ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

НАЦИОНАЛЬНЫЙ

СТАНДАРТ

РОССИЙСКОЙ

ФЕДЕРАЦИИ

Промышленные сети ПРОФИЛИ

Часть 3

Функциональная безопасность полевых шин. Общие правила и определения профилей

(IEC 61784-3:2010, ЮТ)

Издание официальное

Предисловие

1    ПОДГОТОВЛЕН Федеральным бюджетным учреждением «Консультационно-внедренческая фирма в области международной стандартизации и сертификации «Фирма «ИНТЕРСТАНДАРТ» на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2    ВНЕСЕН Техническим комитетом по стандартизации ТК 58 «Функциональная безопасность»

3    УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии России от 28 декабря 2015 г. № 2220-ст

4    Настоящий стандарт идентичен международному стандарту IEC 61784-3:2010 «Промышленные сети. Профили. Часть 3. Функциональная безопасность полевых шин. Общие правила и определения профилей» (Industrial communication networks — Profiles — Part 3: Functional safety fieldbuses — General rules and profile definition, IDT).

Международный стандарт разработан техническим комитетом IEC 65С.

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении ДА

5    ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в ГОСТ Р 1.0-2012 (раздел 8). Информация об изменениях к настоящему стандарту публикуется в годовом (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а текст изменений и поправок— в ежемесячном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячном информационном указателе «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

© Стандартинформ, 2016

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

ГОСТ Р МЭК 61784-3-2015

IEC 61784-5 (all parts), Industrial communication networks — Profiles — Part 5: Installation of fieldbus-es — Installation profiles for CPF X (МЭК 61784-5 (все части) Промышленные сети. Профили. Часть 5. Установка полевых шин. Профили установки для CPF X)

IEC 61918, Industrial communication networks — Installation of communication networks in industrial premises (МЭК 61918 Промышленные сети. Установка сетей связи в промышленных помещениях)

IEC 62280-1:2002, Railway applications — Communication, signalling and processing systems — Part 1: Safety-related communication in closed transmission systems (МЭК 62280-1:2002 Железные дороги. Системы связи, сигнализации и обработки данных. Часть 2. Экстренная связь в открытых системах передачи. Часть 2. Обеспечение безопасности связи в закрытых системах передачи)

IEC 62443 (all parts), Industrial communication networks — Network and system security (МЭК 62443 (все части) Промышленные сети. Защищенность (кибербезопасность) сети и системы)

3 Термины, определения и сокращения

3.1    Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями:

3.1.1    Общепринятые термины и определения

3.1.1.1 _

абсолютная метка времени (absolute time stamp): Метка времени, привязанная к глобальному

времени, которая является общей для группы устройств, использующих полевые шины.

[МЭК 62280-2, модифицировано]

3.1.1.2    готовность (availability): Вероятность того, что в течение заданного промежутка времени в автоматизированной системе не наблюдается неисправных состояний в системе, приводящих к потере производительности.

3.1.1.3    черный канал (black channel): Канал связи, для которого отсутствуют доказательства того, что проектирование и подтверждение соответствия были выполнены в соответствии с МЭК 61508.

3.1.1.4    мост (bridge): Абстрактное устройство, соединяющее многочисленные сегменты сети для всего уровня канала передачи данных.

3.1.1.5    канал связи (communication channel): Логическое соединение между двумя оконечными точками в коммуникационной системе.

3.1.1.6    коммуникационная система (communication system): Система (устройство), состоящая из технических средств, программного обеспечения и среды распространения, которая обеспечивает передачу сообщений (прикладной уровень по ИСО/МЭК 7498) от одного приложения другому.

3.1.1.7    соединение (connection): Логическое связывание между двумя прикладными объектами в одном или в разных устройствах.

3.1.1.8    циклический контроль избыточности (Cyclic Redundancy Check, CRC): Получаемые из блока данных (значений) избыточных данных, которые запоминаются и передаются вместе с этим блоком данных, для обнаружения искажения данных. Процедура (метод), использующаяся для вычисления избыточных данных.

Примечания

1    Термины «CRC код» и «CRC подпись» и обозначения такие, как «CRC 1» и «CRC 2», также могут применяться в настоящем стандарте в отношении избыточных данных.

2    См. также [29], [30].

3.1.1.9 _

разнообразие (diversity): Различные средства выполнения требуемой функции.

Примечание — Разнообразие может достигаться использованием различных физических методов

или различных подходов к проектированию.

[МЭК 61508-4:2010]_

3.1.1.10 _

ошибка (error): Расхождение между вычисленным, наблюдаемым или измеренным значением

или условием и истинным, установленным или теоретически верным значением или условием.

[МЭК 61508-4:2010], [МЭК 61158]

3

Примечания

1    Ошибки могут возникнуть вследствие ошибок проектирования аппаратных средств/программного обеспечения и/или вследствие искажения данных, вызванного электромагнитными помехами и/или другими воздействиями.

2    Ошибки не обязательно являются причиной отказов или сбоев.

3.1.1.11_

отказ (failure): Прекращение способности функционального блока выполнять необходимую функцию либо функционирование этого блока любым способом, отличным от требуемого.

Примечание — В МЭК 61508-4 приведено такое же определение, но дополнено примечаниями.

[МЭК 61508-4:2010, модифицировано], [ИСО/МЭК 2382-14.01.11, модифицировано]

Примечание — Причиной отказа может служить ошибка (например, проблема, связанная с проектированием программного обеспечения/аппаратных средств или с нарушением при передаче сообщений.

3.1.1.12 _

сбой (fault): Ненормальный режим, который может вызвать снижение или потерю способности

функционального блока выполнять требуемую функцию.

Примечание — Международный электротехнический словарь (191-05-01) определяет «сбой» как состояние, характеризуемое неспособностью выполнить необходимую функцию, исключая неспособность, возникающую во время профилактических работ или других плановых мероприятий, либо в результате недостатка внешних ресурсов.

[МЭК 61508-4:2010, модифицировано], [ИСО/МЭК 2382-14.01.10, модифицировано]

3.1.1.13    полевая шина (fieldbus): Коммуникационная система, основанная на последовательной передаче данных и применяющаяся в промышленной автоматизации или приложениях управления процессами.

3.1.1.14    система полевых шин (fieldbus system): Система, использующая полевую шину с подключенными устройствами.

3.1.1.15    кадр (frame): Упрощенный синоним для DLPDU (Блок Данных Протокола Канала Передачи Данных).

3.1.1.16    последовательность проверки кадра (frame check sequence, FCS): Дополнительные данные, полученные для блока данных DLPDU (кадра) с помощью хеш-функции, которые запоминаются и передаются вместе с этим блоком данных, для обнаружения искажения данных.

Примечания

1    Значение FCS может быть получено, используя, например, CRC или другую хеш-функцию.

2    См. также [29] и [30].

3.1.1.17 _

хеш-функция (hash function): (Математическая) функция, которая преобразует значения из (вероятно очень) большого набора значений в (обычно) меньший диапазон значений.

Примечания

1    Хеш-функции могут применяться для обнаружения искажений данных.

2    Распространенные хеш-функции включают в себя контроль четности, вычисление контрольной суммы или CRC.

[МЭК/ТО 62210, модифицировано]

3.1.1.18    опасность (hazard): Состояние или набор условий в системе, которые вместе с другими, связанными с этим, условиями неизбежно приведут к причинению вреда человеку, имуществу или окружающей среде.

3.1.1.19    ведущее устройство (master): Активный объект коммуникации, способный инициировать и управлять во времени коммуникационной деятельностью других станций, которые могут быть как ведущими, так и ведомыми.

3.1.1.20 _

сообщение (message): Упорядоченные последовательности октет, предназначенные для передачи информации.

[ИСО/МЭК 2382-16.02.01, модифицировано]

3.1.1.21 _

приемник сообщений (message sink): Часть коммуникационной системы, в которую, как предполагалось, поступают сообщения.

[ИСО/МЭК 2382-16.02.03]_

3.1.1.22 _

источник сообщения (message source): Часть коммуникационной системы, в которой, как предполагалось, возникают сообщения.

[ИСО/МЭК 2382-16.02.02]_

3.1.1.23    ложное срабатывание (nuisance trip): Ложное аварийное отключение, не причиняющее никакого вреда.

Примечание — В коммуникационных системах таких, как системы беспроводной передачи данных могут возникать внутренние аномальные ошибки, например, вследствие слишком большого количества повторных попыток при наличии помех. 3.1.1.24

3.1.1.29 _

риск (risk): Сочетание вероятности события причинения вреда и тяжести этого вреда.

Примечание — Более подробно это понятие обсуждается в приложении А МЭК 61508-5:2010.

[МЭК 61508-4:2010], [ИСО/МЭК Руководство 51:1999, определение 3.2]

3.1.1.30    коммуникационный уровень безопасности, КУБ (safety communication layer, SCL): Уровень коммуникации, включающий все необходимые меры для обеспечения безопасной передачи информации в соответствии с требованиями МЭК 61508.

3.1.1.31    безопасное соединение (safety connection): Соединение, которое применяет протокол безопасности для транзакций коммуникаций.

3.1.1.32    безопасно передаваемые данные (safety data): Данные, передаваемые через безопасную сеть, используя протокол безопасности.

Примечание — Коммуникационный уровень безопасности не гарантирует безопасность самой информации, а только то, что она передается безопасно.

3.1.1.33    устройство безопасности (safety device): Устройство, спроектированное в соответствии с МЭК 61508 и реализующее профиль коммуникации, удовлетворяющий требованиям функциональной безопасности.

3.1.1.34 _

безопасное сверхнизкое напряжение (safety extra-low-voltage, SELV): Электрическая цепь, в

которой значение напряжения не может превышать среднеквадратичное значение переменного напряжения в 30 В, пиковое напряжение 42,4 В или постоянное напряжение 60 В при нормальных условиях и одиночном сбое, включая короткое замыкание на землю в других цепях.

Примечание — Цепь SELV не подсоединена к защитному заземлению.

[МЭК 61131-2]_

3.1.1.35    функция безопасности (safety function): Функция, реализуемая Э/Э/ПЭ (электрической, электронной, программируемой электронной) системой, связанной с безопасностью, или другими мерами по снижению риска, предназначенная для достижения или поддержания безопасного состояния УО по отношению к конкретному опасному событию.

Примечание — В МЭК 61508-4 такое же определение, но дополнено примером и примечанием.

3.1.1.36    время реакции функции безопасности (safety function response time): Наихудшее время выполнения, начинающееся после срабатывания датчика системы безопасности, подключенного к полевой шине, которое может пройти до того, как было достигнуто соответствующее безопасное состояние с помощью исполнительного устройства этой системы безопасности, при наличии ошибок или отказов в канале функции безопасности.

Примечание — Данная концепция введена в 5.2.4 и реализуется профилем коммуникации, удовлетворяющим требованиям функциональной безопасности, определенным в настоящем стандарте.

3.1.1.37 _

уровень полноты безопасности, УПБ (safety integrity level SIL): Дискретный уровень (принимающий одно из четырех возможных значений), соответствующий диапазону значений полноты безопасности, при котором уровень полноты безопасности, равный 4, является наивысшим уровнем полноты безопасности, а уровень полноты безопасности, равный 1, соответствует наименьшей полноте безопасности.

Примечания

1    Целевые значения отказов (см. МЭК 61508-4:2010, пункт 3.5.17) для четырех уровней полноты безопасности указаны в МЭК 61508-1:2010, таблицы 2 и 3.

2    Уровни полноты безопасности используют при определении требований полноты безопасности для функций безопасности, которые должны быть распределены по Э/Э/ПЭ системам, связанным с безопасностью.

3    Уровень полноты безопасности (УПБ) не является свойством системы, подсистемы, элемента или компонента. Правильная интерпретация фразы «УПБ системы, связанной с безопасностью, равен п» (где п = 1, 2, 3 или 4) означает: система потенциально способна к реализации функций безопасности с уровнем полноты безопасности до значения, равного п.

[МЭК 61508-4:2010]

ГОСТ Р МЭК 61784-3-2015

3.1.1.38    мера безопасности (safety measure): Средство управления возможными ошибками коммуникаций, спроектированное и реализованное в соответствии с требованиями МЭК 61508.

Примечания

1    На практике, как правило, объединяют несколько мер безопасности для достижения требуемого уровня полноты безопасности.

2    Ошибки коммуникаций и связанные с ними меры безопасности подробно рассмотрены в 5.3 и 5.4.

3.1.1.39    приложение, связанное с безопасностью (safety-related application): Программы, разработанные в соответствии с МЭК 61508 и удовлетворяющие требованиям УПБ приложения.

3.1.1.40    система, связанная с безопасностью (safety-related system): Система, выполняющая функцию безопасности в соответствии с МЭК 61508.

3.1.1.41    ведомое устройство (slave): Пассивный объект коммуникации, способный принимать сообщения и отправлять их в ответ на другой объект коммуникации, который может быть ведомым или ведущим.

3.1.1.42    ложное аварийное отключение (spurious trip): Аварийное отключение, вызванное системой безопасности, без запроса от процесса.

3.1.1.43    временная метка (time stamp): Информация о времени, включенная в сообщение.

3.1.1.44    белый канал (white channel): Канал связи, в котором все соответствующие компоненты аппаратных средств и программного обеспечения спроектированы, реализованы и имеют подтверждение соответствия в соответствии с МЭК 61508.

3.1.2    CPF 1. Дополнительные термины и определения Не требуются в настоящем стандарте.

3.1.3    CPF 2. Дополнительные термины и определения Не требуются в настоящем стандарте.

3.1.4    CPF 3. Дополнительные термины и определения Не требуются в настоящем стандарте.

3.1.5    CPF 6. Дополнительные термины и определения Не требуются в настоящем стандарте.

3.1.6    CPF 8. Дополнительные термины и определения Не требуются в настоящем стандарте.

3.1.7    CPF 12. Дополнительные термины и определения Не требуются в настоящем стандарте.

3.1.8    CPF 13. Дополнительные термины и определения Не требуются в настоящем стандарте.

3.1.9    CPF 14. Дополнительные термины и определения Не требуются в настоящем стандарте.

3.2 Сокращения

В настоящем стандарте применены следующие сокращения. 3.2.1 Общие сокращения терминов

Сокращение Полное выражение Источник СР Профиль коммуникаций [МЭК 61784-1] CPF Семейство профилей коммуникации [МЭК 61784-1] CRC Циклический контроль избыточности DLL Уровень канала данных [ИСО/МЭК 7498-1] DLPDU Блок данных протокола канала передачи данных ЭМС Электромагнитная совместимость ЭМП Электромагнитные помехи УО Управляемое оборудование [МЭК 61508-4:2010] э/э/пэ Электрические/электронные/программируемые электронные [МЭК 61508-4:2010] FAL Прикладной уровень полевой шины (Fieldbus Application Layer) [МЭК 61158-5] FCS Последовательность проверки кадра

Сокращение	Полное выражение	Источник
ФБ	Функциональная безопасность
FSCP	Профиль коммуникации, удовлетворяющий требованиям функциональной безопасности
MTBF	Среднее время между отказами
MTTF	Среднее время до отказа
NSR	Несвязанный с безопасностью (Non Safety Relevant)
PDU	Блока данных протокола	[ИСО/МЭК 7498-1]
PELV	Защитное сверхнизкое напряжение
PES	Программируемая электронная система	[МЭК 61508-4:2010]
PFD	Средняя вероятность опасных отказов по запросу	[МЭК 61508-6:2010]
PFH	Средняя частота опасных отказов (Ir1) в час	[МЭК 61508-6:2010]
PhL	Физический уровень	[ИСО/МЭК 7498-1]
PL	Уровень безопасности	[ИСО 13849-1]
PLC	Программируемый логический контроллер
SCL	Коммуникационный уровень безопасности
SELV	Безопасное сверхнизкое напряжение
УПБ	Уровень полноты безопасности	[МЭК 61508-4:2010]
SR	Связанный с безопасностью

3.2.2    CPF 1. Дополнительные сокращения терминов

SIS — Инструментальная система безопасности (safety instrumented systems).

3.2.3    CPF 2. Дополнительные сокращения терминов

С IP™ — Общий промышленный протокол [Common Industrial Protocol (application framework shared among CPF 2 communication profiles)].

3.2.4    CPF 3. Дополнительные сокращения терминов

DP — Децентрализованное периферийное устройство (Decentralized Peripherals).

3.2.5    CPF 6. Дополнительные сокращения терминов

Не требуются в настоящем стандарте.

3.2.6    CPF 8. Дополнительные сокращения терминов

ASE — Прикладной сервисный элемент (Application Service Element);

SASE — Безопасный прикладной сервисный элемент (Safety Application Service Element).

3.2.7    CPF 12. Дополнительные сокращения терминов

FSoE — Отказоустойчивый по CPF 12.

3.2.8    CPF 13. Дополнительные сокращения терминов

Не требуются в настоящем стандарте.

3.2.9    CPF 14. Дополнительные сокращения терминов

IP — Протокол сети Интернет (Internet Protocol);

UDP — Протокол пользовательских датаграм (User Datagram Protocol).

4 Соответствие

В настоящем стандарте каждый из профилей коммуникации, удовлетворяющий требованиям функциональной безопасности, основан на профилях коммуникаций стандартов МЭК 61784-1 и МЭК 61784-2, а также уровнях протоколов, представленных в МЭК 61158.

Соответствие профилю коммуникации, удовлетворяющему требованиям функциональной безопасности (FSCP), настоящего стандарта должно устанавливаться как соответствие МЭК 61784-3:20хх FSCP n/m <Тип> или как соответствие МЭК 61784-3 (Ed.2.0) FSCP n/m <Тип>, где Тип, заключенный в скобки, является необязательным и скобки не должны использоваться.

ГОСТ Р МЭК 61784-3-2015

В противном случае соответствие может устанавливаться как ссоответствие МЭК 61784-3-N:20xx или как соответствие МЭК 61784-3-Л/ (Ed.2.0), где N—это номер, назначенный соответствующему CPF.

Соответствие МЭК 61784-3-Л/ означает, что все обязательные требования соответствующего(их) FSCP для конкретного устройства, системы или приложения должны быть выполнены.

Стандарты на изделие не должны включать в себя никаких других аспектов оценки соответствия (включая положения управления качеством), нормативных или информативных, кроме положений об испытании изделия (оценке и проверке).

5 Основные представления о связанных с безопасностью системах полевых шин

5.1 Декомпозиция функции безопасности

В соответствии с МЭК 61508 в результате анализа рисков определяются функции безопасности. Эти функции безопасности могут быть декомпозированы на части, которые вносят свой вклад в функции безопасности всей системы (например, Датчик (датчики) — Безопасный коммуникационный канал — Программируемая(ые) электронная(ые) система(ы) — Безопасный коммуникационный канал — Исполнительное(ые) устройство(а).

В настоящем стандарте рассматривается коммуникационная система, которая сама выполняет функцию безопасно передаваемых данных. При этом настоятельно рекомендуется, чтобы значения PFD или PFH безопасного коммуникационного канала составляли не более 1 % максимального значения PFD или PFH заданного значением УПБ, для которого был разработан данный коммуникационный профиль (см. рисунок 3).

Пример — На рисунке 3 значение PFH функции безопасности равно PFH_dam4UKa + PFH_n3C + PFH    1    О    у    DCLJ

^пгписполнительного устройства ^{Л ПГП} безопасного коммуникационного канала.

Функция безопасности

PFD, PFH функции безопасности Рисунок 3 — Безопасная коммуникация является частью функции безопасности

5.2 Коммуникационная система

5.2.1    Общие положения

Ниже приведена информация для общего понимания технологии и понятий.

Примечание — Большая часть информации заимствована из [28].

5.2.2    Полевые шины в МЭК 61158

Хотя в МЭК 61508 нет ограничений на использование коммуникационных технологий, основное внимание в настоящем стандарте уделено использованию функциональной безопасности коммуникационных систем на основе полевых шин. На рисунке 4 представлен пример модели применения функциональной безопасности для коммуникаций с полевыми шинами, используя подход на основе черного канала.

9

Руководствуясь МЭК 61158 при использовании структур полевых шин без изменений при задании каждого уровня коммуникации, все меры, необходимые для выполнения безопасно передаваемых данных в соответствии с требованиями МЭК 61508, должны быть выполнены на дополнительном «коммуникационном уровне безопасности», расположенном, как показано на рисунке 4.

Коммуникационный профиль,    Коммуникационный    профиль,

шинах    шинах Примечания 1    Для внутренних каналов связи устройства требуется реализация прикладного уровня полевой шины (FAL), в то время как прикладным уровнем (AL) можно пренебречь. 2    Функции пользовательского уровня, не связанные с безопасностью, могут пропускать коммуникационный уровень безопасности и прямо обращаться к FAL.

Рисунок 4 — Пример модели коммуникационной системы, удовлетворяющей требованиям функциональной безопасности

5.2.3    Типы коммуникационных каналов

МЭК 61508 использует концепцию так называемого «черного канала» или «белого канала», чтобы определить требования к базовой полевой шине для передачи безопасных данных. Какой будет канал, черный или белый, определяется тем, где реализованы меры безопасности относительно базовой полевой шины. Настоящий стандарт устанавливает коммуникационные профили, удовлетворяющие требованиям функциональной безопасности, для черного канала.

В таком контексте считается, что безопасный коммуникационный канал начинается на верхнем коммуникационном уровне безопасности источника и завершается на верхнем коммуникационном уровне безопасности приемника (см. рисунок 4).

5.2.4    Время реакции функции безопасности

Время реакции функции безопасности — это наихудшее затраченное время, начинающееся от срабатывания датчика системы безопасности (например, сетевого коммутатора, датчика избыточного давления, световой завесы), подключенного к полевой шине, до соответствующего безопасного состояния, достигаемого исполнительным(ыми) устройством(ами) системы безопасности (например, реле, клапан, двигатель) при наличии ошибок или отказов в канале функции безопасности.

Запрос на срабатывание функции безопасности вызывается или аналоговым сигналом, пересекающим пограничное значение, или цифровым сигналом, меняющим состояние.

На рисунке 5 показан пример типичных компонентов, формирующих время реакции функции безопасности.

ГОСТ Р МЭК 61784-3-2015

Индивидуальные компоненты времени реакции функции безопасности Рисунок 5 — Пример компонентов, составляющих время реакции функции безопасности

Конкретные коммуникационные профили, удовлетворяющие требованиям функциональной безопасности, могу обладать отличающимся набором компонентов, но при оценке времени реакции функции безопасности должны учитываться все значимые компоненты.

5.3 Ошибки коммуникаций

5.3.1    Общие положения

Следующие разделы устанавливают возможные ошибки коммуникаций. Также приведены дополнительные примечания, описывающие типичное поведение черного канала.

5.3.2    Искажение

Сообщения могут быть искажены из-за ошибок одного из участников шины, ошибок среды передачи данных или влияния помех на сообщения.

Примечания

1    Ошибки сообщения во время пересылки являются нормальным событием для любой коммуникационной системы, такие события с высокой вероятностью обнаруживаются приемниками при помощи хеш-функции, и сообщение игнорируется.

2    Большинство систем коммуникаций включают в себя протоколы для восстановления ошибок в сообщениях, поэтому эти сообщения не должны классифицироваться как «потери» до тех пор, пока не были предприняты процедуры восстановления или повторной передачи.

3    Если процедуры восстановления или повторной передачи превышают установленные сроки выполнения, сообщение классифицируется как «недопустимая задержка».

4    В событии с очень низкой вероятностью, в котором множественные ошибки приводят к новому сообщению с правильной структурой (например, адресация, длина, хеш-функция, такая как CRC и т. д.), сообщение будет принято и передано на дальнейшую обработку. Оценки, основывающиеся на порядковом номере сообщения или временной метке, могут классифицировать сбои, такие как «непреднамеренный повтор», «ошибочная последовательность», «недопустимая задержка», «появление неизвестного сообщения».

5.3.3    Непреднамеренный повтор

В связи с ошибкой, сбоем или помехами старые необновленные сообщения повторяются в не соответствующий момент времени.

Примечание — Повторения отправителем является нормальной процедурой, когда от станции, для которой предназначалось сообщение, не получено ожидаемое подтверждение/ответ или когда принимающая станция обнаруживает пропажу сообщения и запрашивает его повторную отправку.

В некоторых случаях может быть обнаружено отсутствие ответа и сообщение передается повторно с минимальной задержкой и без нарушения последовательности, в других случаях повторение происходит позже и приходит вне последовательности с другими сообщениями.

Примечание — Некоторые полевые шины используют избыточность и отправляют одно и то же сообщение несколько раз или несколькими альтернативными маршрутами, чтобы повысить вероятность хорошего приема.

5.3.4    Ошибочная последовательность

В связи с ошибкой, сбоем или помехами предопределенная последовательность (например, натуральных чисел, временных ссылок), связанная с сообщениями из конкретного источника, оказывается ошибочной.

11

Примечания

1    Системы полевых шин могут содержать элементы, хранящие сообщения [например, элементы FIFO (первым пришел — первым вышел) в сетевых коммутаторах, мостах и маршрутизаторах], или могут использовать протоколы, способные изменить последовательность (например, позволяя сообщениям с более высоким приоритетом обгонять сообщения с более низким).

2    Если активны несколько их последовательностей, такие как сообщения из разных источников или отчетов, связанных с различными типами объектов, то такие последовательности контролируются по отдельности и оповещения об ошибках поступают от каждой из них.

5.3.5    Потеря

Из-за ошибки, сбоя или помехи сообщение не принимается и не подтверждается.

5.3.6    Недопустимая задержка

Задержка сообщений может превышать допустимое временное окно их доставки, например, из-за ошибок в среде передачи, перегруженных линий передачи, помех или из-за того, что участники шины посылают сообщения таким образом, что службы обрабатывают их с задержкой или отказываются обрабатывать (например, FIFO в сетевых коммутаторах, мостах и маршрутизаторах).

Примечание — В описанных ниже полевых шинах, использующих планируемое или циклическое сканирование, восстановление после ошибки может быть осуществлено одним из следующих способов:

a)    немедленное повторение;

b)    повторение, использующее резервное время в конце цикла;

c)    обращение с сообщением как с потерянным и ожидание следующего цикла, чтобы получить следующее значение;

В случае а) все последующие сообщения в цикле немного задерживаются, в то время как при Ь) задерживается только текущее сообщение.

Случаи а) и Ь) обычно не классифицируются как недопустимая задержка.

Случай с) не будет считаться недопустимой задержкой, если интервал повторения цикла настолько короткий, что задержки между циклами незначительны, и следующее значение цикла может быть принято как замена потерянного предыдущего значения.

5.3.7    Появление неизвестного сообщения

Из-за сбоя или помехи появляется сообщение, связанное с непредвиденным или неизвестным источником.

Примечание — Такие сообщения являются дополнением к основному потоку сообщений и, так как у них нет ожидаемых источников, такие сообщения не могут быть классифицированы как «верное», «непреднамеренный повтор» или «ошибочная последовательность».

5.3.8    Подмена

Из-за сбоя или помехи появляется сообщение, связанное с надежным источником, в результате чего сообщение, не относящееся к безопасности, может быть принято относящимся к безопасности участником, который затем обрабатывает это сообщение, как относящееся к безопасности.

Примечание — Коммуникационным системам, применяющимся для приложений, связанных с безопасностью, могут потребоваться дополнительные проверки, чтобы выявить подмену. Такие проверки могут быть основаны на: разрешенных идентификаторах источников, парольных фразах, криптографии.

5.3.9    Адресация

Из-за сбоя или помехи сообщение, относящиеся к безопасности, отправлено неверному участнику, относящемуся к безопасности, который затем воспринимает принятое сообщение как правильное.

5.4 Меры по устранению детерминированных неисправностей

5.4.1    Общие положения

В данном разделе перечислены меры, применяющиеся для обнаружения детерминированных ошибок и отказов в коммуникационной системе, такие ошибки принципиально отличаются от стохастических ошибок, таких как искажение сообщения из-за помех.

5.4.2    Порядковый номер

Порядковый номер интегрирован в сообщения, которыми обменивается источник и приемник сообщений. Он может быть реализован как дополнительное поле данных, содержащее номер, определенным образом изменяющийся от сообщения к сообщению.

5.4.3    Временная метка

В большинстве случаев содержание сообщения имеет значимость только в определенный момент времени. Временная метка может быть временем или временем и датой, включенными в сообщение отправителем.

12

ГОСТ Р МЭК 61784-3-2015

Содержание

1    Область применения ...................................................................................................................................1

2    Нормативные ссылки...................................................................................................................................1

3    Термины, определения и сокращения .......................................................................................................3

3.1    Термины и определения ......................................................................................................................3

3.2    Сокращения ..........................................................................................................................................7

4    Соответствие................................................................................................................................................8

5    Основные представления о связанных с безопасностью системах полевых шин.................................9

5.1    Декомпозиция функции безопасности ................................................................................................9

5.2    Коммуникационная система ................................................................................................................9

5.3    Ошибки коммуникаций .......................................................................................................................11

5.4    Меры по устранению детерминированных неисправностей...........................................................12

5.5    Взаимоотношения между ошибками и мерами безопасности........................................................14

5.6    Полнота данных..................................................................................................................................14

5.7    Связь между функциональной безопасностью и защищенностью.................................................16

5.8    Предельные условия и ограничения.................................................................................................16

5.9    Руководство по установке..................................................................................................................17

5.10    Руководство по безопасности..........................................................................................................17

5.11    Политика безопасности ....................................................................................................................17

6    Семейство 1 коммуникационных профилей (Полевая шина FOUNDATION™).

Профили для функциональной безопасности.........................................................................................18

6.1    Коммуникационный профиль 1/1, удовлетворяющий требованиям функциональной

безопасности.......................................................................................................................................18

6.2    Технический обзор..............................................................................................................................18

7    Семейство 2 коммуникационных профилей (CIP™). Профили для функциональной

безопасности..............................................................................................................................................19

7.1    Коммуникационный профиль 2/1, удовлетворяющий требованиям функциональной

безопасности.......................................................................................................................................19

7.2    Технический обзор..............................................................................................................................19

8    Семейство 3 коммуникационных профилей (PROFIBUS™, PROFINET™). Профили для

функциональной безопасности ................................................................................................................20

8.1    Коммуникационный профиль 3/1, удовлетворяющий требованиям функциональной

безопасности.......................................................................................................................................20

8.2    Технический обзор..............................................................................................................................21

9    Семейство 6 коммуникационных профилей (INTERBUS®). Профили для функциональной

безопасности.................................................................................................................................................23

9.1    Коммуникационный профиль 6/7, удовлетворяющий требованиям функциональной

безопасности.......................................................................................................................................23

9.2    Технический обзор..............................................................................................................................23

10    Семейство 8 коммуникационных профилей (CC-Link™). Профили для функциональной

безопасности............................................................................................................................................25

10.1    Коммуникационный профиль 8/1, удовлетворяющий требованиям функциональной

безопасности....................................................................................................................................25

10.2    Технический обзор...........................................................................................................................25

11    Семейство 12 коммуникационных профилей (EtherCAT™). Профили для функциональной

безопасности............................................................................................................................................25

11.1    Коммуникационный профиль 12/1, удовлетворяющий требованиям функциональной

безопасности....................................................................................................................................25

11.2    Технический обзор ...........................................................................................................................26

12    Семейство 13 коммуникационных профилей (Ethernet POWERLINKTM). Профили для

функциональной безопасности ..............................................................................................................27

12.1    Коммуникационный профиль 13/1, удовлетворяющий требованиям функциональной

безопасности....................................................................................................................................27

12.2    Технический обзор...........................................................................................................................27

13    Семейство 14 коммуникационных профилей (ЕРА®). Профили для функциональной безопасности.....28

ГОСТ Р МЭК 61784-3-2015

Примечания

1    Применяются относительные и абсолютные временные метки.

2    Для временных меток обязательна синхронизация временной базы. Для приложений безопасности требуется, чтобы синхронизация контролировалась.

5.4.4    Время ожидания

Во время передачи сообщения приемник сообщения проверяет, не превысила ли величина задержки между приемом двух последовательных сообщений заранее определенное значение. И если превышение произошло, то полагается считать, что возникла ошибка.

Пример — Метод доступа ориентирован на временные слоты.

Обмен сообщениями осуществляется в пределах постоянных циклов и заранее определенных слотов времени для каждого участника.

Необязательно: каждый участник должен отправлять свои данные в пределах данного ему слота времени, даже если не было изменений значения (это пример циклической коммуникации).

Для определения участника, который не совершил передачу в заданный для него спот времени, добавляется идентификатор источника.

5.4.5    Проверка подлинности соединения

Сообщения могут обладать уникальным идентификатором источника и/или получателя, который описывает логический адрес участника, относящегося к безопасности.

5.4.6    Сообщение обратной связи

Приемник сообщений возвращает сообщение обратной связи источнику, чтобы подтвердить получение начального сообщения. Сообщение обратной связи должно быть обработано на коммуникационных уровнях безопасности.

Примечания

1    Некоторые спецификации полевых шин используют слова «эхо» (echo) и «подтверждение получения» (receipt) как синонимы.

2    Такое вернувшееся сообщение обратной связи может содержать, например, только короткое подтверждение или также с исходными данными, а также любую другую информацию, позволяющую источнику проверить

правильность приема.

5.4.7    Обеспечение полноты данных

Прикладной процесс, связанный с безопасностью, не должен полагаться на методы обеспечения полноты данных, если они не были спроектированы с точки зрения функциональной безопасности. Таким образом, в сообщение добавляются избыточные данные, чтобы стало возможным обнаружение искаженных данных с помощью контроля избыточным кодом.

Примечание — Коммуникационные системы, применяющиеся для приложений, связанных с безопасностью, могут прибегать к методам, таким как криптография, для обеспечения полноты данных, как к альтернативе типичным методам, таким KaKCRC проверки.

5.4.8    Избыточность с перекрестной проверкой

В приложениях полевых шин, связанных с безопасностью, безопасно передаваемые данные могут отправляться дважды одним или двумя отдельными сообщениями, использующими идентичные или различающиеся меры полноты, независимые от нижележащей шины.

Примечание — Дополнительные избыточные модели коммуникаций, удовлетворяющих требованиям функциональной безопасности, приведены в приложении А.

Безопасно передаваемые данные дополнительно проходят перекрестную проверку на достоверность в полевой шине или в отдельном блоке источника или приемника соединения. Если были обнаружены различия, то это означает, что произошла ошибка в процессе передачи, в блоке обработки источника или блоке обработки приемника.

Если применяются избыточные способы связи, то предполагается, что обычный режим защиты использует подходящие меры (например, разнообразие).

5.4.9    Различные системы обеспечения полноты данных

Если данные, относящиеся к безопасности (SR), и данные, не относящиеся к безопасности (NSR), передаются через одну шину, то применяются разные системы обеспечения полноты данных или принципы кодирования (разные хеш-функции, например, разные полиномы и алгоритмы, генерирующие CRC), чтобы воспрепятствовать влиянию любых NSR сообщений на функцию безопасности SR приемника.

Примечание — Допустимо иметь дополнительную систему обеспечения полноты данных для SR сообщений и не иметь ни одной такой системы для NSR сообщений.

13

ГОСТ Р МЭК 61784-3-2015

безопасности....................................................................................................................................28

13.2 Технический обзор...........................................................................................................................28

Приложение А (справочное) Примеры моделей коммуникаций, удовлетворяющих

функциональной безопасности .........................................................................................30

Приложение В (справочное) Модель коммуникационного канала безопасности

с проверкой ошибок, основанной на CRC........................................................................33

Приложение С (справочное) Структура стандартов, связанных с конкретными технологиями.............37

Приложение D (справочное) Руководство по оценке ................................................................................40

Приложение ДА (справочное) Сведения о соответствии ссылочных международных

стандартов национальным стандартам .........................................................................44

Библиография ...............................................................................................................................................45

IV

ГОСТ Р МЭК 61784-3-2015

Введение

Общие положения

Стандарт МЭК 61158, посвященный полевым шинам, вместе с сопутствующими ему стандартами МЭК 61784-1 и МЭК 61784-2 определяет набор протоколов передачи данных, которые позволяют осуществлять распределенное управление приложениями автоматизации. В настаящее время технология полевых шин используется достаточно широко и хорошо себя зарекомендовала. Именно поэтому ее пока еще не стандартизированные применения появляются во многих областях, таких как системы реального времени, системы, связанные с безопасностью и защитой.

Настоящий стандарт рассматривает важные принципы функциональной безопасности коммуникаций, на основе подхода, представленного в комплексе стандартов МЭК 61508, и определяет несколько коммуникационных уровней безопасности (профилей и соответствующих протоколов) на основе профилей передачи данных и уровней протоколов, описанных в МЭК 61784-1, МЭК 61784-2 и в комплексе стандартов МЭК 61158. Настоящий стандарт не рассматривает вопросы электробезопасности и искро-безопасности.

На рисунке 1 представлена связь настоящего стандарта с соответствующими стандартами, посвященными функциональной безопасности и полевым шинам в среде машинного оборудования.

На рисунке 2 представлена связь настоящего стандарта с соответствующими стандартами, посвященным функциональной безопасности и полевым шинам в области промышленных процессов.

Коммуникационные уровни безопасности, реализованные как части систем, связанных с безопасностью, в соответствии с МЭК 61508, обеспечивают необходимую достоверность при передаче сообщений (информации) между двумя и более участниками, использующими полевые шины в системе, связанной с безопасностью, или же достаточную уверенность в безопасном поведении при возникновении ошибок или отказов в полевой шине.

Коммуникационные уровни безопасности, определенные в настоящем стандарте, обеспечивают уверенность в том, что полевые шины могут использоваться в применениях, требующих обеспечение функциональной безопасности для конкретного уровня полноты функциональной безопасности (УПБ), для которого определен соответствующий ему профиль коммуникации, удовлетворяющий требованиям функциональной безопасности.

V

ГОСТ Р МЭК 61784-3-2015

Обозначения:

(Желтый) Стандарты, связанные с безопасностью.

(Голубой) Стандарты, связанные с полевыми шинами.

(Бледно-желтый) Настоящий стандарт.

^а^Для установленных электромагнитных сред. В противном случае МЭК 61326-3-1.

^Ратифицирован ЕН.

Рисунок 2 — Связь МЭК 61158-3 с другими стандартами (промышленные процессы)

Результирующий УПБ, заявляемый для системы, зависит от реализации выбранного профиля коммуникации, удовлетворяющего требованиям функциональной безопасности, внутри этой системы. Но реализации профиля коммуникации, удовлетворяющего требованиям функциональной безопасности, в стандартном устройстве не достаточно для того, чтобы устройство считалось безопасным устройством.

Настоящий стандарт описывает:

-    основные принципы реализации требований комплекса стандартов МЭК 61508 для связанной с безопасностью передачи данных, включая возможные сбои при передаче данных, меры по устранению неисправностей и факторы, влияющие на полноту данных;

-индивидуальные описания профилей, удовлетворяющих требованиям функциональной безопасности, для нескольких семейств профилей передачи данных, представленных в МЭК 61784-1 и МЭК 61784-2;

-    расширения уровня безопасности до служб передачи данных и разделов протоколов в стандартах комплекса МЭК 61158.

VII

Патентная декларация

Международный электротехнический комитет (МЭК) обращает внимание на то, что соблюдение требований настоящего стандарта может включать использование патентов, относящихся к профилям коммуникаций, соответствующих требованиям функциональной безопасности, описанным в МЭК 61784-3-1, МЭК 61784-3-2, МЭК 61784-3-3, МЭК 61784-3-4, МЭК 61784-3-6, МЭК 61784-3-12, МЭК 61784-3-13, МЭК 61784-3-14.

МЭК не занимается подтверждением обоснованности, подтверждением соответствия и областью применения прав данных патентов.

Правообладатели на данные патенты заверили МЭК, что они готовы рассмотреть использование лицензий на разумных и не дискриминационных условиях и положениях с заявителями по всему миру. Такие заявления обладателей прав на данные патенты зарегистрированы в МЭК.

Примечание — Детали патента и соответствующая контактная информация может быть найдена в МЭК 61784-3-1, МЭК 61784-3-2, МЭК 61784-3-3, МЭК 61784-3-4, МЭК 61784-3-6, МЭК 61784-3-12, МЭК 61784-3-13 и МЭК 61784-3-14.

VIII

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Промышленные сети ПРОФИЛИ Часть 3

Функциональная безопасность полевых шин. Общие правила и определения профилей

Industrial communications networks. Profiles. Part 3. Functional safety fieldbuses. General rules and profile definitions

Дата введения — 2016—11—01

1 Область применения

Настоящий стандарт рассматривает некоторые общие принципы, которые используются при передаче связанных с безопасностью сообщений между участниками распределенной сети, применяя технологию полевых шин в соответствии с требованиями комплекса¹) МЭК 61784, для обеспечения функциональной безопасности. Эти принципы могут быть использованы в различных промышленных применениях таких, как управление процессами, автоматизация производства и машинное оборудование.

Настоящий стандарт устанавливает несколько профилей коммуникаций, удовлетворяющих требованиям функциональной безопасности, на основе уровней профилей коммуникаций и уровней протокола технологий полевых шин, представленных в МЭК61784-1, МЭК61784-2 и комплексе МЭК61158.

Примечания

1    Могут существовать другие системы коммуникаций, связанные с безопасностью, соответствующие требованиям МЭК 61508, которые не были включены в настоящий стандарт.

2    Настоящий стандарт не затрагивает вопросы электробезопасности и искробезопасности. Электробезопасность связана с угрозами, такими как электрический шок. Искробезопасность связана с угрозами, относящимися к возможным взрывам в атмосфере.

На той или иной стадии жизненного цикла все системы подвергаются несанкционированному доступу. Необходимо предусматривать дополнительные меры для защиты любого связанного с безопасностью применения, чтобы защитить системы полевых шин от несанкционированного доступа. Комплекс стандартов МЭК 62443 рассматривает много подобных проблем. Связь настоящего стандарта с МЭК 62443 подробно рассмотрена в посвященном ему подразделе настоящего стандарта.

Примечания

1    Дополнительные, характерные для профиля требования к защите информации могут быть также установлены в МЭК 61784-4 [10].

2    В соответствии с настоящим стандартом реализации в устройстве профиля коммуникации, удовлетворяющего требованиям функциональной безопасности, не достаточно для того, чтобы устройство считалось безопасным, как определено в комплексе стандартов МЭК 61508.

3    Результирующий УПБ, заявляемый для системы, зависит от реализации выбранного профиля коммуникации, удовлетворяющего требованиям функциональной безопасности, внутри этой системы.

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие международные стандарты и документы (для датированных ссылок следует использовать указанное издание, для недатированных ссылок — последнее издание указанного документа, включая все поправки к нему):

^ Далее в настоящем стандарте используется «МЭК 61508» вместо «комплекс МЭК 61508».

Издание официальное

IEC 61131-2, Programmable controllers — Part 2: Equipment requirements and tests (МЭК 61131-2 Программируемые контроллеры. Часть 2. Требования к оборудованию и тестам)

IEC 61158 (all parts) Digital data communications for measurement and control — Fieldbus for use in industrial control systems (МЭК61158 (все части) Передача цифровых данных для измерения и управления. Полевая шина для систем автоматического регулирования и управления технологическими процессами) IEC 61326-3-1, Electrical equipment for measurement, control and laboratory use — EMC requirements— Part 3-1: Immunity requirements for safety-related systems and for equipment intended to perform safety-related functions (functional safety) — General industrial applications (МЭК 61326-3-1 Электрооборудование для измерения, управления и лабораторного использования. Требования ЭМС. Часть 3-1. Требования устойчивости для систем, связанных с безопасностью, и оборудования для выполнения функций, связанных с безопасностью (функциональная безопасность). Общепромышленное применение) IEC 61326-3-2, Electrical equipment for measurement, control and laboratory use — EMC requirements — Part 3-2: Immunity requirements for safety-related systems and for equipment intended to perform safety-related functions (functional safety) — Industrial applications with specified electromagnetic environment (МЭК 61326-3-2 Электрооборудование для измерения, управления и лабораторного использования. Требования ЭМС. Часть 3-2. Требования устойчивости для систем, связанных с безопасностью, и оборудования для выполнения функций, связанных с безопасностью (функциональная безопасность). Общепромышленное применение. Общие промышленные применения в заданной электромагнитной среде) IEC 61508 (all parts), Functional safety of electrical/electronic/programmable electronic safety-related systems (МЭК61508 (все части) Функциональная безопасность систем электрических/электронных/про-граммируемых электронных, связанных с безопасностью)

IEC 61508-1:2010, Functional safety of electrical/electronic /programmable electronic safety related systems— Part 1: General requirements (МЭК 61508-1:2010 Функциональная безопасность систем электрических/ электронных/программируемых электронных, связанных с безопасностью. Часть 1. Общие требования) IEC 61508-2, Functional safety of electrical/electronic/programmable electronic safety-related systems — Part 2: Requirements for electrical/electronic/programmable electronic safety related systems (МЭК 61508-2 Функциональная безопасность систем электрических/электронных/программируемых электронных, связанных с безопасностью. Часть 2. Требования к системам)

IEC 61784-1, Industrial communication networks — Profiles — Part 1: Fieldbus profiles (МЭК 61784-1 Промышленные сети. Профили. Часть 1. Профили полевых шин)

IEC 61784-2, Industrial communication networks — Profiles — Part 2: Additional fieldbus profiles for real-time networks based on ИСО/МЭК 8802-3 (МЭК 61784-2 Промышленные сети. Профили. Часть 2. Дополнительные профили полевых шин для сетей реального времени, на основе ИСО/МЭК 8802-3) IEC 61784-3-1, Industrial communication networks — Profiles — Part 3-1: Functional safety fieldbus-es —Additional specifications for CPF 1 (МЭК 61784-3-1 Промышленные сети. Профили. Части 3-1. Функциональная безопасность полевых шин. Дополнительные спецификации для CPF 1)

IEC 61784-3-2, Industrial communication networks — Profiles — Part 3-2: Functional safety fieldbus-es —Additional specifications for CPF 2 (МЭК 61784-3-2 Промышленные сети. Профили. Части 3-2. Функциональная безопасность полевых шин. Дополнительные спецификации для CPF 2)

IEC 61784-3-3, Industrial communication networks — Profiles — Part 3-3: Functional safety fieldbus-es —Additional specifications for CPF 3 (МЭК 61784-3-3 Промышленные сети. Профили. Части 3-2. Функциональная безопасность полевых шин. Дополнительные спецификации для CPF 3)

IEC 61784-3-6, Industrial communication networks — Profiles — Part 3-6: Functional safety fieldbus-es —Additional specifications for CPF 6 (МЭК 61784-3-6 Промышленные сети. Профили. Части 3-6. Функциональная безопасность полевых шин. Дополительные спецификации для CPF 6)

IEC 61784-3-8, Industrial communication networks — Profiles — Part 3-8: Functional safety fieldbus-es —Additional specifications for CPF 8 (МЭК 61784-3-8 Промышленные сети. Профили. Части 3-8. Функциональная безопасность полевых шин. Дополнительные спецификации для CPF 8)

IEC 61784-3-12, Industrial communication networks — Profiles — Part 3-12: Functional safety fieldbus-es —Additional specifications for CPF 12 (МЭК 61784-3-12 Промышленные сети. Профили. Части 3-12. Функциональная безопасность полевых шин.Дополнительные спецификации для CPF 12)

IEC 61784-3-13, Industrial communication networks — Profiles — Part 3-13: Functional safety fieldbus-es —Additional specifications for CPF 13 (МЭК 61784-3-13 Промышленные сети. Профили. Части 3-13. Функциональная безопасность полевых шин. Дополнительные спецификации для CPF 13)

IEC 61784-3-14, Industrial communication networks — Profiles — Part 3-14: Functional safety fieldbus-es —Additional specifications for CPF 14 (МЭК 61784-3-14 Промышленные сети. Профили. Части 3-14. Функциональная безопасность полевых шин. Дополнительные спецификации для CPF 14)

2