Sieci bezpieczeństwa – podstawy funkcjonowania

Najprościej ujmując komunikat zorganizowany jest w postaci ramki komunikacyjnej. Ramka komunikacyjna składa się z przesłanych danych procesowych (rzeczywista informacja) i adresu (lokalizacja do której należy wysłać informacje). Dane procesowe i adresy są łączone w pakiet informacyjny. Kontrola zgodności odbywa się na danych procesowych i adresie. Najbardziej powszechnym sposobem kontrolowania poprawności przesyłanych danych jest sprawdzanie sumy kontrolnej CRC, która polega na wykorzystaniu algorytmu matematycznego w całym komunikacie. Suma kontrolna jest osobno obliczana przez odbiorcę danych na podstawie danych komunikatu, a następnie porównywana z wysłaną sumą kontrolną w celu weryfikacji. Ale to nie jest wystarczające zapewnienie ochrony danych w zastosowaniach związanych zapewnieniem bezpieczeństwa.

Czas reakcji jest zdefiniowany jako czas rozpoczynający się od elektrycznego rozpoznania przywołania funkcji bezpieczeństwa do momentu osiągnięcia stanu bezpiecznego. Przy czasach reakcji podanych w tabeli, ograniczenia związane z zastosowaniem systemu magistrali szeregowej mogą wpływać krytycznie na czas reakcji. Czas ten jest zależny od prędkości transmisji danych i od czasu przetwarzania danych w sterowniku bezpieczeństwa.

Aby sieć przemysłowa nadawała się do aplikacji związanej z bezpieczeństwem, kontroler bezpieczeństwa w systemie magistrali szeregowej musi być w stanie wykryć awarie i zapewnić poprawną komunikację danych poprzez sprawdzanie wiarygodności. W tym celu, to kontroler bezpieczeństwa (np. sterownik PLC z funkcją bezpieczeństwa) jest urządzeniem, które zarządza medium transmisyjnym, protokołem transmisji i interfejsem.

Powyższy rysunek przedstawiający model OSI dla sieci bezpieczeństwa pokazuje, że warstwa bezpieczeństwa jest obecna w aplikacji bezpieczeństwa, a nie w hardware urządzenia zarządzającego systemem magistrali szeregowej.

Do danych przesyłanych poprzez magistralę szeregową dodawane są dodatkowe dane związane z zapewnieniem autentyczności i ochrony danych. W takim stanie dane zostają przesłane do niższej warstwy transmisyjnej (warstwy fizycznej), która w swej naturze nie jest związana z bezpieczeństwem. Dlaczego? Gdyż systemy transmisji szeregowej same w sobie nie wpływają na zwiększenie bezpieczeństwa, a tym samym nie przyczyniają się do redukcji ryzyka. Ich wkład w zapewnieniu bezpieczeństwa jest zbyt mały, aby systemy magistrali szeregowych wykorzystywać w aplikacjach bezpieczeństwa bez użycia dodatkowych środków. Cała redukcja ryzyka za pomocą wspomnianych, dodatkowych środków jest realizowana za pomocą kontrolera bezpieczeństwa. Dlatego nie jest konieczne dodatkowo udowadnianie za pomocą skomplikowanych procedur, czy magistrala sieciowa spełnia warunki bezpieczeństwa.

Kontroler bezpieczeństwa, aby zredukować ryzyko związane ze stosowaniem systemów magistrali szeregowej, musi stosować metody, które pozwalają wykrywać awarie podczas transmisji danych. Do ograniczania błędów transmisji można wykorzystać kilka znanych metod. Większość z nich jest już zintegrowana w standardowych systemach transmisji szeregowej. Usterki i awarie związane z pracą systemów magistrali szeregowej muszą zostać wykryte z wymaganą niezawodnością. Do najpowszechniej stosowanych metod ograniczania błędów transmisji należą:

• Stosowanie czasu oczekiwania (timout). Metoda polega na oczekiwaniu na nadejście informacji przez z góry określony czas. Jeżeli spodziewana informacja nie nadejdzie przed upływem tego czasu, sygnalizowany jest błąd. Metoda ta znajduje częste zastosowanie do wykrywania braku potwierdzenia wcześniej wysłanej wiadomości. [1]
• Stosowanie liczby (numerowania) sekwencji. Liczba ta znajduje się w dodatkowym polu danych wiadomości i jest zwiększana co każdą wysłaną wiadomość w zdefiniowany sposób. Ponieważ liczba ta dla następnego komunikatu jest znana odbiornikowi, musi być jedynie porównywana z oczekiwaną liczbą w przyjętej definicji sekwencji. Za pomocą tej metody można wykryć błędy związane z utratą, tłumieniem i niewłaściwą sekwencją podczas transmisji.
• Stosowanie sekwencji zmian wiadomości. Polega na cyklicznej zmianie sposobu zapisu zawartości wybranego pola lub wszystkich wysyłanych danych. W najprostszej wersji może polegać na negowaniu wszystkich bitów w co drugiej wiadomości. W innych rozwiązaniach stosuje się kilka z góry ustalonych sekwencji danych, kolejno umieszczanych w wysłanych ramkach. Efekt działania tej metody jest podobny do numerowania ramek. Pozwala na wykrycie zgubienia wiadomości i zmiany ich kolejności [1].
• Stosowanie znaczników czasu (stempel czasowy) do każdej wiadomości. Znacznik ten określa czas, w jakim nadawca kreuje wiadomość do przesłania. Pozwala to odbiorcy ocenić aktualność otrzymanej informacji oraz wykryć opóźnienia w przesyłaniu informacji. Używając znaczników czasu można wykryć retransmisję, błędy transmisji, błąd sekwencji i opóźnienie. Korzystając ze znacznika czasu, odbiornik sprawdza, czy czas między dwoma wiadomościami przekracza określony limit. Jeśli limity czasowe zostały przekroczone, odbiorca otrzymuje informację, że wystąpił błąd, a ruchy, które mogą prowadzić do niebezpiecznych sytuacji, muszą zostać zatrzymane. Czas oczekiwania może być wykorzystany do wykrycia opóźnienia błędu transmisji i jest obowiązkowy dla każdego systemu magistrali szeregowej, ponieważ znacznik czasu jest odpowiednikiem stanu spoczynkowego.
• Stosowanie potwierdzenia transmisji. Po pomyślnym odbiorze wiadomości, odbiorca wysyła do nadawcy potwierdzenie odebranej wiadomości. Używając echa, wiadomość można powtórzyć, a nadawca może sprawdzić, czy wiadomość została poprawnie wysłana. W tym przypadku, można wykryć utratę, przekłamanie i uszkodzenie danych podczas transmisji.
• Stosowanie identyfikatora nadawcy i odbiorcy. Nadawca i odbiorca identyfikują się nawzajem, rozpoznając określony identyfikator dodany do wiadomości. Ta metoda wykrywa przekłamania spowodowane wstawieniem do wiadomości informacji przez nieautoryzowanego nadawcę. Metoda redundancyjna z porównaniem krzyżowym zakłada, że ​​nadajnik i odbiornik mają dwa kanały komunikacyjne. Odebrane wiadomości są porównywane w celu rozpoznania poprawności transmisji. Wykryte różnice oznaczają błąd. Używając tego rodzaju redundancji, wykrywane są błędy retransmisji, utraty, przekłamania i niewłaściwej sekwencji danych podczas transmisji.
• Stosowanie redundancji (powtarzania) wiadomości. Metoda uzupełnia mechanizmy przeterminowania i potwierdzania. Polega na powtórnym wysłaniu ramki w przypadku braku potwierdzenia jej odebrania. Często stosowanym podejściem jest również okresowe powtarzanie / rozgłaszanie tej samej informacji bez czekania na potwierdzenie [1].
• Stosowanie ochrony danych. To metoda, w której treść danych wiadomości jest testowana pod kątem prawidłowej transmisji u odbiorcy wiadomości. Dane dotyczące ochrony są zwykle umieszczane w wiadomości i zawiera na przykład cykliczny kod nadmiarowy CRC, kod Hamminga, czy redundantną transmisję danych.

Metody opisane powyżej podsumowano w skrócie w poniższej tabeli.  Aby poprawić wydajność systemu magistrali szeregowej do poziomu związanego z bezpieczeństwem, musi być zaznaczona przynajmniej jedna komórka w każdym rzędzie w poniższej tabeli. Metody muszą być w całości wdrożone w programowalnych urządzeniach związanych z bezpieczeństwem, zarządzających siecią przemysłową, będącą w swej naturze systemem magistrali szeregowej. Metody muszą być wdrożone zgodnie z wymaganym SIL, określonym w normie IEC 61508. Protokół używany do transmisji danych związanych z bezpieczeństwem za pośrednictwem systemów magistrali szeregowej musi zostać w tym celu odpowiednio zmodyfikowany.

Metoda wykrywania	Liczba (numerowanie) sekwencji	Znacznik (stempel) czasu	Czas oczekiwania (timout)	Ochrona danych	Potwierdzenie transmisji	Redundancja (powtarzanie) wiadomości	Sekwencja zmian wiadomości
Rodzaj błędu
Przekłamanie danych
Utrata wiadomości
Powtórzenie wiadomości
Opóźnienie
Niepoprawna kolejność
Wtrącenie wiadomości

[1] „Podstawy Bezpieczeństwa Funkcjonalnego” pod red. T Kosmowskiego