刘春
国家能源集团岳阳发电有限公司 湖南 岳阳 414000
内容摘要:当前发电企业在新技术的发展驱动下,已经将信息化提高到前所未有的地位,并且已经取得较好的经济社会效益,在旧的设备体系信息化过程中,需要进行相应的技术改造,针对不同的设备和工况,选择适应的技术构架进行改造才能取得更好的技术提升。针对油库区远程监控改造实施的过程采用的安全隔离栅,边界防火墙,可燃气体监测报警等新技术进行了总结和阐述,经过改造实现了油区关键信息进入集团的生产信息化系统(PI系统);并根据工艺要求,实现了油区传感器检测精度提升,油区传感器电气安全得到提升;关键数据实现在本地,集控中心和远程数据服务器内的冗余存储;数据传输网络使用了光纤局域网技术和边界区域防火墙技术,使数据网络的可靠性,抗干扰性能,和数据安全性得到提升。
关键词:PI系统,信号安全隔离栅,区域防火墙,光纤局域网,数据冗余
1.引言
在发电企业燃料体系中,燃料油作为生产辅助的原料必不可少,根据燃油的自身特性,燃油储存装卸区属于高安全风险区域,往往设置在离发电核心工艺设备较远的地方,在设计之初,系统都是有人值守的体系,随着工业技术发展和管理效率提升的大背景下,这种系统的弊端凸显,未来适应企业信息化和提高效率的发展需求,需要对油区的设备进行相应的改造,使生产所需的关键数据实现信息化共享,同时提高运行的可靠性。
2.整体系统构架的确立
绥中发电有限责任公司厂区的燃料油库属于90年代设计的技术体系,采用的是一次传感器和二次仪表组合的信息采集技术,本质上数据没有实现存储,其运行过程依赖值班人员的台账记录,并且长期运行后,仪表已经老化,数据经常属于波动状态和故障状态。
根据实际情况,和厂内集控系统的整体配置,确定了采用本地PLC实现本地数据处理,光纤远程局域网实现数据上传,集控中心PLC进行变量映射和存储,并将运行数据实时发布至PI管理系统前端数据服务器,最终实现集团生产信息管理系统(PI系统的数据调用)的构架来实施改造。改造选用的设计方案充分考虑到了生产作业习惯,备件通用性,软硬件的兼容性,可维护性,及安全性等关键因素。
3.关键技术应用
在这个远程数据监控系统中,充分考虑了电气安全,数据安全等安全因素,在核心节点上匹配了适当的技术。主要有如下几个方面:
3.1.光纤局域网
油区与集控中心建筑直线距离有700米,考虑到工业环境和现场的施工条件,最终确认使用光纤局域网来架设这段网络。选用了单模光纤组网,实现了宽带局域网的功能,在完成光纤熔接后,使用FLUK NetTool II仪器检测,油区到集控中心实际局域网通路带宽为205MPbs,符合Cat 5规范要求,组成了典型的100MTCP/IP局域网。
3.2.区域防火墙技术
工业防火墙的使用及部署主要包括安全区域之间的防护、重点设备的防护、分散工控网络之间的互联、远程维护等领域。
鉴于本次改造的数据需要连接至燃料集控中心,集控中心数据网络中还包含了燃料中控的PLC设备,故障诊断PLC设备,以及视频监控服务器,PI前置数据库服务器等重要的节点设备,因此需要重点考虑网络安全。
在油区地理位置离开控中心较远,并且在油区控制室属于有人值守的设备间,并且有其他设备与油区燃料数据的设备安装在一个控制室内,理论上是容易受到非授权连接和不预期操作的风险较大,如果不进行相应的处理,相当于将集控中心的节点设备网络,直接暴露在不可控范围内。
据此,在集控中心,与油区局域网接口配备了区域网络安全防火墙WitLinc WL-620F-S。该硬件工业防火墙是一款将多种安全功能集于一身的工业专用防火墙产品,可有效为您构建起安全的工业网络环境。
紧凑、强大、专为工业量身定制、集成了路由管理功能的WiSecurity工业防火墙,依靠高度的集成性可实现防火墙、NAT以及其他许多服务,有效简化网络基础设施,,从而创建集控中心至油区远程设备重要数据传输的安全隧道,实现特定的人与设备之间的专属沟通,集控中心除了油区设备可以访问,集控中心网络以外的所有访问操作和硬件设备的接入均被禁止,从而保障了关键生产数据的安全,防止关键数据被有意或无意篡改的风险,杜绝非授权连接集控中心核心网络。
在运行中可以随时查询防火墙的运行安全日志,从而可以在管理中发现异常的访问和进行追溯提高网络安全管理水平。
随着工信部有关《工业控制系统信息安全防护指南》的发布,工控安全又被提升到了一个新的高度。指南特别指出工业控制网络与企业网或互联网之间的边界应通过工业控制网络边界防护设备进行安全防护,通过工业防火墙、网闸等防护设备对工业控制网络安全区域之间进行逻辑隔离安全防护。可以看出,作为边界防护的重要安全设备工业防火墙,在企业工控安全防护中起到了至关重要的作用。
3.2.1.安全区域之间的访问控制和安全防护
在纵向不同层次网络之间部署防火墙,控制跨层访问并对层间数据交换进行深度过滤,防止攻击者通过上层网络向下层网络的渗透和攻击。
在同层次中平行的厂区、工艺流程和业务子系统之间部署防火墙,将它们分割成不同的安全区域,控制不同安全区域之间的访问,并对区域间数据交换进行深度过滤,减少区域之间安全问题的扩散和影响。
3.2.2.重点设备的安全防护
在重点设备的前端部署防火墙,限制可以访问它的IP地址、屏蔽非业务端口访问、过滤非法的操作指令、记录所有的访问和操作,对其进行全面的安全防护和审计。
3.2.3.分散工业网络的安全互联
对作业区内部的工业网络进行安全保护,阻断来自公用网络的攻击,实现作业区网络的边界安全防护。
使用VPN对作业区与调度中心之间的数据传输进行加密和保护,搭建安全的数据交换通道,解决两者之间的数据传输安全问题。
3.2.4.安全的远程维护
在工业网络与公用网络接口处部署防火墙,并启用VPN功能,将其作为远程维护的堡垒设备。远程维护人员使用VPN连接到防火墙上,一方面进行身份认证,另一方面对通过公用网络完成的远程维护操作进行加密保护,实现安全的远程维护。
3.3.信号安全隔离栅技术应用
在油区的安全区安装的控制设备需要和油区高风险区域的设备进行连接,其电气安全性至关重要,考虑到油区作业区内有的是防爆型的设备,有的不是,未来安全考虑,在本次改造中对于油区现场设备全部采用防爆安全栅进行隔离连接。
安全栅的作用是限制安全区域内的电气信号的危险能量传到至防爆区域内,通过硬件的调整限制传入防爆危险区域的电流和电压信号,使其能够在符合安全标准条件要求下的范围内,实现测量及驱动的功能。
本次采用的安全隔离栅使用的是电源,信号输入,信号输出3隔离的系统,电源系统经过回路限制功能,输出本质安全型的电源来驱动现场设备,信号输入和输出信号,通过光电隔离实现双向传输。
4.效果评估
在改造完成后,将油区传感器的数据进行了重新标定,现场油区的数据在本地计算机和集控中心服务器中均实现连续采集,连续存储,历史数据回放的功能;在集控中心数据库中实现了数据镜像至PI系统前置数据服务器的功能呢,实现在PI系统上调用和查询油区关键数据的功能。
集控中心调度人员可以直接了解厂内燃油的使用情况和油区的现场仪表的情况,进一步提高了运行和管理的水平。
参考文献:
1、《信息安全技术 工业控制系统专用防火墙技术要求》
2、《工业控制系统信息安全防护指南》