專利名稱:安全時鐘同步的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及工業(yè)自動化系統(tǒng)或過程控制系統(tǒng)���,具體地說�,涉及具有基于因特網(wǎng)的通信網(wǎng)絡(luò)的變電站自動化系統(tǒng)�。
背景技術(shù):
過程控制或工業(yè)自動化系統(tǒng)廣泛用于保護、控制和監(jiān)視例如用于制造產(chǎn)品���、轉(zhuǎn)變物質(zhì)或發(fā)電的工業(yè)工廠中的工業(yè)過程�����,以及監(jiān)視和控制擴展的基本系統(tǒng)�,例如電能�、水或氣供應(yīng)系統(tǒng)或電信系統(tǒng),包含它們的相應(yīng)變電站����。工業(yè)自動化系統(tǒng)一般具有分布在工業(yè)工廠中或擴展的基本系統(tǒng)上并在通信上經(jīng)由通信系統(tǒng)互連的大量過程控制器���。高壓和中壓電力網(wǎng)中的變電站包括基本裝置(諸如電纜、電線�����、母線��、開關(guān)�����、電力變壓器和儀表變壓器���,它們一般都布置在開關(guān)場和/或架(switch yards and/or bays)中。 經(jīng)由變電站自動化(SA)系統(tǒng)以自動方式操作這些基本裝置�。SA系統(tǒng)包括輔助裝置,所謂的智能電子裝置(IED)�,負(fù)責(zé)保護、控制和監(jiān)視基本裝置����。IED可被指配給分層的級,諸如站級����、架級(bay level)和過程級����,其中通過所謂的過程接口將過程級與架級分開��。SA系統(tǒng)的站級包含具有人機接口(HMI)的操作員工作站(OWS)和到網(wǎng)絡(luò)控制中心(NCC)的網(wǎng)關(guān)�。也可稱為架單元的架級上的IED又彼此連接,以及經(jīng)由服務(wù)于交換命令和狀態(tài)信息目的的架間總線或站間總線連接到站級上的IED�����。已經(jīng)作為題為“變電站中通信網(wǎng)絡(luò)和系統(tǒng)”的標(biāo)準(zhǔn)IEC 61850的一部分引入了用于變電站輔助裝置之間通信的通信標(biāo)準(zhǔn)���。對于非時間關(guān)鍵消息�����,IEC 61850-8-1規(guī)定了基于縮減的開放系統(tǒng)互連(OSI)協(xié)議棧的制造消息規(guī)范(MMS���,IS0/IEC9506)協(xié)議,在傳輸層和網(wǎng)絡(luò)層中分別具有傳輸控制協(xié)議(TCP)和因特網(wǎng)協(xié)議(IP)�,以及作為物理介質(zhì)的以太網(wǎng)。對于時間關(guān)鍵的基于事件的消息���,IEC 61850-8-1規(guī)定了直接在通信棧的以太網(wǎng)鏈路層上的通用面向?qū)ο蟮淖冸娬臼录?GOOSE)�����。對于在過程級的非?�?焖俚刂芷谛愿淖兊男盘?(諸如所測量的模擬電壓或電流)�,IEC 61850-9-2規(guī)定了采樣值(SV)服務(wù),采樣值(SV)服務(wù)像GOOSE—樣直接構(gòu)建在以太網(wǎng)鏈路層上��。因此���,該標(biāo)準(zhǔn)定義了公布格式�,作為工業(yè)以太網(wǎng)上的多播消息����、基于事件的消息和來自過程級上電流或電壓傳感器的數(shù)字化測量數(shù)據(jù)。隨著IEC 61850的引入��,過程控制或變電站自動化系統(tǒng)中輔助裝置的基于以太網(wǎng)的網(wǎng)絡(luò)上的精確時間同步已經(jīng)變成一個關(guān)心的問題���。作為經(jīng)典的脈沖每秒 (Pulse-Per-Second)PPS信號的替代,IEC 61850建議使用IEEE1588來實現(xiàn)關(guān)鍵數(shù)據(jù)(諸如SV或脫扣信號)所需的時間同步程度�。IEEE1588可運行在兩種模式���。在一步時鐘模式, 主時鐘發(fā)送同步消息��,同時對該消息加時間戳��,并將時間戳插入在相同消息的內(nèi)容中��。在兩步時鐘模式����,不直接在同步消息中攜帶時間戳而是在后續(xù)消息中攜帶時間戳。變電站自動化中的另一突出方面是施加在網(wǎng)絡(luò)安全上的重要性提高了��。雖然IEC 62351-6覆蓋了由IEC 61850定義的協(xié)議(諸如8_1和9_2)以定義所需的安全機制���,但 IEEE 1588仍未被保護�����。保護IEEE 1588的安全的問題之一是當(dāng)使用一步時鐘方法時不能保護協(xié)議的安全��。不管是用對稱方案還是不對稱方案���,兩步時鐘對于保護安全都是微不足道的�,因為同步消息是根本未被修改的非敏感消息��。另一方面��,安全得到保護的一步時鐘方法需要保護在空中(同時被轉(zhuǎn)發(fā))的同步消息的安全�����,并且由此(對于不對稱方案)幾乎不可能實現(xiàn)或者(對于對稱方案或?qū)τ?吉比特/秒網(wǎng)絡(luò))不可能實現(xiàn)��。專利申請EP 2148473涉及基于具有多個交換節(jié)點并以全雙工鏈路操作的環(huán)形通信網(wǎng)絡(luò)的使命關(guān)鍵的(mission-critical)或高度可用的應(yīng)用�����。通過相應(yīng)第一端口和第二端口連接到通信網(wǎng)絡(luò)的發(fā)送器節(jié)點傳送冗余幀對�����。對于要在環(huán)形網(wǎng)絡(luò)上發(fā)送的每個幀���,在相反方向上傳送源幀和復(fù)制幀���,兩種幀都由環(huán)形網(wǎng)絡(luò)的其它節(jié)點中繼���,直到它們最終返回到始發(fā)發(fā)送器節(jié)點���。結(jié)果����,網(wǎng)絡(luò)載荷相對于常規(guī)環(huán)形網(wǎng)絡(luò)大致加倍了�����,但是目標(biāo)節(jié)點將在等于環(huán)的可能最長路徑的最大傳輸延遲之后接收到該數(shù)據(jù)�����。在無故障狀態(tài)下��,目標(biāo)節(jié)點由此接收到兩個具有相同內(nèi)容的冗余幀�。可根據(jù)并行冗余協(xié)議PRP標(biāo)識冗余幀��,因此僅兩個幀中的前者或第一幀被轉(zhuǎn)發(fā)到上層協(xié)議��,而后者或第二幀被丟棄����。因為兩部時鐘方法中的同步消息和后續(xù)消息可采取HSR中的不同路徑或方向���,所以使用一步時鐘是優(yōu)選的。Albert Treytl, Bernd Hirschler 的文 章"Practical Application of 1588Security" (IEEE International Symposium on Precise Clock Synchronization, September 2008,Ann Harbor,USA)提出了一種實現(xiàn)安全一步時鐘的方法���,在安全一步時鐘中在最前面將同步消息的靜態(tài)部分進行哈希����。然后產(chǎn)生時間戳并將其嵌入在消息中���,之后快速完成對消息的其余部分(即時間戳)的哈希����。這個方法的缺點是它僅允許比不對稱保護方案費時更少的對稱保護方案�����。的確��,操作仍在空中進行��,即其余部分的哈希以及簽名 (sign)�����,并且因此是時間關(guān)鍵的�。另一個缺點是這個方法局限于100兆比特/秒的網(wǎng)絡(luò),因為對于1吉比特/秒�,其余哈希操作將不會按時完成。
發(fā)明內(nèi)容
因此本發(fā)明的目的是使用對稱方案或不對稱保護方案保護一步IEEE1588時鐘的安全��。這個目的通過根據(jù)獨立權(quán)利要求的同步時鐘的方法和主時鐘裝置實現(xiàn)�。根據(jù)從屬專利權(quán)利要求,優(yōu)選實施例是顯然的�,其中指出的權(quán)利要求從屬性不應(yīng)視為排除了另外有意義的權(quán)利要求組合。根據(jù)本發(fā)明�,通過由主時鐘發(fā)送包含時間戳的同步消息(尤其是根據(jù)IEEE 1588 的一步時鐘類型的單個消息),并通過由從時鐘接收和評估同步消息�����,來同步連接到通信網(wǎng)絡(luò)的工業(yè)自動化系統(tǒng)中使命關(guān)鍵的或高度可用裝置的時鐘���。主時鐘的同步組件或模塊在計劃的發(fā)送時間tsmd之前準(zhǔn)備或構(gòu)成包含計劃的發(fā)送時間的時間戳的同步消息���,并仍在計劃的發(fā)送時間之前保護同步消息的安全。保護同步消息的安全通過如下來進行適當(dāng)密碼構(gòu)件可例如通過計算同步消息的校驗和或哈希并對其簽名來至少使時間戳在接收從時鐘處得到認(rèn)證��。在計劃的發(fā)送時間,傳送安全得到保護的同步消息���。在本發(fā)明的有利實施例中��,安全得到保護的同步消息在tsmd時發(fā)送之前被存儲在主時鐘裝置的傳送器的專用等待組件中�。在本發(fā)明的另一個有利實施例中�����,阻斷傳送器的低優(yōu)先權(quán)隊列(LPQ)并在tsmd之前的阻斷間隔期間禁止發(fā)送來自LPQ的非同步消息����。對應(yīng)于在LPQ中期望的最長消息的保守阻斷間隔確保在tsmd時傳送的過程中沒有消息。在更復(fù)雜的變型中�,在發(fā)送之前檢查來自LPQ的消息的長度,以便確定在tsmd之前完成了其傳輸��。因此�����,將總是在沒有由于低優(yōu)先權(quán)消息正在進行的傳輸引起的另外延遲或抖動的情況下傳送同步消息���,�����。優(yōu)選地��,時鐘裝置布置為以全雙工鏈路操作的環(huán)形通信網(wǎng)絡(luò)中的交換節(jié)點���,其中, 通過相應(yīng)第一端口和第二端口連接到通信網(wǎng)絡(luò)的發(fā)送器節(jié)點傳送冗余幀對���。對于要在環(huán)形網(wǎng)絡(luò)上發(fā)送的每個同步消息����,在相反方向上傳送源同步消息和復(fù)制同步消息����,兩種消息都由環(huán)形網(wǎng)絡(luò)的其它節(jié)點中繼,直到它們最終返回到始發(fā)發(fā)送器節(jié)點��。這種冗余通信網(wǎng)絡(luò)拓?fù)溆欣赜迷诠I(yè)自動化系統(tǒng)或過程控制系統(tǒng)中����,尤其是用在高壓電力網(wǎng)絡(luò)和中壓電力網(wǎng)絡(luò)中的變電站的變電站自動化系統(tǒng)中。
在下文將參照在附圖中例證的優(yōu)選示范實施例更詳細(xì)地說明本發(fā)明的主題�,附圖中圖1描繪了本發(fā)明范圍以外的安全一步時鐘實現(xiàn)的操作序列�����;圖2描繪了安全一步時鐘的修改的操作序列���;以及圖3和圖4描繪了對應(yīng)的系統(tǒng)架構(gòu)。
具體實施例方式圖1描繪了安全一步IEEE 1588時鐘的直接實現(xiàn)所需的操作的示范而不是實際的序列���。與之相關(guān)聯(lián)的主要問題是不能計算在空中所需的所有操作���。尤其是,這種時鐘將必須開始發(fā)送同步消息SYNC的第一字節(jié)����,然后對發(fā)送操作加時間戳,將時間戳插入在消息中�,并且最后用可能的最短時間延遲對消息進行哈希和簽名。圖2描繪了預(yù)先準(zhǔn)備同步消息的安全IEEE 1588 一步時鐘的示范操作序列�。本發(fā)明提出對于將來時間戳準(zhǔn)備同步消息SYNC,即產(chǎn)生并嵌入將來時間tsmd = tprep+ Δ t的時間戳�����,其中時間tpm)表示準(zhǔn)備同步消息開始并確定其超前時間戳的時間����。通過仔細(xì)地選擇準(zhǔn)備間隔或超前延遲At����,在計劃的發(fā)送時間tsend發(fā)送安全得到保護的同步之前有執(zhí)行所有必需操作的充分時間可用����。圖3示出了典型一步時鐘實現(xiàn)的對應(yīng)的系統(tǒng)架構(gòu)。確保按時發(fā)送同步消息是IEEE 1588低級棧的最終責(zé)任��,并且為了獲得所需的定時精確度����,用硬件實現(xiàn)所提出的改進�����。硬件級或低級棧包括專用集成電路(IC)芯片或現(xiàn)場可編程門陣列(FPGA)(其優(yōu)選作為裝置的網(wǎng)絡(luò)接口卡(NIC)IO的一部分)��,并執(zhí)行同步過程的所有時間關(guān)鍵方面���,即接收和發(fā)送 IEEE 1588SYNC消息時對它們加時間戳��。通過低級編程語言(諸如VHDL)對加時間戳單元 (TSU) 11的邏輯門編碼�����。在較高抽象級�,所有非時間關(guān)鍵方面都在常規(guī)IEEE 1588棧14內(nèi)實現(xiàn),或者在同一專用芯片上或裝置的CPU 13上實現(xiàn)��,后者經(jīng)由示范通信總線(例如PCI) 12 連接到TSU����。在這種情況下,IEEE 1588棧作為軟件實現(xiàn)運行在CPU上��,而僅在硬件級實現(xiàn)時間戳操作��。所提出的發(fā)明并不暗示對軟件棧有任何修改��,而僅對實現(xiàn)根據(jù)圖2的步驟序列的邏輯有修改�����,即�,當(dāng)發(fā)送同步消息時。圖4最后描述了支持預(yù)先形成的安全IEEE 1588 一步時鐘的低級棧的詳細(xì)架構(gòu)����。 從架構(gòu)的角度(即在軟件工程方面)各種組件應(yīng)該理解為執(zhí)行功能并具有輸入和輸出的實體��。如上面提到的����,從實現(xiàn)的角度��,如果用FPGA實現(xiàn)的話組件可實現(xiàn)為VHDL組件(即具有一些存儲器的專用門)�����,而且如果用軟件實現(xiàn)的話可實現(xiàn)為C函數(shù)或Java對象����。
圖4中例證的接收器邏輯與具有硬件支持的IEEE 1588的正常實現(xiàn)相比較保持不變。其目的是解碼從網(wǎng)絡(luò)接收的消息���,并檢測請求由TSU執(zhí)行加時間戳操作的同步消息的到達。類似地�����,傳送邏輯檢測例如源自裝置的CPU并且同樣請求加時間戳操作的外出同步消息的存在�����。在組件同步20和等待21中實現(xiàn)圖2中給出的操作序列。前者負(fù)責(zé)準(zhǔn)備�����,包括從TSU接收時間戳���,安全完全得到保護的同步消息���,而后者阻止發(fā)送消息直到計劃的發(fā)送時間tsend為止。傳輸端口 TX包含兩個隊列�����,專用于IEEE 1588安全同步消息的高優(yōu)先權(quán)隊列(HPQ) 21和用于任何非同步消息的低優(yōu)先權(quán)隊列(LPQ) 22����。HPQ 21具有最高優(yōu)先權(quán),意味著消息無論何時放在隊列中�����,該消息都將沒有另外延遲地傳送�。然而,如果傳送器正好已經(jīng)開始發(fā)送來自LPQ 22的消息,則同步消息的發(fā)送被延遲[(sizeof (max_length_ethernet_ packet) +interframe_gap) /network_speed]�。這導(dǎo)致對于 100 兆位 / 秒網(wǎng)絡(luò)上的 802. 3MAC 幀最大延遲為(15^x8+lh8)/(100兆位/秒)=12.6微秒。為了防止這個附加的不受控制的抖動�����,等待組件21必須在tsmd之前12微秒的阻斷間隔Abl��。�。k中阻止或禁止發(fā)送來自 LPQ的任何幀。準(zhǔn)備間隔At的選擇取決于許多參數(shù)��,諸如使用的硬件�����、安全方案�����、網(wǎng)絡(luò)速度等�。 例如�,稱為AES(高級加密標(biāo)準(zhǔn))的特定哈希函數(shù)的VHDL實現(xiàn)需要在50(高性能)與106(低性能)個20ns(50MHZ)的循環(huán)之間以便哈希6個字節(jié),從而對于典型的200字節(jié)長的同步幀得到大約33微秒或70微秒的延遲�����。在這種情況下,At必須至少為33微秒或70微秒加上將時間戳插入同步消息中所需的延遲�。
權(quán)利要求
1.一種同步連接到通信網(wǎng)絡(luò)的時鐘的方法,所述方法包括由主時鐘發(fā)送包含時間戳的同步消息并由從時鐘接收所述同步消息����,所述方法還包括-在計劃的發(fā)送時間tsmd之前準(zhǔn)備包含所述計劃的發(fā)送時間tsmd的時間戳的同步消息;-保護所述同步消息的安全����;以及-在所述計劃的發(fā)送時間tsmd,發(fā)送安全得到保護的同步消息����。
2.如權(quán)利要求1所述的方法,包括-在所述計劃的發(fā)送時間tsmd時發(fā)送之前�,在等待組件中存儲所述安全得到保護的同步消息。
3.如權(quán)利要求1所述的方法��,包括-在所述計劃的發(fā)送時間��、_之前的阻斷間隔Abl��。�����。k,禁止發(fā)送長度超過所述阻斷間隔 Ablock長度的非同步消息�。
4.如權(quán)利要求1所述的方法,包括-在先于所述計劃的發(fā)送時間tsmdA t的時間tp_開始準(zhǔn)備安全得到保護的同步消息��, 其中At是基于生成所述同步消息的處理硬件的處理能力的準(zhǔn)備延遲�。
5.如權(quán)利要求1至4中任一項所述的方法,其中所述通信網(wǎng)絡(luò)具有環(huán)形拓?fù)?��,并且其中所述主時鐘屬于具有分別連接到所述通信網(wǎng)絡(luò)的第一相鄰節(jié)點和第二相鄰節(jié)點的第一通信端口和第二通信端口的主時鐘裝置�,所述方法包括由所述主時鐘裝置-生成所述安全得到保護的同步消息的復(fù)制同步消息����;以及-基本上同時分別經(jīng)由第一端口和第二端口向第一相鄰節(jié)點和第二相鄰節(jié)點傳送所述同步消息和所述復(fù)制同步消息。
6.如權(quán)利要求5所述的方法����,其中所述從時鐘屬于過程控制或變電站自動化系統(tǒng)的智能電子裝置IED。
7.一種用于同步連接到通信網(wǎng)絡(luò)的從時鐘的主時鐘裝置����,所述主時鐘裝置配置成準(zhǔn)備和發(fā)送包含時間戳的同步消息,其特征在于�����,所述裝置包括-同步組件(20)����,用于準(zhǔn)備包含計劃的發(fā)送時間tsmd的時間戳的同步消息并用于保護所述同步消息的安全;以及-等待組件(21)��,用于臨時存儲所述安全得到保護的同步消息直到所述計劃的發(fā)送時間tsmd為止��。
8.如權(quán)利要求7所述的主時鐘裝置���,其特征在于它包括具有低優(yōu)先權(quán)隊列LPQ(23) 的傳輸端口 TX����,其中在所述計劃的發(fā)送時間tsmd之前的阻斷間隔Abl��。�����。k期間��,禁止發(fā)送來自LPQ的長度超過所述阻斷間隔Δω���。Λ長度的非同步消息�。
全文摘要
本發(fā)明關(guān)于使用對稱或不對稱保護方案的安全一步IEEE 1588時鐘。通過由主時鐘發(fā)送包含時間戳的同步消息��,尤其是根據(jù)IEEE 1588的一步時鐘類型的單個消息�����,并通過由從時鐘接收和評估同步消息��,來同步連接到通信網(wǎng)絡(luò)的工業(yè)自動化系統(tǒng)中使命關(guān)鍵或高度可用裝置的時鐘�����。主時鐘的同步組件或模塊在計劃的發(fā)送時間tsend之前準(zhǔn)備或構(gòu)成包含計劃的發(fā)送時間的時間戳的同步消息����,并仍在計劃的發(fā)送時間之前保護同步消息的安全。保護同步消息的安全通過如下來進行適當(dāng)密碼構(gòu)件可例如通過計算同步消息的校驗和或哈希并對其簽名來至少使時間戳在接收從時鐘處得到認(rèn)證�����。在計劃的發(fā)送時間�����,傳送安全得到保護的同步消息。
文檔編號G04G7/00GK102472998SQ201180002798
公開日2012年5月23日 申請日期2011年5月13日 優(yōu)先權(quán)日2010年6月9日
發(fā)明者H·基爾曼, J-C·圖爾尼 申請人:Abb研究有限公司