Steve Perry (tł. Sebastian Czarnecki) 2010-08-24

Fizyczna separacja sieci przemysłowych

Fizyczna separacja sieci przemysłowych

Wspólna sieć kontroli urządzeń i publicznych komunikacji biznesowych może być przyczyną niechcianych problemów. Wyobraźmy sobie sytuację: Na rozległym terenie znajduje się wysoko zautomatyzowany zakład produkcyjny. Produkcja przebiega płynnie, nie ma żadnych nieoczekiwanych przestojów maszyn, punkty pomiarowe znajdują się w niedużej odległości od czujników a wszystkie procesy są pod kontrolą. Wygląda niegroźnie, ale...

W tym zakładzie niemal wszędzie znajdują się sterowniki PLC, komunikując się ze sobą za pomocą rozległej i nowoczesnej sieci kontroli, zbudowanej w oparciu o Ethernet, ControlNet i DeviceNet. Kierownicy używają jej do ciągłego zdalnego monitorowania i konfigurowania procesów. Z jednego pokoju nadzoru można kontrolować setki maszyn znajdujących się w zakładzie. Konserwatorzy korzystają z tej sieci do zdalnego diagnozowania i rozwiązywania problemów na liniach produkcyjnych.

Część sterowniczej sieci Ethernet korzysta z urządzeń sieciowych klasy zbliżonej do zwykłych biznesowych, w tym przełączników i okablowania. Siec ta jest praktycznie odizolowana od sieci biznesowej zwykłych użytkowników dzięki wykorzystaniu sieci VLAN. Zdecydowana część komunikacji w sieci pomiędzy kontrolerami urządzeń kierowana jest przez tę samą sieć i urządzenia co komputery biurowe, serwery i drukarki. Jedynie kontrolery i stacje graficzne, które są w bliskiej odległości nie używają wspólnego sprzętu sieciowego. W takich wypadkach najbliższe otoczenie standardowo używa ControlNet do komunikacji bezpośredniej pomiędzy urządzeniami.

Problemy powstające w sieci wpływają na jakość kontroli urządzeń. Problemy mogą dotyczyć błędów sprzętowych, ograniczeń przełączników lub błędnych konfiguracji. Zespół informatyków jest odpowiedzialny za utrzymanie należytej jakości komunikacji sprzętu sieciowego, jednak nie są świadomi tego, że sprzęt stanowi krytyczną podstawę dla sieci kontroli.

Zespół informatyków zmienił konfigurację routingu na wspólnych przełącznikach sieciowych i przypadkowo przekierował cały ruch sieciowy przez Internet. Z tego powodu przepływ danych pomiędzy urządzeniami znacząco się spowolnił. Spowodowało to opóźnienia w przekazywaniu informacji pomiędzy urządzeniami oraz w przesyle danych do centrum kontroli. Dodatkowo sytuacja spowodowała, że niektóre kontrolery nie mogą ze sobą płynnie się komunikować i z tego powodu dochodzi do blokad urządzeń produkcyjnych. Maszyny emitujące dane nie mogą automatycznie rozpocząć lub zatrzymać pracy maszyn docelowych.

Operatorzy zauważają, że nie mogą wykorzystać swoich stacji do zmiany zachowania lub ustawień wszelkich maszyn produkcyjnych i natychmiast zgłaszają problem do zespołu technicznego. Maszyny produkcyjne pracowały w ciemno, kontrolowane wyłącznie przez lokalnych administratorów za pomocą istniejących programów i ustawień. Obsługa może jeszcze zatrzymać maszyny za pomocą panelu sterowania, awaryjnego przycisku STOP lub innych przełączników, ale sterowanie zdalne okazało się niemożliwe.

Zespół techników korzystając z programów serwisowych na komputerach podłączonych do dwóch różnych sieci ustalił, że wszystkie kontrolery przestały odpowiadać. Symptomy wskazują uszkodzenie sieci i zgłaszają problem do odpowiednich ekip. Zespół informatyków przywrócił pierwotną konfigurację routingu na urządzeniach sieciowych i praca sieci została wznowiona. Nie mniej jednak spowodowało to zamęt na godzinę.

Gdyby taka sytuacja utrzymywała się dłużej jest wysoce prawdopodobne, że wszystkie linie produkcyjne musiały by być ręcznie zatrzymane za pomocą lokalnego panelu sterowania, prowadząc do rozległego i kosztownego przestoju. Obsada zakładów zautomatyzowanych jest tak niewielka, że obsługa urządzeń za pośrednictwem paneli lokalnych jest niezwykle trudna i powolna.

Brak komunikacji pomiędzy niektórymi kontrolerami mógł doprowadzić do poważnych incydentów. przykładowo gdyby zatrzymała się pompa doprowadzająca ścieki, maszyna przetwarzająca ścieki nie została by automatycznie zatrzymana a zbiorniki ścieków stały by się przepełnione. Inny przykład: system sterowania parą i chłodzenia. Brak komunikacji mógł doprowadzić do zmniejszenia jakości produktów poprzez niewłaściwą temperaturę gotowania lub zamrażania.

Zalecane jest fizyczne odseparowanie sieci kontroli urządzeń od sieci publicznej. Należy też minimalizować liczbę połączeń pomiędzy dwoma sieciami oraz wprowadzać restrykcyjne ograniczenia ruchu na tych połączeniach. W praktyce w nowych sieciach przemysłowych wszelkie zmiany oprogramowania są zawsze dokładnie sprawdzane i oceniane, najlepiej w środowiskach testowych przed ich wdrożeniem. Dodatkowo należy należycie przeanalizować optymalna strukturę sieci, np. pierścieniową.

Steve Perry (tł. Sebastian Czarnecki)
Na podstawie: automation.com

Zapraszamy do skomentowania artykułu

Treść opini 
Popis 

Pozostałe artykuły z tej kategorii