Bezpečnostní systém AS-Interface Safety at Work (část 1)
Radek Štohl, Petr Fiedler, Robert Dubjel
Po úvodním shrnutí základních vlastností komunikačního systému AS-Interface je představena jeho varianta AS-Interface Safety at Work, plnící požadavky kladené na prvky a systémy zajišťující bezpečný chod strojů a strojních zařízení a bezpečnost personálu, který je obsluhuje. Jde o metodu umožňující nahradit konvenční reléové instalace sítěmi typu AS-Interface i v oblasti bezpečnostní techniky. Jsou popsány bezpečnostní monitor jako základ bezpečnostního systému na bázi AS-Interface a jeho funkce, vývojové prostředí Asimon a demonstrační panel s fyzickým modelem soustruhu řízeným s použitím bezpečnostních komponent systému AS-Interface Safety at Work a shrnuty hlavní přednosti tohoto moderního řešení.
1. Úvod
AS-Interface (Actuator Sensor Interface) je komunikační systém pro nejnižší úroveň řízení v automatizovaném provozu. Systém AS-Interface umožňuje začlenit senzory a akční členy od různých výrobců do společné sítě s jediným propojovacím kabelem. Takto vytvořená síť AS-Interface je otevřená ke všem běžným nadřazeným úrovním.
Od roku 2001 jsou na trhu spolu s klasickými zařízení pro sběrnici AS-Interface také komponenty s obchodním označením Safety at Work, vyhovující zvýšeným požadavkům na funkční bezpečnost zařízení až do úrovně SIL 3 podle normy IEC 61508 a kategorie 4 podle normy EN 954-1. Jde o komponenty primárně určené k ochraně osob a strojů či strojních zařízení (např. nouzové vypínače, světelné záclony atd.). Dříve musely být stroje vybaveny vedle sběrnice AS-Interface také klasickou elektroinstalací podléhající příslušným bezpečnostním normám, kterou byly propojeny právě prvky zajišťující bezpečnost stroje a obsluhy. Jelikož senzory používané v bezpečnostní technice jsou téměř výhradně binární, což je doména systému AS-Interface, bylo nasnadě vyvinout systémy, které by na bázi sběrnice AS-Interface umožnily splnit požadavky kladené bezpečnostními normami, a tudíž odstranit nákladnou paralelní kabeláž.
2. Systém AS-Interface
2.1 Základní parametry
Základní technické údaje o systému AS-Interface v jeho současné podobě jsou shrnuty v tab. 1. Podrobné informace lze nalézt především v [1] a v tam uvedených odkazech.
Tab. 1. Charakteristika systému AS-Interface (AS-I)
Způsob komunikace |
master – slave1); cyklické zprávy master → slave i slave → master obsahují čtyři bity dat; acyklické parametrizační zprávy obsahují čtyři parametrizační bity |
Adresace |
slave má adresu v rozsahu 0 až 31 (A/B) uloženou v EEPROM; adresu přiřazuje master, popř. projektant ručním programátorem; z výroby je nastavena adresa 0 |
Topologie sítě |
sběrnice, strom, hvězda nebo kombinace |
Přenosové médium |
nekroucený nestíněný dvouvodičový profilovaný kabel přenášející data i napájecí proud; proudový odběr celé sítě je max. 8 A; jedno řízené zařízení odebírá max. 200 mA (ve v. 1.0), popř. 100 mA (od v. 2.1) |
Počet řízených zařízení |
31 ve v. 1.0 (62 od v. 2.1); adresu 0 až 31 sdílejí vždy dvě zařízení, tj. zařízení A a zařízení B |
Počet I/O |
slave má až čtyři binární vstupy a až čtyři binární výstupy; celá síť může mít až 128 binárních vstupů a 128 binárních výstupů (v. 1.0), 248 vstupů a 186 výstupů (v. 2.1) nebo popř. 248 vstupů a 248 výstupů nebo standardizovaných komponent 4 I/O či 8 I/O pro rozšířené adresování
podřízených zařízení (ve v. 3.0) |
Přenosová rychlost |
167 kb/s |
Analogová řízená zařízení |
ve v. 2.1 podpora těchto zařízení v podobě dvou analogových profilů s komunikací s převodníky trvající vždy několik cyklů sítě; od v. 3.0 profily pro přenos šestnáctibitových analogových dat z až čtyř měřicích kanálů, synchronní sériový přenos dat, rychlé I/O (8, 12 nebo 16 bitů), kde slave obsadí dvě, tři nebo čtyři adresy |
Profily |
je definováno patnáct standardních profilů zařízení ve v. 1.0
a 225 profilů ve v. 2.1 |
Cyklus sítě |
perioda cyklu sítě závisí na počtu připojených zařízení typu slave; v plné konfiguraci podle v. 1.0 (32 zařízení) je perioda <5 ms, u v. 2.1 (62 zařízení) je perioda <10 ms |
Délka kabelu |
přípustná celková délka kabelu včetně odboček je 100 m (s opakovači 300 m), s pasivním impedančním přizpůsobení 200 m (s opakovači 600 m) |
Detekce chyb |
je zajištěna způsobem modulace a formátem zprávy; při chybě se zpráva automaticky opakuje |
Řídicí zařízení |
zajišťuje inicializaci sítě, identifikaci připojených zařízení, acyklické nastavení parametrů a cyklické obvolávání všech podřízených zařízení, detekci chyb při přenosu dat, hledání nových připojených zařízení, přidělování adresy zařízením nahrazeným pro poruchu novým zařízením s adresou 0 |
1) master – řídicí zařízení (člen), slave – (pod)řízené zařízení (řízený člen)
2.2 Začlenění sběrnice AS-Interface do síťových struktur
Ve směru k nadřazenému řídicímu systému může systém AS-Interface komunikovat dvěma způsoby (obr. 1). Nejčastěji se používá řešení, kdy je řídicí člen (master) přímo součástí řídicí jednotky a podřízená zařízení (typu slave) si vyměňují data přímo s touto řídicí jednotkou (na obr. 1 vlevo). Celá síť AS-Interface může být také začleněna pod nadřazenou průmyslovou sběrnici. Řídicí člen se svými podřízenými zařízeními se pak stává účastníkem průmyslové sběrnice vyšší úrovně a pracuje jako brána (mezisíťové propojení, gateway). Sběrnice AS-Interface je pak subsystém nadřazené průmyslové sběrnice (na obr. 1 uprostřed). Takové uspořádání systému je vhodné, má-li se zpracovávat velký počet signálů v jediné nadřazené jednotce, bez distri buovaných jednotek. Umožňuje také kombinovat několik sítí typu AS-Interface nebo překlenout větší vzdálenosti.
Obr. 1. Začlenění sběrnice AS-Interface do síťové struktury na vyšší úrovni [1]
Na trhu jsou brány pro všechny důležité průmyslové sběrnice. Systém AS-Interface není konkurent, ale doplněk vyšších průmyslových sběrnic a je otevřen směrem nahoru ke všem běžným řídicím jednotkám, průmyslovým sběrnicím i internetu.
2.3 AS-Interface v referenčním modelu ISO/OSI
Systém AS-Interface lze stejně jako ostatní průmyslové sběrnice popsat při použití sedmi vrstev referenčního modelu ISO/OSI. Tento model určuje podmínky, při jejichž dodržení mohou různí účastníci přenosu spolehlivě komunikovat navzájem mezi sebou. Jako u většiny průmyslových sběrnic, i v systému AS-Interface jsou realizovány pouze první, druhá a sedmá vrstva modelu ISO/OSI (tab. 2).
3. AS-Interface Safety at Work
3.1 Základní vlastnosti
Principem techniky AS-Interface Safety at Work (dále AS-I Safety at Work, také popř. jen SaW) je úplná kompatibilita komponent SaW se standardem AS-Interface. Stejné jsou struktura telegramu, způsob přenosu, sekvence dotazování řídicím členem atd. Komponenty SaW mohou být proto připojovány k současné sběrnici AS-Interface a mohou po ní mezi sebou komunikovat bez ovlivnění výměny dat mezi řídicím a konvenčními podřízenými členy. Konvenční i bezpečnostní komponenty SaW mohou společně pracovat na jedné sběrnici bez jakýchkoliv omezení. Výrobce nebo provozovatel zařízení musí analyzovat rizika a navrhnout bezpečnostní řešení odpovídající výsledné kategorii bezpečnosti podle norem IEC 61508, DIN 19250 či EN 954-1.
Tab. 2. Referenční model ISO/OSI a systém AS-Interface [1]
Vrstva |
Funkce vrstvy |
AS-Interface |
7: aplikační |
poskytování síťových služeb uživateli |
zprávy, cyklus, profily, automatické adresování |
6: prezentační |
transformace síťových formátů |
– |
5: relační |
navázání/zrušení spojení |
– |
4: transportní |
příprava dat pro síťové transportní rozhraní |
– |
3: síťová |
příprava adres, směrování datových cest |
– |
2: spojová |
struktura dat, rámce, zabezpečení, opravení chyb |
datový telegram, spouštěcí bit, ukončovací bit, opravení chyb |
1: fyzická |
mechanická a elektrická média pro přenos dat |
vedení, napájecí zdroje, oddělení dat, modulace, rozvod napájení, kabely a konektory |
Hardware systému SaW má dvě základní části: bezpečnostní monitor a bezpečnostní vstupní členy (podřízené, tzv. safety slaves). Jádrem systému je bezpečnostní monitor. Jeho úkolem je při aktivaci některého z bezpečnostních vstupů nebo při výskytu chyby v systému vypnout hlídané zařízení. Řídicí člen na sběrnici přistupuje k bezpečnostním vstupním členům stejně jako ke konvenčním a cyklicky si s nimi vyměňuje data. Bezpečnostní monitor přijímá veškerá data pohybující se po sběrnici, vybírá z nich odpovědi bezpečnostních vstupních členů a určuje, kdy může být hlídané zařízení zapnuto. Na jednom sběrnicovém kabelu systému AS-Interface tudíž současně probíhají dvě činnosti. Řídicí automat ovládá stroj nebo technologický proces prostřednictvím řídicího členu a konvečních podřízených členů, zatímco bezpečnostní monitor sleduje bezpečnostní vstupní členy a zajišťuje bezpečnost osob a zařízení.
3.2 Princip činnosti SaW
Princip činnosti systému SaW lze dobře vysvětlit na funkci nouzového vypínače, který patří mezi nejčastěji používané bezpečnostní prvky a bude zde reprezentovat libovolný bezpečnostní senzor.
Má-li systém SaW splňovat bezpečnostní normy, musí splnit stejné požadavky jako konvenční zapojení a odezva na aktivaci nouzového vypínače musí nastat v definovaném čase. Je tudíž třeba zajistit, že informace „nouzový vypínač byl aktivován“ bude (k čemuž slouží):
- bezpečně rozpoznána (bezpečnostní senzor),
- bezpečně vyslána na sběrnici (bezpečnostní vstupní člen),
- bezpečně přijata (bezpečnostní monitor),
- bezpečně vyhodnocena (bezpečnostní monitor)
a že zařízení bude bezpečně vypnuto (v sérii řazené hlídané spínací prvky připojené k bezpečnostnímu monitoru).
„Bezpečně“ znamená, že funkce nouzového vypnutí je vždy k dispozici a že všechny poruchy, které se mohou vyskytnout, uvedou hlídané zařízení do bezpečného stavu, tj. typicky stavu „vypnuto“.
Obr. 2. Tok dat v systému AS-I Safety at Work [3]
Každý bezpečnostní vstupní člen periodicky vysílá kódovou sekvenci nesoucí informaci o stavu jeho vstupů. Kódová sekvence je uložena v paměti organizované jako 8 × 4 bity. V každém cyklu jsou postupně odeslány čtyři bity kódu, přičemž tuto odpověď bezpečnostní monitor porovnává s referenční hodnotou uloženou v paměti. Je-li aktivován nouzový vypínač, přeruší se spojení s pamětí a v dalším cyklu se v odpovědi vyšle hodnota 0000bin. Jestliže přijatá hodnota neodpovídá očekávané hodnotě z kódové sekvence příslušného bezpečnostního vstupního členu nebo hodnotě 0000bin, bezpečnostní monitor vyhodnotí tento stav jako chybu. Kódové posloupnosti jsou vybírány tak, aby poruchy, jako např. zkrat mezi dvěma vodiči nebo konstantní úroveň na výstupu integrovaného obvodu slave AS-I, způsobily při porovnávání chybu.
Veškerý tok dat mezi bezpečnostním vstupním členem a bezpečnostním monitorem je schematicky znázorněn na obr. 2. Aby systém odpovídal kategorii 4 normy EN 954-1, nesmí ojedinělá chyba způsobit ztrátu funkceschopnosti celého zařízení. Proto je konvenční nouzový vypínač vybaven dvěma kontakty, které jsou za normálních okolností sepnuty. Jestliže tedy vznikne závada na jednom z kontaktů, druhý může stále inicializovat vypnutí zařízení. Použije-li se toto pravidlo na bezpečnostní vstupní člen, znamená to, že jeho kódová sekvence se rozdělí na dvě části po 2 × 8 bitech, kdy každá skupina reprezentuje jeden mechanický kontakt. Pokud je aktivní pouze jeden kontakt (dva bity jsou nulové a dva stále odpovídají kódové sekvenci), bezpečnostní monitor spolu s vypnutím zařízení vygeneruje i chybové hlášení.
Tab. 3. Možné stavy bezpečnostního vstupního členu (safety slave) [1]
Kontakt 1 |
Kontakt 2 |
Přijatá hodnota |
Stav |
rozepnutý |
rozepnutý |
0000bin |
off |
rozepnutý |
sepnutý |
00--bin |
half_01 |
sepnutý |
rozepnutý |
--00bin |
half_10 |
sepnutý |
sepnutý |
hodnoty z kódové sekvence |
on |
|
žádná odpověď |
není spojení |
ostatní |
předchozí stav senzoru není jasný |
Ne každá odchylka od očekávané kódové sekvence je ovšem zaviněna vadným podřízeným členem nebo vadných senzorem. Protože kontakty mají určité mechanické tolerance a mohou zakmitávat, mohou při spínání a rozpínání tlačítka vzniknout neurčité stavy. Proto bezpečnostní monitor nebo řídicí člen vždy od podřízeného členu nejdříve vyžadují několik odpovědí a teprve potom rozhodnou o jeho skutečném stavu. Možné stavy bezpečnostního vstupního členu během jeho činnosti jsou souhrnně uvedeny v tab. 3.
3.3 Bezpečnostní monitor
Klíčovým prvkem systému AS-I Safety at Work tedy je bezpečnostní monitor (safety monitor) s vnitřní strukturou podle obr. 3.
Obr. 3. Struktura bezpečnostního monitoru [2]
Bezpečnostní monitor sleduje veškerou komunikaci na síti a výzvy řídicího i odpovědi podřízených zařízení ukládá do vyrovnávací paměti. Telegramy z vyrovnávací paměti se každých 5 ms zpracovávají ve dvou mikroprocesorech, které pro zajištění větší spolehlivosti vzájemně monitorují svou činnost. Mikroprocesory posuzují sekvenci dotazů od řídicího členu, a mohou tak např. zjistit chybějící podřízený člen. V závislosti na dané konfiguraci systému rozlišují bezpečnostní vstupní členy (safety slave), pro něž vytvoří tzv. pracovní registr, a klasické podřízené členy (slave), jejichž hodnoty I/O ovšem také ukládají. Když jsou zpracovány všechny telegramy uložené ve vyrovnávací paměti, končí první část úlohy bezpečnostního monitoru (která by ve standardním systému AS-Interface odpovídala rozhraní mezi řídicím členem AS-I a nadřazeným systémem, např. PLC).
Má-li systém SaW plnit svou bezpečnostní funkci, musí být nepřetržitě sledován stav jeho prvků. V každé odpovědi řídicímu členu systému AS-Interface se proto vysílá zpráva o tom, v jakém stavu se každý prvek SaW nachází. Bezpečnostní monitor odpovědi filtruje, a jestliže zpráva o stavu chybí nebo je poškozená, vypne hlídané zařízení. Každý bezpečnostní vstupní člen má informaci „nouzový vypínač není aktivní“ zakódovanou ve 32bitovém kódovém slovu, které vysílá ve čtyřbitových rámcích v každém cyklu sítě jako uživatelská data (D0 až D3). V bezpečnostním monitoru je tak neustále kompletní kódová posloupnost přijatá v posledních osmi cyklech sítě AS-Interface od každého bezpečnostního vstupního členu. Toto se neustále opakuje, dokud není aktivován nouzový vypínač. Do paměti každého bezpečnostního vstupního členu je při výrobě uložena jemu vlastní kódová sekvence, jejíž obraz se při inicializaci sítě SaW také uloží do paměti bezpečnostního monitoru.
Součástí bezpečnostního monitoru jsou dále programové funkční moduly k ovládání výstupních relé monitory a k realizaci některých monitorovacích funkcí. Každý bezpečnostní vstupní člen má vlastní funkční modul, kde jsou nastaveny parametry jako adresa v síti AS-Interface atd. Dále se na úrovni řízení bezpečnostního monitoru z obsahu pracovního registru určí, kdy jsou naplněny podmínky k sepnutí výstupních relé, a tedy kdy bude stroj spuštěn.
Obr. 4. Stavový diagram bezpečnostního monitoru [1]
Funkční moduly jsou realizovány jako stavové automaty (obr. 4). K rozhodnutí o novém stavu používají současný stav (stav řízeného členu zjištěný v minulém kroku) a hodnotu z pracovního registru (aktuální stav řízeného členu). Stav na výstupu každého funkčního modulu je přepočítáván v rytmu činnosti bezpečnostního monitoru, tj. každých 5 ms.
Funkční modul pro dva nuceně spínané kanály (two-channel forced) např. zajistí zpracování údaje nouzový vypínač vypnut podle požadavků kategorie bezpečnosti 4 normy EN 954-1. Tato funkce také zkontroluje, zda jsou oba kontakty vždy ve stejném stavu (oba sepnuté, nebo oba rozepnuté). Je-li pracovní registr příslušného podřízeného členu v jednom ze dvou stavů half, znamená to, že nouzový vypínač nepracuje správně. Funkční modul potom přejde do stavu vadný slave, bezpečnostní monitor rozepne výstupní kontakty a stav indikuje blikající červená LED. Přestože je v dalším cyklu stav podřízeného členu indikován jako správný, chybový stav trvá do potvrzení operátorem a před opětovným spuštěním stroje musí být také přezkoušena správná funkce bezpečnostního vstupního členu, který chybu vyvolal.
Tab. 4. Základní a rozšířená verze (funkce) bezpečnostního monitoru [2]
Verze (funkce) |
základní |
rozšířená |
Počet funkčních bloků v logické úrovni |
32 |
48 |
Počet hradel OR (vstupy) |
2 |
6 |
Počet hradel AND (vstupy) |
- |
6 |
Časové funkce (zpožděné zapnutí/vypnutí) |
ne |
ano |
Funkce tlačítko |
ne |
ano |
Funkční modul s nastavitelnou dobou odskakování |
ne |
ano |
Bezpečnostní zařízení se zámkem |
ne |
ano |
Deaktivace funkčního bloku |
ano |
ano |
Podpora rozšířené adresace u standardních podřízených členů AS-Interface |
ano |
ano |
Nové funkční moduly (flip-flop, generování pulsu atd.) |
ne |
ano |
Prázdná instrukce (NOP) |
ne |
ano |
Další funkční modul, typ pro dva závislé kanály (two-channel dependent), je určen např. pro sledování stavu dveří se dvěma samostatnými koncovými kontakty. V tomto případě jsou stavy half přípustné. Jestliže např. operátor nechá dveře pootevřené, funkční modul nenahlásí chybový stav, ale bezpečnostní monitor přejde pouze do stavu nutné ověření (test required), který indikuje blikající žlutá LED. Operátor poté musí dveře znovu úplně otevřít a zavřít, aby se ověřila funkce obou spínačů.
Obr. 5. Logické propojení vstupů a výstupu bezpečnostního monitoru [2]
Dále uživatel vybere např. modul spuštění, které může být buď automatické, nebo na stisk spouštěcího tlačítka. A nakonec zvolí modul výstupní funkce kategorie 0, popř. kategorie 1, který určuje časový sled spínání nebo rozpínání výstupů bezpečnostního monitoru. Po aktivaci nouzového vypínače se tak např. nejdříve spustí brzdicí systém a teprve poté je zařízení odpojeno od zdroje, nebo se dveře odblokují až po zastavení stroje. Všechny podřízené členy (slaves) přiřazené jednomu výstupnímu obvodu jsou zapojeny v logickém součinu (obr. 5). Výstupní kontakty bezpečnostního monitoru tak mohou být sepnuty pouze v případě, že všechny příslušné funkční moduly jsou ve stavu on.
Funkční moduly operátor při inicializaci sítě nastavuje a přiřazuje k výstupním obvodům (bezpečnostní monitory se vyrábějí jednokanálové a dvoukanálové) v prostředí grafického konfiguračního softwaru Asimon (viz dále).
Tab. 5. Existující typy bezpečnostních monitorů [2]
Počet výstupních obvodů (kanálů) |
Verze (funkce) |
základní |
Rozšířená |
1 |
typ 1 |
typ 2 |
2 |
typ 3 |
typ 4 |
Hotová konfigurace se přes sériové rozhraní (RS-232) nahraje do bezpečnostního monitoru. Následuje učicí fáze, kdy jsou nahrány kódové sekvence připojených podřízených členů a odeslána jejich konfigurační data. Poté bezpečnostní monitor ověří celou konfiguraci, kódové sekvence a vytvoří konfigurační záznam, který obsahuje veškeré údaje související s bezpečností. Po potvrzení příkazu platnost uznána bezpečnostní monitor přejde do pracovního módu a hlídá příslušná zařízení.
Bezpečnostní monitor poskytuje podrobné informace o každém připojeném bezpečnostním vstupním členu, které lze po sériové lince přenést k zobrazení prostřednictvím PC. Tuto funkci lze s výhodou využít zejména při diagnostice systému. Bezpečnostní monitor může být nakonfigurován také tak, aby se nadřazenému systému jevil jako standardní podřízený člen systému AS-Interface a mohl poskytovat diagnostické informace. Každý monitor nebo podřízený člen může být kdykoliv přemístěn na libovolné místo na sběrnici, aniž by bylo nutné systém rekonfigurovat. Použít PC není nutné ani při výměně podřízeného členu nebo bezpečnostního monitoru. Po připojení nového podřízeného členu ke sběrnici bezpečnostní monitor pouze potřebuje přečíst jeho identifikační kódovou sekvenci.
Bezpečnostní monitory se v současnosti vyrábějí ve čtyřech provedeních (typech), a to jako jednokanálové a dvoukanálové v základní nebo rozšířené verzi (tab. 4, tab. 5).
(dokončení příště)
Ing. Radek Štohl, Ph.D.,
Ing. Petr Fiedler, Ph.D.,
Ing. Robert Dubjel,
ústav automatizace a měřicí techniky
FEKT VUT v Brně
(stohl@feec.vutbr.cz)
|