安全网络开始出现

关键字 网络和通信 现场总线 安全 设备级网络

安全现场总线的概念似乎是一种矛盾修饰法。从逻辑上讲，你怎么能让一个双绞线控制环路在一个与安全相关的环境中运行呢?传统上，而且通常在法律上，要求通过硬接线实现冗余。

当然，抛开实际的反对意见不谈，与4- 20ma的硬线相比，实现现场总线可以节省40%的材料和劳动力，这将是非常好的，而不是流口水。从现场总线的更好的诊断中获得额外的节省将会更好，这使得主动维护成为可能;确定问题;并帮助缩短和减少现场维护访问。

发那科机器人北美公司(Fanuc Robotics North America)产品开发总经理克劳德•丁斯莫尔(Claude Dinsmore)说，在拥有大型设备的大客户中，安全网络的发展势头明显，因为他们有成百上千台设备，因此潜在的节约成本会迅速增加。

宾夕法尼亚州哈里斯堡Phoenix Contact公司的David Skeleton补充说:“最近，传感器和智能设备的使用大幅增加。这推高了布线成本，从而增加了对基于现场总线的安全性的需求。”

这是好消息。坏消息是，使用现场总线作为安全网络的所有实际障碍都必须在效益开始显现之前解决。此外，在目前和不久的将来，安全网络只可能应用于机械安全和离散制造情况，主要是因为过程控制应用更复杂，通常不能立即关闭。

Pilz Automation safety LP (Canton, Mich)报告说，除了通过有组织、重复和确认的消息传递来满足安全要求外，使用其SafetyBus p的安全网络可以形成内部组，随后允许将应用程序划分为子部分，从而使来自整个工厂的安全相关数据能够通过一个安全总线进行控制。然后，如果发生故障，只有受影响的组需要切换到安全状态。

最重要的是，无论是硬连接还是基于现场总线，安全网络都必须根据安全完整性级别(SIL)要求进行评估，以确定其可以安全运行的四个级别之一。SILs 1,2,3和4分别对应于安全功能失效的目标可能性范围。SIL是安全函数的属性，而不是系统或系统的任何部分的属性。

Profisafe的工作原理:按下紧急按钮(连接到现场设备的故障安全输入模块)。2.在下一个通信周期中，安全控制器(能够处理安全应用程序和标准自动化任务的PLC)将输出数据发送到现场设备(包括根据Profisafe配置文件的故障安全数据)。3.现场设备响应输入数据(包括Profisafe提供的故障安全数据)。4.控制器的安全应用程序评估数据单元的相关部分，并启动必要的程序步骤。5.在下一个电报中，信息作为输出数据的一部分被发送到相应的站点。 6. The motor stops.

法规变化

历史上，许多标准、规则和法律都限制了现场总线等低功耗网络在安全相关环境中的使用，主要是因为电力有可能引发爆炸。由于这些规则的存在，而且即使是开发安全现场总线规范也必须在密切的监管和协作下完成，因此，尽管有一些基于安全模块的产品，但几乎没有任何基于安全网络的产品发布。

许多传统的对安全网络的反对意见已经得到解决，再加上组织更好的软件来满足总线完整性验证，使得一些监管机构可以考虑放宽对可能的现场总线安全网络的限制。这种重新审查大多发生在欧洲，观察人士认为，欧洲目前在安全现场总线开发方面领先于美国。

这种滞后部分是由于美国国家消防管理局(NFPA, Quincy, Mass.)长期以来一直禁止使用现场总线或其他供电网络，作为其NFPA 79规范工业机械电气设备的一部分。最近，据报道，西门子、罗克韦尔和艾默生等几家制造商要求NFPA重新审查其管理安全现场总线的规则。该组织目前正在投票决定是否允许更多地使用这些网络和/或安全plc，结果预计将在2002年晚些时候公布。

同样，国际电工委员会(IEC，日内瓦，瑞士)最近发布了由七部分组成的IEC 61508标准，用于电工安全相关系统，如机电系统，固态电子系统和基于计算机的系统。IEC 61508于2001年7月由CENELEC技术委员会批准，并将于2002年8月发布为EN 61508。位于比利时布鲁塞尔的CENELEC(欧洲电工标准化委员会)或CEN(欧洲标准化委员会)的标准必须在2004年8月之前撤销。ARC咨询小组(Dedham, Mass.)表示，IEC目前也正在制定过程和机械控制的新标准IEC 61511和62061。

此外，机器人工业协会(RIA, Ann Arbor, michigan .)在1999年更新了其R15.06标准，部分是为了允许更多地使用安全设备和网络组件。这一更新于2001年6月生效，它允许网络安全电路用于控制“控制可靠”性能标准的安全信号，发那科机器人电气集团产品开发经理Tom Field说。例如，这基本上需要第三方验证使用三冗余处理器的软件控制电子停止电路的安全PLC。

罗克韦尔自动化计划的NetLinx安全系统将NetLinx标准与控制与信息协议(CIP)的安全扩展相结合，将安全消息与标准消息分离。NetLinx Safety的交叉检查和冗余创建了一种能够服务于SIL 3应用程序的通信机制。

Profisafe扩展了Profibus

也许最著名的安全现场总线是西门子的Profisafe标准，它是在2001年初定义的。该公司已经发布了几种profisafe兼容的设备，特别是其S7 400 PLC和ET 200 I/O产品。

Profisafe在Profibus协议中增加了一个以安全为中心的层;运行在标准的Profibus硬件;并因此提供了额外的错误检测功能，以实现SIL 3并在没有任何未检测到的错误的情况下获得消息。

Ron Mitchell是Profibus接口中心(Johnson City, tennessee)的系统工程师，他说Profisafe是在对Profisafe用于CNC计算的算法和多项式进行了广泛的审查后，才获得TÜV(指定的监管机构)的批准的。事实上，TÜV在Profisafe的整个两到三年的开发过程中不断地对其进行审查。尽管做出了这些努力，但让不情愿的用户相信Profisafe的实用性和安全性并不总是那么容易。

“这类似于从硬plc到软plc的演变，并平行于从4-20mA硬线到常规现场总线的转变。改变心态需要时间。米切尔说，我们只需要不断地挖掘，不断地解释Profisafe的所有可能性。“很难证明安全网络的优势，因为它们的安全功能以数学方式体现在固件中。不过，我们现在收到了越来越多关于整个巴士安全性的询问，而一年半前我们还没有收到这样的询问。”

西门子还在开发一种低级别的安全现场总线协议，名为AS-i工作安全。

Pilz是从头开始构建的

虽然几乎所有的安全现场总线网络都是现有现场总线的简单扩展，但Pilz Automation safety LP (Canton, michigan)几乎从零开始构建了其已有两年历史的安全现场总线。Pilz的高级应用工程师Dino Mariuz表示，Pilz从CANopen现场总线系统开始，然后增加了检查信号的功能;收发信号的定时功能;这些功能通过消除回波、幽灵和/或重复信号以及丢失的数据，使这种隔离的现场总线变得安全。

马里乌兹说:“其他开发商曾试图将安全性纳入现有系统，但这会给网络增加太多流量。”“我们的许多客户已经有了控制网络，我们可以添加SafetyBus p来与他们的plc等进行通信。”

Mariuz先生补充说，SafetyBus p目前正在密歇根州立大学(East Lansing, Michigan)的一个粒子加速器上辅助现有的现场总线控制。SafetyBus p帮助监控广泛存在的闸道系统，在加速器通电进行实验之前，必须确保闸道系统的安全。

Pilz还报告说，SafetyBus p能够达到EN 954-1第4类认证，因为其所有设备中的双芯片芯片组都基于可编程安全系统(PSS)，而不是IEC 61508完整性级别使用的概率方法。PSS是一个由三个独立的plc组成的系统，在设置输出之前必须计算相同的结果。

Mariuz先生说，用户可以通过添加更多模块(最多64个节点)和重新配置软件，轻松扩展基于SafetyBus p的单元和区域。Pilz还为SafetyBus的监控模块系统(MBS)开发了基于软件的安全模块。Mariuz先生补充说，工作电压低于6v的极低功耗模块最终可能使SafetyBus p在危险的本质安全应用中运行。

AS-i安全工作可以通过在标准网络组件中添加安全监视器来形成安全信号组。配备一个双通道使能电路和四个安全从机，每个监视器被分配到一个工厂部分，可以通过适当的使能电路关闭。在这种情况下，配置允许安全模块和紧急停止1对安全监视器1起作用，并关闭分配给它的工厂部分。紧急停止2在两个安全监视器上工作，并关闭两个适用的工厂部分。

未来的集成

罗克韦尔自动化(Mayfield Heights, O.)不仅计划在两年内推出SIL 3安全网络，还正在开发一种名为NetLinx safety的安全网络规范，该规范将使用多条线路，并允许其推出两年的DeviceNet safety和以太网/IP safety协议之间进行无缝通信。两者都由开放设备网络供应商协会(ODVA, Boca Raton, Fla)监管。

DeviceNet Safety为DeviceNet增加了一个额外的协议层，它允许网络检测和捕获更多的远程错误可能性，这是实现足够高的SIL等级作为安全现场总线所必需的。这是通过两次传输某些数据，并在系统中嵌入额外的周期性冗余检查(CRCs)来实现的。

罗克韦尔安全通信和安全控制业务项目经理苏雷什•奈尔(Suresh Nair)说，每个数据包至少要传送两次，而不仅仅是传送两帧。因此，最根本的区别在于DeviceNet Safety有两个用于通信的cpu。这意味着两个数据包中的每一个都将进入不同的CPU，并对它们进行交叉检查，这就是我们如何保证达到一定程度的完整性。简而言之，这就是安全现场总线再现硬件冗余的方式;使用不同的方法实现所需的结果;并实现现场总线承诺的节省材料和劳动力，以及改进的诊断。

目前正在TÜV和BIA组织的第二阶段审查中，NetLinx Safety不仅允许多个链路，而且还将使安全现场总线网络的多单元方法成为可能。DeviceNet Safety with NetLinx预计将在2004年第一季度推出，Ethernet/IP Safety with NetLinx将在六个月后推出。

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献，并获得您和您的公司应得的认可。点击在这里开始这个过程。