采用SY-RSCM模块构建基于互联网的远程数据交互系统

引言

网络通信技术已经改变了人们的生活，同时也正在改变工业自动化的方方面面。因此，中国电器工业协会通用低压电器分会在《低压电器新产品发展总体思路》中明确提出："全面实现低压电器主要产品网络化、智能化、可通信化。要求我国第3 代低压电器主要产品、第4 代低压电器，全部实现网络化、智能化、可通信，能与多种现场总线连接，也可直接与工业以太网连接。"鉴于此，近年来，基于现场总线、以太网和互联网（ Internet）技术的可编程控制器（ Programmable LogicController,PLC）、触摸屏（ Human Machine Interface,HMI）、变频器、智能开关等各类智能低压电器得到了长足发展，在智能电网、楼宇智能化、工业远程监控等方面得到广泛应用。低压电器产品网络化、智能化的发展大趋势，也对智能化、网络化、实时化的信息交互和监控系统提出了新的、更高的要求。

低压电器信息交互和监控系统可通过无处不在的Internet,进行远程的数据传输和控制，十分方便。但因网络的实时性较差，传输控制信息和数据需建立虚拟局域通道（Virtual Local Area Network,VLAN）；加之传输控制协议/互联网协议（ Transmission Control Protocol /Internet Protocol,TCP /IP）的广泛使用和IP 安全的脆弱性，增加了互联网传输的不安全因素。而智能低压电器与远程主机之间的通信数据都是十分重要的生产信息和控制数据，其安全性和实时性要求极高，因此，一般的网络传输无法满足工业要求。

本文以基于Internet 的触摸屏的数据库远程监控系统为例，介绍一种采用远程安全通信模块SY-RSCM,从而便捷、可靠地构建基于互联网的智能电器远程数据交互系统的解决方案。

1 配方生产线数据库远程监控系统

在饮料、食品、聚氯乙烯片材等行业，需按产品的不同配方自动配置原料并组织生产，该类自动配方生产线一般由HMI、PLC 和继电器等低压电器构成。配方信息是企业核心竞争力，需集中管理和统一配置，如可口可乐配方，一直是世界级的秘密，其生产过程中的配方信息对生产者也是保密的。这类企业大多为跨地区、跨国界的大型企业，因此，迫切需要在安全、保密的前提下，可在公司总部对世界各地的生产厂实时进行配方的下传、存储、调用、修改和生产线监控。为此，本课题开发了基于Internet 和MT8000 型HMI 的配方数据库远程监控系统。

2 通过Internet 访问HMI 的系统架构

配方数据库远程监控系统的网络拓扑采用课题组开发的S-link 网络协议，对工业数据安全加密后，通过Internet 进行协议上的转发，实现PC机与远程HMI 的数据库进行安全数据交换的功能，也可实现对电气控制系统的远程监控和在线诊断，如图1 所示。

图1 配方数据库远程监控系统网络拓扑结构

在生产现场配置的远程安全通信模块SYRSCM,具有交换、路由、防火墙、安全网关和VLAN 等功能，可以实现100 Mb /s 的工业数据网络传输。系统通过互联网，建立起计算机与远程触摸屏MT8000、PLC 之间的虚拟局域网VLAN 通道，确保数据交互的安全性。

3 系统的安全通信框架

3. 1 安全通信的协议

在系统中，网络路由器和安全通信模块SYRSCM中均内置了安全通信协议S-link,该协议是保证数据安全传送的重要环节。S-link 通过软件的高级加密形式对IP 报文封装，以实现TCP /IP网络上数据的安全传送。S-link 属于OSI 模型的第3 层协议，即网络层协议，能对所传数据提供认证和加密（ 包括对控制报文和传输中的数据加密），提高了数据传输的准确性和安全性，是一种完整的安全解决方案。

S-link 协议的设计目标是为网络层流量提供灵活的安全服务，包括：访问控制、无连接完整性、数据源鉴别、重传攻击保护、机密性、有限的流量保密等。S-link 协议的主要内容包括： 安全框架- RFC2401; 安全协议：AH 协议- RFC2402、ESP协议- RFC2406.S-link 安全体系结构如图2 所示。

图2 S-link 安全体系结构

3. 2 安全通信的密钥

在S-link 协议中，内置了两级密钥体系，即工作密钥（Working Key,WK）和密钥加密密钥（KeyEncryption Key,KEK）。

（1） WK.可分为用于对个人标识码加密的密钥及进行报文鉴别的密钥，均由S-link 的加密机产生。在每次建立连接时，利用KEK 加密后下载，并由KEK 加密存储，S-link 工作密钥在传送时以密文传送。

（2） KEK.用于对工作密钥WK 进行加密保护，共享唯一的KEK.KEK 只能写入并参与运算，不能被读取。KEK 应至少有3 个，以便当KEK 泄密时软、硬件采取同步内置算法，及时、方便地予以更换。PC 中的S-link 软件和SY-RSCM网络安全通信模块之间，通过参数交换的方式约定使用哪个KEK.

3. 3 安全通信模块的防火墙功能

安全通信模块SY-RSCM 内设硬件防火墙，可通过信息过滤检查方式，对非法访问进行拦截，阻止各种网外攻击，能有效地保证网内数据安全，以确保在SY-RSCM 下端的网络内的信息不受外来非法攻击。

4 HMI 中数据库的建立

选用MT8000 HMI 是由于其配有Internet 接口和较大的内部闪存（Flash Memory） 空间[10],可方便地进行远程网络通信和数据库构建。

MT8000 HMI 内部Flash Memory 称为RW.RW中除保留字外，在不扩展外围存储器件的情况下，用户可用空间为60 000 字。设某一产品因原材料组合、配比和工艺要求的不同，有100 个可变参数，每个参数占用一个字，则这100 个参数组成1 个参数页。60 000个字空间可存储600 个参数页，即能存储600 个不同规格产品的参数，可满足绝大多数产品的配方存储要求。若存储空间不够，可插入闪存（Compact Flash,CF） 卡进行存储扩展。因此，利用HMI 作为配方数据库是可行的。

存储空间能存储参数页的数量可由下式计算得出：

式中P---可分配参数页总数量

L---HMI 断电可保存空间总长度（ 总字地址数）

Lb---用于其他信息存储的保留空间总长

度（保留字地址数）

N---一页参数中参数的个数

Y---各参数所占用的字数

5 系统的总线连接及上下载实现

5. 1 现场总线连接的方式

远程通信模块SY-RSCM 通过WAN 接口连接Internet,并通过LAN 接口连接至各生产线的HMI.生产现场的总线连接如图3 所示。

图3 现场总线连接图

HMI 通过RS - 232 与PLC 进行全双工通信，实现参数的下载和生产实时数据的上传。由于现场各类传感器距离PLC 较远，考虑总线的抗干扰能力及成本因素，故本系统采用RS - 485 总线对各智能传感器进行读、写通信。PLC 通过RS - 485总线，采集重量、温度、压力等工艺参数对生产线进行闭环控制，同时，将参数上传至HMI.

5. 2 配方下载至PLC 的方式

下载时，HMI 将原材料配置参数与生产工艺参数传送至PLC 的相关寄存器中，PLC 则根据预定程序和下载的各类参数控制生产线的阀门、进给速度、流量、温度、压力等，实行自动化生产。若PLC 接收HMI 下载的配方数据有n 个参数，每个参数占用一个字地址，设占用D100 ~ D100 +n - 1,并设HMI 当前显示需要下载的参数在LW0 ~ LW n - 1 中，利用远程操作触发下载宏，使当前需要生产的配方参数下载至PLC,下载宏示范如下：

Macro_Command main（）

int bufer[n]∥定义一个有n 个元素的字数组

GetData（bufer[0],LW_Binplc,0,n） ∥获取HMI

∥显示的需要下载到PLC 的n 个参数到数组中

SetData（bufer[0],D_Binplc,100,n） ∥将数组中

∥的数据下载到PLC 的D100 开始的连续n个字中

End Macro_Command

5. 3 PLC 实时生产数据上传的方式

实现参数上传的方式为：在HMI 中建立读取参数宏，并使该宏一直处在激活状态，读取参数宏的功能是将各工艺参数上传至HMI 的实时数据监视存储区。这样，远程PC 机读取HMI 中实时监视存储区的数据，即可安全、方便地读取现场生产实时信息。其读取参数示范宏指令如下：

Macro_Command main（）

int bufer[n]∥在触摸屏内定义一个有n 个元素∥的字数组，n 为需要读取的PLC 中实时监视数据个数。

GetData（bufer[0],D_Binplc,300,n） ∥获取PLC中的生产实时数据，上传至HMI 内数组的n 个元素中。

SetData（bufer[0],LW_Binplc,100,n） ∥将数组中的数据复制到HMI 的LW100 开始的连续n 个字中，供远程计算机读取实时的生产数据。

End Macro_Command

6 HMI 窗口的配方数据保密措施

PC 通过Internet 对HMI 进行程序和数据的上、下载。在远程上、下载过程中，需采取保密措施，以使配方数据不外泄。主要保密措施如下：

（1） 下载过程中，HMI 设为显示进度条状态，数据在HMI 上不可见，保证了数据不会通过HMI外泄；（2） 在PC 远程单独修改HMI 的参数（ 如配方数据）时，通过对HMI 的设置，可以在本地不显示具体的数字，而是以显示"****"字符，来保密；（3） 在HMI 上，程序的上载通过密码加密方式，以保证本HMI 上的配方数据安全。

7 结语

本文所述的基于Internet 的HMI 配方数据库远程监控系统已在PVC 片材生产线中使用，1 年来的实践证明，该系统网络结构简单、构建方便。

PC 机与HMI 之间的通信数据安全性高、保密性好、市场前景广阔，凡涉及到需配方信息远程保密传输和数据连通的领域均可采用该系统。该系统的安全通信机制也可移植到其他对远程数据通信安全性要求较高的智能电器控制领域，如智能配电管理系统、楼宇、港机、交通设施和生产线等，因此，值得推广。