作者 | Sunil Doddi
為了確保過程制造企業(yè)實(shí)現(xiàn)全面的工業(yè)安全��,需要關(guān)注工業(yè)控制系統(tǒng)(ICS)的功能安全和網(wǎng)絡(luò)安全�。
國際自動(dòng)化協(xié)會(huì)(ISA)將自動(dòng)化定義為創(chuàng)建和應(yīng)用技術(shù)來監(jiān)控和控制產(chǎn)品和服務(wù)的生產(chǎn)和交付�����。對(duì)于過程工業(yè)來說��,另一個(gè)有用的通用術(shù)語是工業(yè)自動(dòng)化控制系統(tǒng)(IACS)���;根據(jù)IEC 62443-1-1���,工業(yè)自動(dòng)化和控制系統(tǒng)是一個(gè)由流程、人員���、硬件和軟件組成的集合��,能夠影響工業(yè)流程的安全��、可靠運(yùn)行��。這一術(shù)語通常用來描述不同類型的控制系統(tǒng)和相關(guān)儀器��,包括用于操作和自動(dòng)化工業(yè)過程的設(shè)備����、系統(tǒng)�����、網(wǎng)絡(luò)和控制。一般來說���,在提及IACS系統(tǒng)時(shí)�����,工業(yè)控制系統(tǒng)(ICS)這個(gè)詞會(huì)被更多地使用����。
ICS安全可以綜合歸類為功能安全和網(wǎng)絡(luò)安全����。分別對(duì)其進(jìn)行研究,可以幫助理解它們是如何重疊的�����。
01�����、功能安全與網(wǎng)絡(luò)安全
什么是功能安全?它是系統(tǒng)或設(shè)備整體安全的一部分�����,依賴于自動(dòng)保護(hù),并以可預(yù)測(cè)的方式對(duì)其輸入反饋或故障做出正確響應(yīng)�。
什么是網(wǎng)絡(luò)安全?它包括與網(wǎng)絡(luò)相關(guān)的安全和物理安全�����。盡管“網(wǎng)絡(luò)安全”一詞通常意味著只關(guān)注“互聯(lián)網(wǎng)”連接��,但在ICS環(huán)境中并非如此�。
直到幾年前,功能安全和網(wǎng)絡(luò)安全還被認(rèn)為是彼此獨(dú)立的��,并被分別處理����。但現(xiàn)在情況不再是這樣了,因?yàn)檫^程工業(yè)安全標(biāo)準(zhǔn)需要進(jìn)行網(wǎng)絡(luò)評(píng)估�����。根據(jù)ANSI/ISA 61511/IEC 61511標(biāo)準(zhǔn)���,需要對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)進(jìn)行評(píng)估以符合標(biāo)準(zhǔn)����。
在進(jìn)一步了解ICS安全性之前,還需要了解故障和威脅�。ICS的設(shè)計(jì)應(yīng)充分解決功能安全問題,故障可能來自硬件故障��、人為錯(cuò)誤�、系統(tǒng)錯(cuò)誤以及運(yùn)營和環(huán)境壓力。
02�、ICS的硬件故障
硬件故障通常來自ICS中的現(xiàn)場設(shè)備、傳感器和儀表���。硬件故障(也被稱為隨機(jī)故障)是比較常見的���。這些故障的發(fā)生有多種原因,可能是由于設(shè)備中的子組件發(fā)生故障�、運(yùn)營、環(huán)境壓力或不適當(dāng)?shù)木S護(hù)而造成的����。
系統(tǒng)性錯(cuò)誤可能是設(shè)計(jì)錯(cuò)誤,也可能是由文件錯(cuò)誤引起的����。硬件故障也可以說是一種系統(tǒng)性錯(cuò)誤���。然而,應(yīng)該對(duì)其分開處理��,而不是作為一個(gè)問題來對(duì)待����。運(yùn)行或環(huán)境壓力取決于綜合控制系統(tǒng)的位置��,是在受控環(huán)境中還是在機(jī)密區(qū)域�����。
03��、網(wǎng)絡(luò)威脅的類型
網(wǎng)絡(luò)威脅可以是外部的��,也可以是內(nèi)部的�����,分為蓄意的或意外的����。典型的外部威脅包括黑客���、商業(yè)競爭對(duì)手和惡意組織的攻擊。典型的內(nèi)部威脅通常是由錯(cuò)誤操作和不當(dāng)行為引發(fā)的�。適當(dāng)?shù)腎CS安全意味著功能安全和網(wǎng)絡(luò)安全必須得到滿足,并且必須是集成的�����。當(dāng)這兩方面都得到充分解決時(shí)��,就實(shí)現(xiàn)了ICS安全�����。
那種認(rèn)為擁有一個(gè)安全儀表系統(tǒng)(SIS)就足夠了����,而網(wǎng)絡(luò)安全是一個(gè)可選項(xiàng)的想法是錯(cuò)誤的。SIS本身可能會(huì)受到攻擊�����,從而危及安全����。同時(shí)�����,沒有SIS系統(tǒng)并不意味著不需要網(wǎng)絡(luò)安全����,因?yàn)楠?dú)立于過程控制系統(tǒng)的保護(hù)層可能會(huì)受到損害��,從而危及安全��。網(wǎng)絡(luò)安全生命周期取決于三個(gè)過程:分析��、實(shí)施和維護(hù)���。
04、相關(guān)的安全標(biāo)準(zhǔn)
功能安全相關(guān)的標(biāo)準(zhǔn)包括:IEC 61508/ANSI/ISA 61511/IEC 61511����。IEC 61508被視為主要標(biāo)準(zhǔn)或總標(biāo)準(zhǔn)。ANSI/ISA 61511/IEC 61511則屬于過程工業(yè)的特定標(biāo)準(zhǔn)���。在過程工業(yè)中���,IEC 61508主要適用于供應(yīng)商特定的組件����。因此�����,ICS的安全性和可靠性分析應(yīng)在這兩個(gè)標(biāo)準(zhǔn)的框架內(nèi)進(jìn)行����。
ANSI/ISA 61511/IEC 61511包括三個(gè)部分:
第1部分:框架、定義�����、系統(tǒng)��、硬件和應(yīng)用程序編程要求;
第2部分:第1部分的應(yīng)用指南;
第3部分:安全完整性等級(jí)(SIL)的定義指南�����。
批量過程控制系統(tǒng)滿足IEC 61511標(biāo)準(zhǔn)在某些情況下可能會(huì)采用SIS���,也可能不需要SIS���,這取決于過程的固有設(shè)計(jì)以及可用的儀表和控制實(shí)施��。此外���,并非必須使用安全PLC,因?yàn)镾IS系統(tǒng)也可以通過硬件布線設(shè)計(jì)來實(shí)現(xiàn)�����。硬件布線設(shè)計(jì)通常會(huì)帶來復(fù)雜的布線和維護(hù)問題�。雖然標(biāo)準(zhǔn)并未強(qiáng)制使用安全PLC,但安全PLC有許多優(yōu)點(diǎn)���,如簡化復(fù)雜的布線��、易于配置選項(xiàng)和提供現(xiàn)場診斷���。
采用智能儀表和安全PLC�����,使企業(yè)獲得使用數(shù)據(jù)收集方法進(jìn)行預(yù)測(cè)性和預(yù)防性維護(hù)等優(yōu)勢(shì)��,還可以提高工廠的可靠性。
對(duì)于網(wǎng)絡(luò)安全��,可以使用ISA/IEC62443系列標(biāo)準(zhǔn)�����,它分為四部分:第1部分為總則�����,第2部分為政策和程序��,第3部分為系統(tǒng)�����,第4部分為部件層��。此外��,還有一些針對(duì)特定行業(yè)和行業(yè)的指南和標(biāo)準(zhǔn)可供參考����。
標(biāo)準(zhǔn)和準(zhǔn)則的好壞取決于實(shí)施情況。標(biāo)準(zhǔn)通常不是規(guī)定性的���,因?yàn)椴豢赡芙鉀Q每個(gè)工藝裝置的設(shè)計(jì)問題����。盡管標(biāo)準(zhǔn)不一定是法律,但它們具有一定程度的確定性;因此�,用戶有責(zé)任通過適當(dāng)?shù)脑O(shè)計(jì)來滿足標(biāo)準(zhǔn)要求。最終用戶也有責(zé)任確保滿足標(biāo)準(zhǔn)需求���,并且比供應(yīng)商的責(zé)任更大�。
通過達(dá)到并保持SIL等級(jí)1-4有助于實(shí)現(xiàn)功能安全���。SIL衡量的是與需求故障概率(PFD)有關(guān)的系統(tǒng)性能�。在過程工業(yè)中���,PFDAvg被廣泛使用���,較少使用每小時(shí)故障概率(PFH)。
ANSI/ISA 61511/IEC 61511要求�,如果任何供應(yīng)商聲稱其設(shè)備滿足功能安全,供應(yīng)商需要制定功能安全管理(FSM)計(jì)劃�����。最終用戶組織應(yīng)該有自己的FSM��。根據(jù)該標(biāo)準(zhǔn)���,從事SIS設(shè)計(jì)的FSM人員必須具備相關(guān)資質(zhì)����。這種能力可以通過外部或內(nèi)部培訓(xùn)來實(shí)現(xiàn)�����。
05��、安全完整性等級(jí)和安全保障等級(jí)
有三個(gè)參數(shù)對(duì)實(shí)現(xiàn)任何SIL目標(biāo)都至關(guān)重要:架構(gòu)約束�、系統(tǒng)功能和故障概率。對(duì)于SIL 3目標(biāo)�����,可以選擇部分行程測(cè)試�����,但這將會(huì)導(dǎo)致復(fù)雜的設(shè)計(jì)變化���,如測(cè)試期間的新旁通線路和復(fù)雜的部分行程測(cè)試設(shè)備�����。因此����,在考慮這一方案之前,最好先解決其它保護(hù)層的問題�。
對(duì)于網(wǎng)絡(luò)安全,標(biāo)準(zhǔn)制定了最佳實(shí)踐�����,并提供了評(píng)估安全性能的方法���。IEC62443將安全保障等級(jí)(SAL)分配為0-4��,與SIL等級(jí)非常相似��。SAL取決于7個(gè)因素��,這些因素被稱為基本需求�����,包括訪問控制�����、使用控制����、數(shù)據(jù)完整性�����、數(shù)據(jù)機(jī)密性��、受限數(shù)據(jù)流�、對(duì)事件的及時(shí)響應(yīng)和資源可用性。
SIL是可量化的��,但SAL還不是�����。當(dāng)不同行業(yè)有足夠的數(shù)據(jù)可用����,并就建模方法達(dá)成一致時(shí)�,就有可能量化SAL��。當(dāng)然�����,由于網(wǎng)絡(luò)威脅和意圖不斷變化��,可能無法很快實(shí)現(xiàn)量化���。
對(duì)于SAL定性方法���,風(fēng)險(xiǎn)圖是一個(gè)很好的工具。公司可以使用任何現(xiàn)有的過程安全風(fēng)險(xiǎn)圖�����,也可以開發(fā)新的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)圖��。
■ 及時(shí)響應(yīng)事件:建議在控制室制定并保持應(yīng)急響應(yīng)計(jì)劃�,以便運(yùn)營人員可以立即實(shí)施。
■ 資源可用性:這很像功能安全的平均修復(fù)時(shí)間(MTTR)�����,需要充分維護(hù)。將系統(tǒng)備份和設(shè)備庫存����,作為事件響應(yīng)計(jì)劃的一部分。
■ 恢復(fù)計(jì)劃:建議制定適當(dāng)?shù)幕謴?fù)計(jì)劃�����。運(yùn)營技術(shù)(OT)人員應(yīng)在制定恢復(fù)計(jì)劃中發(fā)揮關(guān)鍵作用�,因?yàn)樾畔⒓夹g(shù)(IT)人員通常不具備ICS裝置功能方面的知識(shí)����。OT中的主題專家可以扮演這一角色。
企業(yè)必須保存適當(dāng)?shù)臏y(cè)試記錄和維護(hù)程序���,因?yàn)镮CS安全將貫穿整個(gè)生命周期�����,直至項(xiàng)目退役���。雖然基本上不可能實(shí)現(xiàn)100%的安全,但制造企業(yè)可以朝這個(gè)方向努力�。
文章來源:控制工程中文版
在線咨詢
在線咨詢
0371-63319761