Sieci bezpieczeństwa – podstawy funkcjonowania
Sieci bezpieczeństwa od jakiegoś już czasu funkcjonują w przemyśle, łącząc programowalne kontrolery bezpieczeństwa (programowalne przekaźniki bezpieczeństwa i sterowniki PLC z funkcjami bezpieczeństwa) z urządzeniami bezpieczeństwa funkcjonującymi w sieci. Aby jednak dopuścić rozwiązania sieciowe do zastosowania, powstało wiele badań. Artykuł omawia problematykę i warunki funkcjonowania sieci bezpieczeństwa w zastosowaniach przemysłowych.
W szeroko rozumianym przemyśle istnieje pewien zakres maszyn i urządzeń, których wymagania dotyczące reakcji na zdarzenia, a w szczególności czasu determinacji sterowania znacznie wykraczają poza wymagania standardowego sterowania, gdzie czas reakcji nie ma wpływu, lub ma niewielki wpływ na poziom zapewnienia bezpieczeństwa. Możliwość zastosowania przemysłowych sieci bezpieczeństwa nie może zatem być obarczone ograniczeniami wynikającymi ze specyfiki szeregowej transmisji danych. Należało dostosować warunki pracy sieci przemysłowych tak, aby nadawały się do zastosowań w rozwiązaniach tzw. sieci bezpieczeństwa i jednocześnie tak, aby zmiany te nie powodowały braku kompatybilności istniejącej infrastruktury sieciowej.
Np. w prasach, które są przeznaczone do bezpośredniej współpracy z człowiekiem, podstawowym, technicznym środkiem bezpieczeństwa są kurtyny świetlne. Jeśli kurtyna świetlna zostanie przez człowieka przerwana, poruszający się w tym momencie suwak prasy musi zatrzymać się w czasie wystarczającym do zapewnienia ochrony człowieka. Taka ochrona musi być zapewniona w stosunkowo krótkim czasie odpowiedzi, wynoszącym np. 10 ms. Dlatego, aby zapewnić odpowiedni poziom bezpieczeństwa, należy mieć na uwadze, że prędkość ta musi uwzględniać nie tylko ograniczenia samej maszyny, ale także szybkość, z jaką człowiek może ingerować w strefę niebezpieczną. Zatem pole ochronne zapewniane przez kurtyny bezpieczeństwa, skanery bezpieczeństwa i inne optoelektroniczne urządzenia związane z bezpieczeństwem musi być zaprojektowane z uwzględnieniem dynamiki maszyny i człowieka, z dodatkowymi marginesami bezpieczeństwa.
Norma PN-EN ISO 13855 podaje wytyczne dla takich pól ochronnych, a czas reakcji optoelektronicznego urządzenia ochronnego określa odległość, w jakiej urządzenie ochronne jest zainstalowane od elementu zagrażającego. W przypadku prasy, gdzie dostęp do strefy niebezpiecznej jest ciągły, a czas reakcji decyduje o poziomie zapewnienia bezpieczeństwa, taki tryb działania dla programowalnego kontrolera bezpieczeństwa musi być zgodny z rodzajem pracy na częste przywołanie wg PN-EN 61508-1.
Zapewnienie pracy systemu bezpieczeństwa na częste przywołanie jest wymagane, jeżeli czas reakcji musi wynosić kilkadziesiąt ms. W przypadku zastosowania sieci przemysłowych (w których przesyłane są ogromne ilości danych) do połączenia elementów bezpieczeństwa w sieć, powstało sporo wątpliwości, które należało przedyskutować, aby dopuścić rozwiązania sieciowe do zapewnienia funkcji bezpieczeństwa. W przypadku złożonych maszyn, ważna bowiem jest jednoczesna transmisja dużej ilości danych wraz z parametrami dotyczącymi przetwarzania informacji bezpieczeństwa. Zatem w znany już i sprawdzony protokół transmisji danych sieci typu fieldbus należało wprowadzić system transmisji pakietów odpowiedzialnych za informację dotyczącą stanu pracy urządzeń bezpieczeństwa. Należało to wykonać tak, aby zapewnić transmisję tych pakietów periodycznie, w minimalnych odstępach czasu, nie zakłócając pracy całej sieci przemysłowej i jednocześnie zastosować techniki ochrony danych, wpływające na niezawodność transmisji.
Zalety takiej stałej transmisji pakietów odpowiedzialnych za bezpieczeństwo są ogromne. Przy transmisji średnich i dużych ilości danych, możliwe jest dokonywanie korekty parametrów związanych z bezpieczeństwem w czasie rzeczywistym. Wyobraźmy sobie ramię robota, do którego dostęp jest chroniony kurtyną świetlną lub skanerem bezpieczeństwa. Ramię robota może znaleźć się bliżej lub dalej od miejsca zainstalowania kurtyny. Wymiana informacji pomiędzy robotem a kontrolerem bezpieczeństwa może zapewnić funkcjonalność dynamicznej rekonfiguracji kontroli zatrzymania w czasie rzeczywistym. Tzn. można wykonać kilka stref bezpieczeństwa, w których reakcja systemu bezpieczeństwa będzie funkcją wykrycia części ciała człowieka i układu ruchów robota, w tym jego prędkości. Taka funkcjonalność nie jest możliwa w konwencjonalnym systemie bezpieczeństwa, opartym o tradycyjne przekaźniki bezpieczeństwa. Stąd tak ważne stało się zapewnienie pracy w systemie sieciowym, aby nie blokować rozwoju dziedziny bezpieczeństwa w systemach sterowania.
Bezpieczne sieci przemysłowe były zatem koniecznością, aby uzupełnić lukę w programowalnych systemach sterowania, związanych z bezpieczeństwem. Przemysłowe sieci bezpieczeństwa miałyby zapewnić większą elastyczność zastosowania, niespotykaną w tradycyjnych połączeniach opartych o standardowe sygnały elektryczne. Aby jednak było możliwe zastosowanie znanych już systemów sieci przemysłowej do zastosowań związanych z bezpieczeństwem, musiało powstać kilka fundamentalnych wymagań dotyczących warunków zastosowania ich w aplikacjach bezpieczeństwa. Ze względu na dużą ilość danych, które należy przesłać, system magistrali musi mieć bardzo wysoką prędkość transmisji. Poniższa tabela pokazuje przykładowe wymagania.
tryb pracy systemu bezpieczeństwa | Czas reakcji | Typowa ilość danych | Przykład |
---|---|---|---|
Na rzadkie przywołanie | ≤150 ms | ~1 bajt | Brak zapewnienia bezpieczeństwa |
Na rzadkie przywołanie | Tak długo, jak to jest potrzebne | Kilka megabajtów | Aktualizacja oprogramowania |
Na częste przywołanie | ≤150 ms | ~1 bajt | Ochrona dostępu za pomocą skanera laserowego |
Na częste przywołanie | ≤10-100 ms | ~1 bajt | Ochrona przed dostępem palca przez kurtynę świetlną |
Na częste przywołanie | Czas tolerowany ≤ 100 ms | Kilka kilobajtów | Przełączanie obszarów ochronnych zapewnianych przez skaner laserowy |
System magistralowy zawsze składa się z nadajnika, odbiornika i medium transmisyjnego. Poniższy, uproszczony rysunek pokazuje schemat obwodu prostego systemu magistrali. Element źródłowy, którym jest układ scalony przetwarzający dane w postać szeregową, specyficzną dla protokołu, wysyła wiadomość za pośrednictwem interfejsu do odbiorcy za pomocą (w najprostszym wykonaniu) przewodu dwużyłowego. Układ logiczny odbiornika, pracujący w takim samym protokole, co nadajnik, przekształca przychodzące dane w użyteczną informację od elementu źródłowego.
W aplikacjach bezpieczeństwa panuje zasada stosowania rozwiązań sprawdzonych w użyciu. Dobrze sprawdzone cyfrowe wejścia i wyjścia bezpieczeństwa (np. w sterownikach bezpieczeństwa) nie mogą być zastąpione systemem magistrali bez dodatkowej technologii wykrywania błędów i awarii. Brak takiej technologii może być przyczyną, dla której zastosowanie popularnych sieci przemysłowych w rozwiązaniach związanych z bezpieczeństwem nie będzie możliwe ze względu na brak osiągnięcia pewnej miary redukcji ryzyka. Poniżej znajduje się kilka uwag dotyczących magistralowych systemów szeregowych, z którymi należało się uporać, aby można było zdefiniować warunki funkcjonowania sieci przemysłowych w rozwiązaniach bezpieczeństwa.
- Interfejs między kontrolerem protokołu magistrali i jednostką centralną CPU może nie zapewniać dostatecznego zabezpieczenia przed zwarciem, przerwaniem itp.
- W konwencjonalnym sterowaniu opartym o dyskretne wejścia i wyjścia czasy reakcji są bardzo szybkie, a w systemach magistrali szeregowej występują opóźnienia związane z przetwarzaniem danych.
- Wszystkie elementy systemu sterowania związane z bezpieczeństwem, w konwencjonalnym okablowaniu są połączone za pomocą przewodów elektrycznych i są uczestnikami obwodu bezpieczeństwa wynikającego z projektu. Systemy magistrali są w stanie zapewnić większą elastyczność wewnątrz struktury sieciowej, bez konieczności zmian w połączeniach elektrycznych, lecz pojawia się czynnik zwiększonego potencjału błędów wynikających z uwzględnienia zależności protokołu i sposobu przetwarzania danych.
- Magistrala, ze względu na jej charakterystykę, jest nośnikiem pamięci dla informacji. Podczas nieprawidłowej transmisji, system magistrali może wielokrotnie wysyłać dane do odbiornika. Może to powodować opóźnienia w komunikacji krytycznych pod względem bezpieczeństwa informacji. Podczas nieprawidłowej transmisji dane mogłyby utracić swoją ważność.
- Konwencjonalny układ sterowania jest zwykle okablowany od punktu do punktu. Dodatkowe elementy sterowania są zwykle dokładane za pomocą dodatkowych połączeń i przy prawidłowym okablowaniu fizycznym nie występuje interferencja między elementami niezwiązanymi z bezpieczeństwem i elementami bezpieczeństwa. W systemach magistrali szeregowej obydwie części sterowania – związane i niezwiązane z bezpieczeństwem – pracują na wspólnym protokole i wspólnym medium transmisyjnym i mają bezpośredni wpływ na sygnały istotne dla bezpieczeństwa.
- W konwencjonalnym układzie sterowania, stan pracy urządzeń w stanie spoczynkowym jest unikalny, a elementy sterowania są w dużym stopniu niewrażliwe na zakłócenia. Systemy magistrali szeregowej są bardzo wrażliwe na zaburzenia elektromagnetyczne, co może mieć istotny wpływ na sygnały istotne dla bezpieczeństwa.
Chociaż powyższe rozważania nie stanowią kompletnej listy możliwych problemów dotyczących systemów magistrali szeregowej, możliwe jest kontrolowanie ich za pomocą technologii unikania błędów magistrali. W związku z tym możliwe jest osiągnięcie funkcjonalnego poziomu zapewnienia przemysłowych sieci bezpieczeństwa w połączeniu z elastycznością i wydajnością, jakie oferują.
Poniższa tabela podaje przykłady błędów, jakie mogą pojawić się na niektóre zdarzenia. Lista ta nie jest wyczerpująca, ale pokazuje, że większość awarii występujących w systemach magistrali szeregowej można sklasyfikować na 6 kategorii. Badania przeprowadzone dla różnych konfiguracji błędów sprzętowych i programowych pokazują, że błędy te zawsze powodują powstanie tego samego rodzaju zakłóceń w systemie magistrali szeregowej.
Błędy |
||||||
Przyczyny błędów | Powtórzenia | utrata | Wtrącenie (wstawienie) wiadomości | Niewłaściwa sekwencja | Przekłamanie (uszkodzenie) danych | opóźnienia |
---|---|---|---|---|---|---|
Systematyczne HW, SW | ||||||
Przesłuch | ||||||
Przerwanie przewodu | ||||||
Wpływ fal radiowych | ||||||
Błąd okablowania | ||||||
Błędy przypadkowe | ||||||
Starzenie się medium | ||||||
Brak kalibracji | ||||||
Niewłaściwy HW | ||||||
Wtrącenie (wstawienie) wiadomości | ||||||
Pola elektromagnetyczne | ||||||
Błędy ludzkie | ||||||
Temperatura | ||||||
Burza magnetyczna | ||||||
Ogień | ||||||
Wstrząsy | ||||||
Przepięcia | ||||||
Przeciążenie sieci | ||||||
Skręcenie | ||||||
Uszkodzenie HW | ||||||
Nieautoryzowane zmiany SW | ||||||
Transmisja nieautoryzowanych danych |
Błędy transmisyjne w systemach magistrali szeregowej mają ogromne znaczenie dla systemów związanych z bezpieczeństwem. Jak pokazuje powyższa tabela, błędy transmisji mogą zakłócać komunikację krytycznych pod względem bezpieczeństwa urządzeń z powodu konieczności powtórzenia błędnych komunikatów, co może doprowadzić do tego, ze komunikat wysłany w niewłaściwym czasie straci ważność.
- Powtórzenie wiadomości – jest najczęściej konsekwencją błędów systematycznych w konfiguracji sieci lub oprogramowaniu. Objawia się ponownym wysłaniem ramki o tej samej zawartości, wysłaniu tej samej ramki dwiema różnymi drogami lub jej powieleniu przez aktywne węzły sieci [1].
- Utrata danych – objawia się tym, że wysłany komunikat nie dociera do adresata. Jest najczęściej wynikiem awarii węzła lub medium transmisyjnego. Może być też konsekwencją przekłamania bitów należących do ramki i odrzucenia jej z tego powodu przez oprogramowanie realizujące niższe warstwy protokołu [1].
- Wtrącenie (wstawienie) wiadomości – polega na odebraniu poprawnie zbudowanej ramki, która nie była nadana przez żadnego z uprawnionych nadawców. Może być efektem sabotażu lub zakłóceń. Prawdopodobieństwo przypadkowego wygenerowania takiej ramki na skutek zakłóceń jest stosunkowo niewielkie [1].
- Niewłaściwa sekwencja (niepoprawna kolejność) danych – występuje wówczas, gdy wiadomości są odbierane w innej kolejności, niż zostały nadane. W sieciach lokalnych prawdopodobieństwo tego błędu jest niewielkie. Błąd może wystąpić w złożonych sieciach, w których istnieje możliwość przesyłania różnych wiadomości różnymi drogami [1].
- Przekłamanie (uszkodzenie) danych – objawia się tym, że sekwencja odebranych bitów różni się od sekwencji bitów nadanych. Każdy protokół powinien być wyposażony w mechanizmy wykrycia tego typu błędów. Przyczyną są najczęściej zdarzenia losowe, takie jak zaburzenia elektromagnetyczne, przesłuchy, uszkodzenia kabli i sprzętu. Na natężenie pojawiania sie tego typu błędów oddziałują: rodzaj i parametry medium komunikacyjnego, środowisko pracy, prędkość transmisji, rodzaj sygnału danych. Metody zmniejszania ryzyka wystąpienia błędu to stosowanie odpowiedniego rodzaju transmisji, obniżanie prędkości transmisji, ekranowanie, stosowanie linii symetrycznych, odpowiednich poziomów napięć, separacja galwaniczna [1].
- Opóźnienia – polegają na odebraniu wiadomości z opóźnieniem przekraczającym dopuszczalne wartości. Źródłami tego błędu są najczęściej niepoprawne buforowanie wiadomości w węzłach pośredniczących, zakłócenia powodujące wielokrotne odrzucanie wiadomości na skutek błędów, przeciążenie w sieciach o dostępie rywalizacyjnym [1].
[1] „Podstawy Bezpieczeństwa Funkcjonalnego” pod red. T Kosmowskiego