Przemysł 4.0 to integracja maszyn i systemów w sposób pozwalający na gromadzenie wszelkich danych o produkcji, infrastrukturze i wyrobach gotowych. Duża ilość danych zbieranych na bieżąco pozwala na optymalizację procesu produkcyjnego w czasie rzeczywistym. Dane procesowe pobierane są z wielu urządzeń i sensorów. Wskazane jest również monitorowanie maszyn i urządzeń już dostarczonych do klienta, których parametry eksploatacyjne, kondycja i stan techniczny również może dostarczyć cennych danych do poprawy jakości i efektywności produkcji. Analiza dużej ilości danych pozwala na lepsze rozumienie procesu i jego optymalizację dającą zwiększenie wydajności, jakości i efektywności procesu produkcyjnego.
Rysunek 1. ARS-2131-LTE
Do przesyłu danych danych wykorzystywane technologie transmisji przewodowej, światłowodowej i radiowej (bezprzewodowej). Komunikacja bezprzewodowa znajduje zastosowanie w następujących aplikacjach:
- monitoring, pomiary i sterowanie procesami produkcyjnymi,
- zdalne programowanie sterowników PLC, paneli HMI,
- monitoring wideo,
- kontrola parametrów maszyn pracujących w miejscach oddalonych i trudno dostępnych (np. przepompowni, agregatów prądotwórczych, farm wiatrowych itp).
W wyżej wymienionych obszarach największą popularnością cieszą się systemy bazujące na sieciach GSM. W przypadku standardu Advanced LTE przepustowość może sięgać realnie nawet kilkuset Mb/s z zachowaniem dużej stabilności przy jednocześnie niskich kosztach transmisji. W celu nawiązania połączenia przez sieć komórkową używa się routerów GSM czyli urządzeń, które służących do sterowania (routowania) ruchem w sieci. Pozwalają one przekierowywać ruch sieciowy pomiędzy różnymi podsieciami oraz różnymi interfejsami: LAN, Wi-Fi, GSM. Urządzenia te do swojej pracy potrzebują przydzielenia statycznego lub dynamicznego adresu IP. W celu zapewniania bezpieczeństwa używa się protokołów szyfrowanych i sieci VLAN. Nie zaleca się stosowania prostego przekierowania portów bez szyfrowania gdyż rozwiązanie to jest podatne na przechwycenie transmisji i kontroli nad urządzeniami przez osoby niepowołane. Wskazane jest zastosowanie VLAN opartego o protokół zapewniający prywatność i bezpieczeństwo transmisji, na przykład Open VPN. Jest to pakiet otwartego oprogramowania do tworzenia wirtualnych sieci prywatnych, który powstał dla systemu operacyjnego Unix. Uwierzytelnianie w Open VPN odbywa się za pomocą kluczy lub nazwy użytkownika i hasła. Możliwe są następujące tryby pracy takiego tunelu VPN: tryb routera (Route) oraz tryb mostu (Bridge). W trybie routera adresacja IP po obu stronach tunelu musi być inna, zapobiegając możliwym powtórzeniom adresów IP w całej sieci prywatnej. W trybie tym można zarządzać przydzielanymi adresami IP w ramach obu segmentów, ale jednocześnie przez taki tunel nie zostanie przepuszczona komunikacja w warstwie 2 czyli np. ramki rozgłoszeniowe (broadcast) lub multicast. W trybie Mostka problem ten nie występuje ponieważ sieci są zmostkowane, czyli mają tę samą adresację, co pozwala na pełną komunikację taką jak w fizycznej sieci LAN, jednakże tryb bridge jest trudniej konfigurowalny. W obu tych trybach zawsze występuje klient i serwer. Rolą serwera jest oczekiwanie na zdefiniowanym porcie TCP na dane od klienta VPN. Z tego powodu serwer musi być dostępny publicznie, czyli musi mieć stały, publiczny adres IP. Konieczne jest wyposażenie routerów w kartę SIM ze statycznym i publicznym adresem IP co pozwoli na konfigurację serwera Open VPN. Niestety transfer danych przy użyciu karty SIM ze statycznym adresem IP jest istotnie droższy niż w przypadku adresów niepublicznych przydzielanych dynamicznie.
Rysunek 2. Zasady pracy IoT Cloud Gateway ARS-2131-LTE
Samodzielna konfiguracja serwera i klienta VPN, konieczność zapewnienia statycznych adresów IP może wiązać się z pewnymi trudnościami i kosztami. W takiej sytuacji lepszym rozwiązaniem są routery wyposażone w usługę Cloud Server, pozwalającą na bezpieczny i szyfrowany transfer danych bez konieczności zapewnienia statycznych adresów IP. Przykładem takiego urządzenia jest router typu ARS-2131-LTE (fot. 1) pracujący w trybie Advanced LTE wyposażony w usługę Cloud Server VPN. Dzięki serwerowi Open VPN pracującym w chmurze zostają rozwiązane wszystkie powyższe problemy a konfiguracja jest prosta i możliwa w kilku krokach. Urządzenie ma funkcjonalność bramki IoT i pozwala na zdalny dostęp do nadzorowanego systemu z dowolnego miejsca na świecie. Zasada pracy jest pokazana na rysunku 1. Bezpieczeństwo jest zapewnione za pomocą szyfrowanego tunelu VPN z wykorzystaniem bezpiecznych kluczy szyfrujących o długości 2048bit lub 4096bit.
Prostota użytkowania i niewysokie koszty transferu danych to niepodważalne zalety, ale nie można pominąć kwestii bezpieczeństwa. Połączenie informatycznych systemów korporacyjnych IT oraz przemysłowych sieci transmisji danych (OT) tworzy warstwową strukturę, w której każdy poziom ma inną specyfikę i wymagania oraz różną architekturę połączeń ze światem zewnętrznym. W efekcie zabezpieczenie takiej sieci przypomina wielopoziomową ochronę strategicznego obiektu i jest niekiedy nazywane (z ang.) „Defence in Depth” lub „Castle Approach”. Dzieli się na trzy aspekty - fizyczny, techniczny i administracyjny. W dobrze zaprojektowanym systemie bezpieczeństwa sieci przemysłowej niezbędne są narzędzia do wymuszania właściwych zachowań użytkowników, monitorowania i wykrywania zmiany czy instalacji złośliwego kodu, szybkiego reagowania i odtworzenia ciągłości działania w przypadku ataku. Jednym z szerzej znanych standardów jest IEC 62443. Wymienia ona szereg potencjalnych problemów, na które należy zwrócić uwagę przy projektowaniu sprzętu sieciowego, tak aby można było mówić o sprzęcie bezpiecznym. Routery GSM powinny zapewniać bezpieczeństwo na poziomie warstwy 3 i 4.
Rysunek 3. Struktura warstwowa systemu ICS - norma IEC 62443 (ISA.ORG)
Reasumując routery GSM pozwalają na zdalny dostęp systemów z wykorzystaniem sieci komórkowej. Pozwalają na osiągniecie transmisji z szybkością do kilkuset Mbs za pomocą szyfrowanego kanału VPN co pozwala zdalnie programować i rozwiązywać problemy związane z pracą zdalnych urządzeń (sterowniki PLC, moduły kontrolno-pomiarowe), monitorować infrastrukturę techniczną (HMI, SCADA, kamery IP). Zdalny dostęp do sterowników PLC i innych urządzeń automatyki daje możliwość monitorowania i zdalnej pomocy bez konieczności wielogodzinnych podróży na obiekt.
|
|