谈基于无线的功能安全应用

2022-09-21 16:45:45 来源:写作指导

【摘要】采用黑色通道的方式实现功能安全通信已经在IEC61784-3中进行了详细规定,而在安全通信过程中采用无线通信协议的做法仍然较少,本文对目前几种典型的无线安全应用解决方案进行了探讨,并尝试给出无线安全应用的建议。

【关键词】工业无线;功能安全

引言

在功能安全领域,通信过程的安全性是依照IEC61783-3来规范,这个标准和其他功能安全相关标准的关系如图1所示,图中黄色的框是功能安全相关的标准,包括基础标准IEC61508,应用标准IEC62061、ISO13849等和产品标准IEC61131-6等三个层级;蓝色框表示现场总线相关的标准,包括基础的现场总线规范、安装导则、电气安全要求等。在该标准中采用黑色通道和安全层的思路来满足要求的安全通信能力,基于此思路已经形成了典型的功能安全通信行规,包括(FOUNDATION™Fieldbus)功能安全行规、(PROFIBUS™和PROFINET™)功能安全行规Profisafe、EPA功能安全行规等。由于黑色通道的特性,对于通信过程中黑色通道部分没有特殊的安全要求,理论上可以采用任意的方式实现通信的传输,无论是有线还是无线。传统上无论是现场设备到控制器还是控制器之间的安全通信一般采用有线的方式传输,然而随着无线在工业场景的深入应用,无线也可能存在于安全通信的回路之中。因此本文对当前的工业界将无线应用于安全回路的典型实践进行介绍,以对以后的无线安全应用甚至5G等蜂窝移动网络的应用给出参考。

1安全层的基本思想

从功能安全的角度,实现安全通信的方式有两种,白色通道和黑色通道,如图2所示。白色通道的含义是实现通信过程的两端包括两端内部的所有接口、转换设备和软件都需要符合IEC61508;黑色通道的含义是仅仅两端的设备(安全数据发送和安全数据最终接收)符合IEC61508,中间的通信过程符合IEC61784-3,中间的软硬件不需要符合IEC61508要求。目前世界工业领域主流的,包括IEC61794-3规定的都是采用黑色通道的方式来实现,采用黑色通道实现安全通信的基本理念如图3所示。从图3可以看出实现安全通信的关键是设计安全通信层,对安全数据按照标准要求进行封装。至于实现通信过程的其他层:物理、数据链路、会话、传输、应用等可以根据具体的应用自行设计,包括通信过程中的所有中间管道,网关、路由器、无线等都可以,这些设备的软硬件没有任何额外的要求。因此,如何设计好安全通信层是一个关键,目前工业领域大部分的安全协议都是独立安全通信信道,比较特殊的是西门子的Profisafe,它是构建在西门子的CP3协议族基础上,在同一个物理信道内可以分时的传输安全和非安全数据,安全数据会经过安全通信层进行打包,普通数据不经过安全通信层。

2工业无线应用的简介

无线早期的概念是“无线传感器网络”(WirelessSensorNetworks(WSNs))。WSNs最早源于上世纪80年代美国军方的分布式传感器网络项目(DistributedSensorNetworks),在90年代末期传感器从尺寸和成本大幅度降低以及网络技术的飞速发展后得到实质进展,并吸引了IEEE等科研机构的注意。IEEE研究并了低速率无线个人局域网标准IEEE802.15.4。该标准对物理层和访问控制层进行规定,没有规定更高层的要求。在2004年的ZigBee规范中就采用了IEEE802.15.4的底层协议,并在其之上新定义了网络层和应用层。在2006年IEEE802.15.4进行了更新,主要是增添了信息安全防护的特征。由于ZigBee本身是为了家庭自动化或消费电子使用,其对于同频率网络的敏感性和容易遭受其他电子设备影响的特性决定了其无法应用于工业领域,虽然其后续又了ZigBeePRO,但始终无法得到工业领域的认可。在2012年4月,IEEE802.15.4e作为IEEE802.15.4规范的补充得以,其提供了附加的MAC行为和帧格式,从而让IEEE802.15.4设备能够支持工业应用。无线作为民用产品已经得到了非常普遍的应用,但并不是所有的无线协议都适用于工业应用,因此专用的工业无线协议应运而生。在2007年HART基金会的HART现场通信协议规范中除了定义有线的HART之外,还定义了到现场设备的无线接口。WirelessHART成为过程工业领域最早的无线应用规范,并形成国际标准IEC62591Industrialnetworks-Wirelesscommunicationnetworkandcommunicationprofiles-WirelessHART。WirelessHART也是基于IEEEStd.802.15.4的物理层和MAC,并对MAC进行了适当修改以允许调频。WirelessHART始终运行在2.4G的频段,从而确保全球通行。具有调频能力的TDMA采用信道访问方法,构成全网状网络从而确保WirelessHART可以实现自配置和自愈。同期,美国的国际自动化协会(ISA)也制定了相应的工业自动化无线标准ISA100.11a,以用于在非关键的监视和控制应用中提供可靠的无线通信服务。ISA100.11a具有完全的确定性,并同时采用TDMA和CSMA-CA机制来避免冲突,在通道多样性上面采用了Mesh技术。另一项工业无线标准即是由中科院沈自所牵头,机械工业仪器仪表综合技术经济研究所等数10家单位参与的WIA-PA,并在2009年成为国际标准IEC62601。就像IEC61158中的描述一样,工业通信协议一般不会包括完整的OSI七层结构,典型的无线传感网络主要包括如图5中的几个层次,其中传输层在某些网络中也没有定义,这些层的某些功能如果需要将会融入到上层或下层模型中。

3现有的实现安全无线通信的示例

(1)无线传输信道+已有安全通信协议无线既然可以在安全通信中使用,那么在现有的相关标准中是如何规定的呢?Profisafe行规GB/T20830中对于无线传输通道有专门的章节规定,需要注意的是Profisafe标准明确的表示允许使用无线通信,并详细给出了使用WLAN或Bluetooth作为载体的细节,这些协议需要有具有足够的健壮性和信息安全能力来通过无线连接提供功能安全服务。可以支持这种观点的证据是Profibus要求的位错误率是10-2,而无线可以轻松的实现这个位错误率,因此Profisafe规范中也提到无线的主要挑战不在于实现安全,而在于可用性方面,具体要求如下:1)安全性:FSCP假定的位错误率为10E-2,如果无线低于该位错误率,那么无需额外的安全评估;2)可用性:由于反射和干扰,无线可能极大的增加误动作的可能性,误动作率过高虽然不违背安全标准,但可能会给客户带来非常不好的应用体验;3)要考虑无线的应用是固定的还是移动的,对于静止的安全应用没有特别的约束和评估,对于移动的应用要确保最终执行元件的安全功能无误。4)信息安全:可能存在的问题包括故意更改F-设备参数和安全程序,攻击循环通信。因此如果按照黑色通道的方式,而重点需要考虑的是:1)安全层的设计,见上节(例如,可以直接采用Profisafe作为安全层协议);2)无线通信过程本身的通信架构、响应应答机制等的考虑,保证能够在规定的PST内完成过程响应或进入安全状态。但这种设计并不可以按照理想主义进行,还需要综合考虑产品本身的性能、能耗等因素,例如非常快速的交互应答的确可以提高安全性,但是耗能过快,从应用的角度变得非常不现实。在没有气体的时候,控制器每间隔20s提出一次请求,适当的请求频率能够保证功耗较低,而设备又能够快速的响应,因为期间如果一旦出现气体就可以快速响应。这也是GasSECURE所定义的一种“SafeWireless”。GasSECURE利用这种方式实现了安全层黑通道Profisafe+ISA100.11a来满足SIL2的目标.此外,西门子还建有基于Profisafe和WLAN802.11和蓝牙的安全无线解决方案,WLAN802.11和蓝牙的安全基础已经经过TUV的认证。该无线解决方案可以用在移动类物体上(主要是离散制造工业)实现高效、安全的通信。系统架构示例如图6所示。利用AdaptiveFrequencyHopping(AFH)和AutomaticRepeatRequest(ARQ)机制,可以多达79个传输通道,1600次/秒的数据切换速度,蓝牙和WLAN可以协同共存,当一个信道受到干扰后可以切换到另一个信道重发。WLAN和蓝牙可以在不同的频段内共存。在流程工业,这种应用更加的广泛,例如霍尼韦尔功能安全的无线气体仪表。气体检测的无线应用需求在于,气体传感器需要分散布局在工厂的不同位置,而且易燃气体还有防爆的要求,有线非常不方便,要求的时间延迟一般小于3s(这个延迟是从传感、信号处理到信息传输的延迟),为了确保达到要求的安全能力,所有配置都是冗余的。该产品的SIL认证,在无线部分是采用了ISA100a的无线技术,结合Profisafe实现了SIL2级别。(2)具备安全层特征的无线传输信道此外,还有一种方式就是无线不再仅仅是黑色通道的一个传输载体,而是协议本身已经构建安全通信层的特征,并且满足IEC61784-3中关于特定SIL的残余差错率要求。WirelessHART开发了功能安全的无线应用,就采用类似的思路来实现SIL2。该方法通过在前端交换机部署特定的模块来实现,它可以接收无线数据并转化成控制器可用的内容,并且对数据完整性和时效性进行验证,从控制器看来,模块有些类似于一个终端设备。这种方式与安全层黑通道的方式存在一定差异,好处是采用这种方式的话可以不用重新设计WirelessHART(例如增加安全层),需要的仅是在交换机内部署一个经过认证的模块,或者说需要保证交换机按照SIL的要求执行开发,包括能够实现对无线通信过程所有可能的错误(位错误、包丢失、重发、伪装等)进行验证和报告。两种方法的比较如图10。当然,在某些应用中也可以采用WirelessHART与Profisafe相结合的方式。两种方法各有优劣,哪种方式或者同时能够被工业界所接受还没有定论。

4结论

无线在工业上的应用依然存在很多限制和问题,例如:某些应用采用非常短和快速的交互周期,这样对于带宽和资源的要求将可能大大增加,无线的投入是否变得值当也就需要具体考虑;为了尽可能的实现安全,无线可能会导致大量的报警和故障安全动作,从而增加误停车的可能性;无线的位错误率可能较高;无线更容易受到信息安全攻击。1)从应用需求的角度,安全相关的应用虽然对于可靠性和确定性等有更好的要求,但很多安全关断功能对于时延和抖动等通信性能的要求反而没有基本控制严格,这也给无线提供了更好的应用契机。2)从标准的角度,IEC61784-3等安全现场总线标准并没有排斥无线,因此更多的需要从应用来证明无线安全应用的合理性。3)从可用性的角度,5G在安全回路的应用还需要考虑可能会导致较多的误动作,如果误动作率太高,即使达到了SIL3的能力也难以有任何的实际应用前景,但可以采用冗余等方式来提高可用性。4)从可实现的安全能力的角度,目前看到的无线仪表的安全认证最高只到SIL2的应用,SIL3的应用还没有看到具体的案例。

作者:熊文泽 史学玲 单位:机械工业仪器仪表综合技术经济研究所