S7-1200 / S7-1500 per OPC UA an KEPServerEX

1. Sicherheitseinstellungen

Um eine sichere Verbindung erstellen zu können, müssen die Einstellungen im Kepware OPC Server mit den Einstellungen in der Siemens Steuerung übereinstimmen. Als erster Schritt erfolgt die Sicherheitseinstellung im KEPServerEx für den OPC UA Server.

1.1 Sicherheitseinstellungen im KEPServerEX für den OPC UA Server

Öffnen Sie die KEPServerEX Konfiguration und klicken Sie mit der rechten Maustaste auf den OPC UA Channel (hier im Beispiel: „Kanal1“). Wählen Sie dort die Eigenschaften aus und führen folgende Einstellungen aus:

1. Sicherheitsrichtlinie auf Basic256Sha256 einstellen
2. Meldungsmodus: Signieren und und verschlüsseln

Falls nach diesem Schritt folgende Meldung in der KEPServerEX-Konfiguration erscheint, müssen Sie das Zertifikat im Kepware OPC UA Konfigurations-Manager neu ausstellen. Damit geht es im nächsten Schritt weiter.

Wenn Sie sich in der KEPServerEX Administration befinden, klicken Sie mit der rechten Maustaste auf das KEPServerEX Administration-Icon in der Taskleiste. Klicken Sie in diesem Fenster auf OPC UA Konfiguration.

Im OPC UA Konfigurations-Manager:

1. Klicken Sie auf den Reiter „Instanzzertifikate“.
2. Dann unter „Client Treiber“
3. auf „Zertifikat neu ausstellen“.

Laufzeitdienst des KEPServerEX anhalten und wieder starten:

1. Dazu per Rechtsklick auf das KEPServerEX Administration-Icon klicken.
2. Zuerst auf „Laufzeitdienst anhalten“ klicken und
3. dann auf „Laufzeitdienst starten“ klicken.

1.2 Sicherheitseinstellungen in der Siemens Steuerung für OPC UA mit Zertifikat aus dem KEPServerEX

Aktivieren Sie zunächst den globalen Zertifikats-Manager in der Siemens Steuerung. Er wird benötigt, um Cient Zertifikate imporieren zu können.

1. In die Security-Einstellungen gehen,
2. Unter Einstellungen
3. Projektschutz auswählen und
4. „Dieses Projekt schützen“ anklicken.
5. Vergeben Sie hier einen Benutzernamen und ein Passwort.

Nun erscheint bei den Security-Einstellungen die Security-Funktion, in der sich der Zertifikats-Manager befindet:

Erstellen Sie im nächsten Schritt ein KEPServerEX OPC UA Client Zertifikat.

Klicken Sie im Konfigurations-Manager dann auf den Reiter „Instanzzertifikate“ (1) und dann auf „Client-Treiber-Zertifikat exportieren“ (2).

Damit die Siemens Steuerung dem Client vertraut, müssen Sie im nächsten Schritt das Client Zertifikat in den Zertifikats-Manager im TIA Portal einspielen.

1. Gehen Sie dazu in den Zertifikats-Manager,
2. wählen dort den Reiter „Gerätezertifikat“ aus und
3. dort per Rechtsklick „Importieren“.

Wählen Sie dann das zuvor erstellte Zertifikat aus.

Das Zertifikat erscheint dann bei den Gerätezertifikaten.

Kommen wir dazu, die globalen Security-Einstellungen für den Zertifikats-Manager im TIA Portal zu verwenden. Dieser Schritt wird benötigt, um das zuvor eingespielte Gerätezertifikat nutzen zu können.

Gehen sie dazu

1. in die Gerätekonfiguration und
2. wählen Sie dort PLC_1 aus.
3. Gehen Sie in dem Reiter „Allgemein“ zu dem Eintrag Schutz & Security und wählen dort dne Zertifikatsmanager.
4. Aktivieren Sie hier die Checkbox „Globale Security-Einstellungen für den Zertifikatsmanager verwenden“.
5. Bestätigen Sie abschließend im Pop-up-Fenster mit OK.

Erstellen Sie als nächstes ein neues Geräte- bzw. Server-Zertifikat. Dies ist wichtig, damit der Server ein Zertifikat hat, welchem der KEPServerEX später vertrauen kann.

Erstellen Sie ein neuens Zertifikat, in dem Sie auf „Neu hinzufügen“ klicken.

Klicken Sie im geöffneten Pop-up-Fenster auf „Hinzufügen“.

Es erscheint ein weiteres Pop-up-Fenster, in dem nun das Zertifikat eingestellt werden kann. In unserem Beispiel sieht es so aus:

1. Selbstsigniert,
2. mit einem individuellen Namen des Zertifikatsinhabers
3. sowie einem individuellen Gültigkeitszeitraum.
4. Unser Verwendungszweck lautet „OPC UA-Client & -Server“.
5. Wenn Sie Ihre Daten erfasst haben, klicken Sie unten auf OK.

Nach dem Bestätigen mit OK ist das Zertifikat in der Liste zu sehen.

Stellen Sie das Server-Zertifikat und die Security Policys im TIA Portal ein. Das wird benötigt, damit der Client das Server-Zertifikat finden kann und definiert ist, welche Sicherheit verwendet werden kann.

1. Gehen Sie dazu in die Gerätekonfiguration und
2. wählen dort PLC_1 aus.
3. Gehen Sie dann in dem Reiter Allgemein zu dem Eintrag OPC UA, dann zu Server und dann unter Security zu Secure Channel.
4. Wählen Sie hier das Server-Zertifikat aus und
5. bestätigen Sie das ausgewählte Zertifikat mit dem grünen Haken.
6. Wählen Sie zum Schluss die entsprechenden Security Policys aus, die auch der Client eingestellt hat.

Richten Sie nachfolgend vertrauenswürdige Clients im TIA Portal ein.

1. Gehen Sie dazu in die Gerätekonfiguration und
2. wählen dort PLC_1 aus.
3. Gehen Sie dann in dem Reiter Allgemein zu dem Eintrag OPC UA, dann zu Server und dann unter Security zu Secure Channel.
4. Scrollen Sie bis zu den vertrauenswürdigen Clients runter.
5. Entfernen Sie den Haken bei „Client-Zertifikate zur Laufzeit automatisch akzeptieren“.
6. Wählen Sie zum Schluss das Client-Zertifikat aus (Kepware Client).

Klicken Sie dazu wieder auf die vertrauenswürdigen Clients. Es öffnet sich ein Pop-up, wo das Zertifikat ausgewählt werden und mit dem grünen Haken bestätigt werden kann.

Das Zertifikat erscheint nun in der Liste der vertrauenswürdigen Clients:

Laden Sie nun die Hard- und die Software in die Steuerung, damit die Steuerung die Änderung mitbekommt.

1. Gehen Sie dazu mit einem Rechtsklick auf PLC_1
2. und wählen Sie „Laden in Gerät“ aus.
3. Danach wählen Sie bitte „Hardware und Software (nur Änderungen)“ aus.

Im nächsten Schritt exportieren Sie das Serverzertifikat aus dem TIA Portal, damit es im KEPServerEX importiert werden kann.

1. Gehen Sie dazu in die Gerätekonfiguration und
2. wählen dort PLC_1 aus.
3. Gehen Sie dann in dem Reiter Allgemein zu dem Eintrag Schutz & Security und dann zum Zertifikatsmanager.
4. Wählen Sie bei den Gerätezertifikaten das entsprechende Zertifikat aus und
5. sagen per Rechtsklick „Zertifikat exportieren“.

Legen Sie das Zertifikat auf dem Server ab, auf dem der KEPServerEX läuft.

Importieren Sie als nächstes das Serverzertifikat aus dem TIA Portal im KEPServerEX.

Per Rechtsklick auf das KEPServerEX Administrations-Icon in der Taskleiste gelangen Sie in den OPC UA Konfigurations-Manager des OPC UA Servers.

Öffnen Sie den Reiter „Vertrauenswürdiger Server“ (1), wählen Sie „Importieren des Zertifikats“ aus (2) und wählen das zuvor erstellte Zertifkat aus (3).

Eventuell müssen Sie jetzt noch die Laufzeit neu initialisieren, damit die Änderungen übernommen werden. Kicken Sie dazu mit der rechten Maustaste auf das Administrations Icon des KEPServerEX in der Taskleiste und klicken auf „Neu initialisieren“.

Nun hat der KEPServerEX das Server-Zertifikat von der Siemens Steuerung und die Siemens Steuerung das Client-Zertifikat des KEPServerEX.

2. OPC UA Anbindung

In den nachfolgenden Schritten wird der OPC UA Server der Siemens Steuerung aktiviert, damit ein Client – in diesem Fall der KEPServerEX – darauf zugreifen kann.

2.1 OPC UA Server in der Steuerung aktivieren

1. Gehen Sie dazu in die Gerätekonfiguration.
2. Wählen Sie „PLC_1“ aus und
3. navigieren Sie im Reiter „Allgemein“ unter OPC UA und Server zum Punkt „Allgemein“.
4. Aktiveren Sie den OPC UA Server.
5. Es wird die Adresse sichtbar, unter der der OPC UA Server erreichbar ist.

2.2 Server-Schnittstelle erstellen

Nach dem Aktivieren wird noch eine Server-Schnittstelle benötigt. In dieser Schnittstelle können Tags definiert werden, die dann vom Client abrufbar sein sollen.

1. Bei PLC_1 „OPC UA- Kommunikation“ auswählen und „Neue Server-Schnittstelle hinzüfgen“ anklicken.
2. Vergeben Sie einen Namen für die Schnittstelle und
3. bestätigen Sie Ihre Eingabe mit OK.

2.3 Server-Schnittstelle befüllen

1. Es öffnet sich die neu erstellte Schnittstelle.
2. Nun können zuvor erstelle Variablen aus den Bausteinen unter ihrem symbolischen Namen per Drag-and-drop
3. in die Schnittstelle gezogen werden.
4. Führen Sie zuletzt einen Konsistenzcheck aus, damit der Datentyp in der Schnittstelle erscheint.

Wenn die Tags in der Schnittstelle beschreibbar sein sollen, muss die Zugriffsstufe beachtet werden. Wählen Sie dazu in der Schnittstelle eine Variable (z.B. Schalter_1) aus und unter „Allgemein“ die erforderliche Zugriffsstufe.

2.4 Datenbaustein-Verwendung über OPC UA

Die richtige Verwendung wird benötigt, damit der Datenbaustein per OPC UA angesprochen werden kann. 

1. Gehen Sie dazu bei PLC_1 unter „Programmbausteine“ in den entsprechenden Datenbaustein (in diesem Beispiel „Funktionsbaustein_1_DB [DB1]“).
2. Wählen Sie den entsprechenden Parameter aus und
3. klicken im Reiter „Allgemein“ die Attribute an.
4. Aktiveren Sie unter „Verwendung“ die Erreichbarkeit und die Sichtbarkeit.

2.5 Runtime Lizenz

Für den OPC UA Server ist eine Runtime Lizenz erforderlich. Welche das ist, sehen Sie bei der Gerätekonfiguration im Reiter „Allgemein“ und dort bei Runtime-Lizenzen.

Die Lizenzen finden Sie im Automation License Manager.

3. Projekt aktiv schalten und in die Steuerung laden

Um Ihr Projekt aktiv zu schalten und in die Steuerung zu laden, gehen Sie in Ihrer Siemens Steuerung am linken Bildschirmrand in die Projektnavigation und führen folgende Schritte aus. Hierfür müssen Sie Ihr Projekt geöffnet haben oder es jetzt öffnen.

3.1 Übersetzen der Hardware und Software

Klicken Sie mit der rechten Maustaste auf PLC_1 und wählen Sie dort im Menü „Übersetzen“ aus. Klicken Sie dort auf Hardware (komplett übersetzen) sowie auf Software (komplett übersetzen).

3.2 Online verbinden

Um Ihr Projekt auf die Steuerung übertragen zu können, müssen Sie eine Verbindung mit der Steuerung herstellen.

1. Markieren Sie dazu den PLC_1 in der Projektnavigation und
2. wählen Sie oben „Online verbinden“ aus.

Wenn zuvor noch keine Verbindung eingerichtet war, werden Sie als nächstes gefragt, wohin die Verbindung erfolgen soll.

1. Über „Suche starten“ können Sie die entsprechende Steuerung suchen,
2. die Steuerung markieren und
3. den Vorgang mit einem Klick auf „Verbinden“ bestätigen.

3.3 Programm in die Steuerung laden

1. Per Rechtsklick auf PLC_1 klicken,
2. dann unter „Laden in Gerät“
3. „Software (komplett laden)“ auswählen.

Damit der Ladevorgang durchgeführt werden kann, müssen Sie im PopUp bei „Baugruppen stoppen“ alle Baugruppen stoppen.

4. Verbindung vom KEPServerEX mittels OPC Connectivity Suite zur Steuerung aufbauen

Folgende Schritte führen Sie in der KEPServerEX Konfiguration durch, wo ein Channel sowie ein Device (in der deutschen Installation „Gerät“) einzurichten sind, um eine Kommunikation zur Steuerung aufzubauen. Dies erfolgt mit dem Treiber OPC UA Client, der in der Connectivity Suite enthalten ist.

4.1 Einen Kanal für den Treiber erstellen

Der Kanal ist der Treiber des Kepware OPC UA Servers, in unserem Fall der OPC UA Client aus der OPC Connectivity Suite. Als Endpunkt-URL nutzen Sie die oben genannte Adresse (hier im Beispiel: opc.tcp://172.20.2.25:4840) und wählen bei der Sicherheitsrichtlinie z.B. „Keine“ aus. Sie können auch die zuvor gewählte Sicherheitsrichtlinie Basic256Sha256 auswählen (s. 1.1 Sicherheitseinstellungen im KEPServerEX für den OPC UA Server).

4.2 Ein Gerät (Device) für den Kanal erstellen

Das Gerät ist die Steuerung, hier die S7-1200 oder S7-1500, die zu dem gewählten Treiber gehört. Sie fügen das Gerät hinzu, indem Sie die benötigten Datenpunkte einfach auswählen. Nachdem Sie die Datenpunkte hinzugefügt haben, erscheinen diese im rechten Fenster.

Danach sollte die Konfiguration folgendermaßen aussehen:

4.3 Live-Werte via OPC Test Client betrachten

Die Datenpunkte sind nun im Quickclient sichtbar und können bedient werden:

• Wenn beide Schalter eine 1 haben, dann geht die Lampe an.
• Wenn nur ein Schalter an ist, dann nicht.

4.4 Weitere Tags generieren

Sie können jederzeit weitere Tags hinzufügen, z. B. wenn sich das Programm in der Steuerung ändert und somit neue Datenpunkte abgegriffen werden sollen.

1. Dazu klicken Sie mit der rechten Maustase auf das Device,
2. wählen die Tag-Generierung aus und
3. nehmen die Auswahl der neuen Tags vor.

Weitere Informationen

Der OPC UA Server KEPServerEX von Kepware kann alle Steuerungen der S7-Modellreihen anbinden. Lesen Sie hier mehr dazu in unserem Beitrag „Siemens Simatic S7 Steuerungen: Modelle und Anbindung per Kepware OPC Server„.

Schauen Sie sich auch unser Video „KEPServerEX Einstieg: Siemens SPSen anbinden“ an.

Sie können den OPC Server von Kepware kostenlos und unverbindlich testen. Fordern Sie noch heute Ihre persönliche Demo an.