目次 エンジニアリング企業についてプラントの情報ネットワーク制御システム構成例制御システム ( サイバー ) セキュリティについての認識エンジニアリング企業の現況プラントの安全と設計制御システムセキュリティについて思うことおわりに 2012 TOYO ENGINEERING CORPORATION

T

OYO

E

NGINEERING

C

ORPORATION

L

L

エンジニアリングからみる制御システムへの取り組み事例

（プラント設計における安全への取り組みと制御システム）

東洋エンジニアリング(株)

鈴木

剛

2012年2月23日

目次

エンジニアリング企業について

プラントの情報ネットワーク

制御システム

構成例

制御システム（サイバー）セキュリティについての認識

エンジニアリング企業の現況

プラントの安全と設計

制御システムセキュリティについて思うこと

おわりに

エンジニアリング企業について

EPC (Engineering, Procurement, Construction) Contractor

エンジニアリング企業の業務

研究開発

プロセス開発

プラント設計

調達

建設

試運転

商業運転

プラントの情報ネットワークの階層

Plant

Network

Control Network

Field Network

(Sensor Network & Device Network)

機器

計装

Level

PIMS

APC

FIELD BUS

DCS, ESD

Sub System

AMS

運転情報

制御

Level

Analog Signal

制御システム

構成例

AMS Server

HMI Station

EMV WS

Sub-Systems

•Tank Gauging

•MOV

•Jetty Control

•Truck Loading

•Analyser

Fieldbus Device

1500 devices

OPC Server

Plant Network

HART Device

500 devices

MMS WS

Machine

Monitoring

Controller

ESD PLC

System

石油化学プラント事業所内の標準的なネットワーク構成

海外プラント市場における 制御システムセキュリティーに関する変化 分散制御 システム 制御バルブ 計測センサー DCS プラントエリア01 分散制御 システム 制御バルブ 計測センサー DCS プラントエリア02 制御系バス プロセス制御アプリケーション用LAN 事業所用情報システム LAN OPC Server ・・・・・・・ Plant Information Server Alarm Management Server Advanced Control System ・・・・・・・ PC ファイルサ ーバー ファイアウ ォール OPC Server 制御系 階層 情報系階 層

計装アセット管理システムの例

AMS Stand Alone

AMS Server

HMI Client

Fieldbus Devices

HART Devices

HART Devices

HART Devices

HART Multiplexer

HART Compatible

DCS I/O Cards

Standard

DCS I/O Cards

Converter

RS232

RS485

4-20 mA

HART Compatible

DCS I/O Cards

計装信号の変遷

Pneumatic

Analogue

_{4 -20 mA}

Hybrid

(Smart)

Fieldbus

1940

₁₉₆₀

₁₉₈₀

₂₀₀₀

計装ベンダーによる規格

HART

etc.

デジタル通信

フィールドバス

etc.

計器のスマート化

計装信号のデジタル化

緊急遮断システムは、

アナログが主流

Region

Refinery

Area

Unit

Loop

Equipment

Second Minute Hour

Shift

Day

Week

Month Quarter

Reg.

Control

APC

・

DCS

・

MVC

OPT

Scheduling

・

Oil Movement and Storage

・

Process Unit ・Utility/Hydrogen

Supply Plan (LP)

・

Feed ・Refine ・Product

Rolling Plan

・

Monthly

・

Quarterly

制御システム（サイバー）セキュリティについて

例えば、

SICE（計測自動制御学会）産業応用部門シンポジウム

2010，

日本プラントヒューマンファクター学会誌

2011，

JPI（石油学会）経営情報部会

WG

2011，

METI（経済産業省）

制御システムセキュリティTF、および、関連WG，

（アンケートやヒアリング

等），

＝＞

SICE内において部会メンバーへのアンケート（個人、計装企業）を実施。

＝＞

最近の業務の状況。

近年、国内のプロセスプラント関連分野でも徐々に関心が高まりつつある

SICEメンバーへのアンケート（個人）

3つのグループの会員へアンケートを依頼。

回収率は10%強であり低かった。

現状では制御システムセキュリティに関する認知度・対策事例が低いことが予想される。

回答のあった会員では、

石油・化学分野が

60%と高く、加工組立産業、電力プラント分野も存在した。

制御システムセキュリティについて、国内で認証取得が可能な、

制御システムセキュリティの認証制度は必要と思われますか。

[はい]

67%

[いいえ]

0

[現時点ではどちらともいえない]

11%

[制御システムセキュリティについては担当分野でないため不明である]

22%

0

SICEメンバーへのアンケート（個人）

認証の対象として次の3つのレベルが考えられますが、

必要と思われるものを選択ください（複数選択可）。

機器（コンポーネント）：

47%

システム：

_33%

組織（ISMS的なものを想定）：

20%

顧客事業者等からの、制御セキュリティについての認証取得、

または、セキュリティ基準への準拠の要求についての事例はほとんどない。

少数の事例の地域は、今のところ、海外顧客から海外設備向け

のみ。

国内認証制度の海外との相互認証の必要性は、

100%が必要と回答。

その他

・FAに対するセキュリティ対策の必要性。 ・情報システム部門と制御システム部門が別のため危機意識不足。 ・これからの課題と認識している。

SICEメンバーへのアンケート（計装企業など）

SICE 国際標準化委員会メンバーなど

の中から、主に計装企業会員に状況を回答していただいた。

（計装関連企業

85%，

加工組立産業

15% からの回答）

国内で認証取得が可能な、制御システムサイバーセキュリティの認証制度の必要性。

はい

17%

現時点ではどちらともいえない

83%

認証の対象として次の3つのレベルが考えられますが、必要と思われるものを選択ください。

機器（コンポーネント）

36%

システム

45%

組織（ISMS的なものを想定）

18%

SICEメンバーへのアンケート（計装企業など）

その他の特徴的な回答

顧客事業者からの要求では、

要求のあったケースが非常に少なかった。

要求があったところでは、

・海外顧客から海外設備向けの要求あり。

・電力プラントでの要求あり。

・北米・欧州地域での要求あり。

・認証する対象制御システムの範囲の明確化が必要。

・具体的対策の提示が必要。

その他

コメントなど

「最近の制御システムセキュリティー要求について」

海外プラント市場における制御システムセキュリティーに関する要求の動向変化について １．これまでの、制御システムに対する要求 ・ 制御システムのセキュリティー要求はなく、主にパフォーマンスの要求。 ・ 情報系階層と制御系階層との間にファイアウォールを設置する要求は存在した。 ・ 情報系階層への情報漏洩対策として役割毎のアクセスレベル設定と機密レベルに応じた制限の要求。 補足：「セキュリティー」は、設備保安用の監視カメラあるいは、信頼性に対する要求を指していた。 ２．新たな制御システムセキュリティーの要求概要 ・ 近年発生した Stuxnet 事件発生と同時期から、サイバーセキュリティーに主眼をおいた ISA-99 などの適用ガイドラインが 明記される場合がある。 ・ プロセス制御アプリケーション用LAN と制御系バスとの間にもファイアウォール等のセキュリティー機器設置要求もある。 ・ Wireless 計装、プラントエリア内での無線LAN を使用する場合は、制御システムセキュリティーの検討をすることが要求さ れる場合がある。 ３．地域の分布、業界の広がりについて ・ 中東、南米地域。特に欧米系エンジニアリング会社の影響が大きな地域。 ・ 石油企業が化学系企業に比して先導している。 ・ 国内の制御システムメーカも、海外では欧米の委員会に参画し、また、その方式を採用して提案している。

エンジニアリング企業の現況

（一例として）

「プラントエンジニアリングの課題」

１）

ISA-99 を適用する場合があるが、具体的なシステム構築手順のワークフローについては未だ不明

確な部分も多い。

＝＞

日欧米で具体的手順を考えてゆく必要があるのではないだろうか。

2)

認証は、まだハードウエア個々の段階に留まっていて、システム全体のテストや認証は今後の課題

のように思われる。

＝＞

日欧米で具体的方法を考えてゆく必要があると思う。

3)

対応製品の整備や標準が過度に理想的なものではなく、実用的で多くの企業で採用可能なものに

なるように具体的対策を考えていく必要があるのではないだろうか。

4)

国際標準に準拠する機器やソフトウエアの整備は必要だが、それだけでなく、リスクアセスメントや

セキュリティポリシーの作成に対応できる人材育成も必要と思われる。

5)

制御システムは複数ベンダーの機器で構成されることが多く、外部からの侵入テストや防御システ

ムを実際にテストするには、単独ベンダーのテスト環境では対応できないのではないだろうか。

エンジニアリング企業の現況

（一例として）

<Independent Protection Layer >

IPL （独立防御層）

装置産業

プラントの安全と設計

第8層

地域防災対策

第7層

緊急時対策

第6層

物理的防御

(防油堤など）

第5層

物理的防御

(安全弁など）

第4層

安全計装システム

第3層 重要警報

第2層

プロセス制御

第1層

プロセス設計

制御システムセキュリティの対策立案対象

制御システムセキュリティの検討範囲

制御システムの範囲

対応策は制御システム以外の範囲でも

考えられるのではないだろうか。

HAZOP (hazard and operability study) と

CHAZOP (computer HAZOP)

プロセス

ノード

ずれ 1 ずれ 2 ずれ 3 影響 11 影響 13 影響 12 影響 21 影響 22 １． HAZOPでは、 • プロセスの「状態のズレ」とそれによる「影響」を摘出 • 各「影響」に「影響の分類」 、「リスク（被害の大きさ）」を設定 • 「対策、対応」を検討し設計に取り入れる。 ２． Alarm-Managementでは、 • 設定された「影響」 の「被害の大きさ」と「Time to Respond」等を用いて各アラームの「重要度」 を設定 • 「重要度」 に応じた表示方法を検討する。 • 不必要なアラームの発報を抑制する。 • PDCAサイクルを実施、変更管理を行なう。

_{＜プロセス設計＞}

HAZOP解析は装置や機器保護が対象（安全運転）

＜アラーム設計＞

安全運転＋安定品質、

最適運転を想定した

幅広い運転操作の解析

装置産業

プラントの安全と設計

「リスク」の大きさにより

SIL (safety integrity level) を設定

安全計装システム

＜制御システム設計＞

CHAZOP解析は装置や機器保護が対象（安全運転）

システム構成品の不具合から発生する事象を検討

する。

制御システム

セキュリティ検討

HAZOPでは、プロセスに発生する状態の変化に対応する対策を検討する。

対策は、安全計装となる場合もあるが、

設計の改良（プロセス、機器、材質など）や警報の設定などの運転面、

安全弁などの圧力放出の仕組みなどになる場合もある。

安全計装は、その役割の重要度に応じて信頼性を設定し、それに対応した仕組みを用いる。

CHAZOPでは、システム構成品の不具合から発生する事象に対応する対策を検討する。

Alarm Managementでは、警報の洪水による重要警報の見落としを防ぎ、

警報に対応した操作が行なえるように考える。

制御システムセキュリティの検討では、発生した要因の伝播を考察し、

その結果の事象の重要度に対応した対応策を検討することになると考えている。

対応策は主に制御システムへの対策になるであろうが、他の防御層での対応ということも有

り得るのではないかと思う。

装置産業

プラントの安全と設計

制御システムセキュリティについて思うこと

FMEAのような発生する要因からの検討が必要と思われる。

要因、影響の伝播、発生する事象、対応策、・・・について事例を考えてみることが必要であろうが、

対応策を検討する上からは、影響の発生形態の分類の考察も必要かもしれない。

影響の発生形態の分類：

制御システムへの直接的影響で装置に影響を与える，

or，

表示系などの情報操作によりオペレータなど人間の誤操作を誘発させる。

IEC-62433 ---- では、起きる事象の重要度からSAL (safety assurance level)を決めると思われる。

＝＞これは、要因や起きる事象によらず、SALに対応して対策を決める方法ではないかと思われる。

要因は種々あると思われるので、網羅的な対策が行なえてよいかもしれない。

しかし、

“要因”＝＞“起きる事象”＝＞“重要度”＝＞“SAL” ＝＞“SALに対応した対策”と考える他に、

“要因”＝＞“要因毎に対応した対策”を検討する考えも必要になるのであろうか？

また、

“起きる事象” に対応した対策 を考えるという方法もありえるのであろうか？

（HAZOPの考え方はこちらに近いかと思われる） （システム的な対応以外の対策の必要性（診断方法、装置の設計上の対策）も必要となるであろうか？

おわりに

今回は石油・石油化学のような装置産業の話題のみとなってしまいましたので、他産業では異な

る状況かもしれません。

制御システムセキュリティに関しては、まだ広く普及する前の段階であると感じます。

エンジニアリングの観点からも、これからどのように取り入れていくのかを検討する状況であり、ま

だ標準的な手法として整備されていないように思います。

IEC, ISAなどの標準が揃いつつありますが、未だ具体的な業務手順としては明確でない点も多く

検討が必要と思います。

プラントの安全を守り運転の信頼性を高めるために、制御システムへの対策のみならず、従来か

らの検討手法や安全対策と融合した設計方法を考える必要があるようにも思います。

日本からの具体的方法の提案や海外と国内の規格の相互認証などに期待したいと思います。

エンジニアリング企業としましては、海外での知見・方法の国内への紹介、

および、制御システムセキュリティ検討・対策を含めて、設計における安全・信頼性向上を図る方

法を

関連産・学協会と協力して

検討・活用するようになることを期待しています。