Weidmüller / Industrial Ethernet Anlagenverfügbarkeit steigern

u-link von Weidmüller soll den Service vereinfacht und die Anlagenverfügbarkeit und -produktivität von Industrie-4.0-Systemen steigern.
u-link von Weidmüller soll den Service vereinfacht und die Anlagenverfügbarkeit und -produktivität von Industrie-4.0-Systemen steigern.

Industrie 4.0 bietet Flexibilität durch Fernwartung. Die webbasierte Fernwartung mittels u-link von Weidmüller soll den Service vereinfachen und die Anlagenverfügbarkeit und -produktivität von Industrie-4.0-Systemen steigern.

Ganz gleich, ob es um Produktbeschaffenheit, Kosten, komplexe Lieferketten oder Stückzahlen geht, für produzierende Unternehmen gilt, sich schnell auf veränderte Kundenwünsche einzustellen. Für Flexibilität sorgen ein hoher Automatisierungsgrad und die entsprechende Software in Produktionsanlagen.

Dadurch resultieren jedoch auch komplexere Anlagen, die verstanden, beherrscht und gewartet werden müssen. Neben der höheren Produktionsflexibilität, steigen auch die Produktivitätsanforderungen des Maschinenparks. Unter solchen Rahmenbedingungen sind ungeplante Stillstände zeit- und kostenintensiv. Im Störfall greift das Wartungspersonal häufig auf Spezialisten des Herstellers zurück. Die kosten- und zeitintensivste Variante ist dabei ein Besuch vor Ort.

Kundenspezifischer Service

Durch Fernwartung mit u-link können Anlagenhersteller einen kundenspezifischen Service für den gesamten Lebenszyklus der Anlage bieten. Der Service umfasst die Unterstützung bei Fehlerbehebung, Fragen zur Bedienung oder Prozessoptimierung und die Instandhaltung der Anlagen. Das Fernwartungssystem von Weidmüller besteht aus Netzwerkkomponenten (Industrial Security Router und Ethernet Switch), einem Remote-I/O-System (u-remote) inklusive integriertem Webserver für detaillierte Systemdiagnosen, kommunikationsfähigen Automatisierungskomponenten und u-link (Bild 1 und Bild 2). Einige Komponenten wie u-remote können individuell konfiguriert werden.

IT-Sicherheit in der Industrie gestalten

Das u-link-Portal ermöglicht einen sicheren Remote-Zugang, eine flexible Systemstruktur und eine schnelle Ferndiagnose. Als Remote-Zugang dient ein Webportal mit integriertem VPN-Rendezvous-Server, ein Router mit integrierter SPI-Firewall (stateful inspection), die Authentifizierung durch x.509-basierte Zertifikate (OpenVPN mit SSL-Verschlüsselung) und die manuelle Zugriffsfreigabe in der Anlage.

Abseits der technischen Möglichkeiten, die industrielle Router- und Cloud-Systeme bieten, darf die IT-Sicherheit industrieller Automatisierungssysteme (IACS) nicht vernachlässigt werden. IEC 62443 nennt sieben grundlegende technische Systemanforderungen, die als Basis für das zu erreichende Sicherheitslevel (SL) bezüglich der Automatisierungssysteme verwendet werden. Die technischen Systemanforderungen nach IEC 62443 sind:

  • Identifizierung und Authentifizierung,
  • Nutzungskontrolle,
  • Systemintegrität,
  • Vertraulichkeit der Daten,
  • eingeschränkter Datenfluss,
  • rechtzeitige Reaktion auf Ereignisse und
  • Verfügbarkeit der Ressourcen.

Die sieben aufgeführten Systemanforderungen haben jeweils vier Unterkategorien von SL1 bis SL4. SL1 hat den geringsten, SL4 den höchsten Sicherheitsanspruch. Mit Hilfe der Sicherheitslevel kann die Systemlösung flexibel und nach den Bedürfnissen der Endnutzer klassifiziert werden.

Es müssen alle grundlegenden technischen Systemanforderungen berücksichtigt werden: Industrielle Router und Cloud-Systeme sollen nicht nur alle Nutzer identifizieren und authentifizieren, sondern auch eine dauerhafte Integrität der übertragenen Daten durch kryptologische Algorithmen, Schlüsselgrößen oder bestimmte Mechanismen gewährleisten.

Neben den technischen Anforderungen, ist auch die Systemarchitektur wichtig. Aus diesem Grund muss bei der Planung und Integration von Fernwartungssystemen stets beachtet werden, dass Automatisierungssysteme von nichtautomatisierten Systemen logisch getrennt sind.

Systemarchitektur sinnvoll konfigurieren

Fernwartungskomponenten sollen gemäß der Empfehlung des Bundesamt für Sicherheit in der Informationstechnik (BSI) in einer vorgelagerten »Demilitarisierten Zone« (DMZ) installiert werden, statt direkt im Produktionsnetz. Zugangsmechanismen für die Fernwartung dürfen nicht vorhandene Sicherheitsmechanismen umgehen.

Außerdem erfolgt der Fernwartungszugriff möglichst nicht pauschal auf das Produktionsnetz. Der Zugriff ist klar und strukturiert pro IP und Port geregelt, wie über 1194 oder 443. Dies grenzt nicht nur den erreichbaren IP-Adressenraum in der Anlage ein, sondern schottet auch die übrigen IP-Adressen ab. Eine Möglichkeit ist die direkte Punkt-zu-Punkt-Verbindung mit einem Industrial-Router und u-link. Diese gesicherte und verschlüsselte Kommunikation ermöglicht eine durchgängige Diagnosefunktion aller kommunikationsfähigen Geräte.

Fazit

Ferndiagnosen sind mit u-link schnell, ganz-jährig und rund um die Uhr möglich. Außerdem gibt es einen direkten Zugriff auf alle TCP/IP-basierten Geräte. Mittels Fernwartung ist ein verbesserter Anlagenservice, mit direktem Fernzugriff auf alle Systemfunktionen und Konfigurationen möglich; Programme können einfach installiert werden. Der Fernzugriff muss aus der Anlage heraus initiiert werden und um Gefährdungssituationen zu verhindern muss der Anlagenbetreiber den Fernzugriff aktivieren.

Zum Autor:

Carsten Wendt ist Produktmanager Industrial Ethernet bei Weidmüller.