T
OYO
E
NGINEERING
C
ORPORATION
L
L
エンジニアリングからみる制御システムへの取り組み事例
(プラント設計における安全への取り組みと制御システム)
東洋エンジニアリング(株)
鈴木
剛
2012年2月23日
目次
エンジニアリング企業について
プラントの情報ネットワーク
制御システム
構成例
制御システム(サイバー)セキュリティについての認識
エンジニアリング企業の現況
プラントの安全と設計
制御システムセキュリティについて思うこと
おわりに
エンジニアリング企業について
EPC (Engineering, Procurement, Construction) Contractor
エンジニアリング企業の業務
研究開発
プロセス開発
プラント設計
調達
建設
試運転
商業運転
プラントの情報ネットワークの階層
Plant
Network
Control Network
Field Network
(Sensor Network & Device Network)
機器
計装
Level
PIMS
APC
FIELD BUS
DCS, ESD
Sub System
AMS
運転情報
制御
Level
Analog Signal
制御システム
構成例
AMS Server
HMI Station
EMV WS
Sub-Systems
•Tank Gauging
•MOV
•Jetty Control
•Truck Loading
•Analyser
Fieldbus Device
1500 devices
OPC Server
Plant Network
HART Device
500 devices
MMS WS
Machine
Monitoring
Controller
ESD PLC
System
石油化学プラント事業所内の標準的なネットワーク構成
海外プラント市場における 制御システムセキュリティーに関する変化 分散制御 システム 制御バルブ 計測センサー DCS プラントエリア01 分散制御 システム 制御バルブ 計測センサー DCS プラントエリア02 制御系バス プロセス制御アプリケーション用LAN 事業所用情報システム LAN OPC Server ・・・・・・・ Plant Information Server Alarm Management Server Advanced Control System ・・・・・・・ PC ファイルサ ーバー ファイアウ ォール OPC Server 制御系 階層 情報系階 層計装アセット管理システムの例
AMS Stand Alone
AMS Server
HMI Client
Fieldbus Devices
HART Devices
HART Devices
HART Devices
HART Multiplexer
HART Compatible
DCS I/O Cards
Standard
DCS I/O Cards
Converter
RS232
RS485
4-20 mA
HART Compatible
DCS I/O Cards
計装信号の変遷
Pneumatic
Analogue
4 -20 mA
Hybrid
(Smart)
Fieldbus
1940
1960
1980
2000
計装ベンダーによる規格
HART
etc.
デジタル通信
フィールドバス
etc.
計器のスマート化
計装信号のデジタル化
緊急遮断システムは、
アナログが主流
Region
Refinery
Area
Unit
Loop
Equipment
Second Minute Hour
Shift
Day
Week
Month Quarter
Reg.
Control
APC
・
DCS
・
MVC
OPT
Scheduling
・
Oil Movement and Storage
・
Process Unit ・Utility/Hydrogen
Supply Plan (LP)
・
Feed ・Refine ・Product
Rolling Plan
・
Monthly
・
Quarterly
制御システム(サイバー)セキュリティについて
例えば、
SICE(計測自動制御学会)産業応用部門シンポジウム
2010,
日本プラントヒューマンファクター学会誌
2011,
JPI(石油学会)経営情報部会
WG
2011,
METI(経済産業省)
制御システムセキュリティTF、および、関連WG,
(アンケートやヒアリング
等),
=>
SICE内において部会メンバーへのアンケート(個人、計装企業)を実施。
=>
最近の業務の状況。
近年、国内のプロセスプラント関連分野でも徐々に関心が高まりつつある
SICEメンバーへのアンケート(個人)
3つのグループの会員へアンケートを依頼。
回収率は10%強であり低かった。
現状では制御システムセキュリティに関する認知度・対策事例が低いことが予想される。
回答のあった会員では、
石油・化学分野が
60%と高く、加工組立産業、電力プラント分野も存在した。
制御システムセキュリティについて、国内で認証取得が可能な、
制御システムセキュリティの認証制度は必要と思われますか。
[はい]67%
[いいえ]0
[現時点ではどちらともいえない]11%
[制御システムセキュリティについては担当分野でないため不明である]22%
0
SICEメンバーへのアンケート(個人)
認証の対象として次の3つのレベルが考えられますが、
必要と思われるものを選択ください(複数選択可)。
機器(コンポーネント):47%
システム:33%
組織(ISMS的なものを想定):20%
顧客事業者等からの、制御セキュリティについての認証取得、
または、セキュリティ基準への準拠の要求についての事例はほとんどない。
少数の事例の地域は、今のところ、海外顧客から海外設備向け
のみ。
国内認証制度の海外との相互認証の必要性は、
100%が必要と回答。
その他
・FAに対するセキュリティ対策の必要性。 ・情報システム部門と制御システム部門が別のため危機意識不足。 ・これからの課題と認識している。SICEメンバーへのアンケート(計装企業など)
SICE 国際標準化委員会メンバーなど
の中から、主に計装企業会員に状況を回答していただいた。
(計装関連企業
85%,
加工組立産業
15% からの回答)
国内で認証取得が可能な、制御システムサイバーセキュリティの認証制度の必要性。
はい
17%
現時点ではどちらともいえない
83%
認証の対象として次の3つのレベルが考えられますが、必要と思われるものを選択ください。
機器(コンポーネント)
36%
システム
45%
組織(ISMS的なものを想定)
18%
SICEメンバーへのアンケート(計装企業など)
その他の特徴的な回答
顧客事業者からの要求では、
要求のあったケースが非常に少なかった。
要求があったところでは、
・海外顧客から海外設備向けの要求あり。
・電力プラントでの要求あり。
・北米・欧州地域での要求あり。
・認証する対象制御システムの範囲の明確化が必要。
・具体的対策の提示が必要。
その他
コメントなど
「最近の制御システムセキュリティー要求について」
海外プラント市場における制御システムセキュリティーに関する要求の動向変化について 1.これまでの、制御システムに対する要求 ・ 制御システムのセキュリティー要求はなく、主にパフォーマンスの要求。 ・ 情報系階層と制御系階層との間にファイアウォールを設置する要求は存在した。 ・ 情報系階層への情報漏洩対策として役割毎のアクセスレベル設定と機密レベルに応じた制限の要求。 補足:「セキュリティー」は、設備保安用の監視カメラあるいは、信頼性に対する要求を指していた。 2.新たな制御システムセキュリティーの要求概要 ・ 近年発生した Stuxnet 事件発生と同時期から、サイバーセキュリティーに主眼をおいた ISA-99 などの適用ガイドラインが 明記される場合がある。 ・ プロセス制御アプリケーション用LAN と制御系バスとの間にもファイアウォール等のセキュリティー機器設置要求もある。 ・ Wireless 計装、プラントエリア内での無線LAN を使用する場合は、制御システムセキュリティーの検討をすることが要求さ れる場合がある。 3.地域の分布、業界の広がりについて ・ 中東、南米地域。特に欧米系エンジニアリング会社の影響が大きな地域。 ・ 石油企業が化学系企業に比して先導している。 ・ 国内の制御システムメーカも、海外では欧米の委員会に参画し、また、その方式を採用して提案している。エンジニアリング企業の現況
(一例として)
「プラントエンジニアリングの課題」
1)
ISA-99 を適用する場合があるが、具体的なシステム構築手順のワークフローについては未だ不明
確な部分も多い。
=>
日欧米で具体的手順を考えてゆく必要があるのではないだろうか。
2)
認証は、まだハードウエア個々の段階に留まっていて、システム全体のテストや認証は今後の課題
のように思われる。
=>
日欧米で具体的方法を考えてゆく必要があると思う。
3)
対応製品の整備や標準が過度に理想的なものではなく、実用的で多くの企業で採用可能なものに
なるように具体的対策を考えていく必要があるのではないだろうか。
4)
国際標準に準拠する機器やソフトウエアの整備は必要だが、それだけでなく、リスクアセスメントや
セキュリティポリシーの作成に対応できる人材育成も必要と思われる。
5)
制御システムは複数ベンダーの機器で構成されることが多く、外部からの侵入テストや防御システ
ムを実際にテストするには、単独ベンダーのテスト環境では対応できないのではないだろうか。
エンジニアリング企業の現況
(一例として)
<Independent Protection Layer >
IPL (独立防御層)
装置産業
プラントの安全と設計
第8層
地域防災対策
第7層
緊急時対策
第6層
物理的防御
(防油堤など)
第5層
物理的防御
(安全弁など)
第4層
安全計装システム
第3層 重要警報
第2層
プロセス制御
第1層
プロセス設計
制御システムセキュリティの対策立案対象
制御システムセキュリティの検討範囲
制御システムの範囲
対応策は制御システム以外の範囲でも
考えられるのではないだろうか。
HAZOP (hazard and operability study) と
CHAZOP (computer HAZOP)
プロセス
ノード
ずれ 1 ずれ 2 ずれ 3 影響 11 影響 13 影響 12 影響 21 影響 22 1. HAZOPでは、 • プロセスの「状態のズレ」とそれによる「影響」を摘出 • 各「影響」に「影響の分類」 、「リスク(被害の大きさ)」を設定 • 「対策、対応」を検討し設計に取り入れる。 2. Alarm-Managementでは、 • 設定された「影響」 の「被害の大きさ」と「Time to Respond」等を用いて各アラームの「重要度」 を設定 • 「重要度」 に応じた表示方法を検討する。 • 不必要なアラームの発報を抑制する。 • PDCAサイクルを実施、変更管理を行なう。<プロセス設計>
HAZOP解析は装置や機器保護が対象(安全運転)
<アラーム設計>
安全運転+安定品質、
最適運転を想定した
幅広い運転操作の解析
装置産業
プラントの安全と設計
「リスク」の大きさによりSIL (safety integrity level) を設定
安全計装システム