本文图片来源:EtherCAT技术协会
为了更易于调试和获得更好的性能,制造企业可以采用“黑色通道”方法来实现功能安全,并能更好的利用EtherCAT的优势。
功能安全作为现场总线网络架构必不可少的部分,已经成为现代控制系统的一个标准。EtherCAT的功能安全标准Safety over EtherCAT(FSoE),是一种数学上有保证的方式,可以为传输安全数据提供双重的“黑色通道”,安全数据和非安全数据由同一条电缆完成。自2005年以来,FSoE认证的产品就已面世。
01 “黑色通道”的优势
对于现场总线安全协议来说,采取黑色通道的方式进行机器安全通信越来越普遍。黑色通道的目的是确保从一个安全设备到另一个安全设备的数据是安全的,因此携带数据的通信系统不会影响数据的安全性——如果因意外或故意篡改导致安全数据变化,则会被检测到,不会造成任何伤害。
对于设备的安全功能来说,EtherCAT主网络似乎是不可见的。承载功能安全数据的总线系统,不执行任何安全相关任务;它仅用作传输介质。黑色通道方法意味着安全评估不必包含运输机制和介质。
为了符合相关安全标准,安全总线数据容器必须未经修改地从安全发送者传输到安全接收者,无论使用哪种传输系统。安全措施封装在终端设备中。
图1:通过黑色通道方法,将安全措施封装在安全终端设备中。
02 完整的安全功能和认证
在机器安全方面,用户必须确保所有进入系统的内容都是准确的。FSoE具有丰富的功能,有助于检测安全通信中的错误,包括:
■ 每个FSoE设备都有一个唯一的16位地址。
■ 每个安全数据容器对安全数据都有一个单独的循环冗余校验(CRC)。
■ 每个FSoE设备都有自己的内部状态机。在启动期间,安全设备必须通过状态机来传送安全数据。
■ 如果出现错误,状态机将重置,设备将进入安全状态,安全控制器必须重新建立连接。
■ 每次正确处理完安全数据时,看门狗计时器(WD)都会重置。如果存在多个连续校验和错误或通信丢失,计时器将超时并将安全设备置于安全状态。
FSoE协议符合IEC 61508安全完整性等级SIL 3以及IEC 61784-3的相关要求。国际公认的独立安全认证机构TüV南德意志集团已对FSoE协议进行了评估和认证。这意味着系统集成商无需证明FSoE协议认证设备的适用性,因此在认证机器或过程方面的工作量要小得多。
FSoE协议的特殊特性也确保了FSoE的黑色通道独立于底层现场总线通信系统。对于其它安全系统,用户必须遵守某些限制,例如,确保基础总线系统满足特定的可靠性要求。
图2:开放式 FSoE 协议支持机器之间的标准化数据交换。
03 增加开放性和加强安全通信
从一开始,ETG技术协会就专注于确保EtherCAT技术的开放性和可访问性。FSoE已在IEC 61784-3-12中实现标准化,是免费许可的,也是开放协议。任何ETG成员都可以访问所有FSoE文件,并可以自由开发和销售安全设备。
一些安全协议是封闭的和专有的。任何具有专有安全解决方案的控制解决方案,在很大程度上都会将开发人员和最终用户的选择,限制在同一个供应商的硬件和工具上。
尽管用户在技术上可以通过任何通信总线使用FSoE,但EtherCAT在架构和功能方面的高效提供了关键优势,例如:
■ 实时反应。即使在高度动态的驱动架构中也是如此。
■ 简化的系统。布线和系统扩展都更简单,诊断效果更好,因此可用性更高。一条电缆可以非常容易地取代所有离散的安全布线。
■ 更低的成本。可以使用标准工业以太网电缆和连接器。安全数据和过程数据可以共享一个网络和一条电缆。
无论是集中的还是分散的安全逻辑都是可能的,这意味着可以将安全功能添加到控制系统中,而不必用复杂的安全控制器替换可编程逻辑控制器(PLC),因为无需重写应用程序代码。由于它们共享相同的通信系统,安全控制器可以将安全事件通知非安全控制器,例如在工厂的另一端按下紧急停止装置。
04 集成安全系统真的安全吗?
有时会被问到一个问题:“如果安全数据中的一个点启动电机,而该点是由故障帧错误设置的,会发生什么事?”答案是让两件事协同工作:循环冗余校验和看门狗计时器。
■ 循环冗余校验(CRC)。在满足安全总线可靠性要求方面,通过CRC检测损坏的数据起着关键作用。包含EtherCAT数据报的每个以太网帧,在每个EtherCAT设备的每个端口都做一次整体CRC检查。如果发现CRC错误,则该帧无效。每个安全容器也有自己的CRC,由FSoE控制器和FSoE设备分别评估,因此任何损坏的数据都不会影响系统。
■ 看门狗计时器(WD)。超时对于检测FSoE通信错误也至关重要。根据网络运行的速度,在EtherCAT看门狗超时(通常为100毫秒)之前,不会发生任何事情。计时器在接收到非错误帧后自行复位。还有一个单独的FSoE看门狗(通常也是100毫秒),这同样适用:如果FSoE看门狗超时,安全组将收到通信错误并进入安全状态。因此,用户可以区分安全相关的通信问题。
图3:EtherCAT功能安全协议Safety over EtherCAT–系统示例。
此外,FSoE允许在具有ETG.6100.1安全驱动配置文件的驱动器中实现功能安全。FSoE控制命令允许根据IEC 61800-5-2实现高级安全运动功能。这意味着FSoE驱动器可以处理日益流行的安全功能,如安全扭矩关闭(更换冗余电机接触器)、安全速度范围、安全停机等。FSoE驱动中的安全功能,可以由驱动器的内部逻辑或FSoE触发。驱动器的安全状态字可通过FSoE传回安全控制器,这是一种功能齐全的诊断工具。
05 确保安全装置的互操作性
一致性和互操作性始终受到重视,FsoE实施、测试和发布的生态系统,使得安全设备的测试得以简化。ETG的目标是支持FSoE设备制造商顺利通过认证,从而尽快将产品投入市场。
安全设备必须首先通过内部一致性测试,然后通过专门针对 FSoE 设备的一致性测试,该测试使用 TüV 认证的测试用例。此外,所有FSoE设备还必须在位于德国纽伦堡的EtherCAT测试中心,通过完整的一致性测试(基本一致性和FSoE一致性),而FSoE测试由TüV人员在同一地点进行,因此一次预约可以完成所有测试。
最后,供应商可以到其认证机构获得最终设备的批准和认证。ETG一致性方法有助于设计安全装置并确保其互操作性。由于该设备可以与系统中的其它设备互操作,因此机器制造商、系统集成商和最终用户都将从中受益。
FSoE是一个开放式安全系统,拥有多家安全控制器、安全输入和输出以及功能安全驱动器供应商。一致性和互操作性受到重视,用户可以从多个供应商处获得理想的安全系统。该系统中的FSoE设备有助于确保一切安全工作。(作者 | Robert Trask, P.E.)
关键概念:
■ 在机器安全通信中,采用黑色通道方法的现场总线安全协议越来越普遍。
■ ETG一致性方法有助于设计安全装置并确保其互操作性。
■ 循环冗余检查和看门狗计时器有助于减少潜在错误。
思考一下:
您是否在工厂中使用过FSoE?
