Das Safety-over-Ethercat-Protokoll (FSoE) ist bereits seit 2005 in zahlreichen Automatisierungskomponenten im Einsatz. 2006 wurde das Protokoll der ETG als Sicherheitsprotokoll vorgeschlagen und dort akzeptiert. Damit konnte der Funktionsumfang der Ethercat-Technologie um eine sicherheitsrelevante Übertragung vervollständigt werden. Schnell fanden sich weitere ETG-Mitglieder, die dieses Protokoll in ihre Systementscheidung einbezogen und mit der Entwicklung von Geräten begannen. Heute unterstreicht der Einsatz in zahlreichen Anwendungen die Akzeptanz bei den Anwendern und Geräteherstellern. Das Safety-over-Ethercat-Protokoll Bei der Definition des Protokolls wurde auf eine einfache Implementierung und Parametrierung Wert gelegt. Die Protokollmechanismen und Übertragungsdienste dienen als Grundlage für eine einfache Architektur. Die entscheidenden Eigenschaften sind eine schmale Spezifikation, die Unabhängigkeit vom Kommunikationskanal sowie die Variabilität in der zur Verfügung stehenden Datenbreite. Die Implementierung des Protokolls ist durch diese Eigenschaften einfach möglich – und somit wenig anfällig für systematische Fehler. Schmale Spezifikation Alle Fehler, die bei der Übertragung eines sicheren Datums anzunehmen sind, werden vom FSoE-Protokoll mit der geforderten Restfehlerwahrscheinlichkeit erkannt und damit beherrscht – bis zu SIL3 nach der IEC61508. Bei den Erkennungsmaßnahmen wurde darauf geachtet, dass die Implementierung möglichst einfach erfolgen kann. Anhand eines Beispiels wird dies deutlicher: In einem Ethernet-basierten Netzwerk besteht durch die Verwendung von Infrastrukturkomponenten, wie beispielsweise Switches oder Routern, die nicht sicherheitsrelevant abgenommen werden, grundsätzlich die Möglichkeit, dass Nachrichten verzögert werden. Einzelne verzögerte Nachrichten können in der Regel durch einen lokalen Watchdog erkannt werden. Es können aber auch ganze Datenpakete mit einer Sequenz von Telegrammen zwischengespeichert werden. Wenn diese Sequenz zu einem späteren Zeitpunkt weitergeleitet wird, dann wird der lokale Watchdog im Empfänger (z.B. Aktor) richtig getriggert und der Fehler kann nicht erkannt werden. Eine fatale Situation, wenn zu diesem Zeitpunkt der Aktor eigentlich in den sicheren Zustand schalten sollte. Eine Maßnahme zur Beherrschung solcher Fehler ist die Einführung einer globalen Uhrzeit und das Übertragen von Nachrichten mit einem Zeitstempel. Hierbei ist allerdings zu beachten, dass ein gegebenenfalls im Standard-Kommunikationssystem vorhandener Uhrzeit-Synchronisationsmechanismus nicht ohne Weiteres verwendet werden kann: Die Synchronisation muss zusätzlich auf Ebene des Sicherheitsprotokolls erfolgen. Dies bedeutet eine relativ aufwendige sicherheitsrelevante Implementierung in allen Teilnehmern. Zudem müssen vom Kommunikationssystem Datenpfade zum Austausch einer Uhrzeitinformation zwischen allen Teilnehmern zur Verfügung gestellt werden. Safety-over-Ethercat wählt darum eine andere Methode: In einer definierten Verbindung (Connection) versendet der Safety Master sichere Nachrichten zu einem Safety Slave. Dieser muss zunächst mit einer eigenen sicheren Nachricht antworten, bevor eine neue Nachricht vom Master generiert wird. Beide Teilnehmer starten jeweils beim Senden der eigenen Nachricht einen Watchdog und überwachen, dass von der Gegenstelle eine neue Nachricht innerhalb der Watchdog-Zeit empfangen wird. Dieses Verfahren überwacht die komplette Übertragungsstrecke zwischen Master und Slave, ist in den Teilnehmern einfach zu implementieren und bedarf keinerlei zusätzliche Kommunikationswege. Die Implementierung des Protokolls in ein Gerät benötigt nur wenige Ressourcen und kann eine hohe Performance und damit kurze Reaktionszeit erreichen. Besonders in Maschinenanwendungen, die eine schnelle, sicherheitsgerichtete Reaktion auf ein Eingangssignal benötigen, ist dies wichtig. Dabei muss das Eingangssignal nicht immer durch eine Aktion des Bedieners ausgelöst werden: Elektronische Überwachungssensoren (z.B. sichere Drehzahlüberwachung) können viel schneller eine kritische Situation erfassen, als dass ein Bediener einen Not-Aus-Schalter betätigen könnte. Reaktionszeiten im Bereich weniger Millisekunden sind für hochdynamische Antriebe daher sinnvoll und nun auch über eine sichere Kommunikation realisierbar. Unabhängigkeit vom unterlagerten Kommunikationssystem Das Transportmedium wird bei Safety-over-Ethercat als \’Black Channel\‘ betrachtet und daher nicht in die Sicherheitsbetrachtung einbezogen. Das Kommunikationssystem Ethercat bleibt einkanalig und überträgt sichere und Standardinformationen gleichzeitig. Hierfür werden in die Prozessdaten die Safety Frames als Container mit den sicheren Prozessdaten und der notwendigen Datensicherung verschickt. Es sind unterschiedliche Medien möglich: Lichtwellenleiter, Kupferleiter, Funk- oder auch andere Datenstrecken, wie z.B. Datenlichtschranken, sind erlaubt. Die Adressierung des Safety Slaves wird in der Connection über eine Safety-Adresse und eine eindeutige Connection-ID gesichert. Durch diese Unhabhängigkeit ist auch die Vernetzung verschiedener Anlagenteile sicherheitsrelevant möglich. Der Safety-over-Ethercat-Container wird über die Steuerungen geroutet und im anderen Anlagenteil ausgewertet. Übergreifende Not-Aus-Funktionen und gezieltes Stillsetzen von Anlagenteilen sind somit problemlos lösbar, auch wenn diese über andere Kommunikationsmedien wie z.B. Ethernet miteinander gekoppelt sind. Variable Datenbreite Die minimale Anzahl sicherer Daten (SafeData) beträgt 1Byte. Eine maximale Anzahl ist vom Protokoll praktisch nicht beschränkt. Dies liegt am gewählten Sicherungsverfahren. Je 2Byte SafeData werden durch eine 2Byte-CRC gesichert. Die Anzahl solcher Daten/CRC-Blöcke ist beliebig; die Anforderung des Safety-Gerätes legt dementsprechend die Anzahl der SafeData für die Eingangs- und die Ausgangsrichtung fest. Um die notwendige Bandbreite auf dem Kommunikationsmedium gering zu halten, kann sich die Anzahl zudem je Richtung unterscheiden. Die Anwendungsbereiche des Safety-over-Ethercat-Protokolls reichen daher von einfachen sicheren Eingangs- oder Ausgangsbaugruppen mit wenigen Bits Safe-Data bis hin zu komplexen Sicherheitssensoren, wie z.B. sicherheitsrelevante Kamerasysteme-, oder sichere Antriebsfunktionen, die viele Nutzdaten benötigen. Automatischer Parameter-Backup für Master und Slave In einem Sicherheitssystem müssen die sicherheitsrelevanten Parameter in den Geräten entsprechend des geforderten SIL konfiguriert werden. Für die Kommunikation muss z.B. die sichere Watchdog-Zeit einer Connection anlagenspezifisch, eingestellt werden. Für die sichere Funktion der Teilnehmer können weitere applikationsspezifische sicherheitsrelevante Parameter notwendig sein (z.B. sicher reduzierte Drehzahlgrenze). Safety-over-Ethercat bietet im Protokoll die Möglichkeit, gerätespezifische Parameter während des Aufbaus einer Connection vom Safety Master auf den Safety Slave zu laden. Die Datenhaltung für die Konfiguration des Sicherheitssystems kann damit zentral auf dem Safety Master erfolgen. Die Safety Slaves werden bei jedem Hochlauf neu parametriert. Ist ein Safety-Slave-Gerät defekt, kann dieses einfach ausgetauscht werden. Die Safety-Slave-Adresse muss mit der des ausgetauschten Gerätes übereinstimmen und schon werden beim nächsten Hochlauf wieder die gleichen Parameter vom Safety Master geladen. Der Austauschfall eines Safety Masters benötigt erweiterte Mechanismen, da dieser die komplette Konfiguration des Sicherheitssystems enthält. Bei der Inbetriebnahme der Maschine wird die Konfiguration erzeugt und über ein Tool in den Safety Master geladen. Hierbei können mögliche Fehler erkannt werden, da eine Interaktion zwischen dem Tool, dem Gerät und dem Bediener erforderlich ist. Das automatische Laden einer Konfiguration nach einem Gerätetausch birgt die Gefahr, dass ein falscher oder verfälschter Konfigurationssatz heruntergeladen wird und damit die Sicherheitsfunktion der Anlage nicht mehr garantiert werden kann. Im Safety-over-Ethercat-Protokoll ist aber auch hierfür ein Mechanismus beschrieben. Bei der Inbetriebnahme wird über den Konfigurationssatz vom Tool eine Prüfsumme gelegt. Diese wird benötigt, um die Konsistenz der Daten sicherzustellen. Die Prüfsumme wird aber nicht nur im Safety Master abgelegt, sondern auch als Parameter in den Safety Slaves. Wenn der Master ausgetauscht wurde, erkennt er beim Hochlauf, dass er keine Konfiguration gespeichert hat. Er kann dann eine Konfiguration vom Kommunikationsmaster (z.B. Standard-SPS) anfordern. Nach dem Laden der Konfiguration prüft der Safety Master diese auf Konsistenz und vergleicht die Prüfsumme mit denen, die in den ihm zugeordneten Slave-Geräten abgelegt sind. Nur wenn diese Überprüfung erfolgreich war, wird der Konfigurationssatz übernommen und die Safety-Verbindungen hochgefahren. Für den Anwender bietet diese Methode den Vorteil, dass sowohl Safety-Slave- als auch Safety-Master-Geräte getauscht werden können, ohne dass ein Konfigurationstool benötigt wird. Für die Sicherheit bedeutet dies, dass ein falscher Konfigurationssatz, der auf den Master gespielt wird, automatisch erkannt wird. Dies ist bei Systemen, die manuell oder über wechselbare Speichermedien konfiguriert werden, nicht immer der Fall. Safety-over-Ethercat setzt Standards Von Anfang an wurde die Safety-over-Ethercat-Technologie offen innerhalb der ETG verwendet. Jetzt wird das Protokoll auch in die internationale Norm IEC61784-3 eingebracht. Diese Norm beschreibt die grundlegenden Anforderungen an ein sicheres Kommunikationssystem. Hierfür werden Fehler definiert, die bei einer Übertragung über ein Kommunikationssystem auftreten können und die vom Safety-Protokoll beherrscht werden müssen. Für die Bestimmung des Safety Integrity Levels ist die gefährliche Ausfallwahrscheinlichkeit (Probability of dangerous failure on demand, kurz PFD, bzw. Average frequency of dangerous failure per hour, kurz PFH) des gesamten Sicherheitssystems zu betrachten. Die sichere Übertragung ist dabei nur ein kleiner Teil des Systems. Den Hauptteil nehmen die sicheren Eingänge (inklusive Sensoren), die sichere Logik (Programmable Electronic System, kurz PES) und die sicheren Ausgänge (inklusive Aktoren) ein. Daher wird in der IEC61784-3 gefordert, dass für die sichere Übertragung nur 1% der maximalen PFD bzw. PFH des angestrebten SIL aufgewendet wird. In Zahlen bedeutet 1% Versagenswahrscheinlichkeit für einen angestrebten SIL3, dass maximal 10-9 Fehler/Stunde auftreten dürfen. Umgerechnet sind dies etwa 100.000 Jahre Übertragung ohne unerkannten, gefährlichen Fehler. Diese Anforderung wird vom Safety-over-Ethercat-Protokoll eingehalten. Safety Drive Profile Der Standard IEC61800-5-2 definiert sicherheitsrelevante Funktionen für Antriebe. Mit diesen Funktionen ist ein sicheres Stoppen des Antriebs, z.B. Safe Torque Off (STO) oder Safe Stop 2 (SS2), oder eine sichere Überwachung der Bewegung, z.B. die sicher begrenzte Geschwindigkeit (SLS), realisierbar. Hierdurch können gefahrbringende Bewegungen bei der Inbetriebnahme einer Maschine oder bei einem zyklischen, manuellen Eingriff vermieden oder sicher begrenzt werden. Zur Ansteuerung und Konfiguration dieser antriebsintegrierten Sicherheitsfunktionen wurde in der ETG das Safety-over-Ethercat-Protokoll um ein sicherheitsrelevantes Geräteprofil für Antriebe (Safety Drive Profile) erweitert. Die Definition eines einheitlichen Steuer- und Statuswortes ermöglicht es dem Anwender, Antriebe verschiedener Hersteller auf die gleiche Art und Weise an seiner Sicherheitssteuerung zu betreiben. Damit wird die Vielfalt von Funktionsbausteinen in der Steuerung verringert und der Betrieb vereinfacht. Angelehnt an die Funktionen, die in der IEC61800-5-2 definiert sind, wird ein Steuerwort spezifiziert, das die separate Aktivierung dieser Funktionen im Antrieb ermöglicht. Jede Funktion wird dabei über ein Bit im Steuerwort repräsentiert. Ob eine Sicherheitsfunktion im Antrieb gerade angewählt ist und die Grenzen einhält, wird über das sichere Statuswort an die überlagerte Logik zurückgemeldet. Da die IEC-Norm diese Funktionen nur sehr vage definiert, wurde im Safety-Drive-Profil der ETG auch die Funktionsweise im Detail beschrieben. Hierfür sind für alle Funktionen Timing-Diagramme erstellt worden, anhand derer mögliche und notwendige Parameter beschrieben werden. Typische Implementierungen werden berücksichtigt. Somit entsteht ein Objektverzeichnis und der Anwender erhält ein einheitliches, implementierungs- und herstellerunabhängiges Verständnis für die hinterlegte Funktion im Antrieb. Die Ethercat Technology Group strebt an, die Nutzung des Safety-Drive-Profiles – das vom Aufbau her unabhängig vom verwendeten Sicherheits-Bussystem ist – auch anderen interessierten Organisationen bzw. Technologien zu ermöglichen. HMI-Stand: Halle 9 Stand F06 Zusammenfassung Safety-over-Ethercat beschreibt ein offenes Kommunikationsprofil zur sicheren Übertragung von Nachrichten. Entsprechend dem Ansatz \’simple is safety\‘ wurden bei der Spezifikation einfache Methoden zur Fehlererkennung und Fehlerbeherrschung gewählt. Trotzdem bietet das Protokoll herausragende Eigenschaften für den Einsatz in der Automatisierung: – keine Abhängigkeit vom unterlagerten Kommunikationssystem – keine Einschränkung der Datenlänge – einfache Implementierungsmöglichkeit und dadurch kurze Stacklaufzeiten – hohe Performance und kurze Reaktionszeiten. Über zusätzliche (optionale) Funktionen kann das Profil erweitert werden. Ein Backup-Mechanismus für die Safety Slaves, aber auch für den Safety Master ist definiert und gestattet einen Gerätetausch ohne manuelle Konfiguration durch den Anwender. Die internationale Standardisierung des Protokolls ist eingereicht und unterstreicht die Offenheit der Technologie. Zudem steht mit dem Safety Drive Profil ein Geräteprofil zur Verfügung, das eine einheitliche Bedienung und Parametrierung von sicheren Antriebsfunktionen ermöglicht. Zahlreiche Firmen setzen Safety-over-Ethercat bereits heute in ihren Anlagen und in ihren Geräten ein. Der Zuwachs der Ethercat Technology Group mit heute bereits 940 Mitgliedsfirmen lässt erwarten, dass die Verbreitung der Ethercat-Technologie weiter zunehmen wird – und für sicherheitsrelevante Geräte auch die Verbreitung der Safety-over-Ethercat-Technologie. www.ethercat.org www.beckhoff.de HMI-Stand: Halle 9
Safety-over-Ethercat: Von sicheren I/Os bis zum sicheren Antrieb
-
Neue Füllstandslösung für geschlossene Schmelzöfen
OndoSense hat ein Messsystem zur Füllstandskontrolle von bis zu 1.600° heißen Aluminium-, Stahl- oder Kupferschmelzen in geschlossenen Öfen entwickelt: Mit der neuen OndoSense FurnaceProtect Radarlösung kann der Füllstand…
-
M16-Winkelstecker für Ströme bis 25A
Hummel erweitert sein Portfolio an kompakten M16-Steckverbindern um einen flach dimensionierten Winkelstecker.
-
Online konfigurierbarer 19“-Industrie-PC
Mit dem Controlmaster 1023 4HE IPC bietet ICO einen online konfigurierbaren 19“-Industrie-PC, der Prozessorleistung, Erweiterbarkeit und ein kompaktes 4HE-Rackformat verbindet.
-
Umspritzte Steckverbinder mit Push/Pull-Verriegelung
Mit den M12-Push/Pull-Steckverbindern in Steckerausführung mit Innenverriegelung erweitert Escha sein Portfolio industrieller Verbindungstechnik für anspruchsvolle Anwendungen.
-
Qualitätskontrolle mit Null-Fehler-Strategie
Die Maschine prüft sich selbst
Automatisierte Prüfsysteme stellen in der Fertigung sicher, dass auch ohne menschliches Zutun alles…
-
KI und digitaler Zwilling werden am meisten genutzt
Deutsche Industrieunternehmen setzen bereits auf die Möglichkeiten, die Industrie 4.0 bietet.
-
Kunststoffverarbeitung
Euromap 78 ohne zusätzlichen Schaltschrank: Dezentrale Sicherheit für komplexe Spritzgusszellen
Die Anbindung von Spritzgussmaschinen an externe Sicherheitseinrichtungen ist über Euromap 78 klar geregelt.…
-
Industrial IoT
Ganzheitlicher Engineering-Ansatz für individuelle IoT- und Tracking-Lösungen
Rosenberger verfolgt mit Smart Engineering einen anwendungsorientierten Entwicklungsansatz für industrielle IoT-Lösungen.
-
Auftragseingang im Verarbeitenden Gewerbe im Mai: +1,9% zum Vormonat
Der reale (preisbereinigte) Auftragseingang im Verarbeitenden Gewerbe ist nach vorläufigen Angaben des Statistischen…
-
Exporte im Mai: +0,9% zum April
Im Mai sind die deutschen Exporte gegenüber April kalender- und saisonbereinigt um 0,9%…
-
Hersteller von Extruderabzügen setzt auf Präzisionspotentiometer
Poti am Band
Band- und Raupenabzüge sorgen nach dem Extrusionsprozess für die reibungslose Weiterverarbeitung von Kunststoffrohren…
-
Weg- und Winkelmessung für anspruchsvolle Maschinen
Prozesssicherheit im Zehntelbereich
Was zählt in anspruchsvollen Maschinen und Anlagen? Robustheit, Geschwindigkeit, Langlebigkeit – und vor…
-
Elektro- und Digitalindustrie: höchstes Auftragsplus seit zwei Jahren
Die Nachfrage in der deutschen Elektro- und Digitalindustrie hat sich zuletzt spürbar weiter…
-
Ziehl-Abegg investiert zusätzlich 90Mio.€
Ziehl-Abegg setzt seinen Wachstumskurs mit einer der größten Investitionsoffensiven der Unternehmensgeschichte fort.
-
Ein Überblick über Kriterien, Entwicklungen und Herausforderungen der Standardisierung
Welches industrielle Netzwerk ist das beste?
Die Frage nach dem ‚besten‘ industriellen Kommunikationsnetzwerk beschäftigt seit Jahrzehnten Ingenieure, Automatisierungsexperten sowie…
-
Neuer Geschäftsführer bei Inosoft
Thomas Helmbold (r.) übernimmt die Geschäftsführung der Inosoft AG in der Schweiz und…
-
Siemens PLM Connection 2026 in Seeheim
KI prägt die PLM-Community – Zahlen und Keynotes im Rückblick
Rund 430 angemeldete Mitgliedsfirmen, 29 Aussteller und mehr als 90 Vorträge, Roundtables und…
-
Fördertechnik & Intralogistik
120 Motorrollen unter einer IP-Adresse steuern
Hunderte Motorrollen, zahlreiche IP-Adressen und hoher Engineering-Aufwand gehören in großen Förderanlagen oft zum…
-
HMI
Panel-PC-Plattform bündelt HMI und Steuerung
Wachendorff Prozesstechnik erweitert seine Match-Produktfamilie um Match Control, eine Plattform für Panel-PCs, die…
-
Sensorik
Smart-Measurement-Sensoren wachsen um Miniatur- und Hochleistungsvarianten
Contrinex erweitert sein Portfolio an Smart-Measurement-Sensoren um Miniaturausführungen sowie Varianten mit ActivStone-Beschichtung für…
-
Elektrische Verbindungstechnik
PTFE-Einzeladern für anspruchsvolle Industrie- und Automotive-Anwendungen
Habia erweitert sein Portfolio an Hochleistungskabeln um PTFE-isolierte Einzeladern für anspruchsvolle elektrische Anwendungen.…
-
Marktanalyse von HMS Networks
Industrial Ethernet steigt auf 79%
Jährliche Marktanalyse von HMS Networks für industrielle Netzwerke 2026 sieht Industrial Ethernet in…
-
Ein mit SensoJoints entwickelter Greifer sammelt für das EU-Projekt SeaClear2.0 Müll auf dem Meeresboden
SensoJoints als Gamechanger in der Unterwasserrobotik
Für das von der EU finanzierte Projekt SeaClear2.0 zur Sauberhaltung der Weltmeere mittels…
-
Was Industrieunternehmen bei Bedarfsplanung, Komponentenanalyse und Beschaffung jetzt beachten sollten
Mit vier Tipps die Speicherknappheit meistern
Die Speicherknappheit stellt Unternehmen vor Herausforderungen. System-D, Spezialdistributor für Industrial Storage, rät zu…
das könnte sie auch interessieren
-
CPO Dr. Wilma Kauke im Interview: Wie Lapp Führung und Unternehmenskultur neu denkt
Zwischen KI, Krisen und Fachkräftemangel
-
Hilscher kombiniert Industrial Ethernet, IIoT und CRA-Readiness auf NetX-90-Basis
Neue CifX-PC-Karten für sichere Industriekommunikation
-
Vorzeigeprojekt bei SGAC mit Rittal, Rittal Automation Systems und Eplan
Digitale Exzellenz in China
-
Für sichere Schaltbefehle
Befehls- und Meldegeräte mit externen Kontaktgebern
















