Aktuální vydání

celé číslo

07

2021

Automatizace řízení dopravy a infrastruktury, nabíjecí stanice, autonomní vozidla

celé číslo

OpenSafety – stejné bezpečí pro všechny

Bezpečnostní komunikační protokol OpenSafety je první zcela otevřený protokol pro přenos dat spjatých s funkční bezpečností vhodný pro všechny oblasti průmyslové au­tomatizace. V článku jsou uvedeny důvody vzniku, základní vlastnosti a přednosti toho­to univerzálního protokolu.
 

Trend v systémech zajišťujících funkční bezpečnost

 
Asi před deseti lety se na trhu začaly ob­jevovat první systémy zajišťující funkční bez­pečnost strojů a strojních zařízení (bezpeč­nostní systémy), které pro bezpečný přenos zpráv mezi prvky systému používají komu­nikační sběrnice. Jejich přednosti oproti kon­venčním, „zadrátovaným“ bezpečnostním systémům jsou nepřehlédnutelné a přispíva­jí k rozvoji a upevnění pozice těchto nových systémů na trhu. K nesporným přednostem bezpečnostních systémů založených na ko­munikačních sběrnicích, zejména jsou-li in­tegrovány do řídicího systému, patří:
  • odstranění dosud nezbytné komplikované kabeláže a díky tomu eliminace notorické­ho zdroje chyb a závad,
  • těsná součinnost bezpečnostního systému a základního řídicího systému a sdílení údajů a informací mezi nimi,
  • údaje z bezpečnostních senzorů není nutné vést paralelně do základního řídicího sys­tému,
  • snadná tvorba distribuovaných anebo mo­dulárních systémů,
  • centrální uložení hodnot parametrů prv­ků systému, takže odpadá riziko špatného nastavení bezpečnostních prvků při výměnách zařízení,
  • zpravidla nejsou nutné žádné další nástroje pro parametrizaci bezpečnostních prvků,
  • bezpečnostní systém „chytře“ reaguje na ne­bezpečné stavy, je programovatelný a rea-guje adekvátně okolnostem, tedy ne vždy úplným vypnutím všeho,
  • snadná a velmi variabilní integrace bez­pečnostních funkcí do pohonů, které bý­vají z hlediska bezpečnosti tím nejožeha­vějším místem na strojích a strojních za­řízeních.

Úskalí současného stavu

Většina velkých výrobců řídicí a auto­matizační techniky propaguje z uvedených i dalších důvodů „safety“ s použitím sběrni­ce typu průmyslového Ethernetu. Má to ale jeden háček. S jedinou výjimkou lze všech­ny tyto bezpečnostní systémy provozovat – a to buď z technických, nebo čistě marketin­gově-politických důvodů – jen společně s ří­dicím systémem nebo systémem I/O daného výrobce řídicí techniky. Přitom však mnoho výrobců strojů a zařízení je nuceno vybavo­vat své výrobky řídicími systémy podle přání svých odběratelů. Pokud jde jen o řídicí sys­tém, znamená to programátorskou práci na­víc. V případě bezpečnostních systémů však nejen to, ale i novou certifikaci celého způ­sobu řešení bezpečnosti stroje, čímž se nákla­dy výrobce dostávají do úplně jiných výšin. Nemluvě o tom, že výrobci enormně narůs­tá různost používaných komponent a je navíc silně determinován v jejich výběru. Lze říci, že použití pevně „zadrátovaného“ systému je v tomto případě výhodnější, protože certifika­ce je nezávislá na použitém řídicím systému. To je vlastně ale i jediná přednost „zadráto­vaných“ bezpečnostních systémů oproti inte­grovaným systémům sběrnicovým.
 
Výrobci strojů a zařízení ale profitují z in­tegrovaných a rychlých bezpečnostních systé­mů i jinak. Rychle reagující systém umožňu­je reagovat na nebezpečné situace později či používat větší provozní rychlosti. Zjednodu­šeně řečeno, rychlý systém pohyb bezpečně „ubrzdí“ z větší rychlosti za stejnou dobu jako pomalý systém z menší rychlosti. Ne proto, že by brzdil intenzivněji, ale proto, že zarea­guje rychleji, vydá povel k brzdění dříve než ten pomalý, a má tak na samotné brzdění více času. Anebo při téže rychlosti si rychlý sys­tém může dovolit zareagovat na nebezpečný stav později. První případ vede ke konstruk­ci zařízení s větší provozní rychlostí, a tudíž s větším výkonem (produktivitou) i při bez­pečně omezené provozní rychlosti. A druhý případ vede ke konstrukci zařízení s menším obestavěným prostorem (např. světelná zá­vora nemusí být tak daleko od nebezpečné zóny). Oba dva parametry pro finálního vý­robce (OEM) znamenají konkurenční výho­du, zvláště při vědomí toho, že fyzikální zá­vislosti s tím spojené jsou vesměs kvadratické – brzdná dráha roste se čtvercem času, nára­zová energie roste ze čtvercem rychlosti atd.
 
Z jiného úhlu nazírají na situaci koncoví uživatelé. Jestliže koncový uživatel skládá vý­robní linku z různých strojů a částí vybave­ných různými řídicími systémy (což je velmi častý případ), musí také řešit bezpečnost lin­ky jako celku. A není-li možná výměna bez­pečnostně relevantních informací mezi jed­notlivými úseky linky po sběrnici, nutně to opět vede k použití pevně „zadrátovaného“ bezpečnostního systému realizovaného para­lelně k řídicím systémům, které se ale mezi sebou po sběrnicích domluvit už dokážou. Výsledkem je linka, která jako celek nedoká­že těžit z předností moderních systémů s in­tegrovanou bezpečností, ačkoliv jsou v jed­notlivých částech linky použity, a jde tudíž vlastně technicky o krok zpět. I koncovému uživateli pak navíc roste různost použitých komponent, které musí udržovat v provozu.
 
Různost bezpečnostních protokolů pro jednotlivé sběrnice současně staví do svízel­né situace také výrobce bezpečnostních kom­ponent, zejména senzorů. Jednak trh není tak velký jako u konvenčních komponent a dále náklady na vývoj a zavedení do výroby bez­pečnostních prvků jsou pětkrát až desetkrát větší než u srovnatelných konvečních kompo­nent. To brzdí vývoj bezpečnostních kompo­nent a prodražuje systém jako celek. V minu­losti byli výrobci schopni mnohdy i se stejnou hardwarovou základnou pouhými úpravami firmwaru ve svých výrobcích relativně efek­tivně pokrýt celý rozsah protokolů průmys­lového Ethernetu, avšak v případě bezpeč­nostních prvků to tak snadné není, právě vli­vem složitých procesů spojených s certifikací.
 

Protokol OpenSafety

 
Uvedené problémy lze vhodně vyřešit při použití jednotného komunikačního standar­du pro systémy zajišťující funkční bezpeč­nost strojů a strojních zařízení. Organizace Ethernet Powerlink Standardization Group (EPSG) vytvořila a nyní nabízí ke všeobecné­mu použití bezpečnostní protokol OpenSafe­ty, který je základem prvního zcela otevřené­ho protokolu pro přenos dat spjatých s funkč­ní bezpečností vhodného pro všechny oblasti automatizace. Protokol OpenSafety s doba­mi trvání komunikačních cyklů v řádu mik­rosekund je certifikován organizacemi TÜV Rheinland a TÜV Süd a zaručuje nejkratší doby odezev a nejvyšší úroveň bezpečnosti. Je vhodný k použití v bezpečnostních systé­mech kategorie až SIL 3.
 
Protože protokol OpenSafety je nezávislý na typu sběrnice, lze ho použít se všemi sys­témy průmyslových provozních sběrnic i prů­myslového Ethernetu. Aby organizace EPSG předvedla interoperabilitu bezpečnostních systémů s různými přenosovými protokoly, představila v dubnu 2010 na strojírenském veletrhu v Hannoveru čtyři různé bezpečné komunikační systémy vytvořené s použitím protokolu OpenSafety v kombinaci s proto­koly SERCOS III, Modbus TCP, EtherNet//IP a Ethernet Powerlink, k nimž v listopa­du téhož roku na veletrhu SPS/IPC/Drives v Norimberku přibyl ještě protokol Profinet (obr. 1). Uvedená pětice protokolů má 90% podíl instalací průmyslového Ethernetu a je to vůbec poprvé, kdy je úplný certifikovaný bezpečnostní komunikační systém k dispozici uživate­lům nejen systému Ethernet Powerlink, ale i jiných sys­témů průmyslového Ether­netu. Ačkoliv ostatní orga­nizace uživatelů již delší dobu ohlašují vývoj proto­kolů pro přenos bezpečnost­ních údajů, pouze EPSG nabízí použitelný produkt fungující nad všemi přeno­sovými protokoly – proto­kol OpenSafety.
 

Princip „black channel“

 
Základem interoperabili­ty bezpečnostního protoko­lu OpenSafety s libovolným přenosovým protokolem je bezezbytku uplatněný prin­cip tzv. černého komunikač­ního kanálu (black channel). Pro činnost bezpečnostního protokolu tudíž není důle­žité, jaký přenosový proto­kol je použit k přenosu bez­pečnostních rámců, protože všechny mechanismy spja­té s bezpečností (dvojité po­sílání telegramů, kontrol­ní součty atd.) se nacházejí výhradně v aplikační vrstvě protokolu, a jejich činnost tady není závislá na trans­portní vrstvě nacházející se vespod (obr. 2). Protokol OpenSafety neustále sledu­je veškerý přenášený datový obsah co do jeho celistvos­ti, správného pořadí při pře­nosu a dodržení doby trvání přenosu. Protože veškeré chyby zjištěné při přenosu jsou okamžitě registrovány, lze ve funkci základního komunikačního prostředí použít bez jakýchkoliv omezení jak komu­nikační systémy specifické pro určitá odvět­ví, tak dokonce i jednokanálové přenosové sítě bez jakýchkoliv bezpečnostních prvků. Nicméně použití v sítích s menší šíří přeno­sového pásma, než mají sítě průmyslového Ethernetu, může vést ke snížení dosažitel­né úrovně SIL. Ale i tak je použití protokolu OpenSafety myslitelné nejen ve spojení s pro­tokoly průmyslového Ethernetu, ale např. i v sítích využívajících jako fyzickou vrstvu RS-485 nebo CAN.
 

Vlastnosti protokolu OpenSafety

 
Protokol OpenSafety má tři význačné technické vlastnosti: v mimořádně širokých mezích proměnný formát telegramu určující způsob přenosu dat, integrované služby pro nastavování i automatickou distribuci hodnot parametrů a zejména komunikační strukturu využívající k dosažení optimální produktivity přímou křižnou komunikaci mezi stanicemi (cross traffic). To znamená, že bezpečnostní informace se od jednoho účastníka ke druhé­mu dostává přímo, nehledě na to, jakou roli účastníci hrají v rámci bezpečnostního sys­tému nebo základního běžného řídicího sys­tému. Pro interakci bezpečnostního modulu v pohonu a světelné závory v případě jejího porušení není nutný zásah určitého nadřaze­ného modulu (s funkcí master). Z toho ply­noucí krátké reakční doby jsou stěžejní pro efektivitu řešení celého systému.
 
Všeobecné přednosti systému OpenSafety shrnuje text v rámečku na předchozí stránce.
 

EPSG podporuje uživatele

Organizace EPSG aktivně podporuje po­užití protokolu OpenSafety v kombinaci s li­bovolným přenosovým protokolem a nabízí svou pomoc např. při ověřování shody a cer­tifikaci. Protokol OpenSafety je otevřený po stránce technické i právní a lze ho zdarma stáhnout jako software s otevřeným zdrojo­vým kódem (open source). To platí pro zdro­jový kód zásobníku (stack) jak pro podřízené (slave) komponenty, tak i pro řídicí (master) komponenty. Licence BSD spolu s možnos­tí použít protokol OpenSafety s jakýmkoliv typem komunikační sběrnice zaručují všem uživatelům této metody nejvyšší možnou bez­pečnost jejich investice a umožňují dodava­telům automatizační techniky i provozovate­lům výrobních závodů významně snížit ná­klady na vývoj (obr. 3).
 
Potenciální uživatelé protokolu Open Sa­fety se mohou opřít o jistotu, kterou jim po­skytuje skutečnost, že protokol je používán v praxi již od roku 2008 a počet zařízení, kte­rá s ním pracují, již přesáhl čtyřciferné číslo. A reakce představitelů význačných výrobců komponent z poslední doby, stejně tak jako výroky velkých koncových uživatelů a vý­znamných výrobců strojů a zařízení dávají tu­šit, že protokol OpenSafety je vhodným řeše­ním problémů naznačených v úvodu a nabízí to, co je titulkem článku – bezpečí pro všech­ny: výrobce bezpečnostních komponent, pro­jektanty a integrátory řídicích a bezpečnost­ních systémů a výrobce strojů a strojních za­řízení i jejich koncové uživatele.
Karel Bílek,
Bernecker + Rainer
Industrie-Elektronik Ges. m. b. H.
 
Obr. 1. Systém OpenSafety je jednotný komunikační standard pro systémy zajišťující funkční bezpečnost strojů a strojních zařízení nezávisle na výrobci řídicího systému a použité komu­nikační sběrnici
Obr. 2. Bezpečnostní rámec OpenSafety je přenášen v oblasti pro uživatelská data standardního rámce nosného protokolu; skládá se ze dvou identických podrámců, z nichž každý je za­bezpečen vlastním kontrolním součtem
Obr. 3. Bezpečnostní protokol OpenSafety je univerzálně pou­žitelný ve všech průmyslových odvětvích
 

Hlavní přednosti protokolu Open Safety:
  • celosvětový standard použitelný se všemi významnými provozními komunikačními sběr­nicemi,
  • nejvyšší úroveň produktivity díky přímé křižné komunikaci,
  • zkrácení dob potřebných k uvedení do provozu a k údržbě bezpečnostního systému,
  • automatické nastavování hodnot bezpečnostních parametrů,
  • ideální metoda k realizaci bezpečnostních obvodů na modulárně koncipovaných strojích,
  • jediný zcela otevřený bezpečnostní systém, technicky i právně,
  • nejrychlejší komunikační systém pro úroveň SIL 3 podle normy IEC 61508,
  • naprosto bezpečná investice: postup ověřování shody je certifikován organizací TÜV.
 
O organizaci EPSG

Nezávislá organizace Ethernet Powerlink Standardization Group (EPSG) byla založena v roce 2003 předními firmami z oborů automatizační techniky a techniky pohonů za úče­lem standardizace a dalšího vývoje komunikačního protokolu Ethernet Powerlink, který jako první zavedla společnost B&R v roce 2001. Jde o velmi výkonný komunikační systém navržený tak, aby zajistil přenosy zpráv v reálném čase s dobou odezvy řádu mikrosekund. Deterministického chováním je u něj dosaženo výhradně softwarově, a to rozšířením proto­kolu ethernetového standardu IEEE 802.3. Organizace EPSG spolupracuje s předními stan­dardizačními orgány, např. se sdružením CiA (CAN in Automation) a s IEC. Hlavním představitelem organizace EPSG je v současné době Anton Meindl, vedoucí úseku řídicích sys­témů společnosti B&R.