Vom klassischen Fischstäbchen bis hin zur fangfrisch gefrosteten Garnele: An zehn Hightech-Produktionslinien und mit mehr als 400 Mitarbeitenden produziert Greenland Seafood in Wilhelmshaven täglich rund 1,3 Millionen Fischmahlzeiten. Die Automatisierung spielt angesichts dieser Mengen eine zentrale Rolle. Deshalb haben sich die Verantwortlichen früh auf den Weg in Richtung Industrie 4.0 gemacht. Neben der verstärkten Erfassung und Nutzung von Daten aus dem Produktionsnetz bringt dieser Prozess auch eine zunehmende Ethernet-Vernetzung von Maschinen und Komponenten mit sich.
Weniger ist mehr – zumindest bei IP-Adressen
Bei allen Vorteilen bedeutet eine solche Fülle an vernetzten Einzel-Elementen jedoch auch: Im übergeordneten Produktionsnetzwerk werden irgendwann die IP-Adressen knapp. Joachim Gerken, Automatisierungstechniker am Standort Wilhelmshaven, rechnet vor: „Zum Beispiel die Produktionslinie für Fischstäbchen hat allein sieben oder acht Frequenzumrichter, dazu kommen zahlreiche weitere Komponenten. Hat jede eine eigene IP-Adresse, sind pro Linie gleich 20 bis 30 Adressen weg. Bei zehn Linien wären es dann schon 300.“ Das Produktionsnetz ist jedoch nur für maximal 255 IP-Adressen ausgelegt.
Eine komplette Umstellung oder Erweiterung des Produktionsnetzes wäre sehr aufwändig gewesen. Schnell war klar: „So geht es nicht, wir brauchen eine andere Alternative“, erinnert sich Gerken. Gemeinsam mit dem unabhängigen Antriebs- und Steuerungsspezialisten Schultz+Erbse wurde eine praktikable und zukunftssichere Lösung entwickelt: Die Komponenten einer Maschine oder ganzen Linie werden zu einem Maschinennetz zusammengefasst und über eine einzige IP-Adresse in das Produktionsnetzwerk eingebunden.
Segmentierung durch Maschinennetze
Das Maschinennetz arbeitet als LAN, das Produktionsnetz als WAN. Um die Schnittstelle zwischen beiden sicher zu realisieren, waren in der Vergangenheit komplexe und teure Firewall-Lösungen nötig. Seit 2015 bietet jedoch das Industrial NAT Gateway/Firewall Wall IE von Helmholz eine unkomplizierte Alternative: Sie schützt beide Netze, indem sie genau regelt, welcher Teilnehmer mit welchem Gerät Daten austauschen darf. Die Vorgaben können anwenderspezifisch definiert werden. Die Voraussetzung dafür schafft eine Paketfilter-Funktionalität.
Das bedeutet in der Praxis: „Wir sparen sehr viele IP-Adressen“, bringt Gerken den Vorteil auf den Punkt. Pro Linie sind dank der neuen Firewall nur noch höchstens drei IP-Adressen im Produktionsnetzwerk belegt: für die CPU, das Bedienfeld (HMI) und die Wall IE, hinter der das komplette Maschinennetzwerk liegt. Wenn CPU und HMI über eine gemeinsame Adresse laufen, sind es sogar nur zwei.
Sicherer und flexibler Zugriff
Als zusätzliche Besonderheit kann die Wall IE sowohl im NAT-Betriebsmodus als auch als Bridge eingesetzt werden. Im Bridge-Betriebsmodus agiert sie als Layer 2 Switch. Im Gegensatz zu normalen Switches ist jedoch auch in dieser Betriebsart eine Paketfilterung möglich. Mit dem Paketfilter lässt sich der Zugriff zwischen Produktionsnetzwerk und Maschine einschränken. Beispielsweise kann konfiguriert werden, dass nur bestimmte Teilnehmer aus dem Produktionsnetzwerk mit definierten Teilnehmern aus der Automatisierungszelle Daten austauschen dürfen. Andernfalls wird das Datenpaket zurückgewiesen.
Für Praktiker wie Gerken und seine Kollegen heißt das: „Wir können genau bestimmen, in welchem Umfang jemand von außen Zugriff auf das Maschinennetzwerk erhält – und das durch einen einfachen Klick im System.“ Das erhöht die Cybersecurity, denn für das Maschinennetzwerk besteht damit ein zusätzlicher Schutz über die Firewall des Produktionsnetzes hinaus. Gleichzeitig bietet diese Funktion praktische Vorteile, etwa bei Fehlerbehandlung und Wartung. Mit entsprechender Zugriffsberechtigung kann auch der Hersteller der Maschinen gezielt auf einzelne oder alle Bereiche des Maschinennetzwerks zugreifen.
Adressübersetzung und Kompatibilität
Ein weiterer Vorteil: Bei bestehenden Anlagen sind bereits gewisse IP-Adressen vergeben, die jedoch nicht vom Produktionsnetzwerk gelesen werden können, da es sich um unterschiedliche Adressbereiche handelt (External IP/Internal IP). Mit der Wall IE kann der Nutzer über die externe IP ganz einfach die entsprechende interne Adresse anpingen. Im Router-Betriebsmodus unterstützt die Wall IE die NAT-Funktionalitäten Basic NAT und NAPT.
Greenland Seafood nutzt Basic NAT, auch als 1:1 NAT bekannt. Damit ist die Übersetzung sowohl von einzelnen IP-Adressen als auch von ganzen Adressbereichen möglich. Die Übersetzung geschieht ausschließlich auf IP-Ebene, wodurch alle Ports ohne explizite Weiterleitungen angesprochen werden können. Alle Adressen der Maschine oder Linie werden in eine einzige Adresse des Produktionsnetzwerks übersetzt. Die Absender-Adressen von Paketen aus der Automatisierungszelle werden durch diese ersetzt.
Praxiseinsatz und Nachrüstung
Inzwischen setzt Greenland Seafood seit rund vier Jahren auf das Industrial NAT Gateway/Firewall Wall IE von Helmholz. Das Unternehmen gehört damit zu den ersten Anwendern der damals neuen Technologie. Seitdem hat sich das System vielfach bewährt, auch in der Bedienung, wie Gerken berichtet: „Inzwischen ist das wirklich kinderleicht. Man muss definitiv kein Programmierer sein, um die Wall IE im Betriebsalltag zu nutzen. Und bei Fragen haben wir auch immer gute Unterstützung durch Helmholz.“
Aktuell sind bei Greenland Seafood in Wilhelmshaven fünf Wall IEs im Dauereinsatz: Zwei Produktionslinien (eine für Fischstäbchen und eine Kombi-Linie), ein Cutter, die Speiseöl-Versorgung und die thermische Nachverbrennung sind auf diesem Weg sicher in das Produktionsnetzwerk eingebunden. Sukzessive wird nun auch das komplette übrige Werk mit Wall IEs ausgestattet. Die Nachrüstung gestaltet sich dabei relativ einfach, denn an den Maschinen selbst muss nichts geändert werden.
Schrittweise in die Zukunft
Und auch den nächsten Schritt in Richtung zukunftsfähige und praxistaugliche Automatisierung haben Gerken und seine Kollegen bereits im Blick: Aktuell prüfen sie den Einsatz von REX 100 Industrieroutern, mit denen Helmholz den sicheren Fernzugriff direkt auf SPSen ermöglicht. Damit ließen sich Wartung und Diagnose weiter vereinfachen. „Wir schauen immer, wie wir unsere Automatisierung noch praxistauglicher machen können“, so Gerken. Die Erfahrungen zeigen: Mit einer durchdachten Netzwerkstruktur lassen sich auch komplexe Produktionsumgebungen übersichtlich und sicher gestalten.
