1、书 书 书犐 犆犛 犆犆犛犖 中 华 人 民 共 和 国 国 家 标 准犌犅犜 可编程控制系统内生安全体系架构犈狀 犱 狅 犵 犲 狀 狅 狌 狊狊 犪 犳 犲 狋 狔犪 狉 犮 犺 犻 狋 犲 犮 狋 狌 狉 犲狅 犳狆 狉 狅 犵 狉 犪犿犿犪 犫 犾 犲犮 狅 狀 狋 狉 狅 犾狊 狔 狊 狋 犲犿 发布 实施国 家 市 场 监 督 管 理 总 局国 家 标 准 化 管 理 委 员 会发 布书 书 书前言本文件按照 标准化工作导则第部分:标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国工业过程测量控制和自动化标准
2、化技术委员会()归口。本文件起草单位:浙江大学、杭州优稳自动化系统有限公司、上海电气集团股份有限公司、北京机械工业自动化研究所有限公司。本文件主要起草人:王文海、高慧、贾廷纲、张益南、许志正、张晓东、嵇月强、张稳稳、曹剑、范鹏鹏、袁超、周伟、徐斌、王秋婷、何萍、邵舒婷、赵璐、张雪嫣、王凯。犌犅犜 可编程控制系统内生安全体系架构范围本文件规定了可编程控制系统内生安全体系架构,描述了可编程控制系统内生安全的目标和各单元模块的相关安全需求,规定了可编程控制系统的内生安全要求。其中,可编程控制系统内生安全的目标为保障可编程控制系统的完整性;各单元模块的相关安全需求包括全生命周期安全保护、综合诊断与高可
3、用实现等。本文件适用于工程设计商、设备生产商、系统集成商、用户以及评估认证机构等,主要应用于化工、石化、电力等行业。规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。可编程序控制器第部分:编程语言术语和定义下列术语和定义适用于本文件。安全术语 伤害犺 犪 狉犿人身损伤、人的健康损害、财产或环境的损害。来源:,危险犺 犪 狕 犪 狉 犱伤害的潜在根源。注:这个术语包括短时间对人身的伤害(如着火和爆炸),以及那些对人身健康长时间的损害(如有毒物质释放)
4、。来源:,风险狉 犻 狊 犽伤害发生的概率与该伤害严重程度的组合。来源:,安全狊 犪 犳 犲 狋 狔免于不可接受的风险。犌犅犜 功能安全犳 狌 狀 犮 狋 犻 狅 狀 犪 犾狊 犪 犳 犲 狋 狔整体安全中与()和控制系统()相关的部分,它取决于安全相关系统()和其他风险降低措施正确执行其功能。注:是指基于电气()和或电子()和或可编程电子()的技术。信息安全犻 狀 犳 狅 狉犿犪 狋 犻 狅 狀狊 犲 犮 狌 狉 犻 狋 狔基于计算机系统的能力,能够提供充分的把握使非授权人员和系统既无法修改软件及其数据也无法访问系统功能,却保证授权人员和系统不被阻止。注:保护系统所采取的措施。注:由建立和维
5、护保护系统的措施而产生的系统状态。注:能够免于非授权访问或意外的变更、破坏或者损失的系统资源的状态。注:防止对工业自动化和控制系统的非法或有害的入侵,或者干扰其正确和计划的操作。注:措施是与物理信息安全(控制物理访问计算机的资产)或者逻辑信息安全(登录给定系统和应用的能力)相关的控制手段。内生安全犲 狀 犱 狅 犵 犲 狀 狅 狌 狊狊 犪 犳 犲 狋 狔功能安全()与信息安全()的结合,实现控制工程全生命周期安全防护。内生安全体系架构犲 狀 犱 狅 犵 犲 狀 狅 狌 狊狊 犪 犳 犲 狋 狔犪 狉 犮 犺 犻 狋 犲 犮 狋 狌 狉 犲使系统具有动态防御、主动防御、纵深防御等能力的体系架构
6、。设备和装备 受控设备犲 狇 狌 犻 狆犿犲 狀 狋狌 狀 犱 犲 狉犮 狅 狀 狋 狉 狅 犾;犈犝犆用于制造业、流程工业、运输业、制药业或其他行业的设备、机器、装置或成套设备。注:控制系统与是分开的并且是截然不同的。来源:,犈犝犆控制系统犈犝犆犮 狅 狀 狋 狉 狅 犾狊 狔 狊 狋 犲犿由传感器、电子控制单元和执行机构三部分组成的控制系统。系统软件狊 狔 狊 狋 犲犿狊 狅 犳 狋 狑犪 狉 犲可编程电子系统的软件的一部分,涉及可编程装置自身的功能和提供的服务。而不像应用软件那样规定执行安全相关任务的功能。来源:,应用软件犪 狆 狆 犾 犻 犮 犪 狋 犻 狅 狀狊 狅 犳 狋 狑犪 狉
7、 犲应用数据犪 狆 狆 犾 犻 犮 犪 狋 犻 狅 狀犱 犪 狋 犪配置(组态)数据犮 狅 狀 犳 犻 犵 狌 狉 犪 狋 犻 狅 狀犱 犪 狋 犪可编程电子系统的软件的一部分,规定了执行相关任务的功能而不是可编程装置自身的功能和提供的服务。来源:,犌犅犜 可编程电子狆 狉 狅 犵 狉 犪犿犿犪 犫 犾 犲犲 犾 犲 犮 狋 狉 狅 狀 犻 犮 狊;犘犈以计算机技术为基础,可以由硬件、软件及其输入和(或)输出单元构成的微电子装置。注:这个术语包括以一个或多个中央处理器()及相关的存储器等为基础的微电子装置。可编程序(逻辑)控制器狆 狉 狅 犵 狉 犪犿犿犪 犫 犾 犲(犾 狅 犵 犻 犮)犮
8、狅 狀 狋 狉 狅 犾 犾 犲 狉;犘犔犆一种用于工业环境的数字式操作的电子系统。这种系统用可编程的存储器作面向用户指令的内部寄存器,完成规定的功能,如逻辑、顺序、定时、计数、运算等,通过数字或模拟的输入输出,控制各种类型的机械或过程。可编程序(逻辑)控制器及其相关外围设备的设计,使它能够非常方便地集成到工业控制系统中,并能很容易地达到所期望的所有功能。注:在本文件中使用缩写词代表可编程序(逻辑)控制器(),这在自动化行业中已形成共识。原来曾用作为可编程序(逻辑)控制器的缩略语,它容易与个人计算机所使用的缩略语相混淆。来源:,可编程控制系统狆 狉 狅 犵 狉 犪犿犿犪 犫 犾 犲犮 狅 狀 狋
9、 狉 狅 犾 犾 犲 狉狊 狔 狊 狋 犲犿用户根据所要完成的自动化系统要求而建立的由可编程控制器及其相关外围设备组成的配置。注:系统包括,但不限于:)可编程控制系统包括分布式控制系统()、可编程序(逻辑)控制器()、智能电子设备()、监视控制与数据采集()系统、运动控制()系统、网络电子传感和控制、监视和诊断系统,在本文件中,不论物理上是分开的还是集成的,过程控制系统()包括基本过程控制系统和安全仪表系统();)相关的信息系统,例如先进控制或者多变量控制、在线优化器、专用设备监视器、图形界面、过程历史记录、制造执行系统()和企业资源计划()管理系统;)相关的部门、人员、网络或机器接口,为连续
10、的、批处理、离散的和其他过程提供控制、安全和制造操作功能。来源:,安全相关系统狊 犪 犳 犲 狋 狔 狉 犲 犾 犪 狋 犲 犱狊 狔 狊 狋 犲犿执行所要求的安全功能()使()达到或保持安全状态的系统,自身或与其他安全相关系统、其他风险降低措施一起,能够实现要求的安全功能所需的安全完整性。注:安全相关系统与其他风险降低措施一起,实现必要的风险降低量,以满足所要求的可容忍风险。参见 中附录。注:安全相关系统能在检测到可导致危险事件的情况时采取适当的动作以防止进入危险状态。安全相关系统的失效包含于导致危险的事件中。尽管可能存在具备安全功能的其他系统,但所指定的安全相关系统仅靠其自身能力达到要求的
11、可容忍风险。安全相关系统一般被分为安全相关控制系统和安全相关保护系统。注:安全相关系统是控制系统的组成部分,也能用传感器和或执行器与连接。即能通过控制系统(也可能通过分开的和独立的附加系统)或者利用分开的、独立的、安全专用的安全相关系统执行安全功能达到要求的安全完整性等级。注:安全相关系统能:)用于防止危险事件发生(即安全相关系统一旦执行其安全功能则避免伤害事件发生)。)用于减轻伤害事件的影响,即通过减轻后果的办法来降低风险。)同时具有)和)的功能组合。注:人也能作为安全相关系统的一部分。例如,人能接收来自可编程电子装置的信息,并根据接收信息执行安全动作,或通过可编程电子装置执行安全动作。犌犅
12、犜 注:安全相关系统包括执行规定安全功能所需的全部硬件、软件以及支持服务(如电源),因此,传感器、其他输入装置、最终元件(执行器)和其他输出装置都包括在安全相关系统中。注:安全相关系统基于广泛的技术基础,包括电气、电子、可编程电子、液压和气动等。冗余狉 犲 犱 狌 狀 犱 犪 狀 犮 狔对于执行一个要求的功能或对于表示信息而言,存在多于一种方法的机制。示例:功能元件加倍和增加奇偶校验位。注:冗余主要用于提高可靠性(在给定时间范围内功能正确的概率)或可用性(在特定时间点具有功能的概率),也能通过像 这样的架构来使误动作最小化。注:冗余可能是“活动的()”(所有冗余项同时运行)、“待机的()”(在
13、同一时间只有一个冗余项运行)、“混合的()”(在同一时间一个或几个项运行和一个或几个项待机)。安全功能和安全完整性 安全功能狊 犪 犳 犲 狋 狔犳 狌 狀 犮 狋 犻 狅 狀针对特定的危险事件,为实现或保持()的安全状态,由安全相关系统()或其他风险降低措施实现的功能。示例:在要求时执行的功能,作为一种主动行动以避免危险状况(如关闭电机)。示例:采取预防行为的功能(如防止马达启动)。安全完整性狊 犪 犳 犲 狋 狔犻 狀 狋 犲 犵 狉 犻 狋 狔在规定的时间段内和规定的条件下,安全相关系统()成功执行规定的安全功能()的概率。注:安全完整性越高,安全相关系统在要求时未能执行规定的安全功能或
14、未能实现规定的状态的概率就越低。注:有个安全完整性等级(见 )。注:在确定安全完整性时,包括所有导致非安全状态的失效原因(随机硬件失效和系统性失效),如硬件失效、软件导致的失效和电磁干扰导致的失效。某些类型的失效,尤其是随机硬件失效,能用危险失效模式下的平均失效频率或安全相关保护系统未能在要求时动作的概率来量化,但是安全完整性还取决于许多不能精确量化只可定性考虑的因素。注:安全完整性由硬件安全完整性(见 )和系统性安全完整性(见 )构成。注:本定义针对安全相关系统执行安全功能的可靠性(见 :可靠性的定义)。软件安全完整性狊 狅 犳 狋 狑犪 狉 犲狊 犪 犳 犲 狋 狔犻 狀 狋 犲 犵 狉
15、犻 狋 狔安全完整性()中,与软件造成的危险失效模式下的系统性失效有关的部分。系统性安全完整性狊 狔 狊 狋 犲犿犪 狋 犻 犮狊 犪 犳 犲 狋 狔犻 狀 狋 犲 犵 狉 犻 狋 狔安全完整性()中,与危险失效模式下的系统性失效有关的部分。注:系统性安全完整性通常不能量化(与通常可量化的硬件安全完整性明显不同)。硬件安全完整性犺 犪 狉 犱狑犪 狉 犲狊 犪 犳 犲 狋 狔犻 狀 狋 犲 犵 狉 犻 狋 狔安全完整性()中,与危险失效模式下的随机硬件失效有关的部分。注:本术语涉及在危险模式下的失效,是将削弱其安全完整性的安全相关系统的这类失效。与本术语有关的两个参数是危险失效平均频率和在要求
16、时动作失效的概率。前一可靠性参数在为保持安全而保持连续控制时使用,后一可靠性参数在安全相关保护系统场合中使用。犌犅犜 安全完整性等级狊 犪 犳 犲 狋 狔犻 狀 狋 犲 犵 狉 犻 狋 狔犾 犲 狏 犲 犾;犛 犐 犔一种离散的等级(个可能等级之一),对应安全完整性量值的范围。安全完整性等级是最高的,安全完整性等级是最低的。注:个安全完整性等级对应的目标失效量(见 中 )参见 中表和表。注:安全完整性等级用于规定分配给安全相关系统安全功能的安全完整性要求。注:安全完整性等级()并非系统、子系统、组件或元器件的属性。对“狀安全相关系统”(狀、)的正确解释是系统具有支持安全功能的安全完整性等级达到
17、狀的潜在能力。可编程控制系统内生安全体系架构 概述可编程控制系统的系统架构与内生安全部署如图所示,主要包括可编程电子模块或工业控制系统、实时工业网络、安全增强控制软件平台部分,通过组合部署或分层递阶,可构成嵌入式可编程控制器单机系统、模块式工业控制系统及分布式计算机控制系统,分别满足小型、中型及大型工业装备、工业装置及工业系统的自动化需要。内生安全包括信息安全和功能安全,其中信息安全包括认证授权、黑白名单、数据加密、权限控制等。图可编程控制系统的系统架构与内生安全部署图犌犅犜 可编程控制系统内生安全特性 可编程控制系统的完整性保障可编程控制系统硬件资源、软件环境与应用程序应具有完整性保障检测与
18、保护措施。注:该保护措施能监测可编程电子部件的硬件功能、配置信息、固件程序等静态完整性。注:该保护措施能监测进程列表、堆栈数据、全局符号表等系统资源,构建安全进程与资源列表,及时发现代码注入、堆栈溢出、数据篡改等异常行为。注:该保护措施能制定线程及资源的创建、分配、回收等进程调度安全策略,实现安全进程与资源列表的动态维护。注:控制器内核架构及资源受限访问控制与应用隔离机制,能拦截非法跨进程资源访问请求,实现运行空间的隔离与保护。应用程序的全生命周期安全保护应用程序编辑、编译、发布、运行、维护等应具有全生命周期的安全保护。注:应用程序的多样化生成方法包括动态多样化混淆编辑、异构等价二进制数据动态
19、生成等方法。注:通过构建应用程序文件的安全存储与发布系统,实现应用程序文件完整性校验与传输方法。注:结合基于时间多变性、空间多样性等动态轻量加密方法,实现被攻击视图的动态随机化分配与非明文表达。可编程控制系统的综合诊断与高可用实现可编程控制系统的综合诊断与表决冗余等方法,应保障控制器的高可用性。注:综合诊断方法包括控制系统模件模块功能电路的随机失效与安全威胁综合诊断、故障隔离与在线修复等。注:控制器组件或模块的在线配置、在线诊断、联机调试等方法,能设计随机失效与安全威胁在线综合诊断技术,实现故障或失效的自动识别及快速定位。注:结合硬件部件、操作系统、工程程序运行空间分布、算法调度等异构多样化方
20、法,通过控制运算节奏同步与数据同步及异构多模冗余表决,能实现异构动态与冗余容错,保障控制装备的高安全性与高可用性。可编程控制系统工业网络 控制网络的安全机制控制网络信息的安全传输,应确保数据的机密性、完整性、安全性。控制网络与现场总线安全监测与异常预警控制网络与现场总线安全监测与异常预警应通过数据流场景序列关联分析、数据包分类基线检测、控制系统编程时或运行时的网络行为分析等技术实现。注:基于控制网络与现场总线协议的深度理解,通过通信包完整性分析、数据字段合法性监测等方法,能实现非法数据包的检测与过滤。可编程控制系统的应用软件开发与运行平台 总体架构应用软件开发与运行平台的总体架构示意图如图所示
21、,图左侧为不同层次的硬件平台,主要运行工程师站图形组态与控制编程软件、操作员站实时监控软件、控制器或控制站实时控制软件等,通过系统网络交互各种数据、管理和控制信息,协调一致地完成整个控制系统的各种功能;主要功能包括现场数据采集、算法执行、实时数据和历史数据处理、报警和安全机制、流程控制、动画显示、趋势曲线和报犌犅犜 表输出以及监控网络等。图应用软件开发与运行平台的总体架构示意图 监控操作功能 用户权限管理用户登录权限管理,应建立用户权限授权管理机制。注:通过构建授权管理组,管理组仅能实现用户权限的建立、管理、授权和变更,但无操作权限。注:用户登录安全管理机制的建立能实现用户授权密码复杂性、差异
22、性、使用期限、尝试次数、单操作站工程师站登录绑定、登录主动退出、无操作超时自动退出等安全功能。注:用户身份信息的轻量标识方法能实现动态轻量加解密策略,进而实现快速身份识别。注:用户权限分配方法能实现授权链安全管理与查询优化策略,进而实现快速用户权限鉴别。监控操作运行模块监控操作运行模块应实现人机交互画面的动态显示与操作管理。基于实时数据库应实现画面显示、在线操作、趋势曲线、报警处理等图形化监视功能;用户操作安全区与系统软件功能区的授权配置,应支持安全区与功能区操作的访问受控;基于实时数据库逐点权限访问控制、图形操作单元权限访问控制、图形操作单元关键数据输入值的范围限制与关键数据二次确认,应保证
23、关键操作的访问受控。注:按周期记录或变差记录能生成历史数据序列。注:依据设置的报警条件,能生成实时数据事件报警记录,同时能支持多种报警响应处理。注:依据报表组态信息生成报表记录,能形成报表管理系统。监控操作生成模块监控操作生成模块应实现流程画面绘制组态,提供丰富的图库和图元库,应满足基本工程组态需求,同时应支持工程师自行开发所需图库。画面图元应支持动态链接,建立画面的图素与数据库记录点的对应关系;应支持事件定义,执行写值、执行脚本等预定义的动作;应支持画面模板制作,减少重复组态相同布局的画面,减少组态工作量。犌犅犜 用户操作权限管理应支持用户操作安全区与系统软件功能区的多级多组授权配置;应支持
24、实时数据库逐点权限访问控制、图形操作单元权限访问控制、图形操作单元关键数据输入值的范围限制与关键数据二次确认机制。注:工程程序与运行数据所采用的分级动态轻量加密方法,能适应工业场景安全性与可用性多级多样的需求。注:数据完整性校验和动态恢复方法能实现关键数据代码的安全存储与周期性校验,确保非法篡改的及时发现与快速恢复。监控操作脚本语言模块监控操作脚本语言模块应提供监控操作脚本语言,通过脚本应实现画面显示计算、画面动态响应、画面操作相关的数值计算与逻辑操作等功能。注:模块能自动检测脚本中错误的位号或语法并实现错误定位。注:模块能结合用户操作权限管理配置信息,识别审核安全区与功能区、数据点与图形单元
25、等非授权操作。基于网络的远程操作信息的审计模块基于网络的远程操作信息的审计模块应基于远程操作相关授权与配置信息,审计相关操作。软件环境升级代码安全保护模块软件环境升级代码安全保护模块应支持引导程序或软件环境升级代码的安全保护。应用程序编程功能 应用程序编程模块控制算法编辑器用于生成控制系统所有应用程序,应包括连续控制、逻辑控制、顺序控制、特殊处理算法等控制策略,应符合 中、和 控制编程语言及其混合编程规范,支持算法离线编辑、离线仿真、在线编辑、在线监视等状态;应支持基本数学操作、逻辑操作、信号发生器、控制策略等主流基本算法块,覆盖通用控制策略与行业专有控制的不同需求;应支持用户自定义子程序,封
26、装后类似系统算法块,可以被用户程序调用;应支持程序、子程序导入导出,实现一次编辑重复利用;应支持根据链接关系自动排序算法块;应支持手动干预算法块运行顺序,实现运行时序的精确控制。注:工程程序算法编辑器区分安全工程程序与非安全工程程序,安全程序编辑中有且仅有通过功能安全规范认证的安全相关算法块能选择与编辑,分别生成安全工程程序文件与非安全工程程序文件,并在程序文件中附加程序完整性校验信息。注:用户安全工程程序能进行错误检查与编译生成,其中错误检查包括非法数据源、非法算法块、无效算法链接与无效数据链接、逻辑死循环、冗余版本一致性检查、控制周期合规性、运算负荷预计过高等。应用程序生命周期安全管理机制
27、应用程序编辑、编译、发布、运行、更新应具有全生命周期安全管理机制。注:基于控制算法编程规则的人为失误审核、基于哈希函数(、等)等的工程程序源码,及工程程序目标码的完整性检测、最小化安全相关算法功能块集合等的安全相关措施,能实现控制算法编辑器的存储介质随机失效、控制算法编辑器软件设计缺陷、人为恶意篡改等的安全防范。注:用户项目工程密码授权、工程程序页密码授权能防范非授权工程程序访问。注:基础元件、单元设备、行业装备等工程特性的抽取,典型控制工程的模型库、方法库、界面库等的逐级构建,能实现信息物理系统智能封装与流程可信重构;集成、派生、重用、重构机制能实现工程程序的自动生成与行业流程的复用重构,防
28、范关键控制程序与核心工艺参数的篡改与泄露。犌犅犜 实时控制功能实时控制模块包括控制运算处理单元与网络通信及安全防护处理单元,控制运算处理单元实现输入输出扫描、实时数据库更新、控制程序运行、控制模块诊断与冗余处理;网络通信及安全防护处理单元应实现系统网络通信和信息安全防护功能,支持工程文件的诊断审核与解析转发、工程程序运行监视信息转发等功能。控制运算处理单元应通过控制模块私有内部总线连接网络通信及安全防护处理单元,实现数据交换与安全隔离。注:控制运算处理单元通过总线连接模块、模块、模块、模块和其他特殊模块(模块、模块、模块、模块分别具有数据采集、数据处理、故障诊断等功能),以及控制网络状态、实时
29、数据响应、控制运算输出及其硬件诊断信息等,能实现控制单元及其冗余组件的综合诊断与冗余切换。注:网络通信与安全防护处理单元能通过系统网络实现操作站与工程师站的数据交互。注:控制模块具有硬件诊断与软件诊断功能,能满足功能安全认证等级;其中硬件诊断功能包括供电电路过欠压诊断、关键硬件器件等,软件诊断功能包括内核诊断、诊断、诊断、通信超时诊断等。注:实时控制软件初始化能实现控制模块硬件环境资源的自检诊断、控制软件固件版本信息完整性自检、用户安全应用程序的审核诊断(非法数据源、非法算法块、无效算法链接与无效数据链接、逻辑死循环、冗余版本一致性检查、控制周期合规性、运算负荷预计过高等)。注:控制引擎能实现
30、安全功能程序的解释运行,安全功能程序仅包括安全型算法块及其链接关系;能支持安全功能程序的工程师站在线监视功能、单向封装单向传输所需要的算法块实时数据信息;能根据需要确定是否支持算法参数与常数的在线修改、算法块及其链接的在线编辑、安全控制站与安全控制站安全控制站与非安全控制站间的相互通信与站间引用。注:运行态运行编程态编程态的硬件系统安全锁或安全系统安全锁能支持控制模块运行态、运行与编程态、编程态的种工作模式:在运行态,操作站和工程师站能通过监控软件监视安全相关数据与状态,受控禁止能更新安全程序与安全参数,且能关闭连锁安全状态设置;运行与编程态是在运行态操作授权的基础上,能浏览安全程序、监视安全
31、程序算法块的运行状态,其他安全编辑功能被禁止;在编程态,能编辑安全程序与安全参数,支持安全程序的离线仿真,安全程序经审核后,能下装更新与重载运行。事件记录功能事件记录功能应支持可编程控制系统相关编程、操作、运行事件的记录。注:操作事件的记录及查询功能,能支持基于用户自定义配置对象及操作,通过时间、模块、用户等信息查询操作事件;能支持配方事件的记录及查询,配方事件是产品配方在生产过程中所产生的事件记录信息;能支持顺序事件响应的记录及查询,结合时钟服务器,精确记录设备跳变的事件;能支持过程事件的记录及查询,过程事件是某一工艺在生产过程中所产生的事件记录信息。注:安全相关关键参数与数据的受控可靠记录
32、,能保证数据清晰、可读、易懂、可追溯,确保完整地重现数据产生的步骤和顺序;数据操作审计能防范并发现对安全相关关键参数与数据有意或无意篡改、删除、替换等不规范的操作,包括系统配置及时间戳的修改。注:审计追踪能安全地记录关键数据的生命周期细节,如在记录中创建、补充、删除或变更信息,同时保留原始记录。注:事件记录功能能支持所有事件记录点单向导出至第三方格式,如,进行分析、存档,同时能支持事件记录打印。犌犅犜 参考文献 可编程序控制器第部分:通用信息 电气电子可编程电子安全相关系统的功能安全第部分:一般要求 电气电子可编程电子安全相关系统的功能安全第部分:电气电子可编程电子安全相关系统的要求 电气电子可编程电子安全相关系统的功能安全第部分:定义和缩略语 电气电子可编程电子安全相关系统的功能安全第部分:确定安全完整性等级的方法示例 :():犌犅犜
浙公网安备33021202000488号 | 
浙ICP备2021020529号-1 浙B2-2024(办理中) 
