0  引言

目前控制系統(tǒng)(DCS、SIS、PLC等)已經(jīng)在石油化工、造紙、冶金等行業(yè)進行了普及，如何確?？刂葡到y(tǒng)的安全穩(wěn)定運行，保證控制系統(tǒng)的運行質(zhì)量，提高控制系統(tǒng)的應用水平和使用壽命，成為擺在我們面前的一個重要課題。

1  防腐蝕

1.1 防腐的意義

控制系統(tǒng)在過程工業(yè)中扮演著非常重要的作用，控制系統(tǒng)的可靠性決定了生產(chǎn)裝置的可控性，從20世紀70年代第一代DCS開始，人們對控制系統(tǒng)的顯性故障已經(jīng)有了比較成熟的應對策率，但是對腐蝕這一類隱性故障的認識、研究及對策相比于管道和設備等專業(yè)在防腐方面的研究和投入還遠遠不夠。中石化近幾年已經(jīng)開始面臨著控制^［1］系統(tǒng)硬件腐蝕引起的困擾，有效預防控制系統(tǒng)受腐蝕性氣體侵蝕引起的故障，對確保控制系統(tǒng)的安全、穩(wěn)定運行具有非常重要的意義。

1.2 腐蝕的原因

控制系統(tǒng)的核心部件是由計算機芯片及電子元器件構(gòu)成的，成千上萬的部件如同人的神經(jīng)系統(tǒng)分布于控制系統(tǒng)各子系統(tǒng)和各部位，擔負著控制系統(tǒng)的信號傳遞與控制，在計算機芯片及電子元器件集成的I/O卡件上，大量使用焊接、插接、粘結(jié)等工藝進行器件和部件的連接。這些器件、部件的連接處暴露在空氣中，極易受到石化等行業(yè)腐蝕性氣體的長期積累侵蝕，引起控制系統(tǒng)故障。任何一個部件故障都將導致整個控制系統(tǒng)或某一控制設備無法正常工作，給安全生產(chǎn)帶來重大隱患。石化工業(yè)環(huán)境中引起電子元器件腐蝕的主要是氣體腐蝕，一般以硫化物為主。 

1985年美國儀器設備協(xié)會(ISA)發(fā)布了一項標準：ISA S71.04_1985“過程測量和控制裝置環(huán)境條件：腐蝕性氣體”。根據(jù)ISA S71.04標準建立了四種腐蝕程度分類，最佳程度為G1，在此程度范圍，腐蝕情況不是影響設備可靠程度的因素，信息計算機和DCS系統(tǒng)一般要求G1條件，由于環(huán)境潛在腐蝕程度的增加，其相應嚴重程度劃分為G2、G3和GX，GX是最嚴重的情況。 

四種腐蝕程度一般用月腐蝕厚度來進行量化，月腐蝕厚度是指用特制的銅質(zhì)測試片，安放在控制系統(tǒng)機柜室近于關(guān)鍵設備的地方，現(xiàn)場放置一個月左右后，樣品被密封保存后寄回專業(yè)腐蝕檢驗中心，進行電化學剝離分析，通過腐蝕厚度分析，得出年腐蝕速率，并判斷在此情況下電子部件的腐蝕損壞程度。

1.3 腐蝕的解決方案

控制系統(tǒng)的防腐主要應從兩個方面入手，一個方面是保證控制系統(tǒng)的所有卡件具有防環(huán)境腐蝕的能力，也就是要達到ISA S71.04 標準的G3等級。 

另一個方面是控制系統(tǒng)機柜室內(nèi)通風改造，以保證機柜室內(nèi)處于干凈的新風環(huán)境中，優(yōu)質(zhì)的空氣質(zhì)量，無論對于人員還是設備，都是安全穩(wěn)定生產(chǎn)的保障。中石化齊魯分公司一直在開展這方面的工作，主要思路是采用正壓式新風凈化系統(tǒng)從樓頂引新風，正壓式新風凈化系統(tǒng)是完全獨立的空氣凈化系統(tǒng)，主要應用于為室內(nèi)空間提供加壓并去除腐蝕性氣體，最大不超過50%的空氣調(diào)節(jié)能力將被用于吸入空間外部氣體并進行加壓，另外50%(或以上)的能力將被用于室內(nèi)空氣再循環(huán)，室內(nèi)循環(huán)凈化系統(tǒng)會配置兩個分離式濾料箱，可針對不同的污染氣體選擇不同的化學濾料，采用該系統(tǒng)后氣體清潔程度將會達到并超過現(xiàn)有的G1標準，完全滿足控制系統(tǒng)的運行環(huán)境。

1.4 案例

案列1：硫磺裝置控制系統(tǒng)操作站防腐蝕解決方案 

某硫磺裝置DCS系統(tǒng)2008年初投用，共有12臺操作站，采用DELL主機。自2008年12月開始的半年時間內(nèi)，12臺操作站主機出現(xiàn)故障多達25次，幾乎平均每周1次，主要有主板、顯卡、硬盤故障等。其中主板故障14次，硬盤故障8次，顯卡故障4次。 

對故障進行分析，發(fā)現(xiàn)故障主機內(nèi)部的硬件表面有比較明顯的變化，主板、顯卡、硬盤等部件的電路焊點有硫化物腐蝕痕跡(觀察為黑色物質(zhì)，用指甲輕輕劃擦，容易脫落)。觀察到的現(xiàn)象得到了前來進行保修服務的DELL公司技術(shù)人員的認可，雙方共同對比、分析后認為應該是操作室內(nèi)環(huán)境引起的，空氣中硫化物含量比較高(與硫磺裝置的生產(chǎn)特點有關(guān))，對電子元器件的腐蝕導致主機硬件的損壞。

根據(jù)故障現(xiàn)象和分析結(jié)果，提出了解決方案。 

(1)將操作臺配置的風扇全部停掉，減少操作臺內(nèi)外的空氣流通，減少腐蝕性氣體進入主機內(nèi)部。通過一段時間的觀察發(fā)現(xiàn)故障率確實有些降低，也再次證實了腐蝕是導致主機高故障率的原因。 

(2)聯(lián)系DELL公司試圖解決主機電路板的防腐蝕問題，但DELL答復說目前沒有防腐蝕的產(chǎn)品，只能延長保修期進行保修(最長5年保修期)。 

(3)進一步與DELL公司保修服務人員交流，稱可以聯(lián)系第三方公司對主機內(nèi)電路板進行防腐處理(DELL公司無該項服務)，但經(jīng)第三方公司處理后DELL公司不再提供保修服務。該方案因為存在較大的未知性和一定的風險，在進行其他嘗試前先不予優(yōu)先考慮。 

(4)發(fā)現(xiàn)國內(nèi)某公司的ARK系列工控機，其體積小、集成度高、密閉性好、無風扇運行，具有一定的抗腐蝕能力，比較適合現(xiàn)有環(huán)境。

 最終，采用某公司的ARK系列工控機替代現(xiàn)有DELL主機作為優(yōu)先嘗試的最佳方案。經(jīng)過連續(xù)幾年的觀察，發(fā)現(xiàn)新更換的12臺ARK系列工控機運行良好，幾乎實現(xiàn)了零故障率，因腐蝕原因造成的操作站主機高故障率現(xiàn)象得到了解決。

2  防病毒

2.1 防病毒的意義

過去的控制系統(tǒng)廠商基本上是以自主開發(fā)為主，由于通信技術(shù)的相對落后，控制系統(tǒng)開放性是困擾用戶的一個重要問題。開放性的確有很多好處，但是同時也帶來了工控系統(tǒng)的安全問題，減弱了控制系統(tǒng)與外界的隔離，2000年以前的控制系統(tǒng)一般都有自己獨立的操作系統(tǒng)，其開放性及通用性較弱，幾乎不存在工控網(wǎng)絡安全風險。但目前的控制系統(tǒng)一般使用開放的Windows操作系統(tǒng)，使用OPC，網(wǎng)絡也采用冗余工業(yè)以太網(wǎng)，尤其是服務器結(jié)構(gòu)的控制系統(tǒng)，一旦服務器出現(xiàn)異常，受侵害的不僅僅是一個操作站，有可能會造成系統(tǒng)癱瘓。 

從目前披露的工業(yè)病毒特點來看，工業(yè)病毒對控制系統(tǒng)的影響已不再僅僅是影響計算機和網(wǎng)絡設備運行那么簡單，它們可以導致控制系統(tǒng)拒絕服務，可以修改控制程序從而控制或破壞工業(yè)生產(chǎn)，可以向操作人員發(fā)出虛假信息，以使操作員采取錯誤動作，其結(jié)果可能是造成生產(chǎn)癱瘓而導致重大經(jīng)濟損失，甚至于造成人員傷亡、環(huán)境破壞等重大事故。 

控制系統(tǒng)安全案例表明，來自工廠信息網(wǎng)絡、移動存儲介質(zhì)、互聯(lián)網(wǎng)以及其他因素導致的網(wǎng)絡安全問題正逐漸在控制系統(tǒng)中擴散，直接影響了裝置的安穩(wěn)優(yōu)生產(chǎn)及人身安全。

2.2 控制系統(tǒng)網(wǎng)絡與信息網(wǎng)絡傳統(tǒng)結(jié)構(gòu)存在的問題

目前的DCS系統(tǒng)大部分是通過OPC與工廠管理網(wǎng)進行連接，通過OPC將主要裝置數(shù)據(jù)采集到實時數(shù)據(jù)庫(如INFOPLUS.21等)，見圖1。幾乎大部分DCS系統(tǒng)都沒有安裝防病毒軟件，同時還有少部分DCS系統(tǒng)沒有設置硬件防火墻。

傳統(tǒng)的控制系統(tǒng)數(shù)據(jù)采集一般都是通過網(wǎng)關(guān)機或接口機把生產(chǎn)網(wǎng)與管理網(wǎng)隔離開，網(wǎng)關(guān)機有兩個網(wǎng)卡，一個與生產(chǎn)控制網(wǎng)相連，一個網(wǎng)卡與管理網(wǎng)相連，見圖2。生產(chǎn)控制網(wǎng)涉及生產(chǎn)控制，所以對網(wǎng)絡安全性要求非常高，不能允許出任何問題，也不能遺留任何安全隱患。生產(chǎn)控制網(wǎng)的數(shù)據(jù)傳輸模式是把生產(chǎn)數(shù)據(jù)傳送到網(wǎng)關(guān)機上，然后網(wǎng)關(guān)機再把從生產(chǎn)網(wǎng)絡上傳送過來的數(shù)據(jù)發(fā)送到管理網(wǎng)的數(shù)據(jù)采集服務器。

通過網(wǎng)關(guān)機將生產(chǎn)網(wǎng)與管理網(wǎng)分開，這種方式雖然在一定程度上提高了生產(chǎn)網(wǎng)的安全性，但是仍然存在潛在的安全隱患。因為網(wǎng)關(guān)機本身的安全防護措施有限，在管理網(wǎng)中的任何主機都可以利用網(wǎng)關(guān)機操作系統(tǒng)的漏洞向網(wǎng)關(guān)機發(fā)起攻擊，網(wǎng)關(guān)機一旦被攻破或者被控制，黑客就會以網(wǎng)關(guān)機為跳板，攻擊生產(chǎn)網(wǎng)中的系統(tǒng)。 

控制系統(tǒng)操作站一般都以Windows為平臺，任何一個版本的Windows自發(fā)布以來都在不停地發(fā)布漏洞補丁，為保證控制系統(tǒng)相對的獨立性，控制系統(tǒng)工程師通常在系統(tǒng)開車后基本不會對Windows平臺打任何補丁，更為重要的是打過補丁的操作系統(tǒng)沒有經(jīng)過制造商測試，存在安全運行風險。

2.3 控制系統(tǒng)網(wǎng)絡安全隱患解決方案

2.3.1 安裝專用安全隔離裝置

在網(wǎng)關(guān)機與管理網(wǎng)之間，安裝專用安全隔離裝置(如網(wǎng)閘、Tofino安全模塊等)進行安全隔離和網(wǎng)路防護，如圖3所示。通過安裝專用安全隔離裝置，可以保證生產(chǎn)網(wǎng)絡中的數(shù)據(jù)通過網(wǎng)關(guān)機實時地傳送到管理網(wǎng)中的數(shù)據(jù)采集服務器，同時將管理網(wǎng)所有無效的或不被授權(quán)的通信完全屏蔽，過濾所有的網(wǎng)絡攻擊，保證生產(chǎn)網(wǎng)的安全。

2.3.2 網(wǎng)絡中部署殺毒服務器

為了消除來自U盤、光盤等移動存儲介質(zhì)導致的病毒傳播，可以在控制網(wǎng)的DCS操作站和服務器上安裝經(jīng)過DCS廠家認證的Mcafee網(wǎng)絡版殺毒軟件，并在網(wǎng)絡上連接一臺病毒庫升級服務器，對每個操作站打全經(jīng)過DCS廠家認證的最新Windows補丁，病毒庫升級和Windows補丁可以每隔一段時間請DCS廠家進行服務一次，也可以自己實施。

2.3.3 建立工控信息安全監(jiān)控系統(tǒng)

工控信息安全監(jiān)控系統(tǒng)是部署于工業(yè)控制網(wǎng)中的實時信息安全監(jiān)控系統(tǒng)，由監(jiān)控中心和監(jiān)控引擎組成。它連續(xù)不間斷地監(jiān)視工業(yè)以太網(wǎng)中傳輸?shù)乃芯W(wǎng)絡通信信息，基于對工控協(xié)議的深度解析，根據(jù)用戶指定的保護目標及檢測策略對網(wǎng)絡中的可疑行為或攻擊行為產(chǎn)生報警，包括未知設備接入、設備非法外連、設備通信中斷、用戶誤操作、用戶違規(guī)操作、工藝閾值非預期波動、組態(tài)變更、負載變更、網(wǎng)絡流量異常、網(wǎng)絡攻擊以及蠕蟲、病毒等惡意軟件的傳播，通知用戶進行人為干預，對網(wǎng)絡通信行為進行審計記錄，定期生成統(tǒng)計報表，全面掌控工業(yè)控制網(wǎng)的“過去、現(xiàn)在和未來”。

2.3.4 建立企業(yè)安全管理體系

將工業(yè)控制系統(tǒng)信息安全納入企業(yè)安全管理體系，并有相應的組織保障和資金保障。確保控制系統(tǒng)信息安全應有相應的組織體系保障，組織體系的設計原則為領導負責制，組織體系應包括健全的統(tǒng)一的安全管理組織機構(gòu)，負責制定安全規(guī)范，并按照標準的安全管理流程進行規(guī)范化的信息系統(tǒng)安全管理和監(jiān)督。

2.4 案列

案列2：加氫裝置DCS操作站感染病毒

某加氫裝置DCS為霍尼韋爾的PKS系統(tǒng)，一共有9個操作站，2臺服務器，操作系統(tǒng)為Windows XP。從某日開始，DCS服務器和操作站運行緩慢直至死機，無法熱啟動，只能斷電重啟，而且死機逐漸頻繁，每次必須斷電重啟。對服務器和部分操作站重裝系統(tǒng)后，故障依然存在，經(jīng)過多次處理無果后，懷疑是DCS操作站感染了病毒，并通過DCS網(wǎng)絡進行傳播。 

霍尼韋爾工程師用霍尼韋爾認證的殺毒軟件對操作站進行病毒掃描查殺，在兩臺操作站上發(fā)現(xiàn)大量病毒，其余部分操作站發(fā)現(xiàn)少量病毒，最多的一臺操作站發(fā)現(xiàn)多達80多個病毒，通過殺毒軟件分別對每個操作站進行病毒查殺后，故障現(xiàn)象仍沒有消除，隔一段時間，再次查殺病毒，病毒仍然存在，病毒不斷通過DCS網(wǎng)絡進行繁殖，無法徹底查殺干凈。由此確定，該裝置DCS操作站全面感染病毒，DCS操作站和服務器故障也是由于病毒引起的。 

霍尼韋爾工程師提出了兩個解決方案，一個方案是將操作站和服務器全部從DCS網(wǎng)絡上斷開，逐一對操作站和服務器進行殺毒和重裝，避免一邊殺毒一邊從網(wǎng)絡傳染，但這樣會導致裝置大約有半個小時的時間無法監(jiān)測到數(shù)據(jù)，給安全生產(chǎn)帶來較大威脅；另一個方案是霍尼韋爾專業(yè)殺毒工程師來現(xiàn)場進行殺毒服務，安裝經(jīng)過霍尼韋爾認證的網(wǎng)絡版殺毒軟件，最后采取了第二個方案。 

霍尼韋爾工程師在全部操作站和服務器上安裝了經(jīng)過霍尼韋爾認證的Mcafee網(wǎng)絡版殺毒軟件，同時在網(wǎng)絡上連接了一臺病毒庫升級服務器，對每個操作站打全了經(jīng)過霍尼韋爾認證的最新的Windows XP補丁。將該加氫DCS操作站病毒徹底查殺干凈，DCS系統(tǒng)恢復正常。

3  防靜電

用進入機柜室門上的金屬門把手取代防靜電球，用電線將門把手、門框連接起來，起到導出靜電的作用。金屬門把手做接地處理，觸摸門把手即可釋放靜電。一是起到了安全保護控制系統(tǒng)設備的作用，杜絕了進門不釋放靜電的可能性；二是節(jié)省了防靜電球的制作安裝費用。如果說機柜室門是作為第一道釋放靜電的措施的話，那么機柜門接地將會成為第二道釋放靜電措施，在實施重大維護作業(yè)時帶上接地良好防靜電手腕是第三道釋放靜電措施。

4  防松動

儀表接線質(zhì)量至關(guān)重要，尤其聯(lián)鎖及控制儀表的接線質(zhì)量要有保證，只有這樣才能避免由于線路問題導致誤動作。處于運行末期的控制系統(tǒng)，部分信號線、接地線、電源線等因時間過久可能會出現(xiàn)松動問題，連接處氧化問題、導致線路接觸不良，影響信號質(zhì)量，給安全生產(chǎn)帶來隱患。因此在控制系統(tǒng)施工和維護過程中要重視線路的防松動和氧化問題。

(1)檢修期間對控制系統(tǒng)接線連接處進行緊固，必要時更換壓線端頭，并重新壓接，要讓端子緊固成為大檢修、機會檢修的一項定期工作，成為預知維護的一項重要內(nèi)容。 

(2)控制系統(tǒng)端子連接處逐步采用防松螺絲進行壓接。 

(3)檢修期間去除黃銅接線端子表面的氧化層，采取措施避免端子氧化。

5  結(jié)束語

“防腐蝕、防病毒、防靜電、防松動”是石化行業(yè)控制系統(tǒng)運維過程中的重要內(nèi)容，只要認真做好控制系統(tǒng)的四防工作，才能為控制系統(tǒng)的安全運行奠定良好的基礎。

參考文獻 

［1］ 于世恒.不容忽視的控制系統(tǒng)腐蝕［J］.流程工業(yè),2012(13):26-28.

［2］ 工業(yè)控制系統(tǒng)與信息安全［J］.霍尼韋爾用戶期刊，2013,38(3)：12-15.

（收稿日期：2018-05-22）

作者簡介：

   蘇耀東（1967-），男，本科，高級工程師，主要研究方向：APC、DCS、SIS等PCS層的系統(tǒng)。