1. PROFIsafe简介：

虽然具有分布式 I/O 的自动化解决方案广泛使用了 Profibus DP 和新引入的 Profinet IO，但故障安全应用仍 然依赖于传统电气技术的另一条或专用的总线，这限制了无缝集成和互操作性。2005 年 9 月由 PNO 发布的最 新版 PROFIsafe 安全行规（V2.0）描述了安全外围设备和安全控制器间的通信。它是对标准 Profibus DP 和 Profinet IO 的补充技术，用于减少安全控制器和安全设备间数据传输的失效率和错误率，以达到或超过相关标准要求的 等级。

2. PROFIsafe原理介绍：

　随着现场总线技术的发展和广泛应用，故障安全通信技术近年也得到了飞速发展，安全总线系统的应用使得工业控制系统更具安全性和可用性，同时提高了系统灵活性，有效节约了布线和工程施工的成本。

与SafetyBus p这种独立的安全网络和独立的安全PLC想比，Siemens推出的安全通信协议PROFIsafe将安全设备和标准设备的数据流完全整合在以PROFIBUS为平台的总线系统中，使标准设备和安全设备能同时共用一条通信链路。从1999年PROFIsafe引入以来，TUV已经认证了其在PROFIBUS上运用的安全性，达到了IEC61508中SIL3的等级，最近它还获得了PROFInet上使用安全性的认证。开放架构的PROFIsafe使得选择其他厂商的产品成为可能。目前有大量的厂商都提供支持PROFIsafe的设备，如Banner，Beckhoff，Sick，Turck和Wago等。

与传统安全系统相比PROFIsafe具有如下优点：

（1）安全通信和标准通信在同一根电缆上共存；

（2）PROFIsafe-故障安全性建立在单信道通信系统之上，安全通信不通过冗余电缆来达到目的；

（3）标准通信部件，如电缆、专用芯片、DP-栈软件等等，无任何变化；

（4）故障安全措施封闭在终端模块中(F-Master，F-Slave) ，采用专利SIL监视器获得极高的安全性；

（5）最高故障安全完整性等级为SIL3(IEC61508)；

（6）既可用于低能耗(Ex-i)的过程自动化，又可用于反应迅速的制造业自动化；

PROFIsafe使标准现场总线技术和故障安全技术合为一个系统，即故障安全通信和标准通信在同一根电缆上共存，安全通信不通过冗余电缆来实现。这不仅在布线上和品种多样性方面可以节约成本，而且也方便日后系统的改造。

3.PROFIsafe V2.0 操作模式

最新版 PROFIsafe 行规提供了 V1 和 V2 两 种操作模式，如图 1 所示。V1 模式的措施对 于单独的 Profibus DP 网络上的安全数据传输 是足够的，而更“大量”的 Ethernet/Profinet IO

特征（如较广的地址空间和缓存转换元素）需

要对 PROFIsafe 行规做某些扩展，这样形成了 V2 模式。V1 模式限用于 Profibus DP，而 V2 模 式可用于 Profinet IO 和/或 Profibus DP。

PROFIsafe V2 模式的主要改进包括：① 随

着 Profinet IO 的使用，使共享设备、每报文的扩

展过程（I/O）数据和扩展参Ⅱ数等的改进成为

可能；② 缓存在网络部件（如暂时存储全部报文序列的交换机）中的报文错误可以被控制。V1 模式不能完全 覆

盖这些风险；③ 对“黑色通道”下的 CRC 多项式不再加以限制，如禁止使用同样的 CRC 多项式或禁止使用一个

可被整除的多项式；④ 安全设备的第三方参数化工具可简单调用的接口。

4　　　 PROFIsafe V2.0 安全通信原理

2.1 一般要求

① 在同样的 Profinet IO 和/或 Profibus DP 系统中使用标准设备和“安全设备”时，可以保证安全相关通信和标准通信间的独立性；

② 适用于安全完整性等级 SIL 3（IEC 61508）、性能等级“e”（ISO 13849-1）和控制类别 4（EN 954-1）；

③ 满足单通道通信系统的安全要求→冗余只用于提高可用性；

④ 安全传输功能的实现应该被限制在通信终端设备（CPU/主机－现场设备和/或 I/O 模块）中；

⑤ F-设备与其 F-主机之间总是 1 对 1 通信关系；

⑥ 传输持续时间被监控；

⑦ 环境条件符合通用 Profibus 的要求（主要是 IEC 61131-2 和 IEC 61326-3）；

⑧ 传输设备（如控制器、ASIC、链路、耦合器等）应保持不变（黑色通道）→安全功能位于 OSI 第 7 层

之上（即不改变或增加标准协议）。

2.2 安全通信原理（黑色通道）

PROFIsafe

安全通信由下述系统执行：

① 标准传输系统（即 Profinet IO 和/或 Profibus DP）；

② 标准传输系统之上附加的安全传输协议。 安全应用和标准应用同时共享同一个 Profinet IO 或

Profibus DP 通信系统。 安全传输功能由下述所有措施组成，这些措施可以

确定性地发现经由标准传输系统渗透的各种可能的故障/危害，或者使残余误差（故障）概率保持在某一限值以

下。包括：① 随机故障，例如由于 EMI 对传输通道的影响；② 标准硬件的失效/故障；③ 标准硬件和软件的 组件的系统故障。

2.3 “黑色通道”的边界条件和约束

对安全评价和残余错误率的计算的边界条件和约束如下所述。

2.3.1 安全相关的 通常具有以下两个条件：

① 所有的设备应提供电气安全 SELV/PELV 和 Profibus 证书；② 安全设备应符合 IEC 61000-6-2 或 IEC

61131-2 规定的通用工业环境设计，并符合 IEC 61326-3 规定的增强抗扰性。

V1 模式：

① 每秒和每传输技术的安全相关报文的假定数目为

Profibus DP/RS485/FO 100

Profibus PA/MBP/MBP-IS 10

② 每通道类型的重试次数

Profibus DP/RS485/FO 15（IEC 61158 最大 8） Profibus PA/MBP/MBP-IS 15（IEC 61158 最大 8） 背板总线　 8（主机或模块化现场设备内）

③ 黑色通道 CRC 多项式

黑色通道不应使用 PROFIsafe CRC 多项式 14EABh 和 1F4ACFB13h

黑色通道多项式不应被 C599h 整除

④ 有源缓存网络元素 Profibus PA/MBP/MBP-IS 最大 2 个报文，带有 DP/PA 链接器和/或中继器

⑤ 安全 PDU 不允许按字节划分。

V2 模式：

① 每秒和每 1 对 1 的 PROFIsafe 通信关系的安全相关报文的假定数目<10 000

② 每通道类型的重试次数无限制

③ 黑色通道 CRC 多项式无限制

④ 有源缓存网络元素无限制；允许任何交换机

PROFIsafe 岛不允许使用单端口路由器作为 PROFIsafe 岛的边界

⑤ 安全 PDU 按字节划分无限制。

2.3.2 非安全相关的 在规定时间（生存标记）内主机和现场设备间循环数

据交换，并保证整个 PROFIsafe 帧（数据完整性）在安全 层上传送。通常：① Profibus DP/RS485 无分支（支线）；

② Profinet IO 每个子模块只有一个 F-主机；③ 以太网交 换机应适用于 IEC 61131-2 所定义的标准工业环境；④ 标 准设备和安全设备可以共用同一个 24 V 电源。

5　　　 PROFIsafe V2.0 通信特征

3.1 系统特征

在图 3 中表示的系统配置描述了一个典型的结构，它包括了互连的主机/PC、面向安全的主机/PLC、远程

I/O、I/O 设备、安全 I/O 设备和 Profinet IO 的监控单元。

在这个结构中，面向安全的主机/PLC 通过 Profinet IO 控制器，控制几个从属的面向安全的和非面向安全的

Profinet IO-设备单元/模块。（闭环）传输系统可以通过路由器互连的多个段进行扩展。用户有责任采取适当的措

施（例如复查、防火墙等），以确保来自连接编程工具和/或工程工具的非授权访问不危害安全操作。这些设备 通常不参与安全操作。

3.2 Profinet IO 和 Profibus DP 内的循环数据交换

通常 PLC/IPC 是 Profinet IO 或 ProfibusDP 系统中的主机。相关 Profinet IO 控制器或 DP 主站在相关联的独 立单元内，或集成在主机中的子单元内。I/O 站分别是 I/O 设备或从站。在一个总线循环内，控制器（主站）寻

址每个 IO-设备（从站）一次。在 Profinet IO 中，在同一总线循环内宜为异步响应。在 Profibus DP 中，它宜是 槽时间内直接地（同步地）来自从站的响应。在这个过程中，固定数量的输出字节送往从站，或者从站分别返回固定数量的输入字节。图 4 表示了主机及其设备间的一对一关系。

3.3 安全层使用的标准通信服务

安全相关的 IO 数据通过 Profinet IO 的实时通道 RT 或 IRT 进行传输，如图 5 所示。

非循环服务（TCP/IP 或 UDP/IP）用于传输非安全相关数据和安全相关参数。这部分设备参数是安全相关的， 并且通过循环数据交换进行循环性验证。

6　　　 结束语

自 1999 年 PROFIsafe 行规首版公布以来，PROFIsafe 在应用于制造业自动化的开放现场总线中一直处于领 先地位。它实现了在一根电缆上标准的与安全的通信共存的构想。它不仅简化了运用集成安全技术控制器和分 散 I/O 设备的开发，而且也简化了运用集成安全监控功能的驱动器的开发。

由于 PROFIsafe 只能在 Profibus DP 中使用，这限制了其进一步的应用和发展。但现在，最新版的 PROFIsafe 行规（V2.0）已经能够把 PROFIsafe 行规应用到 Profinet IO 上。为此，可以利用其较大的规模（地址空间、有 效数据等）及其有源的网络部件（交换机、路由器等）来有效地扩充过去的行规，并为今后的应用留有余地。 对于已有的 PROFIsafe 设备而言，可以采取以下的策略：在单纯的 Profibus DP 网络中，不需要变更软件，设备

运行在 V1 模式下；如果同 DP 连接的 PROFIsafe 设备要经过一个网关连接到 PROFINET IO 控制器，那么这些

设备可以选择运行在 V2 模式下。涵盖了DP 和PA 的宽广应用领域、V1 和 V2 模式的灵活配置方式必然使 PROFIsafe

功能安全通信技术在自动化领域继续保持其领先地位。