Презентація на конференції в Славутичі 2016 INUDECO'16Пупена Александр
Розробка програмного каркасу для контролерів базової системи керування процесом з урахуванням вимог до інтегрування з іншими підсистемами і реалізації сервісних функцій діагностики та обслуговування
Даний посібник описує концепції використання взаємопов’язаного набору рекомендацій, структур даних та програм до розробки прикладного програмного забезпечення (ПЗ) для програмованих пристроїв, таких як промислові контролери (PLC/PAC) але не обмежених ними, з урахуванням типових вимог до систем керування, сучасних світових стандартів (ISA, IEC, ISO) та тенденцій (Industry 4.0, IIoT). Ці концепції (надалі називається Каркасом або PAC Framework) дає можливість швидко розробляти ПЗ для PLC/PAC та SCADA/HMI в складі АСКТП з функціоналом, достатнім для будь-яких типів процесів та виробництв: неперервних (Continues), дискретних (Discrete) та періодичних (Batch). Каркас може бути використаний для будь яких програмованих пристроїв.
Посібник рекомендується для розробників прикладного ПЗ промислових контролерів та SCADA/HMI.
S88.01 Tutorial
Неофіційний переклад українською мовою
Оригінал посібника http://www.batchcontrol.com/s88/01_tutorial/index.shtml
Автори: Jim Parshall, Larry Lamb
КЕРУВАННЯ ПЕРІОДИЧНИМИ ВИРОБНИЦТВАМИ (BATCH CONTROL) Частина 1. МЕТОДИЧНІ РЕКОМЕНДАЦІЇ
до виконання лабораторних робіт для студентів напряму 8.05020202
Даний матеріал являється частиною навчального посібника Пупена О.М., Ельперін І.В. "ПРОГРАМУВАННЯ ПРОМИСЛОВИХ КОНТРОЛЕРІВ В СЕРЕДОВИЩІ UNITY PRO, який готується до видання в першій половині 2013 року.
Всі побажання та пропозиції Ви можете направляти на pupena_san@ukr.net або висловити на сторінках форумів:
http://forum.se-automation.in.ua/viewtopic.php?f=8&t=58
http://asutpforum.ru/viewtopic.php?f=60&t=2977
ПРОМИСЛОВІ ІНФОРМАЦІЙНІ МЕРЕЖІ ТА ІНТЕГРАЦІЙНІ ТЕХНОЛОГІЇ МЕТОДИЧНІ РЕКОМЕНДАЦІЇ до виконання лабораторних робіт для студентів напряму 6.050701 "Електротехніка та електротехнології" денної та заочної форм навчання
Презентація на конференції в Славутичі 2016 INUDECO'16Пупена Александр
Розробка програмного каркасу для контролерів базової системи керування процесом з урахуванням вимог до інтегрування з іншими підсистемами і реалізації сервісних функцій діагностики та обслуговування
Даний посібник описує концепції використання взаємопов’язаного набору рекомендацій, структур даних та програм до розробки прикладного програмного забезпечення (ПЗ) для програмованих пристроїв, таких як промислові контролери (PLC/PAC) але не обмежених ними, з урахуванням типових вимог до систем керування, сучасних світових стандартів (ISA, IEC, ISO) та тенденцій (Industry 4.0, IIoT). Ці концепції (надалі називається Каркасом або PAC Framework) дає можливість швидко розробляти ПЗ для PLC/PAC та SCADA/HMI в складі АСКТП з функціоналом, достатнім для будь-яких типів процесів та виробництв: неперервних (Continues), дискретних (Discrete) та періодичних (Batch). Каркас може бути використаний для будь яких програмованих пристроїв.
Посібник рекомендується для розробників прикладного ПЗ промислових контролерів та SCADA/HMI.
S88.01 Tutorial
Неофіційний переклад українською мовою
Оригінал посібника http://www.batchcontrol.com/s88/01_tutorial/index.shtml
Автори: Jim Parshall, Larry Lamb
КЕРУВАННЯ ПЕРІОДИЧНИМИ ВИРОБНИЦТВАМИ (BATCH CONTROL) Частина 1. МЕТОДИЧНІ РЕКОМЕНДАЦІЇ
до виконання лабораторних робіт для студентів напряму 8.05020202
Даний матеріал являється частиною навчального посібника Пупена О.М., Ельперін І.В. "ПРОГРАМУВАННЯ ПРОМИСЛОВИХ КОНТРОЛЕРІВ В СЕРЕДОВИЩІ UNITY PRO, який готується до видання в першій половині 2013 року.
Всі побажання та пропозиції Ви можете направляти на pupena_san@ukr.net або висловити на сторінках форумів:
http://forum.se-automation.in.ua/viewtopic.php?f=8&t=58
http://asutpforum.ru/viewtopic.php?f=60&t=2977
ПРОМИСЛОВІ ІНФОРМАЦІЙНІ МЕРЕЖІ ТА ІНТЕГРАЦІЙНІ ТЕХНОЛОГІЇ МЕТОДИЧНІ РЕКОМЕНДАЦІЇ до виконання лабораторних робіт для студентів напряму 6.050701 "Електротехніка та електротехнології" денної та заочної форм навчання
Система контролю доступу (СКД) STOP-Net 4.0 реалізована на платформі інтегрованої системи безпеки (ІСБ) STOP-Net 4.0 і є самостійним продуктом, призначеним для вирішення завдань організації і управління фізичним доступом співробітників і відвідувачів на територію і в окремі приміщення об'єкту. На поточний момент, в число замовників СКД STOP-Net 4.0 входить понад 4000 організацій різних форм власності, в їх числі - бізнес-центри, державні установи, банки, промислові підприємства, навчальні заклади тощо. Відмінною особливістю системи STOP-Net є баланс між вартістю і функціональними можливостями, висока надійність і стійкість до збоїв, а також продумана архітектура, що дозволяє компаніям-інсталяторам гнучко підходити до проектування рішення для конкретного об'єкта.
У нових економічних умовах, коли всі витрати на безпеку повинні бути максимально обґрунтованими, впровадження системи контролю доступу STOP-Net 4.0 дозволяє замовнику в рамках помірного бюджету зменшити втрати, пов'язані з протиправними діями сторонніх осіб або власного персоналу, а постачальникам рішення - реалізувати проект при мінімальних витратах на монтаж і його подальший супровід.
Мастер-класс: отправка данных с ПЛК в Google Sheet с использованием Node-REDПупена Александр
Мастер-класс: отправка данных с ПЛК в Google Sheet с использованием Node-RED. Перезентация к вебинару. Видео записи вебинара https://youtu.be/oGHVKl83wLQ
Регіональний центр євроатлантичної інтеграції України, що діє при відділі документів із гуманітарних, технічних та природничих наук, підготував віртуальну виставку «Допомога НАТО Україні».
Важливість впровадження стандарту ISO/IEC 17025:2019 у процес державних випро...tetiana1958
29 травня 2024 року на кафедрі зоології, ентомології, фітопатології, інтегрованого захисту і карантину рослин ім. Б.М. Литвинова факультету агрономії та захисту рослин Державного біотехнологічного університету було проведено відкриту лекцію на тему «Важливість впровадження стандарту ISO/IEC 17025:2019 у процес державних випробувань пестицидів: шлях до підвищення якості та надійності досліджень» від кандидата біологічних наук, виконавчого директора ГК Bionorma, директора Інституту агробіології Ірини Бровко.
Участь у заході взяли понад 70 студентів та аспірантів спеціальностей 202, 201 та 203, а також викладачі факультету та фахівці із виробництва. Тема лекції є надзвичайно актуальною для сільського господарства України і викликала жваве обговорення слухачів та багато запитань до лектора.
Дякуємо пані Ірині за приділений час, надзвичайно цікавий матеріал та особистий внесок у побудову сучасного захисту рослин у нашій країні!
«Слова і кулі». Письменники, що захищають Україну. Єлизавета Жаріковаestet13
До вашої уваги історія про українську поетку, бойову медикиню, музикантку – Єлизавету Жарікову, яка з початку повномасштабної війни росії проти України приєдналася до лав ЗСУ.
1. Людино-машинні інтерфейси та SCADA
Підсистеми захисту
автор і лектор: Олександр Пупена (pupena_san@ukr.net)
зворотній зв’язок по курсу: Інтернет-форум АСУ в Україні (www.asu.in.ua)
29.11.2020 1
3. Загальна інформація
• організована на базі користувачів (users)
• розділені за правами доступу до об’єктів системи та їх адміністрування:
• для захисту від несанкціонованих дій;
• надання користувачам інтерфейсу відповідно до їх ролей;
• збереження записів у журналі дій конкретного користувача.
• у стандарті ISA-101 описано тільки частину функцій та вимог до підсистеми
• функції детально описані в стандартах IEC 62443 (кіюербезпека)
4. Типи користувачів
• операційний персонал (оператори процесу):
• моніторинг, керування та експлуатацію установки;
• оператори центрального пункту керування, оператори віддаленого
доступу, оператори портативних пристроїв;
• персонал з технічного обслуговування (Maintenance-users):
• усувають несправності, виконують технічне обслуговування;
• інженери (Engineering-users): виконують модифікації, доповнення або
видалення компонентів HMI або системи керування;
• адміністратори: оновлення системи керування, призначають правила безпеки
іншим користувачам;
• керівники, менеджери: моніторинг функціонування установки чи інших
засобів виробництва;
• аналітики: моніторинг системи для поліпшення роботи установки;
• інші користувачі: використовують або взаємодіють із системою для інших
цілей, наприклад, персонал з керування якістю.
5. Первинні та вторинні користувачі
• первинні користувачі (primary users) – операційний персонал
• вторинних користувачів (secondary users) - інші, що забезпечують
обслуговування та моніторинг.
• задоволення потреб вторинних користувачів не повинно перешкоджати
виконанню вимог користувачів первинних
• окремі дисплеї для підтримки потреб вторинних користувачів, якщо спец.
елементи ускладнюють дисплеї первинних
6. Вимоги до користувачів
Для кожного типу користувачів визначаються вимоги та набір завдань,
враховуються:
• дії користувача при нормальних та ненормальних умовах експлуатації;
• потреби в довідковій системі для користувача (онлайн або офлайн);
• вимог, що стосуються ролей користувача та привілеїв облікового запису;
• термінології, що використовується користувачем, моделі об'єкта та/або
процесу з точки зору користувача;
• потреби функцій HMI для користувача.
• локальні користувачі
• віддалені користувачі можуть мати додаткові обмеження доступу до функцій
Вимоги можуть бути означені:
• у вигляді окремого документа
• як частина вимог до функцій системи керування чи застосування
7. Керування доступом
керування доступом (IEC 62443-2-1):
• хто чи що може отримати доступ до приміщень та систем
• який саме тип доступу дозволений.
Обліковий запис для доступу(access account) – ідентифікатори та паролі для
користувачів, налаштування доступу до певних функцій
• для окремих користувачів
• груп користувачів (наприклад диспетчери)
8. Ідентифікація, автентифікація, авторизація
• ідентифікація (хто ти?)
• автентифікація (доведи, що ти є ти)
• авторизація (це можна, а це не можна)
• адміністрування (створення/видалення/редагування користувачів)
9. Автентифікація
• на відміну від автентифікації в ІТ-системах:
• відсутність доступу до ресурсів у критичні моменти часу може призвести
до небезпечних та аварійних ситуацій
• обережно ставитися до блокування облікових записів при невдалих входах
у систему або періодах бездіяльності
• але недостатньо сильна автентифікація -> надання доступу зловмиснику для
виконання небезпечних операцій.
• слабкі методи автентифікації – які легко анулювати, щоб забезпечити
небажаний доступ
• користувач та пароль
• сильні методи автентифікації - точні в правильній ідентифікації користувача
• двофакторна (фізична карта + ПІН)
• смарт карта, біометричні дані
• на основі їх місцезнаходження;
• підключення домашніх комп'ютерів до пристроїв або мереж керування
виробничою діяльністю з використанням VPN і двофакторної
автентифікації з використанням токена і PIN-коду.
10. Автентифікація: загальні рекомендації
• повинна бути розроблена стратегія автентифікації, в якій вказуються
використовувані методи автентифікації;
• перед використанням застосунків, у тому числі SCADA/HMI, користувачі повинні
пройти автентифікацію:
• користувач + пароль
• з використанням комбінації фізичних та електронних засобів;
• усі спроби та результат доступу до критичних систем повинні бути записані в
журнал;
• після певного часу неактивності користувача система може вимагати повторної
автентифікації;
• система повинна передбачати відповідні схеми автентифікації при зв’язку між
застосунками або пристроями, наприклад:
• за адресою IP або/та MAC;
• секретним кодом;
• криптографічним ключем (детально в IEC/TR 62443-3-1).
11. Автентифікація локальних користувачів
• можна використовувати фізичні методи доступу (обмеження доступу до місця):
• потрібно для швидкого доступу до дій у критичних ситуаціях
• способи:
• для компонентів керування фізичні ручні замки;
• автоматичні замки (карта-пропуск);
• доступ до пунктів керування;
• система повинна враховувати можливість доступу до критичних функцій
користувачам навіть при частковій відмові інфраструктури;
• наприклад, при відмові комп’ютерної мережі повинні працювати локальні
засоби керування;
• користувачі не повинні блокуватися при невдалих спробах автентифікації (у
критичних ситуаціях оператор може ввести неправильний пароль);
• у багатьох випадках не бажано вимагати складних паролів, оскільки в
критичних ситуаціях це може уповільнити процес реалізації керуючої дії
оператора на процес;
• у багатьох випадках не бажано вимагати часового обмеження на паролі;
12. Автентифікація адміністраторів та віддалених
користувачів
• адміністраторів (підвищені права):
• вимоги до автентифікації повинні бути більш жорсткими (наприклад,
тільки складні паролі); враховуючи що адміністрування не потребує
швидкої реєстрації, можна використовувати складні способи
автентифікації;
• рекомендується надавати системному адміністраторові тільки локальний
доступ;
• віддалених користувачів (що мають доступ ззовні будівлі або області
керування):
• повинні застосовуватися особливі способи автентифікації;
• повинні бути передбачені особливі політики (реакція на невдалу спробу
входу в систему, період бездіяльності тощо);
• рекомендується, щоб надавався доступ тільки з функціями моніторингу
без можливості керування; однак у деяких випадках системи SCADA доступ
до керування обов’язковий;
• після певної кількості невдалих спроб реєстрації віддалених користувачів,
система повинна відключати їх обліковий запис на деякий час (захист від
злому паролю); однак у деяких випадках системи SCADA доступ до
керування може бути критичним, так само як і для локального
користувача;
13. Авторизація
Після успішної автентифікації користувача та ідентифікації пов’язаного з ним
облікового запису йому надаються привілеї доступу до ресурсів.
• особливості АСКТП
• в IT кілька ролей
• в АСКТП велика кількість ролей (наприклад, оператор, інженер, технолог,
розробник, системний адміністратор тощо)
• користувачам може бути назначено декілька ролей на основі певних
функцій, які потрібно виконувати в певний час
• окремо доступ до пристрою і застосунку
• авторизація залежить від місця розташування користувача.
14. Авторизація: рекомендації
• правила повинні бути означені в політиці безпеки авторизації;
• дозвіл на доступ до засобів АСКТП може бути:
• логічним (правила, що надають або забороняють доступ відомим
користувачам на основі їх ролі),
• фізичним (замки, камери та інші елементи керування, що обмежують
доступ до активної консолі ПК)
• комбінацією;
• для керування доступом до відповідної інформації або системи облікові записи
повинні базуватися на основі ролі;
• для віддаленого доступу необхідно передбачати різне розміщення процедур
авторизації:
• на рівні застосунку;
• на рівні пристрою: для кожного пристрою можуть бути означені конкретні
правила авторизації;
• на рівні бар’єрного мережного пристрою АСКТП (брандмауер або
маршрутизатор): після автентифікації залежно від ролі надається доступ до
конкретних пристроїв у мережі АСКТП;
• віддалений доступ дозволяти тільки за потреби;
• рольові облікові записи повинні враховувати фізичне розміщення користувача:
• різний набір ролей для локального та віддаленого входу;
• у критичних середовищах керування декілька методів авторизації.
15. Адміністрування облікових записів
Адміністрування облікових записів:
• наданням та відкликанням доступу до облікових записів
• підтримка дозволів і привілеїв, передбачених цими обліковими записами, для
доступу до певних ресурсів та функцій у фізичних приміщеннях, мережі чи
системі.
• набор дозволених функцій а не доступ до даних
16. Адміністрування: рекомендації
• права доступу повинні встановлюватися відповідно до політик
безпеки, що повинні бути попередньо розроблені для всієї
системи;
• правила доступу повинні бути донесені до всього персоналу;
• права доступу можуть бути означені як для команди, так і
індивідуально для користувача;
• доступ надається, змінюється або припиняється за дорученням
відповідальної за адміністрування особи, яка може відрізнятися від
адміністратора IT та обізнана в процесах операційної діяльності;
• повинен вестися облік усіх дій щодо доступу до облікового запису;
• якщо облікові записи не потрібні (наприклад, при звільненні
працівника), їх слід призупинити або видалити;
• користувачам мать бути призначені мінімальні права і
повноваження, необхідні для виконання тільки їх завдань;
17. Адміністрування: рекомендації
• облікові записи необхідно регулярно переглядати:
• чи використовується,
• роль і потреби все ще актуальні,
• користувач має тільки мінімально необхідні дозволи;
• перед уведенням системи керування в дію паролі за замовченням
повинні бути змінені;
• відповідність облікових записів політиці адміністрування необхідно
періодично перевіряти;
• доступ повинен контролюватися відповідним методом
аутентифікації: тобто ID користувача і паролем, персональними
ідентифікаційними номерами (PIN) або токенами;
• особисті дані користувача не повинні передаватися будь-кому, за
винятком особливих ситуацій;
• один особливий випадок – у диспетчерській, де оператори
працюють як одна робоча група або команда;
• повинен бути механізм альтернативного процесу ідентифікації в разі
втрати облікових даних або забутого пароля
18. Властивості та можливості підсистем керування
доступом
• авторизація:
• надавати права або привілеї для елементів для обмеження доступу;
• виділяти групи (категорії) користувачів з однаковими правами (ролями), що
спрощує адміністрування;
• обмежування вмісту на основі місцезнаходження (користувач з віддаленого
засобу ЛМІ може мати менше прав);
• адміністрування:
• створення та редагування користувачів не тільки в середовищі розроблення, але
й у середовищі виконання;
• інтегрування зі службами керування користувачами операційної системи
(наприклад Windows Active Directory);
• можливість задавати час простою, після якого система автоматично виведе
користувача із системи.
• автентифікація:
• можливість входу користувача за допомогою різних засобів – як з
використанням імені та паролю, так і інших (карт, біометричних сканерів і т.п.);
• можливість користувача тимчасово входити в систему (тимчасово змінювати
роль), тобто користувач з вищими правами може зареєструватися тільки на час
виконання однієї дії;
• можливість примітки автентифікації, тобто вимога до користувача додати
причину для керуючої дії;
19. Особливості
• підсистема організації доступу в SCADA/HMI:
• відокремлена від системи керуванням доступу ОС
• інтегрована
• user SCADA, admin OS
• admin OS, user SCADA
• керування доступом у SCADA/HMI - обмеження доступу до функцій консолі
операційної системи, функції:
• блокування виходу із повноекранного режиму на "робочий стіл";
• блокування системних комбінацій клавіш, наприклад CTRL+ALT+DEL;
• блокування системних кнопок "Windows";
• інші блокування виходу в ОС;
• обмеження доступу до функцій запуску прикладних програм зі SCADA.
20. Блокування доступу за умовами
• блокування можливості зміни значення чи відправки команд при
виконанні (або невиконанні) певних умов
• приклад: оператор не повинен мати можливість викликати команду
запуску, якщо лінія при цьому не готова
• різні блокування
• блокування запуску повинно відбуватися на рівні ПЛК або інколи
навіть на рівні СПАЗ (системи протиаварійного захисту) чи релейних
схем
• блокування на рівні HMI відображення наявності блокування
• візуально блокування може бути показане зміною кольору або
додатковими символами
22. Привілеї та зони
• користувач
• можливості користувачів (авторизація):
• через приналежність до ролі
• набір привілеїв (Privilege) 1..8
• не ієрархічні
• ієрархічні при [Privilege]Exclusive=0
• у певних виробничих зонах (Area) або глобальні
• повністю означує права, що має користувач, якому ця роль
призначена
• не зареєстрований користувач привілеї = 0
25. Додаткові засоби
• реєстрація через функції Cicode та шаблони
• з реєстрацією користувача вказується мова, яка буде використовуватися в
системі
• усі дії з користувачами фіксуються в журналі
• редагувати існуючі та створювати нові користувачі в режимі виконання:
• через шаблони Citect
• через CiCode функцію UserCreate
• тільки користувачі з зазначеними правами "Manage Users"
• Citect має багато функцій керування користувачами
• автоматичний вхід у систему користувача через певний ідентифікатор, це
можна зробити через події та функцію Login.
• передбачає захист підключення клієнта до сервера, для чого в майстрі
налаштування комп’ютера вказується пароль підключення
• можна налаштувати повноекранний режим, який не дає перейти на робочий
стіл, використовуючи кнопки керування заголовка вікна (згорнути, закрити)
• можна налаштувати блокування комбінації "ALT+SPACE", яка передбачає
виклик контекстного меню активного вікна
• Інші комбінації, наприклад "Alt-Escape", "Ctrl-Escape" чи "Alt-Tab",
необхідно блокувати іншими засобами, наприклад, правкою ключів
реєстру Windows або спеціальними утилітами
27. Адміністрування користувачів
• адміністрування користувачів однакове для об’єктів середовища виконання і
для функцій середовища розроблення
• "Runtime Changeable Date“->"User Administration" поставити значення "Do
not generate and transfer" (не генерувати і не переносити)
• має змогу переносити налаштування "User Administration" із середовища
виконання в середовище розроблення.
• на основі користувачів
• може входити через zenon або через Windows Active Directory (AD).
• різні рівні дозволів (авторизаційних рівнів, authorization level), що мають
значення від 0 до 127
• незареєстрований має 0-й рівень
• видавати їх можуть тільки адміністратори, які також мають доступ до
цих рівнів.
• один із трьох типів (User Type):
• User (користувач): можуть здійснювати дії відповідно до рівнів
дозволів, які йому призначені;
• Power user (досвідчений користувач): може також створювати та
редагувати користувачів;
• Administrator (адміністратор): може також проводити інші
адміністративні задачі, такі як відміна блокування користувача,
скидування паролю, і т.ін.
31. Адміністрування в режимі виконання
Доступні такі спеціальні типи екранів:
• User list: надає функції редагування, як у середовищі розроблення з розділу
Users;
• User group list: надає функції редагування, як у середовищі розроблення з
розділу User groups;
• Edit user: дозволяє редагувати користувачів zenon;
• Active Directory user administration: дозволяє редагувати користувачів Windows
Active Directory .
32. Функції
• Login with dialog: відкриває діалог для реєстрації;
• Login without password: дозволяє зареєструвати користувача без
діалогу;
• ідентифікація відбувається через якісь спеціальні засоби,
наприклад, чіп, сканер, пристрій зчитування карт і т.п, або за
виконанням якоїсь події
• Logout: вихід активного користувача, надається рівень дозволів 0;
• Change user: відкриває діалог редагування користувачів та груп;
• Change password: відкриває діалог зміни пароля.
34. Блокування системних клавіш
• "Interaction"->"Lock System Keys" блокуються усі системні гарячі
комбінації клавіш Windows (окрім "Ctrl+Alt+Del" та "Windows key + L")
• можна зборонити усі системні клавіші, використовуючи утиліту, яка
поставляється із zenon “Keyblock Runtime Start”