(大唐珲春发电厂 吉林珲春 133303)
摘要:通过某发电厂机组检修试验过程中,在DCS系统上误将另一台运行机组强制跳闸事件的分析,发现多域网络之间无限制通讯给DCS控制系统安全带来了一定的危险,现对美国福克斯波罗DCS组态分置管理及中国国电智深DCS软隔离实例,推出DCS系统柔性分域管理技术,以确保DCS控制系统安全。
关键词:DCS;多域网络;软隔离;柔性分域技术
1 概述
随着现代计算机和通讯网络技术的高速发展,DCS正向着多元化、网络化、开放化、集成管理方向发展,由于DCS在硬件配置上均采用冗余电源、控制器、卡件及通讯等冗余结构,危险分散控制集中这一特点,一般火力发电厂普遍采用DCS作为控制系统,确保机组运行的可靠性。网络区域一般可分为机组部分、公用部分、外围辅助部分,并将这些区域用网络连接起来形成控制系统网络。
2 DCS系统存在问题
某电厂3、4号机组DCS控制系统采用的是美国福克斯波罗(FOXBORO)公司先进的 I/A Series 控制系统,DCS系统由三大部分组成,包括3号机组DCS系统、4号机组DCS系统和公用DCS系统。由于3号、4号机组DCS交换机分别与公用系统DCS交换机相连,所以3号、4号机组DCS组态数据可通过公用系统的交换机进行通讯。检修人员在DCS组态时存在3号、4号机组控制组态逻辑可以在foxselect文件目录下互相调用的现象,对机组安全运行带来了极大隐患。
为了避免误操作事件再次发生首先对3号机组DCS控制系统进行组态分置处理,具体步骤如下:(见表1)
表1 组态分置步骤
.png)
3号机组DCS系统成功分置后,在3号机组工程师站、操作员站foxselect文件目录下,无法调用4号机组CP文件内容,进行软隔离处理。
3 柔性分域管理技术
如何在各区域控制通讯间进行软隔离,确保各机组DCS之间无授权访问,对控制系统安全显得至关重要。为此,将火电机组这一复杂的生产过程根据工艺子系统分解为若干控制域,限定和管理实时信息和组态信息在系统定制的范围内流动,同时控制访问权限,并且不依靠特定的服务器和网关的柔性技术应运而生。
国电智深EDPF-NT+是基于柔性分域技术的DCS控制系统,基于分布式计算环境的多域网络结构,采用新式“域”间隔离技术,成功解决多套控制系统高性能隔离互连及集中监控难题,为自动控制系统大规模集成运行提供技术基础。
域是一组站点的集合,一个工程可以包含一个域或多个域,每个域有一个唯一的编号。域内包含0~253个站,每个站有一个不重复的编号,但不同域内允许有相同编号的站。以域号:站号可以定位一个站。一台物理计算机可以加入多个域,它仍然只有一个站号,但具有多个域号。这台计算机必须是MMI,DPU不允许加入多域。域有编号,名字(规则与点记录名字相同),描述,主目录。每个域需指定自己的时间服务器。MMI可以接收它加入的域的数据,向这个域发送指令。对于未加入的域,它没有这些权限。DPU可以直接向另一个域的DPU请求数据,但仅限于请求数据,不能发送指令。
一个工程最多可创建100个域,编号从1~100(如图2:域管理图)。域的一个重要功能是隔离网络流量,网络上最占用带宽的实时数据仅限于每个域内传播,不同域之间没有大量的实时数据包传送。域的划分还涉及安全,网络,操作权限的设置等因素。实际生产系统中,通常每个相对独立的子系统划分为一个域。火力发电厂的两个单元机组,例如Unit1和Unit2,它们共用一个公用系统。将Unit1划分到1号域,Unit2划分到2号域,公用系统划分到21号域。1号机组的DPU编号1~24(共12对DPU),MMI(包含操作员站,工程师站,历史站等)编号200~206(假设共7个站),2号机组的DPU同样编号1~24(共12对DPU),MMI编号210~216,公用系统没有自己的专属MMI,有3对DPU,编号1~6。1号机组的206站加入公用系统的21号域,2号机组的216站也加入公用系统的21号域,这两个站可以同时操作各自单元机组和公用系统。
每个域对应一个子网,通常两个域之间很少需要数据交换,如果两个子系统之间有大量数据交互,它们不适宜划分到不同域。
一台MMI最多可以同时加入15个域。MMI只有加入多域才可以接收这些域的实时数据,发送和响应指令。加入了多域的MMI具有唯一的站号,多个域号。虽然只有一个物理机器,对于它加入的每个域,它都以一个独立、完整的MMI的身份出现。
假设一个工程划分了5个域,编号为1~5。一台操作员站编号210,同时加入了这5个域,对于每个域来说,都有一个210号站。操作员使用210号站时,可以同时观察5个域的数据,向5个域发送指令。1号域的DPU能够接收到1号域210站发送的指令,2号域的DPU能够接收到2号域210站发送的指令,它们都能够把命令回应发送回210站。对于操作员来说,这一切都是透明的。
由于一个域内站号是不允许重复的,对于多域系统,如果有某些MMI需要加入多域,MMI的编号必须统一分配,否则可能出现加入新域时站号冲突。此外,如果多个域内有相同编号的MMI,它们只能同时加入多域或都不加入。对于上面的例子,不允许出现1~4号域的210是同一物理机器,而5号域的210是另外一台计算机,不加入多域。
域内通讯以多播和单播为主,部分功能使用TCP连接。域间通讯只使用单播。域内通讯的数据主要包括实时数据和指令。每个站都可以建立源点记录,定期发送点记录的数值和状态。这些实时数据的目标地址是每个域唯一的多播地址,只有属于这个域的MMI才加入这个多播组,接收这些数据。其他域的MMI和DPU不加入这个多播组,数据不会发送到这些站。域内发送指令使用单播。根据将要操作的点记录或算法,得知它建立在哪个站,从系统配置可以查询出这个站的IP地址,然后利用UDP数据报发送指令,目标站以UDP数据报发送命令回应。
域之间很少需要数据传递,特殊情况下,只允许DPU之间直接请求和发送点记录数据。其发送和接收过程类似于域内指令的传递过程。
4 结束语
国电智深EDPF-NT+分散控制系统采用了先进的网络管理和控制技术,支持面向厂区级应用的多域网络环境,采用“域”管理技术,成功解决多套分散控制系统隔离互连及集中监控功能要求。每个域都包含有一套独立的DCS 核心结构(数据库、过程控制站、域人机交互设备等,用于控制一组相互关联的工艺设备),它们通过数据高速公路连接为一个整体。整套系统网络不使用任何网桥、网络路由器或网络服务器。系统采用先进的ACL 访问控制列表技术实现了域间子系统的物理隔离和受控信息跨域流动管理。各域上的控制系统之间相互严格隔离,独立运行。同时合法有效的数据可以在各域上的控制系统之间双向流动。任何故障均被局限在有限范围之内绝不会向全网蔓延,确保了控制系统的安全。
参考文献:
[1] FOXBORO 公司提供《DCS控制系统进行组态分置指导书》;
[2] 北京国电智深控制技术有限公司 《 EDPF-NT Plus 工程师站使用手册 》V1.0