安徽华电宿州发电有限公司 牛百芳，张洪星

随着火力发电机组向高参数、大容量方向发展, 生产设备逐渐走向大型化, 生产系统日趋复杂，生产过程中需要监视的内容越来越多, 过程控制的任务越来越重，而配置的生产人员越来越少，为解决两者之间矛盾，越来越多的电厂采用了用发电厂辅网集中监控(BOP)系统，在不同底层控制系统之间采用iFix监控软件进行系统集成的技术，实现了多种不同类型多个控制系统之间的集中监控。随着辅助控制网（BOP）应用范围的不断扩大，辅助控制网的网络安全越来越重要，由于设计、施工、检修等方面不当，造成的网络瘫痪所影响到的范围也越来越大，危害性越来越严重，如何进行风险预控、原因分析、后期处理方案成为保证网络安全的重要因素，本文介绍了某电站2×630MW机组由于网络环网导致所有辅网PLC瘫痪的原因分析与处理，以给其他人员提供参考和借鉴。

1 网络环网事件经过、原因分析与处理

辅助控制网由总网采用用3台操作员站、1台工程师站，2台冗余的主交换机及2台服务器和4个子网组成，连接介质为光纤（大于150米用）或双绞线（小于150米用），通讯协议为TCP/IP以太网。两台互为冗余的服务器通过双缆冗余星形拓扑结构的以太网与各个辅助车间的PLC子系统进行通讯，系统通过安全保护模块来防止集中控制室、子网控制室及就地操作员站同时进行操作。

辅网包含水控制子网、灰控制子网、煤控制子网和其他控制系统等，在集中控制室，运行人员通过辅助控制网的上位机监控站LCD对全厂辅助系统进行监控。

（1）事件经过

11月22日17 时50分，#1、#2机组负荷570MW，输煤系统双皮带运行，化学#2、3、4工业水泵运行，除灰、除渣系统设备运行正常，辅网PLC系统正常运行。

18时00分，热控维护部在更换化学精处理控制柜内交换机过程中，除灰、除渣、输煤、化学操作员站显示故障无法进行操作，现场多台设备跳闸，具体情况见下表1。

表1 故障情况列表

热控人员现场立即检查辅网各PLC均停运，分别重启各PLC后，辅网控制系统逐步恢复正常。23时30分，所有辅网相关设备全部恢复正常运行。

（2）原因分析

在更换化学精处理控制系统交换机过程中，工作人员误将精处理至化水车间的一条备用通讯线路插入交换机，主备两条线路同时工作从而形成网络环路，是造成辅网各PLC异常停运的原因。同时通过咨询施耐德PLC中国总部技术人员，判断为网络中某个通讯单元工作形成“网络风暴”，导致PLC停运。辅网厂家反馈，出现“网络风暴”最可能的直接原因为网络交换中存在网络环路。通过现场检查，在制氢站控制系统发现另外一条网络环路。临时搭建试验用网络系统，模拟主备线路同时工作情况，结果同样出现“网络风暴”现象，验证了以上判断正确。

（3）暴露的主要问题

①用于接入辅网系统的交换机是非网管型交换机和普通光电收发器，型号不统一，无网络管理功能，无法抑制网络风暴，可靠性差。

②辅网系统网络结构过于简单，仅靠“傻瓜”式交换机相互连接，未设置分层布置的网络构架，不能有效防止“网络风暴”现象发生。辅网系统各网点之间无硬件隔离，也不能有效阻止无用数据相互传递。

③维护人员缺乏对网络通讯相关知识的掌握。而化学精处理网络线路标识不够清晰。

2 辅网程控系统网络改造

（1）交换机统一换型

辅网交换机采用SIXNET工业以太网交换机EL-208系列，具有多种先进的安全网管功能中心交换机，启用高端的ACL访问控制列表功能，对数据进行选择过滤，控制数据流量，避免网络风暴产生。

（2）辅网网络拓扑结构（如图1所示）

图1 辅网网络拓扑结构

系统采用星形拓扑结构，连接设备交换机采用SLX-5MS系列可网管交换机；辅网系统设置4个VLAN，即水网系统设置为VLAN100、输煤程控系统设置为VLAN200、除灰渣程控系统设置为VLAN300、燃油泵房程控系统设置为VLAN400，将4条路径相互隔离，使其不能相互访问，避免网络风暴产生。

（3）用户认证

运用IEEE801.1x标准定义的基于交换机端口的访问控制进程，要求输入用户ID及其密码，从而阻止了对网络未经许可的访问。访问网络中所有交换机端口由服务器控制，就是说授权用户只需使用一个用户ID及其密码从网络中的任意点得到认证。

交换机使用LAN扩展认证协议（Extensible Authentication Protocol Over LAN）与MD5认证，由RADIUS服务器控制。当客户机或“请求者”连接到一个交换机端口时，交换机或“认证者”响应一个身份请求。客户端向交换机提交身份，并将身份转发到RADIUS服务器。然后RADIUS服务器发放一个MD5访问挑战给客户端。客户端基于用户名及其密码返回一个MD 5响应给RADIUS服务器。如果认证成功，RADIUS服务器通知交换机允许访问客户端。否则，网络访问被拒绝，端口仍是阻塞状态。

3 结束语

广播风暴指过多的广播包消耗了大量的网络带宽，导致正常的数据包无法正常在网络中传送，通常指一个广播包随机引起了多个的响应，而每个响应又引起了多个得响应，就像滚雪球一样，把网络的所有带宽都消耗殆尽，从而引起多个PLC死机瘫痪，该现象通常是由于网络环路、病毒等引起的。本文论述了由于网络设计存在环网，在消缺过程中形成网络广播风暴，导致辅网所有PLC瘫痪，控制系统大面积失灵的故障现象进行原因分析，制定后续处理方案进行处理，为辅网系统的设计、施工、检修提供了参考和很好的借鉴。

[1] 夏俊利. 300MW火电机组辅助系统控制网络的组建.

[2] 姚益群,张棋,宗彪.基于iFix的火电厂辅助控制系统的集中监控.