Funktionale Sicherheit Gemischt und trotzdem sicher

Bild: Anton Tokarev, iStock
12.02.2015

Menschen vor Gefahren zu schützen ist ein Ziel der funktionalen Sicherheit. Doch können ­sowohl bei Sicherheitsschaltgeräten mit Parallelverdrahtung als auch bei Sicherheitssteuerungen über ein Netzwerk vermehrt Fehlerquellen auftreten. Ein Multi-Master-System, das über Echtzeit-Ethernet arbeitet, möchte diese ausschließen.

Das Echtzeit-Ethernet SafetyNet p ist für die komplette Automatisierung ausgelegt. Mit dem offenen System können gleichzeitig zeitkritische sichere Daten sowie Standard-Steu­er­ungsdaten zwar physikalisch gemischt, aber dennoch logisch getrennt und somit rückwirkungsfrei übertragen werden. Safety­Net p ist ein Multi-Master-System. Das bedeutet, dass alle Geräte im Netzwerk die gleichen Rechte haben. Das Protokoll enthält einen sicheren Datenkanal, der für die Datenübertragung gemäß SIL 3 beziehungsweise IEC 61508 zertifiziert ist. Da über ein und dasselbe Kabel sowohl sicherheitsrelevante als auch nicht sicherheitsrelevante Daten übertragen werden, können nicht sicherheitsrelevante Teilnehmer auf sicherheitsrelevante Daten direkt zugreifen und diese zur weiteren, nicht sicherheitsrelevanten Verarbeitung verwenden. Außerdem kann die Buszykluszeit an die Anwendung ­angepasst werden. Das System ist auch bei der Frage nach der Netzstruktur flexibel: Es unterstützt Linien-, Stern-, Baum- und Ringtopologie. Bei SafetyNet p wird zwischen einer schnellen Kommunikation innerhalb einer Zelle und einer Kommunikation auf übergeordneten Ebenen unterschieden.

Schnelle Kommunikation in einer Zelle

Beim RTFL (Real Time Frame Line)-Kommunikations­prinzip sind die Geräte typischerweise in Linienstruktur vernetzt. Dabei haben alle SafetyNet-p-Teilnehmer die gleichen Rechte. Die Daten werden nach dem Producer/Consumer-Prinzip ausgetauscht. Als Producer kann jedes Gerät den anderen Geräten Daten liefern. Andere Teilnehmer können die veröffentlichten Daten von einzelnen oder allen Teilnehmern lesen. Auf diese Art ist es möglich, Daten wirkungsvoll zwischen allen Teilnehmern auszutauschen. Als Kommunikationsmechanismus verwendet RTFL eine sehr schnelle zyklische Datenübertragung in einem oder mehreren Ethernet-Frames pro Zyklus. Die Kommunikation wird dabei von einem Root Device initiiert. Der darin erzeugte Frame wird an die übrigen Geräte übertragen, die nacheinander den Frame mit den zu publizierenden Daten befüllen und die zu lesenden Daten aus ihm entnehmen. Die Adressierung der Geräte in einem RTFL-Segment erfolgt über deren MAC-Adresse.

RTFN (Real Time Frame Network) hingegen dient dazu, die RTFL-Echtzeitzellen miteinander zu vernetzen und Ethernet-Teilnehmer wie Visualisierungsgeräte oder Service-PCs an ein SafetyNet-p-Netzwerk anzubinden. Typisch für die RTFN-Ebene ist die Baumtopologie. Ausgehend von Ethernet-Switches werden die Netzteilnehmer über individuelle Punkt-zu-Punkt-Verbindungen angeschlossen. Die Adressierung der Teilnehmer kann alternativ über ihre MAC- oder IP-Adresse erfolgen.

Im Falle der Verwendung von IP-basierter Kommunikation lassen sich RTFN-Frames von einem Netz zu einem anderen Netz durchrouten. Des Weiteren unterscheidet SafetyNet p bei der Kommunikation über das Netzwerk zwischen zyklischen und azyklischen Daten, denn die Kommunika­tionsanforderungen verändern sich je nach Betriebszustand des Netzwerks oder einzelner Geräte. Phasen für die Geräteprogrammierung, zur Diagnose und für Parametereinstellungen sind hauptsächlich Phasen, in denen die Datenübertragung nicht zeitkritisch ist. Die entsprechenden Datenpakete sind im Allgemeinen größer als während des eigentlichen Betriebs. Azyklische, nicht zeitkritische Daten werden bei Bedarf über den Message Channel übertragen. Die sicheren und nicht ­sicheren Prozessdaten hingegen werden über den Cyclic Data Channel übertragen.

Fehler erkennen und beherrschen

Als Netzwerk, das gleichzeitig sichere und nicht sichere Daten überträgt, wurde von Anfang an darauf geachtet, dass SafetyNet p mögliche Fehler bei der seriellen Übertragung von Nachrichten erkennt und beherrscht. Um wiederholte Nachrichten zu erkennen, erhält jede Nachricht im System eine laufende Nummer. Der Empfänger erwartet fortlaufende Nummern und erkennt dadurch wiederholte Telegramme und leitet geeignete Maßnahmen ein. So werden auch zusätzlich eingefügte Nachrichten identifiziert. Zudem bemerkt der Empfänger an der Nummer auch, ob ein Datenpaket verloren ging. Zusätzlich überwacht eine Zeiterwartung (Timeout) beim Empfänger, wann eine neue Nachricht spätestens eingetroffen sein sollte. Nach Ablauf des Timeouts kann der Empfänger die Applikation in den sicheren Zustand bringen. Kommt es zu Verzögerungen bei der Übertragung, erkennt die Zeiterwartung beim Empfänger diese Verzögerungen und leitet geeignete Maßnahmen ein.

Störungen auf dem Übertragungsweg können Nachrichten verfälschen. Ein bei SafetyNet p über den sicheren Telegramm­inhalt gelegter Datensicherungsmechanismus (Checksumme) erkennt solche verfälschten Nachrichten, indem im Empfänger die mitgelieferte Checksumme mit der von ihm selbst berechneten Checksumme verglichen wird. Bei Differenzen kann der Empfänger die Applikation in den sicheren Zustand versetzen.

In gemischten Systemen mit sicheren und nicht sicheren Teilnehmern interpretieren Empfänger das Telegramm eines Standardteilnehmers mitunter als sicheres Telegramm, auch wenn dies nicht zutrifft. Mit Maßnahmen wie netzwerkweit eindeutigen Kennungen und einer unterschiedlichen Datensicherung für sichere und nicht sichere Nachrichten lassen sich derartige Verwechslungen vermeiden.

Firmen zu diesem Artikel
Verwandte Artikel