Black-Channel-Prinzip

Die Kontrolle der Integrität

In der IEC 61508 wird der Begriff „Black Channel“ definiert. Im Umfeld der funktionalen Sicherheitstechnik versteht man darunter einen Kommunikationskanal mit ungesicherten oder nicht zur Anwendung passenden Eigenschaften.

Mit unseren PROFIsafe-fähigen I/O-Systemen integrieren Sie funktionale Sicherheit einfach und zuverlässig in Ihr favorisiertes Netzwerk, ob im Schaltschrank oder im Feld.

Jetzt PROFIsafe I/O-Module entdecken
Darstellung Black Channel

Die IEC 61508 definiert den Begriff „Black Channel“. In der Kommunikationstechnik versteht man darunter einen Kommunikationskanal mit ungesicherten oder nicht anwendungsspezifischen Eigenschaften. Der Black Channel ist ein kennzeichnendes Element des sogenannten Black-Channel-Prinzips, bei dem trotz der genannten Ausgangseigenschaften eines Kommunikationskanals eine sichere Kommunikation gewährleistet werden soll.

Wie funktioniert sichere Kommunikation über den Black Channel?

Im Umfeld der funktionalen Sicherheitstechnik geht es beim Thema Black Channel hauptsächlich um die Übertragung von sicherheitsgerichteten Signalen über standardisierte Kommunikationsmedien (z. B. Ethernet oder WLAN). Grundsätzlich werden sicherheitsgerichtete Signale von A nach B übertragen. Das kann z. B. ein Signal von einer Not-Halt-Einrichtung sein, das zur sicheren Steuerung übertragen werden soll. Der Wunsch liegt nahe, dass die sicherheitsgerichteten Signale gemeinsam mit den Standardsignalen über ein gemeinsames Netzwerk transportiert werden.

Es geht also um die Integration der funktionalen Sicherheitstechnik in das bestehende Netzwerk. Auf diese Weise lassen sich u. a. ein zusätzlicher Verdrahtungsaufwand vermeiden und Kosten minimieren. Doch die bereits bestehenden Netzwerke sind in der Regel nicht nach den Anforderungen der funktionalen Sicherheit entwickelt worden. Dadurch können verschiedenen Fehlerfällen zustande kommen.

Mögliche Kommunikationsfehler:

  • Wiederholung von Telegrammen
  • Verlust von Telegrammen
  • Einfügen von Telegrammen
  • Falsche Abfolge von Telegrammen
  • Verfälschung von Telegrammen
  • Verzögerung von Telegrammen
  • Fehladressierung von Telegrammen

Wie wird ein Sicherheitssystem gemäß der IEC 61508 aufgebaut?

Das bestehende Netzwerk verfügt über keinen ausreichenden Schutz, deshalb muss an dieser Stelle ein Sicherheitsprotokoll überlagert werden. Das Sicherheitsprotokoll läuft oberhalb vom Standardprotokoll. Es muss Mechanismen integrieren, um jeden möglichen Fehlerfall oder eine Kombination mehrerer Fehler zu erkennen und zu beherrschen.

Schaubild: Wie wird ein Sicherheitssystem gemäß der IEC 61508 aufgebaut?

Das überlagerte PROFIsafe-Protokoll sorgt für die Integrität der Daten

Beispiele fehlererkennende Maßnahmen:

  • Fortlaufende Zähler an Telegrammen, um die richtige Abfolge zu sichern
  • Überwachung mithilfe von Checksummen (CRC), um eine Verfälschung der Daten zu verhindern
  • „Watchdogs“ werden mit jedem neuen Telegramm getriggert, um Verzögerungen zu erkennen

Mithilfe dieser fehlererkennenden Maßnahmen und der fehlenden Anforderungen an das übertragende Netzwerk kann man die Integrität der Datenübertragung über das Netzwerk überwachen.

Was passiert bei einer Fehlererkennung?

Sobald ein nicht-tolerierbarer Fehler erkannt wird, rechnen die Systeme nur noch mit Ersatzwerten. Konkret wird bei einer Störung der Kommunikation in der sicheren Steuerung mit dem Ersatzwert „0“ gerechnet. Dies kann z. B. bei einem sicheren Eingang mit nicht-betätigtem Not-Halt der Fall sein. Das bedeutet, der sichere Zustand „0“ wird angenommen, als wäre der Not-Halt betätigt worden. In der Ausgangsrichtung überwacht das Ausgangsmodul die Integrität der Daten. Wird hier ein Fehler detektiert, werden Ersatzwerte ausgegeben. In diesem Fall werden alle sicheren Ausgänge auf dem Modul abgeschaltet, sodass die funktionale Sicherheit gewährleistet ist.

Diese Funktionalität ist auch bei einer Datenübertragung über Wireless-Verbindungen gegeben. Sobald das Netzwerk eine Übertragung z. B. über WLAN oder Bluetooth zulässt, werden die sicherheitsgerichteten Daten übertragen. Dabei muss man evtl. die reduzierte Bandbreite bzw. die längere Übertragungszeit berücksichtigen. Auch die standortübergreifende Übertragung der Safety-Signale über einen Cloud-Dienst ist möglich.

Black-Channel-Prinzip in der Cloud

Für weitverzweigte Anlagen: sicherheitsgerichtete Signale über Cloud-Dienste übertragen

Welche Auswirkungen hat der Black Channel auf die Verfügbarkeit von Maschinen und Anlagen?

Moderne, ordnungsgemäß installierte Netzwerke stellen bezüglich der Verfügbarkeit keine Herausforderung dar. Jedoch können z. B. mangelhaft installierte PROFIBUS DP-Anlagen mit fehlenden Abschlusswiderständen, Reflexionen und schlechtem Potenzialausgleich dadurch nicht verbessert werden. Vermutlich wird die Verfügbarkeit dadurch sinken.

Die Idee des Black-Channel-Prinzips ermöglicht eine gemeinsame Übertragung von Safety- und Standardsignalen auf nahezu beliebigen Übertragungsmedien. Das Prinzip ist die Basis für die moderne funktionale Sicherheitstechnik.