户操作安全区与系统软件功能区的授权配置,应支持安全区与功能区操作的访问受控;基于实时数据库逐点权限访问控制、图形操作单元权限访问控制、图形操作单元关键数据输入值的范围限制与关键数据二次确认,应保证关键操作的访问受控。
注1:按周期记录或变差记录能生成历史数据序列。注2:依据设置的报警条件,能生成实时数据事件报警记录,同时能支持多种报警响应处理。注3:依据报表组态信息生成报表记录,能形成报表管理系统。4.4.2.3监控操作生成模块
监控操作生成模块应实现流程画面绘制组态,提供丰富的图库和图元库,应满足基本工程组态需求,同时应支持工程师自行开发所需图库。画面图元应支持动态链接,建立画面的图素与数据库记录点的对应关系;应支持事件定义,执行写值、执行脚本等预定义的动作;应支持画面模板制作,减少重复组态相同布局的画面,减少组态工作量。7
GB/T 41274—2022
用户操作权限管理应支持用户操作安全区与系统软件功能区的多级多组授权配置;应支持实时数据库逐点权限访问控制、图形操作单元权限访问控制、图形操作单元关键数据输入值的范围限制与关键数据二次确认机制。
注1:工程程序与运行数据所采用的分级动态轻量加密方法,能适应工业场景安全性与可用性多级多样的需求。注2:数据完整性校验和动态恢复方法能实现关键数据代码的安全存储与周期性校验,确保非法篡改的及时发现与快速恢复。
4.4.2.4监控操作脚本语言模块
监控操作脚本语言模块应提供监控操作脚本语言,通过脚本应实现画面显示计算、画面动态响应、画面操作相关的数值计算与逻辑操作等功能。注1:模块能自动检测脚本中错误的位号或语法并实现错误定位。注2:模块能结合用户操作权限管理配置信息,识别审核安全区与功能区、数据点与图形单元等非授权操作。4.4.2.5基于网络的远程操作信息的审计模块基于网络的远程操作信息的审计模块应基于远程操作相关授权与配置信息,审计相关操作。4.4.2.6软件环境升级代码安全保护模块软件环境升级代码安全保护模块应支持引导程序或软件环境升级代码的安全保护。4.4.3应用程序编程功能
4.4.3.1应用程序编程模块
控制算法编辑器用于生成控制系统所有应用程序,应包括连续控制、逻辑控制、顺序控制、特殊处理算法等控制策略,应符合GB/T15969.3一2017中FBD、LD、SFC、ST和IL控制编程语言及其混合编程规范,支持算法离线编辑、离线仿真、在线编辑、在线监视等状态;应支持基本数学操作、逻辑操作、信号发生器、控制策略等主流基本算法块,覆盖通用控制策略与行业专有控制的不同需求;应支持用户自定义子程序,封装后类似系统算法块,可以被用户程序调用;应支持程序、子程序导入导出,实现一次编辑重复利用;应支持根据链接关系自动排序算法块;应支持手动干预算法块运行顺序,实现运行时序的精确控制。
注1:工程程序算法编辑器区分安全工程程序与非安全工程程序,安全程序编辑中有且仅有通过功能安全规范认证的安全相关FBD算法块能选择与编辑,分别生成安全工程程序文件与非安全工程程序文件,并在程序文件中附加程序完整性校验信息。注2:用户安全工程程序能进行错误检查与编译生成,其中错误检查包括非法数据源、非法算法块、无效算法链接与无效数据链接、逻辑死循环、亢余版本一致性检查、控制周期合规性、运算负荷预计过高等4.4.3.2应用程序生命周期安全管理机制应用程序编辑、编译、发布、运行、更新应具有全生命周期安全管理机制。注1:基于控制算法编程规则的人为失误审核、基于哈希函数(MD5、CRC32等)等的工程程序源码,及工程程序目标码的完整性检测、最小化安全相关FBD算法功能块集合等的安全相关措施,能实现控制算法编辑器的存储介质随机失效、控制算法编辑器软件设计缺陷、人为恶意篡改等的安全防范。注2:用户项目工程密码授权、工程程序页密码授权能防范非授权工程程序访问。注3:基础元件、单元设备、行业装备等工程特性的抽取,典型控制工程的模型库、方法库、界面库等的逐遂级构建,能实现信息物理系统智能封装与流程可信重构;集成、派生、重用、重构机制能实现工程程序的自动生成与行业流程的复用重构,防范关键控制程序与核心工艺参数的改与泄露。8
4.4.4实时控制功能
GB/T 41274—2022
实时控制模块包括控制运算处理单元与网络通信及安全防护处理单元,控制运算处理单元实现I/O输入输出扫描、实时数据库更新、控制程序运行、控制模块诊断与几余处理;网络通信及安全防护处理单元应实现系统网络通信和信息安全防护功能,支持工程文件的诊断审核与解析转发、工程程序运行监视信息转发等功能。控制运算处理单元应通过控制模块私有内部总线连接网络通信及安全防护处理单元,实现数据交换与安全隔离。注1:控制运算处理单元通过IO总线连接AI模块、DI模块、AO模块、DO模块和其他特殊模块(AI模块、DI模块、AO模块、DO模块分别具有I/O数据采集、数据处理、故障诊断等功能),以及控制网络状态、实时数据响应、控制运算输出及其硬件诊断信息等,能实现控制单元及其亢余组件的综合诊断与亢余切换。注2:网络通信与安全防护处理单元能通过系统网络实现操作站与工程师站的数据交互。注3:控制模块具有硬件诊断与软件诊断功能,能满足功能安全认证等级;其中硬件诊断功能包括供电电路过欠压诊断、关键硬件器件等,软件诊断功能包括CPU内核诊断、SRAM诊断、Flash诊断、通信超时诊断等。注4:实时控制软件初始化能实现控制模块硬件环境资源的自检诊断、控制软件固件版本信息完整性自检、用户安全应用程序的审核诊断(非法数据源、非法算法块、无效算法链接与无效数据链接、逻辑死循环、亢余版本一致性检查、控制周期合规性、运算负荷预计过高等)。注5:控制引擎能实现安全功能程序的解释运行,安全功能程序仅包括安全型算法块及其链接关系;能支持安全功能程序的工程师站在线监视功能、单向封装单向传输所需要的算法块实时数据信息;能根据需要确定是否支持算法参数与常数的在线修改、算法块及其链接的在线编辑、安全控制站与安全控制站/安全控制站与非安全控制站间的相互通信与站间引用。注6:运行态/运行编程态/编程态的硬件系统安全锁或安全系统安全锁能支持控制模块运行态、运行与编程态、编程态的3种工作模式:在运行态,操作站和工程师站能通过监控软件监视安全相关数据与状态,受控禁止能更新安全程序与安全参数,且能关闭连锁安全状态设置;运行与编程态是在运行态操作授权的基础上,能浏览安全程序、监视安全程序算法块的运行状态,其他安全编辑功能被禁止;在编程态,能编辑安全程序与安全参数,支持安全程序的离线仿真,安全程序经审核后,能下装更新与重载运行。4.4.5
事件记录功能
事件记录功能应支持可编程控制系统相关编程、操作、运行事件的记录。注1:操作事件的记录及查询功能,能支持基于用户自定义配置对象及操作,通过时间、模块、用户等信息查询操作事件能支持配方事件的记录及查询,配方事件是产品配方在生产过程中所产生的事件记录信息;能支持SOE顺序事件响应的记录及查询,结合NTP时钟服务器,精确记录设备跳变的事件;能支持过程事件的记录及查询,过程事件是某一工艺在生产过程中所产生的事件记录信息。注2:安全相关关键参数与数据的受控可靠记录,能保证数据清晰、可读、易懂、可追溯,确保完整地重现数据产生的步骤和顺序;数据操作审计能防范并发现对安全相关关键参数与数据有意或无意篡改、删除、替换等不规范的操作,包括系统配置及时间戳的修改。注3:审计追踪能安全地记录关键数据的生命周期细节,如在记录中创建、补充、删除或变更信息,同时保留原始记录。
注4:事件记录功能能支持所有事件记录点单向导出至第三方格式,如EXCEL,进行分析、存档,同时能支持事件记录打印。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
ccsN18
中华人民共和国国家标准
GB/T41274—2022
可编程控制系统内生安全体系架构Endogenoussafety architectureofprogrammablecontrolsystem2022-03-09发布
国家市场监督管理总局
国家标准化管理委员会
2022-10-01实施
GB/T41274—2022
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国工业过程测量控制和自动化标准化技术委员会(SAC/TC124)归口。本文件起草单位:浙江大学、杭州优稳自动化系统有限公司、上海电气集团股份有限公司、北京机械工业自动化研究所有限公司。
本文件主要起草人王文海、高慧、贾廷纲、张益南、许志正、张晓东、嵇月强、张稳稳、曹剑、范鹏鹏袁超、周伟、徐斌、王秋婷、何萍、邵舒婷、赵璐、张雪嫣、王凯。I
1范围
可编程控制系统内生安全体系架构GB/T41274—2022
本文件规定了可编程控制系统内生安全体系架构,描述了可编程控制系统内生安全的目标和各单元模块的相关安全需求,规定了可编程控制系统的内生安全要求。其中,可编程控制系统内生安全的目标为保障可编程控制系统的完整性;各单元模块的相关安全需求包括全生命周期安全保护、综合诊断与高可用实现等。
本文件适用于工程设计商、设备生产商、系统集成商、用户以及评估认证机构等,主要应用于化工、石化、电力等行业。
2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T15969.3—2017可编程序控制器第3部分:编程语言3术语和定义
下列术语和定义适用于本文件。3.1安全术语
伤害harm
人身损伤、人的健康损害、财产或环境的损害。[来源:ISO/IECGUIDE51:2014,3.1]3.1.2
危险hazard
伤害的潜在根源。
注:这个术语包括短时间对人身的伤害(如着火和爆炸),以及那些对人身健康长时间的损害(如有毒物质释放)。[来源:ISO/IECGUIDE51:2014,3.2]3.1.3
风险risk
伤害发生的概率与该伤害严重程度的组合。[来源:ISO/IECGUIDE51:2014.3.9]3.1.4
安全safety
免于不可接受的风险。
GB/T41274—2022
功能安全functionalsafety
整体安全中与EUC(3.2.1)和EUC控制系统(3.2.2)相关的部分,它取决于E/E/PE安全相关系统(3.2.8)和其他风险降低措施正确执行其功能注:E/E/PE是指基于电气(E)和/或电子(E)和/或可编程电子(PE)的技术。3.1.6
信息安全informationsecurity
基于计算机系统的能力,能够提供充分的把握使非授权人员和系统既无法修改软件及其数据也无法访问系统功能,却保证授权人员和系统不被阻止。注1:保护系统所采取的措施。
注2:由建立和维护保护系统的措施而产生的系统状态,注3:能够免于非授权访问或意外的变更、破坏或者损失的系统资源的状态。注4:防止对工业自动化和控制系统的非法或有害的入侵,或者干扰其正确和计划的操作。注5:措施是与物理信息安全(控制物理访问计算机的资产)或者逻辑信息安全(登录给定系统和应用的能力)相关的控制手段。
内生安全endogenoussafety
功能安全(3.1.5)与信息安全(3.1.6)的结合,实现控制工程全生命周期安全防护。3.1.8
内生安全体系架构endogenoussafetyarchitecture使系统具有动态防御、主动防御、纵深防御等能力的体系架构。3.2设备和装备
受控设备equipmentundercontrol;Euc用于制造业、流程工业、运输业、制药业或其他行业的设备、机器、装置或成套设备。注:EUC控制系统与EUC是分开的并且是截然不同的。[来源:GB/T20438.4—2017,3.2.1]3.2.2
EUCcontrolsystem
EUC控制系统
由传感器、电子控制单元和执行机构三部分组成的控制系统。3.2.3
系统软件systemsoftware
可编程电子系统的软件的一部分,涉及可编程装置自身的功能和提供的服务。而不像应用软件那样规定执行EUC安全相关任务的功能。[来源:GB/T20438.4—2017.3.2.6]3.2.4
应用软件application software应用数据applicationdata
配置(组态)数据configurationdata可编程电子系统的软件的一部分,规定了执行EUC相关任务的功能而不是可编程装置自身的功能和提供的服务。
[来源:GB/T20438.4—2017,3.2.7]2
可编程电子programmableelectronics;PEGB/T41274—2022
以计算机技术为基础,可以由硬件、软件及其输入和(或)输出单元构成的微电子装置。注:这个术语包括以一个或多个中央处理器(CPUs)及相关的存储器等为基础的微电子装置。3.2.6
可编程序(逻辑)控制器programmable(logic)controller;PLC一种用于工业环境的数字式操作的电子系统。这种系统用可编程的存储器作面向用户指令的内部寄存器,完成规定的功能,如逻辑、顺序、定时、计数、运算等,通过数字或模拟的输入/输出,控制客种类型的机械或过程。可编程序(逻辑)控制器及其相关外围设备的设计,使它能够非常方便地集成到工业控制系统中并能很容易地达到所期望的所有功能。注:在本文件中使用缩写词PLC代表可编程序(逻辑)控制器(programmablelogiccontrollers),这在自动化行业中已形成共识。原来曾用PC作为可编程序(逻辑)控制器的缩略语,它容易与个人计算机所使用的缩略语PC相混淆。
[来源:GB/T15969.1—2007,3.5]3.2.7
可编程控制系统
programmablecontrollersystem用户根据所要完成的自动化系统要求而建立的由可编程控制器及其相关外围设备组成的配置。注:系统包括,但不限于:
a)可编程控制系统包括分布式控制系统(DCS)、可编程序(逻辑)控制器(PLC)、智能电子设备(IED)、监视控制与数据采集(SCADA)系统、运动控制(MC)系统、网络电子传感和控制、监视和诊断系统,在本文件中,不论物理上是分开的还是集成的,过程控制系统(PCS)包括基本过程控制系统和安全仪表系统(SIS);b)
相关的信息系统,例如先进控制或者多变量控制、在线优化器、专用设备监视器、图形界面、过程历史记录、制造执行系统(MES)和企业资源计划(ERP)管理系统c)相关的部门、人员、网络或机器接口,为连续的、批处理、离散的和其他过程提供控制、安全和制造操作功能。
[来源:GB/T15969.1—2007,3.6]3.2.8
安全相关系统safety-relatedsystem执行所要求的安全功能(3.3.1)使EUC(3.2.1)达到或保持安全状态的系统,自身或与其他E/E/PE安全相关系统、其他风险降低措施一起,能够实现要求的安全功能所需的安全完整性。注1:安全相关系统与其他风险降低措施一起,实现必要的风险降低量,以满足所要求的可容忍风险。参见GB/T20438.5—2017中附录A。
注2:安全相关系统能在检测到可导致危险事件的情况时采取适当的动作以防止EUC进入危险状态。安全相关系统的失效包含于导致危险的事件中。尽管可能存在具备安全功能的其他系统,但所指定的安全相关系统仅靠其自身能力达到要求的可容忍风险。安全相关系统一般被分为安全相关控制系统和安全相关保护系统。
注3:安全相关系统是EUC控制系统的组成部分,也能用传感器和/或执行器与EUC连接。即能通过EUC控制系统(也可能通过分开的和独立的附加系统)或者利用分开的、独立的、安全专用的安全相关系统执行安全功能达到要求的安全完整性等级。注4:安全相关系统能:
a)用于防止危险事件发生(即安全相关系统一旦执行其安全功能则避免伤害事件发生)。b)用于减轻伤害事件的影响,即通过减轻后果的办法来降低风险。c免费标准bzxz.net
同时具有a)和b)的功能组合。
注5:人也能作为安全相关系统的一部分。例如,人能接收来自可编程电子装置的信息,并根据接收信息执行安全动作,或通过可编程电子装置执行安全动作。3
GB/T41274—2022
注6:安全相关系统包括执行规定安全功能所需的全部硬件、软件以及支持服务(如电源),因此,传感器、其他输入装置、最终元件(执行器)和其他输出装置都包括在安全相关系统中,注7:安全相关系统基于广泛的技术基础,包括电气、电子、可编程电子、液压和气动等。3.2.9
穴余redundancy
对于执行一个要求的功能或对于表示信息而言,存在多于一种方法的机制。示例:功能元件加倍和增加奇偶校验位。注1:几余主要用于提高可靠性(在给定时间范围内功能正确的概率)或可用性(在特定时间点具有功能的概率),也能通过像2003这样的架构来使误动作最小化。注2:几余可能是\活动的(hotoractive)”(所有几余项同时运行)、“待机的(coldorstand-by)”(在同一时间只有一个几余项运行)、“混合的(mixed)”(在同一时间一个或几个项运行和一个或几个项待机)。3.3安全功能和安全完整性
安全功能safetyfunction
针对特定的危险事件,为实现或保持EUC(3.2.1)的安全状态,由E/E/PE安全相关系统(3.2.8)或其他风险降低措施实现的功能。示例1:在要求时执行的功能,作为一种主动行动以避免危险状况(如关闭电机)。示例2:采取预防行为的功能(如防止马达启动)。3.3.2
安全完整性safetyintegrity
在规定的时间段内和规定的条件下,安全相关系统(3.2.8)成功执行规定的安全功能(3.3.1)的概率。
注1:安全完整性越高,安全相关系统在要求时未能执行规定的安全功能或未能实现规定的状态的概率就越低。注2:有4个安全完整性等级(见3.3.6)。注3:在确定安全完整性时,包括所有导致非安全状态的失效原因(随机硬件失效和系统性失效),如硬件失效、软件导致的失效和电磁干扰导致的失效。某些类型的失效,尤其是随机硬件失效,能用危险失效模式下的平均失效频率或安全相关保护系统未能在要求时动作的概率来量化,但是安全完整性还取决于许多不能精确量化只可定性考虑的因素。
注4:安全完整性由硬件安全完整性(见3.3.5)和系统性安全完整性(见3.3.4)构成。注5:本定义针对安全相关系统执行安全功能的可靠性(见IEC60050-192:2015可靠性的定义)。3.3.3
软件安全完整性softwaresafetyintegrity安全完整性(3.3.2)中,与软件造成的危险失效模式下的系统性失效有关的部分。3.3.4
系统性安全完整性systematicsafetyintegrity安全完整性(3.3.2)中,与危险失效模式下的系统性失效有关的部分。注:系统性安全完整性通常不能量化(与通常可量化的硬件安全完整性明显不同)。3.3.5
硬件安全完整性hardwaresafetyintegrity安全完整性(3.3.2)中,与危险失效模式下的随机硬件失效有关的部分。注:本术语涉及在危险模式下的失效,是将削弱其安全完整性的安全相关系统的这类失效。与本术语有关的两个参数是危险失效平均频率和在要求时动作失效的概率。前一可靠性参数在为保持安全而保持连续控制时使用,后一可靠性参数在安全相关保护系统场合中使用。4
安全完整性等级safetyintegritylevel;SILGB/T 41274—2022
种离散的等级(4个可能等级之一),对应安全完整性量值的范围。安全完整性等级4是最高的,安全完整性等级1是最低的。
注1:4个安全完整性等级对应的目标失效量(见GB/T20438.4—2017中3.5.17)参见GB/T20438.1—2017中表2和表3。
注2:安全完整性等级用于规定分配给E/E/PE安全相关系统安全功能的安全完整性要求。注3:安全完整性等级(SIL)并非系统、子系统、组件或元器件的属性。对“SILn安全相关系统”(n=1、2、3、4)的正确解释是系统具有支持安全功能的安全完整性等级达到n的潜在能力。4可编程控制系统内生安全体系架构4.1概述
可编程控制系统的系统架构与内生安全部署如图1所示,主要包括可编程电子模块或工业控制系统、实时工业网络、安全增强控制软件平台3部分,通过组合部署或分层递阶,可构成嵌入式可编程控制器单机系统、模块式工业控制系统及分布式计算机控制系统,分别满足小型、中型及大型工业装备、工业装置及工业系统的自动化需要。内生安全包括信息安全和功能安全,其中信息安全包括认证授权、黑白名单、数据加密、权限控制等。MNet:管理网络
SNer系统网络
CNet:控制网络
安全增强控制款件平台
·场最识别与身份认证
·数据分级轻量加密
·程序封装与流程重构
·安全多语育编译器
,主机安全加图
轻制网终安全增强模块
·实时加密整拟降道
·协议解析与异常限断
·安全监测与异常预答
内生安全控制模块
·动态完整性检测
》·工程程序安全保护
操作清工程师站
控制站CS01
元余10模块
·异构元余
·同格元余
·异常诊断与元会容错·多重元余想充杂的您
模快养器
近应爆场合的适应强于扰环境的隔本家1O模块系列模双I0模换器列1g
异构元余的
KO摄扶
域级综合安
全管理系垫
控制网络
安全协议
服务器
服务器
控制网路安
全隔离模块
现场工业网关
·伤时钟间步检测
配置合法性监激
.场最行为分析
工业总线连接现场智能设备
可编程控制系统的系统架构与内生安全部署图5
GB/T 41274—2022
4.2可编程控制系统内生安全特性4.2.1可编程控制系统的完整性保障可编程控制系统硬件资源、软件环境与应用程序应具有完整性保障检测与保护措施。注1:该保护措施能监测可编程电子部件的硬件功能、配置信息、固件程序等静态完整性。注2:该保护措施能监测进程列表、堆栈数据、全局符号表等系统资源,构建安全进程与资源列表,及时发现代码注入、堆栈溢出、数据篡改等异常行为。注3:该保护措施能制定线程及资源的创建、分配、回收等进程调度安全策略,实现安全进程与资源列表的动态维护。
注4:控制器内核架构及资源受限访问控制与应用隔离机制,能截非法跨进程资源访问请求,实现运行空间的隔离与保护。
4.2.2应用程序的全生命周期安全保护应用程序编辑、编译、发布、运行、维护等应具有全生命周期的安全保护。注1:应用程序的多样化生成方法包括动态多样化混淆编辑、异构等价二进制数据动态生成等方法。注2:通过构建应用程序文件的安全存储与发布系统,实现应用程序文件完整性校验与传输方法。注3:结合基于时间多变性、空间多样性等动态轻量加密方法,实现被攻击视图的动态随机化分配与非明文表达。4.2.3可编程控制系统的综合诊断与高可用实现可编程控制系统的综合诊断与表决亢余等方法,应保障控制器的高可用性。注1:综合诊断方法包括控制系统模件/模块/功能电路的随机失效与安全威胁综合诊断、故障隔离与在线修复等。注2:控制器组件或模块的在线配置、在线诊断、联机调试等方法,能设计随机失效与安全威胁在线综合诊断技术,实现故障或失效的自动识别及快速定位。注3:结合硬件部件、操作系统、工程程序运行空间分布、算法调度等异构多样化方法,通过控制运算节奏同步与数据同步及异构多模亢余表决,能实现异构动态与亢余容错,保障控制装备的高安全性与高可用性。4.3可编程控制系统工业网络
4.3.1控制网络的安全机制
控制网络信息的安全传输,应确保数据的机密性、完整性、安全性。4.3.2控制网络与现场总线安全监测与异常预警控制网络与现场总线安全监测与异常预警应通过数据流场景序列关联分析、数据包分类基线检测、控制系统编程时或运行时的网络行为分析等技术实现。注:基于控制网络与现场总线协议的深度理解,通过通信包完整性分析、数据字段合法性监测等方法,能实现非法数据包的检测与过滤。
4.4可编程控制系统的应用软件开发与运行平台4.4.1总体架构
应用软件开发与运行平台的总体架构示意图如图2所示,图2左侧为不同层次的硬件平台,主要运行工程师站图形组态与控制编程软件、操作员站实时监控软件、控制器或控制站实时控制软件等,通过系统网络交互各种数据、管理和控制信息,协调一致地完成整个控制系统的各种功能;主要功能包括现场数据采集、算法执行、实时数据和历史数据处理、报警和安全机制、流程控制、动画显示、趋势曲线和报6
表输出以及监控网络等。
OS/ES深作员站
实时数库
工程舞站
SNetASNeB第三方驱动系航网络安全通信控制在线整视CS控制器膜控制站
安全通信与安全防护单元
安全通信功能
SNeIASNetB
系统网络安全通售
实时控制单元
信总安全防护功能
资覆可用性
完整性保证(事件及时响应)
问控机权限控制信息加密受限数据流实时数据库
4.4.2监控操作功能
4.4.2.1用户权限管理
与安全
应用型
序检测
控制车
线值视
物理防幕改区
软件完整性区
事件及时率应
动间控制
完整性保障
配置管理
安全配置
动能配置
权限控制
张源管理
通信负荷
内部资源
信息加密
加密理
图2应用软件开发与运行平台的总体架构示意图用户登录权限管理,应建立用户权限授权管理机制。信
GB/T41274—2022
备份恢复
受课数据液
网络分区
边界防护
遗信限制
虚用分离
注1:通过构建授权管理组,管理组仅能实现用户权限的建立、管理、授权和变更,但无操作权限。动卷腾护技术
注2:用户登录安全管理机制的建立能实现用户授权密码复杂性、差异性、使用期限、尝试次数、单操作站/工程师站登录绑定、登录主动退出、无操作超时自动退出等安全功能。注3:用户身份信息的轻量标识方法能实现动态轻量加解密策略,进而实现快速身份识别。注4:用户权限分配方法能实现授权链安全管理与查询优化策略,进而实现快速用户权限鉴别。4.4.2.2监控操作运行模块
监控操作运行模块应实现人机交互画面的动态显示与操作管理。基于实时数据库应实现画面显示、在线操作、趋势曲线、报警处理等图形化监视功能;用户操作安全区与系统软件功能区的授权配置,应支持安全区与功能区操作的访问受控;基于实时数据库逐点权限访问控制、图形操作单元权限访问控制、图形操作单元关键数据输入值的范围限制与关键数据二次确认,应保证关键操作的访问受控。
注1:按周期记录或变差记录能生成历史数据序列。注2:依据设置的报警条件,能生成实时数据事件报警记录,同时能支持多种报警响应处理。注3:依据报表组态信息生成报表记录,能形成报表管理系统。4.4.2.3监控操作生成模块
监控操作生成模块应实现流程画面绘制组态,提供丰富的图库和图元库,应满足基本工程组态需求,同时应支持工程师自行开发所需图库。画面图元应支持动态链接,建立画面的图素与数据库记录点的对应关系;应支持事件定义,执行写值、执行脚本等预定义的动作;应支持画面模板制作,减少重复组态相同布局的画面,减少组态工作量。7
GB/T 41274—2022
用户操作权限管理应支持用户操作安全区与系统软件功能区的多级多组授权配置;应支持实时数据库逐点权限访问控制、图形操作单元权限访问控制、图形操作单元关键数据输入值的范围限制与关键数据二次确认机制。
注1:工程程序与运行数据所采用的分级动态轻量加密方法,能适应工业场景安全性与可用性多级多样的需求。注2:数据完整性校验和动态恢复方法能实现关键数据代码的安全存储与周期性校验,确保非法篡改的及时发现与快速恢复。
4.4.2.4监控操作脚本语言模块
监控操作脚本语言模块应提供监控操作脚本语言,通过脚本应实现画面显示计算、画面动态响应、画面操作相关的数值计算与逻辑操作等功能。注1:模块能自动检测脚本中错误的位号或语法并实现错误定位。注2:模块能结合用户操作权限管理配置信息,识别审核安全区与功能区、数据点与图形单元等非授权操作。4.4.2.5基于网络的远程操作信息的审计模块基于网络的远程操作信息的审计模块应基于远程操作相关授权与配置信息,审计相关操作。4.4.2.6软件环境升级代码安全保护模块软件环境升级代码安全保护模块应支持引导程序或软件环境升级代码的安全保护。4.4.3应用程序编程功能
4.4.3.1应用程序编程模块
控制算法编辑器用于生成控制系统所有应用程序,应包括连续控制、逻辑控制、顺序控制、特殊处理算法等控制策略,应符合GB/T15969.3一2017中FBD、LD、SFC、ST和IL控制编程语言及其混合编程规范,支持算法离线编辑、离线仿真、在线编辑、在线监视等状态;应支持基本数学操作、逻辑操作、信号发生器、控制策略等主流基本算法块,覆盖通用控制策略与行业专有控制的不同需求;应支持用户自定义子程序,封装后类似系统算法块,可以被用户程序调用;应支持程序、子程序导入导出,实现一次编辑重复利用;应支持根据链接关系自动排序算法块;应支持手动干预算法块运行顺序,实现运行时序的精确控制。
注1:工程程序算法编辑器区分安全工程程序与非安全工程程序,安全程序编辑中有且仅有通过功能安全规范认证的安全相关FBD算法块能选择与编辑,分别生成安全工程程序文件与非安全工程程序文件,并在程序文件中附加程序完整性校验信息。注2:用户安全工程程序能进行错误检查与编译生成,其中错误检查包括非法数据源、非法算法块、无效算法链接与无效数据链接、逻辑死循环、亢余版本一致性检查、控制周期合规性、运算负荷预计过高等4.4.3.2应用程序生命周期安全管理机制应用程序编辑、编译、发布、运行、更新应具有全生命周期安全管理机制。注1:基于控制算法编程规则的人为失误审核、基于哈希函数(MD5、CRC32等)等的工程程序源码,及工程程序目标码的完整性检测、最小化安全相关FBD算法功能块集合等的安全相关措施,能实现控制算法编辑器的存储介质随机失效、控制算法编辑器软件设计缺陷、人为恶意篡改等的安全防范。注2:用户项目工程密码授权、工程程序页密码授权能防范非授权工程程序访问。注3:基础元件、单元设备、行业装备等工程特性的抽取,典型控制工程的模型库、方法库、界面库等的逐遂级构建,能实现信息物理系统智能封装与流程可信重构;集成、派生、重用、重构机制能实现工程程序的自动生成与行业流程的复用重构,防范关键控制程序与核心工艺参数的改与泄露。8
4.4.4实时控制功能
GB/T 41274—2022
实时控制模块包括控制运算处理单元与网络通信及安全防护处理单元,控制运算处理单元实现I/O输入输出扫描、实时数据库更新、控制程序运行、控制模块诊断与几余处理;网络通信及安全防护处理单元应实现系统网络通信和信息安全防护功能,支持工程文件的诊断审核与解析转发、工程程序运行监视信息转发等功能。控制运算处理单元应通过控制模块私有内部总线连接网络通信及安全防护处理单元,实现数据交换与安全隔离。注1:控制运算处理单元通过IO总线连接AI模块、DI模块、AO模块、DO模块和其他特殊模块(AI模块、DI模块、AO模块、DO模块分别具有I/O数据采集、数据处理、故障诊断等功能),以及控制网络状态、实时数据响应、控制运算输出及其硬件诊断信息等,能实现控制单元及其亢余组件的综合诊断与亢余切换。注2:网络通信与安全防护处理单元能通过系统网络实现操作站与工程师站的数据交互。注3:控制模块具有硬件诊断与软件诊断功能,能满足功能安全认证等级;其中硬件诊断功能包括供电电路过欠压诊断、关键硬件器件等,软件诊断功能包括CPU内核诊断、SRAM诊断、Flash诊断、通信超时诊断等。注4:实时控制软件初始化能实现控制模块硬件环境资源的自检诊断、控制软件固件版本信息完整性自检、用户安全应用程序的审核诊断(非法数据源、非法算法块、无效算法链接与无效数据链接、逻辑死循环、亢余版本一致性检查、控制周期合规性、运算负荷预计过高等)。注5:控制引擎能实现安全功能程序的解释运行,安全功能程序仅包括安全型算法块及其链接关系;能支持安全功能程序的工程师站在线监视功能、单向封装单向传输所需要的算法块实时数据信息;能根据需要确定是否支持算法参数与常数的在线修改、算法块及其链接的在线编辑、安全控制站与安全控制站/安全控制站与非安全控制站间的相互通信与站间引用。注6:运行态/运行编程态/编程态的硬件系统安全锁或安全系统安全锁能支持控制模块运行态、运行与编程态、编程态的3种工作模式:在运行态,操作站和工程师站能通过监控软件监视安全相关数据与状态,受控禁止能更新安全程序与安全参数,且能关闭连锁安全状态设置;运行与编程态是在运行态操作授权的基础上,能浏览安全程序、监视安全程序算法块的运行状态,其他安全编辑功能被禁止;在编程态,能编辑安全程序与安全参数,支持安全程序的离线仿真,安全程序经审核后,能下装更新与重载运行。4.4.5
事件记录功能
事件记录功能应支持可编程控制系统相关编程、操作、运行事件的记录。注1:操作事件的记录及查询功能,能支持基于用户自定义配置对象及操作,通过时间、模块、用户等信息查询操作事件能支持配方事件的记录及查询,配方事件是产品配方在生产过程中所产生的事件记录信息;能支持SOE顺序事件响应的记录及查询,结合NTP时钟服务器,精确记录设备跳变的事件;能支持过程事件的记录及查询,过程事件是某一工艺在生产过程中所产生的事件记录信息。注2:安全相关关键参数与数据的受控可靠记录,能保证数据清晰、可读、易懂、可追溯,确保完整地重现数据产生的步骤和顺序;数据操作审计能防范并发现对安全相关关键参数与数据有意或无意篡改、删除、替换等不规范的操作,包括系统配置及时间戳的修改。注3:审计追踪能安全地记录关键数据的生命周期细节,如在记录中创建、补充、删除或变更信息,同时保留原始记录。
注4:事件记录功能能支持所有事件记录点单向导出至第三方格式,如EXCEL,进行分析、存档,同时能支持事件记录打印。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。