8. FUNKČNÍ BEZPEČNOST - Vysoké učení technické v Brnězezulka/download/LAUP/bezp.pdf · vysokÉ uČenÍ technickÉ v brnĚ fakulta elektrotechniky a komunikaČnÍch technologiÍ

VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ FAKULTA ELEKTROTECHNIKY A KOMUNIKAČNÍCH TECHNOLOGIÍ ÚSTAV AUTOMATIZACE A MĚŘICÍ TECHNIKY Kolejní 4, 612 00 Brno tel.: 541 141 302, fax: 541 141 123 E-mail: [email protected], http://www.feec.vutbr.cz

Úvod do oblasti řídicích počítačů – Část 2 83

8. FUNKČNÍ BEZPEČNOST Problematika bezpečnosti (safety) je jedním z nejžhavějších témat současného vývoje

automatizace ve vyspělých průmyslových zemích. V důsledku obtížného překladu pojmů

safety a security do některých jazyků (čeština, ale i němčina mají pro oba anglické pojmy

jeden překlad – bezpečnost) je v těchto pojmem i v technické veřejnosti mnoho nejasností.

Uveďme proto nejprve, co budeme pod pojmem bezpečná komunikace chápat. Uveďme

nejprve základní pojmy ze standardu IEC 61508 (dle českého překladu ČSN EN 61508).

Norma IEC 61508 je standardem funkční bezpečnosti elektrických, elektronických a

elektronických programovatelných systémů.

8.1 Definice pojmů z oblasti bezpečnosti dle normy ČSN EN 61508

Dle tohoto standardu lze rozlišit a posuzovat tři základní druhy bezpečnosti: primární ,

nepřímou a funkční bezpečnost.

• Bezpečnost – odstranění nepřijatelného rizika

• Primární bezpečnost – bezpečnost, která se zabývá riziky jako jsou např. úrazy el.

proudem, šoky, nebo popálení způsobená zařízením.

• Nepřímá bezpečnost – zahrnuje vedlejší důsledky nesprávné funkce zařízení, které

přímo neohrožují zdraví osob.

• Funkční bezpečnost – část celkové bezpečnosti týkající se řízeného procesu nebo

stroje EUC (Equipment under Control) a systému řízení EUC, která je závislá na

správném fungování E/E/EP systémů souvisejících s bezpečností, a/nebo na

systémech souvisejících s bezpečností a založených na jiných technických principech

a konečně na vnějších prostředcích pro snížení rizika

• Riziko – kombinace pravděpodobnosti výskytu poškození a závažnosti tohoto

poškození

• Přípustné riziko – riziko, které je přijatelné v daných souvislostech založených na

běžných hodnotách společnosti

• Zbytkové riziko – riziko zbývající po přijetí ochranných opatření



• Nebezpečí – potenciální zdroj poškození, újmy

• Chyba – ukončení schopnosti zařízení vykonávat požadovanou funkci.

• Bezpečná chyba – chyba, která není natolik závažná, aby narušila funkci systému

nebo způsobila nebezpečný stav systému.

• Nebezpečná chyba – chyba, která může uvést bezpečnostní systém do nebezpečného

stavu nebo stavu, kdy není schopen plnit svou funkci.

Velmi důležitými pojmy ve standardu IEC 61508 je integrita bezpečnosti a pojmy

související:

• Integrita bezpečnosti (safety integrity): pravděpodobnost systému souvisejícího s

bezpečností uspokojivě plnit požadované bezpečnostní funkce za všech stanovených

podmínek a po stanovenou dobu

• Integrita bezpečnosti software (software safety integrity): míra vyjadřující

pravděpodobnost softwaru plnit své funkce v E/E/EP souvisejícího s bezpečností plnit

své bezpečnostní funkce za všech stanovených podmínek a po stanovenou dobu

• Integrita bezpečnosti hardware (hardware safety integrity): část integrity

bezpečnosti systémů, souvisejících s bezpečností , týkající se náhodných poruch

hardware v nebezpečném režimu poruchy

• Úrovně integrity bezpečnosti (Safety integrity level SIL): diskrétní úroveň (jedna

ze čtyř úrovní, definovaných normou) pro stanovení požadavků integrity bezpečnosti

bezpečnostních funkcí přiřazených E/E/EP systémům souvisejícím s bezpečností, kde

úroveň integrity bezpečnosti 4 má nejvyšší úroveň integrity bezpečnosti a úroveň 1

nejnižší.

Východiskem pro pochopení standardu IEC 61508 je následující schéma souvislostí

norem bezpečnosti:



IEC61508

IEC61511 :Process Sector

IEC61511 :Process Sector

Medical SectorMedical SectorIEC61513 :Nuclear Sector

IEC61513 :Nuclear Sector

IEC62061 : Machinery Sector

IEC62061 : Machinery Sector

Obr. 61 Souvislost norem bezpečnosti dle IEC

8.1.1 Vysoce bezpečné a vysoce funkční PLC řízení – Standardy Standardizace, jakožto nikdy nekončící proces k dosažení jednotných postupů ve všech

odvětví lidské činnosti, významně zasáhla i do FT systému, které byly detailně diskutovány v

předcházejícím kurzu. Za nejdůležitější normativní dokumenty, týkající se vysoce funkčního a

vysoce nebezpečného řízení lze bezesporu považovat německý standard DIN V 19250/251 a

americký standard ANSI/ISA S84.01-1996 a jeho mezinárodní verzi IEC 61508. Cílem těchto

standardů bylo a je definovat bezpečnostní kategorie (z hlediska rizika ohrožení osob,

životního prostředí a okolí) a stanovit zavazující postupy k dosažení bezpečného fungování

systémů v definovaných kategoriích.

8.1.2 DIN V 19250 Německé norma DIN V 19250 popisuje postup při uvažování rizika při nasazení řídicího

systému. Standard definuje známý rizikový diagram jako kvalitativní vývoj rizikového

faktoru děleného na základě specifických situací. Tento přístup definuje osmi úrovňový

model požadavků na systémy automatického řízení včetně ochranných systémů s ohledem na

rozsah rizika, jak ukazuje Obr. 62. Z obrázku je patrné, že stejná riziková třída může být

klasifikována na základě různých kritérií. Těmito kritérii jsou rozsah poškození, pobyt v

kritické oblasti, možnost vyhnutí se ohrožení a pravděpodobnost vzniku poruchy.



Obr. 62 Rizikový model dle DIN 19250

Stupeň rizika je definován jako funkce:

R=S⋅f(A,G,W)

8.1.3 IEC 61508 Mezinárodní standardizační proces zaměřený na FT řídicí systémy je veden primárně

normou IEC 61508, která definuje kvantitativní požadavky na ochranné systémy. Tato norma

omezuje počet rizikových skupin na pouhé čtyři, jak je vidět z Obr. 63 - Metodika určení

úrovně SIL (Safety Integrity Level). Zde jsou definovány úrovně SIL1 až SIL4.

Jednoduché vysvětlení vztahu mezi frekvencemi poruch a SIL poskytuje kolo rulety. Jak

známo, ruleta se skládá z číslovaných žlábků, které se točí a do nichž je vhozena kulička.

Sázející odhadují, ve kterém žlábku kulička po zastavení kola zůstane a tento svůj odhad

kvantifikují sázkou na příslušné číslo. V případě SIL rulety, kulička představuje SIL# a šance,

nebo pravděpodobnost, že kulička zůstane na určitém čísle je definována mezinárodním



standardem. V případě rulety SIL1, předpokládejme, že kolo obsahuje deset žlábků (čísel),

což je minimum pro SIL1. Jedno číslo je obarveno červeně a zbývajících devět je obarveno na

černo. Kolo se roztočí a kulička je vhozena do hry v momentě, kdy se v systému objeví

nebezpečná událost, např. hladina v tanku dosáhne nejvyšší úrovně. Pakliže kulička skončí na

jednom z černých čísel, pak bude systém reagovat správně, t.j. záložní ventil se otevře a sníží

hladinu na bezpečnou úroveň. Pakliže kulička skončí na červeném čísle, pak bezpečnostní

funkce systému selže (selžou) a tank přeteče. Jak často tato událost nastane - t.j. tank přeteče,

je dáno součinem počtu her (požadavků na řešení havarijní situace) a poměru červených

žlábků k černým. Hráč tedy může ovládat pravděpodobnost úspěchu pomocí počtu žlábků

(SIL) a snižováním počtu havarijních situací.

Obr. 63 Metodika určení úrovně SIL



Kolik žlábků je požadováno a jaké činnosti musí být provedeny, abychom zabránili

havarijním situacím je založeno na riziku a tolerované frekvenci poruch. Míru rizika lze

vyjádřit sázkou na červené číslo. V sázce se projeví počet zraněných nebo usmrcených osob,

škody na životním prostředí ... Pokud je sázka malá, t.j. hladina v tanku dosáhne nejvyšší

úrovně maximálně desetkrát za rok s následkem, že přebytečné médium odteče do kanálu, pak

je deset žlábků s frekvencí poruchy jednou za rok přijatelných. Pokud je sázka velká, tj.

havárie způsobí výbuch a značná poškození jednou za deset let, pak je nutné počítat s

nejméně tisíci žlábky, abychom dosáhli frekvenci poruch jednou za deset tisíc let.

Vztah mezi pravděpodobností poruchy a SIL úrovní je uveden v následující tabulce:

Obr. 64 Vztah mezi pravděpodobností poruchy a SIL úrovní

Princip řešení moderních vysoce spolehlivých PLC ukažme na schématu systému PLC

Guard.

Řídicí systém Guard PLC patří do kategorie Safety PLC. Architektura je založena na

redundantních procesorech, redundantních flash a RAM pamětích a jejich chod je stále

kontrolován dohlížecím systémem (watchdog). Synchronizace chodu redundantních systémů

je prováděna synchronizačním obvodem. Principiální blokové schéma systému Guard PLC je

uvedeno na Obr. 65.



Microprocessor Flash RAM Ports I/O Module

Microprocessor Flash RAM

SYNC WATCHDOG/COMPARE

AddressDataControl

AddressDataControl

Obr. 65 Principiální blokové schéma systému Guard PLC

Pro permanentní kontrolu funkčnosti vstupních jednotek je systém vybaven vnitřní

výstupní testovací jednotkou, která je připojena ke všem vstupům systému a generuje fyzické

testovací velmi krátké signály v průběhu normálního běhu aplikačního programu, jak je patrné

z Obr. 66.

DATABUFFERS

Microprocessor1

Microprocessor2

SYNC WATCHDOG/COMPARE

AddressDataControl

AddressDataControl

I/O B

US

TEST CONTROLCIRCUIT

INPUT 1

INPUT 2

INPUT N

Test

Test

Test

Obr. 66 Princip testování vstupů

Testování digitální výstupů systému Guard PLC je ukázáno na Obr. 67. Výstupy z obou

procesorů jsou testovány zvlášť a spolu s výstupem obvodu Watchdog/Compare tvoří logický



součin tří podmínek, které musejí být splněny, aby výstup byl obsloužen. V opačném případě

operační systém zabrání další funkci systému.

WATCHDOG/COMPARE

Microprocessor1

DC

Microprocessor2

Monitor

MonitorMonitor

Obr. 67 Testování výstupů

8.1.4 Vztah mezi DIN 19250 a IEC 61508 Výrobci často uvádějí bezpečnostní třídy svých výrobků dle jedné nebo druhé normy.

Vztah mezi jednotlivými úrovněmi ukazuje Obr. 68. Nutno poznamenat, že směry šipek jsou

důležité a nelze např. ze SIL3 přejít na třídu 5 v německém standardu.

Obr. 68 Vztah mezi DIN 19250 a IEC 61508



Obr. 69 Vztah mezi IEC 951-1, DIN 19250 a IEC 61508

Následující tabulka uvádí stanovení postupů při vytváření bezpečného systému dle SIL.



Obr. 70 Stanovení postupů při vytváření bezpečného systému dle SIL



9. ZABEZPČENÍ KOMUNIKACE PROTI CHYBÁM Chyby, které obecně mohou v komunikačním systému napsat popisuje model vytvořený

Johnem Rushbym. Tento model vychází z oblasti leteckého průmyslu, avšak je aplikovatelný

jak na funkční bezpečnost průmyslových komunikačních technologií, tak na oblast

zabezpečení proti úmyslnému napadení komunikačního systému. V rámci tohoto modelu jsou

definovány tři kategorie chyb:

1. Chyba přenesené hodnoty (Value fault) – k této chybě dojde, je-li vypočtena,

přenesena nebo přijata nesprávná hodnot dat.

2. Chyba v časování (Timing fault) – k této chybě dojde, pokud jsou data vypočtena,

přenesena nebo přijata v nesprávném čase, což může být jak příliš pozdě, tak naopak

příliš brzy.

3. Prostorová chyba (Spatial proximity fault) – k této chybě dojde, pokud je hmota

v nějakém objemu zničena nebo odstraněna (například v případě výbuchu nebo

krádeže zařízení).

Výše uvedené chyby mohou být způsobeny buď náhodnou událostí (porucha nebo chyba

při návrhu či výrobě), ale také mohou být systému vnuceny úmyslnou aktivitou nějaké osoby.

První případ (náhodná chyba) je řešen v rámci funkční bezpečnosti zařízení (functional

safety), druhý případ musí být řešen zabezpečením proti úmyslnému útoku (security).

Zatímco náhodné chyby jsou klasifikovatelné z hlediska pravděpodobnosti jejich výskytu,

úmyslné aktivity jsou obtížně předpověditelné, neboť kreativní přístup útočníka může

vytvářet situace, které jsou vysoce nepravděpodobné a se kterými nebylo při návrhu systému

počítáno.



9.1 Funkční bezpečnost průmyslových sběrnic

Téměř všechny významnější průmyslové sběrnice vyvinuly safety varianty – varianty

funkční bezpečnosti komunikačního kanálu. Je to v prvé řadě speciální bezpečná sběrnice

SafetyBus, dále pak ProfiSafe (bezpečné profily k protokolu Profibus a Profinet), Interbus –

safety (safety varianta ke sběrnici Interbus S), CAN safety, AS-i at work a další. Princip

bezpečné komunikace vychází především ze standardu IEC 61508 a lze ho interpretovat v

následujících bodech:

1. Žádný systém nemůže být absolutně spolehlivý, tedy nelze vyloučit jeho možné

selhání ani n – násobnou redundancí.

2. To, že systém patří do určité třídy bezpečnosti SIL, znamená, že se spokojujeme se

zmenšením rizika na určitou mez danou pro odpovídající třídu SIL odpovídající

pravděpodobnosti bezporuchové funkce bezpečnostního systému.

3. Funkční bezpečnost musí být zaručena i v případě selhání bezpečnostních funkcí

řídicího (nebo komunikačního) systému. Jakým způsobem to bude zaručeno, není

předmětem normy.

4. Bezpečnostní systémy, odpovídající určité SIL, musejí být konstruovány dle daných

pravidel (na HW i SW) tak, aby zaručovaly požadovanou spolehlivost, odpovídající

dané třídě SIL.

5. Funkční bezpečnost se vztahuje na celý řetězec dle Obr. 71

35% 15% 50%

Snímače Řídicí systémy Akční členy

P

T F

Obr. 71 Bezpečnostní řetězec

Celková pravděpodobnost chyby v PES (Programmable Electronic System) je sumou

pravděpodobností chybné funkce jednotlivých komponent v celém systéme PES.



Jak je patrné z Obr. 71, největší pravděpodobnost poruchy v celém řetězci vykazují

vstupy a výstupy řídicích programovatelných systémů a jen celkem 15 procent chyb vzniká ve

vlastním řídicím a komunikačním systému. Ethernet jako dost robustní komunikační systém

by na pravděpodobnost bezporuchového stavu (PFD – average probability of failure on

demand, tj. pro případ, že bezpečnostní systém působí jen velmi zřídka – on demand), která je

10–8 až 10–7 pro třídu SIL 3 měl stačit již ve svém standardním provedení. Přesto je třeba se

mechanismy bezpečné komunikace v průmyslové síti a tím pádem i v síti Ethernet zabývat.

9.2 Principy bezpečné komunikace - „Black Channel“

Předpoklad č.3 uvedený v IEC 61508 je řešen dle tzv. principu černého komunikačního

kanálu (Black Channel). Tento princip vychází ze zcela praktického a ekonomického

požadavku, neměnit nic na HW a SW standardní komunikační technologie (např. CAN,

Profibus nebo Ethernet, Power Link, Profinet), které jsou již z principu vysoké provozní

funkčnosti dobře nebo velmi dobře zabezpečeny proti poruše. Potřebné a požadované

bezpečnostní třídy SIL těchto komunikačních systémů nechť je tedy dosaženo ne tím, že by se

snižovala pravděpodobnost poruchy komunikace na dolních vrstvách protokolu, nýbrž

vřazením bezpečné vrstvy nad nebo do 7. vrstvy komunikačního modelu. V principu protokol

7. vrstvy (s vnořenou bezpečnostní vrstvou) by měl eliminovat všechny možné chyby

přenosu, které mohou být způsobeny náhodným elektromagnetickým rušením, které působí na

přenosový kanál, poruchami a chybami komunikačního hardware, systematickými chybami

některých komponentů standardního funkčního HW a SW. Na příkladu systému Profisafe

(Profibus Safety) se podívejme, jak lze realizovat bezpečnou komunikaci na principu „black

chanel“. Na Obr. 72 je vlastní komunikační kanál (Profibus, Profinet) posuzován jako černý

kanál, který může nebo nemusí fungovat spolehlivě.



PROFINET

Bezpečnostnívrstva

PROFINET


Bezpečnáaplikace

Standardníaplikace

Bezpečnáaplikace

Standardníaplikace

PROFIsafe

"Black Channel"- PROFINET IO

Obr. 72 Princip „black chanel“

Funkce bezpečné vrstvy (safety layer) spočívá v detekování poruch a provádění opatření

pro eliminaci vlivu poruchy v komunikačním kanálu v součinnosti s bezpečnostními prvky

komunikujících entit (např. zajistit bezpečný stav zařízení). Obrázek dále ukazuje, že

standardní funkční komunikace a komunikace související s bezpečností (safety relevant) běží

současně na jednom komunikačním kanálu, přičemž data související s bezpečností jsou

použita pro bezpečnostní aplikace a data nesouvisející s bezpečností (standardní funkční data)

se používají pro standardní funkční aplikace. Na dalším Obr. 73 je princip z Obr. 72 blíže

specifikován pro celý bezpečnostní řetězec z Obr. 71. Je z něj patrný i současný provoz

funkční a safety komunikace na jednom komunikačním kanálu (např. Profinetu) i to, že safety

a non-safety komunikace je navzájem nezávislá. Jednoduchý komunikační kanál by měl být

postačující pro splnění bezpečné komunikace a jeho případné zdvojení nesouvisí s

bezpečností, ale s pohotovostí (zvýšenou funkčností).




Bezpečnáfunkce

Vrstva 1

Vrstva 2

Vrstva 7


Bezpečnývstup

Vrstva 1

Vrstva 2

Vrstva 7

Standardnzařízení

Vrstva 1

Vrstva 2

Vrstva 7


Bezpečnývýstup

Vrstva 1

Vrstva 2

Vrstva 7

Obr. 73 Současná funkční a „safety“ komunikace v síti Profibus

V následujícím přehledu jsou uvedeny možné poruchy a chyby komunikace

specifikované v Části 7. normy IEC 61508:

• Opakování – opakovaný příjem stejných dat

• Ztráta – nedoručení dat

• Vkládání – příjem dat od jiného odesílatele, než by mělo být

• Špatné pořadí – data jsou přijata v jiném pořadí, než byla odeslána

• Nekonzistence – data jsou poškozená

• Zpoždění – větší než přípustný interval mezi odesláním a příjmem dat

• Propojení safe a non-safe – nepřípustná komunikace mezi bezpečným (safe) a

obyčejným (non-safe) odesílatelem/příjemcem

• Přetečení paměti směrovače – paměť směrovače je zaplněna

a odpovídající „safety“ mechanismy, které se mohou implementovat do vnořené safety

vrstvy komunikačního protokolu, za účelem eliminace těchto chyb:



• Sekvenční číslování dat – odesílatel disponuje čítačem, jehož hodnota se pro

každá odeslaná data zvýší o jedničku. Ke každým odeslaným datům je připojena

hodnota čítače.

• Časová značka dat – odesílatel opatřuje každá odeslaná data hodnotou času

odeslání.

• Potvrzení příjmu dat – příjemce dává odesílateli na vědomí úspěšné přijetí dat.

• Identifikace odesílatele a příjemce – data obsahují identifikaci odesílatele a

příjemce.

• Zálohování dat – zálohování odesílaných dat na straně odesílatele.

• Redundance dat – redundance odesílaných dat (vícenásobné odeslání dat,

kódování dat).

• Kontrola validity dat – přidání kontrolních dat (např. pomocí CRC)

V následující tabulce je uvedeno, jak jednotlivé safety mechanismy působí na jednotlivé

chyby komunikace:

Metody eliminace chyb Možné chyby dat při komunikaci

Sekvenční číslování dat

Časová značka dat

Potvrzení příjmu dat

Identifikace příjemce a odesílatele

Zálohování dat

Redundance dat Kontrola validity dat

Opakování x x x Ztráta x x x Vkládání x x x x Špatné pořadí x x x Nekonzistence x x x Zpoždění x

Propojení safe a non-safe

x x x

Přetečení paměti směrovače

x

Obr. 74 Možné chyby dat při komunikaci a metody k jejich eliminaci

Minimálním požadavkem pro bezpečný komunikační protokol je to, aby dokázal

eliminovat všechny zmíněné chyby. Protože každá síť má svá specifika a speciální chybové



módy, je při tvorbě bezpečného protokolu důležité mít důkladné znalosti o použitém typu a

technologii sítě.

Nejběžnější případ vnoření „safety“ dat do komunikačního protokolu je ukázán na

Obr. 75 na příkladu protokolu PROFIsafe. Podobně jako standardní data jsou doplněna

doplňujícími bajty paketu, bezpečná data jsou doplněna bajty použitých bezpečnostních

mechanismů z tabulky na Obr. 74 a vnořena do datového toku mezi standardní rámce.

Standardnídata

Standardnídata

Standardnídata

Standardnídata

Standardnídata

Bezpečná data Stav Sekv.číslo CRC 2

Dlečítačezdroje

Max. 12 nebo 122 B 1 B 3 B 3/4 B

Stavovýnebořídicíbajt

Obr. 75 Pakety PROFIsafe jednoduše vnořené do datového toku

standardních informačních rámců



9.3 Příklad programovatelného elektronického systému (PES) souvisejícího s bezpečností

Na následujícím obrázku Obr. 76 je vyobrazená obecná struktura PES s vlastnostmi

bezpečného řídícího a komunikačního systému.

Komunikační procesor

Dvou-portová RAMSafety data

Vstupy

Výstupy

Redundantnířídicí jednotka

FB1

Připojení(přepínač)

FB1FB1

Obr. 76 Architektura bezpečného PES

Redundantní (zdvojený) procesorový systém generuje data se vztahem k bezpečnosti

systému (safety related data). Tato data jsou přenášena do jiné PES, která rovněž podporuje

bezpečnou komunikaci, prostřednictvím dvou-portové paměti RAM a komunikačního

procesoru. Pokud komunikační procesory komunikujících entit nejsou schopny do

stanoveného času přenést data, uplatní se princip černého komunikačního kanálu a procesor

PES uvede řízený proces např. do bezpečného stavu. Je zřejmé, že takový mechanismus

jednak snižuje rychlost komunikace, jednak sice vede ke zvýšení bezpečnosti systému, avšak

zmenšuje pohotovost (avaliability) toho systému.

9.4 Řešení bezpečné komunikace v síti Ethernet

Třebaže Ethernet má vynikající vlastnosti, není schopen vyhovět (ve stávající podobě

jako síť typu LAN) všem požadavkům na bezpečnou komunikaci. Bezpečné aplikace obecně



vyžadují bezpečnou práci s daty, to např. znamená, že i komunikační parametry musejí být

nastavovány bezpečným způsobem. V tom případě by se ale IP adresa musela nastavovat

jiným protokolem, než protokolem DHCP, který je k tomu účelu v sítích LAN používán.

DHCP však není bezpečný protokol ve smyslu IEC 61508. Rovněž server, poskytující IP

adresy není bezpečným serverem (safety relevant). V tom momentě výhoda protokolu TCP

ztrácí na významu, neboť řídicí mechanismus spojovací služby (connection oriented) není

rovněž safety related. Má li být Ethernet schopen realizovat bezpečnou komunikaci, musí být

bezpečnostní mechanismy použity v 7. vrstvě.

Z uvedeného je jistě zřejmé, že tato nedostatečná bezpečnost komunikace nepadá na vrub

vlastní technologii Ethernet (1.a 2. vrstva ISO OSI modelu), ale až nadstavbě – konkrétně

protokolu DHCP.

Praktická měření na Ethernetu potvrzují vysokou míru robustnosti (odolnosti vůči

vnitřním i vnějším poruchám včetně EMC) i v průmyslovém prostředí. Navíc díky velké šířce

přenášeného frekvenčního pásma je reálný předpoklad přenášet v jedné síti Ethernet jak

funkční, tak bezpečná data (safety relevant). To značně zjednoduší instalaci sítě a její uvádění

do chodu a cenu instalace. V případě fieldbusů je mnohdy nutné vést standardní funkční data

po jedné sítí a bezpečná (safety relevant) data ve zvláštní síti (safety fieldbus) nebo zvláštními

dvoubodovými bezpečnými spoji od havarijních tlačítek a k bezpečným akčním členům.

Téměř všechny významnější průmyslové sítě (fieldbus) mají safety variantu (AS-i Safety

at Work, Interbus Safety, CAN safety, PROFISafe, SafetyBus, a další). Všechny mechanismy

pro bezpečnou komunikaci, uvedené v přehledu a tabulce (Obr. 74) nejsou použity u každé z

výše uvedených průmyslových sběrnic. Zejména mechanismy, které vyžadují delší čas pro

safety provoz nejsou použity u technologií, které podporují provoz v reálném čase s tvrdými

požadavky (hard real-time) na dobu odezvy (deadline) a synchronizaci (jiter) jako jsou např.

EtherCat, Ethernet Power Link, Profičet, Sercos II. Tak např. Ethernet PowerLink nepoužívá

z výše uvedených mechanismů (Obr. 74) potvrzování příjmu, redundanci dat. Podobně

Profinet IO nepoužívá časové razítko a nahrazuje ho mechanismem watch dog a nepoužívá

potvrzování příjmu.



10. ZABEZPEČENÍ PROTI NÁHODNÝM CHYBÁM - FUNKČNÍ BEZPEČNOST S AS-INTERFACE

Na konkrétním příkladu rozšíření standardu AS-Interface bude v této kapitole

ilustrováno, jakým způsobem lze v aplikacích se zvýšenými nároky na funkční bezpečnost

dosáhnout garantované funkční bezpečnosti při použití v podstatě standardních

komunikačních prvků a technologií.

10.1 Black channel princip

Základním společným principem využívaným v celé řadě průmyslových komunikačních

standardů je tak zvaný „black channel“ přístup. Jedná se o princip, kdy je funkční bezpečnost

vystavěna nad standardním komunikačním kanálem, tedy pro zajištění funkční bezpečnosti je

komunikační kanál využíván ve své nezměněné podobě a funkční bezpečnost je implantována

nad daným komunikačním standardem, aniž by bylo nutné nějak koncepčně zasahovat do

existujícího standardu, který přitom nebyl navržen s ohledem na budoucí požadavky funkční

bezpečnosti. Název „black channel“ byl patrně odvozen od pojmu „black box“ (černá

skříňka), neboť na daný komunikační kanál se díváme jako na černous skříňku, která nám

poskutuje komunikační služby, ale předpokládáme, že o interních funkcích, funkčních

parametrech a spolehlivostních garancích nemáme žádné informace, a tedy na ně při návrhu

aplikace s požadavky na funkční bezpečnost nijak nespoléháme.

Tento princip byl aplikován i při rozšíření technologie AS-Interface o komponenty

umožňující dosáhnout garantované funkční bezpečnosti – rozšíření zvané AS-i Safety at Work

využívá standardní protokol, standardní kabely, zdroje i standardní AS-i Master zařízení a

umožňuje na síti kombinovat standardní slave zařízení se zařízeními garantujícími funkční

bezpečnost.



10.2 Technologie AS-Interface Safety at Work

Pro dosažení garantované funkční bezpečnosti nad sběrnicí AS-Interface bylo nutné

stávající technologii AS-Interface doplnit o dvě kategorie zařízení, která fakticky garantují

funkční bezpečnost a která jako jediná musí být individuálně certifikována s ohledem na svou

spolehlivost a funkční bezpečnost.

10.2.1 Bezpečný slave (Safety slave) Bezpečný slave je z hlediska AS-i mastera slave jako každý jiný – má přiděleny vlastní

adresu a na základě žádosti o data posílá v odpovědi informace o stavu svých logických

vstupů. V současné době je bezpečný slave zařízení obsahující pouze vstupy, tj. v tuto chvíli

neexistuje safety slave, který by fungoval jako akční člen.

Když bezpečný slave odesílá v odpovědi masteru stav svých 4 logických vstupů, přičemž

však takovýto slave obsahuje pouze dva fyzické vstupy. Údaje o stavu čtyř logických vstupů,

které odesílá ve své odpovědi masterovi sít jsou generovány na základě stavu dvou fyzických

vstupů v kombinaci s unikátní čtyřbitovou sekvencí.

Každý bezpečný slave má naprogramovánu unikátní sekvenci 8 x 4 bity, přičemž za

běžného provozu jsou postupně v osmi cyklech přeneseny všechny čtyřbitové fragmenty této

sekvence. Korektním přenosem sekvence je garantováno, že:

• na danou výzvu skutečně odpovídá daný bezpečný slave a ne nějaké jiné (např. vadné)

zařízení (sekvence je pro každý vyrobený kus unikátní, existuje cca 400 000 možných

kombinací)

• nedošlo k zacyklení nebo poruše interního programu bezpečného slave zařízení;

• Oba fyzické vstupy bezpečného slave zařízení jsou sepnuty (skrz kontakty protéká

proud) a tedy vstupy neindikují dosažení nebezpečného stavu.

V případě, že dojde k rozpojení jednoho nebo obou vstupů, dojde k porušení vysílané

kódové sekvence - namísto měnící se sekvence jsou příslušné datové bity vynulovány.

S každým fyzickým vstupem jsou spojeny právě dva bity, proto je možné z přenášených dat

rozeznat který ze vstupů bezpečného slave zařízení byl rozpojen.



10.2.2 Bezpečnostní monitor (Safety monitor) Pro zajištění akčního zásahu (uvedení systému do bezpečného stavu) při detekování

porušení pravidel definujících bezpečný stav je v systému nutný certifikovaný akční člen. Roli

tohoto akčního členu zastává v technologii Safety at Work zařízení označované jako

„Bezpečnostní monitor“.

Bezpečnostní monitor je zařízené, které „poslouchá“ komunikaci mezi masterem sítě a

všemi slave zařízeními. Při konfiguraci bezpečnostního monitoru je určeno, které

bezpečnostní slavy má daný bezpečnostní monitor hlídat. U zadaných bezpečných slave

zařízení se po zapnutí sítě bezpečnostní monitor nejprve „naučí“ příslušné kódové sekvence a

za provozu sítě pak sleduje, zda nedošlo k porušení vysílané sekvence. Pokud bezpečnostní

monitor detekuje buď porušení sekvence nebo přerušení vysílání od některého ze sledovaných

bezpečných slave zařízení, tak uvede své výstupy do bezpečného stavu, tj. zajistí přechod

řízeného systému do bezpečného stavu.

Obr. 77 Princip zajištění funkční bezpečnosti díky přenosu kódové sekvence

10.2.3 Výhody technologie Safety at Work Z technického hlediska je za provozu sítě bezpečný slave pouze „komoprátor“, který

porovnává naučenou a příjmanou sekvenci a v případě neshody provede poměrně

jednoduchou akci. Komplexnost takovéhoto zařízení je, ve srovnání s komplexností běžného



PLC, poměrně nízká. Je tedy zřejmé, že náklady na konstrukci a následnou certifikaci safety

monitoru jsou řádově nižší, než náklady na konstrukci a certifikaci bezpečného PLC.

Další výhodou této technologie je skutečnost, že v aplikaci lze používat běžné AS-i

zdroje, kabely, master zařízení i běžné slave zařízení a výrazně dražší „bezpečná zařízení“ lze

využívat pouze tam, kde je vazba na bezpečnost, neboť standardní a bezpečné prvky lze

v jedné síti kombinovat.

Technologie Safety at Work garantuje, že odezva na událost vyžadující přechod do

bezpečného stavu nepotrvá déle, než 40 ms. Těchto 40 ms je vypočteno následovně:

• 5 ms – dokončení předchozího cyklu sítě

• 5 ms – doba cyklu ve které je detekován požadavek na zásah bezpečnostního

monitoru

• 5 ms – opakování cyklu sítě, aby bylo potvrzeno, že je zásah bezpečnostního

monitoru skutečně žádán (předchází se tak zbytečným zásahům z důvodu

např. emg. rušení)

• 5 ms – odezva bezpečnostního monitoru

• 20 ms – doba sepnutí výstupních relé na bezpečnostním monitoru

Před nezávislými certifikačními orgány bylo prokázáno, že s využitím technologie Safety

at Work lze dosáhnout následujících kategorií funkční bezpečnosti:

• Kategorie 4 podle EN 954-1

• Úrovně SIL 3 podle IEC 61508



11. ZABEZPEČENÍ PROTI ÚMYSLNÝM „CHYBÁM“

11.1 Základní mechanismy útoku proti komunikačnímu systému

V odborné literatuře bylo klasifikováno více než 100 možných principů útoku na

komunikační systém, avšak všechny tyto mechanismy jsou ve skutečnosti více nebo méně

důmyslnými kombinacemi následujících základních způsobů útoku:

1. Zachycení zprávy – jedná se o pasivní odposlech, jehož cílem je neoprávněně získat

informace, nebo nasbírat data pro další útok.

2. Modifikace dat – jedná se o aktivní útok, kdy útočník zprávu zachytí, modifikuje její

obsah a tuto modifikovanou zprávu odešle namísto zprávy původní.

3. Přerušení komunikace – jedná se o aktivní útok, který způsobí že dojde k přerušení

komunikace nebo nedostupnosti služeb poskytovaných vzdáleným zařízením. Tento

útok může být způsoben jak prostým fyzickým přerušením komunikačního média, tak

i zahlcením komunikační linky nebo komunikujícího zařízení pomocí uměle

generovaných zpráv.

4. Vytvoření neexistující zprávy – jedná se opět o aktivní činnost, kdy útočník generuje

zprávy s cílem zahltit zařízení, podvrhnout svou vlastní identitu, zneužít cizí identitu,

nebo v nevhodný okamžik znovu odeslat dříve zachycenou zprávu.

11.2 Základní cíle zabezpečení

Oblast zabezpečení si klade za cíl ochránit majetek firmy nebo osoby před útočníkem,

tedy zejména zabránit následujícím hrozbám:

• Ztráta důvěrných informací – například ztráta tajných informací o technologii,

výrobních nebo procesních postupech nebo ztráta osobních dat.

• Neoprávněný zásah do systému – neoprávněná modifikace informací, řídicích

algoritmů a podobně.



• Ztráta dostupnosti poskytovaných služeb – vyvolání selhání systému z důvodu

nedostupnosti některých služeb poskytovaných systémem.

Všechna bezpečnostních opatření musí garantovat dosažení následujících tří cílů:

• Utajení dat – pouze autorizované osoby nebo zařízení mohou mít přístup

k chráněným datům

• Zajištění integrity dat – je garantováno, že data nebudou neoprávněně modifikována

a pokud k nežádoucí modifikaci dojde, tato bude zjištěna dříve, než budou data

použita.

• Zajištění dostupnosti služeb – je garantováno, že poskytované služby budou všem

oprávněným uživatelům dostupné v dostatečné kvantitě a při dodržení správných

časových parametrů.

Při; zajišťování bezpečnosti bývají požadovány ještě další vlastnosti ochranného systému,

mezi nejvýznamnější další cíle patří zejména zajištění následujících požadavků:

• Autorizace – musí být možné rozhodnout, zda daná osoba, zařízení nebo objekt má

právo využívat služeb, přistupovat k datům apod.

• Autentifikace – musí být dostupný mechanismus, kterým bude možné ověřit zda

osoba, zařízení, program nebo objekt je skutečně tím, za koho se vydává

• Neodmítnutelnost – Příjemce zprávy musí mít možnost nezvratně prokázat, že

odesílatel zprávu skutečně odeslal, tj. odesílatel nebude mít možnost popřít, že zpráva

skutečně pochází od něj.

• Prokazatelnost přístupu – bude možné vyhledat veškeré aktivity daného uživatele

nebo zařízení

• Ochrana třetích stran – nedojde k poškození třetích stran, například zařízení nebude

zneužitelné k útoku na další organizaci nebo zařízení.



11.3 Stavební prvky zabezpečení

Při zabezpečování systému je nutné stanovit bezpečnostní politiku, která posoudí rizika,

tj. posoudí jednotlivé možné hrozby, pravděpodobnost jejich výskytu, prostředky (čas,

vybavení a znalosti) nutné k provedení daného útoku atd. Na základě posouzení rizik je poté

možné stanovit bezpečnostní politiku, která zahrnuje zejména:

• Fyzické zabezpečení (zabezpečení proti neoprávněnému vniknutí osob);

• Organizační opatření;

• Personální politiku;

• Zabezpečení na úrovni hardwaru a softwaru;

• Zabezpečení komunikačních kanálů;

• Preventivní opatření;

• Nouzové plány a opatření pro případ narušení.

Pro zabezpečení komunikace se využívají technologie na bázi kryptografie, přičemž za

elementární stavební prvky lze prohlásit následující:

1. Autentifikace a autorizace

a. Přidělení oprávnění na základě příslušnosti do skupin uživatelů

b. Ověření totožnosti (hesla, tokeny, čipové karty, biometrické prostředky…)

2. Kryptografické techniky

a. Symetrické šifrování

b. Asymentické šifrování s veřejným a soukromým klíčem

c. Hash funkce

d. Digitální podpisy

e. Generování kryptograficky kvalitních náhodných čísel

3. Digitální certifikáty

K zabezpečení komunikace lze přistoupit ze dvou různých principiálně odlišných

filozofií. V prvním případě, který je označovaný jako „hard perimeter“, zabezpečovací

architektura v podstatě představuje zeď, která je kolem celého systému. V případě

průmyslových aplikací je tato „zed“ složena především ze skutečných fyzických opatření,



které neautorizované sobě brání ke vstupu do areálu nebo na chráněné pracoviště. Problémem

je, že po překonání této bezpečnostní zdi již systém nění nijak dále chráněn. Tedy například

zaměstnanec, který se rozhodne poškodit systém, a který se dokáže fyzicky připojit

k chráněnému systému, může systém poškodit, aniž by mu v cestě stály další překážky. Stejně

tak došlo-li k narušení bezpečnosti nějakého zařízení, které je uvnitř chráněné zóny, může

případný útočník toto zařízení využít pro napadení celého systému a systém není již dále nijak

chráněn.

V poslední době se i u průmyslových komunikačních systémů prosazuje trend

označovaný jako „Defense-in-depth“, tedy obrana do hloubky. Tato filozofie vychází

z předpokladu, že připadný útočník by měl narážet na ochranné prvky pokud možno co

nejčastěji. To znamená, že by neměla existovat pouze jedna ochranná zeď, ale totožnost a

oprávnění útočníka by mělo být ověřováno pokud možno při každé jeho aktivitě. Tato

filosofie navíc umožňuje využít skutečnosti, že na různých úrovních systému mohou být

bezpečnostní opatření různá a různě intenzivní a mohou být založena na heterogenních

systémech, které tedy z principu nemají (nebo by alespoň mít neměly) žádnou společnou

slabinu.

Pro sítě na bázi IP protokolu mezi takovéto ochranné prvky patří například:

a. Paketové filtry, které mohou sledovat zdrojové a cílové adresy, zdrojový a

cílový port u TCP a UDP spojení, typu paketů a podobně

b. Aplikační gatewaye, které mohou analyzovat i korektnost zpráv na úrovni

protokolů aplikační vrsvy

c. Spravovatelné přepínače a routery, které mohou zamezit zahlcení chráněného

segmentu sítě, mohou poskytnout komunikaci probíhající v reálném čase vyšší

prioritu a zabránit tak zhroucení řídicího systému v případě zahlcení sítě

požadavky; také mohou omezit přístup do/z chráněných sítí pouze na určité

podsítě nebo adresy.

Systém obrany do hloubky ve spolupráci s detekčními mechanismy a správně navrženou

bezpečnostní politikou může zajistit poměrně spolehlivé a bezpečné fungování systému, ikdyž



dojde k prvotnímu narušení bezpečnosti, neboť útočník na cestě k útoku na chráněný systém

musí překonat několik ochranných vrstev.

V minulosti průmyslové komunikační systémy spoléhaly na ochranu typu „hard-

perimeter“ a také na skutečnost, že komunikační systémy používané v praxi jsou natolik

odlišné od běžně dostupných komunikačních technologií, že reálný útok přímo na

komunikační kanál nehrozí. S průnikem průmyslového Ethernetu a bezdrátových

komunikačních technologií do průmyslové praxe však nutnost důsledně zabezpečit

komunikaci řídicích systémů narůstá. Velikým problémem však je skutečnost, že ačkoliv

forma a provedení útoku v oblasti kancelářských informačních technologií je aplikovatelná i

na moderní průmyslový komunikační kanál, tak v průmyslové praxi nelze flexibilně přijímat

opatření tak jako je tomu na úrovni běžného IT vybavení, což dokumentuje níže uvedená

tabulka, která porovnává požadavky běžných informačních technologií a požadavky

průmyslové praxe.

Kancelářské IT Průmyslová automatizace

Redundantní komunikační struktura

Redundantní strom, zotavení v řádu minut

Zotavení v jednotkách až stovkách milisekund

Chování při přetížení sítě „Best effort“, tj. nedeterministické chování

Deterministické chování, prioritizace zpráv, regulace množství generovaných zpráv.

Reálný čas Definován ergonomickými nároky lidských uživatelů, tj. od 300 ms do řádově minut.

Mikrosekundy až sekundy

Typická životnost zařízení 3 až 5 let Často více než 10 let Výpočetní výkon zařízení Nevyhovující je vyměněno

za modernější Výkon je omezen, modernější mnohdy není zpětně kompatibilní, výměna je neekonomická.

Záplaty softwaru a aktualizace firmwaru

Restart zařízení je akceptovatelný, bezpečnost má přednost před funkčností

Instalace záplaty SW nesmí ovlivnit funkčnost zařízení ani neplánovaně přerušit činnost zařízení.

Komunikační spoje Dynamické a nepředvídatelné

Předvídatelné, dobře definovatelné a plánované.



Z výše uvedené tabulky je zřejmé, že zatímco v oblasti běžných informačních technologií

není problém reagovat na objevení libovolné mezery v zabezpečení poměrně flexibilně, tak

v průmyslové praxi je takováto flexibilní reakce mnohdy obtížná až nemožná. Proto je při

návrhu komunikační architektury pro průmyslové aplikace extrémně důležité myslet na

bezpečnost již v okamžiku samotného základního návrhu komunikační architektury.

Bezpečnost nelze nainstalovat, bezpečnost musí být nedílná součást celého systému.



12. LITERATURA [1] Rushby J: Bus Architectures for Safety-Critical Embedded systéme, Lecture Notes in

Computer Science, Volume 2211, 2001 [2] IAONA Handbook Network Security v. 1.3EN, First edition, 2005 [3] Zezulka F.: Prostředky průmyslové automatizace. VUTIUM, Brno, 2004, [4] Zezulka, F., Hynčica O.: Průmyslový Ethernet I., Automa 1/2007 [5] Zezulka, F., Hynčica O.: Průmyslový Ethernet II., Automa 3/2007 [6] Zezulka, F., Hynčica O.: Průmyslový Ethernet IV., Automa 6/7/2007 v tisku [7] Lueder A., Lorentz K.: IAONA Handbook – Industrial Ethernet, 2nd edition, April

2005 [8] Norma IEC 61508, česká verse 2002 [9] Uher, J.: Úvod do funkční bezpečnosti I: norma ČSN EN 61508, Automa 8-9, 2004 [10] Lueder A., Lorentz K.: IAONA. Security of Industrial Ethernet. First edition, April

2005 [11] Siemens: S7-300 and M7-300, Programmable Controllers, Module specifications,

Nürnberg 1996

Documents

8. FUNKČNÍ BEZPEČNOST - Vysoké učení technické v Brnězezulka/download/LAUP/bezp.pdf · vysokÉ uČenÍ technickÉ v brnĚ fakulta elektrotechniky a komunikaČnÍch technologiÍ