網路構成,相關協定,總體概述,HSE,Modbus,ProflNet,Ethernet,網路優勢,重要性能,技術特點,網路套用,通訊標準,通信功能,自動化領域,結束語,系統組成,系統分類,具體設備,套用安全,概述,特點,要求,問題分析,用戶利益,影響因素,公司通訊,
網路構成 -一個典型的工業乙太網絡環境,有以下三類網路器件:
FC 快速連線插座
ELS(工業乙太網電氣交換機)
MC TP11(工業乙太網光纖電氣轉換模組)
通信介質
普通雙絞線,工業禁止雙絞線和光纖
PLC控制器上的工業乙太網通訊
處理器 。用於將PLC連線到工業乙太網。
PG/PC 上的工業乙太網通訊處理器。用於將PG/PC連線到工業乙太網。
相關協定 總體概述 當乙太網用於信息技術時,套用層包括HT-TP、FTP、SNMP等常用協定,但當它用於工業控制時,體現在套用層的是實時通信、用於系統組態的對象以及工程模型的套用協定,至21世紀,還沒有統一的套用層協定,但受到廣泛支持並已經開發出相應產品的有4種主要協定:HSE 、Modbus TCP/IP 、ProfINet 、Ethernet/IP 。
HSE 基金會
現場匯流排 FF於2000年發布Ethernet規範,稱HSE(High Speed Ethernet)。HSE是乙太網協定IEEE802.3,TCP/IP協定族與FFIll的結合體。FF現場匯流排基金會明確將HSE定位於實現控制網 絡與Internet的集成。
HSE技術的一個核心部分就是連結設備,它是HSE體系結構將Hl(31.25kb/s)設備連線 100Mb/s的HSE主幹網的關鍵組成部分,同時也具有網橋和網關的功能。網橋功能能夠用於連線多個H1匯流排網段,使同H1網段上的H1設備之間能夠進 行對等通信而無需主機系統的干涉;
網關功能允許將HSE網路連線到其他的工廠控制網路和信息網路,HSE連結設備不需要為H1子系統作報文解釋,而是將來自H1匯流排網段的報文數據集合起來並且將Hl地址轉化為IP位址。
Modbus Modbus TCP/IP
該協定由施耐德公司推出,以一種非常簡單的方式將Modbus幀嵌入到TCP幀中,使Modbus與乙太網和TCP/IP結合,成為Modbus TCP/IP。這是一種面向連線的方式,每一個呼叫都要求一個應答,這種呼叫/應答的機制與Modbus的主/從機制相互配合,使交換式乙太網具有很高的 確定性,利用TCP/IP協定,通過網頁的形式可以使用戶界面更加友好。
利用網路瀏覽器便查看企業網內部設備運行情況。施耐德公司已經為Mod-bus註冊了502連線埠,這樣就可以將實時數據嵌人到網頁中,通過在設備中嵌入Web伺服器,就可以將Web瀏覽器作為設備的操作終端。
ProflNet 針對工業套用需求,德國西門子於2001年發布了該協定,它是將原有的Profibus與網際網路技術結合,形成了ProfiNet的網路方案,主要包括:
基於組件對象模型(COM)的分散式自動化系統;
規定了ProfiNet現場匯流排和標準乙太網之間的開放、透明通信;
提供了一個獨立於製造商,包括設備層和系統層的系統模型。
ProfiNet採用標準TCP/IP十乙太網作為連線介質,採用標準TCP/IP協定加上套用層的RPC/DCOM來完成節點間的通信和網路定址。它可以同時掛接傳統Profibus系統和新型的智慧型現場設備。
現有的Profibus網段可以通過一個代理設備(proxy)連線到ProfiNet網路當中,使整Profibus設備和協定能夠原封不動地在 Pet中使用。傳統的Profibus設備可通過代理proxy與ProFiNET上面的COM對象進行通信,並通過OLE自動化接口實現COM對象間的 調用。
Ethernet Ethernet/IP
Ethernet/IP是適合工業環境套用的協定體系。它是由ODVA(Open Devicenet Vendors Asso-cation)和Control Net International兩大工業組織推出的最新成員與Device Net和Control Net一樣,它們都是基於CIP(Controland Information Proto-Col)協定的網路。它是一種是面向對象的協定,能夠保證網路上隱式(控制)的實時I/O信息和顯式信息(包括用於組態、參數設定、診斷等) 的有效傳輸。
Ethernet/IP採用和Devicenet以及ControlNet相同的套用層協定CIP。因此,它們使用相同的 對象庫和一致的行業規範,具有較好的一致性。Ethernet/IP採用標準的Ethernet和TCP/IP技術傳送CIP通信包,這樣通用且開放的應 用層協定CIP加上已經被廣泛使用的Ethernet和TCP/IP協定,就構成Ethernet/IP協定的體系結構。
網路優勢 工業乙太網是套用於工業控制領域的
乙太網技術 ,在技術上與商用乙太網(即IEEE 802.3標準)兼容,但是實際產品和套用卻又完全不同。這主要表現普通商用乙太網的產品設計時,在材質的選用、產品的強度、適用性以及實時性、可
互操作性 、可靠性、抗干擾性、本質安全性等方面不能滿足工業現場的需要。故在工業現場控制套用的是與商用乙太網不同的工業乙太網。然而工業乙太網的優勢在哪裡呢?
一、套用廣泛
乙太網是套用最廣泛的
計算機網路技術 ,幾乎所有的程式語言如Visual C++、Java、VisualBasic等都支持乙太網的套用開發。
二、通信速率高
10、100 Mb/s的快速乙太網已開始廣泛套用,1Gb/s
乙太網技術 也逐漸成熟,而傳統的
現場匯流排 最高速率只有12Mb/s(如西門子Profibus-DP)。顯然,乙太網的速率要比傳統現場匯流排要快的多,完全可以滿足工業控制網路不斷增長的
頻寬 要求。
三、資源共享能力強
隨著Internet/ Intranet的發展,乙太網已滲透到各個角落,網路上的用戶已解除了資源地理位置上的束縛,在聯入網際網路的任何一台計算機上就能瀏覽工業控制現場的數據,實現“控管一體化”,這是其他任何一種現場匯流排都無法比擬的。
四、可持續發展潛力大
乙太網的引入將為控制系統的後續發展提供可能性,用戶在技術升級方面無需獨自的研究投入,對於這一點,任何現有的
現場匯流排 技術都是無法比擬的。同時,機器人技術、智慧型技術的發展都要求通信網路具有更高的
頻寬 和性能,通信協定有更高的靈活性,這些要求乙太網都能很好地滿足。
重要性能 為了套用於嚴酷的工業環境,確保工業套用的安全可靠,SIMATIC NET 為
乙太網技術 補充了不少重要的性能:
10/100M 自適應傳輸速率
冗餘24VDC 供電
簡單的機櫃導軌安裝
用於嚴酷環境的網路元件,通過EMC 測試
通過帶有RJ45 技術、工業級的Sub-D 連線技術和安裝專用禁止電纜的Fast Connect連線技術,確保現場電纜安裝工作的快速進行
簡單高效的信號裝置不斷地監視網路元件
可使用基於web 的網路管理
技術特點 工業乙太網技術具有價格低廉、穩定可靠、通信速率高、軟硬體產品豐富、套用廣泛以及支持技術成熟等優點,已成為最受歡迎的通信網路之一。近些年來,隨著網路技術的發展,乙太網進入了控制領域,形成了新型的乙太網控制網路技術。這主要是由於工業自動化系統向分布化、智慧型化控制方面發展,開放的、透明的通訊協定是必然的要求。乙太網技術引入工業控制領域,其技術優勢非常明顯:
(一)Ethernet是全開放、全數位化的網路,遵照網路協定不同廠商的設備可以很容易實現互聯。
(二)乙太網能實現工業控制網路與企業信息網路的無縫連線,形成企業級管控一體化的全開放網路。
(三)軟硬體成本低廉,由於乙太網技術已經非常成熟,支持乙太網的軟硬體受到廠商的高度重視和廣泛支持,有多種軟體開發環境和硬體設備供用戶選擇。
(四)通信速率高,隨著企業信息系統規模的擴大和複雜程度的提高,對信息量的需求也越來越大,有時甚至需要音頻、視頻數據的傳輸,當前乙太網的通信速率為10M、100M的快速乙太網開始廣泛套用,千兆乙太網技術也逐漸成熟,10G乙太網也正在研究,其速率比現場匯流排快很多。
(五)可持續發展潛力大,在這信息瞬息萬變的時代,企業的生存與發展將很大程度上依賴於一個快速而有效的通信管理網路,信息技術與通信技術的發展將更加迅速,也更加成熟,由此保證了乙太網技術不斷地持續向前發展。
網路套用 通訊標準 PROFInet可以提供辦公室和自動化領域開放的、一致的連線。PROFInet方案覆蓋了分散自動化系統的所有運行階段,它主要包含以下方面:⑴高度分散自動化系統的開放對象模型(結構模型);⑵基於Ethernet的開放的、面向對象的運行期通信方案(功能單元間的通信關係);⑶獨立於製造商的工程設計方案(套用開發)。PROFInet方案可以用一條等式簡單而明了地描述:PROFInet=Profibus+具有PROFIBUS和IT標準Ethernet的開放的、一致的通信。
1.1 PROFInet設備的軟體結構
PROFInet設備的軟體覆蓋了現場設備的整個運行期通信,基於模組化設計的軟體包含若干通信層,每層都與系統環境一致。PROFInet軟體主要包括一個RPC(Remote Procedure Call)層,一個DCOM(Distributed Component Object Model)層和一個專門為PROFInet對象定義的層。PROFInet對象可以是ACCO(Active Connection Control Object)設備、RT auto(Runtime Automation)設備、物理設備或邏輯設備。軟體中定義的實時數據通道提供PROFInet對象與乙太網間的實時通信服務。PROFInet通過系統接口連線到作業系統(如WinCE),通過套用接口連線到控制器(如PLC)。
PROFInet的運行期軟體位於一個目錄固定的結構中,可以分為核心目錄和系統套用目錄。若通信開始而核心目錄中的檔案未改變,則系統套用目錄中的部分檔案必須重建。所有的系統套用都是指向系統接口和套用接口,實現PROFInet設備的各項功能。PROFInet設備的軟體結構可以用圖1描述如下:
PROFInet設備的軟體結構決定了PROFInet設備可以從企業管理層到現場層直接、透明地訪問,並且提供對TCP/IP協定的絕對支持。PROFInet技術使企業用戶能夠方便地對現有的系統進行擴展和集成,是一種最佳化的工業乙太網通信標準。
1.2 PROFInet在現場設備上的移植
作為一種開放的資源,PROFInet軟體通過移植到設備上的TCP/IP協定棧來完成在其他設備製造商的產品中快速而簡單地實現。具體過程為:首先將開放資源的RPC接口連線到TCP/IP協定棧和設備作業系統中的系統集成;然後再將PROFInet協定棧的DCOM(Discrete Component Object Module)機制集成到設備的作業系統中;最後實現物理設備和邏輯設備對象、運行期對象和活動控制連線對象的設備專用的DCOM套用。為單個部件組裝PROFInet設備時還必須用XML創建相應的描述。
一個PROFInet設備的XML檔案中應包括下列數據:
⑴PROFInet設備的名稱和ID號;
⑵PROFInet設備的IP位址,診斷數據的訪問方式和設備連線方式;
⑶PROFInet設備的硬體分配,設備接口以及為各接口定義的變數、數據類型與格式;
⑷PROFInet設備在整個工程中的保存地址。PROFInet設備將它的所有功能封裝到其軟體中,並提供變數接口與其它的PROFInet設備相連。變數接口的每個變數都代表一個確定的子功能,包括運行、輸入/輸出使能、復位、結束、停機、啟動和錯誤。一個PROFInet設備中封裝的可以是一個控制器、一個執行器甚至是一個控制網路。圖2所示的PROFInet設備中封裝了一個Profibus-DP控制網路。
PROFInet設備之間通過DCOM模組進行通信。在PROFInet設備連線編輯器的圖形界面中可以方便地實現各PROFInet設備間的連線。一個具有沖洗、灌裝、封口和包裝4個環節的飲料生產廠家的生產流程可以用4個PROFInet設備串連連線實現(見圖3)。
所有設備的接口都在PROFInet中做了一致的定義,因此都能夠靈活地組合和重新使用,用戶不必考慮各設備的內部運行機制。此外,PROFInet還集成了故障安全通信標準行規PROFIsafe,滿足對人員、設備和環境的全面安全的需求,可用於故障安全套用。
通信功能 PROFInet設備通信功能的實現是基於傳統的Ethernet通信機制(如TCP或UDP),同時又採用RPC和DCOM機制進行加強。DCOM可視為用於基於RPC分散式套用的COM技術的擴展,可以採用最佳化的實時通信機制套用於對實時性要求苛刻的套用領域。在運行期間,PROFInet設備以DCOM對象的形式映像,通過對象協定機制確保了DCOM對象的通信。COM對象作為PDU以DCOM協定定義的形式出現在通信匯流排上。通過DCOM布線協定DCOM定義了對象的標識和具有有關接口和參數的方法,這樣就可以在通信匯流排上進行標準化的DCOM信息包的傳輸。對於更高層次上的通信,PROFInet可以採用集成OPC(OLE for Process Control)接口技術的方式。
2.1 PROFInet的基本通信方式
PROFInet根據不同的套用場合定義了三種不同的通信方式:使用TCP/IP的標準通信;實時RT(Real-time)通信和同步實時IRT通信。PROFInet設備能夠根據通信要求選擇合適的通信方式。
PROFInet使用乙太網和TCP/IP協定作為通信基礎,在任何場合下都提供對TCP/IP通信的絕對支持。由於絕大多數工廠自動化套用場合對實時回響時間要求較高,為了能夠滿足自動化中的實時要求,PROFInet中規定了基於乙太網層2的最佳化實時通信通道,該方案極大地減少了通信棧上占用的時間,提高了自動化數據刷新方面的性能。PROFInet不僅最小化了
可程式控制器 中的通信棧,而且對網路中傳輸數據也進行了最佳化。採用PROFInet通信標準,系統對實時套用的回響時間可以縮短到5~10ms。PROFInet同時還支持高性能同步運動控制套用,在該套用場合PROFInet提供對100個節點回響時間低於1ms的同步實時(IRT)通信,該功能是由層2上內嵌的同步實時交換晶片ERTEC提供的。PROFInet的通信循環如圖4所示。
在PROFInet設備的一個通信循環周期內,既包括IRT實時通信,又包括TCP/IP標準通信。PROFInet通信技術在很多套用場合都能體現出其極大的優越性。工程實踐表明,在同步運動控制場合採用PROFInet提供的IRT通信,系統性能將比採用
現場匯流排 方案提升近100倍。
2.2 PROFInet與OPC的集成
由於PROFInet與OPC均採用了DCOM通訊機制,因此PROFInet通訊技術可以很容易地與OPC接口技術集成,以實現數據在更高通信層次上的交換。OPC接口設備在工控領域的套用十分廣泛,OPC接口技術定義了OPC DA(Data Access)與OPC DX(Data Exchange)兩個通信標準,分別套用於傳輸實時數據和實現異類控制網路間數據的交換。在PROFInet中集成OPC DX接口可以實現一個開放的連線至其他系統,集成機制如下:
⑴ 基於PROFInet的實時通信機制,每個PROFInet節點可以作為一個OPC伺服器被定址;
⑵ 每個OPC伺服器可以通過標準接口而作為一個PROFInet節點被操作。PROFInet的功能性遠比OPC優越,PROFInet技術與OPC接口技術的集成不僅可以實現自動化領域對實時通信的要求,還可以實現系統之間在更高層次上的互動。
自動化領域 PROFInet是一種優越的通信技術,並已成功地套用於分散式智慧型控制。PROFInet為分散式自動化系統結構的實現開闢了新的前景,可以實現全廠工程徹底模組化,包括機械部件、電氣/電子部件和套用軟體。PROFInet支持各種形式的網路結構,使接線費用最小化,並保證高度的可用性。此外,特別設計的工業電纜和耐用的連線器滿足EMC和溫度要求並形成標準,保證了不同製造設備之間的兼容性。
PROFInet不僅可以套用於分散式智慧型控制,而且還逐漸進入到過程自動化領域。在過程自動化領域,PROFInet針對工業乙太網匯流排供電以及乙太網本質在安全領域套用的問題正在形成標準或解決方案,採用PROFInet集成的Profibus
現場匯流排 可以為過程自動化工業提供優越的解決方案(如圖5所示):
採用PROFInet通訊技術,不僅可以集成Profibus現場設備,還可以通過代理伺服器(Proxy)實現其它種類的現場匯流排網路的集成。採用這種統一的面對未來的設計概念,工廠內各部件都可以作為獨立模組預先組裝測試,然後在整個系統中輕鬆組裝或在其他項目中重複使用。譬如對於一個汽車生產企業而言,PROFInet支持的實時解決方案完全可以滿足車體車間、噴漆車間和組裝部門等對回響時間的要求,在機械工程及發動機和變速箱生產環節中的車床同步等方面則可使用PROFInet的同步實時功能。
結束語 PROFInet可以保證對現有系統投資的高度保護,並使工廠擁有創新標準的優越性。鑒於PROFInet通訊技術的優越性,已經有部分生產廠家(如西門子,施奈德)。
系統組成 系統分類 選擇正確的工業乙太網要考慮哪些因素?簡單的來說,要從工業乙太網通訊協定、電源、通信速率、工業環境認證考慮、安裝方式、外殼對散熱的影響、簡單通信功能和通信管理功能、電口或光口的考慮。信號強弱、連線埠設定、出錯報警、串口使用、主幹(TrunkingTM)冗餘、環網冗餘、服務質量(QoS)、
虛擬區域網路 (VLAN)、
簡單網路管理協定 (SNMP)、
連線埠鏡像 等等其他工業乙太網管理
交換機 中可以提供的功能。
從快速生成樹冗餘(RSTP)、環網冗餘(RapidRingTM)到主幹冗餘(TrunkingTM),
工業乙太網設備包括以下幾個重要部分。
工業乙太網集線器
工業乙太網非管理型交換機
工業乙太網管理型交換機
工業乙太網管理型冗餘交換機
高級的管理型
冗餘 交換機提供了一些特殊的功能,特別是針對有穩定性、安全性方面嚴格要求的
冗餘系統 進行了設計上的最佳化。構建冗餘網路的主要方式主要有以下幾種,STP、RSTP;
環網冗餘 RapidRingTM以及Trunking。
1工業乙太網 STP及RSTP
STP(Spanning Tree Protocol,生成樹算法,IEEE 802.1D),是一個鏈路層協定,提供路徑冗餘和阻止網路循環發生。它強令備用數據路徑為阻塞(blocked)狀態。如果一條路徑有故障,該
拓撲結構 能藉助激活備用路徑重新配置及鏈路重構。網路中斷恢復時間為30-60s之間。RSTP(快速生成樹算法,IEEE 802.1w)作為STP的升級,將網路中斷恢復時間,縮短到1-2s。
生成樹 算法網路結構靈活,但也存在恢復速度慢的缺點。
2 工業乙太網環網冗餘
為了能滿足工控網路實時性強的特點,RapidRing孕育而生。這是在工業乙太網網路中使用環網提供高速
冗餘 的一種技術。這個技術可以使網路在中斷後300ms之內自行恢復。並可以通過
工業乙太網交換機 的出錯繼電連線、狀態顯示燈和SNMP設定等方法來提醒用戶出現的斷網現象。這些都可以幫助診斷環網什麼地方出現斷開。
RapidRingTM也支持兩個連線在一起的環網,使網路拓樸更為靈活多樣。兩個環通過雙通道連線,這些連線可以是冗餘的,避免單個線纜出錯帶來的問題。
3 工業乙太網主幹冗餘
將不同
交換機 的多個連線埠設定為Trunking主幹連線埠,並建立連線,則這些
工業乙太網交換機 之間可以形成一個高速的骨幹連結。不但成倍的提高了骨幹連結的網路頻寬,增強了
網路吞吐量 ,而且還還提供了另外一個功能,即
冗餘 功能。如果網路中的骨幹連結產生斷線等問題,那么網路中的數據會通過剩下的連結進行傳遞,保證網路的通訊正常。Trunking主幹網路採用匯流排型和星型網路結構,理論通訊距離可以無限延長。該技術由於採用了硬體偵測及數據平衡的方法,所以使網路中斷恢復時間達到了新的高度,一般恢復時間在10ms以下。
具體設備 集線器
相信絕大多數人都熟悉集線器。很多人使用這種簡易設備去連線各種基於乙太網的設備,如個人計算機,
可程式控制器 等。集線器接收到來自某一連線埠的訊息,再將訊息廣播到其它所有的連線埠。對來自任一連線埠的每一條訊息,集線器都會把它傳遞到其它的各個連線埠。在訊息傳遞方面,集線器是低速低效的,可能會出現訊息衝突。然而,集線器的使用非常簡單-實際上可以即插即用。集線器沒有任何華而不實的功能,也沒有冗餘功能。
交換機
管理型
乙太網連線設備發展的下一代產品是管理型交換機。相對集線器和非管理型交換機,管理型交換機擁有更多更複雜的功能,價格也高出許多-通常是一台非管理型交換機的3~4倍。管理型交換機提供了更多的功能,通常可以通過基於網路的接口實現完全配置。它可以自動與網路設備互動,用戶也可以手動配置每個連線埠的網速和
流量控制 。一些老設備可能無法使用自動互動功能,因此手動配置功能是必不可缺的。
絕大多數管理型交換機通常也提供一些高級功能,如用於遠程監視和配置的SNMP(簡單網路管理協定),用於診斷的連線埠映射,用於網路設備成組的VLAN(虛擬區域網路),用於確保優先權訊息通過的優先權排列功能等。利用管理型交換機,可以組建冗餘網路。使用環形拓撲結構,管理型交換機可以組成
環形網路 。每台管理型交換機能自動判斷最優傳輸路徑和備用路徑,當優先路徑中斷時自動阻斷(block)備用路徑。
非管理型
集線器的發展產生了一種叫非管理型交換機的設備。它能實現訊息從一個連線埠到另一個連線埠的路由功能,相對集線器更加智慧型化。非管理型交換機能自動探測每台網路設備的
網路速度 。另外,它具有一種稱為“
MAC地址表 ”的功能,能識別和記憶網路中的設備。換言之,如果連線埠2收到一條帶有特定識別碼的訊息,此後交換機就會將所有具有那種特定識別碼的訊息傳送到連線埠2。這種智慧型避免了訊息衝突,提高了傳輸性能,相對集線器是一次巨大的改進。然而,非管理型交換機不能實現任何形式的通信檢測和冗餘配置功能。
套用安全 概述 工業乙太網是當前工業控制領域的研究熱點。工業乙太網重點在於利用
交換式乙太網 技術為控制器和
操作站 ,各種
工作站 之間的相互協調合作提供一種互動機制並和上層信息網路無縫集成。工業乙太網開始在監控層網路上逐漸占據主流位置,正在向現場設備層網路滲透。工業乙太網相對於以往自動化技術有很多優勢,然而事物是相對的,在我們享受開放互聯技術進步的成果同時應該對它們存在的隱患和可能帶來的嚴重後果要有深刻認識。
特點 雖然脫胎於Intranet、Internet等類型的信息網路,但是工業乙太網是面向生產過程,對實時性、可靠性、安全性和數據完整性有很高的要求。既有與信息網路相同的特點和安全要求,也有自己不同於信息網路的顯著特點和安全要求:
⑴工業乙太網是一個
網路控制系統 ,實時性要求高,網路傳輸要有確定性。
⑵整個企業網路按功能可分為處於管理層的通用乙太網和處於監控層的工業乙太網以及現場設備層(如
現場匯流排 )。管理層通用乙太網可以與控制層的工業乙太網交換數據,上下
網段 採用相同協定自由通信。
⑶工業乙太網中周期與非周期信息同時存在,各自有不同的要求。周期信息的傳輸通常具有順序性要求,而非周期信息有優先權要求,如報警信息是需要立即回響的。
⑷工業乙太網要為緊要任務提供最低限度的性能保證服務,同時也要為非緊要任務提供盡力服務,所以工業乙太網同時具有實時協定也具有非實時協定。
要求 ⑴工業乙太網應該保證實時性不會被破壞,在商業套用中,對實時性的要求基本不涉及安全,而過程控制對實時性的要求是硬性的,常常涉及生產設備和人員安全。
⑵當今世界舞台,各種競爭異常激烈。對於很多企業尤其是掌握領先技術的企業,作為其技術實際體現的生產工藝往往是企業的根本利益。一些關鍵生產過程的流程工藝乃至運行參數都有可能成為對手竊取的目標。所以在工業乙太網的數據傳輸中要防止數據被竊取。
⑶開放互聯是工業乙太網的優勢,遠程的監視、控制、調試、診斷等極大的增強了控制的分布性、靈活性,打破了時空的限制,但是對於這些套用必須保證經過授權的合法性和可審查性。
問題分析 ⑴在傳統工業工業乙太網中上下網段使用不同的協定無法互操作,所以使用一層
防火牆 防止來自外部的非法訪問,但工業乙太網將控制層和管理層連線起來,上下網段使用相同的協定,具有互操作性,所以使用兩級防火牆,第二級的防火牆用於禁止內部網路的非法訪問和分配不同許可權合法用戶的不同授權。另外還可用根據日誌記錄調整過濾和登錄策略。
要採取嚴格的許可權管理措施,可以根據部門分配許可權,也可以根據操作分配許可權。由於工廠套用專業性很強,進行許可權管理能有效避免非授權操作。同時要對關鍵性工作站的作業系統的訪問加以限制,採用內置的
設備管理系統 必須擁有記錄審查功能,資料庫自動記錄設備參數修改事件:誰修改,修改的理由,修改之前和之後的參數,從而可以有據可查。
⑵在工業乙太網的套用中可以採用加密的方式來防止關鍵信息竊取。主要存在兩種
密碼體制 :對稱密碼體制和非對稱密碼體制。對稱密碼體制中加密解密雙方使用相同的
密鑰 且密鑰保密,由於在通信之前必須完成密鑰的分發,該體制中這一環節是不安全的。所以採用非對稱密碼體制,由於工業乙太網傳送的多為周期性的簡訊息,所以採用這種加密方式還是比較迅速的。對於工業乙太網來說是可行的。還要對外部
節點 的接入加以防範。
⑶工業乙太網的實時性主要是由以下幾點保證:限制工業乙太網的通信負荷,採用100M的快速乙太網技術提高頻寬,採用
交換式乙太網 技術和全雙工通信方式禁止固有的CSMA/CD機制。隨著網路的開放互連和自動化系統大量IT技術的引入,加上
TCP/IP協定 本身的開放性和層出不窮的
網路病毒 和攻擊手段,網路安全可以成為影響工業乙太網實時性的一個突出問題。
1)病毒攻擊
在網際網路上充斥著類似Slammer、“衝擊波”等
蠕蟲病毒 和其它網路病毒的襲擊。以蠕蟲病毒為例,這些蠕蟲病毒攻擊的直接目標雖然通常是信息層網路的PC機和伺服器,但是攻擊是通過網路進行的,因此當這些蠕蟲病毒大規模爆發時,
交換機 、
路由器 會首先受到牽連。用戶只有通過重啟交換路由設備、重新配置
訪問控制列表 才能消除蠕蟲病毒對
網路設備 造成的影響。蠕蟲病毒攻擊能夠導致整個網路的路由震盪,這樣可能使上層的信息層網路部分流量流入工業乙太網,加大了它的通信負荷,影響其實時性。在控制層也存在不少計算機終端連線在
工業乙太網交換機 ,一旦終端感染病毒,病毒發作即使不能造成
網路癱瘓 ,也可能會消耗
頻寬 和交換機資源。
2) MAC攻擊
工業乙太網交換機通常是
二層交換機 ,而MAC地址是二層交換機工作的基礎,網路依賴MAC地址保證數據的正常轉發。動態的二層地址表在一定時間以後(AGE TIME)會發生更新。如果某連線埠一直沒有收到源地址為某一MAC地址的
數據包 ,那么該MAC地址和該連線埠的映射關係就會失效。這時,
交換機 收到目的地址為該MAC地址的數據包就會進行
泛洪 處理,對交換機的整體性能造成影響,能導致交換機的查錶速度下降。而且,假如攻擊者生成大量數據包,數據包的源MAC地址都不相同,就會充滿交換機的MAC地址
表空間 ,導致真正的數據流到達交換機時被泛洪出去。這種通過複雜攻擊和欺騙交換機入侵網路方式,已有不少實例。一旦表中MAC地址與網路段之間的映射信息被破壞,迫使交換機轉儲自己的MAC地址表,開始失效恢復,交換機就會停止網路傳輸過濾,它的作用就類似共享介質設備或
集線器 ,CSMA/CD機制將重新作用從而影響工業乙太網的實時性。
交換機安全技術
流量控制 技術 ,把流經連線埠的異常流量限制在一定的範圍內。
訪問控制列表 (ACL)技術 ,ACL通過對網路資源進行訪問輸入和輸出控制,確保網路設備不被非法訪問或被用作攻擊跳板。
安全套接層 (SSL) 為所有 HTTP流量加密,允許訪問交換機上基於瀏覽器的管理 GUI。
802.1x 和RADIUS 網路登錄 控制基於連線埠的訪問,以進行驗證和責任明晰。
源連線埠 過濾只允許指定連線埠進行相互通信。Secure Shell (SSHv1/SSHv2) 加密傳輸所有的數據,確保IP網路上安全的CLI遠程訪問。安全FTP 實現與交換機之間安全的檔案傳輸,避免不需要的檔案下載或未授權的交換機配置檔案複製。不過,套用這些安全功能仍然存在很多實際問題,例如
交換機 的
流量控制 功能只能對經過連線埠的各類流量進行簡單的速率限制,將廣播、
組播 的異常流量限制在一定的範圍內,而無法區分哪些是正常流量,哪些是異常流量。同時,如何設定一個合適的閾值也比較困難。一些交換機具有ACL,但如果ASIC支持的ACL少仍舊沒有用。一般交換機還不能對非法的ARP(源目的MAC為
廣播地址 )進行特殊處理。網路中是否會出現路由欺詐、
生成樹 欺詐的攻擊、
802.1x 的DoS攻擊、對交換機網管系統的DoS攻擊等,都是交換機面臨的潛在威脅。
在控制層,
工業乙太網交換機 ,一方面可以借鑑這些安全技術,但是也必須意識到工業乙太網交換機主要用於
數據包 的快速轉發,強調轉發性能以提高實時性。套用這些安全技術時將面臨實時性和成本的很大困難,乙太網的套用和設計主要是基於工程實踐和經驗,網路上主要是控制系統與
操作站 、最佳化系統工作站、先進控制工作站、
資料庫伺服器 等設備之間的數據傳輸,網路負荷平穩,具有一定的周期性。但是,隨著
系統集成 和擴展的需要、IT技術在自動化
系統組件 的大力套用、B/S
監控方式 的普及等等,對網路安全因素下的可用性研究已經十分必要,例如猝發流量下的
工業乙太網交換機 的
緩衝區 容量問題以及從全雙工交換方式轉變成共享方式對已有網路性能的影響。所以,另一方面,工業乙太網必須從自身體系結構入手,加以應對。
用戶利益 市場占有率高達80%,乙太網毫無疑問是當今LAN(區域網路)領域中首屈一指的網路。乙太網優越的性能,為您的套用帶來巨大的利益:
通過簡單的連線方式快速裝配。
通過不斷的開發提供了持續的兼容性,因而保證了投資的安全。
通過交換技術提供實際上沒有限制的通訊性能。
各種各樣聯網套用,例如辦公室環境和生產套用環境的聯網。
影響因素 不穩定因素
今天的控制系統和工廠自動化系統,乙太網的套用幾乎已經和PLC一樣普及。但現場工程師們對乙太網的了解,大多來自他們對傳統商業乙太網的認識。很多控制系統工程的實施甚至是直接讓IT部門的技術人員來實施。但是,IT工程師們對於乙太網的了解,往往局限於
辦公自動化 商業乙太網的實施經驗,可能導致工業乙太網在
工業控制系統 中實施的簡單化和商業化,不能真正理解工業乙太網在工業現場的意義,也無法真正利用工業乙太網內在的特殊功能,常常造成工業乙太網現場實施的不徹底,給整個控制系統留下不穩定因素。
需考慮因素
那么選擇正確的工業乙太網要考慮哪些因素?簡單的來說,要從乙太網通訊協定、電源、通信速率、工業環境認證考慮、安裝方式、外殼對散熱的影響、簡單通信功能和通信管理功能、電口或光口的考慮。這些都是最基本需要了解的產品選擇因素。如果對工業乙太網的網路管理有更高要求,則需要考慮所選擇產品的高級功能如:信號強弱、
連線埠 設定、出錯報警、串口使用、主幹(TrunkingTM)冗餘、
環網冗餘 、服務質量(QoS)、
虛擬區域網路 (VLAN)、
簡單網路管理協定 (SNMP)、
連線埠鏡像 等等其他工業乙太網管理交換機中可以提供的功能。不同的
控制系統 對網路的管理功能要求不同,自然對管理型
交換機 的使用也有不同要求。控制工程師們應該根據其系統的設計要求,挑選適合自己系統的工業乙太網產品。
由於工業環境對工業控制網路可靠性能的超高要求,工業乙太網的冗餘功能應運而生。從快速生成樹冗餘(RSTP)、環網冗餘(RapidRingTM)到主幹冗餘(TrunkingTM),都有各自不同的優勢和特點,控制工程師們可以根據自己的要求進行選擇。為了更好地幫助大家了解和學習工業乙太網
冗餘技術 的特點,讓我們首先回顧以下乙太網設備的發展過程。
公司通訊 通過接入WAN(廣域網)可實現公司之間的通訊,例如,ISDN 或Internet 的接入。