Na prvý pohľad sa zdá, že komunikačné prepojenie smart prístrojov na stroje – väčšinou cez bezdrôtovú sieť WLAN – nie je kritickej povahy a dá sa jednoducho realizovať. Je to preto, že konkrétne použitie často nie je pre daný proces relevantné a nekladie žiadne osobitné požiadavky na reálny čas. Niektorí výrobcovia strojov preto integrujú do svojich aplikácií jednoduchý prístupový WLAN bod. Stroje a zariadenia sú charakterizované svojimi špecifikami, ktoré je potrebné pri príprave koncepcie riešenia a výbere rádiokomunikačných komponentov bezpodmienečne zohľadniť.
Rádiová technológia integrovaná v zariadení
Smart zariadenia je možné použiť v celkom rozličných aplikáciách. Čoraz častejšie sa napríklad nasadzujú ako vizuálna online podpora činností údržby. Prostredníctvom kamery v smart prístroji tak môže servisný technik výrobcu stroja vidieť z pohodlia svojej kancelárie presne to, čo vidí aj operátor stroja niekde vo výrobe. Na displeji smart prístroja vie poskytnúť operátorovi informácie a inštrukcie na odstránenie prípadnej poruchy. Okrem toho ponúkajú smart zariadenia mnohé ďalšie výhody aj počas prevádzky stroja. Tie siahajú od zobrazovania prevádzkových dát a varovných hlásení, cez pomoc pri jednoduchšom a rýchlejšom nastavení stroja, až po inteligentný asistenčný systém, ktorý umožní zlepšenie priebehu obsluhy. Na výmenu dát medzi smart zariadením a strojom sa spravidla využíva bezdrôtová WLAN, keďže táto technológia je široko akceptovaná a integrovaná prakticky v každom smart zariadení a ponúka vysokú prenosovú rýchlosť. To umožňuje plynulé zobrazenie a prenos video dát vo vysokom rozlíšení. Vybudovanie lokálneho WLAN prístupu do siete strojov nie je v podstate nič zložité. V princípe stačí do rozvádzača namontovať bežný WLAN prístupový bod, ktorý bude mať anténu umiestnenú zvonka na rozvádzači. Po zadaní hesla pre zašifrovanú komunikáciu v WLAN sieti potom už prevádzke rádiového riešenia nestojí nič v ceste.
Dôsledky neoprávneného prístupu do siete
Natíska sa samozrejme otázka, či je takýto bežný prístup postačujúci, aj keď nejde o aplikáciu kľúčovú pre prevádzku. Odpoveď je nie, ale napriek tomu to mnohí prevádzkovatelia berú ľahkovážne a neprihliadajú na podstatné body, ktoré neskôr môžu zvýšiť bezpečnostné riziko a viesť k nespokojnosti koncového používateľa. Pri tvorbe koncepcie WLAN riešenia a výbere potrebných komponentov by sa malo zohľadňovať nasledovné:
- bezpečná, podľa možnosti automatická správa hesiel,
- konštantne dobrý príjem signálu,
- schválenia pre rádiový prenos pre konkrétne umiestnenie stroja.
Sieť strojov je zvyčajne relatívne malá a do seba uzavretá, do ktorej neznámi používatelia nielenže prístup nepotrebujú, ale ani nemajú. Ak sa takáto sieť rozšíri o WLAN rozhranie na komunikáciu so smart zariadeniami, môžu mať na ňu dosah neznámi používatelia. A vďaka bezdrôtovej technológii nemusia byť dokonca ani na mieste, kde sa nachádzajú strojné zariadenia a v dôsledku pomerne veľkého dosahu rádiových vĺn to môže byť pokojne aj mimo areálu závodu. Nedovolené preniknutie do siete môže so sebou priniesť značné negatívne dôsledky. Škody pritom nevznikajú len rušením samotného prenosu dát alebo manipuláciou prístrojov. Ak sú so sieťou strojov prepojené aj bezpečnostné systémy, vplyv nekalého konania sa môže prejaviť aj na nich a v najhoršom prípade tak môže prísť aj k ohrozeniu ľudského zdravia. Pokiaľ sú stroje nezabezpečene pripojené na prevádzkovú výrobnú sieť, má potenciálny narušiteľ prístup na všetky stroje a systémy nadradenej siete. V takýchto prípadoch zvyčajné zabezpečenie WLAN sietí pomocou hesla nepostačuje. Pri nasadení WLAN sietí spájajúcich stroje je tak nevyhnutný rozsiahly bezpečnostný koncept.
Správa hesiel ako výzva
Bezdrôtové WLAN systémy používané v sieťach strojov a zariadení sú často chránené prostredníctvom spoločného statického sieťového kľúča. Tento mechanizmus sa označuje ako WLAN WPA-PSK (Wi-Fi Protected Access Pre Shared Key). Ak sa heslo (sieťový kľúč) ukáže ako bezpečné, je pri súčasnom stave techniky bezpečná pre prípadné odpočúvanie a manipuláciu aj rádiová komunikácia. V prípade WLAN stroja spočíva zásadná výzva v správe hesiel bez ohľadu na to, ako je bezpečné. Heslo potrebujú často všetci relevantní používatelia, po relatívne krátkom čase ho tak pozná široký okruh ľudí. Keďže heslá sa v praxi takmer vôbec nemenia, majú neskôr prístup do siete strojov aj tí, ktorí už na to nemajú oprávnenie. Navyše sa medzi jednotlivými používateľmi nerobia žiadne rozdiely a prístup do celej siete majú všetci, či už servisní technici alebo operátori strojov. Ústrednou otázkou teda je, ako zabezpečiť, aby dosah na sieť a na zdroje nachádzajúce sa v nej, mali iba oprávnení používatelia. Zriadenie individuálnych hesiel a prístupových práv, tak ako je to bežné v kancelárskej sfére, sa ukazuje z dôvodu administratívnych nákladov a dodatočnej nevyhnutnej infraštruktúry ako nepraktické a neekonomické.
Manažment prístupových bodov prostredníctvom PLC
Automatizovaný manažment hesiel realizovaný systémom, ktorý riadi strojné zariadenie, by mohlo byť vhodným riešením. K tomu je však potrebný WLAN prístupový bod, ktorý môže PLC stroja ovládať po sieti. Bezdrôtový prístup do siete strojov je možné vytvoriť vďaka tomu, že riadiaci systém stroja kontrolovane blokuje a uvoľňuje WLAN prístupy (virtuálne prístupové body) pre rôzne skupiny používateľov a tiež sa využívajú jednorazové prístupové heslá. Žiadosť o spojenie so strojom zadáva používateľ hlásením cez stacionárny obslužný terminál. Riadiaci systém následne konfiguruje špeciálny WLAN prístup na prístupovom bode, ktorý je chránený jednorazovým heslom. Heslo vidí používateľ pohodlne na termináli v podobe jasného textu alebo ako QR kód. Jednou z možností sprostredkovania hesla je tiež pomocou technológie NFC. Vzhľadom na to, že po ukončení WLAN spojenia stráca heslo svoju platnosť, jeho ďalšie použitie nepredstavuje žiadne bezpečnostné riziko.
Firewall s DMZ portom
Prístup ku prvkom na sieti je možné bezpečne individuálne spravovať a to vďaka špecifickým oprávneniam pre prístupové body rôznych skupín používateľov. Servisný technik nie je napríklad nijako obmedzený v prístupe do siete strojov, zatiaľ čo operátori zariadení majú prístup iba k vizualizačnému serveru. Pre tento účel musí prístupový bod podporovať konfigurovateľnú funkciu filtrovania. Ak sa vyžadujú rozsiahle pravidlá filtrovania, ktoré individuálne organizujú prístup na nadradené siete prevádzkovej výroby a strojov, núka sa možnosť nasadenia firewallu s DMZ portom (DMZ – demilitarizovaná zóna). Prístupový bod WLAN je potom pripojený na DMZ port. Toto riešenie je zaujímavé obzvlášť vtedy, keď koncový používateľ už využíva na stroji z dôvodov bezpečnosti alebo vzdialenej správy koncept VPN firewallu (Virtual Private Network).
MiMo anténa pre dobrý príjem
Požiadavka, aby WLAN prístupové body všade zabezpečovali dobrý príjem síce znie banálne, v praxi však predstavuje častý problém. Keďže aplikácia bezdrôtovej siete nie je pre samotný výrobný proces relevantná, snahou je udržať náklady na ňu na čo najnižšej úrovni a ušetriť na kvalite vybraných komponentov, čo sa špeciálne týka antén. Jednoduchá anténa namontovaná navyše na nevhodnom mieste vedie v kombinácii s technikou so slabým rádiovým dosahom smart zariadení k slabému príjmu signálu v rôznych zónach okolo stroja. Výrazne to znižuje výkon, v dôsledku čoho nastupujú dlhšie doby sťahovania dát alebo dokonca prerušenia spojenia. A aj keď sa nejedná o aplikáciu relevantnú pre samotný výrobný proces, dokáže to používateľa značne podráždiť. Preto je vhodné myslieť na dobrý výkon rádiového prenosu už pri plánovaní a následnej realizácii WLAN riešenia. Kvalitné a odolné priemyselné antény sú pomerne drahé, z dlhodobého hľadiska však ide o výhodnú investíciu. Pri výbere WLAN prístupového bodu je vhodnou alternatívou výkonný priemyselný prístroj podľa štandardu IEEE 802.11n s anténnou technológiou MiMo (Multiple Input Multiple Output). MiMo technika zabezpečuje nielen zvýšenú prenosovú rýchlosť dát, ale v kovovom silno odrazovom priemyselnom prostredí aj vysokú stabilitu a spoľahlivosť príjmu rádiového signálu. Vyžaduje si však nasadenie dvoch a viacerých antén.
Schválenia pre rádiový prenos
Dôležitú úlohu zohrávajú schválenia pre rádiový prenos v jednotlivých krajinách, keďže strojné zariadenia sa často exportujú do zahraničia. Prevádzka rádiového systému musí spĺňať zodpovedajúce povolenia krajiny, v ktorej bude stroj v činnosti. Tie sú často pomerne drahé. Cenovo výhodné zariadenia s rádiovým prenosom tak väčšinou disponujú iba schváleniami pre prevádzku v Európe a Severnej Amerike. Používateľ tak musí pri výbere WLAN komponentov brať ohľad na to, v ktorých krajinách sú schválené a či je možné v prípade potreby získať dodatočné schválenia. Ak sa pri koncepcii WLAN rozhrania zohľadnia všetky uvedené aspekty ako sú vhodný koncept bezpečnosti, dobré pokrytie signálom a schválenia pre všetky relevantné prevádzkové lokality, nestojí dlhodobému bezpečnému využívaniu bezdrôtového riešenia nič v ceste. Dôležité však je, aby sa použili výkonné priemyselné prístupové body podľa normy IEEE 802.11n s podporou MiMo, ktoré je možné spravovať prostredníctvom PLC systému riadiaceho strojné zariadenie.
