SPS_2026

30 SPECIALE SPS ITALIA 2026 cità del sistema di rilevare guasti che possono compromettere la funzio- ne safety. • La norma IEC62061 , specifica per i sistemi di controllo di macchina- ri basati su tecnologie elettroniche programmabili, integra e dettaglia i requisiti per la comunicazione nel contesto del calcolo del Livello di In- tegrità della Sicurezza (SIL), tenen- do conto dei tempi di risposta, del- la frequenza degli aggiornamenti, e della robustezza della trasmissione dei segnali rilevanti per la safety. • Infine, la IEC61784-3 definisce dei profili di comunicazione per la tra- smissione sicura dei dati nei siste- mi industriali. Essa descrive come costruire i meccanismi di sicurez- za (Safety Communication Layer) sopra i protocolli di comunicazio- ne standard, come Profinet, Ether- net/IP o Ethercat, per garantire che le comunicazioni safety soddisfino i requisiti funzionali richiesti, indi- pendentemente dall’affidabilità del canale sottostante. Questa norma formalizza il concetto di profilo di comunicazione safe e ne struttura l’implementazione secondo i requi- siti normativi. In sintesi, le comunicazioni che sup- portano funzioni di sicurezza devono: • consentire il rilevamento degli errori tramite codici di ridondanza e con- trolli di integrità; • gestire inmodo sicuro laperdita, du- plicazione o ritrasmissione di pac- chetti; • rispettare i vincoli temporali previsti dalla funzione di sicurezza; • assicurare che i dispositivi siano identificati univocamente e che i messaggi siano autenticabili; • supportare la tracciabilità e la dia- gnostica degli errori per abilitare la reazione rapida a situazioni di peri- colo. Questi requisiti sono essenziali per ga- rantire che le comunicazioni tra sen- sori, attuatori e controllori safety-criti- cal non diventino un punto debole del sistema, compromettendo l’efficacia della funzione di sicurezza stessa. Profili di comunicazione e concetto di black channel Tutti i protocolli utilizzati per veicola- re dati rilevanti per la sicurezza ope- rano secondo il principio del profilo di comunicazione: uno strato funziona- le che si sovrappone al protocollo di rete sottostante e introduce mecca- nismi specifici per garantire l’integri- tà, l’autenticità e la tempestività delle informazioni trasmesse. Questo profi- lo, indipendentemente dal protocollo base su cui viene implementato, è re- sponsabile della coerenza e affidabi- lità della funzione di sicurezza in con- dizioni operative normali e in presenza di guasti. Il concetto chiave che accomuna tut- ti questi approcci è quello di ‘black channel’: si assume che il canale di co- municazione sottostante, come per esempio una rete Ethernet industria- le, non sia intrinsecamente affidabile dal punto di vista della sicurezza fun- zionale. Il black channel può introdur- re errori, ritardi, duplicazioni o perdi- te di messaggi, e non fornisce alcuna garanzia rispetto alla corretta sequen- zialitàoautenticitàdei dati. Per questo motivo, è il profilo di comunicazione a dover integrare tutti i meccanismi ne- cessari per rendere sicuro il trasferi- mento delle informazioni critiche. Tra questi meccanismi troviamo: • codici di ridondanza ciclica (CRC) per il controllo dell’integrità; • numerazione dei messaggi per rile- vare ritrasmissioni o perdite; • timeout per il rilevamento di ritardi eccessivi; • identificatori univoci per verificare la provenienza dei dati; • strategie di watchdog e heartbeat per garantire la continuità della co- municazione. Alcuni esempi noti di profili di comu- nicazione per la sicurezza sono Profi- safe, CIP Safety, FSoE (Fail Safe over Ethercat), OpenSafety, Safetynet p, SercosCSP eAS-i Safety atWork. Que- sti profili si appoggiano a protocolli di rete specifici che li supportano nati- vamente, come Profinet, Ethernet/IP, Ethercat o AS-Interface. Ogni profi- lo aggiunge al protocollo di trasporto sottostante gli elementi necessari per garantire che i dati rilevanti per la sa- fety siano trasmessi in modo integro, confidenziale e tempestivo rispetto alla deadline funzionale della funzione di sicurezza. Security for safety e safety for security La safety ha come obiettivo primario la protezione delle persone e dell’am- biente da eventuali conseguenze di guasti, errori o condizioni anomale all’interno di un impianto. La security, d’altra parte, è focalizzata sulla prote- zione del sistema da minacce delibe- ratamente indotte da attori malevoli, come attacchi informatici, accessi non autorizzati omanipolazione dei dati. Tradizionalmente trattate come ambi- ti separati, queste due discipline con- vergono oggi in maniera sempre più stretta, soprattutto nei sistemi di au- tomazione industriale in cui le funzioni di sicurezza dipendono da dispositivi interconnessi eda comunicazioni digi- tali. Questa convergenza si articola nei concetti di ‘security for safety’ e ‘safety for security’: nel primo caso, la sicurez- za informatica è al servizio della prote- zione delle funzioni safety, impedendo che attacchi possano manipolare dati o dispositivi coinvolti nella sicurezza funzionale; nel secondo caso, la pro- gettazione delle funzioni di sicurezza viene orientata a garantire il compor- tamento fail-safe, anche in presen- za di attacchi informatici, contribuen- do quindi alla protezione complessiva del sistema. In questi contesti, un at- tacco informatico può compromette- re direttamente la capacità del siste- ma di reagire a condizioni pericolose, alterando o falsificando le informazio- ni necessarie all’attivazione della fun- zione safety. Per esempio, un pacchetto di dati manipolato potrebbe impedire a un controllore di rilevare una condizio- ne di rischio, oppure causare un in- Tutorial La convergenza tra safety e security richiede la collaborazione fra ingegneri dell’automazione, esperti di safety e professionisti della cybersecurity Fonte Shutterstock