Kiến trúc SCADA WinCC cho nhà máy nước hải đảo
Nhà máy nước trên đảo có 3 thách thức tự động hóa đặc thù: kết nối internet không ổn định, nhân lực kỹ thuật mỏng, và khoảng cách xa trung tâm sửa chữa. Bài viết trình bày kiến trúc SCADA Siemens PLC + WinCC do SWATER chuẩn hóa cho các nhà máy 500–2.000 m³/ngày tại Hòn Thơm và Cát Bà.
1. Yêu cầu thiết kế
- Vận hành tự động hoàn toàn ở chế độ bình thường, vận hành viên chỉ giám sát.
- Cảnh báo SMS + email khi sự cố — kỹ sư trực có thể phản ứng từ xa.
- Truy cập SCADA từ Hà Nội/HCM qua VPN — debug, cập nhật phần mềm không cần ra đảo.
- Lưu trữ dữ liệu 10 năm cho báo cáo môi trường, audit.
- Hoạt động bình thường khi mất internet (degraded mode, không mất control).
2. Kiến trúc 3 lớp
Lớp Field (Layer 0): sensor 4–20 mA, RTD, encoder, lưu lượng kế điện từ Endress+Hauser, đo độ dẫn/pH/ORP/turbidity online.
Lớp Control (Layer 1): PLC Siemens S7-1500 CPU 1515-2 PN + ET200SP IO mở rộng. Profinet ring topology giữa 3 trạm IO chính (intake, RO, post-treatment) — 1 dây đứt vẫn chạy.
Lớp Supervisory (Layer 2):
- HMI tại chỗ: WinCC Comfort Panel TP1500
- SCADA server: WinCC Professional V18 trên Windows Server 2022, RAID-1 SSD
- Historian: WinCC Datalog → SQL Server, lưu 10 năm tag values
- Web client: WinCC WebUX cho truy cập từ HQ qua VPN WireGuard
3. Network topology
Để chống mất internet và DDoS, SWATER tách 3 mạng vật lý:
- OT VLAN 10: PLC ↔ HMI ↔ IO. Không có gateway internet. Tuyệt đối cô lập.
- DMZ VLAN 20: SCADA server, historian. Có VPN gateway ra HQ. Firewall whitelist.
- IT VLAN 30: máy tính văn phòng, internet. Không truy cập trực tiếp OT.
SCADA server đóng vai trò "data diode" — đẩy dữ liệu OT → IT, không cho phép chiều ngược lại trừ commands được signed.
4. Cảnh báo & escalation
3 cấp độ alarm:
- Warning (xanh dương): vận hành viên xác nhận tại HMI.
- Alarm (vàng): SMS đến trưởng ca + email log.
- Critical (đỏ): SMS + gọi tự động qua Twilio đến 3 số luân phiên cho đến khi có người ack.
Escalation logic chạy trên Node-RED chứ không trên PLC — tách biệt safety logic và business logic.
5. Bài học triển khai Cát Bà
- UPS APC 6 kVA + máy phát Cummins 50 kVA — đảm bảo PLC + HMI chạy 4h trước khi máy phát khởi động.
- Backup config PLC weekly tự động lên NAS Hà Nội qua VPN — đã cứu 1 lần PLC chết do sét đánh.
- Đào tạo 4 vận hành viên đảo: 2 tuần lý thuyết + 4 tuần thực hành tại nhà máy mẫu.
- Remote update firmware/HMI cần test trên môi trường shadow trước — sự cố 2024 do update WinCC làm crash 6h.