Napište nám
Přidat k oblíbeným
RSS
Twitter
LinkedIn
English
Eplan A1 468x90
2025
2024
2023
2022
2021
2020
2019
2018
2017
2016
2015
2014
2013
2012
2011
2010
2009
2008
2007
2006
2005
2004
2003
2002
2001
2000
číslo 01
číslo 02
číslo 03
číslo 04
číslo 05
číslo 06
číslo 07
číslo 08
číslo 10
číslo 11
číslo 12

Aktuálně

Trends in Automotive Logistics 2025: Jak stavět digitalizaci, která ustojí výzvy budoucnosti?

Autonomní studentské roboty se utkaly v soutěži RoboClash na SPŠ Prosek

Společnosti Innomotics a Danfoss Drives podepsaly smlouvu o partnerství

Přihlášky do soutěže Pluxee Zaměstnavatel roku

Udržitelné vodohospodářství tématem výstavy Vod-Ka 2025

více aktualit

Aktuální vydání

celé číslo

01

2025

Veletrh Amper 2025, automatizace v energetice a systémy managementu energií

Snímače teploty, tlaku, průtoku a hladiny, řídicí technika budov

celé číslo
MSV 2025 C1

Je komunikace po vaší řídicí sběrnici bezpečná?

číslo 11/2006

Je komunikace po vaší řídicí sběrnici bezpečná?

Neoddělitelnou součástí moderních strojů se v dnešní době stal také Ethernet, jehož použití s sebou nese kromě transparentního přenosu dat také výhody těžící z jeho otevřenosti, jejímž důsledkem je možnost používat standardní komponenty, protokoly a další nástroje. Také z těchto důvodů představuje řídicí technika komunikující po ethernetové síti snadno použitelnou, spolehlivou a úspornou variantu řízení provozu.

V budoucnosti se ovšem zákazníci budou při výběru řídicího systému stále častěji ptát nejen na jeho výkonnost, ale také na záležitosti spojené se zajištěním funkční bezpečnosti a se způsobem její realizace.

Současná řešení

V dnešní době jsou bezpečnostní řídicí systémy většinou založeny na použití spolehlivého kabelového rozvodu spojujícího bezpečnostní spínače s centrálním modulem, jenž zajišťuje bezpečné zastavení. Je tomu tak mj. i proto, že speciální bezpečnostní moduly jsou pro průmyslová zařízení střední velikosti obecně příliš drahou investicí. Zmíněnému přístupu ovšem lze vytknout nedostatečnou flexibilitu, danou příliš složitou a nákladnou sítí kabelových spojení. S tím navíc současně jde i komplikovaná a omezená možnost diagnostiky chyb.

Druhé řešení bezpečnostního řídicího systému naopak spoléhá pouze na bezpečnostní moduly, přes které jsou přímo nebo nepřímo za pomoci sběrnicových systémů vedeny všechny řídicí signály. Také zde je nezbytnou podmínkou bezpečné funkce spolehlivá kabeláž. Navíc je nutné vynaložit další prostředky na komponenty bezpečné infrastruktury a spolehlivé konektory sběrnic.

Pro to, aby bylo možné spolehlivě dosáhnout požadované doby odezvy řídicího systému, je důležité při výběru jeho sběrnicového systému zvážit zejména dobu zpracování bezpečnostních dat. Moderní bezpečnostní systémy obvykle vystačí s klasickou sběrnicí, jejíž zabezpečení spočívá v implementaci dodatečných opatření pro přenos dat. Vzdálené I/O komponenty potom mohou být snadno distribuovány po celém systému, přičemž funkci bezpečnostního modulu lokálně plní PLC. Při využití jednoho CPU pro zpracování jak bezpečnostních, tak i ostatních řídicích programů je sice převod dat mezi oběma oblastmi relativně jednoduchý, nicméně další rozšiřitelnost výkonu takové řídicí jednotky je značně omezena. Proto jsou pro systémy vykonávající bezpečnostní části kódu používány zvláštní bezpečnostní řídicí jednotky.

Bezpečnostní komunikační sítě

Při výběru a implementaci bezpečnostní komunikační sítě v rámci řídicího systému je nutné zabývat se zejména tím, jaké vlastnosti odlišují takový bezpečnostní systém od běžných sběrnic.

Požadavky na bezpečnost jsou specifikovány zejména v normě ČSN EN 61508-1 Funkční bezpečnost elektrických/elektronických/programovatelných elektronických systémů souvisejících s bezpečností – Část 1: Všeobecné požadavky. Sběrnicový systém pro použití v bezpečnostních aplikacích musí být připraven na jakoukoliv poruchu, která by mohla nastat během přenosu dat, a musí tedy obsahovat mechanismy, které zajistí bezpečné zpracování chyby a předejdou vzniku potenciálně nebezpečných situací. Pravděpodobnost výskytu poruch neodhalených detekčními mechanismy, popř. nevyřešených poruch, jimiž takovéto nebezpečné situace mohou být vyvolány, nesmí překročit omezení specifikovaná v normě.

Pro výrobní stroje a zařízení s úrovní bezpečnosti SIL 3, což je nejčastější případ, to znamená nepřekročit mez 10–9 chyby za hodinu. Řečeno jinými slovy, k výskytu nebezpečné situace v důsledku poruchy na sběrnici může dojít s pravděpodobností pouze jednou za zhruba 11 500 let. Pro přizpůsobení se těmto bezesporu náročným požadavkům jsou sběrnicové systémy vybaveny několika odlišnými mechanismy, jak zabránit potenciálnímu výskytu zejména těchto poruch během přenosu informace:

  • nežádoucí redundance dat,
  • ztráta dat,
  • vložená nežádoucí data,
  • nesprávné pořadí dat,
  • poškozená data,
  • přílišná zpoždění při přenosu.

Síť musí být, kromě své bezchybné funkce během celého životního cyklu výrobního zařízení, navíc schopna umožnit případné výměny částí zařízení, jejich diagnostiku, změny konfigurace apod.

Ethernet Powerlink Safety

Pro integraci bezpečnostních funkcí do řešení využívajících různé sběrnicové systémy je nezbytné použít přenosový protokol zaměřený na bezpečnost, který byl vyvinut s ohledem na jeho případné využití na více platformách. Veškerá opatření nutná pro předcházení chybám totiž musí být implementována přímo ve vrstvě aplikačního protokolu a neměl by k tomu být využíván jemu podléhající transportní protokol. V podobném duchu o tom bylo uvažováno již od začátku vývoje specifikace protokolu Ethernet Powerlink Safety (EPL Safety). To je i jeden z hlavních důvodů, proč je protokol EPL Safety zcela nezávislý na transportním protokolu a může být využit i pro sítě s menší šířkou přenosového pásma, které nejsou založeny na Ethernetu (např. sběrnice CAN). Pro správu dat využívá EPL Safety svůj slovník objektů, jehož struktura i formát mají původ ve slovníku objektů aplikační vrstvy CANopen.

Vše na jedné sběrnici

Dřívější klasické bezpečnostní sběrnicové systémy byly izolovány a strukturovány tak, aby přenášely pouze data kritická pro bezpečnost. Využívaly šířku pásma rezervovanou výhradně pro tato data, která za žádných okolností nesměla být zpomalována jinými pakety. Tento přístup je celkem pochopitelný a ospravedlnitelný, ale až do chvíle, kdy se začne uvažovat o systémech pracujících v reálném čase, jakým je např. i Ethernet Powerlink. Tento systém rezervuje přesně takovou šířku pásma, jakou potřebuje každá z připojených stanic, a kromě toho u něj lze využít:

  • striktní, deterministické časování,
  • dobu cyklu 200 µs i méně,
  • časovou nejistotu sběrnice (jitter) méně než 1 µs,
  • bezpečnou „nejdelší možnou“ dobu odezvy.

Specifikace EPL Safety mimo to věnuje zvláštní pozornost využití protokolu u modulárních strojů a zařízení, zejména při podpoře uvedení do provozu a při usnadnění výměn hardwaru za provozu.

Doby odezvy

Doby odezvy u systémů tvořených z komponent, které jsou spolu vzájemně nezávisle propojeny, jsou vždy kratší než u systémů propojených sběrnicí. Také v případech, kdy je bezpečnostní spínač propojen přímo s bezpečnostním relé, je vypínací signál přenášen tak vysokou rychlostí, že jeho zpoždění není třeba brát v úvahu. Při použití společné sběrnice je ale nutné dobu odezvy uvažovat, přičemž je třeba do úvah zahrnout nejen dobu zpracování signálu, ale i dobu jeho přenosu po síti. Navíc splnění kritérií pro SIL 3 podle normy EN 61508 povoluje výskyt nejvýše 10–9 nedetekovaných poruch za hodinu, což klade na komunikaci další velké nároky.

Obdobně jako u uzavřeného okruhu využívajícího komunikaci po zvláštních kabelech, také zde musí být signál od bezpečnostních spínačů neustále přenášen po bezpečné sběrnici k příslušnému bezpečnostnímu modulu. Kdyby se tok dat přerušil, modul by detekoval poruchu a následovalo by přepnutí do bezpečného stavu. Časová prodleva mezi dvěma datovými pakety vyslanými bezpečnostním spínačem bývá nazývána doba obnovení (refresh time). Je zřejmé, že jestliže činí 200 µs, je nutné za jedinou hodinu přenést 18 000 000 bezpečnostních zpráv. K přiblížení se k metě 10–9 nerozpoznaných chyb za hodinu, požadovaných normou, je nutné, aby se objevila pouze jedna chybně přijatá zpráva na každých 1,8·1016 těchto zpráv. Z toho plyne i zbytková pravděpodobnost poruchy protokolu (error remainder probability), popř. i jí odpovídající minimální povolená doba obnovení bezpečnostně orientovaného sběrnicového systému, která úzce souvisí s nejdelší možnou dobou odezvy v celé aplikaci. To je důvod, proč je datový formát využívaný v EPL Safety rozdělen do dvou podrámců, které jsou oba zajištěny zvláštním, navzájem různým způsobem, určeným kontrolním součtem CRC. Díky tomuto mechanismu lze u EPL Safety dosáhnout hodnot zbytkové pravděpodobnosti chyby uvedených v tab. 1.

Tab. 1. Zbytková pravděpodobnost chyby

Délka rámce referenčních dat (bajtů)

Zbytková pravděpodobnost chyby

1

5,234 10–20

8

7,061 10–20

249

2,021 10–19

Jak lze vyčíst z tabulky, EPL Safety navíc nabízí oproti limitům stanoveným v normě IEC 61508 zajímavou rezervu. Poprvé je tak pro průmyslové aplikace k dispozici bezpečnostní protokol poskytující dobu obnovení kratší než 100 µs, přičemž současné implementace EPL dostupné na trhu pracují s dobou cyklu zhruba 200 µm. Extrémně nízká zbytková pravděpodobnost poruchy navíc platí již pro zmíněné krátké doby cyklu, a je tedy možné uvažovat o použití EPL Safety i v rámci gigabitových ethernetových sítí.

Bezpečnostní relé přepne do bezpečného stavu v okamžiku, kdy k němu přestanou po síti přicházet bezpečnostní signály. Aby bylo zabráněno selhání celého systému v důsledku ztráty jen jediného paketu, je doba reakce tohoto zařízení většinou nastavena na více než dvojnásobek doby cyklu (u cyklu 200 µs typicky okolo 500 µs). Pro stanovení nejdelší možné doby odezvy celé bezpečnostní smyčky je navíc nutné k dobám odezvy akčních členů přidat i dobu filtrace vstupních signálů.

EPL Safety představuje v současnosti nejrychlejší protokol zaměřený na bezpečné aplikace.

Čím může EPL Safety ulehčit práci svým uživatelům?

Využití sběrnicových systémů zaměřených na bezpečnost umožní uživateli nejen redukovat práci s propojováním jednotlivých zařízení a s tím i spojené riziko výskytu chyb, ale zvýší také flexibilitu automatizovaného výrobního systému, neboť není nutná složitá a mnohdy i obtížná instalace zdvojeného vedení, jak to vyžadují dosavadní postupy. Data ze zařízení potřebných k řízení bezpečnosti tak mohou být okamžitě analyzována jakýmkoliv jiným zařízením. EPL Safety je pro uživatele v současné době jediným protokolem zaměřeným na bezpečnost pro řídicí aplikace, který je schopen realizovat přenos dat v reálném čase. Zaručované doby odezvy jsou nejméně o jeden řád kratší, než je tomu u ostatních protokolů tohoto druhu.

Ethernet Powerlink představuje otevřenou (bez patentové ochrany) průmyslovou ethernetovou síť schopnou provozu v reálném čase. EPL Safety staví na tomto základu a nabízí svým uživatelům nejvyšší možnou ochranu jejich investic. Součinnost produktů různých výrobců zajišťují specifikace a certifikace, které nyní provádí sdružení EPSG. Protokoly Ethernet Powerlink zároveň nevyžadují instalaci zvláštního hardwaru, speciálních mikroprocesorů, síťových komponent nebo přepínačů. Jak Ethernet Powerlink, tak i EPL Safety nejsou patentovány, a zůstávají tak otevřené pro všechny současné i budoucí uživatele.

Franz Kaufleitner, Anton Meindl,
B&R, Eggelsberg (Rakousko).
Překlad Petr Buryan
Beckhoff EtherCAT
Kobold DUK D2
TAL 2025 E1
DTE E2
Vodka C3
Predplatne F1
Blaja E1

© 2016 Automa – časopis pro automatizační techniku, s. r. o.

Automa – časopis pro automatizační techniku, s. r. o. je zapsána v obchodním rejstříku, vedeném Krajským soudem v Ústí nad Labem, oddíl C, vložka 34117

Redakční systém www.FlexiSite.cz Webdesign FlexiSystems s.r.o.