2 Bewertungen

IoT-Plattform Sicherer Industrie-Raspberry mit Echtzeit-Ethernet

Hilscher Gesellschaft für Systemautomation mbH

Bild: iStock, Peshkov
30.06.2017

Die Plattform NetPI ist durch ihre vorinstallierte Software geschlossen konzipiert, um Sicherheitsvorkehrungen nicht erst im Industriebetrieb etablieren zu müssen. Mit dem integralen Bestandteil des NetPIs, der Software Docker, werden Applikationen in sogenannte Container gekapselt und laufen darin isoliert und sicher.

Sponsored Content

NetPI ist eine auf Raspberry-Pi-3-Architektur basierende Plattform zur Realisierung von Internet-of-Things und Industrie-4.0-Anwendungen in der Automatisierung. Neben der Originalschaltung des Pi 3 enthält das Einplatinendesign Hilschers Industrie-Netzwerkcontroller NetX. Mit seiner Multi-Protokollfähigkeit und der leistungsstarken Pi 3 CPU ermöglicht er den Anschluss an die gängigsten Industrie-Netzwerke. Hilscher entwickelte NetPI zusammen mit dem Distributor Farnell Element14. Sie wurde speziell für den Industrieeinsatz konzipiert.

Zur besseren EMV-Verträglichkeit besteht die Leiterkarte verglichen zum Raspberry Pi 3 aus 8 anstatt aus 6 Lagen. Zudem steigert diese Maßnahme, zusammen mit der mehr als doppelt so großen Platine, entscheidend die Wärmableitung. Bei einer CPU-Größe von gerade mal 14 mal 14 mm mit vier integrierten Prozessoren kommt es ansonsten bei extremen CPU-Lasten zum Hitzestau. Die automatische Taktdrosselung der CPU verhindert ab einer Kerntemperatur von 80 °C ihren vorzeitigen Hitzetod. Ab 85 °C arbeitet sie nur noch mit 600MHz. NetPI wurde so dimensioniert, dass es bis zu einer Umgebungstemperatur von 50 °C trotz CPU-Volllast zu keinen Leistungseinbußen kommt. Das Metallgehäuse und ein wärmeabführender Kühlblock auf der CPU garantieren eine Kerntemperatur von unterhalb 80 °C. Zum Vergleich: Die CPU auf einem Pi 3 erreicht trotz eines Kühlkörpers im Kunststoffgehäuse bei gleicher Volllast bereits bei 24 °C Umgebungstemperatur die Schwelle von 80 °C. Bedenkt man, dass die Ausfallwahrscheinlichkeit von elektronischen Komponenten logarithmisch mit der Temperatur steigt, trägt die passive Kühlung der NetPI bedeutend zur Verlängerung der Lebensdauer der Hardware-Komponenten und zur Erhöhung der Zuverlässigkeit des Gerätes bei.

7-Tage Puffer

Ein nicht offen zugänglicher microSD-Kartensteckplatz enthält im NetPI das Speichermedium. Das Medium kann in Größe und Haltbarkeit flexibel gewählt oder für kundenspezifische Abwandlungen angepasst werden. Standardmäßig wird NetPI mit einer industriellen 8-GByte-SD-Karte ausgeliefert, die im Vergleich zu konventionellen Karten eine 2- bis 3-fach höhere Schreibzyklen-Lebensdauer besitzt. Zudem liefert der Hersteller die Karten vorgetestet, mit markierten Bad-Blocks und garantierter fester BOM, was Kartenlieferungen aus immer dem gleichen Chip-Die zusichert.

Für Daten, die in hoher Frequenz und zuverlässig über lange Zeit nullspannungssicher geschrieben werden müssen, ist NetPI mit einem 8 kByte großen FRAM-Speicher ausgestattet. Dieser Speicher ist so schnell wie ein RAM und erlaubt anders als ein Flash-Speicher, eine nahezu unendliche Schreibzyklenanzahl. Das ist zum Beispiel wichtig für der Speicherung von Prozessdaten einer SPS in jedem Zyklus, um nach einem Stromausfall das letzte Ausgangsdatenabbild zurück zu lesen. Des Weiteren ist NetPI um eine Echtzeituhr (RTC) ergänzt. Sie wird mit einem wartungsfreien Super-Kondensator gepuffert und behält ihre Zeit beim Stromausfall mindestens 7 Tage und überbrückt so typische Stromabschaltungen von Anlagen übers Wochenende.

Onboard WLAN

Der NetPI verfügt wie der Raspberry Pi 3 über eine Wireless/Bluetooth Antenne und ermöglicht drahtlose Datenübertragungen nach IEEE 802.11 a/b/g/n, beziehungsweise Bluetooth 4.1. Zur bestmöglichen Funkübertragung ist die Antenne allerdings anders als beim Pi 3 über einen Leiterkartensteg aus dem Gehäuse geführt und mit einem Kunststoffdome gegen äußere Einflüsse geschützt.

Die Antenne erspart dem Anwender den Kauf eines zusätzlichen USB-Wireless-Adapters, wie er beim Pi 2 oder dem jetzigen Pi 3 Compute-Module nötig ist. Typische Szenarien wie die Konfiguration oder Diagnose am laufenden Gerät vor dem Schaltschrank, wenn in der Regel der Ethernet-Port bereits belegt ist, können so ohne Aufwand realisiert werden.

Anders als der Raspberry Pi 3 wird NetPI nicht mit dem offenen Linux-Betriebsystem Raspbian ausgeliefert. Stattdessen basiert seine Systemsoftware auf einem Yocto Custom-Linux (Kernel 4.4) mit AppArmor als Sicherheitsframework. Das ist die Grundlage um der IT-Sicherheitsnorm für Automations- und Steuerungssysteme IEC 62443 zu genügen. Sicheres Booten als Garant für Systemsoftware-Authentizität, Softwareerweiterungen und Update nur mittels signierten Installationspaketen, eine Benutzer- und Rechteverwaltung, deaktivierter SSH-Consolenzugriff, das Erreichen der Konfigurationsseiten über ausschließlich https gesicherte Verbindungen sind implementiert, um gegen Cyber-Bedrohungen wie Datenabgriff oder -manipulation zu bestehen.

NetX für Profinet, EtherNet/IP

Der im NetPI verwendete Industrie-Netzwerkcontroller NetX 51 ist multi-protokollfähig. Er beherrscht Netzwerke wie Profinet, EtherNet/IP, EtherCAT, aber auch Feldbusse wie Profibus oder CAN und sogar IO-Link Master auf 8 Kanälen. Die Echtzeit-Ethernet Option ist beim NetPI über zwei zusätzliche Ethernet Ports realisiert. Weitere Optionen können flexibel mittels für das vierte Quartal geplanter Einsteckmodule über einen Slot am Boden des Gerätes hinzugefügt werden.

Die Kommunikation zwischen der CPU des Raspberry Pi 3
und dem NetX findet über den DMA geführten SPI-Hochgeschwindigkeitsbus mit 125 MHz statt. Dabei bildet der NetX-Treiber die gleichen API-Zugriffsfunktionen aus, wie man sie seit über 10 Jahren bei Hilschers NetX basierten RTE/Feldus-PC-Karten CifX kennt. Eine Portierung von bereits programmierten Applikationen ist somit unproblematisch möglich. Ein weiterer Vorteil im Sinne der IEC 62443 ist die physische Trennung des IT- vom OT-Netzwerks durch die beiden Chips. Lediglich der Softwaretreiber verbindet beide Welten und überlässt dem Anwender die Wahl der durchgereichten Daten.

Jede Applikation läuft sicher

Die Software Docker ist integraler Bestandteil des NetPIs. Sie nutzt Virtualisierungsfunktionen eines Linux-Kernels, um Applikationen in sogenannten Containern zu kapseln und isoliert darin ablaufen zu lassen, ohne dabei das ausführende Host-Linux zu kompromittieren. Dadurch ist es möglich innerhalb NetPIs Yocto-Linux das Betriebssystem Raspbian in einem Container laufen zu lassen und gewohnt zu nutzen. Jeder Container besitzt seinen eigenen Namespace und ein eigenes virtuelles Laufwerk. Dadurch kann ein Container die Prozesse eines anderen weder sehen noch verändern. Ein Container kann einen eigenen Netzwerkstack besitzen und ein eigenes IP-Netzwerk ausprägen oder aber auch das Host-IP-Netzwerk nutzen.

Der Docker-Deamon besitzt Root-Rechte weswegen nur autorisierte Benutzer die im NetPI enthaltene Docker-Web-GUI nutzen sollten, um Container zu konfigurieren und zu starten. Mit Docker wird der ansonsten geschlossen konzipierte NetPI offen für Applikationserweiterungen wie ein Raspberry Pi 3, ist aber gleichzeitig gesichert. Docker-Softwareentwicklungen sind auf dem NetPI allerdings nicht möglich. Mit nur einem Befehl ist Docker aber auf dem offenen Raspberry Pi 3 installiert und macht ihn so zur Entwicklungsplattform für die Docker-Software des NetPIs.

Docker Hub ist ein Portal zur Verteilung von Docker-Software. Jeder kann über diese Webseite anderen durch privat, kommerziell oder öffentlich geführte sogenannte Repositories seine Software anbieten. Zur Verfügung gestellt wird diese in Form von Container-Images. Auch Hilscher führt für NetPI ein freies Repository.

Da die Anprogrammierung des NetX-Treibers Einarbeitungszeit benötigt oder man sie gar nicht erst durchführen möchte, bietet Hilscher als Applikationsbeispiel einen fertigen Feldbus-Knoten für den IoT-Verschaltungseditor Node-Red. Der Knoten lädt wahlweise das Protokoll Profinet oder EtherNet/IP und ermöglicht die flexible Konfiguration der E/A-Datenbreite am Netzwerk. Er kann inklusive einer kompletten Node-Red Installation als fertiges Image vom Repository in den NetPI geladen werden. Weitere Möglichkeiten sind eine Desktop-Oberfläche mit Firefox zur lokalen Nutzung des
HDMI-Anschlusses mit Maus und Tastatur oder einfach nur das Raspbian OS eines Drittanbieters.

Knoten weltweit

Der hohe Verbreitungsgrad des Node-Red, seine sichere Javascript-Basis und die sehr intuitiv benutzbare Web-Oberfläche sind für Hilscher Gründe die NetPI-Leistungen in Form von Node-Red Knoten anzubieten. Es gibt etwa auch für die Nutzung des FRAMs bereits einen Knoten. Node-Red besitzt die Eigenschaft Datenfluss-Vorgänge Menschen verständlich zu abstrahieren. Daten lassen sich in Sekunden auf einfache Weise mit beliebigen Daten anderer Quellen wie TCP/IP, OPC UA, MQTT und Email in einen Kontext bringen und ver-
knüpfen.

Selbst die Raspberry-Organisation hat die Mächtigkeit von Node-Red erkannt und es zu einem integralen Bestandteil von Raspbian werden lassen. Auch namhafte Hersteller wie Microsoft und Amazon haben Node-Red für sich entdeckt und bieten Knoten an, die Verbindungen zu ihren Cloud-Lösungen herstellen. Das sind nur zwei Beispiele von insgesamt über 950 mittlerweile in der Community angebotenen Knoten. Sie zeigen, dass über Node-Red eine sehr hohe Konnektivität erreicht werden kann.

Für Innovationsschmieden

NetPI richtet sich an Firmen mit moderner Entwicklungskultur, etwa solche die eng mit Universitäten und Studenten zusammenarbeiten. Man hat erkannt, dass gerade die jungen Maker frische Ideen ins Unternehmen bringen und die Innovationsstärke als Maß für den langfristigen Erfolg eines Unternehmens hochhalten.

Praktisch kennt heute jeder den Raspberry Pi und viele setzen ihn zuhause ein. Mit NetPI schwappt die Raspberry-Welle nun in die Industrie. Applikationen, die bereits für den Rasp-
berry Pi 3 entwickelt wurden, können in wenigen Schritten in den Container gepackt und somit auf den NetPI gebracht werden. Wer nicht gleich den NetPI nutzen möchte, kann auch nahezu ohne Invest mit dem Raspberry Pi 3 für 40 Euro starten und macht zunächst Tauglichkeitsprüfungen einer Applikationsidee unter Docker. Diese können dann später für den industriellen Einsatz einfach in den NetPI geladen werden. NetPI trägt damit einschlägig dazu bei, den Gedanken nach Kreativität und Offenheit gerade im Hinblick auf Indus-
trie-4.0-Applikationen zu fördern.

Bildergalerie

  • Der NetPi beruht auf dem Raspberry Pi 3 und wurde für den Einsatz in der Industrie entwickelt.

    Der NetPi beruht auf dem Raspberry Pi 3 und wurde für den Einsatz in der Industrie entwickelt.

    Bild: Andrea Wollstädter, Hilscher

  • Die Software Docker ist einer der wichtigsten Bestandteile des NetPi. Dank ihr können Anwendungen getrennt vom Host-Linux laufen. Das erhöht die Sicherheit des Geräts.

    Die Software Docker ist einer der wichtigsten Bestandteile des NetPi. Dank ihr können Anwendungen getrennt vom Host-Linux laufen. Das erhöht die Sicherheit des Geräts.

    Bild: Hilscher

Verwandte Artikel