Ficha 02 · SCADA, casos práticos, manutenção
- SCADA
- Integração
- Manutenção
- Segurança
Parte I · SCADA
Exercício 1 · Selecção SCADA (15 pts)
Para cada empresa, indica software SCADA mais adequado:
a) PME com 3 máquinas Siemens. b) Fábrica média com mix Siemens + Allen-Bradley + Modbus. c) Sistema de água municipal (50 estações remotas). d) Refinaria com requisitos rigorosos de qualidade.
a) PME 3 máquinas Siemens: - Siemens WinCC Advanced (PC single-station). - Custo: 3-8 000 €. - Integração nativa com TIA Portal (sem precisar configurar comunicações). - Simples de implementar.
b) Fábrica média multi-vendor: - Inductive Automation Ignition: - Multi-protocolo (Profinet, EtherNet/IP, Modbus, OPC UA). - Licença por tags (não por utilizador) → económico em multi-vendor. - Mobile nativo. - Ou Wonderware InTouch (Aveva): standard mundial robusto. - Custo: 10-30 000 € + anual.
c) Sistema água municipal (50 estações remotas): - Schneider Citect (Aveva): forte em utilities (água, energia). - Optimizado para estações remotas (comunicação 3G/4G, redundância, alarmes SMS). - Ou Wonderware System Platform. - Custo: 50-200 000 € (sistema grande).
d) Refinaria: - GE Cimplicity ou Honeywell Experion (DCS específico para processo). - Ou Yokogawa CENTUM (japonês, especialidade petroquímica). - Requisitos rigorosos: validação, auditoria, certificação. - Investimento: milhões €.
Critérios para seleccionar: - Tamanho da operação. - Diversidade de PLCs (single-vendor vs multi-vendor). - Sector (água, energia, química, manufactura). - Requisitos regulamentares. - Orçamento. - Suporte local disponível.
Exercício 2 · Arquitectura SCADA (10 pts)
Esboça arquitectura SCADA para fábrica com 5 linhas de produção:
Arquitectura SCADA — Fábrica 5 Linhas:
┌─────────────────────────────────────┐
│ ERP / MES │
│ (sala administração) │
└────┬────────────────────────────┬───┘
│ Ethernet │
▼ ▼
┌──────────────────────┐ ┌──────────────────────┐
│ SCADA Server 1 │ │ SCADA Server 2 │
│ (Primary) │◄───►│ (Backup, redundância)│
│ - WinCC Server │ │ - Hot standby │
│ - SQL DB histórico │ │ │
└──────┬───────────────┘ └──────┬───────────────┘
│ │
└─────────────┬──────────────┘
│ Ethernet industrial dedicada
│
┌────────────────────────┼────────────────────────┐
│ │ │
▼ ▼ ▼
┌──────────────┐ ┌──────────────┐ ┌──────────────┐
│ Switch Core 1│◄───────►│ Switch Core 2│ ... │ Switch Core N│
│ (anel MRP) │ │ (anel MRP) │ │ │
└──────┬───────┘ └──────┬───────┘ └──────┬───────┘
│ │ │
▼ ▼ ▼
Linha 1 Linha 2 Linha 3-5
┌─────────┐ ┌─────────┐ ...
│ PLC L1 │ │ PLC L2 │
│ + HMI │ │ + HMI │
│ + I/Os │ │ + I/Os │
└─────────┘ └─────────┘
┌────────────────────────┐
│ Clientes │
│ - PCs operação │
│ - PCs supervisão │
│ - Web browsers │
│ - Mobile (tablets) │
└────────────────────────┘
Componentes:
Servidores SCADA (redundância): - 2 PCs industriais robustos. - 1 primary + 1 hot standby (sincronizam dados). - Failover automático em caso de falha do primary.
Base de dados histórico: - SQL Server ou InfluxDB. - Anos de dados. - Acessível para reports e análise.
Rede industrial: - Anel com MRP (Media Redundancy Protocol) para fiabilidade. - Switches industriais (Scalance, Hirschmann). - Cabos blindados Cat6 industriais.
HMIs locais: - Touch panel em cada linha. - Comunicam com PLC local. - Backup local (em caso de falha de comunicação com SCADA).
Clientes SCADA: - Operadores em sala de controlo. - Supervisores em escritórios. - Mobile para gestores via web/app.
Cybersegurança: - Firewall entre rede industrial e rede corporativa. - VPN para acesso remoto. - Autenticação forte (MFA). - Audit log completo. - Backups offsite cifrados.
Custo aproximado: - Servidores + software SCADA: 30-80 000 €. - Switches industriais redundantes: 10-30 000 €. - HMIs: 5 × 2000 € = 10 000 €. - Cabos, instalação, comissionamento: 20-50 000 €. - Formação: 5-10 000 €. - Total inicial: ~80-180 000 €. - Custo anual: licenças (5-15 000 €) + manutenção (3-5% do investimento).
Parte II · Integração
Exercício 3 · OPC UA (15 pts)
a) O que é OPC UA? b) Vantagens vs OPC DA? c) Como configurar servidor OPC UA num PLC S7-1500? d) Como conectar SCADA a esse servidor?
a) OPC UA (Open Platform Communications Unified Architecture): - Standard moderno para comunicação industrial. - Plataforma-agnóstica (Linux, Windows, RTOS, embedded). - Cifragem + autenticação integradas. - Modelo de informação rico (não só valores, mas também metadados). - Suporte de fabricantes (Siemens, Schneider, ABB, Allen-Bradley, Beckhoff, etc.). - Standards IEC 62541.
b) Vantagens vs OPC DA (clássico):
| Aspecto | OPC DA | OPC UA |
|---|---|---|
| Plataforma | Windows DCOM | Independente |
| Cifragem | Não | Sim, nativa |
| Autenticação | Limitada | Forte (certificados, X.509) |
| Velocidade | Limitada | Alta (TCP) |
| Internet | Não (DCOM bloqueia) | Sim |
| Modelo de informação | Apenas valores | Rico (tipos, hierarquia, eventos) |
| Cross-platform | Não | Sim |
OPC UA é futuro-proof; OPC DA está obsoleto.
c) Configurar servidor OPC UA num S7-1500:
- Hardware Configuration no TIA Portal:
- Properties do CPU.
- OPC UA → activate "OPC UA server".
-
Definir endpoint URL:
opc.tcp://192.168.0.1:4840. -
Configurar segurança:
- Security Policy:
Basic256Sha256(mais segura). - Authentication: username + password OU certificado.
-
Criar utilizadores: admin, operator (com permissões).
-
Expor variáveis:
- Por defeito, todas as variáveis do PLC ficam expostas.
- Pode-se filtrar para expor apenas necessárias.
-
Tag attributes podem ser ajustados (read-only, read-write).
-
Compilar e descarregar.
-
Testar com cliente OPC UA:
- UaExpert (gratuito, Unified Automation): cliente standard para teste.
- Browse server: ver lista de variáveis.
- Read/write valores.
d) Conectar SCADA a OPC UA:
WinCC SCADA (Siemens):
- Add Connection → OPC UA Connection.
- URL: opc.tcp://192.168.0.1:4840.
- Authentication: username/password.
- Importar variáveis do servidor (browse).
- Usar como tags normais.
Inductive Automation Ignition: - Devices → Add OPC UA Connection. - URL + autenticação. - Tags expostas automaticamente.
Wonderware InTouch: - Adicionar OPC UA connection via OPC Connect.
Standardização: - OPC UA torna integração entre fabricantes muito mais fácil. - Substituir SCADA não exige reconfigurar PLCs. - Conectar cloud (Azure IoT, AWS) é directo.
Cybersegurança crítica: - Certificados em vez de só password. - Renovar certificados periodicamente. - Logs de acesso. - Restringir IPs que podem conectar.
Exercício 4 · Mobile HMI (10 pts)
a) Que opções há para HMI em telemóvel/tablet? b) Vantagens e riscos? c) Como implementar com segurança?
a) Opções para HMI mobile:
1. App nativa: - Apps específicas dos fabricantes: - Siemens WinCC Mobile. - Inductive Automation Ignition Perspective. - Aveva InTouch Edge HMI. - Instaladas em smartphone/tablet. - Comunicação com servidor SCADA via WiFi/4G.
2. Web HMI: - HMI acessível via browser (HTML5). - Funciona em qualquer dispositivo (Android, iOS, Windows). - WinCC Unified Web (Siemens). - Ignition Perspective (Inductive Automation).
3. Tablets industriais com HMI completo: - Tablets robustos (Panasonic Toughpad, Zebra ET8x). - HMI completo instalado. - Para uso em chão de fábrica (não escritório).
b) Vantagens: - Mobilidade: operador/supervisor não preso a sala. - Acesso remoto: gestor pode ver de qualquer lugar. - Notificações push em alarmes críticos. - Inspecções no local (técnico vê dados perto da máquina). - Flexibilidade (qualquer dispositivo).
Riscos: - Cybersegurança: dispositivos móveis perdidos / roubados / hackeados. - Conectividade: WiFi/4G instável → operações comprometidas. - Ecrã pequeno: difícil visualizar mímicas complexas. - Distracção: operador pode focar telemóvel em vez do trabalho. - Toque acidental: comandar máquina por erro.
c) Implementação segura:
1. Cybersegurança: - VPN obrigatória para acesso remoto. - MFA (Multi-Factor Authentication): password + SMS / autenticador. - Cifragem end-to-end (HTTPS, TLS 1.3). - Certificados únicos por dispositivo. - Restringir IPs que podem conectar. - Logout automático por inactividade.
2. Permissões adequadas: - Read-only por defeito em mobile. - Comando: apenas administradores em situações específicas. - Alarmes acknowledge: OK para todos. - Configurações: bloqueadas em mobile (apenas no HMI físico).
3. Gestão de dispositivos (MDM — Mobile Device Management): - Software que gere os dispositivos. - Pode bloquear acesso se dispositivo perdido. - Limita aplicações instaláveis. - Política de password obrigatória.
4. Limitações operacionais: - Sem operações críticas em mobile (paragem de emergência tem que ser física). - Confirmação dupla para acções sensíveis. - Modo "consulta" vs modo "controlo" claramente separados.
5. Backup de operação: - Se WiFi/4G falhar, HMI físico continua a funcionar. - Mobile é complementar, não substituto.
6. Treinamento: - Operadores formados sobre quando/como usar. - Procedimentos claros. - Consciência de cybersegurança.
7. Conformidade: - Directiva Máquinas: máquinas perigosas continuam a precisar de botão físico de emergência. - GDPR se houver dados pessoais. - Sectorial (alimentar, farmacêutico) — verificar restrições.
Caso de uso recomendado: - Mobile: monitorização (read-only), alarmes, KPIs, reports. - HMI físico: operação activa, comando, configurações. - SCADA central: configuração avançada, programação.
Tecnologias emergentes: - Realidade aumentada (AR): óculos Microsoft HoloLens mostram dados sobrepostos a equipamento real. - 5G privado: redes 5G dedicadas industriais (latência < 10 ms). - Edge AI: análise local em dispositivos móveis.
Parte III · Manutenção
Exercício 5 · Avaria HMI (15 pts)
HMI Siemens KTP700 não comunica com PLC. Que diagnóstico?
Diagnóstico — HMI não comunica com PLC
Sintomas comuns: - Ecrã mostra "Connection lost" ou "Communication error". - Valores mostrados são os últimos válidos (cached). - Botões não comandam.
Causas possíveis (ordem de probabilidade):
- Cabo Ethernet danificado, mal conectado, ou desconectado.
- Switch industrial com problema.
- IP errado no HMI ou PLC.
- PLC em STOP (não comunica).
- HMI travado (precisa reset).
- Configuração alterada acidentalmente.
- Firewall bloqueando.
- Hardware do HMI ou PLC avariado.
Procedimento de diagnóstico:
Passo 1 — Verificação visual (1 min): - LEDs no HMI: aceso? (verde = OK, vermelho = erro). - LEDs do switch: link activo (laranja/verde)? - LEDs do PLC: RUN (verde), STOP (laranja/vermelho)? - Cabos Ethernet aparentemente bem conectados?
Passo 2 — Verificar PLC (2 min): - PLC está em RUN? - Se em STOP: tentar pôr em RUN. - Causa do STOP no Diagnostic Buffer?
Passo 3 — Verificar cabo Ethernet (5 min): - Substituir cabo Ethernet por outro testado. - Se resolve → cabo era o problema. - Se não → próximo passo.
Passo 4 — Verificar IPs (3 min):
- Conectar PC com TIA Portal ao mesmo switch.
- Ping ao HMI: ping 192.168.0.2.
- Ping ao PLC: ping 192.168.0.1.
- Se ambos respondem → conectividade OK, problema é configuração.
- Se um não responde → problema de cabos/hardware.
Passo 5 — Verificar configuração (5 min): - TIA Portal → Online → HMI. - Verificar IP, máscara, gateway. - Verificar conexão com PLC: properties → Connections → testar.
Passo 6 — Reset do HMI (1 min): - Desligar HMI (alimentação 24V). - Esperar 10 segundos. - Ligar. - HMI faz boot, tenta reconectar.
Passo 7 — Diagnóstico do switch (se aplicável): - Substituir switch ou usar outro pop momentaneamente. - Verificar configuração se for managed switch.
Passo 8 — Diagnóstico de hardware: - Se HMI mostra erros internos, falha de boot, ou comportamento errático: - Hardware do HMI pode estar avariado. - Substituir por unidade nova ou de reserva.
Passo 9 — Diagnóstico do PLC: - Se ping ao PLC falha mas LEDs estão OK: - Pode ser problema no módulo de comunicação do PLC. - Verificar Diagnostic Buffer.
Passo 10 — Comunicação intermitente: - Se conecta às vezes e outras não: - Cabo marginalmente danificado. - Switch sobrecarregado. - EMI intermitente. - Solução: substituir cabo, mover instalação ou adicionar filtro EMI.
Documentação: - OT preenchida. - Causa identificada. - Tempo de paragem. - Acções preventivas (se padrão se repete).
Prevenção futura: - Backup do projecto antes de qualquer alteração. - Cabos de qualidade industrial (Cat6 blindado, conectores robustos). - Switches industriais (com diagnóstico, redundância MRP). - Documentação dos IPs e MACs. - Inventário de peças de substituição.
Exercício 6 · Backup e recuperação (10 pts)
a) Que dados guardar para backup completo de HMI? b) Como restaurar HMI substituído?
a) Dados a guardar — Backup HMI:
1. Projecto TIA Portal completo:
- Ficheiro .ap18 ou versão equivalente.
- Inclui PLC + HMI.
2. Configuração específica do HMI: - Lista de ecrãs. - Tags. - Animações. - Alarmes. - Trends configurações. - Receitas.
3. Imagens customizadas: - Logos da empresa. - Fotografias. - Símbolos não-standard.
4. Configuração de utilizadores: - Lista de utilizadores. - Grupos. - Permissões. - (Passwords não são guardadas no TIA Portal por segurança — anotar separadamente em vault seguro).
5. Configuração de comunicações: - IP do HMI. - IPs dos PLCs com que comunica. - Configurações específicas (timeouts, etc.).
6. Documentação: - Manual do operador (PDF). - Lista de tags com descrições. - Esquemas eléctricos relacionados.
Frequência: - Após cada alteração significativa. - Pelo menos mensalmente (mesmo sem alterações, para confirmar backup funciona). - Antes de qualquer intervenção arriscada.
Onde guardar (regra 3-2-1): - PC do programador (acesso diário). - Servidor da empresa (backup automático). - Cloud cifrada (offsite). - Opcional: cartão SD no próprio HMI (alguns modelos suportam).
b) Restaurar HMI substituído:
Cenário: HMI queimou; comprar novo idêntico (Siemens KTP700 Basic PN).
Procedimento:
1. Preparação: - HMI novo desembalado. - PC com TIA Portal aberto no projecto. - Cabo Ethernet. - Cartão SD com configuração (opcional).
2. Configuração inicial: - Ligar HMI à alimentação 24V. - Conectar cabo Ethernet ao PC. - HMI arranca com configuração de fábrica (sem programa).
3. Definir IP: - TIA Portal → Online → Set IP address. - Atribuir IP correcto (192.168.0.2 por exemplo).
4. Descarregar projecto: - TIA Portal → Download to device. - Seleccionar HMI. - Confirmar overwrite. - Aguardar download (1-5 min conforme tamanho do projecto).
5. Configurar utilizadores (manualmente, se TIA Portal não os transferiu): - Logar como admin. - Criar utilizadores conforme política (anotações separadas). - Definir passwords.
6. Restaurar receitas (se guardadas): - Import receitas do backup.
7. Verificação: - Conectar a PLC (cabo). - Verificar comunicação. - Testar todos os ecrãs. - Testar botões e funcionalidades. - Verificar trends a gravar. - Verificar alarmes a aparecer correctamente.
8. Re-instalação física: - Desligar tensão (LOTO). - Remover HMI antigo (etiquetar cabos). - Instalar HMI novo no mesmo lugar. - Conectar cabos. - Ligar tensão.
9. Teste em produção: - Operadores validam funcionamento. - Programador disponível para ajustes finais.
10. Documentação: - Substituição registada. - Número de série do novo. - Data e técnico.
Tempo total: 1-4 horas se backup actualizado.
Sem backup: dias a semanas de re-programação + risco de bugs.
Lição: investir em backup é investir em disponibilidade.
Parte IV · Cybersegurança
Exercício 7 · Riscos HMI (15 pts)
Quais os principais riscos de cybersegurança em HMIs industriais e como mitigar?
Riscos de Cybersegurança em HMIs:
1. Acesso não autorizado:
Risco: pessoa não autorizada acede ao HMI e: - Altera parâmetros (sabotagem, erro). - Pára produção. - Visualiza informação confidencial.
Mitigação: - Login obrigatório ao arrancar HMI. - Logout automático após inactividade (15-30 min). - Passwords fortes (mínimo 8 caracteres, mistura). - Permissões por nível (operador / manutenção / administrador). - Audit log de todas as acções.
2. Senhas fracas ou partilhadas:
Risco: "admin/admin", senhas conhecidas por toda a empresa, post-its com password.
Mitigação: - Política de senhas rigorosa. - Cada utilizador com conta pessoal (não partilhar). - Renovação periódica (anual). - Sem reutilização de senhas antigas. - Sem post-its com senhas (treinar pessoal).
3. Acesso remoto não seguro:
Risco: alguém da internet conecta directamente ao HMI sem autenticação.
Mitigação: - NUNCA conectar HMI directamente à internet pública. - VPN obrigatória para acesso remoto. - MFA (Multi-Factor Authentication). - Firewall entre rede industrial e internet. - Restringir IPs que podem conectar (whitelist).
4. Software desactualizado:
Risco: vulnerabilidades conhecidas em versões antigas são exploradas.
Mitigação: - Patches de segurança aplicados regularmente. - Plano de upgrades (testar em ambiente isolado primeiro). - Acompanhar CERTs (Computer Emergency Response Teams) e CVEs (Common Vulnerabilities).
5. Comunicação não cifrada:
Risco: alguém na rede intercepta tráfego e: - Vê dados (espionagem). - Modifica dados (man-in-the-middle).
Mitigação: - OPC UA em vez de OPC DA (cifragem nativa). - HTTPS em vez de HTTP (em interfaces web). - VPN para comunicação entre sites. - Certificados para identificação de servidores e clientes.
6. Rede industrial conectada à rede corporativa:
Risco: ataque a partir da rede de escritórios (e-mail malicioso) chega a PLCs/HMIs.
Mitigação: - Segmentação com firewall ou DMZ. - VLAN separadas. - Air gap em sistemas críticos (sem conexão à corporativa). - Monitorização do tráfego entre redes.
7. USB e dispositivos amovíveis:
Risco: pen USB infectada conectada ao HMI/PC SCADA instala malware (Stuxnet usou esta via).
Mitigação: - Portas USB desactivadas em HMIs em produção. - Política rígida sobre dispositivos amovíveis. - Scanner antimalware em dispositivos antes de conectar.
8. Engenharia social:
Risco: alguém telefona a operador fingindo ser "técnico" e pede senha ou para realizar acção.
Mitigação: - Treinamento sobre engenharia social. - Procedimentos para verificar identidade. - Não partilhar senhas em telefone ou e-mail. - Reportar tentativas suspeitas.
9. Backup comprometido:
Risco: ransomware encripta backups → impossível recuperar.
Mitigação: - Backups offline (não na rede). - 3-2-1: 3 cópias, 2 mídias, 1 offsite. - Imutabilidade (backups não-modificáveis). - Testes regulares de recuperação.
10. Insider threats (ameaças internas):
Risco: empregado descontente sabota sistema.
Mitigação: - Permissões mínimas (least privilege). - Audit log completo. - Revisão de acessos ao sair de funcionário. - Cultura positiva (prevenir descontentamento).
Standards de referência:
- IEC 62443: cybersegurança em sistemas industriais.
- NIS2 (UE 2023): directiva para infraestruturas críticas.
- ISO 27001: gestão de segurança da informação.
- NIST Cybersecurity Framework.
Avaliação periódica:
- Pen test anual (teste de penetração).
- Auditoria de segurança por entidade externa.
- Vulnerability assessment trimestral.
- Tabletop exercises (simulações de ataque).
Plano de resposta a incidentes:
- Detecção: alarmes, anomalias.
- Contenção: isolar sistema afectado.
- Erradicação: remover ameaça.
- Recuperação: restaurar de backup.
- Lições aprendidas: documentar e melhorar.
Investimento típico em cybersegurança industrial: - 5-15% do orçamento de IT/OT. - Mas custo de ataque bem-sucedido pode ser milhões (Stuxnet, Colonial Pipeline, Norsk Hydro).
Conclusão: cybersegurança industrial não é opcional — é parte integral de operação responsável.
Exercício 8 · Treino de operadores (5 pts)
Que treino dar a operadores sobre uso de HMI?
Treino de Operadores em HMI:
Duração: 4-8 horas para HMI standard; 16-40h para sistemas complexos.
Conteúdos:
1. Visão geral da máquina (1h): - O que faz, como funciona em geral. - Componentes principais. - Fluxo do processo.
2. HMI — interface (1-2h): - Layout dos ecrãs principais. - Significado de cada cor (verde, amarelo, vermelho). - Como navegar entre ecrãs. - Login com sua conta.
3. Operações normais (2-3h): - Como arrancar a máquina. - Como parar normalmente. - Como pausar. - Como ajustar parâmetros (se permitido). - Como mudar de receita.
4. Alarmes (1h): - Como reconhecer um alarme. - O que significa cada tipo de alarme. - O que fazer em cada caso. - Como reconhecer (acknowledge). - Quando chamar manutenção.
5. Emergências (1h, CRÍTICO): - Onde fica o botão de emergência físico. - Quando premir emergência. - O que fazer depois de premir emergência (não tentar resolver sem ajuda em casos graves). - Procedimentos de evacuação se aplicável.
6. O que NÃO fazer: - Não ir a ecrãs de configuração sem permissão. - Não partilhar senha. - Não tocar em parâmetros que não compreende. - Não tentar reparar avarias eléctricas/mecânicas.
7. Hands-on (1-3h): - Prática supervisionada com a máquina. - Cenários típicos. - Simulação de alarmes. - Q&A.
Avaliação: - Demonstração prática supervisionada. - Quiz (escrito ou oral). - Certificado de competência (opcional para sistemas críticos).
Reciclagem: - Anual para todos os operadores. - Após modificações significativas no HMI. - Após acidentes ou near-misses (lições aprendidas).
Material de apoio: - Manual do operador (curto, focado, com fotos). - Vídeos demonstrando operações típicas (5-10 min cada). - Cards plastificados com checklist diário. - Acesso ao HMI de treino (não-produção) para prática.
Treinador: - Idealmente alguém que conhece muito bem a máquina (técnico sénior + bom comunicador). - Conhecimento técnico + capacidade pedagógica. - Disponibilidade para perguntas posteriores.
Indicadores de sucesso: - Tempo médio para operar correctamente após formação. - Número de erros operacionais reduzido. - Confiança dos operadores aumenta. - Acidentes / quase-acidentes reduzidos.
Erros comuns no treino: - Demasiada informação num só dia. - Sem prática (apenas teoria). - Sem follow-up após sessão inicial. - Linguagem técnica demasiado avançada. - Treinador inadequado (mau comunicador).
Boas práticas: - Divisão em sessões (não 8h seguidas, mas 2h × 4 dias). - Mistura teoria + prática. - Casos reais da máquina concreta. - Sessão de perguntas ao fim de cada sessão. - Material para consulta sempre disponível.