Está en la página 1de 14

Lectura actividad 8

ESTANDARES DE INTERCONECTIVIDAD EN SOFTWARE Y HARDWARE

La primera versin de Active X fue llamada DDE (Dinamic Data Interchangue) o tecnologa de Intercambio Dinmico de Datos, y se desarroll para que las aplicaciones bajo Windows intercambiaran entre si informacin. Los primeros sistemas SCADA bajo windows utilizaron esta tecnologa como estndar de intercambio de datos. El Estndar DDE, es bsicamente un programa que puede ser reutilizado por otros programas. Para ejecutarlo se coloca dentro de un contenedor, o bloque de funcin que usa interfaces COM. Mientras que el estndar original era limitado en cuando a capacidad de intercambio de informacin, posteriores versiones como, FastDDE y AdvanceDDE, incorporaron el intercambio de bloques de informacin posicionndolas por muchos aos como las principales tecnologas en comunicacin usadas en SCADA. Cuando un sistema SCADA usa la tecnologa DDE, esta le provee a cada componente o grupo de componentes SCADA un acceso DDE, el cual le asigna un nombre de aplicacin y unos tpicos a controlar (Topic name). Estos tpicos se colocan como enlaces dentro de la aplicacin, en los cuales iran las funciones de configuracin, direccin, velocidad, etc. de cada dispositivo. Posteriormente se cre una tecnologa que no solo permita compartir objetos e intercambio de datos, sino que adems permita vincular e insertar objetos dentro de aplicaciones o documentos; esta tecnologa se denomina OLE (Object Linking and Embedding, Vinculacin e Insercin de Objetos). La diferencia entre insertar y vincular, es que un objeto insertado dentro de un documento, entra a hacer parte fsica de ese documento, mientras que un objeto vinculado sigue siendo un objeto independiente, el cual se puede modificar independientemente del documento donde est vinculado. Una mejora de objetos OLE fue llamada OCX. Esta nueva clase de objetos tenan herramientas suficientes para notificar a los objetos sucesos o eventos, y actuar de acuerdo a ellos. Active X se puede decir que es una tercera versin de OLE, y aparece junto con el concepto de RED. Esta tecnologa facilita la tarea de implementar servicios en redes de comunicacin y controles en servidores Web como, por ejemplo, una animacin o el no permitir la ejecucin de dichos controles sin el beneplcito del usuario. Active X no se puede ejecutar como un archivo .exe; ya que no es una aplicacin independiente, sino una aplicacin dentro de otra aplicacin. Incorporar un Control ActiveX en una pantalla supone aadir un objeto con cdigo asociado que realiza una determinada funcin de forma totalmente integrada dentro de la aplicacin que estamos tratando, basta con establecer los enlaces necesarios entre las variables de la aplicacin y las del Control ActiveX. Cuando Usted compra un objeto ActiveX en realidad compra una licencia para usar este objeto en su aplicacin. Los controles ActiveX consisten en programas que realizan tareas comunes en entornos Windows o Macintosh. Por ejemplo, un objeto ActiveX, puede ser el servidor o driver de un PLC como SIMATIC (Siemens). Este driver tiene propiedades para definir los

datos a ser ledos desde el PLC, mtodos para iniciar la lectura de los valores y eventos para informar que los datos han sido recibidos desde el PLC. Debido a que los objetos ActiveX son basados en COM, ellos pueden ser usados en cualquier aplicacin que soporta COM, tal como Visual Basic, Internet Explorer, Borland Delphi, Software SCADA Genesis32 de Iconics, etc. OPC (OLE for Process Control) es un estndar diseado para comunicar sistemas, dispositivos y aplicaciones, como las comunicaciones entre un software SCADA y los buses de comunicacin con los autmatas; o una aplicacin SCADA y otras aplicaciones de gestin con acceso a los datos de planta, etc. Los productos OPC (Clientes y Servidores), pueden ser usados con Visual Basic y sus variantes. OPC es un estndar orientado al intercambio de datos, independientemente de la tecnologa usada para hacerlo, usando ya no varios drivers para cada dispositivo, sino un driver OPC para todos, definiendo una interface comn, y un programa servidor que slo debe escribirse una vez y ser utilizado entonces por cualquier software. Esto tambin permite que los servidores OPC tengan una fcil integracin en aplicaciones como Visual Basic, Excel, Access, etc. En OPC, El intercambio de datos est basado en la tecnologa COM y DCOM, de Microsoft, que permite el intercambio de datos entre aplicaciones ubicadas en uno o varios ordenadores mediante estructuras Cliente-Servidor, es decir, arquitecturas de varios clientes y servidores, accediendo a los datos de forma local o remota y gestionando la informacin en tiempo real. La estructura bsica de un sistema basado en OPC, se compone de Clientes OPC y servidores OPC, comunicados a travs interfaces OPC clientes o servidor, bajo estndares como DCOM. Los OPC clientes se caracterizan por el manejo de datos que adquieren de los OPC servidores, los cuales a su vez estn conectados a los elementos de campo. El servidor OPC guarda en una base de datos los correspondientes a cada elemento de campo y los clientes pueden acceder a estos datos cuando los requiera. El cliente remoto usa el estndar OLE / DCOM y el local OLE / COM. Visual Basic para Aplicaciones , es un lenguaje de programacin (basado en scripts) incorporado en las aplicaciones de Microsoft Office. Est muy extendido y es aceptado por diversos fabricantes, por lo que se va convirtiendo en un estndar "de facto" que presenta una muy buena relacin entre potencia y dificultad de aprendizaje y uso. El uso de un lenguaje comn tambin facilita la integracin de objetos suministrados por terceros, en la medida que aplican este mismo estndar. Adems, permite interactuar directamente con las aplicaciones de Office (Access, Excell, Word, ), de BackOffice y de otros productos compatibles

Necesidades de seguridad en sistemas SCADA


Las principales amenazas de seguridad en sistemas SCADA son:

Espionaje: Recopilacin legal o ilegal de informacin clasificada, que luego sea usada para provecho personal o para afectar a la competencia. Sabotaje: Destruccin de los medios del competidor, para beneficio propio, o sencillamente para perjudicar la competencia. Vandalismo: Sabotaje sin ningn tipo de provecho. Intrusin (Crackers): Intrusin a sistemas informticos sin permiso, rebasando todas las barreras de seguridad. Robo electrnico: Robo de datos confidenciales, como cartera de clientes, contraseas, datos de configuracin; ya sea por intrusin o por soborno a los empleados. Troyanos: Programas de computador indeseables, que provocan fallos de funcionamiento o extraccin de datos sin permiso. Bombas de tiempo: Programas que se activan luego de determinado tiempo. Estos programas pueden ser de operacin o configuracin de equipos; secuencias de operacin, etc. Puertas traseras: Se refiere a las entradas no legales o no permitidas a informacin clasificada. DoS (Denial of Service o negacin de servicio): Accin que satura los recursos de una red informtica para que los usuarios no puedan usarla. Esto se hace normalmente mediante el envio masivo de solicitudes a un servidor determinado que termina por agotar los recursos de servicio. Una variante Distributed DoS trata del envo de estos programas de llamada desde varias estaciones, de tal manera que sea muy difcil identificar la fuente. Intrusin electrnica: Diferente al robo electrnico. Se refiere a la entrada en una subestacin va electrnica (telfono, radio) para manipular o interferir el equipo electrnico (controladores, ordenadores, autmatas, etc.). Este equipo electrnico puede ser o un servidor, o un actuador elctrico configurable. Debido a que muchas unidades RTUs son controladas va red, esto hace mas posible la intrusin electrnica a equipos terminales. Con respecto a las necesidades de seguridad en las MTUs el atractivo que tiene para los infractores en la seguridad de las unidades maestras es que ellas procesan toda la informacin proveniente de la red de automatizacin, tiene acceso ilimitado a todos los componentes del sistema, normalmente tiene todos los documentos de instalacin, manejo, mantenimiento u operacin de la tecnologa usada por cada RTU y las comunicaciones del sistema, tienen registros de archivos detallados e histricos del sistema y Controlan las operaciones de la planta. La unidad maestra puede estar organizada como un sistema centralizado o distribuido. Si el sistema es centralizado, bsicamente todas las operaciones del sistema estn comandadas por una MTU central; mientras que si el sistema es distribuido, se reparten funciones especializadas

entre distintas MTUs. La segunda opcin es la mejor en materia de seguridad. Cuando varias unidades maestras, se distribuyen el manejo de informacin y se lo comparten entre si, de tal manera que hay copias de seguridad en varias estaciones, se dice que usan servidores redundantes. Las principales necesidades en cuanto a seguridad en MTUs son: Seguridad en software y configuracin de sistemas y seguridad en el manejo de informacin. Puesto que la MTU maneja la configuracin de cada sistema controlado, los niveles permitidos de variables fsicas, las alarmas, los tiempos de ejecucin, etc. Cualquier variable de configuracin necesita de un nivel de seguridad tal que solo le permita al personal autorizado cambiar la configuracin de cualquier punto del sistema SCADA. Un aspecto crtico en sistemas SCADA es la parada del sistema. A veces no es tan sencilla la puesta en marcha del sistema central. Vacios en la seguridad pueden provocar indeseables paradas del sistema, y muchas veces, grandes repercusiones econmicas. Otro aspecto a tener en cuenta con la seguridad de las MTU, es el manejo de informacin de software y configuracin. Muchas veces se centraliza y es solo un empleado que conoce el sistema y sus variables asociadas. Esto es peligroso ya que si el empleado llega a ser despedido, o tiene el temor de ser despedido, puede sabotear el sistema, o llevarse informacin clasificada. Debe existir una copia de seguridad de toda la configuracin. Los clientes MTU deben tener polticas de seguridad claras respecto al acceso a la informacin que se procesa en el sistema SCADA. Hay bsicamente 2 tipos de informacin: datos y control. Ambos tipos deben de ser supervisados. Hay informacin clasificada, detalles tcnicos, que la competencia, o algn operario quisiera saber sobre el sistema que debe asegurarse. El manejo de contraseas en un sistema SCADA es delicado. Como se tratan de sistemas donde muchas veces la planta controlada se encuentra a kilmetros del sistema MTU, en ocasiones es necesario dar contraseas va telefnica, o va red, los cuales son muy susceptibles a violaciones de seguridad. Esto sin contar con los posibles sobornos que puedan recibir los operarios por las claves de acceso. Con respecto a las necesidades de seguridad en las RTUs La mayora de los equipos de campo en la actualidad tienen varias capacidades de manejo de datos y comunicacin integradas o integrables; inclusive algunos manejan tarjetas de red con protocolos de comunicaciones estandarizados, o tarjetas de buses de campo. Estas nuevas tecnologas les dan a estos dispositivos capacidad funcional superior, donde aun ya no dependen del sistema maestro para tomar ciertas decisiones. Muchas veces lo que hace la estacin maestra es enviar un programa que el mismo dispositivo RTU ejecuta. Muchos equipos tienen implementados bloques programables que los convierten en autnticos centros de control, lo que los hace ms deseables como blanco de ataques. Pueden existir dos tipos de ataques: Modificacin directa de sus funciones. Esta modificacin se puede hacer por selectores o consola, y modificacin remota de sus funciones. Se accede a la configuracin de los equipos a travs de enlaces de comunicacin mal protegidos. Un concepto interesante en los efectos de seguridad en RTUs, es el efecto domin. Este se refiere a la incidencia del fallo en un equipo RTU, en el fallo de equipos adyacentes. Esto

es comn en estaciones de control de infraestructuras. Si un enemigo del sistema no puede sabotearlo desde la MTU, lo intentar desde los dispositivos RTU. Finalmente con respecto a las necesidades de seguridad en las comunicaciones, si un intruso no puede acceder a los servidores de las MTU o a las memorias de las RTU para sacar informacin, entonces tratar de hacerlo mediante la intervencin del medio de comunicacin. Las redes de comunicaciones tambin tienen elementos como switches, modems, hubs o routers que posibilitan, direccionan o distribuyen la informacin. Estos elementos deben tambin tener estndares de seguridad de tal manera que al accederlos no se robe informacin. Los enlaces de radio tambin estn sujetos a conexiones piratas. Algunos problemas de seguridad en las comunicaciones pueden originarse debido a: La posibilidad de mantenimiento remoto de routers o switches, que los hace vulnerables, pudindose cambiar su configuracin, tablas de enrutamiento o de encaminamiento, El poco cambio de contraseas de equipos de comunicaciones, o la no deshabilitacin de contraseas antiguas, la poca seguridad que ofrecen algunas redes inalmbricas, el control va internet es muy vulnerable, y se puede acceder a el por medio de la encriptacin de datos, No utilizar redes virtuales (VPN), no restringir el acceso a redes corporativas, acceso indiscriminado de personal a algunos equipos de comunicaciones y cortafuegos, routers y equipos similares sin vigilancia.

Polticas de seguridad en sistemas SCADA


Se propone un plan de seguridad que lo deberan seguir las empresas que implementen sistemas SCADA. Este esquema muestra 4 estrategias en polticas de seguridad: Un proceso metodolgico definido, implementacin de tcnicas de prevencin, desarrollo de estrategias de defensa, y seguimiento de recomendaciones bsicas. El proceso metodolgico debe ser constante y permanente. Se compone de cuatro partes: Anlisis de riesgos, diseo de estrategias, implementacin de estrategias y retroalimentacin. Cada parte del proceso preside y depende del anterior. Para disear las estrategias de seguridad es necesario conocer los riesgos particulares de la empresa. Para implementar las estrategias hay que disearlas. Para retroalimentar el proceso es necesario ver los resultados obtenidos al implementar las estrategias. Un nuevo anlisis de riesgos es el resultado de procesos de revisin y retroalimentacin. La seguridad en sistemas SCADA se resume en dos palabras: prevenir y defender. Debe haber estrategias asociadas a cada una. El objetivo de prevenir violaciones a la seguridad de los sistemas SCADA es evitar las consecuencias fsicas, econmicas y sociales que pueden presentar los errores en este aspecto. Con respecto a las tcnicas de prevencin las estrategias ms comunes en empresas con sistemas SCADA son las relacionadas con los

accesos a sistemas o a informacin, y las relacionadas con los canales de comunicacin. Las tcnicas de prevencin asociadas con el acceso al sistema o a la informacin se enfocan en el control de acceso a la informacin, registro, auditorias peridicas, y una buena administracin y organizacin de la informacin. Las tcnicas asociadas con los canales de comunicacin, tienen que ver con estrategias para que los equipos de computo solo se reconozcan entre si, prevencin contra intercepciones en equipos de radio, tcnicas de encriptacin de paquetes de datos, Uso de tecnologas para mantener confidencialidad, procedimientos de chequeo de trfico en la red, entre otras. No solo es necesaria la prevencin, sino tambin la defensa. Las estrategias de defensa se relacionan con la arquitectura de la red de comunicaciones que use el sistema SCADA y con la implementacin de equipo de proteccin, seguridad y aislamiento. La mejor defensa en materia de redes de informacin es su segmentacin. Las tareas de control y supervisin deben de estar agrupadas en una red de proceso aislada de las otras redes de la empresa. Esto se logra mediante una correcta administracin de los puntos de acceso de cada equipo. Los firewalls, los servidores DMZ, las redes VPN, y los sistemas IDS son ejemplos de defensa. Los Firewalls o cortafuegos, son como barreras entre redes. Restringen el acceso desde otra red externa. Su funcin es detener intento de conexin entrante o filtrar el trfico de acceso a internet. Su modo de funcionar es indicado por la recomendacin RFC 2979, que define las caractersticas de comportamiento y requerimientos de interoperabilidad. La ubicacin habitual de un cortafuegos es el punto de conexin de la red interna de la organizacin con la red exterior (que normalmente es Internet). Existen cortafuegos de capa de red, y de capa de aplicacin (del modelo de capas TCP/IP). El de capa de red, tambin se le llama cortafuego filtrador, y segn su clase, puede filtrar informacin de direccin IP, puerto origen/destino o direcciones MAC (campos de diferentes capas del modelo OSI). El de capa de aplicacin se denomina servidor Proxy, y se especializan en filtrados propios de aplicaciones de capa 7 o capa de aplicacin del modelo OSI. Estos ltimos impiden las conexiones directas entre redes y realizan anlisis de las mismas para determinar su viabilidad. Los servidores proxy controlan el trfico de los navegadores, interpretan los protocolos y peticiones de las aplicaciones, verificando polticas de seguridad antes de permitir que se transmitan datos. En seguridad informtica, una zona desmilitarizada (DMZ) o red perimetral es una red local (una subred) que se ubica entre la red interna de una organizacin y una red externa, generalmente Internet. El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estn permitidas, mientras que las conexiones desde la DMZ slo se permitan a la red externa; los equipos en la DMZ no pueden conectar con la red interna. Esto permite que los equipos (hosts) de la DMZ puedan dar servicios a la red externa a la vez que protegen la red interna en el caso de que intrusos comprometan la seguridad de los equipos (host) situados en la zona desmilitarizada. Para cualquiera de la red externa que quiera conectarse

ilegalmente a la red interna, la zona desmilitarizada se convierte en un callejn sin salida. Una VPN es una red privada que utiliza una red pblica (normalmente Internet) para conectar sitios distantes y usuarios alejados entre si. En lugar de utilizar una conexin dedicada contratada a una compaa, una red privada VPN usa conexiones virtuales, enrutadas por Internet desde la red de la compaa, hasta el lugar remoto. Estas conexiones virtuales permiten que los datos viajen como por un tnel dedicado, con prestaciones de ancho de banda y velocidad garantizado. Las siglas IDS, Intrusin Detection System, hacen referencia a los sistemas de deteccin de intrusos. Es un programa usado para detectar accesos desautorizados a un computador o a una red, y permiten determinar si se realizan intentos de entrada desde el exterior de la red, accesos inusuales o comportamientos extraos en la red, como conexiones sin permiso, acceso de forma irregular a bases de datos, densidad de trfico irregular o conexiones poco habituales. Algunas organizaciones internacionales, especialmente en Estados Unidos, recomiendan en cuanto a seguridad: Sobre los accesos de red se debe asegurar que cada acceso de red est identificado y vigilado, debe existir pleno conocimiento de la arquitectura, nmero de puntos de acceso y funcin de cada uno, garantizar aislamiento de cada punto de red, debido a la lejana de algunos puntos RTU, estos deben ser accesibles solo mediante el sistema de control central. En lo posible se debe evitar acceso desde planta, el control de acceso a puntos de red debe contener niveles de seguridad segn su importancia. Si el acceso es de alta seguridad, debe tener varias barreras, de tal manera que si se sobrepasa una, se encuentre con otra. Los accesos a los sistemas deben ser requeridos desde dentro, para minimizar riesgos. Segmente redes, mediante estrategias de defensa, y utilice todos los medios posibles para dar seguridad a las conexiones, ante accesos internos o externos. Sobre el sistema informtico, no es recomendable fiarse de los protocolos SCADA propietarios. Pareciera que por no ser estandarizados, se incrementara la seguridad, pero al se protocolos oscuros se puede ejercer menor dominio sobre l y personas que conozcan el sistema pueden acceder mas fcilmente a la informacin, el uso de protocolos estandarizados, permite que se mantenga al da el software, se desarrollen estrategias de seguridad constantemente, se descubran puertas traseras, y se cuenten con mas herramientas de seguridad estandarizadas o desarrolladas por las casas matriz. Asegrese que los sistemas no sean susceptibles a ser daados desde un solo punto o por un solo individuo. Establezca procedimientos como: anlisis de vulnerabilidades, anlisis de riesgos y pruebas de intrusin. Pruebe bajo condiciones reales y en un entorno controlado las tecnologas de seguridad implementadas. Proteja los equipos y las aplicaciones. Las llaves fsicas no deben ser del dominio de todo el mundo. Use contraseas para la mayora de accesos. Cree una estructura de autorizaciones, donde se deje claro quien tiene permiso de acceder a que. Se recomienda que los operarios que tienen acceso a procesos de planta, no

tengan acceso a la configuracin de los mismos. Implemente estrategias de proteccin de software diferentes a la que viene por defecto en la configuracin estndar. Use herramientas de registro o auditorias para todas las redes y equipos.

ESTANDARES DE COMUNICACIONES INDUSTRIALES


Fundamentos de comunicaciones aplicados a sistemas SCADA. Control centralizado y distribuido: El control centralizado normalmente est constituido por un computador, una interfaz de proceso y una estacin de operador. Su arquitectura facilita el flujo de informacin y se hace posible que los objetivos de optimizacin global de un proceso puedan ser alcanzados, pero tiene la desventaja que depende de la fiabilidad del computador central. El control distribuido permite una comunicacin entre todos los nodos (comunicacin horizontal). En este control se permite que ante la existencia de varias unidades de control que llevan a cabo diversas tareas, en caso de avera o sobrecarga de trabajo, ser posible transferir todo o parte de las tareas a otras unidades. Esta idea de poder hacer bypass a las unidades con problemas permite evitar los bloqueos en el sistema, por otra parte exige que los diferentes controladores tengan una asignacin dinmica de tareas y por lo tanto se les va a exigir gran capacidad de acceso a la comunicacin y tratamiento de la informacin. Modos de transmisin de datos: Transmisin en paralelo, que permite el envo a gran velocidad, pero presenta el inconveniente de la cantidad de lneas de informacin; y transmisin en serie, donde el sistema emisor usa cdigos de lnea (cambios de niveles de tensin) para transmitir bits, y el sistema receptor detecta los cambios de estado; as se pueden transmitir varios bits por un mismo canal. Puede ser sncrono y asncrono. Para transmisin en serie se usan los llamados cdigos de lnea, los cuales son frecuentemente usados para el transporte digital de datos. Estos cdigos consisten en representar la seal digital transportada respecto a su amplitud respecto al tiempo. La representacin del la onda se suele realizar mediante un nmero determinados impulsos. Estos impulsos representan los 1s y los 0s digitales. Los protocolos de comunicacin son aquellos que engloban todas las reglas y convenciones que deben seguir dos equipos cualesquiera para poder intercambiar informacin. Los enlaces de comunicaciones estn estructurados bsicamente de equipos terminales de datos (DTE, Data Terminal Equipment) que son los que se comunican entre si, de equipos intermedios a travs de los cuales fluyen los datos y se direccionan, llamados DCE (Data Communication Equipment), y del canal de comunicacin. El objetivo de los protocolos es conectar y mantener el dilogo entre dos equipos terminales de datos (DTE). Algunos protocolos de comunicacin se han convertido en tecnologas o soluciones en comunicacin de datos. Soluciones como: HART, PROFIBUS, AS-i, CAN; manejan sus propios protocolos y son diseadas especficamente para comunicaciones industriales.

La comunicacin Cclica y Acclica tiene que ver con la frecuencia en que se intercambian los datos. Las comunicaciones cclicas, son comunicaciones peridicas. Cada cierto tiempo se transmite informacin. Los procesos que involucren comunicaciones cclicas deben tener cuidado de que el tiempo asignado para la comunicacin sea suficiente, o si no se perdern datos. Este tipo de comunicacin se usa para eventos peridicos, actualizacin de lecturas, y en general, procesos que manejen pocos datos. La ventaja de este tipo de comunicacin es que es automtica, y no requiere de ejecucin de instrucciones especficas de comunicacin. Cuando se transmiten grandes cantidades de datos se opta por comunicaciones aclcicas, donde se enva o recibe informacin en momentos determinados, y se da el tiempo de espera necesario para que todos los datos sean transportados. Otro tipo de comunicacin es la punto a punto donde el emisor enva en un momento determinado informacin al receptor, y durante ese momento, nadie mas est involucrado en la comunicacin. Si hay mas de un destinatario de la informacin, esta se debe enviar tantas veces como destinatarios haya. Protocolos que usan comunicacin punto a punto: Ethernet, Profibus, Modbus, Interbus. La otra opcin es la comunicacin de acceso simultaneo, caso en el que se coloca la informacin en un bus de datos, al cual estn conectados (fsica o virtualmente) todos los receptores. La informacin colocada en el bus tiene una etiqueta que dice a quien va dirigida. Todos los receptores leen la etiqueta y si es para ellos la informacin, la reciben, si no, la desprecian. Cuando la informacin va para todos los posibles receptores (los que hacen parte de esta sub red) se dice que es un broadcast, cuando va para algunos, multicast, y cuando va para un solo receptor, unicast. Los protocolos usados en SCADA que manejan este tipo de comunicacin son: ControlNEt, Foundation Fieldbus y DeviceNet. Con respecto a la organizacin de nodos en una red industrial, se pueden distinguir 3 organizaciones. La organizacin maestro-esclavo, donde el maestro es un equipo autmata que puede leer o escribir sobre los esclavos de la red. El esclavo recibe los mensajes enviados por el maestro y emite hacia este cuando le llega la orden de hacerlo. Existen esclavos activos, que reciben ordenes para ejecutar programas propios (un PLC) y esclavos pasivos, los cuales no ejecutan programas propios sino dependen de las rdenes del maestro para cualquier accin. Los protocolos Profibus- DP o AS-i, usan este tipo de organizacin maestro-esclavo. La organizacin cliente servidor, donde el cliente solicita servicio a una estacin llamada servidor. Un nodo puede ser por una parte cliente, y por otra parte servidor. Protocolos como Profibus-FDL o MPI usan esta organizacin. Finalmente la organizacin productor consumidor, donde se usan la comunicacin de acceso simultaneo. Todos los nodos tienen acceso a cierta informacin al mismo tiempo. Esto aumenta la eficiencia del sistema al requerir una sola produccin de datos sin importar el nmero de solicitantes. El concepto tiempo real es muy usado en sistemas SCADA. Es una medida relativa, y depende del tiempo de respuesta que un dispositivo RTU considere como tiempo real. El tiempo de respuesta es el tiempo que transcurre entre el envo de la informacin por parte de la MTU y la ejecucin de dicha informacin

por parte de la RTU. Mientras equipos que controlan movimientos requieren tiempos de respuesta alrededor de los 50 microsegundos, el ciclo de trabajo de un PLC es de aproximadamente 10 milisegundos. Se dice que un sistema opera en tiempo real, cuando el tiempo de respuesta es menor que el tiempo en el que una variable o condicin determinada tardan en provocar un cambio en el sistema. Si el tiempo de respuesta del elemento RTU es menor que el tiempo que requiere el proceso controlado, entonces ya no se est operando en tiempo real. En comunicaciones SCADA tambin son muy usados los llamando estndares de interfaces serie. El estndar RS232 Define el mtodo ms popular para interconectar DTEs y DCEs (por ejemplo, conexin entre un PC y un MODEM de datos). La UART es el microchip que controla la interface entre un PC y los dispositivos seriales. Especficamente permite al PC utilizar la interface RS232C pudiendo hablar con MODEMS y otros dispositivos seriales. La transmisin puede ser sincrnica o asincrnica. En la transmisin sincrnica se requieren seales que permitan poner de acuerdo a los dos modems en relacin con el tiempo, esta se economiza los bits de inicio, paridad y parada, contrario a la asincrnica. En el estndar RS-422, La transmisin / recepcin de datos utiliza lneas bipolares, diferenciales o balanceadas (sin punto de referencia o masa). Requiere, por tanto, cuatro conductores para formar un par de transmisin y otro de recepcin que utilizarn sus propios retornos. Este estndar es tambin punto a punto, segn se desprende del concepto de lnea de transmisin y recepcin dedicada. Por tanto, existe un emisor nico, aunque resuelve mejor el acceso de varios receptores permitiendo la presencia de hasta 10 de ellos, que pueden recibir simultneamente los datos. Su limitacin ser la de los mecanismos de arbitraje para acceder a la emisin, ya que cuando un nodo emite las posibilidades de los otros quedan totalmente anuladas y no se les reconoce ningn derecho ni actual ni futuro. El estndar RS-485 aade en su cdigo funciones de direccionamiento que permitan un nuevo concepto de cableado y de optimizacin de los recursos fsicos permitiendo conexionados ms flexibles y verstiles. Este estndar tiene enlace multipunto con hasta 32 nodos emisores/receptores.

Fundamentos de comunicaciones aplicados a sistemas SCADA


El estudio de redes de comunicaciones es extenso. En este apartado sencillamente se mencionarn los fundamentos aplicados a sistemas SCADA. Las topologas de red que conocemos, se aplican a sistemas SCADA, teniendo en cuenta que los elementos o nodos de red son los MTU y RTU. En la topologa anillo los nodos forman un anillo, que se conectan punto a punto de una estacin con la siguiente. Tiene mnimo requerimientos de cable, se usa modo de transmisin token passing, que consiste en organizacin por turnos, los datos que salen del emisor vuelven a el, lo que permite el reconocimiento de mensajes, un solo sentido de transmisin, la seal se regenera en cada nodo, no es posible la ampliacin en funcionamiento, pues se interrumpe

fsicamente la red, actualmente se usan implementaciones anillo para redes redundantes, con fibra ptica. Una desventaja es que la cada de un equipo interrumpe el trfico de informacin. La topologa estrella tiene equipos conectados a un nodo central, que controla toda la red, y de quien depende la velocidad de la red. Tiene transferencia de informacin punto a punto, con un cable por estacin. Es de fcil mantenimiento, y diagnstico ante fallo de elementos. La cada de un equipo no afecta el resto, pero la cada del nodo central la red queda inutilizada. Es de mximo requerimiento de cable y la ampliacin de la red depende de la capacidad del nodo central. En la topologa de bus, todos los equipos se conectan al mismo segmento de cable. Esta tiene modo de transmisin aleatorio, donde cada equipo transmite cuando lo requiere ocupando el bus de comunicaciones. Para evitar colisiones se han implementado algoritmos especiales. No requiere tanto cable como la topologa estrella, y tiene un nmero reducido de conexiones. La cada de un equipo no afecta al resto de la red, sobretodo si estos tienen conexiones de alta impedancia. Elevada velocidad de transmisin. Permite la comunicacin multipunto, es decir, los equipos pueden comunicarse entre si cuando lo requieran. Es la opcin mas usada por buses de campo. Tiene problemas de seguridad, ya que cualquier nodo puede ver la informacin del bus. No permite reconocimiento de mensajes, ya que la informacin no vuelve al emisor. La topologa de rbol Es una mezcla de las topologas anteriores, por lo que tiene caractersticas de todas ellas en ciertos tramos de red. En la topologa de red Todos los nodos se interconectan entre si. Esta conexin tiene una gran tolerancia a fallos, ya que la cada de una conexin se solventar redirigiendo el trfico por otro camino. La desventaja es que tiene un alto coste de implementacin. No se usa en buses de campo. A escala industrial, las topologas mas extendidas son las de bus y anillo. Otro aspecto muy importante en sistemas SCADA es el acceso a red. La razn, es porque un sistema SCADA puede llegar a tener cientos de nodos que supervisa y controla, los cuales van a buscar acceso a la red, y en tiempo real. Para organizar las acciones de red, se crearon los conocidos protocolos de comunicacin por capas. Uno de los mas conocidos, el modelo OSI. Un sistema SCADA utiliza esta filosofa pero dndole mayor importancia a las capas de aplicacin y de acceso al medio. El modelo OSI, se basa en la intercomunicacin directa entre capas. Cada capa est en un nivel diferente en el proceso de la comunicacin. Las capas del mismo nivel se comunican entre si con protocolos de comunicacin en comn. Los datos pasan por todos los niveles desde que salen del emisor hasta que llegan al receptor. Cada nivel hace su aporte al proceso global. Adems cada nivel usa los servicios del nivel anterior y aporta al siguiente. Los niveles OSI, de abajo a arriba, son: Fsico, enlace de datos, red, transporte, sesin, presentacin, y aplicacin. En los sistemas SCADA, donde la comunicacin se basa en los buses de campo, son fundamentales las funciones de la capa 2 y 3, ya que estas soportan el acceso a buses y el direccionamiento a travs de los sistemas. Las capas 4 y 5 normalmente no se implementan como capas individuales, sino que sus funciones ya las soportan las capas 1 2 y 3.

Los mtodos de acceso al medio usados por sistemas SCADA son; Polling, donde Una estacin hace de moderadora (maestro) y decide el turno de cada nodo, Usado por red Profibus DP, y AS-i, TDMA, multiplexacin por divisin en el tiempo, donde se transmiten varios canales de informacin en intervalos de tiempo asignados a cada uno con ayuda de una marca de sincronismo, Usado por Interbus. Mtodo productor-consumidor, donde la estacin productora manda el mensaje a todos los dems nodos (consumidores). Solo las estaciones interesadas en el dato lo usan, las dems lo descartan, Usado por WordFIP. Token determinstico (Previsible), donde La estacin que tenga el testigo (token), tiene derecho a acceder a la red. Las dems deben esperar a que el testigo les llegue con pasos de testigo (Token passing). Cuando la red tiene una topologa fsica de lnea, pero una topologa lgica de anillo, se llama token.bus. Si la topologa fsica y lgica es de anillo se llama token ring. CSMA, o Token Estocstico (Aleatorio), donde cualquiera puede transmitir mientras el bus no este ocupado. CSMA/CD+AMP, Controla las colisiones, asignando prioridad a los nodos, por medio de identificadores de 11 bits que las estaciones mandan antes de transmitir datos. Usado por bus CAN. CSMA/CD (Colission Detection), tcnica que no evita las colisiones. En caso de colisin las tramas se pierden. Luego de colisin cada estacin espera un tiempo aleatorio para volver a intentar transmitir. Unas aproximaciones al modelo de capas, pero aplicado a comunicaciones industriales son el estndar ISA/SP50 y Protocolo CIP. El estndar ISA/SP50, ss una propuesta de la Sociedad para Instrumentacin, Sistemas y Automatizacin, ISA, este define una interface comn entre componentes de medida electrnicos y/o sistemas de control y adems proponen dos capas mas. La capa de usuario, la cual realiza labores de control global distribuido de las aplicaciones, y gestin de bases de datos distribuidas; y la capa de supervisin la cual gestiona todos los sistemas y redes involucrados en todos los niveles. Es como una capa que cubre lateralmente todos los niveles. El protocolo CIP, permite integrar la gestin de entradas y salidas y la configuracin y lectura de datos de diferentes dispositivos conectados a diferentes sub redes dentro del sistema SCADA, esto nace debido a los numerosos productos, con diferentes configuraciones y prestaciones que puede haber en un sistema SCADA. CIP es una aproximacin basada en objetos, orientada a permitir el diseo de dispositivos de control que combina el mtodo de direccionamiento de red y las reglas de intercambio de mensajes. El manejo de dispositivos se hace estableciendo un perfil de cada uno, donde se definen en cada uno los objetos que se deben aplicar y los atributos y servicios que debe incluir. Se incluye una capa encargada de establecer el perfil de cada dispositivo a controlar.

Redes industriales de control


Pirmide de la automatizacin: Como se haba mencionado, las redes industriales utilizan una arquitectura distribuida, privilegindola sobre la centralizada. En los sistemas distribuidos usan sistemas de cableado donde con un slo cable de comunicacin serie el equipo de control se conecta a

captadores y accionadores, incluyendo los captadores/accionadores clsicos (todo o nada o analgicos), los dispositivos inteligentes (variadores de velocidad, robots, reguladores digitales, terminales de visualizacin,), y otros equipos de control. Con el desarrollo en microprocesadores, aparecen sensores y actuadores inteligentes, que permiten configuracin y programacin remota, surgiendo nuevas necesidades en la comunicacin entre estos dispositivos y los elementos de control de mayor nivel. Para resumir la estructura de los sistemas de comunicacin en un entorno industrial productivo, se toma como referencia la pirmide CIM (Computer Integrated Manufacturing), la cual se divide en niveles, de acuerdo con el trfico y tipo de informacin que se intercambia. En esta pirmide, Los 3 primeros niveles, el nivel de gestin de empresa, el nivel de oficina tcnica y planificacin y el de coordinacin de planta, tienen funciones de gestin de informacin. La parte correspondiente a la automatizacin industrial estara en los 3 niveles inferiores, que corresponden al nivel de supervisin y control de clula, nivel de control local directo y nivel de sensores y actuadores. Entre mas alto sea el nivel, se necesita mayor flujo de datos pero menor velocidad de reaccin. En la gestin de la empresa se procesan grandes cantidades de informacin, y se debe tener acceso a todos los puntos de la red, por lo que normalmente est compuesta por bastantes puestos de trabajo. Las fabricas que controlan alguna planta o un grupo de procesos especfico, conformaran el segundo nivel. Si las fbricas controlan varios procesos a gran escala pero independientes unos de otros, estos se dividen en reas de trabajo dentro de la misma fabrica, lo que conformara el nivel 3, nivel de rea. En el nivel de supervisin y control de clula, se procesan las tareas de automatizacin, se implementan los sistemas de visualizacin y control de autmatas. En este nivel se maneja directamente la informacin de los dispositivos. El nivel de control local directo aborda la interconexin entre los equipos de control de maquinaria y los equipos de nivel de clula. El trabajo es en tiempo real, mediante tcnicas de transmisin eficientes a los mdulos E/S, medidores, controladores de velocidad, vlvulas o pantallas de operador. El nivel mas bajo ya se encarga directamente de los procesos y maquinas de campo. Las conexiones en este nivel son sencillas, las velocidades que se manejan son bajas, y normalmente no se usan sistemas de buses existentes por su complejidad electrnica y en comunicaciones. Es conveniente diferenciar entre las prestaciones de una red de conexin de equipos de instrumentacin, con una red de bus de campo (que se usa en el nivel intermedio de la pirmide). Las redes de bus de campo, incorporan la capa de aplicacin, que permite implementar rutinas de control en el elemento situado en planta o en el controlador. Adems proporcionan seguridad para los elementos ubicados en zonas peligrosas. En cambio, las redes de nivel mas bajo, transmiten menos informacin a ms velocidad y controlan de manera directa las maquinas. Tambin es conveniente en sistemas SCADA diferenciar entre red de datos y red de control. Como ya se ha mencionado, estos son los dos tipos de informacin que se transmite. Las redes de datos se caracterizan por manejar un mayor flujo de informacin, por lo que el tamao de los paquetes es mayor. Estos datos pueden ir a varias oficinas de nivel superior, e inclusive, viajar a

travs de la red WAN; manejan por lo tanto reas ms extensas. Sin embargo normalmente la informacin no se est pasando constantemente de un lado a otro. Las redes de control, en cambio, manejan flujos de informacin pequeos (paquetes pequeos) pero mayores velocidades y requieren procesos en tiempo real. Los factores a tener en cuenta en el diseo de redes de control son: Protocolos, interoperabilidad, topologas, control de acceso al medio MAC, medio fsico, control en tiempo real, y seguridad. Las redes MAP y TOP no tienen mucha implantacin hoy en da, sin embargo realizan aportes importantes al mundo de las redes de comunicaciones en general y de las redes industriales en particular. La historia de estas redes se remonta cuando General Motors y otras compaas trabajan en unos protocolos especficos para cada una de las capas OSI para automatizacin de fbricas. De este trabajo surge MAP (protocolo de fabricacin automatizada), sobre paso de testigo en bus (Token Bus). Paralelamente Boeing establece normas para la automatizacin de sus oficinas, optando por Ethernet ya que no necesitaba tiempo real (los aviones no se fabrican en lneas de montaje), de donde surge TOP (protocolo tcnico y de oficina). Con el objetivo de mantener la compatibilidad en las capas superiores, ambos grupos trabajan juntos. Con ayuda de estos trabajos, mas las recomendaciones de otras empresas como IBM, el cual desarrollo Token Ring (paso de testigo en anillo), IEEE aprueba las tres normas para Capa Fsica + MAC.