选煤厂智能工业私有云解决方案

一、选煤厂方案设计

1、选煤厂数据中心私有云设计

选煤厂数据中心采用工业私有云&虚拟化方案实现。即在机房安装一套 WitLinc 公司的 WL-820B-B 系列高性能工业私有云,该私有云包含 3 台工业服务器、两台高性能工业级网管型交换机、一套UPS。在私有云中的虚拟化平台里虚拟出用于采集现场控制系统数据的虚拟机、用于存储数据的数据库服务器、用于安装WiSCADA 软件作为处理并显示数据的 HMI 服务器、用于查看各种报表信息的报表服务器、用于安装WiSCADA-Client 软件查看数据信息的客户端虚拟机、用于显示视频信息得视频服务器、用于 WEB 发布数据的 WEB 服务器等。并且为所有虚拟机配置高可用性。所有的虚拟机文件都会存储在工业磁盘阵列里面。工作人员使用瘦客户端连接远程桌面的方式连接到工业私有云中的虚拟机桌面,瘦客户端上的的所有操作都会在虚拟机里面执行,瘦客户端本地不会存储任何数据。一台瘦客户端可以连接多个虚拟机的远程桌面,这在一定程度上可以减少一定量的操作员站,实现经济高效操作和管理。 

工程师可以使用自己拥有的特殊权限利用任意瘦客户端访问工业私有云内部,对虚拟化平台、虚拟机、虚拟机上运行的应用程序进行管理和维护,甚至在可以使用自己的笔记本在管理员允许的情况下远程维护工业私有云。 

工业私有云平台支持主机,存储,网络的虚拟化,可以通过云平 台的管理轻松创建应用虚拟机,并提供结合工业应用软件的应用模板, 同时可以完成基于主机和存储的可迁移功能,并提供 HA 高可靠性支持,有助于工业系统业务不中断运行。 

2、选煤厂数据采集平台设计 

远程数据采集 

如图所示,对远程 PLC 的数据采集采用WL-430T-AK 工业 4G 路由器作为网络连接工具,使用该设备内部的 WiVPN 功能将远程的控制系统网络与控制中心的网络建立通过 4G 网络建立稳定的网络连接,控制中心使用采集软件采集 PLC 或者其他设备的数据。 

对远程仪表等无法使用以太网通讯的设备,我们设计使用云盒子的ModbusRTU 功能将仪表的信息采集到云盒子,使用云盒子将这些数据转换为 ModbusTCP 数据,通过 WL-430T-AK 建立的网络传输至控制中心。控制中心的数据采集平台使用WISCADA 工业组态软件完成。 选用 WiSCADA 2.0 软件作为选煤厂智能工业私有云架构的数据采集及处理平台。 

WiSCADA 软件采用 C/S、B/S 架构,软件界面友好,编辑方式基于Windows 风格,在线帮助文档通俗易懂,用户只需稍微学习便可自己开发HMI 画面。图像界面支持自由缩放、鼠标漫游、自适应屏幕、透明色、过渡色、旋转/倾斜、幻灯显示,内嵌 JAVASCRIPT,用户可以自主开发更高级的功能。支持表达式、触发器、定时器、多语言、XML 支持、变量替换、定制图形。支持 Windows XP/7/8/CE/SERVER 的 32/64 位操作系统。网络版除了具有单机版的全部功能外,还支持 WEB 端、网络客户端方式通过局域网访问,另外,网络版还支持智能移动终端安装 APP 通过互联网访问组态服务器,APP 支持 Android 和 IOS。WiSCADA 软件支持 3D 功能,用户可以自由编辑 3D 图形,让自己的 HMI 画面更加绚丽多彩。 

在 WiSCADA 中配置报表显示界面,将选煤厂内需要汇集成报表的数据都集中整理在报表中,使其根据需要按日、周、月、季度、年时间节点备份成 CSV 格式文件存储在私有云中。用户可登陆私有云中的报表服务器查看所有报表。 

在WiSCADA 软件中,启用内网穿透功能,将已经做好的 HMI 画面通过安全的网络路劲发布到互联网,用户通过安卓或苹果的手机、平板电脑等智能移动终端设备通过 4G/ WiFi 就可以轻松的访问到 HMI 画面,用户可配置APP 单独显示不同于 PC 的画面。用户使用手机或IPAD 等手持移动终端在现场巡检时可实时查看系统运行情况,经过允许的用户可以对现场设备进行启停操作。

在 WiSCADA 软件中配置微信和 Email 报警功能,将整个系统所有需要报警的变量按照严重等级区别配置报警级别,将严重的报警微信推送到指定负责人,将中等程度的报警推送给厂区维护人员即可。将低等程度的报警信息只做报警提示即可。 

在私有云中的客户端虚拟机上安装 WISCADA-Client 软件,用于监视和查看HMI 服务器的数据和画面,多个用户可以使用 RDP 协议时连接到该虚拟机查看画面。  

3、厂区工业无线网络覆盖设计 

根据选煤厂地形特点,选择合适位置安装若干台 WL-245H-S 工业大功率WiFi 设备,用于对全厂区进行 WiFi 覆盖。厂内人员可以拿手机、IPAD 等智能移动终端设备连接到厂区 WiFi。 

WL-245H-S 无线通讯模块专为工业应用而设计,最大发射功率可到 1W,可以广泛应用于石油&天然气、煤炭、矿山、钢铁、水处理、新能源和其他工业行业。通过该模块可以方便的将现场的 PLC、变频器、DCS 以及现场仪表进行连接。 

WL-245H-S 无线模块基于 802.11ac MIMO 技术,拥有 2 个 802.3 以太网端口,1 个WAN 端口,1 个 LAN 端口。不同 IP 段的系统都可以通过 WL-245H-S 模块连接。最大传输速率可达 1.3Gbps,视频传输更流畅。5G 频段的无线信号抗干扰性大大增强,相对于 2.4G 网络,几乎不存在网络拥堵现象,特有的节能设计,让传输终端更省电。 

WL-245H-S 无线通讯模块搭建的 WiFI 网络可实现无缝漫游,即用户使用手持终端在 WiFi 覆盖区域内移动时,智能终端会根据 WiFi 信号的强弱自动选择最佳的 AP 节点连接,这种切换是自动进行的, 切换时间小于 50ms。 

4、控制系统网络安全设计 

如图所示: 

为保护控制系统核心控制器不受网络侵害,设计在每个控制系统PLC 网络出口处增加 WL-620F-S 工业防火墙,该防火墙将 PLC 与非PLC 设备网络隔离开,用于防止可能会出现的网络风暴、泛洪攻击、恶意扫描、非法下载程序块、未知来源设备接入、未知 U 盘插入带来的恶意病毒攻击等危险,拒绝非授信的用户访问核心 PLC 设备,只允许通过该PLC 设备认可的通讯协议。 

同时,为保护工业私有云不受外界互联网侵害,设计在私有云网络出口处增加WL-620F-S 工业防火墙,在该防火墙内配置安全策略以保证工程办公网络不可随意访问工业生产网络,生产区部分授权用户可以访问到办公网路以完成日常办公需求,同时,严格管理工业网络用户与外部互联网的接触。WL-620F-S 内置强大的 IPS(入部,查找它所认识的攻击代码特征,过滤有害数据流,丢弃有害数据包,并进行记载,以便事后分析。除此之外,更重要的是,大多数入侵预防系统会结合考虑应用程序或网路传输中的异常情况,来辅助识别入侵和攻击。比如,用户或用户程序违反安全条例、数据包在不应该出现的时段出现、作业系统或应用程序弱点的空子正在被利用等等现象。入侵预防系统虽然也考虑已知病毒特征,但是它并不仅仅依赖于已知病毒特征,其目的在于及时识别攻击程序或有害代码及其克隆和变种,采取预防措施,先期阻止入侵,防患于未然。或者至少使其危害性充分降低。 

5、选煤厂整体网络设计 

如图所示: 

在选煤厂内,分别部署有线网络和无线网络,其中,有线网络连接现场控制系统和工业私有云、控制室瘦客户机和工业私有云。根据现场设备分布情况,在每个控制系统控制器网络出口处增加工业区域防火墙,在防火墙内配置策略以保护控制器与私有云之间相互隔离, 如只允许该品牌的控制器通讯协议通过并且只允许特定的设备访问到该控制器。 

控制室内瘦客户机与私有云之间采用有线网络连接,瘦客户机通过RDP 方式连接到私有云内,经过网络管理员允许后便可以查看到相应的虚拟机桌面。 

在工业私有云的网络出口处放置一台工业防火墙用于将厂内局域网与场外互联网分隔开。防火墙出口与 WL-430T-AK 工业 4G 路由器连接,该设备可通过 4G/WiFi/宽带等途径连接到互联网,并且配置该设备内WiVPN 功能。 

在选煤厂外,如果用户需要查看数据中心的一些信息,可以通过4G/WiFi 网络使用 WiSCADA-APP 连接到数据中心,经过相应的权限允许后便可查看到对应的数据和画面。同样地,用户也可以通过笔记本电脑或者个人计算机使用使用 WiSCDADA-Client 插件经过权限允许后访问到数据中心的画面和数据。 

如果工程师在异地出差时需要连接到厂区的控制系统进行远程的查看或者修改程序,可以使用自己的计算机配置 WiVPN 的证书后直接访问到数据中心局域网络,经过网络管理员允许后便可访问到目标设备。如果出差地没有 wifi 网络,工程师可以携带一个 WL-430T-AK工业 4G 路由器配置 WiVPN 功能后连接到数据中心的局域网,经过网络管理员允许后同样可以访问到目标设备。 

二、    集团公司方案设计

1、集团公司私有云设计 

在集团公司放置一套 WL-860B-A 工业私有云,在其网络出口处增加 WL-630F-S 工业核心防火墙,用于保护工业私有云的网络安全。配置核心防火墙使其连接到互联网。 

集团公司工业私有云通过在核心防火墙内配置WiVPN 功能,使其能够与下属的 10 家选煤厂数据中心联系起来,将所有选煤厂的数据都集中采集到该私有云中,私有云中创建数据库服务器,用于存储所有选煤厂的关键数据。 

数据库服务器中的所有数据可开放共享给授权用户用于开发更高级的数据分析和决策系统。 

三、 方案优势

1、    WiCloud 性能优势 

•每台主机支持 2 颗逻辑处理器 & 最大 128G 物理内存  

•每个 WiCloud 最大支持高达 8 个物理主机 & 128 台虚拟机 

•每台虚拟机最大可支持高达 4 颗虚拟处理器以及 128GB 内存 

•支持虚拟机自动的故障转移和物理主机故障重启 

•增强的集群共享卷 

•基于存储的集群虚拟机 

•动态额度分配 & 监管 

•减少对 AD 的依赖 

•虚拟机关闭时资源回收 

•虚拟机网络健康监测 

•无需虚拟机停机即可实现从硬件到系统的升级 

•在存储位置发生变化的情况下,支持利用无共享的实时迁移功能来迁移虚拟机 

•迁移将只传输虚拟机的运行状态以实现更快的完成速度 

•在系统运行时可创建虚拟机,对新建虚拟机配置进行修改 

•管理员在目标主机可以直接启动虚拟机 

•虚拟机之间内存动态分配,自动分页 

•支持虚拟机与虚拟机之间的网络隔离与互访 

•多通道网络容错 

•无需停机可实现虚拟机的实时迁移 

2、    基于 4G 公网和WiVPN 技术的远程数据采集及设备维护方案优势 

  • 远程访问整个网络站点 
  • 支持数据监控,远程维护和远程故障诊断 
  • 专网专用,保证数据安全 
  • 不再需要进行现场维护,节约时间和差旅成本 
  • 需要进行监控的网络站点数量大小完全按照客户的实际需求,并且 没有最大数量的限制要求,网络可无限扩展,足以满足各种工况要求 
  • 使用开放的标准互联网技术 
  • 通过因特网实现工业网络远程访问与控制 
  • 远程访问SCADA、HMI 和 PLC 系统 
  • 支持网络类型:GPRS/EDGE/HSPA/4G 
  • 集成 2 个以太网端口与一个RS232 端口 
  • 可以通过防火墙阻止未授权的接入 
  • 通过 VPN 隧道实现加密、安全数据的传输。 
  • 使用现有IP 地址或者新的 IP 地址来满足系统需求 
  • 支持 NAT (网络地址转换),允许用户配置特定 IP 地址进行远程访问,例如: RTU 可以使用一个 LAN IP 地址192.168.1.254 ,VPN 的IP 地址可以设定为 10.23.1.254 
  • 网络具备了充分的可扩张性 
  • 每一个设备都有一个独一无二的 IP 地址,可以在网络的任意节点进行访问 
  • 易于集成于现有的 IT 基础设施 
  • 专为工业应用设计 
  • 4G 网络传输速率足以支持查看实时视频监控3、    WiSCADA 性能优势 
  • 支持跨平台Windows XP/7/8/CE/SERVER 
  • 支持 Android /IOS 
  • 支持电脑/电视/平板/手机 
  • 支持单机 /局域网/广域网/内网穿透/云服务器 
  • 支持 C/S、B/S 
  • 支持 DTU、模拟DTU 功能 
  • 内嵌 JAVASCRIPT 
  • 全面支持 OPC 技术 
  • 全面支持百度地图/GIS 组件 
  • 图表组功能 
  • 真正的 3D 支持 
  • 安卓 APP 支持获取GPS 纬经度、扫描二维码 
  • 增强的项目管理功能 
  • 增强图形转换 
  • 分布式窗口– 易于系统管理、扩充 
  • 灵活的用户安全管理、支持在线添加、修改、删除用户与密码 
  • 提供视频监控组件(完全支持海康威视) 
  • 提供丰富的关系数据库接口,支持MSSql、MySql、Access等常见的数据库接口 
  • 灵活的报表生成 – 内置运行库 
  • 多国语言的支持,包括中文 
  • 支持多种协议,可自定义万能协议驱动 
  • 支持 ActiveX/COM/DLL,结合 JavaScript,提高了系统与外部程序的交互能力,例如视频、门禁、数据库以及自定义功能模块等 
Category: