一种基于OPCUA的智慧建筑工业互联网安全网关及系统的制作方法

一种基于opc ua的智慧建筑工业互联网安全网关及系统
技术领域
1.本发明属于智慧建筑控制技术领域，具体涉及一种基于opc ua的智慧建筑工业互联网安全网关及系统。


背景技术：

2.opc基金会近年推出了opc的升级版opc ua。opc ua接口协议包含了之前的a&e、da、opc xml da、hda，只使用一个地址空间就能访问之前所有的对象，且不受操作系统平台限制。opc ua不再基于分布式组件对象模型dcom，而是采用面向服务的架构(service-oriented architecture，soa)。soa是一个组件模型，它将应用程序的不同功能单元(称为服务)通过服务之间的接口和协议连接起。soa以可扩展标记语言(extensible markup language，xml)为基础。通过使用基于xml(标准通用标记语言的子集)的语言(称为web服务描述语言(web services definition language，wsdl)来描述接口。opc统一架构(opc unified architecture)更加中性(与供应商无关)、高效、安全。opc ua可以连接更多的设备。目前，opc ua已成为工业控制领域事实上的全球通用标准，但在建筑领域的落地应用仍有诸多不成熟、不稳定、不可靠的因素存在，需要结合建筑物特点进行个性化定制开发及系统性深度设计。
3.现代智能建筑综合监控系统是一个融合了多种先进技术的开放型系统，有一个全开放的集成软件平台。如果从网络的性质来划分，现代智能建筑综合监控系统可简单分为两层即管理层和控制层，管理层运行在以太网中，控制层各分站或设备之间是以一定的工业总线来实现互连的。实际系统中管理层网络和控制层网络使用的通信协议往往不一致，导致异构网络之间的通信困难。


技术实现要素：

4.为了解决现有技术存在的问题，本发明提供一种基于opc ua的智慧建筑工业互联网安全网关及系统，利用两层网络各自提供的开放性接口及接口访问函数，针对不同的子系统开发不同的协议转换程序，再集成到系统安全网关，实现协议的转换以及数据的交换。
5.本发明所采用的技术方案为：
6.第一方面，本发明提供一种基于opc ua的智慧建筑工业互联网系统，用于对智慧建筑对象进行综合监控，包括：
7.管理级网络，以tcp/ip为其通讯协议进行数据交互，具有实时数据库；
8.楼宇级网络，具有的楼宇级控制器，通过无主从网络对楼宇级对象进行控制；
9.楼层级网络，通过楼层级控制器对楼层内ddc控制器、plc控制器进行控制；以及
10.传感器级网络，连接若干建筑内的终端设备进行数据交互和控制；
11.其中，管理级网络通过opc ua安全网关与楼宇级网络连接，并由opc ua安全网关内协议与楼宇级网络进行数据交互。
12.本发明针对建筑工业互联网设计开发的实际需求，发明一种基于opc ua的建筑工
业互联网安全网关及以该网关为信息交互枢纽的智慧建筑工业互联网，提出一种采用面向对象编程语言vc 开发智慧建筑工业互联网安全网关osbims-gateway的方法，实现了智慧建筑异构子系统协议的统一转换以及数据的安全交换。基于此技术可构建应用于实际工程的各种安全型分布式智慧建筑数据采集监控系统。
13.第二方面，本发明还公开一种opc ua安全网关，应用在上述智慧建筑工业互联网系统中，其中，opc ua安全网关具有两个进程，一个为opc ua client的进程一，并通过另一个进程二建立一个内存共享文件；
14.共享文件中具有一个队列，其中由进程一将数据、报警、事件信息加入队列尾部，进程二从队列头部提取信息并利用实时数据库提供的api函数将其处理后再写入实时数据库中。
15.结合第二方面，本发明提供第二方面的第一种实施方式，其中进程一的具体步骤如下：
16.先打开内存映射文件，并获取到内存映射文件的首地址；
17.然后打开互斥量对象，创建并启动线程一，并读取opc ua服务器，调用add alarm；
18.等待对象函数返回值，若返回值不为0，则互斥量对象无信号并返回上一步骤；
19.若返回值为0，则互斥量对象发出信号，再根据队列情况进行处置；
20.若队列未满，则返回等待对象函数返回值的步骤，若队列满，则信息入队位置归零，并释放互斥量，再返回等待对象函数返回值的步骤。
21.结合第二方面，本发明提供第二方面的第三种实施方式，其中进程二的具体步骤如下：
22.先创建内存映射文件，然后创建互斥量对象，再创建并启动线程2，等待对象函数返回值；
23.若返回值不为0，则互斥量对象无信号并返回上一步骤；
24.若返回值为0，则互斥量对象发出信号，并在队列头部取信息并释放互斥量，然后写入数据库；
25.若队列未满，则返回的等待对象函数返回值步骤，若队列满，则信息出队位置归零，并释放互斥量，再返回等待对象函数返回值的步骤。
26.结合第二方面，本发明提供第二方面的第四种实施方式，所述opc ua安全网关的硬件模块是以stm32单片机作为主控芯片，并连接有调试电路模块、电源模块和主要功能模块所形成的架构；
27.其中，调试电路模块包括调试串口、下载调试sw接口和状态指示灯；
28.主要功能模块包括按键输入模块、通信接口模块、继电器模块、数据采集与转换模块、lcd接口和norflash存储模块。
29.本发明的现代智能建筑综合监控系统是一个融合了多种先进技术的开放型系统，有一个全开放的集成软件平台。实际系统中管理层网络和控制层网络使用的通信协议往往不一致，导致异构网络之间的通信困难，本发明为解决此问题利用两层网络各自提供的开放性接口及接口访问函数，针对不同的子系统开发不同的协议转换程序，再集成到系统安全网关，实现协议的转换以及数据的交换。
30.本发明基于opc ua标准化接口技术及计算机软件技术实现了一种能够普遍适用
于智能化工程应用的安全智能型网关，符合“开放性是自动化系统的发展趋势”，具有一定的代表意义。这种开发设计方法也可用于复杂工业监控系统的网关开发。
附图说明
31.图1是本发明中基于opc ua的安全开放型智慧建筑工业互联网架构图；
32.图2是本发明中基于opc ua的智慧建筑工业互联网安全网关架构图；
33.图3是本发明中安全网关在进行进程一的流程图；
34.图4是本发明中安全网关在进行进程二的流程图；
35.图5是本发明中安全网关的硬件结构图；
36.图6是本发明中安全网关采用的opc ua协议的功能层的架构图；
37.图7是本发明实施例中的智慧建筑工程实施方法的示意图。
具体实施方式
38.下面结合附图及具体实施例对本发明做进一步阐释。
39.为使本技术实施例的目的、技术方案和优点更加清楚，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本技术一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本技术实施例的组件可以以各种不同的配置来布置和设计。
40.因此，以下对在附图中提供的本技术的实施例的详细描述并非旨在限制要求保护的本技术的范围，而是仅仅表示本技术的选定实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
41.应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。
42.在本技术的描述中，需要说明的是，若出现术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，或者是该申请产品使用时惯常摆放的方位或位置关系，仅是为了便于描述本技术和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本技术的限制。此外，本技术的描述中若出现术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。
43.此外，本技术的描述中若出现术语“水平”、“竖直”等术语并不表示要求部件绝对水平或悬垂，而是可以稍微倾斜。如“水平”仅仅是指其方向相对“竖直”而言更加水平，并不是表示该结构一定要完全水平，而是可以稍微倾斜。
44.在本技术的描述中，还需要说明的是，除非另有明确的规定和限定，若出现术语“设置”、“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本技术中的具体含义。
45.实施例1：
46.本实施例中公开一种基于opc ua的智慧建筑工业互联网系统，为了开发实现建筑工业互联网内部单元模块之间的工业级通信，提出以opc ua协议为核心通信方法的建筑工业互联网通信协议研发技术路线。这里的“协议”指的是网络通信协议，“网络”包括计算机信息网络和控制网络两大类，协议的层次划分参照iso/osi七层通信协议模型。
47.该互联网系统(记为osbims)，能够安全采集来自空调、照明、给排水、电梯、供热、燃气、安防、消防等各种子系统的数据，其系统架构和组成要素如图1所示。
48.智慧建筑工业互联网系统由四个层级组成：第一层为管理级网络，以tcp/ip为其通讯协议。
49.第二层为楼宇级网络，rs485标准网络应用的较多，且以同层对同层、无主从网络(peer to peer)为主要结构。
50.第三层为可连接ddc控制器、plc控制器监控功能的楼层级网络。
51.第四层为能够采集各种建筑大数据的传感器级网络。
52.其中，所谓的开放型智慧建筑工业互联网的“开放性”通过网络互通和平台系统集成来实现。借助各种数据交换方式或标准通信协议，整个系统可以做到完全开放，即从数据交换的角度来看，某个系统具备与其他系统进行数据交换的功能，可以根据自身需要进行信息的输入和输出。
53.本实施例中的基于opc ua的智慧建筑工业互联网的安全网关(osbims-gateway)开发实现方法如图2所示。
54.智慧建筑工业互联网安全网关osbims-gateway的设计开发方法是：开发一个opc ua client，作为一个进程(图中进程一)，它从智慧建筑子系统的opc ua server实时获取数据、报警、事件等信息；再开发一个进程(图中进程二)，由该进程建立一个内存共享文件，为了防止丢失数据、做到数据动态缓冲，在共享文件中建立一个队列，进程一将数据、报警、事件等信息加入队列尾部，进程二负责从队列头部取信息并利用智慧建筑工业互联网平台提供的api函数将其写入平台实时数据库中。通过两个进程共享一个内存文件完成网关的协议转换、数据交换工作，实现了智慧建筑工业互联网中管理网与控制网之间的集成。
55.而其中，网关osbims-gateway进程一的流程图如图3所示，其中进程一的具体步骤如下：
56.先打开内存映射文件，并获取到内存映射文件的首地址；然后打开互斥量对象，创建并启动线程一，并读取opc ua服务器，调用add alarm；等待对象函数返回值，若返回值不为0，则互斥量对象无信号并返回上一步骤；若返回值为0，则互斥量对象发出信号，再根据队列情况进行处置；若队列未满，则返回等待对象函数返回值的步骤，若队列满，则信息入队位置归零，并释放互斥量，再返回等待对象函数返回值的步骤。
57.其中进程二的具体步骤如下：
58.网关osbims-gateway进程二的流程图如图4所示，先创建内存映射文件，然后创建互斥量对象，再创建并启动线程2，等待对象函数返回值；若返回值不为0，则互斥量对象无信号并返回上一步骤；若返回值为0，则互斥量对象发出信号，并在队列头部取信息并释放互斥量，然后写入数据库；若队列未满，则返回的等待对象函数返回值步骤，若队列满，则信息出队位置归零，并释放互斥量，再返回等待对象函数返回值的步骤。
59.网关osbims-gateway硬件结构如图5所示，其中opc ua安全网关的硬件模块是以
stm32单片机作为主控芯片，并连接有调试电路模块、电源模块和主要功能模块所形成的架构；调试电路模块包括调试串口、下载调试sw接口和状态指示灯；主要功能模块包括按键输入模块、通信接口模块、继电器模块、数据采集与转换模块、lcd接口和norflash存储模块。
60.opc ua的客户端划分为五个功能层，如图6所示。opc ua在能源物联网中应用时可结合能源系统特点定制化研究和开发编码方法、接口层、应用程序。应用程序层负责搭建应用逻辑，主要包括ua客户端和ua服务器。接口功能层负责访问其他组件，与应用逻辑层建立通信；栈包括编码、安全、传输三层，编码层负责ua二进制、ua xml等编码。
61.安全层负责安全协议，主要包括两类安全协议—ws-secureconversation和ua-secureconversation，两者都基于一个证书的连接建立。
62.栈可以开发封装为一个通用的组件，可以在许多应用之间被重用。传输层负责基于ua tcp、soap等协议的消息传输。
63.ws-secureconversation与ws-securitypolicy[oasis07a]一起定义了安全算法，同时与ws-trust[oasis07b]一起，在opc ua间建立的安全通道之上协商并共享加密数据。加密与签名使用xml encryption[w3c02]与xml signature[w3c08]来完成。这些标准在实际系统中应用前需要获得认证认可，且在一些产品和系统中已经有应用成功案例。
[0064]
本实施例中，还通过上述opc ua技术来构建安全建筑工业互联网及建筑大数据安全采集监控系统(bsscada)。
[0065]
其中，opc ua组件包括opc ua服务器和opc ua客户机两类，在智慧建筑集成系统的总体框架下对opc ua组件进行分布式互联。互联范围从终端到平台。对企业楼宇应用来讲，互联范围从现场设备到企业资源计划(erp)系统；对社区来讲，互联范围从现场设备到智慧社区管理平台；对园区来讲，互联范围从现场设备到智慧园区管理平台；对城市来讲，互联范围从现场设备到智慧城市管理平台。
[0066]
在网络的不同部位和层级部署不同技术形态的opc ua组件，在现场设备级是嵌入式opc ua服务器组件，在控制网是的opc ua客户机组件和opc ua服务器组件，在企业级网络中是opc ua客户机。各种opc ua组件在地理位置上是分布的，使用防火墙让彼此隔开以保障工业控制系统信息安全。
[0067]
智慧建筑工业互联网使用opc ua标准的数据加密、签名、防火墙等默认功能。opc ua的端口是唯一且固定的，不存在动态端口分配问题，不需要防火墙跟踪端口。此方法能够保障能源数据安全可靠地传输。数据安全包括3个方面：
[0068]
(i)数据不泄露，主要指数据仓库不被入侵，数据不被盗取；
[0069]
(ii)数据不丢失，主要指不会因为内部人员的误操作，使数据被删除或者被改变而无法恢复；
[0070]
(iii)数据隐私保护，主要指数据不会被无权限的人看到，通过对数据的权限控制实现。
[0071]
建筑大数据信息模型的封装采用opc ua标准，可以选择已经纳入到opc ua架构下的packml、mtconnect、euromap、automation ml等，也可以根据实际项目需求情况自定义opc ua建筑信息模型。
[0072]
基于opc ua的智慧建筑工业互联网平台通过api/net api实现对第三方软件和硬件的集成。为了保障数据安全，在opc ua客户机安装的数据库可视化管理界面中看不到用
户所需的数据表，管理平台将某些数据隐藏，只能看到相应的二进制文件，想要访问这些数据，需要借助api/net api接口函数，编写应用程序。
[0073]
一些实施例中，如图7所示，示出了本发明在智慧建筑工程中实施应用的方法。
[0074]
opc适用于在很短时间内更新大量过程数据的场合，过程数据的描述用opc数据项对象即opcitem，opc数据项是服务器端定义的对象，通常指向设备的一个寄存器单元。opcitem是一个数据组的统称，这个数据组至少由以下3个数据组成：
[0075]
数据值(value)，即实时数据的当前值，其类型是微软定义的variant类型；
[0076]
品质标识(quality)，数据采集成功与否，一般有good与bad两种值；
[0077]
时间戳(time stamp)，数据采集时的时间，为filetime类型。
[0078]
基于工程背景，设计构建一个多agent系统。目标是通过网关实现各agent之间智能行为的协调，包括规划、知识、技术和动作的协调。在智慧建筑工业互联网系统中，位于协调级的各接口agent起到协调纵向上、下两级的作用，同时又在横向上需相互协调，对于整个系统的智能化起到关键作用，同时也是在技术上有很大研究空间的部分所在。以网关中照明接口软件agent的开发为例，说明开发一种网关接口软件agent的方法。
[0079]
软件agent经常用多线程或者是类unix过程来实现，区别软件agent和普通程序的关键就是看它们和所处环境进行交互的能力。所以，在设计照明接口软件agent时应充分考虑了它所处的运行环境、系统位置及交互职责等因素。本案例中的系统要求照明接口软件agent最终实现如下结果：将照明子系统(对于数据处理的实时性要求较高)纳入智慧建筑工业互联网平台。照明子系统通过自身通信接口单元与网关接口软件agent进行信息交互，而agent又与智慧建筑工业互联网平台的实时数据库进行信息交换。另外，agent还必须完成与其它子系统的联动控制，例如当agent监测到人流量小信号时应立即通知照明系统调节某些通道的灯光至较低照度以节能。agent必须很好的与相关模块协作，应当按照相应协议进行通信和通话。
[0080]
agent主要包括以下功能模块：
[0081]
故障自动监测、诊断、恢复
[0082]
在没有状态变化信息传送过来时一直保持巡回监测状态，通过判断硬件发送过来的特定信息判断各种故障类型并及时给出处理措施。
[0083]
位置匹配
[0084]
自动搜索数据库中已经存储的系统配置信息，如点的名称、编号、地址等，和当前所处理点的信息进行比较后找到该点在库中对应的位置，为进一步处理做准备。
[0085]
协议解释
[0086]
为了适应系统集成的需要，常常需要将第三方系统数据链路层所采用的协议进行破释和处理。协议解释模块就是为了解决这个问题而设计的，它为“数据格式转换”和“信息读/写”模块做准备。
[0087]
数据格式转换
[0088]
将接收到的下层子系统的数据信息从数据报中还原出来并转换成上层数据库/知识库能够接受的格式。
[0089]
缓冲控制
[0090]
为了使下层发送/接收数据的速度和上层接收/发送数据的速度达到有效匹配而
设计的一种缓冲机制。
[0091]
信息读/写(与数据库交互功能)
[0092]
将监测数据写入实时数据库，将控制信息读出数据库或知识库。
[0093]
数据过滤
[0094]
将硬件发送的而集成不需要的数据通过软件过滤掉。
[0095]
与其他agent通信
[0096]
预留与系统中或系统外其他agent通讯的功能，以实现协同工作和控制。
[0097]
本发明不局限于上述可选的实施方式，任何人在本发明的启示下都可得出其他各种形式的产品。上述具体实施方式不应理解成对本发明的保护范围的限制，本发明的保护范围应当以权利要求书中界定的为准，并且说明书可以用于解释权利要求书。