Die Technologie IO-Link zur Anbindung intelligenter Sensoren und Aktoren an Automatisierungssysteme hat sich im Maschinen- und Anlagenbau mittlerweile fest etabliert: Ende 2016 waren bereits 5,3 Mio. Knoten installiert, Ende 2017 über 8 Mio. Knoten. Ursprünglich für die Kommunikation im Umfeld nicht sicherheitsbezogener Applikationen entwickelt, hat sich die hinter IO-Link stehende Community seit ein paar Jahren auch systematisch mit dem Thema ‚Functional Safety‘ befasst. Im April 2017 ist schließlich die Version 1.0 der technischen Spezifikation ‚IO-Link Safety ‒ System Extensions‘ erschienen. Davor war das entsprechende Konzept der sicheren Kommunikation vom TÜV-SÜD bestätigt worden.

Bild 1: Funktional sichere Module am Remote I/O: Durch IO-Link Safety ist künftig die Vielzahl von FS-Modultypen auf einen FS-Master reduzierbar. Dies ist insbesondere für Kompakt-Remote I/O mit höherer Schutzart – zum Beispiel IP67 – vorteilhaft.

© Profibus Nutzerorganisation

Zum besseren Verständnis seien die Technik von IO-Link Safety und einige wichtige Vorzüge kurz vorgestellt. Ausgangspunkt ist die klassische Anbindung von einfachen Sicherheitsgeräten an Remote-I/O-Systeme am Feldbus mit einem funktional sicheren Kommunikationsprofil (FSCP), wie in Bild 1, links dargestellt: Je nach Typ des Sensors oder Aktors wird ein FS-AE (Analogeingang), FS-AA (Analogausgang), FS-DE (Digitaleingang) oder FS-DA (Digitalausgang) benötigt, um moderne Sicherheitslösungen realisieren zu können. Wie bereits bei Basis-IO-Link, wird mit IO-Link Safety die Vielfalt der E/A-Module auf einen Typ – den FS-Master – reduziert (siehe Bild 1, rechts). 

Bisher war die funktionale Sicherheit in der Automatisierung geprägt durch Abschaltfunktionen wie ‚Not-Aus‘ beziehungsweise ‚Not-Halt‘, und entsprechende binäre Sensoren wie Taster, Lichtgitter oder auch Laserscanner sind weit verbreitet. Mit IO-Link Safety ist es nun möglich, mehr analoge Messungen sicher zu erfassen und dann die Sicherheitssteuerung entscheiden zu lassen, ob abgeschaltet beziehungsweise sicher angehalten werden muss.

Prinzipiell lassen sich solche Applikationen auch schon auf der Feldbus-Ebene mit einem FSCP durch sichere Feldgeräte lösen. Allerdings: Mittlerweile gibt es weltweit bereits mehr als zehn FSCPs mit regionalen Schwerpunkten. Für Gerätehersteller, die eine weltweite Vermarktung anstreben, wären somit die Entwicklungsaufwände für die Kommunikationsanschaltungen größer als für die eigentliche Sicherheitstechnologie.

Warum IO-Link Safety?

Bild 2: Universal FS-Device für alle FSCPs: Ein FS-Device beherrscht sowohl den OSSDe-Betrieb an klassischen FS-DE-Modulen als auch die sichere Kommunikation an FS-Mastern.

© Profibus Nutzerorganisation

Bild 2 zeigt die Lösung mit IO-Link Safety. Jeweils ein universelles FS-Device mit IO-Link Safety passt zu allen FSCPs, sofern es mindestens einen FS-Master für dieses FSCPx gibt. Da es in der Regel spezialisierte Hersteller sind, die sich mit IO-Link-Mastern an bestimmten Feldbussen befassen, ist es für diese Spezialisten auch naheliegend, sich der FS-Master-Variante zu widmen. Die FS-Device-Hersteller wiederum können sich ganz auf die Sicherheitsaufgabe ihrer Geräte konzentrieren. Bis sich dieser Markt etabliert hat, wird es eine Weile dauern. Hier hilft jedoch die generelle Migrationsstrategie von IO-Link: Es gibt den Übergang vom sogenannten SIO-Modus (Standard I/O-Schaltsignal) zum IO-Link-Kommunikationsmodus. Das heißt, ein Gerät kann sowohl im Schaltbetrieb an einem klassischen DE-Modul als auch im Kommunikationsbetrieb am neuen IO-Link-Master betrieben werden. Ganz ähnlich ist nun die Migrationsstrategie von IO-Link Safety. Der Schaltbetrieb beschränkt sich allerdings hier nicht nur auf ein Schaltsignal. Sichere Abschalt-Sensoren werden auch OSSD genannt (Output Switching Sensing Device). Dabei handelt es sich um redundante Schaltsignale, die anfangs von Relaisausgängen getrieben wurden und antivalent schalteten, um Kabelfehler aufzudecken. Im Zuge der Umstellung auf elektronische Lösungen kamen die äquivalent schaltenden Signale, weil bei Spannungsausfall kein antivalenter Zustand mehr möglich ist. Für die Aufdeckung von Fehlern dienen nun kurze, versetzte Testpulse, die vom Gerät rückgelesen und ausgewertet werden.

IO-Link Safety hat sich dafür entschieden, die Vielzahl an existierenden Testpulslösungen auf einen im Positionspapier CB24I des ZVEI definierten Typ ‚C‘ und Klasse ‚1‘ einzuschränken, der eine sehr große Zahl von Produkttypen am Markt abdeckt. Durch die maximale Leitungslänge von 20 m bei IO-Link sind die elektrischen Eigenschaften wohldefiniert und erlauben diese Vereinfachung. IO-Link Safety verspricht sich davon einen sehr stabilen Betrieb und eine Vereinfachung für den Anwender durch Wegfall von Filter- und Diskrepanz-Zeiteinstellungen (Versatz der beiden Signale). Die Lösung wird mit OSSDe bezeichnet.

Das zweite OSSDe-Signal ist bei IO-Link Safety auf den Pin 2 des M12-Steckers gelegt. Diese Belegung ist konform zu den Festlegungen der Automatisierungsinitiative der deutschen Automobilindustrie (AIDA).