江軍

【摘要】 為解決企業(yè)管理信息系統(tǒng)與過程控制系統(tǒng)之間互不聯(lián)通，形成信息孤島，需要建設兩類系統(tǒng)之間的數(shù)據接口。介紹了數(shù)據采集接口的架構及各模塊的功能和要求，通過接口的建設，實現(xiàn)面向整個企業(yè)各生產、管理層面所有業(yè)務活動的數(shù)據服務與支持，建成合理的企業(yè)數(shù)據管理模式。

【關鍵字】 過程控制系統(tǒng) 數(shù)據采集 接口 建設

現(xiàn)今信息應用已發(fā)展到生產運行指揮、綜合分析、輔助決策等高級階段，對信息數(shù)據的獲取要求更全面、更及時、更方便。企業(yè)在開展生產業(yè)務的同時，也建設了包括生產調度指揮系統(tǒng)、模擬仿真、診斷分析在內的其他大量企業(yè)管理系統(tǒng)。通常各系統(tǒng)之間互不通聯(lián)，數(shù)據整合復雜度高、實施周期長、且系統(tǒng)運維難度和工作量大，導致了運維成本高和運維效率低下。數(shù)據采集接口的規(guī)范建設將改善企業(yè)數(shù)據管理模式，實現(xiàn)整個生產過程的優(yōu)化管理，切實提高企業(yè)的數(shù)據利用效率，提升信息服務的價值。

一、數(shù)據采集接口架構

數(shù)據采集接口是企業(yè)信息管理系統(tǒng)采集過程控制系統(tǒng)數(shù)據的接口，是對不同廠商、不同型號的過程控制系統(tǒng)，如DCS、PLC、SCADA等進行統(tǒng)一的數(shù)據采集、規(guī)范化的處理。數(shù)據采集接口主要實現(xiàn)采集、存儲、發(fā)布三種功能，通過數(shù)據采集網關設備采集過程控制系統(tǒng)數(shù)據，采集數(shù)據存儲于實時歷史數(shù)據庫中，同時把實時歷史數(shù)據庫中的數(shù)據進行發(fā)布，為企業(yè)管理系統(tǒng)提供及時有效的數(shù)據支持。

采集接口通常包括數(shù)據采集、數(shù)據管理、數(shù)據服務等組件，還應包括專用網絡、網絡安全組件，以及數(shù)據采集接口運行管理組件。

數(shù)據采集接口通常由數(shù)據采集網關、應用數(shù)據庫、數(shù)據接口（數(shù)據訪問接口和數(shù)據應用接口）、安全防護設備（隔離網閘和防火墻）四部分構成，采集生產網過程控制系統(tǒng)數(shù)據，通過數(shù)據采集網將其存儲于應用數(shù)據庫中，以便于企業(yè)信息網中企業(yè)管理信息系統(tǒng)獲取過程控制系統(tǒng)數(shù)據。系統(tǒng)架構如圖1所示：

二、 接口功能

過程控制系統(tǒng)通過數(shù)據訪問接口傳輸給數(shù)據采集網關，且對外僅支持數(shù)據采集網關的數(shù)據采集要求；數(shù)據訪問接口根據設置和設定的安全策略校核數(shù)據及服務請求，允許合法用戶的訪問，禁止非法用戶的請求，是單向傳輸?shù)?。通常有多種從過程控制系統(tǒng)獲取數(shù)據的方式，如從控制系統(tǒng)服務器獲取、從控制總線獲取、從操作站/工程師站獲取，或采用共享文件方式獲取等。具體采用哪種方式，應考慮控制系統(tǒng)安全、目標需要、數(shù)據采集復雜度等因素后作出選擇。為了對過程控制系統(tǒng)進行統(tǒng)一的數(shù)據采集、規(guī)范化的處理，數(shù)據訪問接口宜將過程控制系統(tǒng)的專有通信協(xié)議轉換為標準協(xié)議，提供過程控制系統(tǒng)的數(shù)據訪問功能。對新建的控制系統(tǒng)，應在其設計階段就考慮數(shù)據采集網關，對于現(xiàn)有的控制系統(tǒng)，經綜合分析、論證，必要時需對現(xiàn)有系統(tǒng)進行升級改造。

數(shù)據采集網關的主要功能是采集過程控制系統(tǒng)數(shù)據，并轉發(fā)到應用數(shù)據庫。它通過數(shù)據采集網關內置或二次應用開發(fā)的通信協(xié)議與過程控制系統(tǒng)的通信協(xié)議進行轉換通信，實現(xiàn)過程控制系統(tǒng)的數(shù)據采集。數(shù)據采集方式主要是考慮現(xiàn)場環(huán)境與管理需求，用戶可進行同步/異步、自動通知、訂閱/發(fā)布等方式進行設置。數(shù)據采集網管是數(shù)據采集接口的主要設備之一，應支持常用的通信協(xié)議如：Modbus、OPC等，支持輪詢、逢變則報等數(shù)據采集規(guī)則和一定的數(shù)據緩存及補傳能力。

應用數(shù)據庫主要功能包括存儲、歸檔、發(fā)布采集網關轉發(fā)的過程控制系統(tǒng)數(shù)據，包括實時數(shù)據庫、歷史數(shù)據庫。數(shù)據存儲應該具備數(shù)據緩存、壓縮、歸檔、備份、點數(shù)擴容等基本要求，數(shù)據吞吐量應滿足理論數(shù)據吞吐量的2倍。

應用數(shù)據庫與數(shù)據采集網關數(shù)據交互通常采用Modbus和OPC協(xié)議， 與企業(yè)管理信息系統(tǒng)數(shù)據交互可采用OPC、ODBC或OLE DB、WebService等數(shù)據訪問服務或服務器自身應用程序編程接口方式的數(shù)據訪問服務等。

數(shù)據應用接口主要功能是為企業(yè)管理信息系統(tǒng)發(fā)布過程控制系統(tǒng)數(shù)據，并提供過程控制系統(tǒng)數(shù)據的訪問功能，企業(yè)管理信息系統(tǒng)需要向數(shù)據應用接口進行注冊申請，獲取訪問權限后才允許向數(shù)據應用接口進行單向訪問，且應該只通過數(shù)據應用接口訪問過程控制系統(tǒng)數(shù)據，不宜直接對過程控制系統(tǒng)進行數(shù)據連接訪問。

三、網絡架構及防護系統(tǒng)

過程控制系統(tǒng)數(shù)據采集接口的網絡架構包括三層網絡：生產網、數(shù)據采集網、企業(yè)信息網。 生產網內典型的控制系統(tǒng)由基本過程控制系統(tǒng)（BPCS）、安全儀表系統(tǒng)（SIS）及火災報警和氣體檢測系統(tǒng)（F&G;）三部分組成[1]，每個系統(tǒng)提供數(shù)據訪問接口用于該系統(tǒng)的數(shù)據輸出。數(shù)據訪問接口搭建在各個系統(tǒng)的集成服務器端，而不需要直接連接到現(xiàn)場的控制器上。數(shù)據采集網包括數(shù)據采集網關、應用數(shù)據庫、數(shù)據接口、安全防護設備四部分。其中應用數(shù)據庫是由實時數(shù)據庫與歷史數(shù)據庫組成。企業(yè)信息網由一系列的企業(yè)管理信息系統(tǒng)組成，這些系統(tǒng)需要訪問過程控制系統(tǒng)數(shù)據時，需要向數(shù)據采集接口中的數(shù)據應用接口進行訪問申請，一般不允許通過其他途徑對過程控制系統(tǒng)的數(shù)據進行訪問。

安全防護系統(tǒng)主要是為了保證過程控制系統(tǒng)數(shù)據采集接口的數(shù)據采集過程不影響生產網的正常運行、不破壞生產網的安全性，同時隔離與企業(yè)信息網的連接預防受到網絡攻擊，由連接生產網與數(shù)據采集接口的隔離網閘與連接數(shù)據采集接口與企業(yè)信息網的防火墻兩部分組成。

安全隔離網閘通常布置在兩個安全級別不同的兩個網絡之間，管理員可以從信任網絡一方對安全隔離網閘進行管理。網閘基本原理是切斷網絡間的通用協(xié)議連接，將數(shù)據包分解重組為靜態(tài)數(shù)據，對數(shù)據進行安全審查，包括網絡協(xié)議檢查和代碼掃描，確認后的數(shù)據安全流入內部單元，內部用戶通過嚴格的身份認證機制獲取數(shù)據[2]。本系統(tǒng)架構中隔離網閘主要隔離生產網與數(shù)據采集網，部署于這兩個網絡之間，實現(xiàn)數(shù)據采集網與生產網之間安全適度的應用數(shù)據交換，只允許數(shù)據由生產網向數(shù)據采集接口單向無反饋傳輸，由于隔離網閘系統(tǒng)在外網與內網中間設有隔離交換單元，內外網與隔離交換單元通道不可能同時連通，保證了生產網的絕對隔離，從而保證了企業(yè)生產網的安全。

防火墻部署于數(shù)據采集接口與企業(yè)信息網之間，隔離數(shù)據采集網與企業(yè)信息網。它依照管理要求設定的規(guī)則，允許或是限制傳輸?shù)臄?shù)據通過。未經授權和安全認證，不允許其他任何設備、網絡或系統(tǒng)接入數(shù)據采集網。保護數(shù)據采集網免受非法用戶的侵入。

四、結束語

過程控制系統(tǒng)數(shù)據采集接口的統(tǒng)一規(guī)范化建設為滿足企業(yè)信息網對生產網的訪問要求、企業(yè)管理信息系統(tǒng)對過程控制系統(tǒng)數(shù)據的訪問要求奠定了基礎，為深化生產信息數(shù)據的業(yè)務應用、為管理層掌握一線生產的實時情況提供了條件，實現(xiàn)了數(shù)據資源的共享，推動了企業(yè)信息化的建設。

參 考 文 獻

[1]油氣田及管道工程計算機控制系統(tǒng)設計規(guī)范 GB/T 50823-2013

[2]蒲天銀.安全隔離網閘技術發(fā)展探討[J]，計算機時代，2006.6