VIK 16 Maart 2006 Ethernet TCP/IP Het universeel communicatiesysteem voor PLC s, I/O en alle randapparatuur Marketing Automation & Controle
Ethernet TCP/IP, de universele communicatie Inhoud De hoofdbekommernissen van de industrie Een oude droom wordt werkelijkheid, het universele communicatiesysteem Ethernet TCP/IP (TCP/IP = Transport controle Protocol, Internet protocol) De belangrijke industrieel Ethernet organisaties Standaard Ethernet + Web technologie biedt nieuwe mogelijkheden voor eindgebruikers en integratoren Wat met netwerkbeveiliging Real time: een rekbaar begrip Case op basis van Ethernet met Modbus TCP/IP en WEB based diagnose Conclusies 2
Ethernet TCP/IP, de universele communicatie De hoofdbekommernissen van de industrie Het verbeteren van de competitiviteit Vermindering van de globale kosten Het verhogen van de productiviteit Verhoging van de bedrijfscontinuïteit van de installaties Verbeteren van de interne efficientie Optimaliseren van de relatie met leveranciers en klanten Voortdurend de kwaliteit verbeteren, Het verkorten van de Time to Market Flexibiliteit verhogen Werken met partners daar waar nodig Virtueel simuleren en valideren alvorens in dienst te stellen 3
Ethernet TCP/IP, de universele communicatie De hoofdbekommernissen van de industrie Het verbeteren van de competitiviteit door vermindering van de globale kosten Vermindering van de kosten voor het beheer en onderhoud van de installaties Vermindering van het aantal technologiën Een efficienter energiebeheer Vermindering van het electriciteitsverbruik Bewaking van de kwaliteit van de energie Het verhogen van de productiviteit door een verbeterde bedrijfscontinuïteit van de installaties Verkorten van de uitvaltijden en sneller kunnen beslissen Hogere betrouwbaarheid door vermindering van het aantel interfaces Betere beschikbaarheid van de gegevens Optimaliseren van de relatie met leveranciers en klanten Voortdurend de kwaliteit verbeteren, 4
Ethernet TCP/IP, de universele communicatie De hoofdbekommernissen van de industrie Het verkorten van de Time to Market Flexibiliteit verhogen Automatiseringsarchitecturen op een snelle wijze kunnen aanpassen zonder de installaties te moeten stilzetten Werken met partners wanneer de nodige interne competentie afwezig is Steeds werken met Open systemen en universele technologiën Virtueel simuleren en valideren alvorens in dienst te stellen, Beschikbaarheid van gegevens verhogen Het aantal technologiën verminderen Gebruik van Open en universele technologiën 5
Ethernet TCP/IP, de universele communicatie Een oude droom wordt werkelijkheid De automatiseringsarchitectuur van de jaren 90 Client Client Site Server Client 3 verschillende netwerkniveau s Ethernet Ethernet Vele interfaces SCADA Zone controller Controle netwerk SCADA Zone controller Controle netwerk SCADA Zone controller Geen data transparantie Veldbus PLC Locale HMI Decentrale I/O Masterpact LV ACB Sepam MV Relay Veldbus PLC Drive Locale HMI Decentrale I/O Decentrale I/O ASinterface Veldbus Drive Locale HMI Decentrale I/O Power Logic Circuit Monitor SCADA is de bottleneck Verschillende communicatietechnologiën die moeten onderhouden worden 6
Ethernet TCP/IP, de universele communicatie Een oude droom wordt werkelijkheid De automatiseringsarchitectuur van de jaren 2000 Client Client Site Server Client Ethernet TCP/IP daalt af tot op het controleniveau tussen PLC s Veldbus Ethernet SCADA Zone controller Ethernet PLC Locale HMI Decentrale I/O Masterpact LV ACB Sepam MV Relais Veldbus PLC Dive SCADA Zone controller Locale HMI Decentrale I/O Decentrale I/O Ethernet Ethernet ASi Veldbus SCADA Zone controller Drive Locale HMI Decentrale I/O Power Logic Circuit Monitor Migratie van de architectuur naar 2 netwerken Eenvoudige en goedkope lokale & remote toegang via een Web browser (onderhoud, diagnose) Verdeel de Informatie beschikbaar over verschillende Web servers op PLC s, ==> geen bottlenecks 7
Ethernet TCP/IP, de universele communicatie Een oude droom wordt werkelijkheid De automatiseringsarchitectuur van de komende jaren Ethernet TCP/IP als universeel communicatienetwerk Dezelfde communicatietechnologie op alle niveau s Traditionele SCADA wordt gecombineerd met Web technologie. Eliminatie van de interfaces 8
Ethernet TCP/IP, de universele communicatie Een oude droom wordt werkelijkheid De verschillende veldbussystemen Data Bestanden in N x Sec N x 10 Woorden in N x 10ms N Woorden in N x 10ms N bits in N x ms Device Interbus S DeviceNet Profibus DP ModBus/Unitelwa Profibus y PA MB + DIO FIPIO LonWorks Profibus FMS Sensor Field ASI Sensorloop Seriplex ControlNet MB Plus FIPWAY Fieldbus Foundation ETHWAY/MMS Ethernet TCP/IP MMSE Ethernet TCP/IP Bits Bytes Words Files 9
Belangrijke actoren in Industrieel Ethernet Marktstudie van ARC mei 2005 Aantal verkochte nodes per Industrieel Ethernet protocol 26% Modbus TCP 25.4% EtherNet/IP 2.9% Fl-Net 2.1% FF-HSE 2% PROFInet 10
Belangrijke actoren in Industrieel Ethernet De EthernetIP technologie wordt beheerd door de ODVA en ControlNet International organisaties EthernetIP gebruikt het CIP protocol (Common Industrial Protocol) EthernetIP is niet enkel gebaseerd op Ethernet technologie, het gebruikt de standaard Ethernet technologie EthernetIP gebruikt standaard switches en is eenvoudig te integreren met het bestaande Ethernet netwerk Diensten Impliciete Real time I/O via UDP, data tussen PLC s via TCP Expliciete communicatie via TCP CIPsync voor motion toepassingen, via een VLan Transparantie naar DeviceNet en ControlNet apparaten EthernetIP is bestemd voor alle automatiseringsapparaten 11
Belangrijke actoren in Industrieel Ethernet PROFIBUS International is de organisatie die de Profinet en de Profibus technologiën beheert Profinet is op Ethernet gebaseerde Automation technologie Opsplitsing in twee technologiën Fieldbus based, Ethernet Based 1 Open TCP/IP channel Parametrering, Diagnosedata, netwerkbelasting Onderhandeling en setup van het kanaal voor processdata 2 Real-time channel RT Transfert met hoge performantie Cyclische en event gestuurde data 3 Real-time channel IRT via specifieke ASIC, gericht naar motion toepassingen Integratie van Profibus apparaten op Profinet 12
Belangrijke actoren in Industrieel Ethernet Modbus TCP/IP PLC I/O HMI RFI ipc Drives Databases Ventieleilanden... * IANA= Internet Assigned Numbers Authority Modbus-IDA is de internationale organisatie die de Modbus TCP/IP en Modbus RTPS (Real Time Publisher Subscriber) protocols beheert Beide protocols werden erkend als Real time Ethernet binnen IEC SC65C Het zijn vrije Ethernet protocols zonder copie-rechten De IANA* kende poort 502 toe aan Modbus TCP/IP Elke applicatie of device die poort 502 gebruikt, is verplicht van met het Modbus TCP/IP protocol te werken Modbus TCP/IP heeft dezelfde status als elk ander vast Ethernet protocol( vb HTTP, SMTP, ) Modbus TCP/IP en Modbus RTPS maken gebruik van standaard Ethernet en is volledig compatibel met alle andere Ethernet toepassingen Modbus TCP/IP is transparant naar de miljoenen geïnstalleerde Modbus RS485 componenten 13
Ethernet TCP/IP + Webtechnologie Nieuwe mogelijkheden voor eindgebruikers en integratoren * ERP = Enterprise Resource planning Globale planning / logistiek **MES= Management Excecution System Management systeem voor productie onderhoud, kwaliteit en logistiek Real time gegevens zijn beschikbaar voor iedereen binnen de onderneming, vanuit een standaard web-browser productie, onderhoud, kwaliteit, klanten, leveranciers diagnose van applicatie en het netwerk Onderhoud vanop afstand wordt eenvoudig en goedkoop : via de bestaande netwerkinfrastruktuur. Real time data kan op eenvoudige manier gedeeld worden tussen de procesomgeving en de IT omgeving bureautica-omgeving, ERP en MES systemen Door te kiezen voor een universeel communicatienetwerk blijft U onafhankelijk van de merkgebonden oplossingen : technologiën evolueren en nieuwe producten worden beschikbaar, bij aanpassingen moet heel de architectuur niet in vraag gesteld worden. Talloze beveiligingsoplossingen zijn beschikbaar op alle niveau s : de juiste beveiliging tegen een bepaald risico. 14
Ethernet TCP/IP + Webtechnologie Vb. met Transparent Ready TM van Schneider Electric Real time Modbus TCP/IP via configuratie Modbus communicatie via programma Genormaliseerd veiligheidsprotocol Beheer van het netwerk via standaard tools Synchronisatie van PLC toepassingen Synchronisatie van datum en uur Eenvoudige vervanging en configuratie van defecte apparatuur Weergave,instellingen, configuratie via internet explorer E-mail op event met bijhorende real time data Andere specifieke protocols in TCP/IP Save Ethernet Dienst Applicatie Protocol Network Mangt Global data SNMP RTPS real time Time Synchronisation Faulty Device replacement Web services NTP DHCP TFTP FTP HTTP e-m@il SMTP TCP open Mes- saging MODBUS I/O Scanner Transport UDP TCP Network Link Physical OSI Layer Layer Ethernet II & 802.3 15 IP
Ethernet TCP/IP + Webtechnologie Real time gegevens via standaard Web browser Door inbouwen van Webservers kunnen vanop eender welke plaats gegevens opgevraagd en gestuurd worden productiegegevens gegevens ivm. onderhoud Informatie voor leveranciers,klanten Real time gegevens rechtstreeks vanuit het apparaat : PLC s, drives, I/O, HMI, 16
Ethernet TCP/IP + Webtechnologie Volledige diagnosemogelijkheden met standaard tools Van het netwerk, van de apparaten en van de applicatie Netwerk verantwoordelijke Machine operator Onderhoudsploeg 17
Ethernet TCP/IP + Webtechnologie Volledige diagnosemogelijkheden met standaard tools Diagnose van het Netwerk Dit kan via standaard SNMP (Simple Network Management protocol) informatica-tools wanneer de aangesloten apparatuur in zijn protocolstack de SNMP bibliotheek bevat PLC s, I/O, worden herkend en beantwoorden de diagnose requesten van standaard informatica - tools Systeemdiagnose via Web-browser Beschikbare bandbreedte van de Ethernetverbindingen 18
Ethernet TCP/IP + Webtechnologie Volledige diagnosemogelijkheden met standaard tools Systeemdiagnose via Web-browser Toestand van het apparaat Toestand van een gebruikte Ethernet dienst vb. I/O SCANNING VIA MODBUS TCP/IP 19
Ethernet TCP/IP + Webtechnologie Eenvoudig onderhoud Automatisch toekenning van IP adres 1. Ingeven van «rolname» 2. Apparaat vervangen 3. Verkrijgen van IP adres en eventueel de configuratie 4. RUN defect Rolname IP Adres & parameters Via bestaande protocols (DHCP, BootP) (Dynamic Host Configuration Protocol, Bootstrap Protcocol) Op basis van het MAC adres (Medium Acess Adress, Uniek Ethernet adress voor elke Ethernet component) Op basis van een Rollname Eventueel inclusief de configuratie van het vervangen apparaat vb. Snelheidsregelaars Vergt geen tussenkomst van technieker met informatica-kennis verkorting van de uitvaltijd snellere indienstname 20
Ethernet TCP/IP + Webtechnologie Eenvoudig onderhoud vanop afstand Modem Internet Specifieke verbinding Firewall Ethernet TCP/IP voor het Intranet RAS Server Router Ethernet TCP/IP voor het automatiseringsgedeelte ❶Automatiseringsgedeelte Specifieke LAN IP filtering functies van de PLC s ❷Intranet / bedrijfsnetwerk Router als beveiligingsmanager ❸ Remote toegang via modem Punt-tot-punt verbinding RAS(Remote Access Server) die de beveiliging beheert ❹ Remote toegang Via Internet Internet provider is vereist Firewall voor beveiliging (VPN is beschikbaar) (VPN = Virtual Private Network) Router zorgt voor extra beveiliging 21
Ethernet TCP/IP + Webtechnologie Meer mogelijkheden voor koppeling met ERP Via de actieve Web servers Doorsturen van applicatie-meldingen naar internet browsers Visualiseren en bevestiging van meldingen afkomstig van de PLC applicatie E-mail Direct versturen van event gestuurde Emails Onafhankelijk van de PLC toepassing (geen invloed op PLC scantijd) De Email kan tekst en dynamische PLC variabelen + hyperlinks bevatten. Aansturen en beheren van databases op IT niveau Directe logging via eenvoudige configuratie naar een relationele database (PUSH DATA) VB. Traceerbaarheid van gegevens SQL server, Oracle, MySQL Nauwkeurige realtime data vanuit de PLC HMI HMI 22
Ethernet TCP/IP + Webtechnologie Meer mogelijkheden voor koppeling met ERP Toegang tot data via OPC clients Toegang tot de gegevens vanuit een OPC client toepassing Evolutie van COM/DCOM naar Web services en het gebruik van SOAP protocol op http SOAP = Simple Object access protocol 23
Ethernet TCP/IP + Webtechnologie Meer mogelijkheden voor koppeling met ERP Geen bottleneck via SCADA rechtstreeks van server naar client Thin Client Actieve Web beelden Database connectie SOAP/XML Web services E-mail notificatie Evolutie naar Web Services SOAP/XML Receptenbeheer Diagnose en bewaking Recepten beheer Actieve Web beelden Data-acquisitie en datering Serveur Web actif 24
Ethernet TCP/IP + Webtechnologie Wat met netwerkbeveiliging Door gebruik van een universeel communicatienetwerk in het domein van de automatisering, worden heel wat technische opstakels geëlimineerd om toegang te verkrijgen tot het apparaat Het is dus absoluut nodig de apparatuur te vrijwaren tegen ongewenste toegang Door de netwerktransparantie geldt dit niet alleen voor de automatiseringsprotocols maar voor alle Ethernet protocols (FTP, SNMP, SMTP, ) De bestaande netwerkbeveiliging beschermt ook het Automation gedeelte Het is niet omdat men dezelfde techologie gebruikt, dat men fysisch verbonden is met de buitenwereld 25
Ethernet TCP/IP + Webtechnologie Wat met netwerkbeveiliging Beveiliging kan op verschillende niveau s ❶ Tegenover de buitenwereld Via een firewall, filtering op de toegangspoorten Via VPN verbinding Via de RAS server (RAS= Remote acess Server) ❷ Tussen automatiserings en bedrijfsnetwerk Via een Router die geconfigureerd wordt als toegangsadministrator Filtering op een zone IP adressen voor welbepaalde poorten ❸ Binnen de automatiseringscel Zelfde risico s als bij standaard veldbussystemen Paswoorden voorzien op elke toepassing (PLC, PC s, ) Evolutieve paswoordenpolitiek vastleggen De IP filtering gebruiken op de PLC s 26
Ethernet TCP/IP + Webtechnologie Netwerkbeveiliging : bij Internetverbinding Onmogelijk van 0% risico te verkrijgen, doch een zekere en goed beveiligde Internetverbinding is mogelijk Beveiligde Internetverbinding via de Fire Wall van het bedrijf Voor alle bedrijfstoepassingen Filtering op de poorten : Modbus TCP/IP (502), HTTP (80), FTP(21) en de tijdelijke poorten 1024 tot 4999) Beveiligde Internetverbinding via VPN (Virtual Private Network) onafhankelijk van het Internet (m.a.w. tussen twee sites van hetzelfde bedrijf) ook gestuurd via de Fire-wall van het bedrijf Nog meer beveiliging via de router op niveau van het automatiseringsnetwerk 27
Ethernet TCP/IP + Webtechnologie Netwerkbeveiliging :bij toegang via RAS server Verbinding via een RAS* server ❶ Punt tot punt verbinding (is niet via internet) ❷ Via Internet (via Internet provider) De RAS server beperkt zelf de risico s : Toekennen van een geheim telefoonnummer Identificatie via gebruikersnaam en paswoord Eventueel kan teruggebeld worden naar de opbeller Modem ❶ RAS Internet ❷ Kan geïntegreerd zijn met een router of eventueel een Fire-Wall De risico s zijn zeer beperkt wanneer de RAS server op een onderliggend netwerk van het bedrijfsnetwerk wordt geplaatst * RAS = Remote Acces server 28
Ethernet TCP/IP + Webtechnologie Netwerkbeveiliging : verbinding op het bedrijfsintranet internet Fire-wall intranet Compatible IBM Compatible IBM router Hub/switch Hub/switch Hub/switch Beveiligde automatiseringscel Deze verbinding gebeurt via een router die geconfigureerd wordt als toegangsadministrator Hierdoor verkrijgt men een aanvaardbare beveiliging tussen automatiseringsnetwerk en het bedrijfsintranet Filtering op de IP adressen Filtering voor clients en servers op de communicatiepoorten vb toegelaten zijn IP adressen 102.12.12.1 tot 102.12.12.99 op de Modbus TCP/IP poort (502) en de HTTP poort (80) Voor en nadelen Verbinding via een standaard product Enkel de toegelaten IP adressen kunnen communiceren Alle acties kunnen geregistreerd worden Toegang tot alle diensten op een poort ofwel geen toegang Dynamische toekenning van adressen moet beheerd worden om compatibel te zijn. Geen beveiliging tegen het onrechtmatig gebruik van IP adressen! Dit is enkel mogelijk via een algemene veiligheidscode binnen de onderneming ( zoals bij het onrechtmatig gebruik van e-mail adressen) 29
Ethernet TCP/IP + Webtechnologie Netwerkbeveiliging : conclusies Door gebruik van standaard Ethernet TCP/IP in de automatisering, vallen vele technische obstakels weg om toegang te verkrijgen tot verschillende apparaten Hierdoor is het aangewezen om de geautomatiseerde systemen te beveiligen tegen ongewenste toegang (zowel intern als extern) Het beheer van de risico s situeert zich op drie niveau s : Tegenover de buitenwereld Tussen het automatiseringsintranet en het bedrijfsintranet Binnen de automatiseringscel Er zijn heel wat mogelijkheden voorhanden Het beheer van de veiligheid zal altijd een compromis zijn tussen risico s, kosten en gebruiksconfort 30
Ethernet TCP/IP, de universele communicatie Real time : een relatief begrip IT Communicatie Gebruik van standaard Ethernet TCP/IP stack Compatibel met andere TCP/IP applicaties Controle & device I/O scanning Pure Real Time Periodieke Data Gesynchroniseerde Motion Messaging Standaard Ethernet voor > 90% van de toepassingen Specifieke hardware voor < 10% van de toepassingen 1s 100ms 10ms 1ms 100µs TCP/IP traffic 10µs Real Time traffic Geen Real Time Soft Real Time Hardware Real Time EtherNet/IP Modbus TCP Profinet IT EtherNet/IP Modbus TCP Profinet Real time Powerlink Ethercat Profinet IRT Sercos III EtherNet/IP CIPSunc Gebruik van standaard switches Managed Managed 31
Ethernet TCP/IP, de universele communicatie Case: Koelinstallatie voor fruit (peren) VPN Verbinding naar dispatching (Virtual Protected network) Koelcel 10 Koelcel 3 Koelcel 22 Koelcel 15 Koelcel 14 Koelcel 7 Koelcel 6 Ethernet TCP/IP met Modbus Protocol Verdeelbord met Energiemeting 32 Technisch lokaal Koelcel 11 TSX Premium+ Firewall Koelcel 18 Koelcel 2 Koelcel 19 Koelcel 1 Platte grond gebouw met koelcellen
Ethernet TCP/IP, de universele communicatie Conclusies Standaard Ethernet TCP/IP + Webtechnologie in de automatisering bieden nieuwe perspectieven voor programmeerbare sturingen Betere toegankelijkheid van de processgegevens Gebruik van de dagelijkse informaticadiensten voor betere efficientie Onderhoud vanop afstand wordt goedkoper Door te kiezen voor een universele communicatietechnologie, bent u vendor onafhankelijk U kiest de beste producten van elke leverancier U geniet van de nieuwste ontwikkelingen zonder heel de architectuur in vraag te moeten stellen VB. De ingebouwde switch in decentrale I/O De meeste leveranciers bieden de mogelijkheid om het geïnstalleerde park op te waarderen naar de Ethernet architectuur 33
Switch to Open solutions Dank Merci U Voor uw aandacht Switch to Open solutions