基于Internet的触摸屏数据库远程监控系统

引言

    网络通信技术已经改变了人们的生活,同时也正在改变工业自动化的方方面面。因此,中国电器工业协会通用低压电器分会在《低压电器新产品发展总体思路》中明确提出:“全面实现低压电器主要产品网络化、智能化、可通信化。要求我国第3代低压电器主要产品、第4代低压电器,全部实现网络化、智能化、可通信，能与多种现场总线连接，也可直接与工业以太网连接。”鉴于此，近年来，基于现场总线、以太网和直联网(Internel)技术的可编程控制器(Programmable Logic Condoner，PLC)、触摸屏(Human Machlne Interface，HMI)、变额器，智能开戈等各类智能低压电器得到了民足发展，在智能电网、楼字智能化、工业远程监控等方面得到广泛应用。低压电器产品刚络化、智能化的发展大趋势，也对智能化、网络化、实时化的信息交互和监控系统提出了新的、更高的要求。

    低压电器信息交互和临控系统可通过无处不在的Internet，进行远程的数据传输和控制，十分方便。但因网络的实时性较差。传输控制信息和数据需建市虚拟局域通道(VinnaI Local Area Network，VLAN)；加之传输控制协议／互联网协议(Transmission Control Protocol／Internet Protocol．TCP／IP)的广泛使用和IP安全的脆弱性，增加了互联网传输的不安全因素。而智能低压电器与远程主机之间的通信数据都是十分重要的生产信息和控制数据，其安全性和实时性要求极高，因此，一般的网络传输无法满足工业要求。

    本文以基于Internet的触摸屏的数据库远程监控系统为例，介绍一种采用远程安全通信模块SY-HSCM，从而便捷、可靠地构建基于互联网的智能电器远程数据交互系统的解决方案。

1配方生产线数据库远程监控系统

    在饮料、食品、聚氯乙烯片材等行业，需按产品的不同配方自动配置原料并组织生产，该类自动配方生产线一般由HMI, PLC和继电器等低压电器构成。配方信息是企业核心竞争力，需集中管理和统一配置，如可口可乐配方，一直是世界级的秘密，其生产过程中的配方信息对生产者也是保密的。这类企业大多为跨地区、跨国界的大型企业，因此，迫切需要在安全、保密的前提下，可在公司总部对世界各地的生产厂实时进行配方的下传、存储、调用、修改和生产线监控。为此，本课题开发了基于Internet和MT8000型HMI的配方数据库远程监控系统。

2通过Internet访问HMI的系统架构

    配方数据库远程监控系统的网络拓扑采用课题组开发的S-fink网络协议，对工业数据安全加密后，通过Internet进行协议上的转发，实现PC机与远程HMI的数据库进行安全数据交换的功能，也可实现对电气控制系统的远程监控和在线诊断，如图1所示。

    在生产现场配置的远程安全通信模块SY-RSCM，具有交换、路由、防火墙、安全网关和VLAN等功能，可以实现100Mb/ s的工业数据网络传输。系统通过互联网，建立起计算机与远程触摸屏MT8000、PLC之间的虚拟局域网VLAN通道，确保数据交互的安全性。

    图1配方数据库远程监控系统网络拓扑结构

3系统的安全通信框架

    3.1安全通倍的协议

    在系统中，网络路由器和安全通信模块SY-RSCM中均内置了安全通信协议S-link，该协议是保证数据安全传送的重要环节。S-link通过软件的高级加密形式对IP报文封装，以实现TCP/IP网络上数据的安全传送。S-link属于OSI模型的第3层协议，即网络层协议，能对所传数据提供认证和加密(包括对控制报文和传输中的数据加密)，提高了数据传输的准确性和安全性，是一种完整的安全解决方案。

    S-link协议的设计目标是为网络层流量提供灵活的安全服务，包括:访问控制、无连接完整性、数据源鉴别、重传攻击保护、机密性、有限的流量保密等。S-link协议的主要内容包括:安全框架一RFC2401；安全协议:AH协议一RFC24U2、ESP协议一RFC2406。S-link安全体系结构如图2所示。

    图2  S-link安全体系结构

    3. 2安全通信的密钥

    在S-link协议中，内置了两级密钥体系，即工作密钥( Working Key, WK)和密钥加密密钥( KeyEneryplion Key，KEK）。

    （1）WK。可分为用于对个人标识码加密的密钥及进行报文鉴别的密钥，均由S-link的加密机产生。在每次建立连接时，利用xEx加密后下载，并由KEK加密存储，S-link工作密钥在传送时以密文传送。

    (2）KEK。用于对工作密钥WK进行加密保护，共享唯一的KEK。KEK只能写人并参与运算，不能被读取。KEK应至少有3个，以便当KEK泄密时软、硬件采取同步内置算法，及时、方便地予以更换。PC中的S-link软件和SY-RSCM网络安全通信模块之间，通过参数交换的方式约定使用哪个KEK。

    3. 3安全通信模块的防火墙功能

    安全通信模块SY-RSCM内设硬件防火墙，通过信息过滤检查方式，对非法访问进行拦截，阻止各种网外攻击，能有效地保证网内数据安全，确保在SY-RSCM下端的网络内的信息不受外来非法攻击。

4  HMI中数据库的建立

    选用MT8000 HMI是由于其配有Internet接口和较大的内部闪存(Flash Memory）空间，可方便地进行远程网络通信和数据库构建。MT8000 HMI内部Flash Memory称为RW.RW中除保留字外，在不扩展外围存储器件的情况下，用户可用空间为60000字。设某一产品因原材料组合、配比和工艺要求的不同，有l00个可变参数，每个参数占用一个字，则这100个参数组成1个参数页。60000个字空间可存储60U个参数页，即能存储600个不同规格产品的参数，可满足绝大多数产品的配方存储要求。若存储空间不够，可插入闪存(Compact Flash, CF）卡进行存储扩展。因此，利用HMI作为配方数据库是可行的。

    存储空间能存储参数页的数量可由下式计算得出;

    式中P—可分配参数页总数量

    L——HMI断电可保存空间总长度(总字地址数)

    Lb—用于其他信息存储的保留空问总长度(保留字地址数)

    N一页参数中参数的个数

    Y——各参数所占用的字数

5系统的总线连接及上下载实现

    5.1现场总线连接的方式

    远程通信模块SY-HSCM通过WAN接口连接Internet，并通过LAN接口连接至各生产线的HMI。生产现场的总线连接如图3所示。

    图3现场总线连接图

    HMI通过RS一232与PLC进行全双工通信，实现参数的下载和生产实时数据的上传。由于现场各类传感器距离PLC较远，考虑总线的抗干扰能力及成本因素，故本系统采用RS一485总线对各智能传感器进行读、写通信。PLC通过RS -485总线，采集重量、温度、压力等工艺参数对生产线进行闭环控制。同时，将参数上传至HMI。

    5.2配方下载至PLC的方式

    下载时，HMI将原材料配置参数与生产工艺参数传送至PLC的相关寄存器中，PLC则根据预定程序和下载的各类参数控制生产线的阀门、进给速度、流量、温度、压力等，实行自动化生产。若PLC接收HM1下载的配方数据有n个参数，每个参数占用一个字地址，设占用D100~D100+n一1，并设HMl当前显示需要下载的参数在LWO一LW n一1中，利用远程操作触发下载宏，使当前需要生产的配方参数下载至PLC，下载宏示范如下:

    5. 3  PLC实时生产数据上传的方式

    实现参数上传的方式为:在HMI中建立读取参数宏，并使该宏一直处在激活状态，读取参数宏的功能是将各工艺参数上传至HMI的实时数据监视存储区。这样，远程PC机读取HMI中实时监视存储区的数据，即可安全、方便地读取现场生产实时信息。其读取参数示范宏指令如下:

6  HMI窗口的配方数据保密措施

    PC通过Internet对HMI进行程序和数据的上、下载。在远程上、下载过程中，需采取保密措施，以使配方数据不外泄。主要保密措施如下:

    (1)下载过程中，HMI设为显示进度条状态，数据在HMI上不可见，保证了数据不会通过HMI外泄;

    (2)在PC远程单独修改HMI的参数(如配方数据)时，通过对HMI的设置，可以在本地不显示具体的数字，而是以显示“***”字符，来保密;

    (3)在HMI上，程序的上载通过密码加密方式，以保证本HMI上的配方数据安全。

7结语

    本文所述的基于Internet的HMI配方数据库远程监控系统已在PVC片材生产线中使用，1年来的实践证明，该系统网络结构简单、构建方便。PC机与HMI之间的通信数据安全性高、保密性好、市场前景广阔，凡涉及到需配方信息远程保密传输和数据连通的领域均可采用该系统。该系统的安全通信机制也可移植到其他对远程数据通信安全性要求较高的智能电器控制领域，如智能配电管理系统、楼宇、港机、交通设施和生产线等，因此，值得推广。