[发明专利]一种针对工业控制系统的防危性验证方案

权利要求书

1.一种针对工控系统防危性的验证方案，该方案包括：

工控系统风险等级评判标准：根据关键操作发生的概率和导致的危险来确定其达到的风险等级。

工控系统的防危性测试系统：采用重要性采样原理，对工控系统建立基于风险的关键运行剖面，基于关键运行选取测试用例，根据防危测试指标确定测试用例量，对系统进行防危性测试。通过统计数据分析，计算才出系统的事故风险，根据风险级别分类表，即可得到此系统的防危等级。

2.根据权利要求1所述的方法，其特征在于：

防危性由风险来量化，风险被定义为：风险＝失效概率*事故代价。风险级别被用于确定系统失效的风险程度，主要根据对人类生命及系统外界环境的危害程度来确定的。

为了确定系统的防危级别，首先要制定风险的级别。在工控系统中，把风险分为A、B、C、D、E五个级别，其中A级具有最高风险，E级具有最低风险。

A  无法容忍的

B  不期望有的风险，而且只有当风险降低行不通时才可以接受

C  项目防危委员认可就可以容忍

D  所有条件都能容忍

E  一般项目审查认可就可以容忍

防危级别也定义为五个级别：I、II、III、IV、V。I级具有最低的防危能力，v级具有最高的防危能力。

I级：系统关键运行的风险评估至少有一个属于级别A

II级：系统关键运行的风险评估属于级别B、C、D、E，且至少有一个运行属于级别B

III级：系统关键运行的风险评估属于级别C、D、E，且至少有一个运行属于级别C

IV级：系统关键运行的风险评估属于级别D、E，且至少有一个运行属于级别D

V级：系统关键运行的风险评估都属于级别E

风险是由失效概率和事故代价两个共同决定的。我们同时定义了失效概率的级别和事故级别的级别，同时表给出了二者组合的意义。

意外事件的频率范围：

频繁：1000*10^-6，可能是连续发生

可能：100*10^-6，可能是经常发生

偶尔：1*10^-6，可能是发生几次

极少：0.01*10^-6，可能是有时候发生

不可能：0.0001*10^-6，不可能，但在意外情况下可能发生

难以置信：0.000001*10^-6，事情根本不可能发生

事故代价分级：

灾难性：多人死亡或环境遭遇严重破坏

危险的：一人死亡，和/或多人严重受伤或严重环境破坏

重大的：一人严重受伤和/或多人轻伤或轻微环境破坏

次要的：最多一人轻伤或轻微环境破坏

可以忽略的：没有影响

风险与失效概率和事故代价的对应关系：

  事故 灾难性的  危险的  重大的  次要的  可以忽略的

  频繁 A  A  B  D  E  可能 A  A  B  E  E  偶尔 A  B  C  E  E  极少 A  B  C  E  E  不可能 B  C  D  E  E  难以置信 C  D  D  E  E