Aspekty bezpieczeństwa przy projektowaniu integracji MES z parkiem maszynowym

 

Zapewnienie powyższych cech wymaga jak najszerszej automatyzacji akwizycji danych aż do momentu, w którym pracownicy produkcyjni staną się wyłącznie odbiorcami informacji dostarczanych przez system MES. Z tego też powodu coraz trudniej jest wyobrazić sobie wdrożenie, które nie wykorzystuje technologii IIoT (Industrial Internet of Things) do integracji z fizycznym procesem produkcyjnym.

Integracja ta powinna obejmować co najmniej zakres umożliwiający automatyczne pobieranie informacji o postępie produkcji i zdarzeniach związanych z operacjami produkcyjnymi. Rejestrowanymi zdarzeniami są przede wszystkim rozpoczęcie lub zakończenie operacji oraz wystąpienie przestojów wraz z podaniem ich przyczyny. Naturalnym krokiem poszerzającym integrację jest możliwość zapisania informacji do sterownika PLC (Programmable Logic Controller) zarządzającego pracą maszyny. Przykładowo, jeżeli w systemie MES zapisane są parametry technologiczne powiązane z produktem i operacją produkcyjną, to po spełnieniu określonych warunków mogą zostać automatycznie przesłane do sterownika maszyny.

O ile sama idea bezpośredniego połączenia systemu MES ze sterownikiem PLC maszyny wydaje się prosta w realizacji, gdyż od dawna istnieje technologia, która to umożliwia, o tyle uwzględnienie aspektów szeroko rozumianego bezpieczeństwa komplikuje projekt. Poniżej przedstawiono najważniejsze zagadnienia, na które należy zwrócić uwagę planując wdrożenie takiego rozwiązania.

Pojęcie bezpieczeństwa w kontekście różnic pomiędzy systemami IT i OT

Bezpieczeństwo, w przypadku systemów komputerowych, rozumiemy zazwyczaj jako zagwarantowanie poufności, integralności i dostępności informacji (tzw. triada CIA). Do podstawowych metod realizacji powyższych założeń należą między innymi: ciągła aktualizacja oprogramowania, kontrola dostępu z uwzględnieniem różnych poziomów zarówno w przypadku danych jak i infrastruktury oraz tworzenie kopii zapasowych według reguły 3-2-1. Zasady te powinny być oczywiście uwzględnione w każdym wdrożeniu systemu MES.

Systemy automatyki przemysłowej z kolei muszą spełnić wymagania dotyczące ciągłości działania procesu produkcyjnego oraz fizycznego bezpieczeństwa, ze szczególnym naciskiem na ochronę zdrowia i życia ludzkiego. Zdarza się, że z powodu braku w zespole projektowym ds. wdrożenia systemu MES odpowiednich specjalistów, powyższe wymagania dotyczące warstwy fizycznej nie są uwzględniane na etapie opracowania założeń dla integracji z przemysłowymi układami sterowania (ICS). Aby zwiększyć szansę na udane wdrożenie opracowanej wcześniej koncepcji integracji obszarów IT oraz OT (Operation Technology) należy już na etapie analizy biznesowej zderzyć przyjęte wstępnie założenia z realiami hali produkcyjnej oraz regulacjami wynikającymi z przepisów i powszechnie stosowanych norm.

Bezpieczne połączenie systemu MES z urządzaniami IIoT

Urządzenia przemysłowe, takie jak sterowniki PLC czy panele HMI (Human-Machine Interface), podatne są na podobne metody ataku co inne urządzenia komputerowe. Mogą zatem stać się nie tylko celem, ale też wektorem umożliwiającym nieuprawniony dostęp do sieci w całej organizacji.

Jak wspomniano powyżej, jedną z najskuteczniejszych praktyk ograniczających ryzyko potencjalnego ataku na urządzenia IT jest ciągła aktualizacja oprogramowania mająca na celu wyeliminowanie znanych podatności. W przypadku urządzeń przemysłowych zazwyczaj unika się takiego podejścia. Dzieje się tak ze względu na konieczność ciągłej pracy instalacji technologicznych oraz ryzyko nieprawidłowego działania programu użytkownika po wgraniu nowej wersji firmware’u. Po każdej takiej ingerencji należy wykonać czasochłonne testy funkcjonalne wiążące się z ryzykiem zniszczenia mienia np. w postaci cennych surowców lub nawet maszyn. Z powyższych względów aktualizację sterownika PLC przeprowadza się nierzadko poprzez wymianę na nowszy model w momencie modernizacji maszyny.

Istnieją jednak inne metody redukujące ryzyko związane z niepowołanym dostępem do urządzeń ICS oraz IIoT. Jedną z podstawowych praktyk jest odpowiednia segmentacja sieci za pomocą technologii VLAN i odseparowanie wydzielonych w ten sposób obszarów za pomocą firewalli. W ten sposób tworzone są strefy zapewniające bezpieczną wymianę informacji pomiędzy elementami układów sterowania. Nawet wówczas gdy urządzenia korzystają z nieposiadających mechanizmów zabezpieczeń protokołów komunikacyjnych takich jak Profinet czy Modbus TCP, architektura sieci zapewnia ochronę przed niepowołanym dostępem do przesyłanych informacji.

Z punktu widzenia systemu MES, będącego aplikacją warstwy 3. modelu ISA95, dostęp do urządzenia IoT pracującego w strefie chronionej wymaga skonfigurowania odpowiednich reguł dla zapór sieciowych stojących na drodze takiej komunikacji. Potrzeba ta będzie rzutować pośrednio na wybór odpowiedniego protokołu komunikacyjnego urządzeń IoT.

Co do zasady umożliwienie przejścia przez firewall połączeń wychodzących z chronionej strefy jest prostsze i bezpieczniejsze niż zezwolenie na połączenia przychodzące. Między innymi z tego powodu coraz większą popularność zyskują rozwiązania oparte o protokół MQTT. W takim przypadku IIoT znajdujące się na hali produkcyjnej oraz aplikacja, dla której skierowana jest informacja, nawiązują autoryzowane i szyfrowane połączenie z tzw. brokerem pełniącym rolę pośrednika w wymianie danych. Sama aplikacja brokera może znajdować się w dowolnej i osiągalnej dla obu stron komunikacji lokalizacji.

O ile rozwiązania korzystające z MQTT zyskują na popularności, to wciąż pozostają w użyciu i rozwijane są protokoły komunikacji oparte o architekturę, w której jedna ze stron odpytuje lub wysyła rozkazy bezpośrednio do drugiej, tzw. klient-serwer. Warto podkreślić, że wbrew potocznemu wyobrażeniu serwerem jest tutaj urządzenie IoT, a klientem może być aplikacja klasy SCADA lub MES. Na tej koncepcji bazuje obecnie zdecydowana większość przemysłowych protokołów komunikacyjnych. Zastosowanie jednego z nich będzie wymagało nieco większej uwagi ze strony administratorów sieci konfigurujących połączenia przez zapory i routery.

Bez względu na to który z opisanych powyżej wariantów zostanie wybrany przy projektowaniu integracji IoT z systemem MES, niezwykle ważne jest, aby komunikacja przechodząca przez strefy niechronione (DMZ) lub sieci publiczne była odpowiednio zabezpieczona przed dostępem osób nieuprawnionych. W przypadku rozwiązań klient-serwer na szczególną uwagę zasługuje standard OPC UA zapewniający, oprócz wysokiego stopnia standaryzacji transmisji pomiędzy urządzeniami różnych producentów, również wszystkie funkcjonalności służące zachowaniu bezpieczeństwa transmisji. Dzięki autentykacji przy nawiązywaniu połączenia oraz szyfrowaniu przesyłanych danych wykorzystanie protokołu OPC UA zabezpiecza przed wprowadzaniem do systemu nieprawdziwych danych czy rozkazów w przypadku ataku man-in-the-middle.

Bezpieczeństwo funkcjonalne komunikacji dwukierunkowej z maszynami

W przypadku komunikacji dwukierunkowej systemu MES z parkiem maszynowym jedną z możliwych do realizacji funkcjonalności jest przekazanie do sterownika PLC rozkazu zezwolenia pracy maszyny, czyli zatrzymania i ponownego uruchomienia fizycznego procesu produkcyjnego. Może to być bardzo pożądane rozwiązanie szczególnie we wdrożeniach wymagających śledzenia genealogii produktu (traceability). Jeżeli przykładowo w zasobniku maszyny znajdzie się surowiec, który nie został zarejestrowany i przypisany do operacji w systemie MES, maszyna nie uruchomi się lub zostanie zatrzymana. Operator zostanie wówczas powiadomiony o przyczynie przestoju i poproszony o uzupełnienie danych np. poprzez zeskanowanie odpowiedniego kodu kreskowego. W ten sposób można zapobiec wyprodukowaniu towaru nie spełniającego odpowiednich wymagań lub przepisów branżowych czyli takiego, który będzie uznany za bezwartościowy z punktu widzenia nabywcy.

Jednym z aspektów wpływających na bezpieczeństwo w przypadku takiej aplikacji jest zadbanie o jakość danych, na podstawie których MES podejmie decyzję o zatrzymaniu i ponownym uruchomieniu procesu. Niedopilnowanie tego wymagania będzie prawdopodobnie skutkować nieoczekiwanym zachowaniem maszyny. Z tego samego powodu należy zadbać też o to, aby kanał, którym przesyłamy rozkazy, był wolny od zakłóceń czy celowych manipulacji. W tym właśnie celu stosujemy wcześniej opisane rozwiązania chroniące przemysłową sieć komputerową i pracujące w niej urządzenia.

Możemy założyć, że brak zezwolenia startu lub kontrolowane zatrzymanie maszyny wydaje się nie stwarzać większych problemów po stronie bezpieczeństwa procesu ani generować zagrożenia dla obsługi. Natomiast nieodpowiednie obsłużenie zezwolenia pracy lub rozkazu uruchomienia przychodzącego z systemu MES może spowodować nieoczekiwany ruch elementów mechanicznych maszyny i w związku z tym stanowić zagrożenie dla bezpieczeństwa pracowników. Do takich sytuacji nie wolno dopuścić, a wymaganie to opisane jest wprost w Załączniku 1 do Dyrektywy Maszynowej (2006/42/WE, Zał.1, rozdz. 1.2.3). Między innymi z tego powodu projektowanie rozwiązania integracji uwzględniającego przesyłanie danych i rozkazów z systemu MES do maszyny musi odbywać się przy udziale nie tylko kierowników produkcji, planistów i specjalistów IT, ale też odpowiednich przedstawicieli z obszarów technologii, BHP, automatyków utrzymania ruchu oraz programistów PLC ze strony użytkownika czy dostawcy technologii.

Oczywistym jest, że wdrożenie systemu MES w połączeniu z przemysłowym Internetem rzeczy w jak najszerszym możliwym zakresie może przynieść organizacji wiele korzyści i jest to tylko kwestia czasu, kiedy stanie się koniecznością w każdej firmie produkcyjnej. Wykorzystanie technologii IoT wpływa na poprawę wyników oraz daje możliwość spełnienia specyficznych wymagań klienta np. w zakresie traceability i to nie tylko w kontekście genealogii partii, ale również parametrów technologicznych przy jakich powstawał produkt. Pełna integracja systemu MES z parkiem maszynowym, a w szczególności dwukierunkowa wymiana informacji ze sterownikami maszyn jest niezwykle kuszącą propozycją również z tego powodu, że jest jednym z pierwszych kroków w kierunku pełniej automatyzacji produkcji tzw. light out manufacturing. Warto podkreślić jednak, że bardzo ważnym aspektem każdej takiej integracji jest dobór odpowiednich rozwiązań pod kątem bezpieczeństwa informacji oraz bezpieczeństwa funkcjonalnego. Ponieważ są to projekty interdyscyplinarne, sukces wdrożenia wymaga dogłębnego przemyślenia oraz przygotowania w wielu obszarach, nawet w tych, które na pierwszy rzut oka nie mają wiele wspólnego z zarządzeniem produkcją.

Autor: Łukasz Widera, ekspert ds hardware i IoT w dziale analiz eq system
Źródło: eq system