|
|
|
|
污水处理厂组态软件的Web发布和安全性设置 |
|
|
|
污水处理厂组态软件的Web发布和安全性设置
摘要:随着A/O池、SBR等污水处理工艺的持续改进和优化,其自动化程度也逐年提高,自控系统中上位机监控组态软件的使用也越来越普及。各种组态软件的功能也相应地日趋完善,其Web发布模块为远程实时观察动态的工艺流程提供了可能。如何配置组态软件的Web发布功能,以保证在公网上传输的安全性,并对所发布组态动画、报表、曲线等实现访问权限的控制,本文通过一个应用实例做出了回答。
关键词:组态软件,Web发布
1 工程概况
秦皇岛市昌黎县污水处理厂处理规模为40000吨/日,工程总投资约1.4亿元,其中包括约60km的市政配套管网。处理方式采用SBR法中的CASS法工艺,为保证污水处理过程的安全可靠和生产的连续性,并适应SBR工艺的需要,采用了德国SIEMENS公司的S7-400H系列PLC为主的集中和分散相结合的计算机控制系统,实现对全厂工艺参数、电气参数和设备运行状态进行监测、控制、连锁和报警以及报表打印的功能。通过使用在主站和远程站间的一系列通讯链,完成污水厂整个工艺流程所必需的数据采集,数据通讯,顺序控制,时间控制,回路调节及上位监视和管理。
整个系统由1个中心控制室、1个现场PLC控制主站及4条Profibus-DP远程I/O链路组成。具体是:DP(1),DP(2),DP(3),本地DP链路。现场控制站对污水处理厂各过程进行分散控制,再由中心控制室对全厂实行集中管理。现场控制主站与中心控制室之间由工业以太网进行数据通信,传输介质采用光纤,总线型网络拓扑结构,100Mbps传输速率;现场PLC主站与4条Profibus-DP远程I/O链路之间通过环形Profibus-DP进行数据通讯,介质同样使用光纤,传输速率为9.6k~12Mbps(自调整)。
工艺流程简图
原污水
出 水
2 组态软件设计
与A/O池工艺相比,SBR工艺自动化程度高,相应地PLC逻辑控制关系和上位机组态软件编程也比A/O池工艺复杂。
整套污水处理流程设多个监控点,包括液位、PH值、溶氧、浊度、泵运行状态等。
各模拟量参数通过相应的变送器输出4~20mA的标准信号,通过屏蔽电缆接至PLC的AI模块。各模拟量输出控制信号是以4~20mA的标准信号,从PLC的AO模块通过屏蔽电缆接至相应设备。这些设备包括变频器、启闭阀门。数字输入信号为24V直流电信号,通过电缆接至PLC的DI模块。数字输出控制信号为24V直流电信号,从PLC的DO模块通过电缆接至现场设备。每台现场设备原则在其相应现地箱上输出有三个状态信号:故障、运行/停止、手动/自动;和一个启动信号。为了使现场与PLC完全隔离,PLC所有数字量模块与现地箱中间必须加辅助继电器。所有输出信号(包括模拟量和数字量)由PLC内部程序或上位机指令控制。
PLC编程软件采用西门子的Step 7中文版5.0,上位机组态软件采用三维力控的PCAuto5.0。监控层使用双机热备冗余方式,在两台工控机上并行安装两套PCAuto5.0无限点运行版。
整套系统含多幅实时监控画面,包括总工艺流程图、粗格栅间、进水泵房、细格栅和旋流沉砂池、1#SBR池、2#SBR池、接触池、加氯间、贮泥池、脱水机房等。通过指示灯表明设备运行状态。在电机运行方式为手动时,用鼠标点击画面下排电机启动按钮可远程启动现场设备。传感器的瞬时值依据实际安装位置被分别标注到不同的分布工艺流程图中,其实时数据和历史数据被做成相应分布图的子画面,可在分布工艺流程图中直接点击按钮进入。整个软件界面呈树状排列,查阅、操作简便。监控网络拓扑图如下
3 组态软件的WEB发布和安全性设置
由于昌黎污水处理厂属于BOT项目,除了现场的运营管理人员外,投资方的技术人员也希望能经常了解污水厂的实际运行情况,而且在一些会议上直观地引用组态画面,通过投影仪播放,能收到很好的效果。这就要求在数百甚至数千公里外的地方能和现场中控室同步看到相同的组态画面、历史曲线和统计报表。因此,在创建数据库、配置I/O设备、构建组态动画等常规步骤之外,还需增加Web服务器软硬件的设置。
昌黎污水处理厂的Web发布服务器使用一台联想万全 T400服务器,PIV 2.93G/512M内存/80G硬盘/双以太网卡,Win2000 Pro平台,安装一套PCAuto 64点运行版加5用户pWebView模块(允许最多同时有5个用户通过浏览器访问)。在此特别说明一下,之所以不在双机热备中的从机上安装pWebView模块作Web服务器,是因为Web发布消耗内存资源较多,一旦主机宕机,从机替补,其既对内采集PLC数据生成组态画面,又对外进行Web发布,负担过重,会严重影响整个监控层的性能,安全性也稍差。所以虽然要增加一万多元投资,但为保证自控系统运行的连续和稳定,还是应该再购买一套单独用于Web发布的组态软件运行版。当然,可以选最小点数的。
3.1 网络设备基本配置
外网线路租用网通的光纤,分配给2个IP地址。T400的双网卡中一块(网卡N0)和双机热备的从机通讯(因为是通过交换机,所以随时可以改为和主机通讯),读取实时数据库的内容;另一块(网卡N1)经一台Cisco2611路由器和网通光电转换器的以太网口相连,向公网发布数据。给网卡N0分配和监控双机同一网段的内部IP地址。给网卡N1分配一个真实IP地址,另一个真实IP分配给路由器的E0/1(外网端口),作为网卡N1的网关。由于访问组态画面的是特定单位和人员,因此没有必要申请英文域名,访问时直接取网卡N1的IP地址加端口号,例如http://210.77.82.51:8000 ,即可打开联想T400上发布的组态画面。
3.2 Web发布步骤
(1)在Web服务器上进入力控网络版pWebView开发系统,从左侧的导航栏中,选择“实时数据库”下面的“数据库组态”,双击鼠标,打开DbManager工作区。选择“工程”菜单下的“数据库参数”,勾选“启动Web Server”项。如图:
(2)回到网络版开发主窗口,仍然在左侧的导航栏中,选择“WEB服务”——>“Web服务器配置”,填入各项参数:
(3)双击“WEB服务”下“发布到Web”,可将当前窗口发布。
3.3 安全设置
如果不做其他配置,简单化地Web发布后存在两个安全隐患:
A. 黑客在操作系统层面上攻击Web服务器,可能导致机器瘫痪,无法实现发布功能;
B. 非法用户越权浏览组态画面,造成企业机密信息泄露;或导致Web服务器上连接数过多,使正常用户无法访问。
因此采用以下三种措施进行安全性配置
(1) 在Cisco2611路由器上进行NAT和访问控制列表的配置
Int e0/0 ** E0/0内网端口
Ip address 192.168.0.1 255.255.255.0
Int e0/1 ** E0/1外网端口
Ip address 210.77.aa.bb 255.255.255.252 **210.77.aa.bb是网通分配的一个真实IP地址
Ip route 0.0.0.0 0.0.0.0 210.77.aa.cc **210.77.aa.cc是网通指定的网关
Access-list 1 permit 192.168.0.0 0.0.0.255
Ip nat inside source list 1 interface
Ethernet0/1 overload
Int e0/0 **内网NAT网络地址转换
Ip nat inside
Int e0/1 **外网NAT网络地址转换
Ip nat outside
这样,用同一根光纤线路,污水厂的内部局域网通过Cisco路由器进行地址转换后可以安全地访问Internet;外面用户访问污水厂的Web服务器,需先经过路由器的E0/1端口,一旦发现有攻击倾向的IP地址,用access-list num deny ip ip address命令立即予以拒绝,便可以防范绝大多数恶意攻击。
(2) 在力控开发环境之外单独设计一个网页作为首页,用Javascript脚本语言添加用户名、口令的检验步骤,输入正确才允许进入后面真正的组态软件页面,否则提示无权访问并关闭浏览器窗口。
特别指出,虽然在力控环境中也可以设计首页,但当需要同时访问多个由不同组态软件开发的工程时,在组态软件之外用HTML语言设计一个统一的身份校验首页是必要的,而且为方便查看还应设计将多个工程排列在一起并提供链接的页面。
(3) 实时监控画面中可能含有一些机密信息,为防止泄密需要对某些画面限制访问,这项工作也在Web服务器端完成,具体方法是:
A 将所有组态画面按照力控默认的三个安全级别分类(系统管理员级,工程师级,班长级),避免将需要保密的信息显示在级别低的画面中。
B 为每个可以浏览画面的用户建立用户名和口令。
C 建立首页,在首页上进行用户的登录和口令核准,并取得用户的级别。
If (username==”administrator”)&&(pass==”kop190uic”) then
vr=1; //用户administrator成功登录且安全级别标志被置为1(最高)
display(”MainMenu”); //接着显示主画面
Endif;
D 根据刚才取得的登录用户的级别分配权限,规定其可以调用哪幅画面,不可以调用哪幅画面。例如画面“6#SBR反应池”只允许系统管理员administrator级和工程师级的用户访问,则在“动作”—>“窗口动作” —>进入窗口的脚本动作中如下处理:
If (vr>2) then //系统管理员级编号为1,工程师级2,班组长级3
HideWindow();
Msgbox(“对不起,您的权限不够,不能访问此页面。”);
Else;
Display(“SBR_Pool”);
Endif;
4 结语
对使用其他组态软件开发的工程,上述解决方法一、二完全相同,方法三根据各软件(如iFix的iWebServer)自己的语法和菜单命令重新编写。经过上述配置,昌黎污水厂组态软件的发布消除了安全隐患,做到了既保证Web服务器本身的稳定运行,也确保它所发布的内容被合法地、依照权限地访问。正常用户只需打开Internet浏览器,输入分配给自己的帐户和密码就能与现场同步地看到组态画面,而无需关心它是用哪一种软件开发的,真正做到了“瘦”客户端。对上网方式也没有限制,除普通的ADSL,光纤之外,出差人员用CDMA1X无线上网还可实现移动访问。对于在不同地域运营多个项目的企业非常方便。
|
|
|
|
 相关技术论文: |
|
|
