談基于無線的功能安全應用

前言：尋找寫作靈感？中文期刊網用心挑選的談基于無線的功能安全應用，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

【摘要】采用黑色通道的方式實現功能安全通信已經在IEC61784-3中進行了詳細規定，而在安全通信過程中采用無線通信協議的做法仍然較少，本文對目前幾種典型的無線安全應用解決方案進行了探討，并嘗試給出無線安全應用的建議。

【關鍵詞】工業無線;功能安全

引言

在功能安全領域，通信過程的安全性是依照IEC61783-3來規范，這個標準和其他功能安全相關標準的關系如圖1所示，圖中黃色的框是功能安全相關的標準，包括基礎標準IEC61508，應用標準IEC62061、ISO13849等和產品標準IEC61131-6等三個層級；藍色框表示現場總線相關的標準，包括基礎的現場總線規范、安裝導則、電氣安全要求等。在該標準中采用黑色通道和安全層的思路來滿足要求的安全通信能力，基于此思路已經形成了典型的功能安全通信行規，包括（FOUNDATION™Fieldbus）功能安全行規、（PROFIBUS™和PROFINET™）功能安全行規Profisafe、EPA功能安全行規等。由于黑色通道的特性，對于通信過程中黑色通道部分沒有特殊的安全要求，理論上可以采用任意的方式實現通信的傳輸，無論是有線還是無線。傳統上無論是現場設備到控制器還是控制器之間的安全通信一般采用有線的方式傳輸，然而隨著無線在工業場景的深入應用，無線也可能存在于安全通信的回路之中。因此本文對當前的工業界將無線應用于安全回路的典型實踐進行介紹，以對以后的無線安全應用甚至5G等蜂窩移動網絡的應用給出參考。

1安全層的基本思想

從功能安全的角度，實現安全通信的方式有兩種，白色通道和黑色通道，如圖2所示。白色通道的含義是實現通信過程的兩端包括兩端內部的所有接口、轉換設備和軟件都需要符合IEC61508；黑色通道的含義是僅僅兩端的設備（安全數據發送和安全數據最終接收）符合IEC61508，中間的通信過程符合IEC61784-3，中間的軟硬件不需要符合IEC61508要求。目前世界工業領域主流的，包括IEC61794-3規定的都是采用黑色通道的方式來實現，采用黑色通道實現安全通信的基本理念如圖3所示。從圖3可以看出實現安全通信的關鍵是設計安全通信層，對安全數據按照標準要求進行封裝。至于實現通信過程的其他層：物理、數據鏈路、會話、傳輸、應用等可以根據具體的應用自行設計，包括通信過程中的所有中間管道，網關、路由器、無線等都可以，這些設備的軟硬件沒有任何額外的要求。因此，如何設計好安全通信層是一個關鍵，目前工業領域大部分的安全協議都是獨立安全通信信道，比較特殊的是西門子的Profisafe，它是構建在西門子的CP3協議族基礎上，在同一個物理信道內可以分時的傳輸安全和非安全數據，安全數據會經過安全通信層進行打包，普通數據不經過安全通信層。

2工業無線應用的簡介

無線早期的概念是“無線傳感器網絡”（WirelessSensorNetworks(WSNs)）。WSNs最早源于上世紀80年代美國軍方的分布式傳感器網絡項目（DistributedSensorNetworks），在90年代末期傳感器從尺寸和成本大幅度降低以及網絡技術的飛速發展后得到實質進展，并吸引了IEEE等科研機構的注意。IEEE研究并發布了低速率無線個人局域網標準IEEE802.15.4。該標準對物理層和訪問控制層進行規定，沒有規定更高層的要求。在2004年發布的ZigBee規范中就采用了IEEE802.15.4的底層協議，并在其之上新定義了網絡層和應用層。在2006年IEEE802.15.4進行了更新，主要是增添了信息安全防護的特征。由于ZigBee本身是為了家庭自動化或消費電子使用，其對于同頻率網絡的敏感性和容易遭受其他電子設備影響的特性決定了其無法應用于工業領域，雖然其后續又發布了ZigBeePRO，但始終無法得到工業領域的認可。在2012年4月，IEEE802.15.4e作為IEEE802.15.4規范的補充得以發布，其提供了附加的MAC行為和幀格式，從而讓IEEE802.15.4設備能夠支持工業應用。無線作為民用產品已經得到了非常普遍的應用，但并不是所有的無線協議都適用于工業應用，因此專用的工業無線協議應運而生。在2007年HART基金會發布的HART現場通信協議規范中除了定義有線的HART之外，還定義了到現場設備的無線接口。WirelessHART成為過程工業領域最早的無線應用規范，并形成國際標準IEC62591Industrialnetworks-Wirelesscommunicationnetworkandcommunicationprofiles-WirelessHART。WirelessHART也是基于IEEEStd.802.15.4的物理層和MAC，并對MAC進行了適當修改以允許調頻。WirelessHART始終運行在2.4G的頻段，從而確保全球通行。具有調頻能力的TDMA采用信道訪問方法，構成全網狀網絡從而確保WirelessHART可以實現自配置和自愈。同期，美國的國際自動化協會（ISA）也制定了相應的工業自動化無線標準ISA100.11a，以用于在非關鍵的監視和控制應用中提供可靠的無線通信服務。ISA100.11a具有完全的確定性，并同時采用TDMA和CSMA-CA機制來避免沖突，在通道多樣性上面采用了Mesh技術。另一項工業無線標準即是由中科院沈自所牽頭，機械工業儀器儀表綜合技術經濟研究所等數10家單位參與的WIA-PA，并在2009年成為國際標準IEC62601。就像IEC61158中的描述一樣，工業通信協議一般不會包括完整的OSI七層結構，典型的無線傳感網絡主要包括如圖5中的幾個層次，其中傳輸層在某些網絡中也沒有定義，這些層的某些功能如果需要將會融入到上層或下層模型中。

3現有的實現安全無線通信的示例

（1）無線傳輸信道+已有安全通信協議無線既然可以在安全通信中使用，那么在現有的相關標準中是如何規定的呢？Profisafe行規GB/T20830中對于無線傳輸通道有專門的章節規定，需要注意的是Profisafe標準明確的表示允許使用無線通信，并詳細給出了使用WLAN或Bluetooth作為載體的細節，這些協議需要有具有足夠的健壯性和信息安全能力來通過無線連接提供功能安全服務?？梢灾С诌@種觀點的證據是Profibus要求的位錯誤率是10-2，而無線可以輕松的實現這個位錯誤率，因此Profisafe規范中也提到無線的主要挑戰不在于實現安全，而在于可用性方面，具體要求如下：1）安全性：FSCP假定的位錯誤率為10E-2，如果無線低于該位錯誤率，那么無需額外的安全評估；2）可用性：由于反射和干擾，無線可能極大的增加誤動作的可能性，誤動作率過高雖然不違背安全標準，但可能會給客戶帶來非常不好的應用體驗；3）要考慮無線的應用是固定的還是移動的，對于靜止的安全應用沒有特別的約束和評估，對于移動的應用要確保最終執行元件的安全功能無誤。4）信息安全：可能存在的問題包括故意更改F-設備參數和安全程序，攻擊循環通信。因此如果按照黑色通道的方式，而重點需要考慮的是：1）安全層的設計，見上節（例如，可以直接采用Profisafe作為安全層協議）；2）無線通信過程本身的通信架構、響應應答機制等的考慮，保證能夠在規定的PST內完成過程響應或進入安全狀態。但這種設計并不可以按照理想主義進行，還需要綜合考慮產品本身的性能、能耗等因素，例如非常快速的交互應答的確可以提高安全性，但是耗能過快，從應用的角度變得非常不現實。在沒有氣體的時候，控制器每間隔20s提出一次請求，適當的請求頻率能夠保證功耗較低，而設備又能夠快速的響應，因為期間如果一旦出現氣體就可以快速響應。這也是GasSECURE所定義的一種“SafeWireless”。GasSECURE利用這種方式實現了安全層黑通道Profisafe+ISA100.11a來滿足SIL2的目標.此外，西門子還建有基于Profisafe和WLAN802.11和藍牙的安全無線解決方案，WLAN802.11和藍牙的安全基礎已經經過TUV的認證。該無線解決方案可以用在移動類物體上（主要是離散制造工業）實現高效、安全的通信。系統架構示例如圖6所示。利用AdaptiveFrequencyHopping(AFH)和AutomaticRepeatRequest(ARQ)機制，可以多達79個傳輸通道，1600次/秒的數據切換速度，藍牙和WLAN可以協同共存，當一個信道受到干擾后可以切換到另一個信道重發。WLAN和藍牙可以在不同的頻段內共存。在流程工業，這種應用更加的廣泛，例如霍尼韋爾功能安全的無線氣體儀表。氣體檢測的無線應用需求在于，氣體傳感器需要分散布局在工廠的不同位置，而且易燃氣體還有防爆的要求，有線非常不方便，要求的時間延遲一般小于3s（這個延遲是從傳感、信號處理到信息傳輸的延遲），為了確保達到要求的安全能力，所有配置都是冗余的。該產品的SIL認證，在無線部分是采用了ISA100a的無線技術，結合Profisafe實現了SIL2級別。（2）具備安全層特征的無線傳輸信道此外，還有一種方式就是無線不再僅僅是黑色通道的一個傳輸載體，而是協議本身已經構建安全通信層的特征，并且滿足IEC61784-3中關于特定SIL的殘余差錯率要求。WirelessHART開發了功能安全的無線應用，就采用類似的思路來實現SIL2。該方法通過在前端交換機部署特定的代理模塊來實現，它可以接收無線數據并轉化成控制器可用的內容，并且對數據完整性和時效性進行驗證，從控制器看來，代理模塊有些類似于一個終端設備。這種方式與安全層黑通道的方式存在一定差異，好處是采用這種方式的話可以不用重新設計WirelessHART（例如增加安全層），需要的僅是在交換機內部署一個經過認證的代理模塊，或者說需要保證交換機按照SIL的要求執行開發，包括能夠實現對無線通信過程所有可能的錯誤（位錯誤、包丟失、重發、偽裝等）進行驗證和報告。兩種方法的比較如圖10。當然，在某些應用中也可以采用WirelessHART與Profisafe相結合的方式。兩種方法各有優劣，哪種方式或者同時能夠被工業界所接受還沒有定論。

4結論

無線在工業上的應用依然存在很多限制和問題，例如：某些應用采用非常短和快速的交互周期，這樣對于帶寬和資源的要求將可能大大增加，無線的投入是否變得值當也就需要具體考慮；為了盡可能的實現安全，無線可能會導致大量的報警和故障安全動作，從而增加誤停車的可能性；無線的位錯誤率可能較高；無線更容易受到信息安全攻擊。1）從應用需求的角度，安全相關的應用雖然對于可靠性和確定性等有更好的要求，但很多安全關斷功能對于時延和抖動等通信性能的要求反而沒有基本控制嚴格，這也給無線提供了更好的應用契機。2）從標準的角度，IEC61784-3等安全現場總線標準并沒有排斥無線，因此更多的需要從應用來證明無線安全應用的合理性。3）從可用性的角度，5G在安全回路的應用還需要考慮可能會導致較多的誤動作，如果誤動作率太高，即使達到了SIL3的能力也難以有任何的實際應用前景，但可以采用冗余等方式來提高可用性。4）從可實現的安全能力的角度，目前看到的無線儀表的安全認證最高只到SIL2的應用，SIL3的應用還沒有看到具體的案例。

作者：熊文澤 史學玲 單位：機械工業儀器儀表綜合技術經濟研究所