Beckhoff Automation GmbH: Safety-over-Ethercat. Moderne Kommunikationssysteme erfüllen heute nicht nur den deterministischen Transport von Steuerungsinformationen, sie bieten außerdem die Möglichkeit, sicherheitsrelevante Daten auf dem gleichen Medium zu übertragen. Ethercat setzt dabei auf das sichere Protokoll Safety-over-Ethercat.

Bei konventionellen Automatisierungslösungen werden Sicherheitsfunktionen oft getrennt von den Automatisierungsfunktionen entwickelt und erst sehr spät in das Maschinenkonzept integriert. Dies führt zu umständlichen und wenig flexiblen Lösungen, die zeitweise sogar die Bedienung der Maschine einschränken. Eine Sicherheitsfunktion, die die Funktionalität der Maschine einschränkt, birgt aber immer die Gefahr, dass sie vom Anwender umgangen und damit wirkungslos wird.

Sicherheitssensoren wie Lichtgitter, Schutztürüberwachungen oder Zweihandbediengeräte werden in der Regel über eine Vielzahl von Auswertegeräten überwacht, die wiederum über eine unflexible Relaislogik auf die sicheren Ausgänge wirken. Zur Abschaltung der gefahrbringenden Bewegung werden redundante Netz- und/oder Motorschütze in den Leitungen der Antriebe eingesetzt, um diese momentenlos schalten zu können.

Der Trend allerdings geht in eine neue Richtung: Intelligente Sicherheitslösungen in den Automatisierungskomponenten und in den Kommunikationssystemen ermöglichen eine Integration der Sicherheitstechnik in das Maschinenkonzept.

Im Bereich der Sicherheitssensorik sind dies Schutzeinrichtungen, die bereits funktionale Erweiterungen, wie z. B. Muting, integrieren. Neueste Entwicklungen sind kamerabasierte Sensoriksysteme mit räumlichen Überwachungsfunktionen, um in der Bereichsabsicherung neue Möglichkeiten der Interaktion zwischen Mensch und Maschine zu ermöglichen.

Für die Auswertung und Sicherheitslogik werden bereits neben den „großen“ Sicherheitssteuerungen kleine, dezentrale Logikgeräte angeboten, die auf die jeweilige Aufgabe skalierbar sind; unflexible Relaislogik kann damit entfallen. Auch die Antriebstechnik bietet integrierte Sicherheitsfunktionen zum schnellen und kurzzyklischen Stillsetzen des Antriebs und zum sicheren Überwachen von Funktionen wie der sicher begrenzten Geschwindigkeit.

Ermöglicht wird die Integration unter anderem durch eine sichere Datenübertragung zwischen den Komponenten. Eine solche sichere Übertragung ist in dem im Folgenden beschriebenen Safety-over-Ethercat-Protokoll spezifiziert.

Die Normenwelt hat sich als Grundvoraussetzung ebenfalls mit den neuen Gegebenheiten auseinandergesetzt und ermöglicht die Bestimmung des Sicherheitslevels auch für softwarebasierte, programmierbare Sicherheitsgeräte (siehe IEC 61508, IEC 62061 und auch ISO 13849). Die Vorteile sind beeindruckend:

• nahtlose Integration des Sicherheitskonzepts in das Maschinenkonzept 
• keine getrennten Entwicklungswerkzeuge für Standard- und Sicherheitsapplikation 
• einfache Handhabung und Transparenz der Sicherheitsfunktionen 
• sehr gute Diagnosemöglichkeiten der Sicherheitsfunktionen 
• ein Kommunikationssystem für steuerungsund sicherheitsrelevante Informationen 
• keine Einschränkungen der Performance bzgl. Echtzeit und Determinismus 
• flexible Erweiterungsmöglichkeiten Safety-over-Ethercat 

Zur Realisierung einer sicheren Datenübertragung für Ethercat ist innerhalb der Ethercat Technology Group (ETG) das Protokoll Safetyover- Ethercat offen gelegt. Bei der Entwicklung dieses Protokolls waren die folgenden Eigenschaften von entscheidender Bedeutung:

• Einhaltung der SIL 3 der IEC 61508 
• sichere und unsichere Informationen auf einem Kommunikationssystem 
• Unabhängigkeit des Protokolls vom Übertragungssystem und -medium 
• Die Länge der sicheren Prozessdaten wird vom Protokoll nicht eingeschränkt
• Sehr kurze Framelängen werden ermöglicht 
• Keine Einschränkungen bezüglich Übertragungsgeschwindigkeit und Zykluszeit 

Die Einhaltung der Anforderungen nach IEC 61508 SIL 3 ist für einen uneingeschränkten Einsatz im Bereich der industriellen Automatisierung zwingend notwendig. Für das Bussystem bedeutet dies, dass die gefährliche Restfehlerwahrscheinlichkeit < 10–9 pro Stunde eingehalten werden muss. Das entspricht 1 % der für den SIL 3 in einem System mit hoher Anforderungsrate geforderten Restfehlerrate von ≥ 10–8 bis < 10–7; die anderen 99 % werden für die Sicherheitskomponenten wie Sensoren, sichere Logik und Aktorik gewahrt, die ebenfalls an der Realisierung der Sicherheitsfunktion beteiligt sind. Übrigens bedeutet < 10–9 pro Stunde, dass im ständigen Betrieb ca. 100.000 Jahre lang kein gefährlicher Fehler auftreten darf, der unentdeckt bleibt.

Ethercat wird als einkanaliges Kommunikationssystem genutzt, um sichere und unsichere Informationen zu übertragen. Das Transportmedium wird dabei als „Black Channel“ betrachtet und dementsprechend nicht in die Sicherheitsbetrachtung einbezogen.

In die Ethercat Prozessdaten wird ein Safety-Frame mit den sicheren Prozessdaten und der notwendigen Datensicherung gepackt. Dieser Container wird in den Geräten auf Applikationsebene sicher ausgewertet.

Die Kommunikationsanschaltung bleibt einkanalig. Dies entspricht dem Modell A aus dem Anhang der preIEC 617843. Diese derzeit in der Abstimmung befindliche Norm beschreibt Anforderungen an die Übertragung von sicherheitsrelevanten Nachrichten auf industriellen Netzwerken.

Die Berechnung der Restfehlerwahrscheinlichkeit für das Safety-over-Ethercat-Protokoll nimmt keinen Kredit von den Fehlererkennungsmechanismen des Kommunikationssystems. Damit ist eine Übertragung des Protokolls auch über andere Kommunikationssysteme möglich. Genutzt wird dies u. a. bei der Verwendung von internen Subbus-Systemen in den Komponenten wie sie in modularen I/O-Systemen verwendet werden, die einen Buskoppler zum Anschluss an das Steuerungsbussystem besitzen und einen eigenen Subbus zum Einsammeln des Prozessabbilds der gesteckten I/O-Komponenten.

Der Safety-Frame kann ohne Einschränkungen vom Ethercat-Koppler über den Subbus an die sicheren I/O-Terminals weitergereicht werden.

Zusammenfassung

• Safety-over-Ethercat beschreibt das Sicherheitsprotokoll für Ethercat. 
• Das Protokoll enthält keine Einschränkungen bezüglich sicherer Prozessdatenlänge, Kommunikationsmedium oder Übertragungsrate. 
• Ethercat wird als „schwarzer Kanal“ verwendet; d. h., das Kommunikationssystem geht nicht in die Sicherheitsbetrachtung ein. 
• Das Protokoll ist spezifiziert, begutachtet und es erfüllt die Anforderungen der IEC 61508 SIL 3. Seit 2005 sind Produkte mit dem Safety- over-Ethercat-Protokoll am Markt verfügbar.

Kontakt

Dr. Guido Beckmann
Beckhoff Automation GmbH, Verl
Tel.: 05246/963-0
Fax: 05246/963-198
info@beckhoff.de
www.beckhoff.de/safety-over-ethercat