Ein erster Prüfgrundsatz für die Prüfung und Zertifizierung von Bussystemen für die Übertragung sicherheitsrelevanter Nachrichten wurde erstmals vom Fachausschuss Elektrotechnik des HVBG im Jahre 2000 vorgestellt. Dieser Prüfgrundsatz in der aktuellen Version [GSET26] ist Grundlage für die internationale Norm preIEC 61784-3. In dieser Norm werden unter anderem folgende Fehlerannahmen für ein solches Netzwerk getroffen: Verfälschung, Wiederholung, Vertauschung, Verlust, Verzögerung, Einfügung, Maskerade und falsche Adressierung von Nachrichten. Alle diese Fehler müssen von einem Sicherheitsprotokoll über geeignete Maßnahmen beherrscht werden, d. h. sie müssen entsprechend der angestrebten Sicherheitskategorie aufgedeckt werden.

Besonders die Annahme der Verzögerung von Nachrichten gewinnt für Ethernet-basierte Systeme an Bedeutung. Durch die Verwendung von Infrastruktur-komponenten wie beispielsweise Switche oder Router, die nicht sicherheitsrelevant abgenommen werden, besteht grundsätzlich die Möglichkeit, dass Nachrichten verzögert werden. Selbst eine Zeitüberwachung (Watchdog) der eintreffenden Nachrichten ist nicht ausreichend.

Das Protokoll Safety-over-EtherCAT ist vom TÜV begutachtet worden. Es wird bescheinigt, dass es sich um ein Protokoll handelt, mit dem Prozessdaten bis SIL 3 lt. IEC 61508 zwischen Safety-over-EtherCAT-Geräten übertragen werden können. Die Implementierung des Safety-over-EtherCAT-Protokolls in ein Gerät muss die Anforderungen des angestrebten Sicherheitsziels erfüllen. Hier sind die entsprechenden produktspezifischen Anforderungen zu beachten.

Die Übertragungsstrecke ist beliebig, es können Feldbussysteme, Ethernet oder ähnliche Strecken zur Übertragung eingesetzt werden ebenso wie Lichtwellenleiter, Kupferleiter oder auch Funkstrecken. Es gibt keine Einschränkungen oder Anforderungen an Buskoppler oder andere in der Strecke befindliche Geräte. Zur Unterstützung der Implementierung des Protokolls in Geräte, wird derzeit ein Conformance-Test entwickelt. Dieser Test ist ein reiner Protokoll-Tester, der über die Kommunikationsschnittstelle eines Test-Gerätes das Verhalten des Sicherheitsprotokolls überprüft (Black-Box-Test).

Hierfür wird zunächst die Geräte- beschreibungsdatei des Prüflings eingelesen, um die möglichen Parameter für den Test zu ermitteln. Auf einem Standard-PC können dann Testscripte aus einer Testkonfiguration ausgeführt werden. Hierbei wird der Prüfling mit richtigen und fehlerhaften Telegrammen beaufschlagt und die Reaktion mit einem erwarteten Ergebnis verglichen. Das Ergebnis ist ein Testbericht, der die Resultate der Testschritte zusammenfasst.

Der Beweis der Sicherheit und der Funktionalität eines sicheren Übertragungsprotokolls kann nur über die Implementierung der Spezifikation in ein Produkt erfolgen. Geräte mit Safety-over-EtherCAT sind bereits sei 2005 verfügbar. Safety-over- EtherCAT ist damit eines der ersten Industrial- Ethernet-Echtzeitkommunikationssysteme, das ein sicheres Protokoll unterstützt.

In dieser Applikation werden die Vorteile der Technologie genutzt. Die Sicherheitskomponenten werden dort im Automatisierungssystem eingesetzt, wo sie benötigt werden. Dezentrale Ein- und Ausgangsbaugruppen können skalierbar in der Anlage eingesetzt werden. Auch ein zusätzlicher Eingang oder Ausgang kann flexibel erweitert werden – und das wahlfrei zwischen den sicheren und unsicheren Busklemmen.

Die Sicherheitslogik ist ebenfalls inner- halb des Netzwerk-Strangs eingebettet. Dadurch kann eine Standard-SPS weiterhin die Steuerungsaufgaben erfüllen und muss nicht sicherheitsrelevant erweitert werden. Die Verknüpfung der sicheren Eingangs- und Ausgangs- funktionen erfolgt in der dezentralen Sicherheitslogik, einer intelligenten, sicheren Busklemme. Das spart Kosten für eine teuere Sicherheits-SPS und ermöglicht die Skalierung der Logik entsprechend der geforderten Aufgabe. Über die unsichere Standard-SPS werden lediglich die Nachrichten zwischen dem Safety-over-EtherCAT-Master und den ihm zugeordneten sicheren Slaves geroutet.