Konzept Rockwell Frank Loew, Rockwell Automation GmbH, Haan

Engineering Netzwerk-Infrastruktur Umbau ohne Störung der Produktion Ferndiagnose während und nach dem Umbau Administration Durch den Einsatz intelligenter und managebarer, in die SPS-Programmierumgebung integrierter Netzwerk-Switches lässt sich ein Produktionsnetzwerk in funktionale, logische oder Datenbezogene Segmente unterteilen. Dadurch wird eine gesteigerte Übersichtlichkeit sowie eine maximale Verfügbarkeit erreicht. Die eingesetzte Technologie erleichtert dem Maschinenbauer die Anbindung seiner Maschine an benachbarten Produktionszellen -/ bzw. Linen sowie an das Prozessleitsystem, ohne über tiefgreifendes Wissen im IT-Bereich zu verfügen.

Frank Loew ist bei Rockwell Automation verantwortlich für strategische Vertriebsunterstützung. Er ist Initiativleiter für die NetLinx-Strategie (Netzwerke) in Deutschland. Zuvor sammelte er viele Erfahrungen in der Projektierung von Steuerungs- und Prozessleitsystemen, beispielweise für General Motors, Skoda, Ford, GE Plastics, GE Energy, Vattenfall Energy uvm. [email protected]

3. VDMA-TECHNIK-BENCHMARK SECURITY, 8.11.2007

3. VDMA-TECHNIK-BENCHMARK, KONZEPT ROCKWELL 1

IT-Sicherheit in Produktionsnetzwerken

Copyright © 2007 Rockwell Automation, Inc. All rights reserved.

…………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… ……………………………………………………………………………………………………………

3. VDMA-TECHNIK-BENCHMARK, KONZEPT ROCKWELL 2

IT-Sicherheit in Produktionsnetzwerken

1. 1. Engineering Engineering Netzwerk-Infrastruktur Netzwerk-Infrastruktur

2. 2. Umbau Umbau ohne ohne Störung Störung der der Produktion Produktion

3. 3. Ferndiagnose Ferndiagnose während während und und nach nach dem dem Umbau Umbau 4. 4. Administration Administration

Copyright © 2007 Rockwell Automation, Inc. All rights reserved.

…………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… ……………………………………………………………………………………………………………

3. VDMA-TECHNIK-BENCHMARK, KONZEPT ROCKWELL 3

Netzwerk-Infrastruktur - Segmentierung Vorteile der Netzwerksegmentierung • • • • • •

Höhere Verfügbarkeit Höhere Betriebssicherheit Vereinfachung der Netzwerkadministration Steigerung der Leistungsfähigkeit Erhöhter Zugriffschutz Überschaubare Segmentgrößen

Modelle zur Netzwerksegmentierung • • • • •

Steuerungsebene gegen Büroebene (ERP) Funktionale Segmentierung Logische Segmentierung Segmentierung basierend auf Datentypen Kombinationen aus diesen Modellen Copyright © 2007 Rockwell Automation, Inc. All rights reserved.

Der konventionelle Ansatz, nämlich das Durchlaufen der Anlage und Ermitteln aller Netzwerkteilnehmer nach Standort, Typ, Bussystem und Busadresse, bietet zwar eine sichere Ist-Analyse, ist aber sehr zeitaufwendig und fehlerbehaftet. Erneute Nachprüfungen führen wiederum zu erhöhtem Zeitaufwand. Es ist jedes Mal ein Gang zum jeweiligen Standort erforderlich. Die Netzwerkkonfigurations- und Analyse-Software RSNetWorx ermöglicht es, alle Teilnehmer inklusive Feldbus und Busadresse, auch an physikalisch unterschiedlichen Netzwerken, automatisch zu erfassen und als Netzwerkkonfiguration zu speichern. Außerdem liefert RSNetWorx detaillierte Informationen über Datenmengen der einzelnen Teilnehmer sowie über die Gesamt-Netzwerklast. Das Ermitteln der Kommunikationsbeziehungen einzelner Teilnehmer am Netzwerk, also der Datenaustausch zwischen zwei Steuerungssystemen, lässt sich einfach unter Verwendung der Programmierumgebung RSLogix 5000 realisieren. Im jeweiligen Logikprogramm der Steuerungen sind zum Datenaustausch so genannte produzierte und konsumierte Variablen definiert. Diese sind in einer Zuordnungstabelle hinterlegt. Mittels dieser Zuordnungstabellen sind die Kommunikationsbeziehungen der einzelnen Teilnehmer durch einfaches Auslesen von einer zentralen Position im gesamten Netzwerk einfach zu ermitteln. Dieses Verfahren liefert die notwendige Information, welche Kommunikationsbeziehungen für den laufenden Betrieb erforderlich sind. Eine Skalierung ist somit auf einfache Weise auf das Gesamtsystem anwendbar. Die Einteilung der Erweiterungslinie in ein eigenständiges Netzwerksegment sowie die Segmentierung der einzelnen Produktionszellen in der Erweiterungslinie ermöglichen eine autarke Inbetriebnahme der neuen Linie. Der Einsatz eines Allen-Bradley Managed Switch ermöglicht diese Segmentierung. Die einzelnen Produktionszellen werden jeweils mit einem Switch in Ringtopologie verbunden. Jede einzelne Zelle wird als physikalisch isoliertes Netzwerksegment ausgeführt. Somit lassen sich einzelne Anlagenteile sowie die gesamte neue Linie beliebig im Netzwerk zu- und abschalten. Die Segmentierung eines Netzwerks liefert viele Vorteile.

3. VDMA-TECHNIK-BENCHMARK, KONZEPT ROCKWELL 4

Netzwerk-Infrastruktur - Segmentierung Kombination von Segmentierungsmodellen

Bild 2 Bild 1

Bild 3 Copyright © 2007 Rockwell Automation, Inc. All rights reserved.

Durch die Kombination von Segmentierungsmodellen lässt sich die für die jeweilige Anforderung bestmögliche Segmentierung erreichen. Bild 1 zeigt eine logische Segmentierung. Bild 2 zeigt eine funktionale Segmentierung. Bild 3 zeigt eine Segmentierung nach Datentypen. …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… ……………………………………………………………………………………………………………

3. VDMA-TECHNIK-BENCHMARK, KONZEPT ROCKWELL 5

Netzwerk-Infrastruktur - Segmentierungsmethoden Physikalische Trennung Segmentierung durch Physikalische Trennung

EnterpriseNetwork Netzwerk Enterprise

• Router

Bestehendes Produktionsnetzwerk

•

Keine Verbindung zwichen alter und neuer Linie Jede Linie stellt ein separates Teilnetz dar

Neue Linie

Switch

Switch

Switch

Copyright © 2007 Rockwell Automation, Inc. All rights reserved.

Zum Einsatz kommen unterschiedliche Segmentierungsmethoden, wie die Segmentierung durch physikalische Trennung Keine Verbindung zwischen alter und neuer Linie Jede Linie stellt ein separates Teilnetz dar …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… ……………………………………………………………………………………………………………

3. VDMA-TECHNIK-BENCHMARK, KONZEPT ROCKWELL 6

Netzwerk-Infrastruktur - Segmentierungsmethoden Virtual Local Area Networks (VLAN’s) • Ports am Switch sind einem VLAN zugeordnet • Daten werden nur zu Ports im selben VLAN weitergeleitet • Ein Layer 3 Switch oder Router kann Daten zwischen unterschiedlichen VLAN’s versenden • Router – Teilnetze, IP • Switch – VLAN, MAC • Geräte können VLAN’s zugeordnet werden, wenn Datenkommunikationswege bekannt sind • Limitierung von Producer-Consumer Datenverkehr ausserhalb der entsprechenden Geräte (Beispiel: Ein VLAN pro Zelle oder Zone)

4

B3

7 6

2

5 1

= Rotes VLAN = Blaues VLAN = Grünes VLAN

Copyright © 2007 Rockwell Automation, Inc. All rights reserved.

Segmentierung durch Verwendung von VLANs Einzelne Ports auf einem Switch werden unterschiedlichen VLANs zugeordnet Daten werden ausschließlich auf Ports innerhalb des selben VLAN gesendet Ein Router (subnets, IP) oder ein Layer 3 Switch (VLAN, MAC) schafft die Kommunikationsschnittstelle zwischen unterschiedlichen VLANs Teilnehmer können einem VLAN zugewiesen werden Limitierung der Datenmenge von Producer/ Consumer Kommunikation und Beschränkung auf ausschließlich relevante Teilnehmer …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… ……………………………………………………………………………………………………………

3. VDMA-TECHNIK-BENCHMARK, KONZEPT ROCKWELL 7

Netzwerk-Infrastruktur - Segmentierungsmethoden ControlLogix Gateway Teilnetz #1 (z.B (z.B.. HMI)

E N B T

E N B T

Teilnetz #2 (z.B (z.B.. E/A)

Segmentierung durch ControlLogix Gateway • CIP-Gateway erlaubt nur CIP-Daten zu dezentralen Segmenten • Segmente sind durch ControlLogix Backplane separiert • CIP-Nachrichten werden durch ControlLogix Gateway geroutet • Sämtlicher weiterer Datenverkehr wird blockiert (HTTP, FTP, etc…) Copyright © 2007 Rockwell Automation, Inc. All rights reserved.

Segmentierung durch ControlLogix Gateway CIP-Gateway erlaubt nur CIP-Datenverkehr zu dezentralen Segmenten Segmente sind durch die ControlLogix Backplane separiert CIP Nachrichten werden durch den ControlLogix Gateway geroutet Sämtlicher weiterer Datenverkehr wird blockiert (HTTP, FTP, etc.) …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… ……………………………………………………………………………………………………………

3. VDMA-TECHNIK-BENCHMARK, KONZEPT ROCKWELL 8

Netzwerk-Infrastruktur - Segmentierungsmethoden Kombination zweier Segmentierungsmodelle E N B T

• Netzwerk ist segmentiert zwischen E/A und HMI • Beide ENBT-Module gehören unterschiedlichen VLANs an • Obwohl die beiden VLANs getrennt sind, hat der Logix-Controler zugang zu beiden

E N B T

VLAN #1

VLAN #2

Copyright © 2007 Rockwell Automation, Inc. All rights reserved.

Beispiel einer Kombination zweier Segmentierungsmethoden Segmentierung von E/A-Ebene zu Visualisierung Jede der zwei ControlLogix Netzwerkkarten ist einem unterschiedlichen VLAN zugeordnet. Eine Karte ist an das HMI-VLAN angebunden, die zweite an das E/AVLAN Während das E/A- und das HMI-VLAN separiert sind, kann die ContolLogix Steuerung auf beide VLANs zugreifen …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… ……………………………………………………………………………………………………………

3. VDMA-TECHNIK-BENCHMARK, KONZEPT ROCKWELL 9

IT-Sicherheit in Produktionsnetzwerken

1. 1. Engineering Engineering Netzwerk-Infrastruktur Netzwerk-Infrastruktur 2. 2. Umbau Umbau ohne ohne Störung Störung der der Produktion Produktion

3. 3. Ferndiagnose Ferndiagnose während während und und nach nach dem dem Umbau Umbau 4. 4. Administration Administration

Copyright © 2007 Rockwell Automation, Inc. All rights reserved.

…………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… …………………………………………………………………………………………………………… ……………………………………………………………………………………………………………

3. VDMA-TECHNIK-BENCHMARK, KONZEPT ROCKWELL 10

Segmentierung - Zellen-Architektuer Ring Topologie