1 無線網絡的架構設備

    （1）僅僅考慮現場儀表的無線應用時，依靠無線儀表本身的路由即可實現無線通訊：

    組態具有路由的無線現場儀表——XYR6000無線變送器；

    現場設備無線接入點（FDAP）——構建自組織、自愈合的無線主干網絡，僅支持無線變送器（ISA 100.11標準）的無線通訊。

    （2）支持多種無線應用時，不僅支持符合ISA100.11 標準的無線現場儀表，還支持802.11無線設備，支持有線設備的無線轉接：

    路由式或非路由式ISA100.11a 無線現場儀表；

    可靠的、工業等級的多功能節點。

    在有線成本過高，或者危險區域，可采用XYR6000無線現場儀表來采集過程數據。符合ISA100.11a工業無線國際標準，可組態為路由或非路由。設置路由功能的無線現場儀表不僅可以無線傳輸自己的數據，也可以為相鄰的無線現場儀表進行無線路由。

    對于上述兩類工業應用場合的無線網絡架構，最終通過FDAP或多功能節點作為網關同有線控制網絡連接，實現數據集成。

    FDAP的主要特點：

    雙天線結構設計，確保mesh多路徑通訊環境時無線數據可靠性；

    450米的無線通訊距離（相互之間，或同無線現場儀表之間），無線中轉、路由；

    采用24V DC和 110/230V AC電源；

    ATEX 1區和ATEX 2區 ，可以應用在危險區域。

    多功能節點：

    多功能節點可以構建一個工業用的、冗余通訊的無線網絡，把過程控制網絡延伸到現場。可以用在工業危險環境1類2區/ATEX 2區，支持符合工業無線標準的多種過程控制應用的無線設備。多功能節點支持同無線變送器的無線通訊，支持同802.11a/b/g無線設備的無線通訊，如移動操作站、巡檢手持終端、無線攝像機等；也同時支持有線設備的無線轉接。

    多功能節點配置3個無線發射天線：其中有兩個符合IEC802.11a/b/g標準，另一個用于同XYR6000無線變送器的通訊。主要特點如下：

    2個天線支持802.11a/b/g設備，另一個天線支持無線變送器；

    兩個以太網通訊接口可以接入有線設備，轉接有線設備或同上位系統實現數據集成；

    使用場合：1類2區 / ATEX 2區；

    防護等級IP66；

    配置LED狀態指示燈；

    支持紅外功能通訊，設備安全密碼授權。

    在工廠安裝后，FDAP和多功能節點，自組織、自愈合，構建一個可靠安全的無線主干網絡。配置智能的無線路由功能，FDAP或多功能節點可動態優化連接到其它FDAP或多功能節點的最佳路徑，抗干擾，確保無線網絡的可靠性、安全水平，和數據處理能力。

    2 工業無線技術的內在冗余設計

    通過內在的冗余通訊設計，提高OneWireless基礎架構的可靠性和靈活性。既體現在多功能節點、FDAP之間形成的智能動態無線網格，有效保證通向上位控制系統的最優數據路徑；同時也設計同上位控制系統數據集成的網關的冗余設計，可防止關鍵過程數據丟失。工業無線架構內置冗余設計，確保集成到控制的數據和信息的可靠性和安全性，可以應用于非關鍵的過程控制。

    3 ISA100工業無線國際標準介紹

    ISA100工業無線標準在2009年9月被ISA100工業無線標準委員會批準，成為開放的工業無線標準。ISA100標準針對用戶需要一個網絡快速、有效的管理多種通訊協議，而提供多功能網絡解決方案：即一個網絡支持多種通訊協議、支持多種應用。ISA100系列標準旨在滿足工廠級需求，適用于很多無線應用，如無線變送器（現場儀表）、監測和控制、無線視頻、振動監測、移動操作、無線巡檢、人員跟蹤等。

    ISA100支持用戶為整個工廠部署一個統一的無線架構。支持多種協議的現場設備的無線通信： 4-20mA；Modbus；Profibus；HART；Foundation Fieldbus；DeviceNet。

    這種設計，能夠為用戶已有的協議投資和未來的協議需求提供保障。其網絡和基本設計可以滿足幾乎所有的無線需求。因而用戶只需要：

    采購一個無線架構；

    安裝一個無線架構；

    管理一個無線網絡；

    維護一個無線網絡；

    實現一種無線網絡統一的安全管理；

    實現一種無線網絡支持多種無線應用功能；

    綜上，ISA100.11a 標準主要可以給用戶帶來如下好處：

    與多種通信協議之間的互操作性，其中包括HART、Profibus、Foundation 現場總線和Device Net；

    可以通過統一的網管支持大量現場設備，從而實現擴展；

    通過客戶系統瀏覽數據的延遲時間很短，或者說現場設備產生數據后的響應很快，響應時間只有100ms或者更短；

    因為電池壽命很長，所以降低了維護工作量；采用ISA100.11a標準，現場設備不需要像其它無線協議中的網格方案那樣進行強制數據路由操作。

    4 無線網絡的安全設計和最佳實踐

    用戶在工廠全面安裝無線架構（包括802.11無線設備和無線變送器）的過程中，非常關心無線網絡的安全問題。用戶的操作人員和IT工作人員需要了解在安裝任何無線架構時存在的安全威脅。

    OneWireless網絡通過如下方式實現工業等級的安全：

    物理授權：多功能節點、無線變送器必須經過不透明的、物理授權，才能夠自動加入到OneWireless?無線構架，進行無線通訊；

    OneWireless?無線防火墻——專門為希望通過OneWireless?網絡將其過程控制網絡擴展到現場的用戶設計的一種安全工具；

    SSID設定、MAC地址過濾、VLAN 802.1Q等多重安全管理；

    OneWireless安全最佳實踐。

    4.1 安全措施：物理授權

    霍尼韋爾設計了一種高度可靠的紅外安全密鑰管理系統。在無線變送器、多功能節點或者FDAP加入無線網絡之前，必須通過帶有紅外端口的手持設備與該設備傳遞一個安全密鑰。該密鑰是不透明的，以確保安全；所有的無線設備如多功能節點、FDAP和現場儀表都有一個允許在設備上部署密鑰的紅外端口。在將密鑰部署到設備上之后，它會自動加入網絡。密鑰只需要部署一次。下圖說明了這個過程：
                    

    4.2 無線防火墻

    無線網絡同有線控制系統的數據集成時，采用無線防火墻，以保證網絡安全。無線防火墻專門為霍尼韋爾公司Experion控制系統把控制網絡延伸至無線網絡而設計的。該無線防火墻可以同時保護Experion有線網絡的安全和無線網絡的安全。

    OneWireless防火墻安裝在第2層OneWireless無線系統網關（WSG）和第2層FTE交換機。無線系統網關和OneWireless?服務器在第2層連接，以便能夠通過Modbus或霍尼韋爾專有控制數據訪問（CDA）協議從Experion控制器方便地訪問無線I/O設備。防火墻預先設定只允許無線I/O數據沿雙向流動，同時禁止不必要的第2層信息。OneWireless網絡支持的過程控制OLE（OPC）等其它數據類型可以通過在第3.5層相連的多功能節點（DMZ區）訪問。

    無線防火墻是預組態好的、即插即用，只允許wireless I/O 數據雙向通過，而阻隔有線網絡不必要的網絡風暴、可能的病毒和垃圾信息。有效保護Experion 有線網絡和無線網絡，避免通訊中斷或丟失數據等情形的發生；使用環境-40℃～+70℃，Class I/Div2，Zone 2。
                  
                                 圖2  無線防火墻示意圖

    4.3 支持多個SSID設定 / VLAN 802.1Q 虛擬功能設定通過設定

    多個SSID，用戶可在每個多功能節點上創建多個網絡名稱或服務設置標識符，并可以定制各自的安全和廣播配置。這些SSID服務設置標識符可以與不同的虛擬局域網相關聯，從而創建虛擬無線局域網。這種功能可以用來實現不同網絡用戶或應用的邏輯分離，提高了安全性，如下圖所示。同時支持MAC地址過濾，進一步提高安全水平。
             
                                 圖3  虛擬網線局域網示意圖

    4.4 最佳安全實踐

    OneWireless工業無線架構，支持多種無線應用，包括三個的無線網絡：

    無線變送器網絡：即無線變送器配置路由功能時，相互無線通訊；或不配置路由功能時，無線變送器同FDAP和多功能節點直接無線通訊；

    無線主干網格：FDAP或多功能節點之間的相互無線通訊；

    802.11a/b/g網絡：802.11無線設備同多功能節點的無線通訊，如無線視頻、移動操作站等。這3個部分都配置安全機制，再加上采用如下最佳安全實踐，借助先進的安全技術確保OneWireless?網絡的工業等級的安全水平。

    4.4.1 無線變送器網絡的安全實踐

    無線變送器和執行器加入無線網絡后，默認在安全模式下運行。所有數據都會經過AES 128位加密，并且有物理授權、非透明的安全設置功能。為了保證無線變送器網絡的安全，客戶應該遵守如下規則：

    每次將新的無線變送器添加到無線系統中后，都必須備份關鍵服務器和目錄服務器數據庫。以備關鍵硬件故障后，備份信息可以用來恢復系統操作。

    物理授權設備必須保存在安全的場所，并且只能由授權安裝人員負責保管和使用。

    經過授權的無線變送器，如果需要維護返庫，那么其所有密鑰都必須擦除，以防止未經授權的使用行為。

    授權設備必須有與需要進行預配置的設備數量相當的密鑰。密鑰的到期日必須設置在合理的時間范圍內。

    定期檢查密鑰服務器日志，診斷可能的攻擊或設備可能出現的錯誤行為。

    4.4.2 無線主干網絡的安全實踐

    無線主干網絡可以在非安全或安全模式下運行。強烈建議啟用安全功能。在啟用此功能之后，通過無線主干網絡發送的所有消息都會通過128位AES加密算法加密。通過多功能節點配置工具來配置主干網絡的安全功能，如禁用廣播SSID、MAC地址過濾等。在配置主干網絡的安全功能時，應遵守如下規則：

    使用靜態AES-CCM算法來啟用主干網絡的安全功能，實現數據包加密；

    保密為主干網絡設定的安全密鑰，只允許授權人員使用；

    為防止主干網絡安全密鑰丟失造成無法恢復的情況，支持更換故障多功能節點或添加新的多功能節點，應采用多功能節點配置備份功能。備份的配置包含安全密鑰。

    多功能節點需要物理安全授權；

    采用禁用廣播SSID、MAC地址過濾等措施，確保主干網絡的節點的安全；

    4.4.3 802.11a/b/g無線接入點設備網絡的安全實踐

    如果沒有為多功能節點的802.11a/b/g訪問提供合適的安全機制，那么筆記本電腦、平板電腦、PDA和其它802.11無線設備的客戶端會存在嚴重的安全風險。在設置802.11接入點安全功能時，應遵守如下準則：

    802.11接入點設備的安全功能應該設置到802.11無線設備所能支持的最高等級 ，如IEEE 802.11i （WPA2），針對最終用戶設備采用IEEE 802.1x和遠程授權撥入用戶服務（RADIUS）服務器。RADIUS服務器是微軟為互聯網授權服務或IAS而推出的，隨Windows Server 2003免費提供，很容易添加到一個活動目錄域控制器。不要在OneWireless?網絡上使用不支持安全功能的無線設備；

    為了能在網格覆蓋區域內漫游，需要在所有多功能節點上配置相同的通行密鑰。應為通行密鑰保密，僅允許授權人員訪問它；

    采用禁用廣播SSID、MAC地址過濾確保802.11無線接入點設備的安全；

    5 無線網絡的擴展能力和規模

    OneWireless網絡的設計具有非常靈活的擴展性——既可以是單一的無線變送器網絡，也可以是支持全廠多種無線應用的、全面的工廠級無線網絡。如果把無線網絡延伸到更大的覆蓋面積、更多的無線應用，或采集更多的過程參數，只需要添加多個多功能節點、FDAP和無線現場儀表即可擴展整個無線網絡的規模。

    OneWireless網絡的規模如下：

    （1）大規模多種無線應用時：

    最多40個多功能節點和FDAP構建無線主干網絡；每個多功能節點和FDAP均可同時作為有線和無線網絡之間的無線網關，有線接入DCS；網關可冗余配置；

    一個mesh無線網絡的40個多功能節點中，可同時作為網關。每個網關可帶100臺無線變送器（1秒刷新）。每個多功能節點都可以帶20臺變送器（1s刷新）或80臺（大于1s）；

    該無線網絡同時支持多種無線應用，如移動操作站、無線視頻、振動檢測等。

    （2）小規模、僅僅是無線變送器的應用時：

    無線變送器組態為帶路由功能，無線通訊通過通訊速度較慢的無線變送器本身的路由來實現，自組織、自愈合。滿足非確定性應用的要求，如時間滯后允許大于1秒 ；變送器刷新速度允許大于30秒。


     摘自《自動化博覽》2010年第十一期