ICS25.040.40 CCS N 18 中华人民共和国国家标准 GB/T41274—2022 可编程控制系统内生安全体系架构 Endogenous safety architecture of programmable control system 2022-10-01实施 2022-03-09发布 国家市场监督管理总局 发布 国家标准化管理委员会 GB/T41274—2022 前言 本文件按照GB/T1.1一2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国工业过程测量控制和自动化标准化技术委员会（SAC/TC124)）归口。 本文件起草单位：浙江大学、杭州优稳自动化系统有限公司、上海电气集团股份有限公司、北京机械 工业自动化研究所有限公司 本文件主要起草人：王文海、高慧、贾廷纲、张益南、许志正、张晓东、嵇月强、张稳稳、曹剑、范鹏鹏、 袁超、周伟、徐斌、王秋婷、何萍、邵舒婷、赵璐、张雪嫣、王凯。 1 GB/T41274—2022 可编程控制系统内生安全体系架构 1范围 本文件规定了可编程控制系统内生安全体系架构，描述了可编程控制系统内生安全的目标和各单 元模块的相关安全需求，规定了可编程控制系统的内生安全要求。其中，可编程控制系统内生安全的目 高可用实现等。 本文件适用于工程设计商、设备生产商、系统集成商、用户以及评估认证机构等，主要应用于化工、 石化、电力等行业。 规范性引用文件 2 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于 本文件。 GB/T15969.3—2017 可编程序控制器第3部分：编程语言 3 术语和定义 下列术语和定义适用于本文件。 3.1安全术语 3.1.1 伤害harm 人身损伤、人的健康损害、财产或环境的损害。 ［来源：ISO/IECGUIDE51：2014，3.1 3.1.2 危险hazard 伤害的潜在根源， 注：这个术语包括短时间对人身的伤害（如着火和爆炸），以及那些对人身健康长时间的损害（如有毒物质释放）。 ［来源：ISO/IECGUIDE51:2014.3.2] 3.1.3 风险risk 伤害发生的概率与该伤害严重程度的组合。 ［来源：ISO/IECGUIDE51:2014，3.9] 3.1.4 安全safety 免于不可接受的风险 1 GB/T41274—2022 3.1.5 功能安全functional safety 整体安全中与EUC（3.2.1）和EUC控制系统（3.2.2）相关的部分，它取决于E/E/PE安全相关系统 （3.2.8）和其他风险降低措施正确执行其功能 注：E/E/PE是指基于电气（E)和/或电子（E）和/或可编程电子（PE)的技术。 3.1.6 信息安全 information security 基于计算机系统的能力，能够提供充分的把握使非授权人员和系统既无法修改软件及其数据也无 法访问系统功能，却保证授权人员和系统不被阻止。 注1：保护系统所采取的措施。 注2：由建立和维护保护系统的措施而产生的系统状态 注3：能够免于非授权访问或意外的变更、破坏或者损失的系统资源的状态 注4：防止对工业自动化和控制系统的非法或有害的人侵，或者干扰其正确和计划的操作。 的控制手段。 3.1.7 内生安全 endogenous safety 功能安全（3.1.5）与信息安全（3.1.6）的结合，实现控制工程全生命周期安全防护。 3.1.8 内生安全体系架构 endogenous safetyarchitecture 使系统具有动态防御、主动防御、纵深防御等能力的体系架构。 3.2 设备和装备 3.2.1 受控设备 equipmentundercontrol;EUC 用于制造业、流程工业、运输业、制药业或其他行业的设备、机器、装置或成套设备 注：EUC控制系统与EUC是分开的并且是截然不同的 ［来源：GB/T20438.4—20173.2.1] 3.2.2 EUC控制系统EUCcontrolsystem 由传感器、电子控制单元和执行机构三部分组成的控制系统 3.2.3 系统软件 systemsoftware 可编程电子系统的软件的一部分，涉及可编程装置自身的功能和提供的服务。而不像应用软件那 样规定执行EUC安全相关任务的功能。 ［来源：GB/T20438.4—2017.3.2.6］ 3.2.4 应用软件 applicationsoftware 应用数据 applicationdata 配置（组态）数据 号configuration data 可编程电子系统的软件的一部分，规定了执行EUC相关任务的功能而不是可编程装置自身的功 能和提供的服务。 ［来源：GB/T20438.4—20173.2.7］ GB/T41274—2022 3.2.5 可编程电子programmableelectronics；PE 以计算机技术为基础，可以由硬件、软件及其输入和（或）输出单元构成的微电子装置。 注：这个术语包括以一个或多个中央处理器（CPUs）及相关的存储器等为基础的微电子装置， 3.2.6 可编程序（逻辑）控制器 programmable(logic)controller;PLC 一 种用于工业环境的数字式操作的电子系统。这种系统用可编程的存储器作面向用户指令的内部 寄存器，完成规定的功能，如逻辑、顺序、定时、计数、运算等，通过数字或模拟的输入/输出，控制各种类 型的机械或过程。可编程序（逻辑）控制器及其相关外围设备的设计，使它能够非常方便地集成到工业 控制系统中，并能很容易地达到所期望的所有功能。 注：在本文件中使用缩写词PLC代表可编程序（逻辑）控制器（programmablelogiccontrollers），这在自动化行业中 已形成共识。原来曾用PC作为可编程序（逻辑）控制器的缩略语，它容易与个人计算机所使用的缩略语PC相 混淆。 ［来源：GB/T15969.1—2007.3.5] 3.2.7 可编程控制系统 programmablecontrollersystem 用户根据所要完成的自动化系统要求而建立的由可编程控制器及其相关外围设备组成的配置。 注：系统包括，但不限于： a）可编程控制系统包括分布式控制系统（DCS）、可编程序（逻辑）控制器（PLC）、智能电子设备（IED）、监视控 制与数据采集（SCADA）系统、运动控制（MC）系统、网络电子传感和控制、监视和诊断系统，在本文件中， 不论物理上是分开的还是集成的，过程控制系统（PCS)包括基本过程控制系统和安全仪表系统（SIS)； b) 相关的信息系统，例如先进控制或者多变量控制、在线优化器、专用设备监视器、图形界面、过程历史记录、 制造执行系统（MES)和企业资源计划（ERP）管理系统； 相关的部门、人员、网络或机器接口，为连续的、批处理、离散的和其他过程提供控制、安全和制造操作 功能。 ［来源：GB/T15969.1—2007.3.6] 3.2.8 安全相关系统 safety-related system 执行所要求的安全功能（3.3.1）使EUC（3.2.1)达到或保持安全状态的系统，自身或与其他E/E/PE 安全相关系统、其他风险降低措施一起，能够实现要求的安全功能所需的安全完整性。 注1：安全相关系统与其他风险降低措施一起，实现必要的风险降低量，以满足所要求的可容忍风险。参见 GB/T20438.5—2017中附录A。 注2：安全相关系统能在检测到可导致危险事件的情况时采取适当的动作以防止EUC进入危险状态。安全相关 仅靠其自身能力达到要求的可容忍风险。安全相关系统一般被分为安全相关控制系统和安全相关保护 系统。 注3：安全相关系统是EUC控制系统的组成部分·也能用传感器和/或执行器与EUC连接。即能通过EUC控制 系统（也可能通过分开的和独立的附加系统）或者利用分开的、独立的、安全专用的安全相关系统执行安全功 能达到要求的安全完整性等级。 注4：安全相关系统能： a）用于防止危险事件发生（即安全相关系统一且执行其安全功能则避免伤害事件发生） b）用于减轻伤害事件的影响，即通过减轻后果的办法来降低风险。 c）同时具有a)和b)的功能组合。 注5：人也能作为安全相关系统的一部分。例如，人能接收来自可编程电子装置的信息，并根据接收信息执行安全 动作，或通过可编程电子装置执行安全动作 3 GB/T41274—2022 注6：安全相关系统包括执行规定安全功能所需的全部硬件、软件以及支持服务（如电源），因此，传感器、其他输入 装置、最终元件（执行器）和其他输出装置都包括在安全相关系统中 注7：安全相关系统基于广泛的技术基础，包括电气、电子、可编程电子、液压和气动等。 3.2.9 余redundancy 对于执行一个要求的功能或对于表示信息而言，存在多于一种方法的机制。 示例：功能元件加倍和增加奇偶校验位 注1：余主要用于提高可靠性（在给定时间范围内功能正确的概率）或可用性（在特定时间点具有功能的概率）， 也能通过像2003这样的架构来使误动作最小化 注2：穴余可能是“活动的（hotoractive）"（所有余项同时运行）、“待机的（coldorstand-by）”（在同一时间只有一 个穴余项运行）、“混合的（mixed）”（在同一时间一个或几个项运行和一个或几个项待机） 3.3安全功能和安全完整性 3.3