- IT&Production - https://www.it-production.com -

Netzwerkzugriffe detailliert überwachen

Netzwerkmonitoring für Profinet

Netzwerkzugriffe detailliert überwachen

Die Automatisierungstechnik erlebt einen fundamentalen Wandel, der neue Dimensionen in der industriellen Datenkommunikation und der Maschinen- und Prozesssteuerung eröffnet. Das Ethernet wird echtzeitfähig und hält mit Protokollen wie Profinet, Ethercat und Ethernet/IP in der E/A-Ebene Einzug. Der Mehrwert ist für viele ein Segen, doch wer dabei Diagnose und Sicherheit vernachlässigt, kann schnell vor Problemen stehen.

Bild: Indu-Sol GmbH

Im Zuge der stärkeren Vernetzung von Systemen der industriellen Automation und dem damit einhergehenden Aufbau dezentraler Steuerungsstrukturen wird auch das Aufzeichnen und Analysieren von Daten komplexer. Mittlerweile spricht man von einem disziplinübergreifenden Informationsaustausch, bei dem nicht nur Daten, sondern auch Algorithmen und Dienste im Zusammenhang mit einem Produkt-, Prozess- und Produktionsstatus an alle Teilnehmer einer Wertschöpfungskette übermittelt werden. Das macht die Entwicklung von robusten und intelligenteren Monitoringsystemen sowie Diagnosegeräten erforderlich, die in der Lage sind, sich den Veränderungen im Netz anzupassen und eine dezentrale Datensammlung zu koordinieren. Profinet beispielsweise etabliert sich derzeit immer mehr zum Kommunikationsstandard für Industrial-Ethernet-Anwendungen. Denn angefangen von der Tatsache, dass sich alle Netzwerkstrukturen wie Ring, Stern, Linie oder Netz realisieren lassen, bis hin zur sinkenden Störempfindlichkeit durch Punkt-zu-Punkt-Verdrahtung, überzeugt Profinet als offener, herstellerneutraler, international genormter Busstandard und kann auf steigende Nutzerakzeptanz verweisen. Er gilt als die ideale Ergänzung zur PC-basierten Automatisierungstechnik und ermöglicht eine vertikale Integration von der Feld- bis hin zur Unternehmensebene.

Bussysteme sind zweifellos die Hauptschlagadern der Automatisierungstechnik, doch ihre Zuverlässigkeit wird selten hinterfragt. „Aufgrund der Vielfalt der Kommunikationsmöglichkeiten wird es immer wichtiger zu wissen, wer wann mit wem und warum im normalen Ablauf kommuniziert. Diese Informationen werden künftig zum Grundstein einer prophylaktischen Netzwerkoptimierung, um eine Warnung vor dem Ausfall zu sichern“, sagt beispielsweise Karl-Heinz Richter, Geschäftsführer für Marketing & Vertrieb bei der Indu-Sol GmbH. Diese ‚gelebte‘ Netzwerktransparenz ist nicht nur zur Diagnose, sondern auch zur Optimierung der Betriebsprozesse zentral und folglich ein entscheidendes Argument zur Kostenreduzierung. Zweifellos sind viele Anlagen und Steuerungen auf Ethernet-Basis noch zu neu oder noch gar nicht in Produktion, als dass ein Zugzwang für eine Netzwerküberwachung entstehen könnte. Es wird allerdings nur eine Frage der Zeit sein, bis sich entsprechende Diagnosewerkzeuge durchsetzen.

Von der IT-Branche lernen

„Manch einer muss sich wohl erst die Finger an der sprichwörtlichen Herdplatte verbrennen, ehe er sich von der Thematik Analyse der Netzwerkqualität betroffen fühlt“, erklärt Richter. „Dafür Lehrgeld zu bezahlen, ist eigentlich unnötig. Denn in unserer Messpraxis haben sich für Profinet mittlerweile messbare Netzzustandsgrößen herauskristallisiert, die sich durchaus als allgemeingültige Qualitätskriterien in der Profinet-Kommunikation durchsetzen könnten.“ Dazu gehörten beispielsweise:

Zurzeit beschäftigt sich, unter Mitwirkung der Indu-Sol GmbH, die Arbeitsgruppe ‚Installation Guides, Profinet Inbetriebnahme‘ innerhalb der Dachorganisation Profibus & Profinet International (PI) mit diesem Thema, um einheitliche Abnahmebedingungen für die Profinet-Netzwerkqualität zu beschreiben. Im Gegensatz zu Profibus ermöglicht Profinet eine umfangreiche Gerätediagnose. Verbreitet hat sich hierbei die Meinung, dass der entsprechende Controller alle Daten erfasst und somit für Wartung und Instandhaltungsbelange ausreichend gerüstet sei. Doch Problemanalysen mit entsprechenden Diagnose-Tools zeigen Schwachstellen in den Kommunikationsbeziehungen auf, die der Controller ignoriert.

Das Monitoring-Werkzeug Proscan Active von Indu-Sol ermöglicht die automatische Erstellung von übersichtlichen Netzwerk-Topologien, die über eine webbasierte Oberfläche dargestellt werden.

Gefahren lauern überall

Besonders im Zusammenhang zwischen Diagnose und Security ist Nachholbedarf gegenüber der IT-Branche zu verzeichnen, denn Netzwerkmonitoring ist das tägliche Brot eines EDV-Administrators – und dessen Erfahrungen sind für Automatisierer Gold wert. Der momentane Alltag in der Automatisierung wirkt befremdlich, denn das Thema Security steht viel zu selten im Fokus: Portstatistiken von Hallenswitches werden durch die IT-Abteilung über ein umfangreiches Netzwerk-Monitoringsystem beobachtet und analysiert, aber niemand denkt an die Netzwerküberwachung für den Switch im Schaltschrank, der im Verantwortungsbereich der Automatisierung liegt. Viele Betreiber wiegen sich in Sicherheit, weil sie das Maschinennetzwerk autark sehen und Bedrohungen nur ‚von außen‘ erwarten. Studien beweisen das Gegenteil: Nicht selten sind unbeabsichtigte Eingriffe oder unberechtigte Netzzugriffe von innen die Realität. Es folgen Fehlfunktionen, die in Anlagenstillständen münden, weil die wechselnde Netzwerklast die zeitlichen Rahmenbedingungen durcheinander bringen kann. Es gilt daher, unberechtigte Netzwerkzugriffe und Manipulationen rechtzeitig zu erkennen und so Verfügbarkeitseinschränkungen zu verhindern.

Blick in den letzten Winkel

Der erste und möglicherweise auch am einfachsten zu realisierende Schritt dahin ist ein aktueller Topologieplan. Neben der realen Verdrahtungsdarstellung der Netzwerkteilnehmer und deren IP-Adressen gehören auch die aktuellen Portbelegungen, Gerätenamen, Software- und Hardwarestände, Leitungslängen sowie Bedämpfungswerte zu den wertvollen Informationen. Sie sollten stets durch einen Scan in regelmäßigen Zeitintervallen aktuell gehalten werden. Proscan Active von Indu-Sol beispielsweise, lässt sich als schlankes Werkzeug auch ohne Datenbanken nutzen: Installiert auf dem Bedienterminal einer Maschine scannt das System alle Komponenten bis in die unterste Ebene. Unabhängig vom Hersteller und Gerätetyp der eingesetzten Netzwerkkomponenten wie Switches, Hubs, PCs, Drucker oder weitere Controller im Netz wird über Eingabe eines IP-Adressbereichs der Netzwerkscan gestartet. Jede Änderung der Netzwerkverbindungen und Komponenten wird sofort erkannt und über eine Web-Oberfläche grafisch dargestellt. Zusätzliche Visualisierungssoftware der Netzwerkdaten ist somit überflüssig. Bei stetig steigender Ethernet-Vernetzung im industriellen Umfeld entsteht so ein zentrales Hilfsmittel für Einrichtung und Inbetriebnahme.

„Man kann sich beispielsweise den aktuellen Topologieplan ausdrucken und in die Innentür des Schaltschranks heften. In der Automobilindustrie wird das Tool immer häufiger eingesetzt und auch die Bereiche Service und Instandhaltung zeigen großes Interesse“, führt Richter aus. Damit lässt sich mit einfachen Mitteln der Security-Gedanke in der Automatisierungstechnik umsetzen. Dieser Gedanke sollte hier jedoch nicht enden. Letztlich wird wohl kein Profinet-Betreiber darum herumkommen, auch Methoden der Funktionsüberwachung zu nutzen, um Aussagen über die aktuelle Netzwerkqualität treffen und Störungen möglichst im Vorfeld vermeiden zu können. Hierfür hat der Anbieter den Profinet-Inspektor entwickelt. Das Diagnose-Tool ist ein ’stiller Beobachter‘ in Ethernet- und Profinet-Netzwerken, das zu Ereignissen im Netzwerk punktgenau einen Snapshot anlegt, etwa zu Auslastung, Geschwindigkeit, Datendurchsatz, Telegramm-Jitter, Telegrammwiederholungen, Fehlertelegrammen, Gerätediagnosen und Geräteausfällen sowie Aussagen über die Netzwerkqualität ermöglicht.