1. Обязательно представиться на русском языке кириллицей (заполнить поле "Имя").
  2. Фиктивные имена мы не приветствуем. Ивановых и Пупкиных здесь уже достаточно.
  3. Не писать свой вопрос в первую попавшуюся тему - вместо этого создать новую тему.
  4. За поиск, предложение и обсуждение пиратского ПО и средств взлома - бан без предупреждения.
  5. Рекламу и частные объявления "куплю/продам/есть халтура" мы не размещаем ни на каких условиях.
  6. Перед тем как что-то написать - читать здесь и здесь, а студентам - обязательно здесь.
  7. Не надо писать в ЛС администраторам свои технические вопросы. Администраторы форума отлично знают как работает форум, а не все-все контроллеры, о которых тут пишут.

Сети АСУТП и АСУП

Обсуждение вопросов, не относящихся ни к одному из других подразделов

Модератор: kirillio

Ответить

Автор темы
c400d

Сети АСУТП и АСУП

Сообщение c400d »

Сети АСУТП и АСУП могут "ходить" по одним и тем же проводам или все же
лучше иметь раздельные провода? Как вариант: виланами разделить сети,
но мне кажется, что сети должны быть абсолютно независимы, даже на уровне железа.
Производство - хим. пром.
Может есть какие-то руководящие документы по этим вопросам?

abbat81
освоился
освоился
Сообщения: 238
Зарегистрирован: 30 май 2009, 20:21
Имя: Науменко Александр Сергеевич
Страна: Россия
город/регион: Шатура
Поблагодарили: 1 раз

Re: Сети АСУТП и АСУП

Сообщение abbat81 »

У нас, например, промышленная и бизнес сети не соединены напрямую, имеется сервер который соединен с двумя сетями для раздачи обновления антивирусных баз на рабочие станции, и сбора технологических параметров для их последующего анализа. Даже с точки зрения надежности бывали такие случаи как выход из строя таких устройств как медиаконвертор например , причем неисправность носила неустановившийся характер а устройство ничем не вносило подозрений о своей неработоспособности, несколько рабочих станций никак не связаных с данным устройством оказывались недоступными на несколько секунд, такие обрывы связи продолжались значительное время, диагностика такого рода неисправностей занимает много времени, а чем больше устройств связаных воедино, тем больше вероятность таких инцидентов.
Аватара пользователя

Barsik
не первый раз у нас
не первый раз у нас
Сообщения: 353
Зарегистрирован: 02 фев 2010, 22:28
Имя: Корнеев Дмитрий
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 1 раз
Поблагодарили: 7 раз

Re: Сети АСУТП и АСУП

Сообщение Barsik »

Незнаю как у химиков, а на пищевеке все зависит от конкретного исполнителя. Например, Тетрапак всегда был категорически против совмещения сетей, для связи с верхним уровнем всегда был отдельный сервер, который как правило предоставлялся Заказчиком. На небольших проектах имелись разные вольности, но сеть нижнего уровня всегда была изолирована. У других производителей все не так однозначно, но сеть нижнего уровня никогда не подключается к сети предприятия. Иногда даже в договоре были отдельные пункты на эту тему..
Запуск и модернизация оборудования без проекта и документации. Дорого.
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 17466
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 744 раза
Поблагодарили: 1277 раз

Re: Сети АСУТП и АСУП

Сообщение Jackson »

На одном из объектов на ПНР был мой коллега. АРМ оператора со сКАДА по электростанции (OPC для RS-485 ModBUS+сервер+клиент) был подключен к обшей сети Ethernet месторождения. Собственно до приезда моего коллеги так и было: сети АСУТП и АСУП были объединены. Однако после небольшого по счёту - третьего или четвёртого - вмешательства главного сисадмина этой сетки (ну скукота ему на месторождении, всё норовил что-то подкрутить и улучшить RADMIN'ом, причём на лету) внешний Ethernet-кабель был из АРМа не выдернут, смотан и аккуратно уложен в уголок операторской (чтобы не мешал), после чего ПНР электростанции резко ускорилась. И с тех пор так и не втыкали по-моему. Т.е. ошибочное объединение сетей было исправлено на месте сервисным инженером в процессе ПНР.

Зависит конечно от места, но в общем случае - есть желание сети разделить физически, а то и территориально.
По вопросам работы Форума можно обратиться по этим контактам.
Аватара пользователя

VADR
администратор
администратор
Сообщения: 4711
Зарегистрирован: 25 июл 2008, 07:12
Имя: Диев Александр Васильевич
Страна: Россия
город/регион: г. Сегежа, Карелия
Благодарил (а): 192 раза
Поблагодарили: 336 раз

Re: Сети АСУТП и АСУП

Сообщение VADR »

Как говорится, "это может быть чревато боком". В офисной сети - свои админы, свои требования к работе оборудования. Обычно пятиминутный провал в работе сети вряд никто даже не заметит. А в сетях промышленных это может привести к пятиминутной потере связи АРМ - контроллеры (либо между контроллерами) и аварии на технологии. На мой взгляд - сеть должна быть отдельной, а связь с офисной сетью - если очень надо, то либо через сервер с парой интерфейсов, либо через роутер/файрвол с очень подробно описанными правилами кому и куда можно подключаться (политика по умолчанию для всех - однозначно запретительная).
Повторное использование кода не отменяет повторного использования мозга при его повторном использовании.

Василий Иванович
авторитет
авторитет
Сообщения: 878
Зарегистрирован: 21 авг 2009, 14:25
Имя: Василий Иванович
Благодарил (а): 1 раз
Поблагодарили: 3 раза

Re: Сети АСУТП и АСУП

Сообщение Василий Иванович »

У нас разделено. Это имеет смысл хотя бы в смысле надежности. В процессовой сети свичей меньше, чем если бы сеть была одна на всех. Соответственно и риск того, что какой-нибудь свич свихнется и положит трафик тоже меньше. Не говоря уже о том, что пропускная сеть каналов ограничена. А то бывает такая практика складывания киношек на сервере, ага.

T_Vlad
освоился
освоился
Сообщения: 247
Зарегистрирован: 05 мар 2010, 15:01
Имя: Тихомиров Владимир Владимирович
Страна: Россия
город/регион: Кириши Ленинградской
Поблагодарили: 1 раз

Re: Сети АСУТП и АСУП

Сообщение T_Vlad »

У нас собственно все сети на обслуживании АСУП.
В структуре есть обще заводская сеть. В ней крутится всё, что можно отнести к управлению предприятием. В ней же и интернет и почта. Подсетей несколько.
Есть вилан АСУТП. В нём через интач (через ком сервера) собирается технологическая информация со всех установок завода на SQL сервер АСУТП и опять же через ком сервера выдаётся в обще заводскую сеть.
Чисто технологическая структура такова:- большие установки имеют внутри собственную физическую развязку. Контроллеры и АРМ по резервированному эзернету.
Есть два цеха имеющих структуру по всему заводу. Это оборотное водоснабжение, водоснабжение и канализация, тепловоздухоснабжение и межцеховые коммуникации. В основном вся управляющая сеть идёт витой парой на установке, но есть ряд небольших объектов, где приходится использовать вилан. Кроме того есть единая диспетчеризация, где все установки объеденены в единую управляющую сеть через отдельный вилан. Количество элементов в такой сети определяется организационной структурой цеха и аппаратными ограничениями применяемого КПТС. Например тошибовский TOSDIC имеет ограничении в 22 АРМ, при выделенных серверах и 8 АРМ при совмещённых серверах.
У меня на обслуживании 3 таких разбросанных системы. Заведены на рабочее место на инженерную станцию. Компьютеров и так полно, поэтому инженерная станция один компютер с хостом и 3мя. виртуальными машинами. Стоит 3COM свич. Приходит витая пара. Свич выделяет 7 виланов (3 системы с резервированными каналами и общезаводская сеть) и в компе поставлено 7 карт Ethernet. Все сети управляющие. Перепутывания информации не было. Отдельные объекты без постоянного обслуживающего персонала бывали без внешнего управления, но контроллеры справлялись.
Аватара пользователя

CHANt
эксперт
эксперт
Сообщения: 1465
Зарегистрирован: 25 июл 2008, 10:25
Имя: Эдуард Владимирович
Страна: СССР
город/регион: Оренбург
Благодарил (а): 43 раза
Поблагодарили: 93 раза

Re: Сети АСУТП и АСУП

Сообщение CHANt »

У нас сетями занимается отдельная группа инф. безопасности, в составе службы телекоммуникационных сетей. Осуществляют управление, настройку и мониторингом СКС, + круглосуточно дежурный инженер Центрального узла связи, отслеживает состояние как систем связи, так и систем ИТ-инфраструктуры.
Вертикальная СКС - обеспечивается ядром, на базе нескольких стеков из семитонников Циско. Так как магистральные каналы связи, как собственные, так и арендованные, базируются на технологии TDM, то задача ядра сети, при выходе на кросс-коннекторы и далее на оптические мультиплескоры, разделить трафик конкретного VLAN на определенное кол-во тайм-слотов. Скажем, для организации межсерверного обмена между предприятиями по протоколу МЭК-870-5-104, вполне комфортно, осуществлять обмен по двум тайм-слотам (128 кбит/с). Одним Ethernet не ограничиваемся, в силу требований к построению каналов связи в нашей отрасли, в качестве резервных используем соединение по RS-232 (МЭК 870-5-101). Коммуникационные процессоры (MOXA, либо специфичные) соединяются с платами гибких (первичных) мультиплексоров, дальше по технологии TDM выделяется один тайм-слот (64 кбит/с) и далее к потребителю информации.
Тем не менее, есть направления где невозможно выделить под нужды технологического сегмента отдельные тайм-слота, тогда, средствами QOS организуется приоритезация трафика под технологические нужды в общем потоке данных.
Горизонтальную резервированную СКС организуем изолированно от сетей АСУП, расстояния у нас небольшие. Для АРМ потребителей технологического трафика используются отдельные компьютеры в изолированной ЛВС. Шлюзы организованы на маршрутизаторах, сервера работают с VLAN через отдельные сетевые карты. Стыковка между VLAN АСУП и АСДУ (это возможно только на маршрутизаторах ядра) не допускается.
--------------------------------------------------------------------------------------------

T_Vlad
освоился
освоился
Сообщения: 247
Зарегистрирован: 05 мар 2010, 15:01
Имя: Тихомиров Владимир Владимирович
Страна: Россия
город/регион: Кириши Ленинградской
Поблагодарили: 1 раз

Re: Сети АСУТП и АСУП

Сообщение T_Vlad »

Дмитрий Милосердов писал(а):Хорошая практика: все, что бегает по сетке с качестве управляющих воздействий- строго выделено в отдельные сети. Все, что информационное - по общей оптике, но разделено виланами с конфигурацией - определенная толщина на инфоканал для данных АСУ ТП.
Ну я про то и написал. Управляющая сеть - отдельный вилан конкретной диспетчеризованной системы (может быть несколько отдельных виланов и систем на цех, в зависимости от задач и аппаратных ограничений). Внутри уже программное распределение прав доступа. Единая информационная сеть - отдельный вилан АСУТП. Управляющая сеть предприятия тоже отдельная. Связь между сетями только аппаратная через буферные сервера и программно аппаратные фаерволы.
У меня есть небольшая структурная схема одной такой системы. Чисто управляющий кусок, но не знаю как здесь прицепить.
Аватара пользователя

Marrenoloth
завсегдатай
завсегдатай
Сообщения: 524
Зарегистрирован: 05 окт 2009, 11:51
Имя: Тихомиров Дмитрий Викторович
Страна: Россия
город/регион: Москва
Благодарил (а): 16 раз
Поблагодарили: 18 раз

Re: Сети АСУТП и АСУП

Сообщение Marrenoloth »

Согласен, что надо разделять! То, что реализуется как получится - тоже согласен - везде так и зависит, в основном, от заказчика. НО! Начинаем жиреть, толстеть и лентяйничать: Нужна же еще и удаленка! Пару раз очень выручала - вместо потерянных двух дней час работы через нее. Соответственно, получается, как правило,следующая система: подключаемся к компу в АСУП, который имеет разрешения на влезание в сеть АСУТП и с него - на инженерную станцию. Этакая RDP-матрешка. Соответственно, надо разрешения ставить и полностью изолировать сети нельзя. Иногда, когда разрешают доступ в интернет с машин АСУТП (да, идиотизм) то ставим LogMeIn - работает через 80 порт и в отчетах выглюдит так, будто кто-то в интернете сидит. Но делаем только если завод удаленку не дает - эдакий бекдор для экстренной помощи операторам.

T_Vlad
освоился
освоился
Сообщения: 247
Зарегистрирован: 05 мар 2010, 15:01
Имя: Тихомиров Владимир Владимирович
Страна: Россия
город/регион: Кириши Ленинградской
Поблагодарили: 1 раз

Re: Сети АСУТП и АСУП

Сообщение T_Vlad »

Рекламировали нам тошибовцы какой то якобы круто защищённый паролями удалённый доступ. С моего работчего компа показывали управление заводом в Шотландии. Утверждали что защита крутейшая, но мне что то слабо верится.
В среду приезжают. До обеда ответят на проблемные вопросы (фиг ли за 3 часа спросишь), а после обеда конференция. Видимо будут опять впаривать новую серию контроллеров и новый программный пакет.

У нас айтишники с домашних компьютеров перезапускают свои ком сервера. Но в технологическую управляющую сеть им доступа нет. Только компы стоящие на связи с технологической сетью.
Аватара пользователя

Marrenoloth
завсегдатай
завсегдатай
Сообщения: 524
Зарегистрирован: 05 окт 2009, 11:51
Имя: Тихомиров Дмитрий Викторович
Страна: Россия
город/регион: Москва
Благодарил (а): 16 раз
Поблагодарили: 18 раз

Re: Сети АСУТП и АСУП

Сообщение Marrenoloth »

Вот-вот! А ведь, по-идее, они наши кореша должны быть и помогать нам. А мы - им. Но как всегда работают принципы "моя хата с краю", "руки снова чешутся от безделия" и эпический "я сам все знаю!".

T_Vlad
освоился
освоился
Сообщения: 247
Зарегистрирован: 05 мар 2010, 15:01
Имя: Тихомиров Владимир Владимирович
Страна: Россия
город/регион: Кириши Ленинградской
Поблагодарили: 1 раз

Re: Сети АСУТП и АСУП

Сообщение T_Vlad »

Marrenoloth писал(а):Вот-вот! А ведь, по-идее, они наши кореша должны быть и помогать нам. А мы - им.
В смысле кто кому?
У нас все сети АСУПовские и все вопросы по работе сетей и претензии к ним. Моё только внутри объекта до ШКС (ШТК). Раньше мы вообще были одним отделом.
А информационная сеть АСУТП это вообще наш сектор IT.
Ответить

Вернуться в «Общие вопросы»