限时免费放送！这才是企业应用工控系统大数据实现两化融合的正确方式

作者 | 王小玲

中国海洋石油总公司信息管理部技术中心

摘要：通过前端现场的工业控制系统产生的数据采集和利用对于企业生产运营管理具有重要的意义。除了将这些实时采集的数据应用于生产预警和维护外，是否可以利用一些大数据的手段通过集团统一的数据分析平台与管理信息相结合，以发挥其更大的作用，是本文想探讨的问题。这类问题随着企业应用数据的需求不断增强而愈发凸显。

本文在实践试点的基础上，阐述了安全收集工控实时数据并与现有管理信息数据融合的架构，其中建立工业控制系统安全管理平台能保障工业控制系统的安全、高效应用。在此过程中，如何利用分布和集中的方法来获得更好的实用效果，需要考虑数据采集安全、数据传输安全和处理性能等关键因素。

关键词：CIMS；ERP；BI；CRM；OA

当前，我国工业正处于转型升级的攻坚时期，国际产业竞争日趋激烈，核心竞争力不足、资源环境约束强化、要素成本上升等矛盾日益突出。全球范围的新一轮技术革命和产业变革正在孕育兴起。紧紧抓住重大战略期出现的新机遇，大力推动信息化和工业化深度融合，以信息化带动工业化，以工业化促进信息化，对于破解当前发展瓶颈，促进工业转型升级，走新型工业化道路；继而带动整个中国工业从根本上改变结构和格局，追赶上世界先进水平。借助这些强力有效的措施，两化进一步融合，提升了企业效益，提高了运营效率，降低了成本，实现了更加先进的生产方式，帮助企业由数字化向智能化升级。

1

实时数据库的定位及应用的基本情况

1.1

实时数据库所在的企业信息化架构中的位置

在大数据时代，生产实时数据作为大数据分析、经营管理、决策支持的重要数据来源，生产实时数据的缺失，会影响大数据分析的全面性，进而影响决策的敏捷性、前瞻性、准确性。

生产实时数据库系统是开发实时控制系统、数据采集系统、CIMS（Contemporary IntegratedManufacturing System）系统等的支撑软件。帮助企业各专业管理部门利用这些关键的实时信息，提高生产销售的营运效率。

（1）在流程行业中，大量使用实时数据库系统进行控制系统监控，系统先进控制和优化控制，并为企业的生产管理和调度、数据分析、决策支持及远程在线浏览提供实时数据服务和多种数据管理功能。

（2）实时数据库已经成为企业信息化的基础数据平台，可直接实时采集、获取企业运行过程中的各种数据，并将其转化为对各类业务有效的公共信息，满足企业生产管理、企业过程监控、企业经营管理之间对实时信息完整性、一致性、安全共享的需求，可为企业自动化系统与管理信息系统间建立起信息沟通的桥梁。

实时数据库在企业信息化架构中的位置，如图1所示。

图1 企业信息化架构

1.2

两化融合的现状

企业围绕“整合数据资源、深化系统应用”的工作主线，以生产运营信息化为重点，贴近和服务生产，促进两化深度融合，持续推进数字工厂、数字油田建设，取得了显著成效；

基于支持准确经营决策分析，实施集团新物资标准发布暨数据清理和信息系统切换，大大提高了物资主数据质量，为大数据在生产运营管理的创新应用奠定数据基础；

按照“智能油田”整体规划，稳步推进了油田设备设施完整性系统和生产智能化试点实施，智能油田建设取得初步成果；

炼化公司实施工程设计集成协同平台，逐步建立中下游工程图元库和信息规范，为中下游工程项目建设提供技术支持和“一体化交付”服务，促进“数字工厂”建设。

“数字工厂”代表了企业“两化融合”的最新成果。“数字工厂”实现了工业控制系统和企业管理系统（ERP、CRM、BI等）的集成，实现了围绕工厂经营数据、生产数据甚至包括生产实时数据的全面采集和加工处理，真正为管理者提供360度视角，未来将借助大数据技术实现全量数据分析、实时预警、精准预测等智能功能，从而实现由“数字工厂”向“智能工厂”的巨大飞跃。

在搭建包括生产经营数据及管理信息数据的分析平台过程中，自底向上主要分为如下几个层级：

（1）数据采集层：包括生产管理层、生产执行层、设备控制层和现场设备层。主要服务于数据共享和整合层。所采集的数据要以统一标准的格式进入数据共享和整合中心，以便进行下一步的大数据应用和分析。

（2）数据共享整合层：通过通用连接器将各类分布式数据连接进高性能数据仓库及大数据平台中。为下一步应用处理奠定基础。

（3）数据处理层：按照各个不同生产运营主题进行细分。

（4）数据分析层：将处理完成的数据进行建模和分析。

（5）数据展现层：通过移动App、浏览器与OA等方式进行数据分析结果的灵活展现。

图2是具体的层级示意图。

图2 企业数字工厂架构图

目前已经完成此层次架构的总体设计，并通过企业内部技术委员会的评审。后期会进行试点推广的应用。

1.3

实时数据库建设和应用存在的问题

生产实时数据库对于流程系统中生产装备等企业资产，如果没有生产实时数据的支撑，无法满足精细化装备物资管理需要，即包括对静态信息和动态信息统一管理的需要。原有系统架构中生产专业系统与管理信息系统ERP相对独立，公司管理层难以及时获取生产应用层数据，相关数据只能通过手工方式导入甚至缺失，影响报表分析和辅助决策。由于前期调研了解企业集团二级单位众多，各二级单位针对生产实时数据处理的软件多种多样，造成数据类型多种多样，故障率高，数据整合变得非常复杂。

大数据基础平台作为数据整合平台要求生产实时数据有全面数据采集能力、数据衔接能力和工具标准化数据输出能力，当数据进行互通、整合、共享后，才能通过大数据应用和分析，实现数据价值。然而，各厂商产品软件不但没有统一，功能上也存在巨大差异，有些产品只是实现了生产实时数据采集（采集性能也参差不齐），有些则仅能实现生产数据和管理数据的本地衔接，无网络远程传送功能。接口方面存在开发成本高、数据传输效率低、数据交互功能弱、数据采集效率、准确率低、数据分析及应用价值不高等问题。

随着数据积聚的增加，企业在生产实时大数据技术方面面临的困难和挑战越发明显，由于生产实时数据在大数据分析中的使用在能源行业尚处于探索阶段，是一个创新的过程，整体道路曲折，经过前期对试点的调研和验证，不止一家单位经历了从模糊到清晰，从不能到能的过程，本次项目也存在同样情况，即会存在集团内反复发生、随时转向的风险。

伴随着企业在生产实时数据库方向的重重困难和挑战，各二级单位在数据采集方面分别提出数据减负、系统整合等强烈需求。各单位希望对数据有一个统一管理的归口平台，不要让现场人员重复为多个专业系统手工采集和录入数据；需要实现实时数据的自动采集、自动生成生产日报，并实现单井测试、产量配产、外输作业、船货油舱、作业日报等报表应用；装备专业也需要进行关键设备实时状态跟踪与分析，采油气工艺、油藏动态分析专业需要电潜泵监控与分析等；作业区层面希望把现场数据通过一个平台管理起来，充分利用现场实时数据、结构化数据、文档资料等，通过系统前端展示、导出和接口自动传输等功能，满足各专业系统和各管理层级的数据需求；作业区与分公司管理层希望能实现现场生产过程的可视化管理，实现关键设备与生产流程的远程模拟、监测，方便进行远程诊断、应急支持等工作。

2

企业实时数据库及工业控制系统的解决办法

2.1

解决实时数据库问题的办法

通过对生产实时数据库产品和各二级单位现状分析和需求的理解，选择符合企业生产实时数据库要求、满足实时数据处理能力、融合管理数据能力和与SAP集成等特点的解决方案。

具体的能力指标如下：

（1）实时数据处理能力：

具备采集现场设备运行数据的能力；

具备采集其他实时数据系统数据的能力；

优异的实时数据存储能力。

（2）融合管理数据能力：

能够提供生产实时数据与管理数据融合的工具；

能够提供资产模型化视图组织工具；

能够提供面向对象的模板实例化工具；

具备依据要求提供数据呈现的能力。

（3）SAP集成：

获得过SAP认证；

能够提供标准的接口工具；

与国际领先的石油公司应用的SAP系统有过成功的结合案例（现场参数变化引发工单流程）。

同时也要遵照生产实时数据库应用的原则：

（1）分析和确定生产实时数据库部署架构的特点；

（2）有效继承生产实时数据库与报表四化体系架构；

（3）生产实时数据库的数据抽取及报表展现能力；

（4）通过生产实时数据洞察企业生产运营情况。

2.2

企业信息化架构中的工业控制系统所面临的风险

2.2.1 “两化融合”带来的风险

传统的工控系统，安全防护采用隔离网关加杀毒软件的方式：工控系统对外基本“与世隔绝”，内部被认为是一个完全可靠的安全网络；各功能区域之间很少信息传递；各个主机由于系统漏洞长期不打补丁、杀毒软件病毒特征库长期得不到升级，基本也是处于“夜不闭户”的状态。随着与信息系统的融合，工控系统与其他系统之间存在大量的信息传递，原来的控制方式则必须修正。

另外，原有的工控系统每个系统单独对用户控制，用户数量有限，并且权限清晰；一旦与信息系统融合会有大量的用户通过各种各样的方式与工艺控制系统通信，这就必须改变原有的用户安全控制方式。

2.2.2 工业控制系统的本身技术风险

工业控制系统不同于信息系统安全防护以机密性为第一目标，对于工控系统，保障系统的实时可用性才是最重要的目标，所以误阻断的情况是不可接受的。

不同的行业领域内部使用了不同的网络数据通信协议和标准，最常见的协议和标准包括ModBus、OPC、IEC-104、MMS、DNP3等，传统IT防护产品对这些协议的识别和解析无能为力，按照传统IT防护产品和解决方案也不能有效地解决工控系统化安全威胁。

2.2.3 工控制系统的安全管理风险

（1）安全意识差，导致无谓的风险；

（2）组合结构人员不完善，人才缺乏，技术水平有限；

（3）信息安全管理制度流程不完善，尤其认识不到信息系统和工业控制系统的差别，制度、流程简单粗暴起不到效果。

2.2.4 工业控制系统的安全技术风险

（1）缺乏信息安全的监控管理平台

由于意识、人员的不足，对于安全的监控完全采取人工的方式，不能及时发现问题和快速处理，尤其在两化融合后，这种滞后性进一步放大了风险。

（2）无线通信安全不足

工控系统采用无线通信带来了很大的便捷，但是忽视对于无线通信的安全问题，如未授权的用户非法接入，非法AP欺骗生产设备接入等，造成安全漏洞。

2.3

解决工业控制系统风险的办法——建立信息

系统安全管理和监控平台

依靠单一的防护系统及人工控制已经不能满足企业工控系统信息安全的需要。在两化融合的大背景下，企业积极应对信息安全风险，搭建信息安全管控平台，实现对于信息安全的实时监控，主动防御，自动处理等，逐步实现对于工控系统信息安全的深度防御。

图3为企业工控制系统信息安全管理平台架构，共分为三层：第一层为企业级层，提供企业级安全防护层；第二层为监控层，提供工业控制系统主动防御层；第三层为现场监控层，提供分级、分区，容忍入侵信息安全防护体系。

图3 企业工业信息安全管理平台架构

（1）企业层

企业层指的是远离生产一线，与管理系统相结合为企业提供全局服务的IT设备及软件系统，如生产调度、客户管理、数据管理、域名管理等功能，直接与Internet进行通讯，主要利用工业防火墙访问控制进行安全防护。

工业防火墙与传统防火墙相比，支持更加防范的通讯协议并对协议进行深度解析，表1为工业防火墙与传统防火墙的对比。

表1 工业防火墙与传统防火墙的对比

企业采用了以“白名单”制度为核心的工业防火墙技术，实现了访问控制和防火墙的集成。

“白名单”是通过提前定义好的协议规则来限制网络数据的交换，对于网络数据传输进行动态行为判断，通过对约定协议的特征分析和端口限制的方法，从根源上节制未知恶意软件的运行和传播。

（2）监控层

监控层指的是对于现场执行的系统进行主动监控及时发现问题。

主要实现了以下功能：

设备状态检测：

收集关键设备的状态信息，将采集到的数据与标准数值相比及时发现问题并提供可能的原因分析。

工业网络状态实时监控：

针对工业网络内的计算机进行实时监视和控制，针对内部的电脑上互联网活动（上网监控）以及非上网相关的内部行为与资产等过程管理（内网监控）。

网络日志检索分析：

针对历史网络日志进行检索，查探用户行为，发现规律，追踪原因。

网络攻击检测：

识别并坚持工控协议攻击、TCP/IP攻击、网络风暴、参数阈值检测。

关键事件检测：

如对工程师站组态变更、操控指令变更、PLC程序下装以及负载变更等关键事件报警。

（3）现场控制层

现场控制层的信息安全是工业控制系统信息安全防护的重中之重。针对现场控制层入侵攻击众多，攻击后果严重，并且控制系统结构复杂、工艺过程复杂的特点，采用分区、分级的信息安全防护可有效地阻断攻击影响传播，保护系统重要组件和工艺流程。

此外，由于工业控制系统属于信息物理融合系统，信息攻击可导致物理故障，甚至引发重大安全事故，造成人员伤亡和社会负面效应。故现场控制层信息安全防护必须具备容忍入侵的能力，以保证在入侵攻击下，系统仍能降级运行或安全停机。

容忍入侵使得系统在受到攻击时，即使系统的某些部分或部件已经受到破坏，或者被恶意攻击者操控，系统仍能够触发防止这些人侵或者破坏造成系统安全失效的机制，从而仍然能够对外继续维护正常运行（可能是以降级模式），提供核心或者系统的基本服务，以保证系统基本功能。

企业采用了基于冗余机制的入侵容忍机制，采用多网关，多服务冗余的方式保障入侵容忍，如图4所示。

图4 企业入侵容忍系统示意图

综上所述，本文探讨了企业在两化融合的大背景下，建立实时数据库及工业控制系统信息安全管理平台的具体方法，其中实时数据的应用和分析是我们的最终目的，而工业控制系统是提供上层两化融合应用的重要系统和基石，为了保障上层的数据分析和应用，建立工业控制系统信息安全平台具有如下重要意义：

（1）统一不同工业控制系统之间的技术路线，实现了工业控制系统多种多样协议的解析，保障了系统之间的通信，从而奠定了技术基础；

（2）实现了工业控制系统信息安全的实时、在线监控，大幅提高了工作效率；

（3）利用信息技术将管理制度、工作流程固化下来，改变过去无章可循，无工作规范的现象；

（4）通过优化信息安全工作流程，逐步明确了各部门的责任；

（5）通过管理平台积累信息安全问题的相关数据，逐步探究原因，提升管理水平。

在建设工业控制系统信息安全管理平台及实时数据采集平台过程中，有很多问题还需要解决，如工业控制系统的覆盖面不够广，数据汇集度不高；没有实现对于信息安全事件的闭环管理；还未建成信息安全的知识库；利用冗余技术的入侵容忍系统需要进一步提高效率；流程制度建设也处于初级阶段，需进一步优化完善，这对于企业来说也是一项需要长期不断提升和改进的任务。

• end •

本文转自《自动化博览》杂志2016年11月增刊

如需合作或咨询，请联系工业安全产业联盟小秘书微信号：ICSISIA20140417

扫我扫我，等你哦~