ANSI/ISA-99在100万吨乙烯联合装置上的成功运用

陈鹏

（横河（中国）有限公司，上海 200335）

0 引言

大型炼化一体化企业的整个工厂网络采用新一代全集成的DCS以及IT技术，结合了高度可靠的DCS基础控制系统以及最新的计算机网络技术、商用的计算机网络设备和软件。使新一代的DCS不仅可以作为过程监视、控制和管理的核心设备，而且能为生产管理系统(MES)、企业资源管理系统(ERP)等提供可靠、无缝的数据信息；在工厂网络开放的背景下，通过现代化手段提高整个工厂网络的安全性刻不容缓。针对DCS影响较大的三大网络安全威胁，广播风暴，非授权使用和病毒攻击以及商用网络设备及软件的可靠性相对较低的弱点，2006年国际标准委员会制定了ANSI/ISA-99标准（以下简称标准）提供大型工厂自动化网络构架以及维护管理模式，经实践证明是切实可行并且安全可靠。

1 网络分层及分区模型

为保障过程控制工厂的安全生产，最大限度地防止上述三大网络安全威胁可能对DCS带来的影响，标准阐述了过程生产厂自动化系统网络分层模型。根据标准的定义过程，生产厂设备大致可以纵向划分为如下4层结构，如图1所示。

1）Level 4：企业系统层（Enterprise System）：该层在ANSI/ISA-95中有详细描述，并且不属于工业控制安全管理范围内。

2）Level 3：操作管理层（Operations Management）：操作管理层是基于监视管理层的数据实现生产统计，调度，优化生产等功能，包含各种数据服务器，客户端以及各类应用工作站。

3）Level 2：监视控制层（Supervisory Control）：监视控制网是参与监视和控制的设备的总和，包含DCS HMI，EWS，报警盘，历史数据存储器以及其他必要设备。

4）Level 1：本地控制或基础控制层（Local or Basic Control）：本地控制或基础控制层是实际参与过程传感和过程操作，能够实现连续控制，顺序控制，批量控制以及触点控制等，包含DCS控制器，PLC控制器和RTU控制器。

连接Level 1和Level 2的网络为二层网络(DCS控制网)，为确保通讯网络的可用性，由两个独立冗余的网络构成。该网络是DCS厂商自有网络，由于同时具有一定的开放性，需要采取厂商推荐的网络安全措施确保其安全性。

连接Level 2和level 3的网络为三层网络(工厂信息网)，广泛应用以太网灵活的网络结构，与此同时，网络上连接着大量开放式以太网设备，其网络安全保障目前采用IT通用的防火墙和防病毒手段确保网络安全可靠的运行。

连接Level 3和level 4的网络为四层网络(企业信息网)，其网络安全不在DCS考虑范围内，但为了企业网络以下各级网络的安全，需在Level 3和Level 4之间设置DMZ区，通常称为三层半网络。而对于大型炼化一体化企业而言，全厂同时运行的装置有十几乃至几十套之多，单套装置设备故障有可能发生，这就要求在最坏情况下，单套装置的的故障不能够导致全厂系统的瘫痪从而引发全厂故障停车，所以标准除了纵向划分的4层结构又对大型过程生产装置提供了横向的区域划分概念，即将全厂的各个装置合理分组（关联度比较大的装置分在一组），所采用的网络设备相互独立，逻辑上相互隔离。仅在企业网络层将这些分组网络互联，这样就大大降低了单套装置的故障对全厂网络的破坏性影响，从而可以提高整个工厂网络的可靠性。

图1 基于ANSI/ISA-99标准生产网络分层结构

标准除了对网络构架有完整清晰的描述外，对于投产网络的日常维护，风险预案，包括交换机，防火墙的维护，人员培训及紧急情况下的故障处理预案等也有明确要求，并且在DCS整个生命周期中的防病毒软件的升级，日常维护管理，备品备件支持等方面也提出了指导性意见。

在大型石化大型炼化一体化企业的网络采用标准的纵向分层和横向分区的方法，制定投产后的维护方法及故障紧急处理预案并作为标准作业流程实施，可以最大程度降低网络故障给大型过程生产企业带来的风险，从而确保装置安全可靠的运行。

2 全厂网络的实际运用

中沙（天津）石化有限公司100万吨乙烯为世界级大型乙烯联合装置，包括100万吨/年乙烯装置，65万吨/年裂解汽油加氢装置、30万吨/年线性低密度聚乙烯装置、30万吨/年高密度聚乙烯装置、45万吨/年聚丙烯装置、4/36万吨/年环氧乙烷/乙二醇装置、35万吨/年苯酚丙酮装置、20/12/年丁二烯/MTBE等8套工艺装置以及公用工程、储运和辅助设施，共75个主项。

装置的DCS主设备采用了日本横河公司的Centum CS 3000系统，在构建工厂网络之初考虑网络安全方面，首次采用了标准定义的分层分区结构设计了网络框架，而在执行时系统化地参考了横河已经成熟的网络安全经验以及其管理模式。形成了独特系统化的工厂网络安全模式，该模式通过工厂装置五年的稳定运行证明是成功而且有效的。

3 全厂网络的纵向分层

纵向结构上，在工厂信息网层面，三层半网络连接防火墙，Web服务器，域管理器等网络管理服务器。上述网络管理服务器在整体工厂网络结构中起呈上启下的作用，防火墙的作用是限制从外部网络而来的非授权访问，同时阻止内部网络和外部网络直接通信，以保证内部网络安全。

在三层网络是工厂的内部网，连接ODS服务器，PRM服务器，AVS服务器，各装置的TS服务器等工厂数据管理服务器。这里的服务器集中了全厂8套工艺装置的各种数据，如操作数据，智能仪表数据等，从而在内部网络(第三层网络)实现全厂数据的统合。AVS服务器上安装Norton防病毒软件网络版，客户端数量则与整个内部网络上的工作站数量相当，可以防止病毒的感染而导致的网络安全隐患。第三层网络连接采用CISCO 3750G三层交换机。如图2所示。

图2 中沙（天津）石化有限公司100万吨乙烯装置工厂信息网

第二层网络(DCS网络)则是横河自主知识产权的冗余Vnet/IP网络，其连接硬件采用CISCO 2960G二层交换机，Centum CS3000系统的控制站与人机界面站之间的通信采用冗余的Vnet/IP网络，V-net通信是横河自主通讯协议，由于Vnet数据格式并不开放，其安全性不受黑客以及病毒的干扰，用作装置的控制总线可以确保装置生产本身的安全性，同时在Vnet的物理层又允许通用的TCP/IP网络通讯。而TCP/IP则是通用的工业以太网协议，比较容易受到黑客以及病毒的干扰从而失效，横河公司的解决方法是采用自己的控制网卡，从而将Vnet和TCP/IP的带宽彻底隔离开来。这样Vnet/IP总线同时具备Vnet的实时性、可靠性、稳定性和以太网的开放性和灵活性，传输速率达1Gbps/s。

DCS系统内部通信和TCP/IP通信采用同一物理层介质（超5类屏蔽双绞线），分别使用不同的网络带宽（各500Mbps）。开放通讯和系统通讯各行其道。如图3所示。

若TCP/IP通信发生由于不正常堵塞的情况下，只要交换机工作正常V-net层的数据通信由横河公司内部协议保证仍能够正常进行，保证了生产装置正常的监视、操作和控制的执行。而在交换机出现故障的情况下，则需要将网络不通畅对于整体系统的影响降到最低，为确保交换机故障对生产装置的影响，需要对整个工厂的装置进行横向分区。

图3 第二层网络Vnet-IP网络功能示意图

4 工厂网络的横向分区

整个乙烯工程共分为8个局域网，每个局域网分别使用各自的二层交换机，而8个局域网的交换机通过CISCO 3750G的三层交换机连接到CCR，形成一个整体的工厂网。每个LAN 中的项目数据库存放在各自LAN 的工程师站（EWS）。保证了各局域网之间在逻辑上相互独立。单一LAN的网络故障不会影响到其他LAN，同时实现了各个LAN之间的数据共享。

5 网络安全风险及相应措施

监视控制层采用的是二层交换机，由于二层交换机由于工作原理上的限制，设计网络拓扑结构不能是环状或者网状的，否则就会产生广播风暴而造成网络瘫痪。为防止上述情况发生，项目采用可管理的二层交换机，并且设定密码，限制未授权的访问，而交换机上所有不使用的端口全部关闭，防止误接线引起交换机打环，全隔离双重化交换机则可以使任何一个Bus的控制网出现问题不会影响另外一个Bus，控制系统仍然可以继续工作。

为提高二层交换机的可靠性，避免Vnet/IP两个Bus同时出现问题而影响装置生产，监视控制层采用高可靠性CISCO 2960G的二层网络交换机，并采用双重化分路供电的形式，使交换机可以在线更换。这样两个Bus同时出现问题的可能性几乎为零。即使同时出现故障也不会对工厂其他区域产生影响。快速排除故障后系统依然可以恢复工作。

Vnet/IP同时兼容TCP/IP，允许非Vnet/IP设备直接连接到控制网，正常情况下，开放的以太网通讯只限于少量的网络文件传输、时间同步等，不会产生很大的数据流量。除非是电脑感染了蠕虫病毒，产生大量的垃圾网络数据，才会造成流量异常，所有工厂网络上连接电脑都预装防病毒软件，并通过位于三层半的病毒服务器定期更新病毒数据库，杜绝病毒的滋生以达到预防目的。此外，Vnet/IP网络的独特分带宽设计使整个装置网络在TCP/IP侧上的数据流量异常情况下，也不会对Vnet侧的控制通讯产生影响，因为Vnet的控制信息是和开放的TCP/IP以太网通讯是分开独立传输的，拥有独立的带宽。在实际接线过程中，为避免BUS1和BUS2的接线交叉对整个DCS系统产生影响，在使用网络双绞线方面，规定对所有BUS1和BUS2的接线颜色区分，例如Bus1采用灰色网线，Bus2采用蓝色网线，所以一般情况下接线不会交叉。三层网络采用CISCO 3750G三层交换机，三层交换机与二层交换机不同，每一个端口都对应有相应的IP地址，接了错误端口的设备将无法正常工作，但是并不会对其他设备或整个网络产生影响。由于三层交换机位于全厂数据层，也需要采取冗余结构和分路供电，使交换机可以在线更换，这样两网同时出现问题的可能性几乎为零，即使同时瘫痪也不会对下层生产层产生安全影响，原设计的结构完全可以满足安全要求。

6 最坏情况及应急预案

最坏情况的发生是小概率事件，为了防患于未然，制定工厂网络最坏情况应急预案并实施可以将这些情况对工厂生产的影响降到最低。

位于三层半的防火墙故障，造成第三层网络对外透明，病毒和黑客有可能入侵到第二层网，进而进入PRM服务器，ODS服务器，OPC服务器的客户端。整个工厂网的运行不受影响。需要立刻切断工厂网络和外网的联系，并立即运行防病毒软件确保其他工作站不受感染。已发生感染的工作站立即与工厂网络断开。待防火墙故障排除后才能重新连接到网络上。两个三层交换机同时发生故障，三层网络数据阻塞，PRM服务器，ODS服务器，OPC服务器的客户端将无法正常读取数据。此时各装置的DCS系统仍能正常运行监视，各数据服务器仍然能够通过二层网读取数据，故障影响不大。需要立刻更换三层交换机或排除三层交换机故障。而在三层上传输的数据均保存在服务器中，不会造成数据丢失。三层交换机通讯恢复后各客户端依然可以看到完整的数据。

某装置的位于中控室的第二层网的冗余交换机同时发生故障，造成装置第二层网络瘫痪，事故只会对该装置位于中控室的操作站和工程师站产生影响，装置的监视和管理仍然可以通过将通过各装置位于机柜间工程师站和操作站进行，需要立刻更换位于中控室的二层交换机或排除二层交换机故障。

某装置的位于机柜间的第二层网的冗余交换机同时发生故障，这是全厂网络有可能发生的最严重故障，将导致该域的控制器和操作站，工程师站等无法通信，该域内装置的运行无法监视，数据无法采集。由于有3层交换机隔离，不会影响到全厂DCS网络上其他域装置的正常运行和监视。需要立刻更换位于机柜间的二层交换机或排除二层交换机故障。

7 工厂网络生命周期的维护

在DCS整个生命周期内，为确保工厂网络稳定可靠运行，应周期性提供系统整体网络环境，对网络设备运行状况的诊断，对网络设备的软件进行升级。此外，需要储备常用备品备件，在更换网络设备时，应尽量更换原型号产品或经过DCS供货商运行测试证明安全可靠的替代型号。而在生命周期内发生紧急情况时，应及时与DCS供货商联系，共同处理网络故障。

8 结束语

中沙（天津）石化有限公司100万吨乙烯装置从2010年1月试车成功投运以来，全厂网络一直稳定运行，没有发生非计划停车，证明该项目所采用的网络安全策略是成功的。这也证明标准所阐述的网络安全的分层及分区结构以及后续管理措施是有效的可操作的。在项目执行初期所制定的风险防范措施以及最坏情况下的处理预案，以及整个DCS生命周期整体网络日常运行维护，备品备件以及紧急情况下工程服务的支持及管理，给最终用户安全使用全厂网络提供了切实可行的解决方案。□

[1] ANSI/ISA-99.00.01-2007,Security for Industrial Automation and Control Systems Part 1:Terminology,Concepts,and Models.ISA标准文献.

[2] 范宗海,于宝全.大型炼化一体化工程DCS网络安全策略[J].''石油化工自动化''2010年3月.

[3] Yokogawa Centum CS 30000Vnet/IP network security guideline.ISD-MASP-S05037 Edition 2008.

[4] Yokogawa Centum CS 3000Vnet/IP features.ISD-MASP-S05023 Edition 2007.

[5] Max Felser.Real-Time Ethernet-Industry Prospective.PROCEEDINGS OF THE IEEE,VOL.93,NO.6.June.2005.

[6] Centum CS 3000 Installation guidance.IM 33Q01C10-01E.Edition 2007.

[7] Centum CS 3000 Vnet/IP General Specification.GS 33P01B10-31E.Edition 2008.