Защита со здравым смыслом

Игорь Решетников
Президент ООО “Нефтегазсофтсервис"

Речь в данной статье пойдет в основном о производстве. О цехах, в которых установлены десятки единиц сложного, "интеллектуального" и дорогостоящего оборудования. О технологических комплексах, которыми управляют сотни исполнительных систем и т.д. То есть о ситуациях, когда АСУ ТП контролирует основной производственный процесс, а не вспомогательные системы вроде систем кондиционирования.

АСУ ТП как сущность

Для начала давайте определимся, что будем считать АСУ ТП. Говорим не о формальном академическом определении, а о сути. А суть такова, что любая система управления, которая имеет возможность напрямую (не важно, программно или аппаратно) взаимодействовать с оборудованием, в данном контексте будет считаться АСУ ТП. Вдобавок к традиционным контроллерам в этот разряд сразу попадают SCADA-системы, системы сбора технологических данных, MES-системы и, возможно, что-то еще. Все это будем в контексте данной статьи считать АСУ ТП.

Случайное или преднамеренное нарушение нормальной работы систем управления технологическим процессом может привести к самым разным последствиям, в том числе спровоцировать аварию, разрушить станок или инструмент, испортить деталь. Или просто сделать процесс производства недоступным.

При этом не всегда можно даже быстро понять, по какой причине произошел сбой. Возьмем, к примеру, станок. Он контролируется собственным блоком управления, имеющим неизвестную архитектуру. Исполнительную программу может загрузить как оператор, так и MES-система. Значения сигналов контролируются внешней системой мониторинга. Что стало причиной сбоя, далеко не всегда очевидно.

Факторы, влияющие на корректность процесса управления и минимизацию риска

Главная цель – обеспечить долгосрочную бесперебойную и безошибочную работу оборудования.

Питающее напряжение и помехи в силовых цепях. В условиях цеха с большим количеством помех и мощной индуктивной нагрузкой недостаточная фильтрация шкафов управления часто становится причиной различного рода сбоев. Хотя этот фактор почему-то не всегда воспринимают всерьез и используют бытовую аппаратуру. А ведь даже просто нарушение контакта защитного диода в цепи обмотки реле или потеря емкости фильтрующих конденсаторов может стать источником сбоев в работе микроконтроллерного модуля управления. Какие-то рекомендации тут давать бессмысленно, но регулярный (или даже постоянный) аудит помех в электросетях и качества основного питающего напряжения в шкафах должен обязательно проводиться.

Силовые и коммуникационныелинии

Сколько уже про это говорили, но постоянно встречаются сетевые кабели, проброшенные по воздуху и прикрепленные хомутами к каким-то трубам, сигнальные и силовые провода, проложенные в одном кабель-канале. Беспроводные сети, построенные на бытовых точках доступа и т.д. А ведь это цех, а не офис. Да, экономия – дело правильное, но такая экономия на самом деле обходится очень дорого. Просто у нас не принято считать такие мелочи, а зря. Примеров, когда из-за некорректной разводки кабелей, отсутствия заземления, механического повреждения кабеля и т.п. останавливались цеха, – масса. Но причинно-следственную связь никто не замечает, и ремонт выполняется по той же схеме – временный провод по воздуху. Вряд ли он когда-нибудь будет заменен на постоянный.

Физическая защищенность систем АСУ ТП

Причем защищенность как от внешних воздействий, так и от людей. Часто приходится сталкиваться с ситуацией, когда система сбора данных со станка прикручена просто на дин-рейку на сам станок или на колонну рядом с ним. Просто, дешево и сердито. Но масло и пыль быстро сделают свое дело, и через годик число проблем с такой конструкцией уже станет поводом отключить ее за полной ненадобностью, так как достоверность данных будет крайне низкая.

Поставить шкаф, причем с ключом, спрятать провода в металлическую гофру будет стоить всего на 2–3 тыс. руб. дороже. По сравнению со стоимостью проекта это даже не копейки. Лучше сэкономить на "откатах". А ключ нужен для того, чтобы в шкаф не лазили из любопытства. Поставьте рядом два пожарных гидранта, один с ключом, висящим на нем же за стеклом, а второй открытый. Первый будет нетронутый, а вот второй очень скоро превратится в мусорный бак.

Защита физических соединений с оборудованием

Часто для получения информации о состоянии оборудования снимают сигналы с клеммной коробки и заводят их во внешнюю систему контроля. Подход правильный, только не надо забывать делать гальванические (оптронные) развязки между системами, чтобы фатальный выход из строя одной не приводил к краху другой. Лучше остаться без системы контроля, чем вообще без станка.

Уровень ПЛК

Контроллеры становятся все умнее и сложнее. Уже довольно часто ПЛК (программируемый логический контроллер) представляет собой микрокомпьютер с собственной ОС, сложными, многоуровневыми алгоритмами программирования и настройки. Это приятно, но для целей управления желательно применять как можно более простые устройства. Графика на экране ПЛК выглядит красиво, но в 99% случаев она там не нужна. Достаточно текстового индикатора или даже пары лампочек. Конструктивно простой контроллер с маленькой специализированной программой будет всегда работать надежнее, чем монстр с собственной ОС внутри и дорогой внешней визуальной средой программирования. Прогресс в технологиях на данном уровне не всегда хорошо.

Взаимодействие между различными информационными системами

Если, например, MES-система отвечает за хранение репозитария программ для ЧПУ и выполняет их загрузку в станок, то желательно быть уверенным, что одобренная технологом программа в MES-системе и загруженная – идентичны. И что загрузка была инициирована и санкционирована должным образом. Можно сравнивать контрольные суммы, ставить внешние системы контроля или что-то еще. Таких схем взаимодействия может быть много. И принимать или не принимать меры по их контролю – решать пользователю, но риск на этом этапе есть, и риск серьезный – реальной поломки станка или инструмента.

Защита информационных сетей

То, что информационные сети АСУ ТП и АСУ ХД предприятия должны быть разделены, причем физически, знают все. И как правило, это выполняется. Забывают только формализовать процесс доступа из одной сети в другую для конкретных задач. И доходит до абсурда: у оператора на столе стоят два компьютера, и он переносит данные между ними вручную. В этом нет необходимости. Есть масса прекрасных межсетевых экранов, которые обеспечат точечное подключение между сетями по принципу "точка-точка". Только не забывать эти связи документировать, чтобы защитное ПО контроля трафика не воспринимало эти пакеты за некорректные и не блокировало их.

Выделение целевого бюджета. Аспект не такой смешной и очевидный, как кажется на первый взгляд. Ведь часто бывает так: начальник IТ-отдела, отвечающий лишь за ERP-уровень, живет со своим бюджетом и в почете у руководства. Начальник службы безопасности предприятия тоже. А вот за уровень АСУ ТП (да и вообще за всю производственную автоматизацию) отвечает непонятно кто. То есть существующий на предприятии отдел АСУ ТП, который отвечает за то, чтобы все работало. При этом ни бюджетов, ни почета у этого отдела нет. Зато есть огромная ответственность, так как именно сотрудники отдела АСУТП оказываются "крайними" в случае любых сбоев. Неважно, в каком подчинении находится этот отдел. Его начальник должен нести не только ответственность за сбои и тушить пожары, но и планировать текущую работу по обеспечению защищенности от возможных сбоев. Для этого он должен иметь свои планы, бюджет и необходимый статус.

Внешние провайдеры услуг

Мировая тенденция такова, что IТ-сервисы постепенно собираются в облаках, и производственный уровень тут не исключение. Много анонсов облачных MES-систем, все чаще появляются на рынке решения по сбору данных со станков и передачи информации по GSM-каналам и пр. Да, это снижает затраты в какой-то степени, но сильно повышает зависимость от внешних поставщиков услуг. Даже если не говорить о чрезвычайных ситуациях, ни один провайдер не подпишется под контрактом с гарантированным качеством линии доступа. Или же стоимость такой услуги перекроет всю экономию. Поэтому подобные решения можно использовать только на свой страх и риск.

Резюмируя, хочется отметить, что главное – четко понимать, какова роль уровня АСУ ТП в вашем бизнесе, и исходя из этого, строить политику по защите. Ставить специализированное многоуровневое решение или решить все организационными мерами – выбирается индивидуально, универсальных рецептов нет. Главное – не забывать, что цель защиты – не сам ее процесс, а обеспечение нормальной работы производственного комплекса. Так что здесь, как и у врачей, главное – не навредить.

Можно еще долго дискутировать и обсуждать. И решения, и опыт, и документ "Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации". Главное – не задерживаться с переходом от рассуждений к делу.