Canal noir
Un canal noir est un mécanisme permettant de chiffrer et valider les données de sécurité transmises :
Seuls les équipements de sécurité Schneider Electric peuvent chiffer et déchiffrer les données envoyées via le canal noir dans un système de sécurité M580.
L'intégrité de chaque transmission de données de sécurité est testée par les deux modules de sécurité émetteur et récepteur pour chaque message transmis.
L'intérêt du canal noir est de permettre la transmission de données de sécurité via des équipements intermédiaires qui ne font pas partie de la boucle de sécurité, notamment des embases, des câbles Ethernet, des adaptateurs de communication, etc. Les transmissions par canal noir étant chiffrées, les équipements intermédiaires ne peuvent pas lire ni modifier les contenus de sécurité transmis sans être détectés.
Les transmissions par canal noir se font indépendamment du protocole de communication utilisé :
X Bus est la porteuse utilisée pour les transmissions par embase entre les équipements de sécurité d'un même rack (par exemple de l'UC vers les E/S locales ou d'un adaptateur distant de communication (CRA) vers les E/S locales).
EtherNet/IP est la porteuse utilisée pour les transmissions de données entre les racks (par exemple, depuis l'UC vers un CRA).
Les modules d'E/S de sécurité et l'UC peuvent envoyer et recevoir des communications par canal noir. Pour chaque transmission, l'équipement émetteur (UC ou E/S) ajoute les informations suivantes au message :
une balise CRC permettant de tester le contenu du message.
un horodatage permettant de tester la ponctualité du message.
d'autres informations (notamment la version de l'application et la configuration d'E/S utilisée) qui identifient le module d'E/S dans la transmission.
Avec un micrologiciel d'UC de version 3.10 ou antérieure, lorsque vous utilisez des modules d'E/S de sécurité sur un rack distant, configurez l'UC en tant que client NTP ou serveur NTP.
Si aucune de ces configurations n'est mise en œuvre, les horloges des modules d'E/S de sécurité et de l'UC ne seront pas synchronisées, et la communication par canal noir ne fonctionnera pas correctement. Les entrées et sorties des modules d’E/S de sécurité dans les stations d’E/S distantes passeront à l'état sécurisé (non alimenté) ou l'état de repli.
| ATTENTION | |
|---|---|
RISQUE DE FONCTIONNEMENT IMPREVU Si vous insérez des modules d'E/S de sécurité
dans une station RIO, l'heure courante doit être configurée
pour le PAC avec micrologiciel d'UC de version 3.10 ou antérieure.
Activez le service NTP pour votre système M580 et configurez l'UC de sécurité en tant que serveur
NTP ou client NTP. Le non-respect de ces instructions peut provoquer des blessures ou des dommages matériels. | |
L'équipement récepteur (E/S ou UC) déchiffre le message et teste l'exactitude de son contenu. Les conditions suivantes peuvent être détectées :
Condition |
Description |
|---|---|
Erreurs de transmission |
Erreur détectée dans l'adresse ou le routage du message. |
Répétitions |
Message envoyé plusieurs fois. |
Données supprimées |
Il manque une partie du message ou le message est perdu. |
Données insérées |
Des données ont été ajoutées au message. |
Séquence des données incorrecte |
L'ordre du message a été modifié. |
Données corrompues |
Une erreur de bit au moins est détectée dans le message. |
Retards |
Le délai de livraison du message est excessivement long. |
Déguisement |
La source du message n'est pas autorisée à envoyer les données. |
Lorsque ces erreurs sont détectées, le canal est déclaré non intègre et la fonction de sécurité appropriée est exécutée :
Si l’UC détecte qu'une transmission en provenance d'un module d'entrée n'est pas intègre, elle fait passer les valeurs d'entrée de ce module à l'état sécurisé (non alimenté) ou à l'état de repli.
Si un module de sortie détecte qu'une transmission en provenance de l'UC n'est pas intègre, il place ses sorties dans leur état de repli préconfiguré.
Les sorties prennent automatiquement l'état commandé par l’UC, dès que la communication entre l’UC et le module de sortie est correctement rétablie.
| AVIS | |
|---|---|
CHANGEMENT INATTENDU D’ETAT DES SORTIES LORS
DU RETABLISSEMENT DE LA COMMUNICATION La logique du programme doit surveiller l'état des
canaux de sortie et activer la fonction de sécurité en conséquence,
en faisant passer les commandes de sorties à l’état
sécurisé. Le non-respect de ces instructions peut provoquer des dommages matériels. | |