HART - protokół 4-20mA z cyfrową nakładką i jego bezpieczeństwo

HART (Highway Addressable Remote Transducer) to protokół komunikacyjny łączący analogowy sygnał 4-20 mA z cyfrową transmisją danych metodą FSK (Frequency Shift Keying). Opracowany w 1986 roku przez firmę Rosemount (dziś Emerson), HART rozwiązał fundamentalny problem automatyki procesowej - jak dodać komunikację cyfrową (diagnostyka, kalibracja, parametryzacja) bez wymiany istniejącego okablowania analogowego 4-20 mA.

Dziś HART jest najszerzej stosowanym protokołem komunikacji z przyrządami polowymi na świecie - z ponad 40 milionami zainstalowanych urządzeń. Standard jest utrzymywany przez FieldComm Group, a aktualna wersja HART 7 obsługuje zarówno klasyczną komunikację analogową, jak i tryb wielopunktowy (multidrop).

Architektura protokołu

Unikalną cechą HART jest współistnienie sygnału analogowego i cyfrowego na tym samym przewodzie:

Parametr	HART (analogowy + FSK)
Warstwa fizyczna	4-20 mA (analog) + FSK 1200/2200 Hz (cyfrowy)
Topologia	Punkt-punkt (typowa) lub multidrop (do 63 urządzeń)
Prędkość cyfrowa	1200 bps (Bell 202 FSK)
Uwierzytelnianie	Brak
Szyfrowanie	Brak
Integralność	Checksum (wykrywanie błędów, nie ochrona kryptograficzna)
Zasięg	Do 3000 m (zależnie od impedancji pętli)
Zasilanie	Z pętli prądowej (2-wire)

Sygnał FSK jest nałożony na pętlę prądową 4-20 mA jako oscylacja o wartości sredniej zero - nie wpływa na odczyt analogowy. Dzięki temu:

• Sygnał analogowy 4-20 mA przenosi zmienną procesową w czasie rzeczywistym (np. temperaturę) - odczytywany przez standardowe karty wejść analogowych w PLC/DCS
• Sygnał cyfrowy HART przenosi dodatkowe zmienne, diagnostykę, parametry konfiguracyjne i kalibrację - odczytywany przez komunikator HART lub multiplekser HART

W trybie punkt-punkt (najczęstszym) jeden przetwornik komunikuje się z systemem DCS/PLC. W trybie multidrop sygnał analogowy jest ustawiony na stałe 4 mA, a cała komunikacja odbywa się cyfrowo - ten tryb jest rzadziej stosowany ze względu na niską prędkość.

Zastosowania

HART jest standardem w automatyce procesowej:

• Przemysł chemiczny i petrochemiczny - przetworniki ciśnienia, temperatury, poziomu i przepływu
• Energetyka - monitorowanie parametrów kotłów, turbin, instalacji odsiarczania
• Woda i ścieki - pomiar przepływu, pH, mętności, poziomu w zbiornikach
• Farmaceutyka - kontrola parametrów procesowych z pełną diagnostyką urządzeń

Ocena bezpieczeństwa

Protokół HART nie posiada mechanizmów bezpieczeństwa - został zaprojektowany w erze pełnej izolacji fizycznej instrumentacji polowej.

Podatności:

• Brak uwierzytelniania - każde urządzenie podłączone do pętli prądowej (lub skrzynki przyłączeniowej) może wysyłać polecenia HART do przetwornika. Komunikator HART podłączony w dowolnym punkcie pętli uzyskuje pełny dostęp do konfiguracji urządzenia
• Brak szyfrowania - polecenia i odpowiedzi HART przesyłane jawnie. Modem HART pozwala na podsłuch całej komunikacji
• Brak kontroli dostępu do poleceń - HART definiuje trzy poziomy poleceń (uniwersalne, common practice, device-specific), ale nie kontroluje kto je wysyła
• Fizyczna dostępność - pętla 4-20 mA biegnie od przetwornika polowego do szafy sterowniczej, często na dystansie setek metrów, przez skrzynki przyłączeniowe (junction boxes) rozmieszczone w terenie

Scenariusze ataku:

1. Zmiana kalibracji - atakujący zmienia zakres pomiarowy przetwornika (np. z 0-100C na 0-200C), powodując że system DCS odczytuje fałszywe wartości
2. Modyfikacja parametrów - zmiana tłumienia (damping), jednostek, trybu pracy przetwornika
3. Diagnostyka jako rekonesans - odczyt tag’u, opisu, modelu i numeru seryjnego urządzenia daje mapę instrumentacji w instalacji
4. Write-protect bypass - wiele przetworników posiada fizyczny przełącznik write-protect, ale domyślnie jest on wyłączony

Segmentacja i ochrona

Ochrona instalacji HART opiera się przede wszystkim na bezpieczeństwie fizycznym - protokół sam nie daje żadnych narzędzi kontroli dostępu.

Ochrona fizyczna - priorytet:

1. Skrzynki przyłączeniowe (junction boxes) - zamknięte na klucz, z czujnikami tamper. Skrzynki są najłatwiejszym punktem dostępu do pętli HART w terenie
2. Trasy kablowe - korytka kablowe zamknięte, w strefach z kontrolowanym dostępem
3. Szafy marshalling - kontrola dostępu do szaf, w których pętle prądowe kończą się na klemmach (barierach iskrobezpiecznych)
4. Write-protect na przetwornikach - włączenie fizycznego przełącznika blokady zapisu na wszystkich przetwornikach HART po konfiguracji

Segmentacja i monitoring:

1. Multipleksery HART jako granica strefy - multiplekser HART (np. Emerson THUM, Pepperl+Fuchs) agreguje dane HART z wielu pętli i udostępnia je przez Ethernet. To punkt, w którym segmentacja sieciowa staje się możliwa
2. Firewall na multiplekserze - komunikacja Ethernet z multipleksera HART powinna przechodzić przez firewall, który ogranicza dostęp do serwera zarządzania instrumentacją (AMS/PDM)
3. Monitoring zmian konfiguracji - systemy Asset Management (np. Emerson AMS, ABB Ability) rejestrują zmiany parametrów przyrządów HART. Alert na nieautoryzowaną zmianę kalibracji lub zakresu jest kluczowy
4. Izolacja stacji kalibracyjnych - przenośne komunikatory HART powinny podlegać kontroli (rejestr wypożyczeń, whitelist urządzeń)

Szczegółowe podejście do projektowania stref bezpieczeństwa w sieciach OT, w tym ochrony warstwy polowej, opisujemy w artykule o segmentacji sieci OT.

Źródła

• FieldComm Group - HART Protocol - oficjalna specyfikacja i dokumentacja
• IEC 62591 - WirelessHART - bezprzewodowa ewolucja HART
• NIST SP 800-82 Rev. 3 - Guide to OT Security, bezpieczeństwo warstwy polowej
• Emerson - HART Communication - zasoby producenta
• IEC 62443-3-3 - wymagania bezpieczeństwa dla systemów automatyki