安全网络
十多年前,很少有安全网络;存在的只是很少人能够理解的安全标准,并且大多数网络都是专有网络。在2014年,各种新的安全系统功能和创意涌现出来,大都经过认证、标准化,并有现成的商品可售。
现有的安全网络包括DeviceNet Safety (CIP Safety), Profisafe, AS-Interface Safety at Work (ASi- SaW), EtherCat FSoE,和 Powerlink openSafety等。众多的安全网络,你该如何选择?如果没有对机械安全有全面深入的理解,众多的性能和优点会使选择变得令人生畏,更不用说安全网络了。
过去,安全曾经是与机器控制完全分开的。单独的安全控制系统执行安全功能,该系统有自己的传感器、控制器和网络通讯。如果发生故障,触发报警和停止机器是安全系统的工作。尽管控制系统也可以执行同样的安全功能,但是只是在主控制系统失效,需要提供一个冗余系统时才采用该方法。
使用第二个控制系统,就变得有点昂贵而且尴尬。在大多数情况下,机器控制来自于一个供应商,而安全系统则由另外一家提供,这使得工程、集成和售后支持变得复杂。所以企业家越来越倾向于将安全功能集成到机器控制系统中。
利用安全网络,将传感器信息传递给控制系统,就可以将安全功能集成到控制系统中。例如,安全PLC可以执行控制和安全功能,满足ANSI和IEC关于安全的要求。通过冗余或双通道系统监视故障,并在故障发生时防止重启,可以实现基于网络的机械安全。如何在只有一对双绞线或一个通信通道的网络中实现冗余工作?IEC 61508以及其它标准规定,通讯协议冗余已足够实现双通道、硬接线系统所能达到的安全水平。
图1 使用Sick公司的Flexi Loop网络,最多有32个安全传感器可以连接到同一个安全控制器中。
清单:安全网络问题
如何确定特定环境下,哪些安全网络是最佳选择?尝试回答下列问题,可以帮助你做出决定。
1.你想实现什么? 目标是只将机器安全地停止,不需要知道更多关于机器为什么停止或完整的故障诊断信息?还是,配置新安全设备,以及诊断现场设备?为了回答这些问题,需要了解项目预算、机器在过程中的重要程度以及可接受的停机时间等信息。
图 2 Sick公司的Flexi Line 系统最多可以连接32个安全控制器。图片来源:Sick公司
2.所需的系统安保水平是什么? 所要求的响应速度和响应时间的可靠性是什么?非常重要的是,这些参数必须容易确定,并且在可接受的限值之内。
3.是否有经过充分培训、并对系统有足够了解的人员?
考虑配置和维护系统的复杂性。根据以往的经验,这是最容易被忽略的因素。我就亲身经历过初始配置不正确的情况,也经历过在运行过程中修改配置的情况,而这是对安全有害的。
有两个标准可以提供指导。ISO13849-1和-2对性能水平有入门级的介绍,最近刚被采用的ANSI/RIA15.06机器人和机器人系统标准,则为设计、实施、确认和维护安全网络以及其它可编程安全系统提出了要求。
网络的安全功能
根据ISO12100,安全功能的技术定义为:“其失效会导致风险立即增加的机械功能。”这些功能由系统的安全相关控制部分完成,可降低用户的风险。大多数安全功能很简单,比如紧急停机和保护停机。
但是其它安全部件怎么样呢?比如光幕、门开关、安全垫圈和面扫描机,以及诸如屏蔽、旁路或光开关触发等功能?
使用安全控制器,可以很容易的实现这些功能,但是有些功能,要想通过安全网络来简单、可靠地实现,可能比较困难。比如,在高速包装生产线,如果系统要求产品穿过或离开光幕或光开关触发,产品离开的速度对网络系统可能造成挑战,即使是对最快的网络系统也是如此。如果通过安全网络来屏蔽光幕,光幕的屏蔽速度可能达不到要求,会导致光幕停车。通常情况下,罪魁祸首是网络和安全PLC。两者作用叠加,会导致响应时间超过产品在屏蔽传感器前的时间,在有机会被屏蔽前,就已经触发保护措施。这是一个要求系统实现太多功能的例子。
可能的解决方案是,将该功能从网络改为通过硬接线与安全PLC或单独的安全继电器实现输入、输出的连接。先进的安全网络可以运行最复杂的机械,但该系统的实施、编程、工程以及硬件方面的费用可能会超过合理的水平。新的安全性能水平的背后是给予用户在选择硬件方面有更大的自由度,从而可以降低费用,提高效率。
在很多情况下,机械并不像我们想象的那样巨大和复杂,所以利用专用的独立安全系统,就可以以较小的规模来保护这些系统。
独立的安全系统并不是同时管理机械控制和机械安全,但也并不是回到以前那种独立的安全系统和网络设计。由于在机械控制系统、安全系统和网络方面取得的进展,独立系统的集成变得更简单,使其在很多情况下成为一种选择。
更新、更简单的网络可以用于小规模的应用场合。比如,ASi-SaW就可以在小规模系统上提供简化的安全功能,而不必额外增加费用,也不会增加由于管理安全通道上大量诊断或组态数据而导致的复杂性,从而可以保持系统的快速性,而且可以相对比较容易的完成安装。另外一个例子,如图1所示的安全网络方案,通过节点连接最多可达32个安全传感器。这不但花费更少,而且安全设备网络独立,还可以提供足够的诊断信息来降低停机时间。这些都不需要更多的寻址或数据组态,从而简化了安装,节省了工程和安装的费用。
最近推出的另外一个方案,如图2所示,允许最多可达32个安全控制器连接在一起,并在节点和机械设备间共享网络紧急保护停机信息。这些最新的系统在维持最高安全等级的同时,保持了系统的简单性,这对于降低生产制造成本、增加灵活性、缩短推向市场的时间十分重要。未来会有更易于实施、价格更实惠的安全系统。
简化工业网络和机械安全
真正设计良好的安全系统所具有的紧急停机按钮,应该安装在任何人都可以容易按下的地方,或者保护锁开关足够智能,使得注塑机在允许维护人员对传输带进行维修前完成停止动作。由于专注于安全功能,只有几个设备需要操作,因此安全控制系统更易于管理。
图3 标准设备和安全设备可以通过网络连接在一起,正如培训单元所展示的那样。经过点击、滑出、更换和点击,不需要程序的装载,就可以轻松地完成I/O模块的更换。图片来源:Omron 公司
管理层开始变得疯狂,决定增加可视系统来检查零部件,以监督Delta机器人将好的部件装入托盘。哦,他们忘了告诉你,他们想从人机界面(HMI)看到所有事物的状态。在你了解这些之前,先请你想象一下管理多个系统主机的情况。仅仅想一下,就是一个令人头疼的事情。驱车回家的路上,当你考虑这些事情的时候,灵感来了。你所需要的就是通过一个简单的方法,将所有东西都通过网络连接到一个系统中。但问题是,你能在同一个平台和当前的安全控制系统中,实现视觉、运动、逻辑以及数据库的联网吗?
答案是,可以!但是请等一下,解决方案并没有那么简单。所以怎么办?首先,寻找一个已经那么做的系统。嘿,不要笑,这样的系统确实存在。而且最好找到那种安全方面的许可仍然有效、且可用于安全应用的系统。
然后确保你选择的网络系统具有独立的CPU,经过批准可用于、并专用于安全应用。安全CPU具有最高的优先级,并从设计方面予以保护。不允许任何外部网络覆盖其功能。
一个网络:安全CPU
通常,红色和黑色I/O模块混杂在一起。红色的是安全等级的I/O模块,黑色的则是用于运动和视觉监控的模块。所以,你正在考虑:是浪费大量的钱财使用安全等级的模块来代替标准I/O,还是违反一系列的安全标准。猜猜会怎么样?哪个都不是。现在的网络系统已经具有在连接处融合的能力。但是如何实现呢?答案很简单:系统让每个部分的“大脑”存在于各自的CPU中。
让我告诉你一个秘密吧?不要告诉我的老板哦。我向我的领导解释说,当任何停机发生时,我估计更换这些单元所需要的时间只有5分钟。他认为我胡说,说至少得一小时。如果是重启计算机,重新装载程序,那么我无论如何是无法在5分钟之内完成的。但是更换I/O模块,只需要简单的点击、滑出、更换、点击。不需要程序重新加载。所有的程序都存储在CPU中。从现在开始的很多年,我将额外获得55分钟的休息时间。
易于更换的模块
安全电缆在哪里?不,你没有漏掉。系统使用EtherCAT,工业以太网协议。信息按需传递,传输速度非常快,因此可以在同一条网线上传输。过去十年间,通讯技术的提升已经使这些成为可能。没有了更高的目标可以追逐,可能会使某些人疯狂。
将用于视觉和运动控制的软件与安全软件集成在一起。这不是很伟大吗?我只需要学习一种基于 PLCOpen的程序就可以管理一切。我仍然拥有我的经安全认证的功能块。
现在,你也许在考虑,我如何知道什么时候我工作在安全应用上呢?毕竟,将其弄混了,是相当糟糕的事情。安全方面使用安全认证功能块。在安全I/O模块上,所有需要变量的输入输出都用黄色高亮显示。如果你是色盲,没有问题。安全相关的变量名字以大写的“S”开头。其它系统也许有不一样。但是我从来没有弄混过,所以我想你也不会弄错。
当需要在标准系统和安全系统间接收或发送变量状态的时候,会发生什么事情呢?在安全方面,可以看到任何非安全的变量。在实际应用中,这可能是简单的复位按钮或者是将输出状态发还给标准PLC系统,所以这些变量可以在HMI进行监控。毕竟,你想知道哪些保护设备动作导致了停机。
谈到HMI,说说你碰到过多少次必须将所有事情重新编排,以便能够在一个显示屏幕上看到所有的状态?对于我来说,只需一次。网络的一个优势就是I/O的映射可以自动完成。他们第一次告诉我的时候,我也不相信。软件甚至可以显示变量所在的模块和节点。现在,我只要简单地给它一个新的变量名称,就可在标准控制方面使用。
软件补丁:安全与风险并存
一般将安全升级看作自备升级包,就像最新杀毒软件或微软Windows升级一样,非常简单,仅包含需要添加到安全堆栈中的新特性,使系统远离麻烦。但是,当为工业控制系统(ICS)的网络设备打补丁时,要比办公室或家庭软件的升级更加小心。在工业工厂环境下,运行的连续性至关重要。即使是微小的通讯中断,或者视图丢失,也会导致诸如运行中断等不期望发生的事情发生,或者更严重一点,可能会对重要设备造成灾难性的损伤,这会增加人以及产品的风险。
定期提供经测试和认证的软件包,有助于保持工厂设施的可用性,为关键的网络提供保护,并能提高日常运行的可靠性。由于在上传到网络设施上之前,需要带宽和资源来对软件升级包进行适当的确定和测试,所以当操作员或用户自己完成软件升级时,等待他们的可能是预料之外的挑战和风险。厂家提供升级包是非常好的一个开始,运行人员可以安全地执行升级,并维持工厂的运行环境。
图4 GE测量和控制网络设备保护(CAP)实验室,能够帮助评估工业软件补丁的风险和优先级。图片来源:GE测量和控制
需要升级包吗?
我们的PC确实需要升级包吗?也许是!软件生产商不停地在更新、测试、再测试软件产品,以提高安全性能和运行效率。黑客则在不停地寻找漏洞。两者斗法,这也就是为什么发布的升级要比很多运行人员希望看到的要频繁得多。但是,所有这些升级都是工厂需要的吗?就因为某个在广泛领域内拥有为数众多用户的公司,比如微软,告诉你说,某个升级十分关键,但对某个工厂来讲可能未必如此。有些甚至可能与某些用户毫不相关。另一方面,由于对一些内部软件知识的缺乏,有些关键和及时的更新,比如.NET应用,可能被操作人员忽略。这就是为什么,对于工厂运行人员来讲,请厂家遵循系统性的流程来帮助确定、测试和上传升级包,是非常有益的。
评估升级风险:11个关键问题
评估给定升级包的相关性,是一个复杂的工作。软件厂家提供的知识库文章,可以提供升级细节,但是一般都比较复杂,并且有点太详细。需要问的问题包括:
1.在你的操作中,受影响的操作系统是否正在使用?
2.如果正在使用,在你的机器上,它所应对的漏洞是否处于活动状态?
3.什么样的防病毒升级能够检测并从我的SCADA应用中删除.DDL文件?
4.系统正在使用SQL服务器或因特网浏览器吗?
5.是否在使用Java 或Adobe呢?
6.有哪些第三方软件正在使用(在很多计算机上,第三方软件的清单要比想象的要多)?
7.升级会影响我的防火墙设置或主机入侵检测应用(HIDS)吗?你可能发现,有些标着“关键”的升级包,用于保护安装了DVD多媒体应用的Windows机器免受特洛伊木马病毒的感染。如果你的电脑上没有安装DVD多媒体应用,那就不必安装这些补丁。
8.补丁是什么?收集所有计算机操作系统、应用和第三方应用的补丁。
9.哪些补丁是关键的?
10.这些补丁应该如何测试?如何以30天为一个周期测试这些补丁?
11.风险是什么?优先级是什么?对于那些来自微软的关键补丁,是否应该进入标准循环或者你是否需要安装它?
那些通过相关性测试的补丁就是那些不会明显改变工作环境,能够持续为安全攻击提供额外保护的补丁。