0 引言
網(wǎng)絡(luò)通信技術(shù)已經(jīng)改變了人們的生活,同時也正在改變工業(yè)自動化的方方面面。因此,,中國電器工業(yè)協(xié)會通用低壓電器分會在《低壓電器新產(chǎn)品發(fā)展總體思路》中明確提出:"全面實(shí)現(xiàn)低壓電器主要產(chǎn)品網(wǎng)絡(luò)化、智能化、可通信化,。要求我國第3 代低壓電器主要產(chǎn)品,、第4 代低壓電器,全部實(shí)現(xiàn)網(wǎng)絡(luò)化,、智能化、可通信,,能與多種現(xiàn)場總線連接,,也可直接與工業(yè)以太網(wǎng)連接。"鑒于此,,近年來,,基于現(xiàn)場總線、以太網(wǎng)和互聯(lián)網(wǎng)( Internet)技術(shù)的可編程控制器( Programmable LogicController,PLC),、觸摸屏( Human Machine Interface,HMI),、變頻器、智能開關(guān)等各類智能低壓電器得到了長足發(fā)展,,在智能電網(wǎng),、樓宇智能化、工業(yè)遠(yuǎn)程監(jiān)控等方面得到廣泛應(yīng)用,。低壓電器產(chǎn)品網(wǎng)絡(luò)化,、智能化的發(fā)展大趨勢,也對智能化,、網(wǎng)絡(luò)化,、實(shí)時化的信息交互和監(jiān)控系統(tǒng)提出了新的、更高的要求,。
低壓電器信息交互和監(jiān)控系統(tǒng)可通過無處不在的Internet,進(jìn)行遠(yuǎn)程的數(shù)據(jù)傳輸和控制,,十分方便。但因網(wǎng)絡(luò)的實(shí)時性較差,,傳輸控制信息和數(shù)據(jù)需建立虛擬局域通道(Virtual Local Area Network,VLAN),;加之傳輸控制協(xié)議/互聯(lián)網(wǎng)協(xié)議( Transmission Control Protocol /Internet Protocol,TCP /IP)的廣泛使用和IP 安全的脆弱性,增加了互聯(lián)網(wǎng)傳輸?shù)牟话踩蛩?。而智能低壓電器與遠(yuǎn)程主機(jī)之間的通信數(shù)據(jù)都是十分重要的生產(chǎn)信息和控制數(shù)據(jù),,其安全性和實(shí)時性要求極高,因此,,一般的網(wǎng)絡(luò)傳輸無法滿足工業(yè)要求,。
本文以基于Internet 的觸摸屏的數(shù)據(jù)庫遠(yuǎn)程監(jiān)控系統(tǒng)為例,介紹一種采用遠(yuǎn)程安全通信模塊SY-RSCM,從而便捷,、可靠地構(gòu)建基于互聯(lián)網(wǎng)的智能電器遠(yuǎn)程數(shù)據(jù)交互系統(tǒng)的解決方案,。
1 配方生產(chǎn)線數(shù)據(jù)庫遠(yuǎn)程監(jiān)控系統(tǒng)
在飲料、食品、聚氯乙烯片材等行業(yè),,需按產(chǎn)品的不同配方自動配置原料并組織生產(chǎn),,該類自動配方生產(chǎn)線一般由HMI、PLC 和繼電器等低壓電器構(gòu)成,。配方信息是企業(yè)核心競爭力,,需集中管理和統(tǒng)一配置,如可口可樂配方,,一直是世界級的秘密,,其生產(chǎn)過程中的配方信息對生產(chǎn)者也是保密的。這類企業(yè)大多為跨地區(qū),、跨國界的大型企業(yè),,因此,迫切需要在安全,、保密的前提下,,可在公司總部對世界各地的生產(chǎn)廠實(shí)時進(jìn)行配方的下傳、存儲,、調(diào)用,、修改和生產(chǎn)線監(jiān)控。為此,,本課題開發(fā)了基于Internet 和MT8000 型HMI 的配方數(shù)據(jù)庫遠(yuǎn)程監(jiān)控系統(tǒng),。
2 通過Internet 訪問HMI 的系統(tǒng)架構(gòu)
配方數(shù)據(jù)庫遠(yuǎn)程監(jiān)控系統(tǒng)的網(wǎng)絡(luò)拓?fù)洳捎谜n題組開發(fā)的S-link 網(wǎng)絡(luò)協(xié)議,對工業(yè)數(shù)據(jù)安全加密后,,通過Internet 進(jìn)行協(xié)議上的轉(zhuǎn)發(fā),,實(shí)現(xiàn)PC機(jī)與遠(yuǎn)程HMI 的數(shù)據(jù)庫進(jìn)行安全數(shù)據(jù)交換的功能,也可實(shí)現(xiàn)對電氣控制系統(tǒng)的遠(yuǎn)程監(jiān)控和在線診斷,,如圖1 所示,。
圖1 配方數(shù)據(jù)庫遠(yuǎn)程監(jiān)控系統(tǒng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)
在生產(chǎn)現(xiàn)場配置的遠(yuǎn)程安全通信模塊SYRSCM,具有交換、路由,、防火墻,、安全網(wǎng)關(guān)和VLAN 等功能,可以實(shí)現(xiàn)100 Mb /s 的工業(yè)數(shù)據(jù)網(wǎng)絡(luò)傳輸,。系統(tǒng)通過互聯(lián)網(wǎng),,建立起計算機(jī)與遠(yuǎn)程觸摸屏MT8000、PLC 之間的虛擬局域網(wǎng)VLAN 通道,,確保數(shù)據(jù)交互的安全性,。
3 系統(tǒng)的安全通信框架
3. 1 安全通信的協(xié)議
在系統(tǒng)中,網(wǎng)絡(luò)路由器和安全通信模塊SYRSCM中均內(nèi)置了安全通信協(xié)議S-link,該協(xié)議是保證數(shù)據(jù)安全傳送的重要環(huán)節(jié),。S-link 通過軟件的高級加密形式對IP 報文封裝,,以實(shí)現(xiàn)TCP /IP網(wǎng)絡(luò)上數(shù)據(jù)的安全傳送。S-link 屬于OSI 模型的第3 層協(xié)議,即網(wǎng)絡(luò)層協(xié)議,,能對所傳數(shù)據(jù)提供認(rèn)證和加密( 包括對控制報文和傳輸中的數(shù)據(jù)加密),,提高了數(shù)據(jù)傳輸?shù)臏?zhǔn)確性和安全性,是一種完整的安全解決方案,。
S-link 協(xié)議的設(shè)計目標(biāo)是為網(wǎng)絡(luò)層流量提供靈活的安全服務(wù),,包括:訪問控制、無連接完整性,、數(shù)據(jù)源鑒別,、重傳攻擊保護(hù)、機(jī)密性,、有限的流量保密等。S-link 協(xié)議的主要內(nèi)容包括: 安全框架- RFC2401; 安全協(xié)議:AH 協(xié)議- RFC2402,、ESP協(xié)議- RFC2406.S-link 安全體系結(jié)構(gòu)如圖2 所示,。
圖2 S-link 安全體系結(jié)構(gòu)
3. 2 安全通信的密鑰
在S-link 協(xié)議中,內(nèi)置了兩級密鑰體系,,即工作密鑰(Working Key,WK)和密鑰加密密鑰(KeyEncryption Key,KEK),。
(1) WK.可分為用于對個人標(biāo)識碼加密的密鑰及進(jìn)行報文鑒別的密鑰,均由S-link 的加密機(jī)產(chǎn)生,。在每次建立連接時,,利用KEK 加密后下載,并由KEK 加密存儲,,S-link 工作密鑰在傳送時以密文傳送,。
(2) KEK.用于對工作密鑰WK 進(jìn)行加密保護(hù),共享唯一的KEK.KEK 只能寫入并參與運(yùn)算,,不能被讀取,。KEK 應(yīng)至少有3 個,以便當(dāng)KEK 泄密時軟,、硬件采取同步內(nèi)置算法,,及時、方便地予以更換,。PC 中的S-link 軟件和SY-RSCM網(wǎng)絡(luò)安全通信模塊之間,,通過參數(shù)交換的方式約定使用哪個KEK.
3. 3 安全通信模塊的防火墻功能
安全通信模塊SY-RSCM 內(nèi)設(shè)硬件防火墻,可通過信息過濾檢查方式,,對非法訪問進(jìn)行攔截,,阻止各種網(wǎng)外攻擊,能有效地保證網(wǎng)內(nèi)數(shù)據(jù)安全,,以確保在SY-RSCM 下端的網(wǎng)絡(luò)內(nèi)的信息不受外來非法攻擊,。
4 HMI 中數(shù)據(jù)庫的建立
選用MT8000 HMI 是由于其配有Internet 接口和較大的內(nèi)部閃存(Flash Memory) 空間[10],可方便地進(jìn)行遠(yuǎn)程網(wǎng)絡(luò)通信和數(shù)據(jù)庫構(gòu)建。
MT8000 HMI 內(nèi)部Flash Memory 稱為RW.RW中除保留字外,在不擴(kuò)展外圍存儲器件的情況下,,用戶可用空間為60 000 字,。設(shè)某一產(chǎn)品因原材料組合、配比和工藝要求的不同,,有100 個可變參數(shù),,每個參數(shù)占用一個字,則這100 個參數(shù)組成1 個參數(shù)頁,。60 000個字空間可存儲600 個參數(shù)頁,,即能存儲600 個不同規(guī)格產(chǎn)品的參數(shù),可滿足絕大多數(shù)產(chǎn)品的配方存儲要求,。若存儲空間不夠,,可插入閃存(Compact Flash,CF) 卡進(jìn)行存儲擴(kuò)展。因此,,利用HMI 作為配方數(shù)據(jù)庫是可行的,。
存儲空間能存儲參數(shù)頁的數(shù)量可由下式計算得出:
式中P---可分配參數(shù)頁總數(shù)量
L---HMI 斷電可保存空間總長度( 總字地址數(shù))
Lb---用于其他信息存儲的保留空間總長
度(保留字地址數(shù))
N---一頁參數(shù)中參數(shù)的個數(shù)
Y---各參數(shù)所占用的字?jǐn)?shù)
5 系統(tǒng)的總線連接及上下載實(shí)現(xiàn)
5. 1 現(xiàn)場總線連接的方式
遠(yuǎn)程通信模塊SY-RSCM 通過WAN 接口連接Internet,并通過LAN 接口連接至各生產(chǎn)線的HMI.生產(chǎn)現(xiàn)場的總線連接如圖3 所示。
圖3 現(xiàn)場總線連接圖
HMI 通過RS - 232 與PLC 進(jìn)行全雙工通信,,實(shí)現(xiàn)參數(shù)的下載和生產(chǎn)實(shí)時數(shù)據(jù)的上傳,。由于現(xiàn)場各類傳感器距離PLC 較遠(yuǎn),考慮總線的抗干擾能力及成本因素,,故本系統(tǒng)采用RS - 485 總線對各智能傳感器進(jìn)行讀,、寫通信。PLC 通過RS - 485總線,,采集重量,、溫度、壓力等工藝參數(shù)對生產(chǎn)線進(jìn)行閉環(huán)控制,,同時,,將參數(shù)上傳至HMI.
5. 2 配方下載至PLC 的方式
下載時,HMI 將原材料配置參數(shù)與生產(chǎn)工藝參數(shù)傳送至PLC 的相關(guān)寄存器中,,PLC 則根據(jù)預(yù)定程序和下載的各類參數(shù)控制生產(chǎn)線的閥門,、進(jìn)給速度、流量,、溫度,、壓力等,實(shí)行自動化生產(chǎn),。若PLC 接收HMI 下載的配方數(shù)據(jù)有n 個參數(shù),,每個參數(shù)占用一個字地址,設(shè)占用D100 ~ D100 +n - 1,并設(shè)HMI 當(dāng)前顯示需要下載的參數(shù)在LW0 ~ LW n - 1 中,,利用遠(yuǎn)程操作觸發(fā)下載宏,,使當(dāng)前需要生產(chǎn)的配方參數(shù)下載至PLC,下載宏示范如下:
Macro_Command main()
int bufer[n]∥定義一個有n 個元素的字?jǐn)?shù)組
GetData(bufer[0],LW_Binplc,0,n) ∥獲取HMI
∥顯示的需要下載到PLC 的n 個參數(shù)到數(shù)組中
SetData(bufer[0],D_Binplc,100,n) ∥將數(shù)組中
∥的數(shù)據(jù)下載到PLC 的D100 開始的連續(xù)n個字中
End Macro_Command
5. 3 PLC 實(shí)時生產(chǎn)數(shù)據(jù)上傳的方式
實(shí)現(xiàn)參數(shù)上傳的方式為:在HMI 中建立讀取參數(shù)宏,,并使該宏一直處在激活狀態(tài),讀取參數(shù)宏的功能是將各工藝參數(shù)上傳至HMI 的實(shí)時數(shù)據(jù)監(jiān)視存儲區(qū),。這樣,,遠(yuǎn)程PC 機(jī)讀取HMI 中實(shí)時監(jiān)視存儲區(qū)的數(shù)據(jù),即可安全,、方便地讀取現(xiàn)場生產(chǎn)實(shí)時信息,。其讀取參數(shù)示范宏指令如下:
Macro_Command main()
int bufer[n]∥在觸摸屏內(nèi)定義一個有n 個元素∥的字?jǐn)?shù)組,n 為需要讀取的PLC 中實(shí)時監(jiān)視數(shù)據(jù)個數(shù),。
GetData(bufer[0],D_Binplc,300,n) ∥獲取PLC中的生產(chǎn)實(shí)時數(shù)據(jù),,上傳至HMI 內(nèi)數(shù)組的n 個元素中。
SetData(bufer[0],LW_Binplc,100,n) ∥將數(shù)組中的數(shù)據(jù)復(fù)制到HMI 的LW100 開始的連續(xù)n 個字中,,供遠(yuǎn)程計算機(jī)讀取實(shí)時的生產(chǎn)數(shù)據(jù),。
End Macro_Command
6 HMI 窗口的配方數(shù)據(jù)保密措施
PC 通過Internet 對HMI 進(jìn)行程序和數(shù)據(jù)的上、下載,。在遠(yuǎn)程上,、下載過程中,需采取保密措施,,以使配方數(shù)據(jù)不外泄,。主要保密措施如下:
(1) 下載過程中,,HMI 設(shè)為顯示進(jìn)度條狀態(tài),,數(shù)據(jù)在HMI 上不可見,保證了數(shù)據(jù)不會通過HMI外泄,;(2) 在PC 遠(yuǎn)程單獨(dú)修改HMI 的參數(shù)( 如配方數(shù)據(jù))時,,通過對HMI 的設(shè)置,可以在本地不顯示具體的數(shù)字,,而是以顯示"****"字符,,來保密;(3) 在HMI 上,,程序的上載通過密碼加密方式,,以保證本HMI 上的配方數(shù)據(jù)安全。
7 結(jié)語
本文所述的基于Internet 的HMI 配方數(shù)據(jù)庫遠(yuǎn)程監(jiān)控系統(tǒng)已在PVC 片材生產(chǎn)線中使用,,1 年來的實(shí)踐證明,,該系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)簡單、構(gòu)建方便,。
PC 機(jī)與HMI 之間的通信數(shù)據(jù)安全性高,、保密性好、市場前景廣闊,,凡涉及到需配方信息遠(yuǎn)程保密傳輸和數(shù)據(jù)連通的領(lǐng)域均可采用該系統(tǒng),。該系統(tǒng)的安全通信機(jī)制也可移植到其他對遠(yuǎn)程數(shù)據(jù)通信安全性要求較高的智能電器控制領(lǐng)域,,如智能配電管理系統(tǒng)、樓宇,、港機(jī),、交通設(shè)施和生產(chǎn)線等,因此,,值得推廣,。