刘旸

(中国石油化工股份有限公司物资装备部 电仪部，北京 100728)

分散控制系统(DCS)作为过程控制、生产数据监视及设备管理的主要控制系统，在石化、化工、交通、电力、冶金、国防等多个领域应用广泛，是确保现代工业生产安全、稳定运营的关键设备。

近年来，国产DCS在百万吨/年乙烯裂解装置、千万吨/年炼油装置、大型煤化工装置上都实现了工程应用，其主要技术性能与可靠性指标已基本接近国外同类先进产品水平。由于历史原因，国内在役DCS仍主要为美国、日本等进口产品，据中国产业信息研究网调查统计结果显示，全国在役的重要的DCS中，国外产品占比高达75%；工业控制系统中使用的PLC，逻辑控制器等关键部件，国内产品市场占有率不足5%，主要为施耐德、西门子等国外品牌。

进口DCS在信息安全方面存在较大隐患，硬件在设计、制造、封装、测试等环节存在可能被植入后门的漏洞，可利用后门远程操控破坏生产装置，造成停产、爆炸等重大生产事故。通过后门可以窃取工业生产数据，通过网络传播病毒和木马，严重影响工业控制系统信息安全。在涉及国家能源安全的炼油石化行业项目建设中，如果不能实现控制系统的自主可控，则会始终处于受制于人、被动挨打的局面。

1 在役进口DCS存在的主要应用风险

1.1 DCS稳定运行受外部环境因素影响较大

随着世界政治经济环境的变化，尤其是近年来，爆发中美贸易战、新冠疫情等突发事件，美国对中兴、华为、大疆、大华、海康威视等中国企业实施禁售，严重威胁中国高科技企业的供应链安全。如果局势进一步恶化，出现对进口DCS的禁售，将影响在役DCS的运行和维护，系统的损坏部件无法及时替换，将导致DCS无法正常运行进而影响各行业的生产。从中长期看，将影响DCS的升级改造，老旧系统无法得到升级，DCS超期运行会影响系统运行的安全性、稳定性，生产企业新的技术、新的工艺也将无法得到实施。因此，若在供应层面没有“备胎”计划，将会对企业生产造成巨大的影响，甚至可能造成企业“停摆”，严重影响企业运营安全。

1.2 DCS安全防范等级偏低

随着工业互联网、云计算等新技术的出现，DCS已逐步从封闭隔离系统演进为开放交互系统，随之而来产生了信息安全隐患。近年来，针对工业控制系统的安全事故频发，如2010年的“震网”病毒、2012年的超级病毒“火焰”、2014年的Havex病毒等，专门针对工业控制系统的病毒爆发给用户带来了巨大损失。2016年11月，中国颁布了《中华人民共和国网络安全法》；2017年5月，公安部发布GA/T 1389—2017《网络安全等级保护定级指南》，将工业控制系统信息安全提高到国家层面，并提出了对工业控制系统信息安全的具体技术要求和管理要求。

现有的进口DCS从产品层面并没有完全响应中国公安部的要求，而是主要沿用IT思路，通过在控制系统外围，采用串联或者旁路防护的方式，部署防火墙、补丁等手段进行安全加固，使得防护与控制分离，防护功能不完全，不能完全满足信息安全等级保护的要求。

1.3 DCS软硬件供应和服务保障存在隐患

国外DCS厂商由于目前在华的销售量逐年下降，其在中国资源投入正逐渐减少，存在全生命周期服务质量无法保障的风险，技术服务不到位会造成较大的生产隐患。进口DCS核心技术开发业务均没有放在中国，进口系统软硬件一旦发生故障，故障处理的时效较低，问题分析处理的深度不足。处理问题的人员由于不了解产品的核心技术，只能进行简单的排查，严重的故障及问题无法及时得到技术服务。即使联系在国外的开发人员，由于中美时差影响，沟通效率也很差，无法有效快速地解决客户现场问题。近年来，由于国家间的利益冲突，存在较大的断供、停止维保和技术服务风险，在建项目或者生产扩容无法开展的风险突显。一旦以美国为首的西方国家形成联盟，对中国实行严格的出口限制政策，势必对进口DCS的后期运维和服务造成较大影响。

1.4 进口DCS广泛使用私有通信协议

进口DCS在控制器与I/O模块之间的通信，均采用了私有的通信协议，而没有采用国际标准总线协议，使得其系统本身比较封闭，如果I/O模块发生损坏，只能使用原厂的卡件进行替换，而无法选用第三方的产品进行替代。

2 国内外主要DCS性能比对分析

2.1 进口DCS主要特点

DCS从20世纪70年代发明以来，已经发展了4代，目前主流进口DCS均为第4代产品，具备以下特点：

1)网络结构相近。采用纵向分层架构，从纵向上使得整个工业控制系统内对安全要求不同的层级直接得到了网络隔离，使某个局部的不可靠对整个系统构成损害的概率大幅降低；采用横向分域的网络架构，从横向上将每个相对独立的子系统划分为一个域，既实现了危险分散，又可保证信息共享。

2)主流DCS控制器、通信、电源、I/O模块等核心设备均采用冗余配置，单个模块损坏不会影响系统的运行。

3)DCS数据传输采用点到点的通信架构，取消了传统的服务器结构，避免了单服务器故障。

4)DCS可适应工业现场恶劣环境，适应复杂的环境电磁干扰，符合IEC 61000标准，大部分系统达到EMCⅢ级标准，防腐蚀能力满足ISA S71.04标准G3等级要求。

总体来说，进口DCS已非常成熟可靠，但部分指标存在不足，主要体现在信息安全方面不满足中国信息安全等级保护的要求，强电防护能力较弱等方面。

2.2 和利时系统主要特点

1993年，和利时率先推出中国第一套自主知识产权的DCS分布式控制系统，经过20多年的发展，现在和利时主推的MACS-K DCS从性能指标、产品功能、产品可靠性方面以及产品安全性方面，均已达到或优于进口品牌的DCS。在中安联合煤化工、海南炼化PX等大型化工项目中已得到成功应用。和利时DCS具备以下特点：

1)高可靠性。一是采用全冗余设计，系统的各个组件，包括系统网、IO-BUS总线、控制器、电源模块、I/O模块、历史站均可冗余配置；二是诊断技术全面，现场控制站和I/O模块均带有智能自诊断单元，所有类型的故障，如通信、断线、短路、超量程等都可以被检测并及时上报到操作站；三是具备多重隔离技术，系统供电与现场供电隔离，通道故障隔离。

2)高安全性。一是控制器CPU采用PowerPC构架工业级芯片，基于实时操作系统，内置防网络风暴组件，采用多比特位开关量和信号质量判断，故障导向安全；二是采用安全系统设计理念，如信号判断、故障导向安全，提高系统可靠性，支持热插拔，具有防混淆，通过增强型底座提供交流220 V通道防护；三是设有失效安全技术，整个系统遵循安全设计理念，逻辑计算之前进行信号质量验证，故障时输出可以自动切换到预先设定的安全值，可支持ECC内存错误检测；四是信息安全有保障，通过工业安全网闸、工业防火墙、工业入侵检测系统、工业网络审计系统、工业日志审计系统、工业白名单、工业主机加固、工业安全管理平台等多种手段，从身份鉴别、访问控制、安全审计、通信完整性、通信保密性、软件容错、资源控制等方面，为主控制器及上位机组态软件提供信息安全保障。

3)保持技术先进性。一是组态智能化，如组态向导功能，系统交叉引用信息的自动生成等；二是具备协同组态能力，可由多名工程师对同一个工程协同组态，在超大型项目实施过程中可以保证多人同时协同工作；三是能提供高级功能，例如众多的先进控制模块、专用控制模块、系统函数调用接口等。

4)具备强大开放性。一是支持OPC接口，支持ODBC，工业以太网等开放的网络结构，提供Web接口。二是MACS V6系统可以与和利时的其他产品，包括： 机组优化控制系统(CCS)，安全仪表系统(SIS)，可编程逻辑控制器(PLC)，仪表设备管理系统(AMS)，Batch，iODS，数据采集与监控系统(SCADA)，RMIS，生产执行管理系统(MES)等进行无缝集成，为用户提供整体解决方案。三是支持Profibus-DP/PA，Modbus-RTU/TCP，HART等多种设备接入；画面支持第三方ActiveX组件，便于扩展；支持在线启用第三方应用程序；支持自定义功能块、自定义面板、自定义符号。四是系统实现平台化，支持多种行业包与多语言，系统可兼容和利时FM，SM系列I/O模块，保护用户的既有投资。

5)适应恶劣环境。系统适应复杂的工业环境，符合IEC 61000标准，系统防腐蚀能力满足ISA S71.04标准G3等级要求，系统可靠性满足中国船级社认证要求。和利时I/O模块具备防交流220 V强电误接能力，误接时模块不会损坏。返修率低至0.4‰。

2.3 中控DCS主要特点

经过20多年的发展，浙江中控DCS产品技术和服务能力已和国外主流厂商相当，在石化、化工等行业市场份额已超过了国外厂商。同时，中控与国外厂商的竞争已经从价格竞争上升到“产品性能、服务水平、品牌信誉”的竞争。中控DCS在可靠性、安全性、先进性、开放性、扩展性、质量管控方面具有显著的优势。中控DCS具备以下特点：

1)自有技术。中控DCS核心技术为自主研发，包括硬件、软件、通信和解决方案，控制器采用3个32位、主频500 MHz的军工级RISC芯片协同处理，内存512 MiB，性能优良。冗余的双网并发的对等网络结构，实时数据直接进操作站。实时数据传送和历史数据传送分离，提高安全性和可靠性。目前已实现DCS，现场总线系统(FCS)，SIS等产品的技术突破和产业化。

2)产品质量有保证。中控DCS硬件模块都经过严格的可靠性设计，具有多层次的环境防护能力。EMC防护能力达到Ⅲ级，并通过CE认证，所有电子部件均适用于G3严重污染的环境。所有模块都具有在线自诊断，可以分析故障位置到I/O通道级。所有模块都支持热插拔，允许在线更换故障模块，无需系统重启。硬件年返修率小于0.1%，低于国外厂商同类产品。通过隔离电路和保险丝保护，I/O模块每路通道电气隔离保护，瞬间交流/直流耐压500 V。

3)支持在线升级和扩容。中控DCS支持在线扩容和并网，通过分域管理、协同多人组态、单点在线下载和在线发布等关键技术实现了系统的无扰动在线扩容，支持在不停车的情况下在线扩展新类型模块。

4)技术和服务优势明显。经过20多年的研发和积累，技术成熟可靠，已建立设计、研发、制造、销售、工程、服务等全流程的技术队伍，同时联合中石化推广国产化应用，实现在千万吨/年炼油、百万吨/年乙烯、大型煤化工、长距离油气管输等战略性重大工程中的应用。

5)工业控制产品链完整。能提供DCS，FCS，SIS，AMS，CCS，操作数据管理系统(ODS)，操作员仿真培训系统(OTS)，MES，先进控制软件(APC)等工业控制产品，满足大型炼油化工装置的自动化控制、本质安全保护、先进控制优化、生产管理信息化等综合性要求。

国内外主流DCS产品性能对比见表1所列。

表1 国内外主流DCS产品性能对比

3 国产化替代方案

3.1 国产化替代原则

由于历史原因，进口DCS使用数量多，若一次性对所有进口系统进行国产化替代，一方面拆除投用时间较短的DCS会造成投资浪费，另一方面停机改造会影响企业的正常生产。因此国产DCS替代进口DCS，应分时间、分层次进行。主要原则如下：

1)分步实施。短期内主要解决DCS面临的备件供应风险，保证系统运行稳定；中期主要实现国产DCS对进口DCS子系统级、系统级替代，满足企业子系统损坏或扩容需求，以及生命周期末期DCS升级换代的需求；长期主要从实现DCS的标准化，可替代化，推出自主可控的控制网工业以太网协议、以及自主可控的IO总线通信协议，从根本上解决DCS的供应风险。

2)逐步替代。应以保证各企业正常生产为根本目的，在进口DCS正常运行期间，不进行整体的替换，仅替换损坏的模块，或对小规模扩容增加单个控制站，避免整体替换对企业生产带来的影响。当进口DCS到达其使用寿命的末期，需要整体升级时，再整体替换成为自主可控的国产DCS。

3)物尽其用。在替换或整体升级进口DCS时，注意保护DCS资产，如机柜、线缆、端子等使用寿命较长的物资，可以在新系统中继续使用，避免产生浪费。

3.2 系统级替代方案

系统级替代方案要注意以下几个方面：

1)统筹确定替换对象。由相关管理部门统一做好规划，制定系统级替换方案。对于在役10 a以上的DCS，采用国产成熟DCS进行整体更换。基于对生产装置的资料梳理、分析，按项目、分装置制定替换方案，明确组态设计、现场调试、利旧部件、预算成本、装置停车时间等关键要素。利用装置大修时间，分批次替换系统。优先对存在应用问题或扩容需求的进口DCS整体替换，力求对生产的影响降至最低，达到最经济的效果。

2)落实优质资源保障项目实施。针对各项目、各装置特点，由国产DCS厂商组建专门负责国外DCS替换改造项目的工程服务团队，确保安全、平稳、高质量完成系统替换。中国石化早在2008年起历时2 a实施了仪表控制系统安全隐患治理，国产厂商和企业用户均积累了丰富的改造工程实施经验，形成一套进口DCS替换项目的工程实施执行程序。在设计资料梳理、适应性的装配设计、控制程序解读、质量保证、FAT测试、进度控制等方面都能较好地满足石化行业DCS替换的实施要求。

3)可行性分析。进口DCS系统级替代方案属于成熟方案，已在现场多次实施，技术可行。系统级替代的优点： 一是国产系统成熟，在功能、性能、可靠性方面均优于或相当于进口DCS，应用可靠性高、稳定性好、维护容易，不容易出安全事故；二是采用IEC 61131-3规定的标准编程语言组态，方便原系统组态的移植及复用，并支持工控编程唯一的全球标准PLCOPEN编程标准，使编程接口标准化；三是自主可控的国产系统可显著提高控制系统的信息安全性；四是采用通用型I/O卡可有效降低升级时接线复杂度及设计复杂度。

3.3 子系统级替代方案

以逐步替代进口控制柜或控制器方式替换进口DCS的方案，存在一定风险。首先对运行故障较多或者需要扩容的进口DCS整体替换成国产DCS，淘汰下来的进口DCS部件，如主控制器、卡件等作为统一库存，调配给其他同型号在役DCS作为备件或扩容用部件。当无法采购备件时，可以选择性能可靠的国产产品，按照子系统替代方式逐步进行国产化。子系统替代方案注意事项如下：

1)替代方案。由国内厂商提出切实可行的替代方案，采用其成熟国产DCS控制器，通过OPC协议与进口DCS进行通信，实现子系统级替代。如通信接口采用和利时公司HH800i工业网闸，支持OPC，ModBus-TPC等多种工业通信协议，是专用的工业级通信设备，通信实时性优于传统通信站，接近DCS内部站间通信水平。

2)可行性分析。一是方案已初步验证可行，国产DCS在实际工程应用中已多次与进口DCS通过OPC连接通信，可实现准确通信，技术成熟、可靠性较高。通信接口采用成熟产品HH800i网关，兼具通信接口功能与信息安全功能，具备通信可靠，延时小等特点，并具备信息安全能力；二是还需要进行大量的工程验证，为达到成熟稳定的替换效果，可以进行现场工程试验以进一步验证使用效果。

3.4 卡件级替代方案

当无法获得任何进口卡件的风险时，可与国内优秀DCS厂商开展联合攻关，研究国产卡件在进口DCS中替换进口故障卡件。利用DCS支持ProfiBus-DP及ModBus总线协议的特点，使用该总线协议进行进口DCS控制器与国产I/O卡件数据通信测试，由于国产卡件和进口系统基于ProfiBus-DP及ModBus现场总线协议进行信息交互，通过工程实践，探索实现国产I/O模块与进口DCS兼容，实现所需功能。

4 结束语

面对复杂多变的国际政治经济形势，须充分认识DCS安全的重要性，基于国产DCS的迅猛发展，可以通过以上三种国产化替代方案，经过科学缜密的试验验证，稳妥实施在役进口DCS的国产化替代，化解进口DCS安全风险。

为彻底解决进口DCS安全问题，未来需要推动国内优秀厂商研发、国产芯片应用，尤其是中央处理器、PLC等核心芯片国产化应用。据了解，某国内厂商已完成“双95”国产化DCS开发工作，即国产元器件种类上占比超过95%，数量上占比超过95%，金额上占比超过90%，在某国家重点项目中已经得到应用。已完成100%国产化DCS方案设计，预计2年内完成产品开发。此外，逐步建立芯片一级国产化产业链，确保包括DCS产品生产的供应链安全，以彻底解决“卡脖子”问题。

提高企业设备管理水平，发挥规模优势，应建立中石化DCS企业标准。对DCS的系统结构、通信协议、画面组态、操作界面等方面进行统一规定，执行统一标准；通信采用通用协议，使产品硬件实现互换，产品软件实现一致，从而消除少数几家供应商断货风险，消除供应商备品备件垄断销售。