lunes, 30 de abril de 2018

Diferencias entre SCADA y DCS

Por: Victor Yi

2018

vichuvideo@gmail.com

El objetivo de la automatización industrial es la realización de las tareas para la generación de materiales y productos con la mínima intervención continua de operador humano.
Hoy en día existen varios tipos de sistemas ampliamente usados para realizar la automatización industrial: PLC (Programmable Logic Controller), DCS (Distributed Control System) y SCADA (Supervisory Control And Data Acquisition).
Con los avances de la electrónica y aumento de capacidad de procesamiento y funcionalidad de los microprocesadores, son muy comunes los dispositivos con múltiples funciones, siendo el ejemplo más común el teléfono celular.
Lo mismo está ocurriendo con algunos instrumentos y sistemas usados para la automatización de los procesos, tal es el caso de los PLC, DCS y SCADA. Pudiendo un sistema realizar funciones de los otros, sin embargo existen desventajas y limitaciones que se deben tomar en cuenta.
Ya en un artículo previo se explicaron las características operacionales, diferencias y áreas de aplicaciones entre PLC y DCS. En esta oportunidad se analiza y se hace la comparación entre SCADA y DCS.
Para entender los conceptos y diferenciar bien que es un Sistema SCADA y sus diferencias con un DCS, voy a explicar sobre las principales características y funciones de cada uno de estos Sistemas.
Tanto el DCS como el SCADA son programas de aplicaciones que se ejecutan en servidor o computadora e interactúan con equipos especializados y dispositivos de campos para realizar automáticamente ciertas tareas.

El SCADA es un sistema para la recolección de información de valores y estado de un proceso. El SCADA permite a un operador humano la gestión y control de cualquier proceso local o remoto a través de su IHM, pudiendo también enviar al proceso comando de acción iniciado manualmente por el operador.

Si en un SCADA se desea realizar control automático, esta función se debe realizar a través de un controlador, el cuál es “supervisado” por el SCADA.

El DCS es un sistema de control capaz de realizar automáticamente el control regulatorio de múltiples lazos de control. El control regulatorio es un modo de control en la que se trata de mantener la variable controlada de un proceso a un valor determinado, mediante la adición o sustracción modulada (variación interrumpida y armoniosa) de cantidad de masa o energía en el proceso.

Los controladores del DCS no se encuentran centralizados en una locación específica, sino que se encuentran distribuidos en diferentes sitios del proceso o planta, en donde cada unidad o subsistema del proceso es controlada por uno o más controladores.

Componentes y funcionamiento del DCS

Se denominan Sistemas de Control Distribuidos, debidos a que las tareas que se deben realizar son distribuidas entre diferentes componentes del sistema, los cuales pueden estar o no físicamente instalados en el mismo lugar del proceso o planta.

Los componentes de los DCS son de tipo modular y escalable.

Los principales componentes de un sistema de control distribuido son:

· Instrumentos de campo

· Controladores

· Módulos entradas/salidas

· Interfaz Humana – Máquina (IHM) de operación

· Interfaz Humana – Máquina (IHM) de ingeniería y mantenimiento

· Red de control del DCS

· Módulo o servidor especiales (opcional)

1. Instrumentos de campo

La instrumentación de campo es el conjunto de sensores y elementos finales de control, que se encargan de recolectar los valores y estados del proceso y realizar la regulación de cantidad de masa y/o energía en el proceso.

Algunos fabricantes de DCS ofrecen su propia línea de instrumentos de campo inteligente, permitiendo el acceso a funcionalidad especiales tales como gerencia de activo, monitoreo y diagnóstico en línea de los instrumentos, los cuales no estarían disponibles si se usan instrumentos de otros fabricante.

2. Controladores

En los controladores del DCS se ejecutan la lógica de control y alarmas de desviaciones.

Cada controlador puede manejar, dependiendo del fabricante, de 8 a 32 lazos de control.

Cada controlador posee su propio procesador, fuente de alimentación y memoria.

Típicamente los controladores son redundantes.

Cada controlador del sistema y sus módulos de entradas/salidas asociadas funcionan en forma dedicada e independiente, permitiendo un ciclo de operación de cada lazo de control bastante corto, del orden de los milisegundos, ya que el ciclo de procesamiento del algoritmo de control en cada lazo es bastante rápido.

Para su operación se requiere configurar el algoritmo de control a usar en cada lazo de control, modo de acción, así como los parámetros de unidades y rango de la variable de proceso, dirección de la señal de entrada/salida, ajustes de alarmas, configuración de prioridades de tareas, etc.

3. Módulos de entradas/salidas

A través de los módulos de entradas/salidas se realiza la interfaz entre los controladores y la instrumentación de campo.

Para cada tipo de señal con los dispositivos de campo, existe una tarjeta E/S específica, incluyendo para la comunicación mediante diferentes tipos de red de control de proceso.

El cableado de las señales (red o punto a punto) en primera instancia se conecta a los terminales de una sección acondicionadora de señales. Luego estas señales ya acondicionadas ingresan a los procesadores de digitalización de señales.

4. Interfaz Humana – Máquina (IHM) de operación

La estación o Interfaz Humana – Máquina de operación es usada por el operador del proceso para monitorear las condiciones de proceso, manipular puntos de ajustes, recibir y enviar comandos, y generalmente están localizados en una Sala de Control Principal. Desde la interfaz de operación el operador visualiza la información que es enviada por los transmisores desde las áreas de proceso, y puede cambiar las condiciones de control.

Varios fabricantes de DCS usan computadores personales (PC) fabricados por terceros como interfaz de Operación. Una IHM típica está compuesta por un computador personal robusto o de tipo industrial con su teclado, mouse y uno o más monitores.

Esto aprovecha las tecnologías existentes en computadores y monitores comerciales sin sacrificar la confiabilidad del control (ya que el hardware y software de control siguen siendo de tipo industrial).

La aplicación de despliegue gráfico y alarmas opera desde la computadora del IHM, pero los datos provienen de los controladores.

Las consolas de operación pueden incluir arreglos de monitores (2, 3 ó 4 monitores) a fin de facilitar la visualización de todo el proceso.

5. Interfaz Humana – Máquina (IHM) de ingeniería/mantenimiento

Usa básicamente el mismo hardware de la IHM de operación, pero con suficiente memoria, capacidad de disco duro y teclado especial para proveer una eficiente plataforma para los requerimientos para operar como estación de ingeniería/ mantenimiento para las labores de configuración, programación y diagnóstico del sistema.

6. Red de control del DCS

La red de control del DCS es la que conectan los controladores y las IHM del DCS. A través de ella se transporta los datos de la gestión del DCS, las señales del proceso, base de datos de control, base de datos históricos, sistemas de alarmas, generación de reportes, etc.

La red de control del DCS es una red de alta velocidad, permitiendo una alta rapidez de actualización de los datos entre los controladores y las IHM de operación.

En general las redes de control del DCS es una red propietaria y redundante.

7. Módulo o servidor especial (opcional)

Son módulos para aplicaciones especializadas tal como control avanzado, optimización, base de datos, etc.

Se conectan al DCS a través de la red de control del DCS.

Generalmente los DCS son vendidos como un solo y único paquete, dejando al usuario solamente la opción de usar instrumentación de campo de otros fabricantes. Los fabricantes no venden porciones del sistema, porque en un DCS todas las partes funcionan juntas como un solo sistema controlado mediante un sistema operativo propietario, y que usa una sola base de datos común, por lo que todos los componentes del DCS deben ser completamente integrados y probados como un sistema, permitiendo una rápida implementación del sistema.

Componentes y funcionamiento del SCADA

La aplicación SCADA es básicamente para realizar Control Supervisorio y Adquisición de Datos de un proceso.
El término “Control Supervisorio y Adquisición de Datos” fue usado por primera vez en un trabajo de la Conferencia de Aplicaciones de Computadora en la Industria de Potencia del año 1973.

¿Qué es Control Supervisorio?

Control supervisorio es operar una planta completa o varios dispositivos de campo a través de un sistema o dispositivo central, también conocido como sistema o dispositivo maestro.
Normalmente en una planta hay muchos tipos de equipos o unidades de proceso, cada una con uno o más controladores para controlar las diferentes variables y tareas. No tiene sentido ni es factible instalar un solo controlador para controlar todos los lazos de control de la planta completa. Pero si se puede conectar todo los controladores de la planta a un dispositivo maestro, de manera que el dispositivo maestro puede verificar las variables del proceso y ajustar los puntos de ajuste de cada controlador.
Un ejemplo de un control supervisorio, en este caso de un solo controlador se muestra a continuación. Es un sistema de control de temperatura de un horno de tratamiento térmico.

Una computadora maestra “supervisa” la temperatura del horno mediante la comunicación de los valores de puntos de ajuste al controlador de temperatura (TIC) a través de una red digital tal como Ethernet. Desde la perspectiva del controlador de temperatura, esto es una señal remota de punto de ajuste.
Ya que el tratamiento térmico del metal requiere rangos de temperaturas particulares y diferentes tasas de cambio en el tiempo, este control supervisorio releva al operador humano el tener que ajustar manualmente una y otra vez los valores de puntos de ajuste durante el ciclo de tratamiento térmico. En su lugar, la computadora maestra realiza los diferentes puntos de ajuste en las diferentes etapas, de acuerdo a una secuencia de tiempo predefinidos.
Hay muchos tipos de protocolos de comunicación usados en la industria, que pueden ser usadas para la comunicación entre la computadora y el controlador.
El sistema de control supervisorio puede incluir muchos controladores y puede ser conectada a una computadora maestra o computadora supervisoria.

Los controladores de proceso configurados para el control supervisorio de puntos de ajuste típicamente tienen tres modos de operación:

· Modo manual: El controlador no realiza acción automática. El valor de punto de ajuste es ajustada por un operador humano.

· Modo automático con SP (Set Point) local: El controlador ajusta automáticamente su salida tratando de mantener PV = SP. El valor de punto de ajuste es ajustada “localmente” por un operador humano.

· Modo automático con SP remoto: El controlador automáticamente ajusta su salida para tratar de mantener PV = SP. El valor de punto de ajuste es ajustada “remotamente” por la computadora supervisoria.

El SCADA no es una tecnología específica o protocolo, sino que es cualquier aplicación en la que se recolecta datos de un proceso con el fin de ser usado para controlar dicho proceso. En el caso del ejemplo del horno de tratamiento térmico, el SCADA se puede usar para enviar desde el proceso hacia la computadora maestra, el valor de la temperatura del horno y el estado de operación del horno, y para enviar los comandos de cambio de punto de ajuste de la temperatura desde la computadora maestra hacia el controlador de temperatura TIC.
Los sistemas SCADA recolectan los datos de una o más instalaciones remotas, así como también envía comandos básicos de operación a dichas instalaciones, haciendo innecesario que un operador humano tenga que estar permanentemente presente en dichas instalaciones remotas para su operación normal.

Cuando se habla de control en el SCADA, la parte de control está definida y supeditada por el hardware e instrumental de control local (Unidad de Estación Remota (RTU) inteligente, PLC o controladores lógicos) y los algoritmos lógicos de control aplicados sobre el proceso. El lazo de control se ejecuta en forma local e independientemente del SCADA.
En consecuencia en estos casos, el operador puede “supervisar” el control de la planta y no solo monitorea las variables que en un momento determinado están actuando sobre la planta. El operador puede enviar comando para ajustar el punto de ajuste del controlador local.

Se puede definir la palabra “supervisar” como ejercer la inspección superior en determinados casos, ver con atención o cuidado y someter una cosa a un nuevo examen para corregirla o repararla permitiendo una acción sobre la cosa supervisada. La labor del supervisor representa una tarea delicada y esencial desde el punto de vista normativo y operativo. De esta acción depende en gran medida el poder garantizar la calidad y eficiencia del proceso que se desarrolla. En el supervisor descansa la responsabilidad de orientar o corregir las acciones que se desarrollan. Por lo tanto, la toma de decisiones sobre las acciones de control está en manos del supervisor, que en el caso del SCADA es el operador.

En un SCADA normalmente el operador humano y no la computadora del SCADA (Unidad de Estación Maestra, MTU) toma la última decisión sobre las acciones de control. Se puede hacer control automático a través de la MTU, pero la baja confiabilidad de los enlaces de comunicación no lo hace deseable.

La función de monitoreo de estos sistemas se realiza a través de una Interfaz Humano-Máquina (IHM), ofreciendo al operador humano una visión de los parámetros del proceso.

A menudo, las palabras SCADA e IHM inducen a cierta confusión. Cierto es que todos los sistemas SCADA ofrecen una interfaz gráfica de operación tipo IHM, pero no todos los sistemas de automatización que tienen IHM son SCADA.
SCADA es la combinación de tecnología de telemetría y de adquisición de datos.

Adquisición de datos:
Adquisición de datos se refiere al método usado para la recolección o envío de datos/información desde/hacia un equipo que se está controlando y monitoreando. Los datos obtenidos son pasados a un sistema de telemetría para ser transferido a diferentes sitios.
Los datos pueden ser digitales o analógicos, de sensores, actuadores, relés, válvulas, motores, etc.

Telemetría:
Telemetría es simplemente un sistema de comunicación. Telemetría es la técnica usada para transmitir y recibir información o datos a través de un medio. La información puede ser cualquier valor de medición. La información puede ser transmitida a través de cable, teléfono o radio.

Los componentes básicos de un sistema SCADA son:

· Instrumentación de campo

· Unidad de Estación Remota (RTU)

· Red de comunicación

· Unidad de Estación Maestra (MTU)

· Interfaz Humano-Máquina (IHM)

Instrumentación de campo:

La instrumentación de campo es el conjunto de sensores y elementos finales de control, que se encargan de recolectar los valores y estados del proceso y realizan la regulación de cantidad de masa y/o energía en el proceso.

Unidad de Estación Remota (RTU):
Las RTU de un SCADA se ubican en diferentes locaciones de la planta o proceso.
Los instrumentos de campos se conectan a las RTU. Las RTU recolectan los datos sobre los parámetros del proceso y estados de alarmas de los instrumentos de campo. Las RTU guardan en su memoria dicha información hasta que la MTU la solicita. La MTU también puede a través de comandos de control solicitar a las RTU cambiar puntos de ajuste y cambiar variables de proceso, cerrar o abrir válvulas, encender o apagar equipo, etc.

Las RTU envían comando de control (control analógico de 4-20 mA, cierre de contacto, mensaje serial) a los dispositivos de campo. Las RTU envían las alarmas, estados de los equipos, señal analógica de campo, mensaje de los equipos, etc a la MTU.

Las RTU reciben las señales analógicas, señales de estados de los equipos, señales de pulsos de mediciones de los dispositivos de campo. Y reciben órdenes de control discreta, instrucciones analógicas de ajustes, órdenes de respuestas del MTU.

Las RTU son equipos fabricados para ese propósito, pero también pueden ser PLC o DCS. Tanto los DCS como los PLC tienen todos los tipos de I/O, dispositivos de red, y algoritmos de control suficientes como para operar como unidades terminales remotas, pero por razones de costo y comercialización del DCS, típicamente se usan los PLC.

Unidad de Estación Maestra (MTU):
La MTU funge como la unidad de procesamiento de datos y administración de las tareas que debe realizar el SCADA. La MTU coordina las comunicaciones con las RTU para la transmisión de los datos de campo recopilados. Así mismo es responsable de mantener actualizadas su base de datos de los parámetros operacionales y alarmas del proceso, procesar y almacenar los datos recopilados, enviar a la IHM las alarmas para su notificación y visualización y entregar los datos requeridos por la IHM.

La MTU lee y escribe datos desde/hacia las RTU, maneja errores de comunicación, realiza barrido programado de las RTU. La MTU lee y recolecta la información de las interfases de comunicaciones y revisa la desviación de los puntos de ajuste de las variables del proceso y genera acción de control y estados de alarmas.

En sistemas de SCADA grandes pueden existir múltiples servidores y diferentes tipos de bases de datos.

La MTU ejecuta una acción de acuerdo a un tiempo especificado, evento o condición, por ejemplo impresión de un reporte al final de cada turno, mostrar los valores en una hoja de cálculo a una hora especificada.

La MTU conecta el proceso con la estación IHM, Las acciones e información del MTU incluyen, puntos de ajuste, variable de proceso, reconocimiento de alarma, etc, Los datos obtenidos son procesados para alimentar tablas y hojas de cálculos. Se pueden conectar impresoras y otros periféricos al IHM.

Interfaz Humano-Máquina (IHM):
La IHM de un SCADA es la ventana usada por el operador humano para monitorear los datos y alarmas recolectadas por el sistema. La IHM puede tener teclados y paneles que permite al operador introducir comandos para solicitar los datos deseados o para enviar comando de acción hacia los dispositivos de campo.

Al igual que en los DCS, en la IHM de un SCADA normalmente se usan computadoras y monitores comerciales.

Red de comunicación:
Las RTU en el campo se pueden conectar a través de una red de control. Cada RTU tiene una dirección única y la red es conectada a un modem.

Normalmente existe una gran distancia entre la MTU y las RTU, por lo que se requiere de algún tipo de red de comunicación entre ellos.

La transmisión de los datos desde las RTU a la MTU puede ser a través de cable o de forma inalámbrica.

Tendencia del SCADA

El uso de PLC como RTU incrementa la funcionalidad del SCADA permitiendo la realización de tareas de control, pudiendo alcanzar funcionalidades similar al de un DCS.
El SCADA continuará siendo la principal herramienta para la recolección y visualización de información en muchas aplicaciones de procesos, pero la fuerte influencia de almacenamiento en la nube, servicios virtualizados de computación y el Internet Industrial de las Cosas (IIoT) están forzando al SCADA a realizar tareas no familiares más allá de su jurisdicción.

Las nuevas tendencias tecnológicas no solamente multiplican las conexiones de los sistemas SCADA con otros sistemas, sino también incrementan las cantidades de funciones que pueden realizar.
Otra ventaja que el almacenamiento en la nube y la computación virtualizada añade a los sistemas SCADA es que de una manera rápida reduce los costos de operación después de una inversión inicial relativamente pequeña.

También existe una tendencia en la reducción de uso de paneles de control y de IHM locales debido al uso de PC tipo tableta, terminales handheld y teléfonos celulares inteligentes.
Ya existen empresas que ofrecen servicios de migración del hardware e IHM tradicional del SCADA a infraestructuras virtualizadas.

Una de las grandes preocupaciones en relación al uso de sistema SCADA es la vulnerabilidad a ataques cibernéticos, ya que muchos SCADA se usan para aplicaciones de naturaleza crítica, tales como supervisión de redes eléctricas, sistemas de distribución de agua potable, sistemas de manejo de aguas servidas, oleoductos, gasoductos, entre otros, por lo que un ataque, pudiera en el caso del peor escenario, causar pérdidas financiera masiva, daños ambientales e incluso riesgo de salud o vida, ya sea de manera directa o indirecta.

La necesidad de migración de sistemas SCADA hacia otros sistemas de arquitecturas y configuraciones más seguras es aún incierta, debido a que, por los momentos, los beneficios y bajo costos de los sistemas SCADA superan los costos de los potenciales riesgos.

Diferencias entre SCADA y DCS

Debido a su propósito, forma de operación y arquitectura existen notables diferencias entre el SCADA y el DCS. Las principales son:

Arquitectura de un SCADA es más abierta que la de un DCS
Los SCADA requieren múltiples bases de datos que residen en cada uno de los dispositivos controladores o RTU, en los servidores de la MTU e IHM.
La Capa de aplicación embebida del DCS permite facil modificación y configuración de estrategias de control, en los SCADA no existen acceso directo entre el Sistema Operativo de los controladores y el Sistema Operativo del SCADA, por lo que se requieren mayores esfuerzos para realizar modificaciones y configuraciones de estrategias de control. En un SCADA se debe realizar en forma manual e independiente, el “mapeo” de las etiquetas (tag) y direcciones de las diferentes bases de datos del sistema. En un DCS normalmente existe una aplicación propietaria de configuración que realiza el mapeo e integración de todas las bases de datos del sistema de manera automática. Cuando una lógica de control es desarrollada en el DCS, se realiza automáticamente la configuración del “faceplate” del controlador a ser visualizado en el IHM, las alarmas de las variables asociadas y las conexiones o comunicaciones con otros controladores en los casos que apliquen, y automáticamente se sincronizan las unidades y rango de operación.
El SCADA recoge los instrumentos de campo a lo largo del proceso y los envía a una computadora central para su procesamiento. En un DCS los elementos del controlador no están centralizados, sino que están distribuidos a lo largo del proceso y cada una de ellas realiza el procesamiento de los datos sin la intervención de una computadora central.
Un SCADA es menos costoso que un DCS, especialmente en los casos en los cuales no se requiere la incorporación y uso de elementos controladores en el sistema.
El SCADA está orientado fundamentalmente hacia la recolección de valores y eventos para ser mostrado al operador. Se basa mucho en los cambios inmediatos de las variables y muestra un gran despliegue en la recolección y control de alarmas.
El sistema de DCS en cambio está orientado hacia el control mismo del proceso y no tanto hacia la recolección de datos del proceso.
El DCS realiza el control automático del proceso mediante sus controladores, sin intervención del operador humano. En un SCADA el operador es el iniciador de una acción de control, el cuál es transmitido a través de la RTU hacia el elemento a ser controlado.
El DCS está diseñado con la capacidad para realizar control regulatorio avanzado. La incorporación de control en un SCADA normalmente se limita a comando discreto o ajuste sencillo de valor analógico. En un SCADA la realización de control automático más avanzado se debe realizar a nivel local a través de un PLC o DCS, el cuál es “supervisado” por el SCADA.
El DCS realiza sus tareas de una manera secuencial, y los eventos no se registran hasta que se realiza el barrido de lectura. En contraste, el SCADA es controlado por los eventos, ya que no realiza el barrido en una forma regular, sino que es iniciado por un evento o cambio en el valor de una variable del proceso.
En relación al tipo de aplicación, el DCS es comúnmente usado para controlar proceso confinado dentro de una planta, mientras que el SCADA es usado para monitorear proceso que abarca una gran área geográfica.

Victor Yi

2018

vichuvideo@gmail.com

domingo, 15 de abril de 2018

Ataque virus Triton a SIS Triconex

Por: Victor Yi

vichuvideo@gmail.com

El 14 de diciembre de 2017, Mandiant, una empresa especializada en protección contra ataque cibernético atendió un incidente a una infraestructura de una empresa, que no fue identificada en el reporte, pero posteriormente se supo que fue la empresa petrolera ARAMCO, aunque directivos de dicha empresa niegan haber sufrido ataque cibernético.
El atacante implantó un malware diseñado para manipular sistemas de seguridad industrial. El sistema atacado es un sistema SIS Triconex para proceso industrial. Se sospecha que el atacante estaba desarrollando la capacidad reprogramar el Triconex para causar daño físico e inadvertidamente paró las operaciones. El malware, bautizado como TRITON, es un virus diseñado para interactuar con los controladores SIS de Triconex. Se sospecha que el atacante sea de una nación enemiga.

Malware	Módulos principales	Descripción
TRITON	trilog.exe	Principal archivo ejecutable de las librerias.zip
TRITON	library.zip	Librería customizada de comunicación para interactuar con controladores Triconex, usando el protocolo propietario TriStation.

Tabla 1: Descripción del malware TRITON

TRITON puede prevenir que los mecanismos de seguridad ejecuten sus funciones, resultando en consecuencias físicas.

Resumen del incidente

El atacante logró acceso remoto a la estación de ingeniería del SIS, el cuál opera con sistema operativo Windows e implantó el TRITON con la intención de reprogramar los controladores del SIS. Durante el incidente, algunos controladores del SIS entraron en estado de falla segura, el cuál activó el paro automático del proceso.
Debido al paro del proceso, se mandó realizar una investigación para determinar las causas. En la investigación se determinó que los controladores del SIS activó el paro cuando falló una revisión de validación del código del programa de aplicación entre las unidades de procesamiento redundante.

Análisis de la intención del atacante

La investigación detectó que el atacante había entrado al sistema e implantado el TRITON desde hace bastante tiempo. Se asume que el objetivo a largo plazo del atacante era desarrollar la capacidad para causar un daño físico y no el simple hecho de ocasionar el paro de la planta para causar pérdida económica. Esta conclusión se basa en que el atacante desde un inicio la capacidad de provocar un paro de la planta, mediante la emisión de un comando de paro o cargando un código defectuoso a los controladores del SIS, pero no lo hizo. En vez de eso, el atacante hizo varios intentos, a lo largo de un periodo de tiempo, en desarrollar e implantar lógica de control funcional en el SIS, los cuales fueron bloqueados efectivamente por el SIS, sugiriendo que la intención es la de causar consecuencias más allá del paro del proceso.

Resumen de las capacidades del TRITON

El TRITON fue desarrollado con un gran número de características, incluyendo la capacidad de leer y escribir programas, leer y escribir funciones individuales y preguntar el estado del controlador del SIS.
El TRITON tiene la capacidad de comunicarse con controladores SIS Triconex (envío de comandos tales como paro o leer el contenido de su memoria) y reprogramarlo remotamente. El TRITON puede agregar un programa sustituto del atacante a la tabla de ejecución del controlador Triconex, pero dejando el programa original, de modo que si ocurriera una falla por el programa sustituto, TRITON hace que regrese a la ejecución de programa original, pero si después de un cierto periodo de tiempo el programa sustituto funciona sin problema, entonces se sobrescribe el programa original sustituyéndolo con el programa sustituto, borrando así toda evidencia de la sustitución.

Recomendaciones

Los propietarios de activos que deseen defenderse contra ataques cibernéticos, deben considerar los siguientes:

Cuando sea técnicamente factible, segregar las redes de sistemas de seguridad de las redes del sistema de control de procesos y del sistema de información. Las estaciones de trabajo de ingeniería capaces de programar controladores SIS no deben ser de doble conexión, y sin conexión a ningún control de proceso DCS o red de sistema de información.
Aprovechar las características de hardware que proporcionan control físico de la capacidad de programar los controladores de seguridad. Estos generalmente tienen interruptores controlados por una llave física. En los controladores Triconex, la llave no debe dejarse en el modo “PROGRAM”, excepto durante los eventos de programación programados. Implementar procedimientos de control de cambiosque incluya la posición de dicha llave. Audite regularmente el estado de dicha llave.
Usar gateway unidireccional en lugar de conexiones de red bidireccionales para cualquier aplicación que dependa de los datos proporcionados por el SIS.
Implementar listas de aplicaciones permitidas y control de acceso estricto en cualquier punto de de conexión al servidor o estación de trabajo que pueda conectarse al sistema SIS a través de TCP / IP.
Monitorear el tráfico de la red de control en busca de flujos de comunicación no esperados y otras actividades anómalas.

Para mayores detalles sobre el hecho y mayor información sobre las características del TRITON consulte los siguientes enlaces:

https://www.fireeye.com/blog/threat-research/2017/12/attackers-deploy-new-ics-attack-framework-triton.html

https://www.theguardian.com/technology/2017/dec/15/triton-hackers-malware-attack-safety-systems-energy-plant

http://foreignpolicy.com/2017/12/21/cyber-attack-targets-safety-system-at-saudi-aramco/

Victor Yi

vichuvideo@gmail.com

PLC Vs DCS

PLC y DCS, características físicas y operacionales.

La comparación entre PLC y DCS es un tema con muchos mitos, creencias y opiniones diversas influenciadas por los intereses mercantiles de dichas tecnologías. Su discusión se puede extender bastante, ya que es necesario tener conocimiento sobre la arquitectura y modo de funcionamiento de ambas tecnologías, así como los requerimientos operacionales de los distintos tipos de proceso, a fin de poder entender las bondades y limitaciones de cada tecnología. A continuación voy a tratar de resumirlos lo más que pueda sin afectar la claridad sobre el tema.

Desde el punto de vista de automatización, tanto el PLC como el DCS se clasifican como “controladores industriales”.

Lo único que está claro es que en proceso con requerimiento de alta velocidad, con muchas señales discretas de entradas/salidas, tal como en líneas de producción o control de maquinaria, la solución ideal es el uso de PLC, pero si es un proceso de tipo continuo de gran escala con muchas entradas/salidas de señales analógicas, tal como refinación o industria química, la solución ideal es el uso de DCS.

Pero aún así, actualmente con el avance de la tecnología de los PLC, algunos fabricantes de PLC de alta gama claman la capacidad de poder usar sus PLC en lugar de DCS, con una gran ventaja desde el punto de vista de inversión económica.

El uso de DCS en lugar de PLC es también posible pero no atractivo desde el punto de vista de inversión económica, a menos que exista un DCS y se requiera una aplicación menor de lógica secuencial.

El Controlador Programable

El Controlador Programable es un controlador electrónico que se inventó y fabricó en los inicio de la década de los 70, de acuerdo a unas especificaciones generadas por General Motor para reemplazar los tableros de lógica de control mediante relés, es decir para realizar lógica de control discreta.

Con el tiempo surgieron diversos fabricantes de Controladores Programable, entre ellos Allen Bradley que lanzó en 1971 su controlador patentado con el nombre Controlador Lógico Programable (PLC, Programmable Logic Controller). Una vez vencido el tiempo de validez de la patente (20 años), todos los fabricantes adoptaron el uso de ese nombre para sus controladores programables.

Componentes y funcionamiento del PLC

Con la evolución de la electrónica también se desarrollaron PLC de mayores capacidades y funcionalidades, pero aún mantienen su estructura básica de componentes y modo de funcionamiento.

El PLC está conformado por los siguientes componentes:

Los componentes básicos de un PLC, requeridos para su operación como controlador son:

· Unidad de procesamiento

· Módulos de E/S

· Memoria

· Fuente de poder o alimentación

Los componentes accesorios o auxiliares de un PLC son:

· Módulo de comunicación

· Unidad de programación/configuración

· IHM básico de operación

De acuerdo a su estructura externa, los hay compactos y modulares. En los PLC compactos todos los componentes, tanto básicos como auxiliares, están construido en un solo bloque o unidad no separable y no escalable, mientras que en los PLC modulares cada componente es un módulo separado que se debe montar y conectar sobre un chasis para conformar un PLC escalable.

Los PLC son máquinas secuenciales que ejecutan correlativamente las instrucciones indicadas en el programa de aplicación del usuario almacenado en su memoria, generando unas órdenes o señales de mando a partir de las señales de entrada leídas del proceso: al detectarse cambios en las señales, el PLC reacciona según el programa y genera los valores de salida necesarias. Esta secuencia se ejecuta continuamente en forma cíclica, para conseguir el control actualizado del proceso.

Una aplicación puede tener múltiples tareas, pero el PLC sólo puede ejecutar una tarea a la vez. Ejemplo de tareas: administración de alarmas, lógica de control, comunicaciones, respaldo de datos, administración y manejo de fallas, entre otros.

Las tareas se configuran como: continua, periódica o evento.

La tarea continua (ejecución del programa del usuario) es normalmente la tarea principal de la aplicación y se ejecuta continuamente, es decir que al llegar a la última instrucción del programa, automáticamente se vuelve a ejecutar el programa desde su inicio.

Las tareas periódicas se ejecutan en cada intervalo de tiempo asignado para su ejecución, ejm envío de datos para refrescamiento de IHM.

La tarea tipo evento se ejecuta inmediatamente al ocurrir el evento asignado, ejm activación de alarma.

Se puede configurar la prioridad de las tareas. Una tarea prioritaria puede interrumpir una de menor prioridad, y una vez finalizada, se continúa con la tarea previamente interrumpida.

La tarea de tipo continua, que es la ejecución del programa del usuario, es la de menor prioridad, ya que las tareas periódicas y de eventos lo interrumpe.

En cada tarea puede existir uno o más programas. Estos se ejecutan uno sólo a la vez, de acuerdo al orden definido en la lógica.

Independiente del tipo de PLC su funcionamiento básico es el siguiente:

Hay un proceso inicial o de arranque que se ejecuta una solo vez en el momento de puesta en operación del PLC, en la que se realiza una serie de diagnósticos de hardware y Sistema Operativo, carga de programa, inicialización de parámetros, etc.

Finalizado el proceso inicial, el PLC ejecuta continuamente su Ciclo de Operación que consiste en las siguientes tareas o actividades:

Ejecución tareas periódicas y de eventos
Proceso común
Ejecución del programa del usuario
Intercambio de datos con periféricos

A. Tareas periódicas y de eventos:

Es la ejecución de tareas periódicas y de eventos tales como alarmas y comunicaciones, que se realiza durante todo el ciclo de operación, siendo posible la interrupción temporal de otras tareas menos prioritarias hasta la finalización del procesamiento de la tarea más prioritaria.

B. Proceso común:

En un diagnóstico que se realiza en cada ciclo de operación. Consiste en la revisión de conexiones y de memoria de programa, protegiendo al PLC contra:

· Errores de hardware (conexiones E/S, ausencia de memoria de programa, etc).

· Errores de sintaxis (programa imposible de ejecutar).

La revisión de conexiones comprueba los siguientes:

· Niveles de tensión de alimentación.

· Estado de la batería, si existe.

· Buses de conexión con los módulos de entradas/salidas.

La revisión de la memoria de programa comprueba la integridad de la misma y los posibles errores de sintaxis y gramática:

· Mantenimiento de los datos, comprobados en el "checksum".

· Existencia de la instrucción END de fin de programa

· Estructura de saltos y anidamiento de bloque correctas

· Códigos de instrucciones correctas

C. Ejecución del programa del usuario:

En esta fase de operación se consultan los estados de las entradas y de las salidas y de acuerdo al resultado del procesamiento del programa se generan las órdenes de mando o de salida. El tiempo de ejecución de esta fase es la suma del:

· Tiempo de acceso a módulos de Entradas/Salidas.

· Tiempo de ejecución del programa de usuario

Y a su vez esto depende, respectivamente de:

· Cantidad y ubicación de los módulos de Entradas/Salidas.

· Longitud del programa del usuario y tipo de CPU del PLC que lo procesa.

La fase de ejecución del programa consta de tres fases o tareas:

· Lectura de señales desde el módulo de entradas.

· Procesado del programa para obtención de las señales de control.

· Escritura de señales en el módulo de salidas.

Para optimizar el tiempo, las tareas de lectura y escritura de las señales en los módulos de entradas/salidas, se realizan una a continuación de la otra para todas las entradas y salidas.

Las entradas leídas de los módulos de entrada se transfieren y guardan en la tabla de registros de entradas, desde donde son leídos por el CPU del PLC en la ejecución del programa, y según se va obteniendo las salidas, se guardan en la tabla de registros de salidas. Una vez ejecutado por completo el programa, los valores de la tabla de registros de salidas son transferidos todas a la vez a los módulos de salida correspondientes.

D. Intercambio de datos con periféricos

Este tipo de operación es realizada únicamente si hay pendiente algún intercambio con dispositivos periféricos o exterior del PLC, ejm IHM. En caso de haberlo, la CPU le dedica un tiempo limitado, de 1 a 2 ms, en atender el intercambio de datos. Si este tiempo no fuera suficiente, el servicio queda interrumpido hasta el siguiente ciclo de operación.

Tiempo de ejecución y control en tiempo real en PLC

El tiempo total que el PLC emplea para realizar un ciclo de operación se llama tiempo de ejecución de ciclo de operación o más sencillamente tiempo de ciclo "Scan time". Dicho tiempo depende de:

· La cantidad y tipo de Entradas/Salidas involucradas.

· La longitud del programa del usuario

· La cantidad y tipo de periféricos conectados al PLC.

Los tiempos totales de ciclos son entonces la suma de tiempos empleados en realizar las distintas operaciones del ciclo.

· Auto diagnóstico. (Proceso común).

· Actualización de Entradas/Salidas.

· Ejecución del programa.

· Servicio a periféricos.

Típicamente el procesador del PLC en forma alternada hace un barrido de todas sus entradas y actualiza todas las salidas, luego evalúa la lógica de escalera; los cambios que ocurren en las entadas durante la ejecución del programa no se hacen efectivo sino hasta la próxima actualización de las entradas/salidas. Por lo general la ejecución completa de un ciclo de ejecución sólo tarda pocos milisegundos, y debe ser mucho más rápido que los cambios en el proceso controlado.

Cuando se usan módulos especiales inteligentes, tal como el de control regulatorio PID, el procesamiento en el módulo inteligente es independiente del ciclo de ejecución del PLC, excepto para el intercambio de información entre cada módulo y el CPU del PLC.

El Sistema de Control Distribuido (DCS, Distributed Control System)

El primer método para centralizar las señales de proceso en una sala de control fue mediante el uso de transmisores de señales que enviaban las señales hasta controladores universales instalados en los paneles en la sala de control. Esto implica el uso de un transmisor y un controlador para cada señal. Por otro lado implica la ocupación de áreas grandes de espacio de paneles, además de grandes volúmenes y extensiones de canalizaciones neumáticas y/o eléctricas entre el campo y los controladores en la sala de control.

Para cubrir el nicho del control regulatorio una opción al uso de los controladores analógicos dedicados, fue el uso de las computadoras, dando origen al control digital directo (DDC, Direct Digital Control). En marzo de 1959 en la refinería de Texaco en Port Arthur, Texas se puso en servicio el DDC desarrollado por la empresa TRW. En 1960 IBM instaló por primera vez su computadora especialmente diseñado para control de proceso, la IBM 1700 en la Refinería American Oil en Indiana.

En la década del 60 Foxboro introdujo al mercado la computadora de proceso M9700 y un DDC basado en la computadora DEC PCP-88 que fue instalado en la Refinería de Aruba.

En 1965 la DEC introdujo su mini computadora PDP-8 y posteriormente el PDP-11 ampliamente usado para control de proceso en tiempo real. En 1968 Honeywell introdujo su DDC serie 16, en los 70 Bailey Controls y Taylor Instruments lanzaron al mercado sus versiones de DDC y Foxboro introdujo su DDC Fox 1.

Los DDC sufrían de un gran problema: El riesgo de la falla del único computador digital que controlaba o ejecutaba múltiples lazos de control PID, funciones que nunca debía detenerse. El control digital trajo muchas ventajas, pero existía el riesgo del paro de un proceso u ocurrencia de falla catastrófica por causa de falla en el hardware o software en una única computadora.

Los Sistemas de controles distribuidos (DCS) aparecieron en 1975 con el lanzamiento al mercado por parte de Honeywell del TDC 2000, secundado por Yokogawa con el CENTUM, para solucionar la debilidad de los DDC, ya que en su arquitectura usan múltiples computadoras o controladores, cada una responsable de un grupo de lazos PID, distribuidos por las instalaciones y enlazados para compartir información entre ellas y con las consolas de operación.

La distribución de los computadores o controladores también ordenó el cableado de señales, dado que ahora cientos o miles de cables de instrumentos solo tienen que llegar hasta los módulos distribuidos de entradas/salidas, y no hacia una sala de control centralizada. Solo los cables de la red de control del DCS tenían que está enlazando a los controladores, representando una drástica reducción de cableado. Además, el control distribuido introdujo el concepto de redundancia en los sistemas de control industrial: donde la adquisición de señales digitales y las unidades de procesamiento estaban equipadas con un "respaldo" que automáticamente toma el control de todas las funciones críticas en caso de ocurrencia de una falla en el equipo primario.

Cada controlador contiene un procesador para realizar todas las funciones de control necesarias, con interfaz a través de tarjetas de entrada y salida (E/S) para convertir las señales de analógicas a digitales o viceversa. La redundancia de procesadores, redundancia de cables de red, fuente de alimentación e incluso redundancia de tarjetas E/S mantiene disponible las funciones de control en caso de falla en algún componente. Los procesadores de los DCS poseen rutina de autodiagnósticos de los componentes del sistema para alertar la existencia y fácil ubicación de las fallas.

Si incluso hubiera una falla total en uno de los gabinetes de control, sólo los lazos PID de ese gabinete serán afectados, ningún otro lazo del sistema serán afectados. Por otro lado, si los cables de red fallan, sólo el flujo de información entre estos dos puntos se dañaría, el resto del sistema continua comunicando la información normalmente. Por lo tanto, una de las características de un DCS es su tolerancia a fallas, y de existir falla de hardware o software el impacto en el control del proceso es minimizado por el diseño de su arquitectura.

Los primeros DCS podían controlar procesos de hasta 5000 variables, los sistemas actuales pueden controlar hasta 250000 variables, pero su capacidad de comunicación e integración pueden conformar sistemas sin límites de variables.

La evolución de las comunicaciones y hardware han alterado dramáticamente la estructura de los sistemas de control. La tecnología de comunicaciones como Ethernet y TCP/UDP/IP combinado con estándares de comunicación industrial como OPC y protocolos abiertos permiten integrar aplicaciones de terceros fácilmente en los sistemas de control. Así mismo, el diseño orientado a objetos, componentes de software y herramientas de soporte para la implementación ha facilitado el desarrollo de mejores interfaces para el usuario y además la implementación de software reusable.

Los DCSs actuales pueden integrar totalmente buses de campo E/S como FieldBus y ProfiBus sin ningún problema. Esto quiere decir que los nuevos controladores pueden enlazar dispositivos o ser interfaces para integrar múltiples E/S basados en FieldBus, DeviceNet, AS-Interface, HART, ProfiBus y las E/S convencionales de punto a punto, en un solo sistema. Ya incluso hay sistemas que ofrecen conectividad IIot con certificación industrial clase 4.0.

Desde su lanzamiento al mercado en 1975, los DCSs han dominado el control de procesos industriales, han mejorado su rendimiento, funcionalidad y confiabilidad a través del tiempo. Los diseños actuales son más modulares y se ha ido reduciendo los costos en hardware, permitiendo que hoy en día sea factible el uso de DCS en plantas pequeñas.

Aún cuando los modernos DCS son muchos más abiertos desde el punto de vista de comunicación, permitiendo la integración de un amplio rango de aplicaciones de múltiples suplidores, aún existen considerables cambios que se deben realizar para obtener un DCS de arquitectura abierta.

Componentes y funcionamiento del DCS

Los componentes de los DCS son de tipo modular y escalable.

Los principales componentes de un sistema de control distribuido son:

· Controladores

· Módulos entradas/salidas

· IHM de operación

· IHM ingeniería y mantenimiento

· Red de control del DCS

· Módulo o servidor especiales (opcional)

· Instrumentos de campo inteligente (opcional)

a) Controladores

En los controladores del DCS se ejecutan la lógica de control y alarmas de proceso.

Cada controlador puede manejar, dependiendo del fabricante, de 8 a 32 lazos de control.

Cada controlador posee su propio procesador, fuente de alimentación y memoria.

Típicamente los controladores son redundantes.

b) Módulos de entradas/salidas

A través de los módulos de entradas/salidas se realiza la interfaz entre los controladores y los dispositivos de campo.

Para cada tipo de señal con los dispositivos de campo, existe una tarjeta E/S específica, incluyendo para comunicación mediante diferentes tipos de red de control de proceso.

c) Interfaz de operación

La estación o Interfaz Humana – Máquina (IHM) de operación es usada por el operador del proceso para monitorear las condiciones de proceso, manipular puntos de ajustes, recibir y enviar comandos, y generalmente están localizados en una Sala de Control Principal. Desde la interfaz de operación el operador visualiza la información que es enviada por los transmisores desde las áreas de proceso, y puede cambiar las condiciones de control.

Esto aprovecha las tecnologías existentes en computadores de trabajos y las pantallas sin sacrificar la confiabilidad del control (ya que el hardware y software de control siguen siendo de tipo industrial).

La aplicación de despliegue gráfico y alarmas opera desde la computadora, pero los datos provienen de los controladores.

Las consolas de operación pueden incluir arreglos de pantallas (2, 3 ó 4 pantallas) a fin de facilitar la visualización de todo el proceso.

d) Interfaz de ingeniería/mantenimiento

Usa básicamente el mismo hardware de la interfaz de operación, pero con suficiente memoria y capacidad de disco duro para proveer una eficiente plataforma para los requerimientos para operar como estación de ingeniería/mantenimiento para las labores de configuración y diagnóstico del sistema.

e) Red de control del DCS

En general las redes de control del DCS es una red propietaria y redundante.

f) Módulo o servidor especial (opcional)

Son módulos para aplicaciones especializadas tal como control avanzado, optimización, base de datos, etc.

Se conectan al DCS a través de la red de control del DCS.

g) Instrumentos de campo inteligente (opcional)

En un DCS, cada controlador del sistema y sus módulos de entradas/salidas asociadas funcionan en forma dedicada e independiente, permitiendo un ciclo de operación de cada lazo de control bastante corto, del orden de los milisegundos, ya que el ciclo de procesamiento del algoritmo de control en cada lazo es bastante rápido.

Por otro lado la red de control del DCS es una red de alta velocidad, permitiendo una alta rapidez de actualización de los datos entre los controladores y los IHM de operación.

Requerimientos operacionales

En las secciones anteriores se hizo una descripción de los componentes y funcionamiento del PLC y DCS, sin embargo hay que considerar los requerimientos operacionales y cómo afecta este requerimiento en el ciclo de operación.

Se han peguntado ¿porqué los DCS los venden con su consola o IHM de operación, mientras que en los PLC el IHM se ofrece como una opción?

La razón es porque en los procesos analógicos continuos, el operador debe estar pendiente de los valores de las variables de procesos, los cuales normalmente fluctúan continuamente, razón por la cuál en el control de este tipo de proceso se debe mostrar al operador como mínimo el valor de la variable en cada lazo de control.

En los procesos de tipo discretos, normalmente lo que se necesita es mostrar el estado de un equipo o fase de ejecución de una tarea, el cuál se puede mostrar con el estado de una luz de indicación, por otro lado estos estados permanecen invariables por largo tiempo.

Esto implica que si se usa PLC para control de procesos analógicos continuos, aún usando módulos especiales de control PID, la actualización de datos en el PLC de lo que pasa en cada módulo se hace como parte del ciclo de operación del PLC. Por otro lado es necesario un intercambio de información bastante alto entre el PLC y el IHM, esto por supuesto aumenta más el tiempo de ciclo de operación, ya que si existen lazos que requieren alta frecuencia de actualización de datos y se configuran como tareas periódicas de alta frecuencia, a cada rato se interrumpe la ejecución del programa del usuario que es la tarea de menor prioridad, para realizar dichas transferencias de datos.

Esta es la razón principal por la que aún usando módulos especializados de control PID no es recomendable sobrecargar un PLC con ese tipo de lazos, si además el PLC se usa para el control lógico secuencial de un proceso.

A menos que el PLC se use exclusivamente para control PID o que el programa del usuario para la lógica de control secuencial es relativamente corto y que el proceso discreto a controlar no requiere ciclo corto de operación.

Referencias

Control avanzado – Victor Yi

PLC – Victor Yi

Controlador Lógico Programable (PLC), ISBN 978-980-12-9432-0 – Victor Yi

Instrument Engineers Handbook – Bela G. Liptak

Victor Yi

vichuvideo@gmail.com