基于云的安全標準中可用的指南

功能安全是安全的一部分，它涉及基于電氣/電子的系統(tǒng)在被要求時將執(zhí)行其安全相關(guān)任務(wù)的信心。

主要的非行業(yè)特定功能安全標準是IEC 61508。IEC 61508是一項基本安全標準。這是一個不針對特定部門的標準，可以針對其他部門進行調(diào)整。IEC 61508 的第一個發(fā)布版本于 1998 年發(fā)布，修訂版 2010 年發(fā)布，修訂版 2021 將于 11 年左右發(fā)布。在幾代人之間大約 <> 年的時間，我想安全會落后于技術(shù)并不奇怪，也許這就是安全應(yīng)該的方式。在這種情況下，一旦該技術(shù)在不太保守的功能中得到驗證，就可以將其移植到安全應(yīng)用中，在那里它可以提高實現(xiàn)的安全水平或促進新的應(yīng)用。

從IEC 61508衍生出許多行業(yè)特定標準，包括下面顯示的一些標準，但還有一些綠色顯示的標準，雖然不是從IEC 61508衍生出來的，但堅持相同的原則。

根據(jù)IEC 61508的安全基礎(chǔ)是安全功能。安全功能是由系統(tǒng)實現(xiàn)的功能，旨在使系統(tǒng)進入安全狀態(tài)以防止特定危險事件。安全功能的示例包括

如果有人靠得太近，請停止機器人

如果油箱有溢出的危險，請停止加油

在發(fā)生碰撞時展開安全氣囊

如果油箱中的壓力過高，請對油箱進行排氣

安全功能具有以下特性

安全狀態(tài)

達到安全狀態(tài)的最長時間

安全完整性等級 （SIL）

安全標準一般有3個關(guān)鍵規(guī)范，以滿足安全完整性等級要求。在所有情況下，不僅必須實現(xiàn)安全，而且還必須能夠為已經(jīng)取得的成就提供安全理由。通常需要對任何索賠進行獨立評估。這可能包括來自TUV或Exida等機構(gòu)的評估。

第一個要求是可靠。雖然可靠性不足以實現(xiàn)安全性，并且有可能用不可靠的組件構(gòu)建安全系統(tǒng)，但擁有良好的可靠性是一個很好的開始。如果組件意外、過早或過于頻繁地發(fā)生故障，則安全系統(tǒng)完成其安全相關(guān)任務(wù)的機會很小。

符合IEC 61508的功能安全有四個SIL（安全完整性等級），當您從一個級別升級到下一個級別時，安全性將大致提高一個數(shù)量級。對于每個，每小時都有最大允許故障概率達到危險狀態(tài)，如下所示。

SIL 1 < 1e-5/h

SIL 2 < 1e-6/h

SIL 3 < 1e-7/h

SIL 4 < 1e-8/h

大多數(shù)安全功能是使用三個基本子系統(tǒng)實現(xiàn)的，最大允許故障率的共同預(yù)算如下所示。

無花果。2. 典型安全系統(tǒng)的誤差預(yù)算分配，特別是在過程工業(yè)中發(fā)現(xiàn)的

組合的傳感器、邏輯和執(zhí)行器必須能夠在傷害發(fā)生之前將系統(tǒng)帶到安全狀態(tài)。

第二個要求來自這樣一個事實，即無論組件多么可靠，仍然存在一定程度的故障。希望很低，但也許還不夠低。因此，IEC 61508以冗余和最低診斷覆蓋率的形式提出了硬件容錯要求。該標準甚至允許在兩者之間進行權(quán)衡，以便SIL 3安全系統(tǒng)可以實施兩個通道，每個通道具有90%SFF（安全故障分數(shù) - 診斷覆蓋率的衡量標準）或單個通道具有99%診斷覆蓋率。

第三個關(guān)鍵要求與設(shè)計錯誤有關(guān)。設(shè)計錯誤在功能安全標準中被稱為系統(tǒng)錯誤。它們與隨機硬件錯誤的不同之處在于，如果出現(xiàn)某種情況，系統(tǒng)錯誤將導(dǎo)致 100% 概率的故障。系統(tǒng)誤差只能通過設(shè)計變更來修復(fù)。所有軟件故障都是系統(tǒng)故障。為了防止和捕獲此類錯誤，IEC 61508提倡一系列技術(shù)，包括設(shè)計審查，編碼標準的使用，考慮環(huán)境條件，如溫度和EMC以及最低能力水平。

云計算的基礎(chǔ)是在網(wǎng)絡(luò)上提供大量可配置的計算機，這些計算機可以在短時間內(nèi)提供給用戶和應(yīng)用程序。本文假設(shè)這組計算機可以通過互聯(lián)網(wǎng)獲得，但這些計算機也可能在本地私有云中可用，有時銀行可能沒有那么大。假設(shè)云由高速網(wǎng)絡(luò)支持。基于云的系統(tǒng)允許匯總和挖掘數(shù)據(jù)以查找隱藏信息。這些以前不可用的數(shù)據(jù)可以提供與生產(chǎn)力、磨損甚至網(wǎng)絡(luò)安全相關(guān)事件相關(guān)的見解。一些處理可能仍然在邊緣（在傳感器處）完成，以減少要導(dǎo)出到云的數(shù)據(jù)量，但這不在這里討論。

圖 3 - 基于云的安全系統(tǒng)概念

基于云的處理的優(yōu)勢包括：

云中的數(shù)據(jù)融合

云中可用的處理能力

云中的可擴展性

云中可用的更良性操作環(huán)境

電力的可用性不同于必須使用電池或能量收集

最后一個與功能安全的三個關(guān)鍵要求之一具有直接的功能安全相關(guān)性。

如前所述，大多數(shù)安全系統(tǒng)包括一個用于測量某物的傳感器、一個用于對感測值做出決定的邏輯塊和一個將系統(tǒng)置于安全狀態(tài)的執(zhí)行器。云中最有可能的安全情況是，傳感器和執(zhí)行器仍作為邊緣節(jié)點，邏輯塊位于云中，在那里可以獲得更多的處理能力、存儲和組合來自邊緣節(jié)點的數(shù)據(jù)的能力。這與當今的安全系統(tǒng)形成鮮明對比，在當今安全系統(tǒng)中，簡單性為王，本地安全系統(tǒng)占主導(dǎo)地位。

為了舉一個具體的例子，讓我們想象一個符合ISO 10218系列的機器人應(yīng)用。假設(shè) 3D TOF 傳感器安裝在機器人上或附近。它不是對數(shù)據(jù)做出本地決策，而是傳輸?shù)皆贫?，強大?a target="_blank">處理器分析圖像以確定受保護空間中是否有任何物體。然后，處理器對這些物體進行分類，以查看它們是人類還是支撐柱，以及它們是否朝哪個方向行進，然后在必要時向機器人發(fā)送停止命令。也許使用云，來自工廠周圍其他機器人上的多個傳感器的數(shù)據(jù)可以以某種方式聚合，以實現(xiàn)更高級的安全決策;包括知道地板上只有三個操作員，他們都在其他地方被計算在內(nèi)。它甚至可以知道哪些操作員接受過機器人安全方面的專門培訓(xùn)，因此比其他操作員的風(fēng)險要小一些，但根據(jù)數(shù)據(jù)隱私法，這可能會很麻煩。從理論上講，它甚至可以了解各個操作員的特征，從而進一步縮短安全距離，而不是使用ISO 13855的距離。

云端基于機器人的安全性有點牽強，但其他領(lǐng)域，如過程控制、輸配電、鐵路行業(yè)和交通信號燈，這些領(lǐng)域已經(jīng)在很大程度上是分布式系統(tǒng)。然而，許多看起來不分散的在未來會成為分布式的，例如汽車和醫(yī)療。隨著技術(shù)發(fā)展的步伐，包括5G的出現(xiàn)，很難想象其中任何一個何時可能需要云中的安全。但如今，技術(shù)的步伐似乎比預(yù)期的要快。

其中一些系統(tǒng)可能包括最大 100 MS 的最大處理時間，更短的時間更有利，因為您可以允許人類靠近并且仍然有信心在接觸之前停止機器人。機器人應(yīng)用程序的過程安全時間比用于檢查過程工業(yè)中油箱過度填充的東西要短得多，但更艱難的情況在這里可用于暴露問題。

最后，我們來看看標準中目前有哪些指導(dǎo)。雖然在當前的安全標準中沒有特定于新技術(shù)（如云）的內(nèi)容，但一些可用信息可以解釋為適合手頭的問題。本節(jié)介紹一些相關(guān)的指南。

從網(wǎng)絡(luò)指導(dǎo)開始。IEC 61508提倡采用黑通道方法保護網(wǎng)絡(luò)，并參考IEC 61784-3和IEC 62280系列。在黑色通道方法中，網(wǎng)絡(luò)中使用標準組件，包括所有網(wǎng)橋和網(wǎng)關(guān)，并且使用兩端的SCL（安全通信層）確保安全。

圖 4 - 來自 IEC 62425 的威脅和防御

SCL 需要針對每個威脅實施至少一種指示的防御措施。IEC 62425繼續(xù)指出各種類別的傳輸系統(tǒng)，并根據(jù)類別在防御方面付出的努力。任何涉及云的事情都意味著一個3類傳輸系統(tǒng)，因為它是在公共場合發(fā)布的，因此所有措施都需要積極實施。

黑色通道和云之間的區(qū)別在于，在正常的黑色通道中，您試圖證明離開傳輸節(jié)點的數(shù)據(jù)以正確的順序及時到達接收節(jié)點。使用云模型，您擁有網(wǎng)絡(luò)，您擁有標準的安全組件，但云的全部意義在于它應(yīng)該以某種方式修改數(shù)據(jù)。這就是黑色通道類比被打破的地方。但是，如果您將上行鏈路和下行鏈路視為單獨的管道，您仍然可以應(yīng)用黑色通道方法。

接下來，讓我們看看有哪些網(wǎng)絡(luò)安全指南可用。如果你不安全，那么你就不可能安全。IEC 61508功能安全標準參考IEC 62443，用于所有網(wǎng)絡(luò)安全問題。該標準依賴于基于區(qū)域和管道模型的網(wǎng)絡(luò)分段，并且在之前的博客中已經(jīng)介紹過，所以我不會在這里詳述它，只是說與遠程云服務(wù)器通信的系統(tǒng)可能需要達到SL（安全級別）3。

關(guān)于硬件可靠性要求，每個 SIL 都帶有最大 PFH（或 PFD）。對于SIL 3，允許的最大PFH為1e-7 / h。典型的誤差預(yù)算是傳感器的35%，邏輯的15%，執(zhí)行器的50%。在這種情況下，云是邏輯。從這15%的預(yù)算到邏輯，1%分配給傳感器與云以及云和執(zhí)行器之間的網(wǎng)絡(luò)。這 1% 表示 SIL 1 的故障率為 9e-3/h。通常，每小時的實際網(wǎng)絡(luò)危險故障率是 BER（誤碼率）、每個數(shù)據(jù)包的位數(shù)、每小時的數(shù)據(jù)包數(shù)和用于檢測消息中的錯誤的 CRC 的漢明距離的函數(shù)。我相信以前的博客已經(jīng)涵蓋了這個主題。

邏輯的 15% 相當于 SIL 15 安全功能每小時 15 FIT （9e-3/h） 的最大危險故障率。假設(shè)云公司使用非?？煽康姆?wù)器，并且可以訪問良好的故障率信息。因此，應(yīng)該可以計算服務(wù)器的故障率λ，并使用普遍接受的保守假設(shè)，即故障將是50%安全的50%危險來推斷λS和 λD分別。此后，可以使用在線診斷，甚至傳感器或執(zhí)行器塊中的看門狗定時器來得出較低的危險未檢測到故障率λ的從 LD基于診斷覆蓋范圍 DC。如果每小時危險故障率的計算概率仍然太高，則使用 1oo2 或 2oo3 架構(gòu)可能會暗示某種冗余。我注意到特斯拉的獵鷹系列火箭使用冗余配置的標準服務(wù)器來實現(xiàn)高水平的可靠性，如果單個服務(wù)器的可靠性不足，可以使用類似的方法。

實現(xiàn) SIL 需要一定程度的可靠性和容錯能力，但還需要采取措施防止系統(tǒng)（設(shè)計）錯誤。系統(tǒng)錯誤會影響硬件和軟件。防止系統(tǒng)錯誤的一個很好的保護措施是通過使用分集，可以使用兩個不同的SIL 2系統(tǒng)來聲稱SIL 3級別的系統(tǒng)能力。對于云中的邏輯，主要關(guān)注點是軟件，文獻和標準中描述了許多技術(shù)來實現(xiàn)高完整性軟件以及高完整性軟件獨立于在同一CPU上運行的低完整性軟件。雖然有論文表明Linux和Windows操作系統(tǒng)是安全認證的，但最好運行軟件裸機并實施安全認證的虛擬機管理程序或RTOS以獲得所需的獨立性。從理論上講，甚至可以在云中使用FPGA，現(xiàn)在一些云提供商提供了這種功能。在這種情況下，IEC 61508-2：2010 附錄 F 表 F.1 和表 F.2 將分別與 FPGA 供應(yīng)商和為 FPGA 編寫應(yīng)用程序 HDL 的人員相關(guān)。其他解決方案可能包括在云中運行高性能軟件，并在邊緣運行更簡單的健全性檢查器，以檢查云軟件的結(jié)論是否達到安全極限。嚴格來說，這不是云中的安全，因為安全的主要保證是本地更簡單的安全系統(tǒng)。

在云中運行軟件的一個很好的理由可能是訪問AI/機器學(xué)習(xí)。經(jīng)常讓人們感到驚訝的是，IEC 61508 中對在安全功能中使用人工智能有限制。此外，改變這種狀況的意愿似乎微乎其微。該限制可在IEC 61508-3：2010表A.2中找到。限制的理由不僅是缺乏對該主題的知識，而且是人工智能的非確定性。很難解釋為什么基于人工智能的系統(tǒng)采取了特定的行動方案，并且?guī)缀鯖]有信心相信它會在相同的輸入下再次做出相同的反應(yīng)。兩者都是安全工程師的詛咒。在汽車領(lǐng)域，許多公司將人工智能視為實現(xiàn)自動駕駛的手段，但隨著人工智能的使用和代碼庫的龐大規(guī)模，證明它是安全的似乎依賴于測試，而不是使用基于功能安全標準的嚴格開發(fā)過程。人們經(jīng)常承認，使用測試來證明軟件是正確的是不可能的，現(xiàn)在的論文似乎顯示了以90%的置信度證明基于人工智能的安全系統(tǒng)至少與人類駕駛員一樣安全所需的測試量。我相信這個數(shù)字是800億英里的真實駕駛。

正如我在引言中所說，很少有關(guān)于使用云等新技術(shù)來實施安全系統(tǒng)的內(nèi)容。然而，考慮到可能的好處，這一立場最終必須改變。也許IIoT，物聯(lián)網(wǎng)，智能工廠，智能城市，智能電力網(wǎng)絡(luò)領(lǐng)域發(fā)展如此之快，并且是目標豐富的環(huán)境，以至于沒有時間考慮安全性，而是將其留給傳統(tǒng)手段來實現(xiàn)。鑒于安全標準平均每10年才會發(fā)生變化，因此標準中的指導(dǎo)總是落后于曲線。例如，在自動駕駛中就是這種情況，大多數(shù)大公司似乎都試圖在沒有ISO 26262的情況下進行。他們能否成功地說服公眾和監(jiān)管機構(gòu)相信他們的安全還有待觀察。對于工業(yè)應(yīng)用，仍然可以通過解釋新領(lǐng)域的標準來應(yīng)用IEC 61508。由于IEC 61508是一項基本安全標準，因此它旨在以這種方式工作，并聲明合規(guī)性，您只需遵守適用的要求。與規(guī)定性標準相比，基于目標的目標在如何實現(xiàn)安全方面提供了更大的靈活性。

審核編輯：郭婷