Принцип «чорного каналу»

Контроль цілісності

У стандарті IEC 61508 визначено поняття «чорного каналу». У сфері технології функціональної безпеки під цим терміном розуміють канал зв’язку з незахищеними або невідповідними для цього застосування характеристиками.

За допомогою наших систем вводу/виводу з підтримкою PROFIsafe можна легко й надійно інтегрувати технологію функціональної безпеки у вибрану мережу — як у шафі керування, так і в полі.

Ознайомтеся з модулями вводу/виводу PROFIsafe
Зображення «чорного каналу»

Стандарт IEC 61508 визначає поняття «чорного каналу». У технологіях обміну даними під цим терміном розуміють канал зв’язку з незахищеними або невідповідними для застосування характеристиками. «Чорний канал» — характерний елемент так званого «принципу чорного каналу», у якому має бути гарантовано безпечний зв’язок незважаючи на зазначені вихідні характеристики каналу зв’язку.

Як працює безпечний обмін даними через «чорний канал»?

У сфері технології функціональної безпеки тема «чорного каналу» переважно стосується передачі сигналів безпеки за допомогою стандартизованих засобів комунікації (наприклад, Ethernet або WLAN). Передача сигналів безпеки переважно здійснюється з точки A в точку B. Наприклад, це може бути сигнал пристрою аварійної зупинки, який передається на безпечний контролер. Цілком зрозуміле прагнення, щоб сигнали безпеки могли передаватися разом зі стандартними сигналами через загальну мережу.

Тобто йдеться про інтеграцію технології функціональної безпеки в наявну мережу. Це, зокрема, дало б змогу уникнути додаткових зусиль на прокладання проводки та знизити витрати. Проте наявні мережі не були розроблені з урахуванням вимог функціональної безпеки. Це може призводити до різних помилок.

Можливі помилки обміну даними:

  • Повторення телеграм
  • Втрата телеграм
  • Вставляння телеграм
  • Неправильна послідовність телеграм
  • Спотворення телеграм
  • Затримка телеграм
  • Помилкова адресація телеграм

Як спроєктувати систему безпеки відповідно до вимог IEC 61508?

Наявна мережа не забезпечує достатніх механізмів захисту, тому на цей момент потрібно передбачити протокол безпеки. Протокол безпеки має більш високий пріоритет, ніж стандартний протокол. Необхідно інтегрувати механізми виявлення та контролю будь-якої можливої помилки або комбінації декількох помилок.

Графічне зображення: Як побудована система безпеки відповідно до IEC 61508?

Протокол PROFIsafe вищого рівня забезпечує цілісність даних

Приклади заходів із виявлення несправностей:

  • Послідовний лічильник телеграм для забезпечення правильної послідовності
  • Моніторинг за допомогою контрольних сум (CRC) для запобігання фальсифікації даних
  • Вотчдог спрацьовує з кожною новою телеграмою для виявлення затримок

За допомогою цих заходів із виявлення несправностей і відсутності вимог до мережі передавання можна контролювати цілісність передачі даних у мережі.

Що відбувається в разі виявлення помилки?

Щойно виявляється неприпустима помилка, система виконує обчислення лише на основі замінних значень. Зокрема, у разі порушення обміну даними безпечний контролер виконує обчислення на основі замінного значення «0». Така ситуація може виникнути, наприклад, у разі безпечного входу з неактивованою аварійною зупинкою. Це означає, що приймається безпечний стан «0», як ніби було активовано аварійну зупинку. Модуль виводу контролює цілісність даних у напрямку виводу. У разі виявлення тут помилки виводяться замінні значення. У такому разі відключаються всі безпечні виходи модуля, щоб забезпечити функціональну безпеку.

Ця функціональність доступна також у разі передачі даних через бездротові з’єднання. Якщо мережа допускає передачу даних, наприклад, через WLAN або Bluetooth, то здійснюється передача даних безпеки. Тут потрібно зважати на можливе зменшення пропускної здатності або збільшення часу передачі. Для передачі сигналів безпеки незалежно від місця перебування можна також використовувати хмарний сервіс.

Принцип «чорного каналу» у хмарі

Для широко розподілених систем: передача сигналів безпеки через хмарні служби

Який «чорний канал» впливає на експлуатаційну готовність машин і установок?

Сучасні, встановлені належним чином мережі не створюють жодних проблем з погляду експлуатаційної готовності. Однак вони не можуть оптимізувати роботу, наприклад, неправильно встановлених установок PROFIBUS DP з відсутніми термінаторами, відбивачами й недостатнім вирівнюванням потенціалів. Імовірно, у такому разі ступінь експлуатаційної готовності знизиться.

Ідея принципу «чорного каналу» полягає в тому, щоб забезпечити спільну передачу сигналів безпеки і стандартних сигналів, використовуючи практично будь-які засоби передачі. Цей принцип — основа сучасної технології безпеки.