Profibus现场总线协议中使用Profisafe故障安全通信技术

摘要：随着现场总线通讯技术的发展，越来越多的工业通讯采用现场总线来完成。现在除了基础自动化之外，很多安全系统也都采用了现场总线通讯标准，为了满足这些安全方面的新需求，对现场总线提出了新的安全通讯概念。故障安全（Fail-safe）通信技术是现场总线技术中的新课题，倍受人们的关注。本文探述 PNO 新颁布的应用行规 Profisafe 的重要意义及其特征，机理，安全保护措施和应用领域。

关键词： 现场总线；Profibus；PROFIsafe；故障安全通信

一、安全通讯介绍

长期以来，故障安全通信技术方面的任务只能在第二层采用常规手段或者通过专用总线分散地加以解决。这使得应用于制造业和过程工业自动化的分布式现场总线PROFIBUS的生存空间受到限制。1998年德国PROFIBUS用户组织(PNO)以故障安全技术的应用为目标，专门设立了一个工作组，着手制订一种整体的、开放的解决方案。其通信基础是PROFIBUS-DP，所依据的主要标准则是IEC61508和欧洲标准EN954以及EN5O159-1/-2等。

1999年，PNO在德国汉诺威博览会上公布了在标准PROFIBUS上实现主、从站之间故障安全通信的技术规范，其注册商标名为PROFlsafe(V. 1.0)。它通过了德国BIA-联邦劳动安全研究所和T V-技术监督联合会的认证。之后，该规范的使用范围扩大，成为连接任何安全控制器所必备的先决条件。随着从站与从站之间故障安全通信(F-Slave to F-slave，Profibus DPV2)和以太网通信(Profinet)的出台，PROFIsafe的工作进入了第二阶段，即“V.1.20，2002”。以西门子为首的德国25家知名企业参与了PROFIsafe应用行规的制订和产品开发。

PROFIsafe的问世曾在国际现场总线技术领域中引起了轰动。迄今为止，PROFIBUS因其拥有PROFIsafe故障安全技术解决方案始终是唯一能够满足制造业(采用RS485和光纤传输技术)和过程工业自动化(采用“MBP-IS”，即曼彻斯特编码一总线供电和本质安全传输技术，原名IEC61158-2)故障安全通信要求的现场总线。

图1 典型的系统组态

二、基于Profibus现场总线的PROFIsafe安全通讯的主要特征 

PROFIsafe的主要特征归纳如下： 

• 安全通信和标准通信在同一根电缆上共存； 
• PROFIsafe-故障安全性建立在单信道通信系统之上，安全通信不通过冗余电缆来达到目的； 
• 标准通信部件，如电缆、专用芯片(ASICS)、DP-栈软件等等，无任何变化； 
• 故障安全措施封闭在终端模块中(F-Master,F-Slave)； 
• 采用专利SIL监视器获得极高的安全性； 
• 最高故障安全完整性等级为SIL3(IEC61508)，相应的德国标准和欧洲标准分别为AK6(DIN V19250)、Kat.4(EN954-1)。SIL3：＞10-8…10-7，即在连续工况下每小时故障率； 
• PROFIsafe的软件解决方案可以灵活地应用于SIL1，2或3的设备及安全控制回路；
• 既可用于低能耗(Ex-i)的过程自动化，又可用于反应迅速的制造业自动化； 
• 环境条件同标准PROFIBUS(抗电磁干扰等)。 

三、Profibus中Profisafe安全通信原理黑色通道和F-(Failsafe)层结构 

PROFIsafe使标准现场总线技术和故障安全技术合为一个系统，即故障安全通信和标准通信在同一根电缆上共存。这不仅在布线上和品种多样性方面可以节约一大笔资金，而且可以日后改建。用户自然可以根据组织方面的理由将安全功能和标准功能分配到两根PROFIBUS干线上(图2)。由图1可见，经F-Gateway(F-网关)可连接其他安全总线系统。 

图2 在一根电缆上或分开布线的安全系统

过程工业自动化要求采用冗余来提高设备的使用率。PROFIsafe则采用单信道通信结构的方法使上述要求的实现非常容易(图5)。单信道故障安全可编程控制器可以达到SIL3。这种通信结构原则上也可以执行标准自动化任务，如诊断、参数设置服务器等。 

PROFIsafe以标准总线通信部件一电缆、芯片、基本软件包(层栈)、PROFIBUS-DP-主站和PROFIBUS-DP-从站等为基础，这些均被划入“Black Channel-黑色通道”。它一方面表示在“Black Channel”中可能出现的所有故障均由PROFIsafe查出；另一方面“Black Channel”中没有提高传输安全性的各项功能，所以它不涉及安全技术的范畴。 

PROFIsafe解决方案的ISO/OSI简化模型4。 

众所周知，PROFIBUS在ISO/OSI-模型中仅使用了第1、2和7层。故障安全措施则置于第7层一应用层之上的安全层(Safety-Layer)。由于该层仅对有效数据的安全传送负责，它需要上层负责准备与提供有效数据，而在一个安全现场设备(例如，安全输入)中是由它的技术固件来施行的。这类固件通常至少有一部分是按照故障安全技术要求设计的。在冗余的硬、软件结构中嵌入PROFIsafe功能也可以达到上述目的。同标准操作一样，过程信号及过程数据出现在相应的有效报文中。在安全操作时，仅对这些报文加以补充(图10、11)。 

图3 黑色通道=标准Profibus

图4 Profibus现场总线的F-层结构

源于某个模块式从站(一个PROFIBUS站点，它可内装若干个带输入/输出通道的故障安全模块)的发送器信号经PROFIBUS从站联接点进入F-控制器的两个DP-主站联接点中的一个，从那里经局域总线进入F-控制器，即故障安全CPU。经联接后产生的一个输出信号再次通过局域总线进入第二DP-主站联接点，入第二根PROFIBUS干线。传输速度在DP-PA链接器中降低，使用PA-物理传输技术(MBP-IS)-达到 31.25kBaud，将信号输送到故障安全PA-从站中。此信号在其通信路径的任何地点均未使用一条冗余通道，也就是说，传输是单通道的。 

以上仅对故障安全报文的通信路径作了详细的探讨，至于谁负责发送，何时发送的问题，回答很简单。这里运用了PROFIBUS的标准机制，即主-从操作方式。一个主站-通常为一个CPU，循环地同其所有组态的从站交换报文，即在主站与从站之间存在着1：1的关系。这种轮询操作(Polling)方式的优点是能够立即察觉一旦出现故障的某个设备，这正是故障安全技术的基本原则之一。 内容来自www.dqjsw.com.cn 

四、故障安全保护措施：附加的CRC是关键 

在复杂的网络拓扑结构中，发送报文会引发一系列的错误，如报文丢失、重复、添加、顺序错、延迟以及伪数据，等等。在故障安全通信中还会出现寻址错，即一个标准报文错误地出现在一个故障安全站点中，且被当作故障安全报文输出(Masquerade)。此外，传输速率的不同还可能对存储器产生不良后果。PROFIsafe采取以下措施来对付传输错误. 

• 故障安全报文按顺序编号； 
• 带应答的时间监控； 
• 用密码标识发送器和接收器； 
• 增设16/32位循环冗余校验(CRC)，以保证数据的安全。 

一台接收器根据顺序号可以判断它是否收到按正确顺序排列的全部报文。如果它将有顺序号的“空”报文作为应答送返发送器，则该接收器同样是可信的。从原理上讲，只要在其中设置一个“Toggle-Bit”也就足够了，但PROFIsafe因其采用总线存储元件(路由器)而选择了一个0…255的计数器，其中“0”为例外。 

在故障安全技术中，一个报文仅仅传输正确的过程信号或数值是不够的，重要的是这些数值必须在故障极限时间内送达，才能使现场相关站点自动地作出安全响应。为此，各站点均配备一个时间控制器，它在故障安全报文到达后即刻“复原”。

主站与从站之间1：1的关系易于辨别错误报文。两者均设有网络明确规定的标志(密码)，以此即可核查某报文的真实性。 

增设循环冗余校验(CRC-Cyctic-Redundancy-Check)对报文错误数据位的识别具有重要作用。有关故障概率的研讨可参阅IEC61508，它对所有的故障安全功能均作了详述。根据IEC61508，PROFIsafe是以一个或若干个故障安全功能的控制回路为考虑故障概率的出发点). 

一个故障安全控制回路包括参与某个安全控制功能的全部传感器、执行器、传输元件和逻辑处理单元。在IEC61508中，针对不同的安全级别(Safety-Integrity-Levels)规定了故障总概率。例如，SIL3：10-7/h。PROFIsafe在传输过程中仅占其1%，即容 许的故障概率为10-9/h。根据IEC61508和EN50159-1，对于SIL3可应用下式计算： 

RDP=RHW+REMI+RTC＜10-9/h (1) 

式中：RHW=Hardware_Failure 

REMI=EMI_Failure 

RTC=Transmissioncode_Failure 

由此可以建立与报文长度相关的CRC一多项式，以保证未经发现的错误报文残留错误率(Residual Error Rate)达到所要求的数量级。在PROFIsafe中不使用PROFIBUS所依靠