Vorlesung Prozessleittechnik 2 - TU Dresden · Fakultät Elektro - & Informationstechnik, Institut für Automatisierungstechnik, Professur für Prozessleittechnik Dresden, 17.07.2013

Fakultät Elektro- & Informationstechnik, Institut für Automatisierungstechnik, Professur für Prozessleittechnik

Dresden, 17.07.2013

Vorlesung - Prozessleittechnik 2 (PLT 2) Sicherheit und Zuverlässigkeit von Prozessanlagen – Sichere Bussysteme

A. Krause, L. Urbas

Sichere Bussysteme Folie 2 von 43

[2]

Motivation

Warum Bussysteme? [1]

• Verdrahtungskosten

• Inbetriebnahme- und

Wartungskosten

• Konfiguration und

Parametrierung

• Diagnose und Fehlersuche

• Wiederverwendbarkeit →

Implementierungszeiten

und -kosten bei

Folgeprojekten

17.07.2013

Wiederholung

Verlust

Einfügung

Falsche Abfolge

Verfälschung

Verzögerung


Agenda

17.07.2013

• Grundlagen von sicherheitsrelevanten Feldbussystemen

• Kommunikationsprofile

• Datenintegrität

• CRC-Prüfung

• Datensicherheit

• Foundation Fieldbus

• PROFIsafe


GRUNDLAGEN VON SICHERHEITSRELEVANTEN FELDBUSSYSTEMEN 17.07.2013


Struktur einer Sicherheitsfunktion [3]

17.07.2013


Kommunikationsfehler [3] (1/3)

17.07.2013

• Verfälschung: Nachricht wird verfälscht

• Unbeabsichtigte Wiederholung: Alte, nicht

aktuelle Nachricht wird zur falschen Zeit wiederholt

• Falsche Abfolge: die den Nachrichten einer Quelle

zugeordnete Abfolge ist falsch

• Verlust: eine Nachricht wird nicht empfangen oder

quittiert



17.07.2013

• Inakzeptable Verzögerung: Nachricht ist über ihr

zulässiges Empfangsfenster hinaus verzögert

• Adressierung: eine sicherheitsrelevante Nachricht

wird an den falschen sicherheitsrelevanten Teilnehmer

gesandt, der dann den Empfang als korrekt behandelt

• Einfügung: eine Nachricht wird eingefügt, die sich auf

eine unerwartete/unerkannte Quelle bezieht



17.07.2013

• Maskerade: eine Nachricht wird eingefügt, die von

einer scheinbar zulässigen Quelle stammt, so dass eine

nicht-sicherheitsrelevante Nachricht vom

sicherheitsrelevanten Teilnehmer empfangen wird, der

sie dann als sicherheitsrelevant behandelt


Maßnahmen gegen deterministische Fehler [3]

• Laufende Nummer

• Zeitstempel

• Zeiterwartung

• Verbindungsauthentizität

• Rückmeldung

• Datensicherung

• Redundanz im Kreuzvergleich

• Unterschiedliche Sicherungssysteme für die Datenintegrität

17.07.2013


Beziehung zwischen Fehler und Maßnahme [3]

Sicherheitsmaßnahmen

Kommunikations-fehler

Lauf

ende

N

umm

er

Zeitm

arke

Zeite

rwar

tung

Verb

indu

ngs-

auth

entiz

ität

Rück

mel

dung

Date

n-sic

heru

ng

Redu

ndan

z mit

Kreu

zver

glei

ch

Unt

ersc

hied

l. Si

cher

heru

ngs-

syst

eme

für

Date

nint

egrit

ät

Verfälschung X X Wiederholung X X X Falsche Abfolge X X X X Verlust X X Verzögerung X X Einfügung X X X X Maskerade X X X Adressierung X

17.07.2013


KOMMUNIKATIONSPROFILE

17.07.2013


Beziehung der IEC/DIN EN 61784-3 zu anderen

Standards der Prozessindustrie [5, 6]

17.07.2013


IEC 61158-1: Überblick und Anleitung für die

Normserien DIN EN 61158 und DIN EN 61784

17.07.2013


DIN EN 61158

Industrielle Kommunikationsnetze - Feldbusse

• DIN EN 61158-2 Spezifikation und Dienstfestlegungen des

Physical layer (Bitübertragungsschicht)

• DIN EN 61158-3-xx Dienstfestlegungen des Data Link layer

(Sicherungsschicht)

• DIN EN 61158-4-xx Protokollspezifikation des Data Link Layer

(Sicherungsschicht)

• DIN EN 61158-5-xx Dienstfestlegungen des Application Layer

(Anwendungsschicht)

• DIN EN 61158-6-xx Protokollspezifikation des Application Layer

(Anwendungsschicht)

17.07.2013


DIN EN 61784

Industrielle Kommunikationsnetze - Profile

• DIN EN 61784-1 Industrielle Kommunikationsnetze - Profile - Teil 1:

Feldbusprofile


Zusätzliche Feldbusprofile für Echtzeitnetzwerke basierend auf

ISO/IEC 8802-3


Funktional sichere Übertragung bei Feldbussen - Allgemeine Regeln und

Profilfestlegungen

• DIN EN 61784-3-xx Industrielle Kommunikationsnetze - Profile - Teil 3-xx:

Funktional sichere Übertragung bei Feldbussen - Zusätzliche Festlegungen für

die Kommunikationsprofilfamilie xx

• DIN EN 61784-5-xx Industrielle Kommunikationsnetze - Profile - Teil 5-xx:

Feldbusinstallation - Installationsprofile für die

Kommunikationsprofilfamilie xx

17.07.2013


Sichere Kommunikation [3]

Technologie

• IEC 61508 legt keine bestimmte

Kommunikationstechnologie fest

• DIN EN 61784-3 konzentriert sich auf feldbusbasierte,

funktional sichere Bussysteme

Kanaltypen

• „Black Channel“ Kommunikationskanal ohne verfügbaren

Nachweis des Entwurfs oder der Validierung nach IEC 61508

• „White Channel“

17.07.2013


Modellbeispiel für die Funktionsweise von „Black

Channel“ [3]

17.07.2013


Reaktionszeit einer Sicherheitsfunktion [3]

17.07.2013

• Anforderung eines Sicherheitssensors bis zum Erreichen des

sicheren Zustandes des Aktors (unter Berücksichtigung von Fehlern

und Ausfällen im Übertragungskanal)

• Je Kommunikationsprofil unterschiedliche Bestandteile, aber alle

relevanten Anteile müssen aufgeführt sein


DATENINTEGRITÄT

17.07.2013


Datenintegritätssicherung [3]

• Problem: Verfälschung der Sicherheitsdaten

• Ziel: geringe Restfehlerrate

• Methode: passende Hash-Funktionen

− Paritätsbit

− Cyclic Redundancy Check (CRC-Prüfung)

− Nachrichtenwiederholung

− ähnliche Formen der Redundanz (der Daten)

17.07.2013


Berechnung der Restfehlerrate nach [3]

17.07.2013

Formelausdruck Definition

ΛSL(Pe) Restfehlerrate der Sicherheitskommunikationsschicht je Stunde bezogen auf die Bitfehlerwahrscheinlichkeit

Pe Bitfehlerwahrscheinlichkeit

RSL(Pe) Restfehlerwahrscheinlichkeit einer Sicherheitsnachricht

v Maximale Anzahl von Sicherheitsnachrichten pro Stunde

m Maximale Anzahl von Informationssenken

mvRP SLeSL ⋅⋅=Λ )(


Restfehlerrate und SIL [3]

Betriebsart mit kontinuierlicher

Anforderung

Wahrscheinlichkeit eines gefahrbringenden

Fehlers je Stunde für das funktional sichere

Kommunikationssystem (1% vom SIF)

Maximal zulässige Restfehlerrate

für das funktional sichere

Kommunikationssystem SIL PFH

(Ausfälle pro Stunde)

4 ≥ 10-9 bis < 10-8 < 10-8 ΛSL < 10-8/h

3 ≥ 10-8 bis < 10-7 < 10-7 ΛSL < 10-7/h

2 ≥ 10-7 bis < 10-6 < 10-6 ΛSL < 10-6/h

1 ≥ 10-6 bis < 10-5 < 10-5 ΛSL < 10-5/h

17.07.2013


Kanalmodell – Restfehler [3]

• Binärer symmetrischer Kanal

• gleiche Bitfehlerwahrscheinlichkeit für jedes Bit Pe=P

• n … Blocklänge der Sicherheitsdaten

• Pn(k) … Wahrscheinlichkeit von k gestörten Bits in

einem Block der Länge n

17.07.2013

kne

ken PP

kn

kP −−⋅⋅

= )1()(


Bestimmung der Restfehlerwahrscheinlichkeit [3]

• Fiktive Kodierung – Fehleraufdeckung bis d-1 Fehler

• d … Hamming-Distanz

• RUL … obere Grenze der Restfehlerwahrscheinlichkeit

17.07.2013

∑

∑

∑

=

−

=

−

=

−⋅⋅−⋅

=

−⋅⋅

=

=

n

dk

kne

ke

n

dk

kne

ke

n

dkneUL

PPknk

n

PPkn

PPR

)1()!(!

!

)1(

)(


Bitfehlerwahrscheinlichkeit Pe [2]

Bitfehlerwahrscheinlichkeit Pe Übertragungsmedium

> 10-3 Funkstrecke

10-4 ungeschirmte Datenleitung

10-5 geschirmte „twisted-pair“ Telefonleitung

10-6 - 10-7 Digitale Telefonleitung der Deutschen

Telekom (ISDN)

10-9 Koaxialkabel in lokal begrenzten

Anwendungen

10-12 Glasfaserkabel 17.07.2013


CRC-PRÜFUNG

17.07.2013


Allgemeines [3]

• RCRC … Restfehlerwahrscheinlichkeit für CRC-

Polynome

• Ai … Verteilungsfaktor des Codes (bestimmt durch

Rechnersimulation oder math. Analyse)

• n … Anzahl der Bits im Block der CRC-Signatur

• Pe … Bitfehlerwahrscheinlichkeit

17.07.2013

∑=

−−⋅⋅=n

i

ine

ieieCRC PPAPR

1

)1()(


CRC-Polynome [3]

17.07.2013

• propere Polynome … spezielle Klasse von Polynomen

• r … Anzahl von CRC-Bits

• näherungsweiser Gewichtsfaktor 2-r

∑=

−− −⋅⋅

⋅=

n

dk

kne

ke

reCRC PP

kn

PRmin

)1(2)(

dmin dmax=n

12 17

8 18 ... 22

6 23 … 130

4 131 … 258

2 259


Propere und nicht-propere CRC-Polynome [3]

17.07.2013


DATENSICHERHEIT

17.07.2013


Beziehung zwischen funktionaler Sicherheit und

Datensicherheit [3]

• Datensicherheit – Schutz gegen absichtliche Angriffe

und unbeabsichtigte Veränderungen

→Bedrohungs- und Risikobeurteilung zur IT-Sicherheit

→Geeignete Grundsätze und physikalische bzw.

organisatorische Maßnahmen

→Bei Anforderung von elektronischen Maßnahmen

müssen diese im „Black Channel“ realisiert werden

17.07.2013


FOUNDATION FIELDBUS

17.07.2013


Funktional sicheres Kommunikationsprofil FSCP 1/1

(FF-SISTM) [3]

• Kommunikationsprofil-

familie 1 (CPF 1)

bekannt als

Foundation Fieldbus

• DIN EN 61784-3-1

Spezifikation der

Sicherheitskommuni-

kationsschicht (SCL)

• Verwendung mit

Basisprofil CP1/1 aus

DIN EN 61784-1

17.07.2013


Sicherheitsmaßnahmen [4]

17.07.2013

• Verbindungsschlüssel

− eindeutige Kennung je Kommunikationsbeziehung

− geschützt durch CRC (im Gegensatz zur „Black Channel“-Adresse)

− Übernahme bei Gerätetausch möglich

− Automatische Löschung bei Änderung der „Black Channel“-Adresse (alternativ:

Rücksetzfunktion)

• Laufende Nummer

• CRC

• Vergleich der redundant innerhalb einer Nachricht übertragenen Daten

(Sicherheitsdaten, laufende Nummer und CRC)


Fehler und Maßnahme bei FF [4]

Verzögerung

• Zeitsynchronisation im

„Black Channel“ wird

durch SCL überwacht

• SCL hat eine unabhängige

Sicherheitszeitquelle

• Vergleich der Frequenz

von FSCP 1/1 mit der

Frequenz des „Black

Channel“

• Abweichung größer als

erlaubt → „bad“-Status

Sicherheitsmaßnahmen


Lauf

ende

N

umm

er

Verb

indu

ngs-

auth

entiz

ität

Date

nsic

heru

ng

Redu

ndan

z mit

Kreu

zver

glei

ch

Verfälschung X

Wiederholung X X

Falsche Abfolge X X

Verlust X X

Verzögerung

Einfügung X X X

Maskerade X

Adressierung X

17.07.2013


n … Blocklänge (Nachrichtenlänge + Anzahl der CRC-Bits)

Berechnung der Restfehlerrate [4]

Formelausdruck Wert für FSCP 1/1 ΛSL(Pe) 1,04∙10-14

Pe 10-2

RSL(Pe) 5,42∙10-20 v 6000 m 32

n 32 bis 1024

17.07.2013

n RSL(Pe) 32 5,42∙10-20 64 1,26∙10-29 96 2,94∙10-39 128 6,84∙10-49 160 1,59∙10-58

…

512 3,56∙10-176


PROFISAFE

17.07.2013


Funktional sicheres Kommunikationsprofil FSCP 3/1

(PROFIsafeTM) [3, 6]

• Kommunikationsprofilfamilie 3

(CPF 3) bekannt als

PROFIBUS und PROFINET

• DIN EN 61784-3-3 Spezifikation der

Sicherheitskommunikationsschicht

• Realisierung mit folgenden Methoden

− (virtuelle) fortlaufende Nummer

− Ansprechzeitüberwachung mit Quittierung

− Kennung je Kommunikationsbeziehung

− CRC-Prüfung für die Datenintegrität

17.07.2013

Maßnahmen im FSCP 3/1


Lauf

ende

N

umm

er

Zeite

rwar

tung

Verb

indu

ngs-

auth

entiz

ität

Date

n-sic

heru

ng

Verfälschung X

Wiederholung X

Falsche Abfolge X

Verlust X X

Verzögerung X

Einfügung X X X

Maskerade X X X

Adressierung X


Aufbau der Sicherheitsnachricht [5]

17.07.2013


Restfehlerwahrscheinlichkeit mit CRC2 [5]

17.07.2013


PRÜFUNG PLT 2

17.07.2013


Schwerpunkte

• Konzepte und Begriffe zur Sicherheit (Risiko, Grenzrisiko,

Risikoreduzierung, Sicherheitsintegritätslevel, …)

• BPCS und SIS (Unterschiede, Trennung, …)

• Sicherheitslebenszyklus

• Gefahren- und Risikoanalyse (Induktive Verfahren, Deduktive

Verfahren)

• Zuverlässigkeitsblockdiagramme

(Überlebenswahrscheinlichkeit, Ausfallwahrscheinlichkeit)

• Markov-Modelle (Verfügbarkeit, Nichtverfügbarkeit)

• Sichere Bussysteme

17.07.2013

Konsultation PLT 2 Freitag, 19.07.2013 08:30 – 10:30 BAR/E24


Quellen

[1] Klasen, F. Oestreich, V. Volz, M. (Hrsg.): Industrielle Kommunikation mit Feldbus

und Ethernet. VDE Verlag Berlin, 2010.

[2] Reinert, D., Schaefer, M.: Sichere Bussysteme für die Automation. Hüthig Verlag

Heidelberg, 2001.

[3] DIN EN 61784-3 (VDE 0803-500): Industrielle Kommunikationsnetze – Profile –

Teil 3: Funktional sichere Übertragung bei Feldbussen – Allgemeine Regeln und

Profilfestlegungen, 2011.

[4] DIN EN 61784-3-1: Industrielle Kommunikationsnetze - Profile – Teil 3-1, 2012.

[5] DIN EN 61784-3-3: Industrielle Kommunikationsnetze - Profile – Teil 3-3, 2012.

[6] PROFIBUS Nutzerorganisation e.V. PNO: PROFIsafe Systembeschreibung, 2010.

17.07.2013

Documents

Vorlesung Prozessleittechnik 2 - TU Dresden · Fakultät Elektro - & Informationstechnik, Institut für Automatisierungstechnik, Professur für Prozessleittechnik Dresden, 17.07.2013