和其他基于工业标准网络的安全协议一样,CIP(公共工业协议)加入另外的安全服务,使数据以更高的完整性传送。和其他网络又有所不同,CIP 安全呈现了一种可伸缩、网络独立的方法,用于网络的设计,明确定义的应用层描述了各种安全服务。自从安全功能集成到每个设备—而不是在网络结构中—CIP 安全允许一般设备和安全设备运行在同一个开放网络上。这个特性使用户可灵活选择网络结构—有或者没有安全 PLC—用于他们功能安全网络。这种方法也使来自多个厂商的安全设备能够通过标准的CIP网络实现无缝的通信,而不需要管理复杂的网关。
1. 概述
硬线的安全系统使用安全继电器相互连接,提供安全功能。硬线系统的开发和维护比较困难,只能满足多数的基本应用。此外,这些系统中的设备位置具有严格的距离限制。
因为上述问题,以及造价的考虑,对使用标准通信网络实现安全服务有了高度的期盼。开发安全网络的关键不是建立的网络不能失败,而是建立一种机制,使网络在失效时能使安全设备转移到一个已知状态。如果用户知道一旦出现失效,系统会换转到什么状态,他们就能够使应用处于安全状态。但这意味着需要更多的检查和冗余编码信息。
所以,为了增加安全的要求,德国安全总线委员会(German Safety Bus committee)扩展了现有的铁路标准。这个委员会为安全网络开发人员提供了安全网络的设计指南,使他们的网络和安全设备遵从 IEC 61508 的标准。
基于这些标准,CIP 扩展了高完整性的安全服务。结果是一个可伸缩、可路由、网络独立的安全层降低了对专用安全网关的要求。因为所有安全设备使用相同的协议,使用相同的介质,使用方法也和标准的网络是一样的。
CIP 安全是对标准CIP 的一种扩展,它通过了 TÜV 的认证,可用于 IEC 61508 SIL 3 和 EN 954-1 类别 4 的应用。它在原来的模型中增加了CIP 安全应用层(红色部分),见图1。 增加部分包括了几个安全相关的对象和安全设备描述、在DeviceNet上实现CIP安全的细节,也就是我们熟知的 DeviceNet 安全。
图 1 包括安全的 CIP 通信层
因为安全应用层扩展不依赖标准CIP的完整性,可以与数据链路层,数据链路通信接口使用同一通道。可以使用标准的路由器实现安全数据通信。见图2。路由安全报文是可行的,因为末端设备可以负责数据的完整性。如果在数据传送或在中间路由器出现出现错误时,末端设备会检测出故障,并且采取适当行动。
图 2 安全数据的路由
这种路由能力使得DeviceNet安全单元能够快速的响应来自其他单元的互锁要求信息,比如与骨干网络,诸如 EtherNet/IP 实现互锁,如图3所示。只有需要的安全数据才通过路由到达请求的单元,这样减少了系统对带宽的需求。结合本地安全单元的快速响应和安全数据的跨路由传输,用户可以构建大型的、反映迅速的安全应用。这种结构的另外一个好处是具有多网多点传送安全报文的能力。
图 3 网络路由
2. 安全功能的实现
如在图1指出的那样,所有 CIP 安全设备也是基于在标准CIP的功能之下的。扩展了的CIP安全应用层指定使用一种安全验证器对象。这种对象负责管理CIP的安全连接(标准CIP连接由通信对象来管理),像在安全应用对象和连接层的一个接口,如图3所示。安全验证器使用下节描述方法确保安全数据传送的完整性。
图 4 安全验证器之间的关系
安全验证器对象执行的功能为:
• 使用一个客户机验证器产生安全数据和协调时间来生成一个安全应用;
• 客户机使用一个连接数据生成器传输数据和一个连接接收器接收协调时间报文;
• 接收安全的应用使用一个服务器验证器接收和检查数据;
• 服务器使用一个连接接收器接收数据和一个连接生成器发送协调时间报文。
连接生成器和接收器没有安全信息包的概念,所以不执行安全功能。而保证安全数据传输和检查高完整性的责任,完全依仗安全验证器。
点通
