Temps de lecture : 8 minutes
Au sommaire :
- Applications et systèmes critiques pour la sécurité
- Présentation de Safety-over-EtherCAT (FSoE)
- Architecture d’un système FSoE
- La sécurité sur EtherCAT permet des architectures plus simples et plus flexibles qu'avec la logique de relais.
- Le conteneur de sécurité est intégré dans les données de processus de la communication cyclique.
- Principe Black Channel : l'interface de communication standard peut être utilisée.
- Exigences pour l’implémentation FSoE
- Les solutions ISIT
Applications et systèmes critiques pour la sécurité
Les défauts et erreurs du système causés par un logiciel ou un matériel peuvent entraîner des évènements dangereux et des pertes importantes. Ainsi, les industries chimique, automobile, médicale, ferroviaire, aérospatiale, nucléaire et bien d'autres exigent un niveau extrêmement élevé de sécurité pour leurs systèmes et applications, afin d'éviter ou au moins minimiser les risques, et pour protéger les personnes et l'environnement contre les conséquences négatives de dysfonctionnements ou pannes. A cet effet, les systèmes et les applications sont équipés de boucles de contrôle supplémentaires qui sont spécifiées et certifiées selon des exigences et des normes strictes. L'un des plus célèbres est le niveau d'intégrité de la sécurité (SIL) de la norme générique IEC61508 qui est défini comme un niveau relatif de réduction du risque fourni par une fonction de sécurité et qui spécifie un niveau cible de réduction des risques (probabilité de défaillance par heure – « pfh »).
Lors de la mise en place d’une architecture système décentralisée, il convient de prendre en considération les aspects communication qui doivent également répondre à des niveau de sécurité si ils transportent des données qui sont utilisées par les fonctions de sécurité. Une norme est d’ailleurs associée à cet aspect, la norme IEC61784-3.
Lors de la mise en place d’une architecture système décentralisée, il convient de prendre en considération les aspects communication qui doivent également répondre à des niveau de sécurité si ils transportent des données qui sont utilisées par les fonctions de sécurité. Une norme est d’ailleurs associée à cet aspect, la norme IEC61784-3.
Présentation de Safety-over-EtherCAT (FSoE)
EtherCAT Technology Group (ETG) a développé et introduit Safety-over-EtherCAT (ou FailSafe over EtherCAT, FSoE en abrégé) pour permettre la construction de systèmes critiques pour la sécurité sur la plate-forme EtherCAT. FSoE décrit un protocole pour le transfert de données de sécurité jusqu'au niveau SIL3 entre des dispositifs FSoE. Le protocole est ouvert et indépendant des systèmes de bus sous-jacents, en raison de l'exclusion d'un bus de terrain subordonné (mécanisme de « Back Channel »). Cette extension du protocole utilise le réseau EtherCAT standard pour transférer cycliquement des messages Safety contenant les données critiques.
Le protocole FSoE est basé sur une architecture comprenant a minima un « FSoE Master » qui va interagir avec un ou plusieurs « esclaves FSoE » via des communications point à point en créant un lien unique avec chaque esclave FSoE appelé « FSoE Connection ».
La connexion FSoE requiert que chaque périphérique renvoie son propre nouveau message uniquement à la réception d'un nouveau message à partir du périphérique partenaire. L'état des liens entre FSoE Master et FSoE Slave est surveillé bilatéralement via contrôle des temps de cycle (Watchdog timeout).
Le protocole FSoE est basé sur une architecture comprenant a minima un « FSoE Master » qui va interagir avec un ou plusieurs « esclaves FSoE » via des communications point à point en créant un lien unique avec chaque esclave FSoE appelé « FSoE Connection ».
La connexion FSoE requiert que chaque périphérique renvoie son propre nouveau message uniquement à la réception d'un nouveau message à partir du périphérique partenaire. L'état des liens entre FSoE Master et FSoE Slave est surveillé bilatéralement via contrôle des temps de cycle (Watchdog timeout).
Architecture d’un système FSoE
Les systèmes de communication modernes réalisent non seulement le transfert déterministe des données de commande, mais ils permettent également le transfert de données de commande critiques pour la sécurité via le même support.
EtherCAT utilise à cet effet le protocole Safety over EtherCAT (FSoE = FailSafe over EtherCAT) et fournit ainsi :
- Un système de communication unique pour les données de contrôle et de sécurité
- La possibilité de modifier et d'étendre de manière flexible l'architecture du système de sécurité
- Des solutions pré-certifiées pour simplifier les applications de sécurité
- Des capacités de diagnostic puissantes pour les fonctions de sécurité
- Une intégration transparente des fonctions de sécurité dans la conception de la machine
- La possibilité d'utiliser les mêmes outils de développement pour les applications standard et de sécurité
La sécurité sur EtherCAT permet des architectures plus simples et plus flexibles qu'avec la logique de relais.
La technologie de sécurité EtherCAT FSoE, conçue en accord avec la norme IEC61508, est approuvée par TÜV Süd Rail et est normalisée dans IEC61784-3 (et plus particulièrement 61784-3-12). Le protocole convient aux applications de sécurité avec un niveau d'intégrité de sécurité jusqu'à SIL 3.
Avec Safety over EtherCAT et la technologie « Black Channel » (Canal noir), le système de communication représenté par la partie EtherCAT standard fait partie du canal noir, qui n'est pas considéré comme élément de la sécurité.
Le principal avantage réside dans le fait qu’il n’est donc pas nécessaire de certifier les éléments EtherCAT ni le protocole lui-même, permettant également de simplifier les architectures matérielles/logicielles des composants intégrés.
Avec Safety over EtherCAT et la technologie « Black Channel » (Canal noir), le système de communication représenté par la partie EtherCAT standard fait partie du canal noir, qui n'est pas considéré comme élément de la sécurité.
Le principal avantage réside dans le fait qu’il n’est donc pas nécessaire de certifier les éléments EtherCAT ni le protocole lui-même, permettant également de simplifier les architectures matérielles/logicielles des composants intégrés.
Les trames Safety over EtherCAT (datagrammes), appelées conteneurs de sécurité, contiennent des données de processus critiques pour la sécurité et des informations supplémentaires utilisées pour sécuriser ces données. Les conteneurs de sécurité sont transportés de manière identique aux autres données. La sécurité du transfert de données ne dépend pas de la technologie de communication sous-jacente et n'est pas limitée à EtherCAT ; les conteneurs de sécurité peuvent voyager à travers des systèmes de bus de terrain différents, Ethernet ou des technologies similaires, et peuvent utiliser des câbles en cuivre, des fibres optiques et même des connexions sans fil.
Le conteneur de sécurité est intégré dans les données de processus de la communication cyclique.
Grâce à cette flexibilité, la connexion en toute sécurité des différentes parties de la machine devient plus simple. Le conteneur de sécurité est acheminé à travers les différents contrôleurs et traité dans les différentes parties de la machine. Ainsi, des fonctions d'arrêt d'urgence pour toute une machine ou l'arrêt de parties ciblées d'une machine sont facilement possibles, même si les parties de la machine sont couplées à d'autres systèmes de communication (par ex. Ethernet).
La mise en œuvre du protocole FSoE dans un appareil nécessite peu de ressources et donc apporter un haut niveau de performance et, par conséquent, des temps de réaction courts. Dans les industries de la robotique, il existe des applications qui utilisent FSoE pour des applications de contrôle de mouvement sécurisées à une fréquence de 8 kHz (125µs).
La mise en œuvre du protocole FSoE dans un appareil nécessite peu de ressources et donc apporter un haut niveau de performance et, par conséquent, des temps de réaction courts. Dans les industries de la robotique, il existe des applications qui utilisent FSoE pour des applications de contrôle de mouvement sécurisées à une fréquence de 8 kHz (125µs).
Principe Black Channel : l'interface de communication standard peut être utilisée.
Avec l'approche du canal noir, même la concaténation des sous-systèmes de la machine est possible. Les datagrammes Safety over EtherCAT sont acheminés via la voie de communication standard au niveau de la gestion de processus, par exemple via le protocole d'automatisation EtherCAT (EAP).
Communication des données de sécurité à l'échelle de l'usine via le protocole
Exigences pour l’implémentation FSoE
Les exigences suivantes sont imposées aux éléments d'une application ou d'un système FSoE :
De plus, le transport n'étant pas impliqué dans la communication sécurisée (principe du canal noir), il n'est pas nécessaire d’obtenir une certification safety pour le maître ou l’esclave EtherCAT si l’implémentation est correctement réalisée (Ségrégation des parties sécurisées/Non-Sécurisées).
- Les périphériques esclaves EtherCAT nécessitant un niveau de SIL doivent être approuvés à plusieurs niveau :
- Certification EtherCAT standard (via ETG)
- Certification SIL (via autorité de certification)
- Certification Safety over EtherCAT (via ETG)
- Exigences pour le maître EtherCAT :
- Support de la communication esclave vers esclave
- Copie les trames Safety du Master FSoE vers les esclaves FSoE et vice versa
De plus, le transport n'étant pas impliqué dans la communication sécurisée (principe du canal noir), il n'est pas nécessaire d’obtenir une certification safety pour le maître ou l’esclave EtherCAT si l’implémentation est correctement réalisée (Ségrégation des parties sécurisées/Non-Sécurisées).
Les solutions ISIT
Membre actif de l’ETG (EtherCAT Technologies Group), ISIT est à même de vous aider à monter en compétences sur cette technologie et l’appliquer à vos besoins propres. ISIT vous propose une offre complète incluant produits et services :
- Formations EtherCAT
- Conseils en avant-projet
- Prestations : Spécifications, Mise en œuvre, Réalisation
- Produits matériels : Passerelles, Interfaces, PC durcis, Modules embarqués
- Produits logiciels : Piles maître et esclave /Safety, Outils d’analyse et de diagnostic