控制系統的“四防”

蘇耀東

(中國石化齊魯分公司信息中心，山東淄博 255434)

0 引言

目前控制系統(DCS、SIS、PLC等)已經在石油化工、造紙、冶金等行業進行了普及，如何確保控制系統的安全穩定運行，保證控制系統的運行質量，提高控制系統的應用水平和使用壽命，成為擺在我們面前的一個重要課題。

1 防腐蝕

1.1 防腐的意義

控制系統在過程工業中扮演著非常重要的作用，控制系統的可靠性決定了生產裝置的可控性，從20世紀70年代第一代DCS開始，人們對控制系統的顯性故障已經有了比較成熟的應對策率，但是對腐蝕這一類隱性故障的認識、研究及對策相比于管道和設備等專業在防腐方面的研究和投入還遠遠不夠。中石化近幾年已經開始面臨著控制[1]系統硬件腐蝕引起的困擾，有效預防控制系統受腐蝕性氣體侵蝕引起的故障，對確保控制系統的安全、穩定運行具有非常重要的意義。

1.2 腐蝕的原因

控制系統的核心部件是由計算機芯片及電子元器件構成的，成千上萬的部件如同人的神經系統分布于控制系統各子系統和各部位，擔負著控制系統的信號傳遞與控制，在計算機芯片及電子元器件集成的I/O卡件上，大量使用焊接、插接、粘結等工藝進行器件和部件的連接。這些器件、部件的連接處暴露在空氣中，極易受到石化等行業腐蝕性氣體的長期積累侵蝕，引起控制系統故障。任何一個部件故障都將導致整個控制系統或某一控制設備無法正常工作，給安全生產帶來重大隱患。石化工業環境中引起電子元器件腐蝕的主要是氣體腐蝕，一般以硫化物為主。

1985年美國儀器設備協會(ISA)發布了一項標準：ISA S71.04_1985“過程測量和控制裝置環境條件：腐蝕性氣體”。根據ISA S71.04標準建立了四種腐蝕程度分類，最佳程度為G1，在此程度范圍，腐蝕情況不是影響設備可靠程度的因素，信息計算機和DCS系統一般要求G1條件，由于環境潛在腐蝕程度的增加，其相應嚴重程度劃分為G2、G3和GX，GX是最嚴重的情況。

四種腐蝕程度一般用月腐蝕厚度來進行量化，月腐蝕厚度是指用特制的銅質測試片，安放在控制系統機柜室近于關鍵設備的地方，現場放置一個月左右后，樣品被密封保存后寄回專業腐蝕檢驗中心，進行電化學剝離分析，通過腐蝕厚度分析，得出年腐蝕速率，并判斷在此情況下電子部件的腐蝕損壞程度。

1.3 腐蝕的解決方案

控制系統的防腐主要應從兩個方面入手，一個方面是保證控制系統的所有卡件具有防環境腐蝕的能力，也就是要達到ISA S71.04 標準的G3等級。

另一個方面是控制系統機柜室內通風改造，以保證機柜室內處于干凈的新風環境中，優質的空氣質量，無論對于人員還是設備，都是安全穩定生產的保障。中石化齊魯分公司一直在開展這方面的工作，主要思路是采用正壓式新風凈化系統從樓頂引新風，正壓式新風凈化系統是完全獨立的空氣凈化系統，主要應用于為室內空間提供加壓并去除腐蝕性氣體，最大不超過50%的空氣調節能力將被用于吸入空間外部氣體并進行加壓，另外50%(或以上)的能力將被用于室內空氣再循環，室內循環凈化系統會配置兩個分離式濾料箱，可針對不同的污染氣體選擇不同的化學濾料，采用該系統后氣體清潔程度將會達到并超過現有的G1標準，完全滿足控制系統的運行環境。

1.4 案例

案列1：硫磺裝置控制系統操作站防腐蝕解決方案

某硫磺裝置DCS系統2008年初投用，共有12臺操作站，采用DELL主機。自2008年12月開始的半年時間內，12臺操作站主機出現故障多達25次，幾乎平均每周1次，主要有主板、顯卡、硬盤故障等。其中主板故障14次，硬盤故障8次，顯卡故障4次。

對故障進行分析，發現故障主機內部的硬件表面有比較明顯的變化，主板、顯卡、硬盤等部件的電路焊點有硫化物腐蝕痕跡(觀察為黑色物質，用指甲輕輕劃擦，容易脫落)。觀察到的現象得到了前來進行保修服務的DELL公司技術人員的認可，雙方共同對比、分析后認為應該是操作室內環境引起的，空氣中硫化物含量比較高(與硫磺裝置的生產特點有關)，對電子元器件的腐蝕導致主機硬件的損壞。

根據故障現象和分析結果，提出了解決方案。

(1)將操作臺配置的風扇全部停掉，減少操作臺內外的空氣流通，減少腐蝕性氣體進入主機內部。通過一段時間的觀察發現故障率確實有些降低，也再次證實了腐蝕是導致主機高故障率的原因。

(2)聯系DELL公司試圖解決主機電路板的防腐蝕問題，但DELL答復說目前沒有防腐蝕的產品，只能延長保修期進行保修(最長5年保修期)。

(3)進一步與DELL公司保修服務人員交流，稱可以聯系第三方公司對主機內電路板進行防腐處理(DELL公司無該項服務)，但經第三方公司處理后DELL公司不再提供保修服務。該方案因為存在較大的未知性和一定的風險，在進行其他嘗試前先不予優先考慮。

(4)發現國內某公司的ARK系列工控機，其體積小、集成度高、密閉性好、無風扇運行，具有一定的抗腐蝕能力，比較適合現有環境。

最終，采用某公司的ARK系列工控機替代現有DELL主機作為優先嘗試的最佳方案。經過連續幾年的觀察，發現新更換的12臺ARK系列工控機運行良好，幾乎實現了零故障率，因腐蝕原因造成的操作站主機高故障率現象得到了解決。

2 防病毒

2.1 防病毒的意義

過去的控制系統廠商基本上是以自主開發為主，由于通信技術的相對落后，控制系統開放性是困擾用戶的一個重要問題。開放性的確有很多好處，但是同時也帶來了工控系統的安全問題，減弱了控制系統與外界的隔離，2000年以前的控制系統一般都有自己獨立的操作系統，其開放性及通用性較弱，幾乎不存在工控網絡安全風險。但目前的控制系統一般使用開放的Windows操作系統，使用OPC，網絡也采用冗余工業以太網，尤其是服務器結構的控制系統，一旦服務器出現異常，受侵害的不僅僅是一個操作站，有可能會造成系統癱瘓。

從目前披露的工業病毒特點來看，工業病毒對控制系統的影響已不再僅僅是影響計算機和網絡設備運行那么簡單，它們可以導致控制系統拒絕服務，可以修改控制程序從而控制或破壞工業生產，可以向操作人員發出虛假信息，以使操作員采取錯誤動作，其結果可能是造成生產癱瘓而導致重大經濟損失，甚至于造成人員傷亡、環境破壞等重大事故。

控制系統安全案例表明，來自工廠信息網絡、移動存儲介質、互聯網以及其他因素導致的網絡安全問題正逐漸在控制系統中擴散，直接影響了裝置的安穩優生產及人身安全。

2.2 控制系統網絡與信息網絡傳統結構存在的問題

目前的DCS系統大部分是通過OPC與工廠管理網進行連接，通過OPC將主要裝置數據采集到實時數據庫(如INFOPLUS.21等)，見圖1。幾乎大部分DCS系統都沒有安裝防病毒軟件，同時還有少部分DCS系統沒有設置硬件防火墻。

圖1 DCS與工廠管理網的連接

傳統的控制系統數據采集一般都是通過網關機或接口機把生產網與管理網隔離開，網關機有兩個網卡，一個與生產控制網相連，一個網卡與管理網相連，見圖2。生產控制網涉及生產控制，所以對網絡安全性要求非常高，不能允許出任何問題，也不能遺留任何安全隱患。生產控制網的數據傳輸模式是把生產數據傳送到網關機上，然后網關機再把從生產網絡上傳送過來的數據發送到管理網的數據采集服務器。

圖2 生產控制網與管理網的連接

通過網關機將生產網與管理網分開，這種方式雖然在一定程度上提高了生產網的安全性，但是仍然存在潛在的安全隱患。因為網關機本身的安全防護措施有限，在管理網中的任何主機都可以利用網關機操作系統的漏洞向網關機發起攻擊，網關機一旦被攻破或者被控制，黑客就會以網關機為跳板，攻擊生產網中的系統。

控制系統操作站一般都以Windows為平臺，任何一個版本的Windows自發布以來都在不停地發布漏洞補丁，為保證控制系統相對的獨立性，控制系統工程師通常在系統開車后基本不會對Windows平臺打任何補丁，更為重要的是打過補丁的操作系統沒有經過制造商測試，存在安全運行風險。

2.3 控制系統網絡安全隱患解決方案

2.3.1安裝專用安全隔離裝置

在網關機與管理網之間，安裝專用安全隔離裝置(如網閘、Tofino安全模塊等)進行安全隔離和網路防護，如圖3所示。通過安裝專用安全隔離裝置，可以保證生產網絡中的數據通過網關機實時地傳送到管理網中的數據采集服務器，同時將管理網所有無效的或不被授權的通信完全屏蔽，過濾所有的網絡攻擊，保證生產網的安全。

圖3 安全模塊的連接

2.3.2網絡中部署殺毒服務器

為了消除來自U盤、光盤等移動存儲介質導致的病毒傳播，可以在控制網的DCS操作站和服務器上安裝經過DCS廠家認證的Mcafee網絡版殺毒軟件，并在網絡上連接一臺病毒庫升級服務器，對每個操作站打全經過DCS廠家認證的最新Windows補丁，病毒庫升級和Windows補丁可以每隔一段時間請DCS廠家進行服務一次，也可以自己實施。

2.3.3建立工控信息安全監控系統

工控信息安全監控系統是部署于工業控制網中的實時信息安全監控系統，由監控中心和監控引擎組成。它連續不間斷地監視工業以太網中傳輸的所有網絡通信信息，基于對工控協議的深度解析，根據用戶指定的保護目標及檢測策略對網絡中的可疑行為或攻擊行為產生報警，包括未知設備接入、設備非法外連、設備通信中斷、用戶誤操作、用戶違規操作、工藝閾值非預期波動、組態變更、負載變更、網絡流量異常、網絡攻擊以及蠕蟲、病毒等惡意軟件的傳播，通知用戶進行人為干預，對網絡通信行為進行審計記錄，定期生成統計報表，全面掌控工業控制網的“過去、現在和未來”。

2.3.4建立企業安全管理體系

將工業控制系統信息安全納入企業安全管理體系，并有相應的組織保障和資金保障。確保控制系統信息安全應有相應的組織體系保障，組織體系的設計原則為領導負責制，組織體系應包括健全的統一的安全管理組織機構，負責制定安全規范，并按照標準的安全管理流程進行規范化的信息系統安全管理和監督。

2.4 案列

案列2：加氫裝置DCS操作站感染病毒

某加氫裝置DCS為霍尼韋爾的PKS系統，一共有9個操作站，2臺服務器，操作系統為Windows XP。從某日開始，DCS服務器和操作站運行緩慢直至死機，無法熱啟動，只能斷電重啟，而且死機逐漸頻繁，每次必須斷電重啟。對服務器和部分操作站重裝系統后，故障依然存在，經過多次處理無果后，懷疑是DCS操作站感染了病毒，并通過DCS網絡進行傳播。

霍尼韋爾工程師用霍尼韋爾認證的殺毒軟件對操作站進行病毒掃描查殺，在兩臺操作站上發現大量病毒，其余部分操作站發現少量病毒，最多的一臺操作站發現多達80多個病毒，通過殺毒軟件分別對每個操作站進行病毒查殺后，故障現象仍沒有消除，隔一段時間，再次查殺病毒，病毒仍然存在，病毒不斷通過DCS網絡進行繁殖，無法徹底查殺干凈。由此確定，該裝置DCS操作站全面感染病毒，DCS操作站和服務器故障也是由于病毒引起的。

霍尼韋爾工程師提出了兩個解決方案，一個方案是將操作站和服務器全部從DCS網絡上斷開，逐一對操作站和服務器進行殺毒和重裝，避免一邊殺毒一邊從網絡傳染，但這樣會導致裝置大約有半個小時的時間無法監測到數據，給安全生產帶來較大威脅；另一個方案是霍尼韋爾專業殺毒工程師來現場進行殺毒服務，安裝經過霍尼韋爾認證的網絡版殺毒軟件，最后采取了第二個方案。

霍尼韋爾工程師在全部操作站和服務器上安裝了經過霍尼韋爾認證的Mcafee網絡版殺毒軟件，同時在網絡上連接了一臺病毒庫升級服務器，對每個操作站打全了經過霍尼韋爾認證的最新的Windows XP補丁。將該加氫DCS操作站病毒徹底查殺干凈，DCS系統恢復正常。

3 防靜電

用進入機柜室門上的金屬門把手取代防靜電球，用電線將門把手、門框連接起來，起到導出靜電的作用。金屬門把手做接地處理，觸摸門把手即可釋放靜電。一是起到了安全保護控制系統設備的作用，杜絕了進門不釋放靜電的可能性；二是節省了防靜電球的制作安裝費用。如果說機柜室門是作為第一道釋放靜電的措施的話，那么機柜門接地將會成為第二道釋放靜電措施，在實施重大維護作業時帶上接地良好防靜電手腕是第三道釋放靜電措施。

4 防松動

儀表接線質量至關重要，尤其聯鎖及控制儀表的接線質量要有保證，只有這樣才能避免由于線路問題導致誤動作。處于運行末期的控制系統，部分信號線、接地線、電源線等因時間過久可能會出現松動問題，連接處氧化問題、導致線路接觸不良，影響信號質量，給安全生產帶來隱患。因此在控制系統施工和維護過程中要重視線路的防松動和氧化問題。

(1)檢修期間對控制系統接線連接處進行緊固，必要時更換壓線端頭，并重新壓接，要讓端子緊固成為大檢修、機會檢修的一項定期工作，成為預知維護的一項重要內容。

(2)控制系統端子連接處逐步采用防松螺絲進行壓接。

(3)檢修期間去除黃銅接線端子表面的氧化層，采取措施避免端子氧化。

5 結束語

“防腐蝕、防病毒、防靜電、防松動”是石化行業控制系統運維過程中的重要內容，只要認真做好控制系統的四防工作，才能為控制系統的安全運行奠定良好的基礎。