GB Z 20830-2007 基于PROFIBUS DP和PROFINET IO的功能安全通信行规 PROFIsafe.pdf

《GB Z 20830-2007 基于PROFIBUS DP和PROFINET IO的功能安全通信行规 PROFIsafe.pdf》由会员分享，可在线阅读，更多相关《GB Z 20830-2007 基于PROFIBUS DP和PROFINET IO的功能安全通信行规 PROFIsafe.pdf（83页珍藏版）》请在麦多课文档分享上搜索。

1、ICS 25.040 N 10 GB 中华人民共和国回家标准化指导性技术文件GB/Z 20830-2007 基于PROFIBUSDP和PROFINET10 的功能安全通倍行规一嗣-PROFIsafe2007-01-18发布PROFIsafe叫-Profilefor safety technology on PROFIBUS DP and PROFINET 10 中华人民共和国国家质量监督检验检搜总局中罔阔家标樵化管理委员会发布GB/Z 20830-2007 自次前言.v 引商.恨. vl I 范网.2 规范做引用文件-3 术谦和Jr义4 缩赂话.川崎.川.55 概述.川.7 5. 1 PROF

2、Isafe V2. 0版的交要改进 5.2 一般要求5.3 安念j剧音原E理(黑色满满).啕. 7 5.4 黑色通道的边界条件和约束85.5 安余行规川.9 5.6 特征和应用.106 安念行规的恭耐. 10 6.1 系统特征.阳.10 6. 2 PROFINET 阳和PROFI以用。P内的循环数据交换. . . 11 6. 3 安余麽使用的标准通信服务.协川.116. 4 通依纷构.116. 5 安余愿对总然都件的影响.136. 6 风险考虑.刷.146. 7 版可校的出辛苦情况.156.8 PROFI叫安全措施. 7 安全层服务.157. 1 PROFINET 10和PROFIBUSDP的

3、茶础 15 7.2 PROFJfe帧级构h.18 7.3 F-主机服务.22 7.4 F-设备服务.23 7刷51幻，所以带有可能的标准I!O数据的一个或多个PROFIsafe帧相当于传输报文阻。3.32 过程1/0激摞proc棚s1/0 da!a 报文(安:i:数据标樵数据中用于控制扇动化过草里的1/0数据。3.33 行规profile 特定用户群对通信功能的特定成用。3.34 PROFIsafe串!IiPROFIsafe container 通过附加安余代码保护的PROFIsafe对等实体(如F-110模块)的一组过辍110数据。3.35 状态揭示(位)qualifier(bits) 如果

4、F从精/设备的过程0/0)数据由多个输入级成，那么附加的状态指示位可以指示每个单独输入的状态。3.36 反应时间reacllon IIme 紧急请求的电气识别与安全反应的电气扇动之间的时间。这个响应时间由几个时间段组成，包括总线传输时间。3.37 可能性reliability 可靠性规您为给主运时间内的平均故障次数用A寻捷尔)。对于问修复的故障，定义为平均失效问倒时间(MTBF)，Xtf不jjJ修复的炊障，定义为平均尖放前时间(MTTF)。对于jjJ修复的故障，绘常假定故障以恒iE比率发生，在这种情况下失效率l/MTBF，在f在期故障排除后和磨损阶段之前的运行阶段，部件可靠性通常以FIT(俘1

5、09小时一次故障)lt:!童(浴盆故障曲线)。叮当在做不附于jjJJlj性。3.38 风险risk 毒草攸jjJ能性及其潜在脱身在F直在险的组合。4 GB/Z 20830-2007 3. 39 扫描司在scan rate 输入信号的11意两个议取过程之间的时间。3.40 共事1/0shared 1/0 多个主机/PLC访问的相阔的输入和输出。J每学输入比共字输出引起的问题更少。3.41 从站slavePROFIBUS DP，为交换信息通常由主站触发的被动通信方。3.42 专用F明设备应用穗序spec衍cF -devce applicati伽F叩设备/从站中的软件，它负资设备(如激光扫描器、驱动

6、程序和|浪位开关等)的技术交衍。通常其中部分是与安全相关的，并遵循GB/T20438规定的安全设计规则，其他部分(如诊断应遵循标准设计规则。PROFIsafe功能通常是安全相关软件的-部分。3.43 触发佼toggle bit 书EV2模式中，从主站发送到设备的校制字节的比特i5，从设备发送到主媚的状态j:传输协议。标准传输系统fQ烦。传输系统的全部硬件和相关协议功能(见附4咿OS!模烈的第l辰、第2J1H日吉布7层)。如l珍晰黑色通埠八只Il、有3线、主撞机等不属于安全的相关部11 非安全相共啕馈，如诊晰uc二3阳汗hati;寻制、看门狗且时、排序、制等阳C之二3应知10和安全逻辑报制带是安

7、企相关的，何不属于本指导性技术文件戴晴图4安全层体系结构安全成用和标准应用同时共享间一个P议。FINET10或PROFIBUSDP通信系统。安余传输功能由可以确定傲地发现经标准传输系统渗透的各种可能的故障/危害，或者使残余误辈辈(故隙)概率保持在某一限值以下的所有措施细成。可能的故隙/危害包括:一一随机故障，例如由于EMIxr传输通道的影响;一一一标准硬件的失效/故隙g一一标f在硬件和软件的组件的系统故隙。J比原原仅限于认iIE安余传输功能，标撒传输系统不有需要低何额外的认E通过电缆或光缆实现传输。农6.4中规定标准传输系统巾允许的拓扑络构、传输特!iE和黑色通道然件。5.4 ，.黑色通道的边

8、界条件和约束对安全评价和残余辛苦谈率的计算的边界条件和约束如下所述。5.1 安余栩虫在通常:8 所有的没备JiH是哭叫3气安全SELV/PELV幸QPROFI巳US证书;一安全设备m符合GB/T17799. 2或lEC6113H规定的通用工业环绕设计，并符合GB/丁15969.3生且泛的增骚扰扰性。Vl模式:一一每种传输技术下每秒的安全相关报文的假定数目为3 PROFIBUS DPiRS485/FO: 100 PROFIBUS PA/MBP/MBP-!S, 10 一一句每滔滔类琐的意试次数(12.5): PROFIBUS DP!RS485!FO: 15 C1 EC 61158，最大8) PRO

9、FIBUS PA/MRP/MBP IS, 15 C1 EC 61158:1丧大的.w板总戏:8(充饥豆E颇1央化现场议在内)黑色滔滔山C多顷刻，鸣也滔滔不应俊fflPROFIsafe CRC多项式14EABh手UlF4ACFB13h , 然色通道多项到;不应被C599h整除。一一有派主辈革F闷络沁立在:GB/Z 208302007 PROFIBUS PA/MBP/M日P-IS，烧大2个报文，带有DP/PA链按器和/1究中撒器。安PDU:Ji(字节分:不允许。V2模式g每秒牵U4革1对1的PROFIsafe通俗关系的安余栩关报义的假定数因为2 10 觉线电链路10 4 非E详敝电话电缆 1O 屏

10、徽、双绞线电话电缆10-6, 10-7 数字电话电缆(!SDN)10- 9 本地分隔成用中的同轴电缆10句;)(;娩传输因而，屏障E以太闷和PROFIBUSDP电缆上的典型出辛苦琐碎提(位主含辛苦慨然)低于统等于10o此行规中的计算是基于黑色逍遥的位主含辛苦率，但PROFIsafe并非受益于基于黑色通道的任何数据究盟主性检查。丰挺挺6日/T20438.各个SIL等级允许的残余辛苦旦在见我20理u备个SIL等级允许的残余边是错率SIL 连续操作模式下每小时危险差错率要求时的失效率【PFD)3 10-8 10 .J，1叶的增加。l两24解释7F-;量备内计数苦苦的机制。当F主机在控制学Tr内发送民

11、_cons_nr=1时，计数器室主位为0飞!il，7，2.2，F机内计数榕的机制与F设备内相对应。然阳，无论俏日才发生错误(内部地或通过状态学Tr), 计数器将发佼。此计数器的名称为.Vconsnr_h。7.2.4 CRC2代码一段F参数(源盯的关系或者代码名、SIL、看门狗时间等)被发送给F设备，这些些问样的参数将被使用于F机和F设备/F模块的同样的过我巾，用于产线一个2字节的CRCl(高字节O)代哥哥(CRC) , Jit CRCl如何建立的信息见9.3.2.1，CRCl代JilJ，、F1/0数报、状态或者按制字节和相应的序列号(Vconsnr_h成VconBnrd)被用于在F-j三饥内也

12、成另一个3字节/4字节CRC2代码(CRC2)，几20 GB;Z 20830-2007 R目250CRCl 14.:;副惚供衍生命化值用于被循环f专毯的CRC2庭的计算。;在F设备肉，问样的CRC代问被处成全fj主被比较。随后的循环传送只管首要各比较个CI口代码，以便快速处理F参数规定的第1常盘的数目)F世岳黑黑F主机6输J输出撤销最大12学1占1123字节lCRC2E成恤望钱制事节| 1字节因25CRC2的生成CF-主机)CI之2覆.FI!O数#酷、F_敏和Vmsnr，_b3字节14宇节被存储的手参数的任何改变成被检测到，并成导致F设备进入安余状态。检测机制l依赖于F设备的单独执行，1:;不

13、扇子牛二指导性技术文件的内容。即使在黑色通道或安余层内有问样的CRC多项式时，为了更好地进行错误检测，CRC2计算成将阁25中的字节包含在内，进行倒rJ:计算.见白白26，偏得慈的是:为了处主果优化，序列主CVconsnrh或Vconsnr_d)在计算时使用4个字节，其他填充字节罢王.00不推荐使用32f.iL计数器，扒l为这将在测试和验证过程中导致不问接受的设备的长测试时间。为了防止安全PDU只包含数循0，在此特殊情况下作为例外，可将CRC2设量是为1，7fff不是0。正常字节顺序LS日最低有效字节pMSB-j是商高效学节目卜输入/输出敷据闺26CRC2计算的细节(fJJrJ:) CRC2

14、(3字节14宇节)21 GB/Z 20830-2007 7.2.5 附加的标准1/0数据标准I!O数挺能被附加到PROFIsafe帧。对于紧凑组F设备，iiJ以通过分配单独的槽标识来实现这点。由于子槽建模，模块化设备中的F模块能够在PROFINET10中使用此机制。7.3 F-吏机服务为了处理PFOFIsafe协议，每个F-输入和每个P输出需要一个F报文包管理CF驱动程序)，见图27。对应的F-:J;:机通过F驱动较序的一个实例分别操作每个F输入或者F输出。闲此，F驱动程序的个实例和F设备内相成参与者|坷的每个和每次I对l关系都由一个1较一的代码名(F-参数之一)标识。在F驱动程序之间，猿个标

15、F佳的PROFINE丁的和P汉OFI日飞JSDP通信设备属于黑色通道。囹27中的箭头指明F驱动模序问循环数据的传送z从F输入到UF-:J;:机，除了传输F输入数据之外，还传输安余附加部分(状态或控制字节和CRC2)。作为确认.F-输入仪接收安全附加部分(安全代码)。F输F主机翩翩翩翩翩哺蜘刻被V2模式传输矗锐的前媲晶件a.H有授权由问:l/O撒据米知和1米良好ll!且传输媒体的错棋险测机制s+且够的可用性.安全代问查全代码阁27F I信箱构F输出为了跑到棚蓝的SIL带级而在世晶中附加措施，如实现SIL3的需要捕一个做舱规黯相比较幡.相J1L地，F输出除了接收F一输出数据香外也接收安余附加部分，

16、并且把它用于确认。夜F才三机和F设备内，F耳目动手最序的任务主去管现安余帧及确定其F要在数。民哥28表示了tE故障安全校制板ff:级仁的用户接口F Output_Data F-InputData 或成10控制器黠口阁28F-主机驱动程序实例的用户接口22 GB;Z 20830-2007 该接口击是供了几个可用的变盏，侥幸皇J1边能够粮指标准处组攸降安全过程。这些变量携带着状态和控制学节内对应比特的相似的名称一一通常以索引工(控制)或喃自(状态)扩展，但是jjJ以在F驱动程序内有一些控制逻辑，也见第10尊重和自到60，F-主机驱动程序的执行细节见10.5，故障安全宝书l控制程序的编程人t汪叫用以

17、下型章:activate_FV _C FVactivated_S iPar_EN_C iParOKS 。A_C(操作筑确认)OA_Req_S 输出债输入债7.4 F-设备服务处王理相应F-设备的每个F控制报!于将使用该变最(类烈:日it)对于输入设备(如传感捺).该变最设为1导致驱动模序将故障安余饭(OU)交付给F校制穗序。对于输!:Il从站(如执行器).该变景设为1导致驱动稼序将故障安余僚(0)发送到该从站，并政设最控制字节位4的德为1。输出设备的安全概念忘义了这两个将被用于达到安余状态的信息的种类。处五里相应F设在奇的每个F控制极)1:将使则该交垦(类理:Bit)。对于输入设备，该变续通过

18、1指示驱动程郎.E激将放自费安金值(10)交付到机程草序的每个输入傻。为了且在个处现输入，可以在输入数据中加入特殊的状态指示ill.。对于输出设备，该受盘i围过.1指尔德个输!:Il被设为古&Ili善安全值0气默认行为)或者被设为F-输出设备的非iJ:慧，这个粉1江青景是受. actvate_FV1商号(黑黑控制字节的位4)控制。为了根个处理输出(如咆动机的铀).可以便ffl特殊的状态指派位。该变篮(类型，Bit)设为.1，允许一个主相lffl户程序将F-设备转换到接受l参数的模式。它直接与控制I信号iPar_EN(=控制字节的位。)相关，并且不影响俨主机状态。直日;果必须，变量，;jacti

19、va te_FVC也应被设为1。该变意(类费:日it)指示烹机用户农ffi参数的纺束和恢复安全1/0数据交换的就绪(见民943如果状态佼1DeviceFault来援位，那么该饭$i.随F玄机状态机的T4、T8和T17转换中的iPar_OK债而男更新。否则，它保持先前值。它不影响F烹机状态。变最iPar_EN_C丁和actwat仁FVC可被复位。德个F控制程序应使用该变篮(炎型，Bit)农把这个变盘改变为1时，通过P发机用户程序，在故隙反应(攸隙安全控制|囚E鲁特有的)之后，用户能够恢复安全功能。该变望J类主1巳it)指示在安兰兰功能恢复之前有一个能确认的请求。如枭F-:j三机驱动糕!于或者F设

20、备检测到通信错谈或者F设备故障.故障安全傻$i.被激活。只姿故障/错误被清除并且操作员确认趁可能的，F设备驱动稼FF$i.设章是变堂。A町Req_S(旦旦1勺。一旦确认发生1024优16 萨节工1321.主10 32佼128学节飞I由于在E用户程序t的快速表决循环，t进测到IJF l/O数据和CRC变化的速度令人满怠。在通俗辛苦淡的情况下，系统能够JJMXi状态守节中的信息以安全方式及时响脱。26 GB/ Z 20830-2007 7.6.2 F-设备安全层诊断为了向人机接口设备报告PROFlsafe的F-设备驱动程序的诊断信息，驱动程序发送其信息到使用标准PROFINET10机制的F-设备应

21、用，以便传递给10-控制器。PROFINET10的每个标准诊断选项都是可能的，但最好采用与通道相关的诊断(Channel-Related-Diagnosis)。在字段C hannelEr rorType的代码袭中有PROFIsafe的保留区域。表4所示的安全层诊断信息可以由F-设备报告给F主机。褒4安全层诊断报文二;如糊战i辄得如段;淌过豆、1画Ft，A.，4dbf J., 诊断铺息、一、 一, 一-，、:喝俨、-:, .:-;.:，.n.;: 任何安全P门U直捕。在等待F设备确认时，F空机识别本地越时Q夜分析接收到的安:;i!:PDU的网时，F.主机识别CRC故隙。F设街向烹机报告了失效i状

22、态侬ll。F设备向F民主机报告TCRC故障，状态位2-1F设备再1F主机报告了起时故障z状态佼3儿激发转换(保护)的个条件的UML符号，如下列各位都未登位，则该变缝为真(1) Hot CE CRC或; CE CRC成，W口ttm(out囚直口已将储以下各位中任例斗位，此变续为真() HosCCECRC，旦旦HostTirn阳utlCE_CRC，成WD tirneo川未设E慧和存储storedfaultsJ的错误佼阁33F-$.机状态朋GB/Z 20830-2007 巨型33巾的状态及状态揽i在见表5，状态转换及劝作见农6，内部项及义见农7。袋5状态及状态锚迷状态名称状态描述1 System S

23、tart 通电肘，F-主机驱动程序实例的初始枕态。如果一个革统被设计为籍姿进行故障存储，则应实现T9转换，杏贝u该系统只使用Tl转换。2 Prepare Message 为F设备准备司个常规的安余PDU，3 Await Device Ack 安余I2*lE夜等待来自F-!i!骨的F一个常规*PDU(确认)。4 Check Device Ack 检验接收剑的安全PDU的一个CRC-error(Hos仁CECRC)包销殷拟IHlJ吟，以及在状态学节(WD叩timeout.CE_CRC)内潜在的F-l!iI:街攸隙。5 Prepare Message 为F-设备准备一个常规的安全PDU臼6 Awai

24、t Devce Ack 安全摆正在等待来自F-设备的下一个常规PDU(确认J。7 Check Devce Ack 检验接收到的安来PDU的个CRC-error(HostCECRC) ，包括先前的(oldx)虑拟序列号，以及夜状态字节(WD_timeout，CECRC)内潜在的F设备故障。8 Prepare Message 为F设备准备个安PDU(异常处草草)。9 Awat D日viceAck 安全应正在等待来自F设备的F一个辩常资金PDU(确认)。检草盘f辈收到的安全PDU的个CRC-error(HOSLCE_CR凹，包指虚拟序列占去，以及在状态10 Check Device Ack 学节(W

25、D_tmeout，CE_CRC、内潜在的F设备在生障。l.出现个故障，在操作战确认俗够COA_Cl到达之前，不允许自动E重新扇动一个安功能m11 wait delay time 此状态则以避免在偶然望在统关断的情况下将储趟时故障。该符储会在下次通电时引起个操作员确认请求。延迟时间可以为oms. 表6状态转换及动作转换源状态目标状态动作Tl 1 2 use FV, actvate_FV 1, Toggleh I T2 2 3 send safety PDU 13 3 4 restarl host忡，tim!r。ld_x=x, x =x十1，if x 01000000h th巴nx1 Toggle

26、_h oot Tog民!e_h.T4 4 5 if FV忡忡忡activated= 1 or actvateFVC = 1 or Device_Fault =-1 then use FVi else use PVi if aetvate FV C = 1 or Devlce Fault = 1 then WH: FVo , activale_FV = 1 else use Pvo，刷了tivate_FV= 0 T5 5 6 send safety PDU 16 6 4 restart hosttimer T7 6 7 29 GB/Z 208302007 貌6(续)转换激状态目标状态动作if F

27、V _activated = 1 or actvate一FV一C= 1 or Device_Fau1t = 1 then use FVi else use PVi T8 7 5 f actvateFVC 1 or Device Fault = 1 then u问FVo，activate_FV =1 else llse Pvo. activate_.FV =0 use FV, actlvateFV T9 1 8 Toggle_h 1, R_cons腼nr=1 , x =0 restart h05t啊.timer.store fau!ts. T1 0 5 8 US FV! activate_FV

28、= 1电Toggle_h四notToggle_h, R_cons_nr 1 x .=-0 restart host-tmer! store faults 丁114 8 use FV, activatc_FV 1, Toggle_h = not Togg!e_h, R consnr = 1 , x =0 use FV. activate_FV = 1, Tl2 6 11 且_cons_nr= 1. x =0 日torefaults. Tl3 11 8 Toggle_h not T oggle_h, restart host-timer restart host-timer, store faul

29、ts , T1 4 7 8 use FV. actvate_FV = 1 , Toggle_h巳ntT ogglc_h. R且cons_nr1. 又忱。T15 8 9 send safety PDU f16 9 10 re5taft host-timer reset stored faults. OAReqS =0. 凡cons四nr=0, 。ld_xx. Tl7 10 5 x =x十1.if x 01000000h then x =1 Toggle_h not Toggle_h, if FV _8ctivated 1 or a(tivate_FV _C 1 or Device叫Fault1

30、30 GB;Z 208302007 司提6 (续)非专拽濒状态因你状态动作then use FVi else use PVi Tl7 10 5 if 8ctvate机FV叩C1 or Oevcc_Fault 1 then use FVo, activate_FV 1 else use Pvo, activate_FV =0 store faults噜OA_Req_S O. Tl8 10 8 use FV, activate_FV = 1. Toggle h not Togglc_h. R cons nr 1. X础。OA_Req_S 1. use FV, activate幽幽FV1. Togg

31、le_h not Toggle_h , T1 9 10 8 R_cons_nr = 0, old x =x, x =x十1.ifx础。1000000hthen x l store faults , OA_Req_S O. use FV. activatc_FV = 1 , T20 9 8 T oggle_h not T oggle_h. R_cons_nr = 1 , x =0 , restart host-tmer 袋7内部项及定义内部项类型定sl. x代表F主机耳目动程序实例中的本地序列号。它并不被传输给F设备中宫的对应惊:.(四unterpart)，而是通过控制字节中的触发位使其间步化。

32、实际计数器的x傻包吉在CRC2x 计数器计算中，从百四醇次校验传输故障。其值泡目因为O. . OFFFFFFh.在启动过程中，此递增计数曾曾被设置E成OFFFFFOh.并以此为开始。它的F-设备以OFFFFFFh为榄的各个虚拟序列在费每经确认接收之底.F-束机就激增E撞拟序列号，跳过0并从1鲸续。ld_xH数器当前本地序列号x的先前值。.，为了把初始循环章蹈丽的一些是循环lR别汗，存储序列在苦的这个先前锻练必要的。DelayTme 定时榕此延迟时间包含在整个系统内断咆安定时间。定义此参费u盖盘机/:单统制造商的资任.h05t timer 时棉此定时器检查来自F设备的下一个有效的安全PDU是沓已

33、按时到达。主机工程工具负资义此辛苦门狗时间。真假的范阁为O. . 65535ms. 只需在F主机中存储以下故障.-J主持续到操作员一次确认(A一。为止CF设备无需持续性), faults 标志 Host_CE_CRC , 一HostTmeoutI CECRCC状态比特的，WD_tmeout(状态比特3)。31 G/Z 20830-2007 袋7(续)内部琐类型定义涌动状态在这些些可中晰的滔动状态中，玄机等待如颇时就确认这样的新输入17J0 动作状态在这些辈不可中断的动作状态中，如超时、报文被收到或者操作员确认这类动作状态攀件被推迟到下一个活动状态为止川。8. 1. 2 F-设备状态阁32 F设

34、备状态图见图悦。20 System Start Start叩丁e!ltOK WD timeout= 1 Configur酬。nOK Use FVi.FVo Pararneterizatioll OK FV activated叶x始()FFFFFOhToggle升呻。k_nr _ cycles9) -when: Jnitial Val阳SOWD timeout count CE CRC COlU1t Sys:tem.st缸tokeo附nrR啡when: CRC M邸sagere阳ivedTogglc_h=l T23 notC民cT31 oot CI主cand ok_nr_cycles可2飞Nhe

35、nAckpreJl也ce23 Prepare Ack when Mes相gercceived Toggle_h丁oggle_d激发转接(保护)的一个条件的ML符号。在此情况F，它意味着:Toggle叫h0. then CECRC 1. CE叩CRC_countCE_CRC叩count-1 , 院lseC且也CRC=0. if WD_timeouLcount 0 then WD_trneout耻1.WD_tmeout_count = WDtm朋ut_count-) else WD timeout = 0 Use PVi. FVo , FV_activated =1. WD_tim回ut=1 ,

36、T32 27 26 WD_tmeouLcount = 1, ok_nr_cycles = 0, restart device- tirnet. Toggle_d出Toggle_h34 GB/Z 208302007 表9(续)转换源状态因标状都动作Use PVi , FVo , FV喃喃喃activated= 1 , CE_CRC =1. T33 22 26 CE_CRC.年count出1，。k.nr_cycles础。，restart device- timer, Toggle_d = Toggle_h Use PVi. FVo , FV_3ctvated 1. CE也_CRC1. T34 25

37、 26 CE叩CRC叩count1, ok_nr，晦而ycJe=0. restart device-t.imer, Toggle_d出Toggle_hUse PVi , FVo, FV叩activated1, WD_timeout = 1, T35 24 26 WD_timeout_count = 1, ok_nr_cycl回=0.restart device timer. Toggle_d Toggle_h 表10内部现及定义内部项目类瓢此 义x代l!F也1l!:曲中真实的本地序列号.它并不被传输给俨1:机中它的对方，而f量通过控制守节中的切快位在那蜷对方网步化6那1在眯糖，得对控制节j1L

38、连的1:丰日关和非安全才相关的报义的检测。bJ J滔斗fFG囚的关系(代购名)的F发送j是惟产生F梭收方f晴朗的正确的lZ1配CRC代码的一j;问时，接收方使ffl这个CRCft马检测F:&i革方地址的真实性(由于它被包拟在C汉C巾)，以保证检测来自不同发送j或者:&往不同接收方的数据。cJ 各设备中F地址的f夺去卖f金边摔是通过以下方法之一达到的z3空t再光中ft石马4号(虫日挺再要理摆设备的严设备她却tJ的编码Jf灾;43 GB/Z 20830 2007 通过软件激行一次性的设备参数化，并要要求检验正确的设备经否已被赋予地址，对没备被替换时，且在3重复参数化;利用均PROFINET10和P

39、ROFIBUSDP编址无关的地址结构方式。假设无恶意破坏。8.2.8 交焕机中的存储榻失效jf，例，al操作数据交换翘过通信链赂的军事盛阳bl跑线设曲仿真不IE确的报文引起过载从而Jll阻碍报文所属的服务。以图9和阁10所示的可能的安全网络为例来做以下考虑。网络的核心元件是交换机，它们是相药复杂的有源网络部件。它们可能会发l.各种故障。报文也许发送给了错误的囚的站点或者它们的数据内容被扰乱了。此外，交换机可能反复发遂将储的报义，即便是发送方已被关闭。我11列出了交换机的可能放除以及为达到足够安全ff百采取的纠正摘施。表11交换机故障的补救措施故障类组输测和控制穰逝于扰乱的数据CRC代码(24位

40、132位)V2模式错误的目的站点代码4;(2XI6比特)Vl和V2模式(16比特CRC)丢失的安余报文序列号(24位和跑时V2模式?在1童的报文序列号(24位V2模式延误的报文趟时Vl利V2模式在少于3个连续安全帧串联的情况下，童发序列号(24位)和非自动重启V2模式, 存储的报文F一吏机不辫被连接农3个就更多连续资金帧南联的情况f，或序列号(24ift) 参见以F考虑发存储的报文故障反借助于按制字节F主机不再连接(朗4)以下故降被检测/控制F-1:机故降或者它的安全帧没有到达接收L交换机传送其循环缀存中的报义，而米使用正确的序列辛苦。P设备识别序列号攸除非日设置盖自立障安全傲。以下故障米被检

41、测，但并非不能检测草草省不能鉴别z3童发交换机缓平于中的单独条报义，这:(见图16)，F设备的子模块地址来向于所逃俘的子槽号。9. 1. 7 F撒援部分见7.2.50i番擞现在的F一设备自己备有越采筋多的智能功能，这些功能姿求参数赋值班2阁更大。这些安全参数被称为1参数匍特别是在更换设备的事件中，通过标准路径上的总线葳接加载这些号参数是方便的。这些要参数记录通常超过了GSD(ML)数据的范阂(具有每个保护LK约1kB的几台激光打捕仪可达到的总蠢商48 FPar _ V ersion 阁519.2 GB;Z 20830-2007 :1ii 90kB或更商).所以本PROFIsafe规范提供了些附

42、加机制。因53给出丁关于上革盘和下载火盘各个F设备整整数的保护的个建议。F源目的关系(代码名)允许检验向所配堡的接收1r的传递，并且使用阀样的F参数的同一CRC多项或Cl4EABFh), CRC ; 码允许检验i:参数完整性。应俊用一个特别的规程来保证自标巾和t隙中1委主数之间的数据究整性，见9.3.2. 1. JiIl通过1参数计算CRC3代码(见图53)。每个数据集结尾处的2字节CRC只是在传输阶段才能服务于数据究毁性检验，该2字节CRC并不包含在CRC3中。有可能把CRC3代码包含夜PROFIsafe的循环信息安余机制中(见9.3.2.1)。在工草理工具支持这个选项的情况下，只要用户选择

43、了FCheck_iPar= check，就应提供CRC3代码的人口字段(见9.1.3.衍。p-j惨数F _Pnn_Block F P缸缸ne. 世也常用酋部。凡Pnn酌Flagl1 F _Prm_Flag2 z F Sour础Add3 4 F Dest Add 后6 F WD Time 7 8 F Par CRC 9 对PROFIBUSDP地带在的时PROFINETIQ则不幕在Unsigned8 Unsign时8Vnsign时8Unsigned16 Unsigned16 Unsigned16 End.F_Pnn.lock 因52F-*搬1糊歌酣靠n幢份激的带有附加2字节CRC的盘据盘醺目的地址撞掘靠号橱蘸撒据古草n的2字节C吸C融恃澈的带有附加2字节C议C的散掘靠n+l程盖散据靠n叫的2字节CRC教勘监n川F俨-UDAnk PL户L节节字字22 加的附mjnm4 自t晦n带附靠的靠掘送甜撒传教盖灿恨的叩擅共2芋节CRC=CRC团53单个设备参戴的数据羌藏性如何与多个l参数数据然协同工作的细节见9.3.3.9.3 安:l!:善事敛化因为对制造和过程工业巾现场设备的不同处理，PROFIsafe挺供了对于F-设备的F参数和i整数的标2远方法。49 GB;Z 20830 2007 9.3.1 GSD和GSDML安全扩艘9.3. 1. 1 GSD扩展标准的PROF