Systemy bezpieczeństwa z protokołem Safety over EtherCAT

Współczesne zaawansowane technologicznie systemy komunikacyjne nie tylko zapewniają w pełni deterministyczną transmisję danych sterujących, ale pozwalają również, korzystając z tego samego medium komunikacyjnego – przesyłać informacje dotyczące bezpieczeństwa urządzeń. Przykładem może być rozwiązanie o nazwie Safety over EtherCAT firmy Beckhoff.

Dotychczas w instalacjach automatyki przemysłowej funkcje systemów bezpieczeństwa opracowywane były niezależnie od funkcji sterowania, a ewentualna ich integracja realizowana na poziomie odrębnych urządzeń, w końcowych etapach organizacji np. linii produkcyjnych. Często prowadziło to do nie efektywnych i nie elastycznych rozwiązań, które niekiedy ograniczały nawet funkcjonalność wybranych urządzeń. To stwarzało potencjalne zagrożenie, że końcowy użytkownik urządzeń może dążyć do wyłączenia takich ograniczających go funkcji bezpieczeństwa i tym samym zmniejszyć ogólny poziom bezpieczeństwa zakładu. Pewne ograniczenia funkcjonalne wprowadzane są przez same urządzenia systemowe (czujniki bezpieczeństwa typu: kurtyny świetlne, drzwi bezpieczeństwa), chociażby ze względu na stosowaną w ich obsłudze logikę łączenia przekaźnikowego.

Współcześnie pojawił się nowy trend: inteligentne systemy bezpieczeństwa, realizowane poprzez elementy systemów automatyki, połączone w sieci wymiany danych. Dzięki nim możliwa jest pełna integracja funkcji bezpieczeństwa z systemami sterowania maszyn. Oprócz dużych, zaawansowanych sterowników bezpieczeństwa na rynku pojawiają się także niewielkie moduły logiczne, z możliwościami dostosowania ich funkcji do konkretnych zadań. Podstawowymi elementem umożliwiającym sprawne działanie takich zintegrowanych systemów bezpieczeństwa, są odpowiednie komunikaty przesyłane przez magistralę sieciową.

Protokół Safety over EtherCAT

W celu realizacji zintegrowanej sieci bezpieczeństwa w ramach systemu EtherCAT, stworzono protokół Safety over EtherCAT. Przy jego opracowywaniu za najważniejsze uznano następujące kwestie:

  • zgodność z warunkami bezpieczeństwa SIL 3 podanymi w normie IEC 61508,
  • przesyłanie informacji o bezpieczeństwie i sterowaniu przez jedną magistralę komunikacyjną,
  • niezależność protokołu komunikacji od medium transmisji i rodzaju sieci,
  • długość komunikatu o bezpieczeństwie nie ograniczona protokołem,
  • dopuszczalne bardzo krótkie ramki danych,
  • brak ograniczeń ze strony szybkości transferu i cyklu zegarowego.

Aby protokół mógł być stosowany w przemyśle, najważniejsze było spełnienie pierwszej z wymienionych kwestii. Oznacza to konieczność redukcji niebezpieczeństwa wystąpienia błędów transmisji do poziomu mniejszego niż 10-9 na godzinę. Do przesłania informacji o sterowaniu i bezpieczeństwie system Ether- CAT korzysta z jednego, wspólnego kanału komunikacji. Medium transmisyjne nie ma żadnych specjalnych specyfikacji dotyczących bezpieczeństwa transmisji. Ramka danych zawiera informacje o bezpieczeństwie procesu lub urządzenia oraz inne dane, wymagane przez protokół EtehrCAT. Taki pakiet jest analizowany w urządzeniach z poziomu aplikacji. Protokół Safety over EtherCAT nie ma żadnych charakterystycznych dla siebie mechanizmów detekcji błędów i dzięki temu komunikacja może być realizowana w różnych sieciach. To cecha niezwykle przydatna np. w systemach o strukturze łączonej (podsystemy), z łącznikami magistralowymi i obsługą modułów We/Wy. W takich sieciach łączniki systemowe EtherCAT mogą bez żadnych ograniczeń przesyłać dane bezpieczeństwa np. z terminali modułów We/Wy do innych urządzeń systemowych.

Podstawy technologii Safety over EtherCAT

Dla sieci typu EtherCAT szczególne znaczenia ma wskaźnik opóźnienia transmisji. Tradycyjne standardy systemów automatyki przemysłowej nie są w tym zakresie wystarczające, szczególnie wziąwszy pod uwagę opóźnienia powstające w samych urządzeniach systemowych, które nie są wykrywane przez system. Nawarstwianie się takich opóźnień w kolejnych cyklach pracy systemu (Watchdog), może w rezultacie prowadzić nawet do kilkuminutowych opóźnień w przekazaniu informacji pomiędzy np. czujnikiem a urządzeniem wykonawczym. Jedynym sposobem na wykrycie tego typu błędów transmisji jest wprowadzenie globalnego czasu systemowego i transmisja danych ze znacznikiem czasowym. W protokole Safety over EtherCAT zastosowano proste mechanizmy, oparte na unikalnym sposobie komunikacji typu master/slave między dwoma urządzeniami. W ten sposób ścieżka transmisji pomiędzy dwoma urządzeniami jest monitorowana w każdym cyklu systemowym (ewentualna kumulacja opóźnień jest eliminowana lub wykrywana). Dzięki temu implementacja protokołu możliwa jest nawet w systemach bez synchronizacji czasowej. Fakt, iż takie funkcjonowanie systemu może prowadzić do zbytniego obciążenia sieci nie jest tu elementem krytycznym ze względu na szerokie pasmo transmisji.

Dzięki odpowiednim procedurom do transmisji każdego typu danych o bezpieczeństwie wystarcza 6-bajtowa ramka, z czego jeden bajt to użyteczna informacja dotycząca bezpieczeństwa. W praktyce więc protokół nie narzuca ograniczenia co do treści (długości) przesyłanych danych, a to oznacza możliwość łączenia do sieci urządzeń generujących liczne dane o swoim stanie i bezpieczeństwie. Na przykład, oprócz podstawowych danych napęd może transmitować również informacje o bezpiecznej pozycji wału, prędkości obrotowej lub momencie itp. Przy odpowiednim doborze metod detekcji i korekcji błędów szybkość transmisji ma znikomy wpływ na prawdopodobieństwo wystąpienia błędów.

Certyfikacja

Protokół Safety over EtherCAT został przetestowany i oceniony przez ekspertów Agencji TÜV i otrzymał certyfikat protokołu komunikacyjnego dla urządzeń bezpieczeństwa zgodnego z wytycznymi normy IEC 61508 SIL 3.

Jako medium komunikacyjne wykorzystywany jest dowolny typ magistrali, włącznie z magistralami miejscowymi typu fieldbus. Można korzystać z sieci Ethernet, kabli światłowodowych, przewodów miedzianych lub połączeń radiowych. Jednocześnie nie ma żadnych specjalnych wymagań technicznych w stosunku do urządzeń sieciowych czy elementów łączeniowych występujących w strukturze sieci. Aktualnie opracowywane są procedury testów, które potwierdzą niezawodność funkcjonowania transmisji danych bezpieczeństwa między urządzeniami przemysłowymi.