言归正传,在前期的文章中,我们介绍了功能安全通信的基本框架,其中以工业应用的IEC 61784-3为对象进行了介绍,后续笔者也将尝试将轨道交通、核电、汽车和航空航天等行业的安全关键通信要求进行介绍;在前期的文章中我们提到了安全通信的黑色通道概念,直白的说就是对于安全通信来说是一种端到端的安全保障,对其具体实现通信过程的载体也就是黑色通道内并不考虑,或者说按照IEC 61784-3的要求对其做整体性的假设,例如假设其中所有设备的失效率不会超过10e-3,以及位错误率不超过0.01等。那么对于实际应用来说,我们面临的一个基本问题就是当使用的传输介质是无线时,这些假设或者按照IEC 61784-3的思路是否仍然有效,对于无线本身是否有任何新的要求,本文将就这部分内容进行展开介绍。
1. 无线安全通信
1.1 工业无线应用概述
工业生产过程现场设备与控制系统之间通信过程大致经历了三个阶段:设备与设备之间的硬接线、现场总线到无线,如下图所示。
工业通信的简要发展历程
对于工业生产过程来说,提到无线的安全应用,一般首先会提到的概念是“无线传感器网络”(Wireless sensor networks (WSNs))。WSNs最早源于上世纪80年代美国军方的分布式传感器网络项目(Distributed Sensor Networks),并在90年代末期传感器从尺寸和成本大幅度降低,以及网络技术的飞速发展后得到实质进展,并吸引了IEEE等科研机构的注意,IEEE研究并发布了低速率无线个人局域网标准IEEE 802.15.4。该标准对物理层和访问控制层进行规定,没有规定更高层的要求,在2004年发布的ZigBee规范中就采用了IEEE 802.15.4的底层协议,并在其之上新定义了网络层和应用层,在2006年IEEE 802.15.4进行了更新,主要是增添了信息安全防护的特征。由于ZigBee本身是为了家庭自动化或消费电子使用,其对于同频率网络的敏感性和容易遭受其他电子设备影响的特性决定了其无法应用于工业领域,虽然其后续又发布了ZigBee PRO,但始终无法得到工业领域的认可。
在2007年HART基金会发布的HART现场通信协议规范中除了定义有线的HART之外,还定义了到现场设备的无线接口。WirelessHART成为过程工业领域最早的无线应用规范,并形成国际标准IEC 62591:2016 Industrial networks - Wireless communication network and communication profiles - WirelessHART。
注:HART是工业领域现场设备(现场设备的含义是直接处于工艺生产现场的传感、驱动或执行设备,如传感器、变送器等)应用非常广泛的一种协议,它利用原本的硬件模拟通道,通过叠加HART信号的方式,保证在不改变或新增现场布线的情况下实现现场设备向控制器传送数字信号的目的,有了这些信息可以将现场设备的状态、报警等信息更好的传输出去。
同期,美国的国际自动化协议(ISA)也制定了相应的工业自动化无线标准ISA100.11a,以用于在非关键的监视和控制应用中提供可靠的无线通信服务。ISA100.11a具有完全的确定性,并同时采用TDMA和CSMA-CA机制来避免冲突,在通道多样性上面采用了Mesh技术。
另一项工业无线标准即是由中科院沈自所牵头,仪综所等数10家单位参与的WIA-PA,并在2009年成为国际标准IEC62601。
ISA100.11a和WirelessHART都具备相应的信息安全防护能力,采用的策略也都是中心化的信息安全集中管理,即网络上有一个专门的信息安全管理器,但这样存在的问题是一旦该管理器被移除整个网络的信息安全能力都将丧失,因此有必要采取适当的冗余措施,由于对于无线应用的信息安全措施已经较多的标准或规范,本文不再展开。对于工业无线的safety应用将在1.3.2中进行讨论。
虽然这些无线标准已经出台,某些符合标准的产品也已经在市场上发布,例如艾默生研发的工业WirelessHART变送器,但无线应用在工业现场的应用仍然非常有限,在一份行业调研报告中,工程技术人员对于无线传输的可靠性仍然存在较大疑虑。
在对无线应用的担心中,数据可靠性的不确定占据了主导地位
1.2 工业无线的常规应用
工业无线的安全应用最核心的要点就是通信过程的可靠性和时效性,必须有相应的机制保证安全数据包在规定的时间期限内到达。目前,无论是WirelessHART还是ISA100.11a都没有正式给出满足IEC61508中SIL目标的安全通信规程,但是可以与目前有线的安全通信协议结合,例如与profisafe,在业界已经有通过在ISA100.11a上架构profisafe实现SIL2点对点通信的成功案例(而由于HART对于应用层的相关限定,导致其当前的协议规范无法与profisafe结合)。
因此需要制定专用的标准来进行对无线安全进行规范。欧洲过程工业用户组织NAMUR(核心成员包括巴斯夫、拜耳等)发布了NAMUR NE 124“Wireless Automation Requirements"”,其中对于无线的应用分为了三大类;类似的,ISA基于ISA100.11a的框架将无线应用分成了六大类,具体的分类及相关关系如下图所示:
不同规范中对于无线应用关键度的划分
对于所有应用类型的通用要求包括:
ISM通用频宽,2.4GHz;
与同频率的其他无线通信,例如WIFI,协同工作无干扰;
标准化和通用的开发协议;
免于受到信息安全攻击的影响;
网络性能的定量化描述:延迟(Latency)、包错误率(PER)、包接收率(PRR)等;
对于不同的应用,为满足实际生产运行需要,以上通用要求的侧重点不同,例如对于监视应用(class C)应具有较高的PRR,对于控制应用应具有低延时等特点;对于安全应用就是可靠性和时效性。
为保证无线能够有效率的在现场运行,还应考虑到相关的运行效率因素:
电池寿命;
冗余应用;
严酷和危险环境下的适应性;
1.3 工业无线的安全应用
1.3.1 工业无线的应用背景
无线作为民用产品已经得到了非常普遍的应用,但并是所有的无线协议都适用于工业应用,目前已经存在的无线协议包括:
传统通用无线的频谱分布
无线之所以无法在工业的底层控制领域得到广泛应用的一个很大原因在于大多数无线协议都具有自行管理适应的特性,包括自动配置新的无线节点成员,自动路由传输路径等,这就都是无法预期某个关键参数能够在什么样的时间内达到接收设备,因此在工业应用中需要用确定性的无线通信系统取代这种灵活配置的自管理系统。典型的工业无线应用场景包括:
1)单方向的向单台设备通信,例如操作员利用手持器控制吊车;
单向单点通信示例
2)单方向的向多台设备通信,例如传感器同时将信号发给几台设备;
单向多点通信示例
3)利用主节点同时多设备之间通信;
无线网络示例
1.3.2 工业无线的安全应用
在之前的安全通信文章中已经提及为满足相应的SIL,通信过程的残余错误率应小于要求PFD或PFH的1%,对于无线通信除了从量化目标上需要满足这个要求之外,还需要满足安全响应时间,安全状态的实现等一系列目标,这些也与有线信道的通信过程存在相当的不同。
过程安全时间PST
PST是IEC61511中明确定义的一个参数,它与实际生产现场的情况密切相关(而非安全设备相关),它的含义是指从生产过程中发生失效开始到生产现场真正出现事故之前的最大时间。例如,某个生产过程中有一个储罐,里面存放的是高压的气体,正常的排放管道堵塞了(发生失效),导致储罐内的压力不断增加,但压力增加有一个过程,在一段时间内储罐的压力虽然超高但不会出现事故,只有当达到压力极限时才会发生爆炸事故,那么过程安全时间就是当这段压力不断升到到发生爆炸之前的时间。
安全功能响应时间SFRT
对于安全系统来说,安全系统从检测到故障到执行安全动作的时间应小于过程安全时间,通信过程(无论有线还是无线)作为执行安全系统的一部分,因此需要对通信的延迟时间进行限定。而安全系统完整执行安全动作的时间就是安全功能响应时间,同样,通信延迟会对安全功能响应时间产生贡献。
对于无线通信来说,其不能够在要求时响应执行安全通信并不是简单的意味着无线通信断掉或通信传输内容的错误,有可能是其执行的时间或因为重传等延迟的时间超过了PST。实际某个具体应用的无线通信有效性取决了多重因素,包括包的错误率(PER)、信道的衰落情况和上行链路的传输频率等。对于良好设计的安全无线通信,应至少保证PER要低于1%(考虑信道衰落和外界干扰的情况)。
整个安全控制回路时间延迟示例
相对于有线通信,无线通信有更多的错误可能性:
由于RF信号的强度不够导致包丢失;
由于同频率的其他无线信号对包造成干扰;
某个设备可能刚好处于静止衰落的区域;
物理障碍可能会阻值两个无线设备之间的信号传输;
总的来说对于无线通信满足安全要求如果按照白通道的方式,那么需要详细分析里面的可靠性属性,以从PFD或PFH角度证明确实满足SIL。下面以一个有线和无线的安全可用性分析为例进行量化要求说明。
有线系统如图中左边所示,无线系统如图中右边所示,两个系统都表示了1oo4(四选1)的表决模式。无线通信的电池模块没有在图中画出,电池失效可能导致危险但能够诊断出来。有线系统的可靠性框图如下图所示:
注:Di表示传感器组件,CCF表示传感器共因失效。
无线系统的可靠性框图如下图所示:
其中Di表示传感器组件,Ci表示传感器通信组件,两种之间的失效相对独立,Cij表示传感器通信组件i通过j与AP通信。传感器之间的通信路劲不再考虑其失效情况。
在可靠性框图基础上,就可以对功能安全所要求的PFD等参数进行分析计算,计算的前提是活的各个组件的基础失效率,也就是功能安全所要求的DD和DU失效率。
对于DU失效率主要基于下面的几点考虑:
每个节点在约定的时间内(本系统例如1分钟)都有4个机会能够发送一个数据包(直接的1个,间接的3个);
如果4个数据包都丢失,对于无线系统来说就是一个危险失效(响应时间应在1分钟之内);
考虑数据包之间是相对独立的,即一个数据包的丢失不会影响其他数据包的失效;
基于专家经验,对于特定的数据假定失效概率为常数0.01;
对于通信组件(C)诊断覆盖率假设为85%,因为一般的安全传感器组件的诊断覆盖率为90%以上,所以保守估计通信组件的诊断覆盖率为85%;
基于以上考虑,4个数据包均失效的可能性为10e-8,每个小时有240个包发送,,那么危险失效率是240*10e-8/小时。因此对于通信组件的危险失效率就是2.4e-6/小时,进而
λDU=0.36e-6/小时 λDD=2.04e-6/小时
(具体的PFD计算过程不再详述了)
对于有线的PFD仍然采用传统的计算方法,如果采用相同的参数,那么计算比较结论如下:
PFD有线 = 2.3e-5
PFD无线 = 8.2e-4
结论表明,在相同的参数情况,对于1oo4表决无线的PFD是要大于有线的,也就是说无线的安全性是比有线差的。当然这个结论的得出,是基于上述的假设,而这些假设是否成立还取决于采用的无线设计策略等。
1.3.3 实现要求
如果按照黑色通道的方式,那么上述通信组件相关的失效便不再考虑,而重点需要考虑的是:1)安全层的设计,见上节;2)无线通信过程本身的通信架构、响应应答机制等的考虑,保证能够在规定的PST内完成过程响应或进入安全状态。但这种设计并不可以按照理想主义进行,还需要综合考虑产品本身的性能、能耗等因素,非常快速的交互应答的确可以提高安全性,但是耗能过快,从应用的角度变得非常不现实。还是以气体检测传感器为例,通常整个气体检测的PST是60秒,因此一种可能的设计方式如下:
控制器每间隔20s提出一次请求,适当的请求频率能够保证功耗较低,而设备又能够快速的响应,这也是GasSECURE所定义的一种“SafeWireless”。GasSECURE利用这种方式实现了安全层黑通道(profisafe)+ISA100.11a来满足SIL2的目标。
同样的WirelessHART也开发了功能安全的无线应用,但使用了完全不同的模型来实现SIL2。该方法通过在前端交换机的部署特定的代理模块来实现,它可以接收无线数据并转化成控制器可用的内容,并且对数据完整性和时效性进行验证,从控制器看来,代理模块有些类似于一个终端设备。这种方式与安全层黑通道的方式存在一定差异,好处是采用这种方式的话可以不用重新设计WirelessHART,需要的仅是在交换机内部署一个经过认证的代理模块,或者说需要保证交换机按照SIL的要求执行开发,包括能够实现对无线通信过程所有可能的错误(位错误、包丢失、重发、伪装等)进行验证和报告。两种方法的比较如下图:
两种安全实现的方法比较
两种方法各有优劣,哪种方式或者同时能够被工业界所接受还没有定论。
1.3.3.4 现有厂商实例
西门子建有基于profisafe和WLAN 802.11和蓝牙的安全无线解决方案,WLAN 802.11和蓝牙的安全基础已经经过TUV的认证。该无线解决方案可以用在移动类物体上(主要是离散制造工业)实现高效、安全的通信。系统架构示例如下图所示:
利用adaptive frequency hopping (AFH)和automatic repeat request (ARQ)机制,可以多达79个传输通道,1600次/秒的数据交换速度,蓝牙和WLAN可以协同共存。
菲尼克电气采用safetybridge的方式实现安全模块之间直接的通信,最高可以实现SIL3的安全无线通信,通信过程不需要额外的控制器参与。
1.4小结
在传统的工业生产过程中,对上层通信或通信设备都没有非常强烈的safety要求,因为对于传统的工业生产过程,如果通信的主要目的主要是为了生产执行、商业运行的信息交流,不涉及到人员伤害,那么都是非安全相关的;
传统的工业生产过程中,仅当通信的过程位于底层控制时,如果其传递的数据是安全相关的过程参数,那么该通信过程需要安全通信协议设计,对黑通道的设计来说,关键是安全层的设计,而通信设备(如网关等)仍然非安全相关;
无线安全通信的统一标准还没有在国际上达成共识,目前已有的相关实践做法主要基于有线安全通信的基本理念;
在一些应用领域,如轨道交通、汽车联网、智慧园区等,目前很多纯通信设备和通信数据都不会涉及safety的层面的事情,但是这种情况可能会发送变化,这取决于具体通信的内容到底是什么,例如在地铁站台的看板系统及其通信设备理论上与safety无关,但是如果看板系统需要发布一些应急联动信息和紧急疏散相互关联,可能在未来会被界定为safety相关;
另外,当无线甚至5G向工业延伸之后,某些安全控制可能在未来会利用无线或5G,此时无论从通信机制还是中间的通信设备都需要有safety的考虑。
版权归原作者 安全第一 safetyfirst 所有, 如有侵权,请联系我们删除。