Европейские стандарты автоматизации: Что скрывается за аббревиатурами IEC, SIL и IEC 62443

Проектировщик АСУ ТП на нефтехимическом объекте открывает техническое задание и видит строку: "Система противоаварийной защиты должна соответствовать SIL 2 по IEC 61508". Инженер-программист получает задание: "Логика управления реализуется в среде, соответствующей IEC 61131-3". Специалист по безопасности читает требования: "Архитектура сети АСУ ТП проектируется в соответствии с IEC 62443".

Три строчки. Три стандарта. За каждым из них - многосотстраничный документ, многолетняя история разработки и совершенно конкретные технические требования, которые определяют, как именно нужно выбирать оборудование, писать программы, строить сети и рассчитывать надёжность. Это не рекомендации и не пожелания - это язык, на котором промышленность разговаривает о качестве и безопасности.

Разберём ключевые европейские стандарты автоматизации - не в виде пересказа официальных определений, а через практику: зачем они нужны, что конкретно требуют и почему инженеру их важно понимать, даже если он никогда не держал в руках оригинальный документ IEC.

Начнём с самого распространённого. IEC 61131 - это международный стандарт для программируемых контроллеров, принятый в 1993 году и с тех пор несколько раз обновлявшийся. Его третья часть - IEC 61131-3 - стала фундаментом, на котором построено современное программирование ПЛК по всему миру. В России действует идентичный национальный стандарт ГОСТ Р МЭК 61131-3.

Суть третьей части - унификация языков программирования. До принятия стандарта каждый производитель ПЛК имел собственную проприетарную среду с собственным синтаксисом. Программа, написанная для Siemens S5, не имела ничего общего с программой для Allen-Bradley или Modicon. Переход на другое железо означал полное переписывание логики с нуля. IEC 61131-3 ввёл пять стандартизированных языков, которые должны поддерживаться любой совместимой средой разработки.

Два текстовых языка - Instruction List (IL, или список инструкций) и Structured Text (ST, структурированный текст). Два графических - Ladder Diagram (LD, релейно-контактные схемы) и Function Block Diagram (FBD, функциональные блоковые диаграммы). Один смешанный - Sequential Function Chart (SFC, граф последовательного функционирования). При этом в четвёртой редакции стандарта, выпущенной в мае 2025 года, IL был официально исключён как устаревший - языки эволюционируют вместе с отраслью.

Что это даёт на практике? Программа, написанная в CODESYS на Structured Text для одного контроллера, при переходе на другой ПЛК, поддерживающий ту же версию стандарта и ту же среду исполнения, требует минимальной адаптации - в основном в части привязки к физическим входам-выходам. Логика, алгоритмы, функциональные блоки остаются работоспособными. Это принципиально меняет экономику разработки: библиотеки типовых блоков, накопленные за годы работы, не теряют ценности при смене оборудования.

Именно поэтому CODESYS стал доминирующей средой исполнения в Европе и активно распространяется в России. Он реализует IEC 61131-3 в полном объёме и позволяет создавать переносимые проекты. Большинство современных российских контроллеров, включая линейку ПЛК СТАБУР, используют CODESYS 3.5 в качестве среды исполнения именно потому, что это обеспечивает совместимость с огромной экосистемой разработанных библиотек и инструментов.

Первая часть стандарта - IEC 61131-1 - описывает общую информацию и терминологию. Вторая - IEC 61131-2 - устанавливает требования к электрическим, механическим и функциональным характеристикам оборудования: диапазоны напряжений питания, температурные диапазоны, требования к ЭМС, испытательные напряжения. Это та часть, на соответствие которой производители проводят испытания и получают сертификаты. Шестая часть - IEC 61131-6 - специально посвящена функциональной безопасности ПЛК в контексте применения в системах, связанных с безопасностью, и тесно связана со следующим стандартом в нашем обзоре.

Если IEC 61131 отвечает на вопрос "как программировать ПЛК", то IEC 61508 отвечает на вопрос "насколько надёжно система должна выполнять функции безопасности". Этот стандарт - "зонтичный", то есть применимый к любым отраслям и любым типам электрических, электронных и программируемых электронных систем, связанных с безопасностью.

Центральное понятие стандарта - Safety Integrity Level (SIL), уровень полноты безопасности. Их четыре: от SIL 1 (минимальный) до SIL 4 (максимальный). Каждый уровень соответствует определённой вероятности опасного отказа при выполнении функции безопасности.

Для режима с низкой частотой запросов - когда функция безопасности срабатывает не чаще одного раза в год - SIL 1 требует вероятности опасного отказа не более 0,1 (то есть не более одного отказа на десять запросов). SIL 2 - не более 0,01. SIL 3 - не более 0,001. SIL 4 - не более 0,0001. Это и есть "фактор снижения риска" (Risk Reduction Factor): SIL 2 снижает риск в 100-1000 раз по сравнению с отсутствием защиты.

Для непрерывного режима или режима с высокой частотой запросов используется другой показатель - интенсивность опасных отказов в час. Для SIL 1 - не более 10⁻⁵ отказов в час (один отказ за ~11,4 лет). Для SIL 2 - не более 10⁻⁶ (один за ~114 лет). Для SIL 3 - не более 10⁻⁷.

Как определяется нужный SIL? Через анализ риска. Смотрят на тяжесть возможных последствий, вероятность нахождения персонала в опасной зоне, возможность обнаружения опасной ситуации и избегания её. На основе этого анализа (с применением граф риска или матриц рисков) определяется целевой SIL для каждой функции безопасности. В нефтехимии типичный уровень для системы противоаварийной защиты (ПАЗ) - SIL 2, для особо критичных функций - SIL 3.

Важный технический нюанс, который часто упускают при первом знакомстве со стандартом: SIL присваивается не оборудованию само по себе, а функции безопасности в конкретной конфигурации. Контроллер может иметь сертификат SIL 2 при одноканальном исполнении. Та же платформа в дублированной конфигурации (два независимых канала с голосованием) обеспечивает SIL 3. Именно поэтому в документации на safety-ПЛК всегда указывается максимально достижимый SIL в зависимости от архитектуры системы - одноканальной, дублированной или троированной.

Для расчёта SIL на уровне конкретной системы применяется метод FMEDA (Failure Modes, Effects and Diagnostic Analysis) - детальный анализ всех возможных видов отказов каждого компонента, их последствий и диагностического покрытия. На выходе - числовые показатели: PFDavg (средняя вероятность опасного отказа по запросу) и SFF (Safe Failure Fraction, доля безопасных отказов). Именно от соотношения SFF и конфигурации резервирования (HFT, Hardware Fault Tolerance) зависит максимально достижимый SIL.

В России IEC 61508 принят как ГОСТ Р МЭК 61508 и является обязательной отсылкой в нормативных документах Ростехнадзора. Приказ Ростехнадзора №533 от 15.12.2020 прямо требует оснащения взрывопожароопасных химических, нефтехимических и нефтеперерабатывающих производств системами ПАЗ, соответствующими требованиям стандарта. При проведении экспертизы промышленной безопасности проектной документации наличие SIL-расчётов и соответствующей сертификации оборудования становится всё более стандартным требованием.

На базе IEC 61508 разработаны отраслевые стандарты для конкретных секторов. IEC 61511 - функциональная безопасность в перерабатывающей промышленности (нефтехимия, химия, газ). IEC 62061 - функциональная безопасность систем управления оборудованием (машиностроение). ISO 13849 - элементы систем управления станков и машин, связанные с безопасностью. EN 50129 - функциональная безопасность железнодорожных систем сигнализации и управления. Все они наследуют методологию и концепцию SIL из материнского стандарта, адаптируя её к специфике отрасли.

Если в 2010 году сказать промышленному автоматчику, что ПЛК на насосной станции является целью кибератаки - в лучшем случае вызвало бы недоумение. После Stuxnet всё изменилось. После Colonial Pipeline (2021), атаки на Олдсмарскую водоочистную станцию (2021), серии атак на российские промышленные объекты в 2022-2024 годах - стало окончательно ясно: промышленные системы управления являются приоритетной целью для кибератак, и классические IT-методы защиты не работают в OT-среде напрямую.

IEC 62443 - это серия стандартов по кибербезопасности промышленных систем автоматизации и управления (IACS), разработанная совместно ISA и IEC. Первые части стандарта появились ещё в 2009 году, актуальные версии выходят по сей день: в 2024 году вышли IEC/TS 62443-6-1 и в 2025 году - IEC/TS 62443-6-2.

Стандарт строится на нескольких ключевых концепциях. Первая - зональная архитектура. Промышленная сеть делится на зоны (Zones) и каналы (Conduits). Зона - это логическое объединение активов с общими требованиями безопасности: например, зона полевого уровня (ПЛК и датчики), зона операторских станций SCADA, зона инженерного доступа, DMZ. Каналы - это контролируемые пути передачи данных между зонами с явно заданными правилами.

Вторая концепция - уровни безопасности (Security Levels, SL). Стандарт вводит градацию от SL 0 (нет требований безопасности) до SL 4 (защита от атак уровня национального государства с практически неограниченными ресурсами). SL 1 предполагает защиту от случайных ошибок и базовых атак. SL 2 - от намеренных атак с ограниченными ресурсами (типичное требование для большинства промышленных объектов). SL 3 - от атак с использованием специализированных инструментов и значительных ресурсов. SL 4 - наивысший уровень для критической инфраструктуры с жёсткими требованиями.

Третья концепция - семь фундаментальных требований (Foundational Requirements, FR), охватывающих все аспекты защиты: управление идентификацией и аутентификацией (FR 1), управление доступом (FR 2), целостность данных (FR 3), конфиденциальность (FR 4), ограничение потока данных (FR 5), своевременная реакция на события (FR 6), доступность ресурсов (FR 7).

Практическая архитектура согласно IEC 62443 строится на модели Purdue - иерархической модели сегментации промышленной сети по уровням: уровень 0 (полевые устройства - датчики, исполнительные механизмы), уровень 1 (базовый контроль - ПЛК, DCS), уровень 2 (диспетчерский контроль - SCADA, HMI), уровень 3 (управление производством - MES), уровень 4 (корпоративные системы - ERP). Между уровнями - межсетевые экраны с белыми списками разрешённых соединений, промышленный DMZ, контролируемые шлюзы.

Для АСУ ТП характерен запрет на прямое соединение OT-сети с IT-сетью без промежуточного DMZ. Сегменты делятся на уровни: полевой, контрольный, надзорный. Между зонами - межсетевые экраны L3/L7 с белыми списками и глубокой инспекцией промышленных протоколов (DPI). Именно DPI для Modbus, OPC UA, EtherNet/IP позволяет обнаруживать нетипичные команды - например, запись прошивки в ПЛК в рабочее время без санкции инженера.

В России стандарт принят как серия ГОСТ Р МЭК 62443. С 1 января 2025 года вступил в силу запрет на использование решений из недружественных стран субъектами критической информационной инфраструктуры (КИИ) в соответствии с Указом Президента №250 и соответствующими нормативными актами. Это создаёт прямой регуляторный стимул к развитию российских решений в области кибербезопасности АСУ ТП, совместимых с требованиями IEC 62443.

По данным 2024 года, количество сетевых атак на страны СНГ увеличилось в 2,6 раза, при этом 73% атак пришлось на Россию. Промышленные предприятия составляют 10-11% от всех жертв кибератак. В 37% случаев атаки с использованием программ-вымогателей на промышленные организации затрагивают как IT, так и OT-системы. В 12% инцидентов кибератака приводит к полной остановке производства более чем на неделю.

OPC UA (OPC Unified Architecture) - стандарт промышленной коммуникации, описанный в серии IEC 62541. Он вырос из более раннего OPC Classic, который работал исключительно на Windows через COM/DCOM и имел ограниченные возможности для кросс-платформенного применения. OPC UA - это его полная переработка с архитектурой "с нуля".

Что делает OPC UA особенным в контексте промышленной автоматизации? Три вещи. Первое - информационная модель. OPC UA описывает не просто передачу данных, а структуру данных: узлы, их типы, связи между ними, методы, события. Это позволяет клиенту автоматически исследовать структуру сервера и понимать семантику данных без предварительного знания об объекте. Контроллер, реализующий OPC UA Server, может "рассказать" SCADA или ERP-системе не только значение переменной, но и её инженерный смысл, единицы измерения, диапазон допустимых значений.

Второе - безопасность. OPC UA поддерживает шифрование (AES-256), аутентификацию на основе сертификатов X.509 и авторизацию на уровне отдельных узлов информационной модели. Это принципиально отличает его от Modbus, у которого нет встроенных механизмов безопасности вообще.

Третье - транспортная независимость. OPC UA работает поверх TCP/IP, может использоваться через WebSocket, MQTT-транспорт (Pub/Sub архитектура), а при необходимости - даже без IP (через TSN - Time-Sensitive Networking для детерминированных сетей). Это делает его применимым на всех уровнях промышленной иерархии - от полевого оборудования до облачных аналитических платформ.

В контексте Industry 4.0 и IIoT OPC UA стал фактически обязательным стандартом для вертикальной интеграции. Производители станков и роботов встраивают OPC UA Server в свои устройства. MES-системы используют OPC UA для получения данных с уровня SCADA. Облачные платформы (Microsoft Azure IoT, Amazon AWS IoT) поддерживают подключение OPC UA-серверов через шлюзы.

Ошибка - рассматривать каждый стандарт изолированно. Они образуют взаимосвязанную систему, и понимание связей между ними критически важно для проектирования реальных систем.

IEC 61131 отвечает за то, как написан программный код контроллера. IEC 61508 отвечает за то, насколько надёжно этот код и аппаратная платформа выполняют функции безопасности. При этом IEC 61131-6 - часть, посвящённая функциональной безопасности ПЛК - напрямую отсылает к методологии IEC 61508. Контроллер, претендующий на сертификацию SIL 2, должен не только иметь правильную аппаратную архитектуру, но и соответствовать требованиям к разработке программного обеспечения, заложенным в стандарт.

IEC 62443 накладывается на всю систему сверху как слой кибербезопасности. Зонирование по IEC 62443 определяет, как ПЛК, работающий по IEC 61131 и сертифицированный по SIL, подключается к сети, кто имеет к нему доступ и как этот доступ контролируется. Промышленный протокол OPC UA (IEC 62541) является предпочтительным транспортом для передачи данных между зонами именно потому, что имеет встроенные механизмы безопасности, совместимые с требованиями IEC 62443.

Формально большинство ключевых европейских стандартов автоматизации приняты в России как ГОСТы и являются частью нормативной базы. На практике картина неоднородная.

IEC 61131-3 (ГОСТ Р МЭК 61131-3) - применяется фактически повсеместно через CODESYS и другие совместимые среды. Это де-факто стандарт индустрии, и его применение не требует специального регуляторного стимула.

IEC 61508 / SIL-сертификация - ситуация интересная. Требование наличия SIL-сертифицированного оборудования в системах ПАЗ на взрывопожароопасных производствах прямо следует из нормативов Ростехнадзора. При этом в России единицы органов по сертификации аккредитованы на работу по ГОСТ Р МЭК 61508 - это создаёт рынок для иностранных сертификатов TÜV, Exida, Bureau Veritas, которые признаются российскими проектировщиками. Активно идёт работа по развитию отечественной сертификационной инфраструктуры.

IEC 62443 - стандарт быстро набирает значимость в контексте требований к КИИ по ФЗ-187 и соответствующих нормативных актов ФСТЭК. Требования приказа ФСТЭК №31 по сути реализуют идеологию IEC 62443 в российской нормативной терминологии. С 1 января 2025 года запрет на использование иностранных решений субъектами КИИ создаёт дополнительный стимул к развитию российских инструментов, совместимых с методологией стандарта.

OPC UA - применяется в современных интеграционных проектах, поддерживается большинством SCADA-систем и промышленных контроллеров нового поколения. MasterSCADA 4D имеет встроенную поддержку OPC UA. Контроллеры на базе CODESYS поддерживают OPC UA Server через стандартную библиотеку.

Что такое SIL и как определяется нужный уровень для конкретного объекта? SIL (Safety Integrity Level) - уровень полноты безопасности по стандарту IEC 61508, определяющий требования к надёжности функции безопасности. Нужный уровень определяется через анализ рисков с учётом тяжести возможных последствий, вероятности нахождения людей под воздействием опасности и возможности предотвращения аварии. В нефтехимии типичный уровень для систем ПАЗ - SIL 2, для особо критичных функций - SIL 3.

Чем IEC 61131-3 важен для инженера-программиста ПЛК? Стандарт определяет пять унифицированных языков программирования (LD, FBD, ST, SFC и до 2025 года IL), которые должна поддерживать любая совместимая среда. Это обеспечивает переносимость кода между разными аппаратными платформами и создаёт общий язык для отрасли. Программа на ST в CODESYS, написанная для одного ПЛК, в большой части переносима на другой, поддерживающий ту же среду.

Что требует IEC 62443 от производственного предприятия? Стандарт требует сегментировать промышленную сеть на зоны и каналы с разными требованиями безопасности, разграничить доступ, внедрить мониторинг и аудит, обеспечить защиту от несанкционированного изменения конфигурации оборудования. На практике это означает: разделение OT и IT сетей, промышленный DMZ, межсетевые экраны с белыми списками, контроль удалённого доступа, пассивный мониторинг трафика.

Как IEC 61131-3 соотносится с IEC 61508 при разработке систем безопасности? IEC 61131-3 определяет языки, на которых пишется программа. IEC 61508 определяет требования к процессу разработки этой программы (документирование, тестирование, верификация, анализ покрытия кода тестами) и к аппаратной платформе. Часть IEC 61131-6 специально описывает требования к ПЛК, используемым в системах безопасности, в терминах IEC 61508. Оба стандарта применяются одновременно при разработке safety-ПЛК.