本发明专利技术涉及电力总线通信的安全与非安全数据传输、隔离方法与装置,属于电力通信领域。本发明专利技术电力通信设备通过总线实现设备的互联,安全和非安全数据在总线上进行传输;通过总线仲裁单元辨识安全和非安全数据,对完全和非安全数据进行数据诊断和数据校验;通过区域划分,确定运行安全数据的安全活动区域,及运行非安全数据的非安全活动区域;通过数据共享单元实现非安全任务对安全数据的访问。本发明专利技术使得安全控制器与终端集成更加方便,为非安全功能调用安全数据提供了可能性,提高安全控制器资源利用率,提高监控系统集成的灵活性和扩展性,降低监控系统的成本,具有很大的应用推广空间。空间。空间。
【技术实现步骤摘要】
电力总线通信的安全与非安全数据传输、隔离方法与装置
[0001]本专利技术涉及属于电力通信领域,一种电力总线通信的安全与非安全数据传输、隔离方法与装置。
技术介绍
[0002]在电力行业中,安全仪表系统(SIS)作为安全防护的主要设备,得到了广泛的应用。安全仪表系统是用来实现一个或多个安全功能的控制系统,它可以对装置或设备可能发生的危险采取紧急措施,使危险和损失降到最低程度,保证生产设备、环境和人员安全。
[0003]通常的安全仪表系统包括测量仪表(安全传感器)、安全控制器(安全PLC)和执行机构(安全阀等)组成,设备间通过现场总线连接,安全仪表系统的组成符合IEC61511标准,且针对不同的应用场合,需要满足不同的SIL(安全完整性等级)的要求。
[0004]通常的非安全系统包括测量仪表(通用传感器)、非安全控制器(通用PLC)和执行机构(通用阀等)组成,设备间也是通过现场总线连接,非安全系统的组成没有SIL的要求。
[0005]在发电站,厂级的监控系统包括安全仪表系统和非安全系统,安全仪表系统执行安全防护功能,而非安全系统中执行基本过程控制功能,且安全仪表系统有SIL的要求,这是两者的本质区别。
[0006]安全控制器和非安全控制器执行安全防护和基本的过程控制,由于早期受限于安全控制器的处理能力,以及安全和非安全通信数据的隔离能力有限,出于安全的考虑,安全控制器与非安全控制器之间相互独立,各自运行,不进行数据交互和关联逻辑控制,因此,两者相互独立的配置,造成了极大的资源浪费。/>[0007]随着技术的不断发展,安全控制器的运算和处理能力大大增加,这样提出了一种融合控制的方法,将安全防护和过程控制功能都放在安全控制器里,安全控制器同时具备安全和非安全控制器的功能,这种方法与以前的结构有所不同,在先前的结构中,安全控制器和非安全控制器各自保持独立,融合技术使控制器应用具有更高的灵活性,集成的控制系统具备更高SIL水平,同时提供更多的定制化优势,提高资源利用率,降低成本。
[0008]针对上述的融合方法,安全控制器与终端设备(包括安全与非安全的控制器I/O、安全与非安全的传感器或执行机构等)通过总线的形式进行通信;但需要注意的是,安全控制器和安全终端设备之间的通信符合IEC-61784-3的标准,需要满足SIL要求,且具备一定的防恶意攻击的信息安全措施,保证安全数据的完整性、保密性和时效性;而安全控制器和非安全终端设备通信则没上述指标要求。
[0009]安全控制器优点很明显,但也存在一定的问题,由于安全和非安全的测量仪表和执行机构通过现场总线连接在一起,在传输过程中可能导致非安全数据对安全数据的影响,因此,如何通过公用现场总线进行安全与非安全数据传输,以及在传输过程中进行安全与非安全数据的隔离,是能否将安全和非安全功能集成到安全控制器的重要关键。
[0010]在安全控制器中,为了满足安全和非安全控制功能,及安全控制器与外部终端设备间的通信,科研人员做了大量的研究,专利“CN108683513A核电站安全级系统与非安全级
系统的单向通讯系统和板卡”提出了一种通过硬件隔离的方式,能够满足安全和非安全数据隔离和传输的需求;专利“CN103222290A用于发送和接收安全数据和非安全数据的方法和装置”提出了一种收发安全和非安全数据的方法,能对安全和非安全数据进行分配和解码。
[0011]上述方法不同程度实现了安全和非安全数据的隔离,但是在使用的过程中还是有一些问题没能解决:
[0012]1.专利“CN108683513A核电站安全级系统与非安全级系统的单向通讯系统和板卡”,给出了一种通过硬件进行安全和非安全数据隔离的方法,但由于每个设备都要加入硬件电路,使系统的集成复杂性增加,不满足集成安全系统和终端易于集成的初衷。
[0013]2.专利“CN103222290A用于发送和接收安全数据和非安全数据的方法和装置”,仅仅应用于无线通信的场合,仅能对加密数据和非加密数据进行分配和解码,由于该方法与本专利应用的工业控制场合不同,对影响安全数据隔离的存储空间、安全任务执行未加考虑,以及通过现场总线传输的安全措施缺失,导致安全和非安全数据的隔离效果有限,安全数据的完整性和时效性不足,不能满足本专利应用场合的需求。
[0014]解决上述问题的办法是,寻找一种电力设备从终端设备(安全和非安全)到安全控制器控制任务的全流程数据传输和隔离方法,保证安全数据不受非安全数据影响,满足电力通信设备安全数据的完整性、保密性和时效性要求。
技术实现思路
[0015]针对现有技术中存在的上述不足之处,本专利技术要解决的技术问题是提供一种电力总线通信安全与非安全数据传输、隔离方法与装置,主要用于在公用现场总线上通信设备进行安全和非安全数据的传输和隔离。
[0016]本专利技术为实现上述目的所采用的技术方案是:电力总线通信的安全与非安全数据传输、隔离方法,在通过总线连接的安全控制设备、安全终端设备和非安全终端设备所构建的网络中,在同一现场总线传输电力的安全数据与非安全数据:
[0017]所述安全终端设备处理和传输安全数据;
[0018]所述非安全终端设备处理和传输非安全数据;
[0019]所述安全控制设备处理并传输安全数据与非安全数据。
[0020]所述安全控制设备处理并传输安全数据与非安全数据,包括以下步骤:
[0021]所述安全控制设备在接收到总线数据时,通过标识符辨识为安全数据后,对数据进行解析,解析后根据设定的安全策略对数据进行诊断;当诊断结果为成功时,将接收到的数据写入预先准备好的安全数据存储空间;当诊断结果为失败时,产生告警信号,同时放弃接收到的数据;
[0022]所述安全控制设备在接收到总线数据时,通过标识符辨识为非安全数据后,对数据进行完整性校验;当校验结果为正确时,将接收到的数据写入预先准备好的非安全数据存储空间;当数据校验结果为错误时,放弃接收到的数据;
[0023]所述安全控制设备向总线发送安全数据时,通过安全策略进行处理,通过安全策略处理后进行数据封装,再加入安全标识发送到总线;
[0024]所述安全控制设备向总线发送非安全数据时,首先产生完整性校验码,对加入完
整性校验码的数据进行封装,载加入安全标识后发送到总线。
[0025]所述安全控制设备处理并传输安全数据与非安全数据包括以下步骤:
[0026]总线数据收发仲裁单元接收到总线数据时,对数据是否为安全数据进行判断;安全数据与非安全数据分别写入安全活动区域和非安全活动区域进行处理;当发送数据时,将分别来自安全活动区域和非安全活动区域的安全数据和非安全数据分别通过安全策略处理和校验封装后,发送至总线;
[0027]安全活动区域接收并存储从总线数据中获取的安全数据执行安全任务,得到安全任务结果作为安全数据,通过安全数据存储空间发送至总线数据收发仲裁单元;
[0028]非安全活动区域根据从接收的总线数据中获取本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.电力总线通信的安全与非安全数据传输、隔离方法,其特征在于,在通过总线连接的安全控制设备、安全终端设备和非安全终端设备所构建的网络中,在同一现场总线传输电力的安全数据与非安全数据:所述安全终端设备处理和传输安全数据;所述非安全终端设备处理和传输非安全数据;所述安全控制设备处理并传输安全数据与非安全数据。2.根据权利要求1所述的电力总线通信的安全与非安全数据传输、隔离方法,其特征在于,所述安全控制设备处理并传输安全数据与非安全数据,包括以下步骤:所述安全控制设备在接收到总线数据时,通过标识符辨识为安全数据后,对数据进行解析,解析后根据设定的安全策略对数据进行诊断;当诊断结果为成功时,将接收到的数据写入预先准备好的安全数据存储空间;当诊断结果为失败时,产生告警信号,同时放弃接收到的数据;所述安全控制设备在接收到总线数据时,通过标识符辨识为非安全数据后,对数据进行完整性校验;当校验结果为正确时,将接收到的数据写入预先准备好的非安全数据存储空间;当数据校验结果为错误时,放弃接收到的数据;所述安全控制设备向总线发送安全数据时,通过安全策略进行处理,通过安全策略处理后进行数据封装,再加入安全标识发送到总线;所述安全控制设备向总线发送非安全数据时,首先产生完整性校验码,对加入完整性校验码的数据进行封装,载加入安全标识后发送到总线。3.根据权利要求1所述的电力总线通信的安全与非安全数据传输、隔离方法,其特征在于,所述安全控制设备处理并传输安全数据与非安全数据包括以下步骤:总线数据收发仲裁单元接收到总线数据时,对数据是否为安全数据进行判断;安全数据与非安全数据分别写入安全活动区域和非安全活动区域进行处理;当发送数据时,将分别来自安全活动区域和非安全活动区域的安全数据和非安全数据分别通过安全策略处理和校验封装后,发送至总线;安全活动区域接收并存储从总线数据中获取的安全数据执行安全任务,得到安全任务结果作为安全数据,通过安全数据存储空间发送至总线数据收发仲裁单元;非安全活动区域根据从接收的总线数据中获取的非安全数据执行非安全任务,得到非安全任务结果作为非安全数据,通过非安全数据存储空间发送至总线数据收发仲裁单元;安全与非安全数据共享单元通过加入安全锁的方式,实现安全逻辑任务和非安全逻辑任务对内存区域的访问控制。4.根据权利要求3所述的电力总线通信的安全与非安全数据传输、隔离方法,其特征在于,所述安全与非安全数据共享单元通过加入安全锁的方式,实现安全逻辑任务和非安全逻辑任务对内存区域的访问控制,包括以下步骤:当安全逻辑任务访问非安全存储空间时,首先判断访问数据空间地址是否为非安全数据空间;当判断为非安全地址空间后,将读数据和写数据功能挂锁,不允许访问该非安全数据存储空间;当非安全逻辑任务要访问安全存储空间时,首先判断访问数据空间地址是否为安全数据空间,当判断为安全地址空间后,将写数据功能挂锁,不允许向该非安全数据存储空间写
入数据,将读数...
【专利技术属性】
技术研发人员:齐智刚,邹愚,郭志军,李道圣,王焕,王新明,徐胜,张威,丁强,毕波,王旭时,张连宇,
申请(专利权)人:辽宁邮电规划设计院有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。