《煙草機(jī)械設(shè)備工控和智能系統(tǒng)安全技術(shù)要求》編制說明工作簡況任務(wù)來源（1）項目提出的背景根據(jù)國家局《國煙計〔2020〕35號》推進(jìn)卷煙工業(yè)技術(shù)改造的指導(dǎo)意見及近期國家局行業(yè)云平臺建設(shè)的發(fā)展看來，隨著兩化融合、智能制造和工業(yè)互聯(lián)網(wǎng)等的廣泛推廣，網(wǎng)絡(luò)安全問題不斷向下延伸。近年來，針對設(shè)備的工控和智能系統(tǒng)的網(wǎng)絡(luò)攻擊日益增多，安全形勢愈發(fā)嚴(yán)峻。煙機(jī)設(shè)備作為煙草生產(chǎn)的核心組成部分，一旦遭受網(wǎng)絡(luò)攻擊將極大威脅煙草行業(yè)生產(chǎn)安全。因此，行業(yè)亟需開展針對煙機(jī)設(shè)備智能化安全技術(shù)要求的研究，以充分發(fā)揮標(biāo)準(zhǔn)在推進(jìn)煙機(jī)設(shè)備智能化建設(shè)中的指導(dǎo)、規(guī)范、引領(lǐng)和保障作用，為煙草行業(yè)實現(xiàn)安全、可控的智能制造保駕護(hù)航。（2）項目目的及意義《煙草機(jī)械設(shè)備工控和智能系統(tǒng)安全要求》行業(yè)標(biāo)準(zhǔn)發(fā)布后，將促進(jìn)煙草行業(yè)結(jié)合生產(chǎn)工藝和操作流程，構(gòu)建全方位立體式、貫穿全生命周期的煙機(jī)設(shè)備工控和智能系統(tǒng)安全管理與技術(shù)防護(hù)體系?；诒緲?biāo)準(zhǔn)的應(yīng)用實踐，一是可加快煙草機(jī)械設(shè)備工控和智能系統(tǒng)安全防護(hù)建設(shè)標(biāo)準(zhǔn)化的步伐，強(qiáng)化物理安全、訪問控制、安全基線、安全檢測、合規(guī)審計、應(yīng)急響應(yīng)等方面的防護(hù)策略與管理機(jī)制。二是增強(qiáng)煙草企業(yè)生產(chǎn)安全運維管控能力，采用更積極主動的防護(hù)策略，將工控和智能系統(tǒng)安全整合到煙草機(jī)械設(shè)備全生命周期，降低安全防護(hù)建設(shè)與維護(hù)成本。三是構(gòu)建煙草機(jī)械設(shè)備工控和智能系統(tǒng)安全長效發(fā)展機(jī)制，提升煙草企業(yè)員工的安全管理意識和安全技術(shù)能力，并有效降低煙草機(jī)械設(shè)備工控和智能系統(tǒng)安全風(fēng)險。（3）任務(wù)計劃本標(biāo)準(zhǔn)編制任務(wù)納入國家煙草專賣局下達(dá)的2024年度煙草行業(yè)標(biāo)準(zhǔn)項目計劃（國煙科〔2024〕37號，合同號2024B012）。中國煙草標(biāo)準(zhǔn)化研究中心為協(xié)助管理單位，歸口技術(shù)委員會為煙機(jī)分標(biāo)委（TC144/SC3）。標(biāo)準(zhǔn)計劃完成時間為2024年12月。項目承擔(dān)單位、協(xié)作單位及主要分工本項目由中國煙草機(jī)械集團(tuán)有限責(zé)任公司牽頭，國家煙草專賣局煙草經(jīng)濟(jì)信息中心、浙江中煙工業(yè)有限責(zé)任公司、湖北中煙工業(yè)有限責(zé)任公司、云南中煙工業(yè)有限責(zé)任公司、上海煙草機(jī)械有限責(zé)任公司、常德煙草機(jī)械有限責(zé)任公司、許昌煙草機(jī)械有限責(zé)任公司共同承擔(dān)。中國煙草機(jī)械集團(tuán)有限責(zé)任公司：牽頭承擔(dān)單位，主要負(fù)責(zé)項目組織協(xié)調(diào)、進(jìn)度安排、總體方向指引、前言及引言的編制、標(biāo)準(zhǔn)審核審定工作，為標(biāo)準(zhǔn)制修訂提供技術(shù)和人員保障。國家煙草專賣局煙草經(jīng)濟(jì)信息中心：提供包括組織、提供標(biāo)準(zhǔn)、項目調(diào)研、討論、宣講和推廣等多方面的支持工作。浙江中煙工業(yè)有限責(zé)任公司：中國電子工業(yè)標(biāo)準(zhǔn)化技術(shù)協(xié)會工業(yè)控制系統(tǒng)信息安全防護(hù)能力推進(jìn)分會委員單位。主要在工控系統(tǒng)風(fēng)險評估、工廠網(wǎng)絡(luò)安全防護(hù)體系等工業(yè)控制安全防護(hù)領(lǐng)域協(xié)助編制工作。湖北中煙工業(yè)有限責(zé)任公司：生產(chǎn)制造裝備覆蓋較為全面，具有實踐經(jīng)驗豐富、業(yè)務(wù)能力突出，主要在標(biāo)準(zhǔn)化、電氣技術(shù)、網(wǎng)絡(luò)技術(shù)、設(shè)備安全等領(lǐng)域協(xié)助編制工作。云南中煙工業(yè)有限責(zé)任公司：全國19家卷煙工業(yè)企業(yè)中產(chǎn)銷規(guī)模最大的省級中煙公司，生產(chǎn)線齊全。通過在工控安全積累的較豐富的實踐經(jīng)驗，協(xié)助編制工作。上海煙草機(jī)械有限責(zé)任公司：中國第一家從事煙草機(jī)械產(chǎn)品研發(fā)和生產(chǎn)制造的生產(chǎn)企業(yè)，協(xié)助標(biāo)準(zhǔn)的制定和修訂。常德煙草機(jī)械有限責(zé)任公司：行業(yè)的卷接設(shè)備制造基地，協(xié)助標(biāo)準(zhǔn)的制定和修訂。許昌煙草機(jī)械有限責(zé)任公司：專業(yè)從事濾棒成型和輔聯(lián)物流設(shè)備研發(fā)制造企業(yè)，協(xié)助標(biāo)準(zhǔn)的制定和修訂。主要工作過程（起草、試驗驗證、征求意見、送審、報批等環(huán)節(jié)及項目研討會等內(nèi)容）本項目主要工作過程如下：（1）項目啟動、制定計劃。2024年4月，由中國煙草機(jī)械集團(tuán)有限責(zé)任公司牽頭成立項目組，正式啟動標(biāo)準(zhǔn)制定工作。項目組組織召開標(biāo)準(zhǔn)啟動會暨第一次工作會，各與會代表對編制大綱內(nèi)容進(jìn)行充分討論，重點對標(biāo)準(zhǔn)項目的重要意義、編制的工作范圍、原則、內(nèi)容框架等內(nèi)容進(jìn)行了研討，形成一致意見。會議確定項目實施組織機(jī)構(gòu)及分工、實施進(jìn)度計劃，初步討論了《煙草機(jī)械設(shè)備工控和智能系統(tǒng)安全技術(shù)要求》總體框架。（2）調(diào)查研究，編制技術(shù)報告。2024年5月，為了解行業(yè)煙草機(jī)械設(shè)備工控和智能系統(tǒng)安全現(xiàn)狀，從工控和智能系統(tǒng)的硬件安全性能、工控和智能系統(tǒng)的軟件安全性能、工控和智能系統(tǒng)的網(wǎng)絡(luò)安全性能、工控和智能系統(tǒng)的人機(jī)界面安全性能入手，更全面地了解行業(yè)內(nèi)外設(shè)備工控和智能系統(tǒng)安全趨勢的發(fā)展情況，并為制定未來的發(fā)展規(guī)劃提供參考。同時，也可以發(fā)現(xiàn)目前行業(yè)內(nèi)外設(shè)備工控和智能系統(tǒng)安全技術(shù)存在的不足，為進(jìn)一步提高設(shè)備工控和智能系統(tǒng)安全性能提供參考。（3）確定框架，細(xì)化分工根據(jù)調(diào)研情況擬定了標(biāo)準(zhǔn)主要框架內(nèi)容。確定由6個部分系列標(biāo)準(zhǔn)組成，包括“第1部分：范圍”“第2部分：規(guī)范性引用文件”“第3部分：術(shù)語和定義”“第4部分：煙機(jī)工控和智能系統(tǒng)結(jié)構(gòu)”“第5部分：煙機(jī)工控和智能系統(tǒng)安全保護(hù)對象”“第6部分：煙機(jī)工控和智能設(shè)備安全要求”。同時，經(jīng)過充分討論，基本明確了各個部分的主要內(nèi)容。根據(jù)6大部分內(nèi)容，細(xì)化了任務(wù)分工，由中國煙草機(jī)械集團(tuán)有限責(zé)任公司牽頭，煙草經(jīng)濟(jì)信息中心，浙江、湖北、云南中煙工業(yè)有限責(zé)任公司，上海、常德、許昌煙草機(jī)械有限責(zé)任公司配合。（4）完善大綱，細(xì)化內(nèi)容，擬定初稿。2024年6月，在浙江中煙召開“工控及智能系統(tǒng)工控安全技術(shù)標(biāo)準(zhǔn)討論交流會”，開展了為期3天的標(biāo)準(zhǔn)集中編制和研討工作。經(jīng)充分研討，確定了6大部分組成的可行性及基礎(chǔ)組成框架，形成《煙草機(jī)械設(shè)備工控和智能系統(tǒng)安全技術(shù)要求》（討論稿第一版）。（5）修改完善，形成征求意見稿。2024年7月，組織騰訊會議對討論稿進(jìn)行討論，確定了詳細(xì)的網(wǎng)絡(luò)拓?fù)鋱D及技術(shù)要求部分修訂意見，并于會后進(jìn)行了詳細(xì)編制調(diào)整，形成《煙草機(jī)械設(shè)備工控和智能系統(tǒng)安全技術(shù)要求》（討論稿第二版），分發(fā)各配合單位研討。2024年8月，在云南中煙開展工控和智能系統(tǒng)安全標(biāo)準(zhǔn)研討會，對討論稿第二版集中研討交流。對“第5部分：煙機(jī)工控和智能系統(tǒng)安全保護(hù)對象”“第6部分：煙機(jī)工控和智能設(shè)備安全要求”內(nèi)容進(jìn)行了修改完善，并于會后進(jìn)行了詳細(xì)編制調(diào)整，形成《煙草機(jī)械設(shè)備工控和智能系統(tǒng)安全技術(shù)要求》（討論稿第三版），分發(fā)各配合單位研討。2024年9月，組織騰訊會議對討論稿第三版進(jìn)行討論，調(diào)整了網(wǎng)絡(luò)拓?fù)渲懈鲗哟蔚亩x及技術(shù)要求的內(nèi)容整合，并于會后進(jìn)行了詳細(xì)編制調(diào)整，形成《煙草機(jī)械設(shè)備工控和智能系統(tǒng)安全技術(shù)要求》（討論稿第四版），分發(fā)各配合單位研討。2024年10月，組織騰訊會議對討論稿第四版進(jìn)行討論，增進(jìn)“第1部分：范圍”“第2部分：規(guī)范性引用文件”“第3部分：術(shù)語和定義”的合理性及規(guī)范性，并對全篇的格式進(jìn)行了規(guī)范調(diào)整，于會后進(jìn)行了詳細(xì)編制調(diào)整，形成《煙草機(jī)械設(shè)備工控和智能系統(tǒng)安全技術(shù)要求》（征求意見稿）。相關(guān)領(lǐng)域的國內(nèi)外標(biāo)準(zhǔn)研究和制修訂情況國外機(jī)構(gòu)及組織相關(guān)研究情況國際電工委員會（IEC）制定的IEC62443《工業(yè)通信網(wǎng)絡(luò)-網(wǎng)絡(luò)和系統(tǒng)安全》是一個基于國際標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全框架，旨在為工業(yè)自動化系統(tǒng)（ICS系統(tǒng)）的安全運行提供支持，涵蓋設(shè)計、實施及管理等多個方面。為此，該系列中的各種標(biāo)準(zhǔn)規(guī)定了適用于組件制造商、系統(tǒng)集成商和運營商的規(guī)則，全面涵蓋了自動化領(lǐng)域的信息安全問題，包括物理安全、網(wǎng)絡(luò)安全、訪問控制、數(shù)據(jù)保護(hù)等。其中IEC62443-2-1描述了網(wǎng)絡(luò)信息安全管理系統(tǒng)所要求的元素和工作流程，IEC62443-3-3描述了工業(yè)自動化系統(tǒng)網(wǎng)絡(luò)信息安全要求以及安全等級劃分，IEC62443-4-1是從產(chǎn)品開發(fā)維度要求組件制造商必須確保產(chǎn)品的安全，IEC62443-4-2則提出了設(shè)備和系統(tǒng)制造商要實現(xiàn)產(chǎn)品安全交互。目前，IEC62443標(biāo)準(zhǔn)已被廣泛應(yīng)用于各種行業(yè)，包括化工、電力、水處理、交通運輸?shù)取ＴS多國家也將IEC62443標(biāo)準(zhǔn)列為必要的網(wǎng)絡(luò)安全要求，包括美國、加拿大、德國、荷蘭、日本等。美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)制定了工業(yè)控制系統(tǒng)安全指南(NIST.SP800.82)。NIST.SP800.82指南是為應(yīng)對日益增多的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)攻擊而制定的。這些攻擊已經(jīng)在不同行業(yè)和領(lǐng)域中造成了大量的損失。例如，2008年，烏克蘭的一座煤礦遭受了網(wǎng)絡(luò)攻擊，使得礦井的電力系統(tǒng)癱瘓，導(dǎo)致了兩名工人的死亡。類似的攻擊事件還有2015年烏克蘭電網(wǎng)攻擊事件等。這些事件表明，設(shè)備工業(yè)控制和智能系統(tǒng)的安全已成為一個迫切的問題。NIST.SP800.82指南包含了以下內(nèi)容：工業(yè)控制系統(tǒng)的基本概念和定義、工業(yè)控制系統(tǒng)特性，面臨的威脅和脆弱性風(fēng)險、工業(yè)控制系統(tǒng)安全程序開發(fā)與部署、工業(yè)控制系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)、工業(yè)控制系統(tǒng)安全控制等。該標(biāo)準(zhǔn)旨在保護(hù)ICS的安全性，為工業(yè)控制系統(tǒng)的設(shè)計、制造、測試、使用和維護(hù)提供了重要的指導(dǎo)和建議。國內(nèi)相關(guān)部門及組織研究情況我國的工業(yè)主管部門及相關(guān)機(jī)構(gòu)也制定了多項工控安全防護(hù)指南及標(biāo)準(zhǔn)，如表1所示。例如，工業(yè)和信息化部印發(fā)《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》，為國內(nèi)工業(yè)企業(yè)制定工控安全防護(hù)實施方案提供指導(dǎo)方向。該文件充分體現(xiàn)了《國家網(wǎng)絡(luò)安全法》中網(wǎng)絡(luò)安全支持與促進(jìn)、網(wǎng)絡(luò)運行安全、網(wǎng)絡(luò)信息安全、監(jiān)測預(yù)警與應(yīng)急處置等法規(guī)在工控安全領(lǐng)域的要求，是《國家網(wǎng)絡(luò)安全法》在工業(yè)領(lǐng)域的具體應(yīng)用。突出了工業(yè)企業(yè)主體責(zé)任，根據(jù)我國工控安全管理工作實踐經(jīng)驗，面向工業(yè)企業(yè)提出工控安全防護(hù)要求，確立企業(yè)作為工控安全責(zé)任主體，要求企業(yè)明確工控安全管理責(zé)任人，落實工控安全責(zé)任制。考慮我國工控安全現(xiàn)狀，強(qiáng)調(diào)了工業(yè)控制系統(tǒng)全生命周期安全防護(hù)，涵蓋工業(yè)控制系統(tǒng)設(shè)計、選型、建設(shè)、測試、運行、檢修、廢棄各階段防護(hù)工作要求，從安全軟件選型、訪問控制策略構(gòu)建、數(shù)據(jù)安全保護(hù)、資產(chǎn)配置管理等方面提出了具體實施細(xì)則。表1國家層面工控安全防護(hù)指南及標(biāo)準(zhǔn)匯總表序號標(biāo)準(zhǔn)號標(biāo)準(zhǔn)名稱1GB30439工業(yè)自動化產(chǎn)品安全要求2GB/T26333-2010工業(yè)控制網(wǎng)絡(luò)安全風(fēng)險評估規(guī)范3GB/T30976工業(yè)控制系統(tǒng)信息安全（所有部分）4GB/T36324-2018信息安全技術(shù)工業(yè)控制系統(tǒng)信息安全分級規(guī)范5GB/T37933-2019信息安全技術(shù)工業(yè)控制系統(tǒng)專用防火墻技術(shù)要求6GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求7GB/T39276-2020信息安全技術(shù)網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全通用要求 8GB/T37980-2019信息安全技術(shù)工業(yè)控制系統(tǒng)安全檢查指南 9GB/T38847-2020智能工廠工業(yè)控制異常監(jiān)測工具技術(shù)要求 10GB/T37934-2019信息安全技術(shù)工業(yè)控制網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)安全技術(shù)要求11GB/T37953-2019信息安全技術(shù)工業(yè)控制網(wǎng)絡(luò)監(jiān)測安全技術(shù)要求及測試評價方法12GB/T20275-2021信息安全技術(shù)網(wǎng)絡(luò)入侵檢測系統(tǒng)技術(shù)要求和測試評價方法13GB/T29765-2021信息安全技術(shù)數(shù)據(jù)備份與恢復(fù)產(chǎn)品技術(shù)要求與測試評價方法 14GB/T39276-2020工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全工業(yè)自動化和控制系統(tǒng)信息安全技術(shù)全國信息安全標(biāo)準(zhǔn)化委員會（SAC/TC260）提出《信息安全技術(shù)工業(yè)控制系統(tǒng)安全控制應(yīng)用指南》（GB/T32919-2016），指南針對各行業(yè)使用的工業(yè)控制系統(tǒng)給出的安全控制應(yīng)用基本方法，是指導(dǎo)選擇、裁剪、補(bǔ)償和補(bǔ)充工業(yè)控制系統(tǒng)安全控制，形成適合組織需要的安全控制基線，以滿足組織對工業(yè)控制系統(tǒng)安全需求，實現(xiàn)對工業(yè)控制系統(tǒng)進(jìn)行適度、有效的風(fēng)險控制管理。本標(biāo)準(zhǔn)提供了可用于工業(yè)控制系統(tǒng)的安全控制列表，規(guī)約了工業(yè)控制系統(tǒng)的安全控制選擇過程，以便構(gòu)造工業(yè)控制系統(tǒng)的安全解決方案。為工業(yè)控制系統(tǒng)信息安全設(shè)計、實現(xiàn)、整改工作提供指導(dǎo)，也為工業(yè)控制系統(tǒng)信息安全運行、風(fēng)險評估和安全檢查工作提供參考。中國國家標(biāo)準(zhǔn)化管理委員會發(fā)布的《信息安全技術(shù)—網(wǎng)絡(luò)安全等級保護(hù)基本要求》（GB/T22239-2019）中第5部分對工控安全進(jìn)行詳細(xì)描述，并專門對工控分層模型等內(nèi)容進(jìn)行了描述。該部分規(guī)定了工控和智能系統(tǒng)應(yīng)實現(xiàn)相應(yīng)級別的安全通用要求之外，還擴(kuò)展了包括身份鑒別、訪問控制和安全審計等安全要求。如控制設(shè)備應(yīng)進(jìn)行安全性檢測，并通過專用設(shè)備和專用軟件進(jìn)行更新。相應(yīng)的控制設(shè)備應(yīng)關(guān)閉或拆除軟盤驅(qū)動、光盤驅(qū)動、USB接口、串行口或多余網(wǎng)口等，并使用專用設(shè)備和專用軟件進(jìn)行更新。組織在采購和使用工控和智能系統(tǒng)重要設(shè)備時應(yīng)通過專業(yè)機(jī)構(gòu)的安全性檢測。該擴(kuò)展部分適用于工控和智能系統(tǒng)擁有者、使用者、設(shè)計實現(xiàn)者以及信息安全管理部門，為工控和智能系統(tǒng)信息安全設(shè)計、實現(xiàn)、整改工作提供指導(dǎo)，也為工控和智能系統(tǒng)信息安全運行、風(fēng)險評估和安全檢查工作提供參考。標(biāo)準(zhǔn)編制原則及主要內(nèi)容確定的依據(jù)標(biāo)準(zhǔn)適用范圍本文件規(guī)定了煙草機(jī)械設(shè)備工控與智能系統(tǒng)結(jié)構(gòu)、安全保護(hù)對象及安全要求。本文件適用于國產(chǎn)煙草機(jī)械設(shè)備的設(shè)計、制造、安裝、調(diào)試、測試、組網(wǎng)、運行及改造。標(biāo)準(zhǔn)編制原則本項目標(biāo)準(zhǔn)編制原則如下：一是符合國家相關(guān)政策導(dǎo)向，充分與行業(yè)政策有效銜接。二是面向煙草機(jī)械設(shè)備工控和智能系統(tǒng)安全的本質(zhì)需求，堅持問題導(dǎo)向、目標(biāo)導(dǎo)向。三是突出行業(yè)特色，處理好適用性、包容性與多元化的關(guān)系。四是充分體現(xiàn)煙草機(jī)械設(shè)備工控和智能系統(tǒng)安全發(fā)展趨勢，堅持前瞻性和落地性相結(jié)合。五是保持與其他相關(guān)標(biāo)準(zhǔn)協(xié)調(diào)一致性，把握好標(biāo)準(zhǔn)的廣度與深度。標(biāo)準(zhǔn)主要內(nèi)容確定的依據(jù)(如標(biāo)準(zhǔn)主要技術(shù)指標(biāo)、參數(shù)、公式、性能要求、試驗方法、檢驗規(guī)則等確定的依據(jù)，如相關(guān)試驗、驗證、調(diào)研、統(tǒng)計分析情況及數(shù)據(jù)等)本標(biāo)準(zhǔn)的主要內(nèi)容包括：范圍、規(guī)范性引用文件、術(shù)語和定義、煙機(jī)工控和智能系統(tǒng)結(jié)構(gòu)、煙機(jī)工控和智能系統(tǒng)安全保護(hù)對象、煙機(jī)工控和智能設(shè)備安全要求6個部分，其中后4個部分內(nèi)容確定的依據(jù)如下：（1）術(shù)語和定義本章節(jié)依據(jù)《工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全術(shù)語、概念和模型》（GB/T40211）和《信息安全技術(shù)工業(yè)控制系統(tǒng)信息安全防護(hù)能力成熟度模型》（GB/T41400）中術(shù)語和定義內(nèi)容，對在煙草機(jī)械設(shè)備行業(yè)中的專用術(shù)語進(jìn)行了補(bǔ)充。其中GB/T40211和GB/T41400引入了目前被廣泛接受和認(rèn)可的IEC/TS62443-1-1:2009《工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全第1-1部分：術(shù)語、概念和模型》中的術(shù)語和定義，這些術(shù)語和定義基本上全面覆蓋了工業(yè)控制系統(tǒng)安全相關(guān)的內(nèi)容，項目組按照“術(shù)語和定義”不再進(jìn)行內(nèi)容重復(fù)的原則，最終確定在本標(biāo)準(zhǔn)中對“煙草機(jī)械設(shè)備工控系統(tǒng)”“煙草機(jī)械設(shè)備智能管理系統(tǒng)”“專用裝置”“智能數(shù)據(jù)采集與控制裝置”“網(wǎng)絡(luò)邊界”等5個煙草機(jī)械設(shè)備工控和智能系統(tǒng)安全技術(shù)要求的關(guān)鍵術(shù)語和定義進(jìn)行規(guī)定。（2）煙機(jī)工控和智能系統(tǒng)結(jié)構(gòu)隨著計算機(jī)、通訊、控制技術(shù)的飛速發(fā)展，滿足煙草機(jī)械設(shè)備控制要求的工控系統(tǒng)組合愈來愈多，工控系統(tǒng)構(gòu)架中的基本元素更加豐富，單一元素的功能越來越強(qiáng)大。國外以德國Hauni、FOCKE和意大利GD等為代表的煙草機(jī)械企業(yè)都推出了各自的煙草技術(shù)設(shè)備工控系統(tǒng)，他們的工控系統(tǒng)架構(gòu)中基本都包含：監(jiān)控系統(tǒng)（HMI）--通訊總線→特殊功能模塊/主控器--控制總線→驅(qū)動系統(tǒng)/分布式I/O→檢測器件/執(zhí)行器件等組件。圖1德國Hauni公司M5卷接機(jī)組及工控系統(tǒng)架構(gòu)圖圖2德國Hauni公司PROTOS2-2卷接機(jī)組及工控系統(tǒng)架構(gòu)圖圖3德國FOCKE公司FC800硬盒包裝機(jī)組及工控系統(tǒng)架構(gòu)圖圖4德國FOCKE公司F8硬盒包裝機(jī)組及工控系統(tǒng)架構(gòu)圖圖5意大利GD公司GDX6S軟盒包裝機(jī)組及工控系統(tǒng)架構(gòu)圖近年來，隨著工控系統(tǒng)軟硬件技術(shù)和性能的不斷提高，用于工控系統(tǒng)的各組件性能均得到提升：HMI由觸摸屏（TS）發(fā)展到工控機(jī)（IPC）；主控器由可編程邏輯控制器（PLC）發(fā)展到工控機(jī)（IPC）；驅(qū)動系統(tǒng)由單一驅(qū)動功能發(fā)展到控制+驅(qū)動功能；總線技術(shù)由傳統(tǒng)的中速現(xiàn)場總線發(fā)展到高速工業(yè)以太網(wǎng)，而上述工控系統(tǒng)元素的性能提升意味著工控系統(tǒng)架構(gòu)節(jié)點功能的增強(qiáng)：主控器IPC可集成特殊功能模塊的控制功能；監(jiān)控系統(tǒng)（HMI）IPC可完成主控器的控制功能；伺服系統(tǒng)控制器可滿足主控器功能；工業(yè)以太網(wǎng)將控制總線和通訊總線合二為一等。為加快國產(chǎn)煙機(jī)工控系統(tǒng)技術(shù)進(jìn)步，煙機(jī)公司于2008年批準(zhǔn)成立了煙機(jī)產(chǎn)品統(tǒng)一電控平臺的項目組開展國產(chǎn)煙機(jī)工控系統(tǒng)研究，經(jīng)過多年的實踐、改進(jìn)和完善，逐漸形成了以倍福IPC為控制核心，以ETHERCAT總線為主、PROFIBUS/PROFINET總線為輔的總線技術(shù)，基于ETHERNET（以太網(wǎng)）技術(shù)的TCP/IP和ADS通訊協(xié)議，符合數(shù)據(jù)規(guī)范和通訊協(xié)議的伺服控制系統(tǒng)，并包含適合整個生產(chǎn)線的人機(jī)界面的符合技術(shù)發(fā)展和滿足煙機(jī)產(chǎn)品需求的完整的解決方案。形成方案后，煙機(jī)公司組織在ZJ119（12000支/分）卷接機(jī)組、ZB415（500包/分）包裝機(jī)組、ZB49（600包/分）包裝機(jī)組和ZL29型濾棒成型機(jī)組上進(jìn)行前期試點應(yīng)用，目前已覆蓋國產(chǎn)煙機(jī)卷接、輔聯(lián)、成型和包裝等主力機(jī)型。該工控系統(tǒng)方案相比目前最主流的卷接包和成型機(jī)組的電控系統(tǒng)，在硬件選型上更為新型，在系統(tǒng)構(gòu)架上更為合理，操作系統(tǒng)更為主流，在編程環(huán)境更為人性化，性能指標(biāo)有了大幅提高，形成較大的階段性的突破。圖6國產(chǎn)煙機(jī)統(tǒng)一電控平臺系統(tǒng)架構(gòu)圖隨著煙草行業(yè)智能化、數(shù)字化建設(shè)的快速發(fā)展，煙草機(jī)械設(shè)備也在加快向智能化、數(shù)字化轉(zhuǎn)型，煙機(jī)公司在各控股企業(yè)設(shè)備智能管理系統(tǒng)行業(yè)應(yīng)用的基礎(chǔ)上，通過統(tǒng)一界面設(shè)計風(fēng)格、統(tǒng)一功能定義、統(tǒng)一技術(shù)架構(gòu)、統(tǒng)一數(shù)據(jù)標(biāo)準(zhǔn)、統(tǒng)一技術(shù)資料標(biāo)準(zhǔn)，融合推出集團(tuán)公司統(tǒng)一標(biāo)準(zhǔn)化的“煙機(jī)設(shè)備智能管理系統(tǒng)”（TIMS：Tobacco-machineryIntelligentManagementSystem），完成ZB25/28/45/47/48//415/416/417等包裝機(jī)組、ZJ116A/116B/118/119等卷接機(jī)組、ZL29A成型機(jī)組和YF17A/ZF19輔聯(lián)設(shè)備TIMS系統(tǒng)研發(fā)，截至目前，行業(yè)卷接、包裝、輔聯(lián)和成型設(shè)備TIMS系統(tǒng)應(yīng)用設(shè)備已經(jīng)達(dá)到315組（其中包裝機(jī)組171組、卷接機(jī)組141組、成型機(jī)組1組、輔聯(lián)設(shè)備2組）。圖7煙機(jī)設(shè)備智能管理系統(tǒng)架構(gòu)圖8煙機(jī)設(shè)備智能管理系統(tǒng)技術(shù)架構(gòu)國際《企業(yè)控制系統(tǒng)集成第1部分:模型和術(shù)語》（IEC62264-1）中經(jīng)典層級模型，按照功能從上到下分為企業(yè)資源層、生產(chǎn)管理層、過程監(jiān)控層、現(xiàn)場控制層和現(xiàn)場設(shè)備層。其中現(xiàn)場設(shè)備層主要由執(zhí)行器、傳感器等構(gòu)成，負(fù)責(zé)生產(chǎn)中的物理變量和電信號轉(zhuǎn)換，以及數(shù)據(jù)采集和控制命令執(zhí)行，是智能制造數(shù)字化的基礎(chǔ)。這一層的設(shè)備直接與生產(chǎn)現(xiàn)場的物理過程交互，為整個控制系統(tǒng)提供了最原始的數(shù)據(jù)來源?，F(xiàn)場控制層由DCS控制器、PLC等組成，接收現(xiàn)場設(shè)備層數(shù)據(jù)并計算控制量，操作員站和工程師站可實現(xiàn)多種控制功能，對現(xiàn)場設(shè)備進(jìn)行監(jiān)視和控制。在這一層，控制指令的生成和執(zhí)行直接影響著生產(chǎn)過程的穩(wěn)定性和準(zhǔn)確性。過程監(jiān)控層涵蓋操作員站、工程師站等，集中監(jiān)控生產(chǎn)現(xiàn)場和狀態(tài)，把控企業(yè)生產(chǎn)狀況。通過對現(xiàn)場數(shù)據(jù)的匯總和分析，為生產(chǎn)管理提供實時的信息支持。生產(chǎn)運營層包含MES、MIS系統(tǒng)等，實現(xiàn)生產(chǎn)過程的執(zhí)行管理、數(shù)據(jù)處理和指揮調(diào)度。這一層級主要負(fù)責(zé)協(xié)調(diào)生產(chǎn)流程，優(yōu)化資源配置，以提高生產(chǎn)效率和質(zhì)量。決策管理層由ERP、CRM等組成，整合各類資源，為企業(yè)管理經(jīng)營者提供決策支持?；谌娴臄?shù)據(jù)和分析，幫助企業(yè)制定長遠(yuǎn)的發(fā)展戰(zhàn)略和決策。本章節(jié)依據(jù)上述材料，并根據(jù)對煙草機(jī)械設(shè)備行業(yè)主要設(shè)備制造企業(yè)和卷煙工業(yè)企業(yè)等用戶的調(diào)研結(jié)果，提出了典型煙機(jī)工控和智能系統(tǒng)組成架構(gòu)。典型煙機(jī)工控和智能系統(tǒng)組成架構(gòu)包括了現(xiàn)場設(shè)備層、現(xiàn)場控制層、過程監(jiān)控層及工業(yè)通訊網(wǎng)絡(luò)，各層設(shè)備通過網(wǎng)絡(luò)互聯(lián)，完成設(shè)備端實時信號的傳送，達(dá)到檢測和控制的目的。本章節(jié)中使用拓?fù)涫疽鈭D表示了典型煙機(jī)工控和智能系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)，同時對現(xiàn)場設(shè)備層、現(xiàn)場控制層、過程監(jiān)控層及工業(yè)通訊網(wǎng)絡(luò)的組成以及功能作出了規(guī)定。其中：現(xiàn)場設(shè)備層由伺服系統(tǒng)、I/O系統(tǒng)、專用裝置、智能數(shù)據(jù)采集與控制裝置組成；現(xiàn)場控制層由控制器及控制程序組成；過程監(jiān)控層由人機(jī)界面組成；工業(yè)通訊網(wǎng)絡(luò)由現(xiàn)場總線及工業(yè)以太網(wǎng)組成。（3）煙機(jī)工控和智能系統(tǒng)安全保護(hù)對象本章節(jié)依據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》（GB/T22239）中“5.1等級保護(hù)對象”，同時經(jīng)過多次專題會議技術(shù)研討，項目組確定將保護(hù)對象明確為“現(xiàn)場設(shè)備層、現(xiàn)場控制層、過程監(jiān)控層、工業(yè)通訊網(wǎng)絡(luò)”。其中：現(xiàn)場設(shè)備層安全要求應(yīng)包括伺服系統(tǒng)、I/O系統(tǒng)、專用裝置、智能數(shù)據(jù)采集與控制裝置及通用安全防護(hù)的安全要求；現(xiàn)場控制層安全要求應(yīng)包括控制器和控制程序及通用安全防護(hù)的安全要求；過程監(jiān)控層安全要求應(yīng)包括人機(jī)界面及通用安全防護(hù)的安全要求；工業(yè)通訊網(wǎng)絡(luò)要求應(yīng)包括現(xiàn)場總線及工業(yè)以太網(wǎng)的安全要求。（4）煙機(jī)工控和智能設(shè)備安全要求本章節(jié)依據(jù)《息安全技術(shù)工業(yè)控制系統(tǒng)信息安全防護(hù)能力成熟度模型》（GB/T41400）中“工業(yè)控制系統(tǒng)信息安全防護(hù)能力成熟度模型架構(gòu)圖”的能力建設(shè)過程維度，即涵蓋工業(yè)設(shè)備安全、工業(yè)主機(jī)安全、工業(yè)網(wǎng)絡(luò)邊界安全、工業(yè)控制軟件安全、工業(yè)數(shù)據(jù)安全5個過程類的安全要求，以及《信息安全技術(shù).信息系統(tǒng)安全等級保護(hù)基本要求》（GB/T22239）中“整體安全保護(hù)”的規(guī)定，在具體的條款起草編寫過程中，項目組充分聽取和參考了煙機(jī)設(shè)備制造企業(yè)、卷煙工業(yè)企業(yè)等用戶和行業(yè)外標(biāo)桿企業(yè)以及，反復(fù)推敲討論了本標(biāo)準(zhǔn)文件發(fā)布后的落地執(zhí)行的具體情形，提煉出了“行業(yè)最佳實踐”具體條款內(nèi)容，最后明確現(xiàn)場設(shè)備層安全要求、現(xiàn)場控制層安全要求、過程監(jiān)控層安全要求、工業(yè)通訊網(wǎng)絡(luò)安全要求及其他相關(guān)安全要求，為煙草企業(yè)開展煙草機(jī)械設(shè)備工控和智能系統(tǒng)安全防護(hù)建設(shè)提供依據(jù)。其中：現(xiàn)場設(shè)備層安全要求包括伺服系統(tǒng)、I/O系統(tǒng)、專用裝置、智能數(shù)據(jù)采集與控制裝置及通用安全防護(hù)的安全要求。其中，伺服系統(tǒng)安全主要包含防止未經(jīng)授權(quán)的設(shè)備接入、數(shù)據(jù)傳輸要求及與過程監(jiān)控層的數(shù)據(jù)交互形式的限制；I/O系統(tǒng)安全要求包含對外部網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳送要求、數(shù)據(jù)的安全性及校驗功能要求；專用裝置對外部網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳輸?shù)南拗疲恢悄軘?shù)據(jù)采集與控制裝置安全要求包含安全性認(rèn)證、安全保護(hù)機(jī)制、數(shù)據(jù)傳輸安全性及校驗和數(shù)據(jù)完整性檢查要求?，F(xiàn)場控制層安全要求包括控制器和控制程序及通用安全防護(hù)的安全要求。其中，控制器和控制程序的安全要求包含網(wǎng)絡(luò)安全的認(rèn)證、控制器設(shè)備的安全功能控制手段、外接存儲設(shè)備接入限制、上線前安全性檢測及安全審計；通用安全防護(hù)要求包含網(wǎng)絡(luò)隔離措施、接入設(shè)備安全檢測、深度包檢測功能防護(hù)。過程監(jiān)控層安全要求包括人機(jī)界面及通用安全防護(hù)的安全要求。其中，人機(jī)界面的安全要求包含主機(jī)安全要求、權(quán)限管控要求、數(shù)據(jù)庫連接要求、工業(yè)控制軟件及智能管理軟件安全要求；通用安全防護(hù)要求包含日志審計要求、網(wǎng)段隔離要求、移動存儲介質(zhì)使用要求、安全軟件兼容性測試、上線過程中調(diào)試環(huán)境安全可控要求、補(bǔ)丁處理要求、網(wǎng)絡(luò)邊界防護(hù)要求、網(wǎng)絡(luò)安全審計要求。工業(yè)通訊網(wǎng)絡(luò)要求包括現(xiàn)場總線及工業(yè)以太網(wǎng)的安全要求。其中，現(xiàn)場總線的安全要求包含數(shù)據(jù)的實時性完整性和準(zhǔn)確性要求、認(rèn)證機(jī)制、安全完整性等級（SIL）要求、網(wǎng)絡(luò)流量監(jiān)控；工業(yè)以太網(wǎng)的安全要求包含業(yè)務(wù)網(wǎng)絡(luò)隔離要求、防止未經(jīng)授權(quán)訪問要求、安全通信機(jī)制要求、設(shè)備管理功能要求。其他相關(guān)安全要求包含安全管理機(jī)制要求、數(shù)據(jù)的敏感性和保密性及對外傳輸按照分類分級要求、工業(yè)以太網(wǎng)工控系統(tǒng)網(wǎng)絡(luò)及智能系統(tǒng)網(wǎng)絡(luò)隔離要求、往外部傳輸數(shù)據(jù)的唯一出口