Durchgängige Safety-Lösung Safety-over-Ethercat als Grundlage für eine anlagenweite Sicherheitsarchitektur

Produktionsanlagen bestehen häufig aus mehreren Prozessschritten, die jeweils von separaten Maschinenmodulen ausgeführt werden. Die lokalen Sicherheitsfunktionen der Maschinenmodule werden in der Regel innerhalb des Moduls gelöst. Anlagenweit müssen zudem zwischen den Maschinenmodulen Sicherheitsinformationen ausgetauscht werden, um z.B. übergreifende Not-Aus-Funktionen zu realisieren oder um Vorgänger- und Nachfolge-Module über die Aktivierung von Stillstandsfunktionen zu informieren. Auf der Basis des Safety-over-Ethercat-Protokolls bietet die TwinSafe-Produktreihe von Beckhoff sowohl innerhalb eines Moduls also auch für die anlagenweite Modulverknüpfung intelligente Lösungsmöglichkeiten. Gateway-Funktionalität zu anderen sicheren Feldbusprotokollen als optionaler Bestandteil der Sicherheits-SPS gewährleistet zudem den Einsatz in heterogenen Anlagenstrukturen mit unterschiedlichen Kommunikationssystemen. Sichere Netzwerke nutzen Die sicherheitsrelevante Kopplung der Geräte erfolgt in vielen Maschinenkonzepten auch heute noch durch eine I/O-Verschaltung: Sicherheitssensoren, wie Lichtgitter, Schutztürüberwachungen oder Zweihandbediengeräte, werden über eine Vielzahl von Auswertegeräten überwacht, die wiederum über eine relativ unflexible Relaislogik auf die sicheren Ausgänge wirken. Es ist allerdings ein klarer Trend zur Nutzung von Kommunikationssystemen mit sicherheitsrelevanter Übertragung zu erkennen. Intelligente Sicherheitssensoren, wie Laserscanner oder kamerabasierte Überwachungssysteme sowie Antriebe mit integrierten sicheren Überwachungs- und Abschaltfunktionen, können über einen Sicherheitsbus an eine sichere Logik angeschlossen werden. Durch die Verwendung eines solchen Sicherheitsbusses ergeben sich Vorteile für die Sicherheitsarchitektur, wie sie von der Einführung der Feldbussysteme im Standardbereich bekannt sind: – kurze Reaktionszeiten und damit erhöhte Sicherheit der Maschine – sehr gute (kanalspezifische) Diagnosemöglichkeiten – flexible Erweiterungsmöglichkeiten – übersichtliche Maschinenarchitektur Wenn alle Sicherungsmaßnahmen zur Aufdeckung von Übertragungsfehlern in einen \’Safety-Container\‘ gekapselt werden, ist die Verwendung eines Sicherheitsprotokolls unabhängig vom verwendeten Standard-Kommunikationssystem möglich. Gegebenenfalls verwendete Datensicherungsmaßnahmen des Kommunikationslayers werden für die sichere Übertragung nicht berücksichtigt: Man spricht vom \’Black-Channel- Prinzip\‘. Dies hat den Vorteil, dass sicherheitsrelevante und Standard-Prozessdaten auf dem gleichen Kommunikationssystem übertragen werden können. In der IEC61784-3 werden die Anforderungen für eine sichere Kommunikation, basierend auf dem Black-Channel-Prinzip, definiert und verschiedene Sicherheitsprotokolle beschrieben. Safety-over-Ethercat ist ein solches sicheres Protokoll, das in der IEC61784-3 standardisiert ist. Die TwinSafe-Produktreihe von Beckhoff nutzt dieses Protokoll zur sicheren Datenübertragung. Für den Anwender ergeben sich zusätzliche Vorteile: – einheitliches Kommunikationssystem für Standard- und sicherheitsrelevante Daten – Routing des Sicherheitsprotokolls über Standard-Gateways, Rückwandbusse, andere Feldbussysteme oder auch per Funk – Nutzung einer dezentralen Sicherheitslogik und Beibehaltung der Standard-SPS zur Maschinensteuerung – Nutzung der sicheren Prozessdaten auch in der Standard-Steuerung – Gerätevielfalt durch die Verwendung eines weitverbreiteten standardisierten Protokolls Die TwinSafe-Klemmen für das Ethercat-I/O-System nutzen die hohe Performance von Ethercat aus: So lassen sich an die Safety-PLC EL6900, im Gehäuse einer nur 12mm breiten elektronischen Reihenklemme, bis zu 128 sicherheitsrelevante Busteilnehmer bis SIL3, nach EN IEC61508, und DIN EN ISO13849-1 Ple anschließen. In die Safety-PLC sind 256 Funktionsbausteine integriert, die – je nach Anwendung – konfiguriert oder programmiert werden. Für den Anschluss der Sicherheitssensoren bzw. -aktoren stehen Digital-Eingangsklemmen (EL1904) für 24VDC sowie Digital-Ausgangsklemmen (EL2902 2,3A und EL2904 0,5A) für 24VDC zur Verfügung. Die Safety-PLC EL6900 ist auch als Sicherheitssteuerung für die über Ethercat angebundenen Beckhoff-Servoverstärker AX5000 einsetzbar. Anlagenstrukturen Eine Anlage zur Produktion von Schrankwänden ist ein Beispiel für eine typische modulare Struktur: Ein Modul zur Beschickung der Anlage mit neuen Spanplatten, eine Streifensäge sowie eine fliegende Säge zur Ablängung, verschiedene Bohr- und Fräsautomaten sowie eine Kantenbearbeitungseinheit; mechanisch verbunden werden diese Module z.B. durch Rollenbahnen, die zu einer Stapel- oder Verpackungseinheit am Ende führen. Die Interaktion der Maschinenmodule – geführt durch eine Leitsteuerung, die vorgibt, welches Schrankteil gefertigt werden soll – wird über eine anlagenweite Vernetzung realisiert. Fabrikweite Sicherheitsarchitektur Auch Anlagenweit müssen zwischen den Maschinenmodulen Sicherheitsinformationen ausgetauscht werden, um z.B. übergreifende Not-Aus-Funktionen zu realisieren oder um Vorgänger- und Nachfolge-Module über die Aktivierung von Stillstandfunktionen zu informieren. Idealerweise werden alle von einem Not-Aus-Taster einsehbaren Bereiche durch die Aktivierung dieses Tasters stillgesetzt. In einer Gefahrensituation ist es unerheblich, ob der Not-Aus-Taster an dem Maschinenmodul angebracht ist, in dem die Gefahr erkannt wird, oder nicht – wichtig ist eine schnelle Reaktion. Für das Be- und Entladen einer Station ist es zudem notwendig, sicherheitsrelevante Informationen zum Vorgänger- bzw. Nachfolgemodul auszutauschen. Ein Materialaustausch darf beispielsweise nur freigegeben werden, wenn sich kein Anwender in der Gefahrenzone befindet. Auf Ebene der anlagenweiten Maschinenkommunikation ist es daher nicht wichtig, kanalspezifische Informationen der einzelnen Sensoren und Aktoren auszutauschen; vielmehr sind der sicherheitsrelevante Gesamtstatus eines Maschinenmoduls und die zentrale Aktivierung von Sicherheitsfunktionen von Bedeutung. Die Schnittstelle zu jedem Maschinenmodul erfolgt also in der Regel durch vorverarbeitete, gefilterte Informationen; sie ist damit schlank und kann über ein offenes Schnittstellenprofil standardisiert werden. Heterogene Kommunikationsstruktur Die Kommunikation auf der Feldebene verwendet immer häufiger Ethernet-basierte Echtzeit-Kommunikationssysteme für den Austausch von I/O-Daten der Sensoren und Aktoren. Verschiedene Technologien haben sich hierfür im Markt etabliert: Profinet, Ethernet/IP und weitere. Auf der Ebene der Leitrechner oder der Maschinenvernetzung werden einzelne Maschinenmodule zu einer Produktionsanlage zusammengeführt. Die Kopplung der Maschinenteile erfolgt in der Regel über eine übergeordnete Master-Master-Kommunikation; die Maschinensteuerungen arbeiten als Gateway zwischen dem internen Kommunikationssystem und dem übergeordneten Leitsystem. Für die sicherheitsrelevante Kopplung der Maschinenteile gelten ähnliche Randbedingungen. Unter Berücksichtigung der unterschiedlichen nativen Safety-Protokolle der etablierten Bussysteme innerhalb der Maschinenmodule wird für die anlagenweite Vernetzung der Module eine sichere Gateway-Funktion benötigt. In diesem Zusammenhang wird häufig auch der Ansatz diskutiert, durch ein allgemeines, busunabhängiges Safety-Protokoll anlagenweite Sicherheitsfunktionen schließen zu können. Die Implementierung eines busunabhängigen Safety-Protokolls ist aber technisch schwierig und bringt einige wesentliche Einschränkungen mit sich: – Die Zertifizierung eines Gerätes mit einer sicheren Kommunikationsschnittstelle ist aufwändig, da die Gerätehersteller für die Implementierung eines Safety-Protokolls Konformitätsnachweise und entsprechende Werkzeuge für jedes Kommunikationssystem benötigen. Diese werden von den Feldbusorganisationen für die nativen Safety-Protokolle bereitgestellt. Für ein generisches Protokoll würden aber Konformitätsnachweise mehrerer nicht kooperierender Organisationen benötigt. – Gerätehersteller werden vorrangig das native Safety-Protokoll für die unterstützte Busschnittstelle implementieren, um das Gerät in dem Markt für diese Kommunikationsschnittstelle erfolgreich platzieren zu können. – Die Kosten für jedes Safety-Gerät würden sich erhöhen, wenn neben dem nativen Safety-Protokoll ein zweites sicheres Protokoll unterstützt werden müsste. – Da nicht alle Gerätehersteller mehrere Safety-Protokolle unterstützen würden, würde sich für den Anwender die Auswahl der Geräte reduzieren und seine Gesamtkalkulation verschlechtern. Das Beckhoff TwinSafe-System bietet daher eine Lösung, um an genau einer Stelle innerhalb eines Maschinenmoduls unterschiedliche Safety-Protokolle bedienen zu können: In der Sicherheitssteuerung, die in jedem Maschinenmodul vorhanden ist. Die Sicherheitssteuerung überwacht viele Verbindungen zu sicheren Kommunikationspartnern innerhalb des Maschinenmoduls. Wenn diese Steuerung für eine oder mehrere dieser Verbindungen ein weiteres Safety-Protokoll unterstützt, kann sie als eine sichere Gateway-Funktion arbeiten. Hierfür wird die Safety-PLC EL69xx durch die Eigenschaft erweitert, die Verbindung zu einem anderen Teilnehmer nicht nur mit Safety-over-Ethercat zu realisieren, sondern auch mit einem anderen Safety-Protokoll, z.B. Profisafe (EL6930). Standardisiertes Schnittstellenprofil Innerhalb der Ethercat Technology Group (ETG) wird derzeit eine Profilspezifikation erarbeitet, die oberhalb der Safety-Protokolle ein Applikationsprofil für den Datenaustausch zwischen den Modulen und zur Leitebene definiert. Es handelt sich hierbei um die komprimierten und vorverarbeiteten sicheren Prozessdaten, die ein Maschinenmodul nach außen liefert beziehungsweise von außen bekommt. Wenn sich zwei Maschinen miteinander \’unterhalten\‘, ist es für den Nachbarn nicht wichtig, ob sich dieser oder jener Antrieb in einem sicheren Zustand befindet oder ob ein Not-Aus-Schalter gedrückt wurde. Was aber tatsächlich interessiert, ist – um es einmal vereinfacht zu sagen – die Information, ob die Nachbaranlage ein Sicherheitsproblem hat, und wenn dem tatsächlich so ist, ob dann die eigenen Anlagenteile weiter produzieren dürfen. Das bedeutet, das tatsächliche Ausmaß an Sicherheitsinformationen, das außerhalb eines Anlagenmoduls dargestellt werden muss, ist recht überschaubar. Inhalte des Schnittstellenprofils sind beispielsweise der allgemeine sicherheitsrelevante Maschinenzustand eines Moduls, die Information, ob das Modul sicher gestoppt wurde oder auch eine übergeordnete Not-Aus-Anforderung. Findet man diese Informationen in Form eines Steuer- bzw. Statuswortes an fester Stelle auf der Schnittstelle wieder, dann ergeben sich erhebliche Vorteile durch vordefinierte Funktionsbausteine und durch wieder verwendbare Diagnosemöglichkeiten. Im Gegensatz zu einem generischen Safety-Protokoll, das in alle Geräte zusätzlich integriert werden müsste, braucht die Gateway-Funktion nur einmal in einem Maschinenmodul realisiert zu werden. Und mit der EL69xx muss das Safety-Gateway nicht einmal als eigenständiges Gerät ausgeführt werden, sondern kann als Teilfunktion der Sicherheitssteuerung implementiert sein.