Zuverlässiges WLAN für Sicherheitsanwendungen MSc, Dipl.-Ing. (FH) Markus Rentschler, studierte bis 1993 an der FH Konstanz und an der Heriot-Watt-University in Edinburgh. Seit 1999 ist er bei Hirschmann Automation & Control in der Entwicklung tätig und leitet die Systemtestabteilung. Dipl.-Ing.(FH) Arndt Christ, studierte bis 1997 an der FH Ulm. Seit 2001 ist er bei Pilz GmbH & Co. KG im Bereich Customer Support in der aktuellen Position als Gruppenleiter im Technischen Support tätig.

Reliable Parallel Redundant WLAN for Safety Applications Wireless LAN according to IEEE 802.11 is often regarded unsuitable as communication channel for real-time and safety applications. Non-determinism and interference liability on a shared medium leads to packet loss, exceeded and variable latency times due to retransmissions. In the following, a method is presented that compensates such consequences of stochastic channel fading by the parallel operation of diverse wireless channels, applying frequency and space diversity techniques. A fault-tolerant wireless “black channel” is achieved that is able to fulfill soft real-time availability. This is realized with standard WLAN components and the “Parallel Redundancy Protocol” (PRP) according to IEC 62439-3. Proof-of-concept is achieved through measurements on an experimental setup with SafetyNET p nodes.

Black Channel, Industrial Ethernet, Parallel Redundancy, PRP, WLAN, WiFi, 802.11

1. Einführung Funkübertragung mit WLAN nach IEEE 802.11 [1] wird meist als ungeeigneter Kommunikationskanal für Echtzeitanwendungen mit erhöhten Anforderungen angesehen. Nichtdeterminismus und Störanfälligkeit dieses Mediums führt zu Paketverlusten sowie überhöhten und variablen Latenzzeiten aufgrund von Übertragungswiederholungen. Sicherheitsanwendungen mit schnellen Kommunikationszykluszeiten können daher normalerweise nicht zuverlässig -also mit hoher Anlagenverfügbarkeit- über herkömmliche WLAN-Verbindungen betrieben werden. Auf der anderen Seite ist WLAN nach IEEE802.11 eine ausgereifte und weit verbreitete Technik und ihre Komponenten preisgünstig als COTS-Produkte erhältlich. Nach Methoden, welche die Übertragungseigenschaften von WLAN verbessern könnten, wird daher schon seit längerer Zeit intensiv geforscht. Im Folgenden wird eine neue Lösung vorgestellt, die das nichtdeterministische Verhalten von herkömmlichen WLAN auf statistischer Basis durch die Anwendung von Parallelredundanz erheblich verbessert. Mit der Anwendung des sicheren Feldbusprotokolls SafetyNET p [2] über einen derartigen „Black Channel“ wird die Tauglichkeit des Verfahrens nachgewiesen.

2. Kommunikation in sicherheitsgerichteten Systemen Neben der Überwachung der Funktionen von Schutzeinrichtungen an Maschinen und Anlagen haben sicherheitsgerichtete Systeme die Aufgabe zu erfüllen, bei erkannten Fehlerzuständen innerhalb einer definierten maximalen Reaktionszeit in den sicheren (sog. „Fail Safe“) Zustand zu wechseln. Diese maximale Reaktionszeit bemisst sich dabei an der Zeitspanne, außerhalb derer eine Gefährdungen von Mensch und Maschine auftreten kann. Die Einhaltung dieser maximalen Reaktionszeit muss daher beim Entwurf der Anlage sichergestellt und nachgewiesen werden. Ist dabei in der technischen Verarbeitungskette auch eine Datenkommunikation beteiligt, müssen dort üblicherweise korrespondierende definierte Antwortzeiten bzw. Kommunikationszykluszeiten der Übertragungsmechanismen eingehalten werden. Es besteht also ein definierter Zusammenhang zwischen der vom Sicherheitssystem geforderten maximalen Reaktionszeit und der hierzu unbedingt einzuhaltenden Kommunikationszykluszeit des verwendeten Kommunikationsverfahrens.

3. „Black Channel“- Prinzip Um die Anforderungen für sicherheitsgerichtete Systemen erfüllen zu können, muss beim Systementwurf und der Entwicklung die Einhaltung von einschlägigen Normen wie der IEC 61508 nachgewiesen werden. Wenn in solchen sicherheitsgerichteten Systemen Kommunikationsverfahren - wie zum Beispiel Ethernet - verwendet werden, für die dieser Nachweis nicht möglich ist, sind gesonderte Maßnahmen erforderlich. Hierzu muss üblicherweise ein Sicherheitsprotokoll, welches dem Sicherheitsniveau des sicherheitsgerichtetem Systems entspricht, zwischen die Sicherheitsanwendung und den Standardkommunikationskanal integriert werden, welches Übertragungsfehler der darunterliegenden Kommunikationsschichten erkennt und beherrscht. Dieses Verfahren wird auch „Black Channel“ - Prinzip genannt. Beispiele für Übertragungsfehler auf Ebene der Protokollpakete im „nichtsicheren“ Kanal sind: • • • • • • •

Wiederholung Verlust Einfügung Falsche Abfolge Verfälschung Verzögerung Vermischung von sicheren und nichtsicheren Telegrammen.

Bild 1: „Black Channel Prinzip“

Stellt das Sicherheitsprotokoll einen derartigen Fehler fest, wird eine Fehlerreaktion eingeleitet. Im besten Fall kann der Übertragungsfehler noch beherrscht und damit toleriert werden. Erkennt das Sicherheitsprotokoll ein Fehlverhalten der Kommunikation, muss die Anlage in einen sicheren Zustand überführt werden, was aber häufig zum Stillstand und damit zu einem Produktivitätsverlust der Anlage führt. Um das zu vermeiden, sollte die verwendete Infrastruktur eine möglichst fehlerfreie Kommunikation in Bezug auf die genannten Übertragungsfehler aufweisen. Bei kabelgebundener Infrastruktur sind solche Übertragungsfehler im Normalbetrieb so gut wie ausgeschlossen, während bei herkömmlicher Funkübertragung diese Übertragungsfehler vor allem bei kleinen Zykluszeiten häufig vorkommen können. Da die Anlagenverfügbarkeit durch häufige Wechsel in den sicheren (sog. „Fail Safe“) Zustand unakzeptabel niedrig würde, sind diese Funkübertragungsverfahren für sicherheitsgerichtete Systeme nicht oder nur eingeschränkt -z.B. für langsame Kommunikationszykluszeiten- geeignet.

4. SafetyNET p SafetyNET p [2] ist ein auf dem Ethernet Standard IEEE 802.3 basierendes sicherheitsgerichtetes Feldbusprotokoll, welches von der Pilz GmbH & Co. KG entwickelt und erstmals im Jahre 2006 vorgestellt wurde. Es ist in den Normen IEC 61158 (Basiskommunikation), IEC 61784-2 (Echtzeit-Kommunikation) und IEC 61784-3-18 (Sicherheitsprofil) spezifiziert. Alle Sicherheitsmechanismen, welche die sichere Kommunikation ermöglichen, sind in den Protokollen von SafetyNET p gekapselt. Die sichere Kommunikation von SafetyNET p erfüllt SIL 3 nach IEC 61508 und PL „e“ nach EN ISO 13849-1 bzw. SIL3 nach EN/IEC 62061. Netzwerkkomponenten wie Ethernet-Kabel und Switch werden dabei als transparent betrachtet und müssen daher entsprechend dem „Black Channel“ Prinzip behandelt werden. Da verschiedene Anwendungen in einer industriellen Kommunikation unterschiedliche Anforderungen an die Kommunikationszykluszeit stellen, stehen in SafetyNET p zwei Verfahren zur Verfügung [2].

4.1

RTFL (Real-time Frame Line) RTFL setzt direkt auf der Schicht 2 des OSI Referenzmodells auf und ist für schnellste Echtzeitanwendungen wie Bewegungssteuerungen optimiert. Das deterministische Zeitverhalten erlaubt im besten Einsatzfall Zykluszeiten von 62,5 Mikrosekunden und unterstützt so auch zeitkritische Anwendungen. Durch Verwendung von Zweiport-Geräten mit integrierter Hardware-Unterstützung für RTFL werden Netzwerktopologien über einfache Daisy-Chain (Linientopologie) Verkabelungen erstellt.

Bild 2: „SafetyNet p im OSI-Schichtenmodell“

4.2 RTFN ( Real-time Frame Network) Das UDP/IP basierte RTFN Protokoll setzt auf der Schicht 4 des OSI Referenzmodells auf und erlaubt es, verschiedene ethernetbasierte Protokolle zur gleichen Zeit im Netzwerk zu betreiben. Dieses Prinzip bietet daher eine maximale Koexistenz mit anderen, auf derselben Leitung vorhandenen Diensten. Es können herkömmliche COTS Infrastrukturkomponenten verwendet und flexibel unterschiedlichste Netzwerk-Topologien wie Stern, Baum oder Linie aufgebaut werden. RTFN erlaubt minimale Zykluszeiten bis herunter zu 1ms. Da in SafetyNET p die Kommunikationsmodelle „Publisher/Subscriber“ bzw. „Producer/Consumer“ zum Einsatz kommen, gibt es keinen zentralen Master für die Verarbeitung der Prozesssignale und die Steuerung der Kommunikation. Die Publisher oder Producer veröffentlichen Daten auf dem Netzwerk, welche von den Subscribern oder Consumern abonniert werden. Der Publisher der Daten muss den Consumer nicht kennen. Durch diese Multimaster-fähige Steuerungsarchitektur können Anlagen und Maschinen modular und flexibel erweiterbar aufgebaut werden, was eine hohe Zukunftssicherheit für den Betreiber bereitstellt.

5. PRP nach IEC 62439-3 Das „Parallel Redundancy Protocol“ (PRP) [3] ist seit 2010 im Standard IEC 62439-3 „Industrial communication networks: high availability automation networks“ definiert. Es ist ein Layer 2 Redundanzverfahren, welches von höheren Schichten unabhängig ist und sich für die in IEC 61784 beschriebenen Echtzeit Ethernet Mechanismen eignen soll. PRP wurde für Automatisierungsnetzwerke entwickelt, die eine hohe Verfügbarkeit erfordern, um eine kontinuierliche Betriebsfunktionalität zu gewährleisten. Während rekonfigurationsbasierte Redundanzprotokolle wie RSTP oder MRP bei Fehlern im Netzwerk immer eine gewisse Umschaltzeit für eine Neukonfigurierung benötigen, bietet das PRP-Protokoll im Fehlerfall eines der beiden redundanten Netzwerke einen stoßfreien kontinuierlichen Betrieb, bei dem kein Datenpaket bei der Übertragung verloren geht oder verzögert wird. Bild 3 zeigt die grundsätzliche Netzwerkarchitektur für Endknoten mit PRP-Fähigkeit. Jeder PRP-Knoten, ein sog. „Dual Attached Node“ (DAN) ist an zwei Netzwerke, hier LAN A und LAN B, angebunden. Da PRP ein Layer 2 Protokoll ist, muss das Protokoll der beiden Netzwerke auf der MAC-Ebene identisch sein. Topologie, Performance und Latenz können bei beiden Netzwerken unterschiedlich sein, die Latenzen dürfen jedoch nur bis zu einer gewissen Grenze differieren, da PRP ein auf Paketsequenznummern basierendes Sliding-Window-Protokoll mit endlicher Fensterkapazität ist. Die Netzwerke müssen so ausgelegt sein, dass sie unabhängig voneinander ausfallen. Falls bei einem Netzwerk ein Kabel gezogen wird, darf das andere davon nicht beeinflusst werden. Grundsätzlich darf daher keine direkte Verbindung zwischen den beiden LANs bestehen.

Bild 3: „Parallel Redundantes Netzwerk“

Das Anschalten eines „Single Attached Node“ (SAN), d.h. eines Endknoten ohne PRP-Fähigkeit, kann durch eine sog. „Redundancy Box“ (RedBox) erfolgen, die sich am parallel redundanten Netz wie ein DAN verhält.

6. WLAN nach IEEE 802.11 „WLAN“ (Wireless LAN) oder „WiFi“ sind gängige Begriffe für die in der IEEE 802.11 Dokumentenserie [1] definierten Funkübertragungsstandards (802.11a/b/g/n), die eine große Varianz hinsichtlich genutzter Frequenzen und Modulationsverfahren erlauben. WLAN wird auch als die drahtlose Erweiterung des auf IEEE 802.3 basierenden Ethernet verstanden und arbeitet nahtlos auf Basis der TCP/IPProtokollsuite mit diesem zusammen. Für industrielle Anwendungen mit hohen Anforderungen an Zeitkritikalität hingegen ist WLAN nur eingeschränkt geeignet, da aufgrund der Störanfälligkeit des Mediums der Luftschnittstelle Paketverluste und -wiederholungen zu nichtdeterministischem Zeitverhalten führen.

7. Diversität in der Funkübertragungstechnik Das Konzept der Diversität wird auf vielen technischen Gebieten schon lange angewendet. Der grundsätzliche Ansatz von Diversität in der Nachrichtentechnik ist die redundante Übertragung von Daten über stochastisch unabhängige Kanäle, die nur zu einer geringen Wahrscheinlichkeit zur selben Zeit fehleranfällig sind. In der Funkübertragungstechnik unterscheidet man grundsätzlich zwischen folgenden Formen von Diversitäts-Betriebsarten [4]: • Zeitdiversität Nutzdaten werden mehrmals zeitlich versetzt über denselben Kanal gesendet, um zeitabhängige Schwankungen der Signalstärke auszugleichen. Dieses Verfahren ist jedoch nur eingeschränkt bei Echtzeit-Systemen anwendbar, da Zykluszeiten nur bis zu einem gewissen Punkt eingehalten werden können.

• Raumdiversität Dabei werden zwei oder mehr Sende-Empfangs-Wege betrieben. Realisiert wird dies meistens durch räumlich getrennte Antennen. Der Empfänger wählt das stärkste empfangene Signal aus. • Frequenzdiversität Dasselbe Signal wird zeitgleich über zwei oder mehrere Trägerfrequenzen übertragen. Bei Störungen oder einer kompletten Signalauslöschung ist zu erwarten, dass nicht alle verwendeten Frequenzbereiche davon betroffen sind. Bei der parallelen Übertragung des Signals werden zwei Sender und Empfänger parallel betrieben und dadurch zwei Frequenzbänder belegt.

Bild 4: „Diversitäres Funksystem“, bestehend aus mehreren parallelen Übertragungskanälen.

Ein wichtiges Element in solch einem diversitären Übertragungssystem ist der sog. „Combiner“, welcher die diversitär redundanten Signale empfangsseitig wieder zusammenführt, beziehungsweise das bessere zur weiteren Verarbeitung auswählt. Die „Combiner“-Technologien werden nach [4] traditionell wie folgt klassifiziert: 1) Scanning Combiner 2) Selection Combiner 3) Maximal-Ratio Combiner 4) Equal-Gain Combiner Dabei werden immer nur die diskreten Signalzustände zu einem bestimmten Zeitpunkt auf den redundanten Kanälen betrachtet, bei einer digitalen Übertragung also beispielsweise auf Bit- oder Bytebene. Im Falle einer duplizierten paketorientierten Datenübertragung wird aber als Signal eine längere Bitfolge über einen bestimmten Zeitraum übertragen, die als eine zu betrachtende Signaleinheit definiert werden kann. Diese Signalfolge kann z.B. inhaltlich ein Ethernetpaket sein. Für diesen Spezialfall kann als Ableitung des „Selection Combiner“ der sog. „Timing Combiner“ wie folgt definiert werden: Bei Übertragung solcher längerer Signaleinheiten (z.B. Ethernetpaketen) kann der Ankunftszeitpunkt einer Kopie der vollständigen und integren Signaleinheit bei unterschiedlich gestörten parallelen Übertragungskanälen auf der Empfängerseite zu signifikant unterschiedlichen Zeitpunkten stattfinden, z.B. aufgrund von Übertragungswiederholungen auf einem einzelnen der Funkkanäle. Der „Timing Combiner“ als Ableitung des „Selection Combiner“ trifft in diesem Fall die Weiterleitungsentscheidung bei der ersten vollständig und integer empfangenen Kopie der Signaleinheit. Der Vorteil dieses Verfahrens liegt in einer statistischen Verbesserung des Zeitverhaltens in Bezug auf die Latenzvariabilität (Jitter), da immer die früher ankommende Signaleinheit (z.b. Ethernetpaket) „gewinnt“.

8. Parallel Redundantes WLAN Die Anwendung von PRP als Splitter und Combiner erlaubt die einfache Realisierung eines diversitären Funksystems auf Basis von COTS-Komponenten, nämlich PRPRedBoxen und WLAN-Geräten, die einfach über Ihre Ethernet-Schnittstellen miteinander verbunden werden und nach entsprechender Konfiguration der Funkparameter betriebsbereit sind.

Bild 5: „Safety über parallel redundantes WLAN“: Zwei diversitär redundante WLAN Kanäle sorgen für eine statistische Erhöhung der Zuverlässigkeit des Gesamtübertragungskanals.

8.1.

Messergebnisse

Das beschriebene Verfahren mit SafetyNET p (RTFN) als Applikation wurde in [5] messtechnisch verifiziert. Dabei wurde eine mehrere Größenordnungen umfassende Zunahme der Übertragungszuverlässigkeit über den parallel redundanten WLANKanal festgestellt (Bild 6). In [5] wurden auf Applikationsebene optimale Werte erreicht, wenn gewisse Kommunikationszykluszeiten von SafetyNET p nicht unterschritten wurden. In der untersuchten Konstellation liegt diese Untergrenze mit drei gleichzeitigen SafetyNET p Kommunikationsströmen bei 30ms Zykluszeit für jede der Kommunikationsbeziehungen. No

WLAN

Kanal Nr.

Zyklus zeit

I

A (802.11a) B (802.11a) A (802.11n) B (802.11n) A (802.11a) B (802.11a) A (802.11n) B (802.11n)

36 108 36 108 36 108 36 108

30ms

II III IV

20ms 15ms 15ms

Anzahl der FailSafe Transitionena 40 44 10659 9502 12899 16774 13079 22792

0 1 7 2

Fehlerrate λ [1/h] 0.238 0.262 63,4 56,6 79.78 99.85 77,85 135,7

0 0,006 0.041 0,011

a. gemessen über einen Beobachtungszeitraum von einer Woche

Bild 6: „Zuverlässigkeitsmessung“: In verschiedenen WLAN- und Zykluszeit-Konstellationen wurden jeweils eine Woche lang die Anzahl der Übergänge in den „Fail-Safe“-Zustand gemessen. Im Vergleich der Einzelkanäle mit dem Gesamtkanal wurde eine Erhöhung der System-Zuverlässigkeit um mehrere Größenordnungen festgestellt.

Maximum Latency (5 ms cycle time) 7000

PRP WLAN A

6000

WLAN B

Time [µs]

5000 4000 3000 2000 1000 0 64

128

256

512

1024

1280

Packet size [bytes]

Bild 7: „Latenzmessung“: Die maximale Latenz ist beim PRP Gesamtkanal immer geringer als in den Einzelkanälen. Average Jitter (5 ms cycle time) 200

PRP

180

WLAN A

160

WLAN B

Time [µs]

140 120 100 80 60 40 20 0 64

128

256

512

1024

1280

Packet size [bytes]

Bild 8: „Jittermessung“: Die Latenzvariabilität (Jitter) ist beim PRP Gesamtkanal immer geringer als in den Einzelkanälen.

In [6] wurde weitere Messungen auf Ebene der Ethernet-Paketübertragung durchgeführt (Bild 7, 8, 9). Dabei wurde im wesentlichen festgestellt, dass die Grenze des Verfahrens vom Datendurchsatz auf den WLAN-Strecken bestimmt wird (Bild 9) Deshalb sollte diese Grenze für die jeweilige WLAN-Konstellation ermittelt und durch eine sorgfältige Dimensionierung der Kommunikationsbeziehungen bei der Netzwerkplanung berücksichtigt werden.

Packet Loss vs. Line Rate (1024 Bytes) 70

PRP WLAN A

60

WLAN B Packet Loss [%]

50 40

Der optimale Arbeitspunkt liegt in diesem Bereich

30 20 10 0 5

7

9

11

13

15

17

19

21

23

Line Rate [%]

Bild 9: „Paketverlustmessung bei 1024 Bytes Paketgröße“: Bis zu einer gewissen Durchsatzgrenze bleibt der Paketverlust nahe Null. Das WLAN-System sollte daher für einen Betrieb in diesem Bereich geplant werden.

9. Fazit Die Verfügbarkeit von „Redundanzboxen“, die das „Parallel Redundancy Protocol“ (PRP) [3] nach dem Standard IEC 62439-3 bereitstellen, ermöglicht seit kurzer Zeit auf einfache Weise die Erstellung parallel redundanter Netzwerke. Durch die Verwendung von PRP als „Splitter“ und „Combiner“ kann damit auch ein diversitär redundantes Funkübertragungssystem realisiert werden. Das beschriebene Verfahren erlaubt den praxistauglichen Betrieb von sicherheitsgerichteten Anwendungen über WLAN nach IEEE 802.11 (oder andere Funkstandards). Durch Parallelredundanz wird auf statistischer Basis eine signifikante Erhöhung der Übertragungszuverlässigkeit erreicht. Die Grenzen des Verfahrens bezüglich optimaler Anlagenverfügbarkeit werden im Wesentlichen vom Datendurchsatz auf den WLAN-Strecken bestimmt. Da in industriellen Applikationen das Datenaufkommen üblicherweise relativ exakt bekannt ist, können diese Grenzen im Rahmen einer sorgfältigen Anlagenplanung berücksichtigt werden. Wenn während des Betriebs dieser geplante Datendurchsatz nicht signifikant und dauerhaft überschritten wird, steht mit parallel redundantem WLAN auf Basis von preisgünstigen COTS-Komponenten eine attraktive Lösung für viele Applikationsprobleme zur Verfügung.

Referenzen [1] IEEE 802.11-2011, Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specifications; available at http://standards.ieee.org [2] Safety Network International; “SafetyNET p Systemdescription V1.0”; available at http://www.safety-network.org [3] H. Kirrmann, M. Hansson, P. Muri; “IEC 62439 PRP: Bumpless recovery for highly available, hard real-time industrial networks“; ETFA 2007, Patras, Greece. [4] D.G. Brennan, "Linear diversity combining techniques," Proc. IRE, vol.47, no.1, pp.1075–1102, June 1959 [5] M. Rentschler, P. Laukemann; “Towards a Reliable Parallel Redundant WLAN Black Channel”; WFCS 2012, Lemgo, Germany [6] M. Rentschler, P. Laukemann; “Performance Analysis of Parallel Redundant WLAN”; ETFA 2012, Krakow, Poland