Je možné bezdrátové sítě WLAN podle IEEE 802.11 použít v časově kritických a bezpečnostních úlohách? Koncepce black channel a redundance komunikačních kanálů s využitím protokolu Parallel Redundancy Protocol (PRP) umožňují na tuto otázku odpovědět kladně.
Is it possible to use WLAN networks based on IEEE 802.11 in time critical and safety applications? Black tunnel concept and redundant communication channels using Parallel Redundancy Protocol (PRP) allow answering this question positively.
Sítě WLAN podle normy IEEE 802.11 (Wi-Fi) se pro svou flexibilitu a snadné použití staly velmi oblíbenými také v průmyslové automatizaci. U mobilních strojů a zařízení je přibližně 70 % odstávek způsobeno ztrátou elektrického kontaktu nebo přerušením kabelu. To je voda na mlýn zastánců bezdrátové komunikace. Dalším argumentem pro bezdrátové sítě je to, že jsou použitelné i v úlohách, které s kabelovým připojením vůbec nebylo možné realizovat. Jestliže však jde o připojení prvků souvisejících s bezpečností – bezpečnostních PLC, relé, snímačů a akčních členů, je použití Wi-Fi problematické. O sítích podle normy IEEE 802.11 se často hovoří jako o sítích, které nelze použít ani pro komunikaci v reálném čase, ani pro bezpečnostní komunikaci. Řízení komunikace není deterministické a rušení může způsobit ztráty paketů nebo dlouhou a nepředvídatelnou dobu latence.
Nevýhody stochastických kanálů mohou být kompenzovány paralelní komunikací v několika redundantních kanálech. Uplatňují se při tom metody, které umožňují komunikaci na různých frekvencích a různými fyzickými cestami. Tak lze vytvořit tzv. black channel – bezdrátový komunikační kanál, který je schopen plnit požadavky soft-real time pro bezpečnostní úlohy. Využívány jsou při tom běžné komunikační prostředky WLAN v kombinaci s protokolem PRP (Parallel Redundancy Protocol) podle IEC 62439-3.
Spolehlivost a výkonové charakteristiky uvedené v tomto článku jsou odvozeny z měření na experimentální úloze s komunikačními uzly SafetyNet p. Při provozních testech autoři využívali funkci echo request (ping) v protokolu ICMP (Internet Control Message Protocol).
1. Bezpečnostní úlohy a princip black channel
Základním požadavkem na bezpečnostní systém, tj. systém určený k omezení rizika (podle [7]), je znalost pravděpodobnosti selhání všech komponent systému. Druhým konstrukčním principem je diagnostické pokrytí, což v podstatě neznamená nic jiného než možnost spolehlivé detekce chyb. U mobilních strojů pracujících v nepřetržitém provozu vede detekce chyby k uvedení stroje do bezpečného stavu (zpravidla jde o okamžité zastavení stroje).
Součástí bezpečnostního systému je i komunikační síť mezi jeho komponentami. Kabelové propojení je považováno za deterministické, což znamená:
- jestliže nenastala závažná porucha, např. přerušení kabelu, komunikace může začít kdykoliv po určité době od odeslání požadavku,
- podíl chybně přenesených nebo ztracených dat je znám a během provozu se nemění,
- jsou známy informace o všech účastnících komunikace připojených na dané médium; počet účastníků se za provozu nemění.
U bezdrátových komunikačních systémů je tomu zcela jinak:
- bezdrátové spojení podléhá vlivům měnícího se prostředí, rušení a odrazům, takže není možné říci, že spojení, které je v určitém okamžiku funkční, zůstane funkční i po uplynutí doby Δt,
- podíl chybně přenesených dat se vzhledem k měnícím se vnějším vlivům během provozu mění,
- na komunikaci mohou mít vliv jiná zařízení pracující ve stejném komunikačním pásmu; dokonce mohou vstupovat do komunikace (náhodně nebo záměrně).
Jediným možným řešením pro bezdrátovou komunikaci v bezpečnostních systémech je využití principu black channel (obr. 1). Bezpečnostní stack cyklicky testuje komunikaci, aby zjistil její dostupnost. V případě, že systém detekuje jakékoliv problémy s komunikací, uvede se do bezpečného stavu (nejčastěji je to zastavení stroje).
Po přidání bezpečnostní vrstvy a bezpečnostních stacků chyby v komunikaci již nejsou kritické z hlediska bezpečnosti, ale mají neblahý vliv na spolehlivost. Bezpečnostní stacky reagují na chyby v komunikaci a na jakékoliv odchylky latence mnohem citlivěji než stacky jiných komunikačních úloh – s výjimkou úloh, kde je požadována komunikace s vlastnostmi hard-real time.
Navzdory zmíněným problémům se sníženou spolehlivostí přináší použití koncepce black channel, zvláště ve spojení s Ethernetem, také podstatné výhody. Například je velmi snadné s použitím běžně dostupných komponent kombinovat různé metody komunikace, a to i kabelovou i bezdrátovou komunikaci (obr. 2).
2. Redundance pro zvýšení spolehlivosti bezdrátové sítě
Již bylo zmíněno, že v bezpečnostních úlohách hraje velkou roli synchronizace. Současně jsou velmi citlivé na chyby v komunikaci, které vedou k uvedení stroje do bezpečného stavu. Proto je nutné hledat způsoby, jak spolehlivost WLAN zvýšit.
Obecná myšlenka zvýšit odolnost ethernetových sítí, kabelových i bezdrátových, proti poruchám prostřednictvím redundantní přenosové cesty je stejně stará jako myšlenka použít Ethernet v průmyslové automatizaci. Standardní Ethernet ovšem používá broadcasting a fyzické smyčky v jeho topologii způsobují chyby v komunikaci, a proto je zde využití redundantní přenosové cesty vyloučeno. Zvolit pro zvýšení spolehlivosti sítě redundantní topologii je však častým požadavkem, a to nejen v průmyslu. Jak tento problém vyřešit?
První metoda, která umožňovala vytvářet redundantní topologii v ethernetových sítích, byl Spanning Tree Protocol (STP). Jeho princip byl publikován již v roce 1990. Metoda se v praxi rozšířila, přestože doba obnovení komunikace, tj. přepnutí na záložní komunikační kanál, byla mnohdy řádově v desítkách sekund. Jiné metody v té době k dispozici nebyly, a tak se pracovalo na zlepšení protokolu a zkrácení doby obnovení komunikace. Novější protokoly, jako např. Fast MRP (Media Redundancy Protocol), tuto dobu zkrátily na méně než 20 ms, ale tím narazily na fyzické limity této metody. Teprve nová skupina protokolů na spojové vrstvě ISO/OSI tyto limity překonala a umožnila realizovat redundantní sítě s nulovou dobou obnovení komunikace a bez ztráty paketů.
3. Parallel Redundancy Protocol (PRP) ve srovnání s tradičními protokoly STP
Hovoří-li se o redundanci komunikačních sítí, je nutné si vysvětlit základní rozdíl mezi protokoly na vrstvě 3 (síťové) a na vrstvě 2 (spojové) modelu ISO/OSI. Jestliže je prioritou co nejkratší doba obnovení komunikace, tj. přesměrování na záložní kanál, budou preferovány protokoly na spojové vrstvě. Na rozdíl od dynamického směrování v síťové vrstvě vytvářejí mechanismy protokolů na spojové vrstvě mezi ethernetovými přepínači dočasnou (virtuální) statickou stromovou strukturu. Všechny cesty, které nejsou součástí aktivní stromové struktury, jsou deaktivovány. Výsledkem je, že mezi dvěma zařízeními je aktivní vždy jen jedna komunikační cesta. Jestliže se síť jakýmkoliv způsobem změní, např. přerušením fyzického spojení, dozvědí se to všichni účastníci ze zprávy TCN BPDU (Topology Change Notification – Bridge Protocol Data Unit). V důsledku této události je vytvořena nová stromová struktura, vyhledány a aktivovány záložní cesty a komunikace je obnovena. Během rekonfigurace však nelze odesílat ani přijímat žádná data a všechny pakety, které byly v okamžiku výpadku komunikace na cestě, jsou ztraceny.
Doba potřebná na rekonfiguraci sítě je silně závislá na topologii sítě a na protokolu, který je používán komunikačními mosty sítě. Typická doba obnovení pro klasický STP (označovaný též jako CSTP, Classical STP) je 30 s i více. To je pro většinu komunikačních sítí nepřijatelně dlouhá doba, a proto se CSTP v současné době již nepoužívá. Varianta Rapid Spanning Tree Protocol, RSTP, dokáže dobu obnovení zkrátit na několik sekund, popř. i na dobu méně než jedné sekundy.
Významného zlepšení lze dosáhnout zjednodušením topologie sítě, zejména omezením počtu fyzických smyček. Proto je v průmyslu dávána přednost kruhové topologii – tedy s jedinou velkou smyčkou. Použitím protokolu HIPER Ring (Hirschmann Performance Redundancy Ring), popř. novějšího standardizovaného protokolu MRP (Media Redundancy Protocol), jenž vychází z původního protokolu HIPER Ring, lze dokonce i pro rozsáhlejší sítě dosáhnout doby obnovení do 200 ms. Při použití odpovídajícího hardwaru a s využitím protokolu FastMRP je možné dobu obnovení zkrátit až na 20 ms.
Ještě více zkrátit dobu obnovení nelze jinak než tím, že záložní cesta bude aktivní ještě dříve, než je detekována ztráta komunikace nebo požadavek na rekonfiguraci sítě. Znamená to, že každý paket musí být odeslán dvakrát, hlavní i záložní cestou. Přesně to je princip nového protokolu zvaného Parallel Redundancy Protocol, PRP, který byl v roce 2012 standardizován v normě IEC 62439-3.
Z obr. 3 je zřejmé, že PRP používá dvě nezávislé statické komunikační sítě. Výchozí komunikace se duplikuje v zařízení nazvaném RedBox nebo DAN-P (Dual Attached Node for PRP) a je odesílána dvěma porty s identickou adresou zdroje i určení. Na druhé straně se stejné zařízení RedBox postará o to, aby byl přijat jen první dorazivší paket a druhý byl ignorován. Každý paket PRP proto obsahuje tzv. PRP trailer, šestibajtový úsek obsahující identifikační číslo dané sekvence. Velkou výhodou je, že pakety PRP mohou být v síti přenášeny jako běžné ethernetové pakety. Na obr. 3 jsou přenášeny sítěmi WLAN A a WLAN B. Stejně dobře to mohou být dvě sítě kabelové LAN nebo kombinace LAN a WLAN. Zařízení využívající redundantní komunikační infrastrukturu nemusí podporovat ani interpretovat PRP, mohou to být zcela běžné prvky komunikační infrastruktury.
Shrnuto: PRP je standardizovaný protokol, který umožňuje dosáhnout redundance komunikační infrastruktury s nulovou dobou zotavení, tedy s nepřerušitelnou komunikací. A navíc – i v době, kdy komunikace funguje normálně, je díky využívání té nejrychlejší ze všech komunikačních cest mezi zdrojem a cílovým účastníkem vlivem PRP zkrácena doba latence.
4. Charakteristiky WLAN z hlediska využití PRP
Komunikační sítě podle normy IEEE 802.11 (WLAN, Wi-Fi) jsou bezdrátovou variantou ethernetových sítí podle IEEE 802.3 (LAN). V prostředí WLAN lze tedy bez omezení používat všechny protokoly vyšších vrstev LAN, např. TCP/IP. Ačkoliv nejnovější verze WLAN používají velmi vyspělé algoritmy kódování, obecně sítě WLAN nesplňují požadavky průmyslových úloh na chování v reálném čase, zejména s ohledem na garantovanou maximální dobu latence.
Na obr. 4 je znázorněno, že v komunikačních kanálech WLAN se snadno mohou ztratit pakety nebo se může nepředvídatelně prodloužit latence. Je to důsledek rádiových interferencí a nedeterministického řízení přístupu k médiu (MAC – Media Access Control). Proto jsou sítě WLAN podle IEEE 802.11 obecně považovány za nezpůsobilé pro časově náročné bezpečnostní úlohy využívající protokoly jako SafetyNET p, OpenSafety, CIP Safety nebo ProfiSafe.
Nové varianty WLAN v kombinaci s PRP však přinášejí řešení, jak se se ztrátou dat a rozptylem latence vypořádat. Základní myšlenou je využít diverzitu frekvencí a algoritmy kódování podle normy IEEE 802.11n, která obsahuje mechanismy, jež omezují vliv rádiových interferencí a maximalizují propustnost komunikačního kanálu. Je však ještě nutné doplnit ji o mechanismy redundance na úrovni paketů se zaměřením na odolnost proti poruchám komunikačního kanálu.
Pro vytvoření paralelních redundantních kanálů je využívána diverzita frekvencí. Na obr. 5 je patrné, že je několik možností, jak realizovat dva nezávislé kanály WLAN: první možnost je použít dva nepřekrývající se kanály v tomtéž frekvenčním pásmu, druhá možnost je použít dokonce dvě různá frekvenční pásma. V testech popsaných v následujících kapitolách byly použity obě možnosti.
5. Výsledky laboratorních zkoušek
Bezpečnostní protokoly vyvinuté pro kabelové přenosy dat jsou velmi citlivé na změny latence (jitter) a na ztrátu paketů a při pochybnostech o spolehlivosti přenosu se celý stroj uvede do bezpečného stavu – je odstaven.
Pro ověření možnosti využití potenciálu PRP u bezdrátových přenosů dat byla nejprve v laboratorních podmínkách testována komunikace mezi dvěma bezpečnostními procesory [3]. Topologie sítě (obr. 6) umožňovala sledovat přechody do bezpečného stavu vlivem selhání komunikace v obou rádiových kanálech samostatně a v obou současně v kombinaci s protokolem PRP.
Výsledky testu jsou shrnuty v tab. 1. Počet přechodů do bezpečného stavu vlivem poruch komunikace se při využití protokolu PRP významně zmenšil. V závislosti na době cyklu bezpečnostních procesorů v PLC bylo za dobu jednoho týdne detekováno jen několik přechodů do bezpečného stavu, popř. vůbec žádný, zatímco při použití jen jednoho kanálu bylo těchto událostí až 100 za den.
Analýza odpovědí na výzvu heartbeat ukazuje podobnou situaci (tab. 2): při použití jen jednoho bezdrátového kanálu je rozptyl latence (jitter) více než 100 %, zatímco při uplatnění protokolu PRP klesá na 7 %. Pro srovnání byly tyto parametry změřeny i při propojení ethernetovým kabelem. Je tedy zřejmé, že bezdrátový přenos s protokolem PRP je svou spolehlivostí plně srovnatelný s kabelovým přenosem.
6. Zkoušky v provozu
Pro potvrzení výsledků laboratorních zkoušek v průmyslových podmínkách byly realizovány zkoušky u jednoho z předních německých dodavatelů mobilních strojů. Vzdálenost mezi rádiovým vysílačem a přijímačem byla přibližně 80 m. V místě pokrytí se vyskytovalo v podstatě vše, co může způsobovat potíže: byla tam v provozu podniková bezdrátová síť na frekvenci 2,4 GHz, pohybovali se tam zaměstnanci s mobilními telefony a sluchátky s připojením prostřednictvím Bluetooth a vyskytovala se tam zařízení pro dálkové ovládání s využitím Bluetooth pracující s maximem povoleného vyzařovacího výkonu. Navíc se v dráze šíření rádiového signálu pohybovala ramena jeřábů. V prostředí vznikaly četné odrazy a signál se šířil mnoha nepřímými cestami.
Při zkouškách, které trvaly celkem týden, byla použita dvě frekvenční pásma, 2,4 GHz a 5 GHz (WLAN podle IEEE 802.11n). Cílem bylo omezit vliv rušení a odrazů.
Jako kritérium kvality komunikace byl tentokrát zvolen cyklicky odesílaný požadavek echo request protokolu ICMP (Internet Control Message Protocol). Doba odezvy na požadavek echo request byla měřena v každém rádiovém kanálu zvlášť a potom v obou dohromady s využitím protokolu PRP. Výsledky jsou shrnuty v tab. 3. Jsou zde shrnuty výsledky zkoušek komunikace v separátním kanálu na frekvenci 2,4 GHz, v separátním kanálu na frekvenci 5 GHz a v obou kanálech s využitím protokolu PRP.
Ačkoliv podmínky byly velmi nepříznivé, rádiová komunikace v obou kanálech byla překvapivě stabilní. V noci byl počet ztracených paketů velmi malý (jedna odpověď na echo request jsou dva pakety) a latence byla mezi 1 a 8 ms. V průběhu dne ovšem počet ztracených paketů v obou separátních kanálech výrazně vzrostl a latence se prodloužila na více než 50 ms. Kdyby zde byly použity stejné bezpečnostní procesory jako při laboratorních zkouškách, bylo by mobilní zařízení pro výpadky komunikace v podstatě neustále odstaveno.
Ve stejné době však při použití dvou kanálů a protokolu PRP nebyl ztracen ani jeden paket. Ještě důležitější bylo, že doba odezvy na požadavek echo request byla velmi stabilní: průměrně do 2 ms a maximálně do 10 ms.
Na základě těchto výsledků lze konstatovat, že bezdrátovou komunikaci s redundancí a protokolem PRP je možné použít pro časově kritické úlohy dokonce i v nepříznivém prostředí se silným rušením. Tato skutečnost otevírá sítím WLAN nové možnosti použití v průmyslových podmínkách, např. i v oblasti bezpečnostních úloh.
7. Možnosti použití
Zvýšení spolehlivosti bezdrátových komunikačních sítí redundancí s využitím protokolu PRP umožňuje tyto sítě s výhodou využít např. pro řízení jeřábů. Na obr. 7 je příklad využití redundantní WLAN u pojízdného hydraulického teleskopického jeřábu. Zde jsou kombinovány přenosy bezpečnostně kritických i obyčejných signálů, včetně přenosu záznamu z IP kamery.
Bezdrátová komunikace je užitečná pro přenos dat a signálů v rámci jednoho stroje, ale její přednosti ještě více vyniknou tam, kde je třeba synchronizovat práci několika strojů. Zde lze využít skutečnost, že síť WLAN je flexibilní a lze do ní podle potřeby připojovat další účastníky. Tak je možné vytvořit jednu společnou komunikační síť např. v případě, že na pracovišti pracuje několik jeřábů, jejichž pracovní prostory se mohou překrývat.
8. Závěr
Redundance u ethernetových sítí s nulovou dobou potřebnou pro obnovení komunikace je již skutečností. K dispozici jsou protokoly, jako např. PRP, standardizované mezinárodními normami. Jejich vlastnosti jsou neocenitelné pro časově kritické úlohy. Je možné je použít i pro sítě WLAN, které jsou potom vhodné dokonce i pro bezpečnostní řídicí systémy. Zkoušky v laboratoři i v provozu prokázaly výborné vlastnosti sítí WLAN podle IEEE 802.11n v kombinaci s reduncí a protokolem PRP je možné použít pro časově kritické úlohy dokonce i v nepříznivém prostředí se silným rušením. Tato skutečnost otevírá sítím WLAN nové možnosti použití v průmyslových podmínkách, např. i v oblasti bezpečnostních úloh.
7. Možnosti použití
Zvýšení spolehlivosti bezdrátových komunikačních sítí redundancí s využitím protokolu PRP umožňuje tyto sítě s výhodou využít např. pro řízení jeřábů. Na obr. 7 je příklad využití redundantní WLAN u pojízdného hydraulického teleskopického jeřábu. Zde jsou kombinovány přenosy bezpečnostně kritických i obyčejných signálů, včetně přenosu záznamu z IP kamery.
Bezdrátová komunikace je užitečná pro přenos dat a signálů v rámci jednoho stroje, ale její přednosti ještě více vyniknou tam, kde je třeba synchronizovat práci několika strojů. Zde lze využít skutečnost, že síť WLAN je flexibilní a lze do ní podle potřeby připojovat další účastníky. Tak je možné vytvořit jednu společnou komunikační síť např. v případě, že na pracovišti pracuje několik jeřábů, jejichž pracovní prostory se mohou překrývat.
8. Závěr
Redundance u ethernetových sítí s nulovou dobou potřebnou pro obnovení komunikace je již skutečností. K dispozici jsou protokoly, jako např. PRP, standardizované mezinárodními normami. Jejich vlastnosti jsou neocenitelné pro časově kritické úlohy. Je možné je použít i pro sítě WLAN, které jsou potom vhodné dokonce i pro bezpečnostní řídicí systémy. Zkoušky v laboratoři i v provozu prokázaly výborné vlastnosti sítí WLAN podle IEEE 802.11n v kombinaci s redundantní komunikací s využitím protokolu PRP. Bylo ukázáno, že i běžné komunikační prostředky WLAN lze při uplatnění protokolu PRP použít pro bezpečnostní úlohy s dobou cyklu do 30 ms.
Další potenciál zlepšení vlastností sítí WLAN leží v uplatnění dodatečných služeb QoS v infrastruktuře sítě.
Literatura:
[1] Hirschmann Automation and Control: Media Redundancy Concept. White Paper, Belden, 2011.
[2] IEC 62439-3, Ed. 2.0: Industrial communication networks – High availability automation networks – Part 3: Parallel Redundancy Protocol (PRP) and High-availability Seamless Redundancy (HSR). Standard IEC, 2012.
[3] RENTSCHLEGER, M. – LAUKEMANN, P.: Towards a Reliable Parallel Redundant WLAN Black Channel. In: 9th IEEE International Workshop WFCS, Lemgo/Detmold, Germany, 2012.
[4] KIRRMANN, H.: Parallel Redundancy Protocol an IEC standard for seamless redundancy method applicable to hard-real time Industrial Ethernet. Dokument pracovní skupiny IEC SC65C WG15, 2011.
[5] KIRRMANN, H.: HSR – High Availability Seamless Redundancy, Fault-tolerance in Ethernet networks, IEC 62439-3. Dokument pracovní skupiny IEC SC65C WG15, 2012.
[6] IEEE 802.11: IEEE Standard for Information Technology – Telecommunications and Information Exchange Between Systems – Local and Metropolitan Area Networks – Specific Requirements – Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specifications. Standard IEEE, 2011.
[7] IEC 61508, Ed. 2: Functional Safety od Electrical/Electronic/Programmable Electronic Safety-related Systems. Standard IEC, 2010.
(Podle přednášky na první mezinárodní konferenci Mobile Machine Control, červen 2013, Norimberk. Překlad se svolením pořadatele konference, společnosti CAN in Automation, GmbH. Časopis Automa byl mediálním partnerem konference.)
Ralf Kaptur, Jürgen Bäsel,
Hirschmann Automation and Control GmbH
Obr. 1. Princip koncepce black channel
Obr. 2. Při uplatnění principu black channel je snadné kombinovat kabelové a bezdrátové propojení
Obr. 3. Redundance sítě realizovaná pomocí protokolu PRP
Obr. 4. V sítích WLAN jsou vlivem ztráty signálu nebo interference data opakovaně vysílána, čímž se prodlužuje latence a zvětšuje se její rozptyl (jitter)
Obr. 5. Možnost využití dvou kanálů pro redundantní přenos dat v sítích WLAN [3]
Obr. 6. Topologie laboratorní úlohy testování bezpečnostní rádiové komunikace a PRP
Obr. 7. Pohled na místo, kde byly prováděny provozní testy komunikace
Obr. 8. Využití WLAN u hydraulického autojeřábu
Tab. 1. Výsledky testů: počet přechodů do bezpečného stavu vlivem chyb komunikace pro každý kanál zvlášť a s uplatněním protokolu PRP (doba testu: jeden týden)
Tab. 2. Doba odezvy (RTT) na výzvu SHB (doba cyklu: 30 ms, trvání testu: 20 h)
Tab. 3. Výsledky měření v provozních podmínkách