01 什么是工業(yè)安全?

工業(yè)化的推進在為人類生活提供豐富物質(zhì)的同時，也逐漸成為威脅人身安全的“殺手锏”，生產(chǎn)事故的頻發(fā)使得安全生產(chǎn)這一話題越來越受到關(guān)注。

工業(yè)安全通常是指透過各種安全防護措施，來避免工業(yè)災(zāi)害的發(fā)生，其目標(biāo)是致力于維護工作者的安全與健康，避免意外事故的發(fā)生。

我們通常將安全分成3類，即功能安全、物理安全和信息安全。這3種安全在定義和內(nèi)涵上差別很大：

功能安全：是為了達到設(shè)備和工廠安全功能，受保護的、和控制設(shè)備的安全相關(guān)部分必須正確執(zhí)行其功能，而且當(dāng)失效或故障發(fā)生時，設(shè)備或系統(tǒng)必須仍能保持安全條件或進入安全狀態(tài)

物理安全：是減少由于電擊、火災(zāi)、輻射、機械危險、化學(xué)危險等因素造成的危害

信息安全：在IEC62443中針對工業(yè)控制系統(tǒng)對信息安全的定義是：“保護系統(tǒng)所采取的措施;由建立和維護保護系統(tǒng)的措施所得到的系統(tǒng)狀態(tài);能夠免于對系統(tǒng)資源的非授權(quán)訪問和非授權(quán)或意外的變更、破壞或者損失;基于計算機系統(tǒng)的能力，能夠保證非授權(quán)人員和系統(tǒng)既無法修改軟件及其數(shù)據(jù)也無法訪問系統(tǒng)功能，卻保證授權(quán)人員和系統(tǒng)不被阻止;防止對工業(yè)控制系統(tǒng)的非法或有害入侵，或者干擾其正確和計劃的操作?！?/p>

而在工業(yè)控制領(lǐng)域，一直以來備受關(guān)注的就是功能安全問題，它依賴于系統(tǒng)或設(shè)備對輸入的正確操作，當(dāng)每一個特定的安全功能獲得實現(xiàn)，并且每一個安全功能必需的性能等級被滿足的時候，就達到了功能安全目標(biāo)。

02 具體的應(yīng)用場景?

若我們將危險比喻成獅子，以人和獅子為例，可以有如下三種情景：

人直接面對危險階段：在此階段無論是生產(chǎn)條件，還是生產(chǎn)技術(shù)都還十分落后，生產(chǎn)現(xiàn)場基本沒有安全保護措施，人類總是在直面危險，危險也時刻都有可能發(fā)生，風(fēng)險在人類區(qū)域，人機共存區(qū)域、機器區(qū)域都同時存在。

實施風(fēng)險降低措施：此階段生產(chǎn)條件和生產(chǎn)技術(shù)得到突飛猛進的發(fā)展，實施風(fēng)險降低措施，危險得到很好的控制，消除了人機共存區(qū)，風(fēng)險存在在人類區(qū)域和機器區(qū)域。人類只要嚴(yán)格按照操作流程，基本可避免危險的發(fā)生。

危險(獅子)與人類共存：步入人機協(xié)作的新階段，新產(chǎn)品和新技術(shù)被應(yīng)用到機器人上。安全開關(guān)和傳感器等可將機器人與作業(yè)人員分離，以防止作業(yè)人員受傷。緊急停止開關(guān)可確實使機器停止運轉(zhuǎn)。在人機協(xié)同作業(yè)的情況下，傳感器將自動識別作業(yè)人員的接近，在作業(yè)人員過于接近時減慢機器的速度或使其停止運轉(zhuǎn)。最大限度地降低人類區(qū)域的風(fēng)險，啟用人機共存區(qū)，最小化機器區(qū)域的風(fēng)險，人機協(xié)作優(yōu)化程度更大，也是所有有安全需求的企業(yè)正在追求的目標(biāo)。

同理，在實際的工廠自動化情景中，工業(yè)安全就可以有類似的應(yīng)用場景。例如在工廠的生產(chǎn)過程中，為了保障現(xiàn)場生產(chǎn)設(shè)備、生產(chǎn)人員等相關(guān)的安全，需要在機械設(shè)備上、設(shè)備上下料過程中、人員操作環(huán)節(jié)，以及機械設(shè)備周圍設(shè)置多種用于檢測和控制的安全裝置。例如機械設(shè)備以及上下料中的急停裝置，沖壓機的雙手操作裝置和安全區(qū)域保護的安全光幕，工業(yè)機器手臂的安全工作位置和速度限制、以及安全工作區(qū)域保護等等，類似這些功能的設(shè)備都屬于安全設(shè)備的應(yīng)用場景。

?

在傳統(tǒng)的安全控制設(shè)備回路里，安全設(shè)備例如安全光柵、急停等模塊通過安全繼電器連接到設(shè)備中，或者通過獨立的安全中心模塊進行更為復(fù)雜的安全邏輯控制。但是隨著以工業(yè)以太網(wǎng)為主的現(xiàn)場總線的發(fā)展，使設(shè)備的控制更加靈活且集中，現(xiàn)場工程師可以通過工業(yè)以太網(wǎng)得到更多以前無法獲取的數(shù)據(jù)。同時，在工業(yè)現(xiàn)場總線設(shè)計過程中，也考慮了如何能夠?qū)⒐δ馨踩郊傻焦I(yè)現(xiàn)場總線中，即能實現(xiàn)和傳統(tǒng)功能安全回路同樣的效果，又能減小現(xiàn)場操作難度同時獲取更多更有效的信息。

03 什么是Safety Over EtherCAT?

EtherCAT作為現(xiàn)場設(shè)備控制比較常見的一種工業(yè)以太網(wǎng)總線，在規(guī)范定義中也考慮到了功能安全的需求。EtherCAT協(xié)議定義了FSoE規(guī)范，即符合EtherCAT規(guī)范的功能安全協(xié)議。作為FSoE的設(shè)備制造商，需要在相應(yīng)的安全產(chǎn)品上實現(xiàn)FSoE安全協(xié)議和符合相關(guān)安全標(biāo)準(zhǔn)的安全應(yīng)用。

Safety over EtherCAT(FSoE = FailSafe over EtherCAT)是一項基于 IEC 61508 開發(fā)，由 TüV認(rèn)證并經(jīng) IEC 61784-3 國際標(biāo)準(zhǔn)化的技術(shù)。功能安全是現(xiàn)代網(wǎng)絡(luò)結(jié)構(gòu)和通信系統(tǒng)不可或缺的一部分。借助 Safety over EtherCAT 協(xié)議，EtherCAT 可以在同一網(wǎng)絡(luò)中并行傳輸標(biāo)準(zhǔn)數(shù)據(jù)和安全相關(guān)數(shù)據(jù)。采用 Safety over EtherCAT，通信系統(tǒng)成為黑色通道*的一部分，而非數(shù)據(jù)保護的一部分。

?

安全數(shù)據(jù)作為容器嵌入到標(biāo)準(zhǔn)過程數(shù)據(jù)中，并結(jié)合了其他額外數(shù)據(jù)來保證其完整性。在每個安全周期中，F(xiàn)SoE 主站和 FSoE 從站之間的安全連接被全面監(jiān)視。每個 FSoE 幀傳輸?shù)陌踩珟ｒ?、連接 ID 和看門狗時間都將被檢查。

?

04 FSoE的原理

FSoE是一種在FSoE設(shè)備之間能夠滿足SIL3等級的功能安全數(shù)據(jù)傳輸協(xié)議。從FSoE的英文全稱FailSafe Over EtherCAT就可以看出，F(xiàn)SoE是從屬于EtherCAT網(wǎng)絡(luò)的一種應(yīng)用協(xié)議，它在EtherCAT網(wǎng)絡(luò)通訊中做為EtherCAT循環(huán)數(shù)據(jù)幀的一部分存在。這樣FSoE就可以視為一個black channel。

FSoE使用的是Master/Slave的通訊模型，這樣就FSoE的EtherCAT從站可以按照功能分為FSoE Master和FSoE Slave。FSoE設(shè)備之間的連接可以通過EtherCAT網(wǎng)絡(luò)配置建立聯(lián)系。FSoE的數(shù)據(jù)交換僅限于已配置好的FSoE Master/FSoE Slave之間進行。并且FSoE Master和FSoE Slave都有獨立的看門狗定時器用于周期數(shù)據(jù)幀監(jiān)控。

?

05 FSoE的硬件架構(gòu)

根據(jù)black channel原理，通訊硬件在設(shè)備上可以保持使用單通道。這樣，在FSoE設(shè)備上的EtherCAT從站控制器仍可以做為EtherCAT接口使用，除此之外，也可以使用背板總線等其他接口。

但是，通常情況下，處理FSoE協(xié)議需要冗余控制器架構(gòu)。每個控制器單獨處理FSoE協(xié)議，然后交叉驗證結(jié)果。

?

06 FSoE的軟件架構(gòu)

FSoE協(xié)議是一個EtherCAT通訊接口上的應(yīng)用層通訊協(xié)議，所以FSoE設(shè)備的基礎(chǔ)仍然是標(biāo)準(zhǔn)EtherCAT。在FSoE設(shè)備的通用接口仍然是標(biāo)準(zhǔn)EtherCAT從站協(xié)議棧，在標(biāo)準(zhǔn)EtherCAT從站協(xié)議棧基礎(chǔ)上，仍然可以按照標(biāo)準(zhǔn)EtherCAT從站應(yīng)用程序來設(shè)計標(biāo)準(zhǔn)EtherCAT從站;也可以通過FSoE協(xié)議棧添加安全應(yīng)用，實現(xiàn)EtherCAT FSoE Master/Slave應(yīng)用。

?

07 FSoE基本工作原理

為了符合安全規(guī)范，F(xiàn)SoE Safety軟件協(xié)議棧將收到的數(shù)據(jù)保存在“SafeData”接收隔離區(qū)。然后通過調(diào)用FSoE Safety協(xié)議棧的ESAL_RxPduAcquire()函數(shù)檢測Safety PDU區(qū)域是否收到新數(shù)據(jù)。如果Safety PDU的最高位變化，表示收到新數(shù)據(jù)。如果FSoE Safety軟件處理完接收過程數(shù)據(jù)，通過調(diào)用ESAL_RxPduRelease()函數(shù)釋放操作。

FSoE Safety軟件協(xié)議棧發(fā)送數(shù)據(jù)與接收數(shù)據(jù)同理，也是將發(fā)送的數(shù)據(jù)保存在“SafeData”發(fā)送隔離區(qū)。如果FSoE Safety軟件處理完發(fā)送過程數(shù)據(jù)，通過調(diào)用SAL_TxPduRelease()函數(shù)釋放操作。

當(dāng)接收和發(fā)送過程中，有多個過程數(shù)據(jù)PDU需要處理，安全應(yīng)用需要先使用ESAL_TxSectionLock()函數(shù)鎖定傳輸功能，然后處理接收和發(fā)送請求。所有數(shù)據(jù)段處理完成后，調(diào)用ESAL_TxSectionLock()函數(shù)釋放已鎖定的操作。

?

?

08 Ixxat FSoE主站/從站軟件

該協(xié)議軟件具有高效的協(xié)議處理，這也是安全驅(qū)動應(yīng)用程序所必需的。該軟件對于從站和主站功能，都允許并行安裝，為安全應(yīng)用提供了多種通訊選擇。軟件結(jié)構(gòu)清晰的接口也支持使用不同的、非安全的EtherCAT通訊接口，比如Anybus CompactCom模塊。

特點和優(yōu)勢：

支持的標(biāo)準(zhǔn): FSoE規(guī)格ETG.5100 S (R) V1.2.0

支持的平臺: PC demo, TüV預(yù)認(rèn)證，經(jīng)過一致性測試

操作系統(tǒng)獨立 - 在有無操作系統(tǒng)情況下都可運行

通過抽象層簡單連接到非安全EtherCAT通信模塊

通過內(nèi)置的單元測試包與安全手冊可在任意目標(biāo)系統(tǒng)中進行簡單集成和重新認(rèn)證

多個實例可實現(xiàn)一個設(shè)備上主站與從站的平行集成

按照IEC 61508最高達SIL-3根據(jù)應(yīng)用設(shè)計

FSoE SDK(軟件開發(fā)工具包)本身就是為了加快工程師的開發(fā)進度、減少開發(fā)難度提供的相關(guān)文檔、示例等資料的集合。FSoE SDK在標(biāo)準(zhǔn)FSoE規(guī)范協(xié)議定義的操作功能的基礎(chǔ)上，還提供了用于方便通過安全認(rèn)證的內(nèi)容，例如為了方便產(chǎn)品移植所提供的unit-test，更重要的是SDK還能夠提供SIL3預(yù)認(rèn)證。

FSoE SDK軟件開發(fā)包已證通過IEC61508 SIL3預(yù)認(rèn)證，為了保證使用SDK能夠符合安全流程，SDK安全手冊定義作為安全通信軟件集成到客戶平臺時的“Dos and Don’ts”，同時SDK的整個開發(fā)流程也都通過了SIL3的認(rèn)證并能夠提供認(rèn)證證書，這樣可以更大程度的減小集成FSoE SDK的產(chǎn)品后期進行認(rèn)證過程中耗費的時間和精力。

Unit-Tests提供了可用于移植和運行在目標(biāo)平臺的C語言源代碼, 修改移植配置時只有Unit-test測試部分被移植操作。由于軟件的分層結(jié)構(gòu)，可以保證在重新認(rèn)證時安全協(xié)議核心軟件部分不需要任何修改。客戶產(chǎn)品集成FSoE SDK協(xié)議棧后，如果移植平臺全部通過Unit-test測試并且完全符合安全手冊設(shè)計內(nèi)容，安全協(xié)議軟件部分不需要重新認(rèn)證。

審核編輯：湯梓紅