张迎辉 杜 江
深圳职业技术学院 广东深圳 518055
基于Internet的PLC远程在线访问实训室的构建
张迎辉 杜 江
深圳职业技术学院 广东深圳 518055
介绍了基于Internet技术的PLC远程在线访问实训室的构建。该实训室采用工业通讯模块,依托Siemens PLC强大的通讯能力,通过Internet进行数据传送,真正实现了远程PLC的在线访问。该系统可通过远程PC对实训室中PLC机进行访问,完成上下载程序、在线诊断、在线监控等工作;并可以通过视频直接观察PLC动作,判断设备动作是否正确。介绍了该实训系统的网络拓扑图、各项功能和数据安全通信方法。
工业通讯;PLC;远程在线访问;数据通信安全
随着高职教育的发展,急需一种能通过远程在线访问,进行PLC操作训练的实训平台,该平台可使学员在远程通过Internet访问PLC实训室,并完成PLC程序的编制、远程上下载,远程在线诊断和远程在线修正程序等工作;还可通过摄像头实时观察到PLC和实训设备的工作情况。真正实现上述功能的远程操作实训平台尚未见报道。构建这类实训平台,需解决工业数据远程传输方式和数据传送安全等问题。该项目通过研发工业通讯模块,结合西门子PLC的通讯功能,很好地解决了上述难题,为PLC远程在线实训提供了可借鉴的成功经验。
PLC远程在线访问系统的组成如图1所示:主要由PLC、受控对象、现场摄像头、远程通讯模块和远程访问计算机组成。
图1 远程在线访问系统拓扑图
系统通过两端的远程安全通讯模块SY-RSCM(内置S-link安全连接协议),建立起了远端和本地PLC之间的虚拟局域网VLAN通道。为满足不同要求,系统分别采用西门子S7-224XP和支持工业实时以太网(Profinet)的S7-1200 PLC各一套。S7-224XP具有2个通讯接口,本身没有以太网接口,为此增配了一个CP243-1的以太网模块。而西门子S7-1200 PLC,可直接利用以太网作为编程和通讯接口。
受控对象:受控对象(如气动机械手)可通过PLC的以太网通讯接口与远端计算机连接,实现计算机对控制对象的操控、管理、实时数据采集、诊断和上下载编程等操作。远程访问者可直接对PLC进行参数和程序的修改。
摄像头:采用具有以太网接口的摄像头,在分配IP后,可连接到远程通讯模块,对现场进行远程监视。
远程模块安全通讯模块,该模块具有交换,路由,防火墙、安全网关和VLAN等功能,用以建立可编程控制器、摄像头等设备与远程主机之间的虚拟专用网络(VLAN)通道;可以实现100Mbps的工业网络数据传输。
管理计算机:装有Windows XP操作系统、西门子PLC编程软件。网络还可由多台管理计算机和服务器同时对多个远程通讯模块下的可编程控制器等进行访问。
该项目实现的主要难点在于,如何将PLC端的数据传到另一个远端计算机中及数据的安全传送方式。
常规通信方式中,客户端找固定IP(如服务器)较为方便。而该系统中因两端都是动态变化的IP,则须通过一个IP解析服务器进行IP解析。方案中,为保证解析的稳定性,IP连接域名的解析由专门搭建的域名解析工作站完成,没有使用免费的IP解析。IP地址需进行统一规划,PLC的地址、摄像头的地址都要处于同一网段上。
在Internet传送数据可能存在安全隐患。该项目欲通过Internet进行工业自动化系统的数据远程通讯,因此传送中的安全保障是非常重要的。笔者采用了以下几种方法进行数据安全处理。
(1)通过虚拟专用网络(VLAN)过滤和检查数据通讯。
(2)在受保护的自动化单元中进行分段。远程通讯模块具有防火墙功能,用于保护网络节点。一组受保护的设备构成一个受保护的自动化单元,只有来自同一组的安全通讯模块或它们正在保护的设备才可互相交换数据。
(3)节点的认证(标识),使用认证过程在安全(加密)通道上互相标识,因此,未经授权的实体无法访问受保护的网段。
(4)对数据通讯进行加密,通过对数据通讯进行加密来确保数据的机密性,为每个安全通讯模块提供一个包含加密密钥的VLAN证书。
该系统采用的赛远S-link网络安全传输协议,是数据安全中最重要的一个环节。S-link通过软件的高级加密形式对IP报文封装,以实现TCP/IP网络上数据的安全传送。S-link属于OSI模型的第三层协议即网络层协议,提供了认证和加密(包括对控制报文和传输中的数据加密),是一种完整的安全解决方案。S-link安全体系结构如图2所示:
图2 S-link安全体系结构
该协议综合了密码技术和协议安全机制,目的是在IPV4环境中为网络层流量提供灵活的安全服务。其提供的安全服务包括:访问控制、数据源鉴别、重传攻击保护、机密性、有限流量保密等。
S-link协议为IPsec协议,综合了密码技术和协议安全机制,在IPV4和IPV6环境中,为网络层流量提供验证头(AH)和封装安全载荷(ESP)2种安全服务。AH提供数据完整性和数据认证,ESP提供数据的保密和加密。AH和ESP的数据封装格式如图3所示。
图3 S-link传输协议下的AH、ESP数据封装格式
PLC操作训练实训平台已稳定运行半年,达到了预期效果,受到了学员及来校参观同行的好评。PLC远程在线访问系统的特点在于用户无需高深的计算机水平,即可完成系统的构建,实现了安全的远程数据传输。其中SY-RSCM模块和内置的S-link安全连接协议是对通讯方便的西门子产品的一个有益补充。该实训平台所采用的远程技术,也同样可以用于生产设备的远程在线访问和调试,对提高设备维修快速响应能力,有着十分积极的推动作用。
[1] 崔坚.西门子工业网络通信指南[M].北京:机械工业出版社,2006
[2] 乔晓琳.基于IPSec VPN应用研究[J].电脑知识与技术,2010,6(5):1072~1074
The construction of remote online access to PLC laboratory based on internet
Zhang Yinghui, Du Jiang
Shenzhen polytechnic, Shenzhen, 518055, China
This paper describes the construction of remote online access to PLC laboratory based on internet. The laboratory applies industrial communication modules, relay on the powerful communications capabilities of Siemens PLC, transfer data by the internet. The PLC of the laboratory can be accessed by remote PC. The remote PC possible upload and download PLC program, online diagnosis, online monitoring,etc; and directly observed action of PLC by video, determine equipment movement is whether correct or error. The paper introduces the network topology, various functions and data security communication method of the system.
industrial communication; PLC; remote online access; data security transmission
2010-11-19 稿件编号:1011095
张迎辉,硕士,副教授,主任。