Middleware für nahtlosen und sicheren Datenaustausch IT/OT-Integration auf OPC UA-Basis

Für die Umsetzung eines nahtlosen Datenaustauschs hat sich mittlerweile der Standard OPC UA (Unified Architecture) als Basistechnologie zwischen den verschiedenen Teilsystemen etabliert.

Bild: Softing
03.11.2020

Bei der Integration von Produktions- und Managementebene kommt dem Datenaustausch eine besonders wichtige Rolle zu: Die große Anzahl der Variablen, uneinheitliche Schnittstellen, die Verwaltung der Zugriffsrechte und spezielle Sicherheitsanforderungen stellen besondere Herausforderungen dar. Eine Middleware bietet einen besonders eleganten Weg für die Umsetzung.

Eine wichtige Entwicklung in Produktionsbetrieben ist die Integration von Einzelkomponenten zu einer durchgängigen Gesamtlösung, die etwa durch die Industrie 4.0-Initiative und Begriffe wie das Industrielle Internet der Dinge vorangetrieben wird. Bisherige Inselanwendungen von verschiedenen Herstellern werden zunehmend mit Systemen für Enterprise Resource Planning (ERP)- und Manufacturing Execution System (MES)-Aufgaben gekoppelt.

Für die Umsetzung eines nahtlosen Datenaustauschs hat sich mittlerweile der Standard OPC UA (Unified Architecture) als Basistechnologie zwischen den verschiedenen Teilsystemen etabliert. Damit können die Produktions- (Operational Technology, OT) und Management-Ebene (Information Technology, IT) eng miteinander verzahnt werden. OPC UA Publisher/Subscriber, einer der letzten OPC UA-Erweiterungen, bietet darüber hinaus auch eine elegante Lösung für die Umsetzung der Querkommunikation zwischen Steuerungen.

Innerhalb der Gesamtanwendung übernehmen für den Datenaustausch typischerweise die OT-Komponenten die Rolle von OPC UA-Servern, die IT-Komponenten die Rolle von OPC UA-Clients. Dabei steigt die Komplexität der Netzstrukturen exponentiell mit der Anzahl der eingebundenen OT- und IT-Anwendungen. Entsprechend umfangreich wird die Datenmenge, gleichzeitig wächst auch der Aufwand für Installation, Konfiguration und Wartung. Ein besonderes Augenmerk muss dabei auf die Datensicherheit gerichtet werden. Oft verwenden die Automatisierungsinseln kleine OPC UA-Nanoprofile, die keine Verschlüsselung unterstützen. Auf der anderen Seite haben sich für IT-Systeme in der Vergangenheit bereits besondere Sicherheitsanforderungen herauskristallisiert, weil diese rund um die Uhr laufen müssen. Und da auch immer häufiger Produktions­standorte überall auf der Welt eingebunden werden müssen und außerdem die Vernetzung mit anderen Unternehmen immer wichtiger wird, erhält der Schutz vor Angriffen eine entscheidende Bedeutung.

Schlüsselkomponente Middleware

Da diese Herausforderungen eine zentrale Rolle bei einer erfolgreichen Umsetzung von Integrationsanwendungen spielen, beschäftigen sich Gremien wie die Plattform Industrie 4.0 mit möglichen Ansätzen für die optimale Lösung. Im Diskussionspapier „Sichere unternehmensübergreifende Kommunikation mit OPC UA“ werden verschiedene Lösungsansätze vorgestellt und insbesondere die Vorteile eines Aggregating Servers besprochen. Die Middleware-Komponente dataFEED Secure Integration Server von Softing Industrial greift diesen Lösungsansatz auf. Damit steht eine abstrakte Schnittstelle zwischen der OT- und IT-Welt zur Verfügung, die auf der Adressraummodellierung entsprechend dem OPC UA-Standard aufsetzt und diese insbesondere zur Schnittstellenabstraktion und Datenaggregation nutzt.

Schnittstellenabstraktion und Datenaggregation

Die Schnittstellenabstraktion unterstützt Änderungen oder Erweiterungen innerhalb einer Ebene ohne dass dafür Anpassungen in der anderen Ebene notwendig werden. Damit kann der Anwender beispielweise einfach eine neue IT-Anwendung in die Gesamtlösung integrieren, ohne die OPC UA-Schnittstelle der OT-Seite anpassen zu müssen. Umgekehrt müssen IT-Anwendungen bei Änderungen innerhalb der Produktionswelt nicht angefasst werden, solange die in der Middleware implementierte OPC UA-Schnittstelle unverändert bleibt.

Damit kann ein Software-Lieferant einfach eine Standardschnittstelle für seine Anwendung in kundenspezifische Anlagen und Umgebungen integrieren. Der Anwender gewinnt so erhebliche Freiheitsgrade und kann kurze Innovationszyklen in der IT-Welt voll nutzen und die eingesetzten IT-Anwendungen und -Plattformen bei reduzierten Integrationsaufwänden frei auswählen. Darüber hinaus behält er alle Möglichkeiten, auch innerhalb der OT-Welt Änderungen vorzunehmen, ohne dass er die IT-Inte­gration von vorne beginnen muss.

Mit der Datenaggregation lassen sich Daten aus verschiedenen Quellen in einem OPC UA-Server zusammenfassen. Nun muss die IT-Anwendung nur noch auf einen Server zugreifen, was eine vereinfachte und überschaubare Kommunikationsstruktur zur Folge hat. Für den Anwender bedeutet dies einen reduzierten Konfigurationsaufwand, weil er nun für den Zugriff auf die einzelnen OT-Datenquellen durch die verschiedenen IT-Anwendungen keine separate Konfiguration vornehmen muss.

Darüber hinaus unterstützt dataFEED Secure Integration Server das Laden von OPC UA Companion Specifications (Begleitnormen) mit dem darin festgelegten Informationsmodell. Dieses deckt entweder die besondere Aufgabenstellung einer bestimmten Branche ab oder beschreibt die in einem Unternehmen verwendete Objektwelt. Auf diese Weise wird die Kompatibilität auch auf der semantischen Ebene sichergestellt, so dass der Anwender sofort die passenden Objekte wie Variable oder Alarme nutzen kann. Zum Beispiel stehen so die festgelegten Variablen bereits mit ihren Eigenschaften wie etwa die Einheit, die verfügbaren Methoden und Dienste zur Verfügung.

Sicherheit bereits eingebaut

dataFEED Secure Integration Server fasst alle wichtigen Mechanismen für die Verwaltung, Reglementierung und Überwachung eines umfassenden Sicherheitskonzepts an einer zentralen Stelle der Gesamtlösung zusammen. Damit lässt sich der Zugriff auf einzelne Datenpunkte über Zugriffsrechte steuern. Dabei können unterschiedliche Anwendungen mit jeweils eigenen Zertifikaten beziehungsweise Zugriffsrechten arbeiten. Filter schränken den Zugriff weiter ein, so dass einzelne OPC UA-Client-Anwendungen nicht nur den gesamten freigegebenen Adressraum einschränken, sondern auch die einzelnen Datenpunkte nur mit dem passenden Zugriffsdienst – Lesen, Schreiben, Durchsuchen oder Abonnieren – nutzen können.

Darüber hinaus ist im dataFEED Secure Integration Server die Datensicherheit entsprechend den Sicherheitsfunktionen des OPC UA-Standards eingebunden. Dieser setzt die Sicherheitsstandards des Internets auf drei Ebenen um: Die Benutzer-Authentifizierung kann entweder über Benutzername und Passwort oder über digitale Zertifikate erfolgen. Für die Anwendungssicherheit können Anwendungen ebenfalls über digitale Zertifikate authentifiziert werden. Und schließlich lassen sich Daten und Nachrichten entsprechend dem Advanced Encryption Standard (AES) mit 128- oder 256-Bit-Schlüsseln codieren. Damit stehen Sicherheitsstandards zur Verfügung, wie sie z.B. auch für das Online-Banking zum Einsatz kommen. Für eine erweiterte Sicherheit unterstützt dataFEED Secure Integration Server auch die Festlegung von White bzw. Black Lists für den Datenzugriff von einzelnen IP-Adressen aus und die Erkennung von Denial of Service (DoS)-Angriffe auf die OPC UA-Authentifizierung.

Vorteile für die Kunden

Die Entscheidung für den Einsatz von dataFEED Secure Integration Server verschafft Kunden deutliche Vorteile beim Betrieb ihrer Anwendungen, egal ob es sich um Bestandsanlagen oder Neuinstallationen handelt. So stand ein führender Anbieter von Leittechniksystemen für Kraftwerke vor der Herausforderung, rund 1,5 Millionen Variablen in ein Gesamtsystem einbinden zu müssen. Diese Vielzahl von Variablen bedeutet große Schwierigkeiten für viele OPC UA-Clients. Deshalb nutzt die Kraftwerksanwendung die Möglichkeiten zur Filterung von Variablen und schränkt den Zugriff für die einzelnen OPC UA-Clients gezielt ein. Zusätzlich ist der Zugriff auf die einzelnen konfigurierten Variablen nur lesend möglich, so dass das nicht autorisierte Überschreiben von Datenwerten ausgeschlossen ist.

Bei einem großen Automobilzulieferer kommt dataFEED Secure Integration Server speziell für das Aggregieren und Filtern der Variablen einer Vielzahl von unterschiedlichen OPC UA-Servern zum Einsatz, so dass sich die einzelnen Variablen in den OPC UA-Clients über eine einheitliche Schnittelle zugreifen lassen. Ein weiteres wichtiges Argument ist hier die Umsetzung eines Sicherheitsstandards nach heutigem Stand der Technik.

Bildergalerie

  • Der dataFEED Secure Integration Server kombiniert alle Anforderungen an eine Middleware-Komponente.

    Der dataFEED Secure Integration Server kombiniert alle Anforderungen an eine Middleware-Komponente.

    Bild: Softing

  • Kunden nutzen dataFEED Secure Integration Server als Middleware für eine flexible und schnelle Kopplung von OT- und IT-Ebene.

    Kunden nutzen dataFEED Secure Integration Server als Middleware für eine flexible und schnelle Kopplung von OT- und IT-Ebene.

    Bild: Softing

  • Der Aggregations-Server reduziert die Kommunikationsverbindungen einer Industrie 4.0-Anwendung dramatisch.

    Der Aggregations-Server reduziert die Kommunikationsverbindungen einer Industrie 4.0-Anwendung dramatisch.

    Bild: Softing

Firmen zu diesem Artikel
Verwandte Artikel