Safety-over-Ethercat

Die sichere Rundumlösung für das industrielle Umfeld
Funktionale Sicherheit als integraler Bestandteil der Netzwerkarchitektur wird für moderne Kommunikationssysteme vom Anwender vorausgesetzt. Daher stellt sich nicht die Frage ob, sondern wie diese Integration realisiert wird. Hierbei herrscht noch immer eine gewisse Unsicherheit bei den Anwendern, welche Anforderungen an das System erfüllt werden müssen und wie unterschiedliche Maschinenmodule gekoppelt werden können. In diesem Beitrag werden daher mögliche \'Fallstricke\' beleuchtet, die eine Implementierung und auch die Anwendung eines sicheren Feldbusses mit sich bringen. Zudem wird eine Systemarchitektur zur Kopplung von Maschinenmodulen verschiedener Hersteller vorgestellt, wie sie in modernen Produktionslinien zum Einsatz kommt.

Ethercat bietet die Möglichkeit einer sicherheitsrelevanten Übertragung parallel zu den Standarddaten auf dem gleichen Netzwerk mit Hilfe des Safety-over-Ethercat (FSoE)-Protokolls. Safety-over- Ethercat ist eine vom TÜV zertifizierte Technologie, die nach IEC61508 entwickelt wurde und in der IEC61784-3 international standardisiert ist. Das Protokoll ist geeignet, um in Anwendungen bis zu einem Safety Integrity Level SIL3 eingesetzt zu werden. Gerätehersteller schätzen besonders die schlanke Spezifikation, die mit einer einfachen und performanten Implementierung einhergeht. Die Anwender begeistert die Robustheit des Protokolls: Es stellt keine Anforderungen an das unterlagerte Transportsystem und kann daher anlagenweit eingesetzt werden.

Wie unabhängig ist der Transportkanal?

Die Verwendung eines sicheren Protokolls auf einem Standard-Kommunikationssystem beruht auf dem sogenannten Black Channel-Ansatz: d.h. der Transportmechanismus und das Übertragungsmedium müssen aufgrund der Art und Güte der Sicherheitsmaßnahmen nicht in die Sicherheitsbetrachtung einbezogen werden. Theoretisch kann somit jeder Übertragungskanal genutzt werden. Das \’theoretisch\‘ wird in der IEC61784-3 näher definiert. Diese Norm beschreibt die grundlegenden Anforderungen an ein sicheres Kommunikationssystem. Basierend auf diesen Anforderungen sind in der Norm mehrere Safety-Protokolltechnologien definiert. Es werden zum einen Fehler definiert, die bei einer Übertragung über ein Kommunikationssystem auftreten können und die vom Safety-Protokoll beherrscht werden müssen: z.B. Verfälschung, Verlust, Vertauschung oder unzulässige Verzögerung der Nachrichten. Zum anderen fordert die Norm, sofern keine weiteren Nachweise erbracht werden, dass für die Annahme des Black Channels im Mittel maximal jedes 100ste Bit auf der Übertragungsstrecke gestört sein darf (Bitfehlerrate BER=10-²). Die Bitfehlerrate geht direkt in die Berechnung der Restfehlerwahrscheinlichkeit ein, also der Fähigkeit des Safety-Protokolls, Fehler zu entdecken. Ein Kommunikationssystem mit einer BER=10-² kann üblicherweise auch für die Standardkommunikation nicht mehr genutzt werden. Nimmt man beispielsweise eine Ethernet-basierte Übertragung an, so benötigt ein Ethernet Frame minimal 68Byte=544Bit. Es wäre also jeder Frame gestört und eine praktikable Kommunikation demnach nicht möglich. Dieser Ansatz führte dazu, dass einige Safety-Protokolle eine bessere BER von 10-³ (\’nur\‘ jedes 1.000ste Bit ist gestört) zur Grundlage der Berechnung der Restfehlerwahrscheinlichkeit verwendet haben. Das ist zulässig, fordert aber vom Anwender eine genaue Betrachtung des kompletten Systems bzw. der Anlage. Denn selbst in Systemen, die durchgängig ein Ethernet-basiertes Kommunikationssystem nutzen, gibt es häufig unterlagerte Kommunikationstechnologien: Backplane-Busse, interne serielle Schnittstellen in den Geräten oder auch aktive Standardkomponenten, z.B. Steuerungen oder Switches, die die Safety-Nachrichten verteilen oder weiterleiten. Diese müssen durchgängig in die Bitfehlerrate des Übertragungskanals einbezogen werden! Die Restfehlerwahrscheinlichkeit von Safety-over-Ethercat basiert auf der höheren Bitfehlerrate BER=10-². Das Protokoll ist damit unabhängig von der Übertragungsstrecke; es eignet sich für zentrale Safety-Steuerungen ebenso wie für dezentrale. Die Übertragungsstrecke kann beliebig sein und ist nicht auf Ethercat beschränkt: Es können klassische Feldbussysteme, Ethernet oder ähnliche Strecken zur Übertragung auf elektrischen Leitungen, Lichtwellenleitern oder auch via Funkübertragung eingesetzt werden. Vom Anwender werden also keine zusätzlichen Beschränkungen oder Nachweise gefordert. Für den Gerätehersteller bedeutet das die Vereinfachung der Implementierung. Die Kommunikationsschnittstelle kann einkanalig ausgeführt werden, da sie mit zum Black Channel zählt. Interne Kommunikationsschnittstellen in Geräten oder Backplanes in modularen Ein-/ Ausgabe-Systemen (E/A) können daher unverändert verwendet werden.

Maschinenweite Safety-Architektur

Produktionsanlagen bestehen häufig aus mehreren Prozessschritten, die jeweils von separaten Maschinenmodulen durchgeführt werden. Die Interaktion der Maschinenmodule, geführt durch eine Leitsteuerung, wird heute über eine anlagenweite Vernetzung ermöglicht. Die Maschinenmodule selbst können dabei von unterschiedlichen Anbietern bereitgestellt werden und nutzen daher intern unter Umständen unterschiedliche Kommunikationssysteme. Die lokalen Sicherheitsfunktionen der Maschinenmodule werden in der Regel innerhalb des Moduls gelöst. Muss etwa durch das Öffnen einer Schutzklappe eine Stoppfunktion ausgelöst werden, dann werden die gefahrbringenden Bewegungen innerhalb des Moduls sicher stillgesetzt. Anlagenweit müssen zudem zwischen den Maschinenmodulen Sicherheitsinformationen ausgetauscht werden, um z.B. übergreifende Not-Aus-Funktionen zu realisieren oder um Vorgänger- und Nachfolgemodule über die Aktivierung von Stillstandfunktionen zu informieren. Die Schnittstelle zu jedem Maschinenmodul erfolgt also in der Regel durch vorverarbeitete, gefilterte Informationen – sie ist damit schlank und kann über ein offenes Schnittstellenprofil standardisiert werden. Im Rahmen der Diskussion mit vielen Anwendern und als gemeinsames Ergebnis zusammen mit einer Arbeitsgruppe der OMAC (Organization for Machine Automation and Control) wurde ein solches Safety Interface-Profil erstellt. Es handelt sich um eine sehr schlanke Schnittstelle, die zur Aktivierung von Sicherheitsfunktionen in einem Maschinenmodul ein sicheres Steuerbyte definiert. Dieses enthält Möglichkeiten, um Stopp-Funktionen oder sichere Bewegungsfunktionen in dem Modul zu aktivieren. Ein daran angelehntes Statusbyte ermöglicht die Rückmeldung des Maschinenmoduls über den eingenommenen sicherheitsrelevanten Zustand, um so beispielsweise Freigabefunktionen in der Anlage zu ermöglichen. Die Schnittstelle ist unabhängig vom verwendeten Safety-Protokoll und ist gegebenenfalls auch ganz ohne Sicherheitsbus in Form einer verdrahteten E/A-Schnittstelle realisierbar. Natürlich ist Safety- over-Ethercat durch die Unabhängigkeit vom Transportmedium bestens geeignet, dieses Profil zwischen den Maschinenmodulen zu transportieren. Innerhalb der Module können gegebenenfalls Gateway-Funktionalitäten genutzt werden, um das modulspezifische Safety-Protokoll umzusetzen.

www.ethercat.org

EtherCAT Technology Group
http://www.ethercat.org

Das könnte Sie auch Interessieren

Weitere Beiträge

M12 in Edelstahlausführung

Sowohl die Prozesstechnik als auch die Lebensmittelindustrie und der einschlägige Maschinenbau fordern eine hohe Widerstandsfähigkeit der eingesetzten Komponenten und ihrer Materialien.

mehr lesen