IO-Link Safety je založen na technologii IO-Link a standardizován v rámci mezinárodního standardu IEC 61131-9. Tato norma specifikuje digitální komunikační rozhraní (SDCI) pro bezpečnostní senzory, akční členy a mechatroniky. To rozšiřuje tradiční spínací vstup a výstup rozhraní definované v IEC 61131-2 směrem k zabezpečenému komunikačnímu spojení bod-bod pomocí kódovaného přepínání. Rozšíření o technologii IO-Link Safety pak nově umožňuje cyklickou výměnu i bezpečnostních digitálních vstupních a výstupních procesních dat a acyklickou výměnu parametrů a diagnostických dat mezi hlavní jednotkou "Master" a přidruženými zařízeními "Device". Master pak může být přes bránu připojen k nadřazenému bezpečnostnímu systému již prostřednictvím bezpečnostní průmyslové sběrnice.
Proč vzniklo IO-Link Safety?
Bezpečnostní funkce moderních automatizovaných systémů jsou podle IEC 62061 nebo ISO 13849-1 (viz www.iso.ch) realizovány pomocí bezpečnostních senzorů jako světelných závěsů, bezpečnostních logických řadičů, jako např. FS-PLC (FunctionalSafety-PLC), a bezpečnostních aktuátorů jakými jsou pohony, pneumatické nebo jiné koncové prvky. Tato zařízení si vyměňují údaje o bezpečnostních procesech pomocí některého z bezpečnostních komunikačních protokolů - komunikačního profilu funkční bezpečnosti FSCP (Functional Safety Communication Profile). Bezpečnostní moduly, například bezpečnostní digitální vstupy "FS-DI" na vzdálené jednotce vstupů-výstupů (RIO), umožňují připojení elektronických bezpečnostních zařízení prostřednictvím redundantních signálů, tzv. OSSD („zařízení pro přepínání výstupu“). Pro tyto typy modulů a zařízení však existuje řada více či méně standardizovaných rozhraní s různým více či méně rozšířeným nasazením.
Pro průmyslové sběrnice je již standardizováno více než deset různých FSCP v rámci řady IEC 61784-3-x (viz www.iec.ch), často však jen s regionálním významem. Pro výrobce zařízení fungujících na světovém trhu to pak s sebou nese zvýšené náklady na vývoj komunikačních rozhraní. „Tunelování“ z jednoho FSCP přes základní jednotku IO-Link Safety pak může pomoci od nutné implementace a podpory hned několika modelů zařízení pro různé FSCP. Standardizovaná IO-Link bezpečnostní komunikace jako jednotné standardizované celosvětové rozhraní zejména na úrovni bezpečnostních senzorů a akčních prvků napříč různými výrobci těchto komponent tak může velmi zjednodušit realizace automatizovaných strojů a výrobních linek. Výrobci bezpečnostních zařízení (FS-Device), tedy měřicích či akčních jednotek (jako jsou tedy bezpečnostní senzory, ovládací prvky či naopak bezpečnostní relé, bezpečnostní funkce frekvenčních měničů a elektrických i pneumatických pohonů) se tak mohou plně soustředit jen na bezpečnostní úlohy vykonávané jejich zařízeními.
Univerzální bezpečnostní zařízení FS-Device jsou tak díky univerzálnímu IO-Link Safety protokolu kompatibilní se všemi profily FSCP bezpečnostních sběrnic a již jen stačí, že existuje jen jediná řídicí jednotka FS-Master s daným FSCP. Protože jednotky IO-Link Master pro specifické sběrnice vyvíjejí obvykle specializovaní výrobci, je přirozené, že se tito výrobci i postarají o jejich bezpečnostní verze (FS-Master jednotky). A protože IO-Link Safety také poskytuje standardizované OSSD spínané připojovací rozhraní (OSSDe), lze IO-Link Safety zařízení (FS-Device) připojit i na klasické bezpečnostní dvoustavové vstupy FS-DI (například Safety PLC), čímž se zabrání nutnosti použití široké modelové řady jednotek.
IO-Link Safety je pak podobně jako základní IO-Link velmi zajímavý současně pro kompaktní vzdálené I/O jednotky, protože FS-Master jednotka může podporovat jakýkoli typ FS-Device zařízení, ať už je to senzor, akční člen nebo komplexní mechatronický typ na kterémkoli ze svých komunikačních portů. To umožňuje pro nové typy bezpečnostních aplikací, například místní bezpečnostní PLC v rámci FS-Master jednotky ve spojení s vyšší úrovní bezpečnosti funkce. Navíc je umožněn současný přenos bezpečnostních a klasických nebezpečnostních dat, například lze přenášet informace z HMI panelu obsahující i bezpečnostní nouzový stop. Komunikační podstata typu point-to-point IO-Link Safety tak i snižuje úsilí pro uživatele.
IO-Link Safety jako nadstavba
Většina FSCP sběrnic využívá zásady tzv. „černého kanálu“ (Black channel). Jako nosič se u nich používá standardní sběrnice, do které se však přidá i přenos speciálních typů zpráv obsahujících bezpečností data procesu a přidaný bezpečnostní kód. Účel bezpečnostního kódu je snížit pravděpodobnost chyby v přenosu dat na úroveň požadované příslušnými bezpečnostními normami, jako je IEC 61784-3. Využití a zpracování těchto zpráv se pak provádí pomocí bezpečnostní komunikační vrstvy (SCL), která je umístěna nad existující standardní komunikační stack.
V případě IO-Link Safety protokolu je zabezpečená komunikační vrstva umístěna nad existující komunikační stack IO-Link Master a IO-Link Device. Kromě vlastní bezpečnostní úlohy tato vrstva obsahuje stavový automat pro přijetí a přenos zabezpečených dat (bezpečnostní SPDU – Safety Protocol Data Unit), který zahrnuje již výše zmíněná zabezpečená provozní data a dodatečný zabezpečovací kód. V protokolu se kontroluje včasné přijetí nových dat a zjišťuje se, zda pocházejí od správného vysílajícího zařízení a zda nebyla po cestě změněna. Výměna bezpečnostních procesních dat s FSCP systémem probíhá prostřednictvím brány na straně FS-Master jednotky. Obvykle instance IO-Link SCL vrstvy, vrstvu FSCP a brány lze realizovat jako software v rámci jedné jednotky obsahující redundantní mikrokontroléry. V protokolu se kontroluje včasné přijetí nových dat a zjišťuje se, zda pocházejí od správného vysílajícího zařízení a zda nebyla po cestě změněna.
IO-Link splňuje požadavek cyklického přenosu procesních dat a vztahu mezi odesílatelem a přijímačem prostřednictvím sobě vlastní komunikace typu point-to-point. Neexistuje zde žádné ukládání síťových prvků a povolený bezdrátový přenos mezi portem FS-Master a FS-Device jednotky. Protože bezpečnostní procedury obvykle vyžadují více procesního času při zapnutí jednotky než je běžné maximum povolené doby pro detekci připravenosti jednotky po probuzení, byl v tomto směru základní IO-Link protokol mírně upraven a u FS-Master jednotky se zpozdil postup probuzení, dokud není FS-Device zařízení připraveno. To tento stav indikuje vysláním pulsu připravenosti "Ready pulse". Při každém spuštění portu odešle FS-Master jednotka požadavek “Verify Record” ( „Ověřit záznam"), aby FS-Device zařízení bylo schopno zkontrolovat správnost uložených parametrů, autenticitu (FSCP, číslo portu) a I/O datovou strukturu. Díky tomu může protokol IO-Link Safety používat stejný mechanismus ukládání dat jako standardní IO-Link protokol a případná vadná FS-Device zařízení lze vyměnit bez použití nástrojů jen s vypnutím/zapnutím napájení portu na FS-Masteru bez situace zablokování OSSD výstupů .
Bezpečnostní signální výstupy OSSDe
Bezpečnostní zařízení se dvojitým bezpečnostním spínacím výstupem jsou označovány zkratkou OSSD (Output Switching Sensing Devices). Jejich redundantní signály původně pocházely z reléových výstupů, kde relé byla spínána navzájem antivalentně – to umožňovalo detekovat poruchu kabelu. Když však došlo k přechodu k elektronickým bezpečnostní zařízením, objevily se také ekvivalentně spínané signály, u nichž při ztrátě napájení elektronického modulu antivalentní spínání není možné využít. Proto u nich k detekci poruch slouží krátké, rovnoměrně rozložené testovací pulzy, které jsou zařízením zpětně zaznamenávány a vyhodnocovány.
Pro tento účel IO-Link Safety specifikuje sekundární IO-Link signál na pinu 2 pro druhý redundantní signál společně s primárním signálem na pinu 4. Tato standardizovaná bezpečnostní verze spínaných výstupů se nazývá OSSDe. Bezpečnostní komunikace IO-Link Safety pak využívá linku na pinu 2 a běží na všech třech IO-Link přenosových rychlostech COM1, COM2 a COM3.
Bližší popis IO-Link Safety komunikace
Tři hlavní atributy bezpečnostní komunikace mohou mít vliv na jeho správnou funkci:
- včasnost (data dorazí včas),
- autentičnost (údaje od správného odesílatele),
- integrita (dorazí aktualizovaná a správná data).
Při přenosu zpráv mezi FS-Master a FS-Device zařízením se mohou vyskytnout různé chyby, jako je ztráta zprávy, její zpoždění, poškození apod. Těmito problémy se pak zabývá standard IEC 61784-3 a definuje, jak vypočítat pravděpodobnosti zbytkové chyby za určitých předpokladů. Bezpečnostní opatření musí být proto zvolena tak, aby se pravděpodobnost chyby přenosu dat snížila na požadovanou úroveň. Takto zabezpečená komunikace je pak vhodná pro bezpečnostní funkce až do úrovně bezpečnostní třídy SIL 3 nebo PL e.
Zabezpečení komunikace
Bezpečnostní opatření v rámci IO-Link Safety tak zahrnují:
- číslování zpráv mezi FS-Master a FS-Device jednotkami (FS-Master používá opakující se 3bit. čítač a FS-Device má své vlastní počítadlo synchronizované při spuštění protokolu),
- očekávání času potvrzení hlídaného watchdog časovačem,
- ověřování při spuštění protokolu (FS-Device je připojen k FS-Master přes jedinečné ID a na správný FS-Master port „PortNum“),
- CRC podpis.
Formát komunikace a datové typy
Zprávy od FS-Master i od FS-Device jednotek se skládají ze dvou částí. První část má 4 oddíly bezpečnostních dat SPDU (Safety Protocol Data Unit), druhá volitelná část pak jednu jednotku nezabezpečených dat PDU.
Bezpečnostní první oddíl SPDU pak obsahuje vstupní nebo výstupní bezpečnostní procesní data v závislosti na směru přenosu FS-PDout / FS-PDin. Ty lze kódovat jako BooleanT (bity), IntegerT (16b) nebo IntegerT (32b). Nejvýznamnější oktety a / nebo bity jsou odeslány jako první. Ostatní bity jsou „0“.
IO-Link Safety pak v prvním oddíle definuje dva formáty. První formát je navržen pro krátká procesní data, jako jsou přenos bitových vypínacích signálů vyžadující vysokorychlostní zpracování. Velikost tohoto oddílu může mít maximálně 3 oktety. Stejný oddíl pak v druhém formátu je určen pro delší procesní data, jako měřicí nebo požadované hodnoty. Velikost tohoto oddílu může mít maximálně 25 oktetů.
Další tři oddíly pak vždy obsahují tzv. bezpečnostní kód, kde první (1 oktet) drží číslo portu, o kterém FS-Master ví, nebo jedno FS-Device obdrženo během uvádění do provozu. Druhý oddíl bezpečnostního kódu obsahuje řídicí a stavové informace (1 oktet) pro správu a synchronizování aktivity protokolu a 3-bit. čítače. Třetí oddíl bezpečnostního kódu obsahuje CRC podpis. Pro krátká procesní data se využívá 16-bit. CRC podpis (2 oktety), pro delší procesní data je pak definován 32bitový CRC podpis (4 oktety).
Komunikační služby
Odesílatel a příjemce SPDU (tedy komunikační software FS-Master a FS-Device jednotky) jsou umístěny ve vrstvách nad komunikačním stackem "černého kanálu". Základní části vrstev jsou specifikovány jako stavové automaty ovládající pravidelné cyklické zpracování dat SPDU a výjimek jako je spuštění, vypnutí / zapnutí, CRC podpis. Komunikační vrstva (SCL) pak interaguje s technologickou součástí v FS-Device zařízeních a SCL instancemi s bránou FSCP v případě FS-Master jednotky.
Mezi hlavní služby v rámci FS-Masteru patří výměna procesních dat FS-PDout a FS-PDin. Během spouštění nebo v případě chyb jsou skutečná data procesu nahrazena výchozími bezpečnými daty SDout a SDin. Tyto hodnoty musí být všechny „0“, aby přinutily přijímač přejít do bezpečného stavu, například v režimu bez energie. Mezi služby pro FS-Device jednotky pak patří odpovídající výměna FS-PDin (Safety-PDin) a FS-PDout (Safety-PDout) zpráv a možnost aktivovat a hlásit bezpečnostní data (SD). Doba trvání požadavku na FS-Device zařízení pro potřebnou reakci na požadavek FS-Masteru musí být dostatečně dlouhá, aby mohla být přenesena bezpečnostní komunikací IO-Link (minimálně dva přírůstky počítadla). Diagnostické informace z FS-Device jednotek mohou být v rámci SCL přeneseny pomocí speciálních „SCL Fault“ služeb.
Standardizované rozhraní SMI
Nová technologie ve standardním IO-Link protokolu zavedená společně s IO-Link Safety rozšířením je pak tzv. Standardizované Master rozhraní SMI (Standardized Master Interface). Je to softwarový modul, který zejména ze strany vývojářů usnadňuje implementace IO-Link a IO-Link Safety aplikací do Master jednotek a realizace komunikačních bran na nadřazené sběrnice a FSCP. Navíc také poskytuje podporu jednotné nastavovací softwarové PC aplikace "Master Tool".
SMI v sobě konkrétně specifikuje služby pro následující oblasti:
- Hlavní identifikace
- Správa konfigurace (CM)
- Datové úložiště (DS)
- Acyklická komunikace (čtení / zápis)
- Diagnostika (události)
- Zpracování výměny dat
Některé služby jsou pak rozšíření zejména pro bezpečnostní aplikace IO-Link Safety. V tomto směru služby pro správu konfigurace CM se také starají o autorizaci přístupu a ověřovací záznam a služby pro acyklickou komunikaci poskytují informaci o zapnuté/vypnutém napájení portu. Služby pro podporu výměny procesních dat PDU také podporují výměnu bezpečnostních SPDU.
Model virtuálního Remote I/O kombinování SPDU a PDU dat pak umožňuje efektivní mapování bitů datové struktury do jedné FSCP zprávy nadřazené bezpečnostní sběrnice podobně jako například u bezpečnostního vstupu modulu FS-DI. Více komplexní datové struktury FS-Device jednotek pak mohou být mapovány na samostatné FSCP zprávy.
Konfigurace a ověření komunikace
Po zapnutí napájení nejdříve FS-Device zařízení provádí bezpečnostní autotesty, jejichž výsledkem je připravenost FS-Device zařízení na probuzení. Pak FS-Master zakládá komunikaci a po kontrole parametrizace datové paměti FS-Device zařízení, FS-Master odešle ověřovací záznam pro bezpečnostní kontrolu. FS-Master a FS-Device jednotky pak v případě správného ověření a parametrizace vstoupí do stavu „cyklické výměny procesních dat“ a automaticky se spustí bezpečnostní komunikační vrstva (SCL).
IO-Link Safety protokol pak definuje i několik dalších scénářů (mimo výše popsaného pravidelného spuštění), které jsou popsány v rámci IO-Link Safety specifikace:
-
Provoz OSSDe bezpečnostních výstupů.
-
Uvedení do provozu - testování.
-
Výměna FS-Device zařízení.
-
Odpojení nakonfigurovaných FS-Device zařízení.
Popis IO-Link Safety zařízení se stejně jako u běžného IO-Link zařízení provádí prostřednictvím IODD (IO Device Description) konfiguračního souboru. Ten obsahuje parametry a jejich povolené rozsahy pro konkrétní technologie FS-Device zařízení, jako jsou například bezpečnostní optické závory, laserové skenery, bezdotykové spínače atd.. Zde by však měly nosit předponu „FST“. Uživatel pak případně může během uvádění do provozu a testování upravit hodnoty parametrů uvnitř každého zařízení pomocí nástroje "FS-Master Tool" .
Závěr
IO-Link Safety specifikace má dle mého názoru velkou šanci se masivně uplatnit, alespoň stejně jako standardní IO-Link. Zatímco pro bezpečnostní komunikace se již využívají běžně pro komunikaci mezi bezpečnostními jednotkami, na úrovni připojení datových bezpečnostních senzorů již je situace výrazně komplikovanější. IO-Link Safety tak může dobře tuto mezeru vyplnit a dovolit snadno využívat různé bezpečnostní prvky různých výrobců senzorů i jednotek v rámci celého světa. IO-Link Safety, podobně jako klasický IO-Link, nemá nahradit bezpečnostní sběrnice pro komunikaci mezi PLC a dalšími řídicími jednotkami, ale usnadnit zejména datové napojení bezpečnostních senzorů a aktuátorů na tzv. prvních a posledních metrech, konkrétně do 20 metrů.
Odkazy:
-
Webové stránky IO-Link komunity: https://io-link.com
-
Přímý odkaz na PDF dokument "IO-Link Safety System Description" : https://io-link.com/share/Downloads/At-a-glance/IO-Link_Safety_System_Description.pdf
-
Přímý odkaz na PDF White Paper "IO-Link Safety Integration into FSCP": https://io-link.com/share/Downloads/IO-Link_Integration/IOL-Safety_IntegrationIntoFSCP_10102_V10_Feb19.pdf