Académique Documents
Professionnel Documents
Culture Documents
Avant-propos
Guide de la documentation
Descriptions fonctionnelles 1
2
SIMATIC Vue d'ensemble du produit
Services de communication 3
S7-1500, ET 200MP, ET 200SP,
ET 200AL, ET 200pro, 4
ET 200eco PN Communication PG
Communication
Communication IHM 5
Description fonctionnelle
Communication S7 7
Communication OPC UA 9
Attribution d'adresses via
DHCP 10
Routage 11
Ressources de liaison 12
Diagnostic et suppression
des défauts 13
Communication avec le
système redondant 14
S7-1500R/H
DANGER
signifie que la non-application des mesures de sécurité appropriées entraîne la mort ou des blessures graves.
ATTENTION
signifie que la non-application des mesures de sécurité appropriées peut entraîner la mort ou des blessures
graves.
PRUDENCE
signifie que la non-application des mesures de sécurité appropriées peut entraîner des blessures légères.
IMPORTANT
signifie que la non-application des mesures de sécurité appropriées peut entraîner un dommage matériel.
En présence de plusieurs niveaux de risque, c'est toujours l'avertissement correspondant au niveau le plus élevé
qui est reproduit. Si un avertissement avec triangle de danger prévient des risques de dommages corporels, le
même avertissement peut aussi contenir un avis de mise en garde contre des dommages matériels.
Personnes qualifiées
L’appareil/le système décrit dans cette documentation ne doit être manipulé que par du personnel qualifié pour
chaque tâche spécifique. La documentation relative à cette tâche doit être observée, en particulier les consignes
de sécurité et avertissements. Les personnes qualifiées sont, en raison de leur formation et de leur expérience, en
mesure de reconnaître les risques liés au maniement de ce produit / système et de les éviter.
Utilisation des produits Siemens conforme à leur destination
Tenez compte des points suivants:
ATTENTION
Les produits Siemens ne doivent être utilisés que pour les cas d'application prévus dans le catalogue et dans la
documentation technique correspondante. S'ils sont utilisés en liaison avec des produits et composants d'autres
marques, ceux-ci doivent être recommandés ou agréés par Siemens. Le fonctionnement correct et sûr des
produits suppose un transport, un entreposage, une mise en place, un montage, une mise en service, une
utilisation et une maintenance dans les règles de l'art. Il faut respecter les conditions d'environnement
admissibles ainsi que les indications dans les documentations afférentes.
Marques de fabrique
Toutes les désignations repérées par ® sont des marques déposées de Siemens AG. Les autres désignations dans ce
document peuvent être des marques dont l'utilisation par des tiers à leurs propres fins peut enfreindre les droits de
leurs propriétaires respectifs.
Exclusion de responsabilité
Nous avons vérifié la conformité du contenu du présent document avec le matériel et le logiciel qui y sont décrits.
Ne pouvant toutefois exclure toute divergence, nous ne pouvons pas nous porter garants de la conformité
intégrale. Si l'usage de ce manuel devait révéler des erreurs, nous en tiendrons compte et apporterons les
corrections nécessaires dès la prochaine édition.
Communication
3 Description fonctionnelle, 05/2021, A5E03735816-AJ
Avant-propos
Quelles sont les nouveautés ? Quels sont les avantages pour le client ? Où se trouvent les informations ?
Sécurité améliorée pour la com- • Possibilité d'identification univoque de Communication PG/IHM sécurisée
munication PG/IHM dans SIMATIC (Page 97)
chaque API sur la base de certificats indivi-
duels
• Protection supplémentaire de la confidentiali-
té par cryptage de la communication
• Protection des données de configuration API
par mots de passe individuels
Security Wizard pour des nou- • Configuration simple et rapide des nouveaux Protection des données de configu-
veaux mécanismes de sécurité de ration confidentielles (Page 64)
mécanismes de sécurité de l'API en une seule
l'API
opération
• Informations d'aide à la sélection des para-
mètres adaptés à votre cas d'application
Gestion de certificats par OPC UA • Mise à jour de certificats en cours d'exécution Gestion des certificats avec Global
(Global Discovery Server, GDS) Discovery Server (GDS) (Page 193)
• Prise en charge de listes de certificats révo-
qués (CRL)
• Protection d'accès pour gestion de certificats
Transmettre les messages de la • Grâce aux souscriptions, les clients peuvent Mettre à disposition des alarmes sur
CPU à des clients OPC UA le serveur OPC UA (Page 296)
s'abonner aux messages CPU comme "Alarms
and Conditions" du serveur OPC UA de la CPU.
• Les alarmes de programme avec variables
sont fournies par le serveur OPC UA
• Les alarmes avec obligation d'acquittement
peuvent être acquittées par le client OPC UA
(désactivable)
• Une avalanche de messages est signalée
comme "Overload" et les clients peuvent utili-
ser la méthode Refresh pour recharger les
messages.
Communication
4 Description fonctionnelle, 05/2021, A5E03735816-AJ
Avant-propos
Quelles sont les nouveautés ? Quels sont les avantages pour le client ? Où se trouvent les informations ?
Affectation dynamique de la Utilisation de la CPU dans des réseaux informa- Attribution d'adresses via DHCP
configuration réseau par DHCP tiques grâce aux fonctions suivantes : (Page 376)
• Intégration de la CPU dans un réseau existant
sans configuration manuelle supplémentaire
de l'interface réseau
• Demande des paramètres réseau pour la CPU
selon RFC 2131 par un serveur DHCPv4
(adresse IP et masque de sous-réseau, adresse
IP de routeur par défaut et d'autres para-
mètres réseau facultatifs comme les adresses
de serveur DNS et NTP)
L'adressage basé sur le nom avec • La CPU peut obtenir les adresses de serveur DHCP avec DNS (Page 380)
DNS
DNS de la CPU via DHCP
• La CPU peut recevoir le nom d'hôte et le nom
de domaine d'un serveur DHCP pour les appli-
cations réalisées avec OPC UA ou (Secure)
OUC
• La CPU peut transmettre au serveur DHCP les
noms d'hôtes ou de domaines qui sont cou-
plés au serveur DNS pour une synchronisation
dynamique (Dynamic DNS)
• Le client NTP de la CPU peut communiquer
par nom avec le serveur NTP
• Les paramètres réseau peuvent être écrits
avec la nouvelle instruction "CommConfig",
par ex. paramètres d'adresse IP, serveur DNS,
hôte et nom de domaine
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 5
Avant-propos
Quelles sont les nouveautés dans la description fonctionnelle Communication, édition 11/2019,
par rapport à l'édition 10/2018 ?
Quelles sont les nouveautés ? Quels sont les avantages pour le client ? Où se trouvent les informations ?
IP Forwarding Accès aisé depuis le niveau conduite jusqu'au IP Forwarding (Page 396)
niveau terrain pour la configuration et le paramé-
trage d'appareils, p. ex. via PDM ou navigateur
Web.
Extension du serveur OPC UA Pour les CPU S7-1500 à partir de la version de Chap. Communication OPC UA
firmware V2.8 et TIA Portal version 16, vous pou- (Page 159)
vez profiter des extensions suivantes du serveur
OPC UA intégré avec une licence Runtime corres-
pondante :
• Diagnostic amélioré : l'utilisateur d'OPC UA
reçoit des informations sur l'état du serveur
OPC UA par l'intermédiaire de messages dans
le tampon de diagnostic, d'une catégorie OPC
UA dans la zone en ligne et de diagnostics de
TIA Portal et d'un affichage amélioré des res-
sources de liaison.
• Comportement au téléchargement : Le ser-
veur OPC UA n'exécute un redémarrage en
mode RUN lors d'un téléchargement à partir
de TIA Portal que si les données récemment
chargées ont une incidence sur le jeu de don-
nées du serveur OPC UA.
• Modélisation de l'interface serveur : des inter-
faces de serveur peuvent désormais aussi être
modélisées dans TIA Portal, ou les spécifica-
tions OPC UA Companion peuvent être éga-
lement importées et mappées sur le jeu de
données de l'API.
Quelles sont les nouveautés dans la description fonctionnelle Communication, édition 10/2018,
par rapport à l'édition 12/2017 ?
Quelles sont les nouveautés ? Quels sont les avantages pour le client ? Où se trouvent les informations ?
Description de la communication Vous obtenez des informations sur les spécificités Chap. Communication avec le sys-
avec le système redondant de la communication avec le système redondant tème redondant S7-1500R/H
S7-1500R/H S7-1500R/H (Page 424)
Extension du domaine d'applica- Les fonctions que vous connaissez du système Manuel système Système redondant
tion de la description fonction- d'automatisation SIMATIC S7-1500 ont été mises S7-1500R/H
nelle au système redondant S7- en œuvre pour le système redondant S7- (https://support.industry.siemens.co
1500R/H 1500R/H. m/cs/ww/fr/view/109754833)
Communication
6 Description fonctionnelle, 05/2021, A5E03735816-AJ
Avant-propos
Quelles sont les nouveautés dans la description fonctionnelle Communication, édition 12/2017,
par rapport à l'édition 09/2016 ?
Quelles sont les nouveautés ? Quels sont les avantages pour le client ? Où se trouvent les informations ?
OPC UA Companion Specification OPC UA Companion Specification permet de Chap. Configurer une interface ser-
spécifier des méthodes de manière homogène et veur OPC UA-Server (Page 254)
non propriétaire. Grâce à ces méthodes spéci-
fiées, vous pouvez intégrer plus aisément des
appareils de fabricants différents dans l'installa-
tion et dans des processus de production.
Liaison sécurisée à un serveur de Vous pouvez établir une liaison sécurisée à un Chap. Secure OUC par e-mail
messagerie via l'interface de la serveur de messagerie sans matériel supplémen- (Page 93)
CPU taire.
Communication sécurisée via Vous pouvez établir des liaisons TCP sécurisées Chap. Secure OUC avec Modbus TCP
Modbus TCP entre un client Modbus TCP et un serveur Modbus (Page 92)
TCP.
Quelles sont les nouveautés dans la description fonctionnelle Communication, édition 09/2016,
par rapport à l'édition 12/2014 ?
Quelles sont les nouveautés ? Quels sont les avantages pour le client ? Où se trouvent les informations ?
Serveur OPC UA OPC UA sont des normes d'architecture unifiée Chap. Communication OPC UA
pour l'échange de données, indépendantes des (Page 159)
plateformes de système d'exploitation.
OPC UA utilise des mécanismes de sécurité inté-
grés sur différents systèmes d'automatisation, par
ex. pour l'échange de données, au niveau de
l'application, pour la légitimation de l'utilisateur.
Le serveur OPC UA met à disposition de nom-
breuses données :
• Valeurs de variables AP auxquelles les clients
sont autorisés à accéder
• Types de données de ces variables AP
• Informations sur le serveur OPC UA lui-même
et sur la CPU
Cela permet aux clients d'avoir une vue d'en-
semble de la gestion des variables et de lire ou
d'écrire des valeurs.
Secure Open User Communica- Échange de données sécurisé avec d'autres appa- Chap. Secure Open User Communi-
tion reils. cation (Page 77)
Maniement de certificats dans Vous pouvez gérer des certificats dans STEP 7 Chap. Gestion de certificats avec
STEP 7 pour les applications suivantes : STEP 7 (Page 50)
• Serveur OPC UA
• Secure Open User Communication
• Serveur Web de la CPU
Désactiver SNMP pour la CPU Vous pouvez désactiver SNMP pour la CPU. Ceci Chap. Désactivation de SNMP
peut être judicieux dans certaines conditions, par (Page 109)
ex. quand les directives de sécurité de votre ré-
seau n'autorisent pas SNMP.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 7
Avant-propos
Conventions
STEP 7 : ce manuel utilise l'expression "STEP 7" comme synonyme de "STEP 7 à partir de V12
(TIA Portal)" pour désigner le logiciel de configuration et de programmation.
Par "CPU S7-1500", on entend les modèles de CPU S7-1500F, S7-1500T, S7-1500TF,
S7-1500C, S7-1500R/H, S7-1500pro, ET200S, le contrôleur logiciel S7-1500 ainsi que
SIMATIC Drive Controller.
La présente documentation comprend des illustrations des appareils décrits. Les illustrations
peuvent différer dans le détail de l'appareil livré.
Tenez compte, en outre, des remarques identifiées de la façon suivante :
Remarque
Une remarque contient des informations importantes sur le produit, sur la manipulation du
produit ou sur la partie de la documentation à laquelle il faut être particulièrement attentif.
Voir aussi
Conditions requises pour une communication sécurisée (Page 64)
Communication
8 Description fonctionnelle, 05/2021, A5E03735816-AJ
Avant-propos
Industry Mall
L'Industry Mall est le catalogue et le système de commande de Siemens AG pour les solutions
d'automatisation et d'entraînements sur la base de Totally Integrated Automation (TIA) et
Totally Integrated Power (TIP).
Vous trouverez les catalogues de tous les produits des techniques d'automatisation et
d'entraînement sur Internet (https://mall.industry.siemens.com).
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 9
Sommaire
Avant-propos ......................................................................................................................................... 3
1 Guide de la documentation Descriptions fonctionnelles .................................................................... 15
2 Vue d'ensemble du produit ................................................................................................................. 20
3 Services de communication ................................................................................................................. 25
3.1 Vue d'ensemble des possibilités de communication ............................................................ 25
3.2 Protocoles de communication et numéros de port utilisés pour communication
Ethernet ............................................................................................................................ 28
3.3 Vue d'ensemble des ressources de liaison ........................................................................... 33
3.4 Création d'une liaison ........................................................................................................ 33
3.5 Cohérence des données ..................................................................................................... 37
3.6 Secure Communication ...................................................................................................... 40
3.6.1 Principes de base sur la communication sécurisée .............................................................. 40
3.6.1.1 Principes de base sur la communication sécurisée .............................................................. 40
3.6.1.2 Confidentialité par cryptage ............................................................................................... 44
3.6.1.3 Authenticité et intégrité grâce aux signatures .................................................................... 46
3.6.1.4 Gestion de certificats avec STEP 7....................................................................................... 50
3.6.1.5 Exemples de gestion de certificats ...................................................................................... 54
3.6.1.6 Exemple : HTTP over TLS .................................................................................................... 60
3.6.2 Conditions requises pour une communication sécurisée ..................................................... 64
3.6.2.1 Protection des données de configuration confidentielles .................................................... 64
3.6.2.2 Informations utiles sur la protection des données de configuration API confidentielles ........ 67
3.6.2.3 Modifier le mot de passe .................................................................................................... 68
3.6.2.4 Réinitialiser le mot de passe ............................................................................................... 70
3.6.2.5 Affecter un mot de passe par le biais d'une carte mémoire SIMATIC .................................... 72
3.6.2.6 Particularités lors de la sauvegarde et de la restauration d'une CPU ..................................... 73
3.6.2.7 Conseils pour éviter les erreurs et traitement des défauts ................................................... 74
3.6.2.8 Règles pour le remplacement de la CPU .............................................................................. 76
3.6.3 Secure Open User Communication ..................................................................................... 77
3.6.3.1 Secure OUC d'une CPU S7-1500 comme client TLS à un AP tiers (serveur TLS) ..................... 77
3.6.3.2 Secure OUC d'une CPU S7-1500 comme serveur TLS à un AP tiers (client TLS) ..................... 79
3.6.3.3 Secure OUC entre deux CPU S7-1500 ................................................................................. 83
3.6.3.4 Secure Open User Communication par l'interface CP........................................................... 87
3.6.3.5 Secure OUC avec Modbus TCP ............................................................................................ 92
3.6.3.6 Secure OUC par e-mail ....................................................................................................... 93
3.6.4 Communication PG/IHM sécurisée ...................................................................................... 97
3.6.4.1 Communication PG/IHM sur la base de mécanismes de sécurité normalisés......................... 97
3.6.4.2 Autres paramètres pour la communication PG/IHM sécurisée .............................................. 99
3.6.4.3 Conseil pour la communication basée sur certificat entre PG et CPU .................................. 101
3.6.4.4 Comportement de la CPU du chargement jusqu'à l'état prêt à fonctionner ........................ 103
3.6.4.5 Utiliser la communication IHM sécurisée .......................................................................... 105
3.6.4.6 Utiliser la communication PG/PC classique pour TIA Portal................................................. 107
3.6.4.7 Informations relatives à la compatibilité ........................................................................... 108
Communication
10 Description fonctionnelle, 05/2021, A5E03735816-AJ
Sommaire
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 11
Sommaire
Communication
12 Description fonctionnelle, 05/2021, A5E03735816-AJ
Sommaire
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 13
Sommaire
Communication
14 Description fonctionnelle, 05/2021, A5E03735816-AJ
Guide de la documentation Descriptions
fonctionnelles 1
La documentation pour le système d'automatisation SIMATIC S7-1500, les
CPU 1513/1516pro-2 PN basées sur SIMATIC S7-1500 et les systèmes de périphérie
décentralisée SIMATIC ET 200MP, ET 200SP et ET 200AL se compose de trois parties.
Cette répartition vous permet d'accéder de manière ciblée aux contenus souhaités.
Informations de base
Les manuels système et la mise en route Getting Started décrivent en détail la configuration,
le montage, le câblage et la mise en service des systèmes SIMATIC S7-1500, ET 200MP,
ET 200SP et ET 200AL. Pour les CPU 1513/1516pro-2 PN, référez-vous aux instructions de
service correspondantes. L'aide en ligne de STEP 7 vous assiste dans la configuration et la
programmation.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 15
Guide de la documentation Descriptions fonctionnelles
Informations globales
Vous trouverez dans les descriptions fonctionnelles des descriptions détaillées sur des sujets
transversaux, p. ex. le diagnostic, la communication, Motion Control, le serveur Web,
OPC UA.
Vous pouvez télécharger gratuitement la documentation sur Internet
(https://support.industry.siemens.com/cs/ww/fr/view/109742705).
Les modifications et compléments apportés aux manuels sont documentés dans des
informations produit.
Vous trouverez les informations produit sur Internet.
• S7-1500/ET 200MP (https://support.industry.siemens.com/cs/fr/fr/view/68052815)
• ET 200SP (https://support.industry.siemens.com/cs/fr/fr/view/73021864)
"mySupport"
Votre espace de travail personnel "mySupport" vous permet de tirer au mieux profit de votre
Industry Online Support.
Dans "mySupport", vous pouvez enregistrer filtres, favoris et tags, demander des données CAx
et constituer dans le volet Documentation votre bibliothèque personnelle. De plus, en cas de
demande d'assistance, vos coordonnées sont déjà renseignées et vous pouvez consulter à
tout moment l'état d'avancement de vos demandes.
Pour bénéficier de toutes les fonctions de "mySupport", vous devez vous enregistrer.
Vous trouverez "mySupport" sur Internet (https://support.industry.siemens.com/My/ww/fr).
"mySupport" - Documentation
Votre espace de travail personnel "mySupport" vous permet de tirer au mieux profit de votre
Industry Online Support.
Dans "mySupport", vous pouvez enregistrer filtres, favoris et tags, demander des données CAx
et constituer dans le volet Documentation votre bibliothèque personnelle. De plus, en cas de
demande d'assistance, vos coordonnées sont déjà renseignées et vous pouvez consulter à
tout moment l'état d'avancement de vos demandes.
Pour bénéficier de toutes les fonctions de "mySupport", vous devez vous enregistrer.
Vous trouverez "mySupport" sur Internet
(https://support.industry.siemens.com/My/ww/fr/documentation).
Communication
16 Description fonctionnelle, 05/2021, A5E03735816-AJ
Guide de la documentation Descriptions fonctionnelles
Exemples d'application
Les exemples d'application mettent à votre disposition différents outils et exemples pour la
résolution de vos tâches d'automatisation. Les solutions sont représentées en interaction avec
plusieurs composants dans le système - sans se focaliser sur des produits individuels.
Vous trouverez les exemples d'application sur Internet
(https://support.industry.siemens.com/cs/ww/fr/ps/ae).
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 17
Guide de la documentation Descriptions fonctionnelles
PRONETA
Avec SIEMENS PRONETA (analyse réseau PROFINET), vous analysez le réseau procédé dans le
cadre de la mise en service. PRONETA dispose de deux fonctions centrales :
• La vue d'ensemble de la topologie scanne automatiquement PROFINET et tous les
composants raccordés.
• La vérification des E/S (IO Check) est un test rapide du câblage et de la configuration des
modules d'une installation.
Vous trouverez SIEMENS PRONETA sur Internet
(https://support.industry.siemens.com/cs/ww/fr/view/67460624).
Communication
18 Description fonctionnelle, 05/2021, A5E03735816-AJ
Guide de la documentation Descriptions fonctionnelles
SINETPLAN
SINETPLAN, le planificateur de réseau de Siemens, vous assiste lorsque vous planifiez des
installations et des réseaux d'automatisation sur la base de PROFINET. Cet outil simplifie dès
l'ingénierie le dimensionnement prévisionnel de l'installation PROFINET. Il vous aide en outre
à optimiser le réseau, à en exploiter au mieux les ressources et à prévoir les réserves
nécessaires. Vous évitez ainsi, dès la planification, des problèmes lors de la mise en service ou
des défaillances en mode de production. Cela augmente la disponibilité de la production et
contribue à l'amélioration de la sécurité de fonctionnement.
Les avantages en bref
• Optimisation du réseau grâce au calcul de la charge du réseau pour chaque port
• Disponibilité accrue en production par une analyse en ligne et une vérification des
installations existantes
• Transparence avant la mise en service grâce à l'importation et à la simulation de projets
STEP 7 existants
• Efficience grâce à la pérennité garantie des investissements et exploitation optimale des
ressources
Vous trouverez SINETPLAN sur Internet (https://www.siemens.com/sinetplan).
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 19
Vue d'ensemble du produit 2
Les CPU, les modules et processeurs de communication et les systèmes PC des systèmes
S7-1500, ET 200MP, ET 200SP, ET 200pro et ET 200AL vous offrent des interfaces pour
communiquer via PROFINET, PROFIBUS et le couplage point à point.
Communication
20 Description fonctionnelle, 05/2021, A5E03735816-AJ
Vue d'ensemble du produit
① Interface PROFIBUS DP
Figure 2-2 Interface PROFIBUS DP des CM 1542-5 et CM DP (dans une CPU ET 200SP)
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 21
Vue d'ensemble du produit
Communication
22 Description fonctionnelle, 05/2021, A5E03735816-AJ
Vue d'ensemble du produit
Figure 2-4 Exemple d'interface pour couplage point à point sur le CM PtP RS422/485 BA
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 23
Vue d'ensemble du produit
Figure 2-5 Interfaces PROFINET IM 155-5 PN ST (ET 200MP), IM 155-6 PN ST (ET 200SP) et IM 157-
1 PN (ET 200AL)
Services de communication
Les services de communication décrits ci-dessous utilisent les interfaces et les mécanismes de
communication que le système vous offre par des CPU, des modules de communication et
des processeurs de communication.
Communication
24 Description fonctionnelle, 05/2021, A5E03735816-AJ
Services de communication 3
3.1 Vue d'ensemble des possibilités de communication
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 25
Services de communication
3.1 Vue d'ensemble des possibilités de communication
Communication
26 Description fonctionnelle, 05/2021, A5E03735816-AJ
Services de communication
3.1 Vue d'ensemble des possibilités de communication
Informations complémentaires
• Exemple d'application : communication CPU-CPU avec contrôleurs SIMATIC (compendium)
Vous trouverez cet exemple d'application sur Internet
(https://support.industry.siemens.com/cs/ww/fr/view/20982954).
• Pour configurer la communication Fetch/Write par un CP1543-1 dans la S7-1500, voir
cette FAQ (https://support.industry.siemens.com/cs/ww/fr/view/102420020).
• Pour plus d'informations sur les services Fetch/Write, voir l'aide en ligne STEP 7.
• Pour plus d'informations sur le couplage PtP, voir la description fonctionnelle
Configurations CM PtP pour des couplages point à point
(http://support.automation.siemens.com/WW/view/fr/59057093).
• Pour les fonctions du serveur Web, voir la description fonctionnelle Serveur Web
(http://support.automation.siemens.com/WW/view/fr/59193560).
• Pour s'informer sur le protocole standard SNMP, voir les pages Service & Support sur
Internet (http://support.automation.siemens.com/WW/view/fr/15166742).
• Pour s'informer sur la synchronisation de l'heure, voir cette FAQ
(https://support.industry.siemens.com/cs/ww/fr/view/86535497).
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 27
Services de communication
3.2 Protocoles de communication et numéros de port utilisés pour communication Ethernet
Remarque
Numéros de port utilisés
Les numéros de port indiqués sont les numéros de port utilisés par défaut par la CPU
S7-1500. Une grande quantité de protocoles de communications ou d'implémentations vous
permettent d'utiliser d'autres numéros de port.
Les tableaux suivants indiquent les couches et les protocoles mis en œuvre dans les CPU
S7-1500 et dans les modules de communication S7-1500.
Le tableau suivant indique les protocoles pris en charge par les CPU S7-1500, les CPU ET
200SP et les CPU 1513/1516pro-2 PN. Les contrôleurs logiciels S7-1500 prennent également
en charge les protocoles indiqués dans le tableau suivant pour les interfaces Ethernet qui leur
sont affectées.
Tableau 3- 2 Couches et protocoles des CPU et contrôleurs logiciels S7-1500 (par l'interface PROFINET de la CPU)
Communication
28 Description fonctionnelle, 05/2021, A5E03735816-AJ
Services de communication
3.2 Protocoles de communication et numéros de port utilisés pour communication Ethernet
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 29
Services de communication
3.2 Protocoles de communication et numéros de port utilisés pour communication Ethernet
Communication
30 Description fonctionnelle, 05/2021, A5E03735816-AJ
Services de communication
3.2 Protocoles de communication et numéros de port utilisés pour communication Ethernet
Le tableau suivant affiche les protocoles pris en charge par le contrôleur logiciel S7-1500 via
les interfaces Ethernet affectées à Windows.
Tableau 3- 3 Couches et protocoles des contrôleurs logiciels S7-1500 (par l'interface Ethernet de la page Windows)
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 31
Services de communication
3.2 Protocoles de communication et numéros de port utilisés pour communication Ethernet
Le tableau ci-dessous indique les protocoles pris en charge par les modules de
communication S7-1500 (par ex. CP 1543-1) en plus des protocoles mentionnés dans les
tableaux ci-dessus.
Tableau 3- 4 Couches et protocoles des modules de communication de S7-1500
Communication
32 Description fonctionnelle, 05/2021, A5E03735816-AJ
Services de communication
3.3 Vue d'ensemble des ressources de liaison
Ressources de liaison
Quelques services de communications requièrent des liaisons. Les liaisons occupent des
ressources dans les CPU, CP et CM concernés (par ex. les zones de mémoire dans le système
d'exploitation de la CPU). Dans la plupart des cas, une liaison occupe une ressource par
CPU/CP/CM. La communication IHM requiert jusqu'à 3 ressources de liaison par liaison IHM.
Les ressources de liaison disponibles dépendent des CPU, CP et CM utilisés et ne doivent pas
dépasser une limite supérieure définie pour le système d'automatisation.
Informations complémentaires
Pour plus d'informations sur l'affectation et l'affichage des ressources de liaison, référez-vous
à STEP 7, chapitre Ressources de liaison (Page 1).
Liaison automatique
STEP 7 créera automatiquement une liaison (par ex. une liaison PG ou IHM) si vous avez relié
physiquement l'interface PG/PC à une interface de la CPU et si vous avez affecté les interfaces
dans la boîte de dialogue "Liaison en ligne" de STEP 7.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 33
Services de communication
3.4 Création d'une liaison
Communication
34 Description fonctionnelle, 05/2021, A5E03735816-AJ
Services de communication
3.4 Création d'une liaison
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 35
Services de communication
3.4 Création d'une liaison
* Notez que pour une CPU S7-1500, l'utilisation de la communication PUT/GET doit être activée dans
les propriétés de la CPU. Pour plus d'informations à ce sujet, voir l'aide en ligne de STEP 7.
Informations complémentaires
Pour plus d'informations sur l'affectation et l'affichage des ressources de liaison, référez-vous
à STEP 7, chapitre Ressources de liaison (Page 1).
Communication
36 Description fonctionnelle, 05/2021, A5E03735816-AJ
Services de communication
3.5 Cohérence des données
Définition
La cohérence des données est, pour la transmission de données, une propriété importante
que vous devez prendre en compte lors de la configuration d'une tâche de communication. Si
ce n'est pas le cas, des dysfonctionnements peuvent en être la conséquence.
On appelle zone de données cohérente une zone de données qui ne peut pas être modifié par
des processus concurrents. Autrement dit, une zone de données formant un tout mais dont la
taille dépasse la taille maximale de la zone de données cohérentes peut être constituée, à un
moment donné, en partie de nouveaux et en partie d'anciens blocs cohérents.
Une incohérence peut se produire si une instruction de communication est interrompue par
ex. par un OB d'alarme de processus de priorité plus élevée. La transmission de la zone de
données est alors également interrompue. Si le programme utilisateur modifie maintenant
dans cet OB les données qui n'ont pas encore été traitées par l'instruction de communication,
les données transmises proviennent d'instants différents.
La figure suivante montre une zone de données qui est plus petite que la taille maximale de
la zone de données cohérente. Lors de la transmission de la zone de données, on est sûr dans
ce cas qu'aucune interruption par le programme utilisateur n'interviendra durant l'accès au
données et qu'ainsi les données ne seront pas modifiées.
① La zone de données source est plus petite que la taille maximale de la zone de données cohé-
rente (②). L'instruction transmet les données en un bloc dans la zone de données cible.
② Taille maximale de la zone de données cohérente
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 37
Services de communication
3.5 Cohérence des données
La figure suivante montre une zone de données qui est plus grande que la taille maximale de
la zone de données cohérente. Dans ce cas, les données peuvent être modifiées durant une
interruption de la transmission de données. Il y a interruption par ex. lorsqu'une zone de
données doit être transmise en plusieurs parties. Si les données sont modifiées durant
l'interruption, les données seront issues d'instants différents.
① La zone de données source est plus grande que la taille maximale de la zone de données cohérente (③). A l'instant
T1, l'instruction transmet de la zone de données source dans la zone de données cible uniquement la quantité de
données que la zone de données cohérente peut contenir.
② A l'instant T2, l'instruction transmet le reste de la zone de données source dans la zone de données cible. Après la
transmission, la zone de données cible contient des données issues de divers instants. Si les données de la zone de
données source ont entre temps été modifiées, une incohérence peut se produire.
③ Taille maximale de la zone de données cohérente
Figure 3-4 Transmission de données dont la taille est supérieure à la zone de données cohérente
Communication
38 Description fonctionnelle, 05/2021, A5E03735816-AJ
Services de communication
3.5 Cohérence des données
Remarque
Mesures dans le programme utilisateur
Pour obtenir la cohérence des données, vous pouvez copier les données à transmettre dans
une zone de données distincte (bloc de données global par ex.). Tandis que le programme
utilisateur continue à utiliser les données originales, vous pouvez transmettre les données
enregistrée dans la zone de données distincte de manière cohérente avec l'instruction de
communication.
Utilisez, pour la duplication, des instructions ininterruptibles telles que UMOVE_BLK ou
UFILL_BLK. Ces instructions garantissent la cohérence des données jusqu'à 16 Ko.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 39
Services de communication
3.6 Secure Communication
Informations complémentaires
• Le nombre maximal de données cohérentes est également indiqué dans les manuels des
modules de communication, parmi les caractéristiques techniques.
• Pour plus d'informations sur la cohérence des données, référez-vous à la description des
instructions dans l'aide en ligne de STEP 7.
Condition
• CPU prenant en charge les DB de description de liaison ayant une structure du type de
données système TCON_IP_V4_SEC ou TCON_QDN_SEC. Il s'agit des CPU suivantes :
– S7-1200 à partir de la version de firmware V4.4
– S7-1500 à partir de la version de firmware V2.0
• Également en option avec les CP suivants :
– CP 1243-1 à partir de la version de firmware V3.2
– CP 1243-8 IRC à partir de la version de firmware V3.2
– CP 1543-1 à partir de la version de firmware V2.0
– CP 1545-1
– CP 1543SP-1
La communication sécurisée (Secure Communication) n'est pas possible avec le CP 1242-7
GPRS V2.
Communication
40 Description fonctionnelle, 05/2021, A5E03735816-AJ
Services de communication
3.6 Secure Communication
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 41
Services de communication
3.6 Secure Communication
Communication
42 Description fonctionnelle, 05/2021, A5E03735816-AJ
Services de communication
3.6 Secure Communication
Voir aussi
Utilisation de la CPU S7-1500 comme serveur OPC UA (Page 1)
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 43
Services de communication
3.6 Secure Communication
Chiffrement symétrique
Le point essentiel de la cryptographie symétrique, c'est que les deux partenaires de
communication utilisent la même clé pour chiffrer et déchiffrer des messages, comme le
montre la figure suivante : Bob utilise la même clé pour le chiffrement qu'Alice pour le
déchiffrement. Généralement parlant, on dit aussi que les deux parties partagent un secret, la
clé secrète, qui leur permet de chiffrer ou de déchiffrer un message.
Communication
44 Description fonctionnelle, 05/2021, A5E03735816-AJ
Services de communication
3.6 Secure Communication
Chiffrement asymétrique
Le procédé de chiffrement asymétrique est basé sur l'utilisation d'une paire de clés, composée
d'une clé publique et d'une clé privée. En relation avec une PKI, on parle aussi de procédé clé
publique ou simplement de procédé PKI : Un partenaire, Alice sur la figure ci-dessous,
possède une clé privée et une clé publique. La clé publique est révélée publiquement, c'est-à-
dire à chaque partenaire de communication potentiel. Chaque expéditeur qui possède la clé
publique peut chiffrer des messages pour Alice. Par exemple, Bob sur la figure ci-dessous.
La clé privée d'Alice, que celle-ci doit garder secrète, lui sert à déchiffrer le message chiffré
qui lui a été adressé.
① Alice transmet sa clé publique à Bob. Pour cela, nul besoin de mesures de précaution : chacun a
le droit d'utiliser la clé publique pour les messages adressés à Alice s'il est sûr qu'il s'agit bien de
la clé publique d'Alice.
② Bob chiffre son message avec la clé publique d'Alice.
③ Alice déchiffre le message chiffré de Bob avec sa clé privée. Comme Alice est la seule à posséder
cette clé privée et qu'elle ne l'a jamais donnée à personne, elle seule peut déchiffrer ce mes-
sage. Sa clé privée lui permet de déchiffrer tout message qui a été chiffré avec sa clé publique -
pas seulement celui de Bob !
Ce procédé est comparable à une boîte aux lettres dans laquelle chacun peut déposer un
message, mais seul celui qui possède la clé de la boîte aux lettres peut en retirer le message.
• Avantages : un message chiffré avec une clé publique ne peut être déchiffré que par le
détenteur de la clé privée. Comme le déchiffrement nécessite une autre clé (privée), il est
aussi bien plus difficile de deviner cette clé parmi l'ensemble des messages chiffrés. Par
suite, il n'est pas nécessaire de conserver les clés publiques rigoureusement secrètes,
comme c'est le cas pour les clés symétriques.
La distribution facile des clés publiques représente un avantage supplémentaire. Avec le
procédé asymétrique, le transfert des clés publiques du destinataire à l'expéditeur qui
chiffre les messages ne demande pas de canal particulièrement sécurisé. La gestion des
clés cause donc moins de travail que dans le procédé de chiffrement symétrique.
• Inconvénients : algorithme requérant des calculs complexes (tel que l'algorithme RSA, du
nom des trois mathématiciens Ronald Rivest, Adi Shamir et Len Adleman), donc moins
performant que le chiffrement symétrique.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 45
Services de communication
3.6 Secure Communication
Communication
46 Description fonctionnelle, 05/2021, A5E03735816-AJ
Services de communication
3.6 Secure Communication
Certificats auto-signés
Les certificats auto-signés sont signés par le détenteur lui-même et non pas par une autorité
de certification indépendante.
Exemples :
• Vous pouvez créer et auto-signer un certificat, par exemple pour chiffrer des messages
envoyés à un partenaire de communication. Dans l'exemple ci-dessus, Bob pourrait auto-
signer son certificat au moyen de sa clé privée (au lieu de Twent). Alice peut vérifier, avec
la clé publique de Bob, que la signature et la clé publique de Bob s'accordent. Cette
procédure suffit largement pour garantir la confidentialité des échanges au sein d'une
organisation.
• Un certificat racine est, par exemple, un certificat auto-signé par l'autorité de certification
(émetteur) et contenant la clé publique de cette autorité.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 47
Services de communication
3.6 Secure Communication
Communication
48 Description fonctionnelle, 05/2021, A5E03735816-AJ
Services de communication
3.6 Secure Communication
Vérifier la signature :
1. Celui qui vérifie le certificat "MyCert" se procure le certificat de l'émetteur et donc la clé
publique.
2. Le même algorithme de hachage qui a servi à la signature (par ex. SHA-1) permet de calculer
à nouveau une valeur de hachage à partir des données du certificat.
3. Cette valeur est alors comparée à celle qui est obtenue avec la clé publique de l'émetteur du
certificat et l'algorithme de signature servant à vérifier la signature.
4. Quand la vérification de la signature donne un résultat positif, c'est non seulement l'identité
du détenteur du certificat, mais aussi l'authenticité et l'intégrité du contenu du certificat qui
sont prouvées. Toute personne qui détient la clé publique, c'est-à-dire le certificat de
l'autorité de certification, peut vérifier la signature et s'assurer ainsi que le certificat a
effectivement été signé par l'autorité de certification.
La figure suivante montre comment Alice vérifie avec la clé publique du certificat de Twent
(incarnant l'autorité de certification CA) la signature jointe à la clé publique de Bob. La
vérification est donc possible à condition que le certificat de l'autorité de certification soit
disponible. La validation elle-même se fait automatiquement au cours de la session TLS.
Figure 3-10 Vérification d'un certificat par la clé publique du certificat d'une autorité de certification
Signature de messages
La session TLS utilise également la méthode décrite ci-dessus pour signer et vérifier des
messages :
Lorsqu'une valeur de hachage est générée pour un message, puis signée avec la clé privée de
l'expéditeur et jointe au message d'origine, le destinataire est en mesure de détecter
l'intégrité du message. Le destinataire déchiffre la valeur de hachage à l'aide de la clé
publique de l'expéditeur, calcule lui-même une valeur de hachage à partir du message reçu et
compare les deux valeurs. Si les valeurs sont différentes, c'est que le message a été falsifié en
cours de route !
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 49
Services de communication
3.6 Secure Communication
Communication
50 Description fonctionnelle, 05/2021, A5E03735816-AJ
Services de communication
3.6 Secure Communication
Figure 3-11 Paramètres de sécurité pour une CPU S7-1500 dans STEP 7
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 51
Services de communication
3.6 Secure Communication
Si vous double-cliquez sur "Connexion utilisateur" sous les paramètres de sécurité globaux
pour vous connecter, vous verrez s'afficher, entre autres, une ligne "Gestionnaire de
certificats".
Communication
52 Description fonctionnelle, 05/2021, A5E03735816-AJ
Services de communication
3.6 Secure Communication
Un double-clic sur cette ligne "Gestionnaire de certificats" vous donnera accès à tous les
certificats du projet, répartis sous les onglets "CA" (autorités de certification), "Certificats
d'appareil" et "Certificats fiables et autorités de certification de base".
Clé privée
STEP 7 génère des clés privées lorsque vous générez des certificats d'appareil ou des
certificats de serveur (certificats d'entité finale). Selon que les paramètres de sécurité globaux
sont utilisés ou pas pour le gestionnaire de certificats, la clé privée est stockée sous forme
chiffrée à un autre endroit :
• Lorsque vous utilisez les paramètres de sécurité globaux, la clé privée est stockée sous
forme chiffrée dans la mémoire de certificats globale (pour l'ensemble du projet).
• Lorsque vous n'utilisez pas les paramètres de sécurité globaux, la clé privée est stockée
sous forme chiffrée dans la mémoire de certificats locale (propre à la CPU).
L'existence de la clé privée, nécessaire pour déchiffrer des données par exemple, est indiquée
dans la colonne "Clé privée" dans la page à onglet "Certificats d'appareil" du gestionnaire de
certificats dans les paramètres de sécurité globaux.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 53
Services de communication
3.6 Secure Communication
IMPORTANT
Activation de l'option "Utiliser les paramètres de sécurité généraux pour la gestion des
certificats" et conséquences
L'option "Utiliser les paramètres de sécurité globaux pour le gestionnaire de certificats" a
une influence sur les clés privées utilisées jusque-là : si vous avez déjà créé des certificats
sans utiliser le gestionnaire de certificats dans les paramètres de sécurité globaux, puis
activez l'option pour utiliser le gestionnaire, vous perdrez les clés privées et les ID des
certificats risquent de changer ! Un avertissement vous rappellera ce fait. Il convient donc de
décider dès le début du travail de configuration quelle option est nécessaire quant au
gestionnaire de certificats.
Remarque
La date et l'heure actuelles doivent être réglées dans la CPU.
Lorsque vous utilisez la communication sécurisée (par exemple, HTTPS, Secure OUC, OPC
UA), vous devez veiller à ce que les modules concernés disposent bien de la date et de l'heure
actuelles. Si ce n'est pas le cas, les modules considéreront les certificats utilisés comme non
valides et la communication sécurisée ne fonctionnera pas.
Communication
54 Description fonctionnelle, 05/2021, A5E03735816-AJ
Services de communication
3.6 Secure Communication
Marche à suivre
STEP 7 charge automatiquement les certificats CA requis dans les CPU concernées avec la
configuration matérielle, si bien que les conditions sont remplies dans les deux CPU pour
vérifier les certificats. Vous n'avez donc qu'à générer les certificats d'appareil pour la CPU
respective, STEP 7 s'occupe de tout le reste.
1. Sélectionnez AP_1 et activez l'option "Utiliser les paramètres de sécurité globaux pour le
gestionnaire de certificats" dans la zone "Protection & Sécurité".
2. Connectez-vous comme utilisateur dans la zone "Paramètres de sécurité globaux" du
navigateur de projet. Pour un nouveau projet, c'est le rôle "Administrateur" qui est prévu à la
première connexion.
3. Revenez à AP-1 dans la zone "Protection & Sécurité". Dans le tableau "Certificats d'appareil",
cliquez dans une ligne vide de la colonne "Détenteur du certificat" pour ajouter un nouveau
certificat.
4. Dans la liste déroulante de sélection d'un certificat, cliquez sur le bouton "Ajouter".
La boîte de dialogue "Générer un nouveau certificat" s'ouvre.
5. Conservez les valeurs par défaut de cette boîte de dialogue ; elles sont conçues pour
l'utilisation avec Secure Open User Communication (utilisation : TLS).
Conseil : complétez le nom par défaut du détenteur du certificat qui est le nom de la CPU
dans le cas présent. Pour faciliter la distinction, conservez le nom de CPU par défaut au cas
où vous devrez gérer un grand nombre de certificats d'appareil.
Exemple : PLC_1/TLS devient PLC_1-SecOUC-Chassis17FactoryState.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 55
Services de communication
3.6 Secure Communication
6. Compilez la configuration.
Le certificat d'appareil et le certificat CA sont des éléments de cette configuration.
7. Répétez les étapes décrites pour API_2.
L'étape suivante consiste à élaborer les programmes utilisateur pour l'échange de données et
à charger les configurations avec le programme.
Communication
56 Description fonctionnelle, 05/2021, A5E03735816-AJ
Services de communication
3.6 Secure Communication
Secure Open User Communication entre CPU S7-1500 comme client TLS et appareil tiers comme
serveur TLS
Vous voulez que deux appareils échangent des données via une liaison ou une session TLS,
par ex. pour échanger des recettes, des données de production ou des données de qualité :
• Une CPU S7-1500 (AP_1) comme client TLS ; cette CPU utilise Secure Open User
Communication
• Un appareil tiers (par ex. un Manufacturing Execution System (MES)) comme serveur TLS
La CPU S7-1500 en tant que client TLS établit la liaison/session TLS au système MES.
① Client TLS
② Serveur TLS
Pour authentifier le serveur TLS, la CPU S7-1500 nécessite les certificats CA du système MES :
le certificat de base et, le cas échéant, les certificats intermédiaires pour vérifier le chemin
d'accès.
Vous devez importer ces certificats dans la mémoire de certificats globale de la CPU S7-1500.
Procédez comme suit pour importer les certificats du partenaire de communication :
1. Ouvrez le gestionnaire de certificats dans les paramètres de sécurité globaux du navigateur
de projet.
2. Sélectionnez le tableau approprié (certificats dignes de confiance et autorités de certification
d'origine) pour le certificat à importer.
3. Faites un clic droit sur ce tableau pour ouvrir le menu contextuel. Cliquez sur "Importer" et
importez le certificat requis ou les certificats CA requis.
Le certificat reçoit une ID de certificat lors de l'importation et peut être affecté à un
module dans l'étape suivante.
4. Sélectionnez PLC_1 et naviguez jusqu'au tableau "Certificats des appareils partenaires" dans
la zone "Protection & Sécurité".
5. Cliquez dans une ligne vide de la colonne "Détenteur du certificat" pour ajouter les certificats
importés.
6. Sélectionnez les certificats CA requis du partenaire de communication dans la liste
déroulante et confirmez ce choix.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 57
Services de communication
3.6 Secure Communication
En option, le système MES peut également demander un certificat d'appareil de la CPU pour
authentifier cette dernière (c.-à-d. le client TLS). Les certificats CA de la CPU doivent, dans ce
cas, être mis à disposition du système MES. La condition de l'importation des certificats dans
le système MES est l'exportation préalable des certificats CA depuis le projet STEP 7 de la CPU.
Procédez comme suit :
1. Ouvrez le gestionnaire de certificats dans les paramètres de sécurité globaux du navigateur
de projet.
2. Choisissez le tableau adéquat pour le certificat à exporter (certificats CA).
3. Sélectionnez le certificat et faites un clic droit pour ouvrir le menu contextuel.
4. Cliquez sur "Exporter".
5. Choisissez le format d'exportation du certificat.
L'étape suivante consiste à élaborer les programmes utilisateur pour l'échange de données et
à charger les configurations avec le programme.
Secure Open User Communication entre une CPU S7-1500 en tant que serveur TLS et l'appareil
d'un autre constructeur en tant que client TLS
Quand la CPU S7-1500 joue le rôle de serveur TLS et que c'est l'appareil tiers, un système ERP
par exemple (Enterprise Resource Planning System), qui établit la liaison TLS, vous avez
besoin des certificats suivants :
• Pour la CPU S7-1500, vous créez un certificat d'appareil (certificat de serveur) avec une clé
privée et vous le chargez avec la configuration matérielle dans la CPU S7-1500. Vous
utilisez l'option "Signé par autorité de certification" pour générer le certificat de serveur.
La clé privée est requise pour l'échange de clés, comme le montre la figure de l'exemple
"HTTP over TLS".
• Pour le système ERP, vous devez exporter le certificat CA du projet STEP 7 et l'importer/le
charger dans le système ERP. Ce dernier l'utilise pour vérifier le certificat de serveur de S7-
1500 que la CPU lui transmet durant l'établissement de la liaison/session TLS.
① Serveur TLS
② Client TLS
Figure 3-12 Secure OUC entre une CPU S7-1500 et un système ERP
Communication
58 Description fonctionnelle, 05/2021, A5E03735816-AJ
Services de communication
3.6 Secure Communication
Secure Open User Communication avec un serveur de messagerie (SMTP over TLS)
Une CPU S7-1500 peut établir une liaison sécurisée à un serveur de messagerie avec
l'instruction de communication TMAIL-C.
Les types de données système TMail_V4_SEC et TMail_QDN_SEC vous permettent de
déterminer le port partenaire du serveur de messagerie et d'y accéder ainsi par "SMTP over
TLS".
Figure 3-13 Secure OUC entre une CPU S7-1500 et un serveur de messagerie
La condition requise pour une liaison e-mail sécurisée est une importation du certificat racine
et des certificats intermédiaires du serveur de messagerie (fournisseur) dans la mémoire de
certificats globale de la CPU S7-1500. Ces certificats permettent à la CPU de vérifier le
certificat du serveur envoyé par le serveur de messagerie lors de l'établissement de la
liaison/session TLS.
Procédez comme suit pour importer les certificats du serveur de messagerie :
1. Ouvrez le gestionnaire de certificats dans les paramètres de sécurité globaux du navigateur
de projet.
2. Sélectionnez le tableau approprié (certificats dignes de confiance et autorités de certification
d'origine) pour le certificat à importer.
3. Faites un clic droit sur ce tableau pour ouvrir le menu contextuel. Cliquez sur "Importer" et
importez le certificat requis ou les certificats CA requis.
Le certificat reçoit une ID de certificat lors de l'importation et peut être affecté à un
module dans l'étape suivante.
4. Sélectionnez PLC_1 et naviguez jusqu'au tableau "Certificats des appareils partenaires" dans
la zone "Protection & Sécurité".
5. Cliquez dans une ligne vide de la colonne "Détenteur du certificat" pour ajouter les certificats
importés.
6. Sélectionnez les certificats CA requis du partenaire de communication dans la liste
déroulante et confirmez ce choix.
L'étape suivante consiste à élaborer les programmes utilisateur pour la fonction de client e-
mail et à charger les configurations avec le programme.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 59
Services de communication
3.6 Secure Communication
Manipuler des certificats de serveur Web pour CPU S7-1500 à version de firmware 2.0 et
suivantes
Pour les CPU S7-1500 à version du firmware antérieure à V2.0, vous pouviez choisir sans
conditions l'option "Autoriser l'accès uniquement par HTTPS" lors du paramétrage des
propriétés du serveur Web.
Avec ces CPU, vous n'aviez pas à manipuler de certificats ; c'est la CPU qui génère
automatiquement les certificats nécessaires au serveur Web.
Pour les CPU S7-1500 à partir du firmware V2.0, c'est STEP 7 qui génère le certificat de
serveur pour la CPU (certificat d'entité finale). Vous affectez un certificat de serveur au
serveur Web dans les propriétés de la CPU (Serveur Web > Sécurité).
Comme un nom de certificat de serveur est toujours réglé par défaut, la configuration du
serveur Web reste facile : Vous activez le serveur Web, l'option "Autoriser l'accès uniquement
par HTTPS" est définie par défaut - STEP 7 génère lors de la compilation un certificat de
serveur portant le nom par défaut.
Que vous utilisiez ou pas le gestionnaire de certificats dans les paramètres de sécurité
globaux : STEP 7 a toutes les informations requises pour générer le certificat de serveur.
De plus, vous avez la possibilité de déterminer les propriétés du certificat de serveur, tels que
le nom ou la durée de validité.
Remarque
La date et l'heure actuelles doivent être réglées dans la CPU.
Lorsque vous utilisez la communication sécurisée (par exemple, HTTPS, Secure OUC, OPC
UA), vous devez veiller à ce que les modules concernés disposent bien de la date et de l'heure
actuelles. Si ce n'est pas le cas, les modules considéreront les certificats utilisés comme non
valides et la communication sécurisée ne fonctionnera pas.
Communication
60 Description fonctionnelle, 05/2021, A5E03735816-AJ
Services de communication
3.6 Secure Communication
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 61
Services de communication
3.6 Secure Communication
Communication
62 Description fonctionnelle, 05/2021, A5E03735816-AJ
Services de communication
3.6 Secure Communication
Les actions qui se déroulent du côté d'Alice (navigateur) pour authentifier le certificat émis
par le serveur Web ne sont pas représentées sur la figure. Le résultat de l'authentification
décide si Alice peut faire confiance au certificat de serveur Web transmis et donc à l'identité
du serveur Web et si elle peut accepter l'échange de données.
Voici le détail des étapes pour vérifier l'authenticité du serveur Web :
1. Alice doit connaître les clés publiques de toutes les autorités de certification concernées, elle
a donc besoin de toute la chaîne de certificats pour vérifier celui du serveur Web (c.-à-d. le
certificat d'entité finale du serveur Web).
Habituellement, Alice dispose du certificat de base requis dans sa mémoire de certificats.
Par exemple, l'installation d'un serveur Web s'accompagne de l'installation d'une série de
certificats de base fiables. Si elle ne possède pas le certificat de base, elle devra le
télécharger sur le site de l'autorité de certification et l'installer dans la mémoire de
certificats du navigateur. L'autorité de certification peut être aussi l'appareil sur lequel se
trouve le serveur Web.
Il y a plusieurs façons d'obtenir les certificats intermédiaires :
– Le serveur lui-même transmet les certificats intermédiaires nécessaires à Alice en
même temps que son certificat d'entité finale, sous forme de message signé afin
qu'Alice puisse vérifier l'intégrité de la chaîne.
– Les certificats contiennent souvent les URL de l'émetteur respectif. Alice peut
télécharger les certificats intermédiaires dont elle a besoin au moyen de ces URL.
Lorsque vous manipulez des certificats dans STEP 7, il est toujours présupposé que vous
avez importé dans le projet les certificats intermédiaires nécessaires et le certificat de base
et que vous les avez associés au module.
2. Alice valide les signatures de la chaîne de certificats à l'aide des clés publiques jointes aux
certificats.
3. La clé symétrique doit être générée et transmise au serveur Web.
4. Quand le serveur Web est adressé par son nom de domaine, Alice vérifie son identité
conformément aux règles d'infrastructure PKI définies dans RFC 2818 : cela lui est possible
parce que l'URL du serveur Web, le "Fully Qualified Domain Name" (FQDN) dans le cas
présent, est rangé dans le certificat d'entité finale du serveur Web. Si l'inscription dans le
champ "Subject Alternative Name" du certificat et l'entrée dans la barre d'adresse du
navigateur sont identiques, tout est en ordre.
La procédure se poursuit avec l'échange de données à l'aide de la clé symétrique, comme le
montre la figure ci-dessus.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 63
Services de communication
3.6 Secure Communication
Communication
64 Description fonctionnelle, 05/2021, A5E03735816-AJ
Services de communication
3.6 Secure Communication
Conditions
• TIA Portal à partir de la version V17
• La CPU prend en charge la communication PG/IHM sécurisée (à partir de la version de
firmware V2.9 pour les CPU S7-1500, par exemple).
• Il n'y a pas encore eu de chargement dans la CPU ou la CPU a été réinitialisée aux
paramètres d'usine avec l'option "Supprimer le mot de passe de protection des données de
configuration confidentielles d'API".
Marche à suivre
1. Ouvrez les propriétés de la CPU dans la vue de réseau ou dans la vue des appareils.
2. Naviguez jusqu'à la zone "Protection & Sécurité > Protection des données de configuration
API".
Résultat : L'option "Protéger les données de configuration API confidentielles" est activée
et le champ vide pour la saisie du mot de passe est affiché sur fond rouge.
3. Configurez un mot de passe (recommandation) au moyen du bouton "Définir" ou désactivez
l'option "Protéger les données de configuration API confidentielles".
4. Complétez la configuration et créez le programme utilisateur.
5. Procédez au chargement dans la CPU.
Lors du chargement de la configuration matérielle, vous êtes invité une fois à saisir de
nouveau le mot de passe.
Explication : le mot de passe configuré est certes utilisé dans TIA Portal pour générer
l'information de clé pour la protection des données de configuration confidentielles et pour
protéger ainsi ces données, mais ni le mot de passe ni l'information de clé ne sont
enregistrés dans le projet pour des raisons de sécurité. Pour que l'information de clé soit
présente dans la CPU, elle est à nouveau générée lors du chargement de la configuration
matérielle, ce qui exige que le mot de passe y soit également saisi une fois.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 65
Services de communication
3.6 Secure Communication
Voir aussi
Informations utiles sur la protection des données de configuration API confidentielles
(Page 1)
Communication
66 Description fonctionnelle, 05/2021, A5E03735816-AJ
Services de communication
3.6 Secure Communication
① Projet avec données de configuration confidentielles protégées par mot de passe (ici, dans la
mémoire de chargement = carte mémoire)
② Information de clé (générée à partir du mot de passe) permettant d'utiliser les données de con-
figuration confidentielles protégées (ici : dans la mémoire interne de la CPU)
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 67
Services de communication
3.6 Secure Communication
Conditions
• Il n'y a pas encore eu de chargement dans la CPU.
Marche à suivre
1. Ouvrez les propriétés de la CPU dans la vue de réseau ou dans la vue des appareils.
2. Naviguez jusqu'à la zone "Protection & Sécurité > Protection des données de configuration
API".
3. Cliquez sur le bouton "Modifier" ou désactivez l'option "Protection des données de
configuration confidentielles d'API".
4. Saisissez le mot de passe valable jusque-là dans la boîte de dialogue. En cas de changement
de mot de passe, saisissez également le nouveau mot de passe et confirmez-le.
Tant que vous n'avez pas encore chargé de configuration dans la CPU, celle-ci se trouve en
phase de mise à disposition (voir Comportement de la CPU du chargement jusqu'à l'état prêt à
fonctionner (Page 1)) et vous pouvez y charger n'importe quelle configuration valide avec
votre mot de passe configuré.
Communication
68 Description fonctionnelle, 05/2021, A5E03735816-AJ
Services de communication
3.6 Secure Communication
Conditions
• Vous disposez d'un accès en écriture à la CPU
• La CPU est à l'état ARRET
Marche à suivre
1. Sélectionnez la CPU dans la vue de réseau.
2. Dans le menu contextuel, sélectionnez la commande "En ligne & Diagnostic".
3. Si vous modifiez également le projet sur la carte mémoire, c'est-à-dire que vous voulez
ensuite recharger la configuration :
– Sélectionnez la zone "Réinitialisation aux paramètres d'usine" dans la vue "En ligne &
Diagnostic" ouverte.
– Activez l'option "Supprimer le mot de passe de protection des données de
configuration confidentielles d'API". Pour éviter un démarrage répété de la CPU, activez
aussi l'option "Formater carte mémoire".
– Chargez ensuite le projet avec la configuration modifiée et le mot de passe souhaité.
4. Si vous ne devez pas modifier le projet sur la carte mémoire, c'est-à-dire qu'il s'agit
uniquement d'un mot de passe incorrect défini :
– Sélectionnez la zone "Définir le mot de passe de protection des données de
configuration confidentielles d'API" dans la vue "En ligne & Diagnostic".
– Cliquez sur le bouton "Supprimer". Le bouton "Supprimer" n'est pas utilisable si aucun
mot de passe n'a encore été défini dans la CPU.
– Saisissez le mot de passe requis et cliquez sur le bouton "Définir".
La CPU peut utiliser les données de configuration protégées de l'API si le mot de passe
correct a été saisi.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 69
Services de communication
3.6 Secure Communication
Remarque
Réinitialisation aux réglages d'usine avec le sélecteur de mode de la CPU
La réinitialisation de la CPU aux réglages d'usine via le sélecteur de mode a pour effet de
supprimer aussi l'adresse IP de la CPU, mais pas le mot de passe pour la protection des
données de configuration API confidentielles.
Voir aussi
Règles pour le remplacement de la CPU (Page 1)
Conditions
• Il n'y a pas encore eu de chargement dans la CPU.
Marche à suivre
1. Ouvrez les propriétés de la CPU dans la vue de réseau ou dans la vue des appareils.
2. Naviguez jusqu'à la zone "Protection & Sécurité > Protection des données de configuration
API".
Communication
70 Description fonctionnelle, 05/2021, A5E03735816-AJ
Services de communication
3.6 Secure Communication
Condition
• Vous disposez d'un accès en écriture à la CPU
• La CPU est à l'état ARRÊT.
Marche à suivre
1. Sélectionnez la CPU dans la vue de réseau.
2. Dans le menu contextuel, sélectionnez la commande "En ligne & Diagnostic".
3. Cliquez sur le bouton "Supprimer" dans la zone "Définir le mot de passe de protection des
données de configuration confidentielles d'API".
Le bouton "Supprimer" n'est pas utilisable si aucun mot de passe n'a encore été défini dans la
CPU.
IMPORTANT
Suppression du mot de passe pour les données de configuration confidentielles.
Si le mot de passe a été supprimé alors qu'un projet chargé requiert un mot de passe
correspondant, ce projet ne fonctionnera éventuellement plus sans mot de passe.
Voir aussi
Modifier le mot de passe (Page 1)
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 71
Services de communication
3.6 Secure Communication
3.6.2.5 Affecter un mot de passe par le biais d'une carte mémoire SIMATIC
Vous pouvez utiliser une carte mémoire SIMATIC si vous voulez transmettre le mot de passe
de protection des données de configuration API confidentielles à une CPU sans utiliser TIA
Portal.
L'utilisation d'une carte mémoire SIMATIC est indiquée dans les cas suivants :
• Préparation d'une nouvelle CPU
Lors de la mise en œuvre d'une nouvelle CPU, celle-ci doit être configurée avec un mot de
passe pour la protection des données de configuration API confidentielles. Une fois cette
configuration achevée, il est possible d'utiliser une autre carte mémoire SIMATIC avec le
projet souhaité.
(CPU S7-1200 : il est également possible d'utiliser une carte "Transfert" avec une tâche de
transfert pour installer le programme sur la CPU)
• La CPU a un mot de passe de protection des données de configuration API confidentielles,
mais le mot de passe ne correspond pas au projet
Lorsque les mots de passe sont différents, vous pouvez définir le mot de passe correct à
l'aide de la carte mémoire dans la CPU.
(CPU S7-1200 : munie soit d'une carte "Transfert" SIMATIC, soit d'une carte "Programme"
SIMATIC)
• Réinitialisation du mot de passe de protection des données de configuration API
confidentielles
Comme préparation avant la mise au rebut de la CPU ou comme préparation à un nouveau
projet pour la CPU
Conditions
• TIA Portal à partir de la version V17
Procédure de principe
1. Création d'une carte mémoire SIMATIC avec tâche "SET PASSWORD"
Cette action permet de créer une structure de dossiers et de fichiers selon un modèle
spécifique et d'écrire un mot de passe de protection des données de configuration API
confidentielles comme texte seul dans un fichier spécial sur la carte mémoire SIMATIC.
Voir la description ci-après.
2. Mise en place d'une carte mémoire SIMATIC préparée dans la CPU et mise sous tension de la
CPU
L'automate programmable lit le mot de passe, le traite et enregistre le résultat dans la
mémoire interne. Une entrée existante éventuelle est écrasée.
3. Retrait de la carte mémoire SIMATIC et redémarrage de la CPU
Résultats (S7-1500) : Lorsque la CPU lit la carte mémoire SIMATIC, la LED a le même
comportement que lors d'une mise à jour du firmware. Lorsque la CPU définit le mot de
passe, la LED RUN/STOP clignote. Une fois l'opération achevée avec succès, la LED
RUN/STOP s'allume en jaune et la LED MAINT clignote en jaune.
Le résultat de l'opération est indiqué sous forme de message de succès ou d'erreur dans le
tampon de diagnostic. Si le mot de passe n'a pas pu être défini, la LED ERROR clignote avec
les autres LED.
Communication
72 Description fonctionnelle, 05/2021, A5E03735816-AJ
Services de communication
3.6 Secure Communication
Remarque
Conservation sûre de la carte mémoire SIMATIC
Conservez la carte mémoire SIMATIC dans un lieu sûr accessible uniquement aux
personnes autorisées.
Règles et recommandations
• La définition du mot de passe doit avoir lieu dans un environnement sûr.
• Le contenu du fichier texte "PWD.TXT" définit le mot de passe de protection des données
de configuration API confidentielles. Il doit correspondre au mot de passe que vous avez
également défini dans la configuration de la CPU.
• Pour réinitialiser un mot de passe existant d'un automate programmable, le fichier texte
"PWD.TXT" doit être vide, c'est-à-dire avoir une taille de 0 octet.
• Utilisez un éditeur de texte quelconque pour créer le fichier texte. Le format de texte
recommandé est "UTF-8".
• Les majuscules et minuscules ne sont pas significatives dans les noms de dossiers et de
fichiers. En revanche, la casse est prise en compte dans le mot de passe.
• N'insérez pas de caractère CR/LF à la fin (PWD.TXT ou S7_JOB.S7S).
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 73
Services de communication
3.6 Secure Communication
Sauvegarde de la configuration
Le mot de passe de protection des données de configuration API confidentielles n'est pas
sauvegardé lors de la sauvegarde d'une CPU (menu "En ligne", commande "Charger la
sauvegarde de l'appareil en ligne" dans TIA Portal).
Solution
Si l'erreur décrite ci-dessus se produit, c.-à-d. que le mot de passe de protection des données
de configuration API confidentielles ne correspond pas à la sauvegarde, vous devez supprimer
le mot de passe de protection des données de configuration API confidentielles dans la CPU,
puis définir le mot de passe correct. La sauvegarde sera opérationnelle après un redémarrage
de la CPU.
Voir aussi
Modifier le mot de passe (Page 1)
Communication
74 Description fonctionnelle, 05/2021, A5E03735816-AJ
Services de communication
3.6 Secure Communication
"Pièges" typiques
Il convient de prêter attention aux circonstances suivantes afin d'éviter les erreurs ou pour
pouvoir y remédier :
• Configuration chargée ?
Que vous protégiez vos données de configuration confidentielles par un mot de passe ou
non : Sans configuration chargée, la CPU ne quitte pas la phase de mise à disposition.
• Vous tentez de charger la CPU avec un mot de passe configuré et la CPU a déjà reçu
auparavant un autre mot de passe.
Exemple : La CPU est remplacée par une autre CPU, la CPU de remplacement n'a pas été
complètement réinitialisée (réinitialisation aux réglages d'usine avec l'option "Supprimer le
mot de passe pour la protection des données de configuration confidentielles d'API").
Solution :
– Préparer systématiquement la CPU de remplacement avec l'option correspondante
(mot de passe supprimé).
– Utilisez le même mot de passe pour la configuration à charger que celui que vous avez
utilisé pour la configuration déjà chargée.
– Il est possible que le projet / la configuration CPU chargé(e) ne soit pas le bon (la
bonne). Vérifiez si la configuration CPU correspondante est disponible.
– Utilisez la fonction en ligne "Définir le mot de passe de protection des données de
configuration confidentielles d'API" pour supprimer le mot de passe ou pour définir le
même mot de passe que dans la configuration de la CPU. Exécutez ensuite un
redémarrage.
• Une erreur identique se produit si la configuration de votre CPU n'utilise pas de mot de
passe et que la configuration déjà chargée exige un mot de passe défini par l'utilisateur.
Solution :
– Utilisez la fonction en ligne "Définir le mot de passe de protection des données de
configuration confidentielles d'API" pour supprimer le mot de passe ou pour définir le
même mot de passe que dans la configuration de la CPU. Exécutez ensuite un
redémarrage.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 75
Services de communication
3.6 Secure Communication
Voir aussi
Affecter un mot de passe par le biais d'une carte mémoire SIMATIC (Page 1)
Communication
76 Description fonctionnelle, 05/2021, A5E03735816-AJ
Services de communication
3.6 Secure Communication
3.6.3.1 Secure OUC d'une CPU S7-1500 comme client TLS à un AP tiers (serveur TLS)
Voici comment configurer une Secure Open User Communication par TCP d'une CPU S7-1500
comme client TLS à un serveur TLS.
Configurer une liaison TCP sécurisée d'une CPU S7-1500 comme client TLS à un serveur TLS
Les CPU S7-1500 à partir de la version V2.0 du firmware prennent en charge la Secure
Communication avec adressage par nom de domaine (Domain Name System, DNS).
Pour la communication TCP sécurisée par nom de domaine, vous devez élaborer vous-même
un bloc de données du type de données système TCON_QDN_SEC, le paramétrer et l'appeler
directement dans l'une des instructions TSEND_C, TRCV_C ou TCON.
Conditions :
• La date et l'heure actuelles sont réglées dans la CPU.
• Il y a au moins un serveur DNS dans votre réseau.
• Vous avez configuré au moins un serveur DNS pour la CPU S7-1500.
• Le client TLS et le serveur TLS possèdent tous les certificats nécessaires.
Procédez comme suit pour configurer une liaison TCP sécurisée à un serveur TLS :
1. Créez un bloc de données global dans le navigateur de projet.
2. Définissez une variable de type TCON_QDN_SEC dans ce bloc de données global.
L'exemple ci-dessous montre le bloc de données global "Data_block_1" dans lequel est
définie la variable "DNS ConnectionSEC" du type de données TCON_QDN_SEC.
3. Réglez les paramètres de la liaison TCP dans la colonne "Valeur de départ". Tapez par ex. le
nom de domaine complet (FQDN) du serveur TLS sous "RemoteQDN".
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 77
Services de communication
3.6 Secure Communication
4. Réglez les paramètres pour Secure Communication dans la colonne "Valeur de départ".
– "ActivateSecureConn" : Activation de Secure Communication pour cette liaison. Quand
ce paramètre a la valeur FALSE, les paramètres de sécurité suivants n'ont pas de
signification. Dans ce cas, vous pouvez configurer une liaison TCP ou UDP non
sécurisée.
– "ExtTLSCapabilities" : quand vous tapez la valeur 1, le client valide le
subjectAlternateName dans le certificat X.509 V3 du serveur afin de vérifier l'identité
du serveur. Cette validation s'effectue dans le contexte de l'instruction.
– "TLSServerCertRef" : ID du certificat X.509 V3 (habituellement un certificat CA), utilisée
par le client TLS pour valider l'authentification du serveur TLS. Quand ce paramètre a la
valeur 0, le client TLS utilise pour valider l'authentification du serveur tous les
certificats (CA) actuellement chargés dans sa mémoire de certificats.
Figure 3-19 Manipulation des certificats du point de vue de la CPU S7-1500 comme client TLS
Communication
78 Description fonctionnelle, 05/2021, A5E03735816-AJ
Services de communication
3.6 Secure Communication
3.6.3.2 Secure OUC d'une CPU S7-1500 comme serveur TLS à un AP tiers (client TLS)
Voici comment configurer une Secure Open User Communication par TCP d'une CPU S7-1500
comme serveur TLS à un client TLS.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 79
Services de communication
3.6 Secure Communication
3. Réglez les paramètres de la liaison TCP dans la colonne "Valeur de départ". Tapez par ex.
pour "ID" l'ID locale de la liaison TCP.
Communication
80 Description fonctionnelle, 05/2021, A5E03735816-AJ
Services de communication
3.6 Secure Communication
4. Réglez les paramètres pour Secure Communication dans la colonne "Valeur de départ".
– "ActivateSecureConn" : Activation de Secure Communication pour cette liaison. Quand
ce paramètre a la valeur FALSE, les paramètres de sécurité suivants n'ont pas de
signification. Dans ce cas, vous pouvez configurer une liaison TCP ou UDP non
sécurisée.
– "TLSServerReqClientCert" : demande d'un certificat X.509 V3 du client TLS.
– "TLSServerCertRef" : ID du propre certificat X.509 V3.
Figure 3-22 Manipulation des certificats du point de vue de la CPU S7-1500 comme serveur
TLS
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 81
Services de communication
3.6 Secure Communication
Communication
82 Description fonctionnelle, 05/2021, A5E03735816-AJ
Services de communication
3.6 Secure Communication
Figure 3-24 Manipulation des certificats pour Secure OUC entre deux CPU S7-1500
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 83
Services de communication
3.6 Secure Communication
3. Réglez les paramètres de la liaison TCP dans la colonne "Valeur de départ". Saisissez, par
exemple, l'adresse IPv4 du serveur TLS pour "RemoteAddress".
Remarque
Paramètre de liaison InterfaceId
Notez que vous pouvez saisir la valeur "0" pour l'ID d'interface dans le type de données
TCON_IP_V4_SEC. Dans ce cas, la CPU recherche elle-même une interface locale
appropriée de la CPU.
Communication
84 Description fonctionnelle, 05/2021, A5E03735816-AJ
Services de communication
3.6 Secure Communication
4. Réglez les paramètres pour Secure Communication dans la colonne "Valeur de départ".
– "ActivateSecureConn" : Activation de Secure Communication pour cette liaison. Quand
ce paramètre a la valeur FALSE, les paramètres de sécurité suivants n'ont pas de
signification. Dans ce cas, vous pouvez configurer une liaison TCP ou UDP non
sécurisée.
– "TLSServerCertRef" : Entrez la valeur 2 (référence au certificat CA du projet TIA Portal
(SHA256)) ou la valeur 1 (référence au certificat CA du projet TIA Portal (SHA1)). Si
vous utilisez un autre certificat CA, entrez l'ID correspondant indiqué dans le
gestionnaire de certificats des paramètres de sécurité généraux.
– "TLSClientCertRef" : ID du propre certificat X.509 V3.
5. Créez une instruction TSEND_C, TRCV_C ou TCON dans l'éditeur de programme.
6. Interconnectez le paramètre CONNECT de l'une des instructions TSEND_C, TRCV_C ou TCON
avec la variable de type de données TCON_IP_V4_SEC.
3. Réglez les paramètres de la liaison TCP dans la colonne "Valeur de départ". Saisissez, par
exemple, l'adresse IPv4 du client TLS pour "RemoteAddress".
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 85
Services de communication
3.6 Secure Communication
4. Réglez les paramètres pour Secure Communication dans la colonne "Valeur de départ".
– "ActivateSecureConn" : Activation de Secure Communication pour cette liaison. Quand
ce paramètre a la valeur FALSE, les paramètres de sécurité suivants n'ont pas de
signification. Dans ce cas, vous pouvez configurer une liaison TCP ou UDP non
sécurisée.
– "TLSServerReqClientCert " : demande d'un certificat X.509 V3 du client TLS. Tapez la
valeur "true".
– "TLSServerCertRef" : ID du propre certificat X.509 V3.
– "TLSClientCertRef" : Entrez la valeur 2 (référence au certificat CA du projet TIA Portal
(SHA256)) ou la valeur 1 (référence au certificat CA du projet TIA Portal (SHA1)). Si
vous utilisez un autre certificat CA, entrez l'ID correspondant indiqué dans le
gestionnaire de certificats des paramètres de sécurité généraux.
5. Créez une instruction TSEND_C, TRCV_C ou TCON dans l'éditeur de programme.
6. Interconnectez le paramètre CONNECT de l'une des instructions TSEND_C, TRCV_C ou TCON
avec la variable de type de données TCON_IP_V4_SEC.
Dans l'exemple suivant, le paramètre CONNECT de l'instruction TSEND_C est interconnecté
avec la variable "SEC connection 1 TLS-Client" (type de données TCON_IP_V4_SEC).
Communication
86 Description fonctionnelle, 05/2021, A5E03735816-AJ
Services de communication
3.6 Secure Communication
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 87
Services de communication
3.6 Secure Communication
Exemple : configuration d'une liaison TCP sécurisée entre deux CPU S7-1500 par le biais
d'interfaces CP
Pour la communication TCP sécurisée entre deux CP S7-1500, vous devez créer dans chaque
CPU un bloc de données du type de données système TCON_IP_V4_SEC, le paramétrer et
l'appeler directement dans l'une des instructions TSEND_C, TRCV_C ou TCON.
Conditions préalables :
• Les deux CPU S7-1500 ont au moins la version de firmware V2.0. Si vous utilisez le CP
1543SP-1, une version de firmware à partir de V1.0 convient.
• Les deux CP (CP 1543-1, par exemple) ont au moins la version de firmware V2.0.
• Le client TLS et le serveur TLS doivent posséder tous les certificats requis.
– Un certificat d'appareil (certificat d'entité finale) doit être généré pour le CP et être
placé dans la mémoire de certificats du CP. Si un partenaire de communication est un
appareil tiers (un système MES ou ERP, par exemple), un certificat d'appareil doit
également exister pour cet appareil.
– Le certificat racine (certificat CA) avec lequel le certificat d'appareil du partenaire de
communication est signé doit se trouver dans la mémoire de certificats du CP ou dans
la mémoire de certificats de l'appareil tiers. Si vous utilisez des certificats
intermédiaires, vous devez vous assurer que le chemin de certificat complet est présent
dans l'appareil qui valide. Un appareil utilise ces certificats pour valider le certificat
d'appareil du partenaire de communication.
• Vous devez absolument adresser le partenaire de communication par son adresse IPv4,
pas par son nom de domaine.
La figure suivante présente les différents certificats dans les appareils lorsque les deux
partenaires de communication communiquent par le biais d'un CP 1543-1. La figure montre
également la transmission des certificats d'appareil lors de l'établissement de la liaison
("Hello").
Figure 3-28 Manipulation des certificats pour Secure OUC entre deux CPU S7-1500 via des interfaces
CP
Communication
88 Description fonctionnelle, 05/2021, A5E03735816-AJ
Services de communication
3.6 Secure Communication
3. Définissez les paramètres de la liaison TCP dans la colonne "Valeur initiale". Saisissez, par
exemple, l'adresse IPv4 du serveur TLS pour "RemoteAddress".
4. Définissez les paramètres de la Secure Communication dans la colonne "Valeur initiale".
– "ActivateSecureConn" : activation de Secure Communication pour cette liaison. Si ce
paramètre prend la valeur FALSE, les paramètres de sécurité suivants sont non
significatifs. Dans ce cas, vous pouvez configurer une liaison TCP ou UDP non
sécurisée.
– "TLSServerCertRef" : Entrez la valeur 2 (référence au certificat CA du projet TIA Portal
(SHA256)) ou la valeur 1 (référence au certificat CA du projet TIA Portal (SHA1)). Si
vous utilisez un autre certificat CA, entrez l'ID correspondant indiqué dans le
gestionnaire de certificats des paramètres de sécurité généraux.
– "TLSClientCertRef" : ID du propre certificat X.509-V3.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 89
Services de communication
3.6 Secure Communication
3. Définissez les paramètres de la liaison TCP dans la colonne "Valeur initiale". Saisissez, par
exemple, l'adresse IPv4 du client TLS pour "RemoteAddress".
Communication
90 Description fonctionnelle, 05/2021, A5E03735816-AJ
Services de communication
3.6 Secure Communication
Liaisons Secure Open User Communication par interfaces CPU et CP : points communs
• Ressources de liaison :
Aucune différence entre OUC et Secure OUC. Une liaison Secure OUC programmée utilise
une ressource de liaison tout comme une liaison OUC, indépendamment de l'interface
IE/PROFINET par laquelle la station communique.
• Diagnostic de liaison :
Aucune différence entre le diagnostic de liaison OUC et Secure OUC.
• Chargement dans la CPU de projets avec des liaisons Secure OUC :
Possible uniquement à l'état ARRÊT de la CPU si des certificats sont également chargés.
Recommandation : Charger dans l'appareil > Matériel et logiciel. Cela permet de garantir la
cohérence entre le programme avec Secure OUC, la configuration et les certificats.
Les certificats sont chargés avec la configuration matérielle, ce qui nécessite un arrêt de la
CPU. Le rechargement de blocs qui utilisent d'autres liaisons Secure OUC n'est possible à
l'état MARCHE que si les certificats nécessaires se trouvent déjà dans le module.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 91
Services de communication
3.6 Secure Communication
Conditions
• CPU S7-1500 à partir de la version V2.5 du firmware
• Le client Modbus (client TLS) peut accéder au serveur Modbus (serveur TLS) dans le réseau
par communication IP.
• Le client TLS et le serveur TLS possèdent tous les certificats nécessaires.
Exemple : configurer une liaison Modbus TCP sécurisée à un serveur Modbus TCP
Le paragraphe suivant décrit comme établir une Secure Open User Communication via
Modbus TCP entre un client Modbus TCP et un serveur Modbus TCP.
Procédez comme suit pour configurer une liaison sécurisée entre un client Modbus TCP (client
TLS) et un serveur Modbus TCP (serveur TLS) par l'adresse IPv4 du serveur de messagerie :
1. Créez un bloc de données global dans le navigateur de projet.
2. Définissez une variable de type de données TCON_IP_V4 SEC dans le bloc de données global.
Communication
92 Description fonctionnelle, 05/2021, A5E03735816-AJ
Services de communication
3.6 Secure Communication
3. Réglez les paramètres de la liaison TCP dans la colonne "Valeur de départ". Tapez par ex.
l'adresse Ipv4 du serveur de messagerie sous "MailServerAdress".
4. Réglez les paramètres pour Secure Communication dans la colonne "Valeur de départ".
Tapez par ex. sous "TLSServerCertRef" l'ID du certificat CA du partenaire de communication.
– "ActivateSecureConn" : Activation de Secure Communication pour cette liaison. Quand
ce paramètre a la valeur FALSE, les paramètres de sécurité suivants n'ont pas de
signification. Dans ce cas, vous pouvez configurer une liaison Modbus TCP non
sécurisée.
– "TLSServerCertRef" : Référence au certificat (CA) X.509 V3 du serveur Modbus TCP,
utilisée par le client TLS pour valider l'authentification du serveur Modbus TCP.
5. Créez une instruction MB_Client dans l'éditeur de programme.
6. Interconnectez le paramètre CONNECT de l'instruction MB_Client avec la variable de type de
données TCON_IP_V4_SEC.
Conditions
• Instruction TMAIL_C à partir de la version d'instruction V5.0
• STEP 7 à partir de V15
• CPU S7-1500 à partir de V2.5
• Vous avez affecté à la CPU (client TLS) tous les certificats CA du serveur de messagerie
(serveur TLS) et chargé la configuration dans la CPU.
• La date et l'heure actuelles sont réglées dans la CPU.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 93
Services de communication
3.6 Secure Communication
Procédé Port
SMTPS 4651
STARTTLS quelconque (≠465)2
1 L'instruction TMAIL_C utilise SMTPS uniquement pour le port 465. STARTTLS est utilisé pour tous les
autres ports.
2 Conformément à RFC, les serveurs de messagerie utilisent les ports 25 et 587 pour des liaisons
sécurisées avec STARTTLS. L'utilisation d'autres numéros de port pour SMTP n'est pas conforme à
RFC, la réussite de la communication avec un serveur de messagerie de ce type n'est pas garantie.
Communication
94 Description fonctionnelle, 05/2021, A5E03735816-AJ
Services de communication
3.6 Secure Communication
3. Réglez les paramètres de la liaison TCP dans la colonne "Valeur de départ". Tapez par ex.
l'adresse Ipv4 du serveur de messagerie sous "MailServerAdress".
Remarque
Paramètre de liaison InterfaceId
Notez qu'à partir de la version V5.0 de l'instruction TMAIL_C, vous pouvez entrer dans le
type de données TMAIL_V4_SEC la valeur "0" pour l'ID d'interface. Dans ce cas, la CPU
recherche elle-même une interface locale appropriée de la CPU.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 95
Services de communication
3.6 Secure Communication
4. Réglez les paramètres pour Secure Communication dans la colonne "Valeur de départ".
Tapez par ex. sous "TLSServerCertRef" l'ID du certificat CA du partenaire de communication.
– "ActivateSecureConn" : Activation de Secure Communication pour cette liaison. Quand
ce paramètre a la valeur FALSE, les paramètres de sécurité suivants n'ont pas de
signification. Dans ce cas, vous pouvez configurer une liaison TCP ou UDP non
sécurisée.
– "TLSServerCertRef" : référence au certificat (CA) X.509 V3 du serveur de messagerie,
utilisée par le client TLS pour valider l'authentification du serveur de messagerie.
5. Créez une instruction TMAIL_C dans l'éditeur de programme.
6. Interconnectez le paramètre MAIL_ADDR_PARAM de l'instruction TMAIL_C avec la variable de
type de données TMAIl_V4_SEC.
Dans l'exemple suivant, le paramètre Mail_ADDR_PARAM de l'instruction TMAIL_C est
interconnecté avec la variable "MailConnectionSEC" (type de données TMAIL_V4_SEC).
Communication
96 Description fonctionnelle, 05/2021, A5E03735816-AJ
Services de communication
3.6 Secure Communication
Exemple d'application
Cet exemple d'application (https://support.industry.siemens.com/cs/ww/fr/view/46817803)
vous indique comment configurer une liaison sécurisée à un serveur de messagerie via le CP
d'une station S7-1500 ou S7-1200 et comment envoyer un e-mail depuis la CPU S7 avec
l'instruction standard "TMAIL_C".
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 97
Services de communication
3.6 Secure Communication
Ce qui change
ATTENTION
Faible protection des clés privées sans mot de passe
Notez que, sans mot de passe pour la protection des données de configuration
confidentielles, les clés privées pour certificats nécessaires à la communication sécurisée ne
sont que faiblement protégées.
Communication
98 Description fonctionnelle, 05/2021, A5E03735816-AJ
Services de communication
3.6 Secure Communication
Maintenance / Remplacement
Vous devez tenir compte de règles précises pour que le remplacement de la CPU se fasse sans
problème (voir Règles pour le remplacement de la CPU (Page 1)).
Voir aussi
Protection des données de configuration confidentielles (Page 1)
Marche à suivre
1. Naviguez jusqu'à la zone "Protection & Sécurité > Mécanismes de connexion" dans les
propriétés de la CPU.
2. Sélectionnez l'option souhaitée.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 99
Services de communication
3.6 Secure Communication
Marche à suivre
Si vous voulez que TIA Portal génère un nouveau certificat ou que vous voulez sélectionner
un autre certificat existant :
1. Cliquez sur les points de suspension dans le champ "Certificat de communication API" afin de
le développer.
2. Sélectionnez le certificat souhaité ou cliquez sur le bouton "Ajouter".
3. En cas d'ajout, une boîte de dialogue s'ouvre avec les options de paramétrage pour le
certificat.
L'utilisation "Serveur TLS" est imposée ; vous pouvez modifier les autres paramètres (par
exemple, le nom, l'algorithme de hachage...).
Les règles générales de gestion des certificats s'appliquent. Ainsi, l'option "Paramètres de
sécurité généraux pour la gestion des certificats" doit être activée si vous voulez générer un
certificat CA. Vous pouvez également générer un certificat API auto-signé.
Voir aussi
Gestion de certificats avec STEP 7 (Page 1)
Communication
100 Description fonctionnelle, 05/2021, A5E03735816-AJ
Services de communication
3.6 Secure Communication
Conditions
Avec l'autorité de certification de TIA Portal, vous pouvez créer des certificats d'appareil pour
la CPU et utiliser à cet effet les certificats CA existant pour signer les certificats d'appareil.
Mais vous pouvez également importer une autre autorité de certification dans TIA Portal et
l'utiliser.
La condition préalable est l'activation du paramétrage de la sécurité globale du gestionnaire
de certificats. Seul ce paramétrage vous permet de créer des certificats signés par une CA.
Voir aussi : Gestion de certificats avec STEP 7 (Page 1)
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 101
Services de communication
3.6 Secure Communication
Ajouter des certificats d'appareil à la liste de révocation de certificats (CRL) dans TIA Portal
Vous avez la possibilité d'ajouter des certificats d'appareil individuellement à une liste de
révocation de certificats (CRL), par exemple, parce que la clé correspondante n'est plus
considérée comme sûre.
Si TIA Portal établit une liaison à une CPU dont le certificat d'appareil figure dans la liste des
certificats révoqués, une boîte de dialogue s'affiche dans TIA Portal et le système vous
demande de confirmer si vous accordez quand même votre confiance au certificat. En cas de
refus, la liaison n'est pas établie.
Pour ajouter un certificat d'appareil à la liste des certificats révoqués, procédez comme suit :
1. Copiez le certificat d'appareil dans le répertoire suivant :
C:\ProgramData\Siemens\Automation\Certstore\CRL
2. Démarrez TIA Portal.
L'onglet "Info" de la fenêtre d'inspection affiche, pour chaque certificat, un message
indiquant si le celui-ci a été repris avec succès dans le magasin CRL de TIA Portal.
Toutefois, aucune raison détaillée n'est fournie en cas d'échec.
Voir aussi
Exemples de gestion de certificats (Page 1)
Communication
102 Description fonctionnelle, 05/2021, A5E03735816-AJ
Services de communication
3.6 Secure Communication
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 103
Services de communication
3.6 Secure Communication
Lors du chargement d'un projet dans la CPU, la CPU reçoit les données du projet :
• Configuration matérielle y compris les certificats pour la communication sécurisée
(OPC UA, HTTPS, Secure OUC, Secure PG/HMI communication)
• Programme utilisateur
Communication
104 Description fonctionnelle, 05/2021, A5E03735816-AJ
Services de communication
3.6 Secure Communication
Conditions
• La CPU et l'appareil IHM prennent en charge la communication IHM sécurisée.
• La CPU contient un projet actuel (TIA Portal à partir de V17).
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 105
Services de communication
3.6 Secure Communication
Remarque
Sans vue des alarmes, vous ne pourrez pas détecter les erreurs éventuelles lors de
l'établissement de la connexion.
Communication
106 Description fonctionnelle, 05/2021, A5E03735816-AJ
Services de communication
3.6 Secure Communication
Conditions
• Aucune liaison en ligne aux CPU ne doit être établie.
• Pour les CPU qui doivent être accessibles en ligne, l'option "Autoriser uniquement la
communication PG/PC et HMI sécurisée" ne doit pas être activée (paramètres CPU dans la
zone "Mécanismes de connexion").
• Les partenaires de communication se trouvent dans un environnement protégé, par
exemple pendant la phase de mise en service.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 107
Services de communication
3.6 Secure Communication
Communication
108 Description fonctionnelle, 05/2021, A5E03735816-AJ
Services de communication
3.7 SNMP
3.7 SNMP
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 109
Services de communication
3.7 SNMP
Désactivation de SNMP
Pour désactiver SNMP sur l'une des interfaces intégrées d'une CPU S7-1500, procédez comme
suit :
1. Créez sous STEP 7 un bloc de données qui contient la structure de l'enregistrement B071H.
– Le tableau suivant montre la structure de cet enregistrement B071H.
2. Transférez l'enregistrement B071H dans l'OB de démarrage (OB100) avec l'instruction WRREC
(écrire enregistrement) sur la CPU.
Pour ce faire, utilisez l'ID de matériel d'une interface intégrée de la CPU.
Tâche
La stratégie de sécurité de votre réseau n'autorisant pas l'utilisation de SNMP, vous voulez
désactiver SNMP pour une CPU 1516-3 PN/DP.
Conditions
• CPU 1516-3 avec firmware V2.0
• STEP 7 à partir de V14
Communication
110 Description fonctionnelle, 05/2021, A5E03735816-AJ
Services de communication
3.7 SNMP
Solution
Créez d'abord un bloc de données qui contient la structure de l'enregistrement B071H. La
figure suivante montre le bloc de données "Deactivate SNMP". Le bloc de données "Deactivate
SNMP" contient, outre l'enregistrement B071H, des variables que vous utiliserez pour la
transmission de l'enregistrement. La variable "snmp_deactivate" sert à lancer la tâche pour
WRREC. Enregistrez la variable dans la zone de mémoire rémanente pour que la valeur soit
également disponible dans l'OB de démarrage (OB100).
Transférez l'enregistrement B071H dans l'OB de démarrage (OB100) avec l'instruction WRREC
(écrire enregistrement) sur la CPU 1516-3 PN/DP.
Dans le code de programme ci-après, l'enregistrement B071H est transféré par l'instruction
WRREC dans une boucle REPEAT UNTIL.
ORGANIZATION_BLOCK "Startup"
TITLE = "Complete Restart"
{ S7_Optimized_Access := 'TRUE' }
VERSION : 0.1
BEGIN
REPEAT
"WRREC_DB_1"
(REQ := "Deactivate SNMP".snmp_deactivate,
//Transfer data record
INDEX:=16#B071,
//Data record number for SNMP deactivation
ID:="Local~PROFINET_interface_1",
//any integrated PROFINET Interface
DONE => "Deactivate SNMP".snmp_done,
ERROR => "Deactivate SNMP".snmp_error,
STATUS => "Deactivate SNMP".snmp_status,
RECORD := "Deactivate SNMP".snmp_record)
//Data record
UNTIL "Deactivate SNMP".snmp_done OR "Deactivate SNMP".snmp_error
END_REPEAT;
END_ORGANIZATION_BLOCK
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 111
Services de communication
3.7 SNMP
Réactivation de SNMP
Avec de légères modifications, vous pouvez utiliser le code de programme ci-dessus pour
activer SNMP.
Attribuez aux variables "Deactivate SNMP".snmp_record.SNMPControl dans le programme
utilisateur la valeur "1" :
"Deactivate SNMP".snmp_record.SNMPControl := 1;
SNMP est de nouveau activé lors du prochain démarrage de la CPU.
Communication
112 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication PG 4
Propriétés
La communication PG permet à la CPU ou à un autre module compatible avec la
communication d'échanger des données avec une station d'ingénierie (par ex. PG, PC).
L'échange de données peut être effectué via des sous-réseaux PROFIBUS et PROFINET. Le
passage entre différents sous-réseaux S7 est également pris en charge.
La communication PG met à votre disposition des fonctions dont vous avez besoin pour
charger les programmes et les données de configuration, exécuter les tests et évaluer les
informations de diagnostic. Ces fonctions sont intégrées au système d'exploitation du module
compatible avec la communication.
Remarque
À partir de la version V17 de TIA Portal, le protocole TLS (Transport Layer Security) est pris en
charge dans la communication PG/IHM afin de sécuriser l'échange de données entre le PG/PC
et la CPU au moyen de mécanismes de sécurité normalisés.
Pour plus d'informations, voir les chapitres suivants :
• Conditions requises pour une communication sécurisée (Page 1)
• Communication PG/IHM sécurisée (Page 1)
Conditions
• Il existe une liaison physique entre le PG/PC et le module apte à la communication.
• Si l'accès au module apte à la communication doit être réalisé via un routage S7, la
configuration matérielle doit être chargée dans les stations (routeur S7 et nœud
d'extrémité) impliquées.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 113
Communication PG
3. Dans la boîte de dialogue "Connecter en ligne", procédez aux paramétrages suivants pour
votre liaison en ligne :
– Sélectionnez le type d'interface (p. ex. PN/IE) dans la liste déroulante "Type de
l'interface PG/PC".
– Dans la liste déroulante "Interface PG/PC", sélectionnez l'interface PG/PC (p. ex. carte
Ind. Ethernet) que vous voulez utiliser pour l'établissement de la liaison en ligne.
– Dans la liste déroulante "Liaison avec interface/sous-réseau", sélectionnez l'interface ou
le sous-réseau S7 relié(e) physiquement avec la console de programmation.
– Si le module apte à la communication est accessible via un routeur S7 (passerelle),
sélectionnez le routeur S7 reliant les sous-réseaux concernés dans la liste déroulante
"1ère passerelle".
Communication
114 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication PG
Informations complémentaires
Pour plus d'informations sur "Liaison en ligne", référez-vous à l'aide en ligne de STEP 7.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 115
Communication IHM 5
Propriétés
La communication IHM permet à un ou plusieurs appareils IHM (par ex.
HMI Basic/Comfort/Mobile Panel) d'échanger des données de contrôle-commande avec une
CPU via l'interface PROFINET ou PROFIBUS DP. Les données sont échangées via des liaisons
IHM.
Si vous souhaitez créer plusieurs liaisons IHM avec une CPU, utilisez par ex. :
• les interfaces PROFINET et PROFIBUS DP de la CPU
• des CP et CM avec les interfaces appropriées
Remarque
À partir de la version V17 de TIA Portal, le protocole TLS (Transport Layer Security) est pris en
charge dans la communication PG/IHM afin de sécuriser l'échange de données entre le PG/PC
et la CPU au moyen de mécanismes de sécurité normalisés.
Pour plus d'informations, voir les chapitres suivants :
• Conditions requises pour une communication sécurisée (Page 1)
• Communication PG/IHM sécurisée (Page 1)
Communication
116 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication IHM
Informations complémentaires
Vous trouverez des informations concernant le routage S7 de liaisons IHM au chapitre
Routage S7 (Page 1).
Pour plus d'informations sur la création de liaisons IHM, référez-vous à l'aide en ligne de
STEP 7.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 117
Open User Communication 6
6.1 Vue d'ensemble d'Open User Communication
Communication
118 Description fonctionnelle, 05/2021, A5E03735816-AJ
Open User Communication
6.2 Protocoles pour Open User Communication
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 119
Open User Communication
6.2 Protocoles pour Open User Communication
Modbus TCP
Le protocole Modbus est un protocole de communication avec topologie linéaire sur la base
d'une architecture maître/esclave. En mode de transmission Modbus TCP (Transmission
Control Protocol), les données sont transmises comme paquets TCP/IP.
La communication est commandée exclusivement par des instructions appropriées dans le
programme utilisateur.
E-mail et FTP
L'e-mail permet par exemple d'envoyer des contenus de blocs de données (par ex. données
de processus) en pièce jointe.
Vous utilisez la liaison FTP (File Transfer Protocol) pour transférer des fichiers vers et depuis
les appareils S7.
Du côté client, la communication est commandée par des instructions appropriées dans le
programme utilisateur.
Communication
120 Description fonctionnelle, 05/2021, A5E03735816-AJ
Open User Communication
6.3 Instructions pour Open User Communication
Introduction
Vous pouvez configurer la communication Open User via la liaison concernée (par ex. liaison
TCP) comme suit :
• en programmant les partenaires de communication dans les programmes utilisateur ou
• en configurant la liaison dans STEP 7 dans l'éditeur de matériel et de réseaux
Que la liaison soit créée par programmation ou par configuration, des instructions d'envoi et
de réception des données sont toujours nécessaires dans les programmes utilisateur des deux
partenaires de communication.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 121
Open User Communication
6.3 Instructions pour Open User Communication
Communication
122 Description fonctionnelle, 05/2021, A5E03735816-AJ
Open User Communication
6.3 Instructions pour Open User Communication
Le tableau suivant vous montre les différentes liaisons de la communication Secure Open
User Communication ainsi que les types de données système et les instructions
correspondants.
• TCON_QDN_SEC • MB_Server
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 123
Open User Communication
6.3 Instructions pour Open User Communication
Communication
124 Description fonctionnelle, 05/2021, A5E03735816-AJ
Open User Communication
6.4 Open User Communication avec adressage par le nom de domaine
Voir aussi
Secure Open User Communication (Page 1)
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 125
Open User Communication
6.4 Open User Communication avec adressage par le nom de domaine
Figure 6-1 Saisie d'adresses de serveurs DNS en prenant pour exemple une CPU 1516-3 PN/DP
Communication
126 Description fonctionnelle, 05/2021, A5E03735816-AJ
Open User Communication
6.4 Open User Communication avec adressage par le nom de domaine
3. Programmez les paramètres de la liaison TCP (par ex. le nom de domaine complet (FQDN))
dans la variable de type TCON_QDN.
4. Créez une instruction TCON dans l'éditeur de programme.
5. Interconnectez le paramètre CONNECT de l'instruction TCON avec la variable de type de
données TCON_QDN.
Dans l'exemple suivant, le paramètre CONNECT de l'instruction TCON est interconnecté
avec la variable "DNS connection1" (type de données TCON_QDN).
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 127
Open User Communication
6.5 Configurer Open User Communication par TCP, ISO-on-TCP, UDP et ISO
Remarque
Charge du réseau
Contrairement à TCP, le protocole UDP n'est pas orienté liaison. À chaque front au niveau du
paramètre de bloc REQ, l'instruction TUSEND ou TURCV interroge le serveur DNS. Cela peut
entraîner une charge élevée du réseau ou une charge sur le serveur DNS.
Communication
128 Description fonctionnelle, 05/2021, A5E03735816-AJ
Open User Communication
6.5 Configurer Open User Communication par TCP, ISO-on-TCP, UDP et ISO
3. Sélectionnez le groupe "Paramètres de la liaison". Tant que le partenaire de liaison n'est pas
choisi, seule la liste déroulante vide pour le nœud d'extrémité partenaire est active. Toutes
les autres possibilités de saisie sont désactivées.
Les paramètres de liaison déjà connus sont affichés :
– Nom du nœud d'extrémité local
– Interface du nœud d'extrémité local
– Adresse IPv4 du nœud d'extrémité local
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 129
Open User Communication
6.5 Configurer Open User Communication par TCP, ISO-on-TCP, UDP et ISO
Communication
130 Description fonctionnelle, 05/2021, A5E03735816-AJ
Open User Communication
6.5 Configurer Open User Communication par TCP, ISO-on-TCP, UDP et ISO
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 131
Open User Communication
6.5 Configurer Open User Communication par TCP, ISO-on-TCP, UDP et ISO
7. Le cas échéant, entrez une ID de liaison pour le partenaire. Il est impossible d'attribuer une
ID de liaison pour un partenaire non spécifié.
Remarque
Dans le cas d'un partenaire de liaison connu, vous devez entrer une valeur univoque pour
l'ID de liaison. L'unicité de l'ID de liaison n'est pas vérifiée par le paramétrage des liaisons
et aucune valeur par défaut n'est entrée pour l'ID de liaison à la création d'une nouvelle
liaison.
8. Sélectionnez le type de liaison souhaité dans la liste déroulante. Les détails d'adresse sont
définis par défaut en fonction du type de liaison. Vous avez le choix entre :
– TCP
– ISO-on-TCP
– UDP
– ISO (uniquement pour Type de configuration "Utiliser la liaison configurée")
Vous pouvez éditer les champs de saisie dans les détails de l'adresse. En fonction du
protocole paramétré, vous pouvez éditer les ports (pour TCP et UDP) ou les TSAP (pour
ISO-on-TCP et ISO).
9. Pour TCP, ISO et ISO-on-TCP, configurez le comportement pour l'établissement de la liaison
avec les cases d'option "Initialisation de la liaison". Vous pouvez choisir le partenaire de
communication initialisant la liaison.
Les valeurs modifiées sont contrôlées immédiatement par le paramétrage de liaison pour
vérifier qu'il n'y a pas d'erreur de saisie et sont transmises dans le bloc de données pour la
description de la liaison.
Remarque
L'Open User Communication entre les deux partenaires de communication est opérationnelle
uniquement lorsque la partie de programme pour le nœud d'extrémité partenaire est chargée
dans le matériel. Pour que la communication soit opérationnelle, vous devez veiller non
seulement à charger la description de liaison de la CPU locale dans l'appareil, mais aussi celle
de la CPU partenaire.
Communication
132 Description fonctionnelle, 05/2021, A5E03735816-AJ
Open User Communication
6.5 Configurer Open User Communication par TCP, ISO-on-TCP, UDP et ISO
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 133
Open User Communication
6.5 Configurer Open User Communication par TCP, ISO-on-TCP, UDP et ISO
Informations complémentaires
Dans l'aide en ligne de STEP 7, vous trouverez la description :
• des instructions pour la communication ouverte
• des paramètres de liaison
Pour savoir comment les instructions TSEND_C et TRCV_C se comportent dans S7-1500, voir
cette FAQ (https://support.industry.siemens.com/cs/ww/fr/view/109479564).
Communication
134 Description fonctionnelle, 05/2021, A5E03735816-AJ
Open User Communication
6.6 Configuration de la communication via FDL
Conditions requises
• Logiciel de configuration : STEP 7 Professional V14
• Nœud d'extrémité de la liaison : CPU S7-1500 à partir de la version de firmware 2.0 avec le
module de communication CM 1542-5 avec version de firmware 2.0
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 135
Open User Communication
6.6 Configuration de la communication via FDL
La figure suivante montre une liaison FDL entièrement configurée dans STEP 7.
Communication
136 Description fonctionnelle, 05/2021, A5E03735816-AJ
Open User Communication
6.6 Configuration de la communication via FDL
3. Programmez les paramètres pour la liaison FDL (les adresses PROFIBUS, par exemple) dans la
variable de type de données TCON_FDL.
4. Insérez une instruction TCON dans l'éditeur de programme.
5. Interconnectez le paramètre CONNECT de l'instruction TCON avec la variable de type de
données TCON_FDL.
Dans l'exemple suivant, le paramètre CONNECT de l'instruction TCON est interconnecté à
la variable "FDL_Connection" (de type de données TCON_FDL).
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 137
Open User Communication
6.7 Créer une communication via Modbus TCP
Communication
138 Description fonctionnelle, 05/2021, A5E03735816-AJ
Open User Communication
6.7 Créer une communication via Modbus TCP
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 139
Open User Communication
6.7 Créer une communication via Modbus TCP
Voir aussi
• Pour apprendre à programmer et paramétrer la communication Modbus TCP entre deux
CPU S7-1500, voir cette FAQ
(https://support.industry.siemens.com/cs/ww/fr/view/94766380).
• Vous apprendrez comment programmer et paramétrer une communication Modbus TCP
entre une CPU S7-1500 et une CPU S7-1200, dans cette FAQ
(https://support.industry.siemens.com/cs/ww/fr/view/102020340).
Communication
140 Description fonctionnelle, 05/2021, A5E03735816-AJ
Open User Communication
6.8 Configurer la communication par e-mail
Remarque
Paramètre de liaison InterfaceId
Notez qu'à partir de la version V5.0 de l'instruction TMAIL_C, vous pouvez entrer dans le
type de données TMAIL_V4_SEC la valeur "0" pour l'ID d'interface. Dans ce cas, la CPU
recherche elle-même une interface locale appropriée de la CPU.
Informations complémentaires
Dans l'aide en ligne de STEP 7, vous trouverez la description :
• des types de données système
• des instructions pour la communication ouverte
• des paramètres de liaison
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 141
Open User Communication
6.9 Configurer la communication FTP
Communication
142 Description fonctionnelle, 05/2021, A5E03735816-AJ
Open User Communication
6.9 Configurer la communication FTP
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 143
Open User Communication
6.9 Configurer la communication FTP
Exemples d'application
• Exemple d'application : communication FTP avec S7-1500 et CP 1543-1
L'exemple d'application se trouve sur Internet
(https://support.industry.siemens.com/cs/ww/fr/view/103550797).
• Exemple d'application : communication client FTP avec S7-1200/1500
L'exemple d'application se trouve sur Internet
(https://support.industry.siemens.com/cs/ww/fr/view/81367009).
Informations complémentaires
Dans l'aide en ligne de STEP 7, vous trouverez la description :
• des types de données système
• des instructions pour la communication ouverte
• des paramètres de liaison
Communication
144 Description fonctionnelle, 05/2021, A5E03735816-AJ
Open User Communication
6.10 Etablissement et interruption de liaisons de communication
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 145
Communication S7 7
Caractéristiques de la communication S7
La communication S7 en tant que communication homogène SIMATIC se caractérise par une
communication spécifique au fabricant entre CPU SIMATIC (pas de norme ouverte). La
communication S7 sert à la migration et au raccordement à des systèmes existants (S7-300,
S7-400).
Nous vous recommandons d'utiliser la communication ouverte pour la transmission de
données entre deux systèmes d'automatisation S7-1500 (voir le chapitre Open User
Communication (Page 1)).
Propriétés de la communication S7
La communication S7 permet à la CPU d'échanger des données avec une autre CPU. Dès que
l'utilisateur a reçu les données du côté de la réception, la réception des données est acquittée
automatiquement et communiquée à la CPU émettrice.
L'échange de données s'effectue par des liaisons S7 configurées. Les liaisons S7 peuvent être
configurées à sens unique ou à deux sens.
La communication S7 est possible via :
• Interface PROFINET ou PROFIBUS DP intégrée d'une CPU
• Interface d'un CP/CM
Communication
146 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication S7
Remarque
Blocs de données pour instructions PUT/GET
Pour l'emploi des instructions PUT/GET, vous pouvez utiliser uniquement des blocs de
données avec adressage absolu. L'adressage symbolique des blocs de données n'est pas
possible.
Vous devez en outre valider ce service dans la zone "Protection" de la configuration de la
CPU.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 147
Communication S7
Communication
148 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication S7
3. Sélectionnez le groupe "Paramètres de la liaison". Tant que le partenaire de liaison n'est pas
choisi, seule la liste déroulante vide pour le nœud d'extrémité partenaire est active. Toutes
les autres possibilités de saisie sont désactivées.
Les paramètres de liaison déjà connus sont affichés :
– Nom du nœud d'extrémité local
– Interface du nœud d'extrémité local
– Adresse IPv4 du nœud d'extrémité local
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 149
Communication S7
Remarque
Les instructions PUT et GET sont uniquement exécutables entre deux partenaires de
communication si la configuration matérielle ainsi que la partie du programme pour le
nœud d'extrémité partenaire ont été chargées dans le matériel. Pour que la
communication soit opérationnelle, vous devez veiller non seulement à charger la
description de liaison de la CPU locale dans l'appareil, mais aussi celle de la CPU
partenaire.
Communication
150 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication S7
6. Sélectionnez le dossier "Blocs de programme" pour l'une des deux CPU dans la navigation du
projet et ouvrez l'OB 1 dans le dossier par un double-clic. L'éditeur de programme s'ouvre.
7. Dans l'éditeur de programme, appelez les instructions correspondantes pour la
communication S7 dans le programme utilisateur du partenaire de communication (à sens
unique) ou dans les programmes utilisateur des partenaires de communication (à deux
sens). Par exemple, sélectionnez dans la Task Card "Instructions", dans la zone
"Communication", les instructions BSEND et BRCV et faites-les glisser dans un réseau de
l'OB 1.
8. Affectez, au paramètre ID de l'instruction, l'ID locale de la liaison configurée devant être
utilisée pour la transmission des données.
9. Paramétrez les instructions en indiquant où les données doivent être écrites et où elles
doivent être lues.
10.Chargez la configuration matérielle et le programme utilisateur dans la(les) CPU(s).
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 151
Communication S7
Communication
152 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication S7
Informations complémentaires
Des informations détaillées sur la configuration de liaisons S7 et sur l'utilisation d'instructions
pour la communication S7 dans le programme utilisateur sont disponibles dans l'aide en ligne
de STEP 7.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 153
Couplage point à point 8
Fonctionnalité
La communication par couplage point à point pour S7-1500, ET 200MP et ET 200SP s'effectue
par l'intermédiaire de modules de communication (CM) avec interfaces série (RS232, RS422
ou RS485).
• S7-1500/ET 200MP :
– CM PtP RS232 BA
– CM PtP RS422/485 BA
– CM PtP RS232 HF
– CM PtP RS422/485 HF
• ET 200SP :
– CM PtP
L'échange de données bidirectionnel par couplage point à point fonctionne entre modules de
communication ou bien entre systèmes ou appareils de communication non Siemens. Il faut
au moins 2 partenaires de communication pour la communication ("point à point"). Pour
RS422 et RS485, il est possible d'avoir plus de deux partenaires de communication.
Communication
154 Description fonctionnelle, 05/2021, A5E03735816-AJ
Couplage point à point
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 155
Couplage point à point
Communication
156 Description fonctionnelle, 05/2021, A5E03735816-AJ
Couplage point à point
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 157
Couplage point à point
Informations complémentaires
• Vous trouverez des informations complémentaires sur la communication par couplage
point à point et des notions de base sur la transmission de données série dans la
description fonctionnelle Module de communication CM PtP - Configurations pour
couplages point à point (http://support.automation.siemens.com/WW/view/fr/59057093).
• L'utilisation des instructions citées pour le couplage point à point dans le programme
utilisateur est expliquée dans l'aide en ligne de STEP 7.
• Les informations relatives aux modules de communication avec interface série se trouvent
dans le manuel du module de communication respectif.
Communication
158 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA 9
9.1 Informations utiles sur OPC UA
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 159
Communication OPC UA
9.1 Informations utiles sur OPC UA
OPC UA et PROFINET
OPC UA et PROFINET peuvent être utilisés ensemble. Les deux protocoles utilisent la même
infrastructure de réseau.
Communication
160 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.1 Informations utiles sur OPC UA
Évolutivité
OPC UA peut être utilisé pour des appareils dans différentes classes de puissance :
• Capteurs
• Systèmes intégrés
• Automates
• Systèmes sur PC
• Smartphones
• Serveurs sur lesquels s'exécutent des applications MES ou ERP
La classe de puissance des appareils est différenciée par les profils. Différents profils OPC UA
permettent d'échelonner OPC UA, des petits appareils de base aux appareils plus performants.
Un profil OPC UA décrit les fonctions et services qui doivent être pris en charge par le serveur
et le client. Des fonctions et services supplémentaires qui ne sont pas exigés par le profil
peuvent en outre être fournis en option.
Les profils OPC UA se distinguent des profils PROFINET. En effet, ces derniers définissent des
propriétés non propriétaires supplémentaires et des comportements pour les appareils et les
systèmes au sens d'une interface logicielle indépendante des constructeurs.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 161
Communication OPC UA
9.1 Informations utiles sur OPC UA
Concept type/instance
OPC UA propose un modèle d'information orienté objet de réseau entièrement maillé (fully
meshed network) pour les espaces de noms, métadonnées pour la description d'objet
comprises. Le référencement des instances entre elles ainsi que de leurs types permet de
générer des structures d'objet quelconques. Étant donné que les serveurs publient leur
système d'instances et de types, les clients peuvent naviguer dans ce réseau et accéder à
toutes les informations nécessaires. Les instances ainsi que les définitions de leurs types sont
disponibles durant l'exécution.
Les procédures ou les concepts de gestion des références à des types sont optimisés au fil du
temps. Ces optimisations conduisent à de nouvelles versions de la spécification OPC UA
(V1.03 => V1.04, par exemple).
Voir aussi
OPC Foundation (https://opcfoundation.org)
Communication
162 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.1 Informations utiles sur OPC UA
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 163
Communication OPC UA
9.1 Informations utiles sur OPC UA
Communication
164 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.1 Informations utiles sur OPC UA
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 165
Communication OPC UA
9.1 Informations utiles sur OPC UA
① CPU S7-1500 à partir de la V2.8 du firmware (par ex. CPU 1515-2 PN)
② CP 1543-1 (à partir de la V2.2 du firmware)
③ Interface virtuelle (W1)
④ Conversion de protocole PROFINET / Industrial Ethernet sur bus interne ou bus interne sur PROFINET / Industrial Ether-
net
⑤ Bus interne
Figure 9-1 Principe : interface d'accès via un module de communication
Communication
166 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.1 Informations utiles sur OPC UA
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 167
Communication OPC UA
9.1 Informations utiles sur OPC UA
Exemple : Accès de clients OPC UA à des serveurs OPC UA par le biais d'une CPU S7-1500 avec
transmission IP (IP forwarding) activée
Un client OPC UA et un serveur OPC UA peuvent également être connectés l'un à l'autre par le
biais d'une CPU S7-1500, cette dernière agissant en tant que transmetteur IP. Cette possibilité
de configuration permet une extension flexible d'installations existantes.
Figure 9-3 Exemple : Accès de clients OPC UA à des serveurs OPC UA par le biais d'une CPU S7-1500 avec transmission IP
(IP forwarding) activée
Communication
168 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.1 Informations utiles sur OPC UA
ID de nœud (NodeId)
Les nœuds dans l'espace d'adressage OPC UA sont définis de manière unique par un
identificateur de nœud (NodeId).
L'identificateur de nœud NodeId se compose d'un identificateur, d'un type d'identificateur et
d'un indice d'espace de noms. Les espaces nom sont utilisés pour éviter des conflits de noms.
OPC Foundation a définit un certain nombre de nœuds qui donnent des informations sur le
serveur OPC UA respectif. Ces nœuds se trouvent dans l'espace de noms de OPC Foundation
et possèdent l'indice 0.
OPC Foundation a défini en outre des types de données et des types de variables.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 169
Communication OPC UA
9.1 Informations utiles sur OPC UA
Identifier
L'identificateur Identifier correspond au nom de la variable API entre guillemets. Les
guillemets sont le seul caractère qui n'est pas autorisé à l'intérieur d'un nom dans STEP 7. Les
guillemets permettent ainsi d'éviter des conflits de noms.
L'exemple ci-dessous lit la valeur de la variable "StartTimer" :
L'identificateur Identifier peut comporter plusieurs éléments. Les différents éléments sont
alors séparés par des points.
L'exemple ci-dessous lit le contenu du bloc de données tableau "MyDB" dans son intégralité.
Ce bloc de données comprend un tableau avec dix valeurs de nombres entiers. Ces dix valeurs
doivent être lues en une fois. Il faut donc écrire "0:9" pour Array Range :
Communication
170 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.1 Informations utiles sur OPC UA
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 171
Communication OPC UA
9.1 Informations utiles sur OPC UA
Communication
172 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.1 Informations utiles sur OPC UA
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 173
Communication OPC UA
9.1 Informations utiles sur OPC UA
Indiquez dans "Array Range" quels éléments du tableau vous voulez écraser. Le Status Code
"Good" indique que les valeurs ont bien été transférées. Cependant, vous ne pouvez écrire
que les valeurs dans la S7-1500 et non les horodatages de ces valeurs. Les horodatage sont
uniquement accessibles en lecture.
Communication
174 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.1 Informations utiles sur OPC UA
La fonction "RegisteredRead" peut être utilisée selon le même modèle, ce qui est
particulièrement judicieux en cas de lecture récurrente de données. Notez bien cependant
qu'il peut être préférable d'utiliser une souscription (Subscription) en fonction de
l'application.
Recommandation : Placez les enregistrements de préférence dans le programme de
démarrage du client OPC UA car l'enregistrement prend du temps.
Notez que vous pouvez paramétrer dans les propriétés de la CPU S7-1500 le nombre
maximum de nœuds enregistrés et que les clients doivent tenir compte de ce nombre, voir
Paramètres généraux du serveur OPC UA (Page 1).
Souscription
On désigne par "Subscription" une fonction ne transférant que les variables pour lesquelles un
client OPC UA s'est enregistré auprès du serveur OPC UA. Pour ces variables enregistrées
(éléments surveillés = monitored Items), le serveur OPC UA n'envoie de message au client
OPC UA que lorsqu'une valeur a changé. Les variables étant surveillées, le client OPC UA n'est
plus obligé de les interroger continuellement (Polling). La charge du réseau s'en trouve
réduite.
Pour utiliser cette fonction, vous devez créer une Subscription. Pour ce faire, vous définissez
l'intervalle d'émission ("Publishing Interval") dans le client UA et vous cliquez sur le bouton
"Create". L'intervalle d'émission est l'intervalle de temps pendant lequel le serveur envoie de
nouvelles valeurs au client dans une notification ("data change notification").
Dans l'exemple suivant, une souscription a été créée : Le client reçoit toutes les
50 millisecondes un message contenant les nouvelles valeurs (intervalle d'émission 50 ms).
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 175
Communication OPC UA
9.1 Informations utiles sur OPC UA
La variable "Voltage" contient, par exemple, la valeur d'une tension acquise par une CPU S7-
1500.
L'intervalle d'échantillonnage ("Sampling Interval") contient une valeur négative (-1). Cela
détermine que le paramétrage par défaut du serveur OPC UA est utilisé pour l'intervalle
d'échantillonnage. Le paramétrage par défaut est défini par l'intervalle d'émission
("Publishing Interval") de la souscription. Entrez la valeur "0" si vous souhaitez régler le plus
petit intervalle d'échantillonnage possible.
La longueur de la file d'attente est fixée à "1" dans cet exemple : une seule valeur est lue dans
la CPU dans l'intervalle de 50 millisecondes, puis envoyée au client OPC UA lorsqu'elle a
changé.
Le paramètre "Deadband" a la valeur "0,1" dans l'exemple : les variations de valeur doivent
être d'au moins 0,1 volt ; ce n'est qu'alors que le serveur envoie la nouvelle valeur au client.
Le serveur n'envoie pas les variations de valeur inférieures. Avec ce paramètre, vous pouvez
par exemple masquer le bruit : variations de faible importance d'une grandeur de process qui
n'a pas de signification réelle.
Communication
176 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.1 Informations utiles sur OPC UA
Exemple
Une variable a le type de données SIMATIC "COUNTER". Dans le tableau, vous lisez COUNTER
→ UInt16. Vous savez désormais que vous n'avez pas besoin de transcoder la valeur COUNTER
qui est transmise comme variable de type de données UInt16.
Le client reconnaît à l'attribut "DataType" que la variable a en fait le type de données SIMATIC
"COUNTER". Le client reconstitue le type de données sur la base de cette information.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 177
Communication OPC UA
9.1 Informations utiles sur OPC UA
Arrays (tableaux)
Pour OPC UA, une requête de lecture ou d'écriture constitue toujours un accès à un tableau.
Autrement dit, il s'effectue toujours à l'aide d'un index et d'une longueur, de sorte qu'une
variable simple ne constitue qu'un cas particulier d'un tableau (index 0 et longueur 1). Le type
de données est juste envoyé plusieurs fois successivement par la ligne. L'attribut "DataType"
de la variable désigne le type de données de base. Les attributs "ValueRank" et
"ArrayDimensions" déterminent s'il s'agit d'un tableau et sa taille.
Communication
178 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.1 Informations utiles sur OPC UA
Structures
Les structures sont transmises sous forme d'ExtensionObject. Le serveur S7-1500 exploite la
représentation binaire pour la transmission de l'ExtensionObjects par la ligne, les éléments de
structure étant disposés directement les uns après les autres. Au début, se trouve la NodeId
du type de données à l'aide de laquelle un client identifie l'architecture de la structure.
Avec la spécification OPC UA <= V1.03, le client doit à cet effet lire le dictionnaire
DataTypeDictionary complet, le décoder et l'interpréter (s'il n'a pas déjà procédé à
l'apprentissage de celui-ci hors ligne par importation de fichier XML).
À partir de OPC UA V1.04, il existe pour cela l'attribut DataTypeDescription plus facile et plus
rapide à lire et interpréter. Le client n'identifie l'architecture de la structure qu'une seule fois,
soit avant, soit pendant le premier accès, et exploite ensuite cette information pendant toute
la durée de la session.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 179
Communication OPC UA
9.2 Sécurité avec OPC UA
Communication
180 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.2 Sécurité avec OPC UA
De même, STEP 7 vérifie lors de la compilation de votre projet si vous avez tenu compte des
possibilités de paramétrage pour la protection et envoie un avertissement en cas de risque.
Ce sera ainsi le cas pour une stratégie de sécurité OPC UA "Aucune Security", qui correspond
au nœud d'extrémité "None".
Remarque
Désactiver les stratégies de sécurité non souhaitées
Si vous avez activé toutes les stratégies de sécurité dans les paramètres Secure Channel du
serveur OPC UA S7-1500 – et donc également le nœud d'extrémité "None" (Aucune Security)
–, l'échange de données même non sécurisé (ni signé ni crypté) est possible entre serveur et
client. Le serveur OPC UA de la CPU S7-1500 envoie son certificat public au client, même avec
"None" (pas de Security). Et certains clients vérifient ce certificat. Par contre, le client n'est pas
obligé d'envoyer un certificat au serveur. L'identité du client peut rester inconnue. Chaque
client OPC UA peut alors se connecter au serveur indépendamment des paramètres Security à
venir.
Lors de la configuration du serveur OPC UA, veillez à ce que seules soient activées des
stratégies de sécurité compatibles avec le concept de sécurité mis en œuvre dans votre
machine ou installation. Toutes les autres stratégies de sécurité doivent être désactivées.
Recommandation : Utilisez le paramètre "Basic256Sha256 - Signer & crypter" avec lequel le
serveur n'accepte que les certificats Sha256. Les stratégies de sécurité "Basic128Rsa15" et
"Basic256" sont désactivées dans les réglages par défaut et ne doivent pas être utilisées
comme nœuds d'extrémité. Sélectionnez des nœuds d'extrémité avec une stratégie de
sécurité élevée.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 181
Communication OPC UA
9.2 Sécurité avec OPC UA
Certificats X.509
Un certificat X.509 contient, entre autres, les informations suivantes :
• Numéro de version du certificat
• Numéro de série du certificat
• Informations sur l'algorithme utilisé par l'autorité de certification pour signer le certificat
• Nom de l'autorité de certification
• Début et fin de validité du certificat
• Nom du programme, de la personne ou de l'organisme pour qui l'autorité de certification a
signé le certificat.
• Clé publique du programme, de la personne ou de l'organisme.
Un certificat X509 associe ainsi une identité (nom d'un programme, d'une personne ou d'un
organisme) avec la clé publique du programme, de la personne ou de l'organisme.
Communication
182 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.2 Sécurité avec OPC UA
Remarque
La période de validité enregistrée dans le certificat est également contrôlée lors de
l'établissement de la liaison. L'horloge CPU doit donc être réglée et la date et l'heure doivent
se situer dans la période de validité. Aucune communication n'a lieu dans le cas contraire.
Signature et cryptage
Pour pouvoir vérifier si un certificat a été manipulé, les certificats sont signés.
Pour cela, il y a différentes méthodes :
• Dans TIA Portal, vous avez la possibilité de générer et de signer des certificats. Si vous avez
protégé votre projet et que vous vous êtes connecté avec le droit fonctionnel d'effectuer
des paramétrages de sécurité, les paramètres de sécurité globaux sont également
utilisables. Les paramètres de sécurité globaux permettent d'accéder au gestionnaire de
certificats et donc à l'autorité de certification (CA) de TIA Portal.
• D'autres méthodes sont disponibles pour générer et signer des certificats. Dans TIA Portal,
vous pouvez importer des certificats dans le gestionnaire de certificats global.
– Vous vous adressez à une autorité de certification (CA) pour faire signer votre certificat.
Dans ce cas, l'autorité de certification vérifie votre identité et signe votre certificat à
l'aide de la clé privée fournie par l'autorité de certification. Envoyez à cet effet une CSR
(Certificate Signing Request - demande de signature de certificat) à l'autorité de
certification.
– Vous générez un certificat vous-même et vous le signez.
Pour cela, utilisez par exemple le programme "Opc.Ua.CertificateGenerator" de OPC
Foundation. Vous pouvez également utiliser OpenSSL.
Pour plus d'informations, voir Créer soi-même une paire de clés PKI et des certificats
(Page 1).
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 183
Communication OPC UA
9.2 Sécurité avec OPC UA
Signature
La signature permet de garantir l’intégrité et l'origine d'un message, comme décrit ci-après.
Lors de la signature, l'émetteur forme d'abord une valeur de hachage à partir du texte en clair
(message en clair). L'émetteur crypte ensuite la valeur de hachage à l'aide de sa clé privée et
transmet enfin le texte en clair avec la valeur de hachage cryptée au destinataire. Pour vérifier
l'authenticité de la signature, le destinataire a besoin de la clé publique de l'émetteur
(contenue dans le certificat X509 de l'émetteur). Le destinataire décrypte la valeur de
hachage reçue à l'aide de la clé publique de l'émetteur. Ensuite, le destinataire forme, à son
tour, une valeur de hachage à partir du texte en clair reçu (la fonction de hachage est
contenue dans le certificat de l'émetteur). Puis, le destinataire compare les deux valeurs de
hachage :
• Si les deux valeurs de hachage sont identiques, alors le message en clair reçu par le
destinataire n'a pas été altéré ou manipulé.
• Si les deux valeurs de hachage ne sont pas identiques, alors le message en clair reçu par le
destinataire n'est pas identique. Le message en clair reçu a été manipulé ou altéré lors du
transfert.
Cryptage
En cryptant les données, vous évitez que des personnes non autorisées ne prennent
connaissance du contenu. Les certificats X509 ne sont pas chiffrés ; ils sont publics et chacun
peut les consulter.
Lors du codage, l'émetteur chiffre le message en clair au moyen de la clé publique du
destinataire. Pour cela, l'émetteur a besoin du certificat X509 du destinataire, puisqu'il
contient la clé publique du destinataire. Le destinataire déchiffre le message avec sa clé
privée. Seul le destinataire peut déchiffrer le message. Lui seul détient la clé privée. C'est
pourquoi la clé privée ne doit jamais être transmise.
Communication
184 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.2 Sécurité avec OPC UA
Voie protégée
OPC UA utilise les clés privées et publiques du client et du serveur pour l'établissement d'une
liaison sécurisée, appelé Secure Channel. Lorsque la liaison sécurisée est établie, client et
serveur génèrent une clé interne, connue d'eux seuls, qu'ils utilisent pour signer et chiffrer
des messages. Ce procédé symétrique (avec une clé commune) est nettement plus rapide
que le chiffrement asymétrique (utilisant une clé privée et une clé publique).
Voir aussi
Création de certificats autosignés (Page 1)
Certificats sur OPC UA (Page 1)
Secure Communication (Page 1)
Utilisation de certificats avec TIA Portal
(https://support.industry.siemens.com/cs/ww/fr/view/109769068)
Remarque
Le serveur OPC UA du S7-1500 utilise des certificats application y compris pour le
paramétrage de sécurité "None" (Aucune Security). Cela permet de garantir la
compatibilité avec OPC UA V1.1 et les versions antérieures.
Remarque
STEP 7 ne prend pas en charge de certificat logiciel.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 185
Communication OPC UA
9.2 Sécurité avec OPC UA
Remarque
STEP 7 ne prend pas en charge de certificat utilisateur.
Ces certificats sont des certificats d'entité finale : ils identifient par exemple une personne, un
organisme, une entreprise ou l'instance (installation) d'un logiciel.
Voir aussi
Manipulation des certificats de client de la CPU S7-1500 (Page 1)
Communication
186 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.2 Sécurité avec OPC UA
Utilisation de OpenSSL
OpenSSL est un outil pour la sécurité de la couche de transport (TLS) que vous pouvez utiliser
pour créer des certificats. Vous pouvez également utiliser d'autres outils, par exemple XCA,
un logiciel de gestion de clés avec interface utilisateur graphique, pour une meilleure vue
d'ensemble sur les certificats créés.
Procédez comme suit pour utiliser OpenSSL sous Windows :
1. Installez OpenSSL sous Windows. Si vous utilisez une version 64 bits du système
d'exploitation, installez OpenSSL dans le répertoire "C:\OpenSSL-Win64", par exemple. Vous
pouvez télécharger OpenSSL-Win64 auprès de différents fournisseurs de logiciels Open
Source.
2. Créez un répertoire, par exemple "C:\demo".
3. Ouvrez l'invite de commandes. Pour ce faire, cliquez sur "Démarrer" (Start) et saisissez "cmd"
ou "Invite de commandes" dans le champ de recherche. Dans la liste de résultats, cliquez
avec le bouton droit de la souris sur "cmd.exe" ou sur "Invite de commandes" et exécutez le
programme en tant qu'administrateur. Windows ouvre l'invite de commandes.
4. Passez au répertoire "C:\demo". Saisissez pour cela la commande suivante : "cd C:\demo".
5. Activer les variables d'environnement suivants :
– set RANDFILE=c:\demo\.rnd
– set OPENSSL_CONF=C:\OpenSSL-Win64\bin\openssl.cfg
La figure suivante montre l'invite de commande avec les commandes :
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 187
Communication OPC UA
9.2 Sécurité avec OPC UA
7. Générez une clé privée. Enregistrez la clé dans le fichier "myKey.key". Dans l'exemple, la
longueur de la clé est de 1 024 bits ; dans la partique, utilisez 2 048 bits pour plus de
sécurité de RSA. Saisissez la commande suivante : "genrsa -out myKey.key 2048" ("genrsa -
out myKey.key 1024" dans l'exemple). La figure suivante montre l'invite de commandes
avec la commande et la sortie de OpenSSL :
8. Créez une demande CSR (Certificate Signing Request), c'est-à-dire une demande de
signature de certificat. Saisissez pour cela la commande suivante : "req -new -key myKey.key
-out myRequest.csr". Pendant l'exécution de cette commande, OpenSSL vous demande
quelques renseignements sur votre certificat :
– Country Name : par exemple "DE" pour Allemagne, "FR" pour France.
– State or Province Name : par "Bavière".
– Location Name : par exemple "'Augsbourg".
– Organisation Name : Entrez ici le nom de votre entreprise.
– Organisational Unit Name : par exemple "IT"
– Common Name : par exemple "Client OPC UA de la machine A"
– Email Address :
Remarque
Remarque concernant la CPU S7-1500 en tant que serveur avec la version de firmware
V2.5
Dans la version V2.5 (et uniquement cette version) des CPU S7-1500, l'adresse IP du
programme client doit figurer dans le champ "Autre nom du demandeur" (Subject Alternative
Name) du certificat créé, sinon, la CPU n'acceptera pas le certificat.
Vos informations sont insérées dans le certificat. La figure suivante montre l'invite de
commandes avec la commande et la sortie de OpenSSL :
Communication
188 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.2 Sécurité avec OPC UA
La commande crée un certificat X.509 avec les attributs que vous avez transmis avec la
demande CSR ("myRequest.csr" dans l'exemple) et une durée de validité d'un an (-days 365),
par exemple. De plus, la commande signe le certificat avec votre clé privée ("myKey.key" dans
l'exemple). Vos partenaires de communication peuvent vérifier au moyen de votre clé
publique (contenue dans votre certificat) que vous êtes en possession de la clé privée
correspondant à cette clé publique. Cela garantit également que votre clé publique n'a subi
aucune manipulation frauduleuse de la part d'un pirate informatique.
Avec un certificat auto-signé, vous confirmez vous-même que vos données figurant sur le
certificat sont correctes. Il n'existe aucune autorité indépendante qui authentifie vos
données.
Voir aussi
Manipulation des certificats de client de la CPU S7-1500 (Page 1)
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 189
Communication OPC UA
9.2 Sécurité avec OPC UA
Communication
190 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.2 Sécurité avec OPC UA
Couches requises
La figure suivante montre les trois couches, Couche Transport, Secure Channel et Session qui
sont toujours requises pour l'établissement d'une liaison.
• Couche transport :
Cette couche envoie et reçoit les messages. OPC UA fait recours à un protocole optimisé
de transmission de données binaires basé sur TCP à cet effet. La couche transport est la
base du Secure Channel suivante.
• Secure Channel
Secure Channel reçoit de la couche transport les données fournies et les transmet à
Session. Secure Channel transmet à la couche transport les données de la session à
envoyer.
En mode de sécurité "Signature", Secure Channel signe les données (messages) qui sont
envoyées. Secure Channel vérifie la signature des messages entrants pour identifier
d'éventuelles manipulations.
Pour la Security Policy "Signature et cryptage", Secure Channel signe et crypte les données
à envoyer. Secure Channel décrypte les données reçues. Secure Channel vérifie ensuite la
signature.
Pour la Security Policy "Aucune sécurité", les paquets de message traversent Secure
Channel sans modification (les messages sont envoyés et reçus en clair).
• Session
Session transfère les messages de Secure Channel à l'application ou reçoit de l'application
des messages à émettre. L'application utilise les valeurs du processus ou fournit les
valeurs.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 191
Communication OPC UA
9.2 Sécurité avec OPC UA
Établissement de session
La session est établie de la manière suivante :
1. Le client démarre l'établissement de session en envoyant une demande
CreateSessionRequest au serveur. Ce message contient un Nonce, c'est-à-dire un nombre
aléatoire à usage unique. Le serveur doit signer ce nombre aléatoire (Nonce) pour prouver
qu'il est vraiment le détenteur de la clé privée. associée au certificat que le serveur a utilisé
pour établir Secure Channel. Ce message (et tous les suivants) est sécurisé conformément
aux paramètres de sécurité du nœud d'extrémité choisi sur le serveur (stratégies de sécurité
Security Policys sélectionnées).
2. Le serveur répond avec la réponse CreateSession Response. Ce message contient la clé
publique du serveur ainsi que le Nonce signé. Le client vérifie le Nonce signé.
3. Quand le serveur a réussi le test, le client lui envoie une demande SessionActivateRequest.
Ce message contient les indications nécessaires pour authentifier l'utilisateur :
– soit le nom d'utilisateur et le mot de passe,
– soit le certificat X.509 de l'utilisateur (pas pris en charge dans STEP 7),
– soit aucune donnée (quand un accès anonyme est configuré).
4. Lorsque l'utilisateur possède les droits nécessaires, le serveur envoie un message
(ActivateSessionResponse) en retour au client. La session est alors activée.
La liaison sécurisée entre client et serveur OPC UA est établie.
Communication
192 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.2 Sécurité avec OPC UA
Discovery Server
Un client OPC UA a besoin, pour se connecter à un serveur OPC UA, d'informations sur son
point de terminaison, telles que l'URL du point de terminaison et la stratégie de sécurité. Si les
serveurs entrant en ligne de compte dans le réseau sont nombreux, la recherche et la gestion
de ces informations relatives au serveur peuvent être assurées par un Discovery Server.
• Les serveurs OPC UA s'inscrivent auprès du Discovery Server.
• Les clients OPC UA demandent au Discovery Server une liste des serveurs accessibles et se
connectent ensuite au serveur OPC UA souhaité.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 193
Communication OPC UA
9.2 Sécurité avec OPC UA
Communication
194 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.2 Sécurité avec OPC UA
① Appareil Root CA qui établit des certificats pour le système (ces certificats peuvent également
être transmis par d'autres voies, par ex. par e-mail)
② Serveur GDS OPC UA avec gestionnaire de certificats, qui génère ou signe les certificats d'appa-
reil, gère les listes de confiance et les listes de révocation de certificats (CRL) et écrit les certifi-
cats et les listes dans les appareils (fonction push). Pour la fonction push, cet appareil requiert la
fonctionnalité client OPC UA.
③ Appareil avec application OPC UA qui reçoit des certificats et listes via la fonction "push"
Concept de mise à jour automatisée de certificats pour STEP 7 à partir de la version V17
GDS et un gestionnaire de certificats sont typiquement combinés dans une application - dans
la figure ci-dessous il s'agit cependant de deux composants distincts.
Des appareils tels que des clients OPC UA "normaux" conviennent aussi comme gestionnaire
de certificats, à condition qu'ils prennent en charge le type de données Bytestring nécessaire
pour la transmission de certificats, comme par ex. une CPU S7-1500 à partir de la version de
firmware V2.9 comme client OPC UA ou l'outil UA Expert (Unified Automation) avec Plugin
GDS.
En tant que destinataire de certificats, le serveur OPC UA de la CPU S7-1500 met à disposition
les méthodes et attributs standardisés requis par le biais desquels les clients OPC UA peuvent
écrire et lire les certificats, les listes de confiance et les listes de révocation de certificats.
Le rôle principal de la CPU S7-1500 dans le contexte de serveur OPC UA réside dans la
description de la fonction push, contrairement au mode habituel de transfert de certificats sur
la CPU : Par chargement de la configuration matérielle.
La figure ci-dessous montre comment les certificats et les listes pour OPC UA peuvent être
transférés dans une CPU S7-1500 à partir du firmware V2.9 :
• Par chargement de la configuration matérielle à l'état ARRÊT de la CPU ; les certificats font
partie de la configuration matérielle.
• Ou par des méthodes push GDS à l'état de fonctionnement MARCHE ou ARRÊT de la CPU.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 195
Communication OPC UA
9.2 Sécurité avec OPC UA
Une utilisation simultanée des deux méthodes de transfert n'est pas possible.
Voir aussi
Certificats sur OPC UA (Page 1)
Exemple
Vous voulez garantir un accès au serveur OPC UA pour 62 clients OPC UA max. et remplir la
liste de confiance en conséquence.
Si vous copiez une entrée de la liste de révocation dans la liste de confiance, vous ne pouvez
plus faire confiance qu'à 61 certificats client max.
Il est impossible de transférer des certificats supplémentaires pour OPC UA en chargeant la
configuration matérielle dans la CPU.
Communication
196 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.2 Sécurité avec OPC UA
Conseil
Pour minimiser le nombre de certificats requis, nous vous recommandons de faire signer si
possible les certificats client OPC UA par la même autorité de certification.
Dans ce cas, la CPU requiert en tant que serveur OPC UA uniquement le certificat CA
correspondant et les LRC. Avec ces éléments, le serveur OPC UA peut alors vérifier tous les
certificats de client signés par l'autorité de certification. Vous n'avez alors plus besoin
d'ajouter les certificats de client individuellement dans la liste de confiance.
Conditions
• STEP 7 (TIA Portal) à partir de V17
• CPU S7-1500 à partir de la version de firmware V2.9
• L'heure/la date de la CPU sont définies (valable en général pour la communication à base
de certificats)
• Le serveur OPC UA est activé
• Au moins un nœud d'extrémité avec la stratégie de sécurité "Signature et cryptage" doit
être configuré et le partenaire doit utiliser ce nœud d'extrémité
• Un utilisateur authentifié avec des droits fonctionnels suffisants a été paramétré
L'utilisateur doit posséder un rôle qui comporte le droit fonctionnel "Gérer des certificats".
Ce droit fonctionnel doit par ailleurs répondre aux conditions suivantes :
– La protection du projet doit être activée dans le navigateur du projet : Navigateur du
projet : "Réglages Security > Paramètres > Protection du projet".
– Dans la zone "OPC UA > Général" des paramètres de la CPU, le paramètre suivant de la
gestion générale des utilisateurs doit être activé : "Activer une gestion des utilisateurs
supplémentaire via les paramètres de sécurité du projet".
La manière de paramétrer les droits de fonction est décrite au paragraphe Utilisateur et rôles
avec les droits de fonction OPC UA (Page 1).
Activer GDS
Si les conditions ci-dessus sont remplies, il faut encore activer GDS :
1. Naviguez dans la fenêtre d'inspection (paramètres de la CPU) jusqu'à la zone "OPC UA >
Serveur > Général".
2. Activez l'option "Activer les Global Discovery Services (Push)"
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 197
Communication OPC UA
9.2 Sécurité avec OPC UA
Chargement de la CPU
Lors du chargement de la configuration sur la CPU, vous pouvez supprimer, avant le
chargement, les certificats qui sont gérés via GDS. Lorsque vous validez la suppression, le
chargement est suivi d'une phase de mise à disposition (voir section sur la mise en service).
Si vous chargez la carte mémoire hors de la CPU (lecteur de carte mémoire), cette mémoire
de certificats est effacée.
Si les services GDS (push) sont activés et qu'il n'y a pas de certificats de type push, le serveur
OPC UA ne dispose ni de son propre certificat ni de listes de confiance et de révocation de
certificats.
Voir aussi
Mise en service GDS (Page 1)
Communication
198 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.2 Sécurité avec OPC UA
Condition
Seuls les utilisateurs autorisés avec des droits de fonction suffisants peuvent établir une
connexion dans la phase de mise à disposition. Les utilisateurs doivent avoir un rôle avec le
droit fonctionnel "Gérer les certificats".
Voir aussi Définition et chargement des paramètres GDS (Page 1).
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 199
Communication OPC UA
9.2 Sécurité avec OPC UA
Communication
200 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.2 Sécurité avec OPC UA
Vous ne pouvez utiliser les deux nœuds à des fins de diagnostic, comme indiqué dans la
figure, que lorsque les conditions requises pour GDS sont remplies (sécurité des points finals
"Signé et crypté", ainsi que droits fonctionnels d'administrateur disponibles).
ProvisioningModeEnabled : Indique qu'une phase de mise à disposition est prise en charge.
ProvisioningModeActive : Indique que le serveur OPC UA de la CPU se trouve en phase de
mise à disposition.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 201
Communication OPC UA
9.2 Sécurité avec OPC UA
IMPORTANT
Marche à suivre recommandée pour la génération de certificats
Il convient d'éviter autant que faire se peut le transport de clés privées ; une clé privée ne
doit si possible pas quitter l'appareil.
C'est la raison pour laquelle nous recommandons de générer les certificats sans génération
d'une nouvelle paire de clés ou de générer la paire de clés en interne sur la CPU.
Communication
202 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.2 Sécurité avec OPC UA
IMPORTANT
Clés différentes pour des systèmes cibles différents
Pour un système de production, utilisez toujours des clés nouvellement générées. Si vous
simulez et testez votre projet sur votre PC avec PLCSIM Advanced, par exemple, n'utilisez en
aucun cas les clés utilisées pour la simulation pour un système de production.
Limitez l'accès aux automates basés sur PC par la configuration d'autorisations appropriées.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 203
Communication OPC UA
9.2 Sécurité avec OPC UA
Conditions
Pour visualiser les méthodes et attributs pertinents de la fonctionnalité push GDS, il faut que
les conditions suivantes soient remplies :
• GDS est activé
• La stratégie de sécurité des données prend en charge l'intégrité et la confidentialité des
données par signature et cryptage (Sign & Encrypt)
• Accès avec droit fonctionnel en cours d'exécution "Gérer les certificats".
Communication
204 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.2 Sécurité avec OPC UA
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 205
Communication OPC UA
9.2 Sécurité avec OPC UA
CreateSigningRequest
Cette méthode possède les paramètres suivants :
Communication
206 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.2 Sécurité avec OPC UA
UpdateCertificate
Cas d'application :
• Génération de certificats avec CreateSigningRequest. Pas de clé privée mise à disposition.
• Une nouvelle clé privée et un nouveau certificat ont été générés hors du serveur. Les deux
sont mis à jour par UpdateCertificate.
• Certificat généré et signé avec la clé privée du certificat existant. Pas de clé privée mise à
disposition.
Apply Changes
La méthode ne possède pas de paramètres.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 207
Communication OPC UA
9.2 Sécurité avec OPC UA
GetRejectedList
Cette méthode possède les paramètres suivants :
Vous pouvez modifier le Display Name du groupe "OpcUaServerGroup" sous STEP 7 (TIA
Portal) :
1. Naviguez dans la fenêtre d'inspection (paramètres des propriétés de la CPU) jusqu'à la zone
"OPC UA > Serveur > Certificats".
2. Sélectionnez l'option "Utiliser les certificats qui sont gérés en cours d'exécution par le serveur
de gestion des certificats".
3. Modifiez le nom (DisplayName) du groupe de certificats dans le tableau au-dessous.
1 à 64 caractères au format ASCII 7 bits sont autorisés.
Communication
208 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.2 Sécurité avec OPC UA
Nœuds "CertificateTypes"
La variable "CertificateTypes" spécifie les NodeIds des types de certificat qui sont affectés à
l'application serveur.
Actuellement seul "RsaSha256ApplicationCertifcateType" est pris en charge.
Noeud "TrustList"
Le nœud de l'objet Listes de confiance (fichier TrustList) définit un type de fichier OPC UA
(Binary encoded stream) qui renseigne sur les certificats et CRL du répertoire "pki
store\trusted/issuer" de la carte mémoire qui peuvent être lus et mis à jour. Ce nœud met à
disposition des méthodes et attributs qui permettent la lecture et la mise à jour.
Ce nœud est une instance du type de données OPC UA "TrustListDataType" structuré comme
suit :
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 209
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Communication
210 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 211
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Classes de nœud
Les serveurs OPC UA mettent des informations à disposition sous forme de nœuds (Nodes).
Un nœud peut être par exemple un objet, une variable, une méthode ou une propriété.
L'exemple ci-dessous montre la plage d'adresses du serveur OPC UA d'une CPU S7-1500
(extrait du client OPC UA "UaExpert" de Unified Automation).
Figure 9-7 Exemple de plage d'adresses du serveur OPC UA d'une CPU S7-1500
Communication
212 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Plage d'adresses
Les nœuds sont reliés entre eux par des références, par exemple par la référence
"HasComponent" qui traduit le rapport hiérarchique existant entre un nœud et ses nœuds
subordonnés. Les nœuds constituent, par leurs références, un réseau qui peut par exemple
prendre la forme d'une arborescence.
Un réseau composé de nœuds est également appelé plage d'adresses. Tous les nœuds dans la
plage d'adresses sont accessibles à partir de la racine.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 213
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Remarque
Sélectionner un nœud d'extrémité avec la stratégie de sécurité la plus élevée possible
Sélectionnez pour les nœuds d'extrémité une stratégie de sécurité (Security Policy)
suffisamment élevée pour l'application et désactivez la stratégie de sécurité la plus faible sur
le serveur OPC UA.
Un certificat Sha256 est nécessaire pour les nœuds d'extrémité les plus sécurisés
(Basic256Sha256) du serveur OPC UA de la CPU S7-1500.
L'établissement d'une liaison vers un nœud d'extrémité du serveur n'est réalisé que si le client
OPC UA remplit les paramètres de sécurité requis pour le nœud d'extrémité correspondant.
Communication
214 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 215
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Communication
216 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Exemples
• Vous souhaitez ajouter un bloc de code supplémentaire au programme.
Ni les bloc de données, ni les entrées, sorties, mémento, temporisations ou compteurs ne
sont concernés.
Réaction lors du chargement : un serveur OPC UA en cours d'exécution n'est pas
interrompu.
• Vous souhaitez charger un nouveau bloc de données et vous avez marqué ce bloc de
données comme non significatif pour OPC UA.
Réaction lors du chargement : un serveur OPC UA en cours d'exécution n'est pas
interrompu.
• Vous voulez écraser un bloc de données.
Réaction lors du chargement : un avertissement s'affiche signalant le redémarrage du
serveur.
Cause : STEP 7 ne peut pas déterminer si les modifications se rapportent à des données
significatives pour OPC UA ou non.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 217
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Outre l'état de fonctionnement de la CPU, vous pouvez, par exemple, également lire des
informations sur le manuel (DeviceManual) ou la version de firmware (HardwareRevision).
Communication
218 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Figure 9-10 Autorisation de variables API et de variables DB pour les variables OPC UA
Les clients OPC UA peuvent lire le tableau entièrement en une seule fois (voir Adressage des
nœuds (Page 1)). Les cases "Accessible depuis IHM/OPC UA" et "Écriture autorisée à partir de
IHM/OPC UA" sont cochées pour tous les éléments du tableau.
Conséquence : les clients OPC UA ont aussi bien le droit de lire que d'écrire ces éléments.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 219
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Règles
• Dans STEP 7, n'autorisez les accès en lecture aux variables API et aux variables de blocs de
données que lorsque cela est nécessaire pour la communication avec d'autres systèmes
(automates, systèmes intégrés, MES).
N'autorisez pas d'autres variables API.
• N'autorisez les accès en écriture par OPC UA que lorsque cela est réellement nécessaire
pour certaines variables API et variables de blocs de données.
• Lorsque vous avez désactivé l'option "Accessible depuis HMI/OPC UA" pour tous les
éléments d'un bloc de données, ce bloc n'est plus visible pour un client OPC UA dans la
plage d'adresses du serveur OPC UA de la CPU S7-1500.
• Vous pouvez également empêcher de manière centralisée l'accès à un bloc de données
complet (voir Gestion des droits en écriture et en lecture pour DB complet (Page 1)). Ce
réglage l'emporte sur les paramètres des éléments dans l'éditeur de DB.
Voir aussi
Coordination des droits de lecture et d'écriture pour les variables CPU (Page 1)
Communication
220 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Marche à suivre
Pour masquer complètement un bloc de données envers les clients OPC UA, c'est-à-dire pour
protéger un bloc de données des accès en écriture de clients OPC UA, procédez comme suit :
1. Sélectionnez le bloc de données à protéger dans le navigateur du projet.
2. Choisissez la commande "Propriétés" dans le menu contextuel.
3. Sélectionnez la zone "Attributs".
4. Activez ou désactivez la case à cocher "Accessible depuis OPC UA" selon vos besoins.
Figure 9-11 Masquer des DB ou des contenus de DB pour les clients OPC UA
Remarque
Influence sur les paramètres de l'éditeur de DB
Si vous masquez un bloc de données par l'attribut de bloc de données décrit ici, tous les
paramètres des éléments dans l'éditeur de DB ne sont plus pertinents ; il n'est plus possible de
décrire les différents éléments ou d'y accéder.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 221
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
9.3.2.3 Coordination des droits de lecture et d'écriture pour les variables CPU
Communication
222 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Exemple
• AccessLevel = 1 (read only) sur l'interface serveur OPC UA
• Les attributs "Accessible depuis IHM/OPC UA" et "Ecriture autorisée à partir de IHM/OPC UA"
sont activés dans la table de variables API.
Résultat : La variable peut uniquement être lue.
Règles
Lorsque des droits d'écriture sont requis :
• AccessLevel = 2 ou 3
• "Ecriture autorisée à partir de IHM/OPC UA" activé
Lorsque des droits de lecture sont requis :
• AccessLevel = 1 (AccessLevel 3 également possible, mais ambigu. Ce réglage insinue
qu'un client OPC UA possède des droits de lecture et d'écriture)
• "Accessible depuis IHM/OPC UA" activé, "Ecriture autorisée à partir de IHM/OPC UA"
désactivé
Lorsque vous ne souhaitez attribuer ni des droits de lecture, ni des droits d'écriture (aucun
accès) :
• AccessLevel = 0
• "Accessible depuis IHM/OPC UA" désactivé
Pour interdire tout accès, il suffit que l'une des deux conditions soit remplie. Dans ce cas,
réexaminez si la variable dans l'interface serveur OPC UA est vraiment indispensable.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 223
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Table d'accès
Le préalable à tout accès est l'activation de l'attribut "Accessible depuis IHM/OPC UA".
L'attribut "Ecriture autorisée à partir de IHM/OPC UA" doit être activé pour qu'un client OPC UA
puisse écrire dans une variable / un élément de bloc de données.
Pour le droit d'accès résultant, référez-vous au tableau suivant.
OPC UA-XML STEP 7 (TIA Portal) par ex. table des variables
AccessLevel Accessible depuis Ecriture autorisée à Droit d'accès résultant
IHM/OPC UA partir de IHM/OPC UA
0 x x Aucun accès
x 0 x Aucun accès
1 activé x Read only
2 activé Désactivé Aucun accès
3 activé Désactivé Read only
2 activé activé Write only
3 activé activé Read+write
(x = don't care)
Voir aussi
Cohérence des variables CPU (Page 1)
Gestion des droits de lecture et d'écriture (Page 1)
Communication
224 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Exemples
Une variable OPC UA (structure) est accessible en lecture et écriture, mais incohérente pour
un accès en lecture et écriture.
En conséquence : les bits 0, 1, 8 et 9 sont mis à 1 : AccessLevelEx = "771" (1+2+256+512).
Une autre structure est uniquement accessible en lecture.
En conséquence : les bits 0 et 8 sont mis à 1, les bits 1 et 9 ne sont pas mis à 1 :
AccessLevelEx = "257" (1+0+256+0).
Exportation
Lors de l'exportation XML de l'interface serveur SIMATIC standard, le serveur donne la valeur
de l'attribut "AccessLevelEx" à l'attribut "AccessLevel" qui, à la différence de la spécification
V1.03, a été étendu à 32 bits dans la version V1.04.
Importation
Lors de l'importation d'un fichier Nodeset (par exemple à partir d'un fichier d'exportation
d'une interface de serveur), la CPU S7-1500 règle l'attribut "AccessLevelEx" d'après les
informations dont elle dispose pour assurer la cohérence du type de données importé, voir
section suivante. La valeur importée est ignorée.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 225
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Les variables des types de données suivants ne sont pas cohérents (dans le langage OPC UA :
"nonatomic") :
• De manière générale, les structures SIMATIC ne sont pas cohérentes. C'est-à-dire que
toutes les variables qui sont par exemple des structures sans nom ou ont un type de
données UDT ne sont pas cohérentes.
• Les types de données système, comme par exemple DTL, IEC_Counter, IEC_TIMER, etc. Il
s'agit de types de données dérivés de structures.
Astuce : Lorsque vous naviguez dans la plage d'adresses de la CPU S7-1500 (par ex. avec le
client OPC UA UaExpert), vous trouvez les types de données basés sur de structures sous
Types > BaseDataType > Structure.
Communication
226 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 227
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Remarque
Les méthodes de serveur sont comprises avec leurs paramètres d'entrée et de sortie dans le
fichier d'exportation OPC UA (Nodeset) à partir de STEP 7 (TIA Portal) V15.1.
Communication
228 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Conseil
Dans la FAQ suivante, vous trouverez un convertisseur qui vous permettra de convertir le
fichier d'exportation au format CSV. Vous obtenez ainsi une liste des variables de la CPU
accessibles pour OPC UA.
Vous trouverez le FAQ sur Internet
(https://support.industry.siemens.com/cs/ww/fr/view/109742903).
Condition
• Vous devez veiller, lorsque vous utilisez des certificats pour la communication sécurisée
(par exemple, HTTPS, Secure OUC, OPC UA), à ce que les modules concernés disposent
bien de la date et de l'heure actuelles. Si ce n'est pas le cas, les modules considéreront
les certificats utilisés comme non valides et la communication sécurisée ne fonctionnera
pas.
• Vous avez acquis une licence Runtime pour exploiter les fonctions OPC UA, voir Licences
pour OPC UA (Page 1).
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 229
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Nom d'application
Le nom d'application est le nom de l'application OPC UA. Il est valable pour le serveur et le
client. Il s'affiche sous "OPC UA > Général" :
• Le nom d'application par défaut est "SIMATIC.S7-1500.OPC-UA.Application:PLC_1".
• Ce nom par défaut est composé de "SIMATIC.S7-1500.OPC-UA.Application:" et du nom de
la CPU tel qu'il a été choisi sous "Général > Information produit > Nom" ("PLC_1" dans cet
exemple).
• Le serveur OPC UA s'identifie par le biais de ce nom d'application auprès d'un partenaire de
communication (client OPC UA), par exemple lorsqu'un client OPC UA utilise le service
Discovery pour rechercher des serveurs accessibles.
• Le client OPC UA de la CPU utilise le nom d'application affiché lors de l'établissement de la
liaison à un serveur OPC UA. La CPU inscrit en fait ce nom d'application automatiquement
comme "ApplicationName" dans l'instruction "OPC_UA_Connect" (variable de type
"OPC_UA_SessionConnectInfo" dans le paramètre "SessionConnectInfo" de l'instruction
"OPC_UA_Connect").
C'est pourquoi vous devez, lors de la programmation de l'instruction "OPC_UA_Connect",
affecter une chaîne de caractères vide à "ApplicationName". Le nom d'application vous
permet, par exemple, d'identifier le client et ses sessions (SessionNames) à des fins de
diagnostic.
Lorsque vous avez activé le serveur, vous pouvez également utiliser un autre nom qui sera
plus explicite et qui remplira les conditions en vigueur dans votre projet pour une univocité
universelle par exemple.
L'exemple suivant provient de UaExpert :
Communication
230 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Adresses de serveur
L'accès au serveur OPC UA de la CPU S7-1500 est possible via toutes les interfaces PROFINET
intégrées de la CPU (à partir de la V2.0 du firmware).
Les CP permettent d'accéder directement au serveur OPC UA de la CPU par le biais du bus
interne du système d'automatisation dans les conditions suivantes :
• Configuration avec TIA Portal à partir de la version V16 CPU S7-1500 à partir de la version
de firmware V2.8, ainsi que CP 1543-1 à partir de la version de firmware V2.2
Pour la configuration, voir Accès aux applications OPC UA (Page 1).
Les CM ne permettent pas d'accéder directement au serveur OPC UA de la CPU par le biais du
bus interne du système d'automatisation.
Pour les automates SIMATIC S7-1500 SW, le serveur OPC UA est accessible par les interfaces
PROFINET qui sont affectées à l'API logiciel.
D'autres possibilités d'accès des contrôleurs logiciel sont décrits dans l'exemple d'application
suivant : Couplage OPC UA interne et externe via l'interface Ethernet virtuelle du contrôleur
logiciel à partir de la version V2.5
(https://support.industry.siemens.com/cs/ww/fr/view/109760541).
Exemple d'URL (Uniform Resource Locator) via lesquels il est possible d'établir des connexions
au serveur OPC UA de la CPU :
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 231
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Adresses IP dynamiques
Dans l'exemple suivant, l'adresse IP de l'interface PROFINET [X2] n'est pas encore définie.
Communication
232 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Remarque
Informations générales sur les appareils lisibles y compris lorsque l'interface serveur
SIMATIC standard est désactivée
Les informations générales sur les appareils relatives au serveur OPC UA de la CPU restent
lisibles pour les clients OPC UA, même lorsque vous désactivez l'interface serveur SIMATIC
standard.
Exemples de ce type d'informations sur les appareils : DeviceManual, DeviceRevision,
OrderNumber. Dans ce cas, tous les objets du programme utilisateur restent cependant
invisibles pour les clients.
Si vous souhaitez empêcher que ces informations sur l'appareil soient visibles, vous devez
désactiver le serveur OPC UA de la CPU.
Vous trouverez une vue d'ensemble des protocoles pris en charge et des numéros de port
utilisés des CPU S7-1500 au chapitre Protocoles de communication et numéros de port
utilisés pour communication Ethernet (Page 1).
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 233
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Remarque
Aucun message d'erreur en cas de tentative d'enregistrer plus de nœuds que le nombre
maximal de nœuds enregistrables configuré
Lorsqu'un client souhaite enregistrer plus de nœuds que le nombre maximal de nœuds
enregistrables configuré pendant l'exécution, le serveur de la CPU S7-1500 n'enregistre que le
nombre maximal configuré. Au-delà du nombre maximal de nœuds enregistrables configuré,
le serveur répond au client avec les ID StringNode normales sans modification, annihilant
ainsi les gains de vitesses liés à l'enregistrement pour ces nœuds. Le client ne reçoit aucun
message d'erreur.
Lors de la configuration, prévoyez une réserve suffisante. Tenez compte à cet effet du
nombre maximal de nœuds enregistrables (par exemple, par le biais des caractéristiques
techniques de la CPU).
Communication
234 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 235
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Dans cet exemple, le serveur OPC UA envoie un nouveau message toutes les 200 ms en cas
de changement, si le client OPC UA demande une mise à jour.
Si le client OPC UA demande une mise à jour toutes les 1 000 ms, par exemple, le serveur
OPC UA n'envoie un message avec les nouvelles valeurs qu'une fois par 1 000 ms (une
seconde).
Si le client OPC UA demande une mise à jour toutes les 100 ms, le serveur ne l'envoie quand
même que toutes les 200 ms (intervalle d'émission minimal).
Communication
236 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Voir aussi
Règles relatives aux souscriptions (Page 1)
Diagnostiquer les abonnements (Page 1)
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 237
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Communication
238 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Client du S7-1500
Lorsque vous utilisez le client OPC UA d'une CPU S7-1500 (client OPC UA activé), vous pouvez
générer des certificats pour ces clients avec STEP 7 à partir de V15 :
1. Sélectionnez la CPU agissant comme client dans le navigateur du projet.
2. Double-cliquez sur "Configuration de l'appareil"
3. Dans les propriétés de la CPU, cliquez sur "Protection & sécurité > Gestionnaire de
certificats".
4. Dans le tableau "Certificats d'appareil", double-cliquez sur "<ajouter nouveau>".
STEP 7 ouvre une boîte de dialogue.
5. Cliquez le bouton "Ajouter".
6. Dans la liste, sélectionnez l'entrée "Client OPC UA" comme "Utilisation".
Attention :
Les adresses IP sous lesquelles la CPU est accessible dans votre installation doivent être
saisies sous "Autre nom du demandeur de certificat (SAN)".
Vous devez donc configurer les interfaces IP de la CPU avant de créer un certificat de
client.
7. Cliquez sur "OK".
STEP 7 affiche maintenant le certificat de client dans le tableau "Certificats d'appareil".
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 239
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
8. Cliquez avec le bouton droit de la souris sur cette ligne et sélectionnez la commande
"Exporter le certificat" dans le menu contextuel.
9. Sélectionnez un répertoire dans lequel vous enregistrez le certificat de client.
Communication
240 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
IMPORTANT
Paramétrage après la mise en service
Pour éviter les risques liés à la sécurité, désactivez l'option "Accepter automatiquement tous
les certificats de client pendant l'exécution" après la mise en service.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 241
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Par défaut, le certificat de serveur créé utilise la signature SHA256. Les stratégies de sécurité
suivantes sont autorisées :
• Aucune
Nœud d'extrémité non sécurisé
Remarque
Désactiver les stratégies de sécurité non souhaitées
Si vous avez activé toutes les stratégies de sécurité dans les paramètres Secure Channel du
serveur OPC UA du S7-1500 (paramétrage par défaut) – et donc également le nœud
d'extrémité "Aucune Security" –, l'échange de données même non sécurisé (ni signé ni
crypté) est possible entre serveur et client. Avec "Pas de Security", l'identité du client reste
inconnue. Chaque client OPC UA peut alors se connecter au serveur indépendamment des
paramètres Security à venir.
Lors de la configuration du serveur OPC UA, veillez à ce que seules soient activées des
stratégies de sécurité compatibles avec le concept de sécurité mis en œuvre dans votre
machine ou installation. Toutes les autres stratégies de sécurité doivent être désactivées.
Recommandation : Utilisez, si possible, le paramètre "Basic256Sha256".
Communication
242 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
• Basic128Rsa15 - Signature
Nœud d'extrémité sécurisé, prend en charge une série d'algorithmes qui utilisent
l'algorithme de hachage RSA15 et le cryptage 128 bits.
Ce nœud d'extrémité garantit l'intégrité des données en les signant.
• Basic128Rsa15 - Signer crypter
Nœud d'extrémité sécurisé, prend en charge une série d'algorithmes qui utilisent
l'algorithme de hachage RSA15 et le cryptage 128 bits.
Ce nœud d'extrémité garantit l'intégrité et la confidentialité des données en les signant et
en les cryptant.
• Basic256Rsa15 - Signature
Nœud d'extrémité sécurisé, prend en charge une série d'algorithmes qui utilisent
l'algorithme de hachage RSA15 et le cryptage 256 bits.
Ce nœud d'extrémité garantit l'intégrité des données en les signant.
• Basic256Rsa15 - Signer crypter
Nœud d'extrémité sécurisé, prend en charge une série d'algorithmes qui utilisent
l'algorithme de hachage RSA15 et le cryptage 256 bits.
Ce nœud d'extrémité garantit l'intégrité et la confidentialité des données en les signant et
en les cryptant.
• Basic256Sha256 - Signature
Nœud d'extrémité sécurisé, prend en charge une série d'algorithmes pour le hachage
256 bits et le cryptage 256 bits.
Ce nœud d'extrémité garantit l'intégrité des données en les signant.
• Basic256Sha256 - Signer crypter
Nœud d'extrémité sécurisé, prend en charge une série d'algorithmes pour le hachage
256 bits et le cryptage 256 bits.
Ce nœud d'extrémité garantit l'intégrité et la confidentialité des données en les signant et
en les cryptant.
Pour activer un paramétrage de sécurité, cliquez sur la case dans la ligne respective.
Remarque
Quand vous utilisez les paramètres "Basic256Sha256 - Signature" et "Basic256Sha256 - Signer
crypter", il faut que le serveur OPC UA et les clients OPC UA utilisent des certificats signés avec
"SHA256".
Pour les paramètres "Basic256Sha256 - Signature" et "Basic256Sha256 - Signer crypter",
l'autorité de certification de STEP 7 signe les certificats automatiquement avec "SHA256".
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 243
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Stratégie de sécurité "Aucune Security" et authentification par nom d'utilisateur et mot de passe
Vous pouvez définir la combinaison suivante :
Stratégie de sécurité "Aucune Security" et authentification par nom d'utilisateur et mot de
passe.
• Le serveur OPC UA du S7-1500 prend en charge cette combinaison. Les clients OPC UA
peuvent se connecter et crypter ou non les données d'identification.
• Le client OPC UA de la CPU S7-1500 prend également en charge cette combinaison.
Pendant l'exécution, il ne se connecte cependant que s'il peut envoyer les données
d'authentification cryptées sur la ligne.
Voir aussi
Création de certificats de serveur avec STEP 7 (Page 1)
Communication
244 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
3. Le dialogue de création de certificats s'affiche (figure suivante). Les valeurs sont déjà entrées
pour un exemple :
4. Utilisez d'autres paramètres si cela est nécessaire selon les instructions de sécurité de votre
entreprise ou du donneur d'ordre.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 245
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Communication
246 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
• Utilisation
Le réglage par défaut est "Client et serveur OPC UA" Conservez ce réglage par défaut pour
le serveur OPC UA. La boîte de dialogue "Générer un nouveau certificat" peut être appelée
à partir de plusieurs endroits dans STEP 7. Si vous l'appelez pour le serveur Web de la CPU,
par exemple, c'est "Serveur Web" qui sera indiqué sous "Utilisation". La liste déroulante
pour l'utilisation propose les entrées suivantes :
– "Client OPC UA"
– "Client et serveur OPC UA"
– "Serveur OPC UA"
– "TLS"
– "Serveur Web"
• Autre nom du demandeur de certificat (SAN)
L'exemple ci-dessus indique : "URI:urn:SIMATIC.S7-1500.OPC-
UAServer:PLC1,IP:192.168.178.151,IP:192.168.1.1". Cette URI doit être correctement
saisie, car elle sera comparée à la description d'application transmise.
L'entrée suivante serait également valide : "IP : 192.168.178.151, IP : 192.168.1.1".
L'important est de mentionner ici les adresses IP donnant accès au serveur OPC UA de la
CPU.
Voir "Accès au serveur OPC UA (Page 1)".
Ainsi, les clients OPC UA peuvent vérifier si une liaison doit réellement être établie avec le
serveur OPC UA de la S7-1500, ou si, éventuellement, un attaquant tente d'envoyer des
valeurs manipulées au client OPC UA à partir d'un autre PC.
Remarque
Pour renforcer la sécurité, n'autorisez l'accès au serveur OPC UA qu'après l'authentification
de l'utilisateur.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 247
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Voir aussi
Authentification de l'utilisateur (Page 1)
Utilisateur et rôles avec les droits de fonction OPC UA (Page 1)
Communication
248 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Condition
Afin d'éditer les paramètres de sécurité, le projet doit être protégé et vous devez être
connecté au système avec des droits d'utilisateur suffisants, par exemple en tant
qu'administrateur.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 249
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Communication
250 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
3. Vous disposez des droits de fonction suivantes dans la zone "Droits de fonction" :
– Accès serveur OPC UA
Ce droit de fonction se répercute sur le serveur OPC UA de la CPU S7-1500. Cette
option doit être sélectionnée pour que l'utilisateur ayant pour rôle "PLC-opcua-role-all-
inclusive" puisse transférer en cours d'exécution des certificats, CRL ou listes de
confiance sur la CPU (fonction push). Ce droit de fonction est nécessaire à la gestion
automatisée des certificats, par ex. dans le cadre de GDS (Global Discovery Service).
– Gestion des certificats
Ce droit de fonction se répercute sur le serveur OPC UA de la CPU S7-1500. Cette
option doit être activée pour que l'utilisateur ayant pour rôle "PLC-opcua-role-all-
inclusive" puisse transférer en cours d'exécution des certificats, CRL ou listes de
confiance sur la CPU (fonction push). Ce droit de fonction est nécessaire à la gestion
automatisée des certificats, par ex. dans le cadre de GDS (Global Discovery Service).
– Authentification de l'utilisateur du client OPC UA
Ce droit de fonction se répercute sur le client OPC UA de la CPU S7-1500 (sur les
instructions client). Cette option doit être sélectionnée pour que l'utilisateur ayant pour
rôle "PLC-opcua-role-all-inclusive" puisse utiliser son nom d'utilisateur et mot de passe
pour s'authentifier auprès du serveur en vue de l'ouverture d'une session.
Remarque
"Durée de session" pour utilisateurs possédant des droits de fonction OPC UA
Les valeurs de la colonne "Durée de session" dans le tableau de configuration des
utilisateurs ne sont pas exploitées par la CPU pour les droits Runtime OPC UA.
Les utilisateurs ne sont donc pas automatiquement déconnectés après une période
définie. Utilisez pour cela les mécanismes spécifiques à OPC UA, par exemple le paramètre
"Durée de session maximale" (zone OPC UA > Serveur > Paramètres).
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 251
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Diagnostic
Vous pouvez définir l'étendue du diagnostic du serveur OPC UA dans les paramètres de la
CPU.
Pour modifier l'étendue du diagnostic, naviguez jusqu'à la section "OPC UA > Serveur >
Diagnostic".
Communication
252 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Licences Runtime
Une licence est nécessaire pour utiliser le serveur OPC UA de la CPU S7-1500. Le type de
licence requise dépend de la puissance de la CPU en question. On distingue les types de
licence suivants :
• SIMATIC OPC UA S7-1500 small (requise pour les CPU 1511, CPU 1512, CPU 1513, CPU ET
200SP, CPU 1515SP PC)
• SIMATIC OPC UA S7-1500 medium (requise pour les CPU 1515, CPU 1516, contrôleur
logiciel CPU 1507, CPU 1516pro-2PN)
• SIMATIC OPC UA S7-1500 large (requise pour les CPU 1517, CPU 1518)
Le type de licence requise est affiché dans "Propriétés > Général > Licences Runtime > OPC UA
> Type de licence requise" :
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 253
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Définition
Une interface serveur regroupe les nœuds d'une plage d'adresses OPC UA d'une CPU en une
unité, mettant ainsi à disposition des clients OPC UA une vue spécifique sur cette CPU.
Chaque interface serveur définit un ou plusieurs espaces de noms dans le serveur OPC UA de
la CPU.
STEP 7 (TIA Portal) distingue les types suivants d'interfaces serveur :
• Spécification Companion
Vous utilisez pour ce type d'interface serveur une spécification Companion créée par un
groupe de travail, par exemple.
Le groupe de travail se compose typiquement de membres de la Fondation OPC et d'une
autre organisation industrielle qui ont défini ensemble un modèle d'information OPC UA
dans un but précis (par exemple, pour l'échange de données avec des appareils RFID ou
avec des machines de moulage par injection).
Ce modèle d'information est réalisé sous forme de nœuds OPC UA dans la plage d'adresses
d'un serveur OPC UA. Les clients OPC UA peuvent accéder à ces nœuds OPC UA.
Vous pouvez également utiliser le type d'interface serveur "Spécification Companion" pour
charger des modèles d'information créés dans votre entreprise avec l'outil SiOME, par
exemple.
Si vous mettez en œuvre une spécification Companion précise dans votre projet, vous
appliquez les définitions de cette spécification Companion en tant qu'interface serveur
dans votre projet.
Pour les interfaces serveur de type Spécification Companion, vous pouvez importer
plusieurs espaces de noms utilisés par la spécification Companion.
Vous trouverez ici (Page 1) d'autres informations sur les spécifications Companion.
Communication
254 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 255
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Introduction
OPC UA est utilisable de manière universelle : Le standard lui-même ne dit pas comment
désigner les variables API. Ainsi, la programmation et la désignation des méthodes de serveur
appelables via OPC UA sont laissées à l'appréciation de chaque utilisateur (développeur
d'application).
Communication
256 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Le chapitre suivant décrit, en prenant pour exemple Euromap 77, comment vous pouvez
intégrer une spécification Companion dans STEP 7 (TIA Portal) et créer des variables API à cet
effet.
Remarque
EUROMAP et la Fondation OPC ont établi le Joint Working Group "OPC UA Plastics and
Rubber Machinery".
Les recommandations EUROMAP existantes 77 (data exchange between injection moulding
machines and MES), 82.1 (temperature control devices) et 83 (general definitions) ont été
publiées sous l'égide neutre de la Fondation OPC en tant qu'OPC 40077, 40082-1 et 40083.
Le changement majeur est la modification de l'espace de noms, par ex. pour EUROMAP 77 :
Actuellement "http://opcfoundation.org/UA/PlasticsRubber/IMM2MES/".
Les exemples énumérés ci-après utilisent les désignations et renvois valables jusqu'ici.
Remarque
Euromap 77, Euromap 83 et OPC UA for Devices (DI)
Avec la Release Candidate 2, une partie des définitions a été transférée de Euromap 77 vers
Euromap 83 (actuellement OPC 40083). C'est pourquoi vous devez aussi importer l'interface
serveur OPC UA de Euromap 83.
"OPC UA for Devices" est un modèle d'information universel pour la configuration de
matériels et de logiciels. Servant aussi de base à d'autres standards Companion, ce modèle
d'information est également importé.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 257
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Communication
258 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Remarque
La description suivante présente les étapes dans SiOME 1.7.3.
Les versions suivantes de SiOME simplifient la création de DB, structures, variables ou
méthodes correspondants dans le programme utilisateur. Vous pouvez par ex. transférer des
données par glisser-déposer de SiOME vers TIA Portal (programme utilisateur). Les variables
etc. sont déjà correctement mappées ou les éléments FB correspondants sont également
générés correctement pour les méthodes dans le programme utilisateur.
Téléchargez la version actuelle de SiOME sous le lien de téléchargement indiqué ci-dessus et
suivez les instructions dans la documentation qui y est fournie.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 259
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Communication
260 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 261
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Communication
262 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Étape 2 : Créer des variables API dans STEP 7 pour l'instance Euromap 77
Pour Euromap 77, vous devez fournir dans votre programme utilisateur des variables API et
des méthodes de serveur qui correspondent à l'instance de type "IMM_MES_InterfaceType".
Procédez comme suit pour créer des variables API pour l'instance de type
"IMM_MES_InterfaceType".
1. Créez un type de données utilisateur (UDT).
La figure suivante montre un exemple de début du type de données utilisateur
"InjectionUnit".
Ce type de données a la même structure que "InjectionUnit" dans le type
"IMM_MES_InterfaceType".
Veillez à utiliser des types de données SIMATIC qui sont compatibles avec les types de
données OPC UA (voir "Correspondances des types de données" ci-après).
Résultat
Vous avez créé une variable pour Euromap 77 dans le bloc de données
"IMM_Manufacturer_01234" de votre projet STEP 7.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 263
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Communication
264 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
5. Modifiez le nom de l'interface serveur afin qu'il soit évocateur dans le projet.
Le nom doit avoir la structure suivante selon Euromap 77 :
"IMM_<constructeur>_<numéro de série>".
L'exemple utilise le nom "IMM_Manufacturer_01234".
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 265
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Communication
266 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
8. Faites glisser les éléments OPC UA de la partie droite (éléments OPC UA) dans la partie
gauche du tableau (interface serveur OPC UA), afin que ces éléments (variables API locales)
soient associés aux nœuds OPC UA correspondants d'Euromap 77.
La figure suivante montre un extrait de l'affectation des données locales (variables API)
aux nœuds OPC UA d'Euromap 77 :
IMPORTANT
Vérifier la présence de nœuds de l'interface serveur OPC UA dans le mappage des
données locales
Si des affectations non valides (mappages) existent dans l'interface de serveur, cela peut
entraîner des opérations de lecture et d'écriture incorrectes. Vérifiez les affectations et
effectuez un contrôle de cohérence.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 267
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Communication
268 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Vous pouvez uniquement générer des nœuds qui peuvent être mappés sur les données
locales, et donc pas d'objets, de dossiers, de méthodes ou d'arguments d'entrée/sortie de
méthodes.
Après avoir cliqué sur le bouton ou sélectionné le menu contextuel, vous devez indiquer dans
la boîte de dialogue suivante si les données locales doivent être créées dans un nouveau bloc
de données ou dans un bloc existant.
Contrôle de cohérence
Vous avez la possibilité de vérifier la cohérence de l'interface serveur.
STEP 7 (TIA Portal) vérifie alors si des variables API (blocs de données) avec des types de
données SIMATIC compatibles sont affectées aux nœuds OPC UA de l'interface serveur.
Pour contrôler la cohérence de l'interface serveur, cliquez sur l'icône suivante dans la barre
d'outils de l'éditeur de l'interface serveur OPC UA :
Exporter interface
Vous avez la possibilité d'exporter l'interface serveur OPC UA dans un fichier XML. Ce fichier
XML contient toutes les définitions de type de données référencées par l'interface serveur.
Pour exporter l'interface serveur OPC UA, cliquez sur l'icône suivante dans la barre d'outils de
l'éditeur de l'interface serveur OPC UA :
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 269
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Introduction
Cette description est basée sur l'exemple suivant :
Une enceinte de protection entoure la cellule de fabrication "Cell_1". L'enceinte comporte une
porte "Gate_1".
Une CPU S7-1500 commande toute la cellule de fabrication et contrôle également l'accès par
la porte Gate_1.
Un robot emballe des médicaments dans des cartons dans la cellule de fabrication et empile
ensuite les cartons sur des palettes.
Des chariots élévateurs autoguidés transportent les palettes dans l'entrepôt central en
passant par la porte Gate_1.
La CPU publie une interface serveur par le biais de laquelle des systèmes de transport
autoguidés déclenchent l'ouverture de la porte Gate_1.
L'interface serveur contient la méthode de serveur "smOpenGate" pour ouvrir la porte, ainsi
que la variable "Gate_1_State" qui indique l'état de la porte (ouverte ou fermée).
4. Modifiez le nom de l'interface serveur afin qu'il soit évocateur dans le projet.
Dans l'exemple, changez le nom "Interface serveur_1" proposé par STEP 7 en "Cell_1".
5. Cliquez sur le bouton "Interface serveur", puis sur "OK".
Communication
270 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
6. Cliquez sur le triangle devant "Blocs de programme" dans la zone "Éléments OPC UA" pour
ouvrir le dossier "Blocs de programme".
STEP 7 affiche le tableau suivant pour édition :
Remarque
De manière générale : lorsque vous déposez des blocs de données ou des objets
technologiques dans la zone gauche du tableau, STEP 7 (TIA Portal) crée un objet dans
l'interface serveur. Les éléments des blocs de données sont disposés sous forme de nœuds
distincts en dessous.
Si vous ajoutez des structures dans la zone gauche du tableau, STEP 7 crée un nœud pour
l'ensemble de la structure et différents nœuds pour chaque élément de la structure.
Cela s'applique également aux tableaux : dans ce cas, STEP 7 crée aussi un nœud pour
l'ensemble du tableau et différents nœuds pour chaque élément du tableau.
Si vous ajoutez une méthode dans la zone gauche du tableau, STEP 7 crée un nœud
unique ; les arguments de la méthode ajoutée sont affichés pour information.
Dans l'exemple, vous faites glisser la variable "Gate_1_State" de la partie droite vers
"<Ajouter nouvelle>" dans la partie gauche.
Puis, vous faites glisser la méthode de serveur dans la partie gauche.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 271
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
IMPORTANT
Vérifier la présence de nœuds de l'interface serveur OPC UA dans le mappage des
données locales
Si des affectations non valides (mappages) existent dans l'interface de serveur, cela peut
entraîner des opérations de lecture et d'écriture incorrectes. Vérifiez les affectations et
effectuez un contrôle de cohérence.
Communication
272 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Vous avez également la possibilité de désactiver la visibilité de chaque interface serveur OPC
UA paramétrée dans les propriétés de l'interface serveur et d'empêcher ainsi que cette
interface serveur puisse être utilisée en fonctionnement par des clients.
• Sélectionnez, pour ce faire, l'interface serveur, puis, avec la touche droite de la souris,
choisissez la commande "Propriétés".
Cette option permet, p. ex., de définir plusieurs interfaces de serveur de manière centralisée
et de charger et d'activer uniquement celle qui est nécessaire.
Une fois définie, vous pouvez copier une interface de serveur sur une autre CPU en utilisant la
fonction Glisser-déposer dans la navigation de projet.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 273
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Communication
274 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Vous pouvez uniquement générer des nœuds qui peuvent être mappés sur les données
locales, et donc pas d'objets, de dossiers, de méthodes ou d'arguments d'entrée/sortie de
méthodes.
Après avoir cliqué sur le bouton ou sélectionné le menu contextuel, vous devez indiquer dans
la boîte de dialogue suivante si les données locales doivent être créées dans un nouveau bloc
de données ou dans un bloc existant.
Contrôle de cohérence
Vous avez la possibilité de contrôler la cohérence de l'interface serveur.
Lors du contrôle de cohérence, STEP 7 vérifie si les nœuds OPC UA de l'interface serveur sont
respectivement affectés à un élément OPC UA approprié (même type de données) ou si
l'élément utilisé est toujours existant dans la CPU.
Pour contrôler la cohérence de l'interface serveur, cliquez sur l'icône suivante dans la barre
d'outils de l'éditeur de l'interface serveur OPC UA :
Exporter interface
Vous avez la possibilité d'exporter l'interface serveur OPC UA dans un fichier XML. Ce fichier
XML contient toutes les définitions de type de données référencées par l'interface serveur.
Pour exporter l'interface serveur OPC UA, cliquez sur l'icône suivante dans la barre d'outils de
l'éditeur de l'interface serveur OPC UA :
Voir aussi
Modèles de copie pour la communication OPC UA (Page 1)
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 275
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Communication
276 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 277
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
UDT "Guid"
Créez le type de données API suivant pour le type de données de base "Guid". Vous pouvez
également utiliser d'autres valeurs que les valeurs définies par défaut.
Communication
278 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
UDT "LocalizedText"
Créez le type de données API suivant pour le type de données de base "LocalizedText" :
EncodingByte Signification
0 Les champs Locale et Text sont vides
1 Le champ Locale est renseigné, le champ Text est vide
2 Le champ Locale est vide, le champ Text est renseigné
3 Les champs Locale et Text sont renseignés
UDT "ByteString"
Créez le type de données API suivant pour le type de données de base "ByteString". On choisit
par exemple ici un Array ByteString avec 12 éléments :
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 279
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
UDT "XmlElement"
Un XmlElement est un fragment XML sérialisé (chaîne de caractères UTF-8).
Créez le type de données API suivant pour le type de données de base "XmlElement" :
Remarque
Namespace "http://www.siemens.com/simatic-s7-opcua" verrouillé à l'importation
Vous ne pouvez pas importer d'interface serveur possédant le Namespace
"http://www.siemens.com/simatic-s7-opcua" dans une CPU S7-1500, car ce Namespace est
réservé pour les CPU S7-1500 (interface serveur standard pour SIMATIC) et verrouillé à
l'importation.
Si vous voulez importer une interface serveur possédant le Namespace
"http://www.siemens.com/simatic-s7-opcua", ouvrez l'interface serveur à importer (fichier
XML OPC UA) et modifiez le Namespace à l'endroit correspondant. Vous pouvez ensuite
importer le fichier modifié.
Communication
280 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
ATTENTION
Pas de contrôle des fichiers XML OPC UA importés
Protégez ces fichiers XML OPC UA contre toute manipulation non autorisée car STEP 7 ne
contrôle pas l'intégrité de ces fichiers.
Recommandation
Pour réduire les risques en cas d'extension ou de modification de la plage d'adresses du
serveur, procédez comme suit :
1. Protégez le projet (navigateur du projet : Paramètres de sécurité > Paramètres).
2. Exportez l'interface serveur correspondante avant l'extension ou la modification.
3. Retravaillez ce fichier XML OPC UA.
4. Réimportez le fichier comme interface serveur.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 281
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Il faut pour ce faire que les définitions d'objet soient présentes dans votre projet STEP 7. Si ce
n'est pas le cas, vous devez importer les définitions d'objet. Pour importer toutes les
définitions d'un espace de noms, vous créez dans STEP 7 une interface serveur de type
"Espace de noms de référence" pour chaque espace de noms.
Remarque
EUROMAP et la Fondation OPC ont établi le Joint Working Group "OPC UA Plastics and
Rubber Machinery".
Les recommandations EUROMAP existantes 77 (data exchange between injection moulding
machines and MES), 82.1 (temperature control devices) et 83 (general definitions) ont été
publiées sous l'égide neutre de la Fondation OPC en tant qu'OPC 40077, 40082-1 et 40083.
Les exemples énumérés ci-après utilisent toutefois les désignations et renvois valables
jusqu'ici.
Communication
282 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 283
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
5. Pour "Importer le fichier XML", sélectionnez un fichier XML contenant les définitions de
l'espace de noms "http://opcfoundation.org/UA/DI/".
Dans l'exemple, choisissez le fichier "Opc.Ua.Di.NodeSet2.xml". Vous pouvez télécharger
ce fichier sous (https://opcfoundation.org/UA/schemas/DI/)
Opc.Ua.Di.NodeSet2.xml (https://opcfoundation.org/UA/schemas/DI/)
La figure suivante montre la boîte de dialogue avec les entrées :
Communication
284 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
9.3.4.8 Créer des nœuds OPC UA sur la base des mappages de données locales de types de
FB et d'UDT
Si vous voulez que des clients OPC UA puissent accéder aux données d'instance de FB ou
d'UDT de la CPU, vous pouvez procéder à ces affectations de données d'instance
automatiquement à partir de TIA Portal version V17.
Il vous suffit de mapper les types de FB ou les UDT sur des types de données OPC UA
appropriés d'espaces de noms de référence importés. STEP 7 (TIA Portal) génère alors sur la
base de ces mappages les nœuds requis dans l'interface serveur pour chaque instance de FB
ou chaque utilisation d'UDT lors de la compilation.
Si vous étendez votre programme et ajoutez d'autres instances de FB ou utilisations d'UDT ou
supprimez des instances existantes, vous n'avez pas besoin de vous occuper de l'adaptation
de l'interface serveur, car STEP 7 adaptera l'interface serveur automatiquement lors de la
compilation du programme.
Exemple
• Vous créez un bloc fonctionnel (FB) dans le programme utilisateur de la CPU et définissez
les paramètres constituant la "mémoire" du FB dans la zone "Static" de l'interface du FB.
Les instances (valeurs) de ces paramètres doivent être accessibles aux clients OPC UA.
• Vous créez un type de données OPC UA (par exemple, au moyen de SiOME) avec des
éléments qui correspondent par le type de données aux paramètres dans la zone Static de
l'interface du FB. L'ordre des éléments ne joue aucun rôle. Vous importez ensuite le fichier
Nodeset de référence comme espace de noms de référence.
La figure suivante montre l'affectation des éléments par juxtaposition de la vue de l'espace de
noms de référence (interface serveur) et de la vue des éléments OPC UA (programme).
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 285
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Grâce au mappage entre l'information de type FB / UDT et les informations de type OPC UA,
STEP 7 est en mesure de générer toutes les instances existant dans le programme comme
nœuds dans l'interface serveur. Vous pouvez générer ces nœuds conjointement à une
nouvelle interface serveur ou dans une interface serveur existante.
Communication
286 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Règles
• Seuls les éléments FB dans la zone "Static" d'une interface de FB peuvent être mappés sur
des descriptions de type OPC UA.
• Lors du mappage des types de données, les éléments OPC UA doivent toujours être
sélectionnés dans la même interface de FB ou dans le même UDT pour un objet. Le
mappage de FB ou d'UDT différents vers un objet n'est pas autorisé.
Conditions
• Les types de FB utilisés, définis dans la zone "Static" d'un FB, doivent être configurés
comme "accessibles pour OPC UA".
• Les UDT utilisés doivent être configurés comme "accessibles pour OPC UA".
• Il existe un fichier Nodeset (fichier XML) avec les définitions de type de données OPC UA
qui correspondent aux types de FB ou aux UDT définis dans le programme utilisateur et
peuvent être mappés.
• Un programme utilisateur avec les instances de FB et les utilisations d'UDT existe.
Procédure
Procédez comme suit pour mapper un type de données d'un espace de noms de référence sur
un type de FB ou un type de données UDT :
1. Sélectionnez la CPU que vous voulez utiliser comme serveur OPC UA.
2. Importez le fichier Nodeset préparé (fichier XML) avec les définitions de type comme espace
de noms de référence
(voir AUTOHOTSPOT).
– Dans la boîte de dialogue "Ajouter une nouvelle interface serveur", cochez l'option
"Générer des nœuds OPC-UA sur la base du mappage des données locales".
Des types de FB ou des UDT peuvent être mappés par glisser-déposer sur des
descriptions de type OPC UA uniquement si cette option est activée.
3. Double-cliquez sur l'icône de l'interface serveur de type "Espace de noms de référence" qui
vient d'être créée.
L'éditeur pour le mappage entre l'interface serveur OPC UA et les éléments OPC UA
s'ouvre. L'option "Générer des nœuds OPC-UA sur la base du mappage des données
locales" est activée dans la zone "Mappage des données locales" de la zone Propriétés de
l'éditeur. Si ce n'est pas le cas, activez l'option.
Éditez le champ "Nom d'interface" en cliquant sur les points de suspension à la droite du
champ.
Sélectionnez une interface serveur existante ou générez une nouvelle interface serveur
(bouton "Ajouter").
Avec "Ajouter", une nouvelle interface serveur est générée. Si vous sélectionnez une
interface serveur existante, vous pouvez éditer les propriétés (bouton "Éditer").
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 287
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
4. Affectez les types de FB ou les UDT existants aux nœuds de l'interface serveur (espace de
noms de référence) en faisant glisser l'élément OPC UA (côté droit de l'éditeur) sur le nœud
correspondant de l'interface serveur (espace de noms de référence, colonne "Données
locales").
5. Compilez le projet.
Après la compilation, les nouveaux nœuds générés des instances se trouvent dans
l'interface serveur. STEP 7 crée un objet pour chaque DB d'instance. Les éléments générés
se trouvent sous ces objets.
De manière similaire, STEP 7 génère aussi un objet pour chaque DB global qui est généré
lors de l'instanciation d'un UDT.
Contrôle de cohérence
Le contrôle de cohérence (bouton "Contrôle de cohérence" de l'éditeur) vérifie également le
mappage des types de données et actualise l'affichage des types de données dans la colonne
correspondante de l'éditeur.
9.3.4.9 Remarques sur les capacités fonctionnelles avec les interfaces serveur
Pour l'utilisation des interfaces serveur OPC UA et en fonction des performances de la
CPU S7-1500, vous devez respecter les limitations qui s'appliquent aux objets suivants :
• Nombre d'interfaces serveur
• Nombre de nœuds OPC UA
• Espace mémoire pour le chargement
• Si vous avez implémenté des méthodes : nombre de méthodes de serveur ou d'instances
de méthodes de serveur
Communication
288 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Caractéristiques techniques CPU 1510SP (F) CPU 1505 CPU 1507S (F)
CPU 1511 (C/F/T/TF) (S/SP/SP F/SP T/SP TF) CPU 1517 (F/T/TF)
CPU 1512C CPU 1515 (F/T/TF) CPU 1518 (F)
CPU 1512SP (F) CPU 1515 SP PC (F/T/TF)
CPU 1513 (F) CPU 1516 (F/T/TF)
Utilisation de spécifications Companion importées (modèles d'information)
Nombre maximal d'interfaces
serveur OPC UA :
• Type "Spécification Compa- 10 10 10
nion" 20 20 20
• Type "Espace de noms de 10 10 10
référence"
• Type "Interface serveur"
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 289
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Communication
290 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 291
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Communication
292 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Voir aussi
Conditions annexes pour l'utilisation de méthodes de serveur (Page 1)
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 293
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Communication
294 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Caractéristiques techniques CPU 1510SP (F) CPU 1505 (S/SP/SP F/SP T/SP TF) CPU 1507S (F)
CPU 1511 (C/F/T/TF) CPU 1515 (F/T/TF) CPU 1517 (F/T/TF)
CPU 1512C CPU 1515 SP PC (F/T/TF) CPU 1518 (F)
CPU 1512SP (F) CPU 1516 (F/T/TF)
CPU 1513 (F)
Nombre maximal de méthodes de ser- 20 50 100
veur utilisables ou nombre maximal
d'instances de méthodes (instructions
OPC_UA_ServerMethodPre,
OPC_UA_ServerMethodPost)
Nombre maximal d'arguments par mé- 20 20 20
thode
(Il est possible de configurer et de char-
ger dans la CPU un nombre d'arguments
supérieur au nombre indiqué, mais un
client OPC UA ne peut cependant pas
appeler la méthode.)
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 295
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Base pour la mise en œuvre d'alarmes selon OPC UA Alarms & Conditions
Le modèle d'information Alarms and Conditions est précisé dans la spécification "OPC 10000-
9: OPC Unified Architecture Part 9: Alarms & Conditions".
Communication
296 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 297
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Communication
298 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 299
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Communication
300 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Vous trouverez des informations détaillées sur le modèle OPC UA Alarms and Conditions dans
le chapitre suivant, en particulier pour le nœud "Overloads", à la rubrique : Travailler avec les
limites de mémoire pour OPC UA Alarms and Conditions (Page 1).
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 301
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Propriétés de Events
Dans le modèle d'adresse du serveur OPC UA, vous disposez, à partir de de la version de
firmware V2.9 de la CPU, non seulement de la possibilité d'accéder aux variables API (en
lecture et en écriture) via des nœuds et d'utiliser des méthodes, mais vous pouvez aussi
recevoir des événements ou des alarmes via des nœuds. Cette fonction s'appelle "Events"
(événements) dans la terminologie OPC UA.
Un Event contient, entre autres, un texte d'événement (Message), un horodatage (Time) et
une source d'Event (SourceNode).
Les informations fournies avec un Event du serveur dépendent du type d'événement. OPC UA
définit un BaseEventType dans la Partie 5 de la spécification (Information Model).
D'autres types d'événements qui fournissent différents comportements de signalisation sont
dérivés de BaseEventType. Ces informations de type des différents types d'événements sont
visibles dans la plage d'adresses du serveur OPC UA (dossier "Types"). Ceci s'applique
également par ex. aux types d'événements "Conditions" et "Alarms" qui seront décrits dans le
chapitre suivant.
La spécification OPC UA définit les propriétés (champs) d'un événement (Event) obligatoires
(mandatory) et les événements facultatifs pour le BaseEventType, ainsi que pour les
EventTypes dérivés.
La figure suivante montre la structure hiérarchique de BaseEventType.
Les sections suivantes montrent comment les EventTypes spécifiques sont dérivés de la
racine de la hiérarchie de dérivation, le BaseEventType. Les dérivations spécifiques à SIMATIC
permettent de s'assurer que le client OPC UA peut également s'abonner aux informations, qui
sont fournies avec une alarme dans SIMATIC et affichées par ex. sur un appareil HMI, dans la
plage d'adresses du serveur OPC UA.
L'Event en soi n'est pas disponible comme nœud dans la plage d'adresses. Les Events sont
seulement déclenchés par des nœuds ou des objets qui possèdent la propriété "Event-
Notifier". Ces nœuds sont souvent désignés par le terme d'objets de signalisation
d'événements. Seuls les nœuds ayant cette propriété peuvent être indiqués dans une
Subscription comme EventMonitoredItem pour pouvoir recevoir les Events correspondants
sur le client.
Les nœuds capables de déclencher des Events sur une CPU S7-1500 sont des objets tels que
"Server", en dessous l'objet "SimaticAlarmsAndConditions" et les trois objets
ProcessDiagnostics, SystemDiagnostics et UserProgram disposés en-dessous. L'attribut
"EventNotifier" est activé sur ces objets dans la plage d'adresses du serveur OPC UA de la CPU.
Communication
302 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Définition de SimaticEventType
La figure suivante montre que le type "SimaticEventType" est dérivé directement de
BaseEventType.
BaseEventType est la définition de type de base pour les Events dans OPC UA.
Tous les types d'Event pour OPC UA sont définis directement ou indirectement à partir de
BaseEventType.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 303
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Communication
304 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Propriétés de Conditions
Le concept des "Events" définis dans OPC UA est important pour la compréhension.
Si, en plus de sa propriété de pouvoir déclencher des Events, un objet signalisation
d'événements fournit également des informations sur l'état, la terminologie OPC UA emploie
le terme de "Conditions". Les Conditions représentent l'état d'un système ou de l'un de ses
composants. En plus des états de base "enabled" et "disabled", d'autres définitions d'états sont
également possibles.
Les changements d'état sont signalés aux clients OPC UA concernés via des Events (Condition
Events).
Un exemple de Condition est l'information sur l'état d'un appareil qui requiert une
maintenance.
Propriétés de Alarms
Les propriétés de ConditionType ne sont toutefois pas suffisantes pour refléter complètement
les caractéristiques des alarmes SIMATIC sur le serveur OPC UA.
À partir de ConditionType, qui est dérivé de BaseEventType, OPC UA définit néanmoins
d'autres types d'événements dérivés tels que AcknowledgeableConditionType et
AlarmConditionType.
AcknowledgeableConditionType complète les propriétés de ConditionType par la
caractéristique "Acquittable" (AckedState).
AlarmConditionType complète les propriétés de ConditionType et
AcknowledgeableConditionType avec la caractéristique permettant de présenter un
"ActiveState". Cela correspond à une alarme apparaissante dans la terminologie SIMATIC.
ActiveState signale que la situation représentant la Condition se produit actuellement ou est
survenue.
Exemple : la température a dépassé une valeur limite. Lorsque "ActiveState" n'est pas activé,
la situation représentant la Condition a disparu. En règle générale, on parle alors d'un "état
normal". Cela correspond à une alarme disparaissante dans la terminologie SIMATIC.
OPC UA définit d'autres états, par ex. SilenceState ou ShelvingState. Mais ces états
supplémentaires ne jouent aucun rôle pour le mappage sur le système de gestion d'alarmes
SIMATIC et ne seront donc pas détaillés ici.
De AlarmConditionType a été dérivé SimaticAlarmConditionType qui contient tous les champs
d'Event requis pour refléter les informations d'état et d'acquittement des alarmes SIMATIC.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 305
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Définition de SimaticAlarmConditionType
La figure suivante montre comment les Events de type "SimaticAlarmConditionType" sont
définis par une série d'extensions de OPC UA "BaseEventType".
Communication
306 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Conditions
• CPU S7-1500 à partir de la version de firmware V2.9
• Licence Runtime pour OPC UA achetée conformément aux conditions de licence et
configurée dans les propriétés de la CPU
Marche à suivre
Pour activer des alarmes via OPC UA Alarms and Conditions, procédez comme suit :
1. Naviguez dans les propriétés de la CPU jusqu'à la zone "OPC UA > Serveur > Général".
2. Activez l'option "Activer Alarms and Conditions sur le serveur OPC UA".
Les types et objets correspondant capables de déclencher des événements ne sont visibles
dans la plage d'adresses qu'après activation de l'option.
3. Si nécessaire, activez également l'option "Autoriser l'acquittement d'alarmes par le client
OPC UA".
Dans ce cas, chaque client OPC UA connecté peut acquitter une alarme acquittable avec la
méthode "Acknowledge".
Recommandation : activer le diagnostic "Échec des requêtes d'un client OPC UA distant"
Si le serveur OPC UA ne peut pas allouer suffisamment de mémoire, la génération d'alarmes
OPC UA n'est pas possible et des alarmes pour les clients OPC UA peuvent être perdues.
Nous vous recommandons donc d'activer le diagnostic "Échec des requêtes d'un client OPC
UA distant" afin de pouvoir diagnostiquer cet état (propriétés de la CPU > OPC UA > Serveur >
Diagnostic).
Vous devriez en outre aussi activer l'option "Résumer les diagnostics en cas de nombre de
messages élevé".
Dès que la mémoire disponible sera de nouveau suffisante, les clients OPC UA devront
appeler la méthode ConditionRefresh pour connaître l'état actuel du système d'alarme.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 307
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Voir aussi
Méthodes pour OPC UA Alarms and Conditions (Page 1)
Échec de la requête d'un client distant (Page 1)
Communication
308 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 309
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Sujet Explication
Commentaire (Comment) Via OPC UA, vous pouvez ajouter un commentaire à une alarme
avec la méthode "AddComment" ou "Acknowledge". Il ne sera
plus disponible après un redémarrage du serveur.
Les alarmes en instance ne sont Le serveur OPC UA prend en charge la méthode "ConditionRe-
pas perdues après redémarrage du fresh" qui permet de fournir l'état le plus récent du système au
serveur client OPC UA, par ex. après le chargement d'un nouveau bloc de
données (redémarrage du serveur et rétablissement de la con-
nexion nécessaires).
Conditions
Pour que vous puissiez utiliser les méthodes pertinentes de la fonctionnalité Alarms-and-
Conditions, il faut que les conditions suivantes soient remplies :
• Alarms and Conditions est activé
• Pour la méthode "Acknowledge", l'acquittement d'alarmes par des clients OPC UA doit être
autorisé côté serveur.
Communication
310 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Méthode Description
Acknowledge Méthode d'acquittement d'un objet alarme désigné de ma-
nière univoque par une EventId.
ConditionRefresh Méthode de demande d'une mise à jour de tous les objets
alarme (dans la terminologie SIMATIC : mise à jour de toutes
les alarmes en attente). Tous les éléments surveillés (Moni-
tored Items) de l'abonnement sont mis à jour.
La synchronisation d'objets alarme en attente du serveur
OPC UA de la CPU est, par ex., affichée dans les cas sui-
vants :
• Premier établissement ou rétablissement de la con-
nexion (après une interruption de la communication)
• Changement de vue sur un écran de commande d'un
appareil IHM
AddComment Méthode d'ajout de commentaires à des objets alarme.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 311
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Acknowledge
La méthode Acknowledge (MethodId : i=9111) possède les paramètres suivants :
ConditionRefresh
La méthode ConditionRefresh (MethodId : i=3875) possède les paramètres suivants :
Communication
312 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Remarque
Méthode ConditionRefresh2
Le serveur OPC UA de la CPU S7-1500 ne prend pas en charge la méthode ConditionRefresh2,
qui peut synchroniser de manière ciblée un élément surveillé (MonitoredItem) dans un
abonnement. Dans ce cas, le serveur OPC UA renvoie le code de résultat
"Bad_MethodInvalid". Utilisez au lieu de celle-ci la méthode "ConditionRefresh".
AddComment
Vous avez la possibilité d'ajouter des commentaires à des objets Alarms- de type
SimaticAlarmConditionType, car la prise en charge de commentaires est obligatoire pour OPC
UA Alarms and Conditions .
Un commentaire est enregistré dans le champ d'événement "Comment".
Les champs d'événement d'horodatage suivants font partie du commentaire :
• "Comment.SourceTimestamp" horodatage de l'enregistrement du commentaire dans la
CPU
• "Time" pour la date/heure de la modification de l'objet Alarms
Si la méthode "AddComment" est appelée, "Time" et "Comment.SourceTimestamp" sont
identiques.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 313
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Communication
314 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
9.3.6.7 Travailler avec les limites de mémoire pour OPC UA Alarms and Conditions
Le serveur OPC UA de la CPU S7-1500 a une capacité de mémoire limitée en fonction de la
CPU pour la fonction "Alarms and Conditions" (voir les caractéristiques techniques des CPU).
Deux pools de stockage sont disponibles pour différentes catégories d'alarme :
• Pool uniquement pour ProgramAlarms (correspond aux émetteurs (Producers) d'alarmes
de programme, notamment les alarmes de programme via Program_Alarm, ProDiag,
Graph)
• Pool uniquement pour SystemDiagnostics (correspond aux alarmes de diagnostic système)
Dans des conditions défavorables (par exemple en cas d'avalanche d'alarmes), la CPU ne peut
plus mettre à disposition les alarmes en attente (ProgramAlarms ou SystemDiagnostics) de la
plage d'alarmes SIMATIC pour le système OPC UA Alarms-and-Conditions. Dans ce cas, les
alarmes ne sont malgré tout pas perdues.
Vous avez la possibilité de réagir à cet événement de surcharge dans le programme
utilisateur. En fonction de votre application, vous pouvez mettre à disposition des alarmes qui
n'ont pas été transmises au système OPC UA Alarms-and-Conditions dans ce système via la
méthode "ConditionRefresh".
Conditions
• Alarms and Conditions est activé
• Les abonnements Event sont configurés dans le client OPC UA
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 315
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Principe
La figure suivante montre de manière simplifiée le stockage intermédiaire d'alarmes
ProgramAlarms pour les mettre de nouveau à disposition du système OPC UA Alarms and
Condition à un autre moment. Les nœuds spécifiés dans la légende de la figure sont visibles
dans la figure suivante du modèle d'adresse.
① Le nombre d'alarmes actives est trop élevé pour rendre accessibles toutes les alarmes via OPC UA Alarms and Condi-
tions.
② Une alarme de surcharge (Overload Alarm) est émise. Cette alarme de surcharge est active jusqu'à ce que la situa-
tion suivante se produise :
• Il n'y a plus aucune alarme en attente pour le système OPC UA Alarms-and-Conditions (OutstandingProgramA-
larms = 0) et
• le nombre d'alarmes dans le système OPC UA Alarms-and-Conditions < valeur max. corrigée de l'hystérésis pour
des alarmes OPC UA (= MaxAlarmsInQueue - OverloadHysteresis).
Les alarmes qui ne sont pas disponibles dans le système OPC UA Alarms-and-Conditions en raison de la surcharge
sont stockées provisoirement comme "OutstandingAlarms".
③ Si un client OPC UA exécute la méthode ConditionRefresh, tous les objets alarme de l'abonnement correspondant
sont synchronisés, et les alarmes en attente pour OPC UA Alarms and Conditions (OutstandingAlarms) sont transfé-
rées dans la zone de mémoire Alarms and Conditions jusqu'à ce que le nombre maximal d'alarmes soit atteint. Les
alarmes "les plus anciennes" sont transférées en premier. Chaque abonnement à ces alarmes reçoit ensuite les
alarmes transmises - pas seulement le client OPC UA qui a appelé la méthode ConditionRefresh.
④ Le client OPC UA commande le traitement des alarmes en attente en fonction des informations du nœud Overloads.
Communication
316 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Particularités
• Si des alarmes en attente disparaissent ou sont acquittées, elles ne parviennent plus dans
le système OCP UA Alarms-and-Condition avec la méthode ConditionRefresh. Elles sont
ensuite "invisibles" pour OPC UA Alarms and Conditions et les clients OPC UA connectés.
Cela a des répercussions par ex. sur les évaluations statistiques d'historiques d'alarmes.
• Pour éviter une fréquence d'alarmes Overloads trop élevée, le seuil de déclenchement de
l'alarme est supérieur au seuil de désactivation de cette alarme si le volume d'alarmes est
proche de la valeur maximale. La valeur de cette différence est affichée dans le nœud
"OverloadHysteresis".
Exemple : Nombre maximal : 200, OverloadHysteresis : 3.
Une alarme Overloads est générée à partir de 200 alarmes et n'est désactivée que si le
nombre d'alarmes est inférieur à 197. Si le volume d'alarmes augmente de nouveau,
l'alarme Overloads est de nouveau émise à partir de 200 alarmes.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 317
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Il existe, par exemple, les nœuds suivants avec des informations de diagnostic dans la plage
d'adresses du serveur :
• ServerDiagnosticsSummary : récapitulatif du diagnostic du serveur
– CurrentSessionCount : nombre de sessions actives
– SecurityRejectedSessionCount : nombre de sessions rejetées en raison de paramètres
de sécurité de nœud d'extrémité non concordants entre client et serveur
• SessionsDiagnosticsSummary : récapitulatif du diagnostic de session
– ActualSessionTimeout : durée paramétrée pendant laquelle la session est conservée en
cas d'interruption de la liaison, par exemple.
Communication
318 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 319
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Condition
Dans les propriétés OPC UA de la CPU, l'option "Changement d'état du serveur OPC UA" est
activée (OPC UA > Serveur > Diagnostic).
Remarque
Lorsque cette option est activée, la CPU inscrit aussi automatiquement la stratégie de sécurité
la moins élevée configurée dans le tampon de diagnostic après le démarrage.
Exemples
Lorsque le serveur OPC UA de la CPU est mis à l'arrêt par une procédure de chargement puis
redémarré avec une nouvelle configuration valide, le tampon de diagnostic indique le nouvel
état du serveur, par exemple Shutdown => Starting => Running.
Quand le serveur OPC UA est mis à l'arrêt par une procédure de chargement et qu'il ne peut
pas démarrer à cause d'un Typedictionary trop volumineux, le tampon de diagnostic indique
seulement l'état "Failed" (Shutdown => Starting => Failed).
Communication
320 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
①, ④ Mise sous tension ou chargement à l'état Marche si des données relatives à OPC UA peuvent
être concernées.
② Chargement de la configuration matérielle avec serveur OPC UA désactivé. Le serveur reste à
l'arrêt (shutdown).
Chargement de la configuration matérielle avec serveur OPC UA activé et données OPC UA
erronées (par exemple, trop de structures avec, pour conséquence, un dictionnaire de types
TypeDictionary trop grand). Dans ce cas, le serveur ne peut pas démarrer (voir ③).
③ Le serveur OPC UA ne peut pas démarrer en raison de données erronées, par exemple.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 321
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Condition
L'option "Changement d'état de la session" est activée dans les propriétés OPC UA de la CPU
(OPC UA > Serveur > Diagnostic).
Exemple
Un client transmet des données d'authentification erronées (mot de passe incorrect, par
exemple) lors de la connexion. Le nouvel état de la session "ActivationFailed" est inscrit dans
le tampon de diagnostic avec l'ID de session correspondante.
Communication
322 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Conditions
• CPU S7-1500 à partir de la version de firmware 2.8
• L'option "Vérification d'événements de sécurité" est activée (propriétés de la CPU > OPC UA
> Serveur > Diagnostic)
Exemple
Le serveur détecte les tentatives de compromission de la communication (par exemple, par
détournement de session, attaque par hôte interposé, etc.) en procédant à une vérification.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 323
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Erreur de service
En cas d'échec d'un service, le serveur répond avec une erreur de service (ServiceFault). Dans
ce cas, le code d'état (Bad...) est inscrit dans le tampon de diagnostic ainsi que l'ID de session
correspondante.
Communication
324 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 325
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Condition
L'option "Souscriptions : changement d'état" est activée dans les propriétés OPC UA de la CPU
(OPC UA > Serveur > Diagnostic).
Exemple
Un client OPC UA est connecté à une CPU S7-1500 en tant que serveur OPC UA et génère une
souscription dans le serveur.
Les options de diagnostic pour les souscriptions sont activées dans les propriétés OPC UA de
la CPU.
Les états "Creating" et "Normal" sont successivement inscrits dans le tampon de diagnostic
avec l'ID de souscription correspondante.
Communication
326 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
État Signification
Creating Le client a requis une souscription dans le serveur. Le serveur génère la souscrip-
tion.
Normal la souscription a été créée dans le serveur et est active.
Closed Le client a supprimé la souscription.
KeepAlive État pris lorsque les éléments contrôlés (monitored items) ne changent pas pen-
dant un certain temps. Ces changements d'état ne sont pas inscrits dans le tam-
pon de diagnostic.
Late Le client a généré une souscription avec des intervalles d'échantillonnage et
d'émission minimum. L'ensemble d'éléments contrôlés n'est pas transmis au
client pendant ce temps.
Le client ne transmet plus de requêtes d'émission (en raison d'une défaillance,
par exemple).
TimedOut Le client a requis une souscription.
Le serveur ne peut servir la souscription (envoyer Publish Response) que s'il y a
suffisamment de demandes d'envoi (Publish Requests) du client.
Lorsque le client cesse d'envoyer des demandes d'envoi, au bout d'un certain
temps, la souscription passe à l'état "TimedOut".
Condition
L'option "Souscriptions : erreur des temps d'échantillonnage" est activée dans les propriétés
OPC UA de la CPU (OPC UA > Serveur > Diagnostic).
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 327
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Voir aussi
Paramètres du serveur pour souscriptions (Page 1)
Communication
328 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Condition
L'option "Résumer les diagnostics en cas de nombre de messages élevé" est activée dans les
propriétés OPC UA de la CPU (OPC UA > Serveur > Diagnostic, zone "Résumer les
diagnostics").
Exemple
Un client OPC UA "surmène" une CPU S7-1500 en tant que serveur OPC UA de manière
répétée en raison d'une fréquence d'échantillonnage que le serveur ne peut pas suivre
(surcharge).
L'option "Résumer les diagnostics en cas de nombre de messages élevé" est activée.
Dans le tampon de diagnostic apparaît pour ce diagnostic un message indiquant que la
fréquence d'échantillonnage souhaitée ne peut pas être atteinte, suivi du nombre
d'événements de ce type survenus dans l'intervalle configuré.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 329
Communication OPC UA
9.3 Utilisation de la CPU S7-1500 comme serveur OPC UA
Fonctionnement
La CPU écrit immédiatement les trois premiers diagnostics d'un groupe dans le tampon de
diagnostic. Elle ne tient pas compte de tous les diagnostics suivants du même groupe.
A la fin de l'intervalle de surveillance, la CPU génère une signalisation groupée contenant le
diagnostic et sa fréquence pendant l'intervalle écoulé. Si ces diagnostics apparaissent aussi au
cours des intervalles suivants, la CPU ne génère plus qu'une signalisation groupée par
intervalle.
Dans le tampon de diagnostic, une avalanche de diagnostics laisse le modèle suivant : trois
messages individuels suivis d'une série de signalisations groupées. Cette série peut
comprendre deux, trois signalisations groupées ou plus, cela dépend de l'intervalle de
surveillance choisi et de la durée de l'avalanche de diagnostics.
① Diagnostics d'un groupe (d'un type), par ex. "La fréquence d'échantillonnage n'a pas pu être
atteinte"
② Intervalle de surveillance : Quand un diagnostic apparaît pour la première fois (ou réapparaît),
le temps de surveillance est démarré (ou redémarré).
③ Messages individuels : Les trois premiers diagnostics d'un même groupe sont écrits immédiate-
ment dans le tampon de diagnostic. À partir du quatrième diagnostic, la CPU ne génère plus
que des signalisations groupées. Quand un diagnostic de ce groupe réapparaît après une pause
d'au moins un intervalle, la CPU écrit un message individuel dans le tampon de diagnostic et
redémarre la période de surveillance.
④ Signalisations groupées : Après trois diagnostics, la CPU ne génère plus qu'une signalisation
groupée, comme récapitulatif de tous les autres diagnostics dans cet intervalle. Si ces diagnos-
tics apparaissent aussi au cours des intervalles suivants, la CPU ne génère qu'une signalisation
groupée par intervalle.
Communication
330 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.4 Utilisation d'une CPU S7-1500 comme client OPC UA
Spécification PLCopen
Ces instructions standardisées vous permettent d'utiliser dans votre programme utilisateur
des fonctions client OPC UA exécutées dans une CPU S7-1500.
De plus, des adaptations minimes suffisent pour aussi exécuter ce programme utilisateur
dans des automates d'autres constructeurs, pourvu que ces constructeurs aient également
mis en œuvre la spécification OPC UA "PLCopen OPC-UA Client for IEC61131-3".
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 331
Communication OPC UA
9.4 Utilisation d'une CPU S7-1500 comme client OPC UA
Conditions
• Vous disposez de la licence Runtime pour OPC UA et avez configuré la licence dans STEP 7
(Propriétés de la CPU > Licences Runtime).
• Le client de la CPU S7-1500 est activé.
Pour utiliser le client de la CPU S7-1500, vous devez l'activer :
1. Dans les propriétés de la CPU, sélectionnez la zone "OPC UA > Client".
2. Activez l'option "Activer le client OPC UA".
Si vous n'activez pas le client, aucune liaison n'est établie. Vous recevez un message d'erreur
correspondant dans les instructions, par exemple dans "OPC_UA_Connect".
Vous trouverez des informations sur le nom d'application valable également pour le serveur
et le client ici (Page 1).
Vue d'ensemble
Pour utiliser l'éditeur et le paramétrage de liaison, procédez comme suit :
1. Créez d'abord une interface client. Ajoutez à cette interface les méthodes et variables API
auxquelles vous voulez accéder ("Première étape (Page 1)").
2. Paramétrez ensuite la liaison au serveur OPC UA (Deuxième étape (Page 1)).
3. Pour finir, utilisez la liaison paramétrée dans les instructions de client OPC UA (Troisième
étape (Page 1)).
Communication
332 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.4 Utilisation d'une CPU S7-1500 comme client OPC UA
Figure 9-59 Ordre d'exécution d'un appel de méthode dans le serveur OPC UA
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 333
Communication OPC UA
9.4 Utilisation d'une CPU S7-1500 comme client OPC UA
① Instructions pour préparer les opérations de lecture et d'écriture avec instruction intercalée pour
demander par exemple les ID de nœud du serveur OPC UA.
② Parallèlement à d'autres instructions, vous pouvez déterminer l'état de la liaison entre son éta-
blissement et sa coupure
③ Instructions pour "nettoyer"
Communication
334 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.4 Utilisation d'une CPU S7-1500 comme client OPC UA
Instruction OPC UA Nombre max. pour Nombre max. pour Nombre max. pour
CPU 1510SP (F) CPU 1505 CPU 1507S (F)
CPU 1511 (C/F/T/TF) (S/SP/SP F/SP T/SP TF) CPU 1517 (F/T/TF)
CPU 1512C CPU 1515 (F/T/TF) CPU 1518 (F)
CPU 1512SP (F) CPU 1515 SP PC (F/T/TF)
CPU 1513 (F) CPU 1516 (F/T/TF)
OPC_UA_Connect 4 10 40
OPC_UA_NamespaceGetIndexLi 4* 10* 40*
st
OPC_UA_NodeGetHandleList 4* 10* 40*
OPC_UA_MethodGetHandleList 4* 10* 40*
OPC_UA_TranslatePathList 4* 10* 40*
OPC_UA_ReadList 20 au total (5 par con- 50 au total (5 par con- 200 au total (5 par connexion
nexion au maximum, voir nexion au maximum, voir au maximum, voir
OPC_UA_Connect) OPC_UA_Connect) OPC_UA_Connect)
OPC_UA_WriteList 20 au total (5 par con- 50 au total (5 par con- 200 au total (5 par connexion
nexion au maximum, voir nexion au maximum, voir au maximum, voir
OPC_UA_Connect) OPC_UA_Connect) OPC_UA_Connect)
OPC_UA_MethodCall 20 au total (5 par con- 50 au total (5 par con- 200 au total (5 par connexion
nexion au maximum, voir nexion au maximum, voir au maximum, voir
OPC_UA_Connect) OPC_UA_Connect) OPC_UA_Connect)
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 335
Communication OPC UA
9.4 Utilisation d'une CPU S7-1500 comme client OPC UA
Instruction OPC UA Nombre max. pour Nombre max. pour Nombre max. pour
CPU 1510SP (F) CPU 1505 CPU 1507S (F)
CPU 1511 (C/F/T/TF) (S/SP/SP F/SP T/SP TF) CPU 1517 (F/T/TF)
CPU 1512C CPU 1515 (F/T/TF) CPU 1518 (F)
CPU 1512SP (F) CPU 1515 SP PC (F/T/TF)
CPU 1513 (F) CPU 1516 (F/T/TF)
OPC_UA_NodeReleaseHandleLi 4* 10* 40*
st
OPC_UA_MethodReleaseHandl 4* 10* 40*
eList
OPC_UA_Disconnect 4* 10* 40*
OPC_UA_ConnectionGetStatus 4* 10* 40*
Communication
336 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.4 Utilisation d'une CPU S7-1500 comme client OPC UA
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 337
Communication OPC UA
9.4 Utilisation d'une CPU S7-1500 comme client OPC UA
Communication
338 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.4 Utilisation d'une CPU S7-1500 comme client OPC UA
STEP 7 appelle cette nouvelle interface "Interface client_1". Si une "Interface client_1"
existe déjà, la nouvelle interface a pour désignation "Interface client_2", etc.
STEP 7 génère en outre les blocs de données suivants :
– Interface_client_1_Configuration
Ce bloc de données contient déjà tous les types de données système requis pour les
instructions du client OPC UA.
Ce bloc de données est rempli si vous paramétrez la liaison avec le serveur OPC UA.
Vous paramétrez une liaison dans les propriétés de l'interface client, voir : Exemple de
configuration pour OPC UA (Page 1).
– Interface_client_1_Data
Un bloc de données pour les variables API que vous voulez lire ou écrire dans un
serveur OPC UA ainsi que pour des méthodes que vous voulez appeler dans le serveur
OPC UA.
Vous l'utiliserez dans votre programme utilisateur.
Actuellement, il est encore vide.
5. Utilisez un nom expressif pour la nouvelle interface client.
Dans l'exemple, choisissez "Productionline".
Vous changez ainsi les noms des blocs de données correspondants en :
– Productionline_Data
– Productionline_Configuration
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 339
Communication OPC UA
9.4 Utilisation d'une CPU S7-1500 comme client OPC UA
6. Pour importer une interface serveur OPC UA, cliquez sur le bouton "Importer interface" en
haut à droite.
Vous pouvez ainsi importer un fichier XML décrivant l'interface serveur d'un serveur OPC
UA.
Autre possibilité : Vous déterminez en ligne l'interface de serveur d'un serveur OPC UA
connecté, voir : Déterminer l'interface serveur en ligne (Page 1).
7. STEP 7 affiche une boîte de dialogue dans laquelle vous pouvez sélectionner un fichier XML.
Ce fichier XML décrit la plage d'adresses d'un serveur OPC UA.
La plage d'adresses d'un serveur OPC UA contient toutes les variables API et méthodes de
serveur publiées par un serveur OPC UA.
Les clients OPC UA peuvent accéder à cette plage d'adresses :
- Lire des variables API
- Écrire des variables API
- Appeler des méthodes de serveur
La plage d'adresses d'un serveur OPC UA peut être subdivisée en une ou plusieurs
interfaces serveur.
Voir Créer une interface serveur pour la spécification Companion (Page 1) pour plus
d'informations sur la création d'interfaces serveur.
Communication
340 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.4 Utilisation d'une CPU S7-1500 comme client OPC UA
Autre possibilité :
Vous pouvez également créer une nouvelle liste de lecture en sélectionnant dans la partie
droite de l'éditeur ("Interface serveur OPC UA") un nœud du type Object ou Folder et en le
faisant glisser vers "Ajouter une nouvelle liste de lecture" dans la partie gauche de
l'éditeur. Cette nouvelle liste de lecture contient alors toutes les variables API du nœud
placé.
Dans l'exemple, choisissez l'objet "Data_for_OPC_UA_Clients" qui contient les variables
"NewProduct" et "ProductNumber". STEP 7 crée la nouvelle liste de lecture
"Data_for_OPC_UA_Clients". L'objet contient également la variable "Temperature".
Supprimez la variable "Temperature" de la liste de lecture, car elle ne doit pas être lue dans
l'exemple.
Changez le nom de la liste de lecture en "ReadListProduct".
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 341
Communication OPC UA
9.4 Utilisation d'une CPU S7-1500 comme client OPC UA
Remarque
Les listes de lecture et d'écriture ne prennent pas en charge tous les types de nœuds
Le client OPC UA de la CPU S7-1500 ne prend pas en charge tous les types de données
OPC UA (types de nœuds) pouvant être mis à disposition par le biais d'une interface
serveur OPC UA. Si vous mettez un type de nœud non pris en charge dans une liste de
lecture ou d'écriture par exemple, un message d'erreur correspondant est émis. Dans ce
cas, vous ne pouvez pas ajouter le nœud correspondant à la liste de lecture ou d'écriture.
Les types pris en charge sont indiqués ici : Mappage de types de données (Page 1)
9. Si vous voulez donner de nouvelles valeurs à des variables API, générez une liste d'écriture
dans cette interface client.
Pour cela, procédez comme suit :
– Cliquez sur "Ajouter une nouvelle liste d'écriture" dans la partie gauche de l'éditeur.
STEP 7 ajoute une nouvelle liste portant le nom "Liste d'écriture_1".
Dans l'exemple, changez ce nom en "WriteListStatus".
– Ajoutez maintenant à la liste d'écriture toutes les variables du serveur OPC UA
auxquelles vous voulez affecter de nouvelles valeurs.
Dans l'exemple, ajoutez la variable "ProductionEnabled" à la liste d'écriture
"WriteListStatus".
Sélectionnez la variable dans la partie droite de l'éditeur ("Interface serveur OPC UA").
Faites glisser la variable dans la liste de lecture dans la partie centrale de l'éditeur.
Autre possibilité :
Vous pouvez également créer une nouvelle liste d'écriture en sélectionnant dans la partie
droite de l'éditeur ("Interface serveur OPC UA") un nœud du type Object ou Folder et en le
faisant glisser vers "Ajouter une nouvelle liste d'écriture" dans la partie gauche de l'éditeur.
Cette nouvelle liste d'écriture contient alors toutes les variables du nœud concerné.
Dans l'exemple, choisissez l'objet "Data_from_OPC_UA_Clients" qui contient la variable
"ProductionEnabled". STEP 7 crée la nouvelle liste d'écriture "Data_from_OPC_UA_Clients".
Changez le nom en "WriteListStatus".
La figure suivante montre le contenu de la liste d'écriture :
Communication
342 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.4 Utilisation d'une CPU S7-1500 comme client OPC UA
10.Si vous voulez appeler une méthode de ce serveur OPC UA, créez une nouvelle liste de
méthodes.
Pour cela, procédez comme suit :
– Cliquez sur "Ajouter une nouvelle liste de méthodes" dans la partie gauche de l'éditeur.
STEP 7 ajoute une nouvelle liste portant le nom "Liste de méthodes_1".
Dans l'exemple, changez ce nom en "MethodListOpenDoor".
– Ajoutez maintenant à la liste de méthodes une méthode du serveur OPC UA.
Dans cet exemple, ajoutez la méthode "OpenDoor" à la liste de méthodes
"MethodListOpenDoor".
Sélectionnez la méthode dans la partie droite de l'éditeur ("Interface serveur OPC UA").
Faites glisser la méthode dans la liste de méthodes dans la partie centrale de l'éditeur.
Autre possibilité :
Vous pouvez également créer une nouvelle liste de méthodes en sélectionnant dans la
partie droite de l'éditeur ("Interface serveur OPC UA") une méthode (nœud du type Object)
et en la faisant glisser vers "Ajouter une nouvelle liste de méthodes" dans la partie gauche
de l'éditeur. Cette nouvelle liste de méthodes contient alors la méthode du nœud
concerné.
La figure suivante montre le contenu de la liste de méthodes :
Si vous voulez appeler une autre méthode du serveur OPC UA, vous devez créer une
nouvelle liste de méthodes. Chaque liste de méthodes ne contient qu'une seule méthode.
Voir aussi Informations utiles sur les méthodes de serveur (Page 1).
11.Compilez le projet.
Pour cela, sélectionnez-le et cliquez sur l'icône suivante dans la barre d'outils :
STEP 7 compile le projet et met à jour les blocs de données appartenant à l'interface client
"Productionline".
Remarque
Lors de la compilation, STEP 7 écrase toutes les données dans les blocs de données
appartenant à l'interface client. C'est pour cette raison que vous ne devez pas compléter ou
corriger ces blocs de données manuellement.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 343
Communication OPC UA
9.4 Utilisation d'une CPU S7-1500 comme client OPC UA
Remarque
Renommer des noms de nœuds (DisplayNames)
Vous pouvez modifier le nom d'un nœud dans des listes de lecture, d'écriture et de méthodes
via le menu contextuel. Dans le langage OPC UA, il s'agit du "DisplayName".
Si vous modifiez le nom du nœud d'une liste de méthode alors que le nœud est déjà utilisé
dans un bloc programmé pour l'appel de méthode "OPC_UA_MethodCall", la compilation du
projet entraîne des erreurs de cohérence : les UDT de la méthode sont de nouveau générés
lors de la compilation avec un autre nom. Les références à la méthode utilisées dans le
programme ne correspondent plus.
Pour corriger les erreurs de cohérence, vous pouvez annuler le changement de nom de la
méthode dans l'interface client, ou naviguer jusqu'à l'appel de méthode et y réaffecter les
paramètres concernés sous "Propriétés > Paramètres de bloc" (onglet "Configuration").
Communication
344 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.4 Utilisation d'une CPU S7-1500 comme client OPC UA
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 345
Communication OPC UA
9.4 Utilisation d'une CPU S7-1500 comme client OPC UA
Communication
346 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.4 Utilisation d'une CPU S7-1500 comme client OPC UA
Contrôle de cohérence
Pour terminer, contrôlez la cohérence des listes de lecture, d'écriture et de méthodes.
1. Sélectionnez la liste que vous souhaitez contrôler.
2. Cliquez sur le bouton "Contrôle de cohérence" au-dessus de la zone "Interface client
OPC UA".
Une affectation sans erreur des variables ou des méthodes aux éléments correspondants de
l'interface serveur est affichée par une coche verte.
Vous pouvez partir du principe que l'échange de données entre client et serveur, ainsi que les
appels de méthodes, fonctionnent sans problème pendant l'exécution.
En cas d'erreur, une liste est affichée dans la fenêtre d'inspection. De cette liste, vous pouvez
sauter à l'erreur correspondante.
STEP 7 effectue les vérifications suivantes lors du contrôle de cohérence :
• Tous les éléments que vous utilisez dans la liste correspondante existent-ils également
dans le serveur ?
• Les types de données correspondent-ils ?
• Pour les méthodes : le nombre, les noms, l'ordre et les types de données d'arguments de
méthode correspondent-ils ?
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 347
Communication OPC UA
9.4 Utilisation d'une CPU S7-1500 comme client OPC UA
4. Dans la partie gauche de l'éditeur, cliquez sur "Ajouter une nouvelle liste de lecture", "Ajouter
une nouvelle liste d'écriture" ou "Ajouter une nouvelle liste de méthodes".
5. Dans la partie droite de l'éditeur pour "Source des données de serveur", sélectionnez "En
ligne[]" comme source de données :
Communication
348 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.4 Utilisation d'une CPU S7-1500 comme client OPC UA
Astuce : Utilisez le bouton "Accès en ligne" si vous établissez une liaison en ligne à un
serveur OPC UA pour la première fois. Si vous rétablissez la liaison après une interruption,
sélectionnez le bouton "Connexion au serveur en ligne" à côté du champ de sélection "En
ligne".
Entrez en haut à droite l'adresse IP du serveur OPC UA dont vous souhaitez déterminer
l'interface serveur en ligne.
7. Cliquez sur le bouton "Trouver le serveur sélectionné".
STEP 7 établit une connexion au serveur OPC UA et détermine tous les paramètres de
sécurité (server endpoints) mis à disposition par le serveur.
STEP 7 affiche les nœuds d'extrémité sous forme de liste :
Figure 9-70 Serveur OPC UA détecté avec tous les nœuds d'extrémité de serveur
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 349
Communication OPC UA
9.4 Utilisation d'une CPU S7-1500 comme client OPC UA
8. Cliquez sur le nœud d'extrémité que vous souhaitez utiliser pour une liaison de STEP 7 au
serveur OPC UA.
9. Voulez-vous utiliser une liaison sécurisée ?
– Si vous avez sélectionné un nœud d'extrémité de sécurité, choisissez l'entrée
"TIA Portal" comme "Lieu de stockage du certificat".
Pour "Certificat (client)", sélectionnez un certificat client pour le PC sur lequel STEP 7
(TIA Portal) est en cours d'exécution.
Si aucun certificat client n'existe encore pour votre PC, vous pouvez générer un
certificat client ici dans TIA Portal.
Procédez comme suit pour générer un certificat pour votre PC :
- Cliquez sur le bouton dans le champ de saisie "Certificat (client)".
- Cliquez le bouton "Ajouter".
- Pour "Demandeur de certificat", indiquez "STEP 7 (TIA Portal)".
- Sélectionnez l'entrée "Client OPC UA" comme "Utilisation".
- Pour "Autre nom du demandeur de certificat (SAN)", indiquez sous "Valeur" l'adresse
IP du PC sur lequel STEP 7 (TIA Portal) est en cours d'exécution. Écrasez l'adresse IP déjà
inscrite.
- Si votre PC utilise une deuxième adresse IP, indiquez-la également. Si votre PC
n'utilise pas de deuxième adresse IP, effacez la deuxième adresse IP déjà indiquée.
- Cliquez sur le bouton "OK".
– Si vous n'avez pas sélectionné de nœud d'extrémité de sécurité, conservez le
paramétrage par défaut ("Aucun").
10.Comment souhaitez-vous vous connecter ?
– Si vous souhaitez vous connecter comme invité au serveur OPC UA, conservez le
paramétrage par défaut "Authentification de l'utilisateur".
– Si vous souhaitez vous connecter avec votre nom d'utilisateur et votre mot de passe,
choisissez "Nom d'utilisateur et mot de passe".
Utilisez le nom d'utilisateur et le mot de passe définis dans la configuration du serveur
OPC UA, dans les propriétés de la CPU, sous "Général´ > OPC UA > Serveur > Security >
Authentification de l'utilisateur > Gestion des utilisateurs".
Communication
350 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.4 Utilisation d'une CPU S7-1500 comme client OPC UA
Voir aussi
Mappage de types de données (Page 1)
Création d'interfaces client (Page 1)
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 351
Communication OPC UA
9.4 Utilisation d'une CPU S7-1500 comme client OPC UA
Exemple pour des textes définis comme multilingues dans un fichier XML OPC UA
Dans le fichier XML affiché, les champs Displayname et Description sont par exemple
renseignés à la fois avec un texte par défaut et plusieurs textes localisés.
• Le texte par défaut est la première entrée sans information de localisation
• Le texte localisé est le texte situé après "Locale=" suivi d'un code langue, par exemple "it-
IT" pour italien.
Figure 9-72 Exemple pour des textes multilingues dans un fichier XML OPC UA
Communication
352 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.4 Utilisation d'une CPU S7-1500 comme client OPC UA
Si vous changez de langue d'édition, le texte multilingue est également modifié selon les
règles expliquées ci-dessus dans l'interface importée.
Vous pouvez ensuite reprendre les nœuds en les faisant glisser dans les listes
correspondantes (liste de lecture, liste d'écriture, liste de méthodes).
Un changement de langue dans les listes (liste de lecture, liste d'écriture, liste de méthodes)
est impossible.
Reprise des textes de description affichés comme commentaire dans des types de données API
Lorsque vous compilez le programme, STEP 7 génère automatiquement des types de données
API (UDT) pour chaque liste de lecture, pour chaque liste d'écriture et pour les entrées et
sorties de chaque méthode. Ces types de données utilisateur possèdent respectivement un
élément pour chaque nœud.
Les types de données utilisateur reprennent le texte de description en tant que commentaire
selon les règles expliquées ci-dessus. STEP 7 génère le commentaire dans une seule langue de
la même manière que les textes dans l'interface serveur OPC UA ne peuvent être affichés que
dans une seule langue.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 353
Communication OPC UA
9.4 Utilisation d'une CPU S7-1500 comme client OPC UA
Communication
354 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.4 Utilisation d'une CPU S7-1500 comme client OPC UA
Si la structure est alors modifiée sur le serveur, par exemple si varA et varB sont interverties,
sans modification de la liste de lecture dans le client, l'affectation ne correspond plus.
• La longueur totale des données reste la même (seul l'ordre a été modifié).
• La structure diffère dans le client et dans le serveur !
ATTENTION
Aucun message d'erreur en cas de structure différente entre le client et le serveur
Lorsque les structures ne correspondent pas dans le client et dans le serveur, il se peut que
cette violation de règle ne génère pas de message d'erreur ni de la compilation, ni pendant
l'exécution.
Veillez à ne pas modifier les affectations configurées pour les structures pendant
l'exécution. Le cas échéant, configurez à nouveau les affectations dans les listes de lecture
et d'écriture !
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 355
Communication OPC UA
9.4 Utilisation d'une CPU S7-1500 comme client OPC UA
Le chapitre "Créer des interfaces client (Page 1)" montre comment créer une interface
client.
2. Cliquez sur l'onglet "Propriétés" (fenêtre d'inspection) s'il n'est pas déjà affiché.
STEP 7 affiche à présent le paramétrage de liaison pour les instructions du client OPC UA.
L'onglet "Général" est ouvert.
3. Cliquez sur l'onglet "Configuration" et paramétrez la liaison au serveur OPC UA.
Autre solution : vous pouvez entrer un nom DNS valide dans le champ "Adresse". La
longueur du nom DNS est limitée à 242 caractères.
Si l'adresse n'est pas valide, le message suivant s'affiche : "Entrez une adresse valide".
Si la chaîne de caractères des champs "Adresse", "Port" et "Chemin" comprend plus de 254
caractères, un message s'affiche pour le signaler au client.
Communication
356 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.4 Utilisation d'une CPU S7-1500 comme client OPC UA
3. Saisissez un chemin sur le serveur OPC UA afin de limiter l'accès à ce chemin. Cette
indication est optionnelle. Certains serveurs n'établissent cependant de connexion que si un
chemin de serveur est indiqué.
Si vous indiquez un chemin, celui-ci est automatiquement écrit pour l'interface client dans
l'entrée "ServerEndpointUrl" du DB de configuration. L'entrée se compose alors des
éléments "Préfixe du schéma OPC", "Adresse IP", "Numéro de port" et "Chemin du serveur",
par exemple "opc.tcp://192.168.0.10:4840/exemple/chemin".
La figure suivante montre la saisie de l'adresse IP du serveur OPC UA :
4. Si le serveur OPC UA n'utilise pas le port par défaut 4840, il faut entrer ici le numéro du port.
Tapez dans le champ le numéro 65535, par exemple, si le serveur OPC UA auquel vous
voulez établir une liaison utilise ce numéro de port.
5. Vous acceptez en outre les valeurs par défaut pour le "Dépassement de délai de session" (30
secondes) et le "Temps de surveillance" (5 secondes).
Zone "Général"
Mode de sécurité :
Choisissez dans la liste déroulante le mode de sécurité que la liaison au serveur OPC UA doit
réaliser.
Si le serveur ne remplit pas les conditions pour le mode choisi, aucune session n'est établie.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 357
Communication OPC UA
9.4 Utilisation d'une CPU S7-1500 comme client OPC UA
Stratégie de sécurité :
Paramétrez les techniques de cryptage pour signer et crypter des messages.
Les réglages suivants sont possibles :
• Aucune sécurité
• Basic128Rsa15
• Basic256
• Basic256Sha256
Lorsque vous configurez une liaison sécurisée, vous devez tenir compte des points suivants :
• Un certificat est nécessaire pour le client pour une liaison sécurisée.
• Vous devez indiquer le certificat de client au serveur.
La marche à suivre est décrite au chapitre "Utilisation des certificats du client et du serveur
(Page 1)" sous "Certificat du client OPC UA".
Zone "Certificats"
Certificat client :
Le certificat confirme l'authenticité du client OPC UA.
Pour sélectionner un certificat, cliquez sur le symbole suivant :
ou bien générez un nouveau certificat. Pour cela, cliquez sur l'icône "Ajouter".
Lorsque vous générez un nouveau certificat, vous devez communiquer ce certificat au
serveur.
Communication
358 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.4 Utilisation d'une CPU S7-1500 comme client OPC UA
Voir aussi
Manipulation des certificats de client de la CPU S7-1500 (Page 1)
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 359
Communication OPC UA
9.4 Utilisation d'une CPU S7-1500 comme client OPC UA
Conditions
L'interface IP de la CPU est configurée et il existe une adresse IP.
Explication : l'adresse IP sous laquelle la CPU est accessible dans votre installation est indiquée
sous "Autre nom du demandeur de certificat (SAN)".
Communication
360 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.4 Utilisation d'une CPU S7-1500 comme client OPC UA
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 361
Communication OPC UA
9.4 Utilisation d'une CPU S7-1500 comme client OPC UA
Communication
362 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.4 Utilisation d'une CPU S7-1500 comme client OPC UA
Résultat
Le serveur fait désormais confiance au client. Si, en plus, le certificat du serveur est considéré
comme digne de confiance, le serveur et le client peuvent établir une liaison sécurisée.
Remarque
STEP 7 enregistre le nom d'utilisateur et le mot de passe en clair dans le bloc de données
ou le bloc de données d'instance. Recommandation : utilisez l'authentification utilisateur
"Utilisateur (TIA Portal - paramètres de sécurité)".
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 363
Communication OPC UA
9.4 Utilisation d'une CPU S7-1500 comme client OPC UA
Stratégie de sécurité "Aucune Security" et authentification par nom d'utilisateur et mot de passe
Vous pouvez définir la combinaison suivante :
Stratégie de sécurité "Aucune Security" et authentification par nom d'utilisateur et mot de
passe.
• Le serveur OPC UA de la S7-1500 prend en charge cette combinaison. Les clients OPC UA
peuvent se connecter et crypter ou non les données d'identification.
• Le client OPC UA de la CPU S7-1500 prend également en charge cette combinaison :
pendant l'exécution, il ne se connecte cependant que s'il peut envoyer les données
d'authentification cryptées via la ligne !
Conséquence : aucune liaison ne peut être établie pendant l'exécution avec la configuration
suivante :
• S7-1500 comme client OPC UA
• Serveur OPC UA qui ne prend pas en charge le cryptage des données d'authentification en
cas de configuration de la stratégie de sécurité "Aucune Security" (= "none")
Voir aussi
Utilisateur et rôles avec les droits de fonction OPC UA (Page 1)
Introduction
Ce chapitre vous montre comment utiliser une liaison paramétrée dans les instructions OPC
UA (troisième étape).
Conditions
• Vous avez créé une interface client et lui avez ajouté des variables API et des méthodes,
voir (Première étape (Page 1)).
• Vous avez paramétré une liaison à un serveur OPC UA (Deuxième étape (Page 1)).
Vue d'ensemble
Pour lire des données sur un serveur OPC UA ou y écrire des données, vous utilisez les
instructions suivantes :
• OPC_UA_Connect
• OPC_UA_NamespaceGetIndexList
• OPC_UA_NodeGetHandleList
• OPC_UA_ReadList ou OPC_UA_WriteList
• OPC_UA_NodeReleaseHandleList
• OPC_UA_Disconnect
Communication
364 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.4 Utilisation d'une CPU S7-1500 comme client OPC UA
STEP 7 (TIA Portal) affecte automatiquement des valeurs aux paramètres de ces instructions
quand vous utilisez une interface client et une liaison paramétrée à un serveur OPC UA.
Vous pouvez lire ci-dessous comment procéder.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 365
Communication OPC UA
9.4 Utilisation d'une CPU S7-1500 comme client OPC UA
Si vous utilisez l'éditeur pour LIST ou pour SCL : cliquez sur le petit rectangle vert sous le
premier caractère du nom d'instance :
Communication
366 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.4 Utilisation d'une CPU S7-1500 comme client OPC UA
5. Sélectionnez sous "Interface client" celle que vous voulez utiliser pour l'instruction.
Dans notre exemple, nous sélectionnons l'interface client "ProductionLine".
STEP 7 interconnecte alors l'interface client "ProductionLine" avec les paramètres de
l'instruction OPC_UA_Connect :
"ProductionLine" est l'interface que le client OPC UA de l'exemple (Page 1) utilise pour
l'échange de données avec le serveur OPC UA "ProductionLine".
6. Amenez l'instruction "UA_NamespaceGetIndexList" dans l'éditeur de programme par
glisser-déposer.
Vous trouverez cette instruction sous "Instructions > Communication > OPC UA" dans TIA
Portal.
Choisissez l'option d'appel "Multi-instance".
Cliquez sur le symbole de boîte à outils (CONT et LOG) ou sur la case verte sous le nom
d'instance (LIST et SCL) si l'éditeur n'est pas déjà ouvert.
Sélectionnez l'interface client que vous voulez utiliser ("ProductionLine" dans l'exemple).
STEP 7 interconnecte alors automatiquement tous les paramètres de l'instruction
"OPC_UA_NamespaceGetIndexList" :
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 367
Communication OPC UA
9.4 Utilisation d'une CPU S7-1500 comme client OPC UA
Communication
368 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.4 Utilisation d'une CPU S7-1500 comme client OPC UA
Si vous voulez écrire des données dans un serveur OPC UA, sélectionnez sous "Data access
> Read/Writelist" la liste d'écriture que vous voulez utiliser (la liste d'écriture
"ProductionStatus" dans notre exemple).
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 369
Communication OPC UA
9.4 Utilisation d'une CPU S7-1500 comme client OPC UA
Communication
370 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.4 Utilisation d'une CPU S7-1500 comme client OPC UA
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 371
Communication OPC UA
9.5 Conseils et recommandations
Voir aussi
Paramètres du serveur pour souscriptions (Page 1)
Communication
372 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.5 Conseils et recommandations
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 373
Communication OPC UA
9.5 Conseils et recommandations
Figure 9-76 Appeler l'affichage détaillé des objets dans TIA Portal
Communication
374 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication OPC UA
9.5 Conseils et recommandations
Voir aussi
Créer une interface serveur personnalisée (Page 1)
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 375
Attribution d'adresses via DHCP 10
Afin de permettre une automatisation pérenne, performante et flexible, de plus en plus de
composants du secteur manufacturier prennent en charge les normes informatiques. Des
normes Ethernet globales, une communication transparente ainsi qu'un caractère polyvalent
font de l'automatisation assistée par informatique une solution économique adaptée à vos
exigences. Les extensions fonctionnelles des capacités de communication des CPU S7-1500
en ce sens vous donnent plus de liberté pour les mises en œuvre possibles de votre
installation ou de votre machine. La technologie informatique permet une automatisation
efficace. Avec l'introduction de DHCP et de l'extension de DNS pour les CPU S7-1500 à partir
de la version de firmware V2.9, vous gagnez en souplesse pour la conception de votre
solution d'automatisation.
Communication
376 Description fonctionnelle, 05/2021, A5E03735816-AJ
Attribution d'adresses via DHCP
Vous pouvez configurer les interfaces d'une CPU S7-1500 de façon que les paramètres
d'adresse, comme par exemple l'adresse IP avec le masque de sous-réseau, soient obtenus
d'un serveur DHCPv4 (désigné par serveur DHCP ci-après).
Domaines d'application
• Mise en œuvre de la CPU S7-1500 dans un environnement informatique managé
• Ajout de nouveaux appareils dans une structure de production modulaire
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 377
Attribution d'adresses via DHCP
10.1 Principe de l'attribution d'adresses via DHCP
DHCP-Discover Le client DHCP recherche un serveur DHCP approprié par diffusion générale. Le client
DHCP s'identifie auprès du serveur DHCP au moyen de l'ID client configurée ou de
son adresse MAC.
DHCP-Offer Le serveur DHCP fournit au client DHCP des paramètres d'adresse IP (adresse IPv4,
masque de sous-réseau, routeur par défaut en option), ainsi qu'éventuellement
d'autres données (options).
DHCP-Request Le client DHCP réclame les paramètres d'adresse IP et les options proposées dans
l'offre DHCP.
Le client DHCP de la CPU S7-1500 accepte toujours la première offre DHCP d'un ser-
veur DHCP qui satisfait aux exigences (adresse IP avec masque de sous-réseau).
DHCP-Acknowle Le serveur DHCP confirme et transmet les paramètres d'adresse IP et les options pro-
dgement posées dans l'offre DHCP.
Le serveur DHCP informe également le client DHCP de la durée pendant laquelle il
pourra utiliser les paramètres d'adresse ("lease time" ou "durée du bail").
Les paramètres d'adresse IP et les options ne sont pas stockés dans la mémoire de
chargement de la CPU. Après un effacement général ou un redémarrage de la CPU, les
paramètres d'adresse IP et les options sont à nouveau obtenus via DHCP.
Communication
378 Description fonctionnelle, 05/2021, A5E03735816-AJ
Attribution d'adresses via DHCP
10.1 Principe de l'attribution d'adresses via DHCP
Pendant combien de temps la CPU S7-1500 peut-elle utiliser les paramètres d'adresse DHCP ?
Outre les paramètres d'adresse, le serveur DHCP indique la durée du bail ("lease time") à la
CPU S7-1500 (client DHCP). La durée du bail détermine pendant combien de temps la CPU
peut utiliser les paramètres d'adresse.
La CPU retourne les paramètres d'adresse affectés lorsque la durée du bail a complètement
expiré. La CPU dispose d'une surveillance de temps interne pour la durée du bail.
La CPU a la possibilité de proroger le bail à des moments précis de l'écoulement de la durée
du bail :
• Renouvellement ("renewal") : la moitié de la durée du bail s'est écoulée : La CPU contacte
le serveur DHCP initial et demande une prolongation de la durée de bail. Le serveur DHCP
initial peut soit confirmer la durée de bail existante, soit attribuer une nouvelle durée de
bail. La surveillance de temps dans la CPU est réinitialisée en cas de nouvelle durée de bail.
• Réassociation ("rebinding") : 7/8 de la durée du bail se sont écoulés : La CPU contacte tous
les serveurs DHCP disponibles en diffusion générale et demande une prolongation de la
durée de bail. Un serveur DHCP peut soit confirmer la durée de bail existante, soit attribuer
une nouvelle durée de bail. La surveillance de temps dans la CPU est réinitialisée en cas de
nouvelle durée de bail.
En cas de réponse négative du serveur DHCP lors de la réassociation ou en l'absence de
réponse des serveurs DHCP, la CPU renvoie les paramètres d'adresse après 8/8 de la durée
du bail.
Si la CPU a renvoyé les paramètres d'adresse à l'expiration de la durée du bail, elle lance un
nouveau cycle d'attribution d'adresses par DHCP avec une nouvelle recherche DHCP-Discover.
Voir aussi
Configurer l'ID client (Page 1)
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 379
Attribution d'adresses via DHCP
10.2 DHCP avec DNS
Communication
380 Description fonctionnelle, 05/2021, A5E03735816-AJ
Attribution d'adresses via DHCP
10.2 DHCP avec DNS
La manière dont vous paramétrez la configuration DNS pour votre CPU dépend de la manière
dont vous attribuez le nom d'hôte et le domaine dans votre réseau.
• Attribution centralisée du nom d'hôte et du domaine
Vous attribuez le nom d'hôte et le domaine de manière centralisée dans votre réseau, par
exemple par le biais d'un serveur DNS configuré. Vous configurez dans STEP 7 que la CPU
reçoit le nom d'hôte et le domaine par DHCP.
Dans la configuration suivante, seule l'ID client est configurée dans la CPU S7-1500. Lors
de l'attribution d'adresse par DHCP, le serveur DHCP fournit les options Nom d'hôte et
Domaine à la CPU.
Pour cette configuration, vous devez d'abord activer la configuration de nom d'hôte et de
domaine dans STEP 7. Vous spécifiez ensuite que le nom d'hôte et le domaine sont reçus
par DHCP.
Recevoir le nom d'hôte et le domaine par DHCP (Page 1)
• Attribution locale du nom d'hôte et du domaine
Vous pouvez configurer le nom d'hôte et le domaine dans STEP 7 ou les définir dans le
programme utilisateur.
Remarque
Validité des données reçues de DHCP
Lorsque vous modifiez le nom d'hôte et/ou le domaine dans le programme utilisateur,
toutes les données reçues de DHCP (suite IP, nom d'hôte, domaine, serveur NTP, serveur
DNS) deviennent invalides et doivent à nouveau être obtenues auprès du serveur DHCP.
C'est pourquoi vous ne devez modifier le nom d'hôte et/ou le domaine qu'en cas d'urgence
et pas en cours de fonctionnement.
Toutes les connexions peuvent être interrompues si l'adresse IP de l'interface change.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 381
Attribution d'adresses via DHCP
10.2 DHCP avec DNS
Pour cette configuration, vous devez d'abord activer la configuration de nom d'hôte et de
domaine dans STEP 7. Vous configurez ensuite le nom d'hôte et le domaine dans STEP 7.
• Attribution centralisée du domaine et attribution locale du nom d'hôte
– Vous configurez dans STEP 7 que la CPU reçoit le domaine par DHCP.
– Vous pouvez configurer le nom d'hôte dans STEP 7 ou le définir dans le programme
utilisateur.
Communication
382 Description fonctionnelle, 05/2021, A5E03735816-AJ
Attribution d'adresses via DHCP
10.2 DHCP avec DNS
Dans la configuration suivante, le nom d'hôte est configuré en plus de l'ID client dans la
CPU S7-1500. Lors de l'attribution d'adresse par DHCP, la CPU transmet au serveur DHCP le
nom d'hôte en plus de l'ID client. Le serveur DHCP fournit l'option Domaine à la CPU.
Pour cette configuration, vous devez d'abord activer la configuration de nom d'hôte et de
domaine dans STEP 7. Vous configurez ensuite le nom d'hôte dans STEP 7 et spécifiez que
le domaine est reçu via DHCP.
Condition
• Vous avez activé l'attribution d'adresses par DHCP pour au moins une interface de la CPU
S7-1500.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 383
Attribution d'adresses via DHCP
10.2 DHCP avec DNS
Communication
384 Description fonctionnelle, 05/2021, A5E03735816-AJ
Attribution d'adresses via DHCP
10.3 Activer DHCP
Conditions
• CPU S7-1500 à partir de la version de firmware V2.9
Marche à suivre
Procédez comme suit pour activer DHCP pour l'interface PROFINET d'une CPU S7-1500 :
1. Sélectionnez l'interface PROFINET de la CPU S7-1500 dans STEP 7.
2. Naviguez jusqu'à "Adresses Ethernet" > "Protocole Internet version 4 (IPv4)" dans les
propriétés de l'interface.
3. Sélectionnez l'option "Adresse IP du serveur DHCP".
Résultat
Vous avez spécifié que l'interface doit recevoir son adresse IP par serveur DHCP.
"Utiliser l'adresse MAC comme ID de client" est configuré comme mode DHCP pour la CPU S7-
1500. Configurer l'ID client (Page 1) décrit comment modifier l'ID client.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 385
Attribution d'adresses via DHCP
10.4 Configurer l'ID client
ID client
La CPU S7-1500 s'identifie toujours au moyen de son ID client auprès d'un serveur DHCP
(option DHCP 61). L'ID client est spécifique à l'interface.
La CPU S7-1500 prend en charge les deux modes suivants en ce qui concerne l'ID client :
• Utiliser l'adresse MAC comme ID de client : l'adresse MAC de la CPU est utilisée comme ID
client pour le client DHCP. Tenez compte du fait que l'adresse MAC et donc l'ID client
changent si vous effectuez un remplacement de CPU dans ce mode de fonctionnement.
• ID de client personnalisée : pour cette option, vous définissez l'ID client dans la
configuration dans STEP 7. Vous pouvez en outre modifier l'ID client à l'exécution, par
exemple avec l'instruction "CommConfig" dans le programme utilisateur.
Si vous effectuez un remplacement de CPU dans ce mode de fonctionnement, la nouvelle
CPU reçoit l'ID client configurée.
Condition
• Vous avez activé l'attribution d'adresses par DHCP pour l'interface.
Communication
386 Description fonctionnelle, 05/2021, A5E03735816-AJ
Attribution d'adresses via DHCP
10.5 Recevoir les adresses des serveurs DNS par DHCP
Remarque
Validité des données reçues par DHCP
Lorsque vous modifiez l'ID client avec "CommConfig", toutes les données reçues de DHCP
deviennent invalides : suite IP, nom de domaine, serveur NTP, serveur DNS. C'est pourquoi
vous ne devez modifier l'ID client qu'en cas d'urgence et pas en cours de fonctionnement.
Vous trouverez plus d'informations sur l'instruction "CommConfig" et sur les UDT
"Conf_ClientId" et "Conf_ClientId_Opaque" dans l'aide en ligne de STEP 7.
Conditions
• Vous avez activé l'attribution d'adresses par DHCP pour au moins une interface de la CPU
S7-1500.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 387
Attribution d'adresses via DHCP
10.6 Recevoir les adresses des serveurs NTP par DHCP
Conditions
• Vous avez activé l'attribution d'adresses par DHCP pour au moins une interface de la CPU
S7-1500.
Condition
• Vous avez activé l'attribution d'adresses par DHCP pour au moins une interface de la CPU
S7-1500.
• Vous avez activé la configuration du nom d'hôte et du domaine dans STEP 7.
Communication
388 Description fonctionnelle, 05/2021, A5E03735816-AJ
Attribution d'adresses via DHCP
10.7 Recevoir le nom d'hôte et le domaine par DHCP
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 389
Routage 11
11.1 Vue d'ensemble des mécanismes de routage des CPU S7-1500
Le tableau suivant offre une vue d'ensemble sur les mécanismes de routage de la
CPU S7-1500.
Communication
390 Description fonctionnelle, 05/2021, A5E03735816-AJ
Routage
11.2 Routage S7
11.2 Routage S7
Définition du routage S7
Le routage S7 est la transmission de données au-delà des limites de sous-réseau S7. Vous
pouvez envoyer des informations d'un émetteur à un récepteur en passant par différents
sous-réseaux S7. Le passage d'un sous-réseau S7 à un ou plusieurs autres sous-réseaux est
réalisé dans le routeur S7. Le routeur S7 est un appareil disposant des interfaces vers les sous-
réseaux S7 concernés. Le routage S7 est possible via différents sous-réseaux S7
(PROFINET/Industrial Ethernet et/ou PROFIBUS).
Remarque
Pare-feu et routage S7
Avec le routage S7, un pare-feu ne détecte pas l'adresse IP de l'émetteur si l'émetteur se
trouve en dehors du sous-réseau S7 voisin.
Vue d'ensemble des appareils prenant en charge la fonction "Routage S7, voir cette FAQ
(https://support.industry.siemens.com/cs/ww/fr/view/584459).
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 391
Routage
11.2 Routage S7
Communication
392 Description fonctionnelle, 05/2021, A5E03735816-AJ
Routage
11.2 Routage S7
La figure suivante représente l'accès depuis un PG à PROFIBUS via PROFINET. La CPU 1 assume
le rôle de routeur S7 entre le sous-réseau S7 1 et le sous-réseau S7 2 ; la CPU 2 assume le rôle
de routeur S7 entre le sous-réseau S7 2 et le sous-réseau S7 3.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 393
Routage
11.2 Routage S7
Utilisation du routage S7
Pour la CPU, sélectionnez dans la boîte de dialogue "Liaison en ligne" de STEP 7 l'interface
PG/PC et le sous-réseau S7. Le routage S7 est automatiquement exécuté.
Communication
394 Description fonctionnelle, 05/2021, A5E03735816-AJ
Routage
11.2 Routage S7
Informations complémentaires
• L'affectation de ressources de liaison pour le routage S7 est décrite au chapitre Affectation
de ressources de liaison (Page 1).
• Vous trouverez des informations détaillées pour la configuration de TeleService dans l'aide
en ligne de STEP 7.
• Vous trouverez des informations complémentaires sur le routage S7 et les adaptateurs
TeleService sur Internet, sous les liens suivants :
– Manuel Industrie Software Engineering Tools TS Adapter IE Basic
(http://support.automation.siemens.com/WW/view/fr/51311100)
– Téléchargements pour TS Adapter
(http://support.automation.siemens.com/WW/view/fr/10805406/133100)
Voir aussi
Communication IHM (Page 1)
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 395
Routage
11.3 IP Forwarding
11.3 IP Forwarding
Domaines d’application
• Accès aisé du niveau de conduite au niveau terrain pour la configuration et le paramétrage
d'appareils de terrain, par exemple par PDM ou navigateur Web
• Intégration aisée d'appareils pour des accès à distance, par exemple pour le diagnostic en
cas de télémaintenance ou pour la mise à jour du firmware
Communication
396 Description fonctionnelle, 05/2021, A5E03735816-AJ
Routage
11.3 IP Forwarding
Table de routage IP
Lorsque la fonction IP Forwarding est activée, la CPU fait suivre les paquets IP qu'elle reçoit et
qui ne lui sont pas adressés. La manière dont la CPU transmet les paquets IP est définie dans
sa table de routage IP interne.
La CPU crée la table de routage IP automatiquement à partir des informations suivantes de la
configuration matérielle chargée :
• Configuration IP des interfaces Ethernet
• Routeur configuré
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 397
Routage
11.3 IP Forwarding
• Les adresses IP d'une passerelle par défaut ou les itinéraires correspondants sont entrés de
même pour le PC, le routeur IP, le périphérique IO et l'appareil IHM.
Communication
398 Description fonctionnelle, 05/2021, A5E03735816-AJ
Routage
11.3 IP Forwarding
Avec cet exemple de configuration, on obtient la table de routage IP suivante pour la CPU.
Pour qu'une communication IP entre la PG/le PC et l'appareil IHM soit possible, vous devez
configurer des itinéraires IP supplémentaires vers le sous-réseau IP de l'appareil IHM et dans la
PG et dans le routeur IP. Dans l'appareil IHM, configurez l'adresse IP de l'interface CPU X1
comme passerelle par défaut.
Dans un ordinateur Windows, vous configurez par exemple un itinéraire IP supplémentaire
dans l'invite de commandes au moyen de la commande "route add <sous-réseau IP
destinataire> mask <masque de sous-réseau> <passerelle>". Vous devez toutefois disposer
des droits d'accès appropriés. Pour cet exemple, vous saisirez ainsi la commande suivante
dans l'invite :
• "route add 192.168.2.0 mask 255.255.255.0 192.168.4.20"
Dans un routeur IP, vous configurez des itinéraires supplémentaires par le biais d'une
interface Web, par exemple. Vous configurerez l'itinéraire suivant pour cet exemple :
• Sous-réseau IP de destination : 192.168.2.0
• Masque de sous-réseau : 255.255.255.0
• Passerelle : 10.10.0.10
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 399
Routage
11.3 IP Forwarding
Restrictions
Vous ne pouvez pas configurer des itinéraires IP en plus du routeur (passerelle par défaut)
pour une CPU S7-1500. Le réseau destinataire est un sous-réseau IP raccordé ou bien il est
accessible par exactement un routeur configurable. Comme la CPU S7-1500 ne prend pas en
charge des itinéraires IP supplémentaires, vous ne pouvez pas réaliser des cascades de
routeurs IP bidirectionnelles.
Dans la configuration suivante, vous pouvez configurer soit "Routeur 1", soit "Routeur 2" dans
la CPU. "Routeur 1" est configuré dans l'exemple. Vous ne pouvez donc pas configurer
"Routeur 2". Une communication IP entre le PC et l'appareil IHM n'est pas possible, car le trajet
ne peut pas s'effectuer dans les deux sens.
Communication
400 Description fonctionnelle, 05/2021, A5E03735816-AJ
Routage
11.3 IP Forwarding
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 401
Routage
11.3 IP Forwarding
• La CPU accède par les interfaces X1 et X2 à tous les appareils dans les sous-réseaux IP B et
C proches en vert foncé.
• Un routeur SCALANCE S est configuré dans la CPU. La CPU accède par le biais du routeur
aux appareils dans le sous-réseau IP A distant en vert clair.
• Dans la CPU, la fonction "Accès à l'API via module de communication" est activée pour le
CP 1543. La CPU accède à tous les appareils dans le sous-réseau IP par le biais de
l'interface W1.
Si la fonction IP Forwarding est activée dans la CPU, un appareil du sous-réseau IP A peut
accéder à tous les appareils dans les sous-réseaux IP B, C et D proches de la CPU.
Protégez votre système d'automatisation et les appareils raccordés contre des accès non
autorisés de l'extérieur.
Séparez les sous-réseaux IP proches de la CPU des sous-réseaux IP distants au moyen d'un
pare-feu. Utilisez, par exemple, le module de sécurité SCALANCE S avec pare-feu intégré.
La façon de protéger une cellule d'automatisation à l'aide des modules de sécurité SCALANCE
S602 V3 et SCALANCE S623 avec un pare-feu est décrite dans cet exemple d'application
(https://support.industry.siemens.com/cs/ww/fr/view/22376747).
Communication
402 Description fonctionnelle, 05/2021, A5E03735816-AJ
Routage
11.4 Routage d'enregistrement
Activer/désactiver IP Forwarding
Procédez comme suit pour activer la fonction IP Forwarding :
1. Sélectionnez la CPU dans la vue du réseau de STEP 7 (TIA Portal).
2. Dans la fenêtre d'inspection, naviguez jusqu'à "Général" > "Configuration avancée" > "IP
Forwarding" dans les propriétés de la CPU.
3. Cochez la case "Activer le transfert IPv4 pour les interfaces de cet API" dans la zone
"Configuration IPv4 Forwarding".
Résultat : IP Forwarding est activé pour toutes les interfaces de la CPU S7-1500.
Pour désactiver IP Forwarding, vous décochez la case "Activer le transfert IPv4 pour les
interfaces de cet API".
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 403
Routage
11.4 Routage d'enregistrement
Informations complémentaires
• La différence entre routage normal et routage d'enregistrement est expliquée dans cette
FAQ (https://support.industry.siemens.com/cs/ww/fr/view/7000978).
• Se reporter aux manuels des appareils respectifs pour savoir si la CPU, le CP ou le CM
prennent en charge le routage d'enregistrement.
• L'affectation de ressources de liaison pour le routage d'enregistrement est décrite au
paragraphe Affectation de ressources de liaison (Page 1).
• Des informations complémentaires sur la configuration avec STEP 7 sont disponibles dans
l'aide en ligne de STEP 7.
Communication
404 Description fonctionnelle, 05/2021, A5E03735816-AJ
Routage
11.5 Interface virtuelle pour applications à base IP
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 405
Routage
11.5 Interface virtuelle pour applications à base IP
L'interface virtuelle présente les limitations suivantes par rapport aux interfaces classiques :
• L'interface virtuelle ne permet pas d'accéder au serveur Web.
• La sauvegarde en ligne n'est pas possible avec TIA Portal via une console de
programmation raccordée.
• Si la CPU et le partenaire de communication sont reliés entre eux via l'interface virtuelle,
vous ne pouvez pas échanger de données via LLDP (Link Layer Discovery Protocol).
• Le service Routage S7 n'utilise pas l'interface virtuelle W1.
Condition
Les conditions suivantes doivent être remplies pour l'accessibilité d'un service CPU via
l'interface Ethernet d'un CP.
• CPU S7-1500 à partir de la version de firmware V2.8
• CP 1543-1 à partir de la version de firmware V2.2
Les CPU R/H ne prennent pas cette fonction en charge, car elles ne prennent pas en charge les
processeurs de communication.
Communication
406 Description fonctionnelle, 05/2021, A5E03735816-AJ
Routage
11.5 Interface virtuelle pour applications à base IP
Une fois le CP sélectionné, les indications et les paramètres pour l'interface virtuelle
s'affichent. Vous pouvez éditer ici les paramètres pour le protocole IP et les paramètres
PROFINET :
• Vous pouvez choisir le sous-réseau IP librement, tout comme le CP. Vous indiquez le sous-
réseau IP via le masque de sous-réseau et l'adresse IP de l'interface virtuelle.
• Lors de la saisie du sous-réseau IP pour l'interface virtuelle, veillez à ne pas indiquer le
même sous-réseau IP que pour l'interface locale de la CPU.
Une fois l'adresse IP saisie, elle apparaît dans la liste des adresses de serveur dans la boîte de
dialogue des propriétés du serveur OPC UA. Avec ces paramétrages, la CPU dispose de la
nouvelle interface virtuelle W1 par laquelle des services CPU comme le serveur OPC UA sont
accessibles au moyen d'un module de communication. Les liaisons créées en conséquence et
la communication S7 (p. ex. IHM et BSEND, BRCV) passent par cette interface Le serveur OPC
UA ne permet pas la sélection d'une interface précise (sélection par une adresse IP) : elles
sont toutes possibles ou bien aucune n'est possible.
Remarque
L'adresse IP de l'interface virtuelle ne figure pas en tant que W1 sous les interfaces locales
actuellement affichées (Xn) sur l'écran de l'appareil, mais sous "Adresses" dans la section
"Paramètres". L'interface virtuelle est visible même lorsqu'aucun CP n'est enfiché ou que
l'interface virtuelle n'est pas activée. L'adresse IP et le masque de sous-réseau ont la valeur
0.0.0.0 si aucune suite IP n'est disponible.
Lorsqu'on modifie les paramètres d'adresse IP configurés et chargés de l'interface virtuelle via
l'écran, l'instruction T_CONFIG ou en ligne, la configuration chargée est à nouveau active
après un redémarrage de la CPU.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 407
Routage
11.5 Interface virtuelle pour applications à base IP
IMPORTANT
Liaison avec des réseaux non sécurisés
Si vous connectez le CP avec un réseau non sécurisé, vous devez absolument intercaler un
pare-feu supplémentaire entre le CP et le réseau non sécurisé. Utilisez, par exemple, les
modules de sûreté SCALANCE S602 V3 et SCALANCE S623 avec pare-feu intégré.
Communication
408 Description fonctionnelle, 05/2021, A5E03735816-AJ
Ressources de liaison 12
12.1 Ressources de liaison d'une station
Introduction
Certains services de communications requièrent des liaisons. Les liaisons utilisent des
ressources du système d'automatisation (station). Les ressources de liaison sont mises à la
disposition de la station par les CPU, processeurs de communication (CP) et modules de
communication (CM).
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 409
Ressources de liaison
12.1 Ressources de liaison d'une station
La figure suivante montre à titre d'exemple comment des composants mettent des ressources
de liaison à la disposition d'une station S7-1500.
Communication
410 Description fonctionnelle, 05/2021, A5E03735816-AJ
Ressources de liaison
12.1 Ressources de liaison d'une station
Tableau 12- 1 Ressources de liaison prises en charge au maximum pour quelques types de CPU
Ressources de liaison d'une station 1511 1512C 1515 1516 1517 1518
1511C 1513
Ressources de liaison maximales de la station 96 128 192 256 320 384
dont réservées 10
dont dynamiques 86 118 182 246 310 374
Ressources de liaison de la CPU 64 88 108 128 288 320
Nombre max. de ressources de liaison supplémentaires 32 40 84 128 32 64
utilisables par embrochage de CM/CP
Ressources de liaison supplémentaires CM 1542-1 64
Ressources de liaison supplémentaires CP 1543-1 118
Ressources de liaison supplémentaires CM 1542-5 40
Ressources de liaison supplémentaires CP 1542-5 16
Le nombre de ressources de liaison prises en charge par une CPU ou par un module de
communication est indiqué dans les caractéristiques techniques des manuels.
Exemple
Vous avez configuré une CPU 1516-3 PN/DP avec un module de communication CM 1542-1 et
un processeur de communication CP 1542-5.
• Ressources de liaison maximales de la station : 256
• Ressources de liaison disponibles :
– CPU 1516-3 PN/DP : 128
– CM 1542-1 : 64
– CP 1542-5 : 16
– Total : 208
Cette configuration met à disposition 208 ressources de liaison. L'ajout de modules de
communication permet à la station de prendre en charge au maximum 48 ressources de
liaison supplémentaires.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 411
Ressources de liaison
12.2 Affectation de ressources de liaison
Communication
412 Description fonctionnelle, 05/2021, A5E03735816-AJ
Ressources de liaison
12.2 Affectation de ressources de liaison
Tableau 12- 2 Nombre maximal de ressources de liaison utilisées pour différents appareils IHM
Basic Panel 1
Comfort Panel 21
RT Advanced 21
RT Professional 3
1 Quand vous n'utilisez ni le diagnostic système, ni la configuration d'alarmes, la station ne requiert
qu'une seule ressource de liaison par liaison IHM.
Exemple : vous avez configuré les liaisons IHM suivantes pour une CPU 1516-3 PN/DP :
• deux liaisons IHM à un HMI TP700 Comfort (2 ressources de liaison chacune)
• une liaison IHM à un HMI KTP1000 Basic (1 ressource de liaison)
Au total, 5 ressources de liaison sont utilisées pour la communication IHM dans la CPU.
Remarque
Manque de ressources dû à des ressources de liaison temporaires
Un manque de ressources de liaison se produit dans le cas suivant :
• Le client OPC UA établit ou interrompt simultanément plusieurs liaisons.
• Le nombre de ressources de liaison disponibles de la station ne suffit pas pour les
ressources de liaison permanentes et temporaires de la communication client OPC UA.
Veillez à ce qu'il y ait toujours des ressources de liaison disponibles suffisantes pour
l'établissement et l'interruption de liaisons OPC UA dans la station.
Mesures :
• Planifiez des réserves suffisantes pour les liaisons client OPC UA.
• Le cas échéant, établissez ou interrompez les liaisons OPC UA les unes après les autres.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 413
Ressources de liaison
12.2 Affectation de ressources de liaison
Le routage d'enregistrement permet lui aussi de transmettre des données d'une station
d'ingénierie connectée à PROFINET à divers appareils de terrain à travers plusieurs sous-
réseaux S7 par le biais de PROFIBUS.
Comme le routage S7, le routage d'enregistrement utilise sur chaque routeur deux des
ressources de liaison spéciales pour routage S7.
Remarque
Ressources de liaison lors du routage d'enregistrement
Sur le routeur d'enregistrement, deux ressources de liaison particulières du routage S7 sont
utilisées pour le routage d'enregistrement. Ni la liaison d'enregistrement ni les ressources de
liaison occupées ne sont affichées dans le tableau des ressources d'enregistrement.
Communication
414 Description fonctionnelle, 05/2021, A5E03735816-AJ
Ressources de liaison
12.2 Affectation de ressources de liaison
Hors ligne
STEP 7 surveille l'utilisation des ressources de liaison lors de la configuration des liaisons. STEP
7 signale tout dépassement du nombre maximal de ressources de liaison par une alarme
appropriée.
En ligne
La CPU surveille l'utilisation des ressources de liaison dans le système d'automatisation. Si
vous établissez dans le programme utilisateur plus de liaisons qu'il n'y a de ressources de
liaison disponibles dans le système d'automatisation, la CPU signale une erreur en réponse à
l'instruction d'établissement de liaison.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 415
Ressources de liaison
12.3 Affichage des ressources de liaison
Figure 12-4 Exemple : Ressources de liaison réservées et disponibles (vue hors ligne)
Communication
416 Description fonctionnelle, 05/2021, A5E03735816-AJ
Ressources de liaison
12.3 Affichage des ressources de liaison
Remarque
Dépassement des ressources de liaison disponibles
STEP 7 signale le dépassement des ressources de liaison spécifiques de la station par un
avertissement. Si vous voulez exploiter la totalité des ressources de liaison disponibles de la
CPU, du CP et du CM, utilisez une CPU avec un plus grand nombre maximal disponible de
ressources de liaison spécifiques à la station ou bien réduisez le nombre de liaisons de
communication.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 417
Ressources de liaison
12.3 Affichage des ressources de liaison
La vue en ligne du tableau "Ressources de liaison" contient, outre les colonnes de la vue hors
ligne, des colonnes avec les ressources de liaison momentanément utilisées. Dans la vue en
ligne, toutes les ressources de liaison utilisées dans le système d'automatisation s'affichent,
indépendamment de la méthode ayant servi à créer la liaison.
La ligne "Autre communication" affiche les ressources de liaison utilisées pour la
communication avec des appareils d'autres constructeurs. Le tableau est mis à jour
automatiquement.
Remarque
Quand une liaison S7 par routeur passe par une CPU, les ressources de liaison requises de la
CPU ne sont pas affichées dans le tableau des ressources de liaison.
Communication
418 Description fonctionnelle, 05/2021, A5E03735816-AJ
Ressources de liaison
12.3 Affichage des ressources de liaison
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 419
Diagnostic et suppression des défauts 13
13.1 Diagnostic de liaisons
Pour la liaison choisie dans la table des liaisons, des informations de diagnostic détaillées sont
disponibles dans l'onglet "Informations sur la liaison".
Communication
420 Description fonctionnelle, 05/2021, A5E03735816-AJ
Diagnostic et suppression des défauts
13.1 Diagnostic de liaisons
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 421
Diagnostic et suppression des défauts
13.1 Diagnostic de liaisons
Communication
422 Description fonctionnelle, 05/2021, A5E03735816-AJ
Diagnostic et suppression des défauts
13.2 Adresse de secours
Informations complémentaires
La fonctionnalité du serveur Web est décrite dans la description fonctionnelle Serveur Web
(http://support.automation.siemens.com/WW/view/fr/59193560).
Conditions
• Vous avez sélectionné dans la configuration de l'appareil dans STEP 7 "Définir l'adresse IP
dans le projet" pour le protocole IP.
• La CPU est à l'état de fonctionnement ARRET.
Résultat
La CPU démarre avec l'adresse IP valide.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 423
Communication avec le système redondant
S7-1500R/H 14
Introduction
La communication avec le système redondant S7-1500R/H fonctionne en principe de la même
manière que le système standard S7-1500.
Ce chapitre décrit les particularités et les restrictions de la communication avec le système
redondant S7-1500R/H
Communication
424 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication avec le système redondant S7-1500R/H
14.1 Adresses IP système
Cas d'application
Vous utilisez les adresses IP système dans les applications suivantes :
• Communication HMI avec le système redondant S7-1500R/H : Vous vous servez d'une HMI
pour commander ou surveiller le processus sur le système redondant S7-1500R/H.
• Open User Communication avec le système redondant S7-1500R/H :
– une autre CPU ou une application sur le PC accède à des données du système
redondant S7-1500R/H.
– le système redondant S7-1500R/H accède à un autre appareil.
Des liaisons TCP, UDP et ISO-on-TCP sont possibles.
• IP-Forwarding : si vous utilisez les adresses IP système comme passerelle/route par défaut
pour les routes IP par le système redondant S7-1500R/H, des paquets IP sont transmis,
même en cas de défaillance d'une CPU.
Conditions
• L'interface du partenaire de communication est reliée aux deux CPU par la même interface
respectivement (X2 par exemple).
• L'adresse IP système pour les interfaces du système S7-1500R/H est activée.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 425
Communication avec le système redondant S7-1500R/H
14.1 Adresses IP système
① Open User Communication entre une autre CPU et le système redondant S7-1500R/H
② Communication HMI avec le système redondant S7-1500R/H
③ Open User Communication entre le système redondant S7-1500R/H et un PC
Figure 14-1 Exemple : communication du système redondant S7-1515R via l'adresse IP système X2
Communication
426 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication avec le système redondant S7-1500R/H
14.1 Adresses IP système
① Open User Communication entre le système redondant S7-1500R/H et une autre CPU
② Communication HMI avec le système redondant S7-1500R/H
③ Open User Communication entre le système redondant S7-1500R/H et un PC
Figure 14-2 Exemple : communication du système redondant S7-1513R via l'adresse IP système X1
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 427
Communication avec le système redondant S7-1500R/H
14.1 Adresses IP système
① Open User Communication entre le système redondant S7-1500R/H et une autre CPU.
② Communication HMI avec le système redondant S7-1500R/H
③ Open User Communication entre le système redondant S7-1500R/H et un PC
Figure 14-3 Exemple : communication du système redondant S7-1515R via les adresses IP système X1
et X2
Communication
428 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication avec le système redondant S7-1500R/H
14.1 Adresses IP système
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 429
Communication avec le système redondant S7-1500R/H
14.1 Adresses IP système
Remarque
Univocité de l'adresse MAC virtuelle
Le système redondant S7-1500R/H utilise pour chaque adresse IP système une adresse
MAC de la plage d'adresses 00-00-5E-00-01-00 à 00-00-5E-00-01-00. Cette plage
d'adresses est aussi utilisée pour VRRP (Virtual Redundancy Protocol).
Si vous utilisez des appareils avec VRRP, des commutateurs par exemple, vous devez donc
veiller à ce que les adresses MAC soient uniques à l'intérieur d'un domaine de diffusion
Ethernet.
Résultat : l'adresse IP système X1 pour les interfaces PROFINET X1 des deux CPU est activée.
Communication
430 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication avec le système redondant S7-1500R/H
14.2 Comportement en cas de SyncUp
Remarque
Durée augmentée de l'interruption de la liaison
Lorsque le système distant n'émet pas de façon active après la commutation CPU principale-
réserve, il peut arriver que la surveillance de liaison (p. ex. TCP-Keep-Alive ou l'application)
doive être effectuée par le système distant, jusqu'à ce que la liaison puisse à nouveau être
établie.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 431
Communication avec le système redondant S7-1500R/H
14.4 Ressources de liaison du système redondant S7-1500R/H
Communication
432 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication avec le système redondant S7-1500R/H
14.5 Communication HMI avec le système redondant S7-1500R/H
Figure 14-6 Affichage des ressources de liaison du système redondant S7-1500R/H dans STEP 7
Conditions
• Un système redondant S7-1500R/H, par ex. CPU 1513R-1PN
• Adresse IP système activée
• Appareil HMI avec interface PROFINET
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 433
Communication avec le système redondant S7-1500R/H
14.5 Communication HMI avec le système redondant S7-1500R/H
Marche à suivre
Procédez comme suit pour configurer une liaison HMI à un système redondant S7-1500R/H :
1. Dans la vue du réseau de STEP 7, sélectionnez l'interface PROFINET de l'appareil HMI.
2. Tracez une ligne par glisser/déplacer entre l'interface PROFINET de l'appareil HMI et une
interface PROFINET du système redondant S7-1500R/H.
L'appareil HMI et le système redondant S7-1500R/H sont interconnectés.
3. Cliquez sur le bouton "Liaisons" dans la liste de fonctions. Vous activez ainsi le mode de
liaison.
4. Tracez une ligne par glisser/déplacer entre l'appareil HMI et une CPU du système redondant
S7-1500R/H.
La liste "Partenaire de liaison" s'ouvre.
Communication
434 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication avec le système redondant S7-1500R/H
14.5 Communication HMI avec le système redondant S7-1500R/H
Remarque
Configuration automatique de la liaison HMI
Si vous ajoutez une variable du système redondant S7-1500R/H par glisser/déplacer dans une
vue HMI ou une table des variables HMI, STEP 7 crée automatiquement une liaison HMI. Cette
liaison HMI est établie par défaut entre l'interface PROFINET de l'appareil HMI et l'interface
PROFINET X1 de la CPU avec ID de redondance 1. La liaison utilise ensuite l'adresse IP
d'appareil de l'interface PROFINET X1.
Vous pouvez commuter la liaison HMI sur une adresse IP système dans les propriétés de la
liaison HMI.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 435
Communication avec le système redondant S7-1500R/H
14.6 Open User Communication avec le système redondant S7-1500R/H
Tableau 14- 1 Protocoles, types de données système et instructions utilisables pour l'Open User Com-
munication avec le système redondant S7-1500R/H
Introduction
Le système redondant S7-1500R/H peut communiquer avec d'autres appareils via l'Open User
Communication.
Vous configurez les liaisons dans le programme utilisateur, par ex. via l'instruction "TSEND_C".
Le système redondant S7-1500R/H ne prend pas en charge des liaisons configurées
Vous pouvez configurer des liaisons via des adresses IP d'appareil ou via les adresses IP
système des interfaces PROFINET.
Communication
436 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication avec le système redondant S7-1500R/H
14.6 Open User Communication avec le système redondant S7-1500R/H
Communication Open User Communication via une adresse IP système du système redondant
S7-1500R/H
Si vous configurez la liaison via une adresse IP système, la communication s'effectue toujours
via la CPU principale.
Recommandation : utilisez toujours une adresse IP système pour l'Open User Communication.
Communication Open User Communication via une adresse IP d'appareil du système redondant
S7-1500R/H
En mode redondant, le système redondant peut établir ou interrompre des liaisons et envoyer
ou recevoir des données via chaque adresse IP d'appareil.
Si vous configurez la liaison via une adresse IP d'appareil, la communication s'effectue via la
CPU correspondante. Lorsqu'une défaillance de la CPU se produit, toute la communication via
les adresses IP d'appareil de cette CPU est également défaillante.
Conditions
• Un système redondant S7-1500R/H, par ex. 2 CPU 1513-1PN
• Adresse IP système de l'interface PROFINET X1 activée
• CPU 1516-3PN/DP
• Les interfaces PROFINET X1 des CPU 1513R et l'interface PROFINET X2 de la CPU
1516-3PN/DP se trouvent dans le même sous-réseau.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 437
Communication avec le système redondant S7-1500R/H
14.6 Open User Communication avec le système redondant S7-1500R/H
Communication
438 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication avec le système redondant S7-1500R/H
14.6 Open User Communication avec le système redondant S7-1500R/H
3. Naviguez dans la fenêtre d'inspection jusqu'à "Propriétés" > "Configuration" > "Paramètres de
la liaison".
Sur le côté gauche, vous voyez le système redondant S7-1500R/H comme nœud d'extrémité
local de la liaison :
– "Interface :" : l'interface X1 est paramétrée par défaut.
– "Sous-réseau :" : si l'interface X1 est affectée à un sous-réseau S7, STEP 7 affiche le nom
du sous-réseau S7.
– La case d'option "Utiliser l'adresse du système H" est activée. Sous "Adresse :" se trouve
l'adresse IP système du système redondant S7-1500R/H.
4. Sélectionnez pour "Partenaire" sous "Noeud d'extrémité :" la CPU 1516-3PN/DP comme
partenaire de communication.
5. Sélectionnez pour "Partenaire" sous "Interface :" l'interface PROFINET X2 de la CPU
1516-3PN/DP.
6. Sélectionnez pour "Local" sous "Données de liaison" le paramètre "<nouveau>".
STEP 7 crée un bloc de données dans le programme utilisateur du système redondant
S7-1500R/H pour les données de liaison, par ex. "PLC_1_Send_DB".
"TCP" est paramétré par défaut pour "Type de liaison".
7. Sélectionnez pour "Partenaire" sous "Type de liaison" le paramètre "nouveau".
STEP 7 crée un bloc de données dans le programme utilisateur de l'autre CPU pour les
données de liaison, par exemple "PLC_3_Receive_DB".
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 439
Communication avec le système redondant S7-1500R/H
14.6 Open User Communication avec le système redondant S7-1500R/H
Communication
440 Description fonctionnelle, 05/2021, A5E03735816-AJ
Communication avec le système redondant S7-1500R/H
14.6 Open User Communication avec le système redondant S7-1500R/H
Voir aussi
Pour plus d'informations sur les états système, reportez-vous au manuel système S7-1500R/H
(https://support.industry.siemens.com/cs/ww/fr/view/109754833).
Voir aussi
DESCRIPTION FONCTIONNELLE PROFINET
(https://support.industry.siemens.com/cs/ww/fr/view/49948856)
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 441
Industrial Ethernet Security avec CP 1543-1 15
Protection complète - Mission d'Industrial Ethernet Security
Industrial Ethernet Security permet de sécuriser des appareils individuels, des cellules
d'automatisation ou des segments d'un réseau Ethernet. En outre, la transmission de données
par la combinaison de différentes mesures de sécurité est protégée de :
• espionnage de données
• manipulation de données
• accès non autorisés
Mesures de sécurité
• Firewall
– IP-Firewall avec Stateful Packet Inspection (layer 3 et 4)
– Firewall également pour télégrammes "non IP" Ethernet selon la norme IEEE 802.3
(layer 2)
– Limitation de la largeur de bande
– Réglementation Firewall globale
Tous les nœuds de réseau situés dans un segment de réseau interne d'un CP 1543-1 sont
protégés par leur Firewall. Exception : Si vous accédez à la CPU via l'interface du CP avec la
fonction "Accès à l'API via module de communication", le pare-feu ne protège pas cette
liaison.
• Enregistrement
A des fins de surveillance, les événements sont enregistrés dans des fichiers journaux qu'il
est possible de lire à l'aide de l'outil de configuration ou bien d'envoyer automatiquement
à un serveur Syslog.
• HTTPS
Pour transmission chiffrée de pages Web, par ex. lors du contrôle de processus.
• FTPS (mode explicite)
Transmission chiffrée de fichiers.
• NTP sécurisé
Sécurisation de la synchronisation et de la transmission de l'heure.
• SNMPv3
Sécurisation de la transmission antiécoute d'informations d'analyse réseau.
Communication
442 Description fonctionnelle, 05/2021, A5E03735816-AJ
Industrial Ethernet Security avec CP 1543-1
15.1 Firewall
• Groupes VPN
Vous pouvez configurer le regroupement du CP 1543-1 avec d'autres modules de sécurité
pour former des groupes VPN. Des tunnels IPsec sont établis entre tous les modules de
sécurité d'un groupe VPN (Virtual Private Network). Tous les nœuds internes de ces
modules de sécurité peuvent communiquer entre eux par ces tunnels en toute sécurité.
• Protection pour appareils et segments de réseau
Les fonctions de protection Firewall et Groupes VPN peuvent s'appliquer à des appareils
individuels, à plusieurs appareils ou à des segments entiers de réseau.
15.1 Firewall
Tâches du Firewall
La fonction de Firewall a pour tâche la protection des réseaux et des stations contre les
influences extérieures et les anomalies. Cela signifie que seules certaines relations de
communication définies au préalable sont autorisées.
Pour filtrer l'échange de données, il est possible d'utiliser entre autres des adresses IPv4, des
sous-réseaux IPv4, des numéros de port ou des adresses MAC.
La fonction de Firewall peut être configurée pour les niveaux de protocole suivants :
• IP-Firewall avec Stateful Packet Inspection (layer 3 et 4)
• Firewall également pour télégrammes "non IP" Ethernet selon la norme IEEE 802.3 (layer
2)
Régles du Firewall
Les règles du Firewall définissent les paquets qui sont autorisés ou interdits dans une
direction.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 443
Industrial Ethernet Security avec CP 1543-1
15.2 Enregistrement
15.2 Enregistrement
Fonctionnalité
A des fins de test et de surveillance, le module de sécurité dispose de fonctions de diagnostic
et d'enregistrement.
• Fonctions de diagnostic
Le paragraphe suivant indique différentes fonctions de système ou d'état qui peuvent être
utilisées dans le mode en ligne.
• Fonctions d'enregistrement (logging)
Il s'agit d'enregistrer des événements liés au système et à la sécurité. L'enregistrement
s'effectue selon le type d'événement dans des mémoires tampon locales volatiles ou
durables du CP 1543-1. Il est également possible qu'un enregistrement s'effectue dans un
serveur réseau.
Le paramétrage et l'analyse de ces fonctions supposent l'existence d'une connexion
réseau.
Fonctionnalité
La date et l'heure sont indiquées dans le CP 1543-1, tout comme dans la CPU, pour permettre
la surveillance de la validité temporelle d'un certificat et pour l'horodatage des entrées du
journal. Cette heure est synchronisable via le protocole NTP. Le CP 1543-1 transmet l'heure
synchronisée à la CPU par le biais du bus interne du système d'automatisation. La CPU reçoit
ainsi également une heure synchronisée pour les événements temporels dans le traitement
du programme utilisateur.
La mise à l'heure automatique et l'ajustement périodique de l'heure s'effectuent à l'aide d'un
serveur NTP sécurisé ou non sécurisé. Vous pouvez affecter au maximum 4 serveurs NTP au
CP 1543-1. Une configuration mixte de serveurs NTP sécurisés ou non sécurisés n'est pas
possible.
Communication
444 Description fonctionnelle, 05/2021, A5E03735816-AJ
Industrial Ethernet Security avec CP 1543-1
15.4 SNMP
15.4 SNMP
Fonctionnalité
Le CP 1543-1 prend en charge, tout comme la CPU, la transmission d'informations de gestion
via le protocole SNMP (Simple Network Management Protocol). Pour ce faire, un "agent
SNMP" doit être installé sur le CP/la CPU. Cet agent doit accepter les requêtes SNMP et y
répondre. Les informations sur les propriétés des appareils capables de prendre en charge
SNMP sont enregistrées dans les fichiers MIB (Management Information Base) pour lesquels
l'utilisateur doit disposer des droits correspondants.
Pour SNMPv1, la "Community String" est également envoyée. La "Community String" est
comparable à un mot de passe qui est envoyé avec la requête SNMP. Si la Community String
est correcte, les informations demandées sont envoyées. Si elle est fausse, la requête est
rejetée.
Pour le SNMPv3, les données sont transmises chiffrées. Pour ce faire, sélectionnez soit un
procédé d'authentification, soit un procédé d'authentification et de chiffrement.
Sélection possible :
• Algorithme d'authentification : aucun, MD5, SHA-1
• Algorithme de cryptage : aucun, AES-128, DES
Vous pouvez désactiver l'utilisation de SNMP pour le CP/la CPU. Désactivez SNMP quand les
directives de sécurité en vigueur dans votre réseau n'autorisent pas de SNMP ou quand vous
utilisez votre propre solution SNMP.
Consultez le chapitre Désactivation de SNMP (Page 1) pour savoir comment désactiver SNMP
pour la CPU.
15.5 VPN
Fonctionnalité
Pour les modules de sécurité qui protègent le réseau interne, les tunnels VPN (Virtual Private
Network) offrent une liaison de données sécurisée sur le réseau externe non sécurisé.
Le module se sert du protocole IPsec (mode tunnel d'IPsec) pour utiliser le tunnel.
STEP 7 vous permet d'affecter les modules de sécurité à des groupes VPN. Des tunnels VPN
sont établis automatiquement entre tous les modules d'un groupe VPN, sachant qu'un
module dans un projet peut faire partie de différents groupes VPN parallèlement.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 445
Glossaire
Adresse IP
Nombre binaire utilisé comme adresse univoque dans les réseaux d'ordinateurs dans le
contexte du protocole Internet (IP). Ces appareils sont ainsi adressables de manière univoque
et accessibles individuellement. Avec un masque de sous-réseau binaire, il est possible
d'évaluer une adresse IPv4 de manière à obtenir une structure avec une partie "réseau" et une
partie "hôte". La représentation textuelle d'une adresse IPv4 comporte par exemple
4 nombres décimaux compris entre 0 et 255. Ces nombres décimaux sont séparés par un
point.
Adresse MAC
Identification d'appareil internationale univoque pour tous les appareils Ethernet. L'adresse
MAC est attribuée par le fabricant et comporte 3 octets pour le code fabricant et 3 octets pour
l'identificateur d'appareil en tant que numéro d'ordre.
Adresse PROFIBUS
Identification univoque d'un abonné raccordé à PROFIBUS. L'adressage d'un abonné se fait
par transmission de son adresse PROFIBUS dans le télégramme.
Appareil
Terme générique pour :
• les systèmes d'automatisation (par ex. AP, PC),
• les systèmes de périphérie décentralisée
• les appareils de terrain (par ex. AP, PC, équipements hydrauliques ou pneumatiques) et
• les composants de réseau actifs (par ex. switches, routeurs)
• les passerelles vers PROFIBUS, AS-Interface ou autres systèmes de bus de terrain
Appareil de terrain
→ Appareil
Appareil PROFIBUS
Appareil avec au moins une interface PROFIBUS, soit électrique (par ex. RS485), soit optique
(par ex. fibre optique plastique).
Communication
446 Description fonctionnelle, 05/2021, A5E03735816-AJ
Glossaire
Appareil PROFINET
Appareil qui dispose toujours d'une interface PROFINET (électrique, optique, sans fil).
Bus
Support de transmission qui relie plusieurs abonnés entre eux. Les données peuvent être
transmises par des câbles électriques ou à fibres optiques aussi bien en série qu'en parallèle.
Certificat CA intermédiaire
Il s'agit du certificat d'une autorité de certification signé avec la clé privée d'une autorité de
certification racine.
Une telle autorité de certification intermédiaire signe des certificats d'entité finale avec sa clé
privée.
La signature de ces certificats d'entité finale est vérifiée avec la clé publique de l'autorité de
certification intermédiaire.
Les attributs "Subject" et "Issuer" du certificat CA intermédiaire ne doivent pas être
identiques : en effet, cette autorité de certification n'a pas auto-signé son certificat.
Le champ "CA" doit indiquer "True".
Certificat de base
Il s'agit du certificat d'une autorité de certification : avec sa clé privée, elle signe des certificats
d'entité finale et des certificats CA intermédiaires.
Les attributs "Subject" et "Issuer" doivent être identiques : cette autorité de certification a
auto-signé son certificat.
Le champ "CA" doit indiquer "True".
TIA Portal V14 possède un tel certificat CA racine :
Lorsque vous configurez le serveur OPC UA d'une S7-1500 dans TIA Portal, ce dernier crée un
certificat d'entité finale pour le serveur OPC UA et le signe avec sa propre clé privée.
La signature de ce certificat d'entité finale est vérifiable avec la clé publique de TIA Portal.
Cette clé est contenue dans le certificat CA racine de TIA Portal.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 447
Glossaire
Certificats auto-signés
Il s'agit de certificats que vous signez avec votre clé privée et que vous utilisez comme
certificats d'entité finale.
La signature de ces certificats est vérifiée avec votre clé publique.
Les attributs "Subject" et "Issuer" des certificats auto-signés doivent être identiques : en effet,
vous avez signé vous-même votre certificat.
Le champ "CA" doit indiquer "False".
Vous pouvez utiliser des certificats auto-signés comme certificat d'application pour un client
OPC UA, par exemple.
Pour apprendre à générer un certificat auto-signé avec le générateur de certificats de l'OPC
Foundation, voir ici (Page ).
Certificats CA racines
→ Voir aussi Certificat de base
Certificats d'appareil
Ce type de certificat est signé par une autorité de certification (CA).
La signature d'un certificat d'entité finale est vérifiée à l'aide de la clé publique du certificat de
l'autorité de certification.
Les attributs "Subject" et "Issuer" ne doivent pas être identiques.
"Subject" (demandeur) sera, par exemple, le nom d'un programme, comme pour le certificat
d'application OPC UA.
"Issuer" (émetteur) indique l'autorité de certification qui a signé le certificat.
Le champ "CA" doit indiquer "False".
Client
Abonné d'un réseau qui requiert un service d'un autre abonné du réseau (serveur).
CM
→ Module de communication
Communication
448 Description fonctionnelle, 05/2021, A5E03735816-AJ
Glossaire
Communication commutée
En plus des adresses IP appareil attribuées aux CPU, le système redondant S7-1500R/H prend
en charge des adresses IP système :
• Adresse IP système pour les interfaces PROFINET X1 des deux CPU (adresse IP système X1)
• Adresse IP système pour les interfaces PROFINET X2 des deux CPU (adresse IP système X2)
Les adresses IP système servent à la communication avec d'autres appareils (par exemple
appareils IHM, CPU, PG/PC). Les appareils communiquent toujours via l'adresse IP système
avec la CPU principale du système redondant. Cela permet de garantir que le partenaire de
communication puisse communiquer avec la CPU de réserve (en tant que nouvelle CPU
principale) à l'état système RUN Solo après une défaillance de la CPU principale en mode
redondant.
Console de programmation
Les consoles de programmation sont, en fait, des microordinateurs centraux fonctionnant en
environnement industriel, compacts et transportables. Ils se distinguent par un équipement
matériel et logiciel spécial dédié aux automates programmables.
CP
→ Processeur de communication
CPU
Central Processing Unit - Module central du système d'automatisation S7 avec système de
commande et de calcul, mémoire, système d'exploitation et interface pour la console de
programmation.
CPU de réserve
Si le système R/H se trouvé à l'état système RUN redondant, la CPU principale commande le
processus. La CPU de réserve traite le programme utilisateur de façon synchrone et peut
assurer la conduite du processus en cas de défaillance de la CPU principale.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 449
Glossaire
CPU principale
Si le système R/H se trouvé à l'état système RUN redondant, la CPU principale commande le
processus. La CPU de réserve traite le programme utilisateur de façon synchrone et peut
assurer la conduite du processus en cas de défaillance de la CPU principale.
Données cohérentes
Données dont les contenus forment un tout et qui ne doivent pas être séparées lors du
transfert.
Duplex
Procédé de transmission des données ; on fait une distinction entre le procédé semi-duplex et
le procédé duplex intégral.
Semi-duplex : Un canal destiné à l'échange de données en alternance est disponible (envoi et
réception en alternance respectivement dans une direction).
Duplex intégral : Deux canaux destinés à l'échange de données simultané dans les deux sens
sont disponibles (envoi et réception simultanés dans les deux sens).
Esclave
Appareil décentralisé dans un système de bus de terrain qui n'est autorisé à échanger des
données avec un maître que sur requête de celui-ci.
→ Voir aussi Esclave DP
Esclave DP
Esclave dans la périphérie décentralisée, exploité sur PROFIBUS avec le protocole
PROFIBUS DP et qui se comporte conformément à la norme EN 50170, partie 3.
→ Voir aussi Maître DP
États de fonctionnement
Les états de fonctionnement décrivent le comportement d'une CPU individuelle à n'importe
quel moment.
La CPU des systèmes standard SIMATIC disposent des états de fonctionnement STOP, MISE EN
ROUTE et RUN.
La CPU principale du système redondant S7-1500R/H dispose des états de fonctionnement
STOP, MISE EN ROUTE, RUN, RUN Syncup et RUN redondant. La CPU de réserve dispose des
états de fonctionnement STOP, SYNCUP et RUN redondant.
Communication
450 Description fonctionnelle, 05/2021, A5E03735816-AJ
Glossaire
États système
Les états système du système redondant S7-1500R/H résultent des états système des CPU
principale et de réserve. La notion d'état système est une expression simplifiée qui caractérise
les états de fonctionnement simultanés des deux CPU. Le système redondant S7-1500R/H
présente les états système ARRÊT, MISE EN ROUTE, RUN Solo, SYNCUP et RUN Redondant.
Ethernet
Technologie standard internationale pour les réseaux locaux (LAN) basée sur des trames. Elle
définit des types de câble et la signalisation de la couche physique ainsi que des formats de
paquets et des protocoles pour le contrôle d'accès aux médias.
FETCH/WRITE
Services de serveur avec TCP/IP, ISO-on-TCP et ISO pour l'accès aux zones de mémoire
système des CPU S7. L'accès (fonction client) est possible à partir d'un SIMATIC S5 ou d'un
appareil d'une autre marque/d'un PC. FETCH : lecture directe de données ; WRITE : écriture
directe de données.
Freeport
Protocole ASCII librement programmable ; ici pour la transmission de données via un
couplage point à point.
FTP
File Transfer Protocol ; protocole réseau servant à la transmission de fichiers via des réseaux
IP. FTP est utilisé pour télécharger des fichiers du serveur au client ou pour les téléverser du
client au serveur. En outre, FTP permet de créer et de lire des répertoires, ainsi que de
renommer ou de supprimer des répertoires et des fichiers.
IE
→ Industrial Ethernet
IHM
Human Maschine Interface (interface Homme Machine, appareil servant à visualiser et à
commander des processus d'automatisation.
IM
→ Module d'interface
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 451
Glossaire
Industrial Ethernet
Directive relative à la mise en place d'un réseau Ethernet en environnement industriel. La
différence essentielle avec l'Ethernet standard réside dans la sollicitabilité mécanique et
l'insensibilité aux pannes des différents composants.
Instruction
La plus petite entité autonome d'un programme utilisateur, caractérisée comme partie
délimitée du programme par sa structure, sa fonction ou son utilisation prévue. L'instruction
représente une instruction de tâche pour le processeur.
Interface PROFINET
Interface d'un module compatible avec la communication (par ex. CPU, CP) comportant un ou
plusieurs ports. Une adresse MAC est déjà affectée à l'interface depuis l'usine. Cette adresse
de l'interface garantit, avec l'adresse IP et le nom d'appareil (dans la configuration
individuelle), une identification univoque de l'appareil PROFINET dans le réseau. L'interface
peut être électrique, optique ou sans fil.
Maître
Abonné actif de niveau supérieur participant à la communication/au sous-réseau PROFIBUS.
Le maître possède des droits d'accès au bus (jeton), il peut demander et envoyer des
données.
→ Voir aussi Maître DP
Maître DP
Dans PROFIBUS DP, maître de la périphérie décentralisée qui se comporte selon la norme
EN 50170, partie 3.
→ Voir aussi Esclave DP
Communication
452 Description fonctionnelle, 05/2021, A5E03735816-AJ
Glossaire
Modbus RTU
Remote Terminal Unit ; protocole de communication ouvert pour interfaces série basé sur
une architecture maître/esclave.
Modbus TCP
Transmission Control Protocol ; protocole de communication ouvert pour Ethernet basé sur
une architecture maître/esclave. Les données sont transmises comme paquets TCP/IP.
Module de communication
Module exécutant des taches de communication, utilisé dans un système d'automatisation
comme extension d'interface de la CPU (par ex. PROFIBUS ) ou offrant des possibilités de
communication supplémentaires (PtP).
Module d'interface
Module du système de périphérie décentralisé. Le module d'interface relie le système de
périphérie décentralisé à la CPU par un bus de terrain (contrôleur IO/maître DP) et prépare les
données pour les modules de périphérie.
NTP
Le Network Time Protocol (NTP) est une norme de synchronisation d'horloges dans les
systèmes d'automatisation via Industrial Ethernet. NTP utilise le protocole de transport sans
liaison UDP pour l'Internet.
OPC UA
OPC Unified Automation est un protocole pour la communication entre machines, développé
par l'OPC Foundation.
Paire torsadée
Fast Ethernet via des câbles à paires torsadées est basé sur la norme IEEE 802.3u (100 Base-
TX). Le support de transmission est un câble torsadé et blindé à 2x2 brins, dont l'impédance
caractéristique est de 100 Ohm (AWG 22). Les caractéristiques de transmission de ce câble
doivent être conformes aux spécifications de catégorie 5.
La longueur maximale de la liaison entre un terminal et un composant de réseau ne doit pas
dépasser 100 m. Les branchements sont réalisés selon la norme 100 Base-TX avec des jacks
RJ45.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 453
Glossaire
PG
→ Console de programmation
PNO
→ Organisation des utilisateurs PROFIBUS
Port
Possibilité de raccordement physique pour appareils qui sont abonnés à PROFINET. Les
interfaces PROFINET disposent d'un ou de plusieurs ports.
Processeur de communication
Module pour des tâches de communication avancées couvrant des cas d'application spéciaux,
tels que dans le domaine de la sécurité des données.
PROFIBUS
Process Field Bus - norme européenne pour le bus de terrain.
PROFIBUS DP
PROFIBUS avec protocole DP qui se comporte conformément à la norme EN 50170. DP
signifie périphérie décentralisée (rapide, compatible temps réel, échange de données
cyclique). Du point de vue du programme utilisateur, la périphérie décentralisée est adressée
exactement comme la périphérie centralisée.
PROFINET
Système de communication industriel, ouvert, basé sur les composants, sur la base
d'Ethernet, pour les systèmes d'automatisation distribués. Technique de communication
promue par l'organisation des utilisateurs PROFIBUS.
Communication
454 Description fonctionnelle, 05/2021, A5E03735816-AJ
Glossaire
PROFINET IO
IO signifie Input/Output (entrée/sortie) ; périphérie décentralisée (rapide, compatible temps
réel, échange de données cyclique). Du point de vue du programme utilisateur, la périphérie
décentralisée est adressée exactement comme la périphérie centralisée.
PROFINET IO, standard d'automatisation de PROFIBUS & PROFINET International basé sur
Ethernet, définit ainsi un modèle de communication, d'automatisation et d'ingénierie
commun à tous les fabricants.
PROFINET IO utilise une technique de commutation permettant à chaque abonné d'accéder
au réseau à tout moment. Ainsi, grâce à la transmission simultanée de données de plusieurs
abonnés, l'exploitation du réseau est bien plus effective. L'émission et la réception
simultanées sont rendues possibles par l'exploitation de l'Ethernet commuté en duplex
intégral.
PROFINET IO est basé sur l'Ethernet commuté en duplex intégral et une largeur de bande de
transmission de 100 Mbits/s.
Programme utilisateur
Dans SIMATIC, on fait une distinction entre le système d'exploitation de la CPU et les
programmes utilisateur. Le programme utilisateur contient toutes les instructions,
déclarations et données permettant de piloter une installation ou un processus. Le
programme utilisateur est affecté à un module programmable (CPU, FM, par ex.) et il peut
être structuré en unités plus petites.
Protocole
Protocole réglant la communication entre deux ou plusieurs partenaires de communication.
Protocole ISO
Protocole de communication pour la transmission de données orientée message ou orientée
paquet sur l'Ethernet. Ce protocole est lié de près au matériel, il est très rapide et autorise des
longueurs de données dynamiques. Le protocole ISO convient à des quantités de données
moyennes et élevées.
Protocole ISO-on-TCP
Protocole de communication compatible avec le routage S7 pour la transmission de données
orientée paquet sur l'Ethernet ; il offre un adressage de réseau. Le protocole ISO-on-TCP
convient à des quantités de données moyennes et élevées et autorise des longueurs de
données dynamiques.
PtP
Point à Point, interface et/ou protocole de transmission pour l'échange bidirectionnel de
données entre exactement deux partenaires de communication.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 455
Glossaire
Réseau
Un réseau se compose d'un ou de plusieurs sous-réseaux interconnectés comptant un
nombre quelconque d'abonnés. Plusieurs réseaux peuvent coexister l'un à côté de l'autre.
Routage S7
Communication entre systèmes d'automatisation S7, applications S7 ou stations PC dans
différents sous-réseaux S7 via un ou plusieurs nœuds de réseau qui servent de routeurs S7.
Routeur
Nœud de réseau à identification univoque (nom et adresse) qui relie des sous-réseaux entre
eux et qui effectue le transport de données à des partenaires identifiés de façon univoque
dans le réseau.
RTU
RTU Modbus (RTU : Remote Terminal Unit, unité de terminal distante) transmet les données
sous forme binaire ; permet un bon débit de données. Les données doivent être converties
dans un format lisible, avant de pouvoir être exploitées.
Serveur
Appareil, ou plus généralement objet, pouvant fournir certains services ; le service est fourni
sur demande d'un client.
Serveur Web
Logiciel/service de communication pour l'échange de données via Internet. Le serveur Web
transmet les documents à un navigateur Web avec des protocoles de transmission normalisés
(HTTP, HTTPS). Les documents peuvent être statiques ou être regroupés dynamiquement par
le serveur Web à partir de différentes sources sur demande du navigateur Web.
Communication
456 Description fonctionnelle, 05/2021, A5E03735816-AJ
Glossaire
Service SDA
Send Data with Acknowledge. SDA est un service élémentaire qui permet à un initiateur (par
ex. le maître DP) d'envoyer un message à un autre abonné et pour lequel il reçoit directement
un accusé de réception.
Service SDN
Send Data with No Acknowledge. Ce service est surtout utilisé pour envoyer des données à
plusieurs stations, il ne s'accompagne donc pas d'un acquittement. Convient pour les tâches
de synchronisation et les messages d'état.
SNMP
Simple Network Management Protocol, protocole de gestion de réseau utilisant le protocole
de transport sans liaison UDP. SNMP fonctionne de manière semblable au modèle
client/serveur. Le gestionnaire SNMP surveille les nœuds de réseau. Les agents SNMP
collectent, dans les différents nœuds de réseau, différentes informations spécifiques au
réseau et rendent ces informations accessibles et gérables sous forme structurée dans la MIB
(.Management Information Base). Avec ces informations, un système de gestion de réseau
peut effectuer un diagnostic de réseau détaillé.
Sous-réseau
Partie d'un réseau dont les paramètres doivent être synchronisés pour tous les abonnés (par
ex. pour PROFINET). Un sous-réseau englobe les composants de bus et toutes les stations
raccordées. Les sous-réseaux peuvent par exemple être couplés à un réseau à l'aide de
passerelles ou de routeurs.
Switch
Constituant de réseau pour relier plusieurs terminaux ou segments de réseau dans un réseau
local (LAN).
Synchronisation de l'heure
Possibilité de transmission d'une heure système standard d'une source individuelle à tous les
appareils dans le système de sorte que leurs horloges puissent être réglées en fonction de
l'heure standard.
Système d'automatisation
Automate programmable servant à réguler et commander des chaînes de processus dans
l'industrie des procédés et la production. Selon la tâche d'automatisation, le système
d'automatisation est constitué de différents composants et de fonctions système intégrées.
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 457
Glossaire
Système d'exploitation
Logiciel permettant l'utilisation et l'exploitation d'un ordinateur. Le système d'exploitation
gère des ressources telles que la mémoire ou les périphériques d'entrée et de sortie, et pilote
l'exécution de programmes.
Systèmes redondants
Les systèmes redondants sont caractérisés par le fait que les composants d'automatisation
importants y figurent plusieurs fois (en redondance). En cas de défaillance d'un tel
composant redondant, le contrôle du processus n'est pas interrompu.
TCP/IP
Transmission Control Protocol / Internet Protocol, protocole de réseau orienté liaison,
standard reconnu dans la monde entier pour l'échange de données dans des réseaux
hétérogènes.
Topologie arborescente
Topologie de réseau caractérisée par une structure ramifiée : Deux abonnés ou plus sont
connectés à chaque abonné.
Topologie en anneau
Tous les abonnés d'un réseau sont regroupés dans un anneau.
Topologie linéaire
Topologie de réseau caractérisée par la disposition en ligne des abonnés.
UDP
User-Datagram-Protokoll ; protocole de communication servant à la transmission rapide et
facile de données, sans acquittement. Aucun mécanisme de sécurité tel qu'il en existe avec
TCP/IP n'est disponible.
USS
Protocole Universelles serielles Schnittstellen (protocole d'interface universel série) ; définit
un procédé d'accès selon le principe maîtreesclave pour la communication via un bus série.
Communication
458 Description fonctionnelle, 05/2021, A5E03735816-AJ
Index
Créer et paramétrer une liaison, 148
Communication PG, 25, 113
A Communication S7, 25, 146, 414
Couplage point à point, 25, 154
Adresse IP, adresse de secours (temporaire), 423
CP, 20
Advanced Encryption Algorithm, 44
Créer une liaison, 33
AES, 44
Liaison ISO avec CP 1543-1, 134
Attaque de l'homme du milieu, 47
par configuration, 134
Autorités de certification, 47
D
B
Demandeur, 47
BRCV, 147
Détenteur du certificat, 47
BSEND, 147
Diagnostic de liaison, 420
C E
Certificat de base, 50
E-mail, 25, 120, 142
Certificat de serveur, 244
Enregistrement, 445
Certificat d'entité finale, 50
Etablissement et interruption d'une
Certificats auto-signés, 48
communication, 145
Certificats numériques, 47
Chiffrement asymétrique, 45
Chiffrement symétrique, 44
F
Client OPC UA
Authentification, 363 FDL, 120
Certificat, 360 Fetch, 25
Notions de base, 173 Fichier d'exportation pour OPC UA, 228
CM, 20 Firewall, 445
Cohérence des données, 37, 37 FTP, 25, 120, 142, 142
Communication
Communication IHM, 116
Communication ouverte, 118 G
Communication PG, 113
GDS, 193, 197
Communication S7, 146
GET, 147
Couplage point à point, 154
Global Discovery Server (GDS), 193, 197
Etablissement et interruption, 145
Open User Communication, 118
Protocoles de communication, 119
H
Routage d'enregistrement, 404
Routage S7, 391 Handshake Protocol, 47
Communication IHM, 25, 116
Communication ouverte
Configuration d'e-mail, 142 I
Configurer FTP, 142
IM, 24
Paramétrage de la liaison, 128
Industrial Ethernet Security, 442
TCP, ISO-on-TCP, UDP, créer, 128
Interfaces de communication, 21
Communication par instruction PUT/GET
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 459
Index
Communication
460 Description fonctionnelle, 05/2021, A5E03735816-AJ
Index
T
TCON, 121
TCP, 25, 120, 128
TDISCON, 121
TLS, 47
Transport Layer Security, 47
TRCV, 121
TRCV_C, 121
TSEND, 121
TSEND_C, 121
Type de données système, 122
U
UDP, 25, 120, 128
URCV, 147
USEND, 147
Utilisation de ressources de liaison, 415
W
Write, 25
X
X.509, 42
Communication
Description fonctionnelle, 05/2021, A5E03735816-AJ 461