Sichere IIoT-Lösungen: ASi-5/ASi-3 Gateways mit OPC-UA-Server
IIoT-Lösungen waren für viele Unternehmen lange eine ferne Vision. Mittlerweile gibt es aber immer mehr konkrete Anwendungsfälle im Sinne von Industrie 4.0. Für eine erfolgreiche Umsetzung bietet Bihl + Wiedemann mit ASi-5 nicht nur ein leistungsstarkes Datenshuttle aus der Feldebene in die OT und IT, sondern mit seinen ASi-5/ASi-3 Feldbus Gateways mit OPC-UA-Schnittstelle auch eine zukunftssichere Konnektivität in IT-Systeme.
Bereits auf der Messe SPS im Jahr 2017 hat Bihl + Wiedemann erste ASi Gateways mit integrierter OPC-UA-Schnittstelle vorgestellt. OPC UA ermöglicht es, die Daten zu sammeln, zu aggregieren und bereitzustellen, die IT-Spezialisten in Unternehmen für beliebige Datenanalysen nutzen können.
Konsequenterweise sind heute alle ASi-5/ASi-3 Gateways von Bihl + Wiedemann mit einem OPC-UA-Server ausgestattet, der feldbusunabhängig über AS-Interface den direkten Datentransfer zwischen Feldgeräten und IT-Systemen ermöglicht. Dadurch können die Daten an unterschiedlichsten Stellen – in einem Visualisierungstool, einem lokalen Server oder in einer Cloud – verwendet werden. Abhängig davon, wie sich die Anforderungen für die Umsetzung von IIoT-Lösungen weiterentwickeln, können die Gateways darüber hinaus auch zeitnah um weitere Schnittstellen wie REST-API und MQTT ergänzt werden.
Unterschiedliche Bedeutung von Daten für OT und IT
Insbesondere Maschinen und Anlagen, in denen Smart Devices mit IO-Link oder ASi-5 Schnittstellen und hohen Datenraten eingesetzt werden, erzeugen heute riesige Mengen an Maschinen-, Prozess- und Diagnosedaten. Sie lassen sich zwar schnell und bequem mit dem Datenshuttle ASi-5 übertragen, doch die wenigsten davon sind unmittelbar für die OT – die Steuerung von Prozessen durch eine SPS – und damit für die Übertragung über einen Feldbus interessant. Ein Großteil der erfassten Maschinendaten wird eher an anderer Stelle benötigt: nämlich in Datenbanksystemen der IT, in denen diese Daten gespeichert und analysiert werden – und auf die dann ihrerseits Applikationen, beispielsweise für eine vorbeugende Wartung und Instandhaltung oder für ein zentrales ERP-Inventarmanagement, zugreifen.
Es macht daher – auch aus Gründen der Datenlast und Datengeschwindigkeit im Feldbusnetzwerk – durchaus Sinn, OT- und IT-Daten in IIoT-Anwendungen in parallelen Netzwerkstrukturen zu übertragen. Die ASi-5/ASi-3 Gateways von Bihl + Wiedemann sind genau hierfür standardmäßig vorbereitet: sie besitzen seit jeher zwei physikalisch unabhängige Netzwerkschnittstellen – Feldbus und OPC UA – zur getrennten Übertragung von Daten in die OT und die IT. Was die IT-Daten betrifft, bietet das Gateway bei der Übertragung über OPC UA zwei Optionen: entweder bereitet ein Edge-Server die Daten auf und versendet sie z. B. an eine Cloud wie Microsoft Azure, Amazon Web Services (AWS) oder Cumulocity IoT, oder aber die Cloudlösung holt sich die Daten direkt vom OPC-UA-Server, der sich im Gateway befindet. In beiden Fällen stehen die Daten so als wertvolle IT-Daten in der Cloud zur Verfügung.
ASi-5/ASi-3 Gateways liefern eigene Diagnosedaten
Die ASi-5/ASi-3 Feldbus Gateways von Bihl + Wiedemann sind aber nicht nur clevere Datenweichen, die die Daten trennen und auf zwei Netzwerke verteilen – sie sind als smarte Komponenten in der Feldebene darüber hinaus auch in der Lage, eigene Diagnoseinformationen über ein ASi Netzwerk selbst zu generieren und damit die Gerätedaten aus dem Feld sinnvoll zu ergänzen. Wie viele und welche Teilnehmer sind angeschlossen, welcher Strom und welche Spannung liegen im ASi Kreis an, ist das Netzteil in Ordnung, welche Fehler werden gemeldet – alles Fragen, die sowohl die OT wie die IT interessieren.
Anwendungsbeispiel Antriebstechnik: OT- und IT-Daten auf getrennten Wegen
Ein anschauliches Beispiel, wie ASi-5/ASi-3 Gateways als smarte Datenweichen fungieren können, liefern Antriebssysteme in der Fördertechnik. Hier sind Smart Factory Devices wie dezentrale Umrichter oder intelligente Sensoren mit IO-Link sowohl für Datenbanksysteme der IT als auch für die Prozesssteuerung (OT) interessant. Letztere ist für die Bewegung von Antrieben zuständig. Sie benötigt dafür Prozessdaten des Devices wie zum Beispiel die variable Geschwindigkeit, die Rampenzeit und die Drehrichtung. Gleichzeitig können die IT-Systeme Diagnosedaten wie Kühlkörpertemperatur, Leistungsaufnahme oder die betriebsbedingte Belastung des Antriebs sammeln und auswerten – und dann etwa durch Big-Data-Analysen, Machine Learning oder KI-Algorithmen echte Mehrwerte generieren. Durch das Monitoring von Last und Stromaufnahme lässt sich so beispielsweise ein notwendig werdender Lagertausch bei einem Antrieb schon frühzeitig prognostizieren.
Wie das Beispiel vermuten lässt, liefert der smarte Frequenzumrichter weitaus mehr Diagnosedaten für IT-Systeme als tatsächliche OT-Prozessdaten für die Maschinensteuerung. Um die OT mit einem Feldbus wie z. B. PROFINET und den echtzeitkritischen Daten zu entlasten, verwenden die Gateways für die Übertragung der IT-Daten deshalb mit dem integrierten OPC-UA-Server für den Datentransport eine separate sichere und etablierte IT-Schnittstelle.
Maximale Datensicherheit gewährleistet
Umgekehrt zeigt dieses Beispiel aber auch, dass sich die IT-Daten nicht mehr in geschlossenen, sondern in offenen und über das Internet von außen grundsätzlich zugänglichen Netzwerkstrukturen bewegen. Damit setzen sich Industrie-4.0-Geräte der Gefahr eines unbefugten Datenzugriffs und der Nutzung als Angriffsplattform aus – ein Risiko, das mit dem Grad der Vernetzung smarter Geräte untereinander steigt. Bihl + Wiedemann nutzt deshalb für seine Geräte verschlüsselte Kommunikation und Authentifizierung. Sie sind auf höchste Datensicherheit ausgelegt und leicht in bestehende IT-Security-Konzepte integrierbar. Im Einzelnen bedeutet das:
- ASi-5/ASi-3 Gateways von Bihl + Wiedemann sind updatefähig und können damit immer wieder an zukünftige Sicherheitsanforderungen angepasst werden.
- Die Update-Server arbeiten ausschließlich mit signierter Firmware. Die Signatur muss zusätzlich von den Geräten verifiziert werden.
- Jedes TCP/IP-fähige Gerät erhält in der Produktion ein individuelles Zertifikat zur SSL-Kommunikation.
- Kundenspezifische Zertifikate für TLS (Transport Layer Security / Transportschichtsicherheit) werden unterstützt.
- ASi als Feldbus der ersten Automatisierungsebene bietet keinen direkten kommunikativen Übergang zwischen TCP/IP und den Feldgeräten. Diese Trennung erhöht die Sicherheit zusätzlich.
- OPC UA nutzt etablierte Verschlüsselungsverfahren wie AES-256 mit SHA bis 512 oder RSA.
- Software-Updates und OPC UA lassen sich auch lokal am Gerät sperren – ein zuverlässiger und absoluter Schutz.
REST-API und MQTT: weitere Optionen für den Sensor-Cloud-Datenaustausch
OPC UA legt den Fokus auf industrielle Kommunikation und schafft bereits mit seinen technologieimmanenten, hohen Security-Standards großes Vertrauen bei den Anlagenbauern. Gleichwohl wird OPC UA, jetzt schon erkennbar, nicht das einzige Schnittstellenformat für den Datenaustausch von Edge-Devices wie den ASi-5/ASi-3 Gateways mit höheren Ebenen bleiben. Um Fernwartungsservern, Visualisierungssystemen oder cloudbasierten Applikationen auch in Zukunft verlässliche Daten aus der untersten Feldebene zu liefern, stehen perspektivisch mindestens zwei weitere Kommunikationsschnittstellen im Fokus: REST-API (Representational State Transfer – Application Programming Interface) und MQTT (Message Queuing Telemetry Transport).
Die Schnittstelle REST-API – wohl jedem Internet-Programmierer bekannt – wird häufig für die Kommunikation zwischen Servern untereinander oder mit Programmen und Apps verwendet. Aufgrund ihrer http-basierten Client-Server-Architektur ist sie aber auch für IT-Anwendungen interessant, in denen Maschinendaten für Web-Applikationen genutzt werden sollen. Die Daten können sowohl live verwendet werden, beispielsweise als Anzeige auf einer Website, als auch in eine Datenbank einfließen.
Bei MQTT sind die Geräte im Gegensatz zu OPC UA nicht hierarchisch als Sender und Empfänger organisiert, sondern können alle im Publish/Subscribe-Messaging, auch bekannt als Pub/Sub, asynchron miteinander kommunizieren. Nachrichten werden dabei von einem Publisher über einen Nachrichtenbroker versendet und können von einem oder mehreren Abonnenten empfangen werden. Eine solche bidirektionale Kommunikation gibt es bei OPC-UA-Servern untereinander nicht. Da dies aber oftmals wünschenswert ist, wird MQTT in OPC UA integriert – als OPC UA Pub/Sub bzw. OPC UA FX. Gleichzeitig schlägt MQTT die kommunikative Brücke zwischen REST-API und OPC UA.
Wie auch immer die genaue Ausgestaltung der Schnittstellen aussehen wird: die aktuellen Versionen der ASi-5/ASi-3 Gateways von Bihl + Wiedemann sind bestens darauf vorbereitet, denn sowohl REST-API als auch MQTT können dann, wenn die Nachfrage es erfordert, kurzfristig als zusätzliche Schnittstelle und Ergänzung zu OPC UA in die Geräte implementiert werden.
IIoT und Industrie 4.0 mit Bihl + Wiedemann
Industrie 4.0, die Smart Factory und das IIoT nehmen in der Industrie immer weiter Gestalt an. Daten sind dabei der wichtigste Rohstoff, den es auf intelligente und effiziente Weise zu sammeln, auszuwerten und in OT- und IT-Umgebungen zu übertragen gilt. Die ASi-5/ASi-3 Feldbus Gateways von Bihl + Wiedemann spielen hierbei eine wichtige Rolle, denn in ihrer Doppelfunktion als Schnittstelle und Netzwerkknoten auf der untersten Feldebene greifen sie als erste direkt auf die Daten von Sensoren und Aktuatoren zu und bieten heute und in Zukunft direkte und zukunftssichere Kommunikationskanäle für Daten vom Sensor bis in die Cloud.
Bihl + Wiedemann auf der Hannover Messe: Halle 9, Stand H01