59 / 84
FEBBRAIO 2015
FIELDBUS & NETWORKS
59
La flessibilità di Profinet permette di
integrare anche, ove necessario, diversi
standard di comunicazione wireless.
Inoltre, si può realizzare l’integrazione
di rami della rete industriale che utiliz-
zano fieldbus seriali, grazie al concetto
di ‘proxy’: un device che può essere col-
legato da un lato alla dorsale Profinet e
dall’altro al fieldbus seriale (Profibus, FF
H1 ecc.), permettendo così che il con-
trollore della rete Profinet dialoghi con i
device slave del fieldbus (il proxy funge
da master della rete fieldbus). Un’altra
importante caratteristica di Profinet è la
ridondanza scalabile, ovvero la possibi-
lità di utilizzare il grado di ridondanza
desiderato, tale da permettere la comu-
nicazione anche in presenza di guasti
e/o interruzioni del mezzo trasmissivo.
La ridondanza scalabile permette di
impiegare: protocolli che gestiscono
topologie ridondanti di cablaggio, con
crescente capacità di eliminazione del
disturbo del guasto alla comunicazione
realtime (MRP - Media Redundancy
Protocol, Mrrt - Media redundancy
for realtime telegrams, Mrpd - Media
redundancy with preplanned delay);
controller ridondante in stand by; ridon-
danza di controller e I/O device; ridon-
danza dell’interfaccia di connessione
alla rete di ogni device. Infine, il profilo
CiR (Configuration in Run) di Profinet
permette un’agevole sostituzione dei
device o dei loro moduli senza distur-
bare il regolare funzionamento di altri
device sulla stessa rete.
La sicurezza declinata
in Profinet
Veniamo ora alle caratteristiche di Pro-
finet attinenti l’ambito della sicurezza,
intesa prima di tutto come prevenzione
di incidenti e malfunzionamenti perico-
losi (safety). Un altro aspetto della si-
curezza è legato, come sappiamo, alla
prevenzione da attacchi informatici che
possono pregiudicare l’integrità e la
disponibilità del processo e dei macchi-
nari produttivi (security).
Per cominciare, la safety si basa sul
concetto di ‘analisi del rischio’: si in-
dividuano i potenziali rischi e si valuta
sia la probabilità del verificarsi dell’e-
vento dannoso, sia l’entità probabile
del danno che l’evento comporta. Come
risultato si ottiene una tabella in base
alla quale si prendono le decisioni rela-
tive all’accettabilità o meno del rischio
in cui si incorrerebbe (si veda
figura 2
).
Se il rischio supera il limite di accetta-
bilità, si prendono in considerazione le
misure che possono mitigare la ‘rischio-
sità’, sia riducendo l’entità del danno
subito quando il rischio dovesse concre-
tizzarsi, sia riducendo la probabilità di
accadimento dell’evento. Se le misure
sono economicamente sostenibili, ov-
vero se il loro costo è inferiore al pro-
dotto della probabilità di accadimento
dell’evento avverso moltiplicata per il
costo previsto del danno subito, allora
è possibile rientrare nella zona della ta-
bella in cui il rischio è accettabile. Ven-
gono implementate in questi casi delle
funzioni di safety, realizzando altret-
tante catene di safety (sensore, logic
solver, attuatore), che devono rispon-
dere a precisi requisiti di affidabilità
del loro funzionamento. Generalmente,
questa viene espressa riferendosi ai
livelli di safety ‘SIL’ (Safety Integrity
Level) che sono riportati in
figura 3
.
In una catena di safety la comunica-
zione deve avere una probabilità di
guasto non superiore all’1% di quella
di tutta la catena: il protocollo Ethernet,
da solo, non è in grado di garantire que-
sto alto livello di affidabilità. Il profilo
Profisafe permette di utilizzare lo stesso
canale (dorsale Ethernet) impiegato per
la trasmissione dei dati realtime, anche
per la trasmissione dei comandi rela-
tivi ai dispositivi che implementano la
safety dell’impianto (sensori, attuatori,
processori logici), come previsto dalle
norme IEC 61508. Questo è reso pos-
sibile grazie a meccanismi addizionali
di controllo, che riducono la probabilità
di guasto del canale di comunicazione
al di sotto dell’1% richiesto. Si evita
così la necessità di avere sensori, at-
tuatori, processori logici e cablaggio
che implementano la catena di safety
completamente separati dalla rete di
comunicazione standard, con evidenti
risparmi in termini di costi per il ca-
blaggio e per apparecchiature extra.
Altro vantaggio: l’ambiente di sviluppo
software è lo stesso sia per le logiche
di funzionamento dell’impianto, sia per
le logiche specifiche della safety. Inol-
tre, l’integrazione nella rete di controllo
dell’impianto permette di registrare
quando i dispositivi e le logiche di sa-
fety intervengono nel corso delle opera-
zioni quotidiane, il che può permettere
un ulteriore risparmio nei test periodici
della safety, che potrebbero, in tutto o
in parte, diventare non necessari, qua-
lora risultasse dai log che i dispositivi
sono già entrati in azione. Infine, l’uti-
lizzo dei controllori di processo anche
per le logiche safety permette un in-
tervento più graduale, in alcuni casi,
permettendo per esempio di adottare
una riduzione di velocità in luogo di un
arresto, in determinate situazioni.
In definitiva, Profisafe è una tecnologia
supplementare di Profinet che permette
di ridurre la probabilità residua di errore
nella trasmissione dei dati tra control-
lore fail-safe e dispositivi (sensori ed
attuatori) fail-safe. La trasmissione uti-
lizza il mezzo trasmissivo, per il quale
non sono imposti requisiti addizionali
da Profisafe (si dice che viene utilizzato
come un ‘black channel’): la riduzione
della probabilità residua di errore nella
trasmissione è realizzata grazie a uno
strato software addizionale (indicato
come ‘Safety layer’ (si veda
figura 4
).
In particolare, per ridurre gli errori di
trasmissione si utilizzano:
•
la numerazione consecutiva dei mes-
saggi, che permette di evitare o rilevare
Figura 2 - Analisi del rischio
Figura 3 - Probability of failure - SIL (Safety Integrity Level)