PROFIBUS故障安全通信技術(shù)探討

一、引言?

　　長期以來，故障安全通信技術(shù)方面的任務只能在第二層采用常規(guī)手段或者通過專用總線分散地加以解決。這使得應用于制造業(yè)和過程工業(yè)自動化的分布式現(xiàn)場總線 PROFIBUS的生存空間受到限制。迄今為止，PROFIBUS因其擁有PROFIsafe故障安全技術(shù)解決方案始終是唯一能夠滿足制造業(yè)(采用RS485和光纖傳輸技術(shù))和過程工業(yè)自動化(采用“MBP-IS”，即曼徹斯特編碼一總線供電和本質(zhì)安全傳輸技術(shù)，原名 IEC61158-2)故障安全通信要求的現(xiàn)場總線。
 

　　二、PROFIsafe的主要特征

　　PROFIsafe的主要特征歸納如下：?

　　●安全通信和標準通信在同一根電纜上共存;?

　　●PROFIsafe-故障安全性建立在單信道通信系統(tǒng)之上，安全通信不通過冗余電纜來達到目的;

　　●標準通信部件，如電纜、專用芯片(ASICS)、DP-棧軟件等等，無任何變化;

　　●故障安全措施封閉在終端模塊中(F-Master,F-Slave);

　　●采用專利SIL監(jiān)視器獲得極高的安全性;

　　●最高故障安全完整性等級為SIL3(IEC61508)，相應的德國標準和歐洲標準分別為AK6(DIN V19250)、Kat.4(EN954-1)。SIL3：>10-8…10-7，即在連續(xù)工況下每小時故障率;

　　●PROFIsafe的軟件解決方案可以靈活地應用于SIL1，2或3的設(shè)備及安全控制回路;

　　●既可用于低能耗(Ex-i)的過程自動化，又可用于反應迅速的制造業(yè)自動化;

　　●環(huán)境條件同標準PROFIBUS(抗電磁干擾等)。?

　　三、通信原理：“Black Channel”和F-(Failsafe)層結(jié)構(gòu)

　　PROFIsafe使標準現(xiàn)場總線技術(shù)和故障安全技術(shù)合為一個系統(tǒng)，即故障安全通信和標準通信在同一根電纜上共存。這不僅在布線上和品種多樣性方面可以節(jié)約一大筆資金，而且可以日后改建。用戶自然可以根據(jù)組織方面的理由將安全功能和標準功能分配到兩根PROFIBUS干線上(圖2)。由圖1可見，經(jīng)F- Gateway(F-網(wǎng)關(guān))可連接其他安全總線系統(tǒng)。

　　過程工業(yè)自動化要求采用冗余來提高設(shè)備的使用率。PROFIsafe則采用單信道通信結(jié)構(gòu)的方法使上述要求的實現(xiàn)非常容易。單信道故障安全可編程控制器可以達到SIL3。這種通信結(jié)構(gòu)原則上也可以執(zhí)行標準自動化任務，如診斷、參數(shù)設(shè)置服務器等。

　　PROFIsafe以標準總線通信部件一電纜、芯片、基本軟件包(層棧)、PROFIBUS-DP-主站和PROFIBUS-DP-從站等為基礎(chǔ)，這些均被劃入“Black Channel-黑色通道”。它一方面表示在“Black Channel”中可能出現(xiàn)的所有故障均由PROFIsafe查出;另一方面“Black Channel”中沒有提高傳輸安全性的各項功能，所以它不涉及安全技術(shù)的范疇。

　　PROFIsafe解決方案的ISO/OSI簡化模型4。

　　眾所周知，PROFIBUS在ISO/OSI-模型中僅使用了第1、2和7層。故障安全措施則置于第7層一應用層之上的安全層(Safety- Layer)。由于該層僅對有效數(shù)據(jù)的安全傳送負責，它需要上層負責準備與提供有效數(shù)據(jù)，而在一個安全現(xiàn)場設(shè)備(例如，安全輸入)中是由它的技術(shù)固件來施行的。這類固件通常至少有一部分是按照故障安全技術(shù)要求設(shè)計的。在冗余的硬、軟件結(jié)構(gòu)中嵌入PROFIsafe功能也可以達到上述目的。同標準操作一樣，過程信號及過程數(shù)據(jù)出現(xiàn)在相應的有效報文中。在安全操作時，僅對這些報文加以補充(圖10、11)。

　　源于某個模塊式從站(一個PROFIBUS站點，它可內(nèi)裝若干個帶輸入/輸出通道的故障安全模塊)的發(fā)送器信號經(jīng)PROFIBUS從站聯(lián)接點進入F-控制器的兩個DP-主站聯(lián)接點中的一個，從那里經(jīng)局域總線進入F-控制器，即故障安全CPU。經(jīng)聯(lián)接后產(chǎn)生的一個輸出信號再次通過局域總線進入第二DP-主站聯(lián)接點，入第二根PROFIBUS干線。傳輸速度在DP-PA鏈接器中降低，使用PA-物理傳輸技術(shù)(MBP-IS)-達到 31.25kBaud，將信號輸送到故障安全PA-從站中。此信號在其通信路徑的任何地點均未使用一條冗余通道，也就是說，傳輸是單通道的。

　　以上僅對故障安全報文的通信路徑作了詳細的探討，至于誰負責發(fā)送，何時發(fā)送的問題，回答很簡單。這里運用了PROFIBUS的標準機制，即主-從操作方式。一個主站-通常為一個CPU，循環(huán)地同其所有組態(tài)的從站交換報文，即在主站與從站之間存在著1：1的關(guān)系。這種輪詢操作(Polling)方式的優(yōu)點是能夠立即察覺一旦出現(xiàn)故障的某個設(shè)備，這正是故障安全技術(shù)的基本原則之一。

　　 四、故障安全保護措施：附加的CRC是關(guān)鍵?

　　在復雜的網(wǎng)絡拓撲結(jié)構(gòu)中，發(fā)送報文會引發(fā)一系列的錯誤，如報文丟失、重復、添加、順序錯、延遲以及偽數(shù)據(jù)，等等。在故障安全通信中還會出現(xiàn)尋址錯，即一個標準報文錯誤地出現(xiàn)在一個故障安全站點中，且被當作故障安全報文輸出(Masquerade)。此外，傳輸速率的不同還可能對存儲器產(chǎn)生不良后果。 PROFIsafe采取以下措施來對付傳輸錯誤.

　　●故障安全報文按順序編號;?

　　●帶應答的時間監(jiān)控;?

　　用密碼標識發(fā)送器和接收器;?

　　●增設(shè)16/32位循環(huán)冗余校驗(CRC)，以保證數(shù)據(jù)的安全。?

　　一臺接收器根據(jù)順序號可以判斷它是否收到按正確順序排列的全部報文。如果它將有順序號的“空”報文作為應答送返發(fā)送器，則該接收器同樣是可信的。從原理上講，只要在其中設(shè)置一個“Toggle-Bit”也就足夠了，但PROFIsafe因其采用總線存儲元件(路由器)而選擇了一個0…255的計數(shù)器，其中 “0”為例外。

　　在故障安全技術(shù)中，一個報文僅僅傳輸正確的過程信號或數(shù)值是不夠的，重要的是這些數(shù)值必須在故障極限時間內(nèi)送達，才能使現(xiàn)場相關(guān)站點自動地作出安全響應。為此，各站點均配備一個時間控制器，它在故障安全報文到達后即刻“復原”。

　　主站與從站之間1：1的關(guān)系易于辨別錯誤報文。兩者均設(shè)有網(wǎng)絡明確規(guī)定的標志(密碼)，以此即可核查某報文的真實性。

　　增設(shè)循環(huán)冗余校驗(CRC-Cyctic-Redundancy-Check)對報文錯誤數(shù)據(jù)位的識別具有重要作用。有關(guān)故障概率的研討可參閱 IEC61508，它對所有的故障安全功能均作了詳述。根據(jù)IEC61508，PROFIsafe是以一個或若干個故障安全功能的控制回路為考慮故障概率的出發(fā)點).

　　一個故障安全控制回路包括參與某個安全控制功能的全部傳感器、執(zhí)行器、傳輸元件和邏輯處理單元。在IEC61508中，針對不同的安全級別(Safety-Integrity-Levels)規(guī)定了故障總概率。例如，SIL3：10-7/h。PROFIsafe在傳輸過程中僅占其1%，即容 許的故障概率為10-9/h。根據(jù)IEC61508和EN50159-1，對于SIL3可應用下式計算：?

　　RDP=RHW+REMI+RTC<10-9/h (1)?

　　式中：RHW=Hardware_Failure?

　　REMI=EMI_Failure?

　　RTC=Transmissioncode_Failure?

　　由此可以建立與報文長度相關(guān)的CRC一多項式，以保證未經(jīng)發(fā)現(xiàn)的錯誤報文殘留錯誤率(Residual Error Rate)達到所要求的數(shù)量級。在 PROFIsafe中不使用PROFIBUS所依靠的幀-校驗-序列(FCS：Frame-Checking-Sequence)和奇偶校驗(Parity-Check)來識別基本錯誤。換句話說，基本機制下的故障揭示概率不受附加的PROFIsafe CRC-機制的影響。

　　當位錯誤率很高時，即當一個報文有許多位受到干擾時，殘留錯誤率難以確定。為避免任何不安全性，PROFIsafe使用了一種稱之為SIL-監(jiān)視器的方法)，這種方法已經(jīng)獲得專利權(quán)。?

　　CRC-安全措施不僅循環(huán)地保證過程信號和數(shù)據(jù)的完整性，而且也保證在相關(guān)從站中存放的參數(shù)，如標志(密碼)、看門狗(Watch-Dog)時間等完整性。

　　五、F-報文結(jié)構(gòu)?

　　以上討論了PROFIsafe安全傳輸報文所使用的方法。下面介紹故障安全報文結(jié)構(gòu)，即PROFIsafe在PROFIBUS通信上的具體映像。先來觀察PROFIBUS-DP報文結(jié)構(gòu)。?

　　在DP-幀結(jié)構(gòu)中，Data-Unit，PB(Parity-Bit)和FCS是人們關(guān)注的焦點。在系統(tǒng)組態(tài)/啟動階段，Slave(從站)通過GSD-設(shè)備基本數(shù)據(jù)文件將有效數(shù)據(jù)的格式通報DP-Master(主站)。在PROFIsafe中的情況雷同。

　　F-Host和F-Slave(F:Fail-safe，故障安全)在封閉的條件下彼此交換控制信息和狀態(tài)信息。當一個F-Slave需要增加參數(shù)，或者 F-Host要更改參數(shù)時，兩者之間就要交換信息。此外F-Slave可將出錯報文通知F-Host。為進行上述信息交換，PROFIsafe將 1Byte(狀態(tài)/控制字節(jié))設(shè)在有效數(shù)據(jù)左邊(圖10、11)。Status/Control Byte各個位所代表的狀態(tài)見。

　　另有1Byte用于順序號，該號由某報文的發(fā)送器登錄(源計數(shù)器)，由接收器驗證且以應答報文送返發(fā)送器。在一次循環(huán)操作中，計數(shù)器從1計數(shù)到255，0是為系統(tǒng)啟動而設(shè)定的。

　　如前所述，制造業(yè)和過程工業(yè)對一個安全系統(tǒng)的要求是不同的。前者必須以極快的速度處理(斷路)信號;后者則允許更多的時間處理過程數(shù)據(jù)。 PROFIsafe因此規(guī)定了兩種不同的有效數(shù)據(jù)長度，它們要求采取不同的CRC-安全措施。第一種有效長最多為12Bytes且有1個2Bytes- CRC2接于流水號之后;另一種有效長最多為122Bytes且有1個4Bytes-CRC2。?

　　剩余報文有效空間可為標準數(shù)據(jù)所用。當系統(tǒng)設(shè)有通往其他安全總線的F-網(wǎng)關(guān)時(圖1)，這種結(jié)構(gòu)使通信效率提高。

　　F報文順序號用于監(jiān)控發(fā)送器的生存期(life)和監(jiān)控鏈接接收器的通信區(qū)段。借助順序號和PROFIsafe應答機制可對F-CPU〈-〉F-Output之間報文運行時間進行控制。六、SIL-監(jiān)視器(Monitor)的機理及其作用?

　　如前所述，PROFIsafe并不依托于PROFIBUS的基本安全機制，而是用附加的CRC來識別全部錯誤，以達到所需求的SIL等級。上面提到的一種專利SIL-Monitor監(jiān)視器(圖14)可以使SIL等級在分布式故障安全自動化方案的生命期內(nèi)保持不變，且不受所用總線部件和組態(tài)的影響。

　　圖14中總線故障原因的綜合給出一個表征PROFIBUS傳輸系統(tǒng)上受干擾信息的頻率fw(一個虛構(gòu)的值)。故障源來自硬件(HW)、EMV/EMI(電磁干擾)及其他。當受干擾報文的頻率超越規(guī)定的界限時，則F-Host使安全控制回路進入安全狀態(tài)。監(jiān)視器時間周期 T(Monitor time period)決定于SIL等級和CRC-長度。

　　數(shù)值是在時間T內(nèi)最多只容許一個受干擾報文存在的情況下計算出來的。由圖14可見，PROFIBUS的標準安全機制(1.Filter)用以識別HD=4 的每個位錯誤;只有HB≥4的位錯誤(special bit patterns)進入PROFIsafe安全機制。如果在標準 PROFIBUS ASIC中的安全機制出現(xiàn)故障(概率很小)，則受干擾的信息以統(tǒng)計位模式(statistical bit patterns)進入 PROFIsafe安全機制。此種情況下可用下式求出PUS(typ)：?

　　式中：PUS=max.residual error probability(16/32-bit-CRC的最大殘留錯誤概率，其中誤碼率-bit error rate為0…0.5)

　　SIL-Monitor本身不是硬件，而是可實現(xiàn)PROFIsafe-驅(qū)動器軟件的一部分。借助SIL-Monitor，F(xiàn)-系統(tǒng)能夠在故障率超過一定限度之前即采取有效的安全保護措施，從而避免系統(tǒng)中出現(xiàn)險情。?

　　PROFIsafe的各項功能可以借助一個專用芯片(ASICS)或軟件來實現(xiàn)。德國的眾多企業(yè)由于各種原因首選了軟件這條路子。上述 “PROFIsafe-驅(qū)動器軟件”就是由西門子、Bürkert、Sick、E+H等11家企業(yè)共同開發(fā)的，凡參加開發(fā)的企業(yè)都有權(quán)獲得開發(fā)相應設(shè)備(F-主站、F-從站)的許可證。?

　　七、F-控制系統(tǒng)對F-從站的支持通過FDT/DTM?

　　智能化F-現(xiàn)場設(shè)備要求F-系統(tǒng)為實現(xiàn)以下操作提供支持：設(shè)計、調(diào)試、迅速更換設(shè)備、程控參數(shù)設(shè)置、“Teach-In”、設(shè)備診斷和項目數(shù)據(jù)保存等。

　　在控制器中，通過DP-V1平臺(非循環(huán)數(shù)據(jù)交換)和通信功能元件(符合IEC61131-3)來達到相關(guān)設(shè)備的整合。設(shè)備制造廠商的參數(shù)化軟件與診斷軟件被整合到系統(tǒng)制造廠商的工程設(shè)計工具中，則是通過FDT/DTM-接口來實現(xiàn)的。所謂FDT/DTM是現(xiàn)場設(shè)備智能化管理軟件。FDT是 PROFIBUS標準之一，2000年底由德國PNO推出。FDT(Field Device Tool)規(guī)范描述設(shè)備特定軟件(設(shè)備類型管理器 -Device Type Manager)和自動化系統(tǒng)工程工具之間的接口，設(shè)備管理軟件的發(fā)展從GSD、Profile、EDDL直至今日的 FDT/DTM。FDT/DTM是將現(xiàn)場總線技術(shù)(PROFIBUS、FF，等等)實際應用到過程自動化的基礎(chǔ)。FDT/DTM、F-Slave(圖中為光柵)和F-控制器中代理功能元件(Proxy FB)之間的互動關(guān)系，說明了F-系統(tǒng)如何支持F-從站。?

　　一個安裝在工程工具(ET)中的設(shè)備制造廠商的參數(shù)化軟件與診斷軟件包(DTM)通過ET的通信接口FDT訪問現(xiàn)場設(shè)備 F-Slave(本例中為光柵)①。在參數(shù)化和調(diào)試之后，參數(shù)組通過F-控制器中的Proxy FB被裝進F-控制器中②，并在那里供迅速更換設(shè)備使用。為驗證數(shù)據(jù)(i- Parameter)的可信性和完整性，DTM借助ET讀入Proxy-FB中的狀態(tài)參數(shù)，將它們同存在于F-Slave中的i-Parameter進行比較。一旦設(shè)備被更換，Proxy FB能夠自動地將i-Parameter裝入F-slave中。PROFIsafe還規(guī)定Proxy-FB能夠自動地、周期地執(zhí)行現(xiàn)場設(shè)備的測試程序，以確定該設(shè)備的狀況是否正常。用這種方式可在適當?shù)臅r刻更換有隱患的現(xiàn)場設(shè)備。?

　　八、結(jié)束語?

　　最先運用PROFIsafe故障安全通信技術(shù)的設(shè)備已于2000年由西門子公司推向市場。其中經(jīng)德國T V認證的西門子自動化系統(tǒng) SIMATIC S7-417F/H同ET200M的安全I/O模塊于同年成功地應用在歐洲最現(xiàn)代化的煉油廠——德國海德煉油廠(Raffinerie Heide)加氫裂化裝置中，使該廠不再需要煉油廠中常用的故障安全關(guān)機系統(tǒng)。