Безопасный операторский интерфейс
Безопасность человеко-машинного интерфейса (HMI) — понятие двойственное. С одной стороны, безопасность относится к „способу управления, встроенному в ПЛК и защитную блокировку, — говорит Стивен Гарбрехт, менеджер по программе маркетинга инфраструктурной и платформенной продукции Wonderware. — Безопасность является неотъемлемой частью программ управления”. С другой стороны, вопросы безопасности часто возникают по отношению к людям, которые могут войти в систему управления, чтобы украсть информацию или вызвать повреждение. Эти два аспекта учитываются различными способами. Поэтому, когда речь идет о HMI, эти понятия безопасности взаимосвязаны. Корректная безопасная система управления не позволит оператору выполнить какие-либо действия, которые могут повредить продукт или компонент оборудования, и обеспечит выполнение своевременных действий для предотвращения подобной ситуации. Рассмотрим катастрофу в декабре 1984 года, когда неконтролируемая химическая реакция на установке „Юнион Карбайд» в индийском городе Бхопале привела к утечке нескольких тонн метил-изоцианата, что стало причиной гибели и заболевания тысячи человек. Существует разногласие, сработали ли системы безопасности установки, или положение в „Юнион Карбайд» было таковым, что утечка могла быть причиной хорошо продуманного саботажа. Многие с этим не согласны. Во время аварии в марте 1979 года на атомной электростанции, расположенной на острове Три-Майл (Три-Майл-Айленд), штат Пенсильвания, операторы станции не знали, что жизненно важный предохранительный клапан оставался открытым, несмотря на показание, свидетельствовавшее, что он закрыт. Позднее они получили некорректную информацию об уровне воды в реакторе. В результате последующего расследования вопрос саботажа был исключен, и стало очевидным, что если бы операторы получили корректную информацию, они смогли бы предотвратить выход ситуации из-под контроля.
Пример применения: Программное обеспечение контроля производительности, интерфейсы для оптимизации работы в соответствии с установленными нормамиНедавно компания Roche Diagnostics | GmbH установила новую линию упаков-средств наблюдения и диагностики диабета на объекте в Манхайме, Германия. В соответствии со стандартами Управления по контролю за продуктами питания и медикаментами (США) для повышения эффективности и возможности контроля над процессом, компания внедрила программную систему для управления производительностью Wonderware, подразделение Invensys Systems Inc. Компания искала систему, которая была бы удобной в использовании и обеспечила бы возможность проверки технологического процесса в соответствии с правилами Управления по контролю за продуктами питания и медикаментами (FDA), 21 CFR Часть 11 (Свод федеральных нормативных актов). Два существенных компонента выбранного программного пакета Wonderware включают программное обеспечение человеко-машинного интерфейса (ЧМИ) и сервер-архиватор IndustrialSQL, который совмещает базу данных с системой реального времени. Обе эти функции позволят компании Roche выполнять поставленные задачи и соответствовать требованиям FDA. На новой упаковочной линии бутылочки индивидуально отделяются от паллет, сортируются и объединяются в группу для упаковки. Затем эти группы транспортируются на поворотный стол для последующей обработки. К ним приклеиваются этикетки, и камера проверяет корректность и правильное расположение штрихового кода. Затем следующая камера проверяет бутылочки и крышки на соответствие цвету, после чего они направляются на окончательную стадию упаковки. Процесс изготовления начинается и контролируется операторами с помощью программного обеспечения. Система интерфейса выдает пошаговые указания оператору в ходе выполнения всего процесса. Им не надо выбирать из множества экранных опций. Правила Управления по контролю за продуктами питания и медикаментами (FDA) требуют, чтобы изготовители отслеживали производственные данные. Это означает, что компания должна обосновывать каждый шаг производственного процесса, включая выполнение задачи оператором, и когда было выполнено то или иное действие. Возможности программного обеспечения по управлению пользователями и функции авторизации операционной системы Microsoft Windows 2000 обеспечивают надежную систему безопасности на предприятии, предотвращая несанкционированное вмешательство пользователя. „Одним из преимуществ использования такого подхода является то, что управление доступом пользователей осуществляется не на автономной части системы, а является системой защиты всего предприятия, — комментирует Оув Дрюкер, управляющий директор Drucker Steuerungssysteme GmbH. — Используя этот метод работы, компания может легко встраивать и использовать профили пользователей существующей операционной системы предприятия. В дополнение, удобные в использовании инструменты управления и совместимые интерфейсы позволяют операторам Манхайма поддерживать оптимальную производительность процессов упаковки продукции. Мы обеспечиваем полную защиту обмена данными с помощью единой системы управления доступом пользователей без использования нескольких дорогостоящих частных решений». Операторы новой линии процесса упаковки входят в систему после авторизации и получают доступ для выполнения определенных действий в зависимости от их уровней полномочия. Действия, которые выполняются в этом процессе, могут включать повседневные операции, такие как создание или редактирование производственных и технологических данных, инициация процесса, временное прекращение или остановка серии, или редактирование параметров пользователя. Операторы, работающие на этой линии, должны подтверждать свои действия посредством ввода имени пользователя и пароля. Такая технология защиты доступа позволяет компании соответствовать требованиям FDA и защитить процессы изготовления и обработки от несанкционированного вмешательства. Программа обеспечивает ввод электронных подписей с простановкой меток времени, которые связывают оператора с выполнением определенных действий. Подпись и любые другие соответствующие данные фиксируются в архивной базе данных сервера IndustrialSQL для формирования полных контрольных записей (см. иллюстрацию). Уполномоченные администраторы или менеджеры могут в любое время просматривать и распечатывать эти данные. Информацию и электронные подписи невозможно изменить или удалить — результат сертифицированного FDA хранилища с защитой от несанкционированного вмешательства. Кроме того на производстве в Манхайме используется система резервирования для повышенной надежности и защиты данных. Физически отделенная от главной системы эта резервная система постоянно синхронизирует данные с главной системой. В случае отказа главной системы такой метод синхронизации с квитированием позволяет отследить момент сбоя и автоматически переключиться в главный режим работы, обеспечивая отказоустойчивость системы. Такая бесшовная интеграция корпоративной сети также обеспечивает доступ ко всем данным предприятия для анализа. Помимо необходимости удовлетворения требований FDA растущая угроза биотерроризма и фальсификации продукции всегда является критическим аспектом для фармацевтических компаний. Функции защиты, обеспечиваемые программной системой управления, обеспечивают высокий уровень конфиденциальности, позволяя компании отслеживать и поддерживать качество на каждом этапе производства и упаковки. |
Сохранение контроля
Несомненно, нет недостатка в лицах, желающих нанести умышленный вред. Рич Кларк, аналитик информационной безопасности (Infosec) в компании Wonderware, в презентации под названием „Руководство по обеспечению безопасности систем управления» приводит 17 вариантов, начиная с недовольного персонала до организованных преступных группировок, которые организуют умышленные вредительства по отношению к государству и правительству. Существуют объекты, которые он не описывает, „но они подвергаются преднамеренным воздействиям каждый обычный день”. С точки зрения человеко-машинного интерфейса, Гарбрехт определяет три основных сценария. „В первом случае некоторое лицо, не работающее в компании, входит через брандмауэр в производственную сеть и выполняет какие-либо манипуляции с HMI. Во втором случае некоторое лицо, работающее в компании, желает нанести умышленный вред по каким-либо причинам. В третьем сценарии некоторое лицо, работающее в компании, непреднамеренно выполняет определенные действия, которые не следует делать, допускает ошибку или нарушает безопасность системы, а так же создает другие типы проблем”. По мнению Кларка, компании могут столкнуться с неприятностями, делегируя обязанности по защите системы управления подразделению информационных технологий (ИТ). Персонал ИТ пытается обеспечить безопасность, изолируя компьютеры друг от друга, для предотвращения распространения вирусов на предприятии вследствие посещений персоналом зараженных компьютеров из других подразделений предприятия. Этот метод работает в домене ИТ, но он ограничивает связь между машинами и не совместим с работой в режиме реального времени.
Пример применения: Безопасность и защита алюминиевого производства на базе системы ЧМИПостроенное в 1990 году предприятие Alcoa—Aluminerie de Deschambault в Квебеке требовало модернизации. На основном предприятии работает около 550 человек, производится необработанный алюминий, который далее отправляется на формовку и изготовление различной продукции. Контроль и управление процессами осуществлялись на базе операционной системы DOS, которая не подлежит модернизации. Сбор данных выполнялся посредством собственной системы OpenVMS (VAX). „Нам нужна была система, которую можно модифицировать при минимальном объеме работы», — поясняет Пьер Бо-утин, инженер по прикладным программам на предприятии. Персоналу компании требовался удобный доступ к данным технологического процесса. Например, команда из более чем 30 человек тесно взаимодействует, но может быть рассредоточена в полукилометровой зоне от установки в любой момент времени. Для любой новой системы требуется обеспечить высоконадежный метод обеспечения доступа авторизованным пользователям к управляющим данным из любой точки в пределах предприятия, но изменение управляющих параметров может производиться только с определенных контрольных мест. Боутин и его коллеги решают установить устройство контроля и управления, использующее программное обеспечение Cimplicity от GE Fanuc Automation в верхней части существующей инфраструктуры. Процесс электролиза алюминия с целью извлечения металла делится на пять секторов. В каждом секторе находится от 10 до 15 программируемых логических контроллеров (ПЛК) серии 90-70 и несколько ПЛК серии 90-30 GE Fanuc, обеспечивающих резервированные функции контроля и управления. В каждом секторе ПЛК контролируют приблизительно 10000 точек. Внутри каждого сектора ПЛК и операторские интерфейсы, оснащенные программой Cimplicity, связаны через коммутаторы по звездной топологии Ethernet и подключаются к соседним секторами по стандарту 10Base-T. Каждый сектор, в свою очередь, подключен по опто-волокoнно-му каналу связи Ethernet 100 Мбит/ к департаменту ИТ, где находится управляющий сервер. Клиентская часть располагается в секторах. Персонал ИТ осуществляет поддержку этой системы. Расположенные на территории операторские интерфейсы, реализованные с помощью программного обеспечения Cimplicity HMI Plant Edition, используют Web-технологию на базе открытой архитектуры клиент-сервер и обеспечивают удаленный доступ пользователям к данным в режиме реального времени через Web-браузеры. В дополнение к встроенным функциям контроля доступа департамент ИТ добавил еще один уровень защиты для обеспечения возможности одновременного просмотра процессов авторизованными пользователями со всех станций, а изменение параметров только с нескольких выделенных станций. Новая система контроля и управления хорошо себя зарекомендовала, упрощая взаимодействие между сотрудниками ИТ и управления процессом, тогда как рассогласование их действий преобладает на многих других предприятиях. „Коллективная работа двух групп очевидна, -комментирует Боутин, — и она играет основную роль в успешной работе нашей системы контроля и управления». |
„При разработке систем управления, — продолжает Кларк, — компьютеры должны иметь беспрепятственную связь друг с другом. Большинство машин в системе управления одновременно выполняют функции сервера и клиента, поэтому стандартная для ИТ модель клиент-сервер в этом случае не работает». Способом защиты системы управления является установка экрана защиты, осуществляющего подробный контроль всего входящего и исходящего трафика. Все сообщения между системой управления и корпоративной системой должны проходить через брандмауэр. Одна биофармацевтическая компания в Калифорнии недавно установила новую систему для обработки статистических данных в соответствии со статьей 21 CFR 11 (Свод федеральных постановлений США). Все данные, связанные со сбоями в процессе, и события хранятся на серверах и являются доступными для тех, кому они требуются, но жизненно важные данные производства и управляющая информация передается по сети, полностью изолированной от корпоративной системы.
Больше, чем философия
Кларк называет это философией „ограниченных векторов угроз”. По его словам, идеальной безопасной системой управления является система, которая:
- изолирована от всех угроз, включая корпоративную систему;
- разделяется защищающими от проникновения системами;
- имеет только одну точку входа/выхода;
- содержит все автоматизированные устройства системы в пределах одного безопасного сегмента;
- позволяет каждой проверенной машине в пределах предприятия иметь беспрепятственный, неограниченный доступ к другой безопасной машине.
Компания Microsoft Corp. называет такую модель безопасности „изоляцией домена”. В версии 3.5 программного обеспечения iFIX GE Fanuc предусмотрены встроенные функции защиты с сервисной программой для проверки достоверности „Application Validator Utility”. Такой программный инструмент автоматически фиксирует любые изменения, сделанные в системных файлах или приложениях, сокращая вероятность непреднамеренного или преднамеренного риска.
Пример применения: Портативный пользовательский интерфейс, интегрированная программа безопасности для управления роботами на базе ПЛКУвеличение точности позиционирования, уменьшение времени цикла обработки, минимальные издержки на содержание оборудования — таковы ключевые достоинства системы Rexroth, установленной в Klocke-Robot-Systeme GmbH (Флозо, Германия). Их автоматические погрузчики и разгрузчики обслуживают загрузку формовочных машин. Система IndraMotion for Handling, дополненная функциями обеспечения безопасности работ, базируется на открытой системе управления IndraLogic, отвечающей стандартам IEC 61131-3 для обеспечения совместимости с уже установленными программными модулями. Система создает ощущение, что ее разработали для управления роботами, но в действительности является системой управления ПЛК. IndraMotion for Handling включает в себя экранную интерактивную среду на мобильных операционных панелях, таких как мобильный операторский интерфейс Rexroth VEH30. Этот блок имеет 8,4-дюймовой сенсорный экран и функцию „горячей» замены и легко подключается через Ethernet во время работы оборудования. Одно устройство может поддерживать управление несколькими операциями. Пользователь может редактировать перемещения с помощью четырех экранных клавиш на портативном компьютере или вводить фиксированные точки через виртуальную клавиатуру. Интегрированные функции защиты в Rexroth IndraDrive, которые сертифицированы согласно EN-954-1, Категории 3, позволяют соответствовать нормам безопасности, действующим во всей Европе, без дополнительного аппаратного обеспечения. |
Люди с самыми лучшими намерениями могут создавать опасные ситуации, предупреждает Джо Квиг, Вице-президент инженерной компании Systek Automated Controls (ранее технический руководитель компании International Automation). „В большинстве своем персонал систем управления не контролируется во время проведения каких-либо изменений, — комментирует Джо Квиг. — Существует проблема неполноты документации, если персонал, осуществляющий модификацию системы, не фиксирует эти изменения, то они остаются неучтенными”. Большинство работающих систем содержат аппаратную релейную логику, „и кто угодно может открыть панель управления и изменить конфигурацию системы управления по различным причинам». „Четко разработанная современная система управления, — продолжает Джо Квиг, — делится на две части: стандартные ежедневные программы управления, которые имеют открытую архитектуру, и безопасная заблокированная от изменений область, которая может привести к угрозе в случае ее изменения. Только определенные люди, знающие пароль и имеющие надлежащую квалификацию, могут фактически изменять ее”.