迁移的产业网络

虽然您信赖的工厂网络多年来为您提供了良好的服务，但总有一天您需要考虑升级。也许是现代工业网络的好处太大了，让人无法忽视，或者是维持网络正常运行所需部件的稀缺正成为一个真正的挑战。不管是什么原因，升级的好处都是巨大的。挑战也是如此。别担心，别人已经在你之前经历过了。以下是你需要知道的。

过去和现在

不久以前，所有的工业网络主要都是私有的。控制设备基本上是硬连线的。信息以相对较低的速度爬行，网络拓扑有各种各样的配置。车间数据的存储和分析相对有限。网络布线介质主要是铜质的，通常由电工安装，而不是由网络布线公司安装。在同一个车间里有多个网络是很常见的。

在这个早期时代有许多专有的工业通信网络，包括DH1、DH和DH+;Modbus RTU;TIWAY;还有更多。每个控制器制造商也至少有一个专有的设备-控制I/O网络，有时更多，这取决于他们提供的产品和型号的多样性。当时的网络在很大程度上是确定性的，特别是I/O网络。

如今，工厂设备继续变得更加智能，提供远程配置、校准和诊断功能，这在不久之前只是梦想。带宽和存储的成本持续下降，使得工厂数据仓库和分析达到了以前不可能的规模。各种形式的工业以太网开始主导全球制造网络，成为解决方案平台的首选。它是一个通信网络，它是一个现场总线，它是高度互操作的。

来自工厂和整个企业的信息分析正在成为大多数现代控制系统的基本和标准组成部分。虽然这种信息爆炸的好处可以显著提高制造过程的效率和质量，但它是有代价的。当您升级到现代工业网络平台时，在物理介质安装、网络设备配置、系统安全等方面可能会遇到新的挑战。让我们仔细看看在此过程中可能遇到的一些问题，以及如何最好地处理它们。

计划成功

一个可靠的网络迁移计划是成功的基础。首先要清楚地了解你现在的位置和你想要达到的位置。从新的工业网络的全面系统架构图开始。它应该包括连接到网络的所有设备和交换机，对其名称和物理位置的引用，电缆类型引用，以及自始至终列出的预期IP地址。

接下来是记录你现有的网络。您可能需要做一些探测工作来识别所有连接的设备，确定它们的逻辑网络地址和物理位置。您还必须记录物理电缆类型和网络上的布线配置。您可能会遇到干线/下线配置，菊花链式布线，或其他配置。这些传统网络中的每一个都有非常具体的布线、屏蔽和连接最佳实践。这些信息通常可以在网上或从制造商那里轻易获得。

其中一些较老的网络对通过它们传输的信息量以及连接到它们的设备数量非常敏感。如果您正在逐步安装，并且需要连接到现有网络，那么仅仅增加一个连接可能会导致整个网络停止。在尝试与这些旧网络集成之前，您需要仔细查看它们上的节点数和流量。在控制器中捕获和计算通信错误代码可以在这方面可能出现问题时提供早期警告，并帮助您进行相应的计划。

说到错误代码，还有另一个问题可能会偶尔出现。当现代处理器或I/O扫描器升级，而遗留网络在其他方面保持完整时，就会发生这种情况。随着多年来技术的进步，这些新设备对网络通信故障可能比旧设备更敏感。以前对老式处理器来说太短暂或不可见的错误可能会被它们的现代表亲发现。如果您发现自己处于这种情况，您可能需要在解决这个问题时回到旧的处理器。全面审查遗留平台的最佳实践通常是确定问题根源的最佳途径。

在您记录了新的网络、彻底研究了现有网络并审查了任何潜在的故障点之后，您可以将如何从一个平台迁移到另一个平台的详细计划放在一起。现在让我们仔细看看现代工业网络的一些要求。

基本的有线电视

与所有网络一样，工业以太网的性能取决于它的布线(参见图1)。工业应用通常是有电噪声的地方。它们会受到高电磁干扰(EMI)、宽温度范围、灰尘、湿度和许多其他因素的影响。ANSI/TIA-1005标准规定，6类或更好的电缆应用于暴露在工业环境中的主机或设备。6类电缆在100米(328英尺)和55米(180英尺)的距离上分别为1gb和10gb。6e类电缆可以在100米(328英尺)处支持高达10gb的带宽。

6/6e类电缆一般不太容易受到串扰和外部EMI噪声的影响。版本是可用的，更不容易在恶劣的工业环境中物理恶化。确保RJ45端子和插孔也被评为6类。为了获得最佳效果，在短时间内使用预制的修补电缆，并使用工厂安装的连接器。对于长时间运行，您将需要安装千斤顶。

屏蔽以太网电缆如果在管道外运行，在高电磁干扰环境中可能表现更好。您需要正确地安装它，否则它会产生比它解决的更多的问题。使用屏蔽电缆的关键在于正确的接地。

一个单一的地面参考是必不可少的。多个接地连接会导致所谓的接地回路，其中接地连接处的电压电位差会在电缆上引起噪声。这可能会对您的网络造成严重破坏。为了做到这一点，只在电缆的一端使用接地的RJ45连接器。另一端使用不导电RJ45连接器，以消除接地回路的可能性。

如果您的以太网电缆与电源线交叉，请以直角交叉。平行以太网电缆和电源线之间至少间隔8 ~ 12英寸。具有更高的电压和更长的平行运行距离。如果以太网电缆位于金属通道或导管中，则该通道或导管的每个部分必须与相邻部分连接，以便沿其整个路径具有电气连续性。

一般情况下，以太网电缆应远离产生电磁干扰的设备。这包括电机、电机控制设备、照明和电源导体。在面板内，以太网电缆与导体之间的距离至少为2in。当在面板内远离EMI源时，请遵循电缆的推荐弯曲半径。

哪个开关?

你所有的新电缆都将连接到工业网络的电子核心。这可以是一个或多个网络集线器或交换机的形式。虽然集线器在某些办公环境中可能很好，但永远不要在工业环境中使用它们。它们不过是多端口中继器，向各地广播所有通信。在前台，这可能会导致您的电子邮件或浏览器变得缓慢。虽然这在那里可能不是什么大问题，但对你的工厂来说可能是灾难性的。

这使得您可以选择托管交换机和非托管交换机。虽然托管交换机通常是更可取的，但它们也比非托管交换机更昂贵。让我们仔细看看交换机是如何操作的，并比较托管和非托管品种。

工业以太网网络上有三种类型的流量:从一点到另一点的单播流量路由;多播流量路由从一个点到多个点;并将交通路线从一点广播到所有点。网络上的每个设备都有一个唯一的标识符，称为媒体访问控制(MAC)地址。与集线器相比，这是开关更具鉴别性行为的关键。

当交换机第一次上电时，它最初的行为就像一个集线器，向所有地方广播所有流量。当设备在交换机的端口之间传递信息时，它会观察这些流量，并找出哪个MAC地址与哪个端口相关联。它把这些信息放在一个MAC地址表中。当它计算出连接到特定端口的设备的MAC地址时，它将监视用于该MAC地址的信息，并只将这些信息传输到与该地址相关的端口。

在交换机建立了MAC地址表之后，托管和非托管交换机对单播和广播流量的处理是相同的。一般来说，您希望将广播流量保持在100个广播/秒以下，带宽为100 Mbits。一点点广播是任何网络不可分割的一部分。例如像打印服务器这样的设备，定期向网络宣布自己，或者首先启动并请求IP地址的计算机。

窥探一下

托管交换机和非托管交换机之间的主要区别之一是它们如何处理多播流量。多播流量通常来自工厂底层处理网络上的智能设备，采用面向连接的生产者/消费者技术。在这种情况下，连接只是网络中两个或多个节点之间的关系。

以太网/IP，由ODVA，是采用该技术的应用层通信协议。EtherNet/IP基于通用的工业协议标准。您可能在多播组中发现的典型示例包括流量计、智能传感器、天平等。每一项都产生流程数据并消耗配置数据。

设备必须是多播组的成员才能接收组数据。该组的所有成员都接收数据。向该组发送数据时，不需要是该组的成员。生产者/消费者模型中多播流量的主要问题是流量随着主机数量呈指数增长。这就是托管交换机的用武之地。

托管交换机能够开启IGMP (Internet group management protocol) snooping功能。下面是它的工作原理。启用IGMP snooping功能后，IGMP snooping将发送广播流量来确定任何组播组的成员。使用这些信息，结合MAC地址表，允许托管交换机将组播流量路由到与组播组成员相关的端口。非托管交换机将多播数据视为广播数据，并将其发送到任何地方(参见图2)。

如果您的网络使用生产者/消费者技术，或者以其他方式使用多播通信，那么托管交换机是绝对必须的，值得您为其支付额外的费用。

现代世界的安全

您现有的控制系统可能包含较旧的硬件和软件组件，这些组件在设计时从未考虑过强大的安全性。为了充分利用工厂中信息爆炸带来的所有好处，您需要认真考虑如何保护您的系统。

确保控制系统安全主要有三个方面:

1. 网络层
2. 服务器和工作站计算机硬件层
3. 应用程序层。

升级现有网络时，面临的挑战是确定网络上的所有设备，以及哪些设备与外部世界有开放连接。在物理上定位每个设备、确定其当前配置并进行修改以确保其安全而不干扰系统中的其他通信，可能需要一些工作。

现有服务器和工作站硬件的一个问题是在不中断控制系统其他区域的通信和操作的情况下安装操作系统补丁、防病毒程序或其他配置更改。这种更新和补丁在应用层引起问题是很正常的。

应用层安全有其独特的挑战。在保护现有的HMI系统时，技术平台在安全功能方面可能非常原始。此外，可能有一些基本的人员流程必须得到增强。许多不安全的系统不需要操作员登录/注销，导致每个人都有能力做任何事情。保护任何系统的第一个步骤是根据用户的需要记录和提供正确的安全级别，而不让系统完全开放。这通常意味着操作员、主管、维护人员等都有不同的安全特权，每个人都有唯一的登录凭证。

在保护任何系统时要注意的最后一项是物理安全性。限制对某些关键组件(如应用程序和数据服务器)的物理访问，应该始终是任何整体安全策略的一部分。

在制定安全策略时，请记住以下几点:

• 了解风险。必须评估您的系统，以确定可能出现的问题、潜在的漏洞在哪里，以及如果漏洞被利用会产生什么后果。这种情况发生的概率和严重程度应该混合在一起，以创建一个整体的风险因素。将资源集中在整体风险因素最高的领域。
• 定义系统中的安全区域。每个区域都由逻辑和物理组件组成，这些组件共享共同的安全需求，并具有明确定义的区域边界。在每个区域中，您可能要处理网络、硬件和应用层的安全性。
• 识别在区域之间移动的数据。
• 确定每个区域潜在的物理和逻辑入口点，并确保它们安全。这可能不仅需要技术，还需要人员实践，例如禁止u盘和可移动驱动器，外部承包商签署的政策确认，等等。
• 审计结果。安全性是一个持续的过程，而不仅仅是系统的被动特性。您需要技术工具和人员流程一起工作，以确保您的安全方案在系统的生命周期内是健壮和可持续的。

任务完成

在您最终启动并运行之后，您将需要一些工具来监视事情，以确保一切都能顺利运行。非法的Wi-Fi接入点会导致重复的IP冲突，网络摄像头会导致广播风暴，以及许多其他因素都会给你的网络带来麻烦。

有很多产品可以帮助管理这些东西。从底层看，包分析产品提供了对特定网络节点上流量的确切性质的可见性。当需要更广阔的视野时，市场上有许多网络流量监控解决方案。这些产品显示可能产生过多流量或广播风暴的设备，哪些设备正在请求大文件，以及任何存在连接问题或响应迟缓的设备。

遵循这些指导方针，就能获得现代工业网络所能带来的好处。从一个详细的迁移计划开始这个过程。通过遵循所有电缆最佳实践奠定最佳基础。接着正确地选择和配置网络硬件。通过执行良好的安全和监控方案完成这一切，您可以放心，您的工业网络将在未来几年安全有效地运行。

大卫·麦卡锡是TriCore Inc .)该公司是一家位于威斯康星州拉辛的全国性系统集成公司。在1991年创立TriCore之前，麦卡锡曾在阿法拉伐(Alfa Laval) /利乐(Tetra Pak)担任多个职位，包括该公司美国食品工程公司的工程经理。麦卡锡是罗切斯特理工学院的计算机科学家，在自动化领域有30多年的经验。

本文发表于应用自动化补充的控制工程
而且设备工程．

-请参阅下面补充的其他文章。

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。