控制系统的“四防”

苏耀东

(中国石化齐鲁分公司信息中心，山东淄博 255434)

0 引言

目前控制系统(DCS、SIS、PLC等)已经在石油化工、造纸、冶金等行业进行了普及，如何确保控制系统的安全稳定运行，保证控制系统的运行质量，提高控制系统的应用水平和使用寿命，成为摆在我们面前的一个重要课题。

1 防腐蚀

1.1 防腐的意义

控制系统在过程工业中扮演着非常重要的作用，控制系统的可靠性决定了生产装置的可控性，从20世纪70年代第一代DCS开始，人们对控制系统的显性故障已经有了比较成熟的应对策率，但是对腐蚀这一类隐性故障的认识、研究及对策相比于管道和设备等专业在防腐方面的研究和投入还远远不够。中石化近几年已经开始面临着控制[1]系统硬件腐蚀引起的困扰，有效预防控制系统受腐蚀性气体侵蚀引起的故障，对确保控制系统的安全、稳定运行具有非常重要的意义。

1.2 腐蚀的原因

控制系统的核心部件是由计算机芯片及电子元器件构成的，成千上万的部件如同人的神经系统分布于控制系统各子系统和各部位，担负着控制系统的信号传递与控制，在计算机芯片及电子元器件集成的I/O卡件上，大量使用焊接、插接、粘结等工艺进行器件和部件的连接。这些器件、部件的连接处暴露在空气中，极易受到石化等行业腐蚀性气体的长期积累侵蚀，引起控制系统故障。任何一个部件故障都将导致整个控制系统或某一控制设备无法正常工作，给安全生产带来重大隐患。石化工业环境中引起电子元器件腐蚀的主要是气体腐蚀，一般以硫化物为主。

1985年美国仪器设备协会(ISA)发布了一项标准：ISA S71.04_1985“过程测量和控制装置环境条件：腐蚀性气体”。根据ISA S71.04标准建立了四种腐蚀程度分类，最佳程度为G1，在此程度范围，腐蚀情况不是影响设备可靠程度的因素，信息计算机和DCS系统一般要求G1条件，由于环境潜在腐蚀程度的增加，其相应严重程度划分为G2、G3和GX，GX是最严重的情况。

四种腐蚀程度一般用月腐蚀厚度来进行量化，月腐蚀厚度是指用特制的铜质测试片，安放在控制系统机柜室近于关键设备的地方，现场放置一个月左右后，样品被密封保存后寄回专业腐蚀检验中心，进行电化学剥离分析，通过腐蚀厚度分析，得出年腐蚀速率，并判断在此情况下电子部件的腐蚀损坏程度。

1.3 腐蚀的解决方案

控制系统的防腐主要应从两个方面入手，一个方面是保证控制系统的所有卡件具有防环境腐蚀的能力，也就是要达到ISA S71.04 标准的G3等级。

另一个方面是控制系统机柜室内通风改造，以保证机柜室内处于干净的新风环境中，优质的空气质量，无论对于人员还是设备，都是安全稳定生产的保障。中石化齐鲁分公司一直在开展这方面的工作，主要思路是采用正压式新风净化系统从楼顶引新风，正压式新风净化系统是完全独立的空气净化系统，主要应用于为室内空间提供加压并去除腐蚀性气体，最大不超过50%的空气调节能力将被用于吸入空间外部气体并进行加压，另外50%(或以上)的能力将被用于室内空气再循环，室内循环净化系统会配置两个分离式滤料箱，可针对不同的污染气体选择不同的化学滤料，采用该系统后气体清洁程度将会达到并超过现有的G1标准，完全满足控制系统的运行环境。

1.4 案例

案列1：硫磺装置控制系统操作站防腐蚀解决方案

某硫磺装置DCS系统2008年初投用，共有12台操作站，采用DELL主机。自2008年12月开始的半年时间内，12台操作站主机出现故障多达25次，几乎平均每周1次，主要有主板、显卡、硬盘故障等。其中主板故障14次，硬盘故障8次，显卡故障4次。

对故障进行分析，发现故障主机内部的硬件表面有比较明显的变化，主板、显卡、硬盘等部件的电路焊点有硫化物腐蚀痕迹(观察为黑色物质，用指甲轻轻划擦，容易脱落)。观察到的现象得到了前来进行保修服务的DELL公司技术人员的认可，双方共同对比、分析后认为应该是操作室内环境引起的，空气中硫化物含量比较高(与硫磺装置的生产特点有关)，对电子元器件的腐蚀导致主机硬件的损坏。

根据故障现象和分析结果，提出了解决方案。

(1)将操作台配置的风扇全部停掉，减少操作台内外的空气流通，减少腐蚀性气体进入主机内部。通过一段时间的观察发现故障率确实有些降低，也再次证实了腐蚀是导致主机高故障率的原因。

(2)联系DELL公司试图解决主机电路板的防腐蚀问题，但DELL答复说目前没有防腐蚀的产品，只能延长保修期进行保修(最长5年保修期)。

(3)进一步与DELL公司保修服务人员交流，称可以联系第三方公司对主机内电路板进行防腐处理(DELL公司无该项服务)，但经第三方公司处理后DELL公司不再提供保修服务。该方案因为存在较大的未知性和一定的风险，在进行其他尝试前先不予优先考虑。

(4)发现国内某公司的ARK系列工控机，其体积小、集成度高、密闭性好、无风扇运行，具有一定的抗腐蚀能力，比较适合现有环境。

最终，采用某公司的ARK系列工控机替代现有DELL主机作为优先尝试的最佳方案。经过连续几年的观察，发现新更换的12台ARK系列工控机运行良好，几乎实现了零故障率，因腐蚀原因造成的操作站主机高故障率现象得到了解决。

2 防病毒

2.1 防病毒的意义

过去的控制系统厂商基本上是以自主开发为主，由于通信技术的相对落后，控制系统开放性是困扰用户的一个重要问题。开放性的确有很多好处，但是同时也带来了工控系统的安全问题，减弱了控制系统与外界的隔离，2000年以前的控制系统一般都有自己独立的操作系统，其开放性及通用性较弱，几乎不存在工控网络安全风险。但目前的控制系统一般使用开放的Windows操作系统，使用OPC，网络也采用冗余工业以太网，尤其是服务器结构的控制系统，一旦服务器出现异常，受侵害的不仅仅是一个操作站，有可能会造成系统瘫痪。

从目前披露的工业病毒特点来看，工业病毒对控制系统的影响已不再仅仅是影响计算机和网络设备运行那么简单，它们可以导致控制系统拒绝服务，可以修改控制程序从而控制或破坏工业生产，可以向操作人员发出虚假信息，以使操作员采取错误动作，其结果可能是造成生产瘫痪而导致重大经济损失，甚至于造成人员伤亡、环境破坏等重大事故。

控制系统安全案例表明，来自工厂信息网络、移动存储介质、互联网以及其他因素导致的网络安全问题正逐渐在控制系统中扩散，直接影响了装置的安稳优生产及人身安全。

2.2 控制系统网络与信息网络传统结构存在的问题

目前的DCS系统大部分是通过OPC与工厂管理网进行连接，通过OPC将主要装置数据采集到实时数据库(如INFOPLUS.21等)，见图1。几乎大部分DCS系统都没有安装防病毒软件，同时还有少部分DCS系统没有设置硬件防火墙。

图1 DCS与工厂管理网的连接

传统的控制系统数据采集一般都是通过网关机或接口机把生产网与管理网隔离开，网关机有两个网卡，一个与生产控制网相连，一个网卡与管理网相连，见图2。生产控制网涉及生产控制，所以对网络安全性要求非常高，不能允许出任何问题，也不能遗留任何安全隐患。生产控制网的数据传输模式是把生产数据传送到网关机上，然后网关机再把从生产网络上传送过来的数据发送到管理网的数据采集服务器。

图2 生产控制网与管理网的连接

通过网关机将生产网与管理网分开，这种方式虽然在一定程度上提高了生产网的安全性，但是仍然存在潜在的安全隐患。因为网关机本身的安全防护措施有限，在管理网中的任何主机都可以利用网关机操作系统的漏洞向网关机发起攻击，网关机一旦被攻破或者被控制，黑客就会以网关机为跳板，攻击生产网中的系统。

控制系统操作站一般都以Windows为平台，任何一个版本的Windows自发布以来都在不停地发布漏洞补丁，为保证控制系统相对的独立性，控制系统工程师通常在系统开车后基本不会对Windows平台打任何补丁，更为重要的是打过补丁的操作系统没有经过制造商测试，存在安全运行风险。

2.3 控制系统网络安全隐患解决方案

2.3.1安装专用安全隔离装置

在网关机与管理网之间，安装专用安全隔离装置(如网闸、Tofino安全模块等)进行安全隔离和网路防护，如图3所示。通过安装专用安全隔离装置，可以保证生产网络中的数据通过网关机实时地传送到管理网中的数据采集服务器，同时将管理网所有无效的或不被授权的通信完全屏蔽，过滤所有的网络攻击，保证生产网的安全。

图3 安全模块的连接

2.3.2网络中部署杀毒服务器

为了消除来自U盘、光盘等移动存储介质导致的病毒传播，可以在控制网的DCS操作站和服务器上安装经过DCS厂家认证的Mcafee网络版杀毒软件，并在网络上连接一台病毒库升级服务器，对每个操作站打全经过DCS厂家认证的最新Windows补丁，病毒库升级和Windows补丁可以每隔一段时间请DCS厂家进行服务一次，也可以自己实施。

2.3.3建立工控信息安全监控系统

工控信息安全监控系统是部署于工业控制网中的实时信息安全监控系统，由监控中心和监控引擎组成。它连续不间断地监视工业以太网中传输的所有网络通信信息，基于对工控协议的深度解析，根据用户指定的保护目标及检测策略对网络中的可疑行为或攻击行为产生报警，包括未知设备接入、设备非法外连、设备通信中断、用户误操作、用户违规操作、工艺阈值非预期波动、组态变更、负载变更、网络流量异常、网络攻击以及蠕虫、病毒等恶意软件的传播，通知用户进行人为干预，对网络通信行为进行审计记录，定期生成统计报表，全面掌控工业控制网的“过去、现在和未来”。

2.3.4建立企业安全管理体系

将工业控制系统信息安全纳入企业安全管理体系，并有相应的组织保障和资金保障。确保控制系统信息安全应有相应的组织体系保障，组织体系的设计原则为领导负责制，组织体系应包括健全的统一的安全管理组织机构，负责制定安全规范，并按照标准的安全管理流程进行规范化的信息系统安全管理和监督。

2.4 案列

案列2：加氢装置DCS操作站感染病毒

某加氢装置DCS为霍尼韦尔的PKS系统，一共有9个操作站，2台服务器，操作系统为Windows XP。从某日开始，DCS服务器和操作站运行缓慢直至死机，无法热启动，只能断电重启，而且死机逐渐频繁，每次必须断电重启。对服务器和部分操作站重装系统后，故障依然存在，经过多次处理无果后，怀疑是DCS操作站感染了病毒，并通过DCS网络进行传播。

霍尼韦尔工程师用霍尼韦尔认证的杀毒软件对操作站进行病毒扫描查杀，在两台操作站上发现大量病毒，其余部分操作站发现少量病毒，最多的一台操作站发现多达80多个病毒，通过杀毒软件分别对每个操作站进行病毒查杀后，故障现象仍没有消除，隔一段时间，再次查杀病毒，病毒仍然存在，病毒不断通过DCS网络进行繁殖，无法彻底查杀干净。由此确定，该装置DCS操作站全面感染病毒，DCS操作站和服务器故障也是由于病毒引起的。

霍尼韦尔工程师提出了两个解决方案，一个方案是将操作站和服务器全部从DCS网络上断开，逐一对操作站和服务器进行杀毒和重装，避免一边杀毒一边从网络传染，但这样会导致装置大约有半个小时的时间无法监测到数据，给安全生产带来较大威胁；另一个方案是霍尼韦尔专业杀毒工程师来现场进行杀毒服务，安装经过霍尼韦尔认证的网络版杀毒软件，最后采取了第二个方案。

霍尼韦尔工程师在全部操作站和服务器上安装了经过霍尼韦尔认证的Mcafee网络版杀毒软件，同时在网络上连接了一台病毒库升级服务器，对每个操作站打全了经过霍尼韦尔认证的最新的Windows XP补丁。将该加氢DCS操作站病毒彻底查杀干净，DCS系统恢复正常。

3 防静电

用进入机柜室门上的金属门把手取代防静电球，用电线将门把手、门框连接起来，起到导出静电的作用。金属门把手做接地处理，触摸门把手即可释放静电。一是起到了安全保护控制系统设备的作用，杜绝了进门不释放静电的可能性；二是节省了防静电球的制作安装费用。如果说机柜室门是作为第一道释放静电的措施的话，那么机柜门接地将会成为第二道释放静电措施，在实施重大维护作业时带上接地良好防静电手腕是第三道释放静电措施。

4 防松动

仪表接线质量至关重要，尤其联锁及控制仪表的接线质量要有保证，只有这样才能避免由于线路问题导致误动作。处于运行末期的控制系统，部分信号线、接地线、电源线等因时间过久可能会出现松动问题，连接处氧化问题、导致线路接触不良，影响信号质量，给安全生产带来隐患。因此在控制系统施工和维护过程中要重视线路的防松动和氧化问题。

(1)检修期间对控制系统接线连接处进行紧固，必要时更换压线端头，并重新压接，要让端子紧固成为大检修、机会检修的一项定期工作，成为预知维护的一项重要内容。

(2)控制系统端子连接处逐步采用防松螺丝进行压接。

(3)检修期间去除黄铜接线端子表面的氧化层，采取措施避免端子氧化。

5 结束语

“防腐蚀、防病毒、防静电、防松动”是石化行业控制系统运维过程中的重要内容，只要认真做好控制系统的四防工作，才能为控制系统的安全运行奠定良好的基础。