защищенная тактовая синхронизация

Классы МПК:G04G7/00 Синхронизация
H04L12/42 замкнутые сети
Автор(ы):,
Патентообладатель(и):АББ РИСЕРЧ ЛТД (CH)
Приоритеты:
подача заявки:
2011-05-13
публикация патента:

Настоящее изобретение относится к системам промышленной автоматики или автоматизированным системам управления технологическими процессами, в частности к автоматизированным системам электрических подстанций, соединенных сетью связи на основе Ethernet. Технический результат - повышение точности тактовой синхронизации. Для этого при одноступенчатой передаче тактового сигнала по стандарту IEEE 1588 используется симметричная или асимметричная схемы защиты. Тактовые сигналы критически важных или широко доступных устройств в системах промышленной автоматики, соединенных с сетью связи, синхронизируют путем передачи главным тактовым генератором сообщения синхронизации, в частности одного сообщения одноступенчатой тактовой синхронизации по стандарту IEEE 1588, содержащего временной маркер, и приема и оценки этого сообщения ведомым тактовым генератором. Компонент или модуль синхронизации главного тактового генератора заранее, до наступления намеченного момента времени tsend , готовит или формирует сообщение синхронизации, включающее в себя временной маркер намеченного времени передачи, и защищает его еще до момента передачи. Защита сообщения синхронизации осуществляется с использованием подходящих криптографических средств, позволяющих, по меньшей мере, идентифицировать временной маркер в принимающем ведомом тактовом генераторе, например, путем вычисления и присвоения знака контрольной суммы или хэширования сообщения синхронизации. Передача защищенного сообщения синхронизации осуществляется в намеченный момент времени. 2 н. и 6 з.п. ф-лы, 4 ил. защищенная тактовая синхронизация, патент № 2487382

защищенная тактовая синхронизация, патент № 2487382 защищенная тактовая синхронизация, патент № 2487382 защищенная тактовая синхронизация, патент № 2487382 защищенная тактовая синхронизация, патент № 2487382

Формула изобретения

1. Способ синхронизации тактовых генераторов, соединенных с сетью связи, содержащий передачу главным тактовым генератором сообщения синхронизации, включающего временной маркер, и прием сообщения синхронизации ведомым тактовым генератором, дополнительно содержащий:

- подготовку, до наступления намеченного момента времени передачи tsend, сообщения синхронизации, содержащего временной маркер намеченного времени передачи t send,

- обеспечение защиты сообщения синхронизации и

- передачу защищенного синхронизационного сообщения в намеченное время tsend.

2. Способ по п.1, содержащий:

- сохранение защищенного сообщения синхронизации до намеченного времени передачи tsend в устройстве (21) ожидания.

3. Способ по п.1, содержащий:

- запрет передачи в течение блокирующего интервала защищенная тактовая синхронизация, патент № 2487382 block несинхронизационных сообщений, длина которых превышает длину блокирующего интервала защищенная тактовая синхронизация, патент № 2487382 block.

4. Способ по п.1, содержащий:

- начало подготовки защищенного сообщения синхронизации в момент времени tprep, опережающий намеченное время отправки на защищенная тактовая синхронизация, патент № 2487382 t, где защищенная тактовая синхронизация, патент № 2487382 t - задержка формирования, зависящая от процессорной мощности аппаратных средств, генерирующих сообщение синхронизации.

5. Способ по одному из пп.1-4, отличающийся тем, что сеть связи имеет кольцевую топологию и что главный тактовый генератор представляет собой главное тактовое устройство, имеющее первый и второй порты связи, соединяемые соответственно с первым и вторым соседними узлами сети связи, и содержащий выполняемые главным тактовым устройством

- генерацию сообщения синхронизации, дублирующего защищенное сообщение синхронизации и

- передачу, по существу, одновременно через первый и второй порты соответственно сообщения синхронизации и дублирующего сообщения синхронизации указанным первому и второму соседним узлам.

6. Способ по п.5, отличающийся тем, что ведомые тактовые генераторы относятся к интеллектуальным электронным устройствам автоматизированных систем управления технологическими процессами или автоматизированных систем электрических подстанций.

7. Устройство главного тактового генератора для синхронизации ведомых тактовых генераторов, соединенных с сетью связи, конфигурированное для подготовки и передачи сообщений синхронизации, включающих временной маркер, и отличающееся тем, что это устройство включает:

- компонент (20) синхронизации для подготовки сообщения синхронизации с временным маркером намеченного времени передачи tsend и для защиты сообщения синхронизации,

- компонент (21) ожидания для временного хранения защищенного сообщения синхронизации до наступления намеченного момента времени передачи tsend .

8. Устройство главного тактового генератора по п.7, отличающееся тем, что оно содержит передающий порт ТХ с низкоприоритетной очередью (23), в котором в течение блокирующего интервала защищенная тактовая синхронизация, патент № 2487382 block перед намеченным моментом времени передачи tsend, передача несинхронизационных сообщений, длина которых превышает длину блокирующего интервала защищенная тактовая синхронизация, патент № 2487382 block, запрещена.

Описание изобретения к патенту

Область техники, к которой относится изобретение

Настоящее изобретение относится к системам промышленной автоматики или автоматизированным системам управления технологическими процессами, в частности к автоматизированным системам электрических подстанций, соединенных сетью связи на основе Ethernet.

Уровень техники

Системы управления технологическими процессами или системы промышленной автоматики широко используются для защиты, управления или контроля производственных процессов на промышленных объектах, например, производящих товары, перерабатывающих материалы или генерирующих энергию, а также для управления и контроля распределенных первичных систем, таких как системы выработки электроэнергии, снабжения водой или газом, телекоммуникационные системы вместе с соответствующими подстанциями. Системы промышленной автоматики обычно содержат большое количество автоматических контроллеров технологических процессов, распределенных по промышленному объекту или в распределенной первичной системе и связанных между собой системой связи.

Подстанции в энергосетях высокого и среднего напряжения состоят из первичных устройств, таких как электрические кабели, линии, шины, переключатели, силовые и измерительные трансформаторы, обычно объединяемые в распределительные устройства или секции. Эти первичные устройства работают в автоматическом режиме под управлением автоматизированной системы электрической подстанции (SA). Автоматизированная система электрической подстанции включает в себя вторичные устройства, так называемые интеллектуальные электронные устройства, отвечающие за защиту, управление и мониторинг состояния первичных устройств. Интеллектуальные электронные устройства подразделяются по иерархическим уровням, таким как станционный уровень, секционный уровень и уровень технологического процесса, причем уровень технологического процесса отделен от секционного уровня так называемым интерфейсом технологического процесса. К станционному уровню автоматизированной системы электрической подстанции относятся рабочая станция оператора с человеко-машинным интерфейсом и шлюз для соединения с центром управления сетью. Интеллектуальные электронные устройства секционного уровня, которые также называют секционными блоками, в свою очередь соединяются друг с другом и с интеллектуальными электронными устройствами станционного уровня посредством межсекционной или станционной магистральной шины данных, обеспечивающей обмен командами и информацией о состоянии.

Стандарт для связи между вторичными устройствами подстанции является частью стандарта IEC 61850 «Системы и сети связи подстанций». Для некритичных по времени сообщений стандарт IEC 61850-8-1 устанавливает протокол MMS (Manufacturing Message Specification, ISO/IEC 9506) (Спецификация Производственных Сообщений), базирующийся на сокращенном стеке протоколов OSI (Open Systems Interconnection, Взаимодействие Открытых систем) с протоколом TCP (Transmission Control Protocol, Протокол Управления Передачей) и IP (Internet Protocol, Протокол Интернет) на транспортном и сетевом уровнях соответственно, и Ethernet в качестве физической среды. Для информации о событиях, критичной во времени, стандарт IEC 61850-8-1 определяет перечень Типовых Объектно-Ориентированных Событий для Подстанции GOOSE (Generic Object Oriented Substation Events) непосредственно на уровне канала связи Ethernet в стеке связи. Для очень быстро периодически изменяющихся сигналов на уровне технологических процессов, таких как измеряемые аналоговые напряжения или токи, стандарт IEC 61850-9-2 устанавливает Режим передачи отсчетов (Sampled Value (SV) service), который подобно GOOSE строится непосредственно на уровне канала связи Ethernet. Тем самым, стандарт устанавливает формат передачи в виде многоадресных сообщений в промышленной сети Ethernet, сообщений на основе событий и преобразованных в цифровую форму результатов измерений от датчиков напряжения или тока на уровне технологических процессов.

С введением стандарта IEC 61850 точная синхронизация по времени вторичных устройств через сети на основе Ethernet при управлении технологическими процессами или в автоматизированной системе электрической подстанции превратилась в проблему. В качестве замены классическому сигналу PPS (Pulse-Per-Second) стандарт IEC 61850 рекомендует использовать стандарт IEEE 1588 для достижения уровня синхронизации по времени, требуемого для передачи критически важных данных, таких как SV или команды отключения. Стандарт IEEE 1588 предусматривает возможность работы в двух режимах. При работе в одноступенчатом режиме главный тактовый генератор посылает сообщение синхронизации и одновременно маркирует сообщение по времени и вводит временной маркер, в содержание самого этого сообщения. В двухступенчатом режиме временной маркер не вводят непосредственно в сообщение синхронизации, а передают в следующем сообщении.

Следующим существенным аспектом в автоматизированных системах электрических подстанций является усиление значимости информационной безопасности. В то время как протоколы 8-1 и 9-2 стандарта IEC 61850 подпадают под действие стандарта IEC 62351-6 в отношении требуемых механизмов защиты, стандарт IEEE 1588 остается незащищенным. Одной из проблем в области безопасности при использовании стандарта IEEE 1588 является невозможность обеспечения безопасности протокола при работе в одноступенчатом режиме. Обеспечение безопасности в двухступенчатом режиме не представляет проблем, будь то симметричная или асимметричная схема, так как сообщения синхронизации являются нечувствительными и вообще неизменяемыми никогда. С другой стороны, для обеспечения защиты в одноступенчатом режиме необходимо защищать сообщения синхронизации «на лету» (оперативно) в процессе передачи, а это реализовать почти невозможно (для асимметричных схем) или совершенно невозможно (для симметричных схем или для сетей со скоростью передачи 1 Гбит/сек)

Заявка на патент EP 2148473 относится к критически важным или широко распространенным приложениям на основе сетей связи кольцевого типа с несколькими коммутационными узлами и полностью дуплексными каналами связи. Передающий узел, соединенный через свои первый и второй порты с сетью связи, передает пары дублированных кадров. Для каждого кадра, направляемого в кольцевую сеть, передают в противоположных направлениях исходный и дублирующий кадры. Оба кадра ретранслируются другими узлами кольцевой сети до тех пор, пока они не вернутся в конечном итоге в исходный передающий узел. Вследствие этого нагрузка на сеть примерно удваивается по сравнению с обычной кольцевой сетью, а узел-адресат получает данные с максимальной задержкой, равной времени прохождения самого длинного пути в кольце. В исправном состоянии узел-адресат получает два дублированных кадра с одинаковым содержанием. Дублированные кадры могут быть идентифицированы в соответствии с Parallel Redundancy Protocol (PRP) (Протокол Параллельного Резервирования), в результате только более ранний или первый кадр из этих двух кадров передают протоколам более высокого уровня, а более поздний или второй кадр отбрасывают. Так как сообщение синхронизации и последующее сообщение в двухступенчатом режиме могут быть направлены быстродействующим ретранслятором HSR по разным маршрутам или по разным направлениям, предпочтительным является использование одноступенчатого режима.

В документе "Practical Application of 1588 Security", by Albert Treytl, Bernd Hirschler, IEEE International Symposium on Precise Clock Synchronization, September 2008, Ann Harbor, USA, предлагается способ реализации защищенной одноступенчатой системы синхронизации, при котором статическая часть сообщения синхронизации предварительно хэшируется. Затем создается и вводится в состав сообщения временной маркер, после чего быстро завершается хэширование оставшейся части сообщения, т.е. временного маркера. Недостатком такого подхода является то, что он позволяет использовать только симметричную схему защиты, которая требует меньших затрат времени, чем асимметричная схема. В самом деле, действие, т.е. хэширование остающейся части, равно как и присвоение знака, происходят «на лету», и поэтому являются критичным по времени. Другой недостаток - ограничение использования этого похода сетями связи со скоростью передачи 100 Мбит/сек, так как для скорости 1 Гбит/сек остающиеся операции хэширования не будут своевременно завершены.

Сущность изобретения

Целью настоящего изобретения является защита одноступенчатой тактовой синхронизации по стандарту IEEE 1588 с использованием симметричной или асимметричной схемы. Эта цель достигается использованием метода синхронизации тактовых генераторов и главного тактового генератора, описанных в независимых пунктах формулы изобретения. Предпочтительные варианты реализации очевидны из зависимых пунктов формулы изобретения, причем зависимость пунктов не должна толковаться как исключающая последующие разумные комбинации пунктов.

В соответствии с настоящим изобретением, тактовые генераторы критически важных или широко распространенных устройств в системах промышленной автоматики, соединенные с сетью связи, синхронизируются путем передачи главным тактовым генератором сообщения синхронизации, в частности одного сообщения одноступенчатой системы синхронизации стандарта IEEE 1588, содержащего временной маркер, и получением и оценкой сообщения синхронизации ведомым тактовым генератором. Синхронизационный компонент или модуль главного тактового генератора готовит или формирует к намеченному времени передачи tsend сообщение синхронизации, содержащее временной маркер намеченного времени передачи сообщения, и обеспечивает защиту сообщения синхронизации еще до наступления намеченного времени передачи. Защита сообщения синхронизации осуществляется посредством подходящих криптографических средств, позволяющих, по меньшей мере, идентифицировать временной маркер в получающем ведомом тактовом генераторе, например, путем вычисления и определения знака контрольной суммы сообщения синхронизации. В указанное намеченное время происходит передача защищенного сообщения синхронизации.

В одном из полезных вариантов реализации изобретения защищенное синхронизационное сообщение хранится в специальном блоке ожидания передающего устройства главного тактового генератора до момента его передачи в момент tsend.

В другом эффективном варианте реализации изобретения производится блокировка низко приоритетной очереди сообщений LPQ (Low Priority Queue) передающего устройства, и запрещается передача несинхронизационных сообщений из этой очереди в течение некоторого блокирующего интервала перед t send. Выбранный консервативно блокирующий интервал, длина которого соответствует длине наибольшего сообщения, ожидаемого в очереди LPQ, гарантирует отсутствие передачи каких-либо сообщений, относящихся к технологическому процессу, в момент tsend . В более сложном варианте проверяют длину сообщения из очереди LPQ перед его передачей, чтобы убедиться, что передача этого сообщения будет завершена к моменту tsend. Вследствие этого сообщения синхронизации всегда будут передаваться без каких-либо задержек или флуктуации из-за текущей передачи низкоприоритетных сообщений.

Как правило, тактовые генераторы устанавливаются в коммутационных узлах сетей связи кольцевого типа, работающих в режиме полного дуплекса, в которых передающий узел, соединенный с сетью связи через свои первый и второй порты, передает пары дублированных кадров. Для каждого сообщения синхронизации, которое нужно направить в кольцевую сеть, передают в противоположных направлениях исходный и дублирующий кадры. Оба кадра ретранслируются другими узлами кольцевой сети до тех пор, пока они не вернутся в исходный передающий узел. Такая дублированная структура сети связи успешно используется в системах промышленной автоматики или системах управления технологическими процессами, в частности в автоматизированных системах электрических подстанций энергосетей высокого и среднего напряжения.

Краткое описание чертежей

Предмет изобретения описан ниже более подробно со ссылками на предпочтительные варианты реализации, которые проиллюстрированы прилагаемыми рисунками:

фиг.1 иллюстрирует последовательность операций в процессе защищенной одноступенчатой тактовой синхронизации, не являющейся предметом настоящего изобретения;

фиг.2 иллюстрирует модифицированную последовательность операций в процессе защищенной одноступенчатой тактовой синхронизации;

фиг.3 и фиг.4 иллюстрируют соответствующие архитектуры систем.

Подробное описание изобретения

Фиг.1 иллюстрирует примерную, скорее идеальную последовательность операций в варианте прямой реализации защищенной одноступенчатой тактовой синхронизации по стандарту IEEE 1588. Основной проблемой при этом является невозможность выполнить все требуемые операции «на лету». В частности, в процессе такой тактовой синхронизации следует начать передачу первого байта сообщения SYNC синхронизации, затем промаркировать время операции передачи, вставить временной маркер в сообщение и, наконец, хэшировать и присвоить знак сообщению с минимально возможной временной задержкой.

Фиг.2 иллюстрирует примерную последовательность операций при опережающей подготовке синхронизационных сообщений в процессе защищенной одноступенчатой тактовой синхронизации по стандарту IEEE 1588. Настоящим изобретением предлагается формировать сообщение SYNC синхронизации с временным маркером будущего времени, т.е. сформировать и вставить временной маркер для будущего момента времени t send=tprep+защищенная тактовая синхронизация, патент № 2487382 t, где tprep обозначает момент времени, когда начинается формирование сообщения синхронизации и задается время его передачи. Если аккуратно выбрать интервал подготовки сообщения или время защищенная тактовая синхронизация, патент № 2487382 t опережения, можно обеспечить достаточное количество времени для выполнения всех необходимых операций до момента передачи защищенного сообщения синхронизации в намеченный момент времени tsend.

Фиг.3 демонстрирует архитектуру варианта реализации типовой системы с одноступенчатой тактовой синхронизацией. Основной задачей стека низкого уровня стандарта IEEE 1558 является своевременная передача сообщения синхронизации, и предлагаемое усовершенствование, реализованное аппаратными средствами, призвано обеспечить требуемую точность синхронизации по времени. Аппаратный уровень или стек низкого уровня включает в себя кристалл специализированной интегральной схемы или программируемую пользователем логическую матрицу FPGA (Field Programmable Gate Array), предпочтительно входящую в состав платы 10 сетевого интерфейса (NIC), и выполняет все критичные по времени аспекты процедуры синхронизации, т.е. маркировку времени сообщений SYNC синхронизации стандарта IEEE 1588 при их получении и передаче. Логические вентили блока 11 маркировки времени (Time Stamping Unit (TSU)) программируют на языке программирования низкого уровня, таком как VHDL. На высоком уровне абстракции все некритичные по времени вопросы реализованы в рамках обычного стека 14 протоколов стандарта IEEE 1588 в той же специализированной интегральной схеме, либо в центральном процессоре 13 (CPU) устройства. Этот процессор соединен с блоком маркировки времени по обычной шине 12 связи (например, PCI). В этом случае стек протоколов стандарта IEEE 1588 используется центральным процессором в качестве программного обеспечения, на аппаратном уровне осуществляется только маркировка по времени. Предлагаемое изобретение не предполагает какой-либо модификации стека программного обеспечения, а только изменение логической схемы, выполняющей последовательность операций согласно фиг.2, т.е. при передаче сообщения синхронизации.

Наконец, фиг.4 иллюстрирует подробную архитектуру стека низкого уровня, поддерживающую защищенную одноступенчатую тактовую синхронизацию согласно стандарту IEEE 1588 с предварительной подготовкой сообщений синхронизации. Различные компоненты должны рассматриваться с архитектурной точки зрения (т.е. в терминах разработки программного обеспечения) как объекты, выполняющие некоторые функции и имеющие входы и выходы. Как указано выше, с точки зрения реализации, такие компоненты могут быть выполнены как VHDL компоненты (т.е. специализированные вентили с некоторой памятью) при реализации в виде программируемой логической матрицы FPGA, либо также как С-функция или Java-объект в случае программной реализации.

Логика приемного устройства, показанная на фиг.4, остается неизменной по сравнению с обычной реализацией стандарта IEEE 1588 аппаратными средствами. Назначением приемного устройства является декодирование сообщений, получаемых из сети, и обнаружение прихода сообщения синхронизации, требующего выполнения операции маркировки по времени посредством блока TSU маркировки времени. Аналогично, логика передающего устройства определяет присутствие исходящего сообщения синхронизации, например, от центрального процессора. Сообщение синхронизации также нужно маркировать по времени. Последовательность операций, представленная на фиг.2, реализуется компонентами синхронизации (Sync 20) и ожидания (Wait 21). Первый из них отвечает за подготовку полностью защищенного сообщения синхронизации, включая получение временного маркера от TSU, в то время как второй задерживает передачу сообщения синхронизации до намеченного момента времени tsend . Передающий порт ТХ содержит две очереди: очередь 22 с высоким приоритетом для защищенных сообщений синхронизации в соответствии с IEEE 1588 и очередь 23 с низким приоритетом для любых несинхронизационных сообщений. Очередь (22) имеет наивысший приоритет, означающий, что как только сообщение попадает в эту очередь, оно сразу же передается без каких-либо задержек. Тем не менее, если передающее устройство уже начало передачу сообщения из очереди (23), передача сообщения синхронизации задерживается на время, определяемое по формуле [(макс. длина пакета Ethernet) + (межкадровый интервал) / скорость передачи в сети)]. Это ведет к максимальной задержке (152х8+12х8)/(100 Мбит/сек)=12,6 мксек для кадра 802.3 MAC в сети со скоростью 100 Мбит/с.Для исключения этой дополнительной неконтролируемой флуктуации компонент 21 ожидания должен блокировать или отключить передачу каких-либо кадров из низкоприоритетной очереди (23) в течение блокирующего интервала защищенная тактовая синхронизация, патент № 2487382 block=12 мксек до наступления момента времени tsend.

Выбор величины интервала подготовки защищенная тактовая синхронизация, патент № 2487382 t зависит от многих факторов, таких как используемые аппаратные средства, схема защиты, скорость передачи в сети и т.д. Например, VHDL-реализация специфической функции хэширования, известная как AES (Advanced Encryption Standard - Улучшенный стандарт шифрования), требует от 50 (при высокой производительности) до 106 (при низкой производительности) циклов по 20 нсек (50 Гц) для хэширования 6 байт, что приводит к задержке от 33 мксек до 70 мксек для типового кадра синхронизации длиной 200 байт. В этом случае защищенная тактовая синхронизация, патент № 2487382 t должна быть, по меньшей мере, 33 мксек или 70 мксек плюс необходимая задержка для вставки временного маркера в сообщения синхронизации.

Класс G04G7/00 Синхронизация

временная синхронизация в автоматизированных приборах -  патент 2511596 (10.04.2014)
способ синхронизации часов и устройство для его реализации -  патент 2439643 (10.01.2012)
способ проведения синхронизации бортовой шкалы времени -  патент 2408044 (27.12.2010)
устройство синхронизации часов -  патент 2310221 (10.11.2007)
способ синхронизации часов -  патент 2292574 (27.01.2007)
способ хранения частоты электрических колебаний -  патент 2279115 (27.06.2006)
рубидиевый стандарт частоты -  патент 2213364 (27.09.2003)
способ синхронизации шкал времени -  патент 2146833 (20.03.2000)
способ оперативной синхронизации мер времени и частоты, размещенных на подвижных объектах -  патент 2109315 (20.04.1998)

Класс H04L12/42 замкнутые сети

Наверх