高偉中，李玉龍，劉月馨，徐軍楊(華東勘測設(shè)計研究院，浙江 杭州 311122)

遠程資產(chǎn)管理系統(tǒng)架構(gòu)解析

高偉中，李玉龍，劉月馨，徐軍楊
(華東勘測設(shè)計研究院，浙江 杭州 311122)

集團公司通常采用多元化經(jīng)營策略，需要及時了解各分公司的實際生產(chǎn)運營情況，同時，分公司也需要總公司在技術(shù)、管理上給予支持.針對集團公司現(xiàn)有的借助人工報表，電話溝通等資產(chǎn)管理體系，存在諸多弊端，不能滿足實時性、準確性的需求，建立了一套采用現(xiàn)代通訊技術(shù)實現(xiàn)安全、可靠、高效實時遠程資產(chǎn)管理系統(tǒng).該系統(tǒng)由集團總公司系統(tǒng)和區(qū)域公司(分公司)系統(tǒng)兩部分構(gòu)成，其軟硬件及通訊實現(xiàn)方式經(jīng)過實際應(yīng)用效用良好.

微服務(wù)架構(gòu)；Linux操作系統(tǒng)；虛擬專用網(wǎng)絡(luò)；數(shù)據(jù)通訊網(wǎng)關(guān)

近年來，隨著新能源(風電、太陽能等)、水電、水務(wù)(自來水、污水處理、海水淡化等)等領(lǐng)域投資業(yè)務(wù)的快速發(fā)展，國內(nèi)大型集團公司旗下投資的項目數(shù)量逐漸增多，這些投資的資產(chǎn)總價值很高，數(shù)量較多，地域分布廣，且各個投資項目種類不同，各有自己的特點.不同的子系統(tǒng)組成的大型集團給企業(yè)運營帶來了一系列的規(guī)范化、標準化、精細化的問題.因此，構(gòu)建一個統(tǒng)一的投資項目管理系統(tǒng)，實現(xiàn)信息的安全有效溝通和管理的系統(tǒng)化，以滿足資產(chǎn)實物管理和提升效益的需要,已成為大型公司集團化管理的迫切需求.

遠程資產(chǎn)管理系統(tǒng)是由區(qū)域項目公司生產(chǎn)管理系統(tǒng)和平臺公司集中資產(chǎn)管理系統(tǒng)兩個部分組成.隨著通訊技術(shù)的發(fā)展、國家在網(wǎng)絡(luò)通訊等基礎(chǔ)領(lǐng)域的不斷投入，以光纖接入為代表的有線接入網(wǎng)絡(luò)和以3 G/4 G接入為代表的無線接入網(wǎng)絡(luò)已覆蓋全國各地，網(wǎng)絡(luò)帶寬不斷增加，費用逐步降低，為遠程管理提供了堅實的基礎(chǔ).然而，在享受高速網(wǎng)絡(luò)互聯(lián)網(wǎng)帶來便捷的同時，伊朗核電站遇黑客襲、斯諾登事件等也為網(wǎng)絡(luò)安全敲響了警鐘.因此，遠程資產(chǎn)管理系統(tǒng)的安全性、可靠性、實時性和可維護性成了建設(shè)過程中必須重點考慮的因素.本文根據(jù)國家電監(jiān)會5號令《電力二次系統(tǒng)安全防護規(guī)定》的要求，按“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認證”的16字原則，設(shè)計實現(xiàn)了由現(xiàn)場數(shù)據(jù)采集系統(tǒng)、數(shù)據(jù)單向傳輸系統(tǒng)、視頻監(jiān)控系統(tǒng)、遠程數(shù)據(jù)通訊系統(tǒng)、數(shù)據(jù)匯總系統(tǒng)、大屏幕幕墻、數(shù)據(jù)分析、處理、展示系統(tǒng)等組成的綜合遠程資產(chǎn)管理系統(tǒng)，實現(xiàn)了集團公司管理效率的提升，也為大型公司遠程資產(chǎn)管理的信息化奠定了重要的基礎(chǔ)[1].

1 通訊方案選擇

遠程通訊系統(tǒng)是遠程管理系統(tǒng)的基礎(chǔ)：接入方式可以采用運營商專線接入，或采用在公網(wǎng)上自建虛擬專用網(wǎng)絡(luò)的VPN接入方式.專線接入具有安全性高，系統(tǒng)穩(wěn)定的特點，但運營費用高.VPN技術(shù)是利用開放的公用網(wǎng)絡(luò)建立專用網(wǎng)絡(luò)實現(xiàn)遠程訪問,雖然穩(wěn)定性、安全性稍遜于專線接入，但運營價格低.常用的VPN技術(shù)方案有以下三種.

(1)L2TP/PPTP VPN

L2TP/PPTP VPN(Layer 2 Tunneling Protocol)，即二層隧道協(xié)議/Point-to-Point Tunneling Protocol，點到點隧道協(xié)議.L2TP/PPTP VPN用PPP協(xié)議封裝原始數(shù)據(jù)，然后增加包頭在互聯(lián)網(wǎng)絡(luò)上傳輸，采用MPPE、CHAP等加密算法，相對安全性較差.由微軟等廠商主導(dǎo)開發(fā)，配置連接方便，常用于桌面電腦遠程接入.

(2)IPSec VPN

IPSec VPN(Internet Protocol Security)采用IETF制定的三層隧道加密協(xié)議，規(guī)定了如何在對等體之間選擇安全協(xié)議、確定安全算法和密鑰交換，向上提供了訪問控制、數(shù)據(jù)源認證、數(shù)據(jù)加密等網(wǎng)絡(luò)安全服務(wù)，安全性較高.支持廠家眾多，但安裝、配置較為復(fù)雜.

(3)SSL VPN

SSL VPN以HTTPS(Secure HTTP，安全的HTTP，即支持SSL的HTTP協(xié)議)為基礎(chǔ)，充分利用了SSL協(xié)議提供的基于證書的身份認證、數(shù)據(jù)加密和消息完整性驗證機制，為應(yīng)用層之間的通信建立安全連接.[2]同時還具有精細的訪問控制能力，可以為不同的用戶提供不同的訪問權(quán)限.易于安裝和配置，維護成本低.

在本項目中采取VPN接入方案是以硬件IPSecVPN設(shè)備為主通訊鏈路，在對外通訊的Linux主機上安裝OpenVPN客戶端軟件建立SSL VPN備用通道的冗余通訊方案，同時增加短信通訊模塊作為備用通道[3]，可以滿足生產(chǎn)管理需求.該系統(tǒng)網(wǎng)絡(luò)通訊架構(gòu)(見圖1).

圖1 遠程資產(chǎn)管理系統(tǒng)通訊架構(gòu)

2 數(shù)據(jù)通訊網(wǎng)關(guān)

由于各業(yè)務(wù)系統(tǒng)建設(shè)的年代不同，建設(shè)單位不同，造成現(xiàn)場設(shè)備的多樣性，數(shù)據(jù)傳輸有的采用串口通訊，有的采用以太網(wǎng)通訊，通訊規(guī)約也各不相同.監(jiān)控系統(tǒng)在獨立運行時可以正常工作，但當需要將各系統(tǒng)數(shù)據(jù)集中處理時面臨底層數(shù)據(jù)格式不同的問題.

為了解決這個問題，本系統(tǒng)開發(fā)了通用的數(shù)據(jù)通訊網(wǎng)關(guān)軟件：數(shù)據(jù)通訊網(wǎng)關(guān)運行在Linux操作系統(tǒng)上，采用C語言開發(fā)，符合ANSI標準.數(shù)據(jù)通訊網(wǎng)關(guān)整體由數(shù)據(jù)采集層，實時數(shù)據(jù)層，數(shù)據(jù)服務(wù)層組成，采用微服務(wù)的設(shè)計思想，由多個獨立的程序協(xié)同完成數(shù)據(jù)交互，通過配置文件完成不同的數(shù)據(jù)轉(zhuǎn)換功能[4].數(shù)據(jù)流的傳輸(見圖2).

圖2 數(shù)據(jù)流示意圖

圖2數(shù)據(jù)采集層實現(xiàn)各種類型的數(shù)據(jù)采集功能，物理連接采用串口或網(wǎng)絡(luò)連接，既可以采用IEC103、ModbusRTU、ModbusTCP、CDT等工業(yè)通訊規(guī)約[5]，實現(xiàn)SOE功能和UDP數(shù)據(jù)單向數(shù)據(jù)傳輸功能，也可以連接數(shù)據(jù)庫，讀取文本，或通過開發(fā)包實現(xiàn)自定義規(guī)約.

實時數(shù)據(jù)層采用內(nèi)存數(shù)據(jù)庫存儲數(shù)據(jù)，將各種不同的規(guī)約數(shù)據(jù)轉(zhuǎn)化成統(tǒng)一格式.按照最終用戶理解的業(yè)務(wù)名保存了數(shù)據(jù)的點名、數(shù)值、數(shù)據(jù)品質(zhì)和數(shù)據(jù)的最后采集時間.

服務(wù)層讀取實時數(shù)據(jù)層的數(shù)據(jù)，采用ModbusTCP、IEC104等工業(yè)通訊規(guī)約為自控系統(tǒng)提供數(shù)據(jù)服務(wù)，同時提供基于HTTP協(xié)議的數(shù)據(jù)點REST服務(wù)[6-7].

查看數(shù)據(jù)采集層的原始報文數(shù)據(jù)，實時數(shù)據(jù)層數(shù)據(jù)，服務(wù)層數(shù)據(jù).監(jiān)視各程序運行狀態(tài)，系統(tǒng)配置功能.同時，該系統(tǒng)數(shù)據(jù)通訊網(wǎng)關(guān)還具有完善的管理、日志功能，監(jiān)控程序監(jiān)視各層各個應(yīng)用程序的監(jiān)控狀況，通過心跳數(shù)據(jù)和各程序上報的狀態(tài)分析程序運行狀況.當檢測到相應(yīng)的程序出現(xiàn)問題時可自動重啟相關(guān)程序，從而可保證系統(tǒng)長期穩(wěn)定運行.

3 區(qū)域公司(分公司)系統(tǒng)

本文以下只恩水電站為例，介紹該系統(tǒng)分公司系統(tǒng)的主要架構(gòu)及實現(xiàn)方法.下只恩水電站位于云南迪慶州香格里拉縣的格基河上,安裝兩臺20 MW立式混流機組，于2010年投入運營.下只恩水電站地處偏遠地區(qū)，現(xiàn)場技術(shù)相對薄弱，管理上主要依靠每月人工匯總上送的月報，總部無法準確及時了解現(xiàn)場情況，也無法實施有效的監(jiān)督管理和指導(dǎo)生產(chǎn).

在建立區(qū)域公司管理系統(tǒng)時，考慮到現(xiàn)場的實際情況，為了保證系統(tǒng)的穩(wěn)定運行，減少后期的維護工作量，在設(shè)備選型上選用工業(yè)級產(chǎn)品，所有元件安裝在一個網(wǎng)絡(luò)柜內(nèi)，在總部調(diào)試完成后整體發(fā)運現(xiàn)場.現(xiàn)場僅需接入電源和網(wǎng)絡(luò)就投入了運行，實現(xiàn)低成本運營.該系統(tǒng)整體架構(gòu)(見圖3).

圖3 下只恩水電站通訊網(wǎng)絡(luò)架構(gòu)圖

3.1 硬件組成

原監(jiān)控系統(tǒng)控制部分由通用電氣的GE9030PLC實現(xiàn)控制邏輯，位于安全Ⅰ區(qū)，通過專用的工業(yè)以太網(wǎng)和監(jiān)控工業(yè)電腦實現(xiàn)數(shù)據(jù)交互.通過防火墻與位于安全Ⅱ區(qū)的通訊網(wǎng)關(guān)相連.

Ⅱ區(qū)的通訊網(wǎng)關(guān)通過正向安全隔離網(wǎng)閘連接安全Ⅲ區(qū)的通訊網(wǎng)關(guān).生產(chǎn)管理區(qū)有視頻監(jiān)控系統(tǒng)、短信收發(fā)模塊和數(shù)據(jù)處理服務(wù)器，通過VPN連接數(shù)據(jù)中心.

3.2 軟件結(jié)構(gòu)

位于安全Ⅱ區(qū)的通訊網(wǎng)關(guān)配置了兩個功能模塊：

模塊Ⅰ：使用ModbusTCP客戶端采集實時控制系統(tǒng)的，有線路和機組的電壓、電流，斷路器、開關(guān)的地位置信息，水庫的水位等關(guān)鍵信息，共3 580點.

模塊Ⅱ：采用完全單向(UDP發(fā)送)通訊方式將數(shù)據(jù)計算機監(jiān)控系統(tǒng)數(shù)據(jù)通過正向隔離網(wǎng)閘傳輸?shù)桨踩髤^(qū).

位于安全Ⅲ區(qū)的通訊網(wǎng)關(guān)配置了三個功能模塊：

模塊Ⅰ：使用UDP接收數(shù)據(jù)，存放到內(nèi)部實時內(nèi)存數(shù)據(jù)庫；

模塊Ⅱ：使用ModbusTCP服務(wù)端將內(nèi)部實時內(nèi)存數(shù)據(jù)庫再開放出來.

模塊Ⅲ：配置REST服務(wù)開放實時內(nèi)存數(shù)據(jù)庫.

生產(chǎn)管理服務(wù)器采用ModbusTCP規(guī)約通過Ⅲ區(qū)的通訊網(wǎng)關(guān)讀取數(shù)據(jù)，并解析成實時控制系統(tǒng)數(shù)據(jù)，定時生成日報表，可以通過短信模塊發(fā)送到相關(guān)人員手機上.

生產(chǎn)管理服務(wù)器同時安裝了OpenVPN的客戶端軟件，通過另一條運營商的光纖通訊網(wǎng)絡(luò)連接到數(shù)據(jù)中心，形成第二條數(shù)據(jù)通道.

這兩條采用軟硬件結(jié)合的VPN數(shù)據(jù)通道互為備用，解決了邊遠地區(qū)基礎(chǔ)網(wǎng)絡(luò)服務(wù)不夠穩(wěn)定的問題,提高了與數(shù)據(jù)中心的網(wǎng)絡(luò)連接可靠性.

4 集團總公司系統(tǒng)

遠程資產(chǎn)管理數(shù)據(jù)中心位于杭州總部，通過遠程實時采集各區(qū)域公司的自動化控制數(shù)據(jù)、視頻數(shù)據(jù)和生產(chǎn)管理數(shù)據(jù)，根據(jù)業(yè)務(wù)需求存儲在相應(yīng)的數(shù)據(jù)庫內(nèi)；通過大屏幕；個人電腦的瀏覽器；手機的App、微信、短信等多種展示方式，為總公司的經(jīng)營管理提供了豐富的數(shù)據(jù)，也為生產(chǎn)決策提供了有效的支撐.此外，該系統(tǒng)也可以為集團公司的業(yè)務(wù)伙伴提供一個生動有效的交互展示平臺，以方便各業(yè)務(wù)主體之間的商務(wù)、技術(shù)、運營等方面的交流[8].

4.1 硬件組成

中心展示現(xiàn)場硬件組成：由VPN路由器，數(shù)據(jù)匯總服務(wù)器，私有云服務(wù)器，大屏幕幕墻，視頻矩陣，視頻管理主機，畫面監(jiān)控數(shù)據(jù)展示服務(wù)器，視頻服務(wù)器等組成；

中心VPN路由器：和各區(qū)域公司的VPN路由器相連，提供安全可靠的數(shù)據(jù)連接鏈路；

數(shù)據(jù)匯總服務(wù)器：位于VPN路由器后，將各業(yè)務(wù)數(shù)據(jù)按類型解碼，存儲在內(nèi)存數(shù)據(jù)庫中供后端的各應(yīng)用程序使用；

私有云服務(wù)器：由應(yīng)用服務(wù)器，數(shù)據(jù)庫服務(wù)器，Web發(fā)布服務(wù)器等采用私有云技術(shù)構(gòu)成的虛擬服務(wù)器系統(tǒng)，完成各生產(chǎn)報表、存儲歷史關(guān)鍵數(shù)據(jù)，通過API為前端程序提供數(shù)據(jù)服務(wù)；

大屏幕墻：由16塊55寸超窄邊液晶監(jiān)視器組成，通過HDMI接口共可接收16路高清視頻信號；

視頻矩陣：可接收24路各種類型的視頻輸入型號，輸出16路高清視頻型號，與視頻管理主機一起實現(xiàn)對各種輸入輸出信號的切換；

畫面監(jiān)控數(shù)據(jù)展示服務(wù)器：內(nèi)置10路顯卡，可同時輸出10路高清關(guān)鍵業(yè)務(wù)的畫面；

視頻服務(wù)器：負責接收各區(qū)域公司的數(shù)字視頻信號，通過軟硬件解壓后輸出現(xiàn)場實時監(jiān)控視頻畫面.

4.2 軟件結(jié)構(gòu)

操作系統(tǒng)采用Linux，大量采用開源軟件技術(shù)，系統(tǒng)軟件采用微服務(wù)架構(gòu)，分布在不同的服務(wù)器之間的各應(yīng)用軟件通過API協(xié)同工作，共同完成數(shù)據(jù)的采集、存儲、分析、展示功能.

展示系統(tǒng)采用B/S架構(gòu)，設(shè)計分為三層，分別為數(shù)據(jù)層、服務(wù)層、展示層.該系統(tǒng)架構(gòu)層次劃分(見圖4).

圖4 系統(tǒng)軟件架構(gòu)圖

數(shù)據(jù)層：區(qū)域公司的實時生產(chǎn)數(shù)據(jù)通過數(shù)據(jù)通訊網(wǎng)關(guān)傳輸至集團總部，數(shù)據(jù)層的后臺程序?qū)⒔邮盏降臄?shù)據(jù)進行處理并存儲在集團總部PostgreSQL數(shù)據(jù)庫中，并向服務(wù)層提供數(shù)據(jù)訪問接口；

服務(wù)層：主要負責數(shù)據(jù)的計算處理與系統(tǒng)業(yè)務(wù)解釋，并為微信、郵件及短信等服務(wù)提供接口；

展示層：設(shè)計分為兩部分，一部分是為桌面系統(tǒng)瀏覽器設(shè)計，該部分采用HTML5實現(xiàn)前端頁面設(shè)計，并且使用基于JS標準的圖表庫生動形象的展示了數(shù)據(jù)的對比與變化，通過Ajax實現(xiàn)與后臺數(shù)據(jù)進行實時交互；可以在不同操作系統(tǒng)和瀏覽器上運行.另一部分使用微信網(wǎng)頁開發(fā)，通過訪問服務(wù)層提供的接口，實現(xiàn)對數(shù)據(jù)的展示和用戶瀏覽操作，該部分接入企業(yè)公眾號，微信用戶關(guān)注企業(yè)公眾號后可被授權(quán)訪問.展示層前端頁面可以根據(jù)業(yè)務(wù)需求進行定制，結(jié)合SVG技術(shù)可實現(xiàn)SCADA監(jiān)控畫面WEB展示，并且可以提供生產(chǎn)統(tǒng)計圖表和數(shù)據(jù)監(jiān)視等，該系統(tǒng)可以適用于多種場景(如：水電、光伏、風電、水務(wù)等).

5 結(jié) 論

本文針對大型集團公司與其區(qū)域子公司之間交流、管理效率過低的問題，建設(shè)了一套遠程資產(chǎn)管理系統(tǒng).該系統(tǒng)投入運行后，有效提升了區(qū)域公司和集團公司的溝通效率，降低了交流、維護的成本，為管理決策提供了有力的數(shù)據(jù)支持.通過一段時間的運行，幫助領(lǐng)導(dǎo)、技術(shù)專家相繼發(fā)現(xiàn)了現(xiàn)場水輪機低水頭運行等問題，集團公司遠程專家會診后提出了蓄水到高效水位后間歇發(fā)電的優(yōu)化運行技術(shù)方案.通過持續(xù)有效的管理和運營，發(fā)電量從2015年的6 900萬kW·h提升到2016年的8 800萬kW·h，有效地提升了發(fā)電效率，提高了經(jīng)濟效益.

目前系統(tǒng)運行穩(wěn)定可靠，運營管理也已日趨成熟.需要指出的是，該系統(tǒng)在邊遠地區(qū)的運營商供電方案管理方面還存在一定缺陷，有時存在所有通訊基站失電斷網(wǎng)的情況，因此，為了進一步提高通信的可靠性，硬件上可以考慮增加北斗衛(wèi)星通訊鏈路.在軟件的功能上目前主要以報表和數(shù)據(jù)展示為主，下階段也可以考慮增加大數(shù)據(jù)分析算法，進一步發(fā)掘數(shù)據(jù)價值.

[1] 楊正洪,鄭齊心,吳 寒.企業(yè)云計算架構(gòu)與實施指南[M].北京:清華大學(xué)出版社，2010.

[2] 陶利軍.構(gòu)建虛擬專用通道——OpenVPN服務(wù)器詳解與架設(shè)指南(基于Linux)[M].北京:清華大學(xué)出版社，2012.

[3] OpenVPN Technologies, Inc.. OpenVPN Community Software[EB/OL].[2016-10-15]. https://openvpn.net/index.php/open-source/245-community-open-source-software-overview.html.

[4] 王 磊.微服務(wù)架構(gòu)于實踐[M].北京:電子工業(yè)出版社，2016.

[5] AERLIOS R,WOLTI S.FreeModbus[EB/OL].(2014-06-09)[2016-09-10].https://sourceforge.net/projects/freemodbus.berlios.

[6] 趙 淵,沈智建.基于TCP/IP的IEC60870-5-104運動規(guī)約在電力系統(tǒng)中的應(yīng)用[J].電網(wǎng)技術(shù),2003,27(71)：56-60.

[7] 張 曉,姜培剛.FreeModbus RTU在串行鏈路上的研究與實現(xiàn)[J].工業(yè)控制計算機，2015，28(5)：69-70.

[8] PETER L,BRIAN A,FRANK S. HTML5程序設(shè)計[M].北京：人民郵電出版社，2012.

Architecture Analysis on Remote Asset Management System

GAO Wei-zhong, LI Yu-long, LIU Yue-xin, XU Jun-yang
(Powerchina Huadong Engineering Co., Ltd. Hangzhou 311122, China)

Modern group companies is usually composed of multiple distribution branches which means the head companies need a timely manner to get the actual production operation of their branches; and the branches also need to supply the technology and management support to their head companies. The traditional management system based on artificial statements or telephone communication cannot satisfy the real-time and accuracy demands of the modern management, which requires a safety, reliability and efficiency management technology to better manage the entire system. To solve this issue, the company has established a remote asset management system, which realizes the remote asset management of group companies. In this paper, the software and hardware and communication strategy will be introduced, and with a practical application, the system's concrete realization method will be detail described.

Micro-service architecture; Linux Operating System; VPN; communication gateway

2016-10-28

高偉中(1970-)，男，浙江杭州人，高級工程師，研究方向為自動化控制及計算機通信網(wǎng)絡(luò).

TP311.52

A

1008-536X(2017)02-0077-06