Automática e Instrumentación

Últimas tendencias en Controlado­res de Automatiza­ción Programabl­es

PACS

-

Últimas tendencias en Controlado­res de Automatiza­ción Programabl­es El control industrial, con la adopción de los Controlado­res de Automatiza­ción Programabl­es como corazón y cerebro de la máquina, tomo la decisión de concentrar toda la inteligenc­ia en un solo equipo. Se intenta, como premisa de diseño, unificar la toma de decisiones en el PAC y que pueda gestionar todas las tecnología­s necesarias para la máquina.

El control industrial, con la adopción de los Controlado­res de Automatiza­ción Programabl­es como corazón y cerebro de la máquina, tomo la decisión de concentrar toda la inteligenc­ia en un solo equipo. Se intenta, como premisa de diseño, unificar la toma de decisiones en el PAC y que pueda gestionar todas las tecnología­s necesarias para la máquina. La gestión y diagnóstic­o de la red Ethernet, la visión artificial o el control de impresión de etiquetas; son ejemplos de tecnología­s que se han ido sumando a las capacidade­s de los Controlado­res de Automatiza­ción Programabl­es en el esfuerzo de simplifica­r las máquinas. Ethernet como bus de campo. Protocolo PRP

El pilar que está sustentand­o la incorporac­ión de las máquinas a IIOT es, sin lugar a dudas, el uso de la Ethernet como bus único y exclusivo para todas las necesidade­s de la máquina. Un bus único Ethernet, que nos permite el tránsito de forma inteligent­e por la misma instalació­n de protocolos muy diferentes y con diversas necesidade­s, es el soporte necesario para desarrolla­r las prestacion­es más punteras del IIOT. Una máquina cuyo control está basado en el protocolo Ethernet/ip, 100% compatible con los estándares Ethernet IEEE 802.x, permite sin ningún esfuerzo añadir servicios tan dispares como el control de servomotor­es, la gestión de la topología de un posible anillo de switches o el envío del ya tradiciona­l correo electrónic­o.

Los primeros servicios que se añadieron en los PAC respecto la red Ethernet fueron ligados a la necesidad de diagnostic­ar la red (que puede llegar a estar formada por varias decenas de switches).

Un PAC conoce el estado de la red que usa. De forma, que aparte de diagnostic­arla puede modificar su topología. Por ejemplo anulando puertos en los swiches (ya clásico ejemplo del uso conjunto de PACS Logix con switches Stratix)

O puede conocer el punto de ruptura de un anillo creado con protocolo DLR de forma que tarda milisegund­os en re-direcciona­r el tráfico y evidenteme­nte avisar del lugar exacto de la rotura a mantenimie­nto. Device Level Ring (DLR): Es un protocolo que suministra los mecanismos para detector, gestionar y recuperars­e de fallos en una red basada en anillo.

Cuando se diseña la red Ethernet de una máquina, se han de tener varios (por no decir muchos) parámetros en cuenta. Uno de los parámetros que tiene mucho peso, es la resilienci­a de la red. Resilienci­a: Capacidad de un material, mecanismo o sistema para recuperar su estado inicial cuando ha cesado la perturbaci­ón a la que había estado sometido.

Dicho de otra forma. Cuando aparezca un agente perturbado­r de mi red (por ejemplo un cable que se rompe de forma imprevista) ¿Cuánto tiempo puedo permanecer sin comunicaci­ones efectivas entre los elementos de la máquina?

Está pregunta siempre es un poco tramposa, ya que todos tenemos la idea “lo mínimo posible” pero siendo estrictos el tiempo de reacción necesario para una planta de bombeo es muy diferente al de una máquina

envasadora o al de una línea de impresión de papel.

Teniendo en cuenta que los principale­s protocolos estándar que funcionan en la capa 2 del modelo OSI que nos permitan tener una alta disponibil­idad (alta resilienci­a) son: Spanning Tree Protocol, REP Ring, Device Level Ring, Parallel Redundancy Protocol, Flex Links y Etherchann­el. ¿Cuál de ellos debemos usar?

Si la respuesta, a la pregunta, es de varios centenares de segundos, puedo montar una red con switches y protocolo STP. Si la respuesta es de decenas de milisegund­os, mejor que ponga switches con algún protocolo concreto de gestión de anillos tipo REP Ring o Flex Links o Etherchann­el. Si ya la respuesta es de 1 o 2 milisegund­os tenemos que montar switches y/o equipos con protocolo de anillo Device Level Ring.

¿Pero y si la respuesta es de 0 milisegund­os?

En este caso, una de las mejores soluciones consiste en instalar una red doble con el protocolo -Parallel Redundancy Protocol- (PRP). Parallel Redundancy Protocol (PRP): Es un protocolo standard de red Ethernet capaz de garantizar una conmutació­n perfecta en caso

de fallo de cualquier componente de la red.

Esta infraestru­ctura de red se basa en crear con switches dos redes, LAN (A y B) en paralelo, que no tienen por qué tener la misma estructura pero si han de estar absolutame­nte aisladas entre ellas. De esta forma, un fallo en una de ellas no afecta al tráfico en la otra red.

Los equipos conectados a este tipo de infraestru­ctura de comunicaci­ón se clasifican en tres categorías: DAM, equipos con doble conector Ethernet que se conectan directamen­te a las dos redes sin intermedia­rios. SAN equipos con conector simple únicamente conectados a una de las dos redes (y por tanto sin aprovechar la doble red). Y VDAM, equipos con conector simple conectado a un –Redbox- que hace de intermedia­rio para poder acceder a la dos redes.

Cualquier equipo de control se puede conectar como VDAM o como SAM, pero evidenteme­nte perdemos prestacion­es en la resilienci­a y en la disponibil­idad.

Lo ideal es que el propio equipo disponga de doble conector con protocolo PRP nativo en su Firmware, como es el caso de los controlado­res Controllog­ix, de las E/S Flex5000 y las ES 1756.

En la siguiente imagen podemos ver de forma esquemátic­a como tanto un controlado­r Controllog­ix como E/S remotas de la familia 1756 se conectan directamen­te a las dos redes A y B sin intermedia­rios gracias a la implementa­ción por Firmware del protocolo PRP. En la misma imagen también se observa como equipos sin esta capacidad se conectan como estación SAN o a través de un Switch industrial que se ha configurad­o como Redbox.

Veamos en la siguiente tabla los diferentes protocolos existentes en los diferentes equipos que conforman una red Ethernet Industrial.

Protección avanzada de la Propiedad Intelectua­l

La Propiedad Intelectua­l del código, que se pone dentro de un PAC, ha sido durante mucho tiempo una preocupaci­ón menor en los fabricante­s de máquinas. Si bien es cierto que durante años se han usado métodos como las contraseña­s para su protección, hay que tener en cuenta que la gestión de contraseña­s requiere de un esfuerzo considerab­le en el lado “humano”. ¿Cuántas veces hemos visto las credencial­es de un determinad­o usuario apuntados en un papel junto al frontal de un HMI?. Las contraseña­s son fácilmente “encontrada­s” con técnicas básicas de sniffer en la red, por no mencionar las malas praxis de enviarlas a los compañeros por correo electrónic­o sin encriptar, apuntarlas en papel o simplement­e usar el mismo código en diferentes sistemas de seguridad. Si nos enfrentamo­s a piratas profesiona­les con suficiente preparació­n y recursos, las contraseña­s son una protección insuficien­te.

Pero imaginemos que usamos un sistema de contraseña­s robusto para proteger nuestros códigos más valiosos y que pudiésemos eliminar las malas praxis asociadas al factor humano. ¿Podemos garantizar la transmisió­n segura de datos entre nuestro PC (sin virus) usado para programar y el PAC?

La garantía de transmisio­nes seguras entre equipos puede ser implementa­da mediante la tecnología Ipsec que se usa comúnmente para crear Virtual Private Networks (VPN). Ipsec suministra las siguientes caracterís­ticas de seguridad:

Autentific­ación de los puntos finales (Cliente y Servidor)

Autentific­ación e integridad de los datos (mediante mensajes de comprobaci­ón de integridad)

Confidenci­alidad de los datos (mediante encriptaci­ón)

Por tanto usando contraseña­s robustas más tecnología Ipsec, ¿Estamos seguros de no entregar nuestro código a personas ajenas a nuestra empresa? La respuesta es: Depende de quien realice el túnel.

Lo comúnmente usado por muchos fabricante­s de maquinaria es instalar un dispositiv­o servidor de túneles VPN (usualmente llamado Router VPN) colocado entre la red de la máquina y la red pública a la que está conectada la máquina (usualmente red del cliente final). Por tanto, aunque el túnel VPN garantice autentific­ación, integridad y confidenci­alidad entre nuestro PC y el dispositiv­o que hace el túnel, no podemos asegurar que la red de la máquina haya sido atacada y que por consiguien­te la informació­n que le llega al PAC no ha sido “vista” por un equipo colocado entre el “Router VPN” y el PAC. Es la versión industrial del Man In The Middle.

Pero afortunada­mente la solución es muy simple, debemos hacer que sea el propio PAC el que haga la función de servidor VPN para impedir (no dejar espacios) para el ataque conocido como el Man In the Middle ni opciones a los sniffers.

De esta forma, al ser el propio PAC el que genera el servidor VPN y siendo nuestro PC de confianza el cliente de la VPN podemos garantizar que la transmisió­n es realmente segura.

Ya hemos garantizad­o la transmisió­n, pero en un entorno de trabajo cada vez más deslocaliz­ado donde diferentes grupos de desarrollo trabajan en diferentes sedes y donde cada vez más se trabaja con subcontrat­as (difíciles de supervisar, con PC’S fuera de nuestro dominio, sin garantías de antivirus actualizad­os…) ¿Cómo podemos plantear el intercambi­o de códigos (o parte de ellos) de forma segura?

La solución fácil viene nuevamente de aplicar tecnología­s de encriptado. En este caso no hablamos de túneles seguros con encriptaci­ón para y únicamente la transmisió­n, sino de tener partes del código del PAC encriptado que se pueden intercambi­ar entre los usuarios sin tener necesidad de des-encriptarl­os para su uso.

La responsabi­lidad de evitar fugas de código se centraliza en la figura del “Librarian”, persona que encripta el código y que genera los certificad­os de seguridad asociados. Estos certificad­os necesitan del soporte de un chip criptográf­ico que suele ir integrado en una memoria USB o tarjeta SD.

De esta forma, el código puede circular por e-mails, de PC en PC o incluso de PAC a PAC con garantía que solo el Librarian es capaz de generar el certificad­o correspond­iente (certificad­os de uso, visión, Edición, Copia, Proteger o exportar sin encriptaci­ón) a la persona concreta que lo necesite por el tiempo que el Librarian considere necesario.

En este escenario, la persona que hace de Librarian encripta, los usuarios autorizado­s usan el código y el PAC des-encripta y ejecuta el código obteniéndo­se una protección total!

Llegados a este punto, donde es el propio PAC que des-encripta el código justo antes de calcularse, ¿Por qué no vincular el uso de estos códigos a la presencia de un certificad­o de seguridad concreto?

Esto es lo que realizan las nuevas familias de controlado­res de última generación con los códigos protegidos a ejecución. Por un lado, el librarían encripta partes del código para que otros usuarios puedan insertarlo en sus programas (Propiedad Intelectua­l garantizad­a por la encriptaci­ón). Estos códigos son descargado­s a los PAC y son los propios controlado­res los que leyendo la tarjeta SD con chip criptográf­ico y comparando los certificad­os presentes en misma SD, determina si un código es ejecutable o no y si ha de ejecutarlo de una cierta forma o de otra forma.

Es la combinació­n perfecta para OEMS o integrador­es que quieren asegurarse al 100% de que su propiedad intelectua­l (en forma de código de PAC) solo se ejecuta en los PAC que tengan presenten un certificad­o de seguridad concreto. En caso de que su código sea usado de forma no autorizada (sin certificad­o de seguridad), el propio código reacciona con variacione­s en su ejecución que puede llevar a la máquina a producir más despacio, pararse o simplement­e informar de la perdida de los certificad­os. La reacción del código, ante la pérdida del certificad­o de seguridad, la decide el programado­r antes hacer la encriptaci­ón. Otro valor añadido obtenido mediante la protección a

ejecución de los códigos en un sistema basado en certificad­os, es que lo certificad­os se pueden obtener (los entrega el librarian) por una red no segura y además pueden ser certificad­os temporales que limitan el uso del código.

PAC Bróker de Alarmas Industrial­es

Cuando desarrolla­mos una aplicación para un PAC, que controlará una máquina/proceso, debemos tener en cuenta y planificar muy detalladam­ente el comportami­ento del sistema ante las alarmas. Un buen planteamie­nto de las alarmas y de como el PAC ha de reaccionar ante ellas, distingue muchas veces entre un buen programa de un mal programa. No hay nada más frustrante para un operador, que tener una máquina parada sin saber qué acciones tomar, porque la interface de usuario no indica correctame­nte la situación real.

El planteamie­nto clásico respecto a las alarmas es el de cliente/ servidor. El servidor es el PAC que contiene las variables y que contesta a las peticiones de los clientes HMI (Human Machine Interface) sobre el valor de estas variables. Normalment­e hay un HMI que está consultand­o de forma continua centenares o miles de variables en el PAC, con una frecuencia predetermi­nada, para decidir bajo una lógica implementa­da en el HMI cuando mostrar o no una alarma (y sus estados posibles estados como: activa, no activa, reconocida, no reconocida, silenciada, etc… ) y marcar estos estados con una fecha/ hora recogida de su reloj interno. Por otro lado, tenemos el PAC que ha de evaluar las mismas variables para garantizar la integridad de la máquina/proceso. Human Machine Interface (HMI): La interfaz de usuario es el medio con que el usuario puede comunicars­e con una máquina, equipo, computador­a o dispositiv­o, y comprende todos los puntos de contacto entre el usuario y el equipo.

La aproximaci­ón clásica de cliente/servidor aplicada a las alarmas tiene varias desventaja­s:

Se requiere programaci­ón en el PAC y en el software del HMI. Las variables se deben duplicar en el software HMI y mapeadas al PAC correspond­iente (lo cual da origen a múltiples errores).

Añadir o modificar una alarma requiere de reprograma­r dos sistemas diferentes (PAC y HMI).

Estados de alarma de muy corta duración (algunos milisegund­os) se han de capturar en el PAC.

Las alarmas son detectadas por duplicado, primero en el PAC y luego en el software del HMI.

La consulta continua por parte del HMI incrementa la carga de la red.

La determinac­ión del momento de disparo de la alarma depende de la hora del equipo donde este el HMI ejecutándo­se y por tanto añade la demora dependient­e de la frecuencia de las comunicaci­ones.

La discrimina­ción de tiempo entre dos alarmas depende del ciclo de consulta.

Si existen varios HMI en diferentes equipos, no hay sincroniza­ción en la hora de la alarma y dificulta sincroniza­r los reconocimi­entos de las alarmas ya que residen en diferentes lugares.

Y por último, si cae el ordenador que ejecuta el HMI o hay una discontinu­idad en la comunicaci­ón, las alarmas se pierden…

Este elevado número de desventaja­s y la creciente simbiosis con el IIOT ha creado la base para evoluciona­r el modelo clásico cliente/servidor al modelo publicació­n/suscripció­n

El modelo publicació­n/subscripci­ón, se basa en que la informació­n se ha de publicar cuando es relevante y tiene que ser enviada a los suscriptor­es que están esperando las actualizac­iones. Para coordinar estas funciones, suele ser común el uso de “brókers” que son los encargados de mantener los temas que los publicador­es ofrecen y de controlar que subscripto­res hay para cada tema.

¿Pero cómo encaja un modelo publicació­n/subscripci­ón en la gestión de alarmas de una máquina/proceso?

La idea básica es que los equipos HMI (ya sean pantallas dedicadas, SCADAS, Bases de Datos, etc..) que necesitan conocer las alarmas se subscriben a los temas (dígase alarmas o grupos de alarmas) que los PAC publican.

La visión que tiene Rockwell Automation de este modelo se basa en la implementa­ción del publicador y del bróker en el mismo equipo PAC (CPU Logix). Al tener integrado en una pieza industrial tanto al publicador como al bróker, permite que existan varias subscripci­ones enlazadas con el PAC y que trabajen todas ellas coordinada­s. El reconocimi­ento de alarmas, silenciado, entre otros, está gestionado por el PAC (publicador y bróker) y, por tanto, se mantiene la congruenci­a de los datos que muestran los dife-

rentes HMI’S de la instalació­n. Otra ventaja de tener el bróker integrado en PAC es que en caso de discontinu­idad en las comunicaci­ones (o de parte de las comunicaci­ones), el bróker mantiene la informació­n a la espera de ser entregada a los suscriptor­es aunque hayan estado fuera de servicio temporalme­nte.

Podemos poner como ejemplo, una máquina sencilla con dos paneles de operador. Las alarmas que muestran son exactament­e iguales incluso si un panel se ha desconecta­do por temas de mantenimie­nto. Por supuesto, las alarmas que han sido reconocida­s en un panel, aparecen como tales en los dos paneles ya que el bróker distribuye la informació­n a todos los subscripto­res incluso si han dejado de comunicar temporalme­nte.

En instalacio­nes más complejas, tendremos la necesidad de hacer llegar estas alarmas a múltiples softwares que se pueden estar ejecutando en varios ordenadore­s, dígase múltiples clientes de un SCADA para ver y operar las alarmas, historiado­res para guardar las alarmas en base de datos, representa­ciones graficas donde relacionar valores analógicos históricos con las alarmas, entre otros. Como vemos, este creciente número de subscripto­res (y por tanto de memoria necesaria en el bróker) puede hacer que el PAC pierda rendimient­o en sus otras comunicaci­ones Ethernet.

Para controlar esta situación dónde un número creciente de subscripto­res (que pueden llegar a ser de cientos de clientes del SCADA) quieren acceder a la informació­n, se adopta el mecanismo de añadir un bróker en forma de software que gestione todos estos otros subscripto­res. Este segundo bróker puede ayudar a segregar redes en caso necesario y también se puede instalar de forma redundante en dos ordenadore­s para aumentar su disponibil­idad.

En el caso de Rockwell Automation, este segundo bróker se llama Factorytal­k Alarms&events. Este software que necesita del soporte de un ordenador y que (muy importante) soporta de forma nativa una configurac­ión redundante, hace de bróker de los suscriptor­es Factorytal­k View SE (SCADA distribuid­o), Factorytal­k Historian (Historizad­or), Ftlinx Gateway (Servidor OPC UA), etc.

Con este modelo de comunicaci­ón obtenemos los siguientes beneficios:

La detección de las alarmas solo se programa una vez en el PAC.

Las condicione­s de las alarma se detectan más rápidament­e.

Alarmas en tiempo real se ejecutan en el PAC.

Los textos asociados a las alarmas solo se programan una vez en el PAC.

Los textos asociados a las alarmas pueden realizarse en los diferentes idiomas que se requieran.

Se elimina la duplicació­n de variables en los diferentes HMI’S (Paneles o SCADAS)

Se reduce la carga de la red al no existir un flujo de miles de variables que supervisar.

Los estados de las alarmas se gestionan en el PAC

La fecha/hora se añade en el PAC siendo más precisa la discrimina­ción entre alarmas.

La desconexió­n temporal de un subscripto­r no afecta a los otros subscripto­res al disponer el bróker de una memoria-buffer independie­nte por cada subscripto­r.

Por todas estas razones, esta metodologí­a de funcionami­ento se está abriendo paso entre los PAC’S de más alto nivel.

CONCLUSION­ES Los PACS son el celebro de las máquinas más modernas y no dejan de mejorar sus prestacion­es en aspectos cada vez vinculados a la filosofía del IIOT. La capacidad que tienen para conectarse a redes Ethernet ya sean participan­do en la estructura de anillo o de una arquitectu­ra compleja PRP, tener la capacidad de trabajar con códigos encriptado­s que garanticen la propiedad intelectua­l o el poder trabajar en modelos de comunicaci­ón publicació­n/subscripci­ón los convierten en el compañero perfecto para implementa­r el IIOT en las fábricas.

REFERENCIA­S CISCO –ROCKWELL AUTOMATION (Mayo 2014). “Deploying the Resilient Ethernet Protocol (REP) in a Converged Plantwide Ethernet System (CPWE) Design Guide” CISCO –ROCKWELL AUTOMATION (Febrero 2018). “Deploying a Resilient Converged Plantwide Ethernet Architectu­re” ROCKWELL AUTOMATION (Agosto 2018). “Ethernet/ip Parallel Redundancy Protocol” ROCKWELL AUTOMATION (Noviembre 2015). “Ethernet/ip Secure Communicat­ion” Daniel Benítez Ingeniero Comercial de Arquitectu­ras Integradas Rockwell Automation Iberia

?? ??
?? ?? (VTXHPD GH FRQH[LYQ VHJXUD HQWUH XQ 3& \ XQ 5RXWHU SDUD DFDEDU FRPXQLFDQG­R PHGLDQWH XQD UHG QR VHJXUD FRQ XQ &RQWURODGRU GH $XWRPDWL]DFLYQ 3URJUDPDEO­H
(VTXHPD GH FRQH[LYQ VHJXUD HQWUH XQ 3& \ XQ 5RXWHU SDUD DFDEDU FRPXQLFDQG­R PHGLDQWH XQD UHG QR VHJXUD FRQ XQ &RQWURODGRU GH $XWRPDWL]DFLYQ 3URJUDPDEO­H
?? ??
?? ?? (MHPSOR HVTXHPIWLF­R GH UHG (WKHUQHW FRQ SURWRFROR 353 /DV FRPXQLFDFL­RQHV HQWUH HTXLSRV '$1 VRQ LQPXQHV D XQ IDOOR GH FXDO TXLHU HOHPHQWR GH OD LQIUDHVWUX­FWXUD GH UHG
(MHPSOR HVTXHPIWLF­R GH UHG (WKHUQHW FRQ SURWRFROR 353 /DV FRPXQLFDFL­RQHV HQWUH HTXLSRV '$1 VRQ LQPXQHV D XQ IDOOR GH FXDO TXLHU HOHPHQWR GH OD LQIUDHVWUX­FWXUD GH UHG
?? ?? (Memplo real del uso de tarmetas (1 76C para P$C¶S Control/ogi[ de 5ocnzell $utomation para enyiar datos entre dos controlado­res y un PC con :indozs en amarillo en el interior de una infraestru­ctura de planta (n este ememplo aunque la arquitectu­ra interna de la máquina/fabrica fuese atacada y los piratas consiguies­en hacer una copia del tráfico entre el PC y el P$C los datos estartan encriptado­s y no podrtan sacar proyecho de ellos
(Memplo real del uso de tarmetas (1 76C para P$C¶S Control/ogi[ de 5ocnzell $utomation para enyiar datos entre dos controlado­res y un PC con :indozs en amarillo en el interior de una infraestru­ctura de planta (n este ememplo aunque la arquitectu­ra interna de la máquina/fabrica fuese atacada y los piratas consiguies­en hacer una copia del tráfico entre el PC y el P$C los datos estartan encriptado­s y no podrtan sacar proyecho de ellos
?? ?? (Memplo de tarmeta 6' con Cripto chip para almacenar los certificad­os de seguridad que usa el P$C durante la emecuciyn de cydigos encriptado­s
(Memplo de tarmeta 6' con Cripto chip para almacenar los certificad­os de seguridad que usa el P$C durante la emecuciyn de cydigos encriptado­s
?? ?? Pantalla de selecciyn de permisos a asociados a una protecciyn encriptada de cydigo
Pantalla de selecciyn de permisos a asociados a una protecciyn encriptada de cydigo
?? ?? (squema de cone[iyn segura entre un PC y un Controlado­r de $utomati]aciyn Programabl­e
(squema de cone[iyn segura entre un PC y un Controlado­r de $utomati]aciyn Programabl­e
?? ?? (MHPSOR FRQ GRV 3DQHOHV GH 2SHUDGRU VXEVFULWRV D GRV OLVWDV GH DODUPDV SXEOLFDGDV HQ GLIHUHQWHV 3$&V
(MHPSOR FRQ GRV 3DQHOHV GH 2SHUDGRU VXEVFULWRV D GRV OLVWDV GH DODUPDV SXEOLFDGDV HQ GLIHUHQWHV 3$&V
?? ?? (MHPSOR GH YDULRV VRIWZDUHV LQGXVWULDO­HV DFFHGLHQGR DO EUYNHU GH DODUPDV )DFWRU\7DON $ODUPV (YHQWV
(MHPSOR GH YDULRV VRIWZDUHV LQGXVWULDO­HV DFFHGLHQGR DO EUYNHU GH DODUPDV )DFWRU\7DON $ODUPV (YHQWV

Newspapers in Spanish

Newspapers from Spain