Eine Anlagenstruktur besteht aus vielen individuellen Modulen. Da steht das Thema Sicherheit für

Eine Anlagenstruktur besteht aus vielen individuellen Modulen. Da steht das Thema Sicherheit für Mensch und Maschine an vorderster Stelle.

Anwender erwarten eine funktionale Sicherheit integriert in die Netzwerkarchitektur moderner Kommunikationssysteme. Aber wie ist diese Integration realisierbar? Noch immer herrscht Unsicherheit bei den Anwendern, welche Anforderungen an das System erfüllt werden müssen und wie unterschiedliche Maschinenmodule gekoppelt werden können. Die vielen Fallstricke der Implementierung.

Die Verwendung eines sicheren Protokolls auf einem Standard-Kommunikationssystem beruht auf dem sogenannten Black-Channel-Ansatz: Das heißt, der Transportmechanismus und das Übertragungsmedium müssen aufgrund der Art und Güte der Sicherheitsmaßnahmen nicht in die Sicherheitsbetrachtung einbezogen werden. Theoretisch kann somit jeder Übertragungskanal genutzt werden.

Das theoretisch wird in der IEC 61784-3 näher definiert. Diese Norm beschreibt die grundlegenden Anforderungen an ein sicheres Kommunikationssystem. Basierend auf diesen Anforderungen sind in der Norm mehrere Safety-Protokolltechnologien definiert. Es werden zum einen Fehler definiert, die bei einer Übertragung über ein Kommunikationssystem auftreten können und die vom Safety-Protokoll beherrscht werden müssen, wie zum Beispiel Verfälschung, Verlust, Vertauschung oder unzulässige Verzögerung der Nachrichten.

Zum anderen fordert die Norm, sofern keine weiteren Nachweise erbracht werden, dass für die Annahme des Black Channels im Mittel maximal jedes 100. Bit auf der Übertragungsstrecke gestört sein darf (Bitfehlerrate BER = 10-2). Die Bitfehlerrate geht direkt in die Berechnung der Restfehlerwahrscheinlichkeit ein, also der Fähigkeit des Safety-Protokolls, Fehler zu entdecken. Ein Kommunikationssystem mit einer BER = 10-2 kann üblicherweise auch für die Standardkommunikation nicht mehr genutzt werden.

Sichere Kommunikation von Beckhoff

Ein offenes Schnittstellenprofil ermöglicht standardisierten Datenaustausch zwischen den Maschinenmodulen.

Nimmt man beispielsweise eine Ethernet-basierte Übertragung an, so benötigt ein Ethernet Frame minimal 68 Byte , das sind 544 Bit. Es wäre also jeder Frame gestört, und eine praktikable Kommunikation demnach nicht möglich.

Unterlagerte Kommunikationstechnologien

Dieser Ansatz führte dazu, dass einige Safety-Protokolle eine bessere BER von 10-3 – nur jedes 1000. Bit ist gestört – zur Grundlage der Berechnung der Restfehlerwahrscheinlichkeit verwendet haben. Das ist zulässig, fordert aber vom Anwender eine genaue Betrachtung des kompletten Systems beziehungsweise der Anlage.

Denn selbst in Systemen, die durchgängig ein Ethernet-basiertes Kommunikationssystem nutzen, gibt es häufig unterlagerte Kommunikationstechnologien: Backplane-Busse, interne serielle Schnittstellen in den Geräten oder aktive Standardkomponenten, zum Beispiel Steuerungen oder Switches, die die Safety-Nachrichten verteilen oder weiterleiten. Diese müssen durchgängig in die Bitfehlerrate des Übertragungskanals einbezogen werden.

Die Restfehlerwahrscheinlichkeit von Safety-over-EtherCAT basiert auf der höheren Bitfehlerrate BER = 10-2. Das Protokoll ist damit unabhängig von der Übertragungsstrecke; es eignet sich für zentrale Safety-Steuerungen ebenso wie für dezentrale. Die Übertragungsstrecke kann beliebig sein und ist nicht auf EtherCAT beschränkt: Es können klassische Feldbussysteme, Ethernet oder ähnliche Strecken zur Übertragung auf elektrischen Leitungen, Lichtwellenleitern oder auch via Funkübertragung eingesetzt werden. Vom Anwender werden also keine zusätzlichen Beschränkungen oder Nachweise gefordert.

Technik im Detail
Safety-over-EtherCAT
EtherCAT bietet die Möglichkeit einer sicherheitsrelevanten Übertragung parallel zu den Standarddaten auf dem gleichen Netzwerk mit Hilfe des Safety-over-EtherCAT (FsoE)-Protokolls. Safety-over-EtherCAT ist eine vom TÜV zertifizierte Technologie, die nach IEC 61508 entwickelt wurde und in der IEC 61784-3 international standardisiert ist. Das Protokoll ist geeignet, um in Anwendungen bis zu einem Safety-Integrity-Level SIL3 eingesetzt zu werden. Es handelt sich hier laut Herstellerangaben um eine schlanke Spezifizierung mit einer einfachen und performanten Implementierung.

Für den Gerätehersteller bedeutet das die Vereinfachung der Implementierung. Die Kommunikationsschnittstelle kann einkanalig ausgeführt werden, da sie mit zum Black Channel zählt. Interne Kommunikationsschnittstellen in Geräten oder Backplanes in modularen I/O-Systemen können daher unverändert verwendet werden.

Maschinenweite Safety-Architektur

Produktionsanlagen bestehen häufig aus mehreren Prozessschritten, die jeweils von separaten Maschinenmodulen durchgeführt werden. Die Interaktion der Maschinenmodule, geführt durch eine Leitsteuerung, wird heute über eine anlagenweite Vernetzung ermöglicht. Die Maschinenmodule selber können dabei von unterschiedlichen Anbietern bereitgestellt werden und nutzen daher intern unter Umständen unterschiedliche Kommunikationssysteme.

Die lokalen Sicherheitsfunktionen der Maschinenmodule werden in der Regel innerhalb des Moduls gelöst. Muss etwa durch das Öffnen einer Schutzklappe eine Stoppfunktion ausgelöst werden, dann werden die gefahrbringenden Bewegungen innerhalb des Moduls sicher stillgesetzt.

Sichere Verbindung über Ethernet von Beckhoff

Der Black Channel deckt den kompletten Kommunikationsweg zwischen den sicheren Protokollschichten der Geräte ab.

Anlagenweit müssen zudem zwischen den Maschinenmodulen Sicherheitsinformationen ausgetauscht werden, um etwa übergreifende Not-Aus-Funktionen zu realisieren oder um Vorgänger- und Nachfolgemodule über die Aktivierung von Stillstandfunktionen zu informieren. Die Schnittstelle zu jedem Maschinenmodul erfolgt also in der Regel durch vorverarbeitete, gefilterte Informationen – sie ist damit schlank und kann über ein offenesSchnittstellenprofil standardisiert werden.

Organization for Machine Automation and Control

Im Rahmen der Diskussion mit vielen Anwendern und als gemeinsames Ergebnis zusammen mit einer Arbeitsgruppe der OMAC (Organization for Machine Automation and Control) wurde ein solches Safety-Interface-Profil erstellt. Es handelt sich um eine sehr schlanke Schnittstelle, die zur Aktivierung von Sicherheitsfunktionen in einem Maschinenmodul ein sicheres Steuerbyte definiert. Dieses enthält Möglichkeiten, um Stopp-Funktionen oder sichere Bewegungsfunktionen in dem Modul zu aktivieren.

Ein daran angelehntes Statusbyte ermöglicht die Rückmeldung des Maschinenmoduls über den eingenommenen sicherheitsrelevanten Zustand, um so beispielsweise Freigabefunktionen in der Anlage zu ermöglichen. Die Schnittstelle ist unabhängig vom verwendeten Safety-Protokoll und ist gegebenenfalls auch ganz ohne Sicherheitsbus in Form einer verdrahteten I/O-Schnittstelle realisierbar.

Fazit: Durch die Unabhängigkeit vom Transportmedium ist Safety-over-EtherCAT bestens geeignet, dieses Profil zwischen den Maschinenmodulen zu transportieren. Innerhalb der Module können gegebenenfalls Gateway-Funktionalitäten genutzt werden, um das modulspezifische Safety-Protokoll umzusetzen.

Autor: Guido Beckmann, EtherCAT Technology Group