plc4good.org.ua/view_post.php?id=158
Вкратце:
– Разграничение доступа к элементам управления на панели оператора
– Блокировка доступа к экранчику 1500-го контроллера
– Ограничение доступа к контроллеру по сети
AT 2 – Security Integrated
Автор: Matthew Thornton (Marketing Manager at Siemens AG)
Видео: 9.01 мин.
+ текстовый перевод (русский)
Приблизительный перевод
0:30
Неавторизованный доступ и изменения могут принести огромный негативный эффект для вашей системы. Обычно должна использоваться безопасность. Итак, если вы посмотрите на мой стенд автоматизированной системы, имеющей S7-1500 с локальными модулями ввода вывода, удаленной станцией ввода вывода и панелью, соединенные по Profinet.
0:48
Первым шагом, которым мы начнем, будет наладка администрирования пользователей для панели, для различного уровня управления.
Если я зайду сюда и перейду в администрирование под этой панелью – я имею две группы пользователей предустановленных автоматически. Группа администраторов и группа пользователей. В группе администраторов я имею все уровни контроля, и группа пользователей имеет только права Управления и Мониторинга. Это прекрасно.
Я добавлю двух новых пользователей. В первую очередь я переименую пользователя в ad, это будет имя. Изменим пароль на 123 и подтвердим его 123. Клик Ок. Во вторых введем оператора, будет op, это будет именем. Пароль будет 456, подтвердим его также 456. Клик Ок.
1:30
Итак, если вы посмотрите на панель, вы увидите первый вид, который я имею, более похожий на вид обслуживания. Итак, мы можем видеть, включены или выключены клапана, запущен ли действительно насос, также как и актуальный уровень в емкости.
Я не имею сейчас функций управления, поэтому первой вещь, которую я хочу сделать, это дать оператору контроль над этим насосом и включением миксера.
Итак, я перехожу на экран машины. Выбираю иконку сверху, нажимаю правую клавишу и перехожу к свойствам. Перехожу вниз к Безопасности и выбираю Управление – разрешая контроль, это правильно.
Следующая вещь, которую я хочу сделать – дать администратору права на первый клапан, который прямо здесь. Чтобы, например, если они могут, изменить рецепт или нет, это уровень администратора.
2:15
Дадим фокус на него. Перейдем к Безопасности на вкладке Свойства и выберите Администрирование Пользователи. Теперь все что я должен сделать, это перенести фокус на панель и кликнуть на кнопке со стрелкой Загрузить. Начинается компиляция сделанных изменений. Компилируются изменения для обеих этих разных кнопок. Перезаписать все. Клик на Загрузить. Это действие загрузит новую конфигурацию с текущими правами администрирования. Используется перезагрузка панели прямо сейчас. Происходит обновление через несколько секунд. И теперь это завершено. Итак, что сделаем вначале. Здесь экран обслуживания. Конечно, вы можете видеть клапана и можете попробовать включить выключить их. Перейдем к кнопке миксера и насоса и нажмем на нее. Введем пользователя, имя op, то, что мы ввели ранее. Пароль будет 456, нажмем ОК. Теперь мы можем перейти в это экран. Включить насос, изменить уровень и включить миксер. Перейдем назад в экран обслуживания. Вы видите все полностью функционально.
3:33
Как насчет изменения рецепта. Если я перейду к клапану 1. Нажму на поле пользователя. Введу ad, которое мы настроили, для администратора. И пароль должен быть 123. Клик Ок. Вернемся на экран. Нажмем на плюс или минус, означающее позицию клапана. Я могу манипулировать и изменять рецепт. Ок, это стандартная архитектура для HMI систем, администрирования пользователей, которые имеют права делать что-то.
4:02
Чтоже нового?
Мы имеем дисплей на 1500ом и вы можете изменять с него IP адрес. Можем ли мы запретить это? Хорошо, конечно мы можем, позвольте мне показать, как это сделать.
Перейдем к CPU здесь, и переместим фокус на вид Конфигурации Устройства. Выделим и по правой клавише откроем свойства. Если я пролистаю вниз и перейду к свойству Дисплей, внизу экрана. Установим Разрешить Защиту Дисплея. Это правильно. Пароль должен быть 123, введенный дважды. Переместим фокус на CPU снова. Клик на кнопке Загрузить. Сейчас происходит компиляция этих изменений также, добавляя разрешения или запрет на работу дисплея. Теперь компиляция закончена. Я могу нажать на Остановить все. Клик на Загрузить. Теперь мы видим переход в режим СТОП. Клик на Финиш. Сейчас рестарт и снова RUN.
Можем ли мы изменить сейчас IP адрес? Пошли, посмотрим. Перейдем в Настройки. Клик ОК. Перейдем в адреса. Первый адрес. Перейдем вниз к IP. Если у вас есть небольшая ручка, вы можете изменить нажав на Ок. Клик на Ок снова. Введем пароль. Клик Ок. 123. Это наш пароль. Клик ОК еще раз в этой точке. И я теперь могу увидеть курсор и могу изменить IP адрес.
5:31
Вы можете закрыть доступ снова, нажав ESC, выйдя и видите теперь есть настройка экрана защитить экран. Клик ОК. Теперь экран защищен паролем снова.
5:46
Что насчет контроллера и его программы?
Хорошо, я могу сделать туже вещь, выделим CPU, перейдем в Свойства, перемотаем вниз, клик на Защита. Стандартная настройка, вы можете видеть, это полный доступ, и варианты, которые мы всегда имеем. Однако мы имеем кое-что новое, которое называется уровнем 4.
Перед тем как показать это, действительно быстро, я хочу кликнуть на HMI доступе, перемотать вниз и вы увидите – выбор механизм соединения который забывает соединения с OPC серверами SCADA систем или все соединения между контроллерами могут быть разрешены.
Однако, если я выберу уровень 4. Все соединения от OPC серверами будут закрыты, или между контроллерами. Итак, я не хочу выбирать уровень 4 для этого контроллера. Вернусь назад и введу пароль admin дважды. Перенесу фокус на CPU. Клик на кнопку Загрузить сейчас, происходит компиляция изменений в этой программе. По окончании компиляции нажмем ОК. Остановить Все. Клик на Загрузить. Видим переход в режим СТОП. Клик на Финиш. Видим рестарт и сейчас мы видим, что контроллер загружен тоже. Однако я имею сейчас полный контроль с панели, потому что есть существующее соединение.
До того как я перегружу соединение и разорву его. Сейчас закроем программу, подождите пока это произойдет. Рантайм полностью закроется и будет рестарт. Как только я сделаю рестарт, произойдет соединение с защищенным CPU уровнем 4. Однако, вы видите, что мы получили знаки в полях вывода. Насосы показаны как неработающие, вы также можете видеть отсутствие уровня при движении слайдера. Это полностью рабочая система, но вы не можете видеть ее состояния. HMI панель не может ни видеть ни записывать ничего.
7:52
Способ для решения этого, дать панели соединение для этого контроллера. Перейдем к соединениям. Защита доступа паролем admin. Выберем HMI и нажмем кнопку Загрузить. Сейчас происходит компиляция, с новой информацией о защите контроллера и панели. Теперь компиляция закончена, перезаписать все и Загрузить.
Загружаются оригинальные экраны, включая администрированных пользователей также, как и новое безопасное соединение между 1500ым и панелью, позволяющее соединятся друг с другом. Сейчас, передача почти завершена, снова рестарт.
И как вы можете видеть, есть состояния клапанов и даже уровень, изменяя положение слайдера, вы можете видеть изменение уровня.
Это значит, что вы имеете безопасное соединение между этими элементами и контроллером, и это значит, что только эти два участника могут соединяться друг с другом.
И мы сделали это всего за несколько минут, это и есть инженерная эффективность.
Оцените статью!