专利名称:安全时钟同步的制作方法
技术领域:
本发明涉及工业自动化系统或过程控制系统,具体地说,涉及具有基于因特网的通信网络的变电站自动化系统。
背景技术:
过程控制或工业自动化系统广泛用于保护、控制和监视例如用于制造产品、转变物质或发电的工业工厂中的工业过程,以及监视和控制扩展的基本系统,例如电能、水或气供应系统或电信系统,包含它们的相应变电站。工业自动化系统一般具有分布在工业工厂中或扩展的基本系统上并在通信上经由通信系统互连的大量过程控制器。高压和中压电力网中的变电站包括基本装置(诸如电缆、电线、母线、开关、电力变压器和仪表变压器,它们一般都布置在开关场和/或架(switch yards and/or bays)中。 经由变电站自动化(SA)系统以自动方式操作这些基本装置。SA系统包括辅助装置,所谓的智能电子装置(IED),负责保护、控制和监视基本装置。IED可被指配给分层的级,诸如站级、架级(bay level)和过程级,其中通过所谓的过程接口将过程级与架级分开。SA系统的站级包含具有人机接口(HMI)的操作员工作站(OWS)和到网络控制中心(NCC)的网关。也可称为架单元的架级上的IED又彼此连接,以及经由服务于交换命令和状态信息目的的架间总线或站间总线连接到站级上的IED。已经作为题为“变电站中通信网络和系统”的标准IEC 61850的一部分引入了用于变电站辅助装置之间通信的通信标准。对于非时间关键消息,IEC 61850-8-1规定了基于缩减的开放系统互连(OSI)协议栈的制造消息规范(MMS,IS0/IEC9506)协议,在传输层和网络层中分别具有传输控制协议(TCP)和因特网协议(IP),以及作为物理介质的以太网。对于时间关键的基于事件的消息,IEC 61850-8-1规定了直接在通信栈的以太网链路层上的通用面向对象的变电站事件(GOOSE)。对于在过程级的非常快速地周期性改变的信号 (诸如所测量的模拟电压或电流),IEC 61850-9-2规定了采样值(SV)服务,采样值(SV)服务像GOOSE—样直接构建在以太网链路层上。因此,该标准定义了公布格式,作为工业以太网上的多播消息、基于事件的消息和来自过程级上电流或电压传感器的数字化测量数据。随着IEC 61850的引入,过程控制或变电站自动化系统中辅助装置的基于以太网的网络上的精确时间同步已经变成一个关心的问题。作为经典的脉冲每秒 (Pulse-Per-Second)PPS信号的替代,IEC 61850建议使用IEEE1588来实现关键数据(诸如SV或脱扣信号)所需的时间同步程度。IEEE1588可运行在两种模式。在一步时钟模式, 主时钟发送同步消息,同时对该消息加时间戳,并将时间戳插入在相同消息的内容中。在两步时钟模式,不直接在同步消息中携带时间戳而是在后续消息中携带时间戳。变电站自动化中的另一突出方面是施加在网络安全上的重要性提高了。虽然IEC 62351-6覆盖了由IEC 61850定义的协议(诸如8_1和9_2)以定义所需的安全机制,但 IEEE 1588仍未被保护。保护IEEE 1588的安全的问题之一是当使用一步时钟方法时不能保护协议的安全。不管是用对称方案还是不对称方案,两步时钟对于保护安全都是微不足道的,因为同步消息是根本未被修改的非敏感消息。另一方面,安全得到保护的一步时钟方法需要保护在空中(同时被转发)的同步消息的安全,并且由此(对于不对称方案)几乎不可能实现或者(对于对称方案或对于1吉比特/秒网络)不可能实现。专利申请EP 2148473涉及基于具有多个交换节点并以全双工链路操作的环形通信网络的使命关键的(mission-critical)或高度可用的应用。通过相应第一端口和第二端口连接到通信网络的发送器节点传送冗余帧对。对于要在环形网络上发送的每个帧,在相反方向上传送源帧和复制帧,两种帧都由环形网络的其它节点中继,直到它们最终返回到始发发送器节点。结果,网络载荷相对于常规环形网络大致加倍了,但是目标节点将在等于环的可能最长路径的最大传输延迟之后接收到该数据。在无故障状态下,目标节点由此接收到两个具有相同内容的冗余帧。可根据并行冗余协议PRP标识冗余帧,因此仅两个帧中的前者或第一帧被转发到上层协议,而后者或第二帧被丢弃。因为两部时钟方法中的同步消息和后续消息可采取HSR中的不同路径或方向,所以使用一步时钟是优选的。Albert Treytl, Bernd Hirschler 的文 章"Practical Application of 1588Security" (IEEE International Symposium on Precise Clock Synchronization, September 2008,Ann Harbor,USA)提出了一种实现安全一步时钟的方法,在安全一步时钟中在最前面将同步消息的静态部分进行哈希。然后产生时间戳并将其嵌入在消息中,之后快速完成对消息的其余部分(即时间戳)的哈希。这个方法的缺点是它仅允许比不对称保护方案费时更少的对称保护方案。的确,操作仍在空中进行,即其余部分的哈希以及签名 (sign),并且因此是时间关键的。另一个缺点是这个方法局限于100兆比特/秒的网络,因为对于1吉比特/秒,其余哈希操作将不会按时完成。
发明内容
因此本发明的目的是使用对称方案或不对称保护方案保护一步IEEE1588时钟的安全。这个目的通过根据独立权利要求的同步时钟的方法和主时钟装置实现。根据从属专利权利要求,优选实施例是显然的,其中指出的权利要求从属性不应视为排除了另外有意义的权利要求组合。根据本发明,通过由主时钟发送包含时间戳的同步消息(尤其是根据IEEE 1588 的一步时钟类型的单个消息),并通过由从时钟接收和评估同步消息,来同步连接到通信网络的工业自动化系统中使命关键的或高度可用装置的时钟。主时钟的同步组件或模块在计划的发送时间tsmd之前准备或构成包含计划的发送时间的时间戳的同步消息,并仍在计划的发送时间之前保护同步消息的安全。保护同步消息的安全通过如下来进行适当密码构件可例如通过计算同步消息的校验和或哈希并对其签名来至少使时间戳在接收从时钟处得到认证。在计划的发送时间,传送安全得到保护的同步消息。在本发明的有利实施例中,安全得到保护的同步消息在tsmd时发送之前被存储在主时钟装置的传送器的专用等待组件中。在本发明的另一个有利实施例中,阻断传送器的低优先权队列(LPQ)并在tsmd之前的阻断间隔期间禁止发送来自LPQ的非同步消息。对应于在LPQ中期望的最长消息的保守阻断间隔确保在tsmd时传送的过程中没有消息。在更复杂的变型中,在发送之前检查来自LPQ的消息的长度,以便确定在tsmd之前完成了其传输。因此,将总是在没有由于低优先权消息正在进行的传输引起的另外延迟或抖动的情况下传送同步消息,。优选地,时钟装置布置为以全双工链路操作的环形通信网络中的交换节点,其中, 通过相应第一端口和第二端口连接到通信网络的发送器节点传送冗余帧对。对于要在环形网络上发送的每个同步消息,在相反方向上传送源同步消息和复制同步消息,两种消息都由环形网络的其它节点中继,直到它们最终返回到始发发送器节点。这种冗余通信网络拓扑有利地用在工业自动化系统或过程控制系统中,尤其是用在高压电力网络和中压电力网络中的变电站的变电站自动化系统中。
在下文将参照在附图中例证的优选示范实施例更详细地说明本发明的主题,附图中图1描绘了本发明范围以外的安全一步时钟实现的操作序列;图2描绘了安全一步时钟的修改的操作序列;以及图3和图4描绘了对应的系统架构。
具体实施例方式图1描绘了安全一步IEEE 1588时钟的直接实现所需的操作的示范而不是实际的序列。与之相关联的主要问题是不能计算在空中所需的所有操作。尤其是,这种时钟将必须开始发送同步消息SYNC的第一字节,然后对发送操作加时间戳,将时间戳插入在消息中,并且最后用可能的最短时间延迟对消息进行哈希和签名。图2描绘了预先准备同步消息的安全IEEE 1588 一步时钟的示范操作序列。本发明提出对于将来时间戳准备同步消息SYNC,即产生并嵌入将来时间tsmd = tprep+ Δ t的时间戳,其中时间tpm)表示准备同步消息开始并确定其超前时间戳的时间。通过仔细地选择准备间隔或超前延迟At,在计划的发送时间tsend发送安全得到保护的同步之前有执行所有必需操作的充分时间可用。图3示出了典型一步时钟实现的对应的系统架构。确保按时发送同步消息是IEEE 1588低级栈的最终责任,并且为了获得所需的定时精确度,用硬件实现所提出的改进。硬件级或低级栈包括专用集成电路(IC)芯片或现场可编程门阵列(FPGA)(其优选作为装置的网络接口卡(NIC)IO的一部分),并执行同步过程的所有时间关键方面,即接收和发送 IEEE 1588SYNC消息时对它们加时间戳。通过低级编程语言(诸如VHDL)对加时间戳单元 (TSU) 11的逻辑门编码。在较高抽象级,所有非时间关键方面都在常规IEEE 1588栈14内实现,或者在同一专用芯片上或装置的CPU 13上实现,后者经由示范通信总线(例如PCI) 12 连接到TSU。在这种情况下,IEEE 1588栈作为软件实现运行在CPU上,而仅在硬件级实现时间戳操作。所提出的发明并不暗示对软件栈有任何修改,而仅对实现根据图2的步骤序列的逻辑有修改,即,当发送同步消息时。图4最后描述了支持预先形成的安全IEEE 1588 一步时钟的低级栈的详细架构。 从架构的角度(即在软件工程方面)各种组件应该理解为执行功能并具有输入和输出的实体。如上面提到的,从实现的角度,如果用FPGA实现的话组件可实现为VHDL组件(即具有一些存储器的专用门),而且如果用软件实现的话可实现为C函数或Java对象。
图4中例证的接收器逻辑与具有硬件支持的IEEE 1588的正常实现相比较保持不变。其目的是解码从网络接收的消息,并检测请求由TSU执行加时间戳操作的同步消息的到达。类似地,传送逻辑检测例如源自装置的CPU并且同样请求加时间戳操作的外出同步消息的存在。在组件同步20和等待21中实现图2中给出的操作序列。前者负责准备,包括从TSU接收时间戳,安全完全得到保护的同步消息,而后者阻止发送消息直到计划的发送时间tsend为止。传输端口 TX包含两个队列,专用于IEEE 1588安全同步消息的高优先权队列(HPQ) 21和用于任何非同步消息的低优先权队列(LPQ) 22。HPQ 21具有最高优先权,意味着消息无论何时放在队列中,该消息都将没有另外延迟地传送。然而,如果传送器正好已经开始发送来自LPQ 22的消息,则同步消息的发送被延迟[(sizeof (max_length_ethernet_ packet) +interframe_gap) /network_speed]。这导致对于 100 兆位 / 秒网络上的 802. 3MAC 帧最大延迟为(15^x8+lh8)/(100兆位/秒)=12.6微秒。为了防止这个附加的不受控制的抖动,等待组件21必须在tsmd之前12微秒的阻断间隔Abl。。k中阻止或禁止发送来自 LPQ的任何帧。准备间隔At的选择取决于许多参数,诸如使用的硬件、安全方案、网络速度等。 例如,称为AES(高级加密标准)的特定哈希函数的VHDL实现需要在50(高性能)与106(低性能)个20ns(50MHZ)的循环之间以便哈希6个字节,从而对于典型的200字节长的同步帧得到大约33微秒或70微秒的延迟。在这种情况下,At必须至少为33微秒或70微秒加上将时间戳插入同步消息中所需的延迟。
权利要求
1.一种同步连接到通信网络的时钟的方法,所述方法包括由主时钟发送包含时间戳的同步消息并由从时钟接收所述同步消息,所述方法还包括-在计划的发送时间tsmd之前准备包含所述计划的发送时间tsmd的时间戳的同步消息;-保护所述同步消息的安全;以及-在所述计划的发送时间tsmd,发送安全得到保护的同步消息。
2.如权利要求1所述的方法,包括-在所述计划的发送时间tsmd时发送之前,在等待组件中存储所述安全得到保护的同步消息。
3.如权利要求1所述的方法,包括-在所述计划的发送时间、_之前的阻断间隔Abl。。k,禁止发送长度超过所述阻断间隔 Ablock长度的非同步消息。
4.如权利要求1所述的方法,包括-在先于所述计划的发送时间tsmdA t的时间tp_开始准备安全得到保护的同步消息, 其中At是基于生成所述同步消息的处理硬件的处理能力的准备延迟。
5.如权利要求1至4中任一项所述的方法,其中所述通信网络具有环形拓扑,并且其中所述主时钟属于具有分别连接到所述通信网络的第一相邻节点和第二相邻节点的第一通信端口和第二通信端口的主时钟装置,所述方法包括由所述主时钟装置-生成所述安全得到保护的同步消息的复制同步消息;以及-基本上同时分别经由第一端口和第二端口向第一相邻节点和第二相邻节点传送所述同步消息和所述复制同步消息。
6.如权利要求5所述的方法,其中所述从时钟属于过程控制或变电站自动化系统的智能电子装置IED。
7.一种用于同步连接到通信网络的从时钟的主时钟装置,所述主时钟装置配置成准备和发送包含时间戳的同步消息,其特征在于,所述装置包括-同步组件(20),用于准备包含计划的发送时间tsmd的时间戳的同步消息并用于保护所述同步消息的安全;以及-等待组件(21),用于临时存储所述安全得到保护的同步消息直到所述计划的发送时间tsmd为止。
8.如权利要求7所述的主时钟装置,其特征在于它包括具有低优先权队列LPQ(23) 的传输端口 TX,其中在所述计划的发送时间tsmd之前的阻断间隔Abl。。k期间,禁止发送来自LPQ的长度超过所述阻断间隔Δω。Λ长度的非同步消息。
全文摘要
本发明关于使用对称或不对称保护方案的安全一步IEEE 1588时钟。通过由主时钟发送包含时间戳的同步消息,尤其是根据IEEE 1588的一步时钟类型的单个消息,并通过由从时钟接收和评估同步消息,来同步连接到通信网络的工业自动化系统中使命关键或高度可用装置的时钟。主时钟的同步组件或模块在计划的发送时间tsend之前准备或构成包含计划的发送时间的时间戳的同步消息,并仍在计划的发送时间之前保护同步消息的安全。保护同步消息的安全通过如下来进行适当密码构件可例如通过计算同步消息的校验和或哈希并对其签名来至少使时间戳在接收从时钟处得到认证。在计划的发送时间,传送安全得到保护的同步消息。
文档编号G04G7/00GK102472998SQ201180002798
公开日2012年5月23日 申请日期2011年5月13日 优先权日2010年6月9日
发明者H·基尔曼, J-C·图尔尼 申请人:Abb研究有限公司