INDUSTRIELLE AUTOMATION 6/2021

INDUSTRIELLE KOMMUNIKATION SICHERE AUTOMATISIERUNGSNETZWERKE IP-ADRESSEN: WENIGER IST MEHR Automatisierung in der Lebensmittelindustrie ist auch für Greenland Seafood, einen der größten Produzenten für Fischprodukte in Europa, ein großes Thema. Das Unternehmen stand jedoch vor einem alltäglichen Problem: Die IP-Adressen im Produktionsnetzwerk drohten knapp zu werden. Um dies zu beheben, musste eine ebenso sichere wie unkomplizierte Lösung gefunden werden. Vom klassischen Fischstäbchen bis hin zur fangfrisch gefrosteten Garnele: An zehn Hightech-Produktionslinien und mit mehr als 400 Mitarbeitern produziert die Greenland Seafood Wilhelmshaven GmbH, ein Tochterunternehmen der Alisa International GmbH, in ihrem Werk am Jadebusen 1,3 Mio. Fisch-Mahlzeiten – pro Tag. Automatisierung spielt angesichts dieser Mengen selbstverständlich eine zentrale Rolle. Deshalb haben sich die Verantwortlichen schon vor einigen Jahren auf den Weg in Richtung Industrie 4.0 gemacht. Neben der verstärkten Erfassung und Nutzung von Daten aus dem Produktionsnetz bringt dieser Prozess auch eine zunehmende Ethernet-Vernetzung von Maschinen und Komponenten mit sich. ANZAHL AN IP-ADRESSEN BEGRENZT Bei allen Vorteilen bedeutet eine solche Fülle an vernetzten Einzelelementen jedoch auch: Im übergeordneten Produktionsnetzwerk werden irgendwann die IP-Adressen knapp. Joachim Gerken, tätig im Bereich Automatisierungstechnik bei der Greenland Seafood Europe GmbH am Standort Wilhelmshaven, macht dazu folgende Rechnung auf: „Zum Beispiel die Produktionslinie für Fischstäbchen hat allein sieben oder acht Frequenzumrichter, dazu kommen zahlreiche weitere Komponenten. Hat jede eine eigene IP-Adresse, sind pro Linie gleich 20 bis 30 Adressen weg. Bei zehn Linien wären es dann schon 300“, rechnet Gerken vor. Und das Produktionsnetz ist nur für maximal 255 IP-Adressen ausgelegt. Eine komplette Umstellung bzw. Erweiterung des Produktionsnetzes wäre jedoch sehr aufwändig gewesen. Schnell war deshalb klar, dass eine andere Alternative benötigt wird. ZU EINEM MASCHINENNETZ ZUSAMMENGEFASST Unterstützt von dem unabhängigen Antriebs- und Steuerungsspezialisten Schultz+Erbse GmbH fand sich schließlich eine praktikable und zukunftssichere Lösung: Die Komponenten einer Maschine bzw. einer kompletten Linie werden zu einem Maschinennetz zusammengefasst und über eine einzige IP-Adresse in das Produktionsnetzwerk eingebunden. Das Maschinennetz arbeitet dabei als LAN (Local Area Network), das Produktions- bzw. Firmennetzwerk als WAN (Wide Area Network). Um die Schnittstelle zwischen beiden sicher zu realisieren, war in der Vergangenheit allerdings nur der Umweg über komplexe und dementsprechend kostenintensive Firewall-Lösungen möglich. Seit 2015 bietet jedoch das Industrial NAT Gateway/Firewall Wall IE von Helmholz eine unkomplizierte Alternative für diese Aufgabenstellung: Sie schützt beide Netze, indem sie genau regelt, welcher Teilnehmer mit welchem Gerät Daten austauschen darf. Die Vorgaben können anwenderspezifisch definiert werden. Die Voraussetzung dafür schafft eine Paketfilter-Funktionalität. In der Konsequenz bedeutet das: „Wir sparen sehr viele IP- Adressen“, bringt Gerken diesen Vorteil auf den Punkt. Denn pro Linie sind mithilfe der neuartigen Firewall nur noch höchstens drei IP-Adressen im Produktionsnetzwerk belegt: für die CPU, für das Bedienfeld (HMI) und für die Wall IE, hinter der das komplette Maschinennetzwerk liegt. Wenn CPU und HMI über eine gemeinsame Adresse laufen, sind es sogar nur zwei. 60 INDUSTRIELLE AUTOMATION 2021/06 www.industrielle-automation.net

You CAN get it... Hardware und Software für CAN-Bus-Anwendungen… Pro Tag werden am Standort Wilhelmshaven auf zehn Hightech-Linien 1,3 Millionen Fischmahlzeiten hergestellt (oben), das Industrial NAT Gateway/Firewall - Helmholz (links) PCAN-MicroMod FD DR CANopen Digital 1 Digital-I/O-Modul mit CANopen- und CANopen-FD-Anbindung für industrielle Anwendungen 8 Ausgänge mit High- Side-Schaltern 8 SPS-konforme Eingänge SICHER VOR UNBEFUGTEN ZUGRIFFEN Als zusätzliche Besonderheit kann die Wall IE sowohl im NAT-Betriebsmodus als auch als Bridge eingesetzt werden. Im Bridge-Betriebsmodus agiert sie als Layer 2 Switch. Im Gegensatz zu normalen Switches ist jedoch auch in dieser Betriebsart eine Paketfilterung möglich. Mit dem Paketfilter lässt sich der Zugriff zwischen dem Produktionsnetzwerk und der jeweiligen Maschine bzw. Linie einschränken. Zum Beispiel kann konfiguriert werden, dass nur bestimmte Teilnehmer aus dem Produktionsnetzwerk mit definierten Teilnehmern aus der Automatisierungszelle Daten austauschen dürfen. Andernfalls wird das Datenpaket zurückgewiesen bzw. verworfen. Für Praktiker Gerken und seine Kollegen heißt das: „Wir können genau bestimmen, in welchem Umfang jemand von außen Zugriff auf das Maschinennetzwerk erhält und das durch einen einfachen Click im System.“ Dadurch erhöht sich zum einen die Cybersecurity, denn für das Maschinennetzwerk besteht damit ein weiterer Schutz über die Firewall des Produktionsnetzes hinaus. Zum anderen bietet diese Funktion auch ganz praktische Vorteile, z. B. bei Fehlerbehandlung und (vorbeugender) Wartung. Mit einer entsprechenden Zugriffsberechtigung kann auch der Hersteller der Maschinen sicher – und kostengünstig – auf einzelne oder alle Bereiche des Maschinennetzwerks zugreifen. ZUKUNFTSFÄHIG AUTOMATISIERT UNTERNEHMEN Helmholz GmbH & Co. KG, Hannberger Weg 2 91091 Großenseebach, Tel.: +49 9135 7380-0 E-Mail: info@helmholz.de AUTOR Fabian Slowakiewicz, Produktmanager, Helmholz GmbH & Co. KG Inzwischen setzt Greenland Seafood schon seit rund vier Jahren auf das Industrial NAT Gateway/Firewall von Helmholz. Das norddeutsche Unternehmen gehört damit zu den ersten Anwendern der damals neuen Technologie überhaupt. Seitdem hat sich das System vielfach bewährt, auch in der Bedienung, wie Gerken berichtet. „Man muss definitiv kein Programmierer sein, um die Wall IE im Betriebsalltag zu nutzen. Und bei Fragen haben wir auch immer gute Unterstützung durch Helmholz.“ Und auch noch einen weiteren Schritt in Richtung Automatisierung haben Joachim Gerken und seine Kollegen bereits im Blick: Aktuell prüfen sie den Einsatz von Rex 100 Industrieroutern, mit denen Helmholz den sicheren Fernzugriff direkt auf SPSen ermöglicht. Bilder: Aufmacher CoreDesgin – stock.adobe.com, Einklinker Helmholz, sonstige Greenland Seafood www.helmholz.de Irrtümer und technische Änderungen vorbehalten. Optional mit Ethernet PCAN-Router Pro FD Frei programmierbarer 6-Kanal- Router und Datenlogger für CAN FD und CAN 2.0. Auslieferung mit einsatzbereiter Datenlogger-Firmware und Entwicklungspaket. PCAN-PCI Express FD CAN-FD-Interface für PCI Express. Erhältlich als Ein-, Zwei- und Vierkanalkarte inkl. Software, APIs und Treiber für Windows und Linux. www.peak-system.com Otto-Röhm-Str. 69 64293 Darmstadt / Germany Tel.: +49 6151 8173-20 Fax: +49 6151 8173-29 info@peak-system.com