Доклад на CoLaboratory Meetup 21.11.2016

1. Лифанов Александр

2. Лифанов Александр Витальевич
С 2013 - технический специалист
компании Advantech
C 1999 по 2011 – от программиста
АСУТП, пищевое производство до
chief technical officer

3. ДИРЕКТОР
БЕЗОПАСНИК АСУшник

4. (с) Бесекерский В.А., Попов Е.П. «Теория систем
автоматизированного управления»

5. ВХОДА ПЛК
ОБЪЕКТ
СР-ВО HMI
ДАТЧИК
КОНТРОЛЛЕР
ЭФФЕКТОР
ВЫХОДА ПЛК
Backplane
ОПЕРАТОР

6. ВХОДА ПЛК
ОБЪЕКТ
СР-ВО HMI
ДАТЧИК
КОНТРОЛЛЕР
ЭФФЕКТОР
ВЫХОДА ПЛК
Backplane
ОПЕРАТОР
Смена
value range
DoS- Подмена
программы
- Подмена
прошивки
- Отладочный
режим
- Раскачка
регуляторов
- ….
Thanks to
Marina
Krotofil
Operator
imitation
Имитация
команд
DoS

7. (с) Jim Gilsinn “Cyber & Process Attacks Scenarios for ICS”,
slideshare.net

8. ВХОДА ПЛК
ОБЪЕКТ
СР-ВО HMI
ДАТЧИК ЭФФЕКТОР
ВЫХОДА ПЛК
Backplane
ОПЕРАТОР
Появилась
помеха
Непредусмотренная
комбинация событий
Очепятка ;)
Западает кнопка,
кофе на клавиатуру
Подклинивает
исп.механизм
Оторвали
провод
Thanks to
неизвестный
слесарь
КОНТРОЛЛЕР

9. Отказоустойчивость –
способность системы
сохранять
работоспособность при
отказе одного или
нескольких частей.
Отказобезопасность –
способность системы при
отказе одной или
нескольких частей
переходить в режим
работы, безопасный для
окружающей среды
(контролируемый останов).
Пример:
- Siemens S7-400H Пример:
- Siemens S7-400F
- ПАЗ

10. Может, сначала убрать дырки?

11. Верить
нельзя
никому!

12. - Оператор может ошибаться
- Датчик может быть оторван
- Электрик может поменять датчик
на другой тип
(например 0…6 бар на 0…10 бар)
- Все внешние параметры должны проверяться на допустимость с
точки зрения безопасности процесса -> лимитироваться
- Обрыв -> safety value
- Safety-critical датчики могут дублироваться другим типом
(например, аналоговый датчик уровня + дискретный датчик
максимального уровня)

13. О конечных
автоматах
думаю я!

14. Не должно быть неопределенных
состояний.
Где возможно – описывается
условие нахождения в состоянии,
а не перехода в него.
Насос NH8 включается по командам оператора или в
автоматическом режиме:
- И Уровень бака Н8 более 20%
- И отсутствует сигнал «Бак Н9 занят»
Насос NH8 выключен при:
- ИЛИ Срабатывание автомата защиты QNH8
- ИЛИ Срабатывание датчика максимального уровня
бака Н9
- ИЛИ Уровень бака Н9 более 90%
- ИЛИ Уровень бака Н8 менее 2%
…
© Wiki, «Автомат Мили»

15. Подстели
соломки

16. Где есть возможность – система должна работать автономно, даже в
случае обрыва смежника. Или уйти в safety state.
???
© картинка с tecon.ru
???

17. Не надо
лишних
сигналов

18. Не надо описывать лишние сигналы «про запас».
Понадобится – сделать недолго.
- Коэффициенты PID-регулятора
- Калибровка весов (не обнуление!!)
- Read-only если не надо управлять
© картинка с tecon.ru
Mind
the
protocol

19. SWITCH
Wi-FiSCADA
PLC APAX-5620
ADAM-6050 (DI) ADAM-6260 (DO)
LAN1
LAN2

20. • SCADA была почти
фейковой (только
информационная
составляющая)
• Перезапуск ядра SCADA по
расписанию
• Автоматический цикл всё
равно вёл контроллер

21. • Два раздельных LAN
• Наружу теги read-only
• На базе WinCE 5
• Цикл 50 мс

22. • «Умные реле» выполняли
функцию ПАЗ
• Цикл также 50 мс

23. • Alx.lifanov@gmail.com, alexander.lifanov@advantech.com
• https://www.facebook.com/groups/advantech.russia.users/
• http://asutpforum.ru/viewforum.php?f=119