北京广利核系统工程有限公司总经理助理兼大项目总经理 孙永滨

出于对环保、生态和世界能源供应等方面的考虑，核电作为一种安全、清洁、低碳、可靠的能源，已被越来越多的国家所接受和采用，世界各国均在大力发展核电能源。据国际原子能机构预测，全球核电装机容量将在2030年增加至5100亿瓦。截至2015年底，我国在运核电机组28台，总装机容量2642.7万千瓦，发电量占全国总发电量仅3.01%，而世界核电发电量占总发电量的平均水平是10%。专家指出，“十三五”期间，我国应从战略层面进一步明确核电在优化能源结构中的支柱地位，进行规模化发展，以有效支撑到2030年非化石能源消费占比提高到20%这一目标。当前我国对核电发展的战略是从“适度发展”到“积极发展”。毫无疑问，“十三五”期间我国核电发展将进入快车道。

对于核电发展来说，安全性一直以来是最为重要的制约因素。特别是日本福岛核电站发生大规模核泄漏事故之后，核电的安全性备受质疑，各国对于核电安全的重视也达到了前所未有的高度。我国《核电安全规划（2011-2020年）》要求，按照全球最高安全要求新建核电项目，新建核电机组必须符合三代安全标准。核电站数字化仪控系统是核电站四大关键性成套设备之一，控制着整个核电站从常规岛到核岛几乎所有的阀门、开关、继电器等。它是核电站的运行中心和安全屏障，是整个核电站最关键、最核心技术的集中体现，也是大型核电装备现代化程度的重要标志。只有掌握了自动化成套控制系统的关键技术，我国核电站的安全、经济运行才能有真正的保障。

北京广利核系统工程有限公司致力于面向核电站提供数字化仪控系统的专业化解决方案。在产品设计中，安全分析贯穿了研发的整个过程，硬件采用多重化设计，软件严格执行V&V（验证与确认）测试，通讯系统实现实时确定性设计，在整体上保证了系统的功能、性能和可靠性；通过模块化结构、自诊断、带电插拔等措施确保系统的可维护性；采取多重报文过滤、病毒检测、数据验证等多种措施确保系统的安全性。其产品已经通过国内几乎所有在建和在役核电站近10年数百个项目的严格考验，产品可利用率高达99.99%，获得了用户的一致好评。

本刊记者采访了北京广利核系统工程有限公司总经理助理兼大项目总经理孙永滨，请他分析我国工业控制系统安全现状及广利核数字化仪控系统在保障核电安全方面的特色和优势。

《自动化博览》：请您分析一下当前我国工业控制系统安全现状及发展情况。

孙永滨：自工业控制系统安全（以下简称“工控安全”）这一课题被业界人士提出以来，国内外工控安全防护的理念经历了一系列的发展演变过程，总的来说可以划分为四个阶段：第一个阶段是以隔离为手段的安全防护理念；第二个阶段是纵深防御的安全防护体系；第三阶段是工业控制系统内部生长的持续性防御体系；第四阶段是以攻为守的国家战略。

一个系统的生命周期一般包括规划阶段、设计阶段、实施阶段、运维阶段以及退役/升级换代阶段，工控系统全生命周期的安全防护也会覆盖这五个阶段。如今工控安全防护已从单一的隔离阶段，过渡到了多种技术并用的纵深防御阶段，追求一种攻守兼备的防护体系。防护体系中不但要涵盖纵深防御的不同层次，还要拥有发现隐患、管理威胁、预知威胁的能力。

当下，工控安全防护体系构成层次正逐级提高。一些企业内部若出了工控安全事件，往往会自发地进行安全防护，事件也会形成一定的行业推动效应；而没有发生相关事件的企业与行业的工控安全防护意识都较为薄弱，即使意识到存在安全的威胁与隐患，也苦于找不到对症下药的手段。国内的存量在装工控系统以国外工控设备与复制国外陈旧技术的国产设备为主，相关标准照搬国外的会使我国处于一个很被动的境地。因此，整个工业自动化界正急需一个能落地的工控安全防护标准。按照国外的相关经验，此类标准应由跨政府部门的多个机构来组织推动。在国家层面驱动、行业用户推广下，以史为鉴、以实为据，凭我国现有基础设施规模和先进性完全有能力引领工控安全的技术创新和标准制定。我国工控安全防护理念的进步也将不只停留在技术人员的研究中，而是切切实实为业界所接受。最终业主与安全供应商将共同突破传统安全理念，真正助力我国工控安全。

《自动化博览》：请您介绍一下广利核的安全产品或解决方案，能为核电用户提供哪些帮助？

孙永滨：广利核公司目前有五大产品平台：FirmSys、FitRel、SpeedyHold、HOLLiAS-N和EmInfoSys。这五大产品平台可应用于不同安全等级的核电站数字化仪控系统中。其中，FirmSys（和睦系统）是核安全级DCS通用平台，主要应用于核电站控制保护系统，对核反应堆进行控制和保护，在异常工况时保证在最短时间内实现安全停堆，从而确保核电站的安全。FitRel是安全相关级产品，是保护系统的后备，当保护系统发生共因故障时，基于FitRel的多样性仪控系统（KDS）能够确保将核电站导向安全状态。SpeedyHold是核电站专用仪控系统平台，可以实现上述系统的报警处理和指示等。HOLLiAS-N是非安全级DCS平台，可用于核岛、常规岛系统和BOP的非安全级仪控系统的控制和调节。EmInfoSys是应急响应支持系统，主要应用于应付各种突发事件（包括核应急），能够有效预防和妥善应对生产安全事故，最大限度地辅助应急响应人员处理应急事件，全面提高安全生产应急救援和应急管理能力，以减少生产安全事故造成的人员伤亡和财产损失。广利核公司基于这五个产品平台构建的核电站数字化仪控系统能够满足纵深防御的保护策略，从而确保核电站的安全。

针对这五大产品，广利核公司提供自规划-研发-生产-运行-退役全生命周期的安全防护解决方案。在规划阶段，规划所有产品的协议都采用定制的私有协议，最大限度地避免了协议漏洞；在研发阶段，利用独立的研发环境进行开发设计，同时在开发过程中充分考虑产品的安全性设计，不采用无线及通用的接口方案，也不为人为接入提供后门；在生产阶段，拥有自己的产品线，所有设备的生产都在公司内完成，避免了恶意代码植入的可能；在运行阶段，提供有效的管理措施及技术措施，包括网关隔离、防火墙引入、USB禁用等手段，有效地保证了核电站的安全运行；在退役阶段，广利核公司提供设备升级、改造等服务。

同时，广利核公司非常重视内部信息安全及保密，在内部部署了专门的加密系统，对公司的各种内部文件进行加密，防止核心技术资料外泄，提高了公司的核心竞争力。

在近十年的发展中，核电工业控制系统呈现出整体开放的趋势，因此核电站工业控制系统信息安全也面临着操作系统漏洞、安全策略漏洞和应用软件漏洞的威胁和挑战，一旦这些漏洞被不良意图黑客所掌握，那么后果不堪设想。广利核的核安全级产品——“和睦系统”采用了私有通信协议与自主网络架构，涵盖所有关键信号的采集、处理和输出，所有这些通信协议和网络架构属于广利核自主创造，不同于市场上任意一种通用协议或网络架构，在一定程度上避免了来自于外部网络对安全级设备和功能的攻击。在权限控制和防止物理攻击方面，我们也开展了相关研究，力求为核电应用提供更全面的安全防护。

《自动化博览》：据您所知，国内外工业安全标准制定和实施情况如何？我国与国外有什么样的差距？在哪些方面还有待完善？

孙永滨：2000年，国际电工委员会正式发布了IEC61508电气/电子/可编程电子安全系统的功能安全标准。2006年，美国国家标准与技术研究院（NIST）分别制定了NISTSP800-82SCADA和工业控制系统安全指南；2011年，制定了NISTSP800-82工业控制系统信息安全指南，旨在指导开发商、集成商建立安全的工业控制系统。2009年，国际电工协会工业过程测量、控制与自动化/网络与系统信息安全工作组（ IEC/TC65/WG10）与国际自动化协会ISA99成立联合工作组组织制定了IEC62443工业自动化和控制系统信息安全标准，旨在应对工业自动化和控制系统信息安全挑战，以规避工业控制系统在信息安全方面的风险。据我们了解，美国、英国、法国、德国、荷兰、瑞典等国家非常重视工业控制系统信息安全标准化工作，在标准法规方面已出台了从国家法规标准到行业规范指南等一系列规范性文件。

2011年，我们国家工信部发布了《关于加强工业控制系统信息安全管理的通知》，要求加强国家主要工业领域基础设施控制系统与SCADA系统的安全保护工作也陆续有相关标准出台。同年，全国工业过程测量控制和自动化标准化技术委员会（SAC/TC124）发布了《GB/T26333-2010工业控制网络安全风险评估规范》。2012年，国务院发布《关于大力推进信息化发展和切实保障信息安全的若干意见》，明确提出要开展工业控制系统信息安全检查工作。2014年，SAC/TC124联合全国信息安全标准化技术委员会发布了GB/T30976.1-2014工业控制系统信息安全第1部分评估规范和GB/T30976.2-2014工业控制系统信息安全第2部分验收规范。

在工业领域，电力行业一直走在相关标准制定和规范的前列，2005年发布了电监会5号令《电力二次系统安全防护规定》，2014年发布了发改委14号令《电力监控系统安全防护规定》。工业控制系统是国家重要基础设施（如电力、交通、能源、通信、水利等）的“大脑”和“中枢神经”。 从总体上看，我国工控系统信息安全防护体系建设滞后于工控系统建设，在防护意识、防护策略、防护机制、法规标准、防护检测等方面都存在不少问题，涉及工控系统的信息安全工作需要继续加大投入。

未来一段时期内，我国在工控安全标准完善上要做的工作主要有以下几个方面：分析工业控制系统信息安全保障体系建设需求，基于国家信息安全标准体系框架，建立工业控制系统信息安全标准体系总体框架；在标准体系框架内梳理现有信息安全标准在工业控制系统建设中的应用关系，确定工业控制系统信息安全标准体系中强制使用和推荐使用的标准目录，并开展重点标准的研制规划，逐步完善标准体系。

在核电站工业控制系统领域，我国应多部门、多专业领域联合起来，加强针对核电站工业控制系统的安全标准和建设标准等的顶层设计。并且，研究核电站工业控制系统的安全标准，为核电站工控系统的设计、建设、运维提供安全依据；搭建核电站工控系统测试平台，解决核电站工控系统安全问题。

《自动化博览》：请您分享一个广利核近期在核电工业安全方面的成功案例。

孙永滨：2015年广利核公司基于华龙一号核电站DCS原型系统进行了工业安全的攻防演练。攻防演练通过对目标系统进行了潜在的风险分析，设计了典型攻击路径演示攻击者接入网络后自上而下攻击控制器的过程：攻击电脑接入控制网络，在攻击电脑上运行攻击程序；攻击程序向下经过服务器系统，进一步攻击控制器；攻击程序通过控制器，控制LED报警灯产生误报警，同时系统遭遇攻击被检测平台监测进行报警提示。引入保护原型后，对控制器进行保护，避免了恶意代码的攻击。下一步广利核公司将对保护原型做进一步研发，防护更多的恶意程序。

摘自《自动化博览》2016年2月刊