长输供热工程工控安全防护解决方案

(整期优先)网络出版时间:2023-08-17
/ 2

长输供热工程工控安全防护解决方案

许鹏

天津津滨能源有限公司 天津市  300000

摘要:在“智能化、智慧化运营”理念的推动下,将以PLC/DCS、分布式SCADA系统为代表的工控系统应用到城市长输供热工程,结合长输供热工程运营业务情况,运用“大数据、物联网”等先进技术,并与上层信息化系统相融合,为长输供热工程的热力调度、供热综合分析、辅助决策提供依据。基于此,本文结合某长输供暖项目对长输供热工程工控安全防护解决方案做了详细阐述。

关键词:长输供热工程;工控安全;安全防护

引言

随着居民对生活水平要求的提升,供热逐渐成为部分城市的重点作业,而在供热环节,供热工程作为常见的管网布设形式一直是供热管道的设计类型。但是,市政工程一般规模较大,承担整个城市的供热需求,所以,实际的发展过程中,长输供热工程的安装以及布设就涉及诸多方面,具有一定的难度。在此背景下,现阶段的长输供热工程施工安全就存在一些问题,在一定程度上制约管网设计的落实。因此,研究长输供热工程工控安全防护解决方案具有重要的现实意义。

1供热工程特点

1.1 工期紧张,交叉作业

工期紧张以及交叉作业是现阶段长输供热工程施工的主要特点。一方面,长输供热工程的规模较大,需要大量的施工人员以及施工设备,再加上其技术性较强,需要在城市规划的背景下进行管线布设以及安装作业,影响因素较多,在一定程度上增加施工周期。施工规划周期短,再加上施工难度大的实际情况,就导致现阶段的长输供热工程施工具有工期紧张的特点,进行科学的策划、组织、管理,高效地协调和实施,有效地控制,投入足够的机械、人力及周转材料就成为现阶段供热管网施工发展的关键,需要相关人员对其加强研究。另一方面,在实际施工阶段,由于长输供热工程的施工涉及面较广,其作业还呈现出交叉性的特点。首先,供热管网的工程所涉及的专业队伍较多、交叉作业多,协调管理是保证工程顺利施工的难点之一,需整体考虑,有效疏解交通,各部门密切配合,合理安排施工流程。所以,现阶段的供热管网施工就是各种工程相互集成的作业,不仅施工技术相互交叉,施工环节以及流程也呈现出交叉的状态。

1.2 作业空间有限,焊接要求高

不同于其他市政工程,长输供热工程的安装作业一般施工环境受限,空间较为狭窄,所以对于焊接的质量要求较高,在很大程度上制约作业的开展。一方面,长输供热工程是指由城市集中供热热源向热用户输送和分配供热介质的管线系统,热网由输热干线、配热干线、支线等组成。输热干线自热源引出,一般不接支线;配热干线自输热干线或直接从热源接出,通过配热支线向用户供热。所以,管线一般较为集中,施工人员需要在较为狭窄的空间内完成各种管线的安装,难度较大。另一方面,为了保证管线功能,管网的焊接也是作业难点之一,现阶段的供热管网纵横交叉,需要相关人员按照其走向进行焊接,很容易出现漏点状况。而且供热管网承担热量运输,焊接量大的同时质量要求较高,进一步增加焊接的难度。

1.3 直埋管段基坑开挖难度大

长输供热工程的施工一般在地下进行,再加上市政区域内建筑工程较多,现阶段的城市供热管网一般设计在道路以及绿化的设施下,空间有限,协调具有一定的难度,需要相关人员加强对现场平面布置以及交通动态规划的重视。尤其是对于直埋的管道基坑的施工,由于其施工既需要加强对管线平面位置以及立体高度的距离把控,又需要对周围土层的结构变形进行控制,规避可能存在的环境风险,所以该环节的作业难度较大,在很大程度上影响相关作业的开展,需要工作人员按照设计图纸要求进行施工作业,规避可能出现的失误。

2长输供热工程简介

该长输供热工程建设输送干线2×DN1000供热管道,路由长度约15km;建设输送支线2×DN800供热管道,路由长度约20.5km;建设输送支线2×DN700供热管道,路由长度约6.5km;配套建设能源站3座,分别为1号能源监控站、2号能源监控站及3号能源监控站,并在1号能源监控站综合楼内设置综合管网调度中心。本项目中的工业控制系统主要以PLC/DCS、SCADA系统、现场执行设备、传感器为主,网络结构以站控工业局域网(双网冗余)、调度控制环网、专线(运营商专线)为主;智能化信息系统位于能源分配中心,可在监视供热工程运行关键工艺参数的同时,利用大数据、智能算法模型技术为热能调度提供决策依据。

该长输供热工程的工控安全防护主要以综合管网调度中心、1号能源监控站、2号能源监控站及3号能源监控站的供热调度系统和站控系统及其工业网络为主,从计算环境安全、通信网络安全、区域边界安全、生产运营安全的角度出发,建立工控安全主动防御体系,如图1所示。

图1 长输供热工程流程图

3整体解决方案

依据工控网络安全建设相关政策、标准、指南等文件要求,充分结合长输供热工程业务安全的真实需求,对保护对象进行区域划分和定级,并从通信网络防护、区域边界防护、计算环境防护等各方面对其进行不同级别的安全防护设计;同时利用安全管理手段保障安全防护的有效协同及一体化管理,保障安全技术措施有效运行和落地;通过“事前预警、事中管控、事后处置、安全运营”的安全设计思想,构建工控网络安全主动防御防护体系,突出技术思维和立体防范,注重全方位主动防御、整体防控和精准防护。

从长输供热工程综合管网调度中心SCADA系统及能源站站控系统的各类安全边界、区域内网络审计、计算终端安全、主动防御和安全运营的防护角度,在不影响长输供热工程业务运营的情况下部署工业防火墙、工业边界防火墙、计算终端安全一体化装置、外来设备准入管控装置和工控安全管理一体化装置。同时,合理规划安全策略及安全能力输出,发挥工控网络安全设备应有的功能及作用,为长输供热工程工控网络安全提供保障。

区域边界安全:在能源站和监控中心的网络边界划分安全区域,在安全区域边界部署工业防火墙设备,实现域间访问控制;把区域内部与工控网络有联系的其他系统作为域内边界,使用工业防火墙进行安全防护,落实边界安全防护措施;在安全区域边界进行访问控制及安全隔离的同时,分析进入安全区域的网络数据包,实时监测数据流,并使用模式匹配、统计分析等技术检测攻击行为,当发现可疑行为时,可及时作出告警、响应。

通信网络安全:对安全区域内的核心网络流量及工业通信数据进行深度解析、审计,对安全域工控网络的流量违规行为、无流量以及高流量行为进行预警;同时在安全区域内网中释放大量高仿真的虚假节点和虚开端口,通过层层预警、攻击捕获等技术手段保障区域工控网络的通信安全。

计算环境安全:在安全域内的计算环境(终端及服务器)部署工控安全管理一体化装置的客户端,实现计算环境(终端及服务器)的白名单管控功能,阻止恶意程序的入侵及发作,并将计算环境(终端及服务器)进行系统、应用、数据按数据节点同步进行整体实时备份;对所有接入计算环境(终端及服务器)的USB外设进行病毒查杀和管控,杜绝因外来设备的使用导致恶意程序的传播;对于计算环境(终端及服务器),均须通过工控安全管理一体化装置进行运维,并对运维行为进行实时监控与录屏,发现不法行为可直接阻断;全面、精准地检测安全域内计算终端中存在的各种脆弱性问题,包括各种安全漏洞、安全配置问题、不合规行为等,在信息系统受到危害之前为管理员提供专业、有效的漏洞分析和修补建议,并结合可信的漏洞管理流程对漏洞进行预警、扫描修复、审计,防患于未然;各种网络设备、网络安全设备、主机等,通过资产管理、运行状态监控、日志收集和存储、事件分析和告警以及配置管理等方式,对事件进行范式化和合并,并为用户展示最有价值的数据信息;数据库可以存储各种设备的基本情况、运行状态、安全日志信息等,以资产管理、资产性能和可用性监测、日志管理以及资产配置四个方面对工控网络进行风险研判及态势感知。

结语

综上所述,工控网络安全建设不仅仅是合规,要深度结合工业企业业务的“事前防御、事中管控、事后处置、安全运营”主动防御体系,顺应智能制造2025”大背景下的业务发展。

参考文献

[1]王鼎力,徐平平,孙洪治等.长输供热工程热网调节方式选择与效果分析[J].化工管理,2022,No.616(01):164-168.

[2]齐卫雪,岳斌,荆剑.浅谈太古长输管线集中供热工程自控系统[J].区域供热,2019,No.199(02):23-27.