正维科技工业以太网交换机在水闸自动化系统工程中的应用
作者:烟台正维科技有限公司时间:2009-02-11 我要发布
正维科技工业以太网交换机在水闸自动化系统工程中的应用
第一章 系统总体架构及特点
1. 系统结构
金山现代农业园区(廊淦岛)水闸泵站计算机自动控制系统综合了计算机技术、网络通讯技术、数据库技术、多媒体技术、PLC技术等,系统以全开放式的分层分布结构,主控级全部采用计算机来实现自动化的管理,各现场控制单元均采用PLC可编程序控制器,视频、音频、数据、控制均通过以太网来传输。系统总体结构图如下:
图5 系统结构图
从地理位置上可将系统划分为三个层次:中心层、网络层和监控层,从功能上可分为水闸水泵监控及数据采集、网络通讯与传输、上位机监控软件、视频监控及安防报警、大屏幕显示、防雷接地等功能。
系统功能示意图如下所示:
图6 系统功能框架图
中心层位于农园园区管理中心的廊下水务站,是整个系统的核心部分,所有远程监视、控制操作均可在中心层通过应用软件子系统和网络子系统完成;网络层分布于廊淦岛的各个泵、闸站及分布于各河道上的光缆,是构成系统必不可缺的部分。所有的信息、命令必须通过网络层进行传达和执行;监控层位于各个泵、闸站内,是整个系统的“感觉”、“执行”机构,是构成整个系统的基本要素。
网络通讯系统采用具有自愈功能的千兆光纤环网组成冗余通信网络,为整个控制系统提供一个安全、稳定的数字通道。
水闸水泵监控及数据采集系统由位于各个泵、闸站内的监控子站构成,主要任务是对分布各地的水闸泵站的闸、泵的工作情况进行监视和控制,同时将闸站采集的视频、水位、雨量等测量信息汇总后通过网络子系统传输至监控中心(中心层),执行远方对站内设备的操作或依据特定的规则对站内设备进行自动操作。
视频监控及安防报警系统包括视音频监控、现场红外线防盗、语音对讲、照明报警等几方面。现场防盗采用红外报警及声光警号等技术实现对各监控站点的防盗监视。考虑今后系统运行“无人值守、远程监控”的要求,因此在各个站点配置双向语音对讲设备,便于值班人员远程指挥。此外,在照明报警方面也应能够做到远程控制。
上位机软件系统通过特定功能模块,充分利用网络子系统和监控子系统所提供的功能,协调系统内所有硬件和软件共同工作,实现岛内所有水闸和水泵运行状态监测、水闸远程启闭控制、水泵远程启停控制、水利信息报表的统计,以及岛内自动调水等功能。同时,还可结合智能调度平台为综合智能调水调度提供最佳方案,最终达到防洪标准化、排涝分流化、管理智能化的目标。
大屏幕显示系统使用DLP无缝拼接技术,可以有多种显示方式,可以显示GIS地图、上位机软件、视频监控等,也可为将来的专家决策或会议系统提供大屏幕显示功能。
2. 系统功能
系统对廊淦岛内的各个水闸泵站的情况进行监控,对水闸、水泵、水位、雨量等进行远程监测和控制。对廊淦岛的水情、工情和雨情、气象信息做统计和分析,对水闸泵站实行联动控制,实现智能调度功能。
本工程应达到如下功能:
n 数据采集
本系统所采集的数据包括:
ü 闸门运行高度
ü 内外河水位
ü 廊淦岛的雨量
ü 廊淦岛的水质、气象信息(人工确认方式)
ü 水泵、闸门等设备的工作状态
ü 站点实时图像及声音
ü 防盗报警信息
n 闸门、水泵的本地、远程控制
n 数据汇总分析
能够对各类雨情、水情和工情信息进行分析统计,并能结合智能调度平台为综合智能调水调度提供最佳方案。
n 数据交换
与水务局其他相关信息系统联网,获取所需的信息,并为其提供数据;与防汛中心建立密切联系,共享数据资源,汛期能为防汛排涝及时提供相关数据。
n 智能化的防汛排涝及引清调水功能
3. 系统特点
² 千兆环形以太网通讯
网络的主干采用光纤传输网络,并配千兆网络交换机,使网络带宽达到1000M,并且以自愈环形网的方式通讯,每个现场站有两条以上路由通向主控中心,当某个线路发生通讯故障时,系统能自我检测寻找合适的备用路由,即系统具有自愈合的通讯能力。
² 图像、语音、数据实时传输
由于系统具有足够的网络带宽,所以每一个站点的图像、语音、数据具有了实时的传输条件,系统中每个站点配置的视频服务器采用目前主流的Mpeg4图像语音处理算法,能最大的保证图像和语音的质量。
² 数据的共享
系统使用外置式数据库系统SQL Server,具有开放式、通用性的特点,可以方便将来的专家决策系统、电子政务系统、数学模型控制、Web/Gis系统提供数据共享。
² 远程控制/本地控制
在电气设计上,远程控制与现场手动控制不发生直接的关联性,远程控制的故障不影响现场手动控制,现场控制为最高级。
² 双机冗余备份能力
中心控制系统是整个控制系统的核心,中心控制计算机一旦出现软件死机、硬件设备故障等情况,将对整个廊淦岛造成无法估计的损失。因此监控中心配备2台控制主机,安装具有双机热备功能的工业级监控组态软件iFix确保中心控制系统的安全、稳定运行,两台计算机(两套软件)以双机冗余备份的方式工作,任何一台主机的故障不会影响另一台主机的正常运行,两台主机的控制与数据具有统一性,一台主机的操作和数据的变化会影响别一台主机的变化。
² 安全防盗能力
由于廊下镇水闸泵站都位于比较偏避的郊外,所以经常发生电缆、设备被盗被破坏的情况,故本次规划设计时我们把安全防盗的建设也列为重要设计的内容。
我们在每个现场站及中控室设置有红外线报警探测器、闭路电视监控摄像机及音频监听器,当有非法闯入时主控中心立刻会有报警提示,并且摄像机开始录像录音,现场的声光报警警号也会触发,利用双向语音对讲系统还可以实现主控中心与现场站的直接通话,可以有效的防止被盗事情的发生。
² DLP大屏幕显示
在中控室我们配置有一套多媒体大屏显示系统,约8.4平方米,使用DLP无缝拼接技术,可以有多种显示方式,可以显示GIS地图、上位机软件、视频监控等,也可为将来的专家决策或会议系统提供大屏幕显示功能。
² 可扩展性
考虑到农业园区的可持续性发展的要求,此次规划设计时我们在硬件、软件及网络的技术方案中作了充分的考虑,所用的设备、软件、网络等都是标准的、主流的、开放式、分层次的结构体系,方便了将来的扩展需求。
第二章 网络平台的设计
网络系统是廊淦岛乃至于整个金山现代农业园区水利信息化控制系统的基础平台,它担负系统中所有的监测数据、控制指令、监控图像和语音的综合传输。同时为各级领导和有关部门提供及时、准确、优质的信息服务。建设高效、安全、可靠的网络传输平台是整个工程成功实施的基础。
在制定网络整体规划时,我们遵循“切合实际、分阶段实施、安全有效”的基本原则。对网络结构的选择也将具有先进性和安全性,且扩充升级方便,可保护前期投资;同时具有良好的可扩展性和灵活性,以适应网络应用的迅猛发展趋势,既满足当前需求,又照顾未来网络建设发展的需求。我们将充分利用各种网络资源,确保网络内部的互连互通。在总体设计时,我们将充分考虑工程的可靠性、可用性、可维护性以及网络的安全性,建立一个完善的安全管理体系。
目前本次网络工程建设的范围主要包括廊淦岛的9座水闸泵站的光纤局域网及管理中心与上级部门的Internet网。
网络系统建设的基本思想如下:
² 基本构架采用国际上目前流行Intranet网络技术,以TCP/IP为基本传输协议;
² 采用高速的网络互连技术,以满足网络系统中大量的数据传输和多媒体应用,如实时监控等要求;
² 采用先进的虚拟网络技术,将网络按功能模块化分成不同的子网,从而增强网络的安全性;
² 主干光纤网络采用环形结构,保证网络的冗余性;
1. 网络设计原则
根据目前计算机通讯技术的发展和用户需求的不断扩大,网络的设计应遵循下面的原则:
² 可靠性:在网络系统的设计中,很重要的一点就是网络的可靠性,即坚固性。为保证各项业务的应用,网络必须具有高可靠性。要对网络结构、网络设备、服务器设备等各方面进行高可靠性的设计和建设。在采用硬件备份、冗余等可靠性技术的基础上,采用相关的软件技术提供较强的管理机制、控制手段和事故监控等技术措施提高整个计算机网络系统的可靠性。
² 实用性:在满足水务系统的业务需求的基础上,尽可能降低工程造价和运营成本,追求最优的性能、价格比。另外,本系统中局域网络的节点树较大,通信介质各不同,采用的网络技术也较先进,网络的管理任务十分重要,我们提供的设备支持SNMP、RMON、WEB等网络管理标准,通过网络管理软件,可以用图形化的管理界面和简洁的操作方式,提供强大的网络管理功能。使网络日常的维护和操作变得直观,简便和高效。
² 先进性:本系统采用成熟的硬件、软件平台,在满足当前应用需要的基础上。从发展眼光看,计算机管理系统的发展方向就是要实现共享决策、管理、运行等各个环节的信息,完成不同制造厂商的设备和计算机软、硬件资源的数据交换。为此我们选择了一个由开放式、标准化的网络系统,开放式标准化的数据库组成的平台来满足当前可实现的技术,又能适应今后新技术的引进、开发和推广。
² 互连性:计算机系统技术的发展可谓是日新月异,怎样用好现有的技术同时又能够和将来的技术进行无缝的连接,这也是我们保护投资、合理利用资源所必须考虑的问题。我们选用的产品,不仅技术先进,同时在同类市场上也占据着主力位置,遵循开放性和互连性。厂家们也积极参与各标准的制定,同时有优秀的融合未来技术的软硬件升级方案。
² 可扩展性:本期工程是金山现代农业园区水利信息化系统的一期工程,它不仅要给廊淦岛提供网络通信,还要做到随着园区的建设和进度,保证其后续工程(园区的其它圩区及水利设施等)的兼容性和无缝连接。因此,我们的网络设计不仅满足现有的网络应用,而且考虑到园区各项建设的发展和新技术的涌现,我们为用户提供的网络设计是一个灵活方便的升级和扩充的结构。
2. 网络拓扑结构
通信网络是整个廊淦岛泵闸计算机控制系统的基础建设部份。依照“高起点、高质量、实用性和扩充性”系统设计原则,建成一个高度可靠、安全、稳定的数字通道。网络拓扑结构图如下:
图7 网络拓扑结构图
各监控站和监控中心组成环形网络,在网络结构上保证了通信链路的冗余。
由于本期工程内水闸泵站全都位于廊淦岛的两条主干河道上(六里溏和大泖河),覆盖区域广,地理位置较好,而且包含各种监控数据和视频流,信息流量较大。基于以上几点原则,在比较多种通信方式后作出监控中心与各监控子站之间采用光纤环路,组成1000M主干通讯网络,光纤敷设路由图如下:
图8 光缆敷设路由图
光纤网的建设原则为:
² 网络通信方式符合行业标准化体系,以利于系统建设和系统扩充,保证系统数据传输的实时性和控制的可靠性。
² 通信规约拟采用国际通用的开放性规约,以利于今后系统的扩展升级以及与各个相关的水利系统的整合。
² 系统间的信息传递,均以TCP/IP协议为基础,图像信息传输均以IP包的方式来传送。
² 采用4芯铠装单模光缆埋地(部分架空)敷设,保证备用通讯光纤芯的预留,便于以后的通讯扩展。
² 在每个通讯节点进行光缆配线、跳接,构成灵活的光纤冗余通讯方式,
3. 各站点网络配置
廊淦岛各现场站监控系统按照功能划分为两部分:实时数据采集和控制系统、视音频监控系统。它们相对独立,面向不同的监控对象,完成不同的测控功能,如下图所示,最后各自将所采集的信息转换成统一的网络数据格式通过光纤环网发送至中心站(中心层):
图9 各站点网络连接配置图
各站点交换机配置
n WISE7000可管理交换机提供了多种模块式的接口选项,包含 10Mb 、100Mb 和 1000Mb 的光纤与RJ45接口,并提供了全面的管理软件。它把工业交换机的环境适应性提升到了一个新的高度,工作温度为零下40-75度(UL 标准测试)及 零下50-95 度(IEC 60068 标准测试)。全面的电源选项及标准的安装方式使WISE7000 真正成为“无所不能”的工业以太网交换机。
n 它的高性能特性还表现在所有 端口的非阻断和 802.1p QoS 协议的优化, WISE7000是即插即用的主干交换机,它的管理软件提供 SNMP, VLANs, IGMP 和端口加密等功能。在高可靠性网络上采用环网布局、Spanning Tree Protocol, Link-Loss-Learn 和 S-Ring 管理协议。
n 1000 Mb 端口 : 2 口,用于与主干光纤环网的联接。
n 100 Mb ( 单模与多模 ):4口,用于本站通讯接入。
n 处理方式: IEEE 802.3x 数据存储与转发, 速率 6.0 Mpps
n 交换带宽: 4.8G
n 系统存储转发速率: 148810 bps
n 最大过滤速度: 148810 bps
n MAC地址表: 8K
n 流量控制: IEEE 802.3x流量控制
n 系统冗余倒换时间: 小于300ms
n 拓扑结构: 双(相切)光纤自愈环网
n 维护方式: 支持专用串口维护以及WEB方式
n 安全防护: 密码保护
n 数据包缓存 : 240KB 10/100Mb,120K 1000Mb
n 延时: 6 μ s + 最大打包时间 (TX - TX, TX - FX, FX - FX, TX-G, G-G)
n 工作温度 : -40-75°C ( UL 60950) , -50-95°C (IEC 60068 )
n 存储: -50°- 100°C
n 湿度: 5% - 95% ( 无凝露 )
n 海拔: -60 m - 4,000m
4. 控制中心网络配置
中心站(监控中心)部分是整个系统的核心,所有采集到的数据和图像都统一到中心站内,而且大部分的控制指令都由此发出,所以中心站的地位是尤其重要的。
控制中心网络结构如下图所示:
图10 控制中心网络连接配置图
中心交换机的配置
WISE7000是一款可网管标准机架式千兆以太网交换机,将10/100/1000Mbps以太网交换技术融合在同一备中。
n 2个100Mbit/S全双工的光口,符合IEEE802.3U标准,支持解环自愈功能。
n 2个1000Mbit/S全双工的光口,符合IEEE802.3W标准,支持解环自愈功能。
n 发送光功率: ≥-15 dBm(单模)
n 接收灵敏度: <-35 dBm(单模)
n 光接口连接器: SC/FC/ST
n 光波长: 1310nm
n 6个10/100Base-T(X),带屏蔽RJ-45,符合IEEE802.3标准。
n 交换带宽: 4.8G
n 系统存储转发速率: 148810 bps
n 最大过滤速度: 148810 bps
n MAC地址表: 8K
n 流量控制: IEEE 802.3x流量控制
n 系统冗余倒换时间: 小于300ms
n 拓扑结构: 双(相切)光纤自愈环网
n 维护方式: 支持专用串口维护以及WEB方式
n 安全防护: 密码保护
n 以太网传输距离:100米
n 光纤传输距离: 多模 传输距离2KM
单模 传输距离20KM
n 供电电源:±48VDC
n 系统功耗:小于20W
n 运行温度:-35℃~~75℃
n 运行湿度:10%~~~95%(无凝露)
n 安装方式:机架式
n IP30防护等级,金属外壳,无风扇设计
n WISE7000智能型工业以太网交换机具有基于Web网络管理系统。可通过Web浏览器、Telnet/Serial控制口进行配置。
5. 网络安全
网络安全从其本质上来讲就是网络上的信息安全,是指网络系统的软、硬件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。
² 安全策略
网络安全涉及的内容既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。技术方面主要侧重于防范外部非法用户的攻击,管理方面则侧重于内部人为因素的管理。如何更有效地保护重要的信息数据、提高计算机网络系统的安全性已经成为所有计算机网络应用必须考虑和必须解决的一个重要问题。
网络中的主机可能会受到非法入侵者的攻击,网络中的敏感数据有可能泄露或被修改,从内部网向共网传送的信息可能被他人窃听或篡改等等,造成网络安全威胁的原因可能是多方面的,有来自外部,也有可能来自网络内部。攻击者主要是利用了TCP/IP协议的安全漏洞和操作系统的安全漏洞。归纳起来,系统的安全威胁常表现为以下特征:
窃听:攻击者通过监视网络数据获得敏感信息。
伪造:攻击者将伪造的信息发送给接收者。
篡改:攻击者对合法用户之间的通讯信息进行修改、删除、插入,再发送给接收者。
拒绝服务攻击:攻击者通过某种方法使系统响应减慢甚至瘫痪,阻止合法用户获得服务。
非授权访问:没有预先经过同意,就使用网络或计算机资源被看作非授权访问。它主要有以下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。
传播病毒:通过网络传播计算机病毒,其破坏性非常高,而且用户很难防范。
为了实现网络安全,采用的安全机制主要包括:
加密机制。加密是确保数据保密性
访问控制机制。访问控制按照事先确定的规则决定主体对客体的访问是否合法。
数据完整性机制。数据完整性是保证数据不被修改。
信息流填充机制。信息流填充使攻击者不知道哪些是有用信息,哪些是无用信息,从而挫败信息流分析攻击。
路由控制机制。路由控制机制可根据信息发送者的申请选择安全路径,以确保数据安全。
² 安全保护方式
用防火墙保护和其他网络互联的安全
由于在业务往来上需要和其他业务单位有较多的数据交换,如上级部门、各层领导等等。在这些网络的互联中,可以考虑使用防火墙来进行和外部网络隔离,保证进入网络内部的访问都是经过授权并受限只能访问其该访问的的访问。
在防火墙上除了可以做地址翻译,以保护内部地址外,还可以只对需要流经防火墙的流量进行放行,即将平时所有的业务的端口号进行放行,其他端口号的流量不允许通过。
对网络设备访问进行集中认证
在网络中所有的网络设备访问时,包括console(带外主控台访问),Enable(特权用户访问)和VTY(Telnet接口访问),ACS可以提供一个中央的数据库进行用户和密码管理。
计算机病毒防护
来自系统外部(Internet或外网)的病毒入侵,这是目前病毒进入最多的途径。因此在与外部连接的网关处进行病毒拦截是效率最高,耗费资源最少的措施。可以使进入内部系统的病毒数量大为减少。
而对于内部的病毒也有可能发生大面积传遍的情况,所以要对整个网络系统,象数据库、视频服务器和终端用户也需要设置防病毒保护。
在此建议使用全方位、多层次的、整体的网络防病毒解决方案。
在网络结构方面:从第一层工作站、第二层服务器到第三层防火墙都有相应的防毒软件提供完整的、全面的防病毒保护。
在防病毒技术方面:采用各种先进的反病毒技术,尤其在对付未知病毒和多态病毒方面,采用了各种先进的技术对其进行查杀,如:启发式侦测技术(Bloodhund TM),神经网络技术,打击技术(Striker32)和防宏病毒技术(MVP)等,因此NAV产品不仅能查、杀各种未知病毒,还能修复被病毒感染的文件。
在病毒定义码和扫描引擎升级方面:采用模块化(NAVEX)的升级方式,也就是说,用户每次升级都包括最新的病毒定义码和扫描引擎.而且各种NAV产品采用的是同一套病毒定义码和扫描引擎,方便用户病毒定义码和扫描引擎的升级,同时计算机在升级完最新的病毒定义码和扫描引擎后无需重新启动计算机.
在技术支持和服务方面:对新出现的病毒具有最快的响应速度。
² 路由器
由于上级相关部门要对水务信息进行查询,所以整个系统要提供向外的接口,以便与水务局信息大厦信息互通、资源共享。在控制中心提供与外界的接口,以便与监控中心之外单位连接,可使用路由器借助于专用光纤或者电信线路与上级部门的信息化系统相连,并在出口安置防火墙,以保护整个计算机控制系统的安全性。
² 防火墙
为了整个网络系统的安全性考虑,在工程中使用了友讯网络的防火墙,该防火墙主要有以下特点:
◆ 高可靠性:
NPFW系列防火墙平均故障间隔时间(MTBF)在60,000小时以上,能够满足大中型企业对设备可靠性的要求。
通过简易的配置,消除网络的单点故障,极大的提高用户网络的可用性。
◆ 高性能:
NPFW系列防火墙支持百万以上的并发连接数,在百兆和千兆环境下能够获得全线速的性能。利用网络处理器技术对海量数据处理应付自如。
◆ 可扩展性
NPFW防火墙可根据不同网络环境的需求,采用百兆铜缆、百兆光纤、千兆铜缆和千兆光纤等不同接口形式,接口数目可根据需要进行扩展。
◆ 高度的安全性
NPFW防火墙对拒绝服务攻击进行了独特的设计,能够有效防范SYN FLOOD、PING OF DEATH、TEARDROP、TCPFLOOD、UDPFLOOD、LAND、SMURF等攻击类型。
◆ 高可靠性:
NPFW系列防火墙平均故障间隔时间(MTBF)在60,000小时以上,能够满足大中型企业对设备可靠性的要求。
通过简易的配置,消除网络的单点故障,极大的提高用户网络的可用性。
◆ 高性能:
NPFW系列防火墙支持百万以上的并发连接数,在百兆和千兆环境下能够获得全线速的性能。利用网络处理器技术对海量数据处理应付自如。
◆ 可扩展性
NPFW防火墙可根据不同网络环境的需求,采用百兆铜缆、百兆光纤、千兆铜缆和千兆光纤等不同接口形式,接口数目可根据需要进行扩展。
◆ 高度的安全性
NPFW防火墙对拒绝服务攻击进行了独特的设计,能够有效防范SYN FLOOD、PING OF DEATH、TEARDROP、TCPFLOOD、UDPFLOOD、LAND、SMURF等攻击类型。
6. WISE7000组成的网络系统特点
1.多链路自动冗余备份
能够形成千兆的高速双纤冗愈环网,保证网络的实时可靠,在冗余环网中,它能自动冗余备份,能自动协商到达最近节点的路径,如果一处线路损坏,网络拓扑会自动重新配置具有自愈合恢复通讯能力。
2.较长的传输距离
环型结构采用光纤介质类型,在传输中有低损耗的特性,使得传输线路的无中继传输距离变长,相邻站之间最大长度单模光纤可达40-60KM。
3.具有较大的带宽
3.具有较大的带宽
环网传输带宽为1000Mbps,同时采用新的多数据处理技术,使得网络在重负荷情况下,仍能保持很强的实时性。
4.可靠性高
4.可靠性高
环型结构在网络出现故障时仍能自行重构,保证系统安全可靠,同时传输光纤具有对电磁和射频干扰抑制能力,在传输过程中不受电磁和射频噪声的影响,也不影响其设备。由于光纤传输的是光信号,两端的电源相对隔离,所以有效地解决了光纤两端电源和地线对设备可能造成的严重威胁。
5.扩展性强
5.扩展性强
采用环网通讯,系统中各站点的路由比较多,而且系统的网络带宽很大,所以将来其它的一些网络都可以很方便的接入到我们的网络中。
