安全繼電器相互連接,提供安全功能。硬線系統(tǒng)的開發(fā)和維護比較困難,只能滿足多數(shù)的基本應(yīng)用。此外,這些系統(tǒng)中的設(shè)備位置具有嚴(yán)格的距離限制。
因為上述問題,以及造價的考慮,對使用標(biāo)準(zhǔn)通信網(wǎng)絡(luò)實現(xiàn)安全服務(wù)有了高度的期盼。開發(fā)安全網(wǎng)絡(luò)的關(guān)鍵不是建立的網(wǎng)絡(luò)不能失敗,而是建立一種機制,使網(wǎng)絡(luò)在失效時能使安全設(shè)備轉(zhuǎn)移到一個已知狀態(tài)。如果用戶知道一旦出現(xiàn)失效,系統(tǒng)會換轉(zhuǎn)到什么狀態(tài),他們就能夠使應(yīng)用處于安全狀態(tài)。但這意味著需要更多的檢查和冗余編碼信息。
所以,為了增加安全的要求,德國安全總線委員會(German Safety Bus committee)擴展了現(xiàn)有的鐵路標(biāo)準(zhǔn)。這個委員會為安全網(wǎng)絡(luò)開發(fā)人員提供了安全網(wǎng)絡(luò)的設(shè)計指南,使他們的網(wǎng)絡(luò)和安全設(shè)備遵從 IEC 61508 的標(biāo)準(zhǔn)。
基于這些標(biāo)準(zhǔn),CIP 擴展了高完整性的安全服務(wù)。結(jié)果是一個可伸縮、可路由、網(wǎng)絡(luò)獨立的安全層降低了對專用安全網(wǎng)關(guān)的要求。因為所有安全設(shè)備使用相同的協(xié)議,使用相同的介質(zhì),使用方法也和標(biāo)準(zhǔn)的網(wǎng)絡(luò)是一樣的。
CIP 安全是對標(biāo)準(zhǔn)CIP 的一種擴展,它通過了 TüV 的認(rèn)證,可用于 IEC 61508 SIL 3 和 EN 954-1 類別 4 的應(yīng)用。它在原來的模型中增加了CIP 安全應(yīng)用層(紅色部分),見圖1。 增加部分包括了幾個安全相關(guān)的對象和安全設(shè)備描述、在DeviceNet上實現(xiàn)CIP安全的細(xì)節(jié),也就是我們熟知的 DeviceNet 安全。
圖 1 包括安全的 CIP 通信層
因為安全應(yīng)用層擴展不依賴標(biāo)準(zhǔn)CIP的完整性,可以與數(shù)據(jù)鏈路層,數(shù)據(jù)鏈路通信接口使用同一通道。可以使用標(biāo)準(zhǔn)的路由器實現(xiàn)安全數(shù)據(jù)通信。見圖2。路由安全報文是可行的,因為末端設(shè)備可以負(fù)責(zé)數(shù)據(jù)的完整性。如果在數(shù)據(jù)傳送或在中間路由器出現(xiàn)出現(xiàn)錯誤時,末端設(shè)備會檢測出故障,并且采取適當(dāng)行動。
圖 2 安全數(shù)據(jù)的路由
這種路由能力使得DeviceNet安全單元能夠快速的響應(yīng)來自其他單元的互鎖要求信息,比如與骨干網(wǎng)絡(luò),諸如 EtherNet/IP 實現(xiàn)互鎖,如圖3所示。只有需要的安全數(shù)據(jù)才通過路由到達請求的單元,這樣減少了系統(tǒng)對帶寬的需求。結(jié)合本地安全單元的快速響應(yīng)和安全數(shù)據(jù)的跨路由傳輸,用戶可以構(gòu)建大型的、反映迅速的安全應(yīng)用。這種結(jié)構(gòu)的另外一個好處是具有多網(wǎng)多點傳送安全報文的能力。
圖 3 網(wǎng)絡(luò)路由
2. 安全功能的實現(xiàn)
如在圖1指出的那樣,所有 CIP 安全設(shè)備也是基于在標(biāo)準(zhǔn)CIP的功能之下的。擴展了的CIP安全應(yīng)用層指定使用一種安全驗證器對象。這種對象負(fù)責(zé)管理CIP的安全連接(標(biāo)準(zhǔn)CIP連接由通信對象來管理),像在安全應(yīng)用對象和連接層的一個接口,如圖3所示。安全驗證器使用下節(jié)描述方法確保安全數(shù)據(jù)傳送的完整性。
圖 4 安全驗證器之間的關(guān)系
安全驗證器對象執(zhí)行的功能為:
? 使用一個客戶機驗證器產(chǎn)生安全數(shù)據(jù)和協(xié)調(diào)時間來生成一個安全應(yīng)用;
? 客戶機使用一個連接數(shù)據(jù)生成器傳輸數(shù)據(jù)和一個連接接收器接收協(xié)調(diào)時間報文;
? 接收安全的應(yīng)用使用一個服務(wù)器驗證器接收和檢查數(shù)據(jù);
? 服務(wù)器使用一個連接接收器接收數(shù)據(jù)和一個連接生成器發(fā)送協(xié)調(diào)時間報文。
連接生成器和接收器沒有安全信息包的概念,所以不執(zhí)行安全功能。而保證安全數(shù)據(jù)傳輸和檢查高完整性的責(zé)任,完全依仗安全驗證器。
