控制策略的烦恼:安全功能的独立,DCS如何分割应对?
本文来自于《控制工程中文版》(CONTROL ENGINEERING China )2017年01/02月合刊,原标题为:集成多个控制系统的正确方式
很少有工厂能够做到只用单个控制器就可完成所有的控制。相反,很多工厂都有相互连接的子系统,以实现效益最大化。
在考虑控制单个过程装置或整个工厂的控制系统时,把它想象成控制所有设施的单个分布式控制系统(DCS),处理起来就相对简单。在工厂设施、工艺装置或辅助系统内,尽管有一个DCS系统或大型可编程逻辑控制器(PLC)、可编程自动化控制器(PAC)来控制过程,仍然有很多其它控制系统负责控制规模较小的生产运营活动。
这种方法已经应用了很长时间。毕竟,DCS中的“D”代表分布式,这表明控制功能高度自主控制,但最后仍归于集中控制点。实际上,它可以有相当多的自主控制功能,这取决于过程本身的性质和过程工艺整体的复杂性。
例如,下面所列的一些工艺过程和系统,每个都可以由DCS进行监控,但每个都有其自己独立的控制机制:冷却水、蒸汽、加热器、配电、分析仪、火灾和气体检测系统、成套设备、通信、供水、就地清洁系统、暖通空调、废水、压缩空气和应急电源等。
从理论上讲,单个DCS可以控制所有上述系统,它可以从集中点控制工厂的每一个系统。然而,在大多数工厂,这并不切实际,因为这样会导致不必要的复杂性。安全仪表系统(SIS)由于具有功能独立性,因此是第一个独立出来的系统。类似的功能因素,也影会响其它决定。
功能的区分与考量
何时从DCS系统分离出来,取决于其功能。DCS系统的核心,是一个模拟系统。其目的是支持由可标定的传感器、模拟输出、控制标定、模拟执行装置所驱动的控制回路。它可以与离散元器件和功能一起工作,但这并不是最好的应用。在本文中,“离散”意味着具有简单开/关功能的设备,如电机起动器、压力开关、或回转阀。
图1:某些系统到系统的连接需要使用硬接线连接,以满足快速数据交换的要求,而传统的网络有时则提供了更大的灵活性。燃烧器管理系统(BMS)需要直接与设备连接(火焰探测器、纸浆黑液阀门和燃烧器燃料阀),所以它可以没有任何延迟的响应安全事件。与DCS系统相连的I/O则没有那么关键。本文所有图片来源:Maverick 技术。
过程单元有许多离散控制功能,例如泵需要打开和关闭,警报需要激活等等。DCS可以处理这些功能,但如果有很多相关功能必须协同工作,那最好把它们分离开来,用一个或多个PLC或其它更适合这些功能的控制器来执行。辅助PLC在控制上述功能的同时,可以与DCS通信。
在控制室的操作人员,需要了解辅助系统的功能及状态,所以需要将功能集成到常用控制图形中,但DCS只负责传递信息和指令,而不会执行任何实时控制。
图2:图中显示的是与子系统的连接是如何引入漏洞的。在传统网络中适用的网络安全防御策略,在此场景下也同样适用。在这个例子中,技术员增加一个到PLC的互联网连接,用于排除故障。这是为解决问题而作的权宜之计,但在大多数设施中这都是被禁止的。如果放在那里不做任何处理,就可能被遗忘,直到被入侵者发现。
安全和监管要求
如前所述,安全功能和系统与DCS独立。它们遵循不同的法规,但共同点是需要独立的功能。如果一个系统要关闭某装置的部分功能,将装置导向一个安全的状态,例如当反应堆的压力超过设定限值时,不管DCS有没有人为干预,它必须能够执行相应的功能
在某些情况下,一个安全功能可能会依赖于一些基本功能:比如压力开关发送信号到控制安全阀的逻辑运算器。逻辑运算器可在没有DCS或操作员协助的情况下打开阀门。在完成特定任务后,发送信号给DCS系统,并触发报警,但这种通讯被严格限制为单向通讯。
举个更复杂的例子:造纸厂有余热锅炉系统,服务造纸过程并将蒸汽提供给涡轮机发电,然后将汽轮机排汽用于加热纸干燥滚筒。锅炉有两个主要系统:一个是燃烧系统控制输出蒸汽量;另外一个是燃烧器管理系统(BMS)确保正常运行时火焰稳定,无残留未燃烧的燃料。在这种情况下,主燃料是由燃料油或气体辅助的纸浆黑液。由于蒸汽输出是一个过程变量,主要取决于纸张的加工需求和发电机功率和发电量,均由DCS控制。它通过控制燃油流量(纸浆黑液)、为产出特定量热量所需的空气量,以及对应的给水来控制锅炉水蒸汽的输出。
另一方面, BMS系统更多的是一种离散函数。它打开和关闭燃料。一旦出现问题,立即关闭。即使DCS系统通知它需要蒸汽,它也能够执行这样的关机操作。BMS系统受各种安全法规,包括美国国家防火协会(NFPA)的监管,它的功能就是由NFPA定义的。
适用的通信方法
所有子系统最终都必须整合在一起,这样操作员就可以从同一地点监视和控制所有设备。即使化学注射装置完全能够自主工作,操作员仍然需要在不到现场的情况下,打开和关闭该装置,并知道它的设置值。绝对意义上的隔离并不存在。
系统间连接的性质取决于功能和速度(见图1)。如果有重要的安全元件,则子系统可能通过硬接线实现从I/O到I/O的连接。不是那么关键的功能则可以通过Modbus或其它串行网络,或者越来越多的通过以太网协议来连接。因为IT应用已经拓展到工厂车间,直接串行链路正在逐步被更传统的以太网组网策略取代。
一个典型的多系统集成策略
Maverick技术公司为某大型石化厂设计了一个装置,可以将火灾和气体探测系统整合到DCS系统。这个项目特别有趣,因为它与许多不同类型的系统协调工作,这些系统所需的监管水平各异。由于火灾和气体检测系统具有安全功能,并受美国消防协会的监管,因此它们的操作必须完全独立。然而,考虑到操作员对工况的认知,促使公司将从这些系统收集到的信息,在中央控制室的同一个屏幕上显示。如果工厂的某个区域发生火灾,屏幕将会立即显示其位置,同时不会干扰其它HMI屏幕。所有的防火面板通过Modus将数据发送到DCS,在屏幕上显示出来。新系统还将从较低级别的安全功能,如紧急喷淋系统、洗眼站、甚至气象站上收集信息。如果有气体泄露或发生火灾,或如果有人在设施的任何地方使用洗眼站,运行人员可以立即了解到这些信息。
当子系统必须连接到多个DCS平台,比如工厂内有多个过程工艺单元时,大型网络就特别有用。子系统必须足够复杂以便平衡这些指令,还需要相应地调整自己。
图3:这种整合努力,要根据具体情况和通信类型,使用不同的通信协议。
排查网络安全隐患
随着网络规模和复杂性的增长,犯罪分子入侵攻击面也在增长。增加自带小型控制系统的泵组不需要创建另一个接入点,尽管它有充分的理由这样做。如图2中的例子所示,技术员增加一个到PLC的互联网连接,用于排除故障排。这是为解决问题而作的权宜之计,但在大多数设施中这都是被禁止的。如果放在那里不做任何处理,就可能被遗忘,直到被入侵者发现。
泵组制造商意识到在将来的某一天,也许需要访问泵组以便收集诊断信息、解决问题。工程师在控制柜中,配置蜂窝调制解调器或Wi-Fi路由器,以便技术人员访问设备。这个连接不是由客户指定的,而是制造商为方便自己的工作而添加的。如果黑客可以访问这个设备,那它就可以作为进入大系统的接入点。应当明确哪些通讯是允许的,哪些是绝对不可以的。
当多个系统由网络连接起来时,应进行适当隔离和分割。比如说,不管是什么原因,公司内部有人认为监控装置子系统的性能十分重要,那这个人就可能要求通过DCS访问所需数据。
随着控制策略的不断发展,从总体系统中分离较小的功能,以创建真正的分布式控制系统的做法将持续下去。由于网络变得更容易,以更加模块化的方式将这些分布系统连接起来的机理也就变得更容易。这与设备层面更智能化相符合,允许更多部件独自执行任务,而不需要大型中央处理器执行计算任务。
作者:Tim Gellner