每個生產(chǎn)過程都有其固有的風(fēng)險。為了實現(xiàn)最大程度的安全和安保,在過程控制和安全系統(tǒng)之間必須實施有效的隔離，這是功能安全和網(wǎng)絡(luò)安全標(biāo)準(zhǔn)所必需的。這牽涉到很多方面的利益，包括員工的健康、公司的資產(chǎn)和環(huán)境等因素。

為了更好地理解安全與安保之間的相互作用，需要澄清幾個術(shù)語。安全有很多定義。一般情況下，安全被定義為沒有危險。這意味著如果沒有普遍認(rèn)可的危險，那該工況就是安全的。通常不可能消除所有潛在風(fēng)險；在復(fù)雜的系統(tǒng)中更是如此。

更常見的安全定義，則是沒有不可接受的風(fēng)險。將風(fēng)險降低到可接受的水平是功能安全的任務(wù)。應(yīng)用的安全性，取決于相應(yīng)的技術(shù)系統(tǒng)(如安全控制器)的功能。如果該系統(tǒng)履行其保護功能，則將該應(yīng)用視為功能安全。

可用兩個例子來說明:石油從管道中泄露，會危及附近人身的安全，這是安全問題。一個系統(tǒng)，如果不能防止管道結(jié)冰（即使這被認(rèn)為是它的任務(wù)），就會出現(xiàn)緊急工況，那它就是一個功能安全問題。功能安全系統(tǒng)保護人員、設(shè)施和環(huán)境，旨在預(yù)防事故，避免設(shè)備或系統(tǒng)停機。

過程工業(yè)越來越意識到有關(guān)標(biāo)準(zhǔn)對系統(tǒng)安全和收益的重要性。技術(shù)標(biāo)準(zhǔn)IEC61511，功能安全-過程工業(yè)領(lǐng)域安全儀表系統(tǒng)，定義了減少事故和停機風(fēng)險的最佳方法。它為控制和監(jiān)測、預(yù)防和遏制以及緊急措施規(guī)定了單獨的安全層(見圖1)。這三層中的每一層，都為減少風(fēng)險提供了具體功能，三層協(xié)同工作，共同減輕生產(chǎn)過程帶來的危害。

圖1:IEC61511為控制和監(jiān)測、預(yù)防和遏制以及緊急措施規(guī)定了單獨的安全層。圖片來源:HIMA

IEC61511還規(guī)定了每個保護層級的獨立性、多樣性和物理隔離。為了滿足這些要求，不同層次的功能需要彼此獨立。對不同的層使用不同的I/O模塊是遠(yuǎn)遠(yuǎn)不夠的，因為自動化系統(tǒng)也依賴于I/O總線系統(tǒng)、CPU和軟件功能。

根據(jù)IEC61511的規(guī)定，如果要想被視為自主保護層，安全系統(tǒng)和過程控制系統(tǒng)必須基于不同的平臺、開發(fā)基礎(chǔ)和理念。具體而言，這意味著在系統(tǒng)體系結(jié)構(gòu)中，過程控制系統(tǒng)層和安全保護系統(tǒng)層絕對不能共享部件。

不斷上升的風(fēng)險

在過去10年中，由于數(shù)字化的持續(xù)推進，工業(yè)系統(tǒng)遭受網(wǎng)絡(luò)攻擊的風(fēng)險也在不斷上升。這些攻擊，除了危及信息安全，對系統(tǒng)安全也日益構(gòu)成直接威脅。系統(tǒng)運行人員需要意識到這些風(fēng)險并采取相應(yīng)的措施，這可以通過多種方式來實現(xiàn)。與旨在保護人員安全的功能安全系統(tǒng)不同，這些系統(tǒng)和措施旨在保護技術(shù)信息系統(tǒng)免遭蓄意或無意的操縱，并防止旨在擾亂生產(chǎn)過程或竊取工業(yè)機密的攻擊。

安全和安保已更緊密地結(jié)合在一起。網(wǎng)絡(luò)安全起著關(guān)鍵的作用，對于面向安全的系統(tǒng)而言更是如此，因為它構(gòu)成了抵御潛在災(zāi)難的最后一道防線。

標(biāo)準(zhǔn)定義框架

安全控制器的設(shè)計、操作和規(guī)范，必須符合國際標(biāo)準(zhǔn)。IEC61508是關(guān)于功能安全和安全系統(tǒng)的基本標(biāo)準(zhǔn)，適用于所有面向安全的系統(tǒng)(電氣、電子和可編程電子設(shè)備)。IEC61511是關(guān)于過程工業(yè)功能安全的基本標(biāo)準(zhǔn)，定義了選擇安全功能組件適用的標(biāo)準(zhǔn)。

對于網(wǎng)絡(luò)和系統(tǒng)中的信息技術(shù)（IT）安全，還必須考慮IEC62443網(wǎng)絡(luò)安全系列標(biāo)準(zhǔn)。它確定了IT的安全管理系統(tǒng)，將保護層從相互獨立的操作和保護設(shè)施中隔離出來，以及確保系統(tǒng)在完整的生命周期中的IT安全。它還需要為企業(yè)網(wǎng)絡(luò)、控制室、安全儀表系統(tǒng)(SIS)和基本過程控制系統(tǒng)(BPCS)設(shè)置單獨的區(qū)域，每個區(qū)域都必須受到防火墻的保護，以防止未經(jīng)授權(quán)的訪問(見圖2)。

圖2:IEC62443需要為企業(yè)網(wǎng)絡(luò)、控制室、安全儀表系統(tǒng)(SIS)和基本過程控制系統(tǒng)(BPCS)設(shè)置單獨的區(qū)域，必須為每個區(qū)域設(shè)置防火墻，以防止未經(jīng)授權(quán)的訪問。

網(wǎng)絡(luò)安全設(shè)計

安全和安保是與過程系統(tǒng)密切相關(guān)的兩個方面，必須作為一個整體加以考慮。在過程控制系統(tǒng)中，標(biāo)準(zhǔn)化的硬件和軟件需要定期更新，給軟件和操作系統(tǒng)的漏洞打補丁。然而，由于軟件體系結(jié)構(gòu)復(fù)雜，要想評估分析所有風(fēng)險是很難或不切實際的，這些風(fēng)險可能是由系統(tǒng)更新引起的。例如，對過程控制系統(tǒng)的更新，可能會影響集成到控制系統(tǒng)中的安全系統(tǒng)的功能。

為了避免因控制系統(tǒng)更新而導(dǎo)致的安全相關(guān)過程中出現(xiàn)不可預(yù)知后果的嚴(yán)重故障，過程控制系統(tǒng)必須在技術(shù)上與安全系統(tǒng)分離。為了實現(xiàn)有效的網(wǎng)絡(luò)安全，僅通過增加軟件功能來升級現(xiàn)有產(chǎn)品是不夠的。每個功能安全的解決方案，從開始時就必須考慮網(wǎng)絡(luò)安全的設(shè)計和開發(fā)。這種理念，同樣適用于固件和應(yīng)用程序軟件。

一個有效保護的例子是專門為面向安全應(yīng)用設(shè)計專有操作系統(tǒng)，并在自主安全控制器上運行該操作系統(tǒng)。它包括安全PLC的所有功能，并排除所有其它功能，使其免受對信息系統(tǒng)的典型攻擊。即使在通信處理器受到攻擊的情況下，CPU和通信處理器也需要獨立，這主要是出于運行安全性的需求。

控制器允許在單個通信處理器或處理器模塊上，運行多個物理上獨立的網(wǎng)絡(luò)。這可防止從相互連接的開發(fā)工作站直接訪問自動化網(wǎng)絡(luò)。此外，還可以單獨禁用未使用的接口。

過程工業(yè)標(biāo)準(zhǔn)和網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的一個共同特點，是安全儀表系統(tǒng)和基本過程控制系統(tǒng)的分離。從現(xiàn)實和經(jīng)濟的角度來看，安全系統(tǒng)的獨立性是一個很好的選擇。例如，安全儀表系統(tǒng)和基本過程控制系統(tǒng)的生命周期和變化率非常不同。系統(tǒng)運行人員可以自由選擇來自不同制造商的最佳解決方案。

與工藝技術(shù)無關(guān)的系統(tǒng)，盡管在物理上是分離的，但也可以集成到過程控制系統(tǒng)中，為關(guān)鍵應(yīng)用提供最高程度的安全和安保。它們是提高過程系統(tǒng)的運行可靠性和可用性，以及提高生產(chǎn)過程總體利潤率的最佳方法。