Safety and Ethernet based Industrial Control Networks

• 
• Tweet
• Pin It
• Condividi per email

La veloce diffusione di Internet ha portato all’adozione del protocollo di comunicazione Ethernet sia nelle case sia nelle aziende. Questa diffusione, unitamente a costi accessibili, larghezza di banda e interoperabilità di dispositivi ha reso Ethernet una rete appetibile anche per l’automazione industriale. La proliferazione di protocolli di comunicazione industriale Ethernet-based ha reso questa tecnologia uno standard de facto sorpassando le altre tecnologie anche se Ethernet, come definito in Ieee 802.3, non gode della proprietà di determinismo. Infatti questo protocollo di comunicazione è strutturato in modo tale che possono avvenire collisioni di messaggi che devono essere così ripetuti a distanza di tempo casuale.

Ethernet è una rete ad accesso casuale: ogni nodo collegato è in ascolto e, in caso di rete libera, può inviare un messaggio dopo aver atteso un tempo chiamato interframe unitamente a un tempo aggiuntivo chiamato di back-off. Per poter gestire la priorità di invio, alcuni tipi di messaggi possono essere inviati con un tempo interframe più breve. Nel caso in cui 2 o più nodi inizino contemporaneamente la trasmissione di un messaggio si genera una collisione che richiede necessariamente il rinvio del messaggio.

Per rendere Ethernet deterministico gli sviluppatori delle diverse soluzioni oggi disponibili hanno lavorato a diversi livelli del modello a strati ISO/OSI. La maggior parte di queste soluzioni hanno raggiunto l’obiettivo del determinismo mantenendo inalterato il livello fisico del protocollo e modificando i livelli superiori (nei casi più invasivi partendo dal livello collegamento dati) in alcuni casi però compromettendo l’interoperabilità dei dispositivi.

Comunicazione sicura
La sicurezza (safety) è un aspetto importate di un impianto e le reti sono sempre più utilizzate per veicolare dati safety-related. L’utilizzo delle reti per le installazioni inerenti la sicurezza funzionale permette una più veloce riconfigurabilità in caso di cambiamenti unitamente a una diagnostica molto dettagliata a tutti i livelli. Queste permettono anche un più semplice scambio di informazioni fra celle produttive interconnesse, algoritmi di controllo più complessi e allo stesso tempo semplici da interpretare e diagnosticare. Un grande vantaggio è dato anche dalla difficile manomettibilità da parte degli operatori. Le reti safety necessitano di requisiti più gravosi in termini di determinismo e latenze di trasmissione, dato che una funzione di sicurezza deve intervenire in un tempo noto e spesso molto breve.

Le reti safety related necessitano di supporti di trasmissione altamente affidabili e anche se nelle reti cablate il BER (bit error rate) è tipicamente piuttosto basso, gli errori di trasmissione non possono essere completamente eliminati. Le cause di errori di trasmissione possono essere individuate in fenomeni transitori o permanenti fra i quali interferenze elettromagnetiche o apparecchi difettosi. Per poter garantire il mantenimento di un certo livello di sicurezza (Safety Integrity Level, secondo EN IEC 62061) anche le comunicazioni devono essere sufficientemente affidabili.

Quando si considera un dispositivo dotato di intelligenza, per esempio un PLC, al fine di poter raggiungere elevati livelli di sicurezza (SIL 3 secondo EN IEC 62061) si utilizza una struttura ridondante mentre nel caso delle reti di comunicazione la ridondanza del canale trasmissivo fisico non è richiesta. Infatti l’approccio più comunemente utilizzato nelle reti di comunicazione per dati safety related è il principio del black-channel. Il principio black channel si basa su diversi meccanismi che vengono utilizzati per riconoscere e gestire gli errori di comunicazione. Le misure adottate nel caso del protocollo analizzato (Safetynet p descritto nello standard IEC_61784-3-18) permettono di riconoscere: corruzione di messaggi, ripetizioni inattese di messaggi, incorretta sequenza nell’invio, perdita di messaggi, eccessivi ritardi nella ricezione, inserimento di messaggi non previsti, mascheramento di messaggi (un messaggio standard imita un messaggio failsafe), indirizzamento errato ed errori di trasmissione causati dagli switch.

Le misure implementate per riconoscere gli errori sopra descritti sono le seguenti:
– Sequence number: a ogni singolo messaggio viene assegnato un numero identificativo consecutivo per poter riconoscere duplicazioni o perdita di dati.
– Time expectation: la ricezione di ogni messaggio deve avvenire entro un tempo massimo in modo da riconoscere eventuali inefficienze nella comunicazione.
– Connection ID: ai singoli messaggi viene assegnato un identificativo univoco in modo da distinguere la sorgente e il pacchetto.
– Data integrity assurance: l’integrità dei dati è garantita da CRC.
– Sistemi di identificazione dell’integrità del tipo di dato: riconoscimento dell’accoppiamento di dati failsafe con dati standard.

Nel caso analizzato, un unico supporto fisico di comunicazione è utilizzato per la trasmissione di dati standard e failsafe. Il canale di comunicazione sicura è certificato SIL 3 secondo IEC 61508. Questo protocollo di comunicazione è declinato secondo due differenti strategie: Real Time Frame Network che utilizza un’infrastruttura di rete switched senza restrizioni e Real time Frame Line che utilizza invece un’infrastruttura di rete con dispositivi switch dotati della funzione cut-through. La velocità della seconda la rende adatta ad applicazioni hard real time tipiche delle applicazioni di motion control.

Real Time Frame Line è caratterizzata da una topologia di rete lineare dove è utilizzata la strategia publish/subscribe. L’origine della comunicazione è un dispositivo chiamato root device che genera un frame condiviso dagli altri elementi della linea. Ogni dispositivo inserisce il proprio messaggio nel pacchetto che viene passato da un nodo al successivo fino all’ultimo nodo della rete. Questo riconsegna il pacchetto al nodo che lo precede e così via fino a che il pacchetto ritorna al root device. In questo transito del pacchetto attraverso la linea i dispositivi leggono le informazioni pubblicate.
RTFL lavora a livello 2 del modello ISO/OSI e i dispositivi vengono riconosciuti attraverso il loro indirizzo MAC.
RTFN invece identifica i dispositivi attraverso il loro indirizzo IP. Dato che le principali differenze fra le due strategie sono nel livello trasporto dati e l’analisi di questo documento è orientata ai livelli alti del protocollo di comunicazione, si considera ora solamente RTFN.

Figura 1: Tecnica di comunicazione publish/subscribe

Il protocollo di comunicazione Safetynet p utilizza 2 differenti canali per il trasferimento dei dati:
– il Cyclic Data Channel (CDC o CDCN per RTFN) veicola dati ciclici come per esempio lo stato degli ingressi di un nodo I/O remoto.
– il Message Channel (MSC o MSCN per RTFN) veicola dati di tipo aciclico, come per esempio dati di tipo diagnostico o impostazione di parametri.

Figura 2: Implementazione del profilo di sicurezza nel protocollo Ethernet based SafetyNETp

Figura 3: Struttura del frame CDC

Figura 4: Costituzione di un Process Data Object standard (sopra) e failsafe (sotto)

Bibliografia
James R. Moyne, Dawn M. Tylbury. “The Emergence of Industrial Control Networks for Manufacturing Control, Diagnostics, and Safety Data”. Proceedings of the IEEE, Vol.95, No. 1, Jan. 2007. Doi: 10.1109/JPROC.2006.887325

G. Cena, M. Cereia, A.Valenzano. “Security Aspects of Safety Networks”. Emerging Technologies & Factory Automation (ETFA), 2011 IEEE 16th Conference on , vol., no., pp.1-4, 5-9 Sept. 2011. Doi: 10.1109/ETFA.2011.6059161

IEC 61784-3-18: Industrial communication networks – Profiles – Part 3-18: Functional safety fieldbuses – Additional specifications for CPF 18

Safety Network International e. V. “SafetyNET p System description”. www.safety-network.de

AA.VV. “Sicurezza Macchine. Le nuove disposizioni legislative e le applicazioni in ambito industriale”. Ed. 2009, Tecniche Nuove. ISBN 978-88-481-2408-9

Pilz
www.pilz.it

• 
• Tweet
• Pin It
• Condividi per email