虹科OPC UA解決方案構(gòu)建信息化工廠的全局連接

1 OPC簡(jiǎn)介

OPC，即OLE for Process Control，是一個(gè)基于微軟的OLE、COM和DCOM技術(shù)的工業(yè)標(biāo)準(zhǔn)。隨著九十年代自動(dòng)化系統(tǒng)的快速發(fā)展，為了訪問(wèn)設(shè)備中的自動(dòng)化數(shù)據(jù)，各大自動(dòng)化廠家開(kāi)發(fā)了各種標(biāo)準(zhǔn)的自動(dòng)化軟件，此過(guò)程使用了無(wú)數(shù)不同的總線系統(tǒng)、協(xié)議和接口。為了消除自動(dòng)化軟件和硬件平臺(tái)之間互操作性的障礙，OPC基金會(huì)提出了OPC標(biāo)準(zhǔn)，為不同廠家的設(shè)備通訊建立了一整套開(kāi)放的接口、屬性和方法標(biāo)準(zhǔn)集。

雖然OPC解決了設(shè)備的跨廠商平臺(tái)通訊的問(wèn)題，但是它依賴于Windows的COM/DCOM技術(shù)，這使得它不能在Linux或其它系統(tǒng)中使用。此外，在實(shí)際應(yīng)用過(guò)程中，需要對(duì)OPC客戶端和服務(wù)器進(jìn)行復(fù)雜的DCOM配置。而且，Windows系統(tǒng)中系統(tǒng)組件容易受到其它應(yīng)用的影響，通訊不穩(wěn)定，不適合遠(yuǎn)距離通訊，一般只能在廠級(jí)局域網(wǎng)內(nèi)通訊，一旦通訊中斷還需要重新配置項(xiàng)目，并添加數(shù)據(jù)標(biāo)簽。同時(shí)，OPC的安全性較低，其安全性更多的是基于Windows系統(tǒng)，而不是在OPC規(guī)范中定義安全機(jī)制。

為了解決以上問(wèn)題，OPC基金會(huì)在OPC基礎(chǔ)上開(kāi)發(fā)出新一代OPC技術(shù)——OPC UA，實(shí)現(xiàn)了不同系統(tǒng)和不同協(xié)議設(shè)備之間的相互通信。

為區(qū)分兩代OPC技術(shù)，上一代OPC技術(shù)我們一般稱為OPC Classic，新一代的稱為OPC UA。

2 DA和UA轉(zhuǎn)換連接的必要性

目前的工業(yè)生產(chǎn)，尤其是制造業(yè)中，很多設(shè)備以及控制系統(tǒng)基本都采用OPC DA進(jìn)行數(shù)據(jù)交互。隨著工業(yè)4.0的快速推進(jìn)以及OPC UA的迅速發(fā)展，OPC DA已經(jīng)處于逐步淘汰的階段，新的工業(yè)設(shè)備基本都支持OPC UA，信息化工廠的建設(shè)使得整個(gè)行業(yè)范圍內(nèi)OPC DA到OPC UA升級(jí)的需求越來(lái)越大。

在工廠的升級(jí)改造過(guò)程中，如果繼續(xù)使用支持OPC DA的老舊設(shè)備和控制系統(tǒng)，那么將會(huì)為工廠帶來(lái)額外的維護(hù)成本以及故障損失；如果直接淘汰所有老舊設(shè)備和控制系統(tǒng)，升級(jí)到支持OPC UA的對(duì)應(yīng)產(chǎn)品，那么工廠將會(huì)面臨巨大的采購(gòu)開(kāi)銷以及折舊浪費(fèi)等問(wèn)題；而如果混合使用新舊設(shè)備，由于OPC DA和OPC UA完全不兼容，新舊設(shè)備之間無(wú)法進(jìn)行數(shù)據(jù)交互，工廠無(wú)法進(jìn)行數(shù)據(jù)統(tǒng)籌管理。

為了解決工廠的升級(jí)難題，虹科為信息化工廠建設(shè)提供一個(gè)OPC DA和OPC UA轉(zhuǎn)換連接的解決方案——OPC UA Tunneller軟件，該軟件一共有兩大功能，一個(gè)是OPC DA的遠(yuǎn)程連接，另一個(gè)是OPC DA與OPC UA的轉(zhuǎn)換連接。軟件的系統(tǒng)框架如下圖所示。

對(duì)于OPC DA遠(yuǎn)程連接功能，Tunneller軟件使用COM與本地OPC組件通信，但彼此之間使用安全的、基于TCP/IP的連接，通信前不需要進(jìn)行復(fù)雜的DCOM配置。同時(shí)，傳統(tǒng)OPC DA跨防火墻通信時(shí)沒(méi)有固定使用范圍的端口，而Tunneller軟件則是選擇一個(gè)專有端口進(jìn)行數(shù)據(jù)傳輸，所以更加穩(wěn)定。

此外，使用Tunneller軟件進(jìn)行OPC DA通信可不受到Windows DCOM更新的影響。在2021年6月8日，為了解決CVE-2021-26414中描述的安全漏洞，微軟更新了Windows系統(tǒng)強(qiáng)制執(zhí)行DCOM安全通信的方式，需要OPC DA的應(yīng)用程序支持?jǐn)?shù)據(jù)包完整性級(jí)別的身份驗(yàn)證。如果應(yīng)用程序不支持此級(jí)別的身份驗(yàn)證，一旦Windows進(jìn)行更新，那么OPC DA客戶端無(wú)法連接遠(yuǎn)程的DA服務(wù)器，客戶無(wú)法通過(guò)更改Windows的安全設(shè)置來(lái)解決此問(wèn)題。

對(duì)于OPC DA和OPC UA的轉(zhuǎn)換連接功能，Tunneller軟件使用UA Wrapper將DA服務(wù)器包裝成UA服務(wù)器實(shí)現(xiàn)OPC UA客戶端和OPC DA服務(wù)器之間的通信。同理，Tunneller軟件使用UA Proxy將UA服務(wù)器包裝成DA服務(wù)器實(shí)現(xiàn)OPC DA客戶端和OPC UA服務(wù)器之間的通信。

因此，通過(guò)使用Tunneller軟件，可以解決工廠新舊設(shè)備之間數(shù)據(jù)交互問(wèn)題，保證工廠設(shè)備的平穩(wěn)升級(jí)。

3 服務(wù)器聚合管理與安全連接

隨著工業(yè)4.0的快速推進(jìn)，越來(lái)越多的企業(yè)都在用OPC UA技術(shù)構(gòu)建信息化工廠的全局連接。盡管車間和現(xiàn)場(chǎng)OPC UA數(shù)據(jù)源的快速增長(zhǎng)能夠幫助工廠實(shí)現(xiàn)數(shù)字化、智能化和信息化，但是數(shù)據(jù)源的管理也是一大頭疼的問(wèn)題。

傳統(tǒng)OPC UA連接需要每個(gè)客戶端和服務(wù)器之間分別建立連接，這種方式會(huì)極大地增加一個(gè)客戶端同時(shí)連接多個(gè)服務(wù)器的管理成本。之前我們就遇到過(guò)一個(gè)客戶，客戶大概有上萬(wàn)臺(tái)設(shè)備，即使使用OPC UA軟網(wǎng)關(guān)通過(guò)群管理的方式進(jìn)行管理，后續(xù)會(huì)有大概上千個(gè)OPC UA服務(wù)器，而且也會(huì)增加額外的設(shè)備安裝和維護(hù)成本。

此外，OPC UA是一個(gè)客戶端/服務(wù)器（C/S）通信架構(gòu)，需要客戶端發(fā)起連接請(qǐng)求，通過(guò)防火墻的入站端口找到服務(wù)器，從而建立連接。然而從IT角度講，這是不安全的。因?yàn)镺PC UA客戶端在北向，OPC UA服務(wù)器在南向，從北向到南向建立連接需要防火墻設(shè)置入站端口，存在潛在的安全風(fēng)險(xiǎn)，而且防火墻本身就是為了進(jìn)行數(shù)據(jù)隔離。

為了降低工廠OPC UA服務(wù)器的管理成本以及保證OPC UA服務(wù)器的安全連接，虹科為信息化工廠建設(shè)提供一個(gè)服務(wù)器聚合管理和安全連接的解決方案——Data Broker軟件，該軟件的系統(tǒng)框架圖如下圖所示。

在信息化工廠建設(shè)過(guò)程中，Data Broker軟件不僅可以聚合管理多個(gè)OPC UA服務(wù)器，還可以多級(jí)別聚合管理，即Data Broker聚合管理一定數(shù)量的OPC UA服務(wù)器后，自身也可以作為OPC UA服務(wù)器和其他的OPC UA服務(wù)器被另一個(gè)Data Broker軟件再次聚合。通過(guò)單個(gè)高精度可擴(kuò)展的訪問(wèn)點(diǎn)即可多級(jí)別地設(shè)置和控制OPC UA服務(wù)器，簡(jiǎn)化了系統(tǒng)的配置和連接，降低了服務(wù)器的維護(hù)和管理成本。對(duì)于支持低級(jí)別OPC UA的設(shè)備，Data Broker軟件可以保護(hù)它們免受更高級(jí)別連接以及多個(gè)連接的影響。而且，無(wú)論OPC UA客戶端處在哪一個(gè)級(jí)別上，Data Broker軟件可以保留OPC UA服務(wù)器數(shù)據(jù)粒度。

在實(shí)際應(yīng)用中，信息化工廠通常需要利用防火墻來(lái)保證數(shù)據(jù)的安全。Data Broker軟件另一強(qiáng)大功能是可以使OPC UA服務(wù)器發(fā)起反向連接，從而無(wú)需打開(kāi)防火墻入站端口。只允許從信任區(qū)域到不信任區(qū)域建立連接，防止打開(kāi)防火墻入站端口而帶來(lái)的潛在風(fēng)險(xiǎn)，最大程度地實(shí)現(xiàn)OT數(shù)據(jù)的安全傳輸。

4 實(shí)例解讀

下圖是我們一個(gè)用戶的實(shí)際應(yīng)用案例系統(tǒng)框架圖，他們通過(guò)OPC UA構(gòu)建了信息化工廠從底層設(shè)備到工廠MES/ERP系統(tǒng)的全局連接，實(shí)現(xiàn)了OT與IT之間的數(shù)據(jù)傳輸。

由于客戶工廠中的底層設(shè)備數(shù)量和種類較多，支持的通訊協(xié)議也各不相同，為了采集底層設(shè)備的數(shù)據(jù)，不同種類設(shè)備的解決方案也各不相同。

對(duì)于不支持OPC DA 的設(shè)備，用戶通過(guò)OPC Server軟件來(lái)獲取設(shè)備數(shù)據(jù)，并提供一個(gè)OPC DA服務(wù)器的接口以此和OPC DA客戶端進(jìn)行數(shù)據(jù)交互。

對(duì)于重要的OPC DA服務(wù)器，用戶建立了對(duì)應(yīng)的冗余服務(wù)器，OPC DA客戶端通過(guò)OPC Redundancy軟件實(shí)現(xiàn)主備服務(wù)器的快速切換，防止由于單個(gè)設(shè)備故障影響工廠的生產(chǎn)力；此外，用戶還通過(guò)OPC Funnel軟件對(duì)工廠中的多個(gè)OPC DA服務(wù)器進(jìn)行聚合管理，降低服務(wù)器的管理和維護(hù)成本。

然后，通過(guò)OPC UA Tunneller軟件將聚合后的OPC DA服務(wù)器轉(zhuǎn)換成OPC UA服務(wù)器。

對(duì)于不支持OPC UA的設(shè)備，用戶通過(guò)OPC UA SDK在設(shè)備上集成一個(gè)OPC UA服務(wù)器，最后再使用Data Broker軟件完成OPC UA服務(wù)器的聚合管理以及跨防火墻的安全連接，至此通過(guò)OPC UA順利將數(shù)據(jù)上傳到工廠MES系統(tǒng)或云平臺(tái)，與工廠ERP系統(tǒng)進(jìn)行數(shù)據(jù)交互，完成底層設(shè)備數(shù)據(jù)的共享。

5 總結(jié)

綜上所述，虹科提供的一站式OPC解決方案不僅可以實(shí)現(xiàn)OPC DA和OPC UA的轉(zhuǎn)換連接，還可以實(shí)現(xiàn)OPC UA服務(wù)器的聚合管理以及跨防火墻的安全連接，解決用戶信息化工廠建設(shè)過(guò)程中新舊設(shè)備之間的數(shù)據(jù)交互、傳統(tǒng)OPC UA服務(wù)器管理和連接等難題、實(shí)現(xiàn)底層設(shè)備數(shù)據(jù)的共享，由此幫助用戶構(gòu)建信息化工廠的全局連接。