Basierend auf diesen Grundlagen wird nachfolgend aufgezeigt, wie ein kleines, mittleres oder grosses Projekt bis hin zu einem disziplinenübergreifenden Projekt strukturiert werden kann.

Kleines bis mittelgrosses Projekt

Bis zu 500 Automationsstationen.

Siemens SCALANCE Distribution-Switches (XB205-3) sind als Managed Layer 2-Switch ausgeführt:

  • Stellen die Verbindung über verschiedene Stockwerke her
  • Können das Projekt weiter ausbauen
  • Unterstützen den Ausbau per VLAN und Ringtopologie
  • Bieten Port-Mirroring (Netzwerkanalyse)

Die Verteilung auf dem Stockwerk geschieht via Siemens SCALANCE Edge-Switch (XB005) als Unmanaged Layer 2-Switch:

  • Wichtige Desigo-Raumautomationsstationen werden in Sterntopologie (zentrale Funktionen, wichtige Räume) ausgeführt
  • Weniger kritische Automationsstationen können in Daisy-Chain-Topologie verbunden werden

Die Vernetzung der Distribution-Switches findet über Lichtwellenleiter über längere Distanzen statt. Die Verteilung und Vernetzung in den Stockwerken hin zu den Edge-Switches erfolgt über Kupferkabel.

Mittleres bis grosses Projekt

Auch das nächste Beispiel eines mittleren bis grossen Projektes zeigt einen klar strukturierten Aufbau des Netzwerks. Die Distribution-Switches werden in Ringtopologie vernetzt und erhöhen Ausfallsicherheit und Zuverlässigkeit des Netzwerks.
Zusammen mit einem Layer 3 Core-Switch, an dem die wichtigsten Netzwerkkomponenten direkt angeschlossen werden, wird ein eigenes IP-Netzwerk aufgebaut.

Auf den Stockwerken werden z.B. über die Daisy-Chain-Technologie max. 20 Desigo-Raumautomationsstationen vernetzt. Auch bei einem Geräteausfall funktioniert das gesamte Netzwerk weiterhin.

Weiterhin können auch über Kupferkabel die einzelnen Edge-Switches erreicht werden. Von dort kann (je nach Anwendung) wieder in Stern- oder Daisy-Chain-Topologie weiter verteilt werden.

Die Distribution-Switches sind als Managed Layer 2-Switch ausgeführt, die Edge-Switches als Unmanaged.

Diese Topologie zeigt, dass über die Layer 2-Switches zukünftig weiter ausgebaut werden kann. Es können separate VLANs pro Stockwerk konfiguriert werden, um Disziplinen zu trennen (HLK, Raumautomation, Video, Brandmeldeanlagen). Auch Kundenanforderungen zu Ausfallsicherheit werden durch die Ringverkabelung der Distribution-Switches erfüllt. Wichtige Desigo-Raumautomationsstationen für zentrale Funktionen und wichtige Räume sind in Sterntopologie auf den Edge-Switch geführt.

Grosses Projekt

Nachfolgend wird ein grosses Projekt mit verschiedenen Disziplinen dargestellt. Auch hier wird eindeutig Wert gelegt auf Geschwindigkeit, Verfügbarkeit, ein strukturiertes Verkabelungskonzept und standardisierte Anschlusstechnik. Durch den Einsatz eines weiteren Core-Switches lässt sich erweiterte Verfügbarkeit und Redundanz erreichen.

Mit Glas-Lichtwellenleitern können Netzwerkkomponenten gebäudeübergreifend über weite Entfernungen, über EMV-gefährdete Bereiche und bei Risiko von Potentialverschleppungen verkabeln.

Beispiele für industrielle Switches:

  • Unmanaged-Switches mit elektrischen und/oder optischen Ports zum Aufbau kleiner Netzwerke, AC/DC 24 V, Einsatz in Edge oder Distribution-Bereichen.
  • Siemens SCALANCE XB-200 Sortiment: Managebarer Layer 2 IE-Switch mit einem Konsolen-Port, Diagnose-LED und redundanter Spannungsversorgung für den Einsatz als Distribution-Switch, unterstützt Ring-Technologie RSTP, VLAN, Port-Mirroring für Fehlersuche und Diagnose, Konfiguration mit Step7/TIA, Web oder Command Line Interface (CLI), SNMP.
  • Siemens SCALANCE XM-400 Sortiment: Managed Layer 3 IE-Switch mit zusätzlichen Routing-Funktionen zwischen IP-Subnetzen.

Für Details, siehe:

https://mall.industry.siemens.com/mall/de/WW/Catalog/Products/9300002?tree=CatalogTree

Verstärkt wird hier nochmals auf die Themen IT-Sicherheit und IT-Grundschutz verwiesen.

Mit der steigenden Verwendung von Ethernet-Verbindungen bis in die Feldebene hinein gewinnen in einem Gebäude auch die damit verbundenen Sicherheitsfragen mehr und mehr an Bedeutung. Denn offene Kommunikation und eine zunehmende Vernetzung von unterschiedlichen Systemen und Disziplinen bergen nicht nur enorme Chancen, sondern ebenso große Risiken. Um die Gebäudeautomation unter dem Aspekt der Sicherheit umfassend vor Angriffen zu schützen, müssen entsprechende Massnahmen getroffen werden.

Wie auch in der obigen Grafik dargestellt, kann, z.B. über das Sicherheitsmodul Scalance S623 oder Sinema Remote Control, die sicherheitstechnische Segmentierung einer wichtigen und sicherheitsrelevanten Disziplin (z.B. Brand oder Einbruch) erreicht werden. Ein Zellenschutz mit Firewall kann vor unbefugten Zugriffen und eine Datenübertragung via VPN vor Manipulation und Spionage schützen.

Für Details, siehe:

https://mall.industry.siemens.com/mall/de/WW/Catalog/Products/10224584?tree=CatalogTree

https://mall.industry.siemens.com/mall/de/WW/Catalog/Products/10263934?tree=CatalogTree

Da das BACnet/IP-Protokoll unverschlüsselt übertragen wird, muss im IP-Netzwerk die Sicherheit gewährleistet sein.

Risikofaktoren:

  • Ungeschützte Netzwerkdosen
  • Ungeschützte WLAN-Netzwerke
  • Ungeschütztes System und Hardware
  • Physischer Zugang zu Technikzentralen, Schaltschränken, Bediengeräten
  • Zugriffsrechte im Netzwerk und im Desigo-System

Diese Bausteine der Infrastruktur, IT-Systeme, Netze und Anwendungen müssen unter Sicherheitsaspekten diskutiert werden, um entsprechende Massnahmenkataloge zu entwickeln. Hierbei sind kundenspezifische, länderspezifische oder Industrie-Richtlinien einzuhalten.

Weitere Informationen siehe Desigo Richtlinien zur Cybersicherheit Applikationsleitfaden (A6V14142297) and Praxisleitfaden IP-Netzwerke in der Gebäudeautomation (CM110668).