Profisafe

Profisafe (Process field safety) (Eigenschreibweise: PROFIsafe) ist ein Standard für ein Kommunikationsprotokoll zur Übertragung sicherheitsrelevanter Daten in Automatisierungsanwendungen mit funktionaler Sicherheit.^[1] Dieser Standard wurde von mehreren Automatisierungsgeräteherstellern gemeinsam entwickelt, um die Anforderungen des Gesetzgebers und der IFA an sichere Anlagen erfüllen zu können. Die geforderte sichere Funktion des Protokolls wurde vom TÜV Süd geprüft und bestätigt. Die PROFIBUS Nutzerorganisation e.V. in Karlsruhe betreut die Standardisierung für die Partnerfirmen und organisiert die Förderung dieser gemeinsamen Schnittstelle.

Systemaufbau

Profisafe^[2] definiert, wie sicherheitsgerichtete Geräte (Not-Aus-Taster, Lichtgitter, Überfüllsicherungen, …) über Profinet, Profibus oder eine Backplane mit Sicherheitssteuerungen so sicher kommunizieren, dass sie in sicherheitsgerichteten Automatisierungsaufgaben bis SIL3 (Safety Integrity Level) eingesetzt werden können. Durch die Spezifikation von Profisafe können Produkte unterschiedlicher Hersteller zu einem sicheren System kombiniert werden.

Anwendungen

Profisafe wird überall dort eingesetzt, wo bewegliche Objekte Personen gefährden können und das Verletzungsrisiko auf das vom Gesetzgeber geforderte Minimum reduziert werden muss. Dies ist nicht nur bei Seilbahnen und Türen von Zugkompositionen der Fall, sondern auch bei Förderanlagen, Werkzeugmaschinen und Robotern im industriellen Umfeld.^[3]

Marktrelevanz

Bereits 1998 wurde die erste Version von Profisafe veröffentlicht.^[4][5] Mit einer zweiten Version im Jahr 2005 wurde auch der Einsatz über das Ethernet-basierte PROFINET ermöglicht. Bis zum Jahr 2022 werden nach Angaben der PROFIBUS Nutzerorganisation e.V. insgesamt fast 19 Millionen Geräte mit Profisafe von den verschiedenen Herstellern in Verkehr gebracht und jedes Jahr kommen weitere 2,6 Millionen Geräte hinzu.^[6] In der Datenbank der PROFIBUS Nutzerorganisation e.V. sind im Oktober 2022 106 verschiedene Produkte von 31 verschiedenen Herstellern eingetragen.^[7]

Funktionsprinzip

Bei Profisafe wird die sichere Kommunikation über ein Profil, d. h. über ein spezielles Format der Nutzdaten und ein zusätzliches Protokoll realisiert.^[8]

Sicherheitsrelevante Daten werden mit Profisafe^[9] als F-Nachrichten zwischen einem F-Host (Sicherheitssteuerung) und seinem F-Device (Sicherheitsgerät) als Nutzfracht in einem Telegramm eines industriellen Netzwerkes transportiert. Im Fall eines modularen F-Devices mit mehreren F-Modulen besteht die Nutzfracht aus mehreren F-Nachrichten. Dabei stellt Profisafe keine weiteren Anforderungen an den Übertragungskanal, dieser wird als Black Channel betrachtet. Somit können verschiedene Transportprotokolle wie Profibus oder Profinet verwendet werden. Unterschiedliche Übertragungskanäle wie Kupferkabel, Lichtwellenleiter (LWL), Rückwandbus oder drahtlose Systeme wie WLAN können eingesetzt werden. Weder die Übertragungsraten noch die jeweilige Fehlererkennung des Transportprotokolls spielen eine Rolle für die Sicherheit.

In der nachfolgenden Abbildung ist das Format der Nutzfracht einer „Safety Protocol Data Unit (SPDU)“^[10] dargestellt:

Nutzdaten	Status/Control Byte	CRC Signatur
1 bis 12/13 (maximal 123) Bytes	1 Byte	4 Bytes

Die Zyklische Redundanzprüfung (CRC Signatur) wird dabei über alle lokalen Sicherheitsparameter, die übertragenen Daten und die lokal abgespeicherte Monitoring-Nummer der SPDU gerechnet. Damit wird sichergestellt, dass alle Informationen des Senders und des Empfängers konsistent sind, ohne alle Parameter immer übertragen zu müssen.

Anhand der Monitoring-Nummer kann der Empfänger nachvollziehen, ob er die Nachrichten vollzählig und in der richtigen Reihenfolge erhalten hat. Mit der Quittung gelangt die Monitoring-Nummer innerhalb einer definierten maximalen Verzögerungszeit (Timeout) zur Prüfung zurück zum Sender. Da einige Buskomponenten, wie z. B. Switches, über einen Zwischenspeicher verfügen, wurde für Profisafe eine 32-Bit Monitoring-Nummer gewählt.

Die 1:1 Kommunikationsbeziehung zwischen F-Host und F-Device vereinfacht die Erkennung von fehlgeleiteten F-Nachrichten. Dazu benötigen Sender und Empfänger eine eineindeutige Kennung (Codename) im gesamten Netzwerk, die der Überprüfung der Authentizität von F-Nachrichten dient. Bei Profisafe wird der Codename auch „F-Address“ genannt.

Die nachfolgende Tabelle zeigt auf, welche Fehler von welcher Maßnahme erkannt werden können:

Fehler	Monitoring-Nummer	Timeout	Codename	CRC
Verdoppelung einer Meldung	Ja
Auslöschung einer Meldung	Ja	Ja
Einfügen einer Meldung	Ja	Ja	Ja
Ändern der Reihenfolge von Meldungen	Ja
Veränderung an den Daten				Ja
Verzögerung einer Meldung		Ja
Eine Nachricht gibt sich als sichere Meldung aus		Ja	Ja	Ja
Übertragungspuffer wird (z. B. in einem Switch) entfernt	Ja

Spezifikation

Die internationale Norm IEC 61508 Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme^[11] und IEC 62061 Sicherheit von Maschinen – Funktionale Sicherheit sicherheitsbezogener elektrischer, elektronischer und programmierbarer elektronischer Steuerungssysteme^[12] sind auch die Basis für Profisafe.

In der internationalen Norm IEC 61784-3 werden unterschiedliche Protokolle für sichere Systeme mit vergleichbaren Eigenschaften definiert. Profisafe ist Teil 3 dieser Normensammlung und ist somit als IEC 61784-3-3:2021 CPF 3^[13] definiert.

Siehe auch

• Sicherheitseigenschaften von Feldbussen
• IO-Link Safety
• OpenSAFETY
• Safety over EtherCAT
• SERCOS III und funktionale Sicherheit
• SafetyNET p

Weblinks

• PROFIsafe (deutsch) Technologie-Details
• Profinet Website Überblick zu Profisafe