5

5 PROFINET IO

Auflagen für den sicheren Betrieb von PROFIsafe

Dies ist die Worst-Case-Reaktionszeit eines F-Output-Devices oder F-Hosts für

• Ausgabe empfangener Prozesswerte an einem physikalischen Ausgang.

• Ansteuern der physikalischen Ausgänge nach Ablaufen von F_WD_Time

• Deaktivieren der physikalischen Ausgänge bei Geräteausfall

Bei Ablauf der F_WD_TIME reagiert die Sicherheitssteuerung ohne Fehler spätestens nach 2 × WDZ − CPU.

• Wenn der F-Host/F-Device unmittelbar vor dieser Reaktion ausfällt, so werden bei der Sicherheitssteuerung nach WDZ − CPU die Ausgänge energielos.

• Nimmt man nur einen Fehler an, so kann 1 × WDZ − CPU von MaxDataAgeOut subtrahiert werden.

5. T u

ist das Minimum von DATin, DATout und WDZ − CPU. Theoretisch kann man für DATin und DATout jeweils die Hälfte ansetzen, dazu muss der Hersteller jedoch spezifiziert haben, mit welcher Ungenauigkeit das Device die F_WD_Time überwacht. Falls das Device zyklisch arbeitet, dann ist DAT= 2 × max. Zyklus des Devices.

6. F_WD_TIME, siehe Kapitel "F_WD_Time (PROFIsafe Watchdog-Zeit)".

5.3

5.3.1

Auflagen für den sicheren Betrieb von PROFIsafe

Adressierung

Das PROFIsafe-Netzwerk entspricht bei SEW-EURODRIVE dem PROFINET-Ethernet-Netzwerk, über das die PROFIsafe-Nachrichten übertragen werden können. Als

Netzwerk ist hier ein logisches Netzwerk gemeint, dass sich auch über mehrere physikalische Teilnetze erstrecken kann.

Eine geeignete Netzwerktrennung für PROFIsafe liegt vor, wenn es nicht möglich ist, dass PROFIsafe-Nachrichten die Netzwerktrennung überwinden können. Dies ist zum

Beispiel dann der Fall, wenn ein Router auf IP-Basis verwendet wird und die Netzwerke an unterschiedlichen Ethernet-Interfaces des Routers angeschlossen sind.

Eine Netzwerktrennung für PROFIsafe ist nicht gegeben, wenn zum Beispiel die Netzwerke über Ein-Port-Router, Switches, Hubs oder Ethernet-Bridges verbunden werden.

Auch wenn managebare Switches verwendet werden und die PROFIsafe-Netzwerke zum Beispiel durch Port-Based-VLANs getrennt sind, sollte dennoch eine Eineindeutigkeit der Adressierung angestrebt werden. Dies verhindert, das zum Beispiel bei

Wartungsarbeiten oder Erweiterungen versehentlich Verbindungen zwischen

PROFIsafe-Netzwerken hergestellt werden.

Folgende Punkte zur Adressierung von PROFIsafe-Geräten sind einzuhalten:

• Es muss sichergestellt werden, dass die F-Adressen der PROFIsafe-Geräte/Module in einem PROFIsafe-Netzwerk eineindeutig sind.

• Zur Adressierungssicherheit wird weiterhin empfohlen, die F-Adressen auch bei getrennten PROFIsafe-Netzwerken eineindeutig zu wählen.

46

Systemhandbuch – Dezentrale Sicherheitssteuerung MOVISAFE ® HM31

PROFINET IO

Auflagen für den sicheren Betrieb von PROFIsafe

5

• Bei der Inbetriebnahme und bei Änderungen der Sicherheitsfunktionen muss überprüft werden, dass die Sicherheitsfunktion über PROFIsafe hinweg die richtigen

Ein- und Ausgänge der richtigen PROFIsafe-Geräte nutzt.

• Die PROFIsafe F-Module sind so zu konfigurieren (z. B. durch Vergabe einer geeigneten F-Adresse oder F_WD_Time), dass in einem PROFIsafe-Netzwerk F-Module gleicher Input- und gleicher Output-Datenlänge unterschiedliche CRC1-Signaturen haben. Der Anwender kann den CRC1 in SILworX ® ablesen.

Dies ist dann auf jeden Fall für die betroffenen F-Module gewährleistet, wenn in einem PROFIsafe-Netzwerk nur ein F-Host genutzt wird und die F-Parameter der F-

Module in einem PROFIsafe-Netzwerk sich nur in der F-Adresse unterscheiden.

Damit nicht versehentlich eine gleiche CRC1-Signatur erzeugt wird, muss darauf geachtet werden, dass zum Beispiel die Parameter F_WD_Time und

F_Prm_Flag1/2 für alle F-Module gleich sind und die F-Module keinen i-Par-CRC verwenden.

Risiko von PROFIsafe-Geräten mit gleicher Input- und Output-Datenlänge

PROFIsafe-Geräte dürfen nur betrieben werden, wenn die F-INPUT-Datenlänge ungleich der F-OUTPUT-Datenlänge derselben PROFIsafe-Verbindung ist. Andernfalls könnten Adressierungsfehler der Standardkomponenten und/oder der Standardübertragungstechnik von PROFIsafe unentdeckt bleiben und zu sicherheitsgerichtetem

Fehlverhalten führen.

Bei SEW F-Modulen, die als Teil der Sicherheitssteuerung konfiguriert werden, müssen die Längen von F-Input und F-Output unterschiedlich gewählt werden. Um das Risiko einer sicherheitsgerichteten Fehlfunktion vorzubeugen, nur F-Input oder F-Output

Module verwenden. Keine F-Input-/-Output-Module verwenden!

5.3.2

Netzwerkaspekte

Das für die Übertragung von PROFIsafe-Nachrichten verwendete Netzwerk muss eine ausreichende Verfügbarkeit und Übertragungsqualität aufweisen.

HINWEIS

Erkennt PROFIsafe eine verminderte Übertragungsqualität, die von den Standard-

übertragungseinrichtungen (Ethernet) nicht erkannt wird, erfolgt die Sicherheitsreaktion.

Nach einer Sicherheitsreaktion auf Grund verminderter Übertagungsqualität, müssen die Probleme beseitigt werden, um wieder eine ausreichende Übertragungsqualität zu gewährleisten. Erst nach den dazu erforderlichen Maßnahmen darf die Quittierung für den Wiederanlauf von PROFIsafe ausgelöst werden. Diese Quittierung erfolgt durch das Signal „Operator-Acknowledge“ oder „Reset“.

HINWEIS

„Operator-Acknowledge“ und „Reset“ dürfen nur genutzt werden, wenn keine gefährlichen Zustände mehr existieren.

Ein PROFIsafe-Netzwerk muss vor unzulässigen Eingriffen (DoS, Hacker, ...) geschützt werden. Die Maßnahmen sind mit der überwachenden Behörde abzustimmen.

Dies hat besondere Relevanz, wenn Wireless-Techniken zur Übertragung eingesetzt werden. Für weitere Informationen, siehe PROFIsafe Specification V2.5c Tabelle 23 und Tabelle 24.

Verfügbarkeit gegenüber eingefügten Nachrichten

Systemhandbuch – Dezentrale Sicherheitssteuerung MOVISAFE ® HM31

47