了解运动控制网络II:安全

这篇两部分文章的第二部分回顾了工业自动化的安全协议。第一部分讨论了运动控制应用的网络模型和最受欢迎的工业网络协议。
工业现场总线不仅简化了机器设计和操作。它为机器级安全提供了重要的支撑结构。在网络化之前,主要的安全措施包括在条件违规的情况下切断设备的电力的硬接线继电器 – 外壳打开,光幕遭到破坏等。这需要每个条件的点对点布线,其中添加成本和复杂性。恢复涉及的不仅仅是解决导致故障但重新启动设备的问题,增加了停机时间和成本。

了解运动控制网络II:安全

了解运动控制网络II:安全


随着安全PLC和安全驱动器的增加,自动化安全已经超越了员工健康的核心任务,也支持资产和制造过程本身的健康。继电器对单个条件定义单个响应:例如,当机箱打开时,切断电机的电源。安全驱动器可以定义多个条件和多个响应:当机箱打开并且操作员具有密码时,以安全速度模式运行,以实现更快的清洁。当扭矩需求超过一定阈值时,升压电流也会向HMI发送通知并进行维护。
要真正利用技术,安全设备和控制器需要通过单个通信网络链接。虽然这可以通过一个专门的安全网络进行,但这种实现增加了成本和复杂性。借助于专用的安全协议,工厂车间网络可以与自动化数据同时进行安全通信,而不会影响任一目标。
开放系统互连(OSI)模型
在深入了解安全协议的具体细节之前,对OSI模型进行快速回顾。该模型将从一个设备发送数据的过程分为七个阶段,如下所示:
层1:物理层,例如RS 232,RS 485,IEEE 802.3(以太网),CANbus,IEEE 802.11(无线以太网)等。
第2层:数据链路层,其管理节点到节点的通信
层3:网络层,其使得消息能够跨越网络从节点到节点(例如,IP)传播。
第4层:传输层,其将数据打包发送到下一层(例如,传输控制协议( TCP),用户数据报协议(UDP)等)
第5层:管理通信会话以交换数据的会话层
第6层:涉及网络和应用之间的数据转换的表示层
第7层:应用层 ,其中许多工业以太网协议驻留
图1传输过程从层7开始,即应用层。数据被打包到一个框架中,并用包含标识符的标题包装,并描述如何将其传递到下一层。该过程在每层具有附加的报头重复,直到传输到达物理层为止,它不仅包含I / O,而且包含关于其发生地点,应该去哪里以及如何在路由处理和传输的完整信息。
当传输到达目的地节点时,报头信息使其能够逐层解包并重新组合到完整数据集中。以这种方式,PC可以将作业发送到打印机,否则安全PLC可以向HMI发送报警。
为了确保高速自动化所需的确定性通信,许多工业以太网协议偏离了标准的七层模型(更多细节见第一部分)。它们中的每一个以稍微不同的方式起作用。为了使他们能够支持安全通信,已经开发了互补的安全协议。
图2安全网络
功能安全是确保安全的一个积极过程。阻止操作员进入危险区域的外壳将被视为被动安全。当该外壳打开时,可以切断电机的功能被认为是功能安全。电气,电子和可编程电子设备的IEC 61508功能安全标准描述了一种黑色通道方法,使工业现场总线能够支持安全通信。
黑色通道基本上是黑匣子的通信模拟。从系统的角度来看,黑盒子的内部工作是无关紧要的,输入和输出是重要的。类似地,将现有现场总线指定为黑色通道意味着物理通信通道对于系统的其余部分是透明的。安全功能取决于输入和输出耦合器和安全协议,这被认为是第7层应用。层1至4组件如交换机,路由器和背板仅需要通信信号,它们不需要携带安全完整性级别(SIL)等级,如SIL-3(概率小于10 ^ -8-10 ^在连续运行模式下,每小时有7次危险故障)。
在现实世界的系统中,我们可以做出两个假设 – 组件最终会失败,并且网络中最终会出现通信错误。需要构建安全硬件和协议,以便当组件发生故障时,系统将进入一些已知的安全状态。类似地,如果存在通信错误,无论是丢失的数据包,损坏的数据还是网络关闭,安全软件都需要检测该事件,并采取必要的措施使设备达到已知的安全状态。
如果黑色通道不需要进行安全限定,则需要设计软件,使其能够识别数据文件和传输过程中的任何错误。IEC 61784-3,功能安全现场总线 – 通用规则和配置文件定义,呼叫通信链路消耗不超过错误预算的1%。基于上述数字,这意味着通信需要b每小时10 ^ -9的故障概率。
IEC 61784-3定义了传输错误源和用于解决它们的软件方法。他们包括:
数据损坏
意外的重复
顺序不正确
数据丢失
不可接受的延迟
插入
化妆舞会(非安全数据标识为安全数据)
寻址不正确
安全协议可以使用以下软件技术来识别传输错误:
序号:检测重复,不正确的顺序,数据丢失,数据插入以及伪装为安全数据的标准数据。
时间戳:检测延迟,序列错误,数据插入和伪装。
标识符:检测不正确的寻址和伪装。
通过循环冗余校验(CRC)或校验和进行数据完整性检查:检测数据损坏,寻址不正确和伪装。检测数据损坏的能力取决于腐败和执行的性质。
最后一点值得进一步讨论。CRC通常被认为是一种校验和,但两者实际上是不同的。实现方式差异很大,但通常,校验和查找二进制数据的数学运算后剩下的余数 – 通常是分割或加法步骤。如果有一点已经翻转,其余的将改变,标记一个损坏的数据文件。
CRC也执行数学运算,但是基于多项式数学。对于两位或更好的错误,CRC技术往往更好。然而,请注意,损坏的文件可能仍然具有与未损坏版本相同的CRC值。因此,CRC技术的选择对准确的结果至关重要。
安全
协议本文讨论的安全协议具有多种共同之处。它们都是基于黑色通道的概念。它们通过将安全数据嵌入到标准数据帧中来传输安全数据。这确保确定性的通信。如上所述,添加了错误检测工具有助于确保安全消息传递到需要到达的地方。
CIP安全
通用工业协议(CIP)是基于生产者 – 消费者模型的面向对象协议。CIP安全是位于CIP网络上的基于DeviceNet和Ethernet / IP的安全层。这使得CIP Safety与两种类型的网络兼容。
在CIP Safety中,安全验证器对象管理连接,充当链路层和安全应用对象之间的接口。通过Safety Validator客户端,生产安全应用程序生成安全数据并协调定时。客户端设备通过黑色通道发送数据并接收定时消息。消费安全应用程序使用安全验证器服务器来接收和检查数据。服务器通过链路数据生成器接收数据并发送定时消息。
消息分组由四部分组成:数据,时间戳段,时间校正段和时间协调段。用户可以选择两种数据段格式。短版本支持传输最多两个字节的安全数据,八位安全CRC,以及根据数据的补码计算的八位CRC。长格式数据部分可以容纳多达250个字节的安全数据。它由安全数据,安全数据的反转版本,16位安全CRC和使用反向安全数据计算的16位安全CRC组成。
CIP Safety支持混合架构:安全连接可以在低带宽DeviceNet子单元上开始,并在高带宽以太网/ IP子单元上结束。该协议可用于单播模式(一个安全验证器客户端,一个安全验证器服务器)和组播模式(一个安全验证器客户端,15个安全验证器服务器)。
该协议使用时间戳来监视延迟的通信,错误的序列等。生产者设备处理消费者设备,并将该值存储为时间戳。该价值也传递给消费者。当数据消息到达时,消费者使用时间戳,如果它在允许的窗口内,则消费者对命令行为。如果数据违反预设参数,则消费者进入安全状态并发送时间戳。为了避免错误的行程,只要行动在指定的时间内进行,就允许重新发送。
其他的误差减轻技术包括为每个节点分配唯一的设备标识符和对每个传输分配唯一的序列号。制造商或消费者随时收到不正确的数据,设备将进入安全状态。
图3EtherCAT故障安全
EtherCAT是基于直通通信的主从协议。主机发送连续通过所有节点的电报。每个节点依次读取其部分,并将其数据写入帧,然后再传送。EtherCAT的安全协议称为EtherCAT故障安全(FSoE)。
FSoE协议基于FSoE主设备和FSoE从站。每个FSoE主机与每个FSoE从站都有独特的关系,称为FSoE连接。这由唯一的连接ID标识。称为安全容器的安全数据直接嵌入到EtherCAT框架中。
在FSoE周期中,FSoE主设备生成一个包含安全输出的FSoE主机帧,路由到FSoE从设备。每个设备读取其输出并将其安全输入添加到FSoE从站帧。当FSoE主机接收到有效的FSoE从站帧时,它将开始一个新的周期。
FSoE应用多种错误减轻技术。除了连接ID,每个从器件都有一个独特的16位从机地址,可以通过DIP开关设置。该网络最多可以包含65,535个设备。在一个周期的开始,主机启动一个看门狗定时器,它建立一个时间窗口来发送和接收给定从站的安全数据。类似地,每个从站都有自己的看门狗定时器。为了检测数据损坏,FSoE每两个字节的数据使用两个字节的CRC。
openSAFETY openSAFETY
作为现场总线独立开放标准开发,基于与以太网POWERLINK相同的生产者 – 消费者型号。节点被归类为安全配置管理器(SCM,相当于自动化方面的生产者或管理节点)和安全节点(相当于自动化方面的消费者或受控节点)。由单个SCM管理的每个openSAFETY域可以处理多达1023个安全节点,而无需硬件交换机。由于每个安全节点也可以作为单片机,因此可以联网的安全节点的实际数量超过100万。openSAFETY域网关提供了域间通信的工具。
图4
每个安全节点由由网络MAC地址和设备号组成的唯一设备ID标识。这在启动时自动加载,这使系统能够检测和更新已被替换的任何设备。openSAFETY使用对象字典和在启动时配置设备的安全服务数据对象工具来管理参数。
openSAFETY还利用隧道,将安全数据帧嵌入到以太网POWERLINK电报传输的同步数据帧中。每个openSAFETY数据帧的大小最多可达254字节,并由具有单个校验和的两个相同子帧组成。该协议对大小为1至8字节的有效负载应用CRC 8,对于有效载荷,CRC大小为9至254字节。这提供了检测数据丢失或损坏以及错误地读取为安全数据的标准机器数据的关键工具。
图5
openSAFETY可用于任何主要的工业网络协议,包括以太网POWERLINK,以太网/ IP,ProfiNET,SERCOS III等。
ProfiSAFE PROFIsafe
由管理Profibus和ProfiNET的同一个组织PI开发和管理,旨在作为现场总线协议之上的安全层。它管理F-Host(安全控制器)和F-Device(安全设备)之间的安全协议数据单元(SPDU)的传输。这些PROFIsafe消息嵌入在标准Profibus / ProfiNET消息的数据有效载荷中。
每个数据单元由三个字段组成。它从输入或输出数据开始,可以表示为短(1到13个字节),通常用于工厂自动化应用程序或更长(最多123个字节)的浮点过程值。字段二包含一个控制字节,用于标识消息的来源。字段3是32位CRC签名。该协议使用序列号,看门狗定时器和唯一标识符。
图6该协议使用两种单独的方法来设置设备的参数。与Profibus和ProfiNET一样,每个设备都有一个通用站描述(GSD)文件,用于存储基本参数,如设备ID。这些GSD在图书馆中一起收集。然而,安全参数可能要复杂得多。光幕可能有几种不同的光分布,参数文件可能会高达几十千字节。对于这些个人安全参数(iParameters),F主机设备制造商建立了iPar服务器。使用配置,参数化和诊断工具(如工具调用接口或现场设备工具)将参数写入节点和iPar服务器。如果需要更换设备,可以从iPar服务器自动检索参数。
随着对安全性的日益关注,作为工人健康和制造生产力的工具,安全协议承担着越来越大的表现。使用黑色通道技术加上成熟的工业网络协议降低了成本并简化了实现。安全操作的责任在于安全协议和安全部件。通过应用标准错误识别和减轻技术,机器制造商和最终用户可以在不影响操作员安全的情况下提高正常运行时间和生产效率。

© 版权声明
THE END
喜欢就支持一下吧
点赞0 分享
评论 抢沙发

请登录后发表评论

    暂无评论内容