工業(yè)控制系統(tǒng)的動(dòng)態(tài)配置的制作方法
【專利摘要】本發(fā)明涉及一種用于工業(yè)控制系統(tǒng)的動(dòng)態(tài)配置的控制器模塊(7),其包括:當(dāng)前設(shè)置接收器(71)���,配置成接收工業(yè)控制系統(tǒng)的當(dāng)前配置和安全設(shè)置�;已變更設(shè)置接收器(72)����,配置成接收工業(yè)控制系統(tǒng)的已變更配置設(shè)置����;設(shè)置分析器(73)��,配置成基于當(dāng)前配置和安全設(shè)置以及已變更配置設(shè)置來(lái)確定工業(yè)控制系統(tǒng)的已更新配置和安全設(shè)置��;以及動(dòng)態(tài)激活器(74)����,配置成動(dòng)態(tài)建立至少一個(gè)通信路徑,以便激活工業(yè)控制系統(tǒng)的已更新配置和安全設(shè)置��。
【專利說(shuō)明】
工業(yè)控制系統(tǒng)的動(dòng)態(tài)配置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及用于工業(yè)控制系統(tǒng)的動(dòng)態(tài)配置的控制器模塊���。本發(fā)明還涉及用于工業(yè)控制系統(tǒng)的動(dòng)態(tài)配置的方法�。
【背景技術(shù)】
[0002]廣泛地部署控制系統(tǒng)以控制各種工業(yè)(例如汽車工業(yè)����、能量輸送、生命科學(xué)解決方案���、電力生成����、過(guò)程自動(dòng)化、水工業(yè)等)中的工業(yè)過(guò)程���。當(dāng)前控制系統(tǒng)在工程過(guò)程期間配置一次�����,并且可包括用于運(yùn)行控制系統(tǒng)的工程環(huán)境以及用于控制工業(yè)過(guò)程的若干控制裝置��。工程環(huán)境和控制裝置經(jīng)由具體包括網(wǎng)絡(luò)控制裝置的網(wǎng)絡(luò)來(lái)連接�����,以提供用于運(yùn)行控制系統(tǒng)的必要通信基礎(chǔ)設(shè)施��。此外�,包含安全控制器以用于網(wǎng)絡(luò)保護(hù)����。
[0003]W02010/069698公開一種用于自動(dòng)網(wǎng)絡(luò)分析的技術(shù)�����,其中網(wǎng)絡(luò)規(guī)范信息轉(zhuǎn)換為網(wǎng)絡(luò)的單一中間表示。中間表示能夠用來(lái)確定安全參數(shù)和預(yù)計(jì)數(shù)據(jù)業(yè)務(wù)參數(shù)�。安全參數(shù)能夠用來(lái)配置安全措施,例如配置防火墻或侵入檢測(cè)單元���??杀O(jiān)測(cè)數(shù)據(jù)業(yè)務(wù)�,并且可發(fā)信號(hào)通知關(guān)于沒有預(yù)計(jì)數(shù)據(jù)業(yè)務(wù)。該技術(shù)提供自動(dòng)配置或適配所部署控制系統(tǒng)中的計(jì)算機(jī)安全措施�,但是沒有提供控制系統(tǒng)本身的動(dòng)態(tài)配置。
【發(fā)明內(nèi)容】
[0004]本發(fā)明的一個(gè)目的是提供用于工業(yè)控制系統(tǒng)的動(dòng)態(tài)配置的控制器模塊和方法�����,該控制器模塊和方法至少?zèng)]有一部分現(xiàn)有技術(shù)的缺點(diǎn)����。具體來(lái)說(shuō),本發(fā)明的一個(gè)目的是提供用于工業(yè)控制系統(tǒng)的動(dòng)態(tài)配置的控制器模塊和方法�,其中工業(yè)控制系統(tǒng)可在連續(xù)實(shí)現(xiàn)工業(yè)控制系統(tǒng)的安全性的情況下動(dòng)態(tài)地重新配置。
[0005]按照本發(fā)明���,這些目的通過(guò)獨(dú)立權(quán)利要求的特征來(lái)實(shí)現(xiàn)�����。另外����,其它有利實(shí)施例由從屬權(quán)利要求和描述得出。
[0006]按照本發(fā)明����,在用于包括經(jīng)由網(wǎng)絡(luò)單元所互連的生產(chǎn)控制單元的工業(yè)控制系統(tǒng)的動(dòng)態(tài)重新配置的方法中,執(zhí)行下列步驟��;
重復(fù)地確定工業(yè)控制系統(tǒng)的當(dāng)前配置和安全設(shè)置�����;
提出或指定或請(qǐng)求對(duì)工業(yè)控制系統(tǒng)的特定生產(chǎn)控制單元的變更�����,其中這類變更又可稱作已變更配置設(shè)置��;
基于當(dāng)前配置和安全設(shè)置以及所提出變更來(lái)確定工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)單元的已更新配置和安全設(shè)置�;以及
通過(guò)激活或?qū)崿F(xiàn)工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)單元的已更新配置和安全設(shè)置,來(lái)動(dòng)態(tài)建立到特定生產(chǎn)控制單元的至少一個(gè)通信路徑��。通信路徑可從工業(yè)控制系統(tǒng)的變更管理器到特定生產(chǎn)控制單元暫時(shí)地配置����,或者從對(duì)等生產(chǎn)控制單元到特定生產(chǎn)控制單元永久地配置。
[0007]在該方法的優(yōu)選變體中�,工業(yè)控制系統(tǒng)的應(yīng)用包括第一和第二組件或任務(wù),其分別運(yùn)行于第一和第二主機(jī)或者主生產(chǎn)控制單元上���,以及該方法包括:
提出包括從工業(yè)控制系統(tǒng)的第二主機(jī)到第三主機(jī)的第二組件的重新指配的變更����,以及通過(guò)激活工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)單元的已更新配置和安全設(shè)置�����,來(lái)建立從第一主機(jī)到第三主機(jī)的通信路徑����。
[0008]按照本發(fā)明,上述目的的具體實(shí)現(xiàn)在于��,用于工業(yè)控制系統(tǒng)的動(dòng)態(tài)配置的控制器模塊包括:當(dāng)前設(shè)置接收器���,配置成接收工業(yè)控制系統(tǒng)的當(dāng)前配置和安全設(shè)置����;已變更設(shè)置接收器,配置成接收工業(yè)控制系統(tǒng)的已變更配置設(shè)置��;設(shè)置分析器���,配置成基于當(dāng)前配置和安全設(shè)置以及已變更配置設(shè)置來(lái)確定工業(yè)控制系統(tǒng)的已更新配置和安全設(shè)置�;以及動(dòng)態(tài)激活器����,配置成動(dòng)態(tài)建立至少一個(gè)通信路徑����,以便激活工業(yè)控制系統(tǒng)的已更新配置和安全設(shè)置�。工業(yè)控制系統(tǒng)的操作員可要求已變更配置設(shè)置�����。在工業(yè)控制系統(tǒng)的組件的故障的情況下����,也可要求已變更設(shè)置。設(shè)置分析器基于當(dāng)前安全設(shè)置來(lái)確定已更新配置和安全設(shè)置�����,并且因此可保持工業(yè)控制系統(tǒng)中的安全性。動(dòng)態(tài)激活器可按照所需安全標(biāo)準(zhǔn)來(lái)建立一個(gè)或多個(gè)通信路徑���。通信路徑可以在工業(yè)控制系統(tǒng)的動(dòng)態(tài)配置期間僅暫時(shí)地建立,或者它們可例如在組件的故障的情況下永久地建立�,使得通信可經(jīng)過(guò)新建立的通信信道重新路由。因此�����,工業(yè)控制系統(tǒng)可按照特定安全設(shè)置動(dòng)態(tài)地配置��,并且因此保持所需安全等級(jí)��。
[0009]在一實(shí)施例中�,已變更設(shè)置接收器配置成捕獲變更管理器系統(tǒng)所傳送的已變更配置設(shè)置。在操作員基于已變更配置設(shè)置來(lái)要求工業(yè)控制系統(tǒng)的新配置的情況下�����,設(shè)置分析器確定已更新配置和安全設(shè)置��,其由動(dòng)態(tài)激活器來(lái)激活��,同時(shí)按照安全設(shè)置來(lái)保持所需安全等級(jí)����。因此���,操作員無(wú)需留意安全等級(jí),而是僅留意工業(yè)控制系統(tǒng)的配置�。
[0010]在另一實(shí)施例中,已變更設(shè)置接收器配置成接收通過(guò)下列至少一個(gè)的狀態(tài)的變化所引起的已變更配置設(shè)置:工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)單元和生產(chǎn)控制單元��。狀態(tài)的變化可因生產(chǎn)控制單元的故障(例如系統(tǒng)崩潰����、網(wǎng)絡(luò)電纜故障、系統(tǒng)損害引起的失靈等)而發(fā)生����。例如,在工業(yè)控制系統(tǒng)的組件檢測(cè)狀態(tài)變化(例如因?yàn)榱硪粋€(gè)組件不再進(jìn)行響應(yīng))的情況下���,可傳送對(duì)應(yīng)已變更配置設(shè)置��,其在由已變更設(shè)置接收器來(lái)接收時(shí)將相應(yīng)地發(fā)起工業(yè)控制系統(tǒng)的動(dòng)態(tài)配置�。
[0011]在另一個(gè)實(shí)施例中���,設(shè)置分析器配置成基于下列至少一個(gè)來(lái)確定已更新配置和安全設(shè)置:工業(yè)控制系統(tǒng)的冗余網(wǎng)絡(luò)單元和冗余生產(chǎn)控制單元��。冗余網(wǎng)絡(luò)單元或冗余生產(chǎn)控制單元可設(shè)計(jì)成使得可根據(jù)所選配置和安全設(shè)置來(lái)使用不同應(yīng)用和功能性�����。因此�����,冗余網(wǎng)絡(luò)單元或冗余生產(chǎn)控制單元可用來(lái)取代工業(yè)控制系統(tǒng)的出故障組件�,其中提供所需配置��,同時(shí)保持所需安全等級(jí)�。
[0012]在另一實(shí)施例中,動(dòng)態(tài)激活器配置成開啟設(shè)置激活器與下列至少一個(gè)之間的至少一個(gè)暫時(shí)通信路徑:控制系統(tǒng)的網(wǎng)絡(luò)單元與生產(chǎn)控制單元�,以便激活控制系統(tǒng)的已更新配置和安全設(shè)置?��?砂凑账璋踩燃?jí)來(lái)保護(hù)至少一個(gè)暫時(shí)通信路徑�����。因此����,在實(shí)施已更新配置和安全設(shè)置時(shí),可動(dòng)態(tài)地配置工業(yè)控制系統(tǒng)���,同時(shí)保持所需安全等級(jí)��。
[0013]在另一實(shí)施例中���,已變更設(shè)置接收器配置成接收控制系統(tǒng)的已變更安全設(shè)置,以及其中設(shè)置分析器配置成基于已變更安全設(shè)置來(lái)確定控制系統(tǒng)的已更新配置和安全設(shè)置����。相應(yīng)地,安全等級(jí)可按照動(dòng)態(tài)條件來(lái)增加或降低����。例如,設(shè)置分析器可基于已變更配置設(shè)置或者已變更安全設(shè)置來(lái)檢測(cè)系統(tǒng)損害(其可要求工業(yè)控制系統(tǒng)的增加安全等級(jí))�����,使得可克服系統(tǒng)損害��。
[0014]在另一個(gè)實(shí)施例中����,控制器模塊還包括已更新設(shè)置發(fā)射器�����,以用于向變更管理器系統(tǒng)傳送已更新配置和安全設(shè)置���。因此,配置和安全設(shè)置的所有變更可透明地傳送給變更管理器系統(tǒng)����,并且因此可由變更管理器系統(tǒng)的操作員來(lái)檢驗(yàn)����。
[0015]除了用于工業(yè)控制系統(tǒng)的動(dòng)態(tài)配置的控制器模塊之外,本發(fā)明還涉及一種用于工業(yè)控制系統(tǒng)的動(dòng)態(tài)配置的方法以及包括其上存儲(chǔ)了計(jì)算機(jī)程序代碼的計(jì)算機(jī)可讀介質(zhì)的計(jì)算機(jī)程序產(chǎn)品��。
[0016]一種用于工業(yè)控制系統(tǒng)的動(dòng)態(tài)配置的方法包括:接收工業(yè)控制系統(tǒng)的當(dāng)前配置和安全設(shè)置�;接收工業(yè)控制系統(tǒng)的已變更配置設(shè)置;基于當(dāng)前配置和安全設(shè)置以及已變更配置設(shè)置來(lái)確定工業(yè)控制系統(tǒng)的已更新配置和安全設(shè)置��;以及動(dòng)態(tài)建立至少一個(gè)通信路徑��,以便激活工業(yè)控制系統(tǒng)的已更新配置和安全設(shè)置��。在一變體中,該方法還包括:捕獲變更管理器系統(tǒng)所傳送的已變更配置設(shè)置�����。在另一個(gè)變體中�,該方法還包括:檢測(cè)通過(guò)下列至少一個(gè)的狀態(tài)的變化所引起的已變更配置設(shè)置:工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)單元和生產(chǎn)控制單元。在一變體中�,該方法還包括基于下列至少一個(gè)來(lái)確定已更新配置和安全設(shè)置:工業(yè)控制系統(tǒng)的冗余網(wǎng)絡(luò)單元和冗余生產(chǎn)控制單元。在另一個(gè)變體中����,該方法還包括:開啟至少一個(gè)暫時(shí)通信路徑,以便激活控制系統(tǒng)的已更新配置和安全設(shè)置�����。在一變體中����,該方法還包括:向變更管理器系統(tǒng)傳送已更新配置和安全設(shè)置。
[0017]計(jì)算機(jī)程序產(chǎn)品包括計(jì)算機(jī)可讀介質(zhì)��,其上存儲(chǔ)了指導(dǎo)控制器模塊執(zhí)行下列步驟的計(jì)算機(jī)程序代碼:接收工業(yè)控制系統(tǒng)的當(dāng)前配置和安全設(shè)置�;接收工業(yè)控制系統(tǒng)的已變更配置設(shè)置;基于當(dāng)前配置和安全設(shè)置以及已變更配置設(shè)置來(lái)確定工業(yè)控制系統(tǒng)的已更新配置和安全設(shè)置��;以及動(dòng)態(tài)建立至少一個(gè)通信路徑,以便激活工業(yè)控制系統(tǒng)的已更新配置和安全設(shè)置�。
【專利附圖】
【附圖說(shuō)明】
[0018]將參照附圖、作為舉例更詳細(xì)地說(shuō)明本發(fā)明���,附圖包括:
圖1示出包括第一和第二生產(chǎn)環(huán)境區(qū)域的示范工業(yè)控制系統(tǒng)���;
圖2示出在生產(chǎn)控制單元的示范損壞之后的示范工業(yè)控制系統(tǒng);
圖3示意示出按照本發(fā)明的控制器模塊的位置的可能性�����;
圖4示出運(yùn)行于兩個(gè)主機(jī)的動(dòng)態(tài)控制系統(tǒng)應(yīng)用的示例���;
圖5和圖6示出第一主機(jī)和第二主機(jī)的示范配置文件;
圖7示出具有運(yùn)行于兩個(gè)主機(jī)的應(yīng)用的示范環(huán)境���;
圖8示出在第二主機(jī)的損壞之后的示范環(huán)境�;
圖9和圖10示出在第二主機(jī)的損壞之后的第一主機(jī)和第三主機(jī)的示范配置文件��;
圖11從系統(tǒng)級(jí)角度示出具有第一和第二主機(jī)的系統(tǒng)的示范原始操作���;
圖12示出在第二主機(jī)的損壞之后的所產(chǎn)生應(yīng)用流程�;以及圖13是示出用于工業(yè)控制系統(tǒng)的動(dòng)態(tài)配置的方法的步驟的示范序列的流程圖。
【具體實(shí)施方式】
[0019]圖1示意示出包括第一生產(chǎn)環(huán)境區(qū)域50和第二生產(chǎn)環(huán)境區(qū)域60的示范工業(yè)控制系統(tǒng)�����。第一生產(chǎn)環(huán)境區(qū)域50包括第一����、第二和第三生產(chǎn)控制單兀51、52����、53。第二生產(chǎn)環(huán)境60包括第一���、第二��、第三和第四生產(chǎn)控制單元61��、62��、63����、64���。生產(chǎn)控制單元51���、52����、53���、61���、62、63����、64提供運(yùn)行工業(yè)控制系統(tǒng)所需的生產(chǎn)控制應(yīng)用和功能性。生產(chǎn)控制單元51����、52�����、53����、61���、62、63�、64可涉及運(yùn)行于計(jì)算機(jī)的軟件模塊、包括一個(gè)或多個(gè)邏輯電路的硬件模塊�����、多核處理器中的單個(gè)核心�、虛擬服務(wù)器之上的單個(gè)虛擬機(jī)、它們的組合或者提供用于運(yùn)行工業(yè)控制系統(tǒng)的所需應(yīng)用和功能性的任何其它單元���。
[0020]如圖1示意所示���,生產(chǎn)控制單元51、52����、53、61���、62���、63�����、64可連接到第一和第二網(wǎng)絡(luò)單元41�����、42�。第一和第二網(wǎng)絡(luò)單元41����、42可向生產(chǎn)控制單元51、52�����、53�、61、62�����、63����、64提供連網(wǎng)和安全功能性。例如����,可按照如下方式激活了安全設(shè)置:使得沒有來(lái)自第一生產(chǎn)環(huán)境區(qū)域50的數(shù)據(jù)可流動(dòng)到第二生產(chǎn)環(huán)境區(qū)域60,反過(guò)來(lái)也是一樣���。
[0021]如圖1示意所示��,可提供工程環(huán)境區(qū)域10�、辦公室環(huán)境區(qū)域20和其它外設(shè)區(qū)域30��。工程環(huán)境區(qū)域10可包括工程工作站11�,辦公室環(huán)境區(qū)域可包括辦公室工作站21,以及其它外設(shè)區(qū)域30可包括第一和第二其它外設(shè)31��、32��。工程工作站11和辦公室工作站21可涉及任何工作站�、例如PC(PC:個(gè)人計(jì)算機(jī))。其它外設(shè)31�、32可涉及任何其它外設(shè),例如打印機(jī)、繪圖儀���、網(wǎng)絡(luò)附連存儲(chǔ)裝置等��。工程工作站11����、辦公室工作站21和其它外設(shè)31���、32可連接到第三網(wǎng)絡(luò)單元43�,其可提供連網(wǎng)和安全功能性�����。第三網(wǎng)絡(luò)單元43可連接到第一網(wǎng)絡(luò)單元41����,以便提供包括第一和第二生產(chǎn)區(qū)域50、60的工業(yè)控制系統(tǒng)與工程環(huán)境區(qū)域����、辦公室環(huán)境區(qū)域20以及其它外設(shè)區(qū)域30之間的連網(wǎng)和安全功能性。
[0022]第一����、第二和第三網(wǎng)絡(luò)單元41�����、42、43可經(jīng)過(guò)與工業(yè)控制系統(tǒng)分離的網(wǎng)絡(luò)來(lái)連接��。備選地�,工業(yè)控制系統(tǒng)可提供第一、第二和第三網(wǎng)絡(luò)單元41���、42�����、43之間的網(wǎng)絡(luò)連接�����。
[0023]具體來(lái)說(shuō)����,第一����、第二和第三網(wǎng)絡(luò)單元41�、42�、43可包括任何路由器裝置、交換裝置����、防火墻、接入控制裝置或?qū)?yīng)模塊����,以便提供所需連網(wǎng)和安全功能性。此外���,第一����、第二和第三網(wǎng)絡(luò)單元41��、42��、43的連網(wǎng)和安全功能性可經(jīng)過(guò)配置和安全設(shè)置(其可包括例如防火墻規(guī)則��、接入控制列表等)來(lái)配置���。
[0024]如圖1示意所示�����,控制器模塊7被布置用于包括第一和第二生產(chǎn)區(qū)50�����、60的工業(yè)控制系統(tǒng)的動(dòng)態(tài)配置����。例如���,控制模塊7可連接到第一網(wǎng)絡(luò)單元41�?����?刂颇K7包括當(dāng)前設(shè)置接收器71�����,其配置成接收工業(yè)控制系統(tǒng)的當(dāng)前配置和安全設(shè)置��。當(dāng)前配置和安全設(shè)置可在廣播請(qǐng)求時(shí)接收,例如使得工業(yè)控制系統(tǒng)的所有組件向控制模塊7發(fā)送當(dāng)前配置和安全設(shè)置����。備選地,可通過(guò)不斷接收和分析網(wǎng)絡(luò)業(yè)務(wù)�����,使得工業(yè)控制系統(tǒng)的初始配置和安全設(shè)置不斷更新到當(dāng)前配置和安全設(shè)置�,來(lái)得到當(dāng)前配置和安全設(shè)置。
[0025]如圖1示意所示����,控制器模塊7包括變更設(shè)置接收器72,其配置成接收已變更配置設(shè)置�����。例如�����,已變更設(shè)置接收器72可配置成從工程工作站11接收與控制系統(tǒng)的配置變化相關(guān)的所有業(yè)務(wù)���,其可始發(fā)于工程工作站11的操作員的命令����。備選地,已變更設(shè)置接收器72可配置成例如接收與網(wǎng)絡(luò)單元41�、42、43和/或生產(chǎn)控制單元51����、52、53�����、61�、62�����、63�����、64的狀態(tài)變化相關(guān)的通知�。具體來(lái)說(shuō),例如�����,狀態(tài)變化可涉及網(wǎng)絡(luò)單元41、42���、43和/或生產(chǎn)控制單元51����、52���、53���、61、62�����、63�����、64的故障或失靈�����。單元的失靈可包括生產(chǎn)環(huán)境區(qū)域的內(nèi)部泛洪(internal flooding)、單元被病毒或螺蟲污染等����。
[0026]如圖1示意所示,控制器模塊7包括設(shè)置分析器73���,其配置成基于當(dāng)前配置和安全設(shè)置以及已變更配置設(shè)置來(lái)確定工業(yè)控制系統(tǒng)的已更新配置和安全設(shè)置�。具體來(lái)說(shuō)�,當(dāng)工程工作站11傳送已變更配置設(shè)置以便修改工業(yè)控制系統(tǒng)的配置時(shí),這類已變更配置設(shè)置立即由已變更設(shè)置接收器72來(lái)接收�����,并且進(jìn)一步傳送給設(shè)置分析器73���,其分析已變更配置設(shè)置,并且基于當(dāng)前配置和安全設(shè)置以及已變更配置設(shè)置來(lái)確定已更新配置和安全設(shè)置����。
[0027]如圖1示意所示,控制器模塊7包括設(shè)置激活器74�����,以用于激活工業(yè)控制系統(tǒng)的已更新配置和安全設(shè)置。具體來(lái)說(shuō)�����,按照工程工作站11所傳送的已變更配置設(shè)置和/或由于網(wǎng)絡(luò)單元和/或生產(chǎn)控制單元的已變更配置設(shè)置����,激活配置設(shè)置和安全設(shè)置以動(dòng)態(tài)配置工業(yè)控制系統(tǒng),其中工業(yè)控制系統(tǒng)按照所需配置并且按照所需安全性進(jìn)行操作����。
[0028]控制器模塊7可通過(guò)編程軟件模塊(其包括計(jì)算機(jī)程序代碼,以控制計(jì)算機(jī)的一個(gè)或多個(gè)處理器)來(lái)實(shí)現(xiàn)�。在一變體中,控制器模塊7通過(guò)運(yùn)行于工程工作站11的編程軟件豐吳塊來(lái)實(shí)現(xiàn)�。
[0029]按照本發(fā)明的控制器模塊7實(shí)現(xiàn)實(shí)時(shí)控制應(yīng)用的健壯執(zhí)行,并且同時(shí)提供控制系統(tǒng)的動(dòng)態(tài)重新配置(例如用于平衡多個(gè)單元的CPU負(fù)荷)和打補(bǔ)丁����,而無(wú)需中斷生產(chǎn)過(guò)程。此外����,網(wǎng)絡(luò)單元41、42、43和/或生產(chǎn)控制單元51�、52、53��、61���、62�、63���、64的必要設(shè)置自動(dòng)適配到工業(yè)控制系統(tǒng)環(huán)境的基本動(dòng)態(tài)變化���。這確保針對(duì)系統(tǒng)損害(其因這類變化而可能出現(xiàn))的改進(jìn)計(jì)算機(jī)安全恢復(fù)力,并且降低攻擊面����,因?yàn)榘踩O(shè)置僅允許所需數(shù)據(jù)傳遞。
[0030]傳統(tǒng)工業(yè)控制系統(tǒng)在工程過(guò)程期間配置一次(并且在需要時(shí)手動(dòng)重新配置)���。本發(fā)明提供����,應(yīng)用和/或功能性在運(yùn)行時(shí)自動(dòng)和動(dòng)態(tài)地配置�,即,無(wú)需停止工業(yè)控制系統(tǒng)��。這個(gè)靈活性使功能和/或應(yīng)用能夠在工業(yè)控制系統(tǒng)的操作期間被更新��、移動(dòng)��、即時(shí)變更等����。
[0031]圖2示出在第二生產(chǎn)環(huán)境60的第三生產(chǎn)控制單元63的示范損壞之后的圖1的工業(yè)控制系統(tǒng)。工業(yè)控制系統(tǒng)由控制器模塊7動(dòng)態(tài)地重新配置���,其中在這個(gè)示例中���,以前屬于第一生產(chǎn)區(qū)域50的第三生產(chǎn)控制單元53這時(shí)執(zhí)行第二生產(chǎn)區(qū)域60的功能,并且其中第四生產(chǎn)控制單元64這時(shí)執(zhí)行第一生產(chǎn)區(qū)域50的功能�����。
[0032]圖3示意示出控制器模塊7的位置的可能性�。在變體a)中,控制器模塊7位于工程環(huán)境區(qū)域10與工業(yè)控制系統(tǒng)的一個(gè)或多個(gè)生產(chǎn)區(qū)域8之間����。在變體b)中���,控制器模塊7放置在可監(jiān)測(cè)整個(gè)網(wǎng)絡(luò)的位置?��?刂破髂K7的位置確?�?杀O(jiān)測(cè)與工業(yè)控制系統(tǒng)的變化相關(guān)的所有網(wǎng)絡(luò)業(yè)務(wù)�。
[0033]控制器模塊7也可充當(dāng)認(rèn)證和授權(quán)網(wǎng)關(guān)���,其中工程工作站11��、網(wǎng)絡(luò)單元41���、42和43、生產(chǎn)控制單元51����、52、53��、61�、62、63和64和/或工程工作站10的操作員經(jīng)過(guò)認(rèn)證/授權(quán)���。通過(guò)這個(gè)信息��,控制器模塊確定必要通信�,并且例如能夠開啟網(wǎng)絡(luò)單元41�����、42���、43以用于重新配置業(yè)務(wù)���。可例如通過(guò)對(duì)通信信道應(yīng)用加密����,并且通過(guò)應(yīng)用適當(dāng)?shù)恼J(rèn)證、授權(quán)和/或記帳機(jī)制��,來(lái)保護(hù)控制器模塊7的設(shè)計(jì)�����。
[0034]控制器模塊7的有益效果包括:
-屏蔽用于管理工業(yè)控制系統(tǒng)的復(fù)雜度�����,因?yàn)榕渲煤桶踩O(shè)置自動(dòng)地適配到已變更配置設(shè)置。
[0035]-正確修改流動(dòng)到工業(yè)控制系統(tǒng)的生產(chǎn)環(huán)境區(qū)域的容許數(shù)據(jù)����,使得只有所需業(yè)務(wù)流動(dòng)。這自動(dòng)降低攻擊面�����,因?yàn)檎脙H準(zhǔn)許絕對(duì)強(qiáng)制性的數(shù)據(jù)業(yè)務(wù)�����。不常見的是���,配置或安全設(shè)置經(jīng)過(guò)錯(cuò)誤配置�,并且將過(guò)多數(shù)據(jù)廣播到其它單元�����,其可被淹沒���,并且因此在識(shí)別重要數(shù)據(jù)方面有問(wèn)題����。同樣的情況在由不滿的內(nèi)部人員進(jìn)行的惡意修改的情況下會(huì)發(fā)生。在這種情況下�����,控制器模塊7提供����,損壞受到限制���,因?yàn)樗鼉H允許已經(jīng)識(shí)別為對(duì)工業(yè)控制系統(tǒng)的操作至關(guān)重要的那一種通信�。
[0036]-按照控制器模塊7����,配置設(shè)置可與安全設(shè)置分離,同時(shí)仍然具有對(duì)工業(yè)控制系統(tǒng)的當(dāng)前配置和安全設(shè)置的全面知識(shí)�。變更配置設(shè)置以及相應(yīng)地變更生產(chǎn)環(huán)境的操作員或?qū)I(yè)人員無(wú)需修改安全設(shè)置。
[0037]-受損變更管理器系統(tǒng)11將不會(huì)引起朝工業(yè)控制系統(tǒng)的泛洪��,因?yàn)樽兏芾砥飨到y(tǒng)11無(wú)法開啟與生產(chǎn)環(huán)境區(qū)域或者其內(nèi)部的任意數(shù)據(jù)傳遞路徑���,因?yàn)檫@些設(shè)置基于當(dāng)前設(shè)置來(lái)確定����,這意味著,病毒或特洛伊無(wú)法到達(dá)工業(yè)控制系統(tǒng)�����。另外��,變更管理器系統(tǒng)11可測(cè)試已更新配置和安全設(shè)置是否合理�����,例如生產(chǎn)控制單元51���、52��、53����、61���、62��、63��、64的CPU是否充分強(qiáng)大以運(yùn)行附加功能性����。
[0038]按照本發(fā)明的控制器模塊7與現(xiàn)有解決方案的差別在于:
-控制器模塊7集成控制系統(tǒng)配置和網(wǎng)絡(luò)信息。它平衡控制系統(tǒng)配置�����,以自動(dòng)確定工業(yè)控制系統(tǒng)內(nèi)部的所需通信路徑�����,并且配置單獨(dú)單元以反映那種情況����?��?蓜?dòng)態(tài)檢查已變更設(shè)置�����。認(rèn)證方案的使用可在運(yùn)行時(shí)檢驗(yàn)用戶和單元�。控制器模塊7可用作“中間人”�,其接收來(lái)自變更管理器系統(tǒng)11的所有變更,得出工業(yè)控制系統(tǒng)的所需配置和安全設(shè)置����,并且然后執(zhí)行工業(yè)控制系統(tǒng)的重新配置,以及具體來(lái)說(shuō)是網(wǎng)絡(luò)單元41�、42、43和生產(chǎn)控制單元51��、52�����、53��、61���、62�����、63���、64 的重新配置��。
[0039]-控制器模塊7可分析當(dāng)前配置和安全設(shè)置���,并且可得出不同單元之間的所需數(shù)據(jù)流,以執(zhí)行所需變更����。基于這個(gè)分析�����,網(wǎng)絡(luò)單元可配置成拒絕尚未識(shí)別為所要求的數(shù)據(jù)�。這與傳統(tǒng)防火墻/交換機(jī)(其沒有考慮工業(yè)控制系統(tǒng))有所不同�。
[0040]-控制器模塊7檢查所有變更,并且將它們與作用進(jìn)行匹配�,這意味著,不僅變更管理器系統(tǒng)11檢查是否允許某個(gè)用戶執(zhí)行某個(gè)變更�����,而且控制器模塊7還可執(zhí)行那個(gè)檢查���。這增加附加的安全層�。
[0041]圖4示出運(yùn)行于兩個(gè)主機(jī)、即第一主機(jī)Hl和第二主機(jī)H2 (其可配置成提供用于運(yùn)行工業(yè)控制系統(tǒng)的所需應(yīng)用和功能性)的動(dòng)態(tài)控制系統(tǒng)應(yīng)用的示例��??缮婕肮I(yè)控制系統(tǒng)的生產(chǎn)控制單元的應(yīng)用具有各具有其自己的控制塊(即,第一控制塊a和第二控制塊b)的第一組件A和第二組件B�����。為了支持這兩個(gè)塊之間的通信���,Net Proxy (網(wǎng)絡(luò)代理)組件可包括第一主機(jī)Hl的計(jì)劃表中的發(fā)送塊���。在塊a之后,具有接收塊的另一個(gè)Net Proxy組件在第二控制塊b之前插入第二主機(jī)H2的計(jì)劃表中�����。Net Proxy塊配置成為��,第一主機(jī)Hl的發(fā)送塊向第二主機(jī)H2上的接收塊的所指定端口發(fā)送數(shù)據(jù)����。接收塊配置成監(jiān)聽那個(gè)端口。
[0042]在這個(gè)示例中���,第一主機(jī)Hl的配置通過(guò)按照?qǐng)D5的XML文件來(lái)定義��。第一主機(jī)H2的配置類似地通過(guò)按照?qǐng)D6的XML文件來(lái)定義���。
[0043]圖7中����,示意示出示范環(huán)境��。運(yùn)行于第一主機(jī)Hl的應(yīng)用運(yùn)行第二主機(jī)H2上的功能性(功能B)的一部分�。第三主機(jī)在圖7中示出,由此第三主機(jī)H3沒有涉及到那個(gè)特定應(yīng)用���,但是也允許那個(gè)功能性(功能B)的執(zhí)行���。第二主機(jī)H2和第三主機(jī)H3是冗余單元。
[0044]如果第二主機(jī)H2崩潰����,則控制器模塊7通過(guò)重新配置第一主機(jī)Hl以使得組件A與第三主機(jī)H3上的B的冗余副本進(jìn)行通信進(jìn)行反應(yīng)��。所產(chǎn)生的新配置在圖8中示出����。圖9中�,示出第一主機(jī)Hl的已更新XML文件�����。圖10中��,示出第三主機(jī)H3的已更新XML文件���。
[0045]控制器模塊7可按如下所述來(lái)確定已變更配置�。當(dāng)新配置例如由變更管理器系統(tǒng)11來(lái)發(fā)送給第一主機(jī)Hl和第二主機(jī)H2時(shí)�,控制器模塊7接收所有重新配置業(yè)務(wù),其在必要時(shí)必須經(jīng)過(guò)解密��,并且因此新配置文件的副本在控制器模塊7中是可用的�����。此后����,控制器模塊7運(yùn)行一系列Xpath查詢,這意味著�,針對(duì)這些查詢來(lái)檢查新接收的配置�����。
[0046]獲得其配置已經(jīng)變更的主機(jī)的IP地址���。
[0047]/ configurat1n/iIP
獲得第一主機(jī)Hl向其發(fā)送數(shù)據(jù)的所有目標(biāo)IP和端口。
[0048]/ configurat1n//target [ihost]
這對(duì)第一主機(jī)Hl的配置揭示下列信息���。
[0049]經(jīng)過(guò)配置變更的主機(jī)的IP地址:
10.0.0.1
主機(jī)要求向其發(fā)送消息的IP地址和端口:
〈target host=” 10.0.0.3” port=” 80”/>
使用這個(gè)信息���,控制器模塊7更新單獨(dú)網(wǎng)絡(luò)安全裝置的配置。
[0050]圖11從系統(tǒng)級(jí)角度來(lái)示出系統(tǒng)的示范原始操作����。布置第一、第二和第三主機(jī)H1����、H2、H3����,其可配置成提供用于運(yùn)行工業(yè)控制系統(tǒng)的所需應(yīng)用和功能性�����,例如提供一個(gè)或多個(gè)生產(chǎn)控制單元51、52�����、53�、61、62�、63、64�。主機(jī)H1、H2�����、H3可連接到網(wǎng)絡(luò)/安全控制系統(tǒng)40�����,其可包括一個(gè)或多個(gè)網(wǎng)絡(luò)單元41��、42���、43�����。變更管理器系統(tǒng)I和控制器模塊7可連接到網(wǎng)絡(luò)/安全控制系統(tǒng)40��。在圖11所示的示例中���,允許第一主機(jī)Hl與第二主機(jī)H2進(jìn)行通信�����,這在圖11中通過(guò)虛線示出�����。不允許變更管理器系統(tǒng)11與主機(jī)H1���、H2、H3直接通信�,而是僅與控制器模塊7進(jìn)行通信,這在圖11中采用虛線示出����。不允許第三主機(jī)H3與任何其它主機(jī)進(jìn)行通信,而是作為冗余系統(tǒng)來(lái)配置。
[0051]在例如由于網(wǎng)絡(luò)線路的中斷���、主機(jī)裝置的故障、系統(tǒng)崩潰等引起的第二主機(jī)H2的故障的情況下��,系統(tǒng)自行適配到這種干擾�����。例如���,第一主機(jī)Hl將注意到這個(gè)情況���,因?yàn)椴辉俳邮諄?lái)自第二主機(jī)H2的確認(rèn)。在這種情況下����,第一主機(jī)Hl可配置成建立與控制器模塊7的通信,以便開啟到變更管理器系統(tǒng)11的通信路徑�����。
[0052]圖12中��,示出所產(chǎn)生應(yīng)用流程。例如�����,變更管理器系統(tǒng)11可要求第一主機(jī)Hl經(jīng)過(guò)重新配置����,使得第三主機(jī)H3的控制塊B用來(lái)代替第二主機(jī)H2的控制塊B?��?刂破髂K7確定并且實(shí)施所需變更�,其中例如網(wǎng)絡(luò)/控制系統(tǒng)40的安全控制設(shè)置成實(shí)現(xiàn)變更管理器系統(tǒng)11與第一以及第三主機(jī)H1�����、H3之間的通信���。此外�����,也可實(shí)現(xiàn)第一主機(jī)Hl與第三主機(jī)H3之間的通信�����。對(duì)應(yīng)通信路徑在圖12中以虛線示出�。基于這些通信路徑��,第一主機(jī)Hl和第三主機(jī)H3根據(jù)地重新配置�,其中例如已變更配置存儲(chǔ)在變更管理器系統(tǒng)11中。此后�,控制器模塊7重新配置網(wǎng)絡(luò)/控制系統(tǒng)40的安全控制�����,使得不允許變更管理器系統(tǒng)11與第一主機(jī)Hl以及第三主機(jī)H3之間的直接通信�����。此外���,例如���,也可不允許與已經(jīng)出故障的第二主機(jī)H2的通信。
[0053]圖13中�����,用于工業(yè)控制系統(tǒng)的動(dòng)態(tài)配置的方法的步驟的示范序列。在步驟SI����,接收工業(yè)控制系統(tǒng)的當(dāng)前配置和安全設(shè)置。在步驟S2����,接收已變更配置設(shè)置。在步驟S3����,已更新配置和安全設(shè)置基于當(dāng)前配置和安全設(shè)置以及已變更配置設(shè)置來(lái)確定。在步驟S4���,動(dòng)態(tài)建立至少一個(gè)通信路徑���,以便激活已更新配置和安全,使得工業(yè)控制系統(tǒng)采用已更新配置和安全設(shè)置來(lái)配置��。
【權(quán)利要求】
1.一種工業(yè)控制系統(tǒng)的動(dòng)態(tài)重新配置的方法�����,所述工業(yè)控制系統(tǒng)包括經(jīng)由網(wǎng)絡(luò)單元(41���,42���,43)所互連的生產(chǎn)控制單元(51����,52����,53,61�,62�����,63����,64),所述方法包括: 確定所述工業(yè)控制系統(tǒng)的當(dāng)前配置和安全設(shè)置��; 提出對(duì)所述工業(yè)控制系統(tǒng)的生產(chǎn)控制單元(53��,64)的變更���; 基于所述當(dāng)前配置和安全設(shè)置以及所述提出的變更來(lái)確定所述工業(yè)控制系統(tǒng)的所述網(wǎng)絡(luò)單元(41�����,42��,43)的已更新配置和安全設(shè)置���;以及 通過(guò)激活所述工業(yè)控制系統(tǒng)的所述網(wǎng)絡(luò)單元(41���,42,43)的所述已更新配置和安全設(shè)置����,來(lái)動(dòng)態(tài)建立到所述生產(chǎn)控制單元(53,64)的至少一個(gè)通信路徑���。
2.如權(quán)利要求1所述的方法���,其中,所述工業(yè)控制系統(tǒng)的應(yīng)用包括分別運(yùn)行于第一和第二主機(jī)(HI�����,H2)的第一和第二組件(A,B)�,包括: 提出包括從所述工業(yè)控制系統(tǒng)的所述第二主機(jī)(H2 ;63)到第三主機(jī)(H3 ���;53)的所述第二組件(B)的重新指配的變更����,以及 通過(guò)激活所述工業(yè)控制系統(tǒng)的所述網(wǎng)絡(luò)單元(41����,42,43)的所述已更新配置和安全設(shè)置����,來(lái)建立從所述第一主機(jī)(Hl)到所述第三主機(jī)(H3)的通信路徑����。
3.一種用于工業(yè)控制系統(tǒng)的動(dòng)態(tài)配置的控制器模塊(7),包括: 當(dāng)前設(shè)置接收器(71)�����,配置成接收所述工業(yè)控制系統(tǒng)的當(dāng)前配置和安全設(shè)置��; 已變更設(shè)置接收器(72),配置成接收所述工業(yè)控制系統(tǒng)的已變更配置設(shè)置��; 設(shè)置分析器(73)��,配置成基于所述當(dāng)前配置和安全設(shè)置以及所述已變更配置設(shè)置來(lái)確定所述工業(yè)控制系統(tǒng)的已更新配置和安全設(shè)置����;以及 動(dòng)態(tài)激活器(74),配置成動(dòng)態(tài)建立至少一個(gè)通信路徑�,以激活所述工業(yè)控制系統(tǒng)的所述已更新配置和安全設(shè)置。
4.如權(quán)利要求3所述的控制器模塊(7)��,其中��,所述已變更設(shè)置接收器(72)配置成捕獲由變更管理器系統(tǒng)(11)所傳送的已變更配置設(shè)置����。
5.如權(quán)利要求3或4所述的控制器模塊(7),其中���,所述已變更設(shè)置接收器配置成檢測(cè)下列至少一個(gè)的狀態(tài)的變化所引起的已變更配置:所述工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)單元(41���,42,43)和生產(chǎn)控制單元(51,52�����,53�����,61��,62����,63,64)�。
6.如權(quán)利要求3至5中的任一項(xiàng)所述的控制器模塊(7),其中��,所述設(shè)置分析器配置成基于下列至少一個(gè)來(lái)確定已更新配置和安全設(shè)置:所述控制系統(tǒng)的冗余網(wǎng)絡(luò)單元(41�����,42�,43)和冗余生產(chǎn)控制單元(51,52,53,61,62,63,64) ο
7.如權(quán)利要求3至6中的任一項(xiàng)所述的控制器模塊(7)����,其中��,所述動(dòng)態(tài)激活器配置成開啟所述設(shè)置激活器(74)與下列至少一個(gè)之間的至少一個(gè)暫時(shí)通信路徑:所述控制系統(tǒng)的網(wǎng)絡(luò)單元(41,42,43)與生產(chǎn)控制單元(51����,52��,53�,61,62���,63����,64)����,以便激活所述控制系統(tǒng)的已更新配置和安全設(shè)置。
8.如權(quán)利要求3至7中的任一項(xiàng)所述的控制器模塊(7)�,其中,所述已變更設(shè)置接收器(72)配置成接收所述控制系統(tǒng)的已變更安全設(shè)置��,以及其中所述設(shè)置分析器(73)配置成基于已變更安全設(shè)置來(lái)確定所述控制系統(tǒng)的已更新配置和安全設(shè)置��。
9.如權(quán)利要求3至8中的任一項(xiàng)所述的控制器模塊(7),還包括已更新設(shè)置發(fā)射器�,以用于向變更管理器系統(tǒng)(11)傳送已更新配置和安全設(shè)置。
10.一種計(jì)算機(jī)程序產(chǎn)品�����,包括其上存儲(chǔ)了指導(dǎo)控制器模塊執(zhí)行下列步驟的計(jì)算機(jī)程序代碼的計(jì)算機(jī)可讀介質(zhì): 接收所述工業(yè)控制系統(tǒng)的當(dāng)前配置和安全設(shè)置�����; 接收所述工業(yè)控制系統(tǒng)的已變更配置設(shè)置�����; 基于當(dāng)前配置和安全設(shè)置以及已變更配置設(shè)置來(lái)確定所述工業(yè)控制系統(tǒng)的已更新配置和安全設(shè)置���;以及 動(dòng)態(tài)建立至少一個(gè)通信路徑��,以便激活所述工業(yè)控制系統(tǒng)的所述已更新配置和安全設(shè)置���。
【文檔編號(hào)】G05B19/042GK104204973SQ201380018910
【公開日】2014年12月10日 申請(qǐng)日期:2013年1月31日 優(yōu)先權(quán)日:2012年2月1日
【發(fā)明者】S.奧伯梅爾, H.哈德里, M.瓦勒, S.斯托伊特, A.赫里斯托瓦 申請(qǐng)人:Abb研究有限公司