Um mit den steigenden Anforderungen der Industrie Schritt zu halten, wird die Profinet-Spezifikation kontinuierlich weiterentwickelt. Dabei achtet PI nicht nur auf die aktuellen Entwicklungen, sondern auch auf Rückwärtskompatibilität. Keine einfache Aufgabe, schließlich ist Profinet seit mehr als 20 Jahren auf dem Markt – und dies ausgesprochen erfolgreich.
Auch die neue Profinet-Spezifikation V2.5 setzt wieder einen Meilenstein. Dazu gehören unter anderem erweiterte Sicherheitsfunktionen („Security inside“), die praktikable Echtzeitkommunikation bei gleichzeitig parallelem TCP/IP-Verkehr sowie ein neu definierter Transportkanal. Dieser sorgt für eine sichere und flexible Umsetzung von Use Cases wie Parametrierung, Toolzugriff oder standardisierten Firmware-Updates.
Damit ist eine durchgängige, skalierbare Vernetzung von Sensoren bis zu IT-Anwendungen möglich. Gleichzeitig lassen sich vielfältige Datenarten über das Netzwerk sammeln und mit KI-basierten Methoden auswerten, um Prozesse gezielt zu verbessern.
Vorteile für unterschiedliche Zielgruppen
Profinet V2.5 orientiert sich an internationalen Normen und ebnet den Weg für zukünftige Anforderungen an Cybersecurity, Skalierbarkeit und Effizienz. Wie immer bei PI gilt: Die Abwärtskompatibilität bleibt erhalten, sodass bestehende Geräte und Anlagen weiter betrieben werden können. Die verschiedenen Zielgruppen profitieren unterschiedlich von den Neuerungen:
Für Endkunden ändert sich das Look & Feel von Profinet nicht. Damit können bestehende Geräte weiter wie bisher betrieben werden. Allerdings erweitern sich die Funktionen und Möglichkeiten. Beispiele sind eine skalierbare Security oder ein standardisiertes Ereignismonitoring, über das man sich jederzeit über den Zustand einer Anlage (auch über die Historie) informieren kann. Dank der IT/OT-Konvergenz lassen sich alle Arten von Informationen parallel sammeln und auswerten.
Technologie-Providern ermöglicht das einheitliche Protokoll SXP für die horizontale und vertikale Kommunikation ganz neuen Märkten. Es unterstützt flexibel die Konvergenz im Netzwerk sowie den direkten Datenaustausch zwischen der IT- und der OT-Ebene. Eine skalierbaren Security und ein erweitertes Device- und Asset Management zum Beispiel über Zertifikate, ermöglichen neue Applikationen und Software-Lizenzmodelle. Auch lässt sich die zyklische und azyklische Kommunikation leichter steuern.
Gerätehersteller müssen die neuen „State-Of-The-Art“-Security-Konzepte beachten. Neben der Integration von aktualisierten Bausteinen der Technologieprovider müssen zum Beispiel Maßnahmen zur sicheren Zertifikatsablage, der eindeutigen Herstellersignatur (IDevID) im Produktionsprozess und ein Manipulationsschutz, wie die Sperrung oder Absicherung von lokalen Geräteschnittstellen, ergriffen werden. Dies eröffnet auch Chancen für neue Applikationen und Märkte.
Dienstleister und Tool-Entwickler sollten die Spezifikation PN 2.5 zeitnah integrieren, da sich erst mit den entsprechenden Tools die neuen Funktionen der Geräte konfigurieren und verwenden lassen. Zu den Funktionen, die mit der neuen Spezifikation anzupassen sind, gehören unter anderem SXP als neues Protokoll für den Datenaustausch, neue Security-Einstellungen gemäß der Spezifikation und der Guidelines sowie das Zertifikatshandling aus unterschiedlichen Use-Cases. PI unterstützt hierbei.
Blick auf die Details
PI beschäftigt sich seit vielen Jahren mit Security und hat diese auf vielfältige Weise in ihre Technologien integriert. Allerdings erfordern neue Richtlinien, Regularien und regionale sowie internationale Kundenanforderungen mehr Flexibilität. Daher ist die bisherige Security-Klasse 1 nun integraler Teil der neuen Profinet-Spezifikation V 2.5. Diese Secure Cell ist obligatorisch und die Basis für die Kommunikation. Ergänzt wird dies durch:
Secure Access: Dies ist der Weg, um von außen in die Zelle hinein zu kommunizieren. So kann es notwendig sein, alle Arten von Daten von einem Controller oder Device zu lesen oder zum Beispiel Firmware-Updates zu schreiben. Das Protokoll dazu heißt SXP (Service-Exchange-Protokoll).
Secure Realtime ist eine zusätzliche Security-Absicherung zwischen den Geräten innerhalb der Zelle. An dieser Stelle kommen erhöhte Sicherheitsanforderungen von authentifizierter sicherer Kommunikation bis hin zur vollständigen Verschlüsselung dazu. Auch hier ist das Protokoll SXP zukünftig im Einsatz.
Mit dem neuen Protokoll SXP gibt es zukünftig einen einheitlichen Weg für die interne (Layer 2) und externe (Layer 3) Kommunikation. Es löst unter anderem CL-RPC und SNMP ab. Mit dem neuen Protokoll lassen sich bedarfsgerechte und multiple Verbindungen zu einem Gerät aufbauen, entweder normal oder verschlüsselt. Dies bietet vielfältige Optionen, aus denen sich Hersteller und Kunden – abhängig von der vor Ort benötigten Security – individuell bedienen können. Hersteller entscheiden weiterhin, welche dieser Features sie in ihre Geräte einbauen.
IT-Friendliness und Transparenz im Netzwerk
Der Endanwender hat zukünftig mehr Sicherheit, da für Hersteller der Signier-Prozess für GSDX-Dateien zur Pflicht wird. Hersteller müssen den Geräte-Beschreibungs-Dateien (GSDML) eine Signatur ihres Unternehmens geben. Diese erhöhen das Vertrauen bei Integratoren, Betreibern und Endkunden.
Alle Devices können aus der IT-Ebene über TCP/IP angesprochen werden. So können Informationen abgerufen und auch aktualisiert werden. Firewalls helfen, das Netzwerk vor Cyber-Bedrohungen zu schützen. Durch das TCP-Protokoll wird zudem die Konfiguration dieser Firewalls vereinfacht. Für ein Plus an Transparenz im Netzwerk können zukünftig alle Arten von sicherheitsrelevanten Meldungen an einem gemeinsamen Ort einfacher gesammelt werden. So kann bei Bedarf jederzeit nach individuellen Anforderungen gefiltert werden.
Hersteller haben meist ihren eigenen Weg ihre Daten und Informationen aus ihren Geräten abzugreifen. Mit der Unterstützung von Syslog gelingt dies zukünftig auch herstellerübergreifend. Zukünftig können Hersteller außerdem ihren Geräten und Komponenten eine elektronische „Geburtsurkunde“ geben (IDevID). Für jedes Profinet-Gerät (Controller, Device, Switch, …) kann jederzeit geprüft werden, ob es sich um ein Original handelt. Das sorgt im globalen Markt für mehr Vertrauen und Sicherheit bei Kunden.
Mit der PN V2.5 gibt es keine Unterschiede mehr zwischen den Conformance Classes, da diese zur Grundfunktion des Systems gehören. Damit entfällt die aufwändige Konfiguration, wie das Gerät richtig anzusprechen ist. Die Verwaltung des Systems, der Anlage oder der Maschine wird so noch einfacher.
Abwärtskompatibilität bleibt erhalten
Neue Geräte können weiterhin die bestehenden Funktionen der Version 2.4x unterstützen. Somit bleibt die Abwärtskompatibilität immer gewährleistet. Damit können alle Beteiligten weiterhin entscheiden, ob, wo und wie sie Security in ihren Geräten und Anlagen einbauen, aktivieren und konfigurieren möchten.
Neue Geräte, welche nach der Version 2.5x zertifiziert werden, können Funktionen und Features beinhalten, welche Geräte mit der Version 2.4x nicht kennen. Ein Beispiel dafür wären im Bereich Security die Verschlüsselung von IO-Daten.
Auch Geräte, welche ausschließlich nach der Version 2.4x getestet wurden, können weiterhin vollumfänglich weiterverwendet werden. Viele bestehende Geräte können durch ein Software-Update angepasst und auf den neuen Stand V2.5 gebracht werden.
