面向工控安全的電動執行機構在線服務系統設計

包偉華,王 妍,趙榮泳,張 浩,李咪淵,賈 萍

(1.上海自動化儀表有限公司,上海 200120;2.同濟大學電子與信息學院CIMS 研究中心,上海 201804)

0 引言

隨著我國“中國制造2025”和“互聯網+”的推進,超過80%的涉及國計民生的關鍵基礎設施依靠工業控制系統來實現自動化作業,工業控制系統已逐步形成了管理與控制的一體化。 同時,工控系統產品越來越多地采用通用協議、通用硬件和通用軟件。 這種二網融合使工業控制系統處于開放狀態,不再是一個獨立運行的系統。 其接入的范圍不再局限于企業網,而是擴展到了互聯網,故而面臨著來自互聯網的信息安全威脅,非常需要可靠的信息安全防護體系[1-2]。

工業自動化儀表是工業生產過程不可或缺的現場設備,其應用越來越廣泛。 自動化儀表涉及數據采樣和設備執行,具有復雜性和多樣性,需要用戶和廠商間持續、快速的信息交流,而應用過程中也因此存在一些問題有待解決和改進[3]。 例如:現場報修和服務響應模式落后,仍依賴人工處理;服務響應隨機性大,不可控因素多;儀表運行記錄和故障記錄難以及時發送給診斷專家;無法實現專家遠程同屏可視化監控和調整參數等。 這些問題都會對生產造成較大影響,浪費大量的人力、物力。

基于先進的計算機和網絡通信技術,人們漸漸提出了自動化儀表新的運維方式——遠程運維,即遠程控制產品的全生命周期中的各類問題[4]。 本文在此基礎上,提出面向工控安全的電動執行機構在線服務系統設計。 在確保工控安全的的前提下,該設計能實現可視化遠程監控、在線故障診斷以及預防性維護等功能,提升企業售后服務效率,降低故障對工廠生產的影響。

1 電動執行機構技術特征

1.1 優勢分析

執行機構是一種能提供直線或旋轉運動的驅動裝置。 它利用某種驅動能源并在某種控制信號的作用下工作。 電動執行機構主要使用電力或其他能源,并通過電動機或其他裝置將其轉化成驅動作用[5]。

電動執行機構的主要優點如下。 ①高度的穩定性和恒定的推力。 執行器產生的推力可高達2 206 496 N,能達到這么大推力的只有液動執行器,但液動執行器造價要比電動執行器高很多。 ②電動執行器的抗偏離能力較好,可以很好地克服介質的不平衡力,實現對工藝參數的準確控制,所以控制精度比氣動執行器要高。如果配用伺服放大器,可以很容易地實現正反作用的互換,也可輕松設定信號閥位狀態。

1.2 具體產品

上海自動化儀表有限公司針對自動化領域執行端需求,重點發展適用于火電、核電和石化化工等領域的AI 系列、ID 系列和SIT/SITM 系列智能型電動執行機構[6]。 目前正在開發的主要產品和技術,包括ID2 系列智能型電動執行機構、環網冗余技術、遠程診斷技術,以及智能儀表全生命周期云管理平臺等。 面向電動執行機構市場需求,公司已研制了執行機構遙控器APP 軟件,替代了原有的單一遙控器,可以實現對執行機構的參數設置和數據監控。 執行機構遙控器APP 應用如圖1 所示。

圖1 執行機構遙控器APP 應用Fig.1 Application of the actuator remote control APP

AI4 系列智能型電動執行機構通過直流無刷電動機提供動力,采用超大規模集成芯片數字信號處理器(digital signal processor,DSP)、先進的智能功率模塊(intelligent power module,IPM)和最新的磁感應絕對式編碼器,是第四代智能化、數字化、多功能、高精度的電動執行機構。

ID2 系列智能型電動執行機構采用新一代的大屏幕彩色用戶顯示界面、絕對編碼位置檢測、精確力矩測量、數據診斷、無線藍牙控制等先進技術,加上升級版的控制技術和可靠性設計,為用戶帶來更直觀、便捷、放心的體驗。

SIT/SITM 智能型角行程電動執行機構采用先進的超大規模集成電路,是在引進國外先進技術基礎上研發的新一代智能化、多功能、精小型角行程電動執行機構,特別適合各類風門調節、脫硫等場合。

電動執行機構系列產品主要技術參數如表1所示。

表1 電動執行機構系列產品主要技術參數Tab.1 The main technical parameters of the electric actuator series products

2 工控安全需求分析

隨著電子技術的不斷發展,工業控制系統從封閉、孤立的系統逐步發展為開放、智能、互動的標準系統,工業設備也日趨智能化、復雜化。 在給企業帶來更強大體驗的同時,信息安全成為了亟待解決的問題。

專有的工業控制通信協議或規約在設計時通常只強調通信的實時性及可用性,對安全性普遍考慮不足。其信息安全漏洞包括控制協議漏洞(如認證缺陷、明文傳輸等)、控制軟件漏洞(如組態軟件緩沖區)等,缺少足夠強度的認證、加密、授權,更容易遭受第三者的竊聽及欺騙性攻擊[7]。

2.1 常規安全需求

本項目建設的服務系統與公司現有的企業資源計劃(enterprise resource planning,ERP)系統有數據接口,并與外網(短信網絡)也有交互式數據接口。 因此,系統的信息安全非常重要,需要采用相應的安全措施杜絕安全隱患。 相應的安全措施為:①系統服務器的安全保護;②防止黑客從外部攻擊;③入侵檢測和監控;④信息審查與記錄;⑤病毒防護;⑥數據備份與恢復;⑦網絡防火墻管理。

另外,該服務系統能夠防止各種非法的或者超越權限的訪問、使用、修改、破壞或者泄密,并能夠在系統中將刪除的數據有效保留15 天,以避免誤操作造成的損失。

2.2 工控安全需求

本項目注重工控安全保障方案[8]。 2016 年10月,工業和信息化部印發《工業控制系統信息安全防護指南》,指導工業企業開展工控安全防護工作。 《工業控制系統信息安全防護指南》是國家網絡和信息安全的重要組成部分,是推動中國制造2025、制造業與互聯網融合發展的基礎保障。 本項目依據《工業控制系統信息安全防護指南》,完善加密技術方案。

3 工控安全流程模型

3.1 流程模型設計

工控安全模塊是對執行機構運行安全的管控[9],建立面向工控安全的電動執行機構在線服務流程,如圖2 所示。 在線服務流程分為以下五個步驟。 ①現場工程師通過藍牙連接執行機構,可以查看設備的實時狀態和數據信息。 ②工程師可以在線填寫申請專家幫助的表單,發送設備授權碼給服務平臺。 ③服務平臺收到授權碼,分配空閑的服務專家,并且向專家發送安全驗證碼。 ④專家填寫驗證碼,開始進入遠程連接。

圖2 在線服務流程圖Fig.2 Online service flowchart

⑤現場工程師與專家可以實現多屏互動,共同診斷。

授權加密如圖3 所示。

圖3 授權加密示意圖Fig.3 Authorization encryption schematic

該在線服務系統通過引入不同的授權加密算法,進一步提高信息交互的安全性。 工程師與服務平臺間有設備授權碼,使服務平臺能夠快速定位到具體需要診斷的執行機構,以加快服務效率。 平臺通過申請的訂單信息,分配空閑的專家并發送安全驗證碼。 當專家正確輸入驗證碼后,才能實現對執行機構的遠程控制。 這樣有效加強了控制的可靠性。

3.2 授權加密算法

基于云平臺的工業自動化儀表綜合服務系統通過權限管理的軟件方法和網閘隔離的硬件方法保障信息安全運行。 可視化監控和實時故障診斷模塊需要進行授權加密,以提高監控和診斷的可靠性,保證工控安全[10]。 采用信息摘要算法(message-digest algorithm,MD5)加密和RSA 非對稱加密結合的方法對授權碼進行加密,以保證信息傳輸完整一致。 MD5 是將大容量信息在用數字簽名軟件簽署私人密鑰前被“壓縮”成一種保密的格式(一個任意長度的字節串變換成一定長的十六進制數字串)。 它是雜湊算法的基礎原理。

非對稱加密算法需要兩個密鑰:公開密鑰和私有密鑰。 公開密鑰與私有密鑰是一對,如果用公開密鑰對數據進行加密,只有用對應的私有密鑰才能解密;如果用私有密鑰對數據進行加密,那么只有用對應的公開密鑰才能解密。 非對稱加密算法實現機密信息交換的基本過程是:甲方生成一對密鑰并將其中的一個作為公開密鑰向其他方公開;得到該公開密鑰的乙方使用該密鑰對機密信息進行加密后再發送給甲方;甲方再用自己保存的另一個專用密鑰對加密后的信息進行解密。

非對稱密碼的特點:保密性較好,消除了最終用戶交換密鑰的需要;由于算法復雜,使得加密解密速度沒有對稱加密解密的速度快[11]。 對稱加密中只有一個密鑰,并且是非公開的,如果要解密就得讓對方知道密鑰。 所以保證其安全性就是保證密鑰的安全。 而非對稱加密有兩個密鑰,其中一個是公開的,這樣就可以不需要像對稱加密那樣傳輸對方的密鑰,使安全性大為提高。

4 在線服務系統架構設計

在線服務系統的設計要遵循方便、快捷、可靠的原則。 系統架構拓撲如圖4 所示[12]。

圖4 系統架構拓撲圖Fig.4 System architecture topology

在線服務系統分為內部應用系統和外部應用系統兩個部分。 在兩個不同安全域之間,通過協議轉換的手段,以信息擺渡的方式實現數據交換,且只有被系統明確要求傳輸的信息才可以進行傳遞。 內部應用系統架構在公司專用內部網絡上,用戶通過公司專用網絡訪問系統提供的知識庫與數據庫;外部應用系統架構在移動通信公司提供的網絡上,系統支持移動終端的無線接入,并通過短信等方式,及時向相關人員發送儀表現場的相關信息,保障了工業控制系統的安全和信息暢通,使得運行工作能夠盡快落實。 另外,對于自動化儀表的維檢狀況,現場安全人員也可通過無線終端及時上傳,并告知專家系統,由專家系統提供解決方案并及時回饋至現場。 該方法為及時解決現場故障問題提供信息技術保障,減少了售后服務現場支持人次、售后服務硬件及差旅成本。

5 結論

以物聯網和工業APP 為代表的新一代信息技術,在工業自動化儀表產品的售前、售中和售后綜合技術服務中的作用日益突出。 “互聯網+先進制造業”已成為我國經濟社會發展的戰略里程碑。 工業互聯網下的信息安全越來越成為企業發展的核心環節。 本研究嚴格落實工業控制系統的安全保障方案,注重自動化儀表技術的升級,與上海自動化儀表有限公司現有的電動執行機構產品以及企業信息系統進行綜合集成,創新性地提出加密解密機制,開發了基于云平臺的在線服務系統,有效提高了綜合服務水平,起到了行業示范作用。