基本事項
Open Platform Communications Unified Architecture (OPC UA) に仕様がまとめて記載されています。この仕様書は、産業オートメーション分野における機械から機械へのコミュニケーション (M2M) を規格化するものです。OPC UA は、異なるメーカーの製品間でのオペレーティングシステムを超えたデータ交換を可能にします (例えば、ハイデンハインのコントローラとサードパーティのソフトウェア間)。そのため、OPC UA はここ数年で、安全で信頼でき、メーカーやプラットフォームに依存しない産業用通信のためのデータ交換標準となりました。
ドイツ情報セキュリティ庁 (BSI) は 2016 年に OPC UA の安全性の分析結果を公開しました。セキュリティ分析は 2022 年に更新されました。実施された詳細な分析で、OPC UA は他の大部分の産業プロトコルよりも高いセキュリティレベルであることが示されました。
ハイデンハインは BSI の推薦に従い、SignAndEncrypt で時代に合った IT セキュリティプロファイルのみを提供しています。ここでは、OPC UA ベースの産業アプリケーションと OPC UA NC サーバーが相互に認証を行います。さらに、伝送するデータが暗号化されます。これによって、通信相手同士のメッセージの傍受や不正操作が効果的に阻止されます。
用途
OPC UA NC サーバーでは、標準ソフトウェアも個別ソフトウェアも使用できます。他の既成のインターフェースと比べると、統一的な通信テクノロジーにより OPC UA 接続の開発コストは大幅に低くなっています。
OPC UA NC サーバーにより、サーバーアドレス空間で公開されるハイデンハイン NC 情報モデルのデータと機能にアクセスすることができます。
OPC UA NC Serverのインターフェースドキュメンテーションならびにクライアントアプリケーションのドキュメンテーションに従ってください。
関連項目
- OPC UA NC Serverの仕様が記載されているインターフェースドキュメンテーション「Information Model」(英語)
ID:1309365-xx または OPC UA NC サーバーインターフェースドキュメンテーション
- OPC UA クライアントアプリケーションをコントローラにすばやく簡単に接続する
- OPC UA のユーザーロールと権限
- さまざまなプロトコルの転送時間の比較
条件
- ソフトウェアオプション OPC UA NC Server (#56-61 / #3-02-1*)
OPC UA ベースの通信のために、ハイデンハインのコントローラは OPC UA NC サーバーを提供しています。接続する OPC UA クライアントアプリケーションごとに、6 つの使用可能なソフトウェアオプション (#56~#61) のいずれかが必要です。
コントローラに SIK2 が装備されている場合、このソフトウェアオプションを複数回注文して、最大 10 回の接続を使用できます。
- ファイアウォールが設定されている
- OPC UA クライアントは、OPC UA NC サーバーのセキュリティポリシーと認証方式に対応しています。
- Security Mode:SignAndEncrypt
- アルゴリズム:
- Basic256Sha256
- Aes128Sha256RsaOaep
- Aes256Sha256RsaPss
- User Authentication:
- X509 Certificates
- ユーザー名とパスワード
- ユーザー名とパスワードでのログインについて:
- 機械メーカーによって許可されている
- ユーザー管理が有効
- 「NC.OpcUaPwAuth」または「NC.OpcUaPwAuthOnlyMachineNet」権限
機能説明
OPC UA NC サーバーでは、標準ソフトウェアも個別ソフトウェアも使用できます。他の既成のインターフェースと比べると、統一的な通信テクノロジーにより OPC UA 接続の開発コストは大幅に低くなっています。
以下の OPC UA 機能に対応しています:
- 変数の読み取りと書き込み
- 値変更の定期取得
- 方法の実行
- イベントの定期取得
- サービスファイルの作成
- 工具データの読み取りと書き込み (該当する権限によってのみ)
- カウンタの読み取りと書き込み (該当する権限によってのみ)
- TNC: ドライブへのファイルシステムアクセス
- PLC: ドライブへのファイルシステムアクセス (該当する権限によってのみ)
- 工具キャリアの 3D モデルの検証
- 工具の 3D モデルを検証できます (#140 / #5-03-2)
OPC UA に関連する機械パラメータ
OPC UA NC サーバーでは、OPC UA クライアントアプリケーションで一般的な機械情報 (例えば製造年や機械の設置場所) を照会することができます。
機械のデジタル識別には、以下の機械パラメータを使用します。
- ユーザーには CfgMachineInfo (No. 131700)
- 機械メーカーには CfgOemInfo (No. 131600)
ディレクトリへのアクセス
OPC UA NC サーバーにより、TNC: および PLC: ドライブへの読み取りおよび書き込みアクセスが可能になります。
以下のインタラクションが可能です:
- フォルダの作成と削除
- ファイルの読取り、変更、コピー、移動、作成、削除
NC ソフトウェアのランタイム中、以下の機械パラメータで参照されるファイルは書き込みアクセスがロックされます:
- 機械メーカーが機械パラメータ CfgTablePath (No. 102500) で参照する表
- 機械メーカーが機械パラメータ dataFiles (No. 106303、分岐 CfgConfigData No. 106300) で参照するファイル
OPC UA NC サーバーを使用すると、NC ソフトウェアがオフでもコントローラへのアクセスが可能です。オペレーティングシステムが作動している間は、例えばサービスファイル作成して、転送できます。
- 権限のある専門家だけがシステム関連ファイルを変更します
ログイン方法
OPC UA NC サーバーには、3 種類の異なる認証が必要です。2 つの認証、Application Instance Certificate は、安全な接続を構築するためにサーバーとクライアントを必要とします。ユーザー認証は、権限の付与および特定のユーザー権限でのセッション開始のために必要です。 ユーザー認証の代わりに、ユーザー名とパスワードでのログインも OPC UA NC Server では認められます。
コントローラは、サーバーのために 2 段階の認証チェーン Chain of Trust を自動的に生成します。この認証チェーンは、自己署名ルート証明書 (Revocation List を含む) とそこから作成されたサーバーの認証で構成されています。
クライアント認証は、「PKI Admin」機能の「信頼できる」タブに登録されなければなりません。
他のすべての認証は、認証チェーン全体の点検のために、「PKI Admin」機能の「発行者」タブに登録される必要があります。
ユーザー認証
ユーザー認証は、HEROS 機能の Current User または UserAdmin の中で管理されます。セッションを開くと、該当する内部ユーザーの権限が有効になります。
ユーザーに次のようにユーザー認証を割り当てます:
- 「設定」アプリケーションを開く
- 「オペレーティングシステム」を選択します
- 「Current User」をダブルタップまたはダブルクリックします
- 「アクティブユーザー」ウィンドウが開きます。
- 「SSHキーと証明書」を選択します
- 証明書の インポート を選択します
- 「証明書の インポート」ウィンドウが開きます。
- 認証を選択します
- 「オープン」を選択します
- コントローラが認証をインポートします。
- 「OPC UA の用途」を選択します
- OPC UA の認証が使用されます。
自己生成された認証
すべての必要な認証を自己生成してインポートすることもできます。
自己生成した認証は、以下のプロパティを満たし、以下の表示義務のある情報が含まれなければなりません:
- 一般事項
- ファイルタイム *.der
- Hash SHA256 付き署名
- 有効なランタイム、最長 5 年を推奨
- クライアント認証
- クライアントのホスト名
- クライアントのアプリケーション URI
- サーバー認証
- コントローラのホスト名
- 以下のテンプレートによるサーバーのアプリケーション URI:
urn:<hostname>/HEIDENHAIN/OpcUa/NC/Server
- 最長 20 年のランタイム
ユーザー名とパスワードでのログイン
機械メーカーは、ユーザー名とパスワードによるログインを許可できます (ユーザー認証でのログインをサポートしていないクライアントアプリケーションの場合など)。
このログインでは、ユーザー管理が有効な場合、クライアントアプリケーションに「NC.OpcUaPwAuth」または「NC.OpcUaPwAuthOnlyMachineNet」権限を持つユーザーが存在している必要があります。
「設定」アプリケーションのメニュー項目「OPC UA」に、現在のユーザーがログインできる方法が表示されます。
注意事項
- OPC UA は、メーカーやプラットフォームに依存しないオープンな通信標準です。したがって、OPC UA クライアント SDK は、OPC UA NC サーバーの一部ではありません。
- 機械のマニュアルを参照してください。
例えばユーザー管理が有効な場合にクライアントアプリケーションが特定の機械データにアクセスできるように、機械メーカーは追加の機能ユーザーを作成できます。