Sammanfattning kravkatalog
Kravkatalogen innehåller 46 olika BÖR krav och oftast ett flertal utvärderingspunkter. Alla krav är ställda mot en “leverantör”, som här kan vara antingen en intern eller extern aktör, helt enkelt någon som bör beskriva och definiera hur den avser att leverera det som efterfrågas. Uppfyllelsen eller efterlevnaden av ett krav brukar kunna ställas mot en leverantör, men en organisation kan ha flera leverantörer vars samlade leverans leverar IoT-systemet.
En beställare kan med relativ lätthet skapa SKA krav utifrån kombination av BÖR kravet och förslagen till utvärdering. Exempel på hur SKA krav kan skapas finns i https://inera.atlassian.net/wiki/spaces/AIA/pages/2577302816/Hur+kan+RefARK+IoT+anv+ndas+vid+upphandling#Exempel-p%C3%A5-hur-RefARK-IoT%3As-krav-kan-omformuleras-till-SKA-krav .
Varje krav är relaterat till en eller flera principer. Kraven kan därmed utgöra ett sätt att utvärdera IoT-system, utifrån hur de uppfyller kraven och utvärderingspunkterna och utifrån hur de bidrar till principerna. RefARK IoT har inga bedömningsmodeller för hur detta kan göras, men exempel på detta finns i Hur kan RefARK IoT användas vid upphandling.
Kravktalogen är inte en komplett katalog över alla krav som en organisation behöver ställa på ett IoT-system utan en beställare behöver hämta in krav från sin egen organisation och kombinera dessa med relevanta krav i Kravkatalogen
Kravkatalog
Kravnr. | Kravformulering | Förtydligande av krav / Exempel | Förslag till utvärdering | Bidrag till Principer | Erfarenheter från Jönköping och Västra Götaland |
---|---|---|---|---|---|
KIOT-001 | Leverantör bör beskriva hur informationsmängd, informationsflöde och informationsmodell i IoT-systemet hanteras, konfigureras, upprätthållas, tillgängliggörs och ger överblick åt beställaren. | Exempel:
| Utvärdera utifrån:
| Princip 4 “Bearbetning och berikning av information” | Detta krav är i och för sig viktigt men enligt erfarenheterna i Jkp och VGR spänner det över lite för mycket för att vara praktiskt användbart. I upphandlingarna ställdes en rad mer detaljerade krav som relaterar till detta. Samtidigt är det viktigt att efterfråga tydlig information från leverantörerna om man sitter i en upphandlingssituation. Även för en utvecklare torde detta krav behöva preciseras ytterligare. |
KIOT-002 | Leverantör bör redovisa hur information kan bearbetas och berikas på alla eller flera nivåer i IoT-systemet. | Möjligheten att berika och bearbeta information är central i ett IoT-system. Vilka beriknings- och bearbetningsmöjligheter som behövs är väldigt starkt beroende av vilka tillämpningar ska använda information. Kravet är mkt viktigt för att förvaltare/beställare ska kunna:
| Utvärdera tex utifrån:
| Princip 4 “Bearbetning och berikning av information” | Bearbetning och berikning av information är grundfunktioner i ett IoT-system. Jkp och VGR upplevde dock att dessa krav behövde specificeras för praktisk användning vid upphandling eller utveckling. Som upphandlingsgruppen i Jönköping upplevde det har detta också råkat bli två olika krav i ett. Man anser att berikning och bearbetning är två separata grundfunktioner i ett IoT-system. |
KIOT-003 | Leverantör bör beskriva hur konfiguration och administration av moduler för bearbetning och berikning kan göras, tex ändring i transformering av datamodeller, ändring i anomali-detektering, etc. | Utvärdera utifrån:
| Princip 4 “Bearbetning och berikning av information” | Detta krav har man inte kunnat använda i någon av upphandlingarna. Det har i upphandlingarna i Jkp och VGR upplevts mer som ett krav för någon som ska ta fram en systemarkitektur och utvecklingsmiljö för IoT än krav som är lämpligt att ställa på en färdigutvecklad IoT-plattform. Samtidigt är frågeställningarna ändå viktiga så Jkp och VGR konstaterade att man ändå bör beakta dessa aspekter, kanske framför allt som utvecklare. | |
KIOT-004 | Leverantör bör beskriva hur konfiguration och administration av moduler för styrning och orkestrering och berikning kan göras, tex inställning av regelverk, tröskelnivåer, nya/ändrade flöden. | Exempel:
| Utvärdera utifrån:
| Princip 9 “IoT-systemet möjliggör styrning och orkestrering av händelsedrivna informationsflöden” | Detta krav har man inte kunnat använda i någon av upphandlingarna. Det har i upphandlingarna i Jkp och VGR upplevts mer som ett krav för någon som ska ta fram en systemarkitektur och utvecklingsmiljö för IoT än krav som är lämpligt att ställa på en färdigutvecklad IoT-plattform. Samtidigt är frågeställningarna ändå viktiga så Jkp och VGR konstaterade att man ändå bör beakta dessa aspekter, kanske framför allt som utvecklare. |
KIOT-005 | Leverantör bör redovisa hur händelsedriven och lagrad data i IoT-systemet kan resultera i nya händelser och/eller aktiviteter. | Möjligheten att reagera på information är central i ett IoT-system. I olika IoT-system talas det om regelmotorer, som kan vara uppbyggda på olika sätt och utföra detta i olika lager av IoT-systemet. Exempel:
| Utvärdera tex utifrån:
| Princip 4 “Bearbetning och berikning av information” Princip 9 “IoT-systemet möjliggör styrning och orkestrering av händelsedrivna informationsflöden” | I Jkp och VGR var det viktigt att ställa krav på hur olika data kan resultera i nya händelser och/eller aktiviteter. Detta sågs som en viktig del av ett IoT-system. Som Jkp och VGR uppfattat det syftar RefARK-kravet till att adressera detta område. Samtidigt såg Jkp och VGR behov av att gå in mycket mer i detalj på hur detta kan ske. I upphandlingarna ställdes därför väldigt många andra och mycket mer detaljerade krav kring till exempel regelhantering mm i IoT-plattformen. |
KIOT-006 | Leverantör bör beskriva vad som inverkar på prestanda och kapacitet, samt hur skalning påverkar den inom IoT-systemet. | Beställaren bör utöver detta beskrivningskrav överväga att ställa ett antal SKA krav kring prestanda, beroende på de krav som tillämpningen ställer. Dessa krav kan röra, tex:
| Utvärdera tex utifrån:
| Princip 1 “IoT-Systemet möjliggör för byte av moduler oberoende av varandra” Princip 4 “Bearbetning och berikning av information” Princip 5 “IoT-Systemet stöder att data lagras på olika sätt utifrån informationens karaktär och användningsbehov” Princip 6 “IoT-systemet klarar att möta en definierad risk- och konsekvensnivå” Princip 7 “IoT-systemet klarar digital hantering av fysiska IoT-enheter och deras koppling till IoT-systemet.” Princip 9 “IoT-systemet möjliggör styrning och orkestrering av händelsedrivna informationsflöden” Princip 10 “IoT-systemets information, tjänster och data är tillgängliga för applikationer och användare” | I Jkp och VGR begärdes en beskrivning. Upphandlingsgrupperna har gått på den linje som beskrivs under "Förtydligande av krav", dvs ställt krav på vilka prestanda man vill se vid en viss volym sensorer. I VGR lades även till ett krav (baserat på Princip IoT 4) gällande prestanda baserat på aktiva antal användare och inte bara antal sensorer/mätvärden. Kravet upplevdes också bra av Jkp och VGR eftersom man upplevde det som en överhängande risk att någon utvecklar IoT-funktioner utan att tänka på hur systemet ska klara en mycket stor mängd sensorer och inkommande data. |
KIOT-007 | Leverantör bör redovisa hur kontextmedvetenhet skapas och upprätthålls inom IoT-systemet. | Exempel:
Förtydligande: Det finns inom styr- och reglerteknik ett flertal standarder för att upprätthålla denna typ av relationer, tex BRICK, se https://brickschema.org/. | Hur kan det utvärderas:
| Princip 4 “Bearbetning och berikning av information” Princip 2 “Data, information och kontextmedvetenhet (Context-awareness) i IoT-systemet bevaras vid modul och system byten” | Att addera information om det sammanhang en sensor befinner sig i såg man i Jkp och VGR som helt nödvändigt. Därför ansåg man i JKP och VGR att detta krav var viktigt. Begreppet “kontextmedvetenhet” upplevde man dock som svårt att definiera och förstå. I upphandlingarna i Jönköping och Västra Götalandsregionen specificerades därför vilka kontextdata som IoT-data skulle kompletteras med, vilket gjorde kraven tydligare för leverantörerna. |
KIOT-008 | Leverantören bör redovisa hur versionshantering går till för IoT-systemets arkitektur som helhet samt för dess ingående moduler och gränssnitt. | Varför är kravet viktigt: IoT-systemet kommer behöva växa och förändras organiskt över tid, därför är det viktigt att följande punkter hanteras i införskaffandet av IoT-systemet:
Kravet kan behöva omformuleras av beställaren beroende på vem som beslutar över arkitekturen. IoT-systemet kan förväntas ha integrationer med andra system som är beroende av IoT-systemets datamodeller. Leverantören bör därför beskriva hur processen för eventuell förändring av datamodell i samband med ny version av IoT-systemet hanteras. Bland annat hur kund och eventuella samarbetspartners informeras om förändringar och hur Leverantören säkerställer bakåtkompatibilitet till dess att övriga systemleverantörer hunnit göra eventuella nödvändiga förändringar för att befintliga integrationer ska fungera. | Hur kan det utvärderas:
| Princip 1 “IoT-Systemet möjliggör för byte av moduler oberoende av varandra” | Detta krav användes som det är formulerat. |
KIOT-009 | Leverantören bör ge en en arkitekturell beskrivning över IoT-systemet, som innehåller dess modulära uppbyggnad och respektive moduls funktion. | Förtydligande: Det är viktigt för beställaren att förstå hur hela systemet är uppbyggt, vilka delar som pratar med varandra och på vilket sätt för att förstå möjligheterna till hantering och delning av data samt möjligheterna till att byta ut enskilda moduler. | Hur kan det utvärderas:
| Princip 1 “IoT-Systemet möjliggör för byte av moduler oberoende av varandra” | Detta krav användes som det är formulerat. |
KIOT-010 | Leverantör bör beskriva hur en test- och en acceptansmiljö kan upprättas för IoT-systemet och dess fysiska IoT-enheter. | Hur kan det utvärderas:
| Princip 1 “IoT-Systemet möjliggör för byte av moduler oberoende av varandra” | Detta krav användes men utvecklades ytterligare. I Jönköping ställdes i stället krav på upprättande av miljö för användbarhetstest samt driftsmiljö, som man acceptanstestade. I Västra Götaland ändrade man kravet till att det ska installeras i två miljöer, en för test och en för skarp drift (IoT 9). Man tog bort krav på acceptanstester då man kan göra det i testmiljön ifall man vill. | |
KIOT-011 | Leverantör bör beskriva hur IoT-systemet kan nyttja Unika Identifierare för referens internt och externt. | Hur kan det utvärderas:
| Princip 1 “IoT-Systemet möjliggör för byte av moduler oberoende av varandra” Princip 3 “IoT-systemets informationsmodeller bygger på standarder i horisontell övergripande nivå och specifika vertikala nivåer” | I Jkp ställdes krav på standarder, men på ett annat sätt och både utifrån vad IoT-plattformen bygger på idag och hur Leverantören avser arbeta med standarder och engagera sig i standardiseringsarbete framöver. I VGR har detta utvecklats ytterligare. I båda upphandlingarna har man även hämtat och använt en mängd krav baserade på de 32 karaktäristikerna för ett IoT-system som listas i ISO/IEC 30141 – Internationella referensarkitekturen för IoT. | |
KIOT-012 | Leverantör bör redovisa hur varje modul i IoT-systemet uppfyller de informationssäkerhetsåtgärder som finns i avsnitten 4.1, 4.2 och 4.3 i ENISA Baseline Security Recommendations for IoT eller liknande. | Varför är kravet viktigt: Informationssäkerhet behöver inkluderas by-design i IoT -systemet. Att uppfylla ENISA:s informationssäkerhetsåtgärder är ett bra sätt att få en lämplig nivå av säkerhet för tillämpningen. IoT-systemet kommer i de flesta organisationer involvera flera parter, tex driftsorganisationer, förvaltningsorganisationer, nätverkssystem. Det är därför centralt att beställaren hanterar ansvarsfrågor mellan moduler på adekvat sätt. Beställaren kan överväga att använda följande material som guideline för bedömning av relevanta informationssäkerhetsåtgärder:
| Hur kan det utvärderas:
| Princip 6 “IoT-systemet klarar att möta en definierad risk- och konsekvensnivå” | I både Jkp och VGR ställdes egna och mer utvecklade säkerhetskrav, både IoT-specifika och allmänna. ENISA användes inte eftersom säkerhetsexperterna inte rekommenderade det. Jkp:s och VGR:s säkerhetsaspekter konstaterade att det finns många fler aspekter kring säkerhet och många andra vägledningar och standarder att beakta inom detta område. Jkp och VGR ansåg därför att RefARK behövde kompletteras med annat material för att kunna användas som grund för säkerhetsarbete eller upphandlingsunderlag. Jkp och VGR noterade även att Enisa:s material, som RefARK refererar till, är från 2017. |
KIOT-013 | Leverantör bör redovisa hur IoT-systemets olika moduler kan integreras mot beställarens autentiserings och auktoriserings system. (Beställaren bifogar beskrivning av befintlig lösning) | Beställaren behöver beskriva vilka krav som faktiskt behöver beställas. Dessa krav är väldigt specifika för respektive organisation. | Princip 6 “IoT-systemet klarar att möta en definierad risk- och konsekvensnivå” | Jkp och VGR upplevde detta krav som viktigt. Man vände dock på frågeställningen i upphandlingarna och ställde i stället krav på att integration SKA kunna göras. Leverantörerna fick mervärde om de klarade respektive integration som listades. | |
KIOT-014 | Leverantör bör beskriva hur data kan lagras | Exempel:
| Utvärdera utifrån hur lösningen:
| Princip 5 “IoT-Systemet stöder att data lagras på olika sätt utifrån informationens karaktär och användningsbehov” | Jkp och VGR ställde i stället krav på de olika sätt man vill att data ska kunna lagras på. |
KIOT-015 | OM det finns processer kring fysiska IoT-enheter som en leverantör ska hantera: Leverantör bör beskriva processen för installation, utbyte, kalibrering, service eller underhåll (tex byte av batterier) av fysiska IoT-enheter vid behov . | Exempel:
| Utvärdera utifrån hur lösningen:
| Princip 7 “IoT-systemet klarar digital hantering av fysiska IoT-enheter och deras koppling till IoT-systemet.” | Jkp och VGR använde delar av kravet: Leverantören skall beskriva processen i IoT-plattformen för installation, utbyte och konfigurering av fysiska IoT-enheter. I VGR och Jkp konstaterade man att man måste bestämma vad leverantören respektive man själv eller andra leverantörer ska ansvara för, särskilt om man köper IoT-utrustning från samma leverantör som IoT-plattformen. I Jönköping köptes ofta sensorer från plattformsleverantören för tester, men projektet tog själv ansvar för installation, utbyte, service och batteribyte. |
KIOT-016 | Leverantör bör beskriva hur lagrade data kan bearbetas och hanteras. | Förtydligande av kravet: I detta krav avses främst bearbetning av historiska data som görs för någon typ av arkiv ändamål. Exempel:
| Utvärdera utifrån hur lösningen:
| Princip 5 “IoT-Systemet stöder att data lagras på olika sätt utifrån informationens karaktär och användningsbehov” Princip 4 “Bearbetning och berikning av information” | Jkp och VGR ställde i stället krav på de olika sätt man vill att data ska kunna lagras på och hanteras. |
KIOT-017 | Leverantör bör beskriva hur data kan migreras till och från lagringsmodulen. | Beskrivning av kravet: Den upphandlande myndigheten kommer med allra största sannolikhet behöva flytta data mellan lagringsmoduler under informationens livslängd. Det är därför viktigt att i början av ett uppdrag ha en tydlig bild av hur kostnaderna ser ut vid byte till annan lagringsmodul. | Utvärdera utifrån:
| Princip 1 “IoT-systemet möjliggör för byte av moduler oberoende av varandra” Princip 5 “IoT-systemet stöder att data lagras på olika sätt utifrån informationens karaktär och användningsbehov” | Jkp och VGR använde kravet i princip som det står. |
KIOT-018 | Leverantör bör beskriva hur data, information och kontextmedvetenhet på ett fullödigt och detaljerat sätt kan importeras till respektive exporteras ifrån IoT-systemets moduler. | Beskrivning av kravet: Den upphandlande myndigheten kommer med allra största sannolikhet behöva flytta data mellan IoT-system under informationens livslängd. Det är därför viktigt att ha en i början av ett uppdrag ha en tydlig bild av hur data kan migreras mellan IoT-system. | Utvärdera utifrån:
| Princip 2 “Data, information och kontextmedvetenhet (Context-awareness) i IoT-systemet bevaras vid modul och system byten” Princip 3 “IoT-systemets informationsmodeller bygger på standarder i horisontell övergripande nivå och specifika vertikala nivåer” | Jkp och VGR använde kravet i princip som det står. |
KIOT-019 | Leverantör bör beskriva informationsmodeller och informationsutbytesmodeller inom IoT-systemet, inklusive hur de bygger på etablerade och/eller öppna standarder. | Datamodellen bör finnas digitalt beskriven på ett maskinläsbart sätt. Beskrivningen bör innehålla tillräckligt mycket kontextinformation för att datamodellen ska kunna bearbetas av annan applikation och uppfylla användarnas behov. | Utvärdera utifrån:
| Princip 2 “Data, information och kontextmedvetenhet (Context-awareness) i IoT-systemet bevaras vid modul och system byten” Princip 3 “IoT-systemets informationsmodeller bygger på standarder i horisontell övergripande nivå och specifika vertikala nivåer” | Jkp och VGR använde kravet utifrån dess andemening men delvis omformulerat utifrån "utvärderingskriterier" och "bidrag till principer". |
KIOT-020 | Leverantör bör beskriva hur det säkerställs att beställaren har full ägande- och nyttjanderätt till samtliga data, metadata, kontextmedvetenhet och informationsmodeller både under avtalstiden och efter avtalstiden. | .DIGG har tagit fram underlag för stöd vid upphandling av data https://www.digg.se/kunskap-och-stod/oppna-och-delade-data/offentliga-aktorer/rekommendationer-for-upphandling-av-data#h-sv-default-anchor-0 INERA tar fram en kravkatalog. RefARK IoT har inte gjort en synkning mot detta arbete. Det kan därför vara lämpligt att den som kravställer IoT-system tittar till kravkatalogen och verifiera om den kan bidra till kravställan. Se INERA:s kravkatalog /wiki/spaces/AIA/pages/78250402 | Utvärdera utifrån:
| Princip 2 “Data, information och kontextmedvetenhet (Context-awareness) i IoT-Systemet bevaras vid modul och system byten” Princip 3 “IoT-systemets informationsmodeller bygger på standarder i horisontell övergripande nivå och specifika vertikala nivåer” | Jkp och VGR ställde i stället krav på fullständigt ägande. Likaså att man ska få hjälp att migrera data då avtalet upphör. |
KIOT-021 | Leverantör bör beskriva hur information, data och tjänster från IoT-systemet, både händelsedriven information och historiska data, samt beskrivningar av datamodeller kan tillgängliggöras för tillämpningar och användare via standardiserade gränssnitt (API:er) | Detta krav behöver anpassas efter varje organisations specifika behov och IT-miljö. Detta för att det IoT-system införskaffas är anpassat till beställarens organisation. Beskrivning av kravet:
| Utvärdera exempelvis utifrån (och då utifrån beställarorganisationens förutsättningar och vilka lösningar som finns på plats idag och som tydligt beskrivs i upphandlingsunderlagen):
| Princip 10 “IoT-systemets information, tjänster och data är tillgängliga för applikationer och användare” Princip 2 “Data, information och kontextmedvetenhet (Context-awareness) i IoT-systemet bevaras vid modul och system byten” | Detta krav upplevde Jkp och VGR som viktigt för både generella IoT-plattformar och enskilda IoT-tillämpningar. För generella plattformar sågs det som en självklarhet eftersom de ska samla in och tillgängliggöra information. För enskilda tillämpningar ansåg Jkp och VGR det också viktigt för att möjliggöra datadelning. I upphandlingarna ställdes detaljerade krav på kommunikationsgränssnitt och integrationer, med extra poäng för färdiga integrationer med andra system, särskilt kart- och GIS-verktyg. |
KIOT-022 | Leverantör bör beskriva vilken service, support och dokumentation som leverantören erbjuder för IoT-systemet. | Utvärdera utifrån:
| Princip 10 “IoT-systemets information, tjänster och data är tillgängliga för applikationer och användare” | Som Jkp och VGR såg det kan det vara svårt för leverantören att precisera krav, så köpare bör ställa krav som motsvarar deras behov, med olika nivåer att välja mellan. I Jkp och VGR specificerades önskade nivåer. Öppen dokumentation ansågs inte nödvändig, men dokumentation skulle vara tillgänglig och användbar för beställaren och andra leverantörer. Som JKP och VGR såg det är öppen dokumentation främst fördelaktig för lösningar baserade på öppen källkod. API:er behöver vara tillgängliga för andra systemleverantörer. Detaljerade servicenivåkrav inkluderades i upphandlingsavtalen. | |
KIOT-023 | Leverantör bör redovisa vilka lösningsmönster som finns tillgängliga i IoT-systemet för tillgänglighet till information, data och tjänster. | Utvärdera utifrån: (och då utifrån vilka lösningar som finns på plats idag hos beställarorganisationens)
| Princip 10 “IoT-systemets information, tjänster och data är tillgängliga för applikationer och användare” | I Jkp och VGR ansåg man att användning av termen “lösningsmönster” kan leda till missförstånd mellan beställare och leverantör om den inte är tydligt definierad. Detta, såg man, kan resultera i att leverantören svarar på ett sätt som inte motsvarar beställarens behov eller förväntningar. Därför formulerades egna och mer detaljerade krav i upphandlingarna. | |
KIOT-024 | Leverantör bör redovisa hur olika vertikala (domänspecifika) informationsmodeller (ontologier) kopplas till övergripande horisontell informationsmodell. | Utvärdera utifrån:
| Princip 3 “IoT-systemets informationsmodeller bygger på standarder i horisontell övergripande nivå och specifika vertikala nivåer” | Jkp och VGR såg det som viktigt att beskriva hur informationsmodellerna för en generell IoT-plattform kopplas till olika tillämpningar vid upphandling av båda. Hittills har upphandlingar fokuserat på antingen en generell plattform eller specifika tillämpningar. Vissa leverantörer erbjuder färdiga IoT-applikationer i en sammanhållen struktur, vilket kan ha gett upphov till detta krav. Kravet passade dock inte för upphandlingarna i JKP och VGR. JKP och VGR upplevde en osäkerhet kring i vilken utsträckning standarder och guidlines som RefARK refererar till är kvalitetssäkrade och fortfarande används. Bland annat då man konstaterade att flera av dem har ganska många år på nacken samtidigt som IoT är ett område under stark och snabb utveckling. | |
KIOT-025 | Leverantör bör redovisa hur en tillämpning som nyttjar IoT-systemet kan få en informationsmodell anpassad till sina specifika behov. | Utvärdera utifrån: (för utvärdering är det bra att beställaren bifogar beskrivning av specifika lösningar som kan behöva anpassas)
| Princip 3 “IoT-systemets informationsmodeller bygger på standarder i horisontell övergripande nivå och specifika vertikala nivåer” Princip 4 “IoT-Systemet möjliggör bearbetning och berikning av information [på olika sätt]” | Det här kravet upplevde deltagarna i upphandlingarna i JKP och VGR som svårt att tolka. I upphandlingarna såg man att det var intressant för beställaren hur data kan prepareras och struktureras för att kunna överföras till ett mottagande system som ställer krav på dataformat och datamodell för överföring från IoT-plattformen. Det var så man använde detta krav. | |
KIOT-026 | Leverantör bör beskriva hur IoT-systemet kan stödja uppdatering och konfiguration av fysiska IoT-enheter. | Förtydligande av kravet:
En beställare kan överväga att dela upp detta krav i ett krav för konfiguration och ett för uppdatering om det fyller en funktion i införskaffning. | Utvärdera utifrån:
| Princip 7 “IoT-systemet klarar digital hantering av fysiska IoT-enheter och deras koppling till IoT-systemet.” | Detta upplevde Jkp och VGR som ett bra krav. I upphandlingarna ställdes dock i stället krav på ATT IoT-plattformen ska stödja detta. |
KIOT-027 | Leverantör bör beskriva hur IoT-systemet kan provisionera och deaktivera fysiska IoT-enheter. | Förtydligande:
| Utvärdera utifrån:
| Princip 7 “IoT-systemet klarar digital hantering av fysiska IoT-enheter och deras koppling till IoT-systemet.” | Detta krav vände man på i upphandlingarna och ställde i stället krav på att detta ska kunna göras. |
KIOT-028 | Leverantör bör beskriva hur en fysisk IoT-enhet kan bytas men fortsatt kopplas till samma virtuella IoT-enhet. | Det är vanligt att en fysisk IoT-enhet av någon anledning behöver bytas ut. Den kanske blir förstörd eller skadad, slutar fungera så den skickar inga eller felaktiga värden, ett batteri som inte kan bytas laddar ur etc. Då behöver förvaltningen kunna ersätta den fysiska IoT-enheten men att tillämpningar utan ändring kan fortsätta interagera med den och data/tjänster ifrån den. Exempel:
| Utvärdera utifrån:
| Princip 7 “IoT-systemet klarar digital hantering av fysiska IoT-enheter och deras koppling till IoT-systemet.” Princip 8 “IoT-systemet klarar att hantera virtuella IoT-enheter och deras länkning till fysiska enheter” | Detta krav vände man på i upphandlingarna och ställde i stället krav på att detta ska kunna göras. |
KIOT-029 | Leverantör bör beskriva hur den virtuella IoT-enheten kan ändras för att ta in värden från annan fysisk IoT-enhet. | Exempel:
| Utvärdera utifrån:
| Princip 7 “IoT-systemet klarar digital hantering av fysiska IoT-enheter och deras koppling till IoT-systemet.” Princip 8 “IoT-systemet klarar att hantera virtuella IoT-enheter och deras länkning till fysiska enheter” | Detta krav vände man på i upphandlingarna och ställde i stället krav på att detta ska kunna göras. |
KIOT-030 | Leverantör bör beskriva hur fysiska IoT-enheter som hanteras i IoT-systemet representeras och beskrivs i något slags förteckning. | Utvärdera utifrån:
| Princip 7 “IoT-systemet klarar digital hantering av fysiska IoT-enheter och deras koppling till IoT-systemet.” | Detta krav tillhör grundfunktionalitet i ett IoT-system, som Jkp och VGR uppfattade det, och är därför viktigt och obligatoriskt. I upphandlingarna användes kravet i princip som det står fast lite mer utvecklat och uppdelat på flera krav. | |
KIOT-031 | Leverantör bör beskriva hur organisatoriskt ägarsskap och förvaltningsorganisation för fysiska IoT-enheter kan dokumenteras på ett strukturerat och tydligt sätt och tillgängliggöras för beställaren.
| Hur kan det utvärderas:
| Princip 7 “IoT-systemet klarar att hantera fysiska IoT-enheter och deras koppling till IoT-systemet” | Jkp och VGR upplevde behörigheter i ett IoT-system som synnerligen viktiga. I upphandlingarna ställde man därför betydligt starkare krav på behörighetsstruktur och behörigheter. Vi ställde inga krav på förvaltningsorganisation gentemot leverantören eftersom vi uppfatta detta som en fråga vi ansvarar för på beställarsidan. | |
KIOT-032 | Leverantör bör beskriva hur övervakning av fysiska IoT-enheter kan göras i IoT-systemet. | Beställaren behöver ta ställning till hur övervakning ska göras, i egna befintliga system /infrastruktur eller i leverantörens system. Exempel:
| Hur kan det utvärderas:
| Princip 7 “IoT-systemet klarar att hantera fysiska IoT-enheter och deras koppling till IoT-systemet” | Detta ansåg JKPJkp och VGR som viktigt. I upphandlingarna i Jkp och VGR ställdes en större mängd och mycket mer detaljerade krav. |
KIOT-033 | Leverantör bör beskriva vilka konnektivitetstekniker som kan användas för anslutning av IoT-enheter i IoT-systemet och under vilka förutsättningar. Definition konnektivitetsteknik:
| Exempel:
| Utvärdera utifrån:
| Princip 7 “IoT-systemet klarar digital hantering av fysiska IoT-enheter och deras koppling till IoT-systemet.” Princip 1 “IoT-Systemet möjliggör för byte av moduler oberoende av varandra” | Kommunikation och förbindelserna mellan sensorer och plattformar uppfattades av Jkp och VGR som centralt i ett IoT-system. I stället för att be leverantören beskriva vad de kan ställdes dock i upphandlingarna krav på de kommunikationstekniker man önskade stöd för. Sedan fick leverantörerna merpoäng för de konnektivitets-tekniker de kunde erbjuda. Man frågade också hur Leverantören kommer hantera nya tekniker och standarder. |
KIOT-034 | För respektive konnektivitetsteknik bör leverantör beskriva vilka fysikaliska begränsningar som gäller för antal, avstånd, täthet, bandbredd, räckvidd, latency etc för fysiska IoT-enheter.
| Utvärdera utifrån:
| Princip 6 “IoT-systemet klarar att möta en definierad risk- och konsekvensnivå” Princip 7 “IoT-systemet klarar digital hantering av fysiska IoT-enheter och deras koppling till IoT-systemet.” | Jkp och VGR användes i princip kravet som det står. | |
KIOT-035 | Leverantör bör beskriva livscykelhanteringen av IoT-systemet och dess komponenter. | Kravet handlar om att utvärdera leverantörens förmåga att långsiktigt vara en partner till beställaren. | Utvärdera utifrån:
| Princip 1 “IoT-Systemet möjliggör för byte av moduler oberoende av varandra” Detta krav kanske tillhör mer HUR i StratPAK | Livscykelhantering är viktig men uppfattades i Jkp och VGR som leverantörens ansvar och inte något som tillförde värde för beställaren. Beställaren förväntade sig att IoT-plattformen skulle fungera så länge avtalet var giltigt och planerade att upphandla nya plattformar när systemen inte längre fyllde sin funktion. Som Jkp och VGR såg det kan kravet variera beroende på om det gäller ett generellt IoT-system eller en specifik tillämpning. |
KIOT-036 | Leverantören bör beskriva hur virtuella IoT-enheter följer IoT-systemets informationsmodeller. | Utvärdera utifrån: (beställare bör anpassa nedan krav till IT-miljö)
| Princip 3 “IoT-systemets informationsmodeller bygger på standarder i horisontell övergripande nivå och specifika vertikala nivåer” Princip 8 “IoT-systemet klarar att hantera virtuella IoT-enheter och deras länkning till fysiska enheter” | Rent generellt upplevde upphandlingsgrupperna i Jkp och VGR att det inte fanns någon direkt poäng med att ställa krav på datamodell och informationsmodell för de plattformar som skulle upphandlas. Man förväntade sig i stället att leverantören har ändamålsenlig informations- och datamodell för den funktionalitet de offererar. För en utvecklare konstaterade man att detta dock kan viktigt men samtidigt kanske också ganska självklart. | |
KIOT-037 | Leverantör bör beskriva hur en virtuell IoT-enhet kan skapas och användas utan koppling till någon fysisk IoT-enhet (dvs simulerad virtuell IoT-enhet). | En virtuell IoT-enhet kan hämta data från andra håll än fysiska IoT-enheter än de som är kopplade till IoT-systemet. Tex kan en virtuell IoT-enhet hämta information ifrån:
| Utvärdera utifrån:
| Princip 8 “IoT-systemet klarar att hantera virtuella IoT-enheter och deras länkning till fysiska enheter” | Virtuella sensorer upplevde Jkp och VGS som viktiga i ett IoT-system. Man såg dock att det finns en rad olika användningsområden för virtuella sensorer, inte bara simulering. I upphandlingarna ställdes fler och mer detaljerade krav kring användningen av virtuella sensorer. |
KIOT-038 | Leverantör bör beskriva hur [administratör av] IoT-systemet kan skapa, konfigurera, granska och ta bort virtuella IoT-enheter. | Utvärdera utifrån:
| Princip 8 “IoT-systemet klarar att hantera virtuella IoT-enheter och deras länkning till fysiska enheter” | Jkp och VGR använde detta krav men vände på det och ställde i stället krav på att man skulle kunna göra detta. Man ställde också lite mer detaljerade krav. | |
KIOT-039 | Leverantör bör beskriva hur virtuell IoT-enhet kan användas för att få tillgång till både händelsedriven information och historiska data. | Utvärdera utifrån:
| Princip 8 “IoT-systemet klarar att hantera virtuella IoT-enheter och deras länkning till fysiska enheter” | Man ställde i stället krav på att detta skulle gå att göra. | |
KIOT-040 | Leverantören bör beskriva vad som ingår i förvaltning av IoT-systemet under avtalstiden. | Frågan är av vikt för att skapa transparens mellan leverantör och beställare. Det handlar om att förstå vad som ingår i leverantörens åtagande kring förvaltning och underhåll. | Utvärdera utifrån:
| HUR KRAV → StratPAK | Som Jkp och VGR uppfattade det är det viktigt att slå fast vad som ingår i förvaltningen. Dock konstaterade Jkp och VGR att det kanske inte är leverantören som ska beskriva vad de ”har lust” att leverera. I stället kan man vilja beskriva vad man som beställare behöver och förväntar sig. Så gjorde man därför i upphandlingarna. Rent praktiskt gjordes det genom förslag till avtal som täckte det man behövde. |
KIOT-041 | Leverantören bör beskriva hur styrning och orkestrering kan konfigureras, övervakas och modifieras. | Utvärdera utifrån:
| Princip 9 “IoT-systemet möjliggör styrning och orkestrering av händelsedrivna informationsflöden” | Se beskrivningarna för KIot-004. Detta är i stor utsträckning samma krav. | |
KIOT-042 | Leverantören bör beskriva vilka lösningsmönster för styrning och orkestrering som lösningen tillhandahåller. | Exempel på lösningsmönster kan vara ex. COAP, MQTT, LWM2M (Lightweight M2M), API:er, händelsestyrd köhantering. Beställaren bör överväga som minimum att: IoT-systemet SKA stödja minst följande dataprotokoll för applikations/presentationslagret: REST och MQTT. | Utvärdera utifrån:
| Princip 9 “IoT-systemet möjliggör styrning och orkestrering av händelsedrivna informationsflöden” | Se beskrivningarna under krav KIoT-023. |
KIOT-043 | Leverantören bör beskriva möjligheter för att visualisera data från fysiska och virtuella IoT-enheter i diagram, tabeller, kartor och liknande. | Förtydligande: Det är inte nödvändigt att detta kan göras i en central IoT-plattform, utan det kan lika väl göras i extern programvara, t ex olika typer av verksamhetssystem, GIS-programvara eller BI-verktyg. En offentlig verksamhets behov från centralt håll kan begränsa sig till att endast vara en central punkt för datalagring och för att slussa inkommande data. | Utvärdera utifrån:
| Princip 7 “IoT-systemet klarar digital hantering av fysiska IoT-enheter och deras koppling till IoT-systemet.” Princip 8 “IoT-systemet klarar att hantera virtuella IoT-enheter och deras länkning till fysiska enheter” Princip 9 “IoT-systemet möjliggör styrning och orkestrering av händelsedrivna informationsflöden” | Jkp och VGR ansåg att visualiseringen av data från IoT-enheter är centrala i ett IoT-system. Detta såg man dock att kunde göras på väldigt många olika sätt. I Jkp- och VGR-upphandlingarna ställde man därför väldigt många fler och betydligt mer detaljerade krav. |
KIOT-044 | Leverantören bör beskriva hur IoT-systemet kan säkerställa att skickade sensorsdata kommer komplett och oförvanskad till mottagaren. | För kritiska applikationer eller applikationer där det t.ex. är viktigt med kontinuerliga tidsserier eller de ackumulerade insamlade värdena är av stor betydelse vill man inte tappa inkommande data, tex i händelse av driftsstörningar eller om uppkopplingen bryts. Det är därför viktigt att det finns funktioner för att säkerställa att data lagras och kan kommas åt och bearbetas i efterhand då IoT-systemet fungerar normalt igen. Då antalet sensorer vuxit kan det uppstå situationer där belastningen på IoT-systemet vid vissa tillfällen överstiger systemets förmåga att ta emot och bearbeta inkommande data. Då är det viktigt att IoT-systemet kan tex köa upp inkommande data och bearbeta denna i lämplig ordning. Helst vill man då även ha möjlighet att sätta prioritet så att data för de mest kritiska tillämpningarna blir prioriterade. | Utvärdera ifrån:
| Princip 10 “IoT-systemets information, tjänster och data är tillgängliga för applikationer och användare” Princip 6 “IoT-systemet klarar att möta en definierad risk- och konsekvensnivå” Princip 7 “IoT-systemet klarar digital hantering av fysiska IoT-enheter och deras koppling till IoT-systemet” Princip 9 “IoT-systemet möjliggör styrning och orkestrering av händelsedrivna informationsflöden” | Säkerhet och tillförlitlighet är viktiga krav enligt Jkp och VGR. I Jönköpings och Västra Götalands upphandlingar ställdes många detaljerade frågor om säkerhet. Detta krav har lagts till på senare tid i RefARK men hade varit nyttigt i VGR-upphandlingen, där man sannolikt då kunde ha krävt att sensorsdata ska komma fram komplett och oförvanskad. |
KIOT-45 | Leverantör bör beskriva hur IoT-systemet och dess IoT-enheter kan konfigureras/styras för att enbart skicka nödvändiga data när det behövs | Utvärdera utifrån:
| Princip 6 “IoT-systemet klarar att möta en definierad risk- och konsekvensnivå” Princip 7 “IoT-systemet klarar digital hantering av fysiska IoT-enheter och deras koppling till IoT-systemet” Princip 9 “IoT-systemet möjliggör styrning och orkestrering av händelsedrivna informationsflöden” | Jkp och VGR såg det som värdefullt att kunna minimera datatrafiken och till exempel slippa redundant data. Detta, såg man, kan ske på en rad olika sätt. Detta krav har tillkommit relativt sent i RefARK. Från VGR sida konstaterar man att man snnolikt hade haft nytta av att ha med detta krav i VGR-upphandlingen. | |
KIOT-046 | Leverantör bör beskriva kostnadspåverkan för olika skalningsscenarier. | Beställaren bör beskriva några scenarier för nutida/framtida kapacitetsbehov i IoT-systemet, dessa bör leverantören estimera och som sedan kan ingå i utvärderingen. | Utvärdera utifrån:
| Princip 1 “IoT-Systemet möjliggör för byte av moduler oberoende av varandra” Princip 4 “Bearbetning och berikning av information” Princip 5 “IoT-Systemet stöder att data lagras på olika sätt utifrån informationens karaktär och användningsbehov” Princip 7 “IoT-systemet klarar digital hantering av fysiska IoT-enheter och deras koppling till IoT-systemet.” Princip 9 “IoT-systemet möjliggör styrning och orkestrering av händelsedrivna informationsflöden” Princip 10 “IoT-systemets information, tjänster och data är tillgängliga för applikationer och användare” | För att säkerställa skalbarhet för IoT över tid, såg Jkp och VGR det som viktigt att definiera specifika skalningsscenarier som leverantörer kan prissätta. I Jönköpings upphandling krävdes ursprungligen kostnadsfri skalning, men efter leverantörernas feedback, under en av upphandlingens remissvändor till leverantörerna, ändrades detta till prissättning av olika volymsteg. Efter en marknadsdialog som VGR-projektet genomförde i januari 2024 i samverkan med RISE Smart City Lab och IoT Sverige, diskuterades en ny prissättningsmodell för VGR. Denna skiljde sig något från Jönköpingsmodellen. |
Hur läses kravkatalogen för IoT
I denna sida dokumenteras relevanta krav att ställa på IoT. Arkitekturgemenskapens riktlinjer för krav finns här /wiki/spaces/AIA/pages/78381267.
Kravkatalogen är framtagen för att vara en riktlinje och stöd för hur ett IoT-system kan införskaffas, vilka aspekter en beställare behöver ta ställning till och hantera. Fokus ligger på att till en potentiell leverantör ställa frågor, som sedan kan utvärderas. Normalt bidrar ett krav till en eller flera principer. Följaktligen kan en potentiell leverantörs lösningsförslag utvärderas utifrån hur de bidrar till de olika principerna.
OBS: Kravkatalogens krav kan INTE ställas direkt i en upphandling. Innan en upphandling behöver dessa formuleras om och anpassas för den aktuella upphandlingens behov och syften. Detta inkluderar tex att formulera vilka SKA krav beställaren behöver ställa i sin upphandling. Generella IT krav eller sådant som skiljer avsevärt mellan beställares organisationer, finns inte beskrivna i Kravkatalogen IoT och behöver kompletteras av beställaren, se mer i avsnittet “Områden som Kravkatalogen inte täcker utan anses som allmän IT kunskap”.
Ett krav kan betraktas som en aspekt som behöver bedömas i ett specifikt IoT-system. Det finns därför en frågeställning (kravformulering) som är till för att få kunskap om hur lösningen är konstruerad.
Till flertalet av kraven finns ett förtydligande av kravet. Tex varför det ställs, varför det är viktigt, eller annan beskrivning som en beställare kan behöva ta ställning till.
Vidare finns ett “Förslag till utvärdering”, där arbetsgruppen har listat vilka områden den ser att är viktiga att utvärdera kring respektive krav. En beställare kan ha andra utvärderingsaspekter som den behöver lägga till. En beställare kan använda flera av de utvärderingspunkter som finns för att formulera SKA krav.
Vilka principer ett krav bidrar till.
Områden som Kravkatalogen inte täcker utan som anses allmänn IT kunskap
Förvaltning, support, övervakning och drift av IT system
Ledningssystem för informationssäkerhet
Generella IT krav som kan skilja sig avsevärt mellan beställarorganisationer
Dokumentation
Det finns några beskrivningskrav för att förtydliga vissa IoT specifika områden.
Källkodshantering
Livscykelhantering
Kravhantering
Testning
Det finns dock ett beskrivningskrav under IoT-1 kring detta.
Loggning / Observabilitet
Läsanvisningar Kravkatalog IoT
Läsanvisning för Kravkatalog utgår ifrån vilka delar av denna sida är särskilt viktiga utifrån de olika användningsområden som definieras i https://inera.atlassian.net/wiki/pages/resumedraft.action?draftId=4084138119&draftShareId=0c1917bf-96c2-4263-b4cf-bd70635947f4
Anskaffa IoT-plattform
Börja med att läsa om hur kravkatalogen är utformad i https://inera.atlassian.net/wiki/spaces/AIA/pages/edit-v2/261064454#Hur-l%C3%A4ses-kravkatalogen-f%C3%B6r-IoT, det ger en inblick i RefARK IoT:s kravkatalog och hur den kan användas.
Arbetsgruppens bedömning är att i stort sätt alla krav är relevanta vid anskaffning av IoT-plattform. En läsanvisning utgår därför ifrån att läsaren, vid sin genomgång av 02 Principkatalog IoT noterar vilka principer som är viktigast att uppnå och titta på de krav som bidrar till uppfyllelse av de viktigaste principerna.
Vid läsning av kraven bör läsaren betänka att kravlistan inte täcker in alla tänkbara krav på IoT-plattform, utan att flertal krav kan behöva hämtas från andra källor, se mer om detta i https://inera.atlassian.net/wiki/spaces/AIA/pages/edit-v2/261064454#Omr%C3%A5den-som-Kravkatalogen-inte-t%C3%A4cker-utan-som-anses-allm%C3%A4nn-IT-kunskap.
Gå från Pilot till Produktion
Vid övergång från Pilot till Produktion har Arbetsgruppen sett att vid läsning av kravkatalogen kan utgå från minst två olika scenarios:
Scenario 1: Bibehållit scope och komplexitet, dvs samma typ av IoT-enheter (kanske lite fler) och samma Tillämpningar
Arbetsgruppen bedömer att för detta scenario är de krav som bidrar till nedan principer de viktigaste, även om det är avhängigt av de krav som organisationen bestäler:
IoT-1 Modularitet som hanterar behoven av att i produktionsmiljö kunna byta ut delar av ett IoT-system.
Behovet av att säkerställa interoperabilitet via IoT-2 Kontextmedvetenhet och IoT-3 Informationsmodeller.
En produktionsmiljö har oftast andra krav kring informationssäkerhet, vilket hanteras i IoT-6 Informationssäkerhet.
Scenario 2: Möjlighet att utöka scope och komplexitet, dvs möjlighet för nya typer av IoT-enheter och att förse nya Tillämpningar med data och tjänster.
Arbetsgruppen bedömer att då tillkommer utöver de principer som anges i Scenario 1, även de krav som bidrar till följande principer:
Hur ett IoT-system kan dela data till tillämpningar i beskrivs i kraven som bidrar till IoT-10 Dela data.
Om stort antal IoT-enheter ska kopplas till IoT-systemet är kraven som bidrar till IoT-7 Fysiska IoT-enheter.
Om även flera olika typer av IoT-enheter ska anslutas blir även kraven som bidrar IoT-4 Bearbetning och berikning viktiga att ta hänsyn till.
Sätta upp en förvaltning för IoT
Följande vill Arbetsgruppen särskilt lyfta vid uppsättning av förvaltning för IoT.
KIOT-010 kring test och acceptansmiljö
KIOT-020 kring ägande och nyttjanderätt till data
KIOT-022 kring service, support och dokumentation
KIOT-035 om livscykelhantering
KIOT-040 om förvaltning av IoT-system
Alla krav som bidrar till principen IoT-7 Fysiska IoT-enheter.
Ovan krav beskriver en del av vad som behöver hanteras i en förvaltning av IoT-system.
Anskaffa en IoT-vertikal
Kraven som bidrar till följande principer vill Arbetsgruppen särskilt lyfta vid anskaffning av IoT-vertikal:
kraven som bidrar till IoT-10 Dela data,
kraven kring hur data kan anpassas till en tillämpning och/eller exporteras, tex i KIOT-025, KIOT-019, KIOT-018, KIOT-017, KIOT-020
kraven som bidrar till IoT-3 Informationsmodeller
krav som bidrar till principen IoT-7 Fysiska IoT-enheter.
krav som bidrar till IoT-6 Informationssäkerhet.
Ta fram arkitekturförslag
Kravkatalog IoT Ingår inte i läsanving för “Ta fram arkitekturförslag”
Ta fram en IoT-strategi
Kravkatalog IoT Ingår inte i läsanving för “Ta fram IoT-strategi”
Förse en tillämpning med IoT data
Följande principer vill Arbetsgruppen särskilt lyfta:
kraven som bidrar till IoT-10 Dela data
kraven som bidrar till interoperabilitet i IoT-2 Kontextmedvetenhet och IoT-3 Informationsmodeller.
kraven som bidrar till anpassningar till tillämpningar i IoT-4 Bearbetning och berikning.