Die rund um den Globus verteilten Kunden schätzen es sehr, wenn sie sich im Störungsfall auf eine schnelle und zielgerichtete Hilfe des Anlagenherstellers verlassen können. Wirklich zeitnah geht das nur per Fernwartung mit direktem Zugriff auf die Anlage. Qualifizierte Fachkräfte in der Servicezentrale des Maschinenbauers lokalisieren mögliche Ursachen von Störungen schnell und leiten das Anlagenpersonal bei der Instandsetzung und beim Wiederanlauf an. Mit der Komplexität der Anlagen steigen auch die Anforderungen an die Fernwartungssysteme. Die bislang eingesetzte Modemtechnik ist in der Regel auf eine Punkt-zu-Punkt-Verbindung zu einer einzelnen Steuerung oder einem Antrieb beschränkt. Zudem ist insbesondere bei schlechter Verbindungsqualität die Übertragungsrate relativ niedrig. Soll die Fernwartung für mehrere Komponenten einer Anlage eingerichtet werden, so braucht jedes Gerät ein eigenes Modem. Da zu jedem Gerät eine direkte Verbindung aufgebaut werden muss, ist ein zeitgleicher Zugriff auf mehrere Geräte nicht möglich. Anlagenweiter Zugriff Serielle Schnittstellen sind bei den Komponenten der Automatisierungstechnik immer noch weit verbreitet. Deshalb ist die Unterstützung der RS-232- und RS-485-Schnittstellen auch heute noch wichtig, um möglichst viele Geräte in moderne Fernwartungskonzepte integrieren zu können. Ebenfalls zu erwähnen ist der Profibus, auf dem viele Maschinenkonzepte basieren. Bei den S7-Steuerungen von Siemens ist der Profibus oder der davon abgeleitete MPI-Bus die Standard-Schnittstelle für Programmierung und Visualisierung. Die Vernetzung von Maschinenkomponenten über Ethernet hat ebenfalls eine hohe Verbreitung erreicht und Industrial Ethernet wird sich wohl für die anlagenweite Vernetzung im industriellen Bereich durchsetzen. In die neuen Industrie-Router mbNet sind die erforderlichen Schnittstellen und Busanschaltungen integriert. Die zwei seriellen Schnittstellen der Geräte sind per Software-Umschaltung und ohne Umbaumaßnahmen auf RS-232 oder RS-485 einstellbar. Für serielle Geräte wie Steuerungen und Bedienterminals sind über 60 verschiedene Treiber auswählbar. Die MPI-/Profibus-Varianten haben statt der zweiten seriellen Schnittstelle einen vollwertigen PC-Adapter integriert. Darüber können S7-300- und S7-400-Steuerungen von Siemens direkt angeschlossen werden. Von der MPI-/Profibus-Schnittstelle werden Übertragungsraten bis 12MBit/s unterstützt. Die Industrie-Router dienen als zentrale \’Ansprechpartner\‘ für den anlagenweiten Fernzugriff vom einfachen Antrieb über S7-Steuerungen bis hin zu Bedienpanels und Visualisierungs-PCs. Damit sind durchgängige Fernwartungslösungen unabhängig von komponentenspezifischen Insellösungen realisierbar. Flexible Anbindung Die Integration aller wesentlichen Anlagenteile in eine Fernwartungslösung führt direkt zu einem höheren Datenaufkommen. Auch bei den aktuellen Steuerungen kommen schnell mehrere Megabyte Programmdaten zusammen. Zur Anbindung nach außen ist eine breitbandige Internet-Verbindung die erste Wahl. Eine Standard-ADSL-Anbindung bietet eine Übertragungsrate von bis zu 16MBit/s vom Provider zur Anlage (Downstream) und bis zu 1MBit/s in der Gegenrichtung (Upstream). Das ist ein Vielfaches der bei Modemverbindungen üblichen 33KBit/s. Jedoch sind xDSL-Anschlüsse noch nicht so weit verbreitet wie das analoge Telefonnetz. Die Industrie-Router sind aus diesem Grund mit einem zusätzlichen Modem-Modul (Analog, ISDN oder GSM) ausgestattet. Damit können auch Anlagen in abgelegenen Gebieten oder mobile Maschinen in Fernwartungskonzepte integriert werden. Die Übertragungsrate über die Modems ist zwar teilweise wesentlich niedriger als bei xDSL, der Vorteil der Lösung liegt hier in der Flexibilität – findet der Maschinenbauer doch bei jedem Kunden wieder eine andere Infrastruktur vor. Mit dem integrierten Modem kann auch eine Failover-Funktionalität für die externe Anbindung realisiert werden. Falls die Primär-Anbindung Ethernet nicht verfügbar ist, wird automatisch auf die Sekundäranbindung Modem umgeschaltet. Durch diese Redundanz erreicht man eine hohe Ausfallsicherheit für die Anbindung nach außen. Zugriff und Verschlüsselung Bei solchen anlagenweiten Zugriffsmöglichkeiten auf Prozessdaten ist es wesentlich, das System mit administrativen und technischen Vorkehrungen gegen unberechtigte Zugriffe und Nutzung abzusichern. Als Barriere zwischen öffentlichem Netz und privatem Netz kommt eine Firewall zum Einsatz, die nur den identifizierten und authentifizierten Benutzern die Datenübertragung erlaubt. Die in mbNet integrierte Firewall bietet dazu Funktionen wie IP-Filter, NAT (Network Address Translation) und Port-Forwarding. Die Fernwartung selbst erfolgt über einen VPN-Tunnel. Unter VPN (Virtual Private Network) versteht man ein in sich geschlossenes virtuelles Teilnetz. Die transportierten Datenpakete sind vom Rest des Netzwerks abgekapselt. Die hier vorgestellten Geräte verwenden die VPN-Technologie auf Basis des laut Fachleuten führenden Sicherheitsprotokolls IPSec. OpenVPN wird als zu unsicher eingeschätzt und ist nicht implementiert. Als Verschlüsselungsverfahren kommen AES und DES/3DES zum Einsatz. Als Authentisierungsmethode werden Pre-Shared-Key (PSK) oder X.509-Zertifikate genutzt. Die Verschlüsselung erfolgt hardwarebasiert. Das ermöglicht einen deutlich höheren Datendurchsatz als reine Softwarelösungen. Aus technischer Sicht wäre eine Fernwartung auch ohne diese Sicherheitsmechanismen möglich. Davon ist aber dringend abzuraten, da das Risiko einer Anlagenstörung durch Viren, Trojaner, fehlerhafte Updates und Sabotage zu hoch ist. Um jede Gefahr auszuschließen, sollte schon von Beginn der Inbetriebnahme an auf der maximalen Sicherheitsstufe gearbeitet werden. Allgemein wird die Firewall an der Anlage häufig so parametriert, dass sie eingehenden Datenverkehr generell blockiert und nur ausgehenden zulässt. Damit kann von außen nicht mehr unkontrolliert auf die Anlage zugegriffen werden. Bei Servicebedarf muss der Anlagenbetreiber aktiv werden und den Aufbau einer sicheren VPN-Verbindung zur Servicezentrale veranlassen. Bei den mbNET-Systemen kann das über einen Taster an der Front des Gerätes oder über ein Steuer-Signal an einem der digitalen Eingänge geschehen. Aus Sicht der Firewall handelt es sich dabei um ausgehenden Datenverkehr. Die Geräte ermöglichen weitere Verbindungsmöglichkeiten über die Direkteinwahl mit einem DFÜ-Client (Point-to-Point Protocol) oder per Rückruf zu einem Internet-Provider. Im Falle einer dynamischen IP-Adresse kann diese per E-Mail oder über einen DynDNS-Dienst bekanntgegeben werden. Die Dienste DHCP-Server, DHCP-Client, DNS-Server und NTP-Client werden ebenfalls unterstützt. Industrietauglich Die Industrie-Router haben ein kompaktes Aluminium-Gehäuse, welches direkt auf eine DIN-Hutschiene montiert werden kann. Mit Schutzart IP20 und einer Spannungsversorgung von DC 10V bis 30V sind die Geräte für den weltweiten Einsatz in industrieller Umgebung vorbereitet. Zur Konfiguration und Wartung benötigt man nur einen netzwerkfähigen PC mit Standard-Webbrowser. Der Zugriff kann über den lokalen Anschluss oder weltweit über eine gesicherte VPN-Verbindung erfolgen. Eine spezielle Konfigurationssoftware ist nicht erforderlich. Über den USB-Anschluss der Geräte kann die Konfiguration auf einem USB-Stick gesichert werden. Vier digitale Eingänge und zwei digitale Ausgänge bieten zusätzliche Kontroll- und Steuerungsmöglichkeiten. Über die Eingänge können die Einwahl ins Internet oder der Versand von Alarmmeldungen per E-Mail veranlasst werden. Über die Ausgänge können Meldelampen geschaltet werden, welche Störungen oder eine aktive Fernwartungsverbindung signalisieren. Zusammenfassend kann festgestellt werden, dass über Internet sichere und schnelle Fernwartungslösungen möglich sind. Wichtig ist dabei, dass der Anwender mit allen in den Systemen vorhandenen Sicherheitsfunktionen wie Firewalls, VPN mit IPSec und verschlüsselter Übertragung der Daten vertraut ist und diese auch konsequent nutzt. Auch die Jury der Initiative Mittelstand hat das Potenzial des mbNet-Systems erkannt. Die Lösung erhielt die begehrte Auszeichung \’Innovationspreis 2008\‘ in der Kategorie Telekommunikation.
Thematik: Allgemein
Gerhard Bäurle Ingenieurbüro
