下图展示了主板的主电源供电电路设计图:
下图展示了基于主供电电源的以太网、现场总线、以及485总线需要的电源隔离电路设计图。
除此之外,既然断电也是一种可能存在的单点故障,那么在硬件架构设计的时候,本身工业主板的供电还应该考虑的是双备电源电路设计!也就是冗余电源。下图展示了工业主板针对的双备电源电路设计设计图:
因此工业防火墙在硬件架构设计上需要考虑冗余电源供电,当其中一路电源出现故障时,另外一路电源仍然能够保障防火墙的正常工作,同时需要设计中很短的时间之内将电源的故障进行报警,以使得维修人员及时维修。对于电源的供电技术,出了在电路上设计双冗余设计外,还可以采用POE供电技术。
除了Bypass功能的物理之间导通以及供电上的冗余设计考虑外,遇到突发情况时抗冲击能力和其他性能同样非常重要,比如受到外力冲击,即使遭受到不法分子的蓄意破坏,工业防火墙也能够完好无损并稳定工作。
另外,工业防火墙区别于传统防火墙的另外一点是,工业防火墙会设计支持工业现场总线协议以及RS232或RS485总线协议的接口。在工业控制、电力通讯、智能仪表等领域,通常情况下是采用串口通信的方式进行数据交换。最初采用的方式是 RS232 接口,由于工业现场比较复杂,各种电气设备会在环境中产生比较多的电磁干扰,会导致信号传输错误。除此之外,RS232 接口只能实现点对点通信,不具备联网功能,最大传输距离也只能达到十几米,不能满足远距离通信要求。而 RS485 则解决了这些问题,数据信号采用差分传输方式,可以有效的解决共模干扰问题,最大距离可达 1200 米,并且允许多个收发设备接到同一条总线上。随着工业应用通信越来越多,1979年施耐德电气制定了一个用于工业现场的总线协议 Modbus 协议,现在工业中使用RS485 通信场合很多都采用 Modbus 协议。因此在RS485 通信场合,工业防火墙还得支持基于RS485总线协议的防护,要支持RS485总线协议,就必须添加串口模块,从而编写RS总线接口电路设计图,如下图所示就是一个典型的RS485总线电路设计图:
以往,PC与智能设备通讯多借助RS232、RS485、以太网等方式,主要取决于设备的接口规范。但RS232、RS485只能代表通讯的物理介质层和链路层,如果要实现数据的双向访问,就必须自己编写通讯应用程序,但这种程序多数都不能符合ISO/OSI的规范,只能实现较单一的功能,适用于单一设备类型,程序不具备通用性。在RS232或RS485设备联成的设备网中,如果设备数量超过2台,就必须使用RS485做通讯介质,RS485网的设备间要想互通信息只有通过“主(Master)”设备中转才能实现,这个主设备通常是PC,而这种设备网中只允许存在一个主设备,其余全部是从(Slave)设备。而现场总线技术是以ISO/OSI模型为基础的,具有完整的软件支持系统,能够解决总线控制、冲突检测、链路维护等问题。现场总线设备自动成网,无主/从设备之分或允许多主存在。在同一个层次上不同厂家的产品可以互换,设备之间具有互操作性。CAN协议是这种现场总线协议的代表和应用最广泛的协议。CAN-Bus(Controller Area Network)即控制器局域网,是国际上应用最广泛的现场总线之一。起先,CAN-bus被设计作为汽车环境中的微控制器之间通讯,在车载各电子控制装置ECU之间交换信息,形成汽车电子控制网络。它是一种多主方式的串行通讯总线,基本设计规范要求有较高的位速率,高抗干扰性,而且能够检测出产生的任何错误。信号传输距离达到10Km时,仍然可提供高达5Kbps的数据传输速率。由于CAN串行通讯总线具有这些特性,它很自然的在汽车、制造业以及航空工业中受到广泛应用。由于CAN现场总线协议应用的广泛性以及现在住工业环境中所处的地位,工业防火墙的设计还必须考虑对其的支持。下图显示了工业防火墙在主板上,对现场总线协议驱动设计的实现电路,其分为驱动芯片和控制芯片:
总结:基于工业级的防火墙,首先需要满足工业环境对硬件的要求,硬件设计考虑就必须按照工业级的标准进行设计;同时还需要考虑工业级对网络处理实时性的要求,硬件设计就得考虑采用更合理的处理架构更快的在硬件层面实现数据包处理的实时性;此外基于工业级对稳定性的要求,工业级防火墙还得考虑Bypass旁路保护功能以及双路供电等尽量满足稳定性要求的设计。除外,工业级防火墙本身的高可用HA功能也是必须要考虑的。这个功能目前就调研的大部分防火墙设计来看,大部分基于软件层面实现,很少有基于硬件层面来实现设备的高可用功能。