Grundlagen

Open Platform Communications Unified Architecture (OPC UA) beschreibt eine Sammlung von Spezifikationen. Diese Spezifikationen standardisieren die Machine-to-Machine-Kommunikation (M2M) im Umfeld der Industrieautomation. OPC UA ermöglicht den betriebssystemübergreifenden Datenaustausch zwischen den Produkten unterschiedlicher Hersteller, z. B. einer HEIDENHAIN-Steuerung und einer Drittanbietersoftware. Dadurch hat sich OPC UA in den letzten Jahren zum Datenaustauschstandard für sichere, zuverlässige, Hersteller- und Plattform-unabhängige industrielle Kommunikation entwickelt.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte 2016 eine Sicherheitsanalyse zu OPC UA. Die durchgeführte Spezifikationsanalyse zeigte, dass OPC UA im Gegensatz zu den meisten anderen Industrieprotokollen ein hohes Sicherheitsniveau bietet.

HEIDENHAIN folgt den Empfehlungen des BSI und bietet mit dem SignAndEncrypt ausschließlich zeitgemäße IT-Sicherheitsprofile. Dafür weisen sich OPC UA-basierte Industrieanwendungen und der OPC UA NC Server gegenseitig mit Zertifikaten aus. Darüber hinaus werden die übertragenen Daten verschlüsselt. Hiermit wird das Abfangen oder Manipulieren von Nachrichten zwischen den Kommunikationspartner wirksam verhindert.

Anwendung

Mit dem OPC UA NC Server kann sowohl Standard- als auch Individual-Software verwendet werden. Im Vergleich zu anderen etablierten Schnittstellen ist dank der einheitlichen Kommunikationstechnologie der Entwicklungsaufwand einer OPC UA-Anbindung wesentlich geringer.

Der OPC UA NC Server ermöglicht Zugriff auf die im Server-Adressraum exponierten Daten und Funktionen des HEIDENHAIN NC-Informationsmodells.

 
Manual

Beachten Sie die Schnittstellendokumentation des OPC UA NC Server sowie die Dokumentation der Client-Anwendung!

Voraussetzungen

  • Software-Optionen #56 - #61 OPC UA NC Server
  • Zur OPC UA-basierten Kommunikation bietet die HEIDENHAIN-Steuerung den OPC UA NC Server. Pro anzubindender OPC UA-Client-Anwendung benötigen Sie eine der sechs verfügbaren Software-Optionen (#56 - #61).

  • Firewall konfiguriert
  • Firewall

  • OPC UA-Client unterstützt die Security Policy und die Authentifizierungsmethode des OPC UA NC Server:
    • Security Mode: SignAndEncrypt
    • Algorithm: Basic256Sha256
    • User Authentication: X509 Certificates

Funktionsbeschreibung

Mit dem OPC UA NC Server kann sowohl Standard- als auch Individual-Software verwendet werden. Im Vergleich zu anderen etablierten Schnittstellen ist dank der einheitlichen Kommunikationstechnologie der Entwicklungsaufwand einer OPC UA-Anbindung wesentlich geringer.

  • Die Steuerung unterstützt folgende OPC UA-Funktionen:
  • Variablen lesen und schreiben
  • Wertänderungen abonnieren
  • Methoden ausführen
  • Events abonnieren
  • Werkzeugdaten lesen und schreiben (nur mit entsprechendem Recht)
  • Dateisystemzugriff auf das Laufwerk TNC:
  • Dateisystemzugriff auf das Laufwerk PLC: (nur mit entsprechendem Recht)

Maschinenparameter in Verbindung mit OPC UA

Der OPC UA NC Server bietet OPC UA-Client-Anwendungen die Möglichkeit allgemeine Maschineninformationen abzufragen, z. B. das Baujahr oder den Standort der Maschine.

Zugriff auf Verzeichnisse

Der OPC UA NC Server ermöglicht lesenden und schreibenden Zugriff auf die Laufwerke TNC: und PLC:.

  • Folgende Interaktionen sind möglich:
  • Ordner erstellen und löschen
  • Dateien lesen, ändern, kopieren, verschieben, erstellen und löschen
  • Während der Laufzeit der NC-Software werden die in folgenden Maschinenparameter referenzierten Dateien für schreibenden Zugriff gesperrt:
  • Vom Maschinenhersteller im Maschinenparameter CfgTablePath (Nr. 102500) referenzierte Tabellen
  • Vom Maschinenhersteller im Maschinenparameter dataFiles (Nr. 106303, Zweig CfgConfigData Nr. 106300) referenzierte Dateien

Mithilfe des OPC UA NC Server ist der Zugriff auf die Steuerung auch im ausgeschalteten Zustand der NC-Software möglich. Solange das Betriebssystem aktiv ist, können Sie z. B. automatisch erstellte Servicedateien jederzeit übertragen.

 
Hinweis
Achtung, möglicher Sachschaden!
Die Steuerung führt vor dem Ändern oder Löschen keine automatische Sicherung der Dateien durch. Fehlende Dateien sind unwiederbringlich verloren. Entfernen oder Ändern systemrelevanter Dateien, z. B. die Werkzeugtabelle, können die Steuerungsfunktionen negativ beeinflussen!
  1. Systemrelevante Dateien nur durch autorisierte Fachkräfte ändern

Benötigte Zertifikate

Der OPC UA NC Server erfordert drei verschiedene Arten von Zertifikaten. Zwei der Zertifikate, die sog. Application Instance Certificates, benötigen der Server und der Client zum Aufbau einer sicheren Verbindung. Das User-Zertifikat ist zur Autorisierung und zum Eröffnen einer Sitzung mit bestimmten Benutzerrechten notwendig.

Die Steuerung erzeugt für den Server automatisch eine zweistufige Zertifikatskette, die Chain of Trust. Diese Zertifikatskette besteht aus einem sog. self-signed Root-Zertifikat (inkl. einer Revocation List) und einem damit ausgestellten Zertifikat für den Server.

Das Client-Zertifikat muss innerhalb des Reiters Vertrauenswürdig der Funktion PKI Admin aufgenommen werden.

Alle anderen Zertifikate sollen, für die Prüfung der gesamten Zertifikatskette, innerhalb des Reiters Aussteller der Funktion PKI Admin aufgenommen werden.

User-Zertifikat

Das User-Zertifikat verwaltet die Steuerung innerhalb der HEROS-Funktionen Current User oder UserAdmin. Wenn Sie eine Sitzung eröffnen, sind die Rechte des entsprechenden internen Benutzers aktiv.

  1. Sie weisen einem Benutzer wie folgt ein User-Zertifikat zu:
  2. HEROS-Funktion Current User öffnen
  3. SSH-Schlüssel und Zertifikate wählen
  4. Softkey Zertifikat Importieren drücken
  5. Die Steuerung öffnet ein Überblendfenster.
  6. Zertifikat wählen
  7. Open wählen
  8. Die Steuerung importiert das Zertifikat.
  9. Softkey Für OPC UA benutzen drücken

Selbst erstellte Zertifikate

Sie können alle benötigten Zertifikate auch selbst erstellen und importieren.

  • Selbst erstellte Zertifikate müssen folgende Eigenschaften erfüllen und Pflichtangaben enthalten:
  • Allgemein
    • Dateityp *.der
    • Signatur mit Hash SHA256
    • Gültige Laufzeit, empfohlen max. 5 Jahre
  • Client-Zertifikate
    • Host-Name des Clients
    • Application-URI des Clients
  • Server-Zertifikate
    • Host-Name der Steuerung
    • Application-URI des Servers nach folgender Vorlage:
    • urn:<hostname>/HEIDENHAIN/OpcUa/NC/Server

    • Laufzeit von max. 20 Jahren

Hinweis

OPC UA ist ein Hersteller- und Plattform-unabhängiger und offener Kommunikationsstandard. Ein OPC UA-Client-SDK ist daher nicht Teil des OPC UA NC Server.