電子發燒友App
一、引言?
長期以來,故障安全通信技術方面的任務只能在第二層采用常規手段或者通過專用總線分散地加以解決。這使得應用于制造業和過程工業自動化的分布式現場總線 PROFIBUS的生存空間受到限制。迄今為止,PROFIBUS因其擁有PROFIsafe故障安全技術解決方案始終是唯一能夠滿足制造業(采用RS485和光纖傳輸技術)和過程工業自動化(采用“MBP-IS”,即曼徹斯特編碼一總線供電和本質安全傳輸技術,原名 IEC61158-2)故障安全通信要求的現場總線。
?
二、PROFIsafe的主要特征
PROFIsafe的主要特征歸納如下:?
●安全通信和標準通信在同一根電纜上共存;?
●PROFIsafe-故障安全性建立在單信道通信系統之上,安全通信不通過冗余電纜來達到目的;
●標準通信部件,如電纜、專用芯片(ASICS)、DP-棧軟件等等,無任何變化;
●故障安全措施封閉在終端模塊中(F-Master,F-Slave);
●采用專利SIL監視器獲得極高的安全性;
●最高故障安全完整性等級為SIL3(IEC61508),相應的德國標準和歐洲標準分別為AK6(DIN V19250)、Kat.4(EN954-1)。SIL3:>10-8…10-7,即在連續工況下每小時故障率;
●PROFIsafe的軟件解決方案可以靈活地應用于SIL1,2或3的設備及安全控制回路;
●既可用于低能耗(Ex-i)的過程自動化,又可用于反應迅速的制造業自動化;
●環境條件同標準PROFIBUS(抗電磁干擾等)。?
三、通信原理:“Black Channel”和F-(Failsafe)層結構
PROFIsafe使標準現場總線技術和故障安全技術合為一個系統,即故障安全通信和標準通信在同一根電纜上共存。這不僅在布線上和品種多樣性方面可以節約一大筆資金,而且可以日后改建。用戶自然可以根據組織方面的理由將安全功能和標準功能分配到兩根PROFIBUS干線上(圖2)。由圖1可見,經F- Gateway(F-網關)可連接其他安全總線系統。
過程工業自動化要求采用冗余來提高設備的使用率。PROFIsafe則采用單信道通信結構的方法使上述要求的實現非常容易。單信道故障安全可編程控制器可以達到SIL3。這種通信結構原則上也可以執行標準自動化任務,如診斷、參數設置服務器等。
PROFIsafe以標準總線通信部件一電纜、芯片、基本軟件包(層棧)、PROFIBUS-DP-主站和PROFIBUS-DP-從站等為基礎,這些均被劃入“Black Channel-黑色通道”。它一方面表示在“Black Channel”中可能出現的所有故障均由PROFIsafe查出;另一方面“Black Channel”中沒有提高傳輸安全性的各項功能,所以它不涉及安全技術的范疇。
PROFIsafe解決方案的ISO/OSI簡化模型4。
眾所周知,PROFIBUS在ISO/OSI-模型中僅使用了第1、2和7層。故障安全措施則置于第7層一應用層之上的安全層(Safety- Layer)。由于該層僅對有效數據的安全傳送負責,它需要上層負責準備與提供有效數據,而在一個安全現場設備(例如,安全輸入)中是由它的技術固件來施行的。這類固件通常至少有一部分是按照故障安全技術要求設計的。在冗余的硬、軟件結構中嵌入PROFIsafe功能也可以達到上述目的。同標準操作一樣,過程信號及過程數據出現在相應的有效報文中。在安全操作時,僅對這些報文加以補充(圖10、11)。
?
源于某個模塊式從站(一個PROFIBUS站點,它可內裝若干個帶輸入/輸出通道的故障安全模塊)的發送器信號經PROFIBUS從站聯接點進入F-控制器的兩個DP-主站聯接點中的一個,從那里經局域總線進入F-控制器,即故障安全CPU。經聯接后產生的一個輸出信號再次通過局域總線進入第二DP-主站聯接點,入第二根PROFIBUS干線。傳輸速度在DP-PA鏈接器中降低,使用PA-物理傳輸技術(MBP-IS)-達到 31.25kBaud,將信號輸送到故障安全PA-從站中。此信號在其通信路徑的任何地點均未使用一條冗余通道,也就是說,傳輸是單通道的。
以上僅對故障安全報文的通信路徑作了詳細的探討,至于誰負責發送,何時發送的問題,回答很簡單。這里運用了PROFIBUS的標準機制,即主-從操作方式。一個主站-通常為一個CPU,循環地同其所有組態的從站交換報文,即在主站與從站之間存在著1:1的關系。這種輪詢操作(Polling)方式的優點是能夠立即察覺一旦出現故障的某個設備,這正是故障安全技術的基本原則之一。
四、故障安全保護措施:附加的CRC是關鍵?
在復雜的網絡拓撲結構中,發送報文會引發一系列的錯誤,如報文丟失、重復、添加、順序錯、延遲以及偽數據,等等。在故障安全通信中還會出現尋址錯,即一個標準報文錯誤地出現在一個故障安全站點中,且被當作故障安全報文輸出(Masquerade)。此外,傳輸速率的不同還可能對存儲器產生不良后果。 PROFIsafe采取以下措施來對付傳輸錯誤.
●故障安全報文按順序編號;?
●帶應答的時間監控;?
用密碼標識發送器和接收器;?
●增設16/32位循環冗余校驗(CRC),以保證數據的安全。?
一臺接收器根據順序號可以判斷它是否收到按正確順序排列的全部報文。如果它將有順序號的“空”報文作為應答送返發送器,則該接收器同樣是可信的。從原理上講,只要在其中設置一個“Toggle-Bit”也就足夠了,但PROFIsafe因其采用總線存儲元件(路由器)而選擇了一個0…255的計數器,其中 “0”為例外。
在故障安全技術中,一個報文僅僅傳輸正確的過程信號或數值是不夠的,重要的是這些數值必須在故障極限時間內送達,才能使現場相關站點自動地作出安全響應。為此,各站點均配備一個時間控制器,它在故障安全報文到達后即刻“復原”。
主站與從站之間1:1的關系易于辨別錯誤報文。兩者均設有網絡明確規定的標志(密碼),以此即可核查某報文的真實性。
增設循環冗余校驗(CRC-Cyctic-Redundancy-Check)對報文錯誤數據位的識別具有重要作用。有關故障概率的研討可參閱 IEC61508,它對所有的故障安全功能均作了詳述。根據IEC61508,PROFIsafe是以一個或若干個故障安全功能的控制回路為考慮故障概率的出發點).
一個故障安全控制回路包括參與某個安全控制功能的全部傳感器、執行器、傳輸元件和邏輯處理單元。在IEC61508中,針對不同的安全級別(Safety-Integrity-Levels)規定了故障總概率。例如,SIL3:10-7/h。PROFIsafe在傳輸過程中僅占其1%,即容 許的故障概率為10-9/h。根據IEC61508和EN50159-1,對于SIL3可應用下式計算:?
RDP=RHW+REMI+RTC<10-9/h (1)?
式中:RHW=Hardware_Failure?
REMI=EMI_Failure?
RTC=Transmissioncode_Failure?
由此可以建立與報文長度相關的CRC一多項式,以保證未經發現的錯誤報文殘留錯誤率(Residual Error Rate)達到所要求的數量級。在 PROFIsafe中不使用PROFIBUS所依靠的幀-校驗-序列(FCS:Frame-Checking-Sequence)和奇偶校驗(Parity-Check)來識別基本錯誤。換句話說,基本機制下的故障揭示概率不受附加的PROFIsafe CRC-機制的影響。
當位錯誤率很高時,即當一個報文有許多位受到干擾時,殘留錯誤率難以確定。為避免任何不安全性,PROFIsafe使用了一種稱之為SIL-監視器的方法),這種方法已經獲得專利權。?
CRC-安全措施不僅循環地保證過程信號和數據的完整性,而且也保證在相關從站中存放的參數,如標志(密碼)、看門狗(Watch-Dog)時間等完整性。
五、F-報文結構?
以上討論了PROFIsafe安全傳輸報文所使用的方法。下面介紹故障安全報文結構,即PROFIsafe在PROFIBUS通信上的具體映像。先來觀察PROFIBUS-DP報文結構。?
在DP-幀結構中,Data-Unit,PB(Parity-Bit)和FCS是人們關注的焦點。在系統組態/啟動階段,Slave(從站)通過GSD-設備基本數據文件將有效數據的格式通報DP-Master(主站)。在PROFIsafe中的情況雷同。
F-Host和F-Slave(F:Fail-safe,故障安全)在封閉的條件下彼此交換控制信息和狀態信息。當一個F-Slave需要增加參數,或者 F-Host要更改參數時,兩者之間就要交換信息。此外F-Slave可將出錯報文通知F-Host。為進行上述信息交換,PROFIsafe將 1Byte(狀態/控制字節)設在有效數據左邊(圖10、11)。Status/Control Byte各個位所代表的狀態見。
?
另有1Byte用于順序號,該號由某報文的發送器登錄(源計數器),由接收器驗證且以應答報文送返發送器。在一次循環操作中,計數器從1計數到255,0是為系統啟動而設定的。
如前所述,制造業和過程工業對一個安全系統的要求是不同的。前者必須以極快的速度處理(斷路)信號;后者則允許更多的時間處理過程數據。 PROFIsafe因此規定了兩種不同的有效數據長度,它們要求采取不同的CRC-安全措施。第一種有效長最多為12Bytes且有1個2Bytes- CRC2接于流水號之后;另一種有效長最多為122Bytes且有1個4Bytes-CRC2。?
剩余報文有效空間可為標準數據所用。當系統設有通往其他安全總線的F-網關時(圖1),這種結構使通信效率提高。
F報文順序號用于監控發送器的生存期(life)和監控鏈接接收器的通信區段。借助順序號和PROFIsafe應答機制可對F-CPU〈-〉F-Output之間報文運行時間進行控制。
六、SIL-監視器(Monitor)的機理及其作用?
如前所述,PROFIsafe并不依托于PROFIBUS的基本安全機制,而是用附加的CRC來識別全部錯誤,以達到所需求的SIL等級。上面提到的一種專利SIL-Monitor監視器(圖14)可以使SIL等級在分布式故障安全自動化方案的生命期內保持不變,且不受所用總線部件和組態的影響。
圖14中總線故障原因的綜合給出一個表征PROFIBUS傳輸系統上受干擾信息的頻率fw(一個虛構的值)。故障源來自硬件(HW)、EMV/EMI(電磁干擾)及其他。當受干擾報文的頻率超越規定的界限時,則F-Host使安全控制回路進入安全狀態。監視器時間周期 T(Monitor time period)決定于SIL等級和CRC-長度。
數值是在時間T內最多只容許一個受干擾報文存在的情況下計算出來的。由圖14可見,PROFIBUS的標準安全機制(1.Filter)用以識別HD=4 的每個位錯誤;只有HB≥4的位錯誤(special bit patterns)進入PROFIsafe安全機制。如果在標準 PROFIBUS ASIC中的安全機制出現故障(概率很小),則受干擾的信息以統計位模式(statistical bit patterns)進入 PROFIsafe安全機制。此種情況下可用下式求出PUS(typ):?
?
式中:PUS=max.residual error probability(16/32-bit-CRC的最大殘留錯誤概率,其中誤碼率-bit error rate為0…0.5)
SIL-Monitor本身不是硬件,而是可實現PROFIsafe-驅動器軟件的一部分。借助SIL-Monitor,F-系統能夠在故障率超過一定限度之前即采取有效的安全保護措施,從而避免系統中出現險情。?
PROFIsafe的各項功能可以借助一個專用芯片(ASICS)或軟件來實現。德國的眾多企業由于各種原因首選了軟件這條路子。上述 “PROFIsafe-驅動器軟件”就是由西門子、Bürkert、Sick、E+H等11家企業共同開發的,凡參加開發的企業都有權獲得開發相應設備(F-主站、F-從站)的許可證。?
七、F-控制系統對F-從站的支持通過FDT/DTM?
智能化F-現場設備要求F-系統為實現以下操作提供支持:設計、調試、迅速更換設備、程控參數設置、“Teach-In”、設備診斷和項目數據保存等。
在控制器中,通過DP-V1平臺(非循環數據交換)和通信功能元件(符合IEC61131-3)來達到相關設備的整合。設備制造廠商的參數化軟件與診斷軟件被整合到系統制造廠商的工程設計工具中,則是通過FDT/DTM-接口來實現的。所謂FDT/DTM是現場設備智能化管理軟件。FDT是 PROFIBUS標準之一,2000年底由德國PNO推出。FDT(Field Device Tool)規范描述設備特定軟件(設備類型管理器 -Device Type Manager)和自動化系統工程工具之間的接口,設備管理軟件的發展從GSD、Profile、EDDL直至今日的 FDT/DTM。FDT/DTM是將現場總線技術(PROFIBUS、FF,等等)實際應用到過程自動化的基礎。FDT/DTM、F-Slave(圖中為光柵)和F-控制器中代理功能元件(Proxy FB)之間的互動關系,說明了F-系統如何支持F-從站。?
一個安裝在工程工具(ET)中的設備制造廠商的參數化軟件與診斷軟件包(DTM)通過ET的通信接口FDT訪問現場設備 F-Slave(本例中為光柵)①。在參數化和調試之后,參數組通過F-控制器中的Proxy FB被裝進F-控制器中②,并在那里供迅速更換設備使用。為驗證數據(i- Parameter)的可信性和完整性,DTM借助ET讀入Proxy-FB中的狀態參數,將它們同存在于F-Slave中的i-Parameter進行比較。一旦設備被更換,Proxy FB能夠自動地將i-Parameter裝入F-slave中。PROFIsafe還規定Proxy-FB能夠自動地、周期地執行現場設備的測試程序,以確定該設備的狀況是否正常。用這種方式可在適當的時刻更換有隱患的現場設備。?
八、結束語?
最先運用PROFIsafe故障安全通信技術的設備已于2000年由西門子公司推向市場。其中經德國T V認證的西門子自動化系統 SIMATIC S7-417F/H同ET200M的安全I/O模塊于同年成功地應用在歐洲最現代化的煉油廠——德國海德煉油廠(Raffinerie Heide)加氫裂化裝置中,使該廠不再需要煉油廠中常用的故障安全關機系統。
工商網監
評論