文獻(xiàn)標(biāo)識碼:A
DOI: 10.19358/j.issn.2096-5133.2018.08.017
中文引用格式:蘇耀東.控制系統(tǒng)的“四防”[J].信息技術(shù)與網(wǎng)絡(luò)安全,2018,37(8):73-76.
0 引言
目前控制系統(tǒng)(DCS、SIS、PLC等)已經(jīng)在石油化工、造紙、冶金等行業(yè)進(jìn)行了普及,如何確??刂葡到y(tǒng)的安全穩(wěn)定運(yùn)行,保證控制系統(tǒng)的運(yùn)行質(zhì)量,提高控制系統(tǒng)的應(yīng)用水平和使用壽命,成為擺在我們面前的一個(gè)重要課題。
1 防腐蝕
1.1 防腐的意義
控制系統(tǒng)在過程工業(yè)中扮演著非常重要的作用,控制系統(tǒng)的可靠性決定了生產(chǎn)裝置的可控性,從20世紀(jì)70年代第一代DCS開始,人們對控制系統(tǒng)的顯性故障已經(jīng)有了比較成熟的應(yīng)對策率,但是對腐蝕這一類隱性故障的認(rèn)識、研究及對策相比于管道和設(shè)備等專業(yè)在防腐方面的研究和投入還遠(yuǎn)遠(yuǎn)不夠。中石化近幾年已經(jīng)開始面臨著控制[1]系統(tǒng)硬件腐蝕引起的困擾,有效預(yù)防控制系統(tǒng)受腐蝕性氣體侵蝕引起的故障,對確??刂葡到y(tǒng)的安全、穩(wěn)定運(yùn)行具有非常重要的意義。
1.2 腐蝕的原因
控制系統(tǒng)的核心部件是由計(jì)算機(jī)芯片及電子元器件構(gòu)成的,成千上萬的部件如同人的神經(jīng)系統(tǒng)分布于控制系統(tǒng)各子系統(tǒng)和各部位,擔(dān)負(fù)著控制系統(tǒng)的信號傳遞與控制,在計(jì)算機(jī)芯片及電子元器件集成的I/O卡件上,大量使用焊接、插接、粘結(jié)等工藝進(jìn)行器件和部件的連接。這些器件、部件的連接處暴露在空氣中,極易受到石化等行業(yè)腐蝕性氣體的長期積累侵蝕,引起控制系統(tǒng)故障。任何一個(gè)部件故障都將導(dǎo)致整個(gè)控制系統(tǒng)或某一控制設(shè)備無法正常工作,給安全生產(chǎn)帶來重大隱患。石化工業(yè)環(huán)境中引起電子元器件腐蝕的主要是氣體腐蝕,一般以硫化物為主。
1985年美國儀器設(shè)備協(xié)會(huì)(ISA)發(fā)布了一項(xiàng)標(biāo)準(zhǔn):ISA S71.04_1985“過程測量和控制裝置環(huán)境條件:腐蝕性氣體”。根據(jù)ISA S71.04標(biāo)準(zhǔn)建立了四種腐蝕程度分類,最佳程度為G1,在此程度范圍,腐蝕情況不是影響設(shè)備可靠程度的因素,信息計(jì)算機(jī)和DCS系統(tǒng)一般要求G1條件,由于環(huán)境潛在腐蝕程度的增加,其相應(yīng)嚴(yán)重程度劃分為G2、G3和GX,GX是最嚴(yán)重的情況。
四種腐蝕程度一般用月腐蝕厚度來進(jìn)行量化,月腐蝕厚度是指用特制的銅質(zhì)測試片,安放在控制系統(tǒng)機(jī)柜室近于關(guān)鍵設(shè)備的地方,現(xiàn)場放置一個(gè)月左右后,樣品被密封保存后寄回專業(yè)腐蝕檢驗(yàn)中心,進(jìn)行電化學(xué)剝離分析,通過腐蝕厚度分析,得出年腐蝕速率,并判斷在此情況下電子部件的腐蝕損壞程度。
1.3 腐蝕的解決方案
控制系統(tǒng)的防腐主要應(yīng)從兩個(gè)方面入手,一個(gè)方面是保證控制系統(tǒng)的所有卡件具有防環(huán)境腐蝕的能力,也就是要達(dá)到ISA S71.04 標(biāo)準(zhǔn)的G3等級。
另一個(gè)方面是控制系統(tǒng)機(jī)柜室內(nèi)通風(fēng)改造,以保證機(jī)柜室內(nèi)處于干凈的新風(fēng)環(huán)境中,優(yōu)質(zhì)的空氣質(zhì)量,無論對于人員還是設(shè)備,都是安全穩(wěn)定生產(chǎn)的保障。中石化齊魯分公司一直在開展這方面的工作,主要思路是采用正壓式新風(fēng)凈化系統(tǒng)從樓頂引新風(fēng),正壓式新風(fēng)凈化系統(tǒng)是完全獨(dú)立的空氣凈化系統(tǒng),主要應(yīng)用于為室內(nèi)空間提供加壓并去除腐蝕性氣體,最大不超過50%的空氣調(diào)節(jié)能力將被用于吸入空間外部氣體并進(jìn)行加壓,另外50%(或以上)的能力將被用于室內(nèi)空氣再循環(huán),室內(nèi)循環(huán)凈化系統(tǒng)會(huì)配置兩個(gè)分離式濾料箱,可針對不同的污染氣體選擇不同的化學(xué)濾料,采用該系統(tǒng)后氣體清潔程度將會(huì)達(dá)到并超過現(xiàn)有的G1標(biāo)準(zhǔn),完全滿足控制系統(tǒng)的運(yùn)行環(huán)境。
1.4 案例
案列1:硫磺裝置控制系統(tǒng)操作站防腐蝕解決方案
某硫磺裝置DCS系統(tǒng)2008年初投用,共有12臺操作站,采用DELL主機(jī)。自2008年12月開始的半年時(shí)間內(nèi),12臺操作站主機(jī)出現(xiàn)故障多達(dá)25次,幾乎平均每周1次,主要有主板、顯卡、硬盤故障等。其中主板故障14次,硬盤故障8次,顯卡故障4次。
對故障進(jìn)行分析,發(fā)現(xiàn)故障主機(jī)內(nèi)部的硬件表面有比較明顯的變化,主板、顯卡、硬盤等部件的電路焊點(diǎn)有硫化物腐蝕痕跡(觀察為黑色物質(zhì),用指甲輕輕劃擦,容易脫落)。觀察到的現(xiàn)象得到了前來進(jìn)行保修服務(wù)的DELL公司技術(shù)人員的認(rèn)可,雙方共同對比、分析后認(rèn)為應(yīng)該是操作室內(nèi)環(huán)境引起的,空氣中硫化物含量比較高(與硫磺裝置的生產(chǎn)特點(diǎn)有關(guān)),對電子元器件的腐蝕導(dǎo)致主機(jī)硬件的損壞。
根據(jù)故障現(xiàn)象和分析結(jié)果,提出了解決方案。
(1)將操作臺配置的風(fēng)扇全部停掉,減少操作臺內(nèi)外的空氣流通,減少腐蝕性氣體進(jìn)入主機(jī)內(nèi)部。通過一段時(shí)間的觀察發(fā)現(xiàn)故障率確實(shí)有些降低,也再次證實(shí)了腐蝕是導(dǎo)致主機(jī)高故障率的原因。
(2)聯(lián)系DELL公司試圖解決主機(jī)電路板的防腐蝕問題,但DELL答復(fù)說目前沒有防腐蝕的產(chǎn)品,只能延長保修期進(jìn)行保修(最長5年保修期)。
(3)進(jìn)一步與DELL公司保修服務(wù)人員交流,稱可以聯(lián)系第三方公司對主機(jī)內(nèi)電路板進(jìn)行防腐處理(DELL公司無該項(xiàng)服務(wù)),但經(jīng)第三方公司處理后DELL公司不再提供保修服務(wù)。該方案因?yàn)榇嬖谳^大的未知性和一定的風(fēng)險(xiǎn),在進(jìn)行其他嘗試前先不予優(yōu)先考慮。
(4)發(fā)現(xiàn)國內(nèi)某公司的ARK系列工控機(jī),其體積小、集成度高、密閉性好、無風(fēng)扇運(yùn)行,具有一定的抗腐蝕能力,比較適合現(xiàn)有環(huán)境。
最終,采用某公司的ARK系列工控機(jī)替代現(xiàn)有DELL主機(jī)作為優(yōu)先嘗試的最佳方案。經(jīng)過連續(xù)幾年的觀察,發(fā)現(xiàn)新更換的12臺ARK系列工控機(jī)運(yùn)行良好,幾乎實(shí)現(xiàn)了零故障率,因腐蝕原因造成的操作站主機(jī)高故障率現(xiàn)象得到了解決。
2 防病毒
2.1 防病毒的意義
過去的控制系統(tǒng)廠商基本上是以自主開發(fā)為主,由于通信技術(shù)的相對落后,控制系統(tǒng)開放性是困擾用戶的一個(gè)重要問題。開放性的確有很多好處,但是同時(shí)也帶來了工控系統(tǒng)的安全問題,減弱了控制系統(tǒng)與外界的隔離,2000年以前的控制系統(tǒng)一般都有自己獨(dú)立的操作系統(tǒng),其開放性及通用性較弱,幾乎不存在工控網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。但目前的控制系統(tǒng)一般使用開放的Windows操作系統(tǒng),使用OPC,網(wǎng)絡(luò)也采用冗余工業(yè)以太網(wǎng),尤其是服務(wù)器結(jié)構(gòu)的控制系統(tǒng),一旦服務(wù)器出現(xiàn)異常,受侵害的不僅僅是一個(gè)操作站,有可能會(huì)造成系統(tǒng)癱瘓。
從目前披露的工業(yè)病毒特點(diǎn)來看,工業(yè)病毒對控制系統(tǒng)的影響已不再僅僅是影響計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備運(yùn)行那么簡單,它們可以導(dǎo)致控制系統(tǒng)拒絕服務(wù),可以修改控制程序從而控制或破壞工業(yè)生產(chǎn),可以向操作人員發(fā)出虛假信息,以使操作員采取錯(cuò)誤動(dòng)作,其結(jié)果可能是造成生產(chǎn)癱瘓而導(dǎo)致重大經(jīng)濟(jì)損失,甚至于造成人員傷亡、環(huán)境破壞等重大事故。
控制系統(tǒng)安全案例表明,來自工廠信息網(wǎng)絡(luò)、移動(dòng)存儲介質(zhì)、互聯(lián)網(wǎng)以及其他因素導(dǎo)致的網(wǎng)絡(luò)安全問題正逐漸在控制系統(tǒng)中擴(kuò)散,直接影響了裝置的安穩(wěn)優(yōu)生產(chǎn)及人身安全。
2.2 控制系統(tǒng)網(wǎng)絡(luò)與信息網(wǎng)絡(luò)傳統(tǒng)結(jié)構(gòu)存在的問題
目前的DCS系統(tǒng)大部分是通過OPC與工廠管理網(wǎng)進(jìn)行連接,通過OPC將主要裝置數(shù)據(jù)采集到實(shí)時(shí)數(shù)據(jù)庫(如INFOPLUS.21等),見圖1。幾乎大部分DCS系統(tǒng)都沒有安裝防病毒軟件,同時(shí)還有少部分DCS系統(tǒng)沒有設(shè)置硬件防火墻。
傳統(tǒng)的控制系統(tǒng)數(shù)據(jù)采集一般都是通過網(wǎng)關(guān)機(jī)或接口機(jī)把生產(chǎn)網(wǎng)與管理網(wǎng)隔離開,網(wǎng)關(guān)機(jī)有兩個(gè)網(wǎng)卡,一個(gè)與生產(chǎn)控制網(wǎng)相連,一個(gè)網(wǎng)卡與管理網(wǎng)相連,見圖2。生產(chǎn)控制網(wǎng)涉及生產(chǎn)控制,所以對網(wǎng)絡(luò)安全性要求非常高,不能允許出任何問題,也不能遺留任何安全隱患。生產(chǎn)控制網(wǎng)的數(shù)據(jù)傳輸模式是把生產(chǎn)數(shù)據(jù)傳送到網(wǎng)關(guān)機(jī)上,然后網(wǎng)關(guān)機(jī)再把從生產(chǎn)網(wǎng)絡(luò)上傳送過來的數(shù)據(jù)發(fā)送到管理網(wǎng)的數(shù)據(jù)采集服務(wù)器。
通過網(wǎng)關(guān)機(jī)將生產(chǎn)網(wǎng)與管理網(wǎng)分開,這種方式雖然在一定程度上提高了生產(chǎn)網(wǎng)的安全性,但是仍然存在潛在的安全隱患。因?yàn)榫W(wǎng)關(guān)機(jī)本身的安全防護(hù)措施有限,在管理網(wǎng)中的任何主機(jī)都可以利用網(wǎng)關(guān)機(jī)操作系統(tǒng)的漏洞向網(wǎng)關(guān)機(jī)發(fā)起攻擊,網(wǎng)關(guān)機(jī)一旦被攻破或者被控制,黑客就會(huì)以網(wǎng)關(guān)機(jī)為跳板,攻擊生產(chǎn)網(wǎng)中的系統(tǒng)。
控制系統(tǒng)操作站一般都以Windows為平臺,任何一個(gè)版本的Windows自發(fā)布以來都在不停地發(fā)布漏洞補(bǔ)丁,為保證控制系統(tǒng)相對的獨(dú)立性,控制系統(tǒng)工程師通常在系統(tǒng)開車后基本不會(huì)對Windows平臺打任何補(bǔ)丁,更為重要的是打過補(bǔ)丁的操作系統(tǒng)沒有經(jīng)過制造商測試,存在安全運(yùn)行風(fēng)險(xiǎn)。
2.3 控制系統(tǒng)網(wǎng)絡(luò)安全隱患解決方案
2.3.1 安裝專用安全隔離裝置
在網(wǎng)關(guān)機(jī)與管理網(wǎng)之間,安裝專用安全隔離裝置(如網(wǎng)閘、Tofino安全模塊等)進(jìn)行安全隔離和網(wǎng)路防護(hù),如圖3所示。通過安裝專用安全隔離裝置,可以保證生產(chǎn)網(wǎng)絡(luò)中的數(shù)據(jù)通過網(wǎng)關(guān)機(jī)實(shí)時(shí)地傳送到管理網(wǎng)中的數(shù)據(jù)采集服務(wù)器,同時(shí)將管理網(wǎng)所有無效的或不被授權(quán)的通信完全屏蔽,過濾所有的網(wǎng)絡(luò)攻擊,保證生產(chǎn)網(wǎng)的安全。
2.3.2 網(wǎng)絡(luò)中部署殺毒服務(wù)器
為了消除來自U盤、光盤等移動(dòng)存儲介質(zhì)導(dǎo)致的病毒傳播,可以在控制網(wǎng)的DCS操作站和服務(wù)器上安裝經(jīng)過DCS廠家認(rèn)證的Mcafee網(wǎng)絡(luò)版殺毒軟件,并在網(wǎng)絡(luò)上連接一臺病毒庫升級服務(wù)器,對每個(gè)操作站打全經(jīng)過DCS廠家認(rèn)證的最新Windows補(bǔ)丁,病毒庫升級和Windows補(bǔ)丁可以每隔一段時(shí)間請DCS廠家進(jìn)行服務(wù)一次,也可以自己實(shí)施。
2.3.3 建立工控信息安全監(jiān)控系統(tǒng)
工控信息安全監(jiān)控系統(tǒng)是部署于工業(yè)控制網(wǎng)中的實(shí)時(shí)信息安全監(jiān)控系統(tǒng),由監(jiān)控中心和監(jiān)控引擎組成。它連續(xù)不間斷地監(jiān)視工業(yè)以太網(wǎng)中傳輸?shù)乃芯W(wǎng)絡(luò)通信信息,基于對工控協(xié)議的深度解析,根據(jù)用戶指定的保護(hù)目標(biāo)及檢測策略對網(wǎng)絡(luò)中的可疑行為或攻擊行為產(chǎn)生報(bào)警,包括未知設(shè)備接入、設(shè)備非法外連、設(shè)備通信中斷、用戶誤操作、用戶違規(guī)操作、工藝閾值非預(yù)期波動(dòng)、組態(tài)變更、負(fù)載變更、網(wǎng)絡(luò)流量異常、網(wǎng)絡(luò)攻擊以及蠕蟲、病毒等惡意軟件的傳播,通知用戶進(jìn)行人為干預(yù),對網(wǎng)絡(luò)通信行為進(jìn)行審計(jì)記錄,定期生成統(tǒng)計(jì)報(bào)表,全面掌控工業(yè)控制網(wǎng)的“過去、現(xiàn)在和未來”。
2.3.4 建立企業(yè)安全管理體系
將工業(yè)控制系統(tǒng)信息安全納入企業(yè)安全管理體系,并有相應(yīng)的組織保障和資金保障。確??刂葡到y(tǒng)信息安全應(yīng)有相應(yīng)的組織體系保障,組織體系的設(shè)計(jì)原則為領(lǐng)導(dǎo)負(fù)責(zé)制,組織體系應(yīng)包括健全的統(tǒng)一的安全管理組織機(jī)構(gòu),負(fù)責(zé)制定安全規(guī)范,并按照標(biāo)準(zhǔn)的安全管理流程進(jìn)行規(guī)范化的信息系統(tǒng)安全管理和監(jiān)督。
2.4 案列
案列2:加氫裝置DCS操作站感染病毒
某加氫裝置DCS為霍尼韋爾的PKS系統(tǒng),一共有9個(gè)操作站,2臺服務(wù)器,操作系統(tǒng)為Windows XP。從某日開始,DCS服務(wù)器和操作站運(yùn)行緩慢直至死機(jī),無法熱啟動(dòng),只能斷電重啟,而且死機(jī)逐漸頻繁,每次必須斷電重啟。對服務(wù)器和部分操作站重裝系統(tǒng)后,故障依然存在,經(jīng)過多次處理無果后,懷疑是DCS操作站感染了病毒,并通過DCS網(wǎng)絡(luò)進(jìn)行傳播。
霍尼韋爾工程師用霍尼韋爾認(rèn)證的殺毒軟件對操作站進(jìn)行病毒掃描查殺,在兩臺操作站上發(fā)現(xiàn)大量病毒,其余部分操作站發(fā)現(xiàn)少量病毒,最多的一臺操作站發(fā)現(xiàn)多達(dá)80多個(gè)病毒,通過殺毒軟件分別對每個(gè)操作站進(jìn)行病毒查殺后,故障現(xiàn)象仍沒有消除,隔一段時(shí)間,再次查殺病毒,病毒仍然存在,病毒不斷通過DCS網(wǎng)絡(luò)進(jìn)行繁殖,無法徹底查殺干凈。由此確定,該裝置DCS操作站全面感染病毒,DCS操作站和服務(wù)器故障也是由于病毒引起的。
霍尼韋爾工程師提出了兩個(gè)解決方案,一個(gè)方案是將操作站和服務(wù)器全部從DCS網(wǎng)絡(luò)上斷開,逐一對操作站和服務(wù)器進(jìn)行殺毒和重裝,避免一邊殺毒一邊從網(wǎng)絡(luò)傳染,但這樣會(huì)導(dǎo)致裝置大約有半個(gè)小時(shí)的時(shí)間無法監(jiān)測到數(shù)據(jù),給安全生產(chǎn)帶來較大威脅;另一個(gè)方案是霍尼韋爾專業(yè)殺毒工程師來現(xiàn)場進(jìn)行殺毒服務(wù),安裝經(jīng)過霍尼韋爾認(rèn)證的網(wǎng)絡(luò)版殺毒軟件,最后采取了第二個(gè)方案。
霍尼韋爾工程師在全部操作站和服務(wù)器上安裝了經(jīng)過霍尼韋爾認(rèn)證的Mcafee網(wǎng)絡(luò)版殺毒軟件,同時(shí)在網(wǎng)絡(luò)上連接了一臺病毒庫升級服務(wù)器,對每個(gè)操作站打全了經(jīng)過霍尼韋爾認(rèn)證的最新的Windows XP補(bǔ)丁。將該加氫DCS操作站病毒徹底查殺干凈,DCS系統(tǒng)恢復(fù)正常。
3 防靜電
用進(jìn)入機(jī)柜室門上的金屬門把手取代防靜電球,用電線將門把手、門框連接起來,起到導(dǎo)出靜電的作用。金屬門把手做接地處理,觸摸門把手即可釋放靜電。一是起到了安全保護(hù)控制系統(tǒng)設(shè)備的作用,杜絕了進(jìn)門不釋放靜電的可能性;二是節(jié)省了防靜電球的制作安裝費(fèi)用。如果說機(jī)柜室門是作為第一道釋放靜電的措施的話,那么機(jī)柜門接地將會(huì)成為第二道釋放靜電措施,在實(shí)施重大維護(hù)作業(yè)時(shí)帶上接地良好防靜電手腕是第三道釋放靜電措施。
4 防松動(dòng)
儀表接線質(zhì)量至關(guān)重要,尤其聯(lián)鎖及控制儀表的接線質(zhì)量要有保證,只有這樣才能避免由于線路問題導(dǎo)致誤動(dòng)作。處于運(yùn)行末期的控制系統(tǒng),部分信號線、接地線、電源線等因時(shí)間過久可能會(huì)出現(xiàn)松動(dòng)問題,連接處氧化問題、導(dǎo)致線路接觸不良,影響信號質(zhì)量,給安全生產(chǎn)帶來隱患。因此在控制系統(tǒng)施工和維護(hù)過程中要重視線路的防松動(dòng)和氧化問題。
(1)檢修期間對控制系統(tǒng)接線連接處進(jìn)行緊固,必要時(shí)更換壓線端頭,并重新壓接,要讓端子緊固成為大檢修、機(jī)會(huì)檢修的一項(xiàng)定期工作,成為預(yù)知維護(hù)的一項(xiàng)重要內(nèi)容。
(2)控制系統(tǒng)端子連接處逐步采用防松螺絲進(jìn)行壓接。
(3)檢修期間去除黃銅接線端子表面的氧化層,采取措施避免端子氧化。
5 結(jié)束語
“防腐蝕、防病毒、防靜電、防松動(dòng)”是石化行業(yè)控制系統(tǒng)運(yùn)維過程中的重要內(nèi)容,只要認(rèn)真做好控制系統(tǒng)的四防工作,才能為控制系統(tǒng)的安全運(yùn)行奠定良好的基礎(chǔ)。
參考文獻(xiàn)
[1] 于世恒.不容忽視的控制系統(tǒng)腐蝕[J].流程工業(yè),2012(13):26-28.
[2] 工業(yè)控制系統(tǒng)與信息安全[J].霍尼韋爾用戶期刊,2013,38(3):12-15.
(收稿日期:2018-05-22)
作者簡介:
蘇耀東(1967-),男,本科,高級工程師,主要研究方向:APC、DCS、SIS等PCS層的系統(tǒng)。