Vom klassischen Fischstäbchen bis hin zur fangfrisch gefrosteten Garnele: An zehn Hightech-Produktionslinien und mit mehr als 400 Mitarbeitenden produziert Greenland Seafood in Wilhelmshaven täglich rund 1,3 Millionen Fischmahlzeiten. Die Automatisierung spielt angesichts dieser Mengen eine zentrale Rolle. Deshalb haben sich die Verantwortlichen früh auf den Weg in Richtung Industrie 4.0 gemacht. Neben der verstärkten Erfassung und Nutzung von Daten aus dem Produktionsnetz bringt dieser Prozess auch eine zunehmende Ethernet-Vernetzung von Maschinen und Komponenten mit sich.
Weniger ist mehr – zumindest bei IP-Adressen
Bei allen Vorteilen bedeutet eine solche Fülle an vernetzten Einzel-Elementen jedoch auch: Im übergeordneten Produktionsnetzwerk werden irgendwann die IP-Adressen knapp. Joachim Gerken, Automatisierungstechniker am Standort Wilhelmshaven, rechnet vor: „Zum Beispiel die Produktionslinie für Fischstäbchen hat allein sieben oder acht Frequenzumrichter, dazu kommen zahlreiche weitere Komponenten. Hat jede eine eigene IP-Adresse, sind pro Linie gleich 20 bis 30 Adressen weg. Bei zehn Linien wären es dann schon 300.“ Das Produktionsnetz ist jedoch nur für maximal 255 IP-Adressen ausgelegt.
Eine komplette Umstellung oder Erweiterung des Produktionsnetzes wäre sehr aufwändig gewesen. Schnell war klar: „So geht es nicht, wir brauchen eine andere Alternative“, erinnert sich Gerken. Gemeinsam mit dem unabhängigen Antriebs- und Steuerungsspezialisten Schultz+Erbse wurde eine praktikable und zukunftssichere Lösung entwickelt: Die Komponenten einer Maschine oder ganzen Linie werden zu einem Maschinennetz zusammengefasst und über eine einzige IP-Adresse in das Produktionsnetzwerk eingebunden.
Segmentierung durch Maschinennetze
Das Maschinennetz arbeitet als LAN, das Produktionsnetz als WAN. Um die Schnittstelle zwischen beiden sicher zu realisieren, waren in der Vergangenheit komplexe und teure Firewall-Lösungen nötig. Seit 2015 bietet jedoch das Industrial NAT Gateway/Firewall Wall IE von Helmholz eine unkomplizierte Alternative: Sie schützt beide Netze, indem sie genau regelt, welcher Teilnehmer mit welchem Gerät Daten austauschen darf. Die Vorgaben können anwenderspezifisch definiert werden. Die Voraussetzung dafür schafft eine Paketfilter-Funktionalität.
Das bedeutet in der Praxis: „Wir sparen sehr viele IP-Adressen“, bringt Gerken den Vorteil auf den Punkt. Pro Linie sind dank der neuen Firewall nur noch höchstens drei IP-Adressen im Produktionsnetzwerk belegt: für die CPU, das Bedienfeld (HMI) und die Wall IE, hinter der das komplette Maschinennetzwerk liegt. Wenn CPU und HMI über eine gemeinsame Adresse laufen, sind es sogar nur zwei.
Sicherer und flexibler Zugriff
Als zusätzliche Besonderheit kann die Wall IE sowohl im NAT-Betriebsmodus als auch als Bridge eingesetzt werden. Im Bridge-Betriebsmodus agiert sie als Layer 2 Switch. Im Gegensatz zu normalen Switches ist jedoch auch in dieser Betriebsart eine Paketfilterung möglich. Mit dem Paketfilter lässt sich der Zugriff zwischen Produktionsnetzwerk und Maschine einschränken. Beispielsweise kann konfiguriert werden, dass nur bestimmte Teilnehmer aus dem Produktionsnetzwerk mit definierten Teilnehmern aus der Automatisierungszelle Daten austauschen dürfen. Andernfalls wird das Datenpaket zurückgewiesen.
