—ETN分布数据库DCS平台及PPC200万能PLC 谱纯江苏省舰船与海洋自动化工程技术研究中心徐绍衡
常熟市电子仪器厂周文友张卿
高压变压器
摘要
信息安全可靠是工业控制系统的灵魂,只是功能开得动而没有信息安全可靠设计的工业控制系统像一贴,会造成工业系统的瘫痪。本文介绍了重点设计信息安全可靠的ETN分布数据库DCS系统及PPC200万能PLC的八项信息安全可靠的解决方案,特别适用于舰船、高铁、核电等高可靠要求的控制系统。社会心理学理论
关键词:ETN PPC200 心跳一竿子到底预警有备无虑脱机控制不倒翁一体化工艺
工业控制系统主要由PLC、DCS等组成,信息安全可靠是工业控制系统的灵魂,只是功能开得动而没有信息安全可靠设计的工业控制系统像一贴,会造成工业系统的瘫痪。温州高铁撞车特大事故证明,控制系统信息安全可靠是重之又重的问题,已引起国家有关部门的重视。为此我们在设计舰船及工
业控制系统ETN分布数据库DCS平台及PPC200万能PLC时,对系统进行了创新改革,在信息安全可靠方面作了重点设计,实践证明,我们解决信息安全可靠的努力没有白费,ETN分布数据库DCS平台及PPC200万能PLC是高安全可靠的工业控制系统,特别适用于舰船、高铁、核电等高可靠要求的控制系统。
一、工业控制系统及其信息安全可靠的重要性
工业控制系统主要有PLC、DCS、SCADA等,由于我们设计的万能PLC包括了SCADA 等等的功能,另外SCADA采用PC电脑集中控制,其信息容量小及PC电脑可靠性没有模块好,因此万能PLC+DCS是工业控制系统的最全功能最可靠方式,我们设计的通用工业控制系统就是万能PLC+DCS的方式。 信息安全可靠是工业控制系统的灵魂,信息不可靠会造成工业系统的瘫痪:
(1)控制系统的控制依据是采集到得各种信号和数据进行计算或逻辑控制,信息不可靠会使系统乱动作乱控制,使设备瘫痪,严重时会造成重大事故。
(2)设备运行环境存在雷电等强大电磁干扰,PLC+DCS必需有“不倒翁”的特性,否则冲击使设备停机,严重时会造成重大事故,温州高铁撞车特大事故就是此例。
(3)电子板长期运行不可避免出现故障,使设备瘫痪,系统应冗余设计、报警、预警、自动发现故
障作应急处理,防止事故的发生,上海地铁系统出现多次“死机”停止运行就是此情况。
(4)控制系统的设计必须考虑到可靠性与合理性,系统可靠性是第一位的,功能再好不可靠的系统不能用。会造成事故,下面讲的“一竿子到底”、“脱机控制”、“一体化工艺”等的
可靠性设计相当重要。
为此,我们在设计ETN分布数据库DCS平台及PPC200万能PLC时特别注重信息安全可靠的设计,采取了八项创新改革,使其成为高信息安全及高可靠的工业控制系统,达到国家有关信息安全的要求。
二、工业控制系统信息安全可靠的解决方案设计
下面专门对控制系统安全可靠的七项解决方案进行讨论和介绍:
1. 系统设计有完善的全部节点的“心跳”数据库。
平台上每个节点是一个基本控制功能块,每个节点都必需有一个代表本节点运行正常的“心跳”信号可靠地发送到平台数据库中,形成平台全部设备节点的“心跳”数据库组,“心跳”数据库组包括所有模块所有电脑的网口心跳数据,同时“心跳”数据库组能使全平台每个节点均能方便地查询。
每个节点功能块中必需专门设计故障应急处理程序,当某个节点查到某个“心跳”数据库信号消失时,立即进行与本节点有关的安全处理及报警,必要时自动进行安全应急自动控制。本功能是系统信息安全的重要方案。
以ETN第一区为例,4台电脑、32个PLC模块及AB双网络切换库定义如下:
英荷壳牌石油公司(1)电脑
1号电脑A网B网数据库itema1985;itema1989 有心跳0A5H ;无心跳00H
2号电脑A网B网数据库itema1986;itema1990 有心跳0A5H ;无心跳00H
3号电脑A网B网数据库itema1987;itema1991 有心跳0A5H ;无心跳00H
4号电脑A网B网数据库itema1988;itema1992 有心跳0A5H ;无心跳00H (2)PLC模块
01号模块数据库itema2001 有心跳00H ;无心跳01H
……
32号模块数据库itema2032 有心跳00H ;无心跳01H
(3)AB双网络切换库
A网络数据库itema1999 有心跳0A5H ;无心跳00H
B网络数据库itema2000 有心跳0A5H ;无心跳00H
2. ETN分布数据库DCS平台“一竿子到底”的设计
传统的DCS是采用网络通讯技术,速度低容量小,而ETN采用计算机的高级数据库技术,采用比数据库服务器更先进的无服务器式分布数据库技术,高速大容量,其原理是:在网络平台每个节点内设立一个分布式芯片数据库,采用发明专利ZL00125634.3“侦探、压缩、广播”的原理,使平台所有节点的芯片分布数据库在一毫秒时间内同步一致相等,从而使每个芯片分布数据库就是网络总数据库,使节点内分布数据库的动态数据等同于平台总数据库的动态数据,每个节点在本节点内就能读写共享平台总数据库的动态数据,彻底淘汰了传统的通讯技术,使用数据库不需要通讯,是技术创新,实现了DCS的高速大容量,是
新一代的DCS 系统。用ETN 的DCS 系统能实现平台数据的动态响应小于一毫秒的高速度和平台上最多可有六万四千个信息点的大容量,其指标优于传统DCS 系统的十倍以上。ETN 上述功能是由一个组件(芯片)的软件与硬件综合来实现,组件放置于每个节点上,电气结构见下图:
用户接口逻辑
24芯
由于平台每个节点均直接读写平台分布数据库,信息传播没有“瓶颈”,信息可靠性最
高,国际上被称为“一竿子到底”的方案。
ETN 分布数据库DCS 平台的总体结构如下图:
控制中心 指挥中心 管理中心双机冗余 平台用不同的IP 地址分成32个分区,每个分区2000个信息点(可扩展到16000点),每分区一般有32台PPC200万能PLC 及数台电脑,分区网速为100/10M ,双套独立以太网结构。总平台为1000M 双套独立以太网结构。电脑数不限,共64000个信息点,分区之间信息交换由总平台实现。
3. 双网络平台冗余的“有备无虑”设计
根据可靠性理论,多重冗余设计是提高可靠性的最好方案。
冗余可靠性设计理论【文献2】如下:
可靠度r(t) αt βt
-βe + αe
r(t) =
α-β
以市场器件最低值计算: μ = 1/MTTR λ= 0.0008/hour t=100
计算得到:α及β套入上式
r(t) = 0.9996齐白石的人格
对于四重冗余: r(t) = 0.9999555
对应于平均无故障间隔: MTBF ≥ 60000 hour
PPC200万能PLC及电脑等均是双网口结构,平台是用IP分区的1000M双独立网络的以太网,某一网络故障双网络切换数据库马上反应,自动切换到另一个网络工作,平台运行无故障,这种“有备无虑”的结构是信息安全可靠的重要保证。【文献3】
另外,管理中心的数据库必须双机冗余,保障系统数据库的可靠性,见上面系统图。
4. 控制系统的安全“预警”设计
当控制系统现安全问题时立即报警,由人工应急处理,这是一个常规的方法,系统设计还必须有预警功能可以有效地防止报警失效时的安全,举例如下:
(1)弹药舱的安全控制是靠通风机来自动控制温度的,设立二档预警:
A. 当通风机故障时立即报警,预警弹药舱的安全。
B. 当弹药舱温度到达危险温度前3度时,预警弹药舱的安全。
(2)船舶冷却系统是靠冷却水泵自动起停来自动控制被冷却设备的温度,为了安全,将冷却水泵的故障作为冷却系统安全的预警,冷却水泵故障后需经一定的时间才能出现冷却温度的过高报警,预警保证了安全。
5. 系统采用PLC的“脱机控制”设计
国际上广泛应用的PLC可编程控制器就是“脱机控制”设计的典范,PLC用电脑进
行二次编程后就独立工作,复杂的自动控制也不依赖电脑,当系统电脑故障或电脑关机时,整个自动控制系统仍有条不紊地正常工作,电脑只作监视、指挥、管理,自动控制达到高可靠性。主要原因是:
(1)PC电脑内受硬盘等元件的影响,其可靠性比PLC模块低得多,“脱机控制”可大大提高控制系统的可靠性,电脑的误操作或故障,自动控制系统完全正常工作。
三权分立的弊端(2)PC电脑易受“病毒”的入侵而瘫痪,“脱机控制”使工业控制系统有终身免疫力,不再担心“病毒”入侵电脑造成大事故。
(3)ETN分布数据库平台允许安装1000台PC电脑作监视,一台电脑离线不会影响自动控制系统的正常运行。
6. PPC200万能PLC模块的“不倒翁”设计
工业现场尤其是舰船现场有强大的电磁干扰及电磁冲击,ETN及PPC200硬件CPU选用能抗20000V静电干扰,采取措施抗强大电磁干扰与冲击,但实际上会出现雷电等超强大的电磁冲击,任何硬件均无法抗住,造成软件混乱而“死机”,这是经常碰到的,为此ETN 及PCC软件设计必须采取措施,绝对杜绝此类情况的发生,使整个系统成为“不倒翁”,高可靠控制系统尤其是舰船控制系统绝不容许出现“死机”。
ETN及PPC200软件采用了三大措施:
1)整个软件的布局格式要做到任意地址起动程序均能正常工作,不能出现混乱,实际上采用了:起动分类、程序定时、硬件看门狗、软件看门狗、软件恢复格式五种措施,保证了软件的无混乱自恢复,即“不倒翁”。
2)工作软件不允许有长程序,均被分时分割为短程序,可以保证混乱快速恢复,同时不影响程序的快速性。
3)凡是检测循环的程序段,必须有定时跳出功能,防止死循环“死机”,实际上在仿真器上将应用软件实施任意地址起动,试验几十次,边试验边改进,直至软件达到要求。本设计措施是信息安全可靠的最重要的一环。
7. PLC模块内设置安全报警
由于PC电脑易受病毒与误操作影响,安全性低,而且PC电脑受硬盘等元件影响,可靠度低,国际多家船级社的规范规定,安全报警值及功能必须放在模块内,不能放在电脑中,这个重要的信息安全可靠的措施在国内普遍被疏忽了。
PPC200具有在模块内设置各种报警、延时报警等功能,在数据库信息定义中也有报警定义,可以脱机报警,报警安全设置值也在模块中,是重要的安全措施。
8. PPC200万能PLC模块的“一体化工艺”设计
PLC的结构可靠性也是信息安全可靠的因
素,常规的电子模块结构是内部把CPU、I/O、电
源等等各种模块内部用总线连起来构成整机,结
构复杂,影响可靠性。
PPC200的“一体化工艺”结构如右图照片,
一个小盒子包括了CPU、I/O、电源等等所有单元,
内部无总线一体化,大大提高了模块的可靠性,缩小了体积重量,使模块更耐工业冲击。
同时PPC200扩展了PLC功能,成为逻辑控制、模拟量控制、任意传感器采集多功能合一的万能控制器,大大简化了控制器品种,也解决了结构可靠性。
三、结束语
1. ETN分布数据库DCS平台及PPC200万能PLC已在“航母”、“坞登”等大型舰船中成功应用【文献4】,其信息安全及可靠性已在三年中得到证明,与国内一些不考虑信息安全及可靠性的系统比较,技术已大大进步。
2. 本文介绍的信息安全可靠的八项设计措施是一个完善的信息安全解决方案,实际证明是成功的,可以作为典范供高可靠工业控制系统的设计和使用单位借鉴。
3. ETN分布数据库DCS平台及PPC200万能PLC在信息安全可靠、功能完善、结构工艺等诸方面均不下于西门子S7-200等PLC及DCS的进口设备,完全可取代进口品。中国市场每年进口100万台PLC,完全可国产化。
参考文献
[1] 徐绍衡:《船舶监控系统及其可靠性研究》国际轮机工程学术会议(1983年)
[2] 徐绍衡:《A Marine Fault-tolerant Micro-computer Control System》中国造船论文集(英文版)N02,1986年
[3]徐绍衡:《PCC可编程采集控制器及虚拟数据库平台》中国造船工程学会2009年优秀论文集
[4] 徐绍衡:《舰船高可靠性控制系统设计原则与应用实例》(中国造船)2012年
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议