Série LUNA2000-215
12
so, čvc
31 Novinek

Referenční architektura pro OT sítě

Typografie
  • Nejmenší Malé Střední Velké Největší
  • Default Helvetica Segoe Georgia Times

Při navrhování OT (Operation Technology – výrobní část) sítě je důležité vybrat komponenty, které jsou určeny k tomu, aby zvládly podmínky prostředí i požadavky výrobní aplikace.

Například IT vybavení je obvykle umístěno v klimaticky kontrolovaném a bezprašném prostředí; jejich ventilátory by rychle selhaly, pokud by byly vystaveny horkému a prašnému prostředí OT. Tento neočekávaný výpadek může snadno stát více než úspory způsobené používáním komponent, které nebyly navrženy pro provoz v OT prostředí. Výběr komponent lze zjednodušit i tím, že vybrané prvky mají příslušné průmyslové certifikace pro provoz i průmyslovou bezpečnost podle normy IEC 62443.

Funkce síťových komponent, které se běžně vyskytují v celozávodních sítích OT, jsou popsány níže spolu s doporučenou nabídkou společnosti Siemens.

Switche

Existují dvě hlavní kategorie switchů – nekonfigurovatelné a konfigurovatelné. Nekonfigurovatelné switche nabízejí jednoduché připojení ethernetových zařízení s minimálními až skoro žádnými možnostmi konfigurace. Jejich nekonfigurovatelnost znamená, že funkce diagnostiky průmyslové sítě, zabezpečení a redundance sítě jsou nedostupné.
Z výše uvedených důvodů proto není doporučeno používat nekonfigurovatelné switche v páteřních průmyslových sítích. Konfigurovatelné switche však umožňují připojení a síťování ethernetových zařízení způsobem, který lze konfigurovat a monitorovat tak, aby vyhovoval potřebám sítě bezpečným způsobem. Mezi důležité funkce správy patří mechanismy redundance (RSTP, protokoly pro kruhové sítě atd.), bezpečnostní funkce (zakázání portů, filtrování MAC nebo IP a správa uživatelů) či segmentace sítě prostřednictvím VLAN. Kromě správy umožňují monitorovací funkce uživatelům přístup k diagnostickým informacím, které pomáhají při odstraňování nečekaných problémů a optimalizaci sítě. Doporučené konfigurovatelné switche a routery společnosti Siemens naleznete v produktových řadách kompaktních zařízení SCALANCE XC-200, XC-300 a XC-400 nebo v jejich variantách pro umístění v 19" rack rozvaděčích s označením SCALANCE XR-300 a XR-500.

Routery

Routery směřují síťový provoz mezi různými podsítěmi pomocí internetového protokolu (IP) a virtuálními lokálními sítěmi (VLAN). Segmentace sítě (pomocí VLAN a/nebo podsítí) je vysoce doporučena v celopodnikových sítích, protože vytváří různé bezpečnostní síťové buňky (cell-protection-concept), ke kterým lze přistupovat pouze pomocí routeru nebo firewallu. Routery umožňují komunikaci mezi různými podsítěmi a sítěmi VLAN, když jedna část sítě potřebuje komunikovat s odděleným segmentem sítě. Například nadřazený server může potřebovat přístup k mnoha různým výrobním linkám, které jsou segmentované – v tomto případě bude router nutný. Routery se doporučují a obecně vyžadují ve vyšších vrstvách celopodnikové sítě a nejčastěji jsou umístěny ve výrobní páteřní síti.
Doporučenými Siemens (Layer 3) switchi s možností routování jsou SCALANCE XC-400 a XR-500. Nově také varianty nových SCALANCE XC-300 a XR-300 při aktivaci licenčního klíče pro routing.
Více informací ohledně Siemens switchů a routerů získáte po kliknutí zde.

Firewally

Firewally se používají k omezení komunikace a přístupu do různých oblastí sítě. Firewall omezuje přístup tím, že se řídí sadou uživatelsky definovaných pravidel, která popisují povolenou komunikaci mezi konkrétními zařízeními (IP adresami) nebo segmenty (VLAN nebo podsítě) v síti. Většina firewallů může také fungovat jako router umožňující komunikaci mezi segmenty sítě a zároveň omezovat, které konkrétní IP adresy mohou mezi sebou komunikovat a které protokoly lze použít. Další běžně používanou funkcí je překlad adres neunikátně adresovaných segmentů sítě strojů pomocí Network Address Translation (NAT).
V celopodnikové síti firewally musí oddělovat OT a IT sítě a mezi různými buňkami/linkami a páteří pro ochranu zón a oblastí. Jen tak realizujete efektivně již zmíněný Cell protection Concept. Doporučené typy firewallů jsou následující.

MAC firewall (vrstva 2)
V částech sítě, kde je potřeba další ochrana v rámci podsítě IP, lze použít firewally na druhé vrstvě k omezení komunikace mezi zařízeními na základě MAC adres. Tato zařízení se obvykle nacházejí v části výrobního stroje. V nedávné době byly firewally vrstvy 2 nebo MAC většinou nahrazeny firewally vrstvy 3 kvůli snadnější správě v průběhu času. Pokud je zařízení vyměněno, může být nastaveno se stejnou IP adresou, ale pravděpodobně bude mít jinou MAC adresu, takže pravidla brány firewall vrstvy 2 by musela být revidována. Firewall třetí vrstvy se spoléhá na IP adresy, takže jeho pravidla by nepotřebovala revizi, pokud by bylo zařízení nahrazeno jinou MAC adresou, ale stejnou IP adresou. Mnoho firewallů může být firewallem na druhé i třetí vrstvě zároveň – je to věc konfigurace.

Stateful Inspection Firewall (vrstva 3)
Tato zařízení zkoumají každý paket, aby zjistila, zda splňuje předem definovaná kritéria pro povolenou komunikaci, která jsou definována pravidly založenými na IP adresách a portech TCP/IP. Tento typ firewallu bude často sloužit jako firewall zóny/oblasti a je umístěn mezi oblastmi produkční buňky a výrobní páteřní sítě..
Siemens firewally jsou schopny funkce vrstvy 2 i vrstvy 3. Doporučenými Siemens firewally jsou SCALANCE S615, SCALANCE SC-600. Vybraná zařízení SCALANCE SC622-2C a SC626-2C mají pak také specifické certifikace pro nasazení u strojů se safety požadavky.
Více informací ohledně Siemens firewallů získáte po kliknutí zde.

Referencni architektura pro OT site 2025 1

Malé OT sítě – propojení izolovaných/ostrovních systémů

Síť malé velikosti lze klasifikovat pomocí následujících kritérií:

  • méně než 50 koncových zařízení,
  • přerušení sítě nad výrobními buňkami bez zásadního finančního dopadu,
  • síť zahrnující až několik linek (skládající se z výrobních buněk) nebo malé výrobní linky.

Topologie

  • Kruhové sítě
    V buňce 1-1 se nachází kruhová síť. V automatizačních a OT sítích se doporučuje kruhová síť pro zvýšení odolnosti prostřednictvím redundance připojení při zachování rychlých časů obnovy v řádu milisekund.
    Nejběžnějším způsobem selhání je přerušení fyzického spojení, díky čemuž je kruhová redundance osvědčenou a efektivní metodou zvýšení odolnosti průmyslových sítí

  • Hvězdicové sítě
    Hvězdicová síť se nachází v produkční buňce 1-3, obvykle je méně efektivní než kruhová síť a nenabízí redundanci. To zavádí do sítě mnoho jednotlivých bodů selhání, mezi něž patří každý kabel, každé koncové zařízení a síťová zařízení agregující připojení.

  • Liniové sítě
    Liniová síť se nachází v produkční buňce 1-2. Síť s liniovou topologií nabízí nejnižší možnou úroveň odolnosti v síti díky vzájemné závislosti na zařízeních vyšší úrovně v liniové topologii. Pokud například selže první zařízení v řadě, pak všechna ostatní zařízení zapojená za ním ztratí spojení. Nedoporučuje se používat liniovou topologii, pokud je doba provozuschopnosti kritická.

Redundance
V OT síti existuje několik možností redundance, které zlepší odolnost v síti. Redundance není nutná ve všech situacích, ale důrazně se doporučuje u kritických připojení, která by v případě ztráty ovlivnila provoz.

  • Kruhová redundance je formou redundance připojení a běžně se používá v průmyslových sítích ke zmírnění ztráty fyzických spojení mezi zařízeními.
  • Virtual Router Redundancy Protocol (VRRP) lze konfigurovat pro redundantní komunikaci mezi samostatnými podsítěmi nebo VLANy, jako jsou spojení mezi produkční buňkou 1-1 a routery v produkčních páteřních routerech. V případě výpadku jednoho routeru nebo fyzického spojení bude zbývající funkční spojení detekováno a použito jako komunikační cesta. VRRP se konfiguruje v páru redundantních routerů – jako jsou firewally v produkční buňce 1-1, směrovače v produkční páteři a redundantní IT/OT firewally mezi produkční páteří a podnikovou sítí.

Referencni architektura pro OT site 2025 2

Střední sítě – propojování distribuovaných systémů

Čím jsou větší výrobní linky a existuje možnost rozšiřování vyvíjející se v průběhu času, zvýší se odpovídajícím způsobem požadavek na rozsah, kapacitu a služby požadované od OT sítě.
Středně velkou síť lze klasifikovat pomocí následujících kritérií:

  • více než 50 koncových zařízení,
  • kritický provoz, kde narušení sítě bude mít významný finanční dopad,
  • síť zahrnující více linek (skládající se z výrobních buněk) nebo středně velké zařízení.
    Výše zobrazená architektura střední referenční sítě bude stavět na klíčových konceptech architektury malé referenční sítě. Každý z klíčových aspektů uvedených níže je dodatkem nebo rozšířením aspektů zahrnutých v architektuře malé sítě.

Topologie

  • Kruhové sítě
    Vzhledem k tomu, že složitost a význam sítě neustále roste, měla by být více rozšířena přítomnost kruhových topologií, aby se dále zlepšila odolnost komunikace. To lze nyní vidět také v buňce 1-2 a ne jen v buňce 1-1.
    Implementace páteřního/agregačního kruhu sníží potenciální dopad selhání síťového zařízení dalším rozdělením spojení na úrovni produkční buňky mezi několik produkčních páteřních zařízení.

Redundance
Vzhledem k tomu, že složitost a význam sítě neustále roste, budou k udržení spolehlivého provozu nutné různé metodiky redundantní komunikace.

  • Jak je uvedeno výše u kruhových sítí, další vrstvy redundance zlepší celkovou odolnost sítě distribucí spojení mezi několik zařízení. Tím se sníží dopad na různé produkční buňky, který by mohl být způsoben poruchou zařízení.
  • V tomto měřítku je absolutně doporučeno implementovat RSTP nebo redundantní směrovací protokoly k dosažení:
    - redundantního připojení přes IT/OT firewally,
    - redundantního zapojení routerů core sítě / agregační vrstvy,
    - použití redundantní kruhové sítě v páteřní/agregační vrstvě,
  • V tomto měřítku se doporučuje implementovat:
    - redundantní spojení z vrstvy produkční buňky do vrstvy páteře/agregace.

Referencni architektura pro OT site 2025 3

Velké sítě – propojení více zařízení

Jak se operace rozšiřují do více zařízení v rámci výrobního závodu, rozsah, kapacita a služby požadované OT sítě se odpovídajícím způsobem zvýší. Velkou síť lze klasifikovat pomocí následujících kritérií:

  • více než 250 koncových zařízení,
  • kritický provoz, kde narušení sítě bude mít významný finanční dopad,
  • více zařízení ve výrobním závodu, z nichž každé se skládá z více výrobních linek, nebo z jednoho velkého výrobního zařízení.

Zobrazená architektura na obr. 4 velké referenční sítě bude vycházet z klíčových konceptů architektury malé a střední referenční sítě. Každý z klíčových aspektů uvedených níže je dodatkem nebo rozšířením aspektů zahrnutých v architektuře malých a středních sítí.

Topologie

  • kruhové sítě
    Vzhledem k tomu, že složitost a důležitost sítě neustále roste, měly by být kruhové topologie implementovány ve více vrstvách v produkční páteři. To je nyní vnímáno jako agregační kruhy 1 a 2.
    Odpovídající agregační kruhy individuálně sjednotí komunikaci pro několik výrobních buněk a linek. Agregační kruhy by se pak měly připojit k redundantnímu routovacímu kruhu, aby se dále zvýšila odolnost a snížily vzájemné závislosti výrobních oblastí.

Redundance
Vzhledem k tomu, že složitost a význam sítě neustále rostou, budou k udržení spolehlivého provozu nutné různé metodiky redundantní komunikace.

  • Jak je uvedeno výše u kruhových sítí, další vrstvy redundance zlepší celkovou odolnost sítě distribucí spojení mezi několik zařízení. Tím se sníží dopad na různé produkční buňky, který by mohl být způsoben poruchou zařízení.
  • Několik routerů umístěných v jednom nebo více páteřních kruzích efektivně řídí zatížení sítě v mnoha IP podsítích. To také poskytuje vyšší úroveň redundance v komunikaci vrstvy 3.
  • V tomto měřítku je absolutně doporučeno implementovat RSTP a redundantní routovací protokoly k dosažení:
    - redundantního připojení přes IT/OT firewally,
    - redundantního zapojení core routerů ve vrstvě hlavní páteřní sítě,
    - použití vícenásobných redundantních kruhů v agregační vrstvě.
  • V tomto měřítku se doporučuje implementovat:
    - redundantní připojení z agregační vrstvy k páteřní vrstvě,
    - redundantní spojení z vrstvy produkční buňky do agregační vrstvy.

Referencni architektura pro OT site 2025 4

Pro vyšší komfort správy průmyslových sítí doporučujeme využít vhodnou kombinaci softwarů SINEC, SINEC SECURITY a SINEMA RC.
Vzorové řešení dělení sítí pro výrobní automatizaci naleznete na portálu SIOS
https://support.industry.siemens.com/cs/ge/en/view/109802750

Neváhejte nás dále kontaktovat pro další diskuzi vaší sítě. Jsme tu pro vás!

Siemens, s.r.o.
Siemensova 1, 155 00 Praha
Tel.: +420 734 424 702
E-mail: Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.
www.siemens.cz/net

Bezplatný odběr časopisu

Chcete odebírat časopis ElektroPrůmysl.cz zdarma? Napište Vaše jméno a e-mail, poté klikněte na tlačítko odebírat.

Časopis vychází 1x měsíčně.
Unitronic

Aktuální číslo časopisu

ElektroPrumysl

ElektroPrůmysl.cz, červen 2025

Číslo je tematicky zaměřené na energetiku, trafostanice, transformátory, identifikační systémy a průmyslové značení.

OTEVŘÍT ČASOPIS KE ČTENÍ
Brady

Nadcházející webináře | kurzy

04 zář, 2025

18 zář, 2025

30 zář, 2025

21 říj, 2025

Zajímavé odkazy

Training services portal: jedna platforma – mnoho možností Využijte přístup ke školením s mnoha tématy, která jsou přizpůsobena Vašim potřebám. Na portálu najdete nabídku jak bezplatných, tak i placených kurzů, online nebo prezenčně, v češtině i v dalších jazycích.
Špičková termokamera se slevou 15% od GHV Trading Vytvořte z mobilního zařízení špičkovou termokameru pomocí modulu Hikmicro MINI X. Nyní se slevou 15% po kliknutí zde!
EPLAN Platforma 2025 Objevte výhody aktuální verze - Profesionální konstruktérské nástroje pro navrhování elektroinstalace
Decentralizovaná automatizace, žádná řídicí skříň Přejděte do praxe, decentralizujte, modularizujte, kombinujte technologie, jednejte efektivněji ve spotřebě energií, omezujte a zjednodušujte složitost a nacházejte chytrá řešení.
Retrofit

Oblíbené normy

Najdete nás na Facebooku