PROFIBUS故障安全通信技术探讨

不良后果。 PROFIsafe采取以下措施来对付传输错误.

●故障安全报文按顺序编号;?

●带应答的时间监控;?

用密码标识发送器和接收器;?

●增设16/32位循环冗余校验(CRC)，以保证数据的安全。?

一台接收器根据顺序号可以判断它是否收到按正确顺序排列的全部报文。如果它将有顺序号的“空”报文作为应答送返发送器，则该接收器同样是可信的。从原理上讲，只要在其中设置一个“Toggle-Bit”也就足够了，但PROFIsafe因其采用总线存储元件(路由器)而选择了一个0…255的计数器，其中 “0”为例外。

在故障安全技术中，一个报文仅仅传输正确的过程信号或数值是不够的，重要的是这些数值必须在故障极限时间内送达，才能使现场相关站点自动地作出安全响应。为此，各站点均配备一个时间控制器，它在故障安全报文到达后即刻“复原”。

主站与从站之间1：1的关系易于辨别错误报文。两者均设有网络明确规定的标志(密码)，以此即可核查某报文的真实性。

增设循环冗余校验(CRC-Cyctic-Redundancy-Check)对报文错误数据位的识别具有重要作用。有关故障概率的研讨可参阅 IEC61508，它对所有的故障安全功能均作了详述。根据IEC61508，PROFIsafe是以一个或若干个故障安全功能的控制回路为考虑故障概率的出发点).

一个故障安全控制回路包括参与某个安全控制功能的全部传感器、执行器、传输元件和逻辑处理单元。在IEC61508中，针对不同的安全级别(Safety-Integrity-Levels)规定了故障总概率。例如，SIL3：10-7/h。PROFIsafe在传输过程中仅占其1%，即容 许的故障概率为10-9/h。根据IEC61508和EN50159-1，对于SIL3可应用下式计算：?

RDP=RHW+REMI+RTC10-9/h (1)?

式中：RHW=Hardware_Failure?

REMI=EMI_Failure?

RTC=Transmissioncode_Failure?

由此可以建立与报文长度相关的CRC一多项式，以保证未经发现的错误报文残留错误率(Residual Error Rate)达到所要求的数量级。在 PROFIsafe中不使用PROFIBUS所依靠的帧-校验-序列(FCS：Frame-Checking-Sequence)和奇偶校验(Parity-Check)来识别基本错误。换句话说，基本机制下的故障揭示概率不受附加的PROFIsafe CRC-机制的影响。

当位错误率很高时，即当一个报文有许多位受到干扰时，残留错误率难以确定。为避免任何不安全性，PROFIsafe使用了一种称之为SIL-监视器的方法)，这种方法已经获得专利权。?

CRC-安全措施不仅循环地保证过程信号和数据的完整性，而且也保证在相关从站中存放的参数，如标志(密码)、看门狗(Watch-Dog)时间等完整性。

五、F-报文结构?

以上讨论了PROFIsafe安全传输报文所使用的方法。下面介绍故障安全报文结构，即PROFIsafe在PROFIBUS通信上的具体映像。先来观察PROFIBUS-DP报文结构。?

在DP-帧结构中，Data-Unit，PB(Parity-Bit)和FCS是人们关注的焦点。在系统组态/启动阶段，Slave(从站)通过GSD-设备基本数据文件将有效数据的格式通报DP-Master(主站)。在PROFIsafe中的情况雷同。

F-Host和F-Slave(F:Fail-safe，故障安全)在封闭的条件下彼此交换控制信息和状态信息。当一个F-Slave需要增加参数，或者 F-Host要更改参数时，两者之间就要交换信息。此外F-Slave可将出错报文通知F-Host。为进行上述信息交换，PROFIsafe将 1Byte(状态/控制字节)设在有效数据左边(图10、11)。Status/Control Byte各个位所代表的状态见。

另有1Byte用于顺序号，该号由某报文的发送器登录(源计数器)，由接收器验证且以应答报文送返发送器。在一次循环操作中，计数器从1计数到255，0是为系统启动而设定的。

如前所述，制造业和过程工业对一个安全系统的要求是不同的。前者必须以极快的速度处理(断路)信号;后者则允许更多的时间处理过程数据。 PROFIsafe因此规定了两种不同的有效数据长度，它们要求采取不同的CRC-安全措施。第一种有效长最多为12Bytes且有1个2Bytes- CRC2接于流水号之后;另一种有效长最多为122Bytes且有1个4Bytes-CRC2。?

剩余报文有效空间可为标准数据所用。当系统设有通往其他安全总线的F-网关时(图1)，这种结构使通信效率提高。

F报文顺序号用于监控发送器的生存期(life)和监控链接接收器的通信区段。借助顺序号和PROFIsafe应答机制可对F-CPU〈-〉F-Output之间报文运行时间进行控制。六、SIL-监视器(Monitor)的机理及其作用?

如前所述，PROFIsafe并不依托于PROFIBUS的基本安全机制，而是用附加的CRC来识别全部错误，以达到所需求的SIL等级。上面提到的一种专利SIL-Monitor监视器(图14)可以使SIL等级在分布式故障安全