導 讀
傳統的安裝有SCADA的計算機主機都是放在工廠車間的,不過這家公司卻將SCADA移動到了數據中心,在不影響生產效率的前提下,最終還提高了系統的安全性和可靠性。
在多年以前,人機界面(HMI)與監控和數據採集(SCADA)系統並沒有包括在信息技術(IT)的範疇。通常由工藝工程師或工廠維護機構來負責SCADA/HMI系統。其職責包括選擇並管理計算平臺以及工業控制網絡(ICN)。在許多情況下,一名電氣人員負責整個系統,包括工作站、ICN、以及可編程邏輯控制器(PLC)。在SCADA/HMI的時代,ICN很少與IT企業網絡或互聯網相連接。遠程訪問一般是通過使用電話調制解調器與SCADA主機工作站直接相連來實現的。
讓IT和SCADA同步起來
在上世紀90現代後半段,兩股趨勢將IT和SCADA更緊密地聯繫在一起。第一個是千禧之年的恐慌,據說影響了所有企業的計算機系統。這也包括生產管理軟件裡的計算機系統,例如SCADA和HMI。IT部門將生產系統也包括在其監視範圍之內,關注生產系統確保他們準備好應對新世紀的日期格式。
圖1:物料搬運過程中可能會給工作站造成物理損害,例如在倉庫裡頻繁的叉車作業。
僅憑這一點還沒有導致生產系統和IT架構的整合。對於大部分人來說,這些系統仍然沒有與企業IT網絡的其他部分連接起來。鑑於氣隙安全性與ICN管理流量的獨特需求,集中式IT網絡管理工具根本無法被有效利用。
第二個與千禧之年的關注點同時發生的趨勢是在許多企業內部署的企業資源計劃(ERP)系統。ERP的數據請求以及與車間設備的不確定連接意味著要麼部署一套平行系統,要麼讓SCADA變成連接橋樑。其結果是,SCADA以及其他生產系統(例如製造執行系統)被用來追蹤生產和滿足ERP的車間數據的需求,其方式是將IT網絡和工業控制網絡連接在一起。
在過去的15年中,我們目睹了IT與生產系統不斷的整合過程。SCADA系統佔到了連接企業網絡的絕大部分。遠程訪問通常是通過虛擬專用網絡(VPN)提供的,因此在任何地方都可以通過互聯網訪問SCADA系統。
在將這兩種截然不同的文化放到一起時,會產生一些系統之間的摩擦。在頂層上,IT部分通常認為其系統是動態的而且關注於可擴展性、性能以及網絡安全方面。它會更願意使用補丁和更新,只要它知道其有能力在發生問題時退回到之前的配置。工業網絡的重點則是提供極高的可靠性和安全性。由於實時數據的關鍵屬性,即使是短時間的中斷都可能影響生產效率和依賴於其的工人和設備的安全。鑑於此, 軟件補丁和固件升級在應用到生產系統之前會得到更加徹底的測試。
考慮向數據中心轉移
如今,系統更多地受到IT及其實踐的保護和管理。對於變得越來越廣泛使用的網絡安全和虛擬化來說,這尤為正確。 這就引發了一個是否應該將SCADA主機從控制室或車間裡移走並搬到數據中心區的問題。
PcVue 解決方案公司最近被要求為一家正在考慮這個問題的中型企業提供指導意見。該企業有一個儲存必須要受到嚴格環境條件控制的材料倉庫。為了自動維護倉庫環境的完整性,該公司從其SCADA平臺供應商處購買了一個系統。供應商將HMI連接在單用戶工作站上,通過工業網絡連接與倉庫中的幾個PLC一起控制加熱和冷卻設備以及其他環境控制設備。工作站被放置在倉庫的一張桌子上。
管理層擔心在日常的倉庫物料搬運活動中可能會給工作站造成損害,例如頻繁的叉車作業(請見圖1)。考慮到工作站所處的實際位置,他們也擔心如果發生類似的事故、甚至是正常的工作站的維護問題所需要的響應時間。由於這些原因,公司想要將工作站從倉庫車間轉移到企業的數據中心。
新協議帶來了可能性
這是可能的,因為PLC的通訊協議是互聯網協議(IP),已經基本上取代了現代ICN裡面使用的老舊的串口協議。IP所創造的可能性是可以從數據中心建立一個VPN,使得HMI可以連接到ICN上的PLC。
為了給倉庫操作員提供訪問HMI的圖形化用戶界面(GUI)的可能行,IT部門傾向於使用微軟的遠程桌面應用(RDA)。RDA是廣泛使用的遠程桌面服務(RDS)的子集。RDA可以讓HMI GUI以一個圖標的形式顯示在操作員的正常桌面上,而不像RDS那樣要求覆蓋整個桌面。作為標準的微軟解決方案,使用RDS或RDA對於與微軟兼容的SCADA軟件平臺來說是直接易懂的。
IT部門也想要在數據中心的虛擬機(VM)上安裝HMI工作站,而不是像在倉庫裡那樣專門設立一臺工作站。有了標準的微軟應用軟件,根據設計在一臺VM上運行工作站顯然是可行的。對於IT來說唯一的問題僅僅是需要將通用串行總線(USB)端口與主機的地址進行匹配。使用USB加密狗進行認證是在SCADA和HMI平臺上是很常見的做法,不過對於企業軟件來說就不常見了。在這種情況下,僅僅需要將USB端口和安裝有SCADA的VM進行地址匹配就可以了。在更加複雜的多個工作站的網絡中,可能需要網絡USB設備。
搬到數據中心的好處
從很多方面來看,將工作站從倉庫裡面搬到數據中心都被認為是成功的(請見圖2)。諸多的好處包括技術透明度的提高,網絡安全更加嚴密,以及系統可靠性方面的提高,包括災難恢復估計成本方面的大幅下降。IT和倉庫管理層都一直認為工作站搬遷後與之前在倉庫裡的性能是一樣的。
圖2:將工作站移動到數據中心是個好主意。除了可以讓設備更加安全,其他好處還包括技術的透明度提高了、網絡安全更加嚴密、以及提高系統可靠性。
該項目還有另一個作用。工廠維護團隊意識到,如果可以更方便的訪問環境監控信息,還可以提高性能。接下來為了推出虛擬工作站,維護部門要求對SCADA/HMI系統進行單獨的、與眾不同的訪問。
最初的時候,該項目獲得的許可和配置是為了同時僅支持一個用戶的單機系統。用於維護的新用戶配置文件需要在現有的許可下進行設置,而且RDA連接需要與維護機構進行共享。有了這個新的架構,任何使用系統的人都可以安裝RDA。在安裝之後,需要做的僅僅就是打開桌面上的RDA圖標,登錄到一個對話中去,然後用戶就在一個視窗裡進行操作,其行為和在專屬工作站上的行為一模一樣。缺點是在操作人員登錄以後,維護人員再嘗試連接的時候會收到“拒絕連接錯誤”的提示,反之亦然,當維護人員登陸以後,操作人員也不能訪問GUI了。
要想為多個用戶同時提供單機HMI的訪問功能,需要將其再配置成一個SCADA系統。需要對SCADA項目的許可和配置進行一些修改。在大多數系統中,一個單機HMI許可都可以轉換成為多用戶的服務器客戶端SCADA許可,困難程度有所差異。在這種情況下,關鍵就是許可文件的交換。
也需要一些配置上的變化來反映出系統裡的新用戶。例如,要確保每個用戶都共享相同的與PLC之間的通訊通道的配置,並且要求不影響具有並行通訊請求的ICN上數據流量的總體水平。
如果這些架構和配置的變化已經完成,現在就可以擴展同時登錄用戶的數量。客戶考慮需要多少個用戶同時訪問系統。在本文的案例中,這家企業的答案是3個:當班操作員、維護經理以及工廠經理。在生產和維護部門裡有很多人,不過為了平臺的大小考慮,該企業最終決定系統同時最多可以支持3個用戶。
虛擬機的使用
虛擬機是為了支持系統架構的額外的客戶端工作站而準備的。安裝有SCADA服務器軟件的VM也被作為許可管理器。網絡許可使得客戶端VM可以根據指令而創建,而不是在空閒時間消耗能源。客戶訪問許可證是從Microsoft獲得的,用於此項目所需的新RDA會話。
現在,該系統已成為IT部門數據中心內的一個多用戶系統。對於倉庫操作最終用戶或新的維護部門以及管理層最終用戶的訪問及系統性能來說,都沒有任何問題。
請注意在這裡監控和應用的環境控制不會很快改變,將其遷移到數據中心也是謹慎的。如果因為更復雜的ICN路徑導致了額外的延遲,那似乎也並不明顯。更重要的是,由於叉車撞擊所造成的物理損害而導致失去SCADA服務器的風險已經被消除了。
災難恢復計劃
最後,IT部門審核了其總體的災難恢復計劃。當時討論了歷史報警和事件數據庫信息的保護和恢復,IT將其保存在微軟SQL服務器數據庫當中。此外,還考慮瞭如何最好地保護配置目錄以及平臺安裝目錄。並對託管虛擬機或甚至數據中心本身的服務器意外丟失的情況進行了審查,將其需要的所有步驟全部放在一個明確的行動計劃中。
災難恢復計劃的討論完全是在IT的專業人員指導下完成的。他們瞭解停機的成本及後果,他們習慣於從恢復服務器和數據庫所需的最短時間方面考慮。
在數據中心內接納SCADA及HMI已不再是一種設想。隨著虛擬化變成了一個企業設置中標準的計算應用,我們會看到選擇這種方式的客戶將不斷增加。網絡安全方面的考慮也會推動將SCADA中心納入到數據中心的安全當中去。對於未來的大多數SCADA及HMI應用來說,這很可能會成為標準的部署策略。
本文來自於《控制工程中文版》(CONTROL ENGINEERING China )2017年10月刊《技術文章》欄目,原標題為:將SCADA移動到數據中心
免責聲明:本文為網絡摘錄或轉載,版權歸原作者所有,內容為原作者個人觀點,並不代表本公眾號贊同其觀點和對其真實性負責。如涉及作品版權問題,請與我們聯繫,我們將在第一時間刪除內容。
閱讀更多 國匠智能製造培訓學院 的文章
