网络安全策略的安全工作指南

安全工作，一个多供应商的开放技术，通过收集和控制功能安全设备，如e-stop，光幕，保护开关等，连接到一个简单而灵活的双导体电源和数据网络，简化了机器安全安装。

安全工作的基本理念非常简单。安全现场设备通过动态代码序列智能地传输安全数据(一些专家喜欢将此数据称为安全代码或安全签名)。软件可配置的安全控制器(通常称为SafetyMonitor)取代了传统的安全继电器，评估这个动态代码序列，并根据用户的配置做出逻辑决策。冗余安全触点，最终负责关闭电机接触器，要么是SafetyMonitor的一部分，要么实现为位于现场的安全输出模块。当安全工作技术被开发出来时，参与的公司决定不再发明另一个专有通信网络。相反，他们使用了AS-Interface，这是一种易于使用、高度灵活和低成本的解决方案。除了这些优点之外，将工作安全与as接口结合起来的另一个显著好处是，为as接口开发的所有硬件、工具和解决方案都可以立即用于安全安装。支持安全工作的供应商可以提供更多信息。这些公司包括:Bihl+Wiedemann, Euchner, Festo, idec, ifm, Leuze电子，倍加福，罗克韦尔自动化，Schmersal，施耐德电气和西门子。

动态安全

传统的硬连线安全解决方案是基于冗余布线。与通过网络交换安全相关信息相比，这种方法有许多缺点。布线的复杂性及其相关的成本和停机时间只是两个经常被提及的问题。

工作安全可用于要求最高安全级别(CAT4, SIL3和PLe)的应用，但许多其他应用也可以。正是安全工作所采取的动态代码序列方法，使得这种安全水平的价格水平大大低于任何其他网络安全技术，并且安装的简单性是首屈一指的。动态代码序列是在4位卡盘中传输的唯一32位数字。在安全系统的配置过程中，安全控制器从连接到网络的每个安全设备中学习这些32位数字，并将它们存储为8×4-bit矩阵。安全控制器需要正确接收这些32位代码序列，如果数据损坏(可能表明安全设备的内部故障)或根本没有接收数据(很可能是电缆损坏)，安全控制器将关闭其安全输出。本程序确保工作安全系统在需要时过渡到安全状态。但这些四位数据块还有更多的含义。图1显示了连接到安全输入模块的冗余e-stop。每个四比特块的两个比特通过一个安全电停触点路由，而其他两个比特通过第二个安全电停触点路由。这个简单的过程产生如下结果:

• 它允许安全控制器测试两个安全触点之间的交叉短路。
• 它使用户能够确定冗余触点是否以及何时被焊接、断开或粘滞。因为这些信息可以通过网络获得，所以没有必要再连接其他线路。

与硬连线方法相比，它的第二个优点是显著减少了所需的线路连接数量。虽然硬连线解决方案通常利用辅助触点来确定电子停止是否被按下，但在工作安全中，这一信息基本上是免费提供的。此外，用户不仅知道哪个e-stop负责关闭机器，而且还可以得知单个接触问题。

设置

建立工作场所安全制度包括以下步骤:

1.构建网络——这包括运行网线;连接as接口电源，负责为所有现场设备、安全控制器和网关供电;给现场设备分配地址。

2.设置安全逻辑—这是使用图形化SIMON+软件完成的。一旦创建了安全逻辑，就将其下载到安全控制器并进行测试。

3.PLC逻辑——因为安全设备是网络的一部分，不安全的PLC有能力看到安全现场设备产生的数据。这允许程序员开发HMI屏幕来指导机器操作员。例如，通过查看来自每个e-stop的数据，可以将HMI设置为发出按下哪个e-stop的信号，从而导致停机。

建立网络

as接口是一种传感器/设备级网络，可以包括非安全模块、安全模块甚至模拟模块。有关组装视频链接，请参阅联机框。

建立安全逻辑

安全逻辑可使用Simon+组态软件设置。为此，图形化功能块从Device库中取出并放到处理窗口中(参见图2)。每个处理窗口对应于一组逻辑规则，最终控制安全输出。

图3显示了控制安全输出组1 (OSSD1)的逻辑规则。尽管逻辑流是从左到右的，但是从右到左计算逻辑可能更容易解释发生了什么。

最右边的功能块是一个输出设备，表示用户指定名称为OSSD1 (Motor)的系统的安全输出。左边的一层是全局&和开始设备。对于此应用程序，已选择自动启动。一旦全局&逻辑上为TRUE，安全输出OSSD1 (Motor)将打开;在这种情况下不需要休息按钮。

全局&的左边是一些输入设备，即两个e-stop和一个安全保护开关。只要Global & operation的两个输入都为TRUE，它就会为TRUE。当门关闭并锁上时，安全防护开关将为TRUE。另一方面，两个e-stop首先使用AND逻辑器件组合。然后，AND逻辑设备连接到按钮设备。

这四种设备的工作原理如下:

• 只要两个e-stop都处于各自的释放状态，AND逻辑器件就变为TRUE。
• 按钮设备充当一个门。为了使它变为TRUE，它的输入(即与逻辑设备)必须为TRUE，加上分配的输入按钮位也必须暂时为TRUE。按钮装置完成了必要的复位功能的e-stop。

如图2所示，一个安全配置可能由许多单独的处理窗口组成，每个处理窗口为一个输出定义一组规则。使用“输出”这个词是故意含糊的，因为这个输出可以是安全控制器上的安全输出，也可以是物理上位于远程安全输出模块中的安全输出。远程安全输出非常有用，因为它们可以实现各级机器控制的模块化。系统设计人员非常习惯于将常规输出放在机器部分上，然后通过为应用程序选择的网络控制它们。为了运输而拆卸机器就像断开网络的部分并在重新组装的位置重新连接一样容易。以前，当需要安全控制电机时，这种简单的解决方案是不可用的。当使用传统的硬线安全技术时，控制电机的安全继电器必须在主控制柜中。通常情况下，这意味着电机的电力首先必须运行到控制柜，然后再返回到电机。这不仅在必要的高压电缆方面成本高昂，而且还使整个机器的故障和重新组装复杂化。不幸的是，许多安全网络解决方案仍然存在这一缺点，因为它们没有提供方便使用的安全输出，并且可以位于网络的任何位置。

安全工作，使用安全远程输出模块是很容易的。图4显示了双击OSSD1 (Motor)功能块后弹出的详细信息窗口。检查执行器框并提供安全输出模块的网络地址后，就可以在现场控制安全输出了。多个安全输出可以被分配到相同的安全地址。完成后，所有这些远程模块将同时停用。这是一种简单而有效的方法，可以同时停止机器多个位置的有害运动。由于as接口是安全工作的通信骨干，电机可以被控制在数百米之外。

另一种类型的输出是耦合从库。当网络上的多个安全控制器共享安全数据时，使用耦合从机。在这种情况下，两个安全控制器独立控制机器的各个部分。当a段的光幕中断时，该段的安全控制器使用其安全逻辑处理该信号。由于使用了静音，中断光幕不一定会导致机器停止工作。进一步假设，当操作员在a区时，机器B区的机器人绝不能旋转到a区。在这种情况下，机器B必须“知道”有关光幕状态的一些信息，以便在必要时关闭机器人。这就是安全耦合的用武之地。两个安全控制器使用所谓的耦合网络连接，安全逻辑的输出不是控制物理输出，而是将数据放在这个耦合网络上。从第二个安全控制器(接收光幕数据的控制器)的角度来看，这条信息看起来就像来自安全现场模块的数据——发出释放状态信号时的动态数据和发送关闭请求时的' 0000 '位模式。

随着在多个网络之间交换安全数据的能力，现在有可能建立具有961个安全输入设备的安全系统，这个数字如此之大，必须被视为只是一个假设的限制。

虽然安全工作通过网关的帮助在as接口网络中提供服务，但它是plc控制的I/O解决方案的一部分。一种新型的安全工作控制器还允许控制独立的安全系统，而无需连接到PLC。这种方法使对现代独立安全解决方案感兴趣的用户能够控制相当复杂的系统，而无需对现有PLC逻辑进行任何更改。诊断输出是控制器上的标准非安全输出。“控制器上”指的是安全控制器或扩展网络(也是标准AS-Interface网络)的本地标准输出，因此标准输出可以是数百个带输出的可用AS-Interface模块中的任何一个。

控制这些标准输出允许安全控制器在电子停止被推动时激活发光电子停止上的LED。同样，安全控制器也可以控制保护门开关上的锁定螺线管。可能性是无限的。为了使此功能更加强大，甚至根本不需要控制安全输出。赋予安全控制器使用标准输入和控制标准输出的能力，使其成为一个安全PLC。图5显示了一个中等尺寸的安全系统，其中包括e-stop、光幕、静音传感器和保护闭锁门开关。一个标准的按钮打开门，集成的led用于指导操作员和通报操作状态——所有这些都不需要PLC。

尽管安全plc的所有处理能力都要花费数千美元，但这个安全控制器的价格很容易就便宜了20倍。它不像安全PLC那样强大和复杂，但它足以控制典型安全系统的一小部分。

- Helge Hornis，博士，倍加富智能系统组经理。由CFE Media内容经理马克·t·霍斯克编辑，控制工程、而且工厂工程、mhoske@cfemedia.com．

www.pepperl-fuchs.us

在线:

P + F视频

-安全工作硬件连接，逻辑配置，最终系统测试和调试。https://bit.ly/McmoBd

—将非安全模块、安全模块和模拟模块组成一个简单的AS-Interface网络。https://bit.ly/JhO6vE

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。