Яким має бути сучасний SCADA/HMI продукт на прикладі GE Digital Proficy iFIX

Тренди розвитку ПЗ HMI

Що таке SCADA-система, її призначення та функції, а також яким основним вимогам ПЗ цього класу має відповідати, ми вже писали у публікації «SCADA система, что это такое».

У цьому матеріалі розглянемо основні тенденції розвитку ПЗ HMI взагалі та зупинимося на найважливіших характеристиках сучасних систем саме диспетчерського керування рівня SCADA.

Аналіз компанії ARC під назвою «Human Machine Interface Software and Services Global Market 2015 – 2020» для основних індустріальних ринків наводить наступні тренди розвитку світового ринку ПЗ класу HMI:

  • Industrial Internet of Things (IIoT) and Industry 4.0. Мається на увазі вирішальна роль ПЗ HMI у відображенні даних підключених до інтернет-сервісів інтелектуальних фізичних активів та результатів обчислення і аналітики;
  • Mobility. Виконання додатків ПЗ HMI на мобільних пристроях підвищує продуктивність праці, надає зручність через доступ до промислових даних з любого місця та знижує загальну вартість володіння такого роду системами;
  • Multi-Touch Screen. Це сучасні, подібні до роботи зі смартфонами та планшетами, методи взаємодії користувача з ПЗ, які базуються на розширених алгоритмах розпізнавання жестів;
  • Big Data. Кількість інформації, яку збирають з виробництва, росте швидкими темпами. ПЗ HMI повинно обробляти більше даних та краще інтегруватися з аналітичними додатками щоб забезпечити користувача більш точною інформацією для прийняття рішень;
  • Cloud Computing and Services-Based Solutions. Хмарні обчислення та сервіс-орієнтовні рішення набувають все більшої актуальності з розвитком індустріального IoT. ПЗ HMI повинно мати можливість підключення до цих хмарних сервісів з обов’язковою умовою розгортання ефективної архітектури кібербезпеки;
  • Analytics. Нова генерація HMI продуктів стає більш розумною. Залежно від об’єму даних та їх орієнтованості на реальний час, розрахунки та аналітика мають бути розподілені між контролером, HMI додатком та хмарою;
  • Virtualization. Віртуалізація роз’єднує апаратне та програмне забезпечення, що полегшує користувачам здійснення необхідних оновлень незалежно один від одного;
  • BYOD (bring your own device). Все частіше робітники використовують на виробництві свої власні комерційні смартфони, планшети та інші пристрої. Для цього потрібно, щоб ПЗ HMI було здатне до розгортання на будь-якому пристрої Microsoft, Apple або Android із підтримкою технології HTML5. HMI додатки мають вирішувати ці нові вимогі за допомогою відповідних засобів зв’язку та безпеки;
  • Greater extendibility. Більшість користувачів ПЗ шукають рішення з високим ступенем гнучкості та масштабованості без шкоди для простоти розгортання, застосування та обслуговування;
  • Further integration with ERP, MES and external historians. ПЗ HMI має бути спроектовано з урахуванням простої подальшої інтеграції з системами верхнього рівня ERP, MES та зовнішніми історичними архівами виробничих даних.

SCADA/HMI системи застосовуються з 80-х років минулого сторіччя та стали невід’ємною частиною систем автоматизації. Але це не означає, що ПЗ цього класу є щось стале та консервативне. Зараз, в період цифрової революції, технологічні інновації змінюють не тільки побутовий сегмент та активно впливають на промисловість. Дешеві та розумні датчики, високошвидкісна мережева інфраструктура та безпрецедентна обчислювальна потужність сучасних комп’ютерів дозволяє оперувати величезними обсягами виробничих даних у реальному часі. Широке застосування web-технологій, відкриті стандарти взаємодії, технології машинного навчання та штучного інтелекту призвело до появи нових недосяжних раніше методів оптимізації керування технологічними процесами.

Звичайно, що ПЗ класу SCADA/HMI мають відповідати цим сучасним тенденціям та підтримувати цифрову трансформацію промисловості. Великий обсяг сирих даних має перетворюватися на важливу інформацію, а сучасні та зручні технології візуалізації дають можливість скористатися цими даними для прийняття швидких та правильних дій. В результаті SCADA/HMI системи стають високопродуктивними середовищами розробки та візуалізації, перетворюються на інструмент постійної оптимізації технологічних процесів, дають змогу не тільки підвищити продуктивність та знизити витрати на виробництві, але змінюють саме мислення робітників, підвищують їх професійну культуру та ефективність.
На наш погляд, найважливіші критерії сучасної SCADA наступні:

  • Високопродуктивний HMI;
  • Ефективний розумний менеджмент тривог;
  • Менеджмент промислових даних;
  • Об’єктно-орієнтовна модель БД;
  • Віддалене web-конфігурування;
  • Широкі можливості візуалізації;
  • Просунуті практики кібербезпеки.

Hight Performance HMI

Що собою являє високопродуктивний HMI, вимоги стандарту ISA 101 та практичні кроки по його впровадженню ми вже розбирали в публікаціях «Стаття ISA101 та Proficy iFIX» та «HP HMI Міфи» від 2022 року. Можна тільки додати, що нова версія Proficy iFIX 2022 постачається з новими наборами об’єктів Hight Performance Dynamos та демо-проектами HP HMI Sample System на 2 варіанти (batch та безперервний процес).

Менеджмент тривог

Відповідно до результатів досліджень GE Digital менеджмент тривог залишається одним з найбільш важливих та складних робочих процесів на виробничому рівні. Оператори та інженери мають отримувати тривоги вчасно, відповідно до їх пріоритету та з інструкціями як на них реагувати.

За даними експертів GE Digital близько 75% з усіх генерованих системами автоматизації тривог є шум. Крім того, дуже часто одна проблема може викликати цілий потік сигналів та повідомлень, що призводить до сум’яття, коли, особливо новий та недосвідчений персонал не в змозі визначити справжню проблему. Зменшити такий шум можна за допомогою алгоритмів machine learning, коли сигнали тривоги SCADA/HMI передаються до хмарних IIoT сервісів звідки оператори отримають не просто необроблені дані, а тривоги у контексті промислових подій, з проактивним аналізом на основі поведінки цифрової моделі та з інструкціями на свій мобільний пристрій.

SCADA/HMI система Proficy iFIX не просто має змогу генерувати тривоги по даним реального часу які збираються з апаратури процесу. Функції системи менеджменту тривог значно розширені за рахунок спеціалізованого додатку Win911, версія Essentials якого безкоштовно постачається з будь-якою ліцензію на SCADA сервер. Таким чином функції системи менеджменту тривог iFIX наступні:

  • Формування стратегії тривог, яка являє собою план розподілення інформації про тривоги між вузлами та додатками iFIX. Тривоги мають отримувати певні люди у певному місці, тобто спеціалісти які відповідають за конкретну ділянку виробництва та здатні вплинути на проблему. Розподілення тривог здійснюється на основі бази зон, де зона – це фізичний (цех, лінія, машина) або функціональний (рівні у ємностях, навантаження на валах, вібрація) підрозділ підприємства.

alarm zones and SCADA nodes

 

Малюнок 1. Приклад розподілення інформації по зонах тривог та вузлах SCADA

  • Вбудовані автоматичні сервіси тривог дозволяють відсилати певні формати повідомлень на принтери, у файли, в історію та у зовнішні БД по ODBC;
  • Для візуалізації тривог та повідомлень призначені системні лічильники та об’єкт «Зведення тривог», який служить для відслідковування та керування (квітування, сортування, фільтрація по умові, видалення, відкладання на певний час та ін.) у режимі runtime;
  • Також тривоги можуть бути прив’язані до контекстної виробничої моделі SCADA;
  • За допомогою Win911 розробляються динамічні робочі процеси та алгоритми стратегій обробки, реакції та повідомлень користувачів про потенційно аварійні ситуації через електронну пошту, SMS, VoIP/TAPI та на мобільні пристрої.

Промисловий Data management

Вже довгий час задачу локальної історії SCADA у продукті iFIX виконує ПЗ Proficy Historian, який являє собою високотехнологічний інструмент менеджменту промислових даних. Архіви даних реального часу виступають як інтеграційні платформи MES/MOM та засіб підвищення цінності даних за рахунок обчислень вторинних KPI. Високопродуктивні продукти класу Data Historian разом з моделлю активів забезпечують правдивий виробничий контекст даних, що ідеально підтримує концепцію IIoT та створюють основу для цифрової трансформації виробництва.

У складі SCADA/MES архів відповідає за збір, зберігання, обробку та поширення технологічних даних з різноманітних джерел інформації (системи автоматизації та індустріальні IT):

  • Дані реального часу (датчики, контролери, SCADA/HMI/DCS за допомогою OPC DA/UA/AE або native колекторів iFIX, Wonderware, Cygnet);
  • Історичні або структуровані дані (інші Historian, OSI PI, реляційні БД по ODBC, архіви через OPC HDA);
  • Допоміжні інтерфейси (калькуляційний, файловий, MQTT, collector toolkit, SDK/API, Python-розрахунки та ін.).

При зборі даних використовується спеціалізована технологія розподілених колекторів, які встановлюються на джерелах даних, підтримують буферізацію, стиснення даних, синхронізацію міток часу та автоматичне відновлення передачі (store and forward). Колектори також мають Bi-Modal властивості, тобто можуть передавати інформацію як у локальні архіви Historian, так і у хмарні середовища Big Data.

Зібрані на високій швидкості параметри (до 1 млн операцій читання/запису за секунду) зберігаються у спеціалізованих Data Stores часових рядків (time series) та можуть надаватися різноманітним клієнтським додаткам:

  • SCADA/HMI iFIX різного типу (монопольні, термінальні, web повнофункціональні або HTML5 dashboards);
  • Додатки аналітики, наприклад, засіб розробки цифрових близнюків Proficy Csense або набір MES функціоналу (Quality, Efficiency, Production) Proficy Plant Applications;
  • Власні web-додатки Historian Web Trent Client або Operations Hub як засіб розгортання централізованого інформаційного порталу підприємства;
  • Також засоби адміністрування, надбудова Excel Add-In та зовнішні додатки через OLEDB/SQL, SDK на VB/C, традиційне API та публічне REST API , а також стандартні інтерфейси OPC UA і ОРС HDA.

components Proficy Historian archive

Малюнок 2. Основний набір компонентів архіву Proficy Historian

Таким чином, використання Historian для менеджменту даних на рівнях SCADA та MES/MOM дозволяє будувати різні сучасні стратегії інформаційної виробничої інфраструктури. Враховуючи вбудовані засоби кібербезпеки та резервування серверів/колекторів все це надає рішенню незрівняну швидкість, стабільність та надійність.

Від «базового» використання, як інтеграційної платформи диспетчерської SCADA або MES-системи масштабу підприємства до корпоративної розподіленої інфраструктури. Від вбудованої Linux версії для використання у розширеній Edge-аналітиці до архіву часових рядів як хмарного сервісу з можливістю інтеграції з системами обробки HD/HDFS. Від безкоштовної Essentials версії, яка поставляєтеся з кожним SCADA/HMI сервером iFIX до корпоративної ліцензії на розподілені 100 млн тегів.

Малюнок 3. Гібридна архітектура менеджменту даних за допомогою Proficy Historian

Підприємства дуже потребують такої можливості об’єднання якісних даних реального часу від датчиків та різноманітних систем автоматизації з історичними даними від індустріальних IT систем енергоменеджменту, контролю якості, APM (Asset Performance Management) та інших структурованих бізнес-даних і нормативно-довідкової інформації з ERP.

Поєднання сучасних технологій HMI/SCADA та Data Historian забезпечує основу для діджиталізації виробництва яка зараз є основним трендом Industry 4.0.

Об’єктно-орієнтовна модель БД

Технологічні дані у контексті є основою цифрової трансформації виробництва. Персоналу потрібно швидко орієнтуватися в обладнанні, порівнювати відповідні параметри подібних машин щоб діяти на упередження можливих проблем. Використання моделей активів до яких прив’язані зібрані, розраховані та інтегровані з різних систем дані, різко підвищують реальну цінність інформації, роблять їх доступними та зрозумілими для широкого кола спеціалістів. Дані в контексті, це коли користувач бачить значення параметрів відповідно до реальної виробничої моделі завод/цех/лінія/агрегат та відразу розуміє з якого джерела вони надходять: датчики систем автоматизації, розрахунковий рушій SCADA/MES, IT системи технічного обліку, енергоменеджменту, контролю якості і таке інше. А якщо ці моделі також включають бізнес-дані та нормативно-довідкову інформацію, наприклад, номер партії, назва продукту, специфікація на виготовлення, бригада та інше, то це надає ще більше можливостей для швидкого аналізу та оптимізації.

Сучасне ПЗ SCADA повинно включати інструменти розробки та супроводження моделей активів, давати можливість створення стандартних типів об’єктів (шаблонів) по типу існуючого обладнання. Наявність в основі SCADA об’єктно-орієнтовної БД реалізує концепцію надання інформації в природному виробничому контексті, значно покращує здатність користувачів розуміти процес та проводити порівняння і аналіз подій. Крім цього, застосування моделей активів робить саму розробку додатків візуалізації та аналізу даних більш простим та доступним не тільки вузьким спеціалістам, але IT фахівцям, які безпосередньо не задіяні на підприємствах. Це нова парадигма, коли зусиллями різного роду експертів, які мають певний рівень знань кожний на своєму рівні, розгортається цілісна ієрархічна інфраструктура, єдине інформаційне поле підприємства у якому важливі виробничі дані можуть вільно пересуватися та є усім зрозумілими у своєму природному контексті.

Малюнок 4. Концепція надання даних через контекстну модель активів

Інструментарій розробки виробничої моделі у SCADA/HMI Proficy iFIX (Model Explorer) реалізований у складі додатку Configuration Hub який дозволяє створювати шаблони типів активів та легко супроводжувати їх екземпляри. Модель в iFIX складається з наступних сутностей:

  • Object Types. Типи об’єктів, це структура установки, яку треба створити, наприклад, змішувач, піч або насос які мають спільну побудову та загальні змінні. Типи об’єктів мають змінні, вбудовані типи та шаблони;
  • Variables. Змінні, це окремі теги або вимірювання, які є загальними для усіх об’єктів певного типу, наприклад, температура, тиск або витрати. Змінні представляють теги БД, які містять значення отриманні за допомогою драйверів, таких як IGS або клієнт OPC UA;
  • Templates. Шаблони, які дають можливість мати один або декілька посилань Object Types в екземпляри об’єкта Object Instance;
  • Substitutions. Підстановки, це заміни які дозволяють параметризувати визначення типу об’єкта таким чином, щоб можна було б створювати унікальні екземпляри з наявних типів та шаблонів;
  • Contained Types. Контейнерні, вбудовані типи об’єктів, які дозволяють створювати ієрархічну архітектуру активів;
  • Object Instance. Екземпляри об’єктів, це екземпляр створений з типу Object Types та який представляє окремий актив у моделі до якого прив’язані змінні.

Ця система сутностей дозволяє створювати та супроводжувати розгалужену об’єктно-орієнтовану модель виробництва, тобто перетворює класичну пласку БД SCADA у структуровану, багатомірну, де кожний параметр подається у своєму природному контексті.

За підтримки нового інтерфейсу обміну даними в системах автоматизації OPC UA з’явилась можливість ще у контролері структурувати дані у контексті виробничого обладнання. Відповідно, iFIX може отримувати такі структуровані дані та об’єкти у свою БД через модель. Такий сучасний підхід дозволяє суттєво заощадити час на синтез БД, особливо для великих баз у десятки тисяч тегів.

Model Explorer SCADA/HMI Proficy iFIX

Малюнок 5. Налаштування екземпляру об’єкту у Model Explorer SCADA/HMI Proficy iFIX

Віддалене web-конфігурування

Роль SCADA у новому типі сучасного «цифрового» підприємства змінюється. Мабуть найбільший вплив на цей процес здійснюється за рахунок проникнення IT технологій у зону промислової автоматизації. Один з таких трендів – це використання віддалених централізованих засобів розробки та налаштування. Особливо ця тенденція посилилася в останні 2 роки, у період пандемії COVID-19, коли намагаються усі можливі роботи по розгортанню та налаштуванню ПЗ перенести в online, без присутності на об’єкті. Так, це дивно для традиційного інженера з автоматизації не проводити більшість часу впровадження проекту у відрядженнях, але погодьтеся – це зручно. Все що треба – це мати функціональні та безпечні інструменти централізованого менеджменту ПЗ та надійний відділений доступ до вузлів SCADA/HMI.

Компанія GE Digital у відповідь на актуальні виклики ринку просуває свою концепцію IDE (Integrated Development Environment), тобто інтегрованого середовища розробки. Це новий погляд, модернізація традиційного конфігураційного інтерфейсу ПЗ SCADA. Головною перевагою IDE є проста віддалена розробка проекту за допомогою стандартного браузера ОС та без будь-якої інсталяції ПЗ.

Ця нова web-орієнтовна утиліта конфігурації SCADA/MES отримала назву Configuration HUB та являє собою HTML5 dashboard. Зараз вона включена у інсталяцію любого SCADA-сервера iFIX та забезпечує режим розробки проекту offline з наступною публікацією його на працюючому вузлі. Configuration HUB активно розвивається, набуває нових можливостей та функцій. Кінцева мета – перетворити Configuration HUB на комплексний інтегрований засіб віддаленої централізованої розробки проектів промислової автоматизації та індустріального IT. Web-management має стати доступним не тільки для налаштування SCADA, але також і MES додатків, тобто має охопити комплексні багаторівневі проекти цифрової трансформації. Вже зараз новітні версії SCADA/HMI iFIX та архіву Historian постачаються з додатками Configuration HUB, які можуть бути об’єднані. На цей час web-додаток Configuration HUB iFIX включає наступні компоненти:

  • Connectivity. Налаштування підключення до апаратури процесу за допомогою OPC UA та набору найбільш розповсюджених драйверів і інтерфейсів IGS (Industrial Gateway Server);
  • Model Explorer. Синтез виробничої об’єктно-орієнтованої моделі;
  • Database Manager. Менеджер БД з усіма стандартними інструментами створення та супроводження SCADA.

iFIX Configuration Hub

Малюнок 6. Налаштування OPC UA джерел даних додатку iFIX Configuration Hub

DB iFIX Configuration Hub

Малюнок 7. Менеджер БД додатку iFIX Configuration Hub

Звичайно, що для реалізації віддаленого конфігурування посилена безпека.

Розділ Connectivity реалізує просте налаштування підключення до джерел даних та виконання тестів, броузинг змінних, автоматичне створення тегів БД SCADA, історичного архіву Historian та об’єктів моделі активів.

Функціональність операцій Model Explorer по створенню об’єктно-орієнтованої виробничої моделі містить у собі наступні основні операції:

  • Створення об’єктів та їх шаблонів з наступною прив’язкою змінних до тегів БД;
  • Редагування шаблонів та властивостей його змінних (джерело, дескриптор, інженерні одиниці, межі тривог, тощо);
  • Просте створення багатьох екземплярів об’єктів моделі;
  • Імпорт та експорт конфігурації моделі.

Database Manager фактично являє собою web-адміністратор з можливостями створення, редагування та супроводження БД SCADA. Особливістю є можливість автоматичного створення тегів БД у процесі синтезу нового об’єкта або екземпляра об’єкта моделі.
Користувач може підлаштувати Configuration Hub під себе. Наприклад, можна створити такий вигляд додатку, щоб у ньому було одночасно видно Model Explorer, Database Manager та джерела даних ОРС UA.

Поточна версія Configuration Hub для Proficy Historian дозволяє централізовано та простіше налаштовувати та керувати архівами і збором даних. Головна особливість полягає у тому, що віддалено можна створювати та налаштовувати колектори, які відправляють дані у локальний сервер або у сервіси зберігання хмарних платформ. Крім цього, з впровадженням Configuration Hub, стало можливо керування цими віддаленими розподіленими службами. І це не тільки старт/стоп, але очистка/перенос буфера даних та зміна сервера призначення.

Малюнок 8. Configuration Hub продукта Proficy Historian

Широкі можливості візуалізації

Сучасна концепція керування виробництвом передбачає тісну інтеграцію систем автоматизації та індустріальних IT систем у єдиному інформаційному просторі де важливі дані, неважливо де вони народжуються, мають змогу вільно пересуватися у реальному часі. Крім цього, сьогодні великі корпоративні інформаційні системи відрізняються різноманітними архітектурами побудови, які можуть співіснувати паралельно. Тобто традиційна централізована архітектура багаторівневого диспетчерського керування може легко доповнюватися розподіленою системою інтелектуальних Edge пристроїв, які обмінюються даними напряму з хмарними сервісами IIoT. У свою чергу MES/MOM системи тісно пов’язані з бізнес ERP задачами, а їх спільні дані розподілені та циркулюють між локальними серверами («гарячі» дані керування виробництвом) та хмарними засобами зберігання («холодні» статистичні та бізнес-дані).

Однак у таких гібридних структурах, коли дані різноманітних різнорівневих систем стають спільним надбанням, є проблема з їх візуалізацією. Ніхто не бажає мати купу паралельних систем відображення для даних з різних джерел. Більш оптимальним виглядає рішення централізованої візуалізації даних як з HMI/SCADA систем, так і поза їх межами.

Таким чином, засоби візуалізації ПЗ класу SCADA мають стати більш інтегрованими та демократичними, а спільні важливі виробничі дані повинні мати відповідні кросплатформені спільні засоби візуалізації.

SCADA/HMI система Proficy iFIX має широкі можливості візуалізації даних. Зокрема, пропонуються наступні основні типи клієнтських додатків:

  • Монопольний iClient. Традиційний, «товстий» клієнт для повноцінного керування процесом оператором. Також може використовуватися для розробки проекту;
  • Монопольний тільки для контролю iClient Read Only. Версія «товстого» клієнта тільки для перегляду даних, без можливості запису у БД серверів SCADA;
  • Термінальний iClientTS. Тонкий, коли iClient встановлюється тільки на сервері під керуванням MS Terminal Server, а для підключеного клієнта формується сеанс;
  • Web-повнофункціональний WebSpace. Тонкий web-клієнт з можливістю керування процесом через браузер;
  • Web-клієнт HTML5 Web HMI. Тонкий web-клієнт під вимоги HP HMI ISA 101 який являє собою доступний для налаштування HTML5 dashboard.

Головна особливість цих додатків у тому, що всі вони розробляються в єдиному універсальному середовищі iFIX Workspace. Крім цього, клієнтські додатки iFIX призначені не тільки для SCADA, але завдяки інтеграції з іншими продуктами сімейства GE Digital Proficy можуть застосовуватися як ПЗ MES/MOM рівня. У цьому сенсі найбільш важливим є можливість відображення даних інтеграційної платформи системи керування виробництвом Historian, набору модулів MES аналітики Plant Applications та засобу автоматизації робочих процесів Workflow. Таким чином, засобами Proficy iFIX можна розробляти додатки не тільки операторів систем автоматизації, але і для менеджменту підприємства, аналітиків та фахівців зі сфери підвищення ефективності виробництва.
Як пише ARC «ПЗ HMI/SCADA збільшує свою роль як центру інтеграції та бізнес-аналітики, забезпечуючи підключення та візуалізацію до бізнес-систем, інженерних систем, ланцюгів поставок та програмних систем CPM/MES. І це все на додаток до своєї традиційної ролі відображення та керування обладнанням заводу та системами автоматизації, розташованих на підприємствах по всьому світу».

Відповідно до цього тренду, GE Digital пропонує спеціалізований засіб централізованої візуалізації контекстної та ситуаційної інформації, новий компонент програмної технології Proficy – Operations Hub. Цей продукт реалізує концепцію підвищення ефективності керування виробництвом за рахунок розгортання єдиної платформи візуалізації інтегрованої та агрегованої інформації із різноманітних промислових джерел. Operations Hub оснований на технології Rapid Application Development (RAD), тобто швидкої розробки додатків та дозволяє без програмування розробляти та розгортати потужні промислові додатки.

Малюнок 9. Архітектура застосування інструменту централізованої візуалізації Operations Hub

Таким чином, ключові особливості продукта наступні:

  • Можливість підключення до усіх багатофункціональних виробничих систем та джерел даних. Окрім інтеграції з іншими продуктами сімейства Proficy (Historian, Plant Applications, Workflow та ін.) підтримуються найбільш сучасні та затребувані методи OPC UA, MQTT, SQL і REST API;
  • Прості, сучасні та демократичні інструменти розробки додатків збору, відображення та аналізу даних від промислового обладнання та систем без навичок програмування;
  •  Дружній інтерфейс з багатими бібліотеками розробки екранів до яких входять віджети, діаграми, графіки, таблиці, карти, індикатори, списки, контейнери та цілі макети dashboards. Дизайнер екранів підтримує режим WYSIWYG (What You See Is What You Get), тобто при розробці екран виглядає так як він буде відображатися на пристрої призначення (комп’ютер, планшет або смартфон);

Малюнок 10. Ілюстрація режиму розробки екранів WYSIWYG дизайнера Operations Hub

  • Візуалізація даних на усіх рівнях інформаційної інфраструктури з прив’язкою до виробничої об’єктно-орієнтованої моделі обладнання;
  • Масштабованість від невеликих виробництв до корпоративних архітектур;
  • Зібрані web-додатки за допомогою технологій HTML5 и CSS3 можуть бути застосовані на комп’ютерах та мобільних пристроях незалежно від платформи;
  • Створення сутностей, запитів та дій (наприклад, відправка електронного листа, виконання запиту або команда на пристрій) по значенням, які зберігаються у реляційних БД;
  • Контрольований безпечний доступ до додатку та даних залежно від ролей користувачів.

За допомогою Operations Hub системні інтегратори та штатні інженерні групи можуть використовувати ефективні інструменти для швидкої збірки web-додатків без використання програмного коду з можливістю підключення до ПЗ класу SCADA/HMI, баз даних, різноманітних систем керування та джерел IIoT.

Кібербезпека

Водночас з процесом інтеграції SCADA/HMI у єдину корпоративну систему обміну даними, візуалізації та прийняття рішень, ризики порушення безпеки геометрично зростають.

По-перше, важливо розуміти, що хоча SCADA/HMI системи знаходяться у самому центрі ієрархічної виробничої моделі ISA, безпека на цьому рівні є лише одною з частин загальної стратегії кібербезпеки підприємства. Сучасні рівні керування виробництвом тісно пов’язані, мають спільні рішення та дані. Отже скрізь, де існує обмін даними існує і ризик несанкціонованого доступу та маніпулювання ними.

По-друге, спочатку треба зрозуміти, де зазвичай криються потенційні вразливості всередині системи. Розвиток ПЗ SCADA/HMI та промислових комунікацій призвів до появи потужних, складних, багатофункціональних систем диспетчерського керування, які при цьому, нажаль, стали сприятливими до зовнішніх загроз.

Проблеми кібербезпеки SCADA/HMI краще зрозуміти, якщо їх розбити на два окремі елементи: комунікаційні та програмні технології. Відповідно, всередині системи існує два рівні комунікацій: інформаційні технології (IT) та зв’язок з польовим рівнем апаратури процесу.

Для того, щоб підвищити надійність та розподілити обчислювальне навантаження, IT компоненти сучасних SCADA/HMI систем роблять модульними. Зазвичай у системі присутні кілька товстих, тонких, web та мобільних клієнтів, які на період активної сесії підключаються до серверів SCADA через внутрішню мережу Ethernet або зовнішні орендовані лінії, бездротові, стільникові або супутникові технології. Часто буває, що клієнтські запити паралельно надходять до серверів архівних даних та виділених мережевих web-серверів балансування навантаження. Тобто усі ці та інші компоненти ПЗ підключені до мережі та використовують стандартизовані загальні протоколи передачі даних які, в основному, незашифровані та вимагають слабкої аутентифікації.
Реалізація апаратури процесу часто складається з розосереджених віддалених вузлів керування які підключені до центрального диспетчерського пункту. Зв’язок здійснюється через виробничу мережу, яка може бути оптоволоконною, стандартною мідною або бездротовою, а протоколи обміну даними розроблялися давно та з акцентом на легкість реалізації, а зовсім не на безпеку.
В свою чергу, програмні технології з роками значною мірою стали роздутими, оскільки розробники продовжують додавати нові можливості, при цьому зберігаючи усі існуючи, що збільшує складність необхідної безпеки. Більшість SCADA/HMI систем мають зовнішні підключення до мереж або навіть прямий вихід до Інтернету для віддаленого виконання функцій ліцензування, налаштування та обслуговування. Хоча таки види комунікацій дозволяють зменшити витрати на оплату праці та підвищити ефективність технічної підтримки, але це ключова точка входу для зловмисного втручання.

В області операційних систем все більш популярними стають рішення, які використовують елементи «open source» (наприклад, Windows Server, Linux або Unix) оскільки вони також допомагають знизити витрати. Ця тенденція до відкритих технологій залишає спеціалізовані, закриті та високобезпечні системи у минулому, але це збільшує ризики. Також через те, що SCADA/HMI системи стають все більш складними та містять декілька рівнів технологій, навіть простий патчинг системи становить велику проблему, яка вимагає планування, фінансування та часу. Так як SCADA/HMI системи мають безперебійно забезпечувати технологічний процес, часто актуальні patches, service packs та оновлення стримуються, або навіть застосовується принцип «це працює, не чіпайте це». Крім цього, програмні виправлення, як правило, розробляються для прикриття порушень безпеки, які вже відбулися. Таким чином, враховуючи швидкий темп розвитку комерційних ОС та велику кількість експлойтов, платформні операційні системи можна вважати найбільшим ризиком безпеки в системі.

Внутрішній дизайн систем керування мінімізує деякі ризики. Наприклад, базовий рівень безпеки та зниження помилок гарантується тим, що прийнято усі команди керування підтверджувати оператором вручну, щоб переконатися у його цілеспрямованих діях. На рівні апаратури процесу часто використовується рішення з двома паралельними режимами керування (ручний або автоматичний) та ручний дистанційний режим керування може використовувати окремі ланцюги та апаратні засоби, які не залежать від працездатності ПЗ. Для критичних процесів використовується апаратні блокування, резервні канали вимірювання і керування та спеціалізована логіка протиаварійного захисту. Тому можна сказати, що правильна цілісна філософія дизайну систем автоматизації дозволяє створювати безпечне середовище, яке може серйозно перешкоджати зловживанням на рівні SCADA/HMI.

У якості практичних заходів що до підвищення безпеки систем автоматизації рекомендуємо документ «БАЗОВІ РЕКОМЕНДАЦІЇ З КІБЕРБЕЗПЕКИ ПРОМИСЛОВИХ СИСТЕМ КЕРУВАННЯ ДЛЯ ВІДДІЛІВ АСУ ТП» , який був розроблений групою «Кібер-безпека» Технічного комітету 185 Асоціації Підприємств Промислової Автоматизації України (АППАУ). Наведені у цьому документи кроки першочергових та необхідних заходів протидії кібер-атакам сформовані на базі міжнародних стандартів NIST, ISA 99 та МЕК 62443.

BASIC CYBER SECURITY RECOMMENDATIONS

Малюнок 11. Можливі шляхи проникнення шкідливого ПЗ в систему керування з документу «БАЗОВІ РЕКОМЕНДАЦІЇ З КІБЕРБЕЗПЕКИ ПРОМИСЛОВИХ СИСТЕМ КЕРУВАННЯ ДЛЯ ВІДДІЛІВ АСУ ТП» ТК 185 АППАУ

Як вказано у рекомендаціях, критично важливим є вибір постачальника ПЗ, який би мав глибокі знання, досвід та передові технології безпеки. ПЗ Proficy iFIX компанії GE Digital успішно допомагає мінімізувати прогалини безпеки промислових SCADA/HMI систем з використанням широкого спектру готових програмних технологій, включаючи:

  • Біометрія. Це коли елементи біозахисту, наприклад, сканування відбитку пальця, інтегровані у систему. Цей тип захисту усуває можливість виконання операцій хакером тому, що необхідна фізична присутність відповідної особи;
  • Електронний підпис. Це не просто інструмент звітності, але можливість перевірки користувача по його цифровому підпису, окрема аутентифікація аудитора операції та автоматичне ведення журналу подій системи. Електронні підписи та записи можна інтегрувати з біометричними даними;
  • Авторизовані з’єднання та шифрування даних клієнт/сервер. iFIX має вбудовані функції, які обмежують допустимі підключення клієнта та використовують інтегроване шифрування даних для його комунікацій з серверами. Ця захисна здатність усуває можливість хакера просто завантажити клієнтське ПЗ для отримання доступу до мережі;
  • Аутентифікація домену. Для використання складних букво-цифрових паролів на рівні SCADA, компанія GE Digital дозволяє використовувати можливості аутентифікації домену Windows. Це дозволяє додаткам SCADA/HMI використовувати існуючі групові політики рівня IT, які зазвичай є дуже суворі та перевищують вимоги у промисловості.

Також гарною новиною є те, що SCADA/HMI продукт iFIX спроектований по своєї суті так, щоб мінімізувати деякі основні вразливості. Ця інноваційна технологія GE Digital має назву «secure-by-design» та детально описана у документі «iFIX SECURE DEPLOYMENT GUIDE». Цей посібник описує оптимальні безпечні архітектури та конфігурацію вузлів SCADA/HMI, містить детальні рекомендації по обміну даними між вузлами, а також по розгортанню, налаштуванню та обслуговуванню усіх інших наявних функцій кібербезпеки.

GE Digital є одним з лідерів у використанні інтерфейсу OPC UA, який є сучасним та безпечним за дизайном інтерфейсом обміну даними у реальному часі. Рішення на базі OPC UA використовують комунікації на основі ключів, сертифікатів та траст-листів. GE Digital надає додаток Global Discovery Server, який дозволяє відстежувати та перевіряти різноманітні OPC UA сервери та діє як центр сертифікації системи автоматизації.

Наявність сертифікату Achilles свідчить, що iFIX відповідає вимогам найбільш сучасних стандартів та передовим практикам кібербезпеки. GE Digital постійно аналізує код свого ПЗ щоб знайти вразливі місця. Розроблений та працює дієвий механізм реагування на появу нових загроз. У GE Digital кібербезпека є частиною філософії розробки промислового ПЗ.

Покращення безпеки систем керування виробництвом може бути вартісним заходом особливо у сучасних складних економічних умовах. Перевага рішення GE Digital Proficy iFIX полягає у тому, що SCADA/HMI продукт пропонується з спеціально-розробленими інструментами, щоб зменшити витрати на розробку системи. Ця концепція швидкої розробки RAD, яка включає об’єктно-орієнтовну БД, засоби розробки графіки HP HMI, Configuration Hub для віддаленого конфігурування та інші, допомагає знизити як початкові, так і поточні витрати пов’язані з ПЗ SCADA. Тому підприємства можуть перенаправити отриману економію витрат на додаткове програмне та апаратне забезпечення безпеки, щоб зменшити загальну вразливість своїх критично важливих інфраструктурних активів.

Володимир Патрахін
vladimir.patrakhin@indusoft.com.ua
ДП «ІНДАСОФТ-УКРАЇНА”
по матеріалам компанії GE Digital