Safety-over-EtherCAT : Comment sécuriser votre plateforme EtherCAT

Temps de lecture : 8 minutes

Au sommaire :

Les défauts et erreurs du système causés par un logiciel ou un matériel peuvent entraîner des évènements dangereux et des pertes importantes. Ainsi, les industries chimique, automobile, médicale, ferroviaire, aérospatiale, nucléaire et bien d'autres exigent un niveau extrêmement élevé de sécurité pour leurs systèmes et applications, afin d'éviter ou au moins minimiser les risques, et pour protéger les personnes et l'environnement contre les conséquences négatives de dysfonctionnements ou pannes. A cet effet, les systèmes et les applications sont équipés de boucles de contrôle supplémentaires qui sont spécifiées et certifiées selon des exigences et des normes strictes. L'un des plus célèbres est le niveau d'intégrité de la sécurité (SIL) de la norme générique IEC61508 qui est défini comme un niveau relatif de réduction du risque fourni par une fonction de sécurité et qui spécifie un niveau cible de réduction des risques (probabilité de défaillance par heure – « pfh »).

Lors de la mise en place d’une architecture système décentralisée, il convient de prendre en considération les aspects communication qui doivent également répondre à des niveau de sécurité si ils transportent des données qui sont utilisées par les fonctions de sécurité. Une norme est d’ailleurs associée à cet aspect, la norme IEC61784-3.

EtherCAT Technology Group (ETG) a développé et introduit Safety-over-EtherCAT (ou FailSafe over EtherCAT, FSoE en abrégé) pour permettre la construction de systèmes critiques pour la sécurité sur la plate-forme EtherCAT. FSoE décrit un protocole pour le transfert de données de sécurité jusqu'au niveau SIL3 entre des dispositifs FSoE. Le protocole est ouvert et indépendant des systèmes de bus sous-jacents, en raison de l'exclusion d'un bus de terrain subordonné (mécanisme de « Back Channel »). Cette extension du protocole utilise le réseau EtherCAT standard pour transférer cycliquement des messages Safety contenant les données critiques.

Le protocole FSoE est basé sur une architecture comprenant a minima un « FSoE Master » qui va interagir avec un ou plusieurs « esclaves FSoE » via des communications point à point en créant un lien unique avec chaque esclave FSoE appelé « FSoE Connection ».

La connexion FSoE requiert que chaque périphérique renvoie son propre nouveau message uniquement à la réception d'un nouveau message à partir du périphérique partenaire. L'état des liens entre FSoE Master et FSoE Slave est surveillé bilatéralement via contrôle des temps de cycle (Watchdog timeout).

Les systèmes de communication modernes réalisent non seulement le transfert déterministe des données de commande, mais ils permettent également le transfert de données de commande critiques pour la sécurité via le même support.

La technologie de sécurité EtherCAT FSoE, conçue en accord avec la norme IEC61508, est approuvée par TÜV Süd Rail et est normalisée dans IEC61784-3 (et plus particulièrement 61784-3-12). Le protocole convient aux applications de sécurité avec un niveau d'intégrité de sécurité jusqu'à SIL 3.

Avec Safety over EtherCAT et la technologie « Black Channel » (Canal noir), le système de communication représenté par la partie EtherCAT standard fait partie du canal noir, qui n'est pas considéré comme élément de la sécurité. 

Le principal avantage réside dans le fait qu’il n’est donc pas nécessaire de certifier les éléments EtherCAT ni le protocole lui-même, permettant également de simplifier les architectures matérielles/logicielles des composants intégrés. 

Avec l'approche du canal noir, même la concaténation des sous-systèmes de la machine est possible. Les datagrammes Safety over EtherCAT sont acheminés via la voie de communication standard au niveau de la gestion de processus, par exemple via le protocole d'automatisation EtherCAT (EAP).

Les exigences suivantes sont imposées aux éléments d'une application ou d'un système FSoE :

• Les périphériques esclaves EtherCAT nécessitant un niveau de SIL doivent être approuvés à plusieurs niveau :
• Certification EtherCAT standard (via ETG)
• Certification SIL (via autorité de certification)
• Certification Safety over EtherCAT (via ETG)

• Exigences pour le maître EtherCAT :
• Support de la communication esclave vers esclave
• Copie les trames Safety du Master FSoE vers les esclaves FSoE et vice versa

Note : Etant donné l’architecture FSoE, le maitre Safety n’est pas nécessairement le maitre EtherCAT.

De plus, le transport n'étant pas impliqué dans la communication sécurisée (principe du canal noir), il n'est pas nécessaire d’obtenir une certification safety pour le maître ou l’esclave EtherCAT si l’implémentation est correctement réalisée (Ségrégation des parties sécurisées/Non-Sécurisées).

Membre actif de l’ETG (EtherCAT Technologies Group), ISIT est à même de vous aider à monter en compétences sur cette technologie et l’appliquer à vos besoins propres. ISIT vous propose une offre complète incluant produits et services :

• Formations EtherCAT
• Conseils en avant-projet
• Prestations : Spécifications, Mise en œuvre, Réalisation
• Produits matériels : Passerelles, Interfaces, PC durcis, Modules embarqués
• Produits logiciels : Piles maître et esclave /Safety, Outils d’analyse et de diagnostic