安全仪表系统的Markov建模方法研究

对安全仪表系统(SIS)的功能结构、安全生命周期以及功能安全的实现方法进行了分析,并提出了基于马尔可夫(Markov)建模的SIS的安全完整性等级计算软件的设计方案,采用VB6.0和Matlab进行了软件的开发实现.我们针对1oo2冗余结构的装置进行了SIL的计算,证明马尔可夫建模方法的安全完整性等级(SIL)计算相对于其他建模方法的灵活性.它既能反映安全仪表系统之间的静态关系,又能反应系统的动态变化,并且不受设备之间依赖关系的影响.同时马尔可夫建模可靠性的定量分析精度高,一次建模可求得安全仪表系统的安全失效率PFS和危险失效率PFD和安全完整性等级SIL等多个可靠性指标.     

火气系统功能有效性的绩效评估方法

火气系统作为减灾保护层安全仪表系统,以抑制火灾和气体泄漏带来的风险为目的,在石化现场发挥着重要的保护作用。风险抑制能力取决于火气系统的功能有效性,受多方因素影响,如现场探测器的布置、系统自身配置、应急响应和灭火能力等。要实现对火气系统功能有效性的绩效评估,需要综合多方因素进行分析。采用ISA-TR84.00.07推荐的事件树风险分析模型,从探测覆盖率、系统安全完整性及灾难抑制措施有效性三个层面综合分析、计算系统的功能有效性和风险抑制能力,从而实现定量评价。通过典型案例分析,对探测覆盖率分析技术和安全完整性评估技术的基本理论和方法进行了梳理和介绍,并验证了基于事件树模型的火气系统有效性评估理论的可操作性,证明了采用事件树模型、结合探测覆盖率和功能安全基础理论,可以较好地实现火气系统功能有效性的绩效评估。     

安全仪表系统安全完整性等级验证研究进展

安全仪表系统对于工业生产安全意义重大.IEC 61508要求对所有的安全仪表系统确定安全完整性等级,以验证其是否满足功能安全的需求.过程工业中常见的是低要求模式的安全仪表系统.本文主要对这类系统安全完整性等级验证的相关研究进展进行了回顾,总结了共因失效建模和平均需求时失效率算法的研究.在平均需求时失效率算法方面,本文介绍了目前常见的3种方法——可靠性框图、故障树分析和Markov模型.本文的最后部分还介绍了几种安全完整性等级验证相关的商业软件.     

现场总线协议在安全仪表系统中的应用

安全仪表系统通常设置为独立的系统.并作为生产过程的安全保障被广泛应用在制造、机械、食品加工、化工等行业中.国家及国际标准对组成安全仪表系统的软件及硬件有严格的设计原则,并要求其到达一定的安全完整性等级.为了将现场总线应用到安全仪表系统中,国际电工委员会制定标准规定了一些措施采保证信息传递的完整及可靠.并采用在现场总线原有的OSI参考模型之上增加安全层的软件方式.以符合安全仪表系统的设计原则及安全完整性等级.     

智能仪表对安全联锁系统可靠性影响的评估

仪表作为石化装置中安全联锁系统的基本组成元素,其可靠性对装置安全稳定运行具有重要影响。本文以某仪表的选型为例,采用蒙特卡洛仿真方法对普通仪表与智能仪表在安全性、可靠性方面进行定量分析与比较,评估了智能仪表对安全联锁系统的影响。分析表明,使用智能仪表可以有效提高安全联锁系统的安全水平,并显著降低联锁的误跳车。本文最后对智能仪表选型中需考虑的因素进行了探讨,对指导石化装置安全联锁系统中仪表的选型具有一定的借鉴作用。     

混源操作系统供应链安全风险评估方法研究北大核心CSCD

当前软件供应链安全事件频发,对其进行安全风险评估可以发现潜在风险,这是管理安全风险和预防安全事件的重要手段之一。作为信息系统的核心基础软件,混源操作系统广泛应用于政务、电力、金融和通信等重要领域,其供应链安全风险引起业内的高度重视。混源操作系统具有代码来源多样、代码规模大、结构和组件依赖关系复杂的特点,而现有的软件供应链安全风险评估方法不够完善,用于评估供应链安全风险的评估指标不完全适用于混源操作系统。为了解决该问题,文章提出了供应链安全的可溯性、可用性和安全性保障目标,根据这些保障目标分析影响混源操作系统供应链安全的风险因素,并设计了一个可度量的指标体系以评估其安全风险。文章通过实例验证了该指标体系的有效性,并总结阐述了一些可用于评估重要指标的相关技术手段和工具。     

面向对象的安全风险评估系统设计与开发

为提高通信保密系统安全风险评估的智能化水平,在论述通信保密系统安全风险评估的特点及其评估方法的基础上,设计并开发了面向对象的安全风险评估系统.针对系统需求分析与系统工具选择开展研究,给出了安全风险评估系统的总体结构,从系统工作流程和原理、系统概念模型框架、评估方法模型库的实现和管理、工程设计要求及系统实现步骤等5个方面进行了系统详细设计.     

基于MQTT协议扩展的IoT设备完整性监控

随着物联网飞速发展, 设备数量呈指数级增长, 随之而来的IoT安全问题也受到了越来越多的关注. 通常IoT设备完整性认证采用软件证明方法实现设备完整性校验, 以便及时检测出设备中恶意软件执行所导致的系统完整性篡改. 但现有IoT软件证明存在海量设备同步证明性能低、通用IoT通信协议难以扩展等问题. 针对这些问题, 本文提供一种轻量级的异步完整性监控方案, 在通用MQTT协议上扩展软件证明安全认证消息, 异步推送设备完整性信息, 在保障IoT系统高安全性的同时, 提高了设备完整性证明验证效率. 我们的方案实现了以下3方面安全功能: 以内核模块方式实现设备完整性度量功能, 基于MQTT的设备身份和完整性轻量级认证扩展, 基于MQTT扩展协议的异步完整性监控. 本方案能够抵抗常见的软件证明和MQTT协议攻击, 具有轻量级异步软件证明、通用MQTT安全扩展等特点. 最后在基于MQTT的IoT认证原型系统的实验结果表明, IoT节点的完整性度量、MQTT协议连接认证、PUBLISH报文消息认证性能较高, 都能满足海量IoT设备完整性监控的应用需求.     

基于系统理论过程分析的安全关键软件安全性验证方法

现代安全关键系统的功能实现越来越依赖于软件,这导致软件的安全性对系统安全至关重要,而软件的复杂性使得采用传统安全性分析方法很难捕获组件交互过程带来的危险。为保证安全关键系统的安全性,提出一种基于系统理论过程分析（STPA）的软件安全性验证方法。在安全控制结构基础上,通过构建带有软件过程模型变量的过程模型,细化分析危险行为发生的系统上下文信息,并以此生成软件安全性需求。然后通过设计起落架控制系统软件,采用模型检验技术对软件进行安全性验证。结果表明,所提方法能够在系统级层面有效识别出软件中潜在的危险控制路径,并可以减少对人工分析的依赖。     

基于可信计算的多级安全模型

针对当前多级安全模型在访问过程中缺乏信息安全保护机制的不足,基于可信计算技术对使用控制模型进行改进,实现保密性和完整性两者兼顾的多级安全模型。改进模型将在整个访问过程中对信息的安全性进行保护,并运用完整性验证策略保护信息的完整性,同时方便安全管理员根据管理需要,对安全策略进行调整,提高了系统的灵活性。     

基于主观估计法和FMEDA的失效数据分析及应用

针对安全仪表系统安全完整性等级验证（SIL）和机械装置的失效模式、影响及诊断分析（FMEDA）缺乏特定工厂环境、联锁回路中的产品（如阀门、变送器、逻辑控制器等）失效数据这一关键不足,提出了一种基于主观估计法和皮尔逊卡方检验法的失效数据分析方法,并以丙烯腈反应器出口温度高联锁回路中的气动薄膜调节阀为例,应用该方法估计产品寿命分布和实际失效率;应用机械FMEDA法和故障树（FTA）法对回路进行SIL验证,给出改进措施。结果表明,应用该方法获取的产品失效数据对相应联锁回路进行SIL验证比应用国外通用数据库更准确。     

A Fuzzy Probabilistic Approach for Determining Safety Integrity Level

The process industry has always been faced with the difficult task of determining the required integrity of safeguarding systems such as safety instrumented systems (SISs). The ANSI/ISA S84.01-1996 and IEC 61508 safety standards provide guidelines for the design, installation, operation, maintenance, and test of SIS. However, in the field, there is a considerable lack of understanding of how to apply these standards to both determine and achieve the required safety integrity level (SIL) for SIS. Moreover, in certain situations, the SIL evaluation is further complicated due to the uncertainty on reliability parameters of SIS components. This paper proposes a new approach to evaluate the ldquoconfidencerdquo of the SIL determination when there is an uncertainty about failure rates of SIS components. This approach is based on the use of failure rates and fuzzy probabilities to evaluate the SIS failure probability on demand and the SIL of the SIS. Furthermore, we provide guidance on reducing the SIL uncertainty based on fuzzy probabilistic importance measures.     

软件功能安全验证活动的应用

软件功能安全验证活动对提高安全关键系统的安全性具有重要作用,它贯穿于软件安全生命周期的各个阶段。通过对各阶段输出文档的审查和分析,可尽早发现软件问题,降低软件修复成本。完整的问题闭环处理流程可有效解决软件验证活动中发现的问题,给出各方均满意的处理结果。     

基于传感器模型的安全计算机仿真系统

在安全计算机信号系统的研发与测试中,没有真实的传感器接入会带来测试难、验证难等问题。为此,设计一种基于传感器模型的轨道交通安全计算机平台仿真系统。以真实的传感器为模型基础进行传感器建模,控制真实的硬件输出,通过软硬件结合的方法为安全计算机平台提供真实的输入与输出。同时利用软件修改模型参数,模拟传感器故障,为安全计算机平台提供无损坏的故障注入。测试结果证明,该仿真系统能够有效验证安全计算机平台的安全性、可靠性与可用性,加快安全计算机平台的开发进程。     

基于SMT的区域控制器同步反应式模型的形式化验证

在安全关键系统的软件开发过程中,形式化验证是一种经检验的提高软件质量的技术.然而,无论从理论上还是从应用角度来看,软件的验证都必须是完整的,数据流验证应该是对实现层软件模型进行验证的必要体现.因此,环境输入、泛型函数、高阶迭代运算和中间变量对于分析形式化验证的可用性至关重要.为了验证同步反应式模型,工程师很容易验证控制流模型(即安全状态机).现有工作表明,这类工作无法全面地验证安全关键系统的同步反应式模型,尤其是数据流模型,导致这些方法没有达到工业应用的要求,这成为对工业安全软件进行形式化验证的一个挑战.提出了一种自动化验证方法.该方法可以实现对安全状态机和数据流模型的集成进行验证.采用了一种基于程序综合的方法,其中,SCADE模型描述了功能需求、安全性质和环境输入,可以通过对Lustre模型的程序综合,采用基于SMT的模型检查器进行验证.该技术将程序合成作为一种通用原理来提高形式化验证的完整性.在轨道交通的工业级应用(近200万行Lustre代码)上评估了该方法.实验结果表明,该方法在大规模同步反应式模型长期存在的复杂验证问题上是有效的.     

嵌入式机载软件安全性分析标准、方法及工具研究综述

嵌入式软件在安全关键系统中的应用,使得保障软件安全性成为软件工程领域的研究热点之一.以典型嵌入式软件系统机载软件为基础,对机载软件安全性保障的标准、方法及工具进行综述.首先,对机载软件领域所采用的软件安全性相关的标准进行简介,并给出机载软件安全性分析框架;其次,从机载软件安全性分析框架出发,将机载软件安全性保障方法划分为3个方面,即,机载软件安全需求的提取与规约、面向标准的机载软件开发、机载软件安全需求验证.对这3个方面的现有研究工作以及工业应用进行了综述;然后,针对当前适航标准的要求对机载软件安全性保证过程中软件安全证据的收集方面的研究工作进行了总结;最后,提出机载软件安全性领域存在的挑战和未来的研究方向.     

应用ETDFA生成CBTC联锁软件形式化模型的方法

CBTC系统的联锁软件为SIL4级的高安全、高可靠软件,目前广泛使用的软件测试和仿真验证的结果严重依赖选取的测试向量,要保证高覆盖率的测试十分困难;EN50128中强烈推荐SIL4等级的软件使用形式化方法完成软件需求规格说明书和软件设计,因此,采用形式化的方法设计软件,是构造高可靠、高安全软件的一个重要途径;总结了现有的CBTC系统中联锁子系统集成方式及优缺点,并使用事件确定有限自动机ETDFA(event deterministic finite automata)模型对适用性更优的升级型集成方式的联锁软件的联锁逻辑完成形式化定义,保证联锁逻辑的正确性,减少软件的不确定性描述;以办理进路为例生成联锁对象的ETDFA模型,验证该方法的有效性和可行性;该方法不仅为CBTC联锁软件的设计与开发提供新思路,而且有助于安全苛求软件的形式化验证与分析,提高联锁软件的安全性和正确性。     

一种用于指针程序安全性证明的指针逻辑

在高可信软件的各种性质中,安全性是被关注的重点,其中软件满足安全策略的证明方法是研究的热点之一.文中根据作者所设想的安全程序的设计和证明框架,为类C语言的一个子集设计了一个指针逻辑系统.该逻辑系统是Hoare逻辑系统的一种扩展,它用推理规则来表达每一种语句引起指针信息的变化情况.它可用来对指针程序进行精确的指针分析,所获得的信息用来证明指针程序是否满足定型规则的附加条件,以支持程序的安全性验证.该逻辑系统也可用来证明指针程序的其它性质.     

Cetratus: A framework for zero downtime secure software updates in safety-critical systems

Safety-critical systems are evolving into complex, networked, and distributed systems. As a result of the high interconnectivity among all networked systems and of potential security threats, security countermeasures need to be incorporated. Nonetheless, albeit cutting-edge security measures are adopted and incorporated during the system development, such as latest recommended encryption algorithms, these protection mechanisms may turn out obsolete because of the long operational periods. New security flaws and bugs are continuously detected. Software updates are then essential to restore the security level of the system. However, system shutdowns may not be acceptable when high availability is required. As expressed by the European Union Agency for Network and Information Security (ENISA) “the research in the area of patching and updating equipment without disruption of service and tools” is needed. In this article, a novel live updating approach for zero downtime safety-critical systems named Cetratus is presented. Cetratus, which is based on a quarantine-mode execution and monitoring, enables the update of non-safety-critical software components while running, without compromising the safety integrity level of the system. The focus of this work lies on the incorporation of leading-edge security mechanisms while safety-related software components will remain untouched. Other non-safety-related software components could also be updated.