一次網(wǎng)絡(luò)環(huán)網(wǎng)故障導(dǎo)致輔網(wǎng)PLC癱瘓的原因分析和處理

安徽華電宿州發(fā)電有限公司 牛百芳，張洪星

隨著火力發(fā)電機組向高參數(shù)、大容量方向發(fā)展, 生產(chǎn)設(shè)備逐漸走向大型化, 生產(chǎn)系統(tǒng)日趨復(fù)雜，生產(chǎn)過程中需要監(jiān)視的內(nèi)容越來越多, 過程控制的任務(wù)越來越重，而配置的生產(chǎn)人員越來越少，為解決兩者之間矛盾，越來越多的電廠采用了用發(fā)電廠輔網(wǎng)集中監(jiān)控(BOP)系統(tǒng)，在不同底層控制系統(tǒng)之間采用iFix監(jiān)控軟件進行系統(tǒng)集成的技術(shù)，實現(xiàn)了多種不同類型多個控制系統(tǒng)之間的集中監(jiān)控。隨著輔助控制網(wǎng)（BOP）應(yīng)用范圍的不斷擴大，輔助控制網(wǎng)的網(wǎng)絡(luò)安全越來越重要，由于設(shè)計、施工、檢修等方面不當(dāng)，造成的網(wǎng)絡(luò)癱瘓所影響到的范圍也越來越大，危害性越來越嚴重，如何進行風(fēng)險預(yù)控、原因分析、后期處理方案成為保證網(wǎng)絡(luò)安全的重要因素，本文介紹了某電站2×630MW機組由于網(wǎng)絡(luò)環(huán)網(wǎng)導(dǎo)致所有輔網(wǎng)PLC癱瘓的原因分析與處理，以給其他人員提供參考和借鑒。

1 網(wǎng)絡(luò)環(huán)網(wǎng)事件經(jīng)過、原因分析與處理

輔助控制網(wǎng)由總網(wǎng)采用用3臺操作員站、1臺工程師站，2臺冗余的主交換機及2臺服務(wù)器和4個子網(wǎng)組成，連接介質(zhì)為光纖（大于150米用）或雙絞線（小于150米用），通訊協(xié)議為TCP/IP以太網(wǎng)。兩臺互為冗余的服務(wù)器通過雙纜冗余星形拓撲結(jié)構(gòu)的以太網(wǎng)與各個輔助車間的PLC子系統(tǒng)進行通訊，系統(tǒng)通過安全保護模塊來防止集中控制室、子網(wǎng)控制室及就地操作員站同時進行操作。

輔網(wǎng)包含水控制子網(wǎng)、灰控制子網(wǎng)、煤控制子網(wǎng)和其他控制系統(tǒng)等，在集中控制室，運行人員通過輔助控制網(wǎng)的上位機監(jiān)控站LCD對全廠輔助系統(tǒng)進行監(jiān)控。

（1）事件經(jīng)過

11月22日17 時50分，#1、#2機組負荷570MW，輸煤系統(tǒng)雙皮帶運行，化學(xué)#2、3、4工業(yè)水泵運行，除灰、除渣系統(tǒng)設(shè)備運行正常，輔網(wǎng)PLC系統(tǒng)正常運行。

18時00分，熱控維護部在更換化學(xué)精處理控制柜內(nèi)交換機過程中，除灰、除渣、輸煤、化學(xué)操作員站顯示故障無法進行操作，現(xiàn)場多臺設(shè)備跳閘，具體情況見下表1。

表1 故障情況列表

熱控人員現(xiàn)場立即檢查輔網(wǎng)各PLC均停運，分別重啟各PLC后，輔網(wǎng)控制系統(tǒng)逐步恢復(fù)正常。23時30分，所有輔網(wǎng)相關(guān)設(shè)備全部恢復(fù)正常運行。

（2）原因分析

在更換化學(xué)精處理控制系統(tǒng)交換機過程中，工作人員誤將精處理至化水車間的一條備用通訊線路插入交換機，主備兩條線路同時工作從而形成網(wǎng)絡(luò)環(huán)路，是造成輔網(wǎng)各PLC異常停運的原因。同時通過咨詢施耐德PLC中國總部技術(shù)人員，判斷為網(wǎng)絡(luò)中某個通訊單元工作形成“網(wǎng)絡(luò)風(fēng)暴”，導(dǎo)致PLC停運。輔網(wǎng)廠家反饋，出現(xiàn)“網(wǎng)絡(luò)風(fēng)暴”最可能的直接原因為網(wǎng)絡(luò)交換中存在網(wǎng)絡(luò)環(huán)路。通過現(xiàn)場檢查，在制氫站控制系統(tǒng)發(fā)現(xiàn)另外一條網(wǎng)絡(luò)環(huán)路。臨時搭建試驗用網(wǎng)絡(luò)系統(tǒng)，模擬主備線路同時工作情況，結(jié)果同樣出現(xiàn)“網(wǎng)絡(luò)風(fēng)暴”現(xiàn)象，驗證了以上判斷正確。

（3）暴露的主要問題

①用于接入輔網(wǎng)系統(tǒng)的交換機是非網(wǎng)管型交換機和普通光電收發(fā)器，型號不統(tǒng)一，無網(wǎng)絡(luò)管理功能，無法抑制網(wǎng)絡(luò)風(fēng)暴，可靠性差。

②輔網(wǎng)系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)過于簡單，僅靠“傻瓜”式交換機相互連接，未設(shè)置分層布置的網(wǎng)絡(luò)構(gòu)架，不能有效防止“網(wǎng)絡(luò)風(fēng)暴”現(xiàn)象發(fā)生。輔網(wǎng)系統(tǒng)各網(wǎng)點之間無硬件隔離，也不能有效阻止無用數(shù)據(jù)相互傳遞。

③維護人員缺乏對網(wǎng)絡(luò)通訊相關(guān)知識的掌握。而化學(xué)精處理網(wǎng)絡(luò)線路標識不夠清晰。

2 輔網(wǎng)程控系統(tǒng)網(wǎng)絡(luò)改造

（1）交換機統(tǒng)一換型

輔網(wǎng)交換機采用SIXNET工業(yè)以太網(wǎng)交換機EL-208系列，具有多種先進的安全網(wǎng)管功能中心交換機，啟用高端的ACL訪問控制列表功能，對數(shù)據(jù)進行選擇過濾，控制數(shù)據(jù)流量，避免網(wǎng)絡(luò)風(fēng)暴產(chǎn)生。

（2）輔網(wǎng)網(wǎng)絡(luò)拓撲結(jié)構(gòu)（如圖1所示）

圖1 輔網(wǎng)網(wǎng)絡(luò)拓撲結(jié)構(gòu)

系統(tǒng)采用星形拓撲結(jié)構(gòu)，連接設(shè)備交換機采用SLX-5MS系列可網(wǎng)管交換機；輔網(wǎng)系統(tǒng)設(shè)置4個VLAN，即水網(wǎng)系統(tǒng)設(shè)置為VLAN100、輸煤程控系統(tǒng)設(shè)置為VLAN200、除灰渣程控系統(tǒng)設(shè)置為VLAN300、燃油泵房程控系統(tǒng)設(shè)置為VLAN400，將4條路徑相互隔離，使其不能相互訪問，避免網(wǎng)絡(luò)風(fēng)暴產(chǎn)生。

（3）用戶認證

運用IEEE801.1x標準定義的基于交換機端口的訪問控制進程，要求輸入用戶ID及其密碼，從而阻止了對網(wǎng)絡(luò)未經(jīng)許可的訪問。訪問網(wǎng)絡(luò)中所有交換機端口由服務(wù)器控制，就是說授權(quán)用戶只需使用一個用戶ID及其密碼從網(wǎng)絡(luò)中的任意點得到認證。

交換機使用LAN擴展認證協(xié)議（Extensible Authentication Protocol Over LAN）與MD5認證，由RADIUS服務(wù)器控制。當(dāng)客戶機或“請求者”連接到一個交換機端口時，交換機或“認證者”響應(yīng)一個身份請求?？蛻舳讼蚪粨Q機提交身份，并將身份轉(zhuǎn)發(fā)到RADIUS服務(wù)器。然后RADIUS服務(wù)器發(fā)放一個MD5訪問挑戰(zhàn)給客戶端。客戶端基于用戶名及其密碼返回一個MD 5響應(yīng)給RADIUS服務(wù)器。如果認證成功，RADIUS服務(wù)器通知交換機允許訪問客戶端。否則，網(wǎng)絡(luò)訪問被拒絕，端口仍是阻塞狀態(tài)。

3 結(jié)束語

廣播風(fēng)暴指過多的廣播包消耗了大量的網(wǎng)絡(luò)帶寬，導(dǎo)致正常的數(shù)據(jù)包無法正常在網(wǎng)絡(luò)中傳送，通常指一個廣播包隨機引起了多個的響應(yīng)，而每個響應(yīng)又引起了多個得響應(yīng)，就像滾雪球一樣，把網(wǎng)絡(luò)的所有帶寬都消耗殆盡，從而引起多個PLC死機癱瘓，該現(xiàn)象通常是由于網(wǎng)絡(luò)環(huán)路、病毒等引起的。本文論述了由于網(wǎng)絡(luò)設(shè)計存在環(huán)網(wǎng)，在消缺過程中形成網(wǎng)絡(luò)廣播風(fēng)暴，導(dǎo)致輔網(wǎng)所有PLC癱瘓，控制系統(tǒng)大面積失靈的故障現(xiàn)象進行原因分析，制定后續(xù)處理方案進行處理，為輔網(wǎng)系統(tǒng)的設(shè)計、施工、檢修提供了參考和很好的借鑒。

[1] 夏俊利. 300MW火電機組輔助系統(tǒng)控制網(wǎng)絡(luò)的組建.

[2] 姚益群,張棋,宗彪.基于iFix的火電廠輔助控制系統(tǒng)的集中監(jiān)控.