3) model of secure operating system
安全操作系统模型
5) system model/security management
系统模型/安全管理
6) Traditional Security Model
传统安全模型
补充资料:安全系统能否与控制系统结合的争论
但是通过采用现代化的、高集成度的处理技术,采用防火墙和主动诊断技术,在共同的环境中功能性地把控制和安全系统分开是完全可以保证安全的,也能够满足国际安全标准的要求。
一些供应商采用了吓唬用户的策略,他们暗示用户:把控制系统和安全系统结合到单一的可靠平台上将会使你的工厂处于“不安全”的状态。
一些反对控制和安全结合技术的典型争论是这样的:
“过程控制器不能被应用于安全保护功能。”这里指的不是设计用于安全应用、经过国际认可的认证机构(例如:T哣)认证的控制器和I/O模件,而是在安全应用中采用基本过程控制系统(BPCS)的控制器和I/O模件。
“如果你没有采用三重化冗余的系统,那你就是在增加自己的风险。” 从逻辑控制器的角度看,一个三重化、四重化,甚至五重化的模件冗余系统也并不意味着一定能够达到所需要的降低风险的要求。实际上如果你去检查一下已经安装的双重化或是三重化模件冗余的系统,你会发现许多传感器和终端执行元件没有达到SIL(安全完整性等级)的SIF(安全仪表功能)要求。这是非常令人担忧的,因为大多数系统故障都是由于现场设备引起的,而不是由逻辑控制器造成的。冗余只是带来了可用性,而不是可靠性;所有安全系统都具备一定程度的冗余。三重化模件冗余系统采用冗余来降低发生危险事故的可能性。采用更新的技术可以设计出没有危险事故、诊断覆盖率接近100%的可靠系统。
“把控制系统和安全系统结合在一起不是一种好的做法。” 但拥有双倍的工程工具,操作员界面,附加的系统元件以及全生命周期内双倍的培训、备品备件成本,肯定更不是好事情。在这类攻击组合系统的辩论中,有很重要的一点常常被忽视了——在大多数这类新系统中,你不需要把控制系统和安全系统结合到一起,因为这些系统都具有在同一个系统中实现过程控制和安全功能的能力;有些甚至可以在同一个控制器中实现,还具备自我管理的能力。
把控制系统和安全系统结合起来的理由
为什么要把安全和过程控制两个不同的领域结合在一起?因为这使最终用户可以在保持所需要的安全等级的同时减少费用。这样也可以在项目工程实施和测试阶段节约费用。例如在同一个系统中移动I/O点和在完全不同的系统之间移动I/O点,考虑到文档和设计等方面的影响,这项工作所需要的费用和工作量将会大大减少。
在系统调试阶段也会有其它方面的费用减少,因为整个完整的系统可以在受控的环境下进行预先测试,这样就不会导致两个相互隔离的不同系统运到现场后才第一次对接。这样的预先测试还可以增强用户对所采用系统的了解,因而可以提高整个解决方案的完整性。
一些供应商采用了吓唬用户的策略,他们暗示用户:把控制系统和安全系统结合到单一的可靠平台上将会使你的工厂处于“不安全”的状态。
一些反对控制和安全结合技术的典型争论是这样的:
“过程控制器不能被应用于安全保护功能。”这里指的不是设计用于安全应用、经过国际认可的认证机构(例如:T哣)认证的控制器和I/O模件,而是在安全应用中采用基本过程控制系统(BPCS)的控制器和I/O模件。
“如果你没有采用三重化冗余的系统,那你就是在增加自己的风险。” 从逻辑控制器的角度看,一个三重化、四重化,甚至五重化的模件冗余系统也并不意味着一定能够达到所需要的降低风险的要求。实际上如果你去检查一下已经安装的双重化或是三重化模件冗余的系统,你会发现许多传感器和终端执行元件没有达到SIL(安全完整性等级)的SIF(安全仪表功能)要求。这是非常令人担忧的,因为大多数系统故障都是由于现场设备引起的,而不是由逻辑控制器造成的。冗余只是带来了可用性,而不是可靠性;所有安全系统都具备一定程度的冗余。三重化模件冗余系统采用冗余来降低发生危险事故的可能性。采用更新的技术可以设计出没有危险事故、诊断覆盖率接近100%的可靠系统。
“把控制系统和安全系统结合在一起不是一种好的做法。” 但拥有双倍的工程工具,操作员界面,附加的系统元件以及全生命周期内双倍的培训、备品备件成本,肯定更不是好事情。在这类攻击组合系统的辩论中,有很重要的一点常常被忽视了——在大多数这类新系统中,你不需要把控制系统和安全系统结合到一起,因为这些系统都具有在同一个系统中实现过程控制和安全功能的能力;有些甚至可以在同一个控制器中实现,还具备自我管理的能力。
把控制系统和安全系统结合起来的理由
为什么要把安全和过程控制两个不同的领域结合在一起?因为这使最终用户可以在保持所需要的安全等级的同时减少费用。这样也可以在项目工程实施和测试阶段节约费用。例如在同一个系统中移动I/O点和在完全不同的系统之间移动I/O点,考虑到文档和设计等方面的影响,这项工作所需要的费用和工作量将会大大减少。
在系统调试阶段也会有其它方面的费用减少,因为整个完整的系统可以在受控的环境下进行预先测试,这样就不会导致两个相互隔离的不同系统运到现场后才第一次对接。这样的预先测试还可以增强用户对所采用系统的了解,因而可以提高整个解决方案的完整性。
说明:补充资料仅用于学习参考,请勿用于其它任何用途。
参考词条