Fakultät Elektro- & Informationstechnik, Institut für Automatisierungstechnik, Professur für Prozessleittechnik Dresden, 17.07.2013 Vorlesung - Prozessleittechnik 2 (PLT 2) Sicherheit und Zuverlässigkeit von Prozessanlagen – Sichere Bussysteme A. Krause, L. Urbas
43
Embed
Vorlesung Prozessleittechnik 2 - TU Dresden · Fakultät Elektro - & Informationstechnik, Institut für Automatisierungstechnik, Professur für Prozessleittechnik Dresden, 17.07.2013
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Fakultät Elektro- & Informationstechnik, Institut für Automatisierungstechnik, Professur für Prozessleittechnik
Dresden, 17.07.2013
Vorlesung - Prozessleittechnik 2 (PLT 2) Sicherheit und Zuverlässigkeit von Prozessanlagen – Sichere Bussysteme
A. Krause, L. Urbas
Sichere Bussysteme Folie 2 von 43
[2]
Motivation
Warum Bussysteme? [1]
• Verdrahtungskosten
• Inbetriebnahme- und
Wartungskosten
• Konfiguration und
Parametrierung
• Diagnose und Fehlersuche
• Wiederverwendbarkeit →
Implementierungszeiten
und -kosten bei
Folgeprojekten
17.07.2013
Wiederholung
Verlust
Einfügung
Falsche Abfolge
Verfälschung
Verzögerung
Sichere Bussysteme Folie 3 von 43
Agenda
17.07.2013
• Grundlagen von sicherheitsrelevanten Feldbussystemen
• Kommunikationsprofile
• Datenintegrität
• CRC-Prüfung
• Datensicherheit
• Foundation Fieldbus
• PROFIsafe
Sichere Bussysteme Folie 4 von 43
GRUNDLAGEN VON SICHERHEITSRELEVANTEN FELDBUSSYSTEMEN 17.07.2013
Sichere Bussysteme Folie 5 von 43
Struktur einer Sicherheitsfunktion [3]
17.07.2013
Sichere Bussysteme Folie 6 von 43
Kommunikationsfehler [3] (1/3)
17.07.2013
• Verfälschung: Nachricht wird verfälscht
• Unbeabsichtigte Wiederholung: Alte, nicht
aktuelle Nachricht wird zur falschen Zeit wiederholt
• Falsche Abfolge: die den Nachrichten einer Quelle
zugeordnete Abfolge ist falsch
• Verlust: eine Nachricht wird nicht empfangen oder
quittiert
Sichere Bussysteme Folie 7 von 43
Kommunikationsfehler [3] (2/3)
17.07.2013
• Inakzeptable Verzögerung: Nachricht ist über ihr
zulässiges Empfangsfenster hinaus verzögert
• Adressierung: eine sicherheitsrelevante Nachricht
wird an den falschen sicherheitsrelevanten Teilnehmer
gesandt, der dann den Empfang als korrekt behandelt
• Einfügung: eine Nachricht wird eingefügt, die sich auf
eine unerwartete/unerkannte Quelle bezieht
Sichere Bussysteme Folie 8 von 43
Kommunikationsfehler [3] (3/3)
17.07.2013
• Maskerade: eine Nachricht wird eingefügt, die von
einer scheinbar zulässigen Quelle stammt, so dass eine
nicht-sicherheitsrelevante Nachricht vom
sicherheitsrelevanten Teilnehmer empfangen wird, der
sie dann als sicherheitsrelevant behandelt
Sichere Bussysteme Folie 9 von 43
Maßnahmen gegen deterministische Fehler [3]
• Laufende Nummer
• Zeitstempel
• Zeiterwartung
• Verbindungsauthentizität
• Rückmeldung
• Datensicherung
• Redundanz im Kreuzvergleich
• Unterschiedliche Sicherungssysteme für die Datenintegrität
17.07.2013
Sichere Bussysteme Folie 10 von 43
Beziehung zwischen Fehler und Maßnahme [3]
Sicherheitsmaßnahmen
Kommunikations-fehler
Lauf
ende
N
umm
er
Zeitm
arke
Zeite
rwar
tung
Verb
indu
ngs-
auth
entiz
ität
Rück
mel
dung
Date
n-sic
heru
ng
Redu
ndan
z mit
Kreu
zver
glei
ch
Unt
ersc
hied
l. Si
cher
heru
ngs-
syst
eme
für
Date
nint
egrit
ät
Verfälschung X X Wiederholung X X X Falsche Abfolge X X X X Verlust X X Verzögerung X X Einfügung X X X X Maskerade X X X Adressierung X
17.07.2013
Sichere Bussysteme Folie 11 von 43
KOMMUNIKATIONSPROFILE
17.07.2013
Sichere Bussysteme Folie 12 von 43
Beziehung der IEC/DIN EN 61784-3 zu anderen
Standards der Prozessindustrie [5, 6]
17.07.2013
Sichere Bussysteme Folie 13 von 43
IEC 61158-1: Überblick und Anleitung für die
Normserien DIN EN 61158 und DIN EN 61784
17.07.2013
Sichere Bussysteme Folie 14 von 43
DIN EN 61158
Industrielle Kommunikationsnetze - Feldbusse
• DIN EN 61158-2 Spezifikation und Dienstfestlegungen des
Physical layer (Bitübertragungsschicht)
• DIN EN 61158-3-xx Dienstfestlegungen des Data Link layer
(Sicherungsschicht)
• DIN EN 61158-4-xx Protokollspezifikation des Data Link Layer
(Sicherungsschicht)
• DIN EN 61158-5-xx Dienstfestlegungen des Application Layer
(Anwendungsschicht)
• DIN EN 61158-6-xx Protokollspezifikation des Application Layer
(Anwendungsschicht)
17.07.2013
Sichere Bussysteme Folie 15 von 43
DIN EN 61784
Industrielle Kommunikationsnetze - Profile
• DIN EN 61784-1 Industrielle Kommunikationsnetze - Profile - Teil 1:
Feldbusprofile
• DIN EN 61784-2 Industrielle Kommunikationsnetze - Profile - Teil 2:
Zusätzliche Feldbusprofile für Echtzeitnetzwerke basierend auf
ISO/IEC 8802-3
• DIN EN 61784-3 Industrielle Kommunikationsnetze - Profile - Teil 3:
Funktional sichere Übertragung bei Feldbussen - Allgemeine Regeln und
Profilfestlegungen
• DIN EN 61784-3-xx Industrielle Kommunikationsnetze - Profile - Teil 3-xx:
Funktional sichere Übertragung bei Feldbussen - Zusätzliche Festlegungen für
die Kommunikationsprofilfamilie xx
• DIN EN 61784-5-xx Industrielle Kommunikationsnetze - Profile - Teil 5-xx:
Feldbusinstallation - Installationsprofile für die
Kommunikationsprofilfamilie xx
17.07.2013
Sichere Bussysteme Folie 16 von 43
Sichere Kommunikation [3]
Technologie
• IEC 61508 legt keine bestimmte
Kommunikationstechnologie fest
• DIN EN 61784-3 konzentriert sich auf feldbusbasierte,
funktional sichere Bussysteme
Kanaltypen
• „Black Channel“ Kommunikationskanal ohne verfügbaren
Nachweis des Entwurfs oder der Validierung nach IEC 61508
• „White Channel“
17.07.2013
Sichere Bussysteme Folie 17 von 43
Modellbeispiel für die Funktionsweise von „Black
Channel“ [3]
17.07.2013
Sichere Bussysteme Folie 18 von 43
Reaktionszeit einer Sicherheitsfunktion [3]
17.07.2013
• Anforderung eines Sicherheitssensors bis zum Erreichen des
sicheren Zustandes des Aktors (unter Berücksichtigung von Fehlern
und Ausfällen im Übertragungskanal)
• Je Kommunikationsprofil unterschiedliche Bestandteile, aber alle
relevanten Anteile müssen aufgeführt sein
Sichere Bussysteme Folie 19 von 43
DATENINTEGRITÄT
17.07.2013
Sichere Bussysteme Folie 20 von 43
Datenintegritätssicherung [3]
• Problem: Verfälschung der Sicherheitsdaten
• Ziel: geringe Restfehlerrate
• Methode: passende Hash-Funktionen
− Paritätsbit
− Cyclic Redundancy Check (CRC-Prüfung)
− Nachrichtenwiederholung
− ähnliche Formen der Redundanz (der Daten)
17.07.2013
Sichere Bussysteme Folie 21 von 43
Berechnung der Restfehlerrate nach [3]
17.07.2013
Formelausdruck Definition
ΛSL(Pe) Restfehlerrate der Sicherheitskommunikationsschicht je Stunde bezogen auf die Bitfehlerwahrscheinlichkeit
Pe Bitfehlerwahrscheinlichkeit
RSL(Pe) Restfehlerwahrscheinlichkeit einer Sicherheitsnachricht
v Maximale Anzahl von Sicherheitsnachrichten pro Stunde
m Maximale Anzahl von Informationssenken
mvRP SLeSL ⋅⋅=Λ )(
Sichere Bussysteme Folie 22 von 43
Restfehlerrate und SIL [3]
Betriebsart mit kontinuierlicher
Anforderung
Wahrscheinlichkeit eines gefahrbringenden
Fehlers je Stunde für das funktional sichere
Kommunikationssystem (1% vom SIF)
Maximal zulässige Restfehlerrate
für das funktional sichere
Kommunikationssystem SIL PFH
(Ausfälle pro Stunde)
4 ≥ 10-9 bis < 10-8 < 10-8 ΛSL < 10-8/h
3 ≥ 10-8 bis < 10-7 < 10-7 ΛSL < 10-7/h
2 ≥ 10-7 bis < 10-6 < 10-6 ΛSL < 10-6/h
1 ≥ 10-6 bis < 10-5 < 10-5 ΛSL < 10-5/h
17.07.2013
Sichere Bussysteme Folie 23 von 43
Kanalmodell – Restfehler [3]
• Binärer symmetrischer Kanal
• gleiche Bitfehlerwahrscheinlichkeit für jedes Bit Pe=P
• n … Blocklänge der Sicherheitsdaten
• Pn(k) … Wahrscheinlichkeit von k gestörten Bits in
einem Block der Länge n
17.07.2013
kne
ken PP
kn
kP −−⋅⋅
= )1()(
Sichere Bussysteme Folie 24 von 43
Bestimmung der Restfehlerwahrscheinlichkeit [3]
• Fiktive Kodierung – Fehleraufdeckung bis d-1 Fehler
• d … Hamming-Distanz
• RUL … obere Grenze der Restfehlerwahrscheinlichkeit
17.07.2013
∑
∑
∑
=
−
=
−
=
−⋅⋅−⋅
=
−⋅⋅
=
=
n
dk
kne
ke
n
dk
kne
ke
n
dkneUL
PPknk
n
PPkn
PPR
)1()!(!
!
)1(
)(
Sichere Bussysteme Folie 25 von 43
Bitfehlerwahrscheinlichkeit Pe [2]
Bitfehlerwahrscheinlichkeit Pe Übertragungsmedium
> 10-3 Funkstrecke
10-4 ungeschirmte Datenleitung
10-5 geschirmte „twisted-pair“ Telefonleitung
10-6 - 10-7 Digitale Telefonleitung der Deutschen
Telekom (ISDN)
10-9 Koaxialkabel in lokal begrenzten
Anwendungen
10-12 Glasfaserkabel 17.07.2013
Sichere Bussysteme Folie 26 von 43
CRC-PRÜFUNG
17.07.2013
Sichere Bussysteme Folie 27 von 43
Allgemeines [3]
• RCRC … Restfehlerwahrscheinlichkeit für CRC-
Polynome
• Ai … Verteilungsfaktor des Codes (bestimmt durch
Rechnersimulation oder math. Analyse)
• n … Anzahl der Bits im Block der CRC-Signatur
• Pe … Bitfehlerwahrscheinlichkeit
17.07.2013
∑=
−−⋅⋅=n
i
ine
ieieCRC PPAPR
1
)1()(
Sichere Bussysteme Folie 28 von 43
CRC-Polynome [3]
17.07.2013
• propere Polynome … spezielle Klasse von Polynomen
• r … Anzahl von CRC-Bits
• näherungsweiser Gewichtsfaktor 2-r
∑=
−− −⋅⋅
⋅=
n
dk
kne
ke
reCRC PP
kn
PRmin
)1(2)(
dmin dmax=n
12 17
8 18 ... 22
6 23 … 130
4 131 … 258
2 259
Sichere Bussysteme Folie 29 von 43
Propere und nicht-propere CRC-Polynome [3]
17.07.2013
Sichere Bussysteme Folie 30 von 43
DATENSICHERHEIT
17.07.2013
Sichere Bussysteme Folie 31 von 43
Beziehung zwischen funktionaler Sicherheit und
Datensicherheit [3]
• Datensicherheit – Schutz gegen absichtliche Angriffe
und unbeabsichtigte Veränderungen
→Bedrohungs- und Risikobeurteilung zur IT-Sicherheit
→Geeignete Grundsätze und physikalische bzw.
organisatorische Maßnahmen
→Bei Anforderung von elektronischen Maßnahmen
müssen diese im „Black Channel“ realisiert werden
17.07.2013
Sichere Bussysteme Folie 32 von 43
FOUNDATION FIELDBUS
17.07.2013
Sichere Bussysteme Folie 33 von 43
Funktional sicheres Kommunikationsprofil FSCP 1/1
(FF-SISTM) [3]
• Kommunikationsprofil-
familie 1 (CPF 1)
bekannt als
Foundation Fieldbus
• DIN EN 61784-3-1
Spezifikation der
Sicherheitskommuni-
kationsschicht (SCL)
• Verwendung mit
Basisprofil CP1/1 aus
DIN EN 61784-1
17.07.2013
Sichere Bussysteme Folie 34 von 43
Sicherheitsmaßnahmen [4]
17.07.2013
• Verbindungsschlüssel
− eindeutige Kennung je Kommunikationsbeziehung
− geschützt durch CRC (im Gegensatz zur „Black Channel“-Adresse)
− Übernahme bei Gerätetausch möglich
− Automatische Löschung bei Änderung der „Black Channel“-Adresse (alternativ:
Rücksetzfunktion)
• Laufende Nummer
• CRC
• Vergleich der redundant innerhalb einer Nachricht übertragenen Daten
(Sicherheitsdaten, laufende Nummer und CRC)
Sichere Bussysteme Folie 35 von 43
Fehler und Maßnahme bei FF [4]
Verzögerung
• Zeitsynchronisation im
„Black Channel“ wird
durch SCL überwacht
• SCL hat eine unabhängige
Sicherheitszeitquelle
• Vergleich der Frequenz
von FSCP 1/1 mit der
Frequenz des „Black
Channel“
• Abweichung größer als
erlaubt → „bad“-Status
Sicherheitsmaßnahmen
Kommunikations-fehler
Lauf
ende
N
umm
er
Verb
indu
ngs-
auth
entiz
ität
Date
nsic
heru
ng
Redu
ndan
z mit
Kreu
zver
glei
ch
Verfälschung X
Wiederholung X X
Falsche Abfolge X X
Verlust X X
Verzögerung
Einfügung X X X
Maskerade X
Adressierung X
17.07.2013
Sichere Bussysteme Folie 36 von 43
n … Blocklänge (Nachrichtenlänge + Anzahl der CRC-Bits)
Berechnung der Restfehlerrate [4]
Formelausdruck Wert für FSCP 1/1 ΛSL(Pe) 1,04∙10-14