为了更好地理解安全与安保之间的相互作用,需要澄清几个术语。安全有很多定义。一般情况下,安全被定义为没有危险。这意味着如果没有普遍认可的危险,那该工况就是安全的。通常不可能消除所有潜在风险;在复杂的系统中更是如此。
更常见的安全定义,则是没有不可接受的风险。将风险降低到可接受的水平是功能安全的任务。应用的安全性,取决于相应的技术系统(如安全控制器)的功能。如果该系统履行其保护功能,则将该应用视为功能安全。
可用两个例子来说明:石油从管道中泄露,会危及附近人身的安全,这是安全问题。一个系统,如果不能防止管道结冰(即使这被认为是它的任务),就会出现紧急工况,那它就是一个功能安全问题。功能安全系统保护人员、设施和环境,旨在预防事故,避免设备或系统停机。
过程工业越来越意识到有关标准对系统安全和收益的重要性。技术标准IEC61511,功能安全-过程工业领域安全仪表系统,定义了减少事故和停机风险的最佳方法。它为控制和监测、预防和遏制以及紧急措施规定了单独的安全层(见图1)。这三层中的每一层,都为减少风险提供了具体功能,三层协同工作,共同减轻生产过程带来的危害。
图1:IEC61511为控制和监测、预防和遏制以及紧急措施规定了单独的安全层。图片来源:HIMA
IEC61511还规定了每个保护层级的独立性、多样性和物理隔离。为了满足这些要求,不同层次的功能需要彼此独立。对不同的层使用不同的I/O模块是远远不够的,因为自动化系统也依赖于I/O总线系统、CPU和软件功能。
根据IEC61511的规定,如果要想被视为自主保护层,安全系统和过程控制系统必须基于不同的平台、开发基础和理念。具体而言,这意味着在系统体系结构中,过程控制系统层和安全保护系统层绝对不能共享部件。
不断上升的风险
在过去10年中,由于数字化的持续推进,工业系统遭受网络攻击的风险也在不断上升。这些攻击,除了危及信息安全,对系统安全也日益构成直接威胁。系统运行人员需要意识到这些风险并采取相应的措施,这可以通过多种方式来实现。与旨在保护人员安全的功能安全系统不同,这些系统和措施旨在保护技术信息系统免遭蓄意或无意的操纵,并防止旨在扰乱生产过程或窃取工业机密的攻击。
安全和安保已更紧密地结合在一起。网络安全起着关键的作用,对于面向安全的系统而言更是如此,因为它构成了抵御潜在灾难的最后一道防线。