Sichere Kommunikationssysteme Safety first

12.11.2012

Der Sicherheitsaspekt wird in Kommunikationssystemen der industriellen Automatisierung groß geschrieben. Die meisten Standards setzen mittlerweile auf Konzepte, die eine zusätzliche Verdrahtung von Sicherheitsgeräten überflüssig machen: Safety- und Standarddaten werden auf dem gleichen Bus übertragen. Wie das funktioniert, erklären die jeweiligen Nutzerorganisationen.

Sponsored Content

Sicherheit bei erhöhter Produktivität

Dr. Peter Wenzel, Profibus & Profinet International

Die dezentrale Feldbustechnik für die Fertigungs- und Prozessautomatisierung musste lange Zeit mit der Einschränkung leben, dass sicherheitstechnische Aufgaben nur in einer zweiten Ebene oder dezentral über Spezialbusse gelöst werden konnten. PI - Profibus & Profinet International hatte vor mehr als 10 Jahren mit Profisafe das erste Sicherheitsprotokoll auf dem Markt, das Konzepte wie Black Channel und End-zu-End-Sicherung nutzt. Damit wurde eine ganzheitliche, offene Lösung geschaffen, die Anwenderszenarien für Functional Safety gerecht wird. Profisafe ist als zusätzliche Schicht über der Feldbuskommunikation Profibus oder Profinet realisiert. Die transportierten Daten, sind in einen zusätzlichen Sicherungscode eingebettet. Profisafe ist nicht auf die Fehleraufdeckungsmaßnahmen von Profibus oder Profinet angewiesen. Es betrachtet den Feldbus als eine Art Black Box oder eben Black Channel. Dadurch ist es auch möglich, eine Endpunkt-zu-Endpunkt-Sicherung des Datentransports zu bieten, die auch den Transport über Rückwandbusse oder Funkstrecken abdeckt.Mit Hilfe dieser zusätzlichen Schicht, die wenige Kilobyte Firmware beansprucht, können Sicherheitsgeräte wie Not-Halt-Taster, Lichtgitter, Laserscanner, Antriebe und Roboter die Feldbustechnik nutzen. Die Daten dieser Geräte werden auf dem Feldbuskabel gemeinsam übertragen. Profisafe ist ein effizientes Protokoll mit geringem Overhead. Es stellt sicher, dass die Daten von Sicherheitsgeräten aktuell sind, von einer authentischen Quelle stammen und unverfälscht sind. Profisafe hilft nicht nur Arbeitsunfälle zu vermeiden, sondern ermöglicht einen störungsfreien und wirtschaftlichen Anlagenbetrieb durch hohe Flexibilität bei ständig zunehmender Produktivität und damit höherer Materialflussgeschwindigkeiten. Auch die eingesetzte Antriebstechnik muss auf Positions- oder Geschwindigkeitsabweichungen entsprechend reagieren, um Sicherheit zu gewährleisten. Durch die Verwendung der genormten Sicherheitsfunktionen Safely Limited Position (SLP) und Safe Direction (SDI) können beispielsweise in Portalkränen Lagerbereiche für den Zugang von Personal dynamisch gesperrt werden, so dass der Betrieb anderer Einheiten nicht beeinträchtigt ist.

Flexibel durch Integration

Katherine Voss, ODVA

CIP Safety ist die Erweiterung des Common Industrial Protocol (CIP) für funktionale Sicherheitsanwendungen in EtherNet/IP- und DeviceNet-Netzwerken. Es sorgt für die ausfallsichere Kommunikation zwischen Sicherheits-I/O-Blöcken, -Verriegelungsschaltern, -Lichtschranken oder SPSen bis SIL3, gemäß IEC60508 und dem TÜV-Rheinland-Zertifikat.CIP bietet die Möglichkeit, Sicherheits- und Standardgeräte im selben Netz beziehungsweise auf derselben Leitung zu mischen, wodurch nahtlose Integration ermöglicht und die Flexibilität erhöht wird. Da die Architektur der Sicherheitsanwendung nicht von der Integrität der ihr zugrunde liegenden standardmäßigen CIP-Dienste und Datenübermittlungsarchitektur abhängt, kann für die Kommunikationsschnittstelle der Datenleitung einkanalige, nicht-redundante Hardware verwendet werden sowie Standard-Router aufgrund dieser Funktionsunterteilung. Das Routing von Sicherheitsdaten ist möglich, da das Endgerät für die Integrität der Daten verantwortlich ist. CIP beinhaltet eine Vielzahl von Nachrichten und Diensten für die industrielle Automatisierung und ermöglicht dem Nutzer, Anwendungen mit unternehmensweiten Ethernet-Netzwerken und dem Internet. EtherNet/IP bietet Anwendern Tools für den Einsatz standardisierter Ethernet-Technologie in der industriellen Automatisierung mit Internet- und Enterprise-Connectivity. Dadurch stehen Daten jederzeit und überall zur Verfügung.Die Bewegungssteuerung über Netzwerke ist eine für die Sicherheitstechnik an Bedeutung zunehmende Anwendung, weshalb ODVA, derzeit die Erweiterung der Anwendungsmöglichkeiten von CIP Safety auf die sichere Bewegungssteuerung prüft. Unter Verwendung der in IEC 61800-5-2 definierten Sicherheitsfunktionen wird ODVA die Anforderungen zur Verwendung sicherer Bewegungssteuerung in Systemen mit CIP Safety definieren und dabei folgende Aspekte berücksichtigen: Zielanwendungen und Architektur der Steuerungen für sichere Bewegungsanwendungen; Bewegungsfunktionen wie das sicher abgeschaltete Drehmoment (STO) und die begrenzten Positionen (SLP) sowie das erforderliche Datenmodell und die Anwendung eines Bewegungsdatenmodells auf CIP Safety, um die erforderlichen Objekte und Dienste eines sicheren Bewegungsprofils zu unterstützen.

Offen für alle Busse

Stefan Schönegger, EPSG

Heute ist es gängige Praxis, busintegrierte Sicherheitstechnik mit Datenverkehr über Industrial Ethernet zu verwenden. Powerlink verfügt über ein integriertes Sicherheitssystem, das die Kommunikation zwischen sicheren und nicht sicheren Teilen der Leit-, Steuerungs- und Antriebstechnik ermöglicht. Das ursprünglich nur für Powerlink entwickelte Protokoll Open Safety ist technisch wie rechtlich offen für alle Busse. Um sicherheitsgerichtete Signale mit garantierter Ankunftszeit über einen ethernetbasierten Feldbus zu schicken, muss dieser über die erforderliche Kapazität verfügen. Ethernetbasierte Protokolle haben eine hohe Übertragungsbandbreite, doch ist nicht jedes Protokoll für Sicherheitsanwendungen gleich gut geeignet. Powerlink beherrscht neben dem Master/Slave-Prinzip auch die Querverkehrfähigkeit. Feldgeräte und Antriebe müssen nicht sequentiell angesprochen und abgefragt werden. Sie werden im Broadcast-Verfahren parallel bedient. Zudem kann jeder Netzwerkteilnehmer stets mithören und auf relevante Meldungen gleichberechtigter Knoten adäquat reagieren. Gerade in Maschinen mit höheren Achsenzahlen entlastet diese Eigenschaft die Leitungen und sorgt dafür, dass ausreichend Bandbreite für das Sicherheitsprotokoll vorhanden ist. Open Safety ist zuverlässig und für den busunabhängigen Standard für netzwerkintegrierte Sicherheit in hochperformanten Anwendungen mit höchsten Taktraten geeignet. Open Safety gewährleistet, dass alle Normen bezüglich Datenabsicherung, also Schutz gegen unerkannte Verfälschungen durch verlorene Datenpakete, eingehalten werden - auch bei Übertragungsraten im Gigabit-Bereich. Wird Open Safety zusammen mit Powerlink eingesetzt, können bestimmte Systemeigenschaften die Sicherheit noch erhöhen. Weil Powerlink dem Anwender völlige Freiheit bei der Wahl der Topologie lässt, lassen sich in großen Maschinen Kabellängen und Signalwege verbessern. Mit der Ringtopologie oder mit Leitungsredundanz können auch bei Beschädigungen des Netzwerkkabels alle Knoten erreicht werden. Der Betrieb wird vollumfänglich aufrechterhalten und die sicherheitsgerichteten Funktionen bleiben selbst bei unterbrochener Verbindung reaktionsfähig. Powerlink ermöglicht kurze Reaktionszeiten und neben dem reinen Anhalten der Antriebstechnik ebenso sichere Funktionen für die Robotik, etwa die reduzierte Geschwindigkeit am Werkzeugmittelpunkt. Zudem verfügt Powerlink über die Fähigkeit, sicherheitsrelevante Daten per Black Channel über fremde Busse und Protokolle auszutauschen - damit lassen sich drahtlose Komponenten ansprechen und andere Teile der Produktionsausstattung einbeziehen.

Ressourcen schonen

Holger Zeltwanger, Can in Automation

Das europäisch genormte CANopen-Safety-Protokoll EN50235-5 ermöglicht eine sichere Kommunikation bis SIL3 nach IEC61508. Es wird vor allem in mobilen Arbeitsmaschinen verwendet. Schon vor der Jahrtausendwende begann CAN in Automation (CIA) mit der Entwicklung eines sicheren Kommunikationssystems auf Basis von CANopen. Es basiert auf dem international genormten CAN-Netzwerk nach ISO 11898-1/2.Das CANopen-Safety-Protokoll basiert auf einer doppelten Übertragung von Prozessdaten in zwei CAN-Nachrichten. Dieses periodisch übertragene Nachrichtenpaar wird Safety-Related Data Object (SRDO) genannt. Nach einer Prüfung durch den TÜV-Rheinland kann mit diesem Protokoll SIL3 erreicht werden. Bei redundanten Busleitungen ist eine SIL4-Übertragung möglich. Die zweifache Übertragung benötigt keinen weiteren Protokoll-Overhead, so dass die vielfältigen Geräteprofile unverändert genutzt werden können. Die beiden CAN-Nachrichten eines SRDOs unterscheiden sich im Identifier um mindestens zwei Bits, so dass ein Einfachfehler mit Sicherheit erkannt wird. Anfänglich gab es nur wenige Steuerungen, Sensoren und Stellglieder, die das CANopen-Safety-Protokoll unterstützten. Doch nach in Inkrafttreten der neuen Maschinenrichtlinie hat die Unterstützung erheblich zugenommen. In anderen Anwendungsgebieten ist CANopen traditionell weit verbreitet beispielsweise bei Schienenfahrzeugen, Aufzügen und in der Medizintechnik. Die Implementierung des CANopen-Safety-Protokolls benötigt nur relativ geringe Ressourcen an Rechenleistung und Speicherplatz. Der CIA hat sogar eine Einprozessor-Implementierung realisiert, die der TÜV abgenommen hat. Eine CANopen-Safety-Implementierung für eine Soft-SPS nach IEC61131-3 ist derzeit in Entwicklung.

Zentrale und dezentrale Safety

Guido Beckmann, Ethercat Technology Group

Funktionale Sicherheit als integraler Bestandteil der Netzwerkarchitektur wird für moderne Kommunikationssysteme vom Anwender als selbstverständlich vorausgesetzt. Ethercat bietet die Möglichkeit einer sicherheitsrelevanten Übertragung parallel zu den Standarddaten auf dem gleichen Netzwerk mit Hilfe des schnellen und schlanken Functional-Safety-over-Ethercat-Protokolls (FSoE). FSoE erfüllt die Anforderungen nach SIL3 und ist in der IEC61784-3-12 international standardisiert. Gerätehersteller werden bei der Zertifizierung unterstützt: Test-Cases und -tools stehen ebenso zur Verfügung wie Protokoll-Stacks bis hin zu fertigen Teilkomponenten die in das eigene System integriert werden können. Gegenüber der sicheren I/O-Verdrahtung ermöglicht der Einsatz von FSoE einfachere und flexiblere Architekturen. Die unübersichtliche - und fehleranfällige - Einzelverdrahtung der Sicherheitssensoren, Sicherheitsschaltgeräte und Abschaltschütze wird ersetzt durch eine Kommunikationsleitung und geräteintegrierte Sicherheitsfunktionen. Hierdurch wird die Sicherheitsarchitektur überschaubar, leicht zu diagnostizieren und kann bei Bedarf flexibel erweitert werden. Dank Black-Channel-Ansatz eignet sich das Protokoll für zentrale und dezentrale Safety-Steuerungen. Die Übertragungsstrecke kann beliebig sein und ist nicht auf Ethercat beschränkt: Es können Feldbussysteme, Ethernet oder ähnliche Strecken zur Übertragung eingesetzt werden auf elektrischen Leitungen, Lichtwellenleitern oder auch via Funkübertragung. Durch diese Unabhängigkeit wird auch die sicherheitsrelevante Vernetzung mehrerer Anlagenteile vereinfacht. Der FSoE-Container wird über die Steuerungen geroutet und im anderen Anlagenteil ausgewertet. Übergreifende Not-Halt-Funktionen und gezieltes Stillsetzen von Anlagenteilen sind somit problemlos lösbar, auch wenn diese über andere Kommunikationssysteme wie Ethernet miteinander gekoppelt sind. Die Safety-over-Ethercat-Technik wird von Firmen der Steuerungs- und Antriebstechnik, der Robotik und der Sensorik in Europa, Nordamerika und Asien implementiert. Dadurch entsteht eine Gerätevielfalt, die zusammen mit dem integrierten Ansatz zu niedrigen Systemkosten führt.

Alles auf einem Kabel

Peter Lutz, Sercos International

Das Protokoll CIP Safety on Sercos überträgt sicherheitsrelevante Signale über Sercos. Es wurde in Kooperation mit der ODVA definiert und ist nach IEC61508 bis SIL3 zertifiziert. Anwender können damit auf den netzwerkübergreifenden Sicherheitsstandard CIP Safety zurückgreifen, der auch bei Devicenet- und Ethernet/IP-Netzwerken zum Einsatz kommt. Dies kommt dem Wunsch von Anwendern und Herstellern entgegen, auf einen globalen Standard setzen zu können. Durch die Verwendung eines gemeinsamen Protokolls und aufgrund der Routing-Fähigkeit des CIP Safety-Protokolls kann sich ein Sicherheitsnetzwerk über mehrere unterlagerte oder koexistierende und miteinander verbundene Kommunikationsnetzwerke erstrecken.CIP Safety on Sercos ist so konzipiert, dass eine zusätzliche Verkabelung für einen Sicherheitsbus entfällt, denn die sicherheitsrelevanten Signale und Informationen werden einfach neben den anderen Echtzeitdaten des SercosIII-Netzwerks übertragen. Da die Funktionalität des transportprotokoll- und medienunabhängigen CIP-Sicherheitsprotokolls in den Endgeräten liegt, ist ein simultaner Betrieb von Standard- und Sicherheitsgeräten im selben Netzwerk möglich. Die Integration von Antriebs-, Peripherie- und Sicherheitsbus sowie Standard-Ethernet in einem einzigen Netzwerk vereinfacht die Handhabung und reduziert Hardware- und Installationskosten. Sichere Kommunikation ist auf und zwischen allen Netzwerkebenen möglich. Der Master muss dabei nicht zwangsläufig eine Sicherheitssteuerung sein, sondern kann die Daten auch routen, ohne sie zu interpretieren. Dies bietet dem Anwender die Möglichkeit, die Sicherheitsnetzwerk-Architektur flexibel zu gestalten, zum Einsatz von sicherheitsprogrammierbaren Controllern oder der direkten Übertragung von Sicherheitsdaten zwischen Sensoren und Aktoren. Zudem ist es möglich, ein Standard-CIP-Netzwerk als übergelagertes Netz zu verwenden, und dass Sicherheitsgeräte nahtlos in einem Subnetz mit Sicherheitsgeräten eines anderen Subnetzes kommunizieren.Hersteller, die die CIP-Safety-Funktionalität in entsprechende Geräte integrieren möchten, können auf eine durch den TÜV vorzertifizierte Stack-Implementierung zurückgreifen. Damit werden Entwicklungsaufwand und -risiko auf ein Minimum reduziert.

Zykluszeiten unbeeinträchtigt

Dr. Hermann Pommer, Sigmatek

Im Maschinenbau setzt man bei modernen Automatisierungslösungen zunehmend auch beim Austausch sicherheitskritischer Daten auf Echtzeit-Ethernet. Varan bietet daher die Möglichkeit, Safety-Daten zu übertragen und zwar nach dem Black-Channel-Prinzip, also der Verwendung des Sicherheitsprotokolls unabhängig vom eingesetzten Standard-Kommunikationssystem. Dabei können Safety- und Standarddaten im selben Bussystem übertragen werden, ohne die Übertragungsgeschwindigkeit bei kürzesten Zykluszeiten zu beeinträchtigen. Dadurch ist es nicht mehr erforderlich, Sicherheitskomponenten separat zu verkabeln. Dank der durchgängigen Ethernet-Technik können alle Ebenen, von der Leitebene bis zur Feldebene, einfach miteinander verbunden werden. Der Echtzeit-Ethernetbus Varan eignet sich daher für Automatisierungssysteme, die SIL3 nach IEC 61508 beziehungsweise dem Performance Level PLe gemäß ISO13849 entsprechen müssen. Bei Varan werden die Standard-Ethernet-Pakete aus der Office-Umgebung vom Varan-Manager in kleine Einheiten zerteilt und durch das Netzwerk getunnelt, ohne die Echtzeitkommunikation zu beeinflussen. Für die Kommunikation der Safety-Baugruppen übernimmt der Bus keine sicherheitsrelevanten Aufgaben, sondern dient nur als einkanaliges Übertragungsmedium. Das Safety-Protokoll ist hierbei im Nutzdatenfeld eines Varan-Telegramms eingebettet. Die sicherheitsrelevanten Daten werden in einem Safety Frame doppelt übertragen und zusätzlich durch eine Checksumme geschützt. Dabei wird der Inhalt des Standard-Ethernet-Frames nicht interpretiert, wodurch zusätzliche Sicherheitseinrichtungen wie Firewalls nicht erforderlich sind. Die Peripheriekomponenten innerhalb einer Maschine kommunizieren über ein einheitliches System. Damit entsteht eine durchgängige Gesamtlösung, die die Sicherheitstechnik als integralen Bestandteil mit einschließt und so die Kosten und Dauer für die Safety-Zertifizierung signifikant reduziert. Eine mit Varan ausgestattete Maschine benötigt nur eine IP-Adresse, wodurch der Verwaltungsaufwand für die Netzwerkadministration stark verringert wird. Die durchgängige Vernetzung sorgt für hohe Effizienz und Kostensenkung.

Verwandte Artikel