Bei der Betrachtung von Netzwerk-Topologien gilt grundsätzlich, zwischen Layer-3-Protokollen bzw. Routing und Layer-2-Protokollen bzw. Switching oder Bridging zu unterscheiden. Ist eine möglichst kurze Fehlerumschaltzeit gefordert, sollten Anwender vorzugsweise ein Layer-2-Redundanzverfahren wählen. Jedoch stoßen auch hardwareunterstützte Protokolle wie FastMRP bei Umschaltzeiten von unter 20ms an ihre technologischen Grenzen. Für noch schnellere Zeiten muss eine redundante Übertragung im Grunde bereits gestartet worden sein, bevor der Fehlerfall überhaupt detektiert wurde. Jedes Paket muss also von vornherein zweimal, auf unterschiedlichen Wegen, von A nach B geschickt werden. Eine neue Protokollfamilie greift diesen Ansatz auf und wurde 2012 im Rahmen der Norm IEC62439-3 abschließend standardisiert.
Paralleles Ethernet oder Ringstruktur
Der IEC-Standard definiert zwei mögliche Topologien und zwei leicht unterschiedliche Protokolle: Im ersten Fall nutzt das Parallel Redundancy Protocol (PRP) zwei beliebige parallele Ethernet-Infrastrukturen. In der Instanz \’RedBox\‘ werden alle ausgehenden Pakete verdoppelt und mit der gleichen Ziel- und Quelladresse über zwei physikalische Ports verschickt. Auf der Empfängerseite muss eine zweite RedBox dafür sorgen, dass nur das erste eingehende Paket weitergeleitet und das zweite gelöscht wird. Um dies zu ermöglichen, enthält jedes PRP-Paket zwischen Nutzdaten und Checksumme einen 6B langen sogenannten PRP-Trailer mit entsprechenden Sequenznummern. Die RedBox-Funktion lässt sich wahlweise in einer speziellen Infrastrukturkomponente oder direkt in jedem angeschlossenen Endgerät implementieren. Ein großer Vorteil besteht darin, dass die PRP-Pakete innerhalb der zwei Transfernetze wie jedes Standardpaket behandelt werden können. Die Switches innerhalb der redundanten Ethernet-Infrastrukturen müssen PRP also weder unterstützen noch interpretieren. Als zweite Standard-Alternative wurde das High-availability Seamless Redundancy-Protokoll (HSR) für reine Ringstrukturen entwickelt. Anders als bei PRP wird der Protokoll-Overhead hier in Form eines HSR-Tags direkt hinter der Ziel- und Quelladresse eingefügt. Die Rolle der zwei Übertragungsnetzwerke übernimmt in diesem Fall der Ring mit Übertragungsrichtung im und gegen den Uhrzeigersinn. Folgerichtig müssen alle an einen HSR-Ring angeschlossenen Geräte HSR unterstützen. Nicht HSR-fähige Geräte können über eine externe RedBox angeschlossen werden.
Switch-Modul statt Eigenbau
Damit stehen Herstellern von Automatisierungsequipment, die PRP und/ oder HSR in ihre Geräte eindesignen möchten, mehrere Wege offen: Die schnellste und einfachste Lösung ist die Nutzung einer externen RedBox, wie sie z.B. Hirschmann im Rahmen seiner RSPx-Switch-Familie anbietet. Scheidet eine externe Lösung aus, so kann das Redundanzprotokoll im Rahmen einer Produktentwicklung direkt in die Gerätetreiber integriert werden. Für geringeren Entwicklungsaufwand, bietet sich an, auf entsprechende Protokoll-Stacks zurückzugreifen, die der Markt bereits bietet. Insbesondere bei Verwendung von HSR sollten Anwender jedoch unbedingt die Anforderungen an die Performance der Implementierung berücksichtigen. In der Regel ist hier eine Hardwareunterstützung in Form eines separaten FPGAs erforderlich.Wer den Aufwand, Zeit und Risiko einer Hard- und Softwareentwicklung scheut, kann auch ein Embedded- Switch-Modul verwenden. In der Praxis muss dem Implemtierungsaufwand natürlich ein entsprechender Nutzen entgegenstehen. Dies ist insbesondere für Applikationen der Fall, die hohe Verfügbarkeit verlangen und gleichzeitig zeitkritisch sind, z.B. bei der Übertragung sicherheitsgerichteter Daten über WLAN.
Eignungsnachweis im Labor
Für den Eignungsnachweis wurden verschiedene Testszenarien zunächst im Labor durchgespielt: Zuerst wurde das Verhalten einer sogenannten Black-Channel-Architektur im Zusammenspiel mit einem Safety-Protokoll unter Laborbedingungen untersucht. Ein solches, für die kabelgebundene Übertragung ausgelegtes Protokoll reagiert besonders sensibel auf Laufzeitvarianzen (Jitter) und Übertragungsfehler und schaltet eine Maschine im Zweifel ab (Fail-Safe). Potenzial zur Optimierung bietet hier die Nutzung von Kanalredundanz auf der Paketebene mittels PRP. Wie die Testergebnisse zeigen, lies sich die Anzahl der Fail-Safe-Reaktionen des PRP-Systems gegenüber der Einzelkanalbetrachtung erheblich reduzieren. Abhängig von der gewählten Steuerungszykluszeit wurden in einem Zeitraum von einer Woche gar keine oder nur sehr wenige Sicherheitsabschaltungen detektiert, während bei Verwendung nur eines einzelnen Kanals bis zu 100 pro Stunde zu verzeichnen sind. Ein ähnliches Bild ergibt die Analyse der Safety-Response-Zeiten des Systems: Bei Verwendung eines WLAN-Kanals liegen die maximalen Abweichungen vom Durschnitt bei über 100%, während sie über die PRP-Strecke gemessen weniger als sieben Prozent betragen. Dieser Wert liegt im Bereich einer zum Vergleich gemessenen kabelgebundenen Ethernet-Verbindung.