AS-Interface - protokół czujników i siłowników oraz jego bezpieczeństwo
AS-Interface (AS-i) - dwuprzewodowy protokół fieldbus dla czujników i siłowników, dane i zasilanie na jednym kablu, ochrona fizyczna jako jedyna opcja. Encyklopedia protokołów OT.
AS-Interface (Actuator Sensor Interface, AS-i) to protokół fieldbus zaprojektowany w 1994 roku specjalnie do podłączania prostych urządzeń binarnych - czujników zbliżeniowych, fotoelektrycznych, przycisków, sygnalizatorów i zaworów pneumatycznych. Standard IEC 62026-2 definiuje system, w którym dane i zasilanie (do 8 A przy 30 V DC) są przesyłane na jednym dwuprzewodowym, nieekranowanym kablu o charakterystycznym żółtym kolorze i profilu trapezowym zapobiegającym odwrotnemu podłączeniu.
AS-Interface zajmuje najniższy poziom w hierarchii sieci przemysłowej - zastępuje tradycyjne okablowanie punkt-punkt (jeden kabel na każdy czujnik) jedną magistralą łączącą dziesiątki urządzeń. Jest szeroko stosowany w liniach montażowych, systemach transportu materiałów, maszynach pakujących i instalacjach HVAC.
Architektura protokołu
| Parametr | AS-Interface (AS-i) |
|---|---|
| Warstwa fizyczna | 2-wire (dane + zasilanie), kabel żółty niezapierany |
| Prędkość | 167 kbps |
| Topologia | Dowolna (magistrala, drzewo, gwiazda, pierścień) - brak terminatorów |
| Uwierzytelnianie | Brak |
| Szyfrowanie | Brak |
| Adresowanie | 1-31 (v2.1) lub 1-62 (v3.0 z rozszerzonym adresowaniem) |
| Payload | 4 bity na slave’a (v2.1) lub 16 bitów (v3.0) |
| Zasięg | Do 100 m (300 m z repeaterami) |
| Czas cyklu | 5 ms (31 slave’ów) lub 10 ms (62 slave’ów) |
| Zasilanie | Do 8 A @ 30 V DC przez magistralę |
AS-Interface działa w modelu master-slave z jednym masterem (moduł w PLC, gateway AS-i/Ethernet) cyklicznie odpytującym wszystkie slave’y. Cykl komunikacji trwa 5 ms dla 31 urządzeń - determinizm wystarczający dla większości aplikacji binarnych.
Kluczowe cechy:
- Prostota podłączenia - technika przebijania izolacji (piercing technology) pozwala podłączyć moduł slave w dowolnym punkcie kabla bez przerywania magistrali. Montaż jednego urządzenia trwa minuty
- Zasilanie z magistrali - czujniki i proste siłowniki zasilane bezpośrednio z kabla AS-i (do 100 mA na urządzenie). Dla siłowników o wyższym poborze mocy stosuje się czarny kabel AUX (dodatkowe zasilanie)
- Safety at Work - AS-i Safety (IEC 62026-7) umożliwia przesyłanie sygnałów bezpieczeństwa (SIL 3 / PLe) na tej samej magistrali co sygnały standardowe
Zastosowania
AS-Interface jest standardem wszędzie tam, gdzie trzeba podłączyć dużą liczbę prostych urządzeń binarnych:
- Linie montażowe - czujniki obecności, pozycji, fotobariera bezpieczeństwa
- Przenośniki i transport materiałów - czujniki położenia, sygnalizatory, przyciski stop
- Maszyny pakujące - czujniki etykiet, detektory metalu, zawory pneumatyczne
- Systemy HVAC - siłowniki przepustnic, czujniki przepływu, kontaktrony
- Bezpieczeństwo maszyn - kurtyny świetlne, przyciski awaryjne, rygle drzwi (przez AS-i Safety)
TIP
AS-i Safety (IEC 62026-7) przesyła sygnały bezpieczeństwa SIL 3 na tej samej magistrali co sygnały standardowe. Kompromitacja magistrali AS-i w instalacji z AS-i Safety może więc wpłynąć nie tylko na działanie maszyny, ale także na funkcje bezpieczeństwa chroniące zdrowie operatorów. Ochrona fizyczna kabla AS-i w takich instalacjach jest szczególnie krytyczna.
Ocena bezpieczeństwa
AS-Interface to protokół zaprojektowany do maksymalnej prostoty - 4 bity danych na urządzenie, deterministyczny cykl 5 ms, minimalne opóźnienia. W tej prostocie nie ma miejsca na mechanizmy bezpieczeństwa:
- Brak uwierzytelniania - master nie weryfikuje tożsamości slave’ów. Urządzenie podłączone do magistrali z odpowiednim adresem jest automatycznie akceptowane
- Brak szyfrowania - 4 bity danych na slave’a przesyłane jawnie. W przypadku AS-i v3.0 (16 bitów) sytuacja nie zmienia się
- Brak integralności kryptograficznej - parzystość i CRC chronią przed błędami transmisji, nie przed manipulacją
- Łatwość podłączenia - ta sama technika przebijania izolacji, która czyni AS-i łatwym w montażu, czyni go łatwym do kompromitacji. Podłączenie nieautoryzowanego urządzenia do kabla nie wymaga żadnych narzędzi specjalistycznych
- Adresowanie jako jedyna “bariera” - urządzenia mają adresy 1-31 (lub 1-62). Master wykrywa nowe urządzenia na magistrali, ale nie blokuje ich komunikacji
Scenariusze ataku:
- Podłączenie rogue slave - atakujący podłącza urządzenie z adresem istniejącego slave’a, powodując konflikt adresów i zakłócenia komunikacji (DoS)
- Podmiana slave’a - wymiana czujnika na urządzenie wysyłające fałszywe dane (np. czujnik obecności zawsze sygnalizujący “brak obiektu”)
- Podsłuch - odczyt stanów wszystkich czujników i siłowników na magistrali przez podłączenie analizatora
- Manipulacja AS-i Safety - w teorii AS-i Safety jest odporne na manipulację (dynamiczny kod, watchdog), ale fizyczny dostęp do kabla otwiera wektor ataku na dostępność funkcji bezpieczeństwa
Segmentacja i ochrona
Protokół AS-Interface nie oferuje żadnych mechanizmów bezpieczeństwa na poziomie komunikacji. Jedyną realną ochroną jest bezpieczeństwo fizyczne i segmentacja na poziomie mastera/bramki.
Ochrona fizyczna - kluczowa:
- Trasa kabla AS-i - żółty kabel powinien biec w zamkniętych korytkach lub kanałach kablowych z kontrolowanym dostępem. Każdy punkt na kablu to potencjalne miejsce podłączenia nieautoryzowanego urządzenia
- Skrzynki przyłączeniowe - moduły AS-i zamontowane w otwartych przestrzeniach powinny być w obudowach z kontrolą otwarcia (tamper switch)
- Monitoring zmian topologii - master AS-i wykrywa pojawienie się nowego slave’a na magistrali. Alert na zmianę liczby urządzeń powinien być skonfigurowany w systemie SCADA/DCS
- Referencja konfiguracji - master przechowuje listę oczekiwanych slave’ów (projected configuration). Odchylenie od tej listy generuje błąd - upewnij się, że ten mechanizm jest aktywny i monitorowany
Segmentacja na poziomie mastera/bramki:
- Master/gateway AS-i jako granica strefy - bramka AS-i/Ethernet (np. Bihl+Wiedemann, Pepperl+Fuchs, ifm) łączy magistralę AS-i z siecią Ethernet/PROFINET/EtherNet/IP. To jedyny punkt, w którym segmentacja sieciowa jest możliwa
- Firewall na interfejsie Ethernet bramki - komunikacja bramki AS-i z PLC/SCADA powinna przechodzić przez firewall z DPI
- Separacja magistrali - osobne segmenty AS-i dla różnych maszyn lub linii produkcyjnych, podłączone do PLC przez oddzielne bramki
- Ograniczenie dostępu konfiguracyjnego - narzędzia do adresowania i konfiguracji AS-i (np. AS-i handheld programmer) powinny być kontrolowane i zabezpieczone jak każdy inny punkt dostępu do OT
Szczegółowe wytyczne dotyczące projektowania stref bezpieczeństwa w sieciach przemysłowych opisujemy w artykule o segmentacji sieci OT.
TIP
Nowa generacja AS-Interface (ASi-5, 2019) zwiększa prędkość do 230 kbps i payload do 32 bajtów, ale nadal nie wprowadza mechanizmów bezpieczeństwa kryptograficznego. Jeśli potrzebujesz bezpiecznej komunikacji na najniższym poziomie, rozważ IO-Link Safety lub Ethernet-APL z natywnym TLS.
Źródła
- IEC 62026-2 - AS-Interface - standard międzynarodowy
- AS-International Association - organizacja standaryzacyjna
- IEC 62026-7 - AS-i Safety at Work - bezpieczeństwo funkcjonalne na AS-i
- NIST SP 800-82 Rev. 3 - Guide to OT Security
- IEC 62443 - bezpieczeństwo systemów automatyki przemysłowej