suchen
Softing: Datenintegration für Cloud-basierte Industrie 4.0 und IoT-Anwendungen

Industrie 4.0 (I4.0) und Internet of Things (IoT): diese Schlagwörter stehen für tiefgreifende Veränderungen industrieller Produktion im Hinblick auf Geschäftsmodelle, Organisationformen und Technologie.

Praktisch allen I4.0- bzw. IoT-Lösungen ist gemein, dass die bislang übliche klare Trennung zwischen IT und OT sowohl technisch als auch organisatorisch zu überwinden ist. Ziel ist der reibungslose Datenaustausch zwischen OT und IT und das effiziente Management eines beide Bereiche umfassenden Gesamtsystems. Welche Anforderungen müssen nun an den Datenaustausch zwischen IT- und OT-Layer gestellt werden und wie lassen sie sich technisch umsetzen? Zur Beantwortung dieser Frage betrachten wir ein geschichtetes Modell („Solution Stack“) für IoT-Lösungen:

Schichtenmodell zur Umsetzung von Industrie 4.0- bzw. IoT-LösungenAuf der untersten „Operational Technology“ (OT)-Schicht befindet sich alles, was in der klassischen Automatisierungspyramide in den unteren drei Ebenen angesiedelt ist. Also Steuerungen1, Feldgeräte sowie Sensoren und Aktoren.

Die zweite Schicht von oben - „Anwendungen“ - steht für Software-Anwendungen, wie z.B. Predictive Maintenance oder Energy Management, die für I4.0- bzw. IoT relevant sind.

Hinter der darunter liegenden „Plattform“-Schicht verbirgt sich im einfachsten Fall eine simple IT-Infrastruktur. Im komplexeren Fall umfasst sie z.B. eine Public Cloud und IoT-Services wie Analytics, Speicherkapazität und Security.

Ganz oben ist die „Services“-Schicht angesiedelt, die im Rahmen von IoT- bzw.  Monetarisierungsstrategien und neuen Geschäftsmodellen oft eine zentrale Rolle spielt.

Ebene zur Datenintegration

Die zwischen „Plattform“ und „Operational Technology“ liegende „Datenintegrationsschicht“ (DI-Schicht) hat im Zusammenhang von I4.0 bzw. IoT eine besondere Bedeutung. Man könnte sich die Frage stellen, ob es nicht damit getan wäre, jede interessante Datenquelle in der OT-Ebene mit einem Interface nach oben zu versehen, gegen das Anwendungen (oder IoT-Plattformen) je nach Bedarf integriert werden können. In der praktischen Umsetzung gibt es allerdings gewichtige Gründe für Systemarchitekturen, die in der DI-Schicht mehr Funktionalität enthalten als einfache Interfaces zur OT-Ebene.

Außerdem ist zu beachten, dass die Funktionalität der DI-Schicht aus verschiedenen Gründen (u.a. Datenvolumen und Security) nicht einfach in die Cloud verschoben werden kann, sondern on premises läuft. Begrifflich lässt sich die DI-Schicht also dem sogenannten „Edge-Computing“ zuordnen.

Anforderungen an eine Datenintegrationsebene

Wie sehen nun Anforderungen an eine „dickere“ Datenintegrationsebene aus? Sie lassen sich unter den Begriffen „Datenaggregation“, „Datenvorverarbeitung“: und „Schnittstellenabstraktion“ zusammenfassen.

Datenaggregation

Bei der Datenaggregation, oft in Kombination mit Möglichkeiten zur Filterung von Daten, werden Daten aus mehreren Quellen mittels eines sogenannten Aggregationsservers zusammengefasst. Dieser stellt geeignete Interfaces für die Plattform- bzw. Anwendungsebenen zur Verfügung. Durch die Reduktion auf einen oder wenige Aggregationsserver wird die Konfiguration auf Anwendungsseite erheblich vereinfacht. Je nach Bedrohungspotential ist es auch möglich, die Security in der Kommunikation zwischen Aggregationsserver und Datenquellen zu reduzieren, vielleicht sogar ganz darauf zu verzichten, aber dafür die Kommunikation zwischen Aggregationsserver und Anwendung maximal abzusichern.

Last but not least sollte ein Aggregationsserver auch Zugriffsrechte steuern können: Eine Maintenance-Applikation, die auch von externen Personen genutzt wird, erhält Zugriff nur auf Maschinendaten, während eine OEE-Applikation auch auf sensitive Prozessdaten zugreifen darf.

Datenvorverarbeitung

Datenvorverarbeitung innerhalb der DI-Schicht dient der Reduktion des Datenvolumens, indem einzelnen Anwendungen nur die individuell benötigten Daten zur Verfügung gestellt werden.

Schnittstellenabstraktion

Je nach Lösungsarchitektur kann eine DI-Schicht auch zur Abstraktion von Schnittstellen hin zu diversen Anwendungen und Geschäftsprozessen dienen, vor dem Hintergrund einer sich relativ schnell bewegenden, heterogenen IT-Welt mit kurzen Innovationszyklen und einer sich vergleichsweise langsamer drehenden OT-Welt.

Im Kern geht es darum, eine Lösungsarchitektur zu finden, die Änderungen bzw. Investitionen auf IT/Anwendungsebene möglichst flexibel und unabhängig von der OT-Ebene zulässt, bzw. umgekehrt Änderungen  innerhalb der OT-Ebene ohne Rückwirkungen auf die Anwendungsebenen möglich macht.

Datenintegration und IT Security

In welchem Verhältnis steht nun die DI-Schicht zu IT Security? Dazu gibt es keine pauschale Antwort. Security-Anforderungen und -Maßnahmen hängen u.a. von individuellen Rahmenbedingungen und Annahmen über Bedrohungsszenarien ab und sind im Hinblick auf einzelne Komponenten vom Gesamtsystem her zu bewerten und abzuleiten. Einige Aspekte sollten aber in jedem Fall betrachtet werden:

Protokollauswahl: Hier bieten sich Modelle an, die eine Öffnung der Firewall vermeiden (z.B. das Publisher-Subscriber-Modell).

Zertifikatemanagement: Um einen dauerhaft sicheren Betrieb zu gewährleisten, müssen Aufwand und Kosten für ein vollwertiges Zertifkatemanagement berücksichtigt werden.

Nutzung bewährter Standards: Security bzw. kryptographische Verfahren sind hochkomplex und nur von wenigen Experten im Detail zu verstehen. Sicherheit lässt sich also am besten durch den Einsatz verbreiteter, bewährter Standardalgorithmen erreichen (z.B. OPC UA).

Der OPC UA-Standard ist hervorragend zur IT/OT-Integration geeignet und kann Systemintegrationsaufwände reduzieren.Umsetzung mit OPC UA

Für die Umsetzung einer DI-Schicht eignet sich insbesondere der Interoperabilitätsstandard OPC UA. So bietet OPC UA im Hinblick auf IT-Security eine flexible, dreistufige Konfiguration, die einerseits den Verzicht auf Security-Verfahren ermöglich. Andererseits kann bei Bedarf umfassende Security durch Verschlüsselung der Kommunikation, Authentifikation auf Anwendungsebene und Zugriffsrechtemanagement für Nutzer realisiert werden.

Die Anforderung „Schnittstellenabstraktion“, bzw. „Reduktion von Systemintegrationsaufwänden“ lässt sich durch Informationsmodellierung und den Einsatz von Companion Information Standards erfüllen2.

Bei der Protokollauswahl ist der OPC UA Standard ebenfalls flexibel: Mit der voraussichtlich im Laufe diesen Jahres verabschiedeten Standardversion 1.04 wird OPC UA nicht nur Kommunikation nach dem Client/Server-Modell unterstützen, sondern auch das Publisher/Subscriber-Modell (mit UPD/Binary Encoding und MQTT/JSON als alternative Transportschichten).

Bereits heute sind eine ganze Reihe von OPC UA basierten Standardprodukten zur IT/OT-Integration kommerziell verfügbar. OPC UA wurde auch vom Bundesamt für Sicherheit in der Informationstechnik (BSI) im Hinblick auf IT-Security eingehend geprüft3.

IT und OT werden integriert

I4.0 und IoT-Lösungen im industriellen Umfeld sind insbesondere durch eine technische Integration der vormals getrennten Bereiche IT und OT gekennzeichnet. In manchen Situationen mag es angemessen und sinnvoll sein, möglichst schnell und taktisch, bzw. durch eine einzelne Anwendung getrieben, den technischen Zugang zu notwendigen Daten aus der DI-Ebene zu realisieren. Eine Systemarchitektur mit einer strategischen DI-Schicht zwischen OT und zentraler Plattform, z.B. auf Basis von OPC UA, bietet aber erhebliche Vorteile im Hinblick auf Integrationskosten, Flexibilität und Investitionsschutz.

Es bleibt die Frage, wo die Verantwortung für Konzeption und Umsetzung einer solchen DI-Schicht im Unternehmen anzusiedeln ist. In jedem Fall gilt es, die üblichen Mentalitätsunterschiede zwischen den traditionell getrennten OT- und IT-Welten zu überbrücken und sich detaillierte Kenntnisse beider Technologien anzueignen.

Fußnoten

1Wie bekannt ist technisch zumindest für manche Anwendungen vorstellbar, die Steuerungsebene in die Cloud zu legen. Das Modell bleibt in diesem Fall anwendbar, sich im Detail daraus ergebende Konsequenzen werden in diesem Artikel allerdings nicht weiter untersucht.

2Informationen zur Companion Standards unter https://opcfoundation.org/

3https://www.bsi.bund.de/DE/Publikationen/Studien/OPCUA/OPCUA_node.html

 

Verwandte Artikel
Helmholz: Sicherer IOT-Maschinenfernzugriff
Softing: Einfache und sichere Cloud-Anbindung über REST
Softing: Industrial Data Intelligence ermöglicht Echtzeit-Einsicht in die Anlage

Copyright 2017 Buxbaum Automation GmbH