Funktionale Sicherheit

Sicher abschalten über IO-Link Safety

17. Mai 2018, 9:25 Uhr | Wolfgang Stripf

Fortsetzung des Artikels von Teil 2

Die Safety-Kommunikation

Das Black-Channel-Prinzip
Bild 3: Das ‚Black Channel‘-Prinzip: IO-Link Safety benutzt die unver­änderte IO-Link Standardkommunikation als Transportmittel für seine gesicherten ­Prozessdaten zwischen der jeweiligen FS-Device-Technologie und dem Feldbus-Gateway (FSCP).
© Profibus Nutzerorganisation

Für den Kommunikationsbetrieb hat IO-Link Safety das bewährte ‚Black Channel‘-Prinzip gemäß Bild 3 gewählt. Das heißt: Auf den existierenden Kommunikationsstack des IO-Link-Masters (kurz Master) und des IO-Link-Devices (kurz Device) wird eine sichere Kommunikationsschicht aufgesetzt. Diese Schicht besteht neben einer Verwaltung aus einer Protokollzustandsmaschine für den Empfang und den Versand von sicheren Nachrichten (Safety PDU), die aus den sicheren Prozessdaten und einem zusätzlichen Sicherungscode bestehen. Das Protokoll ist verantwortlich für die Überprüfung des rechtzeitigen Empfangs neuer Daten, die vom korrekten Absender stammen und unverfälscht sein müssen.

IO-Link Safety kennt zwei Protokoll­formate: Ein Format ist für kleine Datenmengen bis maximal drei Oktett mit ­entsprechend kurzem Sicherungscode gedacht, das andere für maximal 25 Oktett mit längerem Sicherungscode. Bild 3 zeigt zudem die Verbindung der IO-Link-Safety-Kommunikationsschicht des FS-Masters mit der übergeordneten FSCP-Schicht des Feldbusses. Was die Realisierung betrifft, können die beiden Schichten als Software zum Beispiel in einer redundanten Einheit realisiert ­werden.

Anbieter zum Thema

zu Matchmaker+
4_Standardisierte Masterschnittstelle
Bild 4: Die standardisierte Masterschnittstelle sorgt durch wohldefinierte Dienste für ein einheitliches FS-Master-Verhalten.
© Profibus Nutzerorganisation

Im Laufe des vergangenen Jahres kamen Forderungen auf, das Verhalten der IO-Link-Master besser zu harmonisieren und den Betrieb von Mastern unterschiedlicher Hersteller an einem Master-Tool zuzulassen. Als IO-Link vor etlichen Jahren entworfen und spezifiziert wurde, dominierten spezielle Feldbusse und es gab nur wenige Busse auf Basis von Ethernet. Eine harmonisierte Lösung konnte damals aus Mangel an ‚Übersichtswissen‘ nicht angegangen werden. Dies ist heute anders: Ethernet-basierte Feldbusse sind inzwischen die Regel und Erfahrungen beim ‚Andocken‘ von IO-Link an Feldbusse liegen inzwischen vor.

Bild 4 zeigt die obersten Schichten eines FS-Masters, bestehend aus dem Konfigurations-Manager, der Parameter-Datenhaltung, der azyklischen Kommunikation, der Diagnose-Einheit und dem zyklischen Prozessdatenaustauschs. Die standardisierte Masterschnittstelle – kurz SMI – spezifiziert standardisierte Dienste zu jeder dieser Einheiten, die vom Gateway aufrufbar sind. Das Gateway sorgt für die Anpassung an die jeweiligen Nutzerprotokolle. Zyklische Prozessdaten werden vom IO-Link Safety Protokoll zum Beispiel in das FSCP eines Feldbusses ab­gebildet und umgekehrt (‚Mapping‘ genannt). Azyklische Daten gelangen vom und zum FS-Master-Tool über eine IO-Link-zu-UDP-Umsetzung (User-Defined-Protokoll). Für das SMI sind die einzelnen Protokoll-Teilnehmer ‚Clients‘, die es zu verwalten gilt. Die Koordinierung von Zugriffen dieser Clients auf das SMI obliegt dem Gateway.

IO-Link Safety musste dieses SMI erweitern. So etwa beim Konfigurationsmanager wegen der zusätzlichen sicheren Parameter der Protokollzustandsmaschine (zum Beispiel Überwachungszeit). Eine Spezialität bildet der Splitter/Composer beim zyklischen Prozessdatenaustausch. Hier erfolgt die Abspaltung der Safety-PDU von den nicht sicherheitsbezogenen Prozessdaten in einer empfangenen IO-Link-Nachricht, beziehungsweise die Zusammensetzung vor dem Versand.

Kurzum: Das SMI ist für IO-Link Safety von essenzieller Bedeutung. Denn durch die nun detaillierten Festlegungen beim FS-Master lassen sich die Sicherheitsbeurteilungen von der Implementierungsebene auf die Spezifikationsebene vorverlegen und die Implementierungen werden wesentlich einfacher.


  1. Sicher abschalten über IO-Link Safety
  2. Warum IO-Link Safety?
  3. Die Safety-Kommunikation
  4. Development Kit oder Technologie-­Provider?

Verwandte Artikel

PROFIBUS Nutzerorganisation e.V., TÜV SÜD AG

Safety & Security