Sinec NMS bringt Transparenz in komplexe, heterogene Ethernet-basierende Netzwerke. (Bild: Redaktion IEE)
Frau Steinert, wozu ist ihr NMS gedacht?
Larissa Steinert: Sinec NMS dient zur Verwaltung, Überwachung und Diagnose von großen industriellen Netzwerken aus nur einer zentralen Sicht. Und groß heißt für uns bis zu 12 500 Netzwerkteilnehmer. Identifizierte Risiken oder Anomalien des Netzwerkes – etwa unterschiedliche Firmware-Versionen oder ein geräte-übergreifendes Ändern der Gerätepasswörter – lassen sich damit per Knopfdruck über einen intelligenten Rollout lösen.
Das soll der große Wurf sein, als den sie die Lösung auf der SPS vorgestellt haben?
Larissa Steinert: Mehr noch: Wir verstehen unsere Lösung übergreifend als ein ‚Gesundheitsprogramm‘ moderner Netzwerke. Denn unser NMS beobachtet, diagnostiziert und agiert, wenn nötig. Das System deckt dazu alle Aspekte des FCAPS-Modells der International Organization for Standardization ab.
Welche sind das?
Cockpit für das Nervensystem
der digitalen Fabik
Steffen Schnur
Wer ein komplexes Produktionsnetzwerk im Blick haben muss, braucht ein leistungsfähiges Netzwerk-Management System.
Larissa Steinert: Ein zentrales Element ist sicherlich die Erkennung und Darstellung aller Netzwerkteilnehmer. Somit entsteht eine stets aktuelle Landkarte, welche Teilnehmer mit welchen Eigenschaften sich an welchem Ort im Netzwerk befinden.
Diese ‚Who is who‘-Darstellung wird im zweiten Aspekt, dem Fault Management, mit Diagnoseinformationen angereichert. Dabei greift Sinec NMS auf eine Vielzahl der in Produktionsnetzwerken verfügbaren Protokolle zurück – nutzt also nicht nur das SNMP-Wissen, sondern auch Diagnosedaten, die beispielsweise über Simatic oder Profinet gelesen werden können. Diese Diagnoseinformationen bereitet unser System auf und stellt sie in verschiedenen Ebenen dar, etwa in Eventlisten, Gerätelisten, Interfacelisten, als Gerätebaum oder Topologie. In Summe ist das schon ein großer Wurf.
Aus der Diagnose heraus entsteht in der Regel Handlungsbedarf.
Larissa Steinert: Natürlich unterstützen wir auch, wenn Änderungen an der Konfiguration des Netzwerkes anfallen. Eine typische Aufgabe ist beispielsweise eine neue Firmware einzuspielen. Auch diese Aspekte können zentral vorbereitet und ausgerollt werden. Außerdem überwacht Sinec NMS rund um die Uhr die Topologie. Dadurch werden Veränderungen im Netzwerk erkannt und direkt angezeigt. Der Adminsitrator kann dann unmittelbar darauf reagieren und handeln.
Was gab den Anstoß zu dieser Entwicklung?
Larissa Steinert: Durch die Digitalisierung wächst stetig die Anzahl der Teilnehmer in den Netzwerken. Deshalb braucht es ein skalierbares Netzwerk-Management, das mit den Anlagen mitwachsen kann. Es wird im Zuge der Digitalisierung immer wichtiger, nicht mehr einfach nur einzelne Geräte zu administrieren. Vielmehr müssen die Funktionen in einem Netzwerk konfiguriert werden, unabhängig davon, welche Netzwerkkomponenten, beispielsweise Switches, Router, Access Point oder WLAN- Clients, im Netzwerk installiert sind. Sinec NMS erleichtert diese Konfiguration enorm. Außerdem hat die Transformation vom Produkt- hin zum Lösungs- und Systemgeschäft den Anspruch an unser Angebot erhöht, auch ein zentrales System zum Managen der Netzwerkgeräte bereitzustellen.
Skizzieren Sie doch kurz typische Anwendungsszenarien.
Diagnose und Konfiguration von TSN-Netzwerken wird ein Muss. Redaktion IEE
Larissa Steinert: Ein großer Fertigungsstandort mit komplexen Netzwerkstrukturen möchte gerne Transparenz sicherstellen und die Verfügbarkeit seiner Anlagen gewährleisten. Eine Voraussetzung dafür ist, über mögliche Probleme in der Anlage – und der Profinet-Teilnehmer – umgehend informiert zu werden.
Viele Produktionsstätten hatten in der Vergangenheit Profibus im Einsatz, sind inzwischen aber auf Profinet umgestiegen oder gerade in diesem Migrationsprozess. Daraus resultieren weitere Anforderungen hinsichtlich der gesamten Vernetzbarkeit. Unter anderem führt das dazu, dass die Netzwerkstrukturen komplexer sind. Da ist der Wunsch vieler Administratoren nach einer transparenten Sicht auf das Gesamtnetzwerk verständlich.
Zukunftssichere Geräteadministration heißt doch mittelfristig auch TSN zu unterstützen. Steht das auch auf der Roadmap?
Larissa Steinert: Ja, TSN steht definitiv auf der Roadmap. Einerseits wollen wir TSN-fähige Geräte zentral administrieren können und andererseits komplette TSN-Netzwerke diagnostizieren.
Bei heterogenen Strukturen und großen Netzwerken ist eine Hardwareunabhängigkeit essentiell. Wie sorgen Sie dafür?
Larissa Steinert: Mit Sinec NMS gehen wir hier genau diesen ersten Schritt. Wir administrieren keine Geräte, sondern konfigurieren das gesamte Netzwerk. Das heißt, dass der Anwender definiert, welche Funktion er im Netzwerk aktivieren möchte und auf welche Netzwerkbereiche dies angewendet werden soll.
Über Standard-MIBs ‒ Management Information Base ist die Basis, um Geräte-Funktionen zu beschreiben ‒ unterstützen wir auch Fremdgeräte. Weitere Funktionen der Geräte können über sogenannte Privat-MIBs beschrieben werden, sofern im IEEE-Standard keine Definition existiert. Darüber lassen sich beispielsweise auch EtherNet/IP-Netzwerke monitoren.
Wie die Schnittstelle zum TIA-Portal aussieht und wie sich Fremdgeräte einbinden lassen, erfahren Sie auf Seite 2.
Wir erweitern die klassischen IT-Features um die Belange der OT-Netzwerke. Redaktion IEE
Mit der eigentlichen Gerätekonfiguration der Teilnehmer hat das aber nichts zu tun, oder doch?
Larissa Steinert: Mit Sinec NMS stellen wir ein Netzwerkmanagement-Tool zur Verfügung, um die Funktionen der Netzwerkkomponenten zu managen. Konkret sind das Switches, Router, WLAN Access Points und Client-Module. Das bezieht sich jedoch nicht auf die Konfiguration von Endgeräten wie eine S7-Steuerung.
Gibt es Schnittstellen zum TIA-Portal? Hier projektieren doch viele Automatisierer ihre Anlagen, auch die Kommunikation.
Larissa Steinert: Die Applikations-Projektierung ist nicht dasselbe wie das Netzwerk-Management an sich. Im TIA Portal werden in der Projektsicht die Simatic-Steuerungen mit ihren PN IO-Geräten konfiguriert. Sinec NMS bietet eine Netzwerksicht und überwacht den Betrieb.
Welche Systemvoraussetzungen sind dafür auf der Geräteseite denn notwendig?
Larissa Steinert: Die einfachste Art der Diagnose ist über Ping. Damit kann man bereits erkennen, ob ein Gerät im Netzwerk vorhanden ist oder nicht. Ansonsten sind Profinet oder SNMP typische Schnittstellen, die auf der Geräteseite notwendig sind.
Wie können Fremdgeräte eingebunden werden? Was müssen die dafür an Schnittstellen unterstützen?
Larissa Steinert: Wir bieten die Möglichkeit, Fremdgeräte über entsprechende Geräteprofile im System bekannt zu machen. Dies erfolgt zur Laufzeit und ohne jegliche Software-Updates. Damit lassen sich sämtliche Geräte in kürzester Zeit im System integrieren, genauso wie die bereits vorhandenen Geräte. Die einfachste Art der Diagnose in einem Netzwerk ist der Echo-Request gemäß des Internet Control Message Protocols, landläufig auch als Ping bekannt. Als Schnittstellen reicht es, wenn die Geräte TCP/IP oder SNMP unterstützen.
Wie ist der Ablauf, wenn ein neuer Teilnehmer im Netzwerk auftaucht?
Larissa Steinert: Die Software identifiziert neue Geräte über SNMP oder TCP/IP in den festgelegten IP-Ranges, meldet neu erkannte Geräte und kennzeichnet diese Geräte in der Topologie-Ansicht. Abhängig von der Konfiguration, informiert die Software dann den Anwender über neu erkannte Geräte.
Aktuell ist weiterhin SNMP das am meisten verwendete Protokoll. Auch wir setzen bei Diagnose und Konfiguration darauf. Redaktion IEE
Lassen sich auch verteilte Anlagenstrukturen einbinden, die beispielsweise über Fernwirkstrecken kommunizieren?
Larissa Steinert: Prinzipiell ist das möglich, das hängt allerdings von der Anzahl der Geräte und der verfügbaren Bandbreite ab. Dabei sollte man aber hinterfragen, ob es sinnvoll ist, große Datenmengen über Fernwirkstrecken zur zentralen Control-Instanz zu schicken. Oft ist eine lokale Vorverarbeitung der Daten besser, um anschließend dann nur noch die kritischen Daten zu senden.
Deckt Ihr Tool auch die aktuellen Security-Aspekte ab?
Larissa Steinert: Unsere Software unterstützt eine Vielzahl an Security-Aspekten für effiziente Netzwerksicherheit. Beispielsweise kann das System für die Verwaltung prozessualer und technischer Sicherheitsanforderungen gemäß der aktuellen IEC 62443 genutzt werden. Typische Aufgaben sind hier die Definition von Backup-Policies oder User Management Access Control, kurz: UMAC. Angefangen bei der eigenen Sicherheit des Tools mit einem Rollen-/Rechte-System, über Zertifikate-basierende Authentifizierung des verteilten Systems bis hin zur gesicherten Datenkommunikation mit den Netzwerkgeräten über SNMP V3 oder CLI über SSH. Aber auch das Thema zentrales Ausrollen von Security-Policies ist möglich. Darunter fallen etwa das Deaktivieren von http oder Passwort-Änderungen für Netzwerkgeräte.
Wie erfolgt bei Updates die Verteilung, über das gute alte SNMP, oder gibt es inzwischen andere Möglichkeiten?
Larissa Steinert: Aktuell ist weiterhin SNMP das am meisten verwendete Protokoll. Auch wir setzen bei Diagnose und Konfiguration darauf.
Wo liegen die Grenzen des Systems, haben das Ihre Entwickler schon ausgelotet?
Larissa Steinert: Das System ist bewusst skalierbar aufgebaut, um flexibel erweiterbar zu sein. Die Grenzen hängen daher in erster Linie ab von den verfügbaren Hardware-Ressourcen.
Was muss ich mir unter dem Northbound Interface vorstellen?
Larissa Steinert: Northbound-Interface bezeichnet im Allgemeinen die Schnittstellen zu Scada- oder MES-Systemen, aber auch zu Cloud-Anwendungen. Über dessen Schnittstellen kann das NMS seine Informationen anderen Systemen jederzeit zur Verfügung stellen. Aktuell setzen wir hier auf OPC UA.
Wie ist NMS konzipiert, als Cloud-Lösung im Rahmen der Siemens MindSphere?
Larissa Steinert: Wir erweitern die klassischen IT-Features um die Belange der OT-Netzwerke. Damit lassen sich weitere Anwendungen mit anderen Daten verknüpfen und auch andere Mehrwerte für Kunden realisieren.
Können Sie mit dem System auch Software-Updates an den Geräten fahren?
Larissa Steinert: Ja, Sinec NMS bietet eine Firmware-Management-Funktion für Software-Updates auf mehreren Geräten unter Berücksichtigung der Topologie.
Das Interview führte IEE-Chefredakteur Stefan Kuppinger
(sk)
