Wymagania dla przyrządowych systemów bezpieczeństwa (SIS) w kontekście rewolucji przemysłowej 4.0

Wymagania dla przyrządowych systemów bezpieczeństwa (SIS)

Autor: Rafał Selega, ABB

Pierwsza rewolucja przemysłowa to produkcja mechaniczna wspomagana maszynami parowymi. Druga to czas produkcji masowej z zastosowaniem maszyn elektrycznych. Trzecia to wiek automatyzacji produkcji przy wykorzystaniu sterowania komputerowego. Obecnie mamy do czynienia z czwartą rewolucją przemysłową, która cechuje się wprowadzeniem systemów cybernetycznych do sterowania procesami przemysłowymi, lub, inaczej mówiąc – z Internetem rzeczy (ang. Internet of Things – IoT) i przetwarzaniem chmurowym.

Założenia Rewolucji 4.0

Rewolucja 4.0 to czas, kiedy cyber-fizyczne systemy tworzą wirtualne modele świata realnego i modele decyzyjne, komunikują się między sobą i z ludźmi i autonomicznie w czasie rzeczywistym sterują fizycznymi procesami. To inteligentne fabryki, które dopasowują wielkość i specyfikę produkcji zgodnie z aktualnymi i przewidywanymi cenami surowców oraz przewidywaną przyszłą wielkością popytu. To również fabryki samochodów, które samoistnie, bez udziału człowieka, są w stanie wyprodukować auto w konfiguracji wybranej przez niego w przeglądarce internetowej.

A co to oznacza dla systemów automatyki przemysłowej? Rewolucja 4.0 to urządzenia pomiarowe, które bezprzewodowo komunikują się między sobą i z urządzeniami wykonawczymi bez udziału centralnego systemu sterowania. Mają one możliwość kompensacji swoich wskazań na podstawie informacji uzyskanych z innych czujników. Na przykład standardowy miernik przepływu będzie kompensował mierzoną wartość, uwzględniając dodatkowe parametry medium poprzez bezprzewodową komunikację z odpowiednimi czujnikami temperatury, ciśnienia czy analizatora składu. Wśród założeń rewolucji 4.0 jest stworzenie możliwości komunikacji pomiędzy urządzeniami, maszynami i człowiekiem bez względu na ich fizyczną lokalizację i odległość między nimi. Umożliwi to zdalnie przeprowadzaną optymalizację pracy systemów z wykorzystaniem wielorakich danych wejściowych oraz programów optymalizacji produkcji dostarczanych przez centra kompetencyjne. Ma to spowodować obniżenie kosztów produkcji, poprawę jakości produktów, zminimalizowanie strat i obniżenie cen produktów gotowych.

Zagrożenia istniejące w przemyśle

Procesy technologiczne często bazują na przetwarzaniu niebezpiecznych substancji, które mogą być łatwopalne, wybuchowe lub toksyczne. Awaria takiego procesu może spowodować katastrofę ekologiczną (np. wyciek 800 tys. m3 oleju z platformy wiertniczej Deepwater Horizon w Zatoce Meksykańskiej w 2010 roku) lub pochłonąć wiele istnień ludzkich (np. uwolnienie z fabryki pestycydów 40 ton izocyjanianu metylu w 1984 roku w Bhopalu w Indiach, które spowodowało śmierć 20 tys. osób). Człowiek próbuje zapobiegać takim awariom poprzez stosowanie przyrządowych systemów bezpieczeństwa (ang. Safety Instrumented System – SIS). Systemy te muszą gwarantować niezawodność działania, dostępność i odporność na cyberataki. Zanim więc założenia koncepcji 4.0 zostaną wprowadzone do systemów bezpieczeństwa, muszą zostać spełnione fundamentalne zasady projektowania i eksploatacji systemów bezpieczeństwa. Celem niniejszego artykułu jest przedstawienie wyzwań, przed którymi stoi implementacja koncepcji rewolucji przemysłowej 4.0 w systemach SIS.

Cyberbezpieczeństwo systemów

W dobie trzeciej rewolucji przemysłowej każdy producent systemu sterowania miał swój własny zastrzeżony i chroniony patentem sprzęt i oprogramowanie, włączając w to protokoły komunikacji. Powodowało to jednak trudności w integracji systemów różnych producentów i komunikacji między nimi w zakładzie. Stopniowo producenci, którzy byli w stanie dostarczyć bardziej „otwarty” system, zaczęli wygrywać na rynku odbiorców, a najlepszym rozwiązaniem okazały się systemy oparte na standardowym sprzęcie i oprogramowaniu, komunikujące się z wykorzystaniem uniwersalnych protokołów sieciowych. Doprowadziło to do zacierania się różnic pomiędzy sprzętem i oprogramowaniem stosowanych w systemach przemysłowych a rozwiązaniami IT, czy też tymi znanymi z domowych komputerów. Obecnie te same podzespoły komputerowe i oprogramowanie sprawdzają się w zastosowaniach domowych lub są wykorzystywane do budowania stacji operatorskich i serwerów danych w systemach sterowania instalacją przemysłową. W tych celach używana jest taka sama platforma programowa, np. Windows czy standardowe protokoły komunikacji TCP-IP.

Standardowy sprzęt, oprogramowanie i uniwersalna komunikacja ułatwiają integrację systemów i ich obsługę, ale przy okazji zwiększają prawdopodobieństwo udanego cyberataku na takie systemy. W Internecie łatwo dostępne są darmowe programy, które pod pozorem testowania odporności na włamania domowego systemu umożliwiają każdemu, nawet początkującemu adeptowi Internetu, przeprowadzenie ataków na fizyczny system przemysłowy zakładu.

Rodzi się więc pytanie: jak zapewnić cyberbezpieczeństwo systemu 4.0, w którym każde urządzenie ma mieć swój adres IP, być podłączone do globalnej sieci Internet i korzystać ze standardowego protokołu transmisji? Czy uda się znaleźć rozwiązania, które zagwarantują wystarczające cyberbezpieczeństwo SIS? A może w modelu 4.0 system SIS będzie w ograniczonym stopniu podłączony do Internetu?

Platforma komunikacji

Rewolucja 4.0 zakłada, że każde urządzenie na instalacji przemysłowej posiada taki sam interfejs komunikacyjny, wspólny zarówno dla komunikacji przewodowej, bezprzewodowej, jak i optycznej. Niemieckie organizacje NAMUR i VDI/GMA utworzyły spośród wiodących firm w branży procesowej grupę roboczą, która pracuje nad nowym systemem komunikacji cyfrowej w przemyśle. System ten ma spełniać specyficzne wymagania przemysłowe, takie jak szybkość komunikacji, zdolność do pracy w strefach zagrożonych wybuchem oraz wymagania dla niezawodności i dostępności.

Komunikacja bezprzewodowa

System 4.0 promuje komunikację bezprzewodową. Ten rodzaj jest bardziej narażony na wpływ czynników zakłócających niż jego przewodowy odpowiednik. W ocenie jej niezawodności należy uwzględnić odporność na zakłócenia elektromagnetyczne ze strony maszyn i atmosferyczne (np. wyładowania, burze magnetyczne i inne zaburzenia magnetyzmu na Ziemi), przesłony utrudniające komunikację, takie jak budynki, pojazdy na instalacjach, ekrany stosowane przy pracach remontowych czy nawet rośliny (np. drzewa). Dodatkowe wyzwania dotyczą współdzielenia przez bezprzewodowe urządzenia przemysłowe pasma komunikacji telefonii komórkowej czy innych obecnie stosowanych urządzeń komunikujących się bezprzewodowo (aparaty medyczne).

Kanał komunikacji poprzez powietrze oznacza, że sygnał informacyjny oraz sterowania urządzeniem dostępny jest w określonej przestrzeni. Możliwe jest więc „podłączenie się” przez niepowołane osoby do kanału komunikacji z wykorzystaniem anten/urządzeń zlokalizowanych na terenie zakładu lub poza nim. Aby zmniejszyć to ryzyko, zakład musiałby wprowadzić system zarządzania przestrzenią powietrzną, ale czy będzie to wystarczające? Problem jest o wiele mniejszy w przypadku komunikacji przewodowej, gdzie aby umożliwić komunikację, należy podłączyć się do fizycznie chronionego okablowania czy urządzeń.

Komunikacja bezprzewodowa zakłada stosowanie urządzeń zasilanych z baterii. Czas pracy na baterii jest jednak ograniczony. Zależy on na przykład od temperatury, w której pracuje urządzenie. Niskie temperatury powodują zmniejszenie skuteczności reakcji chemicznych w ogniwach. Pobór energii z baterii zależy również od częstotliwości, z jaką komunikuje się ono z innymi urządzeniami. Większa częstotliwość przesyłania sygnału komunikacyjnego oznacza większy pobór energii z baterii. Podobnie dzieje się w przypadku spadku mocy sygnału sieci. Rodzą się więc następujące pytania: Jak długo będzie pracować bateria w instalacjach, gdzie temperatury sięgają –30°C? Jak długo będzie pracować, gdy będziemy „odpytywać” czujnik ciśnienia 10 razy na sekundę? Czy użytkownik zaakceptuje koszty związane z wymianą baterii raz na kilka miesięcy, biorąc pod uwagę efekt skali (wszystkie urządzenia na instalacji są bezprzewodowe)? Co się stanie, jeżeli bateria nie zostanie wymieniona w odpowiednim czasie – funkcja bezpieczeństwa zatrzyma instalację czy może sama stanie się nieaktywna? Jest wiele pytań, na które należy odpowiedzieć. Trzeba dodać, że obecnie standardy odnośnie bezpieczeństwa funkcjonalnego nie zezwalają na stosowanie komunikacji bezprzewodowej w funkcjach SIL.

Szybkość postępu technologicznego i „czas życia” urządzeń

Wydaje się, że postęp technologiczny przyśpiesza. Obecnie wiele przemysłowych urządzeń pomiarowych i wykonawczych to urządzenia programowalne, otwarte na komunikację z zewnątrz, umożliwiające zdalną konfigurację. Na pewno w przyszłości proces ten będzie jeszcze bardziej rozbudowany i umożliwi modyfikację oprogramowania w celu usunięcia istniejących błędów oprogramowania, poprawy funkcjonalności działania, niezawodności urządzenia czy cyberbezpieczeństwa. Ten proces można porównać do zasad obecnie panujących na rynku telefonii komórkowej. Oprogramowanie telefonów jest często aktualizowane, a sklepy oferują tysiące przeróżnych aplikacji na telefon. Ta otwartość spowoduje, iż powstanie wiele dostawców oprogramowania dla urządzeń przemysłowych, którzy będą oferować dodatkowe funkcjonalności dla urządzeń (np. poprawę jakości pomiaru dla mediów wielofazowych czy optymalizację regulatora PID zaimplementowanego w zaworze regulacyjnym). Proces ten może powodować częste aktualizacje oprogramowania, które mogą wywołać zaburzenia funkcjonalności, niezawodności i cyberbezpieczeństwa urządzenia.

Rozbudowa oprogramowania i mnogość danych do przetwarzania pociągną za sobą zwiększenie wymagań co do sprzętu. Urządzenia przemysłowe muszą być wyposażone w szybkie procesory, aby w czasie rzeczywistym obsłużyć zadania podstawowe urządzenia, a także by wykonywać w tle zadania związane z komunikacją ze światem zewnętrznym. Może się też okazać, iż po pewnym czasie wymagane aktualizacje, np. przez zagrożeniami z Internetu, nie będą mogły być zaimplementowane, gdyż urządzeniu brakować będzie pamięci lub szybszego procesora, w związku z czym będzie wymagana jego wymiana na nowy.

Proces częstych aktualizacji oprogramowania i sprzętu może spowodować trudności w uzyskaniu miarodajnych danych niezawodności danego urządzenia w warunkach przemysłowych, co jest obecnie ważnym warunkiem dopuszczenia urządzenia do pracy w aplikacjach bezpieczeństwa. Jak bowiem uzyskać wystarczającą statystyczną pewność, jeżeli oprogramowanie urządzenia mające krytyczny wpływ na niezawodność jest aktualizowane tak często, a całe urządzenie wymienia się po kilku latach? Szybkość tego procesu i wymagania rynku spowodują, iż producenci sprzętu i oprogramowania będą mieli mniej czasu na projektowanie i usuwanie wykrytych błędów niż obecnie.

Wbudowana autodiagnostyka urządzenia

Rewolucja 4.0 obiecuje, że urządzenia będą wyposażone w zaawansowane układy diagnostyki, które wykryją prawie wszystkie uszkodzenia sprzętu, a nawet będą w stanie autonomicznie dokonywać napraw.

Norma IEC 61508 z 2010 roku definiuje współczynnik SFF jako odsetek błędów bezpiecznych. Współczynnik ten jest tym większy, im większy jest stopień wykrywania uszkodzeń przez diagnostykę. Norma uzależnia też wymaganą tolerancję układu bezpieczeństwa na uszkodzenia od tego współczynnika (im lepsza diagnostyka, tym mniejsze wymagania dla redundancji sprzętu). Można by więc odnieść wrażenie, że im lepsza diagnostyka, tym bezpieczniejszy sprzęt. Nie jest to jednak prawdą, gdyż najnowsza edycja normy IEC 61511 „Przyrządowe systemy bezpieczeństwa do sektora przemysłu procesowego” z roku 2016 usunęła współczynnik SFF z projektowania układów bezpieczeństwa. Dzieje się tak, ponieważ stwierdzono, iż dążenie do uzyskania wysokiego odsetka uszkodzeń bezpiecznych prowadzi do zwiększenia liczby nieuzasadnionych wyłączeń procesów przemysłowych, co z kolei stwarza zagrożenia procesowe dla innych części instalacji, a tym samym prowadzi do ogólnego spadku bezpieczeństwa w zakładzie.

Normy bezpieczeństwa funkcjonalnego wymagają, aby projekt, użyte materiały i produkcja zapewniały, że urządzenie jest samo w sobie niezawodne, a nie by zgłaszano uszkodzenia. Dodatkowo należy zaznaczyć, iż stosowanie elektronicznych układów diagnostycznych nie jest wystarczające do wykrywania wszystkich rodzących się defektów w urządzeniach przemysłowych.

Rozważmy zachowanie się diagnostyki w przypadku takich defektów jak korozja czy woda w skrzynce przyłączeniowej urządzenia. Elektroniczna diagnostyka nie jest w stanie wykryć uszkodzeń, które trudno zmierzyć lub nawet zdefiniować przez producenta. Istnieje wiele rodzajów degradacji własności urządzeń, na które uwagę zwracają operatorzy i osoby zajmujące się eksploatacją, a które są poza automatyczną diagnostyką. Norma wymaga więc przeprowadzania regularnych okresowych inspekcji i testów okresowych, a więc zakłada, że nieodzownym elementem tego bezpieczeństwa jest człowiek. Sprawne ucho diagnosty czy operatora maszyny jest w stanie na podstawie widma dźwięków wydawanych przez urządzenie wykryć rodzące się problemy (np. uszkodzone łożysko silnika, tarcie siłownika zaworu). Rewolucja 4.0 zakłada zmniejszenie udziału człowieka w układach automatyki.

Modularyzacja

Rewolucja 4.0 zakłada modularyzację podzespołów, urządzeń i systemów. Fabryki będą budowane z modułów połączonych ze sobą jak klocki. Standaryzacja rozwiązań wymusi, że będziemy łączyć ze sobą moduły od różnych producentów. Zakłada się, że jeżeli każdy z modułów fabryki zostanie sprawdzony przez producenta, to po podłączeniu cała fabryka również będzie działać niezawodnie.

Obecne podejście norm bezpieczeństwa do uzyskania prawidłowego poziomu bezpieczeństwa na instalacji przemysłowej jest trudne do pogodzenia z wyżej opisaną koncepcją modularyzacji. Mianowicie, według obecnych norm poziom bezpieczeństwa (ang. Safety Integrity Level – SIL) jest przypisany do funkcji bezpieczeństwa (która to może być złożona z wielu modułów) i jest wiele aspektów, które ten poziom określają. Poziom bezpieczeństwa procesu zależy więc od dopasowania urządzeń do konkretnych warunków środowiskowych i procesowych, dopasowania architektury systemu (odporność na uszkodzenia sprzętowe) i doboru urządzeń o odpowiedniej, udokumentowanej niezawodności. Normy wymagają obliczeń potwierdzających, że tak zaprojektowana i wykonana funkcja zapewnia redukcję oszacowanego ryzyka procesowego do tolerowanej wartości. Modularyzacja promuje podejście typu „Plug and Play” i autokonfigurację systemu bez podejścia całościowego wymaganego przez normy.

Obsługa i eksploatacja

Poziom złożoności proponowanej automatyki przemysłowej czwartej rewolucji przemysłowej obejmujący procesorowe, programowalne, bezprzewodowe jednostki podłączone do jednej globalnej sieci i wystawione na cyberataki nakłada wysokie wymagania kompetencyjne dla osób zajmujących się obsługą i eksploatacją.

Personel, który będzie dokonywał obsługi czy naprawy urządzenia w technologii 4.0, oprócz obecnych kompetencji wymaganych dla urządzeń pomiarowych czy wykonawczych musi posiadać umiejętność obsługi programowalnych urządzeń. Ważna będzie również znajomość języka angielskiego, gdyż producenci i dostawcy nie będą w stanie wszystkiego przekładać na język danego kraju. Personel powinien także dobrze znać zagadnienia konfiguracji sieci bezprzewodowych, aby na przykład skomunikować się z urządzeniem czy włączyć do sieci nowe urządzenie, a usunąć stare. Może się zdarzyć, że pojawią się problemy, które trudno zdiagnozować, w związku z czym usuwa się je, resetując układ lub, co gorsza, wymieniając urządzenie na nowe (tak jak to ma miejsce obecnie w oprogramowaniu komputerowym). Trudności może sprawić również pełna diagnostyka systemów, gdyż w większości przypadków człowiek będzie opierał się na wskazaniach specjalistycznego oprogramowania diagnostycznego, dostępnego tylko u producentów sprzętu.

Obecnie stosowane urządzenia pracujące w pętli 4–20 mA nie powodują takich problemów. Dzięki temu możliwe są szybka diagnostyka i naprawa, co jest istotnym aspektem eksploatacji instalacji przemysłowych.

Wydaje się, że eksploatacja systemów 4.0 będzie wymagać posiadania specjalistycznych narzędzi i wiedzy, dlatego konieczne będzie większe wsparcie użytkowników przez producentów urządzeń i specjalistyczne firmy. Prawdopodobnie operatorzy systemów nie będą w stanie sami wykonać wszystkich wymaganych czynności eksploatacyjnych, a w szczególności napraw czy modyfikacji. Koszty eksploatacji mogą więc wzrosnąć. Sytuację taką można zaobserwować na rynku samochodowym, gdzie nowoczesne auta wymagają obsługi w autoryzowanych serwisach zatrudniających osoby o właściwych kompetencjach, które odbyły specjalistyczne kursy i mające dostęp do specjalistycznych narzędzi i dokumentacji producenta.

Podsumowanie

W związku z wcześniejszą analizą można dojść do wniosku, że operatorzy systemów powinni mieć dobrze ugruntowane powody, aby wprowadzić koncepcję rewolucji 4.0 do przyrządowych systemów bezpieczeństwa.

Obecnie bardzo trudno jest pogodzić założenia rewolucji 4.0 z wymaganiami standardów bezpieczeństwa dla budowania i eksploatacji SIS. Czasami ich założenia są wręcz sprzeczne. Wyzwania stojące przed implementacją są więc ogromne. Może się też okazać, że część koncepcji 4.0 w ogóle nie będzie mogła być wprowadzona do SIS. Prawdopodobnym jest, że w pierwszej kolejności koncepcja 4.0 może zostać wprowadzona do systemów niezwiązanych z bezpieczeństwem, czyli np. podstawowego systemu sterowania procesem (ang. Basic Process Control System – BPCS). Obecnie nie ma jeszcze normy/standardu, które przedstawiałyby założenia dla wprowadzenia koncepcji 4.0 w systemach bezpieczeństwa. Zapewne minie jeszcze wiele lat, zanim doczekamy się standaryzacji na tym polu. Dopiero po uzyskaniu pozytywnych doświadczeń z eksploatacji takich układów w systemach niezwiązanych z bezpieczeństwem możliwe będzie podjęcie przez komitety normalizacyjne kroków zmierzających do uregulowania wymagań.

Obecnie jesteśmy na początku rewolucji przemysłowej 4.0. Należy się liczyć z tym, że w pewnych sektorach gospodarki założenia będzie łatwiej zaimplementować niż w innych. Koncepcja ta ewoluuje i nabiera coraz bardziej realnych kształtów. Biorąc pod uwagę specyfikę wymagań dla systemów bezpieczeństwa, takich jak gwarantowana niezawodność czy przewaga dostępności nad funkcjonalnością oraz prostoty budowy nad nadmierną złożonością, należy liczyć się z tym, że część z obecnych założeń koncepcji 4.0 zostanie mocno zmodyfikowana lub odrzucona dla implementacji w systemach SIS. Podsumowując – zanim założenia rewolucji 4.0 zostaną wprowadzone do przyrządowych systemów bezpieczeństwa SIS, potrzeba czasu i pozytywnego doświadczenia pracy z takimi układami. Nic tu nie jest jeszcze pewne.