Safety-over-EtherCAT : Mise en œuvre de la solution Koenig KPA EtherCAT Master
Applications et systèmes critiques pour la sécurité
Les défauts et erreurs du système causés par un logiciel ou un matériel peuvent entraîner des pertes importantes. Ainsi, les industries chimique, automobile, médicale, ferroviaire, aérospatiale, nucléaire et bien d'autres exigent un niveau extrêmement élevé de sécurité pour leurs systèmes et applications, afin d'éviter ou au moins minimiser les risques, et pour protéger les personnes et l'environnement contre les conséquences négatives de dysfonctionnements ou pannes. A cet effet, les systèmes et les applications sont équipés de boucles de contrôle supplémentaires qui sont spécifiées et certifiées selon des exigences et des normes strictes. L'un des plus célèbres est le niveau d'intégrité de la sécurité (SIL) qui est défini comme un niveau relatif de réduction du risque fourni par une fonction de sécurité et qui spécifie un niveau cible de réduction des risques.
Présentation de Safety-over-EtherCAT (FSoE)
EtherCAT Technology Group (ETG) a développé et introduit Safety-over-EtherCAT (ou Fail-Safe over EtherCAT, FSoE en abrégé) pour permettre la construction de systèmes critiques pour la sécurité et l'application sur la plate-forme EtherCAT. FSoE décrit un protocole pour le transfert de données de sécurité jusqu'à SIL3 entre des dispositifs FSoE. Le protocole est ouvert et indépendant des systèmes de bus sous-jacents, en raison de l'exclusion d'un bus de terrain subordonné. Ce bus transfère des trames FSoE en cycles, à partir des contraintes liées à la sécurité. Cela signifie que le bus de terrain subordonné est considéré comme un canal noir.
Un FSoE Master communique avec un esclave FSoE via un lien unique appelé « FSoE Connection ».
La connexion FSoE requiert que chaque périphérique renvoie son propre nouveau message uniquement à la réception d'un nouveau message à partir du périphérique partenaire. L'état de tout le lien entre FSoE Master et FSoE Slave est surveillé par un temporisateur chien de garde séparé sur les deux appareils, et dans chaque cycle FSoE. Le maître FSoE gère plusieurs connexions FSoE pour prendre en charge la communication avec un certain nombre d'esclaves FSoE.
Architecture d’un système FSoE
La figure 1 représente une architecture simplifiée d'une application ou d'un système avec une boucle de contrôle critique pour la sécurité. En général, KPA EtherCAT Master (de l’éditeur Koenig) fournit un canal de communication commun à tous les utilisateurs. La communication est utilisée comme canal noir pour FSoE, tandis que les autres dispositifs non critiques utilisent le bus de terrain pour l'échange régulier de données avec le maître EtherCAT KPA.
Les défauts et erreurs du système causés par un logiciel ou un matériel peuvent entraîner des pertes importantes. Ainsi, les industries chimique, automobile, médicale, ferroviaire, aérospatiale, nucléaire et bien d'autres exigent un niveau extrêmement élevé de sécurité pour leurs systèmes et applications, afin d'éviter ou au moins minimiser les risques, et pour protéger les personnes et l'environnement contre les conséquences négatives de dysfonctionnements ou pannes. A cet effet, les systèmes et les applications sont équipés de boucles de contrôle supplémentaires qui sont spécifiées et certifiées selon des exigences et des normes strictes. L'un des plus célèbres est le niveau d'intégrité de la sécurité (SIL) qui est défini comme un niveau relatif de réduction du risque fourni par une fonction de sécurité et qui spécifie un niveau cible de réduction des risques.
Présentation de Safety-over-EtherCAT (FSoE)
EtherCAT Technology Group (ETG) a développé et introduit Safety-over-EtherCAT (ou Fail-Safe over EtherCAT, FSoE en abrégé) pour permettre la construction de systèmes critiques pour la sécurité et l'application sur la plate-forme EtherCAT. FSoE décrit un protocole pour le transfert de données de sécurité jusqu'à SIL3 entre des dispositifs FSoE. Le protocole est ouvert et indépendant des systèmes de bus sous-jacents, en raison de l'exclusion d'un bus de terrain subordonné. Ce bus transfère des trames FSoE en cycles, à partir des contraintes liées à la sécurité. Cela signifie que le bus de terrain subordonné est considéré comme un canal noir.
Un FSoE Master communique avec un esclave FSoE via un lien unique appelé « FSoE Connection ».
La connexion FSoE requiert que chaque périphérique renvoie son propre nouveau message uniquement à la réception d'un nouveau message à partir du périphérique partenaire. L'état de tout le lien entre FSoE Master et FSoE Slave est surveillé par un temporisateur chien de garde séparé sur les deux appareils, et dans chaque cycle FSoE. Le maître FSoE gère plusieurs connexions FSoE pour prendre en charge la communication avec un certain nombre d'esclaves FSoE.
Architecture d’un système FSoE
La figure 1 représente une architecture simplifiée d'une application ou d'un système avec une boucle de contrôle critique pour la sécurité. En général, KPA EtherCAT Master (de l’éditeur Koenig) fournit un canal de communication commun à tous les utilisateurs. La communication est utilisée comme canal noir pour FSoE, tandis que les autres dispositifs non critiques utilisent le bus de terrain pour l'échange régulier de données avec le maître EtherCAT KPA.
Figure 1 : Master KPA ETherCAT et FSoE. Architecture du système
Exigences pour l’implémentation FSoE
Les exigences suivantes sont imposées aux éléments d'une application ou d'un système FSoE :
Communication dans une application ou système FSoE
Avec une approche Safety sur EtherCAT, le système de communication repose sur le principe du canal noir, qui n'est pas considéré comme étant sécuritaire. Le système de communication standard EtherCAT utilise un seul canal pour transférer des données standard et critiques (voir figure 2) :
Les exigences suivantes sont imposées aux éléments d'une application ou d'un système FSoE :
- Les périphériques esclaves EtherCAT nécessitant un niveau de SIL doivent être approuvés par un Institut de Certification :
- Maître Safety / automate, e.g.. Maître FSoE
- Esclave Safety, e.g. Esclave FSoE
- La communication doit être sécurisée, selon la spécification FSoE
- Exigences pour le maître EtherCAT :
- Support de la communication esclave vers esclave
- Copie les trames Safety du Master FSoE vers les esclaves FSoE et vice versa
Communication dans une application ou système FSoE
Avec une approche Safety sur EtherCAT, le système de communication repose sur le principe du canal noir, qui n'est pas considéré comme étant sécuritaire. Le système de communication standard EtherCAT utilise un seul canal pour transférer des données standard et critiques (voir figure 2) :
Figure 2 : Approche du canal noir avec des données safety et non-safety sur le même bus
L'approche à canaux noirs permet d'obtenir des données de sécurité et non sécurisées sur le même bus. Le protocole FSoE est implémenté en utilisant une approche de canal noir ; Il n'y a pas de dépendance en matière de sécurité par rapport à l'interface de communication standard.
Conclusion
Malgré l’absence de certification SIL pour KPA EtherCAT Master, cette solution peut être utilisée dans des applications ou des systèmes critiques pour la sécurité comme moyen de transfert de données, quelque-soit le niveau de sureté requis pour les utilisateurs (dispositifs safe et unsafe).
Les solutions ISIT :
Pour vous aider à monter en compétences sur cette technologie et l’appliquer à vos besoins propres, ISIT vous propose une offre complète incluant produits et services :
Conclusion
Malgré l’absence de certification SIL pour KPA EtherCAT Master, cette solution peut être utilisée dans des applications ou des systèmes critiques pour la sécurité comme moyen de transfert de données, quelque-soit le niveau de sureté requis pour les utilisateurs (dispositifs safe et unsafe).
Les solutions ISIT :
Pour vous aider à monter en compétences sur cette technologie et l’appliquer à vos besoins propres, ISIT vous propose une offre complète incluant produits et services :
- Formations
- Conseils en avant-projet
- Prestations : Spécifications, Mise en œuvre, Réalisation
- Produits matériels : Passerelles, Interfaces, PC durcis, Modules embarqués
- Produits logiciels : Piles maître et esclave, Outils d’analyse et de diagnostic
KPA EtherCAT Master : Pile EtherCAT Master conforme Class A et Class B, incluant toutes les extensions de haut niveau (Hot Connect, Redondance, …)
KPA EtherCAT Motion : Librairie pour le motion control sur EtherCAT
KPA EtherCAT Studio : Outil de configuration et de diagnostic pour la mise en œuvre des réseaux EtherCAT
KPA EtherCAT Motion : Librairie pour le motion control sur EtherCAT
KPA EtherCAT Studio : Outil de configuration et de diagnostic pour la mise en œuvre des réseaux EtherCAT
Maurice Lauze - Responsable de la BU Réseaux industriels et Automatismes - mlauze@isit.fr