8. funkční bezpečnost - Ústav automatizace a měřicí techniky

Transkript

VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ
FAKULTA ELEKTROTECHNIKY A KOMUNIKAČNÍCH TECHNOLOGIÍ
ÚSTAV AUTOMATIZACE A MĚŘICÍ TECHNIKY
Kolejní 4, 612 00 Brno
tel.: 541 141 302, fax: 541 141 123
E-mail: [email protected], http://www.feec.vutbr.cz
8. FUNKČNÍ BEZPEČNOST
Problematika bezpečnosti (safety) je jedním z nejžhavějších témat současného vývoje
automatizace ve vyspělých průmyslových zemích. V důsledku obtížného překladu pojmů
safety a security do některých jazyků (čeština, ale i němčina mají pro oba anglické pojmy
jeden překlad – bezpečnost) je v těchto pojmem i v technické veřejnosti mnoho nejasností.
Uveďme proto nejprve, co budeme pod pojmem bezpečná komunikace chápat. Uveďme
nejprve základní pojmy ze standardu IEC 61508 (dle českého překladu ČSN EN 61508).
Norma IEC 61508 je standardem funkční bezpečnosti elektrických, elektronických a
elektronických programovatelných systémů.
8.1 Definice pojmů z oblasti bezpečnosti dle normy ČSN EN 61508
Dle tohoto standardu lze rozlišit a posuzovat tři základní druhy bezpečnosti: primární ,
nepřímou a funkční bezpečnost.
•
Bezpečnost – odstranění nepřijatelného rizika
•
Primární bezpečnost – bezpečnost, která se zabývá riziky jako jsou např. úrazy el.
proudem, šoky, nebo popálení způsobená zařízením.
•
Nepřímá bezpečnost – zahrnuje vedlejší důsledky nesprávné funkce zařízení, které
přímo neohrožují zdraví osob.
•
Funkční bezpečnost – část celkové bezpečnosti týkající se řízeného procesu nebo
stroje EUC (Equipment under Control) a systému řízení EUC, která je závislá na
správném fungování E/E/EP systémů souvisejících s bezpečností, a/nebo na
systémech souvisejících s bezpečností a založených na jiných technických principech
a konečně na vnějších prostředcích pro snížení rizika
•
Riziko – kombinace pravděpodobnosti výskytu poškození a závažnosti tohoto
poškození
•
Přípustné riziko – riziko, které je přijatelné v daných souvislostech založených na
běžných hodnotách společnosti
•
Zbytkové riziko – riziko zbývající po přijetí ochranných opatření
Úvod do oblasti řídicích počítačů – Část 2
83
tel.: 541 141 302, fax: 541 141 123
•
Nebezpečí – potenciální zdroj poškození, újmy
•
Chyba – ukončení schopnosti zařízení vykonávat požadovanou funkci.
•
Bezpečná chyba – chyba, která není natolik závažná, aby narušila funkci systému
nebo způsobila nebezpečný stav systému.
•
Nebezpečná chyba – chyba, která může uvést bezpečnostní systém do nebezpečného
stavu nebo stavu, kdy není schopen plnit svou funkci.
Velmi důležitými pojmy ve standardu IEC 61508 je integrita bezpečnosti a pojmy
související:
•
Integrita bezpečnosti (safety integrity): pravděpodobnost systému souvisejícího s
bezpečností uspokojivě plnit požadované bezpečnostní funkce za všech stanovených
podmínek a po stanovenou dobu
•
Integrita bezpečnosti software
(software safety integrity): míra vyjadřující
pravděpodobnost softwaru plnit své funkce v E/E/EP souvisejícího s bezpečností plnit
své bezpečnostní funkce za všech stanovených podmínek a po stanovenou dobu
•
Integrita bezpečnosti hardware (hardware safety integrity): část integrity
bezpečnosti systémů, souvisejících s bezpečností , týkající se náhodných poruch
hardware v nebezpečném režimu poruchy
•
Úrovně integrity bezpečnosti (Safety integrity level SIL): diskrétní úroveň (jedna
ze čtyř úrovní, definovaných normou) pro stanovení požadavků integrity bezpečnosti
bezpečnostních funkcí přiřazených E/E/EP systémům souvisejícím s bezpečností, kde
úroveň integrity bezpečnosti 4 má nejvyšší úroveň integrity bezpečnosti a úroveň 1
nejnižší.
Východiskem pro pochopení standardu IEC 61508 je následující schéma souvislostí
norem bezpečnosti:
84
tel.: 541 141 302, fax: 541 141 123
IEC61513 :
Nuclear Sector
IEC61511 :
Process Sector
IEC
61
Medical Sector
508
IEC62061 :
Machinery Sector
Obr. 61 Souvislost norem bezpečnosti dle IEC
8.1.1 Vysoce bezpečné a vysoce funkční PLC řízení – Standardy
Standardizace, jakožto nikdy nekončící proces k dosažení jednotných postupů ve všech
odvětví lidské činnosti, významně zasáhla i do FT systému, které byly detailně diskutovány v
předcházejícím kurzu. Za nejdůležitější normativní dokumenty, týkající se vysoce funkčního a
vysoce nebezpečného řízení lze bezesporu považovat německý standard DIN V 19250/251 a
americký standard ANSI/ISA S84.01-1996 a jeho mezinárodní verzi IEC 61508. Cílem těchto
standardů bylo a je definovat bezpečnostní kategorie (z hlediska rizika ohrožení osob,
životního prostředí a okolí) a stanovit zavazující postupy k dosažení bezpečného fungování
systémů v definovaných kategoriích.
8.1.2 DIN V 19250
Německé norma DIN V 19250 popisuje postup při uvažování rizika při nasazení řídicího
systému. Standard definuje známý rizikový diagram jako kvalitativní vývoj rizikového
faktoru děleného na základě specifických situací. Tento přístup definuje osmi úrovňový
model požadavků na systémy automatického řízení včetně ochranných systémů s ohledem na
rozsah rizika, jak ukazuje Obr. 62. Z obrázku je patrné, že stejná riziková třída může být
klasifikována na základě různých kritérií. Těmito kritérii jsou rozsah poškození, pobyt v
kritické oblasti, možnost vyhnutí se ohrožení a pravděpodobnost vzniku poruchy.
85
tel.: 541 141 302, fax: 541 141 123
Obr. 62 Rizikový model dle DIN 19250
Stupeň rizika je definován jako funkce:
R=S⋅f(A,G,W)
8.1.3 IEC 61508
Mezinárodní standardizační proces zaměřený na FT řídicí systémy je veden primárně
normou IEC 61508, která definuje kvantitativní požadavky na ochranné systémy. Tato norma
omezuje počet rizikových skupin na pouhé čtyři, jak je vidět z Obr. 63 - Metodika určení
úrovně SIL (Safety Integrity Level). Zde jsou definovány úrovně SIL1 až SIL4.
Jednoduché vysvětlení vztahu mezi frekvencemi poruch a SIL poskytuje kolo rulety. Jak
známo, ruleta se skládá z číslovaných žlábků, které se točí a do nichž je vhozena kulička.
Sázející odhadují, ve kterém žlábku kulička po zastavení kola zůstane a tento svůj odhad
kvantifikují sázkou na příslušné číslo. V případě SIL rulety, kulička představuje SIL# a šance,
nebo pravděpodobnost, že kulička zůstane na určitém čísle je definována mezinárodním
86
tel.: 541 141 302, fax: 541 141 123
standardem. V případě rulety SIL1, předpokládejme, že kolo obsahuje deset žlábků (čísel),
což je minimum pro SIL1. Jedno číslo je obarveno červeně a zbývajících devět je obarveno na
černo. Kolo se roztočí a kulička je vhozena do hry v momentě, kdy se v systému objeví
nebezpečná událost, např. hladina v tanku dosáhne nejvyšší úrovně. Pakliže kulička skončí na
jednom z černých čísel, pak bude systém reagovat správně, t.j. záložní ventil se otevře a sníží
hladinu na bezpečnou úroveň. Pakliže kulička skončí na červeném čísle, pak bezpečnostní
funkce systému selže (selžou) a tank přeteče. Jak často tato událost nastane - t.j. tank přeteče,
je dáno součinem počtu her (požadavků na řešení havarijní situace) a poměru červených
žlábků k černým. Hráč tedy může ovládat pravděpodobnost úspěchu pomocí počtu žlábků
(SIL) a snižováním počtu havarijních situací.
Obr. 63 Metodika určení úrovně SIL
87
tel.: 541 141 302, fax: 541 141 123
Kolik žlábků je požadováno a jaké činnosti musí být provedeny, abychom zabránili
havarijním situacím je založeno na riziku a tolerované frekvenci poruch. Míru rizika lze
vyjádřit sázkou na červené číslo. V sázce se projeví počet zraněných nebo usmrcených osob,
škody na životním prostředí ... Pokud je sázka malá, t.j. hladina v tanku dosáhne nejvyšší
úrovně maximálně desetkrát za rok s následkem, že přebytečné médium odteče do kanálu, pak
je deset žlábků s frekvencí poruchy jednou za rok přijatelných. Pokud je sázka velká, tj.
havárie způsobí výbuch a značná poškození jednou za deset let, pak je nutné počítat s
nejméně tisíci žlábky, abychom dosáhli frekvenci poruch jednou za deset tisíc let.
Vztah mezi pravděpodobností poruchy a SIL úrovní je uveden v následující tabulce:
Obr. 64 Vztah mezi pravděpodobností poruchy a SIL úrovní
Princip řešení moderních vysoce spolehlivých PLC ukažme na schématu systému PLC
Guard.
Řídicí systém Guard PLC patří do kategorie Safety PLC. Architektura je založena na
redundantních procesorech, redundantních flash a RAM pamětích a jejich chod je stále
kontrolován dohlížecím systémem (watchdog). Synchronizace chodu redundantních systémů
je prováděna synchronizačním obvodem. Principiální blokové schéma systému Guard PLC je
uvedeno na Obr. 65.
88
tel.: 541 141 302, fax: 541 141 123
Microprocessor
Flash
RAM
Ports
I/O Module
Address
Data
Control
WATCHDOG/
COMPARE
SYNC
Address
Data
Control
Microprocessor
Flash
RAM
Obr. 65 Principiální blokové schéma systému Guard PLC
Pro permanentní kontrolu funkčnosti vstupních jednotek je systém vybaven vnitřní
výstupní testovací jednotkou, která je připojena ke všem vstupům systému a generuje fyzické
testovací velmi krátké signály v průběhu normálního běhu aplikačního programu, jak je patrné
z Obr. 66.
Microprocessor
1
Address
Data
Control
DATA
BUFFERS
WATCHDOG/
COMPARE
Address
Data
Control
I/O BUS
SYNC
INPUT 1
Test
INPUT 2
Test
INPUT N
Test
TEST CONTROL
CIRCUIT
Microprocessor
2
Obr. 66 Princip testování vstupů
Testování digitální výstupů systému Guard PLC je ukázáno na Obr. 67. Výstupy z obou
procesorů jsou testovány zvlášť a spolu s výstupem obvodu Watchdog/Compare tvoří logický
89
tel.: 541 141 302, fax: 541 141 123
součin tří podmínek, které musejí být splněny, aby výstup byl obsloužen. V opačném případě
operační systém zabrání další funkci systému.
WATCHDOG/
COMPARE
DC
Microprocessor
1
Microprocessor
2
Monitor
Monitor
Monitor
Obr. 67 Testování výstupů
8.1.4 Vztah mezi DIN 19250 a IEC 61508
Výrobci často uvádějí bezpečnostní třídy svých výrobků dle jedné nebo druhé normy.
Vztah mezi jednotlivými úrovněmi ukazuje Obr. 68. Nutno poznamenat, že směry šipek jsou
důležité a nelze např. ze SIL3 přejít na třídu 5 v německém standardu.
Obr. 68 Vztah mezi DIN 19250 a IEC 61508
90
tel.: 541 141 302, fax: 541 141 123
Obr. 69 Vztah mezi IEC 951-1, DIN 19250 a IEC 61508
Následující tabulka uvádí stanovení postupů při vytváření bezpečného systému dle SIL.
91
tel.: 541 141 302, fax: 541 141 123
Obr. 70 Stanovení postupů při vytváření bezpečného systému dle SIL
92
tel.: 541 141 302, fax: 541 141 123
9. ZABEZPČENÍ KOMUNIKACE PROTI CHYBÁM
Chyby, které obecně mohou v komunikačním systému napsat popisuje model vytvořený
Johnem Rushbym. Tento model vychází z oblasti leteckého průmyslu, avšak je aplikovatelný
jak na funkční bezpečnost průmyslových komunikačních technologií, tak na oblast
zabezpečení proti úmyslnému napadení komunikačního systému. V rámci tohoto modelu jsou
definovány tři kategorie chyb:
1. Chyba přenesené hodnoty (Value fault) – k této chybě dojde, je-li vypočtena,
přenesena nebo přijata nesprávná hodnot dat.
2. Chyba v časování (Timing fault) – k této chybě dojde, pokud jsou data vypočtena,
přenesena nebo přijata v nesprávném čase, což může být jak příliš pozdě, tak naopak
příliš brzy.
3. Prostorová chyba (Spatial proximity fault) – k této chybě dojde, pokud je hmota
v nějakém objemu zničena nebo odstraněna (například v případě výbuchu nebo
krádeže zařízení).
Výše uvedené chyby mohou být způsobeny buď náhodnou událostí (porucha nebo chyba
při návrhu či výrobě), ale také mohou být systému vnuceny úmyslnou aktivitou nějaké osoby.
První případ (náhodná chyba) je řešen v rámci funkční bezpečnosti zařízení (functional
safety), druhý případ musí být řešen zabezpečením proti úmyslnému útoku (security).
Zatímco náhodné chyby jsou klasifikovatelné z hlediska pravděpodobnosti jejich výskytu,
úmyslné aktivity jsou obtížně předpověditelné, neboť kreativní přístup útočníka může
vytvářet situace, které jsou vysoce nepravděpodobné a se kterými nebylo při návrhu systému
počítáno.
93
tel.: 541 141 302, fax: 541 141 123
9.1 Funkční bezpečnost průmyslových sběrnic
Téměř všechny významnější průmyslové sběrnice vyvinuly safety varianty – varianty
funkční bezpečnosti komunikačního kanálu. Je to v prvé řadě speciální bezpečná sběrnice
SafetyBus, dále pak ProfiSafe (bezpečné profily k protokolu Profibus a Profinet), Interbus –
safety (safety varianta ke sběrnici Interbus S), CAN safety, AS-i at work a další. Princip
bezpečné komunikace vychází především ze standardu IEC 61508 a lze ho interpretovat v
následujících bodech:
1. Žádný systém nemůže být absolutně spolehlivý, tedy nelze vyloučit jeho možné
selhání ani n – násobnou redundancí.
2. To, že systém patří do určité třídy bezpečnosti SIL, znamená, že se spokojujeme se
zmenšením rizika na určitou mez danou pro odpovídající třídu SIL odpovídající
pravděpodobnosti bezporuchové funkce bezpečnostního systému.
3. Funkční bezpečnost musí být zaručena i v případě selhání bezpečnostních funkcí
řídicího (nebo komunikačního) systému. Jakým způsobem to bude zaručeno, není
předmětem normy.
4. Bezpečnostní systémy, odpovídající určité SIL, musejí být konstruovány dle daných
pravidel (na HW i SW) tak, aby zaručovaly požadovanou spolehlivost, odpovídající
dané třídě SIL.
5. Funkční bezpečnost se vztahuje na celý řetězec dle Obr. 71
35%
15%
50%
Řídicí systémy
Akční členy
P
T
F
Snímače
Obr. 71 Bezpečnostní řetězec
Celková pravděpodobnost chyby v PES (Programmable Electronic System) je sumou
pravděpodobností chybné funkce jednotlivých komponent v celém systéme PES.
94
tel.: 541 141 302, fax: 541 141 123
Jak je patrné z Obr. 71, největší pravděpodobnost poruchy v celém řetězci vykazují
vstupy a výstupy řídicích programovatelných systémů a jen celkem 15 procent chyb vzniká ve
vlastním řídicím a komunikačním systému. Ethernet jako dost robustní komunikační systém
by na pravděpodobnost bezporuchového stavu (PFD – average probability of failure on
demand, tj. pro případ, že bezpečnostní systém působí jen velmi zřídka – on demand), která je
10–8 až 10–7 pro třídu SIL 3 měl stačit již ve svém standardním provedení. Přesto je třeba se
mechanismy bezpečné komunikace v průmyslové síti a tím pádem i v síti Ethernet zabývat.
9.2 Principy bezpečné komunikace - „Black Channel“
Předpoklad č.3 uvedený v IEC 61508 je řešen dle tzv. principu černého komunikačního
kanálu (Black Channel). Tento princip vychází ze zcela praktického a ekonomického
požadavku, neměnit nic na HW a SW standardní komunikační technologie (např. CAN,
Profibus nebo Ethernet, Power Link, Profinet), které jsou již z principu vysoké provozní
funkčnosti dobře nebo velmi dobře zabezpečeny proti poruše. Potřebné a požadované
bezpečnostní třídy SIL těchto komunikačních systémů nechť je tedy dosaženo ne tím, že by se
snižovala pravděpodobnost poruchy komunikace na dolních vrstvách protokolu, nýbrž
vřazením bezpečné vrstvy nad nebo do 7. vrstvy komunikačního modelu. V principu protokol
7. vrstvy (s vnořenou bezpečnostní vrstvou) by měl eliminovat všechny možné chyby
přenosu, které mohou být způsobeny náhodným elektromagnetickým rušením, které působí na
přenosový kanál, poruchami a chybami komunikačního hardware, systematickými chybami
některých komponentů standardního funkčního HW a SW. Na příkladu systému Profisafe
(Profibus Safety) se podívejme, jak lze realizovat bezpečnou komunikaci na principu „black
chanel“. Na Obr. 72 je vlastní komunikační kanál (Profibus, Profinet) posuzován jako černý
kanál, který může nebo nemusí fungovat spolehlivě.
95
tel.: 541 141 302, fax: 541 141 123
Bezpečná
aplikace
PROFIsafe
"Black Channel"
- PROFINET IO
Standardní
aplikace
Bezpečnostní
vrstva
PROFINET
Bezpečná
aplikace
Standardní
aplikace
Bezpečnostní
vrstva
PROFINET
Obr. 72 Princip „black chanel“
Funkce bezpečné vrstvy (safety layer) spočívá v detekování poruch a provádění opatření
pro eliminaci vlivu poruchy v komunikačním kanálu v součinnosti s bezpečnostními prvky
komunikujících entit (např. zajistit bezpečný stav zařízení). Obrázek dále ukazuje, že
standardní funkční komunikace a komunikace související s bezpečností (safety relevant) běží
současně na jednom komunikačním kanálu, přičemž data související s bezpečností jsou
použita pro bezpečnostní aplikace a data nesouvisející s bezpečností (standardní funkční data)
se používají pro standardní funkční aplikace. Na dalším Obr. 73 je princip z Obr. 72 blíže
specifikován pro celý bezpečnostní řetězec z Obr. 71. Je z něj patrný i současný provoz
funkční a safety komunikace na jednom komunikačním kanálu (např. Profinetu) i to, že safety
a non-safety komunikace je navzájem nezávislá. Jednoduchý komunikační kanál by měl být
postačující pro splnění bezpečné komunikace a jeho případné zdvojení nesouvisí s
bezpečností, ale s pohotovostí (zvýšenou funkčností).
96
tel.: 541 141 302, fax: 541 141 123
Bezpečný
vstup
Bezpečná
funkce
Bezpečnostní
vrstva
Bezpečnostní
vrstva
Bezpečný
výstup
Standardn
zařízení
Bezpečnostní
vrstva
Vrstva 7
Vrstva 7
Vrstva 7
Vrstva 7
Vrstva 2
Vrstva 2
Vrstva 2
Vrstva 2
Vrstva 1
Vrstva 1
Vrstva 1
Vrstva 1
Obr. 73 Současná funkční a „safety“ komunikace v síti Profibus
V následujícím přehledu jsou uvedeny možné poruchy a chyby komunikace
specifikované v Části 7. normy IEC 61508:
•
Opakování – opakovaný příjem stejných dat
•
Ztráta – nedoručení dat
•
Vkládání – příjem dat od jiného odesílatele, než by mělo být
•
Špatné pořadí – data jsou přijata v jiném pořadí, než byla odeslána
•
Nekonzistence – data jsou poškozená
•
Zpoždění – větší než přípustný interval mezi odesláním a příjmem dat
•
Propojení safe a non-safe – nepřípustná komunikace mezi bezpečným (safe) a
obyčejným (non-safe) odesílatelem/příjemcem
•
Přetečení paměti směrovače – paměť směrovače je zaplněna
a odpovídající „safety“ mechanismy, které se mohou implementovat do vnořené safety
vrstvy komunikačního protokolu, za účelem eliminace těchto chyb:
97
tel.: 541 141 302, fax: 541 141 123
•
Sekvenční číslování dat – odesílatel disponuje čítačem, jehož hodnota se pro
každá odeslaná data zvýší o jedničku. Ke každým odeslaným datům je připojena
hodnota čítače.
•
Časová značka dat – odesílatel opatřuje každá odeslaná data hodnotou času
odeslání.
•
Potvrzení příjmu dat – příjemce dává odesílateli na vědomí úspěšné přijetí dat.
•
Identifikace odesílatele a příjemce – data obsahují identifikaci odesílatele a
příjemce.
•
Zálohování dat – zálohování odesílaných dat na straně odesílatele.
•
Redundance dat – redundance odesílaných dat (vícenásobné odeslání dat,
kódování dat).
•
Kontrola validity dat – přidání kontrolních dat (např. pomocí CRC)
V následující tabulce je uvedeno, jak jednotlivé safety mechanismy působí na jednotlivé
chyby komunikace:
Metody eliminace chyb
Možné chyby
Sekvenční Časová
Potvrzení Identifikace Zálohování Redundance dat Kontrola validity
dat při komunikaci číslování značka dat příjmu dat příjemce a dat
dat
dat
odesílatele
Opakování
Ztráta
Vkládání
Špatné pořadí
Nekonzistence
Zpoždění
x
x
x
x
x
x
x
x
x
x
x
x
x
Propojení safe a
non-safe
Přetečení paměti
směrovače
x
x
x
x
x
x
x
x
Obr. 74 Možné chyby dat při komunikaci a metody k jejich eliminaci
Minimálním požadavkem pro bezpečný komunikační protokol je to, aby dokázal
eliminovat všechny zmíněné chyby. Protože každá síť má svá specifika a speciální chybové
98
tel.: 541 141 302, fax: 541 141 123
módy, je při tvorbě bezpečného protokolu důležité mít důkladné znalosti o použitém typu a
technologii sítě.
Nejběžnější případ vnoření „safety“ dat do komunikačního protokolu je ukázán na
Obr. 75 na příkladu protokolu PROFIsafe. Podobně jako standardní data jsou doplněna
doplňujícími bajty paketu, bezpečná data jsou doplněna bajty použitých bezpečnostních
mechanismů z tabulky na Obr. 74 a vnořena do datového toku mezi standardní rámce.
Standardní
data
Standardní
data
Bezpečná data
Standardní
data
Stav
Sekv.
číslo
Standardní
data
Standardní
data
CRC 2
Stavový
Dle
nebo
čítače
řídicí
zdroje
bajt
Max. 12 nebo 122 B
1B
3B
3/4 B
Obr. 75 Pakety PROFIsafe jednoduše vnořené do datového toku
standardních informačních rámců
99
tel.: 541 141 302, fax: 541 141 123
9.3 Příklad programovatelného
souvisejícího s bezpečností
elektronického
systému
(PES)
Na následujícím obrázku Obr. 76 je vyobrazená obecná struktura PES s vlastnostmi
bezpečného řídícího a komunikačního systému.
FB1
FB1
FB1
Komunikační procesor
Připojení
(přepínač)
Dvou-portová RAM
Safety data
Vstupy
Redundantní
řídicí jednotka
Výstupy
Obr. 76 Architektura bezpečného PES
Redundantní (zdvojený) procesorový systém generuje data se vztahem k bezpečnosti
systému (safety related data). Tato data jsou přenášena do jiné PES, která rovněž podporuje
bezpečnou komunikaci, prostřednictvím dvou-portové paměti RAM a komunikačního
procesoru. Pokud komunikační procesory komunikujících entit nejsou schopny do
stanoveného času přenést data, uplatní se princip černého komunikačního kanálu a procesor
PES uvede řízený proces např. do bezpečného stavu. Je zřejmé, že takový mechanismus
jednak snižuje rychlost komunikace, jednak sice vede ke zvýšení bezpečnosti systému, avšak
zmenšuje pohotovost (avaliability) toho systému.
9.4 Řešení bezpečné komunikace v síti Ethernet
Třebaže Ethernet má vynikající vlastnosti, není schopen vyhovět (ve stávající podobě
jako síť typu LAN) všem požadavkům na bezpečnou komunikaci. Bezpečné aplikace obecně
100
tel.: 541 141 302, fax: 541 141 123
vyžadují bezpečnou práci s daty, to např. znamená, že i komunikační parametry musejí být
nastavovány bezpečným způsobem. V tom případě by se ale IP adresa musela nastavovat
jiným protokolem, než protokolem DHCP, který je k tomu účelu v sítích LAN používán.
DHCP však není bezpečný protokol ve smyslu IEC 61508. Rovněž server, poskytující IP
adresy není bezpečným serverem (safety relevant). V tom momentě výhoda protokolu TCP
ztrácí na významu, neboť řídicí mechanismus spojovací služby (connection oriented) není
rovněž safety related. Má li být Ethernet schopen realizovat bezpečnou komunikaci, musí být
bezpečnostní mechanismy použity v 7. vrstvě.
Z uvedeného je jistě zřejmé, že tato nedostatečná bezpečnost komunikace nepadá na vrub
vlastní technologii Ethernet (1.a 2. vrstva ISO OSI modelu), ale až nadstavbě – konkrétně
protokolu DHCP.
Praktická měření na Ethernetu potvrzují vysokou míru robustnosti (odolnosti vůči
vnitřním i vnějším poruchám včetně EMC) i v průmyslovém prostředí. Navíc díky velké šířce
přenášeného frekvenčního pásma je reálný předpoklad přenášet v jedné síti Ethernet jak
funkční, tak bezpečná data (safety relevant). To značně zjednoduší instalaci sítě a její uvádění
do chodu a cenu instalace. V případě fieldbusů je mnohdy nutné vést standardní funkční data
po jedné sítí a bezpečná (safety relevant) data ve zvláštní síti (safety fieldbus) nebo zvláštními
dvoubodovými bezpečnými spoji od havarijních tlačítek a k bezpečným akčním členům.
Téměř všechny významnější průmyslové sítě (fieldbus) mají safety variantu (AS-i Safety
at Work, Interbus Safety, CAN safety, PROFISafe, SafetyBus, a další). Všechny mechanismy
pro bezpečnou komunikaci, uvedené v přehledu a tabulce (Obr. 74) nejsou použity u každé z
výše uvedených průmyslových sběrnic. Zejména mechanismy, které vyžadují delší čas pro
safety provoz nejsou použity u technologií, které podporují provoz v reálném čase s tvrdými
požadavky (hard real-time) na dobu odezvy (deadline) a synchronizaci (jiter) jako jsou např.
EtherCat, Ethernet Power Link, Profičet, Sercos II. Tak např. Ethernet PowerLink nepoužívá
z výše uvedených mechanismů (Obr. 74) potvrzování příjmu, redundanci dat. Podobně
Profinet IO nepoužívá časové razítko a nahrazuje ho mechanismem watch dog a nepoužívá
potvrzování příjmu.
101
tel.: 541 141 302, fax: 541 141 123
10. ZABEZPEČENÍ PROTI NÁHODNÝM CHYBÁM FUNKČNÍ BEZPEČNOST S AS-INTERFACE
Na konkrétním příkladu rozšíření standardu AS-Interface bude v této kapitole
ilustrováno, jakým způsobem lze v aplikacích se zvýšenými nároky na funkční bezpečnost
dosáhnout
garantované
funkční
bezpečnosti
při
použití
v podstatě
standardních
komunikačních prvků a technologií.
10.1 Black channel princip
Základním společným principem využívaným v celé řadě průmyslových komunikačních
standardů je tak zvaný „black channel“ přístup. Jedná se o princip, kdy je funkční bezpečnost
vystavěna nad standardním komunikačním kanálem, tedy pro zajištění funkční bezpečnosti je
komunikační kanál využíván ve své nezměněné podobě a funkční bezpečnost je implantována
nad daným komunikačním standardem, aniž by bylo nutné nějak koncepčně zasahovat do
existujícího standardu, který přitom nebyl navržen s ohledem na budoucí požadavky funkční
bezpečnosti. Název „black channel“ byl patrně odvozen od pojmu „black box“ (černá
skříňka), neboť na daný komunikační kanál se díváme jako na černous skříňku, která nám
poskutuje komunikační služby, ale předpokládáme, že o interních funkcích, funkčních
parametrech a spolehlivostních garancích nemáme žádné informace, a tedy na ně při návrhu
aplikace s požadavky na funkční bezpečnost nijak nespoléháme.
Tento princip byl aplikován i při rozšíření technologie AS-Interface o komponenty
umožňující dosáhnout garantované funkční bezpečnosti – rozšíření zvané AS-i Safety at Work
využívá standardní protokol, standardní kabely, zdroje i standardní AS-i Master zařízení a
umožňuje na síti kombinovat standardní slave zařízení se zařízeními garantujícími funkční
bezpečnost.
102
tel.: 541 141 302, fax: 541 141 123
10.2 Technologie AS-Interface Safety at Work
Pro dosažení garantované funkční bezpečnosti nad sběrnicí AS-Interface bylo nutné
stávající technologii AS-Interface doplnit o dvě kategorie zařízení, která fakticky garantují
funkční bezpečnost a která jako jediná musí být individuálně certifikována s ohledem na svou
spolehlivost a funkční bezpečnost.
10.2.1 Bezpečný slave (Safety slave)
Bezpečný slave je z hlediska AS-i mastera slave jako každý jiný – má přiděleny vlastní
adresu a na základě žádosti o data posílá v odpovědi informace o stavu svých logických
vstupů. V současné době je bezpečný slave zařízení obsahující pouze vstupy, tj. v tuto chvíli
neexistuje safety slave, který by fungoval jako akční člen.
Když bezpečný slave odesílá v odpovědi masteru stav svých 4 logických vstupů, přičemž
však takovýto slave obsahuje pouze dva fyzické vstupy. Údaje o stavu čtyř logických vstupů,
které odesílá ve své odpovědi masterovi sít jsou generovány na základě stavu dvou fyzických
vstupů v kombinaci s unikátní čtyřbitovou sekvencí.
Každý bezpečný slave má naprogramovánu unikátní sekvenci 8 x 4 bity, přičemž za
běžného provozu jsou postupně v osmi cyklech přeneseny všechny čtyřbitové fragmenty této
sekvence. Korektním přenosem sekvence je garantováno, že:
•
na danou výzvu skutečně odpovídá daný bezpečný slave a ne nějaké jiné (např. vadné)
zařízení (sekvence je pro každý vyrobený kus unikátní, existuje cca 400 000 možných
kombinací)
•
nedošlo k zacyklení nebo poruše interního programu bezpečného slave zařízení;
•
Oba fyzické vstupy bezpečného slave zařízení jsou sepnuty (skrz kontakty protéká
proud) a tedy vstupy neindikují dosažení nebezpečného stavu.
V případě, že dojde k rozpojení jednoho nebo obou vstupů, dojde k porušení vysílané
kódové sekvence
- namísto měnící se sekvence jsou příslušné datové bity vynulovány.
S každým fyzickým vstupem jsou spojeny právě dva bity, proto je možné z přenášených dat
rozeznat který ze vstupů bezpečného slave zařízení byl rozpojen.
103
tel.: 541 141 302, fax: 541 141 123
10.2.2 Bezpečnostní monitor (Safety monitor)
Pro zajištění akčního zásahu (uvedení systému do bezpečného stavu) při detekování
porušení pravidel definujících bezpečný stav je v systému nutný certifikovaný akční člen. Roli
tohoto akčního členu zastává v technologii Safety at Work zařízení označované jako
„Bezpečnostní monitor“.
Bezpečnostní monitor je zařízené, které „poslouchá“ komunikaci mezi masterem sítě a
všemi slave zařízeními. Při konfiguraci bezpečnostního monitoru je určeno, které
bezpečnostní slavy má daný bezpečnostní monitor hlídat. U zadaných bezpečných slave
zařízení se po zapnutí sítě bezpečnostní monitor nejprve „naučí“ příslušné kódové sekvence a
za provozu sítě pak sleduje, zda nedošlo k porušení vysílané sekvence. Pokud bezpečnostní
monitor detekuje buď porušení sekvence nebo přerušení vysílání od některého ze sledovaných
bezpečných slave zařízení, tak uvede své výstupy do bezpečného stavu, tj. zajistí přechod
řízeného systému do bezpečného stavu.
Obr. 77 Princip zajištění funkční bezpečnosti díky přenosu kódové sekvence
10.2.3 Výhody technologie Safety at Work
Z technického hlediska je za provozu sítě bezpečný slave pouze „komoprátor“, který
porovnává naučenou a příjmanou sekvenci a v případě neshody provede poměrně
jednoduchou akci. Komplexnost takovéhoto zařízení je, ve srovnání s komplexností běžného
104
tel.: 541 141 302, fax: 541 141 123
PLC, poměrně nízká. Je tedy zřejmé, že náklady na konstrukci a následnou certifikaci safety
monitoru jsou řádově nižší, než náklady na konstrukci a certifikaci bezpečného PLC.
Další výhodou této technologie je skutečnost, že v aplikaci lze používat běžné AS-i
zdroje, kabely, master zařízení i běžné slave zařízení a výrazně dražší „bezpečná zařízení“ lze
využívat pouze tam, kde je vazba na bezpečnost, neboť standardní a bezpečné prvky lze
v jedné síti kombinovat.
Technologie Safety at Work garantuje, že odezva na událost vyžadující přechod do
bezpečného stavu nepotrvá déle, než 40 ms. Těchto 40 ms je vypočteno následovně:
•
5 ms – dokončení předchozího cyklu sítě
•
5 ms – doba cyklu ve které je detekován požadavek na zásah bezpečnostního
monitoru
•
5 ms – opakování cyklu sítě, aby bylo potvrzeno, že je zásah bezpečnostního
monitoru skutečně žádán (předchází se tak zbytečným zásahům z důvodu
např. emg. rušení)
•
5 ms – odezva bezpečnostního monitoru
•
20 ms – doba sepnutí výstupních relé na bezpečnostním monitoru
Před nezávislými certifikačními orgány bylo prokázáno, že s využitím technologie Safety
at Work lze dosáhnout následujících kategorií funkční bezpečnosti:
•
Kategorie 4 podle EN 954-1
•
Úrovně SIL 3 podle IEC 61508
105
tel.: 541 141 302, fax: 541 141 123
11. ZABEZPEČENÍ PROTI ÚMYSLNÝM „CHYBÁM“
11.1 Základní mechanismy útoku proti komunikačnímu systému
V odborné literatuře bylo klasifikováno více než 100 možných principů útoku na
komunikační systém, avšak všechny tyto mechanismy jsou ve skutečnosti více nebo méně
důmyslnými kombinacemi následujících základních způsobů útoku:
1. Zachycení zprávy – jedná se o pasivní odposlech, jehož cílem je neoprávněně získat
informace, nebo nasbírat data pro další útok.
2. Modifikace dat – jedná se o aktivní útok, kdy útočník zprávu zachytí, modifikuje její
obsah a tuto modifikovanou zprávu odešle namísto zprávy původní.
3. Přerušení komunikace – jedná se o aktivní útok, který způsobí že dojde k přerušení
komunikace nebo nedostupnosti služeb poskytovaných vzdáleným zařízením. Tento
útok může být způsoben jak prostým fyzickým přerušením komunikačního média, tak
i zahlcením komunikační linky nebo komunikujícího zařízení pomocí uměle
generovaných zpráv.
4. Vytvoření neexistující zprávy – jedná se opět o aktivní činnost, kdy útočník generuje
zprávy s cílem zahltit zařízení, podvrhnout svou vlastní identitu, zneužít cizí identitu,
nebo v nevhodný okamžik znovu odeslat dříve zachycenou zprávu.
11.2 Základní cíle zabezpečení
Oblast zabezpečení si klade za cíl ochránit majetek firmy nebo osoby před útočníkem,
tedy zejména zabránit následujícím hrozbám:
•
Ztráta důvěrných informací – například ztráta tajných informací o technologii,
výrobních nebo procesních postupech nebo ztráta osobních dat.
•
Neoprávněný zásah do systému – neoprávněná modifikace informací, řídicích
algoritmů a podobně.
106
tel.: 541 141 302, fax: 541 141 123
•
Ztráta dostupnosti poskytovaných služeb – vyvolání selhání systému z důvodu
nedostupnosti některých služeb poskytovaných systémem.
Všechna bezpečnostních opatření musí garantovat dosažení následujících tří cílů:
•
Utajení dat – pouze autorizované osoby nebo zařízení mohou mít přístup
k chráněným datům
•
Zajištění integrity dat – je garantováno, že data nebudou neoprávněně modifikována
a pokud k nežádoucí modifikaci dojde, tato bude zjištěna dříve, než budou data
použita.
•
Zajištění dostupnosti služeb – je garantováno, že poskytované služby budou všem
oprávněným uživatelům dostupné v dostatečné kvantitě a při dodržení správných
časových parametrů.
Při; zajišťování bezpečnosti bývají požadovány ještě další vlastnosti ochranného systému,
mezi nejvýznamnější další cíle patří zejména zajištění následujících požadavků:
•
Autorizace – musí být možné rozhodnout, zda daná osoba, zařízení nebo objekt má
právo využívat služeb, přistupovat k datům apod.
•
Autentifikace – musí být dostupný mechanismus, kterým bude možné ověřit zda
osoba, zařízení, program nebo objekt je skutečně tím, za koho se vydává
•
Neodmítnutelnost – Příjemce zprávy musí mít možnost nezvratně prokázat, že
odesílatel zprávu skutečně odeslal, tj. odesílatel nebude mít možnost popřít, že zpráva
skutečně pochází od něj.
•
Prokazatelnost přístupu – bude možné vyhledat veškeré aktivity daného uživatele
nebo zařízení
•
Ochrana třetích stran – nedojde k poškození třetích stran, například zařízení nebude
zneužitelné k útoku na další organizaci nebo zařízení.
107
tel.: 541 141 302, fax: 541 141 123
11.3 Stavební prvky zabezpečení
Při zabezpečování systému je nutné stanovit bezpečnostní politiku, která posoudí rizika,
tj. posoudí jednotlivé možné hrozby, pravděpodobnost jejich výskytu, prostředky
(čas,
vybavení a znalosti) nutné k provedení daného útoku atd. Na základě posouzení rizik je poté
možné stanovit bezpečnostní politiku, která zahrnuje zejména:
•
Fyzické zabezpečení (zabezpečení proti neoprávněnému vniknutí osob);
•
Organizační opatření;
•
Personální politiku;
•
Zabezpečení na úrovni hardwaru a softwaru;
•
Zabezpečení komunikačních kanálů;
•
Preventivní opatření;
•
Nouzové plány a opatření pro případ narušení.
Pro zabezpečení komunikace se využívají technologie na bázi kryptografie, přičemž za
elementární stavební prvky lze prohlásit následující:
1. Autentifikace a autorizace
a. Přidělení oprávnění na základě příslušnosti do skupin uživatelů
b. Ověření totožnosti (hesla, tokeny, čipové karty, biometrické prostředky…)
2. Kryptografické techniky
a. Symetrické šifrování
b. Asymentické šifrování s veřejným a soukromým klíčem
c. Hash funkce
d. Digitální podpisy
e. Generování kryptograficky kvalitních náhodných čísel
3. Digitální certifikáty
K zabezpečení komunikace lze přistoupit ze dvou různých principiálně odlišných
filozofií. V prvním případě, který je označovaný jako „hard perimeter“, zabezpečovací
architektura v podstatě představuje zeď, která je kolem celého systému. V případě
průmyslových aplikací je tato „zed“ složena především ze skutečných fyzických opatření,
108
tel.: 541 141 302, fax: 541 141 123
které neautorizované sobě brání ke vstupu do areálu nebo na chráněné pracoviště. Problémem
je, že po překonání této bezpečnostní zdi již systém nění nijak dále chráněn. Tedy například
zaměstnanec, který se rozhodne poškodit systém, a který se dokáže fyzicky připojit
k chráněnému systému, může systém poškodit, aniž by mu v cestě stály další překážky. Stejně
tak došlo-li k narušení bezpečnosti nějakého zařízení, které je uvnitř chráněné zóny, může
případný útočník toto zařízení využít pro napadení celého systému a systém není již dále nijak
chráněn.
V poslední době se i u průmyslových komunikačních systémů prosazuje trend
označovaný jako „Defense-in-depth“, tedy obrana do hloubky. Tato filozofie vychází
z předpokladu, že připadný útočník by měl narážet na ochranné prvky pokud možno co
nejčastěji. To znamená, že by neměla existovat pouze jedna ochranná zeď, ale totožnost a
oprávnění útočníka by mělo být ověřováno pokud možno při každé jeho aktivitě. Tato
filosofie navíc umožňuje využít skutečnosti, že na různých úrovních systému mohou být
bezpečnostní opatření různá a různě intenzivní a mohou být založena na heterogenních
systémech, které tedy z principu nemají (nebo by alespoň mít neměly) žádnou společnou
slabinu.
Pro sítě na bázi IP protokolu mezi takovéto ochranné prvky patří například:
a. Paketové filtry, které mohou sledovat zdrojové a cílové adresy, zdrojový a
cílový port u TCP a UDP spojení, typu paketů a podobně
b. Aplikační gatewaye, které mohou analyzovat i korektnost zpráv na úrovni
protokolů aplikační vrsvy
c. Spravovatelné přepínače a routery, které mohou zamezit zahlcení chráněného
segmentu sítě, mohou poskytnout komunikaci probíhající v reálném čase vyšší
prioritu a zabránit tak zhroucení řídicího systému v případě zahlcení sítě
požadavky; také mohou omezit přístup do/z chráněných sítí pouze na určité
podsítě nebo adresy.
Systém obrany do hloubky ve spolupráci s detekčními mechanismy a správně navrženou
bezpečnostní politikou může zajistit poměrně spolehlivé a bezpečné fungování systému, ikdyž
109
tel.: 541 141 302, fax: 541 141 123
dojde k prvotnímu narušení bezpečnosti, neboť útočník na cestě k útoku na chráněný systém
musí překonat několik ochranných vrstev.
V minulosti průmyslové komunikační systémy spoléhaly na ochranu typu „hardperimeter“ a také na skutečnost, že komunikační systémy používané v praxi jsou natolik
odlišné od běžně dostupných komunikačních technologií, že reálný útok přímo na
komunikační
kanál
nehrozí.
S průnikem
průmyslového
Ethernetu
a
bezdrátových
komunikačních technologií do průmyslové praxe však nutnost důsledně zabezpečit
komunikaci řídicích systémů narůstá. Velikým problémem však je skutečnost, že ačkoliv
forma a provedení útoku v oblasti kancelářských informačních technologií je aplikovatelná i
na moderní průmyslový komunikační kanál, tak v průmyslové praxi nelze flexibilně přijímat
opatření tak jako je tomu na úrovni běžného IT vybavení, což dokumentuje níže uvedená
tabulka, která porovnává požadavky běžných informačních technologií a požadavky
průmyslové praxe.
Kancelářské IT
Průmyslová automatizace
Redundantní
komunikační Redundantní strom, zotavení
struktura
v řádu minut
Chování při přetížení sítě
„Best effort“,
tj. nedeterministické chování
Zotavení v jednotkách až
stovkách milisekund
Deterministické
chování,
prioritizace zpráv, regulace
množství
generovaných
zpráv.
Reálný čas
Definován ergonomickými Mikrosekundy až sekundy
nároky lidských uživatelů, tj.
od 300 ms do řádově minut.
Typická životnost zařízení
3 až 5 let
Často více než 10 let
Výpočetní výkon zařízení
Nevyhovující je vyměněno Výkon
je
omezen,
za modernější
modernější mnohdy není
zpětně kompatibilní, výměna
je neekonomická.
Záplaty
softwaru
a Restart
zařízení
je Instalace záplaty SW nesmí
aktualizace firmwaru
akceptovatelný, bezpečnost ovlivnit funkčnost zařízení
má přednost před funkčností ani neplánovaně přerušit
činnost zařízení.
Komunikační spoje
Dynamické
a Předvídatelné,
dobře
nepředvídatelné
definovatelné a plánované.
110
tel.: 541 141 302, fax: 541 141 123
Z výše uvedené tabulky je zřejmé, že zatímco v oblasti běžných informačních technologií
není problém reagovat na objevení libovolné mezery v zabezpečení poměrně flexibilně, tak
v průmyslové praxi je takováto flexibilní reakce mnohdy obtížná až nemožná. Proto je při
návrhu komunikační architektury pro průmyslové aplikace extrémně důležité myslet na
bezpečnost již v okamžiku samotného základního návrhu komunikační architektury.
Bezpečnost nelze nainstalovat, bezpečnost musí být nedílná součást celého systému.
111
tel.: 541 141 302, fax: 541 141 123
12. LITERATURA
[1]
[2]
[3]
[4]
[5]
[6]
[7]
[8]
[9]
[10]
[11]
Rushby J: Bus Architectures for Safety-Critical Embedded systéme, Lecture Notes in
Computer Science, Volume 2211, 2001
IAONA Handbook Network Security v. 1.3EN, First edition, 2005
Zezulka F.: Prostředky průmyslové automatizace. VUTIUM, Brno, 2004,
Zezulka, F., Hynčica O.: Průmyslový Ethernet I., Automa 1/2007
Zezulka, F., Hynčica O.: Průmyslový Ethernet II., Automa 3/2007
Zezulka, F., Hynčica O.: Průmyslový Ethernet IV., Automa 6/7/2007 v tisku
Lueder A., Lorentz K.: IAONA Handbook – Industrial Ethernet, 2nd edition, April
2005
Norma IEC 61508, česká verse 2002
Uher, J.: Úvod do funkční bezpečnosti I: norma ČSN EN 61508, Automa 8-9, 2004
Lueder A., Lorentz K.: IAONA. Security of Industrial Ethernet. First edition, April
2005
Siemens: S7-300 and M7-300, Programmable Controllers, Module specifications,
Nürnberg 1996
112

8. funkční bezpečnost - Ústav automatizace a měřicí techniky

Transkript

Podobné dokumenty

KONTAKT, INGO, COST

Specialista PLC/DCS Programátor průmyslových řídicích systémů

studentský měsíčník fasťák - Studentská komora AS FAST

Zde - Česká Společnost Strojírenské Technologie

Orientační pomůcky pro změření velikosti prstenu

OAnaVUT