一、研究內(nèi)容

1.基本原理

（1）OPC技術(shù)（OLE for Process Control）

用于過程控制的OLE)是一個工業(yè)標(biāo)準(zhǔn)，管理這個標(biāo)準(zhǔn)的國際組織是OPC基金會，OPC基金會現(xiàn)有會員已超過220家。遍布全球，包括世界上所有主要的自動化控制系統(tǒng)、儀器儀表及過程控制系統(tǒng)的公司?；谖④浀腛LE(現(xiàn)在的Active X)、COM （部件對象模型）和DCOM （分布式部件對象模型）技術(shù)。OPC包括一整套接口、屬性和方法的標(biāo)準(zhǔn)集，用于過程控制和制造業(yè)自動化系統(tǒng)。

（2）COM技術(shù)（Component Object Model）

COM是一種為了實現(xiàn)與編程語言無關(guān)的對象而制定的標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)將Windows下的對象定義為獨立單元，可不受程序限制地訪問這些單元。這種標(biāo)準(zhǔn)可以使兩個應(yīng)用程序通過對象化接口通訊，而不需要知道對方是如何創(chuàng)建的。

2.關(guān)鍵技術(shù)

（1）OPC DA轉(zhuǎn)OPC UA

通過OPC DA Client采集驅(qū)動采集煤礦各子系統(tǒng)OPC接口數(shù)據(jù)，通過OPC UA Server將本地OPC DA數(shù)據(jù)轉(zhuǎn)發(fā)，作為服務(wù)器以自定義端口上傳，并以49320作為OPC UA Server端口，OPC UA Client通過自定義端口認證OPC UA Server，同時建立連接，實現(xiàn)數(shù)據(jù)采集。

（2）OPC UA傳輸模型

第一層：礦端采集匯聚層

各礦搭建OPC數(shù)據(jù)采集服務(wù)器，采集服務(wù)器使用OPC DA采集煤礦各子系統(tǒng)數(shù)據(jù)，基于傳統(tǒng)OPC和DCOM技術(shù)實現(xiàn)數(shù)據(jù)接入，通過OPC UA向外轉(zhuǎn)發(fā)數(shù)據(jù)。

第二層：煤業(yè)公司采集層

各煤礦出口的安全隔離網(wǎng)閘、煤礦出口防火墻、煤業(yè)公司采集服務(wù)器等設(shè)備，數(shù)據(jù)通過煤業(yè)公司專線傳輸。煤礦OPC采集服務(wù)器通過OPC UA協(xié)議以固定端口雙向傳輸技術(shù)經(jīng)過安全隔離網(wǎng)閘，通過防火墻安全策略，以O(shè)PC UA接口經(jīng)數(shù)據(jù)加密技術(shù)實現(xiàn)工業(yè)數(shù)據(jù)的采集。

第三層：煤企集團采集平臺層

包括煤業(yè)公司出口網(wǎng)閘、防火墻、VPN、煤企集團采集平臺服務(wù)器等設(shè)備，數(shù)據(jù)通過VPN專線傳輸。煤企采集服務(wù)器通過OPC UA協(xié)議以固定端口雙向傳輸技術(shù)經(jīng)過煤業(yè)公司安全隔離網(wǎng)閘和防火墻，以O(shè)PC UA接口經(jīng)過加密技術(shù)實現(xiàn)工業(yè)數(shù)據(jù)到煤企集團的采集。

3.工藝流程

煤企集成平臺主要監(jiān)測各煤礦綜合自動化數(shù)據(jù)系統(tǒng)，煤企集團一般由數(shù)個煤業(yè)公司以及數(shù)十個煤礦構(gòu)成。在各煤礦中存在工業(yè)環(huán)網(wǎng)、通訊專線、辦公網(wǎng)絡(luò)等網(wǎng)絡(luò)，煤礦綜合自動化系統(tǒng)都是基于工業(yè)網(wǎng)絡(luò)通訊的系統(tǒng)，網(wǎng)絡(luò)相對封閉，同樣網(wǎng)絡(luò)內(nèi)部安全系數(shù)相對偏低，為實現(xiàn)集團對各煤礦綜合自動化系統(tǒng)數(shù)據(jù)的集成。系統(tǒng)的采集設(shè)計通過三層結(jié)構(gòu)設(shè)計工業(yè)子系統(tǒng)數(shù)據(jù)通過OPC UA技術(shù)由各煤礦上傳至煤業(yè)公司再上傳至煤企集團的過程，設(shè)計圖如下：

（1）系統(tǒng)第一層為各礦子系統(tǒng)匯聚層，主要包括各礦搭建OPC數(shù)據(jù)采集服務(wù)器，通過OPC數(shù)據(jù)采集服務(wù)器集成煤礦各子系統(tǒng)如排水系統(tǒng)、通風(fēng)系統(tǒng)、皮帶系統(tǒng)等子系統(tǒng)采集站的數(shù)據(jù)，其采集模式是基于OPC DA方式；從排水系統(tǒng)、通風(fēng)系統(tǒng)、皮帶系統(tǒng)等子系統(tǒng)通過各子系統(tǒng)的通訊規(guī)約如MODBUS, PROFIBUS,104電力規(guī)約等形式的數(shù)據(jù)。

考慮到目前全國絕大多數(shù)煤礦子系統(tǒng)采集站基本支持OPC DA接口，故采集服務(wù)器使用OPC DA采集煤礦各子系統(tǒng)數(shù)據(jù)，基于傳統(tǒng)OPC和DCOM技術(shù)實現(xiàn)數(shù)據(jù)接入。由于工業(yè)控制網(wǎng)的相對隔離性，必須將OPC采集服務(wù)器布置在網(wǎng)閘的內(nèi)側(cè)，對OPC采集服務(wù)器的出口做隔離限制。

（2）系統(tǒng)第二層為煤礦工業(yè)數(shù)據(jù)的出口到煤業(yè)公司的出口之間，主要包括各煤礦出口的安全隔離網(wǎng)閘、煤礦出口防火墻、煤業(yè)公司采集服務(wù)器等設(shè)備，數(shù)據(jù)通過煤業(yè)公司專線傳輸。煤礦OPC采集服務(wù)器通過OPC UA協(xié)議以固定端口雙向傳輸技術(shù)經(jīng)過安全隔離網(wǎng)閘，通過防火墻安全策略，以O(shè)PC UA接口經(jīng)數(shù)據(jù)加密技術(shù)實現(xiàn)工業(yè)數(shù)據(jù)的采集。

與傳統(tǒng)OPC DA技術(shù)數(shù)據(jù)傳輸相比，采用OPC UA技術(shù)可以更方便安全的經(jīng)過網(wǎng)閘，只需要開通OPC UA的服務(wù)器設(shè)定端口即可，從而避免了傳統(tǒng)OPC DA基于動態(tài)端口的形式，導(dǎo)致更容易受到外部攻擊，而且更容易通過防火墻的出站、入站規(guī)則策略，保障了網(wǎng)絡(luò)通訊安全。

（3）系統(tǒng)第三層為煤業(yè)公司數(shù)據(jù)的出口到煤企集團公司的采集平臺，主要包括煤業(yè)公司出口網(wǎng)閘、防火墻、VPN、煤企集團采集平臺服務(wù)器等設(shè)備，數(shù)據(jù)通過VPN專線傳輸。煤企采集服務(wù)器通過OPC UA協(xié)議以固定端口雙向傳輸技術(shù)經(jīng)過煤業(yè)公司安全隔離網(wǎng)閘和防火墻，以O(shè)PC UA接口經(jīng)過加密技術(shù)實現(xiàn)工業(yè)數(shù)據(jù)到煤企集團的采集。

由于煤企的區(qū)域分散性，經(jīng)過VPN專線傳輸過程必須做好網(wǎng)絡(luò)安全防護，主要包括通過煤業(yè)公司對外的安全隔離網(wǎng)閘，保證工業(yè)采集數(shù)據(jù)物理鏈路的隔離，通過防火墻避免了直接暴露在互聯(lián)網(wǎng)，保障工業(yè)數(shù)據(jù)的安全傳輸，并在煤業(yè)公司采集服務(wù)器及煤企采集平臺中安裝最新殺毒軟件，防止外部攻擊，保護工業(yè)數(shù)據(jù)采集的安全。

二、成果特點

煤企集成平臺的建設(shè)特點因各煤礦分散導(dǎo)致無法通過私有專線傳輸，通過OPC UA技術(shù)可以很好的保障工業(yè)數(shù)據(jù)從煤礦到煤業(yè)公司再到煤企采集平臺的跨專網(wǎng)、跨公網(wǎng)的數(shù)據(jù)傳輸，對比傳統(tǒng)的OPC DA、ODBC、FTP等采集技術(shù)相比，采用OPC UA有以下安全采集特點。

（1）數(shù)據(jù)傳輸?shù)陌踩用苄浴?

與OPC DA技術(shù)相比OPC UA加大了數(shù)據(jù)傳輸過程的加密性，包括X509 認證、OpenSSL 加密、用戶名 / 密碼等方式，通過用戶鑒權(quán)、簽名和加密傳輸，防止非授權(quán)訪問和過程數(shù)據(jù)損壞。

（2）數(shù)據(jù)通訊的安全穿透性。

OPC UA 規(guī)范可以通過任何單一端口 （經(jīng)管理員開放后）進行通信。這讓穿越防火墻不再是OPC通信的路障，并且為提高傳輸性能， OPC UA消息的編碼格式可以是XML文本格式或二進制格式，也可使用多種傳輸協(xié)議進行傳輸，比如：TCP和通過HTTP的網(wǎng)絡(luò)服務(wù)。與傳統(tǒng)OPC DA相比OPC DA采用DCOM需要多個端口，如鑒權(quán)、傳輸數(shù)據(jù)和一系列服務(wù)建立一個連接。所以在防火墻中不得不打開很多端口，才能讓DCOM通信穿過他。在防火墻上每打開一個端口都是一個安全隱患，為黑客攻擊提供一種潛在可能。OPC UA中的隧道技術(shù)是一種被廣泛接受的策略，解決了傳統(tǒng)OPC產(chǎn)品中DCOM限制的問題。

（3）數(shù)據(jù)采集的實時性。

與ODBC和FTP方式相比，OPC UA傳輸實時性更高，同時運行的穩(wěn)定性更高，數(shù)據(jù)傳輸相比ODBC和FTP更加迅速，相應(yīng)的更能適合工業(yè)數(shù)據(jù)的采集和傳輸。

（4）數(shù)據(jù)跨平臺的適用性。

OPC UA軟件的開發(fā)不再依靠和局限于任何特定的操作平臺。過去只局限于Windows平臺的OPC技術(shù)拓展到了Linux、Unix、Mac等各種其它平臺。基于Internet的WebService服務(wù)架構(gòu) (SOA) 和非常靈活的數(shù)據(jù)交換系統(tǒng)， OPC UA的發(fā)展不僅立足于現(xiàn)在，更加面向未來。

（5）配置易用性。

OPC DA配置基于DCOM來提供數(shù)據(jù)的加密和簽命功能，配置防火墻，用戶權(quán)限等方式進行安全傳輸，但配置相對繁瑣，尤其對于不同的操作平臺以及較早的使用系統(tǒng)，對于非專業(yè)工程師來說配置起來非常困難，而OPC UA技術(shù)使用的數(shù)據(jù)加密、簽名，防火墻等方式都是默認方式，尤其是OPC DA使用的動態(tài)端口，端口不固定，通過防火墻很難，而OPC UA是基于固定端口，這就使得配置起來更加簡單，而且傳輸更加安全。

三、技術(shù)優(yōu)勢

1.功能方面，OPC UA不僅支持傳統(tǒng)OPC的所有功能，更支持更多新的功能：1. 網(wǎng)絡(luò)發(fā)現(xiàn)：自動查詢本PC機中與當(dāng)前網(wǎng)絡(luò)中可用的OPC Server。2. 地址空間優(yōu)化：所有的數(shù)據(jù)都可以分級結(jié)構(gòu)定義，使得OPC Client不僅能夠讀取并利用簡單數(shù)據(jù)，也能訪問復(fù)雜的結(jié)構(gòu)體。3. 互訪認證：所有的讀寫數(shù)據(jù)/消息行為，都必須有訪問許可。

2.平臺支持方面，由于不再基于COM/DCOM技術(shù)，OPC UA標(biāo)準(zhǔn)提供的更多的可支持的硬件或軟件平臺。硬件平臺諸如傳統(tǒng)的PC機、基于云的服務(wù)器、PLC、ARM等其他微處理器；而軟件平臺可支持微軟的Windows、蘋果公司的OSX、安卓，以及其他的基于Linux的分布式操作系統(tǒng)。

3.安全性方面，最大的變化是OPC UA可以通過任何單一端口（經(jīng)管理員開放后）進行通信，這使得OPC通信不再會由于防火墻受到大量的限制。

相對于以往煤企集團實現(xiàn)工業(yè)自動化數(shù)據(jù)采集通過OPC DA傳輸方式，OPC UA可以通行更加安全，更加穩(wěn)定，接入范圍更廣。

四、應(yīng)用案例

目前國內(nèi)絕大多數(shù)企業(yè)工業(yè)數(shù)據(jù)集成依然采用傳統(tǒng)OPC技術(shù)，經(jīng)過網(wǎng)閘或防火墻開放過多端口，安全性得不到保障，OPC UA技術(shù)無疑更安全高效。OPC UA跨平臺能力更強，可用于網(wǎng)頁端及移動端方面的應(yīng)用，更適合作為新一代工業(yè)數(shù)據(jù)采集技術(shù)。

本技術(shù)已在某有限公司綜合調(diào)度項目中獲得應(yīng)用，通過集成2個化工廠和2個煤礦實現(xiàn)自動化組態(tài)監(jiān)控web友好嵌入到綜合調(diào)度平臺中。

本技術(shù)在某能源智慧管控平臺（煤炭板塊、化工板塊）中獲得應(yīng)用，通過集成30個煤礦和23個化工廠實現(xiàn)自動化組態(tài)監(jiān)控web友好嵌入到綜合調(diào)度平臺中。

本技術(shù)已成功應(yīng)用到某集團三期生產(chǎn)運營平臺和中煤資源發(fā)展生產(chǎn)運營平臺中，取得了較好的效果。

五、推廣應(yīng)用

與OPC DA技術(shù)相比OPC UA加大了數(shù)據(jù)傳輸過程的加密性，包括X509 認證、OpenSSL 加密、用戶名 / 密碼等方式，通過用戶鑒權(quán)、簽名和加密傳輸，防止非授權(quán)訪問和過程數(shù)據(jù)損壞。

OPC UA 規(guī)范可以通過任何單一端口 （經(jīng)管理員開放后）進行通信，這讓穿越防火墻不再是OPC通信的路障，并且為提高傳輸性能。

OPC UA軟件的開發(fā)不再依靠和局限于任何特定的操作平臺。過去只局限于Windows平臺的OPC技術(shù)拓展到了Linux、Unix、Mac等各種其它平臺。

基于OPC UA技術(shù)的數(shù)據(jù)采集特別適用于集團層級、公司層級的系統(tǒng)平臺集成，在廠礦端也具有很廣的適用范圍。比較適用于基于互聯(lián)網(wǎng)、跨平臺、大數(shù)據(jù)等方面的數(shù)據(jù)集成，適合互聯(lián)網(wǎng)對數(shù)據(jù)高安全的要求。

轉(zhuǎn)化果平臺咨詢電話：400-1817-969

附件下載