一、引言

長(zhǎng)期以來(lái)，故障安全通信技術(shù)方面的任務(wù)只能在第二層采用常規(guī)手段或者通過(guò)專用總線分散地加以解決。這使得應(yīng)用于制造業(yè)和過(guò)程工業(yè)自動(dòng)化的分布式profibus的生存空間受到限制。1998年德國(guó)profibus用戶組織(pno)以故障安全技術(shù)的應(yīng)用為目標(biāo)，專門設(shè)立了一個(gè)工作組，著手制訂一種整體的、開(kāi)放的解決方案。其通信基礎(chǔ)是profibus-dp，所依據(jù)的主要標(biāo)準(zhǔn)則是iec61508和歐洲標(biāo)準(zhǔn)en954以及en5o159-1/-2等。

1999年，pno在德國(guó)漢諾威博覽會(huì)上公布了在標(biāo)準(zhǔn)profibus上實(shí)現(xiàn)主、從站之間故障安全通信的技術(shù)規(guī)范，其注冊(cè)商標(biāo)名為proflsafe(v. 1.0)。它通過(guò)了德國(guó)bia-聯(lián)邦勞動(dòng)安全研究所和t v-技術(shù)監(jiān)督聯(lián)合會(huì)的認(rèn)證。之后，該規(guī)范的使用范圍擴(kuò)大，成為連接任何安全控制器所必備的先決條件。隨著從站與從站之間故障安全通信(f-slave to f-slave，profibus dpv2)和以太網(wǎng)通信(profinet)的出臺(tái)，profisafe的工作進(jìn)入了第二階段，即“v.1.20，2002”。以西門子為首的德國(guó)25家知名企業(yè)參與了profisafe應(yīng)用行規(guī)的制訂和產(chǎn)品開(kāi)發(fā)。

profisafe的問(wèn)世曾在國(guó)際現(xiàn)場(chǎng)總線技術(shù)領(lǐng)域中引起了轟動(dòng)。迄今為止，profibus因其擁有profisafe故障安全技術(shù)解決方案始終是唯一能夠滿足制造業(yè)(采用rs485和光纖傳輸技術(shù))和過(guò)程工業(yè)自動(dòng)化(采用“mbp-is”，即曼徹斯特編碼一總線供電和本質(zhì)安全傳輸技術(shù)，原名iec61158-2)故障安全通信要求的現(xiàn)場(chǎng)總線。

二、profisafe的主要特征

profisafe的主要特征歸納如下：

●安全通信和標(biāo)準(zhǔn)通信在同一根電纜上共存；

●profisafe-故障安全性建立在單信道通信系統(tǒng)之上，安全通信不通過(guò)冗余電纜來(lái)達(dá)到目的；

●標(biāo)準(zhǔn)通信部件，如電纜、專用芯片(asics)、dp-棧軟件等等，無(wú)任何變化；

●故障安全措施封閉在終端模塊中(f-master,f-slave)；

●采用專利sil監(jiān)視器獲得極高的安全性；

●最高故障安全完整性等級(jí)為sil3(iec61508)，相應(yīng)的德國(guó)標(biāo)準(zhǔn)和歐洲標(biāo)準(zhǔn)分別為ak6(din v19250)、kat.4(en954-1)。sil3：＞10-8…10-7，即在連續(xù)工況下每小時(shí)故障率；

●profisafe的軟件解決方案可以靈活地應(yīng)用于sil1，2或3的設(shè)備及安全控制回路；

●既可用于低能耗(ex-i)的過(guò)程自動(dòng)化，又可用于反應(yīng)迅速的制造業(yè)自動(dòng)化；

●環(huán)境條件同標(biāo)準(zhǔn)profibus(抗電磁干擾等)。

三、通信原理：“black channel”和f-(failsafe)層結(jié)構(gòu)

profisafe使標(biāo)準(zhǔn)現(xiàn)場(chǎng)總線技術(shù)和故障安全技術(shù)合為一個(gè)系統(tǒng)，即故障安全通信和標(biāo)準(zhǔn)通信在同一根電纜上共存。這不僅在布線上和品種多樣性方面可以節(jié)約一大筆資金，而且可以日后改建。用戶自然可以根據(jù)組織方面的理由將安全功能和標(biāo)準(zhǔn)功能分配到兩根profibus干線上(圖2)。由圖1可見(jiàn)，經(jīng)f-gateway(f-網(wǎng)關(guān))可連接其他安全總線系統(tǒng)。

過(guò)程工業(yè)自動(dòng)化要求采用冗余來(lái)提高設(shè)備的使用率。profisafe則采用單信道通信結(jié)構(gòu)的方法使上述要求的實(shí)現(xiàn)非常容易(圖5)。單信道故障安全可編程控制器可以達(dá)到sil3。這種通信結(jié)構(gòu)原則上也可以執(zhí)行標(biāo)準(zhǔn)自動(dòng)化任務(wù)，如診斷、參數(shù)設(shè)置服務(wù)器等。

profisafe以標(biāo)準(zhǔn)總線通信部件一電纜、芯片、基本軟件包(層棧)、profibus-dp-主站和profibus-dp-從站等為基礎(chǔ)，這些均被劃入“black channel-黑色通道”。它一方面表示在“black channel”中可能出現(xiàn)的所有故障均由profisafe查出；另一方面“black channel”中沒(méi)有提高傳輸安全性的各項(xiàng)功能，所以它不涉及安全技術(shù)的范疇。

profisafe解決方案的iso/osi簡(jiǎn)化模型4。

眾所周知，profibus在iso/osi-模型中僅使用了第1、2和7層。故障安全措施則置于第7層一應(yīng)用層之上的安全層(safety-layer)。由于該層僅對(duì)有效數(shù)據(jù)的安全傳送負(fù)責(zé)，它需要上層負(fù)責(zé)準(zhǔn)備與提供有效數(shù)據(jù)，而在一個(gè)安全現(xiàn)場(chǎng)設(shè)備(例如，安全輸入)中是由它的技術(shù)固件來(lái)施行的。這類固件通常至少有一部分是按照故障安全技術(shù)要求設(shè)計(jì)的。在冗余的硬、軟件結(jié)構(gòu)中嵌入profisafe功能也可以達(dá)到上述目的。同標(biāo)準(zhǔn)操作一樣，過(guò)程信號(hào)及過(guò)程數(shù)據(jù)出現(xiàn)在相應(yīng)的有效報(bào)文中。在安全操作時(shí)，僅對(duì)這些報(bào)文加以補(bǔ)充(圖10、11)。



源于某個(gè)模塊式從站(一個(gè)profibus站點(diǎn)，它可內(nèi)裝若干個(gè)帶輸入/輸出通道的故障安全模塊)的發(fā)送器信號(hào)經(jīng)profibus從站聯(lián)接點(diǎn)進(jìn)入f-控制器的兩個(gè)dp-主站聯(lián)接點(diǎn)中的一個(gè)，從那里經(jīng)局域總線進(jìn)入f-控制器，即故障安全cpu。經(jīng)聯(lián)接后產(chǎn)生的一個(gè)輸出信號(hào)再次通過(guò)局域總線進(jìn)入第二dp-主站聯(lián)接點(diǎn)，入第二根profibus干線。傳輸速度在dp-pa鏈接器中降低，使用pa-物理傳輸技術(shù)(mbp-is)-達(dá)到 31.25kbaud，將信號(hào)輸送到故障安全pa-從站中。此信號(hào)在其通信路徑的任何地點(diǎn)均未使用一條冗余通道，也就是說(shuō)，傳輸是單通道的。

以上僅對(duì)故障安全報(bào)文的通信路徑作了詳細(xì)的探討，至于誰(shuí)負(fù)責(zé)發(fā)送，何時(shí)發(fā)送的問(wèn)題，回答很簡(jiǎn)單。這里運(yùn)用了profibus的標(biāo)準(zhǔn)機(jī)制，即主-從操作方式。一個(gè)主站-通常為一個(gè)cpu，循環(huán)地同其所有組態(tài)的從站交換報(bào)文，即在主站與從站之間存在著1：1的關(guān)系。這種輪詢操作(polling)方式的優(yōu)點(diǎn)是能夠立即察覺(jué)一旦出現(xiàn)故障的某個(gè)設(shè)備，這正是故障安全技術(shù)的基本原則之一。

四、故障安全保護(hù)措施：附加的crc是關(guān)鍵

在復(fù)雜的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)中，發(fā)送報(bào)文會(huì)引發(fā)一系列的錯(cuò)誤，如報(bào)文丟失、重復(fù)、添加、順序錯(cuò)、延遲以及偽數(shù)據(jù)，等等。在故障安全通信中還會(huì)出現(xiàn)尋址錯(cuò)，即一個(gè)標(biāo)準(zhǔn)報(bào)文錯(cuò)誤地出現(xiàn)在一個(gè)故障安全站點(diǎn)中，且被當(dāng)作故障安全報(bào)文輸出(masquerade)。此外，傳輸速率的不同還可能對(duì)存儲(chǔ)器產(chǎn)生不良后果。profisafe采取以下措施來(lái)對(duì)付傳輸錯(cuò)誤.

●故障安全報(bào)文按順序編號(hào)；

●帶應(yīng)答的時(shí)間監(jiān)控；

●用密碼標(biāo)識(shí)發(fā)送器和接收器；

●增設(shè)16/32位循環(huán)冗余校驗(yàn)(crc)，以保證數(shù)據(jù)的安全。

一臺(tái)接收器根據(jù)順序號(hào)可以判斷它是否收到按正確順序排列的全部報(bào)文。如果它將有順序號(hào)的“空”報(bào)文作為應(yīng)答送返發(fā)送器，則該接收器同樣是可信的。從原理上講，只要在其中設(shè)置一個(gè)“toggle-bit”也就足夠了，但profisafe因其采用總線存儲(chǔ)元件(路由器)而選擇了一個(gè)0…255的計(jì)數(shù)器，其中“0”為例外。

在故障安全技術(shù)中，一個(gè)報(bào)文僅僅傳輸正確的過(guò)程信號(hào)或數(shù)值是不夠的，重要的是這些數(shù)值必須在故障極限時(shí)間內(nèi)送達(dá)，才能使現(xiàn)場(chǎng)相關(guān)站點(diǎn)自動(dòng)地作出安全響應(yīng)。為此，各站點(diǎn)均配備一個(gè)時(shí)間控制器，它在故障安全報(bào)文到達(dá)后即刻“復(fù)原”。

主站與從站之間1：1的關(guān)系易于辨別錯(cuò)誤報(bào)文。兩者均設(shè)有網(wǎng)絡(luò)明確規(guī)定的標(biāo)志(密碼)，以此即可核查某報(bào)文的真實(shí)性。

增設(shè)循環(huán)冗余校驗(yàn)(crc-cyctic-redundancy-check)對(duì)報(bào)文錯(cuò)誤數(shù)據(jù)位的識(shí)別具有重要作用。有關(guān)故障概率的研討可參閱iec61508，它對(duì)所有的故障安全功能均作了詳述。根據(jù)iec61508，profisafe是以一個(gè)或若干個(gè)故障安全功能的控制回路為考慮故障概率的出發(fā)點(diǎn)).

一個(gè)故障安全控制回路包括參與某個(gè)安全控制功能的全部、執(zhí)行器、傳輸元件和邏輯處理單元。在iec61508中，針對(duì)不同的安全級(jí)別(safety-integrity-levels)規(guī)定了故障總概率。例如，sil3：10-7/h。profisafe在傳輸過(guò)程中僅占其1%，即容 許的故障概率為10-9/h。根據(jù)iec61508和en50159-1，對(duì)于sil3可應(yīng)用下式計(jì)算：

rdp=rhw+remi+rtc＜10-9/h (1)

式中：rhw=hardware_failure

remi=emi_failure

rtc=transmissioncode_failure

由此可以建立與報(bào)文長(zhǎng)度相關(guān)的crc一多項(xiàng)式，以保證未經(jīng)發(fā)現(xiàn)的錯(cuò)誤報(bào)文殘留錯(cuò)誤率(residual error rate)達(dá)到所要求的數(shù)量級(jí)。在profisafe中不使用profibus所依靠的幀-校驗(yàn)-序列(fcs：frame-checking-sequence)和奇偶校驗(yàn)(parity-check)來(lái)識(shí)別基本錯(cuò)誤。換句話說(shuō)，基本機(jī)制下的故障揭示概率不受附加的profisafe crc-機(jī)制的影響。

當(dāng)位錯(cuò)誤率很高時(shí)，即當(dāng)一個(gè)報(bào)文有許多位受到干擾時(shí)，殘留錯(cuò)誤率難以確定。為避免任何不安全性，profisafe使用了一種稱之為sil-監(jiān)視器的方法)，這種方法已經(jīng)獲得專利權(quán)。

crc-安全措施不僅循環(huán)地保證過(guò)程信號(hào)和數(shù)據(jù)的完整性，而且也保證在相關(guān)從站中存放的參數(shù)，如標(biāo)志(密碼)、看門狗(watch-dog)時(shí)間等完整性。

五、f-報(bào)文結(jié)構(gòu)

以上討論了profisafe安全傳輸報(bào)文所使用的方法。下面介紹故障安全報(bào)文結(jié)構(gòu)，即profisafe在profibus通信上的具體映像。先來(lái)觀察profibus-dp報(bào)文結(jié)構(gòu)。

在dp-幀結(jié)構(gòu)中，data-unit，pb(parity-bit)和fcs是人們關(guān)注的焦點(diǎn)。在系統(tǒng)組態(tài)/啟動(dòng)階段，slave(從站)通過(guò)gsd-設(shè)備基本數(shù)據(jù)文件將有效數(shù)據(jù)的格式通報(bào)dp-master(主站)。在profisafe中的情況雷同。

f-host和f-slave(f:fail-safe，故障安全)在封閉的條件下彼此交換控制信息和狀態(tài)信息。當(dāng)一個(gè)f-slave需要增加參數(shù)，或者f-host要更改參數(shù)時(shí)，兩者之間就要交換信息。此外f-slave可將出錯(cuò)報(bào)文通知f-host。為進(jìn)行上述信息交換，profisafe將1byte(狀態(tài)/控制字節(jié))設(shè)在有效數(shù)據(jù)左邊(圖10、11)。status/control byte各個(gè)位所代表的狀態(tài)見(jiàn)。

另有1byte用于順序號(hào)，該號(hào)由某報(bào)文的發(fā)送器登錄(源計(jì)數(shù)器)，由接收器驗(yàn)證且以應(yīng)答報(bào)文送返發(fā)送器。在一次循環(huán)操作中，計(jì)數(shù)器從1計(jì)數(shù)到255，0是為系統(tǒng)啟動(dòng)而設(shè)定的。

如前所述，制造業(yè)和過(guò)程工業(yè)對(duì)一個(gè)安全系統(tǒng)的要求是不同的。前者必須以極快的速度處理(斷路)信號(hào)；后者則允許更多的時(shí)間處理過(guò)程數(shù)據(jù)。profisafe因此規(guī)定了兩種不同的有效數(shù)據(jù)長(zhǎng)度，它們要求采取不同的crc-安全措施。第一種有效長(zhǎng)最多為12bytes且有1個(gè)2bytes-crc2接于流水號(hào)之后；另一種有效長(zhǎng)最多為122bytes且有1個(gè)4bytes-crc2。

剩余報(bào)文有效空間可為標(biāo)準(zhǔn)數(shù)據(jù)所用。當(dāng)系統(tǒng)設(shè)有通往其他安全總線的f-網(wǎng)關(guān)時(shí)(圖1)，這種結(jié)構(gòu)使通信效率提高。

f報(bào)文順序號(hào)用于監(jiān)控發(fā)送器的生存期(life)和監(jiān)控鏈接接收器的通信區(qū)段。借助順序號(hào)和profisafe應(yīng)答機(jī)制可對(duì)f-cpu〈-〉f-output之間報(bào)文運(yùn)行時(shí)間進(jìn)行控制。

六、sil-監(jiān)視器(monitor)的機(jī)理及其作用

如前所述，profisafe并不依托于profibus的基本安全機(jī)制，而是用附加的crc來(lái)識(shí)別全部錯(cuò)誤，以達(dá)到所需求的sil等級(jí)。上面提到的一種專利sil-monitor監(jiān)視器(圖14)可以使sil等級(jí)在分布式故障安全自動(dòng)化方案的生命期內(nèi)保持不變，且不受所用總線部件和組態(tài)的影響。

圖14中總線故障原因的綜合給出一個(gè)表征profibus傳輸系統(tǒng)上受干擾信息的頻率fw（一個(gè)虛構(gòu)的值）。故障源來(lái)自硬件(hw)、emv/emi(電磁干擾)及其他。當(dāng)受干擾報(bào)文的頻率超越規(guī)定的界限時(shí)，則f-host使安全控制回路進(jìn)入安全狀態(tài)。監(jiān)視器時(shí)間周期t(monitor time period)決定于sil等級(jí)和crc-長(zhǎng)度。

數(shù)值是在時(shí)間t內(nèi)最多只容許一個(gè)受干擾報(bào)文存在的情況下計(jì)算出來(lái)的。由圖14可見(jiàn)，profibus的標(biāo)準(zhǔn)安全機(jī)制(1.filter)用以識(shí)別hd=4的每個(gè)位錯(cuò)誤；只有hb≥4的位錯(cuò)誤(special bit patterns)進(jìn)入profisafe安全機(jī)制。如果在標(biāo)準(zhǔn)profibus asic中的安全機(jī)制出現(xiàn)故障(概率很小)，則受干擾的信息以統(tǒng)計(jì)位模式(statistical bit patterns)進(jìn)入profisafe安全機(jī)制。此種情況下可用下式求出pus(typ)：

式中：pus=max.residual error probability(16/32-bit-crc的最大殘留錯(cuò)誤概率，其中誤碼率-bit error rate為0…0.5)

sil-monitor本身不是硬件，而是可實(shí)現(xiàn)profisafe-驅(qū)動(dòng)器軟件的一部分。借助sil-monitor，f-系統(tǒng)能夠在故障率超過(guò)一定限度之前即采取有效的安全保護(hù)措施，從而避免系統(tǒng)中出現(xiàn)險(xiǎn)情。

profisafe的各項(xiàng)功能可以借助一個(gè)專用芯片(asics)或軟件來(lái)實(shí)現(xiàn)。德國(guó)的眾多企業(yè)由于各種原因首選了軟件這條路子。上述“profisafe-驅(qū)動(dòng)器軟件”就是由西門子、bürkert、sick、e+h等11家企業(yè)共同開(kāi)發(fā)的，凡參加開(kāi)發(fā)的企業(yè)都有權(quán)獲得開(kāi)發(fā)相應(yīng)設(shè)備(f-主站、f-從站)的許可證。

七、f-控制系統(tǒng)對(duì)f-從站的支持通過(guò)fdt/dtm

智能化f-現(xiàn)場(chǎng)設(shè)備要求f-系統(tǒng)為實(shí)現(xiàn)以下操作提供支持：設(shè)計(jì)、調(diào)試、迅速更換設(shè)備、程控參數(shù)設(shè)置、“teach-in”、設(shè)備診斷和項(xiàng)目數(shù)據(jù)保存等。



在控制器中，通過(guò)dp-v1平臺(tái)(非循環(huán)數(shù)據(jù)交換)和通信功能元件(符合iec61131-3)來(lái)達(dá)到相關(guān)設(shè)備的整合。設(shè)備制造廠商的參數(shù)化軟件與診斷軟件被整合到系統(tǒng)制造廠商的工程設(shè)計(jì)工具中，則是通過(guò)fdt/dtm-接口來(lái)實(shí)現(xiàn)的。所謂fdt/dtm是現(xiàn)場(chǎng)設(shè)備智能化管理軟件。fdt是profibus標(biāo)準(zhǔn)之一，2000年底由德國(guó)pno推出。fdt(field device tool)規(guī)范描述設(shè)備特定軟件(設(shè)備類型管理器-device type manager)和自動(dòng)化系統(tǒng)工程工具之間的接口，設(shè)備管理軟件的發(fā)展從gsd、profile、eddl直至今日的fdt/dtm。fdt/dtm是將現(xiàn)場(chǎng)總線技術(shù)(profibus、ff，等等)實(shí)際應(yīng)用到過(guò)程自動(dòng)化的基礎(chǔ)。fdt/dtm、f-slave(圖中為光柵)和f-控制器中代理功能元件(proxy fb)之間的互動(dòng)關(guān)系，說(shuō)明了f-系統(tǒng)如何支持f-從站。

一個(gè)安裝在工程工具(et)中的設(shè)備制造廠商的參數(shù)化軟件與診斷軟件包(dtm)通過(guò)et的通信接口fdt訪問(wèn)現(xiàn)場(chǎng)設(shè)備 f-slave(本例中為光柵)①。在參數(shù)化和調(diào)試之后，參數(shù)組通過(guò)f-控制器中的proxy fb被裝進(jìn)f-控制器中②，并在那里供迅速更換設(shè)備使用。為驗(yàn)證數(shù)據(jù)(i-bbbbbeter)的可信性和完整性，dtm借助et讀入proxy-fb中的狀態(tài)參數(shù)，將它們同存在于f-slave中的i-bbbbbeter進(jìn)行比較。一旦設(shè)備被更換，proxy fb能夠自動(dòng)地將i-bbbbbeter裝入f-slave中。profisafe還規(guī)定proxy-fb能夠自動(dòng)地、周期地執(zhí)行現(xiàn)場(chǎng)設(shè)備的測(cè)試程序，以確定該設(shè)備的狀況是否正常。用這種方式可在適當(dāng)?shù)臅r(shí)刻更換有隱患的現(xiàn)場(chǎng)設(shè)備。

八、結(jié)束語(yǔ)

最先運(yùn)用profisafe故障安全通信技術(shù)的設(shè)備已于2000年由西門子公司推向市場(chǎng)。其中經(jīng)德國(guó)t v認(rèn)證的西門子自動(dòng)化系統(tǒng)simatic s7-417f/h同et200m的安全i/o模塊于同年成功地應(yīng)用在歐洲最現(xiàn)代化的煉油廠——德國(guó)海德煉油廠(raffinerie heide)加氫裂化裝置中，使該廠不再需要煉油廠中常用的故障安全關(guān)機(jī)系統(tǒng)。

自2002年以來(lái)，又相繼出現(xiàn)了一系列profisafe產(chǎn)品，它們展示在2002年、2003年的漢諾威博覽會(huì)上，并在歐洲的一些工程項(xiàng)目中獲得了應(yīng)用。profisafe的應(yīng)用可以做到對(duì)人、機(jī)器和環(huán)境的有效保護(hù)。它所帶來(lái)的經(jīng)濟(jì)利益倍受人們的關(guān)注。

由此看來(lái)，profisafe安全通信技術(shù)的應(yīng)用已不再是對(duì)未來(lái)的憧憬，而是眼前的現(xiàn)實(shí)。

筆者相信，在不久的將來(lái)，profisafe-它的規(guī)范與標(biāo)準(zhǔn)，產(chǎn)品的開(kāi)發(fā)和應(yīng)用也會(huì)在中國(guó)開(kāi)花結(jié)果。