ICS 25.040.40
CCs N 18
GB
中华人民共和国国家标准
GB/T412742022
可编程控制系统内生安全体系架构
Endogenous safety architecture of programmable control system
2022-10-01实施
2022-03-09发布
国家市场监督管理总局
国家标准化管理委员会 发布 GB/T 41274—2022
前言
本文件按照GB/T1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国工业过程测量控制和自动化标准化技术委员会（SAC/TC124)归口。 本文件起草单位：浙江大学、杭州优稳自动化系统有限公司、上海电气集团股份有限公司、北京机械
工业自动化研究所有限公司。
本文件主要起草人：王文海、高慧、贾廷纲、张益南、许志正、张晓东、嵇月强、张稳稳、曹剑、范鹏鹏、 袁超、周伟、徐斌、王秋婷、何萍、邵舒婷、赵璐、张雪嫣、王凯
- GB/T41274—2022
可编程控制系统内生安全体系架构
1范围
本文件规定了可编程控制系统内生安全体系架构，描述了可编程控制系统内生安全的目标和各单
元模块的相关安全需求，规定了可编程控制系统的内生安全要求。其中，可编程控制系统内生安全的目标为保障可编程控制系统的完整性；各单元模块的相关安全需求包括全生命周期安全保护、综合诊断与高可用实现等
本文件适用于工程设计商、设备生产商、系统集成商、用户以及评估认证机构等，主要应用于化工、 石化、电力等行业。
2规范性引用文件
2
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。
GB/T15969.3—2017 可编程序控制器 第3部分：编程语言
3 术语和定义
下列术语和定义适用于本文件。 3.1 安全术语 3.1.1
伤害harm 人身损伤、人的健康损害、财产或环境的损害［来源：ISO/IECGUIDE51:2014,3.1]
3.1.2
危险hazard 伤害的潜在根源。 注：这个术语包括短时间对人身的伤害（如着火和爆炸），以及那些对人身健康长时间的损害（如有毒物质释放）。 ［来源：ISO/IECGUIDE51:2014,3.2]
3.1.3
风险 risk 伤害发生的概率与该伤害严重程度的组合。 ［来源：ISO/IECGUIDE51:2014,3.9]
3.1.4
安全 safety 免于不可接受的风险。
1 GB/T41274—2022
3.1.5
功能安全functional safety 整体安全中与EUC(3.2.1)和EUC控制系统（3.2.2)相关的部分，它取决于E/E/PE安全相关系统
（3.2.8）和其他风险降低措施正确执行其功能。
注：E/E/PE是指基于电气(E)和/或电子(E)和/或可编程电子(PE)的技术
3.1.6
信息安全informationsecurity 基于计算机系统的能力，能够提供充分的把握使非授权人员和系统既无法修改软件及其数据也无
法访问系统功能，却保证授权人员和系统不被阻止
注1：保护系统所采取的措施。 注2：由建立和维护保护系统的措施而产生的系统状态注3：能够免于非授权访问或意外的变更、破坏或者损失的系统资源的状态注4：防止对工业自动化和控制系统的非法或有害的入侵，或者干扰其正确和计划的操作。 注5：措施是与物理信息安全（控制物理访问计算机的资产)或者逻辑信息安全（登录给定系统和应用的能力）相关
的控制手段。
3.1.7
内生安全 endogenous safety 功能安全（3.1.5）与信息安全（3.1.6)的结合，实现控制工程全生命周期安全防护。
3.1.8
内生安全体系架构endogenoussafetyarchitecture 使系统具有动态防御、主动防御、纵深防御等能力的体系架构
3.2 设备和装备
3.2.1
受控设备equipmentundercontrol；EUC 用于制造业、流程工业、运输业、制药业或其他行业的设备、机器、装置或成套设备注：EUC控制系统与EUC是分开的并且是截然不同的，［来源：GB/T20438.4—2017,3.2.1]
3.2.2
EUC控制系统 tEUCcontrol system 由传感器、电子控制单元和执行机构三部分组成的控制系统。
3.2.3
系统软件 system software 可编程电子系统的软件的一部分，涉及可编程装置自身的功能和提供的服务。而不像应用软件那
样规定执行EUC安全相关任务的功能
来源:GB/T20438.42017,3.2.6
3.2.4
应用软件 application software 应用数据 applicationdata 配置（组态）数据configurationdata 可编程电子系统的软件的一部分，规定了执行EUC相关任务的功能而不是可编程装置自身的功
能和提供的服务。
［来源：GB/T20438.4—2017,3.2.7
2 GB/T41274—2022
3.2.5
可编程电子programmableelectronics；PE 以计算机技术为基础，可以由硬件、软件及其输入和（或)输出单元构成的微电子装置，注：这个术语包括以一个或多个中央处理器（CPUs)及相关的存储器等为基础的微电子装置。
3.2.6
可编程序（逻辑）控制器 号programmable(logic)controller;PLC 一种用于工业环境的数字式操作的电子系统。这种系统用可编程的存储器作面向用户指令的内部
寄存器，完成规定的功能，如逻辑、顺序、定时、计数、运算等，通过数字或模拟的输入/输出，控制各种类型的机械或过程。可编程序（逻辑）控制器及其相关外围设备的设计，使它能够非常方便地集成到工业控制系统中，并能很容易地达到所期望的所有功能
注：在本文件中使用缩写词PLC代表可编程序（逻辑）控制器（programmablelogiccontrollers），这在自动化行业中
已形成共识。原来曾用PC作为可编程序（逻辑)控制器的缩略语，它容易与个人计算机所使用的缩略语PC相混淆。
［来源：GB/T15969.1—2007,3.5] 3.2.7
可编程控制系统 programmablecontrollersystem 用户根据所要完成的自动化系统要求而建立的由可编程控制器及其相关外围设备组成的配置。 注：系统包括，但不限于：
可编程控制系统包括分布式控制系统（DCS）、可编程序（逻辑）控制器（PLC）、智能电子设备（IED）、监视控
a)
制与数据采集（SCADA)系统、运动控制（MC)系统、网络电子传感和控制、监视和诊断系统，在本文件中，不论物理上是分开的还是集成的，过程控制系统（PCS)包括基本过程控制系统和安全仪表系统（SIS)；
b) 相关的信息系统，例如先进控制或者多变量控制、在线优化器、专用设备监视器、图形界面、过程历史记录、
制造执行系统（MES)和企业资源计划（ERP)管理系统：
c) 相关的部门、人员、网络或机器接口，为连续的、批处理、离散的和其他过程提供控制、安全和制造操作
功能。
L来源:GB/T15969.1—2007,3.6
3.2.8
安全相关系统 safety-related system 执行所要求的安全功能（3.3.1)使EUC(3.2.1)达到或保持安全状态的系统，自身或与其他E/E/PE
安全相关系统、其他风险降低措施一起，能够实现要求的安全功能所需的安全完整性。
注1：安全相关系统与其他风险降低措施一起，实现必要的风险降低量，以满足所要求的可容忍风险。参见
GB/T20438.5—2017中附录A
注2：安全相关系统能在检测到可导致危险事件的情况时采取适当的动作以防止EUC进入危险状态。安全相关
系统的失效包含于导致危险的事件中。尽管可能存在具备安全功能的其他系统，但所指定的安全相关系统仅靠其自身能力达到要求的可容忍风险。安全相关系统一般被分为安全相关控制系统和安全相关保护系统。
注3：安全相关系统是EUC控制系统的组成部分，也能用传感器和/或执行器与EUC连接。即能通过EUC控制
系统（也可能通过分开的和独立的附加系统)或者利用分开的、独立的、安全专用的安全相关系统执行安全功能达到要求的安全完整性等级，
注4：安全相关系统能：
a）用于防止危险事件发生（即安全相关系统一旦执行其安全功能则避免伤害事件发生）。 b）用于减轻伤害事件的影响，即通过减轻后果的办法来降低风险 c）同时具有a)和b)的功能组合
注5：人也能作为安全相关系统的一部分。例如，人能接收来自可编程电子装置的信息，并根据接收信息执行安全
动作，或通过可编程电子装置执行安全动作，
3 GB/T41274—2022
注6：安全相关系统包括执行规定安全功能所需的全部硬件、软件以及支持服务（如电源），因此，传感器、其他输入
装置、最终元件（执行器）和其他输出装置都包括在安全相关系统中
注7：安全相关系统基于广泛的技术基础，包括电气、电子、可编程电子、液压和气动等
3.2.9
余redundancy 对于执行一个要求的功能或对于表示信息而言，存在多于一种方法的机制。 示例：功能元件加倍和增加奇偶校验位注1：允余主要用于提高可靠性（在给定时间范围内功能正确的概率)或可用性（在特定时间点具有功能的概率），
也能通过像2003这样的架构来使误动作最小化。
注2：允余可能是“活动的（hotoractive)”（所有允余项同时运行）、“待机的（coldorstand-by）”（在同一时间只有一
个允余项运行）、“混合的（mixed)”（在同一时间一个或几个项运行和一个或几个项待机）
3.3安全功能和安全完整性
3.3.1
安全功能safetyfunction 针对特定的危险事件，为实现或保持EUC(3.2.1)的安全状态，由E/E/PE安全相关系统（3.2.8)或
其他风险降低措施实现的功能
示例1：在要求时执行的功能，作为一种主动行动以避免危险状况（如关闭电机），示例2：采取预防行为的功能（如防止马达启动）。
3.3.2
安全完整性safetyintegrity 在规定的时间段内和规定的条件下，安全相关系统（3.2.8）成功执行规定的安全功能（3.3.1）的
概率。
注1：安全完整性越高，安全相关系统在要求时未能执行规定的安全功能或未能实现规定的状态的概率就越低注2：有4个安全完整性等级（见3.3.6）。 注3：在确定安全完整性时，包括所有导致非安全状态的失效原因（随机硬件失效和系统性失效），如硬件失效、软
件导致的失效和电磁干扰导致的失效。某些类型的失效，尤其是随机硬件失效，能用危险失效模式下的平均失效频率或安全相关保护系统未能在要求时动作的概率来量化，但是安全完整性还取决于许多不能精确量化只可定性考虑的因素。
注4：安全完整性由硬件安全完整性（见3.3.5)和系统性安全完整性（见3.3.4)构成注5：本定义针对安全相关系统执行安全功能的可靠性（见IEC60050-192：2015可靠性的定义）。
3.3.3
软件安全完整性softwaresafetyintegrity 安全完整性（3.3.2)中，与软件造成的危险失效模式下的系统性失效有关的部分。
3.3.4
系统性安全完整性systematicsafetyintegrity 安全完整性（3.3.2)中，与危险失效模式下的系统性失效有关的部分注：系统性安全完整性通常不能量化（与通常可量化的硬件安全完整性明显不同）
3.3.5
硬件安全完整性hardwaresafetyintegrity 安全完整性（3.3.2)中，与危险失效模式下的随机硬件失效有关的部分。 注：本术语涉及在危险模式下的失效，是将削弱其安全完整性的安全相关系统的这类失效。与本术语有关的两个
参数是危险失效平均频率和在要求时动作失效的概率。前一可靠性参数在为保持安全而保持连续控制时使用，后一可靠性参数在安全相关保护系统场合中使用
4 GB/T41274—2022
3.3.6
安全完整性等级safetyintegritylevel;SIL 种离散的等级（4个可能等级之一），对应安全完整性量值的范围。安全完整性等级4是最高的，
安全完整性等级1是最低的。
注1：4个安全完整性等级对应的目标失效量（见GB/T20438.4—2017中3.5.17)参见GB/T20438.1—2017中表2
和表3。 注2：安全完整性等级用于规定分配给E/E/PE安全相关系统安全功能的安全完整性要求。 注3：安全完整性等级（SIL)并非系统、子系统、组件或元器件的属性。对"SILn安全相关系统”（n=1、2、3、4)的正
确解释是系统具有支持安全功能的安全完整性等级达到n的潜在能力。
4可编程控制系统内生安全体系架构
4.1概述
可编程控制系统的系统架构与内生安全部署如图1所示，主要包括可编程电子模块或工业控制系
统、实时工业网络、安全增强控制软件平台3部分，通过组合部署或分层递阶，可构成嵌人式可编程控制器单机系统、模块式工业控制系统及分布式计算机控制系统，分别满足小型、中型及大型工业装备、工业装置及工业系统的自动化需要。内生安全包括信息安全和功能安全，其中信息安全包括认证授权、黑白名单、数据加密、权限控制等
MNet:管理网络 SNet:系统网络 CNet:控制网络
服务器
6
7 国
MNet
操作站/工程师站
域级综合安全管理系统
安全增强控制软件平台 ·场景识别与身份认证 ·数据分级轻量加游 ·程序封装与流程重构 ·安全多语言编译器 ·主机安全加固
数据服务器 SNet
控制网络安全协议
控制网络安全隔离模块 CS03
控制站CS01
内生安全控制模块 元余10模块 ·动态完整性检测 ·异构允余 》·工程程序安全保护 ·同构允余
控制网络安全增强模块 ·实时加密虚拟隧道 ·协议解析与异常阻断 ·安全监测与异常预警
CS02
CS61
·异常诊断与完余容错·多重元余 2组元余10模块
74块10模块湿装 /4U通用10底席
/4U元余10底座
102 03/ 04 105
00
06
01
适应防爆场合的适应强干扰环境的隔 异构元余的
现场工业网关 ·伪时钟同步检测 、配置合法性监测 ·场景行为分析
/本安IO模块系列／离模型1O模块系列 10根块
CNet 3
107 I
08
/109
11
13
工业总线连接现场智能设备
图1可编程控制系统的系统架构与内生安全部署图
5 GB/T 41274—2022
4.2可编程控制系统内生安全特性 4.2.1可编程控制系统的完整性保障
可编程控制系统硬件资源、软件环境与应用程序应具有完整性保障检测与保护措施。 注1：该保护措施能监测可编程电子部件的硬件功能、配置信息、固件程序等静态完整性。 注2：该保护措施能监测进程列表、堆栈数据、全局符号表等系统资源，构建安全进程与资源列表，及时发现代码注
入、堆栈溢出、数据宴改等异常行为。
注3：该保护措施能制定线程及资源的创建、分配、回收等进程调度安全策略，实现安全进程与资源列表的动态
维护。 注4：控制器内核架构及资源受限访问控制与应用隔离机制，能拦截非法跨进程资源访问请求，实现运行空间的隔
离与保护。
4.2.2应用程序的全生命周期安全保护
应用程序编辑、编译、发布、运行、维护等应具有全生命周期的安全保护。 注1：应用程序的多样化生成方法包括动态多样化混清编辑、异构等价二进制数据动态生成等方法注2：通过构建应用程序文件的安全存储与发布系统，实现应用程序文件完整性校验与传输方法。 注3：结合基于时间多变性、空间多样性等动态轻量加密方法，实现被攻击视图的动态随机化分配与非明文表达，
4.2.3可编程控制系统的综合诊断与高可用实现
可编程控制系统的综合诊断与表决穴余等方法，应保障控制器的高可用性。 注1：综合诊断方法包括控制系统模件/模块/功能电路的随机失效与安全威胁综合诊断、故障隔离与在线修复等注2：控制器组件或模块的在线配置、在线诊断、联机调试等方法，能设计随机失效与安全威胁在线综合诊断技术，
实现故障或失效的自动识别及快速定位，注3：结合硬件部件、操作系统、工程程序运行空间分布、算法调度等异构多样化方法，通过控制运算节奏同步与数
据同步及异构多模允余表决，能实现异构动态与允余容错，保障控制装备的高安全性与高可用性
4.3可编程控制系统工业网络 4.3.1控制网络的安全机制
控制网络信息的安全传输，应确保数据的机密性、完整性、安全性 4.3.2控制网络与现场总线安全监测与异常预警
控制网络与现场总线安全监测与异常预警应通过数据流场景序列关联分析、数据包分类基线检测、 控制系统编程时或运行时的网络行为分析等技术实现，
注：基于控制网络与现场总线协议的深度理解，通过通信包完整性分析、数据字段合法性监测等方法，能实现非法
数据包的检测与过滤。
4.4可编程控制系统的应用软件开发与运行平台 4.4.1总体架构
应用软件开发与运行平台的总体架构示意图如图2所示，图2左侧为不同层次的硬件平台，主要运行工程师站图形组态与控制编程软件、操作员站实时监控软件、控制器或控制站实时控制软件等，通过系统网络交互各种数据、管理和控制信息，协调一致地完成整个控制系统的各种功能；主要功能包括现场数据采集、算法执行、实时数据和历史数据处理、报警和安全机制、流程控制、动画显示、趋势曲线和报 6