Contribution to IO-Link Wireless Safety – Architecture and System Extensions
Publication date
2024-02
Document type
PhD thesis (dissertation)
Author
Advisor
Referee
Schiller, Frank
Granting institution
Helmut-Schmidt-Universität / Universität der Bundeswehr Hamburg
Exam date
2023-12-11
Organisational unit
DDC Class
620 Ingenieurwissenschaften
Keyword
Wireless communication
IO-Link wireless
Functional safety
Wireless safety
Security
Wireless security
Industrial wireless networks
Wireless sensor networks
Safety critical systems
IIoT
Industry 4.0
Energy efficiency
Embedded system
Energy consumption
IO-Link safety
IO-Link
Embedded security
Abstract
Functional safety systems protect humans and equipment from hazards while machines or humans perform automation processes. Therefore, the systematic and safe design of functional safety protocols and systems together with appropriate safety management and maintenance concepts is critical and must follow quality standards.
In the field of production automation, IO-Link Wireless (IOLW) offers energy-efficient and cost-effective solutions for wireless sensors/actuator communication close to the machines on the industrial shop-floor. In case of safety applications within IO-Link (IOL), currently only a wired extension of a functional safety protocol, called IO-Link Safety (IOLS), exists. Thus, the applied safety features in IOLS are not sufficient for a safety extension of IOLW. Therefore, a safety concept proposal to enhance IOLW with safety features is suggested. This proposal is realized for safety critical communication in industrial environments with performance characteristics of demanding safety integrity level (SIL) 3 requirements.
As also data security is of paramount importance, security-for-safety mechanisms are adopted for IOLW Safety, especially to meet the necessary criteria within the safety requirement specification (SRS) to ensure a one-to-one connection between an IOLW Master and an IOLW Device. Potential cryptographic algorithms are evaluated with respect to energy consumption and timing. Reliable and energy-efficient characteristics are crucial for a fast and secure wireless communication solution, especially for mobile safety applications. Therefore, the current consumption should not significantly increase due to implemented cryptographic algorithms. A current measurement method is designed to evaluate the current consumption for different crypto-algorithms together with an uncertainty estimation.
Furthermore, a SRS is elaborated together with an authorized certification organization with a profound focus on standards (mainly IEC 61508 and IEC 61784-3) regulating the probability of dangerous failure on demand (PFD) addressed within SRSs. Also, relevant security standards (e.g., IEC 62443) involving security-for-safety for IO-Link Wireless Safety (IOLWS) are considered. The PFD is determined using probabilistic models to verify the regulations stated in the standards. Taking performance parameters into account, which are crucial for industrial manufacturing processes, a safety process data unit (SPDU) is designed and certified by the authorized safety organization for different payload lengths and cycle times. This is necessary, because for various applications safety devices require different payload lengths. Therefore, measurements for different payload lengths to enable various safety devices are performed to analyze cycle and processing times of the communication channels and devices.
The protocol architecture, including a safety and security communication layer, is introduced including services to provide features to the application layer. A prototype implementation assures that the concept is applicable in real world with existing hardware to meet the stated requirements within the SRS. The measurements demonstrate feasibility of the concept and its assumptions.
In the field of production automation, IO-Link Wireless (IOLW) offers energy-efficient and cost-effective solutions for wireless sensors/actuator communication close to the machines on the industrial shop-floor. In case of safety applications within IO-Link (IOL), currently only a wired extension of a functional safety protocol, called IO-Link Safety (IOLS), exists. Thus, the applied safety features in IOLS are not sufficient for a safety extension of IOLW. Therefore, a safety concept proposal to enhance IOLW with safety features is suggested. This proposal is realized for safety critical communication in industrial environments with performance characteristics of demanding safety integrity level (SIL) 3 requirements.
As also data security is of paramount importance, security-for-safety mechanisms are adopted for IOLW Safety, especially to meet the necessary criteria within the safety requirement specification (SRS) to ensure a one-to-one connection between an IOLW Master and an IOLW Device. Potential cryptographic algorithms are evaluated with respect to energy consumption and timing. Reliable and energy-efficient characteristics are crucial for a fast and secure wireless communication solution, especially for mobile safety applications. Therefore, the current consumption should not significantly increase due to implemented cryptographic algorithms. A current measurement method is designed to evaluate the current consumption for different crypto-algorithms together with an uncertainty estimation.
Furthermore, a SRS is elaborated together with an authorized certification organization with a profound focus on standards (mainly IEC 61508 and IEC 61784-3) regulating the probability of dangerous failure on demand (PFD) addressed within SRSs. Also, relevant security standards (e.g., IEC 62443) involving security-for-safety for IO-Link Wireless Safety (IOLWS) are considered. The PFD is determined using probabilistic models to verify the regulations stated in the standards. Taking performance parameters into account, which are crucial for industrial manufacturing processes, a safety process data unit (SPDU) is designed and certified by the authorized safety organization for different payload lengths and cycle times. This is necessary, because for various applications safety devices require different payload lengths. Therefore, measurements for different payload lengths to enable various safety devices are performed to analyze cycle and processing times of the communication channels and devices.
The protocol architecture, including a safety and security communication layer, is introduced including services to provide features to the application layer. A prototype implementation assures that the concept is applicable in real world with existing hardware to meet the stated requirements within the SRS. The measurements demonstrate feasibility of the concept and its assumptions.
Funktionale Sicherheitsprotokolle schützen Menschen und Geräte vor Gefahren, während diese in automatisierten Produktionsprozessen tätig sind. Daher ist das systematische und sichere Design von Kommunikationsprotokollen und Systemen der funktionalen Sicherheit in Kombination mit geeigneten Management- und Wartungskonzepten von entscheidender Bedeutung und muss Qualitätsstandards folgen.
Im Bereich der Fertigungsautomatisierung und industriellen Automatisierung ermöglicht IO-Link Wireless (IOLW) energieeffiziente und kostengünstige Lösungen zur maschinennahen Vernetzung drahtloser Sensoren und Aktoren. Für Sicherheitsanwendungen innerhalb von IO-Link (IOL) existiert momentan ausschließlich eine drahtgebundene Erweiterung eines funktionalen Sicherheitsprotokolls, genannt IO-Link Safety (IOLS). Da die in IOLS verwendeten Sicherheitsmaßnahmen für eine Safety-Erweiterung von IOLW zu einem funktionalen Sicherheitsprotokoll nach SIL 3 nicht genügen, werden weitere Sicherheitsmaßnahmen vorgeschlagen.
Da auch die Cyber-Sicherheit von großer Bedeutung ist, werden Sicherheitsmechanismen, die bereits in anderen drahtlosen Protokollen implementiert sind, untersucht und Security-for-Safety-Mechanismen für IOLW ausgearbeitet und empfohlen, insbesondere um die erforderlichen Kriterien relevanter Normen (IEC 61508, IEC 61784-3, IEC 62443) zu erfüllen. Potenzielle kryptografische Algorithmen werden für IOLW im Hinblick auf Energieverbrauch und Timing evaluiert, um zuverlässige und energieeffiziente Eigenschaften für eine schnelle, sichere und batteriebetriebene drahtlose Kommunikationslösung zu gewährleisten. Eine Voraussetzung hierfür ist, dass der Stromverbrauch durch zusätzliche kryptografische Operationen nicht signifikant ansteigt. Zur Bewertung des Stromverbrauchs wird ein prinzipielles Strommessverfahren entwickelt und eine Unsicherheitsabschätzung (guide to the expression of uncertainty in measurement (GUM)) anhand statistischer Messdaten unter Berücksichtigung der kombinierten Standardunsicherheit durchgeführt.
Zum Schutz vor inakzeptablen Risiken, die z.B. bei Automatisierungssystemen durch Ausfälle entstehen können, wurde gemeinsam mit einer autorisierten Zertifizierungsorganisation eine Sicherheitsanforderungsspezifikation (safety requirement specification (SRS)) für IOLW Safety erarbeitet. Bei diesem Ansatz wurde ein starker Fokus auf internationale Standards gelegt, die die durchschnittliche Wahrscheinlichkeit eines gefährlichen Ausfalls bei Bedarf (probability of dangerous failure on demand (PFD)) regeln, die in SRSs und relevanten Sicherheitsnormen unter Berücksichtigung der funktionalen Sicherheit und Security-for-Safety-Betrachtungen für IOLWS behandelt werden. Die Ausfallwahrscheinlichkeit (PFD) wird mithilfe probabilistischer Modelle ermittelt, um die in den Normen festgelegten Vorschriften zu überprüfen. Unter Berücksichtigung von Leistungs- und Sicherheitsparametern, die für industrielle Automatisierungsprozesse von entscheidender Bedeutung sind, wird eine Sicherheitsprotokolldateneinheit (safety process data unit (SPDU)) für unterschiedliche Datenlängen und Zykluszeiten entwickelt und von einer autorisierten Sicherheitsorganisation zertifiziert. Messungen für verschiedene Datenlängen von Protokollapplikationsdaten zur Nutzung unterschiedlicher Sicherheitsgeräte werden durchgeführt und analysiert, um Zyklus- und Verarbeitungszeiten der Kommunikationskanäle und -geräte darzustellen.
Eine Protokollarchitektur mit einer Kommunikationsschicht für funktionale und cyber-Sicherheit wird eingeführt, die Dienste zur Bereitstellung von Funktionen für die Anwendungsschicht enthält. Dabei stellt eine Prototyp-Implementierung sicher, dass das Konzept in der realen Welt mit vorhandener Hardware anwendbar ist, um die Anforderungen an funktionaler und cyber-Sicherheit zu erfüllen. Die durchgeführten Messungen zeigen auch die Umsetzbarkeit des Konzepts und ggfs. entsprechende Akzeptanz.
Im Bereich der Fertigungsautomatisierung und industriellen Automatisierung ermöglicht IO-Link Wireless (IOLW) energieeffiziente und kostengünstige Lösungen zur maschinennahen Vernetzung drahtloser Sensoren und Aktoren. Für Sicherheitsanwendungen innerhalb von IO-Link (IOL) existiert momentan ausschließlich eine drahtgebundene Erweiterung eines funktionalen Sicherheitsprotokolls, genannt IO-Link Safety (IOLS). Da die in IOLS verwendeten Sicherheitsmaßnahmen für eine Safety-Erweiterung von IOLW zu einem funktionalen Sicherheitsprotokoll nach SIL 3 nicht genügen, werden weitere Sicherheitsmaßnahmen vorgeschlagen.
Da auch die Cyber-Sicherheit von großer Bedeutung ist, werden Sicherheitsmechanismen, die bereits in anderen drahtlosen Protokollen implementiert sind, untersucht und Security-for-Safety-Mechanismen für IOLW ausgearbeitet und empfohlen, insbesondere um die erforderlichen Kriterien relevanter Normen (IEC 61508, IEC 61784-3, IEC 62443) zu erfüllen. Potenzielle kryptografische Algorithmen werden für IOLW im Hinblick auf Energieverbrauch und Timing evaluiert, um zuverlässige und energieeffiziente Eigenschaften für eine schnelle, sichere und batteriebetriebene drahtlose Kommunikationslösung zu gewährleisten. Eine Voraussetzung hierfür ist, dass der Stromverbrauch durch zusätzliche kryptografische Operationen nicht signifikant ansteigt. Zur Bewertung des Stromverbrauchs wird ein prinzipielles Strommessverfahren entwickelt und eine Unsicherheitsabschätzung (guide to the expression of uncertainty in measurement (GUM)) anhand statistischer Messdaten unter Berücksichtigung der kombinierten Standardunsicherheit durchgeführt.
Zum Schutz vor inakzeptablen Risiken, die z.B. bei Automatisierungssystemen durch Ausfälle entstehen können, wurde gemeinsam mit einer autorisierten Zertifizierungsorganisation eine Sicherheitsanforderungsspezifikation (safety requirement specification (SRS)) für IOLW Safety erarbeitet. Bei diesem Ansatz wurde ein starker Fokus auf internationale Standards gelegt, die die durchschnittliche Wahrscheinlichkeit eines gefährlichen Ausfalls bei Bedarf (probability of dangerous failure on demand (PFD)) regeln, die in SRSs und relevanten Sicherheitsnormen unter Berücksichtigung der funktionalen Sicherheit und Security-for-Safety-Betrachtungen für IOLWS behandelt werden. Die Ausfallwahrscheinlichkeit (PFD) wird mithilfe probabilistischer Modelle ermittelt, um die in den Normen festgelegten Vorschriften zu überprüfen. Unter Berücksichtigung von Leistungs- und Sicherheitsparametern, die für industrielle Automatisierungsprozesse von entscheidender Bedeutung sind, wird eine Sicherheitsprotokolldateneinheit (safety process data unit (SPDU)) für unterschiedliche Datenlängen und Zykluszeiten entwickelt und von einer autorisierten Sicherheitsorganisation zertifiziert. Messungen für verschiedene Datenlängen von Protokollapplikationsdaten zur Nutzung unterschiedlicher Sicherheitsgeräte werden durchgeführt und analysiert, um Zyklus- und Verarbeitungszeiten der Kommunikationskanäle und -geräte darzustellen.
Eine Protokollarchitektur mit einer Kommunikationsschicht für funktionale und cyber-Sicherheit wird eingeführt, die Dienste zur Bereitstellung von Funktionen für die Anwendungsschicht enthält. Dabei stellt eine Prototyp-Implementierung sicher, dass das Konzept in der realen Welt mit vorhandener Hardware anwendbar ist, um die Anforderungen an funktionaler und cyber-Sicherheit zu erfüllen. Die durchgeführten Messungen zeigen auch die Umsetzbarkeit des Konzepts und ggfs. entsprechende Akzeptanz.
Version
Not applicable (or unknown)
Access right on openHSU
Open access