Jaké je postavení sítí na úrovni výroby?
Na rozdíl od situace v kancelářském světě je průmyslový Ethernet zaváděn ve výrobních podnicích jako náhrada nebo doplněk dosavadních průmyslových komunikačních sítí. S cílem zjistit současný stav bezprostředně na úrovni výrobních operací uspořádala poradenská společnost ARC Advisory Group nedávno mezi výrobci (uživateli automatizační techniky) průzkum zaměřený na metody používané v praxi při správě a řízení přístupu do komunikačních sítí provozovaných na úrovni výroby (při řízení technologických procesů nebo v provozech, kde se provádějí výrobní operace). Výsledky průzkumu ukázaly širokou škálu používaných metod, jejichž různorodost lze jen zčásti vysvětlit např. velikostí podniku anebo jeho příslušností k určitému odvětví průmyslu.
Na úrovni výroby převládají oddělené sítě
Na otázky týkající se metod používaných výrobci k izolování, zabezpečování, správě a řízení přístupu do komunikačních sítí provozovaných na úrovni výroby obdržela společnost ARC odpovědi od 186 respondentů. Jako první byla položena otázka: „Existuje ve vašem závodě oddělená, zvlášť identifikovaná komunikační síť na úrovni výroby?„ Převážná většina, tj. více než 80 % respondentů průzkumu, na ni odpověděla „ano„. Zajímavý je nicméně podrobnější pohled na společnosti nebo lokality, které síť na úrovni výroby zvlášť neodlišují. Tito respondenti pocházejí z nejrůznějších odvětví průmyslu, zeměpisných oblastí i firem různé velikosti nijak významně se nelišících od ostatních ve vzorku. Spíše jsou ale z odvětví s nespojitou výrobou než z odvětví se spojitou výrobou. Některé výrobní úseky zapojují svá zařízení založená na PC do sítí, které začleňují do podnikové sítě při použití metod běžných v oboru IT. Výsledkem je, že PC fungují jako izolační vrstva mezi sítěmi využívanými v automatizované výrobě a podnikovou sítí. Třebaže jich je velmi málo, takové sítě existují, a to nejen v malých podnicích. V analýze uvedené v dalším textu nejsou uvažovány odpovědi jednak těch, kdo síť na úrovni výroby nerozlišují, jednak dodavatelů automatizační a informační techniky.
Metody vzájemné izolace sítí
Další položená otázka zněla: „Jakými způsoby izolujete sítě na úrovni výroby od ostatních sítí a od kancelářských aplikačních programů?„ Respondenti přitom směli označit pouze jedinou položku v předložené nabídce opatření, vzestupně seřazených podle stupně „přísnosti„.
Je jisté, že vybrané rozhraní by mělo být dobře střeženou hranicí systému: třetina respondentů používá oddělené sítě, zatímco více než 40 % jich používá řešení typu firewall a 14 % virtuální privátní sítě (VPN). Přitažlivost fyzicky oddělených sítí je pochopitelná z hlediska bezpečnosti. Oddělením se zabrání externímu prohledávání sítě z webu a pronikání externí elektronické pošty jako hlavních zdrojů virových nákaz a příležitostí ke špionáži. Záporem je složitá správa oddělených sítí, doprovázená nevyhnutelnými dodatečnými náklady. Při striktně oddělených sítích ovšem také není možné propojit výrobní operace s podnikovými aplikačními programy – to může znamenat až příliš vysokou cenu zaplacenou za přírůstek bezpečnosti.
Pravidla přístupu do sítě
Kdo, odkud a za jakým účelem může vstupovat do sítě na úrovni výroby? Ve většině závodů lze do sítě vstupovat z místa samotné výroby nebo z omezeného počtu míst v dané lokalitě. Výzkum také ukázal, že 70 % respondentů vyžaduje k povolení vstupu do sítě na úrovni výroby oddělený autentizační proces.
Obezřetnost, s jakou výrobci postupují při povolování přístupu do svých sítí, napovídá, že dodavatelé výrobních zařízení a automatizačních řešení budou mít se svou rozšířenou nabídkou větší naději na úspěch tehdy, budou-li jejich produkty orientovány spíše na využití podnikové sítě dotyčného uživatele než jeho sítě na úrovni výroby. U podnikové sítě se totiž setkají s dosti menším počtem bariér bránících integraci. Takto mohou být navrženy třeba softwarové systémy v oblasti správy výrobních prostředků, např. při sledování stavu zařízení, a to zejména v nadcházející éře snímačů propojených bezdrátovými sítěmi. Tyto programy mohou k získání potřebných informací o výrobě využívat již existující služby v podnikové síti, aniž by musely v podmínkách poměrně striktních omezení v síti na úrovni výroby udržovat své vlastní archivy a jiné zdroje dat.
Kdo smí vstupovat do sítě?
Odpovědi na otázku „Kdo smí vstupovat do sítě na úrovni výroby?„ odhalily zajímavou skutečnost: téměř polovina respondentů povoluje vstup do svých síti i některým osobám, které nejsou kmenovými pracovníky jejich závodu. V předních řadách držitelů tohoto privilegia většinou nejsou pracovníci finálních dodavatelů zařízení (OEM) ani dodavatelů automatizačních prostředků. Celá čtvrtina respondentů nicméně těmto osobám přístup do svých sítí povoluje.
Co se týče typů činností, které lze provádět na dálku, asi třetina respondentů dovoluje odjinud než na místě v závodě poskytovat softwarové služby, aktualizovat software (upgrade) a konfigurovat zařízení. Nejčastěji zde jako přípustné bylo uváděno dálkové sledování a odstraňování závad. Vykonávat jakékoliv operace na dálku odmítlo jen 10 % respondentů, mezi nimiž však byli i pracovníci z několika velkých výrobních podniků.
Pokud jde o metody používané ke vstupu do sítí na úrovni výroby, jsou velmi rozmanité. Nejčastěji se využívá přístup z podnikové sítě, která nabízí různorodé potřebné služby. Běžně se takto konfiguruje mnoho programů pro ukládání technologických dat. Pouze 10 % respondentů uvedlo, že využívají služby na dálku nabízené finálním dodavatelem používaného zařízení.
[European Industrial Ethernet Community Newsletter, leden 2005.]
(sm)
|