Principi fondamentali
Open Platform Communications Unified Architecture (OPC UA) descrive una raccolta di specifiche. Tali specifiche rendono standard la comunicazione machine-to-machine (M2M) nell'ambito dell'automazione industriale. OPC UA consente di scambiare dati a livello di sistema operativo tra i prodotti di diversi produttori, ad es. di un controllo numerico HEIDENHAIN e di un software di terzi. Negli ultimi anni OPC UA è diventato lo standard di scambio dati per la comunicazione industriale sicura, affidabile, indipendente dal produttore e dalla piattaforma.
L'Ufficio federale per la Sicurezza informatica (BSI) ha pubblicato nel 2016 un'analisi della sicurezza di OPC UA. L'analisi della sicurezza è stata aggiornata nel 2022. L'analisi eseguita delle specifiche ha mostrato che, rispetto alla maggior parte degli altri protocolli industriali, OPC UA offre un elevato livello di sicurezza.
HEIDENHAIN segue le raccomandazioni del BSI e con SignAndEncrypt offre esclusivamente profili di sicurezza IT al passo con i tempi. Le applicazioni industriali basate su OPC UA e OPC UA NC Server si identificano reciprocamente con certificati. I dati trasmessi vengono inoltre codificati. In questo modo si impedisce con efficacia l'intercettazione e la manipolazione di notizie tra i partner di comunicazione.
Applicazione
Con OPC UA NC Server è possibile impiegare sia il software standard sia il software personalizzato. Rispetto alle altre interfacce consolidate, la tecnologia di comunicazione standard consente di ridurre essenzialmente la complessità di sviluppo di una connessione OPC UA.
OPC UA NC Server consente l'accesso alle funzioni e ai dati esposti nell'area di indirizzamento del server e relativi al modello di informazione HEIDENHAIN NC.
Attenersi alla documentazione dell'interfaccia di OPC UA NC Server e alla documentazione dell'applicazione client!
Argomenti trattati
- Documentazione dell'interfaccia Information Model con la specifica di OPC UA NC Server in lingua inglese
ID: 1309365-xx oppure Documentazione dell'interfaccia OPC UA NC Server
- Connessione semplice e rapida dell'applicazione client OPC UA con il controllo numerico
Funzione Assistente alla connessione OPC UA (#56-61 / #3-02-1*)
- Ruoli e privilegi degli utenti per OPC UA
- Confronto dei tempi di trasmissione dei diversi protocolli
Premesse
- Opzioni software OPC UA NC Server (#56-61 / #3-02-1*)
Per la comunicazione basata su OPC UA, il controllo numerico HEIDENHAIN offre OPC UA NC Server. Per ogni applicazione client OPC UA da proporre è richiesta una delle sei opzioni software disponibili (#56 - #61).
Se il controllo numerico è dotato di SIK2, questa opzione software può essere ordinata più volte e possono essere attivate fino a dieci connessioni.
- Firewall configurato
- Il client OPC UA supporta la Security Policy e il metodo di autenticazione di OPC UA NC Server:
- Security Mode: SignAndEncrypt
- Algoritmo:
- Basic256Sha256
- Aes128Sha256RsaOaep
- Aes256Sha256RsaPss
- User Authentication:
- X509 Certificates
- Nome utente e password
- Per login con nome utente e password:
- Consentito dal costruttore della macchina
- Gestione utenti attiva
- Privilegio NC.OpcUaPwAuth o NC.OpcUaPwAuthOnlyMachineNet
Descrizione funzionale
Con OPC UA NC Server è possibile impiegare sia il software standard sia il software personalizzato. Rispetto alle altre interfacce consolidate, la tecnologia di comunicazione standard consente di ridurre essenzialmente la complessità di sviluppo di una connessione OPC UA.
Il controllo numerico supporta le seguenti funzioni OPC UA:
- Lettura e scrittura delle variabili
- Sottoscrizione di variazioni di valore
- Esecuzione dei metodi
- Sottoscrizione di eventi
- Creazione di service file
- Lettura e scrittura di dati utensile (solo con privilegio corrispondente)
- Lettura e scrittura di contatori (solo con privilegio corrispondente)
- Accesso al file system nel drive TNC:
- Accesso al file system nel drive PLC: (solo con privilegio corrispondente)
- Validazione dei modelli 3D per portautensili
- Validazione del modello 3D per utensili (#140 / #5-03-2)
Parametri macchina in combinazione con OPC UA
OPC UA NC Server offre ad applicazioni client OPC UA la possibilità di richiedere informazioni generali della macchina, ad es. l'anno di costruzione o la sede della macchina.
Per l'identificazione digitale della macchina sono disponibili i seguenti parametri macchina:
- Per l'operatore CfgMachineInfo (N. 131700)
- Per il costruttore della macchina CfgOemInfo (N. 131600)
Accesso alle directory
OPC UA NC Server consente accesso in lettura e scrittura al drive TNC: e PLC:.
Sono possibili i seguenti interazioni:
- Creare e cancellare cartelle
- Leggere, modificare, copiare, spostare, creare e cancellare file
Nel corso del tempo di esecuzione del software NC, i file referenziati nei seguenti parametri macchina sono bloccati per l'accesso in scrittura:
- Tabelle referenziate del costruttore della macchina nel parametro macchina CfgTablePath (N. 102500)
- File referenziati del costruttore della macchina nel parametro macchina dataFiles (N. 106303, diramazione CfgConfigData N. 106300)
Con l'ausilio di OPC UA NC Server è possibile accedere al controllo numerico anche con software NC disattivato. I service file, ad es., possono essere creati e trasmessi finché è attivo il sistema operativo.
- Far modificare i file rilevanti per il sistema soltanto da utenti autorizzati
Opzioni per il login
OPC UA NC Server richiede tre tipi diversi di certificato. Due dei certificati, i cosiddetti Application Instance Certificates, necessitano di server e client per configurare una connessione sicura. Il certificato user è necessario per l'autorizzazione e l'apertura di una sessione con determinati privilegi utente. In alternativa al certificato utente, OPC UA NC Server permette di accedere anche con nome utente e password.
Il controllo numerico crea automaticamente per il server una catena di certificati a due livelli, la Chain of Trust. Questa catena di certificati è composta da un cosiddetto certificato root self-signed (incl. la Revocation List) e un certificato per il server rilasciato con esso.
Il certificato client deve essere incluso all'interno della scheda Degno di fiducia della funzione PKI Admin.
Per la verifica dell'intera catena di certificati, tutti gli altri certificati devono essere inclusi all'interno della scheda Emittente della funzione PKI Admin.
Certificato user
Il certificato user gestisce il controllo numerico all'interno delle funzioni HEROS Current User o UserAdmin. Se si apre una sessione, sono attivi i privilegi del relativo utente interno.
Un certificato utente si assegna a un utente come descritto di seguito.
- Apertura dell'applicazione Impostazioni
- Selezionare il Sistema operativo
- Doppio tocco o clic su Current User
- Il controllo numerico apre la finestra Utente attivo.
- Selezionare Codici SSH e certificati
- Selezionare Importa certificato
- Il controllo numerico apre la finestra Importa certificato.
- Selezionare il certificato
- Selezionare Apri
- Il controllo numerico importa il certificato.
- Selezionare Usa per OPC UA
- Il controllo numerico utilizza il certificato per OPC UA.
Certificati autogenerati
Tutti i certificati necessari possono essere anche autogenerati e importati.
I certificati autogenerati devono soddisfare le seguenti proprietà e contenere dati obbligatori:
- Informazioni generali
- Tipo file *.der
- Firma con Hash SHA256
- Durata di validità, si consiglia max 5 anni
- Certificati user
- Nome host del client
- Application URI del client
- Certificati server
- Nome host del controllo numerico
- Application URI del server secondo il seguente modello:
urn:<hostname>/HEIDENHAIN/OpcUa/NC/Server
- Durata di validità di max 20 anni
Login con nome utente e password
Il costruttore della macchina può consentire il login con nome utente e password, ad es. per applicazioni client, che non supportano alcun login con l'ausilio di un certificato user.
Per questo login, con Gestione utenti attiva deve essere presente un utente per l'applicazione client, che possiede il privilegio NC.OpcUaPwAuth o NC.OpcUaPwAuthOnlyMachineNet.
Il controllo numerico visualizza nell'opzione OPC UA dell'applicazione Impostazioni le opzioni con cui l'utente corrente può eseguire il login.
Note
- OPC UA è uno standard di comunicazione aperto e indipendente dal produttore e dalla piattaforma. OPC UA Client SDK non è pertanto parte integrante di OPC UA NC Server.
- Consultare il manuale della macchina.
Il costruttore della macchina può creare utenti funzionali aggiuntivi per consentire l'accesso a determinati dati macchina ad es. ad applicazioni client con Gestione utenti attiva.