一种专线物理隔离工业数据通讯方法与系统与流程

本发明涉及工业通信技术，更具体地说，涉及一种专线物理隔离工业数据通讯方法，以及一种专线物理隔离工业数据通讯系统。

背景技术：

随着互联网技术向工业领域的不断渗透，工业界对其流程数据上传互联网，建立工业专有云平台的需求越来越迫切。然而目前的现状是，工业企业因数据安全方面的顾虑，很少将现场流程数据上传互联网，最多只是做到将有限的管理数据或环保数据上传互联网。

而产生这一现象的根本原因是，从当前技术层面上来讲，还没有一套完善的工业流程数据互联网案例上网的解决方案。

中国发明专利申请201210553196.8公开的工业控制网络安全防护方法，包括以下步骤：

(1)根据工业控制系统信息安全的技术要求，对工业企业信息系统进行分层处理，所述工业企业信息系统分为三个安全工作层次，即工业控制层、生产执行层和经营管理层，对所述工业控制层的数据交换采取安全防护策略措施；

(2)根据所述工业控制系统的功能特点和控制范围，将所述工业控制层分为多个不同的自动化单元区域并采用防火墙进行区域隔离，实现报文过滤以及访问控制，对工业通信协议进行检查分析，实现对非法通信的实时报警、来源确认、历史记录，保证控制网络的实时诊断；

(3)采用网络隔离模块实现所述工业控制层与所述生产执行层之间的非网络方式的安全的数据交换，并且保证安全隔离模块内外两个处理系统不同时连通，结合防穿透性tcp联接与访问控制技术，阻断所述生产执行层对所述工业控制层的潜在通信途径，从而实现所述工业控制层与所述生产执行层之间的单向隔离；

(4)采用工业安全管理平台模块建立所述工业控制层网络的配置、管理、分析、告警及审计中心，对防火墙及网络隔离装置进行配置和管理，采集网络事件报警信息并存储、检索及划分等级进行报警，对定义在白名单范围内的终端应用允许通信，对工业控制协议的深度分析并捕获网络异常行为，分析潜在风险，准确捕获现场所的病毒、蠕虫及非法入侵，为工业控制系统网络故障的排查、分析及安全审计提供可靠依据。

上述发明的技术方案中，工业控制层与生产执行层之间采用网络隔离模块实现的非网络方式的数据交换，安全隔离模块内外两个处理系统不同时连通，结合防穿透性tcp联接与访问控制技术，阻断所述生产执行层对所述工业控制层的潜在通信途径，从而实现所述工业控制层与所述生产执行层之间的单向隔离。而这种隔离方法实现手段较复杂，而且即使两个处理系统不同时连通，也不能保证攻击数据不在两个处理系统之间传播。只要是接入以太网，则必然存在风险，包括端口扫描、无效访问、网络监听、网络攻击等。

而且，当前工业领域普遍采用层级式(hierarchy)网络拓扑构架，包括：设备层、信息层、控制优化层、管理决策层，如图1所示。这种结构并不是一蹴而就的，而是由整个工控行业和计算机的长期发展历史积淀所形成的标准化结构。尽管层级式构架实现了集散式信息化监测与控制，将原先繁杂、分散的人工管控方式升级为集中式计算机监控、人工决策的模式，但是庞大的层级系统仍面临着构建维护成本高、技术瓶颈高、性能局限、信息孤岛、扩展性差等问题。

传统的中控中心机房层级式构建，需要场地、软/硬件设备、scada/dcs软件系统、专业技术操作人员，这样初期投入与日常维护都需要一笔不小的开支，加之有些企业建设完中控中心后，长期使系统处于空闲状态，并未真正对企业运行起到很好的监管作用，无疑加重了企业的负担。

现有技术成本高体现在：现场控制器(plc/ddc)构建、中控中心构建、软硬件购买、监控软件配置、冗余系统配备、专业技术团队组建、日常操作与维护等；技术瓶颈包括：不同厂家通讯协议独立、控制器计算能力有限、稳定性、可维护性较差；性能局限主要为：层与层之间通讯效率局限、可靠性局限、扩展局限等。

与此同时，层级构架是由微观底层(设备层)将信号逐层上送至宏观顶层(管理决策层)，顶层再将操作指令逐层下发至底层。信号经底层现场设备采集形成后，往顶层上送的每一层级都要进行数据管理和逻辑判断。当硬件设备越来越多，底层工作频率也会越来越高，这就意味着局部控制和逻辑处理也会越来越庞大，顶层汇聚的数据量级也将呈几何倍数增长。层级式构架的庞大与复杂的特点，对于大型企业尚有余力搭建此类系统，但对于中小微企业则往往心有余而力不足。

技术实现要素：

本发明的目的在于克服现有技术的不足，提供一种保证工业数据安全上云，上云架构易搭建、成本低、性能高效、维护便捷的专线物理隔离工业数据通讯方法，以及专线物理隔离工业数据通讯系统。

本发明的技术方案如下：

一种专线物理隔离工业数据通讯方法，数据采集器通过内部互联网与内部信息系统连接，或者通过有线模块或无线模块与现场设备连接，进行数据采集，然后发送至物理隔离器，物理隔离器对数据进行处理后，上传至云平台；数据采集器通过专用数据通道将数据发送至物理隔离器，专用数据通道为非以太网的其他专有介质的数据通道，不支持通用互联网通讯协议；当数据采集器通过无线模块对现场设备进行数据采集，采用特定频段进行数据收发。

作为优选，数据采集器将接收到采用不同通讯协议的数据，转换成统一协议的标准化数据，再将协议转换后的标准化数据进行加密、封装，得到加密报文，然后发送至数据隔离器；数据采集器的通讯属性包括单向传输与双向传输。

作为优选，物理隔离器接收加密报文后，进行数据有效性判断，如果数据有效，则进行二次加密得到标准数据，并上传至云平台；数据只允许通过特定端口与云平台进行通讯。

作为优选，物理隔离器设定了各个通讯节点的回写属性，规定各个通讯节点为单向通讯或双向通讯。

作为优选，经物理隔离器处理的数据通过扁平式工控方法上传至云平台，具体为：设置通信层、云服务层，云平台部署于云服务层，数据采集器采集的数据通过专用数据通道发送至物理隔离器，物理隔离器对数据进行处理后，经通信层上传至云平台。

作为优选，当通信层无法与云服务层进行通信时，将数据采集器采集的数据暂存于通信层，直至通信层与云服务层恢复通信，将暂存数据续发至云服务层。

作为优选，通信层与云服务层间冗余配置有针对用户的私有云与备用公有云，当私有云故障时，切换至备用公有云进行数据处理。

作为优选，设置与通信层连接的本地处置模块，当通信层无法与云服务层进行通信或云服务层无法正常工作时，通过本地处置模块进行数据处理。

一种专线物理隔离工业数据通讯系统，实现所述的专线物理隔离工业数据通讯方法；包括数据采集器、物理隔离器，数据采集器通过内部互联网与内部信息系统连接，或者通过有线模块或无线模块与现场设备连接，物理隔离器与云平台进行数据连接；数据采集器通过专用数据通道将数据发送至物理隔离器，专用数据通道为非以太网的其他专有介质的数据通道，不支持通用互联网通讯协议；当数据采集器通过无线模块对现场设备进行数据采集，采用特定频段进行数据收发。

作为优选，还包括扁平式工控系统，包括通信层、云服务层，通信层部署通信模块，云平台部署于云服务层，通信模块与物理隔离器连接，将数据发送至云服务层，云服务层下发的数据通过通信层返回至内部信息系统或现场设备。

本发明的有益效果如下：

本发明所述的专线物理隔离工业数据通讯方法与系统，数据采集器与物理隔离器相互配合，前者负责通过企业内部互联网intranet或有线、无线通信方式采集企业各节点(包括内部信息系统或现有设备)数据并协议转换为加密报文，后者负责数据二次加密并通过internet互联网向云平台发布标准数据，两者之间通过专用数据通道进行数据交互。

专用数据通道传输的数据经过算法加密处理，以加密报文的形式进行通讯，专用数据通道两端只能通过此种加密报文格式的数据。专有通道通讯采用专有介质，为非以太网，可以直接形成物理隔离，杜绝网络入侵，确保该专线只可传输定制的加密报文信息。

本发明通过扁平式工控方法与系统进行数据上云，对传统的层级构架进行减负，主要仅由通讯层和云服务层两层组成，该架构将数据采集和逻辑控制处理分开，现场不再部署复杂逻辑处理单元(如：plc、ddc等)，所有复杂逻辑处理至于云端，易构建、成本适中、技术瓶颈低、性能高效、维护便捷，让每个企业都有能力建设自己的监测与控制系统，真正实现信息化与智能化在工业领域的普及。

扁平式工控方法与系统将传统中控中心所要构建的内容全部移至云端，云端资源不再产品化，而是资源化，将原先的基于产品销售+项目实施的中控建设转变为基于云资源+服务的移动中控建设，使得用户在成本降低获利的同时，可以降低供应商之间的恶性竞争环境，达到双赢的效果。

用户可对云端资源进行模块化选配，即勾选符合自身需求的功能模块，组建该用户的移动中控系统，从而将原先繁杂的基础构建工作转变为用户直接选用云端资源，并可直接从任意远端pc、手机/pad等便于携带的移动端获取云端服务的构架模式。

模块化+资源服务的移动中控模式，缩短了用户开发、新建、及改造项目的周期，用户选择更加灵活，最终的资源服务也更趋向于为企业量身订制，不存在多余空置的功能，则很大程度地减少了企业实施信息化、智能化建设的技术和资金阻力，尤其适合中小微规模的企业。

本发明的实施，在解决工业云平台建设、工业大数据分析、工业系统整体优化、智能化建设等方面意义重大。

附图说明

图1是现有技术的层级式(hierarchy)网络拓扑构架的示意图；

图2是本发明的系统的原理图；

图3是本发明的方法的流程示意图；

图4是扁平式网络拓扑构架的示意图。

具体实施方式

以下结合附图及实施例对本发明进行进一步的详细说明。

本发明为了解决现有技术存在的工业数据无法安全上云，工控网络存在的建设工期长、成本高等不足，提供一种专线物理隔离工业数据通讯方法，通过专用数据通道将内外网进行物理隔离，并通过扁平式架构进行数据上云，防止内部信息遭受网络攻击，保证数据的绝对安全，而且实施简单，易搭建，成本低。

如图2、图3所示，本发明所述的专线物理隔离工业数据通讯方法，当企业构建有内部信息系统时，数据采集器通过内部互联网与内部信息系统(如scada、dcs、mes、sis等系统)连接，或者在没有将现场设备建设成为内部信息系统时，通过有线模块或无线模块与现场设备连接，进行数据采集，然后通过专用数据通道发送至物理隔离器，物理隔离器对数据进行处理后，上传至云平台。数据采集器通过专用数据通道将数据发送至物理隔离器，专用数据通道为非以太网的其他专有介质的数据通道，不支持通用互联网通讯协议；当数据采集器通过无线模块对现场设备进行数据采集，采用特定频段进行数据收发。

用于实现所述的专线物理隔离工业数据通讯方法，本发明提供一种专线物理隔离工业数据通讯系统，包括数据采集器、物理隔离器，数据采集器通过内部互联网与内部信息系统连接，或者通过有线模块或无线模块与现场设备连接，物理隔离器与云平台进行数据连接；数据采集器通过专用数据通道将数据发送至物理隔离器，专用数据通道为非以太网的其他专有介质的数据通道，不支持通用互联网通讯协议；当数据采集器通过无线模块对现场设备进行数据采集，采用特定频段进行数据收发。

由于不同的内部信息系统、不同的现场设备采用的是通讯协议可能不同，本发明中，数据采集器的作用是实现数据的采集与汇总，并将采集的数据经协议转换加密发送至物理隔离器。数据采集器将接收到采用不同通讯协议标准的数据，换成统一协议的标准化数据，进行数据的汇总与数据库存储，再将协议转换后的标准化数据进行加密、封装，转换成自定义加密(通讯层的加密)协议并封装得到加密报文，然后发送至物理隔离器。

数据采集器的通讯属性包括单向传输与双向传输，可根据实施需求，选择通讯属性。对于高隐私行业，当数据采集器向数据隔离器传输数据时，数据采集器的通讯属性设置为单向传输；能够有效防止从数据隔离器发起的攻击。而对于过程数据隐私要求不严格的行业，则可以设置成双向传输。

物理隔离器通过专用数据通道与数据采集器进行数据交互，交互过程为：物理隔离器接收加密报文后，先解析后校验，即进行数据有效性判断，如果数据无效，则将失败信息回传给数据采集器，如果数据有效，则进行二次加密得到标准数据，并上传至云平台。重复上述传输、解析、校验的过程。同时，物理隔离器对有效数据进行二次加密(网络层加密，可以是des、aes等)，然后与互联网对接，将内部信息系统或现场过程数据直接安全上传至云平台。

本实施例中，所述的方法流程如下：

通讯请求开启，判断是否连接，如果否，则重试，当重试次数到达预设的3次，则结束通讯；如果是，则通讯建立。然后在数据采集器上进行协议转化、加密，并发送至物理隔离器。物理隔离器进行数据有效性判断，如果无效，则返回上一步；如果有效，则对数据进行二次加密。最后可通过设置的按键进行“一键上云”，发送至云平台。

数据采集器与物理隔离器间的数据通讯协议不限于某种特定协议，而是定制加密通讯协议。所述的定制加密协议即自定义通讯层的加密协议，对串口通讯进行编码封装。

物理隔离器对有效数据进行二次加密时，设备防火墙，只允许通过特定端口与云平台进行数据通讯。所述的特定端口体现在网址上，如：http://10.10.1.2:10002，其中，10002就是端口号。

实施时，数据采集器与物理隔离器可以是但不限于：专有服务器、工控机、服务器、plc板卡或专有嵌入式计算机系统。

数据采集器装载协议转换模块，通过协议转换模块进行通讯协议转换。协议转换模块可视为一个协议转换库，它可以将内部信息系统或现场设备所支持通讯协议，如opc、modbus、udp、bacnet、ccn等转化为某种加密报文(所述的转化是通过软件代码转换，转化就是通过各个协议的连接，读取到数据，然后封装)；并将该加密报文通过专用数据通道向物理隔离器传输。同时，协议转换模块是完全开放的，提供二次开发标准接口以便于该协议库的不断扩展。

物理隔离器装载数据发布模块，负责接收由数据采集器发送来的加密报文，并进行解码，然后以标准通讯协议的形式向云平台发送，实现数据上云与数据汇集。为提高物理隔离器的通用性，数据发布模块以标准协议发布数据，候选标准协议推荐为tcp/ip。而且，在数据发布端，用户可以自由设定了各个通讯节点的回写属性，规定各个通讯节点为单向通讯或双向通讯。所述的回写属性是指通讯模式，为单向通讯或双向通讯；单向通讯代表数据只能读不能回写，双向通讯代表数据既能读也能回写。

专用数据通道为非以太网的其他专有介质的数据通道。为了实现数据的绝对安全，数据采集器与物理隔离器间的链接将选用专有通讯介质，如rs232/485或专有rf(射频)无线通道，由于这些通讯介质不支持所有网络通信协议(tcp/tp，udp，telnet，ftp等)，通讯介质不限，非以太网即可。因此，不存在进行端口扫描、无效访问、网络监听、网络攻击等现象，从物理层面实现了现场数据有效隔离，从源头避免网络攻击，确保工业数据上云的绝对安全。

本发明提供一种扁平式工控方法，经物理隔离器处理的数据通过扁平式工控方法上传至云平台，具体为：设置通信层、云服务层，云平台部署于云服务层，数据采集器采集的数据通过专用数据通道发送至物理隔离器，物理隔离器对数据进行处理后，经通信层上传至云平台。云平台设置不同功能的模块化组件，云平台根据请求，通过请求指定的模块化组件进行数据处理，将处理结果返回内部信息系统或现场设备。如图4所示，主要仅由通讯层和云服务层两层组成，现场设备采集的数据无需通过plc、ddc等数据采集逻辑控制模块上送至scada，同时现场不布置任何scada等监控软件和配套硬件设备，不需要搭建现场中控机房等成本投入较高的控制系统设施。而是物理隔离器发布的标准数据直接由通信层不经任何处理直接上传至云服务层，并根据用户需求，协同云服务层各功能的模块化组件执行数据的远端管理、控制、挖掘、分析等。

对应扁平式工控方法，本发明提供一种扁平式工控系统，包括通信层、云服务层，通信层部署通信模块，云平台部署于云服务层，通信层与物理隔离器连接，将物理隔离器发布的标准数据发送至云服务层，云服务层下发的数据通过通信层返回内部信息系统或现场设备。本实施例中，通信模块包括无线收发模块、中继模块、智能io模块。

本发明中，用户定制云服务层中的若干模块化组件，形成针对用户的移动中控系统；通过远端设备与移动中控系统进行交互。移动中控系统将现有技术的plc/ddc等逻辑控制模块、scada等监控软件、以及各种后台数据挖掘/分析软件全部布置在云服务层，形成云端资源，用户可通过远端计算机或移动端进行资源使用。

若企业oa(办公自动化)系统、erp(企业资源规划)系统、crm(客户关系管理)系统等第三方系统想要整合内部信息系统或现场设备的数据，第三方系统通过云服务层开放的接口获取内部信息系统或现场设备采集的数据，即云平台设置开放的接口，第三方系统通过开放的接口获取内部信息系统或现场设备采集的数据。

本实施例中，移动中控系统可完成apc(advancedprocesscontrol，先进过程控制)云端在线优化控制调节、hmi在线组态、远程预警与故障诊断以及其它ems和erp等功能，如：在线员工排班、值班、交接班、调度、维护、访客记录，从而提高工作效率。对应的，云平台上设置不同功能的模块化组件，包括apc模块、在线组态模块、性能分析模块、hmi布置模块、数据存储模块、数据查询模块、远程预警模块。

工业企业中，大部分企业只是做到了信息化改造，并没有将智能化工业建设落到实处。从某种意义上来讲，这是一个只监不控的过程。apc优化控制为结合高端辨识、apc控制优化算法，实现系统控制优化。采用apc技术代替人工为用户控制系统进行跟踪优化，并将调节参数通过云端及时反馈到企业现场，这使得企业的设备和控制系统可以工作在性能最优、能耗最低的状态，这样的智能化操作流程不仅减少繁琐的人工操作和调整，还降低了对技术人员理论背景的要求。

本发明中，云服务层中设置apc模块，通过apc控制优化算法，实现设备优化，并将调节参数通过通信层下发至内部信息系统或现场设备，对内部信息系统或现场设备进行控制。

本发明的移动中控系统不仅能够实现数据采集、实时监控的功能，还能通过数据分析，诊断出监测对象碳排放和能耗是否合理，减排的空间有多少，设备的使用寿命长短等，并提供具体节能减排的解决方案，提高企业的生产质量和生产效率。

本发明中，云服务层中设置性能分析模块，根据内部信息系统或现场设备的输入/输出信号数据进行时域/频域分析，产生对应的频率响应曲线、累计能量谱，反映内部信息系统或现场设备的性能。具体地，用户通过自由选择所采集的具体某一设备的输入/输出信号数据，对目标系统进行时域/频域分析，产生对应的频率响应曲线、累计能量谱等能够反映系统性能的信息。特别是根据频域分析结果，用户可以一目了然的发现系统是否存在降耗/减排空间、设备的能耗指标kpi值变化趋势、设备使用寿命长短等。性能分析模块可让用户对自己的系统做到心中有数，及时调整替换过劳设备，优化生产流程，提高生产效率和产品质量。

通过hmi人机界面，对内部信息系统或现场设备采集的数据进行远程管理和挖掘分析，及时调整生产过程中的控制策略，对故障信息进行预警。当对故障信息的预警达到预设的等级，向预留的联系方式发送报警信息。同时，通信层采取应急保护措施，当安全预警被激活，设备端将立刻执行安全指令，保证工业现场在次优状态下正常持续运行。

本实施例中，整合了智能安全管控系统和智能风险预警系统，用户可以通过hmi人机界面，对内部信息系统或现场采集的数据远程管理和挖掘分析，及时调整生产过程中的控制策略，并提早预警工业生产过程中关键的故障信息，确保各工业企业的生产安全，高效运行。同时，平台为用户提供短信提醒功能，用户将操作人员联系方式预留在平台中，当发生故障报警达到设定要求后，用户即可收到报警短信，以保证最及时的故障检修。

本发明中，通信层与云服务层之间可通过无线或有线介质进行信号的收取、发送，并设置有安全处置机制，提高数据上云安全，通过软硬件两个方向实现。

数据若经无线通讯，则通过动态特定的频段进行射频传输，一来独立的频段可以抵抗其它频段信号的干扰，二来动态特定的频段可以防止对信号进行解析，增加信号的保密性。

数据若经有线通讯，则通过工业级总线通讯，包括485以及其它现场总线协议的通讯。相较于以太网ethernet/英特网internet，工业级总线通讯可有效地预防外来攻击，使信号传输更加安全。

传输的数据进行报文加密，加密后形成一种通讯协议标准进行传输，可与其他通讯协议进行区分，确保数据交互的安全性和保密性。

为了方便监控，需要将分散的实时现场状况集中真实反映至中控的监控画面上，这称之为组态。通常企业都会在购买工控组态/scada软件进行配置操作的时候，组建监控画面，完成现场点关联，实现现场与软件间的通讯。一旦进入监控模式，则不可以对监控画面进行增、删、改操作，除非停止监控，重新进行配置才可操作。本发明则可实现在线组态，包括：在线监控组态、在线功能模块组态。即在不中断正常监控的情况下，实现监控组态与功能模块组态；接收云服务层下发现场设备及模块化组件的组态的数据流，并在监控界面上进行展示，各个现场设备或一个现场设备的模块化组件的组态相互独立，进而可以在监控界面上进行现场设备组态、点关联，包括监控的现场设备的增加、删除、修改；或者针对现场设备进行功能化组件定制，然后进行监控组态。

具体的，监控组态是指在不中断正常监控的同时，直接在监控界面上进行现场设备组态、点关联等操作，在线实现监控设备的增、删、改等操作，很大程度提高了工作效率，易被用户接受。

在线功能模块组态是指云服务层中的云端资源采用模块化操作，当通用的模块化组件不能满足用户当前需求时，用户可在云平台正常工作时，随意定制、选择搭配需要功能的模块化组件。同时，云平台提供扩展模块接口，当用户需求定制模块化组件完成封装后，可在线衔接至云平台中，供用户选择使用。

通信层侧重于数据的采集、中继、暂存；不包括控制/优化逻辑处理，但为了保证服务与通信的连续进行，通信层还设置了硬件冗余/通信网络冗余。

为了保证数据在任何情况下的完整上传，本发明中，通信层设置有暂存功能，当通信层无法与云服务层进行通信时，如当网络中断或应急情况发生，将现场设备采集的数据暂存于通信层，直至通信层与云服务层实现通信，暂存的数据将续发至云服务层。并且还设置与通信模块连接的本地处置模块，当通信层无法与云服务层进行通信或云服务层无法正常工作时，通过本地处置模块进行数据处理。

云服务层冗余配置由针对用户的私有云和备用公有云，当私有云平台数据处理/存储出现故障(台风天气、局部断电等)中断传输时，备用公有云可暂时接管数据，切换至备用公有云进行数据处理，保证数据的连续性。

上述实施例仅是用来说明本发明，而并非用作对本发明的限定。只要是依据本发明的技术实质，对上述实施例进行变化、变型等都将落在本发明的权利要求的范围内。