Gemäß IEC 62443-3-3 sollte ein Automatisierungssystem in Zonen mit Conduits aufgeteilt werden, damit nicht notwendige Kommunikation über entsprechende Maßnahmen und Regeln ausgeschlossen werden kann. Die Lösung für eine physikalische und/oder auch logische Trennung kann mit SCALANCE SC-600 realisiert werden. Hierbei kann die Firewall portbasiert mit bis zu 257 VLANs belegt werden und arbeitet nach dem Prinzip Deny by Default – Allow by Exception.

Informationen zu SCALANCE S Industrial Security Appliance

Innerhalb eines Safety-Automatisierungsnetzes führt eine physikalische Segmentierung somit zu einer Trennung der Teilbereiche und Fehler durch Addresskonflikte können ausgeschlossen werden. Im Falle von Fehlkonfigurationen oder möglichen Schwachstellen muss der Router und sein Aufbau näher betrachtet werden. Die Ports des SCALANCE SC-600 können beliebig konfiguriert werden, inklusive Layer2-Bridge-Funktionalitäten, was im Fehlerfall eventuell zu Problemen führen könnte.

Im PROFIsafe-Umfeld raten wir daher explizit zum SCALANCE SC622-2C oder SC626-2C welche die Eigenschaften eines 2-Port-Routers gemäß IEC 61784-3-3, Abschnitt 8.1.2 erfüllen. Beide Baugruppen eignen sich zum Einsatz in Safety-Umgebungen als Zellenschutzgerät, in denen eine Eindeutigkeit der PROFIsafe-Adressen nicht sichergestellt werden kann. Selbst bei Fehlkonfigurationen werden die getrennten Netzwerke nicht miteinander verbunden.

SCALANCE SC626-2C

Weiterführende Informationen dazu findet man auch in folgendem FAQ:

Beispielkonfigurationen zu netz- und CPU-weit eindeutigen PROFIsafe-Adressen

Hinweis:

Die in diesem Beitrag beschriebenen Informationen beziehen sich auf den Zeitpunkt der Erstellung dieses Beitrages (Stand: Oktober 2024).

Viele Grüße
Eure Fachberatung Deutschland (SG)