Für den sicherheitsrelevanten Datenaustausch zwischen Anlagenteilen einer heterogenen Sicherheits-Architektur standardisiert die EtherCAT Technology Group (ETG) ein offenes Safety-Profil. Hierbei berücksichtigt das Profil, dass innerhalb von Anlagenteilen möglicherweise unterschiedliche Bussysteme und damit deren native Safety-Protokolle zum Einsatz kommen. Der sicherheitsrelevante Datenaustausch zwischen den Anlagenteilen erfolgt über Gateway-Funktionen, wobei die Prozessdaten durch das Safety-Profil standardisiert sind, um die Konfiguration zu vereinfachen.

Produktionsanlagen bestehen häufig aus mehreren Prozessschritten, die jeweils von separaten Maschinenmodulen durchgeführt werden. Die Interaktion der Maschinenmodule - geführt durch eine Leitsteuerung - wird heute über eine anlagenweite Vernetzung ermöglicht. Die Maschinenmodule selber können dabei von unterschiedlichen Anbietern bereit gestellt werden und nutzen intern unter Umständen unterschiedliche Kommunikationssysteme.
Es ist ein klarer Trend zur Nutzung von Kommunikationssystemen mit sicherheitsrelevanter Übertragung zur Kopplung dieser Geräte zu erkennen. Intelligente Sicherheitssensoren wie Laserscanner oder Antriebe mit integrierten sicheren Überwachungs- und Abschaltfunktionen können über einen Sicherheitsbus an eine sichere Logik angeschlossen werden. Wenn alle Sicherungsmaßnahmen zur Aufdeckung von Übertragungsfehlern in einen „Safety-Container" gekapselt werden, ist die Verwendung eines Sicherheitsprotokolls unabhängig vom verwendeten Standard-Kommunikationssystem möglich („Black-Channel Prinzip"). Dies hat den Vorteil, dass sicherheitsrelevante und Standard-Prozessdaten auf dem gleichen Kommunikationssystem übertragen werden können.

Fabrikweite Sicherheitsarchitektur

Die Sicherheitsfunktionen der Maschinenmodule einer Produktionsanlage werden in der Regel innerhalb des Moduls gelöst. Muss z. B. durch das Öffnen einer Schutzklappe eine Stoppfunktion ausgelöst werden, dann müssen die gefahrbringenden Bewegungen innerhalb des Moduls sicher stillgesetzt werden (z. B. durch Stillsetzen des Sägeblatts). Die Sicherheitssteuerung verarbeitet die Eingangsinformationen der Sensoren und bestimmt die sicheren Reaktionen an den Ausgängen bzw. Aktoren. Hierfür sind innerhalb des Maschinenmoduls detaillierte Informationen über den Status und die Funktionsfähigkeit der beteiligten Komponenten notwendig. Abhängig vom auslösenden Eingangssignal müssen unterschiedliche Reaktionen an den Aktoren ausgelöst werden. Zudem sind kanalspezifische Diagnoseinformationen für den Anwender wichtig.
Anlagenweit müssen zudem zwischen den Maschinenmodulen Sicherheitsinformationen ausgetauscht werden, um z. B. übergreifende Not-Aus-Funktionen zu realisieren oder um Vorgänger- und Nachfolge-Module über die Aktivierung von Stillstandfunktionen zu informieren. Idealerweise werden alle von einem Not-Aus-Taster einsehbaren Bereiche durch die Aktivierung dieses Tasters stillgesetzt. Das Be- und Entladen einer Station darf beispielsweise nur freigegeben werden, wenn sich kein Anwender in der Gefahrenzone befindet.
Auf Ebene der anlagenweiten Maschinenkommunikation sind der sicherheitsrelevante Gesamtstatus eines Maschinenmoduls und die zentrale Aktivierung von Sicherheitsfunktionen von Bedeutung. Die Schnittstelle zu jedem Maschinenmodul erfolgt also in der Regel durch vorverarbeitete, gefilterte Informationen. Sie ist damit schlank und kann über ein offenes Schnittstellenprofil standardisiert werden.

Offenes, sicheres Schnittstellenprofil

Unter Berücksichtigung der unterschiedlichen nativen Safety-Protokolle der etablierten Bussysteme innerhalb der Maschinenmodule wird für die anlagenweite Vernetzung der Module eine sichere Gateway-Funktion benötigt. Der Versuch, die nativen Safety-Protokolle der etablierten Bussysteme durch ein allgemeines busunabhängiges Safety-Protokoll zu ersetzen, scheint nicht zielführend. Die unterschiedlichen Bussysteme und deren native Safety-Protokolle haben sich aus historischen und technologischen Gründen heraus entwickelt - und der Erfolg gibt ihnen Recht. Die Implementierung eines busunabhängigen Safety-Protokolls ist zudem technisch schwierig, da für die Zertifizierung Konformitätsnachweise und entsprechende Werkzeuge für jedes Kommunikationssystem benötigt werden. Ein Hersteller wird vorrangig das native Safety-Protokoll für die unterstützte Busschnittstelle implementieren, um das Gerät in diesem Markt erfolgreich platzieren zu können. Durch ein zusätzliches busunabhängiges Protokoll würden also die Gerätekosten steigen und sich dadurch die Auswahl der Geräte für den Anwender reduzieren.
Innerhalb der EtherCAT Technology Group wird daher eine Profilspezifikation erarbeitet, die oberhalb der Safety-Protokolle ein Applikationsprofil definiert. Inhalt des Profils ist es, den Datenaustausch zwischen den Modulen und zur Leitebene festzulegen. Dies sind beispielsweise der allgemeine sicherheitsrelevante Maschinenzustand eines Moduls, die Information, ob das Modul sicher gestoppt wurde oder auch eine übergeordnete Not-Aus-Anforderung. Findet man diese Informationen in Form eines Steuer- bzw. Statuswortes an fester Stelle auf der Schnittstelle wieder, dann ergeben sich erhebliche Vorteile durch vordefinierte Funktionsbausteine und durch wiederverwendbare Diagnosemöglichkeiten.
Die Gateway-Funktion braucht nur einmal je Maschinenmodul realisiert werden. Dabei muss das Safety-Gateway nicht einmal als eigenständiges Gerät ausgeführt werden, sondern kann als Teilfunktion der Sicherheitssteuerung implementiert sein. Die Sicherheitssteuerung überwacht in der Regel viele Verbindungen zu sicheren Kommunikationspartnern innerhalb des Maschinenmoduls. Wenn diese Steuerung für eine oder mehrere dieser Verbindungen ein weiteres Safety-Protokoll unterstützt, kann sie als eine sichere Gateway-Funktion arbeiten - und das an einer dezidierten Stelle.
Das Safety-Profil ist unabhängig vom Safety- und vom Kommunikations-Protokoll; daher sind auch andere Nutzerorganisationen eingeladen, sich an der Erstellung dieses Profils zu beteiligen bzw. dieses Profil ebenfalls zu verwenden.