GB/T 41274-2022 可編程控制系統(tǒng)內(nèi)生安全體系架構(gòu)（正式版）

ICSCCS25.040.40GB/T41274—2022國家市場監(jiān)督管理總局國家標(biāo)準(zhǔn)化管理委員會(huì)GB/T41274—2022本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由全國工業(yè)過程測量控制和自動(dòng)化標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC124)歸口。工業(yè)自動(dòng)化研究所有限公司。1GB/T41274—2022可編程控制系統(tǒng)內(nèi)生安全體系架構(gòu)本文件規(guī)定了可編程控制系統(tǒng)內(nèi)生安全體系架構(gòu)，描述了可編程控制系統(tǒng)內(nèi)生安全的目標(biāo)和各單高可用實(shí)現(xiàn)等。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文GB/T15969.3—2017可編程序控制器第3部分：編程語言3術(shù)語和定義下列術(shù)語和定義適用于本文件。3.1.13.1.2傷害的潛在根源。3.1.3風(fēng)險(xiǎn)risk傷害發(fā)生的概率與該傷害嚴(yán)重程度的組合。3.1.4免于不可接受的風(fēng)險(xiǎn)。2GB/T41274—2022注1:保護(hù)系統(tǒng)所采取的措施。注5:措施是與物理信息安全(控制物理訪問計(jì)算機(jī)的資產(chǎn))或者邏輯信息安全(登錄給定系統(tǒng)和應(yīng)用的能力)相關(guān)樣規(guī)定執(zhí)行EUC安全相關(guān)任務(wù)的功能?？删幊屉娮酉到y(tǒng)的軟件的一部分，規(guī)定了執(zhí)行EUC相關(guān)任務(wù)的功能而不是可編程裝置自身的功3GB/T41274—20223.2.53.2.6可編程序(邏輯)控制器programmable(logic)controller;PLC一種用于工業(yè)環(huán)境的數(shù)字式操作的電子系統(tǒng)。這種系統(tǒng)用可編程的存儲(chǔ)器作面向用戶指令的內(nèi)部型的機(jī)械或過程?？删幊绦?邏輯)控制器及其相關(guān)外圍設(shè)備的設(shè)計(jì)，使它能夠非常方便地集成到工業(yè)注：在本文件中使用縮寫詞PLC代表可編程序(邏輯)控制器(programmablelogiccontrollers),這在自動(dòng)化行業(yè)中已形成共識(shí)。原來曾用PC作為可編程序(邏輯)控制器的3.2.7用戶根據(jù)所要完成的自動(dòng)化系統(tǒng)要求而建立的由可編程控制器及其相關(guān)外圍設(shè)備組成的配置。制造執(zhí)行系統(tǒng)(MES)和企業(yè)資源計(jì)劃(ERP)管理系統(tǒng)；3.2.8執(zhí)行所要求的安全功能(3.3.1)使EUC(3.2.1)達(dá)到或保持安全狀態(tài)的系統(tǒng)，自身或與其他E/E/PE注1:安全相關(guān)系統(tǒng)與其他風(fēng)險(xiǎn)降低措施一起，實(shí)現(xiàn)必要的風(fēng)險(xiǎn)降低量，以滿足所要求的可容忍風(fēng)險(xiǎn)。參見GB/T20438.5—2017中附錄A。注2:安全相關(guān)系統(tǒng)能在檢測到可導(dǎo)致危險(xiǎn)事件的情況時(shí)采取適當(dāng)?shù)膭?dòng)作以防止EUC進(jìn)入危險(xiǎn)狀態(tài)。安全相關(guān)系統(tǒng)的失效包含于導(dǎo)致危險(xiǎn)的事件中。盡管可能存在具備安全功能的其他系統(tǒng)，但所指定的安全相關(guān)系統(tǒng)僅靠其自身能力達(dá)到要求的可容忍風(fēng)險(xiǎn)。安全相關(guān)系統(tǒng)一般被分為安全相關(guān)控制系統(tǒng)和安全相關(guān)保護(hù)注3:安全相關(guān)系統(tǒng)是EUC控制系統(tǒng)的組成部分，也能用傳感器和/或執(zhí)行器與EUC連接。即能通過EUC控制a)用于防止危險(xiǎn)事件發(fā)生(即安全相關(guān)系統(tǒng)一旦執(zhí)行其安全功能則避免傷害事件發(fā)生)。c)同時(shí)具有a)和b)的功能組合。4GB/T41274—2022注6:安全相關(guān)系統(tǒng)包括執(zhí)行規(guī)定安全功能所需的全部硬件、軟件以及支持服務(wù)(如電源),因此，傳感器、其他輸入裝置、最終元件(執(zhí)行器)和其他輸出裝置都包括在安全相關(guān)系統(tǒng)中。示例：功能元件加倍和增加奇偶校驗(yàn)位。注1:冗余主要用于提高可靠性(在給定時(shí)間范圍內(nèi)功能正確的概率)或可用性(在特定時(shí)間點(diǎn)具有功能的概率),也能通過像2oo3這樣的架構(gòu)來使誤動(dòng)作最小化。個(gè)冗余項(xiàng)運(yùn)行)、“混合的(mixed)”(在同一時(shí)間一個(gè)或幾個(gè)項(xiàng)運(yùn)行和一個(gè)或幾個(gè)項(xiàng)待機(jī))。安全功能safetyfunction其他風(fēng)險(xiǎn)降低措施實(shí)現(xiàn)的功能。示例1:在要求時(shí)執(zhí)行的功能，作為一種主動(dòng)行動(dòng)以避免危險(xiǎn)狀況(如關(guān)閉電機(jī))。示例2:采取預(yù)防行為的功能(如防止馬達(dá)啟動(dòng))。安全完整性safetyintegrity在規(guī)定的時(shí)間段內(nèi)和規(guī)定的條件下，安全相關(guān)系統(tǒng)(3.2.8)成功執(zhí)行規(guī)定的安全功能(3.3.1)的概率。注1:安全完整性越高，安全相關(guān)系統(tǒng)在要求時(shí)未能執(zhí)行規(guī)定的安全功能或未能實(shí)現(xiàn)規(guī)定的狀態(tài)的概率就越低。注2:有4個(gè)安全完整性等級(jí)(見3.3.6)。注3:在確定安全完整性時(shí)，包括所有導(dǎo)致非安全狀態(tài)的失效原因(隨機(jī)硬件失效和系統(tǒng)性失效),如硬件失效、軟件導(dǎo)致的失效和電磁干擾導(dǎo)致的失效。某些類型的失效，尤其是隨機(jī)硬件失效，能用危險(xiǎn)失效模式下的平均失效頻率或安全相關(guān)保護(hù)系統(tǒng)未能在要求時(shí)動(dòng)作的概率來量化，但是安全完整性還取決于許多不能精確量化只可定性考慮的因素。注4:安全完整性由硬件安全完整性(見3.3.5)和系統(tǒng)性安全完整性(見3.3.4)構(gòu)成。注5:本定義針對(duì)安全相關(guān)系統(tǒng)執(zhí)行安全功能的可靠性(見IEC60050-192:2015可靠性的定義)。系統(tǒng)性安全完整性systematicsafetyintegrity注：系統(tǒng)性安全完整性通常不能量化(與通?？闪炕挠布踩暾悦黠@不同)。3.3.5注：本術(shù)語涉及在危險(xiǎn)模式下的失效，是將削弱其安全完整性的安全相關(guān)系統(tǒng)的這類失效。與本術(shù)語有關(guān)的兩個(gè)參數(shù)是危險(xiǎn)失效平均頻率和在要求時(shí)動(dòng)作失效的概率。前一可靠性參數(shù)在為保持安全而保持連續(xù)控制時(shí)使用，后一可靠性參數(shù)在安全相關(guān)保護(hù)系統(tǒng)場合中使用。5GB/T41274—20223.3.6安全完整性等級(jí)safetyintegritylevel;SIL一種離散的等級(jí)(4個(gè)可能等級(jí)之一),對(duì)應(yīng)安全完整性量值的范圍。安全完整性等級(jí)4是最高的，安全完整性等級(jí)1是最低的。注1:4個(gè)安全完整性等級(jí)對(duì)應(yīng)的目標(biāo)失效量(見GB/T20438.4—2017中3.5.17)參見GB/T20438.1—2017中表2和表3。4可編程控制系統(tǒng)內(nèi)生安全體系架構(gòu)4.1概述可編程控制系統(tǒng)的系統(tǒng)架構(gòu)與內(nèi)生安全部署如圖1所示，主要包括可編程電子模塊或工業(yè)控制系安全增強(qiáng)控制軟件平臺(tái)場景識(shí)別與身份認(rèn)證●數(shù)據(jù)分級(jí)輕量加密●安全多語言編譯器·主機(jī)安全加固域級(jí)綜合安全管理系統(tǒng)控制網(wǎng)絡(luò)安全協(xié)議服務(wù)器MNct控制網(wǎng)絡(luò)安全增強(qiáng)模塊●實(shí)時(shí)加密虛擬隨道安全監(jiān)測與異常預(yù)警內(nèi)生安全控制模塊冗余10模塊·動(dòng)態(tài)完整性檢測異構(gòu)冗余工程程序安全保護(hù)同構(gòu)冗余異常診斷與冗余容錯(cuò)多重冗余2組冗余10模塊4塊IO模塊混裝本安IO模塊系列/離模型10模塊系列現(xiàn)場工業(yè)網(wǎng)關(guān)配置合法性監(jiān)測圖1可編程控制系統(tǒng)的系統(tǒng)架構(gòu)與內(nèi)生安全部署圖6GB/T41274—20224.2可編程控制系統(tǒng)內(nèi)生安全特性4.2.1可編程控制系統(tǒng)的完整性保障可編程控制系統(tǒng)硬件資源、軟件環(huán)境與應(yīng)用程序應(yīng)具有完整性保障檢測與保護(hù)措施。注1:該保護(hù)措施能監(jiān)測可編程電子部件的硬件功能、配置信息、固件程序等靜態(tài)完整性。注3:該保護(hù)措施能制定線程及資源的創(chuàng)建、分配、回收等進(jìn)程調(diào)度安全策略，實(shí)現(xiàn)安全進(jìn)程與資源列表的動(dòng)態(tài)維護(hù)。注4:控制器內(nèi)核架構(gòu)及資源受限訪問控制與應(yīng)用隔離機(jī)制，能攔截非法跨進(jìn)程資源訪問請(qǐng)求，實(shí)現(xiàn)運(yùn)行空間的隔離與保護(hù)。4.2.2應(yīng)用程序的全生命周期安全保護(hù)注1:應(yīng)用程序的多樣化生成方法包括動(dòng)態(tài)多樣化混淆編輯、異構(gòu)等價(jià)二進(jìn)制數(shù)據(jù)動(dòng)態(tài)生成等方法。注2:通過構(gòu)建應(yīng)用程序文件的安全存儲(chǔ)與發(fā)布系統(tǒng)，實(shí)現(xiàn)應(yīng)用程序文件完整性校驗(yàn)與傳輸方法。注3:結(jié)合基于時(shí)間多變性、空間多樣性等動(dòng)態(tài)輕量加密方法，實(shí)現(xiàn)被攻擊視圖的動(dòng)態(tài)隨機(jī)化分配與非明文表達(dá)。4.2.3可編程控制系統(tǒng)的綜合診斷與高可用實(shí)現(xiàn)可編程控制系統(tǒng)的綜合診斷與表決冗余等方法，應(yīng)保障控制器的高可用性。注1:綜合診斷方法包括控制系統(tǒng)模件/模塊/功能電路的隨機(jī)失效與安全威脅綜合診斷、故障隔離與在線修復(fù)等。注2:控制器組件或模塊的在線配置、在線診斷、聯(lián)機(jī)調(diào)試等方法，能設(shè)計(jì)隨機(jī)失效與安全威脅在線綜合診斷技術(shù)，實(shí)現(xiàn)故障或失效的自動(dòng)識(shí)別及快速定位。據(jù)同步及異構(gòu)多模冗余表決，能實(shí)現(xiàn)異構(gòu)動(dòng)態(tài)與冗余容錯(cuò)，保障控制裝備的高安全性與高可用性。4.3可編程控制系統(tǒng)工業(yè)網(wǎng)絡(luò)4.3.1控制網(wǎng)絡(luò)的安全機(jī)制控制網(wǎng)絡(luò)信息的安全傳輸，應(yīng)確保數(shù)據(jù)的機(jī)密性、完整性、安全性。4.3.2控制網(wǎng)絡(luò)與現(xiàn)場總線安全監(jiān)測與異常預(yù)警控制網(wǎng)絡(luò)與現(xiàn)場總線安全監(jiān)測與異常預(yù)警應(yīng)通過數(shù)據(jù)流場景序列關(guān)聯(lián)分析、數(shù)據(jù)包分類基線檢測、控制系統(tǒng)編程時(shí)或運(yùn)行時(shí)的網(wǎng)絡(luò)行為分析等技術(shù)實(shí)現(xiàn)。注：基于控制網(wǎng)絡(luò)與現(xiàn)場總線協(xié)議的深度理解，通過通信包完整性分析、數(shù)據(jù)字段合法性監(jiān)測等方法，能實(shí)現(xiàn)非法數(shù)據(jù)包的檢測與過濾。4.4可編程控制系統(tǒng)的應(yīng)用軟件開發(fā)與運(yùn)行平臺(tái)應(yīng)用軟件開發(fā)與運(yùn)行平臺(tái)的總體架構(gòu)示意圖如圖2所示，圖2左側(cè)為不同層次的硬件平臺(tái)，主要運(yùn)行工程師站圖形組態(tài)與控制編程軟件、操作員站實(shí)時(shí)監(jiān)控軟件、控制器或控制站實(shí)時(shí)控制軟件等，通過系統(tǒng)網(wǎng)絡(luò)交互各種數(shù)據(jù)、管理和控制信息，協(xié)調(diào)一致地完成整個(gè)控制系統(tǒng)的各種功能；主要功能包括現(xiàn)場數(shù)據(jù)采集、算法執(zhí)行、實(shí)時(shí)數(shù)據(jù)和歷史數(shù)據(jù)處理、報(bào)警和安全機(jī)制、流程控制、動(dòng)畫顯示、趨勢曲線和報(bào)7GB/T41274—2022表輸出以及監(jiān)控網(wǎng)絡(luò)等。硬件商置實(shí)時(shí)數(shù)據(jù)庫工程師站第三方驅(qū)動(dòng))系統(tǒng)網(wǎng)絡(luò)安全通信)(控制在線監(jiān)視)CS控制器或控制站安全通信功能SNelB程序介信息安金防護(hù)功能整性保證(事作及時(shí)響應(yīng))資源可出性訪問控制)權(quán)限控制(信息加密受限數(shù)拆流)控制在線監(jiān)視余表決完整性保障安全功能驗(yàn)證功能配置內(nèi)部資源信息加密權(quán)泵分配2A使用《會(huì)話管理監(jiān)視完整性備份灰復(fù)恢復(fù)完整性校驗(yàn)受限數(shù)據(jù)流網(wǎng)絡(luò)分區(qū)邊界防擴(kuò)道信限制應(yīng)用分離物理防篡攻》軟件診斷初始化與安全啟動(dòng)安全配置通信內(nèi)部資源靜態(tài)加固技術(shù)交互完整性更新完整性動(dòng)態(tài)防護(hù)技術(shù)應(yīng)用程序檢測完整性第三方史數(shù)玷庫事件及時(shí)響應(yīng)標(biāo)識(shí)認(rèn)證其他功能數(shù)據(jù)要口傳輸加密控制運(yùn)算信息留存存儲(chǔ)如密策略決策硬件診腳實(shí)時(shí)數(shù)據(jù)庫報(bào)告診所控制T/0處理服務(wù)訪問控制控制算法編料權(quán)限控制CNctB加密管坦設(shè)備接口CNct2圖2應(yīng)用軟件開發(fā)與運(yùn)行平臺(tái)的總體架構(gòu)示意圖4.4.2監(jiān)控操作功能用戶登錄權(quán)限管理，應(yīng)建立用戶權(quán)限授權(quán)管理機(jī)制。注2:用戶登錄安全管理機(jī)制的建立能實(shí)現(xiàn)用戶授權(quán)密碼復(fù)雜性、差異性、使用期限、嘗試次數(shù)、單操作站/工程師注3:用戶身份信息的輕量標(biāo)識(shí)方法能實(shí)現(xiàn)動(dòng)態(tài)輕量加解密策略，進(jìn)而實(shí)現(xiàn)快速身份識(shí)別。注4:用戶權(quán)限分配方法能實(shí)現(xiàn)授權(quán)鏈安全管理與查詢優(yōu)化策略，進(jìn)而實(shí)現(xiàn)快速用戶權(quán)限鑒別。監(jiān)控操作運(yùn)行模塊應(yīng)實(shí)現(xiàn)人機(jī)交互畫面的動(dòng)態(tài)顯示與操作管理。區(qū)與系統(tǒng)軟件功能區(qū)的授權(quán)配置，應(yīng)支持安全區(qū)與功能區(qū)操作的訪問受控；基于實(shí)時(shí)數(shù)據(jù)庫逐點(diǎn)權(quán)限訪問控制、圖形操作單元權(quán)限訪問控制、圖形操作單元關(guān)鍵數(shù)據(jù)輸入值的范圍限制與關(guān)鍵數(shù)據(jù)二次確認(rèn)，應(yīng)保證關(guān)鍵操作的訪問受控。注1:按周期記錄或變差記錄能生成歷史數(shù)據(jù)序列。注2:依據(jù)設(shè)置的報(bào)警條件，能生成實(shí)時(shí)數(shù)據(jù)事件報(bào)警記錄，同時(shí)能支持多種報(bào)警響應(yīng)處理。注3:依據(jù)報(bào)表組態(tài)信息生成報(bào)表記錄，能形成報(bào)表管理系統(tǒng)。監(jiān)控操作生成模塊應(yīng)實(shí)現(xiàn)流程畫面繪制組態(tài)，提供豐富的圖庫和圖元庫，應(yīng)滿足基本工程組態(tài)需求，同時(shí)應(yīng)支持工程師自行開發(fā)所需圖庫。畫面圖元應(yīng)支持動(dòng)態(tài)鏈接，建立畫面的圖素與數(shù)據(jù)庫記錄點(diǎn)GB/T41274—2022用戶操作權(quán)限管理應(yīng)支持用戶操作安全區(qū)與系統(tǒng)軟件功能區(qū)的多級(jí)多組授權(quán)配置；應(yīng)支持實(shí)時(shí)數(shù)注1:工程程序與運(yùn)行數(shù)據(jù)所采用的分級(jí)動(dòng)態(tài)輕量加密方法，能適應(yīng)工業(yè)場景安全性與可用性多級(jí)多樣的需求。注2:數(shù)據(jù)完整性校驗(yàn)和動(dòng)態(tài)恢復(fù)方法能實(shí)現(xiàn)關(guān)鍵數(shù)據(jù)代碼的安全存儲(chǔ)與周期性校驗(yàn)，確保非法篡改的及時(shí)發(fā)現(xiàn)與快速恢復(fù)。監(jiān)控操作腳本語言模塊應(yīng)提供監(jiān)控操作腳本語言，通過腳本應(yīng)實(shí)畫面操作相關(guān)的數(shù)值計(jì)算與邏輯操作等功能。注1:模塊能自動(dòng)檢測腳本中錯(cuò)誤的位號(hào)或語法并實(shí)現(xiàn)錯(cuò)誤定位。注2:模塊能結(jié)合用戶操作權(quán)限管理配置信息，識(shí)別審核安全區(qū)與功能區(qū)、數(shù)據(jù)點(diǎn)與圖形單元等非授權(quán)操作。軟件環(huán)境升級(jí)代碼安全保護(hù)模塊應(yīng)支持引導(dǎo)程序或軟件環(huán)境升級(jí)代碼的安全保護(hù)。注1:工程程序算法編輯器區(qū)分安全工程程序與非安全工程程序，安全程序編輯中有且僅有通過功能安全規(guī)范認(rèn)證的安全相關(guān)FBD算法塊能選擇與編輯，分別生成安全工程程序文件與非安全工程程序文件，并在程序文件中附加程序完整性校驗(yàn)信息。注2:用戶安全工程程序能進(jìn)行錯(cuò)誤檢查與編譯生成，其中錯(cuò)誤檢查包括非法數(shù)據(jù)源、非法算法塊、無效算法鏈接注1:基于控制算法編程規(guī)則的人為失誤審核、基于哈希函數(shù)(MD5、CRC32等)等的工程程序源碼，及工程程序目標(biāo)碼的完整性檢測、最小化安全相關(guān)FBD算法功能塊集合等的安全相關(guān)措施，能實(shí)現(xiàn)控制算法編輯器的存儲(chǔ)介質(zhì)隨機(jī)失效、控制算法編輯器軟件設(shè)計(jì)缺陷、人為惡意篡注2:用戶項(xiàng)目工程密碼授權(quán)、工程程序頁密碼授權(quán)能防范非授權(quán)工程程序訪問。流程的復(fù)用重構(gòu)，防范關(guān)鍵控制程序與核心工藝參數(shù)的篡改與泄露。89GB/T41274—2022實(shí)時(shí)控制模塊包括控制運(yùn)算處理單元與網(wǎng)絡(luò)通信及安全防護(hù)處理單元，控制運(yùn)算處理單元實(shí)現(xiàn)I/監(jiān)視信息轉(zhuǎn)發(fā)等功能?？刂七\(yùn)算處理單元應(yīng)通過控制模塊私有內(nèi)部總線連接網(wǎng)絡(luò)通信及安全防護(hù)處理單元，實(shí)現(xiàn)數(shù)據(jù)交換與安全隔離。注1:控制運(yùn)算處理單元通過10總線連接AI模塊、DI模塊、AO模塊、DO模塊和其他特殊模塊(AI模塊、DI