Der größte Vorteil von ethernetbasierten Netzwerken ist ihre Offenheit und die damit mögliche durchgängige Vernetzung aller Unternehmensebenen vom Büronetzwerk bis in die Automatisierungsebene unter gemeinsamer Verwendung von IT-Standards. Die Verwendung dieser Kommunikationstechnologie birgt aber auch eine Gefahr: Bei flachen Netzen - das heißt, wenn sich alle Teilnehmer in einem einzigen so genannten IP-Subnetz befinden - kann die Netzlast aufgrund der immer größer werdenden Anzahl an Teilnehmern immens ansteigen.

Dies kann sogar zur gegenseitigen Beeinflussung des Datenverkehrs führen. Verantwortlich hierfür sind zum Beispiel die Broadcasts. Diese an alle Teilnehmer gerichteten Telegramme können andere wichtige, zielgerichtete Telegramme, die für den reibungslosen Anlagenablauf notwendig sind, blockieren. Mögliche Konsequenz: Die Kommunikation in der Anlage steht.

In diesem Zusammenhang sind besonders die unterschiedlichen Anforderungen in den verschiedenen Bereichen oder Levels eines Anlagennetzes zu berücksichtigen. Während im Field-Level von Automatisierungssystemen meist kurze Reaktionszeiten mit kleinen Datenmengen zwischen den Teilnehmern gefordert sind, kommt es im darüber liegenden Control- Level auf die Übertragung größerer Datenmengen an. Hier spielt aber wiederum die Übertragungszeit eine untergeordnete Rolle. Durch die datenintensiveren Systeme im Control Level wie etwa HMI und SCADA sowie Bildverarbeitungs-, Weboder Multimedia-Anwendungen ist auf dieser Ebene vielmehr ein hoher Datendurchsatz gefragt.

Lastentkopplung mit Vorteilen von Ethernet

Über eine Strukturierung des Netzwerks mittels geeigneter Mechanismen - zum Beispiel die physikalische Netzwerktrennung durch einen dazwischen geschalteten Router - lässt sich eine Lastentkopplung zwischen dem Field- und dem Control-Level erreichen, ohne auf die Vorteile von Ethernet verzichten zu müssen. Möglich wird dies durch das so genannte IP-Routing, sprich über das Übertragen von Daten zwischen unterschiedlichen Subnetzen. Diese Aufgabe übernehmen ein Ethernet-Switch mit Routing-Funktionalität oder eine in die SPS integrierte Baugruppe mit Routing-Funktionalität. Neben der reinen Lastentkopplung bietet eine solche Netzwerktrennung weitere Vorteile.

Zum einen sind Netzwerke so in logisch nachvollziehbare Subnetze unterteilbar, die sich dann etwa auf Gebäude, Etagen oder einzelne Automatisierungszellen erstrecken. Die Zugehörigkeit von Netzwerkteilnehmern zu bestimmten Subnetzen erkennen IT-Administratoren wie auch die Verantwortlichen für die Kommunikation der Automatisierungssysteme leicht anhand der IP-Adresse. Zum anderen eignen sich die Netzwerkübergänge zur einfachen Implementierung von Sicherheitsfunktionen.

Was müssen die Baugruppen können?

Mit getrennten Schnittstellen auf den erwähnten, routingfähigen SPS-Baugruppen und durch integrierte Sicherheitsfunktionen lassen sich die genannten Vorteile der Netzwerk-Trennung nutzen. Dabei ist eine Schnittstelle zum Control Level typischerweise gigabitfähig, um den steigenden Anforderungen an den Datendurchsatz gerecht zu werden. Die andere Schnittstelle beinhaltet einen Ethernet-Switch mit wenigen Ports, um die am Netzwerk-Übergang eingesetzte SPS nicht nur an den Field Level anzubinden, sondern damit gleichzeitig ein kleines Netzwerk, zum Beispiel mit Profinet-IO-Devices, aufzubauen.

Mögliche Anlagenkonfiguration eines Automatisierungs-netzwerkes, basierend auf Ethernet über alle Ebenen (Enterprise-, Control- und Field-Level). Dabei wird der Field-Level über eine in die SPS integrierte Baugruppe mit Routing-Funktionalität angebunden.

© Siemens

Das IP-Routing findet dabei zwischen den beiden Schnittstellen innerhalb der Baugruppe statt. Somit führt die Strukturierung nicht nur zu einem Gewinn an Netzwerk-Performance, sondern erhöht auch die Sicherheit der Anlage. Und das alles, ohne auf eine netzübergreifende Nutzung von IT-Diensten verzichten zu müssen: Teilnehmer aus dem unterlagerten Netzwerk versenden anlagenspezifische E-Mails über die Router-Baugruppe ins Internet. Große Datenmengen - etwa Bilder einer anlagennahen Kamera oder FTP-Dateien aus dem Field-Level - lassen sich zur Weiterverarbeitung über den integrierten Router in den Control- Level übertragen.

Umgekehrt können auch große Rezeptdateien von einem PC über FTP-Kommunikation an einen Teilnehmer im Field-Level übertragen werden. Und trotz eigentlicher Netzwerk- Trennung ermöglicht das IP-Routing weiterhin die Übertragung von Diagnoseinformationen von Web-Servern der am unterlagerten Netz angeschlossenen Teilnehmer bis in den Control-Level oder sogar ins Internet.

Für eine derartige Netzwerktrennung ist keine aufwendige Projektierung notwendig. Da die Baugruppe in zwei unterschiedlichen IP-Subnetzen liegt, also pro Schnittstelle eine eigene IP-Adresse besitzt, ist bei der Konfiguration der Anlage lediglich auf die richtige Vergabe der IPAdressen zu achten. Je nach Sicherheitsanforderungen sind eventuell noch entsprechende Einstellungen für den Zugang zu treffen, zum Beispiel der erlaubte Zugriff auf die Steuerung mit gleichzeitigem Zugriff auf das unterlagerte Netz.

Mehr Leistung und dennoch sicher

Zum einen ermöglicht eine in die SPS integrierte Baugruppe mittels der Routing-Funktionalität die Netzwerk- Trennung. Zum anderen lässt sich durch einen ebenfalls in die Baugruppe integrierten Switch ein kleines lokales Netzwerk aufbauen.

© Siemens

Stichwort Security: Bei aller Offenheit von Ethernet darf die Sicherheit beim Zugriff auf Daten des Automatisierungsnetzes, beispielsweise über das Internet, nicht außer Acht gelassen werden. Mit anderen Worten: Der Zugriff von nicht autorisierten Teilnehmern muss gesperrt werden können, sodass aus dem übergeordneten Netz beispielsweise nur noch die Verantwortlichen für die Automatisierungszellen Zugriff haben.

Ergo ist zusätzlich ein Security-Konzept erforderlich, welches einerseits die Kommunikation zuverlässig schützen kann, andererseits aber die speziellen Erfordernisse der Automatisierungstechnik berücksichtigt und trotzdem den Datenaustausch zwischen Control- und Field-Level zulässt.

Der Zugriff auf die Steuerung beziehungsweise das jeweils andere Netz wird bei einem in einer SPS-Baugruppe integrierten Router über eine IP-Access-List gesteuert. Hier werden bereits bei der Konfiguration die IP-Adressen eingetragen, die den Zugang zur Steuerung erhalten sollen. Außerdem ist in dieser IPAccess- List einstellbar, ob gleichzeitig der Zugriff auf das unterlagerte Netz möglich ist. Damit ist sichergestellt, dass unberechtigte Teilnehmer keine Informationen aus dem Automatisierungsnetz abgreifen können.

Weiterführende Sicherheitsmechanismen aus der Office-Welt

Sollten weiterführende Sicherheitsmechanismen nötig sein, so kann eine zusätzliche Security-Appliance vorgeschaltet werden. Denkbar sind hier Mechanismen, wie sie bereits in der Office-Welt im Einsatz sind. Durch Aufbau einer Firewall lässt sich schließlich der Zugriff anlagenspezifisch organisieren. Entsprechende Firewall-Regeln sorgen dafür, dass nur noch definierten Anwendern, IP-Adressen oder Protokollen der Zugriff auf Daten aus dem unterlagerte Automatisierungsnetz erlaubt ist. Gleichzeitig kann der Durchgriff von Teilnehmern aus dem Field-Level auf den Control-Level ermöglicht werden.

Zur sicheren Authentifizierung der Netzteilnehmer, zur Verschlüsselung der Daten sowie zur Überprüfung der Datenintegrität ist es zusätzlich möglich, VPN-Tunnel zwischen einem Teilnehmer aus dem Control-Level sowie der Security-Appliance und damit dem unterlagerten Netz aufzubauen. Firewall und VPN-Tunnel sind alternativ oder ergänzend zueinander einsetzbar.

Und was schließlich die anlagenspezifische Projektierung betrifft, so stehen dem Anwender schon heute einfache und intuitive Projektierungstools zur Verfügung, die auch ohne spezielle IT-Kenntnisse einen minimalen Projektierungsaufwand garantieren und damit eine schnelle Verfügbarkeit der Security-Funktionen gewährleisten.

Autorin: Petra Grüneis ist bei Siemens im Sektor Industry Automation tätig.