Neues Security-Gateway von Schubert System Elektronik

Der Trend ist unübersehbar: Maschinen sollen sich so bedienen lassen, wie es die Menschen auch aus ihrem privaten Umfeld gewohnt sind. Etwa per App auf dem Smartphone oder Tablet. Um diese mobilen Geräte mit den Anlagen zu verbinden, braucht es eine digitale Vernetzung der Maschinen mit einer – mindestens lokalen – Cloud.

Hinzu kommt: Per Big-Data-Analyse sollen die Maschinen effizenter gefahren, zielgenauer gewartet und aus der Ferne repariert werden können. Schließlich lassen sich aus den Zustands- und Leistungsdaten von Maschinen wertvolle Informationen gewinnen. Zu guter Letzt sollen Digitalisierung und Vernetzung auch noch zu neuen Geschäftsmodellen führen und den Umsatz steigern. So weit, so gut.

Um an all diese Informationen zu gelangen, müssen Unternehmen die erfassten Daten analysieren. Das Problem: Die Rechenleistung der verbauten Steuerungen reicht dazu oft nicht aus. Zudem müssen die Daten unterschiedlicher Anlagenteile kombiniert werden, sprich die Maschinen untereinander vernetzt werden. Für den Kontakt nach oben ist es sinnvoll, dass die Maschine sich in Architekturen wie OPC UA einbinden lässt. Und falls die Daten in einer übergeordneten Cloud gespeichert und durchleuchtet werden oder an externe Geräte wie Tablets durchgeschleift werden sollen, muss sichergestellt sein, dass das Tor zur Außenwelt nicht gleichzeitig ein Einfallstor für Hacker oder sonstige Cyber-Attacken wird.

Das ist gar nicht so einfach. Denn so viel ist in den vergangenen Jahren klar geworden: Trotz aller Industrie-4.0-Bemühungen sprechen Automatisierer und IT-Spezialisten gelegentlich noch unterschiedliche Sprachen. Wo der Automatisierer ein laufendes Steuerungssystem idealerweise mehrere Jahre lang nicht anfassen will, müssen IT-Systeme fast schon täglich mit neuen Patches versorgt werden, müssen Virensignaturen aktualisiert und sollen neue Funktionalitäten aufgespielt werden. Solch ein fluides Softwaresystem ist für Automatisierer nicht nur unerwünscht, es ist je nach Branche sogar fast schon verboten. Anlagen, nicht nur im Medizin- und Pharmabereich, sind oft zertifiziert, und eine Änderung der Software könnte einen Verlust des Zertifikats zur Folge haben.

Ein weiteres Problemfeld sind bestehende Anlagen mit einem heterogenen Maschinenpark. Ältere Maschinen haben gar nicht die Hardware, um den Anforderungen moderner IT-Integration zu genügen. Wer hier pfuscht, der riskiert kostspielige Maschinen- und Produktionsausfälle, den Verlust von Daten sowie am Ende womöglich auch der Wettbewerbsfähigkeit.

Um nun an der kritischen Schnittstelle zwischen Maschine und externem Netz ein hohes Schutzniveau zu erreichen, hat Schubert System Elektronik zusammen mit dem IT-Sicherheitsspezialisten Genua das neue GS.Gate entwickelt. Es wurde nach dem Security-by-Design-Prinzip konstruiert.  Das heißt, die Anwendungen zur Datenverarbeitung, die mit der Maschine sprechen, sind strikt getrennt von den Sicherheitssystemen, die die Kommunikation und Schnittstelle in Richtung externes Netz schützen. Die separierten Bereiche verfügen über jeweils eigene Betriebssysteme sowie fest zugewiesene Hardware-Ressourcen – so gibt es keine Überschneidungen.

Möglich wird dies durch ein Mikrokernel-Betriebssystem, das als unterste Ebene auf dem GS.Gate läuft und konsequent getrennte Bereiche erzeugt. Die Idee: Nach außen Richtung Netzwerk sind nur die speziell gehärteten Sicherheitssysteme sichtbar. Diese werden durch regelmäßige Updates auf dem neuesten Stand gehalten und sind somit gegen fast alle aktuellen Bedrohungen gewappnet. Genua, eine Tochter der Bundesdruckerei und auch in der Absicherung von Behördennetzen aktiv, sorgt hier mit seinem Know-how für aktuelle Daten, Schubert System Elektronik für die Hardware sowie die industrielle Nutzlast.

Nutzlast? Ja, denn hinter dem starken Schutzschirm können Unternehmen Datenverarbeitungsanwendungen ohne ständige Eingriffe durch Updates und Patches betreiben. Nicht nur Industie-PCs oder SPSen sind hinter der Firewall sicher, auch ein spezieller Arbeitsbereich auf dem GS.Gate selbst bietet Rechenleistung im geschützten Bereich. Da das Gateway harwareseitig gut gerüstet ist, zum Start soll es von einem Intel Core i5 befeuert werden, kann schon einiges an Datenvorverarbeitung direkt auf dem Gate stattfinden. Das entlastet die CPU der Steuerung, reduziert das an die Cloud übermittelte Datenvolumen und ermöglicht es zudem, genau zu steuern, welche Informationen in welcher Form nach außen gegeben werden.

Zudem können die Ergebnisse der Datenverarbeitung auch an die Steuerung der Maschine zurückgespielt werden und so gegebenenfalls die interne Regelung optimieren. Das ist ein Vorteil auch für ältere Maschinen, die auf diese Weise nachträglich Industrie-4.0-fähig gemacht werden. Zudem können heterogene Anlagen mit unterschiedlichsten Maschinen, die jeweils intern unterschiedliche Bussysteme nutzen, über ein GS.Gate nach oben hin harmonisiert werden. Nach oben und außen kommuniziert die Anlage dann einheitlich über OPC UA, ein Kontakt von außen in die Anlage zwecks Fernwartung ist kontrolliert möglich.

Für Schubert System Elektronik ist das GS.Gate dabei mehr als eine weitere Komponente. Denn um es Kunden zu ermöglichen, das Gateway möglichst schnell und sinnvoll einzusetzen, ist Schubert dabei, ein ganzes Service-Portfolio rund um die industrielle Sicherheit und Datenauswertung aufzubauen. Zusammen mit Partnern wie Genua oder mit Cloud-Anbietern soll so ein gesamtes Ökosystem aus Hardwarekomponenten, Software und Dienstleistungen entstehen. Auf diese Weise können sich Kunden aus dem Maschinenbau, aber auch aus anderen Technologiebranchen wie der Medizintechnik, auf ihre Kernkompetenzen konzentrieren. Für die sichere Datenauswertung und Kommunikation zu Cloud oder mobilen Devices sorgt dann Schubert.

Dass das Konzept funktioniert, zeigt die Konzernmutter von Schubert System Elektronik, der Verpackungsmaschinenhersteller Schubert. Dort kommt der Neuling in den TLM-Maschinen bereits zum Einsatz. Die Modellreihe besteht aus Schachtel-Aufrichtemaschinen, Gruppier-, Füll-, Verschließmaschinen und Palettierern. Das GS.Gate befindet sich hier funktionell zwischen der Verpackungsanlage und einem Datennetzwerk. Über Status-LEDs kann der Zustand abgelesen werden, und über einen Schalter lässt sich das GS.Gate in den Fernwartungsmodus versetzen oder die Verbindung zum Internet trennen. Die Konfigurationsdaten kann der Kunde auf eine CFast-Karte schreiben und bei Bedarf auf ein anderes GS.Gate portieren. Das Gateway lässt sich im Schaltschrank montieren, ein abgesetztes Anzeigeelement wird über CAN-Bus angebunden. Auf diesem signalisiert eine LED unter anderem, ob der Fernwartungsmodus aktiviert ist.

In Zukunft werden alle TLM-Maschinen mit dem GS.Gate ausgestattet, das an Grips.world angebunden ist. Damit lassen sich die Betriebsdaten jeder Maschine erfassen und analysieren. Schubert strebt dabei eine laufende Zustandsüberwachung in Echtzeit an. Ein zentrales Element innerhalb von Grips.world wird der digitale Zwilling der Maschine sein. Dabei handelt es sich um ein dreidimensionales Abbild der TLM-Maschine, das sich mithilfe des Originalcodes der Verpackungsmaschinensteuerung in Echtzeit bewegen lässt. Die Vorteile liegen in beschleunigten Konstruktionsabläufen und kürzeren Lieferzeiten. Gleichzeitig wird es beispielsweise möglich sein, die komplette Validierung einer Pharmamaschine vorab digital durchzuführen. Ebenso lassen sich mit dem digitalen Zwilling Probeläufe mit neuen Produktformaten durchgeführen. Das neue GS.Gate führt hier also bereits zu handfesten Vorteilen.