Die IEC 61508 definiert den Begriff „Black Channel“. In der Kommunikationstechnik versteht man darunter einen Kommunikationskanal mit ungesicherten oder nicht anwendungsspezifischen Eigenschaften. Der Black Channel ist ein kennzeichnendes Element des sogenannten Black-Channel-Prinzips, bei dem trotz der genannten Ausgangseigenschaften eines Kommunikationskanals eine sichere Kommunikation gewährleistet werden soll.
Wie funktioniert sichere Kommunikation über den Black Channel?
Im Umfeld der funktionalen Sicherheitstechnik geht es beim Thema Black Channel hauptsächlich um die Übertragung von sicherheitsgerichteten Signalen über standardisierte Kommunikationsmedien (z. B. Ethernet oder WLAN). Grundsätzlich werden sicherheitsgerichtete Signale von A nach B übertragen. Das kann z. B. ein Signal von einer Not-Halt-Einrichtung sein, das zur sicheren Steuerung übertragen werden soll. Der Wunsch liegt nahe, dass die sicherheitsgerichteten Signale gemeinsam mit den Standardsignalen über ein gemeinsames Netzwerk transportiert werden.
Es geht also um die Integration der funktionalen Sicherheitstechnik in das bestehende Netzwerk. Auf diese Weise lassen sich u. a. ein zusätzlicher Verdrahtungsaufwand vermeiden und Kosten minimieren. Doch die bereits bestehenden Netzwerke sind in der Regel nicht nach den Anforderungen der funktionalen Sicherheit entwickelt worden. Dadurch können verschiedenen Fehlerfällen zustande kommen.
Mögliche Kommunikationsfehler:
- Wiederholung von Telegrammen
- Verlust von Telegrammen
- Einfügen von Telegrammen
- Falsche Abfolge von Telegrammen
- Verfälschung von Telegrammen
- Verzögerung von Telegrammen
- Fehladressierung von Telegrammen
Wie wird ein Sicherheitssystem gemäß der IEC 61508 aufgebaut?
Das bestehende Netzwerk verfügt über keinen ausreichenden Schutz, deshalb muss an dieser Stelle ein Sicherheitsprotokoll überlagert werden. Das Sicherheitsprotokoll läuft oberhalb vom Standardprotokoll. Es muss Mechanismen integrieren, um jeden möglichen Fehlerfall oder eine Kombination mehrerer Fehler zu erkennen und zu beherrschen.
Beispiele fehlererkennende Maßnahmen:
- Fortlaufende Zähler an Telegrammen, um die richtige Abfolge zu sichern
- Überwachung mithilfe von Checksummen (CRC), um eine Verfälschung der Daten zu verhindern
- „Watchdogs“ werden mit jedem neuen Telegramm getriggert, um Verzögerungen zu erkennen
Mithilfe dieser fehlererkennenden Maßnahmen und der fehlenden Anforderungen an das übertragende Netzwerk kann man die Integrität der Datenübertragung über das Netzwerk überwachen.
Was passiert bei einer Fehlererkennung?
Sobald ein nicht-tolerierbarer Fehler erkannt wird, rechnen die Systeme nur noch mit Ersatzwerten. Konkret wird bei einer Störung der Kommunikation in der sicheren Steuerung mit dem Ersatzwert „0“ gerechnet. Dies kann z. B. bei einem sicheren Eingang mit nicht-betätigtem Not-Halt der Fall sein. Das bedeutet, der sichere Zustand „0“ wird angenommen, als wäre der Not-Halt betätigt worden. In der Ausgangsrichtung überwacht das Ausgangsmodul die Integrität der Daten. Wird hier ein Fehler detektiert, werden Ersatzwerte ausgegeben. In diesem Fall werden alle sicheren Ausgänge auf dem Modul abgeschaltet, sodass die funktionale Sicherheit gewährleistet ist.
Diese Funktionalität ist auch bei einer Datenübertragung über Wireless-Verbindungen gegeben. Sobald das Netzwerk eine Übertragung z. B. über WLAN oder Bluetooth zulässt, werden die sicherheitsgerichteten Daten übertragen. Dabei muss man evtl. die reduzierte Bandbreite bzw. die längere Übertragungszeit berücksichtigen. Auch die standortübergreifende Übertragung der Safety-Signale über einen Cloud-Dienst ist möglich.
Welche Auswirkungen hat der Black Channel auf die Verfügbarkeit von Maschinen und Anlagen?
Moderne, ordnungsgemäß installierte Netzwerke stellen bezüglich der Verfügbarkeit keine Herausforderung dar. Jedoch können z. B. mangelhaft installierte PROFIBUS DP-Anlagen mit fehlenden Abschlusswiderständen, Reflexionen und schlechtem Potenzialausgleich dadurch nicht verbessert werden. Vermutlich wird die Verfügbarkeit dadurch sinken.
Die Idee des Black-Channel-Prinzips ermöglicht eine gemeinsame Übertragung von Safety- und Standardsignalen auf nahezu beliebigen Übertragungsmedien. Das Prinzip ist die Basis für die moderne funktionale Sicherheitstechnik.