Dr inż.

Andrzej Kwiecień
Mgr inż. Piotr Gaj
Instytut Informatyki
Politechniki Śląskiej w Gliwicach.

BEZPIECZEŃSTWO TRANSMISJI W SIECIACH PRZEMYSŁOWYCH

2 Bezpieczeństwo transmisji w sieciach przemysłowych
Streszczenie:
Artykuł przedstawia zagadnienia zapewnienia bezpieczeństwa danych wymienianych
pomiędzy urządzeniami obsługującymi proces przemysłowy. Dane takie są najczęściej
transmitowane przy wykorzystaniu specjalnej grupy sieci komputerowych zwanej sieciami
przemysłowymi. Omówione są zarówno mechanizmy zapewnienia samej transmisji po
medium komunikacyjnym jak i sposoby zabezpieczeń poprawności transmisji na pierwszej,
drugiej i siódmej warstwie interfejsu komunikacyjnego. Główny nacisk położony jest na opis
rozwiązań gwarantujących poprawność i niezawodność transmisji oraz kontrolujących
ważność i czas życia danych użytecznych. Parametry te, są priorytetowe w kwestii
bezpieczeństwa działania sieci i obsługiwanych przez nią procesów. Wszystkie rozważania
prowadzone są na bazie sieci o modelu wymiany danych zwanym PDC. Artykuł zawiera
również przykłady aplikacji wykorzystujących opisywane mechanizmy.

1. Wstęp
Bezpieczeństwo transmisji w sieciach przemysłowych jest zagadnieniem niezwykle
istotnym. Problem staje się tym poważniejszy im bardziej odpowiedzialną jest instalacja
przemysłowa, którą rozproszony system informatyczny czasu rzeczywistego zarządza bądź
steruje. Mówiąc o bezpieczeństwie transmisji w przemysłowych systemach informatycznych
należy mieć przede wszystkim na myśli nie tyle kontrolowany dostęp do informacji co
gwarancje, na zadanym poziomie ufności, iż dane dotrą do adresata w żądanym czasie i nie
będą przekłamane. Dodatkowym elementem wchodzącym w skład tak pojętego
bezpieczeństwa jest również przekonanie o tym iż dane zostały zebrane i dostarczone w czasie
najkrótszym z możliwych. Określa się to pojęciem „świeżości danych”. Współczesne,
komputerowe sieci przemysłowe, muszą zatem mieć wbudowane określone mechanizmy
sprzętowe lub programowe dające żądany poziom bezpieczeństwa transmisji. Owe
mechanizmy to nie tylko odpowiednio zaprojektowane urządzenia wyposażone w należyte
oprogramowanie ale również protokoły transmisji.
Stosowane w przemysłowych, informatycznych systemach sterowania, wizualizacji,
monitorowania sieci komputerowe, muszą się wyróżniać przede wszystkim,
zdeterminowanym w czasie dostępem do medium. Istnieje kilka rozpowszechnionych
protokołów dostępu do medium, które gwarantują każdemu uczestnikowi procesu wymiany
informacji, możliwości dostępu do medium, w zadanym i nieprzekraczalnym interwale czasu.
Należy do nich zaliczyć następujące:
• Sieci typu „Master-Slave”,
• Sieci typu „Token-bus” lub „token-ring”,
• Sieci typu „Producent-Dystrybutor-Konsument” (PDC).
Wśród nich na szczególną uwagę zasługują sieci o dostępie „Producent-Dystrybutor-
Konsument” (PDC). Przedmiotem analizy bezpieczeństwa transmisji danych, zawartej w
niniejszej pracy, jest sieć o nazwie FIP (ang. „Factory-Instrumentation-Protocol”), należąca
do rodziny sieci typu PDC. Analizę tę przeprowadzono biorąc pod uwagę następujące
elementy:
• Bezpieczeństwo związane z redundancją medium i arbitra sieci,
• Mechanizmy bezpieczeństwa dostarczane z odpowiednimi warstwami
oprogramowania sieci.
• Mechanizmy bezpieczeństwa związane z obsługą dostarczanych przez sieć
informacji statusowych.

2. Mechanizmy redundancji
Standard sieci FIP określa dwa rodzaje mechanizmów zwiększających pewność
i niezawodność transmisji, działających na zasadzie dublowania pewnych komponentów sieci.
A. Kwiecień; P. Gaj 3
Pierwszy z nich określa redundancję medium transmisyjnego a drugi redundancję
dystrybutora informacji.
W sieci FIP stosuje się dwa rodzaje medium transmisyjnego:
• kabel typu skrętka,
• światłowód.
Zarówno dla jednego jak i drugiego typu standardowo stosowany jest mechanizm
redundancji. Działanie mechanizmu nie sprowadza się tylko i wyłącznie do dublowania
samego medium. Rozpoczyna on swoją pracę już w interfejsach sieciowych abonentów.
Praktycznie cały sprzętowy stopień wyjściowy realizujący funkcje warstwy łączenia
i warstwy fizycznej jest zdublowany.
Na poziomie fizycznej transmisji, zapis i odczyt danych transmitowanych przez medium jest
prowadzony zawsze obiema drogami. Specjalny układ kontroli, na podstawie liczby błędów
tejże transmisji, decyduje o tym, która droga będzie wybrana do przeprowadzenia odczytu dla
warstw wyższych. Dzięki temu uzyskujemy układ, w którym każdy z abonentów zapisuje
dane wykorzystując obie linie medium transmisyjnego oraz odczytuje dane z linii o niższym
współczynniku zakłóceń a co za tym idzie niższym poziomie błędów.
Najczęściej stosowanym i najtańszym rodzajem medium jest kabel typu ekranowana
skrętka. Na bazie takiego medium sieć FIP pracuje wykorzystując topologie magistralową.
Dla zmniejszenia prawdopodobieństwa uszkodzenia fizycznego obu nitek magistral zalecane
jest prowadzenie dla nich dwóch tras kablowych. Uszkodzenie jednej z nich nie spowoduje
wówczas całkowitej awarii sieci. Jest to niezwykle istotne dla przypadków aplikowania sieci
w warunkach o zwiększonym ryzyku uszkadzania tras kablowych.
W przypadku światłowodów sieć FIP pracuje wykorzystując topologie gwiazdy. Cała idea
prowadzenia dwóch tras kablowych dotyczy również i tego przypadku. Wykorzystując
możliwość zdublowania koncentratora można dzięki temu zdublować całą strukturę
okablowania uodporniając ją na uszkodzenia podobnie jak magistralę. Należy zwrócić przy
okazji uwagę, iż samo zastosowanie światłowodów również zwiększa odporność sieci na
zakłócenia związane z występowaniem różnego rodzaju pól generowanych przez inne kable
lub urządzenia elektryczne znajdujące się w pobliżu tras kablowych sieci.
Oczywiście od aplikanta sieci na obiekcie zależy czy zastosuje on dublowanie medium
oraz jeśli tak, to czy poprowadzi medium różnymi trasami kablowymi. Tak czy inaczej sama
sieć daje taką możliwość i z punktu widzenia niezawodności pracy sieci wysoce wskazane jest
skorzystanie z niej.
Osobnym zagadnieniem jest obsługa medium przez urządzenie dystrybutora. W modelach
PDC niezbędne jest aby istniał na sieci specjalny zarządca wymian. W sieci FIP aktywny
dystrybutor może być tylko jeden. Pojawia się zatem pytanie czy potencjalna awaria takiego
urządzenia nie jest słabym punktem sieci. Oczywiście jest, jeśli nie skorzysta się z możliwości
redundancji arbitra. Mechanizm ten umożliwia uruchamianie arbitra zgodnie ze specjalnym
priorytetem określanym dla każdego z urządzeń na etapie konfiguracji. Arbiter o najwyższym
priorytecie przejmuje kontrolę nad medium a pozostałe urządzenia posiadające funkcję arbitra
przechodzą w stan czuwania. W stanie tym urządzenia stale śledzą ruch na sieci
i w przypadku zaniku nośnej procedura elekcji arbitra rozpoczyna się na nowo. Po
zakończeniu procedury kolejny arbiter przejmuje kontrolę nad medium. Zmiana arbitra
praktycznie nie wpływa na działanie sieci.

3. Zabezpieczenia na poziomach warstw sieciowych

Sieć FIP definiuje trzy warstwy modelu sieciowego ISO/OSI:
• fizyczną (1),
• łączenia (2),
• aplikacji (7).
4 Bezpieczeństwo transmisji w sieciach przemysłowych
Na poziomach poszczególnych z tych warstw istnieją zabezpieczenia umożliwiające
wykrycie ewentualnych przekłamań i błędów transmisji eliminując tym samym możliwość
obsługi błędnych danych.

3.1.Warstwa fizyczna
Warstwa fizyczna zapewnia kontrolę poprawności danych przez wykorzystanie
następujących mechanizmów:
• różnicowej transmisji sygnałów napięciowych,
• specyficznego sposobu kodowania transmisji bitów,
• specjalnej detekcji ramek,
• kontroli czasu odstępów międzyramkowych.
Cała transmisja informacji binarnych wykonywana jest przy użyciu kodowania typu
MENCHESTER2. Transmisja taka umożliwia równoczesne przesyłanie danych oraz sygnału
zegara taktującego. Logiczne zero oraz logiczne jeden jest rozpoznawane na podstawie zmian
poziomów napięć czyli wykrywania zbocza. Przekroczenie poziomów napięć informuje
automatycznie o wystąpieniu awarii kabla, wyindukowaniu zakłócenia lub wystąpieniu kolizji
na sieci. Rysunek 1 przedstawia sposób kodowania bitów.
bit faza

T/2 -T/2
T/2
-T/2

logiczne 1 logiczne 0

Rysunek 1 Kodowanie bitów.

Stosuje się również specjalne bity sygnalizacyjne służące do określania początku i końca
ramek oraz przywracania statusu linii po zakończeniu transmisji. Przedstawiono je na rysunku
2 oraz 3.

-T/2 T/2
-T/2 T/2

V+ V-

Rysunek 2 Sygnały specjalne V+ oraz V-.

T/2 -T/2
T/2
-T/2

EB+ EB-

Rysunek 3 Bity sygnalizacyjne.

Budowa ramki również wprowadza dodatkowe zabezpieczenie w postaci specjalnych
sekwencji poprzedzających i kończących dane binarne reprezentujące transmitowaną
informację. Są to tak zwane preambuła i postambuła. Zawierają one specyficzne sekwencje
bitów oraz sygnałów V+, V-, EB+ i EB- nie stanowiących transmisji bitów.
A. Kwiecień; P. Gaj 5
1 1 1 1 1 V+ V- V+ 1 V- EB+

Preambuła Początek danych

EB+ V- V+ V- 0 V+ EB+

Koniec ramki

Rysunek 4 Sekwencje identyfikacyjne dla początku i końca ramki.

Każda z warstw dostawia przy nadawaniu oraz rozkodowuje przy odczycie odpowiednie
pola ramki, które to pola stanowią informację bezpieczeństwa dla danej warstwy. Jest to
zilustrowane na rysunkach 5, 6 oraz 7. Dane użyteczne są zatem przez każdą z warstw
„obstawiane” dodatkowymi informacjami zabezpieczającymi specyficznymi dla danej
warstwy.
Warstwa fizyczna Warstwa fizyczna

Preambuła Typ DANE FCS Postambuła

Rysunek 5 Schemat ramki z zaznaczeniem obszarów przeznaczonych dla warstwy

fizycznej.
Warstwa fizyczna tak jak i warstwy pozostałe nie zajmuje się interpretacją pól z nią nie
związanych.

3.2.Warstwa łączenia
Warstwa łączenia zapewnia kontrolę poprawności danych przez wykorzystanie
następujących mechanizmów:
• kontroli protokołu,
• liczenia sumy kontrolnej danych.
Kontrola poprawności protokołu odbywa się przez sprawdzanie typu ramki jaki został
odczytany względem typu jaki był oczekiwany. Suma kontrolna zabezpiecza same pole
danych. Suma ta jest liczbą dwubajtową generowaną na podstawie specjalnego wielomianu
i transmitowanej informacji. Umożliwia ona wykrycie przekłamania danych zawartych
w otrzymanej ramce, a ze względu na fakt iż zmienne sieciowe są zawsze transmitowane przy
użyciu pojedynczych ramek, suma ta zabezpiecza samą zmienną. W przypadku transakcji
komunikatów dana suma zabezpiecza komunikat lub jeden z pakietów danego komunikatu.
6 Bezpieczeństwo transmisji w sieciach przemysłowych
Warstwa Warstwa
łącza łącza

Preambuła Typ DANE FCS Postambuła

Rysunek 6 Schemat ramki z zaznaczeniem obszarów przeznaczonych dla warstwy

łączenia.

3.3.Warstwa aplikacji
Warstwa aplikacji zapewnia kontrolę poprawności danych przez wykorzystanie
następujących mechanizmów:
• kontroli typów danych,
• kontroli rozmiaru pola danych,
• obsługi statusów zmiennych.
Na polu danych oprócz informacji związanej ze zmienną przesyłane są informacje na
temat typu, wielkości danych i ich statusu. Warstwa aplikacji może zatem kontrolować te
parametry.
Warstwa aplikacji

Preambuła Typ T/R DANE S FCS Postambuła

Rysunek 7 Schemat ramki z zaznaczeniem obszarów przeznaczonych dla warstwy

aplikacji.
Niezwykle ważną cechą związaną z jakością otrzymywanych danych jest obsługa
statusów związanych ze zmienną. Szczegóły z tym związane omówione są w rozdziale 4.

4. Obsługa informacji statusowych

W sieci FIP ze zmienną mogą być związane specjalne informacje statusowe. Należą do
nich:
• status ważności zmiennej,
• status produkcji,
• status konsumpcji.
Aby prześledzić znaczenie i działanie tych statusów należy przyjrzeć się obiegowi
informacji pomiędzy producentem a konsumentem informacji.
Zarówno na stacji producenta zmiennej jak i konsumenta zmiennej istnieją dwa niezależne
obiegi informacji. Zilustrowane jest to na rysunku 8. Problem jakości danych z punktu
widzenia ich ważności czy świeżości pojawia się z chwilą gdy obiegi danych wewnątrz stacji
abonenckiej nie są zsynchronizowane. Taki przypadek jest najczęstszym przypadkiem pracy
stacji. W praktyce obieg wymuszany przez pracę aplikacji, zwany dalej obiegiem wtórnym,
zależy od wielu czynników, np. od zastosowanego algorytmu przetwarzania danych, od
rodzaju i dostępności danych czy też od prawidłowości funkcjonowania interfejsu po stronie
warstwy aplikacji. Obieg wymuszony pracą sieci, zwany dalej obiegiem pierwotnym, jest
stały i wynika z cyklu pracy arbitra albo inaczej mówiąc ze scenariusza wymian. Jeżeli obieg
wtórny nie jest zsynchronizowany z obiegiem pierwotnym lub wręcz obieg wtórny ma
charakter aperiodyczny niezbędne wydaje się informowanie odbiorcy końcowego o jakości
odczytanych danych.
A. Kwiecień; P. Gaj 7
Użytkownik Użytkownik
Nowa wartość Nowa wartość
zmiennej zmiennej

Zapis lokalny Lokalny

wymuszony odczyt
Producent Konsument wymuszony
przez aplikację
Warstwa aplikacji Warstwa aplikacji przez aplikację

Zapis do
buforów w Odczyt z
pamięci buforów w
pamięci

Obraz danej Obraz danej

zmiennej w zmiennej w
pamięci pamięci
Warstwy fizyczna i łączenia Warstwy fizyczna i łączenia

Odczyt
Zapis sieciowy sieciowy
wymuszony wymuszony
cyklem arbitra cyklem arbitra

Obieg informacji wymuszony przez pracę Obieg informacji wymuszony przez pracę
sieci (cykl arbitra). sieci (cykl arbitra).

Obieg informacji wymuszony przez aplikację Obieg informacji wymuszony przez aplikację
(użytkownika) zmieniającą wartość zmiennej. (użytkownika) pobierającą wartość zmiennej.

Rysunek 8 Obieg informacji pomiędzy stacjami producenta i konsumenta.

Pierwsze co interesuje odbiorcę to czy transmitowane dane są ważne, czyli czy obieg
wtórny stacji nadawczej zapisał chociaż raz wartość zmiennej. Jeżeli to nie nastąpiło, to
otrzymywane dane są dla konsumenta nieprzydatne, gdyż mają wartość przypadkową lub
w najlepszym wypadku domyślną. Informacja o ważności zmiennej w sieci FIP może być
przesyłana jest razem ze zmienną. Aplikacja konsumenta odczytując zmienną otrzymuje
razem z danymi specjalny znacznik informujący czy dane są ważne.
Kolejny aspekt jakości to opóźnienie jakie może zaistnieć pomiędzy jednym a kolejnym
zapisem obiegu wtórnego na stacji producenta. W sieci FIP określa się przedział czasu
w którym aplikacja producenta musi uaktualnić wartość zmiennej, i wiąże się ten period czasu
ze tzw. statusem świeżości (produkcji). Jeżeli aplikacja nadąża uaktualniać wartość zmiennej
ze zdefiniowanym okresem, to status przyjmuje wartość „zmienna świeża” w przeciwnym
przypadku odbiorca otrzymuje ostatnią uaktualnioną wartość danej zmiennej wraz
z informacją „zmienna nieświeża”.
Schemat czasowy działania mechanizmu statusu produkcji przedstawiony jest na
rysunku 9.
8 Bezpieczeństwo transmisji w sieciach przemysłowych
brak produkcji

Czas produkcji
zmiennej

Upływ czasu
periodu produkcji

„świeża” „nieświeża”
Wartość statusu
produkcji

period produkcji

Rysunek 9 Mechanizm generowania statusu produkcji.

Podobnie sytuacja wygląda na stacji odbiorczej. Jeśli aplikacja użytkownika odczytuje
wartości zmiennej aperiodycznie to opóźnienie pomiędzy dwoma kolejnymi odczytami może
mieć istotne znaczenie dla interpretacji informacji. W sieci FIP można wprowadzić okres,
w którym aplikacja odczytująca musi pobrać wartość z buforów. Status z tym związany
nazywa się statusem konsumpcji i przekazywany jest wraz z wartością zmiennej do aplikacji
użytkownika. Jeśli aplikacja nie dokona odczytu w zadeklarowanym czasie otrzymuje ona
aktualną wartość zmiennej wraz z informacją „coś przegapiono”.
Schemat czasowy działania mechanizmu statusu konsumpcji przedstawiony jest na
rysunku 10.

brak konsumpcji

Czas odczytu
zmiennej

Upływ czasu
periodu
konsumpcji

„OK.” „pominięto”
Wartość statusu
konsumpcji

period konsumpcji

Rysunek 10 Mechanizm generowania statusu konsumpcji.

Dane statusowe dostarczają zatem precyzyjnej informacji o jakości pozyskiwanych
danych. Interpretacja tych danych zależy oczywiście od warstwy aplikacji danej stacji
abonenckiej, umożliwiając tym samym bardzo precyzyjne dostosowanie jej działania do
charakteru danej stacji.
W sieci FIP istnieje również możliwość zsynchronizowania pierwotnego i wtórnego
obiegu informacji przez zastosowanie specjalnych zmiennych tzw. zmiennych
synchronizacyjnych. Mechanizm ten pozwala zsynchronizować dostęp warstw aplikacji
A. Kwiecień; P. Gaj 9
wszystkich abonentów sieci, do danych kompletowanych przez warstwy niższe
z dokładnością wystąpienia zdarzenia związanego z wyprodukowaniem danej zmiennej
synchronizacyjnej. Uzyskuje się zatem możliwość synchronizowania pracy wszystkich
abonentów sieci. Jest to niezwykle ważne z punktu widzenia spójności danych i możliwości
ich przetwarzania w czasie rzeczywistym przez cały system rozproszony.
Na koniec należy zauważyć, iż obiegi pierwotne każdego z abonentów dla obsługi danej
zmiennej są zawsze zsynchronizowane ze sobą. Jeżeli stacja produkująca daną zmienną
wystawi jej wartość na sieć, to wszystkie stacje konsumenckie związane z tą zmienną w tym
samym momencie czasu odczytują jej wartość. Jest to kolejna cecha protokołu gwarantująca
niezwykłą spójność danych obsługiwanych przez sieć.

5. Zakończenie

Z przeprowadzonej analizy widać jak bogate mechanizmy bezpieczeństwa transmisji

danych daje sieć FIP. Dzięki temu jest coraz powszechniej stosowana w bardzo wielu
dziedzinach gdzie poprawność działania całego systemu jest niezwykle istotna. Mówiąc o
poprawności działania należy mieć przede wszystkim na myśli spełnienie wszystkich rygorów
czasowych stawianych przez rozproszony system informatyczny czasu rzeczywistego. Dzięki
swym walorom sieć FIP znalazła zastosowanie w systemach sterowania i kontroli ruchu
pociągów w tunelu pod Kanałem La Manche, w wielu systemach sterowania ruchem
pociągów w metrze (Mediolan, Montreal, Paryż) a także w lotnictwie cywilnym (Airbus).
Doczekała się również kilku aplikacji w Polsce. Autorzy niniejszego opracowania są
współtwórcami kilku bardzo znaczących instalacji czasu rzeczywistego w polskim przemyśle,
wykorzystujących sieć FIP, do których należy zaliczyć:
• System sterowania napędów pomp zasilających i automatyki procesów cieplnych
w Elektrociepłowni „Garbary” Poznań,
• System sterowania tego samego typu jak poprzednio uruchomiony
w Elektrociepłowni „Tychy”,
• System sterowania i regulacji pracy wentylatorów powietrza i odpopielania spalin
w Elektrociepłowni „Miechowice”.
Należy przypuszczać, że ze względu na możliwość budowania bezpiecznych systemów
komunikacyjnych wykorzystujących sieć FIP, stanie się ona wkrótce jeszcze bardziej
popularna.

LITERATURA

1. Coulouris G, Dollimore J., Kindberg T.: Systemy Rozproszone; WNT 2001

2. Cupek R., Fojcik M.: Budowa modułów komunikacyjnych stacji nadzorczej z sieciami
przemysłowymi. ZN Pol. Śl. s. Informatyka z. 32, Gliwice 1997.
3. Cupek R.: Metody hierarchizacji rozproszonych procesów przemysłowych. ZN Pol. Śl. s.
Informatyka z. 28, Gliwice 1995.
4. Dokumentacja techniczna stacji RM_IO 32; Proloc, Katowice 1997.
5. FIP NETWORK General Introduction; DPS 50249 aA, Clamart 1990.
6. FIPCODE Software v. 5.0 User Reference Manual; DPS 50263 b–en, Clamart 1994.
10 Bezpieczeństwo transmisji w sieciach przemysłowych
1. Gaj P.: Szybka sieć przemysłowa a system wizualizacji – problem interfejsu. ZN Pol.Śl.
s.Informatyka z.36 Gliwice 1999.
7. Grzywak A., Kwiecień A.: Perspektywy rozwoju zastosowań sieci komputerowych
w górnictwie. Mechanizacja i Automatyzacja Górnictwa nr 5, 6/94.
8. Grzywak A., Kwiecień A.: Rozproszone systemy sterowania i zarządzania procesami
technologicznymi. Mechanizacja i Automatyzacja Górnictwa nr 8/94.
9. Grzywak A., Kwiecień A.: Sieci komputerowe w systemach sterowania i zarządzania
w górnictwie. Konferencja Międzynarodowa ICAMC’95 World Mining Congress.
10. Klubowe materiały szkoleniowe; WorldFip, Clamart 1995, 1996, 1997, 1998.
11. Kwiecień A., Gaj P., Grzywak A., Mrówka Z.: Rozwiązania sprzętowe i programowe sieci
przemysłowej FIP. ZN Pol. Śl. s. Informatyka z. 30, Gliwice 1996.
12. Kwiecień A., Gaj P., Mrówka Z.: Optymalizacja wymian w sieci FIP. ZN Pol. Śl. s.
Informatyka z. 32, Gliwice 1997.
13. Kwiecień A., Gaj P.: Sieć FIP, wstęp do analizy czasowej. ZN Pol. Śl. s. Informatyka z. 28,
Gliwice 1995.
14. Kwiecień A.: Sieć rozległa FIP. ZN Pol. Śl. s. Informatyka z. 24, Gliwice 1993.
15. Praca zbiorowa: Rozproszone systemy komputerowe. Pronet, Gliwice 1994.