每個生產過程都有其固有的風險。為了實現(xiàn)最大程度的安全和安保,在過程控制和安全系統(tǒng)之間必須實施有效的隔離，這是功能安全和網(wǎng)絡安全標準所必需的。這牽涉到很多方面的利益，包括員工的健康、公司的資產和環(huán)境等因素。

為了更好地理解安全與安保之間的相互作用，需要澄清幾個術語。安全有很多定義。一般情況下，安全被定義為沒有危險。這意味著如果沒有普遍認可的危險，那該工況就是安全的。通常不可能消除所有潛在風險；在復雜的系統(tǒng)中更是如此。

更常見的安全定義，則是沒有不可接受的風險。將風險降低到可接受的水平是功能安全的任務。應用的安全性，取決于相應的技術系統(tǒng)(如安全控制器)的功能。如果該系統(tǒng)履行其保護功能，則將該應用視為功能安全。

可用兩個例子來說明:石油從管道中泄露，會危及附近人身的安全，這是安全問題。一個系統(tǒng)，如果不能防止管道結冰（即使這被認為是它的任務），就會出現(xiàn)緊急工況，那它就是一個功能安全問題。功能安全系統(tǒng)保護人員、設施和環(huán)境，旨在預防事故，避免設備或系統(tǒng)停機。

過程工業(yè)越來越意識到有關標準對系統(tǒng)安全和收益的重要性。技術標準IEC61511，功能安全-過程工業(yè)領域安全儀表系統(tǒng)，定義了減少事故和停機風險的最佳方法。它為控制和監(jiān)測、預防和遏制以及緊急措施規(guī)定了單獨的安全層(見圖1)。這三層中的每一層，都為減少風險提供了具體功能，三層協(xié)同工作，共同減輕生產過程帶來的危害。

圖1:IEC61511為控制和監(jiān)測、預防和遏制以及緊急措施規(guī)定了單獨的安全層。圖片來源:HIMA

IEC61511還規(guī)定了每個保護層級的獨立性、多樣性和物理隔離。為了滿足這些要求，不同層次的功能需要彼此獨立。對不同的層使用不同的I/O模塊是遠遠不夠的，因為自動化系統(tǒng)也依賴于I/O總線系統(tǒng)、CPU和軟件功能。

根據(jù)IEC61511的規(guī)定，如果要想被視為自主保護層，安全系統(tǒng)和過程控制系統(tǒng)必須基于不同的平臺、開發(fā)基礎和理念。具體而言，這意味著在系統(tǒng)體系結構中，過程控制系統(tǒng)層和安全保護系統(tǒng)層絕對不能共享部件。

不斷上升的風險

在過去10年中，由于數(shù)字化的持續(xù)推進，工業(yè)系統(tǒng)遭受網(wǎng)絡攻擊的風險也在不斷上升。這些攻擊，除了危及信息安全，對系統(tǒng)安全也日益構成直接威脅。系統(tǒng)運行人員需要意識到這些風險并采取相應的措施，這可以通過多種方式來實現(xiàn)。與旨在保護人員安全的功能安全系統(tǒng)不同，這些系統(tǒng)和措施旨在保護技術信息系統(tǒng)免遭蓄意或無意的操縱，并防止旨在擾亂生產過程或竊取工業(yè)機密的攻擊。

安全和安保已更緊密地結合在一起。網(wǎng)絡安全起著關鍵的作用，對于面向安全的系統(tǒng)而言更是如此，因為它構成了抵御潛在災難的最后一道防線。

標準定義框架

安全控制器的設計、操作和規(guī)范，必須符合國際標準。IEC61508是關于功能安全和安全系統(tǒng)的基本標準，適用于所有面向安全的系統(tǒng)(電氣、電子和可編程電子設備)。IEC61511是關于過程工業(yè)功能安全的基本標準，定義了選擇安全功能組件適用的標準。

對于網(wǎng)絡和系統(tǒng)中的信息技術（IT）安全，還必須考慮IEC62443網(wǎng)絡安全系列標準。它確定了IT的安全管理系統(tǒng)，將保護層從相互獨立的操作和保護設施中隔離出來，以及確保系統(tǒng)在完整的生命周期中的IT安全。它還需要為企業(yè)網(wǎng)絡、控制室、安全儀表系統(tǒng)(SIS)和基本過程控制系統(tǒng)(BPCS)設置單獨的區(qū)域，每個區(qū)域都必須受到防火墻的保護，以防止未經(jīng)授權的訪問(見圖2)。

圖2:IEC62443需要為企業(yè)網(wǎng)絡、控制室、安全儀表系統(tǒng)(SIS)和基本過程控制系統(tǒng)(BPCS)設置單獨的區(qū)域，必須為每個區(qū)域設置防火墻，以防止未經(jīng)授權的訪問。

網(wǎng)絡安全設計

安全和安保是與過程系統(tǒng)密切相關的兩個方面，必須作為一個整體加以考慮。在過程控制系統(tǒng)中，標準化的硬件和軟件需要定期更新，給軟件和操作系統(tǒng)的漏洞打補丁。然而，由于軟件體系結構復雜，要想評估分析所有風險是很難或不切實際的，這些風險可能是由系統(tǒng)更新引起的。例如，對過程控制系統(tǒng)的更新，可能會影響集成到控制系統(tǒng)中的安全系統(tǒng)的功能。

為了避免因控制系統(tǒng)更新而導致的安全相關過程中出現(xiàn)不可預知后果的嚴重故障，過程控制系統(tǒng)必須在技術上與安全系統(tǒng)分離。為了實現(xiàn)有效的網(wǎng)絡安全，僅通過增加軟件功能來升級現(xiàn)有產品是不夠的。每個功能安全的解決方案，從開始時就必須考慮網(wǎng)絡安全的設計和開發(fā)。這種理念，同樣適用于固件和應用程序軟件。

一個有效保護的例子是專門為面向安全應用設計專有操作系統(tǒng)，并在自主安全控制器上運行該操作系統(tǒng)。它包括安全PLC的所有功能，并排除所有其它功能，使其免受對信息系統(tǒng)的典型攻擊。即使在通信處理器受到攻擊的情況下，CPU和通信處理器也需要獨立，這主要是出于運行安全性的需求。

控制器允許在單個通信處理器或處理器模塊上，運行多個物理上獨立的網(wǎng)絡。這可防止從相互連接的開發(fā)工作站直接訪問自動化網(wǎng)絡。此外，還可以單獨禁用未使用的接口。

過程工業(yè)標準和網(wǎng)絡安全標準的一個共同特點，是安全儀表系統(tǒng)和基本過程控制系統(tǒng)的分離。從現(xiàn)實和經(jīng)濟的角度來看，安全系統(tǒng)的獨立性是一個很好的選擇。例如，安全儀表系統(tǒng)和基本過程控制系統(tǒng)的生命周期和變化率非常不同。系統(tǒng)運行人員可以自由選擇來自不同制造商的最佳解決方案。

與工藝技術無關的系統(tǒng)，盡管在物理上是分離的，但也可以集成到過程控制系統(tǒng)中，為關鍵應用提供最高程度的安全和安保。它們是提高過程系統(tǒng)的運行可靠性和可用性，以及提高生產過程總體利潤率的最佳方法。