Vom Ethernet ins Internet

Das Internet ist etabliert als Plattform für den schnellen und unkomplizierten Zugriff auf Maschinen- und Anlagenzustände. Doch: Kaum einer ist sich bewusst, welche Fallstricke mit der Realisierung einer entsprechenden Lösung verbunden sein können. Konzepte wie ein „Service-Router“ in Kombination mit vorkonfigurierten Kommunikations-Bausteinen tragen dazu bei, den Integrationsaufwand für den Maschinenbauer auf ein Minimum zu reduzieren.

Das Internet ist etabliert als Plattform für den schnellen und unkomplizierten Zugriff auf Maschinen- und Anlagenzustände. Doch: Kaum einer ist sich bewusst, welche Fallstricke mit der Realisierung einer entsprechenden Lösung verbunden sein können. Konzepte wie ein „Service-Router“ in Kombination mit vorkonfigurierten Kommunikations-Bausteinen tragen dazu bei, den Integrationsaufwand für den Maschinenbauer auf ein Minimum zu reduzieren.

Am Anfang der Überlegungen, eine Maschine oder Anlage über das Internet fernzuwarten oder auch zu steuern, steht im Maschinen- und Anlagenbau in der Regel immer die Frage: Wie lässt sich garantieren, dass kein Unberechtigter auf bestimmte Ports beziehungsweise interne IP-Adressen zugreifen kann? Im Idealfall existieren in den Betreiberunternehmen diesbezüglich bereits entsprechende Sicherheitsrichtlinien, meist aufgestellt von den dortigen IT-Abteilungen. Manche Zulieferer sehen diese Sicherheitsrichtlinien eher als Schikane, denn als das, was sie wirklich sind. Dies liegt oft am mangelnden Verständnis des Zulieferers für die Funktionen und Risiken eines Fremdzugangs. Vielfach eingesetzte Router – zum Beispiel DSL-Router ohne Firewall und notwendige Proxy-Einstellungen – können sich wie „geschwätzige Weiber“ verhalten: Finden sie jemanden, dem sie erzählen können, wen sie alles kennen, so tun sie dies ohne Rücksicht auf Verluste! Ein DSL-Anschluss für eine Maschine kann so schnell zum Sicherheitsproblem für das ganze Unternehmen werden.

Um dies zu vermeiden, wurden Lösungen wie VPN (Virtual Private Network) entwickelt. Ein VPN ist nichts anderes, als ein Netzwerk, welches den Teilnehmern einen verschlüsselten Austausch von Informationen erlaubt. Nur solche Teilnehmer, die über ein Zertifikat Zugang zum VPN-Server haben, können an der Kommunikation teilnehmen. Vorteil ist, dass keiner die Telegramme mitlesen kann, um etwa an Passwörter oder ähnliches zu gelangen. Die Daten werden immer über eine dritte Entität gesendet. Diese Lösung ist sehr sicher, zugleich aber sehr aufwendig und bedarf eines Servers, der die dynamischen IP-Adressen verwaltet. In den meisten Fällen ist dies DynDNS. In der Industrie stößt dieses Konzept nicht selten auf Ablehnung, da man hier keinen Einfluss auf die Institution (DynDNS) hat.

Ein weiterer Nachteil ist die Verwaltung der Zertifikate. Angenommen, ein international agierender Maschinenbauer hat in den letzten zehn Jahren jeweils 200 Maschinen verkauft. Das macht in Summe 2000 Anlagen, die irgendwo rund um den Globus aufgestellt sind. Ergo sind auch 2000 verschiedene Zertifikate zu verwalten, über die sich beispielsweise ein Service-Mitarbeiter auf die jeweilige Anlage einloggen kann. Hinzu kommt, dass in der Regel eine Hardware in Form eines Laptop oder eines PC zur Erstellung eines Zertifikates erforderlich ist. Mal eben über das PDA oder Handy auf die Anlage zuzugreifen, um zu sehen, ob alles in Ordnung ist, scheidet somit aus.

Doch was tun, wenn die Maschine nicht über DSL oder LAN (Local Area Network) erreichbar ist? In Zusammenarbeit mit Vodafone hat Exor für solche Fälle eine Möglichkeit geschaffen, mobile VPN-Netzwerke aufzubauen. Basis hierfür ist der Dienst „Cooperate Data Access“ – kurz CDA. Eine Besonderheit des Exor-CDA ist, dass sich GPRS- und UMTS-Netze „mischen“ lassen, was im Standard-CDA von Vodafone so nicht möglich ist. Somit kann beispielsweise ein Nutzer, der eine im UMTS-CDA registrierte SIM-Karte besitzt, mit einem Laptop auf einen GPRS-Teilnehmer des CDA zugreifen. Diese Möglichkeit bietet kein anderer Dienst, gleich welchen Mobilfunkanbieters. Die Ausdehnung der Netze kann dabei bis zu einigen tausend Teilnehmern gehen. Exor bietet Anwendern nicht nur die Funktion des CDA und dessen Administration, sondern auch spezielle darauf abgestimmte Datentarife wie zum Beispiel eine Flatrate auch bei Roaming oder einen 200-MByte-Tarif, der unter 20 Euro liegt. Dies ist insbesondere für solche Anwender interessant, die mit den bisherigen „Kleintarifen“ nicht hinkommen, oder generell auf der sicheren Seite sein wollen.

Ein Service-Router, der in einem CDA integriert ist, braucht kein VPN mehr zu fahren, da er sich bereits in einem „Privaten Netzwerk“ befindet. Er ist von überall über seine, der SIM-Karte zugewiesene IP-Adresse erreichbar. Zugriff haben allerdings nur Teilnehmer des CDA-Netzwerkes beziehungsweise Clients, die sich mittels Zertifikat und VPN-Tunnel in ein bestimmtes CDA-Netzwerk einbinden können. Auf diese Weise gelangt der Service- Mitarbeiter ohne spezielle Software auf seine Anlage. CDA kann aber noch mehr: Über diesen Dienst können Steuerungen direkt über GPRS oder UMTS Daten austauschen. Dies ist möglich, da CDA die Teilnehmer wie in einem LAN zusammenführt, und somit zum Beispiel über Modbus-TCP Daten von einer Steuerung via Funk abrufbar sind.

Für Maschinenbauer, die entweder nicht über das notwendigen Know-how bezüglich der Internet-Technologien verfügen – was aufgrund der Komplexität des Themas nur allzu verständlich ist –, oder schlichtweg nicht die Zeit beziehungswei- se kein Interesse daran haben, sich dieses anzueignen, gibt es mittlerweile vorkonfigurierte „ready-to-run“-M2M-Lösungen wie beispielsweise I-CEX in Kombination mit dem Reality-Server von Exor. Der Reality-Server dient dem Anwender als Applikationsplattform im Internet. Hier wird der Zugriff auf die dezentralen Anlagen konfiguriert. Weiterhin lassen sich dort die Daten speichern, visualisieren und zielgerichtet abfragen. Der Anwender braucht sich dazu auf dem Reality-Server lediglich eine Web-„Suite“ einzurichten, die ihm alle Daten so zur Verfügung stellt, wie er sie benötigt.

Neben der Version als eigenständige Kommunikations-Hardware gibt es die ICEX-Technologie als Embedded-Lösung. Auf der Grundlage des Kommunikationsbausteines IPC@Chip von Beck kann der Anwender damit Web-basierte Dienste schnell und kostengünstig in seinen eigene Hardware integrieren. Der Chip beinhaltet bereits die Serverfunktionalität der I-CEX-Lösung. Durch die Implementierung der IEC-61131-Programmier- und Laufzeitumgebung Codesys von 3S und der Unterstützung von globalen Netzwerk- Variablen wird die Komponente zum „Remote-I/O via Internet“.

Darüber hinaus löst I-CEX die Problematik der festen IP-Adresse und der Firewall in einem mobilen Funknetz wie GPRS und UMTS. In diesen Netzen erhalten die Teilnehmer wechselnde IP-Adressen vom Provider. Somit ist es dem Anwender unmöglich, seine Hardware direkt über eine festgelegte IP-Adresse anzusprechen. Auch wenn der Teilnehmer nach Anfrage über GSM beziehungsweise nach Anrufen seiner bekannten Telefonnummer seine IP-Adresse mitgeteilt hat, besteht noch immer nicht zwangsläufig die Möglichkeit, Daten von ihm abzufragen oder an ihn zu übermitteln. Der Grund dafür sind die vom Provider aufgestellten Firewalls, die jegliche Anfragen blocken. I-CEX umgeht dieses Problem, indem der Client die Verbindung zum Server aufbaut und eine „Update“-Liste sendet. Diese Session wird nach einiger Zeit wieder geschlossen und automatisch vom Client neu geöffnet, da dieser ja die IP des Reality-Servers kennt. Auf diese Weise erhält der Anwender vollen Zugriff auf die Komponente und kann sogar Updates der Soft- und Firmware vornehmen.

Bei Einsatz einer solchen Lösung brauchen den Anwender IP-Adressen nicht mehr zu interessieren, da I-CEX ähnlich dem MSN-Messenger nur mit Namen arbeiten. Weil es sich dabei zudem um keine VPN-Lösung handelt, können auch Teilnehmer aus unterschiedlichsten Netzen miteinander kommunizieren. Dies scheint auf den ersten Blick im Widerspruch dazu zu stehen, dass im CDA, welches letztlich ein mobiles VPN darstellt, nur Teilnehmer mit einer Vodafone-Karte kommunizieren können. Eine Ausnahme bilden jedoch PCs, die über ein VPN-Zertifikat verfügen, mit dem sie sich über die Exor-Firewall (DMZ – Demilitarisierte Zone) in das Vodafone-CDA einloggen können.

Die Kosten der Datenübertragung lassen sich bei I-CEX vom Anwender für jeden Datenpunkt definieren. Schwellwerte und Verknüpfungen, die nicht in der Zielhardware (zum Beispiel eine Steuerung oder ein Panel, das via Modbus an den Reality-Service angebunden ist), sondern im I-CEX liegen und im Internet definiert werden, sorgen dafür, unnötige Datenpakete zu vermeiden. Deren Verwaltung ist einfach und anwendungsbezogen. Es gibt Namen von Teilnehmern sowie diesen Teilnehmern zugeordnete Variable, die sich visualisieren, aufzeichnen oder per XML, CSV beziehungsweise HTML dokumentieren lassen. Der Zugriff auf die Daten kann wahlweise via Webbrowser oder über ein Handy mit WAP erfolgen. Günter Herkommer