chanong 1、系统网络结构
2.1 整个项目网络分为四层结构
■ 基础控制层(L1)
该网络由两条独立、相互冗余的 I/O 总线组成。 I/O总线包括本地I/O总线(LBUS)和扩展I/O总线(E-BUS),如图1所示。
▲ 基础控制层示意图(图1)
■ 监控层(L2)
该网络由两个独立的相互冗余的过程控制网络组成,主要用于DCS控制通信以及ODS、OPC、AMS等数据的采集,如图2所示。
■ 运营管理层(L3)
本层网络主要包括DCS管理网络(冗余SCnet网络,分为A网络和B网络)。 网络层管理如图3所示。
■ 调度管理层(L4)
本层网络是基于WEB客户端的调度管理网络,主要连接各分区的全局调度站、工艺工程师站、ODS客户端、WEB服务器及其接入客户端(局域网),以及各分区的外部WEB访问客户端。可操作数据存储服务器。 这些WEB客户端通过访问L3.5层服务器获取屏幕数据和报表。
▲ 典型LAN网络结构示意图(图2)
▲ 管理网络结构示意图(图3)
2 网络安全措施和计划
2.1 DCS网络安全设计原则
■ 大型DCS系统数据库必须基于分布式数据库结构
单一数据库的结构受到规模的限制,不利于系统的可靠性和稳定性。 中控ECS-700系统从设计之初就充分考虑了超大规模DCS应用,因此专门设计了基于多系统数据库的“操作域”和“控制域”的数据划分概念,以更好地匹配项目工程设计。 CCR操作分区和FAR是DCS监控的实际物理分区。 这样就将数据库复杂的配置关系简化到了用户容易理解的程度,方便用户更好的搭建整个项目的DCS数据库结构。
■ 原则上,实时数据仅在子系统网络节点的中点共享。 跨域数据需要提前做好配置。
实时数据一般是指DCS控制器产生的实时数据和事件,如动态标签数据、各种报警和事件等。 在大多数DCS应用中,操作站(操作员)只关心自己域(子项目)内的实时数据,并及时进行必要的处理。 对于上下游关联设备和公共项目,只需要查看部分接口数据即可。
DCS系统/网络设计解决方案
上述实际应用大大减轻了构建大规模实时数据网络的实际负荷,这意味着可以根据应用需求提前将大型DCS系统拆分为多个规模合理的子项目局域网。 子项目数据库相互独立。 通过事先配置和配置,实现子项目之间的数据交互,并将提前订阅的各类实时数据定期发送给管理层。
ECS-700系统基于以太网的.3Z实现数据流的分区管理,并应用组播管理、VLAN等成熟的网络技术,使逻辑子项目内的网络节点能够共享数据,同时切断子项目之间无用的实时流量。 -项目。 防止数据在网络上泛滥,导致传输效率降低甚至网络拥塞。
2.2 完整的网络监控和在线防病毒解决方案
大型DCS系统中的网络故障案例大多表现为工程阶段的问题,包括工程设计不合理、网络组件版本不兼容、项目实施过程中网线连接错误等,其中最常见的是网络中毒。 几乎所有项目都会出现不同程度的中毒现象。 使用传统的病毒查杀技术耗时耗力。 也会在一定程度上影响生产经营。 更严重的情况甚至可能会强制关闭。 大修。 因此,DCS厂商在设计大型工业控制网络时必须考虑完整、全面的网络监控和防病毒解决方案。
中控为本项目提供全网诊断软件。 该软件可以实时观察每个网段甚至每个网络端口的数据负载,以及每个节点的在线、故障和恢复状态。 可以方便地设置各种负载报警和流量控制限制,帮助用户正确、高效地了解网络运行状况并及时采取相应的管理措施。 同时ECS-700系统还基于-1-1工业网络模型,针对不同级别的LEVEL~4设计了不同的防病毒解决方案。 与国际知名防病毒软件公司合作,结合私有协议、白名单、黑名单等全面防病毒技术,针对各种项目应用量身定制防病毒解决方案,方便用户高效实现全网安全防护和监控。
DCS系统/防病毒级别
(1)LEVEL 1级
中控提供的控制器内置网络防火墙、协议分析、接入设备演示。 控制器具有一定的防病毒能力,提高了该层面网络的安全性。
(2)LEVEL 2级
控制层是DCS的核心网络层。 该级计算机较多,必须安装DCS厂家的工控软件。 安装软件比较固定。 在这个层面,中控采用了白名单技术(White List)的防病毒解决方案。 它采用白名单技术锁定合法软件进程,禁止列表之外的任何进程加载系统内存,防止病毒攻击L2层主机,确保控制层绝对安全。
(3) 3级及以上
该级别的计算机数量相对较少,软件在选择软件方面有较大的自由度,并且可能会经常更换。 而且L3层的各种主机不直接参与生产运行和控制,CPU负载安全要求不高。 因此L3层中控采用了杀毒性能较强的知名杀毒软件卡巴斯基。
(4)调度层和控制层
通过防火墙隔离,保证控制层的安全。
(5)外部网络和调度层
防火墙隔离保证了调度层的安全。
微信扫一扫打赏
支付宝扫一扫打赏
