openSAFETY基础引导（一）

        由ESPG引入的openSAFETY，是世界上第一个100%开源的安全协议。它不仅在法律层面上是开放的，在技术层面上也是。由于该协议独立于总线，openSAFETY可以应用于任何现场总线和工业以太网的方案中，甚至用于特殊定制的协议方案中。
        •亮点
        openSAFETY是第一个开源、独立于总线的安全标准，适用于所有工业以太网方案。
        对于在任何数据传输协议上openSAFETY的实施，EPSG都将提供积极支持，同时也提供认证和一致性测试。
        该经过TÜV认证的协议栈确保了对该技术的投资是绝对安全的。
            •一个统一标准，适用于所有现场总线
            •从站间直通信（cross communication）使生产力最大化
            •研发、维护时间进一步减少
            •自动的安全参数化
            •完全符合机器的安全模块化思想
            •完整的开源解决方案
            •最稳健的IEC 61508 SIL3通信方案
            •无风险，TÜV认证的一致性测验
            •完全适用背板总线
        •传输层和应用层
        标准OSI模型是当今应用最普遍的数据传输协议的模型，它是层级式结构的，有7层。根据规则，每层处理相应任务。这里最基础的、最底层的是物理层和数据链路层，也可以将二者一同叫做物理层。它们定义了物理接口的传输媒介，也提供发送端和接受端之间是否建立了连接的检测。以太网仅明确了这两个底层。
        第三、四层也被叫做传输层，负责处理时序、数据传输的逻辑顺序以及数据的应用属性（data attribution to applications）。
        这四层包含的都是面向传输的服务，所做的只是建立应用数据的传输媒介。应用数据本身属于上层。
        上层包括会话层和表示层。这二者经常与应用层合在一组，因为程序都是直接访问他们三者的。会话层管理不同应用程序之间数据交换的组织方式和同步。比如，如果一个连接被中断，该层的服务便确保在连接再次建立之后，通信会在断点处继续。
        第六层，表示层将去掉不同系统表达方式上的差别，也确保翻译的语义上的正确性。还有其他诸如数据压缩、加密的功能。
        最顶层是应用层。没有严格任务或任务范围上的定义。它为各种应用程序提供OSI模型范畴之外的服务。
        在OSI模型的启发之下，下图表达了openSAFETY只定义了协议栈中的高层、应用向的层。

        该层中嵌入的安全机制能够保证，在安全度敏感的应用中，负载数据的安全编码和解码。
        为描述方便，图示中的蓝色区域覆盖了所有传输向的第二到六层。传输媒介的选择，更具体的说，某种特定数据传输协议的选择是无所谓的。
 

二、安全的投资
        用户怎样受益于openSAFETY的
        “竞争有益于发展”，这几乎是真理。健康的竞争会刺激持续的产品质量和效率的提高。然而安全向的软硬件产品的开发是一个特例，因为市场经济下的制造者都面对该类型产品的高投资风险：相当大的投入，而销售潜力却相对较小。所以，自动化领域早就急切需求一个统一、通用的安全协议，也就是一个能够给制造者为未来安全向产品开发以坚实基础的安全协议。
        openSAFETY标志着此类标准的首次引入，而且任何人都可以免费使用。

上图示意了随着开发复杂度的增加，投资风险也在增加

        1. 过去的投入和成本
        通信系统中不断上涨的开发成本
        简单回顾基于总线的自动化历史或许有益于理解投资风险与不断膨胀的复杂度之间的正向关系。
        在现场总线引入的十年后，市场上充斥着相互竞争的不同系统。对于该技术标准化的争夺战就此展开。今天，工业行家将这段时期称为“现场总线之战”。IEC61158的引入表面上结束了争夺。然而它仍是一个弱势的妥协的产物，因为它没有带来整体上的系统兼容性。不过值得注意的是第一代总线的开发成本相对较低，而市场潜力较大。
        工业以太网中以太网技术的加入标志了一个新阶段。至少人们都以为一个统一的标准已经到来。然而，随着不同生产者在实现实时性能时候选择的方法迥異，接下来又是现场总线之战。最终大概六七个系统占据主要地位：Profinet, Modbus-TCP, EtherNet/IP, 它们都提供软实时；POWERLINK, EtherCAT, SERCOS III, 它们提供硬实时。与传统的现场总线相比，开发工业以太网的成本有一定的增加．但市场潜力没有成正比增加。

openSAFETY为整条生产线构成一个统一的安全标准，而与具体控制系统制造商和所使用的现场总线标准无关。因此，独立于总线的openSAFETY标准降低了成本，还有开发周期。[page]

        安全技术是一个特例
        每当需要设计符合IEC61508的安全敏感产品时，开发和认证的工作量就变的相当大了。因为这包括许多方面的功能性安全，有电气的、电子的、可编程系统的等。这个领域的投资几乎十倍于非安全向的现场总线技术。而且，制造者必须拥有将各种标准实践的经验，而且在一些特殊方法和过程上必须有专业人员解决。
        现在一方面是苛刻的要求和高昂的成本，另一方面该类产品的市场尚未很大成长，“系统之战”会严重阻碍未来基于总线的安全技术的发展。比如一加生产传感器的厂商决定生产安全向产品，并且符合各种不同安全协议，他们面对的人力成本和投资风险是十分巨大的。

    openSAFETY的解决方案
        openSAFETY是一个经过实验验证和实践证实的系统。作为非独有技术，openSAFETY解决了以上的技术难题，并使生产者和用户实现了双赢。
应用“黑色通道原理”，openSAFETY可以用于所有现场总线、工业以太网，安全技术的生产者可以专注于一个通用的系统上，并且只需完成一个安全开发就可以用于所有标准现场总线上。这样一来成本和风险都降低了。
        工厂及操作员也会从中受益。一般他们承担器械上的安全责任，但他们对于用于其中的通信系统没有提出过要求。这些通信系统的一切是器械生产商决定的。而openSAFETY可以永久给予机器操作员对于不同控制网络之间的整体安全解决方案。

        对工厂中操作者有利
        •对整个生产线、整个工厂都是唯一的一个完整安全标准
         •适用于所有控制系统生产者
         •完全符合工厂安全模块化思想
         •最小研发和升级时间
        对传感器生产者有利
         •只需一次开发
         •没有巨大风险
         •最短上市时间
         •开源、低成本
         •有保障的互通性
 

    2. 投资的安全性
        由于安全向产品的开发面对着高成本和市场相对较小这样有挑战性的条件，找到确保长期投资安全的方法，对这一领域里的系统和产品生产商来说，是绝对重要的。
        对投资的保护有很多要素：可用的软硬件及它们的可靠性，法律依据的安全性，还有最重要的开发成本的范围和预算。openSAFETY对于产品生产者和终端用户来说都是一个稳妥的选择，因为这种解决方案提供了可以直接使用的安全栈，并且经过多年实际应用，有着很高信用。与使用独有技术的开发不同，这里不需要高额的开发成本，也不需要长期开发以及专家。由于openSAFETY已经是TUV认证、并被IEC 61784-3包括，开发风险也被降到最低。最后，作为用户，有一个长期且十分健全的法律依据的保障也是相当重要的。而openSAFETY正式在BSD开源许可下开放的。
        使用openSAFETY可以提升4倍速度=16倍生产力

        任务：
        (X) 安全节点1要将数据送至安全节点2.
        解决方案：
        (1) 安全节点1将数据发送到安全节点2. 

        任务：
        (X) 安全节点1要将数据送至安全节点2.

        解决方案：
        (1)安全节点1将数据发送到EtherCAT主站
        (2) EtherCAT主站将数据转发到安全主站
        (3)安全主站将数据发送到EtherCAT主站
        (4) EtherCAT主站将数据转发到安全节点2
        交叉通信（cross-traffic）提高安全度：左侧网络可以做到对安全节点的从-从直接访问，而没有交叉通信功能的右侧必须是经过主站和安全主站才能访问的。信号传输时间放大了4倍，急停被延迟。
        3. 交叉通信是如何提升机器安全度的
        openSAFETY只定义了应用层，而实施该安全协议的安全网络的反应时间、性能取决于所使用的数据传输协议。不同数据传输协议在可用带宽、循环周期、一些特殊功能上有所不同（诸如热插拔、安全网络上的交叉通信等）。尽管循环周期对反应时间起决定性作用，但是交叉通信是一项会对安全系统的性能起到很大提升作用的功能。
        标准以太网中的一个原生功能就是交叉通信。它使网络上的节点，不必迂回至主站，直接互相通信成为可能。在安全向的网络中，交叉通信不仅可使安全控制器不处于网络中心：灾难情况下直接进行交叉通信，它也使响应时间大大缩短。由于轴的急停位移与故障响应时间和负加速的平方正相关，四倍的信号传输时间将会导致16倍的急停位移。

        安全操作停止的故障响应时间：即使响应时间有微量的增加，急停距离可能会有致命的增加。[page]

        对机器生产商的好处
        •可以自由选择安全传感器
        •更快的响应时间
        •更少的安全距离
        •更高的生产力
        •简便的开发和诊断
        •机器指令轻松实施
 

三、openSAFETY原理
        1. 原理
        OpenSAFETY值得人们注意的是数据传输定义以及它提供的高层配置服务、尤其是对安全相关数据的封装，使之成为灵活的报文格式。实际上，在所有应用中，openSAFETY都使用统一格式的帧，无论是用于负载数据的传输，还是用于配置或时间同步信息。帧长度可变且经济，主要还是取决于要传输的数据量。网络上的安全节点自动识别其内容，即不必配置帧类型和帧长度。
        自动的安全参数分配
        openSAFETY的亮点之一就是自动的安全参数分配：该协议可以进行安全应用的详细配置信息的存储，例如安全控制器中的光幕。如果一个设备要换下，安全控制器会自动并准确无误地将存储的配置信息下载到换上的应用中。即，当用户换掉下一个安全设备后，用户无需手动配置新节点。
        故障可靠检测
        openSAFETY通过校验和来检查是否存在不完整的数据传输，以及对于数据传输率的常监视。因为循环时间是非常短的，错误几乎没有任何延迟便可检测到。由于所有数据通信的一场都能被识别，甚至非安全网络无法兼容安全向功能。
        下图指出可能会发生哪些错误，并解释openSAFETY使用的用以便是和防止故障的机制。

        该表列出错误已知传输错误和openSAFETY可用的故障识别机制。

        2. 故障原因
        数据传输错误中的很大比例是网关转发时出的错。假若两个网络之间有两个网关，传输了相同的数据，那么数据重复便可能发生。另一方面，如果网关没有转发数据，或者转发到其他网络上，那么数据包就丢失了。如果数据包可以根据长度需要，以一个部分包序列传输，那么因路径不同、网关各式各样，造成数据包的一些段的顺序错误和混淆。网关的数据转发也会因其负载过高而延迟。
        另一个数据出错源头是电磁干扰。它可能导致数据位翻转，甚至破坏真个信息段。再者，在传输标准数据和安全数据的网络上，还会出现“数据伪装”（masquerades），即因错序和混淆导致标准信息被错当成安全信息。这会造成严重故障。
        3. 错误辨识和防止
        OpenSAFETY的一项关键机制是时间戳，它可以防止数据重复、混淆和延迟。每个数据包都被标记以当前时间，使接收端可以避免读重数据，并判断时序和延迟。
        OpenSAFETY不依靠分布时钟，而是通过一个特殊方法为所有节点进行同步。同时采用时间监视方式防止因数据丢失或过长延迟导致的错误，即实时、连续地监视节点。
        另外，从提示信息中用户可以知道数据链路层的连接状态。OpenSAFETY使用 “看门狗”这样一种软件上的机制。在接收端，标识符可以排除一切混淆：OpenSAFETY帧有一个独特的8位或16位ID标识，包含地址域信息、报文类型和帧类型的信息。最可靠的辨明原始信息发生变化的方法是通过CRC。它通过一个key为每组数据生产校验和，连同key本身以位序列的形式加入数据组中。该校验和本身可以看作数据的一个独特的编码。通过位序列和key，接收端可以计算出原始数据组，并与实际接受到的数据比较。如果检查出任何不同，该条信息就会被忽略。
        4. OpenSAFETY的帧结构
        OpenSAFETY复制要传输的帧，然后将它们联合为1个OpenSAFETY帧。因此，OpenSAFETY帧包含两个有着相同内容的子帧。
        每个子帧都有一个独立的校验和作为保障。接收端比较两个子帧的内容。这样的两个子帧中相同数据被改变或破坏的可能性是极低的，并且帧长度增加会让它进一步降低。假使发生最极端的特例，校验和也会起到纠正作用。OpenSAFETY的这种特殊格式，即两个相同子帧、每个带有独自的校验和的形式，同样使“伪装”也不会出现，排除伪装的标准信息的可能性。

        安全帧被包含在标准帧的负载数据域；它由两个相同子帧组成，各自有校验和。
        5. OpenSAFETY网络
        一个OpenSAFETY网络可以包含多达1023个安全域，每个域又可以包含1023个节点或设备。
        安全域可以跨越不同网络，并且可以将分散在不同网络上的安全节点整合为一个域。安全和非安全谁被可以共处于一个域。通过网关可以使不同安全域之间的通信成为可能。通过OpenSAFETY，用户可以强制按层级式划分网络，也可以建立各自独立的安全域。比如，可以建立这样的网络：一个域内实施安装，而另一个域中的生产毫不受影响地进行。每个域中，有一个安全配置管理器（SCM）负责连续监视所有安全节点。