Funktionale Sicherheit über EtherCAT (FSoE): Ein umfassender Überblick

By
4 Minutes Read

Die Integration von sicherheitskritischen Systemen in der Industrieautomation hat mit dem Aufkommen von Functional Safety over EtherCAT (FSoE) einen Paradigmenwechsel vollzogen. Dieses nach IEC 61784-3 standardisierte und für Safety Integrity Level (SIL) 3 zertifizierte Protokoll ermöglicht die gleichzeitige Übertragung von Standard- und sicherheitsrelevanten Daten über ein einziges EtherCAT-Netzwerk. Durch die Einbettung von Sicherheitscontainern in zyklische Prozessdaten macht FSoE eine redundante Verdrahtung überflüssig und vereinfacht Architekturen, die traditionell auf Relaislogik angewiesen sind. Die Einführung von FSoE steht im Einklang mit der Forderung von Industrie 4.0 nach vertikal integrierter Echtzeitkommunikation in intelligenten Fabriken. Jüngste Entwicklungen wie die kompakten E/A-Module von Phoenix Contact und die Mikrocontroller-Lösungen von Renesas unterstreichen die wachsende Bedeutung dieser Technologie für die Industrie. Dieser Beitrag untersucht die technischen Grundlagen von FSoE, die Funktionsmechanismen, die Wettbewerbslandschaft und die und die zukünftige Entwicklung im Kontext der sich entwickelnden industriellen Sicherheitsstandards.

 

Technische Grundlagen der FSoE

Protokollarchitektur und Sicherheitsbehälter

FSoE arbeitet nach dem Prinzip des Black Channel, bei dem das zugrunde liegende Kommunikationsmedium von der Sicherheitszertifizierung ausgeschlossen ist. Sicherheitskritische Daten werden in Sicherheitscontainern gekapselt - strukturierte Frames, die in die Standard-Prozessdatentelegramme von EtherCAT eingebettet sind.

Jeder Container enthält:
  • Process Data Variables (PDVs): Sicherheitsrelevante Ein-/Ausgänge (z. B. Not-Aus) Signale.
  • Frame Counter: Ein sequentiell inkrementierter Wert zur Erkennung von Paketverlusten oder Duplikaten.
  • CRC Checksum: Eine zyklische 32-Bit-Redundanzprüfung gewährleistet die Datenintegrität.

Diese Container durchqueren EtherCAT-Segmente auf transparente Weise und ermöglichen eine sichere Kommunikation in heterogenen Netzwerken, einschließlich Nicht-EtherCAT-Systemen wie einfachem Ethernet oder drahtlosen Verbindungen. So kann beispielsweise ein Sicherheitssignal, das einen Notstopp in einem Maschinenmodul auslöst, über ein Gateway zu einem anderen Modul über eine Standard-Ethernet-Verkabelung weitergeleitet werden, ohne dass die Einhaltung von SIL 3 gefährdet wird.

 

Sicherheitsintegrität und Zertifizierung

Das Design von FSoE entspricht der IEC 61508 und erhielt die TÜV-Zertifizierung für SIL 3-Anwendungen - die höchste Stufe für diskrete Fertigungssysteme. SIL 3 schreibt eine Wahrscheinlichkeit eines gefährlichen Ausfalls pro Stunde (LPFH) zwischen 10-⁷ und 10-⁶ vor und erfordert redundante Mechanismen:

  1. Connection Monitoring: Jedes FSoE-Slave-Gerät validiert den Watchdog-Timer des Masters und gewährleistet so eine zyklische Kommunikation in vordefinierten Intervallen.
  2. Cross-Checking: Sicherheitsparameter wie Stellgliedpositionen werden durch zweikanalige Lesevorgänge (z. B. induktive und kapazitive Sensoren) überprüft.
  3. End-to-End Signatures: Kryptographische Hashes, die den Sicherheitsbehältern beigefügt werden, verhindern Manipulationen während des Transports.

Renesasʼ RX-Mikrocontroller sind ein Beispiel für diesen Ansatz. Sie kombinieren Hardware-Redundanzen (Dualcore-Lockstep) mit FSoE-Protokollstacks, die für SIL 3 vorzertifiziert sind, und verkürzen so die Entwicklungszyklen um bis zu 40 %.

 

Industrielle Notwendigkeit und betriebliche Vorteile

Treibende Faktoren für die Annahme

Der Vorstoß in Richtung FSoE ergibt sich aus den Anforderungen von Industrie 4.0 an die horizontale Integration (Maschine-zu-Maschine-Kommunikation) und vertikale Integration (OT/IT-Konvergenz).

Herkömmlichen festverdrahteten Sicherheitssystemen fehlt die Flexibilität, um sich an dynamische Produktionsänderungen anzupassen, wie z. B. die Neukonfiguration von Montagelinien für kundenspezifische Produkte. FSoE schafft hier Abhilfe:

  • Verringerung des Verdrahtungsaufwands: Ein einziges EtherCAT-Kabel ersetzt relaisbasierte Verriegelungen und senkt die Installationskosten um ~30 %.
  • Ermöglicht modulare Sicherheit: Maschinenbauer wie Phoenix Contact setzen FSoE-konforme E/A-Module ein (z. B. AXL SE FSDI8/3), die eine granulare Sicherheitszonierung ohne Neuverdrahtung ermöglichen.
  • Erleichterung der Diagnose: Integrierte CRC-Prüfungen und Verbindungs-IDs ermöglichen eine vorausschauende Wartung, die eine Verschlechterung der Sicherheitsschaltungen erkennt, bevor es zu Ausfällen kommt.

 

Operativer Arbeitsablauf

Eine typische FSoE-Implementierung umfasst:

  1. Master-Slave-Initialisierung: Der FSoE-Master baut eine Sicherheitssitzung mit jedem Slave auf, tauscht kryptografische Schlüssel aus und synchronisiert Rahmenzähler.
  2. Zyklischer Datenaustausch: Während jedes EtherCAT-Zyklus (≤1 ms) werden Sicherheitscontainer in Prozessdatentelegramme eingefügt. Die Slaves validieren die CRCs und Zähler und lösen bei Unstimmigkeiten Sicherheitsaktionen aus (z. B. Motorabschaltung).
  3. Behandlung von Fehlern: Stellt ein Slave ungültige Daten fest, leitet er einen sicheren Zustandsübergang ein (z. B. Drehmomentabbau bei Antrieben) und protokolliert den Fehler zur Ursachenanalyse.

Dieser Arbeitsablauf gewährleistet deterministische Reaktionszeiten, die für Anwendungen wie die Kollisionsvermeidung von Robotern entscheidend sind, wo Verzögerungen von mehr als 10 ms zu gefährlichen Situationen führen können.

 

Wettbewerbslandschaft und Alternativen

PROFIsafe und CIP-Sicherheit

FSoE konkurriert hauptsächlich mit zwei Protokollen:

  • PROFIsafe: Eine PROFINET-basierte Lösung, die in der Automobil- und Prozessindustrie vorherrscht. Im Gegensatz zu FSoEs containerisiertem Ansatz verwendet PROFIsafe dedizierte Sicherheitstelegramme, die eine separate Bandbreitenzuweisung erfordern.
  • CIP-Sicherheit: Wird über EtherNet/IP eingesetzt und verwendet Producer-Consumer-Modelle, die für harte Echtzeitanwendungen nicht geeignet sind.

Analyse

Kriterium FSoE PROFIsafe CIP Safety
Network Base EtherCAT PROFINET EtherNet/IP
Determinism ≤1 µs jitter ~100 µs jitter Non-deterministic
Topology Daisy-chain, star Line, tree Star
Certification SIL 3 SIL 3 SIL 2

 

Hybride Lösungen

Die HMS Networksʼ Anybus CompactCom 40-Serie ist ein Beispiel für Konvergenz und bietet eine Black-Channel-Schnittstelle, die FSoE, PROFIsafe und CIP Safety transparent über ein einziges Modul tunnelt. Diese Multiprotokoll-Unterstützung verringert die Herstellerabhängigkeit und ermöglicht es OEMs, Sicherheitsarchitekturen an die Präferenzen der Endbenutzer anzupassen.

 

Aktuelle Entwicklungen und künftiger Kurs

Hardware-Innovationen

Die AXL SE-Module von Phoenix Contact in der Version 2024 sind ein Beispiel für den Trend zur Miniaturisierung. Sie bieten acht SIL 3-konforme Eingänge auf einer Breite von 12 mm - 50 % kleiner als frühere Generationen. In ähnlicher Weise integrieren die RXv3-Core-MCUs von Renesas FSoE-Stacks mit Hardware-Beschleunigern, die im Vergleich zu Software-Implementierungen doppelt so schnelle CRC-Berechnungen ermöglichen.

Drahtlose FSoE- und 5G-Integration

Neue Forschungsarbeiten befassen sich mit FSoE über 5G URLLC (Ultra-Reliable Low-Latency Communication) und zielen auf die mobile Robotik in Lagern ab. Vorläufige Versuche der EtherCAT Technology Group zeigen eine Latenz von unter 2 ms über private 5G-Netzwerke, obwohl Jitter eine Herausforderung für die Einhaltung von SIL 3 bleibt.

KI-gesteuerte vorausschauende Sicherheit

Modelle des maschinellen Lernens werden auf die FSoE-Diagnose aufgesetzt, um Ausfälle von Sicherheitskomponenten vorherzusagen. So kann beispielsweise die Analyse der CRC-Fehlerraten im Laufe der Zeit die Verschlechterung der Kabel vorhersagen und einen frühzeitigen Austausch ermöglichen. Erste Anwender wie BMW berichten von einer 22-prozentigen Verringerung der ungeplanten Ausfallzeiten durch solche Systeme.

 

Schlussfolgerung

FSoE hat sich zu einem Eckpfeiler der modernen industriellen Sicherheit entwickelt und bietet deterministische, SIL 3-zertifizierte Kommunikation innerhalb des EtherCAT-Ökosystems. Die containerisierte Architektur und das Black-Channel-Modell bieten eine beispiellose Flexibilität, die sich in protokollübergreifenden Lösungen wie HMSʼAnybus-Modulen widerspiegelt. Während PROFIsafe und CIP Safety in bestimmten Branchen fest verankert sind, positioniert sich FSoE aufgrund seiner Kompatibilität mit neuen Technologien wie 5G, KI und modularen E/A als das Protokoll der Wahl für die adaptiven Fertigungsparadigmen der Industrie 4.0. Zukünftige Fortschritte werden sich wahrscheinlich auf die Verbesserung der drahtlosen Zuverlässigkeit und die Integration von Sicherheitsanalysen in breitere IIoT-Frameworks konzentrieren, was die Rolle von FSoE in der Smart-Factory-Landschaft weiter festigt.

 

 

Quellen
Picture of Rüdiger Klein

Rüdiger Klein

Rüdiger Klein ist geschäftsführender Gesellschafter der Teleconnect und ein Experte für die Entwicklung neuer Produkte mit dreißig Jahren Erfahrung im Marketing und Produktmanagement in der Telekommunikations- und Automobilelektronikbranche. Er ist ein ehemaliger Mitarbeiter von Alcatel Lucent und Panasonic. Er hat einen Abschluss als Elektroingenieur der RWTH Aachen und einen MBA der Cornell University.

Author

Recommended For You