本节书摘来自华章出版社《工业控制网络安全技术与实践》一 书中的第2章,第2.6节,作者:姚 羽 祝烈煌 武传坤 ,更多章节内容可以访问云栖社区“华章计算机”公众号查看。
2.6 典型工业领域的工业控制网络
工业控制系统是工业控制网络的服务对象。一些通过信息技术手段对工业控制系统实施的攻击都是通过工业控制网络完成的,因此保护好工业控制网络的安全,就能预防工业控制系统的非法入侵等攻击行为。为此,有必要了解一些具体行业的工业控制网络。
2.6.1 钢铁行业的工业控制网络
钢铁行业工业以太网一般采用环网结构,为实时控制网,负责控制器、操作员站及工程师站之间过程控制数据实时通信,网络上所有操作员站、数采机及PLC都使用以太网接口并设置为同一网段IP地址,网络中远距离传输介质为光缆,本地传输介质为网线(如PLC与操作员站之间)。生产监控主机利用双网卡结构与管理网相连。图2-16是典型钢铁厂网络拓扑图。
1)垂直划分为互联网层、办公网层、监控层、控制层及现场层(仪表)。
2)水平划分为不同功能区域(烧结、炼铁、炼钢、轧钢等)。
2.6.2 石化行业的工业控制网络
典型情形下,现有的炼化厂生产控制系统的网络拓扑图如图2-17所示。大型石油化工产业控制系统庞大,安全要求高,现场由多个控制系统完成控制功能。大型石油化工工程全厂DCS采用大型局域网架构,网络架构较为复杂。现场的主要控制功能都是由DCS来完成的,其他系统的集中控制在某种程度上可以完全由DCS监控。DCS含有大量的数据接口,是构建企业信息化的数据来源与执行机构。除DCS外的其他系统一般对外并没有数据接口(无生产数据),且相对独立,网络结构简单。
图2-16 典型钢铁厂网络拓扑图
主要控制系统的功能如下所示。
(1)分布式控制系统(DCS)
DCS完成生产装置的基本过程控制、操作、监视、管理、顺序控制、工艺联锁,部分先进过程控制也在DCS中完成。大型石油化工工程全厂DCS采用大型局域网架构。根据生产需求、系统规模和总图布置划分为若干独立的局域网,确保每套生产装置独立开停车和正常运行。
(2)安全仪表系统(SIS)
SIS设置在现场机柜室(FAR),与DCS独立设置,以确保人员及生产装置、重要机组和关键设备的安全。SIS按照故障安全型设计,与DCS实时数据通信,在DCS操作员站上显示。大型石油化工工程全厂SIS采用局域网架构。根据生产需求、系统规模和总图布置划分为若干独立的局域网,确保采用SIS的生产装置独立开停车和安全运行。
图2-17 典型炼化厂网络拓扑图
(3)可燃/有毒气体检测系统(GDS)
生产装置、公用工程及辅助设施内可能泄漏或聚集可燃、有毒气体的地方分别设有可燃、有毒气体检测器,并将信号接至GDS。
(4)压缩机控制系统(CCS)
压缩机控制系统完成压缩机组的调速控制、防喘振控制、负荷控制及安全联锁保护等功能,并与装置的DCS 进行通信,操作人员能够在DCS操作员站上对机组进行监视和操作。
(5)转动设备监视系统(MMS)
MMS用于主要透平机、压缩机和泵等转动设备参数的在线监视,同时对转动设备的性能进行分析和诊断,对转动设备的故障预测维护进行有力的支持。
(6)可编程逻辑控制系统(PLC)
操作控制相对比较独立或特殊的设备的控制监视和安全保护功能原则上采用独立的PLC 控制系统。与DCS 进行数据通信,操作人员能够在DCS操作员站上对设备的运行进行监视与操作。
(7)在线分析仪系统(PAS)
在线分析仪(工业色谱仪、红外线分析仪等)应包括采样单元、采样预处理单元、分析器单元、回收或放空单元、微处理器单元、通信接口(网络与串行)、显示器(LCD)单元和打印机等。
2.6.3 电力行业的工业控制网络
大型电厂全厂DCS采用大型局域网架构,网络架构较为复杂。以下是DCS 网络的架构说明。
(1)L1基础控制层
该层网络完成控制生产过程的功能,主要由工业控制器、数据采集卡件,以及各种过程控制输入输出仪表组成,也包括现场所有的系统间通信。可以本地实现连续控制调节和顺序控制、设备检测和系统测试与自诊断、过程数据采集、信号转换、协议转换等功能。
(2)L2监控层
该层包含各个分装置的工程师站以及操作员站,可以对生产过程进行生产过程的监控、系统组态的维护、现场智能仪表的管理。事实上,由L1 和L2 层就能进行产品的正常生产,但是在大型电厂中,为了实现生产管理智能化以及信息化,通常都会设置L3 及以上的网
络层。
(3)L3 操作管理层(集控CCR)
DCS管理层网络通过L3级交换机汇聚各分区L2层的LAN。设置全局工程师站可以对分区内所有装置的组态进行维护,查看网络内各装置的监控画面、趋势和报警。L3层设置的中心OPC服务器,可以实现对各装置实时数据的采集。
(4)L4调度管理层(厂级SIS)
SIS是实行生产过程综合优化服务的实时管理和监控系统,它将全厂DCS、PLC以及其他计算机过程控制系统(Process Control System,PCS)汇集在一起,并与管理信息系统(Management Information System,MIS)有机结合,在整个电厂内实现资源共用、信息共享,做到管控一体化。
典型情形下,现有的火电厂生产控制系统的网络拓扑图如图2-18所示。
图2-18 现有的火电厂生产控制系统的网络拓扑图
2.6.4 市政交通行业的工业控制网络
地铁综合监控系统的总体架构如图2-19所示。它由中央综合监控系统、车站综合监控系统(包括车辆段综合监控系统)以及将它们连接的综合监控系统骨干网组成。
(1)中央综合监控系统
中央综合监控系统安装在线路监控中心,用于监视全线各个车站(包括车辆段)的各个子系统的运行状态,完成中心级的操作控制功能。中央综合监控系统由中央监控网、OCC(Operating Control Center,运行控制中心)实时服务器、历史和事件服务器、磁盘阵列、磁带记录装置、各类操作员工作站、中心互联系统、UPS、打印机、机柜和附件等部分组成。此外,还有全系统的网络管理系统(NMS)、大屏幕系统(OPS)。
(2)车站综合监控系统
车站级监控网为双冗余高速交换式以太网,数据传输率为100 Mbit/s或1 000 Mbit/s,遵循IEEE 802.3标准、使用TCP/IP 协议,网络交换机为冗余配置。
图2-19 典型的综合监控系统架构图
(3)综合监控系统骨干网
综合监控系统骨干网(MBN)可采用地铁工程通信骨干网的传输信道,也可单独组建骨干网。地铁综合监控系统是一个地理分散的大型SCADA 系统。它构建在分布于方圆几十千米的广域网上。
