一、研究內容

1.基本原理

（1）OPC技術（OLE for Process Control）

用于過程控制的OLE)是一個工業標準，管理這個標準的國際組織是OPC基金會，OPC基金會現有會員已超過220家。遍布全球，包括世界上所有主要的自動化控制系統、儀器儀表及過程控制系統的公司?；谖④浀腛LE(現在的Active X)、COM （部件對象模型）和DCOM （分布式部件對象模型）技術。OPC包括一整套接口、屬性和方法的標準集，用于過程控制和制造業自動化系統。

（2）COM技術（Component Object Model）

COM是一種為了實現與編程語言無關的對象而制定的標準，該標準將Windows下的對象定義為獨立單元，可不受程序限制地訪問這些單元。這種標準可以使兩個應用程序通過對象化接口通訊，而不需要知道對方是如何創建的。

2.關鍵技術

（1）OPC DA轉OPC UA

通過OPC DA Client采集驅動采集煤礦各子系統OPC接口數據，通過OPC UA Server將本地OPC DA數據轉發，作為服務器以自定義端口上傳，并以49320作為OPC UA Server端口，OPC UA Client通過自定義端口認證OPC UA Server，同時建立連接，實現數據采集。

（2）OPC UA傳輸模型

第一層：礦端采集匯聚層

各礦搭建OPC數據采集服務器，采集服務器使用OPC DA采集煤礦各子系統數據，基于傳統OPC和DCOM技術實現數據接入，通過OPC UA向外轉發數據。

第二層：煤業公司采集層

各煤礦出口的安全隔離網閘、煤礦出口防火墻、煤業公司采集服務器等設備，數據通過煤業公司專線傳輸。煤礦OPC采集服務器通過OPC UA協議以固定端口雙向傳輸技術經過安全隔離網閘，通過防火墻安全策略，以OPC UA接口經數據加密技術實現工業數據的采集。

第三層：煤企集團采集平臺層

包括煤業公司出口網閘、防火墻、VPN、煤企集團采集平臺服務器等設備，數據通過VPN專線傳輸。煤企采集服務器通過OPC UA協議以固定端口雙向傳輸技術經過煤業公司安全隔離網閘和防火墻，以OPC UA接口經過加密技術實現工業數據到煤企集團的采集。

3.工藝流程

煤企集成平臺主要監測各煤礦綜合自動化數據系統，煤企集團一般由數個煤業公司以及數十個煤礦構成。在各煤礦中存在工業環網、通訊專線、辦公網絡等網絡，煤礦綜合自動化系統都是基于工業網絡通訊的系統，網絡相對封閉，同樣網絡內部安全系數相對偏低，為實現集團對各煤礦綜合自動化系統數據的集成。系統的采集設計通過三層結構設計工業子系統數據通過OPC UA技術由各煤礦上傳至煤業公司再上傳至煤企集團的過程，設計圖如下：

（1）系統第一層為各礦子系統匯聚層，主要包括各礦搭建OPC數據采集服務器，通過OPC數據采集服務器集成煤礦各子系統如排水系統、通風系統、皮帶系統等子系統采集站的數據，其采集模式是基于OPC DA方式；從排水系統、通風系統、皮帶系統等子系統通過各子系統的通訊規約如MODBUS, PROFIBUS,104電力規約等形式的數據。

考慮到目前全國絕大多數煤礦子系統采集站基本支持OPC DA接口，故采集服務器使用OPC DA采集煤礦各子系統數據，基于傳統OPC和DCOM技術實現數據接入。由于工業控制網的相對隔離性，必須將OPC采集服務器布置在網閘的內側，對OPC采集服務器的出口做隔離限制。

（2）系統第二層為煤礦工業數據的出口到煤業公司的出口之間，主要包括各煤礦出口的安全隔離網閘、煤礦出口防火墻、煤業公司采集服務器等設備，數據通過煤業公司專線傳輸。煤礦OPC采集服務器通過OPC UA協議以固定端口雙向傳輸技術經過安全隔離網閘，通過防火墻安全策略，以OPC UA接口經數據加密技術實現工業數據的采集。

與傳統OPC DA技術數據傳輸相比，采用OPC UA技術可以更方便安全的經過網閘，只需要開通OPC UA的服務器設定端口即可，從而避免了傳統OPC DA基于動態端口的形式，導致更容易受到外部攻擊，而且更容易通過防火墻的出站、入站規則策略，保障了網絡通訊安全。

（3）系統第三層為煤業公司數據的出口到煤企集團公司的采集平臺，主要包括煤業公司出口網閘、防火墻、VPN、煤企集團采集平臺服務器等設備，數據通過VPN專線傳輸。煤企采集服務器通過OPC UA協議以固定端口雙向傳輸技術經過煤業公司安全隔離網閘和防火墻，以OPC UA接口經過加密技術實現工業數據到煤企集團的采集。

由于煤企的區域分散性，經過VPN專線傳輸過程必須做好網絡安全防護，主要包括通過煤業公司對外的安全隔離網閘，保證工業采集數據物理鏈路的隔離，通過防火墻避免了直接暴露在互聯網，保障工業數據的安全傳輸，并在煤業公司采集服務器及煤企采集平臺中安裝最新殺毒軟件，防止外部攻擊，保護工業數據采集的安全。

二、成果特點

煤企集成平臺的建設特點因各煤礦分散導致無法通過私有專線傳輸，通過OPC UA技術可以很好的保障工業數據從煤礦到煤業公司再到煤企采集平臺的跨專網、跨公網的數據傳輸，對比傳統的OPC DA、ODBC、FTP等采集技術相比，采用OPC UA有以下安全采集特點。

（1）數據傳輸的安全加密性。

與OPC DA技術相比OPC UA加大了數據傳輸過程的加密性，包括X509 認證、OpenSSL 加密、用戶名 / 密碼等方式，通過用戶鑒權、簽名和加密傳輸，防止非授權訪問和過程數據損壞。

（2）數據通訊的安全穿透性。

OPC UA 規范可以通過任何單一端口 （經管理員開放后）進行通信。這讓穿越防火墻不再是OPC通信的路障，并且為提高傳輸性能， OPC UA消息的編碼格式可以是XML文本格式或二進制格式，也可使用多種傳輸協議進行傳輸，比如：TCP和通過HTTP的網絡服務。與傳統OPC DA相比OPC DA采用DCOM需要多個端口，如鑒權、傳輸數據和一系列服務建立一個連接。所以在防火墻中不得不打開很多端口，才能讓DCOM通信穿過他。在防火墻上每打開一個端口都是一個安全隱患，為黑客攻擊提供一種潛在可能。OPC UA中的隧道技術是一種被廣泛接受的策略，解決了傳統OPC產品中DCOM限制的問題。

（3）數據采集的實時性。

與ODBC和FTP方式相比，OPC UA傳輸實時性更高，同時運行的穩定性更高，數據傳輸相比ODBC和FTP更加迅速，相應的更能適合工業數據的采集和傳輸。

（4）數據跨平臺的適用性。

OPC UA軟件的開發不再依靠和局限于任何特定的操作平臺。過去只局限于Windows平臺的OPC技術拓展到了Linux、Unix、Mac等各種其它平臺?；贗nternet的WebService服務架構 (SOA) 和非常靈活的數據交換系統， OPC UA的發展不僅立足于現在，更加面向未來。

（5）配置易用性。

OPC DA配置基于DCOM來提供數據的加密和簽命功能，配置防火墻，用戶權限等方式進行安全傳輸，但配置相對繁瑣，尤其對于不同的操作平臺以及較早的使用系統，對于非專業工程師來說配置起來非常困難，而OPC UA技術使用的數據加密、簽名，防火墻等方式都是默認方式，尤其是OPC DA使用的動態端口，端口不固定，通過防火墻很難，而OPC UA是基于固定端口，這就使得配置起來更加簡單，而且傳輸更加安全。

三、技術優勢

1.功能方面，OPC UA不僅支持傳統OPC的所有功能，更支持更多新的功能：1. 網絡發現：自動查詢本PC機中與當前網絡中可用的OPC Server。2. 地址空間優化：所有的數據都可以分級結構定義，使得OPC Client不僅能夠讀取并利用簡單數據，也能訪問復雜的結構體。3. 互訪認證：所有的讀寫數據/消息行為，都必須有訪問許可。

2.平臺支持方面，由于不再基于COM/DCOM技術，OPC UA標準提供的更多的可支持的硬件或軟件平臺。硬件平臺諸如傳統的PC機、基于云的服務器、PLC、ARM等其他微處理器；而軟件平臺可支持微軟的Windows、蘋果公司的OSX、安卓，以及其他的基于Linux的分布式操作系統。

3.安全性方面，最大的變化是OPC UA可以通過任何單一端口（經管理員開放后）進行通信，這使得OPC通信不再會由于防火墻受到大量的限制。

相對于以往煤企集團實現工業自動化數據采集通過OPC DA傳輸方式，OPC UA可以通行更加安全，更加穩定，接入范圍更廣。

四、應用案例

目前國內絕大多數企業工業數據集成依然采用傳統OPC技術，經過網閘或防火墻開放過多端口，安全性得不到保障，OPC UA技術無疑更安全高效。OPC UA跨平臺能力更強，可用于網頁端及移動端方面的應用，更適合作為新一代工業數據采集技術。

本技術已在某有限公司綜合調度項目中獲得應用，通過集成2個化工廠和2個煤礦實現自動化組態監控web友好嵌入到綜合調度平臺中。

本技術在某能源智慧管控平臺（煤炭板塊、化工板塊）中獲得應用，通過集成30個煤礦和23個化工廠實現自動化組態監控web友好嵌入到綜合調度平臺中。

本技術已成功應用到某集團三期生產運營平臺和中煤資源發展生產運營平臺中，取得了較好的效果。

五、推廣應用

與OPC DA技術相比OPC UA加大了數據傳輸過程的加密性，包括X509 認證、OpenSSL 加密、用戶名 / 密碼等方式，通過用戶鑒權、簽名和加密傳輸，防止非授權訪問和過程數據損壞。

OPC UA 規范可以通過任何單一端口 （經管理員開放后）進行通信，這讓穿越防火墻不再是OPC通信的路障，并且為提高傳輸性能。

OPC UA軟件的開發不再依靠和局限于任何特定的操作平臺。過去只局限于Windows平臺的OPC技術拓展到了Linux、Unix、Mac等各種其它平臺。

基于OPC UA技術的數據采集特別適用于集團層級、公司層級的系統平臺集成，在廠礦端也具有很廣的適用范圍。比較適用于基于互聯網、跨平臺、大數據等方面的數據集成，適合互聯網對數據高安全的要求。

轉化果平臺咨詢電話：400-1817-969

附件下載