图片来源：ODVA

作者 | Nelly Ayllon

“

传统硬接线安全解决方案存在其局限性，随着对过程数据和灵活性的需求日益增长，越来越多的制造企业希望在标准通信网络上提供安全服务。

”

将CIP Safety 服务添加到基于 CIP（ 通用工业协议）的网络（例如具有高完整性的 EtherNet/ IP）数据传输中，扩展了工业标准通用工业协议 (CIP) 的基础服务。它可以为安全网络提供可扩展的、独立于网络的方法，并在精心定义的层中描述安全服务，从而允许更改底层网络服务。这种方法可以实现安全数据的无缝路由，允许用户创建跨多个链接的端到端安全链接。

通信网络应用到工业环境的最初动机是希望获得更远的传输距离、更高的灵活性、更低的成本和更高的可维护性，这也推动了工业安全网络的发展。最终用户认识到，传统硬接线安全解决方案存在其局限性：除了 最基本的应用外，硬接线系统的开发和维护都比较困难。例如，硬接线安全系统使用继电器，这些继电器相互连接以提供安全功能。这类系统对设备之间的距离有较多限制。

安全系统开发人员发现，除了基本的急停功能，还需要其它更高级的功能，他们被迫退回到硬接线逻辑技术上来，而在控制领域这些技术自 20 世纪 70 年代以来已不再广泛应用。即使已经成功开发一个规模比较大的安全系统，这些系统通常也具有成本高昂且难以维护等诸多不利。

安全服务

由于上述问题，再加上对过程数据和灵活性的需求日益增长，他们希望在标准通信网络上提供安全服务。ODVA 开发的用于EtherNet/IP 和其它网络的 CIP Safety 就可以满足上述需求。

这些进展的关键，不是创建一个不会出现故障的网络，而是创建一个系统，该系统如果出现网络故障会将安全设备带入到一个已知的安全状态。如果用户清楚系统将进入哪个状态，他们就可以保障应用的安全，但这意味着需要更多的检查和冗余编码信息。幸运的是，通信网络已经在自动化系统中普遍应用，能够进行高级诊断的电子设备也大量存在。

功能安全

功能安全的基础是 IEC 61508 标准。该标准指定了适用于行业、产品和技术的其它安全标准，例如 IEC 62061、ISO 13849-1 和 IEC 61784-3。

设计专用的安全网络，会增加复杂性和维护工作，为避免这种情况的出现，IEC 61508 和 IEC 61784-3 推荐另一种被称为“黑色通道”的选项，它假设网络完全不可靠， 因此诊断必须存在于网络基础设施之外。这个概念规定，如果一个安全通信协议在协议中内置了足够的错误检测，那么它可以在不同网络类型之间独立传输，而不会降低安全数据的完整性。这包括遍历多个网络链接和网络分段的技术。

“只要不修改底层安全数据，标准路由器就可实现跨网络路由安全数据。”

如果相应的标准通信协议严重依赖于非标准网络硬件，那么使用黑色通道原理来构建安全通信协议可能会有问题。

CIP Safety 以通用工业协议（CIP）为基础，它允许数据的网络独立路由。这些基础服务已经得到扩展，通过增加 CIP Safety 独特的网络服务，提供一个可扩展的、可路由的、与网络无关的安全层的解决方案，消除对专用安全网关的要求，从而实现高完整性的安全服务。由于所有的安全设备都执行相同的协议，与它们所在的媒体无关，因此用户的方法是一致的，与使用的媒体或网络无关。

CIP 旨在允许通用协议使用不同的网络。由于它被设计为独立于介质和数据链路，因此就可以扩展到其它网络，并可以随着以太网的增长而扩展。

CIP Safety是CIP 标准功能的扩展，已通过 TÜV Rheinland 认证，可用于功能安全应用。它通过添加 CIP 安全应用层功能来扩展模型。

由于安全应用层扩展不依赖于底层标准 CIP 服务和数据链路层的完整性，因此数据链路通信接口可使用单通道（非冗余）硬件。只要底层安全数据没有被修改，相同的功能划分，允许标准路由器实现跨网络路由安全数据，还可以在复杂网络的不同层之间路由安全数据。终端设备负责确认数据的完整性，因此还可以实现安全消息的路由。如果数据传输或中间路由器发生错误，终端设备可以检测到故障并采取适当的措施。

只有需要的安全数据才会被路由到所需的单元，从而降低了对独立带宽的要求。快速响应的本地安全单元，与安全数据单元间的路由相结合，使用户可以以更快的响应速度来创建更大、更复杂的安全应用。

关于CIP及CIP Safety

通用工业协议（Common Industrial Protocol，CIP）是一种应用在工业自动化的通信协定，由开放DeviceNet厂商协会（Open DeviceNet Vendors Association，ODVA）所维护。

通用工业协议（CIP）为开放的现场总线DeviceNet、ControlNet、Componet、EtherNet/IP等网络提供了公共的应用层和设备描述。它建立在单一的、与介质无关的平台上，为从工业现场到企业管理层提供无缝通信，使用户可以整合跨越不同网络的有关安全、控制、同步、运动、报文和组态等方面的信息，有助于使工程和现场安装的开销最小化，使用户获得最大的投资收益。

作为设备间进行自动化数据传输的通信协议，CIP把每一个网络设备看作一系列对象的集合，每个对象也只是一组设备相关数据的集合，称为属性，它通过设备描述对网络中的设备进行完整的定义。CIP是设计工业控制设备的基于对象的一种方法（例如体系结构、数据类型、服务等），它是独立于特定网络的应用层协议，提供了访问数据和控制设备操作的服务集。

CIP是一个端到端的面向对象并提供了工业设备和高级设备之间的连接的协议，CIP有两个主要目的，一是传输同I/O设备相联系的面向控制的数据；二是传输其他同被控系统相关的信息，如组态、参数设置和诊断等 。

CIP定义了满足各种工业协议应用的要求的服务和行规，CIP与CAN的结合是DeviceNet，同样的CIP与TCP/IP的结合形成了EtherNet/IP，那么CIP Safety作为应用层的最新的扩展， CIP Safety与CAN的结合就有了 DeviceNet Safety ， 同样CIP Safety 与TCP/IP Ethernet就有了 EtherNet/IP Safety 。

那么是不是我们就可以简单的说 CIP Safety就是一个协议 ，NO ，我们不能这样说， 因为完全不符合协议的定义。 查阅罗克韦尔公司的文件，CIP和EtherNet/IP定义的安全性的解释性的文献和相关的资料，都是对CIP或者对EtherNet/IP 如何实现安全通信的一种安全保障的措施。更直接的就是说使用TLS协议或者SSL协议来保证通信的安全。 那么CIP Safety 的核心就是TLS的安全的保证技术，但是不光光是TLS的即使应用中CIP中的， CIP Safety的安全措施除了 TLS的安全。

关键概念：

■ CIP Safety 可以为安全联网提供可扩展的、独立于网络的方法。

■ CIP Safety 通过了功能安全协议认证，可用于通信接口。

思考一下：

安全扩展到连接设备的网络，对您的工厂将带来什么影响？