一、引言
1999 年PROFIsafe 的问世在工业自动化领域中开创了故障安全通信技术的新纪元。迄今为止,PROFIBUS 因其拥有通过TüV,BGIA,UL 等机构认证的PROFIsafe 安全技术解决方案(V1.30),是惟一能够按照IEC 61508 满足制造业和过程工业自动化故障安全要求达到SIL3 级的安全系统。
截止2004 年9 月,全球共有11,000 个运用PROFIsafe 的安全系统在炼油、化工、海上石油勘探平台、机械制造业,尤指汽车工业、机场、港口、索道等许多应用领域可靠地运行着。
2005 年6 月,德国PNO 出台了最新的安全行规PROFIsafe V2,即PROFIBUS DP 和PROFINET IO安全技术行规V2.X4(草案)。它表明,PROFIsafe 这一先进的和成熟的安全技术又登上了一个新的台阶,进入了实时工业以太网或PROFINET 的应用范畴,从而在竞争日益加剧的安全技术领域中,继续保持遥遥领先的地位。图1 所示为PROFIsafe V2 的结构。DP 和PA 虽然传输技术不同,但高层协议相同,新的安全行规同样运用于
众所周知,PROFIBUS 和PROFINET 分别被列入IEC 61158 中的Type3 和Type10 。目前,IEC 有
关工作组还在拟订功能安全行规IEC 61784-3,PROFIsafe 将被列入其中(图2)。
图1 运行在PROFIBUS DP 和PROFINET IO 上的PROFIsafe V2
图2 IEC 的标准化工作
二、PROFIsafe 的主要特征 PROFIsafe 以标准总线通信部件一电缆、芯片、基本软件包(层栈)、PROFIBUS-DP-主站和PROFIBUS-DP-从站等为基础,这些均被划入“Black Channel-黑色通道”(图3)。它一方面表示在“Black Channel ”中可能出现的所有故障均由PROFIsafe 查出;另一方面“Black Channel ”中没有提高传输安全性的各项功能,所以它不涉及安全技术的范畴。 安全IO 数据是通过PROFINET IO 的实时通道RT 或IRT 来传输的(图6)。非循环服务(TCP/IP或UDP/IP )用于传输非安全数据和安全参数。设备参数化这部分同安全相关,是周期地通过循环数据交换来验证的。 图7 所示为PROFIsafe 运用“Black Ch
PROFIsafe 的主要特征归纳如下:
·安全通信和标准通信在同一根电缆上共存;
·PROFIsafe-故障安全性建立在单信道通信系统之上,安全通信不通过冗余电缆来达到目的;
·标准通信部件,如电缆、专用芯片(ASICS)、DP-栈软件等等,无任何变化;
·故障安全措施封闭在终端模块中(F-Master,F-Slave);
·采用专利SIL 监视器获得极高的安全性;
·最高故障安全完整性等级为SIL3(IEC61508) ,相应的德国标准和欧洲标准分别为AK6(DIN V19250)、Kat.4(EN954-1)。SIL3:>10-8 …10-7,即在连续工况下每小时故障率;
·既可用于低能耗(Ex-i)的过程自动化,又可用于反应迅速的制造业自动化;
·环境条件同标准PROFIBUS(抗电磁干扰等)。
三、安全通信原理:“Black Channel”和F-(Failsafe)层结构
安全通信是通过一个标准传输系统(指PROFINET IO 和/或PROFIBUS DP )和附加在该标准传输系统之上的安全传输协议来实现的(图3 和4)。
标准传输系统包括该系统的全部硬件和相关的协议功能(例如,OSI 中的1,2,7 层)。
安全应用和标准应用同时使用同一标准PROFINET IO 或PROFIBUS DP 通信系统。
安全传输功能包括所有揭示一切可能进入标准传输系统的故障或危险的措施或者使残留错误(故障) 概率降至最低限度。这些错误包括:
·随机失效,如由传输信道上的EMI 所引起的;
·标准硬件故障;
·标准硬、软件中部件的系统失效。
这一原则限定了要对“安全传输功能”进行认证。“标准传输系统”则不必进行外加的认证。
图3 黑色通道原理
图4 F-层结构
图5 典型的系统组态
图6 PROFINET IO 通信层
图7 PROFIsafe 运用“Black Channel”原理
源于某个模块式从站(一个PROFIBUS 和PROFINET 站点,它可内装若干个带输入/输出通道的故障安全模块)的发送器信号经PROFINET IO 从站联接点进入F-控制器的IO 控制器,从那里经局域总线进入F-控制器,即故障安全CPU。经联接后产生的一个输出信号再次通过局域总线进入PN IO/DP Link ,入RS485 PROFIBUS 干线的F 从站。接着传输速度在DP-PA 链接器中降低,使用PA-物理传输技术(MBP-IS)达到 31.25kBaud ,将信号输送到故障安全PA-从站中。此信号在其通信路径的任何地点均未使用一条冗余通道,也就是说,传输是单通道的。
以上仅对故障安全报文的通信路径作了详细的探讨,至于谁负责发送,何时发送的问题,回答很简单。这里运用了PROFIBUS 的标准机制,即主-从操作方式。一个主站-通常为一个CPU,循环地同其所有组态的从站交换报文,即在主
四、故障安全保护措施:附加的CRC 是关键
在复杂的网络拓扑结构中,发送报文会引发一系列的错误,如报文丢失、重复、添加、顺序错、延迟以及伪数据,等等。在故障安全通信中还会出现寻址错,即一个标准报文错误地出现在一个故障安全站点中,且被当作故障安全报文输出(Masquerade) 。此外,传输速率的不同还可能对存储器产生不良后果。PROFIsafe 采取以下措施来对付传输错误,见下图(8)
·故障安全报文按顺序编号;
·带应答的时间监控;
·用密码标识发送器和接收器;
·增设16/32 位循环冗余校验(CRC),以保证数据的安全。
图8 故障防范措施
一台接收器根据顺序号可以判断它是否收到按正确顺序排列的全部报文。如果它将有顺序号的“空”报文作为应答送返发送器,则该接收器同样是可信的。从原理上讲,只要在其中设置一个“Toggle-Bit”也就足够了,但PROFIsafe 因其采用总线存储元件(路由器)而选择了一个0…255 的计数器,其中“0”为例外。
在故障安全技术中,一个报文仅仅传输正确的过程信号或数值是不够的,重要的是这些数值必须在故障极限时间内送达,才能使现场相关站点自动地作出安全响应。为此,各站点均配备一个时间控制器,它在故障安全报文到达后即刻“复原”。
主站与从站之间1:1 的关系易于辨别错误报文。两者均设有网络明确规定的标志(密码),以此即可核查某报文的真实性。
增设循环冗余校验(CRC-Cyctic-Redundancy-Check) 对报文错误数据位的识别具有重要作用。有关故障概率的研讨可参阅IEC61508 ,它对所有的故障安全功能均作了详述。根据IEC61508,PROFIsafe 是以一个或若干个故障安全功能的控制回路为考虑故障概率的出发点(图9)。
图9 安全控制回路与故障概率
由图9 可见,一个故障安全控制回路包括参与某个安全控制功能的全部传感器、执行器、传输元件和逻辑处理单元。在IEC61508 中,针对不同的安全级别(Safety-Integrity-Levels) 规定了故障总概率。例如,SIL3:10-7/h。PROFIsafe 在传输过程中仅占其1%,即容许的故障概率为10-9/h。根据IEC61508和EN50159-1,对于SIL3 可应用下式计算:
图10 残留错误率
确定残留错误概率的计算方法与假定的出现在传输段上的干扰结构有关,通常有高斯干扰(如噪声、
串音)突发性干扰(如电磁干扰)和均匀分布的错误模式。
高斯干扰下的残留错误概率可利用伯努利分布式求得:
且 由此可以建立与报文长度相关的CRC 一多项式,以保证未经发现的错误报文残留错误率(ResidualError Rate) 达到所要求的数量级。在PROFIsafe 中不使用PROFIBUS 所依靠的帧-校验-序列(FCS:Frame-Checking-Sequence) 和奇偶校验(Parity-Check) 来识别基本错误。换句话说,基本
p=比特(位)错误率
d=汉明间矩
n=报文长度
实际中突发性干扰为最经常出现的一种干扰,利用NTA-分布式可计算出残留错误概率,即:
当位错误率很高时,即当一个报文有许多位受到干扰时,残留错误率难以确定。为避免任何不安全性,PROFIsafe 使用了一种称之为SIL-监视器的方法(图18),这种方法已经获得专利权。
CRC-安全措施不仅循环地保证过程信号和数据的完整性,而且也保证在相关从站中存放的参数,如标志(密码)、看门狗(Watch-Dog)时间等完整性。
五、F-报文结构
以上讨论了PROFIsafe 安全传输报文所使用的方法。下面介绍故障安全报文结构,即PROFIsafe 在PROFIBUS 通信上的具体映像。先来观察PROFIBUS-DP 报文结构,如图11,12 所示。PROFINET IO 报文结构见图15,16。后者可以有若干个PROFIsafe 帧,即在模块式IO 设备情况下有若干个安全模块。
图11 DP 帧结构(过程数据)
图12 一个完整的PROFIsafe 帧结构(PROFIBUS DP)
在DP-帧结构中,Data-Unit,PB(Parity-Bit)和FCS 是人们关注的焦点。在系统组态/
F-Host 和F-Slave(F:Fail-safe ,故障安全)在封闭的条件下彼此交换控制信息和状态信息。当一个F-Slave 需要增加参数,或者F-Host 要更改参数时,两者之间就要交换信息。此外F-Slave 可将出错报文通知F-Host 。为进行上述信息交换,PROFIsafe 将1Byte(状态/控制字节)设在有效数据左边(图12、13)。
Status/Control Byte 各个位所代表的状态见(图14)。
图13 嵌入紧凑型和模块型从站中的FI/O 数据
图14 状态/控制字节
另有1Byte 用于顺序号,该号由某报文的发送器登录(源计数器),由接收器验证且以应答报文送返发
送器。在一次循环操作中,计数器从1 计数到255,0 是为系统启动而设定的。
如前所述,制造业和过程工业对一个安全系统的要求是不同的。前者必须以极快的速度处理(断路)信号;后者则允许更多的时间处理过程数据。PROFIsafe 因此规定了两种不同的有效数据长度,它们要求采取不同的CRC-安全措施。第一种有效长最多为12Bytes 且有1 个2Bytes-CRC2 接于流水号之后;另一种有效长最多为122Bytes 且有1 个4Bytes-CRC2( 图12)。
剩余报文有效空间可为标准数据所用。当系统设有通往其他安全总线的F-网关时(图5),这种结构使
通信效率提高。
图15 PROFINET IO 帧的格式
图16 一个完整的PROFIsafe 帧(PROFINET IO)
F 报文顺序号用于监控发送器的生存期(life)和监控链接接收器的通信区段。借助顺序号和PROFIsafe
应答机制可对F-CPU〈-〉F-Output 之间报文运行时间进行控制(图17)。
图17 监视F-CPU→F output 报文运行时间
六、SIL-监视器(Monitor)的机理及其作用 表右边的数值是在时间T 内最多只容许一个受干扰报文存在的情况下计算出来的。由图18 可见,PROFIBUS 的标准安全机制(1.Filter)用以识别HD=4 的每个位错误;只有HB≥4 的位错误(special bit patterns)进入PROFIsafe 安全机制。如果在标准PROFIBUS ASIC 和标准PROFINET 层中的安全机制出现故障(概率很小),则受干扰的信息以统计位模式(statistical bit patterns) 进入PROFIsafe 安全机制。此种情况下可用下式求出PUS(typ):
如前所述,PROFIsafe 并不依托于PROFIBUS 和PROFINET 的基本安全机制,而是用附加的CRC来识别全部错误,以达到所需求的SIL 等级。上面提到的一种专利SIL-Monitor 监视器(图18)可以使SIL等级在分布式故障安全自动化方案的生命期内保持不变,且不受所用总线部件和组态的影响。图18 中总线故障原因的综合给出一个表征PROFIBUS 和PROFINET 传输系统上受干扰信息的频率fw(一个虚构的值)。故障源来自硬件(HW)、EMV/EMI(电磁干扰)及其他。当受干扰报文的频率超越规定的界限时,则F-Host 使安全控制回路进入安全状态。监视器时间周期T(Monitor time period) 决定于
SIL 等级和CRC-长度(见下表)。
图18 SIL-监视器(Monitor)
式中:PUS=max.residual error probability(16/32-bit-CRC 的最大残留错误概率,其中误码率-bit error rate 为0…0.5) 在控制器中,通过DP-V1 平台(非循环数据交换)和通信功能元件(符合IEC61131-3) 来达到相关设备的整合。设备制造厂商的参数化软件与诊断软件被整合到系统制造厂商的工程设计工具中,则是通过FDT/DTM-接口来实现的。所谓FDT/DTM 是现场设备智能化管理软件。FDT 是PROFIBUS 标准之一,2000 年底由德国PNO 推出。FDT(Field Device Tool) 规范描述设备特定软件(设备类型管理器-Device Type Manager) 和自动化系统工程工具之间的接口,设备管理软件的发展从GSD 、Profile 、EDDL 直至今日的FDT/DTM 。FDT/DTM 是将现场总线技术(PROFIBUS、FF,等等)实际应用到过程自动化的基础。图19说明FDT/DTM 、F-Slave( 图中为光栅)和F-控制器中代理功能元件(Proxy FB) 之间的互动关系,说明了F系统如何支持F-从站。 参考文献 [1] PNO:PROFIBUS Draft Specification PROFIsafe-Profile for Safety Technology on PROFIBUS
PROFIsafe 行规可以简便地监视任何一个错误信息,其中F-Host 通过状态字却获得F-Device 的应答信息。
SIL-Monitor 本身不是硬件,而是可实现PROFIsafe-驱动器软件的一部分。借助SIL-Monitor,F-系统能够在故障率超过一定限度之前即采取有效的安全保护措施,从而避免系统中出现险情。
PROFIsafe 的各项功能可以借助一个专用芯片(ASICS)或软件来实现。德国的众多企业由于各种原因首选了软件这条路子。上述“PROFIsafe-驱动器软件”就是由西门子、Bürkert 、Sick、E+H 等11 家企业共同开发的,凡参加开发的企业都有权获得开发相应设备(F-主站、F-从站)的许可证。
七、F-控制系统对F-从站的支持通过FDT/DTM(CPD-Tool)
智能化F-现场设备要求F-系统为实现以下操作提供支持:设计、调试、迅速更换设备、程控参数设置、“Teach-In”、设备诊断和项目数据保存等。
图19 为F-Siaves 群体分配F-和I 一参数
一个安装在工程工具(ET)中的设备制造厂商的参数化软件与诊断软件包(DTM) 通过ET 的通信接口FDT 访问现场设备 F-Slave(本例中为光栅)①。在参数化和调试之后,参数组通过F-控制器中的Proxy FB被装进F-控制器中②(DP-Master/PN IO controller ),并在那里供迅速更换设备使用。为验证数据(i-Parameter)的可信性和完整性,DTM 借助ET 读入Proxy-FB 中的状态参数,将它们同存在于F-Slave中的i-Parameter 进行比较。一旦设备被更换,Proxy FB 能够自动地将i-Parameter 装入F-slave 中。
PROFIsafe 还规定Proxy-FB 能够自动地、周期地执行现场设备的测试程序,以确定该设备的状况是否正常。用这种方式可在适当的时刻更换有隐患的现场设备。
八、结束语
PROFIsafe 安全技术曾于2003 年被介绍到中国,人们对它并不陌生。2004 年,德国西门子公司A&DAS FC TC 的W·斯特里勃夫博士(Dr.W.Stripf) ——人们称他为PROFIsafe 之父,将两台Profisafe 动态模型赠送给我国的CPO 和ITEI,这对国内专业人士了解PROFIsafe 技术起到了积极的推动作用。
PROFIsafe 的应用可以做到对人、机器和环境的有效保护。它所带来的经济利益备受人们的关注。尤其是我国政府大力强调“安全生产”的今天,PROFIsafe 安全技术的推广和应用具有重大的现实意义。哪里有PROFIBUS 和PROFINET,PROFIsafe 就可以在那里大显身手。
笔者对PROFIsafe 安全技术在中国应用的前景十分乐观,相信它将对我国的国民经济建设发挥重要 的作用。
DP and PROFINET IO Version 2.x4 June 2005,Order No:3.192
[2] 惠
[3] IEC 61508“Functional safety of electrical/electronic/programmable electronic safety-related
systems”,1998
[4] IEC 65C/307/NP,2003-05-30
[5] PNO:PROFIBUS Specification “PROFIsafe-Profile for Safety Technology”,
Version 1.30,June 2004,Order No.3.092
[6] PNO:Herbert Barthel,Franz J.Dold,Wolfgang Stripf:PROFIsafe,die Grundlagen,2002
[7] PNO:Support Center:FDT/DTM-Intelligentes Management für Feldger