1. Обязательно представиться на русском языке кириллицей (заполнить поле "Имя").
  2. Фиктивные имена мы не приветствуем. Ивановых и Пупкиных здесь уже достаточно.
  3. Не писать свой вопрос в первую попавшуюся тему - вместо этого создать новую тему.
  4. За поиск, предложение и обсуждение пиратского ПО и средств взлома - бан без предупреждения.
  5. Рекламу и частные объявления "куплю/продам/есть халтура" мы не размещаем ни на каких условиях.
  6. Перед тем как что-то написать - читать здесь и здесь, а студентам - обязательно здесь.
  7. Не надо писать в ЛС администраторам свои технические вопросы. Администраторы форума отлично знают как работает форум, а не все-все контроллеры, о которых тут пишут.

Холивар про ОС (было "OPC tunneller")

SCADA, серверы, АРМ верхнего уровня, диспетчерские
Закрыто

Автор темы
Alex question
осмотрелся
осмотрелся
Сообщения: 144
Зарегистрирован: 20 янв 2015, 10:13
Имя: Алексей
Страна: Россия
Поблагодарили: 10 раз

Холивар про ОС (было "OPC tunneller")

Сообщение Alex question »

Siluet писал(а): Попробуйте на клиенте и на сервере создать локального пользователя с одним и тем же именем, паролем, и в группе: администраторы и пользователи DCOM. И от этого пользователя запустить OPC сервер и клиента.
да. про это забыл сказать (думал что очевидно).

Пользователь на клиенте и на сервере должен быть с одним и тем же именем и с одним и тем же паролем. и клиент и сервер должны запускаться от имени этих пользователей. никаких системных учетных записей и т.п.
Аватара пользователя

VADR
администратор
администратор
Сообщения: 4712
Зарегистрирован: 25 июл 2008, 07:12
Имя: Диев Александр Васильевич
Страна: Россия
город/регион: г. Сегежа, Карелия
Благодарил (а): 192 раза
Поблагодарили: 336 раз

OPC tunneller

Сообщение VADR »

Alex question писал(а): Пользователь на клиенте и на сервере должен быть с одним и тем же именем и с одним и тем же паролем.
Далеко не всегда это возможно сделать. Немного это упрощается в доменной структуре, но тянуть домены в АСУТП - нафиг-нафиг.
Повторное использование кода не отменяет повторного использования мозга при его повторном использовании.

Автор темы
Alex question
осмотрелся
осмотрелся
Сообщения: 144
Зарегистрирован: 20 янв 2015, 10:13
Имя: Алексей
Страна: Россия
Поблагодарили: 10 раз

OPC tunneller

Сообщение Alex question »

VADR писал(а): но тянуть домены в АСУТП - нафиг-нафиг.
Почему?
Наоборот это самое простое и удобное решение для целой кучи проблем.
Аватара пользователя

VADR
администратор
администратор
Сообщения: 4712
Зарегистрирован: 25 июл 2008, 07:12
Имя: Диев Александр Васильевич
Страна: Россия
город/регион: г. Сегежа, Карелия
Благодарил (а): 192 раза
Поблагодарили: 336 раз

OPC tunneller

Сообщение VADR »

Alex question писал(а):
VADR писал(а): но тянуть домены в АСУТП - нафиг-нафиг.
Почему?
Наоборот это самое простое и удобное решение для целой кучи проблем.
Решение маленькой кучки и создание большой :). По мне так лучше в АСУТП вообще от продукции MS уходить постепенно...
Повторное использование кода не отменяет повторного использования мозга при его повторном использовании.

Автор темы
Alex question
осмотрелся
осмотрелся
Сообщения: 144
Зарегистрирован: 20 янв 2015, 10:13
Имя: Алексей
Страна: Россия
Поблагодарили: 10 раз

OPC tunneller

Сообщение Alex question »

VADR писал(а): Решение маленькой кучки и создание большой :). По мне так лучше в АСУТП вообще от продукции MS уходить постепенно...
Какие проблемы может создавать домен в асу тп? Единственная проблема, с которой мы сталкивались на данный момент это отсутствие грамотного администрирования на местах. Но думаю проблема с администрированием будет при любой структуре.

По поводу продукции микрософта. Многие ведущие компании используют их операционку. Работает надежно. На крайний случай применяется резервирование. Зато удобство использования несравненная.
Аватара пользователя

VADR
администратор
администратор
Сообщения: 4712
Зарегистрирован: 25 июл 2008, 07:12
Имя: Диев Александр Васильевич
Страна: Россия
город/регион: г. Сегежа, Карелия
Благодарил (а): 192 раза
Поблагодарили: 336 раз

OPC tunneller

Сообщение VADR »

Alex question писал(а): Какие проблемы может создавать домен в асу тп? Единственная проблема, с которой мы сталкивались на данный момент это отсутствие грамотного администрирования на местах. Но думаю проблема с администрированием будет при любой структуре.
1. Необходимость иметь в системе выделенные сервера в качестве контроллеров домена (минимум - 2). Можно, конечно, применить виртуализацию и запустить контроллеры домена в виртуалках на разных физических машинах, но это решение опять таки не лишённое недостатков.
2. Необходимость дополнительных операций в виде аутентификации и авторизации пользователя и т.п. Это всё - время. В АСУТП станции должны быть "лишённые лишнего и не лишённые не лишнего".
3. Проблемы с отладкой. Когда процедура администрирования умещается в формулу "Next -> Next -> Next" - всё вроде как работает. Как только возникают проблемы - проще переустановить всё "с нуля", ибо в логах информация "столь же правдивая, сколь и бесполезная".
Alex question писал(а): По поводу продукции микрософта. Многие ведущие компании используют их операционку. Работает надежно. На крайний случай применяется резервирование. Зато удобство использования несравненная.
1. Уже не раз сталкивался с ситуацией: выходит версия прикладного ПО под новую версию ОС, под старую разработка прекращается. Старая ОС снимается с поддержки. Производители компьютеров перестают разрабатывать драйвера для нового железа под старую ОС. Старый прикладной софт оказывается не совместим с новой ОС. Итог - приходится вкладывать очень приличные деньги за новые версии прикладного софта, несмотря на то, что новый функционал не особо и нужен (всё необходимое уже было).
2. Восстановление из резервной копии нормально работает на компьютерах с идентичной конфигурацией. Небольшое изменение - и уже как повезёт: получится драйвера подтянуть или нет. Есть, конечно, отдельные продукты сторонних фирм, умеющие при восстановлении подставлять драйвера, но помогают тоже далеко не всегда.
3. "удобство использования несравненное" только при отсутствии сравнения :)
Повторное использование кода не отменяет повторного использования мозга при его повторном использовании.

Автор темы
Alex question
осмотрелся
осмотрелся
Сообщения: 144
Зарегистрирован: 20 янв 2015, 10:13
Имя: Алексей
Страна: Россия
Поблагодарили: 10 раз

OPC tunneller

Сообщение Alex question »

VADR писал(а): 1. Необходимость иметь в системе выделенные сервера в качестве контроллеров домена (минимум - 2). Можно, конечно, применить виртуализацию и запустить контроллеры домена в виртуалках на разных физических машинах, но это решение опять таки не лишённое недостатков.
2. Необходимость дополнительных операций в виде аутентификации и авторизации пользователя и т.п. Это всё - время. В АСУТП станции должны быть "лишённые лишнего и не лишённые не лишнего".
3. Проблемы с отладкой. Когда процедура администрирования умещается в формулу "Next Next Next" - всё вроде как работает. Как только возникают проблемы - проще переустановить всё "с нуля", ибо в логах информация "столь же правдивая, сколь и бесполезная".
1. Это как раз таки плюс. А где хранить важные данные вроде проекта, документации, специального ПО, архива и т.д. кроме как на серверах с аппаратным рейдом, дублированным питанием и прочими плюшками для высокой надежности. А то что их два позволяет вообще практически ничего не бояться.
2. Это тоже плюс, т.к. разграничение прав доступа разным пользователям и защита этих прав паролями или какими нибудь другими средствами аутентификации это альфа и омега любой системы.
3. Это как раз и есть проблема с администрированием на месте.
VADR писал(а):
1. Уже не раз сталкивался с ситуацией: выходит версия прикладного ПО под новую версию ОС, под старую разработка прекращается. Старая ОС снимается с поддержки. Производители компьютеров перестают разрабатывать драйвера для нового железа под старую ОС. Старый прикладной софт оказывается не совместим с новой ОС. Итог - приходится вкладывать очень приличные деньги за новые версии прикладного софта, несмотря на то, что новый функционал не особо и нужен (всё необходимое уже было).
2. Восстановление из резервной копии нормально работает на компьютерах с идентичной конфигурацией. Небольшое изменение - и уже как повезёт: получится драйвера подтянуть или нет. Есть, конечно, отдельные продукты сторонних фирм, умеющие при восстановлении подставлять драйвера, но помогают тоже далеко не всегда.
3. "удобство использования несравненное" только при отсутствии сравнения :)
1. Зато на этом можно и выиграть. Мы например продаем новые поколения ПТК т.к. старые, работающие на виндовс ХР уже не поддерживаются ввиду прекращения поддержки этой самой виндовс. А так бы поставили ПТК в каком нить 95 году и тяни его лет 20-30. А там проблемы растут как снежный ком, начиная с того что уже половина элементной базы не выпускается и заканчивая тем, что люди уже забыли что там и как за 20 лет и приходится восстанавливать снания чуть ли не с нуля.
2. Для этого нужны штатные машинки в промышленном исполнении. Ставится эталонная машина. Снее снимается образ. Если что - берется точно такая же и просто вставляется старый жесткий диск/ накатывается образ и за 15 мину полностью все готово к работе.

PS. по моему это у нас просто лютый оффтоп.
Аватара пользователя

VADR
администратор
администратор
Сообщения: 4712
Зарегистрирован: 25 июл 2008, 07:12
Имя: Диев Александр Васильевич
Страна: Россия
город/регион: г. Сегежа, Карелия
Благодарил (а): 192 раза
Поблагодарили: 336 раз

OPC tunneller

Сообщение VADR »

Alex question писал(а): 1. Это как раз таки плюс. А где хранить важные данные вроде проекта, документации, специального ПО, архива и т.д. кроме как на серверах с аппаратным рейдом, дублированным питанием и прочими плюшками для высокой надежности. А то что их два позволяет вообще практически ничего не бояться.
Да ничего подобного. Для хранения есть, как ни странно, системы хранения :). С дублированным питанием, дублированным аппаратным рейдом с доступом по сети и прочими плюшками. И те же IT-шники активно их используют, несмотря на то, что у них есть пары контроллеров доменов и ещё кучи серверов.
Alex question писал(а): 2. Это тоже плюс, т.к. разграничение прав доступа разным пользователям и защита этих прав паролями или какими нибудь другими средствами аутентификации это альфа и омега любой системы.
Опять же - ничего подобного. В АСУТП оператор не должен заморачиваться такими вещами, как права доступа. У него есть технологический объект, которым надо управлять, и всё остальное подчинено этому. Если с утра владелец предприятия спросит, почему произошёл простой стоимостью в десяток мегаевров, любые объяснения будут впустую. В реальной жизни операторские станции должны быть полностью подчинены основной задаче, и всё что может этому помешать - лишнее. Оператор не должен вводить паролей (и, соответственно, помнить их), станции должны включаться в автомате и предоставлять оператору весь нужный для работы функционал. И не давать делать ничего лишнего. Всё это прекрасно делается без доменов.
Alex question писал(а): 3. Это как раз и есть проблема с администрированием на месте.
В смысле? Низкая квалификация местного персонала? Да ни в коем разе. Это практически никакая информативность логов в системе и практически полное отсутствие в той же системе документации. То, что есть - обычно ничего не даёт.
Alex question писал(а): 1. Зато на этом можно и выиграть. Мы например продаем новые поколения ПТК т.к. старые, работающие на виндовс ХР уже не поддерживаются ввиду прекращения поддержки этой самой виндовс. А так бы поставили ПТК в каком нить 95 году и тяни его лет 20-30. А там проблемы растут как снежный ком, начиная с того что уже половина элементной базы не выпускается и заканчивая тем, что люди уже забыли что там и как за 20 лет и приходится восстанавливать снания чуть ли не с нуля.
Можно выиграть - кому? Продавцам систем? Вот выпустила фирма MS ОС winXP, которая имела не так много нового функционала, нужного для работы оператора, по сравнению с win2000. Висту пропускаем как совершенно не годную для таких целей ОС. Потом "семёрка" - и опять из новшеств практически нет нужных в наших задачах. "Восьмёрка" - туда же, где "Виста", "десятка"... фиг его знает, не оценил ещё. С выпуском каждой версии постепенно старые снимаются с поддержки (ну я выше уже описывал...), в итоге конечный пользователь вынужден платить деньги и не получать за них чего-либо нового. Так это, вообще говоря, называется жлобством.
Alex question писал(а): 2. Для этого нужны штатные машинки в промышленном исполнении. Ставится эталонная машина. Снее снимается образ. Если что - берется точно такая же и просто вставляется старый жесткий диск/ накатывается образ и за 15 мину полностью все готово к работе.
Очень хорошо. Как там в теории надёжности? Первый период - "приработка", в это время вылезают дефекты изготовления и прочая подобная хрень. Техника может ломаться, быстренько за 15 минут перенакатываем и меняем железяку по гарантии. Потом количество выходов из строя снижается, а затем - снова увеличивается ("износ"). Как раз примерно тогда, когда эта техника оказывается снятой с производства и продавцы разводят руками... Конечный пользователь снова попадает на деньги. Ну почему я без проблем могу перенести почти любой линукс на другой компьютер, лишь бы архитектура процессора совпадала (или хотя бы была совместима) и хватало памяти. Все возможные косяки решаются максимум за 5 минут с использованием встроенной документации. В принципе, на моей домашней машине федорка 3 компьютера пережила :). Переустановил только потому, что на новой машине архитектура x64.

Alex question писал(а): PS. по моему это у нас просто лютый оффтоп.
А это я сейчас исправлю :)

Отправлено спустя 5 минут 36 секунд:
Холивар про ОС (было "OPC tunneller")
... исправил - перенёс в новую тему в другой раздел.
Повторное использование кода не отменяет повторного использования мозга при его повторном использовании.
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 17481
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 749 раз
Поблагодарили: 1281 раз

Холивар про ОС (было "OPC tunneller")

Сообщение Jackson »

Alex question писал(а): Единственная проблема, с которой мы сталкивались на данный момент это отсутствие грамотного администрирования на местах.
Это чуть ли не главная проблема, потому что АСУшники и КИПовцы не есть администраторы. Организуя такую сеть Вы вешаете на заказчика ещё одну штатную единицу - админа - или подкладываете ему бомбу замедленного действия.
Не надо тащить офисные технологии на производство, это дурной тон.
По вопросам работы Форума можно обратиться по этим контактам.

Dotarev
знаток Eplan
знаток Eplan
Сообщения: 260
Зарегистрирован: 12 июн 2014, 06:17
Имя: Мишкин Иван
Страна: Россия
город/регион: Самара
Благодарил (а): 15 раз
Поблагодарили: 70 раз

Холивар про ОС (было "OPC tunneller")

Сообщение Dotarev »

VADR писал(а): В АСУТП станции должны быть "лишённые лишнего и не лишённые не лишнего".
А Вы не задумывались, сколько всего "лишнего" можно сделать с рабочей станции, которая включена в одну сеть с технологическими контроллерами АСУ ТП, и на которой не настроены системные политики? Именно правильная организация домена позволяет привязать права к компьютеру (да-да, не оператору, а к железке), и сделать это не для одного -двух, сразу всех компьютеров сети (а таких может быть до сотни). И действительно, нечего оператору вводить пароль для входа в операционную систему. Существует идентификация компьютера в сети на основе сертификатов безопасности, автоматический вход рабочей станции в сеть под заранее определенным логином и т.д. На производстве для ограничения уровня доступа с АРМ оператора к управлению ТП должен быть (на мой взгляд) другой метод - ограничение физического доступа к рабочему месту. И разграничение прав на уровне HMI системы диспетчеризации (или SCADA системы, хоть это и не правильное название). Именно потому, что "Необходимость дополнительных операций в виде аутентификации и авторизации пользователя и т.п. Это всё - время", и вопросы о необходимости авторизации должны быть делегированы разработчику интерфейса оператора, а не администратору домена.
И заметьте, эти вопросы касаются любой операционной системы, не только от MS.
Разумеется, рабочие места операторов в правильно организованной сети не должны иметь доступ к контроллерам. Везде так сделано? И на всех рабочих местах ограничен доступ к съемным устройствам? Кстати, по-любому, необходимо задумываться о защите сервера - он всегда включен в обе подсети. Такого рода вопросы гораздо лучше понимает системный администратор (хотя бы в теории). Так что системный администратор в локалке АСУ ТП - необходим! А бомбой замедленного действия является ЛВС, которая не настроена с точки зрения сетевой безопасности и разграничения прав доступа.
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 17481
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 749 раз
Поблагодарили: 1281 раз

Холивар про ОС (было "OPC tunneller")

Сообщение Jackson »

Dotarev писал(а): А Вы не задумывались, сколько всего "лишнего" можно сделать с рабочей станции, которая включена в одну сеть с технологическими контроллерами АСУ ТП
Не больше чем разрешат. А ослушаются так пускай за ворота отправляются и ущерб возмещают.
Dotarev писал(а): И действительно, нечего оператору вводить пароль для входа в операционную систему.
Ну вот, сами решили - сами и разгребаете.
Dotarev писал(а): Разумеется, рабочие места операторов в правильно организованной сети не должны иметь доступ к контроллерам. Везде так сделано?
Так это прямой косяк поставщика системы. И не надо собственные косяки прикрывать за счёт заказчика, объясняя ему как всё сложно. А то можно до кучи ещё и сетевые экраны притащить сюда.

1. Сложных систем не бывает - бывают тёмные специалисты.
2. Дисциплина мышления ведёт к экономии материальных ценностей (аппаратных средств, программных решений, высокооплачиваемого персонала).

Это чисто по-русски: создать проблему и героически её преодолеть, медальку получить. Называется одним словом - мастурбация.
По вопросам работы Форума можно обратиться по этим контактам.

Dotarev
знаток Eplan
знаток Eplan
Сообщения: 260
Зарегистрирован: 12 июн 2014, 06:17
Имя: Мишкин Иван
Страна: Россия
город/регион: Самара
Благодарил (а): 15 раз
Поблагодарили: 70 раз

Холивар про ОС (было "OPC tunneller")

Сообщение Dotarev »

Я о том же и пытаюсь сказать - только с другого бока. На предприятии (с точки зрения безопасности) необходима правильная организация сети, а организация доменов и настройка доменных политик может быть частью этой работы (но не является обязательным условием, разумеется). Разработчики АСУ ТП не являются специалистами в этой области. Хуже того, зачастую у них не хватает квалификации даже для того, чтобы оценить возможные источники и уровень угроз. Не беда, если предприятие выпускает оконные блоки. Хуже, если предприятие поставляет электроэнергию. И может стать катастрофой для большинства промышленных предприятий. И проблема не только в операторе.
Главное, что я хотел сказать - сейчас недостаточно разработчику задумываться о том, как система должна работать. Необходимо задумываться, с какой стороны систему можно сломать. И принимать адекватные решения. Если производство опасное - надо продумывать и сетевую безопасность ЛВС, и сисадмин нормальный на производстве должен быть, и физическое разделение сетей, и разбиение на VLAN, а уж межсетевой экран - тот обязательно найдется. Потому что сервер, собирающий данные с контроллеров и раздающий их на рабочие места - он и выполняет функции межсетевого экрана. Надо это четко понимать.
Последний раз редактировалось Dotarev 14 фев 2016, 12:56, всего редактировалось 1 раз.
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 17481
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 749 раз
Поблагодарили: 1281 раз

Холивар про ОС (было "OPC tunneller")

Сообщение Jackson »

Dotarev писал(а): Я о том же и пытаюсь сказать - только с другого бока. На предприятии (с точки зрения безопасности) необходима правильная организация сети, а организация доменов и настройка доменных политик может быть частью этой работы
Да не может быть, поймите Вы! Сеть предприятия - это одно. Сеть АСУТП - совсем другое. А когда эти вещи объединяются, то геморрой растёт в квадрате а затраты - в кубе, и начинаются вопли про стакснет и blackenergy. И админы у этих сетей разные должны быть физически, точнее в АСУТПшной сети админы вообще должны быть не нужны, иначе офисные адмны обязательно влезут и что-ниюудь покрутят.
По вопросам работы Форума можно обратиться по этим контактам.

Dotarev
знаток Eplan
знаток Eplan
Сообщения: 260
Зарегистрирован: 12 июн 2014, 06:17
Имя: Мишкин Иван
Страна: Россия
город/регион: Самара
Благодарил (а): 15 раз
Поблагодарили: 70 раз

Холивар про ОС (было "OPC tunneller")

Сообщение Dotarev »

TEB писал(а): Сеть предприятия - это одно. Сеть АСУТП - совсем другое
С этим согласен. (для этого дописал про физическое разделение сетей - просто не успел отправить до Вашего ответа)
TEB писал(а): И админы у этих сетей разные должны быть физически
И с этим согласен.
TEB писал(а): точнее в АСУТПшной сети админы вообще должны быть не нужны
А вот против этого как раз и возражал.
Аватара пользователя

CHANt
эксперт
эксперт
Сообщения: 1465
Зарегистрирован: 25 июл 2008, 10:25
Имя: Эдуард Владимирович
Страна: СССР
город/регион: Оренбург
Благодарил (а): 43 раза
Поблагодарили: 93 раза

Холивар про ОС (было "OPC tunneller")

Сообщение CHANt »

Dotarev писал(а): Главное, что я хотел сказать - сейчас недостаточно разработчику задумываться о том, как система должна работать. Необходимо задумываться, с какой стороны систему можно сломать. И принимать адекватные решения. Если производство опасное - надо продумывать и сетевую безопасность ЛВС, и сисадмин нормальный на производстве должен быть, и физическое разделение сетей, и разбиение на VLAN, а уж межсетевой экран - тот обязательно найдется. Потому что сервер, собирающий данные с контроллеров и раздающий их на рабочие места - он и выполняет функции межсетевого экрана. Надо это четко понимать.
Четко надо понимать, что ИБ отдельно не бывает))) Это всего лишь составная часть общей системы безопасности пром. предприятия. Защита периметра, физическая защита объекта, пожарно-охранные сигнализации, система контроля и управления доступом, видеонаблюдение и т.п. - это все составные части системы защиты. И все попытки, в последние годы, преподнести ИБ как единственную составляющую - это тупой холивар, преследующий коммерческие цели.
По электроэнергетике - да все нормально в отрасли, нтд, в которых предъявляются требования и к ИБ - в достатке. Так и выполняется.
Следующее - вот это статья про стукснет....Ну вброс прям. Прочтите доклад по нему что ли... Не имеет стукснет отношения к АЭС Бушер, и уж тем более к энергетике Германии. Он четко нацелен был на производство обогащенного урана. Блин, РБК конечно..даже автора статьи нет. Лишь бы ляпнуть.
--------------------------------------------------------------------------------------------
Аватара пользователя

VADR
администратор
администратор
Сообщения: 4712
Зарегистрирован: 25 июл 2008, 07:12
Имя: Диев Александр Васильевич
Страна: Россия
город/регион: г. Сегежа, Карелия
Благодарил (а): 192 раза
Поблагодарили: 336 раз

Холивар про ОС (было "OPC tunneller")

Сообщение VADR »

Я смотрю, люди путают такие понятия, как "правильная организация сети" и "наличие в сети домена". Это вещи, друг от друга независящие. Может быть хорошо сделанная сеть без домена, может быть домен в кривой сети.
В АСУТП несколько другие требования к структуре сети, по сравнению с общей сетью предприятия. По два свитча вместо одного, с подключением каждой станции отдельными адаптерами к каждому из них - нормально. Два раздельных бесперебойника, каждый из которых питает половину сетевого оборудования (по одному свитчу из каждой пары) - нормально. Отказ от RSTP в пользу пусть ограниченных одним изготовителем, но более шустрых протоколов типа TurboRing и HyperRing - тоже нормально. Или, как минимум, минимизация размеров сегментов и жёсткая конфигурация приоритетов ради снижения времени сходимости. Всё во имя отказоустойчивости. А вот домены там - совершенно лишнее. Накатить политики можно и без доменной структуры. Домены это дело, конечно, упростят, если количество станций вырастет за пару десятков. А если меньше - только дополнительная головная боль.
Повторное использование кода не отменяет повторного использования мозга при его повторном использовании.
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 17481
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 749 раз
Поблагодарили: 1281 раз

Холивар про ОС (было "OPC tunneller")

Сообщение Jackson »

Был как-то случай, коллега сидел на наладках, электростанция 35 МВт, допиливал верхний уровень под пожелания, на живой станции. Глядь, с компом что-то происходит. А в силу того что АРМ нужен только один, то он же и сервер данных. Все подключения только по RS-485. Так вот с компом что-то неладное, какие-то процессы запускаются, тормоза страшные. Он разбирался с этим полдня, пока в грусти не пришёл к местным и не сообщил что с компом беда, будем разбираться. А те его успокоили: это наш админ решил ИБ наладить, работает удалённо. :o На живой станции, никого не предупредив, включение в сеть там вообще не планировалось. Коллега выдернул сетевой кабель и продолжил спокойно работать. Прервался на 2 минуты когда админ пришёл ногами смотреть куда подевался коннект и пришлось вежливо и корректно, но отправить его в пешее путешествие обратно.
С тех пор там бывали проблемы с верхним уровнем несколько раз, причём такие что наши программисты неделями безуспешно бились, пытаясь их хотя бы повторить у себя. Раза со второго мы стали умнее и когда звонили нам, мы просили снова выдернуть сетевой кабель - этим проблемы и решались.
Давно уже не звонили, может кабель отрезали (общая сеть там как рыбе зонтик).

Мораль: если дать дорогу - кто-нибудь да влезет, и будут проблемы.
По вопросам работы Форума можно обратиться по этим контактам.
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 17481
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 749 раз
Поблагодарили: 1281 раз

Холивар про ОС (было "OPC tunneller")

Сообщение Jackson »

Кстати
"Почти все начальники - дилетанты." © hell_boy )))
Неправда.
По вопросам работы Форума можно обратиться по этим контактам.
Аватара пользователя

CHANt
эксперт
эксперт
Сообщения: 1465
Зарегистрирован: 25 июл 2008, 10:25
Имя: Эдуард Владимирович
Страна: СССР
город/регион: Оренбург
Благодарил (а): 43 раза
Поблагодарили: 93 раза

Холивар про ОС (было "OPC tunneller")

Сообщение CHANt »

TEB писал(а): Кстати
"Почти все начальники - дилетанты." © hell_boy )))
Неправда.
Подкорректирую
--------------------------------------------------------------------------------------------

Автор темы
Alex question
осмотрелся
осмотрелся
Сообщения: 144
Зарегистрирован: 20 янв 2015, 10:13
Имя: Алексей
Страна: Россия
Поблагодарили: 10 раз

Холивар про ОС (было "OPC tunneller")

Сообщение Alex question »

TEB писал(а): Это чуть ли не главная проблема, потому что АСУшники и КИПовцы не есть администраторы.
Если есть в АСУ ТП хоть один компьютер, то уже должен быть человек (администратор), который будет его обслуживать. А если компьютеров много (система довольно большая, несколько десятков рабочих мест, десяток серверов и т.д.) то администратор просто необходим. И не важно при этом домен или рабочая группа, виндовс или линукс. В конце концов сам компьютер тоже имеет полное право сломаться и кто то должен его починить, переустановить ПО при необходимости.

Что касается домена. Очень удобно задавать права и политики безопасности. Контроллеров домена два - основной и резервный, так что отказ одного не приводит к последствиям.

Сети АСУ ТП и общая (где сидят менеджеры и лазят по интересным сайтам в интернете со взрослым контентом) должны быть разделены физически. Так что никакой опасности нет. Естественно отключаются все привода (если есть), все USB порты и т.п.

Для оператора есть такое понятие как автологон и автозапуск приложения для управления. Т.е. для него вообще не играет роли, домен это или нет.

Зато все остальное за счет домена серьезно упрощается. Более того любой студент сейчас способен вполне сносно админить домен на Виндовс. А вот грамотно настроить рабочую группу или делать что то на линуксе способен уже далеко не каждый.

В общем лично я от доменов вижу только плюсы, а возражения пока выглядят как "эфемерные" минусы типа "зачем тащить офисные технологии"? А какая разница? Если все требования выполняются и недостатков нет.
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 17481
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 749 раз
Поблагодарили: 1281 раз

Холивар про ОС (было "OPC tunneller")

Сообщение Jackson »

Alex question писал(а): Если есть в АСУ ТП хоть один компьютер, то уже должен быть человек (администратор), который будет его обслуживать.
Наконец-то! :ges_clap2:

С чего это так обязательно? У Вас автомобиль есть? И что, у Вас есть личный автомеханик? :lol:

Я уже себе представляю: вот стоит на месторождении один-единственный ПК в качестве АРМа в электростанции, и есть вахтовый сисадмин который его обслуживает, это при том что никакой сети там вообще нет, как нет и интернета. Чем этот сисадмин будет заниматься всю вахту? Боюсь что от скуки таки полезет администрировать, и завалит всю плавку.
Только не говорите что надо прокинуть по месторождению сеть и поднять домены - чтобы сисадмину было чем заняться. :ext_gimmefive:

Если есть хоть один мультиметр - неужели обязательно должен быть метролог в штате? Мультиметр-то надо контролировать, вдруг он мерит неправильно.

Отправлено спустя 3 минуты 39 секунд:
Кстати никогда не видел на судах сисадминов, отродясь их там не было, хотя компов там десятки (иногда и сотни), куча систем, цифровых интерфейсов тьма. А если там ещё домены поднять, на ядерном ледоколе - чтоб веселее было с реактором общаться. Подкиньте эту идейку в АтомФлот. :crazy0to:
Уже представляю - судовой сисадмин. :lol:

В общем, не было у бабы проблем - купила баба порося.
По вопросам работы Форума можно обратиться по этим контактам.
Аватара пользователя

VADR
администратор
администратор
Сообщения: 4712
Зарегистрирован: 25 июл 2008, 07:12
Имя: Диев Александр Васильевич
Страна: Россия
город/регион: г. Сегежа, Карелия
Благодарил (а): 192 раза
Поблагодарили: 336 раз

Холивар про ОС (было "OPC tunneller")

Сообщение VADR »

Только что прочитал в соседней теме (а именно вот тут):
Siluet писал(а): Если развитие в этом направление пойдет дальше, то ПЛК выкинут как не нужное (а значит вредное) аппаратное устройство.
И пусть в той теме я не согласен, что ПЛК будут выкинуты как ненужное устройство (хотя всё может быть: простейший ПИД-регулятор из датчика и частотника - реальность; система сбора данных без управления, не имеющая контроллеров - тоже), однако с основной мыслью согласен: если элемент системы не нужен, значит он вреден.
Повторное использование кода не отменяет повторного использования мозга при его повторном использовании.

Автор темы
Alex question
осмотрелся
осмотрелся
Сообщения: 144
Зарегистрирован: 20 янв 2015, 10:13
Имя: Алексей
Страна: Россия
Поблагодарили: 10 раз

Холивар про ОС (было "OPC tunneller")

Сообщение Alex question »

TEB писал(а): Наконец-то!
хыхыхы

Я тоже иногда в споре пользуюсь этим приемом. Берешь утверждение оппонента, доводишь до абсурда, часть утверждений как бы невзначай подменяешь похожими, но иными по смыслу, те что не стыкуются - вообще отбрасываешь... А дальше в пух и прах разбиваешь этот свой слепленный бред, и вот он готов - дартаньян на белом коне. А самое забавное тут, если оппонент ведется и начинает оправдываться.

Но вот что я отвечу на это:

Наконец-то! :ges_clap2:

У Вас автомобиль есть? И что, он никогда не ломается? И во всем мире нет ни одного человека, профессия которого чинить автомобили? :lol:

Я уже себе представляю: вот есть крупная электростанция, стоят сотни ПК в качестве армов, инженерок и т.д. Стоят десятки серверов под БД, архивы, проекты, и нет никого, кто бы это хозяйство обслуживал. Ходит одинокий киповец, скучает, в носу ковыряет и периодически мультиметром в датчики тычет. А армы, да что с ними станется. Они проработают все 20 лет. Как включили так и работают сами по себе. Ну подумаешь десяток-другой накроется. Ведь их же много! Никому нельзя разрешать трогать это хозяйство, а то вдруг кто от скуки таки полезет администрировать, и завалит всю систему.

А что, если есть хоть один АЦП в системе - неужели обязательно нужен киповец чтобы поверять его каждый год? Авось и так нормально показывать будет в течение пары десятков лет. А межповерочные интервалы вообще придумали агенты госдепа.

Кстати никогда не видел на судах сисадминов, отродясь их там не было, хотя компов там десятки (иногда и сотни), куча систем, цифровых интерфейсов тьма. Там все компы всегда работают сами по себе без малейшего вмешательства человека. А самое главное - их туда даже никто не ставил и не настраивал, они сами от сырости завелись. Флот дело такое - вода кругом. Оттого и АСУ цветет там буйным цветом.
Аватара пользователя

VADR
администратор
администратор
Сообщения: 4712
Зарегистрирован: 25 июл 2008, 07:12
Имя: Диев Александр Васильевич
Страна: Россия
город/регион: г. Сегежа, Карелия
Благодарил (а): 192 раза
Поблагодарили: 336 раз

Холивар про ОС (было "OPC tunneller")

Сообщение VADR »

Домен - прекрасная возможность в случае ошибки администрирования грохнуть все станции сразу. И если есть варианты сделать АСУТП с такой возможностью либо без неё - я выберу второй вариант.
И вообще, выше уже я цитату приводил: если функция не нужна, она вредна. Администрировать компьютеры и сети, конечно же, надо, но в пределах АСУТП домены там ни к чему.
Повторное использование кода не отменяет повторного использования мозга при его повторном использовании.
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 17481
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 749 раз
Поблагодарили: 1281 раз

Холивар про ОС (было "OPC tunneller")

Сообщение Jackson »

Alex question писал(а): Берешь утверждение оппонента, доводишь до абсурда
Да мне даже не пришлось этого делать - Вы сами с абсурда и начали. :-P Это сказали Вы:
Alex question писал(а): Если есть в АСУ ТП хоть один компьютер, то уже должен быть человек (администратор), который будет его обслуживать.
Это даже не абсурд - это серьёзнее.
В моей практике сотни работающих систем, как минимум с двумя ПК каждая, а то и с десятками. Ни разу не пришло в голову продать заказчику такой геморрой, для которого ещё и специально обученный человек нужен. Впрочем, это можно сделать, если следующим заказчиком будет ГазПром. А обычно заказчики сплошь простые люди, понимающие что к чему, и такую свинью им подкладывать как-то совестно.
Alex question писал(а): У Вас автомобиль есть?
есть
Alex question писал(а): И что, он никогда не ломается?
случается
Alex question писал(а): И во всем мире нет ни одного человека, профессия которого чинить автомобили?
Во всём мире полно таких людей, но я не держу их под боком и не плачу им зарплату потому что они нужны только когда автомобиль ломается, а случается это нечасто, и часто я поломки могу устранить и самостоятельно. И ещё я не покупаю такой автомобиль, который без специального человека не проедет и ста километров. Но есть люди, которые считают что непрерывный сервис - это в порядке вещей и считают нормальным набить автомобиль такими вещами, которые непрерывно нужно обслуживать и платить за это, ездить в это время на автомобиле, соответственно, они не могут. Автомобили они покупают соответствующие. Это их право, пожалуйста. Разница автомобиля и ПК в АСУТП в том, что геморройный автомобиль типа ренжровера люди покупают себе сами и по своей воле, и только они с этим геморроем живут, это их выбор. А АСУТП продают на сторону, для других людей, и если на этих людей не наплевать то можно сделать так чтобы было удобно. А можно наплевать и закатать им например QNX вместо винды или сеть с доменами - пусть развлекутся, им же скучно. Зато звучит внушительно и выглядит мощно - даром что ни на чёрта не сдалось.

Отправлено спустя 5 минут 27 секунд:
Вдогонку. Вот во вложении система. В ней, по Вашему, обязательно нужно поднять домен. Объясните мне конкретно и по пунктам - зачем? И куда его там засунуть. Вы же сказали что раз есть хоть один ПК то должен быть ссисадмин для обслуживания, он, вероятно, и поднимет домен и прикрутит идентификацию (а иначе чем ему ещё заниматься?). Вот и объясните, докажите что это не абсурд.

Отправлено спустя 45 минут 32 секунды:
А если у меня операторская панель под виндовсом работает и по езернету к контроллеру подцеплена - здесь тоже сисадмин нужен? Объясните пожалуйста, зачем. Вы же сказали что должен быть.
У вас нет необходимых прав для просмотра вложений в этом сообщении.
По вопросам работы Форума можно обратиться по этим контактам.
Закрыто

Вернуться в «Верхний уровень автоматизации (отображение)»