Kommunikationsprotokoll OPC UA Durchgängig und sicher bedienen

Beim Einsatz des M2M-Kommmunikaitonsprototkoll (OPC UA) zeigt es Vorteile in der Handhabung, einen zugriffsicheren Datenaustausch.
Beim Einsatz des M2M-Kommmunikaitonsprototkoll (OPC UA) zeigt es Vorteile in der Handhabung, einen zugriffsicheren Datenaustausch.

Als Nachfolgetechnologie von OPC Classic hat sich OPC UA als M2M-Kommunkationsprotokoll in der Automatisierungstechnik etabliert. Die aktuelle Spezifikation vereinfacht die Handhabung und den sicheren Datenaustausch.

Vor fast 20 Jahren hat sich OPC Classic (OLE for Process Control) innerhalb kurzer Zeit in der industriellen Automatisierungstechnik durchgesetzt. Denn die standardisierte Software-Schnittstelle revolutionierte die Treiberlandschaften zwischen PC-basierten Visualisierungen und Steuerungen. Allein schon das Browser-Interface trug zu einer erheblichen Vereinfachung des Engineering-Prozesses bei. In heutigen heterogenen Bedienkonzepten vom Fernzugriff bis zum lokalen HMI (Human Machine Interface) spielt eine einheitliche und flexible Schnittstelle für die Übermittlung von Prozessdaten eine zunehmend wichtige Rolle. Darüber hinaus werden immer häufiger Forderungen nach einer zugriffssicheren Weiterleitung der Prozessdaten gestellt, wobei der Konfigurationsaufwand handhabbar bleiben soll.

Nachdem das OLE-Objektsystem im Laufe der Jahre an Relevanz verloren hatte, wurde der Standard Ende 2011 in Open Platform Communications umbenannt. Die aktuelle OPC-Spezifikation OPC UA (Unified Architecture) kommt mittlerweile seit mehreren Jahren zum Einsatz. Mit Security-by-Design, einer guten Skalierbarkeit und vielen weiteren Funktionen bietet dieser Ansatz ein deutliches Vereinheit¬lichungspotenzial. Insbesondere die Skalierung ermöglicht jetzt die direkte Integration der Technologie in Feldgeräte und kleine, kostengünstige HMI-Lösungen bis hin zu großen SCADA- und Leitsystemen (Bild 1).

Standardisierte Einschränkung von Zugriffsrechten

Der OPC-UA-Standard verfügt über eine solide Sicherheitsarchitektur auf Basis von x.509-Zertifikaten – und das »out of the box«, also ohne das zusätzliche Implementierungen vorgenommen werden müssen. Daraus ergibt sich ein wesentlicher Mehrwert gegenüber der komplizierten und teilweise fehlerträchtigen DCOM-Konfiguration innerhalb von OPC Classic. Über den Global Discovery Server (GDS) kann ein OPC-UA-Server sowohl Zertifikate als auch Certificate Revocation Lists (CRL) erhalten. Vordefinierte Rollen-/Rechte-Mechanismen erlauben die standardisierte Einschränkung von Zugriffsrechten – wie das Browsen, Lesen oder Schreiben – auf bestimmte Benutzerkreise. Für die Zugriffspunkte »Sign« oder »Sign/En-crypt« wird die Implementierung der Security Policy »Basic256Sha256« genutzt. Dabei ist es unerheblich, ob der OPC-UA-Server die Daten als PC-Komponente abbildet oder direkt in die Steuerung eingebaut ist. Selbstverständlich muss eine SPS mit integriertem Server Mindeststandards zur Zertifikatsverwaltung und sicheren Ablage der privaten Schlüssel umfassen. Als Beispiel für eine solche zugriffssichere Steuerung sei der PLCnext-Controller »AXC F 21522« von Phoenix Contact genannt (Bild 2).

Die der Steuerung zugrunde liegende PLCnext Technology basiert auf einem Linux-Kern, der gezielt abgesichert worden ist. Ein Rollen- und Rechtekonzept ermöglicht, dass für beliebige Zugriffsprotokolle eine gemeinsame Security-Handhabung mit unterlagerten Rechten und Rollen festgelegt werden kann. Für den in die Steuerung eingefügten OPC-UA-Server wurden beispielsweise die Rollen »DataWriter« und »DataReader« vordefiniert.

Im Bereich der Security muss sich der Anwender bereits im Vorfeld unter anderem Gedanken hinsichtlich einer sinnvollen Zertifikatshierarchie oder zu Rechten für einzelne Nutzergruppen machen. Dies mit dem Ziel, dass das System weiterhin in allen Situationen bedienbar bleibt. Einen anderen Ansatz verfolgt der PC Worx UA-Server für die Installation auf Industrie-PCs. Er kann mit bis zu 200 Steuerungen, die mit der Engineering-Umgebung PC Worx programmiert worden sind, eine Verbindung aufbauen und deren Daten den lokal in der Anlage montierten HMI-Clients oder entfernten Leitsystemen zur Verfügung stellen. Der PC Worx UA-Server ist auf einen 24/7-Betrieb ausgelegt. Er überwacht jede einzelne Verbindung und gibt eine detaillierte Diagnose aus. Sämtliche Diagnoseinformationen des Servers stehen ebenfalls als OPC-Informationen im Namensraum bereit und lassen sich so einfach in die Visualisierung integrieren.

Eigenständiges Verschicken und Abholen von Daten

OPC UA stellt einen der wichtigsten Schritte des letzten Jahrzehnts in Richtung eines durchgängigen, flachen Kommunikationsnetzwerks dar. Durch das M2M-Protokoll werden zwei Trends verstärkt: Zum einen lassen sich das Industrial Internet of Things (IIoT) und Cloud-Ansätze einfach mit der klassischen Anlagen-/Zellenstruktur kombinieren. Durch die OPC-UA-Pub/Sub-Kommunikation kann beispielsweise jedes Gerät über die Cloud mit beliebig vielen Diensten in der Welt Daten austauschen.

Auf der anderen Seite löst sich das Paradigma der Automatisierungspyramide langsam auf. Die bisherige Denkweise von »oben« und »unten« respektive Server und Client kehrt sich um, denn immer mehr OPC-UA-Server integrieren ebenfalls Client-Funktionen. Ein Beispiel hierfür sind die PLCopen OPC UA Client-Bausteine für eine Steuerung. Die SPS kann so eigenständig Daten in alle Richtungen schicken oder abholen – und zwar dann, wenn sie diese benötigt. Auch für PLCnext-Steuerungen wie den AXC F 2152 steht nun eine Lib¬rary zur Verfügung, die der Steuerung OPC-UA-Client-Funktionalität vermittelt. Dabei ist es aufgrund von OPC UA unerheblich, ob es sich beim Kommunikationspartner um ein Feldgerät, eine andere SPS oder das überlagerte Leitsystem handelt. Durch diesen stetigen Wandel verliert die Steuerung bestimmte Aufgaben, bekommt aber zahlreiche neue Aufgaben hinzu.