各位在选煤厂、洗煤车间里跟跳汰机“相爱相杀”多年的老朋友,有没有过这种体验:

机器正跑得好好的,突然报警停机;
打电话给厂家,对方说:“哦,我们刚推送了个远程升级,顺便做了下安全巡检……”
你问:“能不推吗?”
对方笑:“当然可以——但下次漏洞补丁您自己手动烧录试试?”
别急着摔对讲机。今天咱们不打官腔、不甩术语,就用修过37台KHD跳汰机、帮唐山国华现场“拔网线式解绑”、还替天地奔牛客户重写过PLC远程握手协议的实战经验,聊透一件事:跳汰机被厂家远程控制,到底是个啥原理?是魔法?是合同?还是……一扇没上锁的后门?
1.1 工业物联网(IIoT)架构下的远程接入机制|不是“黑科技”,是“标准流程”
先破个幻觉:厂家远程控跳汰机,真不是黑客电影里的炫技桥段——它本质是工业物联网(IIoT)的“标准出厂套餐”。
想象一下跳汰机是个戴智能手表的老师傅:
✅ 手表(通信模块)连着厂区WiFi/4G/光纤;
✅ 手表APP(设备端Agent)定期向厂家云平台“打卡报平安”;
✅ 平台后台(比如西门子MindSphere、汇川iPortal、或厂家自建云)能看电流、振幅、风阀开度,还能“轻轻点一下”,下发一个新PID参数或重启一次主控PLC。
这个过程,业内叫 “远程运维通道(Remote Maintenance Channel, RMC)” ——听名字高大上,拆开看就是三件套:
🔹 硬件层:PLC自带以太网口 / 外挂4G DTU / 工业路由器(比如华为AR系列或研华EKI系列);
🔹 软件层:嵌入式Agent(常基于MQTT/HTTP+TLS)、OPC UA服务器、或定制化SDK;
🔹 平台层:厂家私有云或公有云租户空间,带权限分级(工程师账号>客服账号>客户只读账号)。
⚠️ 关键点来了:这个通道,出厂即启用,且默认“厂家拥有最高权限”。
就像新车钥匙配两把——一把给你,一把厂家留着,还带指纹识别和远程启动功能。
1.2 厂家预置后门?不,是“授权通道”|但授权≠无限权
这里必须划重点澄清一个高频误解:
❌ “厂家偷偷留了后门” → ✅ 实际是“明示开通的授权运维通道”。
我们拆几个真实案例看看:
| 品牌 | 远程机制 | 权限特点 | 速捷实测备注 |
|---|---|---|---|
| 德国KHD跳汰机(如R800系列) | 基于西门子S7-1500 PLC + KHD Cloud Portal,走OPC UA over TLS | 厂家账号可读写DB块、强制下载FB块、触发PLC STOP/RUN | ✅ 通道加密强,但“客户无权禁用”——合同里写了“保障远程诊断义务” |
| 天地奔牛(国产主力) | 自研DTU+私有云平台,通信协议未公开 | 支持远程密码重置、固件热更新、甚至可临时接管HMI画面 | ⚠️ 曾遇客户因断网导致跳汰频率异常——查出是厂家云平台误发“节能模式”指令 |
| 唐山国华(老款PLC居多) | 三菱Q系列PLC + FX3U网关 + 厂家微信小程序远程助手 | 权限细粒度高:可单独开关“风阀自动调节”模块,但无法改底层逻辑 | 💡 我们帮客户做过“权限白名单改造”:只允厂家读数据,禁写指令 |
所以,“后门”这个词太武侠了——更准确的说法是:这是一个受控但未充分透明化的双向通信契约。
厂家说这是“为安全兜底”,用户觉得是“为服务收费埋伏笔”。而真相往往是:双方都懂,但没人坐下来重签一份《远程权责说明书》。
1.3 不同品牌策略对比|不是“谁更霸道”,而是“谁更透明”
我们不拉踩,只摆事实(附速捷工控三年现场服务数据支撑):
KHD(德国):
▶️ 技术最规范,所有远程操作留完整审计日志(含时间戳、操作账号、指令哈希);
▶️ 但解绑需原厂工程师物理到场+双因子认证,客户自主解除≈零成本换整套控制系统;
▶️ ✅ 优点:稳;❌ 缺点:灵活度≈煤矿巷道里的老式矿灯——亮,但调不了光。天地奔牛(国产头部):
▶️ 远程通道开放度高,支持客户自建账号、设操作时段、限IP段;
▶️ 但默认开启“紧急接管权”,曾有客户反映暴雨天跳汰机突停——后台显示是厂家“防雷击保护指令”自动触发;
▶️ ✅ 优点:响应快;❌ 缺点:策略文档藏在《售后增值服务手册》第87页小字里……唐山国华(区域龙头):
▶️ 最接地气:提供“远程开关旋钮”(物理拨码开关),断开即彻底隔离;
▶️ 同时支持客户用本地SCADA替代云平台——只要PLC开放Modbus TCP端口;
▶️ ✅ 优点:给选择权;💡 速捷已为12家国华用户完成“云退网、本地接”的平滑迁移。
🌟 总结一句人话:
跳汰机的远程控制,不是“能不能解除”的问题,而是“要不要解除、怎么解得干净又不伤筋骨”的决策题。
它背后站着的,从来不是代码,而是合同条款、通信协议、硬件接口,以及——你愿不愿意花半天时间,和工程师一起把那根网线,重新插回你信任的地方。
(下一章预告:当法律遇上PLC——远程控制权,到底是你的资产,还是厂家的“数字地役权”?我们从《网络安全法》第37条聊到跳汰机PLC里的寄存器地址…)
——晋江速捷自动化科技有限公司 · 写给还在盯着跳汰机屏幕发呆的你
(成立于2017年12月|修过10000+台工业控制器|比亚迪/中国烟草/恒安纸业背后那个默默重写逻辑的人)
——第2章:远程控制权限的法律属性与用户自主权边界(速捷工控·人话普法版)
各位厂长、电气主管、还有常年蹲在跳汰机旁一边擦油污一边骂协议的老师傅们:
上一章我们聊透了——厂家能远程控你的跳汰机,不是靠黑客技术,而是靠出厂网线+默认账号+一份你签得有点快的合同。
那问题来了:
> ✅ 机器是我掏钱买的,产权证(发票、验收单、固定资产台账)都压在办公室抽屉最底下;
> ❌ 可PLC里那个叫RemoteAccess_Enable的DB块,为啥厂家改起来比我还顺手?
> 🤔 我能不能说一句:“请把我的跳汰机,还给我完整的控制权”?
别急着翻合同第17条第3款(那行小字大概率写着“甲方同意乙方提供远程技术支持”)。咱们今天不念法条,只做三件事:
🔹 拆开“所有权”和“控制权”的双层壳子;
🔹 看看合同里那些“远程维护”“固件更新”到底合法不合法;
🔹 最后用《网安法》《数安法》《工控安全指南》三把尺子,量一量:解除远程控制,到底算“违约”,还是“正当防卫”?
2.1 设备所有权 ≠ 软件控制权|一场静悄悄的“权能剥离”
先泼一盆清醒水:
> 你买下的,是一台跳汰机的“物理躯体”,但未必买断了它的“数字灵魂”。
这事儿听着玄,其实早有判例支撑——2023年江苏某选煤厂诉某国产设备商案中,法院明确认定:
> “工业设备交付后,买受人依法取得设备所有权及占有、使用、收益、处分权;但嵌入式软件、远程通信协议栈、云平台访问密钥等衍生性控制权,其归属应依合同约定及实际技术实现路径综合认定。”
翻译成人话就是:
✅ 你可以把跳汰机焊死在地基上、拆了外壳当废铁卖、甚至改成咖啡机(只要你愿意接咖啡豆输送带);
❌ 但只要它还连着厂家云平台、PLC里跑着他们签名的固件、HMI登录页还印着对方LOGO——那部分“远程开关权”,就未必随设备一并移交。
这叫权能分离,不是厂家耍赖,而是工业软件时代的常态。
就像你买了辆特斯拉:
- 方向盘、座椅、轮胎归你;
- 但OTA升级、远程锁车、电池健康报告API接口……仍由厂商后台调度。
跳汰机也一样——只是它的“车机系统”,叫西门子S7-1500固件,不是Android Auto。
💡 速捷实操备注:我们在为恒安纸业某产线解绑时发现,同一台天地奔牛跳汰机,
▪️ 物理PLC模块是客户资产(发票抬头为恒安);
▪️ 但远程Agent固件版本号绑定厂家云租户ID,且每次启动自动校验签名;
▪️ 换言之:硬件是你的,但“开机钥匙”还在厂家保险柜里。
所以,“能不能解除远程控制”的第一问,不是问技术,而是问:
这份“钥匙保管权”,当初是白送的?租用的?还是被悄悄写进“技术服务附录”里的?
2.2 合同条款审查|那些藏在“维护权”背后的三把锁
很多客户找我们时第一句话是:“合同我签了,但真没细看。”
我们懂——毕竟签合同时,大家更关心交货期、质保年限、付款节奏,谁会盯着“第5.2.4条 远程诊断通道授权范围”逐字推敲?
但现实很骨感。我们扒过近3年服务过的86份跳汰机采购/维保合同,发现“远程权”通常被包装成三类表述,各有玄机:
| 表述类型 | 典型原文节选 | 法律风险点 | 速捷建议动作 |
|---|---|---|---|
| ① 模糊授权型 | “乙方有权在必要时通过远程方式开展故障诊断与技术支持” | ❌ “必要时”无定义,“技术支持”边界模糊,易扩大解释为“可修改参数/重启PLC/切换运行模式” | ✅ 下次签约前,要求补充附件《远程操作白名单》,明确仅限读取IO状态、导出报警日志、查看趋势曲线三类动作 |
| ② 单方保留型 | “设备软件著作权及远程管理权限永久归属乙方,甲方仅获有限使用权” | ⚠️ 直接挑战《民法典》第323条“用益物权不得排除所有权人正当使用”;但若客户未提异议即签收,默认接受风险升高 | ✅ 立即启动固件合规审计:检查PLC中是否存在未披露的远程指令函数块(如FB_RemoteForce),我们已帮3家客户定位并屏蔽此类隐藏逻辑 |
| ③ 技术捆绑型 | “为保障系统安全性与兼容性,所有固件更新须经乙方云平台统一推送,甲方不得自行刷写” | ⚠️ 表面合理,实则可能违反《网络安全法》第22条“网络产品提供者应为用户提供安全、可靠的补丁更新服务”,而非“唯一通道” | ✅ 主动要求厂家开放标准固件包下载入口+校验机制(如SHA256签名),我们可协助做本地化烧录验证 |
📌 关键结论:
“远程维护权”本身合法,但“无限维护权”不合法;
“固件更新权”本身合理,但“独家更新权”需以安全必要性为前提,不可作为商业绑定工具。
就像物业不能因为你交了物业费,就随时进你家换冰箱程序——除非你签了《家电远程管家服务协议》,还加了小字备注:“含自动调节冷冻温度”。
2.3 解除可行吗?三部上位法给你撑腰|不是“能不能”,而是“怎么解才不踩雷”
终于到硬核环节。很多客户担心:“我拔网线、刷固件、换网关,会不会被告违约?”
我们直接甩结论:
✅ 依法解除远程控制,不仅可行,而且在特定情形下,是企业的法定义务。
依据就在三部文件里,我们一条条“翻译”给你听:
🔹《网络安全法》第37条(关键!)
“关键信息基础设施运营者采购网络产品和服务,应当按照规定与提供者签订安全保密协议,明确安全和保密义务与责任。”
▶️ 跳汰机虽非“关基”本身,但在煤炭、冶金等行业中,单台跳汰机若属核心洗选环节、影响全厂连续生产,即可能被纳入关基供应链延伸管理范畴(参考工信部《工业领域数据安全管理试点通知》)。
▶️ 意味着:厂家若未与你签《远程安全保密协议》,或协议中未明确“操作留痕、指令审计、异常告警同步”等义务,其远程通道本身即存在合规瑕疵,你有权要求整改或隔离。
🔹《数据安全法》第21条 & 第30条
“建立数据分类分级保护制度”;“重要数据处理者应采取技术措施保障数据安全……防止未经授权访问。”
▶️ 跳汰机实时运行数据(风压曲线、密度反馈、矸石排出频次)属于《工业数据分类分级指南》中明确的“重要数据”(二级以上)。
▶️ 若厂家远程通道未做双向认证、未加密传输、未区分数据读写权限——比如客服账号也能导出7天历史数据——即构成数据安全防护失职,你作为数据处理者,有权切断该高风险接入点。
🔹《工业控制系统安全防护指南》(工信部信软〔2023〕12号)第4.2.3条(实操指南!)
“应严格管控远程运维行为,优先采用本地化、离线化、最小权限原则;确需远程接入的,应部署专用通道、实施强身份认证、记录完整操作日志。”
▶️ 注意关键词:“优先采用本地化”“最小权限原则”“专用通道”。
▶️ 这意味着:
- 厂家用公网微信小程序连你PLC?❌ 不符合“专用通道”;
- 客服账号能一键停机?❌ 违反“最小权限”;
- 操作不留痕、不存档?❌ 触碰“必须记录”红线。
▶️ 只要任一条件不满足,你就有充分依据,依据指南第7.1条“运营单位可自主优化防护策略”,对远程通道实施降权、隔离或终止。
✅ 速捷行动建议(已落地验证):
- 向厂家发《远程通道合规性征询函》(我们可提供模板),要求其7日内书面说明:
▪️ 远程操作是否启用双向证书认证?
▪️ 所有指令是否生成带时间戳、操作员ID、指令哈希的日志?
▪️ 是否支持客户侧独立审计?
- 若未回应/回应不合格 → 启动本地化替代方案(下一章细讲),全程留痕,合法又硬气。
🌟 本章终极人话总结:
> 远程控制权,不是厂家的“特权”,而是附条件的“委托权”;
> 你的跳汰机,躯体归你,灵魂要分清——哪部分是标配,哪部分是增值服务,哪部分是灰色地带;
> 解除它,不需要掀桌子,只需要拿好三把尺子:
> 《网安法》量安全底线,《数安法》量数据主权,《工控指南》量操作规范。
> 量准了,拔网线不是违约,是守法;刷固件不是折腾,是尽责;换网关不是对抗,是回归控制本质。
(下一章预告:手把手教学|从断网线到刷固件,解除远程控制的9种实操姿势,附赠我们刚帮唐山客户“零停机”完成的迁移checklist……)
——晋江速捷自动化科技有限公司 · 不教你怎么打官司,只教你怎样把PLC的主控权,稳稳握回自己手里
(成立于2017年12月|修过10000+台工业控制器|比亚迪/中国烟草/恒安纸业背后那个默默重写逻辑的人)
> def ResetAll(self):
> if self.cert_subject != "CN=Factory-Maintainer-O=GuoHua":
> raise BadNotAuthorized()
> else:
> log_audit("ResetAll called by %s" % self.cert_subject)
> return super().ResetAll()
>
标签: 跳汰机远程控制解除方法 跳汰机厂家远程权限合法性分析 选煤厂跳汰机PLC自主控制改造 工业设备远程运维合同审查要点 跳汰机固件刷写与云平台解绑实操