远程资产管理系统架构解析

高伟中，李玉龙，刘月馨，徐军杨(华东勘测设计研究院，浙江 杭州 311122)

远程资产管理系统架构解析

高伟中，李玉龙，刘月馨，徐军杨
(华东勘测设计研究院，浙江 杭州 311122)

集团公司通常采用多元化经营策略，需要及时了解各分公司的实际生产运营情况，同时，分公司也需要总公司在技术、管理上给予支持.针对集团公司现有的借助人工报表，电话沟通等资产管理体系，存在诸多弊端，不能满足实时性、准确性的需求，建立了一套采用现代通讯技术实现安全、可靠、高效实时远程资产管理系统.该系统由集团总公司系统和区域公司(分公司)系统两部分构成，其软硬件及通讯实现方式经过实际应用效用良好.

微服务架构；Linux操作系统；虚拟专用网络；数据通讯网关

近年来，随着新能源(风电、太阳能等)、水电、水务(自来水、污水处理、海水淡化等)等领域投资业务的快速发展，国内大型集团公司旗下投资的项目数量逐渐增多，这些投资的资产总价值很高，数量较多，地域分布广，且各个投资项目种类不同，各有自己的特点.不同的子系统组成的大型集团给企业运营带来了一系列的规范化、标准化、精细化的问题.因此，构建一个统一的投资项目管理系统，实现信息的安全有效沟通和管理的系统化，以满足资产实物管理和提升效益的需要,已成为大型公司集团化管理的迫切需求.

远程资产管理系统是由区域项目公司生产管理系统和平台公司集中资产管理系统两个部分组成.随着通讯技术的发展、国家在网络通讯等基础领域的不断投入，以光纤接入为代表的有线接入网络和以3 G/4 G接入为代表的无线接入网络已覆盖全国各地，网络带宽不断增加，费用逐步降低，为远程管理提供了坚实的基础.然而，在享受高速网络互联网带来便捷的同时，伊朗核电站遇黑客袭、斯诺登事件等也为网络安全敲响了警钟.因此，远程资产管理系统的安全性、可靠性、实时性和可维护性成了建设过程中必须重点考虑的因素.本文根据国家电监会5号令《电力二次系统安全防护规定》的要求，按“安全分区、网络专用、横向隔离、纵向认证”的16字原则，设计实现了由现场数据采集系统、数据单向传输系统、视频监控系统、远程数据通讯系统、数据汇总系统、大屏幕幕墙、数据分析、处理、展示系统等组成的综合远程资产管理系统，实现了集团公司管理效率的提升，也为大型公司远程资产管理的信息化奠定了重要的基础[1].

1 通讯方案选择

远程通讯系统是远程管理系统的基础：接入方式可以采用运营商专线接入，或采用在公网上自建虚拟专用网络的VPN接入方式.专线接入具有安全性高，系统稳定的特点，但运营费用高.VPN技术是利用开放的公用网络建立专用网络实现远程访问,虽然稳定性、安全性稍逊于专线接入，但运营价格低.常用的VPN技术方案有以下三种.

(1)L2TP/PPTP VPN

L2TP/PPTP VPN(Layer 2 Tunneling Protocol)，即二层隧道协议/Point-to-Point Tunneling Protocol，点到点隧道协议.L2TP/PPTP VPN用PPP协议封装原始数据，然后增加包头在互联网络上传输，采用MPPE、CHAP等加密算法，相对安全性较差.由微软等厂商主导开发，配置连接方便，常用于桌面电脑远程接入.

(2)IPSec VPN

IPSec VPN(Internet Protocol Security)采用IETF制定的三层隧道加密协议，规定了如何在对等体之间选择安全协议、确定安全算法和密钥交换，向上提供了访问控制、数据源认证、数据加密等网络安全服务，安全性较高.支持厂家众多，但安装、配置较为复杂.

(3)SSL VPN

SSL VPN以HTTPS(Secure HTTP，安全的HTTP，即支持SSL的HTTP协议)为基础，充分利用了SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制，为应用层之间的通信建立安全连接.[2]同时还具有精细的访问控制能力，可以为不同的用户提供不同的访问权限.易于安装和配置，维护成本低.

在本项目中采取VPN接入方案是以硬件IPSecVPN设备为主通讯链路，在对外通讯的Linux主机上安装OpenVPN客户端软件建立SSL VPN备用通道的冗余通讯方案，同时增加短信通讯模块作为备用通道[3]，可以满足生产管理需求.该系统网络通讯架构(见图1).

图1 远程资产管理系统通讯架构

2 数据通讯网关

由于各业务系统建设的年代不同，建设单位不同，造成现场设备的多样性，数据传输有的采用串口通讯，有的采用以太网通讯，通讯规约也各不相同.监控系统在独立运行时可以正常工作，但当需要将各系统数据集中处理时面临底层数据格式不同的问题.

为了解决这个问题，本系统开发了通用的数据通讯网关软件：数据通讯网关运行在Linux操作系统上，采用C语言开发，符合ANSI标准.数据通讯网关整体由数据采集层，实时数据层，数据服务层组成，采用微服务的设计思想，由多个独立的程序协同完成数据交互，通过配置文件完成不同的数据转换功能[4].数据流的传输(见图2).

图2 数据流示意图

图2数据采集层实现各种类型的数据采集功能，物理连接采用串口或网络连接，既可以采用IEC103、ModbusRTU、ModbusTCP、CDT等工业通讯规约[5]，实现SOE功能和UDP数据单向数据传输功能，也可以连接数据库，读取文本，或通过开发包实现自定义规约.

实时数据层采用内存数据库存储数据，将各种不同的规约数据转化成统一格式.按照最终用户理解的业务名保存了数据的点名、数值、数据品质和数据的最后采集时间.

服务层读取实时数据层的数据，采用ModbusTCP、IEC104等工业通讯规约为自控系统提供数据服务，同时提供基于HTTP协议的数据点REST服务[6-7].

查看数据采集层的原始报文数据，实时数据层数据，服务层数据.监视各程序运行状态，系统配置功能.同时，该系统数据通讯网关还具有完善的管理、日志功能，监控程序监视各层各个应用程序的监控状况，通过心跳数据和各程序上报的状态分析程序运行状况.当检测到相应的程序出现问题时可自动重启相关程序，从而可保证系统长期稳定运行.

3 区域公司(分公司)系统

本文以下只恩水电站为例，介绍该系统分公司系统的主要架构及实现方法.下只恩水电站位于云南迪庆州香格里拉县的格基河上,安装两台20 MW立式混流机组，于2010年投入运营.下只恩水电站地处偏远地区，现场技术相对薄弱，管理上主要依靠每月人工汇总上送的月报，总部无法准确及时了解现场情况，也无法实施有效的监督管理和指导生产.

在建立区域公司管理系统时，考虑到现场的实际情况，为了保证系统的稳定运行，减少后期的维护工作量，在设备选型上选用工业级产品，所有元件安装在一个网络柜内，在总部调试完成后整体发运现场.现场仅需接入电源和网络就投入了运行，实现低成本运营.该系统整体架构(见图3).

图3 下只恩水电站通讯网络架构图

3.1 硬件组成

原监控系统控制部分由通用电气的GE9030PLC实现控制逻辑，位于安全Ⅰ区，通过专用的工业以太网和监控工业电脑实现数据交互.通过防火墙与位于安全Ⅱ区的通讯网关相连.

Ⅱ区的通讯网关通过正向安全隔离网闸连接安全Ⅲ区的通讯网关.生产管理区有视频监控系统、短信收发模块和数据处理服务器，通过VPN连接数据中心.

3.2 软件结构

位于安全Ⅱ区的通讯网关配置了两个功能模块：

模块Ⅰ：使用ModbusTCP客户端采集实时控制系统的，有线路和机组的电压、电流，断路器、开关的地位置信息，水库的水位等关键信息，共3 580点.

模块Ⅱ：采用完全单向(UDP发送)通讯方式将数据计算机监控系统数据通过正向隔离网闸传输到安全Ⅲ区.

位于安全Ⅲ区的通讯网关配置了三个功能模块：

模块Ⅰ：使用UDP接收数据，存放到内部实时内存数据库；

模块Ⅱ：使用ModbusTCP服务端将内部实时内存数据库再开放出来.

模块Ⅲ：配置REST服务开放实时内存数据库.

生产管理服务器采用ModbusTCP规约通过Ⅲ区的通讯网关读取数据，并解析成实时控制系统数据，定时生成日报表，可以通过短信模块发送到相关人员手机上.

生产管理服务器同时安装了OpenVPN的客户端软件，通过另一条运营商的光纤通讯网络连接到数据中心，形成第二条数据通道.

这两条采用软硬件结合的VPN数据通道互为备用，解决了边远地区基础网络服务不够稳定的问题,提高了与数据中心的网络连接可靠性.

4 集团总公司系统

远程资产管理数据中心位于杭州总部，通过远程实时采集各区域公司的自动化控制数据、视频数据和生产管理数据，根据业务需求存储在相应的数据库内；通过大屏幕；个人电脑的浏览器；手机的App、微信、短信等多种展示方式，为总公司的经营管理提供了丰富的数据，也为生产决策提供了有效的支撑.此外，该系统也可以为集团公司的业务伙伴提供一个生动有效的交互展示平台，以方便各业务主体之间的商务、技术、运营等方面的交流[8].

4.1 硬件组成

中心展示现场硬件组成：由VPN路由器，数据汇总服务器，私有云服务器，大屏幕幕墙，视频矩阵，视频管理主机，画面监控数据展示服务器，视频服务器等组成；

中心VPN路由器：和各区域公司的VPN路由器相连，提供安全可靠的数据连接链路；

数据汇总服务器：位于VPN路由器后，将各业务数据按类型解码，存储在内存数据库中供后端的各应用程序使用；

私有云服务器：由应用服务器，数据库服务器，Web发布服务器等采用私有云技术构成的虚拟服务器系统，完成各生产报表、存储历史关键数据，通过API为前端程序提供数据服务；

大屏幕墙：由16块55寸超窄边液晶监视器组成，通过HDMI接口共可接收16路高清视频信号；

视频矩阵：可接收24路各种类型的视频输入型号，输出16路高清视频型号，与视频管理主机一起实现对各种输入输出信号的切换；

画面监控数据展示服务器：内置10路显卡，可同时输出10路高清关键业务的画面；

视频服务器：负责接收各区域公司的数字视频信号，通过软硬件解压后输出现场实时监控视频画面.

4.2 软件结构

操作系统采用Linux，大量采用开源软件技术，系统软件采用微服务架构，分布在不同的服务器之间的各应用软件通过API协同工作，共同完成数据的采集、存储、分析、展示功能.

展示系统采用B/S架构，设计分为三层，分别为数据层、服务层、展示层.该系统架构层次划分(见图4).

图4 系统软件架构图

数据层：区域公司的实时生产数据通过数据通讯网关传输至集团总部，数据层的后台程序将接收到的数据进行处理并存储在集团总部PostgreSQL数据库中，并向服务层提供数据访问接口；

服务层：主要负责数据的计算处理与系统业务解释，并为微信、邮件及短信等服务提供接口；

展示层：设计分为两部分，一部分是为桌面系统浏览器设计，该部分采用HTML5实现前端页面设计，并且使用基于JS标准的图表库生动形象的展示了数据的对比与变化，通过Ajax实现与后台数据进行实时交互；可以在不同操作系统和浏览器上运行.另一部分使用微信网页开发，通过访问服务层提供的接口，实现对数据的展示和用户浏览操作，该部分接入企业公众号，微信用户关注企业公众号后可被授权访问.展示层前端页面可以根据业务需求进行定制，结合SVG技术可实现SCADA监控画面WEB展示，并且可以提供生产统计图表和数据监视等，该系统可以适用于多种场景(如：水电、光伏、风电、水务等).

5 结 论

本文针对大型集团公司与其区域子公司之间交流、管理效率过低的问题，建设了一套远程资产管理系统.该系统投入运行后，有效提升了区域公司和集团公司的沟通效率，降低了交流、维护的成本，为管理决策提供了有力的数据支持.通过一段时间的运行，帮助领导、技术专家相继发现了现场水轮机低水头运行等问题，集团公司远程专家会诊后提出了蓄水到高效水位后间歇发电的优化运行技术方案.通过持续有效的管理和运营，发电量从2015年的6 900万kW·h提升到2016年的8 800万kW·h，有效地提升了发电效率，提高了经济效益.

目前系统运行稳定可靠，运营管理也已日趋成熟.需要指出的是，该系统在边远地区的运营商供电方案管理方面还存在一定缺陷，有时存在所有通讯基站失电断网的情况，因此，为了进一步提高通信的可靠性，硬件上可以考虑增加北斗卫星通讯链路.在软件的功能上目前主要以报表和数据展示为主，下阶段也可以考虑增加大数据分析算法，进一步发掘数据价值.

[1] 杨正洪,郑齐心,吴 寒.企业云计算架构与实施指南[M].北京:清华大学出版社，2010.

[2] 陶利军.构建虚拟专用通道——OpenVPN服务器详解与架设指南(基于Linux)[M].北京:清华大学出版社，2012.

[3] OpenVPN Technologies, Inc.. OpenVPN Community Software[EB/OL].[2016-10-15]. https://openvpn.net/index.php/open-source/245-community-open-source-software-overview.html.

[4] 王 磊.微服务架构于实践[M].北京:电子工业出版社，2016.

[5] AERLIOS R,WOLTI S.FreeModbus[EB/OL].(2014-06-09)[2016-09-10].https://sourceforge.net/projects/freemodbus.berlios.

[6] 赵 渊,沈智建.基于TCP/IP的IEC60870-5-104运动规约在电力系统中的应用[J].电网技术,2003,27(71)：56-60.

[7] 张 晓,姜培刚.FreeModbus RTU在串行链路上的研究与实现[J].工业控制计算机，2015，28(5)：69-70.

[8] PETER L,BRIAN A,FRANK S. HTML5程序设计[M].北京：人民邮电出版社，2012.

Architecture Analysis on Remote Asset Management System

GAO Wei-zhong, LI Yu-long, LIU Yue-xin, XU Jun-yang
(Powerchina Huadong Engineering Co., Ltd. Hangzhou 311122, China)

Modern group companies is usually composed of multiple distribution branches which means the head companies need a timely manner to get the actual production operation of their branches; and the branches also need to supply the technology and management support to their head companies. The traditional management system based on artificial statements or telephone communication cannot satisfy the real-time and accuracy demands of the modern management, which requires a safety, reliability and efficiency management technology to better manage the entire system. To solve this issue, the company has established a remote asset management system, which realizes the remote asset management of group companies. In this paper, the software and hardware and communication strategy will be introduced, and with a practical application, the system's concrete realization method will be detail described.

Micro-service architecture; Linux Operating System; VPN; communication gateway

2016-10-28

高伟中(1970-)，男，浙江杭州人，高级工程师，研究方向为自动化控制及计算机通信网络.

TP311.52

A

1008-536X(2017)02-0077-06