Planlæg edge-robotik med tidskritiske TSN-netværk

Edge-robotik er rykket ud af laboratoriet og ind på fabriksgulvet, hvor kollaborative robotter (cobots), AGV’er/AMR’er og visionsystemer arbejder side om side med mennesker. Fælles for dem alle er, at de kører lukkede reguleringssløjfer lokalt ved kanten - ofte med cyklustider på 250-1000 µs. Her bliver selve netværket en aktiv del af styringskæden, og det stiller helt andre krav end traditionel, best-effort Ethernet kan honorere.

Kravbilledet: Når millisekunder er for langsomt

• Determinisme: Pakker skal ankomme i den rækkefølge og det tids­vindue, controlleren forventer. Selv få tabte eller forsinkede telegrammer kan stoppe en hel produktionslinje.
• Latenstid < 1 ms: Mange robotapplikationer styrer i 1 kHz-4 kHz loop. Det giver et delay-budget på ned til 250 µs fra sensor til aktuator - inklusive netværk, switchning og applikations­behandling.
• Lav jitter (< 50 µs): Variationen mellem på hinanden følgende telegrammer skal være minimal, ellers introduceres ustabilitet i servo- og drivesystemer.
• Høj pålidelighed (≥ 99,999 %): Produktionstiden er dyr. Netværket skal levere fem-ni’s oppetid via redundante veje og hurtig fejlgendannelse.

Eksempler fra gulvet

1. Cobots i montageceller
   Kraft-moment-sensorer rapporterer hvert 250 µs, mens visionalgoritmer sender 4K-video til GPU-noder. Hvis datakøen glipper et enkelt cycle-slot, kan robotten kollidere med operatøren.
2. AGV/AMR-flåder
   Navigations-Lidar, SLAM-kort og trafikstyring skal synkroniseres på tværs af køretøjer. Latenstids­kravene er stramme, fordi en undvigemanøvre skal planlægges og distribueres på under 10 ms - ellers risikeres kollisioner og produktionsstop.
3. Edge-vision til kvalitetskontrol
   Kameraer trigger billeder synkroniseret til line-takten. Ethvert timing-slip forvrænger reference­rammen, og defekte emner slipper igennem.

Hvorfor almindeligt ethernet ikke rækker

Traditionelt Ethernet er best-effort: switche buffer pakker, og QoS er kun vejledende. Når flere streams kæmper om båndbredden, opstår kollisioner og u­forudsigelige kø-tider. I edge-robotik er “næsten realtid” ikke nok; der kræves garanterede tids­slots, synkroniserede ure og prioritering helt ned på mikrosekund-niveau.

Med fremkomsten af TSN har IEEE udvidet Ethernet, så det kan indgå som det fysiske nerve­system i realtids­styringen: præcis tids­synkronisering (gPTP), tids­deterministisk trafik­shaping og multipel redundant levering. Først når disse egenskaber er på plads, kan edge-robotik opnå den nødvendige hastighed, præcision og sikkerhed til industriel 24/7-drift.

Når vi taler om Time-Sensitive Networking (TSN) som fundamentet for edge-robotik, handler det i praksis om en række IEEE-standarder, der tilsammen gør almindeligt Ethernet lige så deterministisk som en klassisk feltbus. Nedenfor finder du de vigtigste byggeklodser og deres rolle i den samlede arkitektur.

1. 802.1as-rev - Præcis tidssynkronisering med gptp

802.1AS (gPTP) stiller et fælles tidsgrundlag til rådighed med sub-microsekunds nøjagtighed. Alle noder - robot-CPU’er, visionsensorer, safety-PLC’er - synkroniserer sig til en grandmaster. Det sikrer, at tidsstempler, cyclic tasks og gate-planer i resten af TSN-stakken udføres i låst takt.

2. 802.1qbv - Time-aware shaper (tas)

Med Time-Aware Shaper fordeles sendetid i definerede gate-intervaller. Criteriel trafik som “position update hver 250 µs” får garanterede mikro-slots, mens mindre kritiske pakker (IT-trafik, video) får de resterende tidsrum. Resultatet er <1 ms end-to-end-latenstid og forudsigelig jitter.

3. 802.1qbu / 802.3br - Frame preemption

Hvis et stort videoframe er på vej gennem en port, kan en høj-prioritets styrepakke “afbryde” og mases foran i køen. Frame preemption fjerner den klassiske Ethernet-blokering, hvor et 1500-byte frame ellers kunne give op til 120 µs ekstra ventetid på 100 Mbps links.

4. 802.1qci - Per-stream filtering and policing

Qci sætter dynamiske båndbredde- og trafikkontroller direkte i switch-hardwaren. Misbehavende enheder - fx en sensor med firmwarefejl - bliver begrænset eller isoleret, før de kan vælte realtidsplanen eller true sikkerheden.

5. 802.1cb - Frame replication and elimination for redundancy (frer)

For at nå højeste pålidelighed sendes kopier af den samme pakke ad flere veje. Først-ankomne frame accepteres, dubletter kasseres. Mekanismen fungerer på link-niveau og reagerer hurtigere end traditionelle ringprotokoller (<50 µs i stedet for millisekunder).

6. 802.1qcc - Stream reservation, cnc & cuc

Qcc definerer et to-trins kontrolplan: Central User Configuration (CUC) beskriver kravene - fx “Robot A ➜ PLC med 500 µs cyklustid og 4 Mbit/s”. Central Network Controller (CNC) beregner derefter konkrete gate-tabeller, VLAN-tags og reserveret båndbredde, som pushes ud via YANG/NETCONF. Dermed oversættes OT-ingeniørens behov til en konsistent netværkskonfiguration uden manuelle CLI-fejl.

7. Qos-klasser og prioriteringshierarki

• Class A - <2× cycle time latency (typisk <1 ms). Bruges til lukkede reguleringssløjfer.
• Class B - op til 2 ms. Egnet til synkroniseret I/O, HMI-opdateringer.
• Best Effort - IT-trafik, monitorering, back-office.

Disse klasser kombineres med Qbv-gateplaner, så deterministiske flows ikke kolliderer med bulk-trafik.

Industrielle protokoller over tsn

TSN er transport-lag; ovenpå kører de kendte OT-protokoller:

• OPC UA Pub/Sub - bruger UDP-multicast og definérbare DataSets. Når transporten leveres af Qbv/Qbu, opnås µs-præcis levering af procesdata.
• DDS (Data Distribution Service) - reliability-QoS, ownership og deadline maps direkte til TSN-klasser; særligt populær i AMR-flåder og Cobots.
• PROFINET over TSN (PN-TSN) - bevarer PROFINET-objektmodellen, men skifter RT-klassernes timing fra IRT-switches til Qbv.

Den fælles nævner er, at applikationslaget ikke længere behøver proprietære feltbus-chips; en standard Ethernet-port med TSN-capable switch eller NIC er nok - og det åbner op for konvergens mellem IT og OT uden at gå på kompromis med determinismen.

I praksis mødes to grundlæggende TSN-topologier i edge-robotikken:

• Celle/linje-topologi - hver robotcelle får sin egen micro-fabric af 2-3 TSN-switche i stjerne, forbundet i en daisy-chain eller linje til naboceller. Latenstien holdes kort (<1 µs per hop), og fejl isoleres til den enkelte celle.
• Ring/mesh-topologi - når oppetid >99,999 % er must-have, samles cellerne i en dobbeltring eller et lille mesh. Frame Replication and Elimination for Reliability (802.1CB FRER) kan sende duplikatpakker rundt begge veje og eliminere jitter ved modtageren.

Segmentering af it/ot med vlan og tidsdomæner

Én fysisk TSN-fabric supporterer flere virtuelle miljøer:

• VLAN - adskil OT-trafik (robotstyresløjfer, vision) fra IT-trafik (MES, ERP) for at forhindre broadcast-støj.
• Priority Code Point (PCP) - kortlæg tidskritiske strømme til Priority 5-7; ikke-kritisk video og logning til Priority 0-2.
• Tidsdomæner - kør parallelle gPTP-instanser, fx ét 250 µs-domæne til bevægelsesstyring og ét 1 ms-domæne til kvalitetsinspektion.

Timing-rygraden: Grandmaster & urhierarki

IEEE 802.1AS-2020 (gPTP) leverer sub-µs synkronisering, men præcisionen starter hos grandmasteren:

• GNSS-disciplineret grandmaster giver fabriksdækkende absolut tid og hold-over på >8 timer.
• Boundary clocks i hver TSN-switch bryder transmissionstiden op og fjerner wander.
• Transparent clocks i simple edge-switches kompenserer for intern switch-latenstid uden behov for fuld boundary-logik.

Byggeklodser: Switche, nics og edge-noder

• TSN-kompatible switche med 802.1Qbv (Time-Aware Shaper) og 802.1Qbu/802.3br (preemption) sikrer faste sendeslots og fortrænger besteffort-trafik.
• TSN-NICs i robot-controlleren understøtter hardware-tidsstempling og gate-lister i FPGA/SoC.
• Edge-noder kører et deterministisk OS (f.eks. PREEMPT_RT Linux, VxWorks, Zephyr) for at videreføre <100 µs scheduling-jitter helt ind i bruger-space.

Redundans og fejltolerance

Kombinér flere lag af beskyttelse:

• 802.1CB FRER - seamless redundancy inden for TSN-fabric, fuldt udnyttet af OPC UA Pub/Sub multiprocessing.
• PRP/HSR - til
  eksisterende brownfield-noder uden TSN, routet gennem redundancy boxes.
• Link-aggregation m. LACP fast-rate - fordobler båndbredden uden at kompromittere tidsplanen.

Sikkerhedsdomæner og zero-trust

• Placer robotceller i micro-segments og håndhæv Least Privilege via 802.1X og per-stream ACLs.
• MACsec med åben TPM-nøglehåndtering sikrer kryptering <2 µs overhead.
• Endpoint-attest ved opstart beskytter mod falske grandmasters (PTP rogue).

5g-integration: Tsn translator/bridge

Nye AGV’er og mobile cobots kobles trådløst via 5G URLLC. En TSN-AF + Translator i 5G-kernen kortlægger 5G-slots til 802.1Qbv gates, så radiolinken opfører sig som endnu et kabelforgrenet hop - uden at bryde determinismen.

Samlet set giver referencearkitekturen et end-to-end deterministisk netværk, hvor hver mikrosekund er regnet hjem, og hvor både nye TSN-komponenter og ældre anlæg kan koeksistere under samme tidsdomæne.

Overgangen fra design til driftsklar TSN-infrastruktur starter på skrivebordet, men skal slutte med deterministiske pakker på ledningen. Nedenfor gennemgår vi en best-practice-proces, der binder engineering-værktøj, netværksudstyr og testlaboratorium sammen til én sammenhængende kæde.

1. Trafikmodellering: Hvem taler med hvem - Og hvornår?

1. Kortlæg flows
   Identificér alle deterministiske strømme: position feedback fra robotarme (250 µs cyklus), vision frames (8 ms), AGV-navigation (20 ms) samt ikke-tidkritisk IT-trafik (MES, video, firmware-opdateringer).
2. Definér cyklustider & deadlines
   For hver strøm optegnes end-to-end cyklustid og maksimal tilladt latenstid/jitter. Eksempel: Lukket reguleringssløjfe må ikke overstige 800 µs E2E, med 100 µs jitterbudget.
3. Budgetter latenstid
   Del budgettet op på noder (talker → switche → listener). Med seks switche á 50 µs cut-through er 300 µs spist; de resterende 500 µs fordeles til transmission, preemption-gaps og applikations-stack.
4. Klassificér og mærk
   Tildel hver strøm en TSN-QoS-klasse (A, B, BE …) og et VLAN-ID. 802.1Qci per-stream filtering sikrer, at kun registrerede flows får adgang.

2. Tidsplanlægning: Fra tabeller til gate-schedules

• Time-Aware Shaper (802.1Qbv)
  Fastlæg open/close-vinduer pr. port i et supercycle-skema - fx 1 000 µs supercycle opdelt i 4 vinduer: Klasse A (0-200 µs), Klasse B (200-500 µs), FRER-retransmits (500-550 µs), Best Effort (resten).
• Preemption (802.1Qbu/802.3br)
  Beregn hvor lange fragmenter kan være, så høj-prioritetspakker aldrig blokeres mere end f.eks. 2 µs.
• Redundans-slots
  Indregn tid til 802.1CB FRER-duplikater; ekstra 5-10 % båndbredde giver zero-packet-loss under kabelbrud.

3. Konfiguration: Cnc/cuc orkestrerer netværket

Det færdige tids- og ressourcediagram eksporteres som YANG-modeller til den centrale CNC (Central Network Controller). Via NETCONF/RESTCONF skubber CNC skemadefinerede gate-control-lists, VLAN-tabeller og gPTP-roller ud til switch-fabric’en. På devicesiden informerer CUC (Central User Controller) applikationerne om reserverede stream-IDs og Qbv-vinduer, så robotics-softwaren kan starte deterministic I/O.

4. Test & validering: Bevis at planen holder - Også når verden brænder

1. Worst-case belastningstest
   Generér syntetisk background flood (line-rate UDP/TCP) mens alle TSN-strømme kører. Verificér, at latenstid og jitter for Klasse A forbliver under de aftalte SLA-mål.
2. Hardware-in-the-Loop (HIL)
   Indsæt fysiske robotstyringer på testbænken sammen med TSN-switchene. Mål lukkede sløjfer med oscilloskop eller gPTP-timestamp-tap.
3. Konformance & interoperabilitet
   Kør IXIA/Spirent TSN-testplaner samt OPC UA Pub/Sub plug-fest-cases for at sikre, at alle leverandører fortolker 802.1-standarderne ens.
4. Sikkerhed - uden at sabotere determinismen
   Aktivér MACsec (802.1AE) med 256-bit GCM. Mål krypteringsdelay - skal ind i latenstidsbudgettet. Test rekey hvert 24. t. uden pakketab.
5. Funktionel sikkerhed
   Bekræft at Safety-Telegrammer (PROFINET PROFIsafe, OPC UA Safety) kan levere Safety Integrity Level (SIL 3) inden for IEC 61508/ISO 13849 cyklustider, selv under kabelbrud og fail-over.

5. Klar til produktion

Når alle målepunkter er tilfredsstillet, fryses CNC-konfigurationen som golden baseline. Driftsteamet overtager herefter: de overvåger gPTP-offset, FRER-tællere og gate-statistikker via SNMP/gNMI - og kan rulle firmware-patches ind gennem CUC uden at forstyrre de tidskritiske vinduer. Dermed er der skabt en lukket, verificerbar kæde fra planlægning til kontinuerlig drift af edge-robotik på TSN.

Uden data om tidsadfærd er et TSN-netværk blindt. Derfor bør overvågning af både tidsdomæne (gPTP) og dataplan (streams) være integreret fra dag 1.

1. Stream-telemetri
   Aktiver IEEE 802.1Q ps)), INT eller sFlow udelukkende på diagnostiske vinduer for at undgå at ødelægge tidsgarantier.
2. Eventkorrelation
   Correlér PTP-alarmer med latency spikes - ofte peger begge mod samme fejlende switchport eller temperaturstigning.
3. Dashboarding
   Eksponer metrics til Prometheus/Grafana eller InfluxDB/Chronograf for OT-personalet; IT-drift kan fortsat bruge NetOps-værktøjer via gNMI.

2. Sikkerhedsdrift - Forsvar i dybden uden at bryde realtid

• Segmentering: Adoptér cell/zone-modellen. Separer robotceller via VLAN + VRF og læg tidskritiske streams i egne TSN-trafikklasser.
• MACsec: Krypter alle trunk-links; klassificér PTP-pakken som “pre-encrypted” for at undgå krypterings-induceret jitter.
• Zero-trust-princip: Hver edge-node autentificerer sig med 802.1X/EAP-TLS mod en OT-PKI. Automation via MUD-profiler sikrer, at kun forventede streams accepteres (per-stream policing, 802.1Qci).
• Sårbarheds­scanning: Brug offline-kopi af firmware til SBOM-analyse (CycloneDX/SPDX). Skub patches med hitless upgrade (næste afsnit).

3. Change management & patching uden driftsstop

Edge-robotter er sjældent tolerante overfor netværksudfald. Med TSN kan man dog udnytte deterministiske vinduer til kontrolleret “hitless” skift:

1. Dual-plane firmware: Switche og NIC’s har aktiv/passiv bank. Pre-stage ny firmware, verificér hash og aktiver i et tomt tidsvindue.
2. FRER-beskyttelse: Ved omlægning sendes identisk stream på to veje; paralel redundans dækker mikro-udfald ved reboot af én node.
3. Gate-replay test: Brug CNC’en til at simulere planlagt omkonfigurering og beregn kollisionsrisiko før udrulning.
4. Rollback-timer: Hvis gPTP-offset afviger >200 ns efter skift, trigges automatisk rollback.

4. Skalering til flere robotceller & brownfield-integration

Automatiseret provisionering er altafgørende, når antallet af celler vokser fra 3 til 300.

• Intent-baseret NETCONF: Beskriv blot ønsket cyklustid og QoS-politik; CNC genererer schedules per hop.
• Brownfield-migrering: Indfør gateway-broer (TSN à legacy) der oversætter Profinet RT/IRT eller EtherCAT til TSN-profiler. Planlæg cut-overs i takt med robotservicers naturlige udskiftnings-cyklus.
• Hierarkiske tidsdomæner: Brug Boundary Clocks på celle-niveau og Transparent Clocks mod backbone for at forhindre at ét delt PTP-domæne bliver single point of failure.

5. Kapacitetsplanlægning, tco og løbende optimering

1. Hvad-hvis-simulering (digital twin)
   Modellér nye robottyper og visionsensorer i et simuleret TSN-miljø og mål queueDepth samt “gate drift”.
2. TCO-model
   Inkludér:
   • Licenser til CNC/CUC
   • Ekstra port-omkostning for MACsec-ASIC’er
   • Besparelser fra reduceret nedetid (typisk 1-3 % produktivitetsløft pr. celle)
3. ROI-monitor
   Eksponer OEE-forbedring (Overall Equipment Effectiveness) direkte i TSN-dashboardet for at forbinde netværksmålinger med forretningsværdi.
4. Kontinuerlig tuning
   CNC kan - baseret på telemetri - on-the-fly forkorte gate-cyklus eller hæve prioritet for sporadiske højopløsnings-video-bursts uden at røre statiske kontrollooper.

Med en disciplineret tilgang til observability, sikkerhed og livscyklus­styring kan virksomheder udnytte hele TSN-palettens potentiale - ikke blot til at holde robotterne kørende, men til at udvide kapaciteten og samtidig styrke både cybersikkerhed og bundlinje.