White channel y black channel
Dentro de los estándares de seguridad de los sistemas, y centrándonos en las comunicaciones por bus que transportan datos de seguridad, estas se dividen en dos grupos: white channel y black channel.
El white channel implica la creación de redes y protocolos de bus diseñados desde cero para la seguridad. De esta forma, todo dispositivo de la red estará relacionado con la seguridad y será necesaria una certificación. El black channel usa una forma de comunicación no confiable, por lo que el equipo en red no estará relacionado con la seguridad; es decir, usan arquitecturas existentes de bus de campo para comunicar datos que están relacionados con la seguridad.
White channel
Las normas de seguridad, como IEC 61508, utilizan un enfoque basado en el riesgo, lo que requiere que se analice una aplicación de seguridad para evaluar qué nivel de integridad de seguridad, SIL (Safety Integrity Level), sería el apropiado para la aplicación. Hecho esto, se diseña un sistema que cumpla con la capacidad SIL requerida.
Un ejemplo sería la transmisión de datos relacionados con la seguridad entre controladores y/o dispositivos de campo inteligentes. Si se necesita enviar una señal de un controlador a otro, la salida de uno se conectaría a la entrada del otro, y estas se tratarían como salida/entrada de seguridad del controlador. Este método es viable para una pequeña cantidad de señales, ya que resultaría muy costoso y difícil de mantener, al trabajar con más señales. Sin embargo, si se pudieran enviar los mismos datos mediante enlace de datos, el sistema se volvería más flexible y rentable, siempre que la transmisión sea confiable y determinista.
La industria ferroviaria ha estado utilizando comunicaciones en serie para la señalización de seguridad durante muchos años, y esto ha demostrado ser muy exitoso. Tradicionalmente, en estos sistemas los datos son gestionados por componentes que forman parte del sistema de seguridad, por lo tanto, sus modos de fallo han sido identificados y se han tomado las medidas apropiadas para garantizar que cumplan con los requisitos de seguridad. Asimismo, cualquier software instalado en ellos debe disponer de una certificación de seguridad. De esta forma, el canal de comunicación queda bien definido y cada configuración está diseñada de acuerdo a las configuraciones certificadas.
- White channel. Fuente: SAGE Journals. -
Este tipo de canal de comunicación se conoce como white channel. Sus propiedades están bien definidas y son conocidas, y cada uno de sus componentes está diseñado empleando el SIL, que se adapta a la aplicación específica, ganando confianza sobre el canal con respecto a la no alteración de los datos, por ejemplo, por un error de software. Cualquier error, modificación o alteración en la transmisión es detectable. La principal desventaja de esta filosofía basada en la seguridad desde el diseño es la flexibilidad, siendo su adaptación y migración a nuevas tecnologías lenta y costosa.
Black channel
El black channel utiliza una capa de seguridad extra entre la última capa del modelo OSI y la aplicación, siguiendo el estándar IEC 62280-1 de señalización ferroviaria.
La capa de seguridad permite la transmisión de datos estándar y de seguridad, a prueba de fallos a través de la misma red o línea de bus. Independientemente del mecanismo de transporte de datos utilizado, los componentes de seguridad pueden transmitir datos utilizando un protocolo seguro aislado que es tunelizado a través de un canal de comunicaciones sobre el que se apoya el protocolo de transmisión, permitiendo garantizar un cierto SIL y verificar las comunicaciones sobre un canal en principio considerado inseguro.
Dentro del black channel los datos de seguridad son trasmitidos por un canal de comunicación no conocido, es decir, el emisor y el receptor desconocen la ruta que podrían tomar los datos desde que son enviados hasta que llegan a su destino. No se puede determinar el número de nodos intermedios por los que deben pasar los datos ni se puede predecir cuánto tiempo necesitan los datos para llegar a su destinatario final, o si en algún momento estos datos han podido sufrir alguna alteración debida a interferencias.
- Black channel. Fuente: SAGE Journals. -
Tunelizar el canal de transmisión permite una flexibilidad y un ancho de banda mucho mayor, es decir, utilizando un mismo bus se puede transmitir por diferentes canales información de forma independiente. La utilización de esta capa de seguridad permite usar este tipo de canales de transmisión, con las subyacentes desventajas. Los posibles errores de transmisión se conocen y se enumeran en las normas pertinentes IEC 61784-3 e IEC 61508. La prevención de este tipo de errores debe implementarse en la propia especificación del protocolo de transmisión de datos de seguridad que va a ser empleado. La calidad del canal de comunicación, pese a ser desconocido, deberá analizarse en detalle para verificar que cumpla unos mínimos de calidad, dependiendo del nivel de seguridad que se necesite alcanzar.
- Comunicación vía black channel. Fuente: SAGE Journals. -
White channel vs black channel
Los white channels necesitan redes y protocolos de bus diseñados desde cero para la seguridad, ya que todos sus elementos tienen que cumplir con la normativa IEC 61508, lo que implica a todo el canal de comunicación, incluidas las interfaces correspondientes. Esto permite asegurar que, tanto los dispositivos finales como la comunicación realizada entre sus diferentes interfaces, tendrán un cumplimiento mínimo de seguridad para la transferencia de datos.
Por otro lado, los black channels son muy útiles para transportar datos relacionados con la seguridad de una manera rentable, utilizando componentes ya instalados que se encuentran listos para ser usados. Los black channels están siendo adoptados como la opción más común en los entornos industriales, ya que permiten el uso de tecnologías como Ethernet y buses de campo, flexibles y versátiles. Aunque los componentes que utilizan black channel deben cumplir la normativa IEC 61508, a nivel de interfaces permiten seguir la normativa IEC 62280, por lo que la comunicación entre ellas, a diferencia del white channel, no dispone de requisitos de seguridad aplicable por normativa.
El uso de white cannel, aunque sea más costoso e implique un diseño inicial orientado a la seguridad y específico para la red de control, permite elevar la seguridad en las trasmisiones y verificar la integridad de estas de manera rigurosa, mediante el uso de normativas. En contraposición, el black channel permite utilizar dispositivos más versátiles y arquitecturas flexibles, pero el nivel de seguridad alcanzable y el control sobre la seguridad de las comunicaciones, es mucho menor, del mismo modo que no se puede verificar la seguridad mediante normativas muy restrictivas.
- Black channel vs white channel. Fuente: IEC61508-2:2010 -
Ventajes e inconvenientes del uso de black channel
La ventaja principal de utilizar black channel es que se puede usar hardware de red común sin necesidad de equipos o dispositivos especiales. No importa si algunos dispositivos, no relacionados con la seguridad, están en el mismo bus o comparten los medios de comunicación, ya que permite aislarse del canal de red.
No obstante, dispone de otras ventajas:
- Permite el uso de redes no confiables para el transporte de información.
- No requiere de arquitectura propietaria, pudiendo utilizar medios de terceros, incluyendo Internet.
- Independiza la arquitectura de red de los dispositivos finales que conforman el sistema.
Sin embargo, el uso de black channel también presenta una serie de desventajas a tener en cuenta:
- Ruido eléctrico o conversación cruzada en el cable causado por la corrupción de datos. Esto se podrá detectar mediante una verificación por redundancia cíclica (CRC) o verificación de paridad.
- Pérdida total de datos por un cable roto.
- Conversación o comunicación cruzada por los propios datos. Esto ocurre cuando se reciben los propios datos que se están enviando al otro extremo.
- Comunicación cruzada por cable o datos de otro enlace de datos. Se podrá verificar al ver que los datos recibidos son de un tipo o longitud diferente del esperado.
Conclusión
Aunque, tanto la implementación de white channel como la de black channel, son opciones adecuadas para transportar información relacionada con el proceso industrial de manera eficaz, cabe destacar que el uso del black channel evita el uso de dispositivos especiales, lo que hace que su implementación resulte más sencilla.
Sin embargo, lo ideal sería analizar el coste de implantación, el riesgo asumible por la empresa, el SIL deseado, la normativa a aplicar, las necesidades de la infraestructura industrial y su flexibilidad a la hora de optar por una implementación u otra.