IE Industrial Ethernet a průmyslová bezpečnost V Brně dne 9. října 2014
ZÁKLADNÍ PRINCIPY IE
Nová filozofie ve vnímání a použití standardu Ethernet IE Industrial Ethernet 3
Průmyslová komunikace Snaha o docílení Mission-critical solution pro průmyslové řešení. Příklad průmyslové komunikace aplikace pro průmyslovou automatizaci
IE požadavky na infrastrukturu Komerční infrastruktura Ethernetu není použitelná k propojení průmyslových zařízení,,protože nevyhovuje z pohledu: teplotních rozsahů (-40 až +85 C) agresivity průmyslového prostředí vlivu UV záření vlhkosti prostředí dosahující až 99% prašného prostředí a agresivnímu vlivu olejů odolnosti proti vibracím a jednorázovým úderům odolnost EMC (RFI/EMI) kolísání napájecích napětí Řešením je komplexní změna zaběhané filozofie platné pro komerční použití platformy na bázi Ethernetu na fyzické vrstvě na linkové vrstvě ě na síťové vrstvě
IE z pohledu ISO/OSI modelu První 3 vrstvy ISO/OSI modelu -určují základy pro optimalizaci výkonu a nasazení IE - poskytují řešení pro bezpečný rutinní provoz aplikací v reálném čase
Přenosové parametry IE Poznámka: - Fieldbus je označení skupiny komunikačních protokolů pro průmyslovou aplikaci ve smyslu aplikační sběrnice. - Normalizováno od roku 1999 ve standardu IEC 61158. - Sítě Fieldbus jsou určeny pro řízení a sledování procesů v reálném čase. - Příkladem Fieldbus systémů jsou EtherNet/IP, Ethernet Powerlink, Profinet, Modbus, EtherCat, Profibus, Interbus, Sercos...
Fieldbus x ISO/OSI Porovnání standardu Fieldbus a ISO/OSI modelu
Protokoly IE EtherCAT Ethernett for Controlt l Automationt ti Technology h l je Ethernett na principu i Master/Slave Ethernet Powerlink je bezpečnostně orientovaný otevřený ýprotokol MODBUS/TCP je protokol vyvinutý pro sériovou komunikaci ProfiNet je škálovatelný otevřený síťový standard EtherNet/IP je standard určený pro práci v reálném čase
EPSG Vytváření a dotváření technologie Ethernet jako standardu pro průmyslové použití a kritickou infrastrukturu. EPSG (Ethernet Powerlink Standardization Group) vytvořila protokol Powerlink pro realizaci průmyslových aplikací v reálném čase. Layer 1 ISO/OSI realizován přes standardy RJ45 a M12. Layer 2 ISO/OSI rozděluje komunikaci i na dvě ě fáze: - isosynchronní (pro real time data) - asynchronní (standardní datový přenos IP) Důsledné oddělení segmentů sítě RT (Real Time) od NRT (No Real Time). Metoda přístupu p CSMA/CD je eliminována a nahrazena metodou master-slave. Pro využití přenosové šířky pásma v módu Powerlink funguje prokládaný režim (údaje nevyžadující přenos dat v každém cyklu využívají sdílených časových oken).
Architektura sítě Powerlink Základní architektura sítě Ethernet Powerlink má dva módy: Ethernet TCP/IP Powerlink (deterministické přidělování časových oken)
Powerlink v ISO/OSI Komunikační model Ethernet Powerlink NMT Network Management je mechanismus řízení a sledování sítě SDO Service Data Object je mechanismus (obecný) přenosu dat PDO Process Data Object je mechanismus (obecný) specifikace dat PLD a LLD zapouzdřují fyzickou a spojovou vrstvu Ethernetu do přenosového rámce Powerlink.
Parametry a vlastnosti Powerlinku Standard Ethernet Powerlink IEC 61158 IEC 62408 Bezpečnostní standard na aplikační vrstvě EPL Safety, třída SIL3 IEC 61508 SIL Safety Integrity Level Informační bezpečnost je dána důsledným oddělením domén v reálném čase (RT doména) a mimo reálný čas (NRT doména). Vlastnosti: -možnost až 240 uzlů v jedné RT doméně -zaručený deterministický přenos dat v RT (nejkratší doba cyklu 200 µs) -přímá komunikace (peer-to-peer) všech uzlů navzájem -připojování a odpojování zařízení za chodu (hot-plugging) -snadné začlenění ě ído Internetu t
CIP (Common Industrial Protocol) CIP Common Industrial Protocol nabáziethernet/ip rozšiřujeethernetovskéethernetovské použitínaoblast oblast aplikací pro průmyslovou automatizaci. - 4. vrstva - 3. vrstva Ethernet CIP v ISO/OSI referenčním modelu - 2. vrstva
Bezpečnost IE Je standardizována: ANSI/ISA- 99 Security for Industrial Automation and Control Systems ANSI/ISA 99.00.01 2007: Part 1: Terminology, Concept and Models ANSI/ISA S 99.02.01 2009: Establishing an Industrial Automation and Control Systems Security program O h ti ější út ků (C b Th t ) ti itř í i id tů Ochrana proti vnějším útokům (Cyber Threats) a proti vnitřním incidentům v průmyslových řídících systémech.
Topologie sítí Topologie komerční infrastruktury - hvězda (star) - hvězda s redundancí Topologie infrastruktury IE - liniová (bez redundance) - kruh (ring) s redundancí
Topologie sítí s redundancí Topologie redundandní komerční infrastruktury - hvězda (star) - Spanning Tree protocol (STP, RSTP) Topologie redundandní infrastruktury IE - kruh (ring) - pravo-levá konektivita - Hiper-ring protocol
NAMHCSRIH NNAMHCSR Redundance v aplikacích IE - 1 Redundance topologie - standardní protokoly RSTP (Rapid Spanning Tree) a Link Aggregation g - redundandní trasy NNAMHCSRIH IH HIRSCHMANN - proprietární řešení na bázi HIPER Ring HIRSCHMANN HIRSCHMANN HIRSCHMANN HIRSCHMANN
Redundance v zapojení aktivních prvků - redundandní zapojení zařízení Redundance v aplikacích IE - 2 RS2 RS2 RS2 RS2 RS2 RS2 RS2 Ring 1 RS2 RS2 RS2 RS2 RS2 RS2 RS2 RS2 control line RS2 RS2 RS2 RS2 RS2 RS2 RS2 RS2 RS2 Ring 2 RS2 RS2 Ring 3 RS2 RS2 RS2 Ring 4 RS2
Redundance v aplikacích IE - 3 Redundance napájení - standardní napájení 230V/50Hz (90 až 265V AC) typické dva zdroje - napájení 24 nebo 48V DC (18 až 60V DC) - kombinace napájení AC/DC s automatikou (např. řada MACH) - podpora PoE 48V/250mA (15,4W)
Požadované vlastnosti zařízení pro IE Požadované vlastnosti komponent infrastruktury IE - MTBF (Mean Time Between Failure) )je požadován na úrovni strojních zařízení s životností 10 až 30 let - montáž zařízení nejen do 19 nebo 21/23 a 26 rozvaděčů, ale také do DIN lišt - malé rozměry zařízení - zařízení v bezventilátorovém provedení s pasivním chlazením - zodolněné zařízení z pohledu krytí (pracho a vodotěsné) - zodolněné provedení z pohledu koroze (PCB skříně) - ochrana elektronických částí proti agresívnímu prostředí (Conformal Coating) ochrana máčením jednosložkovým silikonovým lakem - redundandní napájení - odpovídající šířka pásma pro požadované aplikace Poznámka: - PCB jsou polychlorované bifenyly - patří mezi perzistentní (dlouho setrvávající v prostředí) látky - chemicky stálé, nehořlavé, přilnavé a tepelně odolné
Topologie hvězda bez redundance Příklad topologie čističky vody - 1
Topologie kruh s redundancí Příklad topologie čističky vody - 2
Topologie hvězda s rozšířením Příklad topologie čističky vody - 3
Topologie kruh s rozšířením Příklad topologie čističky vody - 4
Aplikace IE ve výrobní sféře Ring Manager Ring Manager - vysílá tzv. watchdog packets (každých 20ms) a testuje takto integritu kruhu - vytváří redundandní kruh proti výpadku komunikace, vypadne-li jedna trasa - opraví komunikaci do rutinního režimu během max. 500 ms (typicky 270 ms) - funkční mechanizmus do 100 zařízení zapojených v kruhu
Sub-RING 1. Princip - jsou třeba 2 ks zařízení s funkcí Sub-Ring manager - slouží pouze pro daný Sub-Ring - V Sub-Ringu je podporován MRP (Media Redundancy Protocol) RM SRM Ring (základní) SRM Sub-Ring 2. Pravidlo - jsou povoleny maximálně 4 ks Sub-Ringů ů - RM značí Ring Manager - SRM značí Sub-Ring Manager
IE komplexní řešení pasivní vrstvy Řešení pasivní vrstvy IE produkty BELDEN - kabely Cat 5 (5e) a 6 v provedení pro IE - propojovací kabely (patch cordy) s krytím IP20 a IP67 - Konektory a přípojná místa (boxy) s krytím IP67 - rozvaděče a skříně v průmyslovém provedení - metalické a optické propojovací panely (patch panely)
Konektory pro IE - 1 Konektory RJ45 v ochraně - standardní zapojení konektoru - nutná ochrana - libovolná přenosová rychlost - podpora PoE
Konektory pro IE - 2 Konektory M12 (průmyslové) IEC 61067-2-101 Amendment 1 - zapojení konektoru různé pro 100 Mb/s a 1 Gb/s (10 Gb/s) - integrovaná ochrana - podpora PoE M12 connector, CAT6a M12 with Piercecon connection
Redukce konektorů RJ45 M12 Propojovací kabel s konektory RJ-45 a M12 v přímém a kříženém provedení
Ukázky optického konektoru pro IE ETSI, the European Telecommunications Standards Institute (ETSI TS 105 175-1, "Plastic Optical Fibre System Specifications for 100 Mbit/s and 1 Gbit/s"). The specification defines system requirements for both Fast- and Gigabit-Ethernet based networks and covers POF cables, connectors and transceivers. Ukázka speciálního průmyslového optického duplexního konektoru FO-7 POF (Plastic Optical Fibre) Poznámka: HPCF Hard Polymer Cladding Optical Fibre
MIPP Modular Industrial Patch Panel Je určeno pro metalické i optické segmenty Konfigurování rozvaděče pomocí portfolia zásuvných modulů DIN montáž
IE komplexní řešení aktivní vrstvy Řešení aktivní vrstvy IE produkty BELDEN/HIRSCHMANN - přepínače pro montáž na DIN lištu s managementem i bez - přepínače v rackmountovém provedení - Přepínače s krytím IP67 - firewall a VPN prvky - bezdrátové prvky - Převodníky optické i metalické (fielbus) - SW pro síťovou správu
Portfolio aktivních prvků pro IE Belden/Hirschmann produkty
Hirschmann řady MACH 4000 a 1000 MACH4000 Gigabit Backbone L2/3 Switch Switch, modulární modulární, TP/FO TP/FO, 10 Gig MACH1000 Ruggerized L2 Switch, modulární, FE/GE, TP/FO, PoE
Hirschmann řady MACH 100 MACH100 Industrial Workgroup L2 Switch, FE/GE, TP/FO, PoE obdoba v provedení na DIN lištu je RS30
Hirschmann řady RS40, RS30, RS20 RSxx Managed DIN Rail Mount L2 Switch, FE/GE, TP/FO, PoE OpenRail p Unmanaged g DIN Rail Mount Switch ((ekvivalent RS30 a RS20))
Hirschmann řady MICE MICE MS20/30 modulární L2 Switch, FE/GE, TP/FO PowerMICE modulární L2/3 Switch, FE/GE, TP/FO
Hirschmann řady SPIDER SPIDER Entry-level Unmanaged L2 Switch, FE/GE, TP/FO
Hirschmann GECKO GECKO 4TX - IP30 Switch, FE v provedení Managed (SNMP, HiDiscovery SW, web HTTPS) bezventilátorové řešení napájení 24V DC (9,5 až 36V) spotřeba < 3W montáž DIN Rail záruka výrobce 5 let MTBF 23 let Funkcionality: RMON LLDP (Link Layer Discovery Protocol) RSTP QoS
Hirchmann řady OCTOPUS OCTOPUS IP67 Switch, Switch FE FE, TP M12/FO Micro FX FX, PoE v provedení Managed i Unmanaged
Octopus testy
Hirschmann řady LION LION Control Room Switch - EOL GigaLION-24 TP: GE managed switch, L2, Store-and-forward forwarding scheme PowerLION-24 TP: GE managed switch, L3, Store-and-forward forwarding scheme SmartLION-TP/FX: 4-slot intelligent modular chassis switch, L2, Store and forward forwarding scheme LION-24 TP: Fast ETHERNET managed switch, L2, Store-and-forward forwarding scheme
Hirschmann Wi-Fi řady BAT 2,4GHz 5GHz Network BAT Wireless Access Point/Client/Bridge - BAT54-Rail - BAT54-F - BAT300 (new)
BAT Controller WLC 25/50/100 Hirschmann Wi-Fi Switch
Hirschmann řady EAGLE EAGLE20 Firewall/VPN Router
AFW - TOFINO Ochrana proti vnějším útokům (Cyber Threats) a proti vnitřním incidentům v průmyslových řídících systémech AFW (aplikační firewall). Příkladem řešení je Tofino Industrial Security Solution (Belden Company Tofino Security ) Tofino Argon 100 Tofino Argon 220
TOFINO - aplikace aplikování Tofina (vytvářením bezpečnostních zón)
Řešení průmyslového prostředí IE Typická topologie jednoho patra průmyslového prostředí
Hirchmann prvky Produkty HIRSCHMANN A páteřní přepínač řady MACH B přepínač pro dohled řady LION (EOL) C modulární přepíneč s managementem řady MICE D kompaktní přepínač řady OpenRail E přepínač ř č do náročného č prostředí v provedení IP67 řady d OCTOPUS F přepínače bez managementu řady RS a Spider G firewall a VPN řady EAGLE H bezdrátové AP/AC řady BAT I management SW HiVision
Belden prvky Produkty BELDEN J metalické kabely Cat 5 a 6 řady DataTuff K optické kabely TrayOptic L metalické propojovací kabely M optické propojovací kabely FiberExpress N konektory kt a přípojná místa s krytím IP67 O metalické a optické propojovací panely P průmyslové skříně (rozvaděče)
VW Wolfsburg Plant 3 Ukázka části řešení výrobní li k automobilu linky t bil VW-Golf VW G lf 2006, Belden Inc. All rights reserved.
Konfigurace přes V.24 port (CLI)
HiDiscovery SW Výhody Není třeba seriový kabel Není třeba BootP / DHCP Server Detekce duplicitních adres
HiVision SW Profesionální mngmt SW Síťová verze Integrace do systému SCADA (dispečerské řízení a sběr dat v průmyslovém prostředí) Podpora prostředí Windows i Linux
HiVision SW rozpoznávací funkce sítě Scan Network Automatické zobrazení topologie sítě Zobrazení koncových zařízení Zobrazení konektivity na port
HiVision výstupy ze SW Zobrazení koncových zařízení Koncová zařízení Hirschmann Koncová zařízení jiných výrobců Zobrazení událostí V rámci správy sítě Na mobilních zařízeních í Grafické výstupy Ve formátu PDF Ve formátu XLS
Topologická SCADA ukázka integrace HiVision
Správa aktivních prvků SCADA dohledové schéma