25 | nummer 4 | 201324

Netwerken

inmiddels ook mogelijk. 1 Terabit/s wordt verwacht in 2015 en ook draadloos Ethernet wordt steeds sneller. Alles is ’backward compatible’: je kunt nieuwe versies kop-pelen aan oudere. Veel draait nu nog op 100 Mbit/s. Dat kan allang prima zijn, want als de protocollen efficiënt zijn, kan dat zelfs sneller zijn dan 1 Gbit/s.”

Dienstregeling“Bij standaardgebruik van Ethernet ontstaan ‘files’ en is het dus niet real-time. Er is dus een strakke dienstregeling nodig. Je levert wat vrijheid in, maar je krijgt garanties dat het goed gaat. Protocollen zijn er wel 25 verschillende te koop voor allerlei doelen: machinebouw, procesautomatisering, ge-bouwklimaat en nog veel meer. Dat maakt

het onmogelijk om het beste protocol aan te wijzen, want elk doel vraagt om z’n eigen specificaties. Vergelijk het met treinverkeer: je hebt een bepaalde dienstregeling, maar allerlei verschillende treinen die rijden. De protocollen zijn ruwweg in drie groepen in te delen. High-speed motion is het meest veeleisend. Dat betreft het snel maar heel nauwkeurig positioneren van assen, zoals bijvoorbeeld in de machines van ASML gebeurt. Dat vraagt om een strakke dienst-regeling en speciale hard- en software. Je komt dan uit bij protocollen als ProfiNet, EtherCat en Powerlink. Is de toepassing

minder veeleisend, dan zijn standaardspul-len afdoende. Je krijgt dan niet de aller-snelste real-time werking, maar de grootste gemene deler. Hieronder valt onder meer Ethernet/IP. De derde groep zijn de overige protocollen, de ‘legacy’-groep die uit de IT komt. Die zijn bekend en vertrouwd, en kun-nen soms nog prima voldoen. Modbus/TCP is hiervan een voorbeeld.”

ProcesindustrieJaap Westeneng van Endress+Hauser gaat in op de meerwaarde van industrieel Ether-net voor de procesindustrie. Hij beschrijft mogelijkheden voor inbedrijfstelling en configureren op afstand aan de hand van een praktijkvoorbeeld. “Bij een grote uitbrei-ding van een fabriek van Nestlé in Duitsland

werd overgestapt op besturing via Ether-netkabels. De installatie en commissioning werden via industrieel Ethernet gedaan, en daardoor kon de apparatuur 40% sneller geïnstalleerd worden. Dat was mogelijk doordat er minder netwerkcomponenten waren en de integratie eenvoudiger was, aangezien er minder te configureren en te programmeren was.”

De leverancier van de apparatuur moet daar wel op ingesteld zijn, vertelt Westeneng. “De leverancier gaat over het vertalen van de informatie, dus over het protocol. Het

verbinden gaat met vaste protocollen, zodat de conformiteit aan te tonen is; dat is alle-maal te vinden op internet. Een integratie-document dat omschrijft hoe je integreert is zodoende gemakkelijk te maken, en de leverancier kan daar een add-on profiel aan toevoegen. Je kunt dan meteen commis-sionen. Hij reikt de specs en documenten aan, en jij klikt er in om de verbindingen te maken. De apparatuur moet wel een Ethernet-interface hebben, zodat gegevens op te halen zijn. Via TCP/IP kun je zo ook op afstand configureren. Integratie is belangrijk in de procesindustrie, en die kan nu veel sneller. Bijvoorbeeld via een VPN-verbinding met het apparaat op afstand, waardoor je de actuele status kunt bekijken. Als je dan inlogt, krijg je afhankelijk van je autorisatie

Rob Hulsebos komt uit de machine-bouw en is tegenwoordig auteur en docent op het gebied indus-triële netwerken. Hij geeft een

overzicht van de stand van zaken rondom industrieel Ethernet: “Het bestaat niet, maar je kunt het wel kopen. Iedereen gebruikt het

Op het congres over industrieel Ethernet van FHI net voor de zomer deelden 17 sprekers hun kennis en ervaringen met de bezoekers. Dankzij Ethernet zijn in de industrie grote tijdbesparingen behaald, zo kwam unaniem naar voren. Denk bijvoorbeeld aan productielijnen ombouwen of bediening en service op afstand. Er zijn wel veel verschillende protocollen, en aandacht voor bescherming tegen ongewenste in-dringers is noodzakelijk, aldus de deskundigen. We maken een dwarsdoorsnede door hun voordrachten.

Hans Harlé al: thuis bij gamen en internetten en voor je werk in je PDA, smartphone of tablet, dus draadloos. Al in 1986 werd Ethernet industrieel toegepast, maar dat was voor besturing nog te duur en te complex. Tegen-woordig is Ethernet algemeen geaccepteerd voor besturing. Het kan over koperdraad, glasvezelkabel, nog andere geleiders en ook draadloos, en geeft dus veel keuzevrij-heid. Ook is er protocolvrijheid: Ethernet

Inloggen op afstand biedt veel mogelijkheden,

maar risico’s vragen om aandacht

verstuurt, maar wat het verstuurt, kies je zelf. Dus kwamen er allerlei protocollen op de markt, afhankelijk van de beoogde toe-passing. Vandaar mijn opmerking dat ‘het’ Ethernet niet bestaat.”Ethernet staat niet stil; de ontwikkelingen gaan hard, zo stelt Hulsebos vast. “Vooral de snelheid groeit sterk. Van 10 Megabit/s gin-gen we via 100 Megabit/s naar 1 Gigabit/s. 10 Gigabit/s komt er aan en 40 en 100 is

Veiligheid belangrijk thema bij industrieel Ethernet

Ethernet werd al medio jaren ’80 industrieel toegepast, maar nog niet voor besturingen.

Nieuwe modules van Siemens voor de communicatie via Ethernet in RFID-toepassingen met behulp van TCP/IP (Siemens persfoto).

27 | nummer 4 | 201326

bijvoorbeeld 30 minuten lang de gelegen-heid om tellers te resetten of te configureren op afstand. Ook kun je zo een apparaat toevoegen aan het besturingssysteem. Alle meetwaarden zijn dan meteen geïntegreerd.”In de toekomst gaat industrieel Ethernet zich waarschijnlijk nog veel verder uitbreiden: “Uit onderzoek blijkt dat de factory automation voorop loopt in de groeiende toepassing van industrieel Ethernet, maar ook in de proces-automatisering neemt het toe. Daarbinnen wordt de toename vooral verwacht in de sectoren voedsel, beverage en life science, waaronder farma.”

Verouderde termSpreker Jan van Spijker werkt al ruim 20 jaar bij solution provider ATS. Hij gaat in op de samenwerking tussen Ethernet en MES-systemen. “De term MES ofwel Manufactu-ring Execution System begint wat verouderd te raken”, vindt hij. “De afkorting MOM voor Manufacturing Operations Management is wat ruimer en geeft een betere dekking van waar het over gaat. Je komt soms ook de term MES/MOM tegen.”In MES worden 11 functies onderscheiden, zoals detailplanning, resources toekennen, datacollectie en procesbeheer. “Maar die hoeven niet allemaal in een MES te zitten”, aldus Van Spijker. “Een deel kan door SCADA worden geïmplementeerd. MES bevindt

zich tussen de control automation en de ‘kantoorsoftware’ zoals ERP en SCM ofwel Supply Chain Management. We hebben nu veel systemen, zoals APS, MES/MOM, PLM en SCM, die allemaal met elkaar moeten communiceren, of beter gezegd: collabo-reren. Daarom zijn er open technologieën voor MES/MOM nodig, zoals OPC, ODBC, B2MML en WebServices.”

Wie een MES wil implementeren, vraagt vaak naar de standaard ISA95. “Daarin wordt een aantal lagen beschreven, waarbij MES optreedt als verkeersregelaar. Laag 4 is de business planning en logistics. Dat is relatief grof, niet real-time en heeft een tijdframe van een maand, week of dag. Laag 3 is het domein van MES/MOM en reageert veel sneller. Dat is ook nodig wanneer er bijvoor-beeld een machine uitvalt. Het tijdframe is daar een shift, uur, minuut of seconde. Laag 1 en 2 vormen het PLC/SCADA-domein, met een tijdframe van een minuut, seconde of milliseconde. Door die lagen heen moeten informatiestromen omhoog en omlaag, en Ethernet is daarvoor de asfaltweg. Hiervoor zijn verkeersregels nodig, want je kunt technisch gezien niet alle routes zomaar aan elkaar koppelen. Verder stelt de omgeving eisen aan het Ethernet, op gebieden als industriële karakteristieken waaronder tem-peratuur en vocht, beheersbaarheid van het

netwerk, beschikbaarheid, en schaalbaarheid voor de toekomst.”Ook Jan van Spijker noemt het onderwerp veiligheid: “Een belangrijk aandachtspunt, want er kan van alles bedoeld en onbedoeld misgaan. Stringente security is nodig, maar voorkom daarbij bureaucratie door alles cen-traal te doen of door extern IT-beheer. Aan de positieve kant blijft natuurlijk dat dankzij Ethernet informatie plant-wide toegankelijk is en remote maintenance en partner access mogelijk zijn.”Zijn boodschap voor de toekomst is helder: “We moeten naar een plant-wide geïn-tegreerd Ethernet toe voor een verdere verticale integratie van de automatiserings-systemen.”

Modules vervangenEen voorbeeld van grote tijdbesparingen met Ethernet bij het aanpassen van productielij-nen geeft John van Bladel van Rolco Europe. Voorheen werkte hij bij tissueverwerker Edet: ”De productielijnen daar waren tot wel 70 meter lang en bestonden uit grote mecha-nische componenten, voor bewerkingen als afwikkelen, laagjes papier verlijmen en op rollen wikkelen. De wikkelkop kon 1000 rollen per minuut opwikkelen. Daarna werd het einde van de rol verlijmd en de rol op breedte gezaagd. Een verpakkingsstraat ver-pakte de rollen per 4 of 6 of 8 stuks samen.”

Rolco Europe bouwt voor zulke lijnen de componenten voor het afwikkelen tot en met het zagen. Het gaat om zogeheten un-wind stands (voor afwikkelen), laminators (lijmunits), edge embossers (die papier-laagjes op elkaar drukken zonder lijm), en accumulators (buffermachines). Alles wordt klantspecifiek gemaakt.“De productielijnen bestaan meestal uit 4 tot 6 modules”, legt Van Bladel uit. “Vaak krijgen we de vraag om wijzigingen in een module aan te brengen. In de tijd vóór Ethernet moesten we daarvoor een machine afbreken en alle kabels opnieuw leggen, dus eigen-lijk de hele machine opnieuw opbouwen. Met industrieel Ethernet kunnen we nu een module loskoppelen, verplaatsen en weer aansluiten, waarna alles binnen 3 minuten weer werkt. Een enorme tijdbesparing dus, vooral belangrijk voor onze grote klanten die regelmatig nieuwe producten willen testen.”

“Wat we tegenwoordig willen, is flexibiliteit, efficiency en performance”, vervolgt John van Bladel. “Flexibel betekent draadloos, open standaard en web-based. Zo kunnen we overal op afstand meekijken, onder meer voor serviceverlening. Efficiency gaat over energiezuinig en één kabel voor alles, dat scheelt honderden kabels ten opzichte van 20 jaar terug. Productiviteit vraagt om hoge snelheden met behoud van precisie. Complexe structuren moeten mogelijk zijn. Toegang tot het systeem op afstand is een risico, waarmee je moet opletten. Maar het brengt ons veel voordelen, met name dat we minder vaak het vliegtuig in hoeven als een klant problemen heeft. We kijken gewoon op afstand mee.”

BedreigingenVerschillende sprekers noemden het: de veiligheid bij toegang op afstand. Klaas Wijbenga van Weidmüller gaat nader in op de veiligheidsrisico’s bij datatransport van en naar machines. “Zodra je met meerdere locaties werkt, is datatransport nodig”, stelt hij vast. “Die locaties kunnen zich op één plant bevinden maar ook verspreid over de wereld zijn. Onvoldoende letten op de veiligheid van het netwerk kan resulteren in wijzigingen in programma’s, onbedoeld afsluiten van bijvoorbeeld PLC’s en versprei-ding van bedrijfsgeheimen zoals recepturen. Netwerkbedreigingen van binnenuit komen van werknemers of van externen die bijvoor-beeld onderhoud uitvoeren. Ze doen bewust of onbewust iets onveiligs, bijvoorbeeld via een USB-stick virussen of wormen binnen-brengen. Bedreigingen van buitenaf zijn onder meer hackers en e-mails die wormen bevatten.”

Hoe is het dataverkeer tussen de locaties veilig te maken? “Doel is dat niemand aan onze datapakketjes kan komen om ze te bekijken of te veranderen. Een directe ver-binding met een vaste kabel is een goede oplossing tussen locaties op één plant. Voor grotere afstanden kan het bijvoorbeeld via een modem met call-backfunctie die het nummer dat belt herkent. Of met een VPN-verbinding, wat staat voor Virtual Private Network. Ten onrechte wordt VPN in de industrie wel eens gezien als niet 100% veilig. VPN-protocollen zijn Ipsec en Open VPN. Ipsec is voor kantoorverbindingen,

vooral in de IT. Open VPN heeft een client-server verbindingsmogelijkheid, dus er kunnen meerdere clients op één server. Het is overal te gebruiken en softwarematig aan te passen.”

Klaas Wijbenga geeft een praktijkvoorbeeld: “Stel je hebt een bestaand netwerk met pc’s, PLC’s, switches en HMI’s, en drie locaties. Dan heb je drie verschillende netwerken; hoe verbind je die met het hoofdkantoor?Je kunt dan werken met een router per net-werk. Elke router krijgt twee IP-adressen: het ene in het locale netwerk en het andere in

De aan het congres deelnemende bedrijven hadden in de centrale hal van het FHI-gebouw informatiestands ingericht.

Redundantie in besturingssystemen biedt extra bedrijfszekerheid en veiligheid. Deze twee besturingen van Phoenix Contact vormen via een glasvezel synchronisatiekabel een redundant Profinet-systeem. De ene unit bestuurt het proces en de andere neemt dit onderbrekingsvrij over in geval van storing. (Foto: Phoenix Contact)

Connectoren voor industrieel Ethernet moeten bestand zijn tegen hoge en lage temperaturen, schokken en trillingen, en afdoende afgedicht zijn. De industriële Lumberg-connectorenserie van Belden is geschikt voor de Ethernetprotocollen ProfiNet, Ethernet/IP, EtherCat en Sercos. (Foto: Belden)

| nummer 4 | 201328

de centrale server. Heb je andere locaties ver van elkaar, dan is een virtueel netwerk no-dig: de centrale server bevindt zich ergens op het internet en heeft een vast IP-adres. Op de pc’s zet je een Open VPN client en zo configureer je de router ook, allemaal com-pleet met certificaat. Zo ontstaat een open bedrijfsnetwerk met toch vaste IP-adressen. Alle verbindingen zijn veilig, er zijn geen licentiekosten, je bent onafhankelijk van de pc-hardware en je hebt meer flexibiliteit bij het onderhoud. Als de verbinding eenmaal opgebouwd is, is hij veilig. Daar is geen firewall meer bij nodig.”

AanvallenBrecht Schamp van Phoenix Contact om-schrijft maatregelen voor cyber security. Hij start met een terugblik op recente cyber-aanvallen op multinationals en waterschap-pen. Opvallend is dat de aanvallen vaak vooraf aangekondigd worden in filmpjes op YouTube en dienen als ‘straf’ voor een misstand die het aangevallen bedrijf wordt aangerekend.“De security was vroeger makkelijker, want

systemen waren propriëtair en stand-alone. Nu vraagt de veiligheid veel meer aandacht en awareness, mede omdat veel kennis beschikbaar is via internet.” Hij adviseert een aanpak in lagen: “Laag 1 is de fysieke bevei-liging: een kast met sleutel om bepaalde componenten heen, toegangscontroles, maar ook de maatregel dat niemand zijn eigen laptop aan het systeem mag kop-pelen. Misschien heeft een dag tevoren het zoontje van de servicetechnicus thuis op diezelfde laptop wel even op een spannen-de internetsite gekeken en daarbij onge-merkt iets vervelends binnengehaald. De volgende dag plugt de servicetechnicus de laptop nietsvermoedend in het netwerk, en het kwaad is al geschied. Laag 2 omvat de logische beveiligingen. Een managed switch kan met als/dan-condities in bepaalde situa-ties de communicatie onmogelijk maken. Ook kun je daarmee een logische scheiding aanbrengen tussen subnetten. Er zijn meer-dere manieren om je netwerk robuuster te maken; zo kun je bepaald dataverkeer voorrang geven boven ander verkeer. Heel belangrijk is verder om regelmatig de

wachtwoorden te veranderen, en laat zeker niet het wachtwoord van de leverancier staan. Laag 3 betreft de logische beveiliging van het dataverkeer, bijvoorbeeld door het beperken van het verkeer van en naar het productienetwerk. Een gebruikersfirewall kan een buffer vormen tussen het pro-ductie- en kantoornetwerk. Ook kun je de rechtstreekse communicatie tussen twee netwerken onmogelijk maken en die alleen toestaan via een demilitarized zone, dus op indirecte wijze.”

Remote acces is prima mogelijk maar brengt wel risico’s met zich mee: “Het is een kwestie van afwegen wat nodig is ten opzichte van die risico’s”, vat Schamp samen. “Een veilig kanaal naar een machine kan met VPN via drie mechanismen: encryptie, authenticatie en integriteit. Een netwerk beveiligen gaat in een cyclus met als stappen risico’s inven-tariseren, maatregelen nemen, vastleggen en documenteren, leren van incidenten, en mensen trainen. Zorg ervoor dat je deze cyclus periodiek herhaalt.”

advertentie