Sieci z funkcją bezpieczeństwa

Przemysłowe sieci magistralowe stają się coraz bardziej funkcjonalne, tym razem umożliwiając użytkownikom realizację funkcji bezpieczeństwa w aplikacjach przemysłowych, tradycyjnie zarezerwowanych systemów dedykowanych. Ofertą szczególnie atrakcyjną jest możliwość pełnej integracji elementów bezpieczeństwa i sterowania wraz z zachowaniem prostoty obsługi i zarządzania całym systemem, charakterystycznych dla klasycznych sieci przemysłowych.

Systemy bezpieczeństwa dla aplikacji przemysłowych pozostawały od zawsze domeną specjalizowanych rozwiązań technicznych, systemów firmowych i tzw. systemów wbudowanych. Większość użytkowników uważa, że najlepszy poziom bezpieczeństwa mogą zapewnić jedynie tego typu rozwiązania, oparte na wydzielonej linii transmisji sygnałów, na komunikacji przewodowej itp. Są one jednak dość kosztowne, skomplikowane pod względem procedur zarządzania i serwisowania.
Dawniej wszystkie czujniki, elementy wykonawcze, sterowniki i interfejsy były łączone właśnie w sposób klasyczny – przewodami z sygnałami analogowymi. Systemy takie charakteryzowały się jednak dużą złożonością, wielością połączeń przewodowych, przy jednoczesnym ograniczeniu funkcji diagnostycznych, możliwości integracji funkcjonalnej itp. Dlatego też użytkownicy i dostawcy automatyki przemysłowej poszukiwali rozwiązań sprzyjających redukcji okablowania, zwiększających prostotę konfiguracji i integracji, diagnostyki i ustawień.
Pewien postęp w tym zakresie przyniósł standard HART, jednak wraz z rozwojem techniki mikroprocesorowej pojawiały się coraz to nowe rozwiązania sieciowe, z magistralami cyfrowymi, umożliwiającymi wymianę pakietów danych, stworzenie nowych standardów komunikacyjnych i w rezultacie budowę systemów rozproszonych i w pełni zintegrowanych. Zastosowanie sieci magistralowych w aplikacjach automatyki procesów dyskretnych i ciągłych pozwoliło na realizację wielu skomplikowanych procedur, algorytmów sterowania oraz zaawansowanego  monitoringu i diagnostyki. Systemy bezpieczeństwa wciąż pozostawały niezależne. Coraz częściej podnoszone było pytanie: „Kiedy możliwe będzie równie łatwe i niezawodne korzystanie w sieciach przemysłowych z funkcjonalności bezpieczeństwa?”
Niektórzy z integratorów wciąż odnoszą się jednak do tego typu pomysłów z pewną rezerwą i sceptycyzmem, widząc w integracji wszystkich urządzeń sterujących i bezpieczeństwa tylko skomplikowane systemy sieciowe i podwojenie zagrożenia pewności funkcjonowania systemów bezpieczeństwa i ochrony. Inni z kolei są gorącymi zwolennikami pełnej integracji wszystkich funkcjonalności, związanym z nią wzrostem możliwości i rozwojem technologicznym systemów sieciowych, udoskonaleniem protokołów komunikacyjnych, stosowanych w nich procedur kontroli poprawności transmisji itp.
Włączenie funkcjonalności systemów bezpieczeństwa do przemysłowych sieci sterowania i przesyłu danych procesowych to jednak coś innego, niż dołączanie klasycznych funkcji sterowania czy monitoringu. Powszechnym w branży wydaje się przekonanie, że standard sieciowy integrujący funkcje bezpieczeństwa powinien mieć wysoki poziom ochrony i kontroli poprawności danych w sieci. I choć rozumowanie takie ma sens, to jednak nie odzwierciedla do końca rzeczywistości. Faktycznie bowiem sieciowy system bezpieczeństwa stwarza platformę komunikacyjną praktycznie niezależną od medium transmisyjnego. Innymi słowy, w systemie takim nie zakłada się przede wszystkim określonej wydajności, skuteczności sieci komunikacyjnej. Pierwszymi przemysłowymi protokołami komunikacyjnymi, które pozwalały na realizację funkcjonalności bezpieczeństwa, były zaprezentowane w 1998 r. standardy Profisafe i AS-Interface Safety at Work. Żaden z nich nie stanowił sam w sobie odrębnego standardu sieci przemysłowej,ale wprowadzał obsługę funkcji bezpieczeństwa do popularnych standardów sieciowych. Np. Profisafe działa na bazie Profibus DP, Profibus PA i Profinet. W 2005 r. grupa ODVA wprowadziła na rynek protokół CIP Safety, działający na bazie standardów EtherNEt/IP, ControlNet i DeviceNet.
Odmienna koncepcja dla funkcji wysyłania i odbioru komunikatów
Podstawowym elementem wyróżniającym protokół dla sieci bezpieczeństwa są zasady, według których urządzenia sieciowe wysyłają i odbierają komunikaty, nie zaś koncepcje związane z ich transmisją.
Kluczowe elementy funkcjonalne w systemach sieciowych bezpieczeństwa  to:

  • Medium transmisyjne postrzegane jako swego rodzaju „czarny kanał” (analogia do czarnej skrzynki – urządzenia w systemie). Oznacza to, że z punktu widzenia systemu bezpieczeństwa nie ma znaczenia, jakiego typu medium transmisyjne jest wykorzystywane w sieci; może nim być Ethernet, łącze bezprzewodowe czy skrętka. Dzięki temu uzyskuje się sporą elastyczność w organizacji i instalacji sieci bezpieczeństwa.
  • Protokół w systemie bezpieczeństwa musi wykrywać błędy w transmitowanych komunikatach, które w normalnych systemach automatyki mogą być zignorowane. Każdy komunikat z danymi o bezpieczeństwie używa algorytmu CRC. W klasycznych systemach sieci przemysłowych do kontroli poprawności transmisji danych w komunikatach stosuje się zwykle tzw. pole sumy kontrolnej FCS, jednak w systemach z danymi o bezpieczeństwie wymagane jest dokładniejsze sprawdzenie ewentualnych błędów transmisyjnych.
  • Komunikaty bezpieczeństwa muszą poruszać się w sieci według określonej sekwencji i w określonych ramach czasowych.

W wywiadzie udzielonym redakcji Control Engineering w 2008 r. Erich Janoschek z organizacji TÜV Rhineland przedstawił magistralową sieć bezpieczeństwa na obrazowym modelu  wyspecjalizowanego procesu przesyłu korespondencji. W omówionym przez niego przykładzie wspomniany wcześniej czarny kanał to tradycyjna droga, jaką klasyczna poczta doręcza listy do odbiorców. Aby przesyłka wysyłana tym kanałem była potraktowana jako priorytetowa, musi być wysłana w żółtej kopercie. – Gdy wysyła się żółtą kopertę z innymi przesyłkami, nie można ustalić, czy jest ona dostarczana samolotem, statkiem czy innymi środkami. Jednak, gdy dociera ona wreszcie do odbiorcy, może on przed jej otwarciem i przeczytaniem zweryfikować, czy koperta nie jest rozdarta, czy przesyłka nie uległa jakiemuś uszkodzeniu i dopiero potem zapoznać się lub nie z jej zawartością. Ponadto odbiorca wie również, że każdego dnia powinien dostać przynajmniej jedną przesyłkę w żółtej kopercie – jeżeli takowa nie dociera, wyłącza system komunikacyjny – wyjaśnia obrazowo Erich Janoschek.
Jeżeli przyjmie się, że funkcje bezpieczeństwa realizowane są niezależnie od rodzaju sieci, to jeśli nie może ona zapewnić odpowiedniego poziomu pewności transmisji danych, zawsze będzie funkcjonować nieprawidłowo. W takich przypadkach, jeżeli dane mogą zostać uszkodzone lub też utracone w całości, powinno to prowadzić do wyłączenia takiego systemu sieciowego. – Dlaczego konieczne jest wyłączenie systemu? – pyta retorycznie James Powell, inżynier z firmy Siemens Millitronics Process Instruments. – Szybkie, automatyczne wyłączenie systemu może być jedną z naturalnych funkcji niezbędnych w prawidłowym przebiegu procesu przemysłowego lub też może nastąpić na skutek błędów komunikacji danych w systemie. W magistralowych systemach bezpieczeństwa pewność poprawnej transmisji komunikatów jest elementem koniecznym, a ponadto żaden z nich nie może być utracony.
Dlatego też tak szczególny nacisk kładzie się tu na wykrycie wszelkich błędów transmisji – wyjaśnia James Powell. Popularne standardy przemysłowe Profibus i FOUNDATION Fieldbus mają w standardzie bardzo wysokiej jakości kanały komunikacyjne i uzyskanie z kolei wysokiejniezawodności transmisji danych jest stosunkowo proste, jeżeli tylko zachowuje się wszystkie zalecenia dotyczące projektowania i instalacji sieci magistralowej.
Od operacji dyskretnych do obsługi całych procesów
Protokoły komunikacyjne magistralowych sieci bezpieczeństwa po raz pierwszy pojawiły się w obsłudze aplikacji z operacjami dyskretnymi. Np. protokół AS-Interface Safety at Work zwykle obsługuje takie funkcje, jak: awaryjne zatrzymanie urządzeń, bramki bezpieczeństwa, aktywne zabezpieczenia optoelektroniczne i inne podobnego typu moduły bezpieczeństwa w aplikacjach przemysłowych. Z kolei większość aplikacji systemu Profisafe w produkcji nieciągłej działa w oparciu o protokół Profibus DP. Według danych organizacji promującej standard (PTO – Profibus Trade Organization) do roku 2007 zainstalowanych było na całym świecie 410 tys. węzłów systemu Profisafe, a na rok 2008 przewidywano wzrost o 80%. Standard Profisafe może obsługiwać te same funkcje co AS-Interface, jednakże pozwala również sterować i monitorować bardziej skomplikowane urządzenia i całe linie produkcyjne (roboty, napędy) wraz ze specyficznymi dla nich i szczególnie wymagającymi funkcjami bezpieczeństwa.
Podobne zastosowania ma też wspomniany wcześniej standard CIP.
Ekspansja magistralowych sieci bezpieczeństwa zintegrowanych z sieciami sterowania i monitoringu aplikacji przemysłowych postępuje dość ślamazarnie, jednak zwykle nie z winy niedoskonałości protokołów komunikacji czy algorytmów kontroli poprawności transmisji. Na przykład standard Profisafe był dostępny dla sieci standardu Profibus PA praktycznie od momentu jego premiery, jednakże na rynku branżowym panował i wciąż panuje niedostatek odpowiednich dla tego typu systemów urządzeń wykonawczych oraz czujników. Większość z nich nie ma odpowiednich certyfikatów do stosowania w sieciowych systemach bezpieczeństwa. Sytuacja ta powtarza się dość często przy wdrażaniu najnowszych technologii. – Urządzenia sieciowe dostosowane do protokołu Profisafe są opracowywane stosunkowo wolno – przyznaje Charlie Fialkowski, inżynier bezpieczeństwa procesów w firmie Siemens. – O ile wiem, firma Siemens ma w ofercie tylko jeden różnicowy przetwornik ciśnienia, zdolny do współpracy z siecią Profisafe. Dysponujemy również w pełni redundantnym, odpornym na błędy sterownikiem bezpieczeństwa z certyfikatami Profibus/Profisafe. Możemy więc generować komunikaty bezpieczeństwa do sieci, ale na razie nie mają one z czym współpracować – wyjaśnia dalej Charlie Fialkowski.
Konieczny rozwój sprzętowy 
Organizacja promująca standard FOUNDATION Fieldbus już kilka lat temu opracowała protokół dla sieci bezpieczeństwa SIF – Safety Instrumented Functions, jednak dopiero obecnie osiągnięto etap, gdy kilku dostawców sprzętu sieciowego zdecydowało się wspólnie przygotować bazujące na nim niewielkie instalacje demonstracyjne i doświadczalne. Sukces rynkowy tego protokołu, podobnie jak wspomnianego wcześniej Profisafe na bazie Profibus DP, zależeć więc będzie głównie od producentów i dostawców urządzeń systemowych. Na korzyść rozwoju obu tych standardów przemawia dość znaczne ich podobieństwo, dzięki czemu możliwe jest łatwe wzajemne integrowanie i rozbudowywanie.
Należy również zwrócić uwagę, że producenci urządzeń, którzy już wcześniej zetknęli się ze szczególnymi wymogami związanymi z produkcją elementów do systemów bezpieczeństwa, nie powinni mieć większych problemów z dołączeniem do nich nowej funkcjonalności w postaci interfejsów komunikacji sieciowej. Jednak w przypadku firm, które nigdy nie miały z nimi do czynienia, konieczność spełnienia rygorystycznych wymagań może być nie lada wyzwaniem.
– Jednym z obszarów naszych działań jest pomoc techniczna i merytoryczna dla takich właśnie firm, mająca na celu ułatwienie im przebrnięcia przez ten proces adaptacji do nowych zasadbudowy elementów sieciowych. Już po stosunkowo krótkim czasie zauważyliśmy wyraźny ich podział na dwie grupy – stwierdza dr Michael Houtermans z firmy Risknowlogy.
– Pierwsza z nich to producenci urządzeń do sieci magistralowych, posiadający już w swej ofercie certyfikowane produkty do systemów bezpieczeństwa. Druga grupa to ci, którzy od dawna już działają w branży systemów magistralowych, jednak nigdy nie produkowali elementów z funkcjonalnościami bezpieczeństwa. W przypadku tej ostatniej praca jest znacznie trudniejsza ze względu na niemalże całkowity brak świadomości i fachowej wiedzy związanej z wymogami stawianymi współczesnym systemom bezpieczeństwa, zwłaszcza w przemyśle. – podkreśla dalej pan Houtermans. – Praca z tymi grupami osób wymaga stopniowego wprowadzania kolejnych pojęć i zagadnień. Liczyć się trzeba z okresem minimum półrocznym dla opanowania podstawowej wiedzy i praktycznych umiejętności – dodaje.
Systemy bezpieczeństwa bazujące na wspomnianych już protokołach Profibus DP oraz FOUNDATION Fieldbus nie wymagają stosowania specjalnych mediów transmisyjnych. W rzeczywistości to samo medium obsługuje zarówno komunikaty z funkcjonalności bezpieczeństwa, jak i klasyczne sygnały sterujące i monitoringu.
Gotowość do realizacji sieciowych systemów bezpieczeństwa zgłasza również jeden z przedstawicieli firmy MTL.
– Od strony połączeń fizycznych system bezpieczeństwa nie stawia żadnych specjalnych wymogów. Zasilacze i moduły łączeniowe pozostają te same. Nowe są urządzenia systemowe, a elementy logiczne, przełączeniowe itp. zyskują nowe funkcjonalności. Wdrożenie takich rozwiązań w naszych systemach automatyki nie wymaga wiele pracy – wyjaśnia Ian Verhappen, dyrektor działu sieci przemysłowych.
Z technicznego punktu widzenia nie ma żadnych przeciwwskazań, by w jednym segmencie sieci magistralowej wymieniały informacje zarówno urządzenia klasycznej automatyki przemysłowej, jak i moduły bezpieczeństwa. Co więcej – te ostatnie mogą oprócz informacji związanych funkcjami bezpieczeństwa wysyłać klasyczne komunikaty z informacją o wybranych przez użytkownika parametrach, wielkościach mierzonych itp., dzięki czemu uzyskuje się wysoki stopień integracji danych i spójności systemu sterująco-monitorującego.
Awarie magistrali, diagnostyka systemu
Największym technicznym problemem w sieciach magistralowych, a realizujących funkcje bezpieczeństwa w szczególności, jest kwestia łączenia wielu urządzeń na jednym przewodzie magistralnym. Uszkodzenie bowiem takiego przewodu zwykle oznacza wyłączenie całego, związanego z nim segmentu sieci. Problem ten pojawia się bardzo często w praktyce, zwłaszcza w obsłudze sieciowej całych, skomplikowanych procesów przetwórczych i produkcyjnych. Na szczęście opracowano już topologie sieciowe ze zwiększoną odpornością na awarie i uszkodzenia medium, dzięki którym znacznie zmniejsza się ryzyko wystąpienia wspomnianych niedogodności. – W branży przemysłowej mówiło się o możliwościach integracji sieciowej funkcji bezpieczeństwa już bez mała od 10 lat – stwierdza Charlie Fialkowski. – Jednak niezwykle rzadko dochodziło do ostatecznej realizacjii wdrożenia rynkowego tego typu aplikacji. Jedną z przyczyn był brak rozwiązań w zakresie tolerancji uszkodzeń medium transmisyjnego; pozostawiano tradycyjną topologię sieci, wraz z wszystkimi jej zaletami, ale i wadami, niedopuszczalnymi z punktu widzenia realizacji funkcji bezpieczeństwa. Dopiero kilka lat temu dopracowano zasady działania sieci w topologii bus ring, pozwalającej na uzyskanie pewnego poziomu tolerancji awarii połączeń sieciowych i ich rozwiązywania już na poziomie warstwy fizycznej protokołu komunikacji – wyjaśnia dalej Fialkowski.
Problematykę awaryjności połączeń magistralowych zna również z autopsji Mike O’Neill z firmy MooreHawke, często otrzymujący takie zgłoszenia od użytkowników. – Proponujemy użytkownikom w warstwie fizycznej dwie magistrale, z których w momencie awarii jedna przejmuje funkcje drugiej. W czasie działania systemu obie magistrale są aktywne i alarmują system o swoim stanie. Zmniejsza się ryzyko przestoju systemu – wyjaśnia Mike O’Neill. – Zastosowanie tej topologii nie wymaga korzystania z żadnych specjalnych wzmacniaczy czy specjalizowanego oprogramowania w urządzeniach systemowych – wszystko jest takie samo jak w klasycznych sieciach automatyki – dodaje.
Jedną z największych bezpośrednich korzyści dla użytkownika decydującego się na integrację sieciową funkcji bezpieczeństwa jest usprawnienie monitoringu i diagnostyki modułów bezpieczeństwa. Wspomina o tym jeden z doświadczonych inżynierów firmy Chevron – Vincent Palughi, od lat zaangażowany w rozwój zaawansowanych protokołów komunikacji dla przemysłu. – Patrząc z perspektywy moich osobistych doświadczeń w firmie, możliwość diagnostyki w trybie on-line to znaczne osiągnięcie i usprawnienie dla użytkownika i serwisanta systemu. Dzięki niej możliwa jest integracja urządzeń z systemami zarządzania aktywami w zakładzie, co znacznie przyspiesza i ułatwia organizację serwisu, utrzymania ruchu i sprzyja redukcji przypadkowych awarii, wyłączeń itp. Z obserwacji wynika również, że można pokusić się o wydłużenie okresów między niezbędnymi przeglądami i testami poprawności działania urządzeń systemowych – standardowo powinny być one realizowane raz do roku, jednak ze względu na prowadzoną na bieżąco diagnostykę tak częsta weryfikacja wydaje się niepotrzebna – wyjaśnia Vincent Palughi.
Z kolei Bill Tatum z grupy FOUNDATION Fieldbus sygnalizuje stopniowy rozwój aplikacji standardu SIF w branży przetwórstwa ropy i gazu. – Obecnie, ze względu na obowiązujący w tego typu przedsiębiorstwach podział na strefy zagrożeń, klasyczne systemy sieci przemysłowych stosowane są jedynie w 30% aplikacji. Przy zastosowaniu protokołu SIF możliwy jest wzrost tej liczby do poziomu 70%, a nawet 80%. Podstawowym celem do osiągnięcia w tej branży jest uzyskanie maksymalnego możliwego obszaru diagnostyki urządzeń systemowych, w trybie on-line. Jeżeli do tej idei uda się przekonać użytkowników – sukces systemów ze zintegrowanymi funkcjami bezpieczeństwa będzie niezaprzeczalny – stwierdza na zakończenie Bill Tatum.
Artykuł pod redakcją dr. inż. Andrzeja Ożadowicza, AGH Kraków