(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2022-07-27
(45)【発行日】2022-08-04
(54)【発明の名称】IoTコンピュータシステム並びにそのようなIoTコンピュータシステム及び外部システムを有する装置
(51)【国際特許分類】
H04L 67/00 20220101AFI20220728BHJP
G06F 9/455 20060101ALI20220728BHJP
【FI】
H04L67/00
G06F9/455 150
(21)【出願番号】P 2019552226
(86)(22)【出願日】2018-10-16
(86)【国際出願番号】 EP2018078282
(87)【国際公開番号】W WO2019091722
(87)【国際公開日】2019-05-16
【審査請求日】2019-09-20
(31)【優先権主張番号】102017125990.2
(32)【優先日】2017-11-07
(33)【優先権主張国・地域又は機関】DE
(31)【優先権主張番号】102018100879.1
(32)【優先日】2018-01-16
(33)【優先権主張国・地域又は機関】DE
(73)【特許権者】
【識別番号】510227632
【氏名又は名称】フジツウ テクノロジー ソリューションズ インタレクチュアル プロパティ ゲーエムベーハー
(74)【代理人】
【識別番号】100107766
【氏名又は名称】伊東 忠重
(74)【代理人】
【識別番号】100070150
【氏名又は名称】伊東 忠彦
(74)【代理人】
【識別番号】100091214
【氏名又は名称】大貫 進介
(72)【発明者】
【氏名】ヴィトラー,ニルス
(72)【発明者】
【氏名】アツケルン,ユルゲン
(72)【発明者】
【氏名】ブルデレク,ティモ
【審査官】岩田 玲彦
(56)【参考文献】
【文献】特開2016-173741(JP,A)
【文献】特表2016-506546(JP,A)
【文献】寺内敦・大戸健一・高橋紀之・原田恵・山崎育生,IoTによる新たな価値創出に向けた研究開発の取り組み 計算処理のリアルタイムスケーラビリティを提供するデータ交流技術への取り組み,NTT技術ジャーナル 2017年7月号,第29巻 第7号,日本,一般社団法人電気通信協会,2017年07月01日,pp.19-23
【文献】朝枝仁・松園和久,情報指向ネットワーク技術におけるプロトタイプ実装と評価手法,コンピュータソフトウェア 2016年8月号,日本,一般社団法人日本ソフトウェア科学会,2016年07月25日,VOL.33 NO.3,pp.3-15
(58)【調査した分野】(Int.Cl.,DB名)
H04L 67/00
G06F 9/455
(57)【特許請求の範囲】
【請求項1】
露出された動作場所での連続運転のために構成及びディメンションされるエッジコンピュータシステムであって、
第1仮想動作環境及び第2仮想動作環境がセットアップされ、
前記第1仮想動作環境及び前記第2仮想動作環境は、夫々が独立した仮想コンピュータシステムのように振る舞うよう実装され、かつ、一方の仮想動作環境が他方の仮想動作環境へのアクセスを有さないように互いから論理的に分離され、
前記第1仮想動作環境及び前記第2仮想動作環境の夫々は、当該エッジコンピュータシステムへ接続された外部のシステム又はデバイスと論理的に関連付けられ、前記第1仮想動作環境及び前記第2仮想動作環境の夫々において、関連する外部のシステム又はデバイスの1つ以上のタスク又は機能に機能特異的に適応された少なくとも1つの仮想アプリケーションがセットアップされ、
前記第1仮想動作環境は、当該エッジコンピュータシステムのテレメトリデータを取得又は処理又はクエリし、該テレメトリデータを、前記第1仮想動作環境に関連した外部のシステム又はデバイスへ送る製造業者環境としてセットアップされ、
前記第2仮想動作環境は、前記第2仮想動作環境に関連した外部のシステム若しくはデバイスからの又はそれについての運転データを記録又は処理又は制御するオペレータ環境としてセットアップされる、
エッジコンピュータシステム。
【請求項2】
前記第1仮想動作環境及び前記第2仮想動作環境は、少なくとも1つの仮想ネットワーク接続を介して通信ネットワークへ夫々論理的に割り当てられ、
前記仮想ネットワーク接続は、前記第1仮想動作環境及び前記第2仮想動作環境のうちの一方の仮想動作環境に関連する前記通信ネットワークから、他方の仮想動作環境に関連する前記通信ネットワークへの接続が起こらないように構成される、
請求項1に記載のエッジコンピュータシステム。
【請求項3】
前記第1仮想動作環境及び前記第2仮想動作環境のうちの少なくとも1つは、前記少なくとも1つの仮想ネットワーク接続によって少なくとも1つの物理ネットワークインターフェイスへ接続され、該少なくとも1つの物理ネットワークインターフェイスを介して、関連する外部のシステム又はデバイスへ接続される、
請求項2に記載のエッジコンピュータシステム。
【請求項4】
前記物理ネットワークインターフェイスは、LANインターフェイス又はUSBインターフェイスである、
請求項3に記載のエッジコンピュータシステム。
【請求項5】
基本オペレーティングシステムがセットアップされ、
前記仮想ネットワーク接続のコンフィグレーションは、前記基本オペレーティングシステムによって予め決定される、
請求項2乃至4のうちいずれか一項に記載のエッジコンピュータシステム。
【請求項6】
前記仮想ネットワーク接続の前記コンフィグレーションは、前記基本オペレーティングシステムによって固定で予め決定され、
当該エッジコンピュータシステムは、前記第1仮想動作環境及び前記第2仮想動作環境の夫々による又は各々の通信ネットワークを通じた前記仮想ネットワーク接続の前記コンフィグレーションの変化が起こらないようにセットアップされる、
請求項5に記載のエッジコンピュータシステム。
【請求項7】
前記仮想ネットワーク接続の前記コンフィグレーションのためのコンフィグレーションデータは、当該エッジコンピュータシステムの保護されたエリアに格納される、
請求項6に記載のエッジコンピュータシステム。
【請求項8】
前記基本オペレーティングシステムは、前記通信ネットワークのうちの1つから前記基本オペレーティングシステムへの接続確立が、いずれの場合にも起こらないようにセットアップされる、
請求項5乃至7のうちいずれか一項に記載のエッジコンピュータシステム。
【請求項9】
前記第1仮想動作環境及び前記第2仮想動作環境は夫々、各々の仮想動作環境から前記論理的に割り当てられた通信ネットワークへの又はその逆の接続確立を制御するようセットアップされた1つのファイアウォールを有する、
請求項2乃至8のうちいずれか一項に記載のエッジコンピュータシステム。
【請求項10】
前記第1仮想動作環境及び前記第2仮想動作環境は、仮想マシンとしてセットアップされる、
請求項1乃至9のうちいずれか一項に記載のエッジコンピュータシステム。
【請求項11】
少なくとも1つの第3仮想動作環境が、前記第1仮想動作環境及び前記第2仮想動作環境のうちの一方へ論理的にリンクされてセットアップされる、
請求項1乃至10のうちいずれか一項に記載のエッジコンピュータシステム。
【請求項12】
前記第3仮想動作環境は、少なくとも1つの仮想ネットワーク接続を介して、前記第1仮想動作環境及び前記第2仮想動作環境のうちの対応する一方へ論理的にリンクされる、
請求項11に記載のエッジコンピュータシステム。
【請求項13】
請求項1乃至12のうちいずれか一項に記載のエッジコンピュータシステムと、
前記エッジコンピュータシステムが接続される外部のシステム又はデバイスと
を有し、
前記第1仮想動作環境が前記外部のシステム又はデバイスと論理的に関連付けられる、
装置。
【請求項14】
前記外部のシステム又はデバイスは、センサ、制御デバイス又はプロセッシング若しくはデータサーバである、
請求項13に記載の装置。
【請求項15】
前記エッジコンピュータシステムは、更なる外部のシステム又はデバイスへ接続され、
前記第2仮想動作環境が前記更なる外部のシステム又はデバイスと論理的に関連付けられる、
請求項13又は14に記載の装置。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、IoTコンピュータシステム、特にエッジコンピュータシステムと、そのようなIoTコンピュータシステム及び該IoTコンピュータシステムが接続される外部のシステム又はデバイスを有する装置とに関係がある。
【背景技術】
【0002】
コンピュータシステムは、特に自動化の実現及びタスクの処理において、ますます重要になりつつある。スマート(エンド)デバイス及びコンパクトシステム、例えば、インターネットへ接続されるセンサ又は処理及び制御デバイス(いわゆるインターネット・オブ・シングス、手短に言えばIoT)の相互接続及び数の増大とともに、個々のシステムによって伝送され、取り扱われ、処理され、システム間又はクライアントシステムとホストシステムとの間で交換される必要があるデータの量も増大している。これは、計算能力、すなわち“インテリジェンス”、の高まりを必要とする。
【0003】
そのようなものとして、データセンタ又はクラウドサービス(クラウドサーバ)に加えて、エッジコンピューティングは、IoTデバイスをリンク及び接続するための、又はそれらによって生成されたデータを処理するための有望なアプローチである。遠隔のデータセンタ又はクラウドサービスの計算能力又は“インテリジェンス”が、“現場で”直接データを収集、処理、評価等するために、IoTデバイスの直ぐ近くに(“エッジに”)、すなわち、それらの使用場所又はその近くに持ってこられる。これは、大量のデータが現場で直接処理され得ることを意味する。データセンタ又はクラウドサービスは、その場合に、減じられることが見込まれるデータの部分又は相応して前もって処理された情報の記憶及び更なる処理のためにのみ必要である。ここでの利点は、例えば、対応するプロバイダがデータセンタ又はクラウドサービスのインフラストラクチャの使用により負うことになるデータ記憶コスト又はパフォーマンスコストの削減とともに、対応するデータの伝送のための必要とされる帯域幅の低減である。
【0004】
そのようなエッジコンピューティングを実現するために、いわゆるIoTコンピュータシステム又はエッジコンピュータシステムが必要とされる。これは、(特にこの目的のために)セットアップ及びディメンションされているコンピュータシステムである。重要な要件は、例えば、連続運転(いわゆる24/7運転)又は、厳しい環境条件を伴った、露出された、場合により極端な動作場所(例えば、極めて寒い、湿った、暑い又はほこりっぽい動作場所)でさえ信頼できる動作である。それでもなお、エッジコンピュータシステムは、理想的には、コンパクト設計を有し、ほんの少しの構成又は設置スペースしか必要とすべきでない。エッジコンピューティングの魅力的な応用分野は、例えば、膨大な量の(いくつか例を挙げると)センサデータ、システムデータ、プラントデータ、プロセスデータ、制御データ及び通信データが生成される工業プラントでの適用である(いわゆるインダストリー4.0)。多種多様な応用がここでは考えられる。
【0005】
エッジコンピュータシステムで広範なデータ及び情報を処理することにおける課題は、エッジコンピュータシステムでは様々なタイプの情報及びデータが集まる可能性があるが、これらは全く異なったユーザグループについて定義、許可、及び意図されていることである。データ安全性及び機密性がここで非常に重要な役割を果たす。例えば、エッジコンピュータシステムが特定の動作場所で使用される場合に、1)テレメトリデータ、特にマシンデータ、制御変数、測定値又はパラメータなどの、コンピュータシステム自体のデータが生成されるが、2)センサデータ、制御データ、プラントデータ、パーソナルデータ又は通信データなどの、その動作場所でのエッジコンピュータシステムの使用に関連したデータも生成される。
【0006】
タイプ1)のデータは、例えば、エッジコンピュータシステム又はエッジコンピュータシステム解法の製造業者又はITサービスプロバイダにとって、重要である。これは、信頼性又はメンテナンスを改善するよう、あるいは、実際の不具合をより良く補償するよう、例えば、エッジコンピュータシステムのいわゆる予知保全(predictive maintenance)のために使用可能である。
【0007】
タイプ2)のデータは、例えば、エッジコンピュータシステム又はエッジコンピュータシステム解法を使用するプラントのオペレータにとって、重要である。このデータは、運転中に生成されるか、又はそのために使用される。従って、タイプ1)又はタイプ2)の対応するデータは、各々の権限のある当事者にとって機密性が高い可能性があり、権限のないユーザグループによるアクセスに対して保護されるべきであるか、又は保護されなければならない。法的規制又はデータ保護要件もここで適用されることがある。
【0008】
データセンタ又はクラウドサービスを使用する従来の解決法は、単に、動作場所での全データの収集と、単一のエンドポイント(例えば、データセンタ又はクラウドにある。)へのこのデータの転送と、データの更なる分割及び再分配(例えば、いわゆるクラウド・ツー・クラウド(could-to-could)接続による。)とを提供する。しかし、これらの解決法は、しばしば、慎重を期する又は信頼に足るデータへの不正アクセスに対する不十分な保護しか提供しない。データセンタ又はクラウドサービスはまた、全データがそれらのエンドポイントに集まるので、サイバー攻撃の格好の標的でもある。その上、これらの解決法は、データセンタ又はクラウドサービスとの接続において上記の欠点がある。
【発明の概要】
【0009】
本発明の目的は、最初に説明された種類のIoTコンピュータシステムであって、IoT応用のための最適なデータ処理を可能にすると同時に、コンピュータシステムの種々のユーザグループの慎重を期する又は信頼に足るデータのデータ安全性が改善されたIoTコンピュータシステムについて記載することである。
【0010】
この目的は、請求項1に記載されるIoTコンピュータシステムによって解決される。更なる実施及び構成は、関連する従属項で開示されている。
【0011】
IoTコンピュータシステムはまた、エッジコンピュータシステムとしても記載され得る。IoTコンピュータシステムは第1仮想動作環境及び第2仮想動作環境を備える。それらの仮想動作環境は互いから論理的に分離される。この文脈中の「論理的な分離」は、1つの動作環境が他の動作環境に話しかけることができず、ましてやそれへの(仮想)接続/ネットワーク接続を確立できないこと意味する。仮想動作環境は、例えば、仮想マシンとしてセットアップされ得る。仮想動作環境は、それらが完全な/独立したコンピュータシステム(仮想コンピュータシステム)のように振る舞うように、実装され得る。
【0012】
そのようなIoTコンピュータシステムによれば、1つの動作環境は、このようにして他の動作環境へのアクセスを有さない。これは、1つの動作環境で生成又は処理されたデータが他の動作環境で生成又は処理されたデータから論理的に分離されることを意味する。動作環境の仮想化及び論理的な分離(“サンドボックス化”)は、個々の動作環境のデータの分離をもたらす。動作環境の仮想化は、それでもなお、各々の使用目的に対するIoTコンピュータシステムの柔軟なセットアップ及び適応を可能にする。よって、論理的に分離された仮想化された動作環境をセットアップすることは、データ安全性を依然として保証しながら、接続されたIoTデバイスからのデータを処理するよう、従来のデータセンタ又はクラウドサービスの利点がエッジコンピュータの利点と組み合わされることを可能にする。
【0013】
このようにして、様々なタイプのデータ及び情報が、高性能ながら安全な方法でIoTコンピュータシステムによるIoT展開シナリオにおいて収集、処理及び伝送され、何より、不正アクセスから保護され得る。例えば、1つの仮想動作環境は、第1ユーザグループ、例えば、IoTコンピュータシステムの製造業者又はITサービスプロバイダを対象としたデータを含んでよく、一方、他の仮想動作環境は、第1ユーザグループとは異なるユーザグループ、例えば、IoTコンピュータシステムを使用する施設のオペレータを対象としたデータを含んでよい。
【0014】
IoTコンピュータシステムの様々な構成において、仮想動作環境は、少なくとも1つの仮想ネットワーク接続、特に仮想ネットワークブリッジを介して、通信ネットワークに夫々論理的に割り当てられる。仮想ネットワーク接続は、有利なことに、2つの仮想動作環境のうちの一方に割り当てられている通信ネットワークから、他方の仮想動作環境に割り当てられている通信ネットワークへの接続が起こらないように、構成される。このようにして、仮想動作環境の論理的な分離は容易に実現され得る。仮想動作環境の論理的な分離は、仮想ネットワーク接続の適切な構成によってセットアップされる。有利なことに、2つの仮想動作環境のうちの一方に割り当てられている通信ネットワークから、他方の仮想動作環境に割り当てられている通信ネットワークへの接続を確立することは、不可能である。よって、一方の通信ネットワーク(すなわち、一方の仮想動作環境)へのアクセスを有しているユーザグループは、他方の通信ネットワーク(すなわち、他方の仮想動作環境)へ接続することができない。
【0015】
仮想動作環境は、仮想ネットワーク接続、特に仮想ネットワークブリッジを、その仮想動作環境のネットワーク接続(ソケット)及び対応する通信ネットワークのネットワーク接続(ソケット)により構成することによって、対応する通信ネットワークに容易に割り当てられ得る。このようにして、仮想動作環境から通信ネットワークへの及びその逆のデータ接続が可能である。対応する構成は、例えば、ソフトウェアによって、成し遂げられ得る。例えば、通信ネットワークの(仮想)IPアドレス又はIPアドレス空間が仮想動作環境に割り当てられ得、これによって、ネットワーク切り換えが仮想ネットワークブリッジにおいてプログラムされる。要するに、仮想動作環境は、関連する通信ネットワークに“組み込まれる”。仮想動作環境が“組み込まれ”ない他の通信ネットワークは、この仮想動作環境から(よって、更には、他の仮想動作環境からも)論理的に分離される。
【0016】
IoTコンピュータシステムの様々な構成において、仮想動作環境の少なくとも1つは、少なくとも1つの仮想ネットワーク接続によって少なくとも1つの物理ネットワークインターフェイスへ接続される。物理ネットワークインターフェイスは、例えば、LANインターフェイス又はUSBインターフェイスである。このようにして、仮想動作環境は、IoTコンピュータシステムの物理ネットワークコンポーネントへ接続可能である。例えば、物理ネットワークインターフェイスは、物理IoTコンピュータシステムのI/Oインターフェイスとしてセットアップされる。この場合に、関連する通信ネットワークはまた、仮想コンポーネント(特に、仮想動作環境及び仮想ネットワーク接続)に加えて物理ネットワークコンポーネントを含む。物理ネットワークインターフェイスは、有利なことに、IoTコンピュータシステムが使用されるIoT環境において1つ以上の外部デバイスへ接続するために使用される。
【0017】
様々な構成において、いくつかの異なる物理ネットワークインターフェイスが設けられてよく、第1仮想動作環境は1つ以上の第1物理ネットワークインターフェイスへ接続され、第2仮想動作環境は1つ以上の第2物理ネットワークインターフェイスへ接続される。
【0018】
様々な構成において、基本オペレーティングシステムがIoTコンピュータシステム上でセットアップされる。これは、例えば、動作環境の仮想化及び制御のためのKVMインフラストラクチャ(いわゆる“カーネルに基づく仮想マシン”(Kernel-based Virtual Machine))によるLinux(登録商標)システムであることができる。仮想ネットワーク接続のコンフィグレーションは、基本オペレーティングシステムによって予め定義される。基本オペレーティングシステムは、仮想ネットワーク接続のための制御コンポーネントとして働き、従って、仮想動作環境の論理的な分離の構成のための決定的なコンポーネントである。
【0019】
IoTコンピュータシステムの様々な構成において、仮想ネットワーク接続のコンフィグレーションは、基本オペレーティングシステムによって固定で予め決定される。IoTコンピュータシステムは、有利なことに、各々の仮想動作環境による又は各々の通信ネットワークからの仮想ネットワーク接続のコンフィグレーションの変化が起こらないようにセットアップされる。仮想ネットワーク接続のコンフィグレーションは、従って、有利なことに、仮想動作環境又は通信ネットワークからの定義されたインフラストラクチャ(によって変更され得ない。コンフィグレーションの指定は、基本オペレーティングシステムによってのみ可能である。仮想ネットワーク接続のコンフィグレーションは、例えば、IoTコンピュータシステムをセットアップ又はインストールするときに、指定され得る。例えば、仮想ネットワーク接続のコンフィグレーションは、製造業者によって指定され得る。
【0020】
有利なことに、仮想ネットワーク接続を設定するためのコンフィグレーションデータは、IoTコンピュータシステムの保護されたエリアに格納される。このエリアは、仮想動作環境による又は関連する通信ネットワークからの変化するアクセスに対して保護される。そのような保護は、例えば、保護されたエリアのライトプロテクトによって、達成され得る。(ライト)プロテクトは、例えば、優位なユーザ(スーパーユーザ)によって、仮想動作環境又は通信ネットワークに関してアクセス/権限を有するユーザ又はプログラム又はアプリケーションによってセットアップ後に(ライト)プロテクトが無効にされ得ないように、セットアップされ得る。保護されたエリアはまた、暗号化、署名、キーによる認証(クレデンシャル)、などのような他のセキュリティ対策によっても保護され得る。保護されたエリアは、IoTコンピュータシステム内で特に(物理的に及び/又は論理的に)保護されたメモリ(エリア)に設定されることが考えられる。このようにして、仮想動作環境の論理的な分離は、固定で予め決定され、回避不可能である。
【0021】
IoTコンピュータシステムの様々な構成において、基本オペレーティングシステムは、通信ネットワークの1つから、特に各々の仮想動作環境から、基本オペレーティングシステムへの接続確立が、いずれの場合にも起こらないように、セットアップされる。これは、記載されるメカニズムを利用しようとする試みにおけるIoTコンピュータシステムの操作に対する更なるセキュリティ対策を表す。更に、これは、1つの仮想動作環境内の如何なる操作又は干渉も他の仮想動作環境へと続くことを防ぐ。
【0022】
IoTコンピュータシステムの様々な構成において、仮想動作環境は、夫々が1つ以上のファイアウォールを有している。それらは、各々の仮想動作環境から、論理的に割り当てられている通信ネットワークへの、又はその逆の接続確立を制御するよう、セットアップされる。ファイアウォールは、例えば、フィルタ規則、特に、ポート及び/又はIPアドレスフィルタ規則を指定することができる。これは、接続確立を然るべく制御する。それらのフィルタは、仮想動作環境によって指定され得る。このようにして、仮想動作環境へのアクセス又はその反応は選択的に制御され得る。よって、仮想動作環境は、望まれていない又は悪意のあるアクセスに対して保護される。任意に、仮想動作環境のファイアウォールは、基本オペレーティングシステムを介して制御可能である。
【0023】
IoTコンピュータシステムの様々な構成において、1つ以上の仮想(ソフトウェア)アプリケーションが、所定の機能を提供するよう各仮想動作環境内でセットアップされる。アプリケーションは、例えば、外部デバイスの1つ以上のタスク又は機能に機能特異的に適応され得る。例えば、データの捕捉、操作、処理、割り当て、比較、抽出、変換、エクスポート、インポート、などのような機能は、アプリケーションによって提供され得る。この目的のために、個々の仮想動作環境は、いわゆるCEP(complex event processing)(復号イベント処理)などの複雑な処理の又は人工知能(AI)の特別なタスク/アプリケーションを有することができる。
【0024】
IoTコンピュータシステムの様々な構成において、少なくとも第3仮想動作環境が、第1仮想動作環境及び第2仮想動作環境に加えてセットアップされる。第3仮想動作環境は、2つの仮想動作環境のうちの一方に論理的にリンクされる。例えば、第3仮想動作環境は、第2仮想動作環境へ論理的にリンクされ、一方、それは、第1仮想動作環境からは論理的に分離される。第3仮想動作環境は、有利なことに、第2仮想動作環境によって提供される機能を拡張又は補完することができる。例えば、データ処理のための様々な処理レベル又は段階が第2仮想動作環境及び第3仮想動作環境によって提供されることが可能である。このとき、第2仮想動作環境と第3仮想動作環境との間ではデータが交換される。しかし、このデータは、第1仮想動作環境内のデータから論理的に分離されたままである。
【0025】
第3仮想動作環境は、有利なことに、少なくとも1つの仮想ネットワーク接続、特に仮想ネットワークブリッジを介して、2つの仮想動作環境のうちの対応する方へ(例えば、上記を参照して、第2仮想動作環境へ)論理的にリンクされる。仮想ネットワーク接続を介した第3仮想動作環境の接続に関して、第1仮想動作環境及び第2仮想動作環境の仮想ネットワーク接続について説明された上記のことが同じように当てはまる。第3仮想動作環境と、論理的にリンクされた更なる動作環境(例えば、上記を参照して、第2仮想動作環境)との間の仮想ネットワーク接続を通じて、(部分的に)仮想の通信ネットワークがそれら2つの仮想動作環境の間に確立され、それにより、仮想動作環境は互いと、必要ならば、外部とも、例えば、外部デバイスと通信することができる。
【0026】
IoTコンピュータシステムの様々な構成において、第1仮想動作環境は、IoTコンピュータシステムからの又は外部のシステム若しくはデバイスからの(内部)システムデータ、特にマシンデータ、制御変数、測定値又はパラメータを捕捉又は処理又はクエリする製造業者環境としてセットアップされる。第1仮想動作環境を通じて、IoTコンピュータシステム自体の、又はIoTコンピュータシステムへ接続された外部のシステム若しくはデバイスのテレメトリデータが、捕捉され処理される。第1仮想動作環境は、コンポーネント、特に取得、処理又はクエリコンポーネント、例えば、センサ、アプリケーション、マネージメントコントローラ、カーネル、バス、などを含んでも、あるいは、IoTコンピュータシステムの物理リソースを利用してもよい。従って、第1仮想動作環境によって、製造業者は、例えば、予知保全のために、IoTコンピュータシステムから又は外部のシステム若しくはデバイスからデータを容易に収集し評価することができる。第1仮想動作環境は、物理ネットワークインターフェイスを介して外部の物理メンテナンスネットワークへ接続され得る。例えば、これは、OPC UAネットワークであることができる(OPC UAは、“Open Platform Communications Unified Architecture”の略語である。)。
【0027】
IoTコンピュータシステムの様々な構成において、第2仮想動作環境は、外部のシステム若しくはデバイスからの又はそれらに対する(外部)運転データ、特に外部のシステム若しくはデバイスからの又はそれらに対するセンサデータ、制御データ、プラントデータ、人に関連したデータ、特に生体データ、又は通信データを記録又は処理又は制御するオペレータ環境としてセットアップされる。第2仮想動作環境によって、外部のデバイス、プラント又はシステムからの及びそれらへのデータは、IoTコンピュータシステムが接続されることで現場で処理される。第2仮想動作環境は、コンポーネント、特に取得、処理又はクエリコンポーネント、例えば、センサ、アプリケーション、マネージメントコントローラ、カーネル、バス、などを含んでも、あるいは、IoTコンピュータシステムの物理リソースを利用してもよい。従って、第2仮想動作環境によって、IoTコンピュータシステムのオペレータは、それに接続されている自身のプラント又はシステムの外部コンポーネント又はデバイスを制御することができる。この目的のために、第2仮想動作環境は、物理ネットワークインターフェイスを介して1つ以上の外部の物理制御ネットワークへ接続される。これらは、LANネットワーク、USBネットワーク又は特別な制御バスネットワーク、例えば、MODBUSを含むことができる。
【0028】
ここで記載されるIoTコンピュータシステムは、有利なことに、請求項15に記載される装置内で使用される。装置は、記載されるタイプのIoTコンピュータシステムと、該IoTコンピュータシステムが接続される少なくとも1つの外部のシステム又はデバイスとを有する。第1仮想動作環境が外部のシステム又はデバイスへ論理的にリンクされる。第2仮想動作環境は、外部のシステム又はデバイスから論理的に分離され得る。代替的に、第2仮想動作環境が、外部のシステム又はデバイスへ論理的にリンクされてもよい。第1仮想動作環境及び第2仮想動作環境の論理的な分離の操作的な障害が起こり得ないように又は少なくとも大いに阻害されるように、この論理的なリンクを実装することが有利である。このようにして、ここで記載されるIoTコンピュータシステムの機能は保たれる。例えば、保護されるべき又は機密のデータは第1仮想動作環境及び第2仮想動作環境から外部のシステム又はデバイスへ転送されず、制御データのみが転送されることが指定され得る。代替的に、又は追加的に、外部のシステム又はデバイスと第1仮想動作環境及び第2仮想動作環境の夫々との間の各々の接続は、特別に保護され得る。他方の仮想動作環境による一方の仮想動作環境内の機密データへのアクセスを防ぐために、又はそれを非常に困難にし、2つの仮想動作環境の論理的な分離を確かにするために、暗号化、署名、プロトコル変更、ファイアウォール、などのようなセキュリティ対策が考えられ得る。
【0029】
外部のシステム又はデバイスは、例えば、センサ、制御デバイス(例えば、プログラム可能なロジックコントローラ、PLC)、又はプロセッシング、マネージメント若しくはデータサーバ、特にクラウドサーバ、あるいは、そのようなシステム又はデバイスの組み合わせであることができる。
【0030】
装置は、有利なことに、IoTコンピュータシステムが少なくとも1つの更なる外部のシステム又はデバイスへ接続されるように更に開発され得る。これによって、第2仮想動作環境が更なる外部のシステム又はデバイスへ論理的にリンクされる。第1仮想動作環境は、更なる外部のシステム又はデバイスから論理的に分離され得る。代替的に、第1仮想動作環境が、更なる外部のシステム又はデバイスへ論理的にリンクされてもよい。この論理的なリンクは、有利なことに、第1仮想動作環境及び第2仮想動作環境の論理的な分離の操作的な障害が起こり得ないように又は少なくとも大いに阻害されるように、実装されるべきである。このようにして、ここで記載されるIoTコンピュータシステムの機能は保たれる。この目的のために、上記の対策が同じように適用され得る。
【0031】
更なる外部のシステム又はデバイスも、センサ、制御デバイス(例えば、プログラム可能なロジックコントローラ、PLC)、又はプロセッシング、マネージメント若しくはデータサーバ、特にクラウドサーバ、あるいは、そのようなシステム又はデバイスの組み合わせであることができる。
【0032】
本発明は、図面を用いて実施例に基づき以下で更に詳細に説明される。
【図面の簡単な説明】
【0033】
【発明を実施するための形態】
【0034】
図は、IoTコンピュータシステム1を示す。IoTコンピュータシステム1は、第1仮想動作環境2、第2仮想動作環境3、及び第3仮想動作環境4を有する。仮想動作環境2、3、4は、例えば、IoTコンピュータシステム1内で仮想マシンとして編成/セットアップされる。仮想動作環境2、3、4は、それらが夫々完全な/独立したコンピュータシステム(仮想コンピュータシステム)のように振る舞うように実装され得る。仮想動作環境2、3、4は夫々、IoTコンピュータシステム1の動作のためにアプリケーション特有の機能を提供する。IoTコンピュータシステム1は、様々な外部のデバイス又はシステムへ接続される。例として、ウェブカメラ13、プログラム可能なロジックコントローラ(PLC)14、マネージメント又はメンテナンスサーバ15、及びクラウドサーバ又はクラウドサービス16が示されている。外部デバイス13、14、15及び16は、IoTコンピュータシステム1と通信し、それとデータを交換することができる。
【0035】
第1仮想動作環境2は、IoTコンピュータシステム1の内部システムデータ、特に、IoTコンピュータシステム1のマシンデータ、制御変数、測定値又はパラメータを捕捉、処理、又はクエリする製造業者環境としてセットアップされる。第1仮想動作環境2によって、IoTコンピュータシステム1自体のテレメトリデータが捕捉され処理される。第1仮想動作環境2は、この目的のための仮想コンポーネント、特に、取得、処理又はクエリコンポーネント、例えば、センサ、アプリケーション、マネージメントコントローラ、カーネル、バス、などを有するか、あるいは、IoTコンピュータシステム1の物理リソースからそれらを使用する。第1仮想動作環境2を使用して、製造業者は、例えば、予知保全のために、IoTコンピュータシステム1からデータを容易に収集し評価することができる。第1仮想動作環境2は、仮想ネットワーク接続、例えば、仮想ネットワークブリッジ6及び7を介して、更にはそれらに接続されている物理ネットワークインターフェイス11及び12を介して、1つ以上の外部の物理メンテナンス又はマネージメントネットワークへ接続される。物理ネットワークインターフェイス11及び12は、例えば、IoTコンピュータシステム1のLANインターフェイスである。第1仮想動作環境2と仮想ネットワーク接続6、7との間には、ファイアウォール17がいずれの場合にも介在している。ファイアウォール17は、第1仮想動作環境2によって制御され、外部の物理メンテナンス及び/又はマネージメントネットワークからの及び/又はそれらへの不正接続に対して第1仮想動作環境2を保護する。
【0036】
第1仮想動作環境2は、ネットワークインターフェイス11を介してマネージメント又はメンテナンスサーバ15へ接続される。この接続は、例えば、OPC UAネットワークであることができる。ここで、マネージメント又はメンテナンスサーバ15は、例えば、OPC UAサーバである。第1仮想動作環境2は、ネットワークインターフェイス12を介してクラウドサーバ又はクラウドサービス16へ接続される。このようにして、第1仮想動作環境2とデバイス15及び16とは、通信ネットワーク(製造業者ネットワーク)を形成する。
【0037】
第2仮想動作環境3及び第3仮想動作環境4は、他の外部のシステム若しくはデバイス13及び14からの又はそれらに対する外部運転データ、特に、外部のシステム若しくはデバイス13、14からの又はそれらに対するセンサデータ、制御データ、プラントデータ、パーソナルデータ又は通信データを取得又は処理又は制御する共通オペレータ環境としてセットアップされる。よって、第2仮想動作環境3及び第3仮想動作環境4を通じて、外部デバイス13、14からの及びそれらへのデータは処理される。第2仮想動作環境3及び第3仮想動作環境4は、この目的のための仮想コンポーネント、特に、取得、処理又はクエリコンポーネント、例えば、センサ、アプリケーション、マネージメントコントローラ、カーネル、バス、などを含むか、あるいは、IoTコンピュータシステム1の物理リソースからそれらを使用する。従って、第2仮想動作環境3及び第3仮想動作環境4を使用して、IoTコンピュータシステム1のオペレータは、それへ接続されている自身のプラント又はシステムの外部デバイス13、14を制御することができる。
【0038】
第2仮想動作環境3は、1つ以上の仮想ネットワーク接続、例えば、仮想ネットワークブリッジ5を介して、第3仮想動作環境4へ論理的に接続される。これは、第2仮想動作環境3及び第3仮想動作環境4が互いと通信し、データを交換することができることを意味する。更に、第2仮想動作環境3は、1つ以上の仮想ネットワーク接続(明示的に図示せず。)を介して、更には、それらへ接続されている物理ネットワークインターフェイス9を介して、デバイス13へ接続される。第3仮想動作環境4は、1つ以上の仮想ネットワーク接続、例えば、仮想ネットワークブリッジ8を介して、更には、それらに接続されている物理ネットワークインターフェイス10を介して、デバイス14へ接続される。第2仮想動作環境3と仮想ネットワーク接続5との間にはファイアウォール17が接続されており、それは、第2仮想動作環境3によって制御され、仮想ネットワーク接続5からの又はそれへの不正接続に対して第2仮想動作環境3を保護する。第3仮想動作環境4と仮想ネットワーク接続5及び8との間にはいずれの場合にもファイアウォール17が接続されており、それは、第3仮想動作環境4によって制御され、仮想ネットワーク接続5からの若しくはそれへの又はデバイス14へ向かう外部ネットワークへの不正接続に対して第3仮想動作環境4を保護する。
【0039】
物理ネットワークインターフェイス9は、例えば、USBインターフェイスであり、一方、物理ネットワークインターフェイス10は、例えば、IoTコンピュータシステム1のLANインターフェイスである。このようにして、第2仮想動作環境3及び第3仮想動作環境4は、互いと、更には(デバイス13及び14への及びそれらからの)1つ以上の外部の物理制御又はデータネットワークと物理ネットワークインターフェイスを介してリンクされる。これらは、例えば、デバイス14とIoTコンピュータシステム1との間の、LANネットワーク、USBネットワーク又はソーシャル・コントロール・バス・ネットワークを含む。コントロール・バス・ネットワークは、例えば、MODBUSネットワークを含む。このようにして、第2仮想動作環境3及び第3仮想動作環境4並びにデバイス13及び14は、通信ネットワーク(オペレータネットワーク)を形成する。
【0040】
個々の仮想動作環境2、3、4、又は仮想動作環境2、3、4若しくは外部デバイス13、14、15、16の間の仮想ネットワーク接続5、6、7、8の高位レベル制御又は構成は、IoTコンピュータシステム1の基本オペレーティングシステム(明示的に図示せず。)を介して実行される。基本オペレーティングシステムは、例えば、KVNシステムが統合されたLinux(登録商標)システムであることができる。特に、基本オペレーティングシステムは、仮想ネットワーク接続5、6、7、8の定義されたコンフィグレーションを指定する。このコンフィグレーションは、それが個々の仮想動作環境2、3、4によって、又は外部デバイス13、14、15、16によって、又は一般に、対応するネットワークから変更され得ないとそのようにして固定で予め決定されている。例えば、仮想ネットワーク接続5、6、7、8のコンフィグレーションは、IoTコンピュータシステム1をセットアップ又はインストールするときに指定される。例えば、仮想ネットワーク接続5、6、7、8のコンフィグレーションは、製造業者によって指定され得る。
【0041】
仮想ネットワーク接続5、6、7、8のコンフィグレーションのためのコンフィグレーションデータは、有利なことに、IoTコンピュータシステム1の保護されたエリアに格納され、これによって、そのエリアは、仮想動作環境2、3、4による又は外部デバイス13、14、15、16からの及びそれらへの関連する通信ネットワークからの変化するアクセスに対して保護される。そのような保護は、例えば、保護されたエリアをライトプロテクトすることによって達成され得る。(ライト)プロテクトは、例えば、スーパーユーザによって、セットアップ後の(ライト)プロテクトが、個々の仮想動作環境2、3、4に関して又は外部デバイス13、14、15、16への及びそれらからの通信ネットワークに関してアクセス/権限を有しているユーザ又はプログラム又はアプリケーションによって無効にされ得ないように、セットアップされ得る。保護されたエリアはまた、暗号化、署名、キーによる認証(クレデンシャル)、などのような他のセキュリティ対策によっても保護され得る。保護されたエリアは、IoTコンピュータシステム1内で特に(物理的に及び/又は論理的に)保護されたメモリ(エリア)に設定されることが考えられる。
【0042】
仮想ネットワーク接続5、6、7、8のコンフィグレーションは、第1仮想動作環境2と第2仮想動作環境3又は第3仮想動作環境4の一方との間に論理接続がないように予め定義される。これは、第1仮想動作環境2が第2仮想動作環境3及び第3仮想動作環境4から論理的に分離されることを意味する。第1仮想動作環境2と第2仮想動作環境3又は第3仮想動作環境4の一方との間に両方向で接続を確立することは不可能である。これは、第1仮想動作環境2と第2仮想動作環境3又は第3仮想動作環境4の一方との間の接続を可能にする仮想ネットワーク接続5、6、7、8内で論理ネットワーク接続(ソケット)を確立しないことによって、達成される。これは翻って、外部デバイス13及び14の1つから第1仮想動作環境2へ接続が確立され得ないこと、あるいは、外部デバイス15及び16の1つから第2仮想動作環境3又は第3仮想動作環境4の一方へも接続が確立され得ないことを意味する。
【0043】
このようにして、第1仮想動作環境2によって実装される製造業者環境は、第2仮想動作環境3及び第3仮想動作環境4によって共同で実装されるオペレータ環境から論理的に分離される。よって、製造業者環境内のクレデンシャル又は機密データは、オペレータ環境内のデータから論理的に分離及び孤立される。製造業者環境内の権限のあるユーザ、デバイス、システム又はソフトウェアプログラムは、オペレータ環境内のデータへのアクセスを有さず、逆も同様である。そのようなアクセスは、定義された又は意図的に阻止されたネットワーク接続の欠如により防がれる。製造業者環境は、ネットワーク接続6、7、11、12を介してデバイス15、16と通信することしかできない。オペレータ環境は、ネットワーク接続5、8、9、10を介してデバイス13、14と通信することしかできない。
【0044】
IoTコンピュータシステム1及び外部デバイス13、14、15、16により示されている配置の可能な適用シナリオは、例えば、障壁システムを備えた駐車場システムである。ウェブカメラ13は、駐車場システムを出入りする自動車のナンバープレートを捕捉する。ウェブカメラ13の画像データは、ネットワーク接続9を介して物理IoTコンピュータシステム1内の第2仮想動作環境3へ送られる。第2仮想動作環境3内では、人工知能(AI)の1つ以上の仮想アプリケーションが、ウェブカメラ13の画像データを処理するために使用される。これは、例えば、ウェブカメラ13の画像データから文字及び数字を抽出し、文字及び数字を文字列として供給することを含むことができる。この文字列は、物理IoTコンピュータシステム1内の第3仮想動作環境4のネットワーク接続5を通される。第3仮想動作環境4内では、複合データ処理(complex data processing)(CEP)の1つ以上の仮想アプリケーションが、記憶されている比較パターンと文字列とを比較するために使用される。パーソナルデータ、例えば、車両の所有者データ、又はクロック時間、時間スタンプ、車両の所有者のクレジットカードデータ、などもここで評価され得る。このデータは、例えば、仮想動作環境4内のデータベースに格納され得る。このようにして、登録されたナンバープレートを有する車両が駐車場システムへの許可されたアクセス又は(例えば、有効な支払い取引の後の)駐車場システムからの許可された退場を有するかどうかが判定され得る。
【0045】
これが仮想動作環境4内で確認される場合に、仮想動作環境4は、対応する制御信号をPLC14へネットワーク接続8、10を介して送る。PLC14は次いで、障壁が開くように障壁システムを制御する。それから、登録された自動車は入場又は退場することができる。
【0046】
独立して且つ論理的に第2仮想動作環境3及び第3仮想動作環境4(駐車場システムのオペレータ環境)から分離されると、オペレータの駐車場システムで使用される、例えば、障壁システムの又は単にIoTコンピュータシステム1の、製造業者は、製造業者環境2内で、マネージメントサーバ15を用いて障壁システムの又はIoTコンピュータシステム1のテレメトリデータ(例えば、IoTコンピュータシステム1のシステムパラメータ)を取得及び評価すること、あるいは、それらを、クラウドサービス又はクラウドサーバ16を用いて記録及び評価することができる。しかし、少なくともIoTコンピュータシステム1内で、製造業者は仮想動作環境3、4の構成要素への接続を確立することができない。これは、製造業者が、仮想動作環境3、4内のデータ、例えば、ウェブカメラ13からの画像データ又は、例えば、識別された車両の所有者からの、パーソナルデータ、へのアクセスを有さないことを意味する。反対に、オペレータは、そのようなものとしてIoTコンピュータシステム1の全体、又は製造業者の手にあるデバイス15、16及び場合により14のデータ、例えば、内部デバイスデータ、実施、などへのアクセスを有さない。
【0047】
外部デバイス、例えば、デバイス14及び15は、IoTコンピュータシステム1の外で外部ネットワークを介してデータを交換可能であることが起こり得る。例えば、PLC14は、障壁システムの制御データ(例えば、開閉動作の回数、エラー状況又はエラーコード、など)をマネージメントサーバ15に利用可能にすることができる。この制御データは、次いで、マネージメントサーバ15によってIoTコンピュータシステム1内の仮想動作環境2内に入力され、そこで予知保全及び障壁システムの動作挙動の確認のために評価され得る。論理的に分離された仮想動作環境3、4及び仮想動作環境2の間に望まれていないバイパス又は操作可能性が存在しないようにデバイス14及び15の間の外部接続を保護又は実装することが有利である。これは、例えば、仮想動作環境3、4からデバイス14へ保護されるべきオペレータ情報を発せず制御データのみを発することによって、達成され得る。反対に、これは、例えば、仮想動作環境2からデバイス15へ保護されるべき如何なる製造業者情報も発せず制御データのみを発することによって、達成され得る。対応する接続は、例えば、各々のファイアウォール17を介して、操作に対して特に保護され得る。
【0048】
図示されている実施形態及び説明されている適用シナリオは、単に例である。多くの可能な実施及び応用が存在する。特に、工業プラント環境では、例えば、風力若しくは太陽光発電所では、又は製品の工業生産及び製造では、多数の応用例が存在する。
【0049】
図示されていない実施では、仮想動作環境3及び4も、それらの動作環境の間のデータ悪用を防ぐために、互いから論理的に分離され得る。
【符号の説明】
【0050】
1 IoTコンピュータシステム
2 第1仮想動作環境
3 第2仮想動作環境
4 第3仮想動作環境
5~8 仮想ネットワーク接続
9~12 物理ネットワーク接続
13 ウェブカメラ
14 プログラム可能なロジックコントローラ(PLC)
15 マネージメントサーバ
16 クラウドサーバ
17 ファイアウォール