Forum für Wissenschaft, Industrie und Wirtschaft

Hauptsponsoren:     3M 
Datenbankrecherche:

 

Schneller Transport sicherheitsrelevanter Daten über Ethercat

19.05.2008
Moderne Kommunikationssysteme erfüllen heute nicht nur den deterministischen Transport von Steuerungsinformationen, sie bieten außerdem die Möglichkeit, sicherheitsrelevante Daten auf dem gleichen Medium zu übertragen. Ethercat setzt dabei auf das sichere Protokoll Safety-over-Ethercat.

Die Automatisierung von Maschinen und Anlagen wird zunehmend durch den Einsatz von Roboterapplikationen und Handhabungsgeräten bestimmt. Dabei steigt der Wunsch nach einer kooperativen Zusammenarbeit von Roboter und Mensch. Für die notwendige Sicherheit sorgen dabei sichere Sensoren, die den Arbeitsraum des Roboters erfassen, und antriebsintegrierte Sicherheitsfunktionen, die die Bewegungsfunktion überwachen.

Die hohe Dynamik der Maschinen erfordert es, dass zur Kopplung der Sensoren und Aktoren schnelle Kommunikationssysteme eingesetzt werden, die neben den Steuerungsinformationen auch sichere Daten übertragen können. Dieser Beitrag schildert die Anforderungen an ein solches sicheres Kommunikationssystem und stellt die Safety-over-Ethercat-Technik als eine offene Lösung vor.

In konventionellen Automatisierungslösungen werden Sicherheitsfunktionen oft getrennt von den Automatisierungsfunktionen entwickelt und erst sehr spät in das Maschinenkonzept integriert. Dies führt zu umständlichen und wenig flexiblen Lösungen, die zeitweise sogar die Bedienung der Maschine einschränken. Eine Sicherheitsfunktion, die die Funktionalität der Maschine einschränkt, birgt aber immer die Gefahr, dass sie vom Anwender umgangen und damit wirkungslos wird.

Sicherheitssensoren wie Lichtgitter, Schutztürüberwachungen oder Zweihandbediengeräte werden in der Regel über eine Vielzahl von Auswertegeräten überwacht, die wiederum über eine unflexible Relaislogik auf die sicheren Ausgänge wirken. Zur Abschaltung der gefahrbringenden Bewegung werden redundante Netz- und/oder Motorschütze in den Leitungen der Antriebe eingesetzt, um diese momentenlos schalten zu können.

Integrierte Sicherheitstechnik erfordert neue Kommunikationssysteme

Der Trend geht allerdings in eine neue Richtung: Intelligente Sicherheitslösungen in den Automatisierungskomponenten und in den Kommunikationssystemen ermöglichen eine Integration der Sicherheitstechnik

in das Maschinenkonzept. Im Bereich der Sicherheitssensorik sind dies Schutzeinrichtungen, die bereits funktionale Erweiterungen wie Muting integrieren. Neueste Entwicklungen sind kamerabasierte Sensoriksysteme mit räumlichen Überwachungsfunktionen, um in der Bereichsabsicherung neue Möglichkeiten der Interaktion zwischen Mensch und Maschine zu ermöglichen.

Für die Auswertung und Sicherheitslogik werden bereits neben den „großen“ Sicherheitssteuerungen kleine, dezentrale Logikgeräte angeboten, die auf die jeweilige Aufgabe skalierbar sind; unflexible Relaislogik kann damit entfallen. Auch die Antriebstechnik bietet integrierte Sicherheitsfunktionen zum schnellen und kurzzyklischen Stillsetzen des Antriebs und zum sicheren Überwachen von Funktionen wie der sicher begrenzten Geschwindigkeit. Ermöglicht wird die Integration unter anderem durch eine sichere Datenübertragung zwischen den Komponenten. Eine solche sichere Übertragung ist im Safety-over-Ethercat-Protokoll spezifiziert.

Sicherheitslevels durch Normen festgelegt

Die Normenwelt hat sich als Grundvoraussetzung ebenfalls mit den neuen Gegebenheiten auseinandergesetzt und ermöglicht die Bestimmung des Sicherheitslevels auch für softwarebasierte, programmierbare Sicherheitsgeräte (siehe IEC 61508, IEC 62061 und ISO 13849). Die Vorteile sind beeindruckend:

-nahtlose Integration des Sicherheitskonzepts in das Maschinenkonzept,

-keine getrennten Entwicklungswerkzeuge für Standard- und Sicherheitsapplikation,

-einfache Handhabung und Transparenz der Sicherheitsfunktionen,

-sehr gute Diagnosemöglichkeiten der Sicherheitsfunktionen,

-ein Kommunikationssystem für steuerungs- und sicherheitsrelevante Informationen,

-keine Einschränkungen der Performance bezüglich Echtzeit und Determinismus,

-flexible Erweiterungsmöglichkeiten.

Zur Realisierung einer sicheren Datenübertragung für Ethercat ist innerhalb der Ethercat Technology Group (ETG) das Protokoll Safety-over-Ethercat offen gelegt. Bei der Entwicklung dieses Protokolls waren die folgenden Eigenschaften von entscheidender Bedeutung:

-Einhaltung der SIL 3 der IEC 61508,

-sichere und unsichere Informationen auf einem Kommunikationssystem,

-Unabhängigkeit des Protokolls vom Übertragungssystem und -medium,

-Länge der sicheren Prozessdaten vom Protokoll nicht eingeschränkt,

-sehr kurze Framelängen möglich

-keine Einschränkungen bezüglich Übertragungsgeschwindigkeit und Zykluszeit.

Die Einhaltung der Anforderungen nach IEC 61508 SIL 3 ist für einen uneingeschränkten Einsatz im Bereich der industriellen Automatisierung zwingend notwendig. Für das Bussystem bedeutet dies, dass die gefährliche Restfehlerwahrscheinlichkeit

Sichere und unsichere Daten einkanalig auf Ethercat

Ethercat wird als einkanaliges Kommunikationssystem genutzt, um sichere und unsichere Informationen zu übertragen. Das Transportmedium wird dabei als „Black Channel“ betrachtet und dementsprechend nicht in die Sicherheitsbetrachtung einbezogen. In die Ethercat-Prozessdaten wird ein Safety-Frame mit den sicheren Prozessdaten und der notwendigen Datensicherung gepackt. Dieser Container wird in den Geräten auf Applikationsebene sicher ausgewertet.

Die Kommunikationsanschaltung bleibt einkanalig. Dies entspricht dem Modell A aus dem Anhang der pre-IEC 617843. Diese derzeit in der Abstimmung befindliche Norm beschreibt Anforderungen an die Übertragung von sicherheitsrelevanten Nachrichten auf industriellen Netzwerken.

Die Berechnung der Restfehlerwahrscheinlichkeit für das Safety-over-Ethercat-Protokoll nimmt keinen Kredit von den Fehlererkennungsmechanismen des Kommunikationssystems. Damit ist eine Übertragung des Protokolls auch über andere Kommunikationssysteme möglich.

Safety-Frame wird ohne Einschränkung an sichere I/O-Terminals weitergereicht

Genutzt wird dies unter anderem bei der Verwendung von internen Subbus-Systemen in den Komponenten, wie sie in modularen I/O-Systemen verwendet werden, die einen Buskoppler zum Anschluss an das Steuerungsbussystem besitzen und einen eigenen Subbus zum Einsammeln des Prozessabbilds der gesteckten I/O-Komponenten. Der Safety-Frame kann ohne Einschränkungen vom Ethercat-Buskoppler über den Subbus an die sicheren I/O-Terminals weitergereicht werden.

Ein erster Grundsatz für die Prüfung und Zertifizierung von Bussystemen für die Übertragung sicherheitsrelevanter Nachrichten wurde erstmals vom Fachausschuss Elektrotechnik des HVBG im Jahr 2000 vorgestellt. Dieser Prüfgrundsatz in der aktuellen Version [GSET26] ist Grundlage für die internationale Norm pre-IEC 61784-3.

In dieser Norm werden unter anderem folgende Fehlerannahmen für ein solches Netzwerk getroffen: Verfälschung, Wiederholung, Vertauschung, Verlust, Verzögerung, Einfügung, Maskerade und falsche Adressierung von Nachrichten. Alle diese Fehler müssen von einem Sicherheitsprotokoll über geeignete Maßnahmen beherrscht werden, das heißt, sie müssen entsprechend der angestrebten Sicherheitskategorie aufgedeckt werden.

Verzögerung der Daten spielt für die Sicherheit eine wichtige Rolle

Besonders die Annahme der Verzögerung von Nachrichten gewinnt für ethernetbasierte Systeme an Bedeutung. Durch die Verwendung von Infrastrukturkomponenten wie Switches oder Router, die nicht sicherheitsrelevant abgenommen werden, besteht grundsätzlich die Möglichkeit, dass Nachrichten verzögert werden. Selbst eine Zeitüberwachung (Watchdog) der eintreffenden Nachrichten ist nicht ausreichend.

Der Consumer überwacht das zyklische Eintreffen der Nachrichten vom Producer mit Hilfe eines Watchdogs. In der Netzwerkkomponente werden die Nachrichten aber in jedem Zyklus um ein Δt verzögert, das von der Zeitüberwachung nicht erkannt wird.

Wenn sich diese Verzögerung über mehrere Zyklen aufsummiert, dann kann der Consumer nicht erkennen, dass eine Nachricht bereits über das erlaubte Maß hinaus veraltet ist. Im Extremfall heißt das, dass eine Not-Aus-Anforderung eines Sensors (Producers) erst nach Minuten am Antrieb (Consumer) gemeldet wird.

Globale Uhrzeit schließt Verzögerungszeitfehler aus

Eine Maßnahme zur Beherrschung solcher Fehler ist die Einführung einer globalen Uhrzeit und das Übertragen von Nachrichten mit einem Zeitstempel. Dabei ist allerdings zu beachten, dass ein gegebenenfalls im Kommunikationssystem vorhandener Uhrzeitsynchronisationsmechanismus nicht ohne weiteres verwendet werden kann: Die Synchronisation muss zusätzlich auf Ebene des Sicherheitsprotokolls erfolgen.

Safety-over-Ethercat nutzt daher eine einfachere Methode. Über die Verwendung einer eindeutigen Master-Slave-Beziehung zwischen zwei Teilnehmern, der Safety-over-Ethercat-Connection, kann gewährleistet werden, dass jeder Teilnehmer erst nach dem Erhalt einer neuen Nachricht seine eigene neue Nachricht zurücksendet.

Der komplette Übertragungspfad zwischen Master und Slave wird damit in jedem Zyklus überwacht; das Aufsummieren von Verzögerungszeiten wird ausgeschlossen beziehungsweise erkannt. Dadurch ist eine sehr „schlanke“ Implementierung des Protokolls möglich und die Anforderungen an den Zugriff des Kommunikationssystems bleiben moderat, weil keine harten Timings für die Uhrzeitsynchronisation eingehalten werden müssen. Die Tatsache, dass es im Netzwerk unter Umständen zu vermehrtem Datenaufkommen kommt, ist aufgrund der verfügbaren Bandbreite unkritisch und im praktischen Einsatz kein Nachteil.

Für die Beherrschung der anderen anzunehmenden Fehler enthält das Safety-over-Ethercat-Protokoll zusätzlich:

-eine Session-Nummer, um das Zwischenspeichern einer kompletten Hochlaufsequenz zu erkennen,

-eine eindeutige Connection-ID und eine eindeutige Slave-Adresse, um über eine eindeutige Adressbeziehung fehlgeleitete Nachrichten sicher zu detektieren,

-eine CRC-Prüfsumme, um eine Verfälschung der Nachrichten von der Quelle bis zur Senke zu erkennen. Zudem kann hierüber eine Vertauschung der Informationen innerhalb des Safety-Containers erkannt werden, wenn der Container auf dem Transport beispielsweise gesplittet wurde. Die Properness und die Eignung des Codes sowie die geforderte Unabhängigkeit zu der unterlagerten Kommunikation wurden nachgewiesen.

-eine Sequence-Nummer, um ein Vertauschen, die Wiederholung, das Einfügen oder den Verlust von ganzen Nachrichten zu erkennen.

Dabei ist das Telegramm über entsprechende Vorschriften so gestaltet, dass bereits mit minimal 6 Byte Containerlänge alle Sicherungsinformationen inklusive 1 Byte sicherer Prozessdaten übertragen werden können. Eine Beschränkung der Länge der sicheren Prozessdaten ist übrigens durch das Protokoll nicht gegeben.

Das bedeutet, dass auch Sicherheitskomponenten mit vielen sicheren Prozessdaten unterstützt werden. Zum Beispiel könnte ein sicherer Antrieb neben einer sicheren Statusinformation auch die intern ermittelte sichere Position, sichere Drehzahl und/oder das sichere Moment zusätzlich übertragen.

Einfache Struktur ermöglicht einfache Implementierung des Safety-over-Ethercat-Protokolls

Ebenso ist eine minimale Zykluszeit des Containers nicht eingeschränkt. Aus der geschickten Wahl der Sicherungsinformationen ergibt sich, dass für das Safety-over-Ethercat-Protokoll die Übertragungsrate keinen Einfluss auf die Restfehlerwahrscheinlichkeit hat. Zum Hochfahren einer Safety-over-Ethercat-Connection wird sowohl im Master als auch im Slave eine Zustandsmaschine abgearbeitet.

Auch dabei wurde Wert auf eine einfache Struktur gelegt, um die Implementierung möglichst einfach zu halten. Die Zustandsübergänge werden jeweils vom Master initiiert und vom Slave bestätigt. In den Zuständen werden Informationen für die Kommunikationsbeziehung ausgetauscht und überprüft.

Im Zustandsparameter wird beispielsweise die Watchdog-Zeit ausgetauscht. Diese Zeit ist stark von der Übertragungsstrecke und den Sicherheitsgeräten abhängig und muss daher individuell konfiguriert werden. Zudem können in diesem Zustand sichere Anwendungsparameter vom Master zum Slave übertragen werden. Dadurch ist eine zentrale sichere Datenhaltung im Master möglich. Die Länge der Anwendungsparameter kann bis zu 216 Byte je Connection betragen und ist damit hinreichend groß, um zum Beispiel auch ein konfiguriertes Schutzfeld eines Laserscanners zu übertragen.

Der sichere Zustand der Ausgänge kann erst im Zustand Data verlassen werden. Dieser Zustand ist der normale Betriebszustand zum Austausch von sicheren Eingangs- und Ausgangsdaten. Stellt einer der Teilnehmer einen Fehler der Kommunikationsbeziehung beim Hochlauf oder im Datenaustausch fest, dann wechselt er in den Zustand Reset und setzt damit die Verbindung zurück.

Safety-over-Ethercat vom TÜV zertifiziert

Das Protokoll Safety-over-Ethercat ist vom TÜV begutachtet worden. Es wird bescheinigt, dass es sich um ein Protokoll handelt, mit dem Prozessdaten bis SIL 3 laut IEC 61508 zwischen Safety-over-Ethercat-Geräten übertragen werden können. Die Implementierung des Safety-over-Ethercat-Protokolls in ein Gerät muss die Anforderungen des angestrebten Sicherheitsziels erfüllen. Dabei sind die entsprechenden produktspezifischen Anforderungen zu beachten.

Die Übertragungsstrecke ist beliebig, es können Feldbussysteme, Ethernet oder ähnliche Strecken zur Übertragung eingesetzt werden ebenso wie Lichtwellenleiter, Kupferleiter oder auch Funkstrecken. Es gibt keine Einschränkungen oder Anforderungen an Buskoppler oder andere in der Strecke befindliche Geräte.

Zur Unterstützung der Implementierung des Protokolls in Geräte wird derzeit ein Conformance-Test entwickelt. Dieser Test ist ein reiner Protokoll-Tester, der über die Kommunikationsschnittstelle eines Test-Gerätes das Verhalten des Sicherheitsprotokolls überprüft (Black-Box-Test).

Test für Safety-over-Ethercat auf einem Standard-PC

Dafür wird zunächst die Gerätebeschreibungsdatei des Prüflings eingelesen, um die möglichen Parameter für den Test zu ermitteln. Auf einem Standard-PC können dann Skripte aus einer Testkonfiguration ausgeführt werden. Dabei wird der Prüfling mit richtigen und fehlerhaften Telegrammen beaufschlagt und die Reaktion mit einem erwarteten Ergebnis verglichen. Das Ergebnis ist ein Testbericht, der die Resultate der Testschritte zusammenfasst.

Die Testcases werden von einer Prüfstelle begutachtet und freigegeben und können vom Gerätehersteller genutzt werden, um die Konformität mit der Protokollspezifikation sicherzustellen. Zudem ist geplant, an unabhängiger Stelle ein Conformance-Test-Labor zu errichten. In diesem Labor wird der Test ebenfalls ausgeführt und die Konformität bestätigt. Damit ist es für die Zertifizierungsstelle des Geräteherstellers möglich, die Sicherheitsfunktionalität dieses Protokolls abzunehmen.

Die Implementierung (zum Beispiel zweikanalige Berechnung) des Safety-over-Ethercat-Protokolls kann allerdings nicht durch den Test geprüft werden. Dies ist ebenso wie für die sichere Applikation des Gerätes direkt vom Hersteller entsprechend den Anforderungen des angestrebten Sicherheitsziels der abnehmenden Stelle darzustellen.

Dr. Guido Beckmann, Technologiemarketing Safety-over-Ethercat der Beckhoff Automation GmbH in 33415 Verl

Guido Beckmann | MM MaschinenMarkt
Weitere Informationen:
http://www.maschinenmarkt.vogel.de/themenkanaele/automatisierung/fertigungsautomatisierung/articles/121686/

Weitere Nachrichten aus der Kategorie Maschinenbau:

nachricht Gewicht von Robomotion-Greifer um 60 Prozent reduziert
31.07.2017 | Fraunhofer-Institut für Produktionstechnik und Automatisierung IPA

nachricht Assistenzsysteme für die Blechumformung
28.07.2017 | Rheinisch-Westfälische Technische Hochschule Aachen

Alle Nachrichten aus der Kategorie: Maschinenbau >>>

Die aktuellsten Pressemeldungen zum Suchbegriff Innovation >>>

Die letzten 5 Focus-News des innovations-reports im Überblick:

Im Focus: Unterwasserroboter soll nach einem Jahr in der arktischen Tiefsee auftauchen

Am Dienstag, den 22. August wird das Forschungsschiff Polarstern im norwegischen Tromsø zu einer besonderen Expedition in die Arktis starten: Der autonome Unterwasserroboter TRAMPER soll nach einem Jahr Einsatzzeit am arktischen Tiefseeboden auftauchen. Dieses Gerät und weitere robotische Systeme, die Tiefsee- und Weltraumforscher im Rahmen der Helmholtz-Allianz ROBEX gemeinsam entwickelt haben, werden nun knapp drei Wochen lang unter Realbedingungen getestet. ROBEX hat das Ziel, neue Technologien für die Erkundung schwer erreichbarer Gebiete mit extremen Umweltbedingungen zu entwickeln.

„Auftauchen wird der TRAMPER“, sagt Dr. Frank Wenzhöfer vom Alfred-Wegener-Institut, Helmholtz-Zentrum für Polar- und Meeresforschung (AWI) selbstbewusst. Der...

Im Focus: Mit Barcodes der Zellentwicklung auf der Spur

Darüber, wie sich Blutzellen entwickeln, existieren verschiedene Auffassungen – sie basieren jedoch fast ausschließlich auf Experimenten, die lediglich Momentaufnahmen widerspiegeln. Wissenschaftler des Deutschen Krebsforschungszentrums stellen nun im Fachjournal Nature eine neue Technik vor, mit der sich das Geschehen dynamisch erfassen lässt: Mithilfe eines „Zufallsgenerators“ versehen sie Blutstammzellen mit genetischen Barcodes und können so verfolgen, welche Zelltypen aus der Stammzelle hervorgehen. Diese Technik erlaubt künftig völlig neue Einblicke in die Entwicklung unterschiedlicher Gewebe sowie in die Krebsentstehung.

Wie entsteht die Vielzahl verschiedener Zelltypen im Blut? Diese Frage beschäftigt Wissenschaftler schon lange. Nach der klassischen Vorstellung fächern sich...

Im Focus: Fizzy soda water could be key to clean manufacture of flat wonder material: Graphene

Whether you call it effervescent, fizzy, or sparkling, carbonated water is making a comeback as a beverage. Aside from quenching thirst, researchers at the University of Illinois at Urbana-Champaign have discovered a new use for these "bubbly" concoctions that will have major impact on the manufacturer of the world's thinnest, flattest, and one most useful materials -- graphene.

As graphene's popularity grows as an advanced "wonder" material, the speed and quality at which it can be manufactured will be paramount. With that in mind,...

Im Focus: Forscher entwickeln maisförmigen Arzneimittel-Transporter zum Inhalieren

Er sieht aus wie ein Maiskolben, ist winzig wie ein Bakterium und kann einen Wirkstoff direkt in die Lungenzellen liefern: Das zylinderförmige Vehikel für Arzneistoffe, das Pharmazeuten der Universität des Saarlandes entwickelt haben, kann inhaliert werden. Professor Marc Schneider und sein Team machen sich dabei die körpereigene Abwehr zunutze: Makrophagen, die Fresszellen des Immunsystems, fressen den gesundheitlich unbedenklichen „Nano-Mais“ und setzen dabei den in ihm enthaltenen Wirkstoff frei. Bei ihrer Forschung arbeiteten die Pharmazeuten mit Forschern der Medizinischen Fakultät der Saar-Uni, des Leibniz-Instituts für Neue Materialien und der Universität Marburg zusammen Ihre Forschungsergebnisse veröffentlichten die Wissenschaftler in der Fachzeitschrift Advanced Healthcare Materials. DOI: 10.1002/adhm.201700478

Ein Medikament wirkt nur, wenn es dort ankommt, wo es wirken soll. Wird ein Mittel inhaliert, muss der Wirkstoff in der Lunge zuerst die Hindernisse...

Im Focus: Exotische Quantenzustände: Physiker erzeugen erstmals optische „Töpfe" für ein Super-Photon

Physikern der Universität Bonn ist es gelungen, optische Mulden und komplexere Muster zu erzeugen, in die das Licht eines Bose-Einstein-Kondensates fließt. Die Herstellung solch sehr verlustarmer Strukturen für Licht ist eine Voraussetzung für komplexe Schaltkreise für Licht, beispielsweise für die Quanteninformationsverarbeitung einer neuen Computergeneration. Die Wissenschaftler stellen nun ihre Ergebnisse im Fachjournal „Nature Photonics“ vor.

Lichtteilchen (Photonen) kommen als winzige, unteilbare Portionen vor. Viele Tausend dieser Licht-Portionen lassen sich zu einem einzigen Super-Photon...

Alle Focus-News des Innovations-reports >>>

Anzeige

Anzeige

IHR
JOB & KARRIERE
SERVICE
im innovations-report
in Kooperation mit academics
Veranstaltungen

European Conference on Eye Movements: Internationale Tagung an der Bergischen Universität Wuppertal

18.08.2017 | Veranstaltungen

Einblicke ins menschliche Denken

17.08.2017 | Veranstaltungen

Eröffnung der INC.worX-Erlebniswelt während der Technologie- und Innovationsmanagement-Tagung 2017

16.08.2017 | Veranstaltungen

 
VideoLinks
B2B-VideoLinks
Weitere VideoLinks >>>
Aktuelle Beiträge

Eine Karte der Zellkraftwerke

18.08.2017 | Biowissenschaften Chemie

Chronische Infektionen aushebeln: Ein neuer Wirkstoff auf dem Weg in die Entwicklung

18.08.2017 | Biowissenschaften Chemie

Computer mit Köpfchen

18.08.2017 | Informationstechnologie