Giao Thức CIP Safety: An Toàn và Tiêu Chuẩn Cho Hệ Thống Tự Động Hóa

Tổng quan

Các mạng truyền thông đã thay đổi diện mạo của các hệ thống tự động hóa ngày nay bằng cách phân phối xử lý, cảm biến và bộ truyền động đến nơi chúng được yêu cầu. Mạng CIP Safety™ đang cung cấp những lợi ích tương tự cho các hệ thống an toàn. CIP Safety mở rộng các dịch vụ cơ sở mạng chuẩn CIP™ bằng cách thêm các dịch vụ CIP Safety để truyền dữ liệu cho các mạng dựa trên CIP như mạng EtherNet/IP™ với tính toàn vẹn cao. Bài viết này trình bày cách tiếp cận mở rộng, độc lập với mạng đối với mạng an toàn, nơi các dịch vụ an toàn được mô tả trong một lớp được xác định rõ ràng, cho phép thay đổi các dịch vụ mạng cơ sở. Cách tiếp cận này cho phép định tuyến liên tục dữ liệu an toàn, cho phép người dùng tạo ra các chuỗi an toàn từ đầu đến cuối qua nhiều liên kết.

Giới thiệu

Những động lực giống như yêu cầu khoảng cách lớn hơn, tính linh hoạt cao hơn, giảm chi phí và cải thiện khả năng bảo trì, ban đầu đã đưa các mạng truyền thông vào môi trường công nghiệp, cũng đang thúc đẩy sự phát triển của các mạng an toàn công nghiệp, cùng với nhận thức về các hạn chế của các giải pháp an toàn cứng truyền thống. Các hệ thống an toàn cứng sử dụng rơ le, được kết nối để cung cấp chức năng an toàn. Hệ thống cứng rất khó phát triển và duy trì cho tất cả các ứng dụng cơ bản. Hơn nữa, các hệ thống này đặt ra những hạn chế đáng kể về khoảng cách giữa các thiết bị. Khi các nhà phát triển hệ thống an toàn tiến xa hơn các chức năng E-stop cơ bản, họ thấy mình buộc phải quay trở lại các kỹ thuật logic cứng, đã không còn được sử dụng rộng rãi cho các chức năng điều khiển kể từ những năm 1970. Ngay cả khi họ thành công trong việc phát triển một hệ thống an toàn có kích thước đáng kể, chúng thường đắt đỏ và khó bảo trì. Do những vấn đề này, và nhu cầu ngày càng tăng về dữ liệu quy trình và tính linh hoạt, việc cung cấp các dịch vụ an toàn trên các mạng truyền thông tiêu chuẩn là rất mong muốn.

CIP Safety: Dịch vụ an toàn dựa trên Giao thức Công nghiệp Chung

Giao thức Công nghiệp Chung (CIP) được thiết kế để cho phép sử dụng các mạng khác nhau với một giao thức chung. Vì nó được thiết kế để độc lập với phương tiện truyền thông và lớp dữ liệu, nó cho phép mở rộng sang các mạng khác và phát triển khi Ethernet phát triển. CIP Safety là một phần mở rộng của các khả năng tiêu chuẩn của CIP, và đã được TÜV Rheinland chứng nhận để sử dụng trong các ứng dụng an toàn chức năng. Nó mở rộng mô hình bằng cách thêm chức năng lớp ứng dụng CIP Safety.

Vì các phần mở rộng lớp ứng dụng an toàn không dựa vào tính toàn vẹn của các dịch vụ CIP tiêu chuẩn và các lớp dữ liệu, phần cứng đơn kênh (không dư thừa) có thể được sử dụng cho giao diện truyền thông lớp dữ liệu. Phân chia chức năng này cho phép sử dụng các bộ định tuyến tiêu chuẩn để định tuyến dữ liệu an toàn qua các mạng miễn là dữ liệu an toàn cơ sở không bị thay đổi, và giữa các lớp khác nhau của các mạng phức tạp. Việc định tuyến các tin nhắn an toàn là có thể vì thiết bị đầu cuối chịu trách nhiệm xác nhận tính toàn vẹn của dữ liệu. Nếu xảy ra lỗi trong việc truyền dữ liệu hoặc trong bộ định tuyến trung gian, thiết bị đầu cuối sẽ phát hiện lỗi và thực hiện hành động thích hợp.

Chỉ các dữ liệu an toàn cần thiết được định tuyến đến ô yêu cầu, điều này giảm yêu cầu băng thông cá nhân. Sự kết hợp giữa các ô an toàn cục bộ phản hồi nhanh và việc định tuyến dữ liệu an toàn giữa các ô cho phép người dùng tạo ra các ứng dụng an toàn lớn hơn và phức tạp hơn với thời gian phản hồi nhanh.

Vận hành an toàn

Lớp ứng dụng CIP Safety được chỉ định sử dụng một đối tượng xác nhận an toàn. Đối tượng này chịu trách nhiệm quản lý các kết nối CIP Safety và đóng vai trò là giao diện giữa các đối tượng ứng dụng an toàn và các kết nối lớp dữ liệu. Trình xác nhận an toàn xác nhận tính toàn vẹn của các chuyển giao dữ liệu an toàn.

[Note: SP = safety producer, P = producer, C = consumer, SC = safety consumer]

Các trình xác nhận an toàn giúp đảm bảo tính toàn vẹn

CIP Safety không ngăn ngừa sự cố truyền thông xảy ra, nhưng đảm bảo tính toàn vẹn của truyền thông bằng cách phát hiện lỗi và cho phép các thiết bị thực hiện hành động thích hợp. Trình xác nhận an toàn chịu trách nhiệm phát hiện các lỗi truyền thông này.

Thời gian kỳ vọng qua Dấu thời gian

Tất cả dữ liệu CIP Safety được tạo ra với một dấu thời gian, cho phép các thiết bị tiêu thụ an toàn xác định tuổi của dữ liệu được tạo ra. Thước đo phát hiện này vượt trội hơn so với các bộ đếm thời gian nhận thông thường và bộ đếm thời gian giám sát. Các bộ đếm thời gian nhận có thể cho biết thời gian đã trôi qua kể từ khi tin nhắn cuối cùng được nhận, nhưng chúng không truyền đạt bất kỳ thông tin nào về tuổi thực tế của dữ liệu. Một dấu thời gian cho phép phát hiện các độ trễ truyền thông, truy cập/tranh chấp phương tiện, xếp hàng, thử lại và định tuyến. Thời gian được phối hợp giữa các thiết bị sản xuất và tiêu thụ bằng cách sử dụng yêu cầu ping và phản hồi ping. Sau khi kết nối được thiết lập, thiết bị sản xuất sẽ tạo ra một yêu cầu ping, khiến thiết bị tiêu thụ phản hồi bằng thời gian tiêu thụ của nó. Thiết bị sản xuất sẽ ghi lại sự khác biệt về thời gian giữa việc sản xuất ping và phản hồi ping và lưu trữ nó như một giá trị bù đắp vào thời gian sản xuất của nó cho tất cả các lần truyền dữ liệu sau đó. Giá trị này được truyền như một dấu thời gian. Khi thiết bị tiêu thụ nhận được một tin nhắn dữ liệu, nó trừ đồng hồ nội bộ của nó khỏi dấu thời gian để xác định tuổi của dữ liệu. Nếu tuổi của dữ liệu ít hơn tuổi tối đa cho phép, dữ liệu sẽ được áp dụng. Nếu tuổi của dữ liệu vượt quá giới hạn tuổi, dữ liệu sẽ bị loại bỏ để chỉ sử dụng dữ liệu mới nhất. Thông thường, các cài đặt có thể cấu hình cho phép người dùng xác định số lượng gói tin bị mất, trễ hoặc bị mất được phép trước khi chuyển sang trạng thái an toàn. Một khi ở trạng thái an toàn, ứng dụng thiết bị được thông báo để trạng thái an toàn kết nối có thể được phản ánh một cách thích hợp.

Dấu thời gian cung cấp tính khả dụng

Một mạng an toàn chỉ hữu ích cho sản xuất nếu nó có sẵn. Các sự cố sai làm giảm tính khả dụng và giới hạn các ứng dụng hữu ích của một mạng. CIP Safety cung cấp dung sai đối với các nhiễu nhỏ bằng cách cho phép truyền lại. Miễn là việc truyền lại được nhận trước khi khoảng thời gian mong đợi hết hạn, kết nối mạng có thể tiếp tục hoạt động.

Mã nhận dạng sản xuất (PID)

Mã nhận dạng sản xuất được mã hóa trong mỗi gói tin an toàn được tạo ra để xác nhận rằng mỗi tin nhắn nhận được đến đúng thiết bị tiêu thụ. PID được dẫn xuất từ một khóa điện tử, số serial của thiết bị và số serial kết nối CIP. Bất kỳ thiết bị nào vô tình nhận được một tin nhắn có PID không chính xác sẽ chuyển sang trạng thái an toàn. Bất kỳ thiết bị nào không nhận được một tin nhắn trong khoảng thời gian mong đợi với PID chính xác cũng sẽ chuyển sang trạng thái an toàn. Thước đo này xác nhận rằng các tin nhắn được định tuyến đúng trong các ứng dụng đa liên kết.

Safety CRC (Cyclic Redundancy Code)

Tất cả các chuyển giao an toàn trên CIP Safety sử dụng Mã kiểm tra dư thừa tuần hoàn an toàn (CRC) để xác nhận tính toàn vẹn của việc chuyển giao thông tin. Các CRC an toàn phục vụ như sự đảm bảo chính để phát hiện khả năng hỏng hóc của dữ liệu truyền. Chúng cung cấp khả năng phát hiện lên đến khoảng cách Hamming là 4 cho mỗi phần chuyển giao dữ liệu, mặc dù phạm vi bảo hiểm khoảng cách Hamming tổng thể lớn hơn đối với toàn bộ chuyển giao do tính dư thừa của giao thức. Các CRC an toàn được tạo ra trong các thiết bị sản xuất an toàn và được kiểm tra trong các thiết bị tiêu thụ an toàn. Các thiết bị định tuyến trung gian không kiểm tra các CRC an toàn. Do đó, bằng cách sử dụng CRC an toàn từ đầu đến cuối, các CRC lớp dữ liệu riêng lẻ không phải là một phần của chức năng an toàn. Điều này loại bỏ các yêu cầu chứng nhận đối với các thiết bị trung gian và đảm bảo rằng giao thức an toàn độc lập với công nghệ mạng và là cốt lõi của nguyên tắc kênh đen. Các CRC an toàn cũng cung cấp một cơ chế bảo vệ mạnh mẽ cho phép phát hiện các lỗi lớp dữ liệu cơ sở như lỗi nhồi bit hoặc lỗi phân mảnh. Các CRC liên kết riêng lẻ không được dựa vào để đảm bảo an toàn, nhưng khi được sử dụng cùng với CRC an toàn đầu-cuối, cung cấp một cơ chế bảo vệ mạnh mẽ.

Chữ ký an toàn và việc cung cấp dữ liệu

Mỗi thiết bị an toàn đều có một bộ thông số an toàn được tạo ra bởi nhà phát triển hệ thống, được gọi là chữ ký an toàn. Bộ thông số này bao gồm các mã trạng thái và hành động, và dữ liệu cụ thể của thiết bị được sử dụng để xác nhận rằng thiết bị an toàn đã được cài đặt đúng và đang vận hành trong phạm vi an toàn. Khi một thiết bị được đưa vào hệ thống, chữ ký an toàn của nó được tạo ra bởi nhà phát triển hệ thống bằng công cụ cấu hình. Chữ ký này sau đó được kiểm tra khi thiết bị được khởi động để đảm bảo rằng bộ thông số an toàn đúng đã được tải. Chữ ký an toàn bảo vệ chống lại các lỗi cấu hình và phần mềm, đảm bảo rằng thiết bị chỉ hoạt động trong phạm vi an toàn.

Các Biện Pháp Đa Dạng Để Đảm Bảo An Toàn và Tiêu Chuẩn

Giao thức CIP Safety chỉ có trong các thiết bị an toàn; điều này ngăn chặn các thiết bị tiêu chuẩn giả mạo làm thiết bị an toàn.

Kết Nối An Toàn

Dữ liệu an toàn sử dụng các kết nối an toàn một chiều và hai chiều. Các thiết bị an toàn có thể tiêu thụ và sản xuất các gói dữ liệu an toàn. Mỗi kết nối an toàn đều có PID và dấu thời gian kèm theo, vì vậy không cần giao tiếp không kết nối. Do đó, khả năng miễn nhiễu được tăng thêm vì giao tiếp không kết nối dễ bị mất gói tin. Một Safety Consumer có thể nhận dữ liệu từ nhiều nhà sản xuất.

[Note: SVC: Khách hàng xác thực an toàn
SVS: Máy chủ xác thực an toàn
DN: Liên kết dữ liệu/Mạng
SP: Nhà sản xuất an toàn
SC: Người tiêu thụ an toàn
P: Nhà sản xuất
C: Người tiêu thụ]

[Note: SP: Nhà sản xuất an toàn
SC: Người tiêu thụ an toàn
P: Nhà sản xuất
C: Người tiêu thụ]

Các Phần Của Gói Tin Nhắn

Phần Dữ Liệu:

• • Kích thước dữ liệu ngắn: Cung cấp truyền tải tính toàn vẹn cao cho tối đa 2 byte dữ liệu an toàn. Nó bao gồm một bản sao của dữ liệu an toàn, dấu thời gian, và CRC An Toàn 24-bit cho toàn bộ tin nhắn; 3 byte của CRC An Toàn không liên tục.

1. • Kích thước dữ liệu dài: Cung cấp truyền tải tính toàn vẹn cao cho tối đa 250 byte dữ liệu an toàn. Trong kích thước dữ liệu dài, dữ liệu an toàn gốc được gửi kèm với CRC An Toàn 16-bit, một bản sao đảo ngược của dữ liệu an toàn, dấu thời gian và CRC An Toàn 24-bit bao phủ dữ liệu bổ sung và dấu thời gian. Giống như phần dữ liệu ngắn, 3 byte của CRC An Toàn 24-bit không liên tục.

Phần Dấu Thời Gian: Phần dấu thời gian của giao thức được sử dụng để đánh dấu thời gian sản xuất của tất cả các sản phẩm an toàn.

Phần Hiệu Chỉnh Thời Gian: Phần hiệu chỉnh thời gian chỉ được sử dụng cho các tin nhắn multicast. Nó được sử dụng để điều chỉnh thời gian của từng người tiêu thụ cho các kết nối multicast. Phần này không cần trong các tin nhắn unicast vì mỗi nhà sản xuất chỉ liên kết với một người tiêu thụ.

Phần dữ liệu và phần dấu thời gian được kết hợp thành một gói tin duy nhất, trong khi phần điều phối thời gian và phần hiệu chỉnh thời gian được gửi trong các gói tin riêng lẻ.

Thiết Lập Kết Nối

Giao thức EtherNet/IP cung cấp một cơ chế thiết lập kết nối sử dụng dịch vụ Forward_Open, cho phép các kết nối từ nhà sản xuất đến người tiêu thụ được thiết lập cục bộ hoặc qua nhiều liên kết thông qua các bộ định tuyến trung gian. Một mở rộng của Forward_Open, được gọi là dịch vụ Safety_Open, đã được tạo ra để cho phép các kết nối đa liên kết tương tự cho an toàn.

Có hai loại yêu cầu Safety_Open:

• Loại 1: Với cấu hình: Cấu hình và kết nối được thiết lập đồng thời. Điều này cho phép cấu hình nhanh chóng của một thiết bị với dữ liệu cấu hình đơn giản và tương đối nhỏ.
• Loại 2: Không cấu hình: Thiết bị an toàn phải được cấu hình trước, và sau đó dịch vụ Safety_Open thiết lập một kết nối an toàn. Việc tách biệt cấu hình và thiết lập kết nối này cho phép cấu hình các thiết bị với dữ liệu cấu hình lớn và phức tạp.

Trong cả hai trường hợp, dịch vụ Safety_Open thiết lập tất cả các kết nối tầng liên kết cơ bản qua liên kết cục bộ cũng như bất kỳ liên kết trung gian và bộ định tuyến nào.

Cấu Hình

Trước khi các thiết bị an toàn có thể được sử dụng trong một hệ thống an toàn, chúng phải được cấu hình và các kết nối phải được thiết lập. Quá trình cấu hình yêu cầu dữ liệu cấu hình từ một công cụ cấu hình để được đặt vào một thiết bị an toàn. Có hai chuỗi cấu hình có thể:

• Công cụ cấu hình kết nối trực tiếp đến thiết bị: Công cụ cấu hình ghi trực tiếp vào các thiết bị cần cấu hình. Việc thiết lập kết nối phải là một Safety_Open Loại 2.
• Qua thiết bị trung gian: Công cụ đầu tiên ghi vào một bộ khởi tạo. Đối với các cấu hình kích thước vừa phải, Safety_Open Loại 1 có thể được sử dụng để cấu hình thiết bị đồng thời với việc thiết lập kết nối. Đối với các cấu hình rất lớn, một tải xuống cấu hình riêng biệt và Safety_Open Loại 2 có thể được sử dụng để thiết lập kết nối.

Triển Khai Cấu Hình

CIP Safety cung cấp các biện pháp bảo vệ sau để đảm bảo tính toàn vẹn của cấu hình:

• Số mạng an toàn (SNN): Cung cấp một mã định danh mạng duy nhất cho mỗi mạng trong hệ thống an toàn. SNN kết hợp với địa chỉ thiết bị cục bộ cho phép bất kỳ thiết bị nào trong hệ thống an toàn được định địa chỉ duy nhất.
• Bảo vệ mật khẩu: Cơ chế mật khẩu tùy chọn cung cấp một biện pháp bảo vệ bổ sung, ngăn chặn việc cấu hình lại một thiết bị mà không có mật khẩu chính xác.
• Quyền sở hữu cấu hình: Chủ sở hữu của một thiết bị CIP Safety có thể được chỉ định và thực thi. Mỗi thiết bị an toàn có thể chỉ định rằng cấu hình của nó được cấu hình bởi một bộ khởi tạo được chọn hoặc rằng cấu hình chỉ được cấu hình bởi một công cụ cấu hình.
• Khóa cấu hình: Cung cấp cho người dùng một cơ chế để xác nhận rằng tất cả các thiết bị đã được xác minh và thử nghiệm trước khi được sử dụng trong một ứng dụng an toàn.

Thiết Bị An Toàn

Mối quan hệ của các đối tượng trong một thiết bị an toàn được hiển thị trong Hình 14. Lưu ý rằng CIP Safety mở rộng mô hình đối tượng chung của CIP với việc thêm vào các bộ lắp ráp I/O An Toàn, Trình Xác Thực An Toàn, và các đối tượng Giám Sát An Toàn.

Giám Sát An Toàn

Cung cấp một giao diện cấu hình chung cho các thiết bị an toàn. Nó tập trung và phối hợp hành vi trạng thái đối tượng ứng dụng và thông tin trạng thái liên quan, chỉ định trạng thái ngoại lệ (cảnh báo và cảnh báo), và định nghĩa một mô hình hành vi, được giả định bởi các đối tượng được xác định là thuộc về các thiết bị an toàn.

Tóm Lược

Các mạng truyền thông đã thay đổi cách mà các hệ thống tự động hóa ngày nay hoạt động bằng cách phân phối xử lý, cảm biến và cơ cấu chấp hành nơi chúng cần thiết. Giao thức CIP Safety cung cấp những lợi ích tương tự cho các hệ thống an toàn bằng cách cung cấp một giao thức an toàn độc lập với mạng, có thể mở rộng và định tuyến được. Các chức năng như nhắn tin multicast cung cấp một nền tảng mạnh mẽ giúp người dùng tạo ra các ô cục bộ phản hồi nhanh, cải thiện khoảng cách an toàn, trong khi các chức năng nâng cao như định tuyến đa liên kết cho phép kết nối liền mạch đến các ô từ xa để đáp ứng nhu cầu mở rộng trong tương lai.

David A. Vasko & Oliver C. Haya  • Rockwell Automation

Contact us for quotation and support

[formidable id=”1″]

Contact Information

Thanks for visiting our website. For more information, please contact:

Servo Dynamics Engineering Co., Ltd

Tel: +84 28 3740 2128
Email: sales@servodynamics.com.vn
Website: www.servodynamics.com.vn
Official Account Zalo: Servo Dynamics Engineering

Saigon

4/1B Luong Dinh Cua Str., An Khanh Ward, Thu Duc City, HCMC, Vietnam
Tel: (84-28) 3740 2128
Fax: (84-28) 3740 2129

Da Nang

120 Xo Viet Nghe Tinh, Hoa Cuong Nam Ward, Hai Chau District, Da Nang, Vietnam
Tel: (84-23) 6361 1128

Ha Noi

Unit 05, 15th Floor, Han Viet Tower, 203 Minh Khai Street, Hanoi, Vietnam
Tel: (84-24) 3632 1617
Fax: (84-24) 3632 1618