Bezpieczeństwo interfejsów użytkownika

Na poziomie projektu interfejsu użytkownika zależność pomiędzy bezpieczną pracą a stosowanymi zabezpieczeniami jest podstawowym czynnikiem zapewniającym optymalizację wydajności systemu jako całości. 

 

 Interfejsy operatora realizowane z użyciem GE Fanuc Automation Cimplicity pozwalają autoryzowanym użytkownikom na dostęp do danych sterujących z dowolnego miejsca w fabryce – jednakże zmiany parametrów produkcji dokonywać można jedynie z wydzielonych do tego celu lokalizacji

W przypadku interfejsów użytkownika różnica pomiędzy bezpieczeństwem a zabezpieczeniami zwykle jest określona w czytelny, prosty sposób. – Bezpieczeństwem zwykle określa się takie działanie programu sterującego PLC, które wraz z dodatkowym oprzyrządowaniem stanowią o tym, czy aplikacja spełnia funkcje bezpiecznego działania, czy też nie – mówi Steven Garbrecht, menedżer marketingu ds. produktów platform oraz infrastruktury w firmie Wonderware. – Funkcje bezpieczeństwa (safety) są zwykle implementowane w programie sterowania sterownika.

Z kolei gdy chodzi o zabezpieczenia (security), to kwestia ta dotyczy głównie ludzi, którzy próbują dostać się do systemu sterowania w celu wykradzenia części informacji lub też uszkodzenia samego systemu. A zatem bezpieczeństwo (safety) i zabezpieczenia (security) zwykle funkcjonują osobno. Jednakże w przypadku interfejsów HMI oba te pojęcia (a tym samym obszary zastosowań) zachodzą wyraźnie na siebie.

Właściwie zaprojektowane systemy bezpieczeństwa zapobiegają sytuacjom, w których operatorzy mogliby zrobić coś niepożądanego: uszkodzili produkt albo fragment oprzyrządowania. Dodatkowo, pozwala na szybką reakcję na występujące zagrożenia. W grudniu 1984 r. w fabryce Union Carbide w mieście Bophal, w Indiach, miała miejsce katastrofa, w której z powodu niebezpiecznego wycieku z reaktora chemicznego zginęły tysiące osób, a zachorowało jeszcze więcej.

Istnieje rozbieżność pomiędzy wersjami wydarzeń z tamtych dni. Nie wiadomo, czy zawiodły systemy bezpieczeństwa, czy – jak twierdzą przedstawiciele zakładu Union Carbide – wyciek mógł być wynikiem jedynie czyjegoś celowego działania. 

Proces wytwarzania jest inicjowany, sterowany oraz monitorowany przez operatorów z użyciem oprogramowania InTouch firmy Wonderware. System pomocy prowadzi operatora od opcji do opcji w bardzo przystępny sposób. Na rysunku widoczne są: ogólny widok produkcji oraz przykładowe dane zarządzania produkcją wraz ze  śladem rewizji 

W wypadku w elektrowni atomowej na wyspie Three Mile (USA), w marcu 1979 r. operator procesu nie wiedział, że jeden z zaworów był otwarty, podczas gdy system sygnalizował sytuację całkowicie przeciwną – operator wiedział tym samym, że pechowy zawór jest zamknięty. W konsekwencji odczyt poziomu wody w reaktorze był błędny. Podczas drobiazgowego śledztwa odrzucono tezę na temat ewentualnego sabotażu i stało się oczywiste, że gdyby operator otrzymał prawdziwą informację na temat stanu procesu, do tragedii by nie doszło.

Wszystko pod kontrolą

Szpiegów, chcących wyrządzić nam krzywdę, nigdy nie zabraknie. Rich Clark, analityk zabezpieczeń informatycznych w firmie Wonderware w swojej prezentacji zatytułowanej „Wskazówki dotyczące zabezpieczeń w systemach sterowania” wymienia ich aż 17. Zwraca uwagę na problemy od niedouczonej obsługi po pospolitych przestępców czy nawet rządy obcych państw. Zauważa, że: – Każdego dnia czyha na nas niebezpieczeństwo ataku, nie wiadomo, z której strony.

Z punktu widzenia interfejsów HMI – mówi Garbrecht – wyróżnia się trzy główne scenariusze:

  • ktoś z zewnątrz włamuje się poprzez firmowy firewall, przedziera się przez sieć przedsiębiorstwa, dostaje się do interfejsu użytkownika i w rezultacie coś z nim robi;
  • ktoś wewnątrz firmy z jakiegokolwiek powodu chce zrobić coś złośliwego z atakowanym interfejsem HMI;
  • trzeci scenariusz mówi o kimś, kto nie jest złośliwy, pracuje w firmie, jednakże z uwagi np. na swoją niewiedzę robi rzeczy, których nie powinien był robić – tym samym powoduje zadziałanie systemów zabezpieczeń albo wywołuje problem w działającej prawidłowo aplikacji.

– Przedsiębiorstwa wpadają w ciężkie kłopoty – mówi Clark. – Gdy tylko powierzają zabezpieczanie systemów sterowania oddziałom zajmującym się technologiami informatycznymi. Ludzie związani z technologiami IT zwykle poszukują rozwiązań zabezpieczeń, polegających na izolowaniu maszyn od siebie, po to aby ludzie pracujący w sieci nie rozprzestrzeniali przykładowo wirusów w sieci przedsiębiorstwa. Metody takie z pewnością sprawdzają się w przypadku technologii informatycznych, jednakże tego typu podejście znacznie ogranicza komunikację pomiędzy maszynami, nie pozwalając im tym samym pracować pod rygorem czasu rzeczywistego.

Podczas projektowania systemów sterowania maszyny są projektowane tak, by bez żadnych przeszkód wymieniać pomiędzy sobą: dane, informacje, polecenia. Większość maszyn w systemach sterowania z punktu widzenia informatyki jest jednocześnie serwerami i klientami. Tym samym wykorzystanie powszechnego w technologii IT modelu klient-serwer wydaje się niemożliwe. Jak mówi Clark: – Sposobem zabezpieczenia systemu sterowania może być zamknięcie go za „murem ochronnym” z zapewnieniem kontroli wymiany danych pomiędzy strzeżoną przestrzenią wewnętrzną a zewnętrzną.

Wymiana danych pomiędzy systemem sterowania a systemami przedsiębiorstwa odbywa się poprzez firewall. Jedna z firm biofarmaceutycznych niedawno zainstalowała nowy system obsługi danych historycznych zgodnie z normą 21 CFR 11. Wszystkie dane związane z zatrzymaniem lub innymi zdarzeniami procesowymi przechowywane są na serwerze. Każdy, kto ich potrzebuje, ma do nich dostęp, z zastrzeżeniem że jest do tego uprawniony. Informacje są bowiem przechowywane w specjalnie wydzielonej części sieci, odizolowanej od sieci przedsiębiorstwa. 

Więcej niż tylko filozofia

Clark nazywa to podejście „ograniczaniem kierunków występowania zagrożeń”. Idealnie zabezpieczony system sterowania:

  • jest odizolowany od wszystkich zagrożeń, włączając w to system biznesowy przedsiębiorstwa;
  • podzielony jest na warstwy, zawierające urządzenia przeciwdziałające nieautoryzowanej ingerencji;
  • ma tylko jeden punkt wejścia / wyjścia kanału przepływu danych;
  • zawiera wszystkie elementy systemu automatyzacji w jednej komórce;
  • pozwala każdej „zaufanej” maszynie w całym przedsiębiorstwie na nieograniczony dostęp do innych „zaufanych” maszyn (zaufanych w sensie autoryzowanych przez urządzenia kontrolujące bezpieczeństwo w sieci).

Firma Microsoft nazywa taki model systemu bezpieczeństwa „obszarem izolacji”. Firma GE Fanuc wbudowała tego typu funkcje w produkcie iFIX w wersji 3.5, w narzędziu Application Validator Utility. Narzędzie to automatycznie dokumentuje jakiekolwiek zmiany, dokonane w systemie plików lub jakichkolwiek narzędziach, redukując tym samym niebezpieczeństwo zdarzenia, w którym instalacja zostanie odkryta na atak zarówno przypadkowy, jak i specjalnie przygotowany.

Ludzie z najlepszymi intencjami mogą stać się źródłem zagrożenia. Wiele razy ludzie, dokonując jakichkolwiek zmian czy modyfikacji w systemach, byli podczas swoich działań całkowicie odsłonięci na atak. Brak było odpowiedniej dokumentacji, a kiedy ludzie zmieniali systemy,nie dokumentując tego, co robili, odpowiedzialność działania systemu jako całości była coraz trudniejsza do zapewnienia.

Wiele starych systemów zawiera elementy przekaźnikowe zamontowane na stałe. W tych układach każdy może w prosty sposób doprowadzić do uszkodzenia systemu.

Prawidłowo zaprojektowany, nowoczesny system podzielony jest na dwie części: standardowego oprogramowania sterującego (opracowanego z użyciem otwartych standardów) oraz funkcji bezpieczeństwa (ta sekcja jest uważana za zamkniętą). Jedynie odpowiedni użytkownicy, wyposażeni w hasła dostępu, odpowiednio wyszkoleni i poinstruowani mogą ingerować w funkcje bezpieczeństwa systemów sterowania.

ce

Artykuł pod redakcją
dr. inż. Krzysztofa Pietrusewicza,
adiunkta w Instytucie Automatyki
Przemysłowej Politechniki Szczecińskiej

  


Aplikacja: System HMI dostarcza funkcji bezpieczeństwa i zabezpieczeń w produkcji aluminium

Zbudowana w 1990 r. fabryka wymagała ostatnio zdecydowanych ulepszeń. Fabryka zatrudnia blisko 550 osób; zajmuje się wytwarzaniem surowych wlewek aluminium, które są następnie przesyłane do fabryk przetwórstwa i zamieniane już na konkretne produkty.

Sterowanie procesem oraz jego monitorowanie zostało zrealizowane z użyciem opartego na systemie operacyjnym DOS (!!!) systemu, który nie może zostać już zaktualizowany. Akwizycja danych procesowych przeprowadzana jest w „domowej roboty” systemie OpenVMS (VAX). – Potrzebowaliśmy systemu, który będzie można modyfikować z użyciem minimalnego nakładu pracy – wyjaśnia inżynier aplikacji w fabryce.

Personel w fabryce także potrzebował lepszego dostępu do danych procesowych. Przykładowo, ponad 30-osobowa załoga fabryki, która współpracuje blisko ze sobą, w każdej chwili może zostać przeniesiona na drugi jej koniec. Każdy nowy system wymaga wprowadzenia zabezpieczeń, w celu autoryzacji dostępu użytkowników do danych procesowych z każdego miejsca w fabryce – jednak zmiany parametrów procesu powinny być przeprowadzane tylko z wydzielonych, bezpiecznych lokalizacji.

Inżynierowie z fabryki zdecydowali się skorzystać z narzędzi sterowania i monitorowania dostępnych w oprogramowaniu Cimplicity firmy GE Fanuc. Wykorzystano je na najwyższym szczeblu istniejącej już infrastruktury. Proces elektrolizy aluminium – w celu wydzielenia zawartego w nim metalu – podzielono na pięć sektorów. W każdym z nich od 10 do 15 sterowników GE Fanuc serii 90-70 oraz kilka serii 90-30 zapewnia redundantny monitoring i sterowanie aplikacją. W każdym z sektorów sterowniki monitorują blisko 10 000 punktów pomiarowych.

Wykorzystując Ethernet w topologii gwiazdy, sterowniki oraz interfejsy operatora z zamontowanym oprogramowaniem Cimplicity podłączone są do przełączników w każdym sektorze, a następnie połączone przez standardowe połączenie 10Base-T. Każdy sektor z kolei podłączony jest za pomocą łącza światłowodowego Ethernet (o szybkości 100 Mbps) z działami IT przedsiębiorstwa. Serwer nadrzędny (główny) znajduje się w dziale IT, podczas gdy układy podrzędne zlokalizowane są w poszczególnych sektorach. Dział IT odpowiada za obsługę całości systemu.

Oprogramowanie Cimplicity HMI Plant Edition wykorzystuje technologie sieci Web poprzez architekturę klient-serwer oraz projektowanie otwarte, pozwalające użytkownikom na dostęp do danych w czasie rzeczywistym poprzez przeglądarkę stron internetowych na lokalnych panelach Cimplicity, rozmieszczonych w ramach fabryki. Dodatkowo, dzięki modyfikacjom wprowadzonym przez dział IT przedsiębiorstwa (poza już wbudowanymi w system funkcjami bezpiecznego dostępu wielu użytkowników o różnym poziomie dostępu), uzyskano system, w którym autoryzowani użytkownicy mogą mieć wgląd w parametry procesu z każdej stacji, podczas gdy zmiana parametrów odbywać się może jedynie w kilku, przeznaczonych do tego celu stacjach operatorskich.

Nowy system sterowania i monitorowania stanu procesu pracuje wyśmienicie. Udało się to dzięki współpracy działu technologii informatycznych (IT) przedsiębiorstwa oraz personelu odpowiedzialnego za sterowanie procesem – nie we wszystkich przedsiębiorstwach jest to regułą. Współpraca pomiędzy tymi dwoma działami przyczynia się do optymalnego działania systemów sterowania i monitorowania stanu produkcji w przedsiębiorstwie.


Aplikacja: Oprogramowanie do zarządzania wydajnością, interfejsy, wspomaganie optymalizacji działania, osiąganie określonych założeń 

Firma Roche Diagnostics GmbH niedawno uruchomiła nową linię pakującą leki na cukrzycę oraz system diagnostyki produktów w swojej fabryce w Mannheim, w Niemczech. Aby spełnić standardy określone przez amerykańską organizację FDA (Food and Drugs Administration), poprawić wydajność produkcji oraz powiększyć zakres monitoringu, jak i możliwości przeprowadzania rewizji aplikacji firma zaimplementowała oprogramowanie wspomagające zarządzanie i produkcję firmy Wonderware, oddziału Invensys Systems Inc.

Firma zrozumiała, że dzięki wprowadzeniu nowego systemu łatwo będzie spełnić wymagania regulacji 21 CFR 11 FDA. Dwoma głównymi elementami, wybranymi z pakietu firmy Wonderware, były: oprogramowanie InTouch oraz historian oparty na IndustrialSQL Server. Takie rozwiązanie łączy relacyjną bazę danych z systemem czasu rzeczywistego. Oba te komponenty pomogły firmie Roche w spełnieniu wymogów FDA (patrz rysunki).

W nowej linii pakującej fiolki są indywidualnie pobierane z palet, sortowane, a następnie łączone w jedną paczkę. Paczki te są następnie transportowane w kierunku stołu obrotowego, gdzie proces jest kontynuowany. Przymocowywane są etykiety, a kamery systemu wizyjnego sprawdzają prawidłowość zamontowania kodu paskowego. Po kolejnym sprawdzeniu fiolek i przykrywek pod względem koloru paczki przenoszone są w kierunku końcowej fazy procesu pakowania.

Proces produkcyjny jest inicjowany, sterowany i monitorowany przez operatorów za pomocą oprogramowania. Interfejs prowadzi w prosty sposób użytkownika od opcji do opcji. Operatorzyjuż nie muszą „błądzić” pośród wielu opcji poszczególnych okienek.

Zalecenia FDA obligują wytwórców do zarządzania jakością i monitorowaniem stanu produkcji (rejestrowaniem danych na temat produktów) – co w praktyce oznacza, że firmy muszą konkretyzować każdy krok procesu produkcyjnego, włączając w to operatorów wykonujących określone zadania oraz to, kiedy je wykonali. Obsługa wielu użytkowników oraz funkcje dostarczane przez system operacyjny Microsoft Windows 2000 pozwala na realizację mechanizmów bardzo silnej ochrony bez dawania dostępu do specyficznych funkcji systemu. Projektowanie systemów bezpieczeństwa opartych na MS Windows 2000 jest stosunkowo proste i efektywne.

– Jedną z zalet korzystania z tego podejścia jest to, że zarządzanie użytkownikami nie jest realizowane w systemie działającym samodzielnie, lecz raczej jako element większego systemu bezpieczeństwa w przedsiębiorstwie – mówi Uwe Drücker, dyrektor zarządzający w firmie Drücker Steuerungssysteme GmbH. – Takie działanie pozwala na proste wykorzystanie już istniejących modeli użytkowników. Dodatkowo prostota obsługi oprogramowania oraz spójny interfejs pozwala operatorom z fabryki z Mannheim utrzymywać linię pakującą na najwyższych obrotach – wydajność jest optymalna. Operatorzy wykorzystują jeden prosty, zwarty system obsługi użytkowników zamiast kilku kosztownych i złożonych rozwiązań.

Operatorzy w ramach nowej linii pakującej logują się do systemu poprzez system ekranów autoryzacji i autentyfikacji użytkownika. Dzięki temu mogą w ramach systemu wykonywać działania, na jakie pozwala im przypisany poziom dostępu. Czynności, wykonywane w ramach linii procesu pakowania, mogą obejmować takie codzienne operacje, jak np. tworzenie i edycja danych procesowych oraz z produkcji; inicjalizację, wstrzymanie lub zatrzymanie całkowite przebiegu procesu wsadowego; edycję profili użytkowników (danych na temat poszczególnych użytkowników oraz poziomu dostępu do systemu – zwykle takie działania wymagają od użytkownika stosunkowo wysokiego poziomu dostępu). Operatorzy pracujący na linii produkcyjnej muszą potwierdzać wykonywane przez siebie działania poprzez podanie odpowiedniego hasła oraz swojej nazwy użytkownika. Takie funkcje systemu zabezpieczeń pozwalają na spełnienie wymogów FDA, a sama aplikacja zyskuje na tym, że linia staje się odporna na sytuacje niebezpieczne.

Oprogramowanie wykorzystuje mechanizmy znakowania czasem, przypisując tym samym operatora do wykonanej przez niego czynności. Taki znacznik czasu wraz z innymi istotnymi danymi przechowywany jest następnie w bazie danych historycznych IndustrialSQL Server. Dzięki temu możliwe jest wygenerowanie wyczerpującego raportu z dowolnie wybranych danych (patrz rysunek). Taki raport może być później w prosty sposób oglądany i wydrukowany przez uprawnione do tego osoby – kierowników, menedżerów – w dowolnym momencie. Informacje i elektroniczne znaczniki czasowe nie mogą zostać zmienione czy skasowane – składowane są bowiem w jednym miejscu, do którego praktycznie żaden z operatorów nie ma dostępu.

Dodatkowo, w fabryce w Mannheim wykorzystywany jest system redundantny, zapewniający większą dostępność oraz integralność danych. Fizycznie oddzielony od systemu głównego (nadrzędnego) system bezpieczeństwa (podrzędnego) ciągle synchronizuje swoje dane z systemem głównym. W sytuacji gdy główny system zawodzi, taka ciągła synchronizacja pozwala na wykrycie uszkodzenia systemu podstawowego i przełączenia układu w tryb bezpieczeństwa. Taka integracja w przypadku sieci przedsiębiorstwa pozwala na ciągły dostęp do wszystkich danych, które konieczne są podczas analiz wydajności produkcji.

Poza koniecznością spełnienia wymagań FDA problemem jest rosnące zagrożenie bioterroryzmem, a niebezpieczeństwo manipulacji w procesie produkcji i pakowania przez osoby niepowołane (lub nawet wrogo nastawione) pozostaje pod ciągłą uwagą firm farmaceutycznych. Własności związane z zabezpieczeniami dostarczane przez oprogramowanie wspomagające zarządzanie i produkcją pozwoliły firmie Roche osiągnąć dość wysoki poziom bezpieczeństwa. Dodatkowo, dzięki wprowadzeniu odpowiednich procedur możliwa stała się ciągła kontrola jakości produkcji i procesu pakowania gotowych produktów. 


Aplikacja: sterowanie PLC robotów z użyciem ręcznych interfejsów operatora (HMI), zintegrowane oprogramowanie zapewniające funkcje bezpieczeństwa

Większa dokładność pozycjonowania, krótsze czasy cykli, przy jednoczesnych minimalnych wydatkach na sprzęt to jedne z korzyści systemu firmy Bosch Rexroth, zrealizowanego „pod klucz” dla firmy Klocke-Robot-Systeme GmbH w mieście Vlotho, Niemcy. Roboty firmy Klocke wykorzystywane są do załadunku / rozładunku na potrzeby wtryskarek tworzywa sztucznego. System IndraMotion (zawierający zintegrowane funkcje bezpieczeństwa) wykorzystuje otwarty sekwencyjny system sterowania IndraLogic, zgodny z normą IEC 61131-3. Gwarantuje to możliwość ponownego wykorzystania w innych aplikacjach raz napisanych modułów programowych. System ma wygląd i działa podobnie do systemu sterowania robotem, zbudowany jest jednak z użyciem sterownika PLC.

 

Ręczny interfejs operatora VEH30 firmy Bosch Rexroth dla wtryskarek tworzywa sztucznego ma wygląd i w charakterze obsługi przypomina ręczne sterowniki robotów

 

System „IndraMotion for Handling” dostarcza gotowych ekranów dla paneli mobilnych, takich jak np.: Rexroth VEH30. Model ten ma 8,4-calowy ekran dotykowy z możliwością podłączania przy włączonym zasilaniu. Można go łatwo dołączyć do systemu za pomocą łącza Ethernet podczas działania systemu. Jedno urządzenie może obsługiwać do kilku sterowników. Użytkownik może edytować ruchy z użyciem czterech programowanych klawiszy na panelu mobilnym; dodatkowo, możliwe jest nauczanie lub wprowadzanie określonych punktów za pomocą wirtualnej klawiatury. Zintegrowane funkcje bezpieczeństwa w sterowniku IndraDrive firmy Rexroth, spełniające zalecenia normy EN-954-1 kategorii 3., zapewniają spełnienie wymogów europejskich bez stosowania jakiegokolwiek dodatkowego oprzyrządowania.