ABSTRACT
　　 The requirement of remote monitor functions of the pump station based on Internet is described. The architecture of remote monitor system of pump station which use OPC interface to connect WebAccess and JX300 DCS is introduced . The security methods used in the remote monitor system are present briefly.
　Key Words: pump station ,Internet, WebAccess, remote supervision，network security
　摘 要
　　闡述了基于Internet泵站遠(yuǎn)程監(jiān)控系統(tǒng)的功能要求，給出了利用OPC接口連接WebAccess組態(tài)監(jiān)控軟件和JX300 DCS實現(xiàn)的泵站遠(yuǎn)程監(jiān)控系統(tǒng)的體系結(jié)構(gòu)，簡單描述了系統(tǒng)采用的安全措施。
　關(guān)鍵詞：泵站，Internet，WebAccess，遠(yuǎn)程監(jiān)控，網(wǎng)絡(luò)安全。
　1.概述
　　江蘇省泰州引江河高港樞紐工程位于泰州市高港區(qū)口岸鎮(zhèn)西北約3km處，距長江2km，是實現(xiàn)泰州引江河工程引、排、航目標(biāo)的控制建筑物。高港樞紐閘站工程包括泵站、節(jié)制閘、調(diào)度閘、送水閘四座水工建筑物及110KV專用變電所等管理設(shè)施。工程采用閘站結(jié)合布置，抽水站裝機(jī)總?cè)萘?8000KW，9臺套，立式開敞式軸流泵，配10KV高壓同步電機(jī)，雙向式流道，抽排結(jié)合，底層流道，結(jié)合自流引江；節(jié)制閘5孔，總凈寬50m，配弧形閘門；調(diào)度閘4孔，總凈寬20m，配上下扉平板閘門；送水閘3孔，總凈寬16.5m，配平板直升閘門；110KV戶外變電所設(shè)110KV/10KV主變壹臺，另一回路10KV線路供10/0.4KV所變。
現(xiàn)有的高港樞紐計算機(jī)監(jiān)控系統(tǒng)是集監(jiān)督測量、控制、信號、管理等于一體的計算機(jī)系統(tǒng)，能夠?qū)ψ冸娝?、機(jī)組及其相應(yīng)的水工建筑物進(jìn)行數(shù)據(jù)采集、控制和管理。系統(tǒng)采用浙大中控的JX-300集散控制系統(tǒng)，圖1為泵站集散控制系統(tǒng)結(jié)構(gòu)框圖，八臺采集控制站分布在泵站現(xiàn)場，5臺顯示操作站安裝在控制室內(nèi)，取消常規(guī)顯示儀表和報警光字牌。監(jiān)控系統(tǒng)主干網(wǎng)為兩段相連的粗纜冗余總線網(wǎng)，各個采集控制站和控制室內(nèi)的操作站組成一個以太網(wǎng)絡(luò)結(jié)構(gòu)，通過TCP/IP協(xié)議實現(xiàn)網(wǎng)絡(luò)通信。
　2.泵站遠(yuǎn)程監(jiān)控系統(tǒng)功能需求
　　泵站遠(yuǎn)程監(jiān)控系統(tǒng)要求通過Internet網(wǎng)絡(luò)能夠遠(yuǎn)程對泵站、節(jié)制閘、調(diào)度閘、送水閘進(jìn)行運(yùn)行調(diào)節(jié)、控制，主要功能包括：泵站電氣主接線的監(jiān)視、1-9#機(jī)組的運(yùn)行監(jiān)視和控制、泵站節(jié)制閘的運(yùn)行調(diào)度和控制、1-9#機(jī)組下層流道引流調(diào)度及控制、調(diào)度閘和送水閘的運(yùn)行控制、泵站輔機(jī)設(shè)備的運(yùn)行控制、泵站運(yùn)行數(shù)據(jù)和歷史數(shù)據(jù)的瀏覽和查詢等。如泵站電氣主接線的監(jiān)視畫面能夠顯示變電所各個刀閘、開關(guān)的實時運(yùn)行狀態(tài)，顯示主變高低壓側(cè)三相電流、三相電壓、有功功率、無功功率、頻率主變油溫以及所變AB、BC線電壓、三相電流、所變油溫，具有遠(yuǎn)程分合閘的操作提示和狀態(tài)指示，并能方便切換到各臺機(jī)組的運(yùn)行監(jiān)控畫面。在機(jī)組的運(yùn)行監(jiān)控畫面上顯示機(jī)組的運(yùn)行工況、流量、葉片角度、三相電流、三相電壓、勵磁電流、勵磁電壓、有功功率、無功功率、主機(jī)轉(zhuǎn)速、上下導(dǎo)溫度、推力溫度、定子溫度、上下油缸溫度、上下游共四個閘門高度等，并具有遠(yuǎn)程機(jī)組啟停所需的條件控制。圖2為泵站機(jī)組運(yùn)行監(jiān)控畫面。
　3.遠(yuǎn)程監(jiān)控系統(tǒng)體系結(jié)構(gòu)
　　選用了美國柏元網(wǎng)控的WebAccess網(wǎng)絡(luò)組態(tài)監(jiān)控軟件，在已有的基于DCS的泵站監(jiān)控系統(tǒng)基礎(chǔ)上，實現(xiàn)了基于Internet泵站的遠(yuǎn)程監(jiān)控系統(tǒng)。
　　WebAccess是一個完全基于網(wǎng)絡(luò)環(huán)境開發(fā)的組態(tài)和監(jiān)控軟件，它提供通過網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程組態(tài)、監(jiān)控的功能，系統(tǒng)管理人員通過Internet可以在線對監(jiān)控系統(tǒng)的測控點定義、流程圖制作、控制程序編寫、以及完成系統(tǒng)的其他維護(hù)管理工作，這些組態(tài)、管理信息可以方便地下載到監(jiān)控節(jié)點上去。
由于泰州引江河高港泵站已經(jīng)采用DCS實現(xiàn)了泵站測控管一體化，為了在此基礎(chǔ)上實現(xiàn)對泵站的遠(yuǎn)程監(jiān)控和管理，我們利用了浙大中控的DCS OPC服務(wù)器JX OPC Server實現(xiàn)WebAccess和JX-300 DCS通信，連接方便，通信效率高。圖2為泵站網(wǎng)絡(luò)監(jiān)控系統(tǒng)體系結(jié)構(gòu)圖。圖中WebAccess監(jiān)控節(jié)點通過JX OPC Server與DCS通信，實現(xiàn)對現(xiàn)場設(shè)備的測量和控制。WebAccess工程節(jié)點則是進(jìn)行系統(tǒng)定義和管理的Web站點，它可以對多個監(jiān)控節(jié)點進(jìn)行管理，對監(jiān)控節(jié)點的組態(tài)監(jiān)控信息可以通過網(wǎng)絡(luò)下載到WebAccess監(jiān)控節(jié)點，WebAccess客戶端是普通的Web瀏覽器，數(shù)量無限，客戶端遠(yuǎn)程登錄到WebAccess工程節(jié)點后，就可以被導(dǎo)向到需要的監(jiān)控節(jié)點。并可以在授權(quán)范圍內(nèi)進(jìn)行監(jiān)督和控制，遠(yuǎn)程的操作監(jiān)視畫面和現(xiàn)場監(jiān)控操作畫面一樣。由于客戶端在第一次登錄后，自動將實現(xiàn)遠(yuǎn)程監(jiān)控操作的控件下載到客戶端的計算機(jī)上，在監(jiān)視、操作過程中只傳輸少量變化的實時數(shù)據(jù)，因此系統(tǒng)反應(yīng)速度快，畫面豐富、生動。且已有的Internet安全技術(shù)都可以應(yīng)用在此遠(yuǎn)程監(jiān)控系統(tǒng)上。
　　圖3是遠(yuǎn)程客戶端看到的機(jī)組監(jiān)控操作畫面，遠(yuǎn)程客戶可以和泵站現(xiàn)場一樣觀測機(jī)組的運(yùn)行參數(shù)和狀況，具有遠(yuǎn)程操作權(quán)限的操作人員還可以進(jìn)行開機(jī)、停機(jī)操作，現(xiàn)場監(jiān)控節(jié)點則自動檢測開停機(jī)條件，并作出正確的響應(yīng)。
　4.遠(yuǎn)程監(jiān)控系統(tǒng)安全措施
　　WebAccess 使用者權(quán)限能限制一個使用者能看的畫面和點的數(shù)量，WebAccess 的區(qū)域和等級安全制度限制了一個使用者可以改變的點的數(shù)量。WebAccess 使用者權(quán)限的功能是獨立于Windows 安全體系之外的。完整的Windows安全系統(tǒng)只會讓系統(tǒng)所熟悉的使用者使用你的瀏覽器，使之成為有權(quán)利的使用者或者本地用戶，能提供和一個企業(yè)內(nèi)部互聯(lián)網(wǎng)相似的安全體系。
　WebAccess支持以下web站點安全特性：
　?。?）匿名訪問。最低安全性，通常應(yīng)用于具有大量用戶場合。
　?。?）集成Windows驗證。連接到Web 服務(wù)器(工程節(jié)點)時需要用戶名和密碼。集成Windows驗證安全性能比匿名訪問高。如果沒有被Windows NT安全通過驗證，集成Windows驗證將要求用戶依用戶名、密碼和域名登錄，這類似于訪問在公司Intranet上的服務(wù)器或共享文件。如果用戶是可信任域的成員或Web服務(wù)器上注冊的用戶，通過授權(quán)的用戶名和密碼登錄，將不會彈出登錄對話框。如果用戶是不可信任域的成員或Web服務(wù)器上非注冊的用戶，系統(tǒng)將提示依用戶名和密碼登錄。
　?。?）防火墻。防火墻可限制網(wǎng)絡(luò)內(nèi)的數(shù)據(jù)流，常用于限制客戶端與監(jiān)控節(jié)點的通訊，從工程節(jié)點上下載文件到監(jiān)控節(jié)點。如果你系統(tǒng)的連接需要通過防火墻，網(wǎng)絡(luò)管理員要為系統(tǒng)開放2個TCP端口，一個端口用于下載文件，另一個端口用于動態(tài)數(shù)據(jù)交換。在監(jiān)控節(jié)點軟件安裝時，你需設(shè)定這些TCP端口。當(dāng)你在建工程和監(jiān)控節(jié)點時，必須輸入正確的TCP端口，當(dāng)然也可通過“更新”鏈接重新設(shè)定端口號。
　?。?）VPN(虛擬專用網(wǎng)絡(luò))。通過Internet或其它網(wǎng)絡(luò)創(chuàng)建專用網(wǎng)絡(luò)通道。
　　（5）Secure Sockets Layer（SSL）。利用服務(wù)器端數(shù)字證書和客戶端數(shù)字證書，實現(xiàn)客戶端和工程節(jié)點之間的身份認(rèn)證和安全通信。SSL協(xié)議涉及對稱加密、公用密匙加密、身份驗證、數(shù)字簽名和信息摘要等技術(shù)。SSL通過利用數(shù)字證書進(jìn)行數(shù)字簽名的辦法實現(xiàn)通信雙方的身份鑒別以及所做操作的不可抵賴性，通過對稱加密實現(xiàn)信息傳輸?shù)臋C(jī)密性，通過信息摘要技術(shù)實現(xiàn)信息傳輸?shù)耐暾钥刂疲疫@些工作對用戶來說都是透明的。
（6）WebAccess通過將客戶端操作人員分成個體管理員、系統(tǒng)管理員、線上管理員、線上操作員、個體管理員，每個用戶至少指定一個區(qū)域和等級。區(qū)域用于限制修改數(shù)據(jù)的能力，用戶和點都必須分配有區(qū)域和等級，且用戶和點有相同的區(qū)域，用戶的等級大于等于點的等級時用戶才能對這個點的值進(jìn)行修改。
　5 結(jié)束語
　　基于Internet的泵站遠(yuǎn)程監(jiān)控系統(tǒng)可以使得運(yùn)行操作人員通過Internet隨時隨地監(jiān)視泵站的運(yùn)行工況，提高水利工程的運(yùn)行維護(hù)水平，合理配置人力資源，同時對水利工程的運(yùn)行管理模式的改變起著積極的推動作用。它為流域水資源的優(yōu)化調(diào)度、充分合理發(fā)揮水利工程的綜合效益奠定了基礎(chǔ)。系統(tǒng)在Internet技術(shù)平臺基礎(chǔ)上，通過標(biāo)準(zhǔn)化的OPC接口技術(shù)，實現(xiàn)了WebAccess遠(yuǎn)程組態(tài)監(jiān)控軟件和JX-300 DCS的集成，使得系統(tǒng)的開放性高。

（轉(zhuǎn)載）

我要反饋