1. 概述

        硬線的安全系統(tǒng)使用安全繼電器相互連接晃逞，提供安全功能箍颗。硬線系統(tǒng)的開發(fā)和維護比較困難，只能滿足多數的基本應用虽才。此外纲愁，這些系統(tǒng)中的設備位置具有嚴格的距離限制。
        因為上述問題寨都，以及造價的考慮诫汇，對使用標準通信網絡實現安全服務有了高度的期盼。開發(fā)安全網絡的關鍵不是建立的網絡不能失敗昼接，而是建立一種機制爽篷，使網絡在失效時能使安全設備轉移到一個已知狀態(tài)。如果用戶知道一旦出現失效慢睡，系統(tǒng)會換轉到什么狀態(tài)逐工，他們就能夠使應用處于安全狀態(tài)。但這意味著需要更多的檢查和冗余編碼信息漂辐。
        所以泪喊，為了增加安全的要求，德國安全總線委員會（German Safety Bus committee）擴展了現有的鐵路標準者吁。這個委員會為安全網絡開發(fā)人員提供了安全網絡的設計指南窘俺，使他們的網絡和安全設備遵從 IEC 61508 的標準。
        基于這些標準复凳，CIP 擴展了高完整性的安全服務瘤泪。結果是一個可伸縮、可路由育八、網絡獨立的安全層降低了對專用安全網關的要求对途。因為所有安全設備使用相同的協(xié)議赦邻，使用相同的介質，使用方法也和標準的網絡是一樣的锉寿。
        CIP 安全是對標準CIP 的一種擴展轻樟，它通過了 TüV 的認證，可用于 IEC 61508 SIL 3 和 EN 954-1 類別 4 的應用泣虚。它在原來的模型中增加了CIP 安全應用層（紅色部分）舟门，見圖1。 增加部分包括了幾個安全相關的對象和安全設備描述坠痒、在DeviceNet上實現CIP安全的細節(jié)锅星，也就是我們熟知的 DeviceNet 安全。

 
圖 1 包括安全的 CIP 通信層

        因為安全應用層擴展不依賴標準CIP的完整性选阔，可以與數據鏈路層家统，數據鏈路通信接口使用同一通道】踩牛可以使用標準的路由器實現安全數據通信曹均。見圖2。路由安全報文是可行的物虑，因為末端設備可以負責數據的完整性纤悉。如果在數據傳送或在中間路由器出現出現錯誤時，末端設備會檢測出故障求泰，并且采取適當行動央渣。

圖 2  安全數據的路由

        這種路由能力使得DeviceNet安全單元能夠快速的響應來自其他單元的互鎖要求信息，比如與骨干網絡渴频，諸如 EtherNet/IP 實現互鎖芽丹，如圖3所示。只有需要的安全數據才通過路由到達請求的單元卜朗，這樣減少了系統(tǒng)對帶寬的需求拔第。結合本地安全單元的快速響應和安全數據的跨路由傳輸，用戶可以構建大型的场钉、反映迅速的安全應用蚊俺。這種結構的另外一個好處是具有多網多點傳送安全報文的能力。

圖 3 網絡路由

2. 安全功能的實現

        如在圖1指出的那樣逛万，所有 CIP 安全設備也是基于在標準CIP的功能之下的泳猬。擴展了的CIP安全應用層指定使用一種安全驗證器對象。這種對象負責管理CIP的安全連接（標準CIP連接由通信對象來管理）宇植，像在安全應用對象和連接層的一個接口得封，如圖3所示。安全驗證器使用下節(jié)描述方法確保安全數據傳送的完整性。

圖 4 安全驗證器之間的關系

安全驗證器對象執(zhí)行的功能為：
        ? 使用一個客戶機驗證器產生安全數據和協(xié)調時間來生成一個安全應用奈揩；
        ? 客戶機使用一個連接數據生成器傳輸數據和一個連接接收器接收協(xié)調時間報文造蒋；
        ? 接收安全的應用使用一個服務器驗證器接收和檢查數據；
        ? 服務器使用一個連接接收器接收數據和一個連接生成器發(fā)送協(xié)調時間報文效蝎。

        連接生成器和接收器沒有安全信息包的概念篱辫，所以不執(zhí)行安全功能。而保證安全數據傳輸和檢查高完整性的責任腰燕，完全依仗安全驗證器彪珍。

[DividePage:NextPage]

3. 確保完整性

      CIP 安全不能防止通信錯誤的發(fā)生；確切地說钟骏，它是通過檢查出錯誤和使設備執(zhí)行適當動作來確保傳輸的完整性讽钻。
       安全驗證器負責檢查這些通信錯誤赵须。必須檢出的九種通信錯誤見表1企鄙，還有相關的五種CIP安全檢測錯誤的方法。

表 1 錯誤檢測方法

3.1. 時間期望值與時間戳

        所有 CIP 安全數據的產生都帶有一個時間戳倘谢，用于安全接收器計算生成數據的年齡。這種檢測方法要優(yōu)于多數傳統(tǒng)的接收定時器咒吐。接收定時器能夠告訴你這次報文和上一次報文間隔的時間，但它們不能準確轉達關于數據的實際年齡信息恬叹。時間戳可以檢測出傳輸、介質訪問/仲裁绽昼、排隊、重試和路由的延時時間硅确。

圖 5 時間戳

       在發(fā)送器和接收器之間使用ping請求和ping應答進行時間協(xié)調，見圖5菱农。建立連接之后，發(fā)送器生成一個ping請求循未，引起接收器一個帶有接收時間的ping應答。發(fā)送器將記錄發(fā)送時間和接收時間的時間差岩哥，并存儲這個偏差值。發(fā)送器將把這個偏差值加上發(fā)送時間做為所有后續(xù)數據發(fā)送的時間戳。當接收器接收一個數據報文秋豌，用時間戳減去它的內部時鐘值，就可以得出數據的年齡劲旗。如果數據年齡小于允許的最大年齡值，數據被認為是可用的常孕；否則，連接將轉到安全狀態(tài)逐会。設備應用得到通報，所以連接的安全狀態(tài)得到了適當地反映献酗。
ping請求和應答序列將周期性地重復，來修正任何發(fā)送器或接收器的時基的漂移罕偎。

3.2. 產品標識 (PID)

        一個產品標識符是對所有由安全連接發(fā)送數據的編碼，以確保每個接收報文到達了正確的接收器颜及。PID 包括了一個電子鑰匙、設備序列號和CIP連接序列號俏站。任何安全設備不小心接收一個不正確的PID將轉到安全狀態(tài)。任何安全設備如果沒有在期望的時間內肄扎，接收到正確的PID報文，也將轉到安全狀態(tài)反浓。這種方法可確保報文在多網應用中的正確路由。

3.3. 安全 CRC (循環(huán)冗余碼)

       所有基于CIP安全的安全傳輸都使用安全CRC校驗峡哥，確保信息傳送的完整性。安全 CRC 校驗是防止傳輸數據可能遭受破壞的基本檢測方法烙昼。它們對每個數據段提供多達四個漢明碼，由于協(xié)議的冗余泛红，對這個傳輸還提供了覆蓋全部的更大的漢明碼。 安全CRC校驗在安全發(fā)送器中產生麻镶，并在安全接收器中檢查桨檬。 中間路由設備不進行安全CRC檢驗端葵。因此众凝，使用端到端的安全CRC校驗新框，個體的數據連接的CRC 不是安全功能的一部分。這就免除了對中間設備的認證需求公般，并且證明了安全協(xié)議與網絡技術無關。安全CRC也提供了一種堅強的保護機制官帘，允許檢測下層數據鏈路的錯誤，諸如位填充或碎片遏佣。
       個體連接CRC與安全無關，但它們仍然起作用状婶。這提供了另一層保護，在本地連接有瞬態(tài)錯誤時膛虫，允許數據重發(fā)，抵御干擾稍刀。

3.4. 冗余和交叉檢查

        數據和帶交叉檢查的CRC冗余提供一個附加的檢查方法，檢測傳送數據可能出現的錯誤赔绒。使用協(xié)議高效的漢明碼，這些方法允許長安全數據包—多至 250 字節(jié)—以高完整性傳輸衡孽。對于兩個字節(jié)或更小的短包，數據冗余是不需要的谨寂；無論如何，冗余CRC是交叉檢查脆携，確保了完整性。

3.5. 安全和標準的不同方法

        CIP 安全協(xié)議僅用于安全設備瞭核，能夠防止標準設備假裝成安全設備院抛。

4. 安全連接

      CIP 安全提供兩種安全連接：
       ? 單播連接绎蒙；
       ? 多播連接。

        一個單播連接您市，見圖6，允許一個安全驗證器客戶機連接到一個安全驗證器服務器茵休，使用兩個鏈路層連接。

圖 6 單播連接

       一個多播連接榕莺，見圖7，允許連接多達15個安全驗證服務器钉鸯，接收來自安全驗證器客戶機的安全數據。當第一個安全驗證服務器與一個安全驗證客戶機建立連接時唠雕， 建立了一對鏈路層連接，一個用于數據與時間修正岩睁，一個用于時間協(xié)調钞脂。每個新安全驗證服務器使用已有時間與時間修正連接湖生，并建立一個與安全驗證客戶機的新時間協(xié)調。

圖 7 多播連接

       為了優(yōu)化在 DeviceNet 上的吞吐能力澳敞，每個多播連接使用三個數據連接，見圖8宴宠。數據與時間修正報文使用分開的連接發(fā)送。這樣可以使單一 CAN 幀的短報文在DeviceNet上傳輸仲蔼，減少使用帶寬，因此時間修正和時間協(xié)調報文可在很短的周期里傳送些搅。
       多播報文的傳送是通過路由處理的赛邢，路由器把來自DeviceNet 數據與時間修正報文合并起來，把到達DeviceNet 的報文分開發(fā)送剥悟。因為安全報文內容是不變化的，路由器不提供安全功能区岗。

圖 8 在 DeviceNet上的多播連接

[DividePage:NextPage]

5. 報文包段

     CIP 安全有四種報文段：
      ? 數據；
      ? 時間戳慈缔；
      ? 時間修正；
      ? 時間協(xié)調种玛。

      這些格式的描述超過了本文章的范圍。故在此不予討論赂韵。

6. 配置

      在安全設備用于一個安全系統(tǒng)之前，它們必須事先配置肄满，建立連接。配置過程需要一個配置工具把配置數據傳送至安全設備拭兢。有兩種配置的方法：
      ? 配置工具直接到設備，或者
      ? 提供一個中間設備讯翎。

      在工具至設備的配置情況，見圖9，配置工具直接向設備寫配置信息封鹦。
      在中間設備配置的情況，工具首先寫至一個發(fā)生器晾游，然后發(fā)生器（1）使用發(fā)生器至對象下載（3）或者使用安全打開服務（Safety_Open）（4）。安全打開服務（4）是唯一用于配置設備的一種安全連接丽信。

圖 9 配置傳送

7. 連接建立

      CIP 提供一種連接建立機制，使用一個向前打開（Forward_Open）服務物忠，允許在本地或者跨多網通過路由器建立生產者至消費者連接狡忙，對向前打開的一個擴展，稱為安全打開服務（Safety_Open）址芯，可以為安全創(chuàng)建相同的多網絡連接灾茁。

      有兩種類型的安全打開請求：
      ? 類型 1：帶有配置
      ? 類型 2：沒有配置

      使用類型 1 的安全打開請求，配置和連接的同時北专，允許使用簡單和相對小的配置數據實現設備的快速配置旬陡。
       使用類型 2 安全打開請求拓颓，安全設備首先需要配置，然后建立一個安全連接驶睦。這種配置和連接的分開允許設備具有比較大而且復雜的配置數據。
      兩種情況下啥繁，安全打開請求建立所有以下鏈路層的連接
      –跨越本地網絡摊矮，以及所有中間網絡和路由器头熏。

8. 配置執(zhí)行

      CIP 安全提供下列保護方法確保配置的完整性：
      ? 安全網絡號；
      ? 密碼保護影偶；
      ? 配置所有者转挽；
      ? 配置鎖定。

8.1. 安全網絡號

      安全網絡號提供一個在安全系統(tǒng)的每個網絡中届审，唯一的網絡識別符。安全網絡號噪旭，結合本地設備地址，使得在安全系統(tǒng)的任何設備都有唯一的地址恃楔。

8.2. 密碼保護

      所有安全設備都支持可選密碼的使用。密碼機制提供了附加的保護方法菩擦，沒有正確的密碼就禁止了對設備的重新配置。

8.3. 配置所有者

      可以指定和強迫應用一個 CIP 安全設備的所有者搅窿。每個安全設備可以指定，僅用選定的發(fā)生器才能配置男应，或者配置工具才能完成配置娱仔。

8.4. 配置鎖定

      配置鎖定為用戶提供一種機制开仰，確保所有設備在用于一個安全應用之前，都通過驗證和測試众弓。

9. 安全設備

      在一個安全設備中的相關對象見圖10。 注意 CIP 安全是對 CIP 對象模型的擴展脚乡，帶有附加的安全 I/O ，安全驗證器和安全監(jiān)督對象奶稠。

圖 10 安全設備對象

10. 安全監(jiān)督器

       安全監(jiān)督對象為安全設備提供一個公共配置接口恃打。安全監(jiān)督對象集中和調整應用對象狀態(tài)行為和相關狀態(tài)信息、例外狀態(tài)指示（報警和警告）市缠、定義一個屬于安全設備指定對象的行為模型。
.
11. CIP 安全總結

       CIP 安全是一種可伸縮羔辉、可路由、網絡獨立的安全協(xié)議睁衰，是基于CIP體系結構的擴展。這個概念可以用于從設備層網絡如 DeviceNet 到高層網絡如 EtherNet/IP 的方案中勋酿，CIP 的網絡獨立性允許安全連接的多網絡路由。多網絡路由和多播報文功能為用戶創(chuàng)建本地單元的快速響應和遠程單元的互連聋亡，建立了堅實的基礎，滿足了今天安全應用的需要。CIP 安全的設計使得擴展未來的網絡技術成為可能漂佩。

聲明：本網站所收集的部分公開資料來源于互聯網，轉載的目的在于傳遞更多信息及用于網絡分享投蝉，并不代表本站贊同其觀點和對其真實性負責征堪，也不構成任何其他建議关拒。本站部分作品是由網友自主投稿和發(fā)布、編輯整理上傳，對此類作品本站僅提供交流平臺囱修，不為其版權負責。如果您發(fā)現網站上所用視頻、圖片、文字如涉及作品版權問題灵科，請第一時間告知鼻御，我們將根據您提供的證明材料確認版權并按國家標準支付稿酬或立即刪除內容，以保證您的權益贰筹！聯系電話：010-58612588 或 Email:editor@mmsonline.com.cn。