La norme CEI 61508 définit le terme « canal noir ». Dans la technologie de communication, il s'agit d'un canal de communication avec des propriétés non sécurisées ou inadaptées à l'application. Le « canal noir » est un élément caractéristique du « principe du canal noir », qui doit permettre d'assurer une communication sécurisée malgré les caractéristiques de sortie susmentionnées d'un canal de communication.
Comment fonctionne la communication sécurisée via le canal noir ?
Dans l'environnement de la technique de sécurité fonctionnelle, le thème du canal noir concerne principalement la transmission de signaux relatifs à la sécurité via des supports de communication normalisés (p. ex. Ethernet ou WLAN). Fondamentalement, des signaux de sécurité sont transmis de A à B. Cela peut être p. ex. le signal d'un bouton d'arrêt d'urgence, qui doit être transmis à l'automate sécurisé. On préfère que les signaux de sécurité soient transmis avec les signaux standard par un réseau commun.
Il s'agit donc plutôt d'intégrer la technique de sécurité fonctionnelle dans le réseau existant. Cela permet, entre autres, d'éviter des efforts de câblage supplémentaires et de minimiser les coûts. Cependant, les réseaux existants n'ont généralement pas été développés conformément aux exigences de la sécurité fonctionnelle. Cela peut conduire à divers cas d'erreur.
Erreurs possibles de communication :
- retransmission de télégrammes ;
- perte de télégrammes ;
- insertion de télégrammes ;
- ordre chronologique incorrect de télégrammes ;
- falsification de télégrammes ;
- retard de télégrammes ;
- mauvais adressage de télégrammes.
Comment un système de sécurité est-il construit selon la norme CEI 61508 ?
Le réseau existant ne dispose pas de mécanismes de protection suffisants, c'est pourquoi il faut superposer ici un protocole de sécurité. Le protocole de sécurité est au-dessus du protocole standard. Des mécanismes permettant de détecter et de maîtriser tous les cas d'erreur possibles ou une combinaison de plusieurs erreurs doivent être intégrés.
Exemples de mesures de détection d'erreurs :
- Compteur consécutif de télégrammes pour assurer une séquence correcte
- Surveillance avec des sommes de contrôle (CRC) pour empêcher la falsification des données
- Des « chiens de garde » sont déclenchés à chaque nouveau télégramme pour détecter les retards
En se basant sur ces mesures de détection des erreurs et sur le manque d'exigences pour le réseau de transmission, il est possible de surveiller l'intégrité de la transmission des données par le réseau.
Que se passe-t-il après la détection d'une erreur ?
Dès qu'une erreur intolérable est détectée, les systèmes ne calculent plus qu'avec des valeurs de remplacement. Concrètement, en cas de perturbation de la communication, l'automate sécurisé calcule avec la valeur de remplacement « 0 ». Cela peut être le cas p. ex. avec une entrée sécurisée et un arrêt d'urgence non actionné. Cela signifie que l'on part du principe que l'état sécurisé est « 0 », comme si l'arrêt d'urgence avait été actionné. Le module de sortie surveille l'intégrité des données en direction de sortie. Si une erreur y est détectée, des valeurs de remplacement sont transmises. Dans ce cas, toutes les sorties sécurisées du module sont coupées pour assurer la sécurité fonctionnelle.
Cette fonction est également disponible lors d'une transmission des données par une connexion sans fil. Dès que le réseau permet une transmission, p. ex. par WiFi ou Bluetooth, il est également possible de transmettre les données de sécurité. Cela en tenant compte de la largeur de bande réduite et/ou de la durée de transmission plus longue. La transmission des signaux de sécurité entre plusieurs sites est également possible par un service de cloud.
Quel est l'impact du canal noir sur la disponibilité des machines et des installations ?
Les réseaux modernes installés correctement ne représentent aucun défi concernant la disponibilité. Cependant, cela ne permet pas d'améliorer p. ex. les installations PROFIBUS DP mal installées, sans résistance de terminaison, avec des réflexions et une mauvaise équipotentialité. Probablement, la disponibilité va donc baisser.
L'idée du principe du canal noir permet une transmission commune des signaux de sécurité et standard sur pratiquement tous les supports de transmission. Ce principe est la base de la technique de sécurité fonctionnelle moderne.