Человеко машинный интерфейс
Основные понятия и стандарты человеко-машинных интерфейсов
В современном оборудовании применяются различные виды органов управления для приведения в действие оборудования и процессов.
В компьютерном оборудовании широко используются органы управления (устройства ввода данных), представленные в виде функциональных или алфавитно-цифровых клавиатур, различных видов манипуляторов (например, «мышь», световое перо, сенсорное устройство указания).
Органы управления как часть человеко-машинного интерфейса могут иметь различную степень важности в диалоге между оператором и оборудованием или машиной.
Стандартизация требований (в том числе эргономических) к органам управления особенно важна в областях, где принятие мер по обеспечению безопасности крайне необходимо (например, когда в результате неправильной работы системы приведения в действие может произойти авария или когда необходимы частые или оперативные действия: при работе подъемных кранов, эксплуатации транспортных средств и др.), особенно в случаях, когда потенциально опасное оборудование используется людьми с низкой квалификацией.
Требования к органам управления и принципы приведения в действие человеко-машинного интерфейса установлены в международном стандарте МЭК 60447:2004 «Интерфейс человеко-машинный (ИЧМ). Принципы приведения в действие», который входит в число основных публикаций по безопасности, принятых Международной электротехнической комиссией Этот стандарт предназначен для применения соответствующими Техническими комитетами МЭК при разработке стандартов на конкретное оборудование, а также в случаях, когда отсутствуют стандарты на конкретное оборудование с аналогичной областью применения.
В странах Европы действует европейский стандарт ЕН 60447:2004 «Интерфейс человеко-машинный (ИЧМ). Принципы приведения в действие», требования которого не отличаются от МЭК 60447:2004.
В МЭК 60447:2004 установлены основные принципы приведения в действие человеко-машинного интерфейса, обеспечивающие правильное и своевременное функционирование органов управления, безопасную и надежную работу оборудования в целом.
Установленные в МЭК 60447:2004 принципы применяют при эксплуатации электрооборудования, машин или даже целого предприятия.
На территории Украины эти требования используются с учетом основных нормативных документы и норм ДСТУ и ГОСТ.
Основные требования представлены в таких стандартах Украины:
Согласно вышеуказанным стандартам внесем такие основные определения и термины:
Орган управления это часть системы приведения в действие, которая принимает воздействие человека.
Под системой приведения в действие следует понимать совокупность взаимосвязанных устройств, применяемых для достижения конкретной цели путем выполнения определенных функций.
Классификация органов управления
1 однофункциональный орган управления: Один или несколько органов управления, результат действия которого приводит к одному конечному результату (например, перемещение в определенном направлении или расположение).
2 многофункциональный орган управления: Один или несколько органов управления, результат действия которого приводит к различным конечным результатам (например, перемещение в определенном направлении и расположение).
Орган управления может быть в виде ручки, кнопки, кнопочного переключателя, кнопки «нажать-нажать», кнопки «нажать-отпустить», ролика, поршня, «мыши», светового пера, клавиатуры, чувствительной области экрана монитора.
Человеко-машинный интерфейс (ЧМИ) это набор технических средств, предназначенных для обеспечения непосредственного взаимодействия между оператором и оборудования, который и дает возможность оператору управлять оборудованием и контролировать его функционирование.
Примечание— Такие средства могут включать приводимые в действие вручную органы управления, контрольные устройства, дисплеи.
Человеко-машинные интерфейсы подразделяются на:
Двухкоординатпый контроллер (VDU контроллер) – специализированный манипулятор, предназначенный для выбора специфической области на устройстве вывода, который представляет собой некоторое оборудование или устройство для выдачи команды.
Примечание – Двухкоординатным контроллером может быть джойстик, «мышь», трекбол, дигитайзер, сенсорные панели и активные экраны.
Основные принципы построения человеко-машинных интерфейсов
Применение принципов приведения в действие, конструктивное расположение и последовательность функционирования органов управления должны рассматриваться на стадии разработки и проектирования оборудования.
Тип, форма и размер органа управления, а также его расположение должны быть выбраны таким образом, чтобы он отвечал требованиям назначения, обслуживания и условий эксплуатации. Также должны быть приняты во внимание навыки пользователей, ограничения в маневренности, аспекты эргономики и требуемый уровень предотвращения возможности выполнения непреднамеренной операции.
Принципы построения ЧМИ:
1. Органы управления должны быть однозначно идентифицируемы при всех указанных состояниях и размещены так, чтобы допускать безопасное и своевременное выполнение операций.
2. Орган управления должен выполнять только команды, соответствующие заданным целям его применения.
3. Действия пользователей не должны приводить к неопределенному или опасному состоянию оборудования или процесса.
4. Органы управления и связанные с ними контрольные устройства должны размещаться согласно требованиям отраслевых нормативных документов, ДСТУ, ГОСТ и международных стандартов и быть функционально взаимосвязаны.
5. Метод диалога, используемый в ЧМИ, должен принимать во внимание аспекты эргономики, соответствующие конкретной задаче.
6. Для исключения опасных последствий, связанных с ошибками оператора, рекомендуется обеспечить:
— определенный приоритет команд (например, команда «СТОП» имеет более высокий приоритет, чем команда «ПУСК»);
— упрощение последовательности функционирования органа управления (например, при помощи автоматизации);
— блокировку управления (например, управление двумя руками);
— функционирование в толчковом режиме.
7. Органы управления должны быть логически сгруппированы согласно их эксплуатационной или функциональной взаимосвязи необходимым для обеспечения управления оборудованием. Указанный принцип должен соблюдаться во всех областях применения оборудования.
Расположение органов управления должно быть выполнено таким образом, чтобы упростить его идентификацию и минимизировать вероятность неправильного приведения в действие, являющуюся результатом ошибки оператора.
Должны быть использованы один или несколько из следующих принципов группировки органов управления:
— группировка по функции или взаимосвязи;
— группировка по последовательности применения;
— группировка по частоте применения;
— группировка по приоритетам;
— группировка по процедурам функционирования (нормальное или критическое состояние);
— группировка по моделированию схемы предприятия (машины).
Принципы группировки должны быть совместимы с навыками пользователя, приобретенными им в результате обучения.
Не должны применяться зеркальные и симметричные схемы панелей с расположенными на них органами управления, контроллерами и средствами отображения информации.
Связанные группы органов управления должны размещаться согласно их уровню приоритета, например:
— самый высокий приоритет – вверху слева;
— самый низкий приоритет – внизу справа.
Последовательность операций
В технологическом оборудовании для выполнения определенных функций используются два вида последовательностей:
Трехшаговый принцип характеризует последовательность приведения в действие и связанные с ним показания:
— шаг 1 – выбор функции/оборудования/устройства;
— шаг 2 – выбор соответствующей команды;
— шаг 3 – выполнение команды.
Могут применяться три шага:
а) с отдельными группами органов управления: каждая группа относится к одной функции или оборудованию, включая выполнение команды (монофункция). Пример применения приведен на рисунке 1;
б) с двумя группами органов управления: первая группа предназначена для выбора функции/ оборудования/устройства, а вторая – для выбора соответствующей команды; также используется дополнительный орган управления, отделенный от этих групп, для выполнения команды (мультифункция). Пример применения приведен на рисунке 2.
Может возникнуть необходимость указания состояния выбранного оборудования, являющегося основой для следующей требуемой команды.
Может возникнуть необходимость подтверждения каждого выбранного шага операции.
После выполнения команды как можно быстрее должно быть обеспечено понятное и однозначное подтверждение конечного результата обработки команды.
Рисунок 1 – Трехшаговая последовательность выполнения однофункционального применения 
Рисунок 2 — Трехшаговая последовательность выполнения многофункционального применения
При одношаговой последовательности каждый орган управления отвечает за определенную команду для заданного устройства. Т.е. оператор визуально без использования дополнительных аппаратных средств выбирает орган управления для определенного оборудования и контролирует выполнение команды.
Обозначению органов управления
Органы управления в соответствии с требованиями безопасности должны иметь обозначения либо на самом органе управления, либо рядом (например, графическими символами, цветами, буквами). Может также использоваться осязательная или звуковая информация, если органы управления не всегда видны.
Обозначения органов управления должны легко распознаваться и однозначно соответствовать назначению, конечному результату и быть взаимосвязанными с органами управления и, если воз-можно, с их расположением.
2 Звуковой сигнал
Звуковой сигнал может выдаваться как ответ на операцию органа управления, особенно для стандартных действий. Использование звукового сигнала в качестве единственного средства для обозначения органа управления не рекомендуется.
При использовании звукового сигнала должны учитываться характер и громкость звука в соответствии с уровнем окружающего шума и расстоянием от оператора до источника звука.
Чтобы гарантировать распознавание звукового сигнала, сигнал должен сохраняться или повторяться до момента вмешательства оператора.
Значение звукового сигнала должно быть ясно оператору и однозначно им воспринято.
3 Осязательный сигнал
Осязательные сигналы могут быть необходимы в некоторых случаях:
— когда необходимо идентифицировать связанные с безопасностью органы управления в условиях ограниченной видимости (например, в темноте, в дыму);
— в нормальных условиях, когда орган управления не находится в поле зрения оператора;
— в нормальных условиях по причинам эргономичности, чтобы избежать ошибок оператора. Информация, переданная оператору через осязательный орган чувств, должна быть независимой от информации, получаемой оператором через зрительный или слуховой органы чувств.
Осязательное обозначение должно ясно и однозначно идентифицировать необходимый элемент(ы) системы приведения в действие.
Информация, переданная осязательным сигналом, должна быть хорошо известна оператору. Значение каждого осязательного сигнала должно быть указано на оборудовании и в инструкции по эксплуатации, которая поставляется с оборудованием.
Интерфейс человек машина это
ГОСТ IEC 60447-2015
ОСНОВНЫЕ ПРИНЦИПЫ БЕЗОПАСНОСТИ, МАРКИРОВКА И ИДЕНТИФИКАЦИЯ
Basic and safety principles for man-machine interface, marking and identification. Actuating principles
Дата введения 2016-10-01
Цели, основные принципы и порядок проведения работ по межгосударственной стандартизации установлены ГОСТ 1.0-92 «Межгосударственная система стандартизации. Основные положения» и ГОСТ 1.2-2009 «Межгосударственная система стандартизации. Стандарты межгосударственные, правила и рекомендации по межгосударственной стандартизации. Правила разработки, принятия, применения, обновления и отмены»
Сведения о стандарте
1 ПОДГОТОВЛЕН Открытым акционерным обществом «Всероссийский научно-исследовательский институт сертификации» (ОАО «ВНИИС») на основе собственного аутентичного перевода на русский язык международного стандарта, указанного в пункте 5
2 ВНЕСЕН Федеральным агентством по техническому регулированию и метрологии
3 ПРИНЯТ Евразийским советом по стандартизации, метрологии и сертификации (протокол от 29 сентября 2015 г. N 80-П)
За принятие проголосовали:
Краткое наименование страны по МК (ИСО 3166) 004-97
Сокращенное наименование национального органа по стандартизации
Минэкономики Республики Армения
Госстандарт Республики Беларусь
4 Приказом Федерального агентства по техническому регулированию и метрологии от 9 октября 2015 г. N 1510-ст межгосударственный стандарт ГОСТ IEC 60447-2015 введен в действие в качестве национального стандарта Российской Федерации с 1 октября 2016 г.
Международный стандарт разработан техническим комитетом по стандартизации IEC/TC 16 «Основополагающие принципы построения и обеспечения безопасности человеко-машинного интерфейса, маркировки и идентификации».
Перевод с английского языка (en).
Сведения о соответствии межгосударственных стандартов ссылочным международным стандартам приведены в дополнительном приложении ДА.
Введение
Исполнительные механизмы, являющиеся частью человеко-машинного интерфейса, могут отличаться по степени значимости для организации диалогового взаимодействия между оператором и оборудованием или машиной.
Подлежат рассмотрению также и эргономические аспекты.
В настоящем стандарте применены следующие шрифтовые выделения:
1 Область применения
Настоящий стандарт устанавливает общие принципы приведения в действие исполнительных механизмов с ручным управлением, образующих часть человеко-машинного интерфейса электрооборудования, нацеленные на обеспечение:
— повышенной безопасности (например, для персонала, имущества, окружающей среды) путем создания безопасных условий эксплуатации оборудования;
— удобного и своевременного включения исполнительных механизмов в работу.
Эти принципы применимы не только к управлению работой электрического оборудования, машин или предприятия в целом в нормальном режиме функционирования, но и в случае неисправностей или аварийных ситуаций.
Стандартом устанавливаются также связи между функцией органа управления и направлением его действия или местоположением относительно других рабочих органов.
При отсутствии каких-либо конкретных правил настоящий стандарт может применяться также к органам управления, которые приводятся в действие иными частями человеческого тела, чем рука (например, к устройствам с ножным управлением).
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие международные стандарты*:
IEC 60050(721) International electrotechnical vocabulary; chapter 721: telegraphy, facsimile and data communication (Международный электротехнический словарь (IEV). Глава 721. Телеграфия, факсимильная связь и передача данных)
IEC Guide 104 The preparation of safety publications and the use of basic safety publications and group safety publications (Подготовка публикаций по безопасности и использование основополагающих и групповых публикаций по безопасности)
ISO/IEC Guide 51 Safety aspects. Guidelines for their inclusion in standards (Аспекты безопасности. Руководящие указания по включению их в стандарты)
3 Термины и определения
В настоящем документе применяются термины и определения, представленные ниже.
1 Орган управления может иметь форму ручки, рукоятки, нажимной кнопки, кнопки с двойным последовательным нажатием, нажимно-отжимной кнопки, ролика, плунжера, мыши, светового пера, клавиатуры, сенсорного экрана и др.
2 Определение органа управления основывается на термине IEV 441-15-22 и для целей данного стандарта сужено до области ручного управляющего воздействия.
3.1.1 однофункциональный орган управления (monofunction actuator): Один или группа органов управления, которые совместно приводят к получению одного конечного результата (например, вследствие перемещения их в определенном направлении или создания конкретной конфигурации их расположения).
3.1.2 многофункциональный орган управления (multifunction actuator): Один или множество органов управления, которые попеременно приводят к получению разных конечных результатов (например, вследствие перемещения их в определенном направлении или создания конкретной конфигурации их расположения).
3.2 клавиатура (keyboard): Совокупность клавиш (символьных или функциональных), размещенных определенным образом.
3.2.1 цифровая клавиатура (numeric keyboard): Совокупность клавиш, представляющих числа.
3.2.2 буквенно-цифровая клавиатура (alphanumeric keyboard): Совокупность клавиш, представляющих набор символов, например:
— букв латинского алфавита (от А до Z);
— непечатаемого знака пробела;
— знаков пунктуации и других графических знаков, если они требуются.
3.2.3 функциональная клавиатура (function keyboard): Совокупность клавиш, представляющих определенное оборудование, машины, функции или команды.
3.3 человеко-машинный интерфейс (man-machine interface (MMI)): Части оборудования, предназначенные для обеспечения прямого взаимодействия между оператором и оборудованием и позволяющие оператору осуществлять управление и контроль за работой оборудования.
3.4 сигнал (signal): Визуальное, звуковое или тактильное сообщение, несущее информацию.
3.4.1 визуальный сигнал (visual signal): Сообщение, передаваемое посредством изменения яркости, контрастности, цвета, формы, размеров или положения.
3.4.2 звуковой сигнал (acoustic signal): Исходящее из источника звука сообщение, передаваемое посредством изменения тона, частоты и интервала прерывания.
3.4.3 тактильный сигнал (tactile signal): Сообщение, передаваемое посредством изменения вибрации, силы, текстуры поверхности, контура или положения объекта.
3.6 двухкоординатный контроллер видеодисплея (XY-VDU controller): Свободно перемещаемый орган управления для выбора конкретной области экрана, которая представляет определенный объект оборудования или команду.
3.7 сообщение (message): Группа символов и функциональных управляющих последовательностей, передаваемая как единое целое от передатчика к приемнику; порядок следования символов задается на передающем конце.
4 Общие требования
4.1 Основные принципы
Информационная безопасность в АСУ ТП: вектор атаки человеко-машинный интерфейс
«Примерно три десятилетия назад мы, специалисты по автоматизации производства, столкнулись с задачей, к которой были плохо готовы. Мы начали внедрять АСУ ТП с возможностью графического отображения хода процессов в реальном времени. Однако вначале экраны были пустыми, и нам надо было заполнить их информацией.У нас не было руководств, в которых можно было бы прочитать о том, что такое «хорошая» графика. Мы делали все что могли, вернее, все что знали – а знали мы немного. Итог был предсказуем – мы создали малоэффективную парадигму человеко-машинных интерфейсов (ЧМИ или англ.: HMI, humane machine interface), вернее того, как они должны выглядеть. Инерция мышления сделала все остальное. В основном ради удобства внедрения, мы решили изображать процессы в виде P&ID (от англ.: process & instrumentation diagram), функциональных схем, дополненных числовыми значениями. Мы придерживались этой парадигмы даже тогда, когда графические возможности систем DCS/SCADA улучшились, и просто мигрировали старые экраны на более новые системы.»
Билл Холлифилд (Bill Hollifield), для InTech.
Исторически так сложилось
Согласно исследованиям, ошибки операторов, наблюдающих и управляющими технологическими процессами, вызывают порядка 42% аварий. Это связано с развитием производства и увеличением автоматизации. При этом оператор, не находясь рядом с реальным оборудования, не имеет возможности оценить его физическое состояние в настоящий момент времени в текущих условиях эксплуатации. Сегодня в современном мире эту функцию выполняют SCADA-системы, основной составляющей которой является человеко-машинный интерфейс (HMI).
Исторически сложилось что под HMI (человеко-машинным интерфейсом) понимали стрелочные приборы, кнопки, переключатели, рубильники и на данный момент сохраняются требования, в соответствии с которыми кнопка аварийного отключения и лампа индикации аварии должны представлять собой реальные физические объекты. Современная панель оператора, состоит из виртуальных кнопок, графиков, аналоговых и цифровых показателей.
Отказаться от физических устройств полностью не представляется возможным по причине соблюдения стандартов безопасности. Потому что это позволяет организовывать физический разрыв в цепи управления и контролировать ситуацию, если виртуальный интерфейс вышел из строя.
Важно понимать, что панель оператора и человеко-машинный интерфейс (HMI) это не одно и тоже. Панель – это всего лишь интерфейс для упрощенного понимания технологии процесса. Большая часть ее современных возможностей и «интеллектуальных способностей» определяется программными средствами. Таким образом, эволюция HMI – это всегда параллельные процессы развития аппаратных средств и программного обеспечения (ПО).
Как показывает практика операторы и диспетчеры не участвуют в процессе создания человеко-машинного интерфейса SCADA-систем. Этот фактор влияет на эффективность работы операторов и количество допущенных им ошибок во время управления технологическим процессом на объектах.
Пассивный подход в области разработки HMI, обусловлен желанием проектировщиков создавать интерфейсы по уже используемым образцам. Эту проблему хорошо иллюстрирует факт использования в данный момент на территории РФ ГОСТа 21480-76 «Система «Человек-машина». Мнемосхемы. Общие эргономические требования», переизданного в ноябре 1986 г. Очевидно, что за последние 30 лет произошли радикальные изменения в уровне и объеме автоматизации технологических процессов, а также в возможностях SCADA-систем. Появились стандарты МЭК 60447-93 «Интерфейс человеко-машинный(ИЧМ), ГОСТ Р МЭК 60447-2000 «Интерфейс человеко-машинный. Принципы приведения в действие»», но они не отражают подход к оптимизации HMI.
Как итог, сегодня тысяч операторов контролируют производства стоимостью десятки миллиардов, разглядывая примитивные картинки, разработанные в то время, когда не имели представления о эффективности HMI.
Как можно улучшить HMI
Как добиться наибольшей отдачи от человека машиного интерфейса это предоставлять информацию, которая важна и в том виде, чтобы ее было интуитивно понятно. Высокоэффективные HMI отображают информацию – данные в определенном контексте, который делает их полезными. HMI должны не только отображать значение тех или иных процессных переменных, но и показывать, «хороши» или «плохи» эти значения. Ненормальные показатели должны четко выделяться. Предоставление информации в Графическом виде процессов позволяет максимизировать эффективность операторов. Процессы необходимо представлять в максимально информативном и способствующем немедленным действиям виде.
В 2009 г. Electric Power Research Institute или EPRI провел масштабное изучение HMI. В итоге исследования был создан отчет, получивший название «Operator Human Machine Interface Case Study: The Evaluation of Existing ‘Traditional’ Operator Graphics Versus High-Performance Graphics in a Coal-Fired Power Plant Simulator, ID 1017637».
На выбранной для проведения исследования ТЭС был специальный симулятор, который использовался более 10 лет. Во время теста несколько операторов обнаруживали и разрешали критические ситуации, используя как уже существующие, знакомые им экраны управления, так и новые, организованные с применением принципов высокоэффективных HMI. Последние существенно улучшили эффективность операторов по нескольким важным параметрам.
До этого теста никому не приходило в голову разработать специализированные экраны для таких сценариев, со всеми инструментами управления необходимыми для выполнения задания. Результаты же теста показали, что новый подход к организации HMI намного эффективнее. Сложные системы управления, как правило, обладают, неэффективными и проблематичными HMI, созданными людьми без специальных знаний. Эффективность операторов может быть очень существенно улучшена с применением HMI, созданных на основе правильных принципов. Высокоэффективные HMI очень практичны, их несложно внедрять, а их цена вполне доступна.
Современные тенденции и стремления HMI
Какой бы современной ни была система управления процессами производства принятия ключевых решений всегда остается за человеком. Удобство, надежность и функциональность во многом определяет успех всей работы АСУ ТП.
Другие требования предъявляемые к автоматизации связаны со сложностью самой технологии процесса в которой задействуется множество различных устройств от разных производителей. Для потребителей здесь на первое место выходит легкость интеграции HMI со всеми разнообразными устройствами, поддержка открытых протоколов связи(чаще всего Ethernet), а так же возможность передачи информации в систему белее высокого уровня и масштабируемость представленных решений.
Однако есть и общие требования к HMI, характерные и для машинной, и для процессной автоматизации. Во-первых, это легкость настройки и адаптации под нужды производства. Во-вторых, возможность создавать собственные, в том числе динамические, объекты и тиражировать их. В-третьих, четкое и ясное отображение информации, независимо от условий окружающей среды и других факторов. Наконец, в-четвертых, возможность быстро и четко управлять системой, независимо от ее текущего состояния, условий окружающей среды и других факторов.
В эпоху смартфонов и планшетов, любой экран воспринимается не только как устройство вывода информации, но и как устройство ввода.
Как уже отмечалось выше, многие инновационные возможности панелей оператора связаны с эволюцией программного обеспечения. Именно от характеристик софта зависят скорость разработки приложений, гибкость настройки.
Обычно аппаратные средства HMI не имеют выраженной отраслевой специфики и определяются наличием сертификатов различных классификационных обществ, таких как МЭК, UL, CSA, EAC, морские BV, GL, и ATEX.
Также адаптировать средства HMI к отраслевым задачам можно за счет использования готовых архитектур – TVDA (Technical validated documented architecture). Благодаря TVDA отпадает необходимость писать громоздкие программы, достаточно ввести параметры для уже готовых архитектур.
Существенно расширить возможности программного обеспечения для конфигурирования панелей можно за счет поддержки сценарного языка программирования JavaScript, который позволяет реализовать практически любую логику.
Один из ключевых трендов рынка средств HMI последних лет – возможность контролировать производственные процессы не только с помощью стационарных панелей, но и с помощью мобильных устройств. Эта функция востребована там, где есть необходимость контролировать удаленное оборудование.
Расширенный вариант позволяет техническому руководителю или инженеру-разработчику на своем мобильном устройстве создавать дополнительные экраны, не связанные с экраном панели оператора. С их помощью можно менять настройки, недоступные на обычных рабочих станциях.
Также современные панели оператора могут взаимодействовать с пользователем на расстоянии, отправляя ему SMS или электронные письма.
Промышленные компьютеры поставляются с установленными операционными системами Windows, SCADA-системами (системами диспетчерского управления и сбора данных) для установки приложений, либо системами HMI или web-интерфейса в зависимости от потребностей пользователя.
Средства HMI остаются неотъемлемой частью системы автоматизации, и должны легко интегрироваться с любыми ее компонентами, зачастую – и с системами верхнего уровня (ERP и MES).
Уязвимость и доступность
Казалось бы, сети на производстве как правило изолированы от сетей общего пользования и внутренних сетей предприятия, оборудование и ПО в них значительно отличаются от обычных сетей, — уж не говоря о том, что все процессы четко регламентированы и строго контролируются.
Рынок SCADA HMI очень активен, но часто не настолько безопасен, насколько это необходимо. Крупнейшими поставщиками HMI в этой отрасли являются Siemens, Advantech и GE, но есть также много мелких игроков во многих других странах. В некоторых случаях небольшая компания покупается до выхода патча его продукта, что затрудняет отслеживание состояния уязвимости в процессе раскрытия информации.
Кроме того, поставщики SCADA систем, как правило, сосредоточены на промышленном оборудование, а не на программном обеспечение, которое им управляет. Потому что они получают прибыль от продажи оборудования.
Когда дело доходит до фактических кодов, лежащих в основе систем SCADA, большинство не использует базовую защиту – in-depth такие как рандомизация размещения адресного пространства (ASLR), SafeSEH, или stack cookies. Это может быть связано с ошибочным убеждением, что эти решения будут работать в полностью изолированной среде.
Несмотря на очевидные риски получения несанкционированного доступа к критическим системам, отрасль развития SCADA-систем нацелена, на производство оборудования и меньше на программное обеспечения. Отсутствие глобальных стандартов для программного обеспечения HMI еще более усугубляет проблемы безопасности в этом поле.
В качестве основы для исследования была использована информация из общедоступных источников, таких как базы знаний уязвимостей (ICS-CERT, NVD, CVE, Siemens Product CERT, Positive Research Center, Trend Micro, Zero Day Iniciative (ZDI) ), уведомления производителей, сборники эксплойтов, доклады научных конференций, публикации на специализированных сайтах и в блогах.
В итоге выявлено 743 уязвимости в АСУ ТП, обнаруженные с 2005 г. по 2012 г., с 2009 по 2012 год количество обнаруженных уязвимостей АСУ ТП u выросло в 20 раз (с 9 до 192). В последние годы (2012—2015) количество обнаруживаемых ежегодно уязвимостей остается стабильным (около 200). По данным 2015 года, лишь 14% уязвимостей устранены в течение трех месяцев, 34% устранялись более трех месяцев, а оставшиеся 52% ошибок либо вовсе не исправлены, либо производитель не сообщает о времени устранения.
По состоянию на 2016 год обнаружено 158 087 компонентов АСУ ТП, доступных в сети Интернет. Наибольшее количество компонентов АСУ ТП доступно по протоколам HTTP, Modbus (RTU и TCP/IP) и Profibus / Profinet, BACnet, занимающие примерно по 33%, OPC (25%). Однако количество обнаруженных уязвимостей зависит от распространенности продукта и от того, придерживается ли производитель политики ответственного разглашения.
Наибольшее количество уязвимостей было выявлено в SCADA-компонентах, а также в компонентах человеко-машинных интерфейсов. Вместе с тем в настоящее время только для 5% известных уязвимостей имеются опубликованные эксплойты. Данный показатель значительно снизился по сравнению с 2012 годом: тогда можно было найти эксплойты для 35% уязвимостей.
Среди всех используемых с АСУ ТП операционных систем с большим отрывом лидирует Microsoft Windows. Чаще всего в глобальной сети присутствуют различные компоненты SCADA-систем (включая HMI). На их долю приходится 70% всех обнаруженных объектов.
Наличие в открытом доступе готового средства для эксплуатации уязвимости или информации о ней значительно повышает вероятность успешной атаки.
Как правило, количество опубликованных уязвимостей коррелируется с количеством опубликованных эксплойтов. В период с начала 2011 года по сентябрь 2012 года было опубликовано 50 эксплойтов — в шесть раз больше, чем за шесть лет с 2005-го по 2010 год.
Впрочем, отсутствие известного способа реализации атаки снижает вероятность нападения, но не исключает его полностью, поскольку кибератаки на промышленные объекты проводятся с привлечением опытных специалистов высокого уровня, которым зачастую попросту не нужны «эксплойт-паки» и прочие популярные инструменты.
Уязвимости, для которых уже есть эксплойт, но еще не выпущено исправление, представляют наибольшую опасность, так как для проникновения в систему злоумышленнику не нужны глубокие знания и длительная подготовка.
Уязвимости HMI отчет за 2016-год
Разработчики решений SCADA часто имеют мало опыта в отношении построения пользовательского интерфейса (UI). Это связано с тем, что разработчики не знают, какова будет конечная операционная среда для систем. Это заставляет разработчиков делать допущения, которые часто неверны. Без полного жизненного цикла разработки кода, программы содержат в себе уязвимости. Разработчики SCADA, продолжают делать те же самые ошибки, которые десять лет назад делали разработчики приложений и ОС.
Эксперты компании Trend Micro проанализировали предупреждения ICS-CERT за период с 2015 по 2016 годы, связанные с HMI уязвимостями, и пришли к неутешительным выводам.
В этом исследовании рассматривается текущее состояние безопасности SCADA HMI. Анализируя все публично раскрытые уязвимости в программном обеспечении SCADA, которые были исправлены с 2015 и 2016 годов, включая 250 уязвимостей, приобретенных в рамках программы Zero Day Initiative (ZDI). Почти треть уязвимостей (36%) связана с переполнением буфера (Buffer Overflow). Данная проблема безопасности позволяет злоумышленнику не только вызвать аварийное завершение или «зависание» программы, что ведет к отказу в обслуживании, но и выполнить произвольный код на целевой системе.
Если же сложить все типы уязвимостей, эксплуатация которых позволяет хакеру запустить выполнение кода (например, переполнение буфера, удаленное выполнение кода), то получится доля около 40% всех уязвимостей. Стоит отметить и большое количество проблем с аутентификацией и управлением ключами (Authentication / Key Management) — почти 23%.
Все эти ошибки можно предотвратить с помощью безопасных методов разработки программного кода. Наконец, мы наблюдаем среднее время между раскрытием ошибки поставщику SCADA и выпуском патча, оно достигает 150 дней, еще 30 дней, потребуется для развертывания программное обеспечение.
Это означает что в среднем пять месяцев до того, как уязвимости SCADA будут исправлены. У некоторых производителей это может занять лишь одну или две недели, пока у более крупных это занимает до 200 дней.
В подразделении Министерства национальной безопасности США, ICS-CERT, поручено снизить риски внутри всех важнейших секторах инфраструктуры путем сотрудничества с правоохранительными органами и разведкой и объединением усилий.
Существует такая интересная программа ZDI которая покупает у людей уязвимости, которые они нашли в различных продуктах. После покупки уязвимости они анализируют данную уязвимость со всеми схожими продуктами конкретной компании в чьем коде есть ошибки. После этого связываются с компанией и представляет уязвимость. По сути это превращается в бизнес. Когда программа ZDI приобретает уязвимости, которые влияют на SCADA, об этом сообщается ICS-CERT для разрешения этой проблемы. В 2015 году ICS-CERT ответило на 295 инцидентов и обработало 486 раскрытие уязвимостей.
Чтобы определить, какие уязвимости преобладают в HMI, рассмотрим результаты по выявлению ICS-CERT за 2015 и 2016 гг., и исправления в течение последних двух лет. Эти данные были объединены с более чем 250 уязвимостями нулевого дня, купленными программой ZDI. Эта информация была также сопоставлена с перечисленными уязвимостями CWE для определения общего числа.
Как выяснилось, 20% исследованных уязвимостей возникали по причине повреждения памяти (переполнение буфера, уязвимости чтения\записи за пределами поля (out-of-bounds read/write) и т.д.
23% уязвимостей возникали в связи с отсутствием механизмов авторизации, 19% проблем были связаны с учетными данными (вшитые пароли, скрытые учетные записи с полными правами, хранение паролей в открытом виде), 9% проблем позволяли внедрение кода.
Рисунок 1: Категории уязвимостей
Несмотря на то, что ожидались некоторые проблемы с межсайтовыми сценариями (XSS) и Cross-Site Request Forgery (CSRF) большинство проблем HMI – это проблемы с Windows, а не веб-приложениями. Некоторые ошибки XSS и CSRF существуют в категории «Другие», хотя их немного.
Проблемы с повреждением памяти
Проблемы с повреждением памяти составляют 20% выявленных уязвимостей. Слабые стороны этой категории представляют собой классические проблемы с защитой кода, такие как переполнение буфера стека и кучи за пределами границ чтения / записи. Повреждение памяти может происходить в HMI, когда содержимое ячейки памяти непреднамеренно изменены из-за ошибок где-то в коде.
Это также можно назвать нарушением безопасность памяти. Когда содержимое поврежденной памяти используется позже в этой программе, сбой или выполнение кода, который не предназначен для запуска.
Повреждение памяти 20.44%
Пример: Advantech WebAccess HMI Solution
В какой-то момент программа ZDI получила 100 отдельных отчетов с использованием продукта Advantech WebAccess HMI за один день. Большинство из этих случаев оказались переполнениями буфера, большинство из которых аналогичны примеру ниже.
Рисунок 2: Панель инструментов Advantech WebAccess
Один интересный момент, заключается в том, что, в настоящее время это решение SCADA, но оно также рекламируется как решение для Internet of Things (IoT). Решение содержит сервис webvrpcs.exe, который выполняется в контексте локального административного пользователя. Служба прослушивает протокол управления передачей (TCP) порт 4592 и может быть доступна по протоколу удаленного вызова процедур (RPC)-based protocol.
Служебные вызовы из приложения предназначены для того, чтобы напоминать Microsoft Windows DeviceIoControl функций. Каждый служебный вызов содержит значение ввода / вывода (IOCTL), которое позволяет использовать таблицы переходов для использования сотен типов услуг. В этом примере параметром является окно имени, которое копируется с помощью функции _sprintf в буфер стека, который равен 0x80 символов.
Областью, отмеченной желтым цветом, является код IOCTL, за которым следует длина буфера (в и из) — размером 0x8c байтов за которым следует завершающий нуль. Поскольку атака помещает 0x8c байтов данных в буфер длиной 0x80 байт, прогнозируемые результаты переполнения. Просмотр уязвимого кода показывает классический вызов _sprintf, который позволяет условия переполнения.
Отсутствие stack cookies, а также других защит, таких как ASLR и SafeSEH, вероятно, связано с тем что первоначальный код, был написан до существования этих методов кодирования. Однако использование запрещенных (API) и отсутствие глубинных мер защиты означает, что злоумышленникeу просто нужно переписать обратный адрес в начало атакующей обратной ссылки (ROP).
Без ASLR не требуется никаких сложностей для выполнения контролируемого злоумышленниками кода при повышенной привилегии. Анализ патча для этой уязвимости также показывает некоторые интересные варианты очистки кода старения баз. Первоначальная функция _sprintf была включена в список API-запрещенных Microsoft выпущенный в 2007 году. Исследователи ZDI ожидали, что Advantech будет внедрять список запрещенных API-интерфейсов и удалять известные плохие функции из его кода. Вместо этого патч для этой ошибки изменил функцию _sprintf на _snprintf функцию.
Однако _snprintf также находится в списке запрещенных API. Хотя _snprintf обеспечивает большую отказоустойчивость к переполнениям чем _sprintf, он не может завершать (нуль-символом) при наличии слишком большого количества символов.
Это означает, что когда стек не очищается ( редкая ситуация ), для злоумышленников становится возможным использование строковых манипуляций на этом WindowName, чтобы обмануть программу, считая буфер длиной 0x80 символов, когда в действительности, буфер длиннее, так как он не завершает нуль.
Из 75 исправлений, выпущенных Advantech, все были точечными исправлениями. Другими словами, поставщик исправил баг, но не устранил глобальные проблемные функции. Тысячи Функции _sprintf и _snprintf остаются в базе кода на сегодняшний день. Advantech не выпустил патчи для оставшихся 25 вопросов, о которых сообщили исследователи ZDI. Эти вопросы впоследствии были раскрыты общественности в соответствии с политикой программы ZDI.
Проблемы управления учетными данными
Проблемы управления учетными данными составляют 19% выявленных уязвимостей. Уязвимости в категории представляют такие случаи, как использование жестко закодированных паролей, сохранение паролей в восстанавливаемых формат (например, чистый текст) и недостаточная защита учетных данных.
Скрытая учетная запись GE MDS PulseNET
General Electric (GE) MDS PulseNET используется для мониторинга устройств и сетей промышленной связи развернутых в секторах энергетики, очистки воды и сточных вод во всем мире. Программа ZDI сообщает, что «затронутые продукты содержат жестко запрограммированную учетную запись с полными привилегиями». Полное расследование привело к раскрытию CVE-2015-6456 с общей оценкой уязвимости Системный (CVSS) рейтинг 9.0.
Взглянем на панель управления пользователя, в ней указывается на существование только двух учетных записей в системе(оператора и администратора). Однако, как отметил Andrea Micalizzi (который также известен под ником «rgod»), существует скрытая третья учетная запись с правами администратора.
Рисунок 3: Панель управления пользователя GE MDS PulseNET
Использование HeidiSQL для извлечения информации из базы данных предоставляет учетную запись «ge_support» с хэш пароля