一、研究內(nèi)容
1.基本原理
(1)OPC技術(shù)(OLE for Process Control)
用于過程控制的OLE)是一個工業(yè)標準,管理這個標準的國際組織是OPC基金會,OPC基金會現(xiàn)有會員已超過220家。遍布全球,包括世界上所有主要的自動化控制系統(tǒng)、儀器儀表及過程控制系統(tǒng)的公司?;谖④浀腛LE(現(xiàn)在的Active X)、COM (部件對象模型)和DCOM (分布式部件對象模型)技術(shù)。OPC包括一整套接口、屬性和方法的標準集,用于過程控制和制造業(yè)自動化系統(tǒng)。
(2)COM技術(shù)(Component Object Model)
COM是一種為了實現(xiàn)與編程語言無關的對象而制定的標準,該標準將Windows下的對象定義為獨立單元,可不受程序限制地訪問這些單元。這種標準可以使兩個應用程序通過對象化接口通訊,而不需要知道對方是如何創(chuàng)建的。
2.關鍵技術(shù)
(1)OPC DA轉(zhuǎn)OPC UA
通過OPC DA Client采集驅(qū)動采集煤礦各子系統(tǒng)OPC接口數(shù)據(jù),通過OPC UA Server將本地OPC DA數(shù)據(jù)轉(zhuǎn)發(fā),作為服務器以自定義端口上傳,并以49320作為OPC UA Server端口,OPC UA Client通過自定義端口認證OPC UA Server,同時建立連接,實現(xiàn)數(shù)據(jù)采集。
(2)OPC UA傳輸模型
第一層:礦端采集匯聚層
各礦搭建OPC數(shù)據(jù)采集服務器,采集服務器使用OPC DA采集煤礦各子系統(tǒng)數(shù)據(jù),基于傳統(tǒng)OPC和DCOM技術(shù)實現(xiàn)數(shù)據(jù)接入,通過OPC UA向外轉(zhuǎn)發(fā)數(shù)據(jù)。
第二層:煤業(yè)公司采集層
各煤礦出口的安全隔離網(wǎng)閘、煤礦出口防火墻、煤業(yè)公司采集服務器等設備,數(shù)據(jù)通過煤業(yè)公司專線傳輸。煤礦OPC采集服務器通過OPC UA協(xié)議以固定端口雙向傳輸技術(shù)經(jīng)過安全隔離網(wǎng)閘,通過防火墻安全策略,以OPC UA接口經(jīng)數(shù)據(jù)加密技術(shù)實現(xiàn)工業(yè)數(shù)據(jù)的采集。
第三層:煤企集團采集平臺層
包括煤業(yè)公司出口網(wǎng)閘、防火墻、VPN、煤企集團采集平臺服務器等設備,數(shù)據(jù)通過VPN專線傳輸。煤企采集服務器通過OPC UA協(xié)議以固定端口雙向傳輸技術(shù)經(jīng)過煤業(yè)公司安全隔離網(wǎng)閘和防火墻,以OPC UA接口經(jīng)過加密技術(shù)實現(xiàn)工業(yè)數(shù)據(jù)到煤企集團的采集。
3.工藝流程
煤企集成平臺主要監(jiān)測各煤礦綜合自動化數(shù)據(jù)系統(tǒng),煤企集團一般由數(shù)個煤業(yè)公司以及數(shù)十個煤礦構(gòu)成。在各煤礦中存在工業(yè)環(huán)網(wǎng)、通訊專線、辦公網(wǎng)絡等網(wǎng)絡,煤礦綜合自動化系統(tǒng)都是基于工業(yè)網(wǎng)絡通訊的系統(tǒng),網(wǎng)絡相對封閉,同樣網(wǎng)絡內(nèi)部安全系數(shù)相對偏低,為實現(xiàn)集團對各煤礦綜合自動化系統(tǒng)數(shù)據(jù)的集成。系統(tǒng)的采集設計通過三層結(jié)構(gòu)設計工業(yè)子系統(tǒng)數(shù)據(jù)通過OPC UA技術(shù)由各煤礦上傳至煤業(yè)公司再上傳至煤企集團的過程,設計圖如下:
(1)系統(tǒng)第一層為各礦子系統(tǒng)匯聚層,主要包括各礦搭建OPC數(shù)據(jù)采集服務器,通過OPC數(shù)據(jù)采集服務器集成煤礦各子系統(tǒng)如排水系統(tǒng)、通風系統(tǒng)、皮帶系統(tǒng)等子系統(tǒng)采集站的數(shù)據(jù),其采集模式是基于OPC DA方式;從排水系統(tǒng)、通風系統(tǒng)、皮帶系統(tǒng)等子系統(tǒng)通過各子系統(tǒng)的通訊規(guī)約如MODBUS, PROFIBUS,104電力規(guī)約等形式的數(shù)據(jù)。
考慮到目前全國絕大多數(shù)煤礦子系統(tǒng)采集站基本支持OPC DA接口,故采集服務器使用OPC DA采集煤礦各子系統(tǒng)數(shù)據(jù),基于傳統(tǒng)OPC和DCOM技術(shù)實現(xiàn)數(shù)據(jù)接入。由于工業(yè)控制網(wǎng)的相對隔離性,必須將OPC采集服務器布置在網(wǎng)閘的內(nèi)側(cè),對OPC采集服務器的出口做隔離限制。
(2)系統(tǒng)第二層為煤礦工業(yè)數(shù)據(jù)的出口到煤業(yè)公司的出口之間,主要包括各煤礦出口的安全隔離網(wǎng)閘、煤礦出口防火墻、煤業(yè)公司采集服務器等設備,數(shù)據(jù)通過煤業(yè)公司專線傳輸。煤礦OPC采集服務器通過OPC UA協(xié)議以固定端口雙向傳輸技術(shù)經(jīng)過安全隔離網(wǎng)閘,通過防火墻安全策略,以OPC UA接口經(jīng)數(shù)據(jù)加密技術(shù)實現(xiàn)工業(yè)數(shù)據(jù)的采集。
與傳統(tǒng)OPC DA技術(shù)數(shù)據(jù)傳輸相比,采用OPC UA技術(shù)可以更方便安全的經(jīng)過網(wǎng)閘,只需要開通OPC UA的服務器設定端口即可,從而避免了傳統(tǒng)OPC DA基于動態(tài)端口的形式,導致更容易受到外部攻擊,而且更容易通過防火墻的出站、入站規(guī)則策略,保障了網(wǎng)絡通訊安全。
(3)系統(tǒng)第三層為煤業(yè)公司數(shù)據(jù)的出口到煤企集團公司的采集平臺,主要包括煤業(yè)公司出口網(wǎng)閘、防火墻、VPN、煤企集團采集平臺服務器等設備,數(shù)據(jù)通過VPN專線傳輸。煤企采集服務器通過OPC UA協(xié)議以固定端口雙向傳輸技術(shù)經(jīng)過煤業(yè)公司安全隔離網(wǎng)閘和防火墻,以OPC UA接口經(jīng)過加密技術(shù)實現(xiàn)工業(yè)數(shù)據(jù)到煤企集團的采集。
由于煤企的區(qū)域分散性,經(jīng)過VPN專線傳輸過程必須做好網(wǎng)絡安全防護,主要包括通過煤業(yè)公司對外的安全隔離網(wǎng)閘,保證工業(yè)采集數(shù)據(jù)物理鏈路的隔離,通過防火墻避免了直接暴露在互聯(lián)網(wǎng),保障工業(yè)數(shù)據(jù)的安全傳輸,并在煤業(yè)公司采集服務器及煤企采集平臺中安裝最新殺毒軟件,防止外部攻擊,保護工業(yè)數(shù)據(jù)采集的安全。
二、成果特點
煤企集成平臺的建設特點因各煤礦分散導致無法通過私有專線傳輸,通過OPC UA技術(shù)可以很好的保障工業(yè)數(shù)據(jù)從煤礦到煤業(yè)公司再到煤企采集平臺的跨專網(wǎng)、跨公網(wǎng)的數(shù)據(jù)傳輸,對比傳統(tǒng)的OPC DA、ODBC、FTP等采集技術(shù)相比,采用OPC UA有以下安全采集特點。
(1)數(shù)據(jù)傳輸?shù)陌踩用苄浴?
與OPC DA技術(shù)相比OPC UA加大了數(shù)據(jù)傳輸過程的加密性,包括X509 認證、OpenSSL 加密、用戶名 / 密碼等方式,通過用戶鑒權(quán)、簽名和加密傳輸,防止非授權(quán)訪問和過程數(shù)據(jù)損壞。
(2)數(shù)據(jù)通訊的安全穿透性。
OPC UA 規(guī)范可以通過任何單一端口 (經(jīng)管理員開放后)進行通信。這讓穿越防火墻不再是OPC通信的路障,并且為提高傳輸性能, OPC UA消息的編碼格式可以是XML文本格式或二進制格式,也可使用多種傳輸協(xié)議進行傳輸,比如:TCP和通過HTTP的網(wǎng)絡服務。與傳統(tǒng)OPC DA相比OPC DA采用DCOM需要多個端口,如鑒權(quán)、傳輸數(shù)據(jù)和一系列服務建立一個連接。所以在防火墻中不得不打開很多端口,才能讓DCOM通信穿過他。在防火墻上每打開一個端口都是一個安全隱患,為黑客攻擊提供一種潛在可能。OPC UA中的隧道技術(shù)是一種被廣泛接受的策略,解決了傳統(tǒng)OPC產(chǎn)品中DCOM限制的問題。
(3)數(shù)據(jù)采集的實時性。
與ODBC和FTP方式相比,OPC UA傳輸實時性更高,同時運行的穩(wěn)定性更高,數(shù)據(jù)傳輸相比ODBC和FTP更加迅速,相應的更能適合工業(yè)數(shù)據(jù)的采集和傳輸。
(4)數(shù)據(jù)跨平臺的適用性。
OPC UA軟件的開發(fā)不再依靠和局限于任何特定的操作平臺。過去只局限于Windows平臺的OPC技術(shù)拓展到了Linux、Unix、Mac等各種其它平臺?;贗nternet的WebService服務架構(gòu) (SOA) 和非常靈活的數(shù)據(jù)交換系統(tǒng), OPC UA的發(fā)展不僅立足于現(xiàn)在,更加面向未來。
(5)配置易用性。
OPC DA配置基于DCOM來提供數(shù)據(jù)的加密和簽命功能,配置防火墻,用戶權(quán)限等方式進行安全傳輸,但配置相對繁瑣,尤其對于不同的操作平臺以及較早的使用系統(tǒng),對于非專業(yè)工程師來說配置起來非常困難,而OPC UA技術(shù)使用的數(shù)據(jù)加密、簽名,防火墻等方式都是默認方式,尤其是OPC DA使用的動態(tài)端口,端口不固定,通過防火墻很難,而OPC UA是基于固定端口,這就使得配置起來更加簡單,而且傳輸更加安全。
三、技術(shù)優(yōu)勢
1.功能方面,OPC UA不僅支持傳統(tǒng)OPC的所有功能,更支持更多新的功能:1. 網(wǎng)絡發(fā)現(xiàn):自動查詢本PC機中與當前網(wǎng)絡中可用的OPC Server。2. 地址空間優(yōu)化:所有的數(shù)據(jù)都可以分級結(jié)構(gòu)定義,使得OPC Client不僅能夠讀取并利用簡單數(shù)據(jù),也能訪問復雜的結(jié)構(gòu)體。3. 互訪認證:所有的讀寫數(shù)據(jù)/消息行為,都必須有訪問許可。
2.平臺支持方面,由于不再基于COM/DCOM技術(shù),OPC UA標準提供的更多的可支持的硬件或軟件平臺。硬件平臺諸如傳統(tǒng)的PC機、基于云的服務器、PLC、ARM等其他微處理器;而軟件平臺可支持微軟的Windows、蘋果公司的OSX、安卓,以及其他的基于Linux的分布式操作系統(tǒng)。
3.安全性方面,最大的變化是OPC UA可以通過任何單一端口(經(jīng)管理員開放后)進行通信,這使得OPC通信不再會由于防火墻受到大量的限制。
相對于以往煤企集團實現(xiàn)工業(yè)自動化數(shù)據(jù)采集通過OPC DA傳輸方式,OPC UA可以通行更加安全,更加穩(wěn)定,接入范圍更廣。
四、應用案例
目前國內(nèi)絕大多數(shù)企業(yè)工業(yè)數(shù)據(jù)集成依然采用傳統(tǒng)OPC技術(shù),經(jīng)過網(wǎng)閘或防火墻開放過多端口,安全性得不到保障,OPC UA技術(shù)無疑更安全高效。OPC UA跨平臺能力更強,可用于網(wǎng)頁端及移動端方面的應用,更適合作為新一代工業(yè)數(shù)據(jù)采集技術(shù)。
本技術(shù)已在某有限公司綜合調(diào)度項目中獲得應用,通過集成2個化工廠和2個煤礦實現(xiàn)自動化組態(tài)監(jiān)控web友好嵌入到綜合調(diào)度平臺中。
本技術(shù)在某能源智慧管控平臺(煤炭板塊、化工板塊)中獲得應用,通過集成30個煤礦和23個化工廠實現(xiàn)自動化組態(tài)監(jiān)控web友好嵌入到綜合調(diào)度平臺中。
本技術(shù)已成功應用到某集團三期生產(chǎn)運營平臺和中煤資源發(fā)展生產(chǎn)運營平臺中,取得了較好的效果。
五、推廣應用
與OPC DA技術(shù)相比OPC UA加大了數(shù)據(jù)傳輸過程的加密性,包括X509 認證、OpenSSL 加密、用戶名 / 密碼等方式,通過用戶鑒權(quán)、簽名和加密傳輸,防止非授權(quán)訪問和過程數(shù)據(jù)損壞。
OPC UA 規(guī)范可以通過任何單一端口 (經(jīng)管理員開放后)進行通信,這讓穿越防火墻不再是OPC通信的路障,并且為提高傳輸性能。
OPC UA軟件的開發(fā)不再依靠和局限于任何特定的操作平臺。過去只局限于Windows平臺的OPC技術(shù)拓展到了Linux、Unix、Mac等各種其它平臺。
基于OPC UA技術(shù)的數(shù)據(jù)采集特別適用于集團層級、公司層級的系統(tǒng)平臺集成,在廠礦端也具有很廣的適用范圍。比較適用于基于互聯(lián)網(wǎng)、跨平臺、大數(shù)據(jù)等方面的數(shù)據(jù)集成,適合互聯(lián)網(wǎng)對數(shù)據(jù)高安全的要求。
轉(zhuǎn)化果平臺咨詢電話:400-1817-969