功能安全通信介绍（IEC61784-3）

功能安全通信介绍（IEC61784-3）

1. IEC61784-3概述

在功能安全或SAFETY领域，通信过程的安全性是依照IEC61783-3来规范，这个标准和其他功能安全相关标准的关系如下图所示，图中黄色的框是功能安全相关的标准，包括基础标准IEC61508，应用标准IEC62061、ISO13849等和产品标准IEC61131-6等三个层级；蓝色框表示现场总线相关的标准，包括基础的现场总线规范、安装导则、电气安全要求等。

图1 IEC61784-3与其他标准的关系

基于上图，符合IEC61784-3的通信协议可以理解为具有功能安全特性同时又满足工业现场总线要求的安全通信过程。满足工业现场总线要求即意味着满足整个IEC61784系列标准（主要是第1和第2部分），具有功能安全特性即是具有相应的SIL能力，SIL1-4。我们已经知道对于功能安全来说SIL有一个基本的失效量化关系，即：

图2 SIL与PFD和PFH的关系

也就是满足相应的SIL，必须证明你实现了足够低的PFD或PFH，这里提到的SIL是针对整个安全功能（Safety Function）回路的，例如下图所示的传感器、控制器和执行器整个加起来。而安全通信是在整个安全功能回路中负责实现各个设备之间的安全数据传输，而通信过程也有可能会出错或发生失效，因此我们不能够对通信过程置之不理，必须也对其加以约束以证明通信过程也项目相应的SIL要求，这也是IEC61794-3存在的主要目的。

图3 安全功能和安全通信

对安全通信的基本要求是：通信过程的残余差错率应该小于要求SIL对应PFD或PFH的1%，例如某个安全回路要求实现SIL3，按照上表其整个回路的PFH要求应该小于10E-7，而其中安全通信的残余差错率应该小于10E-9，这个10E-9就是设计该安全通信过程最核心的指标，不管协议选用任何的通信架构（ISO的7层架构应用），不管采用何种通信物理介质（有线还是无线），不管使用何种通信差错控制机制，只要能够证明设计的安全通信过程满足残余差错率小于10E-9，那么就可以基本从技术上申明其满足SIL3的应用。

注：需要注意的是对于所有功能安全应用来说首先需要确定的是安全相关还是非安全相关，这是有别于产品而更加上层系统的一个分析，对于所有安全相关的部件才会有IEC61783-3的要求，非安全则没有。

2. 实现 IEC61784-3的基本思想-安全层

从功能安全的角度，实现安全通信的方式有两种，白色通道和黑色通道，如下图所示：

图4 白色通道和黑色通道

白色通道的含义是实现通信过程的两端包括两端内部的所有接口、转换设备和软件都需要符合IEC61508；黑色通道的含义是仅仅两端的设备（安全数据发送和安全数据最终接收）符合IEC61508，中间的通信过程符合IEC61784-3，中间的软硬件不需要符合IEC61508要求。目前世界工业领域主流的，包括IEC61794-3规定的都是采用黑色通道的方式来实现，采用黑色通道实现安全通信的基本理念如下图所示：

图5黑色通道实现安全通信

从上图可以看出实现安全通信的关键是设计安全通信层，对安全数据按照标准要求进行封装。至于实现通信过程的其他层：物理、数据链路、会话、传输、应用等可以根据具体的应用自行设计，包括通信过程中的所有中间管道，包括网关、路由器、无线等都可以，这些设备的软硬件没有任何额外的要求。因此，如何设计好安全通信层是一个关键，目前工业领域大部分的安全协议都是独立安全通信信道，比较特殊的是西门子的profisafe，它是构建在西门子的CP 3协议族基础上，在同一个物理信道内可以分时的传输安全和非安全数据，安全数据会经过安全通信层进行打包，普通数据不经过安全通信层。

3. 实现 IEC61784-3的核心-残余差错率

控制残余差错率是实现安全通信的核心，而残余差错率的高低一般取决于传输过程的错误率和差错控制措施的设计，位错误率可能取决于采用的传输介质、外界环境干扰等，而差错控制措施决定了可以发现何种程度的传输错误，总的来说是要保证数据的完整性、身份鉴别和时间性三个方面，对于一般通信过程可能发生的差错及其可采取的控制措施如下图所示：

从上图可以看出，采用的措施越多肯定能够发现的错误越多，残余差错率也就越低，而另一方面对某些措施采用的算法不同发现错误的深度也有差异，最典型的就是CRC，CRC的位数，以及选用的不同多项式算法决定了其漏检的可能性高低，也就影响了最终的残余差错率。有了这个思路，剩下的就是度量的问题，因为最终需要知道确切的差错率数值，因此IEC61784-3给出了如何量化这个过程的方法和建议。

为了实现对残余差错率的量化分析，IEC61784-3标准中给出了相应的假设，这些是实现量化的基础前提，包括：安全PDU（帧）的哈希函数不同于DLL层的哈希函数；安全PDU仅有校验功能而没有纠错功能，黑通道PDU的哈希函数可能有纠错功能；没有逻辑连接都分配有独立的鉴别码等。一个安全通信通道的残余差错率表示为：

SCL的残余差错率=数据完整性错误贡献的残余差错率（RRI）+鉴别错误贡献的残余差错率（RRA）+时间性错误贡献的残余差错率（RRT）+伪装错误贡献的残余差错率（RRM），即

整个安全通信层（SCL）的残余错误率等于：

其中m是单个安全功能内的最大逻辑连接数。（m值的确定是要基于设计的安全功能，不是一个单纯的网络属性，而是安全系统的设计属性）

4. 结论

IEC61784-3非常系统性的规定了符合IEC61508黑色通道安全通信的实现要求和分析评估方法，任何企业都可以基于IEC61784-3的要求开发符合自己企业系统特点的私有安全通信协议，并能够有效证明这些协议满足SIL1-4的要求。

对于国际的大型自动化公司或联盟，他们各自都有自己的符合IEC61784-3要求的安全协议，并且他们依靠自身在国际标委会的影响力将这些协议作为标准化示范放在IEC61784-3标准的符合协议族里面，所以我们可以看到在IEC61784-3标准的后面有大量的这种协议族介绍，例如西门子的profisafe，三菱的CC-Link safety，以及来自中国专家提议的EPA（专家来自浙江大学，仪综所，中科院沈阳自动化研究所、浙江中控）。

以西门子profisafe为例，其特征包括：采用主从方式点对点通信，设计有相应的安全层，安全和非安全通信在同一个物理信道内。