今日頭條
官方微信
官方抖音
案例頻道 1 無線網(wǎng)絡的架構(gòu)設(shè)備
(1)僅僅考慮現(xiàn)場儀表的無線應用時,依靠無線儀表本身的路由即可實現(xiàn)無線通訊:
組態(tài)具有路由的無線現(xiàn)場儀表——XYR6000無線變送器;
現(xiàn)場設(shè)備無線接入點(FDAP)——構(gòu)建自組織、自愈合的無線主干網(wǎng)絡,僅支持無線變送器(ISA 100.11標準)的無線通訊。
(2)支持多種無線應用時,不僅支持符合ISA100.11 標準的無線現(xiàn)場儀表,還支持802.11無線設(shè)備,支持有線設(shè)備的無線轉(zhuǎn)接:
路由式或非路由式ISA100.11a 無線現(xiàn)場儀表;
可靠的、工業(yè)等級的多功能節(jié)點。
在有線成本過高,或者危險區(qū)域,可采用XYR6000無線現(xiàn)場儀表來采集過程數(shù)據(jù)。符合ISA100.11a工業(yè)無線國際標準,可組態(tài)為路由或非路由。設(shè)置路由功能的無線現(xiàn)場儀表不僅可以無線傳輸自己的數(shù)據(jù),也可以為相鄰的無線現(xiàn)場儀表進行無線路由。
對于上述兩類工業(yè)應用場合的無線網(wǎng)絡架構(gòu),最終通過FDAP或多功能節(jié)點作為網(wǎng)關(guān)同有線控制網(wǎng)絡連接,實現(xiàn)數(shù)據(jù)集成。
FDAP的主要特點:
雙天線結(jié)構(gòu)設(shè)計,確保mesh多路徑通訊環(huán)境時無線數(shù)據(jù)可靠性;
450米的無線通訊距離(相互之間,或同無線現(xiàn)場儀表之間),無線中轉(zhuǎn)、路由;
采用24V DC和 110/230V AC電源;
ATEX 1區(qū)和ATEX 2區(qū) ,可以應用在危險區(qū)域。
多功能節(jié)點:
多功能節(jié)點可以構(gòu)建一個工業(yè)用的、冗余通訊的無線網(wǎng)絡,把過程控制網(wǎng)絡延伸到現(xiàn)場。可以用在工業(yè)危險環(huán)境1類2區(qū)/ATEX 2區(qū),支持符合工業(yè)無線標準的多種過程控制應用的無線設(shè)備。多功能節(jié)點支持同無線變送器的無線通訊,支持同802.11a/b/g無線設(shè)備的無線通訊,如移動操作站、巡檢手持終端、無線攝像機等;也同時支持有線設(shè)備的無線轉(zhuǎn)接。
多功能節(jié)點配置3個無線發(fā)射天線:其中有兩個符合IEC802.11a/b/g標準,另一個用于同XYR6000無線變送器的通訊。主要特點如下:
2個天線支持802.11a/b/g設(shè)備,另一個天線支持無線變送器;
兩個以太網(wǎng)通訊接口可以接入有線設(shè)備,轉(zhuǎn)接有線設(shè)備或同上位系統(tǒng)實現(xiàn)數(shù)據(jù)集成;
使用場合:1類2區(qū) / ATEX 2區(qū);
防護等級IP66;
配置LED狀態(tài)指示燈;
支持紅外功能通訊,設(shè)備安全密碼授權(quán)。
在工廠安裝后,F(xiàn)DAP和多功能節(jié)點,自組織、自愈合,構(gòu)建一個可靠安全的無線主干網(wǎng)絡。配置智能的無線路由功能,F(xiàn)DAP或多功能節(jié)點可動態(tài)優(yōu)化連接到其它FDAP或多功能節(jié)點的最佳路徑,抗干擾,確保無線網(wǎng)絡的可靠性、安全水平,和數(shù)據(jù)處理能力。
2 工業(yè)無線技術(shù)的內(nèi)在冗余設(shè)計
通過內(nèi)在的冗余通訊設(shè)計,提高OneWireless基礎(chǔ)架構(gòu)的可靠性和靈活性。既體現(xiàn)在多功能節(jié)點、FDAP之間形成的智能動態(tài)無線網(wǎng)格,有效保證通向上位控制系統(tǒng)的最優(yōu)數(shù)據(jù)路徑;同時也設(shè)計同上位控制系統(tǒng)數(shù)據(jù)集成的網(wǎng)關(guān)的冗余設(shè)計,可防止關(guān)鍵過程數(shù)據(jù)丟失。工業(yè)無線架構(gòu)內(nèi)置冗余設(shè)計,確保集成到控制的數(shù)據(jù)和信息的可靠性和安全性,可以應用于非關(guān)鍵的過程控制。
3 ISA100工業(yè)無線國際標準介紹
ISA100工業(yè)無線標準在2009年9月被ISA100工業(yè)無線標準委員會批準,成為開放的工業(yè)無線標準。ISA100標準針對用戶需要一個網(wǎng)絡快速、有效的管理多種通訊協(xié)議,而提供多功能網(wǎng)絡解決方案:即一個網(wǎng)絡支持多種通訊協(xié)議、支持多種應用。ISA100系列標準旨在滿足工廠級需求,適用于很多無線應用,如無線變送器(現(xiàn)場儀表)、監(jiān)測和控制、無線視頻、振動監(jiān)測、移動操作、無線巡檢、人員跟蹤等。
ISA100支持用戶為整個工廠部署一個統(tǒng)一的無線架構(gòu)。支持多種協(xié)議的現(xiàn)場設(shè)備的無線通信: 4-20mA;Modbus;Profibus;HART;Foundation Fieldbus;DeviceNet。
這種設(shè)計,能夠為用戶已有的協(xié)議投資和未來的協(xié)議需求提供保障。其網(wǎng)絡和基本設(shè)計可以滿足幾乎所有的無線需求。因而用戶只需要:
采購一個無線架構(gòu);
安裝一個無線架構(gòu);
管理一個無線網(wǎng)絡;
維護一個無線網(wǎng)絡;
實現(xiàn)一種無線網(wǎng)絡統(tǒng)一的安全管理;
實現(xiàn)一種無線網(wǎng)絡支持多種無線應用功能;
綜上,ISA100.11a 標準主要可以給用戶帶來如下好處:
與多種通信協(xié)議之間的互操作性,其中包括HART、Profibus、Foundation 現(xiàn)場總線和Device Net;
可以通過統(tǒng)一的網(wǎng)管支持大量現(xiàn)場設(shè)備,從而實現(xiàn)擴展;
通過客戶系統(tǒng)瀏覽數(shù)據(jù)的延遲時間很短,或者說現(xiàn)場設(shè)備產(chǎn)生數(shù)據(jù)后的響應很快,響應時間只有100ms或者更短;
因為電池壽命很長,所以降低了維護工作量;采用ISA100.11a標準,現(xiàn)場設(shè)備不需要像其它無線協(xié)議中的網(wǎng)格方案那樣進行強制數(shù)據(jù)路由操作。
4 無線網(wǎng)絡的安全設(shè)計和最佳實踐
用戶在工廠全面安裝無線架構(gòu)(包括802.11無線設(shè)備和無線變送器)的過程中,非常關(guān)心無線網(wǎng)絡的安全問題。用戶的操作人員和IT工作人員需要了解在安裝任何無線架構(gòu)時存在的安全威脅。
OneWireless網(wǎng)絡通過如下方式實現(xiàn)工業(yè)等級的安全:
物理授權(quán):多功能節(jié)點、無線變送器必須經(jīng)過不透明的、物理授權(quán),才能夠自動加入到OneWireless?無線構(gòu)架,進行無線通訊;
OneWireless?無線防火墻——專門為希望通過OneWireless?網(wǎng)絡將其過程控制網(wǎng)絡擴展到現(xiàn)場的用戶設(shè)計的一種安全工具;
SSID設(shè)定、MAC地址過濾、VLAN 802.1Q等多重安全管理;
OneWireless安全最佳實踐。
4.1 安全措施:物理授權(quán)
霍尼韋爾設(shè)計了一種高度可靠的紅外安全密鑰管理系統(tǒng)。在無線變送器、多功能節(jié)點或者FDAP加入無線網(wǎng)絡之前,必須通過帶有紅外端口的手持設(shè)備與該設(shè)備傳遞一個安全密鑰。該密鑰是不透明的,以確保安全;所有的無線設(shè)備如多功能節(jié)點、FDAP和現(xiàn)場儀表都有一個允許在設(shè)備上部署密鑰的紅外端口。在將密鑰部署到設(shè)備上之后,它會自動加入網(wǎng)絡。密鑰只需要部署一次。下圖說明了這個過程:
4.2 無線防火墻
無線網(wǎng)絡同有線控制系統(tǒng)的數(shù)據(jù)集成時,采用無線防火墻,以保證網(wǎng)絡安全。無線防火墻專門為霍尼韋爾公司Experion控制系統(tǒng)把控制網(wǎng)絡延伸至無線網(wǎng)絡而設(shè)計的。該無線防火墻可以同時保護Experion有線網(wǎng)絡的安全和無線網(wǎng)絡的安全。
OneWireless防火墻安裝在第2層OneWireless無線系統(tǒng)網(wǎng)關(guān)(WSG)和第2層FTE交換機。無線系統(tǒng)網(wǎng)關(guān)和OneWireless?服務器在第2層連接,以便能夠通過Modbus或霍尼韋爾專有控制數(shù)據(jù)訪問(CDA)協(xié)議從Experion控制器方便地訪問無線I/O設(shè)備。防火墻預先設(shè)定只允許無線I/O數(shù)據(jù)沿雙向流動,同時禁止不必要的第2層信息。OneWireless網(wǎng)絡支持的過程控制OLE(OPC)等其它數(shù)據(jù)類型可以通過在第3.5層相連的多功能節(jié)點(DMZ區(qū))訪問。
無線防火墻是預組態(tài)好的、即插即用,只允許wireless I/O 數(shù)據(jù)雙向通過,而阻隔有線網(wǎng)絡不必要的網(wǎng)絡風暴、可能的病毒和垃圾信息。有效保護Experion 有線網(wǎng)絡和無線網(wǎng)絡,避免通訊中斷或丟失數(shù)據(jù)等情形的發(fā)生;使用環(huán)境-40℃~+70℃,Class I/Div2,Zone 2。
圖2 無線防火墻示意圖
4.3 支持多個SSID設(shè)定 / VLAN 802.1Q 虛擬功能設(shè)定通過設(shè)定
多個SSID,用戶可在每個多功能節(jié)點上創(chuàng)建多個網(wǎng)絡名稱或服務設(shè)置標識符,并可以定制各自的安全和廣播配置。這些SSID服務設(shè)置標識符可以與不同的虛擬局域網(wǎng)相關(guān)聯(lián),從而創(chuàng)建虛擬無線局域網(wǎng)。這種功能可以用來實現(xiàn)不同網(wǎng)絡用戶或應用的邏輯分離,提高了安全性,如下圖所示。同時支持MAC地址過濾,進一步提高安全水平。
圖3 虛擬網(wǎng)線局域網(wǎng)示意圖
4.4 最佳安全實踐
OneWireless工業(yè)無線架構(gòu),支持多種無線應用,包括三個的無線網(wǎng)絡:
無線變送器網(wǎng)絡:即無線變送器配置路由功能時,相互無線通訊;或不配置路由功能時,無線變送器同F(xiàn)DAP和多功能節(jié)點直接無線通訊;
無線主干網(wǎng)格:FDAP或多功能節(jié)點之間的相互無線通訊;
802.11a/b/g網(wǎng)絡:802.11無線設(shè)備同多功能節(jié)點的無線通訊,如無線視頻、移動操作站等。這3個部分都配置安全機制,再加上采用如下最佳安全實踐,借助先進的安全技術(shù)確保OneWireless?網(wǎng)絡的工業(yè)等級的安全水平。
4.4.1 無線變送器網(wǎng)絡的安全實踐
無線變送器和執(zhí)行器加入無線網(wǎng)絡后,默認在安全模式下運行。所有數(shù)據(jù)都會經(jīng)過AES 128位加密,并且有物理授權(quán)、非透明的安全設(shè)置功能。為了保證無線變送器網(wǎng)絡的安全,客戶應該遵守如下規(guī)則:
每次將新的無線變送器添加到無線系統(tǒng)中后,都必須備份關(guān)鍵服務器和目錄服務器數(shù)據(jù)庫。以備關(guān)鍵硬件故障后,備份信息可以用來恢復系統(tǒng)操作。
物理授權(quán)設(shè)備必須保存在安全的場所,并且只能由授權(quán)安裝人員負責保管和使用。
經(jīng)過授權(quán)的無線變送器,如果需要維護返庫,那么其所有密鑰都必須擦除,以防止未經(jīng)授權(quán)的使用行為。
授權(quán)設(shè)備必須有與需要進行預配置的設(shè)備數(shù)量相當?shù)拿荑€。密鑰的到期日必須設(shè)置在合理的時間范圍內(nèi)。
定期檢查密鑰服務器日志,診斷可能的攻擊或設(shè)備可能出現(xiàn)的錯誤行為。
4.4.2 無線主干網(wǎng)絡的安全實踐
無線主干網(wǎng)絡可以在非安全或安全模式下運行。強烈建議啟用安全功能。在啟用此功能之后,通過無線主干網(wǎng)絡發(fā)送的所有消息都會通過128位AES加密算法加密。通過多功能節(jié)點配置工具來配置主干網(wǎng)絡的安全功能,如禁用廣播SSID、MAC地址過濾等。在配置主干網(wǎng)絡的安全功能時,應遵守如下規(guī)則:
使用靜態(tài)AES-CCM算法來啟用主干網(wǎng)絡的安全功能,實現(xiàn)數(shù)據(jù)包加密;
保密為主干網(wǎng)絡設(shè)定的安全密鑰,只允許授權(quán)人員使用;
為防止主干網(wǎng)絡安全密鑰丟失造成無法恢復的情況,支持更換故障多功能節(jié)點或添加新的多功能節(jié)點,應采用多功能節(jié)點配置備份功能。備份的配置包含安全密鑰。
多功能節(jié)點需要物理安全授權(quán);
采用禁用廣播SSID、MAC地址過濾等措施,確保主干網(wǎng)絡的節(jié)點的安全;
4.4.3 802.11a/b/g無線接入點設(shè)備網(wǎng)絡的安全實踐
如果沒有為多功能節(jié)點的802.11a/b/g訪問提供合適的安全機制,那么筆記本電腦、平板電腦、PDA和其它802.11無線設(shè)備的客戶端會存在嚴重的安全風險。在設(shè)置802.11接入點安全功能時,應遵守如下準則:
802.11接入點設(shè)備的安全功能應該設(shè)置到802.11無線設(shè)備所能支持的最高等級 ,如IEEE 802.11i (WPA2),針對最終用戶設(shè)備采用IEEE 802.1x和遠程授權(quán)撥入用戶服務(RADIUS)服務器。RADIUS服務器是微軟為互聯(lián)網(wǎng)授權(quán)服務或IAS而推出的,隨Windows Server 2003免費提供,很容易添加到一個活動目錄域控制器。不要在OneWireless?網(wǎng)絡上使用不支持安全功能的無線設(shè)備;
為了能在網(wǎng)格覆蓋區(qū)域內(nèi)漫游,需要在所有多功能節(jié)點上配置相同的通行密鑰。應為通行密鑰保密,僅允許授權(quán)人員訪問它;
采用禁用廣播SSID、MAC地址過濾確保802.11無線接入點設(shè)備的安全;
5 無線網(wǎng)絡的擴展能力和規(guī)模
OneWireless網(wǎng)絡的設(shè)計具有非常靈活的擴展性——既可以是單一的無線變送器網(wǎng)絡,也可以是支持全廠多種無線應用的、全面的工廠級無線網(wǎng)絡。如果把無線網(wǎng)絡延伸到更大的覆蓋面積、更多的無線應用,或采集更多的過程參數(shù),只需要添加多個多功能節(jié)點、FDAP和無線現(xiàn)場儀表即可擴展整個無線網(wǎng)絡的規(guī)模。
OneWireless網(wǎng)絡的規(guī)模如下:
(1)大規(guī)模多種無線應用時:
最多40個多功能節(jié)點和FDAP構(gòu)建無線主干網(wǎng)絡;每個多功能節(jié)點和FDAP均可同時作為有線和無線網(wǎng)絡之間的無線網(wǎng)關(guān),有線接入DCS;網(wǎng)關(guān)可冗余配置;
一個mesh無線網(wǎng)絡的40個多功能節(jié)點中,可同時作為網(wǎng)關(guān)。每個網(wǎng)關(guān)可帶100臺無線變送器(1秒刷新)。每個多功能節(jié)點都可以帶20臺變送器(1s刷新)或80臺(大于1s);
該無線網(wǎng)絡同時支持多種無線應用,如移動操作站、無線視頻、振動檢測等。
(2)小規(guī)模、僅僅是無線變送器的應用時:
無線變送器組態(tài)為帶路由功能,無線通訊通過通訊速度較慢的無線變送器本身的路由來實現(xiàn),自組織、自愈合。滿足非確定性應用的要求,如時間滯后允許大于1秒 ;變送器刷新速度允許大于30秒。
摘自《自動化博覽》2010年第十一期
北京市公安局海淀分局備案號:11010802023656號