使用具備高速工業自動化整合式安全的 Cybersecure PLC

作者：Jeff Shepard

資料提供者：DigiKey 北美編輯群

2024-02-20

從汽車生產到食品加工等各領域的工廠皆需要運用整合式安全與高階網路安全，達到靈活、高速的機器控制作業。在這些環境中，必須靈活、彈性地進行網路通訊與安全實作。網路上的裝置會使用 EtherCAT 等 Fieldbus 通訊協定，或可能使用乙太網路／IP。此外，某些裝置會使用標準連線，或需要安全通訊協定。

為了加速部署，工業網路設計人員需要可結合通用工業協定 (CIP) 安全與 Safety over EtherCAT (亦稱 FailSafe over EtherCAT (FSoE)) 的控制器。CIP Safety 支援工業機器人等採用乙太網路／IP 連線的裝置，而 FSoE 支援採用 EtherCAT 的裝置。需要能夠處理最多 254 個 CIP Safety 連線、最多 62 個運動軸，以及最多 256 個 EtherCAT 節點的各種控制器。需要各種可支援簡易調試與維護的輸入／輸出單元，並且可以適應各種自動化系統設計。

此外，控制器製造商必須提供符合 IEC 61131-3 標準的軟體開發套件，並可快速簡易地控制所有連線裝置。公司亦必須通過 IEC 62443-4-1、工業自動化與控制系統安全的認證，包括可緩解影響並通常能夠成功防範網路攻擊的安全產品開發生命週期要求。

本文首先會比較 EtherCAT 與乙太網路／IP 連線的應用，並探討 FSoE 與 CIP Safety 對於國際電工委員會 (IEC) 標準 IEC 61508 和 IEC 61784-3 的合適性與關聯性，並考量如何採用國際標準組織 (ISO) 12100 標準評估安全風險。接著再檢閱符合 IEC 61131-3 標準軟體開發套件的需求，以及如何取得 IEC 62443-4-1 網路安全認證。最後再介紹 Omron Automation 所推出適用於網路安全高速工業自動化設備的精選控制器與 I/O 單元。

工業自動化網路可能需要高速機器控制，以及與雲端、企業資源規劃 (ERP) 和其他管理系統的工廠連線。

因此，Omron 推出支援 EtherCAT 和乙太網路／IP 的 Sysmac NX102 等控制器產品。EtherCAT 可與馬達和伺服器控制器進行高速通訊，例如 Omron 的 1S 系列伺服驅動器和馬達，包括 R88D-1SN10H-ECT 1 kW 伺服驅動器與 R88M-1L1K030T 1 kW、3,000 RPM 伺服器馬達。

同樣的 NX102 控制器可使用乙太網路／IP 控制標準工業機器人，並提供與雲端、ERP 和其他系統的工廠連線。此功能完全可透過 Omron 的 Sysmac Studio 整合開發環境 (IDE) 實作，以進行機器與工廠自動化作業 (圖 1)：

適用於機器控制的 EtherCAT
- 運用備援達到最短停機時間
- 最多支援 512 個從屬裝置的彈性系統配置
- 125 μs 快速週期時間，以及 1 μs 抖動同步
- 運用具有 RJ45 連接器的標準屏蔽雙絞線 (STP) 乙太網路纜線，簡化連線作業
- 支援 FSoE
適用於工廠連線的乙太網路／IP
- 端對端控制器通訊
- 支援適用於 Microsoft SQL Server、Oracle、IBM DB2、MySQL 和 Firebird 的資料庫連線
- 整合式 FTP 伺服器
- 適用於雲端與其他網路安全連線的訊息佇列遙測傳輸 (MQTT) 協定
- 支援 CIP Safety

Omron NX102 控制器示意圖 圖 1：Omron 推出的 NX102 等控制器產品，可在單一網路上實作支援 FSoE 的 EtherCAT，以及支援 CIP Safety 的乙太網路／IP。(圖片來源：Omron Automation)

IEC 安全性與 ISO 風險評估

有眾多方式可混搭 EtherCAT 與乙太網路／IP 裝置。選擇特定裝置的關鍵決策之一，即是最佳化網路效率與安全。這需要瞭解 IEC 安全標準，並根據 ISO 需求實作有效的風險評估計畫：

IEC 61508 是適用於所有產業的基本功能安全標準，涉及電氣／電子／可編程電子安全相關系統 (E/E/PE 或 E/E/PES) 的功能安全性。此標準涵蓋自動保護設備 (亦稱安全相關系統) 的應用、設計、部署和維護層面。
IEC 61784-3:2021 基本功能安全現場匯流排：一種通用規則與設定檔定義，其規定在根據 IEC 61508 功能安全規定設計的分散式網路中傳輸安全相關訊息時，可使用的一般準則。FSoE 與 CIP Safety 遵循此標準。

ISO 12100 機械安全一般設計準則：屬於一種風險評估與降低標準，說明獨立於已部署安全協定的風險評估與管理工作。評估包含五大步驟或行動 (圖 2)：

判斷機械限制：瞭解機器作業與預期操作人員互動的限制
危險識別：包括機器製造、使用、維護和處置產生的危險
風險估算：針對每項風險量化發生機率與預期的嚴重程度
風險評估：判斷是否已將風險減少至可控且安全的程度；若答案為「肯定」，則會以文件記錄發現結果並部署系統，若答案為「否定」，則會制定額外的風險降低策略
風險降低：擴展風險降低措施並繼續回到「行動 1」

實作風險評估所需的五大行動示意圖 圖 2：ISO 12100 中詳述的實作風險評估所需的五大行動。(圖片來源：Omron Automation)

FSoE 與 CIP Safety — 有何差異？

FSoE 與 CIP Safety 符合 IEC 61784-3:2021 的需求，支援來自各個廠商的設備互通性。應使用安全風險評估來識別安全需求，以及每次安裝是否合乎正確配置。FSoE 與 CIP Safety 必須緩解八類網路錯誤以確保功能安全，並以不同方式加以處理。FSoE 新增第九項考量，亦即解決交換器中的記憶體故障。透過兩種通訊協定處理的八類網路錯誤包括 (表 1)：

訊號損毀
意外的訊息重複
錯誤的訊息序列
訊息遺失
不允許的訊息延遲
插入其他意外訊息
偽造訊息
按預期為訊息設定位址

CIP Safety IEC 61784-3-2:2016 第 29 頁	時間標記	時間期望	連線驗證	資料完整性保証	交叉檢查備援	差異資料完整性保証系統
損毀				X	X
意外重複	X			X
序列錯誤	X			X
遺失		X		X
不允許的延遲		X
插入	X		X	X
偽造	X		X	X	X	X
設定位址			X	X

FSoE IEC 61784-3-12:2010 第 21 頁	序列編號	時間期望	連線驗證	回饋訊息	資料完整性保証
損毀					X
意外重複	X				X
序列錯誤	X				X
遺失	X	X		X	X
不允許的延遲		X		X	X
插入	X				X
偽造		X		X	X
設定位址			X
解決交換器中的記憶體故障	X				X

表 1：CIP Safety (上) 與 FSoE (下) 支援不同的網路錯誤處理方式。(表格來源：Omron Automation)

符合 IEC 61131-3 標準的 IDE

有效的網路開發與部署亦非常重要。Sysmac Studio IDE 遵循 IEC 61131-3 的語法與語意要求，可簡化軟體開發。工業自動化 IDE 有時需要個別開發動作控制程式，並針對安全控制進行程式設計。Sysmac Studio 支援具有序列與動作控制的整合式安全程式設計，包括設計、驗證、偵錯、操作和持續改進，

此外還支援複雜的工業自動化系統，包括 I/O、動作和安全裝置。此 IDE 平台使用相同的圖形使用者介面 (GUI) 進行機器定序與控制以及安全控制設計，可簡化和加速開發流程。

可使用支援在新應用中可重複使用的模組化架構設計軟體，減少針對後續應用程式的確認與驗證需求。

IEC 62443-4-1 認證

IEC 62443-4-1 定義以電子方式實作和維護安全工業自動化和控制系統 (IACS) 的需求與流程。其建立一系列的安全性最佳實務，包括已達成安全性等級的評估方式。此標準遵循全面性的網路安全做法，解決了操作、資訊技術以及流程安全和網路安全之間彼此各自為政的問題。

工業 4.0 裝置的連線程度不斷增加，連帶使得網路安全風險不斷升高，需要實作完備的安全措施來緩解因網路攻擊造成營運中斷的可能性。Omron Automation 已達成 IEC 62443-4-1 認證，針對旗下的 PLC 產品與軟體建立安全的開發生命週期。

機器自動化控制器

Omron 的 NX502 控制器經過設計，提供兼顧精確動作與強大安全的可擴充自動化解決方案。其採用 Sysmac 的 One Controller、One Connection 和 One Software 架構精心打造，由單一控制器將邏輯、動作、安全、機器人、視覺、資訊、視覺化和網路功能整合在 Sysmac Studio 單一軟體下 (圖 3)。

Omron 的 NX502 控制器圖片 圖 3：NX502 控制器採用 Sysmac 的 One Controller、One Connection 和 One Software 架構精心打造 (圖片來源：Omron Automation)

NX502 控制器亦將網路攻擊風險降至最低，並集中化處理和簡化工廠自動化控制。此外還包含最多 254 個 CIP 安全連線、控制最多 62 個運動軸、256 個 EtherCAT 節點、80 MB 程式記憶體、1 Gbps 乙太網路／IP 連接埠，並包括對於「開放式平台通訊整合架構」(OPC UA) 與結構化查詢語言 (SQL) 關聯式資料庫的支援。

這些控制器可處理位於處理器單元左側的四個乙太網路／IP (EIP) 擴充卡，可透過單一處理器單元控制眾多機器。每個 EIP 擴充卡皆會建立一個子網路，將連線機器與資料庫和工廠層級網路彼此區隔。

NX502 控制器共有以下三種型號：

NX502-1300，可控制 16 個伺服軸

NX502-1400，可控制 32 個伺服軸

NX502-1500，可控制 64 個伺服軸

較小型網路自動化

較小型工廠自動化設備可考慮選用 Omron 的 NX102 控制器。與較大型 NX502 控制器類似，這些單元內嵌 Sysmac 的 One Controller、One Connection 和 One Software 架構。其採用 EtherCAT、乙太網路／IP 和 IO-Link 等原生通訊協定，可加速小型網路的 IIoT 功能實作。

所有 NX 系列控制器皆具備通用 I/O 連線，可透過 Sysmac Studio 軟體進行程式設計，因而可以使用 NX502 等較大型控制器輕鬆擴充採用 NX102 控制器部署的較小型網路。NX102 控制器的其他功能包括：

1 至 32 ms 的 EtherCAT 週期時間 (以 0.25 ms 為增量)
預先安裝 OPC UA 與 SQL
控制多達八個運動軸；例如，NX102-1200 可控制八軸，NX102-1100 可控制四軸，NX102-1020 可控制兩軸
最多 256 個 EtherCAT 節點
最多 16 個 CIP Safety 連線
5 MB 程式記憶體
每個 CPU 有 32 個本機端 I/O，總共有 400 個 I/O，且具備遠端 NX I/O

Sysmac NX I/O 單元

I/O 連線是所有工廠自動化網路的關鍵部分。Sysmac NX I/O 產品組合包括超過 120 個 I/O 裝置，可在廠區實作各式各樣的功能，並連線至較大型控制網路。

這些 I/O 單元與常見的通訊協定相容，包括 EtherCAT、乙太網路／IP、FSoE、CIP Safety 和 IO-Link。例如，型號 NX1P2-9024DT 包含 24 個 NPN 數位電晶體 I/O、1.5 MB 記憶體，支援 16 個 EtherCAT 節點、乙太網路／IP 以及一個序列選用連接埠；型號 NX1P2-9024DT1 具有相同規格，但配備 24 個 PNP 數位電晶體 I/O 而非 24 個 NPN 數位電晶體 I/O (圖 4)。可用模組範例包括：

數位 I/O
類比 I/O
溫度 I/O
編碼與定位
電源供應器與連接單元

圖 4：Sysmac NX1P CPU 具有 24 個數位 NPN 電晶體 I/O。(圖片來源：Omron Automation)

結論

Omron Sysmac 控制器為機器與自動化網路設計人員提供完備的解決方案。其支援 EtherCAT、乙太網路／IP、FSoE 和 CIP Safety。某些型號產品僅支援數個控制節點，其他型號產品則可支援最多 254 個 CIP 安全連線，控制最多 62 個運動軸和 256 個 EtherCAT 節點。Sysmac Studio IDE 符合 IEC 61131-3 標準，全系列皆通過 IEC 62443-4-1 網路安全認證。