0  引言

目前控制系統(tǒng)(DCS、SIS、PLC等)已經(jīng)在石油化工、造紙、冶金等行業(yè)進(jìn)行了普及，如何確?？刂葡到y(tǒng)的安全穩(wěn)定運(yùn)行，保證控制系統(tǒng)的運(yùn)行質(zhì)量，提高控制系統(tǒng)的應(yīng)用水平和使用壽命，成為擺在我們面前的一個(gè)重要課題。

1  防腐蝕

1.1 防腐的意義

控制系統(tǒng)在過(guò)程工業(yè)中扮演著非常重要的作用，控制系統(tǒng)的可靠性決定了生產(chǎn)裝置的可控性，從20世紀(jì)70年代第一代DCS開始，人們對(duì)控制系統(tǒng)的顯性故障已經(jīng)有了比較成熟的應(yīng)對(duì)策率，但是對(duì)腐蝕這一類隱性故障的認(rèn)識(shí)、研究及對(duì)策相比于管道和設(shè)備等專業(yè)在防腐方面的研究和投入還遠(yuǎn)遠(yuǎn)不夠。中石化近幾年已經(jīng)開始面臨著控制^［1］系統(tǒng)硬件腐蝕引起的困擾，有效預(yù)防控制系統(tǒng)受腐蝕性氣體侵蝕引起的故障，對(duì)確?？刂葡到y(tǒng)的安全、穩(wěn)定運(yùn)行具有非常重要的意義。

1.2 腐蝕的原因

控制系統(tǒng)的核心部件是由計(jì)算機(jī)芯片及電子元器件構(gòu)成的，成千上萬(wàn)的部件如同人的神經(jīng)系統(tǒng)分布于控制系統(tǒng)各子系統(tǒng)和各部位，擔(dān)負(fù)著控制系統(tǒng)的信號(hào)傳遞與控制，在計(jì)算機(jī)芯片及電子元器件集成的I/O卡件上，大量使用焊接、插接、粘結(jié)等工藝進(jìn)行器件和部件的連接。這些器件、部件的連接處暴露在空氣中，極易受到石化等行業(yè)腐蝕性氣體的長(zhǎng)期積累侵蝕，引起控制系統(tǒng)故障。任何一個(gè)部件故障都將導(dǎo)致整個(gè)控制系統(tǒng)或某一控制設(shè)備無(wú)法正常工作，給安全生產(chǎn)帶來(lái)重大隱患。石化工業(yè)環(huán)境中引起電子元器件腐蝕的主要是氣體腐蝕，一般以硫化物為主。 

1985年美國(guó)儀器設(shè)備協(xié)會(huì)(ISA)發(fā)布了一項(xiàng)標(biāo)準(zhǔn)：ISA S71.04_1985“過(guò)程測(cè)量和控制裝置環(huán)境條件：腐蝕性氣體”。根據(jù)ISA S71.04標(biāo)準(zhǔn)建立了四種腐蝕程度分類，最佳程度為G1，在此程度范圍，腐蝕情況不是影響設(shè)備可靠程度的因素，信息計(jì)算機(jī)和DCS系統(tǒng)一般要求G1條件，由于環(huán)境潛在腐蝕程度的增加，其相應(yīng)嚴(yán)重程度劃分為G2、G3和GX，GX是最嚴(yán)重的情況。 

四種腐蝕程度一般用月腐蝕厚度來(lái)進(jìn)行量化，月腐蝕厚度是指用特制的銅質(zhì)測(cè)試片，安放在控制系統(tǒng)機(jī)柜室近于關(guān)鍵設(shè)備的地方，現(xiàn)場(chǎng)放置一個(gè)月左右后，樣品被密封保存后寄回專業(yè)腐蝕檢驗(yàn)中心，進(jìn)行電化學(xué)剝離分析，通過(guò)腐蝕厚度分析，得出年腐蝕速率，并判斷在此情況下電子部件的腐蝕損壞程度。

1.3 腐蝕的解決方案

控制系統(tǒng)的防腐主要應(yīng)從兩個(gè)方面入手，一個(gè)方面是保證控制系統(tǒng)的所有卡件具有防環(huán)境腐蝕的能力，也就是要達(dá)到ISA S71.04 標(biāo)準(zhǔn)的G3等級(jí)。 

另一個(gè)方面是控制系統(tǒng)機(jī)柜室內(nèi)通風(fēng)改造，以保證機(jī)柜室內(nèi)處于干凈的新風(fēng)環(huán)境中，優(yōu)質(zhì)的空氣質(zhì)量，無(wú)論對(duì)于人員還是設(shè)備，都是安全穩(wěn)定生產(chǎn)的保障。中石化齊魯分公司一直在開展這方面的工作，主要思路是采用正壓式新風(fēng)凈化系統(tǒng)從樓頂引新風(fēng)，正壓式新風(fēng)凈化系統(tǒng)是完全獨(dú)立的空氣凈化系統(tǒng)，主要應(yīng)用于為室內(nèi)空間提供加壓并去除腐蝕性氣體，最大不超過(guò)50%的空氣調(diào)節(jié)能力將被用于吸入空間外部氣體并進(jìn)行加壓，另外50%(或以上)的能力將被用于室內(nèi)空氣再循環(huán)，室內(nèi)循環(huán)凈化系統(tǒng)會(huì)配置兩個(gè)分離式濾料箱，可針對(duì)不同的污染氣體選擇不同的化學(xué)濾料，采用該系統(tǒng)后氣體清潔程度將會(huì)達(dá)到并超過(guò)現(xiàn)有的G1標(biāo)準(zhǔn)，完全滿足控制系統(tǒng)的運(yùn)行環(huán)境。

1.4 案例

案列1：硫磺裝置控制系統(tǒng)操作站防腐蝕解決方案 

某硫磺裝置DCS系統(tǒng)2008年初投用，共有12臺(tái)操作站，采用DELL主機(jī)。自2008年12月開始的半年時(shí)間內(nèi)，12臺(tái)操作站主機(jī)出現(xiàn)故障多達(dá)25次，幾乎平均每周1次，主要有主板、顯卡、硬盤故障等。其中主板故障14次，硬盤故障8次，顯卡故障4次。 

對(duì)故障進(jìn)行分析，發(fā)現(xiàn)故障主機(jī)內(nèi)部的硬件表面有比較明顯的變化，主板、顯卡、硬盤等部件的電路焊點(diǎn)有硫化物腐蝕痕跡(觀察為黑色物質(zhì)，用指甲輕輕劃擦，容易脫落)。觀察到的現(xiàn)象得到了前來(lái)進(jìn)行保修服務(wù)的DELL公司技術(shù)人員的認(rèn)可，雙方共同對(duì)比、分析后認(rèn)為應(yīng)該是操作室內(nèi)環(huán)境引起的，空氣中硫化物含量比較高(與硫磺裝置的生產(chǎn)特點(diǎn)有關(guān))，對(duì)電子元器件的腐蝕導(dǎo)致主機(jī)硬件的損壞。

根據(jù)故障現(xiàn)象和分析結(jié)果，提出了解決方案。 

(1)將操作臺(tái)配置的風(fēng)扇全部停掉，減少操作臺(tái)內(nèi)外的空氣流通，減少腐蝕性氣體進(jìn)入主機(jī)內(nèi)部。通過(guò)一段時(shí)間的觀察發(fā)現(xiàn)故障率確實(shí)有些降低，也再次證實(shí)了腐蝕是導(dǎo)致主機(jī)高故障率的原因。 

(2)聯(lián)系DELL公司試圖解決主機(jī)電路板的防腐蝕問(wèn)題，但DELL答復(fù)說(shuō)目前沒(méi)有防腐蝕的產(chǎn)品，只能延長(zhǎng)保修期進(jìn)行保修(最長(zhǎng)5年保修期)。 

(3)進(jìn)一步與DELL公司保修服務(wù)人員交流，稱可以聯(lián)系第三方公司對(duì)主機(jī)內(nèi)電路板進(jìn)行防腐處理(DELL公司無(wú)該項(xiàng)服務(wù))，但經(jīng)第三方公司處理后DELL公司不再提供保修服務(wù)。該方案因?yàn)榇嬖谳^大的未知性和一定的風(fēng)險(xiǎn)，在進(jìn)行其他嘗試前先不予優(yōu)先考慮。 

(4)發(fā)現(xiàn)國(guó)內(nèi)某公司的ARK系列工控機(jī)，其體積小、集成度高、密閉性好、無(wú)風(fēng)扇運(yùn)行，具有一定的抗腐蝕能力，比較適合現(xiàn)有環(huán)境。

 最終，采用某公司的ARK系列工控機(jī)替代現(xiàn)有DELL主機(jī)作為優(yōu)先嘗試的最佳方案。經(jīng)過(guò)連續(xù)幾年的觀察，發(fā)現(xiàn)新更換的12臺(tái)ARK系列工控機(jī)運(yùn)行良好，幾乎實(shí)現(xiàn)了零故障率，因腐蝕原因造成的操作站主機(jī)高故障率現(xiàn)象得到了解決。

2  防病毒

2.1 防病毒的意義

過(guò)去的控制系統(tǒng)廠商基本上是以自主開發(fā)為主，由于通信技術(shù)的相對(duì)落后，控制系統(tǒng)開放性是困擾用戶的一個(gè)重要問(wèn)題。開放性的確有很多好處，但是同時(shí)也帶來(lái)了工控系統(tǒng)的安全問(wèn)題，減弱了控制系統(tǒng)與外界的隔離，2000年以前的控制系統(tǒng)一般都有自己獨(dú)立的操作系統(tǒng)，其開放性及通用性較弱，幾乎不存在工控網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。但目前的控制系統(tǒng)一般使用開放的Windows操作系統(tǒng)，使用OPC，網(wǎng)絡(luò)也采用冗余工業(yè)以太網(wǎng)，尤其是服務(wù)器結(jié)構(gòu)的控制系統(tǒng)，一旦服務(wù)器出現(xiàn)異常，受侵害的不僅僅是一個(gè)操作站，有可能會(huì)造成系統(tǒng)癱瘓。 

從目前披露的工業(yè)病毒特點(diǎn)來(lái)看，工業(yè)病毒對(duì)控制系統(tǒng)的影響已不再僅僅是影響計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備運(yùn)行那么簡(jiǎn)單，它們可以導(dǎo)致控制系統(tǒng)拒絕服務(wù)，可以修改控制程序從而控制或破壞工業(yè)生產(chǎn)，可以向操作人員發(fā)出虛假信息，以使操作員采取錯(cuò)誤動(dòng)作，其結(jié)果可能是造成生產(chǎn)癱瘓而導(dǎo)致重大經(jīng)濟(jì)損失，甚至于造成人員傷亡、環(huán)境破壞等重大事故。 

控制系統(tǒng)安全案例表明，來(lái)自工廠信息網(wǎng)絡(luò)、移動(dòng)存儲(chǔ)介質(zhì)、互聯(lián)網(wǎng)以及其他因素導(dǎo)致的網(wǎng)絡(luò)安全問(wèn)題正逐漸在控制系統(tǒng)中擴(kuò)散，直接影響了裝置的安穩(wěn)優(yōu)生產(chǎn)及人身安全。

2.2 控制系統(tǒng)網(wǎng)絡(luò)與信息網(wǎng)絡(luò)傳統(tǒng)結(jié)構(gòu)存在的問(wèn)題

目前的DCS系統(tǒng)大部分是通過(guò)OPC與工廠管理網(wǎng)進(jìn)行連接，通過(guò)OPC將主要裝置數(shù)據(jù)采集到實(shí)時(shí)數(shù)據(jù)庫(kù)(如INFOPLUS.21等)，見(jiàn)圖1。幾乎大部分DCS系統(tǒng)都沒(méi)有安裝防病毒軟件，同時(shí)還有少部分DCS系統(tǒng)沒(méi)有設(shè)置硬件防火墻。

傳統(tǒng)的控制系統(tǒng)數(shù)據(jù)采集一般都是通過(guò)網(wǎng)關(guān)機(jī)或接口機(jī)把生產(chǎn)網(wǎng)與管理網(wǎng)隔離開，網(wǎng)關(guān)機(jī)有兩個(gè)網(wǎng)卡，一個(gè)與生產(chǎn)控制網(wǎng)相連，一個(gè)網(wǎng)卡與管理網(wǎng)相連，見(jiàn)圖2。生產(chǎn)控制網(wǎng)涉及生產(chǎn)控制，所以對(duì)網(wǎng)絡(luò)安全性要求非常高，不能允許出任何問(wèn)題，也不能遺留任何安全隱患。生產(chǎn)控制網(wǎng)的數(shù)據(jù)傳輸模式是把生產(chǎn)數(shù)據(jù)傳送到網(wǎng)關(guān)機(jī)上，然后網(wǎng)關(guān)機(jī)再把從生產(chǎn)網(wǎng)絡(luò)上傳送過(guò)來(lái)的數(shù)據(jù)發(fā)送到管理網(wǎng)的數(shù)據(jù)采集服務(wù)器。

通過(guò)網(wǎng)關(guān)機(jī)將生產(chǎn)網(wǎng)與管理網(wǎng)分開，這種方式雖然在一定程度上提高了生產(chǎn)網(wǎng)的安全性，但是仍然存在潛在的安全隱患。因?yàn)榫W(wǎng)關(guān)機(jī)本身的安全防護(hù)措施有限，在管理網(wǎng)中的任何主機(jī)都可以利用網(wǎng)關(guān)機(jī)操作系統(tǒng)的漏洞向網(wǎng)關(guān)機(jī)發(fā)起攻擊，網(wǎng)關(guān)機(jī)一旦被攻破或者被控制，黑客就會(huì)以網(wǎng)關(guān)機(jī)為跳板，攻擊生產(chǎn)網(wǎng)中的系統(tǒng)。 

控制系統(tǒng)操作站一般都以Windows為平臺(tái)，任何一個(gè)版本的Windows自發(fā)布以來(lái)都在不停地發(fā)布漏洞補(bǔ)丁，為保證控制系統(tǒng)相對(duì)的獨(dú)立性，控制系統(tǒng)工程師通常在系統(tǒng)開車后基本不會(huì)對(duì)Windows平臺(tái)打任何補(bǔ)丁，更為重要的是打過(guò)補(bǔ)丁的操作系統(tǒng)沒(méi)有經(jīng)過(guò)制造商測(cè)試，存在安全運(yùn)行風(fēng)險(xiǎn)。

2.3 控制系統(tǒng)網(wǎng)絡(luò)安全隱患解決方案

2.3.1 安裝專用安全隔離裝置

在網(wǎng)關(guān)機(jī)與管理網(wǎng)之間，安裝專用安全隔離裝置(如網(wǎng)閘、Tofino安全模塊等)進(jìn)行安全隔離和網(wǎng)路防護(hù)，如圖3所示。通過(guò)安裝專用安全隔離裝置，可以保證生產(chǎn)網(wǎng)絡(luò)中的數(shù)據(jù)通過(guò)網(wǎng)關(guān)機(jī)實(shí)時(shí)地傳送到管理網(wǎng)中的數(shù)據(jù)采集服務(wù)器，同時(shí)將管理網(wǎng)所有無(wú)效的或不被授權(quán)的通信完全屏蔽，過(guò)濾所有的網(wǎng)絡(luò)攻擊，保證生產(chǎn)網(wǎng)的安全。

2.3.2 網(wǎng)絡(luò)中部署殺毒服務(wù)器

為了消除來(lái)自U盤、光盤等移動(dòng)存儲(chǔ)介質(zhì)導(dǎo)致的病毒傳播，可以在控制網(wǎng)的DCS操作站和服務(wù)器上安裝經(jīng)過(guò)DCS廠家認(rèn)證的Mcafee網(wǎng)絡(luò)版殺毒軟件，并在網(wǎng)絡(luò)上連接一臺(tái)病毒庫(kù)升級(jí)服務(wù)器，對(duì)每個(gè)操作站打全經(jīng)過(guò)DCS廠家認(rèn)證的最新Windows補(bǔ)丁，病毒庫(kù)升級(jí)和Windows補(bǔ)丁可以每隔一段時(shí)間請(qǐng)DCS廠家進(jìn)行服務(wù)一次，也可以自己實(shí)施。

2.3.3 建立工控信息安全監(jiān)控系統(tǒng)

工控信息安全監(jiān)控系統(tǒng)是部署于工業(yè)控制網(wǎng)中的實(shí)時(shí)信息安全監(jiān)控系統(tǒng)，由監(jiān)控中心和監(jiān)控引擎組成。它連續(xù)不間斷地監(jiān)視工業(yè)以太網(wǎng)中傳輸?shù)乃芯W(wǎng)絡(luò)通信信息，基于對(duì)工控協(xié)議的深度解析，根據(jù)用戶指定的保護(hù)目標(biāo)及檢測(cè)策略對(duì)網(wǎng)絡(luò)中的可疑行為或攻擊行為產(chǎn)生報(bào)警，包括未知設(shè)備接入、設(shè)備非法外連、設(shè)備通信中斷、用戶誤操作、用戶違規(guī)操作、工藝閾值非預(yù)期波動(dòng)、組態(tài)變更、負(fù)載變更、網(wǎng)絡(luò)流量異常、網(wǎng)絡(luò)攻擊以及蠕蟲、病毒等惡意軟件的傳播，通知用戶進(jìn)行人為干預(yù)，對(duì)網(wǎng)絡(luò)通信行為進(jìn)行審計(jì)記錄，定期生成統(tǒng)計(jì)報(bào)表，全面掌控工業(yè)控制網(wǎng)的“過(guò)去、現(xiàn)在和未來(lái)”。

2.3.4 建立企業(yè)安全管理體系

將工業(yè)控制系統(tǒng)信息安全納入企業(yè)安全管理體系，并有相應(yīng)的組織保障和資金保障。確保控制系統(tǒng)信息安全應(yīng)有相應(yīng)的組織體系保障，組織體系的設(shè)計(jì)原則為領(lǐng)導(dǎo)負(fù)責(zé)制，組織體系應(yīng)包括健全的統(tǒng)一的安全管理組織機(jī)構(gòu)，負(fù)責(zé)制定安全規(guī)范，并按照標(biāo)準(zhǔn)的安全管理流程進(jìn)行規(guī)范化的信息系統(tǒng)安全管理和監(jiān)督。

2.4 案列

案列2：加氫裝置DCS操作站感染病毒

某加氫裝置DCS為霍尼韋爾的PKS系統(tǒng)，一共有9個(gè)操作站，2臺(tái)服務(wù)器，操作系統(tǒng)為Windows XP。從某日開始，DCS服務(wù)器和操作站運(yùn)行緩慢直至死機(jī)，無(wú)法熱啟動(dòng)，只能斷電重啟，而且死機(jī)逐漸頻繁，每次必須斷電重啟。對(duì)服務(wù)器和部分操作站重裝系統(tǒng)后，故障依然存在，經(jīng)過(guò)多次處理無(wú)果后，懷疑是DCS操作站感染了病毒，并通過(guò)DCS網(wǎng)絡(luò)進(jìn)行傳播。 

霍尼韋爾工程師用霍尼韋爾認(rèn)證的殺毒軟件對(duì)操作站進(jìn)行病毒掃描查殺，在兩臺(tái)操作站上發(fā)現(xiàn)大量病毒，其余部分操作站發(fā)現(xiàn)少量病毒，最多的一臺(tái)操作站發(fā)現(xiàn)多達(dá)80多個(gè)病毒，通過(guò)殺毒軟件分別對(duì)每個(gè)操作站進(jìn)行病毒查殺后，故障現(xiàn)象仍沒(méi)有消除，隔一段時(shí)間，再次查殺病毒，病毒仍然存在，病毒不斷通過(guò)DCS網(wǎng)絡(luò)進(jìn)行繁殖，無(wú)法徹底查殺干凈。由此確定，該裝置DCS操作站全面感染病毒，DCS操作站和服務(wù)器故障也是由于病毒引起的。 

霍尼韋爾工程師提出了兩個(gè)解決方案，一個(gè)方案是將操作站和服務(wù)器全部從DCS網(wǎng)絡(luò)上斷開，逐一對(duì)操作站和服務(wù)器進(jìn)行殺毒和重裝，避免一邊殺毒一邊從網(wǎng)絡(luò)傳染，但這樣會(huì)導(dǎo)致裝置大約有半個(gè)小時(shí)的時(shí)間無(wú)法監(jiān)測(cè)到數(shù)據(jù)，給安全生產(chǎn)帶來(lái)較大威脅；另一個(gè)方案是霍尼韋爾專業(yè)殺毒工程師來(lái)現(xiàn)場(chǎng)進(jìn)行殺毒服務(wù)，安裝經(jīng)過(guò)霍尼韋爾認(rèn)證的網(wǎng)絡(luò)版殺毒軟件，最后采取了第二個(gè)方案。 

霍尼韋爾工程師在全部操作站和服務(wù)器上安裝了經(jīng)過(guò)霍尼韋爾認(rèn)證的Mcafee網(wǎng)絡(luò)版殺毒軟件，同時(shí)在網(wǎng)絡(luò)上連接了一臺(tái)病毒庫(kù)升級(jí)服務(wù)器，對(duì)每個(gè)操作站打全了經(jīng)過(guò)霍尼韋爾認(rèn)證的最新的Windows XP補(bǔ)丁。將該加氫DCS操作站病毒徹底查殺干凈，DCS系統(tǒng)恢復(fù)正常。

3  防靜電

用進(jìn)入機(jī)柜室門上的金屬門把手取代防靜電球，用電線將門把手、門框連接起來(lái)，起到導(dǎo)出靜電的作用。金屬門把手做接地處理，觸摸門把手即可釋放靜電。一是起到了安全保護(hù)控制系統(tǒng)設(shè)備的作用，杜絕了進(jìn)門不釋放靜電的可能性；二是節(jié)省了防靜電球的制作安裝費(fèi)用。如果說(shuō)機(jī)柜室門是作為第一道釋放靜電的措施的話，那么機(jī)柜門接地將會(huì)成為第二道釋放靜電措施，在實(shí)施重大維護(hù)作業(yè)時(shí)帶上接地良好防靜電手腕是第三道釋放靜電措施。

4  防松動(dòng)

儀表接線質(zhì)量至關(guān)重要，尤其聯(lián)鎖及控制儀表的接線質(zhì)量要有保證，只有這樣才能避免由于線路問(wèn)題導(dǎo)致誤動(dòng)作。處于運(yùn)行末期的控制系統(tǒng)，部分信號(hào)線、接地線、電源線等因時(shí)間過(guò)久可能會(huì)出現(xiàn)松動(dòng)問(wèn)題，連接處氧化問(wèn)題、導(dǎo)致線路接觸不良，影響信號(hào)質(zhì)量，給安全生產(chǎn)帶來(lái)隱患。因此在控制系統(tǒng)施工和維護(hù)過(guò)程中要重視線路的防松動(dòng)和氧化問(wèn)題。

(1)檢修期間對(duì)控制系統(tǒng)接線連接處進(jìn)行緊固，必要時(shí)更換壓線端頭，并重新壓接，要讓端子緊固成為大檢修、機(jī)會(huì)檢修的一項(xiàng)定期工作，成為預(yù)知維護(hù)的一項(xiàng)重要內(nèi)容。 

(2)控制系統(tǒng)端子連接處逐步采用防松螺絲進(jìn)行壓接。 

(3)檢修期間去除黃銅接線端子表面的氧化層，采取措施避免端子氧化。

5  結(jié)束語(yǔ)

“防腐蝕、防病毒、防靜電、防松動(dòng)”是石化行業(yè)控制系統(tǒng)運(yùn)維過(guò)程中的重要內(nèi)容，只要認(rèn)真做好控制系統(tǒng)的四防工作，才能為控制系統(tǒng)的安全運(yùn)行奠定良好的基礎(chǔ)。

參考文獻(xiàn) 

［1］ 于世恒.不容忽視的控制系統(tǒng)腐蝕［J］.流程工業(yè),2012(13):26-28.

［2］ 工業(yè)控制系統(tǒng)與信息安全［J］.霍尼韋爾用戶期刊，2013,38(3)：12-15.

（收稿日期：2018-05-22）

作者簡(jiǎn)介：

   蘇耀東（1967-），男，本科，高級(jí)工程師，主要研究方向：APC、DCS、SIS等PCS層的系統(tǒng)。