引言
隨著科學技術的進步和生產的發展,工業自動化系統不僅包括各種自動化調節系統����、順序控制邏輯控制系統���、自動批處理控制系統���、聯鎖保護系統等,也包括生產裝置先進控制和優化,根據市場和生產狀態反饋所制定的生產計劃和調度排產系統���、生產管理系統和售后服務系統,涉及到產品生命周期的所有過程,為企業提供全面的解決方案��。
一般來講,工業企業綜合自動化系統由企業資源管理系統ERP��、生產執行系統MES和生產過程控制系統PCS等三大子系統組成,如圖1所示�。
其中,過程控制系統PCS(如DCS���、FCS�����、PLC��、IPC等)以整個生產過程為對象,對工業生產過程的信息��、數據進行及時的檢測和監視,并代替人工對工業生產過程進行自動控制��。
制造執行系統MES通過控制包括物料����、設備���、人員����、流程指令和設施在內的所有工廠資源來提高制造競爭力,提供一個統一平臺,系統地集成諸如質量控制��、文檔管理��、生產調度等功能���。通過MES,能夠根據實時生產管理信息調整生產,作出調度,并將有關資源利用和庫存情況的準確信息實時的提供給ERP系統,同時將生產目標及生產規范自動轉換為過程設定值,并反映到閥門��、泵等控制設備的參數設置���。MES在ERP與過程控制之間提供信息的轉換,是ERP和PCS之間的信息紐帶�����。
企業資源計劃系統ERP則負責生產計劃制定�����、庫存控制和財務管理,側重于企業生產組織�����、生產管理�、經營等方面的優化,使財務管理�����、銷售管理���、庫存管理�、采購管理�����、車間管理��、計劃管理�����、成本管理集成統一,保證企業安全��、穩定����、長期���、滿負荷���、優質生產�。
由此可見,要實現工業企業綜合自動化,必須從PCS�、MES到ERP等三個層次提供一體化的智能工廠整體解決方案�����。為此,企業首先建立完善的管控一體化網絡,實現各層次信息的有機集成,使各方面資源充分調配��、平衡和控制,最大限度地發揮其能力����;其次,必須形成市場����、經營���、生產和研發之間緊密的協作鏈,提高市場反應的敏捷性和產品轉型的靈活性,時刻保持產品高質量�、多樣化和領先性��;再次,必須實現企業生產制造資源與其它資源管理的一體化集成,實現生產現場在線設備動態管理,降低成本����。
工業控制網絡作為智能工廠的核心基礎,可分為管理層�����、制造執行層(或過程監控層)和現場設備層等三個層次��。
其中,最上層的管理層網絡,主要用于企業的計劃��、銷售���、庫存�����、財務�、人事以及企業的經營管理等方面信息的傳輸��。其特點是,數據報文通常都比較長,吞吐量較大,而且數據通信的發起是隨機的�����、無規則的,因此要求網絡必須具有較大的帶寬�。管理層層網絡主要由快速Ethernet(100M�����、1G����、10G等)組成�����。
中間的制造執行層網絡主要用于監控����、優化�����、調度等方面信息的傳輸,其特點是信息傳輸具有一定的周期性和實時性,數據吞吐量較大,因此要求網絡具有較大的帶寬,以前由專用網絡如令牌網組成,如今這一層網絡則主要由傳輸速率較高的網段(如10M����、100MEthernet等)組成�。
而最底層的現場設備層網絡,與變送器���、執行機構等現場設備相連,采集現場數據,并將控制數據送入設備��。其主要特點是,數據傳輸的及時性和系統響應的實時性�、可靠性等要求比較高�。一般認為,以太網由于采用了CSMA/CD介質訪問控制機制,其通信具有不確定性的特點,不適合作為現場設備層的網絡��。因此,這一層次的網絡目前主要由低速現場總線網絡(如FF�����、Profibus�、DeviceNet等)組成�����。
由此可以看出,作為一個綜合自動化系統,各個層次上的應用系統由于采用不同的網絡技術和網絡協議,無法實現真正的無縫信息集成�。用以太網統一各個網絡層次,已成為自動化技術發展和智能工廠建設的趨勢�����。
事實上,隨著以太網技術的發展,可以根據現場設備間通信特點,在以太網協議(ISO/IEC8802-3)基礎上增加一些改進措施,以太網完全可以用于現場總線�����。為此,在國家科技部“863”計劃的支持下,浙江大學�����、浙大中控���、中科院沈陽自動化研究所���、重慶郵電學院�����、大連理工大學�、清華大學等單位聯合成立了浙江中控技術股份有限公司總裁金建祥教授為組長的標準起草工作小組,經過兩年多的技術攻關,起草了我國每個擁有自主知識產權的現場總線國家標準《用于工業測量與控制系統的EPA通信標準》(以下簡稱《EPA標準》),使以太網直接應用于工業現場設備間的實時通信��。
1實時性
一方面,隨著以太網技術的發展,Ethernet的通信速率從10M����、100M到如今的1000M����、10G,在數據吞吐量相同的情況下,通信速率的提高意味著網絡負荷的減輕和網絡傳輸延時的減小,也就意味著網絡碰撞機率大大下降�。
另一方面,采用Ethernet交換技術和全雙工通信技術,可以使Ethernet交換機的各端口之間數據幀的輸入和輸出不再受CSMA/CD機制的約束,同時一對通信線纜上可分別同時接收和發送報文幀,從而避免了沖突,為以太網應用于現場設備間的通信提供了可能��。
另外,工業現場設備間的通信有著下列特殊性:
(1)信息長度較?��?�;
(2)周期與非周期信息同時存在,正常工作狀態下,周期性信息(如過程測量與控制信息�、監控信息等)較多,而非周期信息(如突發事件報警����、程序上下載等)較少�;
(3)信息流向的單一性較強,如測量信息由變送器向控制器傳送,控制信息由控制器向執行機構傳送,過程監控與突發信息由現場儀表向操作站傳送,程序下載由工程師站向現場儀表傳輸等��。
(4)工業現場設備向網絡上發送數據都遵循嚴格的時序�。
因此,在EPA系統中,將控制網絡劃分為若干個控制區域,每個控制區域即為一個微網段���。每個微網段通過EPA網橋與其他網段進行分隔,該微網段內EPA設備間的通信被限制在本控制區域內進行,而不會占用其他網段的帶寬資源�����。
處于不同微網段內的EPA設備間的通信,需由相應的EPA網橋進行轉發控制�。EPA網橋至少有兩個EPA接口,當它需要轉發報文時,首先檢查報文中的源IP地址與目的IP地址��、EPA服務標識等信息,以確認是否需要轉發,并確定報文轉發路徑��。因此,任何廣播報文的轉發也將受到控制,而不會發生采用一般交換機所出現的廣播風爆��。
而連接在每個微網段的EPA設備,通過其內置的通信棧軟件,分時向網絡上發送報文,以避免兩個設備在同一時刻向網絡上同時發送數據,避免報文碰撞,用戶可以預知其發出的信息在可預知的時間內到達目的站點�。
2分層的網絡安全控制策略
EPA作為一個開放系統,其潛在的安全風險是不可避免的��。因此,在《EPA標準》中,增加了網絡安全應用導則,通過必要的安全措施和工具,以保證在這個開放的環境中能夠安全地操作,保護內部的系統���、資源和正常的生產秩序�����。
EPA安全主要解決EPA控制網絡內部資源與數據通信的安全性問題,以保障系統正常的運行,或在受到攻擊時能夠迅速地發現并采取相應的安全措施,使系統的安全損失減少到最小�。并在受到攻擊后能夠迅速地恢復����。
一般來說,現場層網絡上的設備資源有限�、實時性要求高�;監控層網絡上的設備具有較豐富的資源和較高的實時性要求�����;而管理層網絡上的設備則資源豐富��、而實時性則不是主要要求�����。
因此,在組建EPA控制網絡時,要在明確本控制網絡的業務定位�����、提供的服務類型和提供的服務對象的基礎上,根據EPA網絡系統面臨的安全風險及其出現的層次和可能受到的攻擊類型,分級實施不同的安全策略和措施�。主要包括以下內容:
(1)對各種服務進行正確描述和劃定安全等級�����。
(2)根據服務功能劃分,確定網絡拓撲��、隔離手段���、依賴和信任關系����。
(3)設備和數據的物理安全及其保障措施�����。
(4)網絡安全管理職能的分割與責任分擔��。
(5)用戶的權利分級和責任���。
(6)擊和入侵的應急處理流程和災難恢復計劃�����。
(7)口令安全管理��。包括口令的選擇�����、保存�����、更改周期���、定期檢查��、保密等�����。
EPA系統中,根據組網方案和應用層次的不同,根據系統拓撲結構(如圖2所示)的三個應用層次采取不同的安全技術措施�。
其中,EPA網橋實現訪問控制�、操作授權����、報文過濾(包括IP����、端口��、EPA報文標識)����、流量控制��、網段劃分����;EPA代理實現報文過濾(包括IP�、端口�、EPA報文標識)��、流量控制��、轉發控制����、時間戳控制���;防火墻與防病毒網關采用VLAN�、VPN或防火墻等技術手段,實現訪問控制����、報文過濾���、時間戳控制����、網絡安全漏洞掃描����、網絡入侵檢測����、網絡防病毒����、備份與恢復等����;無線EPA接入點:無線局域網或藍牙接入點�����、無線局域網或藍牙網關����。而在EPA設備中,則通過定義網絡安全管理功能塊,對入侵的非法訪問和非法數據進行安全過濾����。