Lost in Space?

Wie sich die Daten aus der Produktion mit Hilfe zentraler Dienste der bestehenden IT-Infrastruktur ablegen und Zugriffsverwaltungen regeln lassen. Und in welchen Fällen eine eigene Serverstruktur in der Automation die bessere Lösung darstellt. Eine Abwägung beider Modelle.

Die Ausgangssituation: Zentrale Dienste sind in der Produktion nicht verfügbar

In der klassischen Office-IT einer Unternehmensverwaltung kann es als gängige Praxis bezeichnet werden, in der Automation stellt es ein weniger genutztes Feld dar: Das Bereitstellen zentraler Dienste. Damit ist eine Benutzer- und Zugriffsverwaltung gemeint, Backup-Dienste, System-Updates, aber auch Themen wie die Datenablage und welche Hardware genutzt wird.

Warum solche Themen nicht auch in der Produktion eines Unternehmens einen höheren Stellenwert besitzen, liegt zum einen an der ursprünglich fehlenden Vernetzung der Anlagen. Die zunehmende Ausstattung von Industrie-Anlagen mit Netzzugängen ist heute unübersehbar. Eine Schritt für Schritt mit entsprechenden Maschinen erneuerte Produktions- oder Logistikhalle kann Gefahr laufen, dass unterschiedliche Netzwerk-Anbindungen und -Zugriffsmöglichkeiten nach dem “Marke-Eigenbau”-Prinzip verwaltet werden.

Da die Hersteller von Anlagen in der Produktion eine immer weiter gehende Vernetzung vorantreiben, ist es wichtig, das Thema zu beleuchten und zu diskutieren. Auch mit Blick auf eine unterbrechungsfreie Verfügbarkeit der Systeme in Industrie-Anlagen.

1. Wie die zentrale IT-Infrastruktur genutzt werden kann

Die einfachste und am wenigsten Kosten verursachende Variante ist die Nutzung der bereits vorhandenen Office-IT-Infrastruktur. Hier existiert in der Regel bereits ein breites technologisches Spektrum wie Virtualisierungsplattformen und Speichersysteme in der Infrastruktur, aber auch zentrale Dienste wie Zeitserver, Domäne und Backup, die von der Automation genutzt werden können.

Viele Anlagentypen in der Produktion sammeln Messwerte und Protokolle in einer eigenen Datenbank. Diese ist meistens auf einem PC oder auch auf einem eigenen Serversystem innerhalb einer Anlage platziert.

Wenn hierfür die zentrale IT-Infrastruktur genutzt werden soll, wird diese Datenbank der Anlagen einfach auf einen vorhandenen SQL-Server migriert. Es ist aber auch möglich, die vorherige Hardwareinstanz in Form einer virtuellen Maschine auf der zentralen IT-Infrastruktur abzubilden. Auf diese Weise wird die Verfügbarkeit der Daten erhöht und zudem über ohnehin vorhandene Backup-Mechanismen abgesichert. Zugriffe aus der Anlage und in die Anlage werden über virtuelle Local Area Networks (sogenannte VLANs) und Firewall-Regelwerke gesteuert.

Die Nutzung einer zentralen IT-Infrastruktur hat Vorteile, sie kann aber auch Nachteile mit sich bringen:

Zu den Vorteilen gehört die Zentralität: Wo es weniger vereinzelte Insellösungen gibt, existiert eine bessere Übersicht über die Systeme, die Zugriffe auf wichtige Systeme lassen sich besser steuern. Zugleich kann bei Nutzung der vorhandenen Infrastruktur von verringerten Investitionskosten ausgegangen werden. Nicht zuletzt findet sich auf diesem Weg eine Backup-Lösung, die eine Wiederherstellung kritischer Daten ermöglicht.

Zu den Nachteilen zählen – aus Sicht der Produktion – unklare Verantwortlichkeiten , die ebenfalls Zugriff auf die von der IT bereitgestellten Dienste benötigt. Um diese von Seiten der Produktion/ Automation nutzen zu können, entsteht hier ein Schulungsaufwand. Technisch handelt es sich überdies um eine relativ komplexe Netzwerkanbindung.

2. Welche Möglichkeiten der Aufbau einer eigenen Serverinfrastruktur bietet

Aufwändiger, aber mit hoher Praktikabiliät ist die Variante, dass der Produktion eine eigene Plattform mit allen von ihr benötigten Diensten bereitgestellt wird. Auf diese Weise kann die Produktion ihre eigenen zentralen Dienste verwalten. Die Schnittstelle zur IT ist bei dieser Variante wesentlich kleiner. Die IT kann die Produktion technisch unterstützen, die zentrale Office-IT-Infrastruktur bleibt ausschließlich der Verwaltung durch die IT-Abteilung vorbehalten.

Einem höheren Investitionsaufwand und einem initial höheren Schulungsaufwand zur Nutzung der Serverinfrastruktur in der Automation als Nachteilen dieses Modells stehen die folgenden Vorteile gegenüber:

Die Netzwerkanbindung für die Produktion wird deutlich vereinfacht gegenüber der Nutzung der Office-IT-Infrastruktur. Mit Hilfe klarer Verantwortungsbereiche wird eine bessere Übersicht über die Systeme erzielt, die Zugriffe auf wichtige Systeme lassen sich direkt vornehmen und steuern. Auch hierbei werden ein Backup und eine Wiederherstellung kritischer Daten ermöglicht.

Das Fazit, das zwei Beispiele belegen: Es gibt hier keine Präferenz, keinen Königsweg oder eine richtige und eine falsche Lösung.

Ein Beispiel für die Mitbenutzung der zentralen IT wie in Punkt 1 wäre, dass ein Anlagenhersteller mit einem eigens dafür bereit gestellten Steuerungs-PC oder Steuerungs-Image und strikten Installationsvorgaben seine Anlage aufstellt. Oder dass es aus Sicherheitsgründen nicht möglich ist, eine Software zusätzlich zu installieren – sei es eine AV-Lösung, eine lokale Software-Firewall oder einen Backup-Agent. In diesen Fällen ist es von Vorteil, die zentrale IT, im besten Fall als virtualisierte Umgebung, mitzunutzen. Die virtuelle Maschine des Anlagenherstellers muss so weder bearbeitet, noch durch Zusatzsoftware erweitert werden. Ein zusätzlicher Vorteil ist die Möglichkeit, diese Systeme in der redundanten und virtuellen Umgebung ausfallsicher zu betreiben. All diese Punkte fallen bei einer eigenständigen Stand-alone Lösung weg.

Beispiele für die zweite Variante, den Aufbau einer separaten Serverinfrastruktur in der Produktion, also einer vollkommen unabhängigen Umgebung, die parallel installiert wird, finden unter anderem aus erweiterten Sicherheitsgründen in der Pharmaindustrie statt: Diese parallele Umgebung wird hier ausschließlich zu Zwecken der Automatisierung bestimmter Anlagengruppen genutzt. Ein Zugriff auf diesen Bereich (auch Layer genannt) ist lediglich über dedizierte, also nicht integrierte Management-PCs in separat abgeschotteten Räumen statt. Dieser Zugriff wird durch Berechtigungsbeschränkungen und direkte Kabel-Verbindungen zwischen dedizierten Firewalls zusätzlich abgesichert. Somit wird ein Höchstmaß an Sicherheit und trotzdem eine praktikable Pflege der Systeme gewährleistet.