CN114384792A - 一种安全冗余的plc通信控制系统 - Google Patents

Abstract

本发明公开了一种安全冗余的PLC通信控制系统，包括：冗余PLC通信端口、安全过滤模块、冗余模块、通信模块、安全隔离模块和控制模块。安全过滤模块用于数据监测、过滤和告警；冗余模块用于对命中预设流量类型的数据帧进行复制、消除和异常状态上报；安全监测分析模块，用于实时监测上述告警和异常状态，并上报至控制模块，控制模块的诊断控制功能会对异常状态进行导向安全操作，并可选择对异常数据进行分析；安全隔离模块，用于通信模块、控制模块和安全监测分析模块间的数据隔离和交换，避免模块间的直接连接。该系统在通信端口采用了冗余和过滤的安全传输机制，在控制器内部增加安全诊断控制和安全隔离机制，有效提高了系统的安全等级和可靠性。

Description

一种安全冗余的PLC通信控制系统

技术领域

本申请涉及PLC通信控制系统技术领域，尤其涉及一种安全冗余的PLC通信控制系统。

背景技术

PLC通信控制系统作为一种典型的信息物理系统，其通信模块安全可靠性对系统的功能安全发挥着重要的作用，关键子系统的失效将可能导致严重的经济损失、人员伤亡以及环境破坏。为了增强网络模块的可靠性，并行冗余协议(PRP)和高可靠无缝冗余协议(HSR)能在特定的应用中增加网络冗余度。但HSR协议只是基于环形网络拓扑的应用，适用性较窄。PRP协议的冗余路径工作在完全独立的网络上，所需要的网络组件数量为原来的两倍，成本和复杂度较高。另外，还有些PLC产品为了实现冗余，仍基于标准以太网设计，物理层上采用了双网口设计，应用层上处理冗余数据，这种方式同样地，需要两倍的网络组件数目，且会造成CPU、内存的额外开销和较大延时。

目前，一体化PLC控制系统通常控制功能和通信功能通过同一个处理器实现，这样虽然集成度较高，但由于控制模块的行为直接与物理安全相关，外部系统很容易通过网络攻击而威胁到PLC控制系统的物理安全。在工业控制系统中，常采用防火墙和安全网关等技术来隔离外部流量攻击，但这些技术无法直接运行在CPU性能受限的PLC控制器上，所以控制器本身并无法抵御网络攻击，而需要借助外部设备，一旦外部设备防护失效，则可能产生严重的后果。

发明内容

本申请实施例的目的是提供一种安全冗余的PLC通信控制系统，以解决现有PLC控制系统的冗余可靠性实现方案限制多和代价高，以及缺乏对网络攻击的安全隔离和防护机制的问题。

根据本申请实施例，提供一种安全冗余的PLC通信控制系统，其特征在于，包括：

至少一个PLC通信端口，用于接收和发送互为冗余关系的数据；

安全过滤模块，用于对所述冗余关系的数据进行监测和过滤，当监测到过滤事件发生后，生成过滤事件告警信号；

冗余模块，用于对监测和过滤后的数据帧进行识别，并且，分别在出口和入口方向对命中预设流量类型的数据帧进行复制和消除，对所述复制和消除的状态进行记录，当将正常工作的网络链路数量小于等于1时，生成链路异常告警信号；

通信模块，与所述冗余模块相连，用于数据交换；

安全隔离模块，用于将所述通信模块、控制模块和安全监测分析模块之间的数据进行隔离和交换，且三者无法在同一时刻访问安全隔离模块；

控制模块，用于将采集的输入单元信号进行数据译码，译码后按照预设控制算法进行运算，输出控制信号，再对所述控制信号进行数据编码；

安全监测分析模块，用于实时监测并接收所述过滤事件告警信号和所述链路异常告警信号，并上报至所述控制模块，当接收到所述控制模块发出的安全诊断应答信号后，读取所述安全隔离模块中的数据并擦除缓存区，同时对异常数据进行分析，将分析结果发送至所述控制模块，在此过程中，所述通信模块和所述控制模块均与所述安全隔离模块的数据缓存区断开。

进一步地，所述PLC通信端口具有两个。

进一步地，在所述安全过滤模块中，所述过滤的过程如下：

通过对数据帧的过滤字段与该字段的预设值进行比较，仅与预设值完全匹配的数据帧通过。

进一步地，所述预设流量类型包括与系统安全和可靠性相关的关键流量。

进一步地，还包括：

时间同步模块，通过基于网络端口硬件时间戳的时间同步协议，来实现网络化PLC系统中所有交换节点和PLC控制器端节点之间的精确时间同步，并将同步后的时间发送至通信模块。

进一步地，所述通信模块还用于将收到的同步时间发送至安全隔离模块。

进一步地，所述控制模块包括时间同步接口模块、控制运算模块和安全诊断控制模块。

进一步地，所述时间同步接口模块，用于：

使所有接入PLC网络中的设备处于同一时间基准下，实现PLC控制器之间的协同控制；

时间同步接口模块会维护PLC控制模块的本地系统时间，根据接收到的网络同步时间，计算偏差并修正本地系统时间；

当检测到修正值大于设定阈值后，代表同步异常事件发生，会将时间异常信息上报至安全监测分析模块。

进一步地，所述安全诊断控制模块与安全监测分析模块相连，用于：

接收安全监测分析模块上报的安全告警信息，并根据预设的安全策略，在检测到信息异常后执行相应的安全动作；

当接收到的安全告警信息为过滤事件告警时，根据系统运行状态和预设配置，发送安全诊断信号到安全监测分析模块，用于被过滤报文分析；

将安全告警信息以及过滤报文分析结果通过通信模块上报至外部集中控制器，作为系统级安全分析诊断和策略调整的依据。

进一步地，所述安全监测分析模块还用于实时监测并接收时间同步接口模块发出的时间异常告警信号，并上报至控制模块的安全诊断控制模块。

本申请的实施例提供的技术方案可以包括以下有益效果：

由上述实施例可知，本申请的安全冗余的PLC通信控制系统，采用冗余的通信端口和基于端口的数据帧复制和消除技术，能在数据链路层对特定的数据流类型实现数据帧冗余传输，有效解决其他冗余方式CPU、内存资源消耗高、数据延迟大、较高的网络带宽占用率以及双倍的网络组件需求量等问题，尤其适用于时间敏感的大规模网络化PLC系统。

本发明采用的安全过滤机制，在数据链路层对进入端口的数据帧进行监测和过滤，在外部防火墙或网关失效后，仍能有效拦截外部异常流量，从而提升了PLC控制器本身的安全可靠性。

本发明采用安全隔离模块进行PLC控制器通信模块和控制模块的数据交换，避免通信模块和控制模块的直接连接，从而消除网络对PLC物理系统造成的威胁，极大提高了PLC控制系统的安全等级

本发明通过PLC控制器安全可靠性的关键部件信息的实时监测，包括端口异常报文信息、网络冗余状态、时间同步状态，并上传送至集中控制器，解决了传统PLC控制系统无法进行全网范围的耦合检测分析问题，为系统级安全分析诊断和策略调整提供了数据依据。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本申请。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本申请的实施例，并与说明书一起用于解释本申请的原理。

图1是根据一示例性实施例示出的一种安全冗余的PLC通信控制系统的原理框图。

图2是根据一示例性实施例示出的冗余模块入口和出口流量处理流程图。

图3是根据一示例性实施例示出的安全隔离模块工作原理图。

图4是根据一示例性实施例示出的时间同步模块安全监测流程图。

图5是根据一示例性实施例示出的时间同步模块诊断控制流程图。

图6是根据一示例性实施例示出的冗余模块安全监测流程图。

图7是根据一示例性实施例示出的冗余模块诊断控制流程图。

图8是根据一示例性实施例示出的安全过滤模块安全监测流程图。

图9是根据一示例性实施例示出的安全过滤模块诊断控制流程图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。

在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

参考图1，本发明实施例提供一种安全冗余的PLC通信控制系统，包括：至少一个PLC通信端口、安全过滤模块、冗余模块、通信模块、安全隔离模块、控制模块、安全监测分析模块。

所述PLC通信端口用于接收和发送互为冗余关系的数据；不失一般性，所述PLC通信端口具有两个，两个PLC通信端口接收和发送互为冗余关系的数据，当其中一个端口的数据链路故障以后，系统仍然可以正常工作。

所述安全过滤模块用于对所述冗余关系的数据进行监测和过滤，当监测到过滤事件发生后，生成过滤事件告警信号；具体地，所述过滤的过程如下：

通过对数据帧的过滤字段与该字段的预设值进行比较，仅与预设值完全匹配的数据帧通过。即所述过滤可以基于预定流量类型来进行，所述流量类型是通过对数据帧的过滤字段与该字段的预设值进行比较仅与预设值完全匹配的数据帧通过。

安全过滤模块对PLC接收到的数据帧进行监测和过滤，过滤可以基于特定类型流量类型，流量类型是通过报文特定字段匹配，比如，源或目的mac地址、源或目的IP、Vlan ID等，过滤条件可以包括门控时刻表、最大帧长、流速以及突发大小，仅仅让符合过滤条件的数据帧通过。当检测到过滤事件发生后，会将信息上报至安全监测分析模块。

所述冗余模块用于对监测和过滤后的数据帧进行识别，并且，分别在出口和入口方向对命中预设流量类型的数据帧进行复制和消除，对所述复制和消除的状态进行记录，当将正常工作的网络链路数量小于等于1时，生成链路异常告警信号；其中冗余模块的入口和出口流量处理流程图如图2所示，在入口方向，两个网络端口将输入数据发送至链路聚合模块。链路聚合模块基于IEEE802.1AX，将多个物理端口绑定为一个逻辑端口，两路冗余数据在链路聚合模块汇聚后发送至流识别模块。流识别模块根据预设定的流分类方法，包括源或目的mac地址与Vlan ID组合、源或目的IP等字段匹配方式将数据帧以流类型的方式进行标识，然后将数据流发送至入口时基过滤模块。入口时基流过滤模块会过滤掉到达时间不符合预设时间以及最大帧长、流速以及突发大小不符合预设值的数据流，然后将其他数据流发送至序列解码模块。序列解码模块解析并提取数据帧中的冗余标识序列号。序列恢复模块根据冗余标识序列号丢弃异常帧，并对冗余的数据帧进行消除。最终，上层模块对于同一份数据帧只会收到一次。在出口方向，上层模块将数据帧发送至序列产生模块，序列产生模块为数据流的每个数据帧计算序列号。流分裂模块对数据流的每个数据帧进行复制操作，并发送至序列编码模块。序列编码模块将冗余序列号写入数据帧内指定字段内。链路聚合模块将流分裂模块产生的两路冗余数据分别发送至两个物理网路端口。

在一实施例中，所述预设流量类型包括与系统安全和可靠性相关的关键流量。

所述通信模块与所述冗余模块相连，用于数据交换；在一实施例中，所述通信模块还用于将收到的同步时间发送至安全隔离模块。通信模块也完成网络中PLC控制器之间，以及PLC控制器与网络IO模块、集中控制器、监控站、操作站等设备的数据交换。

所述安全隔离模块用于将所述通信模块、控制模块和安全监测分析模块之间的数据进行隔离和交换，且三者无法在同一时刻访问安全隔离模块，从而阻断外部网络对PLC控制器的攻击和威胁。

安全隔离模块的工作原理图如图3所示，安全隔离模块包括接收数据缓存和发送数据缓存。控制模块通过发送缓存区向通信模块发送PLC控制及状态数据、异常告警信息和安全分析结果等数据。通信模块通过接收缓存区向控制模块发送时间同步信息、PLC控制及状态数据。控制模块拉低写使能信号和发送缓存区处理就绪信号后，将数据发送至发送缓存区，完成后释放写使能信号和发送缓存区处理就绪信号，将地址/数据信号置为高阻态，断开与发送缓存的连接。通信模块检测到发送缓存区处理就绪信号释放后，拉低读使能信号和发送缓存区处理就绪信号，将数据从发送缓存区中读出，完成后拉高读使能信号和发送缓存区处理就绪信号，将地址/数据信号置为高阻态，断开与发送缓存的连接。同样地，通信模块向控制模块发送数据的过程类似，不再赘述。另外，当控制模块接收到安全过滤模块异常告警后，安全诊断控制模块若决策进行安全诊断分析，则释放读使能信号和接收缓存区处理就绪信号，将地址/数据信号置为高阻态，断开与接收缓存的连接，并发送安全诊断信号至安全监测分析模块。安全监测分析模块拉低读使能信号和接收缓存区处理就绪信号后，将数据从接收缓存区中读出并擦除缓冲区，完成后释放读使能信号和接收缓存区处理就绪信号。通过上述交互机制，能确保通信模块、控制模块和安全监测分析模块之间的数据交换过程互相隔离。

所述控制模块用于将采集的输入单元信号进行数据译码，译码后按照预设控制算法进行运算，输出控制信号，再对所述控制信号进行数据编码。

在一实施例中，所述控制模块包括时间同步接口模块、控制运算模块和安全诊断控制模块。控制模块主要功能是将采集的IO执行单元的输入信号传送至控制运算模块。控制运算模块按照预设控制算法进行运算，输出控制信号。控制信号传输至IO执行单元。

具体地，所述时间同步接口模块，用于：使所有接入PLC网络中的设备处于同一时间基准下，实现PLC控制器之间的协同控制；时间同步接口模块会维护PLC控制模块的本地系统时间，根据接收到的网络同步时间，计算偏差并修正本地系统时间；当检测到修正值大于设定阈值后，代表同步异常事件发生，会将时间异常信息上报至安全监测分析模块。所述控制运算模块，与IO执行单元连接，用于IO执行单元的数据采集和控制。

所述安全监测分析模块用于实时监测并接收所述过滤事件告警信号和所述链路异常告警信号，并上报至所述控制模块，当接收到所述控制模块发出的安全诊断应答信号后，读取所述安全隔离模块中的数据并擦除缓存区，同时对异常数据进行分析，将分析结果发送至所述控制模块，在此过程中，所述通信模块和所述控制模块均与所述安全隔离模块的数据缓存区断开。

具体地，所述安全诊断控制模块与安全监测分析模块相连，用于：接收安全监测分析模块上报的安全告警信息，并根据预设的安全策略，在检测到信息异常后执行相应的安全动作；当接收到的安全告警信息为过滤事件告警时，根据系统运行状态和预设配置，发送安全诊断信号到安全监测分析模块，用于被过滤报文分析；将安全告警信息以及过滤报文分析结果通过通信模块上报至外部集中控制器，作为系统级安全分析诊断和策略调整的依据。

进一步地，所述安全监测分析模块还用于实时监测并接收时间同步接口模块发出的时间异常告警信号，并上报至控制模块的安全诊断控制模块。

安全监测分析模块当接收到安全诊断控制模块发出的安全诊断应答信号后，读取安全隔离模块中的数据并擦除缓存区，同时对异常数据进行分析，将分析结果发送至安全诊断控制模块，在此过程中，通信模块和控制模块均与安全隔离模块的数据缓存区断开。

在一实施例中，该系统还可包括：时间同步模块，通过基于网络端口硬件时间戳的时间同步协议，来实现网络化PLC系统中所有交换节点和PLC控制器端节点之间的精确时间同步，并将同步后的时间发送至通信模块。

PLC安全监测和诊断控制通过安全监测分析模块和安全诊断控制模块之间的三组异常状态交互信号进行，分别为时间同步模块异常、冗余控制模块异常和安全过滤模块异常，分别用A、B和C表示，默认高阻态，外部上拉。

安全监测分析模块对时间同步接口模块的循环检测流程如图4所示，发现异常报告后，拉低信号A。时间同步模块诊断控制流程如图5所示，安全诊断控制模块检测到A呈低电平后根据用户的预配置，执行时间解耦控制操作，用本地时间作为PLC时间，或者执行导向安全操作。

安全监测分析模块对冗余模块正常工作的链路数量循环检测流程如图6所示，如果为1，则拉低B-1信号，如果为0，则同时拉低B-1和B-2信号。冗余模块安全诊断控制流程如图7所示，检测到B-1低并且B-2为高电平后，执行降级运行以及告警操作，检测到B-1和B-2同时为低电平后，执行导向安全操作。

安全监测分析模块对安全过滤模块循环检测的流程如图8所示，发现异常报告后，拉低信号C，安全诊断控制模块检测到C为低电平后，根据用户的预配置选择异常诊断或者不诊断。当选择不诊断时，向安全监测分析模块发起不诊断信号，安全监测分析模块则直接忽略该异常。当选择诊断时，安全过滤模块诊断控制流程如图9所示，安全诊断控制模块断开控制模块与安全隔离模块连接，关闭安全过滤模块过滤功能，并向安全监测分析模块发起安全诊断信号，安全监测分析模块收到安全诊断信号后，采集输入缓存内存数据，对报文关键字段、速率、包长、突发大小进行分析，向控制器上报安全分析结果，安全诊断控制模块收到安全分析结果后通过通信模块上传至集中控制器，然后，开启安全过滤模块过滤功能，恢复与安全隔离模块接收缓冲区的连接。

由上述实施例可知，本申请的安全冗余的PLC通信控制系统，采用冗余的通信端口和基于端口的数据帧复制和消除技术，能在数据链路层对特定的数据流类型实现数据帧冗余传输，有效解决其他冗余方式CPU、内存资源消耗高、数据延迟大、较高的网络带宽占用率以及双倍的网络组件需求量等问题，尤其适用于时间敏感的大规模网络化PLC系统。本发明采用的安全过滤机制，在数据链路层对进入端口的数据帧进行监测和过滤，在外部防火墙或网关失效后，仍能有效拦截外部异常流量，从而提升了PLC控制器本身的安全可靠性。本发明采用安全隔离模块进行PLC控制器通信模块和控制模块的数据交换，避免通信模块和控制模块的直接连接，从而消除网络对PLC物理系统造成的威胁，极大提高了PLC控制系统的安全等级本发明通过PLC控制器安全可靠性的关键部件信息的实时监测，包括端口异常报文信息、网络冗余状态、时间同步状态，并上传送至集中控制器，解决了传统PLC控制系统无法进行全网范围的耦合检测分析问题，为系统级安全分析诊断和策略调整提供了数据依据。

本领域技术人员在考虑说明书及实践这里公开的内容后，将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本申请的真正范围和精神由下面的权利要求指出。

应当理解的是，本申请并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求来限制。

Claims (10)

1.一种安全冗余的PLC通信控制系统，其特征在于，包括：

至少一个PLC通信端口，用于接收和发送互为冗余关系的数据；

安全过滤模块，用于对所述冗余关系的数据进行监测和过滤，当监测到过滤事件发生后，生成过滤事件告警信号；

冗余模块，用于对监测和过滤后的数据帧进行识别，并且，分别在出口和入口方向对命中预设流量类型的数据帧进行复制和消除，对所述复制和消除的状态进行记录，当将正常工作的网络链路数量小于等于1时，生成链路异常告警信号；

通信模块，与所述冗余模块相连，用于数据交换；

安全隔离模块，用于将所述通信模块、控制模块和安全监测分析模块之间的数据进行隔离和交换，且三者无法在同一时刻访问安全隔离模块；

控制模块，用于将采集的输入单元信号进行数据译码，译码后按照预设控制算法进行运算，输出控制信号，再对所述控制信号进行数据编码；

安全监测分析模块，用于实时监测并接收所述过滤事件告警信号和所述链路异常告警信号，并上报至所述控制模块，当接收到所述控制模块发出的安全诊断应答信号后，读取所述安全隔离模块中的数据并擦除缓存区，同时对异常数据进行分析，将分析结果发送至所述控制模块，在此过程中，所述通信模块和所述控制模块均与所述安全隔离模块的数据缓存区断开。

2.根据权利要求1所述的系统，其特征在于，所述PLC通信端口具有两个。

3.根据权利要求1所述的系统，其特征在于，在所述安全过滤模块中，所述过滤的过程如下：

通过对数据帧的过滤字段与该字段的预设值进行比较，仅与预设值完全匹配的数据帧通过。

4.根据权利要求1所述的系统，其特征在于，所述预设流量类型包括与系统安全和可靠性相关的关键流量。

5.根据权利要求1所述的系统，其特征在于，还包括：

时间同步模块，通过基于网络端口硬件时间戳的时间同步协议，来实现网络化PLC系统中所有交换节点和PLC控制器端节点之间的精确时间同步，并将同步后的时间发送至通信模块。

6.根据权利要求1所述的系统，其特征在于，所述通信模块还用于将收到的同步时间发送至安全隔离模块。

7.根据权利要求1所述的系统，其特征在于，所述控制模块包括时间同步接口模块、控制运算模块和安全诊断控制模块。

8.根据权利要求1所述的系统，其特征在于，所述时间同步接口模块，用于：

使所有接入PLC网络中的设备处于同一时间基准下，实现PLC控制器之间的协同控制；

时间同步接口模块会维护PLC控制模块的本地系统时间，根据接收到的网络同步时间，计算偏差并修正本地系统时间；

当检测到修正值大于设定阈值后，代表同步异常事件发生，会将时间异常信息上报至安全监测分析模块。

9.根据权利要求7所述的系统，其特征在于，所述安全诊断控制模块与安全监测分析模块相连，用于：

接收安全监测分析模块上报的安全告警信息，并根据预设的安全策略，在检测到信息异常后执行相应的安全动作；

当接收到的安全告警信息为过滤事件告警时，根据系统运行状态和预设配置，发送安全诊断信号到安全监测分析模块，用于被过滤报文分析；

将安全告警信息以及过滤报文分析结果通过通信模块上报至外部集中控制器，作为系统级安全分析诊断和策略调整的依据。

10.根据权利要求1所述的系统，其特征在于，所述安全监测分析模块还用于实时监测并接收时间同步接口模块发出的时间异常告警信号，并上报至控制模块的安全诊断控制模块。

Images