Die Datenkommunikation als Breitenanwendung in der Industrie erfordert allein schon aus Kostengründen den zunehmenden Einsatz der IP-Technologie. Der Bedarf an Datendurchsatz kann aufgrund der geforderten Datenmenge und Übertragungsgeschwindigkeit oft mit der klassischen Technik (Analogmodem, ISDN) nicht mehr gedeckt werden. Die Erhaltung der Wettbewerbsfähigkeit des Maschinen- und Anlagenbaus im globalen Markt ist langfristig nur mittels Fernwartung auf Basis moderner IP-Kommunikation möglich. Dabei ist es wichtig, die Standards von kommerziellen bzw. Office-Anwendungen und den Industrieanwendungen anzugleichen. Bei der industriellen Anwendung stehen Prozesse und Handling der Infrastruktur sowie die Konstruktion im Maschinenbau im Vordergrund. Da die Kommunikation nur ein Medium und Werkzeug für den Zugriff auf den Anwender-Prozess ist, muss sich die IP-Routertechnik deshalb dem Know-how und Möglichkeiten der Anwender anpassen und damit einfach nutzbar werden. Die industrielle Nutzung des IP-Protokolls basiert auf verbreiteten Standards und nutzt eine fast überall verfügbare Infrastruktur zur Datenkommunikation. Für die Anwendung in der Industrie ist jedoch zur Sicherung der Datenübertragung die Nutzung von VPN-Tunneln mit Datenverschlüsselung zwingend erforderlich. Verfahren wie NAT und PAT dienen zwar als Mittel zur Einsparung öffentlicher IP-Adressen, führen jedoch aufgrund des Port Forwarding zu einer höheren Komplexität, bei der konkurrierende Philosophien bei VPN (IPsec, OpenVPN, PPTP) die Komplexität weiter steigern. Andererseits bietet die Internet-basierte Daten-Fernübertragung bietet viele neue Möglichkeiten sowohl für den klassischen Maschinen- und Anlagenbau, der wesentlich schneller und kostengünstiger Maschinensteuerungen aus der Ferne warten kann, als auch für alle Infrastruktur Anwendungen bei der Wasser- und Energieversorgung, der Verkehrleittechnik und auch der Gebäudeautomatisierung. Nutznießer der Internet-Datenübertragung Mit Hilfe von Fernwartung sind die Maschinebau-Techniker in der Lage, auf entfernte Maschinen und Anlagen direkt von der Zentrale aus zuzugreifen. Dies geschieht beispielsweise durch die Übertragung von Statusmeldungen, auf die umgehend reagiert werden kann, sowie einen 24/7 Service durch eine, von der Zentrale aus gesteuerten Fernzugriff auf die Programmieroberfläche der Steuerung. Da bei der Maschinen-Fernwartung der Schwerpunkt nicht bei einer konstanten Verbindung liegt, sondern eine wahlfreie und einfache Anwahl der weltweit verteilten Maschinen im Vordergrund steht, bieten sich für diese Systeme entsprechend optimierte Portal-Lösungen, wie z.B. das Craser-System von ISK-Automation an. Internet-basierte Fernwirktechnik setzen vermehrt auch Energieversorger, Verkehrsleitstellen und Verbandsgemeinden in Deutschland ein, um diverse Außengewerke für ihre Wasserversorgung und Abwasserentsorgung an die jeweiligen Leitstellen anzubinden. Das spart viele lange Wege, setzt somit Ressourcen frei und ermöglicht auch mit dünner Personaldecke eine sichere und effiziente Betriebsführung. Die modernen Ethernet-Leitstellensysteme in Kombination mit einer transparenten Anbindung der Außenstationen via ADSL oder UMTS unterstützten und vereinfachen zudem die gesetzlich geforderten Nachweise. Fokussierung auf die Anwendung Um die klaren Vorteile der Internet-Datenkommunikation aber auch wirklich in der Praxis anwenden zu können, genügt es nicht, einen Office-Router zu ordern und diesen im Schaltschrank zu integrieren. Da bei VPN-Routern normalerweise die Inbetriebnahme durch IT-Fachleute vorgesehen ist und die Systeme nach der Einrichtung durch Fachleute gewartet werden, ist ein SPS-Programmierer oder ein Anlagentechniker mit der korrekten und sicheren Einrichtung eines Routers meist überfordert. Daher wurde für die industrielle Anwendung ein komplettes Baukasten-System entwickelt, das aus vorkonfigurierten Routern besteht und bei dem sich die Inbetriebnahme auf wenige Einstellungen beschränkt. Natürlich geht bei diesem Verfahren etwas von der Flexibilität, die frei konfigurierbare Router bei den klassischen IT-Anwendungen bieten, verloren. Jedoch muss man sich vor Augen halten, dass ja beim Fernwarten und -wirken keine großen, autarken Netzwerke wie in der IT gekoppelt werden sollen, sondern relativ kleine Außenstationen mit einigen wenigen Geräte an eine Zentrale angebunden werden sollen. Wenn man diesem Umstand Rechnung trägt, ergibt sich die Möglichkeit, vorkonfektionierte Systeme von der Stange zu entwickeln und für diese immer wiederkehrenden Aufgaben zu verwenden. Damit wird der Anwender unabhängig von teueren Dienstleistungen bei der Inbetriebnahme und Wartung der Systeme und hat gleichzeitig den Kostenvorteil durch preisgünstige Geräte, die dann auch den Anforderungen an die raue industrielle Umgebung erfüllen. Das hier vorgestellte Verfahren ist in erster Linie für kleine bis mittelgroße Applikationen in Infrastruktur-Anwendungen oder in der Gebäude-Automatisierung entwickelt worden, um diesen Anwendungen einen einfachen und doch sicheren Zugang zur modernen Internet-Fernwirktechnik zu eröffnen. Da in diesen Bereichen oft die personellen und auch finanziellen Resourcen sehr begrenzt sind, wurde auf der Basis anerkannter und verfügbarerer Technologien ein Gesamtsystem entwickelt, das ohne die Hilfe von IT-Spezialisten in Betrieb genommen werden kann und gleichzeitig mit preisgünstigen Komponenten auskommt. Auch gilt es, ohne spezielle Dienstleistungen für z.B. Portaldienste oder fixe IP-Adressen, die laufende monatliche Kosten verursachen auszukommen. Hüter der Schlüssel: Der VPN-Server in der Zentrale Der klassische Internet-Zugang in den Zentralen erfolgt über ADSL und besteht meist aus einem ADSL-Router, der im LAN integriert ist und den Datentransport zwischen dem Internet und dem angeschlossenen lokalen Netzwerk herstellt. Da ein tieferer Eingriff in den vorhandenen LAN-Aufbau nicht sinnvoll ist, wird ein zusätzlicher Kompaktrouter in das vorhandene LAN integriert. Dieser Router vom Typ CR-220 wird einfach an das vorhande Netzwerk angeschlossen und bezieht seine IP-Adresse automatisch via DHCP aus den vorhandenen Netzwerk-Server. Der CR-220 kann nun mit dieser Schnittstelle über den existierenden Internet-Router auf das Internet zugreifen und mit seiner zweiten Ethernet-Schnittstelle eine Leitstelle für den Fernzugriff ankoppeln. Der CR-220 in der Zentrale fungiert gleichzeitig als VPN-Server, auf den sich alle Außenstationen als Client anmelden können. Bei jeder Verbindung zwischen einem Client und dem Server wird ein VPN-Tunnel aufgebaut, über den die Daten sicher verschlüsselt via Internet übertragen werden. Bei den VPN-Verfahren hat der Anwender die Wahl zwischen IPSec oder dem OpenVPN als Übertragungsverfahren. Der VPN-Server des CR-220 ist bereits werksseitig mit allen erforderlichen X509-Zertifikaten für den Aufbau von bis zu acht sicheren VPN-Tunneln ausgestattet, so dass für den VPN-Betrieb nichts mehr am zentralen Router konfiguriert werden muss. Für die Client-Außenstationen werden bis zu acht Router für die Anbindung per ADSL oder über Mobilfunk (GPRS, UMTS) gleich vorkonfektioniert geliefert, sodass auch hier der Inbetriebnahme-Aufwand gering ist. Clientverbindungen zum Server An einen CR-220-Server können bis zu acht Client-Router angebunden werden. Alle Client-Router sind für diesen Server bereits fertig vorkonfiguriert, so dass die Inbetriebnahme schnell mit nur wenigen Einstellungen durchgeführt wird. Da jeder Client-Router ist auf seiner LAN-Seite mit der festen IP ausgestattet ist, muss bei allen angeschlossenen Ethernet-Geräten diese Adresse als Gateway eingetragen werden. Das Ethernet-Netzwerk, an dem die Geräte, die mit der Zentrale kommunizieren sollen, angeschlossen sind, wird immer auf die vorgegebene Subnet-Adresse des Client-Routers eingestellt. Dies Verfahren hat den Vorteil, dass der Anwender nicht den Router konfigurieren muss, sondern alle Netzwerk-Einstellungen auf der ihm vertrauten Steuerung erledigen kann. Die Client Router sind entweder für den Internet-Zugang per ADSL (CR-220 als Client) oder als Mobilfunk-Router, der per UMTS oder GPRS auf das Internet zugreift, verfügbar. Eine besondere Variante für die Gebäude-Automatisierung ist mit dem Router FR-100 gegeben. Bei der Nutzung der Mobilfunk-Dienste kommen kompakte GPRS- oder UMTS-Router wie der CR-230U zum Einsatz. Diese Geräte unterstützen alle weltweit relevanten Mobilfunk-Standards und sind konsequent für den industriellen Einsatz ausgelegt. Da es jedoch technisch nicht möglich ist, das Mobilfunknetz über das Internet direkt abzufragen und in Prozesse zu integrieren, sind zum Überwachen von Anlagen oder Steuern von Produktionsprozessen zusätzliche Hürden zu überwinden. Mobile Endgeräte sind aus dem Internet nicht erreichbar, da sie in abgeschlossene private IP-Netze eingebunden sind und die Betreiber der Mobilfunknetze in der Regel den Zugang beschränken. Zudem sind den Geräten dynamische IP-Adressen zugewiesen, die sich stetig ändern. Die Verbindung wird daher immer vom Client zum Server aufgebaut, was durch die vorgefertigten VPN-Tunnel gleich automatisch mit erledigt wird. Dabei sollte der ADSL-Anschluss des Servers eine fest IP bekommen oder, falls dies nicht möglich oder gewünscht ist, wird per DNS-Diensten ein fester Zugriffsname für den Server angemeldet. Dieser Name ist bei allen Client-Routern hinterlegt und nach jedem Einschalten verbindet sich der Client-Router automatisch auf \’seinen\‘ Server und baut einen VPN-Tunnel auf. Ist der Tunnel erst einmal aufgebaut, sind mit diesem Verfahren auch alle Außenstellen, die per Mobilfunk angekoppelt sind, transparent von der Zentrale aus wie mit einer eigenen Adresse ansprechbar. Zugriff vom Laptop oder Smartphone Da zu jedem Server bereits acht Client-Dateien auf Datenträger geliefert werden, können die Client-Zertifikate, die nicht für Router gebraucht werden, auch für den mobilen Zugriff via Laptop oder Smartphone genutzt werden. Hierzu wird auf den Laptop ein OpenVPN-Client als Software (im Internet frei verfügbar) installiert und diesem Programm ein freier Lizenz-Schlüssel übergeben und schon kann dieser Laptop auf den VPN-Server in der Zentrale und auch auf alle Clients zugreifen. Hierbei können die Zugriffsrechte noch individuell eingestellt werden. Fazit Mit dem vorkonfigurierten Client-Server Routerpaket von ISK Automation steht dem industriellen Anwender ein Werkzeug zum schnellen Einstieg in die Internet-Technologie zur Verfügung. Neu an diesem Konzept ist der Umstand, dass der Anwender nicht den ihme unbekannten Router, sondern seine vertrauten Geräte auf vorgegebene Parameter einstellt. Durch das Client-Server-System entfällt die Anmietung einer festen IP-Adresse für Mobilfunk-Karten, die mit einer vertraglichen Bindung an einen Provider oder mit monatlichen Kosten für die Dienstleistung (Portal) verbunden ist. Um für den Fall eines Hardware-Defektes gerüstet zu sein, oder bei Nachrüstungen herstellerunabhängig erweitern zu können, werden alle Zertifikate für den zentralen Server und für die acht Clients als VPN-Schlüssel-Dateien (X509-Zertifikate) auf einem Datenträger mitgeliefert. Damit bleibt das ISK-Router-System trotz der weitgehenden Vorkonfiguration herstellerneutral nutzbar, da international anerkannte VPN-Übertragungs-Standards genutzt werden und auch Fremdgeräte als Router in das System integriert werden können.
Thematik: Allgemein
Ausgabe: SPS-MAGAZIN 1+2 2012
ISK Automation GmbH
