孫靈乾，李新杰，劉煥文，高永釗

（青島特殊鋼鐵有限公司，山東 青島 266409）

0 引言

根據(jù)青島特殊鋼鐵有限公司焦化廠自身發(fā)展需要和集中管控的行業(yè)趨勢(shì)，對(duì)各區(qū)域控制室進(jìn)行整合優(yōu)化到綜合樓三樓集中控制室。設(shè)全廠集中視頻監(jiān)控，管控一體達(dá)到簡(jiǎn)化操作，優(yōu)化流程，提高全廠自動(dòng)化控制水平，實(shí)現(xiàn)崗位操作，調(diào)度一體化。

焦化廠在運(yùn)行的操作站及工程師站總共有39臺(tái)，各個(gè)系統(tǒng)都是獨(dú)立分散控制，很多工藝段的數(shù)據(jù)沒(méi)有匯總，生產(chǎn)調(diào)度比較被動(dòng)，管理上也增加了難度。

現(xiàn)場(chǎng)及中控室的操作員站工控操作系統(tǒng)都是Windows7和Windows XP SP2，上位監(jiān)控軟件使用FactoryTalk SE7.0、WINCC、昆侖通態(tài)和PKS。所有控制器與上位機(jī)使用以太網(wǎng)方式通訊，大部分現(xiàn)場(chǎng)操作室與中控室有網(wǎng)絡(luò)連接，中控室目前有2臺(tái)焦?fàn)t/化產(chǎn)DCS畫畫服務(wù)器，有2臺(tái)備煤操作站，2臺(tái)焦?fàn)t操作站，只用于查看，不能控制。

焦化全廠控制系統(tǒng)及上位機(jī)布置見表1。

表1 焦化全廠控制系統(tǒng)及上位機(jī)布置Table 1 Control system and upper computer layout of the entire coking plant

由于系統(tǒng)建設(shè)周期長(zhǎng)，且控制系統(tǒng)比較繁雜，集控一體化成為一大難題。先通過(guò)北京偉聯(lián)科技有限公司的工業(yè)私有云，對(duì)上位機(jī)系統(tǒng)進(jìn)行虛擬化的方式進(jìn)行整合，可以實(shí)現(xiàn)在線不停機(jī)的系統(tǒng)整合，大大降低停機(jī)風(fēng)險(xiǎn)和生產(chǎn)成本。

1 生產(chǎn)現(xiàn)狀

目前本廠生產(chǎn)區(qū)域共計(jì)5個(gè)作業(yè)區(qū)、9座控制室、19套控制系統(tǒng)、39臺(tái)上位機(jī)，其中控制系統(tǒng)包括AB PLC、SIEMENS PLC以及Honeywell DCS系統(tǒng)，均獨(dú)立控制。各系統(tǒng)對(duì)應(yīng)自己的上位機(jī)監(jiān)控系統(tǒng)，系統(tǒng)之間相互孤立，無(wú)聯(lián)絡(luò)和數(shù)據(jù)交互，分布在9座控制室內(nèi)。

從控制系統(tǒng)的角度來(lái)分析配煤、空氣炮、VOC，深度和加藥系統(tǒng)采用的SIEMENS控制系統(tǒng)，焦?fàn)t和凈化采用的Honeywell C300 控制系統(tǒng)，備煤，篩焦，篩焦除塵，裝煤出焦，污水處理，干熄焦，干熄焦除塵，脫硫脫硝采用的Rockwell Automation控制系統(tǒng)，供電系統(tǒng)采用南瑞的電氣管理系統(tǒng)?？刂葡到y(tǒng)種類繁多，版本復(fù)雜，不具備統(tǒng)一監(jiān)控顯示條件。

從物理位置分布分析，目前焦化廠現(xiàn)有集控室9間，備煤篩焦以及篩焦除塵布置在備煤中控室，配煤和空氣炮分布在配煤控制室，焦?fàn)t，余煤提升，四大車聯(lián)鎖分布在焦?fàn)t中控室，獨(dú)立設(shè)置焦?fàn)t除塵控制室部署裝煤出焦上位機(jī)，凈化中控室部署凈化和VOC監(jiān)控系統(tǒng)，污水處理單獨(dú)設(shè)置控制室，深度處理單獨(dú)設(shè)置控制室，干熄焦，干熄焦除塵，脫硫脫硝，提升機(jī)和加藥控制系統(tǒng)部署在干熄焦控制室，電氣系統(tǒng)單獨(dú)設(shè)置電氣控制室；物理位置比較分散，給集中控制也造成了很大的困難。

2 解決方案

采用工業(yè)私有云&虛擬化的方式來(lái)代替?zhèn)鹘y(tǒng)的工控機(jī)和物理服務(wù)器。具體來(lái)講，在中控室機(jī)房安裝一套工業(yè)私有云平臺(tái)，在私有云平臺(tái)中新建虛擬機(jī)，可以靈活安裝操作系統(tǒng)（Win7、Win10都可以）與工業(yè)組態(tài)軟件。有些作業(yè)區(qū)可以使用WitLinc P2V遷移工具，將原有的操作員站、工程師站、服務(wù)器等物理機(jī)器上的系統(tǒng)文件遷移到私有云內(nèi)，分別以虛擬機(jī)的方式運(yùn)行起來(lái)，然后再做畫面優(yōu)化[1]。

2.1 網(wǎng)絡(luò)設(shè)計(jì)

部署完成后會(huì)在私有云內(nèi)形成與原設(shè)計(jì)物理機(jī)相應(yīng)數(shù)量的虛擬服務(wù)器和客戶端虛擬機(jī)，所有虛擬機(jī)之間根據(jù)需要配合私有云內(nèi)的核心交換機(jī)對(duì)外部網(wǎng)絡(luò)進(jìn)行劃分，實(shí)現(xiàn)允許或組織其相互通訊的網(wǎng)絡(luò)要求。現(xiàn)場(chǎng)控制系統(tǒng)網(wǎng)絡(luò)利用原有的網(wǎng)絡(luò)鏈路即可。

圖1 控制中心網(wǎng)絡(luò)Fig.1 Control center network

工業(yè)私有云內(nèi)含兩臺(tái)高性能可堆疊工業(yè)級(jí)核心交換機(jī)，可作為整個(gè)網(wǎng)絡(luò)中心的核心交換機(jī)使用。另外，基于現(xiàn)場(chǎng)網(wǎng)段性質(zhì)，設(shè)計(jì)將核心交換機(jī)進(jìn)行VLAN劃分，從控制器端連接到核心交換機(jī)的兩個(gè)網(wǎng)段劃分為不同的VLAN以隔離數(shù)據(jù)流。在工業(yè)私有云內(nèi)部也使用劃分VLAN的方式，將控制器現(xiàn)場(chǎng)的網(wǎng)段分別接入虛擬服務(wù)器[2]。

基于以上的網(wǎng)絡(luò)規(guī)劃，運(yùn)行人員側(cè)的瘦客戶機(jī)網(wǎng)絡(luò)與生產(chǎn)現(xiàn)場(chǎng)側(cè)控制器是無(wú)法直接建立連接的，因此從防病毒和攻擊層面也保證控制器的安全。

在焦化新建中央控制室部署一套北京偉聯(lián)科技有限公司W(wǎng)L-840B-BX1型號(hào)的工業(yè)私有云[3]，按現(xiàn)場(chǎng)實(shí)際工藝劃分，每個(gè)工藝段的PLC網(wǎng)絡(luò)先接入機(jī)房的匯聚交換機(jī)上，匯聚交換機(jī)內(nèi)劃分相應(yīng)的VLAN區(qū)域，匯聚交換機(jī)與私有云內(nèi)核心交換機(jī)以可靠的鏈路聚合方式連接。私有云內(nèi)按匯聚交換機(jī)上劃分的VLAN來(lái)對(duì)應(yīng)識(shí)別各個(gè)工藝段的網(wǎng)絡(luò)，如圖2所示。

圖2 工藝段網(wǎng)絡(luò)Fig.2 Process section network

在焦化中央控制室和現(xiàn)場(chǎng)主要崗位（備煤、煉焦、凈化、干息焦等）放置XX臺(tái)瘦客戶機(jī)用于連接到私有云內(nèi)的虛擬機(jī)，瘦客戶機(jī)網(wǎng)絡(luò)也劃分單獨(dú)的VLAN以便與其他的生產(chǎn)網(wǎng)絡(luò)隔離開。

2.2 網(wǎng)絡(luò)安全

圖3為隔離一級(jí)系統(tǒng)核心控制器，設(shè)計(jì)在工業(yè)私有云與一級(jí)系統(tǒng)網(wǎng)絡(luò)之間增加WL-620F-S工業(yè)防火墻。該防火墻將PLC與非PLC設(shè)備網(wǎng)絡(luò)隔離開，用于防止可能會(huì)出現(xiàn)的網(wǎng)絡(luò)風(fēng)暴、泛洪攻擊、惡意掃描、非法下載程序塊、未知來(lái)源設(shè)備接入、未知U盤插入帶來(lái)的惡意病毒攻擊等危險(xiǎn)，拒絕非授信的用戶訪問(wèn)核心PLC設(shè)備，只允許通過(guò)該P(yáng)LC設(shè)備認(rèn)可的通訊協(xié)議。

圖3 網(wǎng)絡(luò)安全防護(hù)Fig.3 Network security protection

圖4 配置虛擬機(jī)IP地址Fig.4 Configure virtual machine IP address

防火墻內(nèi)嵌IPS深入網(wǎng)絡(luò)數(shù)據(jù)內(nèi)部，查找它所認(rèn)識(shí)的攻擊代碼特征，過(guò)濾有害數(shù)據(jù)流，丟棄有害數(shù)據(jù)包并進(jìn)行記載，以便事后分析。

原系統(tǒng)部分工控機(jī)配置了多塊網(wǎng)卡，新建的虛擬機(jī)或者遷移完成的虛擬機(jī)也配置同樣數(shù)量的虛擬網(wǎng)卡。在工業(yè)私有云的虛擬化平臺(tái)內(nèi)，系統(tǒng)會(huì)自動(dòng)虛擬出若干個(gè)虛擬交換機(jī)。該交換機(jī)具備二層網(wǎng)管型性能，數(shù)據(jù)交換能力類比物理萬(wàn)兆核心交換機(jī)。同時(shí)，該虛擬交換機(jī)與外部?jī)膳_(tái)物理核心交換機(jī)可配合使用。根據(jù)現(xiàn)場(chǎng)實(shí)際情況，如果原來(lái)物理機(jī)的每個(gè)網(wǎng)卡都是不同網(wǎng)段并且相互隔離的，遷移完成的虛擬機(jī)也要具備此功能，則為虛擬機(jī)的每個(gè)網(wǎng)卡配置VLAN信息，該VLAN信息與物理核心交換機(jī)相匹配。工業(yè)私有云內(nèi)核心交換機(jī)默認(rèn)配置見表2。

表2 工業(yè)私有云內(nèi)核心交換機(jī)默認(rèn)配置Table 2 Default configuration of core switches in industrial private cloud

實(shí)際連接網(wǎng)線時(shí)，按照規(guī)劃的VLAN信息和端口信息，將現(xiàn)場(chǎng)PLC控制器的網(wǎng)線連接到私有云內(nèi)核心交換機(jī)對(duì)應(yīng)的端口上，在相應(yīng)的虛擬機(jī)內(nèi)設(shè)置相同網(wǎng)段的IP地址即可連通網(wǎng)絡(luò)。

基于以上的網(wǎng)絡(luò)規(guī)劃，可以輕松實(shí)現(xiàn)在私有云平臺(tái)內(nèi)網(wǎng)絡(luò)隔離和選擇性連通的問(wèn)題。同樣基于上述的網(wǎng)絡(luò)規(guī)劃，工業(yè)私有云內(nèi)部具備高度的網(wǎng)絡(luò)故障自恢復(fù)能力。

2.3 硬件配置

整個(gè)系統(tǒng)設(shè)置4臺(tái)計(jì)算服務(wù)器、1臺(tái)雙控雙活存儲(chǔ)服務(wù)器、兩臺(tái)堆疊交換機(jī)以及兩臺(tái)匯聚交換機(jī)。每臺(tái)計(jì)算服務(wù)器配置2顆8核心2.4GHz處理器，內(nèi)存配置128G，系統(tǒng)磁盤配置240G SSD高速工業(yè)固態(tài)硬盤。存儲(chǔ)服務(wù)器配置16盤位雙控磁盤陣列，控制器可熱插拔，最大限度保證數(shù)據(jù)安全。設(shè)計(jì)24T磁盤容量，配置后總資源數(shù)為128顆虛擬CPU（vCPU），512G虛擬內(nèi)存（vRAM），24T虛擬硬盤[4]。

另外，在前端部署39臺(tái)瘦客戶機(jī)，用于操作和顯示，瘦客戶機(jī)采用低功耗的嵌入式設(shè)備，最大功耗9W。配置雙以太網(wǎng)口，雙顯示器口，用于實(shí)現(xiàn)上位機(jī)的網(wǎng)絡(luò)冗余和一機(jī)多顯。

使用工業(yè)私有云架構(gòu)后，運(yùn)行人員使用瘦客戶端連接遠(yuǎn)程桌面的方式連接到工業(yè)私有云中的虛擬機(jī)桌面。瘦客戶端上的所有操作都會(huì)在虛擬機(jī)里面執(zhí)行，瘦客戶端本地不會(huì)存儲(chǔ)任何數(shù)據(jù)。一臺(tái)瘦客戶端可以連接多個(gè)虛擬機(jī)的遠(yuǎn)程桌面，這在一定程度上可以減少一定量的操作員站，實(shí)現(xiàn)經(jīng)濟(jì)高效操作和管理，以及實(shí)現(xiàn)了數(shù)據(jù)不落地應(yīng)用[5]。

一旦瘦客戶端故障，只需更換即可，無(wú)需安裝操作系統(tǒng)和各種工業(yè)軟件，而且瘦客戶端比工控機(jī)更加靈活實(shí)用。

2.4 軟件配置

工業(yè)私有云可通過(guò)管理頁(yè)面輕松創(chuàng)建應(yīng)用虛擬機(jī)，并提供結(jié)合工業(yè)應(yīng)用軟件的應(yīng)用模板，同時(shí)可以完成基于主機(jī)和存儲(chǔ)的可遷移功能。實(shí)時(shí)遷移機(jī)制可為用戶實(shí)現(xiàn)不停機(jī)維護(hù)方案，用戶有計(jì)劃地進(jìn)行物理計(jì)算節(jié)點(diǎn)的升級(jí)維護(hù)時(shí)，可按既定計(jì)劃將該物理計(jì)算節(jié)點(diǎn)上運(yùn)行的虛擬機(jī)全部無(wú)縫遷移到另外的計(jì)算節(jié)點(diǎn)上繼續(xù)運(yùn)行，這種遷移不會(huì)影響虛擬機(jī)內(nèi)業(yè)務(wù)的運(yùn)行[6]。

為保證用戶業(yè)務(wù)的連續(xù)不間斷運(yùn)行，工業(yè)私有云內(nèi)部提供HA高可用機(jī)制，正常運(yùn)行時(shí)一旦某臺(tái)計(jì)算節(jié)點(diǎn)故障，其上運(yùn)行的虛擬機(jī)會(huì)自動(dòng)遷移到另外的計(jì)算節(jié)點(diǎn)繼續(xù)運(yùn)行，保障業(yè)務(wù)運(yùn)行不間斷。

偉聯(lián)科技提供的WiP2V遷移工具可方便將物理工控機(jī)操作系統(tǒng)不停機(jī)地遷移到工業(yè)私有云內(nèi)，以虛擬機(jī)的方式運(yùn)行起來(lái)。該工具可放置于移動(dòng)硬盤運(yùn)行，無(wú)需安裝，使用時(shí)根據(jù)需要自由選擇預(yù)遷移工控機(jī)的磁盤，遷移時(shí)間短，效率高，是系統(tǒng)在線不停機(jī)整合的重要工具。

按照實(shí)際生產(chǎn)需要，設(shè)計(jì)給每個(gè)虛擬機(jī)服務(wù)器配置與原來(lái)服務(wù)器相當(dāng)?shù)膬?nèi)存資源和vCPU的配置，硬盤大小按原有的實(shí)際使用量分配。

對(duì)于USB授權(quán)狗，采用每個(gè)瘦客戶機(jī)連接一個(gè)授權(quán)狗的方式，將USB狗以以太網(wǎng)的方式連接虛擬機(jī)內(nèi)，保證對(duì)應(yīng)虛擬機(jī)的授權(quán)狗都能正常識(shí)別到。即使該虛擬機(jī)連接的遠(yuǎn)程桌面切換到其他的虛擬機(jī)，授權(quán)狗也不影響使用。

3 經(jīng)濟(jì)效益

若目前39套系統(tǒng)采用軟硬件升級(jí)的方式，10臺(tái)服務(wù)器和30臺(tái)工控機(jī)硬件成本大約80萬(wàn)，39套軟件大約120萬(wàn)，總體軟硬件成本將近200萬(wàn)?？紤]調(diào)試周期3個(gè)月，停機(jī)成本更是無(wú)法估量。

能源成本：10臺(tái)服務(wù)器電能需求，按每臺(tái)服務(wù)器雙電源920W，用電每小時(shí)18400W，30臺(tái)工控機(jī)，按照每臺(tái)工控機(jī)300W，9000W/h，總計(jì)27400W，每小時(shí)用電27.4kW。

目前采用私有云架構(gòu)，無(wú)需采購(gòu)新工控機(jī)，無(wú)需升級(jí)軟件系統(tǒng)，耗能設(shè)備包括4臺(tái)計(jì)算服務(wù)器和一臺(tái)雙控存儲(chǔ)服務(wù)器以及39臺(tái)瘦客戶機(jī)，總用電能為：4×460+550×2+39×9=1840+1100+351=3291W，每小時(shí)用電3.29kW，每小時(shí)節(jié)電24.11kW，每年節(jié)電211203kW。能源的節(jié)約是逐年增加的，而且符合國(guó)家的低碳戰(zhàn)略。

4 結(jié)論

本文結(jié)合焦化廠現(xiàn)狀，通過(guò)工業(yè)私有云技術(shù)實(shí)現(xiàn)異地分散多控制室的系統(tǒng)整合，將不同的工業(yè)控制系統(tǒng)通過(guò)高效不停機(jī)的方式遷移到集中控制室，解決了傳統(tǒng)工控系統(tǒng)中上位機(jī)軟件對(duì)物理工控機(jī)和操作系統(tǒng)的依賴。隨著工控機(jī)硬件更新?lián)Q代，操作系統(tǒng)逐漸不能兼容新的工控機(jī)，導(dǎo)致操作系統(tǒng)進(jìn)行升級(jí)。由于操作系統(tǒng)更新而不得已對(duì)運(yùn)行非常穩(wěn)定的組態(tài)軟件進(jìn)行升級(jí)，這樣的話，軟件升級(jí)成本非常龐大和新建沒(méi)有很大區(qū)別。除了焦化廠，其他很多工業(yè)企業(yè)也有一個(gè)工廠具有多種廠家的控制系統(tǒng)，導(dǎo)致組態(tài)軟件也是五花八門。隨著企業(yè)數(shù)字化智能化的不斷深入，越來(lái)越多的控制系統(tǒng)要整合在一起，這就為工廠提出了一個(gè)難題。

而通過(guò)服務(wù)器群集的工業(yè)私有云架構(gòu)進(jìn)行虛擬化遷移，通過(guò)北京偉聯(lián)科技有限公司的WiP2V技術(shù)很便捷地實(shí)現(xiàn)原有工控系統(tǒng)的整合，提高整合效率，降低停機(jī)風(fēng)險(xiǎn)，降低整合成本。傳統(tǒng)工業(yè)控制系統(tǒng)要求系統(tǒng)穩(wěn)定，而由于建設(shè)周期長(zhǎng)，系統(tǒng)獨(dú)立而部署了大量的工控服務(wù)器和工控機(jī)，管理復(fù)雜，耗電又高，而本項(xiàng)目通過(guò)采用工業(yè)私有云整合原有工控機(jī)和服務(wù)器，將原有三四十臺(tái)機(jī)器整合為5臺(tái)服務(wù)器，能耗大幅降低，符合國(guó)家低碳策略。

目前工業(yè)私有云屬于免維護(hù)機(jī)制，無(wú)論硬件故障還是軟件故障系統(tǒng)都會(huì)自動(dòng)修復(fù)，維護(hù)人員只需要對(duì)壞件進(jìn)行更換即可，大大降低維護(hù)成本。