1引言

随着现代工业技术的发展，工业化与信息化不断融合，工业控制系统越来越采用通用通信协议和软硬件系统，以各种方式接入网络，打破了这些系统原有的封闭性和专用性，导致病毒、木马等安全威胁迅速蔓延到工业控制领域。工业控制系统面临的信息安全问题日益严重，呈现出许多传统IT系统的不同特点。核电厂作为国家关键基础设施，是关注的核心和重中之重。仪表控制系统作为核电厂的神经中心，是关键的数字资产，是关键的保护对象。仪表控制系统从功能安全的角度有完整的法律、标准和技术。如何在不降低安全的情况下考虑加强信息安全，需要提出协调功能安全和信息安全的整体框架。

2安全与网络安全协调要求

2.1基本原则

数字仪表控制系统的整体结构水平应考虑以下原则：（1）网络安全措施不应影响核电厂的安全目标。网络安全措施不应损害仪表控制系统架构的多样性和深度防御的有效性。（2）首先遵循IEC61513要求首次分配仪器控制系统功能，设计仪器控制系统架构，然后考虑可能影响整个系统架构的网络安全要求。通过迭代设计过程，整合了可能影响系统架构的网络安全要求。（3）网络安全功能不得对重要安全功能所需的性能、有效性、可靠性和可操作性产生不利影响。（4）重要安全系统增加的网络安全特征应分析失效模式和后果，并考虑预防、控制或缓解措施.（5）当两种架构设计具有相同等级的安全性时，优先考虑具有网络安全特性的设计。但应避免不必要的复杂设计，因为复杂设计不利于功能安全和网络安全。

2.网络安全区划分原则

为了更有效地实施分级方法，需要将仪表控制系统中基于计算机和数字逻辑的系统划分为几个安全区域，分级保护原则适用于每个安全区域。该区域允许将在安全和设备功能方面具有类似重要性的系统分为一组，以管理和应用保护措施。定义安全区域的标准可能包括组织问题、本地化、架构或技术。网络安全区域的划分应考虑以下原则：（1）网络安全区域的划分应考虑和利用为加强安全目的而引入的独立性和物理隔离要求；（2）网络安全区域的划分应考虑数据通信、地理/物理隔离和独立性；（3）除非能从网络安全的角度有效过滤和监控隔离之间的通信，否则由多个子列组成的仪表控制系统应划分为同一网络安全区域。

2.3共因故障处理原则

在某些情况下，共因故障的措施有利于防范网络安全。具体情况应由负责网络安全的人员根据特定场景中可能发生的恶意攻击和潜在威胁进行评估。网络安全防范采用多种手段，需要具体分析利弊。串联可以增加网络安全效果，但会引入复杂性；并联可能会增加系统接入路径和漏洞。对于集成到系统中的网络安全防范措施，应分析可能在多样性系统之间引入共因故障的潜在风险。当存在风险时，应考虑替代措施，以确保充分的网络安全，降低共因故障的风险。

2.4隔离原则

在某些情况下，隔离设计也可用于网络安全防范。负责网络安全的人员应根据现场进行分析，并采取隔离措施促进安全防范。功能安全相关标准对支持A类功能的控制系统的独立性提出了要求，有利于网络安全，应对具体场景进行评估和验证，以便将这些措施纳入网络安全防范。这些控制系统的独立性要求包括：（1）特别注意同时用于控制系统（无论其类别）的A类信号。这是因为传感器故障会导致控制系统的测量值超过要求的允许值，并产生不安全的控制动作，并计划保护系统检测不安全工况。（2）保护系统和控制系统应设计为以下相似之处：对于两个系统之间传输的信号，假设单个故障包括继续故障，不能引起事故或要求安全行动，也不能导致A系统不可接受的降级。（3）当A系统中的单个随机故障及其后续故障可导致控制系统动作，即使有第二个随机故障降级A系统，A类系统仍应具备提供安全动作的能力。应采取措施，无论任何原因，包括测试或维护目的，使部件或旁通或退出运行，系统都应满足此要求。（4）即使有效旁通，传感器和设备也具有测试证据证明的高可靠性，提供控制信号的保护系统也需要进行比较和证明。如果在维护过程中采用了适当的旁通措施，故障安全设备和故障传感器自动检测系统可以满足要求。

3结语

在核电厂仪表控制系统的设计中，考虑到功能安全和信息安全的协调要求，使仪表控制系统在保证安全的同时具有适当的信息安全特性，为保证电站网络攻击提供了有力保障。