vorlesung prozessleittechnik 2 - tu dresden · fakultät elektro - & informationstechnik,...
Post on 06-Aug-2019
222 Views
Preview:
TRANSCRIPT
Fakultät Elektro- & Informationstechnik, Institut für Automatisierungstechnik, Professur für Prozessleittechnik
Dresden, 17.07.2013
Vorlesung - Prozessleittechnik 2 (PLT 2) Sicherheit und Zuverlässigkeit von Prozessanlagen – Sichere Bussysteme
A. Krause, L. Urbas
Sichere Bussysteme Folie 2 von 43
[2]
Motivation
Warum Bussysteme? [1]
• Verdrahtungskosten
• Inbetriebnahme- und
Wartungskosten
• Konfiguration und
Parametrierung
• Diagnose und Fehlersuche
• Wiederverwendbarkeit →
Implementierungszeiten
und -kosten bei
Folgeprojekten
17.07.2013
Wiederholung
Verlust
Einfügung
Falsche Abfolge
Verfälschung
Verzögerung
Sichere Bussysteme Folie 3 von 43
Agenda
17.07.2013
• Grundlagen von sicherheitsrelevanten Feldbussystemen
• Kommunikationsprofile
• Datenintegrität
• CRC-Prüfung
• Datensicherheit
• Foundation Fieldbus
• PROFIsafe
Sichere Bussysteme Folie 6 von 43
Kommunikationsfehler [3] (1/3)
17.07.2013
• Verfälschung: Nachricht wird verfälscht
• Unbeabsichtigte Wiederholung: Alte, nicht
aktuelle Nachricht wird zur falschen Zeit wiederholt
• Falsche Abfolge: die den Nachrichten einer Quelle
zugeordnete Abfolge ist falsch
• Verlust: eine Nachricht wird nicht empfangen oder
quittiert
Sichere Bussysteme Folie 7 von 43
Kommunikationsfehler [3] (2/3)
17.07.2013
• Inakzeptable Verzögerung: Nachricht ist über ihr
zulässiges Empfangsfenster hinaus verzögert
• Adressierung: eine sicherheitsrelevante Nachricht
wird an den falschen sicherheitsrelevanten Teilnehmer
gesandt, der dann den Empfang als korrekt behandelt
• Einfügung: eine Nachricht wird eingefügt, die sich auf
eine unerwartete/unerkannte Quelle bezieht
Sichere Bussysteme Folie 8 von 43
Kommunikationsfehler [3] (3/3)
17.07.2013
• Maskerade: eine Nachricht wird eingefügt, die von
einer scheinbar zulässigen Quelle stammt, so dass eine
nicht-sicherheitsrelevante Nachricht vom
sicherheitsrelevanten Teilnehmer empfangen wird, der
sie dann als sicherheitsrelevant behandelt
Sichere Bussysteme Folie 9 von 43
Maßnahmen gegen deterministische Fehler [3]
• Laufende Nummer
• Zeitstempel
• Zeiterwartung
• Verbindungsauthentizität
• Rückmeldung
• Datensicherung
• Redundanz im Kreuzvergleich
• Unterschiedliche Sicherungssysteme für die Datenintegrität
17.07.2013
Sichere Bussysteme Folie 10 von 43
Beziehung zwischen Fehler und Maßnahme [3]
Sicherheitsmaßnahmen
Kommunikations-fehler
Lauf
ende
N
umm
er
Zeitm
arke
Zeite
rwar
tung
Verb
indu
ngs-
auth
entiz
ität
Rück
mel
dung
Date
n-sic
heru
ng
Redu
ndan
z mit
Kreu
zver
glei
ch
Unt
ersc
hied
l. Si
cher
heru
ngs-
syst
eme
für
Date
nint
egrit
ät
Verfälschung X X Wiederholung X X X Falsche Abfolge X X X X Verlust X X Verzögerung X X Einfügung X X X X Maskerade X X X Adressierung X
17.07.2013
Sichere Bussysteme Folie 12 von 43
Beziehung der IEC/DIN EN 61784-3 zu anderen
Standards der Prozessindustrie [5, 6]
17.07.2013
Sichere Bussysteme Folie 13 von 43
IEC 61158-1: Überblick und Anleitung für die
Normserien DIN EN 61158 und DIN EN 61784
17.07.2013
Sichere Bussysteme Folie 14 von 43
DIN EN 61158
Industrielle Kommunikationsnetze - Feldbusse
• DIN EN 61158-2 Spezifikation und Dienstfestlegungen des
Physical layer (Bitübertragungsschicht)
• DIN EN 61158-3-xx Dienstfestlegungen des Data Link layer
(Sicherungsschicht)
• DIN EN 61158-4-xx Protokollspezifikation des Data Link Layer
(Sicherungsschicht)
• DIN EN 61158-5-xx Dienstfestlegungen des Application Layer
(Anwendungsschicht)
• DIN EN 61158-6-xx Protokollspezifikation des Application Layer
(Anwendungsschicht)
17.07.2013
Sichere Bussysteme Folie 15 von 43
DIN EN 61784
Industrielle Kommunikationsnetze - Profile
• DIN EN 61784-1 Industrielle Kommunikationsnetze - Profile - Teil 1:
Feldbusprofile
• DIN EN 61784-2 Industrielle Kommunikationsnetze - Profile - Teil 2:
Zusätzliche Feldbusprofile für Echtzeitnetzwerke basierend auf
ISO/IEC 8802-3
• DIN EN 61784-3 Industrielle Kommunikationsnetze - Profile - Teil 3:
Funktional sichere Übertragung bei Feldbussen - Allgemeine Regeln und
Profilfestlegungen
• DIN EN 61784-3-xx Industrielle Kommunikationsnetze - Profile - Teil 3-xx:
Funktional sichere Übertragung bei Feldbussen - Zusätzliche Festlegungen für
die Kommunikationsprofilfamilie xx
• DIN EN 61784-5-xx Industrielle Kommunikationsnetze - Profile - Teil 5-xx:
Feldbusinstallation - Installationsprofile für die
Kommunikationsprofilfamilie xx
17.07.2013
Sichere Bussysteme Folie 16 von 43
Sichere Kommunikation [3]
Technologie
• IEC 61508 legt keine bestimmte
Kommunikationstechnologie fest
• DIN EN 61784-3 konzentriert sich auf feldbusbasierte,
funktional sichere Bussysteme
Kanaltypen
• „Black Channel“ Kommunikationskanal ohne verfügbaren
Nachweis des Entwurfs oder der Validierung nach IEC 61508
• „White Channel“
17.07.2013
Sichere Bussysteme Folie 17 von 43
Modellbeispiel für die Funktionsweise von „Black
Channel“ [3]
17.07.2013
Sichere Bussysteme Folie 18 von 43
Reaktionszeit einer Sicherheitsfunktion [3]
17.07.2013
• Anforderung eines Sicherheitssensors bis zum Erreichen des
sicheren Zustandes des Aktors (unter Berücksichtigung von Fehlern
und Ausfällen im Übertragungskanal)
• Je Kommunikationsprofil unterschiedliche Bestandteile, aber alle
relevanten Anteile müssen aufgeführt sein
Sichere Bussysteme Folie 20 von 43
Datenintegritätssicherung [3]
• Problem: Verfälschung der Sicherheitsdaten
• Ziel: geringe Restfehlerrate
• Methode: passende Hash-Funktionen
− Paritätsbit
− Cyclic Redundancy Check (CRC-Prüfung)
− Nachrichtenwiederholung
− ähnliche Formen der Redundanz (der Daten)
17.07.2013
Sichere Bussysteme Folie 21 von 43
Berechnung der Restfehlerrate nach [3]
17.07.2013
Formelausdruck Definition
ΛSL(Pe) Restfehlerrate der Sicherheitskommunikationsschicht je Stunde bezogen auf die Bitfehlerwahrscheinlichkeit
Pe Bitfehlerwahrscheinlichkeit
RSL(Pe) Restfehlerwahrscheinlichkeit einer Sicherheitsnachricht
v Maximale Anzahl von Sicherheitsnachrichten pro Stunde
m Maximale Anzahl von Informationssenken
mvRP SLeSL ⋅⋅=Λ )(
Sichere Bussysteme Folie 22 von 43
Restfehlerrate und SIL [3]
Betriebsart mit kontinuierlicher
Anforderung
Wahrscheinlichkeit eines gefahrbringenden
Fehlers je Stunde für das funktional sichere
Kommunikationssystem (1% vom SIF)
Maximal zulässige Restfehlerrate
für das funktional sichere
Kommunikationssystem SIL PFH
(Ausfälle pro Stunde)
4 ≥ 10-9 bis < 10-8 < 10-8 ΛSL < 10-8/h
3 ≥ 10-8 bis < 10-7 < 10-7 ΛSL < 10-7/h
2 ≥ 10-7 bis < 10-6 < 10-6 ΛSL < 10-6/h
1 ≥ 10-6 bis < 10-5 < 10-5 ΛSL < 10-5/h
17.07.2013
Sichere Bussysteme Folie 23 von 43
Kanalmodell – Restfehler [3]
• Binärer symmetrischer Kanal
• gleiche Bitfehlerwahrscheinlichkeit für jedes Bit Pe=P
• n … Blocklänge der Sicherheitsdaten
• Pn(k) … Wahrscheinlichkeit von k gestörten Bits in
einem Block der Länge n
17.07.2013
kne
ken PP
kn
kP −−⋅⋅
= )1()(
Sichere Bussysteme Folie 24 von 43
Bestimmung der Restfehlerwahrscheinlichkeit [3]
• Fiktive Kodierung – Fehleraufdeckung bis d-1 Fehler
• d … Hamming-Distanz
• RUL … obere Grenze der Restfehlerwahrscheinlichkeit
17.07.2013
∑
∑
∑
=
−
=
−
=
−⋅⋅−⋅
=
−⋅⋅
=
=
n
dk
kne
ke
n
dk
kne
ke
n
dkneUL
PPknk
n
PPkn
PPR
)1()!(!
!
)1(
)(
Sichere Bussysteme Folie 25 von 43
Bitfehlerwahrscheinlichkeit Pe [2]
Bitfehlerwahrscheinlichkeit Pe Übertragungsmedium
> 10-3 Funkstrecke
10-4 ungeschirmte Datenleitung
10-5 geschirmte „twisted-pair“ Telefonleitung
10-6 - 10-7 Digitale Telefonleitung der Deutschen
Telekom (ISDN)
10-9 Koaxialkabel in lokal begrenzten
Anwendungen
10-12 Glasfaserkabel 17.07.2013
Sichere Bussysteme Folie 27 von 43
Allgemeines [3]
• RCRC … Restfehlerwahrscheinlichkeit für CRC-
Polynome
• Ai … Verteilungsfaktor des Codes (bestimmt durch
Rechnersimulation oder math. Analyse)
• n … Anzahl der Bits im Block der CRC-Signatur
• Pe … Bitfehlerwahrscheinlichkeit
17.07.2013
∑=
−−⋅⋅=n
i
ine
ieieCRC PPAPR
1
)1()(
Sichere Bussysteme Folie 28 von 43
CRC-Polynome [3]
17.07.2013
• propere Polynome … spezielle Klasse von Polynomen
• r … Anzahl von CRC-Bits
• näherungsweiser Gewichtsfaktor 2-r
∑=
−− −⋅⋅
⋅=
n
dk
kne
ke
reCRC PP
kn
PRmin
)1(2)(
dmin dmax=n
12 17
8 18 ... 22
6 23 … 130
4 131 … 258
2 259
Sichere Bussysteme Folie 31 von 43
Beziehung zwischen funktionaler Sicherheit und
Datensicherheit [3]
• Datensicherheit – Schutz gegen absichtliche Angriffe
und unbeabsichtigte Veränderungen
→Bedrohungs- und Risikobeurteilung zur IT-Sicherheit
→Geeignete Grundsätze und physikalische bzw.
organisatorische Maßnahmen
→Bei Anforderung von elektronischen Maßnahmen
müssen diese im „Black Channel“ realisiert werden
17.07.2013
Sichere Bussysteme Folie 33 von 43
Funktional sicheres Kommunikationsprofil FSCP 1/1
(FF-SISTM) [3]
• Kommunikationsprofil-
familie 1 (CPF 1)
bekannt als
Foundation Fieldbus
• DIN EN 61784-3-1
Spezifikation der
Sicherheitskommuni-
kationsschicht (SCL)
• Verwendung mit
Basisprofil CP1/1 aus
DIN EN 61784-1
17.07.2013
Sichere Bussysteme Folie 34 von 43
Sicherheitsmaßnahmen [4]
17.07.2013
• Verbindungsschlüssel
− eindeutige Kennung je Kommunikationsbeziehung
− geschützt durch CRC (im Gegensatz zur „Black Channel“-Adresse)
− Übernahme bei Gerätetausch möglich
− Automatische Löschung bei Änderung der „Black Channel“-Adresse (alternativ:
Rücksetzfunktion)
• Laufende Nummer
• CRC
• Vergleich der redundant innerhalb einer Nachricht übertragenen Daten
(Sicherheitsdaten, laufende Nummer und CRC)
Sichere Bussysteme Folie 35 von 43
Fehler und Maßnahme bei FF [4]
Verzögerung
• Zeitsynchronisation im
„Black Channel“ wird
durch SCL überwacht
• SCL hat eine unabhängige
Sicherheitszeitquelle
• Vergleich der Frequenz
von FSCP 1/1 mit der
Frequenz des „Black
Channel“
• Abweichung größer als
erlaubt → „bad“-Status
Sicherheitsmaßnahmen
Kommunikations-fehler
Lauf
ende
N
umm
er
Verb
indu
ngs-
auth
entiz
ität
Date
nsic
heru
ng
Redu
ndan
z mit
Kreu
zver
glei
ch
Verfälschung X
Wiederholung X X
Falsche Abfolge X X
Verlust X X
Verzögerung
Einfügung X X X
Maskerade X
Adressierung X
17.07.2013
Sichere Bussysteme Folie 36 von 43
n … Blocklänge (Nachrichtenlänge + Anzahl der CRC-Bits)
Berechnung der Restfehlerrate [4]
Formelausdruck Wert für FSCP 1/1 ΛSL(Pe) 1,04∙10-14
Pe 10-2
RSL(Pe) 5,42∙10-20 v 6000 m 32
n 32 bis 1024
17.07.2013
n RSL(Pe) 32 5,42∙10-20 64 1,26∙10-29 96 2,94∙10-39 128 6,84∙10-49 160 1,59∙10-58
…
512 3,56∙10-176
Sichere Bussysteme Folie 38 von 43
Funktional sicheres Kommunikationsprofil FSCP 3/1
(PROFIsafeTM) [3, 6]
• Kommunikationsprofilfamilie 3
(CPF 3) bekannt als
PROFIBUS und PROFINET
• DIN EN 61784-3-3 Spezifikation der
Sicherheitskommunikationsschicht
• Realisierung mit folgenden Methoden
− (virtuelle) fortlaufende Nummer
− Ansprechzeitüberwachung mit Quittierung
− Kennung je Kommunikationsbeziehung
− CRC-Prüfung für die Datenintegrität
17.07.2013
Maßnahmen im FSCP 3/1
Kommunikations-fehler
Lauf
ende
N
umm
er
Zeite
rwar
tung
Verb
indu
ngs-
auth
entiz
ität
Date
n-sic
heru
ng
Verfälschung X
Wiederholung X
Falsche Abfolge X
Verlust X X
Verzögerung X
Einfügung X X X
Maskerade X X X
Adressierung X
Sichere Bussysteme Folie 42 von 43
Schwerpunkte
• Konzepte und Begriffe zur Sicherheit (Risiko, Grenzrisiko,
Risikoreduzierung, Sicherheitsintegritätslevel, …)
• BPCS und SIS (Unterschiede, Trennung, …)
• Sicherheitslebenszyklus
• Gefahren- und Risikoanalyse (Induktive Verfahren, Deduktive
Verfahren)
• Zuverlässigkeitsblockdiagramme
(Überlebenswahrscheinlichkeit, Ausfallwahrscheinlichkeit)
• Markov-Modelle (Verfügbarkeit, Nichtverfügbarkeit)
• Sichere Bussysteme
17.07.2013
Konsultation PLT 2 Freitag, 19.07.2013 08:30 – 10:30 BAR/E24
Sichere Bussysteme Folie 43 von 43
Quellen
[1] Klasen, F. Oestreich, V. Volz, M. (Hrsg.): Industrielle Kommunikation mit Feldbus
und Ethernet. VDE Verlag Berlin, 2010.
[2] Reinert, D., Schaefer, M.: Sichere Bussysteme für die Automation. Hüthig Verlag
Heidelberg, 2001.
[3] DIN EN 61784-3 (VDE 0803-500): Industrielle Kommunikationsnetze – Profile –
Teil 3: Funktional sichere Übertragung bei Feldbussen – Allgemeine Regeln und
Profilfestlegungen, 2011.
[4] DIN EN 61784-3-1: Industrielle Kommunikationsnetze - Profile – Teil 3-1, 2012.
[5] DIN EN 61784-3-3: Industrielle Kommunikationsnetze - Profile – Teil 3-3, 2012.
[6] PROFIBUS Nutzerorganisation e.V. PNO: PROFIsafe Systembeschreibung, 2010.
17.07.2013
top related