Sicher, schnell, parallel

Ethernet - Das sichere, echtzeitfähige Protokoll Ethernet Powerlink Safety ist das derzeit schnellste Protokoll für die Lösung sicherheitsgerichteter Aufgabenstellungen und überträgt gleichzeitig die Produktivdaten für die Automatisierung. Gründe genug für viele Automatisierer, diesen Standard in ihren Unternehmen einzusetzen.

14. Dezember 2006

Der Netzwerkstandard Ethernet ist heute aus der Fertigungsautomatisierung nicht mehr wegzudenken: Die standardisierten Komponenten und Protokolle schaffen Offenheit, Durchgängigkeit und Transparenz der Daten. Ethernet in der Automatisierung ist damit die Voraussetzung für einfach realisierbare, zuverlässige und kosteneffiziente Applikationen. Eine wesentliche Rolle spielen dabei die Echtzeitfähigkeit sowie Reaktionszeiten im Mikrosekundenbereich.

Entscheidendes Kriterium bei der Wahl eines Echtzeit-Ethernet-Systems wird jedoch sein, ob und wie es gelingt, funktionale Sicherheit zu integrieren. Grundlage eines Sicherheitskonzepts bietet das sichere Protokoll Ethernet Powerlink Safety (EPLsafety), das führende Hersteller von Automatisierungskomponenten sowie Experten aus dem Bereich der Sicherheitstechnik innerhalb der Ethernet Powerlink Standardization Group (EPSG) spezifiziert haben. Die wichtigsten Entwicklungsziele waren dabei vollständige Offenheit, höchste Leistungsfähigkeit, absolute Unabhängigkeit vom nicht sicheren Transportprotokoll sowie ein transparenter Datenaustausch von sicherer und nicht sicherer Welt.

Aktuelle Lösungsansätze

Derzeit basieren Sicherheitslösungen meist auf dezidierter Verkabelung mit zentralen Not-Aus-Schaltgeräten, weil für den Bereich mittelgroßer Maschinen und Anlagen spezielle Safety-Steuerungen in der Regel zu teuer sind. Zwangsläufige Folgen sind der Mangel an Flexibilität, die aufwändige Verkabelung sowie eine komplizierte oder stark eingeschränkte Diagnosemöglichkeiten im Fehlerfall. Der zweite Lösungsansatz ist eine reine Safety-Steuerung, zu der sämtliche Signale getrennt von der nicht sicheren Welt entweder direkt oder über spezielle, sichere Bus-Systeme übertragen werden. Auch diese Lösung benötigt eine dezidierte sichere Verkabelung. Zudem entstehen Zusatzkosten für sichere Infrastrukturkomponenten wie beispielsweise sichere Buskoppler.

Moderne Sicherheitssysteme nutzen dagegen einen Standardfeldbus, der durch spezielle Maßnahmen bei der Datenübertragung sicher gemacht wird. Damit lassen sich dezentrale, sichere I/O-Komponenten einfach über die Anlage verteilen, und die aufwändige Doppelverkabelung kann entfallen. Zudem können die Daten von sicherheitsgerichteten Geräten direkt und unmittelbar von allen anderen Geräten mit ausgewertet werden.

Die sichere Steuerungsfunktion wird dabei zentral in einer sicheren SPS ausgeführt. Handelt es sich dabei um eine kombinierte CPU für sichere und nicht sichere Programmierung, ist zwar der Datenaustausch zwischen der sicheren und der unsicheren Welt relativ einfach, jedoch lässt sich die Steuerungsleistung nur äußerst eingeschränkt skalieren. Aus diesem Grund gibt es Systeme, bei denen die sichere Programmabarbeitung in einer eigenen, sicheren Steuerungseinheit ausgeführt wird. Maßgeblich für die Auswahl des Standard-Feldbussystems und des Sicherheitsprotokolls ist die Laufzeit der sicheren Daten, damit die sichere Reaktionszeit des gesamten Systems eingehalten werden kann. Grundlagen eines Bussystems für sicherheitsgerichtete Anwendungen sind die Anforderungen der Norm IEC 61508-1 sowie die Prüfgrundsätze der Berufsgenossenschaften.

Sichere Netzwerke

Demnach muss ein sicherheitsgerichtetes Bussystem für alle möglichen Fehler bei der Datenübertragung Mechanismen bereitstellen, um diese Fehler zu beherrschen und potentiell Gefahr bringende Zustände zu vermeiden. Dabei darf die Wahrscheinlichkeit, einen Fehler nicht zu entdecken, der zu einem Gefahr bringenden Zustand führen könnte, festgelegte Grenzwerte nicht überschreiten. Für Anwendungen in der typischen Sicherheitsstufe SIL 3 der Norm dürfen das nicht mehr als 10-9 Fehler pro Stunde sein. In anderen Worten: Ein gefährlicher Zustand durch ein Fehlverhalten des Bussystems darf nur etwa alle 115.500 Jahre auftreten.

Um diese Anforderungen zu erfüllen, besitzen sicherheitsgerichtete Bussysteme Mechanismen gegen potentielle Fehlerfälle bei der Datenübertragung, wie Datenwiederholung, Datenverlust, Einfügen von Daten, falsche Abfolge von Daten, Verfälschung von Daten und übermäßige Verzögerung. Zudem muss ein Netzwerk den gesamten Lebenszyklus einer Anwendung unterstützen und die hierfür notwendigen Dienste für fehlerfreie Inbetriebnahme, Gerätetausch, Diagnose, Parametrierung und ähnliches bereitstellen. Maßgeblich für die Integration der Sicherheitstechnik in Anlagen mit unterschiedlichen Bussystemen ist, dass das sicherheitsgerichtete Protokoll nicht nur für ein bestimmtes Netzwerksystem entwickelt wurde.

Alle notwendigen fehlervermeidenden Maßnahmen müssen folglich komplett in der sicherheitsgerichteten Protokollschicht implementiert werden. Um Fehler auszuschließen, dürfen dazu keine speziellen Eigenschaften des unterlagerten Transportprotokolls genutzt werden. EPLsafety ist daher komplett unabhängig vom Transportprotokoll und lässt sich zudem auch für nicht auf Ethernet basierende Netzwerke mit geringerer Bandbreite verwenden, wie etwa CAN-Bus.

Alles auf einem Bus

Frühe Sicherheitsbussysteme waren isoliert für den ausschließlichen Austausch sicherheitsrelevanter Daten aufgebaut. Begründet wurde dies mit der ausschließlich für sicherheitsrelevante Daten reservierten Bandbreite, damit diese Datenpakete unter keinen Umständen durch andere Daten ausgebremst werden können. Diese Argumentation ist zwar prinzipiell richtig, verliert aber bei Echtzeitsystemen wie Ethernet Powerlink ihre Gültigkeit: Hier wird für jeden Teilnehmer die jeweils erforderliche Netzwerk-Bandbreite reserviert. Ethernet Powerlink bietet dafür ein streng deterministisches Zeitverhalten mit Zykluszeiten von 200 Mikrosekunden und kürzer sowie einen Netzwerk-Jitter von unter 1 Mikrosekunde für sichere Reaktionszeiten im »Worst Case«. Bei diskret verdrahteten Komponenten können die Reaktionszeiten für Sicherheitsbetrachtungen vernachlässigt werden, da das Abschaltsignal etwa eines Not-Aus-Schaltgeräts zum Sicherheitsrelais mit Lichtgeschwindigkeit übertragen wird. Bei Einsatz eines Netzwerks dagegen müssen die Lauf- und Bearbeitungszeiten des Signals am Bus berücksichtigt werden. Ähnlich dem Ruhestromprinzip bei der diskreten Verdrahtung sendet deshalb ein Not-Aus-Schaltgerät auch über den sicherheitsgerichteten Bus permanent Daten an das zugehörige Sicherheitsrelais, das beim Ausbleiben der Daten einen Fehler erkennt und selbständig in den sicheren Zustand schaltet.

Derzeit übliche Ethernet-Powerlink-Implementierungen arbeiten mit Zykluszeiten von etwa 200 Mikrosekunden. Damit der Ausfall eines einzigen Pakets nicht zum Ausfall der Anlage führt, ist die Reaktionszeit der Relais meist auf etwas mehr als die doppelte Refreshzeit eingestellt. Die sichere Worst-Case-Reaktionszeit beträgt daher ungefähr 500 Mikrosekunden. Für die Betrachtung der sicheren Worst-Case-Reaktionszeit der gesamten Sicherheitskette kommen dazu jedoch noch die Zeiten der Eingangssignalfilter und die Reaktionszeiten der Aktoren. Bei einer Refreshzeit von 200 Mikrosekunden zwischen zwei Datenpaketen, die das Not-Aus-Schaltgerät sendet, werden pro Stunde folglich 18 Millionen sicherheitsrelevante Nachrichten ausgetauscht.

Um den Grenzwert von 10-9 unerkannten Fehlern pro Stunde einzuhalten, darf es deshalb nur in einer von 1.8 x 1016 Nachrichten zu einer unerkannten Verfälschung der Daten kommen. Die so genannte Fehlerrestwahrscheinlichkeit muss also kleiner sein als 1/(1.8 x 1016) = 5.55 x 10-17. Das Datenformat von EPLsafety wurde desahalb in zwei Subframes aufgeteilt, die jeweils mit einer eigenen unterschiedlich berechneten Prüfsumme gesichert werden. Damit erreicht das Protokoll selbst bei einer Länge der Nutzdaten je Frame von 249 Byte eine Fehlerrestwahrscheinlichkeit von 2,021 x 10-19 und unterschreitet die geforderten Grenzwerte in jedem Falle deutlich. EPLsafety ermöglicht also erstmals ein sicherheitsgerichtetes Protokoll mit Refreshzeiten von weniger als 100 Mikrosekunden. Die geringe Fehlerrestwahrscheinlichkeit erlaubt zudem den Einsatz auch in zukünftigen Gigabit-Ethernet-Netzwerken.

Franz Kaufleitner und Anton Meindl, B&

Erschienen in Ausgabe: Wer macht was?/2007