本质安全型DCS隔离站 __针对生产控制网络的安全普遍存在严重缺陷的现状，北京优化佳公司开发的本质安全型DCS隔离站，采用与众不同的照相数据传送技术，实现从DCS到数据库完全单向的数据传送，无论病毒和黑客如何变化，从数据传送的机制上杜绝了通过外部网对DCS进行攻击的可能性。该技术目前已获得国家发明专利（ZL200610064971.8），并已获美国（US 8,341,741 B2）、加拿大（No:2645722）、俄罗斯（No:2426248）、韩国（No:10-1146184）、日本（No:4971420）等国际专利。   『产品系列』 名　称 Name 应　用Application 功　能 Functions 本质安全型隔离站 ISIS 工业控制 Production　control 生产控制网与管理网之间数据的安全传输 Safety Data Transfer between production control network and management network 本质安全远程数据传输系统 Remote ISIS 工业控制 Production　control 生产控制网与管理网之间数据的安全传输 Safety Data Transfer between production control network and management network 『安全隐患』 ■目前工厂的DCS系统广泛存在着病毒和黑客攻击的威胁 ___目前，在石油化工生产过程中，广泛采用计算机（DCS，分布式控制系统）控制生产过程。而在绝大部分工厂里，这些DCS系统又与厂内的实时数据库、办公网络相连。在与DCS相连的网络上有成百上千台计算机。如果其中的某一台计算机中了病毒，就有可能通过计算机网络传导到DCS中。 ■存在的问题，过程控制系统的安全隐患 这种数采监测系统的一个明显问题是过程控制计算机与局域网络存在物理连接。 这种数采监测系统使用的过程控制计算机可能会受到来自办公管理网上的病毒感染或黑客的攻击。 尽管有软硬件的防病毒软件和防火墙，但并不能保证过程控制计算机的绝对安全，也会造成不可预测的后果。 ■一旦DCS中了病毒将对生产安全产生严重影响 ___与普通的办公和家用计算机不同，DCS一旦中了病毒，将对生产过程的安全产生严重的影响，可能引发紧急停车，甚至爆炸，损失几百上千万。例如： ___来自Sandia 国家实验室的主任在2005年美国众议院作证时说，一个特洛伊木马程序被故意地植入数据采集与监视控制系统（SCADA），造成阀门和压缩机输出的动作，从而导致Trans-Siberian油管的巨大爆炸。据华盛顿邮报报道，从太空看，这次爆炸火球是最巨大的非核爆炸，相当于3千吨TNT当量（与之相比，美国世贸中心的9.11爆炸约为0.1千吨TNT当量）。 ___据一位CIA高级分析员Tom Donahue说，2008年，美国国外的黑客通过互联网侵入了美国的电力设备并勒索钱财，然后他们先逐个地关闭了多个城市的灯光，最后切断电力供应。 ■针对工业控制系统的Stuxnet病毒已经入侵我国 ___Stuxnet病毒是世界上首个专门针对工业控制系统编写的破坏性病毒，该病毒主要通过U盘和局域网进行传播。如果工业化设备被感染，这种Stuxnet蠕虫病毒便会进入休眠状态，直到该机器满足特定条件时Stuxnet便会恶意修改控制系统及其控制参数，并且还可以对其它关联的控制系统发号施令等。例如，当温度达到特定值时，这种Stuxnet蠕虫病毒有可能会通过各种方法来阻止冷却系统发挥作用。 ___卡巴斯基实验室创始人及CEO尤金·卡巴斯基先生说，“我认为这是一个具有划时代意义的转折点，从今以后，我们进入了一个新纪元。因为以往的网络攻击仅仅是由网络罪犯发起，而现在恐怕已经进入网络恐怖主义、网络武器和网络战争时代了。 ___椐控制系统安全专家Joseph Weiss2009年在美国参议院作证时说，基于网络的工业控制系统在过去的10年中被攻破125次以上，其范围涉及核子发电厂，水电厂，水处理设施，石油工业和农产品行业。这些攻击造成了从轻微到严重的环境损害、严重设备破坏和人员死亡。 ■新型计算机病毒层出不穷花样翻新，2012年每天3330个新病毒 ___据公安部网络安全保卫局发布的病毒疫情调查分析报告 ,近几年的新病毒花样日益翻新。病毒生产进入机械化、自动化时代，数量急剧增加。2012年共截获新病毒1185824个，平均每天产生3330个新病毒。   ■目前的反病毒措施始终落后于新病毒的产生，不能从根本上防止DCS感染病毒 ___目前的反病毒措施从机理上看，都是从时间上要滞后于病毒的产生。也就是网上先有了新病毒，反病毒公司发现后取样进行技术分析，然后根据新病毒的特点制定反病毒新措施，让用户升级反病毒软件。而取样分析，制定措施，发布软件，用户升级都需要时间。在新病毒产生到用户升级反病毒软件这段时间内，计算机网络系统对新病毒无法防范。   『产品专利』 ■防止DCS受到外部黑客和病毒攻击的有效解决方案，该方案所使用的技术己获得国家发明专利，并己获多个外国专利。 ___DCS之所以会受到外部攻击，实质是DCS与实时数据库和办公系统存在物理的网络连接，用于传送生产装置的数据。如果把这个网络断了，DCS就不会通过网络感染病毒。但是这样一来，实时数据库也就得不到生产数据了。能不能有一种方法，不用计算机网络把DCS的生产数据传送到实时数据库呢？如果能够实现，就彻底断绝了计算机病毒和黑客的传播通路，从本质上保证了DCS的安全。 ___北京优化佳控制技术有限公司经过了近5年的研发，投入了大量的人力物力，最终发明了一种“照相数据传送技术”，可以实现无网络情况下把DCS数据送往实时数据库，并且实现了技术的商品化。该技术2009年获得中华人民共和国发明专利（专利号：ZL200610064971.8），并由于该技术的新颖性，己获得多个国外专利。   『产品简介』 ■本质安全DCS隔离站的照相数据传送原理 ___从图中可以看出，DCS要上传的数据由专门的数据采集计算机采集，并且将这些数据显示在计算机的屏幕上。另外有一个摄像系统将屏幕上显示的实时数据定时自动拍摄下来，拍下来得数据画面经过智能机器阅读子系统的自动解读后得到要上传的数据，通过局域网送到实数据库和办公网上。这样，局域网和DCS之间完全没有网络的物理连接，病毒和黑客不可能通过网络串到DCS中。无论病毒如何变化，都可以从本质上保证了DCS的安全。 ■本质安全数据采集站 ___目前，北京优化佳控制技术有限公司应用该原理，将数据采集计算机，显示、摄像系统和智能机器阅读系统集成在一起，研发成PDT系列本质安全DCS隔离站。该隔离站已经在多个DCS系统中长期稳定运行。 ■实时监测报警和自动冗余切换系统 ___本质安全DCS隔离站在长期运行过程中，一旦出现软件或硬件故障的问题，那么数据将无法从生产过程监测网流向办公管理网，如果不能及时处理，将造成实时数据库的数据中断。为了在故障情况下不造成DCS数据传送中断，我们开发了一种“本质安全DCS隔离站故障侦测报警和自动备用切换系统”，该系统可以自动侦测各DCS隔离站的工作状态，健康状况，如发现问题，自动进行声光报警，并向指定手机发送短信，自动备用切换系统会发出指令，将发生故障的DCS隔离站切换到预设的备用方案上，保持DCS数据传送的通畅，本系统可用于在可靠性要求极高的场合。 功能特性： （1)周期性、自动检测隔离站的工作状态。 （2)周期性、自动检测隔离站传递生产过程数据的状况。 （3)根据检测结果，自动进行主/副站的切换。 （4)具有应急手动按钮，可手动强制切换到主站或副站。 （5)具有声光报警和短信报警。 （6)具有Web发布，实时监测。 系统构成 ： ___实时监测报警和自动冗余切换系统包括本质安全DCS隔离站-监测报警服务器子系统、本质安全DCS隔离站-专网及交换机、本质安全DCS隔离站-冗余控制器、本质安全DCS隔离站-诊断节点（本质安全DCS隔离站-报警客户端子系统、本质安全DCS隔离站-诊断子系统）等构成。 ■冗余控制器 ___冗余控制器是专为本质安全DCS隔离站冗余系统而设计生产的。其中内置4套独立的“手/自动切换开关” ，封装在1U高的机箱中，可以同时为4套隔离站提供冗余控制。 冗余控制器硬件外观如下图： 自动冗余切换原理： （1）本质安全DCS隔离站内置的自动监测诊断系统对1、2号机的状态进行识别和诊断，并将诊断结果传送给报警客户端子系统。 （2）报警客户端子系统将诊断结果通过诊断专用网络转交给监测报警服务器子系统。 （3）监测报警服务器子系统根据诊断结果和相关配置参数，自动判别诊断节点数据的输出是通过主站还是副站，并将控制命令发送给冗余控制器。 （4）冗余控制器完成主站与副站之间的物理切换，同时报警服务器子系统还通过声光报警、短信报警向数据维护人员发送状态信息。 系统应用： ___实时监测报警和自动冗余切换系统联合使用冗余控制器，可以实现本质安全DCS隔离站的冗余结构。通过使用一套本质安全DCS隔离站-监测报警服务器子系统，一台多端口诊断网专用交换机，多个标准4路冗余控制器，多个诊断节点，从而构成一个全厂型、集成化的全自动冗余系统。   『产品性能』 ■本质安全DCS隔离站输入输出接口 (1)OPC标准接口(与DCS接口) 输入接口：内置标准OPC客户端，从DCS的OPC Server获取数据和OPC Server的状态。单/多OPC Client输入，多OPC Client输入最多可带有5个客户端，这样可以用一台多输入隔离站对5套DCS进行隔离。 输出接口：内置1～5个标准OPC服务器，通过照相技术传送的数据通过采集站内置的OPC Server与外部网络通讯。该OPC　Server的状态与 DCS OPC Server 状态保持一致，设计为 DCS OPC Server 的“影子”Server。 （2）非标准接口，API接口 对不同的连接对象，可以通过API进行数据通讯的接口。   ■本质安全DCS隔离站传输性能 PDT2000系列：每屏传送100个数据/3秒。最快每秒33个32位10进制数据。单OPC CLIENT输入，单OPC SERVER输出。 PDT3000系列：最快每秒12000个64位二进制数（相当于12000个双精度浮点数）。每站最大数据传送能力6000个TAG/秒。 『解决方案』 ■原来已有实时数据库的解决方案 ___如果原来的DCS已经通过OPC接口连接到实时数据库，可以选用带OPC接口的本质安全DCS隔离站进行隔离。实施方法非常简单： （1）将本质安全数据采集站的OPC CLIENT与DCS OPC SERVER连接。 （2）将数据库的OPC CLIENT与本质安全数据采集站的内置OPC SERVER连接。 ■多DCS的解决方案 对于多个DCS合用一个实数据库的情况，有三种解决方案： （1）每个DCS用一个本质安全DCS隔离站进行隔离。 （2）将数个DCS的数据送到一个OPC SERVER中然后用单入单出的本质安全DCS隔离站传送。 （3）可以选用多OPC CLIENT的本质安全DCS隔离站将多个DCS数据合成后进行数据传送。 ■冗余解决方案 通过使用本质安全DCS隔离站监测报警系统和隔离站冗余控制器可以实现冗余解决方案。冗余方案有两种：一种单站BYPASS方案，一种双站备用方案。 1.单站BYPASS备用方案：可以迅速切回到原来的解决方案（数采机直接采集DCS OPC SERVER数据），切换方式有手动方式和手动加自动方式两种。 2.双站备用方案：即一个主站常在线，一个副站在线备用，切换方式有手动方式和手动加自动方式两种。   ■无线远程监测方案 如果监测距离非常远，例如：监测方在北京而生产装置在洛阳或新疆等地的情况下，可以选用无线本质安全DCS隔离站远程监测方案。 该方案可提供采用GPRS/CDMA进行数据传送的本质安全远程数据监测。本质安全DCS隔离站从DCS获取数据后，通过GPRS/CDMA与远方的数据库连接。 站内内置远程健康状态监测，故障自动检测和修复系统。可以实现远距离可靠的无人值守监测。如图所示： 『应用实例』 ■本质安全DCS隔离站应用实例 ◆中石化某石油化工厂自2007年开始采用北京优化佳控制技术有限公司的本质安全型远程监测技术，对DCS进行隔离，已经连续运行至今，整个系统运行稳定。 ◆某石化分公司全厂本质安全DCS隔离站（一期）该项目对厂内实时数据库系统使用本质安全DCS隔离站集中隔离，建设内容包括数据采集通讯链路的完善，以及对炼油第一作业部、新老重整、芳烃、王龙坡、二垅和新建大炼油七套装置的控制系统进行本质安全隔离，为工业控制提供强有力的安全保障，进一步提高生产的安全性。 ◆北京某公司远程监测方案 公司在线优化控制系统的远程数据监测采用了本质安全DCS隔离站的远程监测方案，对分布在全国各地的在线优化控制系统进行实时监测分析，提供用户远程技术支持，目前已连续运行至今，经历了各种考验。   『产品特点』 1、专有的国家发明专利照相数据传送技术。 2、非网络连接情况下，实现DCS数据向实时数据库完全单向的传送（0比特返回），真正的网络物理断连，完全避免外网病毒及黑客的入侵，本质上保证DCS的安全。 3、开机自动运行。 4、支持位号类型自检、自适应，输出。 5、内置DCS OPC Server的 “影子Server”，该Server符合OPC2.0国际标准，其数据值与数据状态与DCS OPC Server相同。 6、支持多种输入输出接口，如OPC、API、MODBUS等。 7、具备调试、仿真测试环境。 8、支持冷、热双站备用。 9、数采客户端(OPC Client)具备断线后智能检测并自动重连功能。 10、提供功能强大的位号组态工具。 11、具备高可靠性，性能稳定。 12、数值处理符合IEEE国际标准。 13、最大数据传输能力为6000个Tag/秒。 14、支持在线增加、减少采集位号(PDT4000系列)。 15、支持一般文件的定时传输（PDT4000 DM系列）。 16、可内置数据库采集客户端，支持网络断线自动数据存储。 17、一套隔离站可对多套DCS进行隔离（多输入隔离站）。 18、具有故障自检报警功能。 19、与实时监测报警和自动冗余切换系统连用，实现集中的远程故障检测报警，自动/手动冗余方案切换（如备站切换，BYPASS切换）管理。 20、已经在中石化的大型炼厂长期稳定运行，证明该系统可在庞大复杂的工业环境中长期稳定工作，具有很高的可靠性。