标签: OPC UA

01 案例概况 一家跨国电力公司使用宏集Cogent DataHub软件，在美国西南地区 建立起风电场的集中控制和数据采集系统 。该系统 整合来自不同风力涡轮机的 OPC 服务器数据 ，并确保数据安全、实时的上传至中心 SCADA 系统和 Pi 数据库。这一解决方案实现了与现有系统的无缝集成、自动化计费，并大幅提升数据准确性，为风电场的高效管理奠定了基础。 关键要点 与现有安全措施无缝集成，确保低成本过渡，而不影响安全性 实现自动化计费流程，减少人工干预 提高数据准确性，为决策提供可靠依据 02 风电场集中控制与数据采集的挑战 美国西南地区的牧场上，传统的风车逐渐被现代风力涡轮机取代，风电场迅速扩展，为电网输送源源不断的清洁能源。然而，管理这些分布广泛的涡轮机及其数据控制系统，尤其在数据实时更新和安全保障方面，始终是个巨大挑战。 近日，一家跨国电力公司使用 宏集Cogent DataHub软件 ，集中采集和控制散布在美国西南地区数百英里的风电场数据。 方案架构图 03 宏集Cogent DataHub应用成效 （1）实现实时数据整合 这家跨国电力公司的 SCADA 工程师在各个风电场配置了宏集DataHub软件平台， 将各个 OPC 服务器的数据统一汇总，并通过安全的防火墙网络将其传输至中心数据中心 。在数据中心，这些数据被实时更新至 SCADA 系统和 Pi 数据库，为风电场的运营决策提供了有效支持。 “我们面临的挑战是从多个不同数据源采集数据，每个系统都有独特的软件接口，”项目负责人解释道，“风电行业尚未有广泛认可的标准化数据聚合方法。 宏集DataHub 的数据分流功能使我们能够有效连接这些分散的 SCADA 系统，并确保实时数据获取 。在某些情况下，宏集DataHub软件直接安装在OPC服务器上，而在另一些情况下，它则安装在同一局域网内具有访问权限的另一系统中。无论哪种情况，均不影响设备性能。” （2）安全性与自动化优势 在实现数据整合的过程中，该电力公司最关心的问题不是可行性，而是安全性。 宏集DataHub的安全功能 与公司现有的安全基础设施相结合， 确保系统在跨广域网连接时符合安全标准 。 与此同时，宏集DataHub的 实时数据存档功能 也大幅提升了工作效率。 “我们拥有数百台风力涡轮机，分布在不同区域，我们需要知道每台涡轮机的发电量，以便准确进行计费。之前我们需要在电子表格中手动记录，非常繁琐。现在， 计费系统能够与宏集DataHub软件的数据记录功能交互，实现该过程完全自动化 。” （3）未来扩展与更多功能开发 该电力公司计划未来在系统中接入更多的风电场，并通过 宏集DataHub的脚本功能增加更多定制化功能 。工程师们已经编写了宏集DataHub脚本，以连接自定义程序处理数据流，并通过技术支持开发用于数据平均处理的脚本。 公司发言人总结道：“宏集提供的技术支持非常出色，我们能够顺利实现目标。而宏集DataHub软件比其他任何系统都更为可靠，适用于风电场数据接口的需求。” 结语 通过宏集Cogent DataHub，这家跨国电力公司成功 实现了风电场的集中管理，不仅提升了系统集成度，也确保了数据的安全性和实时性能 。在未来，他们将继续扩展这一解决方案，以适应更多业务需求。

案例概况 客户： 国内某衡器企业 应用产品 ：宏集eXware703边缘网关 应用场景： 将OPC UA称重仪数据上传到到西门子PLC 一、前言 随着OPC UA技术的快速发展，越来越多的设备集成OPC UA通讯功能，为物联网数据的采集提供了很多便利。 在实际项目中，设备协议的不同影响数据的互联互通，比如 国内某衡器企业需要将OPC UA称重仪数据上传到到西门子PLC ，但是该客户所使用的西门子PLC支持Modbus TCP协议，不支持OPC UA协议。基于该客户面临的问题，我们推荐 客户使用宏集eXware703边缘网关，最终实现了OPC UA数据的转换 。 二、 宏集eXware703边缘网关方案 客户整体场景比较简单，实际需求是 OPC UA协议和Modbus TCP协议之间的转换 ，项目架构图和实际安装图如下所示。 三、 关键挑战与应对对策 在协助客户完成设备调试时，我们遇到了一些挑战，针对这些挑战，宏集eXware703边缘网关的应对之策如下： 1.数据转发规则 客户希望当数据发生改变时，边缘网关才把OPC UA称重仪的数据转发给西门子PLC。 宏集eXware703边缘网关 支持两种数据转发规则 ，一种是数据更新时触发，另一种是数据变化超过设定的上下限时触发，第一种触发规则很好地满足客户需求。 2. 网关交换机功能 客户现场OPC UA称重仪和西门子PLC的IP地址都是在192.168.0.x网段，网关的两个网口分别连接称重仪和PLC，客户希望网关的两个网口可以共用一个IP地址，这样就不需要更改称重仪或者PLC的IP地址。 宏集eXware703网关 支持交换机功能 ，可以在系统设置页面将两个网口的IP共享一个IP地址，完美解决客户需求。 四、 案例总结 通过宏集eXware703边缘网关，客户成功实现OPC UA数据和Modbus TCP数据的转换，完成西门子PLC和OPC UA称重仪的互联互通，实现信息交互。

一、背景 OPC通信技术是工业通信领域中一套广为流行的方案，能够帮助大量的使用不同通信协议的下层现场设备数据与上位机应用程序进行交互。实现OPC通信需要基于Winodows上的COM/DCOM技术，只有在服务器和客户端都进行DCOM配置，开放相应的权限后，才可完成两台主机的连接并进行正常的OPC通信。 二、 使用DCOM的用户挑战 1、DCOM安全挑战 分布式COM（DCOM）是微软的一项专有技术，是为一般IT（后台）应用而设计的，不是实时过程控制。 DCOM在寻找其他主机、解析名称、请求服务、授权、发送数据等操作时，需要使用到很多端口。如果这些端口不可用，DCOM会自动搜索其他端口。DCOM使用的任何端口和服务都是病毒和蠕虫的目标，有能力的黑客可以创建针对这些端口的服务，查询哪些服务正在运行，并与黑客的利用脚本工具包相匹配。 因此，用户在使用DCOM时经常面临着安全隐患。 除此之外，DCOM不能跨越网络地址转换（NAT）工作。 2、DCOM鲁棒性挑战 通常情况下，DCOM可能需要很长的时间才能使一个激活请求失败，因为它会一个接一个地尝试每一个可用的网络协议（TCP、UDP、IPX、NP等），直到它们全部失败。对于IT用户来说， 3分钟的LAN连接响应时间过长，并且在实际情况中，响应时间超过3分钟的情况不在少数 。 3、DCOM设置的复杂性挑战 当客户端和服务器都安装在同一台机器上时，基于OPC的应用程序的部署很容易。当两个系统都安装在同一个过程控制网络中，但分布在两台不同的机器上时，它就变得有些困难了，尤其是试图将过程控制网络连接到企业或商业网络时，会出现不少问题。要执行这样的配置，用户必须是Windows安全方面的专家，并且 设置十分复杂 ，对一些用户来说，即使有很多帮助，也可能需要几周时间才能使OPC客户端和服务器之间的连接正常。 为应对上述挑战，虹科提供了基于OPC的软件技术—— 虹科OPCNet Broker 。虹科OPCNet Broker可以 有效避免DCOM配置带来的问题 ，同时确保将过程数据和消息从一个系统发送到另一个系统时，仍能 防止网络攻击 以及防止未经授权的用户获得关键的过程控制数据和管理生产的系统， 促进现场通信从单一的工厂系统水平整合到高度复杂的网络。 三、方案示例 该解决方案示例中使用两个 虹科OPCNet Broker ，一个在服务器端，另一个在客户端。方案中还设有两个网关，这两个网关分别围绕OPC客户端和服务器建立，它们作为.Net对等体，通过.Net Remoting进行通信，将COM（和.Net）调用重定向到.Net（和COM）调用。 该方案中，OPC服务器和客户端有防火墙隔离。为了相互通信，OPC服务器和客户端需要选择相同的通信协议和格式化器。通道协议包括TCP和HTTP，格式化器包括SOAP和二进制。为了获得最佳性能，此方案中使用TCP通道和二进制格式器。 四、 OPCNet Broker OPCNet Broker 克服了DCOM瓶颈和漏洞 ，使联网的OPC系统能够 访问实时数据、历史数据、警报和事件 ，而不会出现DCOM配置所涉及的常见问题。 此外，虹科OPCNet Broker 符合 ISA 99 网络安全标准， 确保数据完整性和机密性。用户只需单击几下鼠标，即可部署支持数据加密和用户身份验证的安全OPC隧道。

前 言 在过去十年中，生产现场、炼油厂、石化厂、天然气厂以及公用事业公司之间共享过程数据的需求一直在增加。这是因为，工厂和生产基地通常位于同一地区，且需要交换原料、石脑油、乙烷以及公用事业流（例如氢气、电力、水、蒸汽和燃气等），因此需要在其计量和控制系统之间实现数据交换。 由于化工、石油&天然气以及公用事业公司的严格网络安全政策，其与第三方系统的集成变得非常具有挑战性。针对此类问题，虹科可以提供一个基于OPC的解决方案实现这种集成，且同时符合ISA 99网络安全标准和不同利益相关者的安全政策。此类系统已有成功部署，实现了炼油厂、公用事业、油气稳定化以及液化天然气工厂的整合。 一、 方案简介 1 . 方案架构 拥有严格网络安全政策的公司通过实施隔离区（DMZ）物理隔离和消除企业与控制网络之间的直接通信来保护其过程控制资产，然而面临的挑战是如何继续与第三方系统交换用于会计、安全和控制目的的关键数据，而不会引入安全风险，并且成本最低。 虹科基于OPC的DMZ安全解决方案允许用户与第三方实时交换关键数据，同时： （1）遵循所有利益相关者的安全政策并确保其数据的保密性； （2）通过OPC UA接口，企业应用程序可以通过DMZ将数据安全地发送回控制系统； （3）部署易于维护的体系结构，确保对抗网络中断的鲁棒性，提供快速设置的图形环境； （4）充分利用现有基于OPC的基础设施，避免大量的资本投资。 图1. 基于OPC的安全DMZ解决方案架构图 2. 无缝数据流 安全DMZ托管一个没有任何读取或写入功能的缓冲区，并且仅包含特定数据交换所需的标签。位于防火墙每一侧的服务器到服务器的安全传输将根据需要从DMZ缓冲区收集数据，然后将其传输到位于过程控制网络 (PCN) 中的OPC服务器，反之亦然。 3. 无需复杂配置加强安全性 所有传输的数据都经过加密，以确保数据的完整性和机密性，保护数据免受恶意攻击。此外，数据访问需要从缓冲服务器级别到标签级别的用户身份验证： （1）用户身份验证基于Active Directory，以此确认尝试连接和访问数据的用户身份。同时，此机制可以阻止内部或外部网络发出的未经授权的访问； （2）使用用户配置文件并指定一组权限来精细化访问权限配置，可实现对分配的用户可以浏览哪些标签，以及标签的读取或写入权限的定义。 防火墙只需要配置授权一个TCP端口，而且公司的网络安全团队可以自行决定随时更改此端口。 所有的安全功能都可以使用直观的图形界面轻松配置，而且也不需要公共证书提供商或互联网接入。 二、方案优势 基于OPC的安全DMZ解决方案有以下优势： （1）没有绕过任何DMZ。与过程控制网络（PCN）的所有通信都是从DMZ发起； （2）远程通信不是基于OPC Classic/DCOM； （3）从网络故障中恢复后，同侧或不同侧的不同组件之间的通信会自动重新建立； （4）通过使用缓冲解决方案确保网络通信中断时不会出现数据丢失； （5）防火墙只需要开放一个TCP端口，而且此端口是可配置的，不是公共或已知端口。同时，每一方可以使用不同的端口与他们的过程控制网络（PCN）通信，不需要透露此信息给第三方； （6）数据是加密的，而且对黑客来说是不可见的； （7）通过OPC UA接口，生产计划或资产优化等企业级应用程序也可以通过DMZ与控制系统安全地交换数据； （8）可以从不同的域、跨VPN并通过VSAT和WAN建立远程通信。用户还可以微调通信超时和数据压缩参数，以此获得更好的网络数据传输性能。 基于OPC的安全DMZ解决方案允许通过安全方式交换实时过程数据来集成炼油厂、公用事业、油气稳定化和液化天然气工厂。它在不影响安全性的情况下实施了开放式架构，使用了OPC Classic基础架构和Active Directory，并且仍然受益于当前的行业标准，特别是OPC UA和ISA 99。 更多资讯 ： https://www.hohuln.com/

1 前言 随着工业4.0的快速推进以及OPC技术的快速发展，越来越多的企业致力于通过OPC技术提高工厂车间的自动化水平，而提高自动化水平的关键在于对工厂车间仪器设备进行数据采集和监控。 虹科提供的OPC系列产品不仅可以实现多种PLC数据的采集，多个OPC服务器的聚合管理以及OPC服务器之间的数据交互，而且还可以实现OPC DA到OPC UA的升级，以及OPC UA服务器/客户端的集成。本文将针对OPC构建信息化工厂一些典型场景方案进行阐述。 2 OPC 简介 OPC，即OLE for Process Control，是一个基于微软的OLE、COM和DCOM技术的工业标准。随着九十年代自动化系统的快速发展，为了访问设备中的自动化数据，各大自动化厂家开发了各种标准的自动化软件，此过程使用了无数不同的总线系统、协议和接口。为了消除自动化软件和硬件平台之间互操作性的障碍，OPC基金会提出了OPC标准，为不同厂家的设备通讯建立了一整套开放的接口、属性和方法标准集。 虽然OPC解决了设备的跨厂商平台通讯的问题，但是它依赖于Windows的COM/DCOM技术，这使得它不能在Linux或其它系统中使用。此外，在实际应用过程中，需要对OPC客户端和服务器进行复杂的DCOM配置。而且，Windows系统中系统组件容易受到其它应用的影响，通讯不稳定，不适合远距离通讯，一般只能在厂级局域网内通讯，一旦通讯中断还需要重新配置项目，并添加数据标签。同时，OPC的安全性较低，其安全性更多的是基于Windows系统，而不是在OPC规范中定义安全机制。为了解决以上问题，OPC基金会在OPC基础上开发出新一代OPC技术——OPC UA，实现了不同系统和不同协议设备之间的相互通信。 为区分两代OPC技术，上一代OPC技术我们一般称为OPC Classic，新一代则称为OPC UA。 3 DA&UA转换连接 目前的工业生产，尤其是制造业中，很多设备以及控制系统基本都采用OPC DA进行数据交互。随着工业4.0的快速推进以及OPC UA的迅速发展，OPC DA已经处于逐步淘汰的阶段，新的工业设备基本都支持OPC UA，信息化工厂的建设使得整个行业范围内OPC DA到OPC UA升级的需求越来越大。在工厂的升级改造过程中，如果继续使用支持OPC DA的老旧设备和控制系统，那么将会为工厂带来额外的维护成本以及故障损失；如果直接淘汰所有老旧设备和控制系统，升级到支持OPC UA的对应产品，那么工厂将会面临巨大的采购开销以及折旧浪费等问题；而如果混合使用新旧设备，由于OPC DA和OPC UA完全不兼容，新旧设备之间无法进行数据交互，工厂无法进行数据统筹管理。 为了解决工厂的升级难题，虹科为信息化工厂建设提供一个OPC DA和OPC UA转换连接的解决方案——OPC UA Tunneller软件，该软件一共有两大功能，一个是OPC DA的远程连接，另一个是OPC DA与OPC UA的转换连接。软件的系统框架如下图所示。 对于OPC DA远程连接功能，Tunneller软件使用COM与本地OPC组件通信，但彼此之间使用安全的、基于TCP/IP的连接，通信前不需要进行复杂的DCOM配置。同时，传统OPC DA跨防火墙通信时没有固定使用范围的端口，而Tunneller软件则是选择一个专有端口进行数据传输，所以更加稳定。 此外，使用Tunneller软件进行OPC DA通信可不受到Windows DCOM更新的影响。在2021年6月8日，为了解决CVE-2021-26414中描述的安全漏洞，微软更新了Windows系统强制执行DCOM安全通信的方式，需要OPC DA的应用程序支持数据包完整性级别的身份验证。如果应用程序不支持此级别的身份验证，一旦Windows进行更新，那么OPC DA客户端无法连接远程的DA服务器，客户无法通过更改Windows的安全设置来解决此问题。 对于OPC DA和OPC UA的转换连接功能，Tunneller软件使用UA Wrapper将DA服务器包装成UA服务器实现OPC UA客户端和OPC DA服务器之间的通信。同理，Tunneller软件使用UA Proxy将UA服务器包装成DA服务器实现OPC DA客户端和OPC UA服务器之间的通信。 因此，通过使用Tunneller软件，可以解决工厂新旧设备之间数据交互问题，保证工厂设备的平稳升级。 4 服务器聚合管理与安全连接 随着工业4.0的快速推进，越来越多的企业都在用OPC UA技术构建信息化工厂的全局连接。尽管车间和现场OPC UA数据源的快速增长能够帮助工厂实现数字化、智能化和信息化，但是数据源的管理也是一大头疼的问题。传统OPC UA连接需要每个客户端和服务器之间分别建立连接，这种方式会极大地增加一个客户端同时连接多个服务器的管理成本。之前我们就遇到过一个客户，客户大概有上万台设备，即使使用OPC UA软网关通过群管理的方式进行管理，后续会有大概上千个OPC UA服务器，而且也会增加额外的设备安装和维护成本。 此外，OPC UA是一个客户端/服务器（C/S）通信架构，需要客户端发起连接请求，通过防火墙的入站端口找到服务器，从而建立连接。然而从IT角度讲，这是不安全的。因为OPC UA客户端在北向，OPC UA服务器在南向，从北向到南向建立连接需要防火墙设置入站端口，存在潜在的安全风险，而且防火墙本身就是为了进行数据隔离。为了降低工厂OPC UA服务器的管理成本以及保证OPC UA服务器的安全连接，虹科为信息化工厂建设提供一个服务器聚合管理和安全连接的解决方案——Data Broker软件，该软件的系统框架图如下图所示。 在信息化工厂建设过程中，Data Broker软件不仅可以聚合管理多个OPC UA服务器，还可以多级别聚合管理，即Data Broker聚合管理一定数量的OPC UA服务器后，自身也可以作为OPC UA服务器和其他的OPC UA服务器被另一个Data Broker软件再次聚合。通过单个高精度可扩展的访问点即可多级别地设置和控制OPC UA服务器，简化了系统的配置和连接，降低了服务器的维护和管理成本。对于支持低级别OPC UA的设备，Data Broker软件可以保护它们免受更高级别连接以及多个连接的影响。而且，无论OPC UA客户端处在哪一个级别上，Data Broker软件可以保留OPC UA服务器数据粒度。 在实际应用中，信息化工厂通常需要利用防火墙来保证数据的安全。Data Broker软件另一强大功能是可以使OPC UA服务器发起反向连接，从而无需打开防火墙入站端口。只允许从信任区域到不信任区域建立连接，防止打开防火墙入站端口而带来的潜在风险，最大程度地实现OT数据的安全传输。 5 实例解读 下图是我们一个用户的实际应用案例系统框架图，他们通过OPC UA构建了信息化工厂从底层设备到工厂MES/ERP系统的全局连接，实现了OT与IT之间的数据传输。 由于客户工厂中的底层设备数量和种类较多，支持的通讯协议也各不相同，为了采集底层设备的数据，不同种类设备的解决方案也各不相同。 对于不支持OPC DA 的设备，用户通过OPC Server软件来获取设备数据，并提供一个OPC DA服务器的接口以此和OPC DA客户端进行数据交互。 对于重要的OPC DA服务器，用户建立了对应的冗余服务器，OPC DA客户端通过OPC Redundancy软件实现主备服务器的快速切换，防止由于单个设备故障影响工厂的生产力；此外，用户还通过OPC Funnel软件对工厂中的多个OPC DA服务器进行聚合管理，降低服务器的管理和维护成本。然后，通过OPC UA Tunneller软件将聚合后的OPC DA服务器转换成OPC UA服务器。 对于不支持OPC UA的设备，用户通过OPC UA SDK在设备上集成一个OPC UA服务器，最后再使用Data Broker软件完成OPC UA服务器的聚合管理以及跨防火墙的安全连接，至此通过OPC UA顺利将数据上传到工厂MES系统或云平台，与工厂ERP系统进行数据交互，完成底层设备数据的共享。 6 总结 综上所述，虹科提供的一站式OPC解决方案不仅可以实现OPC DA和OPC UA的转换连接，还可以实现OPC UA服务器的聚合管理以及跨防火墙的安全连接，解决用户信息化工厂建设过程中新旧设备之间的数据交互、传统OPC UA服务器管理和连接等难题、实现底层设备数据的共享，由此帮助用户构建信息化工厂的全局连接。