SICHERHEITSTECHNIK CANOPEN SAFETY CONFIGURATION TOOL Halle 9, Stand C05 Sichere Kommunikation über CANopen: Es geht auch ohne Master Da CANopen ein multimasterfähiges Bussystem für Maschinensteuerungen ist, benötigt ein über CANopen vernetzter Notausschalter nicht unbedingt eine sicherheits-gerichtete Steuerung, um ein Sicherheitsrelais über das Netzwerk zu betätigen. CANopenSafety ist deshalb vor allem für Maschinensteuerungen interessant, die bis zur Sicherheitsklasse 3 ohne redundante Netzwerke auskommen sollen. Für die Sicherheitsklasse 4 fordert die Berufsgenossenschaft eine redundante Busauslegung. Bei dem von der BIA abgenommenen Konzept CANopen-Safety kann ein Notausschalter ohne sicherheits-gerichtete Steuerung mit einem sicherheits-relevanten Aktuator kommunizieren. Um auch die Konfiguration sicherheits-gerichtet durchführen zu können, ist ein entsprechendes Werkzeug erforderlich, wie es Janz Computer in Hannover vorstellt. Dieses Softwaretool ersetzt quasi die Sicherheitssteuerung, verbleibt aber im laufenden Betrieb nicht in der Maschine. Serielle Redundanz sorgt für Kompatibilität zu bestehenden Profilen Prinzipiell dürfen in sicherheitsgerichteten Systemen Einfachfehler nicht zu einem Fehlverhalten führen. Das System muss in einem solchen Falle in den sicheren Zustand gehen. Dies gilt auch für bus-basierende Lösungen. Zu den Fehlern, die das Bussystem erkennen muss, zählen: Wiederholung von Nachrichten Verlust von Nachrichten Einfügung von Nachrichten Falsche Abfolge von Nachrichten Nachrichtenverfälschung Verzögerung von Nachrichten. Die Verzögerung von Nachrichten muss durch ein Time-out-Mechanismus erkannt werden. Für die Erkennung der anderen Fehlerarten erlaubt der BIA-Prüfgrundsatz verschiedene Maßnahmen, darunter auch die serielle Redundanz mit Kreuzvergleich, für die sich die CiA entschieden hat. Dadurch lassen 78 sich die bereits vorhandenen Geräteprofile unverändert weiter nutzen und der Implementierungsaufwand bleibt gering. Die Alternativen wie zusätzlicher CRC oder laufende Nummern hätten im CAN-Datenfeld realisiert werden müssen. Damit wären die CANopen-Geräteprofile nicht mehr kompatibel gewesen. Die serielle Redundanz, das heißt die zweimalige Übertragung eines Datums, quadriert die Restwahrscheinlichkeit der implementierten Fehlererkennungs-Mechanismen (CRC-Fehler, Acknowledge-Fehler, Bitfehler, Stuffbit-Fehler und Formatfehler) des Standard-CAN-Protokolls. Die doppelte Übertragung eines sicherheits-relevanten Datums erfolgt über zwei CAN-Telegramme mit Identifiern, die sich in mindestens zwei Bits unterscheiden. Der Dateninhalt des ersten Telegramms wird bitweise invertiert und im zweiten Telegramm übertragen. Die beiden Telegramme werden in CANopen als sicherheits-relevantes Datenobjekt (SRDO) bezeichnet. Eine SRDOÜbertragung ist nur dann erfolgreich, wenn der Empfänger beide Telegramme korrekt empfangen hat und auch die Dateninhalte nach einer Rückkonvertierung noch übereinstimmen. SRDOs sind im CANopen-Objektverzeichnis beschrieben und haben hochpriore DefaultIdentifierwerte. Multi-Master-Betrieb durch SRDO-Linking In einem CANopen Netzwerk sind maximal 32 sicherheits-relevante, sendende Geräte zulässig. Defaultmäßig sind 64 sicherheits-relevante Geräte möglich (je 32 mit einem Sende- und Empfangs-SRDO). Die Übertragung der sicherheits-relevanten Daten erfolgt default-mäßig über einen zentralen Knoten (Master). Unterstützen die Slave-Knoten jedoch SRDO-Linking, lassen sich beliebige Kommunikationsbeziehungen konfigurieren – d. h. ein echter Multimaster-Betrieb ist möglich. Auch die Anzahl der SRDOs unterliegt dann keiner Beschränkung. Somit kann in der Praxis ein Notausschalter direkt einen oder mehrere Antriebe stillsetzen, ohne Umweg über eine sicherheits-gerichtete Steuerung. Dies reduziert die Kosten, insbesondere in Maschinen, die nur wenige sicherheits-relevante Daten benötigen. Ein typisches Beispiel ist eine Schutztür, bei der im geöffneten Zustand alle Antriebe aus Sicherheitsgründen stillstehen müssen. Ein SRDO wird immer periodisch gesendet, das sich über den Parameter Refresh-Time im CANopenObjektverzeichnis konfigurieren lässt. Bei einem Empfangs-SRDO entspricht dieser Wert der Safeguard-Zeit, nach deren Ablauf der Teilnehmer in den sicheren Zustand geht, da er einen Ausfall des zugehörigen Senders vermutet. SRDOs sind nur im Netzzustand ’Operational‘ übertragbar. Die Konfiguration von sicherheits-relevanten Teilnehmern ist nur im Zustand ’Pre-Operational‘ erlaubt. Um die Reaktionszeit eines Systems zu erhöhen, ist in dem CANopen-Framework für sicherheitsrelevante Datenübertragung auch ein ’Global Failsafe Command (GFC)‘ definiert. Dieses Objekt besteht ebenfalls aus zwei CAN-Telegrammen mit den hochprioren Identifiern 1 sowie 2. Das GFC ist gültig, wenn nur eines empfangen wurde. Da die GFC Telegramme keine Daten enthalten, können alle Teilnehmer dieses Objekt senden. Allerdings muss der auslösende Teilnehmer das eigentliche SRDO nachliefern. Vorprogrammierte CAN-Module, die dem Gerätehersteller die Entwicklung von sicherheitsrelevanten Busankoppelungen erleichtern, werden Ende des Jahres auf den Markt kommen. Erste CANopen-Geräte, die dem Sicherheitsprofil CiA DSP-304 entsprechen, sind auf der Hannover-Messe Industrie 2001 zu sehen. Bernstein, IFM und Groupe Schneider waren an der Definition des Standards aktiv beteiligt. Holger Zeltwanger, Geschäftsführer der CAN in Automation Vereinigung, in Erlangen 778 CANopen-Safety iee 46. Jahrgang 2001, Nr. 3
© Copyright 2025 ExpyDoc
![[174 kB/] - Bachmann electronic GmbH](http://s1.expydoc.com/store/data/005672203_1-c7ee9d999265f381caf96cab85109475-250x500.png)
