ANSI/ISA-99在100萬噸乙烯聯(lián)合裝置上的成功運用

陳鵬

（橫河（中國）有限公司，上海 200335）

0 引言

大型煉化一體化企業(yè)的整個工廠網(wǎng)絡(luò)采用新一代全集成的DCS以及IT技術(shù)，結(jié)合了高度可靠的DCS基礎(chǔ)控制系統(tǒng)以及最新的計算機(jī)網(wǎng)絡(luò)技術(shù)、商用的計算機(jī)網(wǎng)絡(luò)設(shè)備和軟件。使新一代的DCS不僅可以作為過程監(jiān)視、控制和管理的核心設(shè)備，而且能為生產(chǎn)管理系統(tǒng)(MES)、企業(yè)資源管理系統(tǒng)(ERP)等提供可靠、無縫的數(shù)據(jù)信息；在工廠網(wǎng)絡(luò)開放的背景下，通過現(xiàn)代化手段提高整個工廠網(wǎng)絡(luò)的安全性刻不容緩。針對DCS影響較大的三大網(wǎng)絡(luò)安全威脅，廣播風(fēng)暴，非授權(quán)使用和病毒攻擊以及商用網(wǎng)絡(luò)設(shè)備及軟件的可靠性相對較低的弱點，2006年國際標(biāo)準(zhǔn)委員會制定了ANSI/ISA-99標(biāo)準(zhǔn)（以下簡稱標(biāo)準(zhǔn)）提供大型工廠自動化網(wǎng)絡(luò)構(gòu)架以及維護(hù)管理模式，經(jīng)實踐證明是切實可行并且安全可靠。

1 網(wǎng)絡(luò)分層及分區(qū)模型

為保障過程控制工廠的安全生產(chǎn)，最大限度地防止上述三大網(wǎng)絡(luò)安全威脅可能對DCS帶來的影響，標(biāo)準(zhǔn)闡述了過程生產(chǎn)廠自動化系統(tǒng)網(wǎng)絡(luò)分層模型。根據(jù)標(biāo)準(zhǔn)的定義過程，生產(chǎn)廠設(shè)備大致可以縱向劃分為如下4層結(jié)構(gòu)，如圖1所示。

1）Level 4：企業(yè)系統(tǒng)層（Enterprise System）：該層在ANSI/ISA-95中有詳細(xì)描述，并且不屬于工業(yè)控制安全管理范圍內(nèi)。

2）Level 3：操作管理層（Operations Management）：操作管理層是基于監(jiān)視管理層的數(shù)據(jù)實現(xiàn)生產(chǎn)統(tǒng)計，調(diào)度，優(yōu)化生產(chǎn)等功能，包含各種數(shù)據(jù)服務(wù)器，客戶端以及各類應(yīng)用工作站。

3）Level 2：監(jiān)視控制層（Supervisory Control）：監(jiān)視控制網(wǎng)是參與監(jiān)視和控制的設(shè)備的總和，包含DCS HMI，EWS，報警盤，歷史數(shù)據(jù)存儲器以及其他必要設(shè)備。

4）Level 1：本地控制或基礎(chǔ)控制層（Local or Basic Control）：本地控制或基礎(chǔ)控制層是實際參與過程傳感和過程操作，能夠?qū)崿F(xiàn)連續(xù)控制，順序控制，批量控制以及觸點控制等，包含DCS控制器，PLC控制器和RTU控制器。

連接Level 1和Level 2的網(wǎng)絡(luò)為二層網(wǎng)絡(luò)(DCS控制網(wǎng))，為確保通訊網(wǎng)絡(luò)的可用性，由兩個獨立冗余的網(wǎng)絡(luò)構(gòu)成。該網(wǎng)絡(luò)是DCS廠商自有網(wǎng)絡(luò)，由于同時具有一定的開放性，需要采取廠商推薦的網(wǎng)絡(luò)安全措施確保其安全性。

連接Level 2和level 3的網(wǎng)絡(luò)為三層網(wǎng)絡(luò)(工廠信息網(wǎng))，廣泛應(yīng)用以太網(wǎng)靈活的網(wǎng)絡(luò)結(jié)構(gòu)，與此同時，網(wǎng)絡(luò)上連接著大量開放式以太網(wǎng)設(shè)備，其網(wǎng)絡(luò)安全保障目前采用IT通用的防火墻和防病毒手段確保網(wǎng)絡(luò)安全可靠的運行。

連接Level 3和level 4的網(wǎng)絡(luò)為四層網(wǎng)絡(luò)(企業(yè)信息網(wǎng))，其網(wǎng)絡(luò)安全不在DCS考慮范圍內(nèi)，但為了企業(yè)網(wǎng)絡(luò)以下各級網(wǎng)絡(luò)的安全，需在Level 3和Level 4之間設(shè)置DMZ區(qū)，通常稱為三層半網(wǎng)絡(luò)。而對于大型煉化一體化企業(yè)而言，全廠同時運行的裝置有十幾乃至幾十套之多，單套裝置設(shè)備故障有可能發(fā)生，這就要求在最壞情況下，單套裝置的的故障不能夠?qū)е氯珡S系統(tǒng)的癱瘓從而引發(fā)全廠故障停車，所以標(biāo)準(zhǔn)除了縱向劃分的4層結(jié)構(gòu)又對大型過程生產(chǎn)裝置提供了橫向的區(qū)域劃分概念，即將全廠的各個裝置合理分組（關(guān)聯(lián)度比較大的裝置分在一組），所采用的網(wǎng)絡(luò)設(shè)備相互獨立，邏輯上相互隔離。僅在企業(yè)網(wǎng)絡(luò)層將這些分組網(wǎng)絡(luò)互聯(lián)，這樣就大大降低了單套裝置的故障對全廠網(wǎng)絡(luò)的破壞性影響，從而可以提高整個工廠網(wǎng)絡(luò)的可靠性。

圖1 基于ANSI/ISA-99標(biāo)準(zhǔn)生產(chǎn)網(wǎng)絡(luò)分層結(jié)構(gòu)

標(biāo)準(zhǔn)除了對網(wǎng)絡(luò)構(gòu)架有完整清晰的描述外，對于投產(chǎn)網(wǎng)絡(luò)的日常維護(hù)，風(fēng)險預(yù)案，包括交換機(jī)，防火墻的維護(hù)，人員培訓(xùn)及緊急情況下的故障處理預(yù)案等也有明確要求，并且在DCS整個生命周期中的防病毒軟件的升級，日常維護(hù)管理，備品備件支持等方面也提出了指導(dǎo)性意見。

在大型石化大型煉化一體化企業(yè)的網(wǎng)絡(luò)采用標(biāo)準(zhǔn)的縱向分層和橫向分區(qū)的方法，制定投產(chǎn)后的維護(hù)方法及故障緊急處理預(yù)案并作為標(biāo)準(zhǔn)作業(yè)流程實施，可以最大程度降低網(wǎng)絡(luò)故障給大型過程生產(chǎn)企業(yè)帶來的風(fēng)險，從而確保裝置安全可靠的運行。

2 全廠網(wǎng)絡(luò)的實際運用

中沙（天津）石化有限公司100萬噸乙烯為世界級大型乙烯聯(lián)合裝置，包括100萬噸/年乙烯裝置，65萬噸/年裂解汽油加氫裝置、30萬噸/年線性低密度聚乙烯裝置、30萬噸/年高密度聚乙烯裝置、45萬噸/年聚丙烯裝置、4/36萬噸/年環(huán)氧乙烷/乙二醇裝置、35萬噸/年苯酚丙酮裝置、20/12/年丁二烯/MTBE等8套工藝裝置以及公用工程、儲運和輔助設(shè)施，共75個主項。

裝置的DCS主設(shè)備采用了日本橫河公司的Centum CS 3000系統(tǒng)，在構(gòu)建工廠網(wǎng)絡(luò)之初考慮網(wǎng)絡(luò)安全方面，首次采用了標(biāo)準(zhǔn)定義的分層分區(qū)結(jié)構(gòu)設(shè)計了網(wǎng)絡(luò)框架，而在執(zhí)行時系統(tǒng)化地參考了橫河已經(jīng)成熟的網(wǎng)絡(luò)安全經(jīng)驗以及其管理模式。形成了獨特系統(tǒng)化的工廠網(wǎng)絡(luò)安全模式，該模式通過工廠裝置五年的穩(wěn)定運行證明是成功而且有效的。

3 全廠網(wǎng)絡(luò)的縱向分層

縱向結(jié)構(gòu)上，在工廠信息網(wǎng)層面，三層半網(wǎng)絡(luò)連接防火墻，Web服務(wù)器，域管理器等網(wǎng)絡(luò)管理服務(wù)器。上述網(wǎng)絡(luò)管理服務(wù)器在整體工廠網(wǎng)絡(luò)結(jié)構(gòu)中起呈上啟下的作用，防火墻的作用是限制從外部網(wǎng)絡(luò)而來的非授權(quán)訪問，同時阻止內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)直接通信，以保證內(nèi)部網(wǎng)絡(luò)安全。

在三層網(wǎng)絡(luò)是工廠的內(nèi)部網(wǎng)，連接ODS服務(wù)器，PRM服務(wù)器，AVS服務(wù)器，各裝置的TS服務(wù)器等工廠數(shù)據(jù)管理服務(wù)器。這里的服務(wù)器集中了全廠8套工藝裝置的各種數(shù)據(jù)，如操作數(shù)據(jù)，智能儀表數(shù)據(jù)等，從而在內(nèi)部網(wǎng)絡(luò)(第三層網(wǎng)絡(luò))實現(xiàn)全廠數(shù)據(jù)的統(tǒng)合。AVS服務(wù)器上安裝Norton防病毒軟件網(wǎng)絡(luò)版，客戶端數(shù)量則與整個內(nèi)部網(wǎng)絡(luò)上的工作站數(shù)量相當(dāng)，可以防止病毒的感染而導(dǎo)致的網(wǎng)絡(luò)安全隱患。第三層網(wǎng)絡(luò)連接采用CISCO 3750G三層交換機(jī)。如圖2所示。

圖2 中沙（天津）石化有限公司100萬噸乙烯裝置工廠信息網(wǎng)

第二層網(wǎng)絡(luò)(DCS網(wǎng)絡(luò))則是橫河自主知識產(chǎn)權(quán)的冗余Vnet/IP網(wǎng)絡(luò)，其連接硬件采用CISCO 2960G二層交換機(jī)，Centum CS3000系統(tǒng)的控制站與人機(jī)界面站之間的通信采用冗余的Vnet/IP網(wǎng)絡(luò)，V-net通信是橫河自主通訊協(xié)議，由于Vnet數(shù)據(jù)格式并不開放，其安全性不受黑客以及病毒的干擾，用作裝置的控制總線可以確保裝置生產(chǎn)本身的安全性，同時在Vnet的物理層又允許通用的TCP/IP網(wǎng)絡(luò)通訊。而TCP/IP則是通用的工業(yè)以太網(wǎng)協(xié)議，比較容易受到黑客以及病毒的干擾從而失效，橫河公司的解決方法是采用自己的控制網(wǎng)卡，從而將Vnet和TCP/IP的帶寬徹底隔離開來。這樣Vnet/IP總線同時具備Vnet的實時性、可靠性、穩(wěn)定性和以太網(wǎng)的開放性和靈活性，傳輸速率達(dá)1Gbps/s。

DCS系統(tǒng)內(nèi)部通信和TCP/IP通信采用同一物理層介質(zhì)（超5類屏蔽雙絞線），分別使用不同的網(wǎng)絡(luò)帶寬（各500Mbps）。開放通訊和系統(tǒng)通訊各行其道。如圖3所示。

若TCP/IP通信發(fā)生由于不正常堵塞的情況下，只要交換機(jī)工作正常V-net層的數(shù)據(jù)通信由橫河公司內(nèi)部協(xié)議保證仍能夠正常進(jìn)行，保證了生產(chǎn)裝置正常的監(jiān)視、操作和控制的執(zhí)行。而在交換機(jī)出現(xiàn)故障的情況下，則需要將網(wǎng)絡(luò)不通暢對于整體系統(tǒng)的影響降到最低，為確保交換機(jī)故障對生產(chǎn)裝置的影響，需要對整個工廠的裝置進(jìn)行橫向分區(qū)。

圖3 第二層網(wǎng)絡(luò)Vnet-IP網(wǎng)絡(luò)功能示意圖

4 工廠網(wǎng)絡(luò)的橫向分區(qū)

整個乙烯工程共分為8個局域網(wǎng)，每個局域網(wǎng)分別使用各自的二層交換機(jī)，而8個局域網(wǎng)的交換機(jī)通過CISCO 3750G的三層交換機(jī)連接到CCR，形成一個整體的工廠網(wǎng)。每個LAN 中的項目數(shù)據(jù)庫存放在各自LAN 的工程師站（EWS）。保證了各局域網(wǎng)之間在邏輯上相互獨立。單一LAN的網(wǎng)絡(luò)故障不會影響到其他LAN，同時實現(xiàn)了各個LAN之間的數(shù)據(jù)共享。

5 網(wǎng)絡(luò)安全風(fēng)險及相應(yīng)措施

監(jiān)視控制層采用的是二層交換機(jī)，由于二層交換機(jī)由于工作原理上的限制，設(shè)計網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)不能是環(huán)狀或者網(wǎng)狀的，否則就會產(chǎn)生廣播風(fēng)暴而造成網(wǎng)絡(luò)癱瘓。為防止上述情況發(fā)生，項目采用可管理的二層交換機(jī)，并且設(shè)定密碼，限制未授權(quán)的訪問，而交換機(jī)上所有不使用的端口全部關(guān)閉，防止誤接線引起交換機(jī)打環(huán)，全隔離雙重化交換機(jī)則可以使任何一個Bus的控制網(wǎng)出現(xiàn)問題不會影響另外一個Bus，控制系統(tǒng)仍然可以繼續(xù)工作。

為提高二層交換機(jī)的可靠性，避免Vnet/IP兩個Bus同時出現(xiàn)問題而影響裝置生產(chǎn)，監(jiān)視控制層采用高可靠性CISCO 2960G的二層網(wǎng)絡(luò)交換機(jī)，并采用雙重化分路供電的形式，使交換機(jī)可以在線更換。這樣兩個Bus同時出現(xiàn)問題的可能性幾乎為零。即使同時出現(xiàn)故障也不會對工廠其他區(qū)域產(chǎn)生影響?？焖倥懦收虾笙到y(tǒng)依然可以恢復(fù)工作。

Vnet/IP同時兼容TCP/IP，允許非Vnet/IP設(shè)備直接連接到控制網(wǎng)，正常情況下，開放的以太網(wǎng)通訊只限于少量的網(wǎng)絡(luò)文件傳輸、時間同步等，不會產(chǎn)生很大的數(shù)據(jù)流量。除非是電腦感染了蠕蟲病毒，產(chǎn)生大量的垃圾網(wǎng)絡(luò)數(shù)據(jù)，才會造成流量異常，所有工廠網(wǎng)絡(luò)上連接電腦都預(yù)裝防病毒軟件，并通過位于三層半的病毒服務(wù)器定期更新病毒數(shù)據(jù)庫，杜絕病毒的滋生以達(dá)到預(yù)防目的。此外，Vnet/IP網(wǎng)絡(luò)的獨特分帶寬設(shè)計使整個裝置網(wǎng)絡(luò)在TCP/IP側(cè)上的數(shù)據(jù)流量異常情況下，也不會對Vnet側(cè)的控制通訊產(chǎn)生影響，因為Vnet的控制信息是和開放的TCP/IP以太網(wǎng)通訊是分開獨立傳輸?shù)?，擁有獨立的帶寬。在實際接線過程中，為避免BUS1和BUS2的接線交叉對整個DCS系統(tǒng)產(chǎn)生影響，在使用網(wǎng)絡(luò)雙絞線方面，規(guī)定對所有BUS1和BUS2的接線顏色區(qū)分，例如Bus1采用灰色網(wǎng)線，Bus2采用藍(lán)色網(wǎng)線，所以一般情況下接線不會交叉。三層網(wǎng)絡(luò)采用CISCO 3750G三層交換機(jī)，三層交換機(jī)與二層交換機(jī)不同，每一個端口都對應(yīng)有相應(yīng)的IP地址，接了錯誤端口的設(shè)備將無法正常工作，但是并不會對其他設(shè)備或整個網(wǎng)絡(luò)產(chǎn)生影響。由于三層交換機(jī)位于全廠數(shù)據(jù)層，也需要采取冗余結(jié)構(gòu)和分路供電，使交換機(jī)可以在線更換，這樣兩網(wǎng)同時出現(xiàn)問題的可能性幾乎為零，即使同時癱瘓也不會對下層生產(chǎn)層產(chǎn)生安全影響，原設(shè)計的結(jié)構(gòu)完全可以滿足安全要求。

6 最壞情況及應(yīng)急預(yù)案

最壞情況的發(fā)生是小概率事件，為了防患于未然，制定工廠網(wǎng)絡(luò)最壞情況應(yīng)急預(yù)案并實施可以將這些情況對工廠生產(chǎn)的影響降到最低。

位于三層半的防火墻故障，造成第三層網(wǎng)絡(luò)對外透明，病毒和黑客有可能入侵到第二層網(wǎng)，進(jìn)而進(jìn)入PRM服務(wù)器，ODS服務(wù)器，OPC服務(wù)器的客戶端。整個工廠網(wǎng)的運行不受影響。需要立刻切斷工廠網(wǎng)絡(luò)和外網(wǎng)的聯(lián)系，并立即運行防病毒軟件確保其他工作站不受感染。已發(fā)生感染的工作站立即與工廠網(wǎng)絡(luò)斷開。待防火墻故障排除后才能重新連接到網(wǎng)絡(luò)上。兩個三層交換機(jī)同時發(fā)生故障，三層網(wǎng)絡(luò)數(shù)據(jù)阻塞，PRM服務(wù)器，ODS服務(wù)器，OPC服務(wù)器的客戶端將無法正常讀取數(shù)據(jù)。此時各裝置的DCS系統(tǒng)仍能正常運行監(jiān)視，各數(shù)據(jù)服務(wù)器仍然能夠通過二層網(wǎng)讀取數(shù)據(jù)，故障影響不大。需要立刻更換三層交換機(jī)或排除三層交換機(jī)故障。而在三層上傳輸?shù)臄?shù)據(jù)均保存在服務(wù)器中，不會造成數(shù)據(jù)丟失。三層交換機(jī)通訊恢復(fù)后各客戶端依然可以看到完整的數(shù)據(jù)。

某裝置的位于中控室的第二層網(wǎng)的冗余交換機(jī)同時發(fā)生故障，造成裝置第二層網(wǎng)絡(luò)癱瘓，事故只會對該裝置位于中控室的操作站和工程師站產(chǎn)生影響，裝置的監(jiān)視和管理仍然可以通過將通過各裝置位于機(jī)柜間工程師站和操作站進(jìn)行，需要立刻更換位于中控室的二層交換機(jī)或排除二層交換機(jī)故障。

某裝置的位于機(jī)柜間的第二層網(wǎng)的冗余交換機(jī)同時發(fā)生故障，這是全廠網(wǎng)絡(luò)有可能發(fā)生的最嚴(yán)重故障，將導(dǎo)致該域的控制器和操作站，工程師站等無法通信，該域內(nèi)裝置的運行無法監(jiān)視，數(shù)據(jù)無法采集。由于有3層交換機(jī)隔離，不會影響到全廠DCS網(wǎng)絡(luò)上其他域裝置的正常運行和監(jiān)視。需要立刻更換位于機(jī)柜間的二層交換機(jī)或排除二層交換機(jī)故障。

7 工廠網(wǎng)絡(luò)生命周期的維護(hù)

在DCS整個生命周期內(nèi)，為確保工廠網(wǎng)絡(luò)穩(wěn)定可靠運行，應(yīng)周期性提供系統(tǒng)整體網(wǎng)絡(luò)環(huán)境，對網(wǎng)絡(luò)設(shè)備運行狀況的診斷，對網(wǎng)絡(luò)設(shè)備的軟件進(jìn)行升級。此外，需要儲備常用備品備件，在更換網(wǎng)絡(luò)設(shè)備時，應(yīng)盡量更換原型號產(chǎn)品或經(jīng)過DCS供貨商運行測試證明安全可靠的替代型號。而在生命周期內(nèi)發(fā)生緊急情況時，應(yīng)及時與DCS供貨商聯(lián)系，共同處理網(wǎng)絡(luò)故障。

8 結(jié)束語

中沙（天津）石化有限公司100萬噸乙烯裝置從2010年1月試車成功投運以來，全廠網(wǎng)絡(luò)一直穩(wěn)定運行，沒有發(fā)生非計劃停車，證明該項目所采用的網(wǎng)絡(luò)安全策略是成功的。這也證明標(biāo)準(zhǔn)所闡述的網(wǎng)絡(luò)安全的分層及分區(qū)結(jié)構(gòu)以及后續(xù)管理措施是有效的可操作的。在項目執(zhí)行初期所制定的風(fēng)險防范措施以及最壞情況下的處理預(yù)案，以及整個DCS生命周期整體網(wǎng)絡(luò)日常運行維護(hù)，備品備件以及緊急情況下工程服務(wù)的支持及管理，給最終用戶安全使用全廠網(wǎng)絡(luò)提供了切實可行的解決方案?！?/p>

[1] ANSI/ISA-99.00.01-2007,Security for Industrial Automation and Control Systems Part 1:Terminology,Concepts,and Models.ISA標(biāo)準(zhǔn)文獻(xiàn).

[2] 范宗海,于寶全.大型煉化一體化工程DCS網(wǎng)絡(luò)安全策略[J].''石油化工自動化''2010年3月.

[3] Yokogawa Centum CS 30000Vnet/IP network security guideline.ISD-MASP-S05037 Edition 2008.

[4] Yokogawa Centum CS 3000Vnet/IP features.ISD-MASP-S05023 Edition 2007.

[5] Max Felser.Real-Time Ethernet-Industry Prospective.PROCEEDINGS OF THE IEEE,VOL.93,NO.6.June.2005.

[6] Centum CS 3000 Installation guidance.IM 33Q01C10-01E.Edition 2007.

[7] Centum CS 3000 Vnet/IP General Specification.GS 33P01B10-31E.Edition 2008.