CANopen安全措施以减少错误

了解应用程序级别的保护细节和基本CANopen服务可以减少协议级别残留错误的机会，而不会引入额外的生命周期成本。对于那些不熟悉CANopen的人来说，它是自动化中使用的嵌入式系统的通信协议和设备配置文件规范。评论是有意义的，因为大多数提出的概念不仅已经标准化，而且已经在市场上的大多数设备中实现，只是等待使用。

在许多应用中，复杂的安全附加组件是在现有控制系统之上设计的，这大大增加了复杂性和成本。性能水平的最显著提高可以通过用数字通信取代所有模拟信号路径来实现。只要可以检测到错误，并且控制系统可以执行可靠的反应，错误就不会造成任何危害。通过对典型系统故障的分析，可以明显看出模拟信号路径是任何控制系统的最薄弱环节。

由于安全标准涵盖目标系统的整个生命周期，现代控制系统的设计不仅需要新的技术解决方案，还需要更新的思维方式。除了设计理论上安全的系统外，生产和服务过程必须更新，以能够达到设计的性能水平(PL)，并根据标准的要求在系统的整个生命周期中保持它。

设备配置文件

传统上，除了应用逻辑之外，每个系统集成商还将自己的低级控制和管理模拟传感器和执行器实现到可编程逻辑控制器(plc)中。这种方法会导致一些主要的缺点:

• 专有软件组件没有很好地指定，因为每个公司都使用自己的组件。只在内部使用软件组件会让用户对其“灵活性”产生错误的感觉，从而导致项目之间的自定义不受管理。有许多组件几乎相似，导致需要对每个组件分别进行测试和认证。
• 专有软件组件通常针对一个公司、一个部门或一个应用程序进行优化，并且只针对当前的应用程序。当这些组件接近过时时，就会对它们进行反应性维护，从而不断地进行开发。
• 软件组件的质量保证需要大量的测试，通常还需要某种认证。如果每个公司都自己测试类似的组件，工作就会重叠，并且必须测试大量的项目。CANopen设备配置文件通常定义设备类别的通用架构，从而提供一组通用的基本I/O、测量和驱动功能。从安全的角度来看，依赖符合设备配置文件的设备的最重要的后果是，每个基本功能都已由设备供应商设计、实现、测试和认证一次。
• 当使用一个标准化的、符合canopen的组件时，总是有一个全球统一的系统集成接口，使基本功能的内在可重用性成为可能，而不需要特定于项目的重新测试和重新认证。
• 许多公司都参与了每个CANopen设备配置文件的开发和维护。与专有功能相反，设备配置文件更通用，并为各种应用程序提供坚实的基础。
• 通过使用标准化的功能和组件，设备供应商为单个设备执行单元测试，成本由所有客户分担。从长远来看，功能的质量可以得到更快的提高，因为每个应用程序中的每个设备都向设备供应商提供测试结果。

网络管理状态机

模拟传感器和执行器在通电后立即开始全面运行，无需任何自检和一致性检查程序。在发生致命内部故障的情况下，没有可用的服务通知系统的其余部分有关内部初始条件或防止错误操作。网络管理(NMT)状态机为安全和可管理的行为提供了一种基本机制。在启动期间，每个设备进入预操作状态。

在此期间，可以检查系统结构并设置可选的正确参数值。如果发生致命的内部故障，每个CANopen设备可以自动进入定义的(最好是停止的)状态，以尽量减少系统级别上的进一步故障。

设备状态机

模拟传感器和执行器是无状态的，只能发送或接收连续时间信号。这意味着模拟执行器不能提供任何针对布线故障等问题的局部保护措施，这些问题很常见，通常会导致错误行为。此外，模拟执行机构不能进入稳定的错误状态，并在要求时安全返回正常运行。

一些设备配置文件，如用于I/O和测量设备的配置文件，具有简单的输出故障模式，允许在设定值信号未更新时使用安全值。

电动和液压驱动的驱动剖面具有由附加信号对控制的综合设备状态机。状态机控制整个驱动器的操作。状态机的使用降低了单个通信故障或一个信号中的通信故障的重要性。设备状态机的一个主要优点是可以精确地控制错误恢复，并且可以避免意外恢复。

设备状态机的另一个好处是，与主设定值信号一起，附加的状态控制和状态信号为驱动器提供双通道控制。最常见的安全状态是“停止”，它可以通过两种方式触发:

1. 主控制应用程序可以将设定值设置为中性或控制字设置为与“设备模式激活”不同的值。
2. 监控应用程序可以强制控制字值为与“设备模式活动”不同的值。

已经证明，在最佳情况下，主控制应用程序将设定值直接发送到驱动器，以最小化控制路径延迟。控制字可以通过监视应用程序路由，因为它仅在初始化和恢复阶段使用。这是一个控制器设备可靠性的问题，如果需要单一或双重应用和/或plc。两个应用程序都可以使用状态字和实际值。

执行器到驱动器

传统的模拟执行器只是执行元件，通常没有任何内部智能和传感。额外的模拟传感器可以安装到模拟执行器中，但它们不用于内部。这种传感器被认为是额外的传感器，因此增加了组件的数量和电缆的数量。

现代驱动器可以有内部测量和控制回路。双向通信接口，方便访问内部信号。驱动器(S)的实际值可以用作被控轴的冗余和多样化反馈，从而实现对主轴传感器值(P)的合理性检查，而不是额外的传感器。系统的复杂性不会增加，因为既不需要额外的组件，也不需要额外的布线。

成员监控

模拟传感器和执行器不能提供识别。因此，系统的其余部分无法检测到无意/非管理的设备安装或更改。这可能导致性能下降，甚至整个系统出现危险的错误行为。

因为CANopen是一个集成框架，而不仅仅是一组协议服务，它包括全面的诊断服务。管理网络启动与NMT状态机相结合，提供了一种简单、高效和标准化的机制，用于在系统上电期间全面运行之前详细检查系统结构识别。可选检查可能涵盖每个设备的全部功能，包括应用软件版本和设备配置。

在启动阶段之后，轻量级的在线会员监视提供了对结构变化的连续监视。它可以实现对每个设备的状态监控，也可以作为接收信号监控的信息源。Heartbeat是一种点对多点协议，支持由无限数量的设备进行系统一致性监控。

第2部分(位于文件底部的链接)讨论了过程数据对象映射以及CANOpen协议如何减少传统模拟仪器中的错误。

- Heikki Saha博士，自动化硕士，电子技术博士，担任TK Engineering, Oy的首席技术官;由数字项目经理Anisa Samarxhiu编辑，控制工程，asamarxhiu@cfemedia.com．

关键概念

• 如果发生致命的内部故障，每个CANopen设备可以自动进入定义的(最好是停止的)状态，以尽量减少系统级别上的进一步故障。
• 模拟传感器和执行器是无状态的，只能发送或接收连续时间信号。
• 管理网络启动为全面运行前系统结构识别的详细检查提供了一种高效、规范的机制。

考虑一下这个

当涉及到数据传输时，你会寻找什么样的保障措施?

在线额外

欲知详情，请浏览自动化中的CAN组织和下面链接的其他CiA文章。

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献，并获得您和您的公司应得的认可。点击在这里开始这个过程。