工業乙太網
工業乙太網
工業乙太網,是基於IEEE802.3(Ethernet)的強大的區域和單元網路。工業乙太網,提供了一個無縫集成到新的多媒體世界的途徑。企業內部網際網路(Intranet),外部網際網路(Extranet),以及國際網際網路(Internet)提供的廣泛應用不但已經進入今天的辦公室領域,而且還可以應用於生產和過程自動化。繼10M波特率乙太網成功運行之後,具有交換功能,全雙工和自適應的100M波特率快速乙太網(Fast Ethernet,符合IEEE802.3u的標準)也已成功運行多年。採用何種性能的乙太網取決於用戶的需要。通用的兼容性允許用戶無縫升級到新技術。
工業乙太網
那麼選擇正確的工業乙太網要考慮哪些因素,簡單的來說,要從乙太網通訊協議、電源、通信速率、工業環境認證考慮、安裝方式、外殼對散熱的影響、簡單通信功能和通信管理功能、電口或光口的考慮。這些都是最基本需要了解的產品選擇因素。如果對工業乙太網的網路管理有更高要求,則需要考慮所選擇產品的高級功能如:信號強弱、埠設置、出錯報警、串口使用、主幹(TrunkingTM)冗餘、環網冗餘、服務質量(QoS)、虛擬區域網(VLAN)、簡單網路管理協議(SNMP)、埠鏡像等等其他工業乙太網管理交換機中可以提供的功能。不同的控制系統對網路的管理功能要求不同,自然對管理型交換機的使用也有不同要求。控制工程師們應該根據其系統的設計要求,挑選適合自己系統的工業乙太網產品。
由於工業環境對工業控制網路可靠性能的超高要求,工業乙太網的冗餘功能應運而生。從快速生成樹冗餘(RSTP)、環網冗餘(RapidRingTM)到主幹冗餘(TrunkingTM),都有各自不同的優勢和特點,控制工程師們可以根據自己的要求進行選擇。為了更好地幫助大家了解和學習工業乙太網冗餘技術的特點,讓我們首先回顧以下乙太網設備的發展過程。
一個典型的工業乙太網路環境,有以下三類網路器件:
連接部件
FC快速連接插座
ELS(工業乙太網電氣交換機)
ESM(工業乙太網電氣交換機)
SM(工業乙太網光纖交換機)
MC TP11(工業乙太網光纖電氣轉換模塊)
普通雙絞線,工業屏蔽雙絞線和光纖。
PLC控制器上的工業乙太網通訊處理器。用於將PLC連接到工業乙太網。
PG/PC上的工業乙太網通訊處理器。用於將PG/PC連接到工業乙太網。
工業乙太網
基金會現場匯流排FF於2000年發布Ethernet規範,稱HSE(High Speed Ethernet)。HSE是乙太網協議IEEE802.3,TCP/IP協議族與FFIll的結合體。FF現場匯流排基金會明確將HSE定位於實現控制網路與Internet的集成。
HSE技術的一個核心部分就是鏈接設備,它是HSE體系結構將Hl(31.25kb/s)設備連接100Mb/s的HSE主幹網的關鍵組成部分,同時也具有網橋和網關的功能。網橋功能能夠用於連接多個H1匯流排網段,使同H1網段上的H1設備之間能夠進行對等通信而無需主機系統的干涉;
網關功能允許將HSE網路連接到其他的工廠控制網路和信息網路,HSE鏈接設備不需要為H1子系統作報文解釋,而是將來自H1匯流排網段的報文數據集合起來並且將Hl地址轉化為IP地址。
Modbus TCP/IP
該協議由施耐德公司推出,以一種非常簡單的方式將Modbus幀嵌入到TCP幀中,使Modbus與乙太網和TCP/IP結合,成為Modbus TCP/IP。這是一種面向連接的方式,每一個呼叫都要求一個應答,這種呼叫/應答的機制與Modbus的主/從機制相互配合,使交換式乙太網具有很高的確定性,利用TCP/IP協議,通過網頁的形式可以使用戶界面更加友好。
利用網路瀏覽器便查看企業網內部設備運行情況。施耐德公司已經為Mod-bus註冊了502埠,這樣就可以將實時數據嵌人到網頁中,通過在設備中嵌入Web伺服器,就可以將Web瀏覽器作為設備的操作終端。
針對工業應用需求,德國西門子於2001年發布了該協議,它是將原有的Profibus與網際網路技術結合,形成了ProfiNet的網路方案,主要包括:
基於組件對象模型(COM)的分散式自動化系統。
規定了ProfiNet現場匯流排和標準乙太網之間的開放、透明通信。
提供了一個獨立於製造商,包括設備層和系統層的系統模型。
ProfiNet採用標準TCP/IP十乙太網作為連接介質,採用標準TCP/IP協議加上應用層的RPC/DCOM來完成節點間的通信和網路定址。它可以同時掛接傳統Profibus系統和新型的智能現場設備。
現有的Profibus網段可以通過一個代理設備(proxy)連接到ProfiNet網路當中,使整Profibus設備和協議能夠原封不動地在Pet中使用。傳統的Profibus設備可通過代理proxy與ProFiNET上面的COM對象進行通信,並通過OLE自動化介面實現COM對象間的調用。
Ethernet/IP
Ethernet/IP是適合工業環境應用的協議體系。它是由ODVA(Open Devicenet Vendors Asso-cation)和Control Net International兩大工業組織推出的最新成員與Device Net和Control Net一樣,它們都是基於CIP(Controland Information Proto-Col)協議的網路。它是一種是面向對象的協議,能夠保證網路上隱式(控制)的實時I/O信息和顯式信息(包括用於組態、參數設置、診斷等)的有效傳輸。
Ethernet/IP採用和Devicenet以及ControlNet相同的應用層協議CIP。因此,它們使用相同的對象庫和一致的行業規範,具有較好的一致性。Ethernet/IP採用標準的Ethernet和TCP/IP技術傳送CIP通信包,這樣通用且開放的應用層協議CIP加上已經被廣泛使用的Ethernet和TCP/IP協議,就構成Ethernet/IP協議的體系結構。
工業乙太網是應用於工業控制領域的乙太網技術,在技術上與商用乙太網(即IEEE802.3標準)兼容,但是實際產品和應用卻又完全不同。這主要表現普通商用乙太網的產品設計時,在材質的選用、產品的強度、適用性以及實時性、可互操作性、可靠性、抗干擾性、本質安全性等方面不能滿足工業現場的需要。故在工業現場控制應用的是與商用乙太網不同的工業乙太網。然而工業乙太網的優勢在哪裡。
一、應用廣泛
乙太網是應用最廣泛的計算機網路技術,幾乎所有的編程語言如VisualC++、JavaVisualBasic等都支持乙太網的應用開發。
二、通信速率高
10、100Mb/s的快速乙太網已開始廣泛應用,1Gb/s乙太網技術也逐漸成熟,而傳統的現場匯流排最高速率只有12Mb/s(如西門子Profibus-DP)。顯然,乙太網的速率要比傳統現場匯流排要快的多,完全可以滿足工業控制網路不斷增長的帶寬要求。
三、資源共享能力強
隨著Internet/Intranet的發展,乙太網已滲透到各個角落,網路上的用戶已解除了資源地理位置上的束縛,在聯入網際網路的任何一台計算機上就能瀏覽工業控制現場的數據,實現“控管一體化”,這是其他任何一種現場匯流排都無法比擬的。
四、可持續發展潛力大
乙太網的引入將為控制系統的後續發展提供可能性,用戶在技術升級方面無需獨自的研究投入,對於這一點,任何現有的現場匯流排技術都是無法比擬的。同時,機器人技術、智能技術的發展都要求通信網路具有更高的帶寬和性能,通信協議有更高的靈活性,這些要求乙太網都能很好地滿足。
為了應用於嚴酷的工業環境,確保工業應用的安全可靠,SIMATIC NET為乙太網技術補充了不少重要的性能:
工業乙太網技術上與IEEE802.3/802.3u兼容,使用ISO和TCP/IP通訊協議
10/100M自適應傳輸速率
冗餘24VDC供電
簡單的機櫃導軌安裝
方便的構成星型、線型和環型拓撲結構
高速冗餘的安全網路,最大網路重構時間為0.3秒
用於嚴酷環境的網路元件,通過EMC測試
通過帶有RJ45技術、工業級的Sub-D連接技術和安裝專用屏蔽電纜的Fast Connect連接技術,確保現場電纜安裝工作的快速進行
簡單高效的信號裝置不斷地監視網路元件
符合SNMP(簡單的網路管理協議)
可使用基於web的網路管理
使用VB/VC或組態軟體即可監控管理網路
工業乙太網技術具有價格低廉、穩定可靠、通信速率高、軟硬體產品豐富、應用廣泛以及支持技術成熟等優點,已成為最受歡迎的通信網路之一。近些年來,隨著網路技術的發展,乙太網進入了控制領域,形成了新型的乙太網控制網路技術。這主要是由於工業自動化系統向分佈化、智能化控制方面發展,開放的、透明的通訊協議是必然的要求。乙太網技術引入工業控制領域,其技術優勢非常明顯:
(一)Ethernet是全開放、全數字化的網路,遵照網路協議不同廠商的設備可以很容易實現互聯。
(二)乙太網能實現工業控制網路與企業信息網路的無縫連接,形成企業級管控一體化的全開放網路。
(三)軟硬體成本低廉,由於乙太網技術已經非常成熟,支持乙太網的軟硬體受到廠商的高度重視和廣泛支持,有多種軟體開發環境和硬體設備供用戶選擇。
(四)通信速率高,隨著企業信息系統規模的擴大和複雜程度的提高,對信息量的需求也越來越大,有時甚至需要音頻、視頻數據的傳輸,當前乙太網的通信速率為10M、100M的快速乙太網開始廣泛應用,千兆乙太網技術也逐漸成熟,10G乙太網也正在研究,其速率比現場匯流排快很多。
(五)可持續發展潛力大,在這信息瞬息萬變的時代,企業的生存與發展將很大程度上依賴於一個快速而有效的通信管理網路,信息技術與通信技術的發展將更加迅速,也更加成熟,由此保證了乙太網技術不斷地持續向前發展。
PROFInet可以提供辦公室和自動化領域開放的、一致的連接。PROFInet方案覆蓋了分散自動化系統的所有運行階段,它主要包含以下方面:⑴高度分散自動化系統的開放對象模型(結構模型);⑵基於Ethernet的開放的、面向對象的運行期通信方案(功能單元間的通信關係);⑶獨立於製造商的工程設計方案(應用開發)。PROFInet方案可以用一條等式簡單而明了地描述:PROFInet=Profibus+具有PROFIBUS和IT標準Ethernet的開放的、一致的通信。
1.1PROFInet設備的軟體結構
PROFInet設備的軟體覆蓋了現場設備的整個運行期通信,基於模塊化設計的軟體包含若干通信層,每層都與系統環境一致。PROFInet軟體主要包括一個RPC(Remote Procedure Call)層,一個DCOM(Distributed ComponentObject Model)層和一個專門為PROFInet對象定義的層。PROFInet對象可以是ACCO(Active Connection ControlObject)設備、RT auto(Runtime Automation)設備、物理設備或邏輯設備。軟體中定義的實時數據通道提供PROFInet對象與乙太網間的實時通信服務。PROFInet通過系統介面連接到操作系統(如WinCE),通過應用介面連接到控制器(如PLC)。
PROFInet的運行期軟體位於一個目錄固定的結構中,可以分為核心目錄和系統應用目錄。若通信開始而核心目錄中的文件未改變,則系統應用目錄中的部分文件必須重建。所有的系統應用都是指向系統介面和應用介面,實現PROFInet設備的各項功能。PROFInet設備的軟體結構可以用圖1描述如下:
PROFInet設備的軟體結構決定了PROFInet設備可以從企業管理層到現場層直接、透明地訪問,並且提供對TCP/IP協議的絕對支持。PROFInet技術使企業用戶能夠方便地對現有的系統進行擴展和集成,是一種優化的工業乙太網通信標準。
1.2PROFInet在現場設備上的移植
作為一種開放的資源,PROFInet軟體通過移植到設備上的TCP/IP協議棧來完成在其他設備製造商的產品中快速而簡單地實現。具體過程為:首先將開放資源的RPC介面連接到TCP/IP協議棧和設備操作系統中的系統集成;然後再將PROFInet協議棧的DCOM(DiscreteComponent Object Module)機制集成到設備的操作系統中;最後實現物理設備和邏輯設備對象、運行期對象和活動控制連接對象的設備專用的DCOM應用。為單個部件組裝PROFInet設備時還必須用XML創建相應的描述。
一個PROFInet設備的XML文件中應包括下列數據:
⑴PROFInet設備的名稱和ID號;
⑵PROFInet設備的IP地址,診斷數據的訪問方式和設備連接方式;
⑶PROFInet設備的硬體分配,設備介面以及為各介面定義的變數、數據類型與格式;
⑷PROFInet設備在整個工程中的保存地址。
PROFInet設備將它的所有功能封裝到其軟體中,並提供變數介面與其它的PROFInet設備相連。變數介面的每個變數都代表一個確定的子功能,包括運行、輸入/輸出使能、複位、結束、停機、啟動和錯誤。一個PROFInet設備中封裝的可以是一個控制器、一個執行器甚至是一個控制網路。圖2所示的PROFInet設備中封裝了一個Profibus-DP控制網路。
PROFInet設備之間通過DCOM模塊進行通信。在PROFInet設備連接編輯器的圖形界面中可以方便地實現各PROFInet設備間的連接。一個具有沖洗、灌裝、封口和包裝4個環節的飲料生產廠家的生產流程可以用4個PROFInet設備串連連接實現。
所有設備的介面都在PROFInet中做了一致的定義,因此都能夠靈活地組合和重新使用,用戶不必考慮各設備的內部運行機制。此外,PROFInet還集成了故障安全通信標準行規PROFIsafe,滿足對人員、設備和環境的全面安全的需求,可用於故障安全應用。
PROFInet設備通信功能的實現是基於傳統的Ethernet通信機制(如TCP或UDP),同時又採用RPC和DCOM機制進行加強。DCOM可視為用於基於RPC分散式應用的COM技術的擴展,可以採用優化的實時通信機制應用於對實時性要求苛刻的應用領域。在運行期間,PROFInet設備以DCOM對象的形式映像,通過對象協議機制確保了DCOM對象的通信。COM對象作為PDU以DCOM協議定義的形式出現在通信匯流排上。通過DCOM布線協議DCOM定義了對象的標識和具有有關介面和參數的方法,這樣就可以在通信匯流排上進行標準化的DCOM信息包的傳輸。對於更高層次上的通信,PROFInet可以採用集成OPC(OLE for Process Control)介面技術的方式。
2.1PROFInet的基本通信方式
PROFInet根據不同的應用場合定義了三種不同的通信方式:使用TCP/IP的標準通信;實時RT(Real-time)通信和同步實時IRT通信。PROFInet設備能夠根據通信要求選擇合適的通信方式。
PROFInet使用乙太網和TCP/IP協議作為通信基礎,在任何場合下都提供對TCP/IP通信的絕對支持。由於絕大多數工廠自動化應用場合對實時響應時間要求較高,為了能夠滿足自動化中的實時要求,PROFInet中規定了基於乙太網層2的優化實時通信通道,該方案極大地減少了通信棧上佔用的時間,提高了自動化數據刷新方面的性能。PROFInet不僅最小化了可編程式控制制器中的通信棧,而且對網路中傳輸數據也進行了優化。採用PROFInet通信標準,系統對實時應用的響應時間可以縮短到5~10ms。PROFInet同時還支持高性能同步運動控制應用,在該應用場合PROFInet提供對100個節點響應時間低於1ms的同步實時(IRT)通信,該功能是由層2上內嵌的同步實時交換晶元ERTEC提供的。PROFInet的通信循環如圖4所示。
在PROFInet設備的一個通信循環周期內,既包括IRT實時通信,又包括TCP/IP標準通信。PROFInet通信技術在很多應用場合都能體現出其極大的優越性。工程實踐表明,在同步運動控制場合採用PROFInet提供的IRT通信,系統性能將比採用現場匯流排方案提升近100倍。
2.2PROFInet與OPC的集成
由於PROFInet與OPC均採用了DCOM通訊機制,因此PROFInet通訊技術可以很容易地與OPC介面技術集成,以實現數據在更高通信層次上的交換。OPC介面設備在工控領域的應用十分廣泛,OPC介面技術定義了OPC DA(Data Access)與OPC DX(Data Exchange)兩個通信標準,分別應用於傳輸實時數據和實現異類控制網路間數據的交換。在PROFInet中集成OPCDX介面可以實現一個開放的連接至其他系統,集成機制如下:
⑴基於PROFInet的實時通信機制,每個PROFInet節點可以作為一個OPC伺服器被定址;
⑵每個OPC伺服器可以通過標準介面而作為一個PROFInet節點被操作。PROFInet的功能性遠比OPC優越,PROFInet技術與OPC介面技術的集成不僅可以實現自動化領域對實時通信的要求,還可以實現系統之間在更高層次上的交互。
工業乙太網
PROFInet不僅可以應用於分散式智能控制,而且還逐漸進入到過程自動化領域。在過程自動化領域,PROFInet針對工業乙太網匯流排供電以及乙太網本質在安全領域應用的問題正在形成標準或解決方案,採用PROFInet集成的Profibus現場匯流排可以為過程自動化工業提供優越的解決方案(如圖5所示):
採用PROFInet通訊技術,不僅可以集成Profibus現場設備,還可以通過代理伺服器(Proxy)實現其它種類的現場匯流排網路的集成。採用這種統一的面對未來的設計概念,工廠內各部件都可以作為獨立模塊預先組裝測試,然後在整個系統中輕鬆組裝或在其他項目中重複使用。譬如對於一個汽車生產企業而言,PROFInet支持的實時解決方案完全可以滿足車體車間、噴漆車間和組裝部門等對響應時間的要求,在機械工程及發動機和變速箱生產環節中的車床同步等方面則可使用PROFInet的同步實時功能。
PROFInet可以保證對現有系統投資的高度保護,並使工廠擁有創新標準的優越性。鑒於PROFInet通訊技術的優越性,已經有部分生產廠家(如西門子,施奈德)。
選擇正確的工業乙太網要考慮哪些因素,簡單的來說,要從工業乙太網通訊協議、電源、通信速率、工業環境認證考慮、安裝方式、外殼對散熱的影響、簡單通信功能和通信管理功能、電口或光口的考慮。信號強弱、埠設置、出錯報警、串口使用、主幹(TrunkingTM)冗餘、環網冗餘、服務質量(QoS)、虛擬區域網(VLAN)、簡單網路管理協議(SNMP)、埠鏡像等等其他工業乙太網管理交換機中可以提供的功能。
工業乙太網設備包括以下幾個重要部分。
工業乙太網集線器。
工業乙太網非管理型交換機。
工業乙太網管理型交換機。
工業乙太網管理型冗餘交換機。
高級的管理型冗餘交換機提供了一些特殊的功能,特別是針對有穩定性、安全性方面嚴格要求的冗餘系統進行了設計上的優化。構建冗餘網路的主要方式主要有以下幾種,STP、RSTP;環網冗餘RapidRingTM以及Trunking。
1工業乙太網STP及RSTP
STP(Spanning Tree Protocol,生成樹演演算法,IEEE802.1D),是一個鏈路層協議,提供路徑冗餘和阻止網路循環發生。它強令備用數據路徑為阻塞(blocked)狀態。如果一條路徑有故障,該拓撲結構能藉助激活備用路徑重新配置及鏈路重構。網路中斷恢復時間為30-60s之間。RSTP(快速生成樹演演算法,IEEE802.1w)作為STP的升級,將網路中斷恢復時間,縮短到1-2s。生成樹演演算法網路結構靈活,但也存在恢復速度慢的缺點。
2工業乙太網環網冗餘
為了能滿足工控網路實時性強的特點,RapidRing孕育而生。這是在工業乙太網網路中使用環網提供高速冗餘的一種技術。這個技術可以使網路在中斷後300ms之內自行恢復。並可以通過工業乙太網交換機的出錯繼電連接、狀態顯示燈和SNMP設置等方法來提醒用戶出現的斷網現象。這些都可以幫助診斷環網什麼地方出現斷開。
RapidRingTM也支持兩個連接在一起的環網,使網路拓樸更為靈活多樣。兩個環通過雙通道連接,這些連接可以是冗餘的,避免單個線纜出錯帶來的問題。
3工業乙太網主幹冗餘
將不同交換機的多個埠設置為Trunking主幹埠,並建立連接,則這些工業乙太網交換機之間可以形成一個高速的骨幹鏈接。不但成倍的提高了骨幹鏈接的網路帶寬,增強了網路吞吐量,而且還還提供了另外一個功能,即冗餘功能。如果網路中的骨幹鏈接產生斷線等問題,那麼網路中的數據會通過剩下的鏈接進行傳遞,保證網路的通訊正常。Trunking主幹網路採用匯流排型和星型網路結構,理論通訊距離可以無限延長。該技術由於採用了硬體偵測及數據平衡的方法,所以使網路中斷恢復時間達到了新的高度,一般恢復時間在10ms以下。
集線器
相信絕大多數人都熟悉集線器。很多人使用這種簡易設備去連接各種基於乙太網的設備,如個人計算機,可編程式控制制器等。集線器接收到來自某一埠的消息,再將消息廣播到其它所有的埠。對來自任一埠的每一條消息,集線器都會把它傳遞到其它的各個埠。在消息傳遞方面,集線器是低速低效的,可能會出現消息衝突。然而,集線器的使用非常簡單-實際上可以即插即用。集線器沒有任何華而不實的功能,也沒有冗餘功能。
管理型
乙太網連接設備發展的下一代產品是管理型交換機。相對集線器和非管理型交換機,管理型交換機擁有更多更複雜的功能,價格也高出許多-通常是一台非管理型交換機的3~4倍。管理型交換機提供了更多的功能,通常可以通過基於網路的介面實現完全配置。它可以自動與網路設備交互,用戶也可以手動配置每個埠的網速和流量控制。一些老設備可能無法使用自動交互功能,因此手動配置功能是必不可缺的。
絕大多數管理型交換機通常也提供一些高級功能,如用於遠程監視和配置的SNMP(簡單網路管理協議),用於診斷的埠映射,用於網路設備成組的VLAN(虛擬區域網),用於確保優先順序消息通過的優先順序排列功能等。利用管理型交換機,可以組建冗餘網路。使用環形拓撲結構,管理型交換機可以組成環形網路。每台管理型交換機能自動判斷最優傳輸路徑和備用路徑,當優先路徑中斷時自動阻斷(block)備用路徑。
集線器的發展產生了一種叫非管理型交換機的設備。它能實現消息從一個埠到另一個埠的路由功能,相對集線器更加智能化。非管理型交換機能自動探測每台網路設備的網路速度。另外,它具有一種稱為“MAC地址表”的功能,能識別和記憶網路中的設備。換言之,如果埠2收到一條帶有特定識別碼的消息,此後交換機就會將所有具有那種特定識別碼的消息發送到埠2。這種智能避免了消息衝突,提高了傳輸性能,相對集線器是一次巨大的改進。然而,非管理型交換機不能實現任何形式的通信檢測和冗餘配置功能。
工業乙太網是當前工業控制領域的研究熱點。工業乙太網重點在於利用交換式乙太網技術為控制器和操作站,各種工作站之間的相互協調合作提供一種交互機制並和上層信息網路無縫集成。工業乙太網開始在監控層網路上逐漸佔據主流位置,正在向現場設備層網路滲透。工業乙太網相對於以往自動化技術有很多優勢,然而事物是相對的,在我們享受開放互聯技術進步的成果同時應該對它們存在的隱患和可能帶來的嚴重後果要有深刻認識。
雖然脫胎於Intranet、Internet等類型的信息網路,但是工業乙太網是面向生產過程,對實時性、可靠性、安全性和數據完整性有很高的要求。既有與信息網路相同的特點和安全要求,也有自己不同於信息網路的顯著特點和安全要求:
⑴工業乙太網是一個網路控制系統,實時性要求高,網路傳輸要有確定性。
⑵整個企業網路按功能可分為處於管理層的通用乙太網和處於監控層的工業乙太網以及現場設備層(如現場匯流排)。管理層通用乙太網可以與控制層的工業乙太網交換數據,上下網段採用相同協議自由通信。
⑶工業乙太網中周期與非周期信息同時存在,各自有不同的要求。周期信息的傳輸通常具有順序性要求,而非周期信息有優先順序要求,如報警信息是需要立即響應的。
⑷工業乙太網要為緊要任務提供最低限度的性能保證服務,同時也要為非緊要任務提供儘力服務,所以工業乙太網同時具有實時協議也具有非實時協議。
⑴工業乙太網應該保證實時性不會被破壞,在商業應用中,對實時性的要求基本不涉及安全,而過程式控制制對實時性的要求是硬性的,常常涉及生產設備和人員安全。
⑵當今世界舞台,各種競爭異常激烈。對於很多企業尤其是掌握領先技術的企業,作為其技術實際體現的生產工藝往往是企業的根本利益。一些關鍵生產過程的流程工藝乃至運行參數都有可能成為對手竊取的目標。所以在工業乙太網的數據傳輸中要防止數據被竊取。
⑶開放互聯是工業乙太網的優勢,遠程的監視、控制、調試、診斷等極大的增強了控制的分佈性、靈活性,打破了時空的限制,但是對於這些應用必須保證經過授權的合法性和可審查性。
⑴在傳統工業工業乙太網中上下網段使用不同的協議無法互操作,所以使用一層防火牆防止來自外部的非法訪問,但工業乙太網將控制層和管理層連接起來,上下網段使用相同的協議,具有互操作性,所以使用兩級防火牆,第二級的防火牆用於屏蔽內部網路的非法訪問和分配不同許可權合法用戶的不同授權。另外還可用根據日誌記錄調整過濾和登錄策略。
要採取嚴格的許可權管理措施,可以根據部門分配許可權,也可以根據操作分配許可權。由於工廠應用專業性很強,進行許可權管理能有效避免非授權操作。同時要對關鍵性工作站的操作系統的訪問加以限制,採用內置的設備管理系統必須擁有記錄審查功能,資料庫自動記錄設備參數修改事件:誰修改,修改的理由,修改之前和之後的參數,從而可以有據可查。
⑵在工業乙太網的應用中可以採用加密的方式來防止關鍵信息竊取。主要存在兩種密碼體制:對稱密碼體制和非對稱密碼體制。對稱密碼體制中加密解密雙方使用相同的密鑰且密鑰保密,由於在通信之前必須完成密鑰的分發,該體制中這一環節是不安全的。所以採用非對稱密碼體制,由於工業乙太網發送的多為周期性的簡訊息,所以採用這種加密方式還是比較迅速的。對於工業乙太網來說是可行的。還要對外部節點的接入加以防範。
⑶工業乙太網的實時性主要是由以下幾點保證:限制工業乙太網的通信負荷,採用100M的快速乙太網技術提高帶寬,採用交換式乙太網技術和全雙工通信方式屏蔽固有的CSMA/CD機制。隨著網路的開放互連和自動化系統大量IT技術的引入,加上TCP/IP協議本身的開放性和層出不窮的網路病毒和攻擊手段,網路安全可以成為影響工業乙太網實時性的一個突出問題。
(1)病毒攻擊
在網際網路上充斥著類似Slammer、“衝擊波”等蠕蟲病毒和其它網路病毒的襲擊。以蠕蟲病毒為例,這些蠕蟲病毒攻擊的直接目標雖然通常是信息層網路的PC機和伺服器,但是攻擊是通過網路進行的,因此當這些蠕蟲病毒大規模爆發時,交換機、路由器會首先受到牽連。用戶只有通過重啟交換路由設備、重新配置訪問控制列表才能消除蠕蟲病毒對網路設備造成的影響。蠕蟲病毒攻擊能夠導致整個網路的路由震蕩,這樣可能使上層的信息層網路部分流量流入工業乙太網,加大了它的通信負荷,影響其實時性。在控制層也存在不少計算機終端連接在工業乙太網交換機,一旦終端感染病毒,病毒發作即使不能造成網路癱瘓,也可能會消耗帶寬和交換機資源。
(2)MAC攻擊
工業乙太網交換機通常是二層交換機,而MAC地址是二層交換機工作的基礎,網路依賴MAC地址保證數據的正常轉發。動態的二層地址表在一定時間以後(AGE TIME)會發生更新。如果某埠一直沒有收到源地址為某一MAC地址的數據包,那麼該MAC地址和該埠的映射關係就會失效。這時,交換機收到目的地址為該MAC地址的數據包就會進行泛洪處理,對交換機的整體性能造成影響,能導致交換機的查錶速度下降。而且,假如攻擊者生成大量數據包,數據包的源MAC地址都不相同,就會充滿交換機的MAC地址表空間,導致真正的數據流到達交換機時被泛洪出去。這種通過複雜攻擊和欺騙交換機入侵網路方式,已有不少實例。一旦表中MAC地址與網路段之間的映射信息被破壞,迫使交換機轉儲自己的MAC地址表,開始失效恢復,交換機就會停止網路傳輸過濾,它的作用就類似共享介質設備或集線器,CSMA/CD機制將重新作用從而影響工業乙太網的實時性。
交換機安全技術
信息層網路採用的交換機安全技術主要包括以下幾種。
流量控制技術,把流經埠的異常流量限制在一定的範圍內。訪問控制列表(ACL)技術,ACL通過對網路資源進行訪問輸入和輸出控制,確保網路設備不被非法訪問或被用作攻擊跳板。安全套接層(SSL)為所有HTTP流量加密,允許訪問交換機上基於瀏覽器的管理GUI。802.1x和RADIUS網路登錄控制基於埠的訪問,以進行驗證和責任明晰。源埠過濾只允許指定埠進行相互通信。Secure Shell(SSHv1/SSHv2)加密傳輸所有的數據,確保IP網路上安全的CLI遠程訪問。安全FTP實現與交換機之間安全的文件傳輸,避免不需要的文件下載或未授權的交換機配置文件複製。不過,應用這些安全功能仍然存在很多實際問題,例如交換機的流量控制功能只能對經過埠的各類流量進行簡單的速率限制,將廣播、組播的異常流量限制在一定的範圍內,而無法區分哪些是正常流量,哪些是異常流量。同時,如何設定一個合適的閾值也比較困難。一些交換機具有ACL,但如果ASIC支持的ACL少仍舊沒有用。一般交換機還不能對非法的ARP(源目的MAC為廣播地址)進行特殊處理。網路中是否會出現路由欺詐、生成樹欺詐的攻擊、802.1x的DoS攻擊、對交換機網管系統的DoS攻擊等,都是交換機面臨的潛在威脅。
在控制層,工業乙太網交換機,一方面可以借鑒這些安全技術,但是也必須意識到工業乙太網交換機主要用於數據包的快速轉發,強調轉發性能以提高實時性。應用這些安全技術時將面臨實時性和成本的很大困難,乙太網的應用和設計主要是基於工程實踐和經驗,網路上主要是控制系統與操作站、優化系統工作站、先進控制工作站、資料庫伺服器等設備之間的數據傳輸,網路負荷平穩,具有一定的周期性。但是,隨著系統集成和擴展的需要、IT技術在自動化系統組件的大力應用、B/S監控方式的普及等等,對網路安全因素下的可用性研究已經十分必要,例如猝發流量下的工業乙太網交換機的緩衝區容量問題以及從全雙工交換方式轉變成共享方式對已有網路性能的影響。所以,另一方面,工業乙太網必須從自身體系結構入手,加以應對。
----市場佔有率高達80%,乙太網毫無疑問是當今LAN(區域網)領域中首屈一指的網路。乙太網優越的性能,為您的應用帶來巨大的利益:
通過簡單的連接方式快速裝配。
通過不斷的開發提供了持續的兼容性,因而保證了投資的安全。
通過交換技術提供實際上沒有限制的通訊性能。
各種各樣聯網應用,例如辦公室環境和生產應用環境的聯網。
通過接入WAN(廣域網)可實現公司之間的通訊,例如,ISDN或Internet的接入。