工业以太网各场合应用

1、工业以太网工业以太网是基于IEEE 802.3 (Ethernet)的强大的区域和单元网络。利用工业以太网，SIMATIC NET提供了一个无缝集成到新的多媒体世界的途径。企业内部互联网(Intranet),外部互联网(Extranet)，以及国际互联网(Internet)提供的广泛应用不但已经进入今天的办公室领域，而且还可以应用于生产和过程自动化。继10M波特率以太网成功运行之后，具有交换功能，全双工和自适应的100M波特率快速以太网(Fast Ethernet， 符合IEEE 802.3u的标准)也已成功运行多年。采用何种性能的以太网取决于用户的需 要。通用的兼容性允许用户无基本定义不稳定

2、因素今天的控制系统和工厂自动化系统，以太网的应用几乎已经和PLC 一样普及。但现场 工程师们对以太网的了解，大多来自他们对传统商业以太网的认识。很多控制系统工程的实 施甚至是直接让IT部门的技术人员来实施。但是，IT工程师们对于以太网的了解，往往局 限于办公自动化商业以太网的实施经验，可能导致工业以太网在工业控制系统中实施的简单 化和商业化，不能真正理解工业以太网在工业现场的意义，也无法真正利用工业以太网内在 的特殊功能，常常造成工业以太网现场实施的不彻底，给整个控制系统留下不稳定因素。需考虑因素那么选择正确的工业以太网要考虑哪些因素？简单的来说，要从以太网通讯协议、电源、 通信速率、工业环境

3、认证考虑、安装方式、外壳对散热的影响、简单通信功能和通信管理功 能、电口或光口的考虑。这些都是最基本需要了解的产品选择因素。如果对工业以太网的网 络管理有更高要求，则需要考虑所选择产品的高级功能如：信号强弱、端口设置、出错报警、 串口使用、主干(TrunkingTM)冗余、环网冗余、服务质量(QoS)、虚拟局域网(VLAN)、 简单网络管理协议(SNMP)、端口镜像等等其他工业以太网管理交换机中可以提供的功能。 不同的控制系统对网络的管理功能要求不同，自然对管理型交换机的使用也有不同要求。控 制工程师们应该根据其系统的设计要求，挑选适合自己系统的工业以太网产品。由于工业环境对工业控制网络可靠性

4、能的超高要求，工业以太网的冗余功能应运而生。 从快速生成树冗余(RSTP)、环网冗余(RapidRingTM)到主干冗余(TrunkingTM)，都 有各自不同的优势和特点，控制工程师们可以根据自己的要求进行选择。为了更好地帮助大家了解和学习工业以太网冗余技术的特点，让我们首先回顾以下以太网设备的发展过程。网络构成-一个典型的工业以太网络环境，有以下三类网络器件：网络部件连接部件FC快速连接插座ELS（工业以太网电气交换机）ESM（工业以太网电气交换机）SM（工业以太网光纤交换机）MC TP11（工业以太网光纤电气转换模块）通信介质普通双绞线，工业屏蔽双绞线和光纤SIMATIC PLC控制器上

5、的工业以太网通讯处理器。用于将SIMATIC PLC连接到工业 以太网。PG/PC上的工业以太网通讯处理器。用于将PG/PC连接到工业以太网。相关协议总体概述当以太网用于信息技术时，应用层包括HT-TP、FTP、SNMP等常用协议，但当它用 于工业控制时，体现在应用层的是实时通信、用于系统组态的对象以及工程模型的应用协议， 至21世纪，还没有统一的应用层协议，但受到广泛支持并已经开发出相应产品的有4种主要 协议：HSE、Modbus TCP/IP、ProfINet、Ethernet/IP。HSE基金会现场总线FF于2000年发布Ethernet规范，称HSE(High Speed Ethern

6、et)。HSE 是以太网协议IEEE802.3,TCP/IP协议族与FFIll的结合体FF现场总线基金会明确将HSE 定位于实现控制网络与Internet的集成。HSE技术的一个核心部分就是链接设备，它是HSE体系结构将Hl(31.25kb/s)设备连 接100Mb/s的HSE主干网的关键组成部分，同时也具有网桥和网关的功能。网桥功能能 够用于连接多个H1总线网段，使同H1网段上的H1设备之间能够进 行对等通信而无需主 机系统的干涉；网关功能允许将HSE网络连接到其他的工厂控制网络和信息网络，HSE链接设备不需 要为H1子系统作报文解释，而是将来自H1总线网段的报文数据集合起来并且将Hl地址转

7、 化为IP地址。ModbusModbus TCP/IP该协议由施耐德公司推出，以一种非常简单的方式将Modbus帧嵌入到TCP帧中，使 Modbus与以太网和TCP/IP结合，成为Modbus TCP/IP。这是一种面向连接的方式，每一 个呼叫都要求一个应答，这种呼叫/应答的机制与Modbus的主/从机制相互配合，使交换式 以太网具有很高的确定性，利用TCP/IP协议，通过网页的形式可以使用户界面更加友好。利用网络浏览器便查看企业网内部设备运行情况。施耐德公司已经为Mod-bus注册了 502端口，这样就可以将实时数据嵌人到网页中，通过在设备中嵌入Web服务器，就可以 将Web浏览器作为设备的

8、操作终端。ProflNet针对工业应用需求，德国西门子于2001年发布了该协议，它是将原有的Profibus与互 联网技术结合，形成了 ProfiNet的网络方案，主要包括：基于组件对象模型(COM)的分布式自动化系统；规定了 ProfiNet现场总线和标准以太网之间的开放、透明通信；提供了一个独立于制造商，包括设备层和系统层的系统模型。ProfiNet采用标准TCP/IP十以太网作为连接介质，采用标准TCP/IP协议加上应用层 的RPC/DCOM来完成节点间的通信和网络寻址。它可以同时挂接传统Profibus系统和新 型的智能现场设备。现有的Profibus网段可以通过一个代理设备(prox

9、y)连接到ProfiNet网络当中，使整 Profibus设备和协议能够原封不动地在Pet中使用。传统的Profibus设备可通过代理proxy 与ProFiNET上面的COM对象进行通信，并通过OLE自动化接口实现COM对象间的 调 用。EthernetEthernet/IPEthernet/IP是适合工业环境应用的协议体系。它是由ODVA（Open Devicenet Vendors Asso-cation）和Control Net International两大工业组织推出的最新成员与Device Net和 Control Net 一样，它们都是基于 CIP（Controland Inf

10、ormation Proto-Col）协议的网络。它是 一种是面向对象的协议，能够保证网络上隐式（控制）的实时I/O信息和显式信息（包括用于组 态、参数设置、诊断等）的有效传输。Ethernet/IP采用和Devicenet以及ControlNet相同的应用层协议CIP。因此，它们使 用相同的对象库和一致的行业规范，具有较好的一致性。Ethernet/IP采用标准的Ethernet 和TCP/IP技术传送CIP通信包，这样通用且开放的应用层协议CIP加上已经被广泛使用 的Ethernet和TCP/IP协议，就构成Ethernet/IP协议的体系结构。网络优势工业以太网是应用于工业控制领域的以太

11、网技术，在技术上与商用以太网（即IEEE 802.3标准）兼容，但是实际产品和应用却又完全不同。这主要表现普通商用以太网的产品 设计时，在材质的选用、产品的强度、适用性以及实时性、可互操作性、可靠性、抗干扰性、 本质安全性等方面不能满足工业现场的需要。故在工业现场控制应用的是与商用以太网不同 的工业以太网。然而工业以太网的优势在哪里呢？一、应用广泛以太网是应用最广泛的计算机网络技术，几乎所有的编程语言如Visual C+、Java、 VisualBasic等都支持以太网的应用开发。二、通信速率高10、100 Mb/s的快速以太网已开始广泛应用，1Gb/s以太网技术也逐渐成熟，而传统 的现场总线

12、最高速率只有12Mb/s （如西门子Profibus-DP）。显然，以太网的速率要比传统 现场总线要快的多，完全可以满足工业控制网络不断增长的带宽要求。三、资源共享能力强随着Internet/ Intranet的发展，以太网已渗透到各个角落，网络上的用户已解除了资源 地理位置上的束缚，在联入互联网的任何一台计算机上就能浏览工业控制现场的数据，实现 “控管一体化”，这是其他任何一种现场总线都无法比拟的。四、可持续发展潜力大以太网的引入将为控制系统的后续发展提供可能性，用户在技术升级方面无需独自的研 究投入，对于这一点，任何现有的现场总线技术都是无法比拟的。同时，机器人技术、智能 技术的发展都要求

13、通信网络具有更高的带宽和性能，通信协议有更高的灵活性，这些要求以 太网都能很好地满足。重要性能为了应用于严酷的工业环境，确保工业应用的安全可靠，SIMATIC NET为以太网技术 补充了不少重要的性能：工业以太网技术上与IEEE802.3/802.3U兼容，使用ISO和TCP/IP通讯协议10/100M自适应传输速率冗余24VDC供电简单的机柜导轨安装方便的构成星型、线型和环型拓扑结构高速冗余的安全网络，最大网络重构时间为0.3秒用于严酷环境的网络元件，通过EMC测试通过带有RJ45技术、工业级的Sub-D连接技术和安装专用屏蔽电缆的Fast Connect 连接技术，确保现场电缆安装工作的快

14、速进行简单高效的信号装置不断地监视网络元件符合SNMP （简单的网络管理协议）可使用基于web的网络管理使用VB/VC或组态软件即可监控管理网络编辑本段技术特点工业以太网技术具有价格低廉、稳定可靠、通信速率高、软硬件产品丰富、应用广泛以 及支持技术成熟等优点，已成为最受欢迎的通信网络之一。近些年来随着网络技术的发展, 以太网进入了控制领域，形成了新型的以太网控制网络技术。这主要是由于工业自动化系统 向分布化、智能化控制方面发展,开放的、透明的通讯协议是必然的要求。以太网技术引入 工业控制领域，其技术优势非常明显：1（一）Ethernet是全开放、全数字化的网络，遵照网络协议不同厂商的设备可以很

15、容易 实现互联。（二）以太网能实现工业控制网络与企业信息网络的无缝连接，形成企业级管控一体化 的全开放网络。（三）软硬件成本低廉，由于以太网技术已经非常成熟，支持以太网的软硬件受到厂商 的高度重视和广泛支持，有多种软件开发环境和硬件设备供用户选择。（四）通信速率高，随着企业信息系统规模的扩大和复杂程度的提高，对信息量的需求 也越来越大，有时甚至需要音频、视频数据的传输，当前以太网的通信速率为10M、100M 的快速以太网开始广泛应用，千兆以太网技术也逐渐成熟，10G以太网也正在研究，其速 率比现场总线快很多。（五）可持续发展潜力大，在这信息瞬息万变的时代，企业的生存与发展将很大程度上 依赖于一

16、个快速而有效的通信管理网络，信息技术与通信技术的发展将更加迅速，也更加成 熟，由此保证了以太网技术不断地持续向前发展。网络应用通讯标准PROFInet可以提供办公室和自动化领域开放的、一致的连接。PROFInet方案覆盖了 分散自动化系统的所有运行阶段，它主要包含以下方面：高度分散自动化系统的开放对象 模型（结构模型）；基于Ethernet的开放的、面向对象的运行期通信方案（功能单元间的 通信关系）；独立于制造商的工程设计方案（应用开发）。PROFInet方案可以用一条等式 简单而明了地描述：PROFInet=Profibus+具有PROFIBUS和IT标准Ethernet的开放的、 一致的通

17、信。1.1 PROFInet设备的软件结构PROFInet设备的软件覆盖了现场设备的整个运行期通信，基于模块化设计的软件包含 若干通信层，每层都与系统环境一致。 PROFInet软件主要包括一个 RPC( Remote Procedure Call)层，一个 DCOM(Distributed Component Object Model)层和一个专门 为 PROFInet 对象定义的层。PROFInet 对象可以是 ACCO(Active Connection Control Object)设备、RT auto(Runtime Automation)设备、物理设备或逻辑设备。软件中定义 的实时

18、数据通道提供PROFInet对象与以太网间的实时通信服务。PROFInet通过系统接口 连接到操作系统(如WinCE)，通过应用接口连接到控制器(如PLC)。EPROFInet的运行期软件位于一个目录固定的结构中，可以分为核心目录和系统应用目 录。若通信开始而核心目录中的文件未改变，则系统应用目录中的部分文件必须重建。所有 的系统应用都是指向系统接口和应用接口，实现PROFInet设备的各项功能。PROFInet设 备的软件结构可以用图1描述如下：PROFInet设备的软件结构决定了 PROFInet设备可以从企业管理层到现场层直接、透 明地访问，并且提供对TCP/IP协议的绝对支持。PROF

19、Inet技术使企业用户能够方便地对 现有的系统进行扩展和集成，是一种优化的工业以太网通信标准。1.2 PROFInet在现场设备上的移植作为一种开放的资源，PROFInet软件通过移植到设备上的TCP/IP协议栈来完成在其 他设备制造商的产品中快速而简单地实现。具体过程为：首先将开放资源的RPC接口连接 到TCP/IP协议栈和设备操作系统中的系统集成；然后再将PROFInet协议栈的DCOM (Discrete Component Object Module)机制集成到设备的操作系统中；最后实现物理设备 和逻辑设备对象、运行期对象和活动控制连接对象的设备专用的DCOM应用。为单个部件 组装PR

20、OFInet设备时还必须用XML创建相应的描述。一个PROFInet设备的XML文件中应包括下列数据：(l)PROFInet设备的名称和ID号；PROFInet设备的IP地址，诊断数据的访问方式和设备连接方式;PROFInet设备的硬件分配，设备接口以及为各接口定义的变量、数据类型与格式;PROFInet设备在整个工程中的保存地址。OF a Ldrrtii1=PROFInet设备将它的所有功能封装到其软件中，并提供变量接口与其它的PROFInet 设备相连。变量接口的每个变量都代表一个确定的子功能，包括运行、输入/输出使能、复 位、结束、停机、启动和错误。一 个PROFInet设备中封装的可以

21、是一个控制器、一个执行 器甚至是一个控制网络。图2所示的PROFInet设备中封装了一个Profibus-DP控制网络。PROFInet设备之间通过DCOM模块进行通信。在PROFInet设备连接编辑器的图形 界面中可以方便地实现各PROFInet设备间的连接。一个具有冲洗、灌装、封口和包装4个 环节的饮料生产厂家的生产流程可以用4个PROFInet设备串连连接实现（见图3）。所有设备的接口都在PROFInet中做了一致的定义，因此都能够灵活地组合和重新使 用，用户不必考虑各设备的内部运行机制。此外，PROFInet还集成了故障安全通信标准行 规PROFIsafe，满足对人员、设备和环境的全面

22、安全的需求，可用于故障安全应用。通信功能PROFInet设备通信功能的实现是基于传统的Ethernet通信机制（如TCP或UDP）， 同时又采用RPC和DCOM机制进行加强。DCOM可视为用于基于RPC分布式应用的COM 技术的扩展，可以采用优化的实时通信机制应用于对实时性要求苛刻的应用领域。在运行期 间，PROFInet设备以DCOM对象的形式映像，通过对象协议机制确保了 DCOM对象的通 信。COM对象作为PDU以DCOM协议定义的形式出现在通信总线上。通过DCOM布线 协议DCOM定义了对象的标识和具有有关接口和参数的方法，这样就可以在通信总线上进 行标准化的DCOM信息包的传输。对于更

23、高层次上的通信，PROFInet可以采用集成OPC(OLE for Process Contro l)接口技术的方式。2.1 PROFInet的基本通信方式PROFInet根据不同的应用场合定义了三种不同的通信方式:使用TCP/IP的标准通信; 实时RT(Real-time)通信和同步实时IRT通信。PROFInet设备能够根据通信要求选择合 适的通信方式。PROFInet使用以太网和TCP/IP协议作为通信基础，在任何场合下都提供对TCP/IP 通信的绝对支持。由于绝大多数工厂自动化应用场合对实时响应时间要求较高，为了能够满 足自动化中的实时要求，PROFInet中规定了基于以太网层2的优化

24、实时通信通道，该方案 极大地减少了通信栈上占用的时间，提高了自动化数据刷新方面的性能。PROFInet不仅最 小化了可编程控制器中的通信栈，而且对网络中传输数据也进行了优化。采用PROFInet 通信标准，系统对实时应用的响应时间可以缩短到510ms。PROFInet同时还支持高性能 同步运动控制应用,在该应用场合PROFInet提供对100个节点响应时间低于1ms的同步实 时(IRT)通信，该功能是由层2上内嵌的同步实时交换芯片ERTEC提供的。PROFInet的 通信循环如图4所示。4 遇湿 4444XIME |在PROFInet设备的一个通信循环周期内，既包括旧T实时通信，又包括TCP/

25、IP标准 通信。PROFInet通信技术在很多应用场合都能体现出其极大的优越性。工程实践表明，在 同步运动控制场合采用PROFInet提供的IRT通信，系统性能将比采用现场总线方案提升近 100 倍。2.2 PROFInet 与 OPC 的集成由于PROFInet与OPC均采用了 DCOM通讯机制，因此PROFInet通讯技术可以很 容易地与OPC接口技术集成，以实现数据在更高通信层次上的交换。OPC接口设备在工 控领域的应用十分广泛，OPC接口技术定义了 OPC DA (Data Access)与OPC DX (Data Exchange)两个通信标准，分别应用于传输实时数据和实现异类控制网

26、络间数据的交换。 在PROFInet中集成OPC DX接口可以实现一个开放的连接至其他系统，集成机制如下： 基于PROFInet的实时通信机制，每个PROFInet节点可以作为一个OPC服务器 被寻址； 每个OPC服务器可以通过标准接口而作为一个PROFInet节点被操作。PROFInet 的功能性远比OPC优越，PROFInet技术与OPC接口技术的集成不仅可以实现自动化领域 对实时通信的要求，还可以实现系统之间在更高层次上的交互。自动化领域PROFInet是一种优越的通信技术，并已成功地应用于分布式智能控制。PROFInet为 分布式自动化系统结构的实现开辟了新的前景，可以实现全厂工程彻底

27、模块化，包括机械部 件、电气/电子部件和应用软件。PROFInet支持各种形式的网络结构，使接线费用最小化， 并保证高度的可用性。此外，特别设计的工业电缆和耐用的连接器满足EMC和温度要求并 形成标准，保证了不同制造设备之间的兼容性。PROFInet不仅可以应用于分布式智能控制，而且还逐渐进入到过程自动化领域。在过 程自动化领域，PROFInet针对工业以太网总线供电以及以太网本质在安全领域应用的问题 正在形成标准或解决方案，采用PROFInet集成的Profibus现场总线可以为过程自动化工 业提供优越的解决方案（如图5所示）：M 建 ：采用PROFInet通讯技术，不仅可以集成Profib

28、us现场设备，还可以通过代理服务器 （Proxy）实现其它种类的现场总线网络的集成。采用这种统一的面对未来的设计概念，工 厂内各部件都可以作为独立模块预先组装测试，然后在整个系统中轻松组装或在其他项目中 重复使用。譬如对于一个汽车生产企业而言，PROFInet支持的实时解决方案完全可以满足 车体车间、喷漆车间和组装部门等对响应时间的要求，在机械工程及发动机和变速箱生产环 节中的车床同步等方面则可使用PROFInet的同步实时功能。1结束语PROFInet可以保证对现有系统投资的高度保护，并使工厂拥有创新标准的优越性。鉴 于PROFInet通讯技术的优越性，已经有部分生产厂家（如西门子，施奈德）

29、。系统组成系统分类选择正确的工业以太网要考虑哪些因素？简单的来说，要从工业以太网通讯协议、电源、 通信速率、工业环境认证考虑、安装方式、外壳对散热的影响、简单通信功能和通信管理功 能、电口或光口的考虑。信号强弱、端口设置、出错报警、串口使用、主干（TrunkingTM） 冗余、环网冗余、服务质量（QoS）、虚拟局域网（VLAN）、简单网络管理协议（SNMP）、 端口镜像等等其他工业以太网管理交换机中可以提供的功能。从快速生成树冗余（RSTP）、环网冗余（RapidRingTM）到主干冗（TrunkingTM），工业以太网设备包括以下几个重要部分。工业以太网集线器工业以太网非管理型交换机工业以太

30、网管理型交换机工业以太网管理型冗余交换机高级的管理型冗余交换机提供了一些特殊的功能，特别是针对有稳定性、安全性方面严 格要求的冗余系统进行了设计上的优化。构建冗余网络的主要方式主要有以下几种，STP、 RSTP；环网冗余 RapidRingTM 以及 Trunking。1工业以太网STP及RSTPSTP（Spanning Tree Protocol,生成树算法，IEEE 802.1D），是一个链路层协议，提供 路径冗余和阻止网络循环发生。它强令备用数据路径为阻塞（blocked）状态。如果一条路 径有故障，该拓扑结构能借助激活备用路径重新配置及链路重构。网络中断恢复时间为 30-60S之间。R

31、STP （快速生成树算法，IEEE 802.1w）作为STP的升级，将网络中断恢 复时间，缩短到1-2S。生成树算法网络结构灵活，但也存在恢复速度慢的缺点。2工业以太网环网冗余为了能满足工控网络实时性强的特点，RapidRing孕育而生。这是在工业以太网网络中 使用环网提供高速冗余的一种技术。这个技术可以使网络在中断后300ms之内自行恢复。 并可以通过工业以太网交换机的出错继电连接、状态显示灯和SNMP设置等方法来提醒用 户出现的断网现象。这些都可以帮助诊断环网什么地方出现断开。RapidRingTM也支持两个连接在一起的环网，使网络拓朴更为灵活多样。两个环通过 双通道连接，这些连接可以是冗

32、余的，避免单个线缆出错带来的问题。3工业以太网主干冗余将不同交换机的多个端口设置为Trunking主干端口，并建立连接，则这些工业以太网 交换机之间可以形成一个高速的骨干链接。不但成倍的提高了骨干链接的网络带宽，增强了 网络吞吐量，而且还还提供了另外一个功能，即冗余功能。如果网络中的骨干链接产生断线 等问题，那么网络中的数据会通过剩下的链接进行传递，保证网络的通讯正常。Trunking 主干网络采用总线型和星型网络结构，理论通讯距离可以无限延长。该技术由于采用了硬件 侦测及数据平衡的方法，所以使网络中断恢复时间达到了新的高度，一般恢复时间在10ms 以下。具体设备集线器相信绝大多数人都熟悉集线

33、器。很多人使用这种简易设备去连接各种基于以太网的设 备，如个人计算机，可编程控制器等。集线器接收到来自某一端口的消息，再将消息广播到 其它所有的端口。对来自任一端口的每一条消息，集线器都会把它传递到其它的各个端口。 在消息传递方面，集线器是低速低效的，可能会出现消息冲突。然而，集线器的使用非常简 单一实际上可以即插即用。集线器没有任何华而不实的功能，也没有冗余功能。交换机管理型以太网连接设备发展的下一代产品是管理型交换机。相对集线器和非管理型交换机，管 理型交换机拥有更多更复杂的功能，价格也高出许多一通常是一台非管理型交换机的34 倍。管理型交换机提供了更多的功能，通常可以通过基于网络的接口实

34、现完全配置。它可以 自动与网络设备交互，用户也可以手动配置每个端口的网速和流量控制。一些老设备可能无 法使用自动交互功能，因此手动配置功能是必不可缺的。绝大多数管理型交换机通常也提供一些高级功能，如用于远程监视和配置的SNMP （简 单网络管理协议），用于诊断的端口映射，用于网络设备成组的VLAN （虚拟局域网），用于 确保优先级消息通过的优先级排列功能等。利用管理型交换机，可以组建冗余网络。使用环 形拓扑结构，管理型交换机可以组成环形网络。每台管理型交换机能自动判断最优传输路径 和备用路径，当优先路径中断时自动阻断（block）备用路径。非管理型集线器的发展产生了一种叫非管理型交换机的设备。

35、它能实现消息从一个端口到另一个 端口的路由功能，相对集线器更加智能化。非管理型交换机能自动探测每台网络设备的网络 速度。另外，它具有一种称为“MAC地址表”的功能，能识别和记忆网络中的设备。换言 之，如果端口 2收到一条带有特定识别码的消息，此后交换机就会将所有具有那种特定识别 码的消息发送到端口2。这种智能避免了消息冲突，提高了传输性能，相对集线器是一次巨 大的改进。然而，非管理型交换机不能实现任何形式的通信检测和冗余配置功能。应用安全概述工业以太网是当前工业控制领域的研究热点。工业以太网重点在于利用交换式以太网技 术为控制器和操作站，各种工作站之间的相互协调合作提供一种交互机制并和上层信息

36、网络 无缝集成。工业以太网开始在监控层网络上逐渐占据主流位置，正在向现场设备层网络渗透。 工业以太网相对于以往自动化技术有很多优势，然而事物是相对的，在我们享受开放互联技 术进步的成果同时应该对它们存在的隐患和可能带来的严重后果要有深刻认识。特点虽然脱胎于Intranets Internet等类型的信息网络，但是工业以太网是面向生产过程， 对实时性、可靠性、安全性和数据完整性有很高的要求。既有与信息网络相同的特点和安全 要求，也有自己不同于信息网络的显著特点和安全要求：工业以太网是一个网络控制系统，实时性要求高，网络传输要有确定性。整个企业网络按功能可分为处于管理层的通用以太网和处于监控层的工

37、业以太网以 及现场设备层（如现场总线）。管理层通用以太网可以与控制层的工业以太网交换数据，上 下网段采用相同协议自由通信。工业以太网中周期与非周期信息同时存在，各自有不同的要求。周期信息的传输通常 具有顺序性要求，而非周期信息有优先级要求，如报警信息是需要立即响应的。工业以太网要为紧要任务提供最低限度的性能保证服务，同时也要为非紧要任务提供 尽力服务，所以工业以太网同时具有实时协议也具有非实时协议。要求工业以太网应该保证实时性不会被破坏，在商业应用中，对实时性的要求基本不涉及 安全，而过程控制对实时性的要求是硬性的，常常涉及生产设备和人员安全。当今世界舞台，各种竞争异常激烈。对于很多企业尤其是

38、掌握领先技术的企业，作为 其技术实际体现的生产工艺往往是企业的根本利益。一些关键生产过程的流程工艺乃至运行 参数都有可能成为对手窃取的目标。所以在工业以太网的数据传输中要防止数据被窃取。开放互联是工业以太网的优势，远程的监视、控制、调试、诊断等极大的增强了控制 的分布性、灵活性，打破了时空的限制，但是对于这些应用必须保证经过授权的合法性和可 审查性。问题分析在传统工业工业以太网中上下网段使用不同的协议无法互操作，所以使用一层防火墙 防止来自外部的非法访问，但工业以太网将控制层和管理层连接起来，上下网段使用相同的 协议，具有互操作性，所以使用两级防火墙，第二级的防火墙用于屏蔽内部网络的非法访问

39、和分配不同权限合法用户的不同授权。另外还可用根据日志记录调整过滤和登录策略。要采取严格的权限管理措施，可以根据部门分配权限，也可以根据操作分配权限。由于 工厂应用专业性很强，进行权限管理能有效避免非授权操作。同时要对关键性工作站的操作 系统的访问加以限制，采用内置的设备管理系统必须拥有记录审查功能，数据库自动记录设 备参数修改事件：谁修改，修改的理由，修改之前和之后的参数，从而可以有据可查。在工业以太网的应用中可以采用加密的方式来防止关键信息窃取。主要存在两种密码 体制：对称密码体制和非对称密码体制。对称密码体制中加密解密双方使用相同的密钥且密 钥保密，由于在通信之前必须完成密钥的分发，该体制

40、中这一环节是不安全的。所以采用非 对称密码体制，由于工业以太网发送的多为周期性的短信息，所以采用这种加密方式还是比 较迅速的。对于工业以太网来说是可行的。还要对外部节点的接入加以防范。工业以太网的实时性主要是由以下几点保证:限制工业以太网的通信负荷，采用100M 的快速以太网技术提高带宽，采用 交换式以太网技术和全双工通信方式屏蔽固有的 CSMA/CD机制。随着网络的开放互连和自动化系统大量IT技术的引入，加上TCP/IP协议 本身的开放性和层出不穷的网络病毒和攻击手段，网络安全可以成为影响工业以太网实时性 的一个突出问题。1）病毒攻击在互联网上充斥着类似Slammer、“冲击波”等蠕虫病毒和

41、其它网络病毒的袭击。以 蠕虫病毒为例，这些蠕虫病毒攻击的直接目标虽然通常是信息层网络的PC机和服务器，但 是攻击是通过网络进行的，因此当这些蠕虫病毒大规模爆发时，交换机、路由器会首先受到 牵连。用户只有通过重启交换路由设备、重新配置访问控制列表才能消除蠕虫病毒对网络设 备造成的影响。蠕虫病毒攻击能够导致整个网络的路由震荡，这样可能使上层的信息层网络 部分流量流入工业以太网，加大了它的通信负荷，影响其实时性。在控制层也存在不少计算 机终端连接在工业以太网交换机，一旦终端感染病毒，病毒发作即使不能造成网络瘫痪，也 可能会消耗带宽和交换机资源。2) MAC攻击工业以太网交换机通常是二层交换机，而MAC地址是二层交换机工作的基础，网络依 赖MAC地址保证数据的正常转发。动态的二层地址表在一定时间以后（AGE TIME）会发 生更新。如果某端口一直没有收到源地址为某一 MAC地址的数据包，那么该MAC地址和 该端口的映射关系就会失效。这时，交换机收到目的地址为该MAC地址的数据包就会进行 泛洪处理，对交换机的整体性能造成影响，能导致交换机的查表速度下降。而且，假如攻击 者生成大量数据包，数据包的源