文/史成玉

DCS（分布式控制系統(tǒng)）是一種用于監(jiān)視和控制工業(yè)過程中的設備和系統(tǒng)的集成控制系統(tǒng)——它由分布在不同位置的控制器、設備和傳感器等組成，相互之間通過網絡連接并與中央控制器通信。在實際工業(yè)過程中，需要通過網絡將DCS 與多種系統(tǒng)緊密結合在一起，因此，搭建一個安全的網絡至關重要。

目前，DCS 的發(fā)展方向已經不僅僅局限于實現(xiàn)工業(yè)過程自動化控制，而是逐漸向信息化管理和計算機網絡控制方向擴展，將過程控制和信息化管理系統(tǒng)緊密結合起來。在實際工業(yè)過程中，DCS 將與Batch（批處理）系統(tǒng)、SCADA（數(shù)據采集與監(jiān)視控制）系統(tǒng)、MES（制造執(zhí)行系統(tǒng)）、ERP（企業(yè)資源計劃）系統(tǒng)、QMS（質量管理系統(tǒng)）、SPC（統(tǒng)計過程控制）系統(tǒng)等緊密結合。在這個緊密結合的過程中，網絡就是DCS 的核心，是計算機集成控制的基礎，必須保證網絡進行高可靠性、高穩(wěn)定性、高實時性、高實用性的傳輸。

1.安全網絡搭建常見問題

在DCS 中搭建安全網絡時，經常存在以下幾個方面的問題：

（1）網絡拓撲設計

在搭建安全網絡時，需要考慮網絡的拓撲結構，包括網絡設備的布局、網絡分段和隔離等。這方面的常見問題包括網絡設備的選擇、網絡帶寬的規(guī)劃、網絡拓撲的優(yōu)化等。

針對這些問題，筆者有以下4點建議：

①選擇支持冗余設計的工業(yè)級網絡交換機；

②著重考慮交換機的帶寬問題；

③在三層網絡里，要選擇不同的網段，進行物理隔離；

④采用單環(huán)網或雙環(huán)網的拓撲。

（2）安全策略制定

安全策略是保護DCS 安全的重要措施。這方面的常見問題包括如何制定合理的安全策略、如何設置網絡訪問控制、如何進行身份驗證和權限管理等。

在網絡安全方面，公司應對員工進行安全培訓和意識教育，保護和重視自身對網絡的擾動。

初中語文教學大綱指出∶語文作為中華民族最重要的交際工具,是人類文化的重要組成部分,而初中語文對于培養(yǎng)初中階段學生的思想道德品質和科學文化素養(yǎng),弘揚祖國的優(yōu)秀文化和吸收人類的進步文化具有十分重要的意義，“文史不分家”，語文學科和歷史學科之間的滲透和結合在很多文學作品中體現(xiàn)的尤為突出，歷史元素的融入，更加有利于中學生對于中華民族傳統(tǒng)文化的學習以及優(yōu)秀品質精神的影響和弘揚。

（3）防火墻配置

防火墻是保護DCS 免受網絡攻擊的重要設備。這方面的常見問題包括如何選擇合適的防火墻、如何進行防火墻規(guī)則的配置、如何進行防火墻的日常維護等。

在將DCS 與信息管理系統(tǒng)進行緊密結合時，尤其要注意合理設置防火墻，對防火墻采取白名單控制測量，防止產生干擾信息管理系統(tǒng)的擾動。

（4）網絡安全監(jiān)測

網絡安全監(jiān)測是及時發(fā)現(xiàn)和應對安全威脅的關鍵。這方面的常見問題包括如何選擇合適的安全監(jiān)測工具、如何設置安全事件的報警和響應機制、如何進行網絡安全事件的分析和調查等。

針對這些問題，筆者有以下3點建議：

①結合集團網絡的信息管理中心，對DCS 的服務器、網絡進行實時監(jiān)控；

②設置聲光報警燈，一旦DCS 的網絡發(fā)生異常，就及時報警，提醒生產和信息管理系統(tǒng)，并及時進行維修；

③如果網絡發(fā)生異常時，常常無法快速查找到問題的所在，則應對網絡的拓撲進行優(yōu)化、配置和管理。

2.安全網絡搭建案例分析

在DCS 中，實際搭建安全網絡時需要進行規(guī)劃、選型、連接、配置和測試等一系列步驟，以確保網絡的高穩(wěn)定性、高可靠性和高安全性。

搭建時可應用環(huán)形網絡以提高穩(wěn)定性。在環(huán)形網絡中，數(shù)據通過環(huán)形結構進行傳輸，每個設備都可以接收和發(fā)送數(shù)據。當一個設備發(fā)送數(shù)據時，數(shù)據會依次經過環(huán)形上的所有設備，直到到達目標設備。這種方式可以確保數(shù)據的可靠傳輸，避免數(shù)據丟失或重復；而且這種方式的穩(wěn)定性高：主要是每個設備都連接有兩個相鄰的設備，因此即使某個設備出現(xiàn)故障，也不會影響整個網絡的正常運行。圖1 展示了一種DCS 的典型網絡架構，可以看到其主要由3 部分組成：

圖1 DCS 系統(tǒng)網絡架構

（1）工廠層網絡

工廠層網絡的功能包括工廠信息管理和生產管理，其一般都部署于中央控制室，距離和環(huán)境比較優(yōu)越，故采用一般的星型網絡即可，無需組成環(huán)網，它是一種主干網絡，主要采用TCP/IP 網絡協(xié)議標準。

（2）車間層網絡

車間層網絡的功能包括過程控制和過程管理。根據距離可采用光纖組成一個單環(huán)網，如果有需要也可以組成一個雙環(huán)網，其穩(wěn)定性會更高，當然成本也會增大。

另外，在車間層網絡、工廠層網絡以及現(xiàn)場層網絡的接口處，均采用雙冗余環(huán)網交換機，可保證任何接口都經過兩處設備；車間層網絡是DCS 的實時工業(yè)控制網絡，應具有高可靠性、高實用性、高實時性，主要采用TCP/IP 網絡協(xié)議標準。

（3）現(xiàn)場層網絡

現(xiàn)場層包括傳感器、執(zhí)行器、設備、智能儀表的監(jiān)控等，主要采用現(xiàn)場總線Profinet 或其他工業(yè)總線；在本案例中采用了西門子CPU410-5H+ET200SP HA 架構，首先CPU410-5H 內部通過光纖跳線可組成冗余系統(tǒng)，然后在ET200SP HA 從站中，帶有兩個接口模塊的IO 設備，如此一來現(xiàn)場的從站就有兩個通信接口；需要注意的是冗余接口模塊必須完全相同，即必須具有相同的部件編號、硬件版本或固件版本。

子網環(huán)網通過連接至相同CPU 的 MRP 連接形成閉合環(huán)路；綜合起來現(xiàn)場環(huán)網實際上呈雙環(huán)網的形態(tài)，詳細配置如圖2（a）所示。當然，如果雙環(huán)網形態(tài)沒有必要，也可以組成單環(huán)網形態(tài)，只需要把從站的通信模塊配置成一個即可，如圖2（b）所示。

圖2 子網環(huán)網架構

最后，物理設備組態(tài)完畢后，通過拓撲編輯器（Topology Editor），可以組態(tài)和查看現(xiàn)場PN設備的網絡拓撲結構和狀態(tài)，方便維護和診斷。通過拓撲配置可以實現(xiàn)以下信息的監(jiān)視：

①項目中所有 PROFINET 設備及其端口的顯示；

②使用計算的信號運行時間，即每個端口組態(tài)的電纜長度和組態(tài)電纜類型；

③通過本地識別各個PRORINET 設備來互連數(shù)據；

④每個單獨端口的PRORINET 設備的診斷信息；

⑤通過在線/離線比較節(jié)點數(shù)據，簡化默認檢測；

⑥從圖形視圖調用診斷（模塊信息）。

如此三層網絡組網成功后，不但可以保證整個網絡的穩(wěn)定可靠，還能幫助工程師快速檢測網絡中出現(xiàn)的隱患，方便網絡維護。

另外，在整個DCS 網絡中，項目還可開發(fā)一個腳本，實時檢測DCS 中各個層面的網絡是否異常，一旦異常，就通過控制室內的聲光報警燈，及時進行提醒，方便維護工程師第一時間發(fā)現(xiàn)，并結合上述網絡拓撲管理系統(tǒng)，進行問題的查找和解決。

小結

本文羅列了網絡搭建的常見問題，分析了一種DCS 典型網絡架構，為工業(yè)DCS 安全網絡的搭建提供了參考。在進行數(shù)字化建設時，公司應該認識到，可靠的網絡在生產中發(fā)揮著重要的作用，它是實現(xiàn)實時監(jiān)控、遠程控制、數(shù)據存儲和故障診斷等功能的基礎，是提高生產效率、質量和可靠性，降低停車和故障率的保證。