Stefan Körte, Vertriebsleiter bei FP Inovolabs: „Wir müssen dem wuchernden Cloud-Dschungel etwas entgegensetzen.“ (Bild: Redaktion IEE)
Immer mehr Anbieter drängen mit individuellen IoT-Lösungen auf den Markt. Ein Problem wird dabei schnell übersehen: Solche Systeme decken zwar einige Anwendungen wunderbar ab, konterkarieren jedoch den ursprünglichen Gedanken von IoT und Industrie 4.0: die Datenkonsolidierung für Verbesserungen. Francotyp-Postalia, kurz: FP Inovolabs, und Vertriebsleiter Stefan Körte setzen dem ein offenes IoT-Modell dagegen.
Herr Körte, was läuft verkehrt bei den aktuellen IoT-Technologien und Projekten?
Stefan Körte: Zurzeit kann man den Trend beobachten, dass viele Automatisierungsanbieter zu ihren Produkten auch gleich eine eigene, angepasste Cloud-Lösung mitliefern. Das ist zwar im Prinzip schön, aber stellt den Anlagenbetreiber schnell vor das Problem, mit jeder Maschine eine spezielle Cloud-Lösung betreiben zu müssen und dann in der Gesamtanlage viele unterschiedliche IoT-Lösungen mit unterschiedlichen Funktionen und Look-and-Feel betreiben zu müssen. Und auch der Austausch von Daten zwischen den verschiedenen Clouds erfordert teure Sonderaufwände für angepasste Software-Interfaces.
Dies ist sozusagen die Verlagerung der Interface-Vielfalt aus der OT- in die IT-Ebene, und das ist auf Dauer meines Erachtens eine Sackgasse und geht am Grundgedanken von IoT vorbei, nämlich dem Mehrwert durch freien Zugang von jeder Cloud-Instanz auf alle Daten unterschiedlichster Anlagen und Maschinen im Shopfloor.
Daher bietet FP Inovolabs alternativ zu einer vorgegebenen Cloud-Lösung ein komplettes Paket als Edge-Infrastruktur, die das Management von Device-Zugriff, VPN-Adresse, IoT-Hub und Security in sich vereint. Auf dieser Basis lassen sich dann maßgeschneiderte kundenspezifische IoT-Edge-Lösungen aus einer Hand generieren, ohne dass sich Kunden auf eine bestimmte Cloud-Infrastruktur festlegen müssen.
Haben Sie schon Mitstreiter für Ihr Edge-Backbone gewonnen?
Stefan Körte: Viele Stadtwerke und größere Produktionsbetriebe haben das Problem erkannt und ihr Interesse an einer Cloud-unabhängigen Edge-Plattform bekundet. Wir planen noch für dieses Jahr einige Pilot-Installationen als Proof of Concept. Natürlich sind wir offen für Kooperationen und können zum Beispiel Anlagenbetreibern und auch den Software-Herstellern eine einheitliche und zentral gemanagte Datenquelle von den unterschiedlichsten Installationen im Shopfloor anbieten.
Was kann FP denn besser als andere?
Stefan Körte: FP Inovolabs ist ein Tochterunternehmen der Francotyp-Postalia-Gruppe, die für ihre absolut sichere und zuverlässige Datenübertragung in der Frankiertechnik bekannt ist. Inovolabs hat 2018 begonnen, den Geschäftsbereich IoT aufzubauen. Francotyp-Postalia verfügt dazu über die notwendige Expertise: langjährige und nachgewiesene Erfahrung bei der sicheren Datenkommunikation zwischen ihrer Cloud und den Frankiermaschinen. Weil es um hohe Geldbeträge geht, spielt die Security speziell bei Schreibzugriffen eine wichtige Rolle.
Also Cloud Automation?
Stefan Körte: Cloud- und Edge-Computing kann seine Vorteile nur dann wirklich ausspielen, wenn beides sicher möglich ist – Lesen und Schreiben. Weil ihnen die Security-Aspekte zu heikel sind, blenden viele Anbieter Schreibzugriffe aber einfach aus und lassen nur Lesezugriffe auf ihre IoT-Devices zu. Wenn jedoch Ergebnisse oder Rückmeldungen aus der Software in der Ebene nicht in die Maschinen und Anlagen übertragen werden können, sind viele Möglichkeiten und Vorteile von IoT nicht nutzbar.
Und Sie wagen Schreibzugriffe?
Stefan Körte: Ja, weil FP Inovolabs das Know-how für manipulationssicheres Schreiben durch die Erfahrung aus über 200.000 installierten Verbindungen hat und sowohl auf die Expertise als auch auf die Technologie des Mutterkonzerns zugreifen kann. Und mit den IoT-Gateways des übernommenen Herstellers Tixi steht ein praxiserprobtes Portfolio aus Hard- und Software als Basis für Secure IoT zur Verfügung.
Welche Funktionen stellen Ihre IoT-Devices zur Verfügung?
"Viele Cloud-Anbieter machen es sich leicht und blenden Schreibzugriffe einfach aus." Redaktion IEE
Stefan Körte: Unsere Edge-Devices kombinieren drei Funktionen. Zum einen ist das die Data Aggregation der eingesammelten Daten, die aus dem Feld oder direkt von der Steuerung kommen. Oft reichen diese Betriebsdaten der Bestandsanlagen nicht aus. Über integrierte Schnittstellen lassen sich Betriebsdaten über Ein- und Ausgänge mit zusätzlichen Daten anreichern sowie Schaltzustände erfassen und Aktionen auslösen. Daraus resultiert eine Vielzahl an Daten, die in ihrer Gesamtheit eine Cloud-Applikation meist gar nicht braucht. Die Cloud-Software benötigt vielmehr bestimmte Informationen zu bestimmten Zeiten in einer definierten Genauigkeit. Daraus leitet sich die zweite Funktion des IoT-Devices ab: die Daten verdichten. Diese Informationen können beispielsweise Verknüpfungen verschiedener Datenpunkte sein oder auch Messwerte, die skaliert in bestimmten Intervallen in die Cloud gesendet werden. Oft interessiert in der Cloud nur, ob ein Messwert bestimmte Grenzen über- oder unterschreitet, sodass eine Warnung erfolgen kann.
Und die dritte Funktion ist…
Stefan Körte: …die ermittelten Informationen so zu strukturieren, dass sie mit den verwendeten Cloudsystemen harmonieren und die IT-Plattformen die Informationen ohne weitere Anpassungen lesen können. Wir können die Informationen beispielsweise als XML, CSV oder als MQTT-Objekte generieren oder über HTTPS direkt in ein Leitsystem einspielen.
Auf dieser Ebene der Business Logic erfolgt auch die Programmierung der Kontrollfunktionen und Steuerung der Gateway-I/Os. Das reduziert die Latenzzeiten und das funktioniert auch, wenn die Cloud nicht online ist. Das IoT-Gateway wird über einen Webserver so konfiguriert, dass die Visualisierung mit einem beliebigen Browser auf einem beliebigen Endgerät möglich ist.
Und wer nutzt welche dieser Funktionen?
Stefan Körte: Maschinenbauer setzen vor allem auf Data Aggregation, um Services anbieten zu können. Dazu benötigt er einen Cloud-Anschluss mittels OPC UA oder MQTT; quasi als Steckdose zur Cloud. Was der Maschinenbauer nicht möchte, ist, dass seine internen Daten und Abläufe aus den Maschinen transparent in irgendeine Instanz geladen werden. Denn daraus lassen sich Rückschlüsse auf die Eigenschaften der Maschinen ziehen. Werden die Daten auf der Edge-Ebene verarbeitet, behält der Maschinenbauer die Hoheit.
Edge- oder Cloud Computing?
Edge Computing oder Cloud Computing? Eine Umfrage unter Automatisierungsexperten zeigt, dass sich beide Technologien gegenseitig bestens ergänzen und keinesfalls ausschließen.
Steht das nicht genau im Gegensatz zu den Interessen der Maschinenbetreiber?
Stefan Körte: Sie wollen wiederum ihren Gesamtprozess effizient gestalten und idealerweise alle Informationen von allen angeschlossenen Maschinenanlagen einheitlich auf ihrer IT-Plattform zur Verfügung haben. Dann sind sie vollkommen frei, eine Cloud-Applikationen zu realisieren, die auf den Daten ihrer kompletten OT basiert. Den Maschinenbetreiber interessiert, ob die Maschine im vorgegebenen Bereich arbeitet, der Output passt und Grenzwerte über- oder unterschritten werden.
Und Sie haben für beide Zielgruppen passende Lösungen?
Stefan Körte: FP Inovolabs liefert maßgeschneiderte Edge-Gateways an Maschinenbauer und -betreiber. Ein Gateway, das die Schnittstellen verwaltet, die Daten aggregiert und abstrahiert, damit sie den Anforderungen der Kunden-IT entsprechen. Dass die Abläufe in der Maschine geschützt bleiben, ist dabei ein wichtiges Kriterium. Selbstverständlich wird der Anwender irgendwann auch eine Runtime in der IT-Ebene nutzen wollen, um den Gesamtprozess zu steuern. Da das Tempo immer vom schwächsten Glied einer Kette von Maschinen bestimmt wird, ist eine Prozesssteuerung auf der IT-Ebene effizient. Dann sollte die Software automatisiert auch Parameter in die einzelnen Maschinen schreiben können. Dazu braucht es zwingend einen schreibenden Zugriff. Hier setzt unsere Technologie an, die schreibende Zugriffe in drei Stufen erlaubt: Standard, Mittel und Hochsicher.
Keine Frage, bei neuen Anlagen und Maschinen mag das funktionieren. Wie binden Sie Bestandsanlagen ein?
Stefan Körte: Im industriellen Umfeld werden vor allem für bestehende Maschinenparks IoT-Lösungen gesucht. Nahezu alle Anfragen betreffen Retrofits. Hier sieht die Realität so aus, dass unterschiedliche Steuerungen von verschiedenen Herstellern aus verschiedenen Automatisierungs-Epochen im Einsatz sind, das heißt, ohne oder mit den unterschiedlichsten Feldbussen und verschiedenen Ethernet-Protokollen.
Während Greenfield-Applikationen direkt out of the box realisiert werden können, decken wir auch die rund 80 % Retrofit-Applikationen ab. Wir können die meisten Schnittstellen verwalten, von der Uralt-Maschine bis zur Neuanlage. Bei den Oldies müssen wir dann einzelne Daten über diskrete Analog- oder Digital-IOs einsammeln oder über Schnittstellen wie Modbus.
Wie wird das Gateway überhaupt programmiert?
"Es braucht eine Konsolidierung der zahllosen Cloud/Edge-Infrastrukturen." Redaktion IEE
Stefan Körte: Wir nutzen ein XML-basiertes System, mit dem sich nahezu alle Funktionen programmieren lassen. Beispielsweise gibt es Funktionsbausteine, um einen seriellen String auszulesen. Ein weiterer dient dazu, Modbus-Protokolle zu lesen und zu schreiben. Weiterhin gibt es Funktionsbausteine, die die Control Logic managen. Diese Features integrieren wir als Dienstleistung zu betriebsbereiten Lösungen. Eine weitere Alternative wäre es, gemäß IEC 61131 zu programmieren, was ab 2021 als Option verfügbar ist. XML stellt einen Kompromiss zwischen Hochsprachen wie C++ und der Programmierung in einer der klassischen SPS-Sprachen dar. Als Text-orientiertes System kann damit ein Anwender ebenso mit XML arbeiten wie auch die IT-Dienstleister oder ein Systemintegrator.
Sie adressieren mit Ihrer Lösung auch die Unternehmen der kritischen Infrastrukturen, die so genannten Kritis. Haben die nicht ganz andere Anforderungen?
Stefan Körte: Genau deswegen haben wir unter anderem ja auch ein abgestuftes Security-Konzept.
Ein wichtiger Bestandteil davon ist auch das Trusted Platform Module (TPM), das eine eindeutige Identifizierung der Gateways ermöglicht. Die Grundlage des Moduls ist ein sicherer Coprozessor, der kryptografische Schlüssel speichern und kryptografische Primitive bereitstellen kann, die mit diesen Schlüsseln verwendet werden. Hinzu kommen sichere Smartcards mit integrierten Einzelchip-Schaltkreisen, die wie ein TPM eine begrenzte sichere Speicherung für Schlüsselmaterial und einen primitiven Satz kryptografischer Funktionen bieten. Sie schützen das Schlüsselmaterial vor der Weitergabe oder Substitution auf einem höheren physischen Level. Und das Hardware-Sicherheits-Modul macht das Gateway wiederum zu einer Hochsicherheitslösung, mit der Produktionsdaten oder Steuersignale der kritischen Infrastruktur mit der höchst möglichen Sicherheitsstufe über Internet an ein Portal übertragen werden.
Das macht Ihre Lösungen sicherer als andere?
Stefan Körte: Unsere Basistechnologien unterscheiden sich nicht von anderen Lösungen: HTTPS- und VPN-Tunneling. HTTPS ist standardmäßig verschlüsselt und die Übertragung kann auch über VPN erfolgen. VPN bietet nicht nur eine hohe Sicherheit, sondern auch eine gute Adressverwaltung. Gerade bei weit verteilten Anlagen lassen sich unterschiedliche lokale Adressen über die virtuellen VPN-Adressen zusammenfassen.
Allerdings gehen wir noch einen Schritt weiter. Da wir eine Edge-Infrastruktur liefern, können wir neben den Gateways auch einen entsprechenden Service anbieten. Anwender können beispielsweise die Verwaltung der Zugriffsrechte auf sämtliche Edge-Gateways über einen eigenen oder unseren zentralen VPN-Server konfigurieren, der speziell gesichert ist. Damit lassen sich auch automatisierte System-Updates realisieren. Das ist für diejenigen interessant, die eine große Zahl von Gateways betreiben.
Noch dieses Jahr werden wir die Hardware-Sicherheits-Module integrieren. Diese HSMs werden weltweit zentral über einen entsprechenden Server im Haus-eigenen Trust-Center verwaltet, über den auch das Zertifikatshandling erfolgt. Diese Zertifikate sind für jedes Modul einzigartig und nicht manipulierbar. Die Hardware ist so konzipiert, dass sie sich im Zweifel selbst zerstört und alle Informationen löscht, falls ein Versuch unternommen wird, das Zertifikat auszulesen. Diese Module werden direkt in der Berliner Zentrale von FP Inovolabs in einem speziell gesicherten Bereich gefertigt. Die Produktion wird jedes Jahr sowohl von der deutschen als auch von der amerikanischen Post auditiert. Für eine umfassende Security unserer Lösungen im späteren Betrieb ist also gesorgt.
Das Interview führte IEE-Chefredakteur Stefan Kuppinger
Stefan Kuppinger
(ml)
