Článek ve formátu PDF je možné stáhnout
zde.
Článek vysvětluje princip komunikace IO-Link Safety pro úlohy zajišťující funkční bezpečnost, shrnuje její přednosti, popisuje současný stav standardizace a seznamuje s prioritami dalšího vývoje příslušné pracovní skupiny IO-Link Safety sdružení IO-Link Community.
Rychlý růst počtu zařízení využívajících rozhraní IO-Link pokračuje. Ke konci roku 2017 bylo registrováno více než osm milionů zařízení a očekává se, že v příštích letech jejich počet dále poroste. Také proto se sdružení IO-Link Community v posledních několika letech systematicky zabývá funkčně bezpečnou komunikací – od úvodních studií až po hloubkovou analýzu potřeb trhu. Na tvorbě technické specifikace IO-Link Safety – rozšíření systému, která byla zveřejněna v dubnu 2017, se podílelo více než dvacet průmyslových společností etablovaných v oboru funkční bezpečnosti. Koncept funkčně bezpečné komunikace byl předem ověřen německou akreditační společností TÜV Süd. Co se od té doby událo?
Agenda pracovní skupiny IO-Link Safety má tři hlavní témata:
- proveditelnost konceptu v různých architekturách zařízení IO-Link,
- nové standardizované rozhraní pro řídicí jednotky – Master (SMI – Standardized Master Interface), požadované zákazníky,
- specifikace testů (včetně testovacích zařízení).
Klasická funkčně bezpečná komunikace
V tomto článku bude představen koncept IO-Link Safety a několik jeho významných předností. Výchozím bodem je klasické propojení jednoduchých bezpečnostních zařízení k jednotce vzdálených I/O (RIO – Remote Input/Output) s provozní sběrnicí prostřednictvím komunikačního profilu funkční bezpečnosti FSCP (Functional Safety Communication Profile), jak je ukázáno vlevo na obr. 1.
V závislosti na typu snímačů a akčních členů jsou pro implementaci moderních bezpečnostních systémů požadovány funkčně bezpečné analogové vstupy (FS AI), funkčně bezpečné analogové výstupy (FS AO), funkčně bezpečné digitální vstupy (FS DI) a funkčně bezpečné digitální výstupy (FS DO). Stejně jako v případě základního systému IO-Link je však i u verze IO-Link Safety spektrum I/O modulů omezeno na jediný typ (FS Master), jak je vidět na obr. 1.
Obr. 1. Funkčně bezpečné moduly vzdálených I/O
Až dosud byla funkční bezpečnost v automatizaci charakterizována funkcemi bezpečnostního vypnutí, jako jsou „bezpečné odpojení“, „bezpečné zastavení“ apod. K jejich realizaci byly třeba binární snímače, jako jsou koncové spínače, světelné závory nebo laserové skenery. IO-Link Safety umožňuje bezpečně sbírat data z více analogových snímačů, a bezpečnostní řídicí systém se tak může lépe rozhodnout, zda je skutečně vyžadováno bezpečné odpojení, nebo zastavení.
Proč IO-Link Safety?
Obecně vzato, tento druh úloh může být také implementován prostřednictvím bezpečnostních provozních zařízení s protokolem FSCP na úrovni provozní sběrnice. Ovšem v současné době je po celém světě již více než deset různých FSCP, často s regionálním významem (viz EN 61784-3 Industrial communication networks – Profiles – Part 3: Functional safety fieldbuses – General rules and profile definitions). Pro výrobce zařízení, jestliže se snaží uplatnit na světovém trhu, to s sebou nese zvýšené náklady na vývoj komunikačních rozhraní.
Obr. 2. Univerzální bezpečnostní zařízení FS Device pro všechny komunikační profily FSCP
Na obr. 2 je ukázáno řešení prostřednictvím IO-Link Safety. Univerzální bezpečnostní zařízení FS Device jsou tak kompatibilní se všemi profily FSCP – stačí, že existuje jen jediná řídicí jednotka FS Master s daným FSCP. Protože jednotky IO-Link Master pro specifické sběrnice vyvíjejí obvykle specializovaní výrobci, je přirozené, že se tito výrobci starají také o jejich bezpečnostní verze FS Master. Výrobci bezpečnostních zařízení FS Device se tak mohou plně soustředit na bezpečnostní úlohy vykonávané jejich zařízeními.
Než se vytvoří trh s těmito zařízeními, bude určitou dobu trvat. V tomto procesu může pomoci strategie migrace k IO-Link Safety. Nedávná historie konceptu IO-Link zahrnuje přechod od tzv. spínacího režimu (SIO – switching I/O) ke komunikačnímu režimu IO-Link. Znamená to, že zařízení mohou být připojena jak ve spínacím režimu ke klasickému modulu digitálních vstupů a výstupů, tak v komunikačním režimu k jednotce IO-Link Master.
Bezpečnostní snímače se spínacím výstupem – OSSD
Bezpečnostní snímače se spínacím výstupem jsou rovněž označovány zkratkou OSSD (Output Switching Sensing Devices). Jejich redundantní signály původně pocházely z reléových výstupů. Relé byla spínána navzájem antivalentně – to umožňovalo detekovat poruchu kabelu. Když však došlo k přechodu k elektronickým zařízením (OSSDe), objevily se také ekvivalentně spínané signály, protože při ztrátě napájení elektronického modulu antivalentní spínání není možné využít. K detekci poruch nyní slouží krátké, rovnoměrně rozložené testovací pulzy, které jsou zařízením zpětně zaznamenávány a vyhodnocovány.
U IO-Link Safety bylo rozhodnuto omezit různá dosavadní řešení testovacích pulzů na jednu specifikaci: Type C Class 1, která pokrývá většinu úloh vyskytujících se na trhu a je definována v dokumentu CB24I německého sdružení ZVEI (Zentralverband Elektrotechnik- und Elektronikindustrie). Vzhledem k tomu, že maximální dovolená délka kabelů IO-Link je 20 m, je kontrola kabelu těmito testovacími pulzy snadná. Komunikace IO-Link Safety by tak měla mít velmi stabilní provoz a realizace komunikačního systému pro uživatele by se měla zjednodušit, protože nebudou zapotřebí filtry nebo nastavení časové odchylky (rozložení dvou signálů v čase).
V IO-Link Safety je pro druhý signál OSSD určen pin 2 konektoru M12. To je ve shodě se specifikací sdružení německého automobilového průmyslu AIDA (Automatisierungsinitiative der deutschen Automobielhersteller).
Komunikace IO-Link Safety
V komunikačním režimu se pro IO-Link Safety používá osvědčený princip black channel, jak je uvedeno na obr. 3. Zabezpečená komunikační vrstva je umístěna nad existující komunikační stack IO-Link Master a IO-Link Device. Kromě vlastní bezpečnostní úlohy tato vrstva obsahuje stavový automat pro přijetí a přenos zabezpečených dat (bezpečnostní PDU – Protocol Data Unit) zahrnující zabezpečená provozní data a dodatečný zabezpečovací kód. V protokolu se kontroluje včasné přijetí nových dat a zjišťuje se, zda pocházejí od správného vysílajícího zařízení a zda nebyla po cestě změněna.
Obr. 3. Princip „black channel“ IO-Link Safety
IO-Link Safety používá dva formáty protokolu. První formát je vhodný pro malé objemy dat do tří oktetů (osmic bitů), čemuž odpovídá i kratší bezpečnostní kód, zatímco druhý je pro až 25 oktetů s delším bezpečnostním kódem.
Na obr. 3 je také znázorněno propojení vrstvy komunikace IO-Link Safety zařízení FS Master s vyšší vrstvou protokolu FSCP provozní sběrnice. Obě vrstvy mohou být implementovány jako software, např. v jedné redundantní jednotce.
Standardizované rozhraní řídicí jednotky SMI
V uplynulých letech vyžadovali významní zákazníci zlepšení harmonizace chování jednotek IO-Link Master a možnost provozovat jednotky IO-Link Master od různých výrobců prostřednictvím jednotného nástroje IO-Link Master Tool (IO-Link Master Tool je aplikace, která se instaluje do počítače a je určena ke konfiguraci a nastavování parametrů komunikace IO-Link). Protože specifikace IO-Link byla navržena a vydána již před několika lety, specializovala se na provozní sběrnice, z nichž jen málo bylo tehdy založeno na Ethernetu. Dosud nebylo možné najít vhodné řešení, protože k tomu bylo k dispozici málo znalostí a zkušeností. To se nyní mění. Provozní sběrnice založené na Ethernetu se již staly běžnými a byly získány zkušenosti se „zakotvením“ IO-Link do provozních sběrnic.
Na obr. 4 jsou znázorněny horní vrstvy jednotky IO-Link Master (v tomto případě je to FS Master), které se skládají z konfiguračního manageru, podpory parametrických dat, acyklické komunikace, diagnostické jednotky a cyklické výměny provozních dat.
4. Standardizované rozhraní řídicí jednotky Master (SMI)
Rozhraní SMI specifikuje pro každou z těchto jednotek standardizované služby, které mohou být volány z komunikační brány. Komunikační brána zajišťuje přizpůsobení odpovídajícímu uživatelskému protokolu. Pro bezpečnostní PLC je tímto protokolem FSCP jeho provozní sběrnice. Například pro FS Master Tool je to ethernetový protokol definovaný uživatelem.
IO-Link Safety rozšiřuje standardní SMI pro konfigurační manager, např. pro konfiguraci nezbytných bezpečnostních parametrů. Speciální funkcí je splitter/composer pro výměnu cyklických provozních dat. Zde jsou v přijaté zprávě IO-Link oddělena data bezpečnostní jednotky PDU od běžných provozních dat nebo jsou naopak složena před odesláním zkomponované zprávy.
Pro IO-Link Safety má SMI zásadní význam. Díky specifikaci SMI pro FS Master, která je nyní velmi detailní, může být vyhodnocení bezpečnosti přesunuto z implementační úrovně na úroveň specifikace, čímž se vlastní implementace výrazně zjednoduší.
Vývojová sada, nebo specializovaný dodavatel?
Sdružení IO-Link Community je v příznivé pozici k tomu, aby se stalo řídicí silou zaštiťující přípravu vývojové sady pro IO-Link Safety. Mezi členskými firmami jsou specializovaní dodavatelé, kteří jsou ochotni asistovat v počáteční fázi vývoje zařízení a nabídnout potřebné technické komponenty (stacky). Pro více informací lze navštívit www.io-link.com.
Specifikace testů a testování protokolu
V důsledku těchto inovací bylo třeba doplnit také nové postupy testování. V počáteční fázi vývoje jsou na počítači simulovány oba stavové stroje s cílem generovat testovací vzorky pro automatizované testování protokolu. Testovací vzorky jsou optimalizovány tak, aby doba testování nebyla zbytečně dlouhá.
Další práce na verzi 1.1 IO-Link Safety
Integrace SMI do verze 1.1 specifikace IO-Link Safety byla dokončena. Nyní prochází mezinárodním posouzením, které bude trvat několik měsíců. Posuzovaná specifikace je dostupná na www.io-link.com. V protokolu samotném se nic významného nezměnilo.
Současně bylo v testovacích laboratořích provedeno doplňující zhodnocení konceptu. Publikace výsledků se očekává v příštích měsících.
Dr. Wolfgang Stripf, vedoucí projektové skupiny IO-Link Safety IO-Link Community