江西赣能股份有限公司丰城二期发电厂设备管理部 江西省丰城市石上村 331100
摘要:简要介绍maxDNA系统在典型的两台单元机组加公用系统结构的联网方式,设置对公用系统的控制权限及相关的安全管理方法。
关键词:DCS系统联网;安全管理;数据共享
一、概况:
江西赣能股份有限公司丰城二期发电厂2×700MW超临界机组主厂房DCS系统及公用DCS系统采用的是国电南自Valmat公司的maxDNA控制系统,该系统是原美国L&N公司的MAX1000 DCS系统的升级版本。在继承了MAX1000系统的一些优秀传统之外,在使用界面,网络互联,功能块使用的灵活性及可靠性均进行了很大的改进,使用户能够很方便实现多种形式的控制及管理。江西赣能股份有限公司丰城二期发电厂2×700MW机组也是maxDNA系统在国内超临界机组上第一次实现了全厂DCS系统一体化,自两台机组先后顺利通过168试投入商业化运行以来,系统运行一直稳定、可靠。同时也为今后减少的设备维护及技术培训成本打下了坚实的基础。
江西赣能股份有限公司丰城二期发电厂2×700MW机组主厂房DCS系统及公用DCS系统包括#5、#6单元机组控制系统(分别包含FSSS、SCS、MCS、DEH、MEH、ECS共6个子系统),公用系统(包含了公用电气,空压机,循泵房三个子系统的设备控制系统),通过利用maxDNA系统所提供的功能,#5、#6机组均可对本机组的DCS系统监视,操作,同时对公用系统进行监视,但出于安全方面的因素考虑,任意时刻只有一台机组可以对公用系统进行操作,但操作权限可以在两台机组之间进行切换,,每台机组的网络结构如图:
二、maxDNA系统联网及相应的安全工具:
随着现代工业生产过程越来越大型化和复杂化,在大型控制系统方案中,往往有数目众多的DPU和工作站参与,在maxDNA系统中引入域Domain的概念可以更直观更方便的来管理网络和数据通讯。域是由一组DPU和工作站所组成的逻辑上的群体,它有自己唯一的域名和域号。它所下属的每一个DPU或一台工作站都是这个域的成员,它们共享一个域名和域号。域最重要的职能是限定和隔离网络通讯, 规范DPU与DPU之间, DPU与工作站,工作站与工作站之间的各种操作。通过maxDNA独有的软件背板技术,使每一个域中的所有实时数据可以被看作是存在于同一条域内的SBP数据宽带上的,域和域之间的SBP数据宽带是隔离不共享的。域内的DPU和工作站成员都是直连(Direct) SBP数据宽带的,对域内的SBP数据可以进行直连(Direct)级权限的操作。域之间要进行数据通讯的话,就要通过运行代理服务Proxy的工作站,间接的对其他域的SBP数据宽带进行相关权限的操作,包括只读Read Only,可写Write,和历史History。权限的设置由运行代理服务的工作站决定。
需要注意的是,运行了代理服务的工作站除了对本体所属域的SBP可以进行直连(Direct)操作外,还可以对其他域的SBP进行包括直连,只读,可写,历史数据的读取在内的间接操作。而对于DPU来讲,同一域的成员可以互为的对它进行直连的操作,如果它要与另一域中的成员进行数据通讯,那么它必须通过一台运行了代理服务的工作站来进行通讯。该工作站对DPU所属的域和另一个域都必须有直连的操作权限。
1、对大型系统进行域的划分时,必须进行如下定义:
1)域名Domain Name---域名是用户为了便于管理和区分给一个域所起的名字,如叫Domain_1,Domain_2等等,可以是由字母或数字组成。
2)域号Domain Number---域号也是用来区分不同的域的。每一个域都对应一个域名和一个域号。域号的有效范围有两种情况:如果域内含DPU,则域号范围是1-15;如果域内全由工作站组成,则域号的有效范围是1-31。域号也用来为该域中的DPU设定IP,以区分不同域间DPU的IP地址分配不同。一般DPU的地址前两个8位二进制数相同,都是172.16,第三位的8位二进制就是该DPU所属域的域号。
3)分散处理单元DPU---DPU是管理I/O模板,负责对现场I/O信号进行实时处理的单元。它直连在MaxNet上,向同属于一个域中的工作站提供实时数据,它也可以与一个域中的其他DPU进行点对点的数据通讯,每个DPU只能属于一个域。
4)工作站WorkStation---工作站就是在WindowsXP下运行MaxDNA软件的计算机。工作站至少隶属于一个域,在它直连的域中,它通过广播与域中的DPU或其他工作站进行数据通讯。当然工作站也可以被设置为通过代理服务间接访问其他的域。间接访问是有权限限制的。
江西赣能股份有限公司丰城二期发电厂2×700MW机组主厂房及公用系统设置了三个域FC1(Domain 1), FC2(Domain 2), FCC(Domain 3)组成的系统。FC1和FC2分别时#5机和#6机的域,有各自的DPU和工作站成员,彼此的通讯是隔离的。FCC是公用系统(包括循环水系统、压缩空气系统和公用电气系统)。
2、关于安全级别的设置
maxDNA 系统通过使用安全级别来管理和限制系统中各种工作站的操作权限,例如操作员站可以使用的3、4、5级,这些安全级别只能正常的操作设备,但是不具备对组态及一些重要数据的修改权限。
maxDNA 系统通过通过安全数据库(Security Database)保存所有的安全级别等设置,使用MCSSecuritySchemesEditor工具可以创建和修改安全数据库。
从上图可以出,可以根据需要修改不同安全级别所具有的操作权限,可以根据需要定义多种操作权限的组合。例如通过MCSSecuritySchemesEditor工具我们可以使安全级别03具有04 Tuner和05 Configuration的权限(Attribute Security Classes),这样安全级别3就可以与安全级别7、8、9具有相同的操作权限;同理,我们也可以删除一些高级别安全权限中的Attribute Security Classes,使其不具备某些操作权限。
每一个安全级别均设置了不同的密码保护,要进入到相应的权限,必须通过以下的界面并输入相应的权限的密码。
利用上面两个功能,我们就可以实现#5、#6机组都可以操作公用系统,但又能做到统一时间只能有一台机组操作公用系统,即达到互锁的目的。
三、实现的方法:
1、将#5机的操作员站及工程师等站的安全级别设成3级,将循环水泵房的操作员站的安全级别设成5级,将#6机的操作员站及工程师等站的安全级别设成4级。
2、使用MCSSecuritySchemesEditor工具自定义6、7两个Security Schemes,将其中6号Security Schemes设置成安全级别为3级和5级具有操作员权限,4级不具备操作员权限,7号Security Schemes设置成安全级别为4级和5级具有操作员权限,3级不具备操作员权限;
3、使用6号Security Schemes时,只有#5机和循环水泵房的操作员站可以操作公用系统,而#6机的操作员只能监视公用系统的状态,不能操作公用系统;
4、使用7号Security Schemes时,只有#6机和循环水泵房的操作员站可以操作公用系统,而#5机的操作员只能监视公用系统的状态,不能操作公用系统。
5、使用MCSSecurityEdit工具操作员站切换安全级别,使其只能在默认的安全级别,不管是向上还是向下改变安全级别时都需要使用相应的密码。
6、制作如下画面,在上面的两个按钮,分别向公用系统控制器中的设驱动级和其他一些有操作员接口的分子的SvcSecScheme属性写入6或者7号Security Schemes。
7、修改SvcSecScheme属性需要的最低安全级别为7级,在实现时可以要求操作员在切换操作权限时将安全级别升到7级或者进入公用系统操作切换换面时自动将安全级别设成7级,退出该画面时再自动将安全级别降到默认的级别。
8、使用MCSSecuritySchemesEditor工具修改0,6,7号中的安全级别7 ,使其中的安全级别7只包含5(configuration)。
9、修改#5、#6及循环水泵房操作员站的安全级别密码,其中#5机只是3级和7级密码使用默认密码,#6机只是4级和7级密码使用默认密码,循环水泵房操作员站只是5级密码使用默认密码,留给操作员切换时输入使用,其他三级以上的安全级别密码都进行修改。
四、结束语:
经以上方式进行配置后,在不增加硬件设备及保证安全性的基础上,充分利用maxDNA系统联网及安全管理方面的强大功能,不仅实现了三个系统的之间的数据共享,增加了系统的操作和监视的灵活性,为今后的运行管理,DCS系统的检修维护方面提供了更加安全灵活的手段及方法。
参考文献:
黄焕袍 曲云 分散控制系统及其应用 中国电力出版社 2009 ISBN 987-7-5083-9214-1
谢希仁 计算机网络(第四版)电子工业出版社 2003.6 ISBN 7-5053-8786-3
MaxDNA DCS控制系统说明书
1)278589_atoms_A4
2)278605_maxDPU auxiliary functions_A2