时间:2022-02-15 03:29:00
引言:易发表网凭借丰富的文秘实践,为您精心挑选了九篇控制系统信息安全范例。如需获取更多原创内容,可随时联系我们的客服老师。
一、2015年工控安全漏洞与安全事件依然突出
通过对国家信息安全漏洞库(CNNVD)的数据进行分析,2015年工控安全漏洞呈现以下几个特点:
1.工控安全漏洞披露数量居高不下,总体呈递增趋势。受2010年“震网病毒”事件影响,工控信息安全迅速成为安全领域的焦点。国内外掀起针对工控安全漏洞的研究热潮,因此自2010年以后工控漏洞披露数量激增,占全部数量的96%以上。随着国内外对工控安全的研究逐渐深入,以及工控漏洞的公开披露开始逐渐制度化、规范化,近几年漏洞披露数量趋于稳定。
2.工控核心硬件漏洞数量增长明显。尽管在当前已披露的工控系统漏洞中软件漏洞数量仍高居首位,但近几年工控硬件漏洞数量增长明显,所占比例有显著提高。例如,2010年工控硬件漏洞占比不足10%,但是2015年其占比高达37.5%。其中,工控硬件包括可编程逻辑控制器(PLC)、远程终端单元(RTU)、智能仪表设备(IED)及离散控制系统(DCS)等。
3.漏洞已覆盖工控系统主要组件,主流工控厂商无一幸免。无论是国外工控厂商(如西门子、施耐德、罗克韦尔等)还是国内工控厂商(研华),其产品普遍存在安全漏洞,且许多漏洞很难修补。在2015年新披露的工控漏洞中,西门子、施耐德、罗克韦尔、霍尼韦尔产品的漏洞数量分列前四位。
二、工控信息安全标准需求强烈,标准制定工作正全面推进
尽管工控信息安全问题已得到世界各国普遍重视,但在工业生产环境中如何落实信息安全管理和技术却没有切实可行的方法,工控信息安全防护面临着“无章可循”,工控信息安全标准已迫在眉睫。当前,无论是国外还是国内,工控信息安全标准的需求非常强烈,标准制定工作也如火如荼在开展,但工控系统的特殊性导致目前工控安全技术和管理仍处探索阶段,目前绝大多数标准正处于草案或征求意见阶段,而且在设计思路上存在较为明显的差异,这充分反映了目前不同人员对工控信息安全标准认识的不同,因此工控信息安全标准的制定与落地任重道远。
1.国外工控信息安全标准建设概况
IEC 62443(工业自动化控制系统信息安全)标准是当前国际最主要的工控信息安全标准,起始于2005年,但至今标准制定工作仍未结束,特别是在涉及到系统及产品的具体技术要求方面尚有一段时日。
此外,美国在工控信息安全标准方面也在不断推进。其国家标准技术研究院NIST早在2010年了《工业控制系统安全指南》(NIST SP800-82),并2014年了修订版2,对其控制和控制基线进行了调整,增加了专门针对工控系统的补充指南。在奥巴马政府美国总统第13636号行政令《提高关键基础设计网络安全》后,NIST也随即了《关键基础设施网络安全框架》,提出“识别保护检测响应恢复”的总体框架。
2.国内工控信息安全标准建设概况
在国内,两个标准化技术委员会都在制定工控信息安全标准工作,分别是:全国信息安全标准化技术委员会(SAC/TC260),以及全国工业过程测量与控制标准化技术委员会(SAC/TC 124)。
其中,由TC260委员会组织制定的《工业控制系统现场测控设备安全功能要求》和《工业控制系统安全控制应用指南》处于报批稿阶段,《工业控制系统安全管理基本要求》、《工业控制系统安全检查指南》、《工业控制系统风险影响等级划分规范》、《工业控制系统安全防护技术要求和测试评价方法》和《安全可控信息系统(电力系统)安全指标体系》正在制定过程中,并且在2015年新启动了《工业控制系统产品信息安全通用评估准则》、《工业控制系统漏洞检测技术要求》、《工业控制系统网络监测安全技术要求和测试评价方法》、《工业控制网络安全隔离与信息交换系统安全技术要求》、《工业控制系统网络审计产品安全技术要求》、《工业控制系统风险评估实施指南》等标准研制工作。
TC124委员会组织制定的工控信息安全标准工作也在如火如荼进行。2014年12月,TC124委员会了《工业控制系统信息安全》(GB/T 30976-2014),包括两个部分内容:评估规范和验收规范。另外,TC124委员会等同采用了IEC 62443中的部分标准,包括《工业通信网络网络和系统安全术语、概念和模型》(JB/T 11961-2014,等同采用IEC/TS 62443-1-1:2009)、《工业过程测量和控制安全网络和系统安全》(JB/T 11960-2014,等同采用IEC PAS 62443-3:2008)、《工业通信网络网络和系统工业自动化和控制系统信息安全技术》(JB/T 11962-2014,等同采用IEC/TR 62443-3-1:2009),此外对IEC62443-2-1:2010标准转标工作已经进入报批稿阶段,并正在计划对IEC 62443-3-3:2013进行转标工作。除此之外,TC124委员会组织制定的集散控制系统(DCS)安全系列标准和可编程控制器(PLC)安全要求标准也已经进入征求意见稿后期阶段。
由于不同行业的工业控制系统差异很大,因此我国部分行业已经制定或正在研究制定适合自身行业特点的工控信息安全标准。2014年,国家发改委了第14号令《电力监控系统安全防护规定》,取代原先的《电力二次系统安全防护规定》(电监会[2005]5号),以此作为电力监控系统信息安全防护的指导依据,同时原有配套的防护方案也进行了相应的更新。在城市轨道交通领域,上海申通地铁集团有限公司2013年了《上海轨道交通信息安全技术架构》(沪地铁信[2013]222号文),并在2015年以222号文为指导文件了企业标准《轨道交通信息安全技术建设指导意见》(2015,试行)。同时,北京市轨道交通设计研究院有限公司于2015年牵头拟制国家标准草案《城市轨道交通工业控制系统信息安全要求》。在石油化工领域,2015年由石化盈科牵头拟制《中石化工业控制系统信息安全要求》等。
三、工控安全防护技术正迅速发展并在局部开始试点,但离大规模部署和应用有一定差距
当前许多信息安全厂商和工控自动化厂商纷纷研究工业控制系统的信息安全防护技术并开发相应产品,近几年出现了一系列诸如工控防火墙、工控异常监测系统、主机防护软件等产品并在部分企业进行试点应用。比较有代表性的工控安全防护产品及特点如下:
1.工控防火墙 防火墙是目前网络边界上最常用的一种安全防护设备,主要功能包括访问控制、地址转换、应用、带宽和流量控制等。相对于传统的IT防火墙,工控防火墙不但需要对TCP/IP协议进行安全过滤,更需要对工控应用层协议进行深度解析和安全过滤,如OPC、Modbus TCP、EtherNet/IP、DNP3、S7、Profinet、FINS等。只有做到工控应用层协议的深度检测,包括控制指令识别、操作地址和操作参数提取等,才能真正阻止那些不安全的控制指令及数据。
2.工控安全监测系统我国现有工业控制系统网络普遍呈现出“无纵深”、“无监测”、“无防护”特点,工控安全监测系统正是针对上述问题而快速发展起来的技术。它通过数据镜像方式采集大量工控网络数据并进行分析,最终发现各种网络异常行为、黑客攻击线索等。利用该系统,相关人员能够了解工控网络实时通信状况,及时发现潜在的攻击前兆、病毒传播痕迹以及各类网络异常情况,同时,由于该系统是以“旁路”方式接入工控网络中,不会对生产运行造成不良影响,因此更容易在工控系统这种特殊环境下进行部署和推广。
3.主机防护产品在工业生产过程中,人员能够通过工程师站或操作员站对PLC、DCS控制器等设备进行控制,从而实现阀门关闭、执行过程改变等操作。这些工程师站、操作员站等主机系统就变得十分重要,一旦出现问题,比如感染计算机病毒等,就会对正常生产造成较大影响。近年来发生的由于工程师站或操作员站感染计算机病毒最终导致控制通信中断从而影响生产的报道屡见不鲜。加强这些重要主机系统的安全防护,尤其是病毒防护至关重要。但是,传统的基于杀毒软件的防护机制在工控系统中面临着很多挑战,其中最严重的就是在工控网络这样一个封闭的网络环境中,杀毒软件无法在线升级。另外,杀毒软件对未知病毒、变异病毒也无能为力。在此情况下,基于白名单的防护技术开始出现。由于工控系统在建设完成投入运行后,其系统将基本保持稳定不变,应用单一、规律性强,因而很容易获得系统合法的“白名单”。通过这种方式就能够发现由于感染病毒或者攻击而产生的各种异常状况。
4.移动介质管控技术在工控网络中,由于工控系统故障进行维修,或者由于工艺生产逻辑变更导致的工程逻辑控制程序的变更,需要在上位机插入U盘等外来移动介质,这必然成为工控网络的一个攻击点。例如,伊朗“震网”病毒就是采用U盘摆渡方式,对上位机(即WinCC主机)进行了渗透攻击,从而最终控制了西门子PLC,造成了伊朗核设施损坏的严重危害后果。针对上述情况,一些针对U盘管控的技术和原型产品开始出现,包括专用U盘安全防护工具、USB漏洞检测工具等。
总之,针对工控系统安全防护需求及工控环境特点,许多防护技术和产品正在快速研发中,甚至在部分企业进行试点应用。但是,由于这些技术和产品在稳定性、可靠性等方面还未经严格考验,能否适用于工业环境的高温、高湿、粉尘情况还未可知,再加上工控系统作为生产系统,一旦出现故障将会造成不可估量的财产损失甚至人员伤亡,用户不敢冒然部署安全防护设备,因此目前还没有行业大规模使用上述防护技术和产品。
四、主要对策建议
针对2015年工控信息安全总体情况,提出以下对策建议:
1.进一步强化工控信息安全领导机构,充分发挥组织管理职能。
2.对工控新建系统和存量系统进行区别对待。对于工控新建系统而言,要将信息安全纳入总体规划中,从安全管理和安全技术两方面着手提升新建系统的安全保障能力,对关键设备进行安全选型,在系统上线运行前进行风险评估和渗透测试,及时发现安全漏洞并进行修补,避免系统投入生产后无法“打补丁”的情况。对于大量存量系统而言,应在不影响生产运行的情况下,通过旁路安全监测、外边界保护等方式,形成基本的工控安全状况监测和取证分析能力,彻底扭转现阶段对工控网络内部状况一无所知、面对工控病毒攻击束手无策的局面。
3.大力推进工控安全防护技术在实际应用中“落地”,鼓励主要工控行业用户进行试点应用,并对那些实践证明已经成熟的技术和产品在全行业进行推广。
4.建立工控关键设备的安全测评机制,防止设备存在高危漏洞甚至是“后门”等重大隐患。
关键词:火电厂;控制系统;信息安全;策略
1我国工业控制系统信息安全发展态势
从2011年底起,国家各部委了一系列关于工业控制系统信息安全的文件,把工控信息安全列为“事关经济发展、社会稳定和国家安全”的重要战略,受到国家层面的高度重视。在国家层面的推动下,工控信息安全工作轰轰烈烈展开,大批行政指令以及标准应运而生;在行政和市场双重动力的推动下,安全信息产业如雨后春笋般发展,工控信息安全产业联盟迅速壮大。这种形势下,我国电力、石化、钢铁等各大行业的集团和公司面临着如何迅速研究工控信息安全这个新课题,学习这一系列文件精神和标准,加强工控信息安全管理,研究采取恰当的信息安全技术措施等,积极稳妥地把工控信息安全工作踏踏实实地开展起来这一系列紧迫任务。但是,当前面临的困难是,从事信息安全产业的公司大多不太熟悉特点各异的各行业工控系统,有时还不免把工控系统视作一个互联网信息系统去思考和防护,而从事工控系统应用行业的人们大多还来不及了解信息安全技术,主导制定本行业的相关标准和本行业控制系统信息安全的工作策略,并推动两支力量的紧密配合。这正是当前面临的困境和作者力图要与同仁们一起学习和探讨的问题。
2从工控系统特点出发正确制定信息安全发展策略
火电厂控制系统与传统信息系统相比,相对来说,与外部完全开放的互联网联系极少,分布地域有限,接触人员较少,而对实时性、稳定性和可靠性却要求极高。这正是我们制定火电厂控制系统信息安全工作策略的基本出发点。为了形象起见,我们以人类抵抗疾病为例。人要不生病,一方面要自身强壮,不断提高肌体的免疫系统和自修复能力;另一方面,要尽可能营造一个良好的外部环境(不要忽冷忽热,空气中污染物少,无弥漫的病菌和病毒)。人类积累了丰富的经验,根据实际情况采取非常适当的保护措施。例如,对于一般人来说,他们改变环境的可行性较差。因此,确保自身强壮以及发现病兆及时吃药修复等是其保护自己的主要手段。但是,对于新生儿,因为自身免疫系统还比较脆弱,短时间也不可能马上提高。刚出生时医生也有条件将其暂时置于无菌恒温保护箱中哺养,以隔绝恶劣的环境。信息安全与人类抵抗病十分相似。对于一般互联网信息系统,分布地域极广,接触人员多而杂,因此信息安全策略重点,除了在适当地点采取一些防火墙等隔离措施外,主要依靠提高自身健壮性,以及查杀病毒等措施防御信息安全。对于工控系统,特别是火电厂控制系统,它与外部互联网联系较少,分布地域有限,接触人员较少。因此,对火电厂应该首先把重点放在为控制系统营造一个良好环境上。也就是说,尽可能与充斥病毒和恶意攻击的源泉隔离,包括从互联网进来的外部入侵,以及企业内外人员从内部的直接感染和入侵。前者可采取电力行业中证明行之有效的硬件网络单向传输装置(单向物理隔离装置)等技术手段;后者则主要通过加强目前电厂内比较忽视和薄弱的信息安全管理措施。火电厂控制系统采取这种信息安全策略可以达到事半功倍的效果。从当前国内外出现的不少工控系统遭受恶意攻击和植入病毒导致的严重事故来看,几乎大多数是没有或者隔离措施非常薄弱经互联网端侵入,或者通过企业内外人员从内部直接植入病毒导致。当然,我们不能忽视提高控制系统自身健壮性的各种努力和措施,以便万一恶意攻击和病毒侵入的情况下仍能万无一失确保安全。但是,开展这方面工作,特别是在已经投运的控制系统上进行这方面工作要特别慎重,这不仅因为这些工作代价较高,而且在当前信息安全产业中不少公司还不太熟悉相关行业工控系统特点,有些产品在工控系统中应用尚不成熟,而火电厂控制系统厂家对自身产品信息安全状态研究刚刚开始,或者由于种种原因没有介入和积极配合的情况下风险较高。这不是耸人听闻,实践已经发生,有的电厂为此已经付出了DCS停摆,机组误跳的事故代价。
3火电厂控制系统供应侧和应用侧两个信息安全战场的不同策略及相互协调
火电厂控制系统,主要是DCS,不仅是保证功能安全的基础,也是提高自身健壮性,确保信息安全的关键,它包括供应侧和应用侧两个信息安全战场。在DCS供应侧提高自身健壮性,并通过验收测收,确保系统信息安全有许多明显的优点。它可以非常协调地融入信息安全策略,可以离线进行危险性较大的渗透性测试,发现的漏洞对应用其控制系统的电厂具有一定的通用性等。此外,DCS供应侧在提高信息安全方面积累的经验和措施,培养起来的队伍,也将有助于现有电厂DCS的测试评估,以及安全加固等直接升级服务或配合服务。与信息安全产业的公司提供服务扩大了公司的市场不同,DCS供应侧提高其信息安全水平增加了DCS成本。因此,为了推动DCS供应侧提高信息安全水平,除了目前已经在发挥作用的行政手段外,我们还必须加强市场手段的动力。为此,当前我们电力行业应尽快从信息安全角度着手制定DCS准入标准,制定火电厂DCS信息安全技术标准和验收测试标准,以及招标用典型技术规范书等。火电厂DCS应用侧,是当前最紧迫面临现实信息安全风险,而且范围极广的战场,必须迅速有步骤地点面结合提高信息安全,降低风险。具体意见如下:
3.1应迅速全面开展下列三方面工作
(1)全面核查DCS与SIS及互联网间是否真正贯彻落实了发改委2014年14号令和国家能源局2015年36号文附件中关于配置单向物理隔离的规定,没有加装必须尽快配置,已配置的要检查是否符合要求。(2)迅速按照《工业控制系统信息安全防护指南》加强内部安全管理,杜绝内部和外部人员非法接近操作、介入或在现场总线及其它接入系统上偷挂攻击设备等,并适度开展一些风险较小的安全测评项目。上述两项工作,在已投运系统上实施难度较低,实施风险相对较低,但是却能起到抵御当前大部分潜在病毒侵袭和恶意攻击的风险。(3)通过试点,逐步开展对已运DCS进行较为深入的安全测评,适度增加信息安全技术措施,待取得经验后,再组织力量全面推广,把我国火电厂控制系统信息安全提高到一个新的水平。为了提高这项工作的总体效益,建议针对国内火电厂应用的各种型号的DCS品牌出发,各大电力集团互相协调,统筹规划,选择十个左右试点电厂,由应用单位上级领导组织,国家级或重点的测评机构、实验室技术指导,相关DCS供应商、优秀信息安全产品生产商以及电厂负责DCS的工程师一起成立试点小组。这样不仅可以融合DCS厂家的经验,包括他们已经开展的信息安全测评和信息安全加强措施,减少不必要的某些现场直接工作带来的较大风险。也有利于当前复合人才缺乏的情况下,确保工控系统技术和工控系统信息安全技术无缝融合,防止发生故障而影响安全生产(目前已经有电厂在测试和加入安全措施导致DCS故障而停机的事件)。
4DCS信息安全若干具体问题的建议
4.1关于控制大区和管理大区隔离的问题
根据国家发改委2014年14号令颁发的《电力监控系统安全防护规定》,以及国家能源局36号文附件《电力监控系统安全防护总体方案》的要求:(1)生产拉制大区和管理信息大区之间通信应当部署专用横向单向安全隔离装置,是横向防护的关键设备。(2)生产控制大区内的控制区与非控制区之间应当采取具有访问功能的设施,实现逻辑隔离。2016年修订的电力行业标准《火电厂厂级监控信息系统技术条件》(DL/T 924-2016)对隔离问题做了新的补充规定:(1)当MIS网络不与互联网连接时,宜采用SIS与MIS共用同一网络,在生产控制系统与SIS之间安装硬件的网络单向传输装置(单向物理隔离装置)。(2)当MIS网络与互联网连接时,宜采用SIS网络独立于MIS网络,并加装硬件的网络单向传输装置(单向物理隔离装置),而在生产控制系统与SIS之间安装硬件防火墙隔离。根椐当前严峻的网络安全形势,应当重新思考单向物理隔离装置这个行之有效的关键安全措施的设置点问题。建议无论是刚才提到的哪一种情况,单向物理隔离装置均应设置在生产控制系统(DCS)与SIS之间,理由是:(1)生产控制系统(DCS)对电厂人身设备危害和社会影响极大,而且危险事件瞬间爆发。因此,一定要把防控恶意操作、网络攻击和传播病毒的区域限制在尽可能小的范围内,这样可以最大限度提高电厂控制系统应对网络危害的能力。(2)SIS是全厂性的,涉及人员相对广泛,跟每台机组均有联系。因此,一旦隔离屏障被攻破,故障将是全厂性的,事故危害面相对较大。
4.2DCS信息安全认证和测试验收问题
火电厂在推广应用DCS的30年历史中,从一开始就适时提出了供编制招标技术规范书参考的典型技术规范书,进而逐步形成了标准, 明确规定了功能规范、性能指标以及验收测试等一系列要求。随后又根据发展适时增加了对电磁兼容性和功能安全等级认证的要求。当前,为确保得到信息安全的DCS产品,历史经验可以借鉴。笔者认为,宜首先对控制系统供应侧开展阿基里斯认证(Achilles Communications Certification,简称ACC)作为当前提高DCS信息安全的突破口。众所周知,ACC已得到全球前十大自动化公司中八个公司的确认,并对其产品进行认证;工业领域众多全球企业巨头,均已对其产品供应商提供的产品强制要求必须通过ACC认证。目前,ACC事实上已成为国际上公认的行业标准。国内参与石化和电厂市场竞争的不少外国主流DCS均已通过了ACC一级认证。至于国产主流DCS厂家,他们大多也看到了ACC认证是进入国际市场的门槛,也嗅到了国内市场未来的倾向,都在积极为达到ACC一级认证而努力(紧迫性程度明显与行业客户对ACC认证紧迫性要求有关)。此外,我国也已建立了进行测试认证的合格机构,具备了国内就地认证的条件。根据调查判断,如果我们电力行业侧开始编制技术规范书将ACC一级认证纳入要求,相信在行政推动和市场促进双重动力下,国产主流DCS在一年多时间内通过ACC一级认证是可以做到的。除ACC认证外,如前所述,当前还急需编制招标用火电厂信息安全技术规范和验收测试标准,使用户在采购时对其信息安全的保障有据可依。从源头抓起,取得经验,必将有利于在运DCS信息安全工作,少走弯路。
5结语
2013年以来,重钢集团作为重庆市的大型重工业企业工控信息安全试点,进行了积极的探索和实践。研究工控系统信息安全问题,制定工控系统信息安全实施指南,建立重钢ICS工控信息安全的模拟试验中心,进行控制系统信息安全的模拟试验,采取措施提高重钢控制系统的安全防御能力,以保证重钢集团控制系统的信息安全和安全生产,尽到自己的社会责任。
1工控系统信息安全问题的由来
工业控制系统(industrycontrolsystem,以下简称ICS)信息安全问题的核心是通信协议缺陷问题。工控协议安全问题可分为两类:
1.1ICS设计时固有的安全缺失
传统的ICS采用专用的硬件、软件和通信协议,设计上注重效率、实时性、可靠性,为此放弃了诸如认证、授权和加密等需要附加开销的安全特征和功能,一般采用封闭式的网络架构来保证系统安全。工业控制网的防护功能都很弱,几乎没有隔离功能。由于ICS的相对封闭性,一直不是网络攻防研究关注的重点。
1.2ICS开放发展而继承的安全缺失
目前,几乎所有的ICS厂商都提出了企业全自动化的解决方案,ICS通信协议已经演化为在通用计算机\操作系统上实现,并运行在工业以太网上,TCP/IP协议自身存在的安全问题不可避免地会影响到相应的应用层工控协议。潜在地将这些有漏洞的协议暴露给攻击者。随着工业信息化及物联网技术的高速发展,企业自动化、信息化联网融合,以往相对封闭的ICS逐渐采用通用的通信协议、硬软件系统,甚至可以通过实时数据采集网、MES、ERP网络连接到企业OA及互联网等公共网络。传统信息网络所面临的病毒、木马、入侵攻击、拒绝服务等安全威胁也正在向ICS扩散。因此在ICS对企业信息化系统开放,使企业生产经营获取巨大好处的同时,也减弱了ICS与外界的隔离,“两化融合”使ICS信息安全隐患问题日益严峻。
2重钢ICS信息安全问题的探索
2.1重钢企业系统架构
重钢新区的建设是以大幅提升工艺技术和控制、管理水平,以科技创新和装备大型化推进流程再造为依据,降本增效、节能减排为目的来完成的。各主要工艺环节、生产线都实现了全流程智能化管控。依据“产销一体化”的思想,重钢在各产线上集成,实现“两化”深度融合,形成了一个庞大而复杂的网络拓扑结构。
2.2生产管控系统分级
管控系统按控制功能和逻辑分为4级网络:L4(企业资源计划ERP)、L3(生产管理级MES)、L2(过程控制级PCS)、L1(基础自动化级BAS)。重钢新区L1控制系统有:浙大中控、新华DCS、西门子PLC、GEPLC、MOX、施耐德和罗克威尔控制系统等。各主要生产环节L1独立,L2互联,L3和ERP是全流程整体构建。
2.3重钢企业网络架
重钢新区网络系统共分为4个层次:Internet和专线区,主干网区域,服务器区域,L2/L3通信专网区。
(1)主干网区域包括全厂无线覆盖(用于各网络点的补充接入备用)和办公终端接入,主干网区域与Internet和专线区之间通过防火墙隔离,并部署行为管理系统;
(2)主干网区域与服务器区域之间通过防火墙隔离;
(3)L2与L3之间由布置在L2网络的防火墙和L3侧的数据交换平台隔离;
(4)L2和L1之间通过L2级主机双网卡方式进行逻辑隔离,各生产线L2和L1遍布整个新区,有多种控制系统。
(5)OA与ERP和MES服务器之间没有隔离。在L2以下没有防火墙,现有的安全措施不能保证ICS的安全。
2.4ICS安全漏洞
经过分析讨论,我们认为重钢管控系统ICS可能存在以下安全问题:
(1)通信协议漏洞基于TCP/IP的工业以太网、PROIBUS,MODBUS等总线通信协议,L1级与L2级之间通信采用的OPC协议,都有明显的安全漏洞。
(2)操作系统漏洞:ICS的HMI上Windows操作系统补丁问题。
(3)安全策略和管理流程问题:安全策略与管理流程、人员信息安全意识缺乏,移动设备的使用及不严格的访问控制策略。
(4)杀毒软件问题:由于杀毒软件可能查杀ICS的部分软件,且其病毒库需要不定期的更新,故此,ICS操作站\工程师站基本未安装杀毒软件。
3重钢工控系统信息安全措施
对重钢来说,ICS信息安全性研究是一个新领域,对此,需要重点研究ICS自身的脆弱性(漏洞)情况及系统间通信规约的安全性问题,对ICS系统进行安全测试,同时制定ICS的设备安全管理措施。
3.1制定ICS信息安全实施指南
根据国际行业标准ANSI/ISA-99及IT安防等级,重钢与重庆邮电大学合作,制定出适合国内实际的《工业控制系统信息安全实施指南》(草案)。指南就ICS和IT系统的差异,ICS系统潜在的脆弱性,风险因素,ICS网络隔离技术,安全事故缘由,ICS系统安全程序开发与部署,管理控制,运维控制,技术控制等多方面进行具体的规范,并提出ICS的纵深防御战略的主要规则。并提出ICS的纵深防御战略的主要规则。ICS的纵深防御战略:
(1)在ICS从应用设计开始的整个生命周期内解决安全问题;
(2)实施多层的网络拓扑结构;
(3)提供企业网和ICS的网络逻辑隔离;
(4)ICS设备测试后封锁未使用过的端口和服务,确保其不会影响ICS的运行;
(5)限制物理访问ICS网络和设备;
(6)限制ICS用户使用特权,(权、责、人对应);
(7)在ICS网络和企业网络分别使用单独的身份验证机制;
(8)使用入侵检测软件、防病毒软件等,实现防御工控系统中的入侵及破坏;
(9)在工控系统的数据存储和通信中使用安全技术,例如加密技术;
(10)在安装ICS之前,利用测试系统测试完所有补丁并尽快部署安全补丁;
(11)在工控系统的关键区域跟踪和监测审计踪迹。
3.2建立重钢ICS信息安全模拟试验中心
由于重钢新区企业网络架构异常复杂,要解决信息安全问题,必须对企业网络及ICS进行信息安全测试,在此基础上对系统进行加固。为避免攻击等测试手段对正在生产运行的系统产生不可控制的恶劣影响,必须建立一个ICS信息安全的模拟试验中心。为此,采用模拟在线运行的重钢企业网络的方式,构建重钢ICS信息安全的模拟试验中心。这个中心也是重钢电子的软件开发模拟平台和信息安全攻防演练平台。
3.3模拟系统信息安全的测试诊断
重钢模拟系统安全测试,主要进行漏洞检测和渗透测试,形成ICS安全评估报告。重钢ICS安全问题主要集中在安全管理、ICS与网络系统三个方面,高危漏洞占很大比重。
(1)骨干网作为内外网数据交换的节点,抗病毒能力弱、有明显的攻击路径;
(2)生产管理系统中因为网络架构、程序设计和安全管理等方面的因素,存在诸多高风险安全漏洞;
(3)L1的PLC与监控层之间无安全隔离,ICS与L2之间仅有双网卡逻辑隔离,OA和ERP、MES的网络拓扑没有分级和隔离。对外部攻击没有防御手段。虽然各部分ICS(L1)相对独立,但整个系统还是存在诸多不安全风险因素,主要有系统层缺陷、渗透攻击、缓冲区溢出、口令破解及接口、企业网内部威胁五个方面。通过对安全测试结果进行分析,我们认为攻击者最容易采用的攻击途径是:现场无线网络、办公网—HMI远程网页—HMI服务器、U盘或笔记本电脑在ICS接入。病毒最容易侵入地方是:外网、所有操作终端、调试接入的笔记本电脑。
3.4提高重钢管控系统安防能力的措施
在原有网络安全防御的基础上根据ICS信息安全的要求和模拟测试的结果,我们采取一系列措施来提高重钢管控系统的措施。
3.5安全管理措施
参照《工业控制系统信息安全实施指南》(草案),修订《重钢股份公司计算机信息网络管理制度》,针对内部网络容易出现的安全问题提出具体要求,重点突出网络安全接入控制和资源共享规范;检查所有ICS操作员\工程师站,封锁USB口,重新清理所有终端,建立完整的操作权限和密码体系。封锁大部分骨干网区的无线接入,增加现场无线设备的加密级别。
3.6系统加固措施
3.6.1互联网出口安全防护第一层:防火墙——在原来配置的防火墙上,清理端口,精确开放内部服务器服务端口,限制主要网络木马病毒入侵端口通讯;第二层:行为管理系统——对内外通讯的流量进行整形和带宽控制,控制互联网访问权限,减少非法的互联网资源访问,同时对敏感信息进行控制和记录;第三层:防病毒系统——部署瑞星防毒墙对进出内网的网络流量进行扫描过滤,查杀占据绝大部分的HTTP、FTP、SMTP等协议流量,净化内网网络环境;
3.6.2内网(以太网)安全部署企业版杀毒系统、EAD准入控制系统(终端安装),进行交换机加固,增加DHCP嗅探功能,拒绝非法DHCP服务器分配IP地址,广播风暴抑制。
3.6.3工业以太网安全L1级安全隔离应考虑ICS的特点:
(1)PLC与监控层及过程控制级一般采用OPC通讯,端口不固定。因此,安全隔离设备应能进行动态端口监控和防御。
(2)工控系统实时性高,要求通信速度快。因此,为保证所处理的流量较少,网络延时小,实时性好,安全隔离设备应布置在被保护设备的上游和控制网络的边缘。图3安全防御技术措施实施简图经过多方比较,现采用数据采集隔离平台和智能保护平台。在PLC采用终端保护,在L1监控层实现L1区域保护,在PCS与MES、ERP和OA之间形成边界保护。接着考虑增加L1外挂监测审计平台和漏洞挖掘检测平台。
3.6.4数据采集隔离平台在L1的OPC服务器和实时数据库采集站之间实现数据隔离,采用数据隔离网关+综合管理平台实现:动态端口控制,白名单主动防御,实时深度解析采集数据,实时报警阻断。
3.6.5智能保护平台快速识别ICS系统中的非法操作、异常事件及外部攻击并及时告警和阻断非法数据包。多重防御机制:将IP地址与MAC地址绑定,防止内部IP地址被非法盗用;白名单防御机制:对网络中所有不符合白名单的安全数据和行为特征进行阻断和告警,消除未知漏洞危害;黑名单防御机制:根据已知漏洞库,对网络中所有异常数据和行为进行阻断和告警,消除已知漏洞危害。边界保护:布置在L1边界,监控L1网络中的保护节点和网络结构,配置信息以及安全事件。区域保护:布置在L1级ICS内部边界,防御来自工业以太网以外及ICS内部其他区域的威胁。终端保护:布置在终端节点,防御来自外部、内部其他区域及终端的威胁。综合管理平台:通过对所在工控网络环境的分析,自动组合一套规则与策略的部署方案;可将合适的白名单规则与漏洞防护策略下发部署到不同的智能保护平台。
4结束语
工业以太网技术由于开放、灵活、高效、透明、标准化等特点,越来越多的在工控控制系统中得到广泛应用。随着“两化融合”和物联网的普及,越来越多的信息技术应用到了工业领域。目前,超过80%涉及国计民生的关键基础设施依靠工业控制系统来实现自动化控制作业,如:电力、水力、石化、交通运输、航空航天等工业控制系统的安全也直接关系到国家的战略安全。2010年10月发生在伊朗核电站的“震网”(Stuxnet)病毒,为工业控制系统的信息安全敲响了警钟。最近几年,针对工业控制系统的信息安全攻击事件成百倍的增长,引发了国家相关管理部门和企业用户的高度重视。今年国家发改委公布的《2013年国家信息安全专项有关事项的通知》中,强调工业控制系统信息安全是国家重点支持的四大领域之一。2011年工信部451号文件《关于加强工业控制系统信息安全管理的通知》中更明确指出,有关国家大型企业要慎重选择工业控制系统设备,确保产品安全可控。现在,国内大型企业都把工业控制系统安全防护建设提上了日程。如何应对工业控制系统的信息安全,是我们在新形势下面临的迫在眉睫需要解决的现实问题。
2企业信息安全现状
目前,虽然国家和行业主管部门、国内企业集团等都开始重视工业控制系统的信息安全问题,并开始研究相应的对策,但还面临很多现实问题:(1)信息安全专责的缺失:国内信息安全专门型人才比较缺失,很多企业甚至没有专门负责信息安全的专员;(2)制度形式化:规范的管理制度作为工业控制系统信息安全的第一道“防火墙”,可以有效的防范最基础的安全隐患,可是很多企业的管理制度并没有真正落到实处,导致威胁工控系统信息安全的隐患长驱直入、如入无人之境进入企业系统内;(3)安全生产的矛盾现状:保证工业企业安全生产和正常运营是企业的首要目标,而信息安全的解决方案部署又会影响到企业的正常运营。因此,部分企业消极应对信息安全的部署。
3常见的信息安全解决方案
面对工业控制系统的信息安全现状,很多信息安全解决方案提供商提出了各自的安全策略,强调的是“自上而下”、注重“监管”和“隔离”的安全策略。由于企业内部产品、设备或资产繁多,产品供应商较多,“监管”系统无法“监视和管理”企业内部庞大的设备或资产,导致部分系统依然存在信息安全隐患。同时,这些解决方案部署时又面临投资比较大,定制化程度比较高等缺点。有的企业通过在企业系统内部部署“横向分层、纵向分域、区域分等级”的安全策略,构建“三层架构,二层防护”的安全体系。这些解决方案又面临着“安全区域”较大,无法避免系统内部设备自身“带病上岗”的现象发生。如何在企业内部高效部署信息安全解决方案,同时又不影响系统的正常运行,不增加企业的负担,同时又不增加将来企业维护人员的工作量,降低对维护人员的能力等的过渡依赖,是企业部署信息安全解决方案时面临的现实问题。
4符合国情的信息安全解决方案
针对这种现状,施耐德电气将原来“从上到下”的防御策略逐步完善为符合中国客户实际应用的、倡导以设备级防护优先,兼顾系统级和管理级防护的“自下而上”的三级纵深防御策略。其中,设备级防护是整个安全防护策略的核心和基础。
4.1设备级防护
企业内部的系统从管理层、制造执行层到工业控制层都是由不同的资产或者设备组成的,如果每个单体资产或者设备符合信息安全要求,做到防范基本的信息安全隐患。这些资产或者设备集成到企业系统中就可以避免“带病上岗”的现象,作为信息安全防护体系的最后一道“防火墙”可以有效的防范针对这些设备或资产的各种安全威胁。施耐德电气作为一家具有高度社会责任感的企业,积极推进构建安全、可靠的工业控制系统信息安全,率先在工业控制设备集成信息安全防护体系:(1)集成信息安全防护体系的昆腾PLC产品率先通过了国家权威信息安全测评机构的双重产品安全性检测,成为首家也是目前唯一通过并获得此类检测认可的PLC产品。在企业内已经运行的昆腾PLC可以通过升级固件的方式达到信息安全要求,大大的减少了企业在部署信息安全过程中的资金投入,还可以减少对技术人员技能的要求;(2)SCADAPack控制器内嵌的增强型安全性套件:IEEE1711加密和IEC62351认证以及时标等安全功能,最大化系统的安全性,确保远程通信链路不被恶意或其他通信网络干扰破坏,有效的提升了信息安全功能;(3)针对所有的控制系统还可以采用软件安全属性的辅助设置功能,如增加访问控制功能、增加审计和日志信息、增加用户认证和操作、采用增强型密码等措施,增强和加固工业控制系统的信息安全功能。
4.2系统级防护
主要是通过优化和重建系统架构,提升控制系统网络的可靠性和可用性,保证企业系统的“横向”、“纵向”、“区域”间数据交互的安全性。(1)施耐德电气的ConneXium系列工业级以太网交换机的MAC的地址绑定、VLAN区域划分、数据包过滤、减少网络风暴等影响保证了工业控制系统网络的可靠性和安全性;(2)ConneXium系列工业级防火墙产品可实现针对通用网络服务、OPC通讯服务的安全防护之外,还可实现所有工业以太网协议的协议包解析,有效的防范了威胁工业控制系统的安全隐患。同时,软件内置的针对施耐德电气所有PLC系列的安全策略组件以及模板模式大大增强了产品的可用性。
(一)连接管理要求
1. 断开工业控制系统同公共网络之间的所有不必要连接。
2. 对确实需要的连接,系统运营单位要逐一进行登记,采取设置防火墙、单向隔离等措施加以防护,并定期进行风险评估,不断完善防范措施。
3. 严格控制在工业控制系统和公共网络之间交叉使用移动存储介质以及便携式计算机。
(二)组网管理要求
1. 工业控制系统组网时要同步规划、同步建设、同步运行安全防护措施。
2. 采取虚拟专用网络(VPN)、线路冗余备份、数据加密等措施,加强对关键工业控制系统远程通信的保护。
3. 对无线组网采取严格的身份认证、安全监测等防护措施,防止经无线网络进行恶意入侵,尤其要防止通过侵入远程终端单元(RTU)进而控制部分或整个工业控制系统。
(三)配置管理要求
1. 建立控制服务器等工业控制系统关键设备安全配置和审计制度。
2. 严格账户管理,根据工作需要合理分类设置账户权限。
3. 严格口令管理,及时更改产品安装时的预设口令,杜绝弱口令、空口令。
4. 定期对账户、口令、端口、服务等进行检查,及时清理不必要的用户和管理员账户,停止无用的后台程序和进程,关闭无关的端口和服务。
(四)设备选择与升级管理要求
1. 慎重选择工业控制系统设备,在供货合同中或以其他方式明确供应商应承担的信息安全责任和义务,确保产品安全可控。
2. 加强对技术服务的信息安全管理,在安全得不到保证的情况下禁止采取远程在线服务。
3. 密切关注产品漏洞和补丁,严格软件升级、补丁安装管理,严防病毒、木马等恶意代码侵入。关键工业控制系统软件升级、补丁安装前要请专业技术机构进行安全评估和验证。
(五)数据管理要求
地理、矿产、原材料等国家基础数据以及其他重要敏感数据的采集、传输、存储、利用等,要采取访问权限控制、数据加密、安全审计、灾难备份等措施加以保护,切实维护个人权益、企业利益和国家信息资源安全。
关键词 DCS控制系统;EPA;信号分配器;信息安全
中图分类号:TP273 文献标识码:A 文章编号:1671-7597(2013)14-0067-02
为了实现能源的合理利用,达到“节能减排”的目标,一家化工企业决定实施“各车间能源数据采集管理系统”,这家企业各生产车间原先都各自装有“分布式控制系统(DCS)”,用于车间生产过程控制,车间能源消耗数据也存在于DCS控制系统中,如何能实现各车间能源数据的自动采集,形成工厂级的能源管理系统,又能保障分布式控制系统(DCS)的信息安全,经过慎重考虑,提出了2个实施方案。
1 基于DCS系统上的能源数据自动采集方案比较
方案一:把各车间DCS系统作为能源数据管理系统的数据采集站,每个数据采集站通过OPC协议单向向PIMS服务器传送能源数据,PIMS服务器对传送上来的数据进行二次处理,制作成用户需要的能源界面、形成报表、以及实现设备管理等功能,经硬件防火墙隔离将能源管理界面、数据以WEB形式向局域网络。系统结构如图1所示。
方案二:为了彻底杜绝DCS操作站被网络病毒侵扰的隐患,将能源数据采集系统完全独立于DCS系统。能源数据采集系统由“浙江中控”领衔制定的EPA现场总线标准产品实现。
1)在原有车间的DCS系统中将能源测点经信号分配器一分为二,一路进入车间DCS,实现车间生产管理的需要,另外一路进入EPA总线系统进行数据集中管理。
2)EPA系统各控制柜安装24 V开关电源,光纤环网交换机,以及EPA系列模块。
3)整个EPA系统采用光纤环网冗余的方式,任何一处断开,均不影响整个系统的正常运行。
4)为保证数据的安全,除了各服务器安装杀毒软件之外,在PIMS服务器和Internet之间设立一道硬件防火墙。即便防火墙失效,各服务器被病毒感染,由于DCS与能源管理系统完全独立,病毒丝毫不会影响到车间DCS的运作,各能源点在DCS操作站正常显示及控制。系统结构如图2所示。
综合比较,方案二能使车间分布式控制系统(DCS)与Internet之间完全独立,可靠性更高,所以选择方案二。
2 工业控制系统终端信息安全管理的方法
上述方案二最大的优点在于使车间分布式控制系统(DCS)与Internet之间完全独立,使工业控制系统规避了网络安全的问题,只要针对做好工业控制终端(DCS)的安全管理,系统安全性就能得到保障,主要的安全措施有以下几点。
1)不轻易对操作系统安装补丁。由于考虑到工控软件与操作系统补丁兼容性的问题,系统开车后一般不针对Windows平台打补丁。
2)不安装杀毒软件。用于生产控制系统的Windows操作系统基于工控软件与杀毒软件的兼容性的考虑,通常不安装杀毒软件,给病毒与恶意代码传染与扩散留下了空间。
3)加强对使用U盘、光盘的专项管理。由于在工控系统中不轻易对操作系统安装补丁和安装杀毒软件,工控系统对病毒的防护能力很薄弱,必须对U盘和光盘使用进行有效的管理。光盘,规定除本系统的安装光盘外,不允许使用其他类光盘;U盘,一般在程序更新和维护过程中要使用到,首先保证U盘的专项使用,规定U盘每次使用前要经过严格的病毒查杀,并且要有书面记录和登记。
4)杜绝其他笔记本电脑的接入。工业控制系统的管理维护,没有到达一定安全基线的笔记本电脑接入工业控制系统,会对工业控制系统的安全造成很大的威胁,所以要杜绝
接入。
5)定期检查工业控制系统控制终端、服务器、网络设备的运行情况。对工业控制系统中IT基础设施的运行状态进行监控,是工业工控系统稳定运行的基础。
6)加强身份认证管理,控制系统进行安全登录和操作的用户分级进行管理,分为观察员、操作员、系统工程师这3个不同级别,观察员只允许观看系统画面,不能输入任何的操作指令;操作员,具有日常生产的操作权限;系统工程师的权限最高,能进入或退出工控运行软件,能进行程序编写和变更。
7)对工业控制系统的外设进行管理,比如USB接口、光驱、网卡、串口等,对时贴上封条,每次系统工程师进行维护操作时,拆下封条要进行审批和登记。
3 结束语
国内外发生了多起由于工控系统安全问题而造成的生产安全事故。最鲜活的例子就是2010年10月发生在伊朗布什尔核电站的“震网”(Stuxnet)病毒,为整个工业生产控制系统安全敲响了警钟。
本文根据工业控制系统安全防护的特点,针对工业控制系统(DCS)与能源管理系统(EPA),通过信号分配器连接的独特模式,建立了相对独立、又能信号传输的安全体系架构,并通过工业控制系统终端安全管理措施,有效地保证了这种基于DCS系统上的能源数据自动采集系统的可靠、安全运行。
参考文献
关键词:空管信息化;安全域;权值划分;信息安全
中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)10-2222-03
Researches on Security Domain Distribution of ATC Information system
HAN Xuan-zong
(Bureau of Guizhou air Traffic Management, Guiyang 550012, China)
Abstract: This paper is based on the basic concept of information security, which give a MSA security domain allocate system to resolve privates distribute problem in these construction of air traffic management information system and security domain system, It has an effective solution to coordination of various administrator and collaboration between security domains and information circulation, It also strengthen the ATC Security ability.
Key words: ATC information; security domain; private allocate; information security
空中交通管制作为LRI(Life related industry)生死攸关行业的一种,在航班数量飞速增加的今天,日益面临着严峻的挑战;尤其是大量基础支撑性的空管信息系统的引入,尽管有效地提升了管制工作效率,但是空管信息系统的安全管理问题却越来越成为一个潜在的隐患。
在当前空管行业应用的各类空管信息系统当中,从包括自动化系统、航行情报控制系统在内的管制直接相关系统,到日常应用的班前准备系统、设备运维管理系统等,大都采用设置超级管理员用户口令的方式进行管理,此方式尽管便于实现对系统的配置和维护,但由于权限过大,使得其可以对空管信息系统中数据进行任意操作,一旦出现超级管理员误操作或外部黑客获取到超级管理员权限,都可能造成难以估量的严重后果。
安全操作系统设计原则中包括的“最小特权”和“权值分离”的安全原则,可以有效地解决这一问题。最小特权原则思想在于控制为主体分配的每个操作的最小权限;权值分离原则思想在于实现操作由专人执行同时由第三方用户进行监管。
最小特权和权值分离两大原则的共同使用,构建出了基于角色的访问控制(Role-Based Access Control,RBAC)安全策略模型[1]。RBAC作为对用户角色权限的一种高度抽象,同一角色用户仍然拥有同样的权限,但为了能够更好的体现最小特权原则,角色下用户的权限仍必须得到进一步的控制;DTE(Domain And Type Enforcement,DTE)策略模型实现了将空管信息系统的不同进程划分为不同的域(Domain),将不同类型的资源划分为不同的类型(Type),通过对域和类型的安全属性进行限制,来实现对用户权限的控制[2]。
该文在综合了RBAC安全策略模型和DTE策略模型的基础上,提出一种对空管信息系统进行分域管理的划分机制,该机制符合最小特权和权值分离原则,实现了对系统超级管理员的权限细分,通过对权限的划分,建立管理员―域―类型的相关对应关系,分散了由于超级管理员权限过大造成的安全风险。
1系统/安全/审计管理划分机制
在任何一个构建完善的管理体系运行当中,管理人员、管理行为审计人员、安全管理人员的角色都不可或缺。空管信息系统超级管理员的权限也应依据此原则进行划分[3]。在具体实现中,应结合DTE策略中对于域和类型的管理思想,采取二维访问控制策略,强化对空管信息系统完整性和数据安全性的保护;DTE策略通过对管理权限进行控制,阻止单一用户权限造成的恶意程序扩散等情况。通过系统管理、安全管理、审计管理三方面的协同制约,保护系统资源的安全性。
1.1基于MSA的管理机制
该文依据RBAC及DTE策略遵循的最小特权和权值分离原则,将空管信息系统中超级管理员权限进行细粒度(Fine-Grain)的划分,将其权限一分为三,即管理(Management)权限、安全(Security)权限、审计(Audit)权限,构建一套基于MSA的权限管理机制。使三类管理员只具备完成所需工作的最小特权,在单项管理操作的整个生命周期中,必须历经安全权限的设置、管理权限的操作、 审计权限的审核这一流程。该文通过设立独立的系统管理员、安全管理员、审计管理员,并为其设置独立的与安全域挂勾的安全管理特权集,实现了管理-安全域-类型的二维离散对应关系。具体而言,三类管理员主要承担了以下职责:
1)系统管理特权集:归属于系统管理员,包括系统相关资源的分配,系统软件的配置、维护等权限;
2)安全管理特权集:归属于安全管理员,包括系统内部安全策略的制订,安全阙值的设置等安全相关权限;
3)审计管理特权集:归属于审计管理员,包括对系统管理员和安全管理员操作记录的审计和审批,作为一个独立的第三方监督角色出现。
MSA管理机制将系统超级管理员的权限划分为三个相互独立又相互依存的独立环节,实现了系统特权的细粒度划分,强化了系统的安全属性。图1展示了三类管理员之间的具体关系:图1 MSA管理员协作流程
如图1所示,空管信息系统用户总是会提出一定的需求,并寻求通过系统得到相应的应用来解决面临的问题。在这一过程中,首先会由系统管理员针对用户需求,判断满足用户需要调用的相应资源,如功能域和资源的类型,同时生成解决方案,并将其提交至安全管理员处。
安全管理员在接收到系统管理员产生的解决方案后,即时的会依照相关规定要求,为解决方案制定对应的安全级别,并实施可行的安全策略。如解决方案能够较好地满足安全级别和安全策略的要求,即通过安全管理员的安全评估,为其施加安全策略。
解决方案历经系统管理员、安全管理员的制定、安全策略实施等步骤后,将生成应用提交至用户,由用户验证其需求是否得到满足。
审计管理员在整个过程中,将针对从需求提出至应用的所有环节进行监控,任何系统内部的操作均需经过审计管理员的审计和监督,审计管理员有权停止任何涉及到安全的异常操作。
通过上述模式的应用,将使得空管信息系统划分为由MSA三个管理员所共同管理的系统,也形成了三大管理员之间的制约机制。该机制的建立,有效地避免了超级用户误操作和黑客入侵可能造成的危害。同时权限的细分,也使得任何一名管理员在操作自身环节事务时,都需要其它管理员的协助,无法独立完成越权操作。如当系统管理员进行用户的删除时,此操作将依据安全管理员制定的安全策略确定为较危险操作,实施的结果将由审计管理员进行审核,在确保该行为是合理有效的情况下才能实施。
1.2 MSA管理体系安全域的划分
MSA管理体系的应用使得系统、安全、审计三类管理员之间相互协作,相互制约的关系成为可能,系统的安全性得到增强。而在MSA体系上应用安全域思想及类资源的设置,将进一步隔离域间的信息和资源流动,防范非法信息泄漏现像,确保数据信息的安全。
该文在MSA体系中灵活运用了安全域的思想,实现了对空管信息系统主体域的划分,同时将空管信息系统管理的资源分为了不同的类型资源,MSA通过建立安全域和类型资源之间的关联,实现了对域间信息流动的监控,通过对安全域规则的制定,使得系统用户只能访问到所属安全域内的安全类型资源。通过对用户安全域访问行为的控制,有效的防止了误操作、恶意操作可能造成的恶意信息流的传输,进而强化空管信息系统整体安全性。在空管信息系统遭遇病毒攻击的环境下,病毒本身具有自我复制和传染未遭感染区域的特性,通过对安全域的划分和安全域内类型资源的归并,能够有效的阻止病毒的无限制复制传播,病毒只能访问所属主体的安全域及相关资源,无法传播至安全域边界之外。当系统管理资源分散于多个不同安全域时,系统将有效避免形成整体瘫痪现象。
在空管信息系统中,根据需求通常可以把资源划分到不同的安全域,同一安全域还能依据资源归属的不同,细分为不同的子域,子域在拥有部分父域特性和资源的同时,具有自身特有的特性,子域的存在不仅强化了安全域的安全管理特性,还能够真实映射现实社会的组织结构关系。
2管理机制安全规则研究
本节给出了MSA管理机制的实施规则,按照这些规则,可以根据MSA原则实施空管信息系统的管理。系统中的资源主要由主体(a),客体(c)组成,用A表示主体的集合,B表示客体的集合,D表示域(d)的集合,P表示型(p)的集合,R为权限的集合,主体、域、客体权限之间的关系如下:
1)设函数dom_a(a),是定义在主体集合A上的函数,将主体a映射到相应的域。系统中的主体至少属于1个域,即:?a∈A,? dom_a(a)≠?∧dom_a(a)?D。
2)设函数type(b),是定义在客体集合B上的函数,将客体b映射到相应的型,系统中的客体至少属于1个型,即:?b∈B,? type(b)≠?∧type(b)?B。
3)若权限映射函数R_DT(d,p),为定义在域D和型P上的函数,将域d对型p的权限映射为集合的某个子集,即为域d对型p拥有特权的集合。
为有效避免超级用户的误操作和恶意程序的攻击,安全域间的信息流动必须得到有效的控制。在每个独立的信息流动需求发起的同时,必须同步进行安全信息的验证,确保信息不会对接收安全域的安全状态造成破坏,在不影响安全域安全的前提下,才接收该信息流。信息流在由主体操作产生的同时,必须对操作本身进行检查,在操作和信息流均处于安全状态时,可视系统为安全态。依据以下分析,可得出如下关于信息流动的规则:
规则1安全域隔离规则:为有效阻止恶意操作,安全域间信息流动必须处于受监控状态,实现对安全域中数据的保护。
不同安全域间存在着干扰性,而干扰性的存在又反映了不同域间的相互作用,合理的应用安全域隔离规则,对安全域间信息的流动进行监控,是实现安全域安全的一大前提条件。
规则2安全域访问规则:安全域内部主体对客体的访问,必须满足相应的访问控制规则,包括常见的只读、读写等。具体的访问规则包括如下几类:
只读规则:单纯采用读取形式取得客体中信息,对安全域中数据进行不操作的读取,有效保证数据的完整性和不可变更性,同时在利用了数字加密技术的基础上,还保证了数据的机密性只读需求。
只写规则:主体对安全域内客体只进行单纯写入操作,不允许读取安全域中原有数据,对于主体写入数据的读取可根据具体进行进行设置其是否具有读取权限。
读写规则:包括只读和只写规则的部分安全控制因素,但主体在受控的情况下,可向安全域中客体写入并读取信息,在满足机密性和完整性的基础上,允许主体对安全域内客体进行读写。
以上几条规则只涉及安全域内部读写规则,当需要实现安全域间访问时,需要结合规则1进行控制,对于安全域间的访问控制,既要考虑到主体自身的权限要求,也要考虑到安全域之间的规则控制和系统监管因素,只有经过配置的安全策略实施后,才能允许实现域间的访问。
规则3安全域间管理规则:安全域级别可分为父域和子域两类,子域继承父域的域内资源,但采取独立的安全策略机制管理,父域通过为子域配置相应的安全策略实现子域对父域资源的安全访问,保障父域自身的数据完整性和安全性。在父域和子域同时管理同一资源时,父域具有优先级(安全策略进行特殊配置除外)。管理规则的实施,在便于调用资源的同时,实现了资源的共享和优化,也一定程度上防止了资源共享可能产生的冲突和安全患。
3结束语
最小特权原则和权值分离原则作为安全操作系统的基础原则的内容,能够有效地应用于空管信息系统超级用户权限分离问题,该文提出的MSA管理机制,通过管理权限的划分、管理员主体安全域的归属和相关资源类型的划定,有效降低了管理员误操作、黑客入侵等可能带来的对系统的破坏。在MSA管理机制的基础上,安全域的引入和资源类型的划分,有效地阻隔了各安全域间信息和资源的流动,阻止了恶意信息流的传递,增强了空管信息系统的安全。该文下一阶段将把安全域之间的流动控制作为下一步的研究重点,进一步进行开展,力图实现对空管信息安全的不断强化。
参考文献:
[1]张德银,刘连忠.多安全域下访问控制模型研究[J].计算机应用,2008,28(3):633-636.
[2]付长胜,肖侬,赵英杰.基于协商的跨社区访问的动态角色转换机制[J].软件学报,2008,10(19):2754-2761.
[3]段立娟,刘燕,沈昌祥.一种多安全域支持的管理机制[J].北京工业大学学报,2011,37(4):609-613.
[4]周伟.机场信息化规划研究及应用[J].科技创新导报,2008(21).
我国未来电网发展形态具有高比例间歇式清洁能源大范围消纳,与周边国家联网构建全球能源互联网以及会大量应用VSC电压源换相直流输电等特征,交直流电网相互影响的动态响应速度加快。要满足大电网安全稳定需求,重要的基础是建设发展控制保护专用信息通信网(ControlandProtectionDedicatedNetwork,CPDN)(简称控制保护专网),实现大范围多类型电网信息交互、融合。D-5000的WAMS系统因时滞长难以承担控制的任务。控制保护专网信息中心级别按照信息中转两层架构,实现二次设备接入安全识别、信息流量控制、信息优先级调度等功能。控制保护专网原型系统已经在华中电网建成投运,新一代控制保护专网建成后,能够实现控制与保护系统之间的信息交换,有利于相互之间协调;安控系统将具有感知电网运行趋势的能力,有助于安全与效率之间的平衡;调度自动化业务迁移至控制保护专网后,性能指标将得到提升。控制保护专网的建设将是电网运行控制水平大幅提升的重要基础。
关键词:
全球能源互联网;控制保护专网;信息转运及控制;架构
引言
目前,我国电网已经到了非常特殊的发展时期,电网的特点和特征比较突出。同步电网装机容量规模已经位居世界前列,最高电压等级、最大输电容量的特高压交直流工程和电网已经建成投运多年,并初步形成特高压交直流电网,同一送端电网、同一受端电网接入超/特高压直流工程数量和容量规模在全球是独一无二的[1]。不远的将来,我国将首先推动“一带一路”周边国家电网互联互通,进而实质性推动构建全球能源互联网,因此需要更大范围传输清洁绿色能源[2]。此外,我国电力行业工程师驾驭大电网安全稳定可靠运行能力面临着新的考验,需要面对有挑战性的新需求。
1电网发展控制特点及其对信息通信技术的需求分析
1.1高比例间歇式清洁能源发电是未来电网发展的主要形态,需要发展结合多源信息的新型运行控制技术
根据我国能源发展战略行动计划(2014年—2020年),风电重点规划建设酒泉、蒙西、蒙东、冀北、吉林、黑龙江、山东、哈密、江苏等9个大型现代风电基地,到2020年,风电装机达到2亿kW。风电装机规模接近华北或华中或华东2016年电网装机水平,华北、华中、华东、西北及东北电网消纳风电比例约20%~30%。随着中国经济的持续增长,无论是从国内还是国外的视角来看,中国应对全球气候变化责任压力都在持续加大,高比例(10%~50%)风电、光伏等清洁能源消纳是未来电网发展的主要形态[2]。风电、光伏等清洁能源发电具有间歇性、随机性特点,风电发电负荷较大区间一般在后半夜,电网负荷处于低谷,在北方供暖期间热电联产机组以供热定电模式为主,电网调峰调频压力巨大。电网调峰主要依据调度发电计划曲线及依靠调度自动化AGC系统协调,调整常规发电机机组、抽蓄机组等出力,调整响应时间一般在分钟级。电网调频也是依靠常规发电机包括抽蓄机组,根据频率偏差自动实现调速器及原动机系统的功率调整。依据储能情况(如火电原动机压力包、水电水头)调整响应时间一般在秒级至数秒级甚至到分钟级范围。电网应对更高比例间歇式清洁能源发电的策略,一方面需要建设坚强的交直流混联电网,包括发展配套的抽水蓄能及电化学储能等大规模电量型储能系统,为大规模、高比例间歇式清洁能源发电消纳提供必要的物质基础;另一方面,风电和光伏发电短期功率预测已基本实现大范围应用,对于提高电网更高精度的发电调峰和调频控制具有工程应用价值,结合大范围采集电网实时运行状态、物联设备等多源信息的系统运行控制薄弱环节分析、调峰/调频能力分析等技术,实现大规模风电、光伏发电场主动功率调整,提升整个电网的运行控制水平。
1.2特高压直流送端同方向、受端同方向并以捆状
输电,需要发展利用多源信息的新型交直流混联电网协调控制技术±800kV天山—中州特高压工程额定输送容量达800万kW、输电距离2191.5km,于2014年1月13日完成全部系统调试试验并正式投运,是我国首个送端风电与火电以打捆配套建设电源方式并大规模远距离送出工程[3]。2017—2018年,还将陆续投运以风电与火电以打捆配套建设电源方式的±800kV、800万kW酒泉—湖南、1000万kW锡盟—江苏2条特高压工程。预计到2020年,送端西北、华北、东北“三北”并且受端在华北~华中~华东方向的直流工程将达到20多回[4-5]。当前我国电网建设发展存在“强直弱交”现象,特高压直流的建设投运速度远远超过特高压交流,交流电网可能难以承受故障转移功率冲击或者难以为多回特高压或超高压常规直流电网换相换流器(LineCommutatedConverter,LCC)提供有效的电压支撑,交流系统存在薄弱环节,还可能反过来限制特高压直流输送能力[6]。如2015年9月19日,锦苏特高压直流带负荷540万kW发生双极闭锁,造成华东电网频率跌落至49.563Hz、越限持续207s,对电网安全稳定造成严重影响[7]。为解决“强直弱交”问题并保障电网的安全可靠运行,一方面需要按照“强直强交”原则构建交直流协调发展交直流混联特高压电网;另一方面,客观上电网已经形成送端同方向、受端同方向、直流落点密集多条直流捆状群,可能影响的范围更加严重,客观上需要考虑利用多源信息,加强直流捆状群与交流电网的协调控制能力,更好地应对大规模、高比例间歇式清洁能源大范围消纳。
1.3电力系统一次设备“电力电子化”特征发展趋势明显,需要发展与此相适应的快速安全稳定控制技术
随着大功率绝缘栅双极型晶体管(InsulatedGateBipolarTransistor,IGBT)、脉宽调制(PulseWidthModulation,PWM)和多电平控制等技术的成熟,国内自换相的电压源换流器(VoltageSourceConverter,VSC)直流实现了示范工程应用[8]。上海南汇、广东南澳、浙江舟山等以电缆线路输电形式的多端柔直工程已经建成投运,即将规划建设渝鄂±500kV背靠背柔直工程,以及以架空线路输电形式的±500kV张北柔直电网科技示范工程,工程计划于2018年前后建成投运。张北柔直电网工程将重点示范的安全稳定控制关键技术主要有:纯风电和光伏发电系统并且无常规同步电源电网运行控制技术,直流电网与落点交流电网有功功率和频率类、无功功率和电压类的协调控制技术,以及直流电网与风电、光伏、抽水蓄能等多能源发电协调控制技术等。LCC常规直流采用晶闸管只能控制导通而不能控制关断,通过控制触发角实现直流电压一个维度调整控制;VSC直流采用基于IGBT和与之反并联二极管组成基本模块的核心部分,可控制导通和关断,进行2个有功类和无功类维度调整控制[9]。因此VSC柔直的动态响应比常规直流响应更快,柔直电网可控制的目标也随着节点规模的增加而增加。为充分利用柔直电网“电力电子化”特征明显的快速响应性能,需要依靠控制信号传输时滞小、容量大、覆盖范围广的信息通信处理技术,利用风电和光伏发电短期功率预测、D-5000调度自动化、交直流电网实时运行状态数据等多源信息,满足柔直电网与交流系统间多元化控制的需求和多目标控制可能需要协调的需求,也可以适应未来电网高比例间歇式清洁能源发电大范围消纳的需求[10]。
2与安全稳定分析控制业务相关的信息通信技术发展现状
从大电网安全稳定计算分析和控制的角度来看,信息通信技术涉及安全稳定控制专用通道、调度自动化D-5000平台SCADA/EMS系统和WAMS系统,以及智能变电站网络系统。
2.1电网安全稳定控制信息通信专用通道
采用专用信息传输时滞小,数据传输可靠性较高。即使在信息通信通道检修情况下通道也能够实现“一主一备”模式运行,能够在300ms内实现从信号触发、处理到安全稳定控制装置动作完毕全过程[11]。安控系统对于电网的安全稳定运行发挥了重要作用,目前已经投运的安控系统相互间并没有信息交互,处于信息孤岛状态,适应未来电网多目标、多约束条件下安全稳定控制的压力较大。
2.2调度自动化网
SCADA系统承担EMS调度自动化系统重要数据采集等任务,基本理念是假设系统运行状态在分钟级范围内变化不大。调度自动化系统的安全稳定计算分析功能是EMS高级应用系统中近几年逐步接近于成熟的业务,是调度运行人员了解和掌握电网安全稳定特性的重要手段之一。面向安全稳定分析业务的优点及不足分别表现在以下几方面。优点:计算分析所需数据量丰富,潮流计算所需的电源开机、电网一次设备投运状态及变电站负荷等电网结构和电网运行状态等主网信息均能够提供,基本可以满足计算分析业务需要。不足:难以实现安控装置动作逻辑模拟功能,原因是厂家多、装置量大而广,接口很难接入在线安全分析系统,较难实现实时校核安控策略对当前状态适应性的功能。WAMS系统包括PMU装置已经广泛应用于电力系统,应用最多的是系统运行状态监测和记录、故障录波;其次是用于基于实时量测数据的电网运行轨迹分析,如小干扰稳定分析和扰动源定位等功能。基于WAMS系统的稳定控制理论上研究的较多,用于安全稳定实际控制的成功案例几乎没有,究其原因首先是用于控制的信息传输机制欠缺,在建设设计阶段没有提出应用于控制的需求以及欠缺大量控制信息传输时如何处理的方法,WAMS系统只是定位于录波和数据存储,其正常运行时时滞可能很小,但通信链路检修状态下时滞可能长达数秒级,难以满足安全稳定控制信息对时滞、通道可靠性等方面的要求;其次是采用IP寻址技术,大量信息时存在网络阻塞问题。
2.3智能变电站
智能变电站发展的驱动力之一来自设备层面,节约人力和物力资源以及环境资源,提升变电站运行效率。与以模拟量量测信号为特征的常规变电站相比较,智能变电站信息化、网络化程度较高,变电器、开关等一次设备和电力系统自动控制装置二次设备状态参数和运行数据可采集、汇总的信息倍增,变电站包括自动控制、运维效率等业务在内的运行水平显著提升。从大电网安全稳定控制的角度来看,虽然智能变电站可以利用的信息容易获得、控制输出也更易实现,智能变电站的控制对象为变压器抽头调整等站内慢速过程的调整、低频/低压减载等电网安全稳定第三道防线设备的控制对信息通信时间响应性能要求不高。但电网安全稳定第一和第二道防线,对信息通信时间响应性能要求较高。智能变电站如果紧急控制期间出现网络阻塞或丢包等问题,将增加信息通信时延,对稳定控制效果不利[12]。
2.4控制保护专网原型系统建设经验教训和分析
国家863计划“提升电网安全稳定和运行效率的柔性控制技术”课题研究了大电网智能柔性控制系统,在华中电网成功进行了示范应用以及长期运行,华中跨区交直流协调控制系统工程具备9回直流和交流系统共70个信号的协调处理能力,除具备直流紧急功率控制功能外,还具备直流功率调制和直流阻尼调制等功能,验证了基于多源信息中转调度模式的跨区协调控制工程实施可行性,提升了电网运行效率和安全稳定水平[11]。图1为示范工程控制保护专网原型系统,站间流向为信息通道。在示范工程实施过程中的经验教训为:WAMS系统信息传输时滞长,难以满足广域控制对信息高速、可靠传输的要求;控制用信息通信系统多采用点对点形式,未实现信息联网,信息难以实现共享、利用率低;控制信息与调度数据网彼此孤立,难以实现联动。信息化是智能电网发展的重要特征之一,在配用电侧尤为重要,主网具备多源数据融合、满足多业务实时数据传输需求的信息通信系统是实现大电网智能分析与广域协调控制的基础。随着国家能源战略对特高压交直流发展计划中“四交、四直”的落实,大规模新能源基地及其送出工程的投入建成,以“三华”电网为中心的特高压交直流混联电网的“强直弱交”特征更为突出,大电网的安全、高效运行需要以更为灵活、可靠、高速的信息通信体系为基础的安全稳定分析及控制系统作为必要的保障。必须研究基于广域多源数据实时中转处理的稳定控制信息通信体系架构及具有可操作性的构建方案和运行控制措施,满足安全稳定控制实时性和可靠性的要求,解决不同安控系统信息的“孤岛”问题、原有WAMS系统时延至少数秒和难以承载海量实时信息传输问题以及连锁故障防御仍处于被动防御状态等难题。安控、WAMS、智能变电站及控制保护专网稳定控制性能和功能拓展性能比较如表1所示。
2.5控制保护专网实现思路及核心功能要点
从以上分析可以看出,与安全稳定分析控制相关的信息通信业务虽然能够满足当前电网的需要,但难以满足未来电网的需要,有必要建成面向电网安全稳定业务需要的控制保护专网。控制保护专网的建设要点是:实现信息通信流可管、可控,并可以管理安全稳定控制类设备的自动接入身份识别。从带宽及利用率、业务承载能力等方面来看,SDH/MSTP业务小范围用于安全稳定分析控制已是成熟技术,但用于应对大范围、大容量安全稳定控制信息交换其承载能力压力较大。需要考虑采用PTN技术,设备带宽达到1000M和10G,业务承载性能更好,实际成熟时应考虑优先采用[12]。此外,对于输电距离达到数千km或者对于通信时滞敏感场景,可以考虑载波通信技术,类似于股票信息交换技术也可利用,大量信息同时触发,可靠性也较高。
3控制保护专网关键支撑技术及应用前景
3.1关键技术
从未来适应高比例清洁能源消纳的电网发展形态以及电网安全稳定协调控制的需求分析,未来电网需要发展满足安全控制大范围信息交换、捆状多换流站间协调控制等方面的技术,发展基于控制保护专网的跨区大容量输电交直流电网协调控制技术,核心是实现原有安全稳定控制专网、调度自动化网、站域网等信通网的安全稳定控制保护业务数据融合,特征是具备信息传输通道和信息流的“调度”管控能力、管控多厂家信通和安控以及监测设备的标准化接入,适应我国电力市场化复杂运行条件、大范围和高比例间歇式清洁能源消纳等背景下的安全稳定分析与控制业务发展需要。主要关键支撑技术体现在以下几方面。
1)控制保护专网信息通信通道架构和信息管控及设备研制。主要研究建设控制保护专网组网技术路线及技术经济比较,制定控制保护专网安全防护、信息交换标准,研发信息通信硬件管控平台(核心芯片)、软件管控平台,研制适应控制保护业务数据转发模式的信通设备。
2)基于控制保护专网的交直流协调控制技术研究。研发适应更多直流信息交互、具备连续换相失败防御的交直流协调控制方法;借鉴运行方式计算数据安排的思路,研究结合实时信息等多源信息的跨区输电稳定特性、安控策略校核方法;研究基于多源信息的连锁故障主动防御技术,包括联络线振荡中心广域快解和振荡轨迹预测解列技术。
3)基于控制保护专网的安全稳定控制关键设备研制。研制监测与控制一体化设备,监测设备支持控制信号、支持物联设备信息处理、支持电磁暂态记录、支持控制设备自适应模块化接入,解决在役PMU录波性能不一致、对控制支撑薄弱问题;研制能够远程维护、支持多源信息接入的安控装置;研究与直流、安控设备信息交互的接入技术标准。
4)研发支撑全球能源互联网格局的信息通信架构及设备研制。研发支撑多业务并且信息安全符合防护要求的大容量、高性能信息通信技术,研制自适应安全身份识别和辨识等关键设备,突破PTN技术瓶颈。
3.2应用前景
控制保护专网建成后,能够实现控制与保护系统之间的信息交换,有利于相互之间协调;安控系统将具有感知电网运行趋势的能力,有助于安全与效率之间的平衡;调度自动化业务迁移至控制保护专网后,在线安全分析等高级应用数据质量等性能指标将得到提升;安控装置动作逻辑实现联网后将能够实现安控策略实时分析校核;交直流协调控制系统将具备更广域的控制能力,能够实现直流送端与受端联合多回直流相继长时间换相失败的交直流系统主动防御,控制保护专网应用前景广阔。
4结语
基于国家863计划项目配套跨区交直流协调控制示范工程成功经验,为适应我国未来电网发展形态以及全球能源互联网建设发展需求,提出了发展广域交直流协调控制技术的思路,重点建设控制保护专网,重点研发接入控制保护专网的新型安控装备和信通管控平台和设备,同时也需要实现针对跨区输电结合多源信息分析和控制技术上的突破。实现故障跨区影响传导的预防性协调控制,是一种适应于大电网发展趋势的跨换代技术,对于安全稳定控制保护技术的发展具有重大影响和示范作用。
参考文献:
[1]刘振亚.特高压直流输电理论[M].北京:中国电力出版社,2009.
[2]刘振亚.全球能源互联网[M].北京:中国电力出版社,2015.
[3]杨万开,印永华,曾南超,等.天高压直流输电工程系统试验方案[J].电网技术,2015,39(2):349-355.
[4]国家电网公司.国家电网公司“十三五”电网发展规划[R].2015.
[5]周孝信.2015年“二〇八”科学会议:我国西部直流输电网组网形态研究[R].北京:中国电力科学研究院,2015.
[6]汤涌,郭强,周勤勇,等.特高压同步电网安全性论证[J].电网技术,2016,40(1):97-104.
[7]刘开俊.关于“十三五”电网规划若干重大问题的思考[EB/OL].
[8]汤广福,罗湘,魏晓光.多端直流输电与直流电网技术[J].中国电机工程学报,2013,33(10):8-10.
[9]徐政.柔性直流输电系统[M].北京:机械工业出版社,2012.
[10]卜广全.2014年“二〇八”科学会议:适应更高比例新能源接入的大电网安全稳定控制的一些想法[R].北京:中国电力科学研究院,2014.
[11]郭剑波,卜广全,赵兵,等.提升电网安全稳定和运行效率的柔性控制技术[R].2014.
关键词:铁路信号;故障-安全;措施
中图分类号: F530.32 文献标识码: A 文章编号:
所谓“故障—安全”,是指当设备发生故障的时候,在设备出现动作以后应当是安全的。也就是说,不管设备发生什么样的故障,在故障发生以后,都应该设定一个保证安全的输出信号,这种系统我们叫做“故障—安全”系统,简称“FSS”。
1 信号系统的“FSS”保障措施
1.1 传统铁路信号控制系统的“FSS”设计
为了实现”故障—安全”,铁路信号控制系统在设计时,采取了多项安全控制措施:
1.1.1机械控制手段上,大多利用重力向下的原理,保证安全。如过去应用的臂板信号机,利用重锤控制臂板动作,当传导拉力的导线或拉杆折断时,靠重锤的重力使臂板保持水平状态,指示列车停车,从而实现”故障—安全”。
1.1.2广泛应用的继电控制,采用非对称的安全型继电器。信号控制电路所用的继电器为安全型继电器,保证继电器故障落下的概率远远大于故障吸起的概率。电路设计时,采用安全对应原则,用继电器的吸起状态对应设备的危险侧,而用继电器的落下状态对应设备的安全侧。例如在信号点灯控制电路中,用列车信号继电器(LXJ)吸起接点控制允许灯光(绿灯或黄灯)点亮,而用列车信号继电器的落下接点控制红灯点亮,当发生故障使列车信号继电器落下时,信号显示红灯,指示列车停车,从而实现了继电电路的”故障—安全”。
图1 “FSS”系统继电电路
1.2 现代铁路信号控制系统的“FSS”控制
以现代集成电子电路和信息技术为核心的铁路信号控制系统,通过软件和硬件冗余的方式,实现“FSS”,下面是几种常用的“FSS”控制方式。
1.2.1 安全性冗余结构
图2 安全性冗余结构
如图2,模块A和模块B经与门输出,两个模块同步工作,只有两个模块输出一致才能使系统输出,如果有一个模块故障,系统将不能输出正常结果,从而发现故障,停止输出危险侧的执行信息。由于两个模块发生相同的故障而产生相同的错误结果的概率很小,这样提高了系统工作的安全性,减少了危险侧输出的概率。
1.2.2 静态多元控制
静态“FSS”输入接口电路如图3所示,一个采集条件(GJ)同时由多个光电耦合采集单元同时采集,送入计算机。当采集条件接通时,各单元输出均为高电平,计算机收到代码为1111;当采集条件断开时,各单元输出均为低电平,计算机收到代码为0000。计算机对四个码元进行逻辑“与”的运算,结果为“1”时证明采集条件接通(危险侧),结果为“0”,证明采集条件断开(危险侧)。显然当采集条件断开而电路发生故障时,运算的结果为“0”的概率远远大于运算结果为“1”的概率,实现了“故障-安全”。
图3 静态多元控制
1.2.3 动态闭环控制
图4 动态闭环控制电路
动态“FSS”输入接口的电路形式如图4所示,由计算机输出口控制的光电耦合管G2输出侧与采集输入口的光电耦合管G1输入侧串联。在采集条件接通时,由计算机输出的脉冲序列,会返回到计算机的输入端,即用动态脉冲作为危险侧信息;采集条件断开时,计算机输入口收到稳定的低电平(0);当电路任何一点发生断线或混线故障时。计算机输入端必然收到稳定的电平(1或0),将稳定的1或0均作为安全侧信息处理。
动态输出驱动电路则采用输出动态脉冲作为控制信息。只有动态信息才能驱动执行继电器吸起,静态电平驱动无效。输出代码还要回读到计算机。当计算机“死机”或输出电路故障时,计算机不能连续输出动态信息,执行继电器不吸,设备不会错误动作。
实际上,动态输入或输出电路是一个闭环控制系统,它是通过计算机校验输入或输出代码是否畸变来判断电路是否故障。这种动态闭环控制,以动态信息对应危险侧,以静态信息对应安全侧,当电路发生故障,只能产生静态信息,从而实现“FSS”。
2 提高现代铁路信号控制系统安全性的探讨
随着铁路运输车流密度的加大和列车运行速度的提高,铁路信号自动控制系统越来越复杂,现代铁路信号控制已有传统的机电控制变为集自动控制、机电一体化、网络通信、信息处理为一体的综合控制系统。但是无论系统如何复杂,都应严格保证实现”故障—安全”。
2.1 采用综合安全性冗余方式保证列车运行安全
高速铁路的信号控制设备,主要包括车站联锁控制系统、区间闭塞控制系统、调度集中(CTC)控制系统、列车运行控制系统等,各系统之间即相对独立,又相互联系。为了保证列车运行安全,应设计综合上述各系统的安全性冗余环节,如图5所示,只有各子系统均输出指示列车正常运行的命令,列车才能正常运行。当任一子系统输出要求列车“减速或停车”的安全侧信息时,综合控制系统都能输出使列车“减速或停车”的控制命令,防止“故障—危险”。
图5 高速铁路“FSS”综合系统
2.2 增加“丢车”检查功能,防止故障—危险
“7.23”大事故是由于前方运行的列车占用信息被覆盖,即发生了“丢车”才造成了后续列车追尾。实际在线路上运行的列车,不可能丢失,出清一个区段,必然已进入另一区段。如果出现“丢车”或“飞车”信息,一定是设备发生了故障。因此,在各控制系统中应增加“丢车”检查功能,一旦发现“丢车”,应立即使综合系统输出后续列车“紧急制动”信息,以保证后续列车的运行安全。
2.3 增加机头和列尾防护设备,防止列车冲突
铁路运输尽管有一套功能完善、性能可靠的信号控制系统,但历史上不止一次发生了列车追尾甚至正面冲突的重大事故。如果在现有信号控制系统之外,在列车头部和尾部增加一套防护设备,当两车之间的距离小于“安全距离”时,通过无线设备或通过钢轨直接向前后运行的列车分别发送 “相撞危险”的信息。相邻列车接收后,立即报警和紧急制动,这是避免列车冲突的最好方法。当然这种防护设备要考虑防止干扰,需要认真研究和实验。现有条件下,即使在列车尾部增加传输距离较远的监视设备或者特殊颜色灯光闪光提示,也能减少列车冲突事故的发生。
2.4 提高系统可靠性,减少危险故障发生
相对铁路运输而言,航空运输“故障—危险”的概率更大,但飞机发生“危险失效”的概率极低,主要原因在机采用“多个发动机”等措施,使系统运行的可靠性远远高于其他运输方式,从而也提高了运输的安全性。
铁路信号控制设备虽然在车站联锁等系统中采用了多套冗余设备,但为了提高铁路运输的安全性,还应在区间闭塞、调度集中(CTC)、列车运行控制等系统中增加冗余设备,以保证发生故障后,能够通过自动切换等方式正常运行,以减少系统发生故障失效的概率。
3结语
总之,“故障—安全”是铁路信号控制系统应严格遵循的重要原则,任何高科技的设备,发生任何故障时,都应确保安全,否则再先进的技术设备也不会有生命力。
参考文献
[1] 何文卿.车站信号自动控制.北京:中国铁道出版社,1980.
[2] 林瑜筠.铁路信号基础.北京:中国铁道出版社,2006.