Карлсон, который живет до Сrash'a | IoT, АСУТП, Linux, AI

Здравствуйте, уважаемые разработчики встраиваемого и промышленного ПО. О красоте и удобстве пост. Web-интерфейс в ПЛК ☕️ Идея заманчива: открыл браузер, зашёл на контроллер, настроил. Без среды разработки, без кабелей, без специального ПО. Вот , как на прикрепленном фото - мы такие поднимаем для наших клиентов. Инженеры-наладчики скажут спасибо. Но вот реальность.

Защита web-интерфейса на ПЛК — это если не ад, то чистилище. TLS-сертификаты, аутентификация, управление сессиями, защита от CSRF/XSS, обновления безопасности... Всё это нужно делать правильно, регулярно и на платформе с ограниченными ресурсами. А если web торчит в промышленную сеть — вы только что подарили потенциальному злоумышленнику парадный вход. IEC 62443 требует сегментации и контроля доступа. На практике — каждый открытый порт на контроллере это точка атаки и бесконечная головная боль для служб ИБ предприятия. А обслуживание? Сертификат истёк — web недоступен. Забыли пароль — нужен сброс. Обнаружена уязвимость в embedded web-сервере — нужно обновлять firmware на всех контроллерах в поле. Для парка из сотен устройств это кошмар. 💡 Компромисс: USB-to-Ethernet А что если web-интерфейс есть, но доступен только через выделенный USB-Ethernet-device на корпусе контроллера? Физический доступ = авторизация. Подключиться можно только стоя у шкафа с отвёрткой и ноутбуком. Никакого доступа из сети. Можно упростить защиту. Link-local адрес, самоподписанный сертификат, базовая аутентификация — для изолированного point-to-point соединения этого достаточно. Нулевая поверхность атаки из промсети. Интерфейс не маршрутизируется, не виден сканерам, не нуждается в firewall-правилах. Удобство сохраняется. Наладчик подключил кабель, открыл браузер — работает. Отключил — порт спит. По сути, это цифровой аналог сервисного разъёма на передней панели. Просто, понятно, безопасно.

Вывод: web-интерфейс в ПЛК — нужная вещь, но пускать его в сеть — плохая идея. Выделенный USB-Ethernet порт даёт удобство конфигурации без рисков и без боли с PKI/IAM на каждом контроллере в поле. Есть и другие мнения, идеи, решения, готовы сформулировать? P.S. Полюбопытствуйте на содержание окна с версиями прошивки ( в комментарии). Это про A/B обновления контроллеров, о которых мы обещали порассуждать в скором времени.

Вы еще на работе? Хотим поделиться ссылкой на интереснейшее мероприятие на будущей неделе. Programming Hardware Two Ways: CircuitPython и Verilog 30 апреля 2026 Обещают продемонстрировать практический взгляд на выбор между программной и аппаратной логикой во встроенных системах: высокоуровневый код (CircuitPython на плате Microchip) для быстрого прототипирования и аппаратную логику (Verilog на CLB/MiniFPGA) для задач с жёсткими требованиями к времени и детерминизму. И еще обещают, что участники увидят демо с пайкой (свинцовой , или нет - не уточняют).😃 Всем уважаемым инженерам промышленных и встраиваемых систем желаем отличной пятницы и хороших выходных.

Здравствуйте, уважаемые, разработчики встраиваемых систем и промышленного ПО. Буквально сегодня сформулировали кредо по разработке Yocto BSP для промышленных контроллеров (ПР, ПЛК, ...) — это "создание детерминированной, сертифицируемой и долгосрочно поддерживаемой платформы".

Сейчас попробуем расписать ключевые шаги и особенности этого процесса. Основные шаги 1. Создание BSP-слоя: структура meta-<plc>/conf/machine/, conf/layer.conf, описание SoC, памяти, интерфейсов и загрузчика. 2. Настройка ядра точно вне этого небольшого поста, для железа с архитектурой ARM и RISC-V все гораздо сложнее, чем выбор штатного linux-yocto или кастомного upstream, тут искусство кернальщика (если хотите поговорить об этом дополнительно - пишите "+" в комментах). Отметим только применение PREEMPT_RT, отключение неиспользуемых драйверов, в первую очередь графики и т.п.. 3. Bootloader и secure chain: U-Boot с поддержкой verified boot, FIT-образов. Опять же вне этого сообщения оставим вопросы аппаратного корня доверия и восстановления при сбоях питания и критических ошибках прошивок. 4. Валидация: bitbake core-image-minimal → кастомный образ → запуск на реальном железе или QEMU, проверка загрузки, сети, RTC, storage. Набор пакетов Для ПЛК применяется принцип «минимальный детерминированный базис + промышленный стек», хотя строго говоря промышленного стека не существует пока, есть carrier grade, но это телеком больше. • Базовые: systemd (или busybox/sysvinit для legacy), dropbear/openssh с hardened-конфигом, chrony, logrotate, iproute2, util-linux. Добавим к этому еще syslog-ng, наверное, как минимум для интеграции с SIEM • Промышленные: mosquitto, open62541 (OPC UA), libmodbus, socat, net-snmp, rt-tests, python3 + runtime-библиотеки (если используется скриптовая логика). • Аппаратные/безопасность: tpm2-tools, cryptsetup, watchdog, irqbalance (отключается для RT), procps. Все пакеты жёстко фиксируются в IMAGE_INSTALL и PACKAGECONFIG. Лишнее отсекается через DISTRO_FEATURES, IMAGE_FEATURES += "read-only-rootfs", EXTRA_IMAGE_FEATURES не включаются без необходимости. Версии зависимостей привязываются к слою, репозитории кэшируются для воспроизводимости. Автоматическая сборка Промышленный BSP живёт в CI/CD. Стандартный стек: kas или crops для изоляции Docker-среды, GitLab CI / Jenkins для оркестрации. Пайплайн включает: • bitbake -k с параллельной сборкой нескольких машин/профилей. • oe-selftest и ptest для проверки рецептов. • Генерацию артефактов (u-boot, kernel, rootfs, sdcard/wic) с хешированием. • HIL-тесты через LAVA/Robot Framework: прошивка, проверка загрузки, пинг, опрос GPIO/Fieldbus, стресс-тест watchdog. Каждый коммит фиксируется в реестре, образы подписываются, метаданные версионируются. Откат к предыдущему билду занимает минуты. Проверка на уязвимости Безопасность в Yocto встроена, но требует явной активации: • INHERIT += "cve-check" сканирует рецепты на этапе парсинга и сборки, генерируя отчёт cve.log. • BB_SIGNATURE_HANDLER = "OEBasicHash" гарантирует, что изменение версии или патча пересоберёт пакет и сбросит хеш. • Пост-билд анализ: syft/grype или scancode-toolkit поверх готового rootfs, генерация SBOM (SPDX/CycloneDX) для аудита и соответствия IEC 62443. • CVE_CHECK_WHITELIST используется только для ложных срабатываний; критические/высокие CVE блокируют пайплайн (FAIL_ON_CVE = "1"). • Дополнительно: INHERIT += "sign-package", IMAGE_CLASSES += "image-buildinfo", строгий контроль лицензий (INHERIT += "license"), автоматическое обновление баз CVE в ночном режиме.

Итог Успешный Yocto BSP для промышленного ПЛК строится на трёх китах: фиксированный минимальный набор пакетов, полностью автоматизированный воспроизводимый пайплайн и непрерывный контроль уязвимостей с генерацией SBOM. Это даёт базу для долгосрочной поддержки, прохождения аудитов и сертификации без ручного вмешательства. Что скажете, согласны с нашей парадигмой?

Здравствуйте, уважаемые разработчики встраиваемых и промышленных систем. Существует такая точка зрения, изложенная в статье «Зачем embedded-разработчикам переходить на современный C++» (осторожно, English). Суть такая: агитируют перестать цепляться за "устаревший C". Он полон ловушек — переполнения буферов, ошибки с указателями, трудно читаемый код в больших проектах. Современный C++ решает это без потери скорости: абстракции "бесплатны" (zero-cost), RAII автоматически чистит память, умные указатели спасают от висячих ссылок (ох уж эти dangling pointer'ы). Согласны?

А вот и Третья часть блокбастера Анатомия загрузки АРМ Продолжаем разбор процесса загрузки ARM-устройств на примере платы Orange Pi 5 с процессором Rockchip RK3588. Рассматриваем последовательность инициализации, структуру и назначение FIT-образа, практические шаги по сборке U-Boot из исходников, работу с бинарными файлами, разметку SD-карты с учётом смещений и сигнатур, а также базовые приёмы отладки при сбоях загрузки. YouTube ссылка Желаем приятного просмотра и замечательного понедельника вам, уважаемые инженеры встраиваемых и промышленных систем ☕️

Посмотрите, какая богатая неделя на онлайн вебинары предстоит: Вторник, 21 апреля на вебинаре «How Zephyr Is Shaping the Future of Embedded Development» расскажет, как открытый RTOS Zephyr становится стандартным стеком для встроенных систем и IoT‑устройств, почему он полезен инженерам и командам, и как он упрощает, стандартизирует и безопасит embedded‑разработку. Четверг, 23 апреля на вебинаре «Handling Hardware Failures During Training: A Comparative Analysis of Fault‑Tolerant Training Frameworks» покажут, как в распределённом обучении нейросетей использовать разные методы обеспечения отказоустойчивости кластеров. По этой же ссылке статью интересную распространяют (см. сноску). Полюбопытствуйте. Приятного вечера вам, уважаемые 👩‍💻

Доброй пятницы, уважаемые инженеры встраиваемых и промышленных систем. Хочется поделиться находкой: прошедшим в далеком 2024 году вебинаром на тему "Getting Started with Embedded Linux Security" от маэстро Simon Goda. Мероприятие посвящено тому, как сделать встраиваемую Linux‑систему "сколь‑нибудь прилично защищённой, с точки зрения практикующего инженера‑embedded‑разработчика, не заходя глубоко в академические детали". Это очень комплексно и полезно. Настоятельно рекомендуем всем, кто хочет не просто “зачекбоксить” безопасность, а понять, какие конкретные флаги, инструменты и настройки можно применить уже сегодня в реальном embedded Linux‑продукте. Особенно доставило про seccomp. В принципе, все похожие тезисы он повторял и на вебинаре в прошедшую среду. Видеозапись ждем, как получим - поделимся. Пишите "+" кому интересно в комментариях 🐧

Здравствуйте, уважаемые инженеры. В Москве тем временем проходит «Экспоэлектроника 2026». Вчера удалось посетить кое-что, хочется поделиться. На конференции «Альянс RISC-V» рассказывали про уже доступные российские микроконтроллеры и поддержку Минпромторга. Большое и интересное выступление было посвящено кибербезопасности, аппаратным средствам доверенной загрузки и ПАКам. Компания «Элвис» показывает хороший набор отладочных средств, devkit'ов и периферийных модулей. Доброжелательные девушки на стенде объяснили, как быстрее достучаться до техподдержки — было полезно. «Трамплин Электроникс» демонстрируют «Иртыш A68SV» (LoongArch) и референсные устройства на нём. Пообщались с представителями их команды разработки системного ПО и ОС — очень профессиональные коллеги. «РТСофт ВС» выкладывают новые модели встраиваемых компьютеров для ответственных и бортовых применений BLOK и REBOX. Продуктовая линейка очень широкая — рекомендуем к ознакомлению. Будет время посетить — поделитесь в комментариях, что показалось интересным. ☕️

Доброго понедельника, уважаемые. Предлагаем вашему вниманию Вторую часть триллера - вебинара Анатомия загрузки ARM. Объясняем, почему нужна многоэтапная загрузка: ограниченная внутренняя память чипа требует поэтапной инициализации оборудования. Затрагиваем тему доверенной загрузки (Secure Boot): проверка подписей на каждом этапе, начиная с аппаратного корня доверия. Показываем, как BL31 обеспечивает изоляцию. P.S. по просьбам подписчиков YouTube ссылка.

Доброй пятницы, уважаемые. На будущей неделе горячо рекомендуем найти время и посмотреть - послушать профессиональные вебинары от собратьев по профессии: Вебинар: Getting Started with Embedded Linux Security 15 апреля 2026 | 1 час | Бесплатно На вебинаре обещают научить харденингу (мы не знаем подходящего термина на русском, если знаете - скажите в комментах) embedded-устройств на Linux : от безопасной компиляции до верификации загрузки. Рассматриваются как программные методы (sandbox, SELinux, hardening ядра), так и аппаратные механизмы (TrustZone, HSM) на примере AMD Versal. В итоге — практический чек-лист мер для соответствия современным стандартам безопасности. Вебинар: Architecture-driven Development for Embedded Systems 16 апреля 2026 | 30 минут | Бесплатно Вебинар посвящён подходу, при котором модель системы становится центральным артефактом разработки, а не просто документацией. Вы узнаете, как с помощью формального моделирования и генерации кода создавать надёжные встраиваемые системы быстрее и с меньшим количеством ошибок. Все на английском, правда 🤷‍♂️

Как правильно заинтересовать детей технологиями? Возможностью стать космонавтом астронавтом. CircuitMess выпустила NASA Artemis Watch 2.0 — умные часы на базе ESP32-S3, которые одновременно являются и гаджетом, и образовательным инструментом. Юный инженер может потыкать микроконтроллер с датчиками и периферией. Ну и попробовать программирование через scratch-подобное IDE CircuitBlocks и даже на C/C++ или MicroPython. Стоимость гаджета — около $129. Годно , или игрушка на один вечер? P.S на алике в два - три раза дешевле, но для тайконавтов , т.е с нюансами.

Ура! Всем спасибо за ожидание. Публикуем первую часть прошедшего вебинара Анатомия загрузки ARM 💀 Приятного просмотра, уважаемые.

Начинаем уже через 1 час! Регистрируйтесь на наш вебинар - ссылка на трансляцию придет сразу же: https://rtsoft.timepad.ru/event/3892769/

Вебинар “Анатомия загрузки ARM: От BootROM до U-Boot на примере Orange Pi 5” Напоминаем, что уже завтра, в 11.00, состоится наш новый вебинар, посвященный загрузке ARM. Успейте зарегистрироваться по ссылке: https://rtsoft.timepad.ru/event/3892769/

Вебинары от ЦПР РТСофт возвращаются!🔥 Открываем регистрацию на новый вебинар “Анатомия загрузки ARM: От BootROM до U-Boot на примере Orange Pi 5”, который состоится уже через 2 дня, 1.04 в 11.00! Мы разберем процесса загрузки ARM на примере топового Rockchip RK3588, архитектуру первичного и вторичного загрузчиков, расскажем, как кастомизировать U-Boot под свои задачи, и обсудим типичные ошибки при сборке образов. Успейте зарегистрироваться по ссылке: https://rtsoft.timepad.ru/event/3892769/

Shell: кейс по созданию экосистемы открытых стандартов На конференции ARC Leadership Forum также выступил Jacco Opmeer, главный инженер по автоматизации из Shell и бывший со-председатель OPAF. Он поделился подробностями касаемо архитектуры открытой автоматизации, которую энергетический гигант активно внедряет в своих производствах. Спикер представил многоуровневую архитектуру, где каждый слой отвечает за конкретную функцию интеграции. На вершине - облако (L3), работающее через открытые протоколы OPC UA с профилями PA DIM и MDIS. Уровень L2 объединяет базовую систему управления процессом (BPCS), систему мониторинга электросети (EN MCS) и стандарт IEC 61850 для энергетики. Связующим звеном между уровнями выступает OPC UA FX - расширение протокола для полевых устройств. Фундамент всей архитектуры - Advanced Physical Layer (APL) Ethernet, обеспечивающий физическое соединение, и стандарт безопасности IEC 62443. Мы видим, что промышленные гиганты активно внедряют открытые стандарты, а что делать более мелким предприятиям? Пока что вопрос остается открытым.

Что нового рассказали на ARC Leadership Forum? Продолжаем рассказывать о событиях индустрии. В феврале этого года состоялся ARC Leadership Forum, на котором были предствлены кейсы по OPA (Open Process Automation). Прошлым летом в Индии стартовал амбициозный проект внедрения OPA-совместимой системы, запуск которой запланирован на 2027 год. В основе лежат два ключевых стандарта: IEC 61499 для управляющих сред выполнения с открытой архитектурой и IEC 61131 для контроллеров. Библиотеки готовых функций, структурированные коммуникации между устройствами и системами создают экосистему, которую удобно сравнить с магазином приложений: переносимость и многократное использование компонентов дают гибкость без необходимости в чрезмерно усложненной инфраструктуре. Об этом расскажем в следующих постах. Пока что детали проекта не раскрываются, но будем держать руку на пульсе. Одно можно сказать точно: отказ от привязки к конкретному вендору означает реальную конкуренцию по цене и качеству. Вот только несколько вопросов остаются незакрытыми - нужны ли новые стандарты функциональной безопасности для "сборных" систем? Как открытые системы будут взаимодействовать с унаследованным оборудованием, на практике? Давайте обсудим в комментариях.

Что нового в OpenFB? Публикуем наше недавнее демо видео OpenFB - это среда исполнения с открытым исходным кодом для функциональных блоков IEC 61499. Он обеспечивает работу распределенных систем управления на Linux, Windows и встраиваемом оборудовании, имеет встроенную поддержку Python. Недавно мы реализовали стандартную библиотеку для OpenFB. В видео мы демонстрируем возможности OpenFB: • функциональные блоки можно разделять на несколько секций для повторного использования сложной логики управления • вывод в консоль для отладки для упрощения поиска и устранение неполадок, а также мониторинга выполнения функциональных блоков в процессе разработки и тестирования Репозиторий проекта: https://goo.su/yWzW7s

Edge-контроллеры в АСУ ТП Классическая схема «АСУ ТП - OPC - MES» не справляется с потоком данных от современных датчиков и требованиями цифровых сервисов вроде ML-аналитики или предиктивного обслуживания. Решение - поднять вычислительные мощности ближе к источнику данных. Edge-контроллер выполняет первичную обработку сырых данных локально. Может работать на российской Linux-основе, транслирует промышленные протоколы в OPC UA и MQTT. При этом три принципа определяют выбор компонентов: функциональная совместимость и независимость от вендора, переносимость и защищенность на всем жизненном цикле. Архитектурно Edge-контроллер занимает слой L2 - между классическими ПЛК/КИПиА (L1) и корпоративными MES/SCADA/AI (L3). Эффект двойной: снижение стоимости и сроков внедрения, плюс ускорение t2m цифровых сервисов. Полностью разделяем эту точку зрения. Делитесь в комментариях, что думаете?

Использовать OpenFB станет еще проще - плагин OpenFB для Visual Studio Code выйдет совсем скоро 🚀 Публикуем демо-видео, в котором мы показываем возможности плагина OpenFB: ➡️ Полный набор инструментов для взаимодействия со схемами ➡️ Удобный доступ к информации об используемых блоках ➡️Добавление блоков из библиотеки, создание новых (basic и simple типы уже полностью реализованы) и создание связей между ними ➡️Удаление блоков и связей ➡️ Добавление входов, выходов и переменных для каждого блока, смена типов и состояний ➡️Задание названий, добавление комментариев и алгоритмов для каждого FB ➡️ Просмотр XML-кода созданного блока ➡️Создание файла загрузчика fboot для развертывания на сервере Проект на Gitverse: https://goo.su/yWzW7s