Bezpečnosť

Bezpečnosť bezdrôtových sietí sa odjakživa spochybňovala. Stačí sa postaviť do blízkosti obytnej budovy s notebookom v ruke a otestovať dostupnosť bezdrôtových sietí. Nezriedka sa stáva, že do sietí je neobmedzený prístup bez potreby hesla. Zatiaľ čo mnohé súkromné bezdrôtové siete sú často nezabezpečené, bezpečnostné štandardy pre firemné, priemyselné a vládne siete sa v posledných rokoch rapídne vyvinuli. Osvojili si ich pritom mnohé organizácie. Jeden z prvých bezpečnostných algoritmov WEP (Wired Equivalent Privacy) s mnohými nedostatkami a trhlinami nahradili neskôr oveľa silnejšie, dokonalejšie a bezpečnejšie prenosové algoritmy.

V roku 2003 nahradil WEP algoritmus tzv. WPA (Wi-Fi Protected Access) vrátane protokolu Temporal Key Integrity Protocol (TKIP). V roku 2004 prišiel na svet WPA2. Používa dokonca bezpečnejší algoritmus Advanced Encryption Standard (AES) 802.11i. Ten je v súlade s NIST FIPS 140-2 (NIST – National Institute of Standards and Technology), ktorý požadujú niektoré vládne agentúry a korporácie v USA. Tieto štandardy sú schopné ochrániť masívne komunikačné siete. V priemyselnom prostredí by sa na bezpečnú komunikáciu mali používať iba produkty v súlade s WPA2.

Výkon a spoľahlivosť siete

Spoľahlivosť bezdrôtovej siete závisí od mnohých faktorov, ako sú jej veľkosť, fyzikálne prostredie, počet používateľov siete, jej zaťažiteľnosť a interakcia s ostatnými zariadeniami. V bezdrôtových sieťach s menším rozsahom poskytujú zariadenia solídny výkon v režime peer to peer, kde je každé zariadenie schopné detegovať iné podobne konfigurované zariadenie v rámci svojho dosahu a komunikovať s ním. Tento režim si vyžaduje iba nízke výdavky na hardvér a je užitočný najmä pri dočasných bezdrôtových sieťach. Pre väčšie siete je zvyčajne vhodný infraštruktúrny režim, ktorý nadväzuje komunikáciu cez jeden alebo viac bezdrôtových prístupových bodov (AP).

Odkedy je bezdrôtová komunikácia založená na báze rádiových signálov prenášajúcich sa vzduchom, fyzikálne prostredie má na výsledný výkon siete jednoznačný vplyv. Akékoľvek prekážky, ako sú drevo, kov, betón atď., ovplyvňujú dráhu signálu. Riešením je strategicky umiestniť prístupové body, bezdrôtové smerovače a opakovače, aby dokázali pokryť celý priestor potrebný pre bezdrôtový prenos. Spoľahlivosť siete závisí takisto od počtu používateľov a spôsobu, ako sieť využívajú. Prenos jednoduchých dát si zvyčajne vyžaduje iba úzke prenosové pásmo. Prenos väčších súborov resp. multimediálna komunikácia dokáže rapídne spomaliť prevádzku siete. Siete so štandardom 802.11a alebo g sú rýchlejšie (max. 54 Mb/s) ako 802.11b (max. 11 Mb/s). Rádiofrekvenčné interferencie a elektromagnetická kompatibilita znižujú spoľahlivosť siete.

Bezdrôtový signál ovplyvňujú aj zariadenia ako bezdrôtový telefón, bluetooth prístroje a dokonca aj mikrovlnné rúry. Zníženie miery interferencie s inými zariadeniami si môže vyžadovať zmenu frekvencie kanála v rámci dosahu alebo presun na inú, menej zaťaženú frekvenciu. Bezdrôtové siete kompatibilné so štandardmi 802.11b alebo g používajú napríklad frekvenciu 2,4 GHz, o ktorú sa delí mnoho zariadení. Presun do systému kompatibilného s 802.11a využívajúceho 5 GHz síce môže znamenať nižšie interferencie, ale aj kratší dosah. Bezdrôtové štandardy sa líšia aj v počte neprekrývajúcich sa kanálov. Štandard 802.11b a g umožňujú iba tri takéto kanály, takže ak sa v rovnakom systéme požadujú viac ako tri prístupové body, frekvencie sa musia použiť opätovne. Viac kanálov ponúka štandard 802.11a.

Dostupnosť a cena V/V komponentov

Zatiaľ čo obavy o bezpečnosť a výkon bezdrôtových technológií sa vo všeobecnosti objavujú u používateľov všetkých bezdrôtových sietí, obavy o dostupnosť a cenu vstupno-výstupných komponentov sú v priemyselnej automatizácii unikátne. Väčšina automatizačných výrobcov bezdrôtových technológií v súčasnosti ponúka produktové línie, ktoré sa podstatne líšia od bežných radov. Bezdrôtové riešenie môže výrobca získať buď jeho kúpou, alebo vlastným vývojom.

Jednou z možností je, že podmnožinu bežných produktov možno prispôsobiť na bezdrôtové použitie špeciálnymi modulmi alebo podobnými zariadeniami. Každopádne tieto riešenia môžu koncovým zákazníkom spôsobiť problémy. Bezdrôtové V/V komponenty ako súčasť osobitných bezdrôtových produktových radov alebo ako podmnožina bežných produktov nemusia disponovať vlastnosťami požadovanými aplikáciami alebo takými, ktoré zjednodušujú návrh, ako sú jednoduchšie metódy káblovania prevádzkových prístrojov. Ak si napríklad aplikácia vyžaduje špecifické vstupné signály alebo izolovaný kanál, bezdrôtová V/V produktová línia ich nemusí obsahovať.

Obmedzená dostupnosť môže znamenať citeľné náklady navyše, alebo dokonca vylúčenie bezdrôtovej technológie z okruhu možných kandidátov nasadenia. Zriadenie bezdrôtovej siete akejkoľvek veľkosti si spravidla vyžaduje nákup špeciálnych bezdrôtových komponentov, ako sú V/V moduly, rámy a ukončenia. Prakticky vo všetkých prípadoch, keď si koncový zákazník nainštaluje bezdrôtovú automatizačnú sieť, musí vytvoriť osobitný sklad náhradných dielov ako doplnok k tým pre tradičné drôtové systémy. Špeciálne komponenty a dodatočné náhradné diely zvyšujú výsledné náklady na inštaláciu bezdrôtového systému. Najlepším riešením je hľadať výrobcu so širokou škálou spoľahlivých bezdrôtových V/V prvkov a najlepšie takého, ktorého rady V/V komponentov sú nezávislé od typu siete.

Nevyhnutnosť výberu riešenia

Inžinieri musia pri výbere bezdrôtovej technológie dbať na dostupnosť a náklady celého riešenia. Ak je bezdrôtová verzia produktovej línie ich dodávateľa odlišná, musia sa na začiatku celého projektu rozhodnúť, či vybrať drôtovú alebo bezdrôtovú komunikáciu. Vopred musia špecifikovať komponenty a metódu výberu siete. Výber siete v začiatočných štádiách projektu má zásadný vplyv na návrh celého systému od celkového prístupu až po detaily prevádzkových pripojení. Ak sa vybraná metóda ukáže ako sklamanie, jej zmena predstavuje značnú dodatočnú časovú a finančnú investíciu nielen do kúpy, inštalácie a konfigurácie nových komponentov, ale aj do tvorby nového návrhu.

Tieto dodatočné náklady často zahŕňajú nielen V/V a sieťové komponenty, ale aj výdavky na softvér v podobe licencií, školenia a programovanie bezdrôtových V/V prvkov. V ideálnom prípade by sa V/V prvok od výrobcu správal ako typický prenosný počítač, ktorý disponuje drôtovým aj bezdrôtovým pripojením, a preto sa dokáže prispôsobiť jednej alebo druhej sieti a dokáže využívať v jednej aj druhej rovnaký softvér. Kedykoľvek po kúpe takéhoto prenosného počítača sa môže pristúpiť k výberu typu siete, ak si to okolnosti vyžadujú.

Obavy z bezdrôtových riešení

Obavy inžinierov na strane koncových zákazníkov by sa značne zmiernili, ak by sa výrobcovia automatizačných komponentov pridŕžali týchto štyroch zásad:

  • zakomponovať širšiu podporu bezdrôtových štandardov – nie iba 802.11b, čím by dali inžinierom možnosť zvýšiť systémovú spoľahlivosť,
  • zahrnúť podporu pre najlepšie bezpečnostné štandardy,
  • ponúknuť kompletnú škálu bezdrôtových V/V komponentov, v ideálnom prípade mať rovnakú produktovú líniu ako pre drôtové riešenia, a redukovať počet extra komponentov alebo adaptérov potrebných na bezdrôtovú inštaláciu,
  • navrhnúť kontroléry a V/V prvky, ktoré dokážu podľa potreby komunikovať s drôtovými aj bezdrôtovými sieťami.

Širšia podpora bezdrôtových štandardov

Širšia podpora znamená, že výrobcovia by zahrnuli viac ako len štandard 802.11b a dali by tak inžinierom možnosť prispôsobiť sa individuálnym požiadavkám aplikácií. Ak by sa podpora týkala troch v súčasnosti svetovo najpoužívanejších štandardov IEEE 802.11a, b a g, inžinieri by mohli použiť na stavbu bezdrôtovej siete prístupové body, smerovače a opakovače prakticky od každého dodávateľa. V závislosti od požiadaviek systému by mohli zvoliť vyššie prenosové pásmo 5 GHz, aby predišli interferenciám s ostatnými zariadeniami, alebo by mohli vybrať rýchlejší štandard pre väčšiu priepustnosť. Tiež by sa mohli rozhodnúť medzi infraštruktúrnym režimom a peer to peer podľa toho, ktorý by sa viac hodil k veľkosti a dizajnu siete.

Podpora dôkladnej bezpečnosti

Pre systémovú bezpečnosť je WEP nedostatočný a dokonca aj WPA je menej ako ideálny. Algoritmus kódovania WPA2 s 802.11i AES poskytuje najodolnejšiu ochranu priemyselných bezdrôtových aplikácií. Každopádne – vzhľadom na to, že niektoré aplikácie využívajú staršie štandardy alebo nepožadujú vysoko bezpečné prenosy – podpora všetkých troch štandardov (WEP, WPA a WPA2) by mala byť zakomponovaná z dôvodu spätnej kompatibility.

Kompletná ponuka bezdrôtových V/V prvkov a znížený počet bezdrôtových komponentov

Z pohľadu automatizačných inžinierov sa s osobitným produktovým radom pre bezdrôtové riešenia resp. podmnožinou tradičnej drôtovej formy pracuje pomerne zložito. Naproti tomu možnosť využívať tie isté V/V komponenty v pevných drôtových, ako aj bezdrôtových sieťach by priniesla citeľné úspory času a nákladov v priebehu návrhu, implementácie a použitia. Vo fáze návrhu by inžinieri mohli špecifikovať V/V prvky s vedomím, že si môžu vybrať akýkoľvek model z ponúkanej škály a riešenie bude funkčné v oboch sieťach.Počas implementácie by sa tie isté metódy a náklady na inštaláciu V/V a pripojenia k prevádzkovým prístrojom vzťahovali na obe siete.

Potom by preškolenie technikov nebolo nevyhnutné. V prípade, že by sa v priebehu projektu zmenil typ komunikácie z bezdrôtovej na drôtovú, nesúviseli by s touto zmenou žiadne dodatočné náklady na V/V prvky alebo prevádzkovú kabeláž. Počas systémového využívania by bolo potrebné mať na sklade iba jednu skupinu náhradných dielov bez ohľadu na to, či by bolo v prevádzke drôtové alebo bezdrôtové riešenie. Navyše bezdrôtové riešenie by bolo výraznejšie atraktívnejšie, ak by koncový zákazník požadoval celkovo menší počet bezdrôtových komponentov. Nižšie by tak boli i náklady na systém, ako aj na skladové náhradné diely.

Drôtová a bezdrôtová podpora kontrolérov a V/V prvkov

Skutočná flexibilita sa vyznačuje tým, že bezdrôtové kontroléry a V/V prvky podporujú drôtovú aj bezdrôtovú formu komunikácie podobne ako prenosný počítač. Na začiatku projektu sa tak dá vyhnúť ťažkým rozhodnutiam. Ak inžinier použije vo svojom návrhu bezdrôtové technológie a potom zistí, že klasická drôtová forma by bola lepšia, stále je schopný použiť ten istý hardvér. Zakomponovanie bezdrôtového rozhrania do klasických kontrolérov a V/V prvkov ponúka novú možnosť segmentácie siete.

Napríklad kľúčové V/V prvky a kontroléry by používali drôtovú technológiu, zatiaľ čo menej dôležité úlohy údržby, riešenia drobných problémov a rozhrania človek – stroj by sa mohli riešiť bezdrôtovo – podobne ako pri prenosnom počítači. Tak, ako v prenosnom počítači, funkcie dostupné v kontroléroch a V/V prvkoch by mali byť tie isté, bez ohľadu na to, ktorá sieť sa používa. Rozdielne by bolo iba fyzikálne médium, takže všetky vlastnosti V/V a podporovaných protokolov by boli totožné. Zmeniť by sa nemusel dokonca ani softvér. Vzhľadom na to, že riadiace a HMI programy by bežali v drôtových aj bezdrôtových sieťach bez modifikácie, neexistovali by žiadne ďalšie náklady na licencie, školenia, programovanie a údržbu.

Ponuka na trhu

Na trhu už existujú výrobcovia, ktorí zakomponovali mnohé z uvedených riešení do svojej ponuky bezdrôtových produktov. Jedným z takýchto produktov je napríklad PAC systém - inteligentný distribuovaný systém vhodný pre priemyselnú automatizáciu, diaľkové monitorovanie a zber dát, ako aj V/V prvky. Riadenie v PAC systéme je distribuované medzi programovateľnými automatizačnými kontrolérmi a inteligentnými vzdialenými V/V procesormi.

Kontroléry aj procesory zabezpečujú komunikáciu systému. Niektorý výrobcovia týmto kontrolérom a procesorom doplnili možnosť komunikácie cez bezdrôtovú sieť LAN bez toho, aby museli nejakým spôsobom obmedziť už existujúce komunikačné funkcie. Kontroléry niektorých výrobcov majú napríklad dve nezávislé ethernetové rozhrania (dve IP adresy, dve sieťové karty). Dajú sa použiť ako redundantné linky alebo na segmentáciu siete. Doplnenie bezdrôtovej podpory znamená, že PAC systém disponuje troma ethernetovými rozhraniami – dvoma drôtovými a jedným bezdrôtovým. PAC procesory majú dve prepínané ethernetové rozhrania (s jednou IP adresou). Ak je potrebné, tieto rozhrania umožňujú vytvoriť inteligentným V/V procesorom uzavretý cyklus.

Doplnenie bezdrôtovej podpory v tomto prípade znamená doplnenie druhej IP adresy, takže procesor môže komunikovať po drôtovej alebo bezdrôtovej sieti podľa požiadavky aplikácie. Kontroléry aj procesory si uchovávajú rovnaké vlastnosti a funkcie bez ohľadu na to, či sú nasadené v drôtovej alebo bezdrôtovej sieti. Bezdrôtová technológia plne podporuje priemyselné protokoly využívané cez drôtové ethernetové rozhrania, ako sú Ethernet/IP, Modbus/TCP, SNMO, SMTP, MMP, či FTP. Navyše bez ohľadu na fyzikálnu podstatu siete sa používa rovnaký riadiaci a HMI vývojový softvér.

www.opto22.com