核电厂安全级DCS平台网关通信机制的研究Word文档下载推荐.docx

1、通信;安全中图分类号：TM623;TP309 文献标识码：A 文章编号：2095-2457 （2019）05-0022-0030 前言核电厂 DCS 系统包括安全级DCS 部分和非安全级DCS 部分。安全级 DCS 部分属于安全设备，内部实行安全通信，非安全级DCS 部分属于非安全设备，内部实行非安全通信。网关站是核电厂DCS 平台的一个重要组成部分，主要用于安全级系统与非安全级系统之间进行数据转换、传输;同时网关还起着隔离安全级DCS 平台与非安全级系统平台的作用。1 网关在安全级DCS 平台中的地位和作用网关站位于安全级DCS 平台的非安部分，主要与工程师站、传输站、非安全级系统侧的网关站

2、相连接。工程师站需要在下装模式向网关站下发配置信息，通信主要采用请求和应答的 双向传输方式。传输站与网关站之间为安全通信，传输站将安全级系统侧的数据发送到网关站，网关站将安全数据转换为非安全数据，与非安全级系统侧的网关站进行非安全通信。这部 分通信过程采用单向传输，即数据只能从安全级系统发往非安全级系统，该方式能更好的起到 隔离作用。2 网关站架构设计及实现网关站主要需要实现配置功能、安全级通信协议数据转发功能。在安全级 DCS 中，配置文件由工程师站组态生成，然后下发到各个站的主控模块中。主控模块在运行模式启动后将配置信息分发到该站其他各个槽位的板卡，板卡完成配置信息加载 后开始收发数据。因

3、此在网关站中，同样需要主控模块完成配置功能。安全级通信协议数据转发功能将接收到的安全级DCS 系统数据转发至非安全级DCS 系统。安全级DCS 平台中传输站的通信模块将安全数据发往网关站，网关站中添加安全侧通信模块，与传输站相连接，接收传输站的数据。网关站中还需要添加非安全侧通信模块，接收安 全侧通信模块的数据，对数据进行转换，发送给非安全级设备。安全侧通信模块和非安全侧通 信模块的设计，进一步加强数据隔离功能。综上，网关站的外部接口图如下：网关站是单配置站，不采用冗余配置，因此一个网关站配置只一个主控模块。每个安全侧 通信模块通过通信光口与传输站相连接，每个网关站配置两个安全侧通信模块。非安

4、全侧通信 模块也通过通信光口与非安全级设备中的网关站相连接。在安全级DCS 系统层面中，两个网关与各TU（传输站）设备连接方式，各个TU 设备分别连接至网关1 和网关 2，形成数据的冗余传输。经过网关的主控制器模块进行解包和封装后再通过非安全侧通讯模块与非安全系统进 行通讯。网关应用架构见下图。3 网关站通信设计3.1 主控卡与工程师站的通信设计网关主控板卡上包含两块软件：网关主控Bootloader软件、网关主控平台软件。网关的主 控Bootloader软件在网关上电后率先执行，当面板模式选择按钮选择“load”（下载）模式则实 现下装功能，通过获取前面板开关是否在“load”（下载）状态下

5、，可将平台软件（网关主控平 台软件）、平台配置下发入网关主控的Flash 当中。当开关切到“mait”或“run”（维护或运行） 时Bootloader软件加载平台软件进行运行，平台软件实现网关的运行及维护功能。Bootloader软件实现网关站配置下载功能，该功能通过工程师站软件将相应更改的网关站 配置信息下载至网关站主控模块中。下载信息包含网关主控卡配置信息、网关非安卡信息、网 关安全卡信息。网关的主控卡与工程师站之间使用TCP/IP 的以太网通信方式。主控卡具备TCP/IP以太网数据的收发操作，IP 地址及端口号均通过工程师站下发配置文件进行配置;网关主控模块使用TCP/IP与工程师站进

6、行通信，作网络服务器端使用。3.2 主控卡与的安全侧/非安全侧通信卡的通信设计网关主控模块负责网关站的通信模块工况监控功能。当开关位于“mait”或“run”（维护或运 行）时，网关主控模块周期接收各通信模块诊断状态数据，根据诊断及状态数据控制网关各通 信模块工作。主控卡使用安全级通讯协议库通过背板通信下发网关站对应插槽的板卡（安全卡、非安卡）相关信息，主要包括配置信息、工况监控等。主控卡通过背板下发配置信息后，接收到所有对应插槽板卡配置成功的回复，完成配置否则给予相应显示提醒。主控卡能发送相应指令操 作查询非安全卡、安全卡当前诊断状态信息。板卡诊断状态信息应包含板卡上电源检测信息、 硬件自诊

7、断信息、通信检测信息。同时，主控卡对自身的状态信息进行检测，主控卡将所有状 态信息汇总得到网关站状态报告，工程师站可通过查询方式读取网关站状态报告。3.3 安全侧通信卡与非安全侧通信卡的通信设计网关中安全侧通信卡对接收到的安全级DCS 系统数据转发至非安侧通信卡。安全卡使用安全级通讯协议库获取安全级DCS 发送的数据信息;同时安全卡使用安全级通讯协议库通过背板通信发送数据至非安侧通信卡。安全侧通信卡数据收发是周期性的，每个周期主要完成数据 接收、数据解析/组包、数据发送、状态查询、电源检测功能。在安全卡中 FPGA 与 ARM 配合完成数据的收发。FPGA 提供光口与缓存buffer，实现安全

8、级通信协议的数据链路层。FPGA 一共有 6 处通道，每个通道有8 个接收缓冲 buffer，2 个发送缓冲 buffer，每一个 buffer 大小为 1KBytes。安全卡通道 1、2 为与主控与非安卡通信使用， 通道 3 未用，通道 4、5、6 为与外部TU 光纤通信口。ARM 主要实现安全级通信协议的应用层和安全层。周期性读取FPGA buffer 中的缓存数据，对数据进行解析组包后放入对应通道的数据缓存区。数据发送也是周期性进行的，将接收buffer 中的数据读取到发送buffer 中，然后发送到 FPGA。FPGA 通过背板将数据转发至非安卡。3.4 非安全侧通信卡与非安全系统的通

9、信设计非安卡通过网关背板的连接与安全卡进行通信，二者之间的信息交互使用到了安全级通信 协议，网关非安卡能使用安全级通讯协议库进行数据收发的功能。网关的非安卡侧设计了数据池功能，用于存储不同类型的数据。如下图所示，安全DCS 发送的数据通过TU 传递到网关安全卡，网关安全卡通过背板通信将数据透传到非安卡，非安卡首先对数据进行解析，根据数据类型存储到数据池相应的缓冲区。非安DCS 使用标准的相应modbus 查询指令对数据进行读取操作。网关的非安卡起到与非安DCS 的接口功能，使用标准的modbus-tcp与外界进行数据交互功能，在网关的非安卡侧作为网络的服务端modbus 从站的模式，非安DCS

10、 使用相应标准查询字符命令对数据进行读取查看。数据操作流程为：首先对非安侧DCS 待发送的数据进行解析; 数据解析完成后对相应的标准指令进行执行操作;将查询获取的数据通过modbus 协议发送出去。通信格式如下图所示，根据功能码将数据划分为四种，模拟量输入、开关量输入、模拟量 输出和开关量输出。4 结论网关站在架构上采用主控卡、安全侧通信卡、非安侧通信的方式，其中主控卡、安全侧通 信卡与现场控制站中的主控卡、通信卡设计上保持一致，代码基本统一，方便维护和移植。在通信上，采用了安全级通讯协议库、modbus-tcp协议、TCP/IP 协议，更好的起到了数据隔离的作用。【参考文献】1 王常力，罗安.分布式控制系统（DCS）设计与应用实例M.第 2 版.北京：电子工业出版社，2010.2 GB/T 19582.3-2008.基于 Modbus 协议的工业自动化网络规范第3 部分：Modbus 协议在TCP/IP上的实现指南S.2008.