核电厂安全级DCS平台网关通信机制的研究

2019-04-22 07:09王克成叶奇霍蒙
科技视界 2019年5期
关键词:通信网关安全

王克成 叶奇 霍蒙

【摘 要】在核电领域,DCS(分布式控制系统)发展迅猛,作为核反应堆安全运行的重要保障设备,负责执行紧急停堆、事故后监测等重要功能,完成这些功能需要DCS系统安全设备和非安全设备之间相互配合。网关站负责在安全设备和非安全设备之间建立起通信关系,将安全设备侧的安全数据进行转换并发送到非安全设备侧。文章设计了安全级DCS平台侧网关站的架构以及通信机制。

【关键词】网关;通信;安全

中图分类号: TM623;TP309文献标识码: A 文章编号: 2095-2457(2019)05-0022-003

0 前言

核电厂DCS系统包括安全级DCS部分和非安全级DCS部分。安全级DCS部分属于安全设备,内部实行安全通信,非安全级DCS部分属于非安全设备,内部实行非安全通信。网关站是核电厂DCS平台的一个重要组成部分,主要用于安全级系统与非安全级系统之间进行数据转换、传输;同时网关还起着隔离安全级DCS平台与非安全级系统平台的作用。

1 网关在安全级DCS平台中的地位和作用

网关站位于安全级DCS平台的非安部分,主要与工程师站、传输站、非安全级系统侧的网关站相连接。工程师站需要在下装模式向网关站下发配置信息,通信主要采用请求和应答的双向传输方式。传输站与网关站之间为安全通信,传输站将安全级系统侧的数据发送到网关站,网关站将安全数据转换为非安全数据,与非安全级系统侧的网关站进行非安全通信。这部分通信过程采用单向传输,即数据只能从安全级系统发往非安全级系统,该方式能更好的起到隔离作用。

2 网关站架构设计及实现

网关站主要需要实现配置功能、安全级通信协议数据转发功能。

在安全级DCS中,配置文件由工程师站组态生成,然后下发到各个站的主控模块中。主控模块在运行模式启动后将配置信息分发到该站其他各个槽位的板卡,板卡完成配置信息加载后开始收发数据。因此在网关站中,同样需要主控模块完成配置功能。

安全级通信协议数据转发功能将接收到的安全级DCS系统数据转发至非安全级DCS系统。安全级DCS平台中传输站的通信模块将安全数据发往网关站,网关站中添加安全侧通信模块,与传输站相连接,接收传输站的数据。网关站中还需要添加非安全侧通信模块,接收安全侧通信模块的数据,对数据进行转换,发送给非安全级设备。安全侧通信模块和非安全侧通信模块的设计,进一步加强数据隔离功能。

综上,网关站的外部接口图如下:

网关站是单配置站,不采用冗余配置,因此一个网关站配置只一个主控模块。每个安全侧通信模块通过通信光口与传输站相连接,每个网关站配置两个安全侧通信模块。非安全侧通信模块也通过通信光口与非安全级设备中的网关站相连接。在安全级DCS系统层面中,两个网关与各TU(传输站)设备连接方式,各个TU设备分别连接至网关1和网关2,形成数据的冗余传输。经过网关的主控制器模块进行解包和封装后再通过非安全侧通讯模块与非安全系统进行通讯。网关应用架构见下图。

3 網关站通信设计

3.1 主控卡与工程师站的通信设计

网关主控板卡上包含两块软件:网关主控Bootloader软件、网关主控平台软件。网关的主控Bootloader软件在网关上电后率先执行,当面板模式选择按钮选择“load”(下载)模式则实现下装功能,通过获取前面板开关是否在“load”(下载)状态下,可将平台软件(网关主控平台软件)、平台配置下发入网关主控的Flash当中。当开关切到“mait”或“run”(维护或运行)时Bootloader软件加载平台软件进行运行,平台软件实现网关的运行及维护功能。

Bootloader软件实现网关站配置下载功能,该功能通过工程师站软件将相应更改的网关站配置信息下载至网关站主控模块中。下载信息包含网关主控卡配置信息、网关非安卡信息、网关安全卡信息。

网关的主控卡与工程师站之间使用TCP/IP的以太网通信方式。主控卡具备TCP/IP以太网数据的收发操作,IP地址及端口号均通过工程师站下发配置文件进行配置;网关主控模块使用TCP/IP与工程师站进行通信,作网络服务器端使用。

3.2 主控卡与的安全侧/非安全侧通信卡的通信设计

网关主控模块负责网关站的通信模块工况监控功能。当开关位于“mait”或“run”(维护或运行)时,网关主控模块周期接收各通信模块诊断状态数据,根据诊断及状态数据控制网关各通信模块工作。

主控卡使用安全级通讯协议库通过背板通信下发网关站对应插槽的板卡(安全卡、非安卡)相关信息,主要包括配置信息、工况监控等。主控卡通过背板下发配置信息后,接收到所有对应插槽板卡配置成功的回复,完成配置否则给予相应显示提醒。主控卡能发送相应指令操作查询非安全卡、安全卡当前诊断状态信息。板卡诊断状态信息应包含板卡上电源检测信息、硬件自诊断信息、通信检测信息。同时,主控卡对自身的状态信息进行检测,主控卡将所有状态信息汇总得到网关站状态报告,工程师站可通过查询方式读取网关站状态报告。

3.3 安全侧通信卡与非安全侧通信卡的通信设计

网关中安全侧通信卡对接收到的安全级DCS系统数据转发至非安侧通信卡。安全卡使用安全级通讯协议库获取安全级DCS发送的数据信息;同时安全卡使用安全级通讯协议库通过背板通信发送数据至非安侧通信卡。安全侧通信卡数据收发是周期性的,每个周期主要完成数据接收、数据解析/组包、数据发送、状态查询、电源检测功能。

在安全卡中FPGA与ARM配合完成数据的收发。FPGA提供光口与缓存buffer,实现安全级通信协议的数据链路层。FPGA一共有6处通道,每个通道有8个接收缓冲buffer,2个发送缓冲buffer,每一个buffer大小为1KBytes。安全卡通道1、2为与主控与非安卡通信使用,通道3未用,通道4、5、6为与外部TU光纤通信口。ARM主要实现安全级通信协议的应用层和安全层。周期性读取FPGA buffer中的缓存数据,对数据进行解析组包后放入对应通道的数据缓存区。数据发送也是周期性进行的,将接收buffer中的数据读取到发送buffer中,然后发送到FPGA。FPGA通过背板将数据转发至非安卡。

3.4 非安全侧通信卡与非安全系统的通信设计

非安卡通过网关背板的连接与安全卡进行通信,二者之间的信息交互使用到了安全级通信协议,网关非安卡能使用安全级通讯协议库进行数据收发的功能。

网关的非安卡侧设计了数据池功能,用于存储不同类型的数据。如下图所示,安全DCS发送的数据通过TU传递到网关安全卡,网关安全卡通过背板通信将数据透传到非安卡,非安卡首先对数据进行解析,根据数据类型存储到数据池相应的缓冲区。非安DCS使用标准的相应modbus查询指令对数据进行读取操作。

网关的非安卡起到与非安DCS的接口功能,使用标准的modbus-tcp与外界进行数据交互功能,在网关的非安卡侧作为网络的服务端modbus从站的模式,非安DCS使用相应标准查询字符命令对数据进行读取查看。数据操作流程为:首先对非安侧DCS待发送的数据进行解析;数据解析完成后对相应的标准指令进行执行操作;将查询获取的数据通过modbus协议发送出去。通信格式如下图所示,根据功能码将数据划分为四种,模拟量输入、开关量输入、模拟量输出和开关量输出。

4 结论

网关站在架构上采用主控卡、安全侧通信卡、非安侧通信的方式,其中主控卡、安全侧通信卡与现场控制站中的主控卡、通信卡设计上保持一致,代码基本统一,方便维护和移植。在通信上,采用了安全级通讯协议库、modbus-tcp协议、TCP/IP协议,更好的起到了数据隔离的作用。

【参考文献】

[1]王常力,罗安.分布式控制系统(DCS)设计与应用实例[M].第2版.北京:电子工业出版社,2010.

[2]GB/T 19582.3-2008.基于Modbus协议的工业自动化网络规范第3部分:Modbus协议在TCP/IP上的实现指南[S].2008.

猜你喜欢
通信网关安全
对数字微波通信技术的研究
应对气候变化需要打通“网关”
一种实时高效的伺服控制网关设计
基于Zigbee与TCP的物联网网关设计