陈秀丽
(中国石化销售有限公司 华南分公司,广东 广州 510620)
工控系统一般包括: 分散控制系统(DCS)、可编程控制器(PLC)、工业控制计算机系统(IPC)、安全仪表系统(SIS)、数据采集与监控系统(SCADA)、压缩机控制系统(CCS)、罐区消防系统、码头装车系统,还包括配套的网络管理平台、设备故障诊断管理系统等。通常情况下,大型工厂根据工艺区间划分配套的工控系统多达几十套,且分布在全厂的不同位置,但绝大多数在调控中心控制室集中监控。目前,大多数工控服务器硬件均不支持Windows早期系列操作系统的安装,工控系统服务器使用超过10 a时也面临高故障率及技术淘汰期,工控系统服务器需要维修时,为改变软硬件不兼容的矛盾现状,不得不定期升级软件。软件应用方面的问题主要如下:
1)由于许多企业实施不间断生产使大修周期较长,无法提供同步升级的工况条件。
2)各工艺区配套的工控系统建设或改造期不同,产品负荷也不同,选用的产品型号不一致。
3)随着生产业务的不断发展,与之配套的工控系统不断延伸,MES,ERP,生产调度优化系统等各种为生产服务配套的信息系统也得到广泛应用。虽然工控系统已经成为生产和决策部门的基础系统,但是自身也面临管理和维护的问题: 一是这些应用系统随规模增大变得日益复杂,对维护管理人员的技能是一种考验;二是服务器和存储设备越来越多,而自动化维护人员并没有增加。对服务器设备而言,一些服务器设备利用率不高,而另一些却在满负荷运转。这些都对工控系统的平稳运行带来挑战。石油化工、冶金、电力这些传统行业在利用新技术、新理念提高设备运行效率、降低运营成本的同时,还要能灵活应对新业务的需求,这是工厂亟待解决的问题。
云平台是指基于硬件的服务,能够提供计算、网络和存储能力。云平台可以分为三类: 以数据存储为主的存储型云平台,以数据处理为主的计算型云平台,以计算和数据存储处理兼顾的综合云计算平台。按应用领域又分为商业化云平台和工业云平台。工业云平台按开放性分为私有和公用。
当今工厂正朝着精密化、自动化、柔性化、集成化、网络化、信息化和智能化的方向发展,在这种趋势下,诞生了许多先进制造技术和先进制造模式。这些先进制造技术和先进制造模式要求现有的IT和OT的融合。近年来,虚拟化、云计算技术得到快速发展,特别是IT领域的技术应用到工业领域[1],其特点体现在以下几个方面:
1)云平台发展方向以提高工业安全和性能的应用转为工业服务。
2)云平台虚拟化技术对工控软件与服务器不兼容的应用提供很好的支持。
3)对工控系统自动化维护提供了简化方式。
4)云平台容纳了多种应用,计算层虚拟化技术使得应用与具体物理设备之间没有完全固定的映射关系。
5)云计算中心要求资源能够被统一调度、网络可扩展、系统高可靠、运维自动化。虚拟化技术对底层硬件资源进行抽象处理,对上层应用程序透明,它通过整合零散的资源为虚拟可管理的动态资源,从而实现资源的按需管理,提高动态资源的利用率,因此虚拟化技术是推动工业云平台计算发展的核心技术[2]。
工业云平台技术已经为石油化工、冶金和电力企业的工控系统带来新的方向和应用,例如在神华集团黄骅港数字化港口项目中,监控多套工艺单元区域的60台主机,CCTV监控服务的30台主机,华为办公云系统的30台主机,仅在1台工业云平台上就可实现全部计算和存储,从而达到了降低运营费用的目的,也顺利完成了IT和OT的快速融合,实现该项目的顺利实施。该项目基础虚拟化设备架构如图1所示。
图1 该项目基础虚拟化平台设备架构示意
工业云平台应用主要是结合大数据应用产生的,涉及大数据应用分析、生产分析、地理信息系统和其他管理软件应用。因此,工业云平台融合了控制层、网络层等设备交互和功能调用。
工业云平台按数据库的大小又分为大型、中型和小型三种,根据集中的工业控制系统容量和套数选择合适的云平台,选用方式如下:
以长输管道SCADA为例,调控中心SCADA多数具备1.0×105点的数据库、5套以上其他工控系统,适合选用中型配置的云平台。
针对输油站各类工控系统,主要包括泄漏检测系统、电气SCADA、主输泵监测系统、消防系统、库区管理系统等,可选用小型配置的云平台。
虚拟化技术是推动云计算发展的核心技术,其中工业云平台的虚拟化技术已经渗透到核心计算业务中。
1)虚拟化的出现改变了传统的单一计算机架构[2],虚拟化的高可用性和快速迁移特性有效保证了关键系统的计算机业务连续,有效降低了由计算机故障导致的业务中断,按照可靠性为中心的维修理论(RCM)基础,通过减少开停机,将生产开车的影响及相应的其他损失降到最低。
2)将生产制造软件的使用寿命从5~7 a延长到10~15 a。
3)利用虚拟化技术,可以安全地在一个服务器上共享应用程序,提高利用率。
4)简化了维护,实现故障最小化,使维护、维修成本费用大幅降低。
云平台对现有的安全体系产生冲击[3],因此各类工控系统均安装在私有工控云平台上[4],传统工控系统安全体系布置如图2所示,传统工控系统及企业内部网络隔离区DMZ布置[5-6]如图3所示。虚拟化技术安全是云平台的安全问题之一,也是云平台安全的重点之一。在工控系统需同步设计实施,并实现安全体系设计构建。以油气管道领域为例,由于涉及区域范围广,跨越数省乃至全国,因此对信息安全也有较高的要求[7]。
图2 传统工控系统安全体系示意
图3 传统工控系统及企业DMZ布置示意
云计算统筹资源过程中,虚拟化安全包括计算资源虚拟化、网络资源虚拟化和存储资源虚拟化所面临的各种问题[8]。目前常用的虚拟化软件国外品牌有VMware,Citrix和微软,国内有华为、华三、易思捷等品牌。虚拟机必须管理控制好整个虚拟机资源池的管理权限。当图2中的工控网络区域规划好后,选用私有工控云平台的服务器和操作站,以虚拟机隔离为着眼点,利用MAC机制增强虚拟机部署的安全性,在IAAS层面上提高私有云计算平台的安全性。私有工控云平台的网络体系如图4所示。
图4 私有工控云平台整体安全结构示意[9]
该网络体系关键技术包括:
1)云平台的虚拟机监控器、虚拟化管理库和操作系统访问控制机制。
2)Linux安全模块等,实现对虚拟机可访问资源的强制访问控制,实现虚拟机间的强隔离,提供了一种轻量级的基于MAC的虚拟机安全隔离方法,并建立起虚拟机安全迁移信道[10]。
云平台安全区域边界包括访问控制、区域边界包过滤、区域边界安全审计等。安全管理中心功能包括系统管理、安全管理和审计管理[11],与传统工控系统对比见表1所列。
表1 工控云平台与传统工控系统安全对比分析
依赖于计算机及通信技术的高速发展,工控系统应用私有云平台技术,并注重完善平台安全体系、强化网络边界及管理平台等措施,解决了工控系统服务器设备难管理、设备使用周期长等一系列难题,同时大幅提高了工控系统服务器运行效率和负荷,解放了人力资源,从而将大量应急维修工作转化为日常巡护工作。私有云平台技术在工控系统中将被广泛应用[12]。