Steuerungs- und „Safety“-Funktionen werden gekoppelt Trends in der Maschinensicherheit

„Safety“ auf Ethernet-Basis

Der Einsatz des Ethernet bietet ebenfalls die Möglichkeit, die normalen Steuerungsaufgaben und die sicherheitsgerichteten Aufgaben in einem System durchzuführen. Diese Möglichkeit eröffnet sich zunächst durch die Einführung einer „sicheren“ Übertragung und mit der vergleichsweise hohen Datenübertragungsrate von 100 Mbit/s. Zu den Vorzügen des Ethernet zählt auch, dass auf der Bitübertragungsschicht auf eine ganze Reihe bewährter, standardisierter Verfahren zurückgegriffen werden kann, wobei praktisch für alle verfügbaren Medien – Koaxialleitung, verdrillte Kupferpaare und Lichtwellenleiter – kostengünstige Treiberbausteine zur Verfügung stehen.

Schnelles Echtzeit-Protokoll für „Safety“
Für diese Ethernet-Echtzeit-Variante für den industriellen Einsatz wurde bereits im letzten Jahr eine „Safety“-Erweiterung vorgestellt. Für die Entwicklung dieses Zusatzprotokolls wurde von der Ethernet Powerlink Standardization Group (EPSG, [2]) eigens eine „Safety“-Arbeitsgruppe eingerichtet. Arbeitsziel war die „Definition eines sicheren Protokolls für Ethernet-basierte Kommunikation im Mikrosekundenbereich. Die Konzeption von „EPLsafety“, so der Name der sicheren Variante, besteht nun darin, einen busunabhängigen, selbstständigen Frame für die Übermittlung sicherheitsgerichteter Informationen zu definieren, der auch in andere Standard-Protokolle eingefügt werden kann, insbesondere ist der Frame kompatibel zu CAN-Nachrichten. Wird der Frame über ein „Ethernet Powerlink“-Netzwerk geschickt, dann wird bei Zykluszeiten bis 100 µs die Sicherheitskategorie SIL 2 nach der Norm IEC 61508 erreicht. Bei einer entsprechenden Auslegung des Netzwerkes kann nach Angaben der EPSG sogar die Kategorie SIL 4 erreicht werden.

Die Grundidee des „Safety“-Protokolls besteht nun darin, dass für die Übertragung unterschiedlicher Informationen – Nutzdaten, Konfiguration, Zeitsynchronisation – ein einheitliches Telegramm-Format verwendet wird. Jeder „EPLsafety“-Knoten kann erkennen, um welche Art von Daten es sich im gesendeten Telegramm handelt. Damit müssen die Telegrammlänge und der Telegrammtyp nicht explizit konfiguriert werden. Das Protokoll definiert einen Nutzdatenbereich zwischen 0 und 32 byte; die Art des dann verwendeten CRC-Verfahrens wird in Abhängigkeit vom Längen-Byte festgelegt. Durch eine spezifische Struktur des Frames kann jeder systematische oder stochastische Übertragungsfehler erkannt werden. Die Wahrscheinlichkeit für das Auftreten eines Übertragungsfehlers beträgt dabei 8 ´ 10–21 je Frame für eine Übertragung zwischen zwei Endpunkten, die mit einer Bitfehlerrate von 1 aus 10–3 behaftet ist.

„EPLsafety“ nutzt den durch ein Ethernet-Telegramm bereitgestellten Protokoll-Rahmen von max. 1500 byte vollständig aus. Mehrere sicherheitsrelevante Informationen werden in einzelne „EPLsafety Container“ gepackt, die gemeinsam in einem Ethernet-Telegramm übertragen werden. „EPLsafe-ty“ unterstützt für sichere Daten eine direkte Sensor-Aktor-Kommunikation ohne Umweg über eine zentrale Steuerung.

Kurze Reaktionszeiten durch Ethernet
Die Reaktionszeit einer sicherheitsgerichteten Anlage stellt für bestimmte Anwendungen eines der Hauptkriterien dar: Wie schnell greift der Alarm in den Prozess ein? Der Hersteller Hima [3] hat eine Baureihe sicherheitsgerichteter Steuerungen „HIMatrix“ im Produktportfolio (Bild 2), bei denen die Kommunikation mit den Sicherheits-Sensoren über das Protokoll „safeethernet“ läuft. Bei „safeethernet“ han-delt es sich um eine Variante des 100-Mbit/s-Ethernet. Die Steuerungen zeichnen sich durch eine kurze Zykluszeit aus – der Hersteller gibt für die Abarbeitung eines Programms eines Umfangs von 1 K eine Zeit von 0,02 ms an. Sie gehören damit zu den schnell reagierenden „Safety“-Systemen am Markt, sie lassen sich gemäß EN 954-1 bis Kat. 4 und gemäß IEC 61508 bis SIL 3 einsetzen.

Profinet mit „Safety Integrated“
Siemens Automation & Drives [4] bietet für seine Industrie-Ethernet-Variante „Profinet“ die Produktfamilie „Simatic Safety Integrated“, zu der eine fehlersichere S7-CPU und die mit dem „Profisafe“-Modul ausgerüsteten Peripherie-Systeme ET 200S und ET 200pro gehören. Unter „Simatic Safety Integrated“ wird seit Jahren ein durchgängiges Sicherheitssystem auf der Basis des „Profibus“ vertrieben; neu ist eben die Verfügbarkeit bei „Profinet“. Der fehlersichere Signalaustausch über das „Profisafe“-Profil bildet die Grundlage für die sichere Kommunikation. Für die Programmierung steht ein Engineering-Tool zur Verfügung, das in die Step-7-Plattform eingebunden ist und die Programmierung als „Funktionsplan“ (FUP) und als „Kontaktplan“ erlaubt.

In einer typischen Anwendung kann z.B. der Kommunikationsprozessor „CP 443-1 Advanced“ eingesetzt werden, der Mehrprozessorbetrieb ermöglicht und bis zu 1000 digitale E/As fehlersicher verarbeitet. Sicherheitsgerichtete digitale Aktoren und Sensoren werden im Feld über ein gesondertes Peripherie-System angebunden. Das System in Schutzart IP20 nimmt z.B. ein Eingangsmodul mit der Bezeichnung „4/8 F-DI DC 24V“ auf, das wahlweise den Anschluss von vier zweikanaligen Eingängen gemäß SIL 3 / Kat. 4 oder acht einkanaligen Eingängen nach SIL 2 erlaubt. Ein entsprechendes Ausgabemodul, Bezeichnung „4 F-DO DC 24V/2A“, kann vier schaltende Ausgänge gemäß SIL 3 / Kat. 4 ansteuern. Generell zielt das Siemens-Konzept darauf, die „Safety“-Kommunikation sowohl über die Ethernet-Variante Profinet als auch über den Feldbus-Klassiker Profibus zu ermöglichen. Für die Konfiguration der Hardware und die Programmierung des sicherheitsgerichteten Teils der Anlage wird das Step-7-Standard-System um ein Software-Paket „Simatik Distributed Safety“ erweitert. Darin sind vom TÜV zertifizierte Funktionsbausteine enthalten, u.a. für Not-Halt, Not-Aus, Zweihand-Steuerung und Schutztür-Überwachung.

Feldbusse mit „Safety“

Trotz der Ankündigung, den Interbus technisch nicht mehr weiterentwickeln zu wollen, hat Phoenix Contact [5] die sichere Variante, das Feldbus-System „Interbus Safety“ von der TÜV Rheinland Group und dem Berufsgenossenschaftlichen Institut für Arbeitsschutz (BGIA), für den Einsatz in Sicherheitsanwendungen bis SIL 3 gemäß der DIN EN 61508 und bis Sicherheitskategorie 4 gemäß der DIN EN 954-1 zertifizieren lassen. Geprüft wurden neben der sicheren Kommunikation über „Interbus Safety“ auch die Anschaltbaugruppe mit integrierter Sicherheits-Steuerung, ein sicheres E/A-Modul in Schutzart IP 67, die Programmieroberfläche „SafetyProg“ und Software-Bausteine für den Einsatz in Sicherheitssystemen. Die Software-Komponenten wurden von Phoenix Contact und der KW-Software GmbH gemeinsam entwickelt.

AS-Interface mit „Safety at Work“
Das AS-Interface ist eine intelligente „Verkabelung“, kein echter Feldbus, die in der Sensor-/Aktor-Ebene den Aufbau einfacher und kostengünstiger Systeme ermöglicht. Für die Ankopplung eines Feldgerätes an das AS-Interface ist ein Slave-Chip erforderlich, die Mehrkosten sollen dabei nach Angaben des Konsortiums [6] durch den geringeren Verdrahtungsaufwand kompensiert werden. Für das System sind Netzübergänge (Gateways), Links oder andere Buskoppler für alle gängigen Feldbusse wie CAN, DeviceNet, Ethernet, Interbus und Profibus vorhanden. Sicherheitsgerichte Komponenten lassen sich mit „AS-Interface Safety at Work“ in ein AS-Interface-Netz einbinden, dabei arbeiten Sicherheits- und Standardkomponenten parallel am selben Kabel. Der AS-Interface-Master behandelt die AS-Interface-Slaves und die Sicherheits-Slaves gleich; das Übertragungsprotokoll und die Leitungen des AS-Interface-Systems sind so ausgelegt, dass sie auch sicherheitsorientierte Telegramme übertragen können. Die erforderliche Sicherheit wird durch eine zusätzliche Signalübertragung zwischen den sicheren Slaves und dem Sicherheitsmonitor erreicht.

Einen so genannten Safety-Monitor für das AS-Interface bietet z.B. die zur Schneider-Electric-Gruppe gehörende Telemechanique [7] unter der Bezeichnung „ASI Safemonxx“. Der Monitor überwacht die „Verkabelung“ auf die Ereignisse:

  • Not-Halt mit unmittelbarem Unterbrechungskontakt (Stopp der Kategorie „0“).
  • Not-Halt mit Kontaktverzögerung (Stopp der Kategorie „1“).

Zudem lassen sich Schalter mit und ohne Verriegelung sowie komplexe Sicherheitseinrichtungen wie z.B. Lichtvorhänge überwachen. Der „Safety at work“-Monitor stellt den „Safety“-Zustand der Anlage über zwei Kontakte als Ausgang zur weiteren Verarbeitung zur Verfügung.