每個生產過程都有其固有的風險。為了實現最大程度的安全和安保,在過程控制和安全系統之間必須實施有效的隔離，這是功能安全和網絡安全標準所必需的。這牽涉到很多方面的利益，包括員工的健康、公司的資產和環境等因素。

為了更好地理解安全與安保之間的相互作用，需要澄清幾個術語。安全有很多定義。一般情況下，安全被定義為沒有危險。這意味著如果沒有普遍認可的危險，那該工況就是安全的。通常不可能消除所有潛在風險；在復雜的系統中更是如此。

更常見的安全定義，則是沒有不可接受的風險。將風險降低到可接受的水平是功能安全的任務。應用的安全性，取決于相應的技術系統(如安全控制器)的功能。如果該系統履行其保護功能，則將該應用視為功能安全。

可用兩個例子來說明:石油從管道中泄露，會危及附近人身的安全，這是安全問題。一個系統，如果不能防止管道結冰（即使這被認為是它的任務），就會出現緊急工況，那它就是一個功能安全問題。功能安全系統保護人員、設施和環境，旨在預防事故，避免設備或系統停機。

過程工業越來越意識到有關標準對系統安全和收益的重要性。技術標準IEC61511，功能安全-過程工業領域安全儀表系統，定義了減少事故和停機風險的最佳方法。它為控制和監測、預防和遏制以及緊急措施規定了單獨的安全層(見圖1)。這三層中的每一層，都為減少風險提供了具體功能，三層協同工作，共同減輕生產過程帶來的危害。

圖1:IEC61511為控制和監測、預防和遏制以及緊急措施規定了單獨的安全層。圖片來源:HIMA

IEC61511還規定了每個保護層級的獨立性、多樣性和物理隔離。為了滿足這些要求，不同層次的功能需要彼此獨立。對不同的層使用不同的I/O模塊是遠遠不夠的，因為自動化系統也依賴于I/O總線系統、CPU和軟件功能。

根據IEC61511的規定，如果要想被視為自主保護層，安全系統和過程控制系統必須基于不同的平臺、開發基礎和理念。具體而言，這意味著在系統體系結構中，過程控制系統層和安全保護系統層絕對不能共享部件。

不斷上升的風險

在過去10年中，由于數字化的持續推進，工業系統遭受網絡攻擊的風險也在不斷上升。這些攻擊，除了危及信息安全，對系統安全也日益構成直接威脅。系統運行人員需要意識到這些風險并采取相應的措施，這可以通過多種方式來實現。與旨在保護人員安全的功能安全系統不同，這些系統和措施旨在保護技術信息系統免遭蓄意或無意的操縱，并防止旨在擾亂生產過程或竊取工業機密的攻擊。

安全和安保已更緊密地結合在一起。網絡安全起著關鍵的作用，對于面向安全的系統而言更是如此，因為它構成了抵御潛在災難的最后一道防線。

標準定義框架

安全控制器的設計、操作和規范，必須符合國際標準。IEC61508是關于功能安全和安全系統的基本標準，適用于所有面向安全的系統(電氣、電子和可編程電子設備)。IEC61511是關于過程工業功能安全的基本標準，定義了選擇安全功能組件適用的標準。

對于網絡和系統中的信息技術（IT）安全，還必須考慮IEC62443網絡安全系列標準。它確定了IT的安全管理系統，將保護層從相互獨立的操作和保護設施中隔離出來，以及確保系統在完整的生命周期中的IT安全。它還需要為企業網絡、控制室、安全儀表系統(SIS)和基本過程控制系統(BPCS)設置單獨的區域，每個區域都必須受到防火墻的保護，以防止未經授權的訪問(見圖2)。

圖2:IEC62443需要為企業網絡、控制室、安全儀表系統(SIS)和基本過程控制系統(BPCS)設置單獨的區域，必須為每個區域設置防火墻，以防止未經授權的訪問。

網絡安全設計

安全和安保是與過程系統密切相關的兩個方面，必須作為一個整體加以考慮。在過程控制系統中，標準化的硬件和軟件需要定期更新，給軟件和操作系統的漏洞打補丁。然而，由于軟件體系結構復雜，要想評估分析所有風險是很難或不切實際的，這些風險可能是由系統更新引起的。例如，對過程控制系統的更新，可能會影響集成到控制系統中的安全系統的功能。

為了避免因控制系統更新而導致的安全相關過程中出現不可預知后果的嚴重故障，過程控制系統必須在技術上與安全系統分離。為了實現有效的網絡安全，僅通過增加軟件功能來升級現有產品是不夠的。每個功能安全的解決方案，從開始時就必須考慮網絡安全的設計和開發。這種理念，同樣適用于固件和應用程序軟件。

一個有效保護的例子是專門為面向安全應用設計專有操作系統，并在自主安全控制器上運行該操作系統。它包括安全PLC的所有功能，并排除所有其它功能，使其免受對信息系統的典型攻擊。即使在通信處理器受到攻擊的情況下，CPU和通信處理器也需要獨立，這主要是出于運行安全性的需求。

控制器允許在單個通信處理器或處理器模塊上，運行多個物理上獨立的網絡。這可防止從相互連接的開發工作站直接訪問自動化網絡。此外，還可以單獨禁用未使用的接口。

過程工業標準和網絡安全標準的一個共同特點，是安全儀表系統和基本過程控制系統的分離。從現實和經濟的角度來看，安全系統的獨立性是一個很好的選擇。例如，安全儀表系統和基本過程控制系統的生命周期和變化率非常不同。系統運行人員可以自由選擇來自不同制造商的最佳解決方案。

與工藝技術無關的系統，盡管在物理上是分離的，但也可以集成到過程控制系統中，為關鍵應用提供最高程度的安全和安保。它們是提高過程系統的運行可靠性和可用性，以及提高生產過程總體利潤率的最佳方法。