CANopen安全措施:映射过程数据对象
CANopen是用于自动化的嵌入式系统的通信协议和设备配置文件规范,其中包括确保信号完整性的机制。第2部分讨论了流程数据对象映射,以及CANOpen协议如何在传统模拟测量中允许更少的错误。第1部分是《控制工程》2015年5月刊的独家数字版,链接如下。
CANopen中的应用程序级安全措施和服务可以减少协议级残留错误的机会,而不会引入额外的生命周期成本。实现这一点的方法包括流程数据对象映射、使用信号有效性机制和管理检测信息。第1部分(底部有链接)讨论了设备概要文件、网络管理和设备状态机。
CANopen是用于自动化的嵌入式系统的通信协议和设备配置文件规范。
处理数据对象(PDO)映射
模拟信号对偏差很敏感,因此如果没有额外的有源组件,就不可能将单个模拟传感器连接到多个输入设备。因此,通常采用完全并行的传感器通道进行监测。
PDO映射通常被理解为一个信号路由函数,但它也可以用来降低CANopen通信的剩余错误概率。在可编程逻辑控制(plc)的情况下,很可能在过程映像中有空闲对象,并且接收过程数据对象(rpdo)不用于控制应用程序信号。来自其他PLC控制应用程序的信号可以从pdo映射到PLC的本地对象字典中,这使得PLC监视这些pdo的结构。通过这种方式,更多的plc能够执行PDO消息长度检查,并增加通过CAN层2一致性检查的潜在残留错误的空间覆盖率。这种RPDO监视的主要限制是只能检测到太短的pdo,而不能检测到太长的pdo。
信号的有效性
在传统仪器仪表中,只使用主信号,没有提供主信号有效性信息或系统结构一致性的冗余服务。模拟传感器和执行器无法识别,也不可能验证结构和配置。并行使用两个模拟传感器可以识别故障,但不一定是两个传感器中的哪个故障。需要第三个传感器来检测单个故障传感器,但仍然不清楚故障是在传感器还是在电缆上。
成员监视提供信号产生器的基本级别监视。基于RPDO超时监控,可以对接收到的信号进行更快、更详细的有效性监控。结合来自成员监视和RPDO监视的信息,可以识别错误类型和错误位置。如果需要信号可信度检查,CANopen设计过程可以提供必要的信息。此外,大多数CANopen设备包含全面的自我监控功能,并通过紧急协议将检测到的本地故障报告给系统的其余部分。
配置管理
参数化是一种工具,用于减少不同产品项的数量,并通过使标准产品适应不同的系统位置来增加重用。业内的一个误解是,模拟传感器和执行器中没有可配置的参数。通常有特定于供应商和特定于设备的机制来调整传感器中的校准、滤波等。此类服务通常仅供供应商使用,限制了使用。在执行器的情况下,这是完全不同的,特别是在液压阀。有许多略有不同的主线轴;具有不同弹簧力的各种弹簧;或弹簧力调整与垫圈,压力补偿器,负荷销,和可选的阀门元件的保护目的。
一些传统上通过改变阀芯和弹簧来配置的参数,目前可以通过改变内部阀门控制器的参数值来调整。不能通过CANopen网络更改的纯机械和液压选项仍然在设备标识中标识,在网络启动阶段提供详细检查。然而,良好的质量保证是必要的,以避免组装故障,导致计划和实现结构之间的不匹配。
从安全的角度来看,能够检查是否使用了正确的传感器和执行器是至关重要的。根据经验,终端用户“相当创新”,对于控制系统为什么必须能够执行成员资格和配置监控的说明永远都不够。
强烈建议在工厂校准和用户配置之间明确划分。在下载过程中,这些也需要分开,以防止混淆类别。为了使参数易于管理,配置管理过程支持在系统集成商、分包商和组件供应商之间进行灵活的生产安排。将参数存储在数值中可以保证恒定的生产质量,并可以在设置和存储后验证所分配的值。
设计过程
模拟传感器和执行器接口的管理没有统一的方法。相反,使用各种书面文件,每个输入和输出必须在设计时手动配置,并在装配完成后,在全面运行之前进行校准。任何组件的改变都需要重新校准。主要的问题是在这个过程的每个阶段人类努力的重要性。
全面标准化的CANopen设计过程支持大多数列出的安全措施。系统地管理设计信息以避免错误是很重要的。人为的错误可以通过使用适当的工具而不是人工工作来避免。适当的工具链可以验证和重用CANopen系统项目之间的信息。
设计过程可以看作是为配置管理和各种其他监视功能提供一致信息的过程。并非所有必需的信息在CANopen项目中都是必要的,这导致了与其他学科的交互。如果信息内容没有很好地定义和结构化,则不可能实现信息共享。
除了可靠的通信服务外,CANopen还提供了进一步的保障措施,以减少通信的残余错误概率,并增加诊断覆盖率。设备配置文件能够有效重用标准化的基本传感和驱动功能。这些功能已经在现成的设备中实现,并且已经经过了测试和认证,无需额外的成本或努力。设备状态机提供了防止通信错误的保护,导致了诸如意外错误恢复等问题,这违反了主要的安全设计原则之一。
详细的成员监控是模拟传感器和执行器无法实现的功能。它本质上在每个CANopen系统中都是可用的。
通过多个设备接收pdo,无论是否需要包含信号值,都可以通过扩展空间分布来提高错误检测性能。接收设备越多,由于空间覆盖,操作就越可靠。
CANopen定义了一个全面的配置管理,它同样适用于所有类型的兼容设备。协调一致的原则可以实现高效可靠的系统范围配置管理。标准化的设计过程支持配置管理。它提供了一种系统的方法来管理整个系统生命周期的设计信息,包括信号和参数的元信息。定义良好的设计过程还可以最大限度地重用设计信息。
误差概率
由于CAN消息的结构,解析地确定CANopen通信的准确残余错误概率具有挑战性。然而,基于现有的信息,残差概率对于大多数应用来说是足够低的。与旧的模拟仪器相比,其差异是显著的。根据现有的根据相关标准进行的分析和使用真实的故障统计数据,在安全相关的控制系统功能中使用模拟传感器和执行器可能没有意义。虽然CANopen不被认为是一种安全总线,但它的大多数基本概念都遵循“固有的安全设计措施”。
除了通信之外,应用程序的可靠性也很关键。提高应用程序可靠性的主要方法是有管理的设计过程和测试。只要不能接受额外的成本,应用程序的重用就可以实现更完整的测试。最好的重用方法之一是使用标准化的基本函数,这些基本函数在CANopen中的设备配置文件中定义。从系统的角度来看,更高的可靠性通常会导致目标系统更好的可用性和盈利能力。
当模拟仪器和CANopen网络进行比较时,后者可以更简单地实现,同时提供相同的性能水平。模拟仪器更传统,通常功能更少,而且看起来设计简单。它实际上简单的一个原因是许多系统学没有在非常详细的层次上定义。因此,模拟仪器的装配和维修容易出错,需要大量的人力。但是,必须遵循已定义的方法才能获得CANopen的好处。
- Heikki Saha博士,自动化硕士,电子技术博士,TK Engineering, Oy首席技术官;由数字项目经理Anisa Samarxhiu编辑,控制工程,asamarxhiu@cfemedia.com.
关键概念
- PDO映射通常被理解为信号路由函数,但它也可以用于降低CANopen通信的剩余错误概率。
- 参数化是一种工具,用于减少不同产品项的数量,并通过使标准产品适应不同的系统位置来增加重用。
- 只要不能接受额外的成本,应用程序的重用就可以实现更完整的测试。
考虑一下这个
你认为需要什么来提高应用程序的可靠性?
在线额外
查看关于CANopen的其他故事,包括本文的第一部分,链接如下。
您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献,并获得你和你的公司应得的认可。点击在这里开始这个过程。
