工業(yè)通信網(wǎng)絡(luò) 行規(guī) 第3-8部分：CC-Link系列功能安全通信行規(guī) 征求意見稿

1GB/TXXXXX—XXXX工業(yè)通信網(wǎng)絡(luò)行規(guī)第3-8部分:CC-Link系列功能安全通信行規(guī)全通信層（服務(wù)和協(xié)議并標識出在IEC61784-3中定義的功能安全通信原理與本文件中的安全通信層是相關(guān)的。該安全通信層僅在安全設(shè)備中實現(xiàn)。本文件定義了在使用現(xiàn)場總線技術(shù)的分布式網(wǎng)絡(luò)內(nèi)的參與者之間傳輸安全相關(guān)報文的機制，該機制符合IEC61508系列標準對于功能安全的要求。這些機制可用于各種工業(yè)應(yīng)用，如過程控制、制造自動化和機械。本文件為遵循本文件的設(shè)備和系統(tǒng)的開發(fā)者和評估者提供指導(dǎo)。注2：一個系統(tǒng)最終的SIL聲明取決于該系統(tǒng)內(nèi)所選擇的功能安全通信行規(guī)的實現(xiàn)——在標準設(shè)備中依據(jù)本文件實現(xiàn)功能安全通信行規(guī)不足以證明該設(shè)2規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。IEC61131-2工業(yè)過程測量和控制-可編程控制器-第2部分：設(shè)備要求和測試IEC60204-1機械電氣安全機械電氣設(shè)備第1部分:通用技術(shù)條件（Safetyofmachinery-IEC61158-2工業(yè)通信網(wǎng)絡(luò)現(xiàn)場總線規(guī)范第2部分:物理層規(guī)范和服務(wù)定義（IndustrialIEC61158-3-18工業(yè)通信網(wǎng)絡(luò)現(xiàn)場總線規(guī)范第3-18部分:數(shù)據(jù)鏈路層服務(wù)定義類型18元IEC61158-4-18工業(yè)通信網(wǎng)絡(luò)現(xiàn)場總線規(guī)范第4-18部分:數(shù)據(jù)鏈路層協(xié)議規(guī)范類型18元IEC61158-5-18工業(yè)通信網(wǎng)絡(luò)現(xiàn)場總線規(guī)范第5-18部分:應(yīng)用層服務(wù)定義類型18元素IEC61158-5-23工業(yè)通信網(wǎng)絡(luò)現(xiàn)場總線規(guī)范第5-23部分:應(yīng)用層層服務(wù)定義類型23元素2GB/TXXXXX—XXXXIEC61158-6-18工業(yè)通信網(wǎng)絡(luò)現(xiàn)場總線規(guī)范第6-18部分:應(yīng)用層協(xié)議規(guī)范類型18元素IEC61158-6-23工業(yè)通信網(wǎng)絡(luò)現(xiàn)場總線規(guī)范第6-23部分:應(yīng)用層協(xié)議規(guī)范類型23元素IEC61326-3-1測量、控制和實驗室用電氣設(shè)備-EMC要求-第3-1部分:安全相關(guān)系統(tǒng)和執(zhí)IEC61326-3-2測量、控制和實驗室用電氣設(shè)備-EMC要求-第3-2部分:安全相關(guān)系統(tǒng)和執(zhí)IEC61508(所有部分)電氣/電子/可編程控制電子IEC61511(所有部分)功能安全-過程工業(yè)行業(yè)安全儀表系統(tǒng)（Functionalsafety-SafetyIEC61784-2工業(yè)通信網(wǎng)絡(luò)行規(guī)第2部分:基于ISO/IEC8802-3的實時網(wǎng)絡(luò)的附加現(xiàn)場總線IEC61784-3工業(yè)通信網(wǎng)絡(luò)行規(guī)第3部分:功能安全現(xiàn)場總線一般規(guī)則和行規(guī)定義IEC62061機械電氣安全安全相關(guān)電氣、電子和可編程電子控制系統(tǒng)的功能安全（SafetyofIEEE802.3IEEE信息技術(shù)標準系統(tǒng)間的通信和信息交換局域網(wǎng)和城域網(wǎng)特定要求第3部分:帶有沖突檢測的載波監(jiān)聽多路訪問（CSMA/CD）訪問方法和物理層規(guī)范（IEEEStandardfor3術(shù)語、定義、符號、縮略語和約定3.1術(shù)語和定義下列術(shù)語和定義適用于本文件。3.1.1通用術(shù)語和定義3GB/TXXXXX—XXXX絕對時間戳absolutetimestamp參考全局時間的時間戳，該全局時間對于現(xiàn)場總線中的一組設(shè)備是通用的。有源網(wǎng)絡(luò)元件activenetworkelement包括電和（或）光的有源組件的網(wǎng)絡(luò)元件，用于網(wǎng)絡(luò)擴展。誤比特率（Pe）biterrorprobability（Pe）接收到特定比特出現(xiàn)不正確值的概率。黑色通道blackchannel無需依據(jù)GB/T20438獲得設(shè)計或驗證證明的包含一個或多個元件的通信系統(tǒng)。橋bridge在數(shù)據(jù)鏈路層連接多個網(wǎng)段的抽象設(shè)備。封閉的通信系統(tǒng)closedcommunicationsystem由固定數(shù)量或固定最大數(shù)量的參與者構(gòu)成的通信系統(tǒng)，該通信系統(tǒng)具有明確的固定屬性，并且不考慮未授權(quán)訪問的風(fēng)險。通信通道communicationchannel一個通信系統(tǒng)內(nèi)兩個端點之間的邏輯連接。通信系統(tǒng)communicationsystem由硬件、軟件和傳輸媒體組成，以允許將報文（ISO/IEC7498-1應(yīng)用層）從一個應(yīng)用傳輸?shù)搅硪粋€應(yīng)用。連接connection在相同或不同設(shè)備內(nèi)的兩個應(yīng)用對象間的邏輯連接。0循環(huán)冗余校驗（CRC）CyclicRedundancyCheck（CRC）值——為檢測數(shù)據(jù)訛誤，從某個數(shù)據(jù)塊得到并與該數(shù)據(jù)塊一起存儲或傳輸?shù)娜哂鄶?shù)據(jù)。方法——用于計算冗余數(shù)據(jù)的規(guī)程。1確定的通信系統(tǒng)（確定通道）definedcommunicationsystem(definedchannel)4GB/TXXXXX—XXXX由固定數(shù)量或固定最大數(shù)量的參與者通過現(xiàn)場總線鏈接構(gòu)成的通信系統(tǒng)，該通信系統(tǒng)具有明確的固定屬性，如安裝條件、電磁抗擾性和工業(yè)（有源）網(wǎng)絡(luò)元件，并且根據(jù)IEC62443系列標準中的全生命周期模型，如使用區(qū)域和管道技術(shù)，將未授權(quán)訪問的風(fēng)險減少至可容忍程度。2多樣性diversity執(zhí)行所要求功能的不同方法。3錯誤error計算、觀測或測量的值或條件與真實、規(guī)定或理論上正確的值或條件間的差異。4失效failure功能單元執(zhí)行一個要求功能之能力的終止，或功能單元在任何非要求方式下的操作。5故障fault可能導(dǎo)致功能部件執(zhí)行所需功能的能力下降或喪失的異常狀態(tài)。護或其他按計劃行動期間的無能力或外部資源6現(xiàn)場總線fieldbus基于串行數(shù)據(jù)傳輸并用在工業(yè)自動化或過程控制應(yīng)用中的通信系統(tǒng)。7現(xiàn)場總線系統(tǒng)fieldbussystem使用現(xiàn)場總線連接設(shè)備的系統(tǒng)。8幀校驗序列frameCheckSequence（FCS）為檢測數(shù)據(jù)訛誤，使用哈希函數(shù)從DLPDU（幀）內(nèi)的數(shù)據(jù)塊得到并與該數(shù)據(jù)塊一起存儲或傳輸?shù)娜哂鄶?shù)據(jù)。9哈希函數(shù)hashfunction一個（數(shù)學(xué)）函數(shù)，將一個（可能非常）大的數(shù)值集映射成（通常）較小范圍的數(shù)值集。5GB/TXXXXX—XXXX0危險hazard系統(tǒng)的一種狀態(tài)或一組條件。它與其他相關(guān)條件一起，將不可避免地對人身、財產(chǎn)或環(huán)境造成傷害。1主站master能夠發(fā)起和調(diào)度其他站（可能是主站或從站）通信活動的主動通信實體。2報文message用于傳送信息的有序八位位組序列。3信宿messagesink接收報文的那部分通信系統(tǒng)。4信源messagesource發(fā)起報文的那部分通信系統(tǒng)。5性能等級（PL）performancelevel（PL）用于規(guī)定控制系統(tǒng)安全相關(guān)部分在可預(yù)見條件下執(zhí)行安全功能的能力的離散等級。6冗余redundency存在一種以上用于執(zhí)行同一規(guī)定功能或表達信息的方法。7相對時間戳relativetimestamp參考實體的本地時鐘的時間戳。8殘差概率（RP）residualerrorprobability（RP）SCL安全措施未發(fā)現(xiàn)的錯誤的概率。9殘差率residualerrorrateSCL安全措施未能檢測出錯誤的統(tǒng)計率。0風(fēng)險risk出現(xiàn)傷害的概率與該傷害嚴重性的組合。6GB/TXXXXX—XXXX1安全通信通道safetycommunicationchannel起始于信源頂部SCL，終止于信宿頂部SCL的通信通道。2安全通信層（SCL）safetycommunicationlayer（SCL）在FAL之上的通信層，包括根據(jù)IEC61508保證數(shù)據(jù)安全傳輸?shù)乃斜匾胧?安全連接safetyconnection使用安全協(xié)議進行通信事務(wù)處理的連接。4安全數(shù)據(jù)safetydata使用安全協(xié)議在安全網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)。5安全設(shè)備safetydevice依據(jù)IEC61508進行設(shè)計并實現(xiàn)功能安全通信行規(guī)的設(shè)備。6安全功能safetyfunction由E/E/PE安全相關(guān)系統(tǒng)或其他風(fēng)險降低措施所實現(xiàn)的功能，其目的是在發(fā)生特定危險事件時，達到或保持EUC的安全狀態(tài)。7安全功能響應(yīng)時間safetyfunctionresponsetime當(dāng)安全功能通道出現(xiàn)錯誤或故障時，從與現(xiàn)場總線相連的安全傳感器啟動，到其安全執(zhí)行器達到相應(yīng)的安全狀態(tài)之前，最差情況持續(xù)的時間。8安全完整性等級（SIL）safetyintegritylevel（SIL）對應(yīng)于安全完整性值的范圍的離散等級（4種可能等級中的1種）。其中，安全完整性等級4為安全完整性最高等級，1為最低等級。9安全措施safetymeasure控制可能的通信錯誤的措施，該措施的設(shè)計和實現(xiàn)符合IEC61508的要求。07GB/TXXXXX—XXXX安全PDU（SPDU）safetyPDU(SPDU)在安全通信通道中傳輸?shù)腜DU。1安全相關(guān)應(yīng)用safety-relatedapplication為滿足應(yīng)用的SIL要求，根據(jù)IEC61508設(shè)計的程序。2安全相關(guān)系統(tǒng)safety-relatedsystem根據(jù)IEC61508執(zhí)行安全功能的系統(tǒng)。3從站slave能夠接收報文并將報文發(fā)送給另一個通信實體(主站或從站)的通信實體，但不能發(fā)起通信。4假脫扣spurioustrip無過程要求而由安全系統(tǒng)引起的脫扣。5時間戳timestamp包含在報文中的時間信息。6均勻分布uniformdistribution有限集合中的所有值可能以相同概率發(fā)生的概率分布。7白色通道whitechannel特定的通信系統(tǒng)。在這個系統(tǒng)中，所有相關(guān)的硬件和軟件都根據(jù)IEC61508進行設(shè)計、實施和驗證。3.1.2附加術(shù)語和定義周期cycle重復(fù)并連續(xù)執(zhí)行一系列命令或動作的時間間隔。安全應(yīng)用關(guān)系（SAR）safetyapplicationrelationship(SAR)兩個或多個安全相關(guān)應(yīng)用關(guān)系端點之間的應(yīng)用關(guān)系。安全應(yīng)用服務(wù)元素（SASE）safetyapplicationserviceelement(SASE)安全相關(guān)的應(yīng)用服務(wù)元素。安全時鐘safetyclock記錄事件（如安全通信相關(guān)報文的傳輸和接收）發(fā)生時間的時鐘（計數(shù)器）。8GB/TXXXXX—XXXX安全數(shù)據(jù)監(jiān)視定時器safetydatamonitortimer用于安全數(shù)據(jù)傳輸?shù)臅r間期望值功能所使用的定時器。安全監(jiān)視定時器safetymonitortimer用于安全連接管理的時間期望值功能所使用的定時器。安全刷新safetyrefresh主站和從站之間安全數(shù)據(jù)的周期性傳輸和接收。槽slot循環(huán)數(shù)據(jù)字段的位置相關(guān)映射的最小單位（粒度）。站station安全數(shù)據(jù)的傳輸和接收相關(guān)的設(shè)備及其SAREP。0安全協(xié)議傳輸信息safetyprotocoltransmissioninformation區(qū)別安全相關(guān)報文的信息。3.2符號和縮略語3.2.1通用符號和縮略語FALFS93.2.2附加符號和縮略語GB/TXXXXX—XXXXLEDLIDTPI-TTPI-R3.3約定為了幫助讀者熟悉本文件的章條編號，并與IEC61784-3保持一致，第4章至第10章參考FSCP4概覽5概述6安全通信層服務(wù)GB/TXXXXX—XXXX7安全通信層協(xié)議8安全通信層管理9系統(tǒng)要求11FSCP8/111.1范圍-FSCP8/1見第1章。11.2規(guī)范性引用文件-FSCP8/1見第2章。11.3術(shù)語、定義、符號、縮略語和約定-FSCP8/1見第3章。11.4FSCP8/1概覽（CC-LinkSafety）通信行規(guī)族8（一般指CC-Link）定義了基于IEC61158-2類型18，IEC61158-3-18，IECIEC61784-1中CPF8基本行規(guī)和本文件中定義的安全通信層規(guī)范。FSCP8/1是一種在使用現(xiàn)場總線技術(shù)的分布式網(wǎng)絡(luò)中用于參與者之間安全相關(guān)數(shù)據(jù)（如急停信號）通信的協(xié)議，符合IEC61508的功能安全要求。該協(xié)議可用于各種應(yīng)用，如過程控制、制造自動化和機械裝置。FSCP8/1協(xié)議使用CPF8通過實現(xiàn)序列號、時間期望值、連接身份驗證、報文回送、數(shù)據(jù)完整性保證和不同數(shù)據(jù)完整性保證安全措施，從而支持安全完整性等級SIL3（見IEC61508）。FSCP8/1的SCL能力通過引入安全應(yīng)用服務(wù)元素（SASE）來提供。這些SASE被用在如本文件所規(guī)定的其相應(yīng)的ASE位置。SASE來源于CPF8中的定義，本文件用于規(guī)范CPF8的安全專用部分。11.5FSCP8/1概述11.5.1為行規(guī)提供規(guī)范的外部文件GB/TXXXXX—XXXX鼓勵FSCP8/1安全設(shè)備的制造商查閱文獻[30]、[31]和[32]，這些文獻提供了有關(guān)實現(xiàn)本文件中定義的SCL的附加規(guī)范。11.5.2安全功能要求FSCP8/1為基于IEC61158類型18的功能安全通信系統(tǒng)規(guī)定了服務(wù)和協(xié)議。在本文件中規(guī)定的通信技術(shù)僅在依據(jù)IEC61508的要求所設(shè)計的設(shè)備中實現(xiàn)。如下要求適用于實現(xiàn)FSCP8/1協(xié)議的設(shè)備開發(fā)，并且也在FSCP8/1開發(fā)中使用:）；——離散數(shù)據(jù)的安全狀態(tài)是失電狀態(tài)（0）。對于模擬值，失電狀態(tài)應(yīng)由安全相關(guān)應(yīng)用定義；——除非具有特定的產(chǎn)品標準，否則，對于基本等級，環(huán)境條件應(yīng)符合IEC61131-2；對于安全裕度測試，環(huán)境條件應(yīng)符合IEC61326-3-1和IEC61326-3-2；——除非本文件中規(guī)定，否則對于安全性CPF8的要求應(yīng)保持不變。11.5.3安全措施概述在本文件中定義的安全通信層為實現(xiàn)其安全通信層，提供了如下確定性補救措施:——序列號；——時間期望值；——連接身份驗證；——報文回送；——數(shù)據(jù)完整性保證；——交叉校驗冗余；——不同數(shù)據(jù)完整性保證系統(tǒng)。表1列出了對可能發(fā)生錯誤的各種檢測措施。表1對可能發(fā)生錯誤的各種檢測措施通信錯誤確定性檢測措施序列號時間戳?xí)r間期望值連接身份驗證報文回送數(shù)據(jù)完整性保證交叉校驗冗余不同數(shù)據(jù)完整性保證系統(tǒng)XXXXXXXXXXXXXXGB/TXXXXX—XXXX序列號出信號應(yīng)設(shè)置為安全狀態(tài)。時間期望值一個集成的看門狗定時器給每個安全輸出從站的每個輸出通道提供時間期望值，從而保證了安全功能的響應(yīng)時間，即在安全輸入從站監(jiān)測到事件和在安全輸出從站的相應(yīng)輸出通道的響應(yīng)之間的安全功能響應(yīng)時間包含從安全輸入從站到主站的現(xiàn)場總線傳輸時間和從安全主站到安全輸出從站的現(xiàn)場總線傳輸時間，包括由于傳輸錯誤導(dǎo)致的安全PDU重復(fù)、安全輸出從站上的處理時間和安全相關(guān)控制器（SRC）內(nèi)的處理時間。如果安全輸出從站的特定輸出通道的安全功能響應(yīng)時間超時，那么對應(yīng)的輸出通道就設(shè)定為安全狀態(tài)，通常是電源斷電狀態(tài)。SRP的應(yīng)用層應(yīng)監(jiān)測到這些。連接身份驗證連接身份驗證是由一組安全連接ID（LinkID）和一個站號來實現(xiàn)的。每個安全從站使用一個3比特LinkID來規(guī)定其安全網(wǎng)絡(luò)系統(tǒng)。LinkID向SRC提供了最多8個安全網(wǎng)絡(luò)系統(tǒng)。在一個功能安全通信系統(tǒng)內(nèi)，LinkID的值是惟一的。安全報文總是包含LinkID。報文回送報文回送由每一個從站提供，以證實接收來自主站的報文。報文回送包含來自從站的錯誤狀態(tài)數(shù)據(jù)完整性保證通過使用安全PDU中包含的CRC來保證數(shù)據(jù)完整性。發(fā)送節(jié)點發(fā)送包含其計算出的CRC的安全PDU。接收節(jié)點將收到的安全PDU中的CRC與接收到的安全PDU中計算出的CRC進行比較，判斷是否發(fā)生訛誤。交叉校驗冗余接收節(jié)點交叉校驗接收到的安全PDU的冗余部分，以驗證這些部分是否逐位匹配。不同數(shù)據(jù)完整性保證系統(tǒng)安全相關(guān)報文與非安全相關(guān)報文的區(qū)別是安全相關(guān)報文包含CRC校驗和（32比特）。IEC61158一個3比特的LinkID、一個24比特的RNO，并且這些元件每個都應(yīng)符合為這些字段定義的限制。11.5.4安全通信層結(jié)構(gòu)FSCP8/1的SCL能力通過引入SASE來提供。這些SASE被用在如本文件所規(guī)定的其相應(yīng)的ASE位置。因為SASE來源于CPF8中的定義，本文件為CPF8定義了安全方面的附加內(nèi)容。SASE的實現(xiàn)基于以下方面:GB/TXXXXX—XXXX——設(shè)備管理器:用于M1和S1類型設(shè)備管理器的ASE類規(guī)范；——連接管理器:用于M1和S1類型連接管理器的AR類定義；——循環(huán)傳輸:用于M1和S1類型循環(huán)傳輸?shù)倪^程數(shù)據(jù)ARASE類規(guī)范。SCL為ASE定義增加了:SCL的所有管理、行為和功能都是用這些SASE來處理的。11.5.5與FAL（和DLL、PhL）的關(guān)系概述圖3給出了SCL與IEC61158類型18通信棧中其他層之間的關(guān)系。圖3SCL與IEC61158類型18通信棧中其他層之間的關(guān)系數(shù)據(jù)類型安全數(shù)據(jù)的數(shù)據(jù)類型在IEC61158-5-18中規(guī)定。11.6FSCP8/1的安全通信層服務(wù)對于過程數(shù)據(jù)輸入和輸出，F(xiàn)SCP8/1SAR使用緩沖的傳輸。所需的傳輸觸發(fā)類型服務(wù)取決于實例化對象的配置。連接管理由安全連接管理器類來處理。安全相關(guān)應(yīng)用使用SASE通過安全通信層進行通信。這些服務(wù)元素的形式模型在11.6中定義。11.6.2SASEM1安全設(shè)備管理器類規(guī)范M1安全設(shè)備管理器類支持在輪詢類型DL上實現(xiàn)主站類型的SCL用戶。SCLASE:類:類ID:父類:ManagementSASEM1safetydevicemanagernotusedM1devicemanager屬性:122.1…2.n…2.64(m)(m)(o)(m)(m)…(m)…(m)屬性:屬性:屬性:屬性:屬性:…屬性:…屬性:GB/TXXXXX—XXXXManagementinformationLinkidSoftware/protocolversionConnectedslavesmanagementinformationSoftware/protocolversion1…Software/protocolversionn…Software/protocolversion64S1安全設(shè)備管理器類規(guī)范S1安全設(shè)備管理器類支持從站類型SCL用戶在輪詢類型DL實現(xiàn)。SCLASE:ManagementSASE類:S1safetydevicemanager類ID:notused父類:S1devicemanager屬性:1(m)屬性:Managementinformation(m)屬性:Linkid(m)屬性:Software/protocolversion11.6.3SARM1安全連接管理器類M1安全連接管理器類支持主站類型SCL用戶在輪詢類型DL實現(xiàn)。SCLASE:ManagementSASEM1safetyconnectionmanager類ID:notused父類:M1connectionmanager屬性:1(m)屬性:Parameterinformation(m)屬性:Safetymonitortimervalue(m)屬性Safetydatamonitortimervalue(m)屬性:Safetyslavespecification(m)屬性:Safetyslavespecificationsource(m)屬性:Safetyslaveproductinformation2(m)屬性:Safetyslaveparameterdata3(m)屬性SafetyslavelinkstatusS1安全連接管理器類GB/TXXXXX—XXXXS1安全連接管理器類支持從站類型SCL用戶在輪詢類型DL實現(xiàn)。SCLASE:ManagementSASE類:S1safetyconnectionmanager類ID:notused父類:S1connectionmanager屬性:1(m)屬性:Safetyproductinformation2(m)屬性:Safetyslaveparameterdata11.6.4過程數(shù)據(jù)SARASEsM1安全循環(huán)傳輸類規(guī)范M1安全循環(huán)傳輸類支持主站類型SCL用戶與M1安全連接管理器相連。SCLASE:ProcessDataSARASE類:M1safetycyclictransmission類ID:notused父類:M1cyclictransmission屬性:1.(m)屬性:Dataout1.1.(m)屬性:SafetyRYdata1.2.(m)屬性:RWwdata1.2.1.(m)屬性:SafetyRWwdata1.2.2.(m)屬性:SafetyTPI-T1.3(m)屬性:SafetyRY-rdata1.4(m)屬性:RWw-rdata1.4.1(m)屬性:SafetyRWw-rdata1.4.2(m)屬性:SafetyTPI-T-r2.(m)屬性:Datain2.1.(m)屬性:Safetydatain12.1.1.(m)屬性:SafetyRXdata12.1.2.(m)屬性:RWrdata1(m)屬性:SafetyRWrdata1(m)屬性:SafetyTPI-R12.1.3(m)屬性:SafetyRX-rdata12.1.4(m)屬性:RWr-rdata1(m)屬性:SafetyRWr-rdata1(m)屬性:SafetyTPI-R-r1 2.n.(m)屬性:Safetydatainn GB/TXXXXX—XXXX2.64.(m)屬性:Safetydatain64S1安全循環(huán)傳輸類規(guī)范S1安全循環(huán)傳輸類支持從站類型SCL用戶與S1安全連接管理器相關(guān)聯(lián)。SCLASE:ProcessDataSARASES1safetycyclictransmission類ID:notused父類:S1cyclictransmission屬性:(m)屬性:Dataout(m)屬性:SafetyRYdata(m)屬性:RWwdata(m)屬性:SafetyRWwdata1.2.2.(m)屬性:SafetyTPI-T(m)屬性:SafetyRYdata(m)屬性:RWw-rdata1.4.1(m)屬性:SafetyRWw-rdata1.4.2(m)屬性:SafetyTPI-T-r2.(m)屬性:Datain2.1(m)屬性:SafetyRXdata2.2(m)屬性:RWrdata2.2.1(m)屬性:SafetyRWrdata2.2.2(m)屬性:SafetyTPI-R2.3(m)屬性:SafetyRX-rdata2.4(m)屬性:RWr-rdata2.4.1(m)屬性:SafetyRWr-rdata2.4.2(m)屬性:SafetyTPI-R-r11.7FSCP8/1的安全通信層協(xié)議11.7.1安全PDU格式概述在IEC61158-6-18的抽象語法和傳輸語法的條款中，描述了安全PDU的語法和編碼。抽象語法.1M1安全設(shè)備管理器PDU的抽象語法表2列出了該類屬性的抽象語法。表2M1安全設(shè)備管理器屬性格式GB/TXXXXX—XXXX屬性格式大?。ū忍兀㎝anagementinformation2個元素的結(jié)構(gòu):LinkidUnsigned33Software/protocolversion1個八位位組,比特映射8Connectedslavemanagementinformation64個成員的數(shù)組:64個八位位組Software/protocolversion1個八位位組,比特映射8.2S1安全設(shè)備管理器PDU抽象語法表3列出了該類屬性的抽象語法。表3S1安全設(shè)備管理器屬性格式屬性格式大?。ū忍兀㎝anagementinformation2個元素的結(jié)構(gòu):LinkidUnsigned33Software/protocolversion1個八位位組,比特映射8.3M1安全連接管理器PDU抽象語法表4列出了該類屬性的抽象語法。表4M1安全連接器管理器屬性格式屬性格式大?。ū忍兀?個元素的結(jié)構(gòu):2004個八位位組8個八位位組,比特映射8個八位位組,比特映射64個成員的數(shù)組:1984個八位位組面向字的數(shù)據(jù)結(jié)構(gòu)31個八位位組8個八位位組,比特映射.4S1安全連接管理器PDU抽象語法表5列出了屬于該類屬性的抽象語法。表5S1安全連接管理器屬性格式GB/TXXXXX—XXXX屬性格式大?。ū忍兀┟嫦蜃值臄?shù)據(jù)結(jié)構(gòu)31個八位位組.5M1安全循環(huán)傳輸PDU抽象語法表6列出了該類屬性的抽象語法。表6M1安全循環(huán)傳輸屬性格式屬性格式大?。ū忍兀?個元素的結(jié)構(gòu):面向比特的數(shù)據(jù)結(jié)構(gòu)面向字的數(shù)據(jù)結(jié)構(gòu)面向字的數(shù)據(jù)安全傳輸包信息面向比特的數(shù)據(jù)結(jié)構(gòu)面向字的數(shù)據(jù)結(jié)構(gòu)面向字的數(shù)據(jù)SafetyTPI-T-r安全傳輸報信息n個元素的結(jié)構(gòu)2個元素的結(jié)構(gòu)面向比特的數(shù)據(jù)結(jié)構(gòu)面向字的數(shù)據(jù)結(jié)構(gòu)面向字的數(shù)據(jù)安全傳輸包信息面向比特的數(shù)據(jù)結(jié)構(gòu)面向字的數(shù)據(jù)結(jié)構(gòu)面向字的數(shù)據(jù)SaftyTPI-R-r安全傳輸報信息………2個元素的結(jié)構(gòu).6S1安全循環(huán)傳輸PDU抽象語法表7列出了該類屬性的抽象語法。表7S1安全循環(huán)傳輸屬性格式屬性格式大?。ū忍兀?個元素的結(jié)構(gòu):面向比特的數(shù)據(jù)結(jié)構(gòu)面向字的數(shù)據(jù)結(jié)構(gòu)面向字的數(shù)據(jù)安全傳輸包信息面向比特的數(shù)據(jù)結(jié)構(gòu)面向字的數(shù)據(jù)結(jié)構(gòu)面向字的數(shù)據(jù)SafetyTPI-T-r安全傳輸報信息GB/TXXXXX—XXXX2個元素的結(jié)構(gòu):面向比特的數(shù)據(jù)結(jié)構(gòu)面向字的數(shù)據(jù)結(jié)構(gòu)面向字的數(shù)據(jù)安全傳輸包信息面向比特的數(shù)據(jù)結(jié)構(gòu)面向字的數(shù)據(jù)結(jié)構(gòu)面向字的數(shù)據(jù)SaftyTPI-R-r安全傳輸報信息傳輸語法.1M1安全設(shè)備管理器PDU編碼表8列出了該類屬性的詳細PDU編碼。表8M1安全設(shè)備管理器屬性編碼屬性編碼表示主設(shè)備的配置0～7:允許的范圍描述值軟件版本協(xié)議版本表示連接的從站的配置64個元素的數(shù)組，每一個元素編碼如下=描述值軟件版本協(xié)議版本.2S1安全設(shè)備管理器PDU編碼表9列出了該類屬性的詳細的PDU編碼。表9S1安全設(shè)備管理器屬性編碼屬性編碼表示主設(shè)備的配置描述值軟件版本協(xié)議版本GB/TXXXXX—XXXX.3M1安全連接管理器PDU編碼表10列出了該類屬性的詳細的PDU編碼。表10M1安全連接管理器屬性編碼屬性編碼表示連接的配置0=不支持SCL-user規(guī)范64個元素的數(shù)組,每個元素編碼如下:31個八位位組的安全產(chǎn)品信息數(shù)據(jù)0～52224個八位位組的從站內(nèi)存訪問數(shù)據(jù)0=安全從站未運行1=安全從站正在運行.4S1安全連接管理器PDU編碼表11列出了該類屬性的詳細的PDU編碼。表11S1安全連接管理器屬性編碼屬性編碼31個八位位組安全產(chǎn)品信息數(shù)據(jù)0～816八位位組的從站內(nèi)存訪問數(shù)據(jù).5M1安全循環(huán)傳輸PDU編碼表12列出了屬于該類屬性的特定PDU編碼。表12M1安全循環(huán)傳輸屬性編碼屬性編碼主站為從站輸出設(shè)定的過程數(shù)據(jù)存儲器按32比特的槽排序的所有連接從站的面向比特的輸出數(shù)據(jù)的位置映射字段。位置映射字段，它映射所有連接的安全從站的面向字GB/TXXXXX—XXXX的輸出數(shù)據(jù)以及傳輸?shù)桨踩珡恼镜陌踩珎鬏敯畔?。用于所有已連接從站的面向字的輸出數(shù)據(jù)的位置映射字段。每個槽包含4個字，從第二個槽開始，因為在非安全從站中后續(xù)字段占用了為第一個槽分配的空間。八位位組描述值-7保留0傳數(shù)據(jù)類型忙標志保留0讀請求SCL用戶應(yīng)用模式0=測試模式-與RY相同SafetyTPI-T-r八位位組描述值--主站讀取的表示從站輸入的過程數(shù)據(jù)存儲器主站讀取的表示安全從站輸入的過程數(shù)據(jù)存儲器含有從站n面向比特的輸入數(shù)據(jù)的字段，按32比特的槽的順序排列。含有從站n面向字的輸入數(shù)據(jù)的字段，每個槽4個字，按槽的順序排列。從站n的面向字的輸入數(shù)據(jù)的位置映射字段，每個槽包括4個字，從第二個槽開始。因為在一個非安全從站中后續(xù)字段占用了為第一個槽分配的空間。描述值GB/TXXXXX—XXXX描述值保留0傳輸數(shù)據(jù)類型忙標志錯誤通知保留0SCL-user應(yīng)用模式0=測試模式SafetyTPI-R-r描述值注RNO的值通過下列RNO的子部分組合得到:.6S1安全循環(huán)傳輸PDU編碼表13列出了屬于該類屬性的特定PDU編碼。表13S1安全循環(huán)傳輸屬性編碼屬性編碼從主站收到的過程數(shù)據(jù)該字段含有按32比特的槽排序的面向比特的輸入數(shù)據(jù)。GB/TXXXXX—XXXX位置映射字段，它映射從主站收到的面向字的輸出數(shù)據(jù)（可選的）和安全傳輸包信息。從站面向字的輸出數(shù)據(jù)的位置映射字段。每個槽包含4個字，從第二個槽開始。這是因為在非安全從站中后續(xù)字段占用了為第一個槽分配的空間。描述值保留0傳輸數(shù)據(jù)類型忙標志保留0讀請求SCL-user應(yīng)用模式0=測試模式SafetyTPI-T-r描述值發(fā)送給主站的過程數(shù)據(jù)該字段含有按32比特的槽排序的面向比特的輸入數(shù)據(jù)該字段含有來自主站的面向字的輸入數(shù)據(jù)。從站面向字的輸入數(shù)據(jù)的位置映射字段。每個槽包含4個字，從第二個槽開始。這是因為在一個非安全從站中后續(xù)字段占用了為第一個槽分配的空間。屬性編碼描述值GB/TXXXXX—XXXX保留0傳輸數(shù)據(jù)類型忙標志錯誤通知保留0SCL-user應(yīng)用模式0=測試模式SafetyTPI-R-r描述值注:RNO的值通過下列RNO的子部分組合得到:11.7.2狀態(tài)描述概述SCL狀態(tài)模型是從IEC61158類型18以及一個安全狀態(tài)擴展而來的，如圖4所示。一旦出現(xiàn)錯誤狀態(tài)，就進入該安全狀態(tài)，并且配置安全狀態(tài)以保證所有輸出都保持在安全狀態(tài)：數(shù)字輸出是低電平、零或者關(guān)閉，模擬輸出保持在由SCL用戶事先配置的安全水平。M1安全主站設(shè)備分別管理每個安全從站設(shè)備的狀態(tài)。GB/TXXXXX—XXXX圖4狀態(tài)圖連接建立、從站驗證以及數(shù)據(jù)刷新的通用方法都在IEC61158類型18上進行了擴展，包括安全參數(shù)的傳輸和處理（見11.8的SCL管理）和安全數(shù)據(jù)傳輸以及確認監(jiān)視。Idle.1概述Idle狀態(tài)存在于任何設(shè)備FAL通信開始之前。.2轉(zhuǎn)換當(dāng)FAL用戶對M1安全主站發(fā)出一個適當(dāng)請求，接收到來自S1安全從站設(shè)備的正確回答時，就當(dāng)接收到來自M1安全主站的輪詢通信的時候，S1安全從站設(shè)備轉(zhuǎn)換到FALrunning狀態(tài)。FALrunning.1概述M1安全主站設(shè)備和S1安全從站設(shè)備已建立非安全通信。.2轉(zhuǎn)換當(dāng)接收到來自M1安全主站請求的時候，S1安全從站轉(zhuǎn)換到SCLrunning狀態(tài)。當(dāng)接收到來自S1安全從站設(shè)備適當(dāng)響應(yīng)的時候，M1安全主站轉(zhuǎn)換到SCLrunning狀態(tài)。在FALrunning狀態(tài)中任何錯誤或者故障，或者轉(zhuǎn)換到SCLrunning狀態(tài)的過程失敗，都會導(dǎo)致SCLrunning.1概述.2轉(zhuǎn)換GB/TXXXXX—XXXX——序列號；——時間期望值；——連接身份驗證；——報文回送；——數(shù)據(jù)完整性保證；——交叉校驗冗余；——不同的數(shù)據(jù)完整性保證系統(tǒng)。Failsafe.1概述Failsafe狀態(tài)是指所有輸出都保持在其安全狀態(tài)。對于數(shù)字量輸出，除非另有規(guī)定，否則就是關(guān)狀態(tài)閉（0或低電平對于模擬量輸出，除非另有規(guī)定，否則就是零輸出狀態(tài)（即沒有電壓和/或沒有電流）。典型地，模擬量輸出將被配置一個安全值，該值是在Failsafe狀態(tài)下被強加在輸出上的。.2轉(zhuǎn)換從Failsafe狀態(tài)退出的惟一途徑是通過從站復(fù)位。安全數(shù)據(jù)的傳輸與處理.1概述FSCP8/1的SCL提供了如下安全措施:——序列號；——時間期望值；——連接身份驗證；——報文回送；——數(shù)據(jù)完整性保證；——交叉校驗冗余；——不同的數(shù)據(jù)完整性保證系統(tǒng)；安全主站和每一個安全從站都管理和分析安全傳輸，以驗證其完整性。.2序列號安全報文包含4比特的指定順序的序列號（RNO）。該序列號由主站來遞增和傳輸。安全從站對收到的序列號進行回應(yīng)。如果接收到的序列號出現(xiàn)錯誤，則安全從站轉(zhuǎn)換到Failsafe狀態(tài)。.3時間期望值SCL使用安全監(jiān)視定時器和安全數(shù)據(jù)監(jiān)視定時器來確?？煽?、連續(xù)的通信。SCL管理配置定時安全監(jiān)視定時器用于證實安全循環(huán)通信的正常運行，安全數(shù)據(jù)監(jiān)視定時器用于證實連續(xù)的安全循環(huán)通信的正常運行。安全站通過該安全監(jiān)視定時器監(jiān)視循環(huán)數(shù)據(jù)的接收間隔，這些循環(huán)數(shù)據(jù)通過正常的安全數(shù)據(jù)保護信息來保護。另外，安全從站也通過該安全數(shù)據(jù)監(jiān)視定時器監(jiān)視循環(huán)數(shù)據(jù)的接收間隔，這些循環(huán)數(shù)據(jù)通過正常的安全數(shù)據(jù)保護信息來保護。GB/TXXXXX—XXXX表14和表15列出了安全主站設(shè)備和安全從站設(shè)備的安全監(jiān)視定時器的運行。表16列出了安全數(shù)據(jù)監(jiān)視計時器的運行。表14安全主站監(jiān)視定時器運行啟動終止錯誤終止發(fā)送安全數(shù)據(jù)接收從站響應(yīng)（刷新）數(shù)據(jù)（使（1）出現(xiàn)了監(jiān)視超時用相同的RNO作為發(fā)送RNO該數(shù)據(jù)已被適當(dāng)添加了安全數(shù)據(jù)保護信息。表15安全從站監(jiān)視定時器運行啟動復(fù)位終止接收安全數(shù)據(jù)接收主站輪詢和刷新數(shù)據(jù)（之前（1）出現(xiàn)了監(jiān)視超時），添加了安全數(shù)據(jù)保護信息（3）接收到強制終止請求表16安全數(shù)據(jù)監(jiān)視定時器運行啟動復(fù)位終止接收安全循環(huán)I/O數(shù)據(jù)接收主站輪詢和刷新數(shù)據(jù)（之前），添加了安全數(shù)據(jù)保護信息（1）出現(xiàn)了監(jiān)視超時（3）接收到強制終止請求注:安全從站有兩個安全數(shù)據(jù)監(jiān)視定時器。一個安全數(shù)據(jù)監(jiān)視定時器在接收到安全循環(huán)I/O數(shù)據(jù)（CMS時器在接收到安全循環(huán)I/O數(shù)據(jù)（CMDID=0Fh和RNO=n+1）時開始，并在接收到兩個連續(xù)的數(shù)據(jù)在安全監(jiān)視定時器超時時，安全主站的的行為是:1)故障安全處理，如將遞交給SCL用戶的S-RX進行清零。在安全監(jiān)視定時器超時時，安全從站的行為是:1)故障安全處理，如終止向外部設(shè)備輸出。.4連接身份驗證連接身份驗證是通過一組安全連接標識（LinkID）和站號來實現(xiàn)的。每個安全從站使用3個比特的LinkID來指示它的安全網(wǎng)絡(luò)系統(tǒng)。LinkID向SRC提供了最多8個安全網(wǎng)絡(luò)系統(tǒng)。在一個功能安全通信系統(tǒng)內(nèi)，LinkID的值是惟一的。安全報文總是包含LinkID。此外，在SPDU中添加傳輸?shù)?6比特邏輯連接標識，用于確認。該字段包含TX（8比特的源標識）和RX（8比特的目的標識檢查該字段以保證連接的正確性，并用作數(shù)據(jù)完整性措施。GB/TXXXXX—XXXX.5報文回送報文回送由每一個從站提供，以證實接收來自主站的報文。報文回送包含來自從站的錯誤狀態(tài).6數(shù)據(jù)完整性用于FSCP8/1的CRC32計算方法見附錄A。用.7交叉校驗冗余冗余的數(shù)據(jù)字段對應(yīng)部分進行逐位比較。.8不同的數(shù)據(jù)完整性保證系統(tǒng)區(qū)分安全相關(guān)和非安全相關(guān)報文是通過驗證安全報文的惟一性來保證，包含格式正確的CRC強制終止在安全主站請求某個安全從站終止通信時，使用強制終止處理。安全從站接收到強制終止的命令后轉(zhuǎn)換為Failsafe狀態(tài)（停止外部輸出），然后立即終止通信。11.8FSCP8/1的安全通信層管理安全相關(guān)應(yīng)用使用如下的服務(wù)來配置安全通信系統(tǒng):——創(chuàng)建連接；——驗證從站配置；——安全從站參數(shù)傳輸。11.8.2連接建立和證實處理一旦連接建立，通過驗證安全設(shè)備中是否包含SAREP和是否支持安全循環(huán)傳輸來證實初始配置。表17列出了這個過程。表17連接建立和證實處理的說明SAREP類型處理說明安全主站（1）證實從站是安全從站設(shè)備（通過傳輸安全循環(huán)數(shù)據(jù)進行證實）（2）證實安全從站接收到建立連接命令（通過檢查響應(yīng)數(shù)據(jù)的CMD和PSD與發(fā)送數(shù)據(jù)是否相同來證實）（3）發(fā)送安全監(jiān)視定時器的值安全從站（1）證實主站是安全主站設(shè)備（通過傳輸安全循環(huán)數(shù)據(jù)進行證實）（2）接收到安全監(jiān)視定時器的值，并在內(nèi)部登記該值。安全主站發(fā)送創(chuàng)建連接命令時，發(fā)送RNO=0。GB/TXXXXX—XXXX11.8.3安全從站驗證概述產(chǎn)品信息驗證處理通過證實實際連接的安全從站與當(dāng)前設(shè)置為安全主站設(shè)備網(wǎng)絡(luò)參數(shù)的安全從站設(shè)備相匹配，來檢測連接錯誤和配置錯誤。如果一個替代從站不是安全從站，將在啟動階段被檢測出來并停止使用。安全從站信息驗證過程表18列出了安全從站信息驗證過程。表18安全從站信息驗證過程的說明SAREP類型處理說明安全主站（1）讀取安全從站的產(chǎn)品信息，并對照設(shè)置為網(wǎng)絡(luò)參數(shù)的產(chǎn)品信息進行驗證。（2）驗證之后，給安全從站設(shè)備發(fā)送產(chǎn)品信息。安全從站（1）對照從安全主站接收到的產(chǎn)品信息，驗證該從站的產(chǎn)品信息。從站信息驗證處理驗證了安全從站產(chǎn)品信息。安全從站參數(shù)傳輸安全從站配置參數(shù)傳輸是通過安全主站向每一個安全從站發(fā)送的，表19描述了這個過程。表19安全從站參數(shù)傳輸處理的說明SAREP類型處理說明安全主站中登記的CRC32進行驗證。（2）發(fā)送安全從站參數(shù)給安全從站安全從站（1）接收來自安全主站的安全從站參數(shù)，證實這些設(shè)定值，并進行內(nèi)部登記處理。11.9FSCP8/1的系統(tǒng)要求11.9.1指示燈和開關(guān)開關(guān)每個安全設(shè)備都應(yīng)提供物理手段來進行以下設(shè)置：——Online：設(shè)置該模式以建立數(shù)據(jù)鏈接；——站號0：安全主站；站號1～64：安全從站（僅是對安全從站的要求并且還可以提供以下可選的物理手段：——被占用的槽的數(shù)量：一個安全從站占用的槽的數(shù)量（1或2）；——線路測試1：驗證主站能夠連接所有從站；——線路測試2：驗證主站能夠連接一個特殊的從站；——參數(shù)檢查測試：驗證參數(shù)內(nèi)容；GB/TXXXXX—XXXX——硬件測試：驗證各模塊是否正常運行。指示燈表20規(guī)定的指示燈的要求如下：:指示燈的類型、顏色和形狀沒有指定。此外，若使用帶屏幕的電腦或其他設(shè)備，指示燈可以通過屏幕進行指示。表20監(jiān)視LED編號LED名稱描述安全主站安全遠程設(shè)備站安全遠程1亮:模塊正常滅:看門狗定時器錯誤MOO2ERR亮:與任何站通信發(fā)生錯誤該指示燈在如下任何一項發(fā)生時點亮：——開關(guān)設(shè)置錯誤；——在同一線路上重復(fù)設(shè)置了兩個主站；——參數(shù)內(nèi)容錯誤；——數(shù)據(jù)連接監(jiān)視定時器啟動；——電纜電線斷路；或者電纜在傳輸路徑上受到噪聲影響。閃爍：通信錯誤MOO3亮：數(shù)據(jù)鏈路正在運行MOO4LERR亮：通信錯誤（本站）閃爍：上電后開關(guān)類型設(shè)置改變MOO11.9.2安裝指南本文件規(guī)定了基于IEC61158類型18安全通信系統(tǒng)的協(xié)議和服務(wù)。使用符合本文件中所規(guī)定的安全協(xié)議的安全設(shè)備需要正確的安裝。其他的安裝信息見參考文獻[30]和參考文獻[31]。11.9.3安全功能響應(yīng)時間概述如11.5.3所述，使用集成的看門狗定時器給每個安全輸出從站的每個輸出通道提供時間期望值，從而保證了安全功能的響應(yīng)時間。如果安全輸出從站某一特定輸出通道的安全功能響應(yīng)時間超時，則對應(yīng)的輸出通道就設(shè)定為安全狀態(tài)，通常是電源OFF狀態(tài)。時間計算集成的看門狗定時器給每個安全輸出從站的每個輸出通道提供時間期望值，保證安全功能的響應(yīng)時間，即從安全輸入從站監(jiān)測到事件到安全輸出從站的相應(yīng)輸出通道的響應(yīng)之間的時間，不包括安全輸入的處理時間。GB/TXXXXX—XXXX功能安全響應(yīng)時間包括從安全輸入從站到主站和從安全主站到安全輸出從站的現(xiàn)場總線傳輸時間，包括由于傳輸錯誤可能導(dǎo)致的安全PDU重復(fù)、安全輸出從站的處理時間及在SRC內(nèi)的處理時安全功能響應(yīng)時間是通過表21中的（a）到（e）的和計算出來的，其中各項時間的定義在表22表21安全功能響應(yīng)時間計算項表22安全功能響應(yīng)時間項的定義項LSnm在觸發(fā)模式下:在自由運行模式下:GB/TXXXXX—XXXX11.9.4要求的持續(xù)時間安全相關(guān)應(yīng)用對安全通信層的要求的持續(xù)時間應(yīng)足夠長，以保證在最長的安全功能響應(yīng)時間內(nèi)，該應(yīng)用能檢測到此要求。11.9.5系統(tǒng)特征計算的約束FSCP8/1安全系統(tǒng)應(yīng)符合以下約束：——安全槽的最大數(shù)量：64；11.9.6維護對維護沒有SCL的特別要求。設(shè)備修復(fù)和更換情況下系統(tǒng)的行為規(guī)范不在本文件的范圍內(nèi)。這些活動和責(zé)任的規(guī)范與服務(wù)和協(xié)議的規(guī)范無關(guān)。通常，這應(yīng)是功能安全管理計劃的一部分。然而，依據(jù)IEC61508，修復(fù)、更換及維護、總體安全確認、總體運行、維修、改造和退役或廢棄是必須予以考慮的重要議題。此方面問題，建議聯(lián)系設(shè)備或系統(tǒng)供應(yīng)商。關(guān)于SRP編程和安全設(shè)備的參數(shù)設(shè)定，強烈建議聯(lián)系設(shè)備或系統(tǒng)供應(yīng)商。此外，建議考慮參考文獻[30]和參考文獻[31]。這些文件為CC-LINKSafety系統(tǒng)的用戶提供了其他額外11.9.7安全手冊納入SCL的安全從站供應(yīng)商應(yīng)按照本文件給出的SCL規(guī)范依據(jù)IEC61508準備相應(yīng)的安全手冊。安全手冊應(yīng)包含11.9.2中規(guī)定的安裝要求及設(shè)備開關(guān)的配置指南。除IEC61508類型18的開關(guān)外，該指南還應(yīng)規(guī)定在同一網(wǎng)絡(luò)上的所有安全設(shè)備應(yīng)使用同一LinkID來配置。詳見。針對基于IEC61158類型18的安全通信系統(tǒng)，強烈推薦參照參考文獻[30]、參考文獻[31]和參考11.10對FSCP8/1的評估制造商有責(zé)任依據(jù)安全標準（見IEC61508、IEC61511、IEC62061等）和相關(guān)法律條例的適當(dāng)開發(fā)流程來開發(fā)設(shè)備。相關(guān)信息在附件B中提供。12FSCP8/212.1范圍——FSCP8/2見第1章。12.2規(guī)范性引用標準——FSCP8/2GB/TXXXXX—XXXX見第2章。12.3術(shù)語、定義、符號、縮略語和約定——FSCP8/2見第3章。12.4FSCP8/2的概述（CC-LinkIESafety通信功能）通信行規(guī)8/4和8/5（即CC-LinkIE）定義了基于ISO/IEC/IEEE8802.3、IEC61158-5-23和IECSafety通信功能）是基于IEC61784-2中的CP8/4和CP8/5基本行規(guī)及在本文件中定義的安全通信層規(guī)范。FSCP8/2是用于與數(shù)據(jù)相關(guān)的通信安全協(xié)議，例如分布式網(wǎng)絡(luò)中用于功能安全、符合IEC61508要求的現(xiàn)場總線技術(shù)的緊急停車信號。該協(xié)議可用于各類應(yīng)用，如過程控制、制造自動化和機械裝置。機制實現(xiàn)：時間戳、時間期望值、連接身份驗證、報文回送、數(shù)據(jù)完整性保證及不同數(shù)據(jù)完整性保證安全措施。用于FSCP8/2的SCL能力由SASE提供。這些SASE用來替代由本文件規(guī)定的與其相對應(yīng)主從結(jié)構(gòu)產(chǎn)生了兩個SASE，分別是SASE-M和SASE-S。它們各自被安全FAL服務(wù)協(xié)議機、12.5FSCP8/2概述12.5.1為行規(guī)提供規(guī)范的外部文檔鼓勵FSCP8/2安全設(shè)備的制造商審閱CC-LinkSafety規(guī)范，它提供了關(guān)于實現(xiàn)本文件定義的SCL的附加規(guī)范。12.5.2安全功能要求本文件規(guī)定了基于IEC61158類型23的功能安全通信系統(tǒng)的服務(wù)和協(xié)議。本文件中規(guī)定的通信技術(shù)僅在依據(jù)IEC61508要求所設(shè)計的設(shè)備中實現(xiàn)。如下要求適用于實現(xiàn)FSCP8/2協(xié)議的設(shè)備開發(fā)，并在FSCP8/2開發(fā)中使用：——離散數(shù)據(jù)的安全狀態(tài)是失電狀態(tài)（0）。對于模擬值，失電狀態(tài)應(yīng)由安全相關(guān)應(yīng)用定義；——除非具有特定的產(chǎn)品標準，否則，對于基本等級，環(huán)境條件應(yīng)符合IEC61131-2；對于安全裕度測試，環(huán)境條件應(yīng)符合IEC61326-3-1和IEC61326-3-2；——除非本文件中規(guī)定，否則CPF8對于安全性的要求是不變的。12.5.3安全措施概述在本文件中定義的安全通信層為實現(xiàn)其安全通信層，提供了如下確定性檢測措施：GB/TXXXXX—XXXX——時間期望值；——連接身份驗證；——報文回送；——數(shù)據(jù)完整性保證；——交叉校驗冗余；——不同數(shù)據(jù)完整性保證系統(tǒng)。表23給出了對可能發(fā)生錯誤的各種檢測措施。表23對可能發(fā)生錯誤的各種檢測措施通信錯誤確定性檢測方法序列號時間戳?xí)r間期望值連接身份驗證報文回送數(shù)據(jù)完整性保證交叉校驗冗余不同數(shù)據(jù)完整性保證系統(tǒng)×××××××CC訛誤訛誤是使用安全PDU中包含的CRC檢測得到。發(fā)送節(jié)點發(fā)送包含有其計算出CRC的安全PDU。接收節(jié)點將接收到的安全PDU中包含的CRC與從接收到的安全PDU中計算出的CRC進行比較，以確定是否出現(xiàn)訛誤。此外，接收節(jié)點交叉校驗接收到的冗余的安全PDU部分，以驗證這些部分的每個比特都一致。如果CRC比較或交叉校驗的結(jié)果不匹配，則接收節(jié)點認為發(fā)生了訛誤，并應(yīng)丟棄接收應(yīng)不被復(fù)位。非預(yù)期重復(fù)非預(yù)期重復(fù)是重復(fù)地接收安全PDU，但不是在合適時機的最新的安全PDU，其原因為錯誤、故障或干擾。安全PDU的標識使用包含在安全PDU中的T_code（Tcode與CC結(jié)合形成的單一時效性代碼）檢測。發(fā)送節(jié)點發(fā)送包含有一個T_code的安全PDU。接收節(jié)點接收安全PDU并保存接收到的安全PDU的T_code，以便在下次接收時檢測安全PDU非預(yù)期重復(fù)。一旦收到安全PDU，接收節(jié)點即比較包含在安全PDU中的T_code與保存的上次接收的安全PDU的T_code。如果接收到的安全PDU中的T_code與上次接收的T_codeGB/TXXXXX—XXXX生了非預(yù)期重復(fù)，并應(yīng)丟棄接收到的安全PDU。當(dāng)接收到一個含有相同T_code的安全PDU時，用于圖5給出了安全PDU由SASE-M發(fā)送到SASE-S，并在SASE-S中檢測到非預(yù)期重復(fù)的序列。同樣，當(dāng)一個安全PDU由SASE-S發(fā)送到SASE-M，在接收節(jié)點上的SASE-M檢測出非預(yù)期重復(fù)。圖5非預(yù)期重復(fù)的檢測錯序錯序是接收節(jié)點收到安全PDU的順序與發(fā)送節(jié)點發(fā)出安全PDU的順序不一致。Tcode與CC結(jié)合形成單一時效性代碼。其順序依據(jù)包含在安全PDU中的T_code進行檢測。發(fā)送節(jié)點發(fā)送的安全PDU接收節(jié)點接收到一個安全PDU并保留接收到的安全PDU的T_code。在接收下一個安全PDU時，接收節(jié)點將包含在安全PDU中的T_code與保留的前一個安全PDU的T_code進行比較。如果接收到的PDU中的T_code小于前一個接收到的T_code，則接收節(jié)點認為順序不正確，并應(yīng)終止安全連接。圖6給出了安全PDU由SASE-M發(fā)送到SASE-S并在SASE-S中檢測到錯序情況下的序列。同樣，當(dāng)一個安全PDU由SASE-S發(fā)送到SASE-M，在接收節(jié)點上的SASE-M檢測出錯序。GB/TXXXXX—XXXX圖6錯序的檢測丟失T_code包含在SASE-M發(fā)送的安全PDU中，為安全PDU發(fā)送時的安全時鐘的值。依據(jù)SASE-S的傳輸），送的安全PDU中，其值基于安全PDU發(fā)送時的安全時鐘的值和SASE-M的偏移ts_offset計算得出。檢測到丟失，接收節(jié)點應(yīng)終止安全連接。圖7給出了安全PDU由SASE-M發(fā)送到SASE-S并在SASE-S中檢測到丟失的序列。同樣，當(dāng)一個安全PDU由SASE-S發(fā)送到SASE-M，在接收節(jié)點上的SASE-M檢測出丟失。圖7丟失的檢測GB/TXXXXX—XXXX不可接受的延遲使用定時器和T_code檢測不可接受的延遲。SASE-M依據(jù)其傳輸間隔（transmission_interval）周期性地向SASE-S發(fā)送安全PDU。包含在SASE-M發(fā)送的安全PDU中的T_code是安全PDU傳輸時的安全時鐘值。SASE-S依據(jù)其傳輸間隔（transmission_interval）周期性地發(fā)送安全PDU給SASE-M。包含在SASE-S發(fā)送的安全PDU中的在接收節(jié)點上的SASE-S接收來自SASE-M的安全PDU，在安全PDU接收的時刻記錄安全時鐘的與接收到的T_code之間的差，并計算從SASE-M到SASE-S的延遲值。如果計算值不滿足以下偏移傳全PDU，則接收節(jié)點認為發(fā)生了不可接受的延遲。如果發(fā)生這種情況，SASE-S應(yīng)終止安全連接。接收節(jié)點上的SASE-M接收來自SASE-S的安全PDU，在安全PDU接收的時刻記錄安全時鐘的值，的差，并計算從SASE-S到SASE-M的延遲值。如果計算值不滿足上述SASE-S評價公式，則接收節(jié)到，則接收節(jié)點認為發(fā)生了不可接受的延遲。如果發(fā)生這種情況，SASE-M應(yīng)終止安全連接。圖8給出了安全PDU由SASE-M發(fā)送到SASE-S并在SASE-S中通過SASE-S的時間戳檢測到不可接受的延遲的序列。圖9給出了通過SASE-S的定時器檢測到不可接受的延遲的情況。同樣，當(dāng)一個安全PDU由SASE-S發(fā)送到SASE-M，在接收節(jié)點上的SASE-M檢測到不可接受的延遲。圖8通過時間戳檢測到不可接受的延遲GB/TXXXXX—XXXX圖9通過定時器檢測到不可接受的延遲插入插入指來自非預(yù)期或未知傳輸源的報文插入。使用包含在安全PDU中的安全連接標識接收節(jié)點將包含在安全PDU中的CID與連接建立時約定的connection_id進行比較，確定匹配。如果二者不匹配，則接收節(jié)點應(yīng)丟棄接收到的安全PDU。如果接收到的安全PDU被丟棄，則偽裝偽裝是安全站接收到非安全報文，并且由于故障或干擾的結(jié)果，插入了來自看似有效傳輸源的報文。除了在接收PDU中驗證SCL協(xié)議特定數(shù)據(jù)約束以外，還使用了由生成器多項式生成的CRC來檢測偽裝，該CRC與非安全通信的CRC不同。發(fā)送節(jié)點發(fā)送安全PDU，該PDU包含其計算出的CRC。接收節(jié)點將包含在安全PDU中的CRC與通過接收到的安全PDU計算得出的CRC進行比較。此外，接收節(jié)點交叉校驗所接收的安全PDU的冗余部分，以驗證這些部分是否逐位一致。如果不一致，或者其他預(yù)期數(shù)據(jù)超出了正確定義的安全PDU的約束，則接收節(jié)點應(yīng)丟棄接收到的安全PDU。如果接收到的安全PDU被丟棄，則用來檢測不尋址尋址、或認證，是對錯誤的安全站進行安全報文的傳輸并因故障或干擾將報文視為正確報文。連接建立時約定的connection_id進行比較，確定二者是否匹配。如果二者不匹配，則接收節(jié)點應(yīng)丟棄接收到的安全PDU。如果接收到的安全PDU被丟棄，則用來檢測不可接受延遲的定時器12.5.4安全通信層結(jié)構(gòu)GB/TXXXXX—XXXX安全站的協(xié)議層級結(jié)構(gòu)包括:作為基礎(chǔ)的CP8/4和CP8/5（ISO/IEC/IEEE8802-3及FAL類型23）的協(xié)議層，實現(xiàn)安全通信的安全通信層FSCP8/2，以及安全相關(guān)應(yīng)用。圖10給出了該層級結(jié)構(gòu)（用圖10協(xié)議層級結(jié)構(gòu)12.5.5與FAL（及DLL、PhL）的關(guān)系概述除本文件所規(guī)定的要求外，沒有其他FAL要求。描述。數(shù)據(jù)類型安全數(shù)據(jù)的數(shù)據(jù)類型在IEC61158-5-23中規(guī)定。12.6FSCP8/2的安全通信層服務(wù)FSCP8/2由安全主站中的SFSPM-M和安全從站中的SFSPM-S這兩個狀態(tài)機組成，并經(jīng)由12.6所描述的服務(wù)進行狀態(tài)轉(zhuǎn)換。安全相關(guān)應(yīng)用使用安全應(yīng)用服務(wù)經(jīng)由安全通信層進行通信。12.6.2連接重建服務(wù)SS-StartSS-Start是用于請求開始一個安全通信的服務(wù)。表24給出了SS-Start的參數(shù)。表24SS-Start參數(shù)名MM規(guī)定用于發(fā)起安全通信的安全連接的ID。長度為32比特。SS-RestartGB/TXXXXX—XXXXSS-Restart是用于請求重新開始一個安全通信的服務(wù)。表25給出了SS-Restart的參數(shù)。表25SS-Restart參數(shù)名MM規(guī)定用于重新發(fā)起安全通信的安全連接的ID。長度為32比特。SS-InvokeFuncSS-InvokeFunc是一個用于請求執(zhí)行安全應(yīng)用命令的服務(wù)。表26給出表26SS-InvokeFunc參數(shù)名MMMCCC規(guī)定目標安全連接的ID。長度為32比特。規(guī)定要執(zhí)行的命令。規(guī)定要執(zhí)行命令的相關(guān)信息。包含來自已執(zhí)行服務(wù)返回的信息。12.6.3數(shù)據(jù)傳輸服務(wù)SS-Read該服務(wù)用于從安全循環(huán)存儲器中讀取指定長度的安全數(shù)據(jù)。表27給出了該服務(wù)的參數(shù)。表27SS-Read參數(shù)名MMMMMGB/TXXXXX—XXXX規(guī)定目標存儲器首地址。規(guī)定目標存儲器長度（單位：比特）。包含讀存儲器的內(nèi)容。SS-Write該服務(wù)用于把指定長度的安全數(shù)據(jù)寫到安全循環(huán)存儲器中。表28給出了該服務(wù)的參數(shù)。參數(shù)名MMMM規(guī)定目標存儲器首地址。規(guī)定目標存儲器長度（單位：比特）。規(guī)定寫到目標存儲器的安全數(shù)據(jù)。12.6.4連接終止通知服務(wù)SS-Terminate該服務(wù)用于發(fā)布安全連接終止的通知。表32給出了該服務(wù)的參數(shù)。表29SS-Terminate參數(shù)名MM規(guī)定已終止的安全連接CID。12.7FSCP8/2安全通信層協(xié)議12.7.1安全PDU格式安全PDU結(jié)構(gòu)GB/TXXXXX—XXXX用于FSCP8/2安全通信功能的安全PDU結(jié)構(gòu)如圖11所示。S-Data表示安全數(shù)據(jù)區(qū)域并存儲安全輸入數(shù)據(jù)或安全輸出數(shù)據(jù)。S-Data最大長度是800比特。圖11安全PDU結(jié)構(gòu)組成安全PDU的元素名稱、長度及內(nèi)容見表30。雖然SubPDU重復(fù)了兩次，分別顯示為SubPDU-A和SubPDU-B，但只展示一個SubPDU實例。表30安全PDU元素屬性描述長度(比特)6個元素組成:CTRL命令類型、狀態(tài)安全連接標識符時間戳偏移生成信息安全時鐘的高32比特留作將來使用安全數(shù)據(jù)（長度以4個八位位組為單位）循環(huán)冗余檢查CTRLCTRL的結(jié)構(gòu)如圖12所示。表31給出了組成CTRL的元素內(nèi)容。GB/TXXXXX—XXXX圖12CTRL結(jié)構(gòu)表31CTRL元素項值描述建立安全連接證實安全網(wǎng)絡(luò)參數(shù)驗證安全站參數(shù)安全應(yīng)用命令用于將來擴展安全連接終止讀錯誤信息發(fā)布錯誤通知發(fā)布安全刷新就緒通知并測量偏移安全刷新;測量偏移0xFE安全刷新;生成偏移安全刷新Ackbit請求響應(yīng)處理完成處理未完成GB/TXXXXX—XXXX無錯誤錯誤測量偏移、生成序列號處理完成處理未完成應(yīng)用程序標識比特 用于將來擴展子安全連接標識符未啟用子安全連接標識符正在使用0xFFFF子安全連接標識符表示安全PDU類型。Ackbit表示Cmd是請求還是響應(yīng)。0表示請求，1表示響應(yīng)。表示除了安全刷新之外每次對傳輸節(jié)點Cmd的處理是否完成。0表示請求處理完成，1表示請求新發(fā)送同樣的Cmd。當(dāng)收到將Busybit置1的安全PDU時，SASE-S丟棄接收到的安全PDU，重啟用于在偏移測量和偏移生成時，將SASE-M發(fā)出的請求與SASE-S發(fā)出的響應(yīng)聯(lián)系起來，當(dāng)Cmd它的初值是0，每次偏移測量時SASE-M交替指定0或1。偏移測量偏移生成完成后，用于偏移表示在安全刷新期間偏移測量傳輸節(jié)點處理是否完成，0表示處理完成，1表示未完成。當(dāng)接收用于指示設(shè)備特定的應(yīng)用程序標識。表示子安全連接標識符SubCID的有效性。0表示SubCID未啟用，因此是一個無效的字段。1表GB/TXXXXX—XXXX表示在給定CID中的子安全連接標識符。僅當(dāng)SubCIDactive為1時使用。CIDCID是安全連接標識符，表示傳輸源與傳輸目的地之間的關(guān)系。CID生成時列入了SASE-M地址和SASE-S地址。每個安全站最多有2個連接。假設(shè)n1是A站網(wǎng)絡(luò)號，n2是站號，n3是B站網(wǎng)絡(luò)號，n4是站號，CID為：其中:CID1為安全連接1的CID，CID2為安全連接2的CID。Tcode和CCTcode是時間戳,表示48比特安全時鐘的低16比特時鐘作為基準。時間戳圖13給出了SASE-M和SASE-S安全時鐘的關(guān)系以及圖13SASE-M和SASE-STcodeOBLOBL用于生