KNX · RFID · Zutrittskontrolle · 9 Min. Lesezeit

KNX Zutrittskontrolle: RFID-Leser, Türcontroller und Zeitpläne

Native KNX-RFID-Kartenleser von MDT und Gira, Türcontroller-Logik, Mehrzonen-Architektur, zeitbasierte Zugangspläne und Audit-Logging – alles aus dem KNX-Verteiler verdrahtet.

KNX-native RFID-Leser – MDT und Gira

KNX-RFID-Kartenleser sind busversorgte Geräte, die bündig in eine Standard-55-mm-Unterputzdose montiert werden. Sie senden direkt KNX-Telegramme auf den Bus, wenn eine Karte vorgelegt wird – für die einfache Türöffnungslogik ist keine separate Zutrittskontrollhardware erforderlich.

MDT SCN-RFID55

MDT Technologies GmbH — Deutschland

  • • Bauform: 55 mm quadratische Unterputzmontage (kompatibel mit Berker/Gira-Rahmen)
  • • Kartenstandards: MIFARE Classic, MIFARE DESFire, LEGIC, HID iCLASS
  • • LED-Ring-Anzeige: grüner Blitz = Zugriff gewährt, rot = verweigert
  • • Ausgänge: binär (Karte vorhanden/nicht vorhanden) oder Karten-UID-String über KNX
  • • Bis zu 200 Karten-UIDs lokal in der ETS-Konfiguration gespeichert
  • • DIN-Schienen-Gateway-Version ebenfalls erhältlich (SCN-RFID-DIN)
  • • Busgespeist: 29V KNX-Bus (keine separate Stromversorgung erforderlich)

Gira Kartenleser TS (Touch Switch)

Gira Giersiepen GmbH — Deutschland

  • • Integrierbar in die Gira System 55 / E2 / Esprit Rahmenserien
  • • Kartenstandard: MIFARE (13,56 MHz ISO/IEC 14443A)
  • • Kombiniert kapazitiven Touch-Taster und RFID-Leser in einem Gerät
  • • Karten-UIDs werden über die ETS-Applikation verwaltet (bis zu 100 UIDs)
  • • KNX-Ausgang: binäres Telegramm pro gespeicherter UID (jede Karte → eigene GA)
  • • LED-Statusanzeigen: rot/grün/gelb programmierbar
  • • Ideal für anspruchsvolle Wohnprojekte in Gira-Designsprache

Beide Leser werden vollständig in ETS konfiguriert – für den Grundbetrieb ist keine externe Software erforderlich. Karten-UIDs werden als Hex-Strings auf der ETS-Parameterseite eingegeben, jeweils verknüpft mit einer KNX-Gruppenadresse. Wenn eine passende Karte vorgelegt wird, sendet der Leser ein binäres EIN-Telegramm an diese Gruppenadresse, das dann mit einem Türantriebsrelais oder einer Alarmzone verbunden wird.

Wie KNX-RFID-Zugang funktioniert – Telegrammablauf

Die Zugangsereigniskette vom Kartentippen bis zum Türöffnen umfasst KNX-Telegramme über drei Gerätetypen: den RFID-Leser, die Logik/Aktorik und das Türöffnerrelais.

1. Kartentippen

Card presented to RFID reader. Reader checks UID against stored list. Matching UID: sends ON telegram to linked group address (e.g. GA 7/1/5 for card A1B2C3). Unknown card: sends telegram to "access denied" GA for alarm or logging.

2. KNX-Gruppenadress-Routing

Der KNX-Bus leitet das Telegramm an alle Teilnehmer der GA 7/1/5 weiter. Dies kann umfassen: Türöffner-Relaisaktor, Alarmschärf-Eingang, Lichtszenen-Aktor, Visualisierungs-Update.

3. Türöffner-Relais

KNX-Binärausgang (MDT AKK-04UP, Gira 209900) mit konfigurierter Auto-Off-Zeit (5 Sekunden) aktiviert den Relaisausgang → Türöffner öffnet. Nach 5 Sekunden schaltet das Relais ab → Tür verriegelt wieder.

4. Gleichzeitige Aktionen

Dasselbe GA 7/1/5-Telegramm kann auch eine Ajax-Alarmzone entschärfen (über KNX-Ajax-Integration), die Flurbeleuchtung auf die Willkommensszene schalten und einen Protokolleintrag an den KNX-Gruppenmonitor senden.

5. Rückmeldung

The relay actuator sends a status telegram on its feedback GA → RFID reader LED goes green for 2 seconds, visualization panel shows "Front Door: Open".

DPT für Kartenleser — binär vs. UID-String

KNX-RFID-Leser verwenden unterschiedliche Datentypen, je nachdem, wo die Zugangsentscheidung getroffen wird – geräteseitig (binärer Ausgang) oder zentral (UID-String an Logik-Engine).

DPTGrößeWertAnwendungsfall
DPT 1.0011 Bit0 = keine Karte / 1 = Karte akzeptiertBinärer Ausgang pro gespeicherter UID – einfacher Türöffnungsimpuls. Jede Karte erhält eine eigene GA. Logik in ETS/Leser.
DPT 4.001 (ASCII)8 Bit pro ZeichenCard UID as ASCII string, e.g. "A1B2C3D4"Leser sendet rohen UID-String an Logik-Engine (IP-Router, HA, Weinzierl BAOS). Zugriffsentscheidung zentral getroffen.
DPT 16.001 (String)14 BytesBis zu 14 ASCII-ZeichenVollständiger Karten-UID-String für 7-Byte-MIFARE-UIDs. Verwendet mit Weinzierl KNX IO 581 BAOS für zentrale Zugriffsentscheidung.
DPT 1.001 (verweigert)1 Bit1 = unbekannte Karte vorgelegtSeparates GA für abgelehnte Karten – löst Alarm, CCTV-Aufzeichnung oder Benachrichtigung aus.

Für die meisten Wohn- und kleinen Gewerbeanlagen ist der binäre DPT 1.001-Ausgang ausreichend – UIDs werden über ETS im Leser gespeichert und die Zugangsentscheidung lokal getroffen. Die zentrale UID-Verwaltung (String DPT) wird bei großen Anlagen mit vielen Türen und Benutzern verwendet, die aus einer Datenbank verwaltet werden.

Mehrtürsystem – Zonentabelle und zentrale Logik

Für Gebäude mit mehreren kontrollierten Türen (Büroetagen, Wohnungsgemeinschaftsbereiche, Parkplätze) verwaltet eine zentrale KNX-Logik-Engine zonale Zugangsregeln. Der KNX-IP-Router (Weinzierl KNX IP Router 751, MDT IP Router SCN-IP100.02) fungiert in Kombination mit ETS-Logikfunktionen als Logik-Hub.

Beispiel-Zonentabelle – Bürogebäude, 3 Türen

TürLeser GA (Eingang)Relais GA (Ausgang)Autorisierte KartenZeitbeschränkung
Haupteingang7/0/17/1/1Alle Mitarbeiter + FührungskräfteMo–Fr 07:00–20:00
Serverraum7/0/27/1/2Nur IT-Personal (3 Karten)24/7
Führungsetage7/0/37/1/3Management + DirektorMo–Fr 08:00–19:00

Jede Tür hat ihre eigene RFID-Leser-Gruppenadresse (Eingang) und Relaisausgangs-Gruppenadresse. Die ETS-Applikation verknüpft diese mit Zeitfunktionslogikblöcken. Leser an verschiedenen Türen können eine gemeinsame Karten-UID verwenden – dieselbe Karte funktioniert an allen autorisierten Türen – oder völlig getrennte Kartenlisten pro Tür haben.

Zeitpläne – Arbeitszeiten und Wochenendsperrung

KNX-Zeitfunktionen (in ETS als Logikfunktionsblöcke oder über Weinzierl BAOS/Gira X1 Timer-Zeitpläne verfügbar) ermöglichen eine automatische Zutrittskontrolle basierend auf Tageszeit und Wochentag.

Öffnungszeiten an Werktagen

Haupteingangstür-Relais wird OFFEN gehalten (kontinuierliches EIN-Telegramm) von 08:00–18:00 Uhr, Mo–Fr. Jeder kann ohne Karte eintreten. Außerhalb dieser Zeiten: Karte erforderlich.

Wochenendsperrung

Samstag/Sonntag: Alle Türen erfordern zu jeder Zeit Kartenzugriff. Der Zeitplan sendet um 00:00 Uhr am Samstag ein LOCKED-Telegramm, der Modus „Nur-Karte-Entsperren“ wird wieder aktiviert.

Feiertagsplan

ETS- oder Gira X1-Sonderterminkalender: Feiertage werden wie Wochenenden behandelt (nur Kartenzugriff). Die Liste wird jährlich durch ETS-Neuladung oder über die Gira X1-Weboberfläche aktualisiert.

Nachtverriegelung

20:00–06:00: Selbst gültiger Kartenzugriff erfordert PIN-Eingabe (sofern der Leser PIN+Karte-Dualauthentifizierung unterstützt, z. B. MDT SCN-RFID55 mit Tastatur).

Logikbeispiel — Karten-UID + zeitbasierter Zugriff

Das folgende Logikblock-Beispiel zeigt, wie eine KNX-Logik-Engine (ETS-Logikfunktion oder Weinzierl BAOS-Scripting) einen zeitlich begrenzten Zugriff für eine bestimmte Karten-UID implementiert.

KNX-Zugriffslogik — Karten-UID + Zeit + Türöffnungsimpuls

// ETS Logic Function Block — pseudocode representation
// (implemented as AND logic with time comparator in ETS)

INPUT:
  card_uid_signal   = GA 7/0/1  (binary, DPT 1.001)
                      -- triggered by MDT SCN-RFID55 for card A1B2C3

  time_condition    = GA 8/0/1  (binary, from KNX time schedule)
                      -- ON between 08:00–18:00 Mon–Fri
                      -- OFF outside working hours

LOGIC:
  IF card_uid_signal == TRUE          // card A1B2C3 presented
  AND time_condition == TRUE          // within working hours
  THEN:
    SEND GA 7/1/1 = TRUE             // door strike relay ON
    DELAY 5000 ms
    SEND GA 7/1/1 = FALSE            // door strike relay OFF (relock)
    SEND GA 9/0/1 = TRUE             // access log telegram

  ELSE IF card_uid_signal == TRUE     // card presented but outside hours
  AND time_condition == FALSE
  THEN:
    SEND GA 9/0/2 = TRUE             // access denied log telegram
    SEND GA 7/2/1 = TRUE             // LED: red flash (denied)

// Note: ETS logic blocks implement this as:
// AND gate → card GA + time GA → output → auto-off timer → relay GA

In ETS wird diese Logik mit dem Logik-Funktionsbaustein aus dem ETS App Store (Thinka, Gira oder herstellerspezifisch) implementiert. Das UND-Gatter empfängt das Kartentelegramm und die Zeitplanausgabe, das Ergebnis steuert die Gruppenadresse des Relais. Ein Timer-Funktionsbaustein übernimmt automatisch die 5-Sekunden-Impulsbreite.

Audit-Logging – KNX-Gruppenmonitor zu InfluxDB

Der KNX-Gruppenmonitor-Verkehr kann zu Sicherheitsauditzwecken erfasst und gespeichert werden. Ein Raspberry Pi mit Calimero (Java-KNX-Bibliothek) oder knxd + Python erfasst alle Telegramme auf dem KNX-Bus und schreibt Zugriffsereignisse in InfluxDB.

Python – KNX-Gruppenmonitor zu InfluxDB-Zugriffslog

import asyncio
from xknx import XKNX
from xknx.io import ConnectionConfig, ConnectionType
from influxdb_client import InfluxDBClient, WriteOptions

ACCESS_GAS = {
    "7/0/1": "Main Entrance",
    "7/0/2": "Server Room",
    "7/0/3": "Management Floor",
    "9/0/2": "ACCESS DENIED",
}

influx = InfluxDBClient(
    url="http://localhost:8086",
    token="your_token",
    org="panelcraft"
)
write_api = influx.write_api(write_options=WriteOptions(batch_size=1))

async def telegram_received(telegram):
    ga = str(telegram.destination_address)
    if ga in ACCESS_GAS:
        door_name = ACCESS_GAS[ga]
        point = {
            "measurement": "access_events",
            "tags": {"door": door_name, "ga": ga},
            "fields": {"value": int(telegram.payload.value)},
        }
        write_api.write(bucket="access_log", record=point)
        print(f"{door_name}: access event at {telegram.date_time}")

async def main():
    xknx = XKNX(connection_config=ConnectionConfig(
        connection_type=ConnectionType.TUNNELING,
        gateway_ip="192.168.1.10",
    ))
    xknx.telegram_queue.register_telegram_received_cb(telegram_received)
    await xknx.start()
    await asyncio.sleep(float("inf"))

asyncio.run(main())

Dies erstellt ein dauerhaftes Zugriffslog in InfluxDB, das über Grafana abfragbar ist. Ein Dashboard, das Türzugriffsereignisse pro Tag, pro Karte und pro Tageszeit anzeigt, bietet sowohl Sicherheitsüberwachung als auch betriebliche Einblicke (z. B. Erkennung von Zugriffsversuchen nach Feierabend). Die Aufbewahrungsrichtlinie kann für Compliance auf 365 Tage eingestellt werden.

Vergleich – KNX-RFID vs. 2N-Video-Gegensprechanlage vs. Nuki-Smartlock

KriteriumKNX-natives RFID2N Video-TürsprechanlageNuki Smart Lock
Kosten pro Tür€150–250€350–900250–350 € + Bridge
SicherheitsstufeHoch – verschlüsseltes MIFARE DESFireHoch – Kamera + RFID + FR-OptionMittel – Bluetooth, keine Kamera
Audit-LogKNX-Gruppenmonitor → externer LoggerIntegriertes 2N Access Commander LogNuki-App-Log + HA InfluxDB
BesucherverwaltungKeine — nur KarteninhaberVoll — Videoanruf, GesichtserkennungEingeschränkt — Gästecodes per App
KNX-IntegrationNativ — ETS, kein GatewayÜber KNX-Modul oder REST-API-BridgeÜber Home-Assistant-Bridge
Offline-ResilienzVoll — kein Server erforderlichVoll — lokales SIP, keine CloudVoll — lokale Bridge-API
Am besten geeignet fürInnentüren, Aufzugsvorräume, BürosGebäudeeingang, Tor, HotellobbyWohnungstür, Mietobjekt, Nachrüstung

Panel-Verkabelung – Stromversorgung für Türöffner und Magnetkontakt

Alle Stromversorgungen und Relaisausgänge für Türverriegelungskomponenten müssen vom Verteiler aus verdrahtet werden. Hier unterscheiden sich PanelCraft-Panels von vor Ort montierten Lösungen – alle Ausgänge für Türbeschläge sind vor der Auslieferung im Panel vorverdrahtet, beschriftet und getestet.

24V DC Netzteil für Türöffner

Dediziertes 24V DC Hutschienennetzteil (Meanwell DR-30-24 oder ähnlich), mindestens 3A pro Netzteil. Getrenntes Netzteil pro Türzonengruppe zur Isolierung von Störungen. Pro Ausgang abgesichert (2A träge pro Türöffner).

KNX-Ausgangsmodul für Türrelais

MDT AKK-04UP oder Gira 209900 — KNX-Binärausgangsaktor mit 16A-Relaiskontakten und konfigurierbarem Auto-Off-Timer. Auto-Off in ETS auf 5 Sekunden programmiert für Türöffnerimpuls. Pro Tür ein separater Kanal.

Freilaufdioden-Beschaltung für Magnetverriegelungen

Magnetverriegelungsspulen erzeugen beim Relaisabfall hochfrequente Spannungsspitzen. Installieren Sie eine 1N4007-Diode in Sperrrichtung über den Maglock-Anschlüssen (Kathode an +24V, Anode an GND). Ohne Beschaltung reduziert sich die Relaiskontaktlebensdauer um 80 %. Manche Relaisaktoren haben eingebaute Beschaltung – Datenblatt prüfen.

Verdrahtung der Brandmelderverriegelung

Magnetverriegelungen (fail-safe) müssen über den Relaisausgang der Brandmeldeanlage angeschlossen werden – die Brandmeldezentrale unterbricht bei Alarm die Spannungsversorgung des Maglock-Busses. Verwenden Sie ein separates Netzrelais (24V-Spule, Öffnerkontakte) im Brandmelderstromkreis, in Reihe mit der positiven Leitung der Maglock-Stromversorgung. Fail-secure elektrische Türöffner benötigen keine Brandmelderverriegelung.

Türkontakt-Eingang

Reed-Schalter oder magnetischer Türkontakt, angeschlossen an einen KNX-Binäreingang (MDT SCN-UP4.01 oder gleichwertig). Liefert Tür-offen-Statusrückmeldung an KNX – ermöglicht Logik wie: Relais aktiviert, aber Türsensor zeigt nach 10 s geschlossen → Störmeldung.

Panel-Klemmenbelegung — ein Türbereich

Panel DIN rail — Door Zone 1 (Main Entrance)

[24V PSU] ──── F1 (2A) ──── [KNX relay OUT 1] ──── X1:1 (strike +)
                                  ↑ NO contact      X1:2 (strike –, GND)
[KNX IP Router]
[MDT AKK-04UP]                   D1 (1N4007)       ← across X1:1/X1:2

[KNX binary IN] ─────────────── X2:1 (door sensor A)
                                  X2:2 (door sensor B)

[RFID reader KNX bus] ────────── KNX TP bus terminals

Terminal labels:
X1 = Door strike / maglock power output (PROTECTED)
X2 = Door sensor reed switch input
X3 = KNX TP bus to RFID reader in wall box

Zutrittskontrolle-Integration in Ihren KNX-Schaltschrank

Wir verdrahten Türsteuerungsausgänge, RFID-Leser-Bus und Video-Türsprechanlagen-Relaiskontakte in CE-zertifizierten Schaltschränken vor, bereit für den Vor-Ort-Anschluss.

Angebot anfordern →
Loading...
Back to top