A A A
| Sitemap | Kontakt | Impressum | Datenschutz
ETZ Logo VDE Verlag Logo

Industrial Ethernet: Wirtschaftlichkeit durch Modularität

01  Mit Switches der Serie Profi Line Modular individuellen Anforderungen gerecht werden: Basis-Switch mit 12-Port-Erweiterungsmodul

02  Profi-Line-Modular-Switch mit 12-Port-Erweiterungsmodul auf Hutschiene mit acht Glasfaseranschlüssen

03  6-Port-Erweiterungsmodul der Profi-Line-Modular-Serie

Industrial Ethernet ist zum Synonym für Ethernet-Anwendungen geworden, die aufgrund der Umgebungsbedingungen erhöhte Anforderungen an Robustheit, Zuverlässigkeit und Ausfallsicherheit stellen. Mit der höheren Produktqualität gehen oft höhere Kosten einher, die sich gerade im Industriebereich negativ auf die Wettbewerbsfähigkeit auswirken können. Flexible, hochverfügbare und gleichzeitig wirtschaftliche Lösungen – sowohl bei der Erstinstallation als auch im Betrieb – sind gefordert. Dies ermöglicht ein modularer Aufbau der robusten Industrial-Ethernet-Komponenten für bedarfsgerechte Investitionen.

Der modulare Ansatz ist nicht grundsätzlich neu. Schon in den 1960er-Jahren bauten die Erfolge der bemannten Raumfahrt auf einem modularen Konzept auf. Modulare Baugruppen, die bedarfsabhängig kombiniert, ausgebaut und ergänzt wurden, machten bis dahin unerreichte Erfolge möglich.
Durch laufend gekürzte Budgets nahm die Bedeutung des modularen Konzepts noch zu, denn es bietet neben technischen und organisatorischen Vorteilen auch eindeutig wirtschaftliche.
Netzwerksicherheit, Ausfallsicherheit, höchste Performance und kürzest mögliche Recovery-Zeiten sind technische Kernforderungen des industriellen Umfelds. Mit ihnen gehen Forderungen nach kurzen Amortisationszeiten, maximaler Skalierbarkeit, größtmöglicher Flexibilität und einem möglichst hohen Investitionsschutz einher.

„Pay as you grow“ für Industrial Ethernet
Schon allein der Platzbedarf ist in Fertigungsumgebungen ein Kostenfaktor. Hohe Portdichten sind in den meist knapp bemessenen Verteilern im industriellen Umfeld unabdingbar. Switchmodule mit vielen Ports bei minimalen Abmessungen sind dafür eine Lösung. Mit dreizehn Gigabit-Ports, von denen vier als Combo-Ports mit SFP-Modulen zu Glasfaseranschlüssen ausgebaut werden können, bietet das Switch-Basismodul der Profi-Line-Modular-Serie von Microsens hohe Performance auf engem Raum (Bild 1 und 2). Alle Kupferports, mit Ausnahme der Combo-Ports, bieten Power over Ethernet (PoE) nach IEEE 802.3af und Power over Ethernet + (PoE+) nach IEEE 802.3at zur Versorgung der angeschlossenen Endgeräte. Der Switch selbst kann bei Bedarf ebenfalls über PoE/PoE+ als Powered Device versorgt werden.
Neben den Gigabit-Ethernet-Ports verfügt das Basismodul über zwei Alarmeingänge und zwei Ausgänge, die sowohl eine problemlose Integration in ein vorhandenes Alarm­management wie auch eine einfache Stand-alone-­Lösung für gezielte Alarmierungen ermöglichen.
Erweiterungsmodule mit sechs oder zwölf Gigabit-Ethernet-Ports können einfach seitlich angereiht werden (Bild 3) Auch sie haben Gigabit-Combo-­Ports, wodurch eine hohe Anzahl von Glasfaseranschlüssen bedarfsgerecht und nutzungsabhängig realisiert werden kann. Module für gängige industrielle Bustechniken und mit reinen IO-Ports sind geplant.
Professionelles, modulares Design geht beim Platzbedarf noch einen Schritt weiter: Bei der Erstinstallation muss keine übergroße Backplane für künftige Erweiterungen vorgesehen werden. Auch die Backplane selbst ist vollständig modular aufgebaut und wird zusammen mit den Erweiterungsmodulen bedarfsabhängig erweitert.

Migrationspfad für künftige Funktionen
Wenn modulare Switch-Plattformen zukunftssicher sein sollen, dann müssen sie neben der flexiblen Erweiterung von Portzahl und Anschlussarten auch Upgrades zu künftigen, zusätz­lichen Funktionen schnell und wirtschaftlich ermöglichen. Dies kann wie bei der Serie Profi Line Modular einfach über Firmware-Upgrades geschehen. Die zu installierende Hardware muss dafür von vornherein ausgelegt sein. In der Praxis haben sich Hochleistungs-Switch-Chipsets im Verbund mit leistungsstarken ARM-Prozessoren bewährt. Linux bietet als bewährtes, stabiles Betriebssystem eine solide Grundlage für eine intelligente, offene und langfristig zuverlässig arbeitende Lösung, die bei Bedarf kundenspezifisch angepasst werden kann.
Kürzest mögliche Recovery-Zeiten sowohl bei Firmware-­Upgrades als auch bei Störungen tragen ebenfalls zur Wirtschaftlichkeit einer Industrial-­Ethernet-Lösung bei. Der Einsatz von unempfindlichen, praxisbewährten SD-Karten, auf denen Firmware und die jeweilige Switchkonfiguration gespeichert sind, macht es möglich. Sollte einmal ein Switch-Basismodul getauscht werden müssen, wird die SD-Karte des zu tauschenden Moduls einfach in das neue Modul gesteckt, das die darauf gespeicherten Einstellungen automatisch übernimmt. Zeit­intensive Neukonfigurationen und das Aufspielen von Software-Images entfallen, ebenso die aufwendige Administration der Geräte.
Die SD-Karte kann vom firmen­eigenen Wartungspersonal auch ohne spezielle IT-Kenntnisse getauscht werden; kein Spezialist muss im Fehlerfall vor Ort sein.

Das Ergebnis
Modulare Industrial-Ethernet-­Switches bewähren sich überall dort, wo hohe Ansprüche an Ausfallsicherheit und möglichst kurze Recovery-Zeiten gestellt werden. Hierzu gehören anspruchsvolle Fertigungsbereiche, die Überwachung von Tunnelanlagen und Pipelines, die Energieversorgung, der Berg- und Tagebau, und das Transportwesen.
Mit dem praxisbewährten „Pay as you grow“-Konzept lassen sich diese hohen Ansprüche flexibel, zukunfts­sicher und wirtschaftlich umsetzen. (hz)

Hannes Bauer ist Technischer Leiter bei Microsens

Sicherheit von Industrienetzen
Interview mit Hannes Bauer, Technischer Leiter bei Microsens und Mitgründer des Unternehmens

Herr Bauer, die klassische industrielle Steuerungstechnik wird zunehmend durch Lösungen mit Industrial Ethernet abgelöst. Ein durchgängiges Netz für das gesamte Unternehmen ist eine mögliche Zukunftsvision. Bietet Ethernet in der Industrie also letztendlich nur Vorteile? Wie sieht es mit der vieldiskutierten Sicherheit im Industrienetz aus?
H. Bauer: Der Paradigmenwechsel in der industriellen Steue­rungstechnik weg von proprietären Systemen hin zu integrierten Netzen auf der Basis von Ethernet bietet enormes Potential, aber auch in diesem Bereich bisher unbekannte Risiken. Während man im industriellen Umfeld den Begriff „Sicherheit“ bisher eher mit Ausfallsicherheit und Personenschutz assoziiert hat, so rückt nun das Thema Manipulationsschutz und Zugangssicherheit immer mehr in den Vordergrund.
Wie real ist die Bedrohung im Industrial Ethernet?
H. Bauer: Das Virus-Programm Stuxnet, entwickelt für die gezielte Manipulation von Steuerungsanlagen, hat die Bedeutung effektiver Schutzmaßnahmen für industrielle Netze auf drastische Weise demonstriert. Die Auswirkungen solcher Angriffe bleiben dabei nicht auf die IT-Ebene beschränkt, sondern können – besonders bei chemischen oder atomaren Produktionsanlagen – sehr schnell katastrophale Auswirkungen haben.
Dann müssen also auch Industrie-Netze mit Firewalls und entsprechender Security-Software abgesichert werden wie die Netze in Büroumgebungen. Oder muss man hier noch einen Schritt weiter gehen?
H. Bauer: Neben der gezielten Filterung des Datenverkehrs, etwa durch Firewalls, darf die Manipulationssicherheit des Netzes selbst nicht aus den Augen verloren werden. Der ungeschützte Zugriff auf die Konfiguration von Netzwerkknoten wie beispielsweise Ethernet-Switches stellt ein großes Sicher­heitsrisiko dar, da durch eine geschickte Rekonfiguration des Netzes Sicherheitsmechanismen gezielt ausgehebelt oder umgangen werden können.
Würde es für einen wirksamen Manipulationsschutz nicht genügen, die Switches in einem verschlossenen Gehäuse oder Verteiler zu installieren?
H. Bauer: Die Hardware wegzuschließen reicht leider bei weitem nicht. Besonders softwareseitig müssen die Netzwerkknoten geschützt werden. Grundsätzlich müssen alle Administrations-Schnittstellen eines Switches durch Autorisierungsverfahren gegen unbefugten Zugriff gesichert werden. Zudem sollten alle Zugriffsprotokolle verschlüsselt sein, um ein Mitlesen von Informationen, wie Passwörtern, zu verhindern. Konsolen-Verbindungen sollten anstelle von Telnet ausschließlich über SSH aufgebaut werden, Webzugriffe nur über das verschlüsselte HTTPS-Protokoll erfolgen. Auch ­SNMP bietet mit der Version 3 die Möglichkeit der Verschlüsselung und Authentifizierung aller Abfragen. Um Hintertüren zu vermeiden, sollte bei der Konfiguration der Switches darauf geachtet werden, dass die parallele Nutzung unsicherer Protokolle konsequent abgeschaltet wird.
Also protokollbasierende Schutzmaßnahmen auf Geräte­ebene?
H. Bauer: Sobald ein Eindringling sich Zugang zum Netzwerk verschaffen kann, stellt er bereits eine erhebliche Bedrohung dar, da die Störung oder Unterbrechung des Datenverkehrs im Netzwerk an sich bereits erhebliche Konsequenzen haben kann.
Wie könnte man wirksam verhindern, dass sich ein Unbefugter Zugang zum Netz verschafft?
H. Bauer: Hier greifen Verfahren der Port-Based Security, die den Netzzugang bereits am Port blockieren und eine Authentifizierung des Nutzers beispielsweise mit Passwort oder Zertifikat verlangen. Das verbreitetste Verfahren hierfür ist in der Norm IEEE 802.1X standardisiert und bietet einen hohen Schutz gegen ungewollte Eindringlinge.
Wenn es gültige Standards dazu gibt, dann ist das Thema „Sicherheit von Industrie-Netzen“ nicht ganz so neu, wie manche glauben …
H. Bauer: Microsens hat das Thema Netzwerk-Sicherheit schon frühzeitig erkannt und in seinen Produkten konsequent umgesetzt. Schon bei der Konzeptionierung der Gigabit-Ethernet-Industrie-Switches der neuen Profi-Line-Modular-Serie wurden durchgehende Sicherheitsmechanismen wie etwa die einheitliche Authentifizierung des Administrations-Zugriffs auf allen Schnittstellen implementiert, die eine Mani­pulation des Systems wirksam verhindert.

Der Beitrag als pdf

Autor: Dipl.-Ing. Thomas Kwaterski ist Mitglied der Geschäftsleitung und Mitgründer der Microsens GmbH & Co. KG in Hamm.