基于Internet的PLC遠程在線訪問實訓室的構建

張迎輝 杜 江

深圳職業技術學院 廣東深圳 518055

基于Internet的PLC遠程在線訪問實訓室的構建

張迎輝 杜 江

深圳職業技術學院 廣東深圳 518055

介紹了基于Internet技術的PLC遠程在線訪問實訓室的構建。該實訓室采用工業通訊模塊，依托Siemens PLC強大的通訊能力，通過Internet進行數據傳送，真正實現了遠程PLC的在線訪問。該系統可通過遠程PC對實訓室中PLC機進行訪問，完成上下載程序、在線診斷、在線監控等工作；并可以通過視頻直接觀察PLC動作，判斷設備動作是否正確。介紹了該實訓系統的網絡拓撲圖、各項功能和數據安全通信方法。

工業通訊；PLC；遠程在線訪問；數據通信安全

隨著高職教育的發展，急需一種能通過遠程在線訪問，進行PLC操作訓練的實訓平臺，該平臺可使學員在遠程通過Internet訪問PLC實訓室，并完成PLC程序的編制、遠程上下載，遠程在線診斷和遠程在線修正程序等工作；還可通過攝像頭實時觀察到PLC和實訓設備的工作情況。真正實現上述功能的遠程操作實訓平臺尚未見報道。構建這類實訓平臺，需解決工業數據遠程傳輸方式和數據傳送安全等問題。該項目通過研發工業通訊模塊，結合西門子PLC的通訊功能，很好地解決了上述難題，為PLC遠程在線實訓提供了可借鑒的成功經驗。

1 遠程在線訪問系統的組成和功能

PLC遠程在線訪問系統的組成如圖1所示：主要由PLC、受控對象、現場攝像頭、遠程通訊模塊和遠程訪問計算機組成。

圖1 遠程在線訪問系統拓撲圖

系統通過兩端的遠程安全通訊模塊SY-RSCM(內置S-link安全連接協議)，建立起了遠端和本地PLC之間的虛擬局域網VLAN通道。為滿足不同要求，系統分別采用西門子S7-224XP和支持工業實時以太網(Profinet)的S7-1200 PLC各一套。S7-224XP具有2個通訊接口，本身沒有以太網接口，為此增配了一個CP243-1的以太網模塊。而西門子S7-1200 PLC，可直接利用以太網作為編程和通訊接口。

受控對象：受控對象(如氣動機械手)可通過PLC的以太網通訊接口與遠端計算機連接，實現計算機對控制對象的操控、管理、實時數據采集、診斷和上下載編程等操作。遠程訪問者可直接對PLC進行參數和程序的修改。

攝像頭：采用具有以太網接口的攝像頭，在分配IP后,可連接到遠程通訊模塊,對現場進行遠程監視。

遠程模塊安全通訊模塊，該模塊具有交換，路由，防火墻、安全網關和VLAN等功能，用以建立可編程控制器、攝像頭等設備與遠程主機之間的虛擬專用網絡(VLAN)通道；可以實現100Mbps的工業網絡數據傳輸。

管理計算機：裝有Windows XP操作系統、西門子PLC編程軟件。網絡還可由多臺管理計算機和服務器同時對多個遠程通訊模塊下的可編程控制器等進行訪問。

2 系統中控制數據的安全傳送

該項目實現的主要難點在于，如何將PLC端的數據傳到另一個遠端計算機中及數據的安全傳送方式。

常規通信方式中,客戶端找固定IP(如服務器)較為方便。而該系統中因兩端都是動態變化的IP,則須通過一個IP解析服務器進行IP解析。方案中,為保證解析的穩定性,IP連接域名的解析由專門搭建的域名解析工作站完成,沒有使用免費的IP解析。IP地址需進行統一規劃,PLC的地址、攝像頭的地址都要處于同一網段上。

在Internet傳送數據可能存在安全隱患。該項目欲通過Internet進行工業自動化系統的數據遠程通訊，因此傳送中的安全保障是非常重要的。筆者采用了以下幾種方法進行數據安全處理。

(1)通過虛擬專用網絡(VLAN)過濾和檢查數據通訊。

(2)在受保護的自動化單元中進行分段。遠程通訊模塊具有防火墻功能，用于保護網絡節點。一組受保護的設備構成一個受保護的自動化單元，只有來自同一組的安全通訊模塊或它們正在保護的設備才可互相交換數據。

(3)節點的認證(標識)，使用認證過程在安全(加密)通道上互相標識，因此，未經授權的實體無法訪問受保護的網段。

(4)對數據通訊進行加密，通過對數據通訊進行加密來確保數據的機密性，為每個安全通訊模塊提供一個包含加密密鑰的VLAN證書。

該系統采用的賽遠S-link網絡安全傳輸協議，是數據安全中最重要的一個環節。S-link通過軟件的高級加密形式對IP報文封裝，以實現TCP/IP網絡上數據的安全傳送。S-link屬于OSI模型的第三層協議即網絡層協議，提供了認證和加密(包括對控制報文和傳輸中的數據加密)，是一種完整的安全解決方案。S-link安全體系結構如圖2所示：

圖2 S-link安全體系結構

該協議綜合了密碼技術和協議安全機制，目的是在IPV4環境中為網絡層流量提供靈活的安全服務。其提供的安全服務包括：訪問控制、數據源鑒別、重傳攻擊保護、機密性、有限流量保密等。

S-link協議為IPsec協議，綜合了密碼技術和協議安全機制，在IPV4和IPV6環境中，為網絡層流量提供驗證頭(AH)和封裝安全載荷(ESP)2種安全服務。AH提供數據完整性和數據認證，ESP提供數據的保密和加密。AH和ESP的數據封裝格式如圖3所示。

圖3 S-link傳輸協議下的AH、ESP數據封裝格式

3 結束語

PLC操作訓練實訓平臺已穩定運行半年,達到了預期效果,受到了學員及來校參觀同行的好評。PLC遠程在線訪問系統的特點在于用戶無需高深的計算機水平,即可完成系統的構建,實現了安全的遠程數據傳輸。其中SY-RSCM模塊和內置的S-link安全連接協議是對通訊方便的西門子產品的一個有益補充。該實訓平臺所采用的遠程技術,也同樣可以用于生產設備的遠程在線訪問和調試,對提高設備維修快速響應能力,有著十分積極的推動作用。

[1] 崔堅.西門子工業網絡通信指南[M].北京：機械工業出版社，2006

[2] 喬曉琳.基于IPSec VPN應用研究[J].電腦知識與技術，2010，6(5)：1072～1074

The construction of remote online access to PLC laboratory based on internet

Zhang Yinghui, Du Jiang
Shenzhen polytechnic, Shenzhen, 518055, China

This paper describes the construction of remote online access to PLC laboratory based on internet. The laboratory applies industrial communication modules, relay on the powerful communications capabilities of Siemens PLC, transfer data by the internet. The PLC of the laboratory can be accessed by remote PC. The remote PC possible upload and download PLC program, online diagnosis, online monitoring,etc; and directly observed action of PLC by video, determine equipment movement is whether correct or error. The paper introduces the network topology, various functions and data security communication method of the system.

industrial communication; PLC; remote online access; data security transmission

2010-11-19 稿件編號：1011095

張迎輝，碩士，副教授，主任。