（蕭山發(fā)電廠，杭州311251）

T3000公用系統(tǒng)上層網(wǎng)絡(luò)安全隱患分析

程甫，於國(guó)良

（蕭山發(fā)電廠，杭州311251）

蕭山發(fā)電廠5號(hào)機(jī)組DCS的T3000系統(tǒng)在一次網(wǎng)絡(luò)故障中出現(xiàn)了在公用系統(tǒng)DCS服務(wù)器失去連接的同時(shí)，操作員站部分界面無(wú)法操作、畫(huà)面響應(yīng)遲緩的現(xiàn)象。通過(guò)檢查發(fā)現(xiàn)，雖然導(dǎo)致網(wǎng)絡(luò)故障的基本原因是硬件故障，但是造成上述故障現(xiàn)象的原因是：網(wǎng)絡(luò)的運(yùn)行狀況和網(wǎng)絡(luò)設(shè)備設(shè)置之間沒(méi)有有效的結(jié)合。根據(jù)該檢查結(jié)果制定了一系列的防范措施，預(yù)防類(lèi)似的故障再次發(fā)生。

分散控制系統(tǒng)；網(wǎng)絡(luò)故障；網(wǎng)絡(luò)設(shè)備設(shè)置；防范措施

1 概述

蕭山發(fā)電廠5號(hào)機(jī)組采用的DCS（分散控制系統(tǒng)）為西門(mén)子公司的SPPA-T3000操作系統(tǒng)。根據(jù)上層網(wǎng)絡(luò)的設(shè)計(jì)原理，有可能出現(xiàn)操作員站畫(huà)面響應(yīng)遲緩，最終導(dǎo)致操作員站失去監(jiān)視的現(xiàn)象。

1.1 DCS上層網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)

DCS網(wǎng)絡(luò)結(jié)構(gòu)如圖1、圖2所示。5號(hào)單元機(jī)組上層網(wǎng)中，冗余配置的路由器A/B、單元機(jī)組服務(wù)器A/B分別接入SCALANCE T01/T02，T01上還接有WINTS，OT1，OT3，SOS50，打印機(jī)等設(shè)備；T02上還接有單元機(jī)組OPC，OT2，OT4，彩色打印機(jī)等設(shè)備，ES1，SCALANCE T01和SCALANCE T02通過(guò)光纖實(shí)現(xiàn)網(wǎng)絡(luò)冗余配置。

在公用系統(tǒng)上層網(wǎng)中，A/B側(cè)的設(shè)備路由器A/B、公用服務(wù)器A/B層（B層以及公用OPC服務(wù)器）通過(guò)RJ45協(xié)議的工業(yè)以太網(wǎng)雙絞線接在交換機(jī)SCALANCE T01/T02上。SCALANCE T01和SCALANCE T02通過(guò)光纖實(shí)現(xiàn)網(wǎng)絡(luò)冗余配置。

1.2 操作員站的監(jiān)控

操作員站的畫(huà)面監(jiān)控通過(guò)訪問(wèn)單元機(jī)組服務(wù)器的客戶(hù)端實(shí)現(xiàn)DCS系統(tǒng)的畫(huà)面監(jiān)控，公用系統(tǒng)未設(shè)置獨(dú)立的操作員站。為了實(shí)現(xiàn)操作員站同時(shí)監(jiān)控單元機(jī)組和公用系統(tǒng)的DCS系統(tǒng)數(shù)據(jù)，單元機(jī)組T3000系統(tǒng)需要通過(guò)路由器訪問(wèn)公用系統(tǒng)的T3000系統(tǒng)來(lái)獲取公用系統(tǒng)上層網(wǎng)的數(shù)據(jù)，從而達(dá)到操作員站同時(shí)監(jiān)控單元機(jī)組和公用系統(tǒng)的DCS系統(tǒng)數(shù)據(jù)的目的。

2 異常事件經(jīng)過(guò)

2016年某日4∶30，5號(hào)機(jī)組OM界面出現(xiàn)“error subscribing plant display connection timed out∶connect”報(bào)警對(duì)話框，公用系統(tǒng)畫(huà)面出現(xiàn)“U”報(bào)警，ASD無(wú)異常報(bào)警，同時(shí)發(fā)現(xiàn)5號(hào)機(jī)組公用系統(tǒng)及5號(hào)機(jī)組部分界面無(wú)法操作、畫(huà)面響應(yīng)遲緩；4∶50，公用系統(tǒng)所有界面以及總覽目錄中公用系統(tǒng)設(shè)備目錄消失，現(xiàn)場(chǎng)檢查發(fā)現(xiàn)5號(hào)機(jī)組公用系統(tǒng)上層網(wǎng)SCALANCE網(wǎng)絡(luò)交換機(jī)T01和T02均存在故障報(bào)警；5∶50，熱工人員將T01網(wǎng)絡(luò)交換機(jī)進(jìn)行斷電重啟，T01重啟結(jié)束后T01和T02故障報(bào)警信號(hào)消失，公用系統(tǒng)設(shè)備在界面中恢復(fù)正常。

圖1 單元機(jī)組網(wǎng)絡(luò)結(jié)構(gòu)（上層網(wǎng)）

圖2 公用系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)（上層網(wǎng)）

3 檢查過(guò)程

3.1 設(shè)備檢查

（1）5號(hào)機(jī)組公用系統(tǒng)網(wǎng)絡(luò)交換機(jī)T01重啟后，T01和T02無(wú)故障報(bào)警信號(hào)，F(xiàn)燈未亮。

（2）檢查5號(hào)機(jī)組公用系統(tǒng)網(wǎng)絡(luò)交換機(jī)T01，發(fā)現(xiàn)當(dāng)光纖數(shù)據(jù)端口P13處于通信狀態(tài)，P14處于備用狀態(tài)時(shí)，P14燈標(biāo)狀態(tài)閃爍異常。

（3）檢查5號(hào)機(jī)組公用系統(tǒng)網(wǎng)絡(luò)交換機(jī)T01和T02之間的連接光纖通信無(wú)異常。

（4）檢查T(mén)01和T02之間的連接通信光纖，發(fā)現(xiàn)光纖存在彎折痕跡。

（5）使用測(cè)試光纖工具測(cè)試光纖性能，從測(cè)試結(jié)果可以判斷彎折后的光纖通信能力有較大幅度下降，但還是在允許范圍內(nèi)。

（6）檢查赫斯曼路由器MARCH 4000無(wú)異常。

（7）停5號(hào)機(jī)組公用系統(tǒng)網(wǎng)絡(luò)交換機(jī)T01電源，網(wǎng)絡(luò)通信正常。

（8）恢復(fù)5號(hào)機(jī)組公用系統(tǒng)T01電源，停T02電源，網(wǎng)絡(luò)通信正常。

（9）保持5號(hào)機(jī)組公用系統(tǒng)T01和T02正常工作，拔除T01和T02之間的互為冗余的通信光纖，設(shè)置公用系統(tǒng)服務(wù)器CoServer01為主控，出現(xiàn)5號(hào)機(jī)組公用系統(tǒng)及機(jī)組部分界面無(wú)法操作的情況。

（10）保持5號(hào)機(jī)組公用系統(tǒng)T01和T02正常工作，拔除T01和T02之間互為冗余的通信光纖，設(shè)置公用系統(tǒng)服務(wù)器CoServer02為主控，網(wǎng)絡(luò)通信正常。

（11）保持5號(hào)機(jī)組公用系統(tǒng)T01和T02正常工作，拔除T01和T02之間互為冗余的通信光纖，拔除T01上連接赫斯曼路由器的通信網(wǎng)線，網(wǎng)絡(luò)通信正常。

（12）保持5號(hào)機(jī)組公用系統(tǒng)T01和T02正常工作，拔除T01和T02之間互為冗余的通信光纖，恢復(fù)T01上連接赫斯曼路由器的通信網(wǎng)線，拔除T02上連接赫斯曼路由器的通信網(wǎng)線，網(wǎng)絡(luò)通信正常。

（13）在確保5號(hào)機(jī)組公用系統(tǒng)上層網(wǎng)絡(luò)正常的情況下，拔除5號(hào)單元機(jī)組上層網(wǎng)T01和T02之間互為冗余的通信光纖，設(shè)置單元機(jī)組服務(wù)器FT4500A為主控，OT1，OT3，SOS50的單元機(jī)組畫(huà)面及公用系統(tǒng)畫(huà)面均正常，OT2和ES1泛紅。

（14）在確保5號(hào)機(jī)組公用系統(tǒng)上層網(wǎng)絡(luò)正常的情況下，拔除5號(hào)單元機(jī)組上層網(wǎng)T01和T02之間互為冗余的通信光纖，設(shè)置單元機(jī)組服務(wù)器FT4500B為主控，OT2和ES1的單元公用系統(tǒng)畫(huà)面丟失、單元機(jī)組換面響應(yīng)變慢，OT1，OT3，SOS50畫(huà)面泛紅。

3.2 日志檢查

（1）檢查5號(hào)機(jī)組公用系統(tǒng)網(wǎng)絡(luò)交換機(jī)T01和T02日志，發(fā)現(xiàn)出現(xiàn)網(wǎng)絡(luò)通信故障的時(shí)候，T01和T02之間的2路通信均中斷。

（2）檢查5號(hào)機(jī)組公用系統(tǒng)網(wǎng)絡(luò)交換機(jī)T01和T02日志，發(fā)現(xiàn)出現(xiàn)網(wǎng)絡(luò)通信故障的時(shí)候，用于T01和T02之間通信的光纖數(shù)據(jù)端口P13已被禁用，報(bào)警信息“Link Check∶Broken link on port 13 indicated by 100%packet loss.Port disabled”。

（3）檢查5號(hào)機(jī)組公用系統(tǒng)網(wǎng)絡(luò)交換機(jī)T01和T02日志，發(fā)現(xiàn)出現(xiàn)網(wǎng)絡(luò)通信故障的時(shí)候，用于T01和T02之間通信的光纖數(shù)據(jù)端口P14已被禁用，報(bào)警信息“Link Check∶Broken link on port 14 indicated by 100%packet loss.Port disabled”。

3.3 網(wǎng)絡(luò)情況檢查

（1）通過(guò)斷開(kāi)公用系統(tǒng)上層網(wǎng)T01和T02之間通信光纖的方式，重現(xiàn)網(wǎng)絡(luò)故障現(xiàn)象，檢查5號(hào)單元機(jī)組DCS系統(tǒng)上層網(wǎng)絡(luò)、5號(hào)公用DCS系統(tǒng)上層網(wǎng)絡(luò)，沒(méi)有發(fā)現(xiàn)網(wǎng)絡(luò)異常情況。

（2）通過(guò)斷開(kāi)公用系統(tǒng)上層網(wǎng)T01和T02之間通信光纖的方式，重現(xiàn)網(wǎng)絡(luò)故障現(xiàn)象，檢查單元機(jī)組DCS系統(tǒng)服務(wù)器、5號(hào)公用DCS系統(tǒng)網(wǎng)絡(luò)服務(wù)器，沒(méi)有發(fā)現(xiàn)異常情況。

4 原因分析

4.1 公用系統(tǒng)上層網(wǎng)故障原因

根據(jù)檢測(cè)結(jié)果可以判斷，雖然公用系統(tǒng)上層網(wǎng)T01和T02之間的連接通信光纖發(fā)現(xiàn)有彎折痕跡，通信能力有所下降，但還是在允許范圍內(nèi)，網(wǎng)絡(luò)設(shè)備T01存在故障，導(dǎo)致T01和T02之間通信的光纖數(shù)據(jù)端口P13和P14的丟包率較高，最終由于高丟包率導(dǎo)致P13和P14端口均被屏蔽，T01和T02之間通信中斷。

4.2 公用系統(tǒng)畫(huà)面丟失原因

路由器的配置硬件上是冗余配置，但是在同一時(shí)間只能有1個(gè)路由器作為主控網(wǎng)絡(luò)路徑，根據(jù)測(cè)試結(jié)果得知，目前蕭山發(fā)電廠5號(hào)機(jī)組DCS系統(tǒng)上層網(wǎng)路由器主控網(wǎng)絡(luò)路徑分別接入單元機(jī)組上層網(wǎng)T01和公用系統(tǒng)上層網(wǎng)T02。

西門(mén)子T3000系統(tǒng)是安裝在一對(duì)硬件上互為冗余配置的服務(wù)器里的DCS操作系統(tǒng)，雖然2臺(tái)服務(wù)器的內(nèi)容完全一樣，但是在網(wǎng)絡(luò)中只訪問(wèn)作為主控服務(wù)器的數(shù)據(jù)。操作員站通過(guò)訪問(wèn)單元機(jī)組服務(wù)器的客戶(hù)端實(shí)現(xiàn)DCS系統(tǒng)的畫(huà)面監(jiān)控，同時(shí)單元機(jī)組T3000系統(tǒng)需要通過(guò)路由器訪問(wèn)公用系統(tǒng)的T3000系統(tǒng)，以獲取公用系統(tǒng)上層網(wǎng)的數(shù)據(jù)，實(shí)現(xiàn)公用系統(tǒng)的畫(huà)面監(jiān)控。

當(dāng)公用系統(tǒng)上層網(wǎng)T01和T02之間的網(wǎng)絡(luò)通信中斷后，由于主控服務(wù)器在物理上和其相連的SCALANCE通信沒(méi)有中斷，主控服務(wù)器認(rèn)為網(wǎng)絡(luò)通信正常，因此不會(huì)進(jìn)行主、副服務(wù)器的切換，同時(shí)網(wǎng)絡(luò)通信路徑也沒(méi)有發(fā)生改變，此時(shí)若公用系統(tǒng)CoServer01服務(wù)器處在主控模式，因?yàn)樵谥魍ㄐ怕窂缴洗藭r(shí)無(wú)法讀取CoServer01的數(shù)據(jù)，因此單元機(jī)組的服務(wù)器無(wú)法讀取到公用系統(tǒng)上層網(wǎng)的數(shù)據(jù)，最終導(dǎo)致操作員站的公用系統(tǒng)畫(huà)面丟失。

同理，當(dāng)單元機(jī)組上層網(wǎng)T01和T02之間的網(wǎng)絡(luò)通信中斷后，若FT4500的B側(cè)作為單元機(jī)組的主控服務(wù)器，由于單元機(jī)組上層網(wǎng)T02此時(shí)不是主通信路徑，因此無(wú)法讀取到公用系統(tǒng)上層網(wǎng)的數(shù)據(jù)，最終導(dǎo)致操作員站上的公用系統(tǒng)畫(huà)面丟失。

4.3 單元機(jī)組畫(huà)面響應(yīng)緩慢

操作員站通過(guò)訪問(wèn)單元機(jī)組服務(wù)器的客戶(hù)端來(lái)實(shí)現(xiàn)對(duì)單元機(jī)組和公用系統(tǒng)的畫(huà)面進(jìn)行監(jiān)控，當(dāng)公用系統(tǒng)上層網(wǎng)的通信中斷，而該客戶(hù)端內(nèi)含有公用系統(tǒng)的畫(huà)面數(shù)據(jù)，此時(shí)會(huì)耗費(fèi)較多的網(wǎng)絡(luò)資源對(duì)公用系統(tǒng)的數(shù)據(jù)進(jìn)行讀取，最終導(dǎo)致單元機(jī)組的畫(huà)面響應(yīng)變慢，甚至出現(xiàn)無(wú)響應(yīng)的情況

5 防范措施

根據(jù)結(jié)果可以判斷，5號(hào)機(jī)公用系統(tǒng)DCS上層網(wǎng)絡(luò)的設(shè)置方式存在安全隱患。由于冗余配置的路由器沒(méi)有實(shí)現(xiàn)動(dòng)態(tài)路由的功能，無(wú)法自動(dòng)識(shí)別公用DCS系統(tǒng)中冗余配置的主控服務(wù)器，當(dāng)發(fā)生公用DCS系統(tǒng)上層網(wǎng)網(wǎng)絡(luò)交換機(jī)T01和T02之間的網(wǎng)絡(luò)通信中斷的情況時(shí)，如果此時(shí)路由器的主通信路徑上所連接的公用DCS系統(tǒng)服務(wù)器不是主控服務(wù)器，操作員站就會(huì)由于無(wú)法訪問(wèn)公用系統(tǒng)服務(wù)器而出現(xiàn)公用系統(tǒng)畫(huà)面丟失、單元機(jī)組畫(huà)面響應(yīng)緩慢的情況，嚴(yán)重影響機(jī)組的安全運(yùn)行。因此，采取了以下防范措施：

（1）DCS系統(tǒng)中開(kāi)放服務(wù)器異常狀態(tài)報(bào)警信息、網(wǎng)絡(luò)交換機(jī)狀態(tài)報(bào)警信息、網(wǎng)絡(luò)交換機(jī)數(shù)據(jù)端口存在異常數(shù)據(jù)的報(bào)警信息。

（2）將連接在5號(hào)機(jī)組公用系統(tǒng)上層網(wǎng)絡(luò)主控通信路徑交換機(jī)的CoServer02作為公用系統(tǒng)DCS主控服務(wù)器。

（3）將連接在5號(hào)機(jī)組單元機(jī)組DCS上層網(wǎng)絡(luò)主控通信路徑交換機(jī)的FT4500的A側(cè)作為單元機(jī)組DCS主控服務(wù)器。

（4）將T3000單元機(jī)組客戶(hù)端中操作員站畫(huà)面里的公用系統(tǒng)數(shù)據(jù)點(diǎn)都移至公用系統(tǒng)客戶(hù)端中的操作員站畫(huà)面顯示，同時(shí)要求集控室中至少有1臺(tái)操作員站只訪問(wèn)5號(hào)單元機(jī)組客戶(hù)端，以確保再出現(xiàn)類(lèi)似網(wǎng)絡(luò)故障的情況下，至少有1臺(tái)操作員站可以正常監(jiān)控5號(hào)機(jī)組的運(yùn)行數(shù)據(jù)。

（5）編制“SCALANCE檢查步驟”，要求進(jìn)行網(wǎng)絡(luò)設(shè)備的跟蹤檢查。

（6）制定“5號(hào)機(jī)組公用系統(tǒng)上層網(wǎng)絡(luò)故障應(yīng)急預(yù)案”。

6 結(jié)語(yǔ)

針對(duì)常見(jiàn)通信故障，通?？紤]故障原因是通信方面問(wèn)題（如通信電纜、網(wǎng)絡(luò)交換機(jī)等故障）或者是信號(hào)電纜存在干擾問(wèn)題。5號(hào)機(jī)組故障原因雖然是硬件故障導(dǎo)致的，但最終原因是網(wǎng)絡(luò)運(yùn)行和硬件設(shè)置之間無(wú)法有效地結(jié)合導(dǎo)致，這是今后再遇到類(lèi)似問(wèn)題需要拓展思維的方面。

動(dòng)態(tài)路由功能并不是新技術(shù)，在信息領(lǐng)域已經(jīng)得到廣泛應(yīng)用，可以通過(guò)學(xué)習(xí)信息專(zhuān)業(yè)的網(wǎng)絡(luò)知識(shí)來(lái)指導(dǎo)工作，并提出有操作性的整改建議。

[1]丁俊宏，丁寧，蘇燁，等.2015年浙江省發(fā)電廠典型熱控故障異常分析與建議[J].浙江電力，2017，36（1）∶27-30.

[2]劉哲，劉林.大型火電機(jī)組分散控制系統(tǒng)網(wǎng)絡(luò)通信性能試驗(yàn)[J].廣東電力，2016，29（11）∶47-51.

[3]來(lái)曉，馮冬芹，褚健.分布式網(wǎng)絡(luò)故障檢測(cè)及恢復(fù)技術(shù)研究[J].計(jì)算機(jī)工程與應(yīng)用，2010，46（24）∶73-76.

[4]丁俊宏，孫長(zhǎng)生，王蕙，等.2013年浙江省火電廠熱工故障及異常的統(tǒng)計(jì)與分析[J].浙江電力，2014，33（10）∶23-27.

（本文編輯：徐晗）

Analysis on Hidden Danger of Upper Level Network Security of T3000 Public System

CHENG Fu，YU Guoliang
（Xiaoshan Power Plant，Hangzhou 311251，China）

In a network fault of T3000 system of DCS for unit 5 in Xiaoshan Power Plant，a DCS server of public system could not be connected，and there were failure of interface operation and delayed image response in an operator station.It is found after check that the network failure resulted from hardware faults；however，it is fundamentally due to ineffective combination of operating condition with network device setting. Therefore，a series of precautionary measures were taken to prevent similar failures.

DCS；network failure；network device setting；precautionary measures

10.19585/j.zjdl.201707014

1007-1881（2017）07-0056-04

TK37

B

2017-03-31

程甫（1982），男，工程師，從事發(fā)電廠熱工控制專(zhuān)業(yè)工作。