Jak implementovat zabezpečené, časově senzitivní sítě pro průmyslový internet věcí (IIoT) pomocí spravovaných ethernetových přepínačů

Průmyslový internet věcí (IIoT) potřebuje zabezpečené připojení v reálném čase a širokopásmové připojení pro různá zařízení. Sítě IIoT v automatizaci s koncepcí Industry 4.0, vodním hospodářství, zpracování ropy a zemního plynu, dopravě, řízení dodávek energie ze sítě a v podobných kriticky důležitých aplikacích potřebují rovněž efektivní a flexibilní způsob dodávky energie do zařízení, jakož i řešení konektivity s vysokou hustotou portů pro zajištění podpory velkého počtu zařízení na minimálním prostoru. Tyto i mnoho dalších potřeb mohou uspokojit spravované ethernetové přepínače nové generace.

Spravované ethernetové přepínače lze vzdáleně konfigurovat a ovládat, což zjednodušuje nasazení a aktualizace sítě. Tyto přepínače podporují různé síťové architektury, například hvězdicové a linkové topologie s redundantním provozem, včetně shody s normou IEC 62439-1, která platí pro automatizační sítě s vysokou dostupností. Podporují standard IEEE 802.1 pro časově senzitivní sítě (TSN) a IEEE 802.3 pro napájení přes Ethernet (PoE) a PoE+.

Tyto přepínače jsou dodávány s certifikací podle programu ISASecure pro standardní automatizační a řídicí systémy založené na normách Mezinárodní společnosti pro automatizaci / Mezinárodního elektrotechnického institutu řady (ISA/IEC) 62443. Mohou být konfigurovány s kombinacemi slotů 10/100BASE TX / RJ45 pro měděná propojovací vedení a třírychlostní optické zásuvné sloty s malým tvarovým faktorem (SFP) a volitelnými rychlostmi 100 Mb/s (Mb/s), 1 Gb/s (Gb/s) a 2,5 Gb/s.

Tento článek začíná krátkým pohledem na přechod od automatizační pyramidy koncepce Industry 3.0 k automatizačnímu sloupci koncepce Industry 4.0, shrnuje několik možností nasazení sítí pro přenos urgentního i neurgentního obsahu a posuzuje kritéria zapojení a implementace časově senzitivních sítí (TSN). Poté se zabývá způsobem, jakým mohou technologie PoE a PoE+ zjednodušit napájení senzorů, ovládacích prvků a dalších zařízení průmyslového Ethernetu věcí (IIoT), a představuje důležitost zabezpečení, včetně certifikace ISASecure a pokročilých bezpečnostních funkcí, jako jsou přístupové seznamy ACL s rychlostí přenosového média a automatická ochrana proti odmítnutí služby (DoS). Na závěr uvádí výhody používání spravovaných ethernetových přepínačů a představuje několik příkladů takových přepínačů řady BOBCAT od společnosti Hirschmann.

Od pyramidy ke sloupci

Hnací silou rozvoje sítí TSN je přechod od pyramidové tovární architektury koncepce Industry 4.0 ke sloupcové architektuře koncepce Industry 4.0. Pyramida rozdělila tovární funkce do hierarchie od výrobního provozu až po centralizované kontrolní a řídící funkce. Komunikace v reálném čase je potřebná zejména na nejnižší úrovni výrobního provozu, kde jsou výrobní procesy řízeny daty ze senzorů. Tato situace se u koncepce Industry 4.0 mění.

Automatizační pilíř koncepce Industry 4.0 snižuje počet úrovní ze čtyř na dvě: úroveň pole a páteř továrny. Úroveň pole zahrnuje stále vyšší počet senzorů a rostoucí portfolio řídicích jednotek. Některé ovladače se posouvají v pyramidě směrem dolů z úrovně řízení/programovatelného logického automatu (PLC) na úroveň pole. Současně se další funkce, které se dříve nacházely na úrovni řízení/PLC přesouvají do páteře továrny a společně s výrobním realizačním systémem (MES), funkcemi dispečerského řízení a sběru dat (SCADA) a plánováním podnikových zdrojů (ERP) se stávají virtuálními programovatelnými logickými automaty (PLC).

Vrstva konektivity spojuje úrovně pole a páteře. Vrstva připojení a sítě na úrovni pole musí poskytovat vysokorychlostní komunikaci s nízkou latencí a být schopny přenášet kombinace provozu s nízkou prioritou a časově kritického provozu. Síť TSN podporuje tento požadavek aktivací provozu deterministické sítě (DetNet) v reálném čase přes standardní sítě Ethernet (obrázek 1).

Obrázek 1: přechod z automatizační pyramidy na automatizační sloupec vyžaduje konektivitu s podporou sítí TSN. (Zdroj obrázku: Belden)

Tři konfigurace sítí TSN

Standard IEEE 802.1 sítě Ethernet podrobně popisuje tři konfigurace sítí TSN: centralizovanou, decentralizovanou (nazývanou také plně distribuovaná) a hybridní konfiguraci s centralizovanou sítí a distribuovanými uživateli. Ve všech případech je konfigurace vysoce automatizovaná, aby bylo nasazení sítí TSN zjednodušeno, a začíná identifikací podporovaných funkcí TSN a aktivací potřebných funkčností. V této fázi může hovorové vysílací zařízení odesílat informace o datovém toku, který má být přenášen. Tyto tři koncepce se liší způsobem, jakým jsou v síti zpracovány požadavky na zařízení a datový tok.

V centralizované konfiguraci komunikuje vysílač a přijímač prostřednictvím logického zařízení centralizované uživatelské konfigurace (CUC). Konfigurace CUC vytváří požadavky na datový tok na základě informací o vysílači a přijímači, které pak odesílá do zařízení centralizované síťové konfigurace (CNC). Konfigurace CNC stanoví časový úsek pro další datový tok na základě faktorů, jako jsou topologie sítě a dostupnost zdrojů, a odešle požadované konfigurační informace do přepínačů (obrázek 2).

Obrázek 2: centralizovaná architektura sítí TSN využívá konfiguraci CUC ke spojení s vysílačem a přijímačem a CNC k odesílání konfiguračních informací do přepínačů. (Zdroj obrázku: Belden)

V decentralizované konfiguraci jsou možnosti CUC a CNC eliminovány a požadavky na zařízení se v síti šíří na základě informací v jednotlivých zařízeních. V hybridní konfiguraci se pro konfiguraci sítě TSN používá možnost CNC a vysílací a přijímací zařízení zařízení sdílejí své požadavky prostřednictvím sítě (obrázek 3). Centralizovaná a hybridní koncepce umožňuje centrální konfiguraci (správu) síťových přepínačů.

Obrázek 3: příklady decentralizovaných (nahoře) a hybridních (dole) konfigurací sítí TSN. (Zdroj obrázku: Belden)

Technologie PoE a PoE+

Technologie napájení přes Ethernet (PoE) je ideálním doplňkem sítě TSN ve sloupci automatizace s koncepcí Industry 4.0. Jednou z hnacích sil koncepce Industry 4.0 je průmyslový internet věcí (IIoT), který se skládá z mnoha senzorů, aktuátorů a řadičů. Technologie PoE byla vyvinuta s cílem řešení problémů spojených s napájením zařízení IIoT v celé továrně nebo jiném provozu.

Technologie PoE podporuje současný přenos vysokorychlostních dat (včetně sítí TSN) a napájení přes jediný síťový kabel. Například napájecí napětí 48 V DC lze přes kabel CAT 5/5e pomocí technologie PoE přenášet na vzdálenost až 100 m. Kromě zjednodušení síťových instalací zjednodušuje technologie PoE implementaci zdrojů nepřerušitelného napájení a záložních zdrojů a může také zlepšit spolehlivost průmyslových procesů a zařízení.

Technologie PoE využívá dva typy zařízení: napájecí zařízení (PSE) dodávající energii do sítě, a napájená zařízení (PD), která energii odebírají a využívají. Existují dva typy technologií PoE. Základní technologie PoE je schopná do zařízení PD dodávat maximální výkon 15,4 W. Nedávno vyvinutá technologie PoE+ dokáže do zařízení PD dodávat výkon až 30 W.

Zabezpečení sítě

Asociace ISA a IEC vyvinuly řadu norem pro systémy průmyslové automatizace a regulace (IACS). Normy řady ISA/IEC 62443 obsahuje čtyři části. Část 4 platí pro dodavatele zařízení. Zařízení certifikovaná podle normy IEC 62443-4-2 byla nezávisle vyhodnocena a jsou bezpečná již fáze od návrhu, včetně osvědčených postupů pro kybernetickou bezpečnost. Dva důležité nástroje pro zabezpečení systémů IACS jsou přístupové seznamy (ACL) a ochrana proti útokům odmítnutí služby (DoS). V obou případech je pro síťové inženýry k dispozici několik přístupů.

Přístupové seznamy ACL se používají k povolení nebo k zákazu příchozího nebo odchozího provozu síťových rozhraní. Výhodou používání přístupových seznamů ACL je skutečnost, že pracují rychlostí sítě a neovlivňují datovou propustnost, což je důležité kritérium implementací sítí TSN. Operační systém HiOS od společnosti Hirschmann rozděluje seznamy ACL do tří kategorií:

Základní seznamy ACL pro přenos TCP/IP mají minimální počet konfiguračních možností pro nastavení pravidel oprávnění typu „zařízení A může komunikovat pouze s touto skupinou zařízení“ nebo „zařízení A může odesílat pouze určité typy informací do zařízení B“ nebo „zařízení A nemůže komunikovat se zařízením B“. Základní seznamy ACL mohou zjednodušit a urychlit instalaci.

Pro přenos TCP/IP jsou k dispozici také pokročilé seznamy ACL poskytující podrobnější kontrolu. Provoz lze povolit nebo zakázat na základě jeho priority, příznaků nastavených v záhlaví a dalších kritérií. Některá pravidla lze použít pouze v určitou denní dobu. Provoz lze zrcadlit na jiný port pro účely monitorování nebo analýzy. Konkrétní typy provozu lze vynutit na definovaný port bez ohledu na jeho původní cíl.

Některá zařízení IACS nepoužívají protokol TCP/IP. Operační systém HiOS mj. umožňuje nastavení přístupových seznamů ACL na úrovni rámce Ethernet na základě adresování vrstvy MAC. Tyto seznamy ACL na úrovni vrstvy MAC umožňují filtrování podle řady kritérií, včetně typu provozu, denní doby, zdrojové nebo cílové MAC adresy atd. (obrázek 4).

Obrázek 4: seznamy ACL na úrovni vrstvy MAC lze používat na zařízeních, která nepoužívají protokol TCP/IP. (Zdroj obrázku: Belden)

Zatímco přístupové seznamy ACL musí být nakonfigurovány, prevence proti útokům odmítnutí služby (DoS) je často zabudována do zařízení a automaticky implementována. Tato prevence dokáže zpracovávat útoky přes protokol TCP/IP, starší protokol TCP/UDP a protokol ICMP (Internet Control Message Protocol). V případě protokolů TCP/IP a TCP/UDP mají útoky DoS různé formy vzhledem k protokolovému zásobníku, tj. odesílání paketů napadených zařízení, které neodpovídají standardu. Do napadeného zařízení lze také odeslat datový paket pomocí jeho IP adresy, což však může vyvolat nekonečnou smyčku odpovědí. Ethernetové přepínače mohou chránit samy sebe i starší zařízení v síti automatickým filtrováním škodlivých datových paketů.

Další běžný DoS útok přichází prostřednictvím ICMP příkazu ping. Příkazy ping jsou určeny k identifikaci dostupnosti zařízení a časů odezev v síti, lze je však také používat pro útoky DoS. Aby útočník způsobil například přetečení vyrovnávací paměti na straně přijímače a selhání protokolového zásobníku, stačí mu odeslat příkaz ping s dostatečně velkou užitečnou zátěží. Dnešní spravované ethernetové přepínače se mohou automaticky chránit proti útokům DoS založeným na protokolu ICMP.

Spravované přepínače

Spravované Ethernetové přepínače řady BOBCAT od společnosti Hirschmann podporují sítě TSN a nabízejí rozšířené možnosti šířky pásma úpravou rychlosti portů SFP od 1 do 2,5 Gb/s bez změny přepínače. Tyto přepínače se vyznačují vysokou hustotu až 24 portů v jedné jednotce a nabízejí možnosti měděných nebo SPF portů pro odchozí připojení (obrázek 5). Mezi další vlastnosti patří:

• Certifikace ISASecure CSA / IEC 62443-4-2, včetně přístupových seznamů ACL a automatické prevence útoků DoS
• Podpora přenosu výkonu až 240 W přes 8 portů PoE/PoE+ bez sdílení zátěže
• Modely pracující ve standardním rozsahu okolních teplot 0 °C až +60 °C a modely pracující v rozšířeném teplotním rozsahu -40 °C až +70 °C
• Modely se schválením podle normy ISA12.12.01 pro použití v nebezpečných místech

Obrázek 5: Ethernetové přepínače spravované BOBCAT jsou k dispozici v řadě konfigurací. (Zdroj obrázku: Hirschmann)

Příklady přepínačů řady BOBCAT od společnosti Hirschmann:

• BRS20-4TX se čtyřmi porty 10/100 BASE TX / RJ45 dimenzovaný pro okolní teploty 0 °C až +60 °C
• BRS20-4TX/2FX se čtyřmi porty 10/100 BASE TX / RJ45 a dvěma optickými porty 100 Mbit/s dimenzovaný pro okolní teploty 0 °C až +60 °C
• BRS20-4TX/2SFP-EEC-HL se čtyřmi porty 10/100 BASE TX / RJ45 a dvěma optickými porty 100 Mbit/s dimenzovaný pro okolní teploty -40 °C až +70 °C se schválením podle normy ISA12.12.01 pro použití v nebezpečných místech
• BRS20-4TX/2SFP-HL se čtyřmi porty 10/100 BASE TX / RJ45 a dvěma optickými porty 100 Mbit/s dimenzovaný pro okolní teploty 0°C až +60°C se schválením podle normy ISA12.12.01 pro použití v nebezpečných místech
• BRS30-12TX s osmi porty 10/100 BASE TX / RJ45 a čtyřmi optickými porty 100 Mbit/s dimenzovaný pro okolní teploty 0 °C až +60 °C
• BRS30-16TX/4SFP se šestnácti porty 10/100 BASE TX / RJ45 a čtyřmi optickými porty 100 Mbit/s dimenzovaný pro okolní teploty 0 °C až +60 °C

Shrnutí

K dispozici jsou spravované ethernetové přepínače, které podporují protokoly TSN, PoE a PoE+, nabízejí vysokou úroveň kybernetické bezpečnosti a poskytují širokopásmové připojení potřebné pro průmyslový internet věcí (IIoT) a sloupcovou síťovou strukturu koncepce Industry 4.0. Tyto přepínače nabízejí snadnou konfiguraci, vysokou hustotu portů, schopnost provozu v rozšířeném teplotním rozsahu a jsou dostupné ve verzích schválených podle normy ISA12.12.01 pro použití v nebezpečných místech.