Deren Einbindung in ein digitales Netzwerk beziehungsweise Industrie-4.0-Umgebungen ist jedoch nicht unbedingt technisch anspruchsvoll, von der Netzwerksicherheit her gesehen aufwändig und damit teuer. Es geht auch mit überschaubaren Kosten.
Seit Informationstechnologien in die Industrieautomation eingezogen sind, werden PCs zur Visualisierung, als Leitstandsrechner und zur Anbindung an das Firmennetzwerk genutzt. Das ‚Internet der Dinge‘ (IoT) verspricht nun nochmals neue Möglichkeiten in der industriellen Produktion. Vor allem sitzt die Intelligenz der Fertigung in Industrie-4.0-Fertigungsanlagen nicht mehr in den Steuermodulen und Managementsystemen, sondern direkt in den Maschinen und Produkten. Diese kommunizieren über eine internet-basierte Dateninfrastruktur miteinander und managen und optimieren sich so quasi selbstständig. Diesen aktuellen Anforderungen einer fortschreitenden Digitalisierung stehen in den meisten produzierenden Industrieunternehmen ältere Bestandsanlagen gegenüber. Dort übernehmen weiterhin klassische, SPSen die Steuerungsaufgaben. Die zunehmende Verschmelzung von unterschiedlichen Automatisierungskomponenten zu integrierten Gesamtsystemen erfordert in Industrie-4.0-Umgebungen also mehr denn je eine enge Verbindung zwischen PC und SPS.
Das Wesentliche in 20 Sekunden
Mit den NETLink-Gateways lässt sich der direkte Kontakt von der SPS zum PC herstellen, wahlweise via Ethernet und WLAN jeweils mit dem Standard-TCP/IP-Protokoll.
Für Maschinen-Nachrüstungen besonders geeignet ist das Profibus-Ethernet-Gateway ‚NETLink Pro Compact‘. Das Gateway wird direkt auf die Schnittstelle des Profibus-Teilnehmers gesteckt.
Um das Produktionsnetzwerk gegen das Firmennetzwerk abzusichern, verwendet der Hersteller eine verhältnismäßig einfache Lösung – eine Anbindung über eine Schnittstelle, die sowohl Bridge- und Firewall-Funktionen besitzt.
Diese Schnittstelle, die Industrial Ethernet Bridge und Firewall ‚Wall IE‘, schützt die Teilnehmer im Produktionsnetzwerk, indem sie genau regelt, welcher Teilnehmer mit welchem Gerät Daten austauschen darf.
Mit Ethernet-Gateways von der SPS zum PC
Bereits vor mehr als zehn Jahren hat Helmholz die Aufgabe, die SPS mit dem PC zu verknüpfen, mit den ersten Ethernet-Adaptern der NETLink-Serie gelöst. Seither hat der Hersteller weltweit mehr als 70.000 NETLink-Geräte installiert. Mit diesen Gateways lässt sich der direkte Kontakt von der SPS zum PC herstellen. Die Produktfamilie umfasst heute vier Geräte und deckt das komplette Anwendungsspektrum ab. Als Übertragungswege stehen dabei Ethernet und WLAN zur Auswahl. Als Protokoll wird das Standard-Ethernet TCP/IP verwendet. Auf der Steuerungsseite ermöglichen die Module die volle Übertragungsgeschwindigkeit von 12 Mbit/s über MPI oder Profibus.
Für Maschinen-Nachrüstungen besonders geeignet und bewährt ist die aktuelle Gateway-Baureihe ‚NETLink Pro Compact‘. Das Gateway wird direkt auf die Schnittstelle des Profibus-Teilnehmers gesteckt, benötigt also keinen zusätzlichen Platz im Schaltschrank. Die erforderliche Betriebsspannung bekommt es über das aktive Profibus-Gerät. Bei passiven Teilnehmern im Netzwerk kann das Ethernet-Gateway extern mit 24 V versorgt werden. Durch die integrierte RJ45-Buchse ist es TCP/IP-seitig möglich, Standard-CAT-5-Netzwerkkabel mit bis zu 100 m Länge ohne weitere Komponenten anzuschließen.
Das NETLink-Gateway lässt sich einfach für das MPI/PPI/Profibus-Netzwerk konfigurieren. Der im Lieferumfang enthaltene Treiber bindet sich nach der Installation automatisch in die gängigen S7-Engineering Tools ein, die selbstverständlich unterstützt werden. Als sogenannter Single Master kann das NETLink-Pro-Compact-Gateway ohne weiteren Master am Profibus aktiv sein. Dies ermöglicht, dass passive Teilnehmer direkt angesprochen werden können. Über entsprechende Security-Funktionen kann darüber hinaus der TCP/IP-Zugriff eingeschränkt werden.
Netzwerk-Sicherheit geht auch einfacher
Mit der zunehmenden Ethernet-Vernetzung spielt die sichere Integration von Maschinennetzen in das übergeordnete Produktionsnetzwerk eine zentrale Rolle. Konkret geht es darum, das Maschinennetzwerk sicher in das übergeordnete Produktionsnetzwerk zu integrieren beziehungsweise von diesem abzugrenzen. Das Maschinennetz, also das Netzwerk einer Automatisierungszelle mit einer oder mehreren Maschinen, ist dabei als LAN (Local Area Network) zu betrachten; das Produktions- beziehungsweise Firmennetzwerk ist als WAN (Wide Area Network) anzusehen. Um die Schnittstelle zwischen beiden sicher zu gestalten, war bisher nur der Umweg über komplexe Firewall-Lösungen möglich. Diese sind allerdings für diesen speziellen Einsatzzweck naturgemäß überdimensioniert. Und das bedeutet auch: dementsprechend teuer und kompliziert in der Handhabung.
Eine weniger komplizierte Alternative ist eine Anbindung über eine Schnittstelle, die Bridge- und Firewall-Funktionen verbindet: die Industrial Ethernet Bridge und Firewall ‚Wall IE‘ von Helmholz. Sie ermöglicht die vergleichsweise einfache Integration von Maschinennetzen in das übergeordnete Produktionsnetz. Konkret schützt diese Komponente die Netze beziehungsweise die Netzwerk-Teilnehmer, indem sie genau regelt, welcher Teilnehmer mit welchem Gerät Daten austauschen darf. Die Vorgaben können anwenderspezifisch definiert werden. Die Voraussetzung dafür schafft eine Paketfilter-Funktionalität: Mit diesem Paketfilter lässt sich der Zugriff zwischen dem Produktionsnetzwerk und der Automatisierungszelle einschränken. Unter Verwendung von Network Address Translation (NAT) bietet Wall IE zudem die Möglichkeit, interne IP-Adressen in externe umzuwandeln. Nach außen fungiert dann als einzige externe IP-Adresse die des Wall IE. Die im Maschinennetz angelegten internen IP-Adressen können damit ohne erneute Konfiguration in das Produktionsnetzwerk eingebunden werden.
Online-Fernzugriff über das VPN-Portal
Nicht zuletzt bringt die sichere Einbindung analoger Automatisierungsgeräte in Ethernet-Netzwerke noch einen großen Vorteil: Sie ermöglicht den komfortablen Online-Fernzugriff auf die entsprechenden Komponenten. Mit den Industrieroutern der Rex-Produktfamilie von Helmholz erfolgt die Datenübertragung generell verschlüsselt über einen VPN-Tunnel. Als Vermittlungszentrale für die VPN-Kommunikation zwischen Fernwartungstechnikern und der Kundenanlage dient das Helmholz-eigene VPN-Portal ‚myREX24‘. Beide Seiten können den VPN-Tunnel damit als ausgehende Verbindung aufbauen.