Erschienen am: 12.08.2010, Ausgabe SPS-MAGAZIN ETH3 2010

openSafety
Einheitlicher Standard für sichere Netzwerke

Während der Hannover Messe 2010 hat die Ethernet Powerlink Standardization Group (EPSG) das openSafety-Konzept erstmals vorgestellt. Damit können sich Hersteller von Safety-Technik auf ein einheitliches System konzentrieren - unabhängig vom verwendeten Ethernet-System. Der TÜV-Rheinland und der TÜV-Süd haben openSafety zertifiziert und für Systeme mit SIL3 zugelassen.

Autor: Stefan Schönegger, B&R Industrial Automation GmbH.


Keine Entwicklung wäre für Hersteller und Anwender von sicheren Automatisierungskomponenten so ungünstig wie eine Wiederholung des Feldbuskrieges auf dem Gebiet der Safety-Protokolle: Inkompatible Lösungen würden die Markteinführung busbasierter Safety-Technologie mehr behindern als fördern, da die Entwicklung sicherheitsgerichteter Technologie kostenintensiv und das Investitionsrisiko hoch ist. So wären beispielsweise Sensorhersteller, die ihre Produkte unter Einhaltung der Sicherheitsnormen für eine größere Anzahl verschiedener Safety-Protokolle entwickeln müssten, mit einem unvertretbaren Aufwand konfrontiert. Aus diesem Grund gibt es bei Herstellern die Forderung nach einem einheitlichen Standard für sicherheitsgerichtete Übertragungsprotokolle. openSafety bietet hier eine einheitliche, branchenübergreifende Safety-Lösung.

Herstellerunabhängiger Sicherheitsstandard


Nicht nur Hersteller von Safety-Komponenten profitieren von einem einheitlichen Standard, da sie sich nur noch auf ein System konzentrieren müssen und für alle Standard-Feldbusse eine einzige Safety-Entwicklung durchführen brauchen. Auch für Anlagenbetreiber ergeben sich große Vorteile. Oft steht die Heterogenität der Steuerungsnetzwerke einer durchgängigen Safety-Struktur im Wege. Doch welche Kommunikationssysteme in einer Anlage zum Einsatz kommen, wird in der Regel durch die Steuerungen festgelegt, die die jeweiligen Maschinenhersteller verwenden. Mit openSafety steht dem Anlagenbetreiber eine einheitliche Safety-Lösung für das gesamte heterogene Steuerungsnetzwerk zur Verfügung, mit der er unabhängig von den jeweils eingesetzten Steuerungen 'Smart Safe Reaction'-Konzepte realisieren kann. Sowohl die Kosten als auch die Inbetriebnahmezeiten für die Produktionsanlage sinken mit der durchgängigen Lösung.

TÜV-zertifiziert für Sicherheitsintegritätslevel von SIL 3


Die Offenheit von openSafety bezieht sich auf die technischen Aspekte und auf den lizenzrechtlichen Status des Software-Stacks, der unter der Open-Source-Lizenz BSD steht. openSafety wurde vom TÜV-Rheinland und vom TÜV-Süd zertifiziert und für Systeme zugelassen, für die ein Sicherheitsintegritätslevel von SIL 3 vorgeschrieben ist. Auch wenn SIL 3 heute im Maschinenbau der höchste geforderte Standard ist: Aufgrund der geringen Restfehlerwahrscheinlichkeit des Sicherheitsprotokolls können mit geeigneten zusätzlichen Maßnahmen auch Projekte auf Basis von openSafety realisiert werden, für die SIL 4 gefordert wird.

Black-Channel-Prinzip für Busunabhängigkeit


openSafety kann grundsätzlich mit allen Feldbussen oder Industrial-Ethernet-Systemen eingesetzt werden. Da das Sicherheitsprotokoll alle übermittelten Dateninhalte ständig auf Vollständigkeit, korrekte Sendereihenfolge sowie Einhaltung der Übertragungsdauer überwacht und jeden Übertragungsfehler sofort registriert, können auch branchenspezifische Kommunikationslösungen und sogar einkanalige, unsichere Transportnetzwerke ohne Abstriche bei der Sicherheit als Kommunikationsbasis verwendet werden. Grundlage der Interoperabilität mit beliebigen Transportprotokollen ist das vollständige Black-Channel-Prinzip von openSafety. Das bedeutet, dass es für das Sicherheitsprotokoll keine Rolle spielt, durch welches Transportprotokoll seine Safety-Frames übertragen werden.

openSafety im Open Systems Interconnection-Modell (OSI)


Ein Blick auf das standardisierte Open Systems Interconnection-Referenzmodell (OSI) verdeutlicht die Funktionsweise des Black-Channel-Prinzips. Das OSI-Modell stellt die Aufgaben, die informationsverarbeitende Systeme zur Übermittlung von Daten bewältigen müssen, anhand eines Schemas aus sieben aufeinander aufbauenden Schichten (Layers) dar. openSafety nutzt nur die oberen, anwendungsorientierten Schichten des Protokollstacks und stellt hier die Mechanismen bereit, die für die sicherheitsgerichtete Kodierung bzw. Dekodierung der Nutzdaten der jeweiligen sicherheitskritischen Applikation benötigt werden. Ihre Funktionalität ist völlig unabhängig von der unterlagerten Transportschicht. Da vom zugrundegelegten Transportprotokoll aber die Reaktionsgeschwindigkeit und die Bandbreite abhängen, gilt es, das Transportprotokoll entsprechend der vorgeschriebenen Sicherheitsreaktionszeiten zu wählen. Hochperformante Safety-Lösungen mit Powerlink befinden sich seit 2008 im Serieneinsatz. Zudem hat die EPSG auch funktionsfähige Lösungen mit Ethernet/IP, Modbus TCP sowie Sercos III entwickelt und auf der vergangenen Hannover-Messe der Öffentlichkeit vorgestellt, um die Interoperabilität mit unterschiedlichsten Industrial-Ethernet-Systemen zu demonstrieren.

Maschinenproduktivität durch Querverkehr erhöhen


Weil openSafety - wie dargestellt - nur die Anwendungsschicht spezifiziert, hängen die Leistungsfähigkeit und die Reaktionsgeschwindigkeiten eines sicheren Netzwerks, das mit diesem Sicherheitsprotokoll realisiert wurde, vom verwendeten Transportprotokoll ab. Das Transportprotokoll gibt die verfügbare Bandbreite, die erreichbaren Zykluszeiten und nicht zuletzt funktionale Eigenschaften vor - z.B. ob das sichere Netzwerk Hotplug-fähig ist oder die Datenkommunikation per Querverkehr beherrscht. Obwohl die Reaktionszeit der Sicherheitslösung auch durch die Kürze der Zykluszeiten vorgegeben ist, leistet auch die Querverkehrfähigkeit einen entscheidenden Beitrag zur Performance des sicherheitsgerichteten Systems. Querverkehr bezeichnet die Fähigkeit der Teilnehmer, in einem Netzwerk ohne Umweg über einen Master miteinander zu kommunizieren. Bei sicherheitsgerichteten Safety-Netzwerken ermöglicht Querverkehr nicht nur eine dezentrale Ankopplung der Safety-Controller: In Gefahrensituationen bedeutet die einfache und direkte Kommunikation, wie sie durch Querverkehr ermöglicht wird, einen Vorteil hinsichtlich der Reaktionsgeschwindigkeit. Hier sendet ein Safety-Knoten A seine Daten direkt an den Safety-Knoten B. Dagegen müsste in einem Netzwerk ohne Querverkehr der Safety-Knoten A, der seine Daten an den Safety-Knoten B senden soll, die Daten zunächst an den Master schicken, der sie an den Safety-Master weiterleitet, von dort zurückerhält und sie nun erst an den Safety-Knoten B sendet. Im Vergleich zur direkten Kommunikation beim Querverkehr vervierfacht sich die Signallaufzeit (Bild 5). Da der Nothalteweg einer Achse in quadratischer Funktion von der Fehlerreaktionszeit und der negativen Beschleunigung abhängt, ergibt sich bei einer Vervierfachung der Signallaufzeit ein 16-fach längerer Nothalteweg.

Bis zu 1.023 Safety-Domänen im openSafety-Netzwerk


Ein openSafety-Netzwerk kann bis zu 1.023 Safety-Domänen enthalten, wobei jede Domäne aus bis zu 1.023 Knoten bzw. Geräten bestehen darf. Safety-Domänen können sich über unterschiedliche und inhomogene Netzwerke erstrecken und die darüber verteilten Safety-Knoten in einer Domäne zusammenfassen. Sichere und unsichere Geräte können innerhalb einer Domäne betrieben werden. Gateways ermöglichen die Kommunikation unter verschiedenen Safety-Domänen. Mit openSafety lassen sich Netzwerke hierarchisch und in abgegrenzte Sicherheitszonen unterteilen. Dadurch lassen sich beispielsweise Montagearbeiten in einer Zone durchführen, ohne dass dadurch die Produktion in anderen Zonen in Mitleidenschaft gezogen wird. In jeder Domäne ist ein Safety Configuration Manager für die permanente Überwachung aller Safety-Knoten verantwortlich.

Konzentration auf ein einheitliches Safety-System


Aufgrund der Busunabhängigkeit können sich Hersteller von Safety-Technik auf ein einheitliches System konzentrieren und müssen so für alle Standard-Feldbusse nur eine einzige Safety-Entwicklung durchführen. Hersteller und Anwender bekommen mit openSafety einen fertigen Safety-Stack, der sich in jahrelangem Einsatz bewährt hat. Im Gegensatz zu einer Eigenentwicklung entfallen hohe Entwicklungskosten, Zeitaufwand und die Notwendigkeit, entsprechendes Know-how vorzuhalten. Daneben reduziert sich durch die Verwendung von openSafety, das bereits vom TÜV zertifiziert wurde und sich in der Norm IEC61784-3 befindet, das Entwicklungsrisiko. Nicht zuletzt erhalten Anwender auch in rechtlicher Hinsicht größtmögliche Investitionssicherheit, da openSafety unter der Open-Source-Lizenz BSD verfügbar ist.


Anzeige