本發明專利技術公開了一種發電廠雙向通信隔離裝置。該隔離裝置實現多個單元機組控制系統間的通信隔離,同時實現多個單元機組和公用系統間的雙向數據交換。其功能主要包括:禁止單元機組應用網關之間直接或者間接建立TCP聯接,單元機組和公用系統應用網關分別和隔離裝置內外網卡創建TCP聯接。隔離裝置內外網卡在裝置內部是非網絡連接,實現多個單元機組控制網絡之間完全物理隔離的同時,實現單元機組和公用系統間非網絡方式下雙向數據交換;采取無IP地址和MAC地址的透明報文監聽方式,支持基于IP、傳輸協議、傳輸端口以及通信方向的綜合報文過濾與訪問控制;支持定制應用層協議功能;具有安全易用的維護管理方式:基于集中安全管理方式,具有圖形化的維護管理工具。滿足工藝系統的可維護性和易用性需求。
【技術實現步驟摘要】
本專利技術屬于發電廠控制
,具體涉及為雙向通信隔離裝置能夠實現發電廠單元機組控制系統間實現網絡隔離,同時單元機組和公用系統間實現雙向數據交換,保證系統安全穩定運行。
技術介紹
隨著發電廠機組容量的不斷增大,單元機組運行安全穩定運行越來越受到重視。單元機組監控系統數據網作為發電廠的重要基礎設施。不僅與電力生產、經營和服務相關,而且與電網調度和控制系統的安全運行緊密關聯,是電力系統安全的重要組成部分。電廠機組監控系統具有非常高的安全要求,一般電廠中有多臺機組在運行,兩個或者多個機組存在公用系統,各個單元機組間要求控制網絡數據不能共享,但要求與公用系統間實現雙向數據交換。常見措施有配置防火墻,增加IP和端口過濾規則,通過三層交換機或者路由器劃分VLAN等方式,但是這些措施有一定的局限性,不能很好的起到隔離效果,因此實現物理隔離作為一種安全有效的隔離方式,越來越受到重視。物理隔離裝置劃定了明確的安全邊界,使得網絡的可控性增強,便于內部管理。綜合上述內容,本專利技術提出一種發電廠雙向通信隔離裝置。通過該裝置可以實現發電廠單元機組控制網絡間的物理隔離,通過雙向通信隔離裝置集中安全控制訪問方式,實現單元機組和公用系統網絡間的雙向數據交換。提高了發電廠單元機組監控系統的安全性。
技術實現思路
為解決現有技術中存在的以上問題,本專利技術公開了發電廠雙向通信隔離裝置。在保證發電廠單元機組應用系統間物理隔離的情況下,實現單元機組應用網絡和公用系統網絡間實現雙向數據交換。本專利技術具體采用以下技術方案:—種發電廠雙向通信隔離裝置,所述雙向通信隔離裝置設置在兩單元機組應用網絡之間,并具有接口連接至多個機組共用的公用系統網絡,其特征在于:所述發電廠雙向通信隔離裝置包括兩個物理結構完全獨立的CPU,即第一 CPU和第二 CPU ;其中第一 CPU包括兩個獨立的網卡,即第一局域網接口 LANl和第二局域網接口LAN2,其中,第一局域網接口 LANl和1#單元機組應用網絡連接,第二局域網接口 LAN2和公用系統應用網絡連接,第一局域網接口 LANl和第二局域網接口 LAN2之間不存在間接或直接網絡連接;第二 CPU包括兩個獨立的網卡,即第三局域網接口 LAN3和第四局域網接口 LAN4,其中,第三局域網接口 LAN3和2#單元機組應用網絡連接,第四局域網接口 LAN4和公用系統應用網絡連接,第三局域網接口 LAN3和第四局域網接口 LAN4不存在間接或直接網絡連接;所述發電廠雙向通信隔離裝置的兩個CPU在結構上為相互獨立的物理硬件,在實際應用中,第一 CPU負責完成1#單元機組和公用系統間的數據交換,第二 CPU負責完成2#單元機組和公用系統間的數據交換,公用系統通過第一 CPU和第二 CPU的虛擬地址區分不同單元機組的數據,公用系統網絡數據則通過發電廠各雙向通信隔離裝置中的第一 CPU中的第二局域網接口 LAN2和第二 CPU中的第四局域網接口 LAN4同時送給不同的單元機組;基于上述的結構的發電廠雙向通信隔離裝置保證了單元機組間是完全物理隔離,同時各單元機組和公用系統間實現雙向數據交換;所述發電廠雙向通信隔離裝置禁止單元機組應用網絡和公用系統應用網絡之間直接或者間接建立TCP連接,實現應用網絡之間物理隔離和非網絡方式的安全的數據交換。所述發電廠雙向通信隔離裝置采用透明報文監聽方式,支持定制應用層協議功能,具有報文綜合過濾功能。本專利技術還進一步包括以下優選技術方案。所述發電廠雙向通信隔離裝置采用透明報文監聽方式,支持定制應用層協議功能,具有報文綜合過濾功能。雙向通信隔離裝置通過UDP組播方式能夠接收到來自單元機組應用網絡和公用系統應用網絡的所有網絡數據,雙向通信隔離裝置面向單元機組和公用系統采用不同組播地址;雙向通信隔離裝置接收到數據后,首先通過報文過濾,符合特定格式要求的報文進行解析,不符合格式要求的報文被直接丟棄。所述發電廠雙向通信隔離裝置采用集中安全控制的管理方式,支持全圖形化的維護管理工具;所有的數據訪問都經過雙向通信隔離裝置,所述雙向通信隔離裝置采用定制應用層協議,只有符合特征的應用協議才能通過雙向通信隔離裝置。雙向通信隔離裝置設置有安全訪問機制,單元機組應用網絡可以在所述隔離裝置上集中實現安全訪問控制,單元機組應用網絡和公用系統網絡無需通過加密口令和身份認證方式就可以實現安全訪問,雙向通信隔離裝置擁有基于Java或標準C++開發的圖形化的維護管理工具,能夠通過Java和標準C++進行隔離裝置配置、調試、系統診斷和維護工作。單元機組應用網絡和公用系統應用網絡之間不建立直接或者間接的TCP連接,通過應用網絡的網關設備和隔離裝置網卡建立TCP連接,實現物理層連接側的完全隔離。單元機組控制系統和公用控制系統間通過發電廠雙向通信隔離裝置實現數據的雙向傳輸。所述發電廠雙向通信隔離裝置采用透明報文監聽方式,支持定制應用層協議功能,具有報文綜合過濾功能。所有的數據訪問都經過網絡隔離裝置,隔離裝置采用定制應用層協議,只有符合特征的應用協議才能通過網絡隔離裝置,所以網絡環境變得更安全。本專利技術的有益效果如下:發電廠雙向通信隔離裝置滿足《電網和電廠計算機監控系統及調度數據網絡安全防護的規定》要求,能夠實現發電廠單元機組控制系統間的物理隔離,同時又能實現單元機組和通用系統間的雙向數據傳輸。極大的提高了發電廠單元機組監控系統的安全性。附圖說明圖1為發電廠雙向通信隔離裝置網絡連接示意圖;圖2為發電廠雙向通信隔離裝置網絡結構圖;圖3為發電廠雙向通信隔離裝置功能流程圖。具體實施例方式下面結合說明附圖對本專利技術的技術方案作進一步詳細說明。如圖1所示為發電廠雙向通信隔離裝置網絡連接示意圖。一般電廠中有多臺機組在運行,兩個或者多個機組存在公用系統,各個單元機組間要求控制網絡數據不能共享,但要求與公用系統間實現雙向數據交換。所述發電廠雙向通信隔離裝置由兩個獨立的物理硬件組成,每個物理硬件內置兩個網卡,將單元機組應用網絡和公用系統應用網絡分解成內外兩個應用網關,分別與隔離裝置的兩個網卡建立兩個TCP虛擬聯接。隔離裝置每個物理硬件內置的兩個網卡在裝置內部是非網絡連接,且允許數據雙向傳輸;組成隔離裝置兩個物理硬件之間是相互獨立的,不存在間接或直接的網絡連接,這樣既能保證單元機組間的應用網絡相關獨立,又能保證單元機組和公用系統間能夠進行數據交互。如圖2所示為發電廠雙向通信隔離裝置網絡結構圖。所述發電廠雙向通信隔離裝置包括兩個物理結構完全獨立的CPU,分別為CPUl和CPU2,每個CPU板上集成了兩個獨立網卡,如果發電廠中兩個單元機組共用一套公用系統,CPUl負責完成#1單元機組和公用系統間的數據交換,CPUl上的LANl網卡連接1#單元機組應用網絡,LAN2網口連接公用系統應用網絡。CPU2負責完成#2單元機組應用網絡和公用系統間的數據交換。CPU2上的LAN3網卡連接2#單元機組應用網絡,LAN4網口連接公用系統應用網絡。公用系統通過虛擬的隔離裝置地址區分來自不同單元機組的數據,公用系統的網絡數據則通過LAN2和LAN4同時發送給雙向通信隔離裝置。雙向通信隔離裝置最多支持4個單元機組共用一套公用系統。所述發電廠雙向通信隔離裝置禁止單元機組應用網絡和公用系統應用網絡之間直本文檔來自技高網...
【技術保護點】
一種發電廠雙向通信隔離裝置,所述雙向通信隔離裝置設置在兩單元機組應用網絡之間,并具有接口連接至多個機組共用的公用系統網絡,其特征在于:所述發電廠雙向通信隔離裝置包括兩個物理結構完全獨立的CPU,即第一CPU和第二CPU;其中第一CPU包括兩個獨立的網卡,即第一局域網接口LAN1和第二局域網接口LAN2,其中,第一局域網接口LAN1和1#單元機組應用網絡連接,第二局域網接口LAN2和公用系統應用網絡連接,第一局域網接口LAN1和第二局域網接口LAN2之間不存在間接或直接網絡連接;第二CPU包括兩個獨立的網卡,即第三局域網接口LAN3和第四局域網接口LAN4,其中,第三局域網接口LAN3和2#單元機組應用網絡連接,第四局域網接口LAN4和公用系統應用網絡連接,第三局域網接口LAN3和第四局域網接口LAN4不存在間接或直接網絡連接;所述發電廠雙向通信隔離裝置的兩個CPU在結構上為相互獨立的物理硬件,在實際應用中,第一CPU負責完成1#單元機組和公用系統間的數據交換,第二CPU負責完成2#單元機組和公用系統間的數據交換,公用系統通過第一CPU和第二CPU的虛擬地址區分不同單元機組的數據,公用系統網絡數據則通過發電廠各雙向通信隔離裝置中的第一CPU中的第二局域網接口LAN2和第二CPU中的第四局域網接口LAN4同時送給不同的單元機組;基于上述的結構的發電廠雙向通信隔離裝置保證了單元機組間是完全物理隔離,同時各單元機組和公用系統間實現雙向數據交換;所述發電廠雙向通信隔離裝置禁止單元機組應用網絡和公用系統應用網絡之間直接或者間接建立TCP連接,實現應用網絡之間物理隔離和非網絡方式的安全的數據交換。...
【技術特征摘要】
1.一種發電廠雙向通信隔離裝置,所述雙向通信隔離裝置設置在兩單元機組應用網絡之間,并具有接口連接至多個機組共用的公用系統網絡,其特征在于: 所述發電廠雙向通信隔離裝置包括兩個物理結構完全獨立的CPU,即第一 CPU和第二CPU ; 其中第一 CPU包括兩個獨立的網卡,即第一局域網接口 LANl和第二局域網接口 LAN2,其中,第一局域網接口 LANl和1#單元機組應用網絡連接,第二局域網接口 LAN2和公用系統應用網絡連接,第一局域網接口 LANl和第二局域網接口 LAN2之間不存在間接或直接網絡連接; 第二CPU包括兩個獨立的網卡,即第三局域網接口 LAN3和第四局域網接口 LAN4,其中,第三局域網接口 LAN3和2#單元機組應用網絡連接,第四局域網接口 LAN4和公用系統應用網絡連接,第三局域網接口 LAN3和第四局域網接口 LAN4不存在間接或直接網絡連接; 所述發電廠雙向通信隔離裝置的兩個CPU在結構上為相互獨立的物理硬件,在實際應用中,第一 CPU負責完成1#單元機組和公用系統間的數據交換,第二 CPU負責完成2#單元機組和公用系統間的數據交換,公用系統通過第一 CPU和第二 CPU的虛擬地址區分不同單元機組的數據,公用系統網絡數據則通過發電廠各雙向通信隔離裝置中的第一 CPU中的第二局域網接口 LAN2和第二 CPU中的第四局域網接口 LAN4同時送給不同的單元機組; 基于上述的結構的發電廠雙向通信隔離裝置保證了單元機組間是完全物理隔離,同時各單元機組和公用系統間實現雙...
【專利技術屬性】
技術研發人員:陳莉,楊詠林,奚志江,周立東,
申請(專利權)人:北京四方繼保自動化股份有限公司,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。