IIoT

虹科OPC UA解決方案

—— 構建信息化工廠的全局連接

隨著工業4.0的快速推進以及OPC技術的快速發展，越來越多的企業致力于通過OPC技術提高工廠車間的自動化水平，而提高自動化水平的關鍵在于對工廠車間儀器設備進行數據采集和監控。

虹科提供的OPC系列產品不僅可以實現多種PLC數據的采集，多個OPC服務器的聚合管理以及OPC服務器之間的數據交互，而且還可以實現OPC DA到OPC UA的升級，以及OPC UA服務器/客戶端的集成。本文將針對OPC構建信息化工廠一些典型場景方案進行闡述。

虹

科

方

案

01

OPC 簡 介

OPC，即OLE for Process Control，是一個基于微軟的OLE、COM和DCOM技術的工業標準。隨著九十年代自動化系統的快速發展，為了訪問設備中的自動化數據，各大自動化廠家開發了各種標準的自動化軟件，此過程使用了無數不同的總線系統、協議和接口。為了消除自動化軟件和硬件平臺之間互操作性的障礙，OPC基金會提出了OPC標準，為不同廠家的設備通訊建立了一整套開放的接口、屬性和方法標準集。

1

1

雖然OPC解決了設備的跨廠商平臺通訊的問題，但是它依賴于Windows的COM/DCOM技術，這使得它不能在Linux或其它系統中使用。此外，在實際應用過程中，需要對OPC客戶端和服務器進行復雜的DCOM配置。而且，Windows系統中系統組件容易受到其它應用的影響，通訊不穩定，不適合遠距離通訊，一般只能在廠級局域網內通訊，一旦通訊中斷還需要重新配置項目，并添加數據標簽。同時，OPC的安全性較低，其安全性更多的是基于Windows系統，而不是在OPC規范中定義安全機制。

為了解決以上問題，OPC基金會在OPC基礎上開發出新一代OPC技術——OPC UA，實現了不同系統和不同協議設備之間的相互通信。

為區分兩代OPC技術，上一代OPC技術我們一般稱為OPC Classic，新一代則稱為OPC UA。

1

02

DA & UA轉 換 連 接

必 要 性

2

目前的工業生產，尤其是制造業中，很多設備以及控制系統基本都采用OPC DA進行數據交互。隨著工業4.0的快速推進以及OPC UA的迅速發展，OPC DA已經處于逐步淘汰的階段，新的工業設備基本都支持OPC UA，信息化工廠的建設使得整個行業范圍內OPC DA到OPC UA升級的需求越來越大。

在工廠的升級改造過程中，如果繼續使用支持OPC DA的老舊設備和控制系統，那么將會為工廠帶來額外的維護成本以及故障損失；如果直接淘汰所有老舊設備和控制系統，升級到支持OPC UA的對應產品，那么工廠將會面臨巨大的采購開銷以及折舊浪費等問題；而如果混合使用新舊設備，由于OPC DA和OPC UA完全不兼容，新舊設備之間無法進行數據交互，工廠無法進行數據統籌管理。

2

2

為了解決工廠的升級難題，虹科為信息化工廠建設提供一個OPC DA和OPC UA轉換連接的解決方案——OPC UA Tunneller軟件，該軟件一共有兩大功能，一個是OPC DA的遠程連接，另一個是OPC DA與OPC UA的轉換連接。軟件的系統框架如下圖所示。

對于OPC DA遠程連接功能，Tunneller軟件使用COM與本地OPC組件通信，但彼此之間使用安全的、基于TCP/IP的連接，通信前不需要進行復雜的DCOM配置。同時，傳統OPC DA跨防火墻通信時沒有固定使用范圍的端口，而Tunneller軟件則是選擇一個專有端口進行數據傳輸，所以更加穩定。

2

2

此外，使用Tunneller軟件進行OPC DA通信可不受到Windows DCOM更新的影響。在2021年6月8日，為了解決CVE-2021-26414中描述的安全漏洞，微軟更新了Windows系統強制執行DCOM安全通信的方式，需要OPC DA的應用程序支持數據包完整性級別的身份驗證。如果應用程序不支持此級別的身份驗證，一旦Windows進行更新，那么OPC DA客戶端無法連接遠程的DA服務器，客戶無法通過更改Windows的安全設置來解決此問題。

對于OPC DA和OPC UA的轉換連接功能，Tunneller軟件使用UA Wrapper將DA服務器包裝成UA服務器實現OPC UA客戶端和OPC DA服務器之間的通信。同理，Tunneller軟件使用UA Proxy將UA服務器包裝成DA服務器實現OPC DA客戶端和OPC UA服務器之間的通信。

因此，通過使用Tunneller軟件，可以解決工廠新舊設備之間數據交互問題，保證工廠設備的平穩升級。

2

03

服 務 器 聚 合 管 理

與 安 全 連 接

3

隨著工業4.0的快速推進，越來越多的企業都在用OPC UA技術構建信息化工廠的全局連接。盡管車間和現場OPC UA數據源的快速增長能夠幫助工廠實現數字化、智能化和信息化，但是數據源的管理也是一大頭疼的問題。

傳統OPC UA連接需要每個客戶端和服務器之間分別建立連接，這種方式會極大地增加一個客戶端同時連接多個服務器的管理成本。之前我們就遇到過一個客戶，客戶大概有上萬臺設備，即使使用OPC UA軟網關通過群管理的方式進行管理，后續會有大概上千個OPC UA服務器，而且也會增加額外的設備安裝和維護成本。

3

3

此外，OPC UA是一個客戶端/服務器（C/S）通信架構，需要客戶端發起連接請求，通過防火墻的入站端口找到服務器，從而建立連接。然而從IT角度講，這是不安全的。因為OPC UA客戶端在北向，OPC UA服務器在南向，從北向到南向建立連接需要防火墻設置入站端口，存在潛在的安全風險，而且防火墻本身就是為了進行數據隔離。

為了降低工廠OPC UA服務器的管理成本以及保證OPC UA服務器的安全連接，虹科為信息化工廠建設提供一個服務器聚合管理和安全連接的解決方案——Data Broker軟件，該軟件的系統框架圖如下圖所示。

3

3

在信息化工廠建設過程中，Data Broker軟件不僅可以聚合管理多個OPC UA服務器，還可以多級別聚合管理，即Data Broker聚合管理一定數量的OPC UA服務器后，自身也可以作為OPC UA服務器和其他的OPC UA服務器被另一個Data Broker軟件再次聚合。

通過單個高精度可擴展的訪問點即可多級別地設置和控制OPC UA服務器，簡化了系統的配置和連接，降低了服務器的維護和管理成本。對于支持低級別OPC UA的設備，Data Broker軟件可以保護它們免受更高級別連接以及多個連接的影響。而且，無論OPC UA客戶端處在哪一個級別上，Data Broker軟件可以保留OPC UA服務器數據粒度。

3

3

在實際應用中，信息化工廠通常需要利用防火墻來保證數據的安全。Data Broker軟件另一強大功能是可以使OPC UA服務器發起反向連接，從而無需打開防火墻入站端口。只允許從信任區域到不信任區域建立連接，防止打開防火墻入站端口而帶來的潛在風險，最大程度地實現OT數據的安全傳輸。

04

實 例 解 讀

下圖是我們一個用戶的實際應用案例系統框架圖，他們通過OPC UA構建了信息化工廠從底層設備到工廠MES/ERP系統的全局連接，實現了OT與IT之間的數據傳輸。

由于客戶工廠中的底層設備數量和種類較多，支持的通訊協議也各不相同，為了采集底層設備的數據，不同種類設備的解決方案也各不相同。

4

4

對于不支持OPC DA 的設備，用戶通過OPC Server軟件來獲取設備數據，并提供一個OPC DA服務器的接口以此和OPC DA客戶端進行數據交互。

對于重要的OPC DA服務器，用戶建立了對應的冗余服務器，OPC DA客戶端通過OPC Redundancy軟件實現主備服務器的快速切換，防止由于單個設備故障影響工廠的生產力；此外，用戶還通過OPC Funnel軟件對工廠中的多個OPC DA服務器進行聚合管理，降低服務器的管理和維護成本。

然后，通過OPC UA Tunneller軟件將聚合后的OPC DA服務器轉換成OPC UA服務器。

對于不支持OPC UA的設備，用戶通過OPC UA SDK在設備上集成一個OPC UA服務器，最后再使用Data Broker軟件完成OPC UA服務器的聚合管理以及跨防火墻的安全連接，至此通過OPC UA順利將數據上傳到工廠MES系統或云平臺，與工廠ERP系統進行數據交互，完成底層設備數據的共享。

4

05

總 結

5

綜上所述，虹科提供的一站式OPC解決方案不僅可以實現OPC DA和OPC UA的轉換連接，還可以實現OPC UA服務器的聚合管理以及跨防火墻的安全連接，解決用戶信息化工廠建設過程中新舊設備之間的數據交互、傳統OPC UA服務器管理和連接等難題、實現底層設備數據的共享，由此幫助用戶構建信息化工廠的全局連接。