Skip to main content
ignitionscadaopc-uaon-premise

Predictive Maintenance für Ignition SCADA — ohne Schreibzugriff auf die SPS

Prevly Team·
Read in English →Czytaj po polsku →Leer en español →Lire en français →日本語で読む →

Predictive Maintenance für Ignition SCADA — ohne Schreibzugriff auf die SPS

Wenn in Ihrem Werk bereits Ignition läuft, verfügen Sie über etwas, das sich die meisten Predictive-Maintenance-Anbieter insgeheim wünschen: eine einzige, gut strukturierte Quelle für Maschinendaten, die bereits über jede SPS in der Halle hinweg normalisiert ist. Die Frage ist nicht, ob Sie ML-basierte Zustandsüberwachung hinzufügen können — sondern wie, ohne etwas neu zu verkabeln, das Leitsystem neu zu validieren oder einem neuen Werkzeug Schreibzugriff auf Ihren Prozess zu gewähren.

Die saubere Antwort nutzt eine Fähigkeit, die Ignition bereits bereitstellt: seinen OPC-UA-Server.

Wo die Daten bereits liegen

Ignition (von Inductive Automation) sitzt zwischen Ihren SPSen und Ihren Bedienern. Seine Gerätetreiber verbinden sich mit Allen-Bradley-, Siemens-, Modbus- und anderen Steuerungen; sein Tag-System normalisiert diese Werte; und sein Gateway stellt sie über einen integrierten OPC-UA-Server bereit. Bediener sehen HMI-Bildschirme; der Tag-Historian schreibt Werte in eine SQL-Datenbank.

Dieser OPC-UA-Server ist der Integrationspunkt. Ein Predictive-Maintenance-System muss nicht direkt mit Ihren SPSen sprechen, keine neuen Treiber installieren und sich nirgends in den Datenfluss einreihen. Es verbindet sich als OPC-UA-Client mit Ignition und abonniert die Tags, die Sie auswählen — Schwingung, Temperatur, Druck, Strom, RPM, Maschinenzustand. Ignition liest diese Werte ohnehin bereits für die HMI; die PdM-Schicht hört einfach demselben Datenstrom zu.

Das ist einen Schritt weiter vom Leitsystem entfernt als eine direkte Verbindung zur SPS. Sie lesen vom veröffentlichten Server einer SCADA-Plattform, nicht aus einer Steuerung heraus.

Schreibgeschützt durch Architektur, nicht durch Konfiguration

OPC-UA-Clients können lesen, schreiben und Methoden aufrufen. Eine Überwachungsschicht sollte auf eine strikte Teilmenge beschränkt sein, und die stärkste Zusicherung ist eine strukturelle: keinerlei Schreibfähigkeit im Code.

  • Nur Abonnieren und Lesen. Der Client öffnet Monitored-Item-Subscriptions für die ausgewählten Tags und empfängt Aktualisierungen. Er sendet niemals einen Write-Service-Call an den Ignition-Server.
  • Keine Methodenaufrufe. Nichts, was Tag-Werte ändern oder Gateway-Aktionen auslösen könnte.
  • Kein Aktor-Pfad. Es existiert kein Codepfad, der eine Modellausgabe auf einen Schreibzugriff abbildet — weder zu Ignition noch zu irgendetwas nachgelagertem.

„Wir haben es schreibgeschützt konfiguriert" hängt davon ab, dass niemand eine Einstellung umlegt. „Es kann nicht schreiben" ist eine Eigenschaft der Software. Wenn ein OT-Sicherheitsprüfer nach dem schlimmsten Fall fragt, sollte die ehrliche Antwort lauten: Es liest Tag-Werte, die Ignition ohnehin schon seinem eigenen Historian bereitstellt.

Dies lässt sich mit Ignitions eigenen Kontrollen weiter absichern — beschränken Sie das Credential des OPC-UA-Clients serverseitig auf Lesezugriff und platzieren Sie den Agenten in einem Überwachungs-Netzsegment. Defense in Depth bedeutet, dass selbst eine Fehlkonfiguration auf einer Ebene keinen Schreibpfad öffnet.

Was Sie zusätzlich zum Historian gewinnen

Ignitions Tag-Historian ist hervorragend darin, Zeitreihen zu speichern und abzufragen. Was er von sich aus nicht leistet, ist vorherzusagen. Das ist die Schicht, die Predictive Maintenance hinzufügt:

  • Anomalieerkennung über sensorübergreifende Muster, die der Historian zwar speichert, aber nicht interpretiert.
  • Restlebensdauer-Schätzungen, damit aus einem degradierenden Lager ein geplanter Arbeitsauftrag wird statt ein Linienstillstand um 2 Uhr nachts.
  • Fehlerklassifizierung aus Schwingungsspektren und Lagerfrequenzen.
  • Erklärbarkeit — Attribution pro Merkmal, damit ein Ingenieur sehen kann, warum ein Modell eine Maschine markiert hat, nicht nur dass es das getan hat.

Nichts davon ändert, wie Ignition läuft. HMI, Alarme und Historian verhalten sich exakt wie zuvor; Sie haben eine passive Analyseschicht hinzugefügt, die dieselben Daten liest.

On-Premise, kein Cloud-Umweg

Für regulierte und sicherheitsbewusste Werke ist der ausschlaggebende Faktor oft, wohin die Daten gehen. Eine PdM-Schicht, die aus Ignition liest, kann vollständig On-Premise laufen — die Inferenz-Engine, die Modelle und der Speicher bleiben alle innerhalb des Werksnetzes. Maschinendaten verlassen den Standort nie, und der Agent benötigt für seinen Betrieb keinen Internet-Ausgang.

Das hält die Installation innerhalb derselben Vertrauensgrenze wie Ignition selbst — und genau so übersteht sie in der Regel die Prüfung, ohne eine monatelange Datenschutz-Debatte auszulösen.

Wie es sich in einer OT-Sicherheitsprüfung abbildet

| Anliegen | Antwort bei schreibgeschütztem Zugriff über Ignition | |---|---| | Greift es auf die SPS zu? | Nein — es liest Ignitions OPC-UA-Server, nicht die Steuerung. | | Kann es den Prozess ändern? | Im Agenten existieren keine Write-Service-Calls. | | Welcher Netzzugriff? | Ein eingehendes Abonnement zum Ignition-OPC-UA-Endpunkt (üblicherweise TCP 4840); kein Ausgang erforderlich. | | Schadensradius bei Kompromittierung? | Lesezugriff auf Tags, die ohnehin im Historian liegen — keine Steuerung. | | Wo liegen die Daten? | On-Premise; nichts verlässt das Werk. |

Das ist die Haltung, um die herum eine an IEC 62443 SL-1 ausgerichtete Installation aufgebaut ist: jede Interaktion mit dem Leitsystem dokumentieren und die Überwachungsschicht nachweislich schreibgeschützt halten.

Fragen, die Sie vor der Anbindung stellen sollten

  1. Verbindet sich der PdM-Agent mit Ignitions OPC-UA-Server, oder will er direkten SPS-Zugriff? (Serverseitig ist sauberer.)
  2. Hat er irgendeine Schreibfähigkeit im Code, selbst ungenutzt?
  3. Kann er vollständig On-Premise ohne Internet-Ausgang laufen?
  4. Welchen Credential-Scope benötigt er auf dem Ignition-OPC-UA-Server?
  5. Kann der Anbieter das Datenflussdiagramm liefern, das ein Auditor erwarten würde?

Wenn Sie bereits in Ignition als Ihre einzige Quelle der Wahrheit im Werk investiert haben, sollte die vorausschauende Schicht auf dieser Investition aufbauen — schreibgeschützt, On-Premise und unsichtbar für das Leitsystem, das sie schützen soll.

Prevly verbindet sich mit bestehenden SCADA-Plattformen wie Ignition als schreibgeschützter OPC-UA-Client — passive Subscriptions, kein Schreibpfad zur SPS, kein erforderlicher Internet-Ausgang — und läuft On-Premise als Teil einer an IEC 62443 SL-1 ausgerichteten Installation. Architektur ansehen oder eine technische Demo anfragen.

Weiterführende Artikel: Schreibgeschütztes OPC-UA-Monitoring · On-Premise vs. Cloud-PdM · Von Sensoren zu Vorhersagen