（蕭山發(fā)電廠，杭州311251）

T3000公用系統(tǒng)上層網(wǎng)絡(luò)安全隱患分析

程甫，於國良

（蕭山發(fā)電廠，杭州311251）

蕭山發(fā)電廠5號機組DCS的T3000系統(tǒng)在一次網(wǎng)絡(luò)故障中出現(xiàn)了在公用系統(tǒng)DCS服務(wù)器失去連接的同時，操作員站部分界面無法操作、畫面響應(yīng)遲緩的現(xiàn)象。通過檢查發(fā)現(xiàn)，雖然導(dǎo)致網(wǎng)絡(luò)故障的基本原因是硬件故障，但是造成上述故障現(xiàn)象的原因是：網(wǎng)絡(luò)的運行狀況和網(wǎng)絡(luò)設(shè)備設(shè)置之間沒有有效的結(jié)合。根據(jù)該檢查結(jié)果制定了一系列的防范措施，預(yù)防類似的故障再次發(fā)生。

分散控制系統(tǒng)；網(wǎng)絡(luò)故障；網(wǎng)絡(luò)設(shè)備設(shè)置；防范措施

1 概述

蕭山發(fā)電廠5號機組采用的DCS（分散控制系統(tǒng)）為西門子公司的SPPA-T3000操作系統(tǒng)。根據(jù)上層網(wǎng)絡(luò)的設(shè)計原理，有可能出現(xiàn)操作員站畫面響應(yīng)遲緩，最終導(dǎo)致操作員站失去監(jiān)視的現(xiàn)象。

1.1 DCS上層網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)

DCS網(wǎng)絡(luò)結(jié)構(gòu)如圖1、圖2所示。5號單元機組上層網(wǎng)中，冗余配置的路由器A/B、單元機組服務(wù)器A/B分別接入SCALANCE T01/T02，T01上還接有WINTS，OT1，OT3，SOS50，打印機等設(shè)備；T02上還接有單元機組OPC，OT2，OT4，彩色打印機等設(shè)備，ES1，SCALANCE T01和SCALANCE T02通過光纖實現(xiàn)網(wǎng)絡(luò)冗余配置。

在公用系統(tǒng)上層網(wǎng)中，A/B側(cè)的設(shè)備路由器A/B、公用服務(wù)器A/B層（B層以及公用OPC服務(wù)器）通過RJ45協(xié)議的工業(yè)以太網(wǎng)雙絞線接在交換機SCALANCE T01/T02上。SCALANCE T01和SCALANCE T02通過光纖實現(xiàn)網(wǎng)絡(luò)冗余配置。

1.2 操作員站的監(jiān)控

操作員站的畫面監(jiān)控通過訪問單元機組服務(wù)器的客戶端實現(xiàn)DCS系統(tǒng)的畫面監(jiān)控，公用系統(tǒng)未設(shè)置獨立的操作員站。為了實現(xiàn)操作員站同時監(jiān)控單元機組和公用系統(tǒng)的DCS系統(tǒng)數(shù)據(jù)，單元機組T3000系統(tǒng)需要通過路由器訪問公用系統(tǒng)的T3000系統(tǒng)來獲取公用系統(tǒng)上層網(wǎng)的數(shù)據(jù)，從而達(dá)到操作員站同時監(jiān)控單元機組和公用系統(tǒng)的DCS系統(tǒng)數(shù)據(jù)的目的。

2 異常事件經(jīng)過

2016年某日4∶30，5號機組OM界面出現(xiàn)“error subscribing plant display connection timed out∶connect”報警對話框，公用系統(tǒng)畫面出現(xiàn)“U”報警，ASD無異常報警，同時發(fā)現(xiàn)5號機組公用系統(tǒng)及5號機組部分界面無法操作、畫面響應(yīng)遲緩；4∶50，公用系統(tǒng)所有界面以及總覽目錄中公用系統(tǒng)設(shè)備目錄消失，現(xiàn)場檢查發(fā)現(xiàn)5號機組公用系統(tǒng)上層網(wǎng)SCALANCE網(wǎng)絡(luò)交換機T01和T02均存在故障報警；5∶50，熱工人員將T01網(wǎng)絡(luò)交換機進行斷電重啟，T01重啟結(jié)束后T01和T02故障報警信號消失，公用系統(tǒng)設(shè)備在界面中恢復(fù)正常。

圖1 單元機組網(wǎng)絡(luò)結(jié)構(gòu)（上層網(wǎng)）

圖2 公用系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)（上層網(wǎng)）

3 檢查過程

3.1 設(shè)備檢查

（1）5號機組公用系統(tǒng)網(wǎng)絡(luò)交換機T01重啟后，T01和T02無故障報警信號，F(xiàn)燈未亮。

（2）檢查5號機組公用系統(tǒng)網(wǎng)絡(luò)交換機T01，發(fā)現(xiàn)當(dāng)光纖數(shù)據(jù)端口P13處于通信狀態(tài)，P14處于備用狀態(tài)時，P14燈標(biāo)狀態(tài)閃爍異常。

（3）檢查5號機組公用系統(tǒng)網(wǎng)絡(luò)交換機T01和T02之間的連接光纖通信無異常。

（4）檢查T01和T02之間的連接通信光纖，發(fā)現(xiàn)光纖存在彎折痕跡。

（5）使用測試光纖工具測試光纖性能，從測試結(jié)果可以判斷彎折后的光纖通信能力有較大幅度下降，但還是在允許范圍內(nèi)。

（6）檢查赫斯曼路由器MARCH 4000無異常。

（7）停5號機組公用系統(tǒng)網(wǎng)絡(luò)交換機T01電源，網(wǎng)絡(luò)通信正常。

（8）恢復(fù)5號機組公用系統(tǒng)T01電源，停T02電源，網(wǎng)絡(luò)通信正常。

（9）保持5號機組公用系統(tǒng)T01和T02正常工作，拔除T01和T02之間的互為冗余的通信光纖，設(shè)置公用系統(tǒng)服務(wù)器CoServer01為主控，出現(xiàn)5號機組公用系統(tǒng)及機組部分界面無法操作的情況。

（10）保持5號機組公用系統(tǒng)T01和T02正常工作，拔除T01和T02之間互為冗余的通信光纖，設(shè)置公用系統(tǒng)服務(wù)器CoServer02為主控，網(wǎng)絡(luò)通信正常。

（11）保持5號機組公用系統(tǒng)T01和T02正常工作，拔除T01和T02之間互為冗余的通信光纖，拔除T01上連接赫斯曼路由器的通信網(wǎng)線，網(wǎng)絡(luò)通信正常。

（12）保持5號機組公用系統(tǒng)T01和T02正常工作，拔除T01和T02之間互為冗余的通信光纖，恢復(fù)T01上連接赫斯曼路由器的通信網(wǎng)線，拔除T02上連接赫斯曼路由器的通信網(wǎng)線，網(wǎng)絡(luò)通信正常。

（13）在確保5號機組公用系統(tǒng)上層網(wǎng)絡(luò)正常的情況下，拔除5號單元機組上層網(wǎng)T01和T02之間互為冗余的通信光纖，設(shè)置單元機組服務(wù)器FT4500A為主控，OT1，OT3，SOS50的單元機組畫面及公用系統(tǒng)畫面均正常，OT2和ES1泛紅。

（14）在確保5號機組公用系統(tǒng)上層網(wǎng)絡(luò)正常的情況下，拔除5號單元機組上層網(wǎng)T01和T02之間互為冗余的通信光纖，設(shè)置單元機組服務(wù)器FT4500B為主控，OT2和ES1的單元公用系統(tǒng)畫面丟失、單元機組換面響應(yīng)變慢，OT1，OT3，SOS50畫面泛紅。

3.2 日志檢查

（1）檢查5號機組公用系統(tǒng)網(wǎng)絡(luò)交換機T01和T02日志，發(fā)現(xiàn)出現(xiàn)網(wǎng)絡(luò)通信故障的時候，T01和T02之間的2路通信均中斷。

（2）檢查5號機組公用系統(tǒng)網(wǎng)絡(luò)交換機T01和T02日志，發(fā)現(xiàn)出現(xiàn)網(wǎng)絡(luò)通信故障的時候，用于T01和T02之間通信的光纖數(shù)據(jù)端口P13已被禁用，報警信息“Link Check∶Broken link on port 13 indicated by 100%packet loss.Port disabled”。

（3）檢查5號機組公用系統(tǒng)網(wǎng)絡(luò)交換機T01和T02日志，發(fā)現(xiàn)出現(xiàn)網(wǎng)絡(luò)通信故障的時候，用于T01和T02之間通信的光纖數(shù)據(jù)端口P14已被禁用，報警信息“Link Check∶Broken link on port 14 indicated by 100%packet loss.Port disabled”。

3.3 網(wǎng)絡(luò)情況檢查

（1）通過斷開公用系統(tǒng)上層網(wǎng)T01和T02之間通信光纖的方式，重現(xiàn)網(wǎng)絡(luò)故障現(xiàn)象，檢查5號單元機組DCS系統(tǒng)上層網(wǎng)絡(luò)、5號公用DCS系統(tǒng)上層網(wǎng)絡(luò)，沒有發(fā)現(xiàn)網(wǎng)絡(luò)異常情況。

（2）通過斷開公用系統(tǒng)上層網(wǎng)T01和T02之間通信光纖的方式，重現(xiàn)網(wǎng)絡(luò)故障現(xiàn)象，檢查單元機組DCS系統(tǒng)服務(wù)器、5號公用DCS系統(tǒng)網(wǎng)絡(luò)服務(wù)器，沒有發(fā)現(xiàn)異常情況。

4 原因分析

4.1 公用系統(tǒng)上層網(wǎng)故障原因

根據(jù)檢測結(jié)果可以判斷，雖然公用系統(tǒng)上層網(wǎng)T01和T02之間的連接通信光纖發(fā)現(xiàn)有彎折痕跡，通信能力有所下降，但還是在允許范圍內(nèi)，網(wǎng)絡(luò)設(shè)備T01存在故障，導(dǎo)致T01和T02之間通信的光纖數(shù)據(jù)端口P13和P14的丟包率較高，最終由于高丟包率導(dǎo)致P13和P14端口均被屏蔽，T01和T02之間通信中斷。

4.2 公用系統(tǒng)畫面丟失原因

路由器的配置硬件上是冗余配置，但是在同一時間只能有1個路由器作為主控網(wǎng)絡(luò)路徑，根據(jù)測試結(jié)果得知，目前蕭山發(fā)電廠5號機組DCS系統(tǒng)上層網(wǎng)路由器主控網(wǎng)絡(luò)路徑分別接入單元機組上層網(wǎng)T01和公用系統(tǒng)上層網(wǎng)T02。

西門子T3000系統(tǒng)是安裝在一對硬件上互為冗余配置的服務(wù)器里的DCS操作系統(tǒng)，雖然2臺服務(wù)器的內(nèi)容完全一樣，但是在網(wǎng)絡(luò)中只訪問作為主控服務(wù)器的數(shù)據(jù)。操作員站通過訪問單元機組服務(wù)器的客戶端實現(xiàn)DCS系統(tǒng)的畫面監(jiān)控，同時單元機組T3000系統(tǒng)需要通過路由器訪問公用系統(tǒng)的T3000系統(tǒng)，以獲取公用系統(tǒng)上層網(wǎng)的數(shù)據(jù)，實現(xiàn)公用系統(tǒng)的畫面監(jiān)控。

當(dāng)公用系統(tǒng)上層網(wǎng)T01和T02之間的網(wǎng)絡(luò)通信中斷后，由于主控服務(wù)器在物理上和其相連的SCALANCE通信沒有中斷，主控服務(wù)器認(rèn)為網(wǎng)絡(luò)通信正常，因此不會進行主、副服務(wù)器的切換，同時網(wǎng)絡(luò)通信路徑也沒有發(fā)生改變，此時若公用系統(tǒng)CoServer01服務(wù)器處在主控模式，因為在主通信路徑上此時無法讀取CoServer01的數(shù)據(jù)，因此單元機組的服務(wù)器無法讀取到公用系統(tǒng)上層網(wǎng)的數(shù)據(jù)，最終導(dǎo)致操作員站的公用系統(tǒng)畫面丟失。

同理，當(dāng)單元機組上層網(wǎng)T01和T02之間的網(wǎng)絡(luò)通信中斷后，若FT4500的B側(cè)作為單元機組的主控服務(wù)器，由于單元機組上層網(wǎng)T02此時不是主通信路徑，因此無法讀取到公用系統(tǒng)上層網(wǎng)的數(shù)據(jù)，最終導(dǎo)致操作員站上的公用系統(tǒng)畫面丟失。

4.3 單元機組畫面響應(yīng)緩慢

操作員站通過訪問單元機組服務(wù)器的客戶端來實現(xiàn)對單元機組和公用系統(tǒng)的畫面進行監(jiān)控，當(dāng)公用系統(tǒng)上層網(wǎng)的通信中斷，而該客戶端內(nèi)含有公用系統(tǒng)的畫面數(shù)據(jù)，此時會耗費較多的網(wǎng)絡(luò)資源對公用系統(tǒng)的數(shù)據(jù)進行讀取，最終導(dǎo)致單元機組的畫面響應(yīng)變慢，甚至出現(xiàn)無響應(yīng)的情況

5 防范措施

根據(jù)結(jié)果可以判斷，5號機公用系統(tǒng)DCS上層網(wǎng)絡(luò)的設(shè)置方式存在安全隱患。由于冗余配置的路由器沒有實現(xiàn)動態(tài)路由的功能，無法自動識別公用DCS系統(tǒng)中冗余配置的主控服務(wù)器，當(dāng)發(fā)生公用DCS系統(tǒng)上層網(wǎng)網(wǎng)絡(luò)交換機T01和T02之間的網(wǎng)絡(luò)通信中斷的情況時，如果此時路由器的主通信路徑上所連接的公用DCS系統(tǒng)服務(wù)器不是主控服務(wù)器，操作員站就會由于無法訪問公用系統(tǒng)服務(wù)器而出現(xiàn)公用系統(tǒng)畫面丟失、單元機組畫面響應(yīng)緩慢的情況，嚴(yán)重影響機組的安全運行。因此，采取了以下防范措施：

（1）DCS系統(tǒng)中開放服務(wù)器異常狀態(tài)報警信息、網(wǎng)絡(luò)交換機狀態(tài)報警信息、網(wǎng)絡(luò)交換機數(shù)據(jù)端口存在異常數(shù)據(jù)的報警信息。

（2）將連接在5號機組公用系統(tǒng)上層網(wǎng)絡(luò)主控通信路徑交換機的CoServer02作為公用系統(tǒng)DCS主控服務(wù)器。

（3）將連接在5號機組單元機組DCS上層網(wǎng)絡(luò)主控通信路徑交換機的FT4500的A側(cè)作為單元機組DCS主控服務(wù)器。

（4）將T3000單元機組客戶端中操作員站畫面里的公用系統(tǒng)數(shù)據(jù)點都移至公用系統(tǒng)客戶端中的操作員站畫面顯示，同時要求集控室中至少有1臺操作員站只訪問5號單元機組客戶端，以確保再出現(xiàn)類似網(wǎng)絡(luò)故障的情況下，至少有1臺操作員站可以正常監(jiān)控5號機組的運行數(shù)據(jù)。

（5）編制“SCALANCE檢查步驟”，要求進行網(wǎng)絡(luò)設(shè)備的跟蹤檢查。

（6）制定“5號機組公用系統(tǒng)上層網(wǎng)絡(luò)故障應(yīng)急預(yù)案”。

6 結(jié)語

針對常見通信故障，通?？紤]故障原因是通信方面問題（如通信電纜、網(wǎng)絡(luò)交換機等故障）或者是信號電纜存在干擾問題。5號機組故障原因雖然是硬件故障導(dǎo)致的，但最終原因是網(wǎng)絡(luò)運行和硬件設(shè)置之間無法有效地結(jié)合導(dǎo)致，這是今后再遇到類似問題需要拓展思維的方面。

動態(tài)路由功能并不是新技術(shù)，在信息領(lǐng)域已經(jīng)得到廣泛應(yīng)用，可以通過學(xué)習(xí)信息專業(yè)的網(wǎng)絡(luò)知識來指導(dǎo)工作，并提出有操作性的整改建議。

[1]丁俊宏，丁寧，蘇燁，等.2015年浙江省發(fā)電廠典型熱控故障異常分析與建議[J].浙江電力，2017，36（1）∶27-30.

[2]劉哲，劉林.大型火電機組分散控制系統(tǒng)網(wǎng)絡(luò)通信性能試驗[J].廣東電力，2016，29（11）∶47-51.

[3]來曉，馮冬芹，褚健.分布式網(wǎng)絡(luò)故障檢測及恢復(fù)技術(shù)研究[J].計算機工程與應(yīng)用，2010，46（24）∶73-76.

[4]丁俊宏，孫長生，王蕙，等.2013年浙江省火電廠熱工故障及異常的統(tǒng)計與分析[J].浙江電力，2014，33（10）∶23-27.

（本文編輯：徐晗）

Analysis on Hidden Danger of Upper Level Network Security of T3000 Public System

CHENG Fu，YU Guoliang
（Xiaoshan Power Plant，Hangzhou 311251，China）

In a network fault of T3000 system of DCS for unit 5 in Xiaoshan Power Plant，a DCS server of public system could not be connected，and there were failure of interface operation and delayed image response in an operator station.It is found after check that the network failure resulted from hardware faults；however，it is fundamentally due to ineffective combination of operating condition with network device setting. Therefore，a series of precautionary measures were taken to prevent similar failures.

DCS；network failure；network device setting；precautionary measures

10.19585/j.zjdl.201707014

1007-1881（2017）07-0056-04

TK37

B

2017-03-31

程甫（1982），男，工程師，從事發(fā)電廠熱工控制專業(yè)工作。