Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
IEC PAS 62162:现场总线安全指南 — 工业通信功能安全
确保工业自动化现场总线系统中安全相关数据传输的完整性
IEC PAS 62162为工业自动化环境中通过现场总线通信系统实现功能安全提供了基本指南。作为公开可用规范发布,该文件解决了分布式控制系统中安全数据传输日益增长的需求——在这些系统中,现场设备、传感器和执行器通过数字网络而非传统的点对点接线进行通信。随着工业设施越来越多地采用网络化架构以提高灵活性和降低安装成本,确保安全相关数据在整个通信链中保持完整性已成为一个关键的工程挑战。
该标准专门针对IEC 61508定义的最高SIL 3(安全完整性等级3)应用中使用的现场总线系统。它规定了在连接到现场总线的设备之间传输安全相关消息的要求,涵盖错误检测能力、响应时间以及故障条件下的通信行为等方面。PAS状态反映了其作为预标准的角色,它吸收了行业最佳实践,大量借鉴了已建立的安全现场总线配置文件,如PROFIsafe——后者已成为PROFIBUS和PROFINET安全通信的主导实现方案。
IEC PAS 62162适用于所有类型的现场总线系统,不仅限于PROFIBUS/PROFINET,还包括用于安全相关应用的其他通信网络。关键原则是即使底层通信通道发生故障——包括位错误、消息重复、消息丢失、消息插入、排序错误、消息损坏、延迟和伪装——安全功能也必须得以维持。
安全通信模型与错误检测
该标准定义了一个分层的安全通信模型,其中安全层位于标准现场总线通信协议栈之上。该安全层负责为每条消息添加安全相关信息,包括序列号、时间戳和循环冗余校验码。接收方安全层在将数据传递给安全应用程序之前验证每条传入消息。这种分离确保了安全功能独立于底层现场总线协议,使得相同的安全通信原理可以应用于不同的总线系统。
错误检测是安全现场总线通信的基石。IEC PAS 62162要求安全协议以高概率检测全面的通信故障集合。安全码的汉明距离必须足以检测多位错误,对于SIL 3应用,未被检测到的危险故障的残余错误率必须低于每运行小时10-9。这是通过结合多种技术实现的,包括至少16位多项式的CRC码、连续编号监测、时间期望监测以及使用每条消息中的唯一设备标识符进行发送方/接收方交叉检查。
| 故障类型 | 描述 | 检测机制 |
|---|---|---|
| 消息重复 | 同一条消息被接收两次 | 连续编号检查 |
| 消息丢失 | 未接收到预期消息 | 超时监测 + 连续编号 |
| 消息插入 | 外来消息被注入 | 源/目的标识符 + CRC |
| 顺序错误 | 消息顺序颠倒 | 连续编号排序 |
| 消息损坏 | 数据在传输中被改变 | CRC-16/CRC-32完整性检查 |
| 延迟 | 消息到达过晚 | 时间期望 + 看门狗定时器 |
| 伪装 | 伪造发送方身份 | 每条消息中的唯一发送方ID |
安全模型的一个关键方面是”黑信道”原则。安全层将底层现场总线视为完全不可靠的传输介质——一个黑信道——而不依赖总线协议本身的任何安全属性。这种保守假设意味着安全通信必须自给自足地检测所有可能的错误,无论现场总线协议提供何种保护。这一原则极大地简化了认证过程,因为安全层可以独立评估,而无需更改标准现场总线组件。
设计安全相关现场总线系统时,工程师必须注意”黑信道”假设要求安全层甚至检测现场总线协议已经处理的错误。例如,如果现场总线CRC检测到损坏消息并将其丢弃,安全层仍必须通过自身的超时机制将其检测为消息丢失。这种冗余是有意为之的,对于达到所需的安全完整性等级至关重要。
系统设计与性能要求
IEC PAS 62162建立了安全通信性能的量化要求。安全反应时间——从危险状况发生到安全系统启动适当响应之间的最长时间——必须针对每个应用进行规定。对于典型的工业应用,反应时间从高速保护功能(如包装机械上的光幕)的10毫秒到过程安全功能(如化工厂中的紧急切断阀)的几秒不等。标准还要求安全通信在最坏情况延迟条件下(包括最大容量下的总线负载、设备处理延迟以及因检测到错误而进行的重传)被证明能够达到目标SIL等级。
错误处理和在检测到错误时的系统行为同样重要。当安全相关消息未能通过完整性检查时,接收器必须在规定的故障安全时间内进入定义的安全状态。标准定义了两种方法:”故障安全”——设备转换到预定义的安全条件;”故障运行”——设备在尝试重传的同时使用最后有效数据维持安全运行。这两种方法的选择取决于应用场景。
| 参数 | 典型范围 | SIL 3要求 |
|---|---|---|
| 安全反应时间 | 10 ms – 5 s | 取决于应用 |
| 残余错误率 | < 10-9 次故障/小时 | SIL 3: < 10-8 至 < 10-7 |
| CRC多项式 | 16位至32位 | SIL 3至少16位 |
| 最大总线设备数 | 32至125个节点 | 取决于总线系统 |
| 安全状态转换 | < 2倍看门狗时间 | 必须是确定性的 |
精心设计的安全现场总线系统相比传统硬接线安全电路可以显著降低总拥有成本。节省来自减少的布线、简化的诊断和更大的灵活性。这些优势通常可使安装成本降低30-50%,对于复杂安全系统的调试时间减少20-30%。
安全现场总线系统工程设计要点
在实际系统中实施IEC PAS 62162指南时,几个工程考虑因素值得特别注意。首先,现场总线网络的拓扑结构直接影响安全反应时间。在菊花链配置中,每个设备引入通常0.1-1 ms的处理延迟。对于包含20个设备的线路,这增加了高达20 ms的累积延迟——可能超出快速应用的安全反应时间要求。使用有源基础设施组件的星形拓扑可以减少这种累积延迟,但会引入额外的故障模式。
其次,必须谨慎管理同一现场总线电缆上安全相关和非安全通信的共存。IEC PAS 62162要求非安全流量不得将安全通信性能降低到所需水平以下。这通常通过带宽预留或基于优先级的调度来实现。在实践中,工程师应将不超过50-60%的可用总线带宽分配给非安全流量,以确保安全消息在最坏情况下始终有足够的重传余量。
第三,设备鉴定和认证需要记录证据证明安全通信协议栈符合要求。这包括故障注入测试,系统地引入每种类型的通信故障以验证检测机制正常工作。标准建议至少107条测试消息以获得残余错误率测量的统计置信度,使得自动化测试框架对于实际认证程序至关重要。工程团队应为新安全现场总线设备的认证过程预算大约3-6个月,其中通信协议栈验证约占总认证工作量的40%。
第四,长期维护必须考虑安全相关参数可能随时间漂移的问题。标准建议按照所需SIL和设备故障率确定的间隔进行安全通信的周期性验证测试。对于SIL 3应用,验证测试间隔通常为1至5年。现代安全现场总线系统包括持续监测通信统计的内置诊断功能,大大减少了手动验证测试的负担。
安全现场总线系统中最常见的设计错误之一是对共因故障的考虑不足。如果单次事件——如电源故障、电磁干扰脉冲或物理电缆损坏——可以同时破坏现场总线通信和安全逻辑,则必须验证系统对共因故障的免疫力。设计措施包括冗余总线的物理分离布线、总线接口的电气隔离以及通信协议或CRC算法的多样性。
问1:任何现场总线都可以用于安全应用吗?
答:不能直接使用。现场总线协议提供物理传输,但必须在其上添加安全层。IEC PAS 62162提供了设计此安全层的指南,无论底层总线系统为何。
答:不能直接使用。现场总线协议提供物理传输,但必须在其上添加安全层。IEC PAS 62162提供了设计此安全层的指南,无论底层总线系统为何。
问2:”黑信道”和”白信道”有什么区别?
答:黑信道将通信介质视为完全不可靠,仅依靠安全层进行错误检测。白信道假设底层总线的某些属性可以信赖,降低了安全层要求。黑信道方法更保守,简化了认证过程。
答:黑信道将通信介质视为完全不可靠,仅依靠安全层进行错误检测。白信道假设底层总线的某些属性可以信赖,降低了安全层要求。黑信道方法更保守,简化了认证过程。
问3:安全反应时间如何影响系统设计?
答:安全反应时间决定了系统检测和响应危险状况的速度。它影响总线拓扑选择、看门狗定时器设置以及每段总线的最大设备数量。
答:安全反应时间决定了系统检测和响应危险状况的速度。它影响总线拓扑选择、看门狗定时器设置以及每段总线的最大设备数量。
问4:安全现场总线可以达到什么SIL等级?
答:通过正确实施,基于IEC PAS 62162的安全现场总线系统可以达到SIL 3。达到SIL 4需要额外的措施。
答:通过正确实施,基于IEC PAS 62162的安全现场总线系统可以达到SIL 3。达到SIL 4需要额外的措施。
