Современные технологии удаленного доступа к технологическим и производственным данным в SCADA-системах на примере WinCC OA

Опубликовано в номере:
PDF версия
В статье приводится обзор возможностей и технологий удаленного доступа, используемых в современных SCADA-системах, на примере SIMATIC WinCC Open Architecture — флагманской SCADA-платформы компании Siemens.

Возможность удаленного доступа к технологическим и производственным данным промышленных установок, предприятий и инфраструктурных объектов, а также наличие средств дистанционного управления ими давно стали стандартными требованиями, предъявляемыми к SCADA-системам. С началом широкого внедрения концепции Industry 4.0 — четвертой промышленной революции, лейтмотивом которой является всеобъемлющая дигитализация и интеграция оборудования и процессов предприятия на основе «Интернета вещей», интеллектуальных датчиков, мобильных устройств, облачных сервисов и других современных технологий, — данный аспект приобретает новое звучание. Именно SCADA-системы в рамках подхода Industry 4.0 способны выполнить функцию «связующего элемента», обеспечивающего формирование единого информационного пространства — основы цифровой экосистемы современного предприятия. При этом усиливающаяся роль человека на производстве в задачах управления, мониторинга и контроля требует усовершенствованных и принципиально новых интерфейсов взаимодействия между человеком и компьютером.

В настоящее время существует множество технологий и решений, обеспечивающих техническую возможность доступа к SCADA-системам удаленных установок и производств в целом; чаще всего это различные тонкие клиенты, например на основе веб-браузеров или приложений для соответствующих платформ (native apps). Применение планшетных ПК и смартфонов для контроля и мониторинга промышленных установок, хоть и не ставшее пока общепринятой практикой, является одним из наиболее перспективных направлений обеспечения в полном смысле мобильного доступа к данным техпроцесса или онлайн-контроля объектов в режиме 24/7. Кроме того, активно развивается и еще одно направление — использование облачных сервисов.

Выбор оптимального варианта организации удаленного доступа неразрывно связан с решением вопроса обеспечения безопасности: широкие возможности и очевидные преимущества мобильности в SCADA-приложениях несут за собой столь же очевидные угрозы, такие как несанкционированный доступ к управлению технологическими установками, утечка технологической и коммерческой информации, а также риски, связанные с промышленной безопасностью и экологией.

В настоящей статье дается обзор основных возможностей и технологий обеспечения удаленного доступа, используемых в современных SCADA-системах, на примере SIMATIC WinCC Open Architecture (WinCC OA) — флагманской SCADA-платформы компании Siemens.

 

Обзор возможностей удаленного доступа в SCADA-системе WinCC OA

Удаленный доступ к SCADA-системе предполагает, прежде всего, возможность использования средств пользовательского интерфейса для мониторинга, контроля и управления целевым объектом.

SIMATIC WinCC OA располагает следующими средствами организации удаленного пользовательского интерфейса:

  • веб-клиентом;
  • ультралегким веб-клиентом ULC UX на основе технологии HTML5;
  • приложением WinCC OA OPERATOR для операционной системы iOS;
  • мобильным пользовательским интерфейсом для устройств на базе операционных систем iOS и Android.

Сравнительный обзор вариантов построения удаленного пользовательского интерфейса представлен в табл. 1 (для полноты картины также приведена информация о возможностях стандартного пользовательского интерфейса WinCC OA).

Рассмотрим данные варианты с точки зрения принципов построения, функциональных возможностей и целевых применений.

Таблица 1. Варианты построения удаленного пользовательского интерфейса

Тип пользовательского интерфейса

Описание Преимущества

Особенности

Веб-клиент

Удаленный доступ
к SCADA-системе через Интернет

  • Не требуется установка WinCC OA (только плагина)
  • Доступ к интерфейсу через обычный веб-браузер
  • Требуется установка плагина
  • Не поддерживается графический редактор GEDI
  • Не поддерживаются средства инжиниринга

Ультралегкий клиент
ULC UX

Удаленный доступ
к SCADA-системе через Интернет
с помощью клиента для настольных приложений на базе технологии HTML5

  • Не требуется установка
  • Оптимизированный механизм обмена данными
  • Доступ к интерфейсу через обычный веб-браузер
  • Имеются ограничения
    по визуализации при использовании большого количества динамических элементов

Приложение
WinCC OA OPERATOR

Клиентское приложение для мобильных устройств на базе операционной системы iOS
(iPhone / iPad)
с предопределенными экранными формами и функциями

  • Приложение для операционной системы iOS
  • Бюджетное решение
  • Простая настройка с помощью мастера
  • Доступны только предопределенные экранные формы и функции
  • Не отображаются мнемосхемы объектов/процессов
  • Только для операционной системы iOS

Мобильный пользовательский интерфейс
для iOS и Android

Полнофункциональное клиентское приложение для мобильных устройств на базе операционных систем iOS и Android

  • Приложение для операционных систем iOS и Android
  • Защищенный обмен данными
    за счет использования
    протокола SSL
  • Управление устройствами
    и администрирование с уровня сервера
  • Имеются определенные ограничения в части поддержки индивидуальных технических решений, разработанных пользователем

Стандартный пользовательский интерфейс

Инженерная станция / станция оператора в локальной сети SCADA-системы

  • Полнофункциональное клиентское приложение
  • Полный доступ к средствам разработки
  • Требуется установка
    WinCC OA
  • Требуется ручная установка пакетов обновлений

Веб-клиент

Веб-клиент WinCC OA (WinCC OA Web Client) дает возможность создания полнофункциональных клиентских рабочих мест с использованием веб-браузера. Технически веб-клиент WinCC OA представляет собой плагин, который загружается через клиентский браузер и инкапсулирует стандартный менеджер пользовательского интерфейса WinCC OA (WinCC OA UI); при этом веб-страница используется в качестве общего контейнера. Таким образом, для работы веб-клиента не требуется полная установка WinCC OA — нужен лишь соответствующий плагин (для установки пользователь должен обладать правами администратора).

Веб-клиент WinCC OA обеспечивает возможность работы с элементами пользовательского интерфейса WinCC OA (системными и пользовательскими панелями, диалоговыми окнами, экранными формами) с использованием распространенных браузеров (Internet Explorer 10/11, Mozilla Firefox 39, Microsoft Edge), работающих под управлением различных операционных систем (Windows, Linux) на настольных ПК, ноутбуках/нетбуках и ряде мобильных устройств, имеющих доступ к сети Интернет (рис. 1).

Рис. 1. Архитектура системы на базе WinCC OA с использованием веб-клиента WinCC OA

Рис. 1. Архитектура системы на базе WinCC OA с использованием веб-клиента WinCC OA

Принцип работы веб-клиента WinCC OA проиллюстрирован схемой, представленной на рис. 2. Отображение панелей/экранных форм и исполнение сценариев осуществляется в клиентском браузере с помощью плагина менеджера пользовательского интерфейса (WinCC OA UI Manager) без каких-либо промежуточных преобразований. Для передачи файлов, необходимых для работы веб-клиента (панелей, таблиц стилей, графики, CTRL-сценариев), используется протокол HTTP/HTTPS (по умолчанию соединение устанавливается через порт 443, может быть переопределено пользователем); для кэширования файлов проекта на клиенте создается локальная структура. Соединение веб-клиента с менеджером событий (Event Manager) и менеджером БД (Database Manager) осуществляется через менеджер мультиплексного прокси (Multiplexing Proxy), обеспечивающий обмен данными по одному порту TCP (по умолчанию используется порт 5678, также может быть переопределено пользователем). Для обеспечения защищенного обмена данными мультиплексный прокси использует SSL-сертификаты при установлении соединений.

Рис. 2. Принцип работы веб-клиента

Рис. 2. Принцип работы веб-клиента

Ключевым преимуществом веб-клиента WinCC OA является возможность использования панелей, созданных для стандартного пользовательского интерфейса WinCC OA, без необходимости реинжиниринга. Таким образом, веб-клиент обеспечивает практически такие же функции, как и стандартный пользовательский интерфейс WinCC OA.

Ультралегкий веб-клиент ULC UX

Ультралегкий веб-клиент ULC UX (Ultralight Client ULC UX) — клиент для десктопных приложений, использующий технологии HTML5 и VNC (Virtual Network Computing). Для работы ультралегкого веб-клиента ULC UX не требуется установка WinCC OA или какого-либо плагина — на стороне клиента нужен только веб-браузер (поддерживаются Microsoft Internet Explorer версии 10 и выше, Google Chrome версии 43 и выше и Mozilla Firefox версии 39 и выше). Ультралегкий веб-клиент ULC UX может использовать SSL-шифрование и поддерживает технологию однократной идентификации Single Sign On (SSO).

Принцип работы ультралегкого веб-клиента ULC UX показан на рис. 3. Когда браузер инициирует подключение к веб-серверу WinCC OA по заданному адресу, веб-сервер возвращает запрошенную страницу и одновременно запускает локальную копию менеджера пользовательского интерфейса (UI Manager) WinCC OA. Этот находящийся на стороне сервера менеджер UI с использованием протокола RFB (Remote Framebuffer) преобразует команды рисования графических элементов фреймворка Qt, на базе которого выполнены панели WinCC OA, в блоки данных (data chunks) протокола HTML5. С помощью библиотеки Java Script на стороне клиента осуществляется обратное преобразование этих блоков данных и формирование изображения в браузере. Для обмена данными между клиентом и сервером применяется технология веб-сокетов (web sockets), при этом используется единственный открытый HTTPS-порт (443) на стороне сервера, что важно с точки зрения обеспечения безопасности.

Рис. 3. Принцип работы ультралегкого веб-клиента ULC UX

Рис. 3. Принцип работы ультралегкого веб-клиента ULC UX

Благодаря такой архитектуре решения ультралегкий веб-клиент ULC UX обеспечивает практически все функциональные возможности, которые имеет стандартный менеджер пользовательского интерфейса WinCC OA. Панели, как обычно, могут создаваться в графическом редакторе GEDI; при этом существующие панели, ранее разработанные для использования в стандартном пользовательском интерфейсе WinCC OA, могут быть открыты с помощью ULC UX. Кроме того, ультралегкий веб-клиент ULC UX поддерживает возможность отображения внешних графических объектов EWO (External Widget Objects), что может быть критически важно для пользовательских прикладных решений.

Производительность ультралегкого веб-клиента ULC UX определяется как параметрами сетевого и серверного оборудования (такими как ширина полосы пропускания, задержки, характеристики процессора и памяти), так и содержанием самих панелей (количеством динамических объектов, объемом и сложностью пользовательских сценариев). В одномашинной конфигурации WinCC OA рекомендуемое количество подключенных клиентов ULC UX составляет до 20; в резервированной конфигурации серверов WinCC OA нагрузка веб-серверов может использоваться балансирование нагрузки, и за счет этого рекомендуемое количество подключенных клиентов ULC UX увеличивается до 40. Следует отметить, что указанные значения являются ориентировочными, т. к. фактическая производительность существенно зависит от пользовательской реализации графического интерфейса системы (разрешения панелей, объема отображаемых данных, количества динамических элементов и т. д.), сетевых параметров и даже используемой операционной системы (Windows/Linux), поэтому реальное количество допустимых подключений подлежит определению на этапе разработки системы для конкретного проекта.

Рис. 4. Примеры внешнего вида экранов приложения WinCC OA OPERATOR

Рис. 4. Примеры внешнего вида экранов приложения WinCC OA OPERATOR

Приложение WinCC OA OPERATOR

Приложение WinCC OA OPERATOR позволяет отображать информацию из системы WinCC OA и осуществлять оперативное управление целевой системой/установкой с iPad или iPhone. Приложение содержит ряд предопределенных экранных форм и функций, таких как отображение текущих и исторических данных, алармов, комплексных показателей (KPI), квитирование аварийных сигналов, передача команд управления и др.

Основные экранные формы приложения WinCC OA OPERATOR:

  • базовая экранная форма приложения с графическими элементами управления, актуальными алармами и значениями важнейших тегов процесса;
  • панель алармов с возможностью фильтрации и сортировки;
  • панель трендов;
  • панель команд;
  • карта расположения объектов системы с привязкой алармов к объектам;
  • телефонная книга для информирования требуемых абонентов.

Примеры внешнего вида экранных форм приложения WinCC OA OPERATOR для iPhone показаны на рис. 4.

Настройка работы приложения WinCC OA OPERATOR осуществляется с помощью мастера, при этом не требуется наличие навыков программирования. Приложение WinCC OA OPERATOR может быть загружено на целевое пользовательское устройство через онлайн-магазин App Store.

 

Мобильный пользовательский интерфейс для iOS и Android

Мобильный пользовательский интерфейс WinCC OA (WinCC OA Mobile UI) дает возможность полноценной визуализации и управления с мобильных устройств на базе операционных систем iOS и Android. С его помощью доступ к данным системы возможен из любой точки в любое время, при этом WinCC OA Mobile UI обладает функциональностью, аналогичной стандартному пользовательскому интерфейсу WinCC OA.

Мобильный пользовательский интерфейс WinCC OA представляет собой приложения для операционных систем iOS и Android, доступные для загрузки из онлайн-магазинов App Store и Google Play. Поддерживаемые операционные системы — Android 4.4 / 5.1.1 и выше, iOS 8 / 9 и выше. Серверная часть, необходимая для работы WinCC OA Mobile UI, входит в состав стандартной инсталляции WinCC OA.

Мобильный пользовательский интерфейс WinCC OA позволяет отображать на мобильных устройствах панели и экранные формы, ранее созданные для обычного пользовательского интерфейса WinCC OA, без дополнительного инжиниринга и модификации.

Для регистрации, администрирования и управления мобильными устройствами в составе системы WinCC OA имеется специальный инструмент — Device Management. Он позволяет определять, каким устройствам разрешено подключаться к конкретному проекту, а также управлять лицензиями WinCC OA Mobile UI. Кроме того, Device Management дает возможность управлять классами устройств, определяющими размеры и ориентацию панелей, и вводить собственные классы устройств.

Принцип работы мобильного пользовательского интерфейса WinCC OA поясняет рис. 5. Подключение клиента с мобильным пользовательским интерфейсом к серверу WinCC OA начинается с открытия соединения с веб-сервером по протоколу HTTPS (адрес задается в интерфейсе на стороне клиента). Данное соединение используется для передачи клиенту необходимых для его работы конфигурационных файлов, файлов панелей и скриптов. Обмен текущими данными (значения переменных, алармы) производится через один TCP-порт менеджером мультиплексного прокси; при этом для защиты соединения используется протокол SSL.

Рис. 5. Принцип работы мобильного пользовательского интерфейса

Рис. 5. Принцип работы мобильного пользовательского интерфейса

Как и для других удаленных пользовательских интерфейсов, вопрос производительности WinCC OA Mobile UI требует особого внимания, особенно в случае отсутствия возможности использования широкополосного обмена данными по Wi-Fi. По оценке разработчиков WinCC OA, передача 100 изменений значений переменных в секунду создает трафик порядка 100 кбит/с (передача изменения значения переменной подразумевает передачу самого значения, метки времени и статусной информации). Аналогично, для обновления панели алармов, содержащей 20 атрибутов, с частотой 10 изменений в секунду требуется полоса порядка 60–70 кбит/с.

Пример внешнего вида пользовательского интерфейса WinCC OA для iPhone/iPad и смартфонов/планшетов на базе Android приведен на рис. 6.

Рис. 6. Примеры пользовательского интерфейса WinCC OA для iOS и Android

Рис. 6. Примеры пользовательского интерфейса WinCC OA для iOS и Android

 

Облачные конфигурации

Размещение публичного SCADA-сервера или выделенного веб-сервера для доступа к SCADA-системе в сети Интернет сегодня не относится к числу широко распространенных конфигураций в промышленных приложениях — тем не менее в ряде ситуаций такие варианты могут быть востребованы.

Рассмотрим конфигурации WinCC OA c выделенным веб-сервером и с публичным SCADA-сервером в сети Интернет.

В первом случае (рис. 7) доступный по публичному адресу веб-сервер обеспечивает обработку запросов, формируемых со стороны мобильных и/или веб-клиентов; при этом взаимодействие с сервером сбора и обработки данных, не имеющим публичного статического IP-адреса, осуществляется, например, через VPN-соединение с использованием мультиплексного прокси для туннелирования трафика. В случае наличия двух или более веб-серверов WinCC OA возможно использование функциональности балансирования нагрузки.

Рис. 7. Облачная конфигурация системы с выделенным веб-сервером

Рис. 7. Облачная конфигурация системы с выделенным веб-сервером

Во втором случае (рис. 8) весь функционал веб-сервера и сервера сбора и обработки данных реализуется в рамках единого сервера. Как и в предыдущей конфигурации, веб-сервер, имеющий публичный статический IP-адрес, обрабатывает входящие запросы от клиентов (например, ультралегкого веб-клиента ULC UX); при этом обмен данными с ПЛК и/или сопряженными системами может быть организован через VPN-канал непосредственно с уровня веб-сервера. Такая архитектура позволяет, например, обеспечить интеграцию в SCADA-систему удаленных необслуживаемых объектов без развертывания на них серверной инфраструктуры; причем доступ к данным и управление удаленным объектом возможны из любой точки, где имеется доступ к сети Интернет. Одним из вариантов построения подобного решения является конфигурация системы с хостингом веб-сервера во внешнем дата-центре.

Рис. 8. Облачная конфигурация системы с публичным сервером WinCC OA

Рис. 8. Облачная конфигурация системы с публичным сервером WinCC OA

Очевидно, что любые облачные конфигурации в промышленных приложениях в целом и в SCADA-системах в частности, даже если речь идет о технологии «частного облака», требуют комплексной проработки вопросов безопасности [1]. Более того, при применении SCADA-систем на критически важных, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, на них распространяются требования, установленные Приказом ФСТЭК № 31 от 14 марта 2014 г. В случае использования WinCC OA данные требования могут быть реализованы, например, применением решения Kaspersky Industrial CyberSecurity (KICS) от «Лаборатории Касперского»: совместимость WinCC OA и KISC официально подтверждена разработчиками обеих систем по результатам полномасштабного совместного тестирования [2].

 

Конфигурации с использованием веб-сервера Apache в качестве обратного прокси

Защита систем на базе WinCC OA, доступных из сети Интернет, может быть существенно усилена за счет применения веб-сервера Apache в качестве обратного прокси (reverse proxy) [3]. В такой конфигурации сервер Apache, размещенный в демилитаризованной зоне (ДМЗ), выполняет ретрансляцию запросов клиентов из внешней сети на один или несколько серверов WinCC OA, логически расположенных во внутренней сети; при этом для клиента это выглядит так, как будто запрашиваемые ресурсы находятся непосредственно на прокси-сервере.

Пример возможной архитектуры такой системы приведен на рис. 9. Запросы от различных клиентов на получение доступа к тем или иным сервисам WinCC OA, работающим по протоколу HTTP/HTTPS (на рис. 9 приведен пример с использованием протокола HTTPS), преобразуются сервером Apache в запросы к ассоциированным с ним серверам WinCC OA, расположенным в защищенной внутренней сети. При этом реальные IP-адреса и имена серверов во внутренней сети скрыты от внешних клиентов — им известны лишь внешние имена различных сервисов WinCC OA, например ReportingService.exampledomain.ru, MobileApp.exampledomain.ru, WebClient.exampledomain.ru, ULC.exampledomain.ru (для домена exampledomain.ru должны быть выполнены соответствующие настройки DNS-сервера). На межсетевом экране (МСЭ) для внутренней сети должен быть открыт только порт, обеспечивающий трансляцию перенаправляемого HTTP/HTTPS-трафика. В случае применения таких компонентов WinCC OA, как веб-клиент или пользовательский интерфейс для устройств на базе iOS и Android, использующих для обмена данными с менеджерами WinCC OA дополнительные TCP-порты, на сервере в ДМЗ также должен быть запущен мультиплексный прокси WinCC OA для обеспечения защиты и туннелирования соединений через один TCP-порт. В этом случае соответствующий TCP-порт мультиплексного прокси должен быть также открыт во внутреннюю сеть на МСЭ.

С помощью многочисленных модулей расширения веб-сервера Apache могут быть также решены дополнительные задачи, актуальные при построении SCADA-систем с использованием веб-технологий, — такие как обнаружение сетевых атак и защита от них, балансирование нагрузки, кэширование, сжатие данных и др.

Рис. 9. Конфигурация системы с использованием веб-сервера Apache в качестве обратного прокси

Рис. 9. Конфигурация системы с использованием веб-сервера Apache в качестве обратного прокси

 

Применимость решений: адекватный выбор для каждой задачи

Многообразие вариантов организации пользовательского интерфейса WinCC OA позволяет сделать адекватный выбор технического решения в соответствии с требованиями конкретной задачи. Типовые рекомендации сведены в табл. 2.

Таблица 2. Типовые рекомендации по выбору организации пользовательского интерфейса WinCC OA

Требования / Характеристики

Выбор типа пользовательского интерфейса

  • Полная функциональность пользовательского интерфейса на стороне клиента
  • Работа в закрытой защищенной сети
  • Высокая динамика изменений в панелях
Стандартный пользовательский интерфейс или веб-клиент
  • Поддержка мобильных устройств на базе Android и iOS
Мобильный пользовательский интерфейс Mobile UI
  • Отсутствие необходимости установки / администрирования ПО на стороне клиента
  • Для отображения экранных форм допустимо использование только веб-технологий (HTML5 и JavaScript)
  • Разрешен обмен только по протоколу HTTP/HTTPS
Ультралегкий клиент ULC UX
  • Бюджетное решение
  • Наличие готовых пользовательских представлений данных (экранных форм) для общего обзора состояния системы
Приложение WinCC OA OPERATOR

* * *

Средства и инструменты удаленного доступа, основанные на использовании веб-приложений, концепции облачных вычислений, возможностях новых поколений мобильной связи и других современных технологиях, прочно вошли в мир SCADA-систем. Флагманская SCADA-платформа WinCC OA компании Siemens в полной мере воплощает вышеперечисленные достижения в сочетании с модульной и открытой архитектурой, благодаря чему предлагает множество вариантов организации пользовательского интерфейса для дистанционного и мобильного мониторинга, а также управления промышленными установками и инфраструктурными объектами.

Литература
  1. WinCC OA Security Concept V3.14 // ETM Professional Control GmbH. 2016.
  2. Подтверждена совместимость WinCC OA и Kaspersky Industrial CyberSecurity
  3. WinCC OA secured by Apache // ETM Professional Control GmbH. 2015.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *