2.1.1 Honeywell Network

EXPERION™PKS 过程控制网络

B C

D E FA B C

拟电路D E F

WS3 WS1

CP1

CP2CP3CP4CP5

历史数据库Experion 服务器

ACE

常规,逻辑

& 基于模型控制C200 & Profit Loop

HPM

BC Controller Asset Manager

Experion 操作站

数字视频管理器Digital Video Manager

安全只读访问过程画面的工厂业务客户端基于Web Experion 含ASM 操作工效率方案

Profit Suite

现场移动操作站Mobile PKS

高级应用网络

工厂信息网络

Local Control Network

Video Ethernet

防火墙过程控制网络

无线变送器

SIL 3 安全系统

Experion PKS 过程控制网络

P r o c e s s C o n t r o l N e t w o r k

P r o c e s s C o n t r o l N e t w o r k

Switches

C300

C300C300

ACE

Server

Switches

Station

Crossover

C300

FTE网络状态监视

FTE FTE

Converters FTE

FTE

Ethernet

FTE FTE

Switches Dual NIC card

FTE Software

控制网络安全性问题

•用普通以太网作为工控网络会带来很多的好处，但是同时也带来了风险。

•某些网络设备的故障，或黑客的入侵可能导致泄密或网络通讯堵塞。

•一个工厂停车一天，损失往往高达

$600,000。

P r o c e s s C o n t r o l N e t w o r k

P r o c e s s C o n t r o l N e t w o r k

输入信息传递优先级

仅控制器与FTE 信息可以传递

•

Experion R300控制防火墙

就算非Windows 系统也会受影响

其它系统

某些网络设备的故障，或黑客的入侵可能导致泄密或网络通讯堵塞.

垃圾或不明确的信息可能像洪水一样淹没网络通用交换机

通用交换机

Experion R300

Level 1/2

R300 C系列控制防火墙\n\n25\n\n\r\n

高安全的网络架构\n\nProcess Control Network\n\n控制器信息具有最高优先级 压制 Broadcast, Multicast, Unicast Storm\n\n• •\n26\n\nL3 路由/ 过滤(Routing /Filtering)，访问 L2层，屏蔽L1层 L2 压制广播(Broadcast), 多点传送(Multicast) , 单点大信息量传送(Unicast)\n\n• • •\n\nL2 与 L1 之间实行口(Port)过滤 L2 实行优先级通讯，保证监控信息传 输不被中断 L1实行优先级通讯，保证该层控制信 息传输不被中断\n\nProcess Control Network\n\n\r\n

高安全的网络架构\nProcess Control Network Process Control Network\n路由 /过滤\n\n• •\n27\n\nL3 路由/ 过滤(Routing /Filtering)，访问 L2层，屏蔽L1层 L2 压制广播(Broadcast), 多点传送(Multicast) , 单点大信息量传送(Unicast)\n\n• • •\n\nL2 与 L1 之间实行口(Port)过滤 L2 实行优先级通讯，保证监控信息传 输不被中断 L1实行优先级通讯，保证该层控制信 息传输不被中断\n\n\r\n

工厂信息网与过程控制网的连接\n\n• 最低限度保持L3 与L4之间的网络连接 (仅DSA) • 所有其它的设备连接通过终端服务器(Terminal Server)在 ‘非军事区’(Demilitarized Zone—DMZ)内连接 • L4 数据通过在DMZ中的PHD 和PKS Servers 获取 • Hotfixes 和病毒数据更新也是通过 DMZ • DMZ 实现域或工作组的隔离\n\n28\n\n\r\n

‘非军事区’(DMZ-- Demilitarized Zone) 连接\n工厂信息网络 工厂信息网络\n\nDemilitarized Zone\n\nPCN\n\nHardened Terminal Server\n\nPatch Management Server\n\nAnti Virus Server\n\nData Server\n\nProcess Control System\n\nProcess Control System\n\nProcess Control System\n\n29\n\n\r\n

使用DSA 通过防火墙\n• 分布式系统结构--DSA (Distributed System Architecture)，是 EPKS 中的一个专用数据连接技术。以实现不同服务器之间的快 所有口对 速方便的全局数据服务。 159.99.6.1开放\nDSA 数据请求 EPKS (防火墙内) 159.99.1.1 Telnet 请求 (Port 23) B L O C K E D 防火墙内\n30\n\nDSA 提示请求 (动态口)\n\n远程 EPKS (防火墙外) 159.99.6.1\n\nIP 地址被封 锁 远程非Experion 系统 207.46.156.156\n\n防火墙\n\n防火墙外\n\n\r\n

P r o c e s s C o n t r o l N e t w o r k P r o c e s s C o n t r o l N e t w o r k