Die gesamte Ausstattung dient dazu, alle relevanten Produktionsprozesse zentral zu überwachen und bei Bedarf korrigierend einzugreifen. Für die Darstellung der Prozesszustände sind in dieser Ebene dynamische Prozessbilder erforderlich, die beispielsweise mit einem Farbumschlag das Über- oder Unterschreiten voreingestellter Werte darstellen. Weiterhin ist in der Prozess- und Fertigungsleitebene ein Eingriff in den gesamten Prozess möglich. Darunter fällt zum Beispiel das Starten und Stoppen von Aggregaten, dass Schließen und Öffnen von Ventilen, die direkte Beeinflussung sämtlicher Stellglieder, die Korrektur bzw. das Anpassen der Sollwerte sowie die Quittierung der Alarme. Über die Rechnerausstattung der Leitebene erfolgt in der Regel auch das Engineering. Dazu gehört auch der Austausch einer SPS-Software. Das dezentrale Bedienen und Beobachten in der Automatisierungsebene erfolgt in der Regel über recht einfache Benutzeroberflächen. Teilweise dienen hier einzeilige Textanzeigen zur Informationsausgabe und wenige Funktionstasten für die Benutzereingaben. Komfortablere Lösungen bieten kleinere Farb-LCDs mit berührungssensitiven Oberflächen (Touch Screen) zur Interaktion zwischen Prozess und Benutzer. Grundsätzlich sind die einfachen B&B-Funktionseinheiten relativ nahe am Ort des Geschehens. Sie ermöglichen allerdings auch nur den Eingriff in Teilfunktionen eines bestimmten Prozesses. Die Benutzeraktivitäten umfassen auch in dieser Ebene das Starten und Stoppen von Aggregaten, die Anzeige und Quittierung von Alarmmeldungen und das Ändern von Sollwerten – allerdings nur für bestimmte Subprozesse und Teilaufgaben. Die zentralen B&B-Zugriffe aus der Leitebene und die dezentralen Aktivitäten innerhalb der Automatisierungsebene weisen zwei wichtige Gemeinsamkeiten auf: 1. Der jeweilige Benutzer muss sich vor Ort befinden. 2. Das Bedienen und Beobachten erfordert je nach Komplexität des Prozesses ein umfangreiches und detailliertes Fachwissen. Dieses Know-how ist beim 3-Schicht-Betrieb der Betriebsmittel in einer Automatisierungslandschaft nicht immer präsent. Durch die aktuellen Entwicklungen im Bereich der Business-Handys können B&B-Zugriffe für bestimmte Teilaufgaben, zum Beispiel das Verstellen bestimmter Sollwerte, auch aus der Ferne erfolgen. Die dafür erforderlichen Voraussetzungen können nachträglich in jede Automatisierungslandschaft eingefügt werden.
Voraussetzungen in der Automatisierungslandschaft
In die Automatisierungslandschaft muss für den Handy-Zugriff aus der Ferne ein Access Server eingefügt werden. Bild 2 zeigt das Grundkonzept. Auf der einen Seite ist dieser Server mit der Schnittstellenvielfalt in der Steuerungs- und Feldebene verbunden. Die andere Seite ist über ein Modem mit dem Internet gekoppelt. Diese Verbindung ist allerdings nicht permanent, sondern nur bei Bedarf (On-demand) vorhanden. Somit ist für den Access Server auch keine dauerhafte IP-Adresse im Internet erforderlich. Es reicht eine temporäre IP-Adresse für die Dauer einer Verbindung aus. Es gibt in der Regel drei Ursachen für den Aufbau einer Internet-Verbindung durch den Access Server: 1. Benutzeraktivität in der Prozess- und Fertigungsleitebene oder Automatisierungsebene: Ein Benutzer in der Leitwarte oder innerhalb der Automatisierungslandschaft erkennt ein Problem, dass er auf Grund seiner Kenntnisse nicht selbst beheben kann. Über eine entsprechende \’Ruftaste\‘ löst er manuell den Verbindungsaufbau des Access Servers in das Internet und den automatischen Versand einer E-Mail (Notification E-Mail) mit Zustands- und Zugriffsinformationen an das Handy eines Mitarbeiters aus, der aufgrund seiner Sachkenntnis und Befugnisse per Fernzugriff eine Problemlösung bewirken kann. 2. Beliebiges Ereignis innerhalb der Prozesse: Der Access Server baut auf Grund eines bestimmten Ereignisses – zum Beispiel ein spezieller Alarm, der innerhalb einer bestimmten Zeitspanne anfällt, beispielsweise am Wochenende – eine Verbindung in das Internet auf. Die dabei erhaltene temporäre IP-Adresse wird per E-Mail (Notification E-Mail) an das Handy des zuständigen Anlagenbetreuers geschickt. Dieser kann dann sofort über den Browser des Handys auf den Access Server zugreifen. 3. SMS oder Wake-up Call durch den mobilen Betreuer an den Access Server: Falls erforderlich, kann auch der Handy-Benutzer den Verbindungsaufbau des Access Servers auslösen. Dafür gibt es zwei Möglichkeiten: 1. Es wird eine SMS mit einem bestimmten Inhalt an den Access Server geschickt (diese Variante erfordert allerdings ein GSM-Modem im Access Server). 2. Es wird eine bestimmte Telefonnummer angerufen. Der Anruf löst den Verbindungsaufbau ins Internet aus. Die durch den Verbindungsaufbau ins Internet erhaltene temporäre IP-Adresse wird in beiden Fällen wieder per Notification E-Mail verschickt. Der eigentliche Fernzugriff für die jeweiligen B&B-Aktivitäten erfolgt über den Webbrowser des Handys. Daher ist im Access Server in jedem Fall ein hochleistungsfähiger und flexibler Webserver erforderlich. Dieser muss zum einen mit Hilfe geeigneter Proxy- (Stellvertreter-) Funktionen dafür sorgen, dass auf beliebige Automatisierungskomponenten per Webbrowser zugegriffen werden kann. Dabei ist zu beachten, dass zahlreiche Komponenten über typische Automatisierungsschnittstellen zum Beispiel RS232, RS422, RS485 oder Feldbusse mit dem Access Server gekoppelt sind. Zum anderen muss der Webserver dafür sorgen, dass die Webseiten für den Handy-Fernzugriff aus der Ferne im geeigneten Format vorliegen. Moderne Handys (Smartphones) besitzen inzwischen zwar sehr leistungsfähige Browser, die Darstellungsmöglichkeiten sind aber im Vergleich zum PC-basierten Browser auf Grund der kleinen Displays deutlich eingeschränkt. Es ist in jedem Fall erforderlich, die Webseiten für den Fernzugriff entsprechend aufzubereiten. Falls sich komplexere Vorgänge nicht sinnvoll im Browser eines Handys darstellen lassen, kann der Handy-Besitzer jederzeit zum nächsten PC eilen, und per PC-basiertem Browserzugriff auf den Access Server auch umfangreichere Eingriffe durchführen. Die dafür erforderlichen Voraussetzungen sind durch den Access Server in Bild 2 erfüllt.
Anforderungen an Handy und Provider
Ein für das Bedienen und Beobachten geeignetes Handy sollte neben dem Webbrowser und einem möglichst großen Display über eine E-Mail-Push-Funktion verfügen. Diese dient einerseits zur Absicherung und andererseits zur Benachrichtigung des Handy-Nutzers. In der Praxis ist davon auszugehen, dass B&B-Aktivitäten per Handy nur zur Lösung bestimmter Probleme erfolgen. Ein E-Mail-Push steht daher am Anfang jeder B&B-Sitzung. Handys sind normalerweise nicht per E-Mail erreichbar. Die Ursache hierfür ist, dass der konventionelle E-Mail-Dienst per POP3 (Post Office Protocol 3 eine TCP/IP-Applikation zum Abholen von E-Mails) ein Pull-Service ist. Der jeweilige Client muss laufend im Postfach eines E-Mail-Servers nachschauen, ob eine neue Mail eingetroffen ist. In einem Handy-Netz würden dadurch extrem hohe Betriebskosten für den Handy-Benutzer entstehen, weil die Betreiber (Provider) dieser Netzwerke in der Regel das Datenvolumen abrechnen (jede Postfachabfrage verursacht Datenvolumen). Darüber hinaus würde sich die Akku-Laufzeit des Handys deutlich reduzieren, weil permanent Daten zwischen Handy und E-Mail-Server ausgetauscht werden. Aus diesen Gründen wurde ein E-Mail-Push-Service für Handys entwickelt. Es besteht zum einen aus der entsprechenden Funktion im Handy und zum anderen aus dem gleichnamigen Service eines entsprechenden Providers. Ein Pionier auf diesem Gebiet ist die Firma RIM mit dem BlackBerry und dem BlackBerry Enterprise Server. Inzwischen bietet auch Microsoft unter dem Namen \’Direct Push Technology\‘ in Windows Mobile 6 vergleichbare Funktionen. Apple plant den Einsatz von P-IMAP (Push-IMAP ein Internet-Standard für den E-Mail-Push) beim iPhone. Die Abbildung 3 zeigt die Zusammenhänge für den E-Mail-Push-Service am Beispiel der RIM-Lösung. Zwischen dem Handy als Wireless Mail User Agent und dem E-Mail-Server ist der BlackBery Enterprise Server angeordnet. Dieser fragt per Pull für alle angemeldeten Clients permanent die entsprechenden E-Mail-Server ab. Liegt eine E-Mail vor, wird eine Benachrichtigung (Notification) an das Handy geschickt. Erst dann wird das Handy aktiv und holt die E-Mail ab.
Sicherheitsüberlegungen
Die Verbindung einer Automatisierungslandschaft mit dem Internet muss mit größter Sorgfalt geplant werden, um jeden unautorisierten Zugriff von vornherein völlig auszuschließen. Der Einsatz eines speziellen Access Servers bietet zunächst einmal den Grundschutz einer temporären Verbindung zum Internet. Wie zuvor beschrieben, wird diese Verbindung nur für eine relativ kurze Zeitspanne bei Bedarf aufgebaut. Dabei erhält der Access Server jeweils eine temporäre IP-Adresse. Ein geplanter und gezielter Angriff auf den Server ist damit praktisch unmöglich, da ein Angreifer weder den Verbindungszeitpunkt noch die IP-Adresse vorhersehen kann. Auf jeden Fall ist es ratsam, für den Fernzugriff nur Handys (Smartphones) mit HTTPS-fähigem Browser einzusetzen. Das schränkt gegenwärtig die Auswahl der zur Verfügung stehenden Geräte zwar etwas ein, bietet aber deutlich mehr Sicherheit als das ungeschützte HTTP-Protokoll. HTTPS wird auch für Bankgeschäfte im Internet (e-Banking) und von verschiedenen Behörden für sicherheitskritische Vorgänge genutzt. HTTPS im Zusammenhang mit einer temporären IP-Adresse für den Server bietet somit einen höheren Zugriffsschutz, als gegenwärtig bei Bankgeschäften im Internet üblich. Darüber hinaus kann die Notification E-Mail genutzt werden, um neben der temporären IP-Adresse einen dynamischen Session Key (Zugriffsschlüssel) an das Handy des zuständigen Anlagenbetreuers zu übermitteln. Mit diesem Schlüssel muss sich der Benutzer beim Webserver des Access Servers jeweils anmelden, bevor ein Web-basierter Zugriff gestattet wird. Der jeweilige Session Key wird für jeden Fernzugriff neu berechnet.
