Vernetzung, offene Standards und Schnittstellen sowie PC-basierte Technologien nehmen in der industriellen Automatisierung immer mehr zu. Die damit zwangsläufig einhergehende, steigende Anlagenkomplexität erfordert eine durchgängige, leistungsfähige Kommunikation – von der einzelnen Maschine über die Produktionslinie bis hin zum ERP-System. Voraussetzung hierfür ist, dass der Anwender sein industrielles Netzwerk strukturiert; und zwar unabhängig davon, ob es sich um Automatisierungs-, Anlagen- oder Infra­struktur-Netzwerke handelt.

Sollen nun VLANs in einem indust-riellen Netzwerk zum Einsatz kommen, müssen sowohl typische Office-Teilnehmer – wie PCs, Drucker und Server – einem VLAN zugeordnet werden als auch komplexe Produktionsmaschinen und Anlagenteile, welche intern selbst eigenständige kleine Netzwerke verwenden können. Des Weiteren muss zu jedem Zeitpunkt sichergestellt sein, dass Maschinen und Anlagenteile in ihrem Tun nicht gestört werden. Diesen Bedingungen folgend, kann die Strukturierung eines industriellen Netzwerks mit VLANs nach folgenden prinzipiellen Aspekten erfolgen:

Mehr Leistung:
Durch den Einsatz von VLANs lassen sich Broadcast-Bereiche auf definierte Gruppen einschränken, wodurch eine weitere Verringerung der Kollisions-bereiche entsteht. Ab einer gewissen Netzwerkgröße ist dies prinzipbedingt unvermeidlich. Alternativ zu VLAN-fähigen Switches sind Router verwendbar, welche jedoch eine größere Laufzeit-Verzögerung bewirken, da Router wesentlich mehr Informationen eines Pakets auswerten müssen als Switches. Auch die physikalische Vernetzung muss an die Vorort-Gegebenheiten angepasst werden, was einen erhöhten Verkabelungsaufwand und Hardware-Einsatz wie weitere Switches nach sich zieht.

Verbesserte Dienstgüte:
Durch die Definition von Vorrangdaten mithilfe der VLAN-Priorisierung kann die Übertragungsqualität insbesondere für prozess-, zeit- oder auch sicherheitskritische Dienste verbessert werden.

Unabhängigkeit von physikalischer Topologie:
VLANs sind unabhängig von der physikalischen Topologie. Das heißt: Gruppenmitglieder können sich auch in anderen Gebäuden oder sogar Standorten befinden. „Wandern“ Gruppenmitglieder wie zum Beispiel der Wartungstechniker vom Büro in die Produktion, so kann dieser an einem verfügbaren Port eines Switches in eine definierte Gruppe eingefügt werden, was die Flexibilität deutlich erhöht.

Verbesserte Sicherheit:
Durch die feinere Trennung in verschiedene Teilnetze werden Pakete nur zu denjenigen Teilnehmern geleitet, die diese empfangen sollen. So lässt sich zum Beispiel sicherstellen, dass Prozessdaten nur zu Servern gelangen, die der entsprechenden VLAN-Gruppe zugewiesen sind, oder das Personal nur Zugriff auf den in der Gruppe definierten Anlagenteil beziehungsweise Maschinenteil hat. Außerdem werden aufgrund der Transparenz des VLANs innere Angriffe deutlich erschwert. Dadurch kann neben der äußeren eine innere Netzwerk-Sicherheit erreicht werden, was ohne dieses Konzept so nicht möglich wäre.

Beispiele aus der Praxis

Das Beispiel in einer Tunnel-Applikation zeigt praxisnah wie mit Hilfe von VLANs ein physikalisch vorhandenes Netzwerk für unterschiedliche Anwendungen genutzt werden kann.

© Siemens

Ein Beispiel aus der Praxis, an dem sich der Nutzen der VLAN-Technik veranschaulichen lässt, ist die moderne Automatisierung eines Autobahntunnels. Dieser wird mit Steuerungstechnik – etwa für die Belüftung und Messung des Verkehrsaufkommens – ausgestattet. Videokameras filmen das aktuelle Verkehrsgeschehen. Darüber hinaus sind Telefone notwendig, um möglichst schnell einen Notruf absetzen zu können. All diese Anwendungen sind heute mit Hilfe von Ethernet miteinander vernetzbar – Profinet, „Voice over IP“ und „Video over IP“ machen dies möglich.

Zur Realisierung dieser Anwendung wird entlang des Tunnels ein physika-lisches Netzwerk mit VLAN-fähigen Netzkomponenten bereitgestellt. An den Ports der Netzkomponenten sind wiederum die Steuerungen, Kameras und Telefone angeschlossen. Die Ports selbst werden mit Hilfe von VLANs logischen Gruppen zugeordnet. Im konkreten Anwendungsbeispiel gibt es eine Gruppe für die Steuerung, eine für Kameras und eine für Notruf-Telefone. Dies hat den Vorteil, dass die Teilnehmer jeder Gruppe sich weder stören noch sehen können. Jede Gruppe bildet hierbei ihre eigene Broadcast-Domäne und Kommunikation findet nur in der Gruppe beziehungsweise im „eigenen“ VLAN statt. Mit Hilfe der möglichen Priorisierung von VLANs und damit der einzelnen Gruppen kann zudem ein Notruf-Telefon beispielsweise gegenüber der Videoüberwachung bevorzugt behandelt werden. Damit nicht genug: Soll etwa aus Kostengründen ein gemeinsamer Server zur Speicherung der Videodaten oder der Steuerungsdaten benutzt werden, so lassen sich die VLANs mit Layer-3-Switching zu diesem Server routen.

Durch den Einsatz von VLANs in industriellen Netzen ist es weiterhin möglich, Broadcast-Domänen zu verkleinern. Dies ist deshalb wichtig, weil eine hohe Broadcast-Last im Netz die Funktionsfähigkeit der Endgeräte gefährden kann. Die Verkleinerung der Broadcast-Domäne geschieht, indem Anlagenteile jeweils übergeordnet einem VLAN zugeordnet werden, womit im unterlagerten Anlagenteil selbst auf VLAN-fähige Netzkomponenten verzichtet werden kann. Damit reduziert sich die Broadcast-Last bei Endgeräten. Mit anderen Worten: Broadcasts, die zum Beispiel durch IP-ARP-Requests, DHCP, Uhrzeit oder NetBios entstehen und für eine stetige Last am Netzwerk sorgen, werden nur innerhalb des VLAN weitergeleitet. Auf diese Weise wird letztendlich die Gesamtleistung des Netzwerks optimiert.

Ein weiterer Vorteil ist, dass sich die Teilnehmer eines Anlagenteils nicht mehr beeinflussen oder stören, denn doppelt vergebene IP-Adressen innerhalb eines Anlagenteils wirken sich nicht auf den anderen Teil aus. Wenn Netzteilnehmer eines VLAN keinen Zugriff auf den benachbarten Anlagenteil haben, sind nicht zuletzt versehentliche oder störende Zugriffe auf benachbarte Anlagenteile vermeidbar. Kurzum: Die Sicherheit im Netzwerk steigt.

Orientierung an den Fertigungsstufen

Große Netzwerke, beispielsweise in der Automobilindustrie mit bis zu 20 000 Netzwerk-Teilnehmern, sind mit VLAN-fähigen Switches einfach und kostengünstig strukturierbar.

© Siemens

Vom Tunnel in die Fabrik: Bei der Strukturierung eines autarken industriellen Produktions-Netzwerkes orientiert man sich typischerweise an den unterschied­lichen Fertigungsstufen. Im Automobilbau beispielsweise gibt es drei Fertigungsstufen, die jede Karosse durchläuft: den Rohbau, die Lackierung und die Montage. Nach erfolgter Segmentierung mittels VLANs werden diese anschließend mit Hilfe von Layer-3-Switches in überlagerte Office-Strukturen geroutet. Auch hier erfolgt eine vollständige Entkopplung der Broadcast- und Multicast-Netzlasten der einzelnen VLANs. Aus einer Leitwarte heraus ist anschließend das komplette Produktionsnetz, bestehend aus den einzelnen Fertigungsstufen, kontrollierbar.

Ein Broadcast dient in einem Netzwerk der einfachen Übermittlung von Informationen an alle Teilnehmer eines Netzes gleichzeitig, um im Gegensatz zu Unicast nicht dieselbe Information mehrfach übertragen zu müssen. Jeder Empfänger eines Broadcast nimmt die Nachricht entgegen und entscheidet, ob er die Nachricht verarbeiten muss. Falls der Empfänger sich als nicht zuständig erkennt, verwirft er die Nachricht. Sollen Information nur an ausgewählte Teilnehmer gesendet werden, verwendet man das Multicast-Verfahren. Die Verwendung eines Broadcast in einem Netzwerk erfolgt dann, wenn etwa die Adresse des Empfängers der Nachricht noch nicht bekannt ist. Die bekanntesten Protokolle sind ARP (Address Resolution Protocol) und DHCP (Dynamic Host Configuration Protocol).

Ein weiterer, häufiger Anwendungsfall für den Einsatz von VLANs ist die Erweiterung bestehender industrieller Netzwerke um zusätzliche Anwendungen. Denn oft kann das bestehende Produktionsnetzwerk für zusätzliche Datenübertragungen genutzt werden. Ein Beispiel für eine solche zusätzliche Anwendung sind Barcode-Daten für logistische Zwecke, welche vor Ort registriert und mit Hilfe eines zweiten VLAN an einen Server übertragen werden sollen. Eine vorhergehende Prüfung der Netzkapazitäten – auch mit Simulation der neuen Netzlast durch entsprechende Monitoring-Software – ist dabei unumgänglich.

Summa summarum lässt sich sagen: VLANs sorgen für die Priorisierung von Telegrammen. Somit werden zeitkritische Dienste wie Alarme, zyklische Daten oder Redundanz-Anwendungen nicht durch niederprioren Datenverkehr behindert, sondern bei hoher Priorität bevorzugt weitergeleitet. Unerlaubte oder unbeabsichtigte Gerätezugriffe sind praktisch ausgeschlossen, da eine Fehladressierung nur innerhalb eines VLAN möglich ist, nicht aber über die VLAN-Grenzen hinweg. Gerade für große Netze sehr hilfreich ist die vereinfachte Adressvergabe beziehungsweise Mehrfach-Nutzung von IP-Adressen in unterschiedlichen VLANs eines Netzwerks.

Autor: Heiko Hack ist Marketing Manager für Profinet bei Siemens.