Bezpieczeństwo funkcjonalne w sieciach

Wprowadzenie protokołów bezpiecznej komunikacji w sieciach przemysłowych jest w pełni legalne i prawomocne, opłacalne i niezwykle pomocne w zarządzaniu sieciami, diagnostyce oraz zachowaniu ich wysokiej niezawodności. W niniejszym artykule zebrano kilka uwag i porad związanych z metodami bezpieczeństwa funkcjonalnego oferowanymi dla sieci automatyki przemysłowej ? CIP Safety, PROFISafe i Safety at Work.
Katherine Voss, organizacja ODVA
CIP Safety: Komunikacja między węzłami sieci bez błędów i przekłamań
Rozszerzenie protokołu CIP Safety, dedykowanego do aplikacji związanych z bezpieczeństwem w sieciach standardów EtherNet/IP i DeviceNet, gwarantuje eliminację błędów w transmisji danych pomiędzy węzłami sieci, takimi jak bloki I/O, włączniki/wyłączniki blokad, moduły sterowania kurtyn bezpieczeństwa oraz moduły sterowników PLC, obsługujących funkcje bezpieczeństwa w aplikacjach z poziomem bezpieczeństwa SIL 3.
CIP Safety to jedno z rozszerzeń protokołu komunikacji CIP (ang. Common Industrial Protocol), dedykowane do aplikacji sieci EtherNet/IP i DeviceNet obsługujących komunikację węzłów sieciowych, realizujących funkcji związane z zapewnieniem bezpieczeństwa przy poziomie bezpieczeństwa SIL 3, zgodnym z zapisami normy IEC 61508. Urządzenia korzystające z tego protokołu pojawiły się w aplikacjach przemysłowych już w roku 2005. W raporcie World Market for Industry Networking z roku 2011 protokół CIP Safety został uznany za najbardziej rozpowszechniony na świecie protokół implementowany w aplikacjach bezpieczeństwa, z ponad 30% ogólnej liczby nowych węzłów sieciowych. Poza wspomnianymi już aplikacjami w standardach EtherNet/IP i DeviceNet protokół ten został również zaakceptowany przez SERCOS International do użycia w sieciach trzeciej generacji (SERCOS III) tegoż standardu.
Zastosowanie narzędzi protokołu CIP Safety pozwala na łączenie i integrację w ramach jednej sieci automatyki tradycyjnych urządzeń sterujących oraz modułów obsługujących funkcje bezpieczeństwa, co zwiększa elastyczność i kompleksowość rozwiązań systemowych sterowania i monitoringu aplikacji przemysłowych. Ponieważ w warstwie aplikacji protokołu CIP Safety wprowadzone narzędzia bezpieczeństwa nie mogą być uzależnione od poziomu integralności standardowych usług protokołu CIP niższego rzędu oraz warstwy łącza danych, zatem pojedynczy kanał sieci (nieredundantny) może być wykorzystany jako interfejs łącza danych. Podobny podział funkcjonalności pozwala na wykorzystanie standardowych routerów do przekazywania danych standardowych i związanych z funkcjami bezpieczeństwa. Takie routowanie jest możliwe, ponieważ za integralność i niezawodność komunikacji odpowiada zawsze urządzenie końcowe. Jeżeli pojawi się błąd w czasie transmisji danych, urządzenie końcowe (odbiorca) wykrywa go i podejmuje odpowiednią akcję zmierzającą do jego eliminacji i przeprowadzenia ostatecznie poprawnej transmisji.
Taka metodologia funkcjonowania routingu pozwala na utworzenie stref dedykowanych do obsługi funkcji bezpieczeństwa CIP Safety z bardzo szybką reakcją urządzeń w sieci jednego standardu, np. DeviceNet, które mogą być wzajemnie powiązane z innymi strefami w sieciach innych standardów ? np. EtherNet/IP. Przy takim powiązaniu w przypadku transmisji routowane są tylko dane niezbędne do obsługi funkcji bezpieczeństwa pomiędzy określonymi strefami, co ogranicza wykorzystanie pasma przepustowości sieci komunikacyjnej. Szybkie procedury odpowiedzi lokalnych stref bezpieczeństwa w sieci, wraz z funkcjami międzystrefowego routowania pakietów danych związanych z bezpieczeństwem, pozwala użytkownikom na budowanie nawet funkcjonalnie skomplikowanych systemów bezpieczeństwa z zachowaniem bardzo szybkich czasów reakcji.
Użytkownicy używający rozszerzenia CIP Safety w sieciach standardu EtherNet/IP korzystają nie tylko z opisanych możliwości samego rozszerzenia, ale również z niewątpliwych zalet samego protokołu CIP oraz standardu EtherNet/IP. W protokole CIP obejmują one bogaty pakiet zaawansowanych telegramów i usług komunikacyjnych dedykowanych dla sieci automatyki w aplikacjach przemysłowych ? sterowanie, bezpieczeństwo, zarządzanie energią, sterowanie i synchronizację w układach napędowych, zarządzanie siecią komunikacji i danymi. Dzięki nim użytkownicy mogą łatwo zintegrować aplikacje bezpieczeństwa i klasycznych systemów sterowania na poziomie obiektowym i sterowników w ramach sieci Ethernet i Internet. Wspominany już standard EtherNet/IP to swoista hybryda zasad protokołu CIP zaadaptowanych na platformę technologii Ethernet (IEEE 802.3 powiązane z protokołem TCP/IP), zapewniająca użytkownikom narzędzia sieciowe do komunikacji z modułami automatyki przemysłowej za pośrednictwem powszechnie już dziś używanej sieci Internet, umożliwiającej dostęp do danych w dowolnym czasie i miejscu.
Obserwowany wzrost popularności sieciowych systemów sterowania dla skomplikowanych układów wielonapędowych, organizacja ODVA zarządzająca standardem CIP Safety prowadzi obecnie działania służące do wypracowania odpowiedniego rozszerzenia protokołu i funkcji przeznaczonych do obsługi tego typu aplikacji. Bazuje się tu na elementach zdefiniowanych w normie IEC 61800–5-2 (Elektryczne systemy napędowe o regulowanej prędkości ? Część 5-2: Wymogi bezpieczeństwa ? Bezpieczeństwo funkcjonalne).
Carl Henning, wicedyrektor PI North America 
PROFISafe: Bezpieczeństwo funkcjonalne
Implementacja reguł bezpieczeństwa funkcjonalnego w sieciach pozwala na zredukowanie liczby kabli i dodatkowego oprzyrządowania, szybsze przeprowadzenie instalacji i uruchomienie systemów. Protokół PROFISafe organizacji PI dedykowany dla aplikacji bezpieczeństwa funkcjonalnego zapewnia w pełni transparentny przepływ informacji pomiędzy sieciami standardów Profibus (szeregowa magistrala lokalna) i Profinet (Ethernet przemysłowy).
Jeżeli w danej aplikacji nie są obsługiwane funkcje bezpieczeństwa, systemy sterowania mogą być realizowane z wykorzystaniem klasycznych sterowników, układów I/O i przekaźników, z programowaniem językiem drabinkowym. Trzeba jednak mieć świadomość, że aplikacje te wymagają dużej liczby kabli. Przez kilka ostatnich dekad, pomimo intensywnego rozwoju technologicznego w dziedzinie sterowników PLC i dedykowanych dla nich standardów komunikacji sieciowej, wciąż do realizacji systemów odpowiedzialnych za bezpieczeństwo maszyn i ludzi wykorzystywano tradycyjne układy przekaźnikowe, z oddzielnym okablowaniem. W roku 2002 przeprowadzono w USA aktualizację przepisów dotyczących okablowania systemowego tak, by umożliwić implementację funkcji bezpieczeństwa w sterownikach oraz obsługę pakietów danych dla tego typu aplikacji w ramach sieci automatyki. W efekcie możliwe jest korzystanie ze wszystkich funkcji, udogodnień i narzędzi związanych z technologią sterowników PLC i sieci lokalnych przy realizacji systemów bezpieczeństwa. Wydaje się zatem, że po 10 latach od tego wydarzenia idea pełnej integracji sterowania i bezpieczeństwa w przemysłowych systemach sieciowych stała się bardziej popularna w większej liczbie zakładów przemysłowych i firm produkcyjnych.
W normie IEC 61508 bezpieczeństwo zdefiniowano jako uwolnienie się od nieakceptowanego poziomu ryzyka fizycznego zranienia lub uszkodzenia zdrowia ludzkiego, zagrożenia pośredniego i bezpośredniego w wyniku uszkodzenia urządzeń lub środowiska pracy. Bezpieczeństwo funkcjonalne staje się zatem częścią bezpieczeństwa całkowitego, która zależy od prawidłowej pracy systemów i urządzeń w odpowiedzi na sygnały wejściowe. Jeżeli zatem komunikaty związane z funkcjami bezpieczeństwa przesyłane są sieciami lokalnymi automatyki przemysłowej lub Ethernetu przemysłowego, sieci te i protokoły komunikacji stają się elementem bezpieczeństwa funkcjonalnego.
Bezpieczeństwo funkcjonalne jednak to coś więcej, niż tylko odpowiednio szybkie i niezawodne reakcje urządzeń na tzw. komunikaty bezpieczeństwa. Kwestia tego bezpieczeństwa zaczyna się od poprawnej i dokładnej analizy ryzyka wystąpienia zagrożeń. Ryzyko może być zmniejszane na wiele sposobów, poczynając od oznaczeń i sygnalizacji, przez wyznaczanie stref bezpieczeństwa, aż po zastosowanie obwodów i systemów ochrony osób i mienia. W tych ostatnich sieciowe bezpieczeństwo funkcjonalne jest realizowane w największej mierze poprzez tzw. bezpieczne moduły I/O (safety I/O) i sterowniki bezpieczeństwa. Dlatego też kwestia bezpieczeństwa funkcjonalnego sieci automatyki wymaga zastosowania modułów I/O z określonym poziomem bezpieczeństwa (SIL) oraz współpracujących z nimi sterowników bezpieczeństwa, również z ustalonym poziomem bezpieczeństwa.
Idea bezpieczeństwa funkcjonalnego bazującego na komunikacji przez sieci automatyki może być sprawnie zaimplementowana wszędzie tam, gdzie w obsłudze aplikacji dominują układy logiki dyskretnej lub urządzenia i moduły sterujące obsługują wiele typów zmiennych i danych diagnostycznych. Warto również zawsze pomyśleć o zintegrowaniu bezpieczeństwa układów napędowych, w których dotychczas najpopularniejszymi elementami bezpieczeństwa są i były: wyłączenie napięcia i zewnętrzne, dodatkowe układy hamowania. Obecnie dzięki nowoczesnym technologiom sterowania możliwe są jeszcze inne funkcje, takie jak np. ustawienie napędu w pozycji bezpiecznej.
W jednym z zakładów produkujących karoserie samochodowe przeprowadzono modernizację systemów bezpieczeństwa z tradycyjnych, zrealizowanych w klasycznej koncepcji oddzielnej instalacji, wprowadzając sieć komunikacji standardu PROFIsafe. Operacja ta pozwoliła na redukcję liczby urządzeń przeznaczonych do realizacji funkcji bezpieczeństwa o 85% oraz znaczne ograniczenie liczby połączeń kablowych. Zaoszczędzono również powierzchnię i miejsce na samej linii produkcyjnej (mniejsza liczba i mniejsze obudowy). Czas niezbędny do pełnego uruchomienia i sparametryzowania linii produkcyjnej zmniejszył się z kilku tygodni do jednego popołudnia.
Obecnie bezpieczeństwo funkcjonalne bazujące na rozwiązaniach sieciowych jest coraz szerzej stosowaną technologią, wypróbowaną i sprawdzoną w praktyce w licznych aplikacjach o różnym stopniu zaawansowania funkcjonalnego. Korzystanie z niej przynosi sporo korzyści w obszarze konkurencyjnościrynkowej. Jak podkreślają specjaliści branżowi, dzięki technologiom sieciowym systemy bezpieczeństwa funkcjonalnego ewoluowały z kosztownych i trudnych w realizacji instalacji ku narzędziom wspierającym efektywność produkcji i redukującym czasy przestoju, awarii linii produkcyjnych.
dr Helge Hornis, menedżer systemów inteligentnych w firmie Pepperl+Fuchs  
Technologia Safety at Work ? przewodnik
Technologia Safety at Work to prosta, otwarta platforma systemowa do obsługi funkcji związanych z bezpieczeństwem aplikacji przemysłowych. Pozwala na połączenie i sterowanie urządzeń i modułów bezpieczeństwa przez dwużyłowy przewód linii zasilającej i zarazem transmitującej dane.
Safety at Work to otwarta technologia skupiająca wielu dostawców i producentów, koncepcyjnie przypominająca klasyczne systemy bezpieczeństwa funkcjonalnego aplikacji przemysłowych, dedykowana do obsługi sygnałów wejściowych i wyjściowych takich modułów, jak: kurtyny bezpieczeństwa, wyłączniki awaryjne, wyłączniki krańcowe itp. Wszystkie te elementy łączone są do dwużyłowego, elastycznego przewodu, pełniącego rolę zasilania i jednocześnie medium transmisji danych.
Idea, która legła u podstaw systemu Safety at Work, jest bardzo prosta. Moduły bezpieczeństwa transmitują dane w sposób inteligentny, korzystając z dynamicznej sekwencji kodów (niektórzy eksperci nazywają je kodami bezpieczeństwa). Zamiast tradycyjnych przekaźników bezpieczeństwa programowalny sterownik bezpieczeństwa (nazywany Monitorem Bezpieczeństwa ? SafetyMonitor) przetwarza te dynamiczne sekwencje kodów i na ich podstawie oraz zaprogramowanych algorytmów podejmuje konkretne działania. Redundantne styki bezpieczeństwa, ostatecznie odpowiedzialne za wyłączenie styczników napędów, mogą być wbudowane w module sterownika ? SafetyMonitora lub zaimplementowane w osobnych modułach bezpieczeństwa na poziomie obiektowym, bezpośrednio przy napędzie. Kiedy opracowano technologię Safety at Work, firmy uczestniczące w tym procesie zdecydowały się nie tworzyć nowego, dedykowanego standardu sieci komunikacyjnej i związanego z nim protokołu komunikacji. Zamiast tego wykorzystano AS-Interface, łatwy w implementacji, tani i wysoce elastyczny standard komunikacyjny. Dzięki temu posunięciu możliwe stało się również wykorzystanie w opracowywanym systemie bezpieczeństwa funkcjonalnego wszystkich narzędzi, rozwiązań i oprogramowania związanego z technologią AS-Interface. Więcej informacji na ten temat udzielają wspomniane już firmy ? inicjatorzy technologii Safety at Work: Bihl+Wiedemann, Euchner, Festo, idec, ifm, Leuze electronic, Pepperl+Fuchs, Rockwell Automation, Schmersal, Schneider Electric i Siemens.
Tradycyjne systemy bezpieczeństwa, z wydzielonymi instalacjami kablowymi, bazowały najczęściej na połączeniach redundantnych. Technologia ta ma wiele wad w stosunku do promowanej współcześnie komunikacji danych bezpieczeństwa przez sieci automatyki, a do najczęściej wymienianych należą: skomplikowanie połączeń i związane z tym wysokie koszty instalacji oraz częste i długie wyłączenia obsługiwanych urządzeń i linii produkcyjnych. Technologia Safety at Work może byćz powodzeniem wykorzystywana w aplikacjach wymagających najwyższego poziomu bezpieczeństwa (CAT4, SIL3, PLe) i wielu innych, mniej wymagających. Zastosowana w niej metoda komunikacji z dynamiczną sekwencją kodów pozwala na uzyskanie wysokiego poziomu bezpieczeństwa przy znacznie niższych kosztach realizacji systemu oraz prostszej topologii połączeń fizycznych i funkcjonalnych.
W instalacjach tradycyjnych ustalenie, czy dany wyłącznik bezpieczeństwa został wciśnięty wymaga skorzystania z dodatkowego styku pomocniczego. W systemie Safety at Work informacja z przycisku dostarczana jest w zasadzie bez żadnych dodatkowych elementów, a dodatkowo o użyciu przycisku wysyłana jest (gdy jest taka potrzeba) informacja zwrotna do operatora, użytkownika odpowiedzialnego za dane urządzenie czy stanowisko.
Opracował dr inż. Andrzej Ożadowicz, AGH Kraków
CE