2024智能工廠安全一體化第1部分：一般要求

1目次目次PAGE\*ROMANPAGE\*ROMANI前言 III引言 IV范圍 1規(guī)范性引用文件 1術(shù)語和定義 1縮略語 4安全一體化的對(duì)象 4安全一體化生命周期 5安全一體化管理 6一般要求 6安全方針和策略 7組織要求 7人員 7變更管理 7安全集中管理 8概念和目標(biāo)確定 8概念確定 8安全目標(biāo)的確定和實(shí)現(xiàn) 8安全一體化風(fēng)險(xiǎn)評(píng)估 10安全一體化要求分配和設(shè)計(jì) 11安全一體化確認(rèn) 12安全一體化運(yùn)行維護(hù) 13修改和變更 14退役和停用 14附錄A（資料性） 功能安全和信息安全的異同 15附錄B（資料性） 風(fēng)險(xiǎn)降低過程及補(bǔ)償措施示例 17風(fēng)險(xiǎn)降低過程 17補(bǔ)償措施 19附錄C（資料性） 安全協(xié)同的考慮和建議 21參考文獻(xiàn) 24圖B.1 風(fēng)險(xiǎn)降低過程示例（功能安全） 17圖B.2 風(fēng)險(xiǎn)降低過程的示例（功能安全和信息安全） 18PAGE\*ROMANPAGE\*ROMANII圖B.3 風(fēng)險(xiǎn)降低過程的示例（安全一體化） 19圖C.1 功能安全和信息安全交互影響模型 22表A.1 功能安全和信息安全異同 15表C.1 功能安全和信息安全交互影響狀態(tài) 21引言引言IVIV傳統(tǒng)工廠一般采用GB/T20438和應(yīng)用領(lǐng)域標(biāo)準(zhǔn)（例如GB/T21109，GB/T16855，GB28526）來實(shí)現(xiàn)GB/T35673施（如安全儀表系統(tǒng)）面臨更復(fù)雜的應(yīng)用環(huán)境（如黑客攻擊、惡意軟件等信息安全威脅，人工智能AI的失控危險(xiǎn)等GB/T——第1部分：一般要求。目的在于提出安全一體化生命周期的整體要求，以及實(shí)現(xiàn)安全一體化的基本原則。——第2部分：風(fēng)險(xiǎn)評(píng)估要求。目的在于提出開展安全一體化風(fēng)險(xiǎn)評(píng)估的流程和要求?！?部分：系統(tǒng)協(xié)同設(shè)計(jì)要求。目的在于針對(duì)智能工廠制造執(zhí)行層、過程監(jiān)控層、現(xiàn)場控制層和現(xiàn)場設(shè)備層提出系統(tǒng)協(xié)同設(shè)計(jì)的要求?！?部分：系統(tǒng)評(píng)測要求。目的在于提出開展安全一體化完善度評(píng)測的方法和要求。GB/TXXXXX.1PAGEPAGE111 范圍本文件適用于智能工廠安全一體化的風(fēng)險(xiǎn)評(píng)估、設(shè)計(jì)和實(shí)施。規(guī)范性引用文件（包括所有的修改單適用于本文件。GB/T20438（所有部分）電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全GB/T21109.1過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全第1部分：框架、定義、系統(tǒng)、硬件和軟件的要求GB/T22239信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求GB/T30976.1工業(yè)控制系統(tǒng)信息安全第1部分：評(píng)估規(guī)范GB/T33007工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全建立工業(yè)自動(dòng)化和控制系統(tǒng)安全程序GB/T35673工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全系統(tǒng)安全要求和安全等級(jí)\hGB/T41257數(shù)字化車間功能安全要求\hGB/T41260數(shù)字化車間信息安全要求GB/TXXXXX.2智能工廠安全一體化第2部分：風(fēng)險(xiǎn)評(píng)估要求GB/TXXXXX.3智能工廠安全一體化第3部分：系統(tǒng)協(xié)同設(shè)計(jì)要求GB/TXXXXX.4智能工廠安全一體化第4部分：系統(tǒng)評(píng)測要求術(shù)語和定義下列術(shù)語和定義適用于本文件。智能工廠 SmartFactory安全一體化 safety and securityintegrationPAGEPAGE2安全完整性等級(jí) safety integrity level（四個(gè)可能等級(jí)之一4是最高的，安全完整性等級(jí)1是最低的。注1：四個(gè)安全完整性等級(jí)對(duì)應(yīng)的目標(biāo)失效量（見3.5.17）在GB/T20438.1的表2和表3中規(guī)定。注2：安全完整性等級(jí)用于規(guī)定分配給E/E/PE安全相關(guān)系統(tǒng)安全功能的安全完整性要求。注3：安全完整性等級(jí)(SILSILn234）的正確解釋是系統(tǒng)具有支持安全功能的安全完整性等級(jí)達(dá)到n的潛在能力。[來源：GB/T20438.4—2017,3.5.8]安全一體化完善度 safety and security integration level表征智能工廠功能安全和信息安全沖突消減能力程度的一種離散等級(jí)。注：按照離散的區(qū)間分為3個(gè)級(jí)別，安全一體化完善度越高，智能工廠的整體安全協(xié)調(diào)能力越強(qiáng)，安全沖突發(fā)生的可能性越小。安全一體化生命周期 safety and security integration lifecycle功能安全相關(guān)系統(tǒng) Functional Safety related System所指的系統(tǒng)應(yīng)滿足以下兩項(xiàng)要求：——執(zhí)行要求的安全功能足以實(shí)現(xiàn)或保持EUC的安全狀態(tài)；并且——自身或與其他安全相關(guān)系統(tǒng)、其他風(fēng)險(xiǎn)降低措施一起, 能夠?qū)崿F(xiàn)要求的安全功能所需的安完整性。注1：由于security和safety的中文都是安全，因此安全相關(guān)系統(tǒng)（safetyrelatedsystem）的概念可能會(huì)產(chǎn)生混淆，因此本文件將原有的定義改為功能安全相關(guān)系統(tǒng)。注2：功能安全相關(guān)系統(tǒng)可：用于防止危險(xiǎn)事件發(fā)生（即安全相關(guān)系統(tǒng)一旦執(zhí)行其安全功能則避免傷害事件發(fā)生）。用于減輕傷害事件的影響，即通過減輕后果的辦法來降低風(fēng)險(xiǎn)。ab)的功能組合。注3：人也可作為功能安全相關(guān)系統(tǒng)的一部分。例如，人可以接收來自可編程電子裝置的信息，并根據(jù)接收信息執(zhí)行安全動(dòng)作，或通過可編程電子裝置執(zhí)行安全動(dòng)作。注4：功能安全相關(guān)系統(tǒng)包括執(zhí)行規(guī)定安全功能所需的全部硬件、軟件以及支持服務(wù)（如電源）[因此，傳感器，其他輸入裝置，最終元件（執(zhí)行器）和其他輸出裝置都包括在安全相關(guān)系統(tǒng)中]。注5：功能安全相關(guān)系統(tǒng)可基于廣泛的技術(shù)基礎(chǔ)，包括電氣、電子、可編程電子、液壓和氣動(dòng)等。[來源：GB/T20438.4—2017,3.4.1,有修改]功能安全functionalsafety整體安全中與EUC和EUCE/E/PE安全相關(guān)系統(tǒng)和其他風(fēng)險(xiǎn)降低措施正確執(zhí)行其功能。[來源：GB/T20438.4—2017,3.1.12]安全狀態(tài)safestate達(dá)到安全時(shí)EUC的狀態(tài)。從潛在的危險(xiǎn)條件到最終的安全狀態(tài)，EUC可能必須經(jīng)過幾個(gè)中間的安全狀態(tài)。有時(shí)，僅當(dāng)EUC處于連續(xù)控制下才存在一個(gè)安全狀態(tài)。這樣的連續(xù)控制可能是短時(shí)間的或是不確定的一段時(shí)間。[來源：GB/T20438.4—2017,3.1.13]隨機(jī)硬件失效randomhardwarefailure在硬件中，由一種或幾種可能的退化機(jī)理而產(chǎn)生的，在隨機(jī)時(shí)間出現(xiàn)的失效。1：在各種元件中，存在以不同速率發(fā)生的許多退化機(jī)理，在這些元件工作不同的時(shí)間之后，這些機(jī)理可使制造公差引起元件發(fā)生故障，從而使包含許多元件的設(shè)備將以可預(yù)見的速率，但在不可預(yù)見的時(shí)間(即隨機(jī)時(shí)間)發(fā)生失效。2：（（或其他合適的度量可以用合理的精度來量化，但系統(tǒng)性失效無法精確預(yù)計(jì)，因此系統(tǒng)性失效引起的系統(tǒng)失效率則不能精確地用統(tǒng)計(jì)法量化。也就是說，由隨機(jī)硬件失效引起的系統(tǒng)失效率可以用合理的精度來量化，但是由系統(tǒng)性失效引起的系統(tǒng)失效率不能精確地用統(tǒng)計(jì)法量化，因?yàn)閷?dǎo)致系統(tǒng)性失效的這些事件無法簡單預(yù)測。[來源：GB/T20438.4—2017,3.6.5]系統(tǒng)性失效systematicfailure注1：僅修正性維護(hù)而不加修改，通常無法消除失效原因。注2：通過模擬失效原因可以引出系統(tǒng)失效。注3：系統(tǒng)性失效的原因可包括以下情況中的人為錯(cuò)誤：安全要求規(guī)范：c)軟件的設(shè)計(jì)和實(shí)現(xiàn)等。注4：在本文件中，安全相關(guān)系統(tǒng)的失效被分為隨機(jī)硬件失效（見3.4.5）和系統(tǒng)性失效。[來源：GB/T20438.4—2017,3.6.6]危險(xiǎn)失效dangerousfailure對(duì)執(zhí)行安全功能有影響的組件和/或子系統(tǒng)和/或系統(tǒng)的失效，其：在要求時(shí)阻止安全功能的執(zhí)行（要求模式），或?qū)е掳踩δ苁ВㄟB續(xù)模式）EUC降低在要求時(shí)安全功能正確執(zhí)行的概率。[來源：GB/T20438.4—2017,3.6.7]安全失效safefailure對(duì)于執(zhí)行安全功能有影響的組件和/或子系統(tǒng)和/或系統(tǒng)的失效，其：EUC（或其一部分）進(jìn)入或保持安全狀態(tài)；或EUC（或其一部分）進(jìn)入或保持安全狀態(tài)的概率。PAGEPAGE10[來源：GB/T20438.4—2017,3.6.8]診斷diagnostic通過自動(dòng)在線自測試檢測失效的一種安全機(jī)制。信息安全區(qū)域securityzone共享通用信息安全需求的邏輯資產(chǎn)或物理資產(chǎn)的集合。注1：本文中所用的“區(qū)域”應(yīng)當(dāng)都是指信息安全區(qū)域。注2：一個(gè)區(qū)域應(yīng)當(dāng)和其他區(qū)域有明顯的邊界。一個(gè)信息安全區(qū)域的信息安全策略在其內(nèi)部和邊緣都要強(qiáng)制執(zhí)行。一個(gè)信息安全區(qū)域可以包括多個(gè)不同等級(jí)的子區(qū)域。[來源：GB/T40211—2021,3.2.117]信息安全等級(jí)securitylevel[來源：GB/T40211—2021,3.2.108]安全功能safetyfunction針對(duì)特定的危險(xiǎn)事件，為實(shí)現(xiàn)或保持EUC的安全狀態(tài)，由功能安全相關(guān)系統(tǒng)實(shí)現(xiàn)的功能。示例：安全功能的例子包括：在要求時(shí)執(zhí)行的功能，作為一種主動(dòng)行動(dòng)以避免危險(xiǎn)狀況（如關(guān)閉電機(jī)）；和采取預(yù)防行為的功能（如防止馬達(dá)啟動(dòng)）。[來源：GB/T20438.4—2017,3.5.1,有修改]縮略語下列縮略語適用于本文件。DDoS：分布式拒絕服務(wù)（DistributedDenialofService）EUC：受控設(shè)備（EquipmentUnderControl）IACS：工業(yè)自動(dòng)化控制系統(tǒng)（IndustryAutomationControlSystem）PHA：過程危險(xiǎn)分析（ProcessHazardAnalysis）SIL：安全完整性等級(jí)（SafetyIntegrityLevel）SL：信息安全等級(jí)（SecurityLevel）SSIL：安全一體化完善度（SafetyandSecurityIntegrationLevel）安全一體化的對(duì)象注：本文件所定義的4個(gè)層次是一種邏輯層次的概念，與GB/T20720.1的層次架構(gòu)對(duì)應(yīng)關(guān)系見圖1。各個(gè)層所包含的內(nèi)容如下：現(xiàn)場設(shè)備層：包括現(xiàn)場制造設(shè)備、感知執(zhí)行設(shè)備和實(shí)際生產(chǎn)過程等；現(xiàn)場控制層：包括操縱生產(chǎn)過程的控制組件、安全相關(guān)組件等；過程監(jiān)控層：包括監(jiān)測生產(chǎn)過程和設(shè)備狀態(tài)的組件；制造執(zhí)行層：包括生產(chǎn)過程調(diào)度（非安全一體化相關(guān)部分）和安全調(diào)度管控等；企業(yè)資源層：一般不涉及安全一體化的內(nèi)容，因此在本文件中不對(duì)其提出要求。業(yè)務(wù)計(jì)劃和物流管理業(yè)務(wù)計(jì)劃和物流管理企業(yè)資源層業(yè)務(wù)計(jì)劃和物流管理第4層第3層 （非安全一體化相關(guān)部分如生產(chǎn)過程調(diào)度）制造運(yùn)行管理（安全一體化相關(guān)部分，如安全調(diào)度管控）2層安過程監(jiān)控層1層批控制全一現(xiàn)場控制層體0層現(xiàn)場設(shè)備層化制造執(zhí)行層基于GB/T20720.1的層次架構(gòu) 本文件所定義的實(shí)現(xiàn)安全一體化的的層次架構(gòu)圖1 安全一體化對(duì)象示意圖安全一體化生命周期安全一體化生命周期模型見圖理理（見本文件第7章）概念和目標(biāo)確定（8章）安全一體化風(fēng)險(xiǎn)評(píng)估（9章）是否需要增加否風(fēng)險(xiǎn)降低措施是更（安全一體化分配和設(shè)計(jì)（10章）安全一體化確認(rèn)（11）13章）安全一體化運(yùn)行維護(hù)（12）退役和停用（14）注1：根據(jù)不同應(yīng)用，生命周期有可能增加新的相應(yīng)階段。注2：生命周期可能并非始終順序執(zhí)行，由于修改或變更可能存在一些反復(fù)或迭代，返回到生命周期的早期階段。注3：安全一體化管理貫穿生命周期的各個(gè)階段。圖2 安全一體化生命周期模型安全一體化管理一般要求智能工廠應(yīng)建立安全一體化管理體系，并貫穿于整個(gè)安全一體化生命周期過程中。GB/T20438.1、GB/T33007、GB/T222397.2-7.5注：傳統(tǒng)的功能安全和信息安全已有大量的標(biāo)準(zhǔn)和法規(guī)要求，例如在信息安全管理方面的GB/T22080等，本文件無法窮盡，這些要求也需要在特定的項(xiàng)目中適當(dāng)使用，功能安全和信息安全的區(qū)別與聯(lián)系參見附錄A。安全方針和策略應(yīng)優(yōu)先考慮最小化人員傷害，并綜合考慮財(cái)產(chǎn)損失、環(huán)境破壞、生產(chǎn)連續(xù)性影響和社會(huì)聲譽(yù)影響等，作為安全一體化實(shí)現(xiàn)的基本方針。功能安全防護(hù)措施本身應(yīng)得到適當(dāng)?shù)男畔踩雷o(hù)。應(yīng)綜合考慮功能安全、信息安全和安全協(xié)調(diào)等問題制定安全策略。當(dāng)功能安全防護(hù)要求和信息安全防護(hù)要求之間存在沖突時(shí)，應(yīng)采取可替換的防護(hù)設(shè)計(jì)手段或補(bǔ)償措施。信息安全的設(shè)計(jì)不應(yīng)對(duì)裝置功能安全目標(biāo)的實(shí)現(xiàn)有從風(fēng)險(xiǎn)角度不可接受的負(fù)面影響，應(yīng)評(píng)估以下負(fù)面影響的程度，對(duì)于導(dǎo)致不可接受風(fēng)險(xiǎn)的影響應(yīng)采取協(xié)同設(shè)計(jì)：——阻止功能安全的有效實(shí)現(xiàn)，例如由于傳輸?shù)南拗茖?dǎo)致安全控制信號(hào)被阻塞；——產(chǎn)生誤動(dòng)，導(dǎo)致生產(chǎn)過程連續(xù)性遭受影響；——響應(yīng)時(shí)間變慢；——可靠性降低；——運(yùn)行維護(hù)復(fù)雜化；——其他負(fù)面影響。.4組織要求應(yīng)建立功能安全和信息安全相關(guān)人員之間的溝通交互機(jī)制。注：協(xié)調(diào)起來。應(yīng)對(duì)從事安全一體化活動(dòng)的相關(guān)人員規(guī)定清晰的任務(wù)，進(jìn)行明確的職責(zé)分配和考核監(jiān)督。應(yīng)根據(jù)具體的應(yīng)用考慮執(zhí)行安全一體化人員能力的適宜性，在智能工廠設(shè)計(jì)、實(shí)現(xiàn)和運(yùn)行過程\hGB/T41260-20225.420438.1-20176宜建立具備功能安全、信息安全復(fù)合能力的人員培訓(xùn)機(jī)制。變更管理應(yīng)制定統(tǒng)一變更管理規(guī)程，其中包含功能安全和信息安全的變更要求。EUCEUC（包括組態(tài)情況、執(zhí)行狀態(tài)等），應(yīng)考慮重新執(zhí)行安全一體化風(fēng)險(xiǎn)評(píng)估，以確定變更后的風(fēng)險(xiǎn)仍然可以接受。應(yīng)制定規(guī)程以評(píng)估當(dāng)功能安全相關(guān)系統(tǒng)和信息安全防護(hù)設(shè)施發(fā)生變更時(shí)（包括組態(tài)情況、執(zhí)行狀態(tài)等），對(duì)于安全一體化造成負(fù)面影響的可能性。當(dāng)功能安全相關(guān)系統(tǒng)發(fā)生變更時(shí)，應(yīng)重新確認(rèn)其信息安全防護(hù)設(shè)施仍然有效。信息安全的變更應(yīng)考慮到對(duì)于生產(chǎn)和功能安全相關(guān)系統(tǒng)的影響，當(dāng)這種影響產(chǎn)生的風(fēng)險(xiǎn)不可容忍而不能立即執(zhí)行時(shí)，其脆弱性應(yīng)得到及時(shí)的跟蹤和管理，并在后續(xù)合適的時(shí)機(jī)補(bǔ)充執(zhí)行變更。注：必要時(shí)可開展一次專門的風(fēng)險(xiǎn)評(píng)估，以識(shí)別出不會(huì)對(duì)安全一體化完善度造成影響的補(bǔ)償措施，這些補(bǔ)償措施的執(zhí)行需要得到專門的分析和批準(zhǔn)。當(dāng)信息安全防護(hù)措施發(fā)生變更時(shí)（例如更新補(bǔ)?。瑧?yīng)開展相應(yīng)的測試以確認(rèn)這些變更不會(huì)降低安全一體化完善度。應(yīng)建立完整的變更記錄和審計(jì)措施，以確保出現(xiàn)新的變更時(shí)可以進(jìn)行溯源恢復(fù)。安全集中管理宜建立覆蓋主要安全目標(biāo)的安全集中管理平臺(tái)，以實(shí)現(xiàn)生產(chǎn)現(xiàn)場全過程安全事件的動(dòng)態(tài)感知和快速響應(yīng)。安全集中管理平臺(tái)的任何功能及其組合不應(yīng)影響安全功能的正常執(zhí)行。注：考慮到平臺(tái)自動(dòng)響應(yīng)（如自動(dòng)關(guān)閉邊界）的風(fēng)險(xiǎn)，不宜利用平臺(tái)對(duì)安全事件進(jìn)行自動(dòng)響應(yīng)和自主處置。通常這種處理方式應(yīng)由功能安全控制回路實(shí)現(xiàn)。安全集中管理平臺(tái)應(yīng)作為信息安全關(guān)鍵區(qū)域進(jìn)行要求，安全集中管理平臺(tái)的信息安全防護(hù)至少應(yīng)達(dá)到與之直接關(guān)聯(lián)的安全區(qū)域同等級(jí)的信息安全防護(hù)能力。概念和目標(biāo)確定概念確定應(yīng)辨識(shí)出可能造成危險(xiǎn)的所有相關(guān)系統(tǒng)、網(wǎng)絡(luò)及其邊界范圍，包括：EUCEUC在概念確定時(shí)，應(yīng)識(shí)別并列出如下所有信息：——應(yīng)用在該廠區(qū)/車間裝置及其控制系統(tǒng)的種類、用途；——所有裝置及其控制系統(tǒng)數(shù)據(jù)的物理傳輸介質(zhì)與通道；——所有裝置及其控制系統(tǒng)與公網(wǎng)進(jìn)行數(shù)據(jù)交換的物理傳輸介質(zhì)與通信協(xié)議；——需要進(jìn)行隔離的通信網(wǎng)絡(luò)；——不同控制系統(tǒng)間數(shù)據(jù)通信方式；——各種不同虛擬網(wǎng)絡(luò)和物理區(qū)域的范圍邊界，包括典型系統(tǒng)的功能邊界等；——其他相關(guān)信息。安全目標(biāo)的確定和實(shí)現(xiàn)41EUC、EUC注1：該條意味著功能安全相關(guān)系統(tǒng)也需要滿足信息安全要求，例如功能安全相關(guān)系統(tǒng)的工程師站和控制器之間可能會(huì)被非授權(quán)的訪問或篡改，從而導(dǎo)致安全組態(tài)邏輯遭受破壞，可以采用加密或某種完整性控制措施，以識(shí)別組態(tài)數(shù)據(jù)的變化?！瓌t2：應(yīng)確保功能安全措施和信息安全措施之間相互協(xié)調(diào)，避免出現(xiàn)相互的不利影響；當(dāng)沖突難以完全避免時(shí)，應(yīng)從整個(gè)生產(chǎn)系統(tǒng)的角度權(quán)衡獲得損失風(fēng)險(xiǎn)最小的安全策略；注2：這種不利影響可能包括阻止安全功能的有效執(zhí)行、響應(yīng)時(shí)間變慢、可靠性降低、運(yùn)行維護(hù)復(fù)雜化等。例如在功能安全相關(guān)的通信過程中增加不適當(dāng)?shù)募用艽胧?，可能?huì)造成安全指令的延遲和不確定；在功能安全相關(guān)的一些具有緊急停止功能的人機(jī)界面上增加過多的訪問控制和鑒別措施，可能導(dǎo)致在緊急情況下安全功能無法有效執(zhí)行。注3：在上述注2fi-aestate），此時(shí)生產(chǎn)制造過程一般是停止的，然而對(duì)于信息安全來說，可用性是實(shí)現(xiàn)信息安全目標(biāo)的屬性之一，如果攻擊（如DDoS攻擊造成功能安全防護(hù)頻繁的fail-safe——原則3：當(dāng)某項(xiàng)信息安全措施直接參與了功能安全邏輯的執(zhí)行，則該信息安全措施應(yīng)按照功能安全所要求的安全完整性能力實(shí)現(xiàn)；注4：SIL3能力的安全PLC（如可信或加密算法）全防護(hù)機(jī)制也需要按照SIL3的要求研發(fā)設(shè)計(jì)。注5：但這并不意味所有信息安全措施都需要符合功能安全要求，例如某具有信息安全機(jī)制的交換機(jī)處于功能安全通信之中，而該部分屬于功能安全通信的黑色通道，因此該交換機(jī)無需滿足SIL的要求?！瓌t4：應(yīng)綜合考慮功能安全和信息安全措施來實(shí)現(xiàn)整體的風(fēng)險(xiǎn)降低。注6：安全一體化風(fēng)險(xiǎn)評(píng)估的具體要求見GB/TXXXXX.2。8.2.1為實(shí)現(xiàn)安全目標(biāo)，智能工廠的安全一體化應(yīng)至少滿足以下三個(gè)指標(biāo)：——應(yīng)滿足相應(yīng)的SIL要求（符合GB/T20438標(biāo)準(zhǔn)）；——應(yīng)滿足相應(yīng)的SL要求（符合GB/T35673等標(biāo)準(zhǔn)）；——對(duì)于功能安全和工控信息安全的協(xié)調(diào)應(yīng)滿足安全一體化完善度SSIL的要求。3。安全一體化完善度總體要求安全一體化完善度總體要求安全一體化風(fēng)險(xiǎn)評(píng)估（XXXXX.2）安全要求提出及分配功能安全相關(guān)信息安全防護(hù)系統(tǒng)（SIL）措施（SL）安全協(xié)同措施設(shè)計(jì)XXXXX.3）否SSIL1可接受？安全一體化完善度評(píng)GB/TXXXXX.3SSIL0是SSIL2SIL/SL/SSIL圖3 安全目標(biāo)的實(shí)現(xiàn)過程安全一體化完善度分為三個(gè)等級(jí)，各個(gè)等級(jí)的定義如下：——SSIL0——SSIL1——SSIL2SSIL1。安全一體化風(fēng)險(xiǎn)評(píng)估8應(yīng)通過對(duì)生產(chǎn)系統(tǒng)、設(shè)備和人員等可能產(chǎn)生的危險(xiǎn)、威脅的全面辨識(shí)，分析所有的危險(xiǎn)、威脅發(fā)生的可能性和導(dǎo)致的后果，確定風(fēng)險(xiǎn)等級(jí)。應(yīng)基于安全一體化風(fēng)險(xiǎn)評(píng)估的結(jié)論提出安全一體化要求。GB/TXXXXX.2。安全一體化要求分配和設(shè)計(jì)5：原始安全一體化風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)安全一體化要求必要的風(fēng)險(xiǎn)降低

信息安全防護(hù)設(shè)計(jì)

EUC和EUC控制系統(tǒng)信息安全防護(hù)

其他風(fēng)險(xiǎn)降低協(xié)同設(shè)計(jì)#1設(shè)計(jì)復(fù)審/補(bǔ)償措施可容忍風(fēng)險(xiǎn) 實(shí)施表示安全一體化分配和設(shè)計(jì)相關(guān)的活動(dòng)；圖4 安全一體化要求分配和設(shè)計(jì)流程應(yīng)基于風(fēng)險(xiǎn)評(píng)估提出以下要求，并分配給相應(yīng)的系統(tǒng)，包括：——功能安全要求（安全功能和安全完整性），將風(fēng)險(xiǎn)降低要求分配給功能安全相關(guān)系統(tǒng)（如安全儀表系統(tǒng)）GB/T20438（所有部分）等標(biāo)準(zhǔn)；——功能安全相關(guān)系統(tǒng)的工控信息安全防護(hù)要求（區(qū)域及管道界定，工控信息安全等級(jí)），將風(fēng)險(xiǎn)降低要求分配給功能安全相關(guān)系統(tǒng)上的信息安全防護(hù)措施；EUCEUCGB/T30976——其他風(fēng)險(xiǎn)降低措施。10.4-10.11。應(yīng)從以下兩個(gè)方面考慮協(xié)調(diào)性的風(fēng)險(xiǎn)：——在沒有攻擊/入侵和遭受攻擊/入侵時(shí)，信息安全措施正常運(yùn)行對(duì)功能安全造成負(fù)面影響的風(fēng)險(xiǎn)；——在沒有攻擊/入侵和遭受攻擊/入侵時(shí)，信息安全措施喪失（例如發(fā)生硬件失效或系統(tǒng)性失效）對(duì)功能安全造成負(fù)面影響的風(fēng)險(xiǎn)。注：一些具有主動(dòng)防護(hù)能力的信息安全措施(例如入侵檢測和控制)在檢測到入侵前后可能處于的狀態(tài)、行為模式以及網(wǎng)絡(luò)控制策略均不同，因此需要分別考慮沒有攻擊/入侵和遭受攻擊/入侵時(shí)的情況。10.4——不能執(zhí)行安全功能導(dǎo)致生產(chǎn)事故；注1：一種可能的情形是信息安全攻擊導(dǎo)致基本過程控制失效提出要求，同時(shí)導(dǎo)致安全功能失效（甚至包括其他的保護(hù)層失效），從而發(fā)生事故。——安全功能誤動(dòng)作導(dǎo)致生產(chǎn)連續(xù)性受損。注2：由于攻擊者不同于隨機(jī)失效或人員失誤，從概率的角度隨機(jī)失效和人員失誤的疊加發(fā)生可能性極低，但攻擊者可能會(huì)盡最大的可能造成破壞，這將導(dǎo)致可能多個(gè)安全功能誤動(dòng)作以及頻繁的、長期的發(fā)生誤動(dòng)作，從風(fēng)險(xiǎn)的角度這將導(dǎo)致更加嚴(yán)重的后果。的概念和目標(biāo)確定階段，修改系統(tǒng)和網(wǎng)絡(luò)的基本規(guī)劃和設(shè)計(jì)，并重新執(zhí)行安全一體化風(fēng)險(xiǎn)評(píng)估。注：安全協(xié)同的分析過程參考本文件的附錄C。在診斷到入侵攻擊時(shí)，應(yīng)至少采取以下措施之一：——實(shí)施有效報(bào)警；——將生產(chǎn)導(dǎo)入安全狀態(tài)；——采取隔離等措施，以防止進(jìn)一步攻擊的發(fā)生。GB/TXXXXX.3GB/TXXXXX.4SSIL——不會(huì)遭受信息攻擊可能性的其他安全控制措施，如純機(jī)電、液動(dòng)或氣動(dòng)安全控制；——對(duì)邊界防護(hù)設(shè)備進(jìn)行冗余設(shè)計(jì)；——附加的物理防護(hù)；——附加的管理要求。應(yīng)評(píng)估補(bǔ)償措施的獨(dú)立性和失效可能性等，以確保其可實(shí)現(xiàn)要求的風(fēng)險(xiǎn)降低能力。注：可參考本文件附錄B和GB/T35673-2017中補(bǔ)償措施的描述，以及GB/T21109中關(guān)于保護(hù)層（PL）和獨(dú)立保護(hù)層（IPL）的要求。安全一體化確認(rèn)10安全一體化確認(rèn)應(yīng)至少包括以下內(nèi)容：——確認(rèn)風(fēng)險(xiǎn)評(píng)估所提出的所有安全要求都完成分配并已設(shè)計(jì)相應(yīng)的風(fēng)險(xiǎn)降低措施；——確認(rèn)對(duì)所有功能安全措施都已考慮信息安全威脅的影響，并將這些影響降低到可接受水平；GB/TXXXXX.3——確認(rèn)所有附加的補(bǔ)償措施已具備足夠的風(fēng)險(xiǎn)降低能力；——確認(rèn)最終的安全一體化設(shè)計(jì)按照第8章的要求已實(shí)現(xiàn)所有的安全目標(biāo)。安全一體化運(yùn)行維護(hù)智能工廠應(yīng)統(tǒng)籌考慮安全一體化運(yùn)行維護(hù)管理規(guī)章和運(yùn)行維護(hù)管理活動(dòng)。注：企業(yè)宜建立統(tǒng)一的安全管理體系，集成企業(yè)現(xiàn)有的安全管理制度，并集中開展安全運(yùn)維活動(dòng)。GB/T20438、GB/T41260、GB/T4125712安全一體化運(yùn)行維護(hù)活動(dòng)宜在本地（就地）實(shí)施。注：某些維護(hù)活動(dòng)可能需要臨時(shí)建立遠(yuǎn)程訪問路徑，此時(shí)需考慮其附加的信息安全風(fēng)險(xiǎn)。安全一體化的運(yùn)行維護(hù)活動(dòng)不應(yīng)影響正常的生產(chǎn)過程和相關(guān)系統(tǒng)的可用性。注：通常在特定的階段（如工序維護(hù)時(shí)）實(shí)施有可能影響生產(chǎn)過程的功能性檢查活動(dòng)。13應(yīng)開展安全一體化運(yùn)行管理活動(dòng)，內(nèi)容包括但不限于：——定期進(jìn)行安全一體化風(fēng)險(xiǎn)評(píng)估；——組織相關(guān)部門進(jìn)行SIL、SL和SSIL的確認(rèn)；——組織安全一體化相關(guān)人員進(jìn)行技術(shù)培訓(xùn)；——組織制定或更新管理規(guī)定和記錄文件等。注：驗(yàn)記錄、調(diào)節(jié)閥聯(lián)校記錄、不合格品登記、安全一體化維護(hù)記錄等。應(yīng)開展安全一體化維護(hù)管理活動(dòng)，內(nèi)容包括但不限于：——功能安全相關(guān)系統(tǒng)的維護(hù)；——信息安全防護(hù)措施的維護(hù)；——安全集中管理的維護(hù)。修改和變更應(yīng)按照安全一體化管理要求（7）產(chǎn)生變更申請(qǐng)，其中應(yīng)包括下列內(nèi)容：——可能受影響的已確定的危險(xiǎn)；——建議的更改（硬件和軟件）；——變更的理由。對(duì)于信息安全防護(hù)措施的變更應(yīng)詳細(xì)分析其是否可能對(duì)功能安全相關(guān)系統(tǒng)造成負(fù)面影響。如果由于變更引起人員的職責(zé)和能力要求發(fā)生變化，應(yīng)對(duì)人員開展附加的培訓(xùn)。典型的可能會(huì)對(duì)功能安全相關(guān)系統(tǒng)造成影響的工控信息安全防護(hù)措施變更包括但不限于：——對(duì)維護(hù)/工程接口的訪問限制進(jìn)行了變更；——對(duì)正常運(yùn)行時(shí)，維護(hù)接口采取何種接入策略進(jìn)行了變更；——人員執(zhí)行寫入（工藝參數(shù)修改）權(quán)限的變更；——工程師站殺毒軟件等程序升級(jí)變更；——嵌入式軟件/固件的升級(jí)；——控制網(wǎng)絡(luò)結(jié)構(gòu)或路由設(shè)備的變更。注：宜按照具體現(xiàn)場情況選擇工控信息安全防護(hù)措施變更的實(shí)施時(shí)機(jī)，來確保這種負(fù)面影響的程度在可接受范圍。退役和停用本文件中有關(guān)功能安全、工控信息安全和安全一體化要求，執(zhí)行所有后續(xù)階段。附 錄 A（資料性）功能安全和信息安全的異同功能安全和信息安全異同見表A.1。表A.1功能安全和信息安全異同安全一體化生命周期階段功能安全信息安全風(fēng)險(xiǎn)評(píng)估評(píng)估對(duì)象-智能化生產(chǎn)過程/受控設(shè)備(EUC)-待考慮的系統(tǒng)（SUC）失效的原因由于運(yùn)行和環(huán)境壓力的隨機(jī)失效 由于安全生命周期過程錯(cuò)誤導(dǎo)致的系統(tǒng)性失效威脅：內(nèi)部，外部或內(nèi)外部 脆弱性：組件或系統(tǒng)的設(shè)計(jì)疏漏；沒有遵循信息安全實(shí)踐和規(guī)程；威脅揭露脆弱性導(dǎo)致失效后果-對(duì)環(huán)境的影響，對(duì)人員或公眾的健康和人身傷害可用性和完整性的喪失將對(duì)功能安全產(chǎn)生直接影響機(jī)密性的喪失對(duì)功能安全將產(chǎn)生間接影響風(fēng)險(xiǎn)分類-基于原因可能性和后果嚴(yán)重性確定，風(fēng)險(xiǎn)可以是定量的 基于原因可能性和后果嚴(yán)重性確定，風(fēng)險(xiǎn)是定性的 對(duì)于每個(gè)信息安全要求進(jìn)行風(fēng)險(xiǎn)分類多維度問題為每個(gè)區(qū)域和管道分配目標(biāo)SL風(fēng)險(xiǎn)減緩措施一般采用獨(dú)立的保護(hù)層保護(hù)措施可以降低可能性和后果 可以確定完整性要求：對(duì)SIF目標(biāo)SIL 采用基于區(qū)域和管道的信息安全措施和縱深防御的概念保護(hù)措施一般僅降低可能性 對(duì)于每一個(gè)威脅向量都需要識(shí)別應(yīng)對(duì)措施的要求以確定該區(qū)域的目標(biāo)SL是否實(shí)現(xiàn)保護(hù)措施的實(shí)現(xiàn)組件的安全手冊(cè)對(duì)于安全功能的定量SIL驗(yàn)證組件的信息安全手冊(cè) 通過不同的測試方法對(duì)SL性驗(yàn)證運(yùn)行和維護(hù) 有具有資格的人員才能訪問IACS對(duì)技術(shù)措施周期性的測試 需要對(duì)要求率和組件的失效進(jìn)行監(jiān)視人員教育和培訓(xùn)只有具有資格的人員才能訪問IACS對(duì)技術(shù)措施周期性的測試頻繁的審查以發(fā)現(xiàn)新的脆弱性并采取相應(yīng)的修改人員教育和培訓(xùn)在任何軟件或硬件變更后重新開展信息風(fēng)險(xiǎn)評(píng)估管理體系審計(jì)、變更管理和文檔化要求；安全管理-定義人員能力、培訓(xùn)、驗(yàn)證、測試、審計(jì)、變更管理和文檔化要求附 錄 B（資料性）風(fēng)險(xiǎn)降低過程及補(bǔ)償措施示例風(fēng)險(xiǎn)降低過程在GB/T20438.5B.1。殘余風(fēng)險(xiǎn)殘余風(fēng)險(xiǎn)可容忍風(fēng)險(xiǎn)2*10-6EUC風(fēng)險(xiǎn)10-31*10-6風(fēng)險(xiǎn)增加必要的風(fēng)險(xiǎn)降低實(shí)際的風(fēng)險(xiǎn)降低被其他風(fēng)險(xiǎn)降低措被功能安全相關(guān)系統(tǒng)覆蓋的風(fēng)險(xiǎn)施覆蓋的風(fēng)險(xiǎn)RRF1=100RRF2=10所有安全系統(tǒng)和其他風(fēng)險(xiǎn)降低措施所獲得的風(fēng)險(xiǎn)降低圖B.1風(fēng)險(xiǎn)降低過程示例（功能安全）相關(guān)概念的含義如下：——EUCEUC、EUCGB/T20438.4-20173.1.9）；——可容忍風(fēng)險(xiǎn)：根據(jù)當(dāng)今社會(huì)水平所能接受的風(fēng)險(xiǎn)（見GB/T20438.4-2017中的3.1.7）；E/E/PEEUCEUC見GB/T2048.420173.17。RR=10RRF=1。圖B.1給出的僅是考慮功能安全時(shí)風(fēng)險(xiǎn)降低過程，如果考慮信息安全，則風(fēng)險(xiǎn)降低過程示例見圖B.2。殘余風(fēng)險(xiǎn)殘余風(fēng)險(xiǎn)可容忍風(fēng)險(xiǎn)（無法準(zhǔn)確量化）2*10-6EUC（威脅等情況下）10-2必要的風(fēng)險(xiǎn)降低實(shí)際的風(fēng)險(xiǎn)降低被其他風(fēng)險(xiǎn)降低措被功能安全相關(guān)系統(tǒng)覆蓋的風(fēng)險(xiǎn)被信息安全防護(hù)措施覆蓋的風(fēng)險(xiǎn)RRF1=100（難以RRF2=10 量化）所有安全系統(tǒng)和其他風(fēng)險(xiǎn)降低措施所獲得的風(fēng)險(xiǎn)降低圖B.2風(fēng)險(xiǎn)降低過程的示例（功能安全和信息安全）體化RR=10低能（EUC和EUC控制系統(tǒng)所在一片區(qū)域GB/T險(xiǎn)降RR=1B.。殘余風(fēng)險(xiǎn)殘余風(fēng)險(xiǎn)可容忍風(fēng)險(xiǎn)2*10-6EUC（威脅等情況下）1*10-610-2必要的風(fēng)險(xiǎn)降低實(shí)際的風(fēng)險(xiǎn)降低被其他風(fēng)險(xiǎn)降被補(bǔ)償措施低措施覆蓋的覆蓋的風(fēng)險(xiǎn)RRF2=10RRF1=100，信息安全措施得到協(xié)同設(shè)計(jì)RRF3=10所有安全系統(tǒng)和其他風(fēng)險(xiǎn)降低措施所獲得的風(fēng)險(xiǎn)降低圖B.3風(fēng)險(xiǎn)降低過程的示例（安全一體化）補(bǔ)償措施在GB/T35673——（組件級(jí)）：使用加鎖的機(jī)柜，對(duì)沒有充分的網(wǎng)絡(luò)訪問控制措施的控制器進(jìn)行防護(hù)；——（控制系統(tǒng)/區(qū)域級(jí)）：物理出入口控制（門衛(wèi)、門閘、槍）用來保護(hù)一個(gè)控制室，只允許對(duì)IACS——（組件級(jí)）：設(shè)備供應(yīng)商提供的可編程邏輯控制器（PLC）不具備滿足終端用戶進(jìn)行訪問控制PLC一些可能需要補(bǔ)償措施的場景示例如下：——如功能安全相關(guān)系統(tǒng)上位機(jī)需要人員在緊急狀態(tài)下執(zhí)行關(guān)斷操作，則可能需要多個(gè)操作員共享賬戶從而保證任何人都可以在緊急狀態(tài)下能夠成功執(zhí)行該操作，此時(shí)需要增加相應(yīng)的補(bǔ)償措施例如：從物理上進(jìn)行限制訪問，制定響應(yīng)的組織化規(guī)程等?！谀承┣闆r下，會(huì)話鎖定可能會(huì)導(dǎo)致人員無法在緊急情況下對(duì)功能安全相關(guān)系統(tǒng)操作，從而EUCEUC此外，可以通過多種關(guān)聯(lián)設(shè)計(jì)方式，實(shí)現(xiàn)將危險(xiǎn)事件的后果限制在可容忍范圍：——電氣安全設(shè)計(jì)：如限壓限流設(shè)計(jì)可抑制負(fù)載異常造成的電氣設(shè)施整體損壞。——機(jī)械安全設(shè)計(jì)：如防護(hù)欄設(shè)計(jì)可將機(jī)械手等運(yùn)動(dòng)部件造成的傷害抑制在特定區(qū)域內(nèi)。附 錄 C（資料性）安全協(xié)同的考慮和建議C.1定義了5種可能存在的功能安全和信息安全交互影響狀態(tài)。表C.1功能安全和信息安全交互影響狀態(tài)狀態(tài)解釋如何揭露（證明）如何避免（實(shí)現(xiàn)）1、無影響信息安全措施得以有效實(shí)施，其對(duì)于安全功能的執(zhí)行沒有負(fù)面影響定性風(fēng)險(xiǎn)分析；安全確認(rèn)：信息安全攻擊仿真或測試；良好的架構(gòu)設(shè)計(jì)，良好的信息安全設(shè)計(jì)，良好的功能安全設(shè)計(jì)2、沖突沖突的結(jié)果可能是造成安全相關(guān)系統(tǒng)誤動(dòng)或拒動(dòng)，而且這種誤動(dòng)的后果嚴(yán)重程度可能遠(yuǎn)遠(yuǎn)大于要求率增加，因此需盡可能避免定量風(fēng)險(xiǎn)分析；安全確認(rèn)：信息安全攻擊仿真或測試；系統(tǒng)級(jí)安全一