Ehterne TCP / IP

VIK
16 Maart 2006
Ethernet TCP/IP
Het universeeluniverseel
communicatiesysteem
voor PLC ’s, I/O en
alle randapparatuur
Johan Cools
Marketing Automation & Controle

Marketing Automation& Contrôle
Johan Cools 29-Maart-06
2
Ethernet TCP/IP, de universele communicatie
Inhoud
De hoofdbekommernissen van de industrie
Een oude droom wordt werkelijkheid, het universele
communicatiesysteem Ethernet TCP/IP
(TCP/IP = Transport controle Protocol, Internet protocol)
De belangrijke industrieel Ethernet organisaties
Standaard Ethernet + Web technologie biedt nieuwe mogelijkheden
voor eindgebruikers en integratoren
Wat met netwerkbeveiliging
Real time: een rekbaar begrip
Case op basis van Ethernet met Modbus TCP/IP en WEB based
diagnose
Conclusies

3
Het verbeteren van de competitiviteit
Vermindering van de globale kosten
Het verhogen van de productiviteit
Verhoging van de bedrijfscontinuïteit van de installaties
Verbeteren van de interne efficientie
Optimaliseren van de relatie met leveranciers en klanten
Voortdurend de kwaliteit verbeteren,
Het verkorten van de “Time to Market”
Flexibiliteit verhogen
Werken met partners daar waar nodig
Virtueel simuleren en valideren alvorens in dienst te stellen

4
Het verbeteren van de competitiviteit door vermindering van de globale
kosten
Vermindering van de kosten voor het beheer en onderhoud van de
installaties
– Vermindering van het aantal technologiën
Een efficienter energiebeheer
– Vermindering van het electriciteitsverbruik
– Bewaking van de kwaliteit van de energie
Het verhogen van de productiviteit door een verbeterde
bedrijfscontinuïteit van de installaties
Verkorten van de uitvaltijden en sneller kunnen beslissen
– Hogere betrouwbaarheid door vermindering van het aantel interfaces
– Betere beschikbaarheid van de gegevens
Optimaliseren van de relatie met leveranciers en klanten
Voortdurend de kwaliteit verbeteren,

5
Het verkorten van de “Time to Market”
Flexibiliteit verhogen
– Automatiseringsarchitecturen op een snelle wijze kunnen aanpassen zonder de installaties te
moeten stilzetten
Werken met partners wanneer de nodige interne competentie afwezig is
– Steeds werken met Open systemen en universele technologiën
Virtueel simuleren en valideren alvorens in dienst te stellen,
Beschikbaarheid van
gegevens verhogen
Het aantal technologiën
verminderen
Gebruik van Open en
universele technologiën

6
Een oude droom wordt werkelijkheid
De automatiseringsarchitectuur van de jaren 90
33 verschillende netwerkniveau’sverschillende netwerkniveau’s
Masterpact LV ACB
Site Server Client
SCADA Zone
controller
SCADA Zone
controller
SCADA Zone
controller
ClientClient
PLC PLC
Locale
HMI
Locale
HMI
Locale
HMI
Controle netwerk
EthernetEthernet
Veldbus
AS-
interface
Controle netwerk
Veldbus
Veldbus
Drive
Decentrale I/O
Decentrale I/O
Decentrale I/O
Sepam MV Relay
Power Logic
Circuit Monitor
Decentrale I/O
Drive
Vele interfaces
Geen data transparantie
SCADA is de “bottleneck”
Verschillende
communicatietechnologiën die
moeten onderhouden worden

7
De automatiseringsarchitectuur van de jaren 2000
Masterpact LV ACB
Site Server Client
SCADA Zone
controller
SCADA Zone
controller
SCADA Zone
controller
ClientClient
PLC PLC
Locale
HMI
Locale
HMI
Locale
HMI
EthernetEthernet
Veldbus
ASi
Veldbus
Veldbus
Dive
DriveDecentrale I/O
Decentrale I/O
Decentrale I/O
Sepam MV Relais
Power Logic
Circuit MonitorDecentrale I/O
Ethernet Ethernet
Ethernet TCP/IPEthernet TCP/IP daalt afdaalt af tot optot op hethet
controleniveau tussencontroleniveau tussen PLC’sPLC’s
Migratie van de architectuur
naar 2 netwerken
Eenvoudige en goedkope
lokale & “remote” toegang
via een Web browser
(onderhoud, diagnose)
Verdeel de Informatie
beschikbaar over
verschillende Web servers
op PLC’s,
==> geen “bottlenecks”

8
De automatiseringsarchitectuur van de komende jaren
Ethernet TCP/IPEthernet TCP/IP alsals universeeluniverseel
communicatienetwerkcommunicatienetwerk
Dezelfde communicatietechnologie op
alle niveau’s
Traditionele SCADA wordt gecombineerd
met Web technologie.
Eliminatie van de interfaces

9
De verschillende veldbussystemen
N bits
in N x ms
N Woorden
in N x 10ms
N x 10 Woorden
in N x 10ms
Bestanden
in N x Sec
Bits Bytes Words Files
Device
InterbusS
ProfibusDP
LonWorks
ProfibusPA
ProfibusFMS
DeviceNet
FIPIO
MB+DIO
Sensor
ASI
Seriplex
Sensorloop
ModBus/Unitelwa
y
Field
Fieldbus
Foundation
ControlNet
FIPWAY
MBPlus
Data
ETHWAY/MMS
EthernetTCP/IP
MMSE
Ethernet TCP/IP

10
Belangrijke actoren in Industrieel Ethernet
Marktstudie van ARC mei 2005
26% Modbus TCP
25.4% EtherNet/IP
2.9% Fl-Net
2.1% FF-HSE
2% PROFInet
Aantal verkochte nodes per Industrieel Ethernet protocol

11
De EthernetIP technologie wordt beheerd door de ODVA en
ControlNet International organisaties
EthernetIP gebruikt het CIP protocol (Common Industrial Protocol)
EthernetIP is niet enkel gebaseerd op Ethernet technologie,
het gebruikt de standaard Ethernet technologie
EthernetIP gebruikt standaard switches en is eenvoudig te
integreren met het bestaande Ethernet netwerk
Diensten
Impliciete Real time I/O via UDP, data tussen PLC’s via TCP
Expliciete communicatie via TCP
CIPsync voor motion toepassingen, via een VLan
Transparantie naar DeviceNet en ControlNet apparaten
EthernetIP is bestemd voor alle automatiseringsapparaten

12
PROFIBUS International is de organisatie die de Profinet en
de Profibus technologiën beheert
Profinet is op Ethernet gebaseerde Automation technologie
Opsplitsing in twee technologiën
Fieldbus based, Ethernet Based
1 Open TCP/IP channel
Parametrering, Diagnosedata, netwerkbelasting
Onderhandeling en setup van het kanaal voor processdata
2 Real-time channel RT
Transfert met hoge performantie
Cyclische en event gestuurde data
3 Real-time channel IRT
via specifieke ASIC, gericht naar motion toepassingen
Integratie van Profibus apparaten op Profinet

13
Modbus TCP/IP
Modbus-IDA is de internationale organisatie die de
Modbus TCP/IP en Modbus RTPS (Real Time Publisher
Subscriber) protocols beheert
* IANA= Internet Assigned Numbers Authority
PLC
I/O
HMI
RFI
iPC
Drives
Databases
Ventieleilanden
...
De IANA* kende poort 502 toe aan Modbus TCP/IP
Elke applicatie of device die poort 502 gebruikt, is
verplicht van met het Modbus TCP/IP protocol te werken
Modbus TCP/IP heeft dezelfde status als elk ander
vast Ethernet protocol( vb HTTP, SMTP, …)
Modbus TCP/IP en Modbus RTPS maken gebruik van
standaard Ethernet en is volledig compatibel met alle
andere Ethernet toepassingen
Modbus TCP/IP is transparant naar de miljoenen
geïnstalleerde Modbus RS485 componenten
Beide protocols werden erkend als Real time Ethernet
binnen IEC SC65C
Het zijn vrije Ethernet protocols zonder copie-rechten

14
Ethernet TCP/IP + Webtechnologie
Nieuwe mogelijkheden voor eindgebruikers en integratoren
“Real time” gegevensgegevens zijn beschikbaar voor iedereen binnen de
onderneming, vanuit een standaard web-browserweb-browser
productie, onderhoud, kwaliteit, klanten, leveranciers…
diagnose van applicatie en het netwerk
OnderhoudOnderhoud vanop afstand wordt eenvoudig en goedkoopgoedkoop :
via de bestaande netwerkinfrastruktuur.
“Real time” datadata kan op eenvoudige manier gedeeld worden tussen de
procesomgevingprocesomgeving en de ITIT omgeving
bureautica-omgeving, ERP en MES systemen
* ERP =
“Enterprise Resource planning”
Globale planning / logistiek
**MES=
“ Management Excecution System”
Management systeem voor productie
onderhoud, kwaliteit en logistiek
Door te kiezen voor een universeel communicatienetwerk blijft U
onafhankelijkonafhankelijk van de merkgebonden oplossingen :
technologiën evolueren en nieuwe producten worden beschikbaar,
bij aanpassingen moet heel de architectuur niet in vraag gesteld worden.
Talloze beveiligingsoplossingenbeveiligingsoplossingen zijn beschikbaar op alle niveau’salle niveau’s :
de juiste beveiliging tegen een bepaald risico.

15
Vb. met “Transparent ReadyTM
” van Schneider Electric
SNMPSNMP RTPS
real time
NTPNTP DHCPDHCP TFTPTFTP FTPFTP HTTPHTTP
NetworkNetwork
MangtMangt
GlobalGlobal
datadata
TimeTime
SynchronisationSynchronisation
UDPUDP
Layer Ethernet II & 802.3Layer Ethernet II & 802.3
IPIP
SMTPSMTP
FaultyFaulty
Device replacementDevice replacement
WebWeb
servicesservices
e-m@e-m@ilil
TCPTCP
openopen
SaveEthernetSaveEthernet
MesMes--
sagingsaging
I/OI/O
ScannerScanner
MODBUSMODBUS
TCPTCP
Network
Transport
Applicatie
Protocol
Dienst
OSI Layer
Beheervanhetnetwerkviastandaardtools
SynchronisatievanPLCtoepassingen
Synchronisatievandatumenuur
Eenvoudigevervangingenconfiguratievandefecteapparatuur
Weergave,instellingen,configuratieviainternetexplorer
E-mailopeventmetbijhorenderealtimedata
AnderespecifiekeprotocolsinTCP/IPGenormaliseerdveiligheidsprotocolModbuscommunicatieviaprogramma
RealtimeModbusTCP/IP
viaconfiguratie
Link
Physical

16
Real time gegevens via standaard Web browser
Door inbouwen van Webservers kunnen vanop eender welke
plaats gegevens opgevraagd en gestuurd worden
productiegegevens
gegevens ivm. onderhoud
Informatie voor leveranciers,klanten
“Real time” gegevens rechtstreeks vanuit het apparaat :
– PLC’s , drives, I/O, HMI, …

17
Volledige diagnosemogelijkheden met standaard tools
Machine
operator
OnderhoudsploegNetwerk
verantwoordelijke
Van het netwerk, van de apparaten en van de applicatie

18
Diagnose van het Netwerk
Dit kan via standaard SNMP (Simple Network Management protocol)
informatica-tools wanneer de aangesloten apparatuur
in zijn protocolstack de SNMP bibliotheek bevat
– PLC’s, I/O, … worden herkend en beantwoorden de diagnose
requesten van standaard informatica - tools
Systeemdiagnose via Web-browser
Beschikbare bandbreedte van de Ethernetverbindingen

19
Systeemdiagnose via Web-browser
Toestand van het apparaat
Toestand van een gebruikte Ethernet dienst
– vb. I/O SCANNING VIA MODBUS TCP/IP

20
Automatisch toekenning van IP adres
Via bestaande protocols (DHCP, BootP)
(Dynamic Host Configuration Protocol, Bootstrap Protcocol)
Op basis van het MAC adres
(Medium Acess Adress, Uniek Ethernet adress voor elke Ethernet component)
Op basis van een “Rollname”
Eventueel inclusief de configuratie van het vervangen
apparaat
– vb. Snelheidsregelaars
Eenvoudig onderhoud
Rolname
IP Adres &
parameters
3. Verkrijgen
van IP adres en
eventueel de
configuratie
2. Apparaat
vervangen
defect
4. RUN
1. Ingeven van
« rolname »
Vergt geen tussenkomst van technieker met
informatica-kennis
verkorting van de uitvaltijd
snellere indienstname

21
Eenvoudig onderhoud vanop afstand
Automatiseringsgedeelte
Specifieke LAN
IP filtering functies van de PLC’s
Modem
“Remote” toegang via modem
Punt-tot-punt verbinding
RAS(Remote Access Server) die de
beveiliging beheert
RAS Server
Intranet / bedrijfsnetwerk
Router als beveiligingsmanager
“
Ethernet TCP/IP voor het Intranet
Router
Firewall
Internet
Specifieke verbinding
“Remote” toegang Via Internet
Internet provider is vereist
“Firewall” voor beveiliging
(VPN is beschikbaar)
(VPN = Virtual Private Network)
Router zorgt voor extra beveiliging
Ethernet TCP/IP voor het automatiseringsgedeelte

22
Meer mogelijkheden voor koppeling met ERP
Via de actieve Web servers
Doorsturen van applicatie-meldingen naar internet browsers
– Visualiseren en bevestiging van meldingen afkomstig van de PLC applicatie
E-mail
HMI HMI
Direct versturen van event gestuurde Emails
– Onafhankelijk van de PLC toepassing (geen invloed op PLC scantijd)
– De Email kan tekst en dynamische PLC variabelen + hyperlinks bevatten.
Aansturen en beheren van databases op IT niveau
– Directe logging via eenvoudige configuratie naar een relationele database (PUSH DATA)
– VB. Traceerbaarheid van gegevens
– SQL server, Oracle, MySQL
– Nauwkeurige realtime data vanuit de PLC

23
Toegang tot data via OPC clients
Toegang tot de gegevens vanuit een OPC client toepassing
Evolutie van COM/DCOM naar Web services
en het gebruik van SOAP protocol op http
– SOAP = Simple Object access protocol

24
Actieve Web
beelden
Actieve Web
beelden
Database
connectie
Database
connectie
E-mail
notificatie
E-mail
notificatie
Diagnose en
bewaking
Diagnose en
bewaking
Data-acquisitie
en datering
Data-acquisitie
en datering
Recepten
beheer
Recepten
beheer
SOAP/XML
Web services
SOAP/XML
Web services
Serveur Web actif
Thin Client
Geen “bottleneck” via SCADA
rechtstreeks van server naar
client
Evolutie naar Web Services
SOAP/XML
Receptenbeheer
Actieve Web beelden

25
Door gebruik van een universeel communicatienetwerk in het
domein van de automatisering, worden heel wat technische
opstakels geëlimineerd om toegang te verkrijgen tot het apparaat
Het is dus absoluut nodig de apparatuur te
vrijwaren tegen ongewenste toegang
Door de netwerktransparantie geldt dit niet
alleen voor de automatiseringsprotocols
maar voor alle Ethernet protocols
(FTP, SNMP, SMTP, …)
De bestaande netwerkbeveiliging beschermt
ook het Automation gedeelte
Het is niet omdat men dezelfde techologie
gebruikt, dat men fysisch verbonden is met
de buitenwereld

26
Beveiliging kan op verschillende niveau’s
Tussen automatiserings en bedrijfsnetwerk
Via een Router die geconfigureerd wordt als
toegangsadministrator
Filtering op een zone IP adressen voor welbepaalde
poorten
Binnen de automatiseringscel
Zelfde risico ’s als bij standaard veldbussystemen
Paswoorden voorzien op elke toepassing (PLC, PC ’s, …)
Evolutieve paswoordenpolitiek vastleggen
De IP filtering gebruiken op de PLC ’s
Tegenover de buitenwereld
Via een firewall , filtering op de toegangspoorten
Via VPN verbinding
Via de RAS server (RAS= Remote acess Server)

27
Netwerkbeveiliging : bij Internetverbinding
Onmogelijk van 0% risico te verkrijgen, doch een zekere
en goed beveiligde Internetverbinding is mogelijk
Beveiligde Internetverbinding via de Fire Wall
van het bedrijf
– Voor alle bedrijfstoepassingen
– Filtering op de poorten : Modbus TCP/IP (502), HTTP (80), FTP(21) en
de tijdelijke poorten 1024 tot 4999)
Beveiligde Internetverbinding via VPN
(Virtual Private Network)
– onafhankelijk van het Internet (m.a.w. tussen twee sites van hetzelfde
bedrijf)
– ook gestuurd via de Fire-wall van het bedrijf
Nog meer beveiliging via de router op niveau van het
automatiseringsnetwerk

28
Netwerkbeveiliging :bij toegang via RAS server
Modem
RAS
Internet
De RAS server beperkt zelf de risico ’s :
Toekennen van een geheim telefoonnummer
Identificatie via gebruikersnaam en paswoord
Eventueel kan teruggebeld worden naar de opbeller
Kan geïntegreerd zijn met een router of eventueel een
Fire-Wall
De risico ’s zijn zeer beperkt wanneer de RAS server
op een onderliggend netwerk van het bedrijfsnetwerk
wordt geplaatst
Verbinding via een RAS* server
Punt tot punt verbinding (is niet via internet)
Via Internet (via Internet provider)
* RAS = Remote Acces server

29
Netwerkbeveiliging : verbinding op het bedrijfsintranet
Deze verbinding gebeurt via een router die
geconfigureerd wordt als toegangsadministrator
Hierdoor verkrijgt men een aanvaardbare beveiliging
tussen automatiseringsnetwerk en het bedrijfsintranet
Filtering op de IP adressen
Filtering voor clients en servers op de
communicatiepoorten
– vb toegelaten zijn IP adressen 102.12.12.1 tot 102.12.12.99 op
de Modbus TCP/IP poort (502) en de HTTP poort (80)
Compatible IBM Compatible IBM
intranet
“Fire-wall”
Hub/switch Hub/switch Hub/switch
router
Beveiligde automatiseringscel
internet
Voor en nadelen
☺ Verbinding via een standaard product
☺ Enkel de toegelaten IP adressen kunnen communiceren
☺ Alle acties kunnen geregistreerd worden
Toegang tot alle diensten op een poort ofwel geen toegang
Dynamische toekenning van adressen moet beheerd worden om compatibel
te zijn.
Geen beveiliging tegen het onrechtmatig gebruik van IP adressen !
Dit is enkel mogelijk via een algemene veiligheidscode binnen de
onderneming ( zoals bij het onrechtmatig gebruik van e-mail adressen)

30
Door gebruik van standaard Ethernet TCP/IP in de
automatisering, vallen vele technische obstakels weg om
toegang te verkrijgen tot verschillende apparaten
Hierdoor is het aangewezen om de geautomatiseerde
systemen te beveiligen tegen ongewenste toegang
(zowel intern als extern)
Het beheer van de risico ’s situeert zich op drie niveau ’s :
Tegenover de buitenwereld
Tussen het automatiseringsintranet en het bedrijfsintranet
Binnen de automatiseringscel
Er zijn heel wat mogelijkheden voorhanden
Het beheer van de veiligheid zal altijd een compromis zijn
tussen risico ’s, kosten en gebruiksconfort
Netwerkbeveiliging : conclusies

31
”Real time”: een relatief begrip
Controle & device Pure „Real Time“IT Communicatie
Messaging
I/O scanning
Gesynchroniseerde MotionPeriodieke Data
TCP/IP traffic
Real Time traffic
10µs1ms100ms 10ms1s 100µs
Soft “Real Time” Hardware “Real Time”Geen “Real Time”
SpecifiekeSpecifieke hardwarehardware
voorvoor < 10% van de< 10% van de
toepassingentoepassingen
StandaardStandaard EthernetEthernet
voorvoor > 90%> 90%
van devan de toepassingentoepassingen
EtherNet/IP
ProfinetIT
ModbusTCP
ProfinetIRT
Ethercat
EtherNet/IPCIPSunc
SercosIII
Powerlink
ManagedManaged
Gebruik van standaard Ethernet TCP/IP stack
Compatibel met andere TCP/IP applicaties
Gebruik van standaard switches
EtherNet/IP
ProfinetRealtime
ModbusTCP

32
Case: Koelinstallatie voor fruit (peren)
Technischlokaal
TSXPremium+Firewall
Koelcel 3
Koelcel1Koelcel2
Koelcel 6Koelcel 7
Koelcel 10Koelcel 11
Koelcel 22
Platte grond gebouw met koelcellen
Ethernet TCP/IP met Modbus Protocol
VPN Verbinding
naar dispatching
(Virtual Protected network)
Verdeelbord met
Energiemeting

33
Conclusies
Standaard Ethernet TCP/IP + Webtechnologie in de automatisering
bieden nieuwe perspectieven voor programmeerbare sturingen
Betere toegankelijkheid van de processgegevens
Gebruik van de dagelijkse informaticadiensten voor betere
efficientie
Onderhoud vanop afstand wordt goedkoper
Door te kiezen voor een universele communicatietechnologie, bent
u vendoru vendor onafhankelijkonafhankelijk
U kiest de beste producten van elke leverancier
U geniet van de nieuwste ontwikkelingen zonder heel de
architectuur in vraag te moeten stellen
– VB. De ingebouwde switch in decentrale I/O
De meeste leveranciers bieden de mogelijkheid om het
geïnstalleerde park op te waarderen naar de Ethernet architectuur

Voor uw aandacht
MerciDank U
Switch to Open solutions
Switch to Open solutionsSwitch to Open solutions

Ehterne TCP / IP

More Related Content

Viewers also liked (12)

Similar to Ehterne TCP / IP (20)

More from ie-net ingenieursvereniging vzw (20)

Ehterne TCP / IP