Startseite » Industrial Ethernet »

Einfache und sichere Fernwartung

Entscheidend ist die reibungslose und sichere Kommunikation
Einfache und sichere Fernwartung

Trotz immer modernerer Kommunikationstechnik birgt die Fernwartung von Maschinen und Anlagen noch immer zahlreiche technische Herausforderungen – auch im Falle der S7 von Siemens. Eine intelligente und einfache Lösung, um in diesem Umfeld dennoch für reibungslose Betriebsabläufe zu sorgen, bietet ein Software-Tool von Deltalogic Automatisierungstechnik. An einem Beispiel wird deutlich, wie eine kosteneffiziente und zuverlässige Fernwartung im S7-Umfeld aussehen kann.

Kurt Bachmann ist Geschäftsführer bei der Deltalogic Automatisierungstechnik GmbH in Schwäbisch Gmünd www.deltalogic.de

Bei der Fernwartung – also dem Zugriff auf technische Systeme aus der Distanz – spielt die Entfernung des Personals zur zu steuernden Einheit keine Rolle. Da Fernwartungslösungen zur Flexibilisierung der Betriebsabläufe und zur Effizienzsteigerung beitragen, eröffnen sich Einsparpotentiale und die weltweit kurzen Reaktionszeiten verringern außerdem die Ausfallzeiten von Maschinen und Anlagen. Und Fernwartungslösungen sind vergleichsweise kostengünstig. Die Erfahrung zeigt, dass sich die meisten Anlagen schnell und einfach nachrüsten lassen.
Unnötige Fehlerquellen vermeiden
Entscheidend für ein Fernwartungssystem sind die reibungslose Kommunikation zwischen der Fernsteuerung und dem zu steuernden System sowie ein hohes Maß an Daten-Sicherheit. Außerdem sollten die technischen Anwendungen leicht zu installieren und zu bedienen sein. Fernwartung lässt sich mittels Funk, Internet, Intranet oder Telefon bzw. Mobilfunknetz realisieren. Das Internet hat dem Telefon dabei den Rang als führendes Medium abgelaufen. Das ist nicht verwunderlich, da immer mehr SPSen mit einem Ethernet-Anschluss ausgerüstet sind – entweder direkt über einen Kommunikationsprozessor oder alternativ über einen Ethernet-Profibus-Umsetzer wie den Accon-NetLink-PRO compact von Deltalogic. Trotzdem ist die Internet-Fernwartung nicht ohne Hürden: So bietet der Adressraum im Internet beispielsweise nicht genügend Platz für beliebig viele feste Teilnehmer.
Bei der Einwahl ins Internet wird in der Regel eine dynamische IP-Adresse vergeben, die während dieser Sitzung fix ist. Diese Adresse erhält nicht der Teilnehmer, sondern der Router. Alle Geräte hinter diesem Router teilen sich diese eine IP-Adresse und sind damit selbst nicht direkt adressierbar. Dies liegt zum einen daran, dass netzintern normalerweise lokale IP-Adressen zum Einsatz kommen, die gar nicht in das Internet geroutet werden. Zum anderen weiß der Router bei einem unaufgefordert eingehenden Datenpaket nicht, wem es zugestellt werden soll. So lässt sich im Falle der S7-Steuerung wegen des von Siemens verwendeten TCP/IP-Protokolls (RFC 1006) hinter einem Router nur ein Teilnehmer über die eindeutig definierte Port-Adresse erreichen. In vielen Anwendungsfällen führt dies zu Problemen. Und die bisherigen Lösungsansätze zu diesem Problem erfordern Eingriffe in die Projektierungsdaten, womit sich unnötige Fehlerquellen auftun.
Software als IP-Adressbuch
Die Fernwartungs-Software Accon-TeleService IE von Deltalogic ermöglicht den Fernzugriff auf Steuerungen, ohne dass dafür Änderungen am S7-Projekt notwendig sind. Damit die eindeutige Daten-Zustellung funktioniert, ist der Router mit entsprechenden Informationen zu versehen. Der Schlüssel dabei ist ein transparenter Austausch der entsprechenden Portnummern und IP-Adressen, wahlweise von einzelnen Teilnehmern oder sogar kompletten Netzsegmenten. Die notwendigen Adressierungsdaten werden einfach in Accon-TeleService IE eingepflegt, indem in eine Tabelle eingetragen wird, welche Portnummer auf welche interne IP-Adresse mit welcher internen Portnummer weitergeleitet werden soll. Der Router führt dann die Port and Address Translation PAT durch. Auf diesem Wege sind nun mehrere Teilnehmer von außen über die IP-Adresse des Routers anhand unterschiedlicher Portnummern erreichbar und die Projektierungsdaten bleiben trotzdem unangetastet. Die Umsetzung erfolgt über die Funktion als zusätzliche Schnittstelle in dem Systemsteuerungs-Applet „PG/PC-Schnittstelle einstellen“ und steht allen Standard-Engineering-Tools von Siemens direkt zur Verfügung. Zusätzlich haben Anwender die Möglichkeit, die Zieladresse nicht nur als IP-Adresse anzugeben, sondern auch unter Verwendung eines DNS-Namens (Domain Name System).
Port-Forwarding macht’s möglich
In der Praxis sieht das typischerweise wie folgt aus: Eine SPS-gesteuerte Anlage wird zunächst beim Hersteller aufgebaut. Der PC, von dem aus die Steuerungen programmiert werden, ist über ein LAN mit den Steuerungen in der Anlage verbunden. Nach der Auslieferung der Anlage an den Betreiber soll nun weiterhin die Möglichkeit bestehen, dass der SPS-Programmierer des Herstellers einen einfachen und schnellen Zugriff auf die SPSen hat, insbesondere bei der Inbetriebnahme der Anlage und der anfänglichen Garantiezeit. Der PC des SPS-Programmierers wird dafür mit der Software Accon-TeleService IE ausgerüstet. Kann auch auf der Betreiberseite bei der Anlage ein Internet-Zugang zur Verfügung gestellt werden, so lassen sich die dortigen Steuerungen hier aufschalten, und es ist nur noch die Konfiguration der bestehenden Geräte (Router und Firewall) anzupassen. Besteht z.B. aus IT-Sicherheitsaspekten beim Betreiber keine Zugriffsmöglichkeit auf dessen internes Netzwerk oder dessen Internet-Zugang, dann bietet sich die Kommunikation über UMTS oder GPRS an.
Nun fehlt noch die Weiterleitung an die jeweilige SPS. Problematisch wird es hier wie gesagt, wenn mehrere Steuerungen im Spiel sind. Denn dann genügt keine einfache Weiterleitung der Daten. Der Grund: Die Verbindung zu einer SPS verwendet eine bestimmte, nicht veränderbare Portnummer (ISO on top of TCP, RFC 1006, Portnummer 102). Bei einer einfachen Weiterleitung werden aus dem Internet eintreffende Verbindungen an die Steuerungsebene über diese bestimmte Portnummer einfach an eine einzelne interne IP-Adresse weitergeleitet, ohne Änderung der Portnummer. Damit ist nur ein einziger Teilnehmer erreichbar. Um dieses Problem zu umgehen, erfolgt die Unterscheidung, welche SPS jeweils gemeint ist, durch die einfache Einrichtung von Port-Forwarding-Regeln im IP-Router, jeweils eine Regel pro zu erreichender SPS. Diese Weiterleitungsregeln sorgen für eine eindeutige Zuordnung der Daten zwischen dem Eingangs-Port und der Ziel-CPU über das angelegte „IP-Adressbuch“. Jeder einzelne Eintrag darin besteht aus der im Projekt angegebenen IP-Adresse und der dann zu verwendenden IP-Adresse (öffentliche IP-Adresse des Ziels) sowie der zu verwendenden Portnummer. Diese Portnummer wiederum muss zu der eingerichteten Port-Forwarding-Regel passen, was schlussendlich die Verbindung zur SPS im Betreibernetz herstellt.
Fernwartung per VPN-Portal
Das geschilderte Vorgehen ist eine einfache, jedoch ungesicherte Möglichkeit zur Internet-Fernwartung. Gilt es, ungewollte Eingriffe zu vermeiden, sollten Anwender auf eine verschlüsselte Übertragung setzen. Hier bietet sich die Nutzung des VPN-Portals Delta- logic24 an – ein Service, der im Fernwartungspaket des Herstellers enthalten ist. Anwender können darüber VPN-Verbindungen nutzen, sodass die aufwändige und kostenintensive Einrichtung einer eigenen VPN-Infrastruktur entfällt. Das VPN nutzt die Kapazitäten eines öffentlichen Netzes; nur autorisierte Nutzer erhalten Zugang und die Daten sind für andere nicht lesbar. Vorteil ist ein Gewinn an Sicherheit. Um den Service zu nutzen, wird auf dem PC zusätzlich der OpenVPN-Client benötigt. ge

INFO-TIPP
Damit eine sichere VPN-Verbindung genutzt werden kann, wurde das VPN-Portal Deltalogic24 eingerichtet. Das Prinzip ist einfach:

PRAXIS PLUS
Deltalogic Automatisierungstechnik ist eine Partnerschaft mit dem Regensburger Unternehmen Insys Microelectronics GmbH, Experte für industrielle Datenkommunikation und M2M-Technik, als Insys icom Certified Partner eingegangen. Im Rahmen der Kooperation hat Deltalogic seine bewährte Kommunikationsbibliothek Accon-AGLink auf die Insys-icom-Geräte portiert. Damit haben Benutzer der Insys-Sandbox nun auch die Möglichkeit, aus der Ferne vom Web-Client, FTP-Server oder Mobiltelefon über Ethernet auf Steuerungen wie die S7 zuzugreifen. Verfügt die Steuerung nicht selbst über eine integrierte Ethernet-Anbindung, so bietet Deltalogics Programmier- und Kommunikationsadapter Accon-NetLink-PRO compact eine leistungsfähige Schnittstelle.
Newsletter

Abonnieren Sie unseren Newsletter

Jetzt unseren Newsletter abonnieren

Webinare & Webcasts

Technisches Wissen aus erster Hand

Whitepaper

Hier finden Sie aktuelle Whitepaper

Videos

Hier finden Sie alle aktuellen Videos


Industrie.de Infoservice
Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de