FSoE-spezifische Eigenschaften (Safety over EtherCAT)
| Hinweis
Eine Liste der Steuerungen, die EtherCAT unterstützen, finden Sie im PLCnext Info Center. |
| Hinweis
Die EtherCAT-Anwendung muss über den PLCnext Store auf PLCnext Technology-Steuerungen installiert werden. |
| Hinweis
Voraussetzungen: Die EtherCAT-Funktionalität und damit auch die EtherCAT-bezogenen Knoten in der ANLAGE und Editoren stehen nur zur Verfügung, wenn die Steuerung dies unterstützt (PLCnext Technology-Steuerungen ab Firmware-Version 2026.0) und die Funktionalität in PLCnext Engineer aktiviert wurde. Dazu gehen Sie wie folgt vor:
Darüber hinaus müssen EtherCAT-Geräte durch Importieren der entsprechenden ESI-Dateien den KOMPONENTEN hinzugefügt werden. Erst nach dem Import der ESI-Dateien sind die Geräte in den KOMPONENTEN (Kategorie 'Netzwerk | Lokal | Geräte | ESIImport') verfügbar und können im Stationseditor unter dem Knoten 'EtherCAT' eingefügt werden. |
EtherCAT unterstützt sicherheitsbezogene Kommunikation über Standard-Ethernet, welches auch für nicht-sicherheitsbezogene EtherCAT-Kommunikation verwendet wird. Ermöglicht wird dies durch das FSoE-Protokoll (FSoE = FailSafe over EtherCAT).
FSoE bezeichnet eine sicherheitsbezogene Kommunikationsschicht mit der sicherheitsbezogene Prozess- und Parametrierungsdaten zwischen Safety over EtherCAT (FSoE)-Geräten übertragen werden können.
FSoE wurde in Übereinstimmung mit der Norm IEC 61508 entwickelt und ist in der IEC 61784-3 standardisiert. Es erfüllt die Anforderungen bis SIL 3.
Diese Thema enthält folgende Informationen:FSoE-Frames
Das FSoE-Protokoll implementiert sogenannte Safety over EtherCAT-Frames, die auch als sicherheitsbezogene Datencontainer (Safety Container) bezeichnet werden können.
Wie im Bild unten zu sehen ist, sind diese Frames in die Prozessdaten der zyklischen EtherCAT-Kommunikation eingebettet: Sie werden in die zyklischen EtherCAT-PDOs (Prozessdatenobjekte) gemappt.
Ein FSoE-Frame enthält nicht nur sicherheitsbezogene Prozess- und Parametrierungsdaten, sondern auch weitere Informationen (wie z.B. CRCs), anhand derer sich prüfen und sicherstellen lässt, dass die sicherheitsbezogenen Daten korrekt übertragen wurden. Auf zwei Bytes sicherheitsbezogener Daten folgen zwei Bytes CRC über diese Safety-Daten. Die Menge an sicherheitsbezogenen Daten (im Bild unten: 0 bis n) ist durch das Protokoll nicht limitiert. Die Slaves selbst können jedoch eine begrenzte Safety-Datenlänge haben (diese ist in der ESI-Gerätebeschreibung definiert).
Anhand der eindeutigen Connection ID (Conn ID, Verbindungskennung) am Ende eines Frame kann ein Slave erkennen, dass dieser Frame an ihn adressiert ist.
Das Kommando (CMD) am Anfang jedes Frame erlaubt dem FSoE-Master, den adressierten Slave zu steuern und zu überwachen.
Schwarzer Kanal (Black Channel)
Das zugrunde liegende Standard-EtherCAT-Kommunikationsmedium bleibt unverändert und überträgt sowohl sicherheitsbezogene als auch Standard-Daten. Das Transportmedium wird als Schwarzer Kanal (Black Channel) betrachtet, auf dem das FSoE-Protokoll eine sicherheitsbezogene logische Datenverbindung aufsetzt. Auf diese Weise kann eine dezentrale Sicherheitslogik etabliert werden.
Der Schwarze Kanal muss in der Safety-Analyse nicht berücksichtigt werden. Dank dieses Prinzips des Schwarzen Kanals sind bei den beteiligten Geräten (z.B. Buskopplern) keine redundanten EtherCAT-Ports notwendig. Ungeachtet dessen ist je nach gefordertem Safety Integration Level (SIL) dennoch redundante Hardware erforderlich.
Die übergeordnete Standard-Steuerung steuert den Datenaustausch. Sie kann die in den FSoE-Frames übertragenen sicherheitsbezogenen Daten lesen und auswerten. Auf diese Weise ist ein Datenaustausch zwischen der Standard- und der Safety-Applikation möglich.
FSoE-Master-Slaves-Kommunikation
Der FSoE-Master (die Sicherheitssteuerung) kann einen oder mehrere FSoE-Slaves verwalten. Der Master initiiert zu jedem Slave eine separate logische, sicherheitsbezogene Kommunikationsverbindung, die eine eindeutige Kennung (Connection ID) hat. Die Eindeutigkeit der Kennung wird geprüft und muss verifiziert werden, damit die Kommunikation stattfinden kann.
Während der zyklischen Kommunikation sendet der Master FSoE-Master-Frames, die Daten für die sicherheitsbezogenen Ausgänge enthalten. Mit dem Absenden des Frames startet der FSoE-Master den Watchdog-Timer. Dieser Watchdog überwacht die Kommunikationszyklen.
An der Connection ID (die am Ende jedes Frame eingefügt ist) erkennt der adressierte FSoE-Slave, dass dieser Frame für ihn bestimmt ist. Der Slave liest und verarbeitet die im Container enthaltenen sicherheitsbezogenen Daten.
Nach dem Empfang eines gültigen FSoE-Master-Frame sendet der FSoE-Slave einen FSoE-Slave-Frame. Der Slave-Frame enthält die Werte, die der Slave an seinen sicherheitsbezogenen Eingängen gelesen hat. Diese Eingangswerte werden dann vom FSoE-Master empfangen und im Applikationsprogramm der Sicherheitssteuerung verarbeitet. Der Empfang des entsprechenden FSoE-Slave-Frame im Master bestätigt gleichzeitig den Master-Frame und die Übertragung wird als gültig betrachtet.
Danach gilt der Zyklus als abgeschlossen und der Watchdog wird gestoppt. Anschließend generiert der Master einen neuen FSoE-Master-Frame. Empfängt der Master innerhalb des Watchdog-Intervalls keinen gültigen Frame vom Slave, wird ein Fehler gemeldet.
FSoE-Slave-Adressierung
Jeder FSoE-Slave besitzt eine Slave-Adresse, die innerhalb des EtherCAT-Netzwerks eindeutig ist. Diese Slave-Adresse besteht aus 16 Bits, wodurch maximal 65534 Slaves adressiert werden können. (Die Adresse 0xFFFF ist reserviert.)
In PLCnext Engineer wird die Slave-Adresse automatisch vergeben, wenn ein entsprechendes Gerät in die ANLAGE eingefügt wird. Die Adresse kann eingestellt werden, beispielsweise über DIP-Schalter am Gerät oder einen Konfigurationseditor.
Nachdem Sie das Safety over EtherCAT-Netzwerk in der ANLAGE abgebildet haben, müssen Sie sicherstellen, dass die in den Slaves eingestellten Adressen der Adressierung in PLCnext Engineer entsprechen.
Implementierung in PLCnext Engineer
In der ANLAGE ist die FSoE Safety-Applikation durch folgende Knoten repräsentiert:
(Die Nummern in der Liste finden sich in der Beispielabbildung der ANLAGE unten wieder.)
| Hinweis
Zur Bearbeitung der Safety-Applikation müssen Sie im sicherheitsbezogenen Bereich angemeldet sein. |
- (1): Sicherheitssteuerung, die die sicherheitsbezogene Applikation ausführt und den FSoE-Master implementiert.Verfügbare FSoE-bezogene Editoren für den Master:
- 'Cockpit Sichere SPS' - bietet Zugriff auf Befehle zum Steuern und Überwachen und zeigt Diagnoseinformation an.
- 'Einstellungen'-Editor - hier legen Sie fest, welche FSoE-spezifischen Systemvariablen angelegt werden sollen.
Lesen Sie hierzu das Thema "Diagnose FSoE-Systemvariablen - Erzeugung einschalten". - 'Tasks und Events'-Editor - zum Einstellen der Zykluszeit des Safety-Task und der Dauer des Watchdog-Intervalls. Lesen Sie hierzu das Thema "Sicherheitsbezogene SPS-Laufzeitkonfiguration". Die eingestellte Watchdogzeit beeinflusst die maximale Safety-Reaktionszeit (Safety Function Response Time, SFRT).
- FSoE-Slaves unter dem 'EtherCAT'-Knoten.(2): EtherCAT: I/O-Slaves müssen an einen Buskoppler angeschlossen werden. Da der Buskoppler hinsichtlich Safety-Betrachtungen transparent ist, kann ein Standard-Buskoppler verwendet werden. Hier können Standard- und sicherheitsbezogene I/O-Module gemischt werden.Verfügbarer FSoE-bezogener Editor für Slaves: Im Editor 'Sicherheitsbezogene Parameter' können Sie den FSoE-Slave parametrieren.
Hinweis
Sie können Module entweder über den Stationseditor (Editor 'Modulliste' des Buscontroller-Knotens) oder per Drag & Drop einfügen.
Beispiel:
Was möchten Sie tun?
Erzeugung von FSoE-Diagnose-Systemvariablen einschalten
Safety-Reaktionszeit (Safety Function Response Time, SFRT) bestimmen
Parameter der sicherheitsbezogenen Geräte (im Editor 'Sicherheitsbezogene Parameter') bearbeiten