37 / 68
FEBBRAIO 2017
FIELDBUS & NETWORKS
37
Il funzionamento sulla rete condivisa tra la
comunicazione di controllo e la comunica-
zione di sicurezza non crea problemi legati
alle prestazioni di realtime della rete di
comunicazione; a questo si aggiunga che
il profilo di sicurezza è completamente
indipendente dal canale di trasmissione
base (‘black channel’), pertanto può essere
impiegato con cavi in rame, fibra ottica, wi-
reless e comunicazioni sul blackplane.
Questo porta con sé il vantaggio che non
è necessario fare un assessment sulle
prestazioni di sicurezza di ciascun canale
di comunicazione della rete Profibus o
Profinet su cui viaggia anche Profisafe.
È possibile verificare quali tipologie di
componenti di reti sia possibile impie-
gare (si veda Figura 2); in particolare, ri-
sultano trasparenti per Profisafe switch,
router, link e canali di comunicazione
wireless. Viene richiesto che tutti i di-
spositivi partecipanti alla rete Profisafe
abbiano un nome unico all’interno della
rete; nel caso in cui si vogliano inter-
connettere due reti diverse Profisafe è
necessario impiegare un router.
La comunicazione di sicurezza con Profi-
safe avviene soltanto tra dispositivi di tipo
F-device, cioè dispositivi di sicurezza, che
si trovano nella rete; gli stessi F-device
possono anche partecipare alla comuni-
cazione di controllo di processo secondo il
protocollo Profibus o Profinet, permettendo
così di ottenere una perfetta e totale inte-
grazione tra la parte di controllo di processo
e la parte di sicurezza.
Come funziona la
soluzione Profisafe
L’obiettivo del profilo Profisafe è permettere
che la comunicazione tra due dispositivi di
sicurezza: trasferisca dati aggiornati e cor-
retti (‘data integrity’); trasferisca i dati al
destinatario corretto (‘authenticity’); trasfe-
risca i dati in tempo (‘timeliness’). Per poter
garantire tutto questo è necessario che gli
eventuali errori di trasmissione dei dati
vengano riconosciuti con meccanismi spe-
cifici integrati nel profilo di comunicazione.
I meccanismi messi in atto da Profisafe
sono i seguenti:
•
monitoring number
: tutti i messaggi
Profisafe sono numerati in modo se-
quenziale, così che sia sempre possibile
eseguire la verifica del fatto che i pac-
chetti abbiano seguito un ordine corretto.
Questa misura permette di riconoscere:
una sequenza non corretta, la perdita di
pacchetti, l’inserimento di pacchetti non
facenti parte della rete Profisafe.
•
Time-out
: tutti i messaggi inviati devono
ricevere una risposta. Esiste sempre la
comunicazione 1:1 tra F-host (controller)
e ciascun F-device (dispositivo) in cui
viene verificato che tutti i partecipanti
alla rete siano presenti. Pertanto F-host
interroga in modo ciclico tutto gli F-
device ed entro un certo time-out deve
ricevere la risposta da parte del F-device
che è stato interrogato. Allo stesso
modo, ciascun F-device si aspetta di ri-
cevere un’interrogazione dal suo F-host
entro un certo tempo. Nel caso in cui il
tempo di ritardo venga superato senza
che giunga alcuna risposta, il sistema
vienemesso in sicurezza. Questomecca-
nismo permette di riconoscere i seguenti
errori: ripetizione di messaggi sulla rete,
perdite di dispositivi della rete o di mes-
saggi sulla rete, ritardi di trasmissione
inaccettabili.
•
Codename
: tutti i dispositivi facenti parte
della rete Profisafe hanno un nome uni-
voco per tutta la rete e la comunicazione
di sicurezza avviene solo tra questi dispo-
sitivi che sono stati configurati all’interno
del F-host come facenti parte della rete.
Questo permette di riconoscere i se-
guenti errori: inserzione di dispositivi che
non facciano parte della rete e che non
siano stati configurati, errori sull’indiriz-
zamento dei messaggi
•
Data Consistency Check
(CRC): è un con-
trollo ciclico dei dati trasmessi e il valore
di controllo ottenuto è aggiunto alla fine
del telegramma trasmesso e permette di
Figura 3 - I diversi percorsi di comunicazione che
À
Figura 4 - I diversi errori di comunicazione
À
) # À
*
& *
) ! +
& *