KNX Zutrittskontrolle: RFID-Leser, Türcontroller und Zeitpläne
Native KNX-RFID-Kartenleser von MDT und Gira, Türcontroller-Logik, Mehrzonen-Architektur, zeitbasierte Zugangspläne und Audit-Logging – alles aus dem KNX-Verteiler verdrahtet.
KNX-native RFID-Leser – MDT und Gira
KNX-RFID-Kartenleser sind busversorgte Geräte, die bündig in eine Standard-55-mm-Unterputzdose montiert werden. Sie senden direkt KNX-Telegramme auf den Bus, wenn eine Karte vorgelegt wird – für die einfache Türöffnungslogik ist keine separate Zutrittskontrollhardware erforderlich.
MDT SCN-RFID55
MDT Technologies GmbH — Deutschland
- • Bauform: 55 mm quadratische Unterputzmontage (kompatibel mit Berker/Gira-Rahmen)
- • Kartenstandards: MIFARE Classic, MIFARE DESFire, LEGIC, HID iCLASS
- • LED-Ring-Anzeige: grüner Blitz = Zugriff gewährt, rot = verweigert
- • Ausgänge: binär (Karte vorhanden/nicht vorhanden) oder Karten-UID-String über KNX
- • Bis zu 200 Karten-UIDs lokal in der ETS-Konfiguration gespeichert
- • DIN-Schienen-Gateway-Version ebenfalls erhältlich (SCN-RFID-DIN)
- • Busgespeist: 29V KNX-Bus (keine separate Stromversorgung erforderlich)
Gira Kartenleser TS (Touch Switch)
Gira Giersiepen GmbH — Deutschland
- • Integrierbar in die Gira System 55 / E2 / Esprit Rahmenserien
- • Kartenstandard: MIFARE (13,56 MHz ISO/IEC 14443A)
- • Kombiniert kapazitiven Touch-Taster und RFID-Leser in einem Gerät
- • Karten-UIDs werden über die ETS-Applikation verwaltet (bis zu 100 UIDs)
- • KNX-Ausgang: binäres Telegramm pro gespeicherter UID (jede Karte → eigene GA)
- • LED-Statusanzeigen: rot/grün/gelb programmierbar
- • Ideal für anspruchsvolle Wohnprojekte in Gira-Designsprache
Beide Leser werden vollständig in ETS konfiguriert – für den Grundbetrieb ist keine externe Software erforderlich. Karten-UIDs werden als Hex-Strings auf der ETS-Parameterseite eingegeben, jeweils verknüpft mit einer KNX-Gruppenadresse. Wenn eine passende Karte vorgelegt wird, sendet der Leser ein binäres EIN-Telegramm an diese Gruppenadresse, das dann mit einem Türantriebsrelais oder einer Alarmzone verbunden wird.
Wie KNX-RFID-Zugang funktioniert – Telegrammablauf
Die Zugangsereigniskette vom Kartentippen bis zum Türöffnen umfasst KNX-Telegramme über drei Gerätetypen: den RFID-Leser, die Logik/Aktorik und das Türöffnerrelais.
Card presented to RFID reader. Reader checks UID against stored list. Matching UID: sends ON telegram to linked group address (e.g. GA 7/1/5 for card A1B2C3). Unknown card: sends telegram to "access denied" GA for alarm or logging.
Der KNX-Bus leitet das Telegramm an alle Teilnehmer der GA 7/1/5 weiter. Dies kann umfassen: Türöffner-Relaisaktor, Alarmschärf-Eingang, Lichtszenen-Aktor, Visualisierungs-Update.
KNX-Binärausgang (MDT AKK-04UP, Gira 209900) mit konfigurierter Auto-Off-Zeit (5 Sekunden) aktiviert den Relaisausgang → Türöffner öffnet. Nach 5 Sekunden schaltet das Relais ab → Tür verriegelt wieder.
Dasselbe GA 7/1/5-Telegramm kann auch eine Ajax-Alarmzone entschärfen (über KNX-Ajax-Integration), die Flurbeleuchtung auf die Willkommensszene schalten und einen Protokolleintrag an den KNX-Gruppenmonitor senden.
The relay actuator sends a status telegram on its feedback GA → RFID reader LED goes green for 2 seconds, visualization panel shows "Front Door: Open".
DPT für Kartenleser — binär vs. UID-String
KNX-RFID-Leser verwenden unterschiedliche Datentypen, je nachdem, wo die Zugangsentscheidung getroffen wird – geräteseitig (binärer Ausgang) oder zentral (UID-String an Logik-Engine).
| DPT | Größe | Wert | Anwendungsfall |
|---|---|---|---|
| DPT 1.001 | 1 Bit | 0 = keine Karte / 1 = Karte akzeptiert | Binärer Ausgang pro gespeicherter UID – einfacher Türöffnungsimpuls. Jede Karte erhält eine eigene GA. Logik in ETS/Leser. |
| DPT 4.001 (ASCII) | 8 Bit pro Zeichen | Card UID as ASCII string, e.g. "A1B2C3D4" | Leser sendet rohen UID-String an Logik-Engine (IP-Router, HA, Weinzierl BAOS). Zugriffsentscheidung zentral getroffen. |
| DPT 16.001 (String) | 14 Bytes | Bis zu 14 ASCII-Zeichen | Vollständiger Karten-UID-String für 7-Byte-MIFARE-UIDs. Verwendet mit Weinzierl KNX IO 581 BAOS für zentrale Zugriffsentscheidung. |
| DPT 1.001 (verweigert) | 1 Bit | 1 = unbekannte Karte vorgelegt | Separates GA für abgelehnte Karten – löst Alarm, CCTV-Aufzeichnung oder Benachrichtigung aus. |
Für die meisten Wohn- und kleinen Gewerbeanlagen ist der binäre DPT 1.001-Ausgang ausreichend – UIDs werden über ETS im Leser gespeichert und die Zugangsentscheidung lokal getroffen. Die zentrale UID-Verwaltung (String DPT) wird bei großen Anlagen mit vielen Türen und Benutzern verwendet, die aus einer Datenbank verwaltet werden.
Mehrtürsystem – Zonentabelle und zentrale Logik
Für Gebäude mit mehreren kontrollierten Türen (Büroetagen, Wohnungsgemeinschaftsbereiche, Parkplätze) verwaltet eine zentrale KNX-Logik-Engine zonale Zugangsregeln. Der KNX-IP-Router (Weinzierl KNX IP Router 751, MDT IP Router SCN-IP100.02) fungiert in Kombination mit ETS-Logikfunktionen als Logik-Hub.
Beispiel-Zonentabelle – Bürogebäude, 3 Türen
| Tür | Leser GA (Eingang) | Relais GA (Ausgang) | Autorisierte Karten | Zeitbeschränkung |
|---|---|---|---|---|
| Haupteingang | 7/0/1 | 7/1/1 | Alle Mitarbeiter + Führungskräfte | Mo–Fr 07:00–20:00 |
| Serverraum | 7/0/2 | 7/1/2 | Nur IT-Personal (3 Karten) | 24/7 |
| Führungsetage | 7/0/3 | 7/1/3 | Management + Direktor | Mo–Fr 08:00–19:00 |
Jede Tür hat ihre eigene RFID-Leser-Gruppenadresse (Eingang) und Relaisausgangs-Gruppenadresse. Die ETS-Applikation verknüpft diese mit Zeitfunktionslogikblöcken. Leser an verschiedenen Türen können eine gemeinsame Karten-UID verwenden – dieselbe Karte funktioniert an allen autorisierten Türen – oder völlig getrennte Kartenlisten pro Tür haben.
Zeitpläne – Arbeitszeiten und Wochenendsperrung
KNX-Zeitfunktionen (in ETS als Logikfunktionsblöcke oder über Weinzierl BAOS/Gira X1 Timer-Zeitpläne verfügbar) ermöglichen eine automatische Zutrittskontrolle basierend auf Tageszeit und Wochentag.
Öffnungszeiten an Werktagen
Haupteingangstür-Relais wird OFFEN gehalten (kontinuierliches EIN-Telegramm) von 08:00–18:00 Uhr, Mo–Fr. Jeder kann ohne Karte eintreten. Außerhalb dieser Zeiten: Karte erforderlich.
Wochenendsperrung
Samstag/Sonntag: Alle Türen erfordern zu jeder Zeit Kartenzugriff. Der Zeitplan sendet um 00:00 Uhr am Samstag ein LOCKED-Telegramm, der Modus „Nur-Karte-Entsperren“ wird wieder aktiviert.
Feiertagsplan
ETS- oder Gira X1-Sonderterminkalender: Feiertage werden wie Wochenenden behandelt (nur Kartenzugriff). Die Liste wird jährlich durch ETS-Neuladung oder über die Gira X1-Weboberfläche aktualisiert.
Nachtverriegelung
20:00–06:00: Selbst gültiger Kartenzugriff erfordert PIN-Eingabe (sofern der Leser PIN+Karte-Dualauthentifizierung unterstützt, z. B. MDT SCN-RFID55 mit Tastatur).
Logikbeispiel — Karten-UID + zeitbasierter Zugriff
Das folgende Logikblock-Beispiel zeigt, wie eine KNX-Logik-Engine (ETS-Logikfunktion oder Weinzierl BAOS-Scripting) einen zeitlich begrenzten Zugriff für eine bestimmte Karten-UID implementiert.
KNX-Zugriffslogik — Karten-UID + Zeit + Türöffnungsimpuls
// ETS Logic Function Block — pseudocode representation
// (implemented as AND logic with time comparator in ETS)
INPUT:
card_uid_signal = GA 7/0/1 (binary, DPT 1.001)
-- triggered by MDT SCN-RFID55 for card A1B2C3
time_condition = GA 8/0/1 (binary, from KNX time schedule)
-- ON between 08:00–18:00 Mon–Fri
-- OFF outside working hours
LOGIC:
IF card_uid_signal == TRUE // card A1B2C3 presented
AND time_condition == TRUE // within working hours
THEN:
SEND GA 7/1/1 = TRUE // door strike relay ON
DELAY 5000 ms
SEND GA 7/1/1 = FALSE // door strike relay OFF (relock)
SEND GA 9/0/1 = TRUE // access log telegram
ELSE IF card_uid_signal == TRUE // card presented but outside hours
AND time_condition == FALSE
THEN:
SEND GA 9/0/2 = TRUE // access denied log telegram
SEND GA 7/2/1 = TRUE // LED: red flash (denied)
// Note: ETS logic blocks implement this as:
// AND gate → card GA + time GA → output → auto-off timer → relay GAIn ETS wird diese Logik mit dem Logik-Funktionsbaustein aus dem ETS App Store (Thinka, Gira oder herstellerspezifisch) implementiert. Das UND-Gatter empfängt das Kartentelegramm und die Zeitplanausgabe, das Ergebnis steuert die Gruppenadresse des Relais. Ein Timer-Funktionsbaustein übernimmt automatisch die 5-Sekunden-Impulsbreite.
Audit-Logging – KNX-Gruppenmonitor zu InfluxDB
Der KNX-Gruppenmonitor-Verkehr kann zu Sicherheitsauditzwecken erfasst und gespeichert werden. Ein Raspberry Pi mit Calimero (Java-KNX-Bibliothek) oder knxd + Python erfasst alle Telegramme auf dem KNX-Bus und schreibt Zugriffsereignisse in InfluxDB.
Python – KNX-Gruppenmonitor zu InfluxDB-Zugriffslog
import asyncio
from xknx import XKNX
from xknx.io import ConnectionConfig, ConnectionType
from influxdb_client import InfluxDBClient, WriteOptions
ACCESS_GAS = {
"7/0/1": "Main Entrance",
"7/0/2": "Server Room",
"7/0/3": "Management Floor",
"9/0/2": "ACCESS DENIED",
}
influx = InfluxDBClient(
url="http://localhost:8086",
token="your_token",
org="panelcraft"
)
write_api = influx.write_api(write_options=WriteOptions(batch_size=1))
async def telegram_received(telegram):
ga = str(telegram.destination_address)
if ga in ACCESS_GAS:
door_name = ACCESS_GAS[ga]
point = {
"measurement": "access_events",
"tags": {"door": door_name, "ga": ga},
"fields": {"value": int(telegram.payload.value)},
}
write_api.write(bucket="access_log", record=point)
print(f"{door_name}: access event at {telegram.date_time}")
async def main():
xknx = XKNX(connection_config=ConnectionConfig(
connection_type=ConnectionType.TUNNELING,
gateway_ip="192.168.1.10",
))
xknx.telegram_queue.register_telegram_received_cb(telegram_received)
await xknx.start()
await asyncio.sleep(float("inf"))
asyncio.run(main())Dies erstellt ein dauerhaftes Zugriffslog in InfluxDB, das über Grafana abfragbar ist. Ein Dashboard, das Türzugriffsereignisse pro Tag, pro Karte und pro Tageszeit anzeigt, bietet sowohl Sicherheitsüberwachung als auch betriebliche Einblicke (z. B. Erkennung von Zugriffsversuchen nach Feierabend). Die Aufbewahrungsrichtlinie kann für Compliance auf 365 Tage eingestellt werden.
Vergleich – KNX-RFID vs. 2N-Video-Gegensprechanlage vs. Nuki-Smartlock
| Kriterium | KNX-natives RFID | 2N Video-Türsprechanlage | Nuki Smart Lock |
|---|---|---|---|
| Kosten pro Tür | €150–250 | €350–900 | 250–350 € + Bridge |
| Sicherheitsstufe | Hoch – verschlüsseltes MIFARE DESFire | Hoch – Kamera + RFID + FR-Option | Mittel – Bluetooth, keine Kamera |
| Audit-Log | KNX-Gruppenmonitor → externer Logger | Integriertes 2N Access Commander Log | Nuki-App-Log + HA InfluxDB |
| Besucherverwaltung | Keine — nur Karteninhaber | Voll — Videoanruf, Gesichtserkennung | Eingeschränkt — Gästecodes per App |
| KNX-Integration | Nativ — ETS, kein Gateway | Über KNX-Modul oder REST-API-Bridge | Über Home-Assistant-Bridge |
| Offline-Resilienz | Voll — kein Server erforderlich | Voll — lokales SIP, keine Cloud | Voll — lokale Bridge-API |
| Am besten geeignet für | Innentüren, Aufzugsvorräume, Büros | Gebäudeeingang, Tor, Hotellobby | Wohnungstür, Mietobjekt, Nachrüstung |
Panel-Verkabelung – Stromversorgung für Türöffner und Magnetkontakt
Alle Stromversorgungen und Relaisausgänge für Türverriegelungskomponenten müssen vom Verteiler aus verdrahtet werden. Hier unterscheiden sich PanelCraft-Panels von vor Ort montierten Lösungen – alle Ausgänge für Türbeschläge sind vor der Auslieferung im Panel vorverdrahtet, beschriftet und getestet.
24V DC Netzteil für Türöffner
Dediziertes 24V DC Hutschienennetzteil (Meanwell DR-30-24 oder ähnlich), mindestens 3A pro Netzteil. Getrenntes Netzteil pro Türzonengruppe zur Isolierung von Störungen. Pro Ausgang abgesichert (2A träge pro Türöffner).
KNX-Ausgangsmodul für Türrelais
MDT AKK-04UP oder Gira 209900 — KNX-Binärausgangsaktor mit 16A-Relaiskontakten und konfigurierbarem Auto-Off-Timer. Auto-Off in ETS auf 5 Sekunden programmiert für Türöffnerimpuls. Pro Tür ein separater Kanal.
Freilaufdioden-Beschaltung für Magnetverriegelungen
Magnetverriegelungsspulen erzeugen beim Relaisabfall hochfrequente Spannungsspitzen. Installieren Sie eine 1N4007-Diode in Sperrrichtung über den Maglock-Anschlüssen (Kathode an +24V, Anode an GND). Ohne Beschaltung reduziert sich die Relaiskontaktlebensdauer um 80 %. Manche Relaisaktoren haben eingebaute Beschaltung – Datenblatt prüfen.
Verdrahtung der Brandmelderverriegelung
Magnetverriegelungen (fail-safe) müssen über den Relaisausgang der Brandmeldeanlage angeschlossen werden – die Brandmeldezentrale unterbricht bei Alarm die Spannungsversorgung des Maglock-Busses. Verwenden Sie ein separates Netzrelais (24V-Spule, Öffnerkontakte) im Brandmelderstromkreis, in Reihe mit der positiven Leitung der Maglock-Stromversorgung. Fail-secure elektrische Türöffner benötigen keine Brandmelderverriegelung.
Türkontakt-Eingang
Reed-Schalter oder magnetischer Türkontakt, angeschlossen an einen KNX-Binäreingang (MDT SCN-UP4.01 oder gleichwertig). Liefert Tür-offen-Statusrückmeldung an KNX – ermöglicht Logik wie: Relais aktiviert, aber Türsensor zeigt nach 10 s geschlossen → Störmeldung.
Panel-Klemmenbelegung — ein Türbereich
Panel DIN rail — Door Zone 1 (Main Entrance)
[24V PSU] ──── F1 (2A) ──── [KNX relay OUT 1] ──── X1:1 (strike +)
↑ NO contact X1:2 (strike –, GND)
[KNX IP Router]
[MDT AKK-04UP] D1 (1N4007) ← across X1:1/X1:2
[KNX binary IN] ─────────────── X2:1 (door sensor A)
X2:2 (door sensor B)
[RFID reader KNX bus] ────────── KNX TP bus terminals
Terminal labels:
X1 = Door strike / maglock power output (PROTECTED)
X2 = Door sensor reed switch input
X3 = KNX TP bus to RFID reader in wall boxZutrittskontrolle-Integration in Ihren KNX-Schaltschrank
Wir verdrahten Türsteuerungsausgänge, RFID-Leser-Bus und Video-Türsprechanlagen-Relaiskontakte in CE-zertifizierten Schaltschränken vor, bereit für den Vor-Ort-Anschluss.
Angebot anfordern →