3.2　功能安全概述

功能安全是指在出现直接或间接的因财产或环境损害而造成人身伤害或健康损害的、不可接受风险的情况下，系统的运行状态。越来越多的工业设备和系统结合了硬件、软件和连接性，实现感知和控制公共空间、工厂、办公室和家庭中的物理世界。许多这样的系统如果没有设计功能安全机制，将潜在风险降低到可容忍的水平，将可能会对人类、动物或环境造成危害。现代互联系统中的危害不仅仅是无意的系统缺陷和随机故障，也源于恶意攻击者故意操纵系统。工业控制系统故障通常会对工业生产制造企业的员工和周围环境的安全产生负面影响，物理因素（如爆炸、撞车）、触电、辐射或有毒化学物质释放可能导致功能安全问题。因此，功能安全往往是工业制造企业的首要任务，工业控制系统通常会提供专门的控制系统监控安全参数状态。此外，工业控制系统中的许多程序和制度都必须以功能安全第一为基础。

在工业互联网系统中，功能安全是一个非常重要的方面。工业互联网及其组成的系统管理各种安全关键过程，在工业互联网的整个生命周期中，必须考虑和分析功能安全，根据工业行业领域的不同，生产安全方面的监管可能要求使用风险评估流程为工业互联网构建目标功能安全保证能力。现有的功能安全标准可能适用不同领域（如核工业、轨道交通、医疗、汽车、装备制造、海事、机械和矿山行业的过程控制）的工业互联网系统。许多基于ISO 615081《电气/电子/可编程电子安全相关系统的功能安全》中确立的基本原则，并未明确说明具体行业应用与工业互联网的交叉关注点、架构、集成和与整个生命周期相关的功能安全问题。完整描述工业互联网功能安全目标和技术不在本书讨论范围内，此处仅介绍功能安全的基本特点。安全性是相关系统的一个紧急属性，对系统工程有两个主要方面的影响：

• 功能安全不是组合的——系统中每个组件的安全并不一定意味着系统的整体安全。

• 如果不能预测系统在某种情况下的行为，就无法预测系统在这种情况下的功能安全。

因此，在工业互联网的设计阶段，不仅必须强调功能安全的一般概念，而且还必须提供使系统集成商能够测量、预测和控制系统行为的机制。为了确保系统集成商保障系统的功能安全，设计人员还必须了解系统的预期行为，同时使用可以约束非预期行为的机制。功能安全可以通过主动和被动方式实现，主动方式通过添加组件调整系统行为确保系统安全，被动方式通过在一个进程周围添加保护措施确保没有任何授权实体可以从保护区域中逃逸。具体的技术机制包括但不限于以下几种。

• 支持独立功能安全的机制：功能安全组件是系统其他部分用来确保安全操作的功能，如汽车中的安全气囊、军用飞机的弹射座椅和核反应堆的自动关闭系统等。一般来说，不可能规定具体的功能安全特性，因为一个系统或环境的功能安全特性可能会导致另一个系统或环境的不安全行为。也就是说，每种具有功能安全要求的关键工业互联网系统，必须实现其安全要求和使用环境所需的功能安全特性。从架构方面出发，功能安全特性应尽可能地独立于系统的其余部分，从而简化系统安全验证过程，并允许系统集成商降低与确保安全系统行为相关的成本。

• 定义明确、验证完整和记录详尽的接口：工业互联网系统中使用的系统组件必须具有定义良好、经过验证和记录详尽的接口，系统集成商可以使用这些接口规范，以及证明组件符合其接口的证据，预测整个组合系统的突发行为。预测过程所关注的接口包括软件（如API）和相关的物理与处理特性，这些特性包括资源使用需求，以及组件在其预期环境中使用时的行为。组件制造商应提供任何用于验证组件符合其规范的依据或参考材料，从而有助于系统集成商预测两个或多个组件在组合时如何交互。

• 不同功能的强制分离和故障控制机制：不同功能的强制分离和故障控制组件制造商不能为组件行为提供完整的保证，因为测试不能涵盖所有可能发生的情况。此外，系统集成商可以选择使用可靠性较弱的组件控制成本，前提是这些组件不会被用于支持功能安全方面的关键功能；工业互联网系统集成商必须确保保障能力低的组件不会对功能安全产生负面影响，因此，工业互联网系统必须设计相关机制实现强制分离不同的功能和组件，这些强制机制必须隔离故障并防止不同系统组件之间的意外事件。意外事件包括：从另一个软件组件窃取CPU资源；破坏另一个程序的数据或指令的软件组件；控制网络中的设备对其他组件进行拒绝服务攻击并阻碍及时通信；传送带上的一罐液体溢出，使得机器附近的地板打滑，导致移动机器人失去牵引力；某型号的电动机，其消耗的功率超出预期值很多，从而使同一支路上的其他设备受到影响。

• 运行时监视和日志记录机制：工业控制过程是人类行为诉求的延伸，而人类对自动控制过程的认识却存在局限性。当工业互联网系统发生某种故障时，也蕴含人类认识的提升过程。收集和保存导致故障的事件链的机制可能有助于确定特定故障事件的根本原因，运行时监视和日志记录是收集和保存此类信息的一种方法。除了支持事故后的取证活动之外，运行时监视和日志记录还有助于防止事故的发生，运行时监视可以监测被监视的系统是否已进入或正趋向于不安全状态，并生成告警。一些系统配备了特殊的安全功能，可自动激活安全模式并响应此告警，这种安全模式旨在驱动系统进入安全状态，或者首先防止系统进入不安全状态（例如，核反应堆的自动停堆系统），运行时监视器可以触发这种模式发生更改。

虽然不同的工业部门早已确立了功能安全方法，但工业互联网的广泛应用却给传统功能安全技术带来了新的和独特的挑战：由于工业互联网攻击面增加，导致信息安全风险增加；工业互联网中的IT与OT融合更紧密；工业互联网场景中普遍的自治性和自组织性；工业互联网标准不断演变，以及面向多方介入的生产制造过程的监管能力缺失。