Se si sta costruendo una piattaforma IoT, di Internet of Things, è necessario disporre di un piano strategico di business e di infrastrutture prima di sviluppare il sistema operativo della soluzione. La pianificazione e la progettazione dell’infrastruttura sono discusse nelle prime due parti di questa serie di articoli. Questa terza parte finale esplora la connettività. i dispositivi industriali sul campo e le modalità di interazione con la piattaforma IoT. Le indicazioni e le riflessioni contenute in questi articoli sono attribuite ad Alex Casalboni, Senior Developer Advocate AWS.
La connettività Internet non dovrebbe mai essere data per scontata in un ambiente industriale. Infatti, l’accesso a Internet è totalmente bloccato per le reti di produzione nella maggior parte degli impianti. La riservatezza e la sicurezza dei dati sono una delle principali preoccupazioni, per cui vengono prese tutte le precauzioni possibili per proteggere la produzione da attacchi, furti di dati o altri danni.
Questa è una differenza importante rispetto allo spazio consumer, dove si può supporre che una famiglia abbia un router internet e un server DHCP (Dynamic Host Configuration Protocol) che fornisce un IP valido e l’accesso a un server DNS pubblico.
Negli impianti di produzione sono due gli scenari che è probabile incontrare:
- Dispositivi che non hanno una porta Ethernet, quindi non possono comunicare via TCP/IP. Essi comunicheranno attraverso protocolli di Bus, come l’interfaccia AS-I-Bus, CAN Bus o Profi-Bus. Per collegare questi tipi di dispositivi, è necessario un intermediario come un controllore logico programmabile (PLC) che abbia una connettività ethernet per ottenere i dati dai dispositivi.
- Apparecchiature industriali che hanno connettività Ethernet e IP, ma che sono collegate a una rete di produzione isolata dal resto del mondo. Anche le reti di uffici della stessa azienda possono avere solo un accesso molto sicuro ai dati della produzione.
Le politiche di sicurezza molto rigide delle strutture industriali si traducono di solito in tutto ciò che viene cablato e configurato in modo da evitare impatti negativi sulla produzione. Per aggirare i problemi di connettività Internet, è possibile utilizzare dispositivi periferici per elaborare i dati e produrre analisi. Ma a lungo termine, per poter scalare, sarà necessario avere sia i dispositivi edge che la connessione al cloud.
Alcuni dei dati più preziosi si trovano all’interno delle reti altamente protette di un impianto industriale, quindi è necessario un modo per raccoglierli e portarli nel cloud per l’analisi.
Utilizzo di Internet gateway
È qui che entrano in gioco i dispositivi gateway e le considerazioni sulla topologia. Sia che si trovino su un hardware dedicato o che utilizzino hardware esistente, questi dispositivi consentono la connessione alla rete di produzione da un lato e la connessione a una rete di uffici dall’altro.
L’utilizzo di un dispositivo gateway riduce al minimo l’esposizione dei dati di produzione. Con un solo dispositivo che instrada il traffico verso Internet e il cloud, gli amministratori di rete sono in grado di controllare e proteggere al meglio il flusso di dati e di conseguenza il loro impianto.
Tuttavia, un dispositivo gateway potrebbe non essere sufficiente per stabilire la connessione. Ci può essere la necessità di andare oltre i proxy o di utilizzare altre funzioni di sicurezza specifiche del cliente per le connessioni in uscita.
Pertanto, quando si implementano il software e i dispositivi per il piano industriale, è importante includere funzioni specifiche per configurare gli indirizzi IP, DNS, DHCP e l’uso di proxy.
Ciò richiede che la configurazione venga portata ai dispositivi prima che questi siano in grado di raggiungere qualsiasi server cloud. Bisogna anche considerare che non tutti gli ambienti consentono l’uso di reti locali senza fili (WLAN) o connessioni 3G/4G a causa della loro lontananza o delle difficili condizioni elettromagnetiche.
È importante avere un canale di comunicazione bidirezionale tra la piattaforma e i dispositivi sul campo.
Ad esempio, MindSphere utilizza la rete di manutenzione remota Siemens, la common Remote Service Platform (cRSP), che consente di monitorare e gestire in modo proattivo e sicuro i dispositivi a distanza in luoghi con connettività Internet limitata.
Anche con una connessione sicura e bidirezionale e un software di gestione come il cRSP, è il dispositivo che avvia la connessione sicura tramite un token/certificato.
Onboarding dei dispositivi
Una volta che i dispositivi in un impianto sono in posizione, è necessario effettuare l’onboarding. L’onboarding dei dispositivi si riferisce al processo di connessione iniziale di un dispositivo (sorgente di dati, intermediario o gateway) al backend cloud.
Questo può includere la connessione di dispositivi pronti all’uso o l’inserimento di software su hardware già esistenti nella struttura.
Il processo di onboarding può essere complicato, dato il numero di accortezze in termini di sicurezza che devono essere affrontate. Può anche diventare molto costoso e richiedere molto tempo se si dispone di tecnici dell’assistenza sul campo che caricano manualmente il software su ogni dispositivo.
L’obiettivo è quello di bilanciare la sicurezza con l’efficienza operativa. Immaginate che vi venga chiesto di equipaggiare 2000 motori con box di analisi delle vibrazioni che inviano i dati al servizio cloud via HTTP/MQTT – come, ad esempio, via AWS IoT Core – come fareste a configurare tutti i dispositivi?
I diversi metodi di onboarding
Ci sono diversi metodi tradizionali che potete utilizzare per procedere all’onboarding dei dispositivi e bisogna scegliere con attenzione, in quanto di solito più velocemente si è in grado di attivare i dispositivi, meno sicuro è il metodo usato.
Fornire un web server interno e preconfigurare i dispositivi con un indirizzo IP predefinito. Se non è presente un DHCP, un ingegnere può usare un laptop per connettersi al dispositivo ed entrare nella configurazione di base. Questo metodo offre la possibilità di operare ulteriori funzioni come la configurazione di base, la diagnosi degli errori e altro ancora. Usare questa metodologia espone anche interfacce REST che possono fornire API di automazione. Tuttavia, ci sono aspetti negativi associati a questo metodo.
Come prima cosa sarà necessario aprire una porta sul dispositivo e metterla in sicurezza.
Poi, gli ingegneri sul campo dovranno lavorare all’interno di questa nuova interfaccia utente e avranno anche bisogno di conoscenze di base relative alla configurazione delle reti locali (LAN), così come della manipolazione degli indirizzi IP sul loro computer portatile.
Gli ingegneri dovranno disporre di un’interfaccia web dove poter inserire gli ID dei dispositivi e recuperare i certificati e i token per l’onboarding, ed eventualmente gli aggiornamenti del firmware.
I certificati, i token e il firmware devono essere scaricati sui loro portatili e infine caricati su un dispositivo. Ci sono molte conoscenze IT necessarie per seguire questo processo, in più il dispositivo deve essere fisicamente presente per poterlo collegare a una LAN locale con un laptop.
Utilizzare una porta USB. Invece di impostare un server web, si può semplicemente chiedere ai tecnici sul campo di scaricare il contenuto richiesto sul proprio laptop da un’interfaccia web che viene fornita dal sistema cloud, nel nostro caso MindSphere.
Dopo aver scritto i dati su una chiavetta USB, è possibile inserirla nel dispositivo. Il dispositivo estrae i dati e si configura automaticamente. Questo metodo è molto più veloce e meno soggetto a errori da parte dell’ingegnere di servizio, e non è necessario aprire o esporre le porte del dispositivo.
Fornire uno strumento installato localmente per il portatile del tecnico di servizio che interagisce sia con i dispositivi sul campo che con il backend del cloud. Questo ridurrà i passaggi manuali per il tecnico di servizio.
La configurazione di base dei dispositivi può essere fatta attraverso altri mezzi, come l’utilizzo del protocollo UDP (User Datagram Protocol) multicast o altri protocolli ethernet come il protocollo IGMP (Internet Group Management Protocol).
Implementare una zona di atterraggio (landing zone) dei dispositivi in cui il tecnico di servizio collega i dispositivi ad un ambiente di laboratorio abilitato al DHCP per connettersi ad internet (a meno che il dispositivo non abbia 3G/4G e una SIM attiva a bordo).
In questo ambiente, il dispositivo ha la connettività gratuita a Internet ma non la connessione alla rete di produzione. Il dispositivo può quindi contattare il servizio cloud per recuperare automaticamente l’ultimo firmware.
Il sistema cloud che il dispositivo contatta deve consentire solo funzioni limitate e l’invio di dati durante la navigazione. Una volta recuperato il firmware, il dispositivo segnala con il suo ID univoco che è pronto per l’onboarding. Quando ciò accade, il tecnico dell’assistenza può trovare il dispositivo con il suo ID e quindi configurare il dispositivo online. Tutte le informazioni generate dal cloud vengono automaticamente scaricate sul dispositivo. Una volta che tutto è stato applicato al dispositivo, il dispositivo si scollegherà e sarà pronto per il posizionamento nell’impianto di produzione (inclusa la configurazione statica dell’indirizzo IP, se necessario).
Questo metodo riduce drasticamente lo sforzo richiesto ai tecnici dell’assistenza ma, allo stesso tempo, è il più difficile da realizzare in modo veramente sicuro. La landing zone necessita di un trattamento speciale per ridurre la superficie di attacco, poiché è esposta ad attacchi di tipo Denial-of-Service (DoS), all’accesso cross-tenant e ad altri tipi di attacchi. Inoltre, si tenga presente che non tutti i clienti possono fornire questo tipo di ambiente.
Leggi tutti gli articoli della serie
Piattaforme di Industrial IoT, come pianificare l’ecosistema di riferimento
Linee guida per progettare una soluzione IIoT sul cloud di AWS
Progettare una piattaforma IIoT su cloud: il tema della scalabilità
IIoT su cloud, come progettare per avere una distribuzione più rapida
Progettare su cloud una piattaforma IIoT multi-region e multi-tenant
Costruire una piattaforma IoT con dispositivi industriali sul campo