文章来源:西安拽亘弗莱工业自动化科技有限公司
SCADA是Supervisory Control And Data Acquisition的英文缩写,国内流行叫法为监控组态软件.从字面上讲,它不是完整的控制系统,而是位于控制设备之上,侧重于管理的纯软件.
SCADA是Supervisory Control And Data Acquisition的英文缩写,国内流行叫法为监控组态软件。从字面上讲,它不是完整的控制系统,而是位于控制设备之上,侧重于管理的纯软件。SCADA所接的控制设备通常是PLC(可编程控制器),也可以是智能表,板卡等。 早期的SCADA运行与DOS,UNIX,VMS。现在多数运行在Windows操作系统中,有的可以运行在Linux系统。SCADA不只是应用于工业领域,如钢铁、电力、化工,还广泛用于食品,医药、建筑、科研等行业。其连接的I/O通道数从几十到几万不等。
拽亘弗莱开放工厂引擎中心 DOPEC 是一个基于微软的服务器/客户端结构为加工设备厂自动化系统和企业的工厂监控与质量检查来提供开放和透明的软件集成方案. 它通过集成与分析实时过程与生产数据用可视化的图形和仪表来直接显示监视与综合分析的结果. DOPEC 能帮助优化工厂生产性能, 提供管理阶层的决策支持, 增强企业各部门的协调与配合。
DOPEC 能帮助企业优化工厂运营品质,提供决策依据,增强企业各部门的相互协调以实现最大化的产量与利润。 它通过集成生产数据和过程操作数据来预测与防止可能出现的问题来实现工厂和商业的良好运行状态。
DOPEC 是一个支持DDE (Dynamical Data Exchange) 和 OPC (OLE for Process Control)的软件。 任何DDE服务器程序和OPC服务器程序都能本地联结或远程联结到DOPEC上, 故任何在DDE服务器和OPC服务器上的过程和商业数据都能被DOPEC采集, 分析和显示。 拽亘弗莱设计了一套通讯协议来允许客户开发他们自己的数据采集驱动程序然后嵌入到DOPEC系统中. DAcqServer (Data Acquisition Server) 和 AEAcqServer (Alarm/Event Acquisition Server) 可以和客户开发的数据采集驱动程序通讯从而获取过程和生产中的数据、报警、事件等信息。
拽亘弗莱可以应用DOPEC来帮助客户开发SCADA系统。我们通过分析客户需求,研究SCADA布局,确定任务组成,每个任务完成特定的功能。 位于一个或多个机器上的服务器负责数据采集,数据处理(如量程转换、滤波、报警检查、计算、事件记录、历史存储、执行用户脚本等)。
定制化将成解决SCADA系统安全性的趋势
文章来源:网络转载 发布时间:2012-05-10
SCADA仿真软件或许能解决这一问题.这种SCADA仿真软件不禁使人们想起了电厂用于起/停监控的能源管理系统.这一监控软件将可以将电力线路分成不同的区段,当系统显示正常是就可以完成电能的交换.
如果你是CXO,负责监控一个复杂的基础设施,包括一个SCADA系统,那么你最关心的可能就是怎么样防止这一系统遭到外界的攻击。由于很多复杂的基础设施的脆弱部位已经遍布世界各地,所以自动控制软件也在不断地加速改进。但是要替换所有的控制系统可能还需要很多年。为了解决这一问题,网络供应商一直在想尽办法来监测控制系统遭受攻击的情况,以不断的完善网络系统。他们可以通过身份验证和入口控制等手段来和控制系统进行信息交换。随着新一代控制系统的发展,监控任务将主要由系统自己负责,所有的入口通道将可以识别是否有恶意用户进入。
但是当涉及到电力、冶金、化工、水处理、核能等控制系统领域时,关注点就又有所不同了。这时研发人员就要考虑到在上述的特殊环境中遇到问题时该如何及时作出反应。控制系统需要通过一系列的综合性的测试。我们很难用一张数据表将所有可能发生的情况,及其与其他系统的协作问题挪列出来。在化工及水工业等高危行业中,一旦出现问题,结果可能将是灾难性的,所以这就更需要控制系统要做到精细化,来应对可能出现的一连串的问题。
SCADA仿真软件或许能解决这一问题。这种SCADA仿真软件不禁使人们想起了电厂用于起/停监控的能源管理系统。这一监控软件将可以将电力线路分成不同的区段,当系统显示正常是就可以完成电能的交换。这种仿真软件有什么不同之处呢?由于我们很难为一个特定的行业制定一套监控系统,比如说石化行业,这一模拟软件就好比是为不同的行业所定制的,当要将这一系统运用于不同的行业时,客户只需要提前进行参数设置和性能测试就可以了。当然软件错误也会使给系统带来灾难性的结果,所以在使用于特定行业之前必要的测试是必不可少的。
其他问题还包括内部无线网络的连接情况。仿真软件与线路网、控制器的连接情况也非常重要。这可能需要为这一监控系统制定一款更为可靠地无线网络通讯系统。在未来的几年,SCADA控制系统的弱点将会得到不断的改进。可能会出现运用于不同工业控制环境、不同客户类型的仿真软件。随着控制系统的不断复杂化,仿真软件的要求也会不断的提高。鉴于安全方面的考虑,对于同一行业不同企业,软件也会有不同的授权。
基于工业以太网的供水工程SCADA系统
供水工程的综合自动化监控系统采用以计算机为核心和网络信息化为基础的监控与数据采集SCADA系统整个系统采用工业以太网作为主要的通信平台该系统将达到在调度控制中心完成对全网进行监控调度管理的自动化水平,操作人员在调度控制中心通过SCADA系统可完成对管道的监控和运行管理。
具体表现为:各站场达到无人操作,有人值守的管理水平;自动控制系统将自动连续的监测和控制管道的运行,保证人身管道设备安全;使管道以最低的运行成本最优的工况正常运行;采用的设备控制系统及材料是技术先进性价比高能满足所处环境和工艺条件在工业应用中被证明是成熟的产品;各工艺站场的站控系统(Station Control System,SCS)和RTU与调度中心之间的通信采用一主一备的通讯通道,同时兼容GSM无线通讯等通道;调度控制中心与各个站场的SCS之间采用光纤进行通信;调度中心与各站场在网络上都是点对点的链接。
二、系统网络结构
为了确保供水系统安全、平稳、可靠和高效的运行,采用先进的西门子自动化SCADA技术对其供水管网及配套设施的工艺参数和设备运行情况进行监视和控制的系统,同时SCADA系统与管理信息系统(MIS)和地理信息系统(GIS)相结合,这也是必然的发展趋势它是整个供水系统中非常重要的部分
城市供水系统站控系统由RTU进行站场的监视和控制,并将站场管线上的关键运行参数以SCADA系统特有的数据规程,都遵守TCP/IP通讯协议,通过光纤通信数传通道或GSM网无线网送至调度控制中心,并接受调度控制中心的操作指令,完成关键设备的远程控制要保证系统提供详尽可靠的实时信息。及时发现隐患,突发事故维修现场的指挥调度反应迅速,保持整个供水系统的业务联系随时畅通,就必须保证通信系统的绝对可靠性。
通信系统的设计原则是:
1.技术的先进性:新建系统一次投资大,必须充分采用最新的成熟技术,避免技术落后重复改造重复建设,如采用光纤环网监控中心各站场的管理运行操作软件统一化
2.系统建设的前瞻性:城市供水系统是复杂的信息管理系统,必须考虑新增的需求,如视频监测.用水信息管理等新老及将来的项目都必须极易兼容链接
3.经济实用性:在满足语音数据业务的同时,要综合考虑光纤通信网络的综合建设费用和维护费用,采用最经济最可靠的综合方案
4.系统的资源增值性:系统建设本身就是资源投资,必然考虑资源的增值性,铺设光纤以资源投资的形式成为新的经 济增长点。
根据设计要求,选用双冗余自愈环主干网,到各节点可采用“直线”,或“小环网”的接入方式对于集中在一个片区,或距离较近的几个点,建议选用“小环网”的组网方式,可以提高可靠性,在其中某一段光纤出现通信故障,如因管道检修维护造成光缆损伤的情况下不影响正常的语音视频数据通信。
光纤采用单模,适用于SDH(Synchronous Digital Hierarchy,同步数字体系)技术,配以2.5Gb/s(STM16),传输1550nm光信号通过光端机分离出若干个标准El(G.703)接口,组成PABX网。配合可提供El标准接口的路由器接入LAN(TCP/IP 10/100M)网对于无人值守的站点,不需要语音通信,也可选用光纤直接转换到以太网的设备。
三、控制系统的配置组成
供水工程SCADA系统设有一个控制调度中心若千个站控系统几十个管网监控点(RTU)控制系统。近则几百米、远则几百公里。
控制调度中心的两台服务器要互为备份,协同工作,共同完成对各站控系统、管网监控点进行不间断的监控。
各站控系统和RTU作为SCADA系统的远方控制单元是保证SCADA系统正常运行的基础,为调度控制中心调度管理与控制命令的远方执行单元,是SCADA系统中最基础的监控级SCS和RIU不但能独立完成对所在工艺站场的数据采集和控制,而且将有关信息传送给调度控制中心并接受下达的命令
站控系统主要由计算机网络系统、可编程逻辑控制器PLC、操作员工作站及进行数据传输的通讯设备组成。
RTU是一种独二的小型智能控制设备,具有编程组态灵活功能齐全通讯能力强维护方便自诊断能力强,可适应恶劣的环境条件可靠性高等特点。
各个站场的站控系统或RTU将完成对本工艺站场的监控及连锁保护等任务,并接受和执行调度控制中心下达的命令。
综合自动化系统实现以下操作模式:
整个系统的调度控制中心集中监视和控制;
站场的站控系统自动/手动控制;
站场单体设备(如压缩机组)的自动/手动控制站场子系统的自动/手动控制;
就地手动操作控制
在正常情况下,由调度控制中心对全网进行集中监视,对特别重要的个别设备也可进行远方控制操作人员在调度控制中心通过计算机系统完成对全网的监视操作和管理各站控制系统或RTU在调度控制中心的统一指挥下完成各自的控制任务控制权限由调度控制中心确定,经调度控制中心授权后。才允许操作人员通过站控系统或RTU对各站进行授权范围内的技术任务当数据通讯系统发生故障或系统检修时,由站控系统或RTU应独自完成对本站的监视控制。当进行设备检修或紧急停车时,可采用就地手动控制。
SCADA系统在正常和非正常的情况下将自动完成对输水管道的监控保护和管理。为了保证SCADA系统各站点之间的数据交换的实时性,使其及时准确可靠协调高效率的工作,SCADA系统的数据更新应采用多种方式进行,如周期扫描例外扫描查询例外报告报警等。
调度控制中心的实时服务器对各站控系统采用点对点的通讯方式,都是通过网络在线进行工作。
在正常情况下,系统采用周期扫描,即按固定周期有规律地集中更新数据,SCADA数据库中的每一个点根据其性质不同为它们定义不同的扫描周期SCADA系统管网全线扫描一次的数据更新时间不超过15s。
系统中有突发事件或特殊请求发生时(如发布操作命令对某一局部重点监控发生报警等),系统将中断周期扫描,采用其他扫描方式工作,优先保证重要数据/命令的传输,确保系统实时性。
(一)调度控制中心
如图3所示,调度控制中心的SCADA计算机系统采用双网冗余分布式SCADA计算机系统由SCADA实时数据服务器SCADA历史数据服务器SCADA WEB服务器分析服务器打印和应用服务器操作员工作站工程师工作站管线模拟工作站背影系统投影仪.冗余磁盘阵列磁带机打印机交换机网络通信设备和GPS时钟设备等设备组成为提高系统的可靠性SCADA实时数据服务器SCADA历史数据服务器和局域网采用热备冗余配置,调度控制中心通过骨干光纤环网与各个站控系统管网监控点RTU通信。
使用西门子SIMATIC NET技术,组成开放性的工业以太网,符合IEEE802 3U规定。可从网络中任何点进行设备互动和故障检查,具有冗余网络拓扑结构。网络元件通过EMC测试,具有很强的抗干扰能力,并能够适用了严酷的工业环境中,通过以太网卡,即可实现与任何站控系统的PLC的通信连接,系统都遵循工TCP/IP通信协议网络上的以太网交换机,是实现SCADA系统监控功能的关键设备特别要指出的是,西门子交换机的光纤交换机模块OSM和电气交换机ESM模块,成本低效率高,用西门子SCALANCE系列交换机,建立10/100Mbit/s的工业以太网,能方便构建网络拓朴结构,能提供功能强大的网络质量优良的管理和诊断服务,为客户提供理想化的网络解决方案
(二)站控系统
站控系统是抽水泵站的控制系统,包括PS1、PS2、PS3;该系统主要由远程终端装置RTU/PLC站控计算机通信设施及相应的外部设备组成站控系统由RTU/PLC进行站场的监视和控制,并将站场管线的关键运行参数以SCADA系统特有的数据规程,通过光纤通道送至调度控制中心,并接受调度控制中心的操作指令,完成关键设备的远程控制。
站控系统具有独立运行的能力,当SCADA系统某一环节出现故障或站控系统与调度控制中心的通信中断时,不影响其数据采集和控制功能
利用工业以太网组网。
PLC的数据,并进行分析处理,操作员通过SCADA软件可以了解泵站的工作状况,控制管网的运行。
使用开放性工业以太网组网,符合正EE802.3U,可从网络中任何点进行设备启动和故障检查,具有冗余网络拓扑结构服务器通过配置以太网卡即可实现与PLC的即时通信连接,系统遵循TCP/IP通信协议。
(三)管网监控点
本工程的管网监控点包括:压力稳定装置——PI站提升池站几十个管网沿线城市分输站。
这些监控点的PLC和工作站计算机之问的通信用局域网实现,使用标准的TCP/IP协议来完成PLC和计算机通过网络共享资源
以上各类监控站通常分布在城网管线上,在野外且无人值守,根据实际环境的考虑,如果有必要还可采用户外型PLC,适用于恶劣环境。对PLC的设计采用集中式原则,PLC通过I/O口采集或控制相应的信号量通过以太网通信模块,由以太网转光纤接口设备连接到主干光纤网,为方便操作,也可通过适配器完成便携式PC对PLC的操作
四、结语
对于供水工程SCADA控制系统设计方案,本文仅就其中的工业以太网部分如何应用西门子自动化技术购建开放性的监控系统作了介绍,为类似工程的自控系统设计提供一个参考。
随着工业控制技术和IT技术的不断发展,国际上先进自动化控制理念和技术在水行业越来越受到广泛的推崇。以工业以太网络构成的集散监控系统已成为水行业自动化的主流通过标准开放的TCP/IP协议100Mbps快速以太网(1000Mbps以上的快速以太网)将各种控制设备及不同的网络都能无缝连接,实现数据的高速传输和实时控制,对水行业来说是安全可靠和经济适用的。
Proficy HMI/SCADA - iFIX在电厂化学自动加药系统中的应用
一、概述
化学水处理系统是火电厂的主要辅助系统之一,它与电厂生产过程密切相关,其正常运行是保证机组可靠、稳定运行的重要条件,因此如何可靠、有效地对其进行监控十分重要,这就要求监控系统能及时准确地反映水质情况,近年来随着电厂自动化程度的提高,通过现场监控系统的数据采集、过程可视化及过程监控功能,使得这一过程很容易的得以实现,Proficy HMI/SCADA - iFIX 是GE Fanuc 职能设备软件产品家族中的一个基于Windows 的HMI/SCADA 组件,提供了生产操作的过程可视化、数据采集和数据监控。ProficyHMI/SCADA - iFIX 可以精确地监视、控制生产过程,在此基础上通过网络连接和数据库共享,可实现化学加药系统水汽品质参数的全厂数据共享。
二、加药系统工艺简介
化学自动加药系统主要用于电厂给水、炉水、凝结水、闭式冷却水及废水的水质调节,是通过投加化学药品(氨、联氨、磷酸盐等)到相应的管道中,通过一系列的化学反应,控制电厂用水的酸碱度、离子浓度等参数,达到控制水质,保护运行系统中的管路和设备的目的。
化学自动加药控制系统接收来自取样系统的水质分析信号(通常是4~20mA DC 的电流信号),并把该信号送进加药系统的控制仪表或PLC 系统,经控制仪表或PLC 进行数据整定和PID 运算,输出控制信号调节计量泵的冲程或转速达到调节加药量的目的,药品加到补水母管中,经过一系列的化学反应达到调节水质的目的。水处理系统在加药点后一定距离设取样点,通过取样装置上分析仪表进行水质分析输出取样信号反馈到化学自动加药控制系统,形成一个闭环控制系统,以达到精确控制电厂用水水质的目的。在该系统中可编程控制器主要完成计量泵、搅拌器、电动阀等设备的监控、连锁保护、溶液箱的液位及运行参数的监测,以及取样系统的数据采集、分析、处理功能。
三、控制系统结构
本系统中分成三级网络结构,由就地PLC 和就地工作站以及交换机构成了车间级的局域网络,PLC 下位机主要负责加药系统以及汽水取样系统的数据采集及控制,由控机构成的就地工作站,在该工作站上运行Proficy HMI/SCADA - iFIX 组态软件,实现加药系统及汽水取样系统集中监视、管理、模拟量控制、自动顺序控制、组态及远程监控操作,两台交换机及光电收发器构成的通讯接口部分,该部份负责提供化学加药及汽水取样控制系统与电厂辅网的通讯接口,通过该接口接入由各个车间的局域网构成的电厂辅网系统,最后由辅网与其它网络系统构成整个电厂的厂级网络,所有的网络系统均采用双网冗余热备,所有网络结构均采用100 TCP/IP 协议冗余光纤以太星形网的网络结构来完成。
四、硬件配置
1.就地工作站
为了满足工艺过程的控制要求,就地工作站采用了工业控制计算机
2.PLC 系统
(1)主站(两个主站配置相同)
(2)RIO 从站2
(3)RIO 从站3
五、软件组态
就地工作站的监控软件采用Proficy HMI/SCADA - iFIX 组态软件开发,通过数据库驱动的配置,它可以直接读写PLC 所有的变量,对采集到的实时数据进行监控;它可以连续监视设备,就设备任何故障的报警以文字、图形、声音等方式通知操作人员;它还可以将报警信息、登录信息、交接班信息等写入数据库中,以备日后查询,化学加药监控系统有如下功能:
(1) 工艺系统图:该画面通过编程实现动态模拟显示化学加药系统的药品配制及投加过程。对整个生产过程中的计量泵、搅拌器等设备的手动、自动控制,并完成对加药处理过程中的水汽参数的在线监测功能,对生产过程中的反馈信息做出及时的分析处理,组态图参见附图。
(2) 系统登录及操作权限:在控制系统的组态时,由于就地监视器具有工程站和操作员站的功能,把用户进行了分组,把所有的用户分成两组,即工程师组和操作员组,每个组下包含不同数量的用户,每个用户设置自己专用的密码。工程师组和操作员组具有不同的使用权限,工程师组具有系统编程及组态,添加删除操作员用户,配置系统功能等权限。每个操作员操作系统时,首先要根据自己的用户名和密码进行登录,由于电厂实行三班运转的机制,每个操作员登录后只有8 小时的操作权限,超过8 小时后自动注销,防止忘记注销引起的误操作,操作员的权限只限于设备的运行操作,无权对系统组态及退出当前的运行系统。另外,在本工程中采用了两级网络控制,即就地车间网络控制和辅网控制,辅网控制权限高于就地控制,当系统处于辅网控制状态下,就地工作站只能监视设备的运行状态,而无权对设备进行操作。
(3) 报警记录:实时地发出所有发生故障的参数的声光报警,提醒值班人员采取相应的措施。在报警一览表中可进行确认单个报警、删除单个报警,确认所有报警、删除所有报警的功能。本系统还根据不同的加药系统划分了不同的报警区域,当从某一画面打开报警一览表时,只显示与本画面有关的报警,实现方式:在配置模式下,双击报警一览表中的报警汇总控件,在FILTER 表单中设置过滤条件,即需查看的相应报警区,为了实现显示报警的监控流程图画面的功能,在添加数据点时,须在报警扩展字段中填写相应的监控画面图的图形名称,此功能才能实现。
(4) 实时、历史曲线: 在系统的运行过程中,要实时或历史查询某些取样系统的水质参数,观测加药过程中的水质调节效果。在本工程中设置了数据趋势图,在该趋势图中可同时显示多条历史和实时曲线,每条曲线可以设置不同的显示颜色进行区别。
(5) 报表打印:可以按用户需要的时间段查询取样系统的水质参数,并进行分析比较。Proficy HMI/SCADA - iFIX 中内嵌了VBA 的脚本功能,使得实现系统报表变得十分简单。本系统中使用ODBC 和EXCEL 相结合的方法,在Proficy HMI/SCADA - iFIX 定期保存的数据标签历史库中,根据用户所定义的起始时间和时间间隔查询所需的数据,然后把查询到的数据写到EXCEL 的报表模版中,进行存储或打印。
六、结束语
通过在实际工程中的应用,证明了该系统与电厂辅网系统有着良好的兼容性,提高了电厂水质控制的精度,减少了工作人员现场操作的工作量,取得了良好的经济和社会效益。
SCADA监控系统安全防护须知
个别杀毒软件在升级的时候由于测试用例覆盖不全等原因会对工业控制系统的一些设备通讯代码产生误报情况,影响 SCADA系统的通讯,比如针对力控监控组态软件ForceControl6.1在某些特定控制系统就出现了与力控SCADA软件连接的所有数据点都采集不到数据了.
杀毒软件误报处理:
因为国内应用各种杀毒软件特征码涵盖很多,个别杀毒软件在升级的时候由于测试用例覆盖不全等原因会对工业控制系统的一些设备通讯代码产生误报情况,影响 SCADA系统的通讯,比如针对力控监控组态软件ForceControl6.1在某些特定控制系统就出现了与力控SCADA软件连接的所有数据点都采集不到数据了!
处理方法如下:
故障现象:
自2010年10月12日杀毒软件升级起, 部分运行力控ForceControl6.1计算机的力控IO监控器IO Monitor 出现停止工作的现象。目前已报告共有4例,现象全部一致,机器共同特点是均安装了免费的360杀毒软件。
处理过程:
打开力控IO监控器IO Monitor,,发现所有连接设备的变量的数值都为零。 在连接“设备”例如 上点击右键,发现"数据包"信息窗口不能弹出。尝试重启通道、重启力控软件、重启计算机甚至重装力控软件均无法解决问题。
经过力控工程师的分析发现此现象由于力控IO监控器IO Monitor 与数据库DB注册的报文被360杀毒软件误认新病毒的特征码,因此阻止了报文发送而引起。将360杀毒软件停止运行或卸载系统即可恢复正常运行。
不仅如此,在安装力控SCADA软件时360杀毒软件有时也会阻止XkeyServer.exe、Drawcom.ocx、DBcommserver.exe安装或运行。
为了避免由于与部分杀毒软件冲突而误杀造成的力控软件不能正常运行,广大客户留意上述现象,并针对处理,以免对您的工作和系统造成困扰,同时,建议也可以考虑物理级隔离的网关系统,来确保系统的100%安全。
SCADA软件系统安全保护神—工业网络安全防护网关pSafetyLink
“超级工厂病毒”-Stuxnet木马遭黑客大肆传播已经感染了全球45000个以上的大型网络环境,病毒可以通过移动存储介质和局域网进行传播,并且利用西门子公司控制系统(SIMATIC WinCC/Step7)存在的漏洞感染数据采集与监视控制系统(简称SCADA)。
面对病毒、黑客大肆入侵,北京三维力控科技推出由公安部认证的工业网络安全防护产品—pSafetyLink正是一款可以解决此类问题的产品,加强工业SCADA系统安全防护。
力控工业网络安全防护网关pSafetyLink,是一种专为工业网络应用设计的防护设施,用于解决工业SCADA控制网络如何安全接入信息网络(外网)的问题。它与防火墙等网络安全设备本质不同的地方是它阻断网络的直接连接,只完成特定工业应用数据的交换。由于没有了网络的连接,攻击就没有了载体,如同网络的“物理隔离”。由于目前的安全技术,无论防火墙、UTM等防护系统都不能保证攻击的一定阻断,入侵检测等监控系统也不能保证入侵行为完全捕获,所以最安全的方式就是物理的分开。
pSafetyLink通过内嵌的高性能工业通信软件,支持各种主流工业SCADA通信标准,如:OPC、Modbus、DNP3等。
pSafetyLink通过内部的双独立主机系统,分别接入到控制网络和信息网络,双主机之间通过专用硬件装置连接,从物理层上断开了控制网络和信息网络的直接网络连接。从而有效地防御黑客攻击和病毒的入侵,完成工业自动化系统的信息安全保护。
