Foundation Fieldbus - protokół H1/HSE i bezpieczeństwo sieci procesowych
Foundation Fieldbus H1 (IEC 61158-2) i HSE (Ethernet) - architektura, brak mechanizmów bezpieczeństwa w H1, możliwości segmentacji HSE. Encyklopedia protokołów OT.
Foundation Fieldbus (FF) to protokół komunikacyjny dla automatyki procesowej opracowany przez Fieldbus Foundation (dziś FieldComm Group) jako następca analogowej pętli 4-20 mA. Standard ten wyróżnia się unikalnymi cechami - jest w pełni cyfrowy, obsługuje sterowanie rozproszone na poziomie przyrządów polowych (control in the field) i definiuje zunifikowane bloki funkcyjne dla różnych typów urządzeń. Foundation Fieldbus jest standardem IEC 61158 (typy 1 i 5) i znajduje zastosowanie przede wszystkim w dużych instalacjach procesowych - rafineriach, zakładach petrochemicznych, elektrowniach i instalacjach LNG.
Protokół występuje w dwóch warstwach: H1 (field level) i HSE (plant level), które razem tworzą hierarchiczną architekturę komunikacji w zakładzie procesowym.
Architektura - H1 i HSE
| Parametr | Foundation Fieldbus H1 | Foundation Fieldbus HSE |
|---|---|---|
| Warstwa fizyczna | IEC 61158-2 (MBP, Manchester) | Ethernet 100 Mbps |
| Prędkość | 31.25 kbps | 100 Mbps |
| Topologia | Magistrala, punkt-punkt, drzewo | Gwiazda, pierścień (Ethernet) |
| Zasilanie | Z magistrali (2-wire, jak HART) | Oddzielne |
| Uwierzytelnianie | Brak | Brak natywnego |
| Szyfrowanie | Brak | Brak natywnego |
| Strefa Ex | Tak - iskrobezpieczne (FISCO) | Nie (poziom zakładowy) |
| Zasięg | Do 1900 m (z repeaterami) | Standard Ethernet |
| Sterowanie | W przyrządach (control in the field) | W kontrolerze lub przyrządach |
H1 to warstwa polowa - łączy przetworniki ciśnienia, temperatury, przepływu, poziomu i zawory regulacyjne na jednej parze przewodów dostarczającej jednocześnie zasilanie i dane. Kluczową cechą H1 jest możliwość wykonywania algorytmów sterowania (PID, kaskada) bezpośrednio w przyrządach polowych, bez pośrednictwa kontrolera DCS. LAS (Link Active Scheduler) - zwykle kontroler lub dedykowane urządzenie - zarządza dostępem do magistrali, przydzielając sloty czasowe urządzeniom.
HSE (High Speed Ethernet) to warstwa zakładowa - łączy kontrolery DCS, linking devices (mosty H1/HSE), stacje operatorskie i serwery historyków przez sieć Ethernet 100 Mbps. HSE przenosi te same bloki funkcyjne i model danych co H1, ale na szybszym medium.
Bloki funkcyjne i sterowanie w przyrządach
Wyróżniającą cechą Foundation Fieldbus jest model bloków funkcyjnych:
- Transducer Block - interfejs z czujnikiem fizycznym (np. odczyt ciśnienia z membrany)
- Function Block - algorytm sterowania (AI, AO, PID, charakterystyka) wykonywany w przyrządzie polowym
- Resource Block - diagnostyka i konfiguracja urządzenia
Bloki funkcyjne w różnych urządzeniach mogą być ze sobą połączone - np. blok AI (Analog Input) w przetworniku ciśnienia połączony z blokiem PID w zaworze regulacyjnym tworzy pętlę regulacji bez udziału kontrolera DCS. To “sterowanie w polu” (control in the field) zwiększa niezawodność - pętla działa nawet przy awarii komunikacji z kontrolerem.
TIP
Sterowanie w przyrządach (control in the field) w Foundation Fieldbus H1 oznacza, że kompromitacja przyrządu polowego to kompromitacja pętli regulacji. W przypadku klasycznego DCS z HART przyrząd jest tylko czujnikiem - sterowanie odbywa się w kontrolerze. Ten model architektoniczny wpływa na analizę ryzyka zgodnie z IEC 62443.
Ocena bezpieczeństwa
Foundation Fieldbus H1 nie posiada mechanizmów bezpieczeństwa:
- Brak uwierzytelniania - dowolne urządzenie podłączone do segmentu H1 może uczestniczyć w komunikacji, w tym modyfikować bloki funkcyjne innych urządzeń
- Brak szyfrowania - wartości procesowe, parametry konfiguracyjne i algorytmy sterowania przesyłane jawnie
- LAS spoofing - atakujący może przejąć rolę Link Active Schedulera, kontrolując harmonogram komunikacji na magistrali i potencjalnie blokując komunikację wybranych urządzeń
- Bloki funkcyjne jako wektor ataku - możliwość zdalnej rekonfiguracji bloków PID (zmiana nastaw, limitów) to bezpośredni wpływ na proces fizyczny
Foundation Fieldbus HSE działa na Ethernecie, co oznacza, że dziedziczy zarówno możliwości, jak i zagrożenia sieci IP:
- Podatny na standardowe ataki sieciowe (ARP spoofing, MAC flooding, VLAN hopping)
- Brak natywnego uwierzytelniania i szyfrowania w warstwie aplikacji FF
- Ale: możliwość zastosowania standardowych mechanizmów bezpieczeństwa sieciowego (firewalle, IDS, segmentacja VLAN)
Specyficzne ryzyko control in the field:
W klasycznej architekturze DCS (z HART lub Modbus RTU) przyrząd polowy jest czujnikiem/siłownikiem, a algorytm sterowania działa w kontrolerze DCS. Kompromitacja przyrządu oznacza fałszywy pomiar lub nieprawidłowe działanie zaworu, ale pętla regulacji w kontrolerze może wykryć anomalię.
W Foundation Fieldbus H1 z control in the field, kompromitacja przyrządu polowego oznacza kompromitację algorytmu sterowania - atakujący może zmienić nastawy PID, limity, tryb regulacji. To wyższy poziom ryzyka wymagający silniejszej ochrony fizycznej segmentów H1.
Segmentacja i ochrona
Ochrona segmentów H1 (analogicznie do HART i PROFIBUS PA):
- Ochrona fizyczna magistrali - skrzynki przyłączeniowe, bariery iskrobezpieczne i obudowy junction box zabezpieczone przed nieautoryzowanym dostępem
- Linking device jako granica strefy - urządzenie łączące H1 z HSE jest naturalnym punktem segmentacji. Jeden linking device obsługuje zwykle 2-4 segmenty H1
- Monitoring LAS - alert na zmianę urządzenia pełniącego rolę Link Active Scheduler (potencjalna próba przejęcia kontroli nad harmonogramem)
- Blokada rekonfiguracji - po uruchomieniu instalacji bloki funkcyjne powinny być chronione przed zmianami (write protection w konfiguracji DCS)
Segmentacja HSE (Ethernet):
- Dedykowana sieć HSE - Foundation Fieldbus HSE powinien działać na fizycznie oddzielnej sieci Ethernet lub co najmniej w dedykowanym VLAN z ACL
- Firewall na granicy HSE/IT - kontrola ruchu między siecią HSE a siecią zakładową IT, z inspekcją protokołu FF
- Separacja linking devices - osobne segmenty HSE dla różnych obszarów procesowych (np. destylacja, reaktory, magazyny)
- Redundancja - HSE obsługuje redundancję sieci (ring topology) - wykorzystaj ją do zwiększenia odporności na ataki DoS
Szczegółowe wytyczne dotyczące stref i korytarzy w sieciach procesowych opisujemy w artykule o segmentacji sieci OT.
TIP
Foundation Fieldbus traci udział rynkowy na rzecz Ethernet-APL (Advanced Physical Layer) - nowego standardu dostarczającego Ethernet 10 Mbps na 2-wire z zasilaniem, kompatybilnego ze strefami Ex. Ethernet-APL wspiera protokoły wyższych warstw (PROFINET, OPC UA, HART-IP) z możliwością natywnego TLS. Jeśli planujesz nową instalację procesową, Ethernet-APL jest kierunkiem przyszłości.
Źródła
- FieldComm Group - Foundation Fieldbus - oficjalna dokumentacja
- IEC 61158 - Industrial Communication Networks - Fieldbus Specifications - standard międzynarodowy
- NIST SP 800-82 Rev. 3 - Guide to OT Security
- Ethernet-APL - następca Foundation Fieldbus H1
- IEC 62443-3-3 - wymagania bezpieczeństwa systemów automatyki