使用具有集成安全功能的网络安全 PLC 实现高速工业自动化

作者：Jeff Shepard

从汽车生产到食品加工，无论什么样的工厂，都需要既灵活又高速，而且兼具集成式安全和高网络安全水平的机器控制。在这些环境中，网络通信和安全实现必须具有灵活性。网络上的一些设备将使用 EtherCAT 等现场总线协议，而其他设备则可能使用 Ethernet/IP。此外，还有些设备采用标准连接，有些则需要安全协议。

为了加快部署，工业网络设计人员需要能将通用工业协议安全 (CIP Safety) 与 Safety over EtherCAT（也称为 FailSafe over EtherCAT [FSoE]）相结合的控制器。CIP Safety 为采用 EtherNet/IP 连接的工业机器人等设备提供支持，而 FSoE 则与采用 EtherCAT 的设备配合使用。因此，不仅需要一系列能够处理多达 254 个 CIP Safety 连接、62 个运动轴和 256 个 EtherCAT 节点的控制器，还需要各种方便调试和维护并适应众多自动化系统设计的输入/输出 (I/O) 单元。

除此之外，控制器制造商还必须提供符合 IEC 61131-3 标准的软件开发套件，以便轻松快速地控制所有连接设备。公司还必须通过 IEC 62443-4-1（工业自动化和控制系统的安全性）认证，包括安全产品开发生命周期要求，以减轻影响并经常性防止网络攻击得逞。

本文首先比较了采用 EtherCAT 和 Ethernet/IP 连接的应用。然后，探讨了 FSoE 和 CIP Safety 如何符合国际电工委员会 (IEC) 标准 IEC 61508 和 IEC 61784-3 并与之相关联，以及如何使用国际标准化组织 (ISO) 12100 标准来评估安全风险。随后，本文回顾了符合 IEC 61131-3 标准的软件开发套件的要求，以及获得 IEC 62443-4-1 网络安全认证所需的条件。最后，介绍了 [Omron Automation]的一系列控制器和 I/O 单元，这些产品非常适合确保高速工业自动化装置的网络安全。

工业自动化网络可能需要实现高速的机器控制，以及工厂与云端、企业资源规划 (ERP) 和其他管理系统的连接。

这正是支持 EtherCAT 和 EtherNet/IP 的控制器的用武之地，比如 Omron 的 [Sysmac NX102]。EtherCAT 可用于与电机和服务器控制器（如 Omron 的 1S 系列伺服驱动器和电机，包括 [R88D-1SN10H-ECT] 1 kW 伺服驱动器和 [R88M-1L1K030T] 1 kW、3000 RPM 服务器电机）进行高速通信。

这款 NX102 控制器可使用 EtherNet/IP 控制标准工业机器人，并提供工厂与云端、ERP 和其他系统的连接。所有这些功能都可通过 Omron 用于机器和工厂自动化的 [Sysmac Studio] 集成开发环境 (IDE) 来实现（图 1）：

• 使用 EtherCAT 实现机器控制
  • 通过冗余功能尽可能减少停机时间
  • 灵活的系统配置支持多达 512 个从属设备
  • 125 μs 的短周期时间，与 1 μs 抖动保持同步
  • 使用带 RJ45 连接器的标准屏蔽双绞线 (STP) 以太网电缆进行简单连接
  • 支持 FSoE
• 使用 EtherNet/IP 实现工厂连接
  • 点对点控制器通信
  • 支持 Microsoft SQL Server、Oracle、IBM DB2、MySQL 和 Firebird 的数据库连接
  • 集成 FTP 服务器
  • 采用消息队列遥测传输 (MQTT) 协议，实现与云端和其他网络的安全连接
  • 支持 CIP Safety

图 1：Omron NX102 等控制器可在单个网络上实现 EtherCAT 加 FSoE 和 EtherNet/IP 加 CIP Safety。（图片来源：Omron Automation）

IEC 安全和 ISO 风险评估

EtherCAT 和 EtherNet/IP 器件有多种混搭方式。在选择具体器件时，要做出的关键决策之一是优化网络效率和安全性。这需要了解 IEC 安全标准，并根据 ISO 要求实施有效的风险评估计划：

• IEC 61508 《电气/电子/可编程电子安全相关系统（E/E/PE 或 E/E/PES）的功能安全》是适用于所有行业的基本功能安全标准。其中包括应用、设计、部署和维护自动化保护设备（也称为安全相关系统）的方法。
• IEC 61784-3:2021 《功能安全现场总线 – 一般规则和配置文件定义》规定了在根据 IEC 61508 功能安全要求设计的分布式网络中传输安全相关信息时可使用的通用原则。FSoE 和 CIP Safety 均符合这一标准。

ISO 12100 《机械安全 – 设计的一般原则 – 风险评估和风险降低》描述了如何独立于已部署的安全协议来评估和管理风险。评估包括五个步骤或行动（图 2）：

1. 确定机械限制 – 了解机器运行和预期操作员交互的限制
2. 危险识别 – 包括机器制造、使用、维护和处置过程中的危险
3. 风险估计 – 量化每种风险的发生概率和预期危害严重程度
4. 风险评估 – 确定风险是否已降至可控的安全水平：如果答案为“是”，则记录评估结果并部署系统；如果答案为“否”，则制定其他风险降低策略
5. 风险降低 – 扩大风险降低措施的实施范围，再回到行动 1 继续进行评估

图 2：实施 ISO 12100 中详述的风险评估所需的五项行动。（图片来源：Omron Automation）

FSoE 与 CIP Safety 有何区别？

FSoE 和 CIP Safety 均符合 IEC 61784-3:2021 的要求，可实现不同供应商的设备之间的互操作性。应通过安全风险评估来确定每个装置的安全需求和正确配置。为确保功能安全，必须减少八种类型的网络错误，并在 FSoE 和 CIP Safety 中采用不同的处理方式。FSoE 增加了第九个考虑因素，即“解决交换机的存储器故障”。这两种协议均须处理的八种网络错误包括（表 1）：

• 信号中断
• 意外的重复消息
• 错误消息顺序
• 消息丢失
• 不可接受的消息延迟
• 插入另一个意外消息
• 伪装消息
• 非按预期对消息寻址

| | CIP SAFETY
IEC 61784-3-2:2016

表 1：CIP Safety（上）和 FSoE（下）支持不同的网络错误处理方法。（表格来源：Omron Automation）

符合 IEC 61131-3 标准的 IDE

高效的网络开发和部署也很重要。Sysmac Studio IDE 符合 IEC 61131-3 的语法和语义要求，简化了软件开发。工业自动化 IDE 通常需要单独开发运动控制程序并对安全控制进行编程。Sysmac Studio 支持对顺序和运动控制进行集成安全编程，包括设计、验证、调试、操作和持续改进。

该产品还支持复杂的工业自动化系统，包括 I/O、运动和安全设备。该 IDE 平台使用相同的图形用户界面 (GUI) 进行机器排序和控制以及安全控制设计，简化并加快了开发过程。

由此产生的软件可采用模块化结构设计，支持在新的应用中重复使用，减少了后续应用所需的验证和确认工作。

IEC 62443-4-1 认证

IEC 62443-4-1 规定了实施和维护电子安全工业自动化和控制系统 (IACS) 的要求和流程。它确立了一系列最佳安全实践，并提供了一种评估所达到的安全级别的方法。该标准采用全面的网络安全方法，消除了操作和信息技术与过程安全和网络安全脱节的问题。

工业 4.0 中设备的连接性越来越强，导致网络安全风险相应增加，因此需要实施全面的安全措施，才能降低网络攻击造成运营中断的可能性。Omron Automation 已通过 IEC 62443-4-1 认证，为其 PLC 产品和软件建立了安全的开发生命周期。

机器自动化控制器

Omron 的 [NX502 控制器]旨在提供可扩展的自动化解决方案，具有精确的运动控制和强大的安全性。这些控制器围绕 Sysmac 的“一个控制器、一个连接和一个软件”架构而构建，使用一个控制器将逻辑、运动、安全、机器人、视觉、信息、可视化和网络集成到 Sysmac Studio 这一个软件中（图 3）。

图 3：NX502 控制器围绕 Sysmac 的“一个控制器、一个连接和一个软件”架构而构建（图片来源：Omron Automation）。

NX502 控制器还能最大限度地降低遭受网络攻击的风险，集中并简化工厂自动化控制。该器件可包含多达 254 个 CIP Safety 连接、62 个运动轴、256 个 EtherCAT 节点、80 MB 程序存储器、1 Gbps EtherNet/IP 端口，并支持开放平台通信统一架构 (OPC UA) 和结构化查询语言 (SQL) 关系数据库。

这些控制器可处理处理器单元左侧的多达四个 EtherNet/IP (EIP) 扩展卡，从而能够通过单个处理器单元控制多台机器。每个 EIP 扩展卡都会创建一个子网，将连接的机器与数据库和工厂级网络分开。

NX502 控制器有三种型号：

[NX502-1300，可控制 16 个伺服轴

[NX502-1400]，可控制 32 个伺服轴

[NX502-1500]，可控制 64 个伺服轴

小型网络的自动化

小型工厂自动化装置的设计人员可以使用 Omron 的 [NX102 控制器] -Link 等本地通信协议的小型网络中加快实现 IIoT 功能。

所有 NX 系列控制器都配有通用 I/O 连接，并可在 Sysmac Studio 软件上进行编程，这样使用 NX102 控制器部署的小型网络就能通过 NX502 等较大的控制器轻松扩展。NX102 控制器的其他特性包括：

• EtherCAT 周期时间为 1 至 32 ms，以 0.25 ms 为增量
• 预装有 OPC UA 和 SQL
• 最多可控制八个运动轴；例如，[NX102-1200] 支持八轴运动控制，[NX102-1100]支持四轴运动控制，[NX102-1020]) 支持两轴运动控制
• 最多 256 个 EtherCAT 节点
• 最多 16 个 CIP Safety 连接
• 5 MB 程序存储器
• 每个 CPU 32 个本地 I/O，总共 400 个 I/O，带远程 NX I/O

Sysmac NX I/O 单元

I/O 连接是所有工厂自动化网络的重要组成部分。[Sysmac NX I/O] 产品组合包括 120 多种 I/O 单元，可在工厂车间实现各种功能，并将它们连接到更大的控制网络。

这些 I/O 单元与常见的通信协议兼容，包括 EtherCAT、EtherNet/IP、FSoE、CIP Safety 和 IO-Link。例如，[NX1P2-9024DT] 型号包括 24 个 NPN 数字晶体管 I/O、1.5 MB 存储器、支持 16 个 EtherCAT 节点、EtherNet/IP 和一个串行选项端口，而 [NX1P2-9024DT1] 型号的规格相同，只是将 24 个 NPN 数字晶体管 I/O 换成了 24 个 PNP 数字晶体管 I/O（图 4）。可用模块的示例：

• 数字输入/输出
• 模拟 I/O
• 温度输入/输出
• 编码和定位
• 电源和连接单元

图 4：带 24 个数字 NPN 晶体管 I/O 的 NX1P CPU 图片。（图片来源：Omron Automation）

总结

Omron Sysmac 控制器为机器和自动化网络设计人员提供了全面的解决方案。这些器件支持 EtherCAT、EtherNet/IP、FSoE 和 CIP Safety。既提供仅支持几个控制节点的型号，也提供支持多达 254 个 CIP Safety 连接、62 个运动轴和 256 个 EtherCAT 节点的型号。Sysmac Studio IDE 符合 IEC 61131-3 标准，全系列产品均通过了 IEC 62443-4-1 网络安全认证。

审核编辑 黄宇