了解运动控制网络II：安全

本两部分的第二部分介绍工业自动化安全协议。第一部分讨论用于运动控制应用的网络模型和最流行的工业网络协议。

工业现场总线做的不仅仅是流线型机的设计和操作。它提供了一个重要的支撑结构，用于机器的安全水平。此前联网，占主导地位的方式来参与安全硬连接继电器是停电时条件违反了设备 - 外壳打开，光窗帘突破，等等。这需要点至点连线为每一组的条件，这增加成本和复杂性。恢复不仅仅涉及解决导致错误，但重新启动设备，增加了长度和停机的成本问题。

随着安全plc和安全驱动的增加，自动化安全已经超越了员工健康的核心任务，也支持资产和制造过程本身的健康。继电器定义了对单一条件的单一响应:例如，当外壳打开时，切断电机的电源。安全驱动器可以定义多种条件和多种响应:当外壳打开时，操作者有密码，在安全速度模式下操作，以实现更快的清洗。当扭矩需求超过一定的阈值时，升压电流还会向HMI和维护发送通知。

为了真正利用这项技术，安全设备和控制器需要由一个单一的通信网络连接起来。尽管这可以在专用的安全网络上进行，但这种实现增加了成本和复杂性。在专用安全协议的帮助下，工厂层的网络可以用于在自动化数据的同时进行安全通信，而不会损害任何一个目标。

开放系统互连(OSI)模型
在我们深入的安全协议，OSI模型的快速审查的具体细节。该模型将发送从一个设备到另一个数据分成七个阶段，如下所示的方法：

第1层:物理层，如rs232、rs485、IEEE 802.3(以太网)、CANbus、IEEE 802.11(无线以太网)等。
第2层:数据链路层，它管理节点到节点的通信
第3层:网络层，使消息能够在网络上从一个节点到另一个节点(如IP)
第4层:传输层，将数据打包发送到下一层(如传输控制协议(TCP)、用户数据报协议(UDP)等)。
第5层：会话层，管理用于交换数据的通信会话
层6：表示层，这涉及到网络和应用程序之间的数据转换
第7层：应用层，许多工业以太网协议驻留

传输过程开始于第7层，即应用层。数据被打包到一个框架中，并被标头包裹，标头识别它并描述它应该如何传递到下一层。该过程在每一层重复，并带有附加的报头，直到传输到达物理层时，它不仅包含I/O，还包含关于它的来源、它应该到哪里、以及它应该如何在途中处理和传输的全部信息。

当传输到达目的节点时，标题信息使其能够通过图层解压缩层并将其重新组装到完整的数据集中。以这种方式，PC可以向打印机发送作业，或者安全PLC可以向HMI发送警报。

为了确保高速自动化所需的确定性通信，许多工业以太网协议偏离了标准的七层模型(更多细节，请阅读)第一部分）.它们中的每一个都以略微不同的方式发挥作用。为了使它们能够支持安全通信，还制定了互补的安全协议。

安全网络
功能安全是确保安全性的主动过程。阻挡运营商进入危险区域的外壳将被视为被动安全性。打开外壳时，将电动机剪断电机的框架被认为是功能安全性。IEC 61508电气，电子和可编程电子设备的功能安全标准描述了一种黑色信道方法，以实现工业现场总线以支持安全通信。

黑信道基本上是一个黑匣子的通信模拟。从系统的角度来看，黑盒的内部工作是不相关的??重要的是输入和输出。类似地，指定现有的现场总线为黑色通道意味着物理通信通道对系统的其余部分是透明的。安全功能取决于输入和输出耦合器和安全协议，安全协议被认为是一个第七层应用程序。第1层到第4层的组件，如交换机、路由器和背板只需要通信信号，它们不需要携带SIL-3等安全完整性级别(在连续运行模式下每小时发生危险故障的概率小于10^-8 - 10^-7)。

在现实世界的系统中，我们可以做两个假设——组件最终会失效，网络中最终会出现通信错误。需要构建安全硬件和协议，以便当某个组件出现故障时，将系统带入某种已知的安全状态。类似地，如果出现通信错误，无论是丢失的数据包、损坏的数据，还是网络关闭，安全软件需要检测该事件，并采取任何必要的行动，将设备恢复到已知的安全状态。

如果黑通道不需要是安全合格的，那么软件需要以一种能够识别数据文件和传输过程中的任何错误的方式设计。IEC 61784-3，功能安全现场总线-通用规则和概要定义，要求通信链路消耗的错误预算不超过1%。根据上面的数字，这意味着通信需要操作到每小时故障的概率为10^-9。

IEC 61784-3定义了用于解决它们的传输错误源和软件方法。它们包括：

• 数据损坏
• 意外重复
• 序列不正确
• 数据丢失
• 不可接受的延迟
• 插入
• 伪装(将非安全数据识别为安全数据)
• 不正确的处理

安全协议可使用下列软件技术来识别传输错误:

• 序列号:检测重复，错误的序列，数据丢失，数据插入，标准数据伪装成安全数据。
• 时间戳:检测延迟、错误序列、数据插入和伪装。
• 标识符：检测不正确寻址和伪装。
• 通过循环冗余检查(CRC)或校验和进行数据完整性检查:检测数据损坏、错误寻址和伪装。检测数据损坏的能力取决于损坏的性质和实现。

最后一点值得额外的讨论。CRC通常被讨论为一种校验和，但这两个实际上是不同的。实现差异很大但通常，校验和在二进制数据上的数学操作之后寻找剩余的剩余部分 - 通常是一个划分或添加步骤。如果有点翻转，则其余部分将更改，标记损坏的数据文件。

CRC也进行数学运算，但基于数学次多项式。CRC技术往往是更好地为两位或更好的错误。这是需要注意的重要，但是，损坏的文件仍可能具有相同的CRC值未损坏版本。其结果是，CRC技术的选择是准确的结果是至关重要的。

安全方案
这里讨论的安全协议有多种共同点。它们都是基于黑色渠道概念。它们通过将其嵌入标准数据帧中来传输安全数据。这确保了确定性通信。添加如上所述的错误检测工具有助于确保在需要到达时，安全消息传递可以获得所需的位置。

CIP安全
公共工业协议(CIP)是基于生产者-消费者模型的面向对象协议。CIP安全是位于CIP网络之上的安全层，CIP网络基于DeviceNet和Ethernet/IP。这使得CIP安全与这两种类型的网络兼容。

在CIP Safety中，安全验证器对象管理连接，充当链接层和安全应用程序对象之间的接口。通过安全验证器客户端，生产安全应用程序生成安全数据并协调时间。客户端设备通过黑色通道传输数据和接收定时消息。消费安全应用程序使用安全验证器服务器接收和检查数据。服务器通过链接数据生成器接收数据并传输计时消息。

消息包由四个部分组成：数据，时间戳段，所述时间校正段，并且所述时间协调部分。用户拥有的两个数据段格式的选择。安全性数据最多两个字节的短版支持传送，8位CRC的安全，和8位CRC计算对数据的补充。长表数据部分可以容纳多达250个字节的安全数据。它由安全数据，安全性数据的反向版本，16位CRC的安全，并使用倒置的安全数据计算的16位CRC安全的。

CIP安全支持混合架构：安全连接可以在低带宽DeviceNet子单元格上开始，并在高带宽以太网/ IP子单元上结束。该协议可用于单播模式（一个安全验证器客户端，一个安全验证器服务器）和多播模式（一个安全验证器客户端，15个安全验证器服务器）。

该协议使用时间戳来延误显示器通信，不正确的序列，等。生产者设备事物的消费者设备，并存储该值作为时间戳。值也传递给消费者。当数据消息到达时，消费者使用时间戳，如果它是在容许的范围内，消费者行为上的命令。如果违反预先设定的参数数据，消费者进入安全状态并发送时间戳。为了避免误动作，是允许的，只要动作发生在指定时间内进行重传。

其他错误减轻技术包括分配唯一的设备标识符到每个节点和独特的序列号，以每发送。任何时候，生产者或消费者收到不正确的数据，设备进入安全状态。

故障安全EtherCAT实现
EtherCAT是基于通过通信的主从协议。主机连续发送通过所有节点路由的电报。每个节点又读取其部分并在通过它之前将其数据写入帧。EtherCAT的安全方案被称为对EtherCAT（FSOE）的失败安全。

FSoE协议基于FSoE主设备和FSoE从设备。每个FSoE主节点与每个FSoE从节点之间都有一个唯一的关系，称为FSoE连接。这是由唯一的连接ID标识的。被称为安全容器的安全数据直接嵌入到EtherCAT框架中。

在一个FSOE周期中，FSOE主设备生成包含安全输出被路由到FSOE从设备的主FSOE帧。每个装置读取其输出，并增加了它的安全输入到FSOE从属帧。当主FSOE接收到有效的FSOE从属帧，它启动一个新的循环。

FSO应用多种错误缓解技术。除了连接ID之外，每个从设备都是给出一个唯一的16位从地址，可以由DIP开关设置。网络可包括多达65,535个设备。在一个周期开始时，主设备启动了一个看门狗定时器，该监视程序定时器从给定的从站开始发送和接收安全数据。同样，每个奴隶都有自己的看门狗定时器。要检测数据损坏，FSO对每两个字节的数据使用两个字节CRC。

openSAFETY
发展成为一个现场总线独立的开放式标准，openSAFETY应用是基于以太网POWERLINK使用相同的生产者 - 消费者模式。节点被列为安全配置管理器（SCM，相当于一个制片人，或在自动化侧管理节点）和安全节点（相当于给消费者，或在自动化控制方面的节点）。每个openSAFETY应用领域，由单一的SCM管理，最多可处理1023个安全节点，而无需任何硬件开关。由于每个安全节点也可以作为供应链管理，安全节点的实际数量可数超过100万网络连接在一起。所述openSAFETY应用域网关提供了域之间进行通信的工具。

每个安全节点由一个由网络MAC地址和设备号组成的唯一设备ID标识。这将在启动时自动加载，从而使系统能够检测和更新任何已被替换的设备。openSAFETY使用对象字典和在启动时配置设备的安全服务数据对象工具来管理参数。

openSAFETY应用还利用隧穿的，嵌入由以太网POWERLINK电报发送的同步数据帧中的安全数据帧。每个openSAFETY应用数据帧可以是最大为254个字节并且由与各个校验两个相同的子帧。该协议施加CRC 8用于从在尺寸为1到8个字节和用于从在尺寸9到254个字节的有效载荷的CRC 16的有效载荷。这提供了用于检测数据丢失或损坏，以及错误地读取为安全数据标准机床数据的关键工具。

OpenSafety可以与任何主要的工业网络协议一起使用，包括以太网PowerLink，以太网/ IP，PROFINET，SERCOS III等。

PROFISAFE.
Profibus和ProfiNET是由PI开发和管理的，PROFIsafe被设计为现场总线协议之上的一个安全层。F-Host(安全控制器)和F-Device(安全设备)之间安全协议数据单元(SPDUs)的传输。这些PROFIsafe消息被嵌入到标准Profibus/ProfiNET消息的数据有效负载中。

每个数据单元由三个字段组成。它从输入或输出数据开始，它可以表示为短（1到13个字节），通常用于工厂自动化应用程序或更长（最多123个字节）浮点处理值。字段2包含一个控制字节，其标识消息的源。字段三是32位CRC签名。该协议使用序列号，看门狗定时器和唯一标识符。

协议使用两个单独的方法来为设备设置参数。与PROFIBUS和PROFINET一样，每个设备都有一个通用站描述（GSD）文件，它存储像设备ID等基本参数。这些GSD在库中收集在一起。然而，安全参数可能更复杂。光幕可能有几种不同的光分布，参数文件可以像数十千字节一样大。对于这些个人安全参数（iParameters），F-Host设备制造商建立了iPar服务器。使用配置，参数化和诊断工具（如工具调用界面或现场设备工具）的配置，参数将参数写入节点和iPar服务器。如果需要替换设备，则可以从iPar服务器自动检索参数。

随着安全日益成为工人健康和生产效率的工具，安全协议的表现也越来越好。黑信道技术的使用与完善的工业网络协议相结合，降低了成本，简化了实现。安全操作的责任取决于安全协议和安全组件。通过应用标准的错误识别和缓解技术，机器制造商和终端用户可以在不影响操作人员安全的情况下提高正常运行时间和生产率。