隨著分散控制系統（DCS）的廣泛應用，機組的大部分實時數據需要通過DCS送入外部系統進行處理、存儲和分析。我們對吉林熱電廠引進HoneyWell公司的TDC3000系統進行仿真時，采用仿真界面與DCS動態數學模型相分離的方案，仿真界面利用工控軟件開發，而數學模型直接使用DCS中數據處理單元（DPU）的流程圖組態。因此，在開發DCS動態數學模型時如何安全、方便地與實際DCS進行數據通信來采集DPU流程圖組態，成為模型開發以至于整個DCS仿真系統的重點。
　　
　　本文在對現場的DCS進行充分分析的基礎上，對傳統接口的OPC（OLEforprocesscontrol）通信服務器、數據傳輸手段和安全隔離系統進行優化改進，進一步保證了DCS與仿真系統及其他外部系統接口的安全可靠性、性、通用性和可擴展性。本文闡述的通信接口是一個通用的DCS通信接口，不但服務于DCS仿真系統，而且電廠內其他需要采集DCS數據的系統（如FMIS、穩定性分析等）都可通過本接口進行數據通信。
　　
　　1、系統結構
　　
　　吉林熱電廠原來的內網與外網之間通過安裝多塊網卡的網關計算機進行通信，只是一個物理連接，而且沒有提供接口服務與數據隔離裝置。我們在網關計算機與外網之間加入一個獨立的OPC服務器和一個安全隔離裝置（見圖1）,OPC服務器提供了一組通用的數據通信接口服務，使外網的用戶可以很方便地訪問DCS的數據，不必再針對不同的系統開發特定的通信接口，在OPC服務器上利用可擴展標記語言（XML）數據流引擎進程產生XML數據流，并通過安全隔離裝置傳輸到外部系統網。安全隔離裝置中采用2個主板，每個主板上安裝不同的操作系統，對內安裝UNIX系統，對外安裝Windows操作系統，由此來保證內外網的隔離，再利用安裝在安全隔離裝置中的同步數據通信傳輸卡完成2個主板之間的單向數據通信。這種優化的通信系統結構，既保障了DCS的安全性，又提高了與DCS通信的方便性和通用性[1,2]。
　　
　　2、獨立OPC服務器的實現
　　
　　目前，DCS一般都采用OPC數據訪問接口，它是一個基于組件對象模型（COM）/分布式組件對象模型（DCOM）技術的工業標準，解決了自動化控制應用、現場設備系統和管理應用系統之間的互操作問題[3]，但OPC接口是與DCS處于同一個進程空間中，在進行數據通信時會影響DCS的可靠性。將OPC接口從DCS進程空間分離出來，從而成為一個獨立的OPC服務器，使其可以分布在網絡的其他機器上，這樣既保證了DCS的可靠性，又提高了OPC接口的獨立性、透明性和可擴展性等性能指標。
　　
　　2.lDCS與OPC服務器的體系結構
　　
　　DCS與OPC跨進程通信的基礎是采用DCOM，它建立在DCERPC（遠程過程調用）標準協議之上。DCS與其OPC服務器的通信體系結構如圖2、圖3所示。　　
　　在DCS進程中，數據庫存儲所有現場設備點的信息，包括組態信息和從現場采集的實時數據。從圖2與圖3的對比可以看出，實現OPC的分離主要工作就是對DCSDB對象及IDCSDB接口的設計。在OPC服務器進程中，點設備對象就是點集合的意思，它利用封裝的IDCSDB接口指針通過DCOM與不同進程甚至是不同機器的DCSDB對象互相通信。XML數據流進程則利用OPC接口，通過DCOM與OPC服務器進程中的服務器對象和組對象進行通信。
　　
　　OPC服務器由3種不同層次的對象組成:服務器（server）、組（group）、點（item）。這3種對象的關系如圖4所示。　　
　　設備點提供OPC服務器與數據源的連接，是讀寫數據的zui小邏輯單位，即一個點代表一個設備變量。點由若干屬性組成，一個屬性包含4個域:ID、數據類型、標準描述、值。DCS提供的信息主要是DCS實時數據庫中的數據，還有DCS的運行狀態、掃描頻率以及DCS關閉事件等信息。對于OPC服務器而言，實時數據庫是DCS的主要特征。可以把DCS實時數據庫看做是點的集合，每個點又是屬性的集合。每個屬性有固定的結構:ID、數據類型、描述和值。
　　
　　2.2接口設計
　　
　　DCSDB對象是DCS的一個簡單抽象模型，其接口IDCSDB是DCS提供給OPC服務器的通信接口，其功能不但要能滿足二者之間的基本通信要求，而且還要很好地將二者隔離開，從而使DCS的改變不會影響其OPC服務器。設計IDCSDB時要綜合考慮DCS和OPC二者的特點，按照OPC的要求抽象出DCS的模型，而且要考慮到設計后接口使用的方便性和性。
　　
　　IDCSDB的接口函數設計如下:　　
　　SetRange將需要讀寫的點的ID范圍先設置好，然后用GetPrPropDefs讀取這個范圍內的屬性數據類型和描述，用GetPrPropValues讀寫這個范圍內的屬性值，SetRange（-l,NULL）是設置范圍為DCS的全部點。利用GetRange可以獲取設置好的范圍內的點ID。GetDCSState得到DCS的運行狀態是否正常。GetDCSRate得到DCS實時數據的刷新頻率，以此來控制數據讀取頻率。
　　
　　2.3實現
　　
　　現在的DCSDB對象還是一個COM，還不能實現跨進程通信，應在此基礎上封裝一個接口定義文件的動態鏈接庫并進行注冊，可以用現有的DCOM發布工具（如微軟的接口定義語言編輯器），這里不再描述。OPC服務器使用點設備對象來封裝和使用IDCSDB接口指針，以達到與DCS通信的目的，主要是對DCS數據庫的讀操作。在OPC服務器的初始化階段，用GetDCSState得到DCS的運行狀態，用GetDCSRate得到DCS實時數據的刷新頻率，然后是與DCS數據庫進行通信。
　　
　　利用DCOM將DCS與OPC服務器進行分離，不但能滿足二者之間的基本通信要求，而且很好地將二者隔離開，從而使DCS的改變不會影響其OPC服務器，而OPC服務器的對外接口擴展又不會影響DCS的性能，并且可以很容易地擴展1DCSDB接口，使OPC與DCS的通信更加方便和。
　　
　　3、XML數據流的產生與傳輸
　　
　　XML是目前通用的數據通信格式，它可以被各種不同的操作系統、數據庫軟件和編程語言所識別及解釋，適用于各種網絡協議。采用XML作為DCS接口的數據通信媒介可以避免為每個外部系統編寫不同的解釋器的麻煩，有很好的可擴展性，而且XML還很容易支持訂閱傳輸方式，可以大大緩解通信信道壓力，提高數據通信效率。
　　
　　3.lXML數據流引擎的體系結構
　　
　　如圖3所示，在XML數據流引擎進程中通過XMLDB對象實現XML數據流的產生和傳輸，XMLDB對象通過DCOM協議與OPC服務器進程中的OPC接口進行通信。
　　
　　針對OPC服務器的對象層次（見圖4）,XML的數據模式設計如下:
　　利用上面的模式，在XML數據流中既包含了數據值又體現了數據結構，當外部系統接收到XML數據流后，就可以很容易地進行解釋和處理了。
　　
　　3.2接口設計
　　
　　XML數據流引擎主要是由XMLDB對象的接口IXMLDB完成的，其功能是根據服務器一組一點的參數范圍要求而產生不同的XML數據流。
　　
　　IXMLDB的接口函數設計如下:　　
　　SetXMLRange將需要讀取點的ID范圍和要生成的XML文件ID通道號先設置好，然后用GetXML讀取這個范圍內點的屬性值，并根據SetXMLRange所設置的XML文件ID號生成XML數據流文件到通道。ID范圍和XML文件ID通道號由管理員通過操作界面輸入到的數組中。GetDCSRate得到DCS實時數據的刷新頻率，以此來控制數據讀取頻率。生成的各種XML數據流就可以直接被外部系統按要求讀取和使用。
　　
　　4、安全隔離技術方案
　　
　　由于外部系統經常受到軟件因素和人為因素的影響，雖然DCS接口是單向數據流動，但畢竟存在物理連通性。目前，采用的雙網卡技術和防火墻技術從根本上沒有阻斷這層連接，因此DCS還是存在被攻擊的安全隱患。
　　
　　我們采用一種雙主板嵌入式計算機作為的安全隔離裝置，外部系統和DCS連接不同的主板，采用不同的操作系統和通信協議，由于主板和軟件平臺的差異，即使外部系統受到攻擊或干擾，也不會對DCS構成威脅。
　　
　　4.1安全隱患分析
　　
　　1）外部網絡系統均采用使用廣泛、受攻擊zui多、安全漏洞表現相對突出的操作系統。
　　
　　2）幾乎所有外部網都與Internet相連，更增加了受攻擊的可能性。
　　
　　3）與DCS連接的網橋均采用通用產品，未能很好地解決通用性與安全性之間的關系，即通用性越高，安全性越低。
　　
　　4）在DCS控制系統側，考慮到開發和應用上的方便性及其他因素，采用通用操作系統（嵌入）的越來越多，也增加了受同一病毒攻擊的可能性。
　　
　　5）從計算機硬件而言，兩個系統所采用的計算機CPU都是同一計算機指令系統，給各種攻擊增加了機會。
　　
　　4.2傳統隔離技術分析
　　
　　目前電廠DCS實時數據的獲取方法，通常采用在網關機中安裝多塊網卡，分別使用不同協議通過TCP/IP協議連接DCS，通過IPX協議連接到外部網絡系統。這樣，實際上為數據信息在硬件上提供了物理通路，假如該網關機受到惡意程序攻擊，例如使其具備路由功能，那么DCS和外部網絡系統之間就等于處在同一個網絡中，操作就失去了限制，即使其他程序不對DCS進行惡意破壞，網絡"垃圾包"也會造成網絡通信滯后或癱瘓。因此，采用這種網橋的方法存在極大的安全隱患，其根本原因在于采用了通用計算機、通用網卡、通用網絡協議和通用操作系統，并且在物理連接上提供了數據的雙向通信[4]。
　　
　　防火墻是一種重要的網絡安全產品，除了支持IP協議外，還支持AppleTalk，DECnet，IPX和NETBEUI等通用協議。當發生入侵事件時，防火墻能夠動態響應，調整安全策略，阻擋惡意報文，識別/記錄/防止企圖進行IP地址欺騙等手段。采取防火墻技術后，數據通信仍是雙向的，從本質上處于"被動防御"，只有不斷升級軟件和硬件，才能防止已知病毒和常規攻擊，而對未知病毒的防御方法是有限和滯后的。同時，作為DCS與外部系統間的網橋（或其他類似設備），如果受到攻擊，即使沒有攻擊到DCS，也可能會在網絡上增加額外數據處理量，zui終將影響DCS數據的實時傳遞。
　　
　　對于安全性要求*的發電設備而言，是不允許發生任何一次對DCS的攻擊。因此，這些方法始終存在安全漏洞，不能從根本上杜絕網絡安全隱患。
　　
　　4.3安全隔離裝置結構
　　
　　安全隔離裝置安裝在DCS的網關機與外部系統網絡之間，在物理上保障數據的單向傳輸和隔離，從DCS接收數據，并存儲轉發到外部網絡上。
　　
　　安全隔離裝置采用雙主板嵌入式計算機。一個主板與外部網絡系統連接，運行常規的Windows操作系統，并且屏蔽TCP/IP協議，只支持IPX協議;另一個主板與DCS連接，運行不同的操作系統（例如UNIX操作系統），并且擴展一個同步數據通信傳輸卡，在二者之間實現數據的單向傳輸，支持IPX協議和TCP/IP協議。
　　
　　同步數據通信傳輸卡采用HitachiHD64570芯片為核心，配以DMA和雙口RAM，完成數據的高速通信，通信速率達到4Mbit/s，支持HDLC,SDLC,BSC等通信協議，能夠充分滿足數據通信的實時性要求。采用該種通信卡，從硬件上能夠保證數據只由DCS到外部系統，并結合軟件完成DCS數據的傳輸。由于采用非常規通用硬件，并在微機中單獨插卡，需要配合相應軟件和不同的操作系統才能完成通信功能，因而攻擊者或病毒不會對其造成影響。即使在外部網絡系統側出現攻擊或干擾，也不會對DCS構成威脅。
　　
　　5、結語
　　
　　本方案從硬件和軟件2個方面為DCS提出了一個全面實用的通信接口系統，特別是在OPC服務器、通信媒介和安全隔離裝置3個方面采用*技術進行優化設計，使DCS接口在系統的安全可靠性、通信的性、應用的通用性、接口的可擴展性等方面體現了*的特性。