國際自動化協會(ISA)將自動化定義為創建和應用技術來監控和控制產品和服務的生產和交付。對于過程工業來說,另一個有用的通用術語是工業自動化控制系統(IACS);根據IEC 62443-1-1,工業自動化和控制系統是一個由流程、人員、硬件和軟件組成的集合,能夠影響工業流程的安全、可靠運行。這一術語通常用來描述不同類型的控制系統和相關儀器,包括用于操作和自動化工業過程的設備、系統、網絡和控制。一般來說,在提及IACS系統時,工業控制系統(ICS)這個詞會被更多地使用。
ICS安全可以綜合歸類為功能安全和網絡安全。分別對其進行研究,可以幫助理解它們是如何重疊的。
01 功能安全與網絡安全
什么是功能安全?它是系統或設備整體安全的一部分,依賴于自動保護,并以可預測的方式對其輸入反饋或故障做出正確響應。
什么是網絡安全?它包括與網絡相關的安全和物理安全。盡管“網絡安全”一詞通常意味著只關注“互聯網”連接,但在ICS環境中并非如此。
直到幾年前,功能安全和網絡安全還被認為是彼此獨立的,并被分別處理。但現在情況不再是這樣了,因為過程工業安全標準需要進行網絡評估。根據ANSI/ISA 61511/IEC 61511標準,需要對網絡風險進行評估以符合標準。
在進一步了解ICS安全性之前,還需要了解故障和威脅。ICS的設計應充分解決功能安全問題,故障可能來自硬件故障、人為錯誤、系統錯誤以及運營和環境壓力。
02 ICS的硬件故障
硬件故障通常來自ICS中的現場設備、傳感器和儀表。硬件故障(也被稱為隨機故障)是比較常見的。這些故障的發生有多種原因,可能是由于設備中的子組件發生故障、運營、環境壓力或不適當的維護而造成的。
系統性錯誤可能是設計錯誤,也可能是由文件錯誤引起的。硬件故障也可以說是一種系統性錯誤。然而,應該對其分開處理,而不是作為一個問題來對待。運行或環境壓力取決于綜合控制系統的位置,是在受控環境中還是在機密區域。
03 網絡威脅的類型
網絡威脅可以是外部的,也可以是內部的,分為蓄意的或意外的。典型的外部威脅包括黑客、商業競爭對手和惡意組織的攻擊。典型的內部威脅通常是由錯誤操作和不當行為引發的。適當的ICS安全意味著功能安全和網絡安全必須得到滿足,并且必須是集成的。當這兩方面都得到充分解決時,就實現了ICS安全。
那種認為擁有一個安全儀表系統(SIS)就足夠了,而網絡安全是一個可選項的想法是錯誤的。SIS本身可能會受到攻擊,從而危及安全。同時,沒有SIS系統并不意味著不需要網絡安全,因為獨立于過程控制系統的保護層可能會受到損害,從而危及安全。網絡安全生命周期取決于三個過程:分析、實施和維護。
04 相關的安全標準
功能安全相關的標準包括:IEC 61508/ANSI/ISA 61511/IEC 61511。IEC 61508被視為主要標準或總標準。ANSI/ISA 61511/IEC 61511則屬于過程工業的特定標準。在過程工業中,IEC 61508主要適用于供應商特定的組件。因此,ICS的安全性和可靠性分析應在這兩個標準的框架內進行。
ANSI/ISA 61511/IEC 61511包括三個部分:
第1部分:框架、定義、系統、硬件和應用程序編程要求;
第2部分:第1部分的應用指南;
第3部分:安全完整性等級(SIL)的定義指南。
批量過程控制系統滿足IEC 61511標準在某些情況下可能會采用SIS,也可能不需要SIS,這取決于過程的固有設計以及可用的儀表和控制實施。此外,并非必須使用安全PLC,因為SIS系統也可以通過硬件布線設計來實現。硬件布線設計通常會帶來復雜的布線和維護問題。雖然標準并未強制使用安全PLC,但安全PLC有許多優點,如簡化復雜的布線、易于配置選項和提供現場診斷。
采用智能儀表和安全PLC,使企業獲得使用數據收集方法進行預測性和預防性維護等優勢,還可以提高工廠的可靠性。
對于網絡安全,可以使用ISA/IEC62443系列標準,它分為四部分:第1部分為總則,第2部分為政策和程序,第3部分為系統,第4部分為部件層。此外,還有一些針對特定行業和行業的指南和標準可供參考。
標準和準則的好壞取決于實施情況。標準通常不是規定性的,因為不可能解決每個工藝裝置的設計問題。盡管標準不一定是法律,但它們具有一定程度的確定性;因此,用戶有責任通過適當的設計來滿足標準要求。最終用戶也有責任確保滿足標準需求,并且比供應商的責任更大。
通過達到并保持SIL等級1-4有助于實現功能安全。SIL衡量的是與需求故障概率(PFD)有關的系統性能。在過程工業中,PFDAvg被廣泛使用,較少使用每小時故障概率(PFH)。
ANSI/ISA 61511/IEC 61511要求,如果任何供應商聲稱其設備滿足功能安全,供應商需要制定功能安全管理(FSM)計劃。最終用戶組織應該有自己的FSM。根據該標準,從事SIS設計的FSM人員必須具備相關資質。這種能力可以通過外部或內部培訓來實現。
05 安全完整性等級和安全保障等級
有三個參數對實現任何SIL目標都至關重要:架構約束、系統功能和故障概率。對于SIL 3目標,可以選擇部分行程測試,但這將會導致復雜的設計變化,如測試期間的新旁通線路和復雜的部分行程測試設備。因此,在考慮這一方案之前,最好先解決其它保護層的問題。
對于網絡安全,標準制定了最佳實踐,并提供了評估安全性能的方法。IEC62443將安全保障等級(SAL)分配為0-4,與SIL等級非常相似。SAL取決于7個因素,這些因素被稱為基本需求,包括訪問控制、使用控制、數據完整性、數據機密性、受限數據流、對事件的及時響應和資源可用性。
SIL是可量化的,但SAL還不是。當不同行業有足夠的數據可用,并就建模方法達成一致時,就有可能量化SAL。當然,由于網絡威脅和意圖不斷變化,可能無法很快實現量化。
對于SAL定性方法,風險圖是一個很好的工具。公司可以使用任何現有的過程安全風險圖,也可以開發新的網絡安全風險圖。
■ 及時響應事件:建議在控制室制定并保持應急響應計劃,以便運營人員可以立即實施。
■ 資源可用性:這很像功能安全的平均修復時間(MTTR),需要充分維護。將系統備份和設備庫存,作為事件響應計劃的一部分。
■ 恢復計劃:建議制定適當的恢復計劃。運營技術(OT)人員應在制定恢復計劃中發揮關鍵作用,因為信息技術(IT)人員通常不具備ICS裝置功能方面的知識。OT中的主題專家可以扮演這一角色。
企業必須保存適當的測試記錄和維護程序,因為ICS安全將貫穿整個生命周期,直至項目退役。雖然基本上不可能實現100%的安全,但制造企業可以朝這個方向努力。
所有評論僅代表網友意見,與本站立場無關。