De black channel benadering in safety

De black channel benadering is een concept in netwerktechnologie dat het mogelijk maakt om de implementatie van safety systemen te integreren in het datanetwerk dat ook voor de gewone proces- en machinecontrole gebruikt wordt. Dat biedt uiteraard meer flexibiliteit, en een aanzienlijke kostenbesparing, maar het stelt tegelijk ook hoge eisen aan het gebruikte datanetwerk.

De black channel benadering in safety netwerken is de tegenhanger van wat de white channel benadering genoemd wordt. In die white channel benadering wordt een speciaal safety netwerk gebruikt als een letterlijke invulling van wat de IEC 61508 standaard voorschrijft voor safety systemen. In die norm wordt immers gesteld dat een regelkring voor een safety systeem in zijn geheel beoordeeld moet worden, onder meer op zijn kans op falen (probability of failure on demand). Het volstaat dus niet om voor een dergelijke kring componenten te kiezen die alle aan het gewenste SIL of PL niveau voldoen. Ook de samenwerking van die componenten in het systeem moet gevalideerd worden.

In die samenwerking speelt het netwerk uiteraard een belangrijke rol. In de meest klassieke benadering van safety systemen worden de componenten één op één bekabeld, wat de analyse relatief eenvoudig maakt, ook als voor een digitaal, serieel communicatieprotocol gekozen wordt. Zodra meerdere componenten hetzelfde netwerk delen en/of het netwerk zelf ook actieve componenten bevat, wordt de beoordeling van mogelijke fouten echter al snel behoorlijk complex. In de white channel benadering wordt die uitdaging aangegaan en worden speciale netwerken opgezet die 100% deterministisch zijn, in die zin dat men precies kan zeggen wat de kans op falen is en kan garanderen dat die kans kleiner is dan wat het gewenste safety niveau toelaat.

Off-the-shelf netwerkcomponenten

Met de tendens om voor industriële netwerken steeds meer een beroep te doen op Ethernet, onder meer omdat men dan off-the-shelf netwerkcomponenten kan gebruiken, botst men echter al snel op de limieten van die white channel benadering. Een standaard Ethernet netwerk is per definitie niet deterministisch en van off-the-shelf netwerkcomponenten zijn data als probability of failure on demand doorgaans ook niet beschikbaar. Bovendien maken die netwerkcomponenten gebruik van eigen firmware die de validatie verder kan bemoeilijken. Zo een netwerk is in zekere mate dus een soort black box waarvan de gebruiker enkel ziet dat er data aan de ene kant ingaat en aan de andere kant weer uitkomt. De black channel benadering is een methode om daar op een betrouwbare manier mee om te gaan.

Een van de belangrijkste punten bij de implementatie en validatie van safety systemen is het garanderen dat het systeem zelf, dat in het beste geval zelden of nooit gebruikt wordt, toch permanent beschikbaar is en functioneert. Een safety controller zal daarom voortdurend communiceren met de safety componenten in het netwerk om te verifiëren dat deze beschikbaar zijn. Als daarbij een fout zou optreden, dient de controller te besluiten dat de veiligheid niet langer gegarandeerd is en de machine of installatie die hij beheert, naar een veilige toestand te brengen.

En dat is meteen ook de basis van de black channel benadering. In plaats van heel het netwerk met al zijn componenten te valideren moet het volstaan om via de communicatie zelf vast te stellen of het netwerk nog goed functioneert. Als een bepaalde netwerkcomponent dan een kans op fouten zou hebben die veel te hoog is, zou dat enkel betekenen dat de machine ook een hoge kans zal hebben om onterecht een noodstop te maken, maar het zou het veiligheidsrisico voor de gebruikers niet groter maken.

IEC 62280

In de norm IEC 62280 is vastgelegd hoe de black channel benadering in de praktijk geïmplementeerd moet worden. Tussen de deelnemers aan het netwerk – de safety controller en andere safety componenten – en het netwerk zelf komen er dan interfaces waarin de nodige stappen gezet worden om de beschikbaarheid en betrouwbaarheid van het systeem te verifiëren.

Die stappen kunnen ingedeeld worden in twee groepen waarbij een eerste groep slaat op de beschikbaarheid van de communicatie. Wanneer een kabel beschadigd raakt en de communicatie wegvalt, moet dat uiteraard opgemerkt worden, maar bij het gebruik van Ethernet en zijn niet-deterministisch karakter, kan het ook zijn dat IP-pakketjes met data verloren gaan, meerdere keren en/of in een verkeerde volgorde aankomen.

Daarnaast is er ook een controle van de integriteit van de data nodig, wat meestal gebeurt op basis van een Cyclic Redundancy Check (CRC). Daarbij wordt door de zender een controlegetal berekend en toegevoegd aan de data zodat de ontvanger kan narekenen of dat controlegetal nog steeds klopt wanneer de data is aangekomen.

Een belangrijke opmerking hierbij is dat Ethernet standaard al gebruikmaakt van een CRC maar dat die niet volstaat voor safety toepassingen. De CRC die eigen is aan Ethernet wordt gebruikt door de switches in het netwerk en wordt voor elk traject tussen twee netwerkcomponenten opnieuw berekend. Dit houdt in dat die CRC niet beschermd tegen fouten die in de switches zelf tot manipulatie van data zouden kunnen leiden.

CRC in de application layer

In de black channel benadering wordt daarom gebruikgemaakt van een CRC in de application layer zodat bij aankomst na de verwerking van de IP pakketjes gecontroleerd kan worden of de uiteindelijke data nog overeenstemt met wat initieel verzonden werd.

Op zich biedt het gebruik van zo een Cyclic Redundancy Check geen 100% garantie maar de kans dat het misloopt, kan wel precies gedetermineerd worden, wat dan weer vergelijkbaar is met de probability of failure on demand benadering die eigen is aan safety systemen. Daardoor kan van een black channel benadering ook beoordeeld worden of ze voldoende betrouwbaar is voor een toepassing met een bepaald veiligheidsrisico.

© Productivity.be