Sådan implementerer du sikre tidsfølsomme netværk til IIoT ved hjælp af styrede Ethernet-kontakter

Industrial Internet of Things (IIoT) har brug for sikre realtidsforbindelser med høj båndbredde til forskellige enheder. IIoT-netværk i Industri 4.0-automatisering, vandforvaltning, olie- og gasforarbejdning, transport, strømstyring og lignende kritiske applikationer har også brug for en effektiv og fleksibel måde at levere strøm til enheder på, og de har brug for en forbindelsesløsning med høj porttæthed for at understøtte et stort antal enheder på minimal plads. Næste generation af styrede Ethernet-kontakter kan opfylde disse behov og mere til.

Styrede Ethernet-kontakter kan fjernkonfigureres og -styres, hvilket forenkler netværksinstallationer og -opdateringer. De muliggør en række forskellige netværksarkitekturer som stjerne- og linjetopologier med redundant drift, herunder overholdelse af IEC 62439-1, som gælder for automatiseringsnetværk med høj tilgængelighed. De understøtter IEEE 802.1-standarder for tidsfølsomme netværk (TSN) og IEEE 802.3-standarder for Power over Ethernet (PoE) og PoE+.

Disse kontakter fås certificeret til ISASecure-programmet til automatiserings- og kontrolsystemer, der er baseret på International Society of Automation / International Electrotechnical Institute (ISA/IEC) 62443-serien af standarder. De kan konfigureres med kombinationer af 10/100BASE TX / RJ45 slots til kobberforbindelser og tri-speed fiberoptiske SFP-slots (tilslutningsbare med lille formfaktor) med justerbare hastigheder på 100 Mb/sek. (Mb/s), 1 Gb/sek. (Gb/s), og 2,5 Gb/sek.

Denne artikel begynder med et kort kig på overgangen fra automatiseringspyramiden i Industri 3.0 til automatiseringssøjlen i Industri 4.0, gennemgår flere muligheder for at implementere netværk til at transportere både hastende og ikke-hastende trafik, og overvejer, hvordan TSN passer ind og kan implementeres. Derefter gennemgås, hvordan PoE og PoE+ kan forenkle strømforsyningen til sensorer, styringer og andre enheder i IIoT, og vigtigheden af sikkerhed præsenteres, herunder ISASecure-certificering og avancerede sikkerhedsfunktioner som ACL'er (Access Control Lists) og automatisk forebyggelse af DoS (denial-of-service). Den afsluttes med en beskrivelse af fordelene ved at bruge styrede Ethernet-kontakter og præsenterer flere eksemplariske BOBCAT styrede kontakter fra Hirschmann.

Pyramide til søjle

Overgangen fra Industri 3.0's pyramidefabriksarkitekturen til søjlearkitekturen i Industri 4.0 er drivkraften bag udviklingen af TSN. Pyramiden opdelte fabrikkens funktioner i et hierarki fra fabriksgulvet til centraliserede kontrol- og ledelsesfunktioner. Realtidskommunikation er hovedsageligt nødvendig på fabriksgulvets laveste niveau, hvor sensordata styrer fremstillingsprocesserne. Det ændrer sig med Industri 4.0.

Automatiseringssøjlen i Industri 4.0 reducerer antallet af niveauer fra fire til to: feltniveauet og fabrikkens rygrad. Feltniveauet omfatter et stigende antal sensorer og et voksende udvalg af controllere. Nogle controllere bevæger sig ned på feltniveau fra pyramidens kontrol/programmerbare logiske controller (PLC)-niveau. Samtidig bevæger andre funktioner, der tidligere lå på kontrol/PLC-niveau, sig op til fabrikkens rygrad og bliver virtuelle PLC'er sammen med MES (Manufacturing Execution System), SCADA-funktioner (Supervisory Control and Data Acquisition) og ERP (Enterprise Resource Planning).

Konneksitetslaget forbinder felt- og rygradsniveauerne sammen. Forbindelseslaget og netværkene på feltniveau skal levere højhastighedskommunikation med lav latenstid og være i stand til at transportere kombinationer af lavprioriteret trafik og tidskritisk trafik. TSN understøtter dette krav ved at muliggøre deterministisk netværkstrafik i realtid (DetNet) over standard Ethernet-netværk (figur 1).

Figur 1: Overgangen fra automatiseringspyramiden til automatiseringssøjlen kræver et forbindelsesled med TSN-kapacitet. (Billed: Belden)

Tre TSN-konfigurationer

IEEE 802.1 Ethernet-standarden beskriver tre konfigurationer for TSN: centraliseret, decentraliseret (også kaldet fuldt distribueret) og en hybridkonfiguration med et centraliseret netværk og distribuerede brugere. I begge tilfælde er konfigurationen meget automatiseret for at forenkle TSN-implementeringer og begynder med at identificere de TSN-funktioner, der understøttes i et netværk, og aktivere den nødvendige funktionalitet. På det tidspunkt kan den talende sendeenhed sende information om den datastrøm, der skal sendes. De tre tilgange er forskellige med hensyn til, hvordan kravene til enheden og datastrømmen håndteres i netværket.

I den centraliserede konfiguration kommunikerer talere og lyttere gennem den logiske enhed for centraliseret brugerkonfiguration (CUC). CUC'en opretter kravene til datastrømmen baseret på taler- og lytteroplysningerne og sender dem til den centraliserede netværkskonfigurationsenhed (CNC). CNC bestemmer tidsintervallet for den næste datastrøm baseret på faktorer som netværkstopologi og ressourcetilgængelighed og sender de nødvendige konfigurationsoplysninger til kontakterne (figur 2).

Figur 2: En centraliseret TSN-arkitektur bruger CUC'en til at oprette forbindelse til taleren og lytteren og CNC'en til at sende konfigurationsoplysninger til kontakterne. (Billedkilde: Belden)

I den decentraliserede konfiguration er CUC og CNC elimineret, og enhedskravene spredes gennem netværket baseret på information i hver enhed. I hybridkonfigurationen bruges CNC'en til TSN-konfiguration, og taler- og lytterenhederne deler deres krav gennem netværket (figur 3). De centraliserede og hybride tilgange gør det muligt at konfigurere (administrere) netværkskontakterne centralt.

Figur 3: Eksempler på decentraliserede (øverste) og hybride (nederst) TSN-konfigurationer. (Billedkilde: Belden)

PoE og PoE+

Power over Ethernet (PoE) er et godt supplement til TSN i søjlen for Industri 4.0-automatisering. En af drivkræfterne i Industri 4.0 er IIoT, som består af mange sensorer, aktuatorer og controllere. PoE blev udviklet til at løse udfordringerne med at forsyne IIoT-enheder med strøm på en fabrik eller et andet anlæg.

PoE understøtter samtidig transmission af højhastighedsdata (inklusive TSN) og strøm via et enkelt netværkskabel. For eksempel kan 48 V DC-strøm distribueres op til 100 m gennem et CAT 5/5e-kabel ved hjælp af PoE. Ud over at forenkle netværksinstallationer forenkler PoE implementeringen af uafbrydelig strøm og redundante strømkilder og kan forbedre pålideligheden af industrielle processer og udstyr.

PoE bruger to typer enheder: strømforsyningsudstyr (PSE), der tilfører strøm til netværket, og strømforsynede enheder (PD'er), der trækker strømmen ud og bruger den. Der findes to typer PoE. Basic PoE kan maksimalt levere 15,4 W til en PD. PoE+ er en nyere udvikling, der kan levere op til 30 W til en PD.

Netværkssikkerhed

ISA og IEC har udviklet en række standarder for industrielle automatiserings- og kontrolsystemer (IACS). ISA/IEC 62443-serien indeholder fire sektioner. Afsnit 4 gælder for leverandører af udstyr. IEC 62443-4-2-certificerede enheder er blevet uafhængigt evalueret og er secure-by-design, herunder bedste praksis for cybersikkerhed. To vigtige værktøjer til IACS-sikkerhed er adgangskontrol-lister (ACL'er) og beskyttelse mod denial of service-angreb (DoS). I begge tilfælde er der flere tilgange til rådighed for netværksingeniører.

ACL'er bruges til at tillade eller afvise trafik, der kommer ind i eller forlader netværksinterfaces. En fordel ved at bruge ACL'er er, at de fungerer med netværkshastighed og ikke påvirker datagennemstrømningen, hvilket er en vigtig faktor i TSN-implementeringer. Hirschmanns HiOS inddeler ACL'er i tre kategorier:

Grundlæggende ACL'er til TCP/IP-trafik har et minimum af konfigurationsmuligheder til opsætning af tilladelsesregler som "enhed A kan kun kommunikere med denne gruppe af enheder", eller "enhed A kan kun sende bestemte typer information til enhed B", eller "enhed A kan ikke kommunikere med enhed B". Brug af grundlæggende ACL'er kan forenkle og fremskynde implementeringer.

Avancerede ACL'er til TCP/IP-trafik er også tilgængelige og giver mere detaljeret kontrol. Trafik kan tillades eller nægtes baseret på dens prioritet, flag i headers og andre kriterier. Nogle regler kan kun anvendes på bestemte tidspunkter af dagen. Trafikken kan spejles til en anden port til overvågning eller analyse. Specifikke typer af trafik kan tvinges til en defineret port uanset dens oprindelige destination.

Nogle IACS-enheder bruger ikke TCP/IP, og HiOS gør det også muligt at indstille ACL'er på Ethernet-frame-niveau baseret på MAC-adressering (Medial Access Control). Disse ACL'er på MAC-niveau kan aktivere filtrering baseret på en række kriterier, herunder trafiktype, tidspunkt på dagen, kilde- eller destinations-MAC-adresse og så videre (figur 4).

Figur 4: ACL'er på MAC-niveau kan bruges på enheder, der ikke bruger TCP/IP (Billedkilde: Belden)

Mens ACL'er skal konfigureres, er DoS-forebyggelse ofte indbygget i enheder og implementeres automatisk. Den kan håndtere angreb over TCP/IP, ældre TCP/UDP og ICMP (Internet Control Message Protocol). For TCP/IP og TCP/UDP tager DoS-angreb forskellige former relateret til protokolstakken, dvs. at sende den angrebne enhed pakker, der ikke er i overensstemmelse med standarden. Eller en datapakke kan sendes til enheden under angreb ved hjælp af enhedens IP-adresse, hvilket potentielt kan forårsage en endeløs løkke af svar. Ethernet-kontakter kan beskytte sig selv og beskytte ældre enheder på et netværk ved automatisk at filtrere ondsindede datapakker fra.

Et andet almindeligt DoS-angreb kommer ind via et ICMP-ping. Pings er beregnet til at identificere enheders tilgængelighed og svartider på tværs af et netværk, men kan også bruges til DoS-angreb. For eksempel kan angriberen sende et ping med en payload, der er stor nok til at forårsage et bufferoverløb i den modtagende enhed, så protokolstakken går ned. Nutidens styrede Ethernet-kontakter kan automatisk beskytte sig mod ICMP-baserede DoS-angreb.

Styrede kontakter

BOBCAT styrede Ethernet-kontakter fra Hirschmann understøtter TSN og har udvidede båndbreddefunktioner ved at justere SFP'erne fra 1 til 2,5 Gb/s uden at ændre kontakten. De har høj porttæthed med op til 24 porte i en enkelt enhed og mulighed for SFP- eller kobber-uplink-port (figur 5). Andre funktioner omfatter:

• ISASecure CSA/IEC 62443-4-2 certificeret, inklusive ACL'er og automatisk DoS-forebyggelse
• Understøtter op til 240 W på tværs af otte PoE/PoE+-porte uden belastningsdeling, hvilket sikrer maksimal effektudgang
• Standard driftstemperaturområde på 0 °C til +60 °C og modeller med udvidet temperatur, der fungerer fra -40 °C til +70 °C
• Modeller, der er godkendt i henhold til ISA12.12.01 til brug i eksplosionsfarlige områder

Figur 5: BOBCAT styrede Ethernet-kontakter fås i en række forskellige konfigurationer. (Billedkilde: Hirschmann)

Eksempler på Hirschmann BOBCAT-kontakter omfatter:

• BRS20-4TX med fire 10/100 BASE TX / RJ45-porte, der er klassificeret til omgivelsestemperaturer fra 0 °C til +60 °C
• BRS20-4TX/2FX med fire 10/100 BASE TX / RJ45-porte, der er klassificeret til omgivelsestemperaturer fra 0 °C til +60 °C
• BRS20-4TX/2SFP-EEC-HL med fire 10/100 BASE TX / RJ45-porte og to 100 Mbit/s fiberporte, klassificeret til omgivelsestemperaturer fra -40 °C til +70 °C og godkendelse til ISA12.12.01 til brug på farlige steder
• BRS20-4TX/2SFP-HL med fire 10/100 BASE TX / RJ45-porte og to 100 Mbit/s fiberporte, klassificeret til omgivelsestemperaturer fra 0 °C til +60 °C og godkendelse til ISA12.12.01 til brug på farlige steder
• BRS30-12TX med otte 10/100 BASE TX / RJ45-porte og fire 100 Mbit/s fiberporte, klassificeret til omgivende temperaturer fra 0 °C til +60 °C
• BRS30-16TX/4SFP med seksten 10/100 BASE TX / RJ45-porte og fire 100 Mbit/s fiberporte, klassificeret til omgivende temperaturer fra 0 °C til +60 °C

Oversigt

Der findes styrede Ethernet-kontakter, som understøtter TSN, PoE og PoE+, giver høj cybersikkerhed og leverer den høje båndbredde, der er nødvendig for IIoT og netværksstrukturen i søjlen Industry 4.0. Disse kontakter er nemme at konfigurere, har høj porttæthed, har udvidet driftstemperaturkapacitet og fås i versioner, der er godkendt til ISA12.12.01 til brug på farlige steder.