工业以太网 简介
工業(yè)以太網(wǎng)
工業(yè)以太網(wǎng)是基于IEEE 802.3 (Ethernet)的強大的區(qū)域和單元網(wǎng)絡(luò)。繼10M波特率以太網(wǎng)成功運行之后,具有交換功能,全雙工和自適應(yīng)的100M波特率快速以太網(wǎng)(Fast Ethernet,符合IEEE 802.3u 的標準)也已成功運行多年。采用何種性能的以太網(wǎng)取決于用戶的需要。通用的兼容性允許用戶無縫升級到新技術(shù)。
要從以太網(wǎng)通訊協(xié)議、電源、通信速率、工業(yè)環(huán)境認證考慮、安裝方式、外殼對散熱的影響、簡單通信功能和通信管理功能、電口或光口的考慮。這些都是最基本需要了解的產(chǎn)品選擇因素。如果對工業(yè)以太網(wǎng)的網(wǎng)絡(luò)管理有更高要求,則需要考慮所選擇產(chǎn)品的高級功能如:信號強弱、端口設(shè)置、出錯報警、串口使用、主干(TrunkingTM)冗余、環(huán)網(wǎng)冗余、服務(wù)質(zhì)量(QoS)、虛擬局域網(wǎng)(VLAN)、簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)、端口鏡像等等其他工業(yè)以太網(wǎng)管理交換機中可以提供的功能。不同的控制系統(tǒng)對網(wǎng)絡(luò)的管理功能要求不同,自然對管理型交換機的使用也有不同要求。控制工程師們應(yīng)該根據(jù)其系統(tǒng)的設(shè)計要求,挑選適合自己系統(tǒng)的工業(yè)以太網(wǎng)產(chǎn)品。
由于工業(yè)環(huán)境對工業(yè)控制網(wǎng)絡(luò)可靠性能的超高要求,工業(yè)以太網(wǎng)的冗余功能應(yīng)運而生。從快速生成樹冗余(RSTP)、環(huán)網(wǎng)冗余(RapidRingTM)到主干冗余(TrunkingTM),都有各自不同的優(yōu)勢和特點,控制工程師們可以根據(jù)自己的要求進行選擇。
-----------------------------
相關(guān)協(xié)議
總體概述
當(dāng)以太網(wǎng)用于信息技術(shù)時,應(yīng)用層包括HT-TP、FTP、SNMP等常用協(xié)議,但當(dāng)它用于工業(yè)控制時,體現(xiàn)在應(yīng)用層的是實時通信、用于系統(tǒng)組態(tài)的對象以及工程模型的應(yīng)用協(xié)議,至21世紀,還沒有統(tǒng)一的應(yīng)用層協(xié)議,但受到廣泛支持并已經(jīng)開發(fā)出相應(yīng)產(chǎn)品的有4種主要協(xié)議:HSE、Modbus TCP/IP、ProfINet、Ethernet/IP。
HSE
基金會現(xiàn)場總線FF于2000年發(fā)布Ethernet規(guī)范,稱HSE(High Speed Ethernet)。HSE是以太網(wǎng)協(xié)議IEEE802.3,TCP/IP協(xié)議族與FFIll的結(jié)合體。FF現(xiàn)場總線基金會明確將HSE定位于實現(xiàn)控制網(wǎng) 絡(luò)與Internet的集成。
HSE技術(shù)的一個核心部分就是鏈接設(shè)備,它是HSE體系結(jié)構(gòu)將Hl(31.25kb/s)設(shè)備連接 100Mb/s的HSE主干網(wǎng)的關(guān)鍵組成部分,同時也具有網(wǎng)橋和網(wǎng)關(guān)的功能。網(wǎng)橋功能能夠用于連接多個H1總線網(wǎng)段,使同H1網(wǎng)段上的H1設(shè)備之間能夠進 行對等通信而無需主機系統(tǒng)的干涉;
網(wǎng)關(guān)功能允許將HSE網(wǎng)絡(luò)連接到其他的工廠控制網(wǎng)絡(luò)和信息網(wǎng)絡(luò),HSE鏈接設(shè)備不需要為H1子系統(tǒng)作報文解釋,而是將來自H1總線網(wǎng)段的報文數(shù)據(jù)集合起來并且將Hl地址轉(zhuǎn)化為IP地址。
Modbus
Modbus TCP/IP
該協(xié)議由施耐德公司推出,以一種非常簡單的方式將Modbus幀嵌入到TCP幀中,使Modbus與以太網(wǎng)和TCP/IP結(jié)合,成為Modbus TCP/IP。這是一種面向連接的方式,每一個呼叫都要求一個應(yīng)答,這種呼叫/應(yīng)答的機制與Modbus的主/從機制相互配合,使交換式以太網(wǎng)具有很高的 確定性,利用TCP/IP協(xié)議,通過網(wǎng)頁的形式可以使用戶界面更加友好。
利用網(wǎng)絡(luò)瀏覽器便查看企業(yè)網(wǎng)內(nèi)部設(shè)備運行情況。施耐德公司已經(jīng)為Mod-bus注冊了502端口,這樣就可以將實時數(shù)據(jù)嵌人到網(wǎng)頁中,通過在設(shè)備中嵌入Web服務(wù)器,就可以將Web瀏覽器作為設(shè)備的操作終端。
ProflNet
針對工業(yè)應(yīng)用需求,德國西門子于2001年發(fā)布了該協(xié)議,它是將原有的Profibus與互聯(lián)網(wǎng)技術(shù)結(jié)合,形成了ProfiNet的網(wǎng)絡(luò)方案,主要包括:
基于組件對象模型(COM)的分布式自動化系統(tǒng);
規(guī)定了ProfiNet現(xiàn)場總線和標準以太網(wǎng)之間的開放、透明通信;
提供了一個獨立于制造商,包括設(shè)備層和系統(tǒng)層的系統(tǒng)模型。
ProfiNet采用標準TCP/IP十以太網(wǎng)作為連接介質(zhì),采用標準TCP/IP協(xié)議加上應(yīng)用層的RPC/DCOM來完成節(jié)點間的通信和網(wǎng)絡(luò)尋址。它可以同時掛接傳統(tǒng)Profibus系統(tǒng)和新型的智能現(xiàn)場設(shè)備。
現(xiàn)有的Profibus網(wǎng)段可以通過一個代理設(shè)備(proxy)連接到ProfiNet網(wǎng)絡(luò)當(dāng)中,使整Profibus設(shè)備和協(xié)議能夠原封不動地在 Pet中使用。傳統(tǒng)的Profibus設(shè)備可通過代理proxy與ProFiNET上面的COM對象進行通信,并通過OLE自動化接口實現(xiàn)COM對象間的 調(diào)用。
Ethernet
Ethernet/IP
Ethernet/IP是適合工業(yè)環(huán)境應(yīng)用的協(xié)議體系。它是由ODVA(Open Devicenet Vendors Asso-cation)和Control Net International兩大工業(yè)組織推出的最新成員與Device Net和Control Net一樣,它們都是基于CIP(Controland Information Proto-Col)協(xié)議的網(wǎng)絡(luò)。它是一種是面向?qū)ο蟮膮f(xié)議,能夠保證網(wǎng)絡(luò)上隱式(控制)的實時I/O信息和顯式信息(包括用于組態(tài)、參數(shù)設(shè)置、診斷等) 的有效傳輸。
Ethernet/IP采用和Devicenet以及ControlNet相同的應(yīng)用層協(xié)議CIP。因此,它們使用相同的 對象庫和一致的行業(yè)規(guī)范,具有較好的一致性。Ethernet/IP采用標準的Ethernet和TCP/IP技術(shù)傳送CIP通信包,這樣通用且開放的應(yīng) 用層協(xié)議CIP加上已經(jīng)被廣泛使用的Ethernet和TCP/IP協(xié)議,就構(gòu)成Ethernet/IP協(xié)議的體系結(jié)構(gòu)
-----------------------------
網(wǎng)絡(luò)優(yōu)勢
工業(yè)以太網(wǎng)是應(yīng)用于工業(yè)控制領(lǐng)域的以太網(wǎng)技術(shù),在技術(shù)上與商用以太網(wǎng)(即IEEE 802.3標準)兼容,但是實際產(chǎn)品和應(yīng)用卻又完全不同。這主要表現(xiàn)普通商用以太網(wǎng)的產(chǎn)品設(shè)計時,在材質(zhì)的選用、產(chǎn)品的強度、適用性以及實時性、可互操作性、可靠性、抗干擾性、本質(zhì)安全性等方面不能滿足工業(yè)現(xiàn)場的需要。故在工業(yè)現(xiàn)場控制應(yīng)用的是與商用以太網(wǎng)不同的工業(yè)以太網(wǎng)。然而工業(yè)以太網(wǎng)的優(yōu)勢在哪里呢?
一、應(yīng)用廣泛
以太網(wǎng)是應(yīng)用最廣泛的計算機網(wǎng)絡(luò)技術(shù),幾乎所有的編程語言如Visual C++、Java、VisualBasic等都支持以太網(wǎng)的應(yīng)用開發(fā)。
二、通信速率高
10、100 Mb/s的快速以太網(wǎng)已開始廣泛應(yīng)用,1Gb/s以太網(wǎng)技術(shù)也逐漸成熟,而傳統(tǒng)的現(xiàn)場總線最高速率只有12Mb/s(如西門子Profibus-DP)。顯然,以太網(wǎng)的速率要比傳統(tǒng)現(xiàn)場總線要快的多,完全可以滿足工業(yè)控制網(wǎng)絡(luò)不斷增長的帶寬要求。
三、資源共享能力強
隨著Internet/ Intranet的發(fā)展,以太網(wǎng)已滲透到各個角落,網(wǎng)絡(luò)上的用戶已解除了資源地理位置上的束縛,在聯(lián)入互聯(lián)網(wǎng)的任何一臺計算機上就能瀏覽工業(yè)控制現(xiàn)場的數(shù)據(jù),實現(xiàn)“控管一體化”,這是其他任何一種現(xiàn)場總線都無法比擬的。
四、可持續(xù)發(fā)展?jié)摿Υ?/p>
以太網(wǎng)的引入將為控制系統(tǒng)的后續(xù)發(fā)展提供可能性,用戶在技術(shù)升級方面無需獨自的研究投入,對于這一點,任何現(xiàn)有的現(xiàn)場總線技術(shù)都是無法比擬的。同時,機器人技術(shù)、智能技術(shù)的發(fā)展都要求通信網(wǎng)絡(luò)具有更高的帶寬和性能,通信協(xié)議有更高的靈活性,這些要求以太網(wǎng)都能很好地滿足。
-----------------------------
技術(shù)特點
工業(yè)以太網(wǎng)技術(shù)具有價格低廉、穩(wěn)定可靠、通信速率高、軟硬件產(chǎn)品豐富、應(yīng)用廣泛以及支持技術(shù)成熟等優(yōu)點,已成為最受歡迎的通信網(wǎng)絡(luò)之一。近些年來,隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,以太網(wǎng)進入了控制領(lǐng)域,形成了新型的以太網(wǎng)控制網(wǎng)絡(luò)技術(shù)。這主要是由于工業(yè)自動化系統(tǒng)向分布化、智能化控制方面發(fā)展,開放的、透明的通訊協(xié)議是必然的要求。以太網(wǎng)技術(shù)引入工業(yè)控制領(lǐng)域,其技術(shù)優(yōu)勢非常明顯:[1]
(一)Ethernet是全開放、全數(shù)字化的網(wǎng)絡(luò),遵照網(wǎng)絡(luò)協(xié)議不同廠商的設(shè)備可以很容易實現(xiàn)互聯(lián)。
(二)以太網(wǎng)能實現(xiàn)工業(yè)控制網(wǎng)絡(luò)與企業(yè)信息網(wǎng)絡(luò)的無縫連接,形成企業(yè)級管控一體化的全開放網(wǎng)絡(luò)。
(三)軟硬件成本低廉,由于以太網(wǎng)技術(shù)已經(jīng)非常成熟,支持以太網(wǎng)的軟硬件受到廠商的高度重視和廣泛支持,有多種軟件開發(fā)環(huán)境和硬件設(shè)備供用戶選擇。
(四)通信速率高,隨著企業(yè)信息系統(tǒng)規(guī)模的擴大和復(fù)雜程度的提高,對信息量的需求也越來越大,有時甚至需要音頻、視頻數(shù)據(jù)的傳輸,當(dāng)前以太網(wǎng)的通信速率為10M、100M的快速以太網(wǎng)開始廣泛應(yīng)用,千兆以太網(wǎng)技術(shù)也逐漸成熟,10G以太網(wǎng)也正在研究,其速率比現(xiàn)場總線快很多。
(五)可持續(xù)發(fā)展?jié)摿Υ螅谶@信息瞬息萬變的時代,企業(yè)的生存與發(fā)展將很大程度上依賴于一個快速而有效的通信管理網(wǎng)絡(luò),信息技術(shù)與通信技術(shù)的發(fā)展將更加迅速,也更加成熟,由此保證了以太網(wǎng)技術(shù)不斷地持續(xù)向前發(fā)展。
-----------------------------
PROFInet通訊
PROFInet可以提供辦公室和自動化領(lǐng)域開放的、一致的連接。PROFInet方案覆蓋了分散自動化系統(tǒng)的所有運行階段,它主要包含以下方面:⑴高度分散自動化系統(tǒng)的開放對象模型(結(jié)構(gòu)模型);⑵基于Ethernet的開放的、面向?qū)ο蟮倪\行期通信方案(功能單元間的通信關(guān)系);⑶獨立于制造商的工程設(shè)計方案(應(yīng)用開發(fā))。PROFInet方案可以用一條等式簡單而明了地描述:PROFInet=Profibus+具有PROFIBUS和IT標準Ethernet的開放的、一致的通信。
1.1 PROFInet設(shè)備的軟件結(jié)構(gòu)
PROFInet設(shè)備的軟件覆蓋了現(xiàn)場設(shè)備的整個運行期通信,基于模塊化設(shè)計的軟件包含若干通信層,每層都與系統(tǒng)環(huán)境一致。PROFInet軟件主要包括一個RPC(Remote Procedure Call)層,一個DCOM(Distributed Component Object Model)層和一個專門為PROFInet對象定義的層。PROFInet對象可以是ACCO(Active Connection Control Object)設(shè)備、RT auto(Runtime Automation)設(shè)備、物理設(shè)備或邏輯設(shè)備。軟件中定義的實時數(shù)據(jù)通道提供PROFInet對象與以太網(wǎng)間的實時通信服務(wù)。PROFInet通過系統(tǒng)接口連接到操作系統(tǒng)(如WinCE),通過應(yīng)用接口連接到控制器(如PLC)。
PROFInet的運行期軟件位于一個目錄固定的結(jié)構(gòu)中,可以分為核心目錄和系統(tǒng)應(yīng)用目錄。若通信開始而核心目錄中的文件未改變,則系統(tǒng)應(yīng)用目錄中的部分文件必須重建。所有的系統(tǒng)應(yīng)用都是指向系統(tǒng)接口和應(yīng)用接口,實現(xiàn)PROFInet設(shè)備的各項功能。PROFInet設(shè)備的軟件結(jié)構(gòu)可以用圖1描述如下:
PROFInet設(shè)備的軟件結(jié)構(gòu)決定了PROFInet設(shè)備可以從企業(yè)管理層到現(xiàn)場層直接、透明地訪問,并且提供對TCP/IP協(xié)議的絕對支持。PROFInet技術(shù)使企業(yè)用戶能夠方便地對現(xiàn)有的系統(tǒng)進行擴展和集成,是一種優(yōu)化的工業(yè)以太網(wǎng)通信標準。
1.2 PROFInet在現(xiàn)場設(shè)備上的移植
作為一種開放的資源,PROFInet軟件通過移植到設(shè)備上的TCP/IP協(xié)議棧來完成在其他設(shè)備制造商的產(chǎn)品中快速而簡單地實現(xiàn)。具體過程為:首先將開放資源的RPC接口連接到TCP/IP協(xié)議棧和設(shè)備操作系統(tǒng)中的系統(tǒng)集成;然后再將PROFInet協(xié)議棧的DCOM(Discrete Component Object Module)機制集成到設(shè)備的操作系統(tǒng)中;最后實現(xiàn)物理設(shè)備和邏輯設(shè)備對象、運行期對象和活動控制連接對象的設(shè)備專用的DCOM應(yīng)用。為單個部件組裝PROFInet設(shè)備時還必須用XML創(chuàng)建相應(yīng)的描述。
一個PROFInet設(shè)備的XML文件中應(yīng)包括下列數(shù)據(jù):
⑴PROFInet設(shè)備的名稱和ID號;
⑵PROFInet設(shè)備的IP地址,診斷數(shù)據(jù)的訪問方式和設(shè)備連接方式;
⑶PROFInet設(shè)備的硬件分配,設(shè)備接口以及為各接口定義的變量、數(shù)據(jù)類型與格式;
⑷PROFInet設(shè)備在整個工程中的保存地址。
PROFInet設(shè)備將它的所有功能封裝到其軟件中,并提供變量接口與其它的PROFInet設(shè)備相連。變量接口的每個變量都代表一個確定的子功能,包括運行、輸入/輸出使能、復(fù)位、結(jié)束、停機、啟動和錯誤。一個PROFInet設(shè)備中封裝的可以是一個控制器、一個執(zhí)行器甚至是一個控制網(wǎng)絡(luò)。圖2所示的PROFInet設(shè)備中封裝了一個Profibus-DP控制網(wǎng)絡(luò)。
PROFInet設(shè)備之間通過DCOM模塊進行通信。在PROFInet設(shè)備連接編輯器的圖形界面中可以方便地實現(xiàn)各PROFInet設(shè)備間的連接。一個具有沖洗、灌裝、封口和包裝4個環(huán)節(jié)的飲料生產(chǎn)廠家的生產(chǎn)流程可以用4個PROFInet設(shè)備串連連接實現(xiàn)(見圖3)。
所有設(shè)備的接口都在PROFInet中做了一致的定義,因此都能夠靈活地組合和重新使用,用戶不必考慮各設(shè)備的內(nèi)部運行機制。此外,PROFInet還集成了故障安全通信標準行規(guī)PROFIsafe,滿足對人員、設(shè)備和環(huán)境的全面安全的需求,可用于故障安全應(yīng)用。
-----------------------------
PROFInet通信功能
PROFInet設(shè)備通信功能的實現(xiàn)是基于傳統(tǒng)的Ethernet通信機制(如TCP或UDP),同時又采用RPC和DCOM機制進行加強。DCOM可視為用于基于RPC分布式應(yīng)用的COM技術(shù)的擴展,可以采用優(yōu)化的實時通信機制應(yīng)用于對實時性要求苛刻的應(yīng)用領(lǐng)域。在運行期間,PROFInet設(shè)備以DCOM對象的形式映像,通過對象協(xié)議機制確保了DCOM對象的通信。COM對象作為PDU以DCOM協(xié)議定義的形式出現(xiàn)在通信總線上。通過DCOM布線協(xié)議DCOM定義了對象的標識和具有有關(guān)接口和參數(shù)的方法,這樣就可以在通信總線上進行標準化的DCOM信息包的傳輸。對于更高層次上的通信,PROFInet可以采用集成OPC(OLE for Process Control)接口技術(shù)的方式。
2.1 PROFInet的基本通信方式
PROFInet根據(jù)不同的應(yīng)用場合定義了三種不同的通信方式:使用TCP/IP的標準通信;實時RT(Real-time)通信和同步實時IRT通信。PROFInet設(shè)備能夠根據(jù)通信要求選擇合適的通信方式。
PROFInet使用以太網(wǎng)和TCP/IP協(xié)議作為通信基礎(chǔ),在任何場合下都提供對TCP/IP通信的絕對支持。由于絕大多數(shù)工廠自動化應(yīng)用場合對實時響應(yīng)時間要求較高,為了能夠滿足自動化中的實時要求,PROFInet中規(guī)定了基于以太網(wǎng)層2的優(yōu)化實時通信通道,該方案極大地減少了通信棧上占用的時間,提高了自動化數(shù)據(jù)刷新方面的性能。PROFInet不僅最小化了可編程控制器中的通信棧,而且對網(wǎng)絡(luò)中傳輸數(shù)據(jù)也進行了優(yōu)化。采用PROFInet通信標準,系統(tǒng)對實時應(yīng)用的響應(yīng)時間可以縮短到5~10ms。PROFInet同時還支持高性能同步運動控制應(yīng)用,在該應(yīng)用場合PROFInet提供對100個節(jié)點響應(yīng)時間低于1ms的同步實時(IRT)通信,該功能是由層2上內(nèi)嵌的同步實時交換芯片ERTEC提供的。PROFInet的通信循環(huán)如圖4所示。
在PROFInet設(shè)備的一個通信循環(huán)周期內(nèi),既包括IRT實時通信,又包括TCP/IP標準通信。PROFInet通信技術(shù)在很多應(yīng)用場合都能體現(xiàn)出其極大的優(yōu)越性。工程實踐表明,在同步運動控制場合采用PROFInet提供的IRT通信,系統(tǒng)性能將比采用現(xiàn)場總線方案提升近100倍。
2.2 PROFInet與OPC的集成
由于PROFInet與OPC均采用了DCOM通訊機制,因此PROFInet通訊技術(shù)可以很容易地與OPC接口技術(shù)集成,以實現(xiàn)數(shù)據(jù)在更高通信層次上的交換。OPC接口設(shè)備在工控領(lǐng)域的應(yīng)用十分廣泛,OPC接口技術(shù)定義了OPC DA(Data Access)與OPC DX(Data Exchange)兩個通信標準,分別應(yīng)用于傳輸實時數(shù)據(jù)和實現(xiàn)異類控制網(wǎng)絡(luò)間數(shù)據(jù)的交換。在PROFInet中集成OPC DX接口可以實現(xiàn)一個開放的連接至其他系統(tǒng),集成機制如下:
⑵ 基于PROFInet的實時通信機制,每個PROFInet節(jié)點可以作為一個OPC服務(wù)器被尋址;
⑵ 每個OPC服務(wù)器可以通過標準接口而作為一個PROFInet節(jié)點被操作。PROFInet的功能性遠比OPC優(yōu)越,PROFInet技術(shù)與OPC接口技術(shù)的集成不僅可以實現(xiàn)自動化領(lǐng)域?qū)崟r通信的要求,還可以實現(xiàn)系統(tǒng)之間在更高層次上的交互。
PROFInet是一種優(yōu)越的通信技術(shù),并已成功地應(yīng)用于分布式智能控制。PROFInet為分布式自動化系統(tǒng)結(jié)構(gòu)的實現(xiàn)開辟了新的前景,可以實現(xiàn)全廠工程徹底模塊化,包括機械部件、電氣/電子部件和應(yīng)用軟件。PROFInet支持各種形式的網(wǎng)絡(luò)結(jié)構(gòu),使接線費用最小化,并保證高度的可用性。此外,特別設(shè)計的工業(yè)電纜和耐用的連接器滿足EMC和溫度要求并形成標準,保證了不同制造設(shè)備之間的兼容性。
PROFInet不僅可以應(yīng)用于分布式智能控制,而且還逐漸進入到過程自動化領(lǐng)域。在過程自動化領(lǐng)域,PROFInet針對工業(yè)以太網(wǎng)總線供電以及以太網(wǎng)本質(zhì)在安全領(lǐng)域應(yīng)用的問題正在形成標準或解決方案,采用PROFInet集成的Profibus現(xiàn)場總線可以為過程自動化工業(yè)提供優(yōu)越的解決方案(如圖5所示):
采用PROFInet通訊技術(shù),不僅可以集成Profibus現(xiàn)場設(shè)備,還可以通過代理服務(wù)器(Proxy)實現(xiàn)其它種類的現(xiàn)場總線網(wǎng)絡(luò)的集成。采用這種統(tǒng)一的面對未來的設(shè)計概念,工廠內(nèi)各部件都可以作為獨立模塊預(yù)先組裝測試,然后在整個系統(tǒng)中輕松組裝或在其他項目中重復(fù)使用。譬如對于一個汽車生產(chǎn)企業(yè)而言,PROFInet支持的實時解決方案完全可以滿足車體車間、噴漆車間和組裝部門等對響應(yīng)時間的要求,在機械工程及發(fā)動機和變速箱生產(chǎn)環(huán)節(jié)中的車床同步等方面則可使用PROFInet的同步實時功能。
PROFInet可以保證對現(xiàn)有系統(tǒng)投資的高度保護,并使工廠擁有創(chuàng)新標準的優(yōu)越性。鑒于PROFInet通訊技術(shù)的優(yōu)越性,已經(jīng)有部分生產(chǎn)廠家(如西門子,施奈德)。
-----------------------------
工業(yè)以太網(wǎng)的選擇
選擇正確的工業(yè)以太網(wǎng)要考慮哪些因素?簡單的來說,要從工業(yè)以太網(wǎng)通訊協(xié)議、電源、通信速率、工業(yè)環(huán)境認證考慮、安裝方式、外殼對散熱的影響、簡單通信功能和通信管理功能、電口或光口的考慮。信號強弱、端口設(shè)置、出錯報警、串口使用、主干(TrunkingTM)冗余、環(huán)網(wǎng)冗余、服務(wù)質(zhì)量(QoS)、虛擬局域網(wǎng)(VLAN)、簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)、端口鏡像等等其他工業(yè)以太網(wǎng)管理交換機中可以提供的功能。
從快速生成樹冗余(RSTP)、環(huán)網(wǎng)冗余(RapidRingTM)到主干冗(TrunkingTM),
工業(yè)以太網(wǎng)設(shè)備包括以下幾個重要部分。
工業(yè)以太網(wǎng)集線器
工業(yè)以太網(wǎng)非管理型交換機
工業(yè)以太網(wǎng)管理型交換機
工業(yè)以太網(wǎng)管理型冗余交換機
高級的管理型冗余交換機提供了一些特殊的功能,特別是針對有穩(wěn)定性、安全性方面嚴格要求的冗余系統(tǒng)進行了設(shè)計上的優(yōu)化。構(gòu)建冗余網(wǎng)絡(luò)的主要方式主要有以下幾種,STP、RSTP;環(huán)網(wǎng)冗余RapidRingTM以及Trunking。
1工業(yè)以太網(wǎng) STP及RSTP
STP(Spanning Tree Protocol,生成樹算法,IEEE 802.1D),是一個鏈路層協(xié)議,提供路徑冗余和阻止網(wǎng)絡(luò)循環(huán)發(fā)生。它強令備用數(shù)據(jù)路徑為阻塞(blocked)狀態(tài)。如果一條路徑有故障,該拓撲結(jié)構(gòu)能借助激活備用路徑重新配置及鏈路重構(gòu)。網(wǎng)絡(luò)中斷恢復(fù)時間為30-60s之間。RSTP(快速生成樹算法,IEEE 802.1w)作為STP的升級,將網(wǎng)絡(luò)中斷恢復(fù)時間,縮短到1-2s。生成樹算法網(wǎng)絡(luò)結(jié)構(gòu)靈活,但也存在恢復(fù)速度慢的缺點。
2 工業(yè)以太網(wǎng)環(huán)網(wǎng)冗余
為了能滿足工控網(wǎng)絡(luò)實時性強的特點,RapidRing孕育而生。這是在工業(yè)以太網(wǎng)網(wǎng)絡(luò)中使用環(huán)網(wǎng)提供高速冗余的一種技術(shù)。這個技術(shù)可以使網(wǎng)絡(luò)在中斷后300ms之內(nèi)自行恢復(fù)。并可以通過工業(yè)以太網(wǎng)交換機的出錯繼電連接、狀態(tài)顯示燈和SNMP設(shè)置等方法來提醒用戶出現(xiàn)的斷網(wǎng)現(xiàn)象。這些都可以幫助診斷環(huán)網(wǎng)什么地方出現(xiàn)斷開。
RapidRingTM也支持兩個連接在一起的環(huán)網(wǎng),使網(wǎng)絡(luò)拓樸更為靈活多樣。兩個環(huán)通過雙通道連接,這些連接可以是冗余的,避免單個線纜出錯帶來的問題。
3 工業(yè)以太網(wǎng)主干冗余
將不同交換機的多個端口設(shè)置為Trunking主干端口,并建立連接,則這些工業(yè)以太網(wǎng)交換機之間可以形成一個高速的骨干鏈接。不但成倍的提高了骨干鏈接的網(wǎng)絡(luò)帶寬,增強了網(wǎng)絡(luò)吞吐量,而且還還提供了另外一個功能,即冗余功能。如果網(wǎng)絡(luò)中的骨干鏈接產(chǎn)生斷線等問題,那么網(wǎng)絡(luò)中的數(shù)據(jù)會通過剩下的鏈接進行傳遞,保證網(wǎng)絡(luò)的通訊正常。Trunking主干網(wǎng)絡(luò)采用總線型和星型網(wǎng)絡(luò)結(jié)構(gòu),理論通訊距離可以無限延長。該技術(shù)由于采用了硬件偵測及數(shù)據(jù)平衡的方法,所以使網(wǎng)絡(luò)中斷恢復(fù)時間達到了新的高度,一般恢復(fù)時間在10ms以下。
-----------------------------
具體設(shè)備
集線器
相信絕大多數(shù)人都熟悉集線器。很多人使用這種簡易設(shè)備去連接各種基于以太網(wǎng)的設(shè)備,如個人計算機,可編程控制器等。集線器接收到來自某一端口的消息,再將消息廣播到其它所有的端口。對來自任一端口的每一條消息,集線器都會把它傳遞到其它的各個端口。在消息傳遞方面,集線器是低速低效的,可能會出現(xiàn)消息沖突。然而,集線器的使用非常簡單-實際上可以即插即用。集線器沒有任何華而不實的功能,也沒有冗余功能。
集線器采用半雙工工作模式
交換機
1 管理型
以太網(wǎng)連接設(shè)備發(fā)展的下一代產(chǎn)品是管理型交換機。相對集線器和非管理型交換機,管理型交換機擁有更多更復(fù)雜的功能,價格也高出許多-通常是一臺非管理型交換機的3~4倍。管理型交換機提供了更多的功能,通常可以通過基于網(wǎng)絡(luò)的接口實現(xiàn)完全配置。它可以自動與網(wǎng)絡(luò)設(shè)備交互,用戶也可以手動配置每個端口的網(wǎng)速和流量控制。一些老設(shè)備可能無法使用自動交互功能,因此手動配置功能是必不可缺的。
絕大多數(shù)管理型交換機通常也提供一些高級功能,如用于遠程監(jiān)視和配置的SNMP(簡單網(wǎng)絡(luò)管理協(xié)議),用于診斷的端口映射,用于網(wǎng)絡(luò)設(shè)備成組的VLAN(虛擬局域網(wǎng)),用于確保優(yōu)先級消息通過的優(yōu)先級排列功能等。利用管理型交換機,可以組建冗余網(wǎng)絡(luò)。使用環(huán)形拓撲結(jié)構(gòu),管理型交換機可以組成環(huán)形網(wǎng)絡(luò)。每臺管理型交換機能自動判斷最優(yōu)傳輸路徑和備用路徑,當(dāng)優(yōu)先路徑中斷時自動阻斷(block)備用路徑。
2 非管理型
集線器的發(fā)展產(chǎn)生了一種叫非管理型交換機的設(shè)備。它能實現(xiàn)消息從一個端口到另一個端口的路由功能,相對集線器更加智能化。非管理型交換機能自動探測每臺網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)速度。另外,它具有一種稱為“MAC地址表”的功能,能識別和記憶網(wǎng)絡(luò)中的設(shè)備。換言之,如果端口2收到一條帶有特定識別碼的消息,此后交換機就會將所有具有那種特定識別碼的消息發(fā)送到端口2。這種智能避免了消息沖突,提高了傳輸性能,相對集線器是一次巨大的改進。然而,非管理型交換機不能實現(xiàn)任何形式的通信檢測和冗余配置功能。
-----------------------------
工業(yè)以太網(wǎng)的應(yīng)用安全
概述
工業(yè)以太網(wǎng)是當(dāng)前工業(yè)控制領(lǐng)域的研究熱點。工業(yè)以太網(wǎng)重點在于利用交換式以太網(wǎng)技術(shù)為控制器和操作站,各種工作站之間的相互協(xié)調(diào)合作提供一種交互機制并和上層信息網(wǎng)絡(luò)無縫集成。工業(yè)以太網(wǎng)開始在監(jiān)控層網(wǎng)絡(luò)上逐漸占據(jù)主流位置,正在向現(xiàn)場設(shè)備層網(wǎng)絡(luò)滲透。工業(yè)以太網(wǎng)相對于以往自動化技術(shù)有很多優(yōu)勢,然而事物是相對的,在我們享受開放互聯(lián)技術(shù)進步的成果同時應(yīng)該對它們存在的隱患和可能帶來的嚴重后果要有深刻認識。
特點
雖然脫胎于Intranet、Internet等類型的信息網(wǎng)絡(luò),但是工業(yè)以太網(wǎng)是面向生產(chǎn)過程,對實時性、可靠性、安全性和數(shù)據(jù)完整性有很高的要求。既有與信息網(wǎng)絡(luò)相同的特點和安全要求,也有自己不同于信息網(wǎng)絡(luò)的顯著特點和安全要求:
⑴工業(yè)以太網(wǎng)是一個網(wǎng)絡(luò)控制系統(tǒng),實時性要求高,網(wǎng)絡(luò)傳輸要有確定性。
⑵整個企業(yè)網(wǎng)絡(luò)按功能可分為處于管理層的通用以太網(wǎng)和處于監(jiān)控層的工業(yè)以太網(wǎng)以及現(xiàn)場設(shè)備層(如現(xiàn)場總線)。管理層通用以太網(wǎng)可以與控制層的工業(yè)以太網(wǎng)交換數(shù)據(jù),上下網(wǎng)段采用相同協(xié)議自由通信。
⑶工業(yè)以太網(wǎng)中周期與非周期信息同時存在,各自有不同的要求。周期信息的傳輸通常具有順序性要求,而非周期信息有優(yōu)先級要求,如報警信息是需要立即響應(yīng)的。
⑷工業(yè)以太網(wǎng)要為緊要任務(wù)提供最低限度的性能保證服務(wù),同時也要為非緊要任務(wù)提供盡力服務(wù),所以工業(yè)以太網(wǎng)同時具有實時協(xié)議也具有非實時協(xié)議。
要求
⑴工業(yè)以太網(wǎng)應(yīng)該保證實時性不會被破壞,在商業(yè)應(yīng)用中,對實時性的要求基本不涉及安全,而過程控制對實時性的要求是硬性的,常常涉及生產(chǎn)設(shè)備和人員安全。
⑵當(dāng)今世界舞臺,各種競爭異常激烈。對于很多企業(yè)尤其是掌握領(lǐng)先技術(shù)的企業(yè),作為其技術(shù)實際體現(xiàn)的生產(chǎn)工藝往往是企業(yè)的根本利益。一些關(guān)鍵生產(chǎn)過程的流程工藝乃至運行參數(shù)都有可能成為對手竊取的目標。所以在工業(yè)以太網(wǎng)的數(shù)據(jù)傳輸中要防止數(shù)據(jù)被竊取。
⑶開放互聯(lián)是工業(yè)以太網(wǎng)的優(yōu)勢,遠程的監(jiān)視、控制、調(diào)試、診斷等極大的增強了控制的分布性、靈活性,打破了時空的限制,但是對于這些應(yīng)用必須保證經(jīng)過授權(quán)的合法性和可審查性。
-----------------------------
工業(yè)以太網(wǎng)其他問題說明
⑴在傳統(tǒng)工業(yè)工業(yè)以太網(wǎng)中上下網(wǎng)段使用不同的協(xié)議無法互操作,所以使用一層防火墻防止來自外部的非法訪問,但工業(yè)以太網(wǎng)將控制層和管理層連接起來,上下網(wǎng)段使用相同的協(xié)議,具有互操作性,所以使用兩級防火墻,第二級的防火墻用于屏蔽內(nèi)部網(wǎng)絡(luò)的非法訪問和分配不同權(quán)限合法用戶的不同授權(quán)。另外還可用根據(jù)日志記錄調(diào)整過濾和登錄策略。
要采取嚴格的權(quán)限管理措施,可以根據(jù)部門分配權(quán)限,也可以根據(jù)操作分配權(quán)限。由于工廠應(yīng)用專業(yè)性很強,進行權(quán)限管理能有效避免非授權(quán)操作。同時要對關(guān)鍵性工作站的操作系統(tǒng)的訪問加以限制,采用內(nèi)置的設(shè)備管理系統(tǒng)必須擁有記錄審查功能,數(shù)據(jù)庫自動記錄設(shè)備參數(shù)修改事件:誰修改,修改的理由,修改之前和之后的參數(shù),從而可以有據(jù)可查。
⑵在工業(yè)以太網(wǎng)的應(yīng)用中可以采用加密的方式來防止關(guān)鍵信息竊取。主要存在兩種密碼體制:對稱密碼體制和非對稱密碼體制。對稱密碼體制中加密解密雙方使用相同的密鑰且密鑰保密,由于在通信之前必須完成密鑰的分發(fā),該體制中這一環(huán)節(jié)是不安全的。所以采用非對稱密碼體制,由于工業(yè)以太網(wǎng)發(fā)送的多為周期性的短信息,所以采用這種加密方式還是比較迅速的。對于工業(yè)以太網(wǎng)來說是可行的。還要對外部節(jié)點的接入加以防范。
⑶工業(yè)以太網(wǎng)的實時性主要是由以下幾點保證:限制工業(yè)以太網(wǎng)的通信負荷,采用100M的快速以太網(wǎng)技術(shù)提高帶寬,采用交換式以太網(wǎng)技術(shù)和全雙工通信方式屏蔽固有的CSMA/CD機制。隨著網(wǎng)絡(luò)的開放互連和自動化系統(tǒng)大量IT技術(shù)的引入,加上TCP/IP協(xié)議本身的開放性和層出不窮的網(wǎng)絡(luò)病毒和攻擊手段,網(wǎng)絡(luò)安全可以成為影響工業(yè)以太網(wǎng)實時性的一個突出問題。
1)病毒攻擊
在互聯(lián)網(wǎng)上充斥著類似Slammer、“沖擊波”等蠕蟲病毒和其它網(wǎng)絡(luò)病毒的襲擊。以蠕蟲病毒為例,這些蠕蟲病毒攻擊的直接目標雖然通常是信息層網(wǎng)絡(luò)的PC機和服務(wù)器,但是攻擊是通過網(wǎng)絡(luò)進行的,因此當(dāng)這些蠕蟲病毒大規(guī)模爆發(fā)時,交換機、路由器會首先受到牽連。用戶只有通過重啟交換路由設(shè)備、重新配置訪問控制列表才能消除蠕蟲病毒對網(wǎng)絡(luò)設(shè)備造成的影響。蠕蟲病毒攻擊能夠?qū)е抡麄€網(wǎng)絡(luò)的路由震蕩,這樣可能使上層的信息層網(wǎng)絡(luò)部分流量流入工業(yè)以太網(wǎng),加大了它的通信負荷,影響其實時性。在控制層也存在不少計算機終端連接在工業(yè)以太網(wǎng)交換機,一旦終端感染病毒,病毒發(fā)作即使不能造成網(wǎng)絡(luò)癱瘓,也可能會消耗帶寬和交換機資源。
2) MAC攻擊
工業(yè)以太網(wǎng)交換機通常是二層交換機,而MAC地址是二層交換機工作的基礎(chǔ),網(wǎng)絡(luò)依賴MAC地址保證數(shù)據(jù)的正常轉(zhuǎn)發(fā)。動態(tài)的二層地址表在一定時間以后(AGE TIME)會發(fā)生更新。如果某端口一直沒有收到源地址為某一MAC地址的數(shù)據(jù)包,那么該MAC地址和該端口的映射關(guān)系就會失效。這時,交換機收到目的地址為該MAC地址的數(shù)據(jù)包就會進行泛洪處理,對交換機的整體性能造成影響,能導(dǎo)致交換機的查表速度下降。而且,假如攻擊者生成大量數(shù)據(jù)包,數(shù)據(jù)包的源MAC地址都不相同,就會充滿交換機的MAC地址表空間,導(dǎo)致真正的數(shù)據(jù)流到達交換機時被泛洪出去。這種通過復(fù)雜攻擊和欺騙交換機入侵網(wǎng)絡(luò)方式,已有不少實例。一旦表中MAC地址與網(wǎng)絡(luò)段之間的映射信息被破壞,迫使交換機轉(zhuǎn)儲自己的MAC地址表,開始失效恢復(fù),交換機就會停止網(wǎng)絡(luò)傳輸過濾,它的作用就類似共享介質(zhì)設(shè)備或集線器,CSMA/CD機制將重新作用從而影響工業(yè)以太網(wǎng)的實時性。
交換機安全技術(shù)
信息層網(wǎng)絡(luò)采用的交換機安全技術(shù)主要包括以下幾種。
流量控制技術(shù) ,把流經(jīng)端口的異常流量限制在一定的范圍內(nèi)。訪問控制列表(ACL)技術(shù) ,ACL通過對網(wǎng)絡(luò)資源進行訪問輸入和輸出控制,確保網(wǎng)絡(luò)設(shè)備不被非法訪問或被用作攻擊跳板。安全套接層(SSL) 為所有 HTTP流量加密,允許訪問交換機上基于瀏覽器的管理 GUI。802.1x和RADIUS 網(wǎng)絡(luò)登錄 控制基于端口的訪問,以進行驗證和責(zé)任明晰。源端口過濾只允許指定端口進行相互通信。Secure Shell (SSHv1/SSHv2) 加密傳輸所有的數(shù)據(jù),確保IP網(wǎng)絡(luò)上安全的CLI遠程訪問。安全FTP 實現(xiàn)與交換機之間安全的文件傳輸,避免不需要的文件下載或未授權(quán)的交換機配置文件復(fù)制。不過,應(yīng)用這些安全功能仍然存在很多實際問題,例如交換機的流量控制功能只能對經(jīng)過端口的各類流量進行簡單的速率限制,將廣播、組播的異常流量限制在一定的范圍內(nèi),而無法區(qū)分哪些是正常流量,哪些是異常流量。同時,如何設(shè)定一個合適的閾值也比較困難。一些交換機具有ACL,但如果ASIC支持的ACL少仍舊沒有用。一般交換機還不能對非法的ARP(源目的MAC為廣播地址)進行特殊處理。網(wǎng)絡(luò)中是否會出現(xiàn)路由欺詐、生成樹欺詐的攻擊、802.1x的DoS攻擊、對交換機網(wǎng)管系統(tǒng)的DoS攻擊等,都是交換機面臨的潛在威脅。
在控制層,工業(yè)以太網(wǎng)交換機,一方面可以借鑒這些安全技術(shù),但是也必須意識到工業(yè)以太網(wǎng)交換機主要用于數(shù)據(jù)包的快速轉(zhuǎn)發(fā),強調(diào)轉(zhuǎn)發(fā)性能以提高實時性。應(yīng)用這些安全技術(shù)時將面臨實時性和成本的很大困難,以太網(wǎng)的應(yīng)用和設(shè)計主要是基于工程實踐和經(jīng)驗,網(wǎng)絡(luò)上主要是控制系統(tǒng)與操作站、優(yōu)化系統(tǒng)工作站、先進控制工作站、數(shù)據(jù)庫服務(wù)器等設(shè)備之間的數(shù)據(jù)傳輸,網(wǎng)絡(luò)負荷平穩(wěn),具有一定的周期性。但是,隨著系統(tǒng)集成和擴展的需要、IT技術(shù)在自動化系統(tǒng)組件的大力應(yīng)用、B/S監(jiān)控方式的普及等等,對網(wǎng)絡(luò)安全因素下的可用性研究已經(jīng)十分必要,例如猝發(fā)流量下的工業(yè)以太網(wǎng)交換機的緩沖區(qū)容量問題以及從全雙工交換方式轉(zhuǎn)變成共享方式對已有網(wǎng)絡(luò)性能的影響。所以,另一方面,工業(yè)以太網(wǎng)必須從自身體系結(jié)構(gòu)入手,加以應(yīng)對。
總結(jié)
