Лицензионный ад АСУ ТП: За что мы платим вендорам, почему горят USB-ключи и как выжить без импортного софта

Два часа ночи. Линия розлива молочной продукции работает на пределе мощности, чтобы закрыть план к утренней отгрузке. Внезапно конвейер встает. Насосы останавливаются, пневматика сбрасывает давление. Дежурный оператор с круглыми глазами смотрит на 21-дюймовый экран человеко-машинного интерфейса. Там нет привычной мнемосхемы с резервуарами. Там висит огромное красное окно: "Demo Mode Expired. Runtime Stopped. Please insert valid license key".

Что случилось? Системный администратор днем переносил SCADA-систему на новый промышленный сервер и просто забыл переткнуть маленькую зеленую флешку - аппаратный ключ защиты - из старого системного блока в новый. Программа честно отработала положенные ей два часа в бесплатном триальном режиме и отключила управление линией. Итог - тонны прокисшего молока и сорванные контракты из-за куска пластика с микрочипом.

Лицензирование промышленного программного обеспечения - это самая непрозрачная, запутанная и болезненная тема в АСУ ТП. В мире классического IT все просто: ты скачиваешь бесплатный редактор кода, пишешь скрипт на Python и запускаешь его на бесплатном сервере с Linux. В суровом мире Operational Technology (OT) вендоры берут деньги за каждый вздох. Ты платишь за то, чтобы написать код, платишь за то, чтобы его скомпилировать, и еще раз платишь аппаратуре за право этот код исполнять.

За десять лет сборки шкафов управления, пусконаладки и общения с техподдержкой я повидал все круги этого лицензионного ада. Давайте разберем без купюр, как вендоры считают наши деньги, почему облачные подписки никогда не приживутся на реальном заводе, чем отличаются теги от объектов и как грамотный выбор железа экономит миллионы рублей на лицензиях.

Главный шок для любого IT-специалиста, пришедшего в промышленную автоматизацию - это разделение лицензий на среду разработки (Engineering) и среду исполнения (Runtime).

Чтобы запрограммировать контроллер серьезного европейского бренда, тебе нужна среда разработки (IDE). Она стоит денег. Иногда - сумасшедших денег. Лицензия привязывается к твоему рабочему ноутбуку. Если ноутбук сгорел на объекте (а на стройке бывает всякое - от падения с лесов до скачка напряжения в 380В), ты теряешь не только железо, но и лицензию стоимостью в пару тысяч евро. Процесс восстановления через техподдержку вендора может занять недели.

Чтобы разработчики могли работать удаленно, придумали плавающие сетевые лицензии (Floating Network Licenses). На сервере предприятия поднимается License Manager. Инженер подключается к корпоративной сети через VPN, забирает лицензию на свой ноутбук и пишет логику. Звучит круто. Но на пусконаладке в подвале насосной станции часто нет не то что VPN, там сотовая связь не ловит. VPN отваливается - среда разработки радостно сообщает: "Лицензия не найдена, сохранение проекта заблокировано". И ты сидишь перед шкафом с нерабочим насосом и кирпичом вместо ноутбука.

Написал код по стандарту IEC 61131-3? Отлично. Теперь его нужно залить в ПЛК. И тут выясняется, что контроллер - это просто железо. Чтобы он начал выполнять твою логику, в нем должно крутиться ядро исполнения (Runtime). И за него тоже нужно платить.

Более того, вендоры продают функционал кусками. Хочешь, чтобы твой ПЛК общался с верхним уровнем по современному протоколу OPC UA? Покупай дополнительную лицензию. Хочешь поднять локальный Web-сервер для визуализации? Открывай кошелек.

Здесь кроется важнейший архитектурный момент при выборе оборудования для проекта. Если вы покупаете голый промышленный компьютер (IPC) у ноунейм-бренда, вам придется самостоятельно покупать лицензию SoftPLC (например, CODESYS Control RTE), привязывать ее к MAC-адресу сетевой карты ПК и молиться, чтобы сетевая карта не сгорела.

Грамотные интеграторы сегодня идут другим путем. Они покупают железо, в стоимость которого уже "зашита" среда исполнения. Приведу пример из нашей практики. В оборудовании СТАБУР (производства ООО "ПО Промсвязь") этот вопрос решен на аппаратном уровне. Если вы берете классический ПЛК СТАБУР или панель оператора ПО СТАБУР, внутри уже установлена и легально активирована лицензия среды исполнения - CODESYS 3.5.16.40 или MasterSCADA 4D 1.3.9.

Интегратору не нужно бегать с флешками, не нужно запрашивать файлы активации и привязывать их к железу. Вы просто достаете контроллер из коробки, заливаете в него свой проект и он работает. Стоимость Runtime уже учтена в железе. Это колоссальная экономия нервов на пусконаладке.

Если с контроллерами все относительно понятно, то лицензирование систем диспетчеризации (SCADA) - это дремучий лес. Исторически сложились два подхода: теговый и объектный.

Тег (Tag) - это одна переменная ввода-вывода. Грубо говоря, один регистр протокола Modbus.

У вас есть температурный датчик? Это один тег.

Есть задвижка? Команда на открытие - тег, команда на закрытие - тег, статус "открыта" - тег, статус "закрыта" - тег, авария муфты - тег. Итого одна задвижка съедает 5 тегов.

Классические SCADA-системы продаются пакетами. И тут начинается цирк. Допустим, вы купили лицензию на 500 тегов. Система разрослась, вы добавили пару насосов, и у вас стало 502 тега. SCADA перестает запускаться. Вы идете к заказчику и говорите: "Нам нужен апгрейд лицензии до 1000 тегов, это стоит еще полмиллиона рублей". Заказчик в бешенстве.

Чтобы впихнуть невпихуемое, инженеры АСУ ТП начинают изобретать костыли. Они упаковывают 16 дискретных аварийных сигналов (булевых переменных) в один 16-битный регистр (Word) на уровне контроллера, передают его в SCADA как ОДИН тег, и уже там скриптами распаковывают обратно в биты. Код превращается в нечитаемую кашу, зато сэкономили на лицензии.

Современные отечественные системы пошли по другому пути. Они лицензируются не по числу проводов (тегов), а по числу узлов или объектов.

Система строится вокруг физических сущностей. Если у вас есть объект "Насосная станция", вы можете привязать к нему хоть 10, хоть 1000 переменных. Лицензия ограничивает масштаб проекта (например, количество одновременно работающих операторских станций или серверов архивирования), а не заставляет инженера экономить биты в пакете Modbus TCP. Это кардинально меняет подход к проектированию: инженер думает об архитектуре и читаемости кода, а не о том, как обмануть счетчик лицензий.

Как именно вендор гарантирует, что вы купили софт? Есть два стула, и оба с шипами.

Это обычная флешка со специальным криптографическим чипом внутри. SCADA опрашивает USB-порт каждую минуту. Есть ключ - работаем. Нет ключа - останавливаем завод.

Плюсы: Феноменальная мобильность. Сгорел сервер? Вытащил жесткий диск, переставил в другой компьютер, воткнул USB-ключ - завод снова работает через 15 минут.

Минусы: Промышленный цех - это не стерильная серверная. Ключи торчат из системников. Уборщица задела шваброй и отломала USB-порт вместе с ключом. Слесарь подумал, что это флешка с музыкой, и унес домой. В конце концов, контакты просто окисляются от агрессивной химии в воздухе. Восстановление сломанного ключа - это бюрократический ад с написанием официальных писем вендору.

Никаких флешек. Лицензия генерируется на основе "слепка" оборудования: берется серийный номер материнской платы, MAC-адрес сетевой карты, серийник жесткого диска. Все это хешируется, отправляется на сервер вендора, и вы получаете файл активации.

Плюсы: Ничего не торчит, ничего нельзя украсть или отломать.

Минусы: Любой апгрейд железа превращается в рулетку. Сгорела материнская плата? Хеш-сумма изменилась. SCADA считает, что вы пытаетесь запустить ее на пиратском компьютере, и блокируется. Вы звоните в техподдержку (которая работает с 9 до 18 по московскому времени, а у вас на Дальнем Востоке уже ночь) и слезно умоляете сбросить счетчик активаций. Завод при этом стоит.

Идеального решения нет, но для критической инфраструктуры большинство старых инженеров по-прежнему выбирают аппаратные ключи. Их можно спрятать внутрь корпуса ПК на специальный внутренний USB-разъем (Pin Header).

IT-мир давно живет по модели SaaS (Software as a Service - ПО как услуга). Вы не покупаете софт, вы арендуете его за 10 долларов в месяц. Если интернет отвалился или вы забыли пополнить карту - софт превращается в тыкву.

Вендоры промышленного ПО сейчас активно пытаются протащить эту модель на заводы. Маркетологи красиво поют про "гибкость", "снижение капитальных затрат (CAPEX)" и "бесшовные обновления".

Для инженера АСУ ТП подписка на софт - это смертный приговор проекту.

Во-первых, жизненный цикл промышленной установки - 10-15 лет. Если вы запустили станцию дозирования реагентов, она должна работать автономно, даже если компания-разработчик софта обанкротится через три года.

Во-вторых, кибербезопасность. Классическая промышленная сеть (OT-контур) физически изолирована от интернета. Мы запрещаем ПЛК и SCADA-серверам смотреть во внешнюю сеть, чтобы избежать вирусов-шифровальщиков. Как в таких условиях сервер лицензирования должен проверять статус вашей подписки раз в 30 дней? Выводить контроллер в сеть - значит открыть двери хакерам.

Поэтому в АСУ ТП царит и будет царить модель Perpetual License (вечная лицензия). Купил один раз, активировал в оффлайн-режиме, отрезал кабель интернета и забыл на 10 лет.

События последних лет кардинально перекроили ландшафт промышленного ПО в нашей стране. Раньше интеграторы сидели на игле европейских гигантов (Siemens TIA Portal, Schneider Electric, AVEVA Wonderware).

Что произошло, когда вендоры ушли? Они просто заблокировали доступ к серверам лицензирования. Предприятия, честно заплатившие десятки миллионов рублей за софт, оказались в заложниках. Стало невозможно переактивировать легально купленные SoftKey лицензии при замене сгоревшего сервера. Невозможно скачать обновления безопасности.

Рынок отреагировал быстро и сурово. В ход пошли образы виртуальных машин с "замороженным временем", кряки и эмуляторы аппаратных ключей. Но для серьезных корпоративных стандартов (нефтянка, энергетика, химия) использование пиратского софта недопустимо по соображениям безопасности (в кряках часто зашиты бэкдоры).

Начался мучительный, но абсолютно необходимый процесс миграции на отечественные решения. Оказалось, что наши платформы (та же MasterSCADA 4D) давно умеют то же самое, но при этом их серверы активации находятся в РФ, а техподдержка говорит на родном языке и оперативно правит баги.

Важнейший тренд сейчас - это переход на отечественные программно-аппаратные комплексы. Интеграторы больше не хотят покупать железо в одном месте, а софт в другом. Удобнее взять готовое решение. Например, вместо сложной сборки из случайного промышленного ПК и импортной SCADA, ставится WEB-ПО СТАБУР (веб-панель оператора) в связке с контроллером. Никаких проблем с лицензиями на клиентские места: веб-панель просто тянет HTML5-интерфейс из контроллера по локальной сети. Количество клиентов ограничено только производительностью процессора ПЛК, а не жадностью вендора.

Отдельная каста инженеров (обычно пришедших из IT) свято верит, что можно вообще не платить за лицензии, используя Open Source. "Зачем нам платная SCADA, если мы можем поднять InfluxDB, отрисовать графики в Grafana, а логику написать в Node-RED?".

Да, технически это возможно. Для реализации таких задач мы как раз производим ПК СТАБУР (промышленные контроллеры на базе голой ОС Linux Ubuntu). Это аппаратная платформа промышленного класса на которую вы вольны ставить любой бесплатный софт.

Но здесь есть огромный подводный камень. Open Source бесплатен только на этапе скачивания. Дальше начинается скрытая стоимость владения (TCO).

Поэтому Open Source (брокеры MQTT, базы данных, шлюзы IIoT) отлично приживается на верхнем уровне - для сбора аналитики и телеметрии. Но на нижнем уровне управления задвижками и насосами платная, сертифицированная среда исполнения - это залог безопасности и вашего спокойного сна.

Чтобы структурировать информацию, сведем основные модели лицензирования промышленного ПО в прагматичную таблицу

Для тех, кому нужен быстрый ответ для принятия архитектурных решений:

Engineering License покупается для инженера-программиста, чтобы он мог использовать среду разработки (IDE) и писать код на своем ПК. Runtime License - это ядро, которое устанавливается непосредственно на контроллер или SCADA-сервер для того, чтобы написанный код мог физически выполняться и управлять оборудованием 24/7.

Если использовался аппаратный ключ (USB-Dongle), достаточно переставить его в резервный сервер вместе с файлом проекта. Если лицензия была программной (SoftKey), необходимо срочно связаться с техподдержкой вендора, предоставить акты выхода из строя старого оборудования и запросить сброс счетчика лицензий для новой активации.

Да, но только для задач некритичного мониторинга, сбора телеметрии (IIoT) и аналитики. Для управления механизмами в реальном времени (Hard Real-Time) и объектов, поднадзорных государственным органам, необходимо использовать сертифицированное коммерческое программное обеспечение со строгим контролем версий и техподдержкой.

Самый надежный путь для интегратора - приобретать аппаратные платформы, в стоимость которых уже включена лицензия среды исполнения. Например, отечественные ПЛК со встроенной средой CODESYS или MasterSCADA 4D. Это снимает необходимость ручной привязки лицензий к железу и защищает от санкционных рисков.

Лицензирование в АСУ ТП - это всегда баланс между желанием вендора заработать и потребностью завода работать безотказно 15 лет подряд. Инженер-проектировщик обязан думать о лицензиях еще на этапе заложения оборудования в спецификацию.

Выбирая железо, смотрите не только на частоту процессора, но и на то, сколько костылей придется вбить, чтобы легально запустить на нем код. Используйте отечественные платформы, где Runtime уже на борту. Прячьте аппаратные ключи глубоко в корпуса серверов, подальше от шаловливых рук. Обходите стороной облачные подписки для критических систем. И помните: самый красивый и правильный код не стоит ничего, если в два часа ночи на экране появится надпись "Demo Mode Expired".