搜索  

EtherCAT的安全性(FSoE)

简介

开放的EtherCAT功能安全协议(FSOE,Fail Safe over EtherCAT)为EtherCAT定义了安全相关的通讯层性能。EtherCAT功能安全协议满足IEC 61508 SIL3的要求,可以在同一通信系统上同时传输安全信息和标准信息,并且没有传送速度和传输周期的限制。

在EtherCAT功能安全协议的开发过程中,下列特征是至关重要的:

  • 完全遵守安全性能IEC 61508 SIL3;
  • 同一通信系统上传输安全和不安全的信息;
  • 独立于传输系统和媒介的协议;
  • 安全过程数据的长度不受协议限制;
  • 帧长度很短是可能的;
  • 传输速度和周期没有限制;
  • 高效率规格使得实施工作量小,性能高和反应时间短。


很多企业已经在他们的机器上和工厂里使用EtherCAT的功能安全协议。EtherCAT技术组织的发展说明了EtherCAT技术的日益普及,以及EtherCAT功能安全协议的增长。

自2005年初,EtherCAT的功能安全协议就已经开放,而且不依赖于下层的总线系统。向国际标准IEC 61784-3“功能安全现场总线”提交协议表明了这个技术的开放性。此外,ETG安全工作小组也制订了安全驱动行规,它为安全驱动提供普通操作和参数等集成化安全功能。ETG也努力把这个行规推广到给其它的组织。

安全现场总线系统

在自动化部件和通讯系统上的智能安全解决方案使安全技术整合到机械设计成为可能。使这种整合成为可能的其中一个关键因素是在同一总线上传送安全数据和标准数据。EtherCAT的解决方案是基于EtherCAT协议的功能安全协议。

其中的好处有:

  • 控制信息和安全信息使用同一通讯系统;
  • 安全概念无缝整合到机械设计;
  • 出色的安全功能诊断选项;
  • 灵活的扩展选项;
  • 实时和确定性方面没有性能限制;
  • 标准和安全应用程序无需各自的开发工具;
  • 操作简单,安全功能透明。
  

技术要求

测试和鉴定传送安全相关信息的总线系统的基本原则是由国际标准IEC 61784-3指定的。

下列网络的错误必须考虑:误用、重复、交换、丢失、延时、插入、冒充以及无效寻址信息。

为控制这些错误,EtherCAT的安全性能包括:

  • 检测一个完整启动序列的缓冲作用的访问数;
  • 独特的ID连接和独特的从站地址能通过独特的地址关系安全检测误传信息;
  • 从来源到接收源CRC检验和检测信息误用。另外,这项技术能在安全容器内检测交换信息,例如,如果转容器在途中被拆分,代码的合理和适当以及从属通信的独立性已经得到了证实。
  • 检测整个信息交换、重复、插入或丢失的序列号。
  

EtherCAT协议的安全性能已经由德国质量监察局(TÜV)进行了评估, EtherCAT的安全设备之间的过程数据传输已经达到了IEC 61508所定义的SIL 3等级。在设备上EtherCAT功能安全协议的实现必须满足安全目标的要求。和特殊产品相关的要求必须考虑到。

EtherCAT功能安全协议的残余错误概率的估计不能归于通讯系统的错误检测机制,传输介质被当做“黑色通道”。这就意味着协议能够通过其他通讯系统进行传送。任何的通信通道都可以使用,包括现场总线系统、以太网或相似的传送系统、光导纤维电缆、铜线电缆,甚至是无线通信线路。例如,模块化I/O系统组件的内部下层总线系统或者通过安全主站和安全从站间的标准PLC路由发送安全信息使使用的通信。

实施方面

简单的就是安全的。这就是EtherCAT安全规范的中心原则。因此规范是简洁的,简单的机制就能保证需要的安全整合水平。技术的实施便得相当简单。实施的细节在《FSoE实施指南》中进行了说明。

EtherCAT用作传送安全和标准信息的单通道通讯系统。安全帧包含在EtherCAT过程数据中。容器在设备的安全应用层进行分析。

通讯仍然保持单通道。通过适当的程序,帧最小可以设计成6字节长度,它能有效地传送所有的错误检测信息,包括一个字节的安全过程数据。另一方面,协议没有给安全过程数据的长度强加任何限制。这就意味着带有大量安全过程数据的安全组件也同样支持增加很多安全设备装置应用所需的安全数据或CRC_x部分。  

EtherCAT的安全设备在两EtherCAT的安全设备间使用主从站关系。它能保证当一个新的有效的信息被接收时每一个设备都只返回它自己的新的信息。每一周期内检测主站和从站间完整的传输路径,累积延时时间被消除或被检测到。就通讯系统访问加上适度的要求来说这使得协议的实施非常高效,因为时间同步的硬实时要求是不需要的,相反的,发行/订阅技术在安全层需要时间同步。

在EtherCAT连接的安全设备启用时,在主站和从站都会生成一个状态机。这里的焦点就是简单的结构使实施过程尽可能的简单。状态变迁由主站初始化,并由从站确认。交换安全输入和输出数据时的数据状态是正常运行数据。如果其中一个设备检测到通讯错误,它将重置状态,因此而重新连接。  

应用案例

一个安全通讯协议的安全功能和功能性只能在产品的实施过程中得到验证。从2005年以来带有EtherCAT安全功能的设备已经可以买到。EtherCAT因此成为最先支持安全协议的工业以太网实施通讯系统之一。许多ETG成员把这项技术整合到设备的体系结构中。今天,许多设备中的应用证实了使用者和卖方已经接受了EtherCAT。

可升级的安全相关的输入和输出部件可以在系统中使用,当需使用安全和非安全设备是可以增加额外的输入和输出。

即使是安全逻辑可以嵌入到网络中。PLC仍然是标准的设备,没有安全扩展控制控制。安全逻辑是在网段中的安全设备中处理。这样节省了花费,而且可以改变系统中安全逻辑的规模。只有在EtherCAT功能安全主站和相关联安全从站设备间的信息才能通过标准PLC传播。当然EtherCAT功能安全也支持传统的安全PLC结构。

利用黑色通道方法使机器部件的串联也是可能的。在过程控制应用时,EtherCAT功能安全数据帧也可以通过标准的通讯路径传播,例如通过EAP(EtherCAT Automation Protocol)协议。  

 


相关内容(英文)

 

FSoE 规范

FSoE 实施指南

FSoE 安全伺服设备行规

FSoE 常见问题解答