今日頭條
官方微信
官方抖音
訪談頻道
浙江中控技術股份有限公司副總裁兼總工程師 俞海斌
浙江中控技術股份有限公司系中控(SUPCON)的核心成員企業,依托深厚的科研積淀,以及強大的自主創新能力,構建了完整的工業自動化整體解決方案及產品體系,包括現場儀表、控制閥、控制系統、先進控制與優化(APC)、制造執行系統(MES)以及企業信息系統(ERP)等。其中,控制系統分為SIS、DCS、SCADA和PLC,主要的應用行業包括石化、化工、電力、建材、冶金、造紙、制藥、食品飲料等。
盡顯控制系統優勢
據了解,2015年度中控DCS在中國的市場份額突破20%,連續五年保持第一。其產品的主要競爭優勢有如下幾方面:
大規模的全場一體化聯合控制:有效提升工廠的效能;
全廠統一數據庫和多人協同組態:提高工作效率、縮短工程周期;
提供多種先進控制功能:節能降耗、提高產品質量;
全冗余的系統結構,單控制周期無憂切換:保證最大的系統可用性;
低功耗多CPU協同工作的控制器:確保高可靠性;
20毫秒的快速控制周期:確保控制系統的快速響應;
可靠的網絡信息安全:國內首家通過wurldtech's achilles(阿基里斯)國際認證;
I/O模塊裝卸結構采用防混插設計:方便安裝和維護;
機柜雙面垂直安裝:兼顧混裝靈活性、I/O容積率和接線方便性;
模擬量模塊支持自由量程設置、超量程表示和輸出:方便儀表調校,確保輸出到位;
I/O模塊支持故障安全:保障控制過程的安全性;
基于國際標準和行業規范設計研制:符合CE認證要求;
組態關聯檢測和單點在線組態下載:確保現場連續運行無擾動;
完善的組態和操作記錄:提供快速準確的歷史追溯;
支持多種現場總線和異構設備互聯:提高資產利用效率;
支持在線升級和擴容:保護用戶的投資;
系統平均無故障時間達1 0 2 萬小時, 系統可用率達99.9999%,保證系統長期穩定運行。
如今,在智能制造時代,控制系統趨于網絡化、信息化和智能化,其中控制網絡作為控制系統的神經中樞,逐步呈現泛在化、智能化和互聯互通,且發揮著舉足輕重的作用。
浙江中控技術股份有限公司副總裁兼總工程師俞海斌談道:“浙江中控技術股份有限公司是國內工業自動化行業技術領先的自主創新型企業,自成立以來,憑借自身雄厚的科研實力、廣泛的科技交流和超前的科技產業意識,持續投入工業以太網、現場總線等控制網絡技術的研究和應用,在業內率先將10M以太網、100M以太網技術應用在工業控制系統,并牽頭組織制訂了我國第一個擁有自主知識產權的工業自動化領域的國際標準(EPA實時以太網標準),主持制訂了5項國家和行業標準。同時,浙江中控的控制網絡技術在中國石化長嶺等千萬噸級煉油、中天合創大型煤制烯烴、神華寧煤百萬噸乙烯等國家特大工程中得到規模化應用,取得了良好的效果。”
中控基于大規模組網的控制網絡技術特點有:高可靠性;高可用性;開放性;全網診斷;安全性;網絡一體化設計。
(1)高可靠性
控制網絡采用自主工業以太網技術,保證高可靠性;
控制網絡采用扁平式網絡結構以及1對多的通信方式,保證通信的可靠性;
采用堅固的系統和網絡通訊設備,外配產品需經過嚴格的認證測試。
(2)高可用性
控制網絡采用全冗余設計(通訊接口、網絡設備、網絡供電),并且網絡1:1同步冗余,無切換時間,A/B網隔離;
控制網絡采用分層分域設計,支持多路徑容錯通信,保證裝置通訊網絡的獨立性,又確保裝置間數據的共享以及一體化管理。
(3)開放性
支持HART、Modbus、FF、PROFIBUS、OPC等通用現場總線接口;
支持工業物聯網和工業互聯網通信方式。
(4)全網診斷
提供統一的網絡健康視圖,直觀顯示整體網絡、網絡節點狀態,專家診斷,及時預警。
(5)安全性
控制器通過Achilles通訊健壯性認證(二級),保證控制器在復雜網絡中正常工作;
通訊和控制功能分離設計,通訊故障不影響控制功能本身。
(6)網絡一體化設計
中控DCS、PLC、SIS支持網絡一體化,保證統一聯網和互聯互通。
構建工控安全解決方案
眾所周知,工業控制系統是國家關鍵基礎設施的重要組成部分,工業控制系統的安全關系到國家的戰略安全。同時,工業控制系統的網絡安全問題也面臨越來越多的挑戰。由于工業控制系統廣泛采用通用軟硬件和網絡設施,與企業管理信息系統集成,與互聯網產生了大量的數據交換,導致工業控制系統愈加開放。以往由物理環境的封閉性和專用性所帶來的安全性將不復存在,如果企業未樹立健全的安全意識,相關工業控制系統的詳細信息將通過互聯網被外部所獲取。
中控是中國工業控制系統信息安全的倡導者和實踐者。早在2010年“震網”病毒爆發之后,其就針對工業領域的具體應用需求,全面設計并實踐了工業控制系統信息安全縱深防御架構和技術體系,并在安慶千萬噸煉油、北海千萬噸煉油、中天合創煤化工等各種大型項目中進行應用,取得了良好的效果。
俞海斌向記者詳細介紹了中控所構建的工控安全綜合解決方案。中控針對“兩化融合”之后日益復雜的工業信息安全風險,通過對國際標準IEC62443、ISASecure的研究,并結合自身豐富的工程實踐經驗,設計并實踐了工業控制系統內建安全的綜合設計體系,突破安全隔離、內核自主可控等關鍵技術以及安全保障、安全評估與認證等關鍵環節,從內在機理上規避了信息安全風險,并在此基礎上構建工控安全綜合解決方案。
綜合解決方案包含三部分:系統安全、項目安全和安全運維,如下圖所示:
(1)系統安全(內建安全)
依據IEC 62443《工業自動化網絡與控制系統信息安全》國際標準、GB/T30976《工業控制系統信息安全 第一部分:評估規范》、《工業控制系統信息安全 第二部分:驗收規范》國家標準以及WIB 2.0《過程控制領域:對供應商的信息安全要求》行業標準,結合工業領域的具體需求和應用環境,通過工業控制系統的風險分析和內建安全設計,突破控制與通信安全隔離技術、內核自主可控技術等關鍵技術以及安全保障技術、安全評估與認證技術,實現控制系統內在機理的安全。
(2)項目安全(縱深防御)
縱深防御技術措施:
工控安全策略和管理
結合工廠的管理流程和實際需求,幫助用戶建立正確的安全政策和管理措施,防止管理漏洞導致縱深防御形同虛設。
廠區物理安全
物理區域實施權限管控,防止非法人員闖入或非授權人員隨意操作。
安全分區與邊界防護
通過安全分區(縱向分層、橫向分域)和邊界防護,實現區域間的安全隔離,阻止外部攻擊,防止黑客或病毒長驅直入。
惡意軟件監測與防護
通過白名單技術,讓病毒無處遁形,無用武之地。
入侵檢測與系統加固
通過系統加固和全網診斷、監控、審計,阻止病毒利用操作系統漏洞、TCP/IP漏洞、應用協議漏洞,鏈路連接漏洞等攻擊計算機。
(3)工程項目典型配置
在工程項目中,為應對現代網絡威脅,中控對工業控制系統信息安全防護做出標準配置要求,以下為中控工業控制系統信息安全防護標準配置在各層網絡上的部署位置示意圖和配置列表清單。
OPC防護套件(工業防火墻)
OPC防護套件通過工業防火墻,實現通信協議的深度解析,并配置安全措施,實現數據的單向通信、可信通信,防止非授權的訪問和攻擊。
工控安全衛士(白名單技術)
通過對計算機的優化配置、操作系統的相關設置、計算機的應用規范管理以及程序、數據、文件的白名單控制,可有效防止病毒源從外部輸入,起到較好的安全防護作用。
網絡在線監測平臺
面向工廠網絡維護管理的全網診斷平臺軟件,主要滿足高端大型項目中對全工廠網絡設備管理和網絡狀態診斷等方面的需要,可用于大型工程驗證組態、第三方網絡在線診斷、新網絡評估、改造擴容網絡仿真等場合。
安全交換機
實現協議識別和隔離,只允許自有通信協議的數據包通過,隔離異常節點和異常數據,防止病毒的入侵和蔓延。并實現QoS調度,優先傳輸實時數據,保證實時通信的確定性和實時性。
工業協議安全網關
隔離外部接入網絡和現場總線,通過協議深度解析和白名單規則配置,只允許授權的節點、行為、數據通信。
防病毒解決方案(黑名單)
針對移動終端或生產中心MES的操作站,采取基于黑名單技術的防病毒解決方案,實現病毒的防范和隔離。
(4)安全運維(全生命周期管理)
支持全生命周期管理,提供網絡安全點檢、網絡安全改造專項服務產品,并提供以下安全運維服務:售前咨詢;設計規劃;評估審計;安全培訓;實施部署;事件響應。
(5)中控技術基礎
浙江中控是國內首家通過了Achilles Level2工業信息安全測試的自動化公司,取得了工業安全控制系統及其控制方法、一種加強網絡安全的方法和裝置等十余項發明專利。浙江中控設有專業的工業信息安全實驗室,負責工業信息安全專項技術研究和信息安全服務,擁有多名CISP、CCIE認證工程師,并獲得國家信息安全測評—信息安全服務資質證書(安全工程類)。同時,浙江中控也是工業控制系統信息安全產業聯盟成員單位,參與制定了《工業通信網絡_網絡和系統安全》等7余份工控安全國標。
產品推薦
TCS-900系統是中控面向工業自動化安全領域自主設計開發的高可用性、最先進的大型安全儀表系統(SIS)。該系統的安全模塊經過特別設計,獲得TüV Rheinland SIL3認證且符合IEC61508標準。
(1)系統架構
TCS-900系統采用完全三重化五次表決的高可靠結構設計。具體體現在安全回路中,包括輸入模塊、控制器、總線和輸出模塊。控制站的每個控制器和I/O模塊都有三個獨立的通道回路,輸入模塊內的三個通道同時采集同一個現場信號并分別進行數據處理,經表決后發送到三條I/O總線,控制器從三條I/O總線接收數據并進行表決,并將表決后的數據送三個獨立的處理器,各處理器完成數據運算后,控制器對三通道中的運算結果進行表決,并將表決結果送I/O總線,輸出模塊從I/O總線接收數據并進行表決,表決結果送三個通道進行數據輸出處理,處理結果表決后輸出驅動信號。
控制器模塊和I/O模塊支持冗余配置,冗余模塊采用雙工作模式,同時工作,無主備之分。在冗余模式下,如果檢測到某個模塊出現故障,則自動屏蔽故障模塊數據,接收健康模塊數據,故障模塊可在線更換。
(2)系統功能
TCS-900系統可應用于有安全完整性等級(SIL3及以下)要求的關鍵過程安全控制場合,包括緊急停車系統(ESD)、火災及氣體檢測系統(FGS)、燃燒管理系統(BMS)、大型透平壓縮機控制(CCS)等。提供可確保關鍵工業過程安全性的最佳解決方案,尤其是在石油天然氣、大型石化化工、能源、交通、冶金和大型機組等領域。
(3)系統特點
全冗余+三重化架構設計,真正三重化冗余容錯系統,支持3-3-2-0降級模式;
多重表決機制(5級),多級故障限定區設計;
冗余配置時,可在保持控制器在線期間實現模塊的安裝與更換,可在不更改現場接線的情況下更換I/O模塊。完全雙工作冗余模式支持零切換時間。同時,保證在線更換時信號不會損斷;
信息安全設計參考了國際網絡與系統信息安全IEC62443-3-3,SP800-82等標準,采用身份認證、訪問控制、數據加密(AES)、數字簽名、公鑰管理、內置防火墻、白名單技術、數據過濾等信息安全技術;
通過CE認證,工作溫度范圍達-5℃~60℃,濕度5%~95%RH,最高海拔4000m,電磁兼容性設計滿足工業3級要求,其中,靜電、浪涌、快速脈沖抗擾度可達4級;
系統最多支持7個擴展機架,單站支持的I/O點數可達2048;
支持通過SIL3認證的遠程擴展機架,采用光纖連接,最遠可達10km;
支持1ms分辨率SOE功能,控制站內存儲20,000條SOE事件記錄;
遵守IEC61131標準,支持FBD/LD/ST等常用編程語言。
摘自《自動化博覽》2016年7月刊
北京市公安局海淀分局備案號:11010802023656號