一、研究內(nèi)容
1.基本原理
(1)OPC技術(shù)(OLE for Process Control)
用于過程控制的OLE)是一個(gè)工業(yè)標(biāo)準(zhǔn),管理這個(gè)標(biāo)準(zhǔn)的國際組織是OPC基金會,OPC基金會現(xiàn)有會員已超過220家。遍布全球,包括世界上所有主要的自動化控制系統(tǒng)、儀器儀表及過程控制系統(tǒng)的公司?;谖④浀腛LE(現(xiàn)在的Active X)、COM (部件對象模型)和DCOM (分布式部件對象模型)技術(shù)。OPC包括一整套接口、屬性和方法的標(biāo)準(zhǔn)集,用于過程控制和制造業(yè)自動化系統(tǒng)。
(2)COM技術(shù)(Component Object Model)
COM是一種為了實(shí)現(xiàn)與編程語言無關(guān)的對象而制定的標(biāo)準(zhǔn),該標(biāo)準(zhǔn)將Windows下的對象定義為獨(dú)立單元,可不受程序限制地訪問這些單元。這種標(biāo)準(zhǔn)可以使兩個(gè)應(yīng)用程序通過對象化接口通訊,而不需要知道對方是如何創(chuàng)建的。
2.關(guān)鍵技術(shù)
(1)OPC DA轉(zhuǎn)OPC UA
通過OPC DA Client采集驅(qū)動采集煤礦各子系統(tǒng)OPC接口數(shù)據(jù),通過OPC UA Server將本地OPC DA數(shù)據(jù)轉(zhuǎn)發(fā),作為服務(wù)器以自定義端口上傳,并以49320作為OPC UA Server端口,OPC UA Client通過自定義端口認(rèn)證OPC UA Server,同時(shí)建立連接,實(shí)現(xiàn)數(shù)據(jù)采集。
(2)OPC UA傳輸模型
第一層:礦端采集匯聚層
各礦搭建OPC數(shù)據(jù)采集服務(wù)器,采集服務(wù)器使用OPC DA采集煤礦各子系統(tǒng)數(shù)據(jù),基于傳統(tǒng)OPC和DCOM技術(shù)實(shí)現(xiàn)數(shù)據(jù)接入,通過OPC UA向外轉(zhuǎn)發(fā)數(shù)據(jù)。
第二層:煤業(yè)公司采集層
各煤礦出口的安全隔離網(wǎng)閘、煤礦出口防火墻、煤業(yè)公司采集服務(wù)器等設(shè)備,數(shù)據(jù)通過煤業(yè)公司專線傳輸。煤礦OPC采集服務(wù)器通過OPC UA協(xié)議以固定端口雙向傳輸技術(shù)經(jīng)過安全隔離網(wǎng)閘,通過防火墻安全策略,以O(shè)PC UA接口經(jīng)數(shù)據(jù)加密技術(shù)實(shí)現(xiàn)工業(yè)數(shù)據(jù)的采集。
第三層:煤企集團(tuán)采集平臺層
包括煤業(yè)公司出口網(wǎng)閘、防火墻、VPN、煤企集團(tuán)采集平臺服務(wù)器等設(shè)備,數(shù)據(jù)通過VPN專線傳輸。煤企采集服務(wù)器通過OPC UA協(xié)議以固定端口雙向傳輸技術(shù)經(jīng)過煤業(yè)公司安全隔離網(wǎng)閘和防火墻,以O(shè)PC UA接口經(jīng)過加密技術(shù)實(shí)現(xiàn)工業(yè)數(shù)據(jù)到煤企集團(tuán)的采集。
3.工藝流程
煤企集成平臺主要監(jiān)測各煤礦綜合自動化數(shù)據(jù)系統(tǒng),煤企集團(tuán)一般由數(shù)個(gè)煤業(yè)公司以及數(shù)十個(gè)煤礦構(gòu)成。在各煤礦中存在工業(yè)環(huán)網(wǎng)、通訊專線、辦公網(wǎng)絡(luò)等網(wǎng)絡(luò),煤礦綜合自動化系統(tǒng)都是基于工業(yè)網(wǎng)絡(luò)通訊的系統(tǒng),網(wǎng)絡(luò)相對封閉,同樣網(wǎng)絡(luò)內(nèi)部安全系數(shù)相對偏低,為實(shí)現(xiàn)集團(tuán)對各煤礦綜合自動化系統(tǒng)數(shù)據(jù)的集成。系統(tǒng)的采集設(shè)計(jì)通過三層結(jié)構(gòu)設(shè)計(jì)工業(yè)子系統(tǒng)數(shù)據(jù)通過OPC UA技術(shù)由各煤礦上傳至煤業(yè)公司再上傳至煤企集團(tuán)的過程,設(shè)計(jì)圖如下:
(1)系統(tǒng)第一層為各礦子系統(tǒng)匯聚層,主要包括各礦搭建OPC數(shù)據(jù)采集服務(wù)器,通過OPC數(shù)據(jù)采集服務(wù)器集成煤礦各子系統(tǒng)如排水系統(tǒng)、通風(fēng)系統(tǒng)、皮帶系統(tǒng)等子系統(tǒng)采集站的數(shù)據(jù),其采集模式是基于OPC DA方式;從排水系統(tǒng)、通風(fēng)系統(tǒng)、皮帶系統(tǒng)等子系統(tǒng)通過各子系統(tǒng)的通訊規(guī)約如MODBUS, PROFIBUS,104電力規(guī)約等形式的數(shù)據(jù)。
考慮到目前全國絕大多數(shù)煤礦子系統(tǒng)采集站基本支持OPC DA接口,故采集服務(wù)器使用OPC DA采集煤礦各子系統(tǒng)數(shù)據(jù),基于傳統(tǒng)OPC和DCOM技術(shù)實(shí)現(xiàn)數(shù)據(jù)接入。由于工業(yè)控制網(wǎng)的相對隔離性,必須將OPC采集服務(wù)器布置在網(wǎng)閘的內(nèi)側(cè),對OPC采集服務(wù)器的出口做隔離限制。
(2)系統(tǒng)第二層為煤礦工業(yè)數(shù)據(jù)的出口到煤業(yè)公司的出口之間,主要包括各煤礦出口的安全隔離網(wǎng)閘、煤礦出口防火墻、煤業(yè)公司采集服務(wù)器等設(shè)備,數(shù)據(jù)通過煤業(yè)公司專線傳輸。煤礦OPC采集服務(wù)器通過OPC UA協(xié)議以固定端口雙向傳輸技術(shù)經(jīng)過安全隔離網(wǎng)閘,通過防火墻安全策略,以O(shè)PC UA接口經(jīng)數(shù)據(jù)加密技術(shù)實(shí)現(xiàn)工業(yè)數(shù)據(jù)的采集。
與傳統(tǒng)OPC DA技術(shù)數(shù)據(jù)傳輸相比,采用OPC UA技術(shù)可以更方便安全的經(jīng)過網(wǎng)閘,只需要開通OPC UA的服務(wù)器設(shè)定端口即可,從而避免了傳統(tǒng)OPC DA基于動態(tài)端口的形式,導(dǎo)致更容易受到外部攻擊,而且更容易通過防火墻的出站、入站規(guī)則策略,保障了網(wǎng)絡(luò)通訊安全。
(3)系統(tǒng)第三層為煤業(yè)公司數(shù)據(jù)的出口到煤企集團(tuán)公司的采集平臺,主要包括煤業(yè)公司出口網(wǎng)閘、防火墻、VPN、煤企集團(tuán)采集平臺服務(wù)器等設(shè)備,數(shù)據(jù)通過VPN專線傳輸。煤企采集服務(wù)器通過OPC UA協(xié)議以固定端口雙向傳輸技術(shù)經(jīng)過煤業(yè)公司安全隔離網(wǎng)閘和防火墻,以O(shè)PC UA接口經(jīng)過加密技術(shù)實(shí)現(xiàn)工業(yè)數(shù)據(jù)到煤企集團(tuán)的采集。
由于煤企的區(qū)域分散性,經(jīng)過VPN專線傳輸過程必須做好網(wǎng)絡(luò)安全防護(hù),主要包括通過煤業(yè)公司對外的安全隔離網(wǎng)閘,保證工業(yè)采集數(shù)據(jù)物理鏈路的隔離,通過防火墻避免了直接暴露在互聯(lián)網(wǎng),保障工業(yè)數(shù)據(jù)的安全傳輸,并在煤業(yè)公司采集服務(wù)器及煤企采集平臺中安裝最新殺毒軟件,防止外部攻擊,保護(hù)工業(yè)數(shù)據(jù)采集的安全。
二、成果特點(diǎn)
煤企集成平臺的建設(shè)特點(diǎn)因各煤礦分散導(dǎo)致無法通過私有專線傳輸,通過OPC UA技術(shù)可以很好的保障工業(yè)數(shù)據(jù)從煤礦到煤業(yè)公司再到煤企采集平臺的跨專網(wǎng)、跨公網(wǎng)的數(shù)據(jù)傳輸,對比傳統(tǒng)的OPC DA、ODBC、FTP等采集技術(shù)相比,采用OPC UA有以下安全采集特點(diǎn)。
(1)數(shù)據(jù)傳輸?shù)陌踩用苄浴?
與OPC DA技術(shù)相比OPC UA加大了數(shù)據(jù)傳輸過程的加密性,包括X509 認(rèn)證、OpenSSL 加密、用戶名 / 密碼等方式,通過用戶鑒權(quán)、簽名和加密傳輸,防止非授權(quán)訪問和過程數(shù)據(jù)損壞。
(2)數(shù)據(jù)通訊的安全穿透性。
OPC UA 規(guī)范可以通過任何單一端口 (經(jīng)管理員開放后)進(jìn)行通信。這讓穿越防火墻不再是OPC通信的路障,并且為提高傳輸性能, OPC UA消息的編碼格式可以是XML文本格式或二進(jìn)制格式,也可使用多種傳輸協(xié)議進(jìn)行傳輸,比如:TCP和通過HTTP的網(wǎng)絡(luò)服務(wù)。與傳統(tǒng)OPC DA相比OPC DA采用DCOM需要多個(gè)端口,如鑒權(quán)、傳輸數(shù)據(jù)和一系列服務(wù)建立一個(gè)連接。所以在防火墻中不得不打開很多端口,才能讓DCOM通信穿過他。在防火墻上每打開一個(gè)端口都是一個(gè)安全隱患,為黑客攻擊提供一種潛在可能。OPC UA中的隧道技術(shù)是一種被廣泛接受的策略,解決了傳統(tǒng)OPC產(chǎn)品中DCOM限制的問題。
(3)數(shù)據(jù)采集的實(shí)時(shí)性。
與ODBC和FTP方式相比,OPC UA傳輸實(shí)時(shí)性更高,同時(shí)運(yùn)行的穩(wěn)定性更高,數(shù)據(jù)傳輸相比ODBC和FTP更加迅速,相應(yīng)的更能適合工業(yè)數(shù)據(jù)的采集和傳輸。
(4)數(shù)據(jù)跨平臺的適用性。
OPC UA軟件的開發(fā)不再依靠和局限于任何特定的操作平臺。過去只局限于Windows平臺的OPC技術(shù)拓展到了Linux、Unix、Mac等各種其它平臺?;贗nternet的WebService服務(wù)架構(gòu) (SOA) 和非常靈活的數(shù)據(jù)交換系統(tǒng), OPC UA的發(fā)展不僅立足于現(xiàn)在,更加面向未來。
(5)配置易用性。
OPC DA配置基于DCOM來提供數(shù)據(jù)的加密和簽命功能,配置防火墻,用戶權(quán)限等方式進(jìn)行安全傳輸,但配置相對繁瑣,尤其對于不同的操作平臺以及較早的使用系統(tǒng),對于非專業(yè)工程師來說配置起來非常困難,而OPC UA技術(shù)使用的數(shù)據(jù)加密、簽名,防火墻等方式都是默認(rèn)方式,尤其是OPC DA使用的動態(tài)端口,端口不固定,通過防火墻很難,而OPC UA是基于固定端口,這就使得配置起來更加簡單,而且傳輸更加安全。
三、技術(shù)優(yōu)勢
1.功能方面,OPC UA不僅支持傳統(tǒng)OPC的所有功能,更支持更多新的功能:1. 網(wǎng)絡(luò)發(fā)現(xiàn):自動查詢本PC機(jī)中與當(dāng)前網(wǎng)絡(luò)中可用的OPC Server。2. 地址空間優(yōu)化:所有的數(shù)據(jù)都可以分級結(jié)構(gòu)定義,使得OPC Client不僅能夠讀取并利用簡單數(shù)據(jù),也能訪問復(fù)雜的結(jié)構(gòu)體。3. 互訪認(rèn)證:所有的讀寫數(shù)據(jù)/消息行為,都必須有訪問許可。
2.平臺支持方面,由于不再基于COM/DCOM技術(shù),OPC UA標(biāo)準(zhǔn)提供的更多的可支持的硬件或軟件平臺。硬件平臺諸如傳統(tǒng)的PC機(jī)、基于云的服務(wù)器、PLC、ARM等其他微處理器;而軟件平臺可支持微軟的Windows、蘋果公司的OSX、安卓,以及其他的基于Linux的分布式操作系統(tǒng)。
3.安全性方面,最大的變化是OPC UA可以通過任何單一端口(經(jīng)管理員開放后)進(jìn)行通信,這使得OPC通信不再會由于防火墻受到大量的限制。
相對于以往煤企集團(tuán)實(shí)現(xiàn)工業(yè)自動化數(shù)據(jù)采集通過OPC DA傳輸方式,OPC UA可以通行更加安全,更加穩(wěn)定,接入范圍更廣。
四、應(yīng)用案例
目前國內(nèi)絕大多數(shù)企業(yè)工業(yè)數(shù)據(jù)集成依然采用傳統(tǒng)OPC技術(shù),經(jīng)過網(wǎng)閘或防火墻開放過多端口,安全性得不到保障,OPC UA技術(shù)無疑更安全高效。OPC UA跨平臺能力更強(qiáng),可用于網(wǎng)頁端及移動端方面的應(yīng)用,更適合作為新一代工業(yè)數(shù)據(jù)采集技術(shù)。
本技術(shù)已在某有限公司綜合調(diào)度項(xiàng)目中獲得應(yīng)用,通過集成2個(gè)化工廠和2個(gè)煤礦實(shí)現(xiàn)自動化組態(tài)監(jiān)控web友好嵌入到綜合調(diào)度平臺中。
本技術(shù)在某能源智慧管控平臺(煤炭板塊、化工板塊)中獲得應(yīng)用,通過集成30個(gè)煤礦和23個(gè)化工廠實(shí)現(xiàn)自動化組態(tài)監(jiān)控web友好嵌入到綜合調(diào)度平臺中。
本技術(shù)已成功應(yīng)用到某集團(tuán)三期生產(chǎn)運(yùn)營平臺和中煤資源發(fā)展生產(chǎn)運(yùn)營平臺中,取得了較好的效果。
五、推廣應(yīng)用
與OPC DA技術(shù)相比OPC UA加大了數(shù)據(jù)傳輸過程的加密性,包括X509 認(rèn)證、OpenSSL 加密、用戶名 / 密碼等方式,通過用戶鑒權(quán)、簽名和加密傳輸,防止非授權(quán)訪問和過程數(shù)據(jù)損壞。
OPC UA 規(guī)范可以通過任何單一端口 (經(jīng)管理員開放后)進(jìn)行通信,這讓穿越防火墻不再是OPC通信的路障,并且為提高傳輸性能。
OPC UA軟件的開發(fā)不再依靠和局限于任何特定的操作平臺。過去只局限于Windows平臺的OPC技術(shù)拓展到了Linux、Unix、Mac等各種其它平臺。
基于OPC UA技術(shù)的數(shù)據(jù)采集特別適用于集團(tuán)層級、公司層級的系統(tǒng)平臺集成,在廠礦端也具有很廣的適用范圍。比較適用于基于互聯(lián)網(wǎng)、跨平臺、大數(shù)據(jù)等方面的數(shù)據(jù)集成,適合互聯(lián)網(wǎng)對數(shù)據(jù)高安全的要求。
轉(zhuǎn)化果平臺咨詢電話:400-1817-969