基于VPN技術(shù)的SCADA系統(tǒng)

劉 鵬，吳海峰，李 冰，陳 澤，孫 鑫

（航天長征化學工程股份有限公司，北京 101111）

隨著計算機技術(shù)和現(xiàn)代通信技術(shù)的迅速發(fā)展，SCADA系統(tǒng)的重要性正在逐漸被人們所認識和重視。該系統(tǒng)可以使企業(yè)決策層在第一時間及時、準確地掌握生產(chǎn)第一線的情況。但是，基于Internet的遠程SCADA系統(tǒng)實現(xiàn)信息資源的極大共享和便利的同時，也存在著安全隱患。為了解決數(shù)據(jù)傳輸過程中的安全性和可靠性問題，本文結(jié)合項目需求，采用VPN技術(shù)建立了SCADA系統(tǒng)，解決了遠程用戶、分公司與總公司的數(shù)據(jù)采集和傳輸?shù)膯栴}，保證了系統(tǒng)的安全連接和數(shù)據(jù)的可靠傳輸。通過該系統(tǒng)，可以把DCS作為SCADA系統(tǒng)的從站，通過工業(yè)以太網(wǎng)從DCS數(shù)據(jù)庫中采集數(shù)據(jù)，然后通過VPN發(fā)送到遠程數(shù)據(jù)中心，最后通過上位機可隨時監(jiān)測和跟蹤各裝置的運行狀態(tài)和運行數(shù)據(jù)[1]。

1 SCADA系統(tǒng)概述

SCADA（supervisory control and data acquisition）系統(tǒng)[2]，即數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)。SCADA系統(tǒng)是以計算機為基礎的DCS監(jiān)控系統(tǒng)；它應用領域很廣，可以應用于電力、冶金、石油、化工等領域的數(shù)據(jù)采集與監(jiān)視控制以及過程控制。不同的應用領域?qū)CADA系統(tǒng)要求也不同，所以各SCADA系統(tǒng)發(fā)展也不完全相同。在流程控制領域中，SCADA系統(tǒng)應用最為廣泛，技術(shù)發(fā)展也最為成熟。SCADA系統(tǒng)結(jié)構(gòu)圖如圖1所示。

圖1 SCADA系統(tǒng)的組成結(jié)構(gòu)Fig.1 Structure of the SCADA system

在此系統(tǒng)中，上位機側(cè)重監(jiān)控功能。上位機系統(tǒng)通常包括SCADA服務器、工程師、WEB服務器等，這些設備通常采用以太網(wǎng)聯(lián)網(wǎng)。實際的SCADA系統(tǒng)上位機系統(tǒng)到底如何配置還是根據(jù)系統(tǒng)規(guī)模和要求而定。根據(jù)安全性要求，上位機系統(tǒng)還可實現(xiàn)冗余，即配置2臺SCADA服務器，當1臺出現(xiàn)故障時，系統(tǒng)自動切換到另外一臺工作。

下位機側(cè)重于數(shù)據(jù)采集功能。下位機配置各種輸入設備（DI、AI等）進行數(shù)據(jù)采集。下位機接收上位機的監(jiān)控，并且向上位機傳輸各種現(xiàn)場數(shù)據(jù)。通信網(wǎng)絡實現(xiàn)上、下位機數(shù)據(jù)交換。通信網(wǎng)絡實現(xiàn)SCADA系統(tǒng)的數(shù)據(jù)通信，是SCADA系統(tǒng)的重要組成部分。與一般的過程監(jiān)控相比，通信網(wǎng)絡在SCADA系統(tǒng)中扮演的作用更為重要，這主要因為SCADA系統(tǒng)監(jiān)控的過程大多具有地理分散的特點，如各子公司、分公司的數(shù)據(jù)采集和監(jiān)控等。

2 遠程數(shù)據(jù)采集和監(jiān)控系統(tǒng)的構(gòu)成

遠程數(shù)據(jù)傳輸主要包括基于有線的遠程數(shù)據(jù)傳輸和基于無線的遠程數(shù)據(jù)傳輸。隨著網(wǎng)絡帶寬的發(fā)展和穩(wěn)定性提高，通過網(wǎng)絡進行遠程數(shù)據(jù)傳輸越來越現(xiàn)實和可行，而且也越來越得到廣泛應用。尤其是基于VPN的遠程數(shù)據(jù)采集技術(shù)越來越得到生產(chǎn)企業(yè)的廣泛應用。VPN技術(shù)指的是利用開放的公用網(wǎng)絡（指Internet）作為用戶信息傳輸?shù)拿襟w，通過隧道封裝、信息加密、用戶認證和訪問控制等安全技術(shù)實現(xiàn)對信息傳輸過程的安全保護，從而向用戶提供類似專用網(wǎng)絡的安全性能[3-4]。

本項目的重點內(nèi)容是通過VPN技術(shù)建設一個SCADA系統(tǒng)，通過該系統(tǒng)，可以實現(xiàn)在北京的數(shù)據(jù)中心對生產(chǎn)現(xiàn)場的數(shù)據(jù)進行遠程監(jiān)視和數(shù)據(jù)分析優(yōu)化。通過遠程數(shù)據(jù)采集系統(tǒng)可以實現(xiàn)對生產(chǎn)現(xiàn)場數(shù)據(jù)進行統(tǒng)一實時采集，通過網(wǎng)絡傳輸，把收集到的數(shù)據(jù)存儲到實時數(shù)據(jù)庫中，進行集成管理和處理，以流程監(jiān)控、報警、報表、查詢等方式，使自控、工藝部門和相關領導可以在辦公室或遠程也能夠確切掌握實際生產(chǎn)狀況，充分掌握儀表、設備使用情況。

本文中的遠程數(shù)據(jù)采集及傳輸系統(tǒng)結(jié)構(gòu)由遠程數(shù)據(jù)采集、VPN數(shù)據(jù)傳輸和遠程數(shù)據(jù)顯示分析3大模塊構(gòu)成。遠程終端是由現(xiàn)場檢測儀表、DCS數(shù)據(jù)服務器、智能隔離網(wǎng)閘、現(xiàn)場數(shù)據(jù)采集服務器所組成的數(shù)據(jù)采集系統(tǒng)。數(shù)據(jù)傳輸和通訊網(wǎng)絡采用IPsec VPN和SSL VPN 2種技術(shù)相結(jié)合的網(wǎng)絡進行，是現(xiàn)場數(shù)據(jù)采集站與數(shù)據(jù)監(jiān)控中心之間數(shù)據(jù)傳輸?shù)臉蛄海瑪?shù)據(jù)服務器將終端收集的數(shù)據(jù)按照VPN網(wǎng)絡傳送到遠程數(shù)據(jù)監(jiān)控中心的數(shù)據(jù)服務器計中。遠程數(shù)據(jù)采集和傳輸系統(tǒng)的結(jié)構(gòu)圖如圖2所示。

圖2 遠程數(shù)據(jù)采集和傳輸系統(tǒng)的組成結(jié)構(gòu)Fig.2 Structure of the data acquisition and transmission system

2.1 現(xiàn)場裝置數(shù)據(jù)的采集

通過DCS將現(xiàn)場各種檢測儀表的運行參數(shù)采集到DCS服務器的數(shù)據(jù)庫中。DCS數(shù)據(jù)庫中的數(shù)據(jù)通過智能隔離網(wǎng)閘將數(shù)據(jù)單向傳輸?shù)浆F(xiàn)場的數(shù)據(jù)轉(zhuǎn)發(fā)服務器中。數(shù)據(jù)轉(zhuǎn)發(fā)服務器通過IPsec VPN網(wǎng)絡將實時數(shù)據(jù)通過聯(lián)通的寬帶網(wǎng)絡傳輸至北京的數(shù)據(jù)中心。北京的數(shù)據(jù)中心只是通過遠程數(shù)據(jù)采集和監(jiān)控系統(tǒng)對現(xiàn)場裝置的生產(chǎn)過程和生產(chǎn)工藝數(shù)據(jù)進行監(jiān)視，但不進行操作。在進行遠程數(shù)據(jù)采集和傳輸過程中，由于擔心控制網(wǎng)被攻擊，SCADA系統(tǒng)要求將控制網(wǎng)和管理網(wǎng)絡完全隔離，只允許DCS控制網(wǎng)絡中采集的數(shù)據(jù)流向管理網(wǎng)，不容許任何管理網(wǎng)絡中的數(shù)據(jù)返回到控制網(wǎng)絡。考慮到本項目的特殊性，采用智能單向隔離網(wǎng)閘進行數(shù)據(jù)采集，隔離網(wǎng)閘集成了針對不同DCS系統(tǒng)設計的數(shù)據(jù)采集程序，負責從各個DCS中采集數(shù)據(jù)，同時以硬隔離的方式實現(xiàn)對控制系統(tǒng)的安全防護，把現(xiàn)場數(shù)據(jù)送到實時數(shù)據(jù)庫中。從技術(shù)上大幅提高系統(tǒng)的安全性，智能單向隔離網(wǎng)閘工作原理如圖3所示。

圖3 智能隔離網(wǎng)閘工作原理Fig.3 Principle of the intelligent gateway

隔離網(wǎng)閘Gateway內(nèi)置2臺主機，從主機1到主機2是絕對單向物理隔離電路，從物理層進行了隔離，信息只能從主機1單向傳輸?shù)街鳈C2，從根本上杜絕了病毒和惡意攻擊。該設備具體工作流程如下：主機1的一個以太網(wǎng)口連接DCS系統(tǒng)，主機1運行OPC2數(shù)采程序，OPC2數(shù)采通過OPC協(xié)議從DCS系統(tǒng)獲取的實時數(shù)據(jù)發(fā)送到絕對單向物理隔離電路上，如果DCS系統(tǒng)沒有OPC Server軟件，則可在主機1上安裝一套該DCS系統(tǒng)的OPC Server軟件，主機1和DCS系統(tǒng)之間可通過TCP/IP進行通訊。主機2的一個以太網(wǎng)口連接實時數(shù)據(jù)庫服務器，主機2運行OPC4、CIM-IO For OPC 2個程序，OPC4從絕對單向物理隔離電路上接收到從主機1發(fā)送來的DCS系統(tǒng)實時數(shù)據(jù)，包裝成OPC Server，CIM-IO For OPC將OPC4中的實時數(shù)據(jù)通過網(wǎng)絡傳輸，并且寫入實時數(shù)據(jù)庫服務器中。

該設備的控制系統(tǒng)側(cè)采集山東瑞星現(xiàn)場DCS控制系統(tǒng)中的實時數(shù)據(jù)，將DCS實時數(shù)據(jù)通過絕對單向物理隔離傳輸?shù)焦芾硇畔⑾到y(tǒng)側(cè)，重新包裝成OPCServer，將DCS實時數(shù)據(jù)提供給SCADA實時數(shù)據(jù)庫系統(tǒng)。該設備為雙主機系統(tǒng)，采用專利網(wǎng)絡隔離技術(shù)，從物理層徹底隔斷外網(wǎng)與DCS網(wǎng)絡的連接，保證了DCS等控制系統(tǒng)的安全。

2.2 現(xiàn)場裝置與數(shù)據(jù)中心的數(shù)據(jù)傳輸

通過分析和對比幾種數(shù)據(jù)傳輸方式的優(yōu)劣點，結(jié)合項目的特點，采用基于VPN的有線網(wǎng)絡傳輸方式進行數(shù)據(jù)的遠程傳輸。IPsecVPN和SSLVPN是目前2種主流的VPN技術(shù)。在構(gòu)建VPN網(wǎng)絡時，必須首先充分了解這2種技術(shù)的原理以及各自的適用情況，才能做出正確的選擇[4]。

（1）IPSec VPN

IPSec（IPSeucriyt）在過去幾年來一直是受歡迎的技術(shù)，提供站點間以及遠程訪問的安全聯(lián)機，是一種成熟的標準，其特點如下。安全性：IPSec提供3種不同的形式來保護通過公有或私有IP網(wǎng)絡傳送的數(shù)據(jù)，可以確定所接受的數(shù)據(jù)與所發(fā)送的數(shù)據(jù)是一致的，同時可以確定申請發(fā)送者是真實發(fā)送者，而不是偽裝的；數(shù)據(jù)完整：保證數(shù)據(jù)從原發(fā)地到目的地的傳送過程中沒有任何不可檢測的數(shù)據(jù)丟失與改變；機密性：使相應的接收者能獲取發(fā)送的真正內(nèi)容，而無意獲取數(shù)據(jù)的接收者無法獲知數(shù)據(jù)的真正內(nèi)容。

（2）SSL VPN

SSL指的是以HTTPS（以SSL為基礎的HTTP）為基礎的VPN技術(shù)。SSL協(xié)議是基于WEB應用的安全協(xié)議，它包括：服務器認證、客戶認證（可選）、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性。對于內(nèi)、外部應用來說，使用SSL可保證信息的真實性、完整性和保密性。目前SSL協(xié)議被廣泛應用于各種瀏覽器應用，也可以應用于Outlook等使用TCP協(xié)議傳輸數(shù)據(jù)的C/S應用。正因為SSL協(xié)議被內(nèi)置于IE等瀏覽器中，使用SSL協(xié)議進行認證和數(shù)據(jù)加密的VPN就可免于安裝客戶端。

因此根據(jù)網(wǎng)絡需求和網(wǎng)絡特點，瑞星裝置現(xiàn)場側(cè)的數(shù)據(jù)傳輸采用IPSec技術(shù)VPN，選用深信服的VPN-1200網(wǎng)關機，數(shù)據(jù)的安全性能得到保證。而北京數(shù)據(jù)中心由于有很多上位機需要通過WEB應用的方式去訪問和處理遠程傳輸過來的數(shù)據(jù)，所以采用基于SSL技術(shù)的VPN，選用深信服VPN-2050網(wǎng)關。2種VPN相結(jié)合，可滿足不同功能的需要，構(gòu)建合理的傳輸網(wǎng)絡。數(shù)據(jù)傳輸網(wǎng)絡圖如圖4所示。

2.3 數(shù)據(jù)接收和處理系統(tǒng)

北京數(shù)據(jù)中心的上位機系統(tǒng)采用基于WEB方式的智能化管理和監(jiān)控平臺對遠程接收的數(shù)據(jù)進行分析和處理，這種（B/S）體系結(jié)構(gòu)的主要特點是集中管理，也就是說軟件程序、數(shù)據(jù)庫以及其他一些組件都集中在服務器端，保證了數(shù)據(jù)的一致性、及時性和完整性。采用基于B/S架構(gòu)的3層體系結(jié)構(gòu)，分別為數(shù)據(jù)采集接口層、數(shù)據(jù)服務管理層和客戶應用層。通過本平臺可以為所有在線的生產(chǎn)過程系統(tǒng)、數(shù)據(jù)分析系統(tǒng)及基于WEB的可視化組件提供全面系統(tǒng)的集成。數(shù)據(jù)處理和分析結(jié)構(gòu)如圖5所示[5]。

圖4 數(shù)據(jù)傳輸網(wǎng)絡Fig.4 Network of the data transmission

圖5 數(shù)據(jù)處理和分析功能Fig.5 Function diagram of the data processing and analysing

上位機系統(tǒng)中的實時數(shù)據(jù)庫系統(tǒng)是SCADA系統(tǒng)的中樞，是管理信息系統(tǒng)和自動控制系統(tǒng)之間的橋梁，可以對生產(chǎn)數(shù)據(jù)通過立體流程圖、報表等方式進行全面實時監(jiān)控，可以給管理信息系統(tǒng)提供生產(chǎn)實時數(shù)據(jù)，也可以為企業(yè)各個角色提供各自所關心的關鍵指標，比如企業(yè)生產(chǎn)負責人可以了解生產(chǎn)數(shù)據(jù)的統(tǒng)計，以及重大生產(chǎn)事件的信息；可以進行工藝參數(shù)分析，改進工藝，提高生產(chǎn)效率；生產(chǎn)調(diào)度可以瀏覽整個生產(chǎn)流程，自動生成調(diào)度報表；車間儀表和工藝技術(shù)員則可以瀏覽各自車間的生產(chǎn)流程，自動生成生產(chǎn)報表，監(jiān)控設備運轉(zhuǎn)情況。通過實時數(shù)據(jù)庫可集成 MES、DMS、ERP、MIS、模擬與優(yōu)化等應用程序，在業(yè)務管理和實時生產(chǎn)之間起到橋梁作用，實現(xiàn)企業(yè)數(shù)字化管理。

3 結(jié)語

基于VPN技術(shù)的SCADA系統(tǒng)，利用DCS和數(shù)據(jù)采集服務器的數(shù)據(jù)庫，通過VPN技術(shù)的寬帶網(wǎng)絡，完成了遠程數(shù)據(jù)采集和監(jiān)控系統(tǒng)的開發(fā)和調(diào)試。解決了航天粉煤氣化裝置與公司數(shù)據(jù)中心之間數(shù)據(jù)傳輸?shù)陌踩珕栴}，實現(xiàn)了生產(chǎn)過程的信息資源共享。在公司的數(shù)據(jù)中心通過實時數(shù)據(jù)庫軟件登陸指定服務器，就可觀察到項目現(xiàn)場裝置的流程畫面，實時采集和處理現(xiàn)場數(shù)據(jù)，并對數(shù)據(jù)進行在線分析和處理，從而實現(xiàn)了北京數(shù)據(jù)中心對各生產(chǎn)裝置的在線遠程監(jiān)控和在線數(shù)據(jù)傳輸。

[1] 劉鋒光.基于VPN的水電站遠程監(jiān)控系統(tǒng)的研究與應用[D].浙江：浙江工業(yè)大學，2005.

[2] 王華忠.監(jiān)控與數(shù)據(jù)采集（SCADA）系統(tǒng)及其應用[M].北京：電子工業(yè)出版社，2012.

[3] 何莉.企業(yè)分支機構(gòu)VPN解決方案的設計與實現(xiàn)[C]//創(chuàng)新型煤炭企業(yè)發(fā)展與信息化高峰論壇論文集，2010.

[4] 韓橋良.淺析VPN技術(shù)及在油田企業(yè)中的應用[J].內(nèi)蒙古石油化工，2009（7）：115-116.

[5] 吳鋒，李成鐵，何風行，等.基于Web技術(shù)的遠程監(jiān)控系統(tǒng)研究[J].儀器儀表學報，2005（z2）：241-243.