Man hätte dieses Kapitel auch mit \’Druidenwissen\‘ betiteln können: Soll es doch die notwendige Detailkenntnis vermitteln, um Web-Technologien in der Automatisierung erfolgreich anzuwenden.
Geräte-/Komponentenwahl
Wer Web-Technologien in der Automatisierungstechnik einsetzt, arbeitet mit PCs, Bedienpanels, Steuerungen und IT-Infrastrukturkomponenten. Die Abgrenzung zwischen PCs und Bedienpanel ist fließend; Bedienpanels im oberen Leistungsbereich basieren oftmals auf PC-Technik und sind so betrachtet auch PCs. In den weiteren Ausführungen beschränkt sich der Begriff PC ausschließlich auf Büro-PCs oder Notebooks – also keine Industrie-PCs, Panel-PCs oder dergleichen. PCs sind in der Regel von Haus aus schon sehr gut auf den Einsatz von Web-Technologien vorbereitet. Standardbetriebssystem und Web-Browser sind bereits installiert und eine LAN-Schnittstelle zählt heute auch zur Standardausrüstung. Will man Java-basierte Visualisierungen anzeigen, ist die Installation einer Java Virtual Machine (JVM) notwendig. Die am weitesten verbreitete JVM kann kostenlos vom Java-Entwickler Sun Microsystems geladen werden (www.java.com). Die derzeit aktuelle Version 6 bietet neu eine Cache-Funktion zum Zwischenspeichern von temporären Internetdateien. Dies kann bei Web-Visualisierungen mit sich ständig wiederholenden Werteabfragen dazu führen, dass Steuerungsdaten nicht aktualisiert werden; es empfiehlt sich also, diese Funktion zu deaktivieren. Meist ist eine Bedienung direkt an der Maschine bzw. Anlage erforderlich. Hier kommen Bedienpanels zu Einsatz, die auf den Einsatz im Feld angepasst sind. Im Sinne der Web-Technik sind Bedienpanels nichts anderes als Thin Clients, also eine Display-Hardware mit einer Browserfunktion. Je nach Anforderung und Anwendungsfall sind unterschiedliche Ausführungen notwendig. Saia-Burgess Controls z.B. bietet drei Arten von Web-Panels an: Micro-Browser-Panels, Windows-CE-basierte Panel und Bedienpanels mit Windows XP embedded. Micro-Browser-Panels decken das untere Leistungssegment ab und sind auf niedrige Kosten ausgerichtet. Ist lediglich die Darstellung einer Web-Visualisierung gefordert, lässt sich mit einem Micro-Browser-Panel eine webbasierte Vor-Ort-Bedienung zum Preis handelsüblicher Bedienpanels mit herkömmlicher HMI-Technik realisieren. Neben den konzeptionellen Vorteilen der Web-Technik sind sämtliche Micro-Browser-Panels mit einer Ethernet-Schnittstelle ausgestattet und lassen sich beliebig vernetzen. Micro-Browser-Panels verfügen über einen speziellen Browser, der ausschließlich Web-Visualisierungen darstellen kann, keine Java Virtual Machine erfordert und daher äußerst effizient und ressourcenschonend arbeitet. Übersteigen die Anforderungen das reine Darstellen einer Web-Visualisierung, z.B. sollen Web-Seiten von öffentlichen Web-Servern – etwa Support-Seiten – oder .net-Anwendungen mit eingebunden werden, kommen Windows CE Web-Panels zum Einsatz. Prinzipiell sind alle Windows CE basierten Displays als Bedienpanel geeignet. Wer jedoch glaubt, ein x-beliebiges Panel aus dem Versandhandel verwenden zu können, sieht sich bald mit einem hohen Integrationsaufwand konfrontiert. Standardmäßig ist auf einem Windows-CE-Display keine Java Virtual Machine installiert und bei Java im Verbund mit Windows CE heißt es aufgepasst. Speziell für Windows CE basierte Geräte wie Smart-Phones und PDAs werden abgespeckte JVMs angeboten, die nicht die komplette Java-Funktionalität bieten und für eine Web-Visualisierung nicht taugen. Weiter sind in Windows CE-basierten Geräten im Vergleich zu PCs weniger leistungsstarke Prozessoren und kleinere Speicher verbaut. Dem ist bei der Entscheidung für eine JVM Rechnung zu tragen, soll das Ergebnis überzeugen. Windows CE basierte Web-Panels von Saia-Burgess Controls sind mit einer vollwertigen JVM ausgestattet, die auf die Beschränkungen eines Windows CE Systems optimiert ist. JVMs werden in der Regel in Form eines Plug-Ins innerhalb eines Browsers ausgeführt. Die Integration in den Browser mit dem einhergehenden Sicherheits-Overhead verlangsamt die Darstellung einer Visualisierung. Daher kann die JVM von Saia Windows CE Web-Panels auch unabhängig vom Browser als selbständige Anwendung gestartet werden, was einen erheblichen Geschwindigkeitsvorteil mit sich bringt. Wer höchste Ansprüche an das Reaktionsverhalten einer Bedienung stellt, für den enthalten Saia Windows CE Web-Panel einen Viewer speziell für Web-Visualisierungen. Neben den generellen Vorteilen eines Windows CE Betriebssystems lassen sich Windows CE Web-Panels problemlos in bestehende IT-Infrastrukturen einbinden und kommen z.B. auch mit Internetzugängen via Proxy-Server und Authentifizierung zurecht. Die leistungsfähigsten Web-Panels stellt die eXP-Klasse dar. Diese basieren auf Windows XP embedded und unterscheiden sich in ihrer Funktion nicht von PCs. Windows eXP basierte Web-Panels kommen da zum Einsatz, wo hohe Anforderungen an Prozessorleistung und Speicher gestellt werden oder Software-Lösungen verwendet werden sollen, welche nicht für Windows CE verfügbar sind. Grundvoraussetzung für den Einsatz von Web-Technologien in der Automation sind Steuerungen mit integrierten Web-Servern. Deshalb sind mittlerweile sämtliche Steuerungen (SPS) von Saia-Burgess Controls mit einem Web-Server ausgestattet. Einen wichtigen Punkt stellt hierbei die Anbindung des Web-Servers an die SPS-Daten dar. Die Web-Server der Saia-Steuerungen bieten hier das Einbetten von SPS-Daten mittels spezieller Tags in HTML-Seiten sowie eine CGI-Schnittstelle, womit auch Java- und .net-Anwendungen komfortabel auf SPS-Daten zugreifen können.
Standard-Topologien
Die wohl einfachste Konstellation stellt eine Steuerung mit lokaler Bedienung dar (Bild 2). Das Bedienpanel ist direkt mit der SPS verbunden. Generell ist eine Verbindung durch Ethernet TCP/IP allen anderen Schnittstellen vorzuziehen. Damit ergibt sich die höchste Flexibilität und spätere Erweiterungen oder auch nur der vorübergehende Anschluss eines Notebooks – beispielsweise während der Inbetriebnahme – gestaltet sich einfach. Steht keine Ethernet-Verbindung zur Verfügung, können Saia-Steuerungen auch über serielle Schnittstellen, USB oder gar Profibus mit einem Web-Panel kommunizieren. Da die Kommunikation von Standard-Browsern auf LAN-Schnittstellen ausgerichtet ist, müssen bei Verwendung einer anderen Schnittstelle die Browser-Zugriffe entsprechend umgeleitet werden. Hierzu dient der Kommunikationsserver S-Web-Connect von Saia-Burgess Controls. S-Web-Connect nimmt Anfragen von einem Browser entgegen und leitet diese weiter auf die gewählte Schnittstelle, an der die Steuerung angeschlossen ist. Auf Windows-basierten Saia Web-Panels ist S-Web-Connect bereits enthalten, auf PCs kann es nachinstalliert werden. Soll in einem zweiten Schritt die Bedienoberfläche auch über das Internet abrufbar sein, ist eine LAN-Verbindung notwendig, an der Steuerung und Panel angeschlossen sind. Ein handelsüblicher DSL-Router stellt die Verbindung zum Internet über einen Provider her (Bild 3). Üblicherweise stellen Provider Internetverbindungen mit einer dynamischen IP her, d.h. die IP des Routers im WAN (Internet) kann sich ändern. Für ausgehende Internet-Verbindungen, z.B. wenn vom Bedienpanel aus eine Web-Seite aufgerufen wird, ist das nicht störend. Will man aber von extern auf die Steuerung zugreifen ist die Kenntnis der Router-IP unabdingbar. Internet-Provider bieten daher gegen Gebühr auch Internetzugänge mit einer fixen IP, unter welcher der Router dann jederzeit ansprechbar ist. Das interne Netzwerk, bestehend aus Panel, Steuerung und Router, verwendet andere IPs als der DSL-Anschluss des Providers. Es ist Aufgabe des Routers, zwischen den beiden IP-Adressräumen zu vermitteln. Wenn nun von extern ein Zugriff auf die fixe IP des Routers erfolgt, muss der Router wissen, an welchen Teilnehmer des internen LANs er den Zugriff weiterleiten soll (Panel oder Steuerung). Mit Hilfe der NAT-Funktion (Network Adress Translation) im Router lässt sich dies bewerkstelligen. Hierzu kann im Router konfiguriert werden, an welchen Teilnehmer er von extern eingehende Zugriffe weiterleiten soll. Dabei spielen Ports eine zentrale Rolle. Ports bilden eine Art \’Unteradresse\‘, zusätzlich zur IP. Eine IP kann um eine Portangabe erweitert werden. Damit hat der Router ein Unterscheidungskriterium, wenn er an seinem internen LAN mehrere Teilnehmer bedienen muss. Die Konfiguration der NAT erfolgt über eine Tabelle, in der festgelegt wird, welcher Port an welchen LAN-Teilnehmer weitergeleitet werden soll. Browser kommunizieren mit http-Protokoll, dem standardmäßig der Port 80 zugeordnet ist. In der NAT-Tabelle ist also dann für den Port 80 die IP der Steuerung einzustellen. Schwieriger wird es, wenn man auf mehrere Steuerungen von extern zugreifen will (Bild 4). Ein gangbarer Weg ist die Vergabe unterschiedlicher Ports für jede einzelne Steuerung, also Port 80 für SPS1, Port 81 für SPS2, usw. Allerdings ist für Browserzugriffe von der Verwendung eines anderen Ports als 80 abzuraten. In Unternehmen ist der Internetzugang meist rigide gesichert und nur die absolut nötigsten Ports (dazu gehört Port 80) freigeschaltet, andere Ports werden von der Firewall blockiert. Will man dennoch auf mehrere Steuerungen zugreifen, bietet S-Web-Connect eine Lösung. Zugriffe auf die Steuerungen werden in der NAT anstelle der Steuerungen auf das Panel umgeleitet. Das darauf installierte S-Web-Connect leitet dann die Zugriffe auf die einzelnen Steuerungen anhand einer Pfadangabe in der URL an die individuelle Steuerung weiter.
Sicherheit
Wenn es um Web-Technik geht, kommen früher oder später Fragen zum Thema Sicherheit auf. Kaum vergeht ein Tag, an dem uns nicht weisgemacht werden soll, dass unser Windows-PC angeblich nicht sicher ist. Mittlerweile lebt eine ganze Industrie von der Furcht vor Hacker- und Viren-Attacken. Das soll nicht heißen, dass das Thema Sicherheit nicht ernst zu nehmen ist, aber eine objektivere und nüchternere Betrachtung tut trotzdem Not. Microsoft hat tatsächlich ein Problem mit der Sicherheit: Man hat sich dem Thema unvorsichtigerweise angenommen. Nun ist ein Betriebssystem allerdings der denkbar schlechteste Ort, einen wirkungsvollen Schutz aufzubauen. Das liegt zum einen an der Komplexität heutiger Betriebssysteme. Andererseits überzeugt der Gedanke an einen wirksamen Schutz nicht, wenn der Eindringling bereits auf dem Rechner angekommen ist. Daher wird im professionellen Umfeld das Thema Sicherheit losgelöst von der einzelnen Arbeitsstation (also dem einzelnen PC) angegangen. Hierzu gibt es dedizierte Komponenten, welche die Schutzfunktion stand-alone erbringen, z.B. eine HW-Firewall. Meist beinhalten (A)DSL-Router ohnehin eine Firewall, welche in ihrer Wirksamkeit einer auf PCs installierten SW-Firewall allemal vorzuziehen ist. Übertragen auf die Automatisierungstechnik wäre es daher nicht ratsam, Sicherheit erst in der Steuerung realisieren zu wollen. Vielmehr muss das Umfeld, in dem Steuerungen und Web-Panel zum Einsatz kommen, sicher ausgestaltet sein. Generell lässt sich Sicherheit in IT-Anwendungen in zwei Themenbereiche unterteilen: dem unerlaubten Eindringen in Rechner- und Netzwerksysteme (Hacking) und Viren. Viren bauen auf eine möglichst weit verbreitete HW-Plattform mit Standardbetriebssystem, wie sie Windows-PCs darstellen. Eine Steuerung ist in der Regel mit optimierten Mikrocontrollern bzw. Prozessoren aufgebaut und mit einem proprietären Betriebssystem ausgestattet. Damit ist sie immun gegenüber allen für PCs und Windows geschriebenen Viren. Die im Vergleich zu PCs geringe Verbreitung von Steuerungen macht es auch äußerst unwahrscheinlich, dass spezielle Viren für Steuerungssysteme auftauchen. Theoretisch sind Windows-basierte Bedienpanels da anfälliger. Virenentwickler wollen einen möglichst großen Effekt erzielen und setzen daher auf die Desktop-Betriebssysteme Windows 2000/XP/Vista. Windows CE ist da schon weit weniger attraktiv. Weiter ist zu beachten, dass Viren hauptsächlich durch den Anwender selbst eingeschleppt und aktiviert werden. Das kann schnell durch einen Klick zuviel beim Internet-Surfen oder durch die Installation eines verseuchten Programms passieren. Bedienpanels in industriellen Anwendungen sind meistens geschlossen; d.h. eine Bedienoberfläche wird automatisch beim Booten gestartet und der Bediener hat gar keine Möglichkeit, kritische Web-Seiten anzusteuern oder gar Software zu installieren. Wer insbesondere bei Windows XP basierten Panels auf Nummer sicher gehen will, kann einen Viren-Scanner installieren. Man sollte dann aber einen Scanner wählen, der sich automatisch mit den neuesten Virensignaturen aktualisiert und seinen Dienst diskret im Hintergrund ohne nervige Popup-Fenster und erzwungene Benutzerinteraktion verrichtet. Hier versagen leider die meisten handelsüblichen Viren-Scanner. Dass es auch anders geht, beweist die Firma Eset (www.eset.com) mit ihrem Produkt Nod32. Nod32 lässt sich komplett ohne Benutzerinteraktion in einem so genannten \’stillen Modus\‘ betreiben und versendet sogar E-Mails, wenn eine Infektion erkannt wurde. Im Vergleich zur Virengefahr muss dem Hacking in industriellen Anwendungen ein wesentlich höherer Stellenwert eingeräumt werden. Insbesondere bei Web-Visualisierungen, bei denen sozusagen die gesamte Bedienoberfläche frei Haus geliefert wird, ist eine solide Zugangskontrolle notwendig. Dies kann durch einen vorgeschalteten Proxy-Server mit Authentifizierung erreicht werden. Vom Internet eingehende Anfragen werden zunächst auf den Proxy-Server geleitet. Bevor der Proxy-Server die Anfrage an die entsprechende Steuerung weiterleitet, muss der Benutzer sich mit einer Benutzer-/Passwort-Kennung anmelden (Authentifizierung). Dadurch ist sichergestellt, dass nur eine bestimmte Personengruppe Zugang erhält. Will man sich auch gegen \’Lauschangriffe\‘ (Sniffer) schützen, kann der Proxy-Server auch eine SSL-Verschlüsselung des kompletten Datenverkehrs vornehmen. Damit erzielt man dasselbe Sicherheitslevel wie bei Web-Shops und Online-Banking. Eine weitere Methode zur Zugangskontrolle stellt VPN (Virtual Private Network) dar. Hierbei werden private Daten über das Internet in einem so genannten Tunnel übertragen. Die Übertragung kann verschlüsselt werden. Über einen VPN-Tunnel können Anwender auf Rechner über das Internet auf dieselbe Art zugreifen, als ob sie sich in einem LAN befänden. Für den Zugriff auf ein VPN muss ein Software-Client auf dem Rechner (PC) installiert sein, der dann die Verbindung herstellt. Um nun in den Genuss der oben beschriebenen Sicherheitstechniken zu kommen, ist es nicht unbedingt notwendig, einen ausgewachsenen Server-PC einzusetzen. Auf dem Markt sind dafür kompakte, für den Einsatz im Schaltschrank konzipierte, Geräte erhältlich. Beispielsweise bietet die Firma Eurogard (www.eurogard.de) einen preiswerten Service-Router an, der einen Proxy-Server mit SSL-Verschlüsselung und VPN bietet und speziell auf PCD-Steuerungen von Saia-Burgess Controls ausgerichtet ist.
