书 书 书犐犆犛 ２５ ． ０４０ ． ４０ 犆犆犛犖 １８ 中华人民共和国国家标准 犌犅 ／ 犜 ４１２７４ — ２０２２ 可编程控制系统内生安全体系架构 犈狀犱狅犵犲狀狅狌狊狊犪犳犲狋狔犪狉犮犺犻狋犲犮狋狌狉犲狅犳狆狉狅犵狉犪犿犿犪犫犾犲犮狅狀狋狉狅犾狊狔狊狋犲犿 　 ２０２２  ０３  ０９ 发布 ２０２２  １０  ０１ 实施 国家市场监督管理总局 国家标准化管理委员会 发布书 书 书前 　　 言 　　 本文件按照 ＧＢ ／ Ｔ１．１ — ２０２０ 《 标准化工作导则 　 第 １ 部分 ： 标准化文件的结构和起草规则 》 的规定起草 。 请注意本文件的某些内容可能涉及专利 。 本文件的发布机构不承担识别专利的责任 。 本文件由全国工业过程测量控制和自动化标准化技术委员会 （ ＳＡＣ ／ ＴＣ１２４ ） 归口 。 本文件起草单位 ： 浙江大学 、 杭州优稳自动化系统有限公司 、 上海电气集团股份有限公司 、 北京机械工业自动化研究所有限公司 。 本文件主要起草人 ： 王文海 、 高慧 、 贾廷纲 、 张益南 、 许志正 、 张晓东 、 嵇月强 、 张稳稳 、 曹剑 、 范鹏鹏 、 袁超 、 周伟 、 徐斌 、 王秋婷 、 何萍 、 邵舒婷 、 赵璐 、 张雪嫣 、 王凯 。 Ⅰ 犌犅 ／ 犜 ４１２７４ — ２０２２ 可编程控制系统内生安全体系架构 １ 　 范围 本文件规定了可编程控制系统内生安全体系架构 ， 描述了可编程控制系统内生安全的目标和各单 元模块的相关安全需求 ， 规定了可编程控制系统的内生安全要求 。 其中 ， 可编程控制系统内生安全的目 标为保障可编程控制系统的完整性 ； 各单元模块的相关安全需求包括全生命周期安全保护 、 综合诊断与 高可用实现等 。 本文件适用于工程设计商 、 设备生产商 、 系统集成商 、 用户以及评估认证机构等 ， 主要应用于化工 、 石化 、 电力等行业 。 ２ 　 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款 。 其中 ， 注日期的引用文 件 ， 仅该日期对应的版本适用于本文件 ； 不注日期的引用文件 ， 其最新版本 （ 包括所有的修改单 ） 适用于 本文件 。 ＧＢ ／ Ｔ１５９６９．３ — ２０１７ 　 可编程序控制器 　 第 ３ 部分 ： 编程语言 ３ 　 术语和定义 下列术语和定义适用于本文件 。 ３ ． １ 　 安全术语 ３ ． １ ． １ 伤害 　 犺犪狉犿 人身损伤 、 人的健康损害 、 财产或环境的损害 。 ［ 来源 ： ＩＳＯ ／ ＩＥＣＧＵＩＤＥ５１ ： ２０１４ ， ３．１ ］ ３ ． １ ． ２ 危险 　 犺犪狕犪狉犱 伤害的潜在根源 。 　　 注 ： 这个术语包括短时间对人身的伤害 （ 如着火和爆炸 ）， 以及那些对人身健康长时间的损害 （ 如有毒物质释放 ）。 ［ 来源 ： ＩＳＯ ／ ＩＥＣＧＵＩＤＥ５１ ： ２０１４ ， ３．２ ］ ３ ． １ ． ３ 风险 　 狉犻狊犽 伤害发生的概率与该伤害严重程度的组合 。 ［ 来源 ： ＩＳＯ ／ ＩＥＣＧＵＩＤＥ５１ ： ２０１４ ， ３．９ ］ ３ ． １ ． ４ 安全 　 狊犪犳犲狋狔 免于不可接受的风险 。 １ 犌犅 ／ 犜 ４１２７４ — ２０２２ ３ ． １ ． ５ 功能安全 　 犳狌狀犮狋犻狅狀犪犾狊犪犳犲狋狔 整体安全中与 ＥＵＣ （ ３．２．１ ） 和 ＥＵＣ 控制系统 （ ３．２．２ ） 相关的部分 ， 它取决于 Ｅ ／ Ｅ ／ ＰＥ 安全相关系统 （ ３．２．８ ） 和其他风险降低措施正确执行其功能 。 　　 注 ： Ｅ ／ Ｅ ／ ＰＥ 是指基于电气 （ Ｅ ） 和 ／ 或电子 （ Ｅ ） 和 ／ 或可编程电子 （ ＰＥ ） 的技术 。 ３ ． １ ． ６ 信息安全 　 犻狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔 基于计算机系统的能力 ， 能够提供充分的把握使非授权人员和系统既无法修改软件及其数据也无法访问系统功能 ， 却保证授权人员和系统不被阻止 。 　　 注 １ ： 保护系统所采取的措施 。 　　 注 ２ ： 由建立和维护保护系统的措施而产生的系统状态 。 　　 注 ３ ： 能够免于非授权访问或意外的变更 、 破坏或者损失的系统资源的状态 。 　　 注 ４ ： 防止对工业自动化和控制系统的非法或有害的入侵 ， 或者干扰其正确和计划的操作 。 　　 注 ５ ： 措施是与物理信息安全 （ 控制物理访问计算机的资产 ） 或者逻辑信息安全 （ 登录给定系统和应用的能力 ） 相关 的控制手段 。 ３ ． １ ． ７ 内生安全 　 犲狀犱狅犵犲狀狅狌狊狊犪犳犲狋狔 功能安全 （ ３．１．５ ） 与信息安全 （ ３．１．６ ） 的结合 ， 实现控制工程全生命周期安全防护 。 ３ ． １ ． ８ 内生安全体系架构 　 犲狀犱狅犵犲狀狅狌狊狊犪犳犲狋狔犪狉犮犺犻狋犲犮狋狌狉犲 使系统具有动态防御 、 主动防御 、 纵深防御等能力的体系架构 。 ３ ． ２ 　 设备和装备 ３ ． ２ ． １ 受控设备 　 犲狇狌犻狆犿犲狀狋狌狀犱犲狉犮狅狀狋狉狅犾 ； 犈犝犆 用于制造业 、 流程工业 、 运输业 、 制药业或其他行业的设备 、 机器 、 装置或成套设备 。 　　 注 ： ＥＵＣ 控制系统与 ＥＵＣ 是分开的并且是截然不同的 。 ［ 来源 ： ＧＢ ／ Ｔ２０４３８．４ — ２０１７ ， ３．２．１ ］ ３ ． ２ ． ２ 犈犝犆 控制系统 　 犈犝犆犮狅狀狋狉狅犾狊狔狊狋犲犿 由传感器 、 电子控制单元和执行机构三部分组成的控制系统 。 ３ ． ２ ． ３ 系统软件 　 狊狔狊狋犲犿狊狅犳狋狑犪狉犲 可编程电子系统的软件的一部分 ， 涉及可编程装置自身的功能和提供的服务 。 而不像应用软件那样规定执行 ＥＵＣ 安全相关任务的功能 。 ［ 来源 ： ＧＢ ／ Ｔ２０４３８．４ — ２０１７ ， ３．２．６ ］ ３ ． ２ ． ４ 应用软件 　 犪狆狆犾犻犮犪狋犻狅狀狊狅犳狋狑犪狉犲 应用数据 　 犪狆狆犾犻犮犪狋犻狅狀犱犪狋犪 配置 （ 组态 ） 数据 　 犮狅狀犳犻犵狌狉犪狋犻狅狀犱犪狋犪 可编程电子系统的软件的一部分 ， 规定了执行 ＥＵＣ 相关任务的功能而不是可编程装置自身的功能和提供的服务 。 ［ 来源 ： ＧＢ ／ Ｔ２０４３８．４ — ２０１７ ， ３．２．７ ］ ２ 犌犅 ／ 犜 ４１２７４ — ２０２２ ３ ． ２ ． ５ 可编程电子 　 狆狉狅犵狉犪犿犿犪犫犾犲犲犾犲犮狋狉狅狀犻犮狊 ； 犘犈 以计算机技术为基础 ， 可以由硬件 、 软件及其输入和 （ 或 ） 输出单元构成的微电子装置 。 　　 注 ： 这个术语包括以一个或多个中央处理器 （ ＣＰＵｓ ） 及相关的存储器等为基础的微电子装置 。 ３ ． ２ ． ６ 可编程序 （ 逻辑 ） 控制器 　 狆狉狅犵狉犪犿犿犪犫犾犲 （ 犾狅犵犻犮 ） 犮狅狀狋狉狅犾犾犲狉 ； 犘犔犆 一种用于工业环境的数字式操作的电子系统 。 这种系统用可编程的存储器作面向用户指令的内部寄存器 ， 完成规定的功能 ， 如逻辑 、 顺序 、 定时 、 计数 、 运算等 ， 通过数字或模拟的输入 ／ 输出 ， 控制各种类型的机械或过程 。 可编程序 （ 逻辑 ） 控制器及其相关外围设备的设计 ， 使它能够非常方便地集成到工业控制系统中 ， 并能很容易地达到所期望的所有功能 。 　　 注 ： 在本文件中使用缩写词 ＰＬＣ 代表可编程序 （ 逻辑 ） 控制器 （ ｐｒｏｇｒａｍｍａｂｌｅｌｏｇｉｃｃｏｎｔｒｏｌｌｅｒｓ ）， 这在自动化行业中 已形成共识 。 原来曾用 ＰＣ 作为可编程序 （ 逻辑 ） 控制器的缩略语 ， 它容易与个人计算机所使用的缩略语 ＰＣ 相 混淆 。 ［ 来源 ： ＧＢ ／ Ｔ１５９６９．１ — ２００７ ， ３．５ ］ ３ ． ２ ． ７ 可编程控制系统 　 狆狉狅犵狉犪犿犿犪犫犾犲犮狅狀狋狉狅犾犾犲狉狊狔狊狋犲犿 用户根据所要完成的自动化系统要求而建立的由可编程控制器及其相关外围设备组成的配置 。 　　 注 ： 系统包括 ， 但不限于 ： ａ ） 　 可编程控制系统包括分布式控制系统 （ ＤＣＳ ）、 可编程序 （ 逻辑 ） 控制器 （ ＰＬＣ ）、 智能电子设备 （ ＩＥＤ ）、 监视控 制与数据采集 （ ＳＣＡＤＡ ） 系统 、 运动控制 （ ＭＣ ） 系统 、 网络电子传感和控制 、 监视和诊断系统 ， 在本文件中 ， 不论物理上是分开的还是集成的 ， 过程控制系统 （ ＰＣＳ ） 包括基本过程控制系统和安全仪表系统 （ ＳＩＳ ）； ｂ ） 　 相关的信息系统 ， 例如先进控制或者多变量控制 、 在线优化器 、 专用设备监视器 、 图形界面 、 过程历史记录 、 制造执行系统 （ ＭＥＳ ） 和企业资源计划 （ ＥＲＰ ） 管理系统 ； ｃ ） 　 相关的部门 、 人员 、 网络或机器接口 ， 为连续的 、 批处理 、 离散的和其他过程提供控制 、 安全和制造操作 功能 。 ［ 来源 ： ＧＢ ／ Ｔ１５９６９．１ — ２００７ ， ３．６ ］ ３ ． ２ ． ８ 安全相关系统 　 狊犪犳犲狋狔狉犲犾犪狋犲犱狊狔狊狋犲犿 执行所要求的安全功能 （ ３．３．１ ） 使 ＥＵＣ （ ３．２．１ ） 达到或保持安全状态的系统 ， 自身或与其他 Ｅ ／ Ｅ ／ ＰＥ 安全相关系统 、 其他风险降低措施一起 ， 能够实现要求的安全功能所需的安全完整性 。 　　 注 １ ： 安全相关系统与其他风险降低措施一起 ， 实