孙灵乾，李新杰，刘焕文，高永钊

（青岛特殊钢铁有限公司，山东 青岛 266409）

0 引言

根据青岛特殊钢铁有限公司焦化厂自身发展需要和集中管控的行业趋势，对各区域控制室进行整合优化到综合楼三楼集中控制室。设全厂集中视频监控，管控一体达到简化操作，优化流程，提高全厂自动化控制水平，实现岗位操作，调度一体化。

焦化厂在运行的操作站及工程师站总共有39台，各个系统都是独立分散控制，很多工艺段的数据没有汇总，生产调度比较被动，管理上也增加了难度。

现场及中控室的操作员站工控操作系统都是Windows7和Windows XP SP2，上位监控软件使用FactoryTalk SE7.0、WINCC、昆仑通态和PKS。所有控制器与上位机使用以太网方式通讯，大部分现场操作室与中控室有网络连接，中控室目前有2台焦炉/化产DCS画画服务器，有2台备煤操作站，2台焦炉操作站，只用于查看，不能控制。

焦化全厂控制系统及上位机布置见表1。

表1 焦化全厂控制系统及上位机布置Table 1 Control system and upper computer layout of the entire coking plant

由于系统建设周期长，且控制系统比较繁杂，集控一体化成为一大难题。先通过北京伟联科技有限公司的工业私有云，对上位机系统进行虚拟化的方式进行整合，可以实现在线不停机的系统整合，大大降低停机风险和生产成本。

1 生产现状

目前本厂生产区域共计5个作业区、9座控制室、19套控制系统、39台上位机，其中控制系统包括AB PLC、SIEMENS PLC以及Honeywell DCS系统，均独立控制。各系统对应自己的上位机监控系统，系统之间相互孤立，无联络和数据交互，分布在9座控制室内。

从控制系统的角度来分析配煤、空气炮、VOC，深度和加药系统采用的SIEMENS控制系统，焦炉和净化采用的Honeywell C300 控制系统，备煤，筛焦，筛焦除尘，装煤出焦，污水处理，干熄焦，干熄焦除尘，脱硫脱硝采用的Rockwell Automation控制系统，供电系统采用南瑞的电气管理系统。控制系统种类繁多，版本复杂，不具备统一监控显示条件。

从物理位置分布分析，目前焦化厂现有集控室9间，备煤筛焦以及筛焦除尘布置在备煤中控室，配煤和空气炮分布在配煤控制室，焦炉，余煤提升，四大车联锁分布在焦炉中控室，独立设置焦炉除尘控制室部署装煤出焦上位机，净化中控室部署净化和VOC监控系统，污水处理单独设置控制室，深度处理单独设置控制室，干熄焦，干熄焦除尘，脱硫脱硝，提升机和加药控制系统部署在干熄焦控制室，电气系统单独设置电气控制室；物理位置比较分散，给集中控制也造成了很大的困难。

2 解决方案

采用工业私有云&虚拟化的方式来代替传统的工控机和物理服务器。具体来讲，在中控室机房安装一套工业私有云平台，在私有云平台中新建虚拟机，可以灵活安装操作系统（Win7、Win10都可以）与工业组态软件。有些作业区可以使用WitLinc P2V迁移工具，将原有的操作员站、工程师站、服务器等物理机器上的系统文件迁移到私有云内，分别以虚拟机的方式运行起来，然后再做画面优化[1]。

2.1 网络设计

部署完成后会在私有云内形成与原设计物理机相应数量的虚拟服务器和客户端虚拟机，所有虚拟机之间根据需要配合私有云内的核心交换机对外部网络进行划分，实现允许或组织其相互通讯的网络要求。现场控制系统网络利用原有的网络链路即可。

图1 控制中心网络Fig.1 Control center network

工业私有云内含两台高性能可堆叠工业级核心交换机，可作为整个网络中心的核心交换机使用。另外，基于现场网段性质，设计将核心交换机进行VLAN划分，从控制器端连接到核心交换机的两个网段划分为不同的VLAN以隔离数据流。在工业私有云内部也使用划分VLAN的方式，将控制器现场的网段分别接入虚拟服务器[2]。

基于以上的网络规划，运行人员侧的瘦客户机网络与生产现场侧控制器是无法直接建立连接的，因此从防病毒和攻击层面也保证控制器的安全。

在焦化新建中央控制室部署一套北京伟联科技有限公司WL-840B-BX1型号的工业私有云[3]，按现场实际工艺划分，每个工艺段的PLC网络先接入机房的汇聚交换机上，汇聚交换机内划分相应的VLAN区域，汇聚交换机与私有云内核心交换机以可靠的链路聚合方式连接。私有云内按汇聚交换机上划分的VLAN来对应识别各个工艺段的网络，如图2所示。

图2 工艺段网络Fig.2 Process section network

在焦化中央控制室和现场主要岗位（备煤、炼焦、净化、干息焦等）放置XX台瘦客户机用于连接到私有云内的虚拟机，瘦客户机网络也划分单独的VLAN以便与其他的生产网络隔离开。

2.2 网络安全

图3为隔离一级系统核心控制器，设计在工业私有云与一级系统网络之间增加WL-620F-S工业防火墙。该防火墙将PLC与非PLC设备网络隔离开，用于防止可能会出现的网络风暴、泛洪攻击、恶意扫描、非法下载程序块、未知来源设备接入、未知U盘插入带来的恶意病毒攻击等危险，拒绝非授信的用户访问核心PLC设备，只允许通过该PLC设备认可的通讯协议。

图3 网络安全防护Fig.3 Network security protection

图4 配置虚拟机IP地址Fig.4 Configure virtual machine IP address

防火墙内嵌IPS深入网络数据内部，查找它所认识的攻击代码特征，过滤有害数据流，丢弃有害数据包并进行记载，以便事后分析。

原系统部分工控机配置了多块网卡，新建的虚拟机或者迁移完成的虚拟机也配置同样数量的虚拟网卡。在工业私有云的虚拟化平台内，系统会自动虚拟出若干个虚拟交换机。该交换机具备二层网管型性能，数据交换能力类比物理万兆核心交换机。同时，该虚拟交换机与外部两台物理核心交换机可配合使用。根据现场实际情况，如果原来物理机的每个网卡都是不同网段并且相互隔离的，迁移完成的虚拟机也要具备此功能，则为虚拟机的每个网卡配置VLAN信息，该VLAN信息与物理核心交换机相匹配。工业私有云内核心交换机默认配置见表2。

表2 工业私有云内核心交换机默认配置Table 2 Default configuration of core switches in industrial private cloud

实际连接网线时，按照规划的VLAN信息和端口信息，将现场PLC控制器的网线连接到私有云内核心交换机对应的端口上，在相应的虚拟机内设置相同网段的IP地址即可连通网络。

基于以上的网络规划，可以轻松实现在私有云平台内网络隔离和选择性连通的问题。同样基于上述的网络规划，工业私有云内部具备高度的网络故障自恢复能力。

2.3 硬件配置

整个系统设置4台计算服务器、1台双控双活存储服务器、两台堆叠交换机以及两台汇聚交换机。每台计算服务器配置2颗8核心2.4GHz处理器，内存配置128G，系统磁盘配置240G SSD高速工业固态硬盘。存储服务器配置16盘位双控磁盘阵列，控制器可热插拔，最大限度保证数据安全。设计24T磁盘容量，配置后总资源数为128颗虚拟CPU（vCPU），512G虚拟内存（vRAM），24T虚拟硬盘[4]。

另外，在前端部署39台瘦客户机，用于操作和显示，瘦客户机采用低功耗的嵌入式设备，最大功耗9W。配置双以太网口，双显示器口，用于实现上位机的网络冗余和一机多显。

使用工业私有云架构后，运行人员使用瘦客户端连接远程桌面的方式连接到工业私有云中的虚拟机桌面。瘦客户端上的所有操作都会在虚拟机里面执行，瘦客户端本地不会存储任何数据。一台瘦客户端可以连接多个虚拟机的远程桌面，这在一定程度上可以减少一定量的操作员站，实现经济高效操作和管理，以及实现了数据不落地应用[5]。

一旦瘦客户端故障，只需更换即可，无需安装操作系统和各种工业软件，而且瘦客户端比工控机更加灵活实用。

2.4 软件配置

工业私有云可通过管理页面轻松创建应用虚拟机，并提供结合工业应用软件的应用模板，同时可以完成基于主机和存储的可迁移功能。实时迁移机制可为用户实现不停机维护方案，用户有计划地进行物理计算节点的升级维护时，可按既定计划将该物理计算节点上运行的虚拟机全部无缝迁移到另外的计算节点上继续运行，这种迁移不会影响虚拟机内业务的运行[6]。

为保证用户业务的连续不间断运行，工业私有云内部提供HA高可用机制，正常运行时一旦某台计算节点故障，其上运行的虚拟机会自动迁移到另外的计算节点继续运行，保障业务运行不间断。

伟联科技提供的WiP2V迁移工具可方便将物理工控机操作系统不停机地迁移到工业私有云内，以虚拟机的方式运行起来。该工具可放置于移动硬盘运行，无需安装，使用时根据需要自由选择预迁移工控机的磁盘，迁移时间短，效率高，是系统在线不停机整合的重要工具。

按照实际生产需要，设计给每个虚拟机服务器配置与原来服务器相当的内存资源和vCPU的配置，硬盘大小按原有的实际使用量分配。

对于USB授权狗，采用每个瘦客户机连接一个授权狗的方式，将USB狗以以太网的方式连接虚拟机内，保证对应虚拟机的授权狗都能正常识别到。即使该虚拟机连接的远程桌面切换到其他的虚拟机，授权狗也不影响使用。

3 经济效益

若目前39套系统采用软硬件升级的方式，10台服务器和30台工控机硬件成本大约80万，39套软件大约120万，总体软硬件成本将近200万。考虑调试周期3个月，停机成本更是无法估量。

能源成本：10台服务器电能需求，按每台服务器双电源920W，用电每小时18400W，30台工控机，按照每台工控机300W，9000W/h，总计27400W，每小时用电27.4kW。

目前采用私有云架构，无需采购新工控机，无需升级软件系统，耗能设备包括4台计算服务器和一台双控存储服务器以及39台瘦客户机，总用电能为：4×460+550×2+39×9=1840+1100+351=3291W，每小时用电3.29kW，每小时节电24.11kW，每年节电211203kW。能源的节约是逐年增加的，而且符合国家的低碳战略。

4 结论

本文结合焦化厂现状，通过工业私有云技术实现异地分散多控制室的系统整合，将不同的工业控制系统通过高效不停机的方式迁移到集中控制室，解决了传统工控系统中上位机软件对物理工控机和操作系统的依赖。随着工控机硬件更新换代，操作系统逐渐不能兼容新的工控机，导致操作系统进行升级。由于操作系统更新而不得已对运行非常稳定的组态软件进行升级，这样的话，软件升级成本非常庞大和新建没有很大区别。除了焦化厂，其他很多工业企业也有一个工厂具有多种厂家的控制系统，导致组态软件也是五花八门。随着企业数字化智能化的不断深入，越来越多的控制系统要整合在一起，这就为工厂提出了一个难题。

而通过服务器群集的工业私有云架构进行虚拟化迁移，通过北京伟联科技有限公司的WiP2V技术很便捷地实现原有工控系统的整合，提高整合效率，降低停机风险，降低整合成本。传统工业控制系统要求系统稳定，而由于建设周期长，系统独立而部署了大量的工控服务器和工控机，管理复杂，耗电又高，而本项目通过采用工业私有云整合原有工控机和服务器，将原有三四十台机器整合为5台服务器，能耗大幅降低，符合国家低碳策略。

目前工业私有云属于免维护机制，无论硬件故障还是软件故障系统都会自动修复，维护人员只需要对坏件进行更换即可，大大降低维护成本。