基于云的安全标准中可用的指南

功能安全是安全的一部分，它涉及基于电气/电子的系统在被要求时将执行其安全相关任务的信心。

主要的非行业特定功能安全标准是IEC 61508。IEC 61508是一项基本安全标准。这是一个不针对特定部门的标准，可以针对其他部门进行调整。IEC 61508 的第一个发布版本于 1998 年发布，修订版 2010 年发布，修订版 2021 将于 11 年左右发布。在几代人之间大约 <> 年的时间，我想安全会落后于技术并不奇怪，也许这就是安全应该的方式。在这种情况下，一旦该技术在不太保守的功能中得到验证，就可以将其移植到安全应用中，在那里它可以提高实现的安全水平或促进新的应用。

从IEC 61508衍生出许多行业特定标准，包括下面显示的一些标准，但还有一些绿色显示的标准，虽然不是从IEC 61508衍生出来的，但坚持相同的原则。

根据IEC 61508的安全基础是安全功能。安全功能是由系统实现的功能，旨在使系统进入安全状态以防止特定危险事件。安全功能的示例包括

如果有人靠得太近，请停止机器人

如果油箱有溢出的危险，请停止加油

在发生碰撞时展开安全气囊

如果油箱中的压力过高，请对油箱进行排气

安全功能具有以下特性

安全状态

达到安全状态的最长时间

安全完整性等级 （SIL）

安全标准一般有3个关键规范，以满足安全完整性等级要求。在所有情况下，不仅必须实现安全，而且还必须能够为已经取得的成就提供安全理由。通常需要对任何索赔进行独立评估。这可能包括来自TUV或Exida等机构的评估。

第一个要求是可靠。虽然可靠性不足以实现安全性，并且有可能用不可靠的组件构建安全系统，但拥有良好的可靠性是一个很好的开始。如果组件意外、过早或过于频繁地发生故障，则安全系统完成其安全相关任务的机会很小。

符合IEC 61508的功能安全有四个SIL（安全完整性等级），当您从一个级别升级到下一个级别时，安全性将大致提高一个数量级。对于每个，每小时都有最大允许故障概率达到危险状态，如下所示。

SIL 1 < 1e-5/h

SIL 2 < 1e-6/h

SIL 3 < 1e-7/h

SIL 4 < 1e-8/h

大多数安全功能是使用三个基本子系统实现的，最大允许故障率的共同预算如下所示。

无花果。2. 典型安全系统的误差预算分配，特别是在过程工业中发现的

组合的传感器、逻辑和执行器必须能够在伤害发生之前将系统带到安全状态。

第二个要求来自这样一个事实，即无论组件多么可靠，仍然存在一定程度的故障。希望很低，但也许还不够低。因此，IEC 61508以冗余和最低诊断覆盖率的形式提出了硬件容错要求。该标准甚至允许在两者之间进行权衡，以便SIL 3安全系统可以实施两个通道，每个通道具有90%SFF（安全故障分数 - 诊断覆盖率的衡量标准）或单个通道具有99%诊断覆盖率。

第三个关键要求与设计错误有关。设计错误在功能安全标准中被称为系统错误。它们与随机硬件错误的不同之处在于，如果出现某种情况，系统错误将导致 100% 概率的故障。系统误差只能通过设计变更来修复。所有软件故障都是系统故障。为了防止和捕获此类错误，IEC 61508提倡一系列技术，包括设计审查，编码标准的使用，考虑环境条件，如温度和EMC以及最低能力水平。

云计算的基础是在网络上提供大量可配置的计算机，这些计算机可以在短时间内提供给用户和应用程序。本文假设这组计算机可以通过互联网获得，但这些计算机也可能在本地私有云中可用，有时银行可能没有那么大。假设云由高速网络支持。基于云的系统允许汇总和挖掘数据以查找隐藏信息。这些以前不可用的数据可以提供与生产力、磨损甚至网络安全相关事件相关的见解。一些处理可能仍然在边缘（在传感器处）完成，以减少要导出到云的数据量，但这不在这里讨论。

图 3 - 基于云的安全系统概念

基于云的处理的优势包括：

云中的数据融合

云中可用的处理能力

云中的可扩展性

云中可用的更良性操作环境

电力的可用性不同于必须使用电池或能量收集

最后一个与功能安全的三个关键要求之一具有直接的功能安全相关性。

如前所述，大多数安全系统包括一个用于测量某物的传感器、一个用于对感测值做出决定的逻辑块和一个将系统置于安全状态的执行器。云中最有可能的安全情况是，传感器和执行器仍作为边缘节点，逻辑块位于云中，在那里可以获得更多的处理能力、存储和组合来自边缘节点的数据的能力。这与当今的安全系统形成鲜明对比，在当今安全系统中，简单性为王，本地安全系统占主导地位。

为了举一个具体的例子，让我们想象一个符合ISO 10218系列的机器人应用。假设 3D TOF 传感器安装在机器人上或附近。它不是对数据做出本地决策，而是传输到云端，强大的处理器分析图像以确定受保护空间中是否有任何物体。然后，处理器对这些物体进行分类，以查看它们是人类还是支撑柱，以及它们是否朝哪个方向行进，然后在必要时向机器人发送停止命令。也许使用云，来自工厂周围其他机器人上的多个传感器的数据可以以某种方式聚合，以实现更高级的安全决策;包括知道地板上只有三个操作员，他们都在其他地方被计算在内。它甚至可以知道哪些操作员接受过机器人安全方面的专门培训，因此比其他操作员的风险要小一些，但根据数据隐私法，这可能会很麻烦。从理论上讲，它甚至可以了解各个操作员的特征，从而进一步缩短安全距离，而不是使用ISO 13855的距离。

云端基于机器人的安全性有点牵强，但其他领域，如过程控制、输配电、铁路行业和交通信号灯，这些领域已经在很大程度上是分布式系统。然而，许多看起来不分散的在未来会成为分布式的，例如汽车和医疗。随着技术发展的步伐，包括5G的出现，很难想象其中任何一个何时可能需要云中的安全。但如今，技术的步伐似乎比预期的要快。

其中一些系统可能包括最大 100 MS 的最大处理时间，更短的时间更有利，因为您可以允许人类靠近并且仍然有信心在接触之前停止机器人。机器人应用程序的过程安全时间比用于检查过程工业中油箱过度填充的东西要短得多，但更艰难的情况在这里可用于暴露问题。

最后，我们来看看标准中目前有哪些指导。虽然在当前的安全标准中没有特定于新技术（如云）的内容，但一些可用信息可以解释为适合手头的问题。本节介绍一些相关的指南。

从网络指导开始。IEC 61508提倡采用黑通道方法保护网络，并参考IEC 61784-3和IEC 62280系列。在黑色通道方法中，网络中使用标准组件，包括所有网桥和网关，并且使用两端的SCL（安全通信层）确保安全。

图 4 - 来自 IEC 62425 的威胁和防御

SCL 需要针对每个威胁实施至少一种指示的防御措施。IEC 62425继续指出各种类别的传输系统，并根据类别在防御方面付出的努力。任何涉及云的事情都意味着一个3类传输系统，因为它是在公共场合发布的，因此所有措施都需要积极实施。

黑色通道和云之间的区别在于，在正常的黑色通道中，您试图证明离开传输节点的数据以正确的顺序及时到达接收节点。使用云模型，您拥有网络，您拥有标准的安全组件，但云的全部意义在于它应该以某种方式修改数据。这就是黑色通道类比被打破的地方。但是，如果您将上行链路和下行链路视为单独的管道，您仍然可以应用黑色通道方法。

接下来，让我们看看有哪些网络安全指南可用。如果你不安全，那么你就不可能安全。IEC 61508功能安全标准参考IEC 62443，用于所有网络安全问题。该标准依赖于基于区域和管道模型的网络分段，并且在之前的博客中已经介绍过，所以我不会在这里详述它，只是说与远程云服务器通信的系统可能需要达到SL（安全级别）3。

关于硬件可靠性要求，每个 SIL 都带有最大 PFH（或 PFD）。对于SIL 3，允许的最大PFH为1e-7 / h。典型的误差预算是传感器的35%，逻辑的15%，执行器的50%。在这种情况下，云是逻辑。从这15%的预算到逻辑，1%分配给传感器与云以及云和执行器之间的网络。这 1% 表示 SIL 1 的故障率为 9e-3/h。通常，每小时的实际网络危险故障率是 BER（误码率）、每个数据包的位数、每小时的数据包数和用于检测消息中的错误的 CRC 的汉明距离的函数。我相信以前的博客已经涵盖了这个主题。

逻辑的 15% 相当于 SIL 15 安全功能每小时 15 FIT （9e-3/h） 的最大危险故障率。假设云公司使用非常可靠的服务器，并且可以访问良好的故障率信息。因此，应该可以计算服务器的故障率λ，并使用普遍接受的保守假设，即故障将是50%安全的50%危险来推断λS和 λD分别。此后，可以使用在线诊断，甚至传感器或执行器块中的看门狗定时器来得出较低的危险未检测到故障率λ的从 LD基于诊断覆盖范围 DC。如果每小时危险故障率的计算概率仍然太高，则使用 1oo2 或 2oo3 架构可能会暗示某种冗余。我注意到特斯拉的猎鹰系列火箭使用冗余配置的标准服务器来实现高水平的可靠性，如果单个服务器的可靠性不足，可以使用类似的方法。

实现 SIL 需要一定程度的可靠性和容错能力，但还需要采取措施防止系统（设计）错误。系统错误会影响硬件和软件。防止系统错误的一个很好的保护措施是通过使用分集，可以使用两个不同的SIL 2系统来声称SIL 3级别的系统能力。对于云中的逻辑，主要关注点是软件，文献和标准中描述了许多技术来实现高完整性软件以及高完整性软件独立于在同一CPU上运行的低完整性软件。虽然有论文表明Linux和Windows操作系统是安全认证的，但最好运行软件裸机并实施安全认证的虚拟机管理程序或RTOS以获得所需的独立性。从理论上讲，甚至可以在云中使用FPGA，现在一些云提供商提供了这种功能。在这种情况下，IEC 61508-2：2010 附录 F 表 F.1 和表 F.2 将分别与 FPGA 供应商和为 FPGA 编写应用程序 HDL 的人员相关。其他解决方案可能包括在云中运行高性能软件，并在边缘运行更简单的健全性检查器，以检查云软件的结论是否达到安全极限。严格来说，这不是云中的安全，因为安全的主要保证是本地更简单的安全系统。

在云中运行软件的一个很好的理由可能是访问AI/机器学习。经常让人们感到惊讶的是，IEC 61508 中对在安全功能中使用人工智能有限制。此外，改变这种状况的意愿似乎微乎其微。该限制可在IEC 61508-3：2010表A.2中找到。限制的理由不仅是缺乏对该主题的知识，而且是人工智能的非确定性。很难解释为什么基于人工智能的系统采取了特定的行动方案，并且几乎没有信心相信它会在相同的输入下再次做出相同的反应。两者都是安全工程师的诅咒。在汽车领域，许多公司将人工智能视为实现自动驾驶的手段，但随着人工智能的使用和代码库的庞大规模，证明它是安全的似乎依赖于测试，而不是使用基于功能安全标准的严格开发过程。人们经常承认，使用测试来证明软件是正确的是不可能的，现在的论文似乎显示了以90%的置信度证明基于人工智能的安全系统至少与人类驾驶员一样安全所需的测试量。我相信这个数字是800亿英里的真实驾驶。

正如我在引言中所说，很少有关于使用云等新技术来实施安全系统的内容。然而，考虑到可能的好处，这一立场最终必须改变。也许IIoT，物联网，智能工厂，智能城市，智能电力网络领域发展如此之快，并且是目标丰富的环境，以至于没有时间考虑安全性，而是将其留给传统手段来实现。鉴于安全标准平均每10年才会发生变化，因此标准中的指导总是落后于曲线。例如，在自动驾驶中就是这种情况，大多数大公司似乎都试图在没有ISO 26262的情况下进行。他们能否成功地说服公众和监管机构相信他们的安全还有待观察。对于工业应用，仍然可以通过解释新领域的标准来应用IEC 61508。由于IEC 61508是一项基本安全标准，因此它旨在以这种方式工作，并声明合规性，您只需遵守适用的要求。与规定性标准相比，基于目标的目标在如何实现安全方面提供了更大的灵活性。

审核编辑：郭婷