1 引言
社会经济的不断发展,必然促使自来水工艺水平的不断提高。它以提高供水质量、供水系统安全,降低人耗、物耗和水耗这一综合效益为目标。为了达到这一目标,要求供水调度系统从设计和选型上就必须考虑到水厂、管网和管理信息系统的一体化及配套完整性。由于对生产过程自动化和现代化检测技术需求的增大,因此对城市自来水scada(supervisory control and data acquisition)系统的要求也就越来越高。
scada系统的任务是保证自来水输配管网安全、可靠、平稳、高效、经济地运行。
2 系统总体方案
本系统采用德国西门子公司的上位机监控软件wincc、远程控制终端drd2型rtu和第三方高档商用数据库为基础,融合了先进的rtu技术、现场总线技术、网络通信技术、无线通讯技术、数据库技术、scada/hmi技术及客户/服务器(client/server)技术等的一体化集成控制系统工程。
2.1 系统结构
某市自来水输配管网监控与数据采集系统(scada)设计范围包括调度控制中心、水厂分控中心、管网测压站、管网加压站和水源井监控站,现场管网监测点约有200处。
系统是以wincc、drd2型rtu为核心并采用以太网交换机、路由器、防火墙等现代网络设备构成的一个分布式计算机数据采集与监控网络。系统网络中的主要元素为控制中心、管网监测点。图1为某市自来水scada系统结构图,整个自来水输配管网分为两层网络结构:第一层是控制中心;第二层是水厂分控中心、管网测压站、管网加压站和水源井监控站等远程站点。
图1 scada系统结构图
系统通过控制中心集中监视和控制自来水输配管网的运行、管理和维护,在每个站点的本地实现实际流程控制和设备保护功能。
控制中心可提供系统的全部功能,能够在控制中心通过计算机系统远程监控自来水输配管网的运行情况,scada实时服务器负责处理、存储、管理从输配管网各远程站点传送来的实时数据,同时又为网络中的其他服务器和工作站提供实时数据。实时数据库存放在wincc的专用实时数据库中。scada实时数据服务器运行通信管理软件,可完成与各远程站点的通信链接、协议转换、网络管理等任务。
控制中心采用10/100mbps快速以太网网络。网络基于客户/服务器模式构建,网络通讯协议为tcp/ip, 通讯介质为5类双绞线。系统的各项任务按功能划分分别运行在不同的服务器中(如scada服务器、数据库服务器等),其他操作员工作站通过网络共享服务器资源。基于这种框架的系统网络可合理利用网络资源,减轻了单台服务器的工作和通讯负荷,同时也可避免出现由于单台服务器的故障而导致的系统瘫痪问题,保证系统上层网络高速稳定运行。
水厂分控中心、管网测压站、管网加压站和水源井监控站作为本系统的远程监控站,装有独立的drd2型rtu控制装置,远程站点接受控制中心下达的指令并向控制中心传递信息;同时它们也是一个个相对独立的控制站,在本地配备工作站或显示终端,具有就地控制显示功能。
站点rtu控制系统出现故障时,不会妨碍控制中心与其他站点的通讯。如果控制中心与任何一个站点出现通讯故障,该点的rtu控制系统将保持现场的控制、数据采集的现行状态,并存储所有的数据。
远程监控站通过gprs传输网络与控制中心连接构成分布式控制广域网络。远程监控站与控制中心的数据传输采用专门的工业通讯协议,并具有严格的crc校验,确保传输数据的正确性。
2.2 输配调度原则
系统主要目的是保证自来水输配管网的安全运行和监控的可靠操作。系统输配调度原则如下:
(1) 控制中心负责自来水输配管网的安全运行及自来水的供需平衡,并将自来水输送至各供应点;
(2) 自来水输送的调度管理安全性、可靠性;
其原则和技术措施如下:
·采用client/server结构、模块化设计,确保系统结构合理、易于扩充;
·关键设备和场所采用冗余设计,确保自来水输配管网安全可靠的运行;
·系统的管理与操作既可在控制中心实现,又可在现场直接操作,确保系统具有优秀安全的可控性能。
(3) 方案设计采用有效的系统容错功能,确保系统在高度可靠的前提下运行,杜绝管网出现失控状态。
3 系统构成及功能描述
3.1 控制中心
(1) 功能描述
控制中心主要是对整个自来水管网生产运行进行调度并对工艺对象进行数据采集以及对工艺过程和重要设备进行控制,制定输送计划、计量管理等。控制中心的操作人员通过计算机系统的操作员工作站所提供的各站工艺过程的压力、温度、流量、液位信号及设备运行状态等信息,完成对整个输配管网的运行监控和调度管理。系统具有灵活、易于学习和操作的人机界面,开放型的历史数据库和实时数据库系统,使其在投产后能够提供给用户一个良好的开发及使用环境,其主要功能如下:
· 工艺流程的动态显示;
·下达调度和操作命令;
·报警显示、管理以及事件的查询、打印;
·实时数据的采集、归档、管理以及趋势显示;
·历史数据的管理、存贮;
·生产统计报表的生成和打印;
·流量计算、管理;
·控制权限的确定;
·实现与企业信息管理系统(mis)、erp、等系统的连接和数据交换;
·实现与上级计算机网络的通信及数据共享。
(2) 系统网络结构和设备配置
控制中心是自来水输配管网scada系统的控制中枢,整个系统中数据最集中的地方,也是被认为安全性要求最高的地方,该系统的方案充分考虑了这一要求。计算机网络按c/s结构配置,操作员工作站均作为局域网上一个节点,共享服务器的资源。系统网络结构图如图2所示。
图2 某市城市自来水输配管网(scada)系统网络结构图
控制中心经硬件防火墙、网络路由设备接入移动数据网与水厂分控中心、管网测压站、管网加压站和水源井监控站的rtu控制系统网络相连,构成scada系统的无线gprs通信网络系统,通讯协议采用工业以太网tcp/ip,通讯接口为rj45。
·scada实时服务器
scada实时数据服务器是上位监控软件wincc服务器端的运行平台,负责处理、存储、管理从输配管网各站点控制系统传送来的实时数据,同时又为网络中的其它服务器和工作站提供实时数据。作为控制网络上的i/o server、alarm server、trend server、report server,scada实时服务器是本系统的数据处理中心,它将担负整个系统的实时数据的存储和处理,是整个系统的数据集散地,因此具有十分重要的地位。
scada实时服务器采用中文版windows 2000 server操作系统,安装运行德国西门子公司的著名上位监控软件wincc 6.0版本,软件注册点数为64k点。
·数据库服务器
数据库服务器是整个scada系统的历史数据存储中心,也是数据库管理软件的运行平台。本方案采用微软公司的大型关系型数据库sql server 2000作为scada系统的数据库管理平台。数据库服务器主要任务是完成scada系统中的历史数据的存储、管理,并向网络中的工作站和上层信息管理系统(mis、erp)提供数据服务,它提供与其他系统连接的标准软件接口(如sql、ole db、odbc)和硬件接口。数据库服务器上运行中文版windows 2000 server操作系统,安装运行中文版microsoft sql server 2000数据库管理软件。
历史数据库服务器作为一个数据源存在,其重要性在系统中不言而喻,为保证数据库的稳定运行和系统历史数据的安全,本方案采用专门的企业级数据库服务器,该服务器具备优良的处理性能和可靠性能。
·操作员工作站
操作员工作站是操作员与控制中心计算机监控系统的人机接口,它在控制中心计算机监控系统中作为客户机,操作员通过它可以详细了解有关自来水输配管网的设备运行状态,并下达调度控制指令。操作员工作站通过以太网与scada服务器互连并交换信息。
系统中配置3台操作员工作站,选用dell optiplex系列工作站。
·打印机
控制中心配备1台高速激光打印机,选用hp公司lj5100系列,直接联接在网络上,网络中的任何一台计算机均可通过网络访问打印机。
·网络路由设备
网络路由设备包括交换机、路由器、防火墙等设备。这些设备对于保障控制中心内部局域网和控制中心与外部网络间的正常通讯起着关键性的作用。
为保证控制中心局域网络的高速、稳定、可靠的通信,本方案采用带有千兆上行链路的3com superstack 3 baseline 10/100交换机作为调度控制中心的局域网的交换设备。该交换机提供24个10/100端口和2个10/100/1000上行链路端口,交换机的所有端口上提供完全无阻塞性能、自动协商功能、ieee 802.lp优先队列排序和自动mdi/mdix配置。它使用方便,可实现即插即用操作,采用先进的交换特性,可轻松地适应大规模企业局域网的需要,同时将千兆技术集成到网络中。
为保证控制中心网络的信息与数据安全性,方案中在控制中心配置一套硬件防火墙用来隔离中心网络与外部网络。选用美国netscreen公司的防火墙产品来提供一套完整的网络安全解决方案,该防火墙具有独特的专用集成电路(asic)设计结构并且集成了实施监控、vpn和流量管理功能,它采用的许多专用及独到的技术可满足网速提升和应用的需求。
3.2 远程站点
所有远程站点均装有独立的drd2型 rtu控制系统,就地的rtu控制系统出现故障,不会防碍控制中心与其它场站通讯。
正常情况,远程站点的rtu控制系统实现现场控制、数据采集和存储,并通过通信系统与控制中心建立联系,实现数据交换。当通讯出现故障时,rtu控制系统将保持现场控制和数据采集的现行状态,并存储所有的数据。所有存储的数据均带有时间标签。通讯恢复后,drd2型 rtu控制系统将自动上传这些数据,保持数据的完整性。
3.3 gprs无线通讯系统
由于监控站点均散布在城市的各个区域,采用有线方式传送现场数据的难度很大,而gprs网络具有覆盖面广、通讯速率高、稳定性好的优势,因此该系统采用 gprs无线通讯方式。
gprs(general PACket radio service)是中国移动推出的通用无线分组业务,提供端对端的、广域的无线ip连接,具有网络覆盖面广、实时在线、按流量计费、高速传输(最高可达 115kbps)等特点。
图3 无线网络结构图
如图3所示,长沙自来水公司的服务器通过专线连接到中国移动数据网,拥有固定ip地址,现场rtu采用gprs方式与中国移动数据网相连,采集数据并直接与长沙自来水公司的服务器通讯,完成数据传送。
这里介绍的方案是采用内置的gprs通讯模块的rtu来完成调压站的数据采集,并通过 gprs网络将数据传输至控制中心的前置处理器。数据传输是双向、实时的。通讯协议为具有国际通用性、开放性的tcp/ip协议。
控制中心通过一条2m专线接入移动公司gprs数据网络,双方互连路由器之间采用私有ip地址进行广域连接,在ggsn与移动公司互联路由器之间采用gre隧道。移动公司为客户分配专门的apn,实现专网连接。所有gprs终端均在一个专网内,实时性强、时延小、安全性高。
3.4 scada系统软件
系统所有计算机系统均采用microsoft windows 2000中文版操作系统软件,上位监控软件采用德国西门子公司的wincc软件平台。历史数据库采用中文版microsoft sql server 2000软件。
(1) 操作系统软件
windows 2000中文版操作系统软件提供了一个快速、高效的多用户、多任务操作系统环境,是目前广泛应用的操作系统平台。服务器采用中文版windows 2000操作系统软件,各工作站采用中文版 windows 2000 professional操作系统软件。
(2) wincc scada软件平台
上位机监控软件采用德国西门子公司的wincc软件平台。wincc作为西门子公司享誉世界的工业自动化软件,在各工业过程控制领域发挥其自身的作用。 wincc可通过优化工厂操作降低成本。wincc具有全开放式结构,同时还具有灵活性、可靠性、伸缩性以及快速安装和易于管理的性能。
wincc的组态及归档数据存放在关系型数据库中,数据可用标准工具如odbc和sql等读出。很多标准的应用如microsoft_excel等可以和 wincc并行运行,同时可通过dde装载过程数据。
3.5 数据库
数据库分实时数据库和历史数据库,实时数据库存储在实时服务器中,由上位监控软件wincc来管理,历史数据库存储在数据库服务器中,历史数据库管理系统采用microsoft公司的sql server 2000软件。
4 访问和保护信息系统安全
4.1 上位监控系统安全策略
scada系统的计算机的安全策略利用了windows 2000操作系统和wincc应用程序的双重安全功能,windows 2000在操作系统的层面上管理操作员用户或网络及系统管理人员的登录,而wincc通过设置用户权限方法在应用程序层面对操作员的操作权限进行控制,保证正常操作,禁止越权。
数据库的安全性对于企业来说至关重要,本系统中所指的安全性主要是指只允许具有数据访问权限的用户登录sql server,并访问数据以及对数据库对象实施各种权限范围内的操作,同时要拒绝所有的非授权用户的非法操作。
sql server 2000的安全性管理是建立在认证(authentication)和访问许可(permission)两者机制上的,是指来确定登录sql server的用户的登录帐号和密码是否正确,并以此来验证其是否具有连接sql server的权限,但是通过认证并不代表能够访问sql server中的数据,用户只有在获取访问数据库的权限后才能够对服务器上的数据进行权限许可下的各种操作,这种用户访问数据库权限的设置是通过用户帐号来实现的,同时在sql server中角色替代了用户组将大大简化安全性管理。
4.2 网络信息安全策略
网络信息安全是保障scada系统正常运行的一个重要条件,必须基于以下几方面的考虑:
(1) 身份验证
身份验证负责确认申请网络服务的人,对用户进行验证。为了得到网络服务,用户必须输入网络登陆id和密码,以供安全服务器进行身份验证。
(2) 授权
身份验证可确定该用户是否具有访问网络资源的资格,而授权规定了访问资源后该用户的操作权限。授权对于不同的用户是不同的,这取决于用户的工作职责。
(3) 审核
为了有效地分析网络的安全性并且对安全事件做出响应,本系统采取有效的方式进行采集网络活动数据。
审核数据包括用户所做的试图通过身份验证和获得授权的尝试,同时还包括对用户所作的改变访问权限尝试的记录,并且审核日志中的所有数据均带有时间标签。
(4) 数据加密
加密是一个对数据进行编码的过程,目的是为了防止目标接受权限以外的用户读取数据。加密设备在把数据放入网络之前先对其进行加密,解密设备则在把数据传送到应用程序之前先对其进行解密。路由器、服务器及终端设备均可以作为加密和解密设备。scada软件本身采用专门的工业通讯协议,具有解密、加密功能。
加密是一个非常有效的安全部件,它提供了数据的保密性,同时也可以用来确认数据发送者的身份。
(5) 数据过滤包
在路由器和交换机上建立数据包过滤器,从而接受或拒绝来自特定地址或服务器的数据包。数据包过滤器扩充了身份验证和授权的机制,能够保护网络资源免受越权使用、盗用、破坏和服务攻击。
(6) 防火墙
防火墙是在两个或多个网络的边界处用来加强安全策略的一个系统或若干系统的组合。本系统在控制中心与电信公网的入口配置netscreen硬件防火墙以保证网络安全。
(7) 入侵检测
入侵检测是指对网络活动的实时监测和对数据的分析,以发现潜在的薄弱环节和正在进行的网络攻击。在网络内部,授权用户在网络上进行的越权操作可以被实时地检测到并立即被阻止。对于企图闯入网络的外部入侵也可采用同样的方式处理。
5 结束语
本系统设计方案特别适合大型的自来水管网或天然气管网输配的监控和数据采集(scada)。由于监控站点均散布在城市的各个区域,有线方式传送现场数据的难度大,因此大都采用gprs网络无线通讯方式,具有覆盖面广、通讯速率高、稳定性好的优势。
参考文献
[1] 西门子wincc编程手册[z].
[2] 朱 荣. 现场总线与网络集成[j]. 昆明理工大学学报,2001,(1).
[3] 吴道虎等. 基于工业ethernet的远程实时监控系统的设计与研制[j]. 世界仪表与自动化,2002,(2).
[4] 阳先惠等. 互联网技术对现场总线技术发展的影响[j]. 世界仪表与自动化,2002,(1).
