15
st, kvě
19 Novinek

OT síťová referenční architektura

Typografie
  • Nejmenší Malé Střední Velké Největší
  • Default Helvetica Segoe Georgia Times

Při navrhování OT (Operation Technology – výrobní část) sítě je důležité vybrat komponenty, které jsou určeny k tomu, aby zvládly podmínky prostředí i požadavky výrobní aplikace.

Například IT vybavení je obvykle umístěno v klimaticky kontrolovaném a bezprašném prostředí; jejich ventilátory by rychle selhaly, pokud by byly vystaveny horkému a prašnému prostředí OT. Tento neočekávaný výpadek může snadno stát více než úspory způsobené používáním komponent, které nebyly navrženy pro provoz v OT prostředí. Výběr komponent lze zjednodušit tím, že vámi potřebná komponenta bude mít certifikace specifické pro dané odvětví – např. pro ropný průmysl apod.
Funkce síťových komponent, které se běžně vyskytují v celozávodních sítích OT, jsou popsány níže spolu s doporučenou nabídkou společnosti Siemens.

Switche

Existují dvě hlavní kategorie switchů – nekonfigurovatelné a konfigurovatelné. Nekonfigurovatelné switche nabízejí jednoduché připojení ethernetových zařízení s minimálními až skoro žádnými možnostmi konfigurace. Jejich nekonfigurovatelnost znamená, že funkce diagnostiky průmyslové sítě, zabezpečení a redundance sítě jsou nedostupné.
Z výše uvedených důvodů proto není doporučeno používat nekonfigurovatelné switche v celopodnikových průmyslových sítích. Konfigurovatelné switche však umožňují připojení a síťování ethernetových zařízení způsobem, který lze konfigurovat a monitorovat tak, aby vyhovoval potřebám sítě bezpečným způsobem. Mezi důležité funkce správy patří mechanismy redundance (RSTP, protokoly pro kruhové sítě atd.), bezpečnostní funkce (zakázání portů, filtrování MAC nebo IP a správa uživatelů) či segmentace sítě prostřednictvím sítí VLAN. Kromě správy umožňují monitorovací funkce uživatelům přístup k diagnostickým informacím, které pomáhají při odstraňování nečekaných problémů a optimalizaci sítě. Konfigurovatelné switche je doporučeno používat v průmyslových OT sítích. Doporučené konfigurovatelné switche od firmy Siemens jsou SCALANCE XC-200, XC-300, XR-300, XM-400 (s podporou pro vrstvu 3) a typ XR-500 (s podporou pro vrstvu 3).

Routery

Routery směřují síťový provoz mezi různými podsítěmi pomocí internetového protokolu (IP) a virtuálními lokálními sítěmi (VLAN). Segmentace sítě (pomocí VLAN a/nebo podsítí) je vysoce doporučena v celopodnikových sítích, protože vytváří různé bezpečnostní síťové buňky (cell-protection-concept), ke kterým lze přistupovat pouze pomocí routeru nebo firewallu. Routery umožňují komunikaci mezi různými podsítěmi a sítěmi VLAN, když jedna část sítě potřebuje komunikovat s odděleným segmentem sítě. Například nadřazený server může potřebovat přístup k mnoha různým výrobním linkám, které jsou segmentované – v tomto případě bude router nutný. Routery se doporučují a obecně vyžadují ve vyšších vrstvách celopodnikové sítě a nejčastěji jsou umístěny ve výrobní páteřní síti.
Doporučenými Siemens (Layer 3) switchi s možností routování jsou SCALANCE XM-400 a XR-500.
Více informací ohledně Siemens switchů a routerů získáte po kliknutí zde.

ot sitova architektura 2024 1

Firewally

Firewally se používají k omezení komunikace a přístupu do různých oblastí sítě. Firewall omezuje přístup tím, že se řídí sadou uživatelsky definovaných pravidel, která popisují povolenou komunikaci mezi konkrétními zařízeními (IP adresy) nebo segmenty (VLAN nebo podsítě) v síti. Většina firewallů může také fungovat jako router umožňující komunikaci mezi segmenty sítě a zároveň omezovat, které konkrétní IP adresy mohou mezi sebou komunikovat a které protokoly lze použít. Další běžně používanou funkcí je Network Address Translation (NAT).
V celopodnikové síti se doporučují firewally mezi rozdělením OT a IT sítě a mezi různými buňkami/linkami a páteří pro ochranu zóny/oblasti. Doporučené typy firewallů jsou následující.

MAC firewall (vrstva 2)
V částech sítě, kde je potřeba další ochrana v rámci podsítě IP, lze použít firewally na druhé vrstvě k omezení komunikace mezi zařízeními na základě MAC adres. Tato zařízení se obvykle nacházejí v části výrobního stroje. V nedávné době byly firewally vrstvy 2 nebo MAC většinou nahrazeny firewally vrstvy 3 kvůli snadnější správě v průběhu času. Pokud je zařízení vyměněno, může být nastaveno se stejnou IP adresou, ale pravděpodobně bude mít jinou MAC adresu, takže pravidla brány firewall vrstvy 2 by musela být revidována. Firewall třetí vrstvy se spoléhá na IP adresy, takže jeho pravidla by nepotřebovala revizi, pokud by bylo zařízení nahrazeno jinou MAC adresou, ale stejnou IP adresou. Mnoho firewallů může být firewallem na druhé i třetí vrstvě zároveň – je to věc konfigurace.

Stateful Inspection Firewall (vrstva 3)
Tato zařízení zkoumají každý paket, aby zjistila, zda splňují předem definovaná kritéria pro povolenou komunikaci, která jsou definována pravidly založenými na IP adresách a portech TCP/IP. Tento typ firewallu bude často sloužit jako firewall zóny/oblasti a je umístěn mezi oblastmi produkční buňky a produkční páteře.
Siemens firewally jsou schopny funkce vrstvy 2 i vrstvy 3. Doporučenými Siemens firewally jsou SCALANCE S615, SCALANCE SC-600 a SCALANCE M-800 (řada M-800 jsou mobilní zařízení, což znamená, že mají kromě kabelového připojení také bezdrátové/mobilní rozhraní).
Více informací ohledně Siemens firewallů získáte po kliknutí zde.

Malé OT sítě – propojení izolovaných/ostrovních systémů

Síť malé velikosti lze klasifikovat pomocí následujících kritérií:

  • méně než 50 koncových zařízení
  • přerušení sítě nad výrobními buňkami bez zásadního finančního dopadu
  • síť zahrnující až několik linek (skládající se z výrobních buněk) nebo malé výrobní linky

ot sitova architektura 2024 2

Topologie
Kruhové sítě
V buňce 1-1 se nachází kruhová síť. V automatizačních a OT sítích se doporučuje kruhová síť pro zvýšení odolnosti prostřednictvím redundance připojení při zachování rychlých časů obnovy v řádu milisekund.
Nejběžnějším způsobem selhání je přerušení fyzického spojení, díky čemuž je kruhová redundance osvědčenou a efektivní metodou zvýšení odolnosti průmyslových sítí.

Hvězdicové sítě
Hvězdicová síť se nachází v produkční buňce 1-3, obvykle je méně efektivní než kruhová síť a nenabízí redundanci. To zavádí do sítě mnoho jednotlivých bodů selhání, mezi něž patří každý kabel, každé koncové zařízení a síťová zařízení agregující připojení.

Liniové sítě
Liniová síť se nachází v produkční buňce 1-2. Síť s liniovou topologií nabízí nejnižší možnou úroveň odolnosti v síti díky vzájemné závislosti na zařízeních vyšší úrovně v liniové topologii. Pokud například selže první zařízení v řadě, pak všechna ostatní zařízení zapojená za ním ztratí spojení. Nedoporučuje se používat liniovou topologii, pokud je doba provozuschopnosti kritická.

Redundance
V OT síti existuje možných několik možností redundance, které zlepší odolnost v síti. Redundance není nutná ve všech situacích, ale důrazně se doporučuje u kritických připojení, která by v případě ztráty ovlivnila provoz.

  • Kruhová redundance je formou redundance připojení a běžně se používá v průmyslových sítích ke zmírnění ztráty fyzických spojení mezi zařízeními.
  • Virtual Router Redundancy Protocol (VRRP) lze konfigurovat pro redundantní komunikaci mezi samostatnými podsítěmi nebo VLANy, jako jsou spojení mezi produkční buňkou 1-1 a routery v produkčních páteřních routerech. V případě výpadku jednoho routeru nebo fyzického spojení bude zbývající funkční spojení detekováno a použito jako komunikační cesta. VRRP se konfiguruje v páru redundantních routerů – jako jsou firewally v produkční buňce 1-1, směrovače v produkční páteři a redundantní IT/OT firewally mezi produkční páteří a podnikovou sítí.

Střední sítě – propojování distribuovaných systémů

Čím jsou větší výrobní linky a existuje možnost rozšiřování vyvíjející se v průběhu času, zvýší se odpovídajícím způsobem požadavek na rozsah, kapacitu a služby požadované od OT sítě.
Středně velkou síť lze klasifikovat pomocí následujících kritérií:

  • více než 50 koncových zařízení
  • kritický provoz, kde narušení sítě bude mít významný finanční dopad
  • síť zahrnující více linek (skládající se z výrobních buněk) nebo středně velké zařízení

Výše zobrazená architektura střední referenční sítě bude stavět na klíčových konceptech architektury malé referenční sítě. Každý z klíčových aspektů uvedených níže je dodatkem nebo rozšířením aspektů zahrnutých v architektuře malé sítě.

ot sitova architektura 2024 3

Topologie
Kruhové sítě
Vzhledem k tomu, že složitost a význam sítě neustále roste, měla by být více rozšířena přítomnost kruhových topologií, aby se dále zlepšila odolnost komunikace. To lze nyní vidět také v buňce 1-2 a ne jen v buňce 1-1.
Implementace páteřního/agregačního kruhu sníží potenciální dopad selhání síťového zařízení dalším rozdělením spojení na úrovni produkční buňky mezi několik produkčních páteřních zařízení.

Redundance
Vzhledem k tomu, že složitost a význam sítě neustále roste, budou k udržení spolehlivého provozu nutné různé metodiky redundantní komunikace.

  • Jak je uvedeno výše u kruhových sítí, další vrstvy redundance zlepší celkovou odolnost sítě distribucí spojení mezi několik zařízení. Tím se sníží dopad na různé produkční buňky, který by mohl být způsoben poruchou zařízení.
  • V tomto měřítku je absolutně doporučeno implementovat RSTP nebo redundantní směrovací protokoly k dosažení:
    - redundantního připojení přes IT/OT firewally
    - redundantního zapojení routerů core sítě / agregační vrstvy
    - použití redundantní kruhové sítě v páteřní/agregační vrstvě
  • V tomto měřítku se doporučuje implementovat:
    - redundantní spojení z vrstvy produkční buňky do vrstvy páteře/agregace

Velké sítě – propojení více zařízení

Jak se operace rozšiřují do více zařízení v rámci výrobního závodu, rozsah, kapacita a služby požadované OT sítě se odpovídajícím způsobem zvýší. Velkou síť lze klasifikovat pomocí následujících kritérií:

  • více než 250 koncových zařízení
  • kritický provoz, kde narušení sítě bude mít významný finanční dopad
  • více zařízení ve výrobním závodu, z nichž každé se skládá z více výrobních linek, nebo z jednoho velkého výrobního zařízení

Zobrazená architektura na obr. 4 velké referenční sítě bude vycházet z klíčových konceptů architektury malé a střední referenční sítě. Každý z klíčových aspektů uvedených níže je dodatkem nebo rozšířením aspektů zahrnutých v architektuře malých a středních sítí.

ot sitova architektura 2024 4

Topologie
kruhové sítě
Vzhledem k tomu, že složitost a důležitost sítě neustále roste, měly by být kruhové topologie implementovány ve více vrstvách v produkční páteři. To je nyní vnímáno jako agregační kruhy 1 a 2.
Odpovídající agregační kruhy individuálně sjednotí komunikaci pro několik výrobních buněk a linek. Agregační kruhy by se pak měly připojit k redundantnímu routovacímu kruhu, aby se dále zvýšila odolnost a snížily vzájemné závislosti výrobních oblastí.

Redundance
Vzhledem k tomu, že složitost a význam sítě neustále rostou, budou k udržení spolehlivého provozu nutné různé metodiky redundantní komunikace.

  • Jak je uvedeno výše u kruhových sítí, další vrstvy redundance zlepší celkovou odolnost sítě distribucí spojení mezi několik zařízení. Tím se sníží dopad na různé produkční buňky, který by mohl být způsoben poruchou zařízení.
    • Několik routerů umístěných v jednom nebo více páteřních kruzích efektivně řídí zatížení sítě v mnoha IP podsítích. To také poskytuje vyšší úroveň redundance v komunikaci vrstvy 3.
  • V tomto měřítku je absolutně doporučeno implementovat RSTP a redundantní routovací protokoly k dosažení:
    - redundantního připojení přes IT/OT firewally
    - redundantního zapojení core routerů ve vrstvě hlavní páteřní sítě
    - použití vícenásobných redundantních kruhů v agregační vrstvě
  • V tomto měřítku se doporučuje implementovat:
    - redundantní připojení z agregační vrstvy k páteřní vrstvě
    - redundantní spojení z vrstvy produkční buňky do agregační vrstvy

Siemens vám může pomoci! Konzultace zdarma na níže uvedeném kontaktu.

Siemens, s.r.o.
Siemensova 1, 155 00 Praha
Tel.: +420 734 424 702
E-mail: Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.
www.siemens.cz/net

Bezplatný odběr časopisu

Chcete odebírat časopis ElektroPrůmysl.cz zdarma? Napište Vaše jméno a e-mail, poté klikněte na tlačítko odebírat.

Časopis vychází 1x měsíčně.

Aktuální číslo časopisu

ElektroPrumysl

ElektroPrůmysl.cz, květen 2024

Číslo je zaměřené na kabely, vodiče, kabelové nosné systémy, svorky a konektory

OTEVŘÍT ČASOPIS KE ČTENÍ

Nadcházející webináře | kurzy

28 kvě, 2024

29 kvě, 2024

25 čvn, 2024

PV next

Zajímavé odkazy

Decentralizovaná automatizace, žádná řídicí skříň Přejděte do praxe, decentralizujte, modularizujte, kombinujte technologie, jednejte efektivněji ve spotřebě energií, omezujte a zjednodušujte složitost a nacházejte chytrá řešení.
Inspekční minikamera s bezdrátovým přenosem obrazu První inspekční minikameru na světě, která využívá k přenosu obrazu vestavěný wi-fi hotspot pro pohodlné a bezpečné inspekce i těch nejnepřístupnějších míst.
Training services portal: jedna platforma – mnoho možností Využijte přístup ke školením s mnoha tématy, která jsou přizpůsobena Vašim potřebám. Na portálu najdete nabídku jak bezplatných, tak i placených kurzů, online nebo prezenčně, v češtině i v dalších jazycích.
Nový design vypínačů a zásuvek si elektrikáři hned oblíbili! Zaujal je novými matnými barvami, plochým tvarem a také dobrou cenou. Třešničkou na dortu je ovládání mobilem.

Oblíbené normy

Najdete nás na Facebooku