"Mit Profinet haben wir das Netz der unbe­grenzten ­Möglichkeiten." Andy Carius (links).

„Mit Profinet haben wir das Netz der unbe­grenzten ­Möglichkeiten.“ Andy Carius (links).
Redaktion IEE/Renate Schildheuer

Was ist der erste Schritt zu einem top funktionierenden und stabilem Profinet-Netzwerk?

Andy Carius: Bevor der Anwender ein Diagnose-Tool kauft, sollte er bei der Netzwerkplanung bereits die lastspezifischen Zusammenhänge sowie die Anforderungen für spätere Wartungsarbeiten mit im Blick haben. Planen wir beispielsweise eine Produktionslinie mit fünf Steuerungen, die alle an einen Haupt-Switch angeschlossen sind und Daten mit einer Übertragungsgeschwindigkeit von 100 Mbit/s austauschen, dann entstehen ganz schnell Lastspitzen von 500 Mbit/s am Switch.Es stellt sich also die Frage, wie lange der Switch dieses hohe Datenaufkommen verarbeiten kann. Solche Lasten müssen bereits in der Planung berücksichtigt werden, ansonsten wird das Netzwerk schnell an seine Grenzen stoßen. Für die Planung der Netzwerklast gibt es auch entsprechende Berechnungsvorschriften, die wir in unseren Softwaretools Pronetplan zur Planungshilfe mit umgesetzt haben.

Martin Wolf: Ein weiterer Punkt ist natürlich auch, wie viele ­Geräte plane ich denn in einer Linie hintereinander? Mit Profinet haben wir das Netz der unbegrenzten Möglichkeiten. Es gibt durchaus Anlagen, die mit 60, 70 oder 100 Teilnehmern in Reihe aufgebaut sind und stabil laufen. Aber mit 100 Geräten in Reihe ist natürlich die Ausfallwahrscheinlichkeit für das Telegramm des letzten Teilnehmers auch 100-mal höher. Hier liegt unser ­Appell darin, die Möglichkeiten bewusst zu begrenzen, um eine Entlastung des Netzwerkes und Langlebigkeit zu schaffen.

Darüber hinaus gelten ab den zweiten Quartal 2015 neue Zertifizierungsrichtlinien für Geräte. In dieser ist festgelegt, dass ­Geräte künftig einem Lasttest unterzogen werden müssen. Im Ergebnis wird dann festgestellt, ob das Gerät der Netload-Class I oder III entspricht. Wir sehen also, dass auch von der Seite der Zertifizierung, die Anforderungen steigen.

Die Planung ist oft eine Sache, die Realität eine ganz andere. Was für Probleme gibt es bei der Umsetzung?

Martin Wolf: Grundsätzlich möchte ich hier nicht von Problemen sprechen. Uns ist in unseren Aktivitäten nur aufgefallen, dass die geplante Topologie oft von der realen abweicht. Erklärungen hierfür sind meist in der Optimierung von Leitungs- und Verbindungswegen aber auch in funktionalen Veränderungen innerhalb der Inbetriebnahmephase zu finden. Und schon stimmen die Doku­mentationen nicht mehr.

"Viele Netzwerke ­laufen auf 'automatisch'. Das bedeutet: So schnell wie möglich. Das kann der Planer so nicht ­gewollt haben." Martin Wolf

„Viele Netzwerke ­laufen auf ‚automatisch‘. Das bedeutet: So schnell wie möglich. Das kann der Planer so nicht ­gewollt haben.“ Martin WolfRedaktion IEE/Renate Schildheuer

Andy Carius: Beim Profibus müssen wir mit diesem Fakt leben, aber beim Profinet sollte es eigentlich nicht mehr passieren, dass eine Netzwerktopologie nicht dem realen Ist-Zustand entspricht. Profinet lässt zu jedem Zeitpunkt zu – also auch unter vollen Produktions­bedingungen –, dass man die Topologie unter Verwendung eines entsprechenden Softwaretools automatisch mit allen Angaben zu den Geräten erstellen kann. Vorrausetzung ist, das die eingesetzten Profinet-Geräte und -Switche über eine automatisierte Nachbarschaftserkennung verfügen, das LLDP-Protokoll.

Martin Wolf: Für die Software-Inbetriebnahme werden entgegen der Hardware-Inbetriebnahme weniger Vorgaben – mal abgesehen von vorgegebenen Bausteinen – von der Planung gemacht. Vielmehr sind Entscheidungen live auf der Baustelle innerhalb kürzester Zeit zu treffen, damit die Anlage oder das System schnell zum Laufen kommt. Viele Gedanken in Bezug auf die Aktualisierungsrate oder die Netzwerklast werden nicht vertieft. Wie schnell wird das Netzwerk betrieben? So schnell wie möglich oder so schnell wie nötig? Viele Netzwerke laufen auf ‚automatisch‘, was bedeutet: so schnell wie möglich. Das kann der Planer so nicht gewollt haben. Denn ich kann nicht das zwanzigste Gerät in der ­Linie beispielsweise mit 1 ms ansprechen. Um hierfür eine Hilfestellung zu geben, haben wir eine ­Tabelle erstellt, die einen Zusammenhang zwischen Aktualisierungsrate und Linientiefe erkennen lässt.

"Mit der einfachen ­Diagnose ist nicht alles getan." Andy Carius

„Mit der einfachen ­Diagnose ist nicht alles getan.“ Andy CariusRedaktion IEE/Renate Schildheuer

Welche Auswirkungen hat es, das Netzwerk so schnell wie möglich laufen zu lassen?

Andy Carius: Lassen Sie mich diesen Zusammenhang an einem Beispiel erläutern: Der Anwender hat eine Steuerung – Controller – und 20 Teilnehmer – Devices. Wie oft oder wie schnell muss sich jeder dieser 20 Teilnehmer bei der Steuerung melden und wie schnell meldet sich die Steuerung bei jedem Teilnehmer? Die schnellste Übertragung bei Profinet RT ist mit 1 ms realisierbar. Nehmen wir mal eine Zykluszeit im Controller von 20 ms an, so würden alle unsere Eingänge 20-mal übertragen, aber nur aller 20 ms aktualisiert.

Ähnlich ist es bei den Ausgängen. Nehmen wir hier mal eine Ventilinsel mit interner, mechanisch bedingter Reaktionszeit. Der Ausgang würde aller 1 ms übertragen, aber allein die Stellzeit braucht 40 ms. Das wäre so, als würden Sie täglich einmal zur Post fahren, um einen Brief abzugeben, aber der Briefkasten wird nur einmal im Monat geleert.

Wir arbeiten mit dem Abtasttheorem von Shannon. Das heißt: Untergeordnete Systeme sollten mindestens doppelt so schnell sein wie übergeordnete. Wenn wir von 20 ms SPS-Zykluszeit ­reden, dann würden rein theoretisch 10 ms I/O-Zykluszeit reichen. Da wir aber immer nur den doppelten Wert einstellen können, würden wir in diesem Fall mit 8 ms sehr gut hinkommen und für eine deutliche Entspannung der Netzwerklast sorgen.

Der Anwender hat geplant und installiert. Was ist im Betrieb an Pflege wichtig?

Andy Carius: Nach erfolgreicher Inbetriebnahme erbringt jeder Errichter den Nachweis, dass das System jetzt fehlerfrei und zuverlässig läuft. Grundsätzlich ist das auch richtig. Anzumerken ist jedoch, dass die Anlagenfunktion nicht mit Netzwerkqualität gleichzusetzen ist. Er braucht ein gutes Netzwerk-Monitoring System.

"Ohne ein vernünftiges Monitoring-System ist die Instandhaltung von Profinet-Netzwerken nicht zu bewältigen." Martin Wolf

„Ohne ein vernünftiges Monitoring-System ist die Instandhaltung von Profinet-Netzwerken nicht zu bewältigen.“ Martin WolfRedaktion IEE/Renate Schildheuer

Was muss so ein Monitoring-System leisten?

Martin Wolf: Bei dieser Frage muss ich etwas weiter ausholen und mich möglicherweise von mehreren Seiten der Antwort nähern. Als erstes sehe ich einen Ansatz aus der Blickrichtung der neuen Technologie, also dem Technologiewandel. Als es die ersten Veröffentlichungen zu Profinet gab, haben alle immer davon gesprochen, dass sich die Prozess- und Fertigungswelt der Bürowelt nähert und wir möglicherweise eine barrierefreie, durchgängige Kommunikation bekommen. In Fragen des Netzwerk-Monitorings sind es schlussendlich doch wieder unterschiedliche Welten. Das entzieht sich meinem Verständnis. Warum bekommen die geswitchten Netzwerke in der Automatisierung nicht die gleiche Aufmerksamkeit in Bezug auf Monitoring, wie es in der IT-Welt Standard ist? Im Moment können wir in der Praxis noch von Insellösungen sprechen und das Thema durch einen gewissen Grad der Überschaubarkeit kleinreden. Doch die Ausdehnung der Netzwerke nimmt zu und spätestens bei der Anbindung von Querverbindungen gibt es kaum noch Unterschiede zur IT-Welt. Aus Sicht des Wartungsgedankens sollte es uns doch künftig darum gehen, die Netzwerke nicht instand zu setzen sondern instand zu halten. Aus diesem Blickwinkel ist es unabdingbar, zu jederzeit eine Aussage über die Kommunikationsqualität machen zu können.

Und wie soll das funktionieren?

Andy Carius: In der IT gibt es üblicherweise einen hauptberuflichen Systemadministrator. Er kennt alle Switche und PCs. In der Automatisierungstechnik sind wir leider noch nicht so weit. Ich muss jetzt sagen ‚noch nicht‘, weil eines ist allen bewusst: Jeder, der mit einem ethernet-basierten Feldbus arbeitet, weiß, dass ohne Grundlagenwissen über die Funktionsweise des Busses ein solches Netzwerk nicht zu ­betreiben oder zu warten ist. Deswegen ist es für uns ein ganz großes Anliegen, unser Wissen und unser Know-how in die Instandhaltungsbereiche hineinzutragen, sie fit zu machen aber auch in eine Diskussion zu treten. Im Jahr 2014 haben wir über 500 Personen geschult. Darüber hinaus kann man bei uns auch eine Ausbildung zum ‚Certified Profibus & Profinet Installer‘ an unserer Bildungsakademie absolvieren.

Martin Wolf: Herr Carius hat die Beantwortung Ihrer Frage mit der Qualifikation des Wartungspersonals beantwortet, dem ist nichts entgegenzusetzen. Ich möchte aber in Verbindung Ihrer Frage nochmal auf das Netzwerk-Monitoring und dessen Nutzen eingehen. Nehmen wir den Fall eines plötzlichen Kommunikationsabbruchs und somit eines unerwünschten Anlagenstillstandes an. Oft besteht die Unterbrechung nur für den Bruchteil einer Sekunde und ein Neustart ist durch das Quittieren der Störung meist problemlos wieder möglich. Aber wie soll man, trotz umfangreichen IT-Wissens, den Ursachen auf den Grund gehen können, wenn keine Daten aus der Historie zum Zeitpunkt des Ereignisses vorliegen?

Nicht immer liegen die Probleme im Netz selbst. Ist der verschriene Frequenzumrichter wirklich immer der Schuldige für EMV-Probleme?

Andy Carius: Ich möchte ungern schon wieder das Wort Problem aufgreifen und gleich dem Frequenzumrichter in eine Ver­ursacherecke oder als das neue Problem herauskehren. Warum wir heute darüber sprechen sind Ergebnisse aus unseren vielen Messungen an scheinbar problembehafteten Netzwerken. Als Fazit tiefgründiger Untersuchungen konnte dann dem Netzwerk kein Mangel nachgewiesen oder eine Schwachstelle aufgedeckt werden.

Es hat sich nur herausgestellt, dass überhöhte Schirmströme auf der Datenleitung als sichtbarer Verursacher eines Kommunikationsabbruches ausgemacht werden konnten. Und jetzt stand natür­lich die Frage im Raum: Woher kommen diese Ströme? Umfangreiche Messverfahren haben den Frequenzumrichter, die Länge der Zuleitung und die Ausführung des Potenzialausgleiches im Zusammenwirken als Ansatzpunkte hervorgebracht. Es ist also zu einfach zu sagen, dass der Frequenzumrichter ein Problem für das Netzwerk darstellt.

Wie sieht es beim Thema Security aus?

Andy Carius: Das Thema Security spielt auch für die Automatisierungstechnik eine große Rolle. Der Unterschied zu einem IT-Techniker ist aber für alle Automatisierungstechniker, dass Security nur mit dem Angriff von außen in Verbindung gebracht wird. Im Moment ist das Thema noch überschaubar. Doch die Ausdehnung der Netzwerke nimmt stetig zu und die vollständige Vernetzung ist nur noch ein kleiner Schritt. Obwohl wir es nicht wollen, die Automatisierungssysteme werden genauso weltoffen wie es unsere Internet-Kommunikation derzeit schon ist. Vieles ist typischerweise durch Firewalls geregelt, die übergeordnet über den Anlagen sitzen. Was wir in unserer Überlegung in Bezug auf Sicherheit mit einbeziehen müssen, sind die Mitarbeiter. Ich will hier niemanden etwas unter­stellen, aber wie oft werden auch private USB-Sticks zu dienstlichen Zwecken verwendet, wie oft geht der Instandhalter mit seinem PG zuerst ins Internet und dann an die Anlage, wie einfach ist es, an einem Switch versehentlich den falschen Port zu benutzen. Hierfür müssen Verhaltensregeln aufgestellt und deren Einhalten kontrolliert werden. Und auch das Thema Security ist im Zusammenhang mit dem Thema Netzwerk-Monitoring zu sehen. Denn Veränderungen, die sichtbar werden, zum Beispiel Buslast zu gewissen Zeiten oder IP-Adressen, die auftauchen und wieder verschwinden, können durchaus Hinweise für ungewollte Gäste sein.

Beim Thema Security fällt oft auch das Schlagwort Stresstest.

Martin Wolf: Ja es stimmt, dass das Thema Stresstest vermehrt in das Zentrum der Diskussionen gestellt wird, wenn es um Fragen zur Security geht. Es wird uns aber bei den von Herrn Carius angesprochenen Problemstellungen nicht viel helfen. Ich sehe es mehr aus der Sicht, wenn es um Abnahme- und Prüfbedingungen für Profinet-Netzwerke geht. Wir haben speziell dafür die Software Pronetload. Sie beaufschlagt das Netzwerk mit Broadcast (Telegramm an alle), Multicast (Telegramm an ausgewählte Teilnehmer) sowie Unicast (Telegramm an einen bestimmten Teilnehmer) und nimmt das Verhalten der Teilnehmer in Augenschein. Der Sinn dieses Prüfschrittes ist es, mögliche Flaschenhälse im Netzwerk oder auch ein anormales Geräteverhalten bereits in der Inbetriebnahmephase zu erkennen.

Auch wenn das Thema Sicherheit derzeit noch stark in der Entwicklung begriffen ist, sollten wir uns schon heute dem Auf­decken von möglichen Angriffen, egal ob von innen oder außen, ob beabsichtigt oder unbeabsichtigt, durch ein entsprechendes Netzwerk-Monitoring nicht verschließen.