Der Einsatz funktional sicherer Geräte hat in den vergangenen Jahren rasant zugenommen. Allein im Jahr 2017 stieg die Zahl der in den Markt gebrachten Profisafe-Knoten um fast 2 Mio. Aus heutiger Sicht sind weit mehr als 10 Mio. Knoten in Produktionsanlagen integriert. Kaum eine Maschine oder Anlage kommt heute ohne Sicherheitsfunktionen aus. Ein weiterer Trend ist die Verteilung anspruchsvoller Automatisierungsaufgaben auf mehrere Steuerungen, die untereinander etwa mittels OPC UA kommunizieren. Hier wird es in der Praxis jedoch oft umständlich: Müssen Controller unterschiedlicher Hersteller funktional sicher miteinander verbunden werden, sind spezielle Koppler nötig. Dies ist meist mit einem hohen Hardware- und Engineering-Aufwand verbunden, zudem ist das Handling sehr unflexibel. Insbesondere im Hinblick auf die zunehmende Vernetzung in den Unternehmen ist diese Situation unbefriedigend. So gibt es Branchen, in denen traditionsgemäß eine sehr heterogene Automatisierungslandschaft vorliegt. Typisch sind beispielsweise Anlagen aus der Lebensmittel- und Getränkeindustrie, in denen häufig viele Steuerungen un­terschiedlicherer Hersteller zum Einsatz kommen. Für die sichere Übertragung zwischen Maschinen – und damit zwischen den in den Maschinen einge­setzten Steuerungen – gibt es aber heute keinen herstellerübergreifenden Standard. 

Ein weiteres Manko bestehender Safety-Protokolle ist das Fehlen eines Konzepts zum dynamischen Verbindungsaufbau und -abbau. Nach dem heutigen Stand der Technik muss zum Projektierungs-zeitpunkt festgelegt werden, wer mit wem kommuniziert, und entsprechende sichere Adressen fest eincodiert werden. Eine Änderung oder Ergänzung dieser Adressen hat die Neuabnahme der Sicherheitsfunktion zur Folge.

Dies ist im Kontext Industrie 4.0 nicht mehr zeitgemäß. So sollen modulare Maschinen, zum Beispiel bestehend aus Bearbeitungsmaschinen, Belade- und Entladesystem sowie weiteren zuführenden und abführenden Transporteinheiten, je nach Bedarf im laufenden Betrieb umgeordnet werden, ohne die Produktion unnötig lange zu unterbrechen. Gibt es Sicherheitsfunktionen, die sich über mehrere Module erstrecken – zum Beispiel „sicher reduzierte Geschwindigkeit bei Öffnen einer Belade-Einheit“ – muss diese unmittelbar nach der Neuanordnung der Module, und gegebenenfalls einem automatischen Selbsttest plus Anwenderquittierung, zur Verfügung stehen. Eine umständliche manuelle Prüfung der Sicherheitsfunktion oder gar eine Neuabnahme durch eine externe Stelle wäre in diesen Szenarien nicht tolerierbar. Noch extremere Anforderungen gibt es bei autonomen mobilen Fahrzeugen, Krankatzen oder Robotern, die sich selbstständig von Maschine zu Maschine bewegen. Eine Rekonfiguration der Sicherheitsfunktion muss hier ganz ohne menschliche Zustimmung möglich sein. 

Um solche Szenarien zu ermöglichen, ist ein Safety-Protokoll zwischen Steuerungen verschiedener Hersteller nötig, das einen dynamischen Verbindungsaufbau und -abbau ermöglicht, und gleichzeitig alle dem Stand der Technik entsprechenden Konzepte unterstützt.

Bewährte Technologie für sichere Konzepte

Profisafe hat schon eine große Verbreitung gefunden. Es macht deshalb durchaus Sinn, die Mechanismen von Profisafe auch auf OPC UA auszuweiten.

© Profibus Nutzerorganisation

Eine Lösung der Problematik bietet sich mit der derzeit im Review befindlichen Spezifikation „Safety over OPC UA based on Profisafe“ an. Da OPC UA für Verbindungen zwischen den Steuerungen unterschiedlicher Hersteller eine zunehmend wichtige Rolle spielt, ist es sinnvoll, die Mechanismen von Profisafe auch auf OPC UA auszuweiten. Dafür startete im November 2017 die Joint Working Group zwischen PI und der OPC Foundation, bestehend aus namhaften Firmen und Organisationen. Die Experten legen die Eckpunkte für funktionale Sicherheit und die Randbedingungen fest: Das Safety-Konzept steht allen Mitgliedern der OPC Foundation und PI zur Verfügung. Es ist konform zu der IEC61784-3 „functional safety fieldbuses“ und es nutzt bestehende Profisafe-Mechanismen.

Es gilt also weiterhin: Ein einziges Kabel für die Standardkommunikation und die sicherheitsbezogene Kommunikation. Und es wird wieder das bewährte Black-Channel-Prinzip zugrundeliegen. Dieses lässt sich auch auf die Controller-Controller-Kommunikation übertragen, wobei dann der OPC-UA-Kommunikations-Stack die Rolle des Black-Channel übernimmt. Auch die bewährten Protokoll-Sicherungsmechanismen – CRC-Prüfung, Codenames, Monitoring-Number, Watchdog-Überwachung und SIL-Monitor – werden übernommen.

Der OPC UA Stack und die Netzkomponenten, wie Gateways oder Router, müssen bei einer Zertifizierung nicht betrachtet werden und lassen sich auch im Nachhinein jederzeit anpassen oder erweitern. Zertifizierungsrelevant ist lediglich die Korrektheit der Implementierung des Profisafe-Protokolls auf einer funktional sicheren Plattform. 

Mehr Flexibilität

In der Review-Version wurden nun die grundsätzliche Konzeption und detaillierte Spezifikationsausarbeitung festgelegt. Die neue Spezifikation adressiert zunächst die Client/Server-Kommunikationsmodelle von OPC UA. Eine Anbindung an Pub/Sub inklusive Pub/Sub über TSN ist bereits vorgesehen, sodass später auch sehr geringe Zykluszeiten in der Kommunikation realisierbar sind. Dabei sind unidirektionale, bidirektionale und Multicast-Verbindungen ebenso möglich wie beliebige Netzwerk-Topologien (zum Beispiel Linie, Baum, Stern, Ring). Auch bei den Datenmengen gibt es mit bis zu 1500 Bytes genügend Reserven. 

Anpassungen waren in den Zustandsmaschinen, den Protokoll-Datagrammen und der Initialisierung notwendig, da jetzt gleichberechtigte Controller untereinander, statt ein Controller mit unterlagerten Devices, kommunizieren. Bei der Definition der Zustandsmaschine des Profisafe-Protokolls wird zum Beispiel geklärt, wie ein Verbindungsaufbau läuft, wann Prozesswerte oder sichere Ersatzwerte auszugeben sind, oder wie ein Wiederanlauf zu quittieren ist. Ein weiterer Aspekt ist die Definition der zu übertragenden Datentypen und Datenstrukturen sowie die sichere Prüfung, ob beide Kommunikationspartner überhaupt dasselbe Verständnis darüber haben, wie die übertragenen Daten zu interpretieren sind. 

Neu ist auch, dass die Diagnose ver­einfacht ist. Gerade bei komplexen Sicherheitsfunktionen, in denen mehrere Steuerungen unterschiedlicher Hersteller in­volviert sind, ist es wichtig, Fehler schnell zu erkennen, zu lokalisieren und die Ursache zu finden. Daher legt die Spezifikation auch die anzuzeigenden Diagnosedaten fest, um sicherzustellen, dass für jede Fehlerart (zum Beispiel ­CRC-Fehler oder Time-Out) bei allen Steuerungen auch derselbe Fehlertext angezeigt wird. Eine Diagnose ist über die bereits bestehenden Mechanismen der einzelnen Hersteller möglich und auch über OPC UA, was die Lokalisierung und Identifizierung möglicher Fehlerquellen beschleunigt. 

Wechselnde Kommunikationspartner

Funktionale Sicherheit für die Controller-Controller-Kommunikation über OPC UA auf Basis von Profisafe: eine Lösung, mit der unterlagerte Profinet-basierte und auch zukünftig unterlagerte TSN-basierte Maschinen kooperieren können.

© Profibus Nutzerorganisation

Bei Safety over OPC UA können Verbindungen auch zur Laufzeit auf- und abgebaut werden. Ein gegebenes Interface lässt sich abwechselnd von verschiedenen Partnern nutzen, es wird also ein dynamischer Verbindungsaufbau möglich. Davon profitieren modulare Maschinen, Autonomous Guided Vehicles (AGVs), Autonomous Moving Robots (AMRs) und Werkzeugwechsler gleichermaßen. 

Anders als bei allen heutigen funktional sicheren Kommunikationsprotokollen müssen nicht mehr alle Teilnehmer schon bei der Projektierung gegenseitig bekannt gemacht werden. Dadurch ist es möglich, der Anlage etwa einen neuen mobilen Roboter hinzuzufügen, ohne alle feststehenden Maschinen neu zu parame­trieren.

Vorteile der Profisafe-Lösung

Durch die Beibehaltung des bewährten Profisafe-Prinzips ist es in Zukunft für die Hersteller wesentlich leichter, eine funktional sichere Verbindung zwischen Controllern aufzubauen. Zudem ist aufgrund der vielen bewährten Einsätze von Profisafe eine hohe Akzeptanz sowohl bei den Herstellern und Endanwendern als auch bei Gremien wie den Zertifizierungsstellen sichergestellt. Relevant daran ist auch, dass keine spezifischen Anforderungen für Non-Safety-Komponenten nötig sind. Damit ist eine unbegrenzte Anzahl von Netzteilnehmern möglich und außerdem ist die Kommunikationsgeschwindigkeit nicht limitiert.

Dass dieses Konzept funktioniert, hat eine erste Probe-Implementierung als Proof of Concept auf dem PI-Gemeinschaftsstand auf der SPS IPC Drives 2018 gezeigt. Zur Hannover Messe wird die Spezifikation, die sich derzeit im Review befindet, fertiggestellt. Gleichzeitig entstehen Testspezifikationen, in denen Prüfabläufe festgelegt werden. 

Das Ergebnis der Zusammenarbeit von PI und OPC Foundation ist eine praxis­gerechte und auch für die Zukunft tragfähige Lösung auf dem Gebiet der funk­tionalen Sicherheit, die von der Mehrheit der Hersteller und Anwender getragen wird.

Autor:
Dr. Max Walter ist Leiter des Arbeitskreises Profisafe @ OPC UA bei PI ­(Profibus & Profinet International).

Die PI-Konferenz 2019

Mehr zum Thema ‚Anlagenübergreifendes Safety mit OPC UA based on Profisafe‘ wird auf der PI-Konferenz 2019 der Profibus Nutzerorganisation (PNO) vorgestellt und diskutiert. Die Anwender können sich dort auch über weitere Aktivitäten rund um Profinet und OPC UA informieren. Die PI-Konferenz 2019 gibt hierfür einen Überblick zur zukünftigen Ausrichtung der PI-Technologien im Hinblick auf die Anforderungen der Digitalisierung in der Produktion. Es werden weitere Industrie 4.0 relevante Themen vorgestellt, unter anderem: ‚Warum Profinet mit TSN?‘ und ‚Welche Rechte an Daten haben Anwender im Hinblick auf Industrie 4.0?‘ 

Daneben stehen Themen wie Security-Herausforderungen in der Automation, Netzwerk-Architektur der Zukunft, neueste Erkenntnisse zu Profinet in der Prozessautomatisierung sowie Industrie-4.0-Informationsmodelle und neue Technologiefelder im Fokus. Die PI-Konferenz findet am 19. und 20. März 2019 statt. Nähere Informationen gibt es online.

Die Kooperationen

Das Mapping von Profinet-Objekten in OPC UA.

© Profibus Nutzerorganisation

Seit weit mehr als einem Jahrzehnt kooperiert PI (Profibus & Profinet International) eng mit der OPC Foundation. Das Spektrum der Themen ist vielfältig. Gemeinsam und in Zusammenarbeit mit der FieldComm Group wird die Technologie FDI spezifiziert. Ziel von zwei weiteren gemeinsamen Arbeitskreisen ist die Bereitstellung von OPC UA Companion Specifications für Profinet und IO-Link.

Die Übergänge von Profinet zu OPC UA erfordern eine Standardisierung der Datenformate. In einer der beiden Aktivitäten wird ein OPC-UA-Informations-Modell zur Darstellung des standardisierten Objektmodells von Profinet definiert. Dieses Modell soll es OPC-UA-Diensten ermöglichen, herstellerunabhängig auf die Objekte von Profinet-Geräten zuzugreifen. Im ersten Schritt werden die Themen Asset Management und Diagnose bearbeitet. 

Gleiches gilt für IO-Link. Industrie 4.0 baut auf vielfältigen Informationen aus dem Feld von Produktionsanlagen. Diese werden neben der Steuerung der automatisierten Produktion und Gerätekonfiguration im zunehmenden Maße für Remote Maintenance, Asset Management, Predictive Maintenance, Condition Monitoring sowie für Data Analytics zur Optimierung und Flexibilisierung der Produktion benötigt. Basis hierfür kann nur eine offene Sensor-to-Cloud-Kommunikation sein. Hierzu hat die IO-Link Community bereits die Companion Specification ‚OPC UA for IO-Link‘ fertiggestellt und freigegeben.  

Das Thema Safety over OPC UA schließt sich nahtlos an die genannten Themen an. PI erwartet, dass sich in den nächsten Jahren weitere Felder der Zusammenarbeit ergeben.