PROFIBUS故障安全通信技術(shù)探討

一、引言?

　　長(zhǎng)期以來(lái)，故障安全通信技術(shù)方面的任務(wù)只能在第二層采用常規(guī)手段或者通過(guò)專(zhuān)用總線(xiàn)分散地加以解決。這使得應(yīng)用于制造業(yè)和過(guò)程工業(yè)自動(dòng)化的分布式現(xiàn)場(chǎng)總線(xiàn) PROFIBUS的生存空間受到限制。迄今為止，PROFIBUS因其擁有PROFIsafe故障安全技術(shù)解決方案始終是唯一能夠滿(mǎn)足制造業(yè)(采用RS485和光纖傳輸技術(shù))和過(guò)程工業(yè)自動(dòng)化(采用“MBP-IS”，即曼徹斯特編碼一總線(xiàn)供電和本質(zhì)安全傳輸技術(shù)，原名 IEC61158-2)故障安全通信要求的現(xiàn)場(chǎng)總線(xiàn)。
 

　　二、PROFIsafe的主要特征

　　PROFIsafe的主要特征歸納如下：?

　　●安全通信和標(biāo)準(zhǔn)通信在同一根電纜上共存;?

　　●PROFIsafe-故障安全性建立在單信道通信系統(tǒng)之上，安全通信不通過(guò)冗余電纜來(lái)達(dá)到目的;

　　●標(biāo)準(zhǔn)通信部件，如電纜、專(zhuān)用芯片(ASICS)、DP-棧軟件等等，無(wú)任何變化;

　　●故障安全措施封閉在終端模塊中(F-Master,F-Slave);

　　●采用專(zhuān)利SIL監(jiān)視器獲得極高的安全性;

　　●最高故障安全完整性等級(jí)為SIL3(IEC61508)，相應(yīng)的德國(guó)標(biāo)準(zhǔn)和歐洲標(biāo)準(zhǔn)分別為AK6(DIN V19250)、Kat.4(EN954-1)。SIL3：>10-8…10-7，即在連續(xù)工況下每小時(shí)故障率;

　　●PROFIsafe的軟件解決方案可以靈活地應(yīng)用于SIL1，2或3的設(shè)備及安全控制回路;

　　●既可用于低能耗(Ex-i)的過(guò)程自動(dòng)化，又可用于反應(yīng)迅速的制造業(yè)自動(dòng)化;

　　●環(huán)境條件同標(biāo)準(zhǔn)PROFIBUS(抗電磁干擾等)。?

　　三、通信原理：“Black Channel”和F-(Failsafe)層結(jié)構(gòu)

　　PROFIsafe使標(biāo)準(zhǔn)現(xiàn)場(chǎng)總線(xiàn)技術(shù)和故障安全技術(shù)合為一個(gè)系統(tǒng)，即故障安全通信和標(biāo)準(zhǔn)通信在同一根電纜上共存。這不僅在布線(xiàn)上和品種多樣性方面可以節(jié)約一大筆資金，而且可以日后改建。用戶(hù)自然可以根據(jù)組織方面的理由將安全功能和標(biāo)準(zhǔn)功能分配到兩根PROFIBUS干線(xiàn)上(圖2)。由圖1可見(jiàn)，經(jīng)F- Gateway(F-網(wǎng)關(guān))可連接其他安全總線(xiàn)系統(tǒng)。

　　過(guò)程工業(yè)自動(dòng)化要求采用冗余來(lái)提高設(shè)備的使用率。PROFIsafe則采用單信道通信結(jié)構(gòu)的方法使上述要求的實(shí)現(xiàn)非常容易。單信道故障安全可編程控制器可以達(dá)到SIL3。這種通信結(jié)構(gòu)原則上也可以執(zhí)行標(biāo)準(zhǔn)自動(dòng)化任務(wù)，如診斷、參數(shù)設(shè)置服務(wù)器等。

　　PROFIsafe以標(biāo)準(zhǔn)總線(xiàn)通信部件一電纜、芯片、基本軟件包(層棧)、PROFIBUS-DP-主站和PROFIBUS-DP-從站等為基礎(chǔ)，這些均被劃入“Black Channel-黑色通道”。它一方面表示在“Black Channel”中可能出現(xiàn)的所有故障均由PROFIsafe查出;另一方面“Black Channel”中沒(méi)有提高傳輸安全性的各項(xiàng)功能，所以它不涉及安全技術(shù)的范疇。

　　PROFIsafe解決方案的ISO/OSI簡(jiǎn)化模型4。

　　眾所周知，PROFIBUS在ISO/OSI-模型中僅使用了第1、2和7層。故障安全措施則置于第7層一應(yīng)用層之上的安全層(Safety- Layer)。由于該層僅對(duì)有效數(shù)據(jù)的安全傳送負(fù)責(zé)，它需要上層負(fù)責(zé)準(zhǔn)備與提供有效數(shù)據(jù)，而在一個(gè)安全現(xiàn)場(chǎng)設(shè)備(例如，安全輸入)中是由它的技術(shù)固件來(lái)施行的。這類(lèi)固件通常至少有一部分是按照故障安全技術(shù)要求設(shè)計(jì)的。在冗余的硬、軟件結(jié)構(gòu)中嵌入PROFIsafe功能也可以達(dá)到上述目的。同標(biāo)準(zhǔn)操作一樣，過(guò)程信號(hào)及過(guò)程數(shù)據(jù)出現(xiàn)在相應(yīng)的有效報(bào)文中。在安全操作時(shí)，僅對(duì)這些報(bào)文加以補(bǔ)充(圖10、11)。

　　源于某個(gè)模塊式從站(一個(gè)PROFIBUS站點(diǎn)，它可內(nèi)裝若干個(gè)帶輸入/輸出通道的故障安全模塊)的發(fā)送器信號(hào)經(jīng)PROFIBUS從站聯(lián)接點(diǎn)進(jìn)入F-控制器的兩個(gè)DP-主站聯(lián)接點(diǎn)中的一個(gè)，從那里經(jīng)局域總線(xiàn)進(jìn)入F-控制器，即故障安全CPU。經(jīng)聯(lián)接后產(chǎn)生的一個(gè)輸出信號(hào)再次通過(guò)局域總線(xiàn)進(jìn)入第二DP-主站聯(lián)接點(diǎn)，入第二根PROFIBUS干線(xiàn)。傳輸速度在DP-PA鏈接器中降低，使用PA-物理傳輸技術(shù)(MBP-IS)-達(dá)到 31.25kBaud，將信號(hào)輸送到故障安全PA-從站中。此信號(hào)在其通信路徑的任何地點(diǎn)均未使用一條冗余通道，也就是說(shuō)，傳輸是單通道的。

　　以上僅對(duì)故障安全報(bào)文的通信路徑作了詳細(xì)的探討，至于誰(shuí)負(fù)責(zé)發(fā)送，何時(shí)發(fā)送的問(wèn)題，回答很簡(jiǎn)單。這里運(yùn)用了PROFIBUS的標(biāo)準(zhǔn)機(jī)制，即主-從操作方式。一個(gè)主站-通常為一個(gè)CPU，循環(huán)地同其所有組態(tài)的從站交換報(bào)文，即在主站與從站之間存在著1：1的關(guān)系。這種輪詢(xún)操作(Polling)方式的優(yōu)點(diǎn)是能夠立即察覺(jué)一旦出現(xiàn)故障的某個(gè)設(shè)備，這正是故障安全技術(shù)的基本原則之一。

　　 四、故障安全保護(hù)措施：附加的CRC是關(guān)鍵?

　　在復(fù)雜的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)中，發(fā)送報(bào)文會(huì)引發(fā)一系列的錯(cuò)誤，如報(bào)文丟失、重復(fù)、添加、順序錯(cuò)、延遲以及偽數(shù)據(jù)，等等。在故障安全通信中還會(huì)出現(xiàn)尋址錯(cuò)，即一個(gè)標(biāo)準(zhǔn)報(bào)文錯(cuò)誤地出現(xiàn)在一個(gè)故障安全站點(diǎn)中，且被當(dāng)作故障安全報(bào)文輸出(Masquerade)。此外，傳輸速率的不同還可能對(duì)存儲(chǔ)器產(chǎn)生不良后果。 PROFIsafe采取以下措施來(lái)對(duì)付傳輸錯(cuò)誤.

　　●故障安全報(bào)文按順序編號(hào);?

　　●帶應(yīng)答的時(shí)間監(jiān)控;?

　　用密碼標(biāo)識(shí)發(fā)送器和接收器;?

　　●增設(shè)16/32位循環(huán)冗余校驗(yàn)(CRC)，以保證數(shù)據(jù)的安全。?

　　一臺(tái)接收器根據(jù)順序號(hào)可以判斷它是否收到按正確順序排列的全部報(bào)文。如果它將有順序號(hào)的“空”報(bào)文作為應(yīng)答送返發(fā)送器，則該接收器同樣是可信的。從原理上講，只要在其中設(shè)置一個(gè)“Toggle-Bit”也就足夠了，但PROFIsafe因其采用總線(xiàn)存儲(chǔ)元件(路由器)而選擇了一個(gè)0…255的計(jì)數(shù)器，其中 “0”為例外。

　　在故障安全技術(shù)中，一個(gè)報(bào)文僅僅傳輸正確的過(guò)程信號(hào)或數(shù)值是不夠的，重要的是這些數(shù)值必須在故障極限時(shí)間內(nèi)送達(dá)，才能使現(xiàn)場(chǎng)相關(guān)站點(diǎn)自動(dòng)地作出安全響應(yīng)。為此，各站點(diǎn)均配備一個(gè)時(shí)間控制器，它在故障安全報(bào)文到達(dá)后即刻“復(fù)原”。

　　主站與從站之間1：1的關(guān)系易于辨別錯(cuò)誤報(bào)文。兩者均設(shè)有網(wǎng)絡(luò)明確規(guī)定的標(biāo)志(密碼)，以此即可核查某報(bào)文的真實(shí)性。

　　增設(shè)循環(huán)冗余校驗(yàn)(CRC-Cyctic-Redundancy-Check)對(duì)報(bào)文錯(cuò)誤數(shù)據(jù)位的識(shí)別具有重要作用。有關(guān)故障概率的研討可參閱 IEC61508，它對(duì)所有的故障安全功能均作了詳述。根據(jù)IEC61508，PROFIsafe是以一個(gè)或若干個(gè)故障安全功能的控制回路為考慮故障概率的出發(fā)點(diǎn)).

　　一個(gè)故障安全控制回路包括參與某個(gè)安全控制功能的全部傳感器、執(zhí)行器、傳輸元件和邏輯處理單元。在IEC61508中，針對(duì)不同的安全級(jí)別(Safety-Integrity-Levels)規(guī)定了故障總概率。例如，SIL3：10-7/h。PROFIsafe在傳輸過(guò)程中僅占其1%，即容 許的故障概率為10-9/h。根據(jù)IEC61508和EN50159-1，對(duì)于SIL3可應(yīng)用下式計(jì)算：?

　　RDP=RHW+REMI+RTC<10-9/h (1)?

　　式中：RHW=Hardware_Failure?

　　REMI=EMI_Failure?

　　RTC=Transmissioncode_Failure?

　　由此可以建立與報(bào)文長(zhǎng)度相關(guān)的CRC一多項(xiàng)式，以保證未經(jīng)發(fā)現(xiàn)的錯(cuò)誤報(bào)文殘留錯(cuò)誤率(Residual Error Rate)達(dá)到所要求的數(shù)量級(jí)。在 PROFIsafe中不使用PROFIBUS所依靠的幀-校驗(yàn)-序列(FCS：Frame-Checking-Sequence)和奇偶校驗(yàn)(Parity-Check)來(lái)識(shí)別基本錯(cuò)誤。換句話(huà)說(shuō)，基本機(jī)制下的故障揭示概率不受附加的PROFIsafe CRC-機(jī)制的影響。

　　當(dāng)位錯(cuò)誤率很高時(shí)，即當(dāng)一個(gè)報(bào)文有許多位受到干擾時(shí)，殘留錯(cuò)誤率難以確定。為避免任何不安全性，PROFIsafe使用了一種稱(chēng)之為SIL-監(jiān)視器的方法)，這種方法已經(jīng)獲得專(zhuān)利權(quán)。?

　　CRC-安全措施不僅循環(huán)地保證過(guò)程信號(hào)和數(shù)據(jù)的完整性，而且也保證在相關(guān)從站中存放的參數(shù)，如標(biāo)志(密碼)、看門(mén)狗(Watch-Dog)時(shí)間等完整性。

　　五、F-報(bào)文結(jié)構(gòu)?

　　以上討論了PROFIsafe安全傳輸報(bào)文所使用的方法。下面介紹故障安全報(bào)文結(jié)構(gòu)，即PROFIsafe在PROFIBUS通信上的具體映像。先來(lái)觀察PROFIBUS-DP報(bào)文結(jié)構(gòu)。?

　　在DP-幀結(jié)構(gòu)中，Data-Unit，PB(Parity-Bit)和FCS是人們關(guān)注的焦點(diǎn)。在系統(tǒng)組態(tài)/啟動(dòng)階段，Slave(從站)通過(guò)GSD-設(shè)備基本數(shù)據(jù)文件將有效數(shù)據(jù)的格式通報(bào)DP-Master(主站)。在PROFIsafe中的情況雷同。

　　F-Host和F-Slave(F:Fail-safe，故障安全)在封閉的條件下彼此交換控制信息和狀態(tài)信息。當(dāng)一個(gè)F-Slave需要增加參數(shù)，或者 F-Host要更改參數(shù)時(shí)，兩者之間就要交換信息。此外F-Slave可將出錯(cuò)報(bào)文通知F-Host。為進(jìn)行上述信息交換，PROFIsafe將 1Byte(狀態(tài)/控制字節(jié))設(shè)在有效數(shù)據(jù)左邊(圖10、11)。Status/Control Byte各個(gè)位所代表的狀態(tài)見(jiàn)。

　　另有1Byte用于順序號(hào)，該號(hào)由某報(bào)文的發(fā)送器登錄(源計(jì)數(shù)器)，由接收器驗(yàn)證且以應(yīng)答報(bào)文送返發(fā)送器。在一次循環(huán)操作中，計(jì)數(shù)器從1計(jì)數(shù)到255，0是為系統(tǒng)啟動(dòng)而設(shè)定的。

　　如前所述，制造業(yè)和過(guò)程工業(yè)對(duì)一個(gè)安全系統(tǒng)的要求是不同的。前者必須以極快的速度處理(斷路)信號(hào);后者則允許更多的時(shí)間處理過(guò)程數(shù)據(jù)。 PROFIsafe因此規(guī)定了兩種不同的有效數(shù)據(jù)長(zhǎng)度，它們要求采取不同的CRC-安全措施。第一種有效長(zhǎng)最多為12Bytes且有1個(gè)2Bytes- CRC2接于流水號(hào)之后;另一種有效長(zhǎng)最多為122Bytes且有1個(gè)4Bytes-CRC2。?

　　剩余報(bào)文有效空間可為標(biāo)準(zhǔn)數(shù)據(jù)所用。當(dāng)系統(tǒng)設(shè)有通往其他安全總線(xiàn)的F-網(wǎng)關(guān)時(shí)(圖1)，這種結(jié)構(gòu)使通信效率提高。

　　F報(bào)文順序號(hào)用于監(jiān)控發(fā)送器的生存期(life)和監(jiān)控鏈接接收器的通信區(qū)段。借助順序號(hào)和PROFIsafe應(yīng)答機(jī)制可對(duì)F-CPU〈-〉F-Output之間報(bào)文運(yùn)行時(shí)間進(jìn)行控制。六、SIL-監(jiān)視器(Monitor)的機(jī)理及其作用?

　　如前所述，PROFIsafe并不依托于PROFIBUS的基本安全機(jī)制，而是用附加的CRC來(lái)識(shí)別全部錯(cuò)誤，以達(dá)到所需求的SIL等級(jí)。上面提到的一種專(zhuān)利SIL-Monitor監(jiān)視器(圖14)可以使SIL等級(jí)在分布式故障安全自動(dòng)化方案的生命期內(nèi)保持不變，且不受所用總線(xiàn)部件和組態(tài)的影響。

　　圖14中總線(xiàn)故障原因的綜合給出一個(gè)表征PROFIBUS傳輸系統(tǒng)上受干擾信息的頻率fw(一個(gè)虛構(gòu)的值)。故障源來(lái)自硬件(HW)、EMV/EMI(電磁干擾)及其他。當(dāng)受干擾報(bào)文的頻率超越規(guī)定的界限時(shí)，則F-Host使安全控制回路進(jìn)入安全狀態(tài)。監(jiān)視器時(shí)間周期 T(Monitor time period)決定于SIL等級(jí)和CRC-長(zhǎng)度。

　　數(shù)值是在時(shí)間T內(nèi)最多只容許一個(gè)受干擾報(bào)文存在的情況下計(jì)算出來(lái)的。由圖14可見(jiàn)，PROFIBUS的標(biāo)準(zhǔn)安全機(jī)制(1.Filter)用以識(shí)別HD=4 的每個(gè)位錯(cuò)誤;只有HB≥4的位錯(cuò)誤(special bit patterns)進(jìn)入PROFIsafe安全機(jī)制。如果在標(biāo)準(zhǔn) PROFIBUS ASIC中的安全機(jī)制出現(xiàn)故障(概率很小)，則受干擾的信息以統(tǒng)計(jì)位模式(statistical bit patterns)進(jìn)入 PROFIsafe安全機(jī)制。此種情況下可用下式求出PUS(typ)：?

　　式中：PUS=max.residual error probability(16/32-bit-CRC的最大殘留錯(cuò)誤概率，其中誤碼率-bit error rate為0…0.5)

　　SIL-Monitor本身不是硬件，而是可實(shí)現(xiàn)PROFIsafe-驅(qū)動(dòng)器軟件的一部分。借助SIL-Monitor，F(xiàn)-系統(tǒng)能夠在故障率超過(guò)一定限度之前即采取有效的安全保護(hù)措施，從而避免系統(tǒng)中出現(xiàn)險(xiǎn)情。?

　　PROFIsafe的各項(xiàng)功能可以借助一個(gè)專(zhuān)用芯片(ASICS)或軟件來(lái)實(shí)現(xiàn)。德國(guó)的眾多企業(yè)由于各種原因首選了軟件這條路子。上述 “PROFIsafe-驅(qū)動(dòng)器軟件”就是由西門(mén)子、Bürkert、Sick、E+H等11家企業(yè)共同開(kāi)發(fā)的，凡參加開(kāi)發(fā)的企業(yè)都有權(quán)獲得開(kāi)發(fā)相應(yīng)設(shè)備(F-主站、F-從站)的許可證。?

　　七、F-控制系統(tǒng)對(duì)F-從站的支持通過(guò)FDT/DTM?

　　智能化F-現(xiàn)場(chǎng)設(shè)備要求F-系統(tǒng)為實(shí)現(xiàn)以下操作提供支持：設(shè)計(jì)、調(diào)試、迅速更換設(shè)備、程控參數(shù)設(shè)置、“Teach-In”、設(shè)備診斷和項(xiàng)目數(shù)據(jù)保存等。

　　在控制器中，通過(guò)DP-V1平臺(tái)(非循環(huán)數(shù)據(jù)交換)和通信功能元件(符合IEC61131-3)來(lái)達(dá)到相關(guān)設(shè)備的整合。設(shè)備制造廠(chǎng)商的參數(shù)化軟件與診斷軟件被整合到系統(tǒng)制造廠(chǎng)商的工程設(shè)計(jì)工具中，則是通過(guò)FDT/DTM-接口來(lái)實(shí)現(xiàn)的。所謂FDT/DTM是現(xiàn)場(chǎng)設(shè)備智能化管理軟件。FDT是 PROFIBUS標(biāo)準(zhǔn)之一，2000年底由德國(guó)PNO推出。FDT(Field Device Tool)規(guī)范描述設(shè)備特定軟件(設(shè)備類(lèi)型管理器 -Device Type Manager)和自動(dòng)化系統(tǒng)工程工具之間的接口，設(shè)備管理軟件的發(fā)展從GSD、Profile、EDDL直至今日的 FDT/DTM。FDT/DTM是將現(xiàn)場(chǎng)總線(xiàn)技術(shù)(PROFIBUS、FF，等等)實(shí)際應(yīng)用到過(guò)程自動(dòng)化的基礎(chǔ)。FDT/DTM、F-Slave(圖中為光柵)和F-控制器中代理功能元件(Proxy FB)之間的互動(dòng)關(guān)系，說(shuō)明了F-系統(tǒng)如何支持F-從站。?

　　一個(gè)安裝在工程工具(ET)中的設(shè)備制造廠(chǎng)商的參數(shù)化軟件與診斷軟件包(DTM)通過(guò)ET的通信接口FDT訪(fǎng)問(wèn)現(xiàn)場(chǎng)設(shè)備 F-Slave(本例中為光柵)①。在參數(shù)化和調(diào)試之后，參數(shù)組通過(guò)F-控制器中的Proxy FB被裝進(jìn)F-控制器中②，并在那里供迅速更換設(shè)備使用。為驗(yàn)證數(shù)據(jù)(i- Parameter)的可信性和完整性，DTM借助ET讀入Proxy-FB中的狀態(tài)參數(shù)，將它們同存在于F-Slave中的i-Parameter進(jìn)行比較。一旦設(shè)備被更換，Proxy FB能夠自動(dòng)地將i-Parameter裝入F-slave中。PROFIsafe還規(guī)定Proxy-FB能夠自動(dòng)地、周期地執(zhí)行現(xiàn)場(chǎng)設(shè)備的測(cè)試程序，以確定該設(shè)備的狀況是否正常。用這種方式可在適當(dāng)?shù)臅r(shí)刻更換有隱患的現(xiàn)場(chǎng)設(shè)備。?

　　八、結(jié)束語(yǔ)?

　　最先運(yùn)用PROFIsafe故障安全通信技術(shù)的設(shè)備已于2000年由西門(mén)子公司推向市場(chǎng)。其中經(jīng)德國(guó)T V認(rèn)證的西門(mén)子自動(dòng)化系統(tǒng) SIMATIC S7-417F/H同ET200M的安全I(xiàn)/O模塊于同年成功地應(yīng)用在歐洲最現(xiàn)代化的煉油廠(chǎng)——德國(guó)海德煉油廠(chǎng)(Raffinerie Heide)加氫裂化裝置中，使該廠(chǎng)不再需要煉油廠(chǎng)中常用的故障安全關(guān)機(jī)系統(tǒng)。