核电厂仪控系统安全和网络安全协调要求

核电厂仪控系统安全和网络安全协调要求

随着社会的不断发展，工业技术取得了很大的进步，尤其是信息化技术的发展，极大的促进了工业系统的进步，越来越多的工业控制系统采用通用的通信协议和软硬件系统，并以合适的接入方式与网络连接，改善了原有系统的封闭性与专用型，但是同时也为系统带来了安全威胁，容易形成木马入侵、病毒感染等安全威胁。因而，工控领域的信息安全问题日益严重，在核电厂中，仪控系统的安全问题是其运转中关注的核心。因而，如何协调好仪控系统安全与网络安全，是重要内容。

一、核电厂仪控系统的总体构架要求

（一）各个仪控系统分配到不同的纵深防御层级中，以便在一个层级中的仪控系统发生故障时，其他层级的仪控系统对其功能进行补偿或纠正以避免产生有害后果。

（二）保持纵深防御层级间和安全等级间的独立性，以便对一个纵深防御层级的仪控系统产生不利影响的事件，不应对其他层级执行安全重要功能的仪控系统产生影响。

（三）对一个仪控系统产生不利影响的事件，不应对其他执行安全重要功能的仪控系统产生影响。

（四）根据核安全等级要求，进行仪控功能分类和仪控系统分级。

（五）根据信息安全要求，把仪控功能和仪控系统放入对应的信息安全区中。严格控制仪控系统的复杂性，消除不必要的复杂性。

（六）仪控设备应处于适当位置和提供合理保护以便抵御不良环境因素的影响。

二、核电厂仪控系统安全和网络安全协调要求

（一）网络安全区域划分的要求

为了提高系统安全，将对网络安全区域进行划分，将仪控系统中的基于计算机的和基于数字逻辑的系统划分为若干安全区域，并且将

对安全设备的功能等级有着同等重要性的划分为一组，方便管理并采取安全保护措施。安全区域的定义标准包括组织问题、本地化、架构或技术方面，主要划分原则如下：

首先，在安全区域的划分中，应该考虑相关设备的独立性与物理独立性；

其次，安全區域的划分应该考虑数据通信、地理/物理隔离以及独立性等方面；

再次，从网络安全的角度，如果可以有效过滤和监测分隔之间的通信，则各个子列可以互相独立，反之则各个子列应该被划分到同一个安全区域。

（二）共因故障处理要求

在一些特殊的情况下，共因故障处理能够加强网络安全。在共因故障的处理中，相关负责人要根据特定的场景，对可能出现的恶意攻击和威胁进行评估。在网络安全的防范中，使用多样性手段，对相关利弊进行串联分析，提高安全防范效果，但是这种方式相对较复杂；以并联方式则可能增加系统接入路径和漏洞对于集成到系统中的网络安全防范措施，对多样化系统中出现共因故障的风险，并做好预防措施，既要求能保证网络安全，还应该降低共因故障的发生率。

（三）隔离要求

隔离设计在某些情况下也可用于网络安全防范。由负责网络安全的人员按照场景进行分析，利用隔离措施促进安全防范。功能安全相关标准所提出的用于支持A类功能的控制系统的独立性要求，对网络安全是有益的，针对具体场景进行评估和验证，以便在网络安全防范中纳入这些措施。独立性要求包括：

1.对于A类信号，主要目的是检测和保护，或者用于控制系统，对于后者来说，要特别关注，因为如果传感器发生故障，可能会导致控制系统的测量值超出需求容许值，发生不全的控制动作，同时还会对方案保护系统发生不安全工况的探测。

2.保护系统和控制系统按照如下要求设计：对于在两个系统之间

传递的信息，如果单一故障有可能引发后继故障，要求不能引发事故，或要求安全动作的瞬态，同时，也不能引发A类系统不可接受的降级。

3.当A类系统中，任何一个单一故障以及后续故障，都会引起控制系统的动作，从而成为导致一个要求安全动作的工况时，即便出现第二个随机故障引发A类系统降级，此时A类系统仍然具备安全动作的能力。这种情况下，要采取测试或者维护措施，使得部件或组建旁通或退出运行，系统都应满足这一要求。

4.即便设备、传感器等有测试资料显示其具有较高的可靠性，对于能够控制信号的二取一表决的保护系统，要求检测其可靠性。在维护期间，如果使用了旁通措施，则必须采用安全设备，同时利用故障自动探测传感器的三取二系统，确保安全防护。

三、结语

在核电厂仪控系统设计时，考虑功能安全和信息安全的协调要求，使仪控系统在保证安全性的同时也具备适当的信息安全特性，为确保电站安全稳定运行、免受网络攻击提供了有力保障。