Развитие технологии Industrial Ethernet на примере новинок коммуникационного оборудования

Статья
в электронной версии
«СТА» №3 / 2015 стр. 72

Статья в PDF
3 МБ

Введение

Ни у кого не осталось сомнений, что стандартом де-факто в промышленных коммуникациях становится Ethernet. И хотя на многих предприятиях переход на новый стандарт либо ещё не начался, либо не завершился в силу объективных причин (нехватка финансирования, долгий жизненный цикл оборудования для передачи данных в частности и всего промышленного оборудования в целом), случится это неизбежно.
История технологии Ethernet насчитывает уже более 40 лет, из них более 30 лет ведутся работы по её адаптации к промышленной среде. Первопроходцем в этом деле является немецкая компания Hirschmann, имеющая более чем 30-летний опыт разработок промышленного телекоммуникационного оборудования. Именитому европейскому разработчику и производителю буквально наступают на пятки азиатские компании. Уровень их разработок в последние годы значительно вырос, и хотя говорить о прямой конкуренции между западными и азиатскими производителями пока рано, следует признать, что у последних есть очень интересные технические решения по доступным ценам.
За 30 лет промышленный Ethernet про­шёл большой путь развития, скорость передачи данных увеличилась на 3 порядка (с 10 Мбит/с до 10 Гбит/с), появились новые типы устройств, топологии сетей, методы и подходы к проектированию сети, её администрированию и обслуживанию. Но если до недавнего времени развитие промышленного Ethernet можно было охарактеризовать как экстенсивное (увеличение полосы пропускания, появление новых сред передачи данных, включая беспроводные технологии, применение новых типов разъёмов), то сейчас развитие стандарта (или скорее целого направления в телекоммуникациях) можно охарактеризовать как интенсивное. Отметим основные направления развития промышленных коммуникаций:

• расширение сфер применения и появление новых отраслевых стандартов;
• развитие и стандартизация технологий сетевого резервирования;
• активное развитие сегмента PoE-устройств и увеличение их мощности;
• увеличение производителями доли устройств с поддержкой стандарта Gigabit Ethernet при снижении их стоимости;
• новые решения в области безопасности как ответ на возникающие угрозы;
• расширение функций устройств путём совершенствования программного обеспечения.

Коммутаторы для подстанций: акцент на надёжности, масштабируемости и снижении затрат

Телекоммуникационное оборудование стандарта Ethernet находит всё больше новых сфер применения. Каждая из задач может обладать рядом уникальных свойств и создавать особые условия внешней и внутренней среды для работы оборудования, и чаще всего эти условия вовсе не тепличные. В этом случае к оборудованию предъявляются особые требования, что ведёт к необходимости проведения соответствующих доработок, испытаний и сертификации изделий.
Одной из актуальных задач, решаемых в настоящее время в области промышленной автоматизации, является создание автоматизированной цифровой электрической подстанции. Работы в данном направлении ведутся достаточно давно, разработан международный стандарт IEC 61850 (в России МЭК 61850). Он определяет коммуникационные процессы на подстанции, абстрактные модели оборудования и выполняемые им функции, общие требования к оборудованию, описывает методики его испытаний и приёмки. Коммуникационное оборудование, предназначенное для эксплуатации на объектах электроэнергетики, давно и успешно применяется. В­­ настоящее время в России существуют полностью цифровые подстанции, находящиеся в опытной эксплуатации.
Коротко обозначим требования, предъявляемые к сетевому оборудованию для подстанций.

• Стойкость к ЭМИ и статическому электричеству.
• Широкий температурный диапазон и способность работать в суровых климатических условиях.
• Резервированное питание.
• Стойкость к механическим воздействиям.
• Поддержка стандартизированных протоколов сетевого резервирования.
• Поддержка современных протоколов удалённого управления.
• Поддержка функций сетевой безопасности и протоколов высокоточной синхронизации времени.

Функционал коммутатора основан на новой операционной системе HiOS (соб­ственная разработка Hirschmann). Устройство имеет защищённое исполнение, пассивное охлаждение, монти­руется в 19″ стойку. Имеется поддержка профиля промышленного протокола МЭК 61850.
Серия представлена двумя базовыми версиями – на 16 портов 10/100Base-TX и на 8 портов 10/100Base-TX и 8 портов типа SFP. Каждая из базовых версий может иметь 4 гигабитных комбинированных uplink-порта.
Современная автоматизированная подстанция должна обладать гибкостью и масштабируемостью. Эти два качества легко достижимы с коммутаторами GRS благодаря наличию в них конфигурируемого интерфейсного модуля «горячей» замены. В модуле может быть до 8 портов Fast Ethernet, имеющих различные виды разъёмов и сред передачи данных (медной и оптической различных типов).
Поддерживается управление устройством через Web-интерфейс, Telnet, HTTP/S, TFTP, SNMP, реализован протокол канального уровня LLDP. Име­ются широкие возможности диагностики работы устройства и сети (сигнальное реле, сообщения syslog, RMON, SNMP-trap).
Возможности сетевого резервирования обеспечены поддержкой стандартизированных протоколов MRP и RSTP, а также агрегированием каналов LACP.
Сетевая безопасность обеспечивается благодаря применению развитых механизмов авторизации пользователей (протокол IEEE 802.1x, RADIUS), списков доступа (ACL), ограничению доступа по MAC- и IP-адресам, использованию локальных учётных записей, разноуровневых политик доступа, паролей.
Также следует отметить поддержку протокола синхронизации времени SNTP.
Исходя из этого, а также с учётом технических характеристик можно сделать вывод, что коммутаторы серии GRS можно применять в сети уровня станции. В то же время для сети уровня процессов подойдут коммутаторы серии RSP, поддерживающие протоколы нулевого времени восстановления после сбоя PRP и HSR, а также протокол высокоточной синхронизации времени PTPv2.
Более подробно ознакомиться с подходом к проектированию цифровой подстанции можно в цикле статей «Этапы создания эффективной системы автоматизации подстанции» [1].

Новые возможности PoE-коммутаторов для безопасного города

Хотя технология, позволяющая подать потребителю мощность до 60 Вт, пока не стандартизирована, она уже успешно применяется. Протестирована возможность совместной работы коммутатора серии EX78602 с уличными камерами нескольких известных производителей.
Следует также отметить, что применение в системах безопасности и видеонаблюдения промышленных коммутаторов вместо офисных даёт ряд преимуществ. Так, это избавляет от необходимости встраивать в шкаф с коммутаторами дополнительную систему подогрева/ охлаж­дения в случае установки на улице (а при ориентации на использование технологии PoE это ещё более актуально). Также значительно снижаются затраты на сервисное обслуживание. Надёжность промышленного сетевого оборудования высока, и в долгосрочной перспективе его относительно высокая стоимость с лихвой окупается.
При проектировании сети видеонаблюдения нужно хорошо продумать её топологию. При использовании кольцевого резервирования нужно учесть, что хотя в этом случае топология имеет вид кольца, по факту она является линейной, что накладывает огра­ничения на объём передаваемых дан­ных и количество коммутаторов в кольце. При использовании большого количества коммутаторов и камер высокого разрешения полосы пропускания магистральных портов может не хватать. В этом случае возможны заметные задержки передачи данных или даже их потеря, поэтому следует внимательно подойти к расчёту объёмов передаваемых данных.
Возможным выходом из положения может стать применение интеллектуальной системы безопасности. Суть её состоит в применении интеллектуальных камер видеонаблюдения, анализирующих обстановку в кадре и имеющих встроенную систему принятия решений о наличии событий, требующих внимания оператора и принятия решения человеком. Такими событиями могут быть появление определённого человека (анализируется лицо), массового скопления людей, изменение интенсивности перемещения объектов, обнаружение пламени и многие другие ситуации. Камера не передаёт в сеть непрерывный видеопоток, а включается в случае необходимости только в момент обнаружения заранее определённого события. В остальное время трафик ограничивается передачей коротких сообщений вида «всё спокойно».

Gigabit Ethernet в массы

В промышленных сетях особо важных объектов, требующих применения технологий резервирования, высокоточной синхронизации времени, контроля полосы пропускания и применения средств сетевой безопасности, должны использоваться управляемые коммутаторы. Однако существует много гораздо менее требовательных задач, решение которых можно возложить на неуправляемые устройства.
Большинство жилых зданий не имеет специально приспособленного помещения для установки коммуникационного оборудования, поэтому его размещение часто носит стихийный характер. Коммутаторы устанавливаются на чердаках, в подвалах, плохо отапливаемых помещениях. Вместе с тем компьютерное и сетевое оборудование для домашнего использования давно оснащается портами Gigabit Ethernet, поэтому вполне логично использовать для предоставления услуг широкополосного доступа к сети Интернет гигабитные каналы передачи данных. Для этих целей вполне подходит такой коммутатор, как EX39924 компании EtherWAN. Устройство относится к категории бюджетных, оно неуправляемое, оснащено 24 портами Gigabit Ethernet, имеет пассивное ох­лаждение и диапазон рабочих температур от –10 до +60°C. В коммутаторе применяется неблокируемая архитектура, что позволяет длительное время эксплуатировать его при полной загрузке каналов (например, если большинство жителей дома вдруг решат посмотреть по выделенному каналу футбольную трансляцию). Расширенный диапазон рабочих температур позволяет установить устройство в нежилом помещении. Коммутатор не требует настройки и удалённого администрирования. Выпускается версия с 16 комбинированными портами RJ-45/SFP, поэтому при необходимости сеть легко масштабируется на любые расстояния с применением оптических кабелей и сменных оптических модулей. Преимущество SFP-портов также в том, что они повышают ремонтопригодность и сокращают время простоя сетей: вышедший из строя модуль легко заменить новым.
Также данный коммутатор можно применять при автоматизации технологических процессов, нетребовательных ко времени восстановления сети после сбоя и не предъявляющих требований к безопасности сети и эффективному управлению потоками данных.

Ещё раз о кибербезопасности

Проблема защиты промышленных объектов от киберугроз давно вызывает обеспокоенность специалистов различных отраслей и руководства на самом высоком уровне. Хотя в России пока нет стандартов, чётко определяющих стратегии и подходы к обеспечению информационной безопасности в промышленности, интеграторам, разработчикам, сотрудникам предприятий и всем тем, кто так или иначе связан с промышленным производством, необходимо со всей серьёзностью отнестись к обеспечению эффективной защиты информационной инфраструктуры АСУ ТП.
С целью обобщения имеющихся методик и опыта в области повышения безопасности промышленных объектов на западе был разработан и принят стандарт IEC 62443 (ранее имевший обозначение ISA-99). Он описывает общий подход к обеспечению сетевой безопасности промышленных объектов. При этом следует иметь в виду, что каждая отрасль, каждое промышленное предприятие требует индивидуального подхода к формированию стратегии защиты. В частности, в США корпорацией NERC (North American Re­li­ability Corpo­ra­ti­on) был разработан стандарт NERC CIP (Critical Infra­structure Pro­­­tec­ti­on), применяемый для проектирования систем безопасности объектов энергетики.
В статье «Промышленные сети в условиях возросших киберугроз» [2] по­дробно описаны методы повышения безопасности промышленных сетей и систем управления. Один из основных шагов на пути к безопасной про­мышленной сети – её сегментация, создание безопасных зон и определение защищённых путей передачи данных меж­ду ними. При этом необходимо строго регламентировать, какие данные должны передаваться и кто имеет к ним доступ. Также нужно выделить тот факт, что для обеспечения защиты промышленного сектора следует применять технологии и решения, специально разработанные именно для него.
Необходимый элемент для сегментации сети – межсетевые экраны. Устройства должны иметь промышленное исполнение и функции для применения на промышленном предприятии. По своему назначению промышленные межсетевые экраны можно разделить на два вида: устройства, применяемые на границе сети, и устройства для защиты производственных ячеек. Первые предназначены для отделения промышленного сегмента от офисной или корпоративной сети. Вторые позволяют сегментировать промышленную сеть и наделены специальными функциями, призванными обезопасить промышленные протоколы (например Modbus или OPC). Применяемая в них технология глубокого анализа пакетов DPI (Deep Packet Inspection) позволяет обезопасить техпроцессы от вредоносного ПО, передаваемого в пакетах, разрешённых классическим брандмауэром.
Для защиты производственных ячеек можно использовать программно-аппаратный комплекс Tofino Xenon известного бренда Tofino Security, принадлежащего концерну Belden (рис. 7). Комплекс состоит из аппаратной платформы и специализированного программного обеспечения. Аппаратная платформа конфигурируемая, может иметь различные типы портов (RJ-45 или оптические), различные диапазоны рабочих температур и отраслевые сертификаты. Программное обеспечение состоит из программы-конфигуратора для комплексной настройки безопасности сети и программных модулей. Программные модули определяют функции межсетевого экрана Tofino Xenon. Каждое устройство имеет индивидуальный набор модулей, в зависимости от требований, предъявляемых к нему. Базовым является модуль межсетевого экрана Firewall LSM (LSM – Loadable Security Module, загружаемый модуль безопасности). Дополнительно можно установить модули глубокого анализа пакетов промышленных протоколов Modbus TCP, Ethernet IP, ОРС. Комплекс обладает поддержкой более 125 ИТ-протоколов и промышленных коммуникационных протоколов.

Заключение

Приведённые примеры чётко иллюстрируют основные тенденции в области развития Industrial Ethernet. Появление новых стандартов, таких как МЭК 61850 в области энергетики, отражает необходимость приведения нормативной базы в соответствие с новыми реалиями и техническими решениями, а также проникновение технологий Ether­net в эту область. Новые стандарты резервирования (IEC 62439), позволяющие обеспечить нулевое время восстановления после сбоя и гарантированную доставку информации, применяются для построения сетей промышленных предприятий и, в частности, внедряются на объектах энергетики. Появление новых коммутаторов с поддержкой технологии PoE и рост бюджета мощности позволяют расширить сферы их применения и функциональность систем управления и безопасности. Увеличение скоростей передачи данных расширяет области применения коммутационной техники, повышает качество обслуживания объектов и пользователей и даёт возможность масштабировать сети без потерь и задержек данных. Также гигабитные сети стали очевидно доступнее. Появление новых технических решений и устройств для защиты сетевой инфраструктуры АСУ ТП, улучшение методик и подходов к сетевой безопасности, их стандартизация и сертификация позволяют создать системы, устойчивые к негативным внешним и внутренним воздействиям. Постоянное совершенствование программной и технической составляющей сетевых устройств, выпуск новых версий ПО, его регулярное обновление и установка патчей способствуют повышению безопасности и расширяют функциональные возможности устройств связи. ●

Литература

1. И. Лопухов. Этапы создания эффективной системы автоматизации подстанции : [ч. 1–5] // Современные технологии автоматиза­ции. – 2013. – № 1; № 2; № 3.
2. И. Лопухов. Промышленные сети в условиях возросших киберугроз // Современные технологии автоматизации. – 2014. – № 4.

Автор – сотрудник
фирмы ПРОСОФТ
Телефон: (495) 234-0636
E-mail: info@prosoft.ru