Назад | Исходный вариант

 
 
Профиль PROFIBUS для безопасных систем
А.Н Любашин (ЗАО РТСофт, Москва) ( http://www.mka.ru/go/?id=40021&url=www.rtsoft.ru )
Все предыдущие материалы о промышленных сетях, как правило, были посвящены первому знакомству с различными стандартами на промышленные шины. Сегодня, в условиях окончания войны шин , когда в зависимости от решаемой задачи право на жизнь есть у каждой, на первое место выходят так называемые профили, расширяющие стандартные возможности конкретной шины. В данной статье даётся первое представление о новом профиле популярной промышленной шины PROFIBUS, предназначенном для создания безопасных систем автоматизации на производстве, профиле ProfiSafe.
 
Рассуждения на тему, какая коммуникационная технология лучше или хуже сегодня отступают на второй план, да и вообще имеют мало смысла, поскольку каждое решение это решение конкретной задачи. Для промышленного рынка средств и систем автоматизации особую актуальность приобретают системные решения, в которых тот или иной тип контроллерного оборудования, промышленной сети, программного инструментария выступают только в качестве необходимых компонентов.

Идея предоставления пользователю комплексного решения не нова. Разница с сегодняшним днем состоит лишь в том, что вчера предлагались решения в красивой упаковке и заказчику предлагалось верить, что качество содержимого упаковки не хуже самой упаковки. Содержимое не было известно никому кроме самого разработчика. Доминировал подход создания и использования закрытых систем. И это был объективный процесс. В то время не существовало соответствующих стандартов на компоненты. Сегодня же налицо повышенная активность в области использования открытых стандартных компонентов, доступных для расширения и модификации. Создаваемые системы обязаны переживать своих разработчиков.

Что такое промышленная сеть в отрыве конкретной задачи? Это лишь средство транспортировки массива информации по определенной физической среде.

Что такое промышленная сеть в применении к реальному производству, реальному технологическому процессу? Это необходимый компонент единой системы, отвечающей не только за надежность используемого оборудования, но и часто безопасность самого персонала, непосредственно работающего с этим оборудованием.

Поэтому появление функциональных расширений стандартных коммуникационных технологий, например, таких как CAN или PROFIBUS, говорит о том, что их разработчики пошли по пути учета специфики конкретных производственных требований.

Одним из таких расширений стандарта PROFIBUS является новые решение в области создания безопасных систем автоматизации на производстве (далее F-профиль, или FailSafe-профиль). Впервые он был представлен на выставке в Ганновере в 1999 году. Основная задача этого расширения PROFIBUS заключается в создании систем автоматизации, которые в своей эксплуатации безопасны как для людей, так и для машин. Эта новая технология включает такие компоненты, обеспечивающие безопасность труда, как аварийные кнопки останова, концевые выключатели, световые барьеры и лазерные системы контроля вместе с датчиками и исполнительными механизмами. Важным преимуществом использования F-профиля является возможность объединения в единую сеть как устройств, обеспечивающих безопасность, так и традиционных устройств, поддерживающих стандартный протокол PROFIBUS (DP или PA).

Разработка ProfiSafe получила самые положительные отзывы со стороны таких известных центров по сертификации и организаций по охране здоровья и обеспечения безопасности труда, как германское общество технического надзора TUV и германский общественный институт охраны труда BIA (Berufsgenossenschaftlichen Institut fur Arbeitssicherheit). Профиль ProfiSafe (F-профиль) был сертифицирован TUV и BIA.

Для того чтобы та или иная коммуникационная технология (протокол) получила промышленную прописку, необходимо, чтобы она отвечала следующим жестким требованиям:

Должен быть реализован механизм передачи коротких сообщений;

Протокол должен обеспечивать детерминированность состояний при передаче команд управления и данных;

И, разумеется, должна быть обеспечена высокая производительность протокола.

Технология PROFIBUS полностью отвечает этим требованиям.

Что касается создания безопасных систем автоматизации, то эта задача чаще всего решалась с помощью специализированных коммуникационных технологий (например, SafetyBus p от компании PILZ, где в качестве базы используется протокол CAN), не допускающих смешивания с изделиями, поддерживающими только базовую коммуникационную технологию.

Разработчики F-профиля, кроме перечисленных выше требований, решили еще одну задачу важную задачу: обеспечение одновременной работы устройств, поддерживающих стандартный PROFIBUS, и ProfiSafe-устройств (далее F-устройств).

Что же такое профиль? Под профилем промышленной сети понимается специальное использование коммуникационных функций выделенной группой участников (абонентов) сети. Это набор правил и определений, верных внутри этой группы.

Если говорить о профиле PROFIBUS для безопасных систем автоматизации, то он определяет взаимодействие между F-периферией и F-контроллерами. Производная от PROFIBUS-DP технология PROFIBUS-PA (для устройств, работающих во взрывоопасной среде) использует другой физический уровень, но функции канального уровня практически идентичны. Это свойство позволяет использовать F-профиль и применительно к PA-устройствам.

Потенциальный спектр областей применения для изделий, поддерживающих F-профиль, достаточно широк: обрабатывающая промышленность и перерабатывающая индустрия, добыча и переработка нефти и газа, транспорт и др.

Принципиальные основы F-профиля

Основные решения для технологий связи в применении к безопасным системам автоматизации были апробированы на базе техники, поставляемой для европейских железных дорог, и сформулированы в виде стандарта prEN50159-1 Railway Applications: Requirements for Safety-Related Communication in Closed Transmission Systems . В соответствии с этим стандартом коммуникационная технология в безопасных промышленных системах должна опираться на два следующих принципа.

  • Базой такого решения должна быть стандартная промышленная сеть (так называемый Gray Channel ). В нашем случае это PROFIBUS-DP.
  • Специальные механизмы и функции обеспечения безопасности должны быть сведены к специальному профилю как расширению стандартной промышленной сети.
При создании F-профиля как расширения стандартной промышленной сети PROFIBUS-DP в его основу разработчики заложили реализацию следующих требований:

  • обеспечение совместного использования обычных и F-устройств в единой физической коммуникационной среде;
  • удовлетворение уровню безопасности SIL3 (IEC61508), AK6 (DIN V 19250) и control category 4 (EN 954-1);
  • возможность построения безопасной системы автоматизации на основе одноканальной среды передачи (дублированный канал предполагается использовать лишь при организации дублированной системы);
  • в безопасной системе может быть использован любой контроллер, выполняющий функции ведущего (Master) DP-устройства;

Рис.1 F-профиль и семиуровневая модель OSI
 
  • Основные компоненты PROFIBUS-DP остаются без изменений (активные DP-абоненты, интерфейсные кристаллы, преобразователи интерфейсов и т.д.). Функции обеспечения безопасности реализуются на программном уровне, расположенном выше уровня 7 в модели OSI, т.е. F-профилем (рис.1). Протокол DP остается без изменений.

Основы профиля безопасности (F-профиль)

Системная конфигурация, изображенная на рис.2, представляет собой типовую структуру взаимодействия host-компьютеров, контроллеров, устройств удаленного распределенного ввода/вывода и систем визуализации. Все эти компоненты могут иметь так называемое безопасное исполнение и могут работать наравне с обычными устройствами, используя для этого ту же физическую среду передачи сообщений и данных. Представленная распределенная система может расширяться дополнительными сегментами, используя при этом типовые для технологии PROFIBUS устройства повторители.


Рис. 2 Типовая схема взаимодействия компонентов промышленной сети PROFIBUS
 
В протоколе PROFIBUS-DP ведущее устройство (MASTER) за один DP-цикл один раз обращается к каждому своему ведомому устройству (SLAVE). При этом производится чтение с ведомых устройств или запись в них фиксированного, заранее определенного числа байт информации. Эта процедура абсолютно идентична и для F-устройств. Но F-профиль поддерживает только функции циклического опроса. Ациклические запросы используются только для общения в среде обычных абонентов сети PROFIBUS.

Все компоненты, составляющие множество PROFIBUS, можно разделить на две следующие группы.

  • 1. Устройства, образующие gray channel , т.е. обычные сетевые компоненты: спецмикросхемы (ASICs), повторители, физические линии связи, разнообразные активные и пассивные устройства сети, преобразователи интерфейсов.
  • Компоненты, являющиеся основой для создания безопасных систем автоматизации: F-профиль как расширение стандартного протокола, функции F-watchdog, F-адресация, F-параметры, F-периферийные модули и устройства.
На рис. 3 показан пример системы, в которой отдельные F-устройства, такие, например, как аварийные кнопки, могут быть интегрированы в обычные DP-Slave устройства.


Рис. 3 Пример интеграции F-модулей в DP-устройства
 
F-профиль гарантирует защиту передаваемых данных между F-модулями и F-контроллерами.

Уровни безопасности

Степень (полнота) безопасности (Safety Integrity Level, SIL) той или иной коммуникационной системы нормируется так называемым параметром дискретного уровня, измеряемого в пределах от 1 до 4, где уровень 4 соответствует наивысшей степени безопасности. Можно сказать, что значение SIL-уровеня определяет потребность в уровне безопасности. Реализация этой потребности обеспечивается множеством функций безопасности, реализованных в E/E/PE-системах (электрические/электронные/программируемые электронные системы). Для каждой функции этого множества должен быть определен соответствующий SIL-уровень безопасности.

SIL-уровень определяется по двум категориям:

  • средняя вероятность отказа в выполнении заданной функции безопасности (низкий уровень требований по исполнению функции безопасности) (табл.1);
  • вероятность опасного отказа в течение одного часа (высокий уровень требований по исполнению функции безопасности) (табл.2).

 
Снижение рисков обеспечивается за счет использования функций безопасности, реализованных в E/E/PES-системах с определенной вероятностью остаточной ошибки (Safety Integrity). В PROFIBUS-DP такая вероятность оценивается на уровне 1%. Это означает, например, что вероятность остаточной ошибки в DP-сети с реализованным F-профилем должна быть в 100 раз меньше, чем требуется SIL3-уровнем.

Уровень безопасности коммуникационной системы сильно зависит от конкретной физической среды передачи. В табл. 3 эта зависимость представлена в виде значений вероятности битовой ошибки для различных физических сред передачи.


 
Типовая частота возникновения ошибки при передаче данных, или вероятность ошибки передачи бита информации в PROFIBUS-DP для экранированной витой пары меньше или равно 10-5.

Некоторые особенности F-сообщений
Структура сообщений

На рис.4 представлена в общем виде структура DP-сообщения, включающего и F-данные, которые, в свою очередь, включены в состав общего блока данных. Всего из 244 байт полезных данных, которые могут быть переданы в одной DP-телеграмме, собственно F-данные могут составлять максимально 128 байт. Это ограничение связано с общим ограничением PROFIBUS-DP, по которому за один цикл может быть прочитано/записано до 64 слов по инициативе ведущего абонента.


Рис.4 Структура DP-сообщения
 
При этом алгоритм вычисления защитного CRC-кода требует, чтобы блок данных был непрерывным. В том случае, если блок F-данных не превышает 12 байт, то вычисляется двухбайтовый CRC2-код, если больше четырехбайтовый (рис.5).


Рис. 5 Структура FailSafe-сообщения
 
Профиль FailSafe допускает, чтобы стандартные ( обычные ) процессные данные были добавлены к блоку F-данных (это верно только по отношению к ведомым F-устройствам). В этом случае ведомое F-устройство имеет одного адресата (codename 1) для F-данных и другого (codename 2) для передачи стандартных данных.

Последовательный счетчик

Для контроля жизни ведущего узла (рис.6) и целостности физического канала со стороны ведомого абонента сети используется последовательный счетчик. Он играет роль механизма подтверждения и вычисления времени прохождения сигнала между отправителем сообщения и приемником.


Рис. 6 Применение последовательного счётчика
 
Нулевое значение зарезервировано для начального момента активизации сети. Затем счетчик последовательно принимает значения от 1 до 255 в циклическом режиме.

Защитный CRC-код

Для вычисления начального защитного кода CRC1 служит набор так называемых F-параметров (идентификаторы адресатов, SIL-уровень, сторожевые таймеры и т.д.). Процедура вычисления идентична как для ведущего, так и для ведомого устройства. На основе CRC1 в ведущем узле вычисляется защитный код CRC2 (2 или 4 байта), для получения которого используются еще также F-процессные данные и значение статусного байта (status/control byte) рис.7. В дальнейшем рабочем режиме обмена сообщениями достаточно сравнивать только защитные коды типа CRC2, что требует совсем незначительных временных затрат. Повторное вычисление защитного кода CRC1 должно производиться не реже одного раза в сутки (это максимальное время для проведения самотестирования абонентов сети).


Рис. 7 Порядок расчёта CRC-кода
 

Стандартные процессные данные

Для F-ведомых устройств F-профиль допускает совмещение F-данных и стандартных процессных данных. При этом для каждого массива данных должен быть указан свой адресат (codename). Возможность такого совмещения может быть использована в тех системах, где необходимо организовать коммуникационные шлюзы в другие F-промышленные сети.

Взаимодействие ведущих и ведомых F-устройств

Весь процесс функционирования F-профиля можно разбить на три этапа (состояния):

  • Этап начального запуска системы;
  • Основной (оперативный) режим циклического опроса ведущим (MASTER) устройством своих ведомых (SLAVE) устройств;
  • Обработка возмущающих состояний (коллизии при передаче), возникающих при основном режиме.
На рис.8 схематично представлен основной этап работы F-устройств. Более короткие стрелки означают следующее: в PROFIBUS-DP узел DP-Master посылает запрос своему ведомому устройству чаще, чем тот может его принять.

На данной схеме использованы следующие понятия:

  • Синхронизация (Startup, synchronization). Для обеспечения синхронизации, необходимой после холодного перезапуска устройства, нового параметрирования или возникновения таймаута в опросе F-входных/выходных устройств, программа, обслуживающая F-профиль (F-драйвер) обнуляет последовательный счетчик. На следующих циклах F-CPU увеличивает его до значения 256 в циклическом режиме, проходя через начальное состояние.
  • F-цикл (F protocol cycle). Устройство типа F-Input/Output посылает F-сообщение с тем же самым значением счетчика в качестве квитанции на запрос со стороны F-CPU.
  • Монитор времени (monitor the consecutive number). Приход любого корректного сообщения на F-устройство контролируется в течение заданного периода времени наблюдения (time monitor). Эта проверка может проходить произвольно часто, но не реже одного раза за период наблюдения. В случае появления некорректного сообщения F-устройство переходит в свое безопасное состояние.
  • SIL monitor. Каждое ошибочное сообщение (ошибка в CRC или значении последовательного счетчика) будет вычислено в течение заранее конфигурируемого периода времени наблюдения. Безопасные значения в F-устройствах устанавливаются всегда, когда происходит более одной такой ошибки.
  • Период времени наблюдения (Monitor time period, T). Это константное значение, измеряемое в часах, которое задает период действия для значения уровня безопасности (SIL) и размерности защитного кода (CRC) табл.4.

 

Рис.8 Временная диаграмма основного этапа работы F-устройств
 

Заключение

Появление технологии ProfiSafe и ей подобных является наглядным свидетельством того, что для различных коммуникационных технологий заканчивается время их становления, утверждения и закрепления за ними определенных сегментов рынка автоматизации. Стандартные коммуникационные протоколы начинают обрастать специальными расширениями, хорошо адаптированными к конкретным технологическим требованиям.

Рыночный успех этих решений гарантирован и очевиден. Существует множество производств, требующих интегрированных решений по организации единого информационного пространства в пределах всего предприятия, надежных решений по доставке данных с любого уровня автоматизации, высокой степени защищенности используемых протоколов связи. Весь этот набор требований возможно решить на основе промышленной сети PROFIBUS.

Спецификация ProfiSafe (F-профиль) появилась в середине прошлого, 1999, года. Сегодня готовятся к выходу на рынок первые аппаратные компоненты и программные инструментальные средства, поддерживающие этот профиль. Ожидается, что к началу следующего года будут работать первые приложения, использующие данную технологию. Следовательно, нам уже сейчас не мешает иметь первое представление о ней.