昆仑燃气数据采集与监控系统建议方案

昆仑燃气数据采集与监控系统建议方案目录1项目背景111现状112需求分析12数据采集与监控系统总体概述221建设目标222建设内容223系统设计指标324系统设计原则425系统整体框架5251系统整体拓扑结构5252站库采集系统拓扑结构726系统后期扩容83软件系统设计931软件架构932系统功能10321核心服务器软件10322数据采集器13323用户客户端软件14324企业信息门户17325二次开发工具及访问接口19326高级应用模块20327软件系统性能指标214采集系统设计2241工业网络安全防护装置介绍2342工业网络安全防护装置功能23421基于OPC的应用23422基于MODBUS、DNP3的应用2443工业网络安全防护装置性能指标2544工业数据采集通讯网关介绍2545工业数据采集通讯网关功能说明2546工业数据采集通讯网关性能指标265硬件及网络系统设计2751网络架构设计2752服务器设计2853安全防护体系设计2954UPS电源系统设计32附录一北京三维力控公司简介341项目背景11现状目前昆仑燃气公司在各地有97个站库，而且每年以200300个站库的趋势在增长；预计5年内将会在300个中级城市建立站库，其中每个城市建1个母站，4个门站。那么5年后昆仑燃气公司总的站库数将达到1600个左右。如此多数量的站库分布在全国各地生产运营，但目前总部的指挥中心却无法及时正确的获悉所有站库的信息，这将造成指挥中心无法对整体的运营进行正确的评估及决策。很难给各分支结构下达准确的指导指令，很难对未来的形势和环境进行准确的评估，因此，建设一个完善的数据采集与监控系统成为目前的一个焦点。12需求分析昆仑燃气公司计划在2009年建设数据采集与监控系统，完成对各站库数据的采集与集中监管，为企业的决策提供重要的依据。2009年需要完成的门站数据采集有97个，详细统计表参阅附件。其中每个站库采集点数大约为100200个，那么2009年的采集总点数约为2009719400个。后期增加的点数可按照公式点数站库数200点/站进行计算。系统总点数所有站库数200点/站本次规划建设的数据采集与监控系统主要为昆仑燃气公司的管理层提供一个稳定，可靠，可信并及时的监管系统，对全国各地方站库的运营参数进行采集，筛选，过滤，统计，分析，计算，应用等，以科学的数据为依据，优化公司的生产运营，指导公司的生产运营。2数据采集与监控系统总体概述本章节将对本次建设的系统进行整体的描述和说明，主要分为6个方面1）系统建设的目标；2）系统建设的内容；3）系统设计的指标；4）系统设计的原则；5）系统整体架构说明；6）系统后期的扩展分析。21建设目标昆仑燃气公司将在北京设立指挥中心，建设数据采集与监控系统。2009年计划完成全国近20个省市站库数据的采集及监控。站库一共97个，每个站库采集点数约为200个，总采集点数约为20000个。按照预测，后期每年将增加站库300个，5年后总站库数将达到1600个，系统总采集点数将达到320000个。系统完成功能如下各站库所有参数的采集与存储。各站库主要参数，主要工艺画面的监视。各站库主要参数的统计及分析各站库主要参数的趋势图，饼图，棒图展示各站库主要参数的日报，月报，季报，年报。整个系统的WEB发布，满足用户在任何时间，任何地点都可通过用户认证方式访问此系统。整个系统具有很好的扩展性，伸缩性。使得后期新增站库可以低成本无缝接入。22建设内容1系统功能开发与调试，具体内容包括各站库设备驱动开发及调试主要工艺画面开发及调试系统主要工艺参数的统计及分析功能开发及调试系统主要工艺参数日报，月报，季报，年报开发及调试。系统应用功能开发及调试。WEB功能开发及调试。2昆仑燃气公司数据采集与监控系统中心的建设，具体内容包括机房选择及布置。硬件设备安装及调试。网络安装配置及调试。系统软件安装及调试。用户培训。3各站库的数据采集及传输，具体内容包括采集设备在现场的布置。采集设备安装及调试。网络安装配置及调试。数据采集及传输调试。23系统设计指标项目说明指标备注点数500,000点历史数据存储时间5年用户数1024数据采集频率1秒系统总容量系统设计考虑的容量，性能参数等系统响应速度2秒本系统设计为分布式架构，具有良好扩展性管理点数1000,000点IO能力500,000点单台数据服务器容量单台服务器所能管理的点数，IO能力，支持用户数。用户数1024单台通讯服务单台服务器所能管管理点数300,000点系统扩容，容量到上线器容量理的点数，IO能力。IO能力300,000点后，只需增加服务器数据即可。网络吞吐量500MBPS防火墙设备的吞吐量及支持用户数用户数限制无限制背板带宽32GBPS端口数24个交换机设备的吞吐能力及支持的节点数包转发率35712MPPSWEB服务器容量服务器只支持的最大用户数用户数1024应用服务器容量服务器只支持的最大用户数用户数1024存储容量4TB磁盘阵列磁盘阵列的存储能力存储时间5年工业隔离设备工业隔离设备的数据转发能力IO能力5,000点系统扩容只需站库增加此设备即可。单个站库网络带宽单个站库（200点）上传数据所需带宽网络吞吐量30KBPS设计考虑200点每秒上传一次数据指挥中心网络带宽指挥中心接收远端数据所需带宽网络吞吐量25MBPS目前设计考虑为86个站每秒上传一次数据。24系统设计原则可扩展性系统的设计上一方面要全面满足当前环境下的需求及未来一段时间的应用需求，另一方面要能方便地进行功能扩展，可灵活增添删减功能模块。可集成性从技术发展角度和用户需求来看，软件结构本身应能与其它应用系统集成，做到信息共享和资源共享。互操作性支持各种主流实时数据库的数据接口，并通过标准关系数据库接口ODBC，OLEDB实现与ERP及其它MIS系统的数据集成。平台的开放性保证了今后可从生产管理系统的不同数据模块中裁剪不同的功能，以满足某个特定任务的需要，实现互操作。25系统整体框架251系统整体拓扑结构从下面的整体系统结构图可以看出，本系统将划分为9个功能区1）分布式设备数据采集区域，包含多个区域；2）广域网数据传输网络；3）网络互联区；4）实时数据处理区；5）数据存储区；6）应用功能区；7）安全防护区；8）数据备份区；9）画面展现区。各个功能区将会在后面部分逐一描述。在各个站库安装及配置一台数据采集网关和一台工业隔离设备，其中数据采集网关通过以太网或串口等通讯方式将各个站库的硬件设备（如PLC，板卡，仪表等）采集到数据采集网关，数据采集网关通过自身的另外一个网口将数据实时的发送到工业隔离装置，工业隔离装置收到数据包后，将数据包进行解析，剥离TCP/IP协议，将原始数据单向传输到工业隔离装置的另外一侧，工业隔离装置再对远程数据进行加密压缩，并通过INTERNET将加密压缩后的数据包传送到远端指挥中心的通信服务器，通信服务器获得数据包后，通过专有的解码程序对数据包解压缩及解码。将还原后的数据实时发送到数据库服务器，由实时数据库对数据进行归档存储。应用服务器将汇集到中心数据进行二次加工及计算，回写数据存储区保存起来。开发出来的画面及报表等将通过WEB方式及指挥中心大屏幕展现给决策者。为提高系统的稳定性，可靠性，可用性，在中心系统的建设中，考虑构建网络冗余提高底层通讯的稳定性，构建冗余的通信服务器、数据库服务器、应用服务器提高系统的可靠性，构建网络防火墙和病毒防火墙提高系统的抗风险能力。构建网络备份设备NAS，可大大降低意外事故带来的数据丢失损失。在本次系统的建设中，本着降低系统通讯费用的原则，对已经接入集团专网的分公司，可考虑将分公司范围内个站库的数据通过集团专网传输到集团总部，这样可减少申请多条ADSL链路所产生的运营费用，但需要指出的是，如考虑使用集团专网传输数据，尽可能的保证数据传输的带宽，所需带宽的计算公司如下总带宽站库数目30KBPS整个系统网络拓扑结构根据上面的情况分析后，可修改为如下的混合模式结构252站库采集系统拓扑结构在站库采集系统中，使用工业数据采集通讯网关PFIELDCOMM连接到生产系统中网络进行数据采集，为了保证底层生产网络的安全，在工业数据采集通讯网关PFIELDCOMM与外部网络之间增加工业网络安全防护装置，利用工业网络安全防护装置的双系统，单向隔离传输功能，将病毒及网络黑客行为彻底隔离在外网。最大限度地保护生产系统的安全和可靠运行。26系统后期扩容后期新增加站库接入所需成本如下1新增站库设备通讯驱动开发及调试成本。2新增站库通讯传输设备（数据采集网关，工业隔离设备，网络防火墙，宽带业务开通）成本3中心数据增加新站库测点及工艺图的开发及调试成本。3软件系统设计31软件架构北京三维力控公司的PSPACE平台针对生产企业具有一套成熟，先进的生产管理解决方案。该软件平台完全按照层次化，模块化的思想进行设计，结合生产型企业的特点和需求对整个系统进行抽象及提炼，以数据为主线进行设计与扩展，底层以各种驱动来提取生产中的各类数据，构架企业生产信息建立统一数据库平台，并以行业应用特点为模型结合强大的计算引擎建立应用功能模块，到最顶层再以统一的展现方式为企业服务。整个系统总结一下可以总结如下分布式数据采集，集中式数据存储，分布式模块化应用，统一信息展示。整个系统可按照下面模型构建。32系统功能321核心服务器软件PSPACESERVERPSPACESERVER作为整个系统的核心部分，搭建PSPACE应用系统的稳固平台，可运行在UNIX/LINUX/WINDOWSNT/WINDOWS2000/WINDOWS2003等平台。实时数据采集处理所有来自各种外部系统的数据，如DCS，PLC，SCADA，底层I/O设备等。周期性将数据送到文件归档，同时根据需要将报警信息进行发布。历史数据存储旋转门压缩方式结合类WINZIP的打包技术，80GB的容量便可容纳上万点10年的历史数据。网络通讯响应基于ACE架构的网络通讯协议，让通讯更加可靠，效率更加高效，带宽利用更低，适用环境更多。统计数据处理对PSPACE中的数据按照需要的方式进行灵活的统计处理。数据二次计算二次计算功能是一种具有时间确定性的在线计算引擎。它提供了对PSPACE中的数据进行二次计算和实施高级运算的功能。具有定时触发计算，条件触发计算，离线数据计算等方式。事件触发管理通过事件的定义，完全按照用户的意愿定制系统运行的方式，如触发存储，触发计算，触发统计等等。自诊断，自恢复功能能对模块进行监视，对系统文件，数据文件进行有效性检测，系统故障后能自动恢复系统，能对数据文件进行检测，对错误信息进行有效处理，将各种异常情况造成的损失降到最低。管理员客户端管理员客户端包含以下组件安全登录管理数据库远程管理客户端数据库配置管理客户端数据库用户权限管理历史数据管理客户端采集器配置管理报警配置管理日志管理模板管理系统性能监视322数据采集器PSPACEDASERVERPSPACETMDASERVER是数据采集站的设备通讯管理服务程序，用于系统和DCS、PLC等数据源之间的数据交换，具有自动网络通信负荷平衡功能和断线数据缓冲功能。PSPACEDASERVER以前端节点机方式运行，运行于UNIX/LINUX/WINDOWS98/WINDOWSNT/WINDOWS2000/WINDOWSXP/WINDOWSXPEMBEDED/WINDOWSNTEMBEDED平台。DASERVER可以和SERVER运行在同一服务器内，也可以运行在不同的前端机上，通过TCP/IP与SERVER通信。DASERVER的性能支持通过RS232、RS422、RS485、电台、电话轮巡拨号、以太网、移动GPRS、CDMA、GSM网络等方式和设备进行通讯；开发环境下具备在线诊断设备通讯功能，可以动态的打开、关闭设备，通讯故障后具备自动恢复功能；支持控制设备和控制网络冗余，控制设备进行切换时，通讯会自动切换；支持多种协议的设备挂在一条通讯链路上与DASERVER进行通讯，方便电台等远程通讯；支持与设备采取主、从、主、主、从、主等多种交互机制来进行通讯，比如对MODBUS标准协议设备，支持主与从2种方式与设备通讯；可以采集带时间戳的数据，毫秒级数据采集速率，实现历史数据向实时数据库的回插功能，可以采集记录仪、录波器数据，支持SOE，完成事件监视。DASERVER支持的设备种类支持主流的DCS、PLC、DDC、现场总线、智能仪表等1000多种厂家设备的通讯；也可以按照用户提出的通信协议和硬件接口，在较短时间内开发新的驱动程序。DASERVER对移动通讯的支持所有设备的驱动程序支持通过移动GPRS、CDMA网络与控制设备进行通讯，DASERVER节点与其远程DASERVER节点也可以进行移动通讯；DASERVER移动数据服务器与远程设备的通讯为并发处理、完全透明的解决方案，消除了一般软件采用虚拟串口方式造成数据传输不稳定的隐患，有效的流量控制机制保证了远程应用中节省通讯费用；支持设备主动通过GPRS上传数据的方式进行数据传输。323用户客户端软件EFORCECON面向对象的组态界面通过EFORCECON的画面组态工具，用户可以快捷，方便的开发定制图形视图应用。预制图形模板、工程模板，提供上千种丰富的工业图形元素，支持多达几百种过度色和渐进色调色板，动画连接可以构成逼真强大的动画效果，可以提供多种工业标准的复合图形组件来完成过程的监控和部署可视化应用。强大的后台脚本支持功能面向对象设计的脚本编译环境，“所见即所得”，方便引用方法和变量；类“BASIC”的语言环境，提供面向对象编程方式；脚本类型和触发方式多样，支持条件动作、数据变化动作、窗口动作、循环动作等；脚本支持多种结构，支持数组运算和FOR循环结构；实时/历史曲线的查看及预测监控实时/历史曲线是查看和浏览历史及实时数据的趋势曲线工具,通过它,可以定制各种功能的趋势曲线,便于工程师们根据需要对设备情况进行未来走势预测,事故原因分析,工况对比等等。数据导出分析功能EFORCECON提供的数据导出分析功能允许用户将当前趋势的数据导出以便分析,允许导出最大值,最小值,峰值,快照值,平均值等,用户可以进一步进行分析和统计以及报表输出内嵌功能强大的专家报表报表开发工具提供丰富的报表操作函数集、支持复杂脚本控制，包括脚本调用和事件脚本，比如利用报表函数可以在报表上同时显示实时数据和任意时刻的历史数据，并加以统计处理，例如取行平均、列平均，统计出最大最小值。PSPACEEXCELADDINPSPACEEXCELADDIN允许用户自定义各类报表,进行各类数理统计,分析通过它,日常简单的数据查看分析变得简易方便PSPACEEXCELADDIN能提供如下功能查询实时/历史数据。利用索引点查询过滤数据。查询统计值（最小值、最大值、平均值、标准方差、累计值、计数值）。显示、导入、导出标签。导入、导出数据。显示、导入、导出消息。显示采集接口。324企业信息门户将企业的生产过程系统，数据浏览系统，数据查询系统，数据分析系统以WEB的方式提供出来。以方便快捷的方式为企业用户展示企业信息，了解工厂的运行情况，从PSPACEWEB提供的数据分析及专业应用工具中了解企业的运作。基于WEB的配置，运行，管理方式，极大的减少了企业的管理维护成本。无须具备高级语言开发能力，便可对PSPACEWEB系统的页面，功能进行定制的修改。用户名和密码的验证访问方式，可保护系统的安全。325二次开发工具及访问接口标准访问接口供客户端程序调用或第三方软件访问使用，因此接口的完整性、开放性决定实时数据库二次开发性能的优劣，数据库访问接口主要包括以下几种1）APIDBIAPI是一套实时数据库访问接口，给用户提供底层编程接口，通过它可以与客户端连接，对数据库进行数据读写，满足继线重连功能，可以获取数据库结构信息，动态控制变化数据集，DBI接口采用了快速数据访问机制，数据访问吞吐量可达到200，000次/秒，可以适合过程仿真、优化控制、专家诊断等多种行业应用。2）COMSDKSDK是为用户开发基于人机界面客户端的应用程序提供基于COM对象的编程接口，用COMSDK编写的一个实例可以同时连接多个SERVER，也可以用COMSDK同时建立多个实例，提供面向对象的类库供用户开发应用程序，用户使用该工具编程可以提高开发效率，该工具可以在VC，VB，VBSCRIPT等开发环境下使用。3）OLEDBPROVIDER为应用程序提供数据库的人机界面客户端ADO访问接口。4）DAISDK是数据源采集接口的开放工具，DAI采集接口软件都可以单独运行在一台网络节点机，并可在远程对其进行配置与监控，具备以下功能DAI可以直接利用DASERVER的驱动程序；DAI具备断线缓存功能；DAI支持XML、CSV文件接口，可采集离线数据源。5）NETAPI完全为DOTNET开发人员提供方便，快捷的访问的PSPACE的方式，提高DOTNET开发人员的效率和质量。6）JAVAAPI完全为J2EE开发人员提供方便，快捷的访问的PSPACE的方式，提高J2EE开发人员的效率和质量。7）OPCSERVEROPCSERVER为熟悉工业控制的用户提供了工业标准的OPC访问接口。提供的OPCDA，OPCHDA，OPCAE，为用户提供完整的工业访问接口。8）ODBCODBC为熟悉关系数据库的用户提供了一种更为简便的访问PSPACE数据库的方式。用户可在关系数据库或自己的应用程序中快速获取PSPACE数据库中的标签，实时数值，质量，历史数据等信息。326高级应用模块报表工具可以在PSPACEHMI的万能报表工具中获取实时数据库的各种过程数据，完成数据的查询与计算；建立易用、灵活、强大的报表系统。设备运行诊断工具生产设备运行诊断工具可以方便地了解运行设备故障事件发生的时间、地点、状态和原因，从而降低设备维护成本。趋势组记录工具提供了非常丰富的趋势记录功能，实时趋势和历史趋势记录允许趋势曲线多层重叠，可以通过颜色区分好数据和坏数据，可以显示数据的采样周期、数值精度和曲线变化情况。图形分析工具包括直方图、饼图、面积图等十种图形分析工具，非常方便数据的显示与比较。图形具有透明性，从而更加容易地观察到数据之间的差别。趋势曲线放大镜利用趋势曲线的放大镜工具，可以放大任何时间的实时和历史曲线，非常方便地分析时间序列的数据。通过趋势曲线的滚动按钮，可以前后滚动查看趋势曲线的变化情况。成本核算工具内嵌成本核算摸板工具，包括核算体系（生产基本单位核算、财务核算及其报表）、预算和考核体系、信息实时查询（收率、消耗、能耗等）、成本统计报表。质量分析工具提供质量分析摸板工具，将生产过程的实时数据和质量点的采样数据进行比较，在线进行评估，以便生产管理人员及时掌握各个产品的质量数据。长期保存质检数据，便于质量分析。327软件系统性能指标简要描述体系结构完全模块化结构设计I/O能力写入300,000点/秒，读取300,000点/秒压缩方式旋转门，二次压缩压缩比率140接口支持情况支持主流DCS、PLC、DDC、现场总线、智能仪表等近1000多家设备采集接口。冗余集群支持情况数据库自带支持多服务器、双接口机、双网、双通道等多种冗余技术。支持第三方冗余软件。缓冲支持情况接口缓冲，API缓冲，数据库缓冲安全机制用户权限分组，密码认证，系统安全区。对外数据提供API,COMSDK，OLE，OPC等数据精度精度可达1MS。内外网安全实现数据服务可跨区域，跨网络单向传输。支持数据类型浮点型，整型，布尔型，字符串，“任意”类型。故障自恢复能力自动诊断，自动恢复。相关评述技术要点4采集系统设计本次系统各个站库的采集系统可按照如下图所示拓扑结构构建站库采集拓扑结构图硬件防火墙数据采集网关图例注释生产网络DCSMACH3001MACH3001PLC仪表ADSLMODEM工业隔离设备VPN工业隔离设备ADSLMODEM数据采集网关使用工业数据采集通讯网关PFIELDCOMM连接到生产系统中网络进行数据采集，为了保证底层生产网络的安全，在工业数据采集通讯网关PFIELDCOMM与外部网络之间增加工业网络安全防护装置，利用工业网络安全防护装置的双系统，单向隔离传输功能，将病毒及网络黑客行为彻底隔离在外网。最大限度地保护生产系统的安全和可靠运行。41工业网络安全防护装置介绍PSAFETYLINK是种专为工业网络应用设计的防护设施，用于解决工业SCADA控制网络如何安全接入信息网络（外网）的问题。它与防火墙等网络安全设备本质不同的地方是它阻断网络的直接连接，只完成特定工业应用数据的交换。由于没有了网络的连接，攻击就没有了载体，如同网络的“物理隔离”。由于目前的安全技术，无论防火墙、UTM等防护系统都不能保证攻击的一定阻断，入侵检测等监控系统也不能保证入侵行为完全捕获，所以最安全的方式就是物理的分开。PSAFETYLINK通过内部的双独立主机系统，分别接入到控制网络和信息网络，双主机之间通过专用硬件装置连接，从物理层上断开了控制网络和信息网络的直接网络连接。同时PSAFETYLINK通过内嵌的高性能工业通信软件，支持各种主流工业SCADA通信标准，如OPC、MODBUS、DNP3等。42工业网络安全防护装置功能PSAFETYLINK适用于各种工业SCADA系统的网络安全防护。典型应用领域有流程工业DCS控制系统的网络安全防护；电力系统现场IED设备的网络安全防护；轨道交通ISCS的网络安全防护；煤矿、冶金行业现场控制系统的网络安全防护等。下面分别介绍了几种典型的应用环境。421基于OPC的应用信息网络外网控制网络信息端控制端OPCCLIENTPSAFETYLINK工业网络安全防护网关OPCSERVERDCS操作站客户端MES实时数据库服务器OPC标准由于其开放性和高效性，现在已被广泛应用于自动化控制领域及生产信息管理中。目前大多数DCS系统、SCADA系统对外都提供了OPCSERVER，以便为上层MES、生产调度等管理信息系统提供实时生产数据。同时几乎所有的MES系统、生产调度系统的采集接口也都提供了OPCCLIENT以便能实现对OPCSERVER数据的采集。然而OPCSERVER与OPCCLIENT的通信依赖过程控制系统网络与管理信息系统网络的直接连通。管理信息系统的网络出于业务需要一般要连接到互联网络，这样会对过程控制系统网络的安全带来极大的隐患。PSAFETYLINK的双独立主机系统分为控制端和信息端，分别接入过程控制系统网络和管理信息系统网络，各自完成与OPCSERVER和OPCCLIENT的通信，同时两主机之间采用PSL专用网络隔离技术，在保证OPC数据快速交互的同时彻底阻断了网络的连接，保证了过程控制系统网络的安全。422基于MODBUS、DNP3的应用远程后台服务器IED/PLC/RTU/智能仪表控制端PSAFETYLINK工业网络安全防护网关SCADA操作站信息端MODBUS/TCPMASTERMODBUS/TCPSLAVE调度中心服务器DNP3DNP3MODBUS是基于PLC的一组通信协议。它已经成为行业内互相通信的标准协议，也是目前最常用的工业系统电子设备之间的连接方式。DNP30分布式网络协议是使用在工序自动化系统各部件之间的通信协议规约。它主要用于像电力、水力等公用事业单位。此外，它的发展使得不同形式的数据获取与控制设备之间的交流更为便利。调度自动化系统的后台为了实时获取现场设备的数据，经常需要通过网络使用MODBUS、DNP3等通信规约进行数据传输。然而调度数据网络与现场控制设备的直接连通，就相当于将控制系统直接暴露给外网而面临被攻击的可能。PSAFETYLINK内嵌高性能工业通信软件，支持MODBUS、DNP3等标准通信规，可以实现调度自动化后台系统与现场设备的实时通信，并根据需要可设置数据方向。当设置为单向方式时，后台系统的所有数据回置操作将被屏蔽，以保证现场控制设备的安全。43工业网络安全防护装置性能指标PSAFETYLINK系列网关产品按照高性能工业通信网关标准设计，硬件平台采用高性能嵌入式计算平台，系统选用优化裁剪的内核系统，内嵌高速实时数据平台和I/O通信组件，使整个系统达到较高的性能，可以满足各种工业应用场合。下面列出了PSAFETYLINK的主要性能指标单机额定容量5,000点；额定数据吞吐量10,000TPS；峰值数据吞吐量20,000TPS；单机额定连接数控制端512个，信息端512个；系统MTBF30000小时44工业数据采集通讯网关介绍力控的工业数据采集通讯网关PFIELDCOMM是一款解决目前过程自动化、电力自动化、楼宇IBMS、企业信息化中由于各软件系统、设备通信协议不一致这类问题的产品，使用PFIELDCOMM可以简化系统中异种协议的转换和系统联网过程，使得异种协议容易接入并可转换为标准协议（如OPC方式）并与其它系统联网。45工业数据采集通讯网关功能说明实时数据采集和处理，不但可以实现串口、以太网、现场总线物理层的通信协议转换、同时在数据链路协议层的通信协议也可以相互转换；具备将非标准通信协议转化为标准通信协议的功能，具有开放性的OPC接口；支持GPRS、CDMA、数传电台、电话拨号、卫星等远程通信方式。46工业数据采集通讯网关性能指标PFIELDCOMM工业数据采集通讯网关采用通用的硬件平台，装载PFIELDCOMM通信协议转换软件系统后可完成多通信协议的联接、转换和通信数据采集、管理与网络数据共享等强大功能；设备特点苛刻工业现场考验，防震、抗震；工业电源、无风扇，低功耗设计；丰富的网络通信接口。设备指标电源采用工业标准24VDC电源；通信接口具备RS232/485、以太网接口；处理器低功耗、无风扇处理；存储器工业级电子盘；安装方式DIN导轨安装、面板安装、壁挂式安装；扩展接口良好的扩展接口，串口和以太网接口便于扩展。5硬件及网络系统设计51网络架构设计集团生产数据中心系统拓扑结构图在本次设计的生产管理系统中，整个系统可划分为如下9个区域1）分布式设备数据采集区域，包含多个区域；2）广域网数据传输网络；3）网络互联区；4）实时数据处理区；5）数据存储区；6）应用功能区；7）安全防护区；8）数据备份区；9）画面展现区。所有的功能系统都是通过网络设备来实现互联的。各系统按照不同功能进行区域划分，设置相应的访问控制策略，整体拓扑见上图。从系统整体拓扑图中可以看到，指挥中心网络拓扑采用星型结构。按照功能划分整个网络，分为九大功能区。九大功能区相互独立又互相融合，建立在业务需求的基础上，整体的设计思路如下模块化的业务模型，以业务定模块，以规模定设备。在业务模型的基础上，将网络分为多个部分单独设计，并充分考虑各模块之间的相互关联。52服务器设计521实时通讯部分指挥中心前端采用两台通讯服务器来接收远程传输过来的数据，考虑到系统的稳定性及可靠性，特设置了一对冗余的服务器来完成实时数据处理的任务，无论哪一台服务器出现故障，另外一台服务器都可以在很短的时间内切换到工作状态。522数据存储部分数据存储部分由两部分组成，数据集中处理及数据存储。主要实现将实时通讯服务器上从各个站库采集的数据长期的，永久的保存起来。数据集中服务器采用2台SUN的高端小型机，具有很高的性能和稳定性，用来满足系统长时间运行的需求及用于处理各个生产控制系统集中后的海量数据，再利用PSPACE的二级压缩算法，将数据存储到存储设备上。523应用服务部分应用功能服务器应用功能数据库服务器提供对企业生产数据进行二次加工及高级应用，如设备管理,批次管理,工序调度,资源分配,状态监测,生产管理,性能分析，质量管理，产品跟踪，事故追忆等。应用功能服务器将采用2台IBM的服务器安装标准版WINDOWSSERVER2003SP2。WEB发布服务为满足企业内各种应用系统的需要，本系统配置了WEB功能。主要作为WEB发布使用。应用功能服务器将采用1台IBM的服务器安装WINDOWSSERVER2003SP2。524系统备份部分本次系统考虑设置一台NAS设备进行整个系统数据的备份，可利用NAS网络访问的特性，可将NAS布置在另外的地方，通过网络与数据库系统实现互联，实现重要数据的异地备份，全自动备份。525系统展示部分本次系统开发的工艺流程图及各种报表，都可通过C/S和B/S方式展示给企业用户。还可将所有数据提供给指挥中心的大屏幕。53安全防护体系设计为了防范黑客及恶意代码等底层生产网络的攻击侵害及由此引发的生产事故，保障生产系统的安全稳定运行，需要建立生产系统安全防护体系，系统安全防护工作应当坚持安全分区、网络专用、横向隔离、纵向认证的原则，保障底层生产系统的安全。确保一个系统是否安全需要从安全体系的角度去考虑和设计，一个安全体系是多层次、分级别的，在设计安全体系时，必须考虑系统的安全要求，但又必须考虑到安全是有代价的，安全级别越高，付出的成本也会越高，安全体系的维护和管理也会越复杂，另外，系统的易用性及响应效率也会受到影响。系统安全威胁系统的安全威胁主要有以下几个方面来自互联网络的黑客攻击，使WEB主页信息遭到篡改；由于黑客攻击，导致WEB服务器对正常网络用户访问的响应缓慢或拒绝服务；“特络伊木马”类型的病毒通过感染WEB服务器，盗取系统管理员、网络用户的身份和口令；由于网站软硬件系统故障导致可靠性和可用性水平降低；网站维护人员通过远程操作方式对WEB服务器的主页内容进行更新和维护，这一过程缺乏必要的安全防护措施；由于WEB服务器没有访问审计能力，一旦受到攻击和破坏，很难追踪和定位攻击的发源地，形成被动挨打的局面；完全依赖系统管理员的手工操作不可能监视和排除所有的网络入侵事件，缺乏有效的技术手段监视、评估系统的安全性是非常危险的；缺乏必要的网站维护和安全管理制度。系统安全设计目标从整个安全体系来讲，一个好的安全系统应能够做到设备安全性服务器、防火墙、存储设备；操作系统的安全性；数据安全数据备份（备份方法、备份策略）；能够提供统一的安全管理策略；能够对网络中传输的敏感信息提供必要的加密手段，并保证数据的完整性；能够对每个使用系统的用户提供统一的身份认证；能够对每个用户进行授权管理保证信息机密性、信息的不可否认性及信息安全性；能够进行必要的网络隔离，包括物理隔离和逻辑隔离；能够提供有效的黑客防范措施，消除系统隐患、检测异常行为，阻止入侵行动；提供统一的病毒防范手段；能够对内容进行监管和过滤，杜绝不良信息在网上传播；其它安全性入侵检测及预警系统、漏洞扫描系统、网络信息分析、网站监视与修复系统。系统安全设计原则安全总体设计应遵循以下基本原则需求、风险、代价平衡性网络系统的绝对安全是难以达到的。通过对安全威胁的定性与定量分析，制定行之有效的安全策略，同时在安全性和投资之间寻求平衡。综合性运用系统工程的观点、方法分析站点的安全问题，制定工程上可行的具体安全措施，综合应用多种安全措施。一致性安全措施与网站生命周期同步，安全体系结构必须与安全需求保持一致。易操作性安全措施易于使用，不能影响系统正常运行。适应性、灵活性安全措施能够适应系统性能及安全需求的变化。多重保护构建一个具备多重保护能力的系统，当安全系统某局部被破坏时，其它部分仍能够有效提供安全服务。管理与技术手段有限授权只有系统管理员、信息录入员有权对网站信息进行更新和控制，其他网络用户只能浏览WEB主页信息、收发电子邮件。预防攻击对于来自因特网的黑客攻击，应以预防为主。采取相关措施，增强WEB服务器和MAIL服务器的防黑客、抗病毒的能力。瞬时恢复对于遭到破坏的服务器和网络设备，可以在尽量短的时间内进行自动或人工恢复，杜绝或弥补由此造成的不良影响。审计跟踪详细登记网络用户的登录情况、对信息资源的访问情况，尤其是网络黑客的攻击过程。通过分析审计记录，及时发现并封堵系统漏洞，提升系统安全强度，定位网络入侵来源，举证网络黑客的法律、刑事责任。一个安全体系是多层次、分级别的，应该能够保证设备本身的安全性、网络结构的安全性；也应进行必要的网络隔离，包括物理隔离和逻辑隔离，保护数据的安全性；还要提供一定的防病毒、抗攻击的能力，提供有效的黑客防范措施，消除系统隐患、检测异常行为，阻止入侵行动；同时也应具备良好的安全管理策略。整体防护体系的工作机制用工业数据采集通讯网关加工业网络安全防护装置分别采集各个地方各个站库的数据。利用工业网络安全防护装置的缓存功能（可以保存7天的数据），在通讯服务器与工业网络安全防护装置的连接中断时，采集到的数据被暂时保存在工业网络安全防护装置上，当网络恢复时，缓存的数据会自动传送到数据库服务其中，从而防止通讯服务器故障时丢失数据。同时，单个节点的故障不会影响其它站库的数据采集。这种分布式的数据采集方案极大地提高了系统的可靠性和灵活性。硬件防火墙的安全机制防火墙能增强机构内部网络的安全性。防火墙系统决定了哪些内部服务可以被外界访问；外界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。防火墙必须只允许授权的数据通过，而且防火墙本身也必须能够免于渗透。工业网络安全防护装置的安全机制PSAFETYLINK采用截断TCP连接的方法，彻底割断穿透性的TCP连接。PSAFETYLINK的控制端与信息端主机之间采用专有的PSL网络隔离传输技术。PSL的物理层采用专用隔离硬件，链路层和应用层采用私有通信协议，数据流采用128位以上加密方式传输，更加充分保障数据安全。PSL技术通过物理隔离与专有隔离传输技术，实现了数据完全自我定义、自我解析、自我审查，传输机制具有彻底不可攻击性，从根本上杜绝了非法数据的