T3000公用系統上層網絡安全隱患分析

（蕭山發電廠，杭州311251）

T3000公用系統上層網絡安全隱患分析

程甫，於國良

（蕭山發電廠，杭州311251）

蕭山發電廠5號機組DCS的T3000系統在一次網絡故障中出現了在公用系統DCS服務器失去連接的同時，操作員站部分界面無法操作、畫面響應遲緩的現象。通過檢查發現，雖然導致網絡故障的基本原因是硬件故障，但是造成上述故障現象的原因是：網絡的運行狀況和網絡設備設置之間沒有有效的結合。根據該檢查結果制定了一系列的防范措施，預防類似的故障再次發生。

分散控制系統；網絡故障；網絡設備設置；防范措施

1 概述

蕭山發電廠5號機組采用的DCS（分散控制系統）為西門子公司的SPPA-T3000操作系統。根據上層網絡的設計原理，有可能出現操作員站畫面響應遲緩，最終導致操作員站失去監視的現象。

1.1 DCS上層網網絡結構

DCS網絡結構如圖1、圖2所示。5號單元機組上層網中，冗余配置的路由器A/B、單元機組服務器A/B分別接入SCALANCE T01/T02，T01上還接有WINTS，OT1，OT3，SOS50，打印機等設備；T02上還接有單元機組OPC，OT2，OT4，彩色打印機等設備，ES1，SCALANCE T01和SCALANCE T02通過光纖實現網絡冗余配置。

在公用系統上層網中，A/B側的設備路由器A/B、公用服務器A/B層（B層以及公用OPC服務器）通過RJ45協議的工業以太網雙絞線接在交換機SCALANCE T01/T02上。SCALANCE T01和SCALANCE T02通過光纖實現網絡冗余配置。

1.2 操作員站的監控

操作員站的畫面監控通過訪問單元機組服務器的客戶端實現DCS系統的畫面監控，公用系統未設置獨立的操作員站。為了實現操作員站同時監控單元機組和公用系統的DCS系統數據，單元機組T3000系統需要通過路由器訪問公用系統的T3000系統來獲取公用系統上層網的數據，從而達到操作員站同時監控單元機組和公用系統的DCS系統數據的目的。

2 異常事件經過

2016年某日4∶30，5號機組OM界面出現“error subscribing plant display connection timed out∶connect”報警對話框，公用系統畫面出現“U”報警，ASD無異常報警，同時發現5號機組公用系統及5號機組部分界面無法操作、畫面響應遲緩；4∶50，公用系統所有界面以及總覽目錄中公用系統設備目錄消失，現場檢查發現5號機組公用系統上層網SCALANCE網絡交換機T01和T02均存在故障報警；5∶50，熱工人員將T01網絡交換機進行斷電重啟，T01重啟結束后T01和T02故障報警信號消失，公用系統設備在界面中恢復正常。

圖1 單元機組網絡結構（上層網）

圖2 公用系統網絡結構（上層網）

3 檢查過程

3.1 設備檢查

（1）5號機組公用系統網絡交換機T01重啟后，T01和T02無故障報警信號，F燈未亮。

（2）檢查5號機組公用系統網絡交換機T01，發現當光纖數據端口P13處于通信狀態，P14處于備用狀態時，P14燈標狀態閃爍異常。

（3）檢查5號機組公用系統網絡交換機T01和T02之間的連接光纖通信無異常。

（4）檢查T01和T02之間的連接通信光纖，發現光纖存在彎折痕跡。

（5）使用測試光纖工具測試光纖性能，從測試結果可以判斷彎折后的光纖通信能力有較大幅度下降，但還是在允許范圍內。

（6）檢查赫斯曼路由器MARCH 4000無異常。

（7）停5號機組公用系統網絡交換機T01電源，網絡通信正常。

（8）恢復5號機組公用系統T01電源，停T02電源，網絡通信正常。

（9）保持5號機組公用系統T01和T02正常工作，拔除T01和T02之間的互為冗余的通信光纖，設置公用系統服務器CoServer01為主控，出現5號機組公用系統及機組部分界面無法操作的情況。

（10）保持5號機組公用系統T01和T02正常工作，拔除T01和T02之間互為冗余的通信光纖，設置公用系統服務器CoServer02為主控，網絡通信正常。

（11）保持5號機組公用系統T01和T02正常工作，拔除T01和T02之間互為冗余的通信光纖，拔除T01上連接赫斯曼路由器的通信網線，網絡通信正常。

（12）保持5號機組公用系統T01和T02正常工作，拔除T01和T02之間互為冗余的通信光纖，恢復T01上連接赫斯曼路由器的通信網線，拔除T02上連接赫斯曼路由器的通信網線，網絡通信正常。

（13）在確保5號機組公用系統上層網絡正常的情況下，拔除5號單元機組上層網T01和T02之間互為冗余的通信光纖，設置單元機組服務器FT4500A為主控，OT1，OT3，SOS50的單元機組畫面及公用系統畫面均正常，OT2和ES1泛紅。

（14）在確保5號機組公用系統上層網絡正常的情況下，拔除5號單元機組上層網T01和T02之間互為冗余的通信光纖，設置單元機組服務器FT4500B為主控，OT2和ES1的單元公用系統畫面丟失、單元機組換面響應變慢，OT1，OT3，SOS50畫面泛紅。

3.2 日志檢查

（1）檢查5號機組公用系統網絡交換機T01和T02日志，發現出現網絡通信故障的時候，T01和T02之間的2路通信均中斷。

（2）檢查5號機組公用系統網絡交換機T01和T02日志，發現出現網絡通信故障的時候，用于T01和T02之間通信的光纖數據端口P13已被禁用，報警信息“Link Check∶Broken link on port 13 indicated by 100%packet loss.Port disabled”。

（3）檢查5號機組公用系統網絡交換機T01和T02日志，發現出現網絡通信故障的時候，用于T01和T02之間通信的光纖數據端口P14已被禁用，報警信息“Link Check∶Broken link on port 14 indicated by 100%packet loss.Port disabled”。

3.3 網絡情況檢查

（1）通過斷開公用系統上層網T01和T02之間通信光纖的方式，重現網絡故障現象，檢查5號單元機組DCS系統上層網絡、5號公用DCS系統上層網絡，沒有發現網絡異常情況。

（2）通過斷開公用系統上層網T01和T02之間通信光纖的方式，重現網絡故障現象，檢查單元機組DCS系統服務器、5號公用DCS系統網絡服務器，沒有發現異常情況。

4 原因分析

4.1 公用系統上層網故障原因

根據檢測結果可以判斷，雖然公用系統上層網T01和T02之間的連接通信光纖發現有彎折痕跡，通信能力有所下降，但還是在允許范圍內，網絡設備T01存在故障，導致T01和T02之間通信的光纖數據端口P13和P14的丟包率較高，最終由于高丟包率導致P13和P14端口均被屏蔽，T01和T02之間通信中斷。

4.2 公用系統畫面丟失原因

路由器的配置硬件上是冗余配置，但是在同一時間只能有1個路由器作為主控網絡路徑，根據測試結果得知，目前蕭山發電廠5號機組DCS系統上層網路由器主控網絡路徑分別接入單元機組上層網T01和公用系統上層網T02。

西門子T3000系統是安裝在一對硬件上互為冗余配置的服務器里的DCS操作系統，雖然2臺服務器的內容完全一樣，但是在網絡中只訪問作為主控服務器的數據。操作員站通過訪問單元機組服務器的客戶端實現DCS系統的畫面監控，同時單元機組T3000系統需要通過路由器訪問公用系統的T3000系統，以獲取公用系統上層網的數據，實現公用系統的畫面監控。

當公用系統上層網T01和T02之間的網絡通信中斷后，由于主控服務器在物理上和其相連的SCALANCE通信沒有中斷，主控服務器認為網絡通信正常，因此不會進行主、副服務器的切換，同時網絡通信路徑也沒有發生改變，此時若公用系統CoServer01服務器處在主控模式，因為在主通信路徑上此時無法讀取CoServer01的數據，因此單元機組的服務器無法讀取到公用系統上層網的數據，最終導致操作員站的公用系統畫面丟失。

同理，當單元機組上層網T01和T02之間的網絡通信中斷后，若FT4500的B側作為單元機組的主控服務器，由于單元機組上層網T02此時不是主通信路徑，因此無法讀取到公用系統上層網的數據，最終導致操作員站上的公用系統畫面丟失。

4.3 單元機組畫面響應緩慢

操作員站通過訪問單元機組服務器的客戶端來實現對單元機組和公用系統的畫面進行監控，當公用系統上層網的通信中斷，而該客戶端內含有公用系統的畫面數據，此時會耗費較多的網絡資源對公用系統的數據進行讀取，最終導致單元機組的畫面響應變慢，甚至出現無響應的情況

5 防范措施

根據結果可以判斷，5號機公用系統DCS上層網絡的設置方式存在安全隱患。由于冗余配置的路由器沒有實現動態路由的功能，無法自動識別公用DCS系統中冗余配置的主控服務器，當發生公用DCS系統上層網網絡交換機T01和T02之間的網絡通信中斷的情況時，如果此時路由器的主通信路徑上所連接的公用DCS系統服務器不是主控服務器，操作員站就會由于無法訪問公用系統服務器而出現公用系統畫面丟失、單元機組畫面響應緩慢的情況，嚴重影響機組的安全運行。因此，采取了以下防范措施：

（1）DCS系統中開放服務器異常狀態報警信息、網絡交換機狀態報警信息、網絡交換機數據端口存在異常數據的報警信息。

（2）將連接在5號機組公用系統上層網絡主控通信路徑交換機的CoServer02作為公用系統DCS主控服務器。

（3）將連接在5號機組單元機組DCS上層網絡主控通信路徑交換機的FT4500的A側作為單元機組DCS主控服務器。

（4）將T3000單元機組客戶端中操作員站畫面里的公用系統數據點都移至公用系統客戶端中的操作員站畫面顯示，同時要求集控室中至少有1臺操作員站只訪問5號單元機組客戶端，以確保再出現類似網絡故障的情況下，至少有1臺操作員站可以正常監控5號機組的運行數據。

（5）編制“SCALANCE檢查步驟”，要求進行網絡設備的跟蹤檢查。

（6）制定“5號機組公用系統上層網絡故障應急預案”。

6 結語

針對常見通信故障，通常考慮故障原因是通信方面問題（如通信電纜、網絡交換機等故障）或者是信號電纜存在干擾問題。5號機組故障原因雖然是硬件故障導致的，但最終原因是網絡運行和硬件設置之間無法有效地結合導致，這是今后再遇到類似問題需要拓展思維的方面。

動態路由功能并不是新技術，在信息領域已經得到廣泛應用，可以通過學習信息專業的網絡知識來指導工作，并提出有操作性的整改建議。

[1]丁俊宏，丁寧，蘇燁，等.2015年浙江省發電廠典型熱控故障異常分析與建議[J].浙江電力，2017，36（1）∶27-30.

[2]劉哲，劉林.大型火電機組分散控制系統網絡通信性能試驗[J].廣東電力，2016，29（11）∶47-51.

[3]來曉，馮冬芹，褚健.分布式網絡故障檢測及恢復技術研究[J].計算機工程與應用，2010，46（24）∶73-76.

[4]丁俊宏，孫長生，王蕙，等.2013年浙江省火電廠熱工故障及異常的統計與分析[J].浙江電力，2014，33（10）∶23-27.

（本文編輯：徐晗）

Analysis on Hidden Danger of Upper Level Network Security of T3000 Public System

CHENG Fu，YU Guoliang
（Xiaoshan Power Plant，Hangzhou 311251，China）

In a network fault of T3000 system of DCS for unit 5 in Xiaoshan Power Plant，a DCS server of public system could not be connected，and there were failure of interface operation and delayed image response in an operator station.It is found after check that the network failure resulted from hardware faults；however，it is fundamentally due to ineffective combination of operating condition with network device setting. Therefore，a series of precautionary measures were taken to prevent similar failures.

DCS；network failure；network device setting；precautionary measures

10.19585/j.zjdl.201707014

1007-1881（2017）07-0056-04

TK37

B

2017-03-31

程甫（1982），男，工程師，從事發電廠熱工控制專業工作。