Timo Malm: TURVAVÄYLÄT
VTT s organisation BOARD EXECUTIVES A D V I S O R Y C O M M I T T E E S VTT Electronics VTT Information Technology VTT Industrial systems VTT Biotechnology and Food Research VTT Processes VTT Building and Transport VTT Information Service, Internal Services TURVAVÄYLÄ seminaari 13.-14.11.2002 Finnjet 2 9 / 1999
Organisation of VTT Industrial Systems 1.4.2002 INTERNAL BOARD Chairman Jarl Forstén Executive Director Jouko Suokas Research Director Heikki Kleemola ADVISORY BOARD Chairman Antti Kaunonen PERSONNEL Päivi Mäkelä PRODUCTION ENGINEERING PRODUCT PERFORMANCE RELIABILITY AND RISK MANAGEMENT INTELLIGENT PRODUCTS AND SERVICES PRODUCTION SYSTEMS MATERIALS AND STRUCTURAL INTEGRITY FINANCE Sirpa Simpanen Risto Kuivanen Harri Soininen Perttu Heino Pertti Peussa Rauno Heinonen Rauno Rintamaa MARKETING Teijo Salmi QUALITY Aulis Liljeroos Production and manufacturing technologies Simulation and safety of production Performance Vehicle technology Condition monitoring Simulation Risk management Dependability Wireless technologies In & outdoor navigation Intelligent products Mobility and services Automation systems Process simulation Human-technology interaction Enterprise networks Materials and structural integrity Life management IT Pasi Liimatainen Virtual prototyping Vibration and noise control PLANNING Markku Lumme Person years 120 80 90 80 90 120 TURVAVÄYLÄ seminaari 13.-14.11.2002 Finnjet 3
TUOTANTOTEKNIIKKA 128 TUO 21 Johto, tukipalvelut, vahtimestaripalvelut 11 Tutkimuspäällikkö Risto Kuivanen T.p. v. Simo-Pekka Hannula T.p.v. (Tampere) Matti Lehtimäki Aluesihteeri Kirsi Piitulainen Seija Flinck (Otaniemi) TUO22 Ihminen-kone - turvallisuus TUO23 Puhdas tuotanto TUO24 Tuotannon kehitys TUO25 Pinta- ja sädetekniikka TUO26 Elektroniikan tuotetekniikka TUO27 Valmistusmenetelmät Talous Sirkka-Liisa Tuomivuo (esik.) Laatu Mikrotuki Jarkko Wallenius Minna Kirkinen Jari Karjalainen v. Timo Määttä Turvallisuustekniikka ja turvalaitteet ja ergonomia Konedirektiivi ja turvallisuusstandardit Ohjausjärjestelmät Työkoneiden mallinnus ja rakenteelliset laskelmat Ihminen-kone - järjestelmät Seppo Enbom v. Arto Säämänen Hiukkassuodatus ja mittaustekniikka Kaasusuodatus ja mittaustekniikka Tuotantotilojen ilman jaon ja epäpuhtauksien hallinta Työhygienia/ turvallisuus Staattinen sähkö Paavo Voho v. Juhani Heilala Tuote- ja tuotantoprosessit Tuotannon virtuaalitekniikka Ex-testaus ja tarkastus, ESDmittaukset Ympäristövaikutukset Kokoonpanotekniikka Prosessijohtaminen Jari Koskinen v. Kalervo Leino Pintakäsittelyprosessit Kehittyneet pinnoitteet Analytiikka Pinnoitteiden testaus Ympäristöä vähemmän kuormittavat pintakäsittelyt Sädetyöstö (laser, EB) Hitsaustekniikka Hannu Hossi V. Olavi Nevalainen Elektroniikan luotettavuus Tuotteiden ympäristötestaus Ajoneuvovalojen ja lasien testaus Nopeudenvalvontat utkien kalibrointi Pentti Eklund v. Martti Vilpas Hitsaus Valimot Koneistus, mikrotyöstö perinteisin menetelmin Sulakerrostustekniikka Jauhemetallurgia Lämpökäsittely Tuotannon simulointi 13 Ohutlevyjen liittämistekniikat Virtuaaliympäristöt Henkilötyövuodet 23 15 28 22 17 TURVAVÄYLÄ seminaari 13.-14.11.2002 Finnjet 4
Koneiden kehittämispalvelut Koneautomaation turvallisuussuunnittelu Ohjausjärjestelmäanalyysit Koneen rakenteellisen lujuuden laskennan työkalujen kehittäminen Vahinkoselvitykset Koneiden EY-tyyppitarkastus Koneiden ja järjestelmien CE - merkintäkonsultointi Henkilönostolaitteet Kaivosautomaation laitteet ja järjestelmät Työkoneet Kappaletavara-automaatio Turvalaitteet TURVAVÄYLÄ seminaari 13.-14.11.2002 Finnjet 5
Turvallisuuteen liittyvien toimintojen toteutus ja kunnossapito kenttäväyliin ja langattomuuteen perustuvissa koneenohjausjärjestelmissä (KETU) Projektin toteutus: VTT Tuotteet ja tuotanto Hankkeessa mukana: Työsuojelurahasto, VTT, Sandvik Tamrock, Timberjack, Kalmar Industries, Konecranes, Metso Minerals Validation of communication in safety-critical control systems (NT-COSAMA) Projektin toteutus: VTT Tuotteet ja tuotanto, SP (Ruotsi), IVF (Ruotsi) TURVAVÄYLÄ seminaari 13.-14.11.2002 Finnjet 6
TURVALLISUUTEEN LIITTYVIEN OHJAUSJÄRJESTELMIEN KEHITYS KONEAUTOMAATIOSSA 1980 1990 2000 Vikamuodot hyvin määritelty START STOP K1 PLC SAFETY PLC K1 OUTPUT TURVAVÄYLÄ seminaari 13.-14.11.2002 Finnjet 7
OHJAUSJÄRJESTELMIIN LIITTYVIÄ STANDARDEJA PUOLUSTUSKEINOJA RISKEJÄ VASTAAN EN 50159 HAJAUTETUT JÄRJESTELMÄT VIKOJEN HALLINTA VIKOJEN VÄLTTÄMINEN OHJELMOITAVA ELEKTRONIIKKA SYSTEMAATTISET VIAT IEC 61508 Draft IEC 62061 ELECTRONIIKKA SÄHKÖ- MEKANIIKKA SATUNNAISET VIAT EN 954-1 pren 954-2 HYDRAULIIKKA PNEUMATIIKKA LUOTETTAVAT KOMPONENTIT TURVALLISUUSPERIAATTEET MEKANIIKKA OHJAUSJÄRJESTELMÄN RAKENNE TURVAVÄYLÄ seminaari 13.-14.11.2002 Finnjet 8
Järjestelmään liittyvät uhat: tapaturma, jne. Järjestelmään liittyvät puolustuskeinot: turvalaitteet, redundanssi jne. Laitteistoon liittyvät uhat: laitevika jne. Järjestelmän uhat ja puolustuskeinot kommunikoinnin kannalta Arkkitehtuuriin ja viestiin liittyvät uhat: membership control, safety code etc. Sanomaan liittyvät uhat: toisto, menetys jne. Peruskeinot riskien minimoimiseen: parannettu luotettavuus Perusriskit: satunnaiset viat, häiriöt, ihmisen tekemät virheet jne. TURVAVÄYLÄ seminaari 13.-14.11.2002 Finnjet 9
KENTTÄVÄYLIEN ETUJA YKSINKERTAISEEN LANGOITUKSEEN VERRATTUNA Helppo kaapelointi Helppo asennus Laaja järjestelmä helpommin hahmotettavissa Helppo muunneltavuus Äly lähempänä laitteita - laskentakapasiteetti lisääntyy Väylät yleistyvät Turvallisuuteen liittyvät sovellukset?? TURVAVÄYLÄ seminaari 13.-14.11.2002 Finnjet 10
Perusväylissä rajoitetusti keinoja riskien maksimoimiseen Käytetään edelleen perustana hyväksikoettua väylätekniikkaa Lisätään riskien minimointikeinoja Erotetaan turvallisuuteen liittyvä liikennöinti muusta liikennöinnistä tai käytetään samaa väylää kaikkeen liikennöintiin TURVAVÄYLÄT TURVAVÄYLÄ seminaari 13.-14.11.2002 Finnjet 11
Arkkitehtuuriin liittyviä kysymyksiä Onko vasteaika kriittinen? Tarvitaanko ajastettuja toimintoja (time-triggered protocol)? Pitääkö järjestelmän sietää yksittäinen vika? Onko redundanssi tarpeen? Käyttävätkö eri prioriteetin viestit samaa mediaa? Tarvitaanko keinoja viestien priorisointiin tai häiritsevien viestien estoon? Voiko yhdellä sanomalla olla monta vastaanottajaa? Tarvitaanko liikennöin osapuolten valvontaa (tila, jäsenyys)? Pääseekö väylälle ulkopuolisia viestejä? Tarvitaanko salaustekniikoita tai lähettäjän tunnistuskeinoja? Onko väylän ylikuormitus otettu huomioon? Tarvitaanko nopeampaa väylää, erillistä väylää nopeille viesteille, erilaista topologiaa? TURVAVÄYLÄ seminaari 13.-14.11.2002 Finnjet 12
Turvallisuuteen liittyvän väylätekniikan suunnittelun alun eräs peruskysymys Alku Onko olemassa stabiili turvallinen tila? Kyllä Sovelletaan esim. EN 50159, perusväylälle ei erityisvaatimuksia Ei Suunnittele järjestelmä, jossa prosessi on hallinnassa vikatilanteissakin Jatka perussuunnittelua TURVAVÄYLÄ seminaari 13.-14.11.2002 Finnjet 13
Perusarkkitehtuureja CPU CPU Yksikanavainen järjestelmä CPU CPU CPU CPU CPU CPU CPU CPU CPU CPU CPU CPU Yksikanavainen tiedonsiirto, kahdennettu CPU Yksikanavainen tiedonsiirto, CPU:t kahdennettu, pääsy yhteiseen tiedonsiirtoon Kaksikanavainen tiedonsiirto, kahdennettu CPU TURVAVÄYLÄ seminaari 13.-14.11.2002 Finnjet 14
SARJAMUOTOISEN LIIKENNÖINNIN RISKEJÄ (EN 50159+) Toisto Viestiä toistetaan niin tiheästi, että muu liikenne häiriintyy tai viesti ei muutu. Menetys Vastaanottaja ei saa viestiä vastaanotettua oikein. Lisäys Vastaanottaja saa ylimääräisen viestin, joka voi olla tarkoitettu toiselle solulle tai häiriöistä muodostuu ylimääräinen viesti TURVAVÄYLÄ seminaari 13.-14.11.2002 Finnjet 15
SARJAMUOTOISEN LIIKENNÖINNIN RISKEJÄ (EN 50159+) Väärä järjestys Sanomat vastaanotetaan väärässä järjestyksessä. Virheellinen viesti Viestin sanoma on vääristynyt esim. häiriöiden seurauksena. Viive Sanoma saapuu myöhässä. TURVAVÄYLÄ seminaari 13.-14.11.2002 Finnjet 16
SARJAMUOTOISEN LIIKENNÖINNIN RISKEJÄ (EN 50159+) Väärä osoite Tahaton tai tahallinen väärä osoite sanomassa. Ristiriitainen tila Järjestelmän soluilla on ristiriitainen käsitys järjestelmän tilasta. Tällöin vastaanottaja odottaa erimuotoista viestiä kuin lähettäjä lähettää. TURVAVÄYLÄ seminaari 13.-14.11.2002 Finnjet 17
Viestin virheiden paljastaminen Paljastumattomat viat Pariteettibitti 2-1 =0,5 16 bit CRC 2-16 =1,5* -5 32 bit CRC 2-32 =2,3* -10 Hamming disctance (HD) kahden sanoman välinen ero bitteinä Bittivirhetaajuuden ollessa huonohko (sanoma vastaanotetaan yleensä hyväksyttävästi) yleensä vain muutaman bitin virheitä. HD on tärkeä. TURVAVÄYLÄ seminaari 13.-14.11.2002 Finnjet 18
Residual error rate estimation R(p)= n!/((e!(n-e)!) p e (1-p) (n-e) p=bit error probability n= message length d= HD Error rate over time Λ= 3600 R(p) ν (m-1)*100 n e=d ν= number of safety relevant messages per second m-1= is the worst case number of transmissions with m participants 100= 1% proportion of safety budget Bittivirhetodennäköisyys (1/s) >10-3 radioyhteys 10-4 suojaamaton datayhteys 10-5 suojattu parikaapeli 10-6 - 10-7 ISDN 10-9 koaksiaalikaapeli 10-12 valokuitu TURVAVÄYLÄ seminaari 13.-14.11.2002 Finnjet 19
Bittivirheiden tehokkaampi paljastaminen CRC:n pidentäminen Sanoman toisto Kuittaus, joka sisältää esim. sanoman tai sanoman CRC:n Muut keinot TURVAVÄYLÄ seminaari 13.-14.11.2002 Finnjet 20
Safety related equipment Safety process +non-safety processes (opt.) Transmission protocols and safety related messages Safety related message Safety related equipment Safety process +non-safety processes (opt.) Non safety related message Non safety related equipment Non safety process EN 50159-1 Safety related transmission functions Safety related transmission functions Safety Related Transmission System Non trusted Transmission system Upper Protocol layers Upper Protocol layers Upper Protocol layers Logical and physical link layers Logical and physical link layers Logical and physical link layers Transmission media TURVAVÄYLÄ seminaari 13.-14.11.2002 Finnjet 21
Defences integrated into standard messages (profisafe) Standard message frame S S S S S Message length Function code Frame checking sequence Starting bits Addresses Data Stop bits max. 244 Bytes Status CRC2 Failsafe data Consecutive number Process data 12-122 Bytes 1 Byte 1 Byte 2/4 Bytes TURVAVÄYLÄ seminaari 13.-14.11.2002 Finnjet 22
Example of a system with standard and safety-related devices (Profisafe) F-Host/F-PLC DP-Master (class 1) Standard-I/O DP-Slave F-I/O DP-Slave Standard-Host/PLC DP-Master (class 1) Profibus DP segment A failsafe and standard users are sharing the same bus Repeater segment B DP/PA F-Gateway F-Device DP-Slave other safe bus systems Standard-I/O DP-Slave Monitoring Device DP-Master (class 2) F-Field Device PA-Slave Master-Slave-mapping TURVAVÄYLÄ seminaari 13.-14.11.2002 Finnjet 23
Examples of defencive methods Sequence number Time stamp Timeout (e.g. watchdog) Safety code (e.g. CRC cyclic redundancy check) Feedback message (acknowledgements and echos) Source and destination identifier Identification procedure Membership control Cryptographic techniques: Redundancy (replication) Time-triggered architecture Bus guardian Inhibit times Prioritisation of messages Alternating messages Hamming distance applied to node addresses or message identifiers TURVAVÄYLÄ seminaari 13.-14.11.2002 Finnjet 24
Threat Defence Sequence number Time stamp Time out Safety code e.g. CRC Feedback message Membership control Identifiers for sender and receiver Replication Time triggered architecture Prioritisation of messages Repetition Inhibit times Alternating messages Hamming distance in identifiers Threats and defences of bus systems Deletion ( ) Insertion Incorrect sequence Corrupted message ( ) ( ) ( ) Delay ( ) Early Excessive jitter ( ) Masquerade Inconsistency TURVAVÄYLÄ seminaari 13.-14.11.2002 Finnjet 25
Examples of validated safety buses for machinery AS Interface "Safety at work (ASI) ProfiSafe (Profibus) Interbus-S Safety (Interbus) EsaLAN (CAN) SafetyBUS p (CAN) DeviceNet Safety (Devicenet) Safety Ethernet (Ethernet) CANopen Framework for Safety-Relevant Communication FlexRay TTP/C TURVAVÄYLÄ seminaari 13.-14.11.2002 Finnjet 26
Uusia tarpeita - Uusia haasteita Tarvitaan yhä monimutkaisempia ja laajempia järjestelmiä Entistä helpompi järjestelmien kytkentä toisiinsa (yhteensopivuus) Langaton tiedonsiirto Nopea laitteiston määrittely Nopea validointi Integroidut turva ja standardijärjestelmät Turvallisuus ja hallittavuussyistä järjestelmä on syytä pitää mahdollisimman yksinkertaisena. Tietoturvallisuus Häiriöiden hallinta Validointi Uskottavuus Muutokset muuttuvat yhä monimutkaisemmiksi. TURVAVÄYLÄ seminaari 13.-14.11.2002 Finnjet 27
Uusia teknologioita tullaan käyttämään turvallisuuteen liittyvissä järjestelmissä sitten kun teknologia on riittävän kypsää ja hyötyodotukset ovat suurempia kuin kehityskustannukset. TURVAVÄYLÄ seminaari 13.-14.11.2002 Finnjet 28
KIITOKSET MIELENKIINNOSTA TURVAVÄYLÄ seminaari 13.-14.11.2002 Finnjet 29