Die Fernwartung von Maschinen und Anlagen ist seit Mitte der 90er Jahre ein Thema. Neben der anfänglichen Hauptmotivation, die Reisekosten zu reduzieren, spielen heute eine Reihe weiterer Gesichtspunkte eine wichtige Rolle – kurze Stillstandszeiten durch schnellen Service, fortlaufende Optimierungen sowie eine kontinuierliche Zustandsüberwachung mit vorbeugender Instandhaltung. Mit Industrie 4.0 steigt der Vernetzungsgrad weiter – vom Maschinenbauer und Materiallieferant über die Produktionsanlage bis hin zu Logistik und Endabnehmer soll eine durchgängige Kommunikation möglich sein. Die notwendige Bandbreite bietet das Internet. An vielen Orten sind Breitbandanschlüsse über DSL oder Kabel-TV verfügbar. Zudem bietet die mobile Technik der dritten und vierten Generation, 3G und 4G, heute ebenfalls Datenraten bis 100 MBit/s.
Unabhängig davon, ob die Datenübertragung leitungsgebunden oder per Mobilfunk erfolgt, handelt es sich um öffentlich zugängliche Übertragungswege. Ein wirkungsvolles Sicherheitskonzept muss daher Fremdzugriffe ebenso ausschließen wie die Manipulation und Ausspähung der übertragenen Daten. MB Connect Line bietet mit dem Fernwartungsportal mbConnect24 in Verbindung mit den Industrieroutern mbNET und den Datenmodems mbSPIDER eine skalierbare Plattform für einen sicheren Datenaustausch. So sicher, wie nach dem Stand der Technik möglich, eine absolute Sicherheit ist nicht realisierbar.
Zentrales Portal sorgt für Sicherheit
Die Portallösung mbconnect24 dient als intelligente Vermittlungsstelle zwischen den verschiedenen Teilnehmern. Dazu zählen Maschinen, Produktionsanlagen, Gebäudetechnik und Versorgungsinfrastruktur, aber auch die Instandhalter, Schichtleiter und die Servicetechniker der Lieferanten. Das hierarchische Mandanten-System erlaubt eine getrennte Verwaltung von Anlagen, Kunden und Servicepersonal, wobei der Administrator für jeden Teilnehmer individuelle Rechte festlegen kann. Dazu wurde die neue Version 1.5 der Portalsoftware um Rechte- und Rollenverwaltung erweitert.
Darauf basierend erhält jeder Servicetechniker nur die Berechtigungen, die er für seine Aufgabe benötigt. In der Praxis bedeutet das beispielsweise, dass der SPS-Techniker auf die Steuerungen und Antriebe zugreifen kann, aber nicht auf die Produktionsdaten des Visualisierungs-PCs. Für eine Fernwartungs-Sitzung melden sich die Benutzer per HTTPS oder über einen gesicherten VPN-Zugang am Portal an. Nach erfolgreicher Authentifizierung kann sich der Service-Spezialist mit den für ihn freigegebenen Maschinen und Anlagen verbinden.
Die Software ist in drei Ausführungen verfügbar. Beim Fernwartungsportal mbConnect24.net läuft das Portal als Dienst auf einem Server, den sich mehrere Kunden teilen. Die Variante mymbConnect24.hosted wird auf einem dedizierten Server gehostet und ist über eine eigene IP-Adresse direkt erreichbar. Die dritte Variante sind die mymbConnect24-Server als vorinstalliertes Komplettsystem. Damit können Maschinenbauer und Anlagenbetreiber innerhalb ihres Firmennetzes ihr eigenes Serviceportal realisieren. Die mbConnect24-Server übernehmen als Rückgrat der Servicezentrale das gesamte Verbindungsmanagement. Neben der zentralen Verwaltung aller Benutzer und Anlagen bietet mbConnect24 verschlüsselte Verbindungen über VPN und eine besonders einfache Administration. Es werden zwei Leistungsstufen angeboten: Die Variante midi unterstützt als Box-Lösung bis zu 250 Benutzer und 50 gleichzeitig aktive Verbindungen. In der Variante maxi im 19“-Rack sind bis zu 1000 Benutzer bei 150 gleichzeitig aktiven Verbindungen möglich.
Die Architektur der Portallösung erfüllt die hohen Sicherheitsanforderungen, die für den Zugriff auf Firmennetzwerke gelten. Bisherige Lösungen, die auf vom Internet eingehende Verbindungen basieren, führen zu einem erheblichen technisch-administrativen Aufwand. Für jedes zusätzlich installierte Gerät muss die Konfiguration der Firewall angepasst werden. Bei mbConnect24 werden die Verbindungen deshalb sowohl von der Service-Seite als auch von den Maschinen und Anlagen immer zum Portal-Server hin aufgebaut. Verbindungsanfragen vom Portal zur Anlage oder zum Servicerechner kommen systembedingt nicht vor, so dass eingehende Verbindungen komplett gesperrt werden können.
Fernwartung nach Maß
Auf der Anlagenseite kommen die Industrie-Router mbNET zum Einsatz. Sie bilden den Übergang vom öffentlichen in das private Netz. Für jede Anlage kann individuell festlegt werden, ob sich der Router immer am Portal einloggt, sobald er mit Strom versorgt wird oder erst bei Bedarf. Der Verbindungsaufbau zum Portal kann manuell über die Taste Einwahl oder von der Anlagensteuerung über ein Signal an einen digitalen Eingang des Routers ausgelöst werden. Über diese Mechanismen entscheidet alleine der Anlagenbetreiber, wann ein Fernzugriff auf seine Anlage möglich sein soll. Ist der Router mit einem Modem ausgestattet, so kann das Einloggen am Portal auch per Anrufsignalisierung oder per SMS von außen initiiert werden.
Eine integrierte Firewall erlaubt die Datenübertragung nur identifizierten und authentifizierten Benutzern. Sie bietet dazu Funktionen wie IP-Filter, SPI, NAT und Port-Forwarding. Die Fernwartung selbst erfolgt verschlüsselt über einen VPN-Tunnel. Basis der VPN-Technik sind die Sicherheitsprotokolle OpenVPN, PPTP oder IPSec. Die Verschlüsselung erfolgt mit den Verfahren AES und DES/3DES. Als Authentisierungsmethode werden Pre-Shared-Key oder X.509-Zertifikate genutzt. Die Konfiguration der Industrierouter kann ab Version 1.5 direkt über das Portal erfolgen. Über den Configuration Transfer Manager wird die Konfiguration automatisch übertragen und aktiviert, sobald sich ein Router am Portal anmeldet und sich über seine Seriennummer identifiziert hat. Dadurch wird das organisatorische Handling sehr einfach. Die Router können vom Herstellerlager direkt zur Maschine gehen, ohne vorherige manuelle Konfiguration.
.jpg "Panel-PCs als HMI für Mess-, Steuer und Regelaufgaben")
