《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 其他 > 設(shè)計應(yīng)用 > PROFIBUS故障安全通信技術(shù)探討
PROFIBUS故障安全通信技術(shù)探討
摘要: 長期以來,,故障安全通信技術(shù)方面的任務(wù)只能在第二層采用常規(guī)手段或者通過專用總線分散地加以解決,。這使得應(yīng)用于制造業(yè)和過程工業(yè)自動化的分布式現(xiàn)場總線PROFIBUS的生存空間受到限制。
關(guān)鍵詞: 控制網(wǎng)絡(luò) PROFIBUS
Abstract:
Key words :

一,、引言

長期以來,,故障安全通信技術(shù)方面的任務(wù)只能在第二層采用常規(guī)手段或者通過專用總線分散地加以解決,。這使得應(yīng)用于制造業(yè)和過程工業(yè)自動化的分布式現(xiàn)場總線 PROFIBUS的生存空間受到限制。1998年德國PROFIBUS用戶組織(PNO)以故障安全技術(shù)的應(yīng)用為目標,,專門設(shè)立了一個工作組,,著手制訂一種整體的、開放的解決方案,。其通信基礎(chǔ)是PROFIBUS-DP,,所依據(jù)的主要標準則是IEC61508和歐洲標準EN954以及 EN5O159-1/-2等。

1999年,,PNO在德國漢諾威博覽會上公布了在標準PROFIBUS上實現(xiàn)主,、從站之間故障安全通信的技術(shù)規(guī)范,其注冊商標名為 PROFlsafe(V. 1.0),。它通過了德國BIA-聯(lián)邦勞動安全研究所和T V-技術(shù)監(jiān)督聯(lián)合會的認證,。之后,該規(guī)范的使用范圍擴大,,成為連接任何安全控制器所必備的先決條件,。隨著從站與從站之間故障安全通信(F-Slave to F-slave,PROFIBUS DPV2)和以太網(wǎng)通信(PROFInet)的出臺,,PROFIsafe的工作進入了第二階段,,即“V.1.20,2002”,。以西門子為首的德國25家知名企業(yè)參與了 PROFIsafe應(yīng)用行規(guī)的制訂和產(chǎn)品開發(fā),。

PROFIsafe的問世曾在國際現(xiàn)場總線技術(shù)領(lǐng)域中引起了轟動。迄今為止,,PROFIBUS因其擁有PROFIsafe故障安全技術(shù)解決方案始終是唯一能夠滿足制造業(yè)(采用RS485和光纖傳輸技術(shù))和過程工業(yè)自動化(采用“MBP-IS”,,即曼徹斯特編碼一總線供電和本質(zhì)安全傳輸技術(shù),,原名 IEC61158-2)故障安全通信要求的現(xiàn)場總線。



二,、PROFIsafe的主要特征

PROFIsafe的主要特征歸納如下:

●安全通信和標準通信在同一根電纜上共存,;

●PROFIsafe-故障安全性建立在單信道通信系統(tǒng)之上,安全通信不通過冗余電纜來達到目的,;

●標準通信部件,,如電纜、專用芯片(ASICS),、DP-棧軟件等等,,無任何變化;

●故障安全措施封閉在終端模塊中(F-Master,F-Slave),;

●采用專利SIL監(jiān)視器獲得極高的安全性,;

●最高故障安全完整性等級為SIL3(IEC61508),相應(yīng)的德國標準和歐洲標準分別為AK6(DIN V19250),、Kat.4(EN954-1),。SIL3:>10-8…10-7,即在連續(xù)工況下每小時故障率,;

●PROFIsafe的軟件解決方案可以靈活地應(yīng)用于SIL1,,2或3的設(shè)備及安全控制回路;

●既可用于低能耗(Ex-i)的過程自動化,,又可用于反應(yīng)迅速的制造業(yè)自動化,;

●環(huán)境條件同標準PROFIBUS(抗電磁干擾等)。

三,、通信原理:“Black Channel”和F-(Failsafe)層結(jié)構(gòu)

PROFIsafe使標準現(xiàn)場總線技術(shù)和故障安全技術(shù)合為一個系統(tǒng),,即故障安全通信和標準通信在同一根電纜上共存。這不僅在布線上和品種多樣性方面可以節(jié)約一大筆資金,,而且可以日后改建,。用戶自然可以根據(jù)組織方面的理由將安全功能和標準功能分配到兩根PROFIBUS干線上(圖2)。由圖1可見,,經(jīng)F- Gateway(F-網(wǎng)關(guān))可連接其他安全總線系統(tǒng)。

過程工業(yè)自動化要求采用冗余來提高設(shè)備的使用率,。PROFIsafe則采用單信道通信結(jié)構(gòu)的方法使上述要求的實現(xiàn)非常容易,。單信道故障安全可編程控制器可以達到SIL3。這種通信結(jié)構(gòu)原則上也可以執(zhí)行標準自動化任務(wù),,如診斷,、參數(shù)設(shè)置服務(wù)器等。

PROFIsafe以標準總線通信部件一電纜,、芯片,、基本軟件包(層棧),、PROFIBUS-DP-主站和PROFIBUS-DP-從站等為基礎(chǔ),這些均被劃入“Black Channel-黑色通道”,。它一方面表示在“Black Channel”中可能出現(xiàn)的所有故障均由PROFIsafe查出,;另一方面“Black Channel”中沒有提高傳輸安全性的各項功能,所以它不涉及安全技術(shù)的范疇,。

PROFIsafe解決方案的ISO/OSI簡化模型4,。

眾所周知,PROFIBUS在ISO/OSI-模型中僅使用了第1,、2和7層,。故障安全措施則置于第7層一應(yīng)用層之上的安全層(Safety- Layer)。由于該層僅對有效數(shù)據(jù)的安全傳送負責(zé),,它需要上層負責(zé)準備與提供有效數(shù)據(jù),,而在一個安全現(xiàn)場設(shè)備(例如,安全輸入)中是由它的技術(shù)固件來施行的,。這類固件通常至少有一部分是按照故障安全技術(shù)要求設(shè)計的,。在冗余的硬、軟件結(jié)構(gòu)中嵌入PROFIsafe功能也可以達到上述目的,。同標準操作一樣,,過程信號及過程數(shù)據(jù)出現(xiàn)在相應(yīng)的有效報文中。在安全操作時,,僅對這些報文加以補充(圖10,、11)。

源于某個模塊式從站(一個PROFIBUS站點,,它可內(nèi)裝若干個帶輸入/輸出通道的故障安全模塊)的發(fā)送器信號經(jīng)PROFIBUS從站聯(lián)接點進入F-控制器的兩個DP-主站聯(lián)接點中的一個,,從那里經(jīng)局域總線進入F-控制器,即故障安全CPU,。經(jīng)聯(lián)接后產(chǎn)生的一個輸出信號再次通過局域總線進入第二DP-主站聯(lián)接點,,入第二根PROFIBUS干線。傳輸速度在DP-PA鏈接器中降低,,使用PA-物理傳輸技術(shù)(MBP-IS)-達到 31.25kBaud,,將信號輸送到故障安全PA-從站中。此信號在其通信路徑的任何地點均未使用一條冗余通道,,也就是說,,傳輸是單通道的。

以上僅對故障安全報文的通信路徑作了詳細的探討,,至于誰負責(zé)發(fā)送,,何時發(fā)送的問題,回答很簡單,。這里運用了PROFIBUS的標準機制,,即主-從操作方式,。一個主站-通常為一個CPU,循環(huán)地同其所有組態(tài)的從站交換報文,,即在主站與從站之間存在著1:1的關(guān)系,。這種輪詢操作(Polling)方式的優(yōu)點是能夠立即察覺一旦出現(xiàn)故障的某個設(shè)備,這正是故障安全技術(shù)的基本原則之一,。

四,、故障安全保護措施:附加的CRC是關(guān)鍵

在復(fù)雜的網(wǎng)絡(luò)拓撲結(jié)構(gòu)中,發(fā)送報文會引發(fā)一系列的錯誤,,如報文丟失,、重復(fù)、添加,、順序錯,、延遲以及偽數(shù)據(jù),等等,。在故障安全通信中還會出現(xiàn)尋址錯,,即一個標準報文錯誤地出現(xiàn)在一個故障安全站點中,且被當作故障安全報文輸出(Masquerade),。此外,,傳輸速率的不同還可能對存儲器產(chǎn)生不良后果。 PROFIsafe采取以下措施來對付傳輸錯誤.

●故障安全報文按順序編號,;

●帶應(yīng)答的時間監(jiān)控,;

用密碼標識發(fā)送器和接收器;

●增設(shè)16/32位循環(huán)冗余校驗(CRC),,以保證數(shù)據(jù)的安全,。

一臺接收器根據(jù)順序號可以判斷它是否收到按正確順序排列的全部報文。如果它將有順序號的“空”報文作為應(yīng)答送返發(fā)送器,,則該接收器同樣是可信的,。從原理上講,只要在其中設(shè)置一個“Toggle-Bit”也就足夠了,,但PROFIsafe因其采用總線存儲元件(路由器)而選擇了一個0…255的計數(shù)器,,其中 “0”為例外。

在故障安全技術(shù)中,,一個報文僅僅傳輸正確的過程信號或數(shù)值是不夠的,,重要的是這些數(shù)值必須在故障極限時間內(nèi)送達,才能使現(xiàn)場相關(guān)站點自動地作出安全響應(yīng),。為此,各站點均配備一個時間控制器,,它在故障安全報文到達后即刻“復(fù)原”,。

主站與從站之間1:1的關(guān)系易于辨別錯誤報文,。兩者均設(shè)有網(wǎng)絡(luò)明確規(guī)定的標志(密碼),以此即可核查某報文的真實性,。

增設(shè)循環(huán)冗余校驗(CRC-Cyctic-Redundancy-Check)對報文錯誤數(shù)據(jù)位的識別具有重要作用,。有關(guān)故障概率的研討可參閱 IEC61508,它對所有的故障安全功能均作了詳述,。根據(jù)IEC61508,,PROFIsafe是以一個或若干個故障安全功能的控制回路為考慮故障概率的出發(fā)點).

一個故障安全控制回路包括參與某個安全控制功能的全部傳感器、執(zhí)行器,、傳輸元件和邏輯處理單元,。在IEC61508中,針對不同的安全級別(Safety-Integrity-Levels)規(guī)定了故障總概率,。例如,,SIL3:10-7/h。PROFIsafe在傳輸過程中僅占其1%,,即容 許的故障概率為10-9/h,。根據(jù)IEC61508和EN50159-1,對于SIL3可應(yīng)用下式計算:

RDP=RHW+REMI+RTC<10-9/h (1)

式中:RHW=Hardware_Failure
REMI=EMI_Failure

RTC=Transmissioncode_Failure

由此可以建立與報文長度相關(guān)的CRC一多項式,,以保證未經(jīng)發(fā)現(xiàn)的錯誤報文殘留錯誤率(Residual Error Rate)達到所要求的數(shù)量級,。在 PROFIsafe中不使用PROFIBUS所依靠的幀-校驗-序列(FCS:Frame-Checking-Sequence)和奇偶校驗(Parity-Check)來識別基本錯誤。換句話說,,基本機制下的故障揭示概率不受附加的PROFIsafe CRC-機制的影響,。

當位錯誤率很高時,即當一個報文有許多位受到干擾時,,殘留錯誤率難以確定,。為避免任何不安全性,PROFIsafe使用了一種稱之為SIL-監(jiān)視器的方法),,這種方法已經(jīng)獲得專利權(quán),。

CRC-安全措施不僅循環(huán)地保證過程信號和數(shù)據(jù)的完整性,而且也保證在相關(guān)從站中存放的參數(shù),,如標志(密碼),、看門狗(Watch-Dog)時間等完整性。

五,、F-報文結(jié)構(gòu)

以上討論了PROFIsafe安全傳輸報文所使用的方法,。下面介紹故障安全報文結(jié)構(gòu),即PROFIsafe在PROFIBUS通信上的具體映像,。先來觀察PROFIBUS-DP報文結(jié)構(gòu),。

在DP-幀結(jié)構(gòu)中,Data-Unit,,PB(Parity-Bit)和FCS是人們關(guān)注的焦點,。在系統(tǒng)組態(tài)/啟動階段,,Slave(從站)通過GSD-設(shè)備基本數(shù)據(jù)文件將有效數(shù)據(jù)的格式通報DP-Master(主站)。在PROFIsafe中的情況雷同,。

F-Host和F-Slave(F:Fail-safe,,故障安全)在封閉的條件下彼此交換控制信息和狀態(tài)信息。當一個F-Slave需要增加參數(shù),,或者 F-Host要更改參數(shù)時,,兩者之間就要交換信息。此外F-Slave可將出錯報文通知F-Host,。為進行上述信息交換,,PROFIsafe將 1Byte(狀態(tài)/控制字節(jié))設(shè)在有效數(shù)據(jù)左邊(圖10、11),。Status/Control Byte各個位所代表的狀態(tài)見,。

另有1Byte用于順序號,該號由某報文的發(fā)送器登錄(源計數(shù)器),,由接收器驗證且以應(yīng)答報文送返發(fā)送器,。在一次循環(huán)操作中,計數(shù)器從1計數(shù)到255,,0是為系統(tǒng)啟動而設(shè)定的,。

如前所述,制造業(yè)和過程工業(yè)對一個安全系統(tǒng)的要求是不同的,。前者必須以極快的速度處理(斷路)信號,;后者則允許更多的時間處理過程數(shù)據(jù)。 PROFIsafe因此規(guī)定了兩種不同的有效數(shù)據(jù)長度,,它們要求采取不同的CRC-安全措施,。第一種有效長最多為12Bytes且有1個2Bytes- CRC2接于流水號之后;另一種有效長最多為122Bytes且有1個4Bytes-CRC2,。

剩余報文有效空間可為標準數(shù)據(jù)所用,。當系統(tǒng)設(shè)有通往其他安全總線的F-網(wǎng)關(guān)時(圖1),這種結(jié)構(gòu)使通信效率提高,。

F報文順序號用于監(jiān)控發(fā)送器的生存期(life)和監(jiān)控鏈接接收器的通信區(qū)段,。借助順序號和PROFIsafe應(yīng)答機制可對F-CPU〈-〉F-Output之間報文運行時間進行控制。

六,、SIL-監(jiān)視器(Monitor)的機理及其作用

如前所述,,PROFIsafe并不依托于PROFIBUS的基本安全機制,而是用附加的CRC來識別全部錯誤,,以達到所需求的SIL等級,。上面提到的一種專利SIL-Monitor監(jiān)視器(圖14)可以使SIL等級在分布式故障安全自動化方案的生命期內(nèi)保持不變,且不受所用總線部件和組態(tài)的影響。

圖14中總線故障原因的綜合給出一個表征PROFIBUS傳輸系統(tǒng)上受干擾信息的頻率fw(一個虛構(gòu)的值),。故障源來自硬件(HW),、EMV/EMI(電磁干擾)及其他。當受干擾報文的頻率超越規(guī)定的界限時,,則F-Host使安全控制回路進入安全狀態(tài)。監(jiān)視器時間周期 T(Monitor time period)決定于SIL等級和CRC-長度,。
數(shù)值是在時間T內(nèi)最多只容許一個受干擾報文存在的情況下計算出來的,。由圖14可見,PROFIBUS的標準安全機制(1.Filter)用以識別HD=4 的每個位錯誤,;只有HB≥4的位錯誤(special bit patterns)進入PROFIsafe安全機制,。如果在標準 PROFIBUS ASIC中的安全機制出現(xiàn)故障(概率很小),,則受干擾的信息以統(tǒng)計位模式(statistical bit patterns)進入 PROFIsafe安全機制,。此種情況下可用下式求出PUS(typ):

式中:PUS=max.residual error probability(16/32-bit-CRC的最大殘留錯誤概率,其中誤碼率-bit error rate為0…0.5)

SIL-Monitor本身不是硬件,,而是可實現(xiàn)PROFIsafe-驅(qū)動器軟件的一部分,。借助SIL-Monitor,F(xiàn)-系統(tǒng)能夠在故障率超過一定限度之前即采取有效的安全保護措施,,從而避免系統(tǒng)中出現(xiàn)險情,。

PROFIsafe的各項功能可以借助一個專用芯片(ASICS)或軟件來實現(xiàn)。德國的眾多企業(yè)由于各種原因首選了軟件這條路子,。上述 “PROFIsafe-驅(qū)動器軟件”就是由西門子,、Bürkert、Sick,、E+H等11家企業(yè)共同開發(fā)的,,凡參加開發(fā)的企業(yè)都有權(quán)獲得開發(fā)相應(yīng)設(shè)備(F-主站、F-從站)的許可證,。

七,、F-控制系統(tǒng)對F-從站的支持通過FDT/DTM

智能化F-現(xiàn)場設(shè)備要求F-系統(tǒng)為實現(xiàn)以下操作提供支持:設(shè)計、調(diào)試,、迅速更換設(shè)備,、程控參數(shù)設(shè)置、“Teach-In”,、設(shè)備診斷和項目數(shù)據(jù)保存等,。

在控制器中,通過DP-V1平臺(非循環(huán)數(shù)據(jù)交換)和通信功能元件(符合IEC61131-3)來達到相關(guān)設(shè)備的整合,。設(shè)備制造廠商的參數(shù)化軟件與診斷軟件被整合到系統(tǒng)制造廠商的工程設(shè)計工具中,,則是通過FDT/DTM-接口來實現(xiàn)的。所謂FDT/DTM是現(xiàn)場設(shè)備智能化管理軟件。FDT是 PROFIBUS標準之一,,2000年底由德國PNO推出,。FDT(Field Device Tool)規(guī)范描述設(shè)備特定軟件(設(shè)備類型管理器 -Device Type Manager)和自動化系統(tǒng)工程工具之間的接口,設(shè)備管理軟件的發(fā)展從GSD,、Profile,、EDDL直至今日的 FDT/DTM。FDT/DTM是將現(xiàn)場總線技術(shù)(PROFIBUS,、FF,,等等)實際應(yīng)用到過程自動化的基礎(chǔ)。FDT/DTM,、F-Slave(圖中為光柵)和F-控制器中代理功能元件(Proxy FB)之間的互動關(guān)系,,說明了F-系統(tǒng)如何支持F-從站。

一個安裝在工程工具(ET)中的設(shè)備制造廠商的參數(shù)化軟件與診斷軟件包(DTM)通過ET的通信接口FDT訪問現(xiàn)場設(shè)備 F-Slave(本例中為光柵)①,。在參數(shù)化和調(diào)試之后,,參數(shù)組通過F-控制器中的Proxy FB被裝進F-控制器中②,并在那里供迅速更換設(shè)備使用,。為驗證數(shù)據(jù)(i- Parameter)的可信性和完整性,,DTM借助ET讀入Proxy-FB中的狀態(tài)參數(shù),將它們同存在于F-Slave中的i-Parameter進行比較,。一旦設(shè)備被更換,,Proxy FB能夠自動地將i-Parameter裝入F-slave中。PROFIsafe還規(guī)定Proxy-FB能夠自動地,、周期地執(zhí)行現(xiàn)場設(shè)備的測試程序,,以確定該設(shè)備的狀況是否正常。用這種方式可在適當?shù)臅r刻更換有隱患的現(xiàn)場設(shè)備,。

八,、結(jié)束語

最先運用PROFIsafe故障安全通信技術(shù)的設(shè)備已于2000年由西門子公司推向市場。其中經(jīng)德國T V認證的西門子自動化系統(tǒng) SIMATIC S7-417F/H同ET200M的安全I/O模塊于同年成功地應(yīng)用在歐洲最現(xiàn)代化的煉油廠——德國海德煉油廠(Raffinerie Heide)加氫裂化裝置中,,使該廠不再需要煉油廠中常用的故障安全關(guān)機系統(tǒng),。

自2002年以來,又相繼出現(xiàn)了一系列PROFIsafe產(chǎn)品,,它們展示在2002年,、2003年的漢諾威博覽會上,并在歐洲的一些工程項目中獲得了應(yīng)用,。PROFIsafe的應(yīng)用可以做到對人,、機器和環(huán)境的有效保護。它所帶來的經(jīng)濟利益倍受人們的關(guān)注,。

由此看來,,PROFIsafe安全通信技術(shù)的應(yīng)用已不再是對未來的憧憬,,而是眼前的現(xiàn)實。

筆者相信,,在不久的將來,,PROFIsafe-它的規(guī)范與標準,產(chǎn)品的開發(fā)和應(yīng)用也會在中國開花結(jié)果,。
參考文獻

[1] PNO:PROFIBUS Profile “PROFIsafe-Profile for Safety Technology”,Version 1.20,October 2002,

Order No.3.092

[2] PNO:Herbert Barthel,Franz J.Dold,Wolfgang Stripf: PROFIsafe,die Grundlagen,2002

[3] PI: Support Center:FDT/DTM-Intelligentes Management fürFeldger te,2000

此內(nèi)容為AET網(wǎng)站原創(chuàng),,未經(jīng)授權(quán)禁止轉(zhuǎn)載。