浅谈从PROFINET到PROFIsafe的安全通信

随着工业自动化的日趋成熟，现代化工厂已经摒弃了当初的设备简陋，功能单一，安全缺失。因此在我们所从事的工业自动化现场，急停按钮，安全门锁，安全系统越来越多的被应用到我们自动化生产设备和生产流水线上，它们的使用，使得原本危险的设备增添了安全的保证。使得我们的工作过程有了安全的监控，不仅让现场操作人员有了更好的安全生产环境，也为企业高效生产，安全管理添砖加瓦。

作为安全家族的最重要环节，安全PLC已经越来越多的被人们所认知，但是在使用的过程中，仍然有很多使用者困惑，为什么一套和以往使用类似的PLC被冠以安全PLC，安全PLC和普通PLC到底有哪几方面的区别，在此和大家进行分享。

众所周知，安全设计的理念我们一定要记住三个词：1.冗余;2.相异;3.自检测。

而只有实现了以上三个安全理念设计的产品，我们才能认为它是安全产品，而普通的PLC产品是不具备安全的设计。那接下来我们就看看安全PLC是如何通过设计实现这三个理念的。

01 冗余

普通PLC内部CPU数量有一个或者多个，但程序通常是进行一个处理，多个CPU的功能是把程序中的逻辑运算、算数运算、通讯功能等分担实现，也就是协作处理。

安全PLC内部CPU数量至少两个或者多个，两个CPU的功能是：分别对同一个程序各执行一次，然后把记过放在一起比较，如果结果一直，就会进行输出，如果不一致，则选择安全的结果输出(通常意义上的不输出或者停机)

因此只有具备冗余设计的CPU才能称之为安全PLC。

除此之外，安全PLC中的CPU的检测具有时钟检测，监视时钟，序列检查，存储器检查。

时钟测量:在处理器电路中，有两个不同的振荡器交叉检查它们的行为，每个处理器使用一个时钟检查另外一个是否运行。如果在一个确定的周期里，检测到对方没有运行，CPU就会进入安全状态。固件每秒钟会检查两个振荡器的精度。

监视时钟：一个硬件和一个固件的监视时钟检查PLC的活动和执行用户逻辑的执行时间。这和常规的PLC系统是相同的。

序列检查：序列检查监视CPU操作系统不同部分的执行。

存储器检查：所有静态存储器区，包括Flash存储器和RAM，使用循环冗余码(CRC)进行检测，并且双码执行。动态存储器区由双码执行保护，周期性进行检测。在冷启动时，这些检测重新进行初始化。

从上面的分析可以看出，安全PLC的诊断和检测比常规的PLC的检测要多很多，所以相对来说，硬件和软件的设计更复杂。当然，检测和诊断的范围也更广范，更细致。

02 相异

安全PLC通常都有两个处理器，通常处理器是由两个不同厂家进行的提供，比如一个摩托罗拉，一个因特尔，同时进行解码和执行。这种差异性提供了失效检测的下列优点：

1. 两个可执行码独自生成，编译的差异性使得在代码生成时，容易检测系统失效。

2. 两个生成码由不同的处理器执行，因此，CPU能够在代码执行时，检测出系统失效和PLC的随机失效。

3. 两个独立的存储器区用于两个处理器，因此，CPU能够检测出RAM的随机失效，而这在每个扫描周期的全部RAM检查时测不出来。

03 自检测

安全PLC的自检测体现在方方面面，包含CPU处理的自检测，电源监视的自检测，安全输入输出点的电路板状况自检测。

在此我们介绍一下安全输入输出的设计是如何体现了自检测这一安全理念设计。

安全数字量输入

黄色部分是安全输入点所具备的特有电路设计，普通输入点是没有的。

内部诊断：每个输入通道使用一个公共输入电路和2个独立获取链路，每个微处理器驱动一个数字输入串行器(DIS)来实现对输入信息的采样。另外，微处理器还驱动一个数字输入还原器(DID)，再驱动诊断功能块进行诊断，实现还原数据与输入数据的同步比较。

输入通道错误检测：数字量输入监视现场侧电源，利用外部接线来进行漏电流的检测，最小的漏电流是1mA，如果没有漏电流，就代表外部电路出现开路故障，在干接点的情况下，在接点两端并联一个10k欧的上拉电阻，用于外部线路的断线检测。每个输入电路都配置了开关，周期地强制为1或0，用于检测电路是否健康。每个输入电路独立进行检测，如果发现问题就对诊断位置1，声明通道处于非健康状态。

安全数字量输出

黄色部分是安全输入点所具备的特有电路设计，普通输入点是没有的。

内部诊断：为了检查开关是否能够断开与闭合，要在输出模块(在模块内部电路，插入周期性的诊断循环)进行一个脉冲测试。

诊断序列包括：更改开关命令，这个时间非常短，不会影响执行器，最大不超过1ms;核实测试结果，并且恢复正确的开关命令。

电源监视：每个输出电路包括两个串联的开关，有两个处理器分别进行控制。第一个微处理器使用数字量输出还原器(DOD)驱动它的开关，而第二个微处理器则在还原器之后驱动它的开关。在每个周期里，两个微处理器系统的中点电压要与一个阀值进行比较，然后还要交换它们的如果，评估中点的状态，诊断开关的状态。如果在一个通道中检查到出错的行为，那么立即停机，并且设置诊断位，通知CPU，CPU中会有故障信息体现。

综上所述，希望大家对安全PLC和普通PLC的区别有了一个更进一步的认识，也通过上面的介绍，了解到安全产品设计的三个重要理念。在未来使用安全相关产品的时候，能够结合今天分享的内容来认识这些安全产品，通过它们的设计，区别于标准控制产品。

04 Profinet基本介绍

PROFINET由PROFIBUS国际组织(PROFIBUS International，PI)推出，是新一代基于工业以太网技术的自动化总线标准。作为一项战略性的技术创新，PROFINET为自动化通信领域提供了一个完整的网络解决方案，囊括了诸如实时以太网、运动控制、分布式自动化、故障安全以及网络安全等当前自动化领域的热点话题，并且，作为跨供应商的技术，可以完全兼容工业以太网和现有的现场总线(如PROFIBUS)技术，保护现有投资。

PROFINET是适用于不同需求的完整解决方案，其功能包括8个主要的模块，依次为实时通信、分布式现场设备、运动控制、分布式自动化、网络安装、IT标准和信息安全、故障安全和过程自动化。

实时通信

根据响应时间的不同，PROFINET支持下列三种通讯方式。

TCP/IP标准通讯

PROFINET基于工业以太网技术，使用TCP/IP和IT标准。TCP/IP 是IT 领域关于通信协议方面事实上的标准，尽管其响应时间大概在100 ms的量级，不过，对于工厂控制级的应用来说，这个响应时间就足够了。

实时(RT)通讯

对于传感器和执行器设备之间的数据交换，系统对响应时间的要求更为严格，大概需要5-10ms的响应时间。目前，可以使用现场总线技术达到这个响应时间，如PROFIBUS DP。

对于基于TCP/IP的工业以太网技术来说，使用标准通信栈来处理过程数据包，需要很可观的时间，因此，PROFINET提供了一个优化的、基于以太网第二层(Layer 2)的实时通讯通道，通过该实时通道，极大地减少了数据在通讯栈中的处理时间，因此，PROFINET获得了等同、甚至超过传统现场总线系统的实时性能。

同步实时(IRT)通讯

在现场级通讯中，对通讯实时性要求最高的是运动控制(Motion Control)，PROFINET的同步实时(Isochronous Real-Time, IRT)技术可以满足运动控制的高速通讯需求，在100个节点下，其响应时间要小于1ms，抖动误差要小于1μs，以此来保证及时的、确定的响应。

PROFINET

分布式现场设备

通过集成PROFINET接口，分布式现场设备可以直接连接到PROFINET上。

对于现有的现场总线通讯系统，可以通过代理服务器实现与PROFINET的透明连接。例如，通过IE/PB Link(PROFINET和PROFIBUS之间的代理服务器)可以将一个PROFIBUS网络透明的集成到PROFINET当中，PROFIBUS各种丰富的设备诊断功能同样也适用于PROFINET。对于其他类型的现场总线，可以通过同样的方式，使用一个代理服务器将现场总线网络接入到PROFINET当中。

运动控制

通过PROFINET的同步实时(IRT)功能，可以轻松实现对伺服运动控制系统的控制。

在PROFINET同步实时通讯中，每个通讯周期被分成两个不同的部分，一个是循环的、确定的部分，称之为实时通道;另外一个是标准通道，标准的TCP/IP数据通过这个通道传输。

在实时通道中，为实时数据预留了固定循环间隔的时间窗，而实时数据总是按固定的次序插入，因此，实时数据就在固定的间隔被传送，循环周期中剩余的时间用来传递标准的TCP/IP数据。两种不同类型的数据就可以同时在PROFINET上传递，而且不会互相干扰。通过独立的实时数据通道，保证对伺服运动系统的可靠控制。

网络安装

PROFINET支持除星形、总线形和环形拓扑结构。为了减少布线费用，并保证高度的可用性和灵活性，PROFINET提供了大量的工具帮助用户方便的实现PROFINET的安装。特别设计的工业电缆和耐用连接器满足EMC和温度要求，并且在PROFINET框架内形成标准化，保证了不同制造商设备之间的兼容性。

安全

标准与网络安全

PROFINET的一个重要特征就是可以同时传递实时数据和标准的TCP/IP数据。在其传递TCP/IP数据的公共通道中，各种业已验证的IT技术都可以使用(如http、HTML、SNMP、DHCP和XML等)。在使用PROFINET的时候，我们可以使用这些IT标准服务加强对整个网络的管理和维护，这意味着调试和维护中的成本的节省。

PROFINET实现了从现场级到管理层的纵向通讯集成，一方面，方便管理层获取现场级的数据，另一方面，原本在管理层存在的数据安全性问题也延伸到了现场级。为了保证现场级控制数据的安全，PROFINET提供了特有的安全机制，通过使用专用的安全模块，可以保护自动化控制系统，使自动化通讯网络的安全风险最小化。

故障安全

在过程自动化领域中，故障安全是相当重要的一个概念。所谓故障安全，即指当系统发生故障或出现致命错误时，系统能够恢复到安全状态(即"零"态)，在这里，安全有两个方面的含义，一方面是指操作人员的安全，另一方面指整个系统的安全，因为在过程自动化领域中，系统出现故障或致命错误时很可能会导致整个系统的爆炸或毁坏。故障安全机制就是用来保证系统在故障后可以自动恢复到安全状态，不会对操作人员和过程控制系统造成损害。

PROFINET集成了PROFISafe行规，实现了IEC61508中规定的SIL3等级的故障安全，很好的保证了整个系统的安全。

过程自动化

PROFINET不仅可以用于工厂自动化场合，也同时面对过程自动化的应用。工业界针对工业以太网总线供电，及以太网应用在本质安全区域的问题的讨论正在形成标准或解决方案。PROFIBUS国际组织计划在2006年的时候会提出PROFINET进入过程自动化现场级应用方案。

通过代理服务器技术，PROFINET可以无缝的集成现场总线PROFIBUS和其它总线标准。今天，PROFIBUS是世界范围内唯一可覆盖从工厂自动化场合到过程自动化应用的现场总线标准。集成PROFIBUS现场总线解决方案的PROFINET是过程自动化领域应用的完美体验。

作为国际标准IEC61158的重要组成部分，PROFINET是完全开放的协议，PROFIBUS国际组织的成员公司在2004年的汉诺威展览会上推出了大量的带有PROFINET接口的设备，为PROFINET技术的推广和普及起到了积极的作用。随着时间的流逝，作为面向未来的新一代工业通讯网络标准，PROFINET必将为您和您的自动化控制系统带来更大的收益和便利。

05 什么是Profisafe安全协议

PROFIsafe是由PI国际组织提出的加载在PROFIBUS和PROFINET通信协议基础上的功能安全通信行规，符合IEC 61508(《电气/电子/可编程电子安全相关系统的功能安全》)功能安全国际标准，满足SIL3,实现了功能安全通信和标准通信共存于同一根电缆，与标准ROFIBUS相比，标准通信部件，如电缆、专用芯片、DP-堆栈软件等等，无任何变化;简化了设备、工程设计和安装成本，既可用于低能耗(Ex-i)的过程自动化，又可用于反应迅速的制造业自动化，此外，PROFIsafe还采用了SIL-Monitor专利技术，借助SIL-Monitor，F-系统能够在故障率超过一定限度之前即采取有效的安全保护措施，从而避免系统出现危险故障;PROFIsafe通过一系列的现场案例证明系统的灵活性也为满足工业4.0中的柔性化生产需求。

与传统安全系统相比PROFIsafe具有如下特点：

(1)安全通信和标准通信在同一根电缆上共存;

(2)PROFIsafe-故障安全性建立在单信道通信系统之上，安全通信不通过冗余电缆来达到目的;

(3)标准通信部件，如电缆、专用芯片、DP-栈软件等等，无任何变化;

(4)故障安全措施封闭在终端模块中(F-Master，F-Slave) ，采用专利SIL监视器获得极高的安全性;

(5)最高故障安全完整性等级为SIL3(IEC61508);

(6)既可用于低能耗(Ex-i)的过程自动化，又可用于反应迅速的制造业自动化;

PROFIsafe使标准现场总线技术和故障安全技术合为一个系统，即故障安全通信和标准通信在同一根电缆上共存，安全通信不通过冗余电缆来实现。这不仅在布线上和品种多样性方面可以节约成本，而且也方便日后系统的改造。图2所示，标准控制器、I/O和安控制器、F-I/O共用一条总线，通过F-网关可连接到其他安全总线系统。采用PROFIsafe既可使用单总线结构也可根据要求采用标准总线和安全总线分开的结构。

大家所熟知的Beckhoff，Rexroth，FESTO，WAGO，Phoenixcontact，Sick等众多知名厂商也推出了很多支持PROFIsafe的相关产品。

06 西门子安全PLC与普通PLC到底有什么区别?

(1) 故障安全型的PLC在硬件模板的设计上与普通PLC是有区别的。

比如，在输入、输出模板上，都是双通道的设计，可以对采集的信号进行比较和校验;另外，在模板上也增加了更多的诊断功能，能够对短路或者断线等外部故障进行诊断。另外，安全的CPU通过一定的校验机制，可以保证信号在PLC内的传输和处理都是准确的，而普通的CPU则不能处理安全的信号。

(2)故障安全型的PLC是经过安全认证的，能够被用于安全系统，也能被用于普通系统;但普通的PLC不能被用于安全系统。

(3)安全程序中的标准安全功能的功能块也是经过安全认证的，普通程序的功能块是没有经过认证的。

(4)安全型的PLC之间的通讯是通过PROFIsafe协议来保证数据安全的。而普通的PLC之间的数据交换是通过PROFIBUS 或 PROFINET 协议来保证数据安全的。而PROFIsafe 协议是加载在PROFIBUS 或 PROFINET 协议层之上的，在数据中增加了更多的校验机制，因此可靠性更高。

另外，故障安全系统中可以将安全模板与标准模板混用，也可以使用标准的PROFIBUS 或 PROFINET网络进行安全数据的传输。

审核编辑：汤梓红