2016 年（第五届）电力安全与信息技术研讨会 224 构建 SIS 与生产控制系统之间安全防护体系 南京华润热电有限公司，金立 华润电力江苏检修有限公司，高卫 摘 要：厂级监控信息系统（SIS）是发电企业主要的信息系统之一，与生产控制系统分属二次系统的不同信息安全 分区。为符合《电力二次系统安全防护规定》 ，保障二次系统安全可靠地运行，必须在 SIS 与生产控制系统之间建立二次 系统安全防护体系。本文以南京华润热电有限公司的 SIS 与生产控制系统之间安全防护改造为例，介绍了以单向隔离改 造为重点的安全防护体系建设过程。 关键词：SIS；安全防护；单向隔离 1 引言 厂级监控信息系统（SIS）是发电企业主要的信息 系统之一。SIS 从各生产控制系统采集实时的生产数 据，保存到 SIS 数据库中；通过提供实时/历史数据的 查询、统计，帮助管理人员了解生产状况；通过性能 计算和运行优化等高级应用指导运行人员及时优化调 整运行参数，提高经济效益；通过环保数据上传，获 取环保电价补贴，进一步提高经济效益。总之，SIS 已经直接影响到发电企业的生产管理和经济效益。 因此，优化 SIS 系统结构，保障 SIS 安全稳定， 在 SIS 与生产控制系统之间建立二次系统安全防护 体系，具有重要意义。 《电力二次系统安全防护规定》 （国家电监会 5 号令）是进行电力二次系统安全防护体系建设的基 本规范。参照该规定进行方案制订和设备选型，可 保障所建成的安全防护体系具备足够的安全防护水 平，满足当前行业的规定要求。 2原系统概况 南京华润热电有限公司现有 2005 年建成厂级监 控信息系统（SIS）和 DCS、脱硫、除尘、灰渣、输 煤 1、输煤 2、化学 1、化学 2 等生产控制系统。SIS 与各生产控制系统通过数据接口，实现生产数据的 采集，应用于实时监视、统计分析、机组性能计算 和运行优化管理，以及环保数据上传。 原 SIS 共有 9 台接口机与生产控制系统相连，连 接的方式采用直接的以太网连接或 SCSI 数据线连接。 接口机都采用工控机，安装在控制系统所在的生产现 场机柜中。现场的接口机与位于计算机房的 SIS 数据 库服务器通过光纤网络进行连接，实现远距离通讯。 接口的情况如下表： 序号 接口名称 接口机类型 控制系统 与控制系统连接方式 接口通讯协议 1 DCS主接口 工控机 DCS SCSI Baily SemAPI 2 DCS备接口 工控机 DCS SCSI Baily SemAPI 3 脱硫接口 工控机 脱硫 SCSI Baily SemAPI 4 输煤1接口 工控机 输煤1 以太网 OPC 5 输煤2接口 工控机 输煤2 以太网 OPC 6 化学1接口 工控机 化学1 以太网 OPC 7 化学2接口 工控机 化学2 以太网 OPC 8 灰渣接口 工控机 灰渣 以太网 OPC 9 电除尘接口 工控机 电除尘 以太网 OPC