工业控制系统的输入与输出信号

工业控制系统的输入与输出信号

工业生产过程实现计算机控制的前提是，必须将工业生产过程的工艺参数、工况逻辑和设备运行状况等物理量经过传感器或变送器转变为计算机可以识别的电信号（电压或电流）或逻辑量。

传感器和变送器输出的信号有多种规格，其中毫伏（mV）信号、0~5V电压信号、1~5V 电压信号、0~10mA电流信号、4~20mA电流信号、电阻信号是计算机测控系统经常用到的信号规格。在实际工程中，通常将这些信号分为模拟量信号和数字量信号两大类。

针对某个生产过程设计一套计算机控制系统，必须了解输入输出信号的规格、接线方式、精度等级、量程范围、线性关系、工程量换算等诸多要素。

1．模拟量信号

许多来自现场的检测信号都是模拟信号，如液位、压力、温度、位置、PH值、电压、电流等，通常都是将现场待检测的物理量通过传感器转换为电压或电流信号；许多执行装置所需的控制信号也是模拟量，如调节阀、电动机、电力电子的功率器件等的控制信号。

模拟信号是指随时间连续变化的信号，这些信号在规定的一段连续时间内，其幅值为连续值。

模拟信号有两种类型：一种是由各种传感器获得的低电平信号；另一种是由仪器、变送器输出的4~20mA的电流信号或1~5V的电压信号。这些模拟信号经过采样和A/D转换输入计算机后，常常要进行数据正确性判断、标度变换、线性化等处理。

模拟信号非常便于传送，但它对干扰信号很敏感，容易使传送中信号的幅值或相位发生畸变。因此，有时还要对模拟信号做零漂修正、数字滤波等处理。

模拟量输出信号可以直接控制过程设备，而过程又可以对模拟量信号进行反馈。闭环PID控制系统采取的就是这种形式。模拟量输出还可以用来产生波形，这种情况下D/A变换器就成了一个函数发生器。

模拟信号的常用规格：

1）1~5V电压信号

此信号规格有时称为DDZ-Ⅲ型仪表电压信号规格。1~5V电压信号规格通常用于计算机控制系统的过程通道。工程量的量程下限值对应的电压信号为lV，工程量上限值对应的电压信号为5V，整个工程量的变化范围与4V的电压变化范围相对应。过程通道也可输出1~5V电压信号，用于控制执行机构。

2）4~20mA电流信号

4~20mA电流信号通常用于过程通道和变送器之间的传输信号。工程量或变送器的量程下限值对应的电流信号为4mA，量程上限对应的电流信号为20mA，整个工程量的变化范围与16mA的电流变化范围相对应。过程通道也可输出4~20mA电流信号，用于控制执行机构。

有的传感器的输出信号是毫伏级的电压信号，如K分度热电偶在l000℃时输出信号为41.296mV。这些信号要经过变送器转换成标准信号（4~20mA）再送给过程通道。热电阻传感器的输出信号是电阻值，一般要经过变送器转换为标准信号（4~20mA），再送到过程通道。

对于采用4~20mA电流信号的系统，只需采用250Ω电阻就可将其变换为1~5V直流电压信号。

有必要说明的是，以上两种标准都不包括零值在内，这是为了避免和断电或断线的情况混淆，使信息的传送更为确切。这样也同时把晶体管器件的起始非线性段避开了，使信号值与被测参数的大小更接近线性关系，所以受到国际的推荐和普遍的采用。

在程序中如何显示工程量？

假设温度传感器如Pt100检测温度量，将传感器接到温度变送器上，将温度信号转换为1∽5V电压信号（如果是4∽20mA电流信号，可经250Ω电阻将电流信号转换为1∽5V电压信号），温度变送器的测量范围是0∽200℃，如下图所示。

由上可知：0℃对应1V，200℃对应5V，温度与电压成线性比例关系。假设x表示温度，y表示电压，则电压y与温度x之间的数学关系式为：

y=1+0.02x

将电压送入计算机后，可以通过编程获得电压值y，只需再增加1条语句即可将电压转换为温度x，使用下面算法：

x=(y-1)*50

这样，程序画面中就可显示温度值x。

如果工程量转换后的电压值不是标准量，只要电压与工程量成线性比例关系，同样可用上述方法来处理。

2．数字量信号

有许多的现场设备往往只对应于两种状态，例如，按钮、行程开关的闭合和断开、马达的起动和停止、指示灯的亮和灭、仪器仪表的BCD码、继电器或接触器的释放和吸合、晶闸管的通和断、阀门的打开和关闭等，可以用数字（开关）输出信号去控制或者对数字（开关）输入信号进行检测。

数字（开关）信号是指在有限的离散瞬时上取值间断的信号。在二进制系统中，数字（开关）信号是由有限字长的数字组成，其中每位数字不是0就是1。数字（开关）信号的特点是，它只代表某个瞬时的量值，是不连续的信号。数字（开关）信号的处理主要是监测开关器件的状态变化。

开关量信号反映了生产过程、设备运行的现行状态、逻辑关系和动作顺序。例如：行程开关可以指示出某个部件是否达到规定的位置，如果已经到位，则行程开关接通，并向工控机系统输入1个开关量信号；又如工控机系统欲输出报警信号，则可以输出1个开关量信号，通过继电器或接触器驱动报警设备，发出声光报警。如果开关量信号的幅值为TTL/CMOS电平，有时又将一组开关量信号称之为数字量信号。

数字（开关）量输入信号有触点输入和电平输入两种方式。触点又有常开和常闭之分，其逻辑关系正好相反，犹如数字电路中的正逻辑和负逻辑。工控机系统实际上是按电平进行逻辑运算和处理的，因此工控机系统必须为输入触点提供电源，将触点输入转换为电平输入。数字（开关）量输出信号也有触点输出和电平输出两种方式。输出触点也有常开和常闭之分。

数字（开关）信号输入计算机后，常常需要进行码制转换的处理，如BCD码转换成ASCII 码，以便显示数字信号。

对于数字（开关）量输出信号，可以分为两种形式：一种是电压输出，另一种是继电器

输出。电压输出一般是通过晶体管的通断来直接对外部提供电压信号，继电器输出则是通过继电器触点的通断来提供信号。电压输出方式的速度比较快且外部接线简单，但带负载能力弱；继电器输出方式则与之相反。对于电压输入，又可分为直流电压和交流电压，相应的电压幅值可以有5V 、12V 、24V 和48V 等。

如何实现数字（开关）量输入？ 见下面的图：

如何实现数字（开关）量输出？

如果是电压输出，可用下面的图实现控制：

数字量输出端口接三极管基极，当计算机输出控制信为高电平时，三极管导通，继电器常开开关KM 闭合，指示灯亮；当输出为低电平时，三极管截止，继电器常开开关KM 打开，指示灯灭。

如果是继电器输出，可用下面的图实现控制：

+

_

24V 接近开关

电气开关

_

24.分散控制系统失灵应急预案

分散控制系统（DCS）失灵应急预案 （指导性范本） 中国华能集团公司编制 2006年12月

目录 1 总则 (1) 1.1编制目的： (1) 1.2编制依据： (1) 1.3分散控制系统失灵： (1) 1.4适用范围： (1) 2 事故类型和危害程度分析 (1) 2.2分散控制系统通信异常，导致信息传输中断； (2) 3 应急处置基本原则 (2) 4 应急处置体系 (3) 4.1应急组织机构 (3) 4.2应急指挥领导小组职责： (3) 4.3应急工作小组职责： (4) 5 预防与预警 (4) 5.1危险源监控点 (4) 5.2危险预防 (5) 5.3预警 (7) 5.4预警程序 (7) 6 应急处置 (8) 6.3.16检查并确认轻油快关阀、所有油枪轻油阀已关闭； (9) 7 事故处理恢复 (10) 8 事故调查分析与整改 (10)

分散控制系统（DCS）失灵应急预案 1 总则 1.1编制目的： 为防止分散控制系统失灵导致事故扩大，避免由于分散控制系统故障导致设备损坏事件的发生，特制定本预案。 1.2编制依据： 本应急预案依据《火力发电厂（热工控制系统）设计技术规程》、《火力发电厂分散控制系统运行检修导则》、《火力发电厂热工仪表及控制装置技术监督规定》、《中国华能集团公司重大突发事件（事故）应急管理办法》等结合《防止电力生产重大事故的二十五项重点要求》编写。 1.3分散控制系统失灵： 指分散控制系统硬件、软件以及系统出现故障导致锅炉、汽轮发电机组本体设备、辅助设备、其他相关系统及设备的控制故障，造成设备被迫停止运行，对机组运行及设备健康状况构成严重威胁的事件。 1.4适用范围： 本应急预案适用于华能集团公司所辖的火力发电厂分散控制系统失灵事件的应对工作。 2 事故类型和危害程度分析 2.1分散控制系统硬件故障，导致控制信号消失或对控制对象失去控制；

控制系统专项应急预案

控制系统事故应急预案 编制： 审核： 审批：

一、总则 1、目的: 为确保DCS系统安全、连续、稳定运行，防范突发事故发生，积极应对突发事故，高效、有序地组织事故处理，最大限度的缩短事故处理时间，确保操作人员人身和设备的安全，减少财产损失，根据DCS 系统安全运行的要求及特点，制定本应急预案。 2、编制依据: 山东军胜化工有限公司总体应急预案。 3、预案适用范围: 全厂DCS系统。 4、事故处理原则: （1）迅速、有效、有序地处理事故，事故应急工作实行分级负责制，按照《预案》要求，履行职责，密切配合，分工协作。 （2）事故发生后，操作人员应沉着、冷静、迅速地采取措施，保证DCS系统事故处理工作有序、果断。 （3）凡不是参加处理事故的人员，禁止进入发生事故的地点，事故时只准许参加处理事故的人员和主管领导进入、停留在事故地点或主控室内。

二、应急领导小组及应急情况报告： 1、应急领导小组情况 2、应急情况报告的基本原则：快速、准确。 3、报告内容：事故发生后控制室操作人员立即汇报生产班长、生产调度、DCS工程师、分管生产副总，事故发生的时间、地点；事件危害程度、范围；事件的简要经过。 三、预防措施 1、DCS维护人员要坚持“预防为主，超前防范”的原则，加强DCS 系统设备日常检查及维护工作。 2、DCS操作人员严格遵守各项规章制度，严格按照操作规程操作。

3、DCS操作人员熟知系统性能及其结构，能熟练操作，持证上岗。 四、DCS常出现故障及故障应急处置： 发生事故中操作人员及时向生产班长、生产车间主任、DCS工程师、分公司副总汇报，启动应急事故预案，采取措施进行处理，防止事故扩大。 1、厂用电中断的现象及处理： （1）厂用电中断现象： 系统机柜只有一路电源运行。 b.现场设备跳停，并且中控无法控制。 电源由市电转换为蓄电池供电模式。 d.现场事故应急灯打开。 （2）确认厂用电中断应： a. 打开控制站柜门，观察卡件是否工作正常，有无故障显示（FAIL 灯亮）； b.从每个操作站实时监控的故障诊断中观察是否存在故障； （3）电气通知投入保安电源后 a. 对DCS系统机柜及UPS电源进行全面检查（如有问题及时处理），

石化行业工控安全解决方案--发布

石化行业工控安全解决方案 龙国东

威努特—工控安全专家石油石化中工业信息化网络的应用 石油和化工企业的信息化分为 三层结构： 第一层以PCS(Process Control System，过程控制系统)为代表 的生产过程基础自动化层。； 第二层以MES(Manufacturing Execution System，制造执行 系统)为代表的生产过程运行优 化层； 第三层以ERP(Enterprise Resource Planning，企业资源 计划)为代表的生产过程经营优 化层。

威努特—工控安全专家工业信息化网络面临的挑战

威努特—工控安全专家石油石化行业工控网络的安全问题与风险 A生产控制网络缺乏自身全面的安全性设计 我国石油石化行业生产控制系统安全防护滞后于系统的建设速度，生产控制系统缺乏自身的 安全性设计。在信息安全意识、策略、机制、法规标准等方面都存在不少问题。 B工控网络存在一定的脆弱性 （1）已建项目主要软硬件多为进口，可能存有后门 （2）油气开采、管道储运广泛使用无线通信，易被野外搭线监听、窃密和干扰 （3）部分网络借用公共电信网络和互联网组网，增加了网络接入风险 C工控网络面临着现实和潜在的威胁 现实威胁：U盘滥用、病毒肆虐、软件乱装、违规操作、缺少有效的访问控制手段 潜在威胁：攻击石油石化行业工控系统技术门槛越来越低，易被信息战攻击 D工控网络安全防护体系尚未形成 （1）关键资产底数不清楚 （2）严重漏洞难以及时处理，系统软件补丁管理困难，难以应对APT攻击

威努特—工控安全专家 石油石化行业生产控制系统信息安全主要目标 可用性 完整性 保密性 123 保护工控系统免受病毒等恶意代码的侵袭。 避免工控系统遭受人为恶意或者无意的违规操作。 防范外部、内部的网络攻击。在不利条件下维护生产系统功能。 安全事件发生后能迅速定位找出问题根源。

工业控制系统信息安全管理制度(修订版)

工业控制系统信息安全管理制度 1 适用范围 为了规范公司工业控制系统的使用和操作，防止发生人为或意外损坏系统事故以及误操作引起的设备停运，保证工控系统的稳定运行，特制定本制度。 本制度适用于DCS及DEH系统以及辅控网DCS。 2 计算机使用管理 2.1 工程师站严格按照权限进行操作，无关人员不准使用。 2.2 工程师站、操作员站等人机接口系统应分级授权使用。严禁非授权人员使用工程师站的系统组态功能，工程师站用户的权限可以实施逻辑修改和系统管理工作；操作员站用户权限，查看运行状态画面，实施监控。 2.3 每三个月更改一次口令，同时检查每一级用户口令的权限设置应正确。口令字长应大于6个字符并由字母数字混合组成。修改后的口令应填写《DCS系统机器密码记录》，妥善保管。 2.4 计算机在使用过程中发生异常情况，立即停止当前操作，通知集控室负责人和相关维修人员。如服务器发生故障，按各《信息系统故障应急预案》操作，维修人员记录《软件故障处理和修改记录》。 2.5 使用工程师站计算机后，需详细填写《工程师站出入及机器使用记录》后方可离开。 3 软件保护 3.1 严禁在计算机控制系统中使用其他无关软件。除非软件升级或补丁的需要，严禁在计算机控制系统中使用U盘、光盘等。 3.2 禁止向DCS网络中连接系统外接计算机、手机。

3.3 在连接到DCS中的计算机上进行操作时，使用的可读写存储介质必须是固定的一个设备，并且在每次使用前对其进行格式化处理，然后才可以接入以上计算机。 4 软件的修改、保存及维护 4.1 更新、升级计算机系统软件、应用软件或下载数据，其存储介质须是本计算机控制系统专用存储介质，不允许与其他计算机系统交换使用。 4.2进行计算机软件、系统组态、设定值等修改工作，必须严格执行相关审批手续后方可工作，同时填写《组态及参数修改记录》，并及时做好修改后的数据备份工作。 5 软件和数据库备份 5.1 计算机控制系统的软件和数据库、历史数据应定期进行备份，完全备份间隔三个月一次，系统备份必须使用专用的U盘备份，并且由系统管理员进行相关操作。 5.2 对系统软件（包括操作系统和应用软件）的任何修改，包括版本升级和安装补丁，都应及时进行备份。 5.3备份结束后，在备份件上正确标明备份内容、对象，并做好记录，填写《DCS系统备份记录》。 5.4 DCS中各系统的备份必须由系统管理员定期手动进行，具体要求同上。 有限公司 2017年1月 1日

自动控制系统应急预案

编号：AQ-BH-02939 ( 应急管理) 单位：_____________________ 审批：_____________________ 日期：_____________________ WORD文档/ A4打印/ 可编辑 自动控制系统应急预案 Emergency plan of automatic control system

自动控制系统应急预案 备注：应急预案明确了应急救援的范围和体系,有利于做出及时的应急响应,当发生超过应急能力的重大事故时,便于与应急部门的协调,降低事故的危害程度。 1系统电源全部失去应急处置预案 1.1故障现象 （1）运行检查 1）全部操作员站显示黑屏且独立控制系统供电电源失去报警装置发生声音报警。 2）全部服务器停止工作。 3）全部交换机停止工作。 4）全部I/O控制站停止工作。 （2）热控检查 1）工程师站电源失去，显示器全部失电显示为黑屏。 2）电子间内电源柜电源失去，电源指示为零。 3）控制系统所有模件柜指示灯熄灭，主机柜内控制器电源、交换机、控制器的所有指示灯均熄灭。

1.2故障可能的原因 （1）保安段电源失去。 （2）UPS电源失电。 （3）电源切换装置。 1.3故障分析及后果 全部操作员站失去操作与监视，全部控制器停止工作，造成失电控制器所涉及的设备拒动或误动，导致机组跳闸，甚至因设备拒动或误动而损坏设备。 1.4维护处理 （1）自动控制人员到控制系统总电源柜检查两路进线电源是否为220VAC，如果不正常，由电气专业检查并恢复。 （2）如果进线电源为正常220VAC，自动控制人员检查控制系统总电源柜内送各机柜空气开关状态，用万用表检查到各机柜电源出线是否有接地现象，若有，检查消除接地点，再准备恢复自动控制系统供电。 如果进线电源为正常220VAC，且机柜电源出线无接地现象，则

监控系统系统故障应急预案

监控系统系统故障应急预案 为了应急处置可能发生的矿井监控系统停运，造成重大事故，确保在事故发生时，干部职工能够做到及时、迅速、高效、有序地应急处理事故造成的危害，最大限度地减少人员伤亡、财产损失，依据国家有关法律、法规，特制定矿井大范围停电事故应急救援预案。 1、引发事故的隐患原因分析 1）、由于地面中心站故障（软件、硬件或病毒感染）导致整个系统瘫痪； 2）、由于监测分站故障导致区域性信号无法正常监测； 3）、由于传感器、断电器等调校不准或故障导致无法正常监测，发生误报、漏报或闭锁误动作、不动作； 4）、由于传输线路短路、抽线或其他原因导致地面中心站无法监测、监控现场设备； 2 组织机构及职责 2.1指挥机构及职责 2.1.1矿成立矿井矿井监控系统停运事故应急救援指挥部，作为矿应急处置事故的最高决策机构。 指挥长：**** 副指挥长：生产副矿长*** 机电副矿长*** 总工程师*** 安全副矿长*** 调度主任**** 后勤矿长*** 救护队队长88888 成员：8888 杨88888888 2.1.2应急处置指挥分工 （1）指挥长负责全面指挥，组织制定应急救援方案，并督促实施。 （2）副指挥长按照指挥部的分工，带领相关的业务部门组成现场抢救、医疗救护、物资供应、事故调查等工作小组，研究制定抢险救援方案实施办法和措施，全力以赴投入救灾工作。（3）对应急救援工作中发生的争议问题，由指挥部及时进行决断和紧急处理，同时指定专人向上级部门和相关领导汇报抢险救援工作进展情况。 （4）对外新闻发布，由指挥部明确专人负责，防止新闻报道混乱，影响抢险救援工作。2.1.3指挥部主要职责 （1）分析本单位存在的危险、危害因素及可能发生的事故并制定、批准预防措施和应急处置措施。 （2）教育和督促所有从业人员严格执行本单位的生产安全规章制度和安全操作规程，并向从业人员告知作业场所和工作岗位存在的危险因素、防范措施以及事故应急处置措施。（3）事故发生时，立即组织自救，防止事故扩大，努力将事故危害降低到最低限度。（4）分析判断事故、事件或灾情的受影响区域、危害程度及应急处置程序，确定相应警报级别、应急救援级别。 （5）批准现场应急处置方案。 （6）督察应急操作人员的行动，保护现场应急救援人员的安全。 （7）指挥救护、医疗工伤抢救、后勤支援等项工作，调度解决抢险救援所需资金、物资、设备等。 （8）宣布应急恢复、应急结束。 （9）对应急救援工作中发生的争议问题及时进行裁决和处理。 2.2工作机构及职责 2.2.1指挥部办公室 应急救援指挥部下设办公室，办公地点在矿调度室。

DCS控制系统故障事故应急预案

DCS控制系统故障事故应急预案 在生产工艺进行中，DCS系统可能发生通讯电缆电缆，控制器或I/O卡件故障，HIS操作站故障、系统电源故障，导致装置局部或全部停车，为了将损失降低到最低限度，仪表专业人员应当采取相应的应急处理预案。 一、引发故障的原因： 引发DCS控制系统故障的原因主要有以下几种：通讯电缆通讯中断，控制器或I/O卡件故障，控制系统电源故障。 二、故障现象： 在DCS系统故障后，DCS系统会发出声光报警，在系统状态画面会指示故障的所在部位，严重时可能导致控制失控，装置局部或全部停车。 三、事故期间人员责任： 车间主任：负责组织仪表维护人员进入现场检修处理，负责专业指挥，协调工作，负责组织本专业对事故原因进行分析。 车间技术员：在第一时间赶到现场，对DCS系统故障原因进行检查，以及准备检修需要的各种技术资料和DCS备件，并参加事故原因分析。 DCS维护人员：配合工艺人员对现场进行调整、及控制系统正常后的恢复工作；配合技术人员作好DCS系统的检修处理工作。 四、具体工作步骤： 1、一旦发生或被通知DCS控制系统故障，第一当事人必须以最快的

速度向仪控车间主任汇报。 2、控制系统故障反应人员分：控制室应急小组和现场应急小组两个小组。小组人员要明确，现场应急小组由常规仪表班长负责，主要配合工艺人员对现场进行调整和处理现场仪表故障；控制室应急小组由DCS班长负责，主要负责DCS控制系统故障的判断和故障处理。 3、仪表技术人员要对控制系统检修注意事项和难点问题向参与检修人员进行技术交底，作到人人心中有数。 4、通知工艺车间作好生产调整和停车准备工作。 5、查找故障原因，由于DCS系统都带冗余控制功能，电源、控制器和I/O卡件都带冗余，在查明故障原因和所在地后，带电更换相应的设备，更换时必须带防静电手环，小心谨慎，不能把故障扩大，避免造成更大的损失。 6、如果故障导致了装置停车，配合工艺人员把生产切换到现场控制，调节阀切换到旁路控制，待故障处理完毕后，配合工艺人员切换到DCS控制。 7、控制系统故障处理完毕后，观察DCS控制系统是否已完全正常，并及时处理仪表故障。 五、DCS系统故障及恢复。 1、通讯网络故障：以太网网络故障产生报警，故障不会影响系统网络通讯。DCS维护人员检查网络故障及时恢复即可。 如控制网络出现网络断线： （1）立即通知公司调度。

重要工业控制系统基本情况

重要工业控制系统基本情况 调查表 填表单位：（盖章）填表时间：年月日

填表说明 一、调查范围 本调查表中的重要工业控制系统是指在核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热以及其他与国计民生紧 密相关的领域中，一旦出现安全事故可能导致以下后果之一的工业控 制系统： （1）10人以上死亡或50人以上重伤； （2）5000万元以上直接经济损失； （3）影响100万人正常生活； （4）对国家安全、社会秩序、经济建设和公共利益产生重大影响。 二、保密要求 根据填写内容的敏感程度确定调查表密级，并在调查表上明确标识。 三、填写要求 工业控制系统在各行业的应用场景不同而类型不同，填表单位应选择本单位所运营的工业控制系统类型填写，无某系统类型无需填写。

一、运营单位基本情况 单位信息单位全称法人代表 通讯地址省市（县/区） 单位网址邮政编码 所属行业1销售收入 经济类型 □国有事业单位2 □国有及国有控股企业3（□中央□地方） □股份制企业□外商及港澳台投资企业4 □集体企业□民营企业 □其他： 联系人姓名职务所属部门工作电话电子邮件传真 系统小计 系统类型系统数量 数据采集与监控(SCADA)系统套分布式控制系统(DCS)套可编程控制器(PLC)套其他系统套 1按照《国民经济行业分类》（GB/T4754-2011）规定填写。 2按照《事业单位登记管理暂行条例》登记的，为社会公益目的、由国家机关举办或者其他组织利用国有资产举办的，从事教育、科技、文化、卫生等活动的社会服务组织。 3按照《中华人民共和国企业法人登记管理条例》登记注册的三类经济组织：(1)全部资产归国家所有的(非公司制)国有企业；(2)全部资产归国家所有的国有独资有限责任公司；(3)由国有资本占控制地位的有限责任公司和股份有限公司，此处称国有控股公司。 4包括港、澳、台资本和其他地区外资资本投资设立的独资或控股的独资公司、有限责任公司和股份有限公司。

工业控制系统安全现状与风险分析--省略-CS工业控制系统安全(精)

c o m p u t e r s e c u r i t y 工控安全专题 导语 :本文将从 IT 领域熟悉的信息安全管理体系的基本理论和潜在威胁的角度,借鉴国际上有关工业控制系统安全保护要求及标准,分析当前我国工业控制系统存在的风险,并提出一套基于 I C S 系统的威胁发现与识别模型。 工业控制系统安全现状与风险分析——ICS 工业控制系统安全风险分析之一 张帅 2011年 11月 12日,待测伊朗弹道导弹收到控制指令后突然爆炸。事故经媒体披露,迅速引发各国政府与安全机构的广泛关注,对真凶的质疑直指曾攻击布什尔核电站工业控制系统的 Stuxnet 蠕虫病毒。截至目前,事故真相与细节并未公布,但工业控制系统长期存在的风险隐患却已是影响国家关键基础设施稳定运行重要因素,甚至威胁到国家安全战略实施。为此工信部于 2011年 10月份发布文件,要求加强国家主要工业领域基础设施控制系统与 SCADA 系统的安全保护工作。 1 工业控制系统介绍 工业控制系统(Industrial Control Systems, ICS ,是由各种自动化控制组件以及对实时数据进行采集、监测的过程控制组件,共同构成的确保工业基础设施自动化运行、过程控制与监控的业务流程管控系统。其核心组件包括数据采集与监控系统(SCADA 、分布式控制系统(DCS 、可编程逻辑控制器(PLC 、远程终端(RTU 、智能电子设备 (IED ,以及确保各组件通信的接口技术。 目前工业控制系统广泛地应用于我国电力、水利、污水处理、石油天然气、化工、交通运输、制药以及大型制造行业,其中超过 80%的涉及国计民生的关键基础设施依靠工业控制系统来实现自动化作业,工业控制系统已是国家安全战略的重要组成部分。

热工控制系统故障专项应急预案

热工控制系统故障专项 应急预案 1总则 1.1编制目的：为防止热工控制系统故障导致事故扩大，避免由于热工控制系统故障导致设备损坏事件的发生，特制定本预案。 1.2编制依据：本应急预案依据《火力发电厂设计技术规程》、《火力发电厂热工控制系统运行检修导则》、《火力发电厂热工仪表及控制装置技术监督规定》、《枣庄市建阳热电有限公司公司重大突发事件应急预案》等结合《防止电力生产重大事故的二十五项重点要求》编写。 1.3热工控制系统故障：指热工控制系统硬件、软件以及系统出现故障导致锅炉、汽轮发电机组本体设备、辅助设备、其他相关系统及设备的控制故障，造成设备被迫停止运行，对机组安全运行及设备健康状况构成严重威胁的事件。 1.4适用范围：本应急预案适用于枣庄市建阳热电有限公司热工控制系统故障事件的应对工作。 1.5热工控制系统现况：枣庄市建阳热电有限公司#1、#2炉、1 #机DCS系统为XDPS分散控制系统。DCS系统的控制范围覆盖模拟量控制系统MCS、顺序控制系统SCS、燃烧器管理系统BMS、数据采集

系统DAS、汽轮机控制系统DEH、给泵汽轮机控制系统MEH和电气控制系统ECS。控制室里，采用CRT控制并辅以大屏幕显示。 2事故类型和危害程度分析 2.1分散控制系统操作员站和过程控制单元等故障，导致控制信号消失或被控对象失去控制； 2.2分散控制系统网络或模件总线通信故障，导致信息传输中断或坏质量； 2.3热工控制系统软件存在缺陷、错误，导致控制系统发出错误指令； 2.4热工控制系统电源故障，导致控制系统停止工作； 2.5汽机控制系统（DEH）或给水泵汽机控制系统（MEH）故障，导致汽机或给水泵汽机不能正常控制和运行。 3应急处置基本原则 3.1当分散控制系统局部故障，重要的局部区域信号异常、部分主重要运行参数失去控制或其显示不能真实反映实际工况时，由值长按照规程，通过运行方式的调整、现场监视和操作等可以利用的一切手段，尽可能使机组运行稳定、设备处于安全状态。当部分操作员站（OIS）出现故障时，应由可用操作员站继续承担机组监控任务（此时应尽量减少操作），同时迅速排除故障。 3.2当全部操作员站出现故障时（所有OIS"黑屏"或"死机"），若主要后备硬手操及监视仪表可用且暂时能够维持机组现况，则转用后备操作方式运行，同时排除故障并恢复操作员站运行方式，由值长

石化行业工控系统信息安全的纵深防御

石化行业工控系统信息安全的纵深防御 纵观我国工业、能源、交通、水利以及市政等国家关键基础设施建设，DCS、PLC等工业控制系统得以广泛应用，随着我国两化融合的深入发展，信息化的快速发展大大提高了公司的运营效率，但TCP/IP、Ethernet等通用技术和通用产品被大量引入工业领域，也将越来越多的信息安全问题摆在了我们面前。 另一方面，长久以来，企业更多关注的是物理安全，信息化发展所需的信息安全防护技术却相对滞后，近几年来因控制系统感染病毒而引起装置停车和其他风险事故的案例屡有发生，给企业造成了巨大的经济损失。Stuxnet病毒的爆发更是给企业和组织敲响了警钟，工信部协[2011]451号通知明确指出要切实加强工业控制系统信息安全管理的要求。本文以石化行业为例，就工业控制系统信息安全存在的隐患，及其纵深防御架构体系进行简要探讨。 1.工业控制系统面临的信息安全漏洞 1、通信协议漏洞 两化融合和物联网的发展使得TCP/IP协议和OPC协议等通用协议越来越广泛地应用在工业控制网络中，随之而来的通信协议漏洞问题也日益突出。 例如，OPC Classic协议(OPC DA, OPC HAD和OPC A&E) 基于微软的DCOM协议，DCOM 协议是在网络安全问题被广泛认识之前设计的，极易受到攻击，并且OPC通讯采用不固定的动态端口号，在通讯过程中可能会用到1024-65535中的任一端口，这就导致使用传统基于端口或IP地址的IT防火墙无法确保其安全性。因此确保使用OPC通讯协议的工业控制系统的安全性和可靠性成为工程师的一个安全技术难题。 2、操作系统漏洞 目前大多数工业控制系统的工程师站/操作站/HMI都是基于Windows平台的，为保证过程控制系统的相对独立性，同时考虑到系统的稳定运行，通常现场工程师在系统开车后不会对Windows平台安装任何补丁，这样导致了操作系统系统存在被攻击的可能，从而埋下了安全隐患。 3、杀毒软件漏洞 为了保证工控应用软件的可用性，许多工控系统操作站通常不会安装杀毒软件。即使安装了杀毒软件，在使用过程中也有很大的局限性，原因在于使用杀毒软件很关键的一点是，其病毒库需要不定期的经常更新，这一要求尤其不适合于工业控制环境。而且杀毒软件对新病毒的处理总是滞后的，导致每年都会爆发大规模的病毒攻击，特别是新病毒。 4、应用软件漏洞 由于应用软件多种多样，很难形成统一的防护规范以应对安全问题；另外当软件面向网络应用时，就必须开放其网络端口。因此常规的IT防火墙等安全设备很难保障其安全性。互联网攻击者很有可能会利用一些大型工程自动化软件的安全漏洞获取诸如污水处理厂、天

工业控制网络信息安全事件案例

精心整理 工业控制网络信息安全案例 一、澳大利亚马卢奇污水处理厂非法入侵事件 2000年3月，澳大利亚昆士兰新建的马卢奇污水处理厂出现故障，无线连接信号丢失， 污水泵工作异常，报警器也没有报警。本以为是新系统的磨合问题，后来发现是该厂前工程师 VitekBoden因不满工作续约被拒而蓄意报复所为。 这位前工程师通过一台手提电脑和一个无线发射器控制了150个污水泵站；前后三个多月，总计有100万公升的污水未经处理直接经雨水渠排入自然水系，导致当地环境受到严重破坏。 二、美国Davis-Besse核电站受到Slammer蠕虫攻击事件 2003年1月，美国俄亥俄州Davis-Besse核电站和其它电力设备受到SQLSlammer蠕虫病毒攻击，网络数据传输量剧增，导致该核电站计算机处理速度变缓、安全参数显示系统和过程控制 计算机连续数小时无法工作。 经调查发现，一供应商为给服务器提供应用软件，在该核电站网络防火墙后端建立了一个 无防护的T1链接，病毒就是通过这个链接进入核电站网络的。这种病毒主要利用SQLServer2000中1434端口的缓冲区溢出漏洞进行攻击，并驻留在内存中，不断散播自身，使得网络拥堵，造成SQLServer无法正常工作或宕机。实际上，微软在半年前就发布了针对SQLServer2000这个漏洞的补丁程序，但该核电站并没有及时进行更新，结果被Slammer病毒乘虚而入。 三、美国BrownsFerry核电站受到网络攻击事件 2006年8月，美国阿拉巴马州的BrownsFerry核电站3号机组受到网络攻击，反应堆再循环泵和冷凝除矿控制器工作失灵，导致3号机组被迫关闭。 原来，调节再循环泵马达速度的变频器（VFD）和用于冷凝除矿的可编程逻辑控制器（PLC）中都内嵌了微处理器。通过微处理器，VFD和PLC可以在以太局域网中接受广播式数据通讯。但是，由于当天核电站局域网中出现了信息洪流，VFD和PLC无法及时处理，致使两设备瘫痪。 四、美国Hatch核电厂自动停机事件 2008年3月，美国乔治亚州的Hatch核电厂2号机组发生自动停机事件。 当时，一位工程师正在对该厂业务网络中的一台计算机（用于采集控制网络中的诊断数据）进行软件更新，以同步业务网络与控制网络中的数据信息。当工程师重启该计算机时，同步程序重置了控制网络中的相关数据，使得控制系统以为反应堆储水库水位突然下降，自动关闭了整个机组。 五、震网病毒攻击美国Chevron、Stuxnet等四家石油公司 2012年，位于美国加州的Chevron石油公司对外承认，他们的计算机系统曾受到专用于 攻击伊朗核设施的震网病毒的袭击。不仅如此，美国BakerHughes、ConocoPhillips和Marathon 等石油公司也相继声明其计算机系统也感染了震网病毒。他们警告说一旦病毒侵害了真空阀，就会造成离岸钻探设备失火、人员伤亡和生产停顿等重大事故。 虽然美国官员指这种病毒不具有传播用途，只对伊朗核设施有效，但事实证明，震网病毒 已确确实实扩散开来。 六、Duqu病毒（Stuxnet变种）出现 2011年安全专家检测到Stuxnet病毒的一个新型变种—Duqu木马病毒，这种病毒比Stuxnet病毒更加聪明、强大。与Stuxnet不同的是，Duqu木马不是为了破坏工业控制系统，而是潜伏并收集攻击目标的各种信息，以供未来网络袭击之用。前不久，已有企业宣称他们的设施中已 经发现有Duqu代码。目前，Duqu僵尸网络已经完成了它的信息侦测任务，正在悄然等待中……。 没人知晓下一次攻击何时爆发。 七、比Suxnet强大20倍的Flame火焰病毒肆虐中东地区 Flame火焰病毒具有超强的数据攫取能力，不仅袭击了伊朗的相关设施，还影响了整个中 东地区。据报道，该病毒是以色列为了打聋、打哑、打盲伊朗空中防御系统、摧毁其控制中心而实 页脚内容

工业控制系统安全应急管理

工业控制系统信息安全应急预案 编制： 审核： 批准： 时间：2018年1月10日

工业控制系统信息安全应急预案 编制目的 规范工业控制系统信息安全事故的应急管理和应急响应程序，及时有效地实施应急救援工作，最大程度地减少设备财产损失，维持正常的安全生产秩序，维护公司利益。 适用范围 本预案适用于本企业发生工业控制系统信息安全事故抢维与控制工作。 领导小组 组长： 副组长： 组员： 日常工作 1、做到对工控系统的操作端主机、工程师站进行物理隔离。 2、做好操作端、工程师站的权限控制,操作员权限只能查看、操作,不能修改,维护人员和车间负责人共同管理工程师站 3、组织对操作员进行安全培训 4、组织车间负责人与值班人员进行不定期巡检。 5、确保公司工控主机的维护工作。保持正常运行、 应急工作 工控系统发生故障时,应按以下故障等级情况按章操作,应急响应级别原则上分为1级、2级、3级响应,分别为重大、较大、一般。

出现下列情况: 1、及时了解工控系统的问题所在 2、如中控发生操作界面机器故障,其它机器能进行切换且工作正常的情况(3级响应),值班人员按应急响应预案等级通知应急保障小组相关人员,由系统管理员和生产办负责人对故障主机进行查明原因，联系维修,并做好记录 3、如中控发生操作界面机器故障,其它机器也无法作的情况(2级响应),值班人员按应急响应预通知应急保障小组相关人员,同时对设备运转所需数据进现场检测,通过手动操作,把要参数控制在安全范围内，由系统管理员和生产办负责人直接联接相关机站进行操作,查明故障原因，联系维修单位加急维修,并做好记录。 4、如发生所有操作微机故障均无法工作的情况(1级响应),值班人员按应急响应预案等级通知应急保障小组相关人员,同时对设备运转所需数据进行现场查测,通过手动操作,把重要参数掉制在安全范围，并按程序停机待修。 5、如因全厂失电,间接引起所有操作微机均无法工作的情况(1级响应UPS应急电源启动,关闭各服务器,立即启动《全厂失电应急预案》,确保全厂设备安全稳定状态,确保无环境安全事故发生 后续工作 1、查明工控系统发生问题的原因 2、对相同有在隐患的问题,进行排查 3、对工控系统服务器进行不定期检查及时与服务器供应商进行联系

工业控制系统信息安全系统应急预案

工业控制系统信息安全应急预案为了切实做好市污水厂网络与信息安全突发事件的防范和应急处理工作，提高污水厂中控系统预防和控制网络与信息安全突发事件的能力和水平，减轻或消除突发事件的危害和影响，确保市污水厂中控系统网络与信息安全，结合工作实际，制定本预案。 一、总则 本预案适用于本预案定义的1级、2级网络与信息安全突发公共事件和可能导致1级、2级网络与信息安全突发公共事件的应对处置工作。 本预案所指网络与信息系统的重要性是根据系统遭到破坏后对国家安全、社会秩序、经济建设、公共利益以及公民、法人和其他组织的合法权益的危害程度来确定的。 （一）分类分级。 本预案所指的网络与信息安全突发公共事件，是指重要网络与信息系统突然遭受不可预知外力的破坏、毁损、故障，发生对国家、社会、公众造成或者可能造成重大危害，危及公共安全的紧急事件。 1、事件分类。 根据网络与信息安全突发公共事件的发生过程、性质和特征，网络与信息安全突发公共事件可划分为网络安全突发事件和信息安全突发事件。网络安全突发事件是指自然灾害，

事故灾难和人为破坏引起的网络与信息系统的损坏；信息安全突发事件是指利用信息网络进行有组织的大规模的反动宣传、煽动和渗透等破坏活动。 自然灾害是指地震、台风、雷电、火灾、洪水等。 事故灾难是指电力中断、网络损坏或者是软件、硬件设备故障等。 人为破坏是指人为破坏网络线路、通信设施、黑客攻击、病毒攻击、恐怖袭击等事件。 2、事件分级。 根据网络与信息安全突发公共事件的可控性、严重程度和影响范围，将网络与信息安全突发公共事件分为四级：1级 (特别重大)、2级 (重大)、3级 (较大)、4级 (一般)。国家有关法律法规有明确规定的，按国家有关规定执行。 1级 (特别重大)：网络与信息系统发生全局性大规模瘫痪，事态发展超出自己的控制能力，对国家安全、社会秩序、经济建设和公共利益造成特别严重损害的突发公共事件。 2级 (重大)：网络与信息系统造成全局性瘫痪，对国家安全、社会秩序、经济建设和公共利益造成严重损害需要跨部门协同处置的突发公共事件。 3级 (较大)：某一部分的网络与信息系统瘫痪，对国家安全、社会秩序、经济建设和公共利益造成一定损害，但不需要跨部门、跨地区协同处置的突发公共事件。

石油化工行业工业控制网络安全

石油化工行业工业控制网络 安全 -标准化文件发布号：（9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII

石油化工行业工业控制网络安全 石油化工企业是典型的资金和技术密集型企业，生产的连续性很强，装置和重要设备的意外停产都会导致巨大的经济损失，因此生产过程控制大多采用DCS等先进的控制系统，DCS控制系统的供应商主要有霍尼韦尔、艾默生、横河电机、中控科技等。 1. 石油化工行业网络安全分析 石油化工企业是典型的资金和技术密集型企业，生产的连续性很强，装置和重要设备的意外停产都会导致巨大的经济损失，因此生产过程控制大多采用DCS等先进的控制系统，DCS控制系统的供应商主要有霍尼韦尔、艾默生、横河电机、中控科技等。 在早期，由于信息化程度水平有限，控制系统基本上处于与信息管理层处于隔离状态。因此，石化企业的信息化建设首先从信息层开始，经过10多年的建设积累，石化&化工行业信息层的信息化建设已经有了较好的基础，涉及到了石油勘探、开发、炼油、化工、储运、销售、数据管理等诸多研究领域，企业在管理层的指挥、协调和监控能力，提高上传下达的实时性、完整性和一致性都有很大提升，相应的网络安全防护也有了较大提高。与其他行业一样，在信息管理层面，石化石化企业大量引入IT技术，同时也包括各种 IT 网络安全技术，包括如防火墙、IDS、VPN、防病毒等常规网络安全技术，这些技术主要面向商用网络应用，应用也相对成熟。 与此同时，在信息技术不断发展的推动下，石化&化工企业的生产管理理念和技术也在不断发展，DCS发展到今天，已经进入了第四代，新一代DCS呈现的一个突出特点就是开放性的提高。石化&化工企业普遍开始采用基于ERP/SCM、MES和PCS三层架构的的管控一体化信息模型思想，随着两化融合政策的推进，越来越多的石化企业实施MES系统，使管理实现了管控一体化。

控制系统应急预案

控制系统应急预案 Document number：WTWYT-WYWY-BTGTT-YTTYU-2018GT

分散控制系统（DCS）失灵应急预案 （指导性范本） 汇能电厂生技部 2014年12月 目录 1总则 (1) 编制目的： (1) 编制依据： (1) 分散控制系统失灵： (1) 适用范围： (1) 2事故类型和危害程度分析 (1) 分散控制系统通信异常，导致信息传输中断； (2) 3应急处置基本原则 (2) 4应急处置体系 (3) 应急组织机构 (3) 应急指挥领导小组职责： (3) 应急工作小组职责： (4) 5预防与预警 (4) 危险源监控点 (4) 危险预防 (5) 预警 (7) 预警程序 (7) 6应急处置 (8) (9) 7事故处理恢复 (10) 8事故调查分析与整改 (10) 分散控制系统（DCS）失灵应急预案 1总则 编制目的： 为防止分散控制系统失灵导致事故扩大，避免由于分散控制系统故障导致设备损坏事件的发生，特制定本预案。 编制依据： 本应急预案依据《火力发电厂（热工控制系统）设计技术规程》、《火力发电厂分散控制系统运行检修导则》、《火力发电厂热工仪表及控制装置技术监督规定》、《中国华能集团公司重大突发事件（事故）应急管理办法》等结合《防止电力生产重大事故的二十五项重点要求》编写。 分散控制系统失灵： 指分散控制系统硬件、软件以及系统出现故障导致锅炉、汽轮发电机组本体设备、辅助设备、其他相关系统及设备的控制故障，造成设备被迫停止运行，对机组运行及设备健康状况构成严重威胁的事件。 适用范围：本应急预案适用于汇能电厂分散控制系统失灵事件的应对工作。 2事故类型和危害程度分析

国家工业信息安全产业发展联盟

国家工业信息安全产业发展联盟 一、成立背景 随着新一代信息技术与制造技术加速融合，由于安全防护措施不足而引发的工业信息安全事件频繁发生，严重影响经济安全、国家安全与社会稳定。2016年全球共发现187个工业控制系统漏洞。仅2017年第一季度，国家信息安全漏洞共享平台就曝出我国新增工控系统行业漏洞30个，其中半数以上系高危漏洞。 这些漏洞到底有多大危害？工业控制系统作为关键信息基础设施重要组成部分，广泛应用于核设施、钢铁、有色、化工、石油、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、城市供水供气供热等与国计民生紧密相关的领域。这些领域的工业控制系统一旦遭破坏，不仅可能造成人员伤亡、环境污染、停产停工等严重后果，甚至还将威胁社会稳定和国家安全。工业控制系统还应用于航空航天的飞行器、导弹、运载火箭等各个领域。由于其精密性和复杂程度更高，面临更严峻的安全风险。一旦爆发信息安全风险，对航天航空设备的研发，制造和运行都会产生严重后果，甚至影响国防安全。 近年，我国工业信息安全保障体系建设虽然取得一定成绩，保障能力有所提升，但工业信息安全产业依然面临市场发育不完善，产业发展规模相对缓慢的问题。 党中央、国务院高度重视信息安全问题，习近平总书记多次作出重要指示，强调安全和发展要同步推进。 正是为了保障国家工业信息安全，推动产业发展，国家工业信息安全发展研究中心等45家单位才联合发起成立国家工业信息安全产业发展联盟。 二、角色定位

一是要通力合作，将联盟打造成为政府和产业界协同联动的平台；二是要融合发展，将联盟建设成为自动化、信息化与信息安全领域的跨界融合平台；三是要牵引带动，将联盟培育成为行业资源整合、对接、推广平台。 三、成员单位 国家工业信息安全产业发展联盟接受工业和信息化部业务指导，苗圩担任联盟指导委员会主任。中国工程院院士邬贺铨担任联盟专家咨询委员会主任，国家工业信息安全发展研究中心（工业和信息化部电子第一研究所）是首届理事长单位，所长尹丽波担任联盟理事长。目前联盟首批成员单位已达149家，包括神华集团、中车集团、航空工业、中国兵装、中国电子信息产业集团等18家副理事长单位，中核集团、中船重工、中石化、中钢集团、中国烟草等45家理事单位。

仪表自动化系统应急预案

一、D C S控制系统应急预案 1、仪表操作人员接到通知后应在十分钟内到达事件发生现场。 2、检查计算机系统电源电压是否正常引入计算机。 3、检查控制器、电源箱及外围设备是否正常接入，有无松动和漏 电情况。 4、检查UPS是否正常投入，是否旁路运行。 5、检查控制器I/O卡件运行信号灯是否正常闪烁。 6、检查系统通讯传输及数据采集是否正常。 7、检查DCS操作系统与数据库连接是否正常。 8、检查OPC是否正常运行。 9、检查DCS操作系统自诊断是否正常。 10、检查控制器功能模块是否正常。 11、检查事件记录及历史趋势曲线图是否正常记录及显示。12、检查数据库临时性文件是否占用内存过大。 13、如上述情况存在不正常，与车间领导联系。 厂用电中断的现象及处理： 1.厂用电中断现象： 1.1DCS系统机柜只有一路电源运行。 1.2现场设备跳停，并且中控无法控制。 1.3UPS电源由市电转换为蓄电池供电模式。 1.4现场事故应急灯打开。 2. 确认厂用电中断应： 2.1 打开控制站柜门，观察卡件是否工作正常，有无故障显示（FAIL 灯亮）； 2.2从每个操作站实时监控的故障诊断中观察是否存在故障； 3.当电气通知投入保安电源后，

3.1对DCS系统机柜及UPS电源进行全面检查（如有问题及时处理），进入实时监控画面，观察系统是否运行正常。 3.2对系统实时监控画面进行全面检查如无问题，通知有关人员系统恢复正常，可以正常操作。 4.当电气确认一小时内不能投入保安电源，应通知调度及生产车间进行准备。当确认短时间内供电无法恢复，UPS电源无法坚持运行时，在保证现场设备安全的前提下，可以对DCS电源进行断电操作。 DCS系统断电操作： 1.每个操作站依次退出实时监控及操作系统后，关闭操作站工控机及显示器电源； 2.依次关闭卡件柜、安全栅柜、继电器柜、网络柜、电源柜的电源； 3.关闭不间断电源（UPS）电源开关； 4.关闭总电源开关。 5.当恢复正常送电时，应对DCS系统进行全面检查开始送电 5.1合上总电源开关；5.2合上不间断电源（UPS）电源开关； 5.3依次合上电源柜、卡件柜、安全栅柜、继电器柜、网络柜； 5.4开启各操作站及显示器电源，之后按照正常操作步骤操作。 二、PLC系统事故专项应急预案 1上位机通讯出现故障： 2.冗余的控制器是否正常运行，如果主控制器故障，而从控制器未正常切换，则应立即汇报相关领导并通知调度做好紧急停车的准备，同时人为重启从控制器，启动失败等待停车命令。 3.确保控制器正常的情况下，迅速检查各冗余控制器与交换机之间、工程师站、操作员站与交换机之间的网络连接情况：是否有通讯接头破损、脱落和松动状况，如有损坏立即更换备用或现场制作，松动则立即插紧，然后再经工程师站检查网络，测通网络，恢复正常运行。 4.PLC系统卡件损坏： 4.1非冗余AI\DI\DO卡件损坏，首先确认损坏卡件上的仪表点是否

自动控制系统应急预案71847

自动控制系统应急预案 第一条 本方案所称自控系统是指在我公司生产过程中所使用的过程控制计算机系统（DCS）、可编程控制器系统(PLC)。 第二条 自动控制系统应急预案的目的是：当自控系统无法正常检测、显示现场工艺参数及无法远程控制现场设备时，紧急的处理措施，保证生产人员尽快观察到工艺数据及对现场设备的控制。 第三条关于自控系统检测、显示功能故障的处理措施 当自动控制系统（DCS/PLC）上位机无法检测及显示各种模拟量信号数据（包括温度、压力、流量、物位、成分五大仪表参数）时，如丢失数据系生产重要指标，仪表工需找一块接收信号、量程等与现场一次检测元件相配套的二次仪表，替代自控系统上位机来显示现场工艺参数的测量值。当从自控系统控制柜拆除信号电缆时，应注明该电缆所接卡件的位置及通道，以便后期的恢复工作。 第四条关于自控系统控制功能故障的处理措施 我厂自控系统（DCS/PLC）上位机远程控制对象主要为电动阀、气动阀及电机（电机带动各类负载如泵、刮板机等），当自控系统无法实现对以上设备的远控时，操作工需及时将设备由远程控制改为手动现场控制，不可只是单纯的等待维修人员的到来，以便使生产损失降低到最低点。 具体为：①阀门远程失控时，要在现场手动控制阀门开度；②由电机带动的各类负载远程失控时，要在现场控制箱选择手动启停。同时根据情况通知仪表工、电工或机修工等处理控制部分的故障。 第五条关于DCS系统通讯故障的处理措施 当PLC/DSC系统无法通讯时，仪表检修人员立即检查故障原因，

并进行检修，回复正常通讯。 第六条关于DCS/PLC非正常停电的处理措施 当DCS/PLC因故停电时，即使重新上电，PLC仍不能重新正常工作。此时应重启DC24V电源开关，将CPU从‘RUN’拨到‘STOP’,再从‘STOP’拨到‘RUN’，则PLC可正常工作。