Ehterne TCP / IP

VIK16 Maart 2006

Ethernet TCP/IPHet universeeluniverseelcommunicatiesysteemvoor PLC ’s, I/O enalle randapparatuur

Johan CoolsMarketing Automation & Controle

Marketing Automation& Contrôle

Johan Cools 29-Maart-06

2

Ethernet TCP/IP, de universele communicatieInhoud

� De hoofdbekommernissen van de industrie

� Een oude droom wordt werkelijkheid, het universelecommunicatiesysteem Ethernet TCP/IP(TCP/IP = Transport controle Protocol, Internet protocol)

� De belangrijke industrieel Ethernet organisaties

� Standaard Ethernet + Web technologie biedt nieuwe mogelijkhedenvoor eindgebruikers en integratoren

� Wat met netwerkbeveiliging

� Real time: een rekbaar begrip

� Case op basis van Ethernet met Modbus TCP/IP en WEB baseddiagnose

� Conclusies



3

Ethernet TCP/IP, de universele communicatieDe hoofdbekommernissen van de industrie

� Het verbeteren van de competitiviteit

� Vermindering van de globale kosten

� Het verhogen van de productiviteit

� Verhoging van de bedrijfscontinuïteit van de installaties

� Verbeteren van de interne efficientie

� Optimaliseren van de relatie met leveranciers en klanten

� Voortdurend de kwaliteit verbeteren,

� Het verkorten van de “Time to Market”

� Flexibiliteit verhogen

� Werken met partners daar waar nodig

� Virtueel simuleren en valideren alvorens in dienst te stellen



4


� Het verbeteren van de competitiviteit door vermindering van de globalekosten

� Vermindering van de kosten voor het beheer en onderhoud van deinstallaties

– Vermindering van het aantal technologiën

� Een efficienter energiebeheer– Vermindering van het electriciteitsverbruik

– Bewaking van de kwaliteit van de energie

� Het verhogen van de productiviteit door een verbeterdebedrijfscontinuïteit van de installaties

� Verkorten van de uitvaltijden en sneller kunnen beslissen– Hogere betrouwbaarheid door vermindering van het aantel interfaces

– Betere beschikbaarheid van de gegevens

� Optimaliseren van de relatie met leveranciers en klanten

� Voortdurend de kwaliteit verbeteren,



5


� Het verkorten van de “Time to Market”

� Flexibiliteit verhogen

– Automatiseringsarchitecturen op een snelle wijze kunnen aanpassen zonder de installaties te

moeten stilzetten

� Werken met partners wanneer de nodige interne competentie afwezig is

– Steeds werken met Open systemen en universele technologiën

� Virtueel simuleren en valideren alvorens in dienst te stellen,

Beschikbaarheid van gegevens verhogen

Het aantal technologiënverminderen

Gebruik van Open en universele technologiën



6

Ethernet TCP/IP, de universele communicatieEen oude droom wordt werkelijkheid

� De automatiseringsarchitectuur van de jaren 90

3 3 verschillende netwerkniveau’sverschillende netwerkniveau’s

Masterpact LV ACB

Site Server Client

SCADA Zonecontroller



ClientClient

PLC PLC

LocaleHMI

LocaleHMI

LocaleHMI

Controle netwerk

EthernetEthernet

Veld

bu

s

AS-interface

Controle netwerk

Veld

bu

s

Veld

bu

s

DriveDecentrale I/O

Decentrale I/O

Decentrale I/O

Sepam MV Relay

Power LogicCircuit Monitor

Decentrale I/O

Drive

� Vele interfaces

� Geen data transparantie

� SCADA is de “bottleneck”

� Verschillendecommunicatietechnologiën diemoeten onderhouden worden



7


� De automatiseringsarchitectuur van de jaren 2000

Masterpact LV ACB

Site Server Client




ClientClient

PLC PLC

LocaleHMI

LocaleHMI

LocaleHMI

EthernetEthernet

Veld

bu

s

ASi

Veld

bu

s

Veld

bu

s

Dive

DriveDecentrale I/O

Decentrale I/ODecentrale I/O

Sepam MV RelaisPower LogicCircuit Monitor

Decentrale I/O

Ethernet Ethernet

Ethernet TCP/IP Ethernet TCP/IP daalt af daalt af tot op tot op hethet

controleniveau tussen controleniveau tussen PLC’sPLC’s

� Migratie van de architectuurnaar 2 netwerken

� Eenvoudige en goedkopelokale & “remote” toegangvia een Web browser(onderhoud, diagnose)

� Verdeel de Informatiebeschikbaar oververschillende Web serversop PLC’s,==> geen “bottlenecks”



8


� De automatiseringsarchitectuur van de komende jaren

Ethernet TCP/IP Ethernet TCP/IP alsals universeeluniverseel

communicatienetwerkcommunicatienetwerk

� Dezelfde communicatietechnologie opalle niveau’s

� Traditionele SCADA wordt gecombineerdmet Web technologie.

� Eliminatie van de interfaces



9


� De verschillende veldbussystemen

N bitsin N x ms

N Woordenin N x 10ms

N x 10 Woordenin N x 10ms

Bestandenin N x Sec

Bits Bytes Words Files

DeviceIn

terb

us S

Pro

fib

us D

P

Lo

nW

ork

s

Pro

fib

us P

A

Pro

fib

us F

MS

Devic

eN

et

FIP

IO

MB

+ D

IO

Sensor

AS

I

Seri

ple

x

Sen

so

rlo

op

Mo

dB

us/U

nit

elw

ay

Field

Fie

ldb

us

Fo

un

da

tio

n

Co

ntr

olN

et

FIP

WA

Y

MB

Plu

s

Data

ET

HW

AY

/MM

S

Eth

ern

et

TC

P/I

PM

MS

E

Ethernet TCP/IP



10

Belangrijke actoren in Industrieel EthernetMarktstudie van ARC mei 2005

26% Modbus TCP

25.4% EtherNet/IP

2.9% Fl-Net

2.1% FF-HSE

2% PROFInet

� Aantal verkochte nodes per Industrieel Ethernet protocol



11

Belangrijke actoren in Industrieel Ethernet

� De EthernetIP technologie wordt beheerd door de ODVA enControlNet International organisaties

� EthernetIP gebruikt het CIP protocol (Common Industrial Protocol)

� EthernetIP is niet enkel gebaseerd op Ethernet technologie,het gebruikt de standaard Ethernet technologie

� EthernetIP gebruikt standaard switches en is eenvoudig teintegreren met het bestaande Ethernet netwerk

� Diensten

� Impliciete Real time I/O via UDP, data tussen PLC’s via TCP

� Expliciete communicatie via TCP

� CIPsync voor motion toepassingen, via een VLan

� Transparantie naar DeviceNet en ControlNet apparaten

� EthernetIP is bestemd voor alle automatiseringsapparaten



12

Belangrijke actoren in Industrieel Ethernet

� PROFIBUS International is de organisatie die de Profinet ende Profibus technologiën beheert

� Profinet is op Ethernet gebaseerde Automation technologie

� Opsplitsing in twee technologiën

� Fieldbus based, Ethernet Based

� 1 Open TCP/IP channel

� Parametrering, Diagnosedata, netwerkbelasting

� Onderhandeling en setup van het kanaal voor processdata

� 2 Real-time channel RT

� Transfert met hoge performantie

� Cyclische en event gestuurde data

� 3 Real-time channel IRT

� via specifieke ASIC, gericht naar motion toepassingen

� Integratie van Profibus apparaten op Profinet



13

Belangrijke actoren in Industrieel EthernetModbus TCP/IP

� Modbus-IDA is de internationale organisatie die deModbus TCP/IP en Modbus RTPS (Real Time Publisher

Subscriber) protocols beheert

* IANA= Internet Assigned Numbers Authority

�PLC�I/O

�HMI�RFI

�iPC�Drives

�Databases�Ventieleilanden�...

� De IANA* kende poort 502 toe aan Modbus TCP/IP

� Elke applicatie of device die poort 502 gebruikt, isverplicht van met het Modbus TCP/IP protocol te werken

� Modbus TCP/IP heeft dezelfde status als elk andervast Ethernet protocol( vb HTTP, SMTP, …)

� Modbus TCP/IP en Modbus RTPS maken gebruik vanstandaard Ethernet en is volledig compatibel met alleandere Ethernet toepassingen

� Modbus TCP/IP is transparant naar de miljoenengeïnstalleerde Modbus RS485 componenten

� Beide protocols werden erkend als Real time Ethernetbinnen IEC SC65C

� Het zijn vrije Ethernet protocols zonder copie-rechten



14

Ethernet TCP/IP + WebtechnologieNieuwe mogelijkheden voor eindgebruikers en integratoren

� “Real time” gegevensgegevens zijn beschikbaar voor iedereen binnen deonderneming, vanuit een standaard web-browserweb-browser

� productie, onderhoud, kwaliteit, klanten, leveranciers…

� diagnose van applicatie en het netwerk

�� Onderhoud Onderhoud vanop afstand wordt eenvoudig en goedkoopgoedkoop :

� via de bestaande netwerkinfrastruktuur.

� “Real time” datadata kan op eenvoudige manier gedeeld worden tussen de

procesomgevingprocesomgeving en de ITIT omgeving

� bureautica-omgeving, ERP en MES systemen

* ERP =

“Enterprise Resource planning”

Globale planning / logistiek

**MES=

“ Management Excecution System”

Management systeem voor productie

onderhoud, kwaliteit en logistiek

� Door te kiezen voor een universeel communicatienetwerk blijft U

onafhankelijkonafhankelijk van de merkgebonden oplossingen :

� technologiën evolueren en nieuwe producten worden beschikbaar,

� bij aanpassingen moet heel de architectuur niet in vraag gesteld worden.

� Talloze beveiligingsoplossingenbeveiligingsoplossingen zijn beschikbaar op alle niveau’salle niveau’s :

� de juiste beveiliging tegen een bepaald risico.



15

Ethernet TCP/IP + WebtechnologieVb. met “Transparent ReadyTM ” van Schneider Electric

SNMPSNMP RTPSreal time

NTPNTP DHCPDHCP TFTPTFTP FTPFTP HTTPHTTP

NetworkNetwork

MangtMangt

GlobalGlobal

datadataTimeTime

SynchronisationSynchronisation

UDPUDP

Layer Ethernet II & 802.3Layer Ethernet II & 802.3

IPIP

SMTPSMTP

FaultyFaulty

Device replacementDevice replacementWebWeb

servicesservicese-m@e-m@ilil

TCPTCP

openopen

Sav

e E

the

rne

tS

av

e E

the

rne

t

MesMes--

saging saging I/OI/O

Scanner Scanner

MODBUSMODBUS

TCPTCP

Network

Transport

ApplicatieProtocol

Dienst

OSI Layer

Beheer

van h

et netw

erk

via

sta

ndaard

tools

Synchro

nis

atie v

an

PLC

toepassin

gen

Synchro

nis

atie v

an

datu

m e

n u

ur

Eenvoudig

e v

erv

angin

g e

n c

onfigura

tie

van d

efe

cte

appara

tuur

Weerg

ave,inste

llingen,

configura

tie v

ia

inte

rnet explo

rer

E-m

ail

op e

vent m

et

bijh

ore

nde r

eal tim

e d

ata

Andere

specifie

ke

pro

tocols

in T

CP

/IP

Genorm

alis

eerd

veili

gheid

spro

tocol

Modbus c

om

munic

atie

via

pro

gra

mm

a

Real tim

e M

odbus T

CP

/IP

via

configura

tie

LinkPhysical



16

Ethernet TCP/IP + WebtechnologieReal time gegevens via standaard Web browser

� Door inbouwen van Webservers kunnen vanop eender welkeplaats gegevens opgevraagd en gestuurd worden

� productiegegevens

� gegevens ivm. onderhoud

� Informatie voor leveranciers,klanten

� “Real time” gegevens rechtstreeks vanuit het apparaat :– PLC’s , drives, I/O, HMI, …



17

Ethernet TCP/IP + WebtechnologieVolledige diagnosemogelijkheden met standaard tools

Machine

operator

OnderhoudsploegNetwerk

verantwoordelijke

� Van het netwerk, van de apparaten en van de applicatie



18

� Diagnose van het Netwerk


� Dit kan via standaard SNMP (Simple Network Management protocol)

informatica-tools wanneer de aangesloten apparatuurin zijn protocolstack de SNMP bibliotheek bevat

– PLC’s, I/O, … worden herkend en beantwoorden de diagnose

requesten van standaard informatica - tools

� Systeemdiagnose via Web-browser

� Beschikbare bandbreedte van de Ethernetverbindingen



19

� Systeemdiagnose via Web-browser

� Toestand van het apparaat


� Toestand van een gebruikte Ethernet dienst– vb. I/O SCANNING VIA MODBUS TCP/IP



20

� Automatisch toekenning van IP adres

� Via bestaande protocols (DHCP, BootP)(Dynamic Host Configuration Protocol, Bootstrap Protcocol)

� Op basis van het MAC adres(Medium Acess Adress, Uniek Ethernet adress voor elke Ethernet component)

� Op basis van een “Rollname”

� Eventueel inclusief de configuratie van het vervangenapparaat

– vb. Snelheidsregelaars

Ethernet TCP/IP + WebtechnologieEenvoudig onderhoud

Rolname

IP Adres &

parameters

3. Verkrijgenvan IP adres eneventueel deconfiguratie

2. Apparaatvervangen

defect

4. RUN

1. Ingeven van« rolname »

� Vergt geen tussenkomst van technieker metinformatica-kennis

� verkorting van de uitvaltijd

� snellere indienstname



21

Ethernet TCP/IP + WebtechnologieEenvoudig onderhoud vanop afstand

�Automatiseringsgedeelte

� Specifieke LAN

� IP filtering functies van de PLC’s

Modem�“Remote” toegang via modem

� Punt-tot-punt verbinding

� RAS(Remote Access Server) die de

beveiliging beheert

RAS Server

� Intranet / bedrijfsnetwerk

� Router als beveiligingsmanager

� “

Ethernet TCP/IP voor het Intranet

Router

Firewall

Internet

Specifieke verbinding

�“Remote” toegang Via Internet

� Internet provider is vereist

� “Firewall” voor beveiliging

(VPN is beschikbaar)(VPN = Virtual Private Network)

� Router zorgt voor extra beveiliging

Ethernet TCP/IP voor het automatiseringsgedeelte



22

Ethernet TCP/IP + WebtechnologieMeer mogelijkheden voor koppeling met ERP

� Via de actieve Web servers

� Doorsturen van applicatie-meldingen naar internet browsers– Visualiseren en bevestiging van meldingen afkomstig van de PLC applicatie

E-mail

HMI HMI

� Direct versturen van event gestuurde Emails– Onafhankelijk van de PLC toepassing (geen invloed op PLC scantijd)

– De Email kan tekst en dynamische PLC variabelen + hyperlinks bevatten.

� Aansturen en beheren van databases op IT niveau

– Directe logging via eenvoudige configuratie naar een relationele database (PUSH DATA)

– VB. Traceerbaarheid van gegevens

– SQL server, Oracle, MySQL

– Nauwkeurige realtime data vanuit de PLC



23


� Toegang tot data via OPC clients

� Toegang tot de gegevens vanuit een OPC client toepassing

� Evolutie van COM/DCOM naar Web services

en het gebruik van SOAP protocol op http– SOAP = Simple Object access protocol



24


Actieve Web beelden

Actieve Web beelden

DatabaseconnectieDatabaseconnectie

E-mailnotificatie

E-mailnotificatie

Diagnose en bewaking

Diagnose en bewaking

Data-acquisitieen datering

Data-acquisitieen datering

Receptenbeheer

Receptenbeheer

SOAP/XMLWeb servicesSOAP/XML

Web services

Serveur Web actif

Thin Client

� Geen “bottleneck” via SCADArechtstreeks van server naarclient

� Evolutie naar Web Services

� SOAP/XML

� Receptenbeheer

� Actieve Web beelden



25

Ethernet TCP/IP + WebtechnologieWat met netwerkbeveiliging

� Door gebruik van een universeel communicatienetwerk in hetdomein van de automatisering, worden heel wat technischeopstakels geëlimineerd om toegang te verkrijgen tot het apparaat

Het is dus absoluut nodig de apparatuur te

vrijwaren tegen ongewenste toegang

Door de netwerktransparantie geldt dit niet

alleen voor de automatiseringsprotocols

maar voor alle Ethernet protocols

(FTP, SNMP, SMTP, …)

De bestaande netwerkbeveiliging beschermt

ook het Automation gedeelte

Het is niet omdat men dezelfde techologie

gebruikt, dat men fysisch verbonden is met

de buitenwereld



26

� Beveiliging kan op verschillende niveau’s

Ethernet TCP/IP + WebtechnologieWat met netwerkbeveiliging

� Tussen automatiserings en bedrijfsnetwerk

� Via een Router die geconfigureerd wordt alstoegangsadministrator

� Filtering op een zone IP adressen voor welbepaaldepoorten

� Binnen de automatiseringscel

� Zelfde risico ’s als bij standaard veldbussystemen

� Paswoorden voorzien op elke toepassing (PLC, PC ’s, …)

� Evolutieve paswoordenpolitiek vastleggen

� De IP filtering gebruiken op de PLC ’s

� Tegenover de buitenwereld

� Via een firewall , filtering op de toegangspoorten

� Via VPN verbinding

� Via de RAS server (RAS= Remote acess Server)



27

Ethernet TCP/IP + WebtechnologieNetwerkbeveiliging : bij Internetverbinding

� Onmogelijk van 0% risico te verkrijgen, doch een zekereen goed beveiligde Internetverbinding is mogelijk

� Beveiligde Internetverbinding via de Fire Wallvan het bedrijf

– Voor alle bedrijfstoepassingen

– Filtering op de poorten : Modbus TCP/IP (502), HTTP (80), FTP(21) en

de tijdelijke poorten 1024 tot 4999)

� Beveiligde Internetverbinding via VPN(Virtual Private Network)

– onafhankelijk van het Internet (m.a.w. tussen twee sites van hetzelfde

bedrijf)

– ook gestuurd via de Fire-wall van het bedrijf

� Nog meer beveiliging via de router op niveau van hetautomatiseringsnetwerk



28

Ethernet TCP/IP + WebtechnologieNetwerkbeveiliging :bij toegang via RAS server

Modem

RAS

Internet

��

� De RAS server beperkt zelf de risico ’s :

� Toekennen van een geheim telefoonnummer

� Identificatie via gebruikersnaam en paswoord

� Eventueel kan teruggebeld worden naar de opbeller

� Kan geïntegreerd zijn met een router of eventueel een Fire-Wall

� De risico ’s zijn zeer beperkt wanneer de RAS server op een onderliggend netwerk van het bedrijfsnetwerk wordt geplaatst

� Verbinding via een RAS* server

� Punt tot punt verbinding (is niet via internet)

� Via Internet (via Internet provider)

* RAS = Remote Acces server



29

Ethernet TCP/IP + WebtechnologieNetwerkbeveiliging : verbinding op het bedrijfsintranet

� Deze verbinding gebeurt via een router diegeconfigureerd wordt als toegangsadministrator

� Hierdoor verkrijgt men een aanvaardbare beveiligingtussen automatiseringsnetwerk en het bedrijfsintranet

� Filtering op de IP adressen

� Filtering voor clients en servers op decommunicatiepoorten

– vb toegelaten zijn IP adressen 102.12.12.1 tot 102.12.12.99 op

de Modbus TCP/IP poort (502) en de HTTP poort (80)

Compatible IBM Compatible IBM

intranet

“Fire-wall”

Hub/switch Hub/switch Hub/switch

router

Beveiligde automatiseringscel

internet

� Voor en nadelen

☺ Verbinding via een standaard product

☺ Enkel de toegelaten IP adressen kunnen communiceren

☺ Alle acties kunnen geregistreerd worden

Toegang tot alle diensten op een poort ofwel geen toegang

Dynamische toekenning van adressen moet beheerd worden om compatibelte zijn.

� Geen beveiliging tegen het onrechtmatig gebruik van IP adressen !Dit is enkel mogelijk via een algemene veiligheidscode binnen deonderneming ( zoals bij het onrechtmatig gebruik van e-mail adressen)



30

� Door gebruik van standaard Ethernet TCP/IP in deautomatisering, vallen vele technische obstakels weg omtoegang te verkrijgen tot verschillende apparaten

� Hierdoor is het aangewezen om de geautomatiseerdesystemen te beveiligen tegen ongewenste toegang(zowel intern als extern)

� Het beheer van de risico ’s situeert zich op drie niveau ’s :

� Tegenover de buitenwereld

� Tussen het automatiseringsintranet en het bedrijfsintranet

� Binnen de automatiseringscel

� Er zijn heel wat mogelijkheden voorhanden

� Het beheer van de veiligheid zal altijd een compromis zijntussen risico ’s, kosten en gebruiksconfort

Ethernet TCP/IP + WebtechnologieNetwerkbeveiliging : conclusies



31

Ethernet TCP/IP, de universele communicatie”Real time”: een relatief begrip

Controle & device Pure „Real Time“IT Communicatie

Messaging

I/O scanning

Gesynchroniseerde MotionPeriodieke Data

TCP/IP traffic

Real Time traffic

10µs1ms100ms 10ms1s 100µs

Soft “Real Time” Hardware “Real Time”Geen “Real Time”

Specifieke Specifieke hardwarehardware

voorvoor < 10% van de < 10% van de

toepassingentoepassingen

StandaardStandaard Ethernet Ethernet

voorvoor > 90% > 90%

van de van de toepassingentoepassingen

Eth

erN

et/

IP

Pro

fin

et

IT

Mo

db

us T

CP

Pro

fin

et

IRT

Eth

erc

at

Eth

erN

et/

IP

CIP

Su

nc

Serc

os III

Po

werl

ink

ManagedManaged

Gebruik van standaard Ethernet TCP/IP stack

Compatibel met andere TCP/IP applicaties

Gebruik van standaard switches

Eth

erN

et/

IP

Pro

fin

et

Real ti

me

Mo

db

us T

CP



32

Ethernet TCP/IP, de universele communicatieCase: Koelinstallatie voor fruit (peren)

Te

ch

nis

ch

lo

kaal

TS

X P

rem

ium

+ F

ire

wa

ll

Koelcel 3

Ko

elc

el 1

Ko

elc

el 2

Koelcel 6Koelcel 7

Koelcel 10Koelcel 11



Koelcel 22

Platte grond gebouw met koelcellen

Ethernet TCP/IP met Modbus Protocol

VPN Verbinding

naar dispatching

(Virtual Protected network)

Verdeelbord met

Energiemeting



33

Ethernet TCP/IP, de universele communicatieConclusies

� Standaard Ethernet TCP/IP + Webtechnologie in de automatiseringbieden nieuwe perspectieven voor programmeerbare sturingen

� Betere toegankelijkheid van de processgegevens

� Gebruik van de dagelijkse informaticadiensten voor betereefficientie

� Onderhoud vanop afstand wordt goedkoper

� Door te kiezen voor een universele communicatietechnologie, bent

u vendor u vendor onafhankelijkonafhankelijk

� U kiest de beste producten van elke leverancier

� U geniet van de nieuwste ontwikkelingen zonder heel dearchitectuur in vraag te moeten stellen

– VB. De ingebouwde switch in decentrale I/O

� De meeste leveranciers bieden de mogelijkheid om hetgeïnstalleerde park op te waarderen naar de Ethernet architectuur

Voor uw aandachtMerci Dank U

Switch to Open solutions

Switch to Open solutionsSwitch to Open solutions

Ehterne TCP / IP

Engineering

Transcript of Ehterne TCP / IP