工业乙太网( 三 ) _生活百科

文章插图
2.2 PROFInet与OPC的集成由于PROFInet与OPC均採用了DCOM通讯机制，因此PROFInet通讯技术可以很容易地与OPC接口技术集成，以实现数据在更高通信层次上的交换。OPC接口设备在工控领域的套用十分广泛，OPC接口技术定义了OPC DA（Data Access）与OPC DX（Data Exchange）两个通信标準，分别套用于传输实时数据和实现异类控制网路间数据的交换。在PROFInet中集成OPC DX接口可以实现一个开放的连线至其他系统，集成机制如下：⑴ 基于PROFInet的实时通信机制，每个PROFInet节点可以作为一个OPC伺服器被定址； ⑵ 每个OPC伺服器可以通过标準接口而作为一个PROFInet节点被操作。PROFInet的功能性远比OPC优越，PROFInet技术与OPC接口技术的集成不仅可以实现自动化领域对实时通信的要求，还可以实现系统之间在更高层次上的互动。自动化领域PROFInet是一种优越的通信技术，并已成功地套用于分散式智慧型控制。PROFInet为分散式自动化系统结构的实现开闢了新的前景，可以实现全厂工程彻底模组化，包括机械部件、电气/电子部件和套用软体。PROFInet支持各种形式的网路结构，使接线费用最小化，并保证高度的可用性。此外，特别设计的工业电缆和耐用的连线器满足EMC和温度要求并形成标準，保证了不同製造设备之间的兼容性。PROFInet不仅可以套用于分散式智慧型控制，而且还逐渐进入到过程自动化领域。在过程自动化领域，PROFInet针对工业乙太网汇流排供电以及乙太网本质在安全领域套用的问题正在形成标準或解决方案，採用PROFInet集成的Profibus现场汇流排可以为过程自动化工业提供优越的解决方案（如图5所示）：採用PROFInet通讯技术，不仅可以集成Profibus现场设备，还可以通过代理伺服器（Proxy）实现其它种类的现场汇流排网路的集成。採用这种统一的面对未来的设计概念，工厂内各部件都可以作为独立模组预先组装测试，然后在整个系统中轻鬆组装或在其他项目中重複使用。譬如对于一个汽车生产企业而言，PROFInet支持的实时解决方案完全可以满足车体车间、喷漆车间和组装部门等对回响时间的要求，在机械工程及发动机和变速箱生产环节中的车床同步等方面则可使用PROFInet的同步实时功能。

文章插图
结束语PROFInet可以保证对现有系统投资的高度保护，并使工厂拥有创新标準的优越性。鑒于PROFInet通讯技术的优越性，已经有部分生产厂家（如西门子,施奈德）。系统组成系统分类选择正确的工业乙太网要考虑哪些因素？简单的来说，要从工业乙太网通讯协定、电源、通信速率、工业环境认证考虑、安装方式、外壳对散热的影响、简单通信功能和通信管理功能、电口或光口的考虑。信号强弱、连线埠设定、出错报警、串口使用、主干（TrunkingTM)冗余、环网冗余、服务质量（QoS）、虚拟区域网路（VLAN）、简单网路管理协定（SNMP）、连线埠镜像等等其他工业乙太网管理交换机中可以提供的功能。从快速生成树冗余（RSTP）、环网冗余（RapidRingTM）到主干冗余（TrunkingTM），工业乙太网设备包括以下几个重要部分。工业乙太网集线器工业乙太网非管理型交换机工业乙太网管理型交换机工业乙太网管理型冗余交换机高级的管理型冗余交换机提供了一些特殊的功能，特别是针对有稳定性、安全性方面严格要求的冗余系统进行了设计上的最佳化。构建冗余网路的主要方式主要有以下几种，STP、RSTP；环网冗余RapidRingTM以及Trunking 。1工业乙太网 STP及RSTPSTP(Spanning Tree Protocol，生成树算法，IEEE 802.1D），是一个链路层协定，提供路径冗余和阻止网路循环发生。它强令备用数据路径为阻塞（blocked）状态。如果一条路径有故障，该拓扑结构能藉助激活备用路径重新配置及链路重构。网路中断恢复时间为30-60s之间。RSTP（快速生成树算法，IEEE 802.1w）作为STP的升级，将网路中断恢复时间，缩短到1-2s 。生成树算法网路结构灵活，但也存在恢复速度慢的缺点。2 工业乙太网环网冗余为了能满足工控网路实时性强的特点，RapidRing孕育而生。这是在工业乙太网网路中使用环网提供高速冗余的一种技术。这个技术可以使网路在中断后300ms之内自行恢复。并可以通过工业乙太网交换机的出错继电连线、状态显示灯和SNMP设定等方法来提醒用户出现的断网现象。这些都可以帮助诊断环网什幺地方出现断开。RapidRingTM也支持两个连线在一起的环网，使网路拓朴更为灵活多样。两个环通过双通道连线，这些连线可以是冗余的，避免单个线缆出错带来的问题。3 工业乙太网主干冗余将不同交换机的多个连线埠设定为Trunking主干连线埠，并建立连线，则这些工业乙太网交换机之间可以形成一个高速的骨干连结。不但成倍的提高了骨干连结的网路频宽，增强了网路吞吐量，而且还还提供了另外一个功能，即冗余功能。如果网路中的骨干连结产生断线等问题，那幺网路中的数据会通过剩下的连结进行传递，保证网路的通讯正常。Trunking主干网路採用汇流排型和星型网路结构，理论通讯距离可以无限延长。该技术由于採用了硬体侦测及数据平衡的方法，所以使网路中断恢复时间达到了新的高度，一般恢复时间在10ms以下。具体设备集线器相信绝大多数人都熟悉集线器。很多人使用这种简易设备去连线各种基于乙太网的设备，如个人计算机，可程式控制器等。集线器接收到来自某一连线埠的讯息，再将讯息广播到其它所有的连线埠。对来自任一连线埠的每一条讯息，集线器都会把它传递到其它的各个连线埠。在讯息传递方面，集线器是低速低效的，可能会出现讯息冲突。然而，集线器的使用非常简单－实际上可以即插即用。集线器没有任何华而不实的功能，也没有冗余功能。交换机管理型乙太网连线设备发展的下一代产品是管理型交换机。相对集线器和非管理型交换机，管理型交换机拥有更多更複杂的功能，价格也高出许多－通常是一台非管理型交换机的3～4倍。管理型交换机提供了更多的功能，通常可以通过基于网路的接口实现完全配置。它可以自动与网路设备互动，用户也可以手动配置每个连线埠的网速和流量控制。一些老设备可能无法使用自动互动功能，因此手动配置功能是必不可缺的。绝大多数管理型交换机通常也提供一些高级功能，如用于远程监视和配置的SNMP（简单网路管理协定），用于诊断的连线埠映射，用于网路设备成组的VLAN（虚拟区域网路），用于确保优先权讯息通过的优先权排列功能等。利用管理型交换机，可以组建冗余网路。使用环形拓扑结构，管理型交换机可以组成环形网路。每台管理型交换机能自动判断最优传输路径和备用路径，当优先路径中断时自动阻断（block）备用路径。非管理型集线器的发展产生了一种叫非管理型交换机的设备。它能实现讯息从一个连线埠到另一个连线埠的路由功能，相对集线器更加智慧型化。非管理型交换机能自动探测每台网路设备的网路速度。另外，它具有一种称为“MAC地址表”的功能，能识别和记忆网路中的设备。换言之，如果连线埠2收到一条带有特定识别码的讯息，此后交换机就会将所有具有那种特定识别码的讯息传送到连线埠2 。这种智慧型避免了讯息冲突，提高了传输性能，相对集线器是一次巨大的改进。然而，非管理型交换机不能实现任何形式的通信检测和冗余配置功能。套用安全概述工业乙太网是当前工业控制领域的研究热点。工业乙太网重点在于利用交换式乙太网技术为控制器和操作站，各种工作站之间的相互协调合作提供一种互动机制并和上层信息网路无缝集成。工业乙太网开始在监控层网路上逐渐占据主流位置，正在向现场设备层网路渗透。工业乙太网相对于以往自动化技术有很多优势，然而事物是相对的，在我们享受开放互联技术进步的成果同时应该对它们存在的隐患和可能带来的严重后果要有深刻认识。特点虽然脱胎于Intranet、Internet等类型的信息网路，但是工业乙太网是面向生产过程，对实时性、可靠性、安全性和数据完整性有很高的要求。既有与信息网路相同的特点和安全要求，也有自己不同于信息网路的显着特点和安全要求：⑴工业乙太网是一个网路控制系统，实时性要求高，网路传输要有确定性。⑵整个企业网路按功能可分为处于管理层的通用乙太网和处于监控层的工业乙太网以及现场设备层（如现场汇流排）。管理层通用乙太网可以与控制层的工业乙太网交换数据，上下网段採用相同协定自由通信。⑶工业乙太网中周期与非周期信息同时存在，各自有不同的要求。周期信息的传输通常具有顺序性要求，而非周期信息有优先权要求，如报警信息是需要立即回响的。⑷工业乙太网要为紧要任务提供最低限度的性能保证服务，同时也要为非紧要任务提供尽力服务，所以工业乙太网同时具有实时协定也具有非实时协定。要求⑴工业乙太网应该保证实时性不会被破坏，在商业套用中，对实时性的要求基本不涉及安全，而过程控制对实时性的要求是硬性的，常常涉及生产设备和人员安全。⑵当今世界舞台，各种竞争异常激烈。对于很多企业尤其是掌握领先技术的企业，作为其技术实际体现的生产工艺往往是企业的根本利益。一些关键生产过程的流程工艺乃至运行参数都有可能成为对手窃取的目标。所以在工业乙太网的数据传输中要防止数据被窃取。⑶开放互联是工业乙太网的优势，远程的监视、控制、调试、诊断等极大的增强了控制的分布性、灵活性，打破了时空的限制，但是对于这些套用必须保证经过授权的合法性和可审查性。问题分析⑴在传统工业工业乙太网中上下网段使用不同的协定无法互操作，所以使用一层防火墙防止来自外部的非法访问，但工业乙太网将控制层和管理层连线起来，上下网段使用相同的协定，具有互操作性，所以使用两级防火墙，第二级的防火墙用于禁止内部网路的非法访问和分配不同许可权合法用户的不同授权。另外还可用根据日誌记录调整过滤和登录策略。要採取严格的许可权管理措施，可以根据部门分配许可权，也可以根据操作分配许可权。由于工厂套用专业性很强，进行许可权管理能有效避免非授权操作。同时要对关键性工作站的作业系统的访问加以限制，採用内置的设备管理系统必须拥有记录审查功能，资料库自动记录设备参数修改事件：谁修改，修改的理由，修改之前和之后的参数，从而可以有据可查。⑵在工业乙太网的套用中可以採用加密的方式来防止关键信息窃取。主要存在两种密码体制：对称密码体制和非对称密码体制。对称密码体制中加密解密双方使用相同的密钥且密钥保密，由于在通信之前必须完成密钥的分发，该体制中这一环节是不安全的。所以採用非对称密码体制，由于工业乙太网传送的多为周期性的简讯息，所以採用这种加密方式还是比较迅速的。对于工业乙太网来说是可行的。还要对外部节点的接入加以防範。⑶工业乙太网的实时性主要是由以下几点保证：限制工业乙太网的通信负荷，採用100M的快速乙太网技术提高频宽，採用交换式乙太网技术和全双工通信方式禁止固有的CSMA/CD机制。随着网路的开放互连和自动化系统大量IT技术的引入，加上TCP/IP协定本身的开放性和层出不穷的网路病毒和攻击手段，网路安全可以成为影响工业乙太网实时性的一个突出问题。1）病毒攻击在网际网路上充斥着类似Slammer、“冲击波”等蠕虫病毒和其它网路病毒的袭击。以蠕虫病毒为例，这些蠕虫病毒攻击的直接目标虽然通常是信息层网路的PC机和伺服器，但是攻击是通过网路进行的，因此当这些蠕虫病毒大规模爆发时，交换机、路由器会首先受到牵连。用户只有通过重启交换路由设备、重新配置访问控制列表才能消除蠕虫病毒对网路设备造成的影响。蠕虫病毒攻击能够导致整个网路的路由震荡，这样可能使上层的信息层网路部分流量流入工业乙太网，加大了它的通信负荷，影响其实时性。在控制层也存在不少计算机终端连线在工业乙太网交换机，一旦终端感染病毒，病毒发作即使不能造成网路瘫痪，也可能会消耗频宽和交换机资源。2） MAC攻击工业乙太网交换机通常是二层交换机，而MAC地址是二层交换机工作的基础，网路依赖MAC地址保证数据的正常转发。动态的二层地址表在一定时间以后（AGE TIME）会发生更新。如果某连线埠一直没有收到源地址为某一MAC地址的数据包，那幺该MAC地址和该连线埠的映射关係就会失效。这时，交换机收到目的地址为该MAC地址的数据包就会进行泛洪处理，对交换机的整体性能造成影响，能导致交换机的查錶速度下降。而且，假如攻击者生成大量数据包，数据包的源MAC地址都不相同，就会充满交换机的MAC地址表空间，导致真正的数据流到达交换机时被泛洪出去。这种通过複杂攻击和欺骗交换机入侵网路方式，已有不少实例。一旦表中MAC地址与网路段之间的映射信息被破坏，迫使交换机转储自己的MAC地址表，开始失效恢复，交换机就会停止网路传输过滤，它的作用就类似共享介质设备或集线器，CSMA/CD机制将重新作用从而影响工业乙太网的实时性。交换机安全技术信息层网路採用的交换机安全技术主要包括以下几种。流量控制技术，把流经连线埠的异常流量限制在一定的範围内。访问控制列表（ACL）技术，ACL通过对网路资源进行访问输入和输出控制，确保网路设备不被非法访问或被用作攻击跳板。安全套接层（SSL）为所有 HTTP流量加密，允许访问交换机上基于浏览器的管理 GUI 。802.1x和RADIUS 网路登录控制基于连线埠的访问，以进行验证和责任明晰。源连线埠过滤只允许指定连线埠进行相互通信。Secure Shell （SSHv1/SSHv2）加密传输所有的数据，确保IP网路上安全的CLI远程访问。安全FTP 实现与交换机之间安全的档案传输，避免不需要的档案下载或未授权的交换机配置档案複製。不过，套用这些安全功能仍然存在很多实际问题，例如交换机的流量控制功能只能对经过连线埠的各类流量进行简单的速率限制，将广播、组播的异常流量限制在一定的範围内，而无法区分哪些是正常流量，哪些是异常流量。同时，如何设定一个合适的阈值也比较困难。一些交换机具有ACL，但如果ASIC支持的ACL少仍旧没有用。一般交换机还不能对非法的ARP（源目的MAC为广播地址）进行特殊处理。网路中是否会出现路由欺诈、生成树欺诈的攻击、802.1x的DoS攻击、对交换机网管系统的DoS攻击等，都是交换机面临的潜在威胁。在控制层，工业乙太网交换机，一方面可以借鉴这些安全技术，但是也必须意识到工业乙太网交换机主要用于数据包的快速转发，强调转发性能以提高实时性。套用这些安全技术时将面临实时性和成本的很大困难，乙太网的套用和设计主要是基于工程实践和经验，网路上主要是控制系统与操作站、最佳化系统工作站、先进控制工作站、资料库伺服器等设备之间的数据传输，网路负荷平稳，具有一定的周期性。但是，随着系统集成和扩展的需要、IT技术在自动化系统组件的大力套用、B/S监控方式的普及等等，对网路安全因素下的可用性研究已经十分必要，例如猝发流量下的工业乙太网交换机的缓冲区容量问题以及从全双工交换方式转变成共享方式对已有网路性能的影响。所以，另一方面，工业乙太网必须从自身体系结构入手，加以应对。用户利益市场占有率高达80%，乙太网毫无疑问是当今LAN（区域网路）领域中首屈一指的网路。乙太网优越的性能，为您的套用带来巨大的利益：通过简单的连线方式快速装配。通过不断的开发提供了持续的兼容性，因而保证了投资的安全。通过交换技术提供实际上没有限制的通讯性能。各种各样联网套用，例如办公室环境和生产套用环境的联网。影响因素不稳定因素今天的控制系统和工厂自动化系统，乙太网的套用几乎已经和PLC一样普及。但现场工程师们对乙太网的了解，大多来自他们对传统商业乙太网的认识。很多控制系统工程的实施甚至是直接让IT部门的技术人员来实施。但是，IT工程师们对于乙太网的了解，往往局限于办公自动化商业乙太网的实施经验，可能导致工业乙太网在工业控制系统中实施的简单化和商业化，不能真正理解工业乙太网在工业现场的意义，也无法真正利用工业乙太网内在的特殊功能，常常造成工业乙太网现场实施的不彻底，给整个控制系统留下不稳定因素。需考虑因素那幺选择正确的工业乙太网要考虑哪些因素？简单的来说，要从乙太网通讯协定、电源、通信速率、工业环境认证考虑、安装方式、外壳对散热的影响、简单通信功能和通信管理功能、电口或光口的考虑。这些都是最基本需要了解的产品选择因素。如果对工业乙太网的网路管理有更高要求，则需要考虑所选择产品的高级功能如：信号强弱、连线埠设定、出错报警、串口使用、主干（TrunkingTM）冗余、环网冗余、服务质量（QoS）、虚拟区域网路(VLAN）、简单网路管理协定(SNMP）、连线埠镜像等等其他工业乙太网管理交换机中可以提供的功能。不同的控制系统对网路的管理功能要求不同，自然对管理型交换机的使用也有不同要求。控制工程师们应该根据其系统的设计要求，挑选适合自己系统的工业乙太网产品。由于工业环境对工业控制网路可靠性能的超高要求，工业乙太网的冗余功能应运而生。从快速生成树冗余（RSTP）、环网冗余（RapidRingTM）到主干冗余（TrunkingTM），都有各自不同的优势和特点，控制工程师们可以根据自己的要求进行选择。为了更好地帮助大家了解和学习工业乙太网冗余技术的特点，让我们首先回顾以下乙太网设备的发展过程。公司通讯通过接入WAN（广域网）可实现公司之间的通讯，例如，ISDN 或Internet 的接入。