Problemi di security OPCDA e DCOM di Microsoft
La security rappresenta un problema ed è tipico della sfida continua nel settore dell’Automazione per mantenere un sistema stabile e funzionante in un ambiente con hardware e software in continua evoluzione. E’ questo il caso di un sistema di ispezione visiva installato oltre 15 anni fa con un significativo investimento. Il cambiamento è stato necessario per l’iniziativa di Microsoft di aumentare gli standard di security per la rete di dati nel software Windows.
Nello stabilimento, i sistemi IT sono profondamente integrati con il processo produttivo ed i sistemi OT. I sistemi di ispezione visiva, ad esempio, hanno una connessione diretta e in tempo reale al sistema di controllo principale utilizzando OPC DA, il protocollo industriale standard basato su tecnologia COM/DCOM di Windows.
Utilizzando in rete OPC DA si richiede che DCOM sia attivo, e le impostazioni di security possono a volte essere complicate da configurare. Per gestire il sistema in modo efficiente e le comunicazioni più veloci, il Team di Automazione dell’impianto ha sempre usato al minimo la security DCOM. Ora, con l’applicazione obbligatoria della patch di security Windows di Microsoft sono tuttavia consentiti solo i due livelli più alti di autorizzazione di DCOM. La configurazione e l’attivazione di queste impostazioni più elevate ha creato problemi. L’impianto aveva inoltre anche altri requisiti di security che rendevano il ripristino da qualsiasi interruzione dell’OPC estremamente difficile e dispendioso in termini di tempo, causando ritardi nella produzione di diverse ore.
Un nuovo approccio: il Tunneling
Ciò di cui l’Automation Manager Doody aveva bisogno era un modo diverso per connettere i client OPC sui PC che eseguono i sistemi di controllo visivo con il server OPC sul sistema di controllo principale. Si è esplorata la strada di fare un aggiornamento da OPC/DA ad OPC/UA, la “nuova” versione di OPC, per evitare di continuare ad utilizzare DCOM: purtroppo questa opzione non era possibile per ragioni tecniche (non era ancora disponibile OPC UA per tutti i dispositivi e gli applicativi utilizzati) ed economiche (impegno di costo per l’aggiornamento dei dispositivi, oltre alla necessità di riconvalida dei sistemi in uso). Una ricerca sul web su come bypassare il collo di bottiglia di DCOM ha portato alla conoscenza del concetto di tunneling OPC e al software Cogent DataHub.
“Mentre studiavo come utilizzare il tunneling ho trovato il sito web di Cogent DataHub, ho letto i casi di studio e le testimonianze di supporto e ho scoperto come l’applicazione fosse facile da integrare in sistemi come il nostro”, ha affermato Doody. “Sembrava che, una volta implementata, l’avrei potuta passare al nostro gruppo di supporto in Produzione, che avrebbe potuto prendersene carico senza che io dovessi continuare a supervisionarla.”
Per una prova, su una linea di produzione ha configurato una connessione tunnel tra il PC del controller principale e quattro PC del sistema di visione. Originariamente, la security sia per i PC del sistema di visione che per il PC del controller principale era configurata sulla LAN dell’impianto e tutti gli accessi erano eseguiti tramite il controller di dominio di Active Directory e dovevano essere identici.
Con il tunnel, l’istanza DataHub sul controller principale si connette al server OPC utilizzando le normali credenziali di accesso. L’istanza DataHub su ciascun PC del sistema di visione effettua una connessione in tunneling all’istanza DataHub sul controller principale e riceve i dati. Ognuna di queste istanze DataHub è configurata come server OPC DA, consentendo al sistema di visione di connettersi come client OPC.
Ora, poiché il client OPC su ciascun sistema di controllo del sistema di visione si connette a un’istanza DataHub locale, il Team di Automazione è stato in grado di rimuovere quei PC dalla LAN dell’impianto. Non ha più bisogno di imporre gli accessi degli utenti al controller di dominio. Ogni utente accede indipendentemente dall’accesso del controllo principale. Qualsiasi irregolarità o interruzione della connessione non richiede più la risincronizzazione degli accessi di sicurezza su più macchine. Dopo una settimana di test del primo sistema, l’Automation Manager Doody si è sentito sicuro di poter implementare la soluzione su tutte le restanti tre linee. Ora tutte le connessioni utilizzano il tunneling DataHub e i vantaggi sono evidenti.
Uno sguardo alla convalida
Oltre alla facilità di implementazione con poco sforzo da parte del personale interno, anche la parte di qualifica/convalida è stata effettuata con un impegno agevole. Cogent DataHub è un layer software assolutamente standard, utilizzato in un numero considerevole di installazioni in tutto il mondo. Gli sviluppatori utilizzano metodi e tool di sviluppo secondo i massimi criteri di sicurezza e compliance a norme e standard internazionali e di mercato. Una volta documentato e qualificato sull’infrastruttura sulla quale viene installato, Cogent DataHub diviene assolutamente trasparente e consente la totale funzionalità delle applicazioni senza introdurre variazioni alle applicazioni stesse. Cogent DataHub viene fornito con una consolle di monitoraggio e controllo, il DataHub Data Browser, che consente di valutare performance ed eventuali anomalie nonché la verifica dell’integrità del dato nella comunicazione in rete.
Alcune riflessioni sulla soluzione
“Prima, se una connessione OPC si interrompeva, potevano volerci da una a cinque ore per riaccendere i PC che erano fuori dominio, registrarsi, autenticarsi con l’account utente, inizializzare le schede di rete, connettersi alla LAN dell’impianto e PC di linea, connettersi a OPC, calibrare l’applicazione e altro ancora”, ha affermato Doody.
“Adesso non ricevo più segnalazioni significative di fermi macchina”, ha continuato. “La nostra applicazione si connette ancora più velocemente all’istanza locale del server OPC. Il tunneling con DataHub rende molto più semplice il debug del motivo per cui la connessione non fallisce. Finora abbiamo avuto solo un caso in cui OPC non è riuscito a connettersi alla nostra applicazione e guardando il DataHub Data Browser abbiamo potuto vedere che ciò era dovuto al fatto che l’applicazione di tunneling non era attiva sul lato server. Prima ciò sarebbe stato molto più difficile da diagnosticare ed avrebbe comportato numerosi riavvii del PC in attesa e nella speranza che si potesse ristabilire questa connessione”.
“Mettere in piedi l’intera soluzione è stata praticamente un gioco da ragazzi per il Management e facile da giustificare come investimento, perché consentiva di risparmiare un sacco di soldi, piuttosto che aggiornare le linee con costosi interventi di revamping. Sono stati coinvolti anche l’IT e l’Ingegneria, perché era facile da implementare e davvero facile da mantenere. E poi anche il Try-and-Buy ha aiutato: ottenere le licenze di prova così facilmente, leggere le istruzioni per implementarle sui nostri sistemi è stato fantastico, senza soluzione di continuità, per il nostro lavoro.”
Tratto ed integrato da: Case Study: Pharmaceutical Device Manufacturing