Профиль должен быть заполнен на русском языке кириллицей. Заполнение профиля заведомо ложными или некорректными данными - причина возможного отказа в регистрации на форуме.

Сети АСУТП и АСУП

Обсуждение вопросов, не относящихся ни к одному из других подразделов

Автор темы
c400d

Сети АСУТП и АСУП

Сообщение c400d » 29 май 2010, 06:44

Сети АСУТП и АСУП могут "ходить" по одним и тем же проводам или все же
лучше иметь раздельные провода? Как вариант: виланами разделить сети,
но мне кажется, что сети должны быть абсолютно независимы, даже на уровне железа.
Производство - хим. пром.
Может есть какие-то руководящие документы по этим вопросам?


abbat81
освоился
освоился
Сообщения: 238
Зарегистрирован: 30 май 2009, 19:21
Ф.И.О.: Науменко Александр Сергеевич
Откуда: Шатура
Поблагодарили: 1 раз
Контактная информация:

Re: Сети АСУТП и АСУП

Сообщение abbat81 » 29 май 2010, 13:40

У нас, например, промышленная и бизнес сети не соединены напрямую, имеется сервер который соединен с двумя сетями для раздачи обновления антивирусных баз на рабочие станции, и сбора технологических параметров для их последующего анализа. Даже с точки зрения надежности бывали такие случаи как выход из строя таких устройств как медиаконвертор например , причем неисправность носила неустановившийся характер а устройство ничем не вносило подозрений о своей неработоспособности, несколько рабочих станций никак не связаных с данным устройством оказывались недоступными на несколько секунд, такие обрывы связи продолжались значительное время, диагностика такого рода неисправностей занимает много времени, а чем больше устройств связаных воедино, тем больше вероятность таких инцидентов.

Аватара пользователя

Barsik
освоился
освоился
Сообщения: 294
Зарегистрирован: 02 фев 2010, 22:28
Ф.И.О.: Корнеев Дмитрий
Благодарил (а): 2 раза
Поблагодарили: 3 раза
Контактная информация:

Re: Сети АСУТП и АСУП

Сообщение Barsik » 29 май 2010, 16:08

Незнаю как у химиков, а на пищевеке все зависит от конкретного исполнителя. Например, Тетрапак всегда был категорически против совмещения сетей, для связи с верхним уровнем всегда был отдельный сервер, который как правило предоставлялся Заказчиком. На небольших проектах имелись разные вольности, но сеть нижнего уровня всегда была изолирована. У других производителей все не так однозначно, но сеть нижнего уровня никогда не подключается к сети предприятия. Иногда даже в договоре были отдельные пункты на эту тему..
Запуск и модернизация оборудования без проекта и документации. Дорого.

Аватара пользователя

TEB
специалист по DEIF
специалист по DEIF
Сообщения: 7884
Зарегистрирован: 17 июн 2008, 15:01
Ф.И.О.: Евгений свет Брониславович
Благодарил (а): 35 раз
Поблагодарили: 63 раза
Контактная информация:

Re: Сети АСУТП и АСУП

Сообщение TEB » 29 май 2010, 21:21

На одном из объектов на ПНР был мой коллега. АРМ оператора со сКАДА по электростанции (OPC для RS-485 ModBUS+сервер+клиент) был подключен к обшей сети Ethernet месторождения. Собственно до приезда моего коллеги так и было: сети АСУТП и АСУП были объединены. Однако после небольшого по счёту - третьего или четвёртого - вмешательства главного сисадмина этой сетки (ну скукота ему на месторождении, всё норовил что-то подкрутить и улучшить RADMIN'ом, причём на лету) внешний Ethernet-кабель был из АРМа не выдернут, смотан и аккуратно уложен в уголок операторской (чтобы не мешал), после чего ПНР электростанции резко ускорилась. И с тех пор так и не втыкали по-моему. Т.е. ошибочное объединение сетей было исправлено на месте сервисным инженером в процессе ПНР.

Зависит конечно от места, но в общем случае - есть желание сети разделить физически, а то и территориально.
По вопросам работы Форума можно обратиться ко мне, или по этим контактам.

Аватара пользователя

VADR
администратор
администратор
Сообщения: 2405
Зарегистрирован: 25 июл 2008, 06:12
Ф.И.О.: Диев Александр Васильевич
Благодарил (а): 19 раз
Поблагодарили: 25 раз

Re: Сети АСУТП и АСУП

Сообщение VADR » 29 май 2010, 22:07

Как говорится, "это может быть чревато боком". В офисной сети - свои админы, свои требования к работе оборудования. Обычно пятиминутный провал в работе сети вряд никто даже не заметит. А в сетях промышленных это может привести к пятиминутной потере связи АРМ - контроллеры (либо между контроллерами) и аварии на технологии. На мой взгляд - сеть должна быть отдельной, а связь с офисной сетью - если очень надо, то либо через сервер с парой интерфейсов, либо через роутер/файрвол с очень подробно описанными правилами кому и куда можно подключаться (политика по умолчанию для всех - однозначно запретительная).
Повторное использование кода не отменяет повторного использования мозга при его повторном использовании.


Василий Иванович
авторитет
авторитет
Сообщения: 872
Зарегистрирован: 21 авг 2009, 13:25
Ф.И.О.: Василий Иванович
Благодарил (а): 1 раз
Поблагодарили: 3 раза

Re: Сети АСУТП и АСУП

Сообщение Василий Иванович » 29 май 2010, 22:22

У нас разделено. Это имеет смысл хотя бы в смысле надежности. В процессовой сети свичей меньше, чем если бы сеть была одна на всех. Соответственно и риск того, что какой-нибудь свич свихнется и положит трафик тоже меньше. Не говоря уже о том, что пропускная сеть каналов ограничена. А то бывает такая практика складывания киношек на сервере, ага.


T_Vlad
освоился
освоился
Сообщения: 247
Зарегистрирован: 05 мар 2010, 15:01
Ф.И.О.: Тихомиров Владимир Владимирович
Поблагодарили: 1 раз

Re: Сети АСУТП и АСУП

Сообщение T_Vlad » 30 май 2010, 11:03

У нас собственно все сети на обслуживании АСУП.
В структуре есть обще заводская сеть. В ней крутится всё, что можно отнести к управлению предприятием. В ней же и интернет и почта. Подсетей несколько.
Есть вилан АСУТП. В нём через интач (через ком сервера) собирается технологическая информация со всех установок завода на SQL сервер АСУТП и опять же через ком сервера выдаётся в обще заводскую сеть.
Чисто технологическая структура такова:- большие установки имеют внутри собственную физическую развязку. Контроллеры и АРМ по резервированному эзернету.
Есть два цеха имеющих структуру по всему заводу. Это оборотное водоснабжение, водоснабжение и канализация, тепловоздухоснабжение и межцеховые коммуникации. В основном вся управляющая сеть идёт витой парой на установке, но есть ряд небольших объектов, где приходится использовать вилан. Кроме того есть единая диспетчеризация, где все установки объеденены в единую управляющую сеть через отдельный вилан. Количество элементов в такой сети определяется организационной структурой цеха и аппаратными ограничениями применяемого КПТС. Например тошибовский TOSDIC имеет ограничении в 22 АРМ, при выделенных серверах и 8 АРМ при совмещённых серверах.
У меня на обслуживании 3 таких разбросанных системы. Заведены на рабочее место на инженерную станцию. Компьютеров и так полно, поэтому инженерная станция один компютер с хостом и 3мя. виртуальными машинами. Стоит 3COM свич. Приходит витая пара. Свич выделяет 7 виланов (3 системы с резервированными каналами и общезаводская сеть) и в компе поставлено 7 карт Ethernet. Все сети управляющие. Перепутывания информации не было. Отдельные объекты без постоянного обслуживающего персонала бывали без внешнего управления, но контроллеры справлялись.

Аватара пользователя

CHANt
эксперт
эксперт
Сообщения: 1243
Зарегистрирован: 25 июл 2008, 09:25
Ф.И.О.: Гринев Эдуард Владимирович
Откуда: Оренбург
Благодарил (а): 11 раз
Поблагодарили: 37 раз
Контактная информация:

Re: Сети АСУТП и АСУП

Сообщение CHANt » 30 май 2010, 21:33

У нас сетями занимается отдельная группа инф. безопасности, в составе службы телекоммуникационных сетей. Осуществляют управление, настройку и мониторингом СКС, + круглосуточно дежурный инженер Центрального узла связи, отслеживает состояние как систем связи, так и систем ИТ-инфраструктуры.
Вертикальная СКС - обеспечивается ядром, на базе нескольких стеков из семитонников Циско. Так как магистральные каналы связи, как собственные, так и арендованные, базируются на технологии TDM, то задача ядра сети, при выходе на кросс-коннекторы и далее на оптические мультиплескоры, разделить трафик конкретного VLAN на определенное кол-во тайм-слотов. Скажем, для организации межсерверного обмена между предприятиями по протоколу МЭК-870-5-104, вполне комфортно, осуществлять обмен по двум тайм-слотам (128 кбит/с). Одним Ethernet не ограничиваемся, в силу требований к построению каналов связи в нашей отрасли, в качестве резервных используем соединение по RS-232 (МЭК 870-5-101). Коммуникационные процессоры (MOXA, либо специфичные) соединяются с платами гибких (первичных) мультиплексоров, дальше по технологии TDM выделяется один тайм-слот (64 кбит/с) и далее к потребителю информации.
Тем не менее, есть направления где невозможно выделить под нужды технологического сегмента отдельные тайм-слота, тогда, средствами QOS организуется приоритезация трафика под технологические нужды в общем потоке данных.
Горизонтальную резервированную СКС организуем изолированно от сетей АСУП, расстояния у нас небольшие. Для АРМ потребителей технологического трафика используются отдельные компьютеры в изолированной ЛВС. Шлюзы организованы на маршрутизаторах, сервера работают с VLAN через отдельные сетевые карты. Стыковка между VLAN АСУП и АСДУ (это возможно только на маршрутизаторах ядра) не допускается.
--------------------------------------------------------------------------------------------
"Почти все начальники - дилетанты." © цитата из поста hell_boy )))


T_Vlad
освоился
освоился
Сообщения: 247
Зарегистрирован: 05 мар 2010, 15:01
Ф.И.О.: Тихомиров Владимир Владимирович
Поблагодарили: 1 раз

Re: Сети АСУТП и АСУП

Сообщение T_Vlad » 31 май 2010, 09:29

Дмитрий Милосердов писал(а):Хорошая практика: все, что бегает по сетке с качестве управляющих воздействий- строго выделено в отдельные сети. Все, что информационное - по общей оптике, но разделено виланами с конфигурацией - определенная толщина на инфоканал для данных АСУ ТП.

Ну я про то и написал. Управляющая сеть - отдельный вилан конкретной диспетчеризованной системы (может быть несколько отдельных виланов и систем на цех, в зависимости от задач и аппаратных ограничений). Внутри уже программное распределение прав доступа. Единая информационная сеть - отдельный вилан АСУТП. Управляющая сеть предприятия тоже отдельная. Связь между сетями только аппаратная через буферные сервера и программно аппаратные фаерволы.
У меня есть небольшая структурная схема одной такой системы. Чисто управляющий кусок, но не знаю как здесь прицепить.

Аватара пользователя

Marrenoloth
частый гость
частый гость
Сообщения: 486
Зарегистрирован: 05 окт 2009, 10:51
Ф.И.О.: Тихомиров Дмитрий Викторович
Откуда: Москва
Благодарил (а): 13 раз
Поблагодарили: 16 раз
Контактная информация:

Re: Сети АСУТП и АСУП

Сообщение Marrenoloth » 31 май 2010, 10:57

Согласен, что надо разделять! То, что реализуется как получится - тоже согласен - везде так и зависит, в основном, от заказчика. НО! Начинаем жиреть, толстеть и лентяйничать: Нужна же еще и удаленка! Пару раз очень выручала - вместо потерянных двух дней час работы через нее. Соответственно, получается, как правило,следующая система: подключаемся к компу в АСУП, который имеет разрешения на влезание в сеть АСУТП и с него - на инженерную станцию. Этакая RDP-матрешка. Соответственно, надо разрешения ставить и полностью изолировать сети нельзя. Иногда, когда разрешают доступ в интернет с машин АСУТП (да, идиотизм) то ставим LogMeIn - работает через 80 порт и в отчетах выглюдит так, будто кто-то в интернете сидит. Но делаем только если завод удаленку не дает - эдакий бекдор для экстренной помощи операторам.


T_Vlad
освоился
освоился
Сообщения: 247
Зарегистрирован: 05 мар 2010, 15:01
Ф.И.О.: Тихомиров Владимир Владимирович
Поблагодарили: 1 раз

Re: Сети АСУТП и АСУП

Сообщение T_Vlad » 31 май 2010, 13:00

Рекламировали нам тошибовцы какой то якобы круто защищённый паролями удалённый доступ. С моего работчего компа показывали управление заводом в Шотландии. Утверждали что защита крутейшая, но мне что то слабо верится.
В среду приезжают. До обеда ответят на проблемные вопросы (фиг ли за 3 часа спросишь), а после обеда конференция. Видимо будут опять впаривать новую серию контроллеров и новый программный пакет.

У нас айтишники с домашних компьютеров перезапускают свои ком сервера. Но в технологическую управляющую сеть им доступа нет. Только компы стоящие на связи с технологической сетью.

Аватара пользователя

Marrenoloth
частый гость
частый гость
Сообщения: 486
Зарегистрирован: 05 окт 2009, 10:51
Ф.И.О.: Тихомиров Дмитрий Викторович
Откуда: Москва
Благодарил (а): 13 раз
Поблагодарили: 16 раз
Контактная информация:

Re: Сети АСУТП и АСУП

Сообщение Marrenoloth » 31 май 2010, 16:27

Вот-вот! А ведь, по-идее, они наши кореша должны быть и помогать нам. А мы - им. Но как всегда работают принципы "моя хата с краю", "руки снова чешутся от безделия" и эпический "я сам все знаю!".


T_Vlad
освоился
освоился
Сообщения: 247
Зарегистрирован: 05 мар 2010, 15:01
Ф.И.О.: Тихомиров Владимир Владимирович
Поблагодарили: 1 раз

Re: Сети АСУТП и АСУП

Сообщение T_Vlad » 31 май 2010, 16:32

Marrenoloth писал(а):Вот-вот! А ведь, по-идее, они наши кореша должны быть и помогать нам. А мы - им.

В смысле кто кому?
У нас все сети АСУПовские и все вопросы по работе сетей и претензии к ним. Моё только внутри объекта до ШКС (ШТК). Раньше мы вообще были одним отделом.
А информационная сеть АСУТП это вообще наш сектор IT.


Вернуться в «Общие вопросы»



Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 0 гостей