A A A
| Sitemap | Kontakt | Impressum | Datenschutz
ETZ Logo VDE Verlag Logo

Viele Wege führen in die Cloud

Bild: Siemens

Bild: Siemens

Sprichwörtlich führen viele Wege nach Rom. Ähnlich verhält es sich mit dem Datentransfer in Cloudlösungen. Um einen Mehrwert aus Daten generieren zu können, müssen diese zunächst gesammelt werden, bevor sie in die Cloud weitergeleitet werden. Die möglichen Lösungen dafür sind so vielfältig wie die Anforderungen der verschiedenen Automatisierungssysteme. Datensicherheit spielt dabei immer eine zentrale Rolle.

01  Mit dem Simatic CP 1545-1 lässt sich die Siemens-Steuerung Simatic S7-1500 auf einfache Weise mit ­Fähigkeiten zur Cloudkommunikation versehen

01  Mit dem Simatic CP 1545-1 lässt sich die Siemens-Steuerung Simatic S7-1500 auf einfache Weise mit ­Fähigkeiten zur Cloudkommunikation versehen

02  „Simatic CloudConnect 7“ bietet eine einfache Möglichkeit zur Anbindung von Bestandsanlagen an die Cloud

02  „Simatic CloudConnect 7“ bietet eine einfache Möglichkeit zur Anbindung von Bestandsanlagen an die Cloud

04  Je nach installierten Geräten und tatsächlichem Anwendungsfall bietet Siemens verschiedene Möglichkeiten  zur einfachen Cloudanbindung

04  Je nach installierten Geräten und tatsächlichem Anwendungsfall bietet Siemens verschiedene Möglichkeiten zur einfachen Cloudanbindung

Zu den wesentlichen Merkmalen der Digitalisierung gehören ein steigender Vernetzungsgrad von Industrieanlagen sowie eine weitere Verlagerung in Richtung dezentraler ­Intelligenz: In einer Fertigung sind immer mehr Komponenten und Maschinen in der Lage, Daten abseits ihres ­eigentlichen Einsatzzwecks zu liefern. Gleichzeitig sorgen optimale Vernetzungs- und Kommunikationstechnologien dafür, dass diese entsprechend weitergeleitet werden.

Um die im Industrial Internet of Things (IIoT) generierten Daten nun nutzbar zu machen, also aus Daten Wissen und wirtschaftlichen Nutzen zu generieren, braucht es flexible und skalierbare Speicher- und Rechenkapazitäten. Diese Eigenschaften bringen cloudbasierte Systeme, wie das offene IoT-Betriebssystem Mindsphere von Siemens [1] mit.

Zwei Lösungsansätze

Die zentrale Frage, die vielfach bei IIoT-Projekten gestellt wird, lautet: Sollen alle verfügbaren Informationen direkt in die Cloud übertragen werden? Hier muss man sagen, dass dies nur bedingt sinnvoll ist. Während es bisher hieß: Woher überhaupt die Daten nehmen?, stellt sich heute zunehmend die Frage: Wo ist eine Vorverdichtung der Daten sinnvoll? Der Grund: Obwohl die von der Infrastruktur zur Verfügung gestellte Bandbreite oft zunimmt, wächst sie nicht notwendigerweise so stark wie die Datenmenge. Hier kann vorausschauende Planung helfen, zukünftige Engpässe zu vermeiden. In diesem Zusammenhang stellt eine in die Anlagensteuerung integrierte Lösung den optimalen Ansatz dar. So können mit einer solchen Daten bereits vorverarbeitet werden – die Steuerung fungiert als Datenverdichter und unterstützt dadurch, unnötige Netzwerklasten zu vermeiden. Da­rüber hinaus kann ein Kommunikationsprozessor mit Sicherheitsfunktionen das Konzept ergänzen.

Geht es aber darum, Bestandsanlagen an die Cloud anzubinden, steht zumeist die Anforderung im Raum, das ­eigentliche Steuerungsprogramm nicht zu verändern. In diesem Fall stellt ein IIoT-Gateway, das die benötigten ­Konnektivitätsoptionen mitbringt, die optimale Lösung dar – das Engineering-System bleibt unangetastet.

Steuerung mit Cloudanbindung

Hat sich der Kunde für eine integrierte Lösung entschieden, bietet Siemens mit dem Kommunikationsprozessor Simatic CP 1545-1 (Bild 1) die Möglichkeit, zum Beispiel eine vorhandene Anlagensteuerung Simatic S7-1500 zu erweitern, sodass sie Daten sicher in die Cloud transferieren kann. Dieser Ansatz bietet mehrere Vorteile: Einerseits kann die Steuerung als bereits vorhandener Datenaggregator für die Vorverarbeitung verwendet werden. Der Anlagenhersteller verfügt bereits über das hierfür erforderliche prozessbezo­gene Know-how. Der Aspekt der Cloudanbindung ist somit bei der Erstellung des Steuerungsprogramms unmittelbar mit einbeziehbar. Andererseits kann die bereits vorhandene oder ohnehin erforderliche Hardware zum Berechnen von Werten genutzt werden, während der Kommunikationsprozessor die benötigten Cloudprotokolle, wie Message Queuing Telemetry Transport (MQTT), zur Verfügung stellt.

Schlussendlich sollte noch beachtet werden, dass nicht in jedem Fall direkt auf alle in einer Anlage verfügbaren Messwerte direkt zugegriffen wird. Zwar steigt der Vernetzungsgrad und vor allem die Ausbreitung der Ethernet-­Infrastruktur weiter, jedoch ist es nicht immer sinnvoll, diese Vernetzung bis in die unterste Sensorebene zu führen. Vor allem aus ökonomischen Gründen ist beispielsweise die Sensorebene oft noch über Feldbussysteme oder analoge Signale verdrahtet. Die Informationen derart angebundener Sensoren stehen auf der Anlagensteuerung jedoch zur Verfügung und sind somit durch eine integrierte Cloudanbindung für übergeordnete Auswertungen nutzbar.

Cloudanbindung von Bestandsanlagen

Steht bei dem Kunden der Wunsch im Raum, dass die ­eigentliche Maschine oder Anlagensteuerung unangetastet bleiben soll und die Automatisierungsseite nicht von Sicherheitsaktualisierungen betroffen sein darf, stellt eine externe Lösung die optimale Wahl dar. Hier bietet Siemens neben dem bereits verfügbaren Ruggedcom RX1400 mit dem ­Industrial-IoT-Gateway „Simatic CloudConnect 7“ (Simatic CC 7) (Bild 2) zwei weitere Optionen, bestehende Sys­teme mit der Cloud zu verbinden: Der Simatic CC712 ermöglicht die Anbindung einer Simatic S7-300 oder S7-400 über ­Industrial Ethernet mit dem S7-Protokoll. Mit dem Simatic CC716 können dagegen bis zu sieben Simatic-S7-Steuerungen über Schnittstellen, wie Industrial Ethernet oder Profibus/MPI, angebunden werden. Bei dieser Lösung muss das bestehende Steuerungsprogramm nicht geändert ­werden, um die wesentlichen Informationen auszuwählen und ­weiterzuleiten. Darüber hinaus können die von „Cloud­Connect 7“ aus den Simatic-S7-Stationen der unteren Ebene ­gelesenen Daten als OPC-UA-Variablen (Server) bereit­gestellt werden. Dies ermöglicht einen standardisierten Daten­ustausch, zum Beispiel mit MES oder Bedienober­flächen und Steuerungen von Fremdanbietern.

In allen Fällen wird das offene Cloudprotokoll Message Queuing Telemetry Transport (MQTT) verwendet. Dieser Standard ermöglicht auch die Übertragung von Daten an Mindsphere. Zudem sind Direktverbindungen mit Platt­formen, wie Microsoft Azure, IBM Cloud oder Amazon Web Services (AWS), damit implementierbar.

Security als elementarer Bestandteil

Bei allen cloudbasierten Systemen werden Daten in unternehmenseigenen oder sogar öffentlichen Netzen übertragen. Daher sollte die Datensicherheit (Security) immer auch ­Bestandteil des Gesamtkonzepts sein. Die Datenübertragung in die Mindsphere erfolgt deshalb zertifikatsbasiert verschlüsselt.

Besondere Aufmerksamkeit sollte zudem der eigentlichen Anbindung der Automatisierungszelle oder Anlage ­geschenkt werden. Da für den Cloudbetrieb eine Verbindung mit dem übergeordneten Netzwerk notwendig ist, gibt es immer ­einen potenziellen Zugangspunkt für Angreifer. Dabei hängt die Schwere der potenziellen Bedrohung vom übergeordneten Netzwerk und seinen Schutzmaßnahmen ab. In vielen Fällen ist allerdings ein zusätzlicher Schutzmechanismus in der Zelle sinnvoll, unter anderem weil dann die Zugriffs­berechtigung unabhängig von übergeordneten Mechanismen kontrolliert werden kann. Auch hier bietet Siemens zwei unterschiedliche Schutzkonzepte: Zum Beispiel eines mit separater Hardware wie die Indus­trial Security Appliance Scalance SC632-2C für die Anbindung über das vorhan­dene Unternehmensnetzwerk. Oder ein WAN-Router für die ­leitungsgebundene oder drahtlose Kommunikation über Mobilfunknetze, beispielsweise ein Scalance M874-4 über LTE. In beiden Fällen fungiert das Scalance-Gerät auch als konfigurierbare Firewall. Bei entsprechender Einrichtung kann auf alle Geräte im untergeordneten Netzwerk IP-­basiert zugegriffen werden.

Interne und externe Lösung optimal abgesichert

Bei der integrierten Lösung mit Simatic S7-1500 bietet der Kommunikationsprozessor Simatic CP 1545-1 nicht nur ­eine separate Netzwerkverbindung, sondern auch eine eingebaute Firewall. Der Betriebsstatus des Kommunikationsprozessors hat keine Auswirkung auf die eigentliche Steuerung. Selbst im Fall einer von außen geführten Attacke mit der Absicht, den Dienst zu blockieren (Denial of Service), die die Funktion des Kommunikationsprozessors beeinträchtigt, arbeitet die Steuerung ungestört weiter. Bei dieser Lösung ist stets eine Netztrennung realisiert: Die Steuerung ist vom übergeordneten Netzwerk aus erreichbar, aber der Zugriff auf untergeordnete Geräte ist gesperrt, weil kein IP-Routing stattfindet.

Kurz gesagt: Mit dem Kommunikationsprozessor

CP 1545-1 kann eine für die individuellen Anforderungen der Anlage maßgeschneiderte Cloudanbindung implementiert werden. Für die Verarbeitung der Daten sind alle von der Simatic S7-1500 vertrauten Programmiermöglichkeiten verfügbar. Ein individueller Schutz der Steuerung oder des Automatisierungssystems ist sinnvoll und wird bereits vom Kommunikationsprozessor gewährleistet. Für externe ­Geräte wie den „CloudConnect 7“ stehen zusätzliche Sicherheitsoptionen zur Verfügung. (ih)


Literatur:
[1] Siemens AG, Nürnberg: www.siemens.de/cloudconnect , www.siemens.com/cloudconnect


Frederik Nitsche ist im Produktmanagement ­Simatic-Kommunikationsprodukte bei der ­Siemens AG tätig.

Autor:
Frederik Nitsche ist im Produktmanagement ­Simatic-Kommunikationsprodukte bei der ­Siemens AG tätig.