在役進口分散控制系統國產替代可行性分析

劉旸

(中國石油化工股份有限公司物資裝備部 電儀部，北京 100728)

分散控制系統(DCS)作為過程控制、生產數據監視及設備管理的主要控制系統，在石化、化工、交通、電力、冶金、國防等多個領域應用廣泛，是確?，F代工業生產安全、穩定運營的關鍵設備。

近年來，國產DCS在百萬噸/年乙烯裂解裝置、千萬噸/年煉油裝置、大型煤化工裝置上都實現了工程應用，其主要技術性能與可靠性指標已基本接近國外同類先進產品水平。由于歷史原因，國內在役DCS仍主要為美國、日本等進口產品，據中國產業信息研究網調查統計結果顯示，全國在役的重要的DCS中，國外產品占比高達75%；工業控制系統中使用的PLC，邏輯控制器等關鍵部件，國內產品市場占有率不足5%，主要為施耐德、西門子等國外品牌。

進口DCS在信息安全方面存在較大隱患，硬件在設計、制造、封裝、測試等環節存在可能被植入后門的漏洞，可利用后門遠程操控破壞生產裝置，造成停產、爆炸等重大生產事故。通過后門可以竊取工業生產數據，通過網絡傳播病毒和木馬，嚴重影響工業控制系統信息安全。在涉及國家能源安全的煉油石化行業項目建設中，如果不能實現控制系統的自主可控，則會始終處于受制于人、被動挨打的局面。

1 在役進口DCS存在的主要應用風險

1.1 DCS穩定運行受外部環境因素影響較大

隨著世界政治經濟環境的變化，尤其是近年來，爆發中美貿易戰、新冠疫情等突發事件，美國對中興、華為、大疆、大華、?？低暤戎袊髽I實施禁售，嚴重威脅中國高科技企業的供應鏈安全。如果局勢進一步惡化，出現對進口DCS的禁售，將影響在役DCS的運行和維護，系統的損壞部件無法及時替換，將導致DCS無法正常運行進而影響各行業的生產。從中長期看，將影響DCS的升級改造，老舊系統無法得到升級，DCS超期運行會影響系統運行的安全性、穩定性，生產企業新的技術、新的工藝也將無法得到實施。因此，若在供應層面沒有“備胎”計劃，將會對企業生產造成巨大的影響，甚至可能造成企業“停擺”，嚴重影響企業運營安全。

1.2 DCS安全防范等級偏低

隨著工業互聯網、云計算等新技術的出現，DCS已逐步從封閉隔離系統演進為開放交互系統，隨之而來產生了信息安全隱患。近年來，針對工業控制系統的安全事故頻發，如2010年的“震網”病毒、2012年的超級病毒“火焰”、2014年的Havex病毒等，專門針對工業控制系統的病毒爆發給用戶帶來了巨大損失。2016年11月，中國頒布了《中華人民共和國網絡安全法》；2017年5月，公安部發布GA/T 1389—2017《網絡安全等級保護定級指南》，將工業控制系統信息安全提高到國家層面，并提出了對工業控制系統信息安全的具體技術要求和管理要求。

現有的進口DCS從產品層面并沒有完全響應中國公安部的要求，而是主要沿用IT思路，通過在控制系統外圍，采用串聯或者旁路防護的方式，部署防火墻、補丁等手段進行安全加固，使得防護與控制分離，防護功能不完全，不能完全滿足信息安全等級保護的要求。

1.3 DCS軟硬件供應和服務保障存在隱患

國外DCS廠商由于目前在華的銷售量逐年下降，其在中國資源投入正逐漸減少，存在全生命周期服務質量無法保障的風險，技術服務不到位會造成較大的生產隱患。進口DCS核心技術開發業務均沒有放在中國，進口系統軟硬件一旦發生故障，故障處理的時效較低，問題分析處理的深度不足。處理問題的人員由于不了解產品的核心技術，只能進行簡單的排查，嚴重的故障及問題無法及時得到技術服務。即使聯系在國外的開發人員，由于中美時差影響，溝通效率也很差，無法有效快速地解決客戶現場問題。近年來，由于國家間的利益沖突，存在較大的斷供、停止維保和技術服務風險，在建項目或者生產擴容無法開展的風險突顯。一旦以美國為首的西方國家形成聯盟，對中國實行嚴格的出口限制政策，勢必對進口DCS的后期運維和服務造成較大影響。

1.4 進口DCS廣泛使用私有通信協議

進口DCS在控制器與I/O模塊之間的通信，均采用了私有的通信協議，而沒有采用國際標準總線協議，使得其系統本身比較封閉，如果I/O模塊發生損壞，只能使用原廠的卡件進行替換，而無法選用第三方的產品進行替代。

2 國內外主要DCS性能比對分析

2.1 進口DCS主要特點

DCS從20世紀70年代發明以來，已經發展了4代，目前主流進口DCS均為第4代產品，具備以下特點：

1)網絡結構相近。采用縱向分層架構，從縱向上使得整個工業控制系統內對安全要求不同的層級直接得到了網絡隔離，使某個局部的不可靠對整個系統構成損害的概率大幅降低；采用橫向分域的網絡架構，從橫向上將每個相對獨立的子系統劃分為一個域，既實現了危險分散，又可保證信息共享。

2)主流DCS控制器、通信、電源、I/O模塊等核心設備均采用冗余配置，單個模塊損壞不會影響系統的運行。

3)DCS數據傳輸采用點到點的通信架構，取消了傳統的服務器結構，避免了單服務器故障。

4)DCS可適應工業現場惡劣環境，適應復雜的環境電磁干擾，符合IEC 61000標準，大部分系統達到EMCⅢ級標準，防腐蝕能力滿足ISA S71.04標準G3等級要求。

總體來說，進口DCS已非常成熟可靠，但部分指標存在不足，主要體現在信息安全方面不滿足中國信息安全等級保護的要求，強電防護能力較弱等方面。

2.2 和利時系統主要特點

1993年，和利時率先推出中國第一套自主知識產權的DCS分布式控制系統，經過20多年的發展，現在和利時主推的MACS-K DCS從性能指標、產品功能、產品可靠性方面以及產品安全性方面，均已達到或優于進口品牌的DCS。在中安聯合煤化工、海南煉化PX等大型化工項目中已得到成功應用。和利時DCS具備以下特點：

1)高可靠性。一是采用全冗余設計，系統的各個組件，包括系統網、IO-BUS總線、控制器、電源模塊、I/O模塊、歷史站均可冗余配置；二是診斷技術全面，現場控制站和I/O模塊均帶有智能自診斷單元，所有類型的故障，如通信、斷線、短路、超量程等都可以被檢測并及時上報到操作站；三是具備多重隔離技術，系統供電與現場供電隔離，通道故障隔離。

2)高安全性。一是控制器CPU采用PowerPC構架工業級芯片，基于實時操作系統，內置防網絡風暴組件，采用多比特位開關量和信號質量判斷，故障導向安全；二是采用安全系統設計理念，如信號判斷、故障導向安全，提高系統可靠性，支持熱插拔，具有防混淆，通過增強型底座提供交流220 V通道防護；三是設有失效安全技術，整個系統遵循安全設計理念，邏輯計算之前進行信號質量驗證，故障時輸出可以自動切換到預先設定的安全值，可支持ECC內存錯誤檢測；四是信息安全有保障，通過工業安全網閘、工業防火墻、工業入侵檢測系統、工業網絡審計系統、工業日志審計系統、工業白名單、工業主機加固、工業安全管理平臺等多種手段，從身份鑒別、訪問控制、安全審計、通信完整性、通信保密性、軟件容錯、資源控制等方面，為主控制器及上位機組態軟件提供信息安全保障。

3)保持技術先進性。一是組態智能化，如組態向導功能，系統交叉引用信息的自動生成等；二是具備協同組態能力，可由多名工程師對同一個工程協同組態，在超大型項目實施過程中可以保證多人同時協同工作；三是能提供高級功能，例如眾多的先進控制模塊、專用控制模塊、系統函數調用接口等。

4)具備強大開放性。一是支持OPC接口，支持ODBC，工業以太網等開放的網絡結構，提供Web接口。二是MACS V6系統可以與和利時的其他產品，包括： 機組優化控制系統(CCS)，安全儀表系統(SIS)，可編程邏輯控制器(PLC)，儀表設備管理系統(AMS)，Batch，iODS，數據采集與監控系統(SCADA)，RMIS，生產執行管理系統(MES)等進行無縫集成，為用戶提供整體解決方案。三是支持Profibus-DP/PA，Modbus-RTU/TCP，HART等多種設備接入；畫面支持第三方ActiveX組件，便于擴展；支持在線啟用第三方應用程序；支持自定義功能塊、自定義面板、自定義符號。四是系統實現平臺化，支持多種行業包與多語言，系統可兼容和利時FM，SM系列I/O模塊，保護用戶的既有投資。

5)適應惡劣環境。系統適應復雜的工業環境，符合IEC 61000標準，系統防腐蝕能力滿足ISA S71.04標準G3等級要求，系統可靠性滿足中國船級社認證要求。和利時I/O模塊具備防交流220 V強電誤接能力，誤接時模塊不會損壞。返修率低至0.4‰。

2.3 中控DCS主要特點

經過20多年的發展，浙江中控DCS產品技術和服務能力已和國外主流廠商相當，在石化、化工等行業市場份額已超過了國外廠商。同時，中控與國外廠商的競爭已經從價格競爭上升到“產品性能、服務水平、品牌信譽”的競爭。中控DCS在可靠性、安全性、先進性、開放性、擴展性、質量管控方面具有顯著的優勢。中控DCS具備以下特點：

1)自有技術。中控DCS核心技術為自主研發，包括硬件、軟件、通信和解決方案，控制器采用3個32位、主頻500 MHz的軍工級RISC芯片協同處理，內存512 MiB，性能優良。冗余的雙網并發的對等網絡結構，實時數據直接進操作站。實時數據傳送和歷史數據傳送分離，提高安全性和可靠性。目前已實現DCS，現場總線系統(FCS)，SIS等產品的技術突破和產業化。

2)產品質量有保證。中控DCS硬件模塊都經過嚴格的可靠性設計，具有多層次的環境防護能力。EMC防護能力達到Ⅲ級，并通過CE認證，所有電子部件均適用于G3嚴重污染的環境。所有模塊都具有在線自診斷，可以分析故障位置到I/O通道級。所有模塊都支持熱插拔，允許在線更換故障模塊，無需系統重啟。硬件年返修率小于0.1%，低于國外廠商同類產品。通過隔離電路和保險絲保護，I/O模塊每路通道電氣隔離保護，瞬間交流/直流耐壓500 V。

3)支持在線升級和擴容。中控DCS支持在線擴容和并網，通過分域管理、協同多人組態、單點在線下載和在線發布等關鍵技術實現了系統的無擾動在線擴容，支持在不停車的情況下在線擴展新類型模塊。

4)技術和服務優勢明顯。經過20多年的研發和積累，技術成熟可靠，已建立設計、研發、制造、銷售、工程、服務等全流程的技術隊伍，同時聯合中石化推廣國產化應用，實現在千萬噸/年煉油、百萬噸/年乙烯、大型煤化工、長距離油氣管輸等戰略性重大工程中的應用。

5)工業控制產品鏈完整。能提供DCS，FCS，SIS，AMS，CCS，操作數據管理系統(ODS)，操作員仿真培訓系統(OTS)，MES，先進控制軟件(APC)等工業控制產品，滿足大型煉油化工裝置的自動化控制、本質安全保護、先進控制優化、生產管理信息化等綜合性要求。

國內外主流DCS產品性能對比見表1所列。

表1 國內外主流DCS產品性能對比

3 國產化替代方案

3.1 國產化替代原則

由于歷史原因，進口DCS使用數量多，若一次性對所有進口系統進行國產化替代，一方面拆除投用時間較短的DCS會造成投資浪費，另一方面停機改造會影響企業的正常生產。因此國產DCS替代進口DCS，應分時間、分層次進行。主要原則如下：

1)分步實施。短期內主要解決DCS面臨的備件供應風險，保證系統運行穩定；中期主要實現國產DCS對進口DCS子系統級、系統級替代，滿足企業子系統損壞或擴容需求，以及生命周期末期DCS升級換代的需求；長期主要從實現DCS的標準化，可替代化，推出自主可控的控制網工業以太網協議、以及自主可控的IO總線通信協議，從根本上解決DCS的供應風險。

2)逐步替代。應以保證各企業正常生產為根本目的，在進口DCS正常運行期間，不進行整體的替換，僅替換損壞的模塊，或對小規模擴容增加單個控制站，避免整體替換對企業生產帶來的影響。當進口DCS到達其使用壽命的末期，需要整體升級時，再整體替換成為自主可控的國產DCS。

3)物盡其用。在替換或整體升級進口DCS時，注意保護DCS資產，如機柜、線纜、端子等使用壽命較長的物資，可以在新系統中繼續使用，避免產生浪費。

3.2 系統級替代方案

系統級替代方案要注意以下幾個方面：

1)統籌確定替換對象。由相關管理部門統一做好規劃，制定系統級替換方案。對于在役10 a以上的DCS，采用國產成熟DCS進行整體更換?；趯ιa裝置的資料梳理、分析，按項目、分裝置制定替換方案，明確組態設計、現場調試、利舊部件、預算成本、裝置停車時間等關鍵要素。利用裝置大修時間，分批次替換系統。優先對存在應用問題或擴容需求的進口DCS整體替換，力求對生產的影響降至最低，達到最經濟的效果。

2)落實優質資源保障項目實施。針對各項目、各裝置特點，由國產DCS廠商組建專門負責國外DCS替換改造項目的工程服務團隊，確保安全、平穩、高質量完成系統替換。中國石化早在2008年起歷時2 a實施了儀表控制系統安全隱患治理，國產廠商和企業用戶均積累了豐富的改造工程實施經驗，形成一套進口DCS替換項目的工程實施執行程序。在設計資料梳理、適應性的裝配設計、控制程序解讀、質量保證、FAT測試、進度控制等方面都能較好地滿足石化行業DCS替換的實施要求。

3)可行性分析。進口DCS系統級替代方案屬于成熟方案，已在現場多次實施，技術可行。系統級替代的優點： 一是國產系統成熟，在功能、性能、可靠性方面均優于或相當于進口DCS，應用可靠性高、穩定性好、維護容易，不容易出安全事故；二是采用IEC 61131-3規定的標準編程語言組態，方便原系統組態的移植及復用，并支持工控編程唯一的全球標準PLCOPEN編程標準，使編程接口標準化；三是自主可控的國產系統可顯著提高控制系統的信息安全性；四是采用通用型I/O卡可有效降低升級時接線復雜度及設計復雜度。

3.3 子系統級替代方案

以逐步替代進口控制柜或控制器方式替換進口DCS的方案，存在一定風險。首先對運行故障較多或者需要擴容的進口DCS整體替換成國產DCS，淘汰下來的進口DCS部件，如主控制器、卡件等作為統一庫存，調配給其他同型號在役DCS作為備件或擴容用部件。當無法采購備件時，可以選擇性能可靠的國產產品，按照子系統替代方式逐步進行國產化。子系統替代方案注意事項如下：

1)替代方案。由國內廠商提出切實可行的替代方案，采用其成熟國產DCS控制器，通過OPC協議與進口DCS進行通信，實現子系統級替代。如通信接口采用和利時公司HH800i工業網閘，支持OPC，ModBus-TPC等多種工業通信協議，是專用的工業級通信設備，通信實時性優于傳統通信站，接近DCS內部站間通信水平。

2)可行性分析。一是方案已初步驗證可行，國產DCS在實際工程應用中已多次與進口DCS通過OPC連接通信，可實現準確通信，技術成熟、可靠性較高。通信接口采用成熟產品HH800i網關，兼具通信接口功能與信息安全功能，具備通信可靠，延時小等特點，并具備信息安全能力；二是還需要進行大量的工程驗證，為達到成熟穩定的替換效果，可以進行現場工程試驗以進一步驗證使用效果。

3.4 卡件級替代方案

當無法獲得任何進口卡件的風險時，可與國內優秀DCS廠商開展聯合攻關，研究國產卡件在進口DCS中替換進口故障卡件。利用DCS支持ProfiBus-DP及ModBus總線協議的特點，使用該總線協議進行進口DCS控制器與國產I/O卡件數據通信測試，由于國產卡件和進口系統基于ProfiBus-DP及ModBus現場總線協議進行信息交互，通過工程實踐，探索實現國產I/O模塊與進口DCS兼容，實現所需功能。

4 結束語

面對復雜多變的國際政治經濟形勢，須充分認識DCS安全的重要性，基于國產DCS的迅猛發展，可以通過以上三種國產化替代方案，經過科學縝密的試驗驗證，穩妥實施在役進口DCS的國產化替代，化解進口DCS安全風險。

為徹底解決進口DCS安全問題，未來需要推動國內優秀廠商研發、國產芯片應用，尤其是中央處理器、PLC等核心芯片國產化應用。據了解，某國內廠商已完成“雙95”國產化DCS開發工作，即國產元器件種類上占比超過95%，數量上占比超過95%，金額上占比超過90%，在某國家重點項目中已經得到應用。已完成100%國產化DCS方案設計，預計2年內完成產品開發。此外，逐步建立芯片一級國產化產業鏈，確保包括DCS產品生產的供應鏈安全，以徹底解決“卡脖子”問題。

提高企業設備管理水平，發揮規模優勢，應建立中石化DCS企業標準。對DCS的系統結構、通信協議、畫面組態、操作界面等方面進行統一規定，執行統一標準；通信采用通用協議，使產品硬件實現互換，產品軟件實現一致，從而消除少數幾家供應商斷貨風險，消除供應商備品備件壟斷銷售。