IEC 62541-1 Überblick und Konzepte
Architekturüberblick — das Adressraummodell, das Sitzungs-/Abonnementmodell, das Sicherheitsmodell und die Transportzuordnungen. Der Ausgangspunkt für das Verständnis von OPC UA.
IEC 62541
OPC Unified Architecture (OPC UA)
IEC 62541 ist die normative Norm für OPC UA (Unified Architecture) — das plattformunabhängige, serviceorientierte Kommunikationsprotokoll für die industrielle Automatisierung. OPC UA ermöglicht einen sicheren, zuverlässigen Datenaustausch zwischen SPSen, SCADA, MES, ERP und Cloud-Systemen und ist die Grundlage für Industrie-4.0- und IIoT-Architekturen.
Dokumentstruktur
IEC 62541-3 Adressraummodell
Definiert den OPC UA-Adressraum — Knoten, Referenzen, Attribute und Knotenklassen. Der Adressraum ist der Container des Informationsmodells: Alles, was ein Server bereitstellt, ist ein Knoten in diesem Raum.
IEC 62541-4 Dienste
Definiert die 37 OPC UA-Dienste — Erkennung, Sitzung, Attribut, Methode, Ansicht, überwachtes Element, Abonnement und Veröffentlichungsdienste. Die vollständige API-Spezifikation.
IEC 62541-6 Zuordnungen
Transportprotokollzuordnungen — OPC UA Binary (UA TCP) für leistungskritische Anwendungen, OPC UA XML/HTTPS für Webdienste und OPC UA WebSocket. Umfasst auch Pub/Sub über MQTT und AMQP.
IEC 62541-7 Profile
Konformitätsprofile — eingebettetes Nano-Gerät, eingebettetes Mikro, Standardserver usw. Profile legen fest, welche Dienste eine konforme Implementierung unterstützen muss. Verwendet in Beschaffungsspezifikationen.
IEC 62541-8 Datenzugriff
Informationsmodell für Prozessdaten — Variablen, Datenpunkte, analoge Punkte mit Einheiten und Bereichen. Die Grundlage für die Bereitstellung von SPS-Tags und Instrumentenwerten.
IEC 62541-9 Alarme und Zustände
Informationsmodell für die Alarmverwaltung — Alarmzustände, Unterdrückung, Quittierung. Ermöglicht eine einheitliche Alarmdarstellung über heterogene Systeme hinweg.
IEC 62541-11 Historischer Zugriff
Informationsmodell für den Zugriff auf historische Daten — Rohdaten, verarbeitete (aggregierte) Daten, historische Ereignisse. Grundlage für die Historian-Integration.
IEC 62541-14 PubSub
Publish-Subscribe-Erweiterung für OPC UA — entkoppelte Kommunikation über MQTT/AMQP-Broker und UDP-Multicast. Schlüssel für die IIoT-Cloud-Integration und Edge-to-Cloud-Datenpipelines.
Schlüsselbegriffe
- Informationsmodell
- Die zentrale Innovation von OPC UA: Statt nur Datenwerte zu übertragen, werden selbstbeschreibende Informationen übertragen. Ein Server stellt einen Adressraum bereit, in dem jeder Knoten einen Typ, Beziehungen zu anderen Knoten, Ingenieureinheiten und Metadaten hat. Companion-Spezifikationen (z. B. OPC UA für PROFINET, für PackML, für ISA-95) definieren Standardinformationsmodelle für spezifische Domänen.
- Client-Server vs. Pub/Sub
- OPC UA unterstützt zwei Kommunikationsmuster: Client-Server (Pull-Modell — Client abonniert, Server überträgt bei Änderung, mit Sitzungsverwaltung und Sicherheit) und Pub/Sub (Push-Modell — Publisher sendet an Broker oder Multicast, ohne Sitzungs-Overhead). Client-Server für SCADA/MES-Integration; Pub/Sub für Cloud- und Edge-Szenarien.
- Sicherheitsmodell
- OPC UA integriert Sicherheit auf Protokollebene: Authentifizierung (X.509-Zertifikate oder Benutzername/Passwort), Nachrichtensignierung und Nachrichtenverschlüsselung (AES-128/256). Drei Sicherheitsmodi: Keine (nur Erkennung), Signieren, Signieren+Verschlüsseln. Im Gegensatz zu OPC Classic (DCOM-basiert) funktioniert die OPC UA-Sicherheit durch Firewalls und über das Internet.
- Companion-Spezifikation
- Domänenspezifische OPC UA-Informationsmodelle, die von Industriekonsortien definiert werden — OPC UA für Geräte (DI), für PLCopen-Bewegung, für PackML, für ISA-95 (Fertigungsbetrieb), für AutoID (RFID/Barcode), für CNC. Eine Companion-Spezifikation definiert Standard-Knotentypen, damit Werkzeuge von beliebigen Anbietern auf Anwendungsebene interoperieren können.
- Pub/Sub über MQTT
- OPC UA PubSub (IEC 62541-14) über MQTT ist die Standardarchitektur für IIoT-Edge-to-Cloud-Pipelines. Die OPC UA JSON-Kodierung ist das Nachrichtenformat; ein MQTT-Broker (z. B. HiveMQ, Mosquitto) übernimmt das Routing. Ermöglicht die Integration von Azure IoT Hub, AWS IoT und Ignition Edge MQTT.
Notes & guidance
Überblick
OPC UA (IEC 62541) ist der universelle Middleware-Standard für den industriellen Datenaustausch. Er löst das Integrationsproblem, das die Automatisierung seit Jahrzehnten plagt: heterogene Steuerungssysteme (Siemens, Rockwell, ABB, Honeywell) mit inkompatiblen Protokollen, die anlagenweiten Datenzugriff und MES/ERP-Integration teuer und fehleranfällig machen.
OPC UA bietet:
- Einen einheitlichen Adressraum — selbstbeschreibende Daten, zugänglich über eine Standard-API
- Integrierte Sicherheit — zertifikatsbasierte Authentifizierung und Verschlüsselung by Design
- Plattformunabhängigkeit — läuft auf Windows, Linux, eingebettetem RTOS, Cloud
- Skalierbarkeit — vom Mikrocontroller bis zum Unternehmensserver
Architekturmuster
Klassische SCADA-/MES-Integration (Client-Server)
SPS / DCS → OPC UA-Server → OPC UA-Client (SCADA, Historian, MES)
Jede wichtige SPS (Siemens S7-1500, Rockwell 5380, Beckhoff, B&R) verfügt jetzt über einen eingebetteten OPC UA-Server. SCADA-Plattformen (Ignition, Wonderware, Inductive Automation) sind native OPC UA-Clients.
IIoT-/Cloud-Integration (Pub/Sub)
SPS → OPC UA PubSub → MQTT-Broker → Cloud (Azure IoT / AWS IoT / InfluxDB)
Edge-Geräte (Hilscher netX, Moxa, Kepware) übersetzen Legacy-Feldbusse in OPC UA und veröffentlichen über MQTT.
Companion-Spezifikationen — Die wichtigsten für Prozess und Fertigung
| Companion-Spezifikation | Domäne | Gepflegt von |
|---|---|---|
| OPC UA für Geräte (DI) | Geräteerkennung, Topologie | OPC Foundation |
| OPC UA für PackML | Zustände von Verpackungsmaschinen | OMAC / OPC Foundation |
| OPC UA für ISA-95 | Produktionsplanung, MES | OPC Foundation / ISA |
| OPC UA für PROFINET | PROFINET-Topologie in UA | PI + OPC Foundation |
| OPC UA für CNC | Werkzeugmaschinendaten | OPC Foundation |
| OPC UA für Wägetechnik | Waage / Dosierung | OPC Foundation |
Checkliste zur Sicherheitshärtung
- Im Produktionsbetrieb immer den Modus Signieren+Verschlüsseln verwenden (niemals “Keine” außerhalb von Testlabors)
- Dedizierte OPC UA-Zertifikate je Server verwenden — jährlich erneuern
- Endpunkt-Exposition einschränken: OPC UA TCP (Port 4840) sollte nicht direkt gegenüber nicht vertrauenswürdigen Netzen exponiert sein
- OPC UA-Gateway oder DMZ-Server verwenden, um das Steuerungsnetz vom MES/ERP zu isolieren
- Rollenbasierte Zugriffskontrolle (RBAC) gemäß IEC 62541-18 (Rollen-Teil) für fein abgestufte Berechtigungen implementieren
Betroffene Branchen
- process
- manufacturing
- oil-and-gas
- pharmaceuticals
- food-and-beverage
- energy
- water-treatment