一、引言

長期以來，故障安全通信技術(shù)方面的任務(wù)只能在第二層采用常規(guī)手段或者通過專用總線分散地加以解決。這使得應(yīng)用于制造業(yè)和過程工業(yè)自動化的分布式現(xiàn)場總線 PROFIBUS的生存空間受到限制。1998年德國PROFIBUS用戶組織（PNO）以故障安全技術(shù)的應(yīng)用為目標(biāo)，專門設(shè)立了一個工作組，著手制訂一種整體的、開放的解決方案。其通信基礎(chǔ)是PROFIBUS-DP，所依據(jù)的主要標(biāo)準(zhǔn)則是IEC61508和歐洲標(biāo)準(zhǔn)EN954以及 EN5O159-1/-2等。

1999年，PNO在德國漢諾威博覽會上公布了在標(biāo)準(zhǔn)PROFIBUS上實現(xiàn)主、從站之間故障安全通信的技術(shù)規(guī)范，其注冊商標(biāo)名為 PROFlsafe（V. 1.0）。它通過了德國BIA-聯(lián)邦勞動安全研究所和T V-技術(shù)監(jiān)督聯(lián)合會的認(rèn)證。之后，該規(guī)范的使用范圍擴大，成為連接任何安全控制器所必備的先決條件。隨著從站與從站之間故障安全通信（F-Slave to F-slave，PROFIBUS DPV2）和以太網(wǎng)通信（PROFInet）的出臺，PROFIsafe的工作進入了第二階段，即“V.1.20，2002”。以西門子為首的德國25家知名企業(yè)參與了 PROFIsafe應(yīng)用行規(guī)的制訂和產(chǎn)品開發(fā)。

PROFIsafe的問世曾在國際現(xiàn)場總線技術(shù)領(lǐng)域中引起了轟動。迄今為止，PROFIBUS因其擁有PROFIsafe故障安全技術(shù)解決方案始終是唯一能夠滿足制造業(yè)（采用RS485和光纖傳輸技術(shù)）和過程工業(yè)自動化（采用“MBP-IS”，即曼徹斯特編碼一總線供電和本質(zhì)安全傳輸技術(shù)，原名 IEC61158-2）故障安全通信要求的現(xiàn)場總線。

二、PROFIsafe的主要特征

PROFIsafe的主要特征歸納如下：

●安全通信和標(biāo)準(zhǔn)通信在同一根電纜上共存；

●PROFIsafe-故障安全性建立在單信道通信系統(tǒng)之上，安全通信不通過冗余電纜來達(dá)到目的；

●標(biāo)準(zhǔn)通信部件，如電纜、專用芯片（ASICS）、DP-棧軟件等等，無任何變化；

●故障安全措施封閉在終端模塊中（F-Master,F-Slave）；

●采用專利SIL監(jiān)視器獲得極高的安全性；

●最高故障安全完整性等級為SIL3（IEC61508），相應(yīng)的德國標(biāo)準(zhǔn)和歐洲標(biāo)準(zhǔn)分別為AK6（DIN V19250）、Kat.4（EN954-1）。SIL3：＞10-8…10-7，即在連續(xù)工況下每小時故障率；

●PROFIsafe的軟件解決方案可以靈活地應(yīng)用于SIL1，2或3的設(shè)備及安全控制回路；

●既可用于低能耗（Ex-i）的過程自動化，又可用于反應(yīng)迅速的制造業(yè)自動化；

●環(huán)境條件同標(biāo)準(zhǔn)PROFIBUS（抗電磁干擾等）。

三、通信原理：“Black Channel”和F-（Failsafe）層結(jié)構(gòu)

PROFIsafe使標(biāo)準(zhǔn)現(xiàn)場總線技術(shù)和故障安全技術(shù)合為一個系統(tǒng)，即故障安全通信和標(biāo)準(zhǔn)通信在同一根電纜上共存。這不僅在布線上和品種多樣性方面可以節(jié)約一大筆資金，而且可以日后改建。用戶自然可以根據(jù)組織方面的理由將安全功能和標(biāo)準(zhǔn)功能分配到兩根PROFIBUS干線上（圖2）。由圖1可見，經(jīng)F- Gateway（F-網(wǎng)關(guān)）可連接其他安全總線系統(tǒng)。

過程工業(yè)自動化要求采用冗余來提高設(shè)備的使用率。PROFIsafe則采用單信道通信結(jié)構(gòu)的方法使上述要求的實現(xiàn)非常容易。單信道故障安全可編程控制器可以達(dá)到SIL3。這種通信結(jié)構(gòu)原則上也可以執(zhí)行標(biāo)準(zhǔn)自動化任務(wù)，如診斷、參數(shù)設(shè)置服務(wù)器等。

PROFIsafe以標(biāo)準(zhǔn)總線通信部件一電纜、芯片、基本軟件包（層棧）、PROFIBUS-DP-主站和PROFIBUS-DP-從站等為基礎(chǔ)，這些均被劃入“Black Channel-黑色通道”。它一方面表示在“Black Channel”中可能出現(xiàn)的所有故障均由PROFIsafe查出；另一方面“Black Channel”中沒有提高傳輸安全性的各項功能，所以它不涉及安全技術(shù)的范疇。

PROFIsafe解決方案的ISO/OSI簡化模型4。

眾所周知，PROFIBUS在ISO/OSI-模型中僅使用了第1、2和7層。故障安全措施則置于第7層一應(yīng)用層之上的安全層（Safety- Layer）。由于該層僅對有效數(shù)據(jù)的安全傳送負(fù)責(zé)，它需要上層負(fù)責(zé)準(zhǔn)備與提供有效數(shù)據(jù)，而在一個安全現(xiàn)場設(shè)備（例如，安全輸入）中是由它的技術(shù)固件來施行的。這類固件通常至少有一部分是按照故障安全技術(shù)要求設(shè)計的。在冗余的硬、軟件結(jié)構(gòu)中嵌入PROFIsafe功能也可以達(dá)到上述目的。同標(biāo)準(zhǔn)操作一樣，過程信號及過程數(shù)據(jù)出現(xiàn)在相應(yīng)的有效報文中。在安全操作時，僅對這些報文加以補充（圖10、11）。

源于某個模塊式從站（一個PROFIBUS站點，它可內(nèi)裝若干個帶輸入/輸出通道的故障安全模塊）的發(fā)送器信號經(jīng)PROFIBUS從站聯(lián)接點進入F-控制器的兩個DP-主站聯(lián)接點中的一個，從那里經(jīng)局域總線進入F-控制器，即故障安全CPU。經(jīng)聯(lián)接后產(chǎn)生的一個輸出信號再次通過局域總線進入第二DP-主站聯(lián)接點，入第二根PROFIBUS干線。傳輸速度在DP-PA鏈接器中降低，使用PA-物理傳輸技術(shù)（MBP-IS）-達(dá)到 31.25kBaud，將信號輸送到故障安全PA-從站中。此信號在其通信路徑的任何地點均未使用一條冗余通道，也就是說，傳輸是單通道的。

以上僅對故障安全報文的通信路徑作了詳細(xì)的探討，至于誰負(fù)責(zé)發(fā)送，何時發(fā)送的問題，回答很簡單。這里運用了PROFIBUS的標(biāo)準(zhǔn)機制，即主-從操作方式。一個主站-通常為一個CPU，循環(huán)地同其所有組態(tài)的從站交換報文，即在主站與從站之間存在著1：1的關(guān)系。這種輪詢操作（Polling）方式的優(yōu)點是能夠立即察覺一旦出現(xiàn)故障的某個設(shè)備，這正是故障安全技術(shù)的基本原則之一。

四、故障安全保護措施：附加的CRC是關(guān)鍵

在復(fù)雜的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)中，發(fā)送報文會引發(fā)一系列的錯誤，如報文丟失、重復(fù)、添加、順序錯、延遲以及偽數(shù)據(jù)，等等。在故障安全通信中還會出現(xiàn)尋址錯，即一個標(biāo)準(zhǔn)報文錯誤地出現(xiàn)在一個故障安全站點中，且被當(dāng)作故障安全報文輸出（Masquerade）。此外，傳輸速率的不同還可能對存儲器產(chǎn)生不良后果。 PROFIsafe采取以下措施來對付傳輸錯誤.

●故障安全報文按順序編號；

●帶應(yīng)答的時間監(jiān)控；

用密碼標(biāo)識發(fā)送器和接收器；

●增設(shè)16/32位循環(huán)冗余校驗（CRC），以保證數(shù)據(jù)的安全。

一臺接收器根據(jù)順序號可以判斷它是否收到按正確順序排列的全部報文。如果它將有順序號的“空”報文作為應(yīng)答送返發(fā)送器，則該接收器同樣是可信的。從原理上講，只要在其中設(shè)置一個“Toggle-Bit”也就足夠了，但PROFIsafe因其采用總線存儲元件（路由器）而選擇了一個0…255的計數(shù)器，其中 “0”為例外。

在故障安全技術(shù)中，一個報文僅僅傳輸正確的過程信號或數(shù)值是不夠的，重要的是這些數(shù)值必須在故障極限時間內(nèi)送達(dá)，才能使現(xiàn)場相關(guān)站點自動地作出安全響應(yīng)。為此，各站點均配備一個時間控制器，它在故障安全報文到達(dá)后即刻“復(fù)原”。

主站與從站之間1：1的關(guān)系易于辨別錯誤報文。兩者均設(shè)有網(wǎng)絡(luò)明確規(guī)定的標(biāo)志（密碼），以此即可核查某報文的真實性。

增設(shè)循環(huán)冗余校驗（CRC-Cyctic-Redundancy-Check）對報文錯誤數(shù)據(jù)位的識別具有重要作用。有關(guān)故障概率的研討可參閱 IEC61508，它對所有的故障安全功能均作了詳述。根據(jù)IEC61508，PROFIsafe是以一個或若干個故障安全功能的控制回路為考慮故障概率的出發(fā)點）.

一個故障安全控制回路包括參與某個安全控制功能的全部傳感器、執(zhí)行器、傳輸元件和邏輯處理單元。在IEC61508中，針對不同的安全級別（Safety-Integrity-Levels）規(guī)定了故障總概率。例如，SIL3：10-7/h。PROFIsafe在傳輸過程中僅占其1%，即容 許的故障概率為10-9/h。根據(jù)IEC61508和EN50159-1，對于SIL3可應(yīng)用下式計算：

RDP=RHW+REMI+RTC＜10-9/h （1）

式中：RHW=Hardware_Failure
REMI=EMI_Failure

RTC=Transmissioncode_Failure

由此可以建立與報文長度相關(guān)的CRC一多項式，以保證未經(jīng)發(fā)現(xiàn)的錯誤報文殘留錯誤率（Residual Error Rate）達(dá)到所要求的數(shù)量級。在 PROFIsafe中不使用PROFIBUS所依靠的幀-校驗-序列（FCS：Frame-Checking-Sequence）和奇偶校驗（Parity-Check）來識別基本錯誤。換句話說，基本機制下的故障揭示概率不受附加的PROFIsafe CRC-機制的影響。

當(dāng)位錯誤率很高時，即當(dāng)一個報文有許多位受到干擾時，殘留錯誤率難以確定。為避免任何不安全性，PROFIsafe使用了一種稱之為SIL-監(jiān)視器的方法），這種方法已經(jīng)獲得專利權(quán)。

CRC-安全措施不僅循環(huán)地保證過程信號和數(shù)據(jù)的完整性，而且也保證在相關(guān)從站中存放的參數(shù)，如標(biāo)志（密碼）、看門狗（Watch-Dog）時間等完整性。

五、F-報文結(jié)構(gòu)

以上討論了PROFIsafe安全傳輸報文所使用的方法。下面介紹故障安全報文結(jié)構(gòu)，即PROFIsafe在PROFIBUS通信上的具體映像。先來觀察PROFIBUS-DP報文結(jié)構(gòu)。

在DP-幀結(jié)構(gòu)中，Data-Unit，PB（Parity-Bit）和FCS是人們關(guān)注的焦點。在系統(tǒng)組態(tài)/啟動階段，Slave（從站）通過GSD-設(shè)備基本數(shù)據(jù)文件將有效數(shù)據(jù)的格式通報DP-Master（主站）。在PROFIsafe中的情況雷同。

F-Host和F-Slave（F:Fail-safe，故障安全）在封閉的條件下彼此交換控制信息和狀態(tài)信息。當(dāng)一個F-Slave需要增加參數(shù)，或者 F-Host要更改參數(shù)時，兩者之間就要交換信息。此外F-Slave可將出錯報文通知F-Host。為進行上述信息交換，PROFIsafe將 1Byte（狀態(tài)/控制字節(jié)）設(shè)在有效數(shù)據(jù)左邊（圖10、11）。Status/Control Byte各個位所代表的狀態(tài)見。

另有1Byte用于順序號，該號由某報文的發(fā)送器登錄（源計數(shù)器），由接收器驗證且以應(yīng)答報文送返發(fā)送器。在一次循環(huán)操作中，計數(shù)器從1計數(shù)到255，0是為系統(tǒng)啟動而設(shè)定的。

如前所述，制造業(yè)和過程工業(yè)對一個安全系統(tǒng)的要求是不同的。前者必須以極快的速度處理（斷路）信號；后者則允許更多的時間處理過程數(shù)據(jù)。 PROFIsafe因此規(guī)定了兩種不同的有效數(shù)據(jù)長度，它們要求采取不同的CRC-安全措施。第一種有效長最多為12Bytes且有1個2Bytes- CRC2接于流水號之后；另一種有效長最多為122Bytes且有1個4Bytes-CRC2。

剩余報文有效空間可為標(biāo)準(zhǔn)數(shù)據(jù)所用。當(dāng)系統(tǒng)設(shè)有通往其他安全總線的F-網(wǎng)關(guān)時（圖1），這種結(jié)構(gòu)使通信效率提高。

F報文順序號用于監(jiān)控發(fā)送器的生存期（life）和監(jiān)控鏈接接收器的通信區(qū)段。借助順序號和PROFIsafe應(yīng)答機制可對F-CPU〈-〉F-Output之間報文運行時間進行控制。

六、SIL-監(jiān)視器（Monitor）的機理及其作用

如前所述，PROFIsafe并不依托于PROFIBUS的基本安全機制，而是用附加的CRC來識別全部錯誤，以達(dá)到所需求的SIL等級。上面提到的一種專利SIL-Monitor監(jiān)視器（圖14）可以使SIL等級在分布式故障安全自動化方案的生命期內(nèi)保持不變，且不受所用總線部件和組態(tài)的影響。

圖14中總線故障原因的綜合給出一個表征PROFIBUS傳輸系統(tǒng)上受干擾信息的頻率fw（一個虛構(gòu)的值）。故障源來自硬件（HW）、EMV/EMI（電磁干擾）及其他。當(dāng)受干擾報文的頻率超越規(guī)定的界限時，則F-Host使安全控制回路進入安全狀態(tài)。監(jiān)視器時間周期 T（Monitor time period）決定于SIL等級和CRC-長度。
數(shù)值是在時間T內(nèi)最多只容許一個受干擾報文存在的情況下計算出來的。由圖14可見，PROFIBUS的標(biāo)準(zhǔn)安全機制（1.Filter）用以識別HD=4 的每個位錯誤；只有HB≥4的位錯誤（special bit patterns）進入PROFIsafe安全機制。如果在標(biāo)準(zhǔn) PROFIBUS ASIC中的安全機制出現(xiàn)故障（概率很?。?，則受干擾的信息以統(tǒng)計位模式（statistical bit patterns）進入 PROFIsafe安全機制。此種情況下可用下式求出PUS（typ）：

式中：PUS=max.residual error probability（16/32-bit-CRC的最大殘留錯誤概率，其中誤碼率-bit error rate為0…0.5）

SIL-Monitor本身不是硬件，而是可實現(xiàn)PROFIsafe-驅(qū)動器軟件的一部分。借助SIL-Monitor，F(xiàn)-系統(tǒng)能夠在故障率超過一定限度之前即采取有效的安全保護措施，從而避免系統(tǒng)中出現(xiàn)險情。

PROFIsafe的各項功能可以借助一個專用芯片（ASICS）或軟件來實現(xiàn)。德國的眾多企業(yè)由于各種原因首選了軟件這條路子。上述 “PROFIsafe-驅(qū)動器軟件”就是由西門子、Bürkert、Sick、E+H等11家企業(yè)共同開發(fā)的，凡參加開發(fā)的企業(yè)都有權(quán)獲得開發(fā)相應(yīng)設(shè)備（F-主站、F-從站）的許可證。

七、F-控制系統(tǒng)對F-從站的支持通過FDT/DTM

智能化F-現(xiàn)場設(shè)備要求F-系統(tǒng)為實現(xiàn)以下操作提供支持：設(shè)計、調(diào)試、迅速更換設(shè)備、程控參數(shù)設(shè)置、“Teach-In”、設(shè)備診斷和項目數(shù)據(jù)保存等。

在控制器中，通過DP-V1平臺（非循環(huán)數(shù)據(jù)交換）和通信功能元件（符合IEC61131-3）來達(dá)到相關(guān)設(shè)備的整合。設(shè)備制造廠商的參數(shù)化軟件與診斷軟件被整合到系統(tǒng)制造廠商的工程設(shè)計工具中，則是通過FDT/DTM-接口來實現(xiàn)的。所謂FDT/DTM是現(xiàn)場設(shè)備智能化管理軟件。FDT是 PROFIBUS標(biāo)準(zhǔn)之一，2000年底由德國PNO推出。FDT（Field Device Tool）規(guī)范描述設(shè)備特定軟件（設(shè)備類型管理器 -Device Type Manager）和自動化系統(tǒng)工程工具之間的接口，設(shè)備管理軟件的發(fā)展從GSD、Profile、EDDL直至今日的 FDT/DTM。FDT/DTM是將現(xiàn)場總線技術(shù)（PROFIBUS、FF，等等）實際應(yīng)用到過程自動化的基礎(chǔ)。FDT/DTM、F-Slave（圖中為光柵）和F-控制器中代理功能元件（Proxy FB）之間的互動關(guān)系，說明了F-系統(tǒng)如何支持F-從站。

一個安裝在工程工具（ET）中的設(shè)備制造廠商的參數(shù)化軟件與診斷軟件包（DTM）通過ET的通信接口FDT訪問現(xiàn)場設(shè)備 F-Slave（本例中為光柵）①。在參數(shù)化和調(diào)試之后，參數(shù)組通過F-控制器中的Proxy FB被裝進F-控制器中②，并在那里供迅速更換設(shè)備使用。為驗證數(shù)據(jù)（i- Parameter）的可信性和完整性，DTM借助ET讀入Proxy-FB中的狀態(tài)參數(shù)，將它們同存在于F-Slave中的i-Parameter進行比較。一旦設(shè)備被更換，Proxy FB能夠自動地將i-Parameter裝入F-slave中。PROFIsafe還規(guī)定Proxy-FB能夠自動地、周期地執(zhí)行現(xiàn)場設(shè)備的測試程序，以確定該設(shè)備的狀況是否正常。用這種方式可在適當(dāng)?shù)臅r刻更換有隱患的現(xiàn)場設(shè)備。

八、結(jié)束語

最先運用PROFIsafe故障安全通信技術(shù)的設(shè)備已于2000年由西門子公司推向市場。其中經(jīng)德國T V認(rèn)證的西門子自動化系統(tǒng) SIMATIC S7-417F/H同ET200M的安全I/O模塊于同年成功地應(yīng)用在歐洲最現(xiàn)代化的煉油廠——德國海德煉油廠（Raffinerie Heide）加氫裂化裝置中，使該廠不再需要煉油廠中常用的故障安全關(guān)機系統(tǒng)。

自2002年以來，又相繼出現(xiàn)了一系列PROFIsafe產(chǎn)品，它們展示在2002年、2003年的漢諾威博覽會上，并在歐洲的一些工程項目中獲得了應(yīng)用。PROFIsafe的應(yīng)用可以做到對人、機器和環(huán)境的有效保護。它所帶來的經(jīng)濟利益倍受人們的關(guān)注。

由此看來，PROFIsafe安全通信技術(shù)的應(yīng)用已不再是對未來的憧憬，而是眼前的現(xiàn)實。

筆者相信，在不久的將來，PROFIsafe-它的規(guī)范與標(biāo)準(zhǔn)，產(chǎn)品的開發(fā)和應(yīng)用也會在中國開花結(jié)果。
參考文獻

[1] PNO：PROFIBUS Profile “PROFIsafe-Profile for Safety Technology”,Version 1.20,October 2002,

Order No.3.092

[2] PNO：Herbert Barthel,Franz J.Dold,Wolfgang Stripf: PROFIsafe,die Grundlagen,2002

[3] PI： Support Center:FDT/DTM-Intelligentes Management fürFeldger te,2000