B&R kombiniert OPC UA und OpenSafety Sichere Kommunikation auf der ganzen Linie

Mit der Kombination von OPC UA und OpenSafety ermöglicht B&R die sichere Linienautomatisierung.

Auf der Steuerungsebene werden flexible Industrie-4.0-Konzepte allmählich umgesetzt, aber die Sicherheitstechnik auf Linienebene ließ sich bisher nicht so flexibel gestalten. Mit der Kombination von OPC UA und OpenSafety will B&R das jetzt ändern und die sichere Linienautomatisierung ermöglichen.

»Maschinen unterschiedlicher Hersteller zu einem Sicherheitsnetzwerk zusammenzuschließen, ist prinzipiell möglich, erfordert aber viel Programmieraufwand direkt in der Maschinenhalle«, erläutert Franz Kaufleitner, Produktmanager Integrated Safety bei B&R. »Wenn während des Betriebs an den Maschinen etwas verändert wird, Maschinen entfernt werden oder neue hinzukommen, müsste jedes Mal die Sicherheitstechnik neu programmiert und überprüft werden. Das ist in der Realität nicht umsetzbar.«

B&R entwickelt daher ein Konzept, das völlig neue sicherheitstechnische Lösungen ermöglichen soll: sich selbst organisierende Sicherheitsnetzwerke auf Basis von OPC UA und dem quelloffenen Sicherheitsprotokoll OpenSafety. Der neue Ansatz soll es gestatten, Maschinenteile oder ganze Maschinen aus dem Maschinennetzwerk zu entfernen oder zu ergänzen, ohne dass die Sicherheitstechnik neu programmiert werden muss. »Sogar sich selbst validierende Maschinenlinien sind denkbar«, betont Kaufleitner.

Damit das Sicherheitsnetzwerk sich selbst organisieren kann und zugleich alle Anforderungen an Security und Safety erfüllt werden, sind diverse Vorkehrungen nötig. »Dabei nutzen wir die jeweiligen Vorteile von OPC UA und OpenSafety optimal aus«, sagt Kaufleitner.

Und so funktioniert es
 
Wird ein neues Gerät – also eine Maschine, ein Maschinenteil oder auch ein Roboter – an ein Maschinennetzwerk angeschlossen, kommt zuerst OPC UA ins Spiel. Mit Hilfe der OPC-UA-Security-Mechanismen wird eine sichere Verbindung hergestellt.

Das neue Gerät sucht nach weiteren Servern, die Safety-Funktionen anbieten. Zum Einsatz kommen dabei die OPC-UA-Mechanismen Discovery und Server Capability. Anschließend wird mit den OPC-UA-Browsing-Services festgestellt, welche Funktionen mit welchen Attributen die Server anbieten. »Jeder OPC-UA-Server erlangt so ein vollständiges Bild des Netzwerks, ohne dass eine einzige Zeile Code programmiert werden muss«, verdeutlicht Kaufleitner. »Dieses Vorgehen lässt sich schon jetzt mit OPC UA umsetzen.«

Jetzt prüft die Sicherheitsapplikation, ob die neue Komponente schon bekannt ist oder ob alle Eigenschaften aus sicherheitstechnischer Sicht gleichwertig zu einer zuvor validierten Konfiguration sind. Ist dies der Fall, muss der Maschinenbediener keine weiteren Aktionen starten.

Falls relevante Unterschiede erkannt werden, wird der Anwender mittels einer standardisierten Abfrage über die Visualisierung aufgefordert, die Richtigkeit der Konfiguration zu bestätigen. Die Eingaben werden permanent gespeichert, so dass die neue Linienkonfiguration in Zukunft automatisch erkannt wird.

»Dann kommt OpenSafety ins Spiel«, führt Kaufleitner aus. »Jede Komponente prüft, ob die vorliegende Konfiguration plausibel ist. Dieser Vorgang ist identisch mit den Prüfungen, die schon bisher beim Starten einer Maschine ablaufen.« Dabei wird auch getestet, ob die Reaktions- und Zykluszeiten ausreichend kurz sind, um die erforderlichen Sicherheitsreaktionen zuverlässig auszulösen. Sind diese Prüfschritte abgeschlossen, startet der Austausch sicherer Prozessdaten über OpenSafety, und der Linienverbund kann den vorgesehenen Produktionsbetrieb beginnen.

Als Mindestanforderung für die sichere Linienautomatisierung muss jedes Gerät das Not-Aus-Profil von OpenSafety unterstützen. Wird ein Not-Aus-Schalter betätigt, werden automatisch alle Geräte im OpenSafety-Netzwerk informiert. Jedes Gerät entscheidet selbstständig, ob es ebenfalls in den Not-Aus-Zustand geht oder weiterlaufen kann. »Das ist beispielsweise der Fall, wenn eine andere Not-Aus-Zone betroffen ist«, merkt Kaufleitner an.

In Entwicklung ist auch ein Linear-Profil, mit dem Maschinen- oder Anlagenteile ihren Status direkt an ihre Nachbarn kommunizieren. Geht ein Maschinenteil in einen sicheren Zustand, entscheiden die direkten Nachbarn selbstständig, ob sie ebenfalls in einen sicheren Zustand gehen müssen oder – gegebenenfalls mit reduzierter Geschwindigkeit – weiterarbeiten können. »So kommuniziert im Endeffekt die ganze Linie miteinander, ohne dass ein übergeordnetes System oder ein Mensch eingreifen muss«, resümiert Kaufleitner.

Wie wird OpenSafety über OPC UA übertragen?
Sicherer Datentransfer per OPC-UA-Pub/Sub
Das quelloffene Sicherheitsprotokoll OpenSafety kann prinzipiell jeden Feldbus und jedes Industrial-Ethernet-Netzwerk als Transportmedium nutzen. Das Black-Channel-Prinzip ermöglicht den Austausch sicherheitsgerichteter Daten, ohne dass das Transportprotokoll die sicheren Daten beeinflussen kann.  Zum Austausch der Prozessdaten – der sogenannten Safety Process Data Objects – nutzt OpenSafety den Publish/Subscribe-Mechanismus von OPC UA. OpenSafety-Knoten können folglich direkt miteinander kommunizieren, was sehr kurze Reaktionszeiten ermöglicht. Für den Datenaustausch während der Plausibilisierung sind dagegen Datenabfragen in Form von Safety Service Data Objects erforderlich. Diese nutzen OPC UA-Methodenaufrufe, um unnötige Datenlast in den Netzwerken und auf den OPC-UA-Servern zu vermeiden.