基于Ovation的DCS系統(tǒng)用戶安全組運用

白奕

福建華電可門發(fā)電有限公司

基于Ovation的DCS系統(tǒng)用戶安全組運用

白奕

福建華電可門發(fā)電有限公司

一、前言

福建華電可門發(fā)電有限公司（以下簡稱可門公司）一、二期工程共擁有四臺600MW超臨界火力發(fā)電機組。其中，分散控制系統(tǒng)（Distributed Control System，以下簡稱DCS系統(tǒng)）是采用由上海艾默生（Emerson）過程控制有限公司生產制造的Ovation系統(tǒng)來實現(xiàn)對機組的數(shù)據(jù)采集、監(jiān)測和自動控制［1］。Ovation系統(tǒng)是現(xiàn)代控制行業(yè)中一種響應速度較快，比較可靠的能監(jiān)測裝置實時狀況及實現(xiàn)工藝控制的系統(tǒng)，它采用的是完全商業(yè)化的硬件平臺、運行系統(tǒng)和網絡技術［2］。

隨著使用年限的不斷增長，我們逐漸發(fā)現(xiàn)在運行維護過程中，原有采用的運行人員以及熱工維護人員使用統(tǒng)一的、相同的賬戶進行操作、強制，存在許多弊端，如：無法區(qū)別哪位操作人員對系統(tǒng)進行操作，無法區(qū)分哪位熱工人員對信號進行強制等等。以此同時，隨著可門公司管理精細化的深入，對于運行人員在CRT盤前操作規(guī)范及熱工人員、其他相關人員在工程師站的操作權限要求有了更細化的區(qū)別，也有利于強制管理、事故分析，也有效地防止了對系統(tǒng)中重要文檔誤操作的可能性。這就需要通過Ovation系統(tǒng)管理軟件Developing Studio中的Security安全組對不同人員的權限進行配置、區(qū)分，以符合相關要求。

二、簡介域管理在網絡安全中的運用

所謂的Security安全組，對于Ovation系統(tǒng)來說，就是設計用來阻止非授權的用戶或者非授權的對Ovation系統(tǒng)的操作行為［3］。它的實現(xiàn)，是通過使用域的概念加上安全角色分配用戶和計算機的域。

域就是在同一個網絡系統(tǒng)內的計算機和用戶共享一個相同的安全數(shù)據(jù)庫，然后通過域服務器對域內這些計算機和用戶的操作行為和方式進行統(tǒng)一的定義。在域中，所有計算機都具備邏輯聯(lián)系，并且它們的安全性設備都是由一臺被配置為域控制器的計算機來控制的。域中所有非域控制器的計算機被定義為域成員［4］。

當一個角色被定義到計算機或用戶上，則該角色會被同時定義到域內擁有相同賬戶的計算機或用戶上。域的概念的運用，同時也簡化了整個系統(tǒng)用戶的安全設置量。當然，域系統(tǒng)也不僅僅是用來簡化域內用戶權限等配置量，同時，域系統(tǒng)也擁有強大的安全特性，也保證了Ovation的安全、可靠。

圖1　Ovation Security Management

三、用戶安全組

基于域和Security安全組的概念，Ovation系統(tǒng)有自己的安全管理軟件Ovation Security Management（如圖1所示），該軟件有著友好的設置界面能夠讓系統(tǒng)管理員更加容易去定義和管理域中的用戶和計算機。該軟件擁有強大的功能，但對系統(tǒng)安全組進行配置時，最重要的莫過于Group Policies和Ovation roles的配置。

Group Policies（如圖2所示）主要用于配置用戶對于操作系統(tǒng)桌面環(huán)境以及整個文件系統(tǒng)的控制行為。如：對計算機操作系統(tǒng)桌面的設置、對系統(tǒng)控制面板內程序的操作、對計算機內軟件的操作、對系統(tǒng)機文件系統(tǒng)的配置操作、隱藏相關磁盤等。

圖2　Manage Group Policies

Ovation roles（如圖3所示）主要用戶配置用戶對Ovation系統(tǒng)相關軟件的控制行為。如：對Ovation Developer Studio的操作權限、對Control Builder的操作權限、對ErrorLog的操作權限、強制信號、整定PID參數(shù)等。

圖3　Manage Ovation roles

不僅僅如此，Ovation Security Management的安全設置，還可以在配置好各個用戶組的安全功能后，能夠隨時對系統(tǒng)的各個安全組進行在線更新。

表1　可門公司DCS系統(tǒng)用戶類型及操作權限

四、用戶安全組的配置

根據(jù)Ovation Security Management的配置要求，我們以可門公司的實際情況，對用戶的類型和操作的權限進行了配置和說明：

1、運行人員（Operator）：需要進行平常的操作員上位機操作，如：開關閥門，啟停設備，手動輸入相關數(shù)值，進行手自動切換，邏輯查詢，報警信息的查詢，歷史曲線的查詢，修改報警過濾器等；

2、熱工人員（Engineer）：需要進行平常的熱工設備檢修消缺維護，如：信號的強制，邏輯的分析，PID參數(shù)的整定，報警信息的查詢，歷史曲線的查詢等；

3、管理員（Administrator）：需要對DCS系統(tǒng)進行日常的維護工作，如：硬件點、系統(tǒng)控制邏輯、流程圖畫面的組態(tài)，SOE、操作員事件的查詢，系統(tǒng)狀態(tài)、負荷率的查詢，強制點清單、參數(shù)整定清單的查詢等；

4、熱工新員工（Newer）：只需對系統(tǒng)控制邏輯、流程圖畫面的熟悉了解，如：邏輯的查找，點信息的查詢等；

5、外圍區(qū)域熱工人員（SCR Engineer）：（外圍區(qū)域主要指除主廠房汽機鍋爐外區(qū)域，如：脫硫、脫硝、除灰等）需要對重要環(huán)保歷史數(shù)據(jù)進行查詢、拷貝、刻錄；擁有對所負責的外圍區(qū)域設備，如脫硫、脫硝區(qū)域的邏輯進行信號強制、PID整定等正常熱工人員操作的權限；

6、發(fā)電部、生技部專工（Specialist）：需要對機組重要參數(shù)、歷史曲線、歷史數(shù)據(jù)進行查詢、打印與保存；但無運行人員（operator）操作權限；

相關人員及權限分配如表1所示（以可門公司為例）：

根據(jù)表1所列出的不同用戶，不同的操作特點，不同的操作權限，我們都進行了分析和考慮，以配置最優(yōu)的權限，達到每個用戶的使用范圍。

同時，我們?yōu)槊恳晃粺峁と藛T配置了其屬于自己的賬號（如圖4所示），每個人登陸時只允許使用自己的賬號進行登陸、操作，做到登陸、操作的可追溯性。

圖4　熱工人員賬號

五、用戶安全組運用

1、操作的溯源

可以對DCS系統(tǒng)的操作進行溯源，哪一位操作人員什么時候在哪臺操作員站進行了什么操作，都一目了然。同時，配合固定賬號的配置和使用，提供了一個很好的模式去追溯操作的來源。

如圖5、圖6所示，操作人員zhengweiping在2016年6月27日11∶03注銷了lc進行了登陸，同時在15：53對相關信號進行了scan off的強制操作。本次操作都是在DROP160操作員站進行的。很好地進行了查詢。

圖5　操作的溯源1

圖6　操作的溯源2

2、權限的限制

Ovation安全組設置，還可以對相關軟件的操作進行限制，如不允許打開重要系統(tǒng)軟件，如圖7所示，打開時就會出現(xiàn)提示。

圖7　不允許打開相關軟件

不僅如此，還可以對操作系統(tǒng)內的重要系統(tǒng)磁盤，如C盤進行隱藏，避免出現(xiàn)誤操作，如圖8所示。

圖8　重要磁盤的禁止訪問

六、小結

目前，Ovation系統(tǒng)用戶安全組已在可門公司應用和推廣近五年時間，取得了很好的效果，操作實現(xiàn)了溯源、對人員的權限進行限制……DCS系統(tǒng)安全性得到了提高，整個安全體系已基本建立。在集團公司安全性評價基礎上，我們又對用戶的安全提出了新的要求，如：密碼不低于8位且要由字母、數(shù)字、通配符組成，密碼有效期3個月等。

基于Ovation的DCS系統(tǒng)用戶安全組，這種在保證DCS控制系統(tǒng)穩(wěn)定性的前提下，使控制系統(tǒng)具有對各種外界人為因素具有免疫能力的安全方案，值得使用和推廣。

［1］繆童.DCS在大型火力發(fā)電廠的應用：［碩士學位論文］.山東：山東大學控制工程專業(yè)，2010.

［2］鈔俊.基于OVATION系統(tǒng)的660MW機組協(xié)調控制系統(tǒng)的研究：［碩士學位論文］.南昌：南昌大學電子與通信工程專業(yè)，2011.

［3］Emerson Process Management.規(guī)劃您的Ovation系統(tǒng)REF_ 1005

［4］Emerson Process Management.Managing Security in Ovation 3.0.4 OW304_40

The Application of Distributed Control System user security groups Based on Ovation

BAI Yi
Fujian Huadian Kemen Power Generation Co，Ltd

基于分散控制系統(tǒng)在大型火力發(fā)電廠實際運用中遇到的安全問題，本文以福建華電可門發(fā)電有限公司為例，探討了Ovation系統(tǒng)在用戶安全組方面的運用，為用戶安全組在現(xiàn)代大型火力發(fā)電廠的推廣提供了參考價值。

Ovation系統(tǒng)；用戶安全組

Based on distributed control system in large thermal power plant security problems in the practical application，this paper takes Fujian Huadian Kemen Power Generation Co，Ltd.，for example.Discussing the Ovation system applied on the user security group，for users security group in the modern large-scale promotion of coal-fired power plants to provide the reference value.

Ovation System；User Security Group

白奕（1988-），男，漢族，福建省泉州市人，在職研究生學歷，碩士學位，助理工程師，單位：福建華電可門發(fā)電有限公司，研究方向：火電廠熱控自動化。