Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
IEC TR 62685:工业通信网络——功能安全通信行规
面向工业网络的安全通信协议行规,实现安全相关控制系统中的可靠数据交换
IEC TR 62685作为技术报告于2010年发布,为工业通信网络中的功能安全通信行规提供指导。由IEC第65技术委员会制定的该文件解决了通过标准工业通信网络传输安全相关信息的关键挑战。随着现代工业自动化系统越来越依赖网络化控制架构,将安全功能集成到与标准控制数据相同的通信基础设施中对于降低系统复杂性、接线成本和设备占地面积变得至关重要。
该技术报告描述了不同安全通信行规如何实现IEC 61784-3和IEC 61508的要求。工业安全通信的关键创新是”黑通道”原理,其中安全通信层独立于底层标准通信网络运行。这意味着安全协议将标准通信通道视为”黑盒”——它不依赖标准网络的错误检测机制,而是在安全层实现自己的全面错误检测。这一原理允许安全数据和标准数据共享同一物理网络,而无需对整个网络基础设施进行安全认证,大幅降低了实现复杂性和成本。
IEC TR 62685提供了安全通信行规框架,使来自不同制造商的安全相关设备能够通过标准工业网络实现互操作。涵盖的主要安全通信行规包括PROFIsafe、CIP Safety和Safety over Open。技术报告定义了每个行规如何通过特定的错误检测机制、传输格式和协议时序要求来实现所需的安全完整性等级。
安全通信原理与错误检测机制
所有工业安全通信行规的基础是IEC 61784-3中规定的一组错误检测机制。这些机制应对可能导致危险情况的潜在通信故障:重复、删除、插入、破坏、顺序错误、延迟和伪装。每个安全通信行规都实施错误检测措施的组合,以达到所需的残余错误概率——对于SIL 3应用通常低于每小时10^-9,源自IEC 61508的整体风险降低要求。
所有行规共用的标准错误检测措施包括:使用连续消息编号的序列编号来检测重复、删除、插入和顺序故障;在接收端使用看门狗定时器的时间预期来检测延迟故障;源地址和目标地址以防止伪装和跨域通信;使用循环冗余校验的数据完整性保证;以及在更高SIL应用中使用的认证机制。常见安全行规使用的CRC长度从16位到32位不等,较长的CRC用于更高SIL级别和更长的安全数据载荷。
| 特性 | PROFIsafe | CIP Safety | Safety over Open |
|---|---|---|---|
| 基础网络 | PROFIBUS / PROFINET | EtherNet/IP, DeviceNet | 多种(基于以太网) |
| 最高SIL | SIL 3 | SIL 3 | SIL 3 |
| CRC长度 | 3-4字节 | 4字节 | 4字节 |
| 序列号 | 16位连续 | 8位连续 | 16位连续 |
| 看门狗超时 | 1-65535 ms(可配置) | 1-65535 ms(可配置) | 1-65535 ms(可配置) |
| 安全数据载荷 | 典型1-12字节 | 典型1-32字节 | 最大1-512字节 |
| 黑通道 | 是 | 是 | 是 |
| 认证机构 | TÜV (PI) | TÜV (ODVA) | TÜV(多家) |
| 典型应用 | 工厂自动化、过程控制 | 工厂自动化、运动控制 | 过程控制、机械 |
每个安全通信行规将这些错误检测措施打包到特定的协议数据单元结构中。以PROFIsafe为例,安全PDU由控制字节、安全数据字节和CRC校验和组成。SIL 3的PROFIsafe的CRC多项式使用源自IEEE 802.3 CRC-32的32位校验和,并通过设备特定的CRC初始化值进一步增强。该CRC种子结合设备F参数集,确保即使同一网络上的两个安全设备具有相同的硬件,它们的安全层通信也不会相互干扰。F参数集包括看门狗时间、PROFIsafe地址、SIL等级、CRC长度和通信故障后的行为——每个参数在连接建立期间通过CRC验证和确认。
| 错误检测措施 | 重复 | 删除 | 插入 | 破坏 | 顺序 | 延迟 | 伪装 |
|---|---|---|---|---|---|---|---|
| 序列号 | ✓ | ✓ | ✓ | ✓ | |||
| 时间预期 | ✓ | ✓ | |||||
| 源/目标地址 | ✓ | ✓ | |||||
| CRC | ✓ | ✓ | |||||
| 认证机制 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
黑通道原理并不意味着标准网络的安全认证不必要——它意味着安全层不依赖标准网络的错误检测来实现其安全功能。然而,标准网络仍必须按照其自身规范正确安装和维护。常见的配置错误包括PROFIsafe地址重复、F主机和F设备之间的F参数集不匹配、以及看门狗时间配置不当。在将任何安全相关系统投入运行之前,必须使用制造商特定的调试工具对F参数配置进行彻底验证。
PROFIsafe、CIP Safety与工程设计要点
PROFIsafe是在工厂自动化中部署最广泛的安全通信行规,基于黑通道原理在PROFIBUS DP和PROFINET IO上运行。关键设计原则是标准通信协议栈与安全应用之间的”安全隔离层”。F主机和F设备各自实现一个安全层,在将数据传递给安全应用之前添加和评估安全协议信息。安全数据交换基于循环方式运行,具有可配置的F监控时间。如果在监控窗口内未收到有效的安全电报,则转换到配置的安全状态。向安全状态的转换必须在指定的安全反应时间内完成。
CIP Safety由罗克韦尔自动化开发,采用类似的原理但针对通用工业协议应用层进行了调整。CIP Safety使用”Safety-over-CIP”架构,其中安全数据封装在标准CIP消息中,但带有安全特定头部。与PROFIsafe的一个关键区别是CIP Safety使用8位序列号而非16位,减少了通常较短的离散制造应用安全数据载荷的协议开销。CIP Safety还支持某些应用的”无连接”安全通信模式,简化了分布式安全架构的系统配置。
从工程设计角度来看,安全通信行规的实施需要仔细关注几个关键因素。安全系统设计必须从根据ISO 12100和IEC 62061进行的彻底风险评估开始,以确定每个安全功能所需的SIL。然后必须根据应用要求、网络拓扑和与所选安全控制器和现场设备的兼容性来选择安全通信行规。系统设计人员必须验证F参数配置,特别是看门狗时间设置。对于多供应商系统,即使所有设备都声称符合相同的安全通信行规,互操作性测试也至关重要。
根据IEC TR 62685设计良好的安全通信系统可以实现SIL 3,残余错误概率低于每小时10^-9,同时与传统硬接线安全电路相比减少50-70%的接线成本。现代带集成安全通信的安全控制器可以通过单根网络电缆管理数百台安全设备,从故障检测到安全状态的安全反应时间根据网络负载和设备数量为10-50 ms。对于时序要求更严格的应用,具有等时实时操作的高速安全通信行规可以实现低于5 ms的反应时间。
诊断数据是安全通信行规中经常被低估但至关重要的特性。PROFIsafe通过标准的PROFINET报警机制提供广泛的诊断能力,使安全设备能够传达与维护相关的信息。CIP Safety通过CIP对象模型提供类似的诊断功能。将安全诊断数据集成到整体工厂状态监测系统中,实现了安全功能的预测性维护,降低了未检测到的安全设备故障风险,同时避免了需要机器停机的不必要的功能安全测试。工程师应在安全系统设计初期明确诊断数据需求,以确保所选的安全通信行规和设备提供必要的诊断覆盖。
安全通信设计中的一个常见陷阱是在瞬态故障后的通信恢复过程中对”安全状态”处理不当。当通信在看门狗超时后恢复时,系统不得自动恢复正常运行,除非明确确认安全条件已恢复。IEC TR 62685规定安全通信行规必须实现”重新整合”程序,需要在通信中断后由安全控制器发出明确的重新启动命令。工程师必须确保重新启动行为配置为需要手动复位,并且系统设计考虑了所有互联安全区域的重新启动顺序要求。
问1:IEC TR 62685与IEC 61784-3有何不同?
答:IEC TR 62685是技术报告,描述了不同安全通信行规如何实现IEC 61784-3的要求。IEC 61784-3是规范性标准,定义了安全通信的基本原则、错误检测机制和一般要求。简言之,IEC 61784-3规定了”要求”,而IEC TR 62685描述了”实现方式”。
答:IEC TR 62685是技术报告,描述了不同安全通信行规如何实现IEC 61784-3的要求。IEC 61784-3是规范性标准,定义了安全通信的基本原则、错误检测机制和一般要求。简言之,IEC 61784-3规定了”要求”,而IEC TR 62685描述了”实现方式”。
问2:安全数据和非安全数据可以共享同一根网络电缆吗?
答:可以,这是黑通道原理的基本优势。安全数据封装在标准通信帧中,带有额外的安全协议信息,由安全层独立于标准网络协议栈进行评估。标准网络对安全帧和非安全帧同等对待,安全层检测通信通道引入的任何错误。这使得两种类型的数据可以共享同一物理网络、交换机、路由器和通信基础设施,前提是总网络负载不超过网络容量,并且通信时序满足安全反应时间要求。
答:可以,这是黑通道原理的基本优势。安全数据封装在标准通信帧中,带有额外的安全协议信息,由安全层独立于标准网络协议栈进行评估。标准网络对安全帧和非安全帧同等对待,安全层检测通信通道引入的任何错误。这使得两种类型的数据可以共享同一物理网络、交换机、路由器和通信基础设施,前提是总网络负载不超过网络容量,并且通信时序满足安全反应时间要求。
问3:看门狗时间配置错误会有什么后果?
答:设置有误的看门狗时间会产生严重后果。如果设置过短,安全系统将在正常通信抖动期间不必要地触发,导致难以诊断的生产停机。如果设置过长,安全系统将花费太长时间来检测实际通信故障,可能超过所需的安全反应时间并违反SIL要求。正确的看门狗时间必须考虑最大网络传播延迟、设备处理时间、最坏情况重传延迟和安全余量。
答:设置有误的看门狗时间会产生严重后果。如果设置过短,安全系统将在正常通信抖动期间不必要地触发,导致难以诊断的生产停机。如果设置过长,安全系统将花费太长时间来检测实际通信故障,可能超过所需的安全反应时间并违反SIL要求。正确的看门狗时间必须考虑最大网络传播延迟、设备处理时间、最坏情况重传延迟和安全余量。
问4:如何计算安全通信的残余错误概率?
答:安全通信通道的残余错误概率根据IEC 61508-2和IEC 61784-3计算,是物理传输介质误码率、安全协议数据单元位数、CRC多项式特性和序列编号等附加措施有效性的函数。对于典型的具有32位CRC的PROFIsafe SIL 3配置,残余错误概率约为每电报10^-11,远低于SIL 3的每小时10^-9要求。系统设计人员应查阅设备制造商提供的经过认证的安全手册,以获取适用于其特定系统配置的已验证残余错误概率值。
答:安全通信通道的残余错误概率根据IEC 61508-2和IEC 61784-3计算,是物理传输介质误码率、安全协议数据单元位数、CRC多项式特性和序列编号等附加措施有效性的函数。对于典型的具有32位CRC的PROFIsafe SIL 3配置,残余错误概率约为每电报10^-11,远低于SIL 3的每小时10^-9要求。系统设计人员应查阅设备制造商提供的经过认证的安全手册,以获取适用于其特定系统配置的已验证残余错误概率值。
