1. Вступление

Supervisory Control and Data Acquisition (SCADA) или, в русском варианте, информационно-управляющие системы, являются классом систем управления, используемых во множестве различных приложений для обеспечения централизированного контроля в географически распределённой среде. SCADA системы обычно выпускают в виде COTS-подобных моделей разработки, с базовым продуктом, конфигурируемым под нужды каждого конкретного покупателя. Иногда также они имеют прямой контроль безопасности и критических функций, такие системы могут помочь в организации безопасного управления и часто являются жизненно важными для управления критической гражданской инфраструктурой.

2. SCADA системы и безопасность

В этой секции рассматривается понятие SCADA систем, обозреваются продукты, обычно используемые для разработки таких систем и обсуждается требования безопасной интеграции, позволяющие включить SCADA систему различные домены приложений.

2.1 SCADA Systems - An Overview

SCADA-системы обычно различают по архитектуре и парадигме управления (Landman 2000). Типичная архитектура SCADA-системы изображена на рисунке 1. Закруглённые прямоугольники представляют Стандратные компоненты SCADA-системы, овалы представляют опциональные, дополнительные SCADA компоненты часто формирующие части современных SCADA-систем. Прямоугольники представляют внешние компоненты с которыми часто осуществляет взаимодействие SCADA-система. В сущности, SCADA-система содержит одну или более управляющих станций, расположенных в управляющем центре, соединённых с множеством удалённых терминальных элементов (RTUs), которые физически подключены к оборудованию. Альтернативно, система взаимодействует с внешними устройствами другого производетеля (IEDs). SCADA-система позволяет оператору, находящемуся в центре управления, наблюдать и управлять оборудованием неподалёку от соответствующего RTU. Управляющая станция - сложная информационная система, обычно реализованная на таких платформах как Unix или Windows, в то время как RTUs это более простое вычислительное устройство, построенное на имеющемся аппаратном обеспечении, включающее имеющееся оборудование для ввода-вывода информации.

Рисунок 1 - Типичная SCADA архитектура

RTU могут быть сильно удалены друг от друга и в этом случае взаимодействуют с главной станцией посредством коммуникационной инфраструктуры. Среда коммуникации может включать глобальные сети, радиоканал и телекоммуникационные сети общего доступа. Физически среда коммуникации не является частью SCADA системы, а SCADA характеризуется способностью функционировать в условиях неустойчивого связи. Управление осуществляется с главной станции и достигает оборудования посредством подсоединённых RTU. Информация с оборудования возвращается на главную станцию опять таки посредством RTU. Для SCADA системы обычна петленезамкнутая парадигма управления, то есть управляющие решения обычно осуществляются оператором, основываясь на состоянии оборудования, которое отражается на дисплее телеметрии.Операторы, как правило, только лишь находятся в управляющем центре и одной из основных функций главной станции является обеспечение удобного интерфейса пользователя, чтобы оператор мог быстро оценить общее состояние оборудования и принять соответствующее решение. Современные SCADA системы часто содержат свои особенности, расширяющие парадигму управления, путём реализации локальных вычислений на RTU и дополнительной автоматизации на главной станции. Поддержка сложного локального вычисления RTU может быть полезна для распределения процессорной загрузки или для возможности продолжительного взаимодействия с оборудованием во время задержек связи с главной станцией. Улучшенное приложение главной станции, такое как система помощи в принятии решений, предоставляет оператору совет насчёт его возможных управляющих действий. Подсказка основывается на компьютерном анализе состояния оборудования. Такие системы помощи иногда позволяют работать в полуавтоматическом режиме, в этом случае управление осуществляется непосредственно системой, однако оператор сохраняет возможность вмешательства при необходимости.

Есть также растущая тенденция к объединению бизнес-систем со SCADA системами. Примеры систем, которые могут иметь интерфейс со SCADA, включают системы управления имуществом, обычно используемые для оптимизации инвестиций владельца, а также системы управления предпринимательством, где SCADA информация используется для продвижения бизнеса, например записи расхода электричества или газа различными покупателями.

2.2 SCADA-продукты

Хотя каждая SCADA уникальна и системы оличаются, главным образом, между предметными областями, есть и некоторое число общих черт в каждой SCADA системе. По этим причинам большинство компаний, которые предоставляют SCADA системы, разрабатывают и поддерживают несколько SCADA продуктов. Основными продуктами являются RTU и главные станции, которые разрабатываются так, чтобы работать совместно и по-отдельности. Базовый продукт может быть настроен множеством способов посредством системы интеграции. Каждое приложение будет использовать разное количество RTU и главных станций, чтобы соответствовать требованиям своего оборудования, баланса и избыточности. Другие параметры конфигурации включают:

1) выбор архитектуры "железа", включая модули, чтоб соединить оборудование и инфраструктуру связи;

2) разметку полей данных и управления в моделях данных и связи RTU и главной станции;

3) личную настройку экранов и условий сигналов тревоги;

4) интеграцию с другими информационными системами.

Остаток этой секции посвящён обсуждению SCADA систем в различных областях применения и требованиям безопасной интеграции, сопровождающим эти системы в таких различных областях.

2.2.1 Железнодорожная промышленность

В железодорожной индустрии использование SCADA систем следующее:

1) Распределение и управление силой тяги;

2) Наблюдение и управление оборудованием среды на подземных путях (например, охладителями, вентиляторами для извлечения дыма, вентиляторами для проветривания туннелей и т.д); and

3) Механизмы интеграции различных систем (например, обращения к пассажирам, дисплея информации для пассажиров, закрытой сети телевидения, различного станционного оборудования, такого как эскалаторы, лифты, освещение и т.д).

Наиболее опасным сценарием, связанным с распределением и управление силой тяги является поражение электрическим током на путях персонала обслуживания или рабочих, устраняющих аварии, в зоне высоковольтного оборудования (например, при демонтаже рельс либо при случайном попадании на пути). В таких ситуациях SCADA система часто считается не слишком безопасной, поскольку процедуры безопасной работы включают физическую изоляцию и заземления высоковольтного оборудования для защиты рабочих на рельсах или персонала обслуживания. Там, где не применяются подобные процедуры, SCADA система должна быть использована чтобы изолировать необходимую секцию и задействовать другие возможные процедуры безопасности. В случае управления оборудованием среды, SCADA система может быть использована для вентиляции туннелей со стоящими поездами либо для удаления дыма в случае пожара. Эти функции в общем случае повышают общую безопасность. Иногда такие функции могут быть выполнены посредством панели управления на ближайшей локальной станции, т.е. функции обеспечения безопасности могут быть ограничены одной лишь RTU. Там, где SCADA система используется для объединения нескольких железнодорожных систем, требования к системе безопасности основываются на правилах эксплуатации железнодорожных путей.

Каждая отдельная функция необходима для выявления общей картины на железнодорожных путях, что даёт возможность оценить ситуацию и действовать соответствующим образом в случае возникновения непредвиденной ситуации. Тогда, фактически, работоспособность системы становится одним из требований безопасности. В железодорожной индустрии существует общая информированность об изменении потенциальной безопасности при включении таких систем. Это отражено тем фактом, что много контрактов на поддержку SCADA систем подробно отражаются в общем уровне безопасности (SIL) для систем (обычно SIL 1 или 2).

2.2.2 Нефтегазовая промышленность

Типичные функции SCADA систем в нефтегазовой промышленности включают:

1) Измерение и управление потоком продукции;

2) Мониторинг качества продукции;

3) Мониторинг оборудования для управления трубопроводом, такого как газовые насосы и клапаны;

4) Интеграция с бизнес-системами для управления транзакциями купли-продажи.

Использование SCADA системы в сфере безопасности нефтегазовой промышленности обычно не подразумевается, поскольку за состоянием трубопровода следит независимая система безопасности и контроля. Но, несмотря на это, SCADA системы могут обеспечить быструю индикацию непредвиденных опасных ситуаций, таких как чрезмерное давление или протекание трубопровода и часто используются в первую очередь для контроля безопасности. Засечение небезопасной остановки трубопровода - может сэкономить немало денежных средств, ведь такие аварии приводят к потере энергопотребления и другим небезопасным застоям в трубопроводе. SCADA системы также предоставляют жизненно важные услуги в раннем обнаружении повреждения оборудования трубопровода, например повреждений ключевого компрессора, что является критическим фактором в общей работоспособности трубопровода.

2.2.3 Распределение энергии

SCADA systems are used extensively to manage ourelectricity supply. Key functions include:

1) Наблюдение за токами подстанций и уровнями напряжения;

2) Наблюдение за оборудованием подстанций и автоматическое выявление сбойных состояния на подстанциях;

3) Ручной контроль за электроснабжением;

4) Авторегуляция трансформаторов для достижения постоянного напряжения при условиях переменной нагрузки;

5) Изоляция оборудования подстанций для технического обслуживания;

6) Индикация присутствия персонала и сигнализация непредвиденного срабатывания переключателей;

7) Измерение загрузки, определение тенденций и прогнозирование .

Несмотря на то, что некоторые из этих функций являются функциями системы безопасности, SCADA редко используется в подобном назначении в одиночку. Например, персонал обслуживания подстанций обучен физически изолировать оборудование перед началом работ. Несмотря на отсутствие прямой ответственности за функции безопасности, возможно, что SCADA допустит ошибку или неправильное действие, сопровождаемое периодом неработоспособности, что может привести к недостаточному электроснабжению или к потере мощности.

2.2.4 Водоснабжение и водоочистка

Большие города используют SCADA системы для управления водоснабжением и водоочисткой. В разных системах есть следующие общие черты:

1) Измерение водных резервуаров и расхода уровня воды в баках накопителях;

2) Удалённый контроль водопотока, включающий перенагрузку стока в условиях штормовой погоды и поставку питьевой воды в периоды высокого спроса;

3) Изоляция вентилей для обслуживания труб;

4) Наблюдение за оборудованием насосных станций и электроснабжением;

5) Изоляция оборудования насосных станций для обслуживания;

6) Мониторинг присутствия персонала на насосных станциях.

Управление услугами водоснабжения и водорасходы в общем случае может быть осуществлено вручную, несомненно нет необходимости автоматизировать абсолютно все функции. В некоторых случаях большие насосные станции расширены за счёт локальных контрольных систем с закрытым циклом, которые наблюдают и управляют потоком воды. Использование SCADA для большого объёма услуг позволяет иметь централизованный взгляд на них и иметь более эффективную и дешёвую систему управления.

Недопустимые действия SCADA могут привести к превышению уровня расхода воды в гражданской зоне или к дефициту водоснабжения. Это может повысить вероятность разрыва трубопроводов за счёт создания колебаний в давлении или к застою питьевой воды в резервуарах и трубах. SCADA также важна для обнаружения сбоев в оборудовании и последующей координации действий персонала.

2.2.5 Подведение итогов

Среди различных областей промышленности мы видим широкий спектр общих требований безопасности, налагаемых на SCADA системы. В большинстве областей использования SCADA не является собственно системой безопасности из-за наличия механических, функциональных или независимых электронных средств защиты. Но, несмотря на это, SCADA часто используется как механизм начального обнаружения и реакции на нежелательные ситуации. Её преимущество в обеспечении централизованного наблюдения и контроля комплексных систем важно, а ненадёжность или непригодность SCADA системы может повысить совокупный риск в безопасном управлении. Поскольку гражданская инраструктура становится всё более сложной, SCADA системы являются интегральным фактором в эффективном управлении ею. В результате работоспособность системы становится критически важной. Следствием этого является то, что множество контрактов на поставку SCADA систем включают в себя документальное подтверждение соответствующих испытаний и проверок. Некоторые области промышленности, особенно такие старые как железнодорожная, устанавливают определённые ограничения в наиболее рисковых областях применения. Однако, всё в большей степени, контракты включают в себя пункт о штрафах за невыполнения условий об обеспечении необходимого уровня работоспособности.

Учитывая это, качество SCADA системы очень сильно зависит от качества программной составляющей продукта.

3. Продуктный базис

Как уже было отмечено, большинство компаний, предоставляющих SCADA системы поддерживают несколько SCADA продуктов. Индивидуальные заказы реализовываются на базе этих продуктов. Эта секция поясняет почему практически нет альтернатив модели разработки основанной на готовом продукте, а затем обсуждаются проблемы, связанные с такой моделью.

3.1 Почему продуктный базис становится всё более популярным?

Несмотря на наличие определённого количества дискуссий насчёт рациональности использования открытых коммерческих систем, исполняющих функции систем безопасности, на данный момент преобладают тенденции к ограничению такого применения SCADA систем. Особенно чётко это заметно в железнодорожной индустрии. В областях промышленностей, не предъявляющих особых требований безопасности к SCADA системам, открытые системы и стандарты являются обычной практикой. Причина, заставляющая покупателя предпочитать COTS продукты - хорошая документация (Lindsay and Smith 2000). Благодаря зрелости продукта, риск разработки уменьшается, а надёжность увеличивается. Разработчику, который создаёт систему "с нуля", очень трудно конкурировать с разработчиком, опирающимся на готовые компоненты. Неконкурентоспособность проявляется на нескольких уровнях, включая цену и доверие на рынке.

Это ещё одна причина, по которой покупатели SCADA продуктов тяготеют к COTS. Большинство покупателей имеют определённые вложения в имущество, которое служит им на протяжении долгого срока, следовательно они требуют сопровождения готового продукта на протяжении такого же периода времени. А когда покупатель захочет усовершенствовать своё оборудование, потребуется вносить определённые изменения в SCADA систему. Фактически, преобретение системы, компонентные продукты которой имеют бОльшую пользовательскую базу, означает что вероятность улучшений, вносимых разработчиком будет больше и приобрести их будет дешевле. По этой причине большинство покупателей предпочтут широко распространённый продукт, пусть даже в нём будет меньше функций безопасности, зато без риска прекращения поддержки производителя.

На практике это означает, что большинство контрактов на поставку SCADA систем выигрываются компаниями, продукты которых включают открытые стандартные протоколы связи. Бизнес и рынок приводят к тому, что альтернатив SCADA системам, основанным на готовых продуктах на самом деле не существует.

4. Заключение

SCADA системы сегодня широко применяются, однако обычно не рассматриваются в качестве систем безопасности. В секции 2 представлен обзор SCADA систем и обсуждены интегральные требования безопасности, которые могут возникнуть в разных областях применения. Этот анализ показывает, что несмотря на то что SCADA системы никогда не используются как единственное средство для обеспечения безопасности, они отлично выполняют родственные функции (например, вентиляция туннелей) и часто могут обеспечить раннее предупреждение и методы разрешения потенциально опасных ситуаций. Также SCADA системы подходят для управления гражданской инфраструктурой, поставкой энергии и водоснабжением.

5. Литература

ATCHISON, B. and GRIFFITHS, A. (2002): EngineeringSCADA Products for Use in Safety-Related Systems.Proc. Safety Critical Systems Symposium, Southampton,UK, Springer-Verlag.

LANDMAN, R. J. (2000): Supervisory Control and DataAcquisition Systems

CENELEC (2001): European Standard ENV 50128,Railway Applications - Communications, Signalling andProcessing Systems - Software for Railway Control andProtection Systems,

LINDSAY, P. and SMITH, G. (2000): Safety Assuranceof Commercial-Off-The-Shelf Software. ProceedingsFifth Australian Workshop on Safety Critical Systems andSoftware, Melbourne, Australia, 43-51, AustralianComputer Society.

O'HALLORAN, C. (1999): Assessing Safety CriticalCOTS Systems. Journal of the System Safety Society35(2):

VOLZER, H., ATCHISON, B., LINDSAY, P.,MACDONALD, A. and STROOPER:, P. (2002): A Toolfor Subsystem Configuration Management. Proc. ICSM2002, IEEE Press.