基于S-Link和VLAN技术的远程工业网络监控的系统的制作方法

文档序号:6298314阅读:538来源:国知局
专利名称:基于S-Link和VLAN技术的远程工业网络监控的系统的制作方法
技术领域
本实用新型所属的技术领域为工业自动化行业的通过internet远程工业控制数据传输,涉及到了一种工业设备中的可编程控制器PLC、智能控制系统PAC、多功能面板 HMI、变频器、摄像头、管理计算机、服务器等控制系统中不同的硬件设备和软件通讯的系统。本系统不同于普通数据的标准方式传输,而是通过S-Link安全加密协议,实现工业数据的完整性和高度安全性,并通过VLAN技术实现数据的实时性。
背景技术
目前,随着中国的装备制造产业的水平提升,以及劳动力紧缺,对于工业设备的智能化要求越来越高,沿海地区的劳动密集型生产性企业也渐渐内迁或者转型为高度自动化的生产。而高度自动化的生产,对于设备的需求量越来越大,保持设备的稳定运行,对于连续生产的产品品质和生产周期具有相当重要的意义。而对于现场设备的远程在线工业数据实时通讯,对设备进行前瞻性的预诊断和系统参数存档,对于设备的故障及时诊断,保证工业设备的稳定运行具有巨大的意义。由于设备使用方对设备的熟悉程度不如专业的设备制造商,而他们通常不在同地区,随着全球化的发展,甚至远隔万里,因此需要通过公共的网络进行工业数据的传输,不仅仅实现简单的数据对话通讯,为了更好的完成系统的诊断,还需要进行程序级的控制,完成对控制系统中的软件上下载和在线诊断,既可以作为在线系统调试,作为在线监控系统,也可以作为在线故障诊断系统判断设备的故障,将诊断系统故障信息之后,得出的现场设备故障点检查方案,传递到现场的维护电工即可。该系统将大大节省设备制造商的设备调试和维护成本,并有效地解决了设备的故障响应速度,并提供了大量的历史存储数据作为预警机制和机器改善之用,具有重大的价值。但所有数据通过了公共网络进行传递,为了避免数据受到公共网络上的病毒攻击,以及恶意的数据篡改,造成工业设备的误动作,产生设备和人员安全的问题,因此,在此过程中,需要确保工业数据传输的安全性,完整性和实时性。
发明内容本实用新型的目的是为了解决工业自动化行业中通过internet远程工业控制数据传输的安全性,完整性和实时性,而提供一种通过S-Link安全加密协议,实现工业数据的高度安全性和完整性,并通过VLAN技术实现数据的和实时性,实现工业设备中的可编程控制器PLC、智能控制系统PAC、多功能面板(人机界面)HMI、变频器、上位机等控制系统中不同的硬件设备和软件通讯的通过^ternet进行数据传输的有效系统。实现本实用新型的技术方案是包括数据源主机与目标主机之间的数据包发送与接收,包括S-Link协议和虚拟局域网VLAN,其中[0009]包括管理计算机、服务器、A远程安全通讯模块、B远程安全通讯模块、PLC主站、 Internet互联网,其中管理计算机、服务器经以太网TCP/IP连接A远程安全通讯模块,该A 远程安全通讯模块经S-Link协议连接hternet互联网,该hternet互联网经S-Link协议连接B远程安全通讯模块,该B远程安全通讯模块还分别连接PLC主站。1、通过S-Link协议实现工业现场总线数据的安全性和完整性 在hternet的传递中,数据多采用标准的协议,互联网协议(IP,Internet Protocol,网络连接协议)是互联网协议群(Internet Protocol Suite, IPS)中众多通信协议中的一个,也是其中最重要的一个。但是,IP协议是一个不可靠的传输机制,IP协议不承担在数据源主机和目的主机间建立连接的责任,只负责从数据源主机建立数据包并发送出去的工作,目标主机收到数据报后不需要向发送源主机提交确认信息,IP协议会尽量确保目标主机能够获得发送给它的数据包,但是并不是绝对保证。在hternet的通信协议中,可靠的数据传输是由TCP协议(Transfer Control ftOtocol,传输控制协议)来保证的。TCP(Transfer Control Protocol)是专门设计用于在不可靠的hternet上提供可靠的、端到端的字节流通信的协议。hternet不同于一个单独的网络,不同部分可能具有不同的拓扑结构、带宽、延迟、分组大小以及其它特性。TCP被设计成能动态满足^ternet的要求,并且足以健壮地面对多种出错。TCP/IP技术是最常见的一种面向连接的传输方式,但是在安全性方面,由于数据格式为标准格式,所以无法保证其安全性,任何在网络上传输的数据均可以被拦截后解密并可能产生新的伪数据继续传递,从而对工业网络的设备控制器产生错误的指令。在保证像信息的机密性、真实性、完整性这些必要的信息安全中,公钥加密技术扮演着非常重要的角色。为了增强互联网的安全机制,主要采用防火墙技术、公开密钥加密技术、数据加密技术、数字签名、数字时间戳技术、身份认证和安全协议等。上述常用的安全技术,由于和工业现场总线的机制不同,对于现场总线的实时性和完整性无法保证,存在打包和解包的协议差异,需要不断重新握手,容易造成通讯丢包, 容易造成协议的中断,不适合采用标准的协议进行传输。S-Link协议正是基于标准协议的不通用性,以及工业现场总线的特殊要求,以协议转换准确和安全性为首要目标的一种非公开密钥方式的专用协议,除了支持标准的TCP/ IP协议外,也支持工业实时以太网如西门子的PROFINETJtherCAT等在互联网上的传输。如西门子的主要最新一代现场总线PR0FINET,是由PR0FIBUS国际组织(PR0FIBUS International, PI)推出,是新一代基于工业以太网技术的自动化总线标准。作为一项战略性的技术创新,PR0FINET为自动化通信领域提供了一个完整的网络解决方案,囊括了诸如实时以太网、运动控制、分布式自动化、故障安全以及网络安全等当前自动化领域的热点话题,并且,作为跨供应商的技术,可以完全兼容工业以太网和现有的现场总线(如 PR0FIBUS)技术,保护现有投资。作为国际标准IEC61158的重要组成部分,PR0FINET是完全开放的协议。而EtherCAT是开放的实时以太网络通讯协议,最初由德国倍福自动化有限公司 (Beckhoff Automation GmbH)研发。EtherCAT为系统的实时性能和拓扑的灵活性树立了新的标准,同时,它还符合甚至降低了现场总线的使用成本。EtherCAT的特点还包括高精度设备同步,可选线缆冗余,和功能性安全协议(SIL3)。EtherCAT主张"以太网控制自动化技术"。它是一个开放源代码,高性能的系统,目的是利用以太网协议(最惠国待遇系统局域网),在一个工业环境,特别是对工厂和其他制造业的关注,其中利用机器人和其他装备线上的技术。EtherCAT 是 IEC 规范(IEC/PAS 62407) S-Link协议基于应用层,是公钥和私钥结合使用的方式进行加密,实现工业以太网的安全加密传输,符合IEC 61748-3标准中的FSCP 12 (功能安全通讯设备行规)。加密和解密是采用不同的密钥(公开密钥),也就是非对称密钥密码系统,每个通信方均需要两个密钥,即公钥和私钥,这两把密钥可以互为加解密。公钥是公开的,不需要保密,而私钥是由双方通讯设备持有。发送方通过使用接收方的公钥对数据进行加密操作,然后数据接收方使用自己的私钥就可以对数据进行解密。接收方通过解密操作就能知道数据是否完整传输,如果能够使用自己的私钥解密数据,说明数据是真实的,否则传输的数据可能在传输过程中被篡改。本质上私钥加密体制和公钥加密体制的没有任何区别,定义了一个私钥的加密体制以私钥E加密,公钥D解密。两个定义的不同在于安全定义的建立中,在一个公钥加密体制中,攻击者或“攻击算法”是给定E,作为附加的输出;这里攻击者没有私钥体制E。S-Link基于公开密钥的加密过程,两个站点A和B,A想把一段明文通过双钥加密的技术发送给B,B有一对公钥和私钥,那么加密解密的过程如下B将B的公开密钥传送给A ;A用B的公开密钥加密A的消息,然后传送给B ;B用B的私人密钥解密A的消息。反之,B要将明文发送给A,过程如下A收到B的明文;A的私钥解密;A的公钥加密;B收到的A明文。S-Link采用的算法为RSA算法,密钥为1 位加密,保证了工业数据的安全。为了保证数据的完整性,S-Link采用了小包数据分发以及严格的数据校验机制, 各个数据包在被确认校验正确后,将组成一个完整的数据包,并且依据工业实时以太网的格式,传递给具有目标IP地址的设备。S-Link相对于无结构的数据流的TCP/IP协议,S-Link区分了结构化的数据流,使用数据流符合工业以太网总线的格式,在传输之前就已经进行了规划。S-Link定义了一个重发机制,采用一种“带重传功能的肯定确认”的技术作为提供可靠数据传输服务的方式。这项技术要求接收方收到数据之后向源站回送确认信息ACK。 发送方对发出的每个分组都保存一份记录,在发送下一个分组之前等待确认信息。发送方还在送出分组的同时启动一个定时器,并在定时器的定时期满而确认信息还没有到达的情况下,重发刚才发出的分组。为了避免由于网络延迟引起迟到的确认和重复的确认,S-Link协议规定在确认信息中稍带一个分组的序号,使接收方能正确将分组与确认关联起来。S-Link以此保证了数据的完整性。2、通过VLAN技术实现工业现场总线数据的实时性[0038]VLAN(Virtual Local Area Network)的中文名为〃虚拟局域网"。和普通的LAN 没有物理区别,VLAN是一种将局域网设备从逻辑上划分成一个个网段,从而实现虚拟工作组的新兴数据交换技术。这一新兴技术主要应用于交换机和路由器中,但主流应用还是在交换机之中。VLAN是一个在物理网络上根据用途,工作组、应用等来逻辑划分的局域网络, 是一个广播域,与用户的物理位置没有关系。VLAN中的网络用户是通过LAN交换机来通信的。一个VLAN中的成员看不到另一个VLAN中的成员。每个远程安全通讯模块采用VLAN技术,主要是抑制网络上的广播风暴,降低网络节点的负载,保证数据的传输通畅和及时性,增加网络的安全性,集中化的管理控制。为了能够在虚拟局域网中集成不支持VLAN的终端设备和子网,每个远程 SY-RSCM300担负起增加和删除增加的VLAN信息的职责。加入一个VLAN所依据的标准是多种多样的,本发明采用的是按端口划分方案加入 VLAN。将VLAN交换机上的物理端口和VLAN交换机内部的PVC (永久虚电路)端口分成若干个组,每个组构成一个虚拟网,相当于一个独立的VLAN交换机。这种按网络端口来划分VLAN网络成员的配置过程简单明了。VLAN交换机需了解VLAN的成员关系,即要让交换机知道哪一个工作站属于哪一个VLAN。基于VLAN交换机端口来组建的VLAN,其VLAN成员是以直接的形式与其他成员联系的;本发明采用了帧标签技术,即在每个数据包都加上一个标签,用来标明数据包属于哪个VLAN,这样,VLAN交换机就能够将来自不同VLAN的数据流复用到相同的VLAN交换机上。在VLAN TAG的帧中,4个字节中有3位用于表示VLAN的优先级,第一个队列处理最高优先级的数据帧,也就是可以处理工业以太网如PR0FINET实时的数据帧,保证工业以太网数据的优先和实时性。同时,为了提高通讯效率,保证通讯的实时性,还采用了虚连接方式。网络用户A 和B第一次通信时,发送地址解析(ARP)广播包,VLAN交换机将学习到的MAC和所连接的 VLAN交换机的端口号保存到动态条目MAC地址列表中,当A和B有数据要传时,VLAN交换机从其端口收到的数据包中识别出目的MAC地址,查动态条目MAC地址列表,得到目的站点所在的VLAN交换机端口,这样两个端口间就建立起一条虚连接,数据包就可从源端口转发到目的端口。数据包一旦转发完毕,虚连接即被撤销。这种方式使带宽资源得到了很好利用,提高了 VLAN交换机效率。VLAN接入链路是用来将非VLAN标识的工作站或者非VLAN成员资格的VLAN设备接入一个VLAN交换机端口的一个LAN网段。它不能承载标记数据。VLAN中继链路,是指承载标记数据(即具有VLANID标签的数据包)的干线链路, 只能支持那些理解VLAN帧格式和VLAN成员资格的VLAN设备。中继链路是连接两个VLAN 交换机的链路,本系统采用了链路聚合(Trunking)技术,该技术采用VTP (VLANTrunkingProtocol) 协议,即在物理上每台VLAN交换机的多个物理端口是独立的,多条链路是平行的,采用VTP 技术处理以后,逻辑上VLAN交换机的多个物理端口为一个逻辑端口,多条物理链路为一条逻辑链路。这样,VLAN交换机上使用生成树协议STPGparmingIYeeftOtocol)就不会将物理上的多条平行链路构成的环路中止掉,而且,带有VLAN ID标签的数据流可以在多条链路上同时进行传输共享,实现数据流的高效快速平衡传输。本实用新型具有的有益效果通过基于S-Link和VLAN技术实现PLC程序级的远程工业网络监控系统,将现场控制器、人机界面、变频器等控制系统设备和本地的管理计算机实时互连,既可完成工业数据的实时通讯,也可以作为对现场工业控制设备程序级的控制,通过最为便利的互联网实现远程诊断和远程调试,远程监控,极大地降低了设备系统的调试、维护成本。并且通过 S-Link和VLAN技术实现了工业数据的安全性、实时性和完整性,确保了通过公共网络传输的可靠和稳定。不同于以往的两台电脑远程桌面访问的方式,所有的PLC等现场设备的软件均在本地管理计算机上,而且连接到现场可以是无人值守就可完成。本系统也可以将现场的视频信号实时传回,可以做到如同在现场调试一样,可以在很短的时间里就进行在线的远程连接和远程诊断。不同于以往的VPN方式,通过基于S-Link和VLAN技术实现PLC程序级的远程工业网络监控系统,在公共网络上传输工业数据的安全性、完整性、实时性得到了保证。还可以通过3G的公共网络,做到远程工业网络监控系统搭建的快速和便利性,只要加上了 3G上网通讯模块,在需要远程通讯的时候,插上日常用的3G卡,就可以完成和远程的连接。不管是在设备端,还是在管理计算机端,均可以通过3G进行连接,在3G信号覆盖区域即可进行随时随地的在线监控,做到对系统的实时响应和维护。由于可编程控制PLC的应用具有相当广泛性,所以远程工业网络监控系统在各种使用可编程控制器PLC的场合,具有相当大的应用空间,如在工程机械、风力发电、水泥搅拌站、水处理泵站、港口机械、粮站、隧道、灌溉设备、灌装机、铝材设备、物流仓库、油井控制、换热站供热采集、水文水资源测报系统、雨情雨量测报系统、环境监测等系统的远程通讯控制中均可以使用。

图1为本实用新型的网络组态示意图。网络组态由远程安全通讯模块A和B组成,且通过各自的WAN 口通过Interne相连,1号设备、2好设备分别连接到A的两个LAN 口。3号设备、4好设备分别连接到B的两个 LAN 口。其中,设置为,1号和3号设备属于VLAN10,2号和4号设备属于VLAN11。组建了不同的VLAN之后,1号和3号设备在同一个虚拟网络内,可以互相Ping通,互相访问,而不能Ping另外VLANll内的2号或者4号设备。这样通过VLAN技术,就可以较大幅度的减少网络上的负载,做到远程通讯的最高效化,提高工业通讯所要求的实时性,满足工业网络通讯的需求。图2为本实用新型的基于S-Link和VLAN技术实现PLC程序级的远程工业网络监控系统示意图。
具体实施方式
[0060]
以下结合附图对本实用新型作进一步说明如图所示,本系统包括管理计算机、服务器、A远程安全通讯模块、B远程安全通讯模块、3G通讯模块、PLC主站、PLC从站、摄像头、变频器、多功能面板HMI、Internet互联网, 其中管理计算机和服务器经以太网TCP/IP接A远程安全通讯模块,该A远程安全通讯模块使用S-Link协议通过hternet互联网分别连接B远程安全通讯模块、3G通讯模块,其中B 远程安全通讯模块分别连接摄像头、PLC主站,该PLC主站分别连接PLC从站、变频器,3G通讯模块经B远程安全通讯模块分别连接PLC主站、多功能面板HMI。为实现本实用新型的基于S-Link和VLAN技术实现PLC程序级的远程工业网络监控系统,以西门子的最典型的PLC S7-300,最新的S7-1200,多功能面板HMI MP277,变频器, 管理计算机,服务器,赛远的远程通讯模块SY-RSCM300,远程安全接入软件SY-RCS为例,通过hternet进行远程安全的工业网络实时通讯,完成程序级的监控系统。各个元器件的型号和特点如下U PLC S7-300,选用主机S7-315-2DP/PN,本机上带有PR0FINET工业以太网通讯接口和 PR0FIBUS-DP 接口 ;2、PLC S7-1200,选用最新的S7-1214,本机上带有PR0FINET工业以太网通讯接 Π ;3、多功能面板ΗΜΙ,选用西门子的ΜΡ277,带有PR0FINET工业以太网通讯接口 ;4、变频器,选用ΜΜ440,带有DP通讯模板;5、管理计算机,选用西门子上位编程器PG,是工业等级的编程电脑,预装有微软的操作系统Windows XP,西门子的PLC编程软件STEP7V5. 4,西门子的HMI软件WinCC Flexible 2008,变频器的驱动控制软件Drive-ES ;6、服务器选用西门子工控机,装有西门子的组态软件WinCC V6. 0和域名解析软件,作为域名解析和数据在线监控、存储;7、赛远每个远程安全通讯模块SY-RSCM300,具有4个LAN 口,具有S-Link内置协议和VLAN功能,防火墙功能,路由交换功能;8、赛远远程安全接入软件SY-RCS,具有S-Link协议,和SY-RSCM300配套进行远程安全通讯连接,基于Windows XP;9、3G通讯模块,选用赛远的SY-3G,可以连接三种制式的3G网络;10、摄像头,选用具有以太网口的SY-CMR,工业等级,具有高分辨率的内置Web Server ;远程工业网络监控系统的方法如下1、将每个远程安全通讯模块SY-RSCM300配置动态域名,分配账号以及IP地址, DNS等相关参数。采用C/S模式,在远程PLC端的,作为客户端模式,在中控的管理计算机上,配置为服务器模式;启用S-Link功能,设置使用的密钥系统,收发对应的公钥和私钥系统;启用VLAN功能,设置对应的VLAN端口,指定进入和离开端口时是否过滤帧,指定端口发送帧是否需要VLAN TAG,设置动态IP解析;2、将S7-300 PLC主站和S7-300 PLC从站之间通过PR0FIBUS-DP连接,和变频器 MM440也通过PR0FIBUS连接;3、将摄像头SY-CMR和S7-300 PLC主站的IP设置为该SY-RSCM的合法地址段内,通过TCP/IP连接至B远程安全通讯模块SY-RSCM300 ;4、将该站的B远程安全通讯模块SY-RSCM300连接到互联网hternet ;5、将另外一个站的S7-300 PLC、S7-1200 PLC、多功能面板HMI的IP设置为该SY-RSCM的合法地址段内,通过工业以太网PR0FINET连接到B远程安全通讯模块 SY-RSCM300 ;6、将该站的B远程安全通讯模块SY-RSCM300,通过3G通讯模块SY-3G连接到互联网hternet,在不便于接有线互联网的工厂和户外,均可以实现方便的通讯;7、在管理计算机和服务器上安装远程接入软件SY-RCS ;8、将管理计算机和服务器的IP设置为该SY-RSCM的合法地址段内,通过TCP/IP 协议连接至A远程安全通讯模块SY-RSCM300 ;9、将该站的A远程安全通讯模块SY-RSCM300连接到互联网hternet ;10、打开管理计算机上的SY-RCS软件,在设置了动态域名和账号密码之后,即可建立和远程设备之间的连接,建立所有设备的VLAN网络;11、通过管理计算机上的PLC编程软件STEP7,可以实现对西门子的S7-300 PLC的远程程序上下载,在线监控和程序诊断;12、通过管理计算机上的HMI编程软件WinCC Flexible,可以实现对西门子的多功能面板MP277进行远程的程序上下载和诊断,对MP277上的存储介质进行读写参数;13、通过服务器上的组态软件WinCC,通过内置的S7-300的PLC驱动,可以对远程的S7-300的内部参数进行读写,达到远程数据在线存储和历史记录,并能在线的控制PLC 内部的数据区,存储器,输出的开关量和模拟量;14、通过服务器上的浏览器,键入摄像头的IP地址,首次浏览,下载摄像头驱动安装后,即可看到现场的实时情况;15、通过计算机上的PLC编程软件STEP7,可以通过远程通道建立连接到S7-300 PLC主站,再通过S7-300 PLC主站的PR0FIBUS-DP的路由功能,实现对S7-300 PLC从站的程序上下载、远程通讯和在线诊断;16、通过计算机上的PLC编程软件STEP7环境,以及嵌入在STEP7里面的 DRIVER-ES软件,通过远程通道建立连接到S7-300 PLC主站,再通过S7-300 PLC主站的 PR0FIBUS-DP的路由功能,实现对变频器MM440的参数在线监控;17、建立了 VLAN网络之后,在远程的多功能面板MP277可以通过远程通道和另外一个远程的S7-300进行通讯,读写参数;上述步骤就是基于S-Link和VLAN技术实现了 PLC程序级的远程工业网络监控系统,具有实时、安全和完整的特点。
权利要求1.一种基于S-Link和VLAN技术的远程工业网络监控的系统,其包括数据源主机与目标主机之间的数据包发送与接收,其特征是包括管理计算机、服务器、A远程安全通讯模块、B远程安全通讯模块、PLC主站、Internet互联网,其中管理计算机、服务器经以太网TCP/IP连接A远程安全通讯模块,该A远程安全通讯模块经S-Link协议连接hternet互联网,该Internet互联网经S-Link协议连接B远程安全通讯模块,该B远程安全通讯模块还分别连接PLC主站。
2.如权利要求1所述的基于S-Link和VLAN技术的远程工业网络监控的系统,其特征是所述的管理计算机和服务器经以太网TCP/IP接A远程安全通讯模块,该A远程安全通讯模块使用S-Link协议通过hternet互联网分别连接B远程安全通讯模块、3G通讯模块,其中B远程安全通讯模块分别连接摄像头、PLC主站,该PLC主站分别连接PLC从站、变频器,3G通讯模块经B远程安全通讯模块分别连接PLC主站、多功能面板HMI。
专利摘要一种基于S-Link和VLAN技术的远程工业网络监控的系统,包括管理计算机、服务器、远程安全通讯模块、PLC主站、Internet互联网,其中管理计算机、服务器经以太网TCP/IP连接远程安全通讯模块,该远程安全通讯模块经S-Link协议连接Internet互联网,该Internet互联网经S-Link协议连接远程安全通讯模块,该远程安全通讯模块还分别连接PLC主站。
文档编号G05B19/418GK202331135SQ20112040044
公开日2012年7月11日 申请日期2011年10月20日 优先权日2011年1月5日
发明者吴益宇, 李佳亮, 赵雪 申请人:深圳市赛远自动化系统有限公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1