Zuverlässigkeit und ausfallsicherer Betrieb sind entscheidende Grundvoraussetzungen für jedes industrielle Automatisierungssystem. Bei unerwarteten Ausfallzeiten erleidet der Produktionseigentümer in aller Regel erhebliche Verluste und möchte deshalb sichergehen, dass sein Produktionssystem davor ordnungsgemäß geschützt und relativ robust ist gegenüber Hardware- und Softwarefehlern.
Die EtherCAT-Technologie ist eine der fortschrittlichsten und leistungsfähigsten Schnittstellen für die Kommunikation auf und mit der Produktions-Ebene einer Fabrik. Neben großer Flexibilität und hohem Durchsatz bietet sie zusätzlich einige grundlegende Fehlertoleranzfunktionen, um selbst bei gewissen möglichen Hardwareausfällen dennoch funktionsfähig zu bleiben. Die leistungsfähigste dieser Funktionen ist die Kabelredundanz, eine Funktion, bei der die physikalische Ringtopologie verwendet wird, um einen stabilen Busbetrieb aufrechtzuerhalten, selbst dann, wenn eine Unterbrechung im Ring auftreten sollte. Außerdem ist das System in der Lage derartige Fehler selbständig erkennen und sofort melden zu können.
Die koenig-pa GmbH ist nicht nur aktives Mitglied in der EtherCAT Technology Group (ETG) und zwar fast von Beginn an, sondern darüber hinaus ein versierter Experte für EtherCAT-Systeme. Unsere Ingenieure gingen deshalb einen Schritt weiter und erfanden einen Weg, um ein industrielles Netzwerk auch vor einem noch weit schwerwiegenderem Problem zu schützen, nämlich einer kompletten Fehlfunktion seines Steuerknotens, also des Mastersystems, das den EtherCAT-Netzwerkbetrieb steuert und überwacht. Unsere patentierte Technologie, genannt „Master-Redundanz“ (Master Redundancy), ermöglicht mit einfachsten Mitteln eine selbständige und nahtlose Wiederherstellung nach einem derartigen Systemausfall und bleibt deshalb auch in einer synchronisierten Umgebung weiterhin betriebsbereit. Das Patent ist in vielen Ländern validiert: Deutschland, Frankreich, Italien – № EP3072262B1; USA – № US10102163 BB; Kanada – № CA2968432 AA; Indien – № IN201637021622 A; Japan – № P20160550236T.
Sie finden diese Funktionalität in der Software KPA EtherCAT Master 2, die bei der koenig-pa GmbH und ihren Vertriebspartnern erhältlich ist.
Wie können Sie den Busbetrieb sicherstellen, wenn der Master ausgefallen ist
Rufen wir uns kurz die Grundprinzipien des EtherCAT-Betriebs in Erinnerung, da es wichtig ist, das Konzept zu verstehen, das der Master-Redundanz-Funktion von KPA EtherCAT Master 2 zugrunde liegt.
Im Gegensatz zu anderen Ethernet-basierten industriellen Schnittstellen verwendet EtherCAT das Hop-by-Hop-Kommunikationsprotokoll: Ein Datentelegramm gilt für alle am Bus angeschlossenen Slave-Geräte und wird von einem Gerät zum nächsten übertragen. Der Master ist dabei ein Agent, der zyklisch ein Telegramm erstellt, mit Lese- oder Schreibaufträgen füllt, Daten (oder Slots für Eingangsdaten) ausgibt und diese in strengen Zeitabständen an den Bus sendet. Jedes Slave-Gerät kann dabei Daten in den explizit adressierten Datenblock einfügen (schreiben) oder solche extrahieren (lesen).
Um den Busdurchsatz effektiv nutzen zu können, ist diese Funktion für die Fehlertoleranz äußerst nützlich: Jedes an den Bus angeschlossene Gerät ist sich der Aktivität aller Slaves vollständig bewusst und kann die zwischen dem Busmaster und den Slaves übertragenen Daten transparent abrufen. Sie müssen keine Slave-Geräte ändern, keine zusätzlichen Signale hinzufügen oder das Übertragungsprotokoll ändern: Diese Funktion ist frei von zusätzlichen Kosten (außer natürlich einem (oder mehreren), zusätzlichen Master-Geräten).
Dieser Nebeneffekt wird vom KPA EtherCAT Master 2 dazu genutzt, um einen weiteren Busmaster (oder mehrere Master) in den Bus zu integrieren. Im Normalbetrieb ist dieser redundante Master passiv, er kann die Daten auslesen, ohne dabei jedoch eigene Telegramme einzugeben und ist daher immer auf dem gleichen Stand wie der aktive Master. Passive Master werden als sekundär bezeichnet, während der aktive Master der primäre ist. Da alle sekundären Master auf diese Weise auf dem aktuellen Stand der gesamten Busaktivität sind, können sie jederzeit und ohne Zeitverzug anstelle des primären Masters aktiviert werden, falls dieser einmal ausfallen sollte.
Was hier aber noch wichtiger ist, ist die Tatsache, dass ein sekundärer Master keine speziellen Steuergeräte oder zusätzlichen Signalleitungen benötigt, um eine ungewöhnliche Situation auf dem Bus sofort erkennen zu können. Wie Sie ja bereits wissen, erfolgen EtherCAT-Telegramme in absolut strengen und regelmäßigen Zeitabständen. Wenn also ein sekundärer (= passiver) Master kein Telegramm erhält, das er zu einem festgelegten Zeitpunkt erwarten darf, weiß er mit Sicherheit, dass der Bus keinen funktionierenden Master mehr hat. Es muss nicht gewartet werden, bis der aktuelle Zyklus vorbei ist – der redundante Master kann auf der Stelle die Steuerung übernehmen indem er sein eigenes Telegramm absendet. Und da der sekundäre Master alle Änderungen mitverfolgt hat und somit ein vollkommener Klon seines ausgefallenen Vorgängers ist, wird dieses Telegramm auch korrekt und aussagekräftig sein.
Wie funktioniert die Master Redundanz?
Eine EtherCAT-Konfiguration mit funktionierender Master-Redundanz benötigt ein aktives (primäres) Master-Gerät und einen oder mehrere passive (= sekundäre) Master. Der primäre Master muss nicht zwingend für die Master-Redundanz konfiguriert sein, es ist jedoch sehr zu empfehlen, die KPA EtherCAT Master 2 zu verwenden, um sämtliche Vorteile dieser Technologie nutzen zu können.
Der sekundäre Master ist quasi als heimlich mithörender Schattenagent an den Bus angeschlossen. Er verfolgt alle Datentelegramme mit, während sie ihn unverändert passieren. Gleichzeitig berechnet er die Zeit, zu der jedes Telegramm eintrifft, und verfolgt mögliche Verzögerungen zwischen erwarteter und tatsächlicher Ankunftszeit dieser Telegramme.
Sobald ein Telegramm verzögert eintrifft, startet ein Watchdog-Timer. Nachdem die in den Master-Einstellungen angegebene Zeit abgelaufen ist, startet der passive Master sein „Failover-Protokoll“ genanntes Ausfallprotokoll:
- Interner Schalter des bisher passiven Masters wird ausgelöst: Jetzt kann der bislang schweigende Master auf das Bus-Telegramm schreiben.
- Ein neues, vom sekundären Master vorbereitetes Telegramm wird auf den Bus geschrieben.
- In diesem Telegramm wird eine Anforderung zur Freigabe des Busses an den noch aktiven Master gesendet, da er möglicherweise immer noch online ist, jedoch einige interne Probleme aufweist. Damit wird die Situation definitiv vermieden, dass der bislang aktive Master den Bus nach seiner Wiederherstellung automatisch (und damit evtl. ungewollt) wieder übernimmt. Der alte Master würde nur dann wieder die Kontrolle übernehmen, falls der neue aktive Master seinerseits ausfällt oder falls der Bediener den alten Master bewusst wieder aktiviert (und damit den Redundanz-Master wieder zum Sniffer degradiert).
- Die Kontrollanwendung des neuen Busmasters wird über die Aktivierung des neuen Masters informiert.
Es ist jederzeit möglich, einen aktiven Master mit dem Buskonfigurator in den passiven Zustand zu versetzen . Ein anderer passiver Master übernimmt dann automatisch die Kontrolle über den Bus.
Um beim Vorhandensein mehrerer redundanter Master zu verhindern, dass sich beim Ausfall des aktiven Masters mehr als einer der sekundären Master aktiviert, sind ihre Watchdog-Timer unterschiedlich konfiguriert. Es ist möglich, für jeden Master eine zufällige Erzeugung der Watchdog-Zeit zu erzwingen. Auf diese Weise wird eine Kollisionssituation sicher ausgeschlossen und damit gewährleistet, dass niemals zwei oder mehr sekundäre Master gleichzeitig versuchen, das Failover-Protokoll zu starten.
Zusammenfassung
Die von uns vorgeschlagene Funktion kann das industrielle Kommunikationsnetz vor einem folgenschweren und schwer zu behebenden Ausfall seines Kontrollknotens schützen. Es nutzt Architektureigenschaften der EtherCAT-Technologie, um eine kostengünstige Lösung zu implementieren, die die Fehlertoleranz erheblich erhöht, ohne dass dies die Flexibilität und Leistung beeinträchtigt. Nahezu jedes EtherCAT-fähige industrielle Automatisierungssystem kann mit dieser Funktion aufgerüstet werden: Sie müssen einen oder mehrere Klone Ihrer Steuerung mit nur geringen oder gar keinen Änderungen an der Logik an den Bus anschließen.
Wenn Sie den KPA EtherCAT Master 2 nicht für die EtherCAT-Kommunikation verwenden, helfen Ihnen unsere Ingenieure bei der Integration der Master-Redundanz in Ihr Steuerungssystem. Unser Software-Stack ist mit praktisch jedem Echtzeit- oder Universalbetriebssystem kompatibel und kann für verschiedene CPUs, Mikrocontroller und FPGAs zusammengestellt werden. Wenn Sie sich nicht in der Kompatibilitätsliste befinden, wird die Software auf Ihre Anforderungen zugeschnitten.