一、研究内容

1.基本原理

（1）OPC技术（OLE for Process Control）

用于过程控制的OLE)是一个工业标准，管理这个标准的国际组织是OPC基金会，OPC基金会现有会员已超过220家。遍布全球，包括世界上所有主要的自动化控制系统、仪器仪表及过程控制系统的公司。基于微软的OLE(现在的Active X)、COM （部件对象模型）和DCOM （分布式部件对象模型）技术。OPC包括一整套接口、属性和方法的标准集，用于过程控制和制造业自动化系统。

（2）COM技术（Component Object Model）

COM是一种为了实现与编程语言无关的对象而制定的标准，该标准将Windows下的对象定义为独立单元，可不受程序限制地访问这些单元。这种标准可以使两个应用程序通过对象化接口通讯，而不需要知道对方是如何创建的。

2.关键技术

（1）OPC DA转OPC UA

通过OPC DA Client采集驱动采集煤矿各子系统OPC接口数据，通过OPC UA Server将本地OPC DA数据转发，作为服务器以自定义端口上传，并以49320作为OPC UA Server端口，OPC UA Client通过自定义端口认证OPC UA Server，同时建立连接，实现数据采集。

（2）OPC UA传输模型

第一层：矿端采集汇聚层

各矿搭建OPC数据采集服务器，采集服务器使用OPC DA采集煤矿各子系统数据，基于传统OPC和DCOM技术实现数据接入，通过OPC UA向外转发数据。

第二层：煤业公司采集层

各煤矿出口的安全隔离网闸、煤矿出口防火墙、煤业公司采集服务器等设备，数据通过煤业公司专线传输。煤矿OPC采集服务器通过OPC UA协议以固定端口双向传输技术经过安全隔离网闸，通过防火墙安全策略，以OPC UA接口经数据加密技术实现工业数据的采集。

第三层：煤企集团采集平台层

包括煤业公司出口网闸、防火墙、VPN、煤企集团采集平台服务器等设备，数据通过VPN专线传输。煤企采集服务器通过OPC UA协议以固定端口双向传输技术经过煤业公司安全隔离网闸和防火墙，以OPC UA接口经过加密技术实现工业数据到煤企集团的采集。

3.工艺流程

煤企集成平台主要监测各煤矿综合自动化数据系统，煤企集团一般由数个煤业公司以及数十个煤矿构成。在各煤矿中存在工业环网、通讯专线、办公网络等网络，煤矿综合自动化系统都是基于工业网络通讯的系统，网络相对封闭，同样网络内部安全系数相对偏低，为实现集团对各煤矿综合自动化系统数据的集成。系统的采集设计通过三层结构设计工业子系统数据通过OPC UA技术由各煤矿上传至煤业公司再上传至煤企集团的过程，设计图如下：

（1）系统第一层为各矿子系统汇聚层，主要包括各矿搭建OPC数据采集服务器，通过OPC数据采集服务器集成煤矿各子系统如排水系统、通风系统、皮带系统等子系统采集站的数据，其采集模式是基于OPC DA方式；从排水系统、通风系统、皮带系统等子系统通过各子系统的通讯规约如MODBUS, PROFIBUS,104电力规约等形式的数据。

考虑到目前全国绝大多数煤矿子系统采集站基本支持OPC DA接口，故采集服务器使用OPC DA采集煤矿各子系统数据，基于传统OPC和DCOM技术实现数据接入。由于工业控制网的相对隔离性，必须将OPC采集服务器布置在网闸的内侧，对OPC采集服务器的出口做隔离限制。

（2）系统第二层为煤矿工业数据的出口到煤业公司的出口之间，主要包括各煤矿出口的安全隔离网闸、煤矿出口防火墙、煤业公司采集服务器等设备，数据通过煤业公司专线传输。煤矿OPC采集服务器通过OPC UA协议以固定端口双向传输技术经过安全隔离网闸，通过防火墙安全策略，以OPC UA接口经数据加密技术实现工业数据的采集。

与传统OPC DA技术数据传输相比，采用OPC UA技术可以更方便安全的经过网闸，只需要开通OPC UA的服务器设定端口即可，从而避免了传统OPC DA基于动态端口的形式，导致更容易受到外部攻击，而且更容易通过防火墙的出站、入站规则策略，保障了网络通讯安全。

（3）系统第三层为煤业公司数据的出口到煤企集团公司的采集平台，主要包括煤业公司出口网闸、防火墙、VPN、煤企集团采集平台服务器等设备，数据通过VPN专线传输。煤企采集服务器通过OPC UA协议以固定端口双向传输技术经过煤业公司安全隔离网闸和防火墙，以OPC UA接口经过加密技术实现工业数据到煤企集团的采集。

由于煤企的区域分散性，经过VPN专线传输过程必须做好网络安全防护，主要包括通过煤业公司对外的安全隔离网闸，保证工业采集数据物理链路的隔离，通过防火墙避免了直接暴露在互联网，保障工业数据的安全传输，并在煤业公司采集服务器及煤企采集平台中安装最新杀毒软件，防止外部攻击，保护工业数据采集的安全。

二、成果特点

煤企集成平台的建设特点因各煤矿分散导致无法通过私有专线传输，通过OPC UA技术可以很好的保障工业数据从煤矿到煤业公司再到煤企采集平台的跨专网、跨公网的数据传输，对比传统的OPC DA、ODBC、FTP等采集技术相比，采用OPC UA有以下安全采集特点。

（1）数据传输的安全加密性。

与OPC DA技术相比OPC UA加大了数据传输过程的加密性，包括X509 认证、OpenSSL 加密、用户名 / 密码等方式，通过用户鉴权、签名和加密传输，防止非授权访问和过程数据损坏。

（2）数据通讯的安全穿透性。

OPC UA 规范可以通过任何单一端口 （经管理员开放后）进行通信。这让穿越防火墙不再是OPC通信的路障，并且为提高传输性能， OPC UA消息的编码格式可以是XML文本格式或二进制格式，也可使用多种传输协议进行传输，比如：TCP和通过HTTP的网络服务。与传统OPC DA相比OPC DA采用DCOM需要多个端口，如鉴权、传输数据和一系列服务建立一个连接。所以在防火墙中不得不打开很多端口，才能让DCOM通信穿过他。在防火墙上每打开一个端口都是一个安全隐患，为黑客攻击提供一种潜在可能。OPC UA中的隧道技术是一种被广泛接受的策略，解决了传统OPC产品中DCOM限制的问题。

（3）数据采集的实时性。

与ODBC和FTP方式相比，OPC UA传输实时性更高，同时运行的稳定性更高，数据传输相比ODBC和FTP更加迅速，相应的更能适合工业数据的采集和传输。

（4）数据跨平台的适用性。

OPC UA软件的开发不再依靠和局限于任何特定的操作平台。过去只局限于Windows平台的OPC技术拓展到了Linux、Unix、Mac等各种其它平台。基于Internet的WebService服务架构 (SOA) 和非常灵活的数据交换系统， OPC UA的发展不仅立足于现在，更加面向未来。

（5）配置易用性。

OPC DA配置基于DCOM来提供数据的加密和签命功能，配置防火墙，用户权限等方式进行安全传输，但配置相对繁琐，尤其对于不同的操作平台以及较早的使用系统，对于非专业工程师来说配置起来非常困难，而OPC UA技术使用的数据加密、签名，防火墙等方式都是默认方式，尤其是OPC DA使用的动态端口，端口不固定，通过防火墙很难，而OPC UA是基于固定端口，这就使得配置起来更加简单，而且传输更加安全。

三、技术优势

1.功能方面，OPC UA不仅支持传统OPC的所有功能，更支持飞禽走兽老虎机新的功能：1. 网络发现：自动查询本PC机中与当前网络中可用的OPC Server。2. 地址空间优化：所有的数据都可以分级结构定义，使得OPC Client不仅能够读取并利用简单数据，也能访问复杂的结构体。3. 互访认证：所有的读写数据/消息行为，都必须有访问许可。

2.平台支持方面，由于不再基于COM/DCOM技术，OPC UA标准提供的飞禽走兽老虎机的可支持的硬件或软件平台。硬件平台诸如传统的PC机、基于云的服务器、PLC、ARM等其他微处理器；而软件平台可支持微软的Windows、苹果公司的OSX、安卓，以及其他的基于Linux的分布式操作系统。

3.安全性方面，最大的变化是OPC UA可以通过任何单一端口（经管理员开放后）进行通信，这使得OPC通信不再会由于防火墙受到大量的限制。

相对于以往煤企集团实现工业自动化数据采集通过OPC DA传输方式，OPC UA可以通行更加安全，更加稳定，接入范围更广。

四、应用案例

目前国内绝大多数企业工业数据集成依然采用传统OPC技术，经过网闸或防火墙开放过多端口，安全性得不到保障，OPC UA技术无疑更安全高效。OPC UA跨平台能力更强，可用于网页端及移动端方面的应用，更适合作为新一代工业数据采集技术。

本技术已在某有限公司综合调度项目中获得应用，通过集成2个化工厂和2个煤矿实现自动化组态监控web友好嵌入到综合调度平台中。

本技术在某能源智慧管控平台（煤炭板块、化工板块）中获得应用，通过集成30个煤矿和23个化工厂实现自动化组态监控web友好嵌入到综合调度平台中。

本技术已成功应用到某集团三期生产运营平台和中煤资源发展生产运营平台中，取得了较好的效果。

五、推广应用

与OPC DA技术相比OPC UA加大了数据传输过程的加密性，包括X509 认证、OpenSSL 加密、用户名 / 密码等方式，通过用户鉴权、签名和加密传输，防止非授权访问和过程数据损坏。

OPC UA 规范可以通过任何单一端口 （经管理员开放后）进行通信，这让穿越防火墙不再是OPC通信的路障，并且为提高传输性能。

OPC UA软件的开发不再依靠和局限于任何特定的操作平台。过去只局限于Windows平台的OPC技术拓展到了Linux、Unix、Mac等各种其它平台。

基于OPC UA技术的数据采集特别适用于集团层级、公司层级的系统平台集成，在厂矿端也具有很广的适用范围。比较适用于基于互联网、跨平台、大数据等方面的数据集成，适合互联网对数据高安全的要求。

转化果平台咨询电话：400-1817-969