Použití kyberneticky zabezpečených PLC s integrovanou bezpečností pro vysokorychlostní průmyslovou automatizaci

V různých továrnách, od automobilové výroby až po zpracování potravin, je zapotřebí flexibilní a vysokorychlostní řízení strojů s integrovanou bezpečností a vysokou úrovní kybernetické bezpečnosti. Síťová komunikace a bezpečnostní implementace musí být v těchto prostředích flexibilní. Některá zařízení v síti budou používat protokol aplikační sběrnice, jako je EtherCAT, a jiná mohou používat Ethernet/IP. Některá zařízení budou navíc využívat standardní konektivitu a některá budou vyžadovat bezpečnostní protokoly.

K urychlení nasazení potřebují konstruktéři průmyslových sítí řídicí jednotky, které kombinují protokoly Common Industrial Protocol (CIP) Safety a Safety over EtherCAT, nazývaný také FailSafe over EtherCAT (FSoE). Protokol CIP Safety podporuje zařízení, jako jsou průmyslové roboty, které využívají konektivitu EtherNet/IP, zatímco protokol FSoE pracuje se zařízeními využívajícími EtherCAT. Je zapotřebí řada řídicích jednotek, které zvládnou až 254 připojení CIP Safety, až 62 os pohybu a až 256 uzlů EtherCAT. Je vyžadována rozmanitost vstupně/výstupních („input/output“, I/O) jednotek, které podporují snadné uvádění do provozu a údržbu a dokážou pojmout širokou škálu návrhů automatizačních systémů.

Kromě toho musí výrobce řídicí jednotky nabídnout sadu pro vývoj softwaru vyhovující normě IEC 61131-3, která umožňuje rychlé a snadné ovládání všech připojených zařízení. Společnost musí být také certifikována podle normy IEC 62443-4-1, Bezpečnost pro systémy průmyslové automatizace a řízení, včetně požadavků na bezpečný životní cyklus vývoje výrobků, které zmírňují dopady a často brání úspěšným kybernetickým útokům.

Tento článek začíná srovnáním použití konektivity EtherCAT a Ethernet/IP. Je v něm zkoumáno, jak protokoly FSoE a CIP Safety zapadají a souvisejí s normami Mezinárodní elektrotechnické komise („International Electrotechnical Commission“, IEC) IEC 61508 a IEC 61784-3, a zvažováno, jak se posuzuje bezpečnostní riziko pomocí normy Mezinárodní organizace pro standardizaci („International Standards Organization“, ISO) 12100. Dále se článek zabývá požadavky na sadu pro vývoj softwaru vyhovující normě IEC 61131-3 a tím, co je potřeba k získání certifikace podle normy IEC 62443-4-1 pro kybernetickou bezpečnost. Na závěr je představen výběr řídicích jednotek a I/O jednotek od společnosti Omron Automation vhodných pro kyberneticky zabezpečené vysokorychlostní instalace průmyslové automatizace.

Sítě průmyslové automatizace mohou vyžadovat vysokorychlostní řízení strojů a připojení továrny ke cloudu, plánování podnikových zdrojů („enterprise resource planning“, ERP) a další systémy správy.

K tomu slouží řídicí jednotky, jako je model Sysmac NX102 od společnosti Omron s rozhraními EtherCAT a EtherNet/IP. Technologii EtherCAT lze použít pro vysokorychlostní komunikaci s řídicími jednotkami motorů a serverů, jako jsou servoovladače a servomotory řady 1S od společnosti Omron, včetně 1kW servoovladače R88D-1SN10H-ECT a 1kW servomotoru R88M-1L1K030T se 3 000 ot./min.

Stejná řídicí jednotka NX102 může používat protokol EtherNet/IP k řízení standardních průmyslových robotů a zároveň poskytovat konektivitu továrny ke cloudu, ERP a dalším systémům. Všechny tyto funkce lze implementovat prostřednictvím integrovaného vývojového prostředí („integrated development environment“, IDE) Sysmac Studio společnosti Omron pro automatizaci strojů a továren (obrázek 1):

• EtherCAT pro řízení strojů
  • Redundance minimalizující prostoje
  • Flexibilní konfigurace systému podporující až 512 podřízených zařízení
  • Rychlá doba cyklu 125 μs a synchronizace s jitterem 1 μs
  • Jednoduché připojení pomocí standardního stíněného krouceného páru („shielded twisted pair“, STP) ethernetového kabelu s konektory RJ45
  • Podpora FSoE
• EtherNet/IP pro připojení továrny
  • Komunikace řídicí jednotky peer-to-peer
  • Podpora databázového připojení pro Microsoft SQL Server, Oracle, IBM DB2, MySQL a Firebird
  • Integrovaný FTP server
  • Protokol MQTT („Message Queuing Telemetry Transport“) pro bezpečné připojení ke cloudu a dalším sítím
  • Podpora protokolu CIP Safety

Obrázek 1: Řídicí jednotky, jako je model NX102 od společnosti Omron, mohou implementovat EtherCAT plus protokoly FSoE a EtherNet/IP plus CIP Safety v jedné síti. (Zdroj obrázku: společnost Omron Automation)

Posouzení rizik podle norem IEC a ISO

Existuje mnoho způsobů, jak kombinovat zařízení EtherCAT a EtherNet/IP. Jedním z kritických rozhodnutí, které je třeba učinit při výběru konkrétních zařízení, je optimalizace účinnosti a bezpečnosti sítě. To vyžaduje porozumění bezpečnostním normám IEC a implementaci efektivního plánu posouzení rizik založeného na požadavcích ISO:

• IEC 61508, Funkční bezpečnost elektrických/elektronických/programovatelných elektronických systémů souvisejících s bezpečností (E/E/PE nebo E/E/PES), je základní normou funkční bezpečnosti použitelnou ve všech průmyslových odvětvích. Zahrnuje metody pro použití, návrh, nasazení a údržbu zařízení automatické ochrany nazývaných systémy související s bezpečností.
• IEC 61784-3:2021, Aplikační sběrnice funkční bezpečnosti - Obecná pravidla a definice profilů, norma vymezuje společné principy, které lze použít při přenosu zpráv týkajících se bezpečnosti v distribuované síti navržené podle požadavků normy IEC 61508 pro funkční bezpečnost. Protokoly FSoE a CIP Safety tento standard splňují.

ISO 12100, Bezpečnost strojních zařízení - Všeobecné zásady pro konstrukci - Posouzení rizika a snižování rizika, popisuje posuzování a řízení rizik nezávisle na použitém bezpečnostním protokolu. Posouzení se skládá z pěti kroků nebo akcí (obrázek 2):

1. Stanovení limitů strojních zařízení – porozumění omezení provozu stroje a očekávané interakci operátora.
2. Identifikace nebezpečí – zahrnuje rizika spojená s výrobou, používáním, údržbou a likvidací stroje.
3. Odhad rizika – kvantifikování pravděpodobnosti výskytu a očekávané závažnosti poškození vyplývajícího z jednotlivých rizik.
4. Hodnocení rizik – určení, zda bylo riziko sníženo na zvládnutelnou a bezpečnou úroveň: Pokud je odpověď „ANO“, zdokumentujte zjištění a nasaďte systém; pokud je odpověď „NE“, vypracujte další strategie snižování rizik.
5. Snížení rizika – rozšíření opatření na snížení rizik a návrat k akci 1.

Obrázek 2: Pět akcí požadovaných k provedení posouzení rizik, jak jsou podrobně popsány v normě ISO 12100. (Zdroj obrázku: společnost Omron Automation)

Protokoly FSoE a CIP Safety – jaký je mezi nimi rozdíl?

Protokoly FSoE a CIP Safety splňují požadavky normy IEC 61784-3:2021 a umožňují interoperabilitu zařízení od různých výrobců. K identifikaci bezpečnostních potřeb a ke správné konfiguraci pro každou instalaci by mělo být použito posouzení bezpečnostních rizik. Osm typů síťových chyb musí být zmírněno, aby byla zajištěna funkční bezpečnost, a musí být také v protokolech FSoE a CIP Safety řešeny odlišně. Protokol FSoE přidává deváté hledisko, řešení selhání paměti v přepínačích. Mezi osm typů síťových chyb, kterými oba protokoly řeší, patří následující (tabulka 1):

• Poškození signálu
• Neúmyslné opakování zprávy
• Nesprávné pořadí zprávy
• Ztráta zprávy
• Nepřijatelné zpoždění zprávy
• Vložení další nechtěné zprávy
• Maskování zprávy
• Adresování zprávy dle úmyslu

Tabulka 1: Protokol CIP Safety (nahoře) a FSoE (dole) podporují různé přístupy k řešení síťových chyb. (Zdroj tabulky: společnost Omron Automation)

IDE vyhovující normě IEC 61131-3

Důležitý je také efektivní rozvoj a nasazení sítě. IDE Sysmac Studio splňuje požadavky na syntaxi a sémantiku normy IEC 61131-3, což zjednodušuje vývoj softwaru. IDE průmyslové automatizace často vyžadují samostatný vývoj programů pro řízení pohybu a programování pro řízení bezpečnosti. Sysmac Studio podporuje integrované bezpečnostní programování se sekvenčním a pohybovým ovládáním, včetně návrhu, ověřování, ladění, provozu a průběžného vylepšování.

Podporuje také komplexní průmyslové automatizační systémy, včetně I/O, pohybových a bezpečnostních zařízení. Tato platforma IDE používá stejné grafické uživatelské rozhraní („graphical user interface“, GUI) pro sekvencování a ovládání strojů a návrh bezpečnostního řízení, což zjednodušuje a urychluje proces vývoje.

Výsledný software lze navrhnout pomocí modulárních struktur, které podporují opětovné použití v nových aplikacích, čímž se sníží potřeba ověřování a validace pro následné aplikace.

Certifikace dle normy IEC 62443-4-1

V normě IEC 62443-4-1 jsou definovány požadavky a procesy pro implementaci a údržbu elektronicky bezpečných systémů průmyslové automatizace a regulace („industrial automation and control systems“, IACS). Norma stanovuje řadu osvědčených postupů pro zabezpečení a zahrnuje způsob, jak posoudit dosaženou úroveň zabezpečení. Tato norma se řídí holistickým přístupem ke kybernetické bezpečnosti a odstraňuje nesoulad mezi provozem a informačními technologiemi a bezpečností procesů a kybernetickou bezpečností.

Stále větší propojení zařízení v Průmyslu 4.0 má za následek odpovídající nárůst rizik kybernetické bezpečnosti a potřebu komplexní implementace zabezpečení ke zmírnění možnosti narušení provozu v důsledku kybernetických útoků. Společnost Omron Automation získala certifikaci podle normy IEC 62443-4-1 pro zavedení bezpečného životního cyklu vývoje svých produktů a softwaru PLC.

Řídicí jednotka automatizace stroje

Řídicí jednotky NX502 společnosti Omron jsou navrženy tak, aby poskytovaly škálovatelná automatizační řešení s přesným pohybem a robustní bezpečností. Jsou postaveny na architektuře One Controller, One Connection, and One Software platformy Sysmac, kde jedna řídicí jednotka integruje logiku, pohyb, bezpečnost, robotiku, vidění, informace, vizualizaci a sítě do jednoho softwaru, Sysmac Studio (obrázek 3).

Obrázek 3: Řídicí jednotky NX502 jsou postaveny na architektuře One Controller, One Connection, and One Software platformy Sysmac. (Zdroj obrázku: společnost Omron Automation)

Řídicí jednotky NX502 minimalizují také riziko kybernetických útoků a centralizují a zjednodušují řízení automatizace továrny. Jednotka může zahrnovat až 254 připojení CIP Safety, řízení až 62 os pohybu, 256 uzlů EtherCAT, 80 MB programové paměti, porty EtherNet/IP 1 Gb/s a zahrnuje podporu platformy Open Platform Communications Unified Architecture (OPC UA) a relačních databází strukturovaného dotazovacího jazyka („structured query language“, SQL).

Tyto řídicí jednotky mohou obsluhovat až čtyři rozšiřující karty EtherNet/IP (EIP) na levé straně procesorové jednotky, což umožňuje ovládání mnoha strojů prostřednictvím jediné procesorové jednotky. Každá rozšiřující karta EIP vytváří podsíť oddělující připojené stroje od databáze a sítí na úrovni závodu.

K dispozici jsou tři modely řídicích jednotek NX502:

NX502-1300 – schopné ovládat 16 servoos

NX502-1400 – schopné ovládat 32 servoos

NX502-1500 – schopné ovládat 64 servoos

Automatizace pro menší sítě

Konstruktéři menších továrních automatizačních instalací mohou využít řídicí jednotky NX102 společnosti Omron. Stejně jako větší řídicí jednotky NX502 i tyto jednotky obsahují architekturu One Controller, One Connection, and One Software platformy Sysmac. Urychlují implementaci funkcí IIoT v malých sítích pomocí nativních komunikačních protokolů, jako je EtherCAT, EtherNet/IP a IO-Link.

Všechny řídicí jednotky řady NX mají společné I/O připojení a lze je naprogramovat v softwaru Sysmac Studio, což umožňuje menší sítě nasazené pomocí řídicích jednotek NX102 snadno rozšířit o větší řídicí jednotky, jako je model NX502. Mezi další funkce řídicích jednotek NX102 patří:

• Doba cyklu EtherCAT od 1 do 32 ms v krocích po 0,25 ms
• Předinstalovaná architektura OPC UA a jazyk SQL
• Ovládání až osmi os pohybu; například jednotka NX102-1200 má kapacitu osmi os, jednotka NX102-1100 má kapacitu čtyři osy a jednotka NX102-1020 má kapacitu dvě osy
• Až 256 uzlů EtherCAT
• Až 16 připojení CIP Safety
• 5 MB programové paměti
• 32 místních I/O na CPU, 400 celkových I/O s Remote NX I/O

I/O jednotky Sysmac NX

I/O připojení jsou kritickou součástí všech továrních automatizačních sítí. Portfolio Sysmac NX I/O zahrnuje více než 120 I/O zařízení, která mohou implementovat širokou škálu funkcí na úrovni továrny a připojit je k větší řídicí síti.

Tyto I/O jednotky jsou kompatibilní s běžnými komunikačními protokoly, včetně EtherCAT, EtherNet/IP, FSoE, CIP Safety a IO-Link. Například model NX1P2-9024DT obsahuje 24 digitálních tranzistorových I/O NPN, 1,5 MB paměti, podporu pro 16 uzlů EtherCAT, EtherNet/IP a jeden sériový volitelný port a model NX1P2-9024DT1 má stejné specifikace, kromě toho, že 24 digitálních tranzistorových I/O NPN je nahrazeno 24 digitálními tranzistorovými I/O PNP (obrázek 4). Mezi dostupné moduly například patří:

• Digitální I/O
• Analogové I/O
• Teplotní I/O
• Kódování a umístění
• Napájecí a připojovací jednotky

Obrázek 4: CPU Sysmac NX1P s 24 digitálními tranzistorovými I/O NPN. (Zdroj obrázku: společnost Omron Automation)

Shrnutí

Řídicí jednotky Omron Sysmac nabízejí komplexní řešení pro konstruktéry strojů a automatizačních sítí. Podporují protokoly EtherCAT, EtherNet/IP, FSoE a CIP Safety. Modely jsou k dispozici pouze pro několik řídicích uzlů a další modely mohou podporovat až 254 připojení CIP Safety, řízení až 62 os pohybu a 256 uzlů EtherCAT. IDE Sysmac Studio je kompatibilní s normou IEC 61131-3 a celá řada je certifikována podle normy IEC 62443-4-1 pro kybernetickou bezpečnost.