Najlepszy serwer OPC DA/UA dla PLC Siemens

| Prezentacje firmowe PLC, HMI, Oprogramowanie

Kepware + S7-1200/1500 + TIA V18 = maksimum bezpieczeństwa + pełny dostęp do danych. Bezpieczeństwo przede wszystkim!

Najlepszy serwer OPC DA/UA dla PLC Siemens

Od pewnego czasu w sterownikach PLC firmy Siemens – a konkretnie SIMATIC S7-1200 oraz S7-1500 – mocno poprawił się poziom bezpieczeństwa w zakresie komunikacji, a tym samym bezpieczeństwa danych. Wraz z wersją V17 środowiska TIA Portal, Siemens wprowadził tzw. Bezpieczną komunikację (Secure Communication). Bezpieczeństwo opiera się tu na sprawdzonych od lat metodach, stosowanych w Internecie, a mianowicie na koncepcji kluczy publicznych i prywatnych. Jest to tzw. Infrastruktura Klucza Publicznego (ang. Public Key Infrastructure), w skrócie PKI. Klucze te zapisywane są w postaci certyfikatów X.509 v3. Dodatkowo transmisja jest szyfrowana protokołem TLS (następca SSL) w najnowszych wersjach (TLS 1.2 i TLS 1.3). W sterownikach PLC S7-1200 (z firmware V4.4 lub nowszym) i S7-1500 (z firmware V2.0 lub nowszym) przewidziano możliwość obsługi tych standardów, dzięki czemu komunikacja między panelem HMI a sterownikiem PLC, jak również między przeglądarką www a PLC (jeśli korzystamy z serwera web), jest bezpieczna. Co jednak, jeśli chcemy dane ze sterownika S7 udostępniać poprzez OPC UA? Oczywiście możemy skorzystać z wbudowanego serwera OPC UA w S7-1500 i S7-1200 (nowsze wersje), ale jest to narzędzie dosyć mocno ograniczone i firmy bardzo często decydują się na zastosowanie zewnętrznego serwera OPC UA. Ważne jest wówczas, aby ów serwer obsługiwał najnowsze standardy bezpieczeństwa. Tutaj z pomocą przychodzi KEPServerEX (dostępny też pod nazwą ThingWorx Kepware Server), czyli serwer OPC UA i platforma komunikacyjna firmy Kepware (grupa PTC).

S7 Plus Ethernet Driver

Bezpieczną komunikację z najnowszymi sterownikami Siemens zapewnia ulepszony driver komunikacyjny o nazwie S7 Plus Ethernet Driver. Oprogramowanie to wspiera takie standardy, jak:

  • certyfikaty x.509-v3 dla kluczy prywatnych i publicznych;
  • protokół szyfrujący TLS w wersjach 1.2/1.3;
  • polityki (profile) bezpieczeństwa (Security Policies):
    • Basic128Rsa15,
    • Basic256,
    • Aes128-Sha256-RsaOaep,
    • Basic256Sha256,
    • Aes256-Sha256-RsaPss.

Dodatkowo KEPServerEX oraz ThingWorx Kepware Server korzystają z najnowszej wersji biblioteki OpenSSL 3.0.0. Firma Siemens zaleca stosowanie profilu bezpieczeństwa "Basic256Sha256". Profile "Basic128Rsa15" oraz "Basic256" są domyślnie nieaktywne i nie powinny być używane. Serwer OPC UA Kepware obsługuje trzy rodzaje autentyfikacji:

  • nazwa użytkownika i hasło,
  • certyfikaty X.509,
  • brak autentyfikacji (konto anonimowego użytkownika).

W konfiguracji serwera OPC Kepware (od wersji 6.14), oprócz dostępnego już wcześniej hasła do sterownika PLC, pojawiły się nowe pola, a mianowicie Secure Communications oraz Require Trusted Certificates (rys. 1). Ustawienie dla pierwszego z nich wartości Enable spowoduje, że wszystkie dane będą przesyłane w postaci zaszyfrowanej. Umożliwi to także edycję drugiego pola i jeśli w nim również ustawimy wartość Enable, komunikacja ze sterownikiem PLC będzie możliwa dopiero po zaimportowaniu certyfikatu. Generowane w sterownikach PLC S7-1200 i S7-1500 certyfikaty można wyeksportować do pliku z rozszerzeniem .cer, .crt lub .pem, a następnie wgrać do magazynu certyfikatów w oprogramowaniu Kepware.

 
Rys. 1. Ustawienia bezpieczeństwa w konfiguracji Kepware Siemens S7 Plus Eternet Driver 

Od tej pory (po restarcie serwera) możliwa będzie już maksymalnie bezpieczna komunikacja pomiędzy sterownikami Siemens S7 a serwerem OPC Kepware, a w dalszej kolejności z systemami nadrzędnymi (SCADA/ERP/MES) czy też pomocniczymi (chmura/www/baza danych).

Pewność i wygoda

Driver S7 Plus Ethernet Driver nie tylko wspiera bezpieczną komunikację z PLC Siemens, ale umożliwia także automatyczne generowanie tagów. Jednym kliknięciem importujemy wszystkie zmienne obsługiwanych typów danych (rys. 2) ze sterownika S7-1200 lub S7-1500 i od tej chwili są one dostępne w konfiguracji KEPServerEX jako tagi. Typ danych ustawiany jest automatycznie. Driver S7 Plus Ethernet Driver dostępny jest w ramach pakietów Siemens Plus Suite oraz Manufacturing Suite.

 
Rys. 2. Typy danych w PLC S7-1200/1500 obsługiwane przez S7 Plus Ethernet Driver
 
Rys. 3. Protokół TLS w widoku warstw komunikacyjnych. Źródło: Siemens

Wsparcie i szkolenia

Wszystkie osoby zainteresowane nowymi ulepszeniami zachęcamy do kontaktu w celu otrzymania informacji i wsparcia. Jak zawsze zapraszamy również na szkolenia z komunikacji przemysłowej, bazujące na oprogramowaniu firmy Kepware.

 

Krzysztof Kuźniarz

INEE Sp. z o.o.
www.inee.pl