Fernzugriff ist aus der industriellen Fertigung nicht mehr wegzudenken. Getrieben durch die Anforderungen der Digitalisierung vernetzen Hersteller zunehmend auch ältere Anlagen. Herausforderungen stellen hierbei vor allem die Feldbus-Kommunikationsprotokolle dar. Soll ein gesicherter Fernzugriff direkt auf Profibus- oder MPI-fähige Steuerungen erfolgen, sollte ein zentrales Konzept vorliegen, das von allen Zellen auf die gleiche Art und Weise genutzt werden kann. Oder man benötigt ein entsprechendes Multi Point Interface (MPI)-Interface – das ist eine proprietäre Schnittstelle von Simatic-S7-Geräten von Siemens.
Der Fernzugriff erfolgt dabei stets unter der Vorgabe, dass die Anlagen den Verbindungsaufbau bei Bedarf lokal initiieren und die Verbindung „von innen nach außen“ aufgebaut wird. Damit können grundlegende Anforderungen an die Fernwartung und Konfiguration von Profibus-Zellen in einer Bestandsanlage abgeleitet werden. Im Fall einer reinen Anbindung mittels MPI, aber auch bei gemischten Anlagenkonzepten (etwa bei Erweiterung oder Modernisierung mit einer Simatic S7-1500) sollten durchgängig IP-Router mit Firewall und VPN-Technik eingesetzt werden. Dadurch kann man ein übergeordnetes Managementsystem für Remote Networks aufsetzen, das sowohl die MPI-Teilnehmer, als auch die Ethernet-Teilnehmer zentral in einer Instanz verwaltet.
Fernzugriff über Automatisierungszelle im Netzwerk einfach ohne IT-Kenntnisse
Der Servicetechniker, der die Zelle zur Wartung erreichen möchte, kann so innerhalb kurzer Zeit verschiedene Zellen nacheinander oder – im Fall von Ethernet-Teilnehmern – auch gleichzeitig erreichen. Für die meisten Unternehmen ist es wichtig, dass dies ohne großen Aufwand und IT-Fachkenntnisse möglich ist. Dafür benötigt der Servicetechniker ein einfaches Werkzeug, mit dem er die Fernwartungs-Endpunkte (Automatisierungszelle im Netzwerk) erreichen kann. Da sich die Zellen zentral an einer Plattform melden, ist es also naheliegend, dass der Techniker diese zentrale Stelle ebenfalls bei Bedarf erreichen kann.
Bei der Wahl der Verschlüsselungstechnologie für den Verbindungsaufbau ist zu beachten, dass sie entsprechend einfach und flexibel an die unterschiedlichen Bedürfnisse der industriellen Netzwerke anpassbar, aber trotzdem sicher sein muss. Dafür bieten sich zum Beispiel Zertifikat-basierte Mechanismen auf der Basis von Open-VPN oder auch IP-Sec an. Unternehmen sollten zudem genau analysieren, wer zu welchem Zeitpunkt mit welchem Teilnehmer verbunden sein darf und welche Berechtigungen er dort besitzt. Daraus lässt sich die Planung von beispielsweise Firewall-Regeln, Benutzer- und Gerätegruppen sowie deren Kommunikationsbeziehungen zueinander ableiten. Der Technologiekonzern Siemens bietet mit der Managementplattform Sinema Remote Connect Anwendern die Möglichkeit, weit verteilte Anlagen oder Maschinen über Fernzugriff komfortabel und gesichert zu warten.
Zugriff auf MPI-Anlagen im Feld über Management-Plattform möglich
Die Verwaltung der Zugangspunkte zu den Anlagen für den Fernzugriff erfolgt zentral im zugehörigen Server der Managementplattform. Über den Sinema Remote Connect Client können diese MPI-Anlagen direkt ausgewählt und verbunden werden. Sobald die Tunnel von der Anlagenseite zum Server und vom Client-PC zum Server aufgebaut sind, kann über das TIA-Portal auf die hinter dem Router gelegenen Profibus-/MPI-Teilnehmer zugegriffen werden. Damit erfolgt der Zugriff aus Anwendersicht so, als wäre der Techniker lokal vor Ort auf der Anlage mit dem MPI-Netzwerk verbunden.
Im Fernzugriffsfall kann das benötigte Engineering-Tool TIA-Portal entweder lokal auf dem Client-Rechner des Servicetechnikers ausgeführt werden, oder über die in den Router integrierte Funktionalität des TIA Portal Cloud Connectors von einem zentralen Servicecenter über das Netzwerk oder das Internet abgerufen werden. Durch die Verwendung von Sinema Remote Connect ist sowohl der Zugriff des Servicetechnikers auf das TIA-Portal als auch der Verbindungsaufbau des Routers aus der Anlage heraus durchgängig über einen verschlüsselten VPN-Tunnel gesichert.
Die Managementplattform sorgt durch die Möglichkeit der zentralen Nutzer- und Geräteverwaltung für Transparenz und Übersichtlichkeit der Geräte und Nutzer. Die Kontrolle über den tatsächlichen Verbindungsaufbau zur Anlage kann bei Bedarf voll in die Verantwortung des Anlagenbetreibers vor Ort übergeben werden. Hierbei kann der Betreiber die Möglichkeiten des Routers nutzen, den Aufbau des VPN-Tunnels nur nach Anforderung über einen lokalen Schlüsselschalter (digitaler Eingang) zu ermöglichen. Dadurch ist der Initiator stets auf der Anlagenseite.
Lösungen aus einer Hand
Die Basis für einen gesicherten Fernzugriff auf ältere Maschinen und Anlagen ist ein professionelles industrielles Kommunikationsnetzwerk. Für Aufbau und Pflege solcher Netzwerke bietet Siemens entsprechende Komponenten und Serviceleistungen:
- Der Industrie-Router Scalance M804 PB bildet die robuste Grundlage für das Fernzugriffsnetzwerk in Verbindung mit Profibus-/MPI-Anlagen. Verschlüsselung ist über Firewall, IP-Sec und Open-VPN möglich.
- Die Managementplattform für Remote Networks, Sinema Remote Connect, bietet IP-basierten, transparenten und gesicherten Fernzugriff – mit eigenem Server und entsprechenden Clients.
Gesicherter Fernzugriff:
Mittels des Industrierouters Scalance M804 PB von Siemens kann ein gesicherter Zugriff auf Bestandsanlagen im Feld erfolgen (wie in der Grafik dargestellt). Ebenfalls möglich ist die Verbindung via Step 7 und dem TIA-Portal-Cloud-Connector. Grafik: Siemens
