In einer neuen Fertigungshalle wollte Siemens Anlagen aus anderen Gebäuden und Werken in die bestehenden Produktions- und Geschäftsprozesse integrieren. Mit zentralen Servern im Datacenter sollten über 100 Systeme in der Produktion des eigenen Fürther Werkes verbunden werden – darunter die Steuerungen von vier SMT-Linien, THT-Löt- und Oberflächenveredelungsanlagen sowie PCs an diversen Montage- und Prüfplätzen. Teile davon arbeiten im Dreischichtbetrieb rund um die Uhr. „Über das Netzwerk werden Arbeitsaufträge für Maschinen und Anlagen, Arbeitsanweisungen für die Werker, aber auch Software-Updates und -Images für die Steuerungen verteilt“, so der Projektleiter aus dem lokalen IT-Team,
Michael Dorn. Zur Nachverfolgung der einzelnen Prozessschritte erfordern alle Prozessvorgänge mit interaktivem Datenaustausch zwischen Endgeräten und Servern erhöhte Verfügbarkeit und Leistungsfähigkeit. Teilweise bedarf es dabei Freigaben von zentraler Stelle, so dass Unterbrechungen der Kommunikation die Produktion stoppen würden. All das setzt eine hohe Zuverlässigkeit der Kommunikation voraus. Gleichzeitig steigen die Anforderungen an die Sicherheit weiter.
Um all dem gerecht zu werden, sollte das Produktionsnetzwerk in der neuen Fertigungshalle vom Rest des Standorts entkoppelt und in logische, an den Produktionsprozessen orientierte Segmente mit einer überschaubaren Anzahl von Teilnehmern unterteilt werden. Ziel ist es, Ausfälle durch eventuelle Störungen oder Attacken möglichst zu vermeiden. Als Sicherheitsmaßnahmen werden beispielsweise überlagerte Firewalls in einer durchgängigen Layer-3-Architektur sowie Zugangsbeschränkungen über Access-Control-Listen (ACLs) genutzt. Die Netzwerkarchitektur wurde mit eigenem Scalance-Produktportfolio umgesetzt, in enger Zusammenarbeit mit der hauseigenen Global Services Information Technology, der lokalen IT-Abteilung am Standort, und dem Siemens-Partner Atos Deutschland. „Für den Aufbau der Netzwerke konfigurierten und installierten wir die Scalance-Komponenten und nahmen das Gesamtnetz in Betrieb“, erzählt Dieter Müller, Projektleiter Managed Services bei Atos.
Dem Migrations-Projekt vorausgegangen war eine Analyse aller Clients durch Atos, um sicherzustellen, dass auch ältere Steuerungs- und Betriebssysteme Layer-3-fähig sind und über die IP-Adresse geroutet werden können. Insbesondere bei einigen Prüfsystemen mussten technische Restriktionen beachtet werden. Letztendlich ließen sich aber alle Systeme in die neuen Strukturen einbinden. „Das Scalance-Portfolio erfüllt alle Anforderungen im industriellen Umfeld und bot die passenden Komponenten für die Umsetzung der Netzwerklösung“, so Uwe-Armin Ruttkamp, Standortleitung in Fürth.
Abgesicherte Produktion
Das aktuelle Kommunikationsnetzwerk am Standort Fürth ist dreischichtig aufgebaut aus Core-, Distribution- und Access-Ebene. Zusätzlich zu vorhandenen Core-Routern im Campus-LAN und Hardware-Firewalls wurden auf der Distribution-Ebene räumlich getrennte zwei Switches Scalance XR528-6M installiert. Diese sind über redundante 10Gbit-Lichtwellenleiterringe miteinander verbunden und stellen einen erweiterbaren Produktions-Backbone dar. Die überlagerten Hardware-Firewalls trennen und reglementieren den Zugriff zwischen der Produktion und dem restlichen Netzwerk. Die Kommunikation der Produktions-VLANs wird ebenso durch die Firewalls kontrolliert.
Redundant an die beiden Scalance-Switches der Distribution-Ebene angebunden sind in Summe auch neun Switches Scalance XR324-12M mit mehreren Ports auf der Access-Ebene. Diese sind auf mehrere Geräteschränke in der Produktion verteilt und zu mehreren redundanten Ringen zusammengefasst. Über Patch-Felder sind daran die zu VLANs gruppierten Endgeräte in der Produktion angeschlossen. Über Cat.6-Kabel ist im Feld ein durchgängiges Gigabit-Ethernet realisiert.
Segmentierung folgt Fertigung
Das ursprünglich standortweite VLAN mit rund 150 Teilnehmern war nicht segmentiert und noch nicht redundant realisiert, wodurch sich Probleme bei der Layer-2-Kommunikation bis in die überlagerten Ebenen auswirken konnten. Das Netzwerk war noch nicht redundant realisiert, so dass Ausfälle einzelner Netzwerkkomponenten zu längeren Stillstandzeiten hätten führen können. Mit der Implementierung von Switches der Scalance-Serie wurde das Netzwerk für den Produktionsbereich vom übrigen Standort getrennt und den Anforderungen der Produktion folgend segmentiert. So gibt es dort jetzt rund 20 kleinere VLANs mit jeweils maximal elf Teilnehmern. Das erhöht die Bandbreite in den einzelnen Segmenten und damit die Übertragungsgeschwindigkeiten spürbar. Zusätzlich würden sich Störungen oder eventuelle Angriffe nur noch auf eine geringe Anzahl von Geräten auswirken. Die Verfügbarkeit der Anlage ist somit deutlich erhöht. Das Zusammenspiel von Hardware-Firewalls und den ACLs bietet erhöhten Schutz vor unautorisierten Zugriffen – sowohl von außen als auch zwischen den Produktions-VLANs.