Ein Echtzeitfähigkeit, funktionale Sicherheit und Betriebsschutz integrierender Feldbus

Weidner, Markus

doi:10.18445/20250626-191354-0

previous hit

7 of 1974

next hit

Link to document : https://ub-deposit.fernuni-hagen.de/receive/mir_mods_00002208

published

Ein Echtzeitfähigkeit, funktionale Sicherheit und Betriebsschutz integrierender Feldbus

Weidner, Markus

German
English

In der industriellen Automatisierung, wo Feldrechner zunehmend mit öffentlichen Netzen verbunden und Kommunikationswege durch öffentliche Bereiche geführt werden, gewinnt der Betriebsschutz vor externen Bedrohungen zunehmend an Bedeutung. Dies gilt insbesondere, wenn Automatisierungseinrichtungen durch ihre vorbestimmten Funktionen potenzielle Gefahren bergen und die Feldrechner deshalb funktional sichere Steuerungsfunktionen zur Risikominderung ausführen. Da die Nachrüstung marktgängiger Feldbusse oft ungünstige Kompromisse erfordert, zielt diese Arbeit darauf ab, ein Kommunikationssystem für die Feldebene zu spezifizieren, das fehlertolerante Echtzeitdienste für sichere Steuerungen bietet und zugleich durch inhärente Schutzmaßnahmen immunisiert ist.

Das entwickelte System unterstützt sowohl einkanalige als auch parallelredundante Feldrechner und ermöglicht fehlertolerante Echtzeitkommunikation für zyklische oder ereignisinitiierte Datenübertragung. Gemäß einer Bedrohungsanalyse integrierte Schutzmaßnahmen immunisieren die funktionalen Eigenschaften aller Komponenten gegen zufällige Fehler sowie gegen systematisch gestörte Feldrechner und Kommunikationswege. Diese hinreichenden Maßnahmen werden ausschließlich in unteren Kommunikationsschichten implementiert und sind unabhängig betriebsfähig. Dabei wird verlustfreie Kommunikation unter Störbedingungen durch eine verzögerungsfreie, zweistufige Laststeuerung optimiert. Diese sorgt für kanalübergreifende Lastnivellierung und kanalspezifische Leistungsreduktion bei drohender Überlast zugunsten sicherheitsgerichteter Kommunikation. Zur weiteren Absicherung werden zwei neue Verfahren für kombinierte kryptographische Kanalcodierungen vorgestellt, die die Bedingungen für fehlertolerante Echtzeitkommunikation ausnutzen und Vorwärtsfehlerkorrektur mit gleichzeitiger Sicherung der Übertragungsintegrität mittels Symbolgrenzenverschleierung und Einmalverschlüsselung bieten. Teilnehmerspezifische Authentifikation verhindert unautorisierte Einflussnahme auf die Datenübertragung und ist ferner Grundlage zum Schutz der Synchronisations- und Zeitabläufe. Durch autarke Analyse des Kommunikationsverhaltens erkennt und blockiert zudem eine gerätetechnisch unveränderliche Schutzeinrichtung Verletzungen des Kommunikationsprotokolls und unerwartete Übertragungsversuche.

Im Ergebnis wird ein neuartiger und integrierter Ansatz für ein Feldbussystem präsentiert, das Fehlertoleranz und Echtzeitfähigkeit mit Betriebsschutz verbindet. Der Betriebsschutz in den untersten Protokollebenen zeichnet sich durch eine bisher unerreichte Immunität gegenüber Störungen oder Implementierungsfehler in den Feldrechnern aus, da er autark betriebsfähig und isoliert ist. In Kombination mit applikationsspezifischen Schutzmaßnahmen in höheren Protokollebenen wird eine neue, zusätzliche Schutzebene zur Stärkung der Tiefenwirkung geschaffen, wobei beide Ebenen jedoch voneinander unabhängig bleiben und negative Wechselwirkungen somit ausgeschlossen werden. Die Wirksamkeit der Schutzmaßnahmen wird anhand von Auswirkungs- und Fehlerbaumanalysen überprüft. Berechnungen belegen die Einhaltung der korrekten Zeitabläufe auf und zwischen den einzelnen Übertragungskanälen. Ergänzend wird ein Regelwerk aufgestellt, mit dem applikationsspezifische Kommunikationspläne auf ihre zeitgerechte und schützbare Verarbeitung hin geprüft werden können.

In industrial automation, where field computers are increasingly connected to public networks and communication paths are routed through public areas, operational security against external threats is becoming more important. This is particularly true when automation systems, due to their predefined functions, pose potential hazards and, therefore, the field computers must perform functionally safe control operations to mitigate risks. Since retrofitting commercially available fieldbuses often requires unfavourable compromises, this work aims to specify a communication system for the field level that provides fault-tolerant real-time services for safe control operations while also being protected by inherent security measures.

The developed system supports both single-channel and parallel redundant field computers, and enables fault-tolerant real-time communication for cyclic or event-driven data transmission. According to a threat analysis, integrated protective measures immunise the functional properties of all components against random errors as well as against systematically disrupted field computers and communication paths. These sufficient measures are implemented exclusively in lower communication layers and operate independently. Lossless communication is optimised under disruptive conditions by means of delay-free, two-stage load control. In favour of safety-related communication, this ensures cross-channel load balancing and channel-specific performance reduction in case of impending overload. For enhanced security, two novel methods for combined cryptographic channel coding are introduced, which leverage the conditions for fault-tolerant real-time communication and provide forward error correction, while simultaneously securing transmission integrity through symbol boundary obfuscation and one-time encryption. Participant-specific authentication prevents unauthorised interference with data transmission and serves to protect synchronisation and timing processes. By autonomous analysis of the communication behaviour, a tamper-proof protective device detects and blocks violations of the communication protocol and unexpected transmission attempts.

As a result, a novel and integrated approach for a fieldbus system is presented, combining fault tolerance and real-time capability with operational security. The operational security in the lowest protocol layers is characterised by unprecedented immunity to disruptions or implementation errors in the field computers, as it is autonomously operational and isolated. In combination with application-specific security measures in higher protocol layers, a new, additional protection layer is created to enhance the depth of defence. Both layers remain, however, independent of each other, thus excluding negative interactions. The effectiveness of the protective measures is verified using impact and fault tree analyses. Calculations confirm compliance with the correct timing sequences on and between the individual transmission channels. Additionally, a set of rules is established to assess application-specific communication schedules for timely and secure processing.