Der LXI-Standard in der Messtechnik und was künftig möglich sein wird

| Autor / Redakteur: David Courtney * / Hendrik Härter

Mit LXI können Messgeräte über einen Standard-Ethernet-Anschluss kommunizieren.
Mit LXI können Messgeräte über einen Standard-Ethernet-Anschluss kommunizieren. (Bild: gemeinfrei / CC0)

Mit dem LXI-Standard können geeignete Messgeräte über Ethernet kommunizieren. Aktuell arbeitet das Konsortium an LXI Security. Aber auch selbstzertifizierte Messgeräte soll es künftig geben. Ein Überblick.

Anfang Oktober 2018 hat das LXI-Konsortium die sogenannte LXI-Reference-Design-Version 1.4 veröffentlicht. Mit der Referenzimplementierung haben viele Unternehmen begonnen, den LXI-Standard in ihre Geräte zu übernehmen. Wie ist es zu einem LXI-Standard gekommen? Zu Beginn des Jahrtausends wurde es immer wichtiger, verschiedene Messgeräte möglichst einfach an ein Testsystem anzuschließen. Das wurde notwendig, um in verteilten Systemen verschiedene Testszenarien und Testverfahren zu erreichen.

Die komplexe LXI-Technik erforderte es, dass immer mehr unterschiedliche Messgeräte wie Generatoren, Analysatoren, Schaltgeräte usw. in das Messszenario integriert und mit dem für den Messvorgang zu programmierenden Steuerrechner verbunden werden mussten. Bisher basierten die Ansätze auf dem IEC-Bus (GPIB oder IEEE488), was allerdings die Austauschbarkeit, Flexibilität und Erweiterbarkeit einschränkt. Da das Ethernet sowohl im PC als auch in der Industrie weit verbreitet ist, bot das LAN-Interface eine Alternative für ein standardisiertes Bussystem. Aus diesem Grund haben führende Messtechnik-Unternehmen beschlossen, einen Standard auf Basis von Ethernet-Netzwerken zu etablieren. Um ein solches Unternehmen zu realisieren, wurde 2004 ein Non-Profit-Konsortium gegründet, das den LXI-Standard (LAN eXtensions for Instrumentation) hervorbringen sollte. Heute sind mehr als 50 Unternehmen weltweit aus der Messtechnik-Branche in diesem Konsortium vertreten. Dazu gehören Keysight, Pickering und Rohde & Schwarz als strategische Mitglieder. Mehr als 3800 Geräte von 43 Mitgliedsunternehmen sind LXI-zertifiziert.

Die aktuellen Aktivitäten des LXI-Konsortiums

Neben den kontinuierlichen Verbesserungen des LXI-Reference-Designs, die regelmäßige Fehlerbehebungen sowie die Integration neuer Funktionen, arbeitet das Konsortium an einer erweiterten Funktion mit der Bezeichnung LXI Security. Cybersecurity-Probleme sind ein wichtiges Thema in der Industrie, daher Blickt die Branche aufmerksam auf dieses kritische Attribut innerhalb von Netzwerken. Ein weiteres heißes Thema ist die Möglichkeit der Selbstzertifizierung in naher Zukunft.

Für LXI Security gibt es innerhalb des Konsortiums eine eigene Arbeitsgruppe, um die Risiken von LXI-relevanten Sicherheitsverletzungen auf LXI-Geräten zu berücksichtigen. Die Gruppe muss die verschiedenen Szenarios berücksichtigen, für die LXI-Instrumente möglicherweise verwendet werden. Die Testsysteme können isolierte Netzwerke oder sogar eine Peer-to-Peer-Verbindung sein, aber LXI-Instrumente sind oft direkt mit Firmennetzwerken oder sogar mit dem Internet verbunden, um im Feld fernüberwacht zu werden. Entscheidend sind die Fernsteuerverbindungen, die hauptsächlich SCPI-basierte TCP/IP-Verbindungen wie HiSLIP und VXI-11 sind, aber auch die Webbrowser-Schnittstelle, die ein wesentlicher Bestandteil einer LXI-Gerätekonfigurationsmöglichkeit ist. Der aktuelle Standard erfordert es, dass ein HTTP-Webserver ausgeführt wird, der überhaupt keine Verschlüsselung hat. Neben diesen beiden Hauptthemen sind Ping, mDNS und LAN-Events auch Themen, die von einer kommenden erweiterten Funktion LXI Security angesprochen werden müssen.

Die Arbeitsgruppe beabsichtigt, zwei verschiedene Wege für die Fernsteuerungsverbindung und die Webbrowser-Schnittstelle zu gehen, beide Ansätze basieren jedoch auf Zertifikaten. Dazu muss allerdings ein Initial Device Identifier (IDevID) auf dem Gerät installiert werden.

Das Problem mit einer geänderten IP-Adresse

Für die Webbrowser-Schnittstelle wird das öffentliche Vertrauensmodell verwendet, das auf lokal signifikanten Gerätekennungen (LDevIDs, X.509-Zertifikate, 12 Monate Lebensdauer) basiert und von der IDevID abgeleitet ist. Allerdings ändern sich die IP-Adressen und der Hostname der LXI-Geräte während ihrer Lebensdauer, wodurch die LDevID ungültig wird. Deshalb ist ein Bereitstellungsserver erforderlich, um eine neue LDevID anzufordern, wenn sich seine IP-Adresse ändert. Das Gerät muss den Hostnamen der neuen IP-Adresse zuweisen und neu konfigurieren und die DNS-Einstellungen aktualisieren. Ist das abgeschlossen, ist ein sicherer Web-Server-Zugang (https) verfügbar. Die Sperrung dieser Zertifikate wird überprüft, wenn das LXI-Gerät eine Verbindung zum Bereitstellungsserver herstellt.

Dieser Ansatz führt zu der Frage nach den verschiedenen Szenarios, die die Gruppe berücksichtigen muss Denn nicht alle zuvor erwähnten Szenarien verfügen über einen Internetzugang, um sich mit einem Bereitstellungsserver zu verbinden. Für das Szenario ohne Internetzugang wurden einige Optionen identifiziert. Eine Möglichkeit wäre, den Bereitstellungsserver innerhalb des lokalen Netzwerks zu installieren, um neue LDevIDs anzufordern. Hier muss möglicherweise die IT-Abteilung unterstützen. Eine andere Möglichkeit wäre, selbstsignierte Zertifikate zu verwenden, bei denen das Zertifikat sowohl auf dem LXI-Gerät als auch im Webbrowser des Testcomputers installiert werden müsste.

Messgeräte aus der Ferne steuern

Damit Messgeräte aus der Ferne gesteuert werden können, wird das private Vertrauensmodell basierend auf IDevIDs (IEEE802.1AR, unbegrenzte Lebensdauer) verwendet. Die erforderlichen Metadaten wie das Geräte-ID-Modell und der Herstellername befinden sich im geänderten Zertifikatformat. Außerdem wird HiSLIP 2.0 vorausgesetzt, das eine sichere Kommunikation mit TLS unterstützt und somit die Themen Identifikation, Autorisierung und Verschlüsselung adressiert. HiSLIP 2.0 verwendet weiterhin den IANA-Port 4880 sowie die derzeit bekannte VISA-Ressourcenstring für die Abwärtskompatibilität, aber es müssen neue Sicherheitsstufen eingeführt werden. Die Arbeitsgruppe hat drei Stufen identifiziert.

Zunächst wird es notwendig sein, das Sicherheitsfeature mit HiSLIP aus Gründen der Abwärtskompatibilität deaktivieren zu können. Das ist dann der Fall, wenn ein neues Gerät mit einem Client oder einer VISA-Anwendung kommuniziert, welches HiSLIP 2.0 nicht unterstützt. Es gibt auch andere Gründe. Dazu gehören das Debuggen von Netzwerkverkehr oder einen Leistungsverlust durch die Verschlüsselung zu vermeiden. Zweitens könnte es einen Modus geben, welcher die Authentifizierung prüft. Das könnte in einer vertrauenswürdigen Umgebung sinnvoll sein. Hier startet das Gerät möglicherweise mit einer TLS-Verbindung, aber nach erfolgreicher Authentifizierung kann die Verschlüsselung deaktiviert werden. Schließlich wird ein Modus notwendig sein, welcher die Verschlüsselung zwingend erfordert. Alle Geräte müssen sich authentifizieren. Versucht ein Gerät ohne Verschlüsselung zu kommunizieren, muss nach erfolgreicher Authentifizierung die Verbindung beendet werden.

Künftig Messgeräte selbst zertifizieren

Die Selbstzertifizierung ist ein wiederkehrendes Thema im LXI-Konsortium, da mehrere führende Unternehmen ihre Geräte selbst zertifizieren möchten. Das ist bereits bei anderen Standards üblich. Die Richtlinie von LXI ist bisher, dass ein Anbieter sein Gerät zu einem zertifizierten Testhaus bringen muss, um es als LXI-konformes Gerät zertifizieren zu lassen. Bisher war das sinnvoll, da die aktuelle LXI-Test-Suite bestimmte Hardware für die Tests benötigt. Die LXI-Test-Suite-Software benötigt ein gewisses Know-how, um sie zu bedienen. Das Konsortium ist zuversichtlich, um diese Hürden mit dem TSEP-Kerberos zu umgehen. Hierbei handelt es sich um eine Software- und Hardwarelösung, welche die LXI-Funktionalität von Mess- und Testgeräten überprüft. Sie enthält notwendige Hardware und reduziert das benötigte LXI-Know-how signifikant, um ein Gerät zu zertifizieren. Die meisten Tests sind vollständig automatisiert, andere teilweise automatisiert mit einer Schritt-für-Schritt-Anleitung der manuellen Testabschnitte.

Allerdings will das Konsortium nicht die vollständige Kontrolle über den Zertifizierungsprozess aufgeben. Deshalb wird gefordert, dass ein Unternehmen mindestens ein Gerät hat, das von einem LXI-Test-House zertifiziert wurde. Damit will man künftig den LXI-Standard schützen, wie es Kunden von LXI-konformen Produkten gewohnt sind. Das Konzept der Selbstzertifizierung soll auf dem kommenden Meeting & PlugFest verabschiedet werden.

LXI-Funktionen bei Messgeräten untersuchen

LXI-Funktionen bei Messgeräten untersuchen

28.01.19 - Mithilfe einer Testlösung aus Hard- und Software lassen sich die LXI-Funktionen an Messgeräten untersuchen und verifizieren. Eine Verbindung zum Netzwerk hilft, dass der Test automatisiert abläuft. lesen

LXI oder PXI – welche Plattform eignet sich für meine Schaltapplikation?

Mess- und Stimulisignale

LXI oder PXI – welche Plattform eignet sich für meine Schaltapplikation?

21.05.13 - LXI und die PXI haben ihre Vor- und Nachteile. Was unterscheidet beide Systeme und wo lassen sie sich sinnvoll einsetzen? Der Anwender sollte frei entscheiden können, welchen Standard er nutzt. lesen

* David Courtney ist Senior Software Developer bei TSEP und hat das LXI-Reference-Design für das LXI-Consortium implementiert.

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45844507 / Messen/Testen/Prüfen)