Automatische Netzwerkvisualisierung
Transparenz für Industrienetzwerke
Netzwerk-Management-Systeme helfen, den Verwaltungsaufwand heterogener Industrienetzwerke zu minimieren: Sie erfassen und überwachen zyklisch alle Geräte und Verbindungen und dokumentieren deren Verfügbarkeit, lokalisieren Fehler etc. Die Systeme der kommerziellen IT eignen sich wegen spezieller Anforderungen nur bedingt oder bringen viele unnötige Funktionen mit. Worauf kommt es also beim Management von Industrienetzwerken an?
In den vergangenen Jahren hat sich das Einsatzgebiet von Ethernet in der Industrie erheblich vergrößert. Früher kam Ethernet hauptsächlich für Applikationen mit hohem Bandbreitenbedarf wie beispielsweise als Kommunikationsmedium zwischen zentralen Steuerungen und Bedien- und Beobachtungssystemen zum Einsatz. Heutzutage sind jedoch mithilfe spezieller Kommunikationsprotokolle wie Profinet (IEC 61158/61784) zusätzlich auch deterministische Steuerungsanwendungen bis in die Feldebene möglich. Im Vergleich zu einer Anlage mit Profibus (serieller Feldbus auf dem RS485-Schnittstellenstandard mit maximal 126 Teilnehmern und 1.200 Metern Reichweite pro Segment) ist eine Anlage mit Ethernet weder in der Anzahl der Teilnehmer noch in der räumlichen Ausdehnung eingeschränkt.
Neue Maschinenkonzepte gehen weg von Insellösungen hin zu vernetzten Anlagen, die - mit entsprechend sicheren Zugriffsfunktionen ausgestattet - sogar an das Firmennetzwerk und damit oft auch an das Internet angebunden sind. Diese Durchgängigkeit mit Ethernet ermöglicht eine Steuerung und Überwachung der gesamten Anlage bis hin zu den Peripheriegeräten und vereinfacht eine kontinuierliche Erfassung aller Produktionsdaten. Dank Industrial Ethernet und der gleichzeitigen Nutzung von Standard-IT-Anwendungen auf der gleichen Leitung sind moderne Prozess- und Fertigungsanwendungen viel effizienter und können flexibler auf wechselnde Marktanforderungen reagieren. Viele neue Innovationen in der Automatisierungswelt wurden aus der kommerziellen IT übernommen und an die Industrieanforderungen angepasst. Trotz der vielen erfolgreichen industriellen Anwendungen bringt Ethernet jedoch nicht nur Vorteile, sondern macht eine vernetzte Fertigung - insbesondere bei unternehmenskritischen Anwendungen - von deren durchgehenden Verfügbarkeit abhängig. Durch einen Netzwerkausfall können Geräte wie Steuerungen und Antriebe nicht mehr untereinander kommunizieren, und ein Maschinenbediener verliert mit seinem HMI/SCADA den Zugriff auf Prozess- und Diagnosedaten.
Statistisch gesehen sind Netzwerkkomponenten wie Switches nur zu einen geringen Anteil für Störungen und Ausfälle verantwortlich. Dennoch ist es sehr vorteilhaft, wenn man das Netzwerk von Anfang an als Fehlerursache ausschließen kann und dieses Wissen sogar zur Eingrenzung und Lokalisierung der eigentlichen Fehlerquelle nutzt. Genau für diesen Anwendungsfall setzen vor allem größere Firmen so genannte Netzwerk-Management-Systeme (NMS) ein.
Warum sind kommerzielle IT-NMS nur bedingt geeignet? Wer das Netzwerkdiagnosedilemma lösen möchte, findet sich einem recht breiten Markt von Produkten gegenüber und kapituliert oft an unüberschaubaren Lizenzmodellen. Die Palette von Netzwerk-Management-Lösungen reicht von kostenloser Open-Source-Software bis zu Enterprise-Management-Systemen der kommerziellen IT für mehrere hunderttausend Euro. Während die Klassiker der Enterprise-Management-Systeme wie IBM Tivoli oder HP Openview enormes IT-Personal bindet, sind die kostenlosen Tools aus dem Internet in der Fertigung oft nur bedingt einsetzbar.
Viele Funktionen, zum Beispiel die Überwachung von IT-Diensten wie E?Mail und Datenbanken, sind im direkten Industrieumfeld nicht nötg. Andere Funktionen können durch ihre Konfigurierbarkeit so komplex sein, dass selbst Experten, die täglich damit arbeiten, überfordert sind.
Das Netzwerk-Management, also die Diagnose, Verwaltung und Pflege der Infrastruktur wie zum Beispiel von Switches und Routern im Netz, ist traditionell eine Domäne der kommerziellen IT. Der Zusammenschluss des Industrial Ethernets mit dem restlichen Firmennetzwerk führt zwangsläufig dazu, dass deren IT-Abteilungen eingebunden sein müssen. Meist werden die direkt an das Firmennetzwerk angeschlossenen Industrial-Ethernet-Infrastruktur-Komponenten und die darüber laufenden IT-Dienste - wie etwa E?Mail - auch in das kommerzielle IT-NMS integriert. Diese Maßnahme, auch als Schutz vor unerlaubtem Eindringen in die Büronetzwerke, darf jedoch kein Ersatz für eine eigenständige Netzwerkdiagnose durch das Anlagenpersonal sein.
Dem kommerziellen IT-Personal fehlt oft das notwendige Wissen über die eigentlichen Automatisierungsanwendungen und das damit verbundene Bewusstsein über potenzielle - vor allem monetäre - Konsequenzen bei einem Geräteausfall. Fällt beispielsweise ein Switch oder nur eine wichtige Verbindungsleitung an einem zentralen Knotenpunkt aus, so kann dies zu einem Produktionsstillstand führen
Einzelne Fehler können zudem leicht in der Masse untergehen, denn kommerzielle IT-NMS überwachen nicht selten tausende von IP-Knoten, bestehend aus PCs, Servern, Druckern, Switchen, Access Points und Routern, auf einem einzigen zentralen Server. Je mehr Geräte pro System überwacht werden, desto länger sind in der Regel die Abfrageintervalle. Weiterhin sind die Antwortzeiten besonders bei zentralen oder gar ausgelagerten IT-Service-Abteilungen für kritische Industrieanwendungen viel zu lang. Aus Kostensicht liegen Welten zwischen einem blockierten E?Mail-Zugriff und einem Kommunikationsfehler in der Produktion.
Vor der Einführung eines industrietauglichen Netzwerk-Management-Tools sind nicht zuletzt aufgrund der Unterschiede zur kommerziellen IT bestimmte Kriterien für den Betrieb in der Automatisierung mit heterogenen Gerätelandschaften zu beachten.
Kriterien und Funktionsumfang für Industrie-NMS
Welche Kriterien für den Einsatz eines NMS in der Industrie notwendig sind, findet man durch die Beantwortung folgender Fragen:
Was sind die wichtigsten Aufgaben eines Industrie-NMS? Die Sicherung der Verfügbarkeit ist eines der wichtigsten Ziele der Produktionsverantwortlichen auf allen Ebenen, die im Rahmen ihrer Möglichkeiten mithilfe von geeigneten Werkzeugen wie einem Industrie-NMS Stillstände durch Netzwerkfehler - ohne die Hilfe der kommerziellen IT - erkennen, lokalisieren und beheben müssen.
Wer hat die Verantwortung für die Produktion? Je nach Aufgabengebiet gibt es im Produktionsbereich unterschiedliche Verantwortungen und Kenntnisse. So muss bereits ein Maschinenbediener mit der Systemdiagnose seines HMI/SCADA-Systems in der Lage sein, einfache Geräte- und Netzwerkstörungen in seinem Bereich zu beseitigen oder eine Störungsmeldung möglichst detailliert an die Instandhaltung weiterzuleiten. Der Instandhalter hat das notwendige Wissen über die eingesetzten Automatisierungssysteme, um diese wieder in Betrieb zu setzen. Instandhalter, die auch die Fertigungsnetzwerke mit Industrial Ethernet betreuen, müssen daher über Basis-Netzwerk-Know-how und eigene angepasste Werkzeuge verfügen. Die Hauptverantwortung in dieser Kette liegt jedoch auf der obersten Ebene beim Produktionsleiter, der meist erst später mit einem Tagesreport Auswirkungen erkennen und Maßnahmen zur Sicherung der Verfügbarkeit einleiten kann. Für den Nachweis der Netzwerkverfügbarkeit und zur Analyse von Problemen sind daher aussagekräftige Reports unverzichtbar.
Wer sind die Benutzer, welches Wissen haben sie und welche Fehler können auftreten? Kommerzielles IT-Wissen ist im Automatisierungsumfeld, wenn überhaupt, nur bei wenigen Personen vorauszusetzen. Daher benötigt man zur wirksamen Diagnose auch Werkzeuge, die überwiegend grafische Darstellungen verwenden und auf IT-Fachjargon verzichten.
Ferner müssen grundlegende Diagnoseinformationen auch in das Anlagen-HMI/SCADA-System des Maschinenbedieners integrierbar sein, um die folgenden Fehler erkennen zu können:
Ausfall eines Geräts,
Leitungsunterbrechungen,
Änderungen von physischen Verbindungen (Netzwerktopologie),
Ausfall einer redundanten Verbindung,
drohende Ausfälle von Netzwerkkomponenten, die sich beispielsweise durch hohe Port-Last ankündigen oder
doppelte IP-Adressen.
Welche Unterschiede im Netzwerkaufbau gibt es? Zur Erfüllung der industriellen Belange sind nicht nur die Ethernet-Komponenten an die raueren Umgebungsbedingungen, sondern auch die Netzwerktopologien an die vorherrschenden Maschinenkonzepte angepasst. So sind Industrial Ethernet Switches meist in einer Anlage weit verteilt, haben nur wenige Ports und werden je nach Anlagenkonzept außer in Sternstrukturen auch sehr häufig in Linien- und Ringstrukturen vernetzt. Ringstrukturen bieten eine hohe Ausfallsicherheit durch redundante Leitungen und nutzen sehr oft spezifische Redundanzverfahren.
Welche Geräte und Protokolle müssen unterstützt werden? In der Industrie hat man es zudem mit einer für Büroumgebungen untypischen Gerätelandschaft zu tun. So gibt es viele Spezial-Anwendungen auf PCs, Embedded-Systeme für Bedien- und Beobachtungsanwendungen (B und B), sowie speicherprogrammierbare Steuerungen (SPS), Peripheriegeräte, Antriebstechnik und Sensorik verschiedenster, oft wenig bekannter Hersteller, die man auch in das Industrie-NMS integrieren muss.
Glücklicherweise unterstützen viele der aufgezählten Geräte auch die Standard-IT-Protokolle wie ICMP (Internet Control Message Protocol), SNMP (Simple Network Management Protocol) und ARP (Address Resolution Protocol). Ausnahmen, wie beispielsweise DCP (Discovery Control Protocol) für Profinet-Geräte, bestätigen die Regel. Insbesondere im Low-Cost-Bereich kommen zur Anbindung von I/O-Daten auch so genannte "Unmanaged"-Geräte zum Einsatz. Diese reagieren nicht einmal auf einen einfachen "Ping" und sind zur Vollständigkeit dem System manuell bekannt zu machen.
Warum ist eine Visualisierung der Topologie so wichtig?
Die Visualisierung der Topologie, die die physikalische Verbindung von Switches mit Endgeräten wie Steuerungen, Antrieben und Peripheriegeräten auch grafisch darstellt, ist vielleicht das wichtigste Mittel, um Fehler im Netzwerk zu lokalisieren. Der Ausfall eines sich Geräts lässt damit sehr leicht bis auf den betreffenden Switchport zurückverfolgen. Ein NMS für die Industrie muss daher in der Lage sein, sämtliche Geräte und Geräteverbindungen auf Ebene 1 (Ebene1 des OSI-Referenzmodells beschreibt die elektrische und mechanische Übertragung zwischen an die Übertragungsanleitung angeschlossene Systeme) entweder mithilfe von Auto-Discovery-Mechanismen "auszulesen" oder notfalls per Hand zu integrieren.
Es gibt dabei unterschiedliche Quellen für Topologieinformationen, zum Beispiel die vom System bereits "gelernten" MAC-Adressen ("Media Access Control"-Adresse) aus der Bridge-MIB (Management Information Base). Bridge-MIBs sind in der Regel bei allen Switches vorhanden, die von Haus aus die Redundanz-Mechanismen wie STP/RTSP (Spanning Tree Protocol/Rapid Spanning Tree Protocol) oder zumindest die Funktion "Passive Listening" unterstützen.
Die Qualität der Topologieauswertung steht und fällt jedoch mit der Aktualität und der Vollständigkeit aller gelesenen Nachbarschaftsinformationen. So setzt die Methode über die gelernten Port-spezifischen MAC-Adressen im Switch voraus, dass über diesen Port auch regelmäßig kommuniziert wird. Es kann jedoch vorkommen, dass ein Switch trotz angeschlossener Geräte keine MAC-Informationen liefert. Gründe dafür sind, dass entweder die angeschlossenen Geräte nicht aktiv kommunizieren oder der Switch die letzten MACs nach Ablauf eines internen Timers gelöscht oder noch nicht aktualisiert hat. Mit der Verabschiedung des LLDP-Standards (Link Layer Discovery Protocol; IEEE 802.1AB) im Jahr 2005 gibt es ein zuverlässigeres Verfahren, das auch bei Profinet zur Nachbarschaftsermittlung eingesetzt wird: LLDP-Geräte im Netzwerk senden Informationen über sich selbst in periodischen Intervallen aus und empfangen gleichzeitig die Daten der direkten Nachbargeräte. Die Empfangsdaten sind Port-spezifisch in einer speziellen MIB (RFC 2922; Physical Topology MIB) in jedem Gerät abgespeichert und sind zur Auswertung von einem NMS über SNMP abfragbar.
Da man jedoch nicht davon ausgehen kann, dass stets alle Geräte eines Netzes diesen Standard unterstützen, sind Topologien mit LLDP allein nicht vollständig erkennbar. Hinzu kommt, dass einzelne LLDP-fähige Geräte sich nur gegenseitig erkennen, wenn sie auch direkt miteinander verbunden sind. Zur Vervollständigung des Topologiewissens sollte ein Industrie-NMS daher auch immer in der Lage sein, weitere Quellen wie die Bridge-MIB auszuwerten. Man muss jedoch immer dann Hand anlegen, wenn "Unmanaged"-Geräte im Einsatz sind oder wenn Daten aufgrund von Filtereinstellungen und andersartiger Implementierungen nur unvollständig auswertbar sind.
Netzwerkvisualisierung per Server-Software
Industrielle NMS wie etwa der Sinema Server Basic (Sinema = Simatic Network Manager) können Geräte und Topologien von Automatisierungsanlagen automatisch erkennen und vollständig abbilden. Sinema ist eine Web-basierende Monitoring-Software, mit der Produktionsmitarbeiter Netzwerke rund um die Uhr zentral überwachen können. Das Tool verfügt über einen Webserver, den bis zu zehn Anwender gleichzeitig per Fernzugriff mit einen Internet-Explorer- oder Firefox-Browser bedienen können. Mit der eigenen Benutzerverwaltung sind dargestellte Web-Inhalte und OPC-Daten (De-facto-Standard der OPC Foundation; www.opcfoundation.org) rollenspezifisch anpassbar. Ein Sinema-Administrator kann mit seinen Rechten sämtliche Informationen von beliebigen Punkten im Netzwerk in seinem Browser abrufen. Der Maschinenbediener sieht stattdessen nur die für ihn bestimmten Details.
Bei den Grundfunktionen, wie der Discovery-Funktion (Such- und Erkennungsmechanismus für Geräte und Topologien im Netzwerk), hat der Hersteller Siemens nicht versucht, "das Rad neu zu erfinden", sondern setzt zum Beispiel mit SNMP auf die bewährten Standarddiagnosemechanismen von kommerziellen IT-NMS, jedoch mit einem besonderen Augenmerk auf Industrial Ethernet und dessen Eigenheiten. Über eine Konsole kann ein Administrator festlegen, welche Discovery-Protokolle und Sicherheitseinstellungen das Tool verwenden soll. Die Software unterstützt gleichzeitig bis zu vier Netzwerkkarten und mehrere IP-Bereiche und Protokolle zur Identifikation, Überwachung und Alarmierung von Ethernet-Geräten.
Das Discovery erkennt automatisch die Topologie und den Status der Netzwerkteilnehmer und stellt die Daten wahlweise in Tabellen oder vordefinierten grafischen Topologieansichten dar. Der Anwender kann mit einem Referenzeditor eine Soll-Topologie inklusive der physischen Port-Verschaltung definieren und abspeichern. Sämtliche Unterschiede zu dieser Referenz oder Abweichungen vom Normalverhalten, wie etwa ein Geräteausfall oder eine überlastete Verbindung, sind durch Ampelfarben angezeigt und daher auch für Nicht-Experten leicht erkennbar.
Wer ein festes Abbild des eigenen Netzwerks mit einer Hintergrundsgrafik benötigt, kann dies selbst konfigurieren. Dazu legt man eine neue "Map" an und fügt das Bild und die zu überwachenden Geräte inklusive der "Unmanaged"-Geräte mit ihren Verbindungen per Hand ein. Die einzelnen Geräte lassen sich flexibel anordnen und schnell miteinander verbinden. Über eine Gerätedetailanzeige lassen sich weitere Zusatzinformationen der überwachten Netzteilnehmer anzeigen. Bei einem Switch oder Access Point sind dies beispielsweise Informationen über Geräteeinstellungen, Firmware-Stände und Bestelldaten sowie Details über LAN-Ports oder Funk-Interfaces.
Lesen Sie mehr zum Thema
