1　目标和概述

当今企业随着规模的不断扩大，其运营采用总分架构或者在偏远地区设置无人值守自动化基站工厂越发常见，企业面临着诸多挑战。在方便、跨界、安全、可靠地采集、传输来自工业现场的大量异构实时、历史数据的同时，还需要充分考虑通讯网络的复杂性、不稳定性。如何实现分厂的数据有效传输与互联互通、无人值守站设备远程运维与故障诊断，成为企业亟需解决的难题。

建设智能工厂，需充分应用工业互联网平台、工业控制与优化软件、工业大数据等技术，“总体规划、分步实施、持续优化”，主要有以下需求：

（1）数据采集

工业数据互联互通是工业物联网发展的关键问题。随着制造业的转型升级，工业物联网的发展全面渗透到了工业制造的各个领域，工业物联网将实现制造领域实体间的全面互联互通，将为制造领域中数据信息的流动提供通道，为制造领域的创新应用模式提供支撑，从而促进工业资源的优化配置，推动企业的高质量发展，提升产业经济附加值。

（2）安全传输

工业云平台以及数据中心涉及到智能设备的接入，这些设备可能存在非法接入、非法控制、连接窃听等问题。攻击者可以利用智能设备对工业云系统进行攻击。工业互联网服务提供商应根据不同的数据类型以及业务部署情况，采用相关技术手段来保证通信过程中的机密性、完整性和有效性，防止数据在网络传输过程中被窃取或篡改，并保证合法用户对信息和资源的有效使用。

（3）远程诊断

随着工业自动化技术的发展，国内越来越多的工业企业采用了DCS作为生产过程控制系统。一方面需要定期了解控制系统的监控状况和诊断报告，另一方面，当DCS系统出现故障时，用户需要DCS维护人员的技术支持，特别是供应商的支持。如果企业用户的DCS在需要时能够立即与技术维护人员取得一对一的直接连接，由DCS供应商的系统技术专家对系统进行远程诊断和维护。这对于及时排除系统故障和隐患，节省系统维护费用，保证系统长期稳定、可靠地运行具有重要意义。

（4）云化应用

随着工业4.0推进，企业信息化、数据化已成大势，这个过程需要收集、分析海量数据，使用云服务对数据进行存储使用是最佳的解决方案。工业数据上云之后可以凭借IT和OT的有效融合，充分发挥云平台优势，借助最新数据分析技术和智能预测等手段，为工业客户提供基于人工智能的解决方案，在降低能耗、提升效率、减少成本、提高产值方面助力，引领工业4.0。

中控技术推出的控制系统云平台一体化监控诊断解决方案，依托灵活的工业云平台新技术，通过本质安全的中控技术物联网网关采集现场数据，同时提供云平台专业应用服务开发，让用户轻松实现云端SCADA系统诊断和生产监控。同时适配最新IT技术，提供多终端实时查看诊断数据和生产数据的方式，增加了用户的便利性、透明度。

2　解决方案介绍

控制系统云平台一体化监控诊断解决方案采用中控技术自主开发的软硬件体系，特别是自主物联网网关内置防火墙功能，能够保证数据在复杂网络环境中传输的安全性。解决方案采用微服务架构，有助于将复杂应用解耦为小而专的服务，具有极强的横向扩展能力，方便用户后期扩容改造。同时系统开发采用标准Docker容器化应用引擎，可无缝对接多家知名云平台服务商，降低用户数据平台迁移的成本。产品体系目前采用灵活多变的授权模式，可根据用户实际业务需求提供专用服务定制开发，或者提供云平台一体化托管交付。

控制系统云平台一体化监控诊断解决方案系统架构图如图1所示。

图1 控制系统云平台一体化监控诊断解决方案系统架构

在实际应用过程中，中控技术物联网网关部署在项目现场，负责采集现场各种控制系统的实时数据，通过MQTT等物联网协议传送到通用云平台。在云平台上面运行中控技术开发定制的各种微服务应用，将现场数据分类存储在实时数据库、历史数据库以及诊断数据库等，然后通过标准接口供其他服务调用数据。例如当用户调控中心通过云平台实时观察到某个设备处于危险运行状态时，可以通过远程下达调度指令，经现场确认后，执行关闭阀门等安全措施解除现场报警，使系统始终处于平稳运行状态。

控制系统云平台一体化监控诊断解决方案主要由以下四部分组成：

（1）中控云服务安全智能终端

中控云服务安全智能终端是实现中控云诊断、云监控服务的基础硬件设施。该网关作为工业控制系统与互联网的接口，具备增强的网络安全特性，自主嵌入式微内核操作系统，内置防火墙功能，支持基于自主研发深度通讯包检测的访问控制技术，用于远程设备数据的采集和接入云平台，是一款高度集成数据采集、4G/5G接入、远程诊断维护、防火墙和VPN功能、易扩展的工业级多端口业务网关。

中控云服务安全智能终端采集现场各种工业异构数据，转换成物联网协议，通过有线、无线等多种途径发送给远端的SCADA展示平台，既可以实现传统的集中式监控，也可以部署在云端等工业云平台。在该方案中智能终端的主要功能是：数据采集、协议转换、安全传输。

（2）云运维服务

如果现场出现控制系统故障，中控云运维服务（VxCloud-RDMS）也可以及时识别由现场终端向智能诊断平台发送的远程诊断和维护请求，并在智能诊断平台内部迅速完成安全远程维护诊断通道的建立。基于安全远程维护诊断通道，中控技术的支持专家、支持工程师可协同用户工作人员一起观察操作站屏幕，实施监控、主控卡和模块（通道）诊断、数据分析等工作。最终反馈给用户专业的故障解决建议、运行数据分析报告/报表，及时发现/消除故障点，避免发生重大损失和事故。云运维结构如图2所示。

图2 云运维结构示意图

（3）云监控服务

对于通过物联网网关采集来的实时数据，可以通过中控云监控服务（VxCloud-SCADA）在云平台上定制开发数据存储、流程展示、数据报警、趋势查询、报表管理等基础功能微服务，实现云端数据的实时展示。

图3是目前针对云监控应用可提供的服务模块。

图3 云监控应用可提供的服务模块

（4）云诊断服务

对于通过物联网网关采集来的系统诊断数据，可以通过中控云诊断服务（VxCloud-DIAG）在远端实时掌握控制系统运行情况。针对控制系统控制器/主控卡、网关/数据转发卡等通讯卡、I/O卡件、SCNET网络、计算机进程分析与病毒感染、监控软件运行等提供诊断信息，中控云诊断服务会为用户提供月度/季度系统运行报告和诊断报告，同时提供系统运行效率改进建议，对系统整体状况提供预测性维护指导。

云诊断效果示意图如图4所示。

图4 云诊断效果示意图

控制系统云平台一体化监控诊断解决方案通过以下技术手段保证通信的机密性、完整性，防止数据在网络传输过程中被窃取或篡改，并保证合法用户对信息和资源的有效使用。

（1）网关内置防火墙，支持对云端交互命令进行深度解析，支持ModBus协议和采集软件协议深度解析，一旦发现非法命令和数据时将拒绝通讯，从而保证系统安全性。

（2）网关支持如TLS、IPSec VPN等不同的加密技术来保证安全性，提供一系列数据加密、身份验证、数据完整性校验机制，保证通信数据的机密性。

• TLS能为两个通信应用程序提供数据加密、身份验证、数据完整性校验，同时网关模块又在数据机密和身份验证上做了进一步优化，比如每个网关模块签发唯一证书，采用客户端/服务器双向认证机制，限制非法设备接入或者接入非法第三方服务器；同时配合证书安全管理机制，防止在极端情况下证书泄露造成的数据外泄。

• 云网关和云平台可以通过4G或宽带的方式建立VPN通道。基于IPSec VPN协议，通过包封装技术利用路由地址封装内部网络的IP地址，实现异地网络的互通虚拟专用网络。

（3）VxCloud云应用系统的嵌入式实时操作系统具备低复杂度、高安全性、高稳定性、高鲁棒性的特点。在数据传输方面，系统默认只支持单方向数据传输，即采集软件通过云网关主动向云平台传输数据，不支持反向操作。在保证全部功能的同时，不主动开放服务端口，增加系统安全性。

3　代表性及推广价值

3.1　船舶生产制造案例

某大型船舶生产制造企业，有多艘船舶位于近海区域实施机电安装工程，此类工程装备船舶系统复杂，一旦在远离陆地的海洋施工现场中出现故障，将导致工程中断，影响施工进度，严重时可能威胁船舶设备及人员安全。同时结合工业物联网发展趋势，用户正在实施某品牌的云平台部署计划，因此需要将现场生产数据上传到用户云平台，实现基于云平台的远程监控。

目前中控技术与用户一起现场实施该项目的系统数据上云服务，已经基本实现了用户对于数据的集中监控需求，系统网络拓扑图如图5所示。

图5 系统网络拓扑图

现场数据采集服务器通过数据缓存技术，可以实现数据的断线续传功能，在网络重新恢复后，可以实现数据的重新上传，补齐中断期间数据的缺口。

断线续传查询如图6所示。

图6 断线续传查询结果

在调控中心部署中控云监控服务（VxCloudSCADA），用来接收不同船体发来的实时数据，实现数据接入和存储功能。同时实现数据显示、设备控制和操作、动态流程图、报警、趋势、事件、报表等功能。还可以开发定制故障诊断和维护指导知识库，对于常发故障提供原因分析和操作指导。系统首页如图7所示。

图7 系统首页界面

系统流程图如图8所示。

图8 系统流程图

中控技术额外为用户提供了一套远程运维服务VxCloud-RDMS，通过卫星信号连接到陆地的总部，总部技术人员可以进行日常的系统巡检和现场问题排查等工作。如图9所示。

图9 VxCloud-RDMS与陆地总部连接页面

基于VxCloud-RDMS远程运维服务，用户可以在紧急的时候连接到海上任何一条船舶的系统操作站上进行远程维护。同时，通过必要的权限控制，用户可以邀请更专业的系统供应商技术专家远程介入，进行现场维护。大型船舶生产制造企业海工智慧装备平台满足了用户对多个远程工程装备系统的集中实时监控，包括工业数据的采集、接入、可视化处理、展示与历史数据的存储，避免了使用第三方远程协助软件带来的不安全性，解决了国内海上船舶作业无法远程实现专家协助的难题，为海上船舶的远程作业带来了可观的经济价值。

3.2　煤化工生产案例

某大型煤化工生产企业，在整个厂区（甚至全国各地分厂）分布着多套中控技术控制系统（ECS-700、ECS-100、G3/G5、TCS-900以及JX-300XP）。如何实时了解控制系统自身的运行状态、准确掌握控制系统动态数据、全方面监控控制系统的运行，是用户在生产管理过程中比较头疼的事情。中控技术控制系统云诊断服务（VxCloud-DIAG）可以为用户提供有效的维修建议，提高排查问题的效率，为以后的工艺改进带来帮助，并在响应效率提高的同时大大减少设备维护成本。项目网络架构如图10所示。

图10 项目网络架构图

中控技术物联网网关通过连接防火墙之后的操作网，对控制器数据进行识别归类，搜集整理重要的诊断、控制器状态以及经过过滤后的系统接入型诊断信息，并通过本地网络（LAN以太网，或是VPN的方式）送至企业内部自建云平台监控服务器诊断和监控。另一方面，通过连接外部互联网4G网络，将数据送至云端，实现大数据记录、存储和处理功能。还可对全年的云端数据进行统计和分析，并给出有针对性的故障预测和故障处理建议。

控制系统可以监控控制站、数据转发卡以及I/O卡件的诊断，通过相应颜色以及对应图例的显示来查看卡件诊断项的情况。如图11所示。

图11 系统监控页面

通过筛选公司以及时间来查询所有系统诊断项的历史诊断情况，可以按区间（月、季度、年）提供控制系统诊断统计年报，根据诊断信息和故障信息实时提供维护建议。如图12所示。

图12 控制系统诊断统计年报

摘自《自动化博览》2020年12月刊