openSAFETY，是世界上第一個100%開源的安全協(xié)議，首創(chuàng)開源、獨立于總線的安全標準，適用于任何工業(yè)以太網(wǎng)方案。它不僅在法律層面上是開放的，在技術(shù)層面上也是。由于該協(xié)議獨立于總線，openSAFETY可以應(yīng)用于任何現(xiàn)場總線和工業(yè)以太網(wǎng)的方案中，甚至用于特殊定制的協(xié)議方案中。

一、適用于所有現(xiàn)場總線
        由ESPG引入的openSAFETY，是世界上第一個100%開源的安全協(xié)議。它不僅在法律層面上是開放的，在技術(shù)層面上也是。由于該協(xié)議獨立于總線，openSAFETY可以應(yīng)用于任何現(xiàn)場總線和工業(yè)以太網(wǎng)的方案中，甚至用于特殊定制的協(xié)議方案中。
        ?亮點
        openSAFETY是第一個開源、獨立于總線的安全標準，適用于所有工業(yè)以太網(wǎng)方案。
        對于在任何數(shù)據(jù)傳輸協(xié)議上openSAFETY的實施，EPSG都將提供積極支持，同時也提供認證和一致性測試。
        該經(jīng)過TüV認證的協(xié)議棧確保了對該技術(shù)的投資是絕對安全的。
            ?一個統(tǒng)一標準，適用于所有現(xiàn)場總線
            ?從站間直通信（cross communication）使生產(chǎn)力最大化
            ?研發(fā)、維護時間進一步減少
            ?自動的安全參數(shù)化
            ?完全符合機器的安全模塊化思想
            ?完整的開源解決方案
            ?最穩(wěn)健的IEC 61508 SIL3通信方案
            ?無風險，TüV認證的一致性測驗
            ?完全適用背板總線
        ?傳輸層和應(yīng)用層
        標準OSI模型是當今應(yīng)用最普遍的數(shù)據(jù)傳輸協(xié)議的模型，它是層級式結(jié)構(gòu)的，有7層。根據(jù)規(guī)則，每層處理相應(yīng)任務(wù)。這里最基礎(chǔ)的、最底層的是物理層和數(shù)據(jù)鏈路層，也可以將二者一同叫做物理層。它們定義了物理接口的傳輸媒介，也提供發(fā)送端和接受端之間是否建立了連接的檢測。以太網(wǎng)僅明確了這兩個底層。
        第三、四層也被叫做傳輸層，負責處理時序、數(shù)據(jù)傳輸?shù)倪壿嬳樞蛞约皵?shù)據(jù)的應(yīng)用屬性（data attribution to applications）。
        這四層包含的都是面向傳輸?shù)姆?wù)，所做的只是建立應(yīng)用數(shù)據(jù)的傳輸媒介。應(yīng)用數(shù)據(jù)本身屬于上層。
        上層包括會話層和表示層。這二者經(jīng)常與應(yīng)用層合在一組，因為程序都是直接訪問他們?nèi)叩?。會話層管理不同?yīng)用程序之間數(shù)據(jù)交換的組織方式和同步。比如，如果一個連接被中斷，該層的服務(wù)便確保在連接再次建立之后，通信會在斷點處繼續(xù)。
        第六層，表示層將去掉不同系統(tǒng)表達方式上的差別，也確保翻譯的語義上的正確性。還有其他諸如數(shù)據(jù)壓縮、加密的功能。
        最頂層是應(yīng)用層。沒有嚴格任務(wù)或任務(wù)范圍上的定義。它為各種應(yīng)用程序提供OSI模型范疇之外的服務(wù)。
        在OSI模型的啟發(fā)之下，下圖表達了openSAFETY只定義了協(xié)議棧中的高層、應(yīng)用向的層。

[DividePage:NextPage]

二、安全的投資
        用戶怎樣受益于openSAFETY的
        “競爭有益于發(fā)展”，這幾乎是真理。健康的競爭會刺激持續(xù)的產(chǎn)品質(zhì)量和效率的提高。然而安全向的軟硬件產(chǎn)品的開發(fā)是一個特例，因為市場經(jīng)濟下的制造者都面對該類型產(chǎn)品的高投資風險：相當大的投入，而銷售潛力卻相對較小。所以，自動化領(lǐng)域早就急切需求一個統(tǒng)一、通用的安全協(xié)議，也就是一個能夠給制造者為未來安全向產(chǎn)品開發(fā)以堅實基礎(chǔ)的安全協(xié)議。
        openSAFETY標志著此類標準的首次引入，而且任何人都可以免費使用。

        安全技術(shù)是一個特例
        每當需要設(shè)計符合IEC61508的安全敏感產(chǎn)品時，開發(fā)和認證的工作量就變的相當大了。因為這包括許多方面的功能性安全，有電氣的、電子的、可編程系統(tǒng)的等。這個領(lǐng)域的投資幾乎十倍于非安全向的現(xiàn)場總線技術(shù)。而且，制造者必須擁有將各種標準實踐的經(jīng)驗，而且在一些特殊方法和過程上必須有專業(yè)人員解決。
        現(xiàn)在一方面是苛刻的要求和高昂的成本，另一方面該類產(chǎn)品的市場尚未很大成長，“系統(tǒng)之戰(zhàn)”會嚴重阻礙未來基于總線的安全技術(shù)的發(fā)展。比如一加生產(chǎn)傳感器的廠商決定生產(chǎn)安全向產(chǎn)品，并且符合各種不同安全協(xié)議，他們面對的人力成本和投資風險是十分巨大的。

    openSAFETY的解決方案
        openSAFETY是一個經(jīng)過實驗驗證和實踐證實的系統(tǒng)。作為非獨有技術(shù)，openSAFETY解決了以上的技術(shù)難題，并使生產(chǎn)者和用戶實現(xiàn)了雙贏。
應(yīng)用“黑色通道原理”，openSAFETY可以用于所有現(xiàn)場總線、工業(yè)以太網(wǎng)，安全技術(shù)的生產(chǎn)者可以專注于一個通用的系統(tǒng)上，并且只需完成一個安全開發(fā)就可以用于所有標準現(xiàn)場總線上。這樣一來成本和風險都降低了。
        工廠及操作員也會從中受益。一般他們承擔器械上的安全責任，但他們對于用于其中的通信系統(tǒng)沒有提出過要求。這些通信系統(tǒng)的一切是器械生產(chǎn)商決定的。而openSAFETY可以永久給予機器操作員對于不同控制網(wǎng)絡(luò)之間的整體安全解決方案。

        對工廠中操作者有利
        ?對整個生產(chǎn)線、整個工廠都是唯一的一個完整安全標準
         ?適用于所有控制系統(tǒng)生產(chǎn)者
         ?完全符合工廠安全模塊化思想
         ?最小研發(fā)和升級時間
        對傳感器生產(chǎn)者有利
         ?只需一次開發(fā)
         ?沒有巨大風險
         ?最短上市時間
         ?開源、低成本
         ?有保障的互通性

[DividePage:NextPage]

    2. 投資的安全性
        由于安全向產(chǎn)品的開發(fā)面對著高成本和市場相對較小這樣有挑戰(zhàn)性的條件，找到確保長期投資安全的方法，對這一領(lǐng)域里的系統(tǒng)和產(chǎn)品生產(chǎn)商來說，是絕對重要的。
        對投資的保護有很多要素：可用的軟硬件及它們的可靠性，法律依據(jù)的安全性，還有最重要的開發(fā)成本的范圍和預(yù)算。openSAFETY對于產(chǎn)品生產(chǎn)者和終端用戶來說都是一個穩(wěn)妥的選擇，因為這種解決方案提供了可以直接使用的安全棧，并且經(jīng)過多年實際應(yīng)用，有著很高信用。與使用獨有技術(shù)的開發(fā)不同，這里不需要高額的開發(fā)成本，也不需要長期開發(fā)以及專家。由于openSAFETY已經(jīng)是TUV認證、并被IEC 61784-3包括，開發(fā)風險也被降到最低。最后，作為用戶，有一個長期且十分健全的法律依據(jù)的保障也是相當重要的。而openSAFETY正式在BSD開源許可下開放的。
        使用openSAFETY可以提升4倍速度=16倍生產(chǎn)力

        任務(wù)：
        (X) 安全節(jié)點1要將數(shù)據(jù)送至安全節(jié)點2.
        解決方案：
        (1) 安全節(jié)點1將數(shù)據(jù)發(fā)送到安全節(jié)點2. 

        任務(wù)：
        (X) 安全節(jié)點1要將數(shù)據(jù)送至安全節(jié)點2.

        解決方案：
        (1)安全節(jié)點1將數(shù)據(jù)發(fā)送到EtherCAT主站
        (2) EtherCAT主站將數(shù)據(jù)轉(zhuǎn)發(fā)到安全主站
        (3)安全主站將數(shù)據(jù)發(fā)送到EtherCAT主站
        (4) EtherCAT主站將數(shù)據(jù)轉(zhuǎn)發(fā)到安全節(jié)點2
        交叉通信（cross-traffic）提高安全度：左側(cè)網(wǎng)絡(luò)可以做到對安全節(jié)點的從-從直接訪問，而沒有交叉通信功能的右側(cè)必須是經(jīng)過主站和安全主站才能訪問的。信號傳輸時間放大了4倍，急停被延遲。
        3. 交叉通信是如何提升機器安全度的
        openSAFETY只定義了應(yīng)用層，而實施該安全協(xié)議的安全網(wǎng)絡(luò)的反應(yīng)時間、性能取決于所使用的數(shù)據(jù)傳輸協(xié)議。不同數(shù)據(jù)傳輸協(xié)議在可用帶寬、循環(huán)周期、一些特殊功能上有所不同（諸如熱插拔、安全網(wǎng)絡(luò)上的交叉通信等）。盡管循環(huán)周期對反應(yīng)時間起決定性作用，但是交叉通信是一項會對安全系統(tǒng)的性能起到很大提升作用的功能。
        標準以太網(wǎng)中的一個原生功能就是交叉通信。它使網(wǎng)絡(luò)上的節(jié)點，不必迂回至主站，直接互相通信成為可能。在安全向的網(wǎng)絡(luò)中，交叉通信不僅可使安全控制器不處于網(wǎng)絡(luò)中心：災(zāi)難情況下直接進行交叉通信，它也使響應(yīng)時間大大縮短。由于軸的急停位移與故障響應(yīng)時間和負加速的平方正相關(guān)，四倍的信號傳輸時間將會導(dǎo)致16倍的急停位移。

        安全操作停止的故障響應(yīng)時間：即使響應(yīng)時間有微量的增加，急停距離可能會有致命的增加。

        對機器生產(chǎn)商的好處
        ?可以自由選擇安全傳感器
        ?更快的響應(yīng)時間
        ?更少的安全距離
        ?更高的生產(chǎn)力
        ?簡便的開發(fā)和診斷
        ?機器指令輕松實施

[DividePage:NextPage]

三、openSAFETY原理
        1. 原理
        OpenSAFETY值得人們注意的是數(shù)據(jù)傳輸定義以及它提供的高層配置服務(wù)、尤其是對安全相關(guān)數(shù)據(jù)的封裝，使之成為靈活的報文格式。實際上，在所有應(yīng)用中，openSAFETY都使用統(tǒng)一格式的幀，無論是用于負載數(shù)據(jù)的傳輸，還是用于配置或時間同步信息。幀長度可變且經(jīng)濟，主要還是取決于要傳輸?shù)臄?shù)據(jù)量。網(wǎng)絡(luò)上的安全節(jié)點自動識別其內(nèi)容，即不必配置幀類型和幀長度。
        自動的安全參數(shù)分配
        openSAFETY的亮點之一就是自動的安全參數(shù)分配：該協(xié)議可以進行安全應(yīng)用的詳細配置信息的存儲，例如安全控制器中的光幕。如果一個設(shè)備要換下，安全控制器會自動并準確無誤地將存儲的配置信息下載到換上的應(yīng)用中。即，當用戶換掉下一個安全設(shè)備后，用戶無需手動配置新節(jié)點。
        故障可靠檢測
        openSAFETY通過校驗和來檢查是否存在不完整的數(shù)據(jù)傳輸，以及對于數(shù)據(jù)傳輸率的常監(jiān)視。因為循環(huán)時間是非常短的，錯誤幾乎沒有任何延遲便可檢測到。由于所有數(shù)據(jù)通信的一場都能被識別，甚至非安全網(wǎng)絡(luò)無法兼容安全向功能。
        下圖指出可能會發(fā)生哪些錯誤，并解釋openSAFETY使用的用以便是和防止故障的機制。

        該表列出錯誤已知傳輸錯誤和openSAFETY可用的故障識別機制。

        2. 故障原因
        數(shù)據(jù)傳輸錯誤中的很大比例是網(wǎng)關(guān)轉(zhuǎn)發(fā)時出的錯。假若兩個網(wǎng)絡(luò)之間有兩個網(wǎng)關(guān)，傳輸了相同的數(shù)據(jù)，那么數(shù)據(jù)重復(fù)便可能發(fā)生。另一方面，如果網(wǎng)關(guān)沒有轉(zhuǎn)發(fā)數(shù)據(jù)，或者轉(zhuǎn)發(fā)到其他網(wǎng)絡(luò)上，那么數(shù)據(jù)包就丟失了。如果數(shù)據(jù)包可以根據(jù)長度需要，以一個部分包序列傳輸，那么因路徑不同、網(wǎng)關(guān)各式各樣，造成數(shù)據(jù)包的一些段的順序錯誤和混淆。網(wǎng)關(guān)的數(shù)據(jù)轉(zhuǎn)發(fā)也會因其負載過高而延遲。
        另一個數(shù)據(jù)出錯源頭是電磁干擾。它可能導(dǎo)致數(shù)據(jù)位翻轉(zhuǎn)，甚至破壞真?zhèn)€信息段。再者，在傳輸標準數(shù)據(jù)和安全數(shù)據(jù)的網(wǎng)絡(luò)上，還會出現(xiàn)“數(shù)據(jù)偽裝”（masquerades），即因錯序和混淆導(dǎo)致標準信息被錯當成安全信息。這會造成嚴重故障。
        3. 錯誤辨識和防止
        OpenSAFETY的一項關(guān)鍵機制是時間戳，它可以防止數(shù)據(jù)重復(fù)、混淆和延遲。每個數(shù)據(jù)包都被標記以當前時間，使接收端可以避免讀重數(shù)據(jù)，并判斷時序和延遲。
        OpenSAFETY不依靠分布時鐘，而是通過一個特殊方法為所有節(jié)點進行同步。同時采用時間監(jiān)視方式防止因數(shù)據(jù)丟失或過長延遲導(dǎo)致的錯誤，即實時、連續(xù)地監(jiān)視節(jié)點。
        另外，從提示信息中用戶可以知道數(shù)據(jù)鏈路層的連接狀態(tài)。OpenSAFETY使用 “看門狗”這樣一種軟件上的機制。在接收端，標識符可以排除一切混淆：OpenSAFETY幀有一個獨特的8位或16位ID標識，包含地址域信息、報文類型和幀類型的信息。最可靠的辨明原始信息發(fā)生變化的方法是通過CRC。它通過一個key為每組數(shù)據(jù)生產(chǎn)校驗和，連同key本身以位序列的形式加入數(shù)據(jù)組中。該校驗和本身可以看作數(shù)據(jù)的一個獨特的編碼。通過位序列和key，接收端可以計算出原始數(shù)據(jù)組，并與實際接受到的數(shù)據(jù)比較。如果檢查出任何不同，該條信息就會被忽略。
        4. OpenSAFETY的幀結(jié)構(gòu)
        OpenSAFETY復(fù)制要傳輸?shù)膸?，然后將它們?lián)合為1個OpenSAFETY幀。因此，OpenSAFETY幀包含兩個有著相同內(nèi)容的子幀。
        每個子幀都有一個獨立的校驗和作為保障。接收端比較兩個子幀的內(nèi)容。這樣的兩個子幀中相同數(shù)據(jù)被改變或破壞的可能性是極低的，并且?guī)L度增加會讓它進一步降低。假使發(fā)生最極端的特例，校驗和也會起到糾正作用。OpenSAFETY的這種特殊格式，即兩個相同子幀、每個帶有獨自的校驗和的形式，同樣使“偽裝”也不會出現(xiàn)，排除偽裝的標準信息的可能性。

        更多資料：

（轉(zhuǎn)載）