|
這篇兩部分文章的第二部分回顧了工業(yè)自動(dòng)化的安全協(xié)議,。第一部分討論了運(yùn)動(dòng)控制應(yīng)用的網(wǎng)絡(luò)模型和最受歡迎的工業(yè)網(wǎng)絡(luò)協(xié)議,。  了解運(yùn)動(dòng)控制網(wǎng)絡(luò)II:安全 隨著安全PLC和安全驅(qū)動(dòng)器的增加,自動(dòng)化安全已經(jīng)超越了員工健康的核心任務(wù),,也支持資產(chǎn)和制造過(guò)程本身的健康,。繼電器對(duì)單個(gè)條件定義單個(gè)響應(yīng):例如,當(dāng)機(jī)箱打開(kāi)時(shí),,切斷電機(jī)的電源,。安全驅(qū)動(dòng)器可以定義多個(gè)條件和多個(gè)響應(yīng):當(dāng)機(jī)箱打開(kāi)并且操作員具有密碼時(shí),以安全速度模式運(yùn)行,,以實(shí)現(xiàn)更快的清潔,。當(dāng)扭矩需求超過(guò)一定閾值時(shí),升壓電流也會(huì)向HMI發(fā)送通知并進(jìn)行維護(hù),。 要真正利用技術(shù),,安全設(shè)備和控制器需要通過(guò)單個(gè)通信網(wǎng)絡(luò)鏈接。雖然這可以通過(guò)一個(gè)專門(mén)的安全網(wǎng)絡(luò)進(jìn)行,,但這種實(shí)現(xiàn)增加了成本和復(fù)雜性,。借助于專用的安全協(xié)議,工廠車間網(wǎng)絡(luò)可以與自動(dòng)化數(shù)據(jù)同時(shí)進(jìn)行安全通信,,而不會(huì)影響任一目標(biāo),。 開(kāi)放系統(tǒng)互連(OSI)模型 在深入了解安全協(xié)議的具體細(xì)節(jié)之前,對(duì)OSI模型進(jìn)行快速回顧,。該模型將從一個(gè)設(shè)備發(fā)送數(shù)據(jù)的過(guò)程分為七個(gè)階段,,如下所示: 層1:物理層,例如RS 232,,RS 485,,IEEE 802.3(以太網(wǎng)),CANbus,,IEEE 802.11(無(wú)線以太網(wǎng))等,。 第2層:數(shù)據(jù)鏈路層,其管理節(jié)點(diǎn)到節(jié)點(diǎn)的通信 層3:網(wǎng)絡(luò)層,,其使得消息能夠跨越網(wǎng)絡(luò)從節(jié)點(diǎn)到節(jié)點(diǎn)(例如,,IP)傳播。 第4層:傳輸層,,其將數(shù)據(jù)打包發(fā)送到下一層(例如,,傳輸控制協(xié)議( TCP),用戶數(shù)據(jù)報(bào)協(xié)議(UDP)等) 第5層:管理通信會(huì)話以交換數(shù)據(jù)的會(huì)話層 第6層:涉及網(wǎng)絡(luò)和應(yīng)用之間的數(shù)據(jù)轉(zhuǎn)換的表示層 第7層:應(yīng)用層 ,其中許多工業(yè)以太網(wǎng)協(xié)議駐留 圖1傳輸過(guò)程從層7開(kāi)始,,即應(yīng)用層,。數(shù)據(jù)被打包到一個(gè)框架中,并用包含標(biāo)識(shí)符的標(biāo)題包裝,,并描述如何將其傳遞到下一層,。該過(guò)程在每層具有附加的報(bào)頭重復(fù),直到傳輸?shù)竭_(dá)物理層為止,,它不僅包含I / O,,而且包含關(guān)于其發(fā)生地點(diǎn),應(yīng)該去哪里以及如何在路由處理和傳輸?shù)耐暾畔ⅰ?br> 當(dāng)傳輸?shù)竭_(dá)目的地節(jié)點(diǎn)時(shí),,報(bào)頭信息使其能夠逐層解包并重新組合到完整數(shù)據(jù)集中,。以這種方式,PC可以將作業(yè)發(fā)送到打印機(jī),,否則安全PLC可以向HMI發(fā)送報(bào)警,。 為了確保高速自動(dòng)化所需的確定性通信,許多工業(yè)以太網(wǎng)協(xié)議偏離了標(biāo)準(zhǔn)的七層模型(更多細(xì)節(jié)見(jiàn)第一部分),。它們中的每一個(gè)以稍微不同的方式起作用,。為了使他們能夠支持安全通信,已經(jīng)開(kāi)發(fā)了互補(bǔ)的安全協(xié)議,。 圖2安全網(wǎng)絡(luò) 功能安全是確保安全的一個(gè)積極過(guò)程,。阻止操作員進(jìn)入危險(xiǎn)區(qū)域的外殼將被視為被動(dòng)安全。當(dāng)該外殼打開(kāi)時(shí),,可以切斷電機(jī)的功能被認(rèn)為是功能安全。電氣,,電子和可編程電子設(shè)備的IEC 61508功能安全標(biāo)準(zhǔn)描述了一種黑色通道方法,,使工業(yè)現(xiàn)場(chǎng)總線能夠支持安全通信。 黑色通道基本上是黑匣子的通信模擬,。從系統(tǒng)的角度來(lái)看,,黑盒子的內(nèi)部工作是無(wú)關(guān)緊要的,輸入和輸出是重要的,。類似地,,將現(xiàn)有現(xiàn)場(chǎng)總線指定為黑色通道意味著物理通信通道對(duì)于系統(tǒng)的其余部分是透明的。安全功能取決于輸入和輸出耦合器和安全協(xié)議,,這被認(rèn)為是第7層應(yīng)用,。層1至4組件如交換機(jī),路由器和背板僅需要通信信號(hào),,它們不需要攜帶安全完整性級(jí)別(SIL)等級(jí),,如SIL-3(概率小于10 ^ -8-10 ^在連續(xù)運(yùn)行模式下,每小時(shí)有7次危險(xiǎn)故障)。 在現(xiàn)實(shí)世界的系統(tǒng)中,,我們可以做出兩個(gè)假設(shè) - 組件最終會(huì)失敗,,并且網(wǎng)絡(luò)中最終會(huì)出現(xiàn)通信錯(cuò)誤。需要構(gòu)建安全硬件和協(xié)議,,以便當(dāng)組件發(fā)生故障時(shí),,系統(tǒng)將進(jìn)入一些已知的安全狀態(tài)。類似地,,如果存在通信錯(cuò)誤,,無(wú)論是丟失的數(shù)據(jù)包,損壞的數(shù)據(jù)還是網(wǎng)絡(luò)關(guān)閉,,安全軟件都需要檢測(cè)該事件,,并采取必要的措施使設(shè)備達(dá)到已知的安全狀態(tài)。 如果黑色通道不需要進(jìn)行安全限定,,則需要設(shè)計(jì)軟件,,使其能夠識(shí)別數(shù)據(jù)文件和傳輸過(guò)程中的任何錯(cuò)誤。IEC 61784-3,,功能安全現(xiàn)場(chǎng)總線 - 通用規(guī)則和配置文件定義,,呼叫通信鏈路消耗不超過(guò)錯(cuò)誤預(yù)算的1%?;谏鲜鰯?shù)字,,這意味著通信需要b每小時(shí)10 ^ -9的故障概率。 IEC 61784-3定義了傳輸錯(cuò)誤源和用于解決它們的軟件方法,。他們包括: 數(shù)據(jù)損壞 意外的重復(fù) 順序不正確 數(shù)據(jù)丟失 不可接受的延遲 插入 化妝舞會(huì)(非安全數(shù)據(jù)標(biāo)識(shí)為安全數(shù)據(jù)) 尋址不正確 安全協(xié)議可以使用以下軟件技術(shù)來(lái)識(shí)別傳輸錯(cuò)誤: 序號(hào):檢測(cè)重復(fù),,不正確的順序,數(shù)據(jù)丟失,,數(shù)據(jù)插入以及偽裝為安全數(shù)據(jù)的標(biāo)準(zhǔn)數(shù)據(jù),。 時(shí)間戳:檢測(cè)延遲,序列錯(cuò)誤,,數(shù)據(jù)插入和偽裝,。 標(biāo)識(shí)符:檢測(cè)不正確的尋址和偽裝。 通過(guò)循環(huán)冗余校驗(yàn)(CRC)或校驗(yàn)和進(jìn)行數(shù)據(jù)完整性檢查:檢測(cè)數(shù)據(jù)損壞,,尋址不正確和偽裝,。檢測(cè)數(shù)據(jù)損壞的能力取決于腐敗和執(zhí)行的性質(zhì)。 最后一點(diǎn)值得進(jìn)一步討論,。CRC通常被認(rèn)為是一種校驗(yàn)和,,但兩者實(shí)際上是不同的。實(shí)現(xiàn)方式差異很大,,但通常,,校驗(yàn)和查找二進(jìn)制數(shù)據(jù)的數(shù)學(xué)運(yùn)算后剩下的余數(shù) - 通常是分割或加法步驟。如果有一點(diǎn)已經(jīng)翻轉(zhuǎn),其余的將改變,,標(biāo)記一個(gè)損壞的數(shù)據(jù)文件,。 CRC也執(zhí)行數(shù)學(xué)運(yùn)算,但是基于多項(xiàng)式數(shù)學(xué),。對(duì)于兩位或更好的錯(cuò)誤,,CRC技術(shù)往往更好。然而,,請(qǐng)注意,,損壞的文件可能仍然具有與未損壞版本相同的CRC值。因此,,CRC技術(shù)的選擇對(duì)準(zhǔn)確的結(jié)果至關(guān)重要,。 安全 協(xié)議本文討論的安全協(xié)議具有多種共同之處。它們都是基于黑色通道的概念,。它們通過(guò)將安全數(shù)據(jù)嵌入到標(biāo)準(zhǔn)數(shù)據(jù)幀中來(lái)傳輸安全數(shù)據(jù),。這確保確定性的通信。如上所述,,添加了錯(cuò)誤檢測(cè)工具有助于確保安全消息傳遞到需要到達(dá)的地方,。 CIP安全 通用工業(yè)協(xié)議(CIP)是基于生產(chǎn)者 - 消費(fèi)者模型的面向?qū)ο髤f(xié)議。CIP安全是位于CIP網(wǎng)絡(luò)上的基于DeviceNet和Ethernet / IP的安全層,。這使得CIP Safety與兩種類型的網(wǎng)絡(luò)兼容,。 在CIP Safety中,安全驗(yàn)證器對(duì)象管理連接,,充當(dāng)鏈路層和安全應(yīng)用對(duì)象之間的接口,。通過(guò)Safety Validator客戶端,生產(chǎn)安全應(yīng)用程序生成安全數(shù)據(jù)并協(xié)調(diào)定時(shí),??蛻舳嗽O(shè)備通過(guò)黑色通道發(fā)送數(shù)據(jù)并接收定時(shí)消息。消費(fèi)安全應(yīng)用程序使用安全驗(yàn)證器服務(wù)器來(lái)接收和檢查數(shù)據(jù),。服務(wù)器通過(guò)鏈路數(shù)據(jù)生成器接收數(shù)據(jù)并發(fā)送定時(shí)消息。 消息分組由四部分組成:數(shù)據(jù),,時(shí)間戳段,,時(shí)間校正段和時(shí)間協(xié)調(diào)段。用戶可以選擇兩種數(shù)據(jù)段格式,。短版本支持傳輸最多兩個(gè)字節(jié)的安全數(shù)據(jù),,八位安全CRC,以及根據(jù)數(shù)據(jù)的補(bǔ)碼計(jì)算的八位CRC,。長(zhǎng)格式數(shù)據(jù)部分可以容納多達(dá)250個(gè)字節(jié)的安全數(shù)據(jù),。它由安全數(shù)據(jù),安全數(shù)據(jù)的反轉(zhuǎn)版本,16位安全CRC和使用反向安全數(shù)據(jù)計(jì)算的16位安全CRC組成,。 CIP Safety支持混合架構(gòu):安全連接可以在低帶寬DeviceNet子單元上開(kāi)始,,并在高帶寬以太網(wǎng)/ IP子單元上結(jié)束。該協(xié)議可用于單播模式(一個(gè)安全驗(yàn)證器客戶端,,一個(gè)安全驗(yàn)證器服務(wù)器)和組播模式(一個(gè)安全驗(yàn)證器客戶端,,15個(gè)安全驗(yàn)證器服務(wù)器)。 該協(xié)議使用時(shí)間戳來(lái)監(jiān)視延遲的通信,,錯(cuò)誤的序列等,。生產(chǎn)者設(shè)備處理消費(fèi)者設(shè)備,并將該值存儲(chǔ)為時(shí)間戳,。該價(jià)值也傳遞給消費(fèi)者,。當(dāng)數(shù)據(jù)消息到達(dá)時(shí),消費(fèi)者使用時(shí)間戳,,如果它在允許的窗口內(nèi),,則消費(fèi)者對(duì)命令行為。如果數(shù)據(jù)違反預(yù)設(shè)參數(shù),,則消費(fèi)者進(jìn)入安全狀態(tài)并發(fā)送時(shí)間戳,。為了避免錯(cuò)誤的行程,只要行動(dòng)在指定的時(shí)間內(nèi)進(jìn)行,,就允許重新發(fā)送,。 其他的誤差減輕技術(shù)包括為每個(gè)節(jié)點(diǎn)分配唯一的設(shè)備標(biāo)識(shí)符和對(duì)每個(gè)傳輸分配唯一的序列號(hào)。制造商或消費(fèi)者隨時(shí)收到不正確的數(shù)據(jù),,設(shè)備將進(jìn)入安全狀態(tài),。 圖3EtherCAT故障安全 EtherCAT是基于直通通信的主從協(xié)議。主機(jī)發(fā)送連續(xù)通過(guò)所有節(jié)點(diǎn)的電報(bào),。每個(gè)節(jié)點(diǎn)依次讀取其部分,,并將其數(shù)據(jù)寫(xiě)入幀,然后再傳送,。EtherCAT的安全協(xié)議稱為EtherCAT故障安全(FSoE),。 FSoE協(xié)議基于FSoE主設(shè)備和FSoE從站。每個(gè)FSoE主機(jī)與每個(gè)FSoE從站都有獨(dú)特的關(guān)系,,稱為FSoE連接,。這由唯一的連接ID標(biāo)識(shí)。稱為安全容器的安全數(shù)據(jù)直接嵌入到EtherCAT框架中,。 在FSoE周期中,,F(xiàn)SoE主設(shè)備生成一個(gè)包含安全輸出的FSoE主機(jī)幀,路由到FSoE從設(shè)備,。每個(gè)設(shè)備讀取其輸出并將其安全輸入添加到FSoE從站幀,。當(dāng)FSoE主機(jī)接收到有效的FSoE從站幀時(shí),,它將開(kāi)始一個(gè)新的周期。 FSoE應(yīng)用多種錯(cuò)誤減輕技術(shù),。除了連接ID,,每個(gè)從器件都有一個(gè)獨(dú)特的16位從機(jī)地址,可以通過(guò)DIP開(kāi)關(guān)設(shè)置,。該網(wǎng)絡(luò)最多可以包含65,535個(gè)設(shè)備,。在一個(gè)周期的開(kāi)始,主機(jī)啟動(dòng)一個(gè)看門(mén)狗定時(shí)器,,它建立一個(gè)時(shí)間窗口來(lái)發(fā)送和接收給定從站的安全數(shù)據(jù),。類似地,每個(gè)從站都有自己的看門(mén)狗定時(shí)器,。為了檢測(cè)數(shù)據(jù)損壞,,F(xiàn)SoE每?jī)蓚€(gè)字節(jié)的數(shù)據(jù)使用兩個(gè)字節(jié)的CRC。 openSAFETY openSAFETY 作為現(xiàn)場(chǎng)總線獨(dú)立開(kāi)放標(biāo)準(zhǔn)開(kāi)發(fā),,基于與以太網(wǎng)POWERLINK相同的生產(chǎn)者 - 消費(fèi)者型號(hào),。節(jié)點(diǎn)被歸類為安全配置管理器(SCM,相當(dāng)于自動(dòng)化方面的生產(chǎn)者或管理節(jié)點(diǎn))和安全節(jié)點(diǎn)(相當(dāng)于自動(dòng)化方面的消費(fèi)者或受控節(jié)點(diǎn)),。由單個(gè)SCM管理的每個(gè)openSAFETY域可以處理多達(dá)1023個(gè)安全節(jié)點(diǎn),,而無(wú)需硬件交換機(jī)。由于每個(gè)安全節(jié)點(diǎn)也可以作為單片機(jī),,因此可以聯(lián)網(wǎng)的安全節(jié)點(diǎn)的實(shí)際數(shù)量超過(guò)100萬(wàn),。openSAFETY域網(wǎng)關(guān)提供了域間通信的工具。 圖4 每個(gè)安全節(jié)點(diǎn)由由網(wǎng)絡(luò)MAC地址和設(shè)備號(hào)組成的唯一設(shè)備ID標(biāo)識(shí),。這在啟動(dòng)時(shí)自動(dòng)加載,,這使系統(tǒng)能夠檢測(cè)和更新已被替換的任何設(shè)備。openSAFETY使用對(duì)象字典和在啟動(dòng)時(shí)配置設(shè)備的安全服務(wù)數(shù)據(jù)對(duì)象工具來(lái)管理參數(shù),。 openSAFETY還利用隧道,,將安全數(shù)據(jù)幀嵌入到以太網(wǎng)POWERLINK電報(bào)傳輸?shù)耐綌?shù)據(jù)幀中。每個(gè)openSAFETY數(shù)據(jù)幀的大小最多可達(dá)254字節(jié),,并由具有單個(gè)校驗(yàn)和的兩個(gè)相同子幀組成,。該協(xié)議對(duì)大小為1至8字節(jié)的有效負(fù)載應(yīng)用CRC 8,對(duì)于有效載荷,,CRC大小為9至254字節(jié),。這提供了檢測(cè)數(shù)據(jù)丟失或損壞以及錯(cuò)誤地讀取為安全數(shù)據(jù)的標(biāo)準(zhǔn)機(jī)器數(shù)據(jù)的關(guān)鍵工具。 圖5 openSAFETY可用于任何主要的工業(yè)網(wǎng)絡(luò)協(xié)議,,包括以太網(wǎng)POWERLINK,以太網(wǎng)/ IP,,ProfiNET,,SERCOS III等,。 ProfiSAFE PROFIsafe 由管理Profibus和ProfiNET的同一個(gè)組織PI開(kāi)發(fā)和管理,旨在作為現(xiàn)場(chǎng)總線協(xié)議之上的安全層,。它管理F-Host(安全控制器)和F-Device(安全設(shè)備)之間的安全協(xié)議數(shù)據(jù)單元(SPDU)的傳輸,。這些PROFIsafe消息嵌入在標(biāo)準(zhǔn)Profibus / ProfiNET消息的數(shù)據(jù)有效載荷中。 每個(gè)數(shù)據(jù)單元由三個(gè)字段組成,。它從輸入或輸出數(shù)據(jù)開(kāi)始,,可以表示為短(1到13個(gè)字節(jié)),通常用于工廠自動(dòng)化應(yīng)用程序或更長(zhǎng)(最多123個(gè)字節(jié))的浮點(diǎn)過(guò)程值,。字段二包含一個(gè)控制字節(jié),,用于標(biāo)識(shí)消息的來(lái)源。字段3是32位CRC簽名,。該協(xié)議使用序列號(hào),,看門(mén)狗定時(shí)器和唯一標(biāo)識(shí)符。 圖6該協(xié)議使用兩種單獨(dú)的方法來(lái)設(shè)置設(shè)備的參數(shù),。與Profibus和ProfiNET一樣,,每個(gè)設(shè)備都有一個(gè)通用站描述(GSD)文件,用于存儲(chǔ)基本參數(shù),,如設(shè)備ID,。這些GSD在圖書(shū)館中一起收集。然而,,安全參數(shù)可能要復(fù)雜得多,。光幕可能有幾種不同的光分布,參數(shù)文件可能會(huì)高達(dá)幾十千字節(jié),。對(duì)于這些個(gè)人安全參數(shù)(iParameters),,F(xiàn)主機(jī)設(shè)備制造商建立了iPar服務(wù)器。使用配置,,參數(shù)化和診斷工具(如工具調(diào)用接口或現(xiàn)場(chǎng)設(shè)備工具)將參數(shù)寫(xiě)入節(jié)點(diǎn)和iPar服務(wù)器,。如果需要更換設(shè)備,可以從iPar服務(wù)器自動(dòng)檢索參數(shù),。 隨著對(duì)安全性的日益關(guān)注,,作為工人健康和制造生產(chǎn)力的工具,安全協(xié)議承擔(dān)著越來(lái)越大的表現(xiàn),。使用黑色通道技術(shù)加上成熟的工業(yè)網(wǎng)絡(luò)協(xié)議降低了成本并簡(jiǎn)化了實(shí)現(xiàn),。安全操作的責(zé)任在于安全協(xié)議和安全部件。通過(guò)應(yīng)用標(biāo)準(zhǔn)錯(cuò)誤識(shí)別和減輕技術(shù),,機(jī)器制造商和最終用戶可以在不影響操作員安全的情況下提高正常運(yùn)行時(shí)間和生產(chǎn)效率,。
|
|
|
