-
浔之漫智控技术(上海)有限公司
主营:西门子DP电缆代理商
浔之漫智控技术(上海)有限公司
主营:西门子DP电缆代理商
7
西门子6ES7235-0KD22-0XA8参数选型
1、配网自动化的体系结构
(1)配网自动化的基本问题:
尽管我国的配电网自动化工作目前已进入试点实施阶段,但对于配电自动化的认识仍然众说纷纭,下面仅对配网自动化的概念、目标、范围阐述本文的观点:
a.概念:配电网自动化表现为一种集成化自动化系统,它在在线(实时)状态下,能够监控、协调、管理配电网各环节设备与整个配电网优化运行。
b.目标:提高供电性、改善电能质量和提高运行管理效率(经济运行)。
c.范围:以10kV干线馈线自动化为主,覆盖了400V低压配电台区自动化,延伸到用户集中抄表系统。
(2)配网自动化的体系结构:
配网自动化是一项系统工程,完整的配电网自动化系统包含了四个主要环节:供电网络、远动系统、通信系统、主站网络。目前存在的误区之一:过分强调自动化及软件功能,忽略电网的根本需求。
(3)实施配网自动化的技术原则:
a.性原则:实施配网自动化的要目标是提高配电网的供电性,实现高度的配网自动化系统要遵循以下原则:①具有的电源点(双电源进线、备自投、变电所自动化)。②具有的配电网网架(规划、布局、线路)。③具有的设备(一次智能化开关、二次户外FTU、TTU)。④具有的通信系统(通信介质、设备)。⑤具有的主站系统(计算机硬件、软件、网络)。
b.分散性原则:①由于配电网的地域分布性特点,建立配网自动化系统希望功能分散、危险分散,采用具有智能的一次设备(如重合器),故障就地解决。对于县级规模的配电网,复杂性并不高,提高性供电,通常双电源即能满足实际要求,重合器方案,并且在10kV干线适当配置开关数量,使保护配合能够实现。②为进一步提高整体系统的性,主站软件功能分散,以SA为主体的实时监控功能立运行,以GIS(地理信息系统)为主体的在线管理功能立运行,电网分析计算功能立运行,各功能间内核(数据库、微内核调度等)一体化设计,保信息的、、共享。
在实施配网自动化工程中,存在着另一误区:以GIS代SA(如ARCINFO),实时处理图形,增加了计算机工作负担,人为地降低了系统性。以提高供电性为目标的架空网,SA实时监控为,确保主站信息处理及时,GIS在线管理为次;而以运行管理为主要目标的电缆网,应区别对待。
2、配网自动化的实现技术
(1)供电方式及一次设备:
受地域与经济发展因素的影响,我国的配电网在管理上划分为城市电网(大中城市)与农村电网(乡村、县城),城市电网以电缆网方式为主,农村电网以架空线方式为主。
配电网的供电方式由电源点、线路开关设备、网架(线路联结)三部分决定,电源点、网架的不同方式组合,架构了多种多样的供电方式,如单电源辐射状供电、双(多)电源互备供电、双(多)电源环网供电、网格状供电等,而线路开关设备如环网柜、重合器、分段器、断路器、负荷开关等提供了功能各异的供电配合方案。城市电缆网多采用环网柜(配负荷开关、真空断路器、SF6断路器等)作为配电线路主设备,农电架空线网多采用重合器、分段器、断路器、负荷开关等作为配电线路主设备。
以线路开关设备区分的供电方案主要有:电缆环网柜方案、架空重合器方案、分段器(自动配电开关)方案、断路器方案、负荷开关方案等。限于篇幅,本文不再仔细比较各方案的优劣,下面仅说明几个重要问题:
①评价架空网配网自动化供电方案优劣的要依据是供电性,包括故障下停电范围、停电次数、停电时间、恢复供电时间。
②在架空线网中,重合器方案具有现实的和技术的优点:实际中,架空线路故障的80%是瞬间故障,采用重合器隔离瞬间故障,能大幅度提高供电性;由于强电的危险性,线路发生故障时,希望现场问题就地解决,不宜扩大,减少人为复杂化;重合器的智能化程度高,使供电网络能立运行,不依赖于通信系统、主站系统,同时可以统一规划,分步实施;由于故障多发生在分支线低压台区,支线可以用智能分段器与干线重合器保护配合。
③县级城市配电网的特点是架空线网、供电半径在5km以内,双电源环网供电,并采用三开关四分段重合器方案。
④无论是依靠智能开关设备保护配合隔离故障还是通过通信、主站软件隔离故障,均希望简化电网联结的复杂性,对一般的城区和农网,采用双电源环网供电,能满足用户的供电性要求。
(2)远动系统及二次设备:
配电自动化系统的远动主要实现FTU、TTU对线路开关、配电台区(变压器)的监控。远动系统及设备的主要包括保护动作、环网控制、远方控制、就地手动等四方面。配电自动化远动系统的主要问题是线路电源(仪表与操作电源)和传输规约,设计适用于户外环境的、的不间断电源是实现配电自动化的一个难题。由于配电线路设备的地理分布性,目前变电所采用的CDT、POLLING规约,均不适用于配电自动化系统,新的101规约得到了一定程度的应用,它能否作为配电自动化远动传输标准,尚难评定,目前IEC正在新的传输协议标准。
(3)通信方案及设备:
配电自动化的通信方案包括主站对子站、主站对现场单元、子站对现场单元、子站之间、现场单元之间的通信等广义的范围。目前实施的完整配电自动化试点工程系统的通信方案指主站对子站、主站对现场单元的通信。通信是配电网自动化的一个和难点,区域不同、条件不同,通信方案也多种多样:光纤、电力载波、有线电缆、微波、扩频等,但总的来看,采用混合通信方案是比较符合实际的原则,通信干线(指10kV线路)用光纤(城市供电半径较短,同样有较好的性能价格比),支线(指低压配电台区)采用别的通信方式(根据距离干线远近、传输要求高低决定),远距离孤立点采用无线传输。
需要说明的是,配网自动化光纤通信通常传输一路数据,带宽在几十K即可,需采用光端机。配电载波技术是有着前景的配电网通信技术,目前尚未达到实用化。
(4)主站网络与软件功能:
配电网自动化的主站功能包括SA实时监控、GIS(地理信息系统)在线管理、电网经济运行分析等,主站框架要突破传统的单一调度自动化系统C/S模式,以P-P-C/S-B/S一体化架构,充分体现分布式网络的管控一体的综合集成系统特点,计算机网络与软件平台技术充分体现功能与开放,并提供与异构系统跨平台接口,与调度、负控、MIS、CIS等自动化子系统实现无缝集成。
从供电局的实际需要和发展需求出发,目前的配电自动化系统应该实现配(网)调(度)合一的设计,技术上统一平台,管理上易于维护(考虑到尤其是县级供电局自动化技术力量不足的实际困难),经济上节约资金(包括节约建设资金和维护费用),同时也奠定了将来电力企业信息化的基础。在做法上,重视已有的调度自动化的升级改造与建设配网自动化统一考虑,新上调度自动化与建设配网自动化统一考虑。
需要说明的是,配电网自动化系统实现监控与管理一体化,在技术上体现在信息的共享,而不仅是通过数据转换的松散联网。GIS应与CIS、CRM管理密切结合,设计要分布式、网络化,引入GPS定位系统,提高供用电维护、检修等自动化水平,提供服务。
3、实施模式
为提高配网自动化系统的效率、降低技术难度,依据配电网规模的大小,配网自动化的实施模式主要区分为县级城市、大中城市两种情况:县级城市等小规模配电网可以集中管控,一个配网主站、一级通信网络;而对大中城市,以小区化建设,类似调度自动化方式,以小区设备群为单元,实施"单元化终端-分布式结构-分层网络-功能集成-多级管控"的配电调度系统模式,解决信息瓶颈,提高系统总体监控/管理效率。
4、的问题
(1)户外运行:配电线路设备的户外运行环境,对开关主设备、远动设备、通信终端设备等提出了高的要求,主要是保证温度、湿度、抗凝露、、抗风沙等指标,在开关的外绝缘材料、电子设备的设计、元器件筛选等方面特殊考虑。
(2)通信性:配电网自动化系统主要担负着实时监控配电网运行的职能,电网的供电性由供电方案决定,在线路开关的自动化、智能化程度较低的配电网中,整个系统性能对主站与通信的依赖性强,而配电网的广域地理分布性,使通信传输的性成为建设的配电网自动化的难点之一。对于供电网络采用重合器方案,解决了对通信的强依赖性问题。
(3)电源:配电线路上的电源用于提供开关、监控单元的工作动力,其来源有二:在线路正常供电条件下,由电源变压器从线路取电;线路失电时,启动后备电源(UPS)供电,对于操作开关的大电流可通过大电容储能放电提供动力。存在的难题是不间断电源(UPS)户外运行问题,尤其高低温对蓄电池工作的影响。
本文提出了电厂辅助系统实现计算机监控的经济及管理上的合理性,技术上的可能性,并结合电厂目前辅助控制系统的现状,提出技术方案。
1 引言
随着电力系统改革的进一步深入,保证设备的运行,提高劳动生产率,进一步提高经济效益成了电厂发展的目标。火电厂辅助系统的自动化控制是全厂热工控制的重要组成,其自动化水平直接影响全厂的自动化水平。因此,发电厂在对主设备技改及机组控制系统的DCS改造的同时,也加强了对辅助系统控制系统采用PLC技术的改造,新建机组辅助系统的自动化水平也相应大大提高。但总体来看,各辅助车间控制系统互不联系,与DCS间也鲜有通讯,形成多个自动化孤岛,造成运行管理不便,人员浪费严重,生产效率不高,影响全厂自动化水平的进一步提高。随着计算机控制技术的发展,通讯及网络技术的成熟,将火电厂各辅助车间联成一体,实现辅助系统的集中监控也成为可以实现的现实。
电力规划院在2002年召开的“电厂自动化若干问题研讨会”上的主要意见也指出:“随着辅助系统自动化水平的不断提高,目前绝大多数新建电厂都考虑了辅助系统PLC集中控制网络,为确保辅助系统PLC集中控制网络的正常投运,在初步设计阶段应对水、灰、煤PLC集中控制网络及全厂辅助系统PLC集中控制网络进行统一布线规划,并提出相应的辅助系统PLC集中控制网络布线规划图。”
根据国家电力公司《火电厂热工自动化技术改进研究》课题组调查显示,火电厂辅助车间监控系统实现网络化和集中控制任重道远。被统计的装备125MW及以上容量的168个火电厂中只有21个电厂不同程度实现了网络化,大批电厂的不少辅助车间集中控制还没实现,辅助车间运行人员过多,严重影响这些电厂减人增益的实现。预计,随着单元机组DCS改造的逐步完成,辅助车间自动化改造将很快开展。
2 火电厂辅助系统的特点
火电厂辅助系统包括输煤系统、燃油泵房、除灰除渣系统、化学水处理系统、凝结水处理系统、废水处理系统、循环水系统、锅炉吹灰系统等,它们的正常运行是机组甚至整个电厂经济运行的重要。其主要有以下几个特点:
(1)地点分散;除锅炉吹灰系统外,输煤系统、燃油泵房、除灰除渣系统、化学水处理系统、凝结水处理系统、废水处理系统、循环水系统等遍布于全厂,且几乎均有相应的控制室及配备有相应的运行人员。
(2)非连续控制,除循环水系统外,其余系统几乎都是间歇式运行,即在一定的要求后才进行操作,满足一定的条件后,系统停止运行,等待下一次运行。
(3)主控室要求随时对辅助系统的状态进行掌握,以保证整个电厂的正常运行。
(4)各系统应处于健康状态,出现问题应及时处理,否则将影响全厂的经济运行。
3 控制现状及存在问题
辅助控制系统的现状可以大致归纳如下:
(1)主要辅助控制系统的大部采用以PLC加上位计算机组成的控制系统,一些略为次要的辅助控制系统也逐步采用小型PLC进行控制,未采用PLC的则采用就地手操、远操和组合仪表等常规控制装置。
(2)辅助控制系统的集成较为分散,往往由不同的厂家供应,造成各个控制系统的PLC种类不一样。
(3)开关量控制占据着辅助系统控制的,大量的阀门、电磁阀、电动机等要受联锁条件的逻辑控制,主要以设备的状态、阀门的开关、电机的启停、压力流量和料液位的限值等条件进行控制。
(4)主要辅助系统如输煤系统、燃油泵房、除灰除渣系统、化学水处理系统、循环水系统等需提供专门的控制室并配备一定数量的运行人员进行值班操作。
(5)各个控制系统相互立,系统信息与主控室及相互之间的交换几乎没有,不用说与MIS之间的信息交换了。
因此辅助系统的控制现状带来以下一些问题:
(1)分散的控制室不仅增加了投资及运行维护费用,如装潢、空调等,而且还不易管理。
(2)PLC的控制造成值班人员工作量少,但总体人员偏多。如某厂机组主控人员每台机组5人,但外围设备值班人员达15人左右。
(3)各个辅助系统与主控室的信息自动交换少,主控室对辅助系统的控制要求往往通过电话方式联系,辅助控制不便而且不及时。
(4)各个辅助控制系统采用不同的硬件和软件,给备品备件管理、人员培训及维护造成一定的难度。
(5)各辅助系统的重要信息不能接入MIS网。
4 技术方案探讨
随着电力改革的深入,上述问题对全厂经济性的影响会变得越来越明显,因此国外及国内电厂也越来越重视解决这些问题。同时,计算机控制技术、计算机网络技术和计算机软件技术的发展也为解决这些问题创造了充分的条件。
4.1 总体构成
实现辅助系统计算机集中监控可以选择多种方案,可采用集中控制即将辅助系统的信号接入主控室的DCS系统集中监控,也可以采用相对集中即建立几个相对集中的控制点,先将物理位置相对较近或联系较为紧密的辅助系统集中在几个集中控制点进行集中监控,然后再将这几个子网络接入DCS和MIS网络中去。根据目前我国火电厂辅助系统控制特点,可将整个辅助控制系统划分为煤、灰、水三个控制网络,煤网络可以包括输煤程控及其相关的辅助系统、燃油泵房;灰网络可以包括除灰除渣系统、干灰输送系统、电除尘控制系统;水网络可以包括化学水处理、凝结水精处理、汽水取样及分析、加药系统、净水站、化学及生活废水处理、灰水处理、循环水加药等系统。其相应系统的控制机柜布置在辅助系统电子间或设备附近,上位机操作员站布置在三个控制点的就地集中控制室,实现操作监控功能,控制系统通过网络服务器与DCS及MIS相连实现通讯,实现在主控室的监控终端对辅助系统监控。辅助系统计算机集中监控的硬件设备可跟据不同的情况选用DCS、PLC加上位机或现场总线技术。
在此基础上形成电厂辅助车间的综合监控系统。这种辅助车间控制系统方案可分为四层:现场层(物理层)、控制层、监控层和管理层。
现场层包括现场I/O站和其它控制接口设备,对现场信号进行处理及输出控制信号。
控制层具体实施各辅助系统的控制程序,并提供辅助操作功能。
监控层实施按水、煤、灰工艺系统分开的辅助车间监控,包括过程监视、控制操作、系统维护等,包括操作员站和工程师站。
管理层实现生产车间的信息综合(包括DCS和各辅助车间),并提供与全厂网络的连接,协调各辅助车间与主控室DCS之间的运行,并管理日常事务处理,如工作票管理等。
各层之间通过通讯网络实现连接,成为一个完整的控制系统。在四个层之间通过通讯网络连接在一起,有三种通讯联络:现场I/O站与控制层CPU站之间的通讯联络、控制层与监控层间的通讯联络和监控层与管理层间的通讯联络。
4.2 采用DCS的方案
采用DCS控制技术,利用DCS的远程I/O设备,将信号引入主机DCS,配合合理的设计,进行集中监控。该方式的优点是全厂主设备和辅助车间可以采用同种DCS,运行维护及备品管理方便。对于新建电厂,如果性能价格比是可以接受的话,可以采用此种方式,但由于新建电厂往往采取分岛招标,控制仪表分别由不同工艺设备的供货商提供,因此业主和设计单位应及早协调各有关供货商解决DCS的选型及控制方案的设计。对于老机组,由于各辅助系统的控制可能已经采用了PLC或其它方案,实行这一方案要推翻原有的控制系统,因此有一定的难度并要考虑成本,不过也有老厂采用此方案,如某电厂1993和1994年建造的2台200MW机组即采用新华公司的XDPS——400型分散控制系统构成全厂辅机DCS系统,并按设备所属地域分为输煤、化水、灰渣三个子系统,先实施输煤和化水两个子系统的DCS改造,两大子系统及辅机控制室之间采用光缆连接,实现了系统间资源数据共享的监控一体化;灰渣子系统仍利用原有的(PLC+上位机)控制系统进行增容和完善,终通过网关实现与XDPS——400系统的集成,达到数据的共享和监控。在保持控制设备分散的原则下,终实现在#2机组主控室中辅机DCS控制台采用三台操作员站集中监控上述三个子系统的目的。
4.3 PLC+通讯网+上位机的方案
对于新机组,可采用型号相同的PLC加上位机加网络与DCS相连接的方式,使组态组网、运行维护及备品管理简单。但对老机组来说,由于原来各个系统采用的PLC种类可能不一定相同,并且有各自的上位机,考虑到与实用性并举,可利用原有的上位机作为网关计算机,在对不同的通讯协议进行转换后,再接入以太网,然后与DCS和MIS相连,通过控制室里的计算机实现监控。该方案的主要特点是:监控层采用PLC控制网络,可较好地保证监控实时性;管理层采用灵活的计算机网络,便于网络互连和系统扩展。如某电厂4×300MW机组辅助系统DCS将除灰控制系统、除渣控制系统和凝结水精处理控制系统、、净水、反渗透和输煤控制系统等七个互相立的系统组成一个DCS系统,并要连到主控室中,在主控室的上位机上统一对各系统进行监控,在单元机组的主控室中设三台监控上位机,它们互为热备,其中一台兼作工程师站,三台上位机各有立的数据库,信息均来自各辅助系统的PLC,通过交换机和光缆与各辅助系统的网关相连,一起组成一个Ethernet网与各辅助系统的通讯网络连接起来,从而实现对各自PLC的监控。
4.4 辅助系统计算机集中监控系统应具备以下功能
(1)完善的工艺流程图显示,设备状态,控制状态及运行参数的实时显示功能,根据工艺过程和监控的具体要求采用多层显示结构,包括概貌显示、功能组显示和设备细节显示,
(2)不同系统及画面的切换及控制设备的操作功能,系统及设备选择方便简单,并有操作权限的设置与限制,以满足不同操作层次的要求,
(3)参数报警及事故追忆功能,
(4)历史参数与曲线、事故追忆与操作记录、报警与报表的打印功能,
(5)上述各种功能的生成,参数的修改功能(即工程师站功能),
(6)的系统自诊断功能,以便能够及时诊断系统硬件及通讯网络的故障。
5 应注意的问题
(1)根据全厂自动化水平的整体要求和外围系统的工艺具体特点,确定合理的整体监控方案,以使其既能提高全厂自 动化水平满足电厂管理改革发展的需要,又结合现场的实际特点,切实可行。
(2)保证具体方案的性。确定的具体技术方案要确保系统运行的要求,采用冗余技术,并设计完善的自检和报警功能,确保整体网络、电源及PLC控制的性。
(3)人机对话界面应清晰明了,主辅画面之间、总貌与详图之间、各个子系统之间及各个不同的工艺系统之间切换应方便快速,应有正确的操作指导和顺控运行提示,操作人员易于监控。重要操作应有提示和确认,避免误操作。
(4)现场预留好调试及检修接口,便于现场调试及以后的检修工作。系统还应有一定的可扩展性和在线修改能力,以适应以后的发展和辅助控制系统的运行优化。
(5)辅助系统的现场环境比较恶劣,应重视现场一次设备的选型和现场安装调试工作。实践表明,一次设备质量的好坏,不仅直接影响控制系统的安装和调试工作,而且在系统正式运行后,也往往是影响整个辅助系统正常运行的主要因素。
(6)提前做好辅助系统运行人员的培训工作,使其对各个立的辅助系统均有充分的了解与运行经验,配合监控画面上有效的运行指导和提示,保证系统的正确运行。
6 结束语
(1)实现电厂辅助系统计算机集中监控可以实现减岗增效、提高全厂管理水平、提高劳动生产率,进而提高电厂的竞争力,使其在面对电力改革的深化过程中处于有利的地位。
(2)计算机控制及软硬件技术的飞速发展、网络技术的不断成熟,结合电厂辅助系统的工艺和运行特点,使得现阶段实现电厂辅助系统的计算机监控成为可能。
(3)辅助系统计算机集中监控总体方案的细致讨论,具体技术方案的周密实施,安装与调试的仔细组织,是该系统完善的保证。
(4)管理维护的有效分工,运行人员的提前培训,是充分发挥该系统效益的。
引言
因特网的普及为企事业、、金融机构等部门提供了为迅捷经济的通信方式,提高了他们的工作和管理效率;但另一方面,日益不的网络环境却严重威胁到这些用户的利益。如何保公网上传输数据的,已成为一个迫切需要解决的问题。为此,需开发一种由 (Virtual Private Network,简称 )网关、 客户端和管理三部份组成的系统。
目前,国内大部分 网关在硬件平台上使用基于x86 CPU的商用工控机主板。由于商用工控机是为一般的工业控制而设计的,作为网关使用时,存在功能冗余、成本及性难于控制等问题。因此,有必要自己设计一款性价比较高的硬件平台供网关使用。Motorola通信处理器PowerPC在通信业中使用广泛,并具有良好的性价比,可以满足网关的设计需要。另外,产品涉及一个国家的主权和敏感的信息,作为保为重要的操作系统和加密算法应该为自己掌握。因此,采用具有自主知识产权的操作系统和加密算法尤为重要。而L inux操作系统源代码的开放性及其在网络产品中的优异表现,使得我们可以用其构建具有自主知识产权的网关。
概念
什么是
即虚拟网,是通过一定的机制在公用的网络如因特网中建立起与公网相对立和封闭的信息通道,以保护企业各子网之间、子网和移动用户之间、移动用户务器之间的通信数据的。利用公网的资源,让用户拥有同专网相同的性,并享受因特网带来的经济实惠和方便迅捷。
如何保护通信
不同类型的所采用的协议不同,使用的机制也不同。关于的协议比较多,但目前完善的、性的应属IPSec协议。它可使用CA数字证书来实现通信双方的身份认证;使用对称加密算法来对数据进行加密,保证数据的性;使用单向散列函数对数据计算摘要,并对摘要进行加密来保证数据的完整性。此外,节点之间通信,不可能每次都手工配置密钥,手工方式既不也不方便,可以采用因特网自动密钥交换协议来进行密钥的协商,设置每次会话密钥的生命期,在快要结束生命期时,自动协商下一个会话密钥。
当企业虚拟专网建立时,需要在各个子网的出口配置网关。网关负责对流出数据进行加密和计算校验和,对进入数据进行检验和解密,并实施访问控制。网关在其中具有举足轻重的作用。比如,当一台主机与另外一台主机通信时,会启动IKE (自动密钥协商)进程协商各种工作参数,包括加密算法、验证算法、密钥长度、密钥值等,并进行双向的身份认证,所有这些成为一个关联( Security Association) 。
的使用
网关与 Client软件配合使用,通过灵活配置隧道策略,不仅可以解决通信的问题,还可以解决用户对公司总部网络的访问授权问题。图1 是一个系统的典型网络拓扑图。
当网关与Client相连时,远程用户通过因特网访问公司总部时会通过网关,网关会对用户进行身份验证、协商密钥,终建立隧道并实现访问控制。不同的用户可能有着不同的访问权限。例如, Client1作为公司的主管,可以访问服务器A、B、C,而Client2作为普通员工,只能访问服务器A。通过管理员为不同的Client配置不同的策略,可以实现用户访问服务器的权限。此种应用适合移动用户接入公司内网。
当网关与网关相连时,通过管理或终端方式为需要相互通信的两台网关间配置对应的隧道,位于两台私口后的主机就能通过加密隧道进行通信,防止数据被丢失、篡改并保数据的完整。
网关设计方案概述
系统体系结构
的主要作用是采用加密、认和网络技术在公共互联网上构建相互信任方之间的加密信息传输通道,以期达到网络的效果。网关在其中将发挥非常重要的作用。
由图1可知,网关工作在本地局域网及与其通信的远程局域网的网关位置,具有加密和认证功能。相互信任的局域网间进行通信时,仍然使用互联网作为中间信道。但是,通过网关的加密功能确保信息在不的互联网通时是密文形式。这样,即便信息被截取,也无法或篡改其内容,互联网连接的局域网间通信的性、机密性、可认证性和完整性等性能。
网关的设计目标
(1) 完整实现IPSec协议簇,支持的要求。
(2) 要建立在具有自主版权的、性控制在自己手中的内核操作系统之上。
(3) 要确保自身的、协议的和信息通道的。采用国密办批准的加密算法,由硬件实现数据加。
(4) 要具有较高的性价比,满足低端网络的要求。明文吞吐率10Mbp s;启用IPSec协议,以隧道方式加密传输时,吞吐率大于4Mbp s。
(5) 设计与实现要采用的硬、软件技术和方法。
(6) 尽可能方便管理、灵活配置和界面友好。
技术思想
(1) 软件: ①自主开发的嵌入式操作系统内核;②由于L inux OS的源代码的开放性及其在网络产品中的优异表现,因而可以用其构建具有自主知识产权的网关(采用嵌入式L inux 2. 4. 4 For PowerPC,内核根据需要裁减,并加入相应的硬件驱动程序,完成对FlashMemory和DOC文件系统的支持) ;③网络协议和IPSec协议层; ④数据加/算法由采用国密办批准的硬件加密芯片SSF10B实现; ⑤管理系统层需支持手工和通过SMC (管理)配置IPSec策略。
(2) 硬件:根据设计要求,该网关将用于10Mbp s以太网环境中,设计采用目前在通信业中使用较广的Mo2torola通信处理器PowerPC MPC8xx作为主CPU,选用其中一款性价比较高的控制器MPC855T。在硬件平台的设计中,本着满足性能要求,保证高性和高性价比的原则,采用有多种硬件选项的设计,来满足设计要求。
嵌入式L inux操作系统的构建
通常的嵌入式系统开发大致可以分为硬件设计、装载或引导嵌入式系统、在嵌入式系统上建立开发平台以及开发应用等四个步骤。
利用ppcboot引导
ppcboot是德国Denk软件工程开发的引导程序,我们在研究开发中使用了其中的ppcboot-1. 1. 5作为开发蓝本,对其代码进行了修改,以满足硬件设计的要求。
ppcboot源码树的目录结构
CHANGELOG / /记录历次版本升级时的修改内容
COPYING
CRED ITS
MAKEALL
Makefile / /制作文件
README / /必读的文件
System. map / /当编译连接完成后,所生成的ppcboot二进
/ /制中所有函数、数据的地址信息
board / /各种与板子硬件关联的. c模块
common / /一些通用ppcboot命令集的. c模块
config. mk
cpu / /与MPC8xx硬件关联的系统初始化. c代码
disk / /磁盘分区支持
doc / /技术文档目录
examp les / /一些简单的、操作系统的应用程序
fs / /ppcboot中对文件系统的支持
include / /头文件
net / /网络协议支持
ppc PowerPC / /处理器运行时环境支持
ppcboot / / elf32格式的ppcboot二进制执行文件
ppcboot. bin / / raw二进制格式的ppcboot执行文件
ppcboot. map / / s2record格式的ppcboot执行文件
rtc / /实时时钟支持
tools / /与ppcboot相关的一些工具软件
ppcboot的特点
经修改后, ppcboot-1. 1. 5 具有如下特性: ( 1 ) 支持bootm,直接从flash引导L inux,并提供软件工具集,可构建出终烧结用的影像; (2) 支持从doc或flash memory引导L inux,并提供工具集,可构建出终烧结用的影像; (3) 板上flash /doc读、写、擦除功能; (4) 支持串行口kermit协议下载代码或数据; (5) 支持scc1以太网口启动tftp下传数据:如内核、ramdisk、autoscrip t等影像; ( 6) 支持串行口srecord下载代码或数据; (7) 支持autoscrip t; (8) 提供板上内存读写,格式化显示,可进行简单测试。
当完成ppcboot-1. 1. 5的改写后,对其进行编译,得到二进制的ppcboot. bin代码,然后将其烧录在板上的BOOTEPROM中,这样就可以在上电后完成对系统的引导。
建立L inux开发平台
修改和编译嵌入式L inux内核
Linux内核有自己的结构体系,进程管理、内存管理和文件系统是其基本的三个子系统。图2 为L inux 内核的结构。图中虚线框中部分可以看成是Linux内核的单内核结构,因此修改内核注意各子系统间的协调。
Linux开发平台使用内核版本为2. 4. 4的PowerPC嵌入式L inux操作系统作为 网关的基本软件平台。为了支持硬件平台,需要对内核进行修改,并增加相应设备的驱动程序。
(1) 驱动程序列表。
DOC 驱动程序源码: /home / sjw01 / linux/drivers/mtd /devices/ doc2000. c;
以太网驱动程序源码: / home / sjw01 / linux/ arch /ppc /8xx _ io / enet_scc1. c fec. c;
RTC 驱动程序源码: /home / sjw01 / linux/drivers/unis _ rtc / rtc8xx. h rtc8xx. c setrtc8xx. cMkaefile setrtc8xx;
串口驱动程序源码: /home / sjw01 / linux/ arch /ppc /8xx_ io / uart. c;
flash memory 驱动程序源码: /home / sjw01 / linux/drivers/mtd / map s/unis. c。
(2) 交叉编译环境。
使用hardhat CDK2. 0作为开发工具,需将下面的路径加入用户环境变量$PATH 中: /op t/hardhat/devkit/ppc /8xx/bin; #export PATH = $PATH: /op t/hardhat/devkit/ppc /8xx/bin或编辑“. bash_p rofile”文件的PATH行。对于应用软件,一般情况下只要替换编译器cc为ppc_8xx-gcc,重新编译一下源代码即可。
构建目标文件系统
配置DOC或FlashMemory中的文件系统是件很讲究的事情,主要是因为DOC /Flash容量有限,在保证正常功能的前提下,要尽可能地少占用资源。
总体上,文件分成如下几类: (1)共享库类:这类文件。(2) L inux/GNU系统实用工具:尽量用busybox、tinylogin代替,能减则减。(3)配置文件:多出现在/ etc下,不太占地方,但要注意协调关系。(4)用户应用程序:编译时尽量使用动态连接,编译后strip一下,放到固定位置。
目标文件系统列表如表1所示。
所有配置文件、可执行文件、库文件的位置均符合L inux操作系统的惯例。
IPSec实现中的硬件加密算法
在网关中,加密算法的、,是网关性和有效性的重要保证。为此,在设计中采用了一种硬件加密模块的方式,使得我们的网关可以在硬件上使用不同的加密算法。在我们的默认配置中,使用国密办批准的分组加密算法芯片SSF10。
为了使用硬件加密模块,需要在L inux内核的IPSec实现中添加和修改相应的代码,下面对其简单说明。由于IPSec实现在内核中的特殊位置,并且MPC855T的主频较低(80MHz) ,采用访问设备驱动文件的方式访问硬件SSF10加密模块会造成速率大幅降低。因此,我们采用I/O直接访问硬件SSF10芯片。这需要将模块驱动中的操作分散到IPSec实现的相关部分,替换原来的软件加密算法。同理,可以使用硬件DES/3DES、硬件AES算法和其他国密办批准的算法,用硬件实现数据加密。对IPSec的一个实现freeswan算法部分进行修改,使其可以实现硬件算法。与硬件加密算法有关的文件如下:
freeswan-1. 94 /klip s/net/ ip sec /Config. in;
freeswan-1. 94 / libdes/des_enc. c;
freeswan-1. 94 /klip s/net/ ip sec / ip sec_sa. h;
freeswan-1. 94 /klip s/net/ ip sec / ip sec_tunnel. c;
freeswan-1. 94 /klip s/net/ ip sec / ssf10. h;
freeswan-1. 94 /klip s/net/ ip sec / ip sec_init. c;
freeswan-1. 94 /klip s/net/ ip sec /pfkey_v2_parser. c;
freeswan-1. 94 /klip s/net/ ip sec_rcv. c。
完成修改后, 使用内核make menuconfig 命令, 选中Networking op tions→[* ] IPSEC: Use SSF10..,重新编译即可使用SSF10硬件算法模块。
结束语
为了满足网关设计的目标,本文在基于Motorola PowerPC和嵌入式L inux的网关设计中使用Motorola通信处理器PowerPC、采用L inux和加密算法,构建出了具有自主知识产权的网关。理论分析表明,本文提出的网关设计方案、嵌入式L inux操作系统的构建方法以及硬件加密模块的实现方法能够满足10Mbp s的网络环境中提供虚拟网的服务。但是,由于其定位在低端,不适合在100Mbp s的网络环境中使用。如果要在100Mbp s的环境中使用网关,就要考虑使用基于PowerPCMPC82xx的硬件平台