IE – Industrial Ethernet a průmyslová bezpečnost V Brně dne 9. října 2014
ZÁKLADNÍ PRINCIPY
IE
IE – Industrial Ethernet Nová filozofie ve vnímání a použití standardu Ethernet
3
Průmyslová komunikace Snaha o docílení Mission-critical solution pro průmyslové řešení.
Příklad průmyslové komunikace – aplikace pro průmyslovou automatizaci
IE – požadavky na infrastrukturu Komerční infrastruktura Ethernetu není použitelná k propojení průmyslových p y ý zařízení,, protože p nevyhovuje y j z pohledu: p – teplotních rozsahů (-40 až +85°C) – agresivity průmyslového prostředí – vlivu UV záření – vlhkosti prostředí dosahující až 99% – prašného prostředí a agresivnímu vlivu olejů – odolnosti proti vibracím a jednorázovým úderům – odolnost EMC (RFI/EMI) ( ) – kolísání napájecích napětí Řešením jje komplexní p změna zaběhané filozofie p platné pro p komerční použití platformy na bázi Ethernetu – na fyzické vrstvě – na linkové li k é vrstvě t ě – na síťové vrstvě
IE z pohledu ISO/OSI modelu
První 3 vrstvy ISO/OSI modelu - určují základy pro optimalizaci výkonu a nasazení IE - poskytují řešení pro bezpečný rutinní provoz p aplikací v reálném čase
Přenosové parametry IE
Poznámka: - Fieldbus je označení skupiny komunikačních protokolů pro průmyslovou aplikaci ve smyslu aplikační sběrnice. - Normalizováno od roku 1999 ve standardu IEC 61158. - Sítě Fieldbus jsou určeny pro řízení a sledování procesů v reálném čase. čase - Příkladem Fieldbus systémů jsou EtherNet/IP, Ethernet Powerlink, Profinet, Modbus, EtherCat, Profibus, Interbus, Sercos...
Fieldbus x ISO/OSI Porovnání standardu Fieldbus a ISO/OSI modelu
Protokoly IE EtherCAT Eth Ethernet t for f Control C t l Automation A t ti Technology T h l jje Ethernet Eth t na principu i i M Master/Slave t /Sl Ethernet Powerlink jje bezpečnostně p orientovaný ý otevřený ýp protokol MODBUS/TCP je protokol vyvinutý pro sériovou komunikaci ProfiNet je škálovatelný otevřený síťový standard EtherNet/IP je standard určený pro práci v reálném čase
EPSG Vytváření a dotváření technologie Ethernet jako standardu pro průmyslové použití a kritickou infrastrukturu infrastrukturu. EPSG – (Ethernet Powerlink Standardization Group) vytvořila protokol Powerlink pro realizaci průmyslových aplikací v reálném čase. čase Layer 1 ISO/OSI – realizován přes standardy RJ45 a M12. L Layer 2 ISO/OSI – rozděluje děl j kkomunikaci ik i na d dvě ě fáze: fá - isosynchronní (pro real time data) - asynchronní (standardní datový přenos IP) Důsledné oddělení segmentů sítě RT (Real Time) od NRT (No Real Time). Metoda p přístupu p CSMA/CD jje eliminována a nahrazena metodou master-slave. Pro využití přenosové šířky pásma v módu Powerlink funguje prokládaný režim (údaje nevyžadující přenos dat v každém cyklu využívají sdílených časových oken).
Architektura sítě Powerlink Základní architektura sítě Ethernet Powerlink má dva módy: Ethernet TCP/IP Powerlink (deterministické přidělování časových oken)
Powerlink v ISO/OSI Komunikační model Ethernet Powerlink NMT – Network Management je mechanismus řízení a sledování sítě SDO – Service Data Object je mechanismus (obecný) přenosu dat PDO – Process Data Object je mechanismus (obecný) specifikace dat PLD a LLD zapouzdřují fyzickou a spojovou vrstvu Ethernetu do p přenosového rámce Powerlink.
Parametry a vlastnosti Powerlinku Standard Ethernet Powerlink
Bezpečnostní standard na aplikační vrstvě EPL Safety, třída SIL3
IEC 61158 IEC 62408
IEC 61508
SIL – Safety Integrity Level
Informační bezpečnost je dána důsledným oddělením domén v reálném čase (RT doména) a mimo reálný čas (NRT doména). Vlastnosti: -možnost až 240 uzlů v jedné RT doméně - zaručený deterministický přenos dat v RT (nejkratší doba cyklu 200 µs) - přímá komunikace (peer-to-peer) všech uzlů navzájem - připojování a odpojování zařízení za chodu (hot-plugging) - snadné d é začlenění čl ě í do d Internetu I t t
CIP – Common Industrial Protocol
CIP (Common Industrial Protocol) na bázi EtherNet/IP rozšiřuje ethernetovské použití na oblast aplikací pro na bázi EtherNet/IP rozšiřuje ethernetovské použití na oblast aplikací pro průmyslovou automatizaci.
Ethernet CIP v ISO/OSI referenčním modelu
-
4. vrstva
-
3. vrstva
-
2. vrstva
Bezpečnost IE Je standardizována:
ANSI/ISA- 99 – Security for Industrial Automation and Control Systems ANSI/ISA – 99.00.01 – 2007: Part 1: Terminology, Concept and Models ANSI/ISA S S – 99 99.02.01 – 2009: 9 Establishing g an Industrial Automation and Control Systems Security program Ochrana O h proti ti vnějším ější útokům út ků (Cyber (C b Threats) Th t ) a proti ti vnitřním itř í incidentům i id tů v průmyslových řídících systémech .
Topologie sítí Topologie komerční infrastruktury - hvězda (star) - hvězda s redundancí
Topologie infrastruktury IE - liniová (bez redundance) - kruh (ring) s redundancí
Topologie sítí s redundancí Topologie redundandní komerční infrastruktury - hvězda (star) - Spanning Tree protocol (STP, RSTP)
Topologie redundandní infrastruktury IE - kruh (ring) - „pravo-levá“ konektivita - Hiper-ring protocol
Redundance v aplikacích IE - 1 Redundance topologie - standardní p protokoly y RSTP ((Rapid p Spanning p g Tree)) a Link Aggregation gg g - redundandní trasy H IRSCHMANN
HIRSCH MANN
HIR SCHMANN
HIRSCHMANN
-
proprietární řešení na bázi HIPER Ring
HIRSCHMANN
HIRSCHMANN
HIRSCHMANN
HIRSCHMANN
Redundance v aplikacích IE - 2 Redundance v zapojení aktivních prvků - redundandní zapojení p j zařízení RS2
RS2
RS2
RS2
RS2
RS2
RS2
Ring 1 RS2
RS2
RS2
RS2
RS2
RS2
RS2 RS2 control line
RS2
RS2
RS2
Ring 2
RS2
RS2
RS2
RS2
RS2
Ring 3
RS2
RS2
RS2
RS2
RS2
Ring 4
RS2
RS2
Redundance v aplikacích IE - 3 Redundance napájení - standardní napájení 230V/50Hz (90 až 265V AC) – typické dva zdroje - napájení 24 nebo 48V DC (18 až 60V DC) - kombinace napájení AC/DC s automatikou (např. řada MACH) - podpora PoE 48V/250mA (15,4W)
Požadované vlastnosti zařízení pro IE Požadované vlastnosti komponent infrastruktury IE j - MTBF ((Mean Time Between Failure)) jje p požadován na úrovni strojních zařízení s životností 10 až 30 let - montáž zařízení nejen do 19“ nebo 21/23“ a 26“ rozvaděčů, ale také do DIN lišt - malé rozměry zařízení - zařízení v „„bezventilátorovém“ p provedení s p pasivním chlazením - zodolněné zařízení z pohledu krytí (pracho a vodotěsné) - zodolněné provedení z pohledu koroze (PCB skříně) - ochrana elektronických částí proti agresívnímu prostředí (Conformal Coating) – „ochrana máčením“ – jednosložkovým silikonovým lakem - redundandní napájení - odpovídající šířka pásma pro požadované aplikace Poznámka: - PCB jsou polychlorované bifenyly - patří mezi perzistentní (dlouho setrvávající v prostředí) látky - chemicky stálé, nehořlavé, přilnavé a tepelně odolné
Příklad topologie čističky vody - 1 Topologie hvězda bez redundance
Příklad topologie čističky vody - 2 Topologie kruh s redundancí
Příklad topologie čističky vody - 3 Topologie hvězda s rozšířením
Příklad topologie čističky vody - 4 Topologie kruh s rozšířením
Aplikace IE ve výrobní sféře
Ring Manager
Ring Manager - vysílá tzv. watchdog packets (každých 20ms) a testuje takto integritu kruhu komunikace, vypadne-li vypadne li jedna trasa - vytváří redundandní kruh proti výpadku komunikace - opraví komunikaci do rutinního režimu během max. 500 ms (typicky 270 ms) - funkční mechanizmus do 100 zařízení zapojených v kruhu
Sub-RING 1. Princip -
jsou třeba 2 ks zařízení s funkcí Sub-Ring manager slouží pouze pro danýý Sub-Ring g V Sub-Ringu je podporován MRP (Media Redundancy Protocol))
2. Pravidlo -
jsou povoleny maximálně 4 ks S b Ri ů Sub-Ringů
-
RM značí Ring Manager SRM značí Sub-Ring Manager
RM
SRM
Ring (základní)
SRM
Sub-Ring
IE – komplexní řešení pasivní vrstvy Řešení pasivní vrstvy IE – produkty BELDEN - kabely Cat 5 (5e) a 6 v provedení pro IE - propojovací kabely (patch cordy) s krytím IP20 a IP67 - Konektory a přípojná místa (boxy) s krytím IP67 - rozvaděče a skříně v průmyslovém provedení - metalické a optické propojovací panely (patch panely)
Konektory pro IE - 1 Konektory y RJ45 v ochraně - standardní zapojení konektoru - nutná ochrana - libovolná přenosová rychlost - podpora PoE
Konektory pro IE - 2 Konektory M12 (průmyslové) IEC 61067-2-101 Amendment 1 - zapojení konektoru různé pro 100 Mb/s a 1 Gb/s (10 Gb/s) - integrovaná ochrana - podpora d P E PoE
M12 connector, CAT6a
M12 with Piercecon connection
Redukce konektorů RJ45 – M12 Propojovací kabel s konektory RJ-45 a M12 v přímém a kříženém provedení
Ukázky optického konektoru pro IE ETSI, the European Telecommunications Standards Institute (ETSI TS 105 175-1, "Plastic Optical Fibre System Specifications for 100 Mbit/s and 1 Gbit/s"). The specification defines system requirements for both Fast- and Gigabit-Ethernet based networks and covers POF cables, connectors and transceivers.
Ukázka speciálního průmyslového optického duplexního konektoru FO FO-7 7 POF (Plastic Optical Fibre)
Poznámka: HPCF – Hard Polymer Cladding Optical Fibre
MIPP – Modular Industrial Patch Panel Je určeno pro metalické i optické segmenty Konfigurování rozvaděče pomocí portfolia zásuvných modulů DIN montáž
IE – komplexní řešení aktivní vrstvy Řešení aktivní vrstvy IE – produkty BELDEN/HIRSCHMANN - přepínače pro montáž na DIN lištu s managementem i bez - přepínače v „rackmountovém“ provedení - Přepínače s krytím IP67 - firewall a VPN prvky - bezdrátové prvky - Převodníky Př d ík optické ti ké i metalické t li ké (fi (fielbus) lb ) - SW pro síťovou správu
Belden/Hirschmann produkty Portfolio aktivních prvků pro IE
Hirschmann řady MACH 4000 a 1000
MACH4000 – Gigabit Backbone L2/3 Switch Switch, modulární modulární, TP/FO TP/FO, 10 Gig
MACH1000 – Ruggerized L2 Switch, modulární, FE/GE, TP/FO, PoE
Hirschmann řady MACH 100
MACH100 – Industrial Workgroup L2 Switch, FE/GE, TP/FO, PoE
obdoba v provedení na DIN lištu je RS30
Hirschmann řady RS40, RS30, RS20
RSxx – Managed DIN Rail Mount L2 Switch, FE/GE, TP/FO, PoE OpenRail p Unmanaged g DIN Rail Mount Switch ((ekvivalent RS30 a RS20))
Hirschmann řady MICE
MICE MS20/30 – modulární L2 Switch, FE/GE, TP/FO PowerMICE – modulární L2/3 Switch, FE/GE, TP/FO
Hirschmann řady SPIDER
SPIDER – Entry-level Unmanaged L2 Switch, FE/GE, TP/FO
Hirschmann GECKO GECKO 4TX - IP30 Switch, FE v provedení Managed (SNMP, HiDiscovery SW, web HTTPS) bezventilátorové řešení napájení 24V DC (9,5 až 36V) spotřeba < 3W montáž táž DIN Rail R il záruka výrobce 5 let MTBF 23 let Funkcionality: RMON LLDP (Link Layer Discovery Protocol) RSTP QoS
Hirchmann řady OCTOPUS
OCTOPUS – IP67 Switch, Switch FE FE, TP M12/FO Micro FX FX, PoE v provedení Managed i Unmanaged
Octopus testy
Hirschmann řady LION
LION – Control Room Switch - EOL • GigaLION-24 TP: GE managed switch, L2, Store-and-forward forwarding scheme • PowerLION-24 TP: GE managed g switch, L3, Store-and-forward forwarding g scheme • SmartLION-TP/FX: 4-slot intelligent modular chassis switch, L2, Store and forward forwarding scheme • LION-24 TP: Fast ETHERNET managed switch, L2, Store-and-forward forwarding scheme
Hirschmann Wi-Fi řady BAT 2,4GHz 5GHz
Network
BAT – Wireless Access Point/Client/Bridge - BAT54-Rail - BAT54-F - BAT300 (new)
Hirschmann Wi-Fi Switch
BAT Controller WLC 25/50/100
Hirschmann řady EAGLE
EAGLE20 – Firewall/VPN Router
AFW - TOFINO Ochrana proti vnějším útokům (Cyber Threats) a proti vnitřním incidentům v průmyslových řídících systémech – AFW (aplikační firewall). Příkladem řešení je Tofino Industrial Security Solution (Belden Company „Tofino Security“)
Tofino Argon 100
Tofino Argon 220
TOFINO - aplikace aplikování Tofina (vytvářením bezpečnostních zón)
Řešení průmyslového prostředí IE Typická topologie jednoho patra průmyslového prostředí
Hirchmann prvky Produkty HIRSCHMANN A – páteřní přepínač řady MACH B – přepínač pro dohled řady LION (EOL) C – modulární přepíneč s managementem řady MICE D – kompaktní přepínač řady OpenRail E – přepínač ř í čd do náročného á č éh prostředí tř dí v provedení d í IP67 řady ř d OCTOPUS F – přepínače bez managementu řady RS a Spider G – firewall a VPN řady EAGLE H – bezdrátové AP/AC řady BAT I – management SW HiVision
Belden prvky Produkty BELDEN J – metalické kabely Cat 5 a 6 řady DataTuff K – optické kabely TrayOptic L – metalické propojovací kabely M – optické propojovací kabely FiberExpress N – konektory k kt a přípojná ří j á místa í t s krytím k tí IP67 O – metalické a optické propojovací panely P – průmyslové skříně (rozvaděče)
VW Wolfsburg – Plant 3 Ukázka části řešení výrobní li k automobilu linky t bil VW-Golf VW G lf
©2006, Belden Inc. All rights reserved.
Konfigurace přes V.24 port (CLI)
HiDiscovery SW
Výhody – Není třeba seriový kabel – Není třeba BootP / DHCP Server – Detekce duplicitních adres
HiVision SW
Profesionální mngmt SW – Síťová verze – Integrace do systému SCADA (dispečerské řízení a sběr dat v průmyslovém prostředí) – Podpora prostředí Windows i Linux
HiVision SW – rozpoznávací funkce sítě Scan Network – Automatické zobrazení topologie sítě – Zobrazení koncových zařízení – Zobrazení konektivity na port
HiVision – výstupy ze SW Zobrazení koncových zařízení – Koncová zařízení Hirschmann – Koncová zařízení jiných výrobců
Zobrazení událostí – V rámci správy sítě – Na N mobilních bil í h zařízeních ří í h
Grafické výstupy – Ve formátu PDF – Ve formátu XLS
SCADA – ukázka integrace HiVision Topologická
SCADA dohledové schéma Správa aktivních prvků
