База ГОСТовallgosts.ru » 13. ОХРАНА ОКРУЖАЮЩЕЙ СРЕДЫ, ЗАЩИТА ЧЕЛОВЕКА ОТ ВОЗДЕЙСТВИЯ ОКРУЖАЮЩЕЙ СРЕДЫ. БЕЗОПАСНОСТЬ » 13.110. Безопасность механизмов

ГОСТ Р МЭК 61784-3-1-2016 Промышленные сети. Профили. Часть 3-1. Функциональная безопасность полевых шин. Дополнительные спецификации для CPF 1

Обозначение: ГОСТ Р МЭК 61784-3-1-2016
Наименование: Промышленные сети. Профили. Часть 3-1. Функциональная безопасность полевых шин. Дополнительные спецификации для CPF 1
Статус: Принят

Дата введения: 01/01/2018
Дата отмены: -
Заменен на: -
Код ОКС: 13.110
Скачать PDF: ГОСТ Р МЭК 61784-3-1-2016 Промышленные сети. Профили. Часть 3-1. Функциональная безопасность полевых шин. Дополнительные спецификации для CPF 1.pdf
Скачать Word:ГОСТ Р МЭК 61784-3-1-2016 Промышленные сети. Профили. Часть 3-1. Функциональная безопасность полевых шин. Дополнительные спецификации для CPF 1.doc


Текст ГОСТ Р МЭК 61784-3-1-2016 Промышленные сети. Профили. Часть 3-1. Функциональная безопасность полевых шин. Дополнительные спецификации для CPF 1



ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

НАЦИОНАЛЬНЫЙ

СТАНДАРТ

РОССИЙСКОЙ

ФЕДЕРАЦИИ

ГОСТР МЭК 61784-3-1 2016

Промышленные сети ПРОФИЛИ

Часть 3-1

Функциональная безопасность полевых шин. Дополнительные спецификации для CPF 1

(IEC 61784-3-1:2010, ЮТ)

Издание официальное

«■.......

ШтЯШЛ,

Сш1ЛТтм1фп|м

2017

ГОСТ Р МЭК 61784-3-1—2016

Предисловие

1    ПОДГОТОВЛЕН Обществом с ограниченной ответственностью «Корпоративные электронные системы» на основе собственного перевода на русский яэык англоязычной версии международного стандарта, указанного в пункте 4

2    ВНЕСЕН Техническим комитетом по стандартизации ТК 58 «Функциональная безопасность»

3    УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому ре* гупированию и метрологии России от 30 ноября 2016 г. № 1883-ст

4    Настоящий стандарт идентичен международному стандарту МЭК 61784*3*1:2010 «Промышленные сети. Профили. Часть 3*1. Функциональная безопасность полевых шин. Дополнительные спецификации для CPF1» (IEC 61784*3*1:2010 «Industrial communication networks — Profiles — Part 3*1 functional safety fietdbuses — Additional specifications for CPF 1», IDT).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных между-народных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА

5    ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. Afe 162-ФЗ «О стандартизации в Российской Федерации». Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — е ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регупированию и метрологии в сети Интернет ()

© Стамдартинформ. 2017

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

II

ГОСТ Р МЭК 61784.3.1—2016

Содержание

1    Область применения .................................................................1

2    Нормативные ссылки .................................................................1

3    Термины, определения, обозначения и сокращения........................................3

3.1    Термины и определения...........................................................3

3.2    Обозначения и сокращения ........................................................6

3.3    Условные обозначения.............................................................7

4    Обзор FSCP 1/1 {FOUNDATION Fieldbus™ SIS)............................................9

4.1    Общие положения................................................................9

4.2    Основные концепции FSCP 1/1 ....................................................10

4.3    Основные компоненты FSCP 1/1 ...................................................11

4.4    Связь с базовой эталонной моделью ИСО ВОС.......................................12

5    Общие положения...................................................................12

5.1    Внешние документы, предоставляющие спецификации для профиля.....................12

5.2    Функциональные требования безопасности ..........................................13

5.3    Меры безопасности..............................................................13

5.4    Структура коммуникационного уровня безопасности...................................14

5.5    Связи с FAL {и DLL. PhL)..........................................................16

6    Услуги коммуникационного уровня безопасности .........................................17

6.1    Прикладной процесс.............................................................17

6.2    Функциональные блоки прикладных процессов.......................................17

6.3    Коммуникации устройство—устройство .............................................22

6.4    Профили.......................................................................23

6.5    Описания устройств..............................................................24

6.6    Распространенные форматы файлов ...............................................25

6.7    Информация о конфигурации......................................................25

7    Протокол коммуникационного уровня безопасности.......................................25

7.1    Формат PDU безопасности........................................................25

7.2    Расширения протокола для применения в системах, связанных с безопасностью...........28

7.3    Средство коммуникаций..........................................................39

8    Управление коммуникационным уровнем безопасности....................................39

8.1    Обзор .........................................................................39

8.2    Коммуникации SMK..............................................................40

8.3    Услуги FMS.....................................................................40

8.4    Услуги SMK.....................................................................40

8.5    Конфигурация и запуск коммуникационного уровня безопасности........................40

9    Системные требования ..............................................................40

9.1    Индикаторы    и    коммутаторы .......................................................40

9.2    Указания по    установке............................................................40

9.3    Время реакции функции безопасности ..............................................41

9.4    Длительность запросов...........................................................41

9.5    Ограничения для вычислений характеристик системы .................................41

9.6    Обслуживание..................................................................43

9.7    Руководство по безопасности ......................................................43

10    Оценка...........................................................................43

III

ГОСТ Р МЭК 61784.3-1—2016

Приложение А (справочное) Дополнительная информация для профилей коммуникаций.

удовлетворяющих требованиям функциональной безопасности. CPF 1...........44

Приложение В (справочное) Информация для оценки профилей коммуникаций, удовлетворяющих

требованиям функциональной безопасности, CPF 1...........................48

Приложение ДА (справочное) Сведения о соответствии ссылочных международных стандартов

национальным стандартам ..............................................49

Библиография........................................................................50

IV

ГОСТ Р МЭК 61784.3.1—2016

Введение

1 Общие положения

Стандарт МЭК 61158. посвященный полевым шинам, вместе с сопутствующими ему стандартами МЭК 61784-1 и МЭК 61784-2 определяет набор протоколов передачи данных, которые позволяют осуществлять распределенное управление автоматизированными приложениями. В настоящее время технология полевых шин считается общепринятой и хорошо себя зарекомендовала. Именно поэтому появляются многочисленные расширения, направленные на еще не стандартизированные области, такие как приложения реального времени, связанные с безопасностью и защитой.

Настоящий стандарт рассматривает важные принципы функциональной безопасности коммуникаций на основе подхода, представленного в комплексе стандартов МЭК 61508. и определяет несколько коммуникационных уровней безопасности (профилей и соответствующих протоколов) на основе профилей передачи данных и уровней протоколов, описанных в МЭК 61784-1. МЭК 61784-2 и в комплексе стандартов МЭК 61158. Настоящий стандарт не рассматривает вопросы электробезопасности и искро-беэопасности.

На рисунке 1 представлена связь настоящего стандарта с соответствующими стандартами, посвященными функциональной безопасности и полевым шинам в среде машинного оборудования.

Обожвчсиия:

(желтый) - стандарты. евяхтныесбмопвсиоегмо.

(голубой) - стандарты. связанные с полевыми ыииаип.

(бледно-желтый) -

паст опций стопаорт

Примечание — Подпункты 6.7.6.4 {высокая степень сложности) и 6.7.8.1.6 (низкая степень сложности) в МЭК 62061 устанавливают связь между уровнем эффективности защиты (категорией) и УПБ.

Рисунок 1 —Связь МЭК 61158-3 с другими стандартами (машинное оборудование)

V

ГОСТ Р МЭК 61784-3-1—2016

На рисунке 2 представлена связь настоящего стандарта с соответствующими стандартами, посвященными функциональной безопасности и полевым шинам в области промышленных процессов.

*»квим

Сеючкихг». например сестов we aaeeow

макеплв Беэопасжлль геогтмдо-we>> лотчесв» внгесглерсе

M9K6I800-S-2

ФуиГЦ»»

Оемгаемекпи

отгриеодсв

МЭСПШв-t

ВМПЛКНОСГИ

нляробо'ь»

I

Обозначения:

(жепшй) • спшдэрты. ееаааииьм с безопасностью.

(ютубой) • сшидар1ы. сектанте с попевымя иииэыи.

ш (бледножоптий| иэстовший стандарт

а* Для установленных электромагнитных сред; в противном случае МЭК 61326-3*1. ь) Ратифицирован EN.

Рисунок 2 — Связь МЭК 61156-3 с другими стандартами (промышленные процессы)

Коммуникационные уровни безопасности, реализованные в составе систем, связанных с безопасностью. в соответствии с МЭК 61508 обеспечивают необходимую достоверность при передаче сообщений (информации) между двумя и более участниками, использующими полевые шины е системе, связанной с безопасностью, или же достаточную уверенность в безопасном поведении при возникновении ошибок или отказов в полевой шине.

Коммуникационные уровни безопасности, определенные в настоящем стандарте, обеспечивают уверенность в том. что полевые шины могут использоваться в применениях, требующих обеспечения функциональной безопасности для конкретного уровня полноты функциональной безопасности (УПБ), для которого определен соответствующий ему профиль коммуникации, удовлетворяющий требованиям функциональной безопасности.

VI

ГОСТ Р МЭК 61784.3.1—2016

Результирующий УПБ, заявляемый для системы, зависит от реализации выбранного профиля коммуникации, удовлетворяющего требованиям функциональной безопасности внутри этой системы. Но реализации профиля коммуникации, удовлетворяющего требованиям функциональной безопасно* сти, в стандартном устройстве не достаточно для того, чтобы устройство считалось устройством безопасности.

Настоящий стандарт описывает:

•    основные принципы реализации требований комплекса стандартов МЭК 61508 для связанной с безопасностью передачи данных, включая возможные сбои при передаче данных, меры по устранению неисправностей и факторы, влияющие на полноту данных:

•    индивидуально профили, удовлетворяющие требованиям функциональной безопасности, для нескольких семейств профилей передачи данных, представленных в МЭК 61784-1 и МЭК 61784-2;

•    расширения уровня безопасности до служб передачи данных и разделов протоколов в стандартах комплекса МЭК 61158.

2 Патентная декларация

Международный электротехнический комитет (МЭК) обращает внимание на то. что соблюдение требований настоящего стандарта может включать использование патентов, относящихся к профилям коммуникаций, соответствующих требованиям функциональной безопасности. Для семейства 1 патенты приведены ниже, где обозначение (хх) указывает на держателя патента:

US 6.999.824 [FF] Система и метод для реализации приборной системы безопасности в архитектуре полевых шин

МЭК не занимается подтверждением обоснованности, подтверждением соответствия и областью применения прав данных патентов.

Правообладатели на данные патенты заверили МЭК. что они готовы рассмотреть использование лицензий на разумных и недискриминационных условиях и положениях с заявителями по всему миру. Такие заявления обладателей прав на данные патенты зарегистрированы в МЭК.

Информация доступна посредством:

[FF|    Fieldbus Foundation

9005 Mountain Ridge Drive Bowie Bldg. - Suite 190 Austin, TX 78759-5316 USA

Тел.: +1 512 794 8890

Обращаем внимание на то. что некоторые элементы данного документа могут быть субъектом патентных прав, отличных от указанных ранее. МЭК не несет ответственности за идентификацию (частично или полностью) подобных патентных прав.

VII

ГОСТ Р МЭК 61784-3-1—2016

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Промышленные сети ПРОФИЛИ Часть 3-1

Функциональная безопасность полевых шин. Дополнительные спецификации для CPF 1

Industrial communication networks. Profiles. Part 3-1. Functional safety fiekJbuses. Additional specifications for CPF 1

Дата введения — 2018—01—01

1 Область применения

Настоящий стандарт описывает коммуникационный уровень безопасности (услуги и протокол) на основе CPF 1. представленного в МЭК 61784-1 и МЭК 61158. Типы 1 и 9. Настоящий стандарт идентифицирует принципы для осуществления коммуникаций, удовлетворяющих требованиям функциональной безопасности, определенным в МЭК 61784-3. что важно для этого коммуникационного уровня безопасности.

Примечание — Настоящий стандарт не затрагивает вопросы электробезопасности и искробеэопас-ности.. Эпекгробеэоласность связана с угрозами, такими как электрический шок. Искробвэопасмость связана с угрозами, относящимися к возможным взрывам в атмосфере.

Настоящий стандарт определяет механизмы для передачи важных для безопасности сообщений между участниками распределенной сети, использующей технологию полевых шин. в соответствии с требованиями функциональной безопасности, представленными в комплексе МЭК 615084. Эти механизмы могут широко использоваться в промышленности, например в управлении процессом автоматизации производства и машинном оборудовании.

Настоящий стандарт содержит руководства как для разработчиков, так и для оценщиков соответствующих приборов и систем.

Примечание — Результирующий УПБ. заявляемый для системы, зависит от реализации выбранного профиля коммуникации, удовлетворяющей требованиям функциональной безопасности внутри этой системы. Но в соответствии с настоящим стандартом реализации выбранного профиля коммуникации, удовлетворяющей требованиям функциональной безопасности, в стандартном устройстве не достаточно для того, чтобы устройство считалось устройством безопасности.

2 Нормативные ссылки

8 настоящем стандарте используются нормативные ссылки на следующие целые документы или на их части, незаменимые для применения данного документа. В случае датированных ссылок действует только цитируемое издание. Для недатированных ссылок действует самое позднее издание документа. на который производится ссылка (включая любые внесенные в него поправки).

IEC 61131-2. Programmable controllers — Part 2: Equipment requirements and tests (Программируемые контроллеры. Часть 2. Требования к оборудованию и тестирование)

4 Далее в настоящем стандарте используется «МЭК 61508» вместо «комплекс МЭК 61508».

Издание официальное

1

ГОСТ Р МЭК 61784-3.1—2016

IEC 61156-2. Industrial communication networks — Fieldbus specifications — Part 2: Physical layer specification and service definition (Сети связи промышленные. Спецификации полевой шины. Часть 2. Спецификация физического уровня и определение сервиса)

IEC 61158-3-1. Industrial communication networks — Fieldbus specifications — Part 3-1: Datalink layer service definition — Type 1 elements (Сети связи промышленные. Спецификации полевой шины. Часть 3.1. Определение сервиса канального уровня. Элементы Типа 1)

IEC 61153-4-1. Industrial communication networks — Fieldbus specifications — Part 4-1: Datalink layer protocol specification — Type 1 elements (Сети связи промышленные. Спецификации полевой шины. Часть 4-1. Спецификация протокола канального уровня. Элементы Типа 1)

IEC 61156-5-5. Industrial communication networks — Fieldbus specifications — Part 5-5: Application layer service definition — Type 5 elements (Сети связи промышленные. Спецификации полевой шины. Часть 5-5. Определение сервиса прикладного уровня. Элементы Типа 5)

IEC 61156-5-9. Industrial communication networks — Fieldbus specifications — Part 5-9: Application layer service definition — Type 9 elements (Сети связи промышленные. Спецификации полевой шины. Часть 5-9. Определение сервиса прикладного уровня. Элементы Типа 9)

IEC 61156-6-5. Industrial communication networks — Fieldbus specifications — Part 6-5: Application layer protocol specification — Type 5 elements (Сети связи промышленные. Спецификации полевой шины. Часть 6-5. Спецификация протокола прикладного уровня. Элементы Типа 5)

IEC 61156-6-9. Industrial communication networks — Fieldbus specifications — Part 6-9: Application layer protocol specification — Type 9 elements (Сети связи промышленные. Спецификации полевой шины. Часть 6-9. Спецификация протокола прикладного уровня. Элементы Типа 9)

IEC 61508 (all parts). Functional safety of electrical/electronic/programmable electronic safety-related systems (Функциональная безопасность систем электрических/электронных/программируемых электронных. связанных с безопасностью)

IEC 61508-1:2010. Functional safety of electrical/electronic/programmable electronic safety related systems — Part 1: General requirements (Функциональная безопасность систем электрических/алектронных/ программируемых электронных, связанных с безопасностью. Часть 1. Общие требования)

IEC 61506-2:2010. Functional safety of elect rical/electronic/programmable electronic safety-related systems — Part 2: Requirements for electricat/electronic/programmable electronic safety related systems (Функциональная безопасность систем эпектрическихУэлектронных/программируемых электронных, связанных с безопасностью. Часть 2. Требования к электричвским/электронным/программирувмым электронным системам, связанным с безопасностью)

IEC 61508-3:2010. Functional safety of etectrical/electronic/programmable electronic safetyrelated systems — Part 3: Software requirements (Функциональная безопасность систем электрических/элвктрок-ных/программируемых электронных, связанных с безопасностью. Часть 3. Требования к программному обеспечению)

IEC 61508-4:2010. Functional safety of electrical/electronic/programmable electronic safety-related systems — Part 4: Definitions and abbreviations (Функциональная безопасность систем электрических/ электронных/программируемых электронных, связанных с безопасностью. Часть 4. Определения и сокращения)

IEC 61511 (all parts). Functional safety — Safety instrumented systems for the process industry sector (Безопасность функциональная. Системы безопасности приборные для промышленных процессов) IEC 61784-1. Industrial communication networks — Profiles — Part 1: Fieldbus profiles (Сети связи промышленные. Профили. Часть 1. Профили полевых шин)

IEC 61784-3:2010. Industrial communication networks — Profiles — Part 3: Functional safety fieldbus-es — General rules and profile definitions (Сети связи промышленные. Профили. Часть 3. Функциональная безопасность полевых шин. Общие правила и определения профиля)

IEC 61918. Industrial communication networks — Installation of communication networks in industrial premises (Сети связи промышленные. Установка сетей связи в промышленных помещениях)

IEC 62280-1:2002. Railway applications — Communication, signalling and processing systems — Part 1: Safety-related communication in closed transmission systems (Железнодорожные приложения. Системы связи, сигнализации и обработки данных. Часть 1. Безопасная связь в закрытых системах передачи) ISO/IEC 8802-311. Information technology — Telecommunications and information exchange between systems — Local and metropolitan area networks — Specific requirements — Part 3: Carrier sense multiple

2

•> Отменен. Действует ISO/IEOIEEE 8802-3:2014.

ГОСТ Р МЭК 61784.3.1—2016

access with collision detection (CSMA/CD) access method and physical layer specifications (Информационные технологии. Телекоммуникации и обмен информацией между системами. Локальные и обще-городские сети. Специальные требования. Часть 3. Множественный доступ с контролем несущей и обнаружением коллизий (CSMA/CD) и определение физического уровня)

3 Термины, определения, обозначения и сокращения

3.1    Термины и определения

8 настоящем стандарте используются следующие термины и определения:

3.1.1    Термины и определения

3.1.1.1    готовность (availability): Вероятность того, что в течение заданного промежутка времени в автоматизированной системе не наблюдается неисправных состояний в системе, приводящих к потере производительности.

3.1.1.2    черный канал (black channel): Канал связи, для которого отсутствуют доказательства того, что проектирование и подтверждение соответствия были проведены в соответствии с МЭК 61508.

3.1.1.3    мост (bridge): Абстрактное устройство, соединяющее многочисленные сегменты сети на всем протяжении уровня канала данных.

3.1.1.4    канал связи (communication channel): Логическое соединение между двумя конечными точками внутри коммуникационной системы.

3.1.1.5    коммуникационная система (communication system): Система (устройство), состоящая из технических средств, программного обеспечения и среды распространения, которая обеспечивает передачу сообщений (прикладной уровень по ИСО/МЭК 7498) от одного приложения другому.

3.1.1.6    соединение (connection): Логическое связывание между двумя прикладными объектами в одном или в разных устройствах.

3.1.1.7    циклический контроль избыточности (Cyclic Redundancy Check. CRC): Получаемые из блока данных (значений) избыточные данные, которые запоминаются и передаются вместе с этим блоком данных для обнаружения искажения данных. Процедура (метод), использующаяся для вычисления избыточных данных.

Примечания

1    Термины aCRC код» и «CRC подпись» и обозначения, такие как «CRC 1» и «CRC 2». также могут приме-мяться е настоящем стандарте в отношении избыточных данных.

2    См. также (34]. [35].

3.1.1.8    ошибка (error): Расхождение между вычисленным, наблюдаемым или измеренным значением или условием и истинным, установленным или теоретически верным значением или условием.

[МЭК 61508-4:2010]. [МЭК 61158]

Примечания

1    Ошибки могут во зн икнуть вследствие ошибок проект про вания аппаратных средств программного обе слече-ния и/или вследствие искажения данных, вызванного электромагнитными помехами и/иш другими воздействиями.

2    Ошибки не обязательно являются причиной отказов или сбоев.

3.1.1.9    отказ (failure): Прекращение способности функционального блока выполнять необходимую функцию либо функционирование этого блока любым способом, отличным от требуемого.

Примечание — В МЭК 61508-4 приведено такое же определение, но дополнено примечаниями.

(МЭК 61508-4:2010, модифицировано], [ИСО/МЭК 2382-14.01.11. модифицировано]

Примечание — Причиной отказа может служить ошибка (например, проблема, связанная с проектированием программного обеслечения/аппарагных средств или с нарушением при передаче сообщений.

3.1.1.10    сбой (fault): Ненормальный режим, который может вызвать снижение или потерю способности функционального блока выполнять требуемую функцию.

Примечание — Международный электротехнический словарь (IEV 191-05-01) определяет «сбой» как состояние, характеризуемое неспособностью выполнить необходимую функцию, исключая неспособность, возникающую во время профилактических работ или других плановых мероприятий либо в результате недостатка внешних ресурсов.

[МЭК 61508-4:2010. модифицировано], [ИСО/МЭК 2382-14.01.10, модифицировано]

3

ГОСТ Р МЭК 61784-3.1—2016

3.1.1.11    полевая шина (fieldbus): Коммуникационная система, основанная на последовательной передаче данных и применяющаяся в промышленной автоматизации или приложениях управления процессами.

3.1.1.12    кадр (frame): Упрощенный синоним для DLPDU (Блок данных протокола канала передачи данных).

3.1.1.13    последовательность проверки кадра (frame check sequence (FCS)]: Дополнительные данные, полученные для блока данных DLPDU (кадра) с помощью хеш-функции, которые запоминаются и передаются вместе с этим блоком данных, для обнаружения искажения данных.

Примечания

1    Значение FCS может быть получено, используя, например, CRC или другую хеш-функцию.

2    См. также (34). (35).

3.1.1.14    хеш-функция (hash function): (Математическая) функция, которая преобразует значения из (вероятно очень) большого набора значений в (обычно) меньший диапазон значений.

Примечания

1    Хеш-функции могут применяться для обнаружения искажений данных.

2    Распространенные хеш-функции включают в оебя контроль четности, вычисление контрольной суммы или

CRC.

[МЭК/TR 62210. модифицировано]

3.1.1.15    опасность (hazard): Состояние или набор условий в системе, которые вместе с другими. связанными с этим, условиями неизбежно приведут к причинению вреда человеку, имуществу или окружающей среде.

3.1.1.16    ведущее устройство (master): Активный объект коммуникации, способный инициировать и управлять во времени коммуникационной деятельностью других станций, которые могут быть как ведущими, так и ведомыми.

3.1.1.17    сообщение (message): Упорядоченные последовательности октет, предназначенные для передачи информации.

(ИСО/МЭК 2382-16.02.01. модифицировано]

3.1.1.18    приемник сообщений (message sink): Часть коммуникационной системы, в которую, предполагается, поступают сообщения.

(ИСО/МЭК 2382-16.02.03]

3.1.1.19    источник сообщения (message source): Часть коммуникационной системы, из которой, предполагается, возникают сообщения.

(ИСО/МЭК 2382-16.02.02]

3.1.1.20    уровень эффективности защиты: УЭЗ (performance level (PL)]: Дискретный уровень, применяющийся для определения способности связанных с безопасностью частей системы управления выполнять функцию безопасности в прогнозируемых условиях.

(ИСО 13849-1]

3.1.1.21    контрольная проверка (proof test): Периодическая проверка, выполняемая для того, чтобы обнаружить отказы в системе, связанной с безопасностью, чтобы, при необходимости, система могла быть возвращена в «исходное» состояние или в наиболее близкое к нему, насколько это практически возможно.

Примечание — Контрольная проверка предназначена подтвердить, находится ли система, связанная с безопасностью, е состоянии, гарантирующем установленную полноту безопасности.

(МЭК 61508-4 и МЭК 62061. модифицировано]

3.1.1.22    избыточность (redundancy): Существование более одного средства выполнения необходимой функции или представления информации.

Примечание — Такое же определение, как и е МЭК 61508-4. с дополнительным примером и примечаниями.

(МЭК 61508-4:2010, модифицировано]. (ИСО/МЭК 2382-14.01.12. модифицировано]

3.1.1.23    надежность (reliability): Вероятность того, что автоматизированная система может выполнять требующуюся функцию в заданных условиях на протяжении заданного промежутка времени (t1.t2).

4

ГОСТ Р МЭК 61784.3.1—2016

Примечания

1    Принято считать, что автоматизированная система а состоянии выполнять данную требующуюся функцию 8 начале заданного промежутка времени.

2    Понятие «надежности» также используется для обозначения показателя надежности, измеряемого с данной вероятностью.

3    На протяжении среднего времени между отхазами (MTBF) или среднего времени до отказа (MTTF) вероятность того, что автоматизированная система выполнит требующуюся функцию, уменьшается.

4    Надежность отличается от готовности.

[МЭК 62059-11. модифицировано]

3.1.1.24    риск (risk): Сочетание вероятности события причинения вреда и тяжести этого вреда.

Примечание — Более подробно это понятие обсуждается в МЭК 61506-5:2010. приложение А.

[МЭК 61508-4:2010], [ИСО/МЭК Руководство 51:1999. определение 3.2]

3.1.1.25    коммуникационный уровень безопасности, КУБ (safety communication layer, SCL): Уровень коммуникации, включающий все необходимые меры для обеспечения безопасной передачи информации е соответствии с требованиями МЭК 61508.

3.1.1.26    данные безопасности (safety data): Данные, передаваемые через сеть безопасности, используя протокол безопасности.

Примечание — Коммуникационный уровень безопасности не гарантирует безопасность самой информации. а только то. что она передается безопасно.

3.1.1.27    устройство безопасности (safety device): Устройство, спроектированное в соответствии с МЭК 61508 и реализующее профиль коммуникации, удовлетворяющий требованиям функциональной безопасности.

3.1.1.28    функция безопасности (safety function): Функция, реализуемая Э/Э/ПЭ (электрической, электронной, программируемой электронной) системой, связанной с безопасностью, или другими мерами по снижению риска, предназначенная для достижения или поддержания безопасного состояния управляемого оборудования по отношению к конкретному опасному событию.

Примечание — В МЭК 61506-4 такое же определение, но дополнено примером и примечанием.

(МЭК 61508-4:2010. модифицировано]

3.1.1.29    время реакции функции безопасности (safety function response time): Наихудшее время между срабатыванием датчика системы безопасности, подключенного к полевой шине, и достижением соответствующего безопасного состояния с помощью необходимого исполнительного устройства этой системы безопасности при наличии ошибок или отказов в канале функции безопасности.

Примечание —Данная концепция введена в МЭК 61784-3:2010. 5.2.4. и реализуется профилями коммуникаций. удовлетворяющих требованиям функциональной безопасности, определенным в настоящем стандарте.

3.1.1.30    уровень полноты безопасности. УПБ [safety integrity level (SIL)]: Дискретный уровень (принимающий одно из четырех возможных значений), соответствующий диапазону значений полноты безопасности, при котором уровень полноты безопасности, равный 4, является наивысшим уровнем полноты безопасности, а уровень полноты безопасности, равный 1, соответствует наименьшей полноте безопасности.

Примечания

1    Целевые значения отказов (см. МЭК 61508-4:2010. п. 3.5.17) для четырех уровней полноты безопасности указаны в МЭК 61508-1:2010. таблицы 2 и 3.

2    Уровни полноты безопасности используют при определении требований полноты безопасности для функций безопасности, которые должны быть распределены по Э/Э/ПЭ системам, связанным с безопасностью.

3    Уровень полноты безопасности (УПБ) не является свойством системы, подсистемы, элемента или компонента. Правильная интерпретация фразы «УПБ системы, связанной с безопасностью, равен л» (где п » 1. 2. 3 или 4) означает: система потенциально способна к реализации функций безопасности с уровнем полноты безопасности до значения, равного л.

(МЭК 61508-4:2010)

3.1.1.31    мера безопасности (safety measure): Средство управления возможными ошибками коммуникаций. спроектированное и реализованное е соответствии с требованиями МЭК 61508.

5

ГОСТ Р МЭК 61784-3.1—2016

Примечания

1    На практике, как правило, объединяют несколько мер безопасности для достижения требуемого уровня полноты безопасности.

2    Ошибки коммуникаций и связанные с ними меры безопасности подробно рассмотрены а МЭК 617&4-3:2010, 5.3 и 5.4.

3.1.1.32    приложение, связанное с безопасностью (safety-related application): Программы, спроектированные в соответствии с МЭК 61508 и удовлетворяющие требованиям УПБ приложения.

3.1.1.33    система, связанная с безопасностью (safety-related system): Система, выполняющая функцию безопасности в соответствии с МЭК 61508.

3.1.1.34    ведомое устройство (slave): Пассивный объект коммуникации, способный принимать сообщения и отправлять их в ответ на другой объект коммуникации, который может быть ведомым или ведущим.

3.1.1.35    ложное аварийное отключение (spurious trip): Аварийное отключение, вызванное системой безопасности, без запроса от процесса.

3.1.1.36    временная метка (time stamp): Информация о времени, включенная в сообщение.

3.1.2 CPF 1. Дополнительные термины и определения

3.1.2.1    клиент (dient): Объект соединения, запрашивающий информацию от сервера.

3.1.2.2    перекрестная проверка (cross-check): Верификация того факта, что избыточно переданные данные идентичны.

3.1.2.3    Н1: Коммуникационный канал передачи данных, соответствующий стандарту на полевую

шину.

3.1.2.4    хост (host): Блок обработки информации, способный реализовать механизмы профиля безопасности и услуги черного канала.

3.1.2.5    макроцикл (macro cyde): Единичная итерация графика работы канального уровня.

3.1.2.6    подмена (masquerade): Ошибка, вызванная неверной идентификационной информацией.

3.1.2.7    издатель (publisher): Источник сообщений, периодически передающий сообщения.

3.1.2.8    организация очереди (queuing): Последовательная обработка элементов данных.

3.1.2.9    сервер (server): Объект соединения, обрабатывающий сообщения, поступающие от клиента.

3.1.2.10    среда УПБ (SIL environment): Аппаратные средства и программное обеспечение, обеспечивающие выполнение функций SIS.

3.1.2.11    подписчик (subscriber): Приемник сообщений, получающий сообщения от издателя.

3.2 Обозначения и сокращения

3.2.1 Общие обозначения и сокращения

СР — Профиль коммуникаций [МЭК 61784-1);

CPF — Семейство профилей коммуникаций [МЭК 61784-1]:

CRC — Циклический контроль избыточности;

DLL — Уровень канала данных [ИСО/МЭК 7498-1);

DLPDU — Блок данных протокола канала передачи данных:

ЭМС    —    Электромагнитная совместимость;

ЭМП    —    Электромагнитные помехи;

УО    —    Управляемое оборудование [МЭК 61508-4:2010);

Э/Э/ПЭ — Электрические/электронные/программируемыеэлектронные [МЭК 61508-4:2010);

FAL — Прикладной уровень полевой шины [МЭК 61158-5);

FCS    —    Последовательность проверки кадра:

ФБ    —    Функциональная безопасность.

FSCP — Профиль коммуникаций, удовлетворяющий требованиям функциональной безопасности:

MTBF — Среднее время между отказами:

MTTF — Среднее время до отказа:

6

ГОСТ Р МЭК 61784.3.1—2016

NSR — Не относящийся к безопасности (Non Safety Relevant)

PDU — Блок данных протокола [ИСО/МЭК 7498-1]:

ЗСНН — Защитное сверхнизкое напряжение;

ПЭС — Программируемая электронная система [МЭК 61508-4:2010);

PFD — Средняя вероятность опасных отказов по запросу (МЭК 61508-8:2010); PFH — Средняя частота опасных отказов в час [МЭК 61508-6:2010);

PhL — Физический уровень [ИСО/МЭК 7498-1);

УЭЗ — Уровень эффективности защиты (ИСО 13849-1);

ПЛК    — Программируемый логический контроллер;

SCL    — Коммуникационный уровень безопасности;

БСНН — Безопасное сверхнизкое напряжение;

УПБ — Уровень полноты безопасности (МЭК 61508-4:2010);

SR — Связанный с безопасностью.

3.2.2 CPF 1. Дополнительные обозначения и сокращения АР    — Прикладной процесс;

ASIC    — Специализированная интегральная схема;

CAS    — Каскад (каскадное размещение):

CF    — Общий файл;

CFF    — Общий формат файла:

ОО    — Описание прибора;

ОО    — Цифровой выход:

FBAP — Функциональный блок прикладного процесса; FMS    — Спецификация сообщения полевой шины:

АПС    — Активный планировщик связей;

LO    — Локальное переопределение;

LRSN    — Последний полученный порядковый номер;

MAU    — Блок доступа к среде передачи данных;

М05    — Алгоритм профиля сообщения 5;

MIB    — Информационная база управления;

NMA    — Агент сетевого управления;

NMIB    — Информационная база управления сетью;

OD    — Словарь объектов:

OOS    — Неисправный;

SIS    — Инструментальная система безопасности;

SMIB — Информационная база управления системой; SMK    — Ядро управления системой;

SMKP — Протокол ядра управления системой:

VCR — Виртуальная коммуникационная связь.

3.3 Условные обозначения

3.3.1 Диаграммы состояний

На рисунке 3 приведен пример диаграммы состояния, использующейся в настоящем стандарте. Состояние показано в виде овала с наименованием состояния в его центре. На рисунке 3 «Не соединен». «Соединен/Хорошее» и «Соединен/Плохое» являются состояниями. Переход представлен в виде линии или кривой, стрелка которой указывает направление перехода. Каждый переход имеет имя. «R1». «R2». «R3» и «R4» на рисунке 3 являются переходами.

7

ГОСТ Р МЭК 61784-3.1—2016

Каждая диаграмма состояний сопровождается таблицей. См. таблицу 1 для диаграммы состояний на рисунке 3. Первый столбец, обозначенный «#», содержит наименование перехода. Следующий столбец «Текущее состояние» содержит состояние, к которому применяется данный переход. Третий столбец, названный «Событие и условные действия», содержит событие, любые условия перехода и любые действия. Действия располагаются в таблице с отступом от условий. «RcvMsgO = "FMS Initiate. спГ» в таблице 1 является условием, a «SET Sequence Number = MCN» является действием. Четвертый столбец «Следующее состояние» содержит новое состояние, следующее за переходом.

Таблица 1 — Пример таблицы перехода состояний

Текущее состояние

Событие условные действия

Следующее состояние

R1

Не соединен

RcvMsgO = *FMS Inrbate.cnr SET Sequence Number = MCN

Соединен/Плохое

R2

Не соединен

RcvMsgO = ’Any message (не FMS Initiate.cnf)'

To же самое

R3

Соединен/Хорошее

RcvMsgO = 'Abort.irxT ИЛИ

RcvMsgO = ‘Abort req"

Не соединен

R4

Соединен/Плохое

RcvMsgO = ’Abortind” ИЛИ

RcvMsgO = ’Abortreq"

Не соединен

3.3.2 Использование цветов в рисунках

Использование цветов в рисунках не является обязательным и применяется только для того, чтобы сделать рисунки более понятными. Что обозначает каждый из цветов, показано на рисунке 4. Любые, не представленные на рисунке, цвета используются только для того, чтобы рисунок был более понятным.

|    | - связано с безопасностью;

- черный канал;

□ - протокол FSCP 1/1.

Рисунок 4 — Использование цветов в рисунках

8

ГОСТ Р МЭК 61784.3.1—2016

4 Обзор FSCP 1/1 (FOUNDATION Fieldbus™ SIS)

4.1 Общие положения

Семейство 1 коммуникационных профилей (общеизвестное как FOUNDATION™ Fieldbus1 11 определяет коммуникационные профили, основываясь на МЭК 61158-2 Тип 1. МЭК 61158-3-1. МЭК 61158-4-1. МЭК 61158-5-5. МЭК 61158-5-9. МЭК 61158-6-5 и МЭК 61158-6-9.

Базовые профили СР 1/1. СР 1/2 и СР 1/3 определены в МЭК 61784-1. Коммуникационный профиль. удовлетворяющий требованиям функциональной безопасности. FSCP 1/1 (FF-SIS™) семейства 1 коммуникационных профилей (CPF 1) основан на базовом профиле СР 1/1. представленном в МЭК 61784-1. и спецификациях коммуникационного уровня безопасности, определенных в настоящем стандарте.

Примечание — К данному протоколу применимы следующие спецификации для полевой шины FOUNDATION™: AG-180 (45). FF-8Q7 (46). FF-884 (47] и FF-895 (48].

Существуют применения, требующие, согласно МЭК 61508. от первого до четвертого уровня полноты безопасности.

Примечание — Такие применения, связанные с безопасностью, также называются инструментальными системами безопасности (SIS) (см. МЭК 61511).

Коммуникационный уровень безопасности FSCP 1/1, специфицированный в настоящем стандарте. позволяет использовать интеллектуальные устройства в системах, связанных с безопасностью, тем самым расширяя возможности системы, а также позволяя системе соответствовать требованиям уровня полноты безопасности. Коммуникационный уровень безопасности, установленный в настоящем стандарте, применим только к СР 1/1, как это описано в МЭК 61784-1. Область применения настоящего стандарта определена на рисунке 5.

Полевая шина СР 1/1

Черный канал

ч

ч

ч

ч

Рисунок 5 — Область применения FSCP 1/1

8 настоящем стандарте не определены требования для средств проектирования или функционала собственных измерений устройств. Коммуникационный уровень безопасности обеспечивает загрузку конфигурации, созданной при помощи средств проектирования, в устройства безопасности таким образом, чтобы протокол не оказывал негативного влияния на уровень полноты безопасности.

1) Полевые шины FOUNDATION™ и FF-SIS™ являются торговыми марками некоммерческой организации

Fieldbus Foundation. Данная информация приведена для удобства использования настоящего международного стандарта и не означает, что МЭК поддерживает мнение обладателя торговой марки или его продукцию. Соответствие настоящему стандарту не требует использования наименований Foundation Fieldbus™ или FF-SIS™. Использование тортовых марок FOUNDATION™ Fieldbus или FF-SIS™ требует разрешения со стороны Fieldbus Foundation.

9

ГОСТ Р МЭК 61784-3.1—2016

Сам по себе FSCP 1/1 не обеспечивает функциональную безопасность. Кроме регистрации интероперабельности протокола FSCP 1/1 поставщик также получит оценку функциональной безопасности для изделий, систем и программного обеспечения. Пользователю следует удостовериться в том. подходит ли все связанное с безопасностью оборудование для реализации функции безопасности в соответствии с МЭК 61508.

4.2 Основные концепции FSCP 1/1

4.2.1    Черный канал

Данная концепция заключается в использовании недоверенной коммуникационной системы (например. провода, оптоволоконные кабели, повторитель, барьер. ASIC, коммуникационный стек, шлюзовое устройство, интерфейс) для обеспечения надежного коммуникационного канала. Черный канал включает устройство, которое называют средством коммуникаций, а также SMK и SMKP. Система диагностики FSCP 1/1 управляет сбоями в черном канале. Черный канал может отказать в любое время, но отказы коммуникаций выявляются таким образом, чтобы была возможность управлять сбоями в рамках времени безопасности процесса. Диагностики выявления отказов должны соответствовать МЭК 61508. но от черного канала это не требуется. Протокол FSCP 1/1 не основан на 16-бигном CRC в FCS уровня канала данных Н1.

4.2.2    Ключ соединения

Ключ соединения — это уникальный номер каждого соединения, «кодовое слово» связи источник — адресат, назначаемое хостом каждому объекту канала безопасности во время конфигурации. 8 отличие от адреса черного канала ключ соединения защищен с помощью CRC коммуникационного уровня безопасности. Ключ соединения уникален в рамках коммуникационного уровня безопасности. При замене устройств может использоваться тот же ключ соединения посредством загрузки его в новое устройство. Конфигурация устройства, включающая ключ соединения, стирается в удаляемом устройстве перед тем. как его подключат снова к FSCP 1/1 сети для другой услуги. Устройства могут автоматически стирать свою конфигурацию при изменении адреса черного канала; альтернативой этому может служить наличие кнопки перезапуска или ее подобия для очистки конфигурации устройства.

4.2.3    Перекрестная проверка

Эта проверка представляет собой сравнение данных приложения, номера последовательности и CRC. которые были избыточно (с резервированием) переданы (дважды в одном сообщении) для подтверждения идентичности двух копий.

4.2.4    FSCP 1/1

FSCP 1/1 обеспечивает закрытую систему передачи, подходящую для использования в системе, связанной с безопасностью. Этот профиль позволяет достичь доверенных коммуникаций между приложениями. связанными с безопасностью (адаптировано из МЭК 62280-1).

4.2.5    Программируемая электронная система (РЕС)

Это система для управления, защиты или контроля (мониторинга), основанного на одном или нескольких программируемых электронных устройствах. Она включает в себя все элементы системы, такие как блоки питания, датчики и другие устройства ввода, скоростные линии передачи данных и другие коммуникационные пути, исполнительные устройства и другие устройства вывода. Структура РЕС может содержать программируемые электронные элементы в виде модуля не только в датчиках и исполнительных устройствах в управляемом оборудовании и их интерфейсах, программируемые электронные элементы могут присутствовать в нескольких местах в РЕС (адаптировано из МЭК 61508-4:2010. 3.3.1).

4.2.6    Задержки в очереди

Один из возможных сбоев — это задержка сообщений в черном канале по причине очередей в коммуникационном стеке устройства или в аппаратном обеспечении интеллектуальной сети, включающей повторители, концентраторы, мосты, коммутаторы и шлюзовые устройства. Не подтвержденные опубликованные сообщения могут успешно проходить через черный канал и даже с приемлемой скоростью. но при этом, по причине долгой очереди или множества очередей на разных этапах на пути черного канала, могут оказаться старее, чем позволяет время безопасности процесса. Этот сбой является сбоем задержки, при котором задержка вызвана устройствами на черном канале, ставящими сообщения в очередь.

4.2.7    Избыточность

Избыточность — это использование дополнительного аппаратного обеспечения, программного обеспечения или данных помимо тех, что требуются в среде, не допускающей ошибки.

ю

ГОСТ Р МЭК 61784.3.1—2016

Пример — Продублированные функциональные компоненты и дополнение битами четности являются экземплярами избыточности.

Примечание — Избыточность применяется в основном для улучшения надежности или готовности {МЭК 61508-4:2010, 3.4.6).

4.2.8 Среда УПБ

Аппаратное обеспечение и компоненты программного обеспечения, соответствующие FSCP 1/1. могут быть встроены в систему, которая является подходящей средой для реализации приложений, связанных с безопасностью.

4.3 Основные компоненты FSCP 1/1

4.3.1 Обзор

Коммуникационное аппаратное обеспечение полевой шины и стек не являются доверенными. Коммуникационный уровень безопасности, находящийся над коммуникационным стеком, обеспечивает доверенные коммуникации через полевую шину, а объект канала безопасности в FBAP содержит допол. нительную информацию, требующуюся для протокола FSCP 1/1. Это показано на рисунке 6. 8 устрой-стве безопасности прикладной процесс и коммуникационный уровень безопасности будут выполняться в среде с некоторым УПБ. Был создан набор упрощенных функциональных блоков, подходящих для приложений, связанных с безопасностью.

LAS — активный пл а миров ши к связей: МЛС — мажоритарная логическая схема Рисунок 6 — Архитектура (Н1) FSCP 1/1

11

ГОСТ Р МЭК 61784-3.1—2016

Протокол FSCP 1/1 осуществляет управление отказами, такими как неисправности в устройстве или каналах, а также случайными помехами, такими как ЭМП. Коммуникационный уровень безопасности обнаруживает следующие типы коммуникационных ошибок: повторение, удаление, включение, изменение последовательности, искажение данных, подмена и задержка.

4.3.2 Черный канал

Концепция черного канала, как показано на рисунке 7. позволяет данным безопасности передаваться по недоверенной шине. Необходимость в физическом разделении функций безопасности и аппаратных средств, не связанных с безопасностью, отсутствует. Устройства, связанные и не связанные с безопасностью, а также данные могут разделять шину, как показано на рисунке 7.

МЭК 61508

Недов ережая (шина)

МЭК 61508

Допустим, что в сети Н1 только один LAS. т. е. на одном и том же устройстве могут работать как связанные, так и не связанные с безопасностью приложения. Передача данных по FSCP 1/1 логически отделена от других передач данных. Конфигурация с одним каналом, являющимся не избыточной шиной, является достаточной. Устройство безопасности может предоставлять как связанные, так и не связанные с безопасностью функциональные блоки. Протокол FSCP 1/1 используется в каналах для функциональных блоков безопасности. Обычный СР 1/1 используется в каналах для функциональных блоков, не связанных с безопасностью. Таким образом, устройство безопасности может применяться как для функций, связанных с безопасностью, так и для не связанных с безопасностью функций.

Отказы могут происходить по причинам, отличным от фактических отказов компонентов аппаратною обеспечения (например, электромагнитные помехи, ошибки декодирования), тем не менее подобные отказы считаются случайными отказами в аппаратных средствах (см. МЭК 61508-2:2010, 7.4.5.2).

Для повышения готовности можно применять избыточность, обеспечиваемую шиной горячего резервирования. Между инструментальными устройствами и логическим решающим устройством предполагается использовать один канал. Избыточные каналы предполагается использовать в коммуникациях между логическими решающими устройствами.

4.4 Связь с базовой эталонной моделью ИСО ВОС

Коммуникационный уровень безопасности реализуется над коммуникационным стеком на уровне приложения.

5 Общие положения

5.1 Внешние документы, предоставляющие спецификации для профиля

Следующие документы предоставляют дополнительные спецификации, которые могут играть важную роль в проектировании FSCP 1/1:

-    FOUNDATION™ Fieldbus AG-180 (45]:

-    FOUNDATION™ Fieldbus FF-807 (46);

-    FOUNDATION™ Fieldbus FF-884 [47];

-    FOUNDATION™ Fieldbus FF-895 (48).

Рисунок 7 — Черный канал

12

ГОСТ Р МЭК 61784.3.1—2016

5.2 Функциональные требования безопасности

5.2.1    Требования для функциональной безопасности

Следующий список содержит требования функциональной безопасности, применяемые при разработке протокола FSCP 1/1.

-    FSCP 1/1 должен проектироваться таким образом, чтобы поставщики (вендоры) могли разрабатывать продукцию, подходящую для использования в приложениях с УПБ 2 (МЭК 61508). а с УПБ 3 рекомендуется.

-    Протокол должен поддерживать соединения издатель/подписчик и клиент/сервер.

-    Протокол, связанный с безопасностью, должен предотвращать помехи от устройств, не связанных с безопасностью. Например, не связанному с безопасностью ручному устройству должно быть запрещено изменять параметры в устройстве, связанном с безопасностью.

-    Протокол должен защищать от ненамеренных или неавториэованных изменений конфигурации устройства безопасности.

•    Вклад протокола FSCP 1/1 в PFD/PFH должен быть менее 1% значения, требуемого для УПБ.

•    вычисления PFD/PFH должны выполняться для режима по запросу и для режима с высокой частотой запросов (в соответствии с определениями в МЭК 61508).

-    Протокол должен реализовывать меры по управлению следующими сбоями:

-    отказ/искажение передачи битов:

-    повторная передача:

-    пропуск данных:

-    включение/расширение данных:

-    неверный порядок данных;

-    задержка данных;

-    отказ/искажение адресации;

-    сбои в очередях.

Примечание — Сбои е очередях являются разновидностью сбоя «задержка*.

-    Должна существовать возможность вычисления времени реакции для приложения.

-    Реализация функционального блока для требуемого УПБ должна осуществляться в соответствии с МЭК 61508-3.

-    Должно допускаться наличие устройств с различными УПБ в одной сети.

•    Должна существовать возможность обхода (by-pass) устройств безопасным образом.

5.2.2    Функциональные ограничения (условия)

Ниже приведен список функциональных ограничений, используемых в разработке FSCP 1/1. -Должна существовать возможность выполнения коммуникаций безопасности и стандартных коммуникаций средствами стандартных устройств и устройств безопасности на одной шине СР 1/1.

•    ASIC, коммуникационный стек, повторители, электромонтажное оборудование, блоки питания и аксессуары не должны модифицировать (черный канал) функции безопасности над уровнем 7 ВОС.

-    Протокол должен обладать механизмами, позволяющими хосту обнаруживать несоответствие типа устройства или новой версии устройства, или новой версии DD (описание устройства), или новой версии функциональных возможностей файла, или УПБ.

5.2.3    Требования к производителю устройства

Приведенный ниже список является набором требований, которые FSCP 1/1 выдвигает к поставщику устройства.

•    Условия окружающей среды и электрическая безопасность в соответствии с МЭК 61131-2.

-    Аппаратные средства должны соответствовать МЭК 61508-2 для требующегося УПБ.

•    Программное обеспечение должно соответствовать МЭК 61508-3 для требующегося УПБ.

•    Оценка аппаратных средств и программного обеспечения должна выполняться компетентной и независимой испытательной организацией в соответствии с МЭК 61508-1.

5.3    Меры безопасности

5.3.1 Порядковый номер

Каждый блок данных протокола безопасности обладает последовательно формируемым номером. который является номером макроцикла, присвоенным при генерации сообщения.

13

ГОСТ Р МЭК 61784-3.1—2016

5.3.2    временная метка

Последовательно формируемый номер, включенный в блок данных протокола безопасности, также является временной отметкой, так как он является номером макроцикла.

5.3.3    временное ожидание

Порядковый номер / временная метка используются для проверки того факта, что сообщения доставлены вовремя. Каждое соединение также обладает счетчиком устаревания, обнаруживающим случаи, когда сообщения не были получены в течение времени ожидания.

5.3.4    Аутентификация соединения

С каждым соединением ассоциирован ключ соединения, используемый для проверки того факта, что блок данных протокола безопасности поступил из верного источника сообщений.

5.3.5    Обеспечение целостности данных

Каждый блок данных протокола безопасности содержит CRC для обеспечения целостности данных.

5.3.6    Избыточность с перекрестной проверкой

Каждый блок данных протокола безопасности содержит две копии данных и CRC. Дублирование данных и CRC используются для перекрестной проверки данных.

5.3.7    Различные системы обеспечения целостности данных

Блок данных протокола безопасности содержит дополнительные CRC. отличающиеся от системы целостности данных черного канала.

5.3.8    Связи между ошибками и мерами безопасности

Меры безопасности, выделенные в 5.3.1— 5.3.7, можно связать с набором возможных ошибок. Эта связь показана в таблице 2. Каждая мера безопасности может обеспечивать защиту от одной или более ошибок в передаче. С помощью таблицы 2 должно быть продемонстрировано, что существует хотя бы одна соответствующая мера безопасности или комбинация мер безопасности для всех определенных возможных ошибок.

Таблица 2— Меры безопасности и возможные коммуникационные ошибки

Ошибки

КОММУНИКАЦИЙ

Меры безопасности

Поряд

ковый

номер

вре

менная

ысгка

временное ожид в' иие

Ауте ит и» фикацип соединения

Со

общение

обратной

связи

Обеспечение полноты денных

Избыточность с перекрестной проверкой

Различные

системы

обеспечения

ПОЛНОТЫ

данных

Искажение

X

X

Ненамеренное

повторение

X

X

Неправильная

последовательность

X

X

Потеря

X

Недопустимая

задержка

X

X

Внесение

X

Подмена

X

Адресация

X

Примечание —Таблица из МЭК61784-3.

5.4 Структура коммуникационного уровня безопасности

5.4.1    Топология сети и связность устройств

5.4.1.1    Общие положения

Устройства, связанные и не связанные с безопасностью, могут разделять общую полевую шину, как показано на рисунке 8. Должна учитываться вся функция безопасности целиком, от датчика до исполнительного устройства. На канал полевой шины по проекту выделяется не более 1 % от PFO (средняя вероятность опасных отказов по запросу) на канал.

14

ГОСТ Р МЭК 61784.3.1—2016

Удаленный ввод-вывод    Удаленный ввод-вывод

А — аналоговый: О — цифровой Рисунок 8 — FSCP 1/1 в архитектуре системы

Примечание — Программируемые электрические элементы показаны в центре, но могут присутствовать в нескольких местах в ПЭС.

5.4.1.2    Топология отдельного канала Н1

Функция безопасности реализуется одним каналом Н1. Канал является частью черного канала. Устройства Н1. связанные и не связанные с безопасностью, подключаются к сети идентичным образом.

5.4.2    Архитектура устройства

5.4.2.1 Общие положения

Концепция черного канала позволяет коммуникационным аппаратным средствам (включая ASIC и MAU) и стеку коммуникационного программного обеспечения быть недоверенными, тогда как диагностические средства коммуникаций и функциональные блока приложения по протоколу FSCP 1/1 выполняются в среде с УПБ. состоящей из аппаратных средств и программного обеспечения с некоторым УПБ. Коммуникационный уровень безопасности является интерфейсом между прикладным процессом с некоторым УПБ и недоверенными средствами коммуникаций черного канала, как зто показано на рисунке 9.

Полевая шина

Черный канал

Среда с УПБ

Логика SIS

Расширения протокола FSCP 1/1

Рисунок 9 — Устройство Н1 с FSCP 1/1

Реализация концепции черного канала должна выполняться с осторожностью, чтобы избежать вмешательства не имеющих УПБ аппаратных средств и программного обеспечения в аппаратные средства и программное обеспечение, связанные с УПБ.

S.4.2.2 Архитектура устройства Н1

Прикладные процессы связаны с безопасностью и будут выполняться в среде с заданным УПБ. Средство коммуникаций состоит из коммуникационного стека. FMS. NMA и NMIB, являющихся недоверенными. Средство коммуникаций, так же как и SMK и SMKP. входит в состав черного канала. Их связь показана на рисунке 10.

15

ГОСТ Р МЭК 61784-3.1—2016

Физические носители Рисунок 10 — Уровни протокола FSCP 1/1

5.5 Связи с FAL (и DLL. PhL)

5.5.1 Общие положения

На рисунке 11 показана связь между FSCP 1/1 и другими уровнями МЭК 61158. Тип 1.

FBAP

FSCP 1/1

FSCP 1/1

FMS

МЭК61158 Тип 1

FAL

DLL

PhL

Рисунок 11 —Связь между FSCP 1/1 и другими уровнями МЭК 61156, Тип 1

5.5.2 Типы данных

FSCP 1/1 использует базовые типы данных, перечисленные в таблице 3 согласно CPF 1 в МЭК 61784-1.

Таблица 3 — Типы данных, применяемые в рамках FSCP 1/1

Название типа данных

Перевод

Число октет

Integers

8-битовый целочисленный

1

Integer16

16-битовый целочисленный

2

Integer32

32-битовый целочисленный

4

UnsignedS (used as bits)

8-битовый без знака (используется в качестве бит)

1

Uns»gned16 (used as btts)

16-битоеый без знака (используется в качестве бит)

2

Unsigned32 (used as bits)

32-битоеый без знака (используется в качестве бит)

4

Uns»gned16

16-битовый без знака

2

16

ГОСТ Р МЭК 61784.3.1—2016

Окончание таблицы 3

Название типа данных

Перевод

Число октет

Unsigned32

32-битовый без знака

4

Ftoat32

32-биговый с ппавающей точкой

4

Date

Дата

TimeOfDay with date indication

Время суток с индикацией даты

TimeOfDay without date indication

Время суток без индикации данных

TimeDifference with date indication

Разность времени с индикацией даты

TimeDifference without date indication

Разность времени без индикации даты

Visible String

Видимая строка

1.2.3...

6 Услуги коммуникационного уровня безопасности

6.1    Прикладной процесс

6.1.1    Обзор

Функции, связанные и не связанные с безопасностью, могут быть размещены в одном или различных прикладных процессах в устройстве. Прикладной процесс (ПП) для функций безопасности требует среду с определенным УПБ и не входит в состав черного канала.

Уровень FSCP 1/1 не зависит от прикладного процесса и. таким образом, может использоваться для передачи функциональных блоков одного прикладного процесса или другого прикладного процесса.

6.1.2    Видимые объекты сети

Прикладной процесс не имеет прямого доступа к прикладному уровню в стеке коммуникаций черного канала, а только через уровень FSCP 1/1.

6.1.3    Интерфейс прикладного уровня

Тот же набор услуг отправки сообщений, который FMS предоставляет для объектов, не связанных с безопасностью, предоставляется коммуникационным уровнем безопасности для объектов безопас. ности.

6.1.4    Словарь объектов

8 словарь объектов полевой шины не вносятся никакие изменения для поддержки черного канала.

6.1.5    Директория прикладных программ

8 директорию прикладного процесса не вносятся никакие изменения для поддержки черного канала.

6.2 Функциональные блоки прикладных процессов

6.2.1    Общие положения

Были определены простые функциональные блоки, пригодные для приложений, связанных с безопасностью. FBAP. содержащий объекты безопасности, будет выполняться в среде с УПБ.

Использование функциональных блоков не обязательно. Скорее всего, хост не будет выполнять функциональные блоки.

6.2.2    Модель функционального блока

6.2.2.1 Счетчик устаревания

Проверка счетчиком устаревания для сквозного соединения соответствия номера последовательности. управляет сбоями при планировании (построении графика) и выполнении логической цепи вплоть до выводного функционального блока. После выводного функционального блока таймер устаревания данных управляет сбоями в планировании и выполнении самого выводного функционального блока. Если из-за ошибки планирования или выполнения от выводного функционального блока не получено обновление в заданный промежуток времени, то вывод перейдет в состояние сбоя. Использование таймера устаревания данных после выводного функционального блока является мерой безопасности. независимой от не связанного с УПБ SMK, проверяющего, выполняются ли функциональные блоки. Если функциональный блок не выполняется, то выводы не распространяются по черному каналу. Потерянное сообщение — это сбой управляющего выводного ключевого блока, и несоответствие номера последовательности вызовет действие предварительно сконфигурированного состояния сбоя.

17

ГОСТ Р МЭК 61784-3.1—2016

Номер последовательности для канала, используемый в протоколе FSCP 1/1. вычисляется из номера макроцикла, основываясь на времени канала передачи данных, и потому изменяется для каждого нового PDU. передаваемого по черному каналу. Если черный канал работает некорректно и издает старые данные, то номер последовательности не будет соответствовать, что позволяет обнаруживать подобные сбои выводного ключевого блока.

Механизмы проверки сбоев сквозного соединения с помощью счетчика устаревания позволяют обнаружить следующие сбои: остановка выполнения функционального блока, неправильный порядок его выполнения, в неправильное время или со слишком большими флуктуациями сигнала. Подобные сбои могут происходить по причине сбоев в планировании, в самом функциональном блоке, или из-за превышения максимального ожидаемого времени выполнения функционального блока.

6.2.2.2    Имитация

Для запуска имитации в блоке ресурсов выключаются блокировка записи и защита имитации. Если блокировка записи снова включена, то имитация автоматически выключается. Кроме того, запуск имитации должен быть в нестирающейся при перебое питания памяти. Когда питание включено — имитация всегда находится в выключенном состоянии.

Когда имитация активирована, посылается аварийный сигнал от не связанной с безопасностью функции. Хосту требуется периодически проверять, включена имитация или нет в любом из устройств.

6.2.2.3    Блокировка записи

Блокировка записи защищает конфигурацию устройства. Когда блокировка записи установлена в блоке ресурсов устройства безопасности, все внесения записей е ресурс отключены, включая MIB. но исключая саму блокировку записи. Защищенное содержание MIB включает объект (блокировки, каналы. VCR). адрес, параметры и тег устройства.

Функциональный блок предохранительной блокировки (safety lock) в каждом устройстве безопасности способен произвести запись в параметр блокировки записи в блоке ресурсов того же устройства. Функциональный блок предохранительной блокировки имеет вход блокировки записи, который принимает ссылку функционального блока безопасности. Это позволяет включать и отключать возможность ввода в несколько устройств удаленно из центрального устройства. Функциональный блок предохранительной блокировки может активировать и деактивировать блокировку записи в устройстве, используя выключатель с ключом через функциональный блок DI. На рисунке 12 показана архитектура такой предохранительной блокировки.

Рисунок 12 — Блокировка записи с помощью ключа

Блокировка записи может также быть активирована и деактивирована записью параметра в функциональный блок предохранительной блокировки. Запись параметра, как правило, защищается на хосте надлежащими паролями. На рисунке 13 показана архитектура подобного замка.

WL — Блокировка записи («Write Lock»)

Рисунок 13 — Блокировка записи с помощью пароля

16

ГОСТ Р МЭК 61784.3.1—2016

6.2.2.4 Остановка и перезапуск

Для выводного функционального блока FSCP 1/1 состояние сбоя может быть сконфигурировано как «de-energi2ed.to.thp» (остановлен по отключению питания), или «energized-to-trip» (остановлен по включению питания), или же «hold last value» (держать последнее значение). Если последовательный ввод выводного функционального блока имеет статус «Bad» (плохой), например, по причине потери связи, то это отражается в виде «Bad::non-specific substatus» на выводе обратной связи выводного функционального блока. Физический вывод может срабатывать при непосредственном запросе процесса из логического решающего устройства, из-за коммуникационной или упреждающей ошибки вы* полнения функционального блока, из-за вмешательства оператора или же по причине сбоя устройства.

Существует различие между предварительно сконфигурированным действием состояния сбоя, отвечающим на запрос процесса, коммуникационную ошибку или упреждающую ошибку выполнения функционального блока, и остановкой по причине сбоя в устройстве подачи питания. Ответ выводного функционального блока на запрос процесса основывается на его входном сигнале, где ноль (0) означает предварительно сконфигурированное действие состояние сбоя, а один (1) всегда означает «можно выполнять» (OK to run). Сигнал для «остановить по включению питания» инвертируется в выводном функциональном блоке. При коммуникационной ошибке выводной функциональный блок не прибегает ни к каким действиям до тех пор. пока не истекло время состояния сбоя, а затем он либо держит свою последнюю позицию, либо переходит к значению сбоя, как это установлено опцией «состояние сбоя» и значением «состояние сбоя».

При нормальном режиме работы выводной функциональный блок выполняется в последовательном режиме. По умолчанию режим останется последовательным по запросу процесса. Дополнительно по запросу процесса и коммуникационной ошибки вывод может быть зафиксирован в состоянии сбоя. Когда включена функция фиксировать состояние сбоя и происходит запрос процесса или ошибка ком* муникаций. то функциональный блок DO переходит в режим LO (локального переопределения). Даже если запрос или условие сбоя убраны, вывод остается в состоянии сбоя до тех лор. пока его не перезапустит пользователь. Логическое решающее устройство может контролировать вывод из вывода обрат-ной связи выводного функционального блока и. если необходимо, сигнализировать о статусе Bad. Если зафиксировано, то оператор снимет фиксацию либо через очистку состояния сбоя блока ресурсов, либо через перезапуск ввода выводного функционального блока. Если устройство сконфигурировано для состояния сбоя «по отключению», то аппаратные средства могут, например, выполнить открытие или закрытие клапана. В таблице 4 перечислено подобное поведение.

Если статус ввода «Bad» или «Good::lnitiate-fault-state». то вывод также выполнит предварительно сконфигурированное действие состояния сбоя.

Таблица 4 — Поведение состояния сбоя

Условие

Припер

Задержка состояния сбоя ОО

Функция состояния сбоя ОО

Фиксация

СОСТОЯНИЯ

сбоя ОО

Заметка

Статус «Bad», коммуникационная ошибка или упреждающая сшибка выполнения функционального блока

Плохой последовательный ввод по причине отказа CRC коммуникационного уровня безопасности, несоответствие номера последовательности или несоответствие результатов перекрестной проверки при избыточности

Да

Питание

включено

Питаже отключено

Удержание

Необязательный режим LO

Инициировать состояние сбоя

От другого функционального блока или логического решающего устройства получен подстатус

Да

Питание

включено

Питание отключено

Удержание

Необязательный режим LO

19

ГОСТ Р МЭК 61784-3.1—2016

Окончание таблицы 4

Условие

Пример

Задержка состояния сбоя 00

Функция состояния сбоя 00

Фиксация состояния сбоя ОО

Заметка

Вмешательство оператора

Установить состояние сбоя из блока ресурсов

Нет

Питание

включено

Питание отключено

Удержание

Всегда установлен режим LO

Запрос процесса от логического решающего устройства

Дискретный посладовагвгъный ввод равен (0)

Нет

Нет

Необязательный режим LO

Как правило, режим CAS

Отказ черного канала

Ошибка синхронизации времени

Да

Питание

включено

Питание отключено

Удержание

Необязательный режим LO

Если условие, вызвавшее предварительно сконфигурированное действие состояния сбоя, убрано, то пользователь может перезапустить зафиксированный вывод, используя параметр очистки состояния сбоя в блоке ресурсов или очистки ввода состояния сбоя в самом выводном функциональном блоке.

6.2.3 Прикладные процессы

6.2.3.1    Общие положения

Определены стандартные функциональные блоки FSCP 1/1. Изготовители могут создавать улучшенные и индивидуальные функциональные блоки безопасности. Все блоки FSCP 1/1 идентифицируются номерами профиля, установленными в рамках определенного диапазона. Это позволяет хосту взаимодействовать с блоками FSCP 1/1 так, как это требуется.

6.2.3.2    Типы блоков

6.2.3.2.1    Общие положения

Для FSCP 1/1 были созданы дополнительные стандартные функциональные блоки и блок ресурсов. Стандартные функциональные блоки FSCP 1/1 идентифицируются номерами профиля, установленными в рамках определенного диапазона. Функциональные блоки FSCP 1/1 имеют меньше допустимых режимов и параметров, чем их обычный аналог. Ручной режим разрешен только когда на устройстве нет блокировки записи, то же самое применяется к автоматическому режиму для выводных функциональных блоков. Когда записи устройства разблокированы, режимы функционального блока будут сменяться на автоматический рабочий и последовательный соответственно.

Поведение состояния сбоя в выводных функциональных блохах безопасности является обязательным.

6.2.3.2.2    Блок ресурсов устройства безопасности

Параметр блокировки записи блока ресурсов обладает важной функцией механизма блокировки, которая предотвращает внесение записей в весь ресурс целиком.

Текущие статистические данные коммуникационного уровня безопасности могут быть оценены посредством блока ресурсов устройства безопасности. Статистические данные протокола FSCP 1/1 состоят из счетчика, обнаруженных плохих сбоев CRC коммуникационного уровня безопасности.

Статистические данные коммуникационного уровня безопасности также содержат параметр ошибки черного канала с флагом, указывающим на произошедший сбой синхронизации времени.

Блок ресурсов устройства безопасности содержит параметр для разблокировки ввода записей на устройстве. Она будет выполняться перед тем. как будет возможно записать параметры и объекты. Функциональный блок предохранительной блокировки упрощает блокировку и разблокировку записей во множестве устройств.

Блок ресурсов устройства безопасности содержит параметр для очистки всех выключенных выводов. которые были зафиксированы в выводе состояния сбоя.

Блок ресурсов устройства безопасности содержит параметр длительности макроцикла, так как на данные черного канала нельзя полагаться.

20

ГОСТ Р МЭК 61784.3.1—2016

Блок ресурсов устройства безопасности содержит параметры, оповещающие о выпуске новых версий аппаратных средств и встроенных программ (прошивки), а также о контрольных суммах для встроенных программ и конфигурации.

6.2.3.2.3 Дополнительные функциональные блоки

6.2.3.2.3.1    Общие положения

Приложения безопасности требуют устройства ввода, вывода и логики. Поэтому предоставляется новый набор функциональных блоков безопасности, обеспечивающих эти функциональные возможности. Новый функциональный блок безопасности включает в себя:

•    аналоговый ввод безопасности:

-    дискретный ввод безопасности:

-    предохранительную блокировку:

•    дискретный вывод безопасности:

•    логику безопасности:

-    аналоговый компаратор безопасности.

Функциональные блоки SR-A, SR-DI и SR-DO сократили свою функциональность в сравнении с их обычными аналогами для тою. чтобы упростить реализацию для специалистов по внедрению, уменьшить число ошибок, а также облегчить верификацию для пользователей. Упрощение включает в себя уменьшение числа поддерживаемых режимов и отсутствие системы сигналов тревоги.

6.2.3.2.3.2    выводные функциональные блоки безопасности

выводные функциональные блоки безопасности важны, так как в них выполняется предварительно сконфигурированное действие состояния сбоя. Помимо предварительно сконфигурированного действия состояния безопасности на значение запроса процесса, полученного на последовательном вводе. выводной функциональный блок также использует предварительно сконфигурированное действие состояния сбоя при плохом статусе, инициации состояния сбоя, упреждающей ошибки выполнения функционального блока и устаревших коммуникаций, выходной преобразователь остановится по от-казу связанного с ним выводного функционального блока функции безопасности, которую необходимо выполнить, выходной преобразователь управляет планированием и сбоями коммуникаций при выполнении функции безопасности, осуществляя это остановкой е тех случаях, когда он не был обновлен свежими данными в установленные сроки таймера устаревания данных. Если выводной функциональный блок выполняет предварительно сконфигурированное действие состояния сбоя по подлинному запросу процесса, статуса или коммуникационного сбоя, то режим по умолчанию останется последовательным, выводные функциональные блоки безопасности включают в себя дополнительные функции для фиксации (задержки) остановленных выводов, вывод обратной связи в выводном функциональном блоке показывает статус «Bad::non-specific», если коммуникации последовательного ввода плохие. Другие сбои в выводе также будут отражены в этом статусе. Кроме того, сигнал тревоги, не связанный с безопасностью. может быть отправлен в ответ на состояние сбоя, если его поддерживает устройство. Подробности статуса обратной связи и аварийного сигнала будут указывать на то. является ли состояние сбоя подлинным запросом процесса или же вызвано сбоем. Используя коммуникации FSCP 1/1, с помощью параметра режима в выводном функциональном блоке можно увидеть, находится ли вывод в условиях состояния сбоя. В отдельном фиксированном выводе состояние сбоя может быть сброшено с помощью параметра перезапуска ввода в каждом выводном функциональном блоке. Перезапуск ввода принимает канал функционального блока безопасности, тем самым позволяя перезапуск состояния сбоя удаленно или с помощью логики другого функционального блока. Во всех остановленных выводах состояние сбоя может быть сброшено посредством параметра, содержащегося в блоке ресурсов.

8 блоках преобразователя поставщик должен определенным образом реализовать продвинутые диагностические средства для клапана, такие как испытание клапана при неполном ходе, аналоговая обратная связь по положению для дискретных клапанов и сигнализация об отклонениях позиции. Команды. работающие над будущим профилем блока преобразователя, возможно, определят стандартные параметры для таких устройств.

6.2.3.2.3.3    Функциональный блок предохранительной блокировки

Функциональный блок предохранительной блокировки снимает блокировку с защиты от записи, основываясь на значениях вводов канала, обеспечивающих центральное блокирование и снятие блокировки для нескольких устройств.

Перед тем как появится возможность записывать параметры, ресурс будет разблокирован. Это равносильно блокировке ключом на пульте управления системой безопасности. Так как может работать множество устройств безопасности и так как их часто необдуманно устанавливают в опасных зонах или

21

ГОСТ Р МЭК 61784-3.1—2016

как-то иначе делают недоступными, разблокировка и блокировка будут возможны через коммуникации FSCP 1/1. Блокировка записи программного обеспечения обязательна для блока ресурсов безопасности.

в.2.3.2.4 Объект канала безопасности

Расширения протокола FSCP 1/1 отражены в объекте канала безопасности. Другой объект канала. хранящий дополнительную информацию, используется для функциональных блоков каналов FSCP 1/1. Объект канала безопасности содержит ключ соединения и предельное значение непрерывною счетчика устаревания, требующиеся для приложений безопасности. В одной сети, в одном устройстве или в одном логическом решающем устройстве могут существовать множественные независимые цепочки выполнения функции безопасности. Отказ в одной цепи функции безопасности не должен быть причиной отключения других цепей функции безопасности на одной шине, в одном устройстве или логическом решающем устройстве. Для обеспечения интероперабельности с существующим оборудованием в приложениях, не связанных с безопасностью, устройство должно обязательно поддерживать объект канала, не связанный с безопасностью.

6.2.3.2.5 Таймер устаревания данных

Механизм непрерывного счетчика устаревания выявляет ошибки выполнения функциональною блока вплоть до выводного функциональною блока, но исключая его. Следующий механизм, таймер устаревания данных, останавливает вывод, если блок преобразователя вывода не обновляется выводным функциональным блоком в необходимое время, например, по причине отказа выполнения выводного функционального блока. Таймер устаревания данных вывода конфигурируется через выводной функциональный блок. Следует различать время устаревания данных и время состояния сбоя.

Подобным же образом механизм, зависящий от производителя, контролирует выполнение других блоков, включая блоки преобразователя.

Пример — Если блок преобразователя ввода не выполнен должным образом, то статус вывода вводноао функционального блоке является плохим.

6.3 Коммуникации устройство—устройство

6.3.1 Общие положения

Коммуникации FSCP 1/1 обеспечиваются для коммуникаций иэдатель/подписчик и клиент/сервер. но не для рассыпки отчетов. Устройство безопасности по-прежнему может использовать VCR рассылки отчетов для передачи сигналов тревоги, но этому механизму нельзя доверять. На рисунке 14 показаны подобные коммуникации.

Устройство

Прсмме беэспаомсга

Передач*

связанная с безопасностью

КВ1*Ч»»»СЩИ01НЫ>

«Сто*»

оиэмкям у роить

Устройство

Прмда: бокпхыэпм

перед**,

сеюднчаяс

бевпаеиостые

Средства передачи данных

22

Рисунок 14 — Пример коммуникаций FSCP 1/1

ГОСТ Р МЭК 61784.3.1—2016

6.3.2    Клиент/сервер

Устройство безопасности поддерживает чтение и запись для коммуникаций клиент/сервер. Кли-ент/сервер применяется пользователем для записи параметров. После внесения любых изменений пользователь должен выполнить функциональный тест, как это определено в МЭК 61508.

VCR коммуникаций клиент/сервер не является детерминистической и по-настоящему не ограничивается. VCR клиент/сервер не подходит для реализации отключения.

Параметры и объекты могут быть записаны, но для этого требуется, чтобы коммуникации FSCP1/1 активировали возможность записи. Блокировка записи присутствует в блоке ресурсов, который защищает все объекты в ресурсах. После изменения конфигурации от пользователя требуется осуществить контрольное испытание. Затем коммуникации FSCP 1/1 используют для отключения возможности внесения записей.

«Запросы-на-считывание» и «ответы-на-эапись» используют обычный протокол СР1/1. «Запросы-на-запись» и «ответы-на-чтение» используют протокол FSCP 1/1. Должен быть создан объект канала клиент/сервер (с ключом соединения и т. д.) для каждого клиента (интерфейс), которому будет позволено читать/записыеатъ устройство. Каждое сообщение будет содержать CRC. Ключ соединения включен в виде части виртуального заголовка, который используется при вычислении CRC.

Функциональные блоки FSCP 1/1 обладают каналами FSCP 1/1, сконфигурированными в объектах канала безопасности. Протокол FSCP 1/1 является расширением PDU, а не новым типом данных.

FSCP 1/1 использует избыточную передачу данных, что означает, что данные, номер последовательности и CRC передаются дважды и подвергаются перекрестной проверке в точке получения.

6.3.3    Издатель/подписчик

Функциональные блоки FSCP 1/1 обладают каналами FSCP 1/1, сконфигурированными в объектах канала безопасности. Протокол FSCP 1/1 является расширением PDU. а не новым типом данных. В дополнение к CRC уровня коммуникаций безопасности опубликованный POU безопасности также включает номер последовательности, разрешающий подписчикам управлять дополнительными сбоями.

FSCP 1/1 использует избыточную передачу данных, что означает, что данные, номер последовательности и CRC передаются дважды и подвергаются перекрестной проверке в точке получения.

6.3.4    Рассылка отчетов

Для VCR рассылки отчетов не существует расширения протокола FSCP 1/1. и потому он не является доверенным. Устройство безопасности может отправлять сигналы тревоги, не связанные с безопасностью.

6.3.5    Операция FBAP в шлюзовом устройстве

Прикладной процесс в шлюзовом устройстве оценивается таким же образом, как и FBAP FSCP 1/1.

6.3.6    Коммуникации протокола ядра управления системой (SMKP)

SMKP является частью черного канала. Сбои в локальном интерфейсе между SMKP и прикладным процессом управляются средствами, определенными изготовителем.

6.4 Профили

6.4.1    Общие положения

Профиль является подмножеством, набором, выбранным из большей общей спецификации. Профиль FSCP 1/1, таким образом, является ограниченной версией полного функционала FSCP 1/1. Для FSCP 1/1 создаются новые профили.

6.4.2    Профиль FSCP 1/1

6.4.2.1    Общие положения

Устройства Н1 FSCP 1/1 могут также быть распределены по классам, основываясь на их функциональных возможностях.

Устройства H1 FSCP 1/1 принадлежат одному или нескольким из следующих наборов классов:

•    полевые устройства H1 FSCP 1/1 — устройства управления, располагающиеся на каналах Н1;

•    хост-устройства FSCP 1/1 осуществляют интерфейс пользователя и функции конфигурации — логическое решающее устройство со средствами конфигурации.

6.4.2.2    Параметризация блока

Все параметры в блоках безопасности могут быть записаны либо с помощью VCR клиент/сервер. не связанной с FSCP 1/1. перед тем. как объект канала клиент/сервер FSCP 1/1 был создан, или с помощью VCR клиент/сервер FSCP 1/1 после того, как объект канала клиент/сервер FSCP 1/1 был создан. FSCP 1/1 необходимо, чтобы блок ресурсов был «разблокирован» перед тем. как что-либо будет записано в ресурс. После внесения изменений должен быть выполнен функциональный тест.

23

ГОСТ Р МЭК 61784-3.1—2016

6.4.2.3    Блокировка параметризации блока

Перед тем. как появится возможность записывать параметры, ресурс должен быть разблокирован. Это равносильно применению ключа блокировки на пульте управления системой безопасности. Так как может быть несколько устройств безопасности и так как их часто необдуманно устанавливают в опасных зонах или как-то иначе делают недоступными, то разблокировка и блокировка будут также возможны через коммуникации FSCP 1/1. Блокировка записи программного обеспечения обязательна для блока ресурсов безопасности.

Одной из многих возможных подобных реализаций будет функциональный блок, который, при активации ввода, записывает параметр блокировки записи в устройстве для того, чтобы включить возможность конфигурации. Для этой цели предоставляется функциональный блок.

6.4.2.4    Аутентификация пользователя

Программное обеспечение хоста должно гарантировать, что только авториэированные пользователи получают доступ к программированию и параметризации.

6.4.2.5    Блокировка программирования

Перед тем. как появится возможность изменять объекты, ресурс должен быть разблокирован. Это равносильно применению ключа блокировки на пульте управления системой безопасности. Так как может быть несколько устройств безопасности и так как их часто необдуманно устанавливают в опасных зонах или как-то иначе делают недоступными, то разблокировка и блокировка будут возможны через коммуникации FSCP 1/1. Блокировка программирования реализуется параметром блокировки записи в ресурс в блоке ресурсов. Объекты, отличные от блоков, такие как объекты каналов, могут быть записаны только, когда ресурс разблокирован.

Изменения программ должны выполняться в одно время с выключением процесса (устройства по-прежнему будут выполнять блоки), в котором хост взаимодействует с устройствами.

6.5    Описания устройств

Описания устройств являются неотъемлемой частью средств конфигурации. Хэш MD5 будет сгенерирован для каждого из DD и файлов возможностей для обеспечения целостности файлов. Хэш MD5 для файлов DD/CF будет храниться, защищенный специальным ключевым словом в файле возможностей FSCP 1/1. Это показано на рисунке 15.

Рисунок 15 — Пример описания устройства

24

ГОСТ Р МЭК 61784.3.1—2016

6.6    Распространенные форматы файлов

Файлы возможностей являются неотъемлемой частью средств конфигурации. Механизм хэша описан для DO и будет таким же для CF.

Хэш-сумма MD5 для файлов DD и CFF хранится в конце CFF файла.

Файл возможностей содержит параметры, оповещающие о частоте отказов устройства. Суще-ствуют также параметры для уровня проектирования изделия, то есть приобретенное предотвращение сбоев {например, в ходе проектирования требования для УПБ 2 устройства могли выполняться, даже если частоты отказов подходят для УПБ 3).

6.7    Информация о конфигурации

6.7.1    Обзор

Конфигурация FSCP 1/1 в основном не будет отличаться от конфигурации, не связанной с без-опасностью, но будет дополнительно включать запись параметров безопасности функционального блока. таких как: таймер устаревания данных, предельное значение непрерывного счетчика устаревания и макроцикл. Ссылки функционального блока FSCP 1/1 используют объект канала безопасности там. где требуется установить ключ соединения. Предполагается, что средства конфигурирования автоматически осуществляют конфигурирование ключа соединения и макроцикла. После того как устройство было приведено в рабочее состояние, внесение изменений в какие-либо функциональные блоки за. прощается.

6.7.2    Конфигурация уровня 1. Определение устройства изготовителем

Вопросы реализации устройств безопасности включают в себя меры для физического и логического разделения связанных с безопасностью (прикладной процесс и коммуникационный уровень безопасности) и недоверенных (стек черного канала) функций для того, чтобы обеспечить отсутствие помех. Приложения функционального блока для связанных и не связанных с безопасностью применений могут размещаться в одном или разных VFD (виртуальное полевое устройство).

6.7.3    Конфигурация уровня 2. Определение сети

Конфигурация черного канала не изменена.

6.7.4    Конфигурация уровня 3. Определение распределенного приложения

Для функциональных блоков безопасности используется особый объект канала. Должно быть вычислено ожидаемое время прохождения сигнала для канала.

Пользователь определяет время безопасности процесса. Макроцикл, предельные значения непрерывного счетчика устаревания и таймер устаревания данных должны быть сконфигурированы соответствующим образом.

6.7.5    Конфигурация уровня 4. Конфигурация устройства

Время макроцикла должно быть установлено с помощью параметра из блока ресурсов.

7 Протокол коммуникационного уровня безопасности

7.1    Формат PDU безопасности

7.1.1    Общие положения

Протокол FSCP 1/1 управляет отказами, происходящими во время коммуникаций. Протокол FSCP 1/1 применяется к протоколу коммуникаций FMS. Сбои в локальном интерфейсе между прикладным процессом и SMK. а также SMIB в NMA управляются средствами, определенными изготовителем. Протокол FSCP 1/1 применяется при FMS для коммуникаций на всей полевой шине.

7.1.2    CRC коммуникационного уровня безопасности

Проверка циклически избыточным кодом используется для управления отказами, связанными с искажением данных, происходящими в коммуникациях полевой шины.

Данные передаются вместе с вычисленной контрольной суммой CRC для каждого PDU. CRC коммуникационного уровня безопасности определен в CCITT 32 V.42 и ИСО/МЭК 8802-3 (ИИЭР 802.3). CRC представляет из себя 32-битный полином, вычисляемый следующим образом: (х32 + х26 + х23

4 х22 + х1в + X12 + Х11 4 ХЮ 4 Xе +Х7 + X5 4 X42 ♦ X 4 1).

Коммуникационный уровень безопасности приемника повторно вычисляет контрольную сумму полученных данных и сравнивает результат с полученной контрольной суммой. Искаженные сообщения отклоняются.

25

ГОСТ Р МЭК 61784-3.1—2016

7.1.3    Контроль синхронизации времени на черном канале

Номер последовательности основан на номере макроцикла, полученном из времени канала дан-ных для каждой публикации. Номер последовательности, по сути, является своего рода отметкой времени. Все устройства в сети Н1 имеют единое восприятие макроцикла. Таким образом, устройства в сети работают с единым временем, реализуемым корректно функционирующим механизмом синхронизации времени. Синхронизация времени требуется для обеспечения синхронного выполнения функциональных блоков и коммуникаций, тем самым обеспечивая минимально возможное время реакции функции безопасности. Механизм синхронизации времени корректирует время и частоту канала дан. ных и размещается в черном канале, но не контролируется коммуникационным уровнем безопасности. Коммуникационный уровень безопасности обладает независимым источником времени безопасности и обнаруживает потерю синхронизации времени в черном канале, сравнивая частоту синхронизации FSCP 1/1 с частотой синхронизации черного канала при синхронизации часов. Если отклонение превышает допустимое значение, то срабатывает предварительно сконфигурированное действие состояния сбоя, устанавливая статус BAD для вводов и выводов функциональных блоков. Блок ресурсов имеет параметр ошибки черного канала с флажком ошибки синхронизации времени.

На распределение времени от устройства, контролирующего время (LAS), к другим устройствам могут повлиять задержки в очередях коммуникаций, так же как и другие публикации канала. Локальный черный канал включает в себя функцию, которая измеряет двухстороннюю задержку через черный канал для компенсации задержек в очередях. Это выполняется периодически и включает в себя за-пуск изменения в LAS. Данная функция не является функцией безопасности. Она предназначена для предотвращения ложных аварийных остановок, тем самым гарантируя лучшую готовность.

Устройство контроля синхронизации времени черного канала управляет следующими сбоями:

-    быстрое, медленное время LAS или скачок времени LAS:

-    сбой очереди (издателя/подписчика или распределения времени):

-    перезапуск устройства:

• перезапуск функции безопасности;

. переключение LAS:

-    перезапуск LAS;

-    нарушение графика (LAS или полевого устройства);

-    начальный запуск (конфигурация) (аналогично перезапуску функции безопасности):

-    коммуникации (распределение потерь времени, данные взаимоконтроля или публикация).

7.1.4    Номер последовательности

Для связей VCR издателя/подписчика номер последовательности для каждой публикации основывается на номере макроцикла, который вычисляется на коммуникационном уровне безопасности из времени канала данных в начале каждого макроцикла. Функция контроля синхронизации времени черного канала на коммуникационном уровне безопасности обеспечивает правильность времени канала данных. Номер последовательности издателя/подписчика. по сути, является отметкой времени. 8се устройства в сети Н1 имеют единое восприятие макроцикла. Не должно существовать никаких подпланов, то есть функциональные блоки могут выполняться лишь однажды за макроцикл. В результате в ходе нормального функционирования номер последовательности увеличивается на единицу для каждой новой публикации канала. Номер последовательности включается в сообщение и сравнивается с ожидаемым номером последовательности на коммуникационном уровне безопасности на приемнике. Если превышена максимально допустимая разница, то у функционального блока будет установлен статус BAD для того, чтобы прикладной процесс был осведомлен об устаревании данных.

Если общее время ответа датчика исполнительному устройству нарушено из-за коммуникационных ошибок, выполнения функционального блока, сбоев планирования или по любой другой причине, то на выводе будет выполнено предварительно сконфигурированное действие состояния сбоя. Если имеется цепь связанных функциональных блоков, выполняющих функцию безопасности, то с помощью нескольких счетчиков устаревания канала можно продлить время ответа перед обнаружением сбоя. 8 отличие от ситуации, когда каждому каналу достается счетчик устаревания, как это используется в коммуникациях, не связанных с FSCP 1/1. счетчики устаревания диагностируются непрерывно («из конца в конец»). Это. по сути, измерение задержки распространения. Максимальное время ответа от датчика к исполнительному устройству, разрешенное приложением (выраженное в единицах макроцикла), должно быть сконфигурировано с помощью непрерывного счетчика устаревания объекта канала. Если предельное значение непрерывного счетчика устаревания превышено, то коммуникационный уровень безопасности устанавливает на функциональном блоке статус «BAD». Так как коммуникационный уро

26

ГОСТ Р МЭК 61784.3.1—2016

вень безопасности извлекает номер последовательности из номера макроцикла только когда выводы функционального блока обновлены и каждый индивидуальный функциональный блок обновляет только свой вывод, если вводные условия верны (последующая публикация, таким образом, вызывает генерацию номера последовательности), то счетчики устаревания изменяются по направлению основного трафика и накапливаются. 8 таком случае, когда все каналы функционируют и все функциональные блоки выполняются должным образом, номер последовательности (основанный на номере макроцикла на датчике) распространяется из конца в конец и совладает с макроциклом (ожидаемым номером последовательности) в клапане. При сравнении с макроциклом на устройстве вывода номер указывает на общее число пропущенных коммуникаций и выполнений в цели функциональных блоков, выполняющих функцию безопасности. Это приводит к гораздо более короткому времени реакции в наихудшем случае. Критерий, определяющий необходимость обновления при новом выводе, зависит от конкретного функционального блока. Новый номер последовательности генерируется коммуникационным уровнем безопасности только во время публикации нового сообщения. Определенным функциональным блокам могут потребоваться все использованные вводы для того, чтобы соответствовать текущему времени, в то время как другие функциональные блоки обладают возможностью выбирать, для чего требуется только определенное число использованных вводов для соответствия текущему времени.

Уровень FSCP 1/1 нуждается в одном счетчике номера последовательности для каждой VCR связи клиент/сервер. Номер последовательности клиент/сервер увеличивается на единицу для каждой передачи. В случае VCR клиента/сервера если номер последовательности не синхронизирован, то со-единение обрывается. Номера последовательности устанавливаются повторно, когда устанавливается новое соединение.

7.1.5    Виртуальный заголовок

Заголовок протокола, такой как адрес, находясь в кедре черного канала, не защищен с помощью CRC коммуникационного уровня безопасности, и поэтому в приложениях, связанных с безопасностью, на него нельзя полагаться. Отсюда, таким образом, возникает необходимость использовать другой механизм для уникальной идентификации связи источник—назначение в рамках сообщения FSCP1/1, но защищенный с помощью CRC коммуникационного уровня безопасности. Для этой цели используется ключ соединения. Но отправка ключа соединения в каждом сообщении приводит к издержкам. Для снижения издержек CRC коммуникационного уровня безопасности вычисляется в данных безопасности и виртуальном заголовке, включая ключ соединения и индекс объекта. Ключ соединения не передается по шине, но CRC коммуникационного уровня безопасности при получении приведет к отказу, если ключ соединения неверен. Объект канала безопасности содержит ключ соединения, что делает возможным вычисление CRC.

7.1.6    Ключ соединения

Протокол содержит механизм для уникальной идентификации сообщений FSCP 1/1 для того, что-бы одно сообщение FSCP 1/1 не подменяло другое сообщение FSCP 1/1: каналы функционального блока FSCP 1/1 будут идентифицированы уникальным 32-битным ключом соединения. Ключ соединения будет принят хостом и записан в объектах канала безопасности. Ключ соединения является частью виртуального заголовка, вложенного в CRC коммуникационного уровня безопасности, но он не сообщается. Любое несоответствие в ключе соединения не проверяется явным образом в подписчике или сервере. но несоответствие вызовет ошибку CRC уровня коммуникаций безопасности. Т. е. ошибка CRC коммуникационного уровня безопасности может указывать на искажение данных или несоответствие ключа соединения.

7.1.7    Избыточность и перекрестная проверка

Протокол коммуникационного уровня безопасности содержит механизм, который передает две копии всех данных целиком, включая номер последовательности и CRC в одном кадре. В точке приемника две копии проходят перекрестную проверку для обнаружения искажений.

Одним из возможных вариантов реализации является устройство, содержащее два избыточных микроконтроллера, каждый из которых строит свое сообщение передачи независимо от другого. Два независимых сообщения с данными совместно добавляются интерфейсом черного канала и совместно передаются е одном кадре. В свою очередь, при получении двух независимых сообщений с данными в кадре, поступившем от черного канала, они распаковываются каждый в соответствующий микроконтроллер. который затем производит перекрестную проверку.

27

ГОСТ Р МЭК 61784-3.1—2016

7.2 Расширения протокола для применения в системах, связанных с безопасностью

7.2.1    Обзор

Для того чтобы использовать устройства полевых шин в системе, связанной с безопасностью, необходимо расширить протокол полевой шины для обеспечения перехода процесса в безопасное состояние при возникновении отказов.

FMS и все остальные коммуникационные уровни, включая SMK. обрабатываются как черный канал. 6 связи с этим все расширения протокола реализуются на уровне пользователя или в прикладном процессе функционального блока.

Кроме объекта канала безопасности, не устанавливаются никакие новые типы данных. Данные, которые передаются с помощью FMS. будут включать в себя расширения протокола. Расширения зависят от типа взаимодействия.

Примечание — CRC 32 описан в 7.1.2.

7.2.2    взаимодействия издатель—подписчик

7.2.2.1    Общие положения

На весь сегмент Н1 приходится только один макроцикл, все устройства в сегменте Н1. включая LAS. должны конфигурироваться с одним счетчиком макроциклов. Функциональный блок в устройстве должен в соответствии с планом выполняться только однажды за макроцикл. В начале выполнения функционального блока текущий номер макроцикла (MCN) должен вычисляться следующим образом:

MCN = DL - время I длительность макроцикла.

MCN должно быть 16-битным целым числом без знака.

Примечание — Если устройство обладает множеством функциональных блоков, то MCN лучше вычислять в начале макроцикла, чем в начале выполнения каждого функционального блока, если это возможно.

7.2.22 Издатель

7.2.2.2.1    Установление соединения

На публикацию параметра функционального блока безопасности для использования его в функции безопасности указывает присутствие объекта канала безопасности. Если для публикации имеется объект канала безопасности, то F8AP издателя установит соединение с издателем идентичным образом. как и не связанное с безопасностью соединение с издателем.

7.2.22.2    Публикация данных

В конце выполнения функциональный блок безопасности должен определить, какие из его выводных параметров должны быть опубликованы, выбор параметров для публикации зависит от типа функционального блока и статуса его вводных параметров. Публикуемые параметры не рассматриваются в настоящем стандарте.

Функциональный блок публикует свои выбранные параметры (если такова его конфигурация) с помощью расширенного протокола. На публикацию параметров функционального блока безопасности для использования его в функции безопасности указывает присутствие объекта канала безопасности. Опубликованное значение параметра будет защищено от возможного искажения, дублирования и от приема вне последовательности, вызванных черным каналом. Для защиты данных от искажения используется CRC 32. Виртуальный PDU формируется, как показано на рисунке 16.

Ключ соединения (4 октета)

Индекс объекта (4 октета)

Номер

последовательности (4 октета)

Значение и статус объекта (2-120 октет)

Рисунок 16 — POU безопасности, демонстрирующий виртуальное содержимое

Используются только младшие два октета индекса объекта. Старшие два октета установлены в ноль. CRC 32 вычисляется на основе виртуального PDU безопасности. Данные, предназначенные для информационного отчета, модифицированы для включения в них номера последовательности и CRC 32 и продублированы. Формат данных показан на рисунке 17.

28

ГОСТ Р МЭК 61784.3.1—2016

Данные 1

Данные 2

Исходные данные

Номер последовательности

CRC32

Исходные данные

Номер последовательности

CRC 32

Рисунок 17 — PDU безопасности, показывающий дублирование данных и добавление CRC

Формат «Исходных данных» идентичен данным, которые бы содержались е части данных информационного отчета для данных, не связанных с безопасностью. Номер последовательности и CRC32 прилагаются к этим данным. Функциональный блок должен установить номер макроцикла как номер последовательности.

Функциональный блок должен установить статус опубликованных выводных параметров как «ad::bfack channel failure» (отказ черною канала), если синхронизация времени черного канала не ра. ботает корректно, т.е. BLK_CHN_ERR отлично от нуля.

Рисунок 18 и таблицы 5.6 и 7 определяют машину состояний для издателя.

Таблица 5 — Состояния издателя

Состояние

Описание

Не соединен

Для публикации не установлено никакой VCR

Соединвн/Плохое

VCR установлена, но ошибки черного канала не устранены

Соединвн/Хорошве

VCR установлена, осуществляются нормальные пубпикацж

Таблица б —Таблица состояний издателя. Полученные переходы

к

Текущее

состояние

Действие события и условия

Следующее состояние

R1

Не соединен

RcvMsgO = "FMS Iniliate.cnf

Соединен/Плохое

R2

Не соединен

RcvMsgO = 'Any message (not FMS Initiate.cnf)“

To же самое

R3

Сведшей/

RcvMsgO = "Abort in cf

Не соединен

Плохое

ИЛИ

RcvMsgO = "Abortreq"

R4

Соединен/

RcvMsgO = "AborUntT

Не соединен

Хорошее

ИЛИ

RcvMsgO = "Abortreq"

29

ГОСТ Р МЭК 61784-3.1—2016

Таблица 7 —Таблица состояний издателя. Внутренние переходы

«

Текущее

состояние

Действие события и условия

Следующее

состояние

R1

Соединен/

Плохое

BLK_CHN_ERR » 0

SET Sequence Number = MCN

Соединен/

Хорошее

R2

Соединен/

Плохое

BLK.CHN.ERR <> 0

SET Black Channel Failure SET Sequence Number = MCN

То же самое

R3

Соединен/

Хорошее

BLK_CHN_ERR =0

SET Sequence Number = MCN

То же самое

R4

Соединен/

Хорошее

BLK_CHN_ERR о 0

SET Black Channel Failure SET Sequence Number = MCN

Примечание — Функциональный блок определяет, будут ли опубликованы выводные параметры или нет. Логика зависит от номеров последовательности. полученных в его вводных параметрах

Соединен/

Плохое

7.2.2.3 Подписчик

7.2.2.3.1    Установление соединения

На подписку параметра функционального блока безопасности для использования его в функции безопасности указывает присутствие объекта канала безопасности. Если для подписания имеется объект канала безопасности, то FBAP подписчика должен установить соединение с подписчиком идентич-ным образом, как и не связанное с безопасностью соединение с подписчиком.

7.2.2.3.2    Подписка данных

MCN. вычисляемый в начале выполнения блока, является номером последовательности, ожидаемым от издателя, каждого из соединений издатель—подписчик в блоке. Если опубликованные данные не являются состоянием или если в черном канале нет никаких накопленных задержек, то полученный номер последовательности будет совпадать с MCN.

Когда F8AP получает данные FMS. как показано на рисунке 19. для VCR, ассоциированной с объектом канала безопасности, то:

а) сравниваются две копии исходных данных (Данные 1 и Данные 2), и если они идентичны, то осуществляется переход к Ь). в противном случае сообщение отклоняется и счетчик устаревания увеличивается на 1;

Данные 1

Данные 2

Исходные дэьные

Номер последовательности

CRC 32

Исходные данные

Номер последовательности

CRC32

Рисунок 19 — PDU безопасности, показывающий дублирование данных и добавление CRC

Ь) виртуальный PDU безопасности, идентичный VSPDU. используемому в публикации данных, формируется так, как показано на рисунке 20.

Ожидаемый ключ

Ожидаемый индекс

Полученный номер

Полученные значение и статус

соединения

объекта

последовательности

объекта

(4 октета)

(4 октета)

(4 октета)

(2-120 октет)

Рисунок 20 — POU безопасности, показывающий виртуальное содержимое

Ожидаемые ключ соединения и индекс объекта извлекаются из объекта канала безопасности. Для Н1 используются только два младших октета индекса объекта. Двум старшим октетам устанавливается нулевое значение. Номер последовательности, значение объекта и статус заполняются из

30

ГОСТ Р МЭК 61784.3.1—2016

принятых данных. Номер последовательности и индикация дублированных данных, предоставленные черным каналом, игнорируются;

c)    CRC 32 вычисляется на основе VSPDU. Затем CRC 32 сравнивается с CRC 32. принятым в ча* сти данных PDU FMS. Если вычисленный CRC 32 не соответствует полученному CRC 32. то блок PDU будет отклонен. Если CRC не соответствует, то счетчик устаревания увеличивается на 1;

d)    если CRC 32 действителен и номер последовательности соответствует MCN. то полученные данные используются;

e)    если CRC 32 действителен, а номер последовательности не соответствует MCN. то счетчик устаревания увеличивается на 1. Данные отклоняются;

0 если счетчик устаревания превышает сконфигурированный предел непрерывного счетчика уста-реаания. то статус входного параметра должен быть «bad::black channel failure» (отказ черного какал). Данные отклоняются;

д) Если синхронизация времени черного канала не работает, т. е. бит BLK_CHN_SYNC_ERR в параметре 8LK_CHN_ERR в блоке ресурсов равен TRUE, то должен быть установлен следующий статус входных параметров «bad::black channel failure». Данные отклоняются.

Таблица 8. рисунок 21 и таблицы 9 и 10 определяют машину состояний для подписчика.

Таблица 8 — Состояния подписчика

Состояние

Описание

Не соединен

Для публикации не установлено никакой VCR

Соединвн/Устареашее

VCR установлена, но ошибки черного канала или счетчик устаревания не очищены

Соединен/Хорошее

VCR установлена, осуществляются нормальные публикации

Рисунок 21 — Диаграмма перехода состояний для подписчика FSCP 1/1

Таблица 9 — Таблица состояний подписчика. Полученные переходы

к

Текущее

состояние

Действие события и условия

Следующее состояние

R1

Не соединен

RcvMsgO = "FMS tnitiate.cnf

Соединен/Уст зревшее

R2

Не соединен

RcvMsgO = ‘Любое сообщение (не FMS Initiate.cnf)"

То же самое

R3

Соединен/

Устаревшее

RcvMsgO = "Abort ircT ИЛИ

RcvMsgO = "Abortreq"

Не соединен

31

ГОСТ Р МЭК 61784-3.1—2016

Окончание таблицы 9

Текущее

состояние

Действие события и условия

Следующее состояние

R4

Соединен/

Устаревшее

Sequence Number = MCN И

BLK_CHN_ERR = 0

SET Use Data Stale Count = 0

Соединен/Хорошве

R5

Соединен/

Хорошее

RcvMsg{) = "Abort, ind" ИЛИ

RcvMsgO = “Abort, req"

He соединен

R6

Соединен/

Хорошее

Stale Count > End-to-end state count ИЛИ

BLK.CHN.ERR <> 0

SET Status » Bad::Black channel failure Discard data

Соединен/Усгарввшве

Таблица 10 — Таблица состояний подписчика. Внутренние переходы

а

Текущее

состояние

Действие события и условия

Следующее состояние

S1

Соединен/

Устаревшее

Sequence Number = MCN ИЛИ

Data 1 <> Data 2 ИЛИ

BLK.CHN.ERR <> 0

SET Status s Bad::Black channel failure Discard data

Соединен/Хорошее

S2

Соединен/

Хорошее

(Sequence Number о MCN OR Data 1 о Data 2) И

Stale Count <= End-to-end stale count И

BLK.CHN.ERR = 0

Increment State Count Discard data

To же самое

S3

Соединен/

Хорошев

CRC 32 is invalid И

BLK.CHN.ERR = 0

Increment State Count Discard data

То же самое

S4

Соединен/

Хорошев

Sequence Number = MCN И

Data 1 = Data 2 И

BLK.CHN.ERR = 0

SET Stale Count■ 0 Use data

То же самое

7.2.3 взаимодействия клиент—сервер

7.2.3.1    Общие положения

VCR клиент—сервер для чтения данных из функциональных блоков безопасности должна быть установлена так. чтобы максимальное значение параллельного доступа было равно 1. Устройство должно отклонять все инициируемые FMS запросы к VCR с установленным значением параллельного доступа больше, чем 1.

7.2.3.2    Чтение

Запрос на чтение для чтения данных из функциональных блоков безопасности (т. е. данных для использования в функции безопасности) идентичен запросу на чтение данных из функциональных блоков. не связанных с безопасностью.

32

ГОСТ Р МЭК 61784.3.1—2016

FMS предоставляет индекс объекта (и дополнительный подиндекс), который считывается. Если чтение предназначено для функционального блока, то устройство должно проверять наличие в данном блоке действительного объекта канала безопасности с операцией обслуживания, установленной на SIS_ACCESS. Если действительный объект канала отсутствует, то устройство отвечает на чтение так же. как на чтение параметра функционального блока, не связанного с безопасностью.

Если действительный объект канала безопасности существует и уже существует запрос на чтение или запись, ожидающий ответа, то устройство должно отказать е запросе на чтение или запись и от-править негативный ответ.

Если действительный объект канала безопасности существует и больше нет никаких ожидающих выполнения запросов записи/чтения, то устройство отвечает на данные, используя расширенный протокол. Эти данные будут защищены от возможного искажения, дублирования и приема вне последовательности. вызванных черным каналом. Для защиты данных от искажения используется CRC 32 и для вычисления CRC 32 формируется виртуальный PDU. как показано на рисунке 22. Если чтение является чтением с помощью подиндекса, то подиндекс также используется при вычислении CRC 32. Для Н1 используются только два младших октета индекса объекта. Значение старших двух октетов устаиаали. вается в ноль.

Ключ соединения (4 октета)

Индекс объекта (4 октета)

Номер

последовательности (4 октета)

Значение и статус объекта (2-120 октет)

Рисунок 22 — PDU безопасности, показывающий виртуальное содержимое

Если чтение осуществляется по подиндексу, то VSPDU должен включать подиндекс. Подиндекс должен быть включен в вычисление CRC 32. Виртуальный PDU показан на рисунке 23.

Ключ соединения (4 октете)

Индекс объекта <4 октета)

Подиндекс (1 октет)

номер

поспедоеа те гьиости <4 октета)

Значение и статус объекта (2-120 октет)

Рисунок 23 — POU безопасности, показывающий виртуальное содержимое с подиндексом

CRC 32 вычисляется из виртуального PDU безопасности. Данные, предназначенные для FMS Read.res, модифицированы для дублирования данных включения номера последовательности и CRC 32. Формат данных показан на рисунке 24.

Данные 1

Данные 2

Исходные данные

Номер последовательности

CRC 32

Исходные данные

Номер последовательности

CRC 32

Рисунок 24 — PDU безопасности, показывающий дублирование данных, а также добавление номера последовательности и CRC

«Исходные данные» имеют формат, идентичный формату данных, которые бы содержались в поле данных FMS Read.res. предназначенном для функциональных блоков, не связанных с безопасностью. Номер последовательности и CRC 32 прилагаются к этим данным. Номер последовательности увеличивается для каждого PDU. выданного черному каналу для коммуникаций.

вычисление номера последовательности ведется для каждого соединения коммуникационного уровня безопасности, т. е. ключа соединения. Номер последовательности обнуляется после установления соединения. Номер последовательности увеличивается на 1.

Примечание — ID вызова (Invoke ID) не включено в вычисление CRC 32.

Если устройство дает негативный ответ, то такой ответ будет идентичен негативному ответу для функциональных блоков, не связанных с безопасностью. Другими словами, номер последовательности не увеличивается; не требуется формировать виртуальный PDU безопасности.

33

ГОСТ Р МЭК 61784-3.1—2016

Машина состояний для обработки чтений локаэана в таблице 11. на рисунке 25 и в таблице 12.

Таблица 11 — Состояния сервера вовремя операций чтения

Состояние

Описание

Не соединен

Не установлено никакого соединения

Соединен

Соединение установлено

Рисунок 25 — Диаграмма перехода состояний для сервера FSCP 1/1 ео время операций чтения

Таблица 12 — Полученные переходы для сервера FSCP 1/1 во время операций чтения

а

Текущее

состояние

Действие события и условия

Следующее

состояние

R1

Не соединен

RcvMsgO = 'Connection Request valid response" Set Sequence number = о

Соединен

R2

Не соединен

RcvMsgO = 'Любое сообщение (не connection request valid response)"

То же самое

R3

Соединен

RcvMsgO = "Abortind" ИЛИ

RcvMsgO = "Abortreq"

Не соединен

R4

Соединен

Запрос Valid Read И

присутствует объект канала безопасности И

Никакие запросы FMS не ожидают выполнения

Ответить с помощью протокола уровня коммуникаций безопасности

Соединен

R5

Соединен

запрос Valid Read И

объект канала безопасности отсутствует

Ответить с помощью FMS протокола

Соединен

34

ГОСТ Р МЭК 61784.3.1—2016

Окончание таблицы 12

к

Текущее

состояние

Д«ЙС10Ив события и услояия

Следующее

состояние

R6

Соединен

запрос Valid Read И

присутствует объект канала безопасности И

Другие запросы FMS ожидают выполнения

Вернуть негативный ответ

Соединен

R7

Соединен

Недействительный запрос

Вернуть негативный ответ

Соединен

7.2.3.3 Запись

Запрос на запись данных в функциональные блоки безопасности будет следовать расширенному протоколу. Клиенты, инициирующие запрос на запись, должны форматировать данные в соответствии с форматом PDU безопасности, описанным ниже и показанным на рисунке 26.

FMS предоставляет индекс записываемого объекта. Если запись осуществляется для функционального блока безопасности, устройство должно проверять, отформатирована ли запись в соответствии с расширенным протоколом.

Другими словами, устройство проверяет, идентичны ли Данные 1 Данным 2. 8 случае идентичности устройство определяет, обладает ли пакет действительным номером последовательности и добавленным CRC 32. В случае неидентичности данные отклоняются и возвращается негативный ответ. Последовательность является действительной, если она на 1 (без знака) больше последнего номера последовательности, принятого в этом соединении (LRSN), т. е. номера последовательности должны отслеживаться по ключам соединения. Если номер последовательности неверен, то устройство должно увеличить LRSN.

Данные 1

Данные 2

Исходные данные

Номер последовательности

CRC 32

Исходные данные

Номер последовательности

CRC 32

Рисунок 26 — PDU безопасности, показывающий дублирование данных и добавление номера

последовательности и CRC

«Исходные данные» имеют формат идентичный формату данных, которые бы содержались в части данных FMS Write.ind. предназначенной для функциональных блоков, не связанных с безопасностью.

Устройство затем определяет, имеется ли для функционального блока действительный объект канала безопасности, у которого значение операции обслуживания («Service Operation») равно SIS_AC-CESS. Если действительный объект канала безопасности отсутствует, то устройство отклоняет запрос на запись и возвращает негативный ответ.

Если действительный объект канала существует, то устройство конструирует виртуальный PDU безопасности (VSPDU). как показано на рисунке 27. Ожидаемый ключ соединения берется из объекта канала безопасности. Если запись осуществляется с подиндексом, то подиндекс также должен быть включен, как это показано на рисунке 28. Используются два младших октета индекса объекта. Два старших октета обнулены.

Ожидаемый ключ соединения (4 октета)

Индекс объекта (4 октета)

Номер

последовательности (4 октета)

Значение и статус объекта (2-120 октет)

Рисунок 27 — Пример записи FSCP 1/1

35

ГОСТ Р МЭК 61784-3.1—2016

Ожидаемый ключ

Индекс объекта

Подждекс

Номер

Значение и статус объекта

соединен» (4 октета)

(4 о кто та)

(1 октет)

поел сдомгс/ън ости

(4 октета)

(2-120 октет)

Рисунок 28 — Пример записи FSCP 1/1 с подиндексом

CRC 32 вычисляется из виртуального POU безопасности и сравнивается с CRC 32 в принятых данных. Если CRC не совпадают, то устройство должно отклонить данные и вернуть негативный ответ.

Если все проверки пройдены, то устройство выполняет запрос на запись. Позитивный или негативный ответ возвращается с помощью особого блока, в который ведется запись.

Позитивный или негативный ответ на запись обладает таким же форматом, как и и ответ на запись от функциональною блока, не связанного с безопасностью.

Машина состояний для обработки записей показана в таблице 13, на рисунке 29 и в таблице 14.

Таблица 13 — Состояния сервера FSCP 1/1 во время операций записи

Состояние

Описание

Не соединен

Не установлено никакого соединения

Соединен

Соединение установлено

Рисунок 29 — Диаграмма перехода состояний для сервера FSCP 1/1 во время операций записи

Таблица 14 — Принятые переходы для сервера FSCP 1/1 во время операций записи

и

Текущее

состояние

Действие события и условия

Следующее состаяние

R1

Не соединен

RcvMsgO = ‘Connection Request valid response" Set LRSN = 0

Соединен

R2

Не соединен

RcvMsgO = "Любое сообщение {не connection request valid response)"

To же самое

R3

Соединен

RcvMsgO = "Abort.ind" ИЛИ

RcvMsgO = "Abort.req’OR

Не соединен

36

ГОСТ Р МЭК 61784.3.1—2016

Окончание таблицы 14

а

Текущее

состояние

Действие события и условия

Следующее

состояние

R4

Соединен

запрос Valid Write И

объект канала безопасности присутствует И

CRC 32 is OK И

Номер поспедовагельности ОК И

Никакие запросы FMS не ожидают выполнения Прирастить LRSN

Ответить с помощью протокола уровня коммуникаций, связанного с безопасностью

Соединен

R5

Соединен

Данные 1 не идентичны Данным 2 ИЛИ

отсутствует объект канала безопасности ИЛИ

CRC 32 not ОК ИЛИ

Недействительный запрос на запись

Вернуть негативный ответ

Соединен

R6

Соединен

Действительный запрос на запись И

присутствует объект канала безопасности И

Номер поспедовагельности ОК И

Другие запросы FMS ожидают выполнения

Вернуть негативный ответ

Соединен

7.2.3.4 Записи для объекта канала безопасности

Записи в объект канала безопасности должны выполняться в соответствии с расширенным протоколом. как установлено ниже. Запрос на запись данных в функциональные блоки безопасности будет следовать расширенному протоколу. Клиент должен вычислить CRC 32 по индексу объекта канала безопасности и данным объекта канала, именно в такой последовательности.

FMS предоставляет индекс объекта, который записывают. Если запись осуществляется для функционального блока безопасности, устройство должно проверять, отформатирована ли запись в соответствии с расширенным содержанием PDU. как показано на рисунке 30. Другими словами, устройство проверяет, идентичны ли Данные 1 Данным 2. В случае идентичности устройство определяет, обладает ли пакет действительным добавленным CRC 32. В случае неидентичности данные отклоняются и воз-вращается негативный ответ. CRC 32 вычисляется по индексу объекта канала безопасности и данным объекта канала безопасности, именно в такой последовательности. Если вычисленный CRC не со-ответствует полученному CRC. то устройство должно отклонить запись и вернуть негативный ответ. Устройство не должно поддерживать запись по подиндексу в объект канала безопасности. Если устрой-ство получает запись по подиндексу, то ему необходимо отклонить запрос и вернуть негативный ответ.

Данные 1

Двн**е2

Данные объекта акала боюлао<оети

СЯС 32

Данные объекта канала безопасности

CRC 32

Рисунок 30 — POU безопасности, показывающий дублирование данных и CRC

Затем устройство определяет, правильно ли отформатирован объект канала безопасности. Если это не так. то устройство должно отклонить запись и вернуть негативный ответ.

37

ГОСТ Р МЭК 61784-3.1—2016

Объект безопасности должен быть записан только когда блок ресурсов неисправен (OOS). Если блок ресурсов не находится в состоянии OOS. устройство должно отклонить запись и вернуть негативный ответ.

Если все проверки пройдены, устройство выполняет запрос на запись и возвращает позитивный

ответ.

Позитивный или негативный ответ на запись имеет такой же формат, как и ответ на запись от функционального блока, не связанного с безопасностью.

Что касается управления соединением, успешное внесение записи в объект канала безопасности должно вызывать такое же поведение, как и запись в объекты канала, не связанные с безопасностью. 8 дополнение к этому успешная запись должна перезапустить (установить значение 0) счетчик номера последовательности, связанного с ключом соединения, который записывается.

Устройство должно хранить CRC в своей нестирающейся при перебоях питания памяти как часть объекта канала безопасности. Предполагается, что устройство будет периодически и сразу же после запуска проверять целостность всех своих сконфигурированных объектов канала в соответствии с требованиями МЭК 61508. Если полнота не прошла проверку, устройство должно установить блок ресурсов в состояние OOS.

7.2.4 Синхронизация времени

Время (время какала данных. DL-время) синхронизируется черным каналом. Устройство контроля синхронизации времени коммуникационного уровня безопасности должно контролировать, работает ли синхронизация времени черного канала или нет. Коммуникационный уровень безопасности должен обладать специальным аппаратным таймером на кристалле с точностью хотя бы в 10'4 и разрешением минимум 100 мкс.

а) Устройство контроля синхронизации времени коммуникационного уровня безопасности выполняется после того, как черный канал обработает принятый PDU распределения времени. Оно должно определить, превышает ли допустимое значение сдвиг между временем черного канала и временем коммуникационного уровня безопасности, в приведенных ниже вычислениях англоязычные названия обозначают следующее:

Allowable drift — допустимый сдвиг:

Actual drift — действительный сдвиг:

Total Error — суммарная ошибка;

Time Sync Error — ошибка синхронизации времени.

Allowable drift = (TLCTD„ — П_СТОл>1) * SF_SYNC_DRIFT) У (60 * 32 000).

Примечания

1    Параметр (60 * 32 000} выражается в (1/32 мс)/мин.

2    Порядок вычисления важен для точности вычислений.

Actual drift * (TTD„ — TTD,,.,) - (TLCTD„ — TLCTDn>1).

Total Error a Total Error ♦ Actual drift.

if (Total Error) > (Allowable Drift + SIF_SYNC_JITTER)

Time Sync Error = 1

else

Time Sync Error * 0.

В следующих уравнениях учитывается допустимый дрейф в суммарной ошибке.

if (|Total Error] > Allowable Drift) then if (Total Error > 0) then

H Total Error положительна

ft Вычесть допустимый сдвиг из суммарной ошибки

Total Error - Total Error — Allowable Drift

else

U Добавить допустимый сдвиг к суммарной ошибке Total Error - Total Error ♦ Allowable Drift

else

if Величина Total Error меньше, чем Allowable Drift Total Error a 0.

где TLCTDn — время часов коммуникационного уровня безопасности после обработки текущего TD (распределения времени);

38

ГОСТ Р МЭК 61784.3.1—2016

TLCTD^, — время часов коммуникационного уровня безопасности после обработки предыдущего TD;

SIF_SYNC_D — параметр, определяющий допустимую интенсивность дрейфа.

Примечания

1    SIF_SYNC_DRIFT измеряется 8 (1/32 мс)/мин.

2    Допустимый диапазон для SIF_SYNC_DRIFT— эго 100-1000.

3    Значение для SIF_SYNC_DRIFT по умолчанию равно 384. SIF_SYNC_JITTER—это параметр, определяющий допустимое дрожание импульсов синхронизации.

4    SJF_SYNC_JITTER измеряется в 1/32 ms.

5    Значение StF_SYNC_JITTER по умолчанию равно 160.

6    Допустимый диапазон для SIF_SYNC_JITTER —это 0-320;

TTD„ —это DL— время после обработки текущего ТО;

ТТ0л., _это DL — время после обработки предыдущего ТО:

Total Error — это суммарная накопленная ошибка в 1/32 мс. содержащаяся в 32-битном значении со знаком;

Time Sync Error — это флаг, указывающий на ошибку синхронизации времени.

b)    Если Time Sync Error равна 1. то устройство контроля должно установить для бита BLK_CHN_ SYNC_ERR. параметра BLK_CHN_ERROR в блоке ресурсов, значение TRUE: в противном случае флаг должен иметь значение FALSE.

c)    Если черный канал не получает действительный ТО через 6 последовательных периодов распределения времени, то устройство контроля должно установить для бита BLK_CHN_SYNC_ERR, параметра 8LK_CHN_ERROR в блоке ресурсов, значение TRUE.

d)    Если BLK_CHN_SYNC_ERR имеет значение TRUE, то должно потребоваться устройство контроля синхронизации времени, чтобы черный канал предпринял синхронизацию времени, т. е. должен периодически (один раз в каждом периоде TD) отправлять команду черному каналу отправить СТ последовательности.

e)    Когда записан CLR_FAULT_STATE блока ресурсов, то примитив DL_RESET должен быть отправлен на уровень канала данных, если BLK_CHN_SYNC_ERR имеет значение TRUE.

7.2.5 Запуск устройства

Блок ресурсов коммуникационного уровня безопасности должен находиться в режиме OOS до тех пор. пока не будет выполнено следующее:

a)    Устройство находится в списке действующих узлов (устройство является либо LAS. либо устройство приняло действительную последовательность POU PN/PR/Активация).

b)    DL/yw черного канала. Время является допустимым. Устройство является планировщиком LAS или же устройство обновило время, основываясь на действительном TD и PDU блоках RR.

7.3 Средство коммуникаций

7.3.1    Общие положения

Средство коммуникаций и SMK являются частями черного канала, которые существуют в устройстве. поэтому от них не требуется работа в среде с УПБ.

8 средство коммуникаций не внесено никаких изменений.

7.3.2    Управление сетью

Управление сетью является частью черного канала. Не требуется никаких изменений.

7.3.3    FMS

FMS является частью черного канала. Не требуется никаких изменений.

7.3.4    Стек Н1

Стек Н1 является частью черного канала. Не требуется никаких изменений.

8 Управление коммуникационным уровнем безопасности

8.1 Обзор

SMK не является проверенным и является частью черного канала. Таким образом. SMK не должно выполняться в среде УПБ. Для любого локального взаимодействия между SMK и прикладным процессом требуются проверки, определяемые производителем, которые соответствуют требованиям МЭК 61508.

39

ГОСТ Р МЭК 61784-3.1—2016

Установить адрес возможно только когда блок ресурсов устройства установлен в режим, позволяющий запись. Когда адрес меняется, то объекты канала удаляются. Адрес и тег устройства могут быть записаны только когда ресурс находится в режиме неисправности.

8.2    Коммуникации SMK

SMK является частью черного канала, и его коммуникации с прикладным уровнем не проверены. Коммуникации между SMK и прикладным процессом осуществляются через локальный интерфейс, и верификации выполняются внутри с помощью средств, определенных производителем.

8.3    Услуги FMS

SMIB является частью черного канала, но обменивается информацией с прикладным процессом посредством SMK и через локальный интерфейс. Диагностические средства, определенные производителем, должны верифицировать этот локальный интерфейс, внутренние сбои могут обрабатываться с помощью определенных производителем средств.

8.4    Услуги SMK

8.4.1    Общие положения

Услуги SMK являются частью черного канала и поэтому не проверены. Верификации выполняются внутри между SMK и прикладным процессом через локальный интерфейс, внутренние сбои могут обрабатываться с помощью определенных производителем средств.

Блок ресурсов содержит параметр макроцикла, так как на данные в черном канале нельзя полагаться.

8.4.2    Назначение адреса

Адрес является частью черного канала. Сбои, подменяющие дублирование адреса, управляются посредством ключа соединения. Предполагается, что устройства автоматически сбрасывают свою конфигурацию при изменении адреса черного канала.

8.4.3    Синхронизация времени

Синхронизация времени является функцией черного канала. Функция контроля синхронизации времени черного канала на коммуникационном уровне безопасности диагностирует целостность механизма синхронизации времени Н1. Расширения протокола FSCP 1/1. таймер устаревания данных и предельное значение непрерывного счетчика устаревания будут косвенно управлять сбоями, вызванными любыми проблемами синхронизации.

8.5    Конфигурация и запуск коммуникационного уровня безопасности

8.5.1    Конфигурация и запуск Н1

MIB является частью черного канала. В ее конфигурацию не вносятся никакие изменения. FBAP отличается (см. 8.5.2). Коммуникационный уровень безопасности конфигурируется из данных в объектах канала и блоке ресурсов, передаваемых внутренними средствами, определенными поставщиком.

8.5.2    FBAP FSCP 1/1

Объекты и параметры функционального блока могут быть сконфигурированы в соответствии со спецификацией АР (прикладного процесса) функционального блока.

8.5.3    Тестирование

После изменения конфигурации устройства необходимо испытать и верифицировать корректную функцию.

9 Системные требования

9.1    Индикаторы и коммутаторы

Устройству не требуются никакие индикаторы или коммутаторы.

9.2    Указания по установке

Должны применяться указания по установке МЭК 61918.

Примечание — Определенные поправки к указаниям по установке для МЭК 61918 будут также определены е МЭК 61784-5-1 [13] для CPF 1.

40

ГОСТ Р МЭК 61784.3.1—2016

9.3 Время реакции функции безопасности

9.3.1 Обзор

время реакции функции безопасности — это максимальное время между срабатыванием датчика безопасности (например, коммутатора, датчика избыточного давления, температурного датчика), подключенного к полевой шине, и достижением соответствующего безопасного состояния с помощью исполнительных устройств(а) (например, реле, клапана, привода) этой системы безопасности при наличии ошибок или отказов в канале функции безопасности.

Запрос (на выполнение) функции безопасности вызван либо аналоговым сигналом, пересекающим пороговое значение, или цифровым сигналом, изменяющим состояние.

На рисунке 31 показан пример типичных компонентов, из которых состоит время реакции функции безопасности.

Время реакции функции безопасности

Индивидуальные компоненты времени реакции функции

безопасности

Рисунок 31 — Пример компонентов времени ответа функции безопасности

Время реакции функции безопасности — это сумма всех времен, показанных на рисунке 31.

9.3.2    Датчик системы безопасности

время реакции датчика системы безопасности будет указано поставщиком датчика.

9.3.3    Функциональный блок ввода

время реакции функционального блока ввода будет определено в руководстве по безопасности, поставляемом с устройством, включающим функциональный блок ввода.

9.3.4    Безопасная передача

время безопасной передачи = 2 * (время макроцикла) + ((значение счетчика устаревания) * (время макроцикла)).

9.3.5    Логическое решающее устройство

время реакции логического решающего устройства будет определено в руководстве по безопасности для логического решающего устройства.

9.3.6    Функциональный блок дискретного вывода

время реакции функционального блока дискретного вывода будет определено в руководстве по безопасности, поставляемом с устройством, включающим функциональный блок дискретного вывода.

9.3.7    Исполнительное устройство безопасности

время реакции исполнительного устройства безопасности будет предоставлено вместе с руководством по безопасности для исполнительного устройства безопасности.

9.4    Длительность запросов

Длительность запроса должна быть не менее двух макроциклов, чтобы гарантировать, что система коммуникаций, связанная с функциональной безопасностью, обнаружит этот запрос.

9.5    Ограничения для вычислений характеристик системы

9.5.1 Характеристики системы

На рисунке 32 показана топология сети FSCP 1/1. определенная для FSCP 1/1. в этой топологии все устройства ввода и вывода, соединены с логическим решающим устройством. Устройство ввода

41

ГОСТ Р МЭК 61784-3.1—2016

публикует свои данные для подписчика логического решающего устройства. Устройство вывода подпишется на данные, опубликованные погическим решающим устройством.

Рисунок 32 — Пример топологии сети FSCP 1/1

9.5.2    Частота отправки сообщений

FSCP1/1 имеет физическое ограничение на значение максимальной частоты публикации данных, равное 100 сообщениям в секунду. Максимальная частота отправки сообщений, используемая при вычислениях уровня полноты безопасности FSCP 1/1. была равна 10 000 сообщениям в секунду. Так как используемая частота отправки значительно превышает возможную частоту в сегменте Н1. не существует никаких ограничений на частоту отправки сообщений в сегменте Н1.

9.5.3    Уровень УП6

Технология протокола FSCP 1/1 спроектирована для реализации функций безопасности с УПБ 3. и разрешено использование не более 1 % значения PFD для всей системы безопасности (1 % от 10~в режиме с высокой частотой запросов или в режиме с непрерывным запросом). FSCP 1/1 возможно использовать в изделиях, спроектированных для функций безопасности вплоть до УПБ 3. подходящих для логических решающих устройств.

9.5.4    Совмещение устройств FSCP 1/1 и устройств СР 1/1

Протокол FSCP 1/1 был спроектирован с расчетом на возможность совмещения СР 1/1 и FSCP 1/1 в одном сегменте Н1. Устройства СР 1/1 не могут повлиять на безопасность протокола FSCP 1/1. но устройства СР 1/1 могут повлиять на готовность сегмента Н1. Совмещать устройства СР 1/1 и FSCP 1/1 е одном сегменте Н1 не рекомендуется.

9.5.5    Устройства в сегменте

Не существует ограничений сверх тех. которые уже были установлены в СР 1/1 на число устройств в сегменте Н1. наложенных протоколом FSCP 1/1.

9.5.6    вычисления частоты остаточных ошибок

Результаты вычисления частоты остаточных ошибок, выполненные в соответствии с уравнением (1) МЭК 61784*3:2010 и значениями, используемыми для этого вычисления, показаны в таблице 15.

Таблица 15 — Значения, используемые для вычисления частоты возникновения остаточной ошибки

Члены уравнения

Значение FSCP 1/1

Члены уравнения

Значение FSCP 1/1

Ла (Ре)

1.04 « 10 -14

V

6 000

Рв

W2

т

32

Яа(Ре)

5.42 х Ю'20

п

от 32 до 1024

42

ГОСТ Р МЭК 61784.3.1—2016

RSL(Pe) вычислен с помощью уравнения (D.1) МЭК 61784-3:2010. Результаты показаны е таблице 16.

Таблица 16 — Значения (Ре) для различных значений л

Л

л

32

5.42 * 10-20

268

4.68 * 10-*7

64

1.26 * 10-29

320

1.09* 10_1

96

2.94 * 10-39

352

2.54 * 10-’16

126

6.84 * 10-49

364

6.99 * 10'127

160

1.59* 10"58

416

3.03 * 10'138

192

3,70 * 10'“

448

2.59 * 10'1S°

224

8.63 * 10_7в

460

5.51 * 10"1вз

2S6

2.01 * 10-®7

512

3.56 * Ю’178

9.6    Обслуживание

Для FSCP 1/1 не существует никаких определенных требований по обслуживанию.

9.7    Руководство по безопасности

Производитель устройства безопасности должен предоставлять руководство по безопасности, подходящее для устройства. Руководство по безопасности должно включать методы, необходимые для вычисления времени реакции системы, связанной с безопасностью, включающей устройство безопасности.

10 Оценка

FSCP1/1 сам по себе не образует систему, связанную с безопасностью, или устройство безопасности. Кроме регистрации интероперабельности протокола FSCP 1/1. устройство, системы, программное обеспечение и т. д. будут также оценены с точки зрения применимого УПБ. Пользователь должен удостовериться в том. что каждое устройство безопасности подходит для реализации функции безопасности в соответствии с МЭК 61508. В дополнение к аспектам полевой шины пользователь должен также учесть аспекты безопасности МЭК 61508. На производителе лежит ответственность за разработку устройства и использование при зтом только таких процессов разработки, которые соответствуют стандартам безопасности (см. МЭК 61508, МЭК 61511), а также им должна быть получена оценка, выполненная надлежащим органом.

43

ГОСТ Р МЭК 61784-3.1—2016

Приложение А

(справочное)

Дополнительная информация для профилей коммуникаций, удовлетворяющих требованиям

функциональной безопасности, CPF 1

А.1 Вычисление хэш функции

//

II Использование:

// crc32eth [infile]

// вычисляет Ethemel-CRC32 на основе содержания файла [infile]

II

И Компилировать:

II (этот источник должен комгмлироваться на любом компиляторе C++)

II g++ -Wall -о crc32eth crc32eth.cc #GNU-C++ под Linux

II g++ -Wall -mno-cygwin -о crc32eth.exe crc32eth.cc #wilh суд win GNU-C++

//

И-----------

II вычисление CRC математически является оцениванием остатка полиноминального II деления, где порождающий многочлен (полином) является делителем.

// Для Ethemet-CRC32 порождающий многочлен — это 0хе<8)88320, биты соответствуют // (fj.tr.) коэффициентам fuer х*0. хл1.. хА31. коэффициент для хЛ32 не является явно I11.

II Этот «неестесгвениьм» порядок битов (наименее значащий бит слева) также // применяется к любому единичному октету блока ввода данных и к результату II полиноминального деления.

И---------

#indude <iostream>

#indude <iomantp>

#indude <fstream>

II-------

const unsigned long maCRC32Ether]256] = {

// Таблица для порождающего многочлена 0xedb88320 0x00000000. 0x77073096.0хее0е612с. 0x990951ba.

0x076dc419. 0x706af48f. 0xe963a535. 0x9e6495a3.

0x0edb8832. 0x79dcb8a4. 0xe0d5e91e. 0x97d2d988.

0x09b64c2b. 0x7eb17cbd. 0xe7b82d07. Ox90W1d91.

0x1db71064. 0x6ab020f2.0xf3b97148. 0x84be41de.

0x1adad47d. 0x6ddde4eb. 0xf4d4b551, 0x83d385c7.

0x136c9856.0x646ba8c0.0xfd62f97a. 0x8a65c9ec.

0x14015c4f. 0x63066cd9,0xfa0f3d63. 0x8d080df5.

0x3b6e20c8.0x4c69105e. 0xd56041e4. 0xa2677172.

0x3c03e4d1.0x4b04d447. 0xd20d85fd. 0xa50ab56b.

0x35b5a8fa. 0x42b2986c. 0xdbbbc9d6. 0xacbcf940.

0x32d86ce3.0x45df5c75.0xdcd60dcf. 0xabd13d59.

0x26d930ac. 0x51de003a. 0xc8d75180. 0xbfd06116.

0x21b4f4b5. 0x56b3c423. 0xcfba9599.0xb8bda50f.

0x2802b89e. 0x5f058808.0xc60cd9b2. 0xb10be924.

0x2f6f7c87. 0x58684c11.0xc1611dab. 0xb6662d3d.

0x76dc4190.0x01db7106. 0x98d220bc. 0xefd5102a.

0x71Ы8589. 0x06b6b51 f. 0x9fWe4a5.0xe8b8d433.

0x7807c9a2.0x0f00f934.0x9609a88e. 0xe10e9818.

0x7f6a0dbb. 0x086d3d2d. 0x91646c97.0xe6635c01.

0x6b6b51f4. 0x1c6c6162,0x856530d8, 0xf262004e.

0x6c0695ed. 0x1b01a57b. 0x8208f4c1. 0xf50fc457.

0x&5b0d9c6.0х12Ь7в950. 0x8bbeb8ea. 0xfcb9887c.

0x62dd1ddf, 0x15da2d49.0x8cd37cf3.0xfbd44c65.

44

ГОСТ Р МЭК 61784.3.1—2016

0x4db26158.0x3ab551ce. 0xa3bc0074.0xd4bb30e2,

0x4adfa541.0x3dd895d7. 0xa4d1c46d. 0xd3d6f4lb.

0x4369e96a, 0x346ed9fc. 0xad678846. 0xda60b8d0.

0x44042d73.0x33031 de5. 0xaa0a4c5f. 0xdd0d7cc9.

0x5005713c, 0x270241aa. OxbeOMOW. 0xc90c2086.

0x5768b525.0x206f85b3. 0xb966d409. 0xoe61e49f.

0x5edeF90e. 0x29d9c998.0xb0d09822, 0xc7d7a8b4.

0x59b33d17. 0x2eb40d81.0xb7bd5c3b, 0xc0ba6cad,

0xedb88320.0x9abfb3b6, 0x03b6e20c. 0x74b1d29a.

Oxead54739. 0x9dd277af. 0x04db2615. 0x73dc1683.

0xe3630b12.0x94643b84, 0x0d6d6a3e,0x7a6a5aa8.

0xe40ecf0b. 0x9309ff9d, 0x0a00ae27. 0x7d079eb1.

0xf00f9344. 0x8708a3d2.0x1e01(268. 0x6906c2fe.

0xf762575d. 0x806567cb. 0x196c3671.0x6e6b06e7.

0xfed41b76.0x89d32be0. 0x10da7a5a. 0x67dd4acc.

0x(9b9df6f. 0x8ebeeff9. 0x17b7be43. 0x60b08ed5.

0xd6d6a3e8.0xa1d1937e. 0x38d8c2c4.0x4fdff252.

0xd1bb67f1,0xa6bc5767.0x3fb506dd. 0x48b2364b.

0xd80d2bda. 0xaf0a1b4c. 0x36034af6.0x41047a60.

0xdf60efc3. 0xa867df55. 0x316e8eef. 0x4669be79.

0xcb61b38c. 0xbc66831a, 0x256fd2a0. 0x5268e236.

0xoc0c7795,0xbb0b4703.0x22021659. 0x55052621.

0xc5ba3bbe. 0xb2bd0b28.0x2bb45a92. 0x5cb36a04.

0xc2d7ffa7, 0xb5d0cf31.0x2cd99e8b. OxSbdeaeld.

0x9b64c2b0. 0xec63f226, 0x756aa39c. 0x026d930a.

0x9c0906a9, 0xeb0e363f. 0x72076785. 0x05005713.

0x95bf4a82.0xe2b87a14. 0x7bb12bae. 0x0cb61b38.

0x92d28e9b. Oxe5d5beOd. Ox7cdcefb7,0x0bdbdf21.

0x86d3d2d4.0xf1d4e242. Ox68ddb3f8. 0x1fda836e.

0x81be16cd, 0xf6b9265b. 0x6fb077e1.0x18b74777.

0x88085ae6. 0xff0f6a70.0x66063bca. 0x110l0b5c.

0x8f659eff. 0x1862ae69, 0x616bffd3.0x166ccf45.

0xa00ae278. 0xd70dd2ee. 0x4e048354,0x3903b3c2.

0xa7672661.0xd06016f7. 0x4969474d. 0x3e6e77db.

0xaed16a4a. 0xd9d65adc. 0x40df0b66. 0x37d83b(D.

0xa9bcae53. 0xdebb9ec5. 0x47b2cf7f. 0x30b5ffe9.

Oxbdbdf21c. 0xcabac28a. 0x53b39330. 0х24Ь4аЗэ6.

0xbad03605.0xcdd70693.0x54de5729. 0x23d967bf.

0xb3667a2e. 0xc4614ab8.0x5d681b02. 0x2a6f2b94.

0xb40bbe37.0xc30c8ea1. 0x5a05df1b. 0x2d02ef8d

}:

// GetCRC32Ether() вычисляет CRC для блоха данных, расположенного по адресу U [pStart) размером в [len] октет. GetCRC32Ether() работает с гфиращениеы. ще // результат последней части выполняет роль [предварительно установленного]

И значения для последующей части. Для первой части должно использоваться // предварительно установленное значение, равное Oxfffffffl (=CRC32ETHER_RRESET). // GelCRC32Ether() реализует высокоэффективный табличный метод для вычисления // CRC.

enum {CRC32ETHER_PRESET= Oxfflffflf}: unsigned long GetCRC32Ether(const void* pSIart size_t len.

unsigned tong preset) {

stze_l bytecount:

unsigned char * buf= (unsigned char *) pStart; unsigned long crcword* preset:

for (bytecount* len; (bytecount > 0): bytecount-. buf++) (

— 62 — 61784-3-1 V IEC:2010(E)

crcword* maCRC32Ether((crcword A *buf) & OxOff]A ( crcword » 8L);

}

return crcword:

}:

45

ГОСТ Р МЭК 61784-3.1—2016

м-----------

enum {BUFSIZE* 1024}; //Groesse des Read-Buffers

int mam(mt argc. char * argvQ) { if (argc != 2) {

std:;cerr« "Usage:' « std::endl;

std::cerr «"* « argv[0] « " infile" « std::encfi;

return 2;

)

std;:ifstream infile:

infile.open{argv{1J. std::ios_base::in | std::ios_base::b*nary); if (finfile) {

std::cerr« “ERR: unable to open IHe " « argv{1] « sld::endt; exil{1);

)

char bufJBUFSIZE); //буфер-считывания size_t totaJCount= 0: //Laenge в байтах

unsigned long sig= CRC32ETHER_PRESET; //Предварительное значение signatur while {infile) {

infile.read{&buf{0]. BUFSIZE): size_t portionCount= inMe.gcountO; tota!Count+= portionCount; sig= GetCRC32Ether(&buf[0). portionCount. sig};

)

if (!infile.eof{)) {

std::cerr« "ERR: ошибка чтения файла" « argv[1] « std::endl; exit{1>:

)

infile.close();

std::cout« argv[0] « ': байты, считанные из файла * « argv[1] « " « totalCount« std::endl; std::cout« argvJO] « *: CRC: Ox’ « std::hex « std::setw(8)« std::setfilK'0 ) « s*g « std::endl; return 0;

}

A.2 Условия сбоев, возникающие за пределами функционального блока вывода Когда средства диагностирования на устройстве вывода обнаруживают полевой сбой, еознпсакнций за пределами функционального блока вывода или за пределами самого устройства, например в подсоединенном исполнительном устройстве, то предпринимаемое действие определено не в функциональном блоке вывода, а скорее в блоке преобразователя или в аппаратных средствах. При сбое устройства вывод переходит в обесточенное состояние так. как если бы было отключено питание у самого устройства. Некоторые устройства вывода могут использовать резервное питание для исполнительного устройства, и если эта возможность утрачена, то физическое устройство вывода переходит в обесточенное состояние. Так как эти сбои происходят вне фунхционагъного блока вывода, то конфигурация состояния сбоя не применима. В таблице А.1 представлено такое поведение.

Отказ устройства всегда завершается зафиксированным выводом, который пользователю потребуется перезапустить.

Таблица А.1 —Условия сбоя, возникающие за пределами функционального блока вывода

Условие

Пример

Коиментарий

Полевой

сбой

Отказ при испытании клапана при неполном ходе (сбой клапана или исполнительного устройства), разрыв обмотки или короткое замыкание 8 соленоиде

Диагностические средства и действия, определенные блоком преобразователя и аппаратным* средствами. Обратная связь через функциональный блок вывода

Отказ

резервного

питания

Потеря поступления воздуха, питания на шине или гидравлического давления

Действие, определенное аппаратными средствами. Обратная связь через функциональный блок вывода

Отказ

устройства

питания

Питание шины или независимый источник питания утрачены

Действие, определенное аппаратными средствами

46

ГОСТ Р МЭК 61784.3.1—2016

Окончание таблицы А. 1

Условие

Пример

Комментарий

One аз устройства

Контроль сторожевым устройством сбоев памяти или работы центрального процессора

Действие, определенное аппаратными средствами

Таймер

устаревания

данных

Сбой выполнения блока вывода или планирования

Диагностические средства и действия, определенные блоком преобразователя и аппаратными средствами. Обратная связь через функциональный блок вывода

47

ГОСТ Р МЭК 61784-3.1—2016

Приложение В

(справочное)

Информация для оценки профилей коммуникаций, удовлетворяющих требованиям функциональной безопасности. CPF 1

Информация о тестовых лабораториях, которые испытывают и подтверждают соответствие реализующих FSCP 1/1 изделий стандарту МЭК 61784-3-1. может быть получена в национальных комитетах МЭК или 8 следующих организациях:

Fieldbus Foundation 9005 Mountain Ridge Drive Bowie Bldg - Suite 200 Austin. TX 78759-5316 USA

Телефон: +1 512 794 8890 Факс: +1 512 794 8893 E-maii:  URl:

48

ГОСТ Р МЭК 61784.3.1—2016

Приложение ДА

(справочное)

Сведения о соответствии ссылочных международных стандартов национальным стандартам

Таблица ДА.1

Обозначение ссылочного кож д у не родного стандарта

Степень

соответствия

Обозначение и наименование соответствующего национального стандарта

IEC 61131-2

ют

ГОСТ (ЕС 61131-2—2012 «Контроллеры программируемые. Часть 2. Требования к оборудованию и испытания»

(ЕС 61158-2

ют

(ЕС 61158-3-1

(ЕС 61158-4-1

(ЕС 61158-5-5

(ЕС 61158-5-9

(ЕС 61158-6-5

(ЕС 61158-6-9

в

(ЕС 61508 (все части)

ют

ГОСТ Р МЭК 61508—2012 (все части) «Функциональная безопасность систем электрических, электронных, программируемых электронных. связанных с безопасностью»

(ЕС 61508-1:2010

ют

ГОСТ Р МЭК 61508-1—2012 «Функциональная безопасность систем электрических, электротых. программируемых электронных, связанных с безопасностью. Часть 1. Общие требования»

(ЕС 61508-2:2010

ют

ГОСТ Р МЭК 61508-2—2012 «Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 2. Требования к системам»

(ЕС 61508-3:2010

ют

ГОСТ Р МЭК 61508-3—2012 «Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 3. Требования к программному обеспечению»

(ЕС 61508-4:2010

ют

ГОСТ Р МЭК 61508-4—2012 «Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 2. Требования к системам»

(ЕС 61511 (все части)

ют

ГОСТ Р МЭК 61511-1—2011 «Безопасность функциональная. Системы безопасности приборные для промышленных процессов»

(ЕС 61784-1

(ЕС 61784-3:2010

(ЕС 61918

(ЕС 62280-1

(SO/IEC 8802-3

* Соответствующий национальный стандарт отсутствует. До его утверждения рекомендуется использовать

перевод на русский язык данного международного стандарта.

Примечание — ответствия стандартов:

• В настоящей таблице использовано следующее условное обозначение степени со-

- ЮТ — идентичные стандарты.

49

ГОСТ Р МЭК 61784-3.1—2016

Библиография

[1]    1ЕС 60050 (all parts}. International Electrotechnical Vocabulary NOTE See also the IEC Multilingual Dictionary — Electricity, Electronics and Telecommunications (available on CD-ROM and at <>)

[2]    IEC 60204-1, Safety of machinery — Electrical equipment of machines — Part 1: General requirements

[3]    IEC/TS 61000-1-2, Electromagnetic compatibility (EMC) — Part 1-2: General — Methodology for the achievement of the functional safety of electrical and electronic equipment with regard to electromagnetic phenomena

[4]    IEC 61131-6, Programmable controllers — Part 6: Functional safety

[5]    IEC 61156 (all parts). Industrial communication networks — Fieldbus specifications

[6]    IEC 61326-3-1. Electrical equipment for measurement, control and laboratory use — EMC requirements — Part 3-1: Immunity requirements for safety-related systems and for equipment intended to perform safety related functions (functional safety) — General industrial applications

[7]    IEC 61326-3-2. Electrical equipment for measurement, control and laboratory use — EMC requirements — Part 3-2: Immunity requirements for safety-related systems and for equipment intended to perform safety related functions (functional safety) — Industrial applications with specified electromagnetic environment

[8]    IEC 61496 (all parts). Safety of machinery — Electro-sensitive protective equipment

[9] IEC 61508-5:2010, Functional safety of electricat/electronic/programmable electronic safety-related systems — Part 5: Examples of methods for the determination of safety integrity levels

[10]    IEC 61508-6:2010, Functional safety of electricai/electronic/programmable electronic safety-related systems — Part 6: Guidelines on the application of IEC 61508-2 and IEC 61508-3

[11]    IEC 61784-2, Industrial communication networks — Profiles — Part 2: Additional fieldbus profiles for real-time networks based on ISO/1EC 6802-3

[12]    IEC 61784-4, Industrial communication networks — Profiles— Part 4: Secure communications for fieldbuses

[13]    IEC 61784-5 (all parts). Industrial communication networks — Profiles — Part 5: Installation of fieldbuses — Installation profiles for CPF x

[14]    IEC 61800-5-2. Adjustable speed electrical power drive systems — Part 5-2: Safety Requirements — Functional

[15]    IEC/TR 62059-11, Electricity metering equipment — Dependability — Part 11: General concepts

[16]    IEC 62061. Safety of machinery — Functional safety of safety-related electrical, electronic and programmable electronic control systems

[17]    IEC/TR 62210, Power system control and associated communications — Data and communication security

[18]    IEC 62260-2. Railway applications — Communication, signalling and processing systems — Part 2: Safety-related communication in open transmission systems

[19]    IEC 62443 (all parts). Industrial communication networks — Network and system security

[20]    ISO/1EC Guide 51:1999. Safety aspects — Guidelines for their inclusion in standards

[21]    ISO/IEC 2382-14, information technology — Vocabulary — Part 14: Reliability, maintainability and availability

[22]    ISO/IEC 2382-16, Information technology — Vocabulary — Part 16: Information theory

[23]    ISO/IEC 7498 (all parts). Information technology — Open Systems Interconnection — Basic Reference Model

[24]    ISO 10218-1. Robots for industrial environments — Safety requirements — Part 1: Robot

[25]    ISO 12100-1. Safety of machinery — Baste concepts, general principles for design — Part 1: Basic terminology, methodology

[26]    ISO 13849-1. Safety of machinery — Safety-related parts of control systems— Part 1: General principles for design

[27]    ISO 13849-2. Safety of machinery — Safety-related parts of control systems — Part 2: Validation

[28]    ISO 14121. Safety of machinery— Principles of risk assessment

[29]    ITU-T(CCITT) V.42, Error-correcting procedures for DCEs using asynchronous-tosynchronous conversion, available at < >

[30]    IEEE 802.3. IEEE Standard for Information technology — Telecommunications and information exchange between systems — Local and metropolitan area networks — Specific requirements Part 3: Carrier Sense Multiple Access with Collision Detection (CSMA/CD) Access Method and Physical Layer Specifications

[31]    ANSI/ISA-84.00.01-2004 (all parts). Functional Safety: Safety Instrumented Systems for the Process Industry Sector

50

ГОСТ Р МЭК 61784.3.1—2016

(32]    VDI/VDE 2160 (all parts). Safeguarding of industrial process plants by means of process control engineering

(33]    GS-ET-2616, Grundsatz fur die Prufung und Zertifizierung von Bussystemen fur die Obertragung sicherheitsrelevanter Nachrichten. May 2002. HVBG. Gustav-Hememann-Ufer 130, 0-50968 Kdln ('Principles for Test and Certification of Bus Systems for Safety relevant Communication*)

(34]    ANDREW S. TANENBAUM. Computer Networks. 4th Edition. Prentice Hall. N.J.. ISBN-10:0130661023. ISBN-13: 978-0130661029

(35]    W. WESLEY PETERSON. Error-Correcting Codes. 2nd Edition 1981. МГГ-Press. ISBN 0-262-16-039-0

(36]    BRUCE P. DOUGLASS. Doing Hard Time. 1999. Addrson-Wesley. ISBN 0-201-49637-5

(37]    New concepts for safety-related bus systems. 3rd International Symposium 'Programmable Electronic Systems in Safety Related Applications*. May 1998. from Dr. Michael Schafer, BG-lnstitute for Occupational Safety and Health.

(38]    DIETER CONRADS. Datenkommunikation. 3rd Edition 1996. Vieweg. ISBN 3-528-245891

(39]    German IEC subgroup DKE AK 767.0.4: EMC and Functional Safety, Spring 2002

(40]    NFPA79 (2002). Electrical Standard for Industrial Machinery

(41]    GUY E. CASTAGNOLI, On the Minimum Distance of Long Cyclic Codes and Cyclic Redundancy-Check Codes. 1989. Dissertation No. 6979 of ETH Zurich. Switzerland

(42]    GUY E. CASTAGNOLI. STEFAN BRAUER. and MARTIN HERRMANN. Optirnzabon of Cyclic Redundancy-Check Codes with 24 and 32 Parky Bits. June 1993. IEEE Transactions On Communications. Volume 41, No. 6

(43]    SCHILLER F and MATTES T: An Efficient Method to Evaluate CRC-Polynomials for Safety-Critical Industrial Communication. Journal of Applied Computer Scienoe. Vol. 14. No 1. pp. 57-80. Technical University Press. L6di,Poland. 2006

(44]    SCHILLER F and MATTES T: Analysis of CRC-polynomials for Safety-critical Communication by Deterministic and Stochastic Automata. 6th IFAC Symposium on Fault Detection. Supervision and Safety for Technical Processes. SAFEPROCESS 2006, pp. 1003-1008. Beijkrg. China. 2006

(45]    Foundation™ Fieldbus AG-180. User Application Guide for FF-SIS

(46]    Foundation™ Fieldbus FF-807, FS-SIS Application Model — Phase 1

(47]    Foundation™ Fieldbus FF-884, FF-SIS Protocol Specification

(48]    Foundation™ Fieldbus FF-895. FF-SIS Function Block Application Process — Phase 1

51

ГОСТ Р МЭК 61784-3*1—2016

УДК 62-783:614.8:331.454:006.354    ОКС 13.110    Т51

Ключевые слова: промышленные сети, профили, функциональная безопасность полевых шин. спецификации для CPF 1

52

Редактор АЛ. Кабанова Технический редактор В.Н. Прусакова Корректор Л.С. Лысенко Компьютерная версгха Е.Е. Кругова

Сдано о набор 19.12.2016. Подписано а печать 22.01.2017.    Формат 60 *84 %.    Гарнитура Лриал.

Уел. печ. п.8.98 Уч.-иад. п. 8.31 Тираж 27 экэ. Эак.141 Подготоялено на основе электронной версии, предоставленной разработчиком стандарта.

Издано и отпечатано во ФГУП «СТАНДАРТИНФОРМ». 123995 Москва. Гранатный пер.. 4.