__IEC 61508__では「ブラックチャネル」という用語が定義されています。通信テクノロジにおいては、これは安全でない特性またはアプリケーションに適合しない特性を持つ通信チャネルのことを言います。ブラックチャネルは、いわゆるブラックチャネルの原理の特徴的な要素で、通信チャネルの上記の出力特性にもかかわらず安全な通信が確保されます。
ブラックチャネル経由の安全な通信はどのように機能するのでしょうか。
機能安全テクノロジの環境では、ブラックチャネルは主に安全関連信号を標準通信媒体(イーサネットまたはWLANなど)で伝送することに関与します。基本的に、安全関連信号はAからBに伝送されます。例えば、これは、安全コントローラに伝送する必要のある非常停止機器からの信号の場合があります。安全関連の信号は共有ネットワーク経由で標準信号と一緒に伝送することが理想です。
つまり機能安全テクノロジは既存のネットワークに組み込まれます。その結果のメリットの1つは、追加の配線作業を回避でき、コストを最小化できることです。しかし既存のネットワークは通常、機能安全の要件に即して開発されてきませんでした。そのためさまざまなエラーケースがあり得ます。
考えられる通信エラー:
- テレグラムの繰返し
- テレグラムの損失
- テレグラムの追加
- テレグラムのシーケンスが正しくない
- テレグラムの破損
- テレグラムの遅延
- テレグラムのアドレス指定が正しくない
IEC 61508に準拠した安全システムをどのように構築したらよいでしょうか。
既存のネットワークには十分な保護がないため、セキュリティプロトコルをこの時点で実施する必要があります。安全プロトコルは標準プロトコルより上位レベルで実行されます。想定されるエラーや複数のエラーの組合せを特定して排除するためには、メカニズムを統合する必要があります。
上位レベルのPROFIsafeプロトコルによりデータの完全性を確保
エラー検出措置の例:
- 正しいシーケンスを確保する連続テレグラムカウンタ
- データ破損を防ぐために、チェックサム(CRC)を使用して監視を実施可能
- 遅延を検出するために、新しいテレグラムごとに「ウォッチドッグ」をトリガ
これらのエラー検出措置と伝送ネットワークの要件の欠如により、ネットワーク経由のデータ伝送の完全性を監視することが可能です。
エラーが検出された場合に何が起きるでしょうか。
__許容できないエラー__が検出されたらすぐに、システムは計算に代替値を使用するだけです。通信の誤作動の場合は、安全コントローラに関する計算に__代替値「0」__が使用されます。これは例えば、安全入力に対して非常停止が起動されなかった場合に発生します。つまり、非常停止が起動されたかのように、安全状態「0」が想定されます。出力方向では、出力モジュールがデータの完全性を監視します。ここでエラーが検出された場合、代替値が出力されます。この場合、機能安全を確保するため、モジュールのすべての安全出力がオフになります。
この機能は無線接続経由のデータ伝送にも利用できます。ネットワークが、例えばWLANまたはBluetooth経由での伝送を許可するとすぐに、安全関連データも伝送することができます。ここでは、帯域幅が削減され、伝送時間が延長することを考慮する必要がある場合があります。クラウドサービスを使用して、安全信号を離れた場所に伝送することもできます。
高度に分岐したシステム:クラウドサービス経由で安全関連信号を伝送
ブラックチャネルは機械と機器の可用性にどう影響するのでしょうか。
適切に設置された現代のネットワークには、可用性に関する課題はありません。しかし例えば、終端抵抗がない、または反射があり等電位ボンディングが劣るなどの、設置方法が劣るPROFIBUS DPシステムを改善することは不可能です。その結果、可用性が減少する可能性が高くなります。
ブラックチャネルの原理の背後にあるコンセプトにより安全信号と標準信号を組み合わせて伝送することが、ほぼすべての伝送媒体で可能になります。この原理は、現代の機能安全テクノロジの基礎です。