Leçon 9: Quelle architecture informatique pour installer un MES?

Un système MES repose sur une architecture informatique. Celle-ci n’est pas une simple « utilité » sans valeur ajoutée. En fait, les caractéristiques de cette architecture vont déterminer en grande partie la facilité d’installation, les capacités d’exploitation et aussi la sécurité du système MES.

Cela vaut donc la peine de creuser un peu les différents types d’architectures possibles pour un système MES. C’est ce que nous allons faire dans cette session.

Client serveur

Pendant longtemps, en informatique, les architectures informatiques se différentiaient par des matériels différents. Il y avait les ordinateurs centraux ou mainframes, les stations de travail, les mini- ordinateurs et les microordinateurs.

Aujourd’hui, à quelques exceptions près, les architectures matérielles se ressemblent beaucoup plus. Les architectures s’appuient presque toutes sur des ordinateurs de type PC, parfois complétées par des équipements complémentaires comme les terminaux dédiés, les tablettes et les smartphones. Dès que plusieurs ordinateurs sont mis en œuvre, ils sont généralement mis en réseau, et un ou plusieurs ordinateurs jouent le rôle de serveur, les autres jouant le rôle de clients. On parle d’une architecture client- serveur.

De ce fait, sur le plan matériel, la plupart des systèmes MES ont une architecture qui ressemble à celle du schéma de gauche, avec des automatismes, connectés à un ou plusieurs serveurs et des clients de type PC, et dans certains cas d’autres dispositifs.

Est-ce que cela veut dire que tous les systèmes MES s’appuient sur la même architecture informatique ? En fait pas du tout. Les architectures logicielles qui prennent place sur ces matériels peuvent être très différentes.

Une des sources majeures de différenciation entre les architectures est le type de client.

Client lourd

L’architecture client lourd est historiquement apparue la première. Dans cette architecture, le client et le serveur reçoivent chacun un programme à part 
entière.
L’un comme l’autre de ces programmes est d’ailleurs souvent très proche d’un programme originel conçu pour fonctionner de manière autonome sur une seule machine, et dont les parties client et serveur sont difficilement dissociables. Dans cette architecture, le réseau joue uniquement un rôle d’échange de données.

Cette architecture présente quelques avantages : elle fournit à l’utilisateur la même richesse d’interface qu’une application classique de type Desktop, en termes d’aspect et de graphismes. Comme une bonne partie des traitements est faite en local, l’interface « réagit » rapidement indépendamment de la vitesse du réseau, et certaines opérations peuvent éventuellement être exécutées alors que le réseau n’est pas opérationnel.

Les principaux inconvénients de cette architecture sont la nécessité d’installer chacun des postes clients, et ce à chaque mise à jour, même mineure, du logiciel, et les exigences machine au niveau du client, puisque dans la pratique, la plus grande partie du logiciel, voire même de l’application, est dupliquée au niveau de chaque client.

Né avec l’internet et les navigateurs, le client léger ou client web, à l’inverse n’emporte aucune partie logicielle côté client, hormis les capacités d’un navigateur HTML. De ce fait, aucune installation n’est nécessaire côté client, qui va accéder au serveur pour toutes les opérations. Autre avantage, tout dispositif disposant d’un navigateur HTML (tablette ou smartphone), peut accéder à l’application.

Initialement, les capacités graphiques du langage HTML étaient très limitées, d’où des interfaces assez rustiques, essentiellement textuelles. Et bien sûr, les échanges avec le serveur sont nécessaires pour la moindre opération. Toute opération est donc tributaire de la présence et du débit du réseau.

Extension du client web, le client riche est apparu avec des technologies comme les applets Java et le JavaScript, qui permettent d’exécuter sur le client une partie de programme téléchargée à partir du serveur. Ces technologies ont permis dans un premier temps d’enrichir les interfaces graphiques des clients légers et de les rendre plus réactives, puis d’effectuer directement depuis le client des requêtes en bases de données, donnant naissance à ce que l’on a nommé le web 2.0.

Des technologies comme Java Web Start ou les Apps des smartphones permettent également de s’affranchir du navigateur et d’accéder à l’application sur le client comme une application Desktop classique.

Mono-serveur

Au niveau des serveurs également, plusieurs architectures sont possibles :

  • La plus simple est l’architecture mono- serveur : l’ensemble de l’application MES et de ses données est installée sur un serveur unique. Pour assurer une plus grande disponibilité de l’application, certains systèmes MES permettent la redondance : le serveur de redondance prend le relais en cas de défaillance du serveur
  • Pour un plus haut niveau de performance, il est souvent intéressant de séparer le serveur de base de données du serveur d’application, en particulier lorsque le flux d’information en provenance des automatismes est important. En mettant en place par exemple une réplication pour la base de données, on obtient alors une architecture de ce type
  • Dans les architectures web, il y a toujours un serveur web, qui peut être intégré ou non à l’un des serveurs de l’architecture. Dans le cas qui est présenté ici, on parle donc d’architecture « trois tiers » : serveur web, application, et base de données.
  • Certains systèmes MES disposent d’une architecture dite SOA (Service Oriented Architecture) qui permettent de pousser plus loin la répartition des différents services, parfois appelés services web, sur les serveurs, ce qui peut être intéressant par exemple pour les applications qui couvrent un large périmètre, s’étendant par exemple sur plusieurs ateliers. On parle alors d’architecture distribuée ou multi-tiers.

Si nous revenons à notre premier schéma d’architecture, nous voyons que le ou les serveurs qui abritent l’application de MES sont généralement connectés à deux réseaux :

  • Le réseau des clients de l’application
  • Le réseau de collecte des informations en provenance des équipements d’automatismes
Réseaux

Dans le passé, il s’agissait de réseaux de base matérielle et de protocoles très différents. Si le réseau des clients était généralement un réseau Ethernet, le réseau de connexion aux automatismes pouvait d’appuyer sur un réseau RS-485, un réseau FIP, ou un réseau Profibus propriétaire.

Aujourd’hui, la plupart des réseaux d’automatismes (TCP/Modbus, Profinet, Rockwell, GE…) s’appuient aux aussi sur une base Ethernet/TCP. Il peut donc être tentant de regrouper ces réseaux sur un même réseau physique.

Dans la pratique, il faut éviter ce regroupement pour plusieurs raisons :

  • Les clients partageront souvent le réseau avec des services de type « bureautique » (mails, accès internet, sauvegarde périodique) qui peuvent mobiliser le réseau de façon incompatible avec l’acquisition de données et la transmission d’information en temps réel aux
  • Les échanges sur le réseau d’automatismes peuvent être critiques en termes de sécurité et ne doivent pas pouvoir être perturbés par des opérations au niveau du réseau bureautique.
  • Dans certains cas, il sera aussi judicieux de distinguer 3 réseaux différents, même si ceux-ci s’appuient tous sur une base Ethernet/TCP : le réseau bureautique de l’entreprise, les réseaux des clients de production du système MES, le réseau bureautique (pouvant accéder lui aussi à certaines fonctions du système MES). Ces réseaux peuvent être isolés entre eux par des switches.
Smartphones

La diffusion très large qu’ont connus les smartphones et les tablettes dans le domaine grand public, les rendant très accessible, obligent presque à envisager leur utilisation dans le domaine industriel.

Le premier atout de ces équipements est bien sûr la mobilité. Une mobilité d’ailleurs « retrouvée » en quelque sorte après l’abandon du papier au profit d’outils informatiques : une feuille de papier ou un carnet de notes disposaient de cette mobilité perdue avec les outils informatiques classiques.

Orientés « Internet », les smartphones et tablettes s’intègrent plus facilement dans les architectures de type web.

Comme les clients légers, smartphones et tablettes nécessiteront une connexion au réseau en wifi, Bluetooth ou 3G/4G. Il faudra donc s’assurer du bon fonctionnement de ces réseaux en atelier.

Evidemment, ces dispositifs permettront également de « sortir » de l’atelier et de disposer d’informations de MES a priori n’importe où, mais la question de la sécurité d’accès et de la protection des informations devient importante.

Une autre question est également la séparation vie privée / vie professionnelle pour le personnel utilisateur.

Sécurité

Historiquement, le monde de la production s’est longtemps senti à l’abri des problèmes de sécurité et de cybercriminalité, qui semblaient circonscrits à la sphère financière. La découverte en 2010 du virus informatique Stuxnet, conçu pour s’attaquer aux systèmes d’automatismes d’une centrale iranienne d’enrichissement d’uranium, a montré que le monde industriel n’était pas à l’abri de telles attaques.

Les problématiques de sécurité informatique sont apparues de manière récurrente au cours de cet exposé sur les architectures informatiques. La diffusion croissante de technologies issues du grand public, et en particulier les technologies web, accentue évidemment cette menace.

Le bon côté des choses et que ces technologies amènent avec elles bon nombre d’autres technologies permettant de se protéger des attaques informatiques, telles que les pare-feu, les accès sécurisés, ou l’identification biométrique des utilisateurs.

Ces technologies ne sont pas particulièrement difficiles à mettre en œuvre dans le cadre d’un système de MES, mais nécessitent surtout l’adoption de bonnes pratiques, à commencer par exemple par le login des utilisateurs, qui nécessitent un appui du management et parfois une conduite du changement.

Dans un avenir proche, un travail plus en profondeur sur les systèmes de MES eux-mêmes, situés à la charnière entre l’univers de la production et celui de la bureautique, et donc particulièrement exposés, sera nécessaire. Dans cet objectif, le Club MES, qui regroupe la majeure partie des acteurs du MES sur le territoire français, a travaillé avec l’ANSSI (Agence Nationale pour la Sécurité des Systèmes Informatiques, dépendant de la Défense Nationale) pour doter les systèmes de MES de technologies de cryptage des échanges, de protection des codes utilisateurs, et autres mécanismes de protection contre les cyber-menaces, visant à définir une labellisation des systèmes de MES.

Résumé architecture

Résumons ce que nous avons vu dans cette session.

Tout d’abord, un point essentiel des architectures de MES, le type de client mis en œuvre et les conséquences qui en découlent en termes de mise en œuvre et d’utilisation.

Ensuite, les différentes organisations de serveurs, depuis les plus simples, jusqu’aux solutions largement déployées, orientées services ou SOA.

Puis nous nous sommes attachés aux différents réseaux mis en œuvre, qu’ils soient de type automatismes ou bureautique.

Sur un autre plan, nous avons vu l’intégration possible des tablettes et smartphones dans un système MES. Et enfin, nous avons vu l’importance croissante de la sécurité informatique dans les systèmes de MES