标准规范下载简介：

内容预览由机器从pdf转换为word，准确率92%以上，供参考

GB／T 41274-2022 可编程控制系统内生安全体系架构.pdf

3.3安全功能和安全完整性

安全功能safety function

GB/T 412742022

安全完整性等级safetyintegritylevel;SIL 一种离散的等级（4个可能等级之一），对应安全完整性量值的范围。安全完整性等级4是最高的， 安全完整性等级1是最低的。 注1：4个安全完整性等级对应的目标失效量（见GB/T20438.4—2017中3.5.17)参见GB/T20438.1—2017中表2 和表3。 注2：安全完整性等级用于规定分配给E/E/PE安全相关系统安全功能的安全完整性要求。 注3：安全完整性等级（SIL)并非系统、子系统、组件或元器件的属性。对"SILn安全相关系统”（n=1、2、3、4)的正 确解释是系统具有支持安全功能的安全完整性等级达到的潜在能力

HJ 2531-2012 环境标志产品技术要求 工商用制冷设备4可编程控制系统内生安全体系架构

可编程控制系统的系统架构与内生安全部署如图1所示，主要包括可编程电子模块或工业控制系 充、实时工业网络、安全增强控制软件平台3部分，通过组合部署或分层递阶，可构成嵌入式可编程控制 器单机系统、模块式工业控制系统及分布式计算机控制系统，分别满足小型、中型及大型工业装备、工业 装置及工业系统的自动化需要。内生安全包括信息安全和功能安全，其中信息安全包括认证授权、黑白 名单、数据加密、权限控制等

可编程控制系统的系统架构与内生安全部署

4.2可编程控制系统内生安全特性

可编程控制系统硬件资源、软件环境与应用程序应具有完整性保障检测与保护措施 注1：该保护措施能监测可编程电子部件的硬件功能、配置信息、固件程序等静态完整性 注2：该保护措施能监测进程列表、堆栈数据、全局符号表等系统资源，构建安全进程与资源列表，及时发现代码注 入、堆栈溢出、数据宴改等异常行为。 注3：该保护措施能制定线程及资源的创建、分配、回收等进程调度安全策略，实现安全进程与资源列表的动态 维护。 注4：控制器内核架构及资源受限访问控制与应用隔离机制，能拦截非法跨进程资源访问请求，实现运行空间的隔 离与保护。

4.2.2应用程序的全生命周期安全保护

应用程序编辑、编译、发布、运行、维护等应具有全生命周期的安全保护。 注1：应用程序的多样化生成方法包括动态多样化混淆编辑、异构等价二进制数据动态生成等方法。 注2：通过构建应用程序文件的安全存储与发布系统，实现应用程序文件完整性校验与传输方法 注3：结合基于时间多变性、空间多样性等动态轻量加密方法，实现被攻击视图的动态随机化分配与非明文表达

4.2.3可编程控制系统的综合诊断与高可用实现

可编程控制系统的综合诊断与表决穴余等方法，应保障控制器的高可用性。 注1：综合诊断方法包括控制系统模件/模块/功能电路的随机失效与安全威胁综合诊断、故障隔离与在线修复等。 注2：控制器组件或模块的在线配置、在线诊断、联机调试等方法，能设计随机失效与安全威胁在线综合诊断技术， 实现故障或失效的自动识别及快速定位 注3：结合硬件部件、操作系统、工程程序运行空间分布、算法调度等异构多样化方法，通过控制运算节奏同步与数 据同步及异构多模元余表决，能实现异构动态与元余容错，保障控制装备的高安全性与高可用性

4.3可编程控制系统工业网络

4.3.1控制网络的安全机制

控制网络信息的安全传输，应确保数据的机密性、完整性、安全性。

4.3.2控制网络与现场总线安全监测与异常预

控制网络与现场总线安全监测与异常预警应通过数据流场景序列关联分析、数据包分类基线检测、 控制系统编程时或运行时的网络行为分析等技术实现。 注：基于控制网络与现场总线协议的深度理解，通过通信包完整性分析、数据字段合法性监测等方法，能实现非法 数据包的检测与过滤

应用软件开发与运行平台的总体架构示意图如图2所示，图2左侧为不同层次的硬件平台，主要 程师站图形组态与控制编程软件、操作员站实时监控软件、控制器或控制站实时控制软件等，通 网络交互各种数据、管理和控制信息，协调一致地完成整个控制系统的各种功能；主要功能包括 据采集、算法执行、实时数据和历史数据处理、报警和安全机制、流程控制、动画显示、趋势曲线和

表输出以及监控网络等

GB/T412742022

4.4.2监控操作功能

4.4.2.1用户权限管理

图2应用软件开发与运行平台的总体架构示意图

用户登录权限管理，应建立用户权限授权管理机制。 注1：通过构建授权管理组，管理组仅能实现用户权限的建立、管理、授权和变更，但无操作权限。 注2：用户登录安全管理机制的建立能实现用户授权密码复杂性、差异性、使用期限、尝试次数、单操作站/工程师 站登录绑定、登录主动退出、无操作超时自动退出等安全功能。 注3：用户身份信息的轻量标识方法能实现动态轻量加解密策略，进而实现快速身份识别。 注4：用户权限分配方法能实现授权链安全管理与查询优化策略，进而实现快速用户权限鉴别

4.4.2.2监控操作运行模块

4.4.2.3监控操作生成模块

用户操作权限管理应支持用户操作安全区与系统软件功能区的多级多组授权配置；应支持实时数 据库逐点权限访问控制、图形操作单元权限访问控制、图形操作单元关键数据输人值的范围限制与关键 数据二次确认机制。 注1：工程程序与运行数据所采用的分级动态轻量加密方法，能适应工业场景安全性与可用性多级多样的需求。 注2：数据完整性校验和动态恢复方法能实现关键数据代码的安全存储与周期性校验，确保非法篡改的及时发现 与快速恢复

4.4.2.4监控操作脚本语言模块

画面操作相关的数值计算与逻辑操作等功能 注1：模块能自动检测脚本中错误的位号或语法并实现错误定位 核安全区与功能区、数据点与图形单元等非授权操作

4.4.2.5基于网络的远程操作信息的审计模块

基于网络的远程操作信息的审计模块应基于远程操作相关授权与配置信息，审计

4.4.2.6软件环境升级代码安全保护模块

软件环境升级代码安全保护模块应支持引导程序或软件环境升级代码的安全保护

GA/T 946.4-2020 道路交通管理信息采集规范 第4部分：道路交通安全违法行为处理信息采集4.4.3应用程序编程功能

4.4.3应用程序编程功能

4.4.3.2应用程序生命周期安全管理机制

应用程序编辑、编译、发布、运行、更新应具有全生命周期安全管理机制。 注1：基于控制算法编程规则的人为失误审核、基于哈希函数（MD5、CRC32等）等的工程程序源码，及工程程序目 标码的完整性检测、最小化安全相关FBD算法功能块集合等的安全相关措施，能实现控制算法编辑器的存 储介质随机失效、控制算法编辑器软件设计缺陷、人为恶意篡改等的安全防范。 注2：用户项目工程密码授权、工程程序页密码授权能防范非授权工程程序访间。 注3：基础元件、单元设备、行业装备等工程特性的抽取，典型控制工程的模型库、方法库、界面库等的逐级构建DGJ32T J76-2009 江苏省绿色建筑评价标准，能 实现信息物理系统智能封装与流程可信重构：集成、派生、重用、重构机制能实现工程程序的自动生成与行业 流程的复用重构，防范关键控制程序与核心工艺参数的篡改与泄露

4.4.4实时控制功能

GB/T412742022