工厂经理可以通过整合安全和防护系统有效地转移风险。
如果问一个工厂经理安全为什么重要,他的回答一定是保护人员、设备和环境可以防止严重事故的发生。如果问的是IT主管,那么他会告诉你数据真实和网络可用性对于保障整个工厂及其产能是非常关键的。
无论愿景如何,所有的工厂经理都会经常扪心自问:“我们足够安全吗?”一种集成工厂安全和防护的方法,可以通过相互关联的各种防护提升商务表现、稳定员工的情绪,以阻止、检测和转移潜在的危险。
一个流程工厂通常处于所谓的“正常运行”状态。在这样的状态下,控制系统的任务就是保持流程的顺畅运行,事实上,绝大多数情况,它也确实起到了这样的作用。然而,外力或者干扰可能导致流程出现偏差或者漂移,进入一个“不佳状态”。出现这类情况的时候,需要操作员介入。如果任其发展,异常的状态就会变成“危险状态”,为了保证工厂的安全可能就需要紧急和机械停机。
定义异常状态的一个重要因素就是紧急响应。清晰的理解异常情况将如何发展,需要使用哪些工具来将这些风险转移,可以帮助为处理这些无法预期的状况做好准备。
防护的层次
控制系统包括仪表和分布式控制系统,保证流程一直处
第一个警告操作员控制系统不能处理可能情况的是报警系统。在安装合理的情况下,报警系统会警告操作员需要采取行动了。基于此,操作员需要与系统互动,保证流程返回正常状态。
但是,由现场开关、存储边界和约束触发的系统互锁可能会进行干涉,通常这些干涉被植入到控制逻辑之中,防止设备损坏。
互锁过程里需要加入一个步骤确定各种限制。在运营管理当中,系统变量和流程的关键、标准和目标边界应该被准确理解和界定。这就需要支持信息,包括测量的目的、管道仪表图示、设备约束、腐蚀控制限制、安全约束以及环境约束等等,所有的这些都要被储存和参考,因此数据库要涵盖所有与变量和边界相关的信息。
另外的两个层次扮演着将保护生命和工厂资产整合的角色,尽管每个人都希望永远也不要用到它们。安全系统提供了一个冗余的最终保护层,可以保证工厂处于一个安全的状态。即便所有的措施都失效了,这一需要考虑的层次还可以对紧急状态下所有的疏散人员进行跟踪。
但是转移风险就意味着要合理使用更多数量的硬件和软件。工厂必须在面向风险管理进行保证安全运行环境的同时,考虑一种管理整个企业的集成方法。其挑战在于,在考虑防护和安全因素的前提下,确定何时进行集成、何时保持隔离。
可测量的集成
在保持安全隔离的同时,运行上的集成为工厂的员工提供了一个与受控流程连通的无缝交互界面。从运行的角度来讲,这些应用没有任何的区别:操作员可以获得全部所需的信息,从任何一个操作控制面板都可以监测设备运行的状况,无论是旋转设备、压缩机保护、紧急停机系统还是整个工厂的在火焰及燃气方面的应用。
为了确保有效的隔离,分散的数据库应用存储安全和控制策略,通过特殊工具使用分离的软件模块。这样做防止了未经授权的更改、事故和一般原因引起的故障。通过内置的防护机制在安装之前、安装之后以及运行过程中检查软件真伪,一个受保护的模块可以远离病毒和恶意黑客的攻击。
一个受控和受保护的数据库环境是分散型数据库成功的另外一个关键所在。登录方案应当包含一个可多层接入的专项防护机制,用于工程应用,在控制器中加载应用以及在安全仪表系统(SIS)控制器作用点。用户过期机制在一个用户确定的时间过去之后,将其接入等级进行降级,以防止故障性和未授权的更改,在设备一段时间无人监管的情况下进行防护。
考虑到软件和硬件,使用专门开发的特殊硬件和硬件可以降低由一般原因引起的故障的风险。在安全和控制上同时使用专项解决方案,可以防止安全系统出现任何与控制操作相关的缺陷。除此而外,安全和控制策略是由不同的团队使用同样方法开发的,安全和控制使用同样的硬件和软件增加了产生控制器系统故障的可能性,而清晰的分离可以减少测试和设计安全系统方面的工作量。
通过安装嵌入式硬件防火墙保护设备免受外界威胁,也是非常必要的,因为它可以在系统运行的过程中将安全应用和外部设备隔离开来,这样那些设备可能永远也不会对应用的安全性和可用性产生不利影响。通过嵌入式防火墙和安全集成4级认证的专利型协议,控制和安全之间数据的真实性可以得到保护。
未雨绸缪
在安全和防护应用当中,火焰、燃气、电力、变更以及仿真元素也都是需要考虑的。在实施任何安全和防护解决方案之前,对这些元素进行计划和设计是非常有必要的,这可以确保所有的系统功能都能一同发挥作用。
火焰和燃气系统的主要任务之一,就是通过广播设备警告人们存在安全危险,并且指明所在建筑物和区 域的逃生路径。当绝大部分安全系统输出是正常的触发输出Ⅹ,这些广播设备就是“触发-行动”型。
这就意味着,安全系统必须具有专设现场监控输出模块,以与火焰和燃气系统进行整合。这些现场设备监控输出模块将会主动检查连接SIS输出渠道和火焰及燃气现场设备的线缆,以保证诸如连接设备失效、导线断裂、线缆短路这类故障可以被检测到。
不仅如此,为现场设备供电的安全系统可以使项目实施变得更加容易。有时,很难找到合适的电源,而且代价不菲。在实施的过程中,采购外部电源,每台设备就要花10美元,对于一个中型的炼油厂来说,加起来就要花费14万美元。
实施之后,安全系统通常并不会进行成百上千次的变更,有些系统也不允许进行集成变更。实际的情况是,系统必须要离线才行进行变更,而在系统和流程启动之前,所有的功能测试都要完成。
一些人抱怨说,虽然可以进行变更,但是缺点太过于明显,甚至还有安全风险。从更改开始的一刻起直到功能测试完成,过程操作员要对所在单位的安全负全责。
实施安全系统的一个原因是将危险过程中安全层上的“人为因素”全部消除。如果操作员不能在危险状态发生的第一时间做出正确的判断,那么工厂的安全将会面临
通过使用全集成的仿真系统—过程、控制和安全—工厂经理可以辨识危险的类型、进行优化、教育和培训操作人员,在获得正确反馈的时候加以确认。这类集成通过可视化的显示支持逻辑除错。
安全系统可以集成到一个仿真过程模型当中,或者借助开放式连接。通过这些解决方案,控制系统数据库可以使用仿真技术自动输入,对配置工具有一个直观的印象和感知。
异常状态确实可以带来数百万美元的损失,技术可以释放安全压力,但是只有一家工厂可以将彼此关联的各个防护层分别都弄清楚之后,才能消除各种威胁,真正的降低风险。
车间里的建议:工业以太网需要更加安全
Innominate公司的mGuard安全设备就可以使用在一个分散、分布式的架构当中,保护每一个生产单元。它们对于工业应用的适应性来自于相关的工业标准,可以同工业控制(比如控制器、面板型PC、机床和工厂网络)进行集成。
——Innominate Security Technologies AG
商务开发总监Torsten Rssel
使用基于以太网的网络连接机器、生产系统和企业解决方案保证了高度的灵活性,同时也节约了大量的开支。但是,它也使企业网络和通用网络接口更加容易受到安全方面的攻击。
在基于以太网的网络深入到车间层之后,安全没有受到重视的借口不计其数,但是生产和办公室网络的日益连通却使得潜在的交互、安全结果以及维护成本都成了必须要考虑的因素,Torsten Rssel说道。他是Innominate Security Technologies AG的商务开发总监,这是一家为工业应用提供嵌入式安全设备的厂商。
“公司的防火墙避免了大多数来自互联网上外部入侵者的攻击,但是危险的程序经常来自内部”,Rssel说:“想一想,举例来说,外面的服务工程师可以登录到生产网络,员工或者来访的咨询人员也可以使用笔记本电脑无意的或者随意的登录,这就使那些有毒的软件避开了外部防火墙。”
生产中断的后果可能要比办公室网络出现故障更加严重。尽管不同行业的统计口径不尽相同,但是我们却可以很容易的发现一旦停产,制造商就会损失数以万计的美元,还会伤害客户关系。
Rssel说,我们需要的是带有小型、分布式安全系统的架构。他认为尽管有些人觉得这样做成本高昂,实际上也不尽然。
“Innominate公司的mGuard安全设备就可以使用在一个分散、分布式的架构当中,保护每一个生产单元。这些安全应用面向工业环境的使用而设计,它们融合了检测型防火墙的特点,进出数据包都受到了监控,并且会根据预先设定的规则进行封堵,还可以通过私人网络连接进行经过加密和认证的通讯”,Rssel解释道:“它们对于工业应用的适应性来自于相关的工业标准,可以同工业控制(比如控制器、面板型PC、机床和工厂网络)进行集成。”
mGuard防火墙在网络中扮演的是自容系统的角色,可以保护一个生产单元或者一台自动化设备。对安全设备升级,无需触动安全系统本身,所以现在的系统可以轻松实现翻新,Rssel说道。
Rssel接着说道,除此而外,Innominate的设备管理器(IDM)软件还具有模板功能,可以自动进行配置,使用集成的Certificate Authority生成VPN认证。通过推拉机制,中心管理控制台可以为分散的元件提供所需的信息。
“这是一个非常经济的解决方案,可以通过部署在分布式架构中的有效保护设备,提供一种分散式的安全性”,Rssel说:“可以使用中心控 制台管理和维护安全基础设施,这样就不会增加任何管理上的负担。
——Jim Fulcher (jimfulcher@comcast.net)