长期以来,故障安全通信技术方面的任务只能在第二层采用常规手段或者通过专用总线分散地加以解决。这使得应用于制造业和过程工业自动化的分布式现场总线PROFIBUS的生存空间受到限制。1998年德国PROFIBUS用户组织(PNO)以故障安全技术的应用为目标,专门设立了一个工作组,着手制订一种整体的、开放的解决方案。其通信基础是PROFIBUS-DP,所依据的主要标准则是IEC61508和欧洲标准EN954以及EN5O159-1/-2等。
1999年,PNO在德国汉诺威博览会上公布了在标准PROFIBUS上实现主、从站之间故障安全通信的技术规范,其注册商标名为PROFlsafe(V. 1.0)。它通过了德国BIA-联邦劳动安全研究所和T V-技术监督联合会的认证。之后,该规范的使用范围扩大,成为连接任何安全控制器所必备的先决条件。随着从站与从站之间故障安全通信(F-Slave to F-slave,PROFIBUS DPV2)和以太网通信(PROFInet)的出台,PROFIsafe的工作进入了第二阶段,即“V.1.20,2002”。以西门子为首的德国25家知名企业参与了PROFIsafe应用行规的制订和产品开发。
PROFIsafe的问世曾在国际现场总线技术领域中引起了轰动。迄今为止,PROFIBUS因其拥有PROFIsafe故障安全技术解决方案始终是唯一能够满足制造业(采用RS485和光纤传输技术)和过程工业自动化(采用“MBP-IS”,即曼彻斯特编码一总线供电和本质安全传输技术,原名IEC61158-2)故障安全通信要求的现场总线。
二、PROFIsafe的主要特征
PROFIsafe的主要特征归纳如下:
●安全通信和标准通信在同一根电缆上共存;
●PROFIsafe-故障安全性建立在单信道通信系统之上,安全通信不通过冗余电缆来达到目的;
●标准通信部件,如电缆、专用芯片(ASICS)、DP-栈软件等等,无任何变化;
●故障安全措施封闭在终端模块中(F-Master,F-Slave);
●采用专利SIL监视器获得极高的安全性;
●最高故障安全完整性等级为SIL3(IEC61508),相应的德国标准和欧洲标准分别为AK6(DIN V19250)、Kat.4(EN954-1)。SIL3:>10-8…10-7,即在连续工况下每小时故障率;
●PROFIsafe的软件解决方案可以灵活地应用于SIL1,2或3的设备及安全控制回路;
●既可用于低能耗(Ex-i)的过程自动化,又可用于反应迅速的制造业自动化;
●环境条件同标准PROFIBUS(抗电磁干扰等)。
三、通信原理:“Black Channel”和F-(Failsafe)层结构
PROFIsafe使标准现场总线技术和故障安全技术合为一个系统,即故障安全通信和标准通信在同一根电缆上共存。这不仅在布线上和品种多样性方面可以节约一大笔资金,而且可以日后改建。用户自然可以根据组织方面的理由将安全功能和标准功能分配到两根PROFIBUS干线上(图2)。由图1可见,经F-Gateway(F-网关)可连接其他安全总线系统。
过程工业自动化要求采用冗余来提高设备的使用率。PROFIsafe则采用单信道通信结构的方法使上述要求的实现非常容易(图5)。单信道故障安全可编程控制器可以达到SIL3。这种通信结构原则上也可以执行标准自动化任务,如诊断、参数设置服务器等。
PROFIsafe以标准总线通信部件一电缆、芯片、基本软件包(层栈)、PROFIBUS-DP-主站和PROFIBUS-DP-从站等为基础,这些均被划入“Black Channel-黑色通道”。它一方面表示在“Black Channel”中可能出现的所有故障均由PROFIsafe查出;另一方面“Black Channel”中没有提高传输安全性的各项功能,所以它不涉及安全技术的范畴。
PROFIsafe解决方案的ISO/OSI简化模型4。
众所周知,PROFIBUS在ISO/OSI-模型中仅使用了第1、2和7层。故障安全措施则置于第7层一应用层之上的安全层(Safety-Layer)。由于该层仅对有效数据的安全传送负责,它需要上层负责准备与提供有效数据,而在一个安全现场设备(例如,安全输入)中是由它的技术固件来施行的。这类固件通常至少有一部分是按照故障安全技术要求设计的。在冗余的硬、软件结构中嵌入PROFIsafe功能也可以达到上述目的。同标准操作一样,过程信号及过程数据出现在相应的有效报文中。在安全操作时,仅对这些报文加以补充(图10、11)。
源于某个模块式从站(一个PROFIBUS站点,它可内装若干个带输入/输出通道的故障安全模块)的发送器信号经PROFIBUS从站联接点进入F-控制器的两个DP-主站联接点中的一个,从那里经局域总线进入F-控制器,即故障安全CPU。经联接后产生的一个输出信号再次通过局域总线进入第二DP-主站联接点,入第二根PROFIBUS干线。传输速度在DP-PA链接器中降低,使用PA-物理传输技术(MBP-IS)-达到 31.25kBaud,将信号输送到故障安全PA-从站中。此信号在其通信路径的任何地点均未使用一条冗余通道,也就是说,传输是单通道的。
以上仅对故障安全报文的通信路径作了详细的探讨,至于谁负责发送,何时发送的问题,回答很简单。这里运用了PROFIBUS的标准机制,即主-从操作方式。一个主站-通常为一个CPU,循环地同其所有组态的从站交换报文,即在主站与从站之间存在着1:1的关系。这种轮询操作(Polling)方式的优点是能够立即察觉一旦出现故障的某个设备,这正是故障安全技术的基本原则之一。
四、故障安全保护措施:附加的CRC是关键
在复杂的网络拓扑结构中,发送报文会引发一系列的错误,如报文丢失、重复、添加、顺序错、延迟以及伪数据,等等。在故障安全通信中还会出现寻址错,即一个标准报文错误地出现在一个故障安全站点中,且被当作故障安全报文输出(Masquerade)。此外,传输速率的不同还可能对存储器产生不良后果。PROFIsafe采取以下措施来对付传输错误.
●故障安全报文按顺序编号;
●带应答的时间监控;
●用密码标识发送器和接收器;
●增设16/32位循环冗余校验(CRC),以保证数据的安全。
一台接收器根据顺序号可以判断它是否收到按正确顺序排列的全部报文。如果它将有顺序号的“空”报文作为应答送返发送器,则该接收器同样是可信的。从原理上讲,只要在其中设置一个“Toggle-Bit”也就足够了,但PROFIsafe因其采用总线存储元件(路由器)而选择了一个0…255的计数器,其中“0”为例外。
在故障安全技术中,一个报文仅仅传输正确的过程信号或数值是不够的,重要的是这些数值必须在故障极限时间内送达,才能使现场相关站点自动地作出安全响应。为此,各站点均配备一个时间控制器,它在故障安全报文到达后即刻“复原”。
主站与从站之间1:1的关系易于辨别错误报文。两者均设有网络明确规定的标志(密码),以此即可核查某报文的真实性。
增设循环冗余校验(CRC-Cyctic-Redundancy-Check)对报文错误数据位的识别具有重要作用。有关故障概率的研讨可参阅IEC61508,它对所有的故障安全功能均作了详述。根据IEC61508,PROFIsafe是以一个或若干个故障安全功能的控制回路为考虑故障概率的出发点).
一个故障安全控制回路包括参与某个安全控制功能的全部传感器、执行器、传输元件和逻辑处理单元。在IEC61508中,针对不同的安全级别(Safety-Integrity-Levels)规定了故障总概率。例如,SIL3:10-7/h。PROFIsafe在传输过程中仅占其1%,即容 许的故障概率为10-9/h。根据IEC61508和EN50159-1,对于SIL3可应用下式计算:
RDP=RHW+REMI+RTC<10-9/h (1)
式中:RHW=Hardware_Failure
REMI=EMI_Failure
RTC=Transmissioncode_Failure
由此可以建立与报文长度相关的CRC一多项式,以保证未经发现的错误报文残留错误率(Residual Error Rate)达到所要求的数量级。在PROFIsafe中不使用PROFIBUS所依靠的帧-校验-序列(FCS:Frame-Checking-Sequence)和奇偶校验(Parity-Check)来识别基本错误。换句话说,基本机制下的故障揭示概率不受附加的PROFIsafe CRC-机制的影响。
当位错误率很高时,即当一个报文有许多位受到干扰时,残留错误率难以确定。为避免任何不安全性,PROFIsafe使用了一种称之为SIL-监视器的方法),这种方法已经获得专利权。
CRC-安全措施不仅循环地保证过程信号和数据的完整性,而且也保证在相关从站中存放的参数,如标志(密码)、看门狗(Watch-Dog)时间等完整性。
五、F-报文结构
以上讨论了PROFIsafe安全传输报文所使用的方法。下面介绍故障安全报文结构,即PROFIsafe在PROFIBUS通信上的具体映像。先来观察PROFIBUS-DP报文结构。
在DP-帧结构中,Data-Unit,PB(Parity-Bit)和FCS是人们关注的焦点。在系统组态/启动阶段,Slave(从站)通过GSD-设备基本数据文件将有效数据的格式通报DP-Master(主站)。在PROFIsafe中的情况雷同。
F-Host和F-Slave(F:Fail-safe,故障安全)在封闭的条件下彼此交换控制信息和状态信息。当一个F-Slave需要增加参数,或者F-Host要更改参数时,两者之间就要交换信息。此外F-Slave可将出错报文通知F-Host。为进行上述信息交换,PROFIsafe将1Byte(状态/控制字节)设在有效数据左边(图10、11)。Status/Control Byte各个位所代表的状态见。
另有1Byte用于顺序号,该号由某报文的发送器登录(源计数器),由接收器验证且以应答报文送返发送器。在一次循环操作中,计数器从1计数到255,0是为系统启动而设定的。
如前所述,制造业和过程工业对一个安全系统的要求是不同的。前者必须以极快的速度处理(断路)信号;后者则允许更多的时间处理过程数据。PROFIsafe因此规定了两种不同的有效数据长度,它们要求采取不同的CRC-安全措施。第一种有效长最多为12Bytes且有1个2Bytes-CRC2接于流水号之后;另一种有效长最多为122Bytes且有1个4Bytes-CRC2。
剩余报文有效空间可为标准数据所用。当系统设有通往其他安全总线的F-网关时(图1),这种结构使通信效率提高。
F报文顺序号用于监控发送器的生存期(life)和监控链接接收器的通信区段。借助顺序号和PROFIsafe应答机制可对F-CPU〈-〉F-Output之间报文运行时间进行控制。
六、SIL-监视器(Monitor)的机理及其作用
如前所述,PROFIsafe并不依托于PROFIBUS的基本安全机制,而是用附加的CRC来识别全部错误,以达到所需求的SIL等级。上面提到的一种专利SIL-Monitor监视器(图14)可以使SIL等级在分布式故障安全自动化方案的生命期内保持不变,且不受所用总线部件和组态的影响。
图14中总线故障原因的综合给出一个表征PROFIBUS传输系统上受干扰信息的频率fw(一个虚构的值)。故障源来自硬件(HW)、EMV/EMI(电磁干扰)及其他。当受干扰报文的频率超越规定的界限时,则F-Host使安全控制回路进入安全状态。监视器时间周期T(Monitor time period)决定于SIL等级和CRC-长度。
数值是在时间T内最多只容许一个受干扰报文存在的情况下计算出来的。由图14可见,PROFIBUS的标准安全机制(1.Filter)用以识别HD=4的每个位错误;只有HB≥4的位错误(special bit patterns)进入PROFIsafe安全机制。如果在标准PROFIBUS ASIC中的安全机制出现故障(概率很小),则受干扰的信息以统计位模式(statistical bit patterns)进入PROFIsafe安全机制。此种情况下可用下式求出PUS(typ):
式中:PUS=max.residual error probability(16/32-bit-CRC的最大残留错误概率,其中误码率-bit error rate为0…0.5)
SIL-Monitor本身不是硬件,而是可实现PROFIsafe-驱动器软件的一部分。借助SIL-Monitor,F-系统能够在故障率超过一定限度之前即采取有效的安全保护措施,从而避免系统中出现险情。
PROFIsafe的各项功能可以借助一个专用芯片(ASICS)或软件来实现。德国的众多企业由于各种原因首选了软件这条路子。上述“PROFIsafe-驱动器软件”就是由西门子、Bürkert、Sick、E+H等11家企业共同开发的,凡参加开发的企业都有权获得开发相应设备(F-主站、F-从站)的许可证。
七、F-控制系统对F-从站的支持通过FDT/DTM
智能化F-现场设备要求F-系统为实现以下操作提供支持:设计、调试、迅速更换设备、程控参数设置、“Teach-In”、设备诊断和项目数据保存等。
在控制器中,通过DP-V1平台(非循环数据交换)和通信功能元件(符合IEC61131-3)来达到相关设备的整合。设备制造厂商的参数化软件与诊断软件被整合到系统制造厂商的工程设计工具中,则是通过FDT/DTM-接口来实现的。所谓FDT/DTM是现场设备智能化管理软件。FDT是PROFIBUS标准之一,2000年底由德国PNO推出。FDT(Field Device Tool)规范描述设备特定软件(设备类型管理器-Device Type Manager)和自动化系统工程工具之间的接口,设备管理软件的发展从GSD、Profile、EDDL直至今日的FDT/DTM。FDT/DTM是将现场总线技术(PROFIBUS、FF,等等)实际应用到过程自动化的基础。FDT/DTM、F-Slave(图中为光栅)和F-控制器中代理功能元件(Proxy FB)之间的互动关系,说明了F-系统如何支持F-从站。
一个安装在工程工具(ET)中的设备制造厂商的参数化软件与诊断软件包(DTM)通过ET的通信接口FDT访问现场设备 F-Slave(本例中为光栅)①。在参数化和调试之后,参数组通过F-控制器中的Proxy FB被装进F-控制器中②,并在那里供迅速更换设备使用。为验证数据(i-Parameter)的可信性和完整性,DTM借助ET读入Proxy-FB中的状态参数,将它们同存在于F-Slave中的i-Parameter进行比较。一旦设备被更换,Proxy FB能够自动地将i-Parameter装入F-slave中。PROFIsafe还规定Proxy-FB能够自动地、周期地执行现场设备的测试程序,以确定该设备的状况是否正常。用这种方式可在适当的时刻更换有隐患的现场设备。
八、结束语
最先运用PROFIsafe故障安全通信技术的设备已于2000年由西门子公司推向市场。其中经德国T V认证的西门子自动化系统SIMATIC S7-417F/H同ET200M的安全I/O模块于同年成功地应用在欧洲最现代化的炼油厂——德国海德炼油厂(Raffinerie Heide)加氢裂化装置中,使该厂不再需要炼油厂中常用的故障安全关机系统。
自2002年以来,又相继出现了一系列PROFIsafe产品,它们展示在2002年、2003年的汉诺威博览会上,并在欧洲的一些工程项目中获得了应用。PROFIsafe的应用可以做到对人、机器和环境的有效保护。它所带来的经济利益倍受人们的关注。
由此看来,PROFIsafe安全通信技术的应用已不再是对未来的憧憬,而是眼前的现实。
笔者相信,在不久的将来,PROFIsafe-它的规范与标准,产品的开发和应用也会在中国开花结果。