随着经济和城市化的不断发展,各种垃圾排放量与日俱增,“垃圾围城”的问题也成为了全世界各国面临的主要难题之一。所以垃圾处理技术尤其是垃圾焚烧发电技术的研发已经成为未来全球发展和稳定的大趋势。
我国的垃圾焚烧发电技术目前在全球已处于领先地位,中国建造的垃圾发电厂不用烧煤,一年就可以处理掉300多万吨垃圾,发电量可以达到15亿,特别是我国自主研发的垃圾焚烧炉技术,已经由固定炉排垃圾焚烧炉发展成循环流化床锅炉,让很多西方国家都刮目相看。
垃圾发电作为国家关键信息基础设施,是金融、通信、交通、供水、供气等领域基础设施安全可靠运行的基础。电力系统的安全运行,与政治安全、经济安全、网络安全、社会安全等诸多领域密切关联,一旦发生大面积停电事件,可能引发跨领域连锁反应,导致重大经济财产损失,甚至引发社会恐慌,危及国家安全。
业务逻辑架构
垃圾发电厂是利用燃烧城市垃圾所释放的热能发电的火电厂。垃圾发电与常规火力发电基本过程相同,但需设置密闭垃圾堆料仓,以防止污染环境;需设辅助燃料油供给系统,以解决垃圾热值低难以点燃的问题;废气要严格净化处理,以防止二次污染;需有一套特殊的废水处理系统,以处理卸料车、卸料间的冲洗废水。
垃圾电厂的网络结构一般由基础控制层、监控层(DCS)、监控管理层(SIS)、信息管理层(MIS)组成,厂级SIS以下属于过程控制层,厂级SIS及MIS属于工厂管理层。
根据垃圾发电厂工艺流程的特点,自动化控制系统主要由分散控制系统(DCS)、焚烧炉燃烧控制系统(SIGMA)、启动燃烧器及辅助燃烧器系统、烟气连续测量监视系统、汽轮机控制系统(DEH)、汽轮机紧急跳闸系统(EST)、汽轮机安全监视系统(TSl)、辅助车间控制系统(化学水及废水处理控制系统、垃圾抓斗控制系统、除灰控制系统等)及电视监视系统等几部分组成。
而分散控制系统主要由控制站、数据通讯总线和人机接口设备等三部分构成。分散控制系统是主要的控制系统,其功能包括数据采集、闭环控制、开环顺序控制和联锁保护等。
焚烧炉燃烧控制系统(SIGMA)为垃圾焚烧发电厂自控系统的核心部分,该系统一般由垃圾焚烧炉生产厂家自己配供,其功能由单独的PLC来实现,并能与DCS通讯,通过DCS的CRT进行监控。
启动燃烧器及辅助燃烧器系统通过硬接线与SIGMA系统交换信息,其他系统或通过与DCS系统进行通讯或与DCS硬接线交换信息,最后统一由DCS进行监控。
安全防护思路
依据36号文《电力监控系统安全防护总体方案》的总体框架和基本原则以及附件4《发电厂监控系统安全防护方案》的有关要求,结合光伏发电机控制系统面临的安全问题,以等保2.0“一个中心,三重防护”为指导思想,中电安科提出以适度安全为核心,重点保护为原则,从业务的角度出发,重点保护垃圾发电厂核心业务系统的工控安全建设方案。
安全防护总体架构
具体安全架构设计如下:
核心安全设备描述如下:
边界防护:在安全I区和安全II区之间部署工控防火墙,通过防火墙接口划分不同的安全域,实现不同系统之间的逻辑隔离。
监测审计:在安全I区和安全II区的交换机旁路部署工控安全监测审计系统,工控安全监测审计系统对工控流量进行监测分析,识别出工控协议,并对工控协议深度解析,同时将违规操作、非法操作和程序下载、IP变更、组态变更、PLC启停等关键事件以及病毒、木马、黑客等攻击行为数据传送到部署在安全II区的安全管理平台中。
终端安全:在安全I区和安全II区的操作员站、工程师站等工业主机上安装部署终端安全管理系统,在安全II区部署终端安全管理服务端。管理系统对终端安全管理客户端进行统一管理与监控、策略下发、异常报警等。实现对工业主机的进程白名单管理,对流量、USB口管控,有效抵御未知病毒、木马、恶意程序、非法入侵等针对终端的攻击,实现工业主机安全防护与加固。
安全运维:在安全II区旁路部署运维堡垒机,进行集中账号管理、集中登录认证、集中用户授权和集中操作审计。实现对运维人员的操作行为审计,违规操作、非法访问等行为的有效监督,为事后追溯提供依据。
安全管理:在安全II区部署安全管理平台,实现对工控防火墙、工控安全监测审计、终端防护等安全产品统一管理与监控。
安全管理平台中的日志审计功能,实现对安全I区和安全II区的各网络设备、安全设备、工控设备以及操作系统、数据库、应用系统的日志信息进行集中收集与分析。
客户价值
为垃圾发电厂控制系统提供安全防护能力,抵御黑客及恶意代码对控制系统发起的攻击和破坏,降低因攻击造成的损失。
通过可视化的安全信息展现,安全组件的统一管理,提供便捷的安全管理手段,为安全运维人员减轻工作量。
深度解析工控协议和操作行为,对控制系统中的通信协议深度理解形成基线,并识别偏离基线模型的攻击行为。
落实国家关键基础设施保护和国家能源局对发电企业电力监控系统安全防护要求,为电力安全生产保驾护航。
