Fernwartung mit dem TIA Portal

Hallo SIOS-Forum-Community.

Wenngleich TIA Portal die Benutzung der früheren Teleservice-Adapter noch unterstützt (und dies übrigens ohne ggf. zusätzlich erforderliche Optionspakete), haben die klassischen Teleservice-Szenarien nahezu vollständig an Bedeutung verloren. Im Unterschied zu den Controllern der Generation S7-300/400 verfügen die heutigen S7-1200/1500 Controller grundsätzlich über PROFINET- bzw. Ethernet-Schnittstellen. Damit verbunden erfolgt heute jedweder Remote Access üblicher Weise über kabelgebundene und/oder mobile Internetverbindungen. Während die Hantierung der Teleservice Adapter noch als integrale Funktionalität von STEP7 anzusehen war, werden die für den Remote Access über Internet erforderlichen Routen über die unterlagerte Netzwerktechnik (d.h. Router, VPN Tools usw.) realisiert.

Wir verweisen daher auf entsprechende Produkte in unserem Produktsegment Industrial Remote Communication z.B.

• SCALANCE M – Router
• SCALANCE S – Security Module
• SINEMA Remote Connect

siehe auch Applikationsbeispiel
Übersichtsdokument: Sicherer Remote Access mit VPN

Grundsätzlich gilt, dass ein Remote Access mit dem TIA Portal immer möglich ist, wenn die unterlagerte Netzwerk-Architektur eine TCP/IP-basierte Kommunikation über Netzwerkgrenzen (d.h. Router) hinweg zwischen Engineering PC und Automatisierungskomponente vor Ort ermöglicht. Gleiches gilt für Zugriffe auf ggf. vorhandene Web Server auf den Automatisierungskomponenten.

Unabhängig davon sind auch einige Aspekte des TIA Portals hinsichtlich Remote Access relevant.

Eine häufig gestellte Frage ist die nach den für die diversen online-Funktionen verwendeten TCP-Ports (relevant für die Freischaltung in Firewalls oder Portweiterleitungen). Neben dem bei online-Verbindungen zu S7-Controllern maßgeblichen Port 102 (ISO on TCP) kommen für viele andere Funktionen auch viele andere Ports in Betracht. An dieser Stelle sei daher auf die Online Hilfe des TIA Portals verwiesen (siehe dort „Security-Hinweise“).

Online-Funktionen des TIA Portals, die mit einem Netzwerk-Scan auf der Basis von PROFINET-Diensten (Layer 2) beginnen (z.B. "Alle kompatiblen Teilnehmer anzeigen" oder "Erreichbare Teilnehmer anzeigen"), geraten genau an dieser Stelle gern ins Stocken, da diese Dienste über die VPN-Verbindungen in der Regel nicht funktionieren. Wenn sich der Teilnehmer in einem remote erreichbaren Netzwerk nicht per Netzwerk Scan finden lässt, dies aber der Ausgangspunkt für einen Download oder den Aufbau einer online Verbindung sein sollte, dann kann im Dialog-Fenster „Online verbinden“ oder „Erweitertes Laden“ alternativ die Ziel-IP-Adresse manuell vorgeben (siehe anliegender Screenshot).

Diese Vorgehensweise ist auch dann erforderlich, wenn entfernte Komponenten stellvertretend über die IP-Adresse vorgelagerter Router mit NAT oder Portweiterleitung angesprochen werden sollen.

Da bei Fernwartungsszenarien in der Regel ein Fernzugang nur zu einem übergeordneten Netzwerk zur Verfügung steht, stellt sich zudem die Frage, wie Komponenten in unterlagerten Netzwerken zu erreichen sind.

Zum einen ist auch im Kontext von Remote Access das S7-Routing anwendbar. Hierbei erfolgt ein Routing auf Anwenderprotokoll-Ebene (Layer 7) auf der Basis der im TIA Portal-Projekt beschriebenen Topologie.

siehe FAQ
Wie projektieren und aktivieren Sie das S7-Routing in STEP 7 (TIA Portal)?

Zum anderen besteht seit der V16 die Möglichkeit, dass eine übergeordnete S7-1500er Steuerung über IP-Forwarding IP-Pakete an unterlagerte Komponenten weiterleitet.

siehe Systemhandbuch
SIMATIC STEP 7 Basic/Professional

Mit freundlichen Grüßen
SIMATIC-S7-1500-1200-FB-GER (MT)