工业以太网在水厂自控系统的应用

工业以太网在水厂自控系统的应用

摘要：主要介绍了某水源厂自控网络架构、工控系统软硬件组成及自控功能实现等，重点围绕工业以太网和无线通信技术在水厂自控系统系统中的应用进行了说明。该工控系统主要由PLC、超融合服务器、工控机、网络通信设备、网络安全设备构成。下位机PLC负责运行状态监测、数据采集、远程控制等功能；超融合服务器部署组态软件aveva wsp平台版组态数据库及历史库，中控工控机运行SCADA监控程序，实现对下位机进行访问、远程控制等功能。

关键词：工业以太网；PLC；网络安全

1、引言

随着我国社会经济的快速发展，对水资源的需求量也越来越大。在城市供水中，水厂承担着主要的供水任务，而自控制系统对整个水厂的高效、稳定运行有着重要的意义。基于工业以太网技术的自控系统已成为目前水厂自动化控制系统建设的趋势，其优点也是显而易见的：以太网网自身具有很强的抗干扰能力，能够有效保证生产数据传输的可靠性；传输速度快、延迟小、可靠性高；设备成本低，易于实现冗余，拓展等。基于此网络架构的水厂自动化控制系统的开发与应用能够显著提高水厂的生产效率，降低生产成本，为我国水资源的合理利用做出贡献。

2、厂区自控系统架构

2.1工控系统概述

某水源厂工艺单元主要由取水泵房、送水泵房、加药间、反应沉淀池、排水排泥池、脱泥间、浓缩池组成。考虑到现场仪表及设备较为分散，测量和控制参数多，对控制系统的通信稳定性和可靠性要求较高，因此利用分散控制集中控制的原则，对整个水源厂工艺进行功能划分为多个现场控制站，分别为送水泵房

PLC主站、取水泵房PLC主站、加药间PLC主站、排水排泥池PLC主站、沉淀池

1~6子站，沉淀池桁车1~12子站。

厂区4个主站采用施耐德的 M580 系列PLC，18个子站采用施耐德M340系

列PLC 。现场控制站柜内包括可编程控制器、UPS、24VDC开关电源、电源防浪

涌保护装置、光纤环网交换机、空开、接线端子、继电器等。每个 I/O 机架有

安装好的备用 I/O 点，为实际使用量的 10~20%。

各现场控制站的主要功能如下:

（1）采集水质、液位、流量、压力等工艺参数、电气参数（电流、电压、

电度等）及电气设备运行状态（手自动、运行、故障），对所辖工艺段内的电气

设备（水泵、阀门）按照工艺需求进行自动控制。

（2）下位机PLC及其他数据采集设备，通过工业以太网与上位机系统通信,

上位机系统采集数据并对下位机下发控制指令。

（3）对于独立工艺设备系统如脱泥系统、高压微机保护系统，能够通过通

讯协议modbus 485或者modbus tcp 进行数据采集及远程控制。

2.2、工控网络架构

工控系统主干网络采用基于工业以太网和无线通信技术的环形光纤网络架构，用于连接PLC站、操作员站，网络安全设备等。网络的各站点全部采用支持冗余

环形通讯的工业交换机。光缆采用带有护套的单模4芯光缆，直埋部分采用镀锌

钢管保护。基于此网络架构的通讯网络可实现100Mbps传输的速度，抗干扰能力强，与传统的星形总线网络结构不同，即使网络中出现单点设备或线路故障时，

不影响工控网络正常运行，自控系统仍然能保持正常的数据信息采集和控制指令

发送。另外，通过无线网桥通讯将沉淀池上排泥桁车PLC子站的无线局域网与工

业以太网相连接，构成一个统一的实时控制系统。厂区工控网络出口，连接公司

级水厂VPN专线，为公司级数据分析系统提供数据，实现数据共享，从而实现安全、经济供水。

网络结构如，图1

图1所示。

2．3典型网络设备选型及应用

环形光纤环网交换机采用MOXA品牌EDS-408A-SS-SC二层网管型网络交换机，Moxa专利的Turbo Ring和Turbo Chain技术（自愈时间<20ms），能在250台交

换机运作下，当网络组件或线路发生错误或中断时于20 ms内恢复系统正常运作。具有组网方式灵活、管理方便、可维护性强等优点，可以满足工控网络实时性、

可靠性要求。本网络系统中，环网交换机光口用于连接单模光纤，与环网内其他

交换机组成冗余环形光纤网，6个电口用于连接PLC的网络口及其他接入自控网

络内的现场设备和通讯设备。机房内环网交换机电口上联核心交换机，实现数据

转发。

无线数据通信所选用的设备是TP—LINK系列产品TL-S5-5KM工无线网桥套装，户外立杆安装于沉淀池池面上，共计12套，用于12个沉淀池吸泥桁车PLC

子站与6个沉淀池PLC主站远距离数据通讯。本产品支持802.11ac标准，

867Mbps无线传输速率，速度快、信号不堵塞;支持band1、band4双5G频段，多

信道可选，有效规避干扰，避免数据丢包，保障行车主站与子站间数据传输的稳

定和响应速度。提供20dBm的发射功率，适合户外远距离传输应用，有效传输距

离达5KM。在安装调试时，为发射端和接收设定同一网段不同IP，并且桁车子站PLC也设定该网段不同的IP地址，即利用无线网桥组成一个无线局域网。

机房内配置两台H3C三层交换机，通过万兆光口堆叠作为核心交换机,基于

端口划分VLAN，对网络做逻辑分组，当设备位于不同的 VLAN时将无法进行直接

通信，以避免非必要性的入侵及流量，有效隔离冲突域和广播域，使整个工控网

络具有更好的通讯效率，提高网络整体安全性。根据实际使用需求，核心交换机

划分三个VLAN，分别为VLAN 1 自控网段，VLAN 10 公司VPN网段，VLAN 40 视

频监控网段，通过交换机设置ACL，实现不同VLAN间特定IP设备间数据互通，

既避免视频流与自控数据流相互干扰，又能保证上层管理分析平台对工控及视频

数据的采集。

3、工控网络安全部署

近些年工控网络安全事件频发，工控安全愈发受到关注，本网络系统架构充

分考虑了水司厂级VPN网络间的数据互联边界安全性以及水源厂内部对工控设备

的安全防护，通过软硬件的协同配置，使得整个工控系统具备等保2.0二级信息

安全防护能力，达到能够抵御一般网络攻击，防护恶意代码的能力等，保证自动

化控制系统的高效、安全、稳定运行。

3.1边界防护

在环形工控网到各PLC站部署工业防火墙，支持对常用工控协议如Modbus TCP、Ethernet/IP等进行深度解析，并进行指令级访问控制，支持多种网络攻击

防护，避免一个系统或区域里工控安全事件扩散到别的系统或区域中。工程师站、操作员站与 PLC 通信时，有效防止工控网络内的恶意程序和可执行代码等利用PLC 漏洞，修改 PLC 运行参数，导致的设备损坏和工控安全事件。

在工控网络出口部署山石网科下一代防火墙，采用透明部署模式，连接电信VPN设备及核心交换机，根据实际需求设置防火墙安全策略，阻隔公司级VPN内

网内存在的非授信访问，通过定期升级病毒库，有效防范内网中病毒的扩散，保

护工控网络的安全运行。