江軍

【摘要】 為解決企業(yè)管理信息系統(tǒng)與過程控制系統(tǒng)之間互不聯(lián)通，形成信息孤島，需要建設(shè)兩類系統(tǒng)之間的數(shù)據(jù)接口。介紹了數(shù)據(jù)采集接口的架構(gòu)及各模塊的功能和要求，通過接口的建設(shè)，實(shí)現(xiàn)面向整個企業(yè)各生產(chǎn)、管理層面所有業(yè)務(wù)活動的數(shù)據(jù)服務(wù)與支持，建成合理的企業(yè)數(shù)據(jù)管理模式。

【關(guān)鍵字】 過程控制系統(tǒng) 數(shù)據(jù)采集 接口 建設(shè)

現(xiàn)今信息應(yīng)用已發(fā)展到生產(chǎn)運(yùn)行指揮、綜合分析、輔助決策等高級階段，對信息數(shù)據(jù)的獲取要求更全面、更及時、更方便。企業(yè)在開展生產(chǎn)業(yè)務(wù)的同時，也建設(shè)了包括生產(chǎn)調(diào)度指揮系統(tǒng)、模擬仿真、診斷分析在內(nèi)的其他大量企業(yè)管理系統(tǒng)。通常各系統(tǒng)之間互不通聯(lián)，數(shù)據(jù)整合復(fù)雜度高、實(shí)施周期長、且系統(tǒng)運(yùn)維難度和工作量大，導(dǎo)致了運(yùn)維成本高和運(yùn)維效率低下。數(shù)據(jù)采集接口的規(guī)范建設(shè)將改善企業(yè)數(shù)據(jù)管理模式，實(shí)現(xiàn)整個生產(chǎn)過程的優(yōu)化管理，切實(shí)提高企業(yè)的數(shù)據(jù)利用效率，提升信息服務(wù)的價(jià)值。

一、數(shù)據(jù)采集接口架構(gòu)

數(shù)據(jù)采集接口是企業(yè)信息管理系統(tǒng)采集過程控制系統(tǒng)數(shù)據(jù)的接口，是對不同廠商、不同型號的過程控制系統(tǒng)，如DCS、PLC、SCADA等進(jìn)行統(tǒng)一的數(shù)據(jù)采集、規(guī)范化的處理。數(shù)據(jù)采集接口主要實(shí)現(xiàn)采集、存儲、發(fā)布三種功能，通過數(shù)據(jù)采集網(wǎng)關(guān)設(shè)備采集過程控制系統(tǒng)數(shù)據(jù)，采集數(shù)據(jù)存儲于實(shí)時歷史數(shù)據(jù)庫中，同時把實(shí)時歷史數(shù)據(jù)庫中的數(shù)據(jù)進(jìn)行發(fā)布，為企業(yè)管理系統(tǒng)提供及時有效的數(shù)據(jù)支持。

采集接口通常包括數(shù)據(jù)采集、數(shù)據(jù)管理、數(shù)據(jù)服務(wù)等組件，還應(yīng)包括專用網(wǎng)絡(luò)、網(wǎng)絡(luò)安全組件，以及數(shù)據(jù)采集接口運(yùn)行管理組件。

數(shù)據(jù)采集接口通常由數(shù)據(jù)采集網(wǎng)關(guān)、應(yīng)用數(shù)據(jù)庫、數(shù)據(jù)接口（數(shù)據(jù)訪問接口和數(shù)據(jù)應(yīng)用接口）、安全防護(hù)設(shè)備（隔離網(wǎng)閘和防火墻）四部分構(gòu)成，采集生產(chǎn)網(wǎng)過程控制系統(tǒng)數(shù)據(jù)，通過數(shù)據(jù)采集網(wǎng)將其存儲于應(yīng)用數(shù)據(jù)庫中，以便于企業(yè)信息網(wǎng)中企業(yè)管理信息系統(tǒng)獲取過程控制系統(tǒng)數(shù)據(jù)。系統(tǒng)架構(gòu)如圖1所示：

二、 接口功能

過程控制系統(tǒng)通過數(shù)據(jù)訪問接口傳輸給數(shù)據(jù)采集網(wǎng)關(guān)，且對外僅支持?jǐn)?shù)據(jù)采集網(wǎng)關(guān)的數(shù)據(jù)采集要求；數(shù)據(jù)訪問接口根據(jù)設(shè)置和設(shè)定的安全策略校核數(shù)據(jù)及服務(wù)請求，允許合法用戶的訪問，禁止非法用戶的請求，是單向傳輸?shù)摹ＭǔＳ卸喾N從過程控制系統(tǒng)獲取數(shù)據(jù)的方式，如從控制系統(tǒng)服務(wù)器獲取、從控制總線獲取、從操作站/工程師站獲取，或采用共享文件方式獲取等。具體采用哪種方式，應(yīng)考慮控制系統(tǒng)安全、目標(biāo)需要、數(shù)據(jù)采集復(fù)雜度等因素后作出選擇。為了對過程控制系統(tǒng)進(jìn)行統(tǒng)一的數(shù)據(jù)采集、規(guī)范化的處理，數(shù)據(jù)訪問接口宜將過程控制系統(tǒng)的專有通信協(xié)議轉(zhuǎn)換為標(biāo)準(zhǔn)協(xié)議，提供過程控制系統(tǒng)的數(shù)據(jù)訪問功能。對新建的控制系統(tǒng)，應(yīng)在其設(shè)計(jì)階段就考慮數(shù)據(jù)采集網(wǎng)關(guān)，對于現(xiàn)有的控制系統(tǒng)，經(jīng)綜合分析、論證，必要時需對現(xiàn)有系統(tǒng)進(jìn)行升級改造。

數(shù)據(jù)采集網(wǎng)關(guān)的主要功能是采集過程控制系統(tǒng)數(shù)據(jù)，并轉(zhuǎn)發(fā)到應(yīng)用數(shù)據(jù)庫。它通過數(shù)據(jù)采集網(wǎng)關(guān)內(nèi)置或二次應(yīng)用開發(fā)的通信協(xié)議與過程控制系統(tǒng)的通信協(xié)議進(jìn)行轉(zhuǎn)換通信，實(shí)現(xiàn)過程控制系統(tǒng)的數(shù)據(jù)采集。數(shù)據(jù)采集方式主要是考慮現(xiàn)場環(huán)境與管理需求，用戶可進(jìn)行同步/異步、自動通知、訂閱/發(fā)布等方式進(jìn)行設(shè)置。數(shù)據(jù)采集網(wǎng)管是數(shù)據(jù)采集接口的主要設(shè)備之一，應(yīng)支持常用的通信協(xié)議如：Modbus、OPC等，支持輪詢、逢變則報(bào)等數(shù)據(jù)采集規(guī)則和一定的數(shù)據(jù)緩存及補(bǔ)傳能力。

應(yīng)用數(shù)據(jù)庫主要功能包括存儲、歸檔、發(fā)布采集網(wǎng)關(guān)轉(zhuǎn)發(fā)的過程控制系統(tǒng)數(shù)據(jù)，包括實(shí)時數(shù)據(jù)庫、歷史數(shù)據(jù)庫。數(shù)據(jù)存儲應(yīng)該具備數(shù)據(jù)緩存、壓縮、歸檔、備份、點(diǎn)數(shù)擴(kuò)容等基本要求，數(shù)據(jù)吞吐量應(yīng)滿足理論數(shù)據(jù)吞吐量的2倍。

應(yīng)用數(shù)據(jù)庫與數(shù)據(jù)采集網(wǎng)關(guān)數(shù)據(jù)交互通常采用Modbus和OPC協(xié)議， 與企業(yè)管理信息系統(tǒng)數(shù)據(jù)交互可采用OPC、ODBC或OLE DB、WebService等數(shù)據(jù)訪問服務(wù)或服務(wù)器自身應(yīng)用程序編程接口方式的數(shù)據(jù)訪問服務(wù)等。

數(shù)據(jù)應(yīng)用接口主要功能是為企業(yè)管理信息系統(tǒng)發(fā)布過程控制系統(tǒng)數(shù)據(jù)，并提供過程控制系統(tǒng)數(shù)據(jù)的訪問功能，企業(yè)管理信息系統(tǒng)需要向數(shù)據(jù)應(yīng)用接口進(jìn)行注冊申請，獲取訪問權(quán)限后才允許向數(shù)據(jù)應(yīng)用接口進(jìn)行單向訪問，且應(yīng)該只通過數(shù)據(jù)應(yīng)用接口訪問過程控制系統(tǒng)數(shù)據(jù)，不宜直接對過程控制系統(tǒng)進(jìn)行數(shù)據(jù)連接訪問。

三、網(wǎng)絡(luò)架構(gòu)及防護(hù)系統(tǒng)

過程控制系統(tǒng)數(shù)據(jù)采集接口的網(wǎng)絡(luò)架構(gòu)包括三層網(wǎng)絡(luò)：生產(chǎn)網(wǎng)、數(shù)據(jù)采集網(wǎng)、企業(yè)信息網(wǎng)。 生產(chǎn)網(wǎng)內(nèi)典型的控制系統(tǒng)由基本過程控制系統(tǒng)（BPCS）、安全儀表系統(tǒng)（SIS）及火災(zāi)報(bào)警和氣體檢測系統(tǒng)（F&G;）三部分組成[1]，每個系統(tǒng)提供數(shù)據(jù)訪問接口用于該系統(tǒng)的數(shù)據(jù)輸出。數(shù)據(jù)訪問接口搭建在各個系統(tǒng)的集成服務(wù)器端，而不需要直接連接到現(xiàn)場的控制器上。數(shù)據(jù)采集網(wǎng)包括數(shù)據(jù)采集網(wǎng)關(guān)、應(yīng)用數(shù)據(jù)庫、數(shù)據(jù)接口、安全防護(hù)設(shè)備四部分。其中應(yīng)用數(shù)據(jù)庫是由實(shí)時數(shù)據(jù)庫與歷史數(shù)據(jù)庫組成。企業(yè)信息網(wǎng)由一系列的企業(yè)管理信息系統(tǒng)組成，這些系統(tǒng)需要訪問過程控制系統(tǒng)數(shù)據(jù)時，需要向數(shù)據(jù)采集接口中的數(shù)據(jù)應(yīng)用接口進(jìn)行訪問申請，一般不允許通過其他途徑對過程控制系統(tǒng)的數(shù)據(jù)進(jìn)行訪問。

安全防護(hù)系統(tǒng)主要是為了保證過程控制系統(tǒng)數(shù)據(jù)采集接口的數(shù)據(jù)采集過程不影響生產(chǎn)網(wǎng)的正常運(yùn)行、不破壞生產(chǎn)網(wǎng)的安全性，同時隔離與企業(yè)信息網(wǎng)的連接預(yù)防受到網(wǎng)絡(luò)攻擊，由連接生產(chǎn)網(wǎng)與數(shù)據(jù)采集接口的隔離網(wǎng)閘與連接數(shù)據(jù)采集接口與企業(yè)信息網(wǎng)的防火墻兩部分組成。

安全隔離網(wǎng)閘通常布置在兩個安全級別不同的兩個網(wǎng)絡(luò)之間，管理員可以從信任網(wǎng)絡(luò)一方對安全隔離網(wǎng)閘進(jìn)行管理。網(wǎng)閘基本原理是切斷網(wǎng)絡(luò)間的通用協(xié)議連接，將數(shù)據(jù)包分解重組為靜態(tài)數(shù)據(jù)，對數(shù)據(jù)進(jìn)行安全審查，包括網(wǎng)絡(luò)協(xié)議檢查和代碼掃描，確認(rèn)后的數(shù)據(jù)安全流入內(nèi)部單元，內(nèi)部用戶通過嚴(yán)格的身份認(rèn)證機(jī)制獲取數(shù)據(jù)[2]。本系統(tǒng)架構(gòu)中隔離網(wǎng)閘主要隔離生產(chǎn)網(wǎng)與數(shù)據(jù)采集網(wǎng)，部署于這兩個網(wǎng)絡(luò)之間，實(shí)現(xiàn)數(shù)據(jù)采集網(wǎng)與生產(chǎn)網(wǎng)之間安全適度的應(yīng)用數(shù)據(jù)交換，只允許數(shù)據(jù)由生產(chǎn)網(wǎng)向數(shù)據(jù)采集接口單向無反饋傳輸，由于隔離網(wǎng)閘系統(tǒng)在外網(wǎng)與內(nèi)網(wǎng)中間設(shè)有隔離交換單元，內(nèi)外網(wǎng)與隔離交換單元通道不可能同時連通，保證了生產(chǎn)網(wǎng)的絕對隔離，從而保證了企業(yè)生產(chǎn)網(wǎng)的安全。

防火墻部署于數(shù)據(jù)采集接口與企業(yè)信息網(wǎng)之間，隔離數(shù)據(jù)采集網(wǎng)與企業(yè)信息網(wǎng)。它依照管理要求設(shè)定的規(guī)則，允許或是限制傳輸?shù)臄?shù)據(jù)通過。未經(jīng)授權(quán)和安全認(rèn)證，不允許其他任何設(shè)備、網(wǎng)絡(luò)或系統(tǒng)接入數(shù)據(jù)采集網(wǎng)。保護(hù)數(shù)據(jù)采集網(wǎng)免受非法用戶的侵入。

四、結(jié)束語

過程控制系統(tǒng)數(shù)據(jù)采集接口的統(tǒng)一規(guī)范化建設(shè)為滿足企業(yè)信息網(wǎng)對生產(chǎn)網(wǎng)的訪問要求、企業(yè)管理信息系統(tǒng)對過程控制系統(tǒng)數(shù)據(jù)的訪問要求奠定了基礎(chǔ)，為深化生產(chǎn)信息數(shù)據(jù)的業(yè)務(wù)應(yīng)用、為管理層掌握一線生產(chǎn)的實(shí)時情況提供了條件，實(shí)現(xiàn)了數(shù)據(jù)資源的共享，推動了企業(yè)信息化的建設(shè)。

參 考 文 獻(xiàn)

[1]油氣田及管道工程計(jì)算機(jī)控制系統(tǒng)設(shè)計(jì)規(guī)范 GB/T 50823-2013

[2]蒲天銀.安全隔離網(wǎng)閘技術(shù)發(fā)展探討[J]，計(jì)算機(jī)時代，2006.6