8. FUNKČNÍ BEZPEČNOST

VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ FAKULTA ELEKTROTECHNIKY A KOMUNIKAČNÍCH TECHNOLOGIÍ ÚSTAV AUTOMATIZACE A MĚŘICÍ TECHNIKY Kolejní 4, 612 00 Brno tel.: 541 141 302, fax: 541 141 123 E-mail: [email protected], http://www.feec.vutbr.cz

8. FUNKČNÍ BEZPEČNOST Problematika bezpečnosti (safety) je jedním z nejžhavějších témat současného vývoje automatizace ve vyspělých průmyslových zemích. V důsledku obtížného překladu pojmů safety a security do některých jazyků (čeština, ale i němčina mají pro oba anglické pojmy jeden překlad – bezpečnost) je v těchto pojmem i v technické veřejnosti mnoho nejasností. Uveďme proto nejprve, co budeme pod pojmem bezpečná komunikace chápat. Uveďme nejprve základní pojmy ze standardu IEC 61508 (dle českého překladu ČSN EN 61508). Norma IEC 61508 je standardem funkční bezpečnosti elektrických, elektronických a elektronických programovatelných systémů.

8.1 Definice pojmů z oblasti bezpečnosti dle normy ČSN EN 61508 Dle tohoto standardu lze rozlišit a posuzovat tři základní druhy bezpečnosti: primární , nepřímou a funkční bezpečnost. •

Bezpečnost – odstranění nepřijatelného rizika

•

Primární bezpečnost – bezpečnost, která se zabývá riziky jako jsou např. úrazy el.

proudem, šoky, nebo popálení způsobená zařízením. •

Nepřímá bezpečnost – zahrnuje vedlejší důsledky nesprávné funkce zařízení, které

přímo neohrožují zdraví osob. •

Funkční bezpečnost – část celkové bezpečnosti týkající se řízeného procesu nebo

stroje EUC (Equipment under Control) a systému řízení EUC, která je závislá na správném fungování E/E/EP systémů souvisejících s bezpečností, a/nebo na systémech souvisejících s bezpečností a založených na jiných technických principech a konečně na vnějších prostředcích pro snížení rizika •

Riziko – kombinace pravděpodobnosti výskytu poškození a závažnosti tohoto

poškození •

Přípustné riziko – riziko, které je přijatelné v daných souvislostech založených na

běžných hodnotách společnosti •

Zbytkové riziko – riziko zbývající po přijetí ochranných opatření

Úvod do oblasti řídicích počítačů – Část 2

83


•

Nebezpečí – potenciální zdroj poškození, újmy

•

Chyba – ukončení schopnosti zařízení vykonávat požadovanou funkci.

•

Bezpečná chyba – chyba, která není natolik závažná, aby narušila funkci systému

nebo způsobila nebezpečný stav systému. •

Nebezpečná chyba – chyba, která může uvést bezpečnostní systém do nebezpečného

stavu nebo stavu, kdy není schopen plnit svou funkci. Velmi důležitými pojmy ve standardu IEC 61508 je integrita bezpečnosti a pojmy související: •

Integrita bezpečnosti (safety integrity): pravděpodobnost systému souvisejícího s

bezpečností uspokojivě plnit požadované bezpečnostní funkce za všech stanovených podmínek a po stanovenou dobu •

Integrita bezpečnosti software

(software safety integrity): míra vyjadřující

pravděpodobnost softwaru plnit své funkce v E/E/EP souvisejícího s bezpečností plnit své bezpečnostní funkce za všech stanovených podmínek a po stanovenou dobu •

Integrita bezpečnosti hardware (hardware safety integrity): část integrity

bezpečnosti systémů, souvisejících s bezpečností , týkající se náhodných poruch hardware v nebezpečném režimu poruchy •

Úrovně integrity bezpečnosti (Safety integrity level SIL): diskrétní úroveň (jedna

ze čtyř úrovní, definovaných normou) pro stanovení požadavků integrity bezpečnosti bezpečnostních funkcí přiřazených E/E/EP systémům souvisejícím s bezpečností, kde úroveň integrity bezpečnosti 4 má nejvyšší úroveň integrity bezpečnosti a úroveň 1 nejnižší. Východiskem pro pochopení standardu IEC 61508 je následující schéma souvislostí norem bezpečnosti:


84


IEC61513 : Nuclear Sector

IEC61511 : Process Sector

IEC 61

Medical Sector 508

IEC62061 : Machinery Sector

Obr. 61 Souvislost norem bezpečnosti dle IEC 8.1.1 Vysoce bezpečné a vysoce funkční PLC řízení – Standardy Standardizace, jakožto nikdy nekončící proces k dosažení jednotných postupů ve všech

odvětví lidské činnosti, významně zasáhla i do FT systému, které byly detailně diskutovány v předcházejícím kurzu. Za nejdůležitější normativní dokumenty, týkající se vysoce funkčního a vysoce nebezpečného řízení lze bezesporu považovat německý standard DIN V 19250/251 a americký standard ANSI/ISA S84.01-1996 a jeho mezinárodní verzi IEC 61508. Cílem těchto standardů bylo a je definovat bezpečnostní kategorie (z hlediska rizika ohrožení osob, životního prostředí a okolí) a stanovit zavazující postupy k dosažení bezpečného fungování systémů v definovaných kategoriích. 8.1.2 DIN V 19250 Německé norma DIN V 19250 popisuje postup při uvažování rizika při nasazení řídicího

systému. Standard definuje známý rizikový diagram jako kvalitativní vývoj rizikového faktoru děleného na základě specifických situací. Tento přístup definuje osmi úrovňový model požadavků na systémy automatického řízení včetně ochranných systémů s ohledem na rozsah rizika, jak ukazuje Obr. 62. Z obrázku je patrné, že stejná riziková třída může být klasifikována na základě různých kritérií. Těmito kritérii jsou rozsah poškození, pobyt v kritické oblasti, možnost vyhnutí se ohrožení a pravděpodobnost vzniku poruchy. Úvod do oblasti řídicích počítačů – Část 2

85


Obr. 62 Rizikový model dle DIN 19250 Stupeň rizika je definován jako funkce: R=S⋅f(A,G,W) 8.1.3 IEC 61508 Mezinárodní standardizační proces zaměřený na FT řídicí systémy je veden primárně

normou IEC 61508, která definuje kvantitativní požadavky na ochranné systémy. Tato norma omezuje počet rizikových skupin na pouhé čtyři, jak je vidět z Obr. 63 - Metodika určení úrovně SIL (Safety Integrity Level). Zde jsou definovány úrovně SIL1 až SIL4. Jednoduché vysvětlení vztahu mezi frekvencemi poruch a SIL poskytuje kolo rulety. Jak známo, ruleta se skládá z číslovaných žlábků, které se točí a do nichž je vhozena kulička. Sázející odhadují, ve kterém žlábku kulička po zastavení kola zůstane a tento svůj odhad kvantifikují sázkou na příslušné číslo. V případě SIL rulety, kulička představuje SIL# a šance, nebo pravděpodobnost, že kulička zůstane na určitém čísle je definována mezinárodním Úvod do oblasti řídicích počítačů – Část 2

86


standardem. V případě rulety SIL1, předpokládejme, že kolo obsahuje deset žlábků (čísel), což je minimum pro SIL1. Jedno číslo je obarveno červeně a zbývajících devět je obarveno na černo. Kolo se roztočí a kulička je vhozena do hry v momentě, kdy se v systému objeví nebezpečná událost, např. hladina v tanku dosáhne nejvyšší úrovně. Pakliže kulička skončí na jednom z černých čísel, pak bude systém reagovat správně, t.j. záložní ventil se otevře a sníží hladinu na bezpečnou úroveň. Pakliže kulička skončí na červeném čísle, pak bezpečnostní funkce systému selže (selžou) a tank přeteče. Jak často tato událost nastane - t.j. tank přeteče, je dáno součinem počtu her (požadavků na řešení havarijní situace) a poměru červených žlábků k černým. Hráč tedy může ovládat pravděpodobnost úspěchu pomocí počtu žlábků (SIL) a snižováním počtu havarijních situací.

Obr. 63 Metodika určení úrovně SIL Úvod do oblasti řídicích počítačů – Část 2

87


Kolik žlábků je požadováno a jaké činnosti musí být provedeny, abychom zabránili havarijním situacím je založeno na riziku a tolerované frekvenci poruch. Míru rizika lze vyjádřit sázkou na červené číslo. V sázce se projeví počet zraněných nebo usmrcených osob, škody na životním prostředí ... Pokud je sázka malá, t.j. hladina v tanku dosáhne nejvyšší úrovně maximálně desetkrát za rok s následkem, že přebytečné médium odteče do kanálu, pak je deset žlábků s frekvencí poruchy jednou za rok přijatelných. Pokud je sázka velká, tj. havárie způsobí výbuch a značná poškození jednou za deset let, pak je nutné počítat s nejméně tisíci žlábky, abychom dosáhli frekvenci poruch jednou za deset tisíc let. Vztah mezi pravděpodobností poruchy a SIL úrovní je uveden v následující tabulce:

Obr. 64 Vztah mezi pravděpodobností poruchy a SIL úrovní Princip řešení moderních vysoce spolehlivých PLC ukažme na schématu systému PLC Guard. Řídicí systém Guard PLC patří do kategorie Safety PLC. Architektura je založena na redundantních procesorech, redundantních flash a RAM pamětích a jejich chod je stále kontrolován dohlížecím systémem (watchdog). Synchronizace chodu redundantních systémů je prováděna synchronizačním obvodem. Principiální blokové schéma systému Guard PLC je uvedeno na Obr. 65.


88


Microprocessor

Flash

RAM

Ports

I/O Module

Address Data Control WATCHDOG/ COMPARE

SYNC Address Data Control Microprocessor

Flash

RAM

Obr. 65 Principiální blokové schéma systému Guard PLC Pro permanentní kontrolu funkčnosti vstupních jednotek je systém vybaven vnitřní výstupní testovací jednotkou, která je připojena ke všem vstupům systému a generuje fyzické testovací velmi krátké signály v průběhu normálního běhu aplikačního programu, jak je patrné z Obr. 66.

Microprocessor 1 Address Data Control

DATA BUFFERS

WATCHDOG/ COMPARE Address Data Control

I/O BUS

SYNC

INPUT 1 Test INPUT 2 Test INPUT N Test TEST CONTROL CIRCUIT

Microprocessor 2

Obr. 66 Princip testování vstupů Testování digitální výstupů systému Guard PLC je ukázáno na Obr. 67. Výstupy z obou procesorů jsou testovány zvlášť a spolu s výstupem obvodu Watchdog/Compare tvoří logický Úvod do oblasti řídicích počítačů – Část 2

89


součin tří podmínek, které musejí být splněny, aby výstup byl obsloužen. V opačném případě operační systém zabrání další funkci systému.

WATCHDOG/ COMPARE

DC

Microprocessor 1

Microprocessor 2

Monitor Monitor Monitor

Obr. 67 Testování výstupů

8.1.4 Vztah mezi DIN 19250 a IEC 61508 Výrobci často uvádějí bezpečnostní třídy svých výrobků dle jedné nebo druhé normy.

Vztah mezi jednotlivými úrovněmi ukazuje Obr. 68. Nutno poznamenat, že směry šipek jsou důležité a nelze např. ze SIL3 přejít na třídu 5 v německém standardu.

Obr. 68 Vztah mezi DIN 19250 a IEC 61508 Úvod do oblasti řídicích počítačů – Část 2

90


Obr. 69 Vztah mezi IEC 951-1, DIN 19250 a IEC 61508 Následující tabulka uvádí stanovení postupů při vytváření bezpečného systému dle SIL.


91


Obr. 70 Stanovení postupů při vytváření bezpečného systému dle SIL


92


9. ZABEZPČENÍ KOMUNIKACE PROTI CHYBÁM Chyby, které obecně mohou v komunikačním systému napsat popisuje model vytvořený Johnem Rushbym. Tento model vychází z oblasti leteckého průmyslu, avšak je aplikovatelný jak na funkční bezpečnost průmyslových komunikačních technologií, tak na oblast zabezpečení proti úmyslnému napadení komunikačního systému. V rámci tohoto modelu jsou definovány tři kategorie chyb: 1. Chyba přenesené hodnoty (Value fault) – k této chybě dojde, je-li vypočtena, přenesena nebo přijata nesprávná hodnot dat. 2. Chyba v časování (Timing fault) – k této chybě dojde, pokud jsou data vypočtena, přenesena nebo přijata v nesprávném čase, což může být jak příliš pozdě, tak naopak příliš brzy. 3. Prostorová chyba (Spatial proximity fault) – k této chybě dojde, pokud je hmota v nějakém objemu zničena nebo odstraněna (například v případě výbuchu nebo krádeže zařízení). Výše uvedené chyby mohou být způsobeny buď náhodnou událostí (porucha nebo chyba při návrhu či výrobě), ale také mohou být systému vnuceny úmyslnou aktivitou nějaké osoby. První případ (náhodná chyba) je řešen v rámci funkční bezpečnosti zařízení (functional safety), druhý případ musí být řešen zabezpečením proti úmyslnému útoku (security). Zatímco náhodné chyby jsou klasifikovatelné z hlediska pravděpodobnosti jejich výskytu, úmyslné aktivity jsou obtížně předpověditelné, neboť kreativní přístup útočníka může vytvářet situace, které jsou vysoce nepravděpodobné a se kterými nebylo při návrhu systému počítáno.


93


9.1 Funkční bezpečnost průmyslových sběrnic Téměř všechny významnější průmyslové sběrnice vyvinuly safety varianty – varianty funkční bezpečnosti komunikačního kanálu. Je to v prvé řadě speciální bezpečná sběrnice SafetyBus, dále pak ProfiSafe (bezpečné profily k protokolu Profibus a Profinet), Interbus – safety (safety varianta ke sběrnici Interbus S), CAN safety, AS-i at work a další. Princip bezpečné komunikace vychází především ze standardu IEC 61508 a lze ho interpretovat v následujících bodech: 1. Žádný systém nemůže být absolutně spolehlivý, tedy nelze vyloučit jeho možné selhání ani n – násobnou redundancí. 2. To, že systém patří do určité třídy bezpečnosti SIL, znamená, že se spokojujeme se zmenšením rizika na určitou mez danou pro odpovídající třídu SIL odpovídající pravděpodobnosti bezporuchové funkce bezpečnostního systému. 3. Funkční bezpečnost musí být zaručena i v případě selhání bezpečnostních funkcí řídicího (nebo komunikačního) systému. Jakým způsobem to bude zaručeno, není předmětem normy. 4. Bezpečnostní systémy, odpovídající určité SIL, musejí být konstruovány dle daných pravidel (na HW i SW) tak, aby zaručovaly požadovanou spolehlivost, odpovídající dané třídě SIL. 5. Funkční bezpečnost se vztahuje na celý řetězec dle Obr. 71

35%

15%

50%

Řídicí systémy

Akční členy

P T

F

Snímače

Obr. 71 Bezpečnostní řetězec Celková pravděpodobnost chyby v PES (Programmable Electronic System) je sumou pravděpodobností chybné funkce jednotlivých komponent v celém systéme PES.


94


Jak je patrné z Obr. 71, největší pravděpodobnost poruchy v celém řetězci vykazují vstupy a výstupy řídicích programovatelných systémů a jen celkem 15 procent chyb vzniká ve vlastním řídicím a komunikačním systému. Ethernet jako dost robustní komunikační systém by na pravděpodobnost bezporuchového stavu (PFD – average probability of failure on demand, tj. pro případ, že bezpečnostní systém působí jen velmi zřídka – on demand), která je 10–8 až 10–7 pro třídu SIL 3 měl stačit již ve svém standardním provedení. Přesto je třeba se mechanismy bezpečné komunikace v průmyslové síti a tím pádem i v síti Ethernet zabývat.

9.2 Principy bezpečné komunikace - „Black Channel“ Předpoklad č.3 uvedený v IEC 61508 je řešen dle tzv. principu černého komunikačního kanálu (Black Channel). Tento princip vychází ze zcela praktického a ekonomického požadavku, neměnit nic na HW a SW standardní komunikační technologie (např. CAN, Profibus nebo Ethernet, Power Link, Profinet), které jsou již z principu vysoké provozní funkčnosti dobře nebo velmi dobře zabezpečeny proti poruše. Potřebné a požadované bezpečnostní třídy SIL těchto komunikačních systémů nechť je tedy dosaženo ne tím, že by se snižovala pravděpodobnost poruchy komunikace na dolních vrstvách protokolu, nýbrž vřazením bezpečné vrstvy nad nebo do 7. vrstvy komunikačního modelu. V principu protokol 7. vrstvy (s vnořenou bezpečnostní vrstvou) by měl eliminovat všechny možné chyby přenosu, které mohou být způsobeny náhodným elektromagnetickým rušením, které působí na přenosový kanál, poruchami a chybami komunikačního hardware, systematickými chybami některých komponentů standardního funkčního HW a SW. Na příkladu systému Profisafe (Profibus Safety) se podívejme, jak lze realizovat bezpečnou komunikaci na principu „black chanel“. Na Obr. 72 je vlastní komunikační kanál (Profibus, Profinet) posuzován jako černý kanál, který může nebo nemusí fungovat spolehlivě.


95


Bezpečná aplikace

PROFIsafe

"Black Channel" - PROFINET IO

Standardní aplikace

Bezpečnostní vrstva PROFINET

Bezpečná aplikace

Standardní aplikace

Bezpečnostní vrstva PROFINET

Obr. 72 Princip „black chanel“ Funkce bezpečné vrstvy (safety layer) spočívá v detekování poruch a provádění opatření pro eliminaci vlivu poruchy v komunikačním kanálu v součinnosti s bezpečnostními prvky komunikujících entit (např. zajistit bezpečný stav zařízení). Obrázek dále ukazuje, že standardní funkční komunikace a komunikace související s bezpečností (safety relevant) běží současně na jednom komunikačním kanálu, přičemž data související s bezpečností jsou použita pro bezpečnostní aplikace a data nesouvisející s bezpečností (standardní funkční data) se používají pro standardní funkční aplikace. Na dalším Obr. 73 je princip z Obr. 72 blíže specifikován pro celý bezpečnostní řetězec z Obr. 71. Je z něj patrný i současný provoz funkční a safety komunikace na jednom komunikačním kanálu (např. Profinetu) i to, že safety a non-safety komunikace je navzájem nezávislá. Jednoduchý komunikační kanál by měl být postačující pro splnění bezpečné komunikace a jeho případné zdvojení nesouvisí s bezpečností, ale s pohotovostí (zvýšenou funkčností).


96


Bezpečný vstup

Bezpečná funkce

Bezpečnostní vrstva


Bezpečný výstup Standardn zařízení


Vrstva 7

Vrstva 7

Vrstva 7

Vrstva 7

Vrstva 2

Vrstva 2

Vrstva 2

Vrstva 2

Vrstva 1

Vrstva 1

Vrstva 1

Vrstva 1

Obr. 73 Současná funkční a „safety“ komunikace v síti Profibus V následujícím přehledu jsou uvedeny možné poruchy a chyby komunikace specifikované v Části 7. normy IEC 61508: •

Opakování – opakovaný příjem stejných dat

•

Ztráta – nedoručení dat

•

Vkládání – příjem dat od jiného odesílatele, než by mělo být

•

Špatné pořadí – data jsou přijata v jiném pořadí, než byla odeslána

•

Nekonzistence – data jsou poškozená

•

Zpoždění – větší než přípustný interval mezi odesláním a příjmem dat

•

Propojení safe a non-safe – nepřípustná komunikace mezi bezpečným (safe) a

obyčejným (non-safe) odesílatelem/příjemcem •

Přetečení paměti směrovače – paměť směrovače je zaplněna

a odpovídající „safety“ mechanismy, které se mohou implementovat do vnořené safety vrstvy komunikačního protokolu, za účelem eliminace těchto chyb:


97


•

Sekvenční číslování dat – odesílatel disponuje čítačem, jehož hodnota se pro

každá odeslaná data zvýší o jedničku. Ke každým odeslaným datům je připojena hodnota čítače. •

Časová značka dat – odesílatel opatřuje každá odeslaná data hodnotou času

odeslání. •

Potvrzení příjmu dat – příjemce dává odesílateli na vědomí úspěšné přijetí dat.

•

Identifikace odesílatele a příjemce – data obsahují identifikaci odesílatele a příjemce.

•

Zálohování dat – zálohování odesílaných dat na straně odesílatele.

•

Redundance dat – redundance odesílaných dat (vícenásobné odeslání dat,

kódování dat). •

Kontrola validity dat – přidání kontrolních dat (např. pomocí CRC)

V následující tabulce je uvedeno, jak jednotlivé safety mechanismy působí na jednotlivé chyby komunikace:

Metody eliminace chyb Možné chyby Sekvenční Časová Potvrzení Identifikace Zálohování Redundance dat Kontrola validity dat při komunikaci číslování značka dat příjmu dat příjemce a dat dat dat odesílatele Opakování Ztráta Vkládání Špatné pořadí Nekonzistence Zpoždění

x x x x

x x x

x

x x

x

x

x

Propojení safe a non-safe Přetečení paměti směrovače

x x x x

x

x

x

x

Obr. 74 Možné chyby dat při komunikaci a metody k jejich eliminaci Minimálním požadavkem pro bezpečný komunikační protokol je to, aby dokázal eliminovat všechny zmíněné chyby. Protože každá síť má svá specifika a speciální chybové Úvod do oblasti řídicích počítačů – Část 2

98


módy, je při tvorbě bezpečného protokolu důležité mít důkladné znalosti o použitém typu a technologii sítě. Nejběžnější případ vnoření „safety“ dat do komunikačního protokolu je ukázán na Obr. 75 na příkladu protokolu PROFIsafe. Podobně jako standardní data jsou doplněna doplňujícími bajty paketu, bezpečná data jsou doplněna bajty použitých bezpečnostních mechanismů z tabulky na Obr. 74 a vnořena do datového toku mezi standardní rámce.

Standardní data

Standardní data

Bezpečná data

Standardní data

Stav

Sekv. číslo

Standardní data

Standardní data

CRC 2

Stavový Dle nebo čítače řídicí zdroje bajt Max. 12 nebo 122 B

1B

3B

3/4 B

Obr. 75 Pakety PROFIsafe jednoduše vnořené do datového toku standardních informačních rámců


99


9.3 Příklad programovatelného souvisejícího s bezpečností

elektronického

systému

(PES)

Na následujícím obrázku Obr. 76 je vyobrazená obecná struktura PES s vlastnostmi bezpečného řídícího a komunikačního systému.

FB1

FB1

FB1

Komunikační procesor

Připojení (přepínač)

Dvou-portová RAM Safety data Vstupy

Redundantní řídicí jednotka

Výstupy

Obr. 76 Architektura bezpečného PES Redundantní (zdvojený) procesorový systém generuje data se vztahem k bezpečnosti systému (safety related data). Tato data jsou přenášena do jiné PES, která rovněž podporuje bezpečnou komunikaci, prostřednictvím dvou-portové paměti RAM a komunikačního procesoru. Pokud komunikační procesory komunikujících entit nejsou schopny do stanoveného času přenést data, uplatní se princip černého komunikačního kanálu a procesor PES uvede řízený proces např. do bezpečného stavu. Je zřejmé, že takový mechanismus jednak snižuje rychlost komunikace, jednak sice vede ke zvýšení bezpečnosti systému, avšak zmenšuje pohotovost (avaliability) toho systému.

9.4 Řešení bezpečné komunikace v síti Ethernet Třebaže Ethernet má vynikající vlastnosti, není schopen vyhovět (ve stávající podobě jako síť typu LAN) všem požadavkům na bezpečnou komunikaci. Bezpečné aplikace obecně Úvod do oblasti řídicích počítačů – Část 2

100


vyžadují bezpečnou práci s daty, to např. znamená, že i komunikační parametry musejí být nastavovány bezpečným způsobem. V tom případě by se ale IP adresa musela nastavovat jiným protokolem, než protokolem DHCP, který je k tomu účelu v sítích LAN používán. DHCP však není bezpečný protokol ve smyslu IEC 61508. Rovněž server, poskytující IP adresy není bezpečným serverem (safety relevant). V tom momentě výhoda protokolu TCP ztrácí na významu, neboť řídicí mechanismus spojovací služby (connection oriented) není rovněž safety related. Má li být Ethernet schopen realizovat bezpečnou komunikaci, musí být bezpečnostní mechanismy použity v 7. vrstvě. Z uvedeného je jistě zřejmé, že tato nedostatečná bezpečnost komunikace nepadá na vrub vlastní technologii Ethernet (1.a 2. vrstva ISO OSI modelu), ale až nadstavbě – konkrétně protokolu DHCP. Praktická měření na Ethernetu potvrzují vysokou míru robustnosti (odolnosti vůči vnitřním i vnějším poruchám včetně EMC) i v průmyslovém prostředí. Navíc díky velké šířce přenášeného frekvenčního pásma je reálný předpoklad přenášet v jedné síti Ethernet jak funkční, tak bezpečná data (safety relevant). To značně zjednoduší instalaci sítě a její uvádění do chodu a cenu instalace. V případě fieldbusů je mnohdy nutné vést standardní funkční data po jedné sítí a bezpečná (safety relevant) data ve zvláštní síti (safety fieldbus) nebo zvláštními dvoubodovými bezpečnými spoji od havarijních tlačítek a k bezpečným akčním členům. Téměř všechny významnější průmyslové sítě (fieldbus) mají safety variantu (AS-i Safety at Work, Interbus Safety, CAN safety, PROFISafe, SafetyBus, a další). Všechny mechanismy pro bezpečnou komunikaci, uvedené v přehledu a tabulce (Obr. 74) nejsou použity u každé z výše uvedených průmyslových sběrnic. Zejména mechanismy, které vyžadují delší čas pro safety provoz nejsou použity u technologií, které podporují provoz v reálném čase s tvrdými požadavky (hard real-time) na dobu odezvy (deadline) a synchronizaci (jiter) jako jsou např. EtherCat, Ethernet Power Link, Profičet, Sercos II. Tak např. Ethernet PowerLink nepoužívá z výše uvedených mechanismů (Obr. 74) potvrzování příjmu, redundanci dat. Podobně Profinet IO nepoužívá časové razítko a nahrazuje ho mechanismem watch dog a nepoužívá potvrzování příjmu.


101


10. ZABEZPEČENÍ PROTI NÁHODNÝM CHYBÁM FUNKČNÍ BEZPEČNOST S AS-INTERFACE Na konkrétním příkladu rozšíření standardu AS-Interface bude v této kapitole ilustrováno, jakým způsobem lze v aplikacích se zvýšenými nároky na funkční bezpečnost dosáhnout

garantované

funkční

bezpečnosti

při

použití

v podstatě

standardních

komunikačních prvků a technologií.

10.1 Black channel princip Základním společným principem využívaným v celé řadě průmyslových komunikačních standardů je tak zvaný „black channel“ přístup. Jedná se o princip, kdy je funkční bezpečnost vystavěna nad standardním komunikačním kanálem, tedy pro zajištění funkční bezpečnosti je komunikační kanál využíván ve své nezměněné podobě a funkční bezpečnost je implantována nad daným komunikačním standardem, aniž by bylo nutné nějak koncepčně zasahovat do existujícího standardu, který přitom nebyl navržen s ohledem na budoucí požadavky funkční bezpečnosti. Název „black channel“ byl patrně odvozen od pojmu „black box“ (černá skříňka), neboť na daný komunikační kanál se díváme jako na černous skříňku, která nám poskutuje komunikační služby, ale předpokládáme, že o interních funkcích, funkčních parametrech a spolehlivostních garancích nemáme žádné informace, a tedy na ně při návrhu aplikace s požadavky na funkční bezpečnost nijak nespoléháme. Tento princip byl aplikován i při rozšíření technologie AS-Interface o komponenty umožňující dosáhnout garantované funkční bezpečnosti – rozšíření zvané AS-i Safety at Work využívá standardní protokol, standardní kabely, zdroje i standardní AS-i Master zařízení a umožňuje na síti kombinovat standardní slave zařízení se zařízeními garantujícími funkční bezpečnost.


102


10.2 Technologie AS-Interface Safety at Work Pro dosažení garantované funkční bezpečnosti nad sběrnicí AS-Interface bylo nutné stávající technologii AS-Interface doplnit o dvě kategorie zařízení, která fakticky garantují funkční bezpečnost a která jako jediná musí být individuálně certifikována s ohledem na svou spolehlivost a funkční bezpečnost. 10.2.1 Bezpečný slave (Safety slave) Bezpečný slave je z hlediska AS-i mastera slave jako každý jiný – má přiděleny vlastní

adresu a na základě žádosti o data posílá v odpovědi informace o stavu svých logických vstupů. V současné době je bezpečný slave zařízení obsahující pouze vstupy, tj. v tuto chvíli neexistuje safety slave, který by fungoval jako akční člen. Když bezpečný slave odesílá v odpovědi masteru stav svých 4 logických vstupů, přičemž však takovýto slave obsahuje pouze dva fyzické vstupy. Údaje o stavu čtyř logických vstupů, které odesílá ve své odpovědi masterovi sít jsou generovány na základě stavu dvou fyzických vstupů v kombinaci s unikátní čtyřbitovou sekvencí. Každý bezpečný slave má naprogramovánu unikátní sekvenci 8 x 4 bity, přičemž za běžného provozu jsou postupně v osmi cyklech přeneseny všechny čtyřbitové fragmenty této sekvence. Korektním přenosem sekvence je garantováno, že: •

na danou výzvu skutečně odpovídá daný bezpečný slave a ne nějaké jiné (např. vadné) zařízení (sekvence je pro každý vyrobený kus unikátní, existuje cca 400 000 možných kombinací)

•

nedošlo k zacyklení nebo poruše interního programu bezpečného slave zařízení;

•

Oba fyzické vstupy bezpečného slave zařízení jsou sepnuty (skrz kontakty protéká proud) a tedy vstupy neindikují dosažení nebezpečného stavu. V případě, že dojde k rozpojení jednoho nebo obou vstupů, dojde k porušení vysílané

kódové sekvence

- namísto měnící se sekvence jsou příslušné datové bity vynulovány.

S každým fyzickým vstupem jsou spojeny právě dva bity, proto je možné z přenášených dat rozeznat který ze vstupů bezpečného slave zařízení byl rozpojen.


103


10.2.2 Bezpečnostní monitor (Safety monitor) Pro zajištění akčního zásahu (uvedení systému do bezpečného stavu) při detekování

porušení pravidel definujících bezpečný stav je v systému nutný certifikovaný akční člen. Roli tohoto akčního členu zastává v technologii Safety at Work zařízení označované jako „Bezpečnostní monitor“. Bezpečnostní monitor je zařízené, které „poslouchá“ komunikaci mezi masterem sítě a všemi slave zařízeními. Při konfiguraci bezpečnostního monitoru je určeno, které bezpečnostní slavy má daný bezpečnostní monitor hlídat. U zadaných bezpečných slave zařízení se po zapnutí sítě bezpečnostní monitor nejprve „naučí“ příslušné kódové sekvence a za provozu sítě pak sleduje, zda nedošlo k porušení vysílané sekvence. Pokud bezpečnostní monitor detekuje buď porušení sekvence nebo přerušení vysílání od některého ze sledovaných bezpečných slave zařízení, tak uvede své výstupy do bezpečného stavu, tj. zajistí přechod řízeného systému do bezpečného stavu.

Obr. 77 Princip zajištění funkční bezpečnosti díky přenosu kódové sekvence

10.2.3 Výhody technologie Safety at Work Z technického hlediska je za provozu sítě bezpečný slave pouze „komoprátor“, který

porovnává naučenou a příjmanou sekvenci a v případě neshody provede poměrně jednoduchou akci. Komplexnost takovéhoto zařízení je, ve srovnání s komplexností běžného Úvod do oblasti řídicích počítačů – Část 2

104


PLC, poměrně nízká. Je tedy zřejmé, že náklady na konstrukci a následnou certifikaci safety monitoru jsou řádově nižší, než náklady na konstrukci a certifikaci bezpečného PLC. Další výhodou této technologie je skutečnost, že v aplikaci lze používat běžné AS-i zdroje, kabely, master zařízení i běžné slave zařízení a výrazně dražší „bezpečná zařízení“ lze využívat pouze tam, kde je vazba na bezpečnost, neboť standardní a bezpečné prvky lze v jedné síti kombinovat. Technologie Safety at Work garantuje, že odezva na událost vyžadující přechod do bezpečného stavu nepotrvá déle, než 40 ms. Těchto 40 ms je vypočteno následovně: •

5 ms – dokončení předchozího cyklu sítě

•

5 ms – doba cyklu ve které je detekován požadavek na zásah bezpečnostního monitoru

•

5 ms – opakování cyklu sítě, aby bylo potvrzeno, že je zásah bezpečnostního monitoru skutečně žádán (předchází se tak zbytečným zásahům z důvodu např. emg. rušení)

•

5 ms – odezva bezpečnostního monitoru

•

20 ms – doba sepnutí výstupních relé na bezpečnostním monitoru

Před nezávislými certifikačními orgány bylo prokázáno, že s využitím technologie Safety at Work lze dosáhnout následujících kategorií funkční bezpečnosti: •

Kategorie 4 podle EN 954-1

•

Úrovně SIL 3 podle IEC 61508


105


11. ZABEZPEČENÍ PROTI ÚMYSLNÝM „CHYBÁM“ 11.1 Základní mechanismy útoku proti komunikačnímu systému V odborné literatuře bylo klasifikováno více než 100 možných principů útoku na komunikační systém, avšak všechny tyto mechanismy jsou ve skutečnosti více nebo méně důmyslnými kombinacemi následujících základních způsobů útoku: 1. Zachycení zprávy – jedná se o pasivní odposlech, jehož cílem je neoprávněně získat informace, nebo nasbírat data pro další útok. 2. Modifikace dat – jedná se o aktivní útok, kdy útočník zprávu zachytí, modifikuje její obsah a tuto modifikovanou zprávu odešle namísto zprávy původní. 3. Přerušení komunikace – jedná se o aktivní útok, který způsobí že dojde k přerušení komunikace nebo nedostupnosti služeb poskytovaných vzdáleným zařízením. Tento útok může být způsoben jak prostým fyzickým přerušením komunikačního média, tak i zahlcením komunikační linky nebo komunikujícího zařízení pomocí uměle generovaných zpráv. 4. Vytvoření neexistující zprávy – jedná se opět o aktivní činnost, kdy útočník generuje zprávy s cílem zahltit zařízení, podvrhnout svou vlastní identitu, zneužít cizí identitu, nebo v nevhodný okamžik znovu odeslat dříve zachycenou zprávu.

11.2 Základní cíle zabezpečení Oblast zabezpečení si klade za cíl ochránit majetek firmy nebo osoby před útočníkem, tedy zejména zabránit následujícím hrozbám: •

Ztráta důvěrných informací – například ztráta tajných informací o technologii,

výrobních nebo procesních postupech nebo ztráta osobních dat. •

Neoprávněný zásah do systému – neoprávněná modifikace informací, řídicích

algoritmů a podobně.


106


•

Ztráta dostupnosti poskytovaných služeb – vyvolání selhání systému z důvodu

nedostupnosti některých služeb poskytovaných systémem. Všechna bezpečnostních opatření musí garantovat dosažení následujících tří cílů: •

Utajení dat – pouze autorizované osoby nebo zařízení mohou mít přístup

k chráněným datům •

Zajištění integrity dat – je garantováno, že data nebudou neoprávněně modifikována

a pokud k nežádoucí modifikaci dojde, tato bude zjištěna dříve, než budou data použita. •

Zajištění dostupnosti služeb – je garantováno, že poskytované služby budou všem

oprávněným uživatelům dostupné v dostatečné kvantitě a při dodržení správných časových parametrů. Při; zajišťování bezpečnosti bývají požadovány ještě další vlastnosti ochranného systému, mezi nejvýznamnější další cíle patří zejména zajištění následujících požadavků: •

Autorizace – musí být možné rozhodnout, zda daná osoba, zařízení nebo objekt má

právo využívat služeb, přistupovat k datům apod. •

Autentifikace – musí být dostupný mechanismus, kterým bude možné ověřit zda

osoba, zařízení, program nebo objekt je skutečně tím, za koho se vydává •

Neodmítnutelnost – Příjemce zprávy musí mít možnost nezvratně prokázat, že

odesílatel zprávu skutečně odeslal, tj. odesílatel nebude mít možnost popřít, že zpráva skutečně pochází od něj. •

Prokazatelnost přístupu – bude možné vyhledat veškeré aktivity daného uživatele

nebo zařízení •

Ochrana třetích stran – nedojde k poškození třetích stran, například zařízení nebude

zneužitelné k útoku na další organizaci nebo zařízení.


107


11.3 Stavební prvky zabezpečení Při zabezpečování systému je nutné stanovit bezpečnostní politiku, která posoudí rizika, tj. posoudí jednotlivé možné hrozby, pravděpodobnost jejich výskytu, prostředky

(čas,

vybavení a znalosti) nutné k provedení daného útoku atd. Na základě posouzení rizik je poté možné stanovit bezpečnostní politiku, která zahrnuje zejména: •

Fyzické zabezpečení (zabezpečení proti neoprávněnému vniknutí osob);

•

Organizační opatření;

•

Personální politiku;

•

Zabezpečení na úrovni hardwaru a softwaru;

•

Zabezpečení komunikačních kanálů;

•

Preventivní opatření;

•

Nouzové plány a opatření pro případ narušení.

Pro zabezpečení komunikace se využívají technologie na bázi kryptografie, přičemž za elementární stavební prvky lze prohlásit následující: 1. Autentifikace a autorizace a. Přidělení oprávnění na základě příslušnosti do skupin uživatelů b. Ověření totožnosti (hesla, tokeny, čipové karty, biometrické prostředky…) 2. Kryptografické techniky a. Symetrické šifrování b. Asymentické šifrování s veřejným a soukromým klíčem c. Hash funkce d. Digitální podpisy e. Generování kryptograficky kvalitních náhodných čísel 3. Digitální certifikáty K zabezpečení komunikace lze přistoupit ze dvou různých principiálně odlišných filozofií. V prvním případě, který je označovaný jako „hard perimeter“, zabezpečovací architektura v podstatě představuje zeď, která je kolem celého systému. V případě průmyslových aplikací je tato „zed“ složena především ze skutečných fyzických opatření, Úvod do oblasti řídicích počítačů – Část 2

108


které neautorizované sobě brání ke vstupu do areálu nebo na chráněné pracoviště. Problémem je, že po překonání této bezpečnostní zdi již systém nění nijak dále chráněn. Tedy například zaměstnanec, který se rozhodne poškodit systém, a který se dokáže fyzicky připojit k chráněnému systému, může systém poškodit, aniž by mu v cestě stály další překážky. Stejně tak došlo-li k narušení bezpečnosti nějakého zařízení, které je uvnitř chráněné zóny, může případný útočník toto zařízení využít pro napadení celého systému a systém není již dále nijak chráněn. V poslední době se i u průmyslových komunikačních systémů prosazuje trend označovaný jako „Defense-in-depth“, tedy obrana do hloubky. Tato filozofie vychází z předpokladu, že připadný útočník by měl narážet na ochranné prvky pokud možno co nejčastěji. To znamená, že by neměla existovat pouze jedna ochranná zeď, ale totožnost a oprávnění útočníka by mělo být ověřováno pokud možno při každé jeho aktivitě. Tato filosofie navíc umožňuje využít skutečnosti, že na různých úrovních systému mohou být bezpečnostní opatření různá a různě intenzivní a mohou být založena na heterogenních systémech, které tedy z principu nemají (nebo by alespoň mít neměly) žádnou společnou slabinu. Pro sítě na bázi IP protokolu mezi takovéto ochranné prvky patří například: a. Paketové filtry, které mohou sledovat zdrojové a cílové adresy, zdrojový a cílový port u TCP a UDP spojení, typu paketů a podobně b. Aplikační gatewaye, které mohou analyzovat i korektnost zpráv na úrovni protokolů aplikační vrsvy c. Spravovatelné přepínače a routery, které mohou zamezit zahlcení chráněného segmentu sítě, mohou poskytnout komunikaci probíhající v reálném čase vyšší prioritu a zabránit tak zhroucení řídicího systému v případě zahlcení sítě požadavky; také mohou omezit přístup do/z chráněných sítí pouze na určité podsítě nebo adresy. Systém obrany do hloubky ve spolupráci s detekčními mechanismy a správně navrženou bezpečnostní politikou může zajistit poměrně spolehlivé a bezpečné fungování systému, ikdyž


109


dojde k prvotnímu narušení bezpečnosti, neboť útočník na cestě k útoku na chráněný systém musí překonat několik ochranných vrstev. V minulosti průmyslové komunikační systémy spoléhaly na ochranu typu „hardperimeter“ a také na skutečnost, že komunikační systémy používané v praxi jsou natolik odlišné od běžně dostupných komunikačních technologií, že reálný útok přímo na komunikační

kanál

nehrozí.

S průnikem

průmyslového

Ethernetu

a

bezdrátových

komunikačních technologií do průmyslové praxe však nutnost důsledně zabezpečit komunikaci řídicích systémů narůstá. Velikým problémem však je skutečnost, že ačkoliv forma a provedení útoku v oblasti kancelářských informačních technologií je aplikovatelná i na moderní průmyslový komunikační kanál, tak v průmyslové praxi nelze flexibilně přijímat opatření tak jako je tomu na úrovni běžného IT vybavení, což dokumentuje níže uvedená tabulka, která porovnává požadavky běžných informačních technologií a požadavky průmyslové praxe. Kancelářské IT

Průmyslová automatizace

Redundantní komunikační Redundantní strom, zotavení struktura v řádu minut Chování při přetížení sítě „Best effort“, tj. nedeterministické chování

Zotavení v jednotkách až stovkách milisekund Deterministické chování, prioritizace zpráv, regulace množství generovaných zpráv. Reálný čas Definován ergonomickými Mikrosekundy až sekundy nároky lidských uživatelů, tj. od 300 ms do řádově minut. Typická životnost zařízení 3 až 5 let Často více než 10 let Výpočetní výkon zařízení Nevyhovující je vyměněno Výkon je omezen, za modernější modernější mnohdy není zpětně kompatibilní, výměna je neekonomická. Záplaty softwaru a Restart zařízení je Instalace záplaty SW nesmí aktualizace firmwaru akceptovatelný, bezpečnost ovlivnit funkčnost zařízení má přednost před funkčností ani neplánovaně přerušit činnost zařízení. Komunikační spoje Dynamické a Předvídatelné, dobře nepředvídatelné definovatelné a plánované.


110


Z výše uvedené tabulky je zřejmé, že zatímco v oblasti běžných informačních technologií není problém reagovat na objevení libovolné mezery v zabezpečení poměrně flexibilně, tak v průmyslové praxi je takováto flexibilní reakce mnohdy obtížná až nemožná. Proto je při návrhu komunikační architektury pro průmyslové aplikace extrémně důležité myslet na bezpečnost již v okamžiku samotného základního návrhu komunikační architektury. Bezpečnost nelze nainstalovat, bezpečnost musí být nedílná součást celého systému.


111


12. LITERATURA [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11]

Rushby J: Bus Architectures for Safety-Critical Embedded systéme, Lecture Notes in Computer Science, Volume 2211, 2001 IAONA Handbook Network Security v. 1.3EN, First edition, 2005 Zezulka F.: Prostředky průmyslové automatizace. VUTIUM, Brno, 2004, Zezulka, F., Hynčica O.: Průmyslový Ethernet I., Automa 1/2007 Zezulka, F., Hynčica O.: Průmyslový Ethernet II., Automa 3/2007 Zezulka, F., Hynčica O.: Průmyslový Ethernet IV., Automa 6/7/2007 v tisku Lueder A., Lorentz K.: IAONA Handbook – Industrial Ethernet, 2nd edition, April 2005 Norma IEC 61508, česká verse 2002 Uher, J.: Úvod do funkční bezpečnosti I: norma ČSN EN 61508, Automa 8-9, 2004 Lueder A., Lorentz K.: IAONA. Security of Industrial Ethernet. First edition, April 2005 Siemens: S7-300 and M7-300, Programmable Controllers, Module specifications, Nürnberg 1996


112

8. FUNKČNÍ BEZPEČNOST

Recommend Documents