Wenn es gilt, Performance-Daten von verschiedenen Standorten weltweit zu ermitteln, müssen dafür bis dato die dezentralen Profinet-­Stationen aufwendig in das Netzwerk integriert werden – sowohl über Hardware-Verbindungen als auch im Engineering. Vor diesem Hintergrund ist bei Phoenix Contact die Idee ­gereift, Profinet in die Cloud zu bringen und damit verteilte Automatisierung erheblich zu vereinfachen – ganz gleich, wo die Netzwerkteilnehmer sich befinden. Einzige Vo-raussetzung: ein Internetzugang. Was steckt im Detail hinter der Profi­cloud-Technik?

Die Proficloud-Anwendung setzt sich stets aus mindestens einem Cloud-Koppler und einem Cloud-Device zusammen. Der Koppler verbindet das lokale Profinet-Netzwerk über zwei Ethernet-Interfaces mit der Cloud. Während die eine Schnittstelle dem Anschluss an das lokale Profinet-System dient, erfolgt die Ankopplung an das Internet über das zweite Interface. Anschließend initiiert der Koppler automatisch eine Verbindung mit der Proficloud und ist nach kurzer Zeit einsatzbereit. Gleiches gilt für die Proficloud-Devices. In der Proficloud muss der Anwender lediglich noch die Devices dem jewei-ligen Koppler zuordnen, bevor das System die Arbeit aufnehmen kann.

Wenn der Programmierer das lokale Profinet-Netzwerk einliest, in dem sich der Koppler befindet, werden die dezen-tralen Proficloud-Devices wie lokale Profinet-Teilnehmer angezeigt. Die Beschreibung des Engineering einer einfachen Fernwirkaufgabe soll die Funktionsweise verdeutlichen. Die Beispiel-Anwendung basiert auf der zentralen Steuerung eines Wasserwerkes, das Profinet als lokales Feldbussystem verwendet. Zum Wasserwerk gehören zwei entfernt installierte Pumpstationen, welche aufgrund der geografischen Lage unter Kostengesichtspunkten nur über öffent-liche Netzwerke wie das Internet erreichbar sind.

Übersicht über die Proficloud-Technik: Mit der Proficloud lassen sich weltweit ausgeprägte Profinet-Netzwerke realisieren.

© Phoenix Contact

Heute wird in fernwirktechnischen Lösungen häufig VPN (Virtual Private Network) genutzt. Der ausführende Applikations-Ingenieur muss also zunächst das VPN aufbauen. Zu diesem Zweck erzeugt er Zertifikate, die eine Verschlüsselung der übertragenen Daten sicherstellen. Außerdem muss es in der Applikation mindestens einen VPN-Server geben, der über eine feste IP-Adresse kontaktiert werden kann. Diese Anforderung lässt sich mittels DynDNS-Diensten (Dynamic Domain Name System) umsetzen, die allerdings noch zu konfigurieren sind. Ferner muss der Programmierer die Firewall einstellen, um den für den VPN-Server notwendigen Port an den Server weiterzuleiten. Zudem hat er dafür Sorge zu tragen, dass sich alle Teilnehmer im gleichen Subnetz befinden und die Kommunikation somit auf Basis von TCP/IP erfolgen kann. Damit sind die Arbeiten immer noch nicht abgeschlossen, denn der Programmierer muss darüber hinaus ein Protokoll auf den angeschlossenen Geräten konfigurieren. Im Bereich der Fernwirktechnik kommen meist Modbus TCP oder der IEC-Standard 60870-5-104 zum Einsatz. Sind diese Schritte beendet, können die einzelnen Stationen endlich Prozessdaten untereinander austauschen.

Im Vergleich zur beschriebenen Vorgehensweise gestaltet sich das Engineering der Proficloud-Lösung einfach. Zunächst registriert sich der Programmierer bei der Proficloud. Durch die Eingabe der bei jedem Proficloud-fähigen Gerät vorhandenen ID wird der entsprechende Teilnehmer personalisiert. Das gilt sowohl für die Koppler als auch die Devices. Anschließend ordnet der Programmierer jedem Koppler die jeweiligen Devices über einen Drag&Drop-Mechanismus zu. Dann werden die Devices vor Ort mit dem Internet verbunden. Sie beziehen ihre Netzwerkdaten automatisch über DHCP (Dynamic Host Configura-tion Protocol), integrieren sich selbsttätig in die Profi-cloud-Lösung und starten den Datenaustausch. Neben der Konfiguration innerhalb der Proficloud sind also keine weiteren Einstellungen erforderlich.

Abschließend muss der Programmierer lediglich den Koppler mit dem lokalen Profinet-System und dem Internet-Anschluss verbinden. Jetzt kann er die dezentralen Teilnehmer in seiner gewohnten Engineering-Umgebung der Profinet-Konfiguration hinzufügen. Sämtliche dezentralen Geräte, die dem Koppler über die Proficloud zugeordnet worden sind, erscheinen im lokalen Profinet-System, als wären sie hier direkt angekoppelt. Auf diese Weise kann der Programmierer sich auf das Verarbeiten von Profinet-Daten konzentrieren und muss sich nicht mit der aufwendigen Konfiguration von VPN und Fernwirk-Protokollen beschäftigen. Als zusätzlicher Vorteil der Proficloud-Lösung reduzieren sich die Hardware-Kosten deutlich, weil in den dezentralen Stationen keine weiteren VPN-Clients respektive -Server notwendig sind.

Integration in beliebige Profinet-Netzwerke

Bei der Entwicklung der Proficloud-Lösung stand die einfache Handhabung im Vordergrund. Deshalb werden die Geräte bereits vorkonfiguriert ausgeliefert; sie verbinden sich somit automatisch mit dem ebenfalls voreingestellten Cloud-Endpunkt. Der Koppler erhält seine Konfigurationsdaten nach dem Verbinden mit der Proficloud. In den Daten sind alle Geräte beschrieben, die an den Koppler angeschlossen respek-tive logisch mit ihm in der Cloud verknüpft worden sind. Daraufhin beginnt der Koppler mit der Emulation von lokalen Profinet-IO-Devices, so dass sich die Komponenten nach außen genau wie ein normaler Profinet-Teilnehmer darstellen. Durch dieses Verfahren lässt sich die Proficloud-Lösung hersteller-unabhängig in jedes bestehende Profinet-Netzwerk integrieren.

Die Funktionsweise der Proficloud-Technik am Beispiel eines Wasserwerks: Die entfernten Pumpstationen erscheinen wie lokale Teilnehmer im Profinet-Netzwerk und lassen sich genauso engineeren.

© Phoenix Contact

Die Daten werden über eine TLS-Verschlüsselung (Transport Layer Security) übertragen, auf die beispielsweise auch Online-Banking-Verfahren aufsetzen.  Websockets, die ebenfalls in aktuellen Web-Applikationen zum Einsatz kommen, leiten die Daten dann weiter. Da die Websockets auf standardisierten Web-Mechanismen basieren und entsprechende Web-Ports (Port 443, Port 80) nutzen, erweisen sie sich als Firewall-freundlich. Denn bei den meisten Firewalls sind die Ports 80 und/oder 443 offen für das TSL-Protokoll, weil dieses zum normalen Surfen im Internet be­nötigt wird. Die Proficloud-Lösung verzichtet somit gänzlich auf aufwendige Firewall-Konfigurationen.
Um die Zugriffssicherheit weiter zu erhöhen, verwenden die Proficloud-Geräte ausschließlich eine Outbound Connection. Das bedeutet, dass zu keiner Zeit eine Verbindung aus dem Internet in das lokale Netzwerk aufgebaut werden kann.

Die Proficloud-Komponenten verfügen zudem über keine offenen Ports, sind also von außen nicht zu erreichen, weshalb einem potenziellen Angreifer die Grundlage für einen unbefugten Zugriff fehlt.

Ein zusätzlicher Sicherheitsaspekt betrifft den Koppler, der scheinbar das Produktionsnetzwerk mit dem Internet verbindet. Dem ist allerdings nicht so. Der Koppler enthält vielmehr zwei getrennte Netzwerkkarten: Eine Karte ist für das lokale Produktionsnetzwerk bestimmt, während die andere der Ankopplung an das Internet dient. Die beiden Karten sind folglich nicht per TCP/IP verbunden. Die Kommunika-tion findet ausschließlich im Application Layer statt und beschränkt sich auf den Austausch Profinet-relevanter Daten.

Drei Arten von Proficloud-Devices

Bei den Proficloud-Devices wird zwischen drei Arten unterschieden. Zu den Standard-Devices, die auch aus dem normalen Profinet-Umfeld bekannt sind, zählen dezentrale I/O-Geräte oder als Device ausgeprägte Steuerungen. Sie finden hauptsächlich in der bereits erwähnten Fernwirktech-nik Anwendung. Die sogenannten virtuellen Devices stellen einen neuen Geräte-Typ dar. Über sie kann die Leistung der Proficloud innerhalb des Profinet-Netzwerks genutzt werden. Die virtuellen Devices haben kein physikalisches Gegenstück, sondern existieren nur innerhalb der Cloud, wo sie wie ein reales IO-Gerät funktionieren.

Mögliche Erweiterungen der Proficloud-Lösung: Aufgrund der SoA-Architektur lässt sich die Proficloud auch mit Daten von Drittanbietern versorgen.

© Phoenix Contact

Im Unterschied zum realen Teilnehmer stammen die IO-Daten jedoch nicht von Sensoren und steuern auch keine Aktoren an; sie repräsentieren vielmehr Daten aus der Proficloud. Somit ist es beispielsweise denkbar, dass Wetter-Informationen aus dem Internet gezogen und über das virtuelle Device der Steuerung zur Verfügung gestellt werden. Einem solchen Device würden beispielsweise der Längen- und Breitengrad als Eingangsdaten vorliegen, während es die aktuelle Temperatur, den Luftdruck und die Regenwahrscheinlichkeit beziehungsweise die  Wettervorhersage an die Steuerung ­zurückliefert, weil diese Informationen von der jeweiligen Wetterstation vor Ort unter Umständen nicht angeboten werden. Eine solche Funktion kann in Wind- und Solarparks einen Mehrwert generieren, da sich beispielsweise der Ertrag auf diese Weise prognostizieren lässt.

Beim dritten Device-Typ handelt es sich um eine Mischform aus ­Standard- und virtuellem Device. Er wird als Hybrid-Device bezeichnet und verbindet die virtuelle Welt der Cloud mit der physikalischen Welt des Produktionsnetzwerks.

Das ­Hybrid-Device, an das reale Sensoren und Aktoren angekoppelt sind, erhält zusätzliche Unterstützung von einer Cloud-Applikation. Es erlaubt die ­Vorverarbeitung von Sensordaten innerhalb der Cloud, die dann auf­bereitet an das lokale Profinet-System weitergeleitet werden. Rechen-inten­sive Aufgaben, die in der Steuerung oder dem lokalen IO-Gerät viel Zeit in Anspruch nehmen würden, lassen sich so innerhalb kurzer Zeit in der Cloud ausführen. Auf dieser Weise spart der Anwender Hardware-Kosten im Feld ein, respektive werden dadurch ­komplexe Berechnungen überhaupt erst möglich.

Als weiteres Beispiel sei ein komplexer Regler genannt, dem aufwendige Algorithmen zu­grunde liegen. Selbstverständlich muss der Anwender die durch das ­Internet ­entstehenden Verzögerungen in die Berechnungen einbeziehen. Bei einer guten Internet-Verbindung liegen sie jedoch deutlich unter einer Sekunde.

Die Proficloud-Lösung eröffnet auch im Umfeld von Industrie 4.0 vielfältige Vorteile, indem sie die Technologie für eine umfassende Vernetzung bereitstellt. Mit Hilfe der virtuellen Devices lassen sich fast alle Informationen, welche die Cloud liefert, auf das Profinet-Protokoll herunterbrechen und somit der untersten Ebene der Automatisierungs-Pyramide verfügbar machen. Auf diese Weise können Auftragsdaten direkt aus dem ERP-System in die Anlage geladen werden, ohne sie in einem zwischengeschalteten IT-System aufbereiten zu müssen.

Die Anwendungsmöglichkeiten

Da über die virtuellen Devices ebenfalls Feldbusdaten in der Proficloud verwendet und verarbeitet werden können, ergeben sich verschiedene neue Anwendungsgebiete. Dazu zählen das Alarmieren des Wartungspersonals über die Cloud oder das Sammeln von Nutzungs-Statistiken für den Maschinenbauer. Mit Hilfe der ­virtuellen Devices kann der Anwender auch weitere Cloud-Dienste ansteuern und mit Daten versorgen oder diese – wie im angeführten Wetter-Beispiel – im Profinet-System bereitstellen. Denkbar ist die Visualisierung der Daten auf einem Web-Portal,  einer Smartphone-App oder auch andere Formen der Aufbereitung.

Die Proficloud-Technik arbeitet mit drei verschiedenen Device-Typen.

© Phoenix Contact

Dem aktuellen Hype um Big Data lässt sich mit der Proficloud ebenfalls begegnen. So kann der Hersteller den Zustand seiner überall auf der Welt ­installierten Anlagen überwachen. Die Auswertung der gewonnenen ­Daten zeigt mögliche Ausfälle frühzeitig an (Predictive Maintenance). Zudem sind Wartungsintervalle bedarfsgerecht durchführbar, was die Kosten des Endanwenders senkt. War ein lückenhaftes Product Lifecycle Management bislang häufig auf fehlende Informationen zurückzuführen, so erlauben die Proficloud-Lösung und die entsprechenden Cloud-Applikationen jetzt eine präzise Dokumentation und folglich eine optimierte Entwicklung neuer Anlagen und Komponenten.

In Summe lässt sich festhalten: Weil ­Proficloud auf etablierten Standards wie Profinet aufsetzt, ­können die Anwender die ­Lösung problemlos in ihre vorhandenen Anlagen integrieren. Eine kom-plexe Kon­figuration von IT-Systemen oder VPN-Komponenten ist nicht erforderlich. Damit gestaltet sich der Schritt in die Cloud so einfach und sicher wie möglich.

Autor: Mathias Weßelmann ist Mitarbeiter im Bereich Research & Development bei Phoenix Contact Electronics, Bad Pyrmont.