用于工业控制系统的安全电源的制作方法

用于工业控制系统的安全电源的制作方法
【专利摘要】本文公开了一种用于工业控制系统或包括分布式电源网络的任何系统的电源。在实施例中，电源包括：电池模块，其包括电池单元和被配置为监控电池单元的电池监控器；以及自托管服务器，其操作地与电池模块耦合，该自托管服务器被配置为从电池监控器接收诊断信息并提供对诊断信息的网络存取。在实施方式中，由自托管的服务器存储的诊断信息可以经由安全网络(例如，安全访问云计算环境)被广播到以下各项或者由以下各项远程地存取：企业控制/监控系统、应用控制/监控系统、或者其它远程系统。
【专利说明】用于工业控制系统的安全电源
[0001]相关申请的交叉引用
[0002]本申请基于35U.S.C.§119(e)要求于2015年4月13日递交的、并且名称为“POWERSUPPLY SYSTEM”的美国临时专利申请N0.62/146，796的权益。本申请还是于2014年10月20日递交的、并且名称为“SECURE POWER SUPPLY FOR AN INDUSTRIAL CONTROL SYSTEM”的美国非临时专利申请N0.14/519,032的部分继续申请。美国非临时专利申请N0.14/519,032基于35U.S.C.§ 119 (e)要求于2014年2月14日递交的、并且名称为“BACKUP POWER SUPPLY”的美国临时专利申请N0.61/940,003的权益。美国非临时专利申请N0.14/519,032还是于2013年8月6日递交的、并且名称为“SECURE INDUSTRIAL⑶NTROL SYSTEM”的国际申请N0.PCT/US2013/053721的部分继续申请。美国非临时专利申请N0.14/519,032还是于2014年8月27日递交的、并且名称为“SECURE INDUSTRIAL⑶NTROL SYSTEM”的美国非临时专利申请N0.14/469,931的部分继续申请。美国非临时专利申请序列号N0.14/519,032还是于2014年7月30日递交的、并且名称为“INDUSTRIAL CONTROL SYSTEM CABLE”的美国非临时专利申请序列号N0.14/446,412的部分继续申请，美国非临时专利申请序列号N0.14/446,412基于35U.S.C.§119(e)要求于2014年7月7 日递交的、并且名称为“INDUSTRIAL CONTROL SYSTEMCABLE”的美国临时专利申请N0.62/021，438的优先权。上述临时的和非临时的专利申请通过引用方式将其全部内容并入本文。
【背景技术】
[0003]工业控制系统(诸如标准工业控制系统(ICS)或可编程自动化控制器(PAC))包括在工业生产中使用的各种类型的控制设备，诸如监控和数据采集(SCADA)系统、分布式控制系统(DCS)、可编程逻辑控制器(PLC)以及经安全标准(诸如IEC1508)认证的工业安全系统。这些系统被用在工业中，包括电、水和废水、油和气的生产以及精炼、化学、食品、制药和机器人。使用从各种类型的传感器采集的信息来测量过程变量、来自工业控制系统的自动的和/或操作者驱动的监视命令可以被发送到各种致动器设备，诸如控制阀、液压致动器、磁致动器、电气开关、电机、螺线管等等。这些致动器设备从传感器和传感器系统采集数据，打开和关闭阀和断路器，调节阀和发动机，针对报警条件来监控工业过程等等。
[0004]在其它示例中，关于在地理上可以分开很广的过程站点，SCADA系统可以使用开环控制。这些系统使用远程终端单元(RTU)来向一个或多个控制中心发送监视数据。部署RTU的SCADA应用包括流体管道、配电以及大型通信系统。DCS系统通常被用于利用高带宽、低延时数据网络进行实时数据采集和连续的控制，并且被用在大型园区的工业过程工厂中，诸如油和气、精炼、化学、制药、食品和饮料、水和废水、制浆造纸、公用电源、以及矿业和金属业。PLC更典型地提供布尔和顺序逻辑操作和定时器以及连续控制，并且经常被用在独立的机械和机器人中。此外，ICE和PAC系统可以被用在针对建筑、机场、轮船、空间站等等的设施过程中(例如，用于监控和控制供暖、通风以及空气调节(HVAC)设备和能耗)。随着工业控制系统的演变，新技术正在结合这些各种类型的控制系统的方面。例如，PAC可以包括SCADA、DCS和PLC的方面。

【发明内容】

[0005]公开了一种用于工业控制系统或任何包括分布式电源网络的系统的电源。所述电源包括电池模块，所述电池模块包括电池单元和被配置为监控所述电池单元的电池监控器。在实施例中，所述电源还具有自托管的(self-hosted)服务器，所述自托管的服务器与所述电池模块操作地耦合。所述自托管的服务器被配置为从所述电池监控器接收诊断信息，并且提供对所述诊断信息的网络存取。在实现方式中，由自托管的服务器存储的诊断可以经由安全网络(例如，安全访问云计算环境)被广播到以下各项或者由以下各项远程地存取:企业控制/监控系统、应用控制/监控系统、或者其它远程系统。
[0006]提供本概述，以便以简化的形式介绍一组概念。这些概念在以下的【具体实施方式】中被进一步地描述。本概述既不旨在标识出所要求的主题的关键特征或必要特征，也不旨在被用作帮助确定所要求的主题的范围。
【附图说明】
[0007]参照附图来描述【具体实施方式】。在描述和附图中的不同的实例中对相同的附图标记的使用可以指示相似或相同的项目。
[0008]图1是示出了根据本公开内容的示例实施例的包括一个或多个认证模块的电源的框图。
[0009]图2是示出了根据本公开内容的示例实施例的工业控制系统的框图。
[0010]图3是示出了根据本公开内容的示例实施例的工业控制系统(诸如图2的工业控制系统)的框图，其中工业控制系统从多个源(诸如电网以及一个或多个本地发电机)接收电力，并且其中一个或多个备用电源被配置为使用多个电池模块来存储和返回电能。
[0011]图4是示出了根据本公开内容的示例实施例的备用电源的框图，所述备用电源被配置为与系统(诸如图2的工业控制系统)通信地耦合并且被配置为连接到电力源(例如，图2的电网和/或本地发电机)以存储和返回电能，其中备用电源包括控制器和多个电池模块，并且每个电池模块具有与控制器通信地耦合的电池监控器。
[0012]图5是示出了根据本公开内容的示例实施例的备用电源(诸如图4中示出的备用电源)的框图，其中备用电源被配置为与系统(诸如图2的工业控制系统)通信地耦合，并且其中备用电源包括控制器，所述控制器被配置为向系统提供关于被包括有备用电源的多个电池模块的状态的信息。
[0013]图6是根据本公开内容的示例实施例的对设备进行认证(诸如在图1中示出的电源和/或其它设备，诸如被连接到图1中示出的电源的受电设备)的安全控制系统的图示的说明。
[0014]图7是示出了根据本公开内容的示例实施例的用于工业控制系统(诸如图6的安全控制系统)的动作认证路径的框图。
[0015]图8是进一步地示出了根据本公开内容的示例实施例的图7的动作认证路径的框图。
[0016]图9是示出了根据本公开内容的示例实施例的用于认证动作请求的方法的流程图。
[0017]图10是示出了根据本公开内容的示例实施例的电池模块的框图。
[0018]图11是示出了根据本公开内容的示例实施例的在电源和工业控制系统元件之间的连接的框图。
[0019]图12是示出了根据本公开内容的示例实施例的第一电源和一个或多个冗余电源之间的连接的框图。
【具体实施方式】
[0020]
[0021]在工业控制系统环境中，电力通常是使用本地发电(例如，使用现场涡轮机和/或柴油发电机)从电网(例如，使用来自AC干线的高电压电力)提供到诸如控制器、输入/输出(I/O)模块等之类的自动化设备等等。经常地，还从电池向这些环境中的自动化设备提供备用电力。例如，可以使用例如铅酸电池来在工业环境中提供大规模电池储能。来自大规模电池储能的电力可以使用集中的、交流(AC)电力传输技术来提供。在其它示例中，使用较小的、分散的直流(DC)电池电源。例如，备用电池电力由较小的铅酸电池在机柜、控制器、I/O模块等的水平上提供。然而，当与较新的可再充电电池技术(例如，锂离子电池)相比时，铅酸电池具有相对低的能量密度。进一步，在这些配置中，备用电池通常与控制硬件分开，需要到每个电池的单独连接，以监控电池状态。例如，工业自动化环境中的备用电池通常都连接到控制硬件的备用I/O端口，以监控这样的电池的活动(例如，开/关状态)。
[0022]公开了一种用于工业控制系统或者任何包括分布式电源网络的系统的电源。该电源包括电池模块，其包括电池单元以及被配置为监控所述电池单元的电池监控器。在实施例中，电源还具有操作地与电池模块耦合的自托管的服务器。自托管的服务器被配置为从所述电池监控器接收诊断信息，并且提供对所述诊断信息的网络存取。在实现方式中，由自托管的服务器存储的诊断可以经由安全网络(例如，安全访问云计算环境)被广播到以下各项或者由以下各项远程地存取:企业控制/监控系统、应用控制/监控系统、或者其它远程系统。电源网络可以包括多个分布式电源。分布式电源可以与彼此相通信(例如，经由各自的服务器之间的网络)。
[0023]工业控制系统可以包括被耦合到至少一个输入/输出模块的至少一个控制模块，所述至少一个输入/输出模块由控制模块来控制和监控，其中输入/输出模块被配置成从传感器接收输入信号或者为致动器或者电机提供输出信号。控制模块和/或所述输入/输出模块可以被耦合到电力模块，以用于向控制模块和/或输入/输出模块提供电力。在一些实施例中，第一电力模块为控制模块和输入/输出模块两者服务。在其它实施例中，第一电力模块为控制模块服务，并且第二电力模块为输入/输出模块服务。进一步，可以理解的是，可以实现多个控制模块和/或多个输入/输出模块。前述示例是出于解释的目的而提供的，而不应该被理解为将系统限制为单个控制、输入/输出或者电力模块。工业控制系统可以包括一个或多个电源(例如，独立的电源或者分布式电源网络)，以用于将电力分配到电力模块。
[0024]本文还描述了用于促进对工业控制系统环境中的电池电源(例如，不间断的电源(UPS)设备)的监控和控制的系统和技术。描述的技术和系统可以使用高能量密度可再充电电池技术(例如，锂离子可再充电电池技术)来实现。在本公开内容的实施例中，工业UPS提供通信和/或安全特征，例如，双向系统通信、控制系统集成、网络安全集成等等。例如，工业UPS提供状态信息、诊断信息、可靠性信息、双向通信等等。在一些实施例中，工业UPS实现密钥加密的微控制器技术。
[0025]在一些实施例中，电源包括可以执行对电源和/或被连接到电源的设备的认证的电路(例如，印刷电路板(PCB)、集成电路(IC)芯片和/或其它电路)。这可以防止或者最小化将电源插入到不旨在与该特定电源或者电源类型一起使用的设备中的可能(例如，防止或者最小化低电压电源被插入到高电压设备中的可能性)。例如，电源利用耦合的模块执行“握手”操作，以验证电源与合适的和/或期望的设备配对。在一些实施例中，诸如发光二极管(LED)指示灯之类的指示器被用于提供对该认证的通知。例如，多色LED和/或单色LED提供诊断信息，以指示认证的状态(例如，使用纯色发光、不发光、闪烁、一种颜色代表一种状态和另一种颜色代表另一种状态等等)。
[0026]在一些实施例中，电源可以被用于认证另一个设备，例如，从电源接收电力的仪器。例如，电源电路可以被用来认证受电设备、受电设备的类型、受电设备的生产商等等。以这种方式，可以防止或者最小化在工业自动化环境中对伪造设备的使用。进一步，电源可以被用于向诸如控制器、输入/输出(I/o)模块、端设备、现场设备(例如，过程传感器和/或致动器)等之类的设备认证它自身。在一些实施例中，电源促进电源和被连接到电源的设备之间的加密通信。例如，电源可以提供电源和端设备、现场设备等之间的双向加密通信。进一步，在一些实施例中，操作者可以使用被连接到网络的电源来获得关于现场设备(例如，传感器、致动器或者任何其它仪器)的认证信息。在一些实施例中，两个或更多个认证模块(例如，第一认证模块和第二认证模块)被配置为在安装新设备时、在启动时/复位时、周期性地、在预定的时间和/或其它预先定义的事件时执行认证序列(例如，“握手”)。如果认证模块未能对另一个设备进行认证和/或彼此进行认证，则设备中的至少一个设备(例如，未经认证的设备)可以被部分或者完全地禁用和/或限制与其它设备进行通信。
[0027]在工业控制系统中，各种工业元件/子系统(例如，输入/输出模块、电源模块、现场设备、开关、工作站和/或物理互连设备)是由控制元件/子系统(例如，一个或多个通信/控制模块)来控制或驱动的。控制元件/子系统根据从动作发起者接收的编程和动作请求(例如，可执行的软件模块、控制命令、数据请求等)来操作，所述动作发起者例如是但不必然地被限定于:操作者接□(例如，SCADA或者人机界面(HMI))、工程接口、本地应用、远程应用等等。在多个动作发起者存在的情况下，工业控制系统可以是易受对数据和/或控制的未经授权的存取的攻击的。进一步，工业控制系统可能是易受可以以更新、应用图像、控制命令等的形式发送的恶意软件、间谍软件或者其它损坏的/恶意的软件攻击的。简单地认证操作者可能不足以保护该系统免于恶意行动者或者甚至可以经由有效的登录或者表面上看来有效的(例如，被黑客攻击的)应用或者操作者/工程接口发起的无意地未经授权的请求/命令。
[0028]本公开内容是针对用于防止未经授权的动作请求免于在工业控制系统中被处理的控制器、系统和技术的。可以经由从动作发起者到工业元件/控制器(例如，通信/控制模块、输入/输出(I/O)模块、电力模块、现场设备、开关、工作站、物理互连设备等)的认证路径来保护对操作或者全部操作者动作和/或其它控制动作或者请求的预先定义的选择。在实现方式中，工业控制系统要求动作认证器来对由动作发起者产生的动作请求进行签名。未经签名的动作请求可以自动地产生错误，并且将不被工业元件/控制器处理或者执行。工业元件/控制器可以被配置为接收所签名的动作请求，验证对所签名的动作请求的真实性，并且当所签名的动作请求的真实性被验证时执行请求的操作。以这种方式，恶意的或者以其它方式未经授权的动作请求不被处理，并且因此系统可以被保护而免于遭受恶意软件、间谍软件、对控制参数的未经授权的改变、对数据的未经授权的存取等。
[0029]示例的实现方式
[0030]主要参考图1至图12，根据本公开内容描述了示例电源。在一些实施例中，电源120包括一个或多个认证模块134，所述认证模块134被配置为向被连接至电源120的设备(例如，I/O模块102、控制模块104等(例如，如图1中示出的))认证电源120和/或电源120的一个或多个电池模块122。认证模块134还可以被用于认证被连接至电源120的一个或多个设备。在一些实施例中，认证模块134存储与电源120相关联的唯一标识符136和/或安全凭证138(例如，如图5中示出的，其中，使用控制器128来实现认证模块，所述控制器128包括处理器140以及存储一个或多个唯一标识符136和/或安全凭证138的存储器142)。认证模块134可以被配置为基于认证来建立和/或阻止与被连接至电源120的设备的连接。电源120还可以包括用于(例如，向操作者)指示认证的指示器(例如，指示灯144)。
[0031 ]在一些实施例中，电源120包括报警模块146。在本公开内容的实施例中，报警模块146被配置为当电源120和/或被连接至电源120的设备满足一条件和/或条件的集合时(例如，向操作者)提供报警。例如，当获得对电源120和/或被连接至电源的设备的认证和/或对电源120和/或被连接至电源的设备的认证失败时，由认证模块134生成报警，并由报警模块146提供该警告。例如，电源120执行与耦合的受电设备(例如，I/O模块102和/或控制模块104)的“握手”操作，以验证电源120与合适的和/或期望的设备配对。若否，则报警模块146可以被用于(例如，经由网络)警告操作者。在一些实施例中，以电子邮件的形式向操作者提供报警。在其它实施例中，以文本消息的形式向操作者提供报警。然而，这些报警是通过示例的方式来提供的，而不意味着限制本公开内容。在其它实施例中，向操作者提供不同的报警。此外，当认证过程满足条件时，可以向操作者提供多个报警(例如，电子邮件和文本消息等)。应当注意到的是，对于其它条件，可以由认证模块134和/或报警模块146来提供报警，这些条件包括但不必限于:电源故障、电池模块故障、连接的设备故障、针对电源和/或受电设备的各种错误条件等。
[0032]认证模块134还可以被配置为对电源120与被连接至电源120的一个或多个设备之间的通信进行加密。如图1中所示的，电源120可以包括加密模块148。例如，使用一种或多种加密协议来发送电源120与受电设备之间的信息。这样的加密协议的示例包括但不必限于:传输层安全(TLS)协议、安全套接层(SSL)协议等。例如，电源120与受电设备之间的通信可以使用HTTP安全(HTTPS)协议，其中HTTP协议分层在SSL和/或TLS协议之上。
[0033]在一些实施例中，可以在电源120与被连接至电源120的设备之间执行认证序列。例如，电源120通过使用控制器128的认证模块134执行认证序列，来对耦合的I/O模块102、控制模块104等进行认证。在其它实施例中，被连接至电源120的设备可以对电源120进行认证。例如，控制模块104可以通过利用控制器128的认证模块134执行认证序列，来对耦合的电源120进行认证。在其它实施例中，一个电源120可以对另一电源120进行认证。例如，第一电源120通过执行第一电源120的控制器128的第一认证模块134与第二电源120的控制器128的第二认证模块134之间的认证序列，来对第二(冗余)电源120进行认证。在一些实施例中，第二电源120还可以对第一电源120进行认证。
[0034]应当注意到的是，虽然处理器140和存储器142被描述为具有作为控制器128的一部分的一些特性(例如，参考图1)，但是这种结构是通过示例的方式来提供的，而不意味着限制本公开内容。因此，(例如，除了利用控制器128包括的处理器140和存储器142之外，或替代利用控制器128包括的处理器140和存储器142)，一个或多个的电池模块122还可以包括处理器、存储器等。在这样的实施例中，一个或多个的电池模块122可以包括一个或多个认证模块134，例如，在认证模块134采用处理器和(可能存储一个或多个密钥、证书、唯一标识符、安全凭证等的)存储器来向一个或多个其它设备(例如，其它电池模块122、控制器128、控制元件或子系统等)认证电池模块134和/或认证与电源120耦合的其它设备(例如，其它电池模块122、控制器128、控制元件或子系统等)的情况下。
[0035]在一些实施例中，电池模块134可以对电源120的控制器128和/或连接的设备(例如，与电源120耦合的受电设备)进行认证。例如，电池模块134可以通过使用电池模块134的认证模块134执行认证序列，来对电源120的控制器128和/或耦合的I/O模块102、控制模块104等进行认证。在其它实施例中，被连接至电源120的受电设备可以对一个或多个电池模块122进行认证。例如，控制模块104通过利用相应的电池模块134的认证模块134执行认证序列，来对连接的电源120的一个或多个(例如，每个)电池模块122进行认证。
[0036]在一些实施例中，控制器128可以对一个或多个电池模块134进行认证。例如，控制器128通过执行控制器128的认证模块134与相应的电池模块122的认证模块134之间的认证序列，来对一个或多个电池模块134进行认证。在进一步的实施例中，一个电池模块122可以对另一电池模块122进行认证。例如，第一电池模块122通过执行第一电池模块122的第一认证模块134与第二电池模块122的第二认证模块134之间的认证序列，来对第二电池模块122进行认证。在一些实施例中，第二电池模块122还可以对第一电池模块122进行认证。
[0037]可以与工业控制系统一起使用电源120。例如，参考图2，根据本公开内容描述了示例工业控制系统100。在实施例中，工业控制系统100可以包括工业控制系统(ICS)、可编程自动化控制器(PAC)、监控和数据采集(SCADA)系统、分布式控制系统(DCS)、可编程逻辑控制器(PLC)和经安全标准(例如，IEC1508)认证的工业安全系统等。工业控制系统100使用通信控制架构来实现分布式控制系统，所述分布式控制系统包括控制元件或子系统，其中所述子系统是由分布在整个系统中的一个或多个控制器来控制的。例如，一个或多个I/O模块102被连接至一个或多个控制模块104。工业控制系统100被配置为向I/O模块102发送数据，以及从I /0模块1 2接收数据。I /0模块102可以包括输入模块、输出模块和/或输入及输出模块。例如，在过程中，输入模块可以被用于从输入传感器接收信息，而输出模块可以被用于向输出致动器发送指令。例如，I/O模块104可以被连接至处理传感器106(例如，照度传感器、辐射传感器、气体传感器、温度传感器、电气传感器、磁传感器和/或声音传感器)以便测量天然气厂、炼油厂等的管道中的压力，和/或被连接至处理致动器108(例如，控制阀、液压致动器、磁致动器、电机、螺线管、电气开关、发射机等)。
[0038]在实现方式中，I/O模块102可以被用于控制系统以及收集应用中的数据，所述应用包括但不必限于:工业过程(例如，加工、生产、发电、制造和精炼)；基础设施过程(例如，水处理及分配、污水收集及处理、油和气的管道输送、电力传输及分配、风场和大型通信系统)；用于建筑物、机场、轮船和空间站的设施过程(例如，用于监控和控制供暖、通风和空气调节(HVAC)设备以及能耗)；大型园区的工业过程工厂(例如，油和气、精炼、化学、制药、食品和饮料、水和废水、制浆造纸、公用电源、矿业、金属业)和/或关键基础设施。
[0039]在实现方式中，I/O模块102可以被配置为将从传感器106接收到的模拟数据转换成数字数据(例如，使用模拟-至-数字转换器(ADC)电路等)。1/0模块102还可以被连接到致动器108并被配置为控制致动器108的一个或多个操作特性，例如，速度、扭矩等。此外，I/O模块102可以被配置为将数字数据转换成模拟数据，以便传输到致动器108(例如，使用数字-至-模拟(DAC)电路等)。在实现方式中，I/O模块102中的一个或多个可以包括被配置用于经由通信子总线进行通信的通信模块，所述通信子总线例如以太网总线、Hl现场总线、过程现场总线(PR0FIBUS)、高速可寻址远程换能器(HART)总线、网络通信协议(Modbus)等等。此外，两个或更多个I/O模块102可以被用于针对通信子总线提供容错和冗余连接。
[0040]每个I/O模块102可以被提供有唯一标识符(ID)，所述唯一标识符(ID)用于将一个I/0模块102与另一个I/0模块102进行区分。在实现方式中，当I/0模块102被连接到工业控制系统100时，其是由它的ID来标识的。多个I /0模块1 2可以与工业控制系统100—起使用，以提供冗余。例如，两个或更多个I/O模块102可以被连接到传感器106和/或致动器108。每个I/O模块102可以包括一个或多个端口以及与所述I/O模块102包括在一起的电路，所述端口提供到硬件的物理连接，所述电路例如印刷电路板(PCB)等。
[0041]I/O模块102中的一个或多个可以包括用于连接至其它网络的接口，所述接口包括但不必限于:广域蜂窝电话网络，诸如3G蜂窝网络、4G蜂窝网络、或全球移动通信系统(GSM)网络;无线计算机通信网络，诸如W1-Fi网络(例如，使用IEEE 802.11网络标准操作的无线LAN(WLAN))；个域网(PAN)(例如，使用IEEE 802.15网络标准操作的无线PAN(WPAN))；广域网(WAN);内联网；外联网;互联网；因特网等等。此外，I/O模块102中的一个或多个可以包括用于将I/O模块102连接到计算机总线的连接等。
[0042]控制模块104可以被用来监控和控制I/O模块102，以及将两个或更多个I/O模块102连接在一起。在本公开内容的实施例中，当I/O模块102基于针对所述I/O模块102的唯一ID连接到工业控制系统100时，控制模块104可以更新路由表。此外，当使用多个冗余的I/0模块102时，每个控制模块104可以实现对关于I/O模块102的信息数据库的镜像，并且随着从I/O模块102接收到数据和/或向I/O模块102发送数据而更新所述信息数据库。在一些实现方式中，两个或更多个控制模块104被用于提供冗余。为了增加的安全性，控制模块104可以被配置为执行认证序列或握手以在预先定义的事件或时间互相认证，所述预先定义的事件或时间包括但不必限于:启动、复位、新的控制模块104的安装、控制模块104的更换、定期地、预定的时间等等。此外，控制模块104可以被配置为以随机(例如，伪随机)的时间间隔来执行认证。
[0043]可以将由工业控制系统100发送的数据进行分组，S卩，可以将数据的不连续的部分转换成包含数据部分与网络控制信息等的数据分组。工业控制系统100可以使用一个或多个协议进行数据传输，所述协议包括诸如高级数据链路控制(HDLC)的面向比特的同步数据链路层协议。在一些实施例中，工业控制系统100根据国际标准化组织(ISO)的13239标准等实现HDLC。此外，两个或更多个控制模块104可以被用于实现冗余的HDLC。然而，应该注意的是，HDLC是通过示例的方式提供的，而不意味着限制本公开内容。因此，工业控制系统100可以根据本公开内容使用其它各种通信协议。
[0044]控制模块104中的一个或多个可以被配置用于经由I/O模块102与被用于监控和/或控制被连接到工业控制系统100的仪器的部件来交换信息，所述部件例如一个或多个控制回路反馈机制/控制器。在实现方式中，控制器可以被配置为微控制器/可编程逻辑控制器(PLC)、比例-积分-微分(PID)控制器等等。在本公开内容的实施例中，I /0模块102和控制模块104包括网络接口，所述网络接口例如用于经由网络110将一个或多个I/0模块102连接到一个或多个控制器。在实现方式中，网络接口可以被配置为用于将I/O模块102连接到局域网(LAN)的千兆比特的以太网接口。此外，两个或更多个控制模块104可以被用于实现冗余千兆比特以太网。
[0045]然而，应该注意到的是，千兆比特以太网是通过示例的方式提供的，而不意味着限制本公开内容。因此，网络接口可以被配置用于将控制模块104连接到其它各种网络，所述其它各种网络包括但不必限于:广域蜂窝电话网络(诸如3G蜂窝网络、4G蜂窝网络、或GSM网络)；无线计算机通信网络(诸如W1-Fi网络(例如，使用IEEE 802.11网络标准操作的无线LAN(WLAN))) ;PAN(例如，使用IEEE 802.15网络标准操作的WPAN) ；WAN；内联网；外联网；互联网；因特网等等。另外，网络接口可以使用计算机总线来实现。例如，网络接口可以包括诸如微型PCI接口等外围部件互连(PCI)卡接口。此外，网络110可以被配置为包括跨越不同的接入点的单个网络或多个网络。
[0046]现在参照图3，工业控制系统100可以从多个源接收电力。例如，交流电是从电网112提供的(例如，使用来自交流干线的高压电力)。还可以使用本地发电(例如，现场涡轮机或柴油本地发电机114)来提供交流电。电源116被用于将来自电网112的电力分配给工业控制系统100的自动化设备，例如，控制器、I/O模块等等。另一电源118被用于将来自本地发电机114的电力分配给自动化设备。工业控制系统100还包括额外的(备用)电源120，其被配置为使用多个电池模块122来存储和返回直流电。例如，电源120起UPS的作用。在本公开内容的实施例中，多个电源116、118和/或120被(例如，物理上分散的)分布在工业控制系统100内。
[0047]在一些实施例中，一个或多个电源116、118和/或120是在机柜的水平上提供的。例如，一个电源120被用于向控制模块104及其相关联的I/O模块102提供备用电力。在其它实施例中，一个电源120被用于向控制模块104提供备用电力，而另一个电源120被用于向相关联的I/O模块102提供备用电力(例如，其中在设施内，I/O模块102和控制模块104通过某个距离物理地分隔开，其中在I/O模块102和控制模块104之间保持电隔离等等)。
[0048]电源116、118和/或120还可以被配置为向现场设备供电，所述现场设备例如参照图2描述的传感器106和/或致动器108。例如，电源116和118中的一个或多个包括交流到直流(AC/DC)转换器，其用于将(例如，如由AC干线供给的)AC转换为DC，以传输给致动器108(例如，在其中致动器108是DC电机或其它DC致动器的实现方式中)。此外，被用于提供冗余的两个或更多个电源116、118和/或120可以使用针对每个电源120的单独的(冗余的)电源背板来连接到工业控制系统100的自动化设备。
[0049]参照图4，电源120包括多个电池模块122。在本公开内容的实施例中，每个电池模块122包括锂离子电池单元124。例如，电池模块122是使用一又二分之一伏特(1.5 V)的锂离子电池单元、三伏特(3V)的锂离子电池单元等实现的。在一些实施例中，电源120包括堆叠在一起的、八(8)个到十(10)个之间的电池模块122。然而，八(8)个到十(10)个之间的电池模块122的堆叠是通过示例的方式提供的，而不意味着限制本公开内容。在其它实施例中，少于八(8)个或多于十(10)个电池模块122堆叠在一起。
[0050]图1O中示出了电源120的另一个实施例。电源120可以包括电池组，所述电池组包括电池模块122的堆叠(每个电池模块122包括一个或多个电池单元)。在一些实施例中，将每个电池模块122包封(encase)在电池模块保护层404(例如，电流隔离层)中，并且将电池模块122堆叠在一起以形成电池组。经堆叠的电池模块122(即，电池组)还可以被电池组保护层402(例如，另一个电流隔离层或屏蔽势皇)包封住。电源120可以包括一个或多个电池组并且可以进一步具有电源保护层400 (例如，构成电源120的、围绕电池模块的工业级(例如，招)外壳)。在一些实施例中，电源保护层/包装(encasementMOO是利用水密封的连接器以数吨的压力来组装的。电源保护层/包装400可以是在一个或多个方向(例如，用于现场部署的多个可能的方向)上可安装的。
[0051]应当注意到的是，尽管将电池模块122描述为包括锂离子电池单元124，但是本公开内容的系统和技术可以使用其它可再充电的电池、存储(storage )和/或蓄电池(accumu I ator)技术，包括但不必限于:铅酸电池、碱性电池、镍镉电池、镍金属氢化物电池、锂离子聚合物电池、锂硫电池、薄膜锂电池、钾离子电池、钠离子电池、镍铁电池、镍氢电池、镍锌电池、锂空气电池、磷酸铁锂电池、钛酸锂电池、溴化锌电池、全钒液流电池、钠硫电池、熔盐电池、氧化银电池等等。
[0052]电池模块122中的每个都包括实时电池监控器126，其可以使用(例如)印刷电路板(PCB)来实现。在本公开内容的实施例中，由控制器128(例如，微控制器)使用电池监控器126来对电池单元124进行操作。例如，每个电池监控器126向控制器128提供针对每个相应的电池单元124的诊断信息。诊断信息包括但不必限于:电池单元124的工作电压、电池单元124的工作电流(例如，以安培为单位)、进入电池单元124的电荷的单位(例如，以库仑为单位)、流出电池单元124的电荷的单位(例如，以库仑为单元)、电池单元124的寿命(例如，以时间为单位、以充电/放电周期的数量为单位)等等。
[0053]在实施例中，控制器128被配置为自托管的服务器和/或与电源120的自托管的服务器通信地耦合。自托管的服务器可以(例如)包括在本地存储器(例如，内部硬盘驱动器、固态磁盘驱动器、闪存等)中保存数据的服务器。自托管的服务器可以接收并且存储来自电源的每个电池监控器126的诊断信息。自托管的服务器被配置为提供对诊断信息的网络存取。例如，自托管的服务器可以广播该诊断信息或者可以经由与服务器的互联网或内联网连接来提供对数据库、文件目录、或日志的存取。在实施例中，自托管的服务器与IEEE625410PC统一架构通信栈相兼容。自托管的服务器可以提供对各种各样的电力变量和/或诊断的存取，所述各种各样的电力变量和/或诊断可以被工业控制系统应用、企业、和/或准许监控电源网络的安全网络(例如，云)计算应用所控制、监控、趋向、警告和/或历史化。
[0054]在一些实施例中，将每个电池监控器126单独地连接到控制器128。在其它实施例中，将多个电池监控器126连接到共享的通信信道(诸如，串行总线)，进而连接到控制器128。还将电池监控器126连接到电力调节器130(例如，包括变压器)，其从外部电源(诸如，电源116和/或电源118)接收电力。使用从电力调节器130供应的电能来对电池单元124进行充电。使用另一个电力调节器132将电能从电池单元124放电，所述另一个电力调节器132可以被用于调整由电池单元124供应的电能的一个或多个输出特性(诸如，电压)。在实施例中，电力调节器130可以实现交错的功率因子校正(PFC)以实现接近统一的功率因子和零切换拓扑以将MOSFET渡越损耗驱动到零。
[0055]在本公开内容的实施例中，每个电池模块122都包括具有箔包装的电池单元124的支架，其中可以将多个支架堆叠起来，从而使得电池单元124保持密封，同时允许对箔内的电池单元124进行扩展和收缩。在本公开内容的实施例中，还在支架框中将包括电池监控器126的PCB与电池单元124包封在一起。此外，PCB是由电池单元124供电的，并且被配置为限制电流进入和流出每个电池单元124。例如，电池监控器126包括电信号开关设备(例如，以模拟开关的方式串联连接的两(2)个场效应晶体管(FET))，其防止在没有来自电池监控器126的授权的情况下，将能量存储在电池中和/或从电池返回能量。以这种方式，当电池单元124的端子被连接到非计划中的电气路径(例如，短路)时，阻止与电池单元124的电气连接。此外，当电池监控器126不活动时(例如，当电池单元124中没有电荷时)，防止到电池单元124的电气连接。在该示例中，当将电池模块122插入到电源120中时，其至少部分地被充电。
[0056]在本公开内容的实施例中，使用被放置在每个支架框上的电触点(例如，电连接器)来对电池模块122进行堆叠和连接。电连接器与电池单元124电连接(例如，经由电池监控器PCB)，并且可以在没有从支架框伸出的电线的情况下(这另外需要与电池单元124的焊接连接)被放置在支架框上。例如，在一个支架框上提供的滑入配合(snap-f i t)电连接器(例如，被放置在支架框的上表面上)，其与另一个支架框上的对应的滑入配合电连接器(例如，被放置在另一个支架框的下表面上)相匹配。电连接器可以被配置为增加电连接器之间的接触表面积和/或提供电连接器的自对齐(例如，通过配置一个电连接器的一部分用于插入到另一个电连接器中)。
[0057]在本公开内容的实施例中，对电连接器进行几何排列(例如，位置的、大小的等)以防止多个电池模块122以非计划的方式连接在一起。例如，可以让一个电触点的方向相对于支架框大致向上，而可以让另一个电触点的方向相对于支架框大致向下。在其它实施例中，提供视觉提示以用于将两个电池模块122进行对齐(例如，颜色编码、标记等)。
[0058]此外，电源120可以包括槽、沟、轨道等，以提供对电池模块122的机械对准(mechanical registrat1n)，诸如，用于将一个电池模块122的电连接器与另一个电池模块122的匹配电连接器对齐，和/或与电源120的电连接器对齐。例如，电池模块122包括被配置为用于插入到电源120的外壳的相应轨道的标签(tab)或标杆(post)，并且提供电池模块122相对于外壳的对齐。此外，控制器128可以将唯一的物理标识(ID)与每个电池模块122相关联，以唯一地标识相对于电源120的外壳的、以特定的顺序和/或在特定的位置处耦合的每个电池模块120。
[0059]在本公开内容的实施例中，电源120被构造为用于柜式安装、架式安装、墙面安装等等。电源120的外壳可以由刚性的绝缘材料(诸如，丙烯腈.丁二烯.苯乙烯(ABS)或另一种塑料材料)构成，其可以被用于容纳在电池单元故障的情况下以其它方式释放的能量。此夕卜，外壳可以被配置为容纳或者至少基本上容纳化学电池单元部件(诸如，锂)，其可能是由于电池故障而释放的。此外，电源120中容纳的部件彼此可以是电隔离的。例如，到控制器128的信号与电池监控器126和电池单元124是电流隔离的。此外，控制器128和电力调节器130与电池模块122和电力调节器132是电隔离的和/或故障隔离的(例如，使用单独的变压器、光隔离器等)。
[0060]现在参照附图5，控制器128连接到工业控制系统100(例如，经由网络110)。在本公开内容的实施例中，控制器128实现控制器等级处和/或每一电池模块122等级处的安全和/或诊断。控制器128(包括其一些或所有部件)可以在计算机控制下操作。例如，处理器140可以包括在控制器128内或中以使用软件、固件、硬件(例如，固定的逻辑电路)、手动处理或其组合来控制本文所述的控制器128的部件和功能。本文中使用的术语“控制器”、“功能”、“月艮务”和“逻辑”通常表示与控制控制器128相结合的软件、固件、硬件或软件、固件、硬件的组合。在软件实现的情况下，模块、功能或逻辑表示用于当在处理器(例如，中央处理单元(CPU)或多个CPU)上被执行时执行指定任务的程序代码。程序代码可以被存储在一个或多个计算机可读存储器设备(例如，内部存储器和/或一个或多个有形介质)等中。可以在具有各种处理器的各种商业计算平台上实现本文所述的结构、功能、方法和技术。
[0061]处理器140为控制器128提供处理功能，并且可以包括任意数量的处理器、微控制器或其它处理系统和用于存储由控制器128访问或生成的数据和其它信息的内部常驻或外部存储器。处理器140可以执行用于实现本文所述技术的一个或多个软件程序。处理器140不受限于形成其的材料或其中所采用的处理机制，并由此，可以经由半导体和/或晶体管等(例如，使用电子集成电路(IC)部件)来实现。
[0062]控制器128还包括存储器142。存储器142是用于提供存储与控制器128的操作相关联的各种数据(诸如，用于指导处理器140和控制器128的其它可能的部件来执行本文所述功能的软件程序和/或代码段或其它数据)的存储功能的有形计算机可读介质的例子。从而，存储器142可以存储数据，诸如，用于操作电源120(包括其部件)的指令程序等。在本公开内容的实施例中，存储器142可以存储用于电源120的唯一标识符136和/或安全凭证138。应该注意到的是，尽管描述了单个存储器142，但可以采用多种类型的存储器以及存储器的组合(例如，有形的非暂时性存储器)。存储器142可以与处理器140整合，可以包括独立的存储器，或可以是以上这两种的组合。存储器142可以包括，但并不一定限于:可移动和不可移动存储器部件，诸如随机存取存储器(RAM)、只读存储器(ROM)、闪存(例如，安全数字(SD)存储卡、迷你SD存储卡和/或微SD存储卡)、磁存储器、光存储器、通用串行总线(USB)存储器设备、硬盘存储器、外部存储器等。在实现方式中，电源120和/或存储器142可以包括可移动集成电路卡(ICC)存储器，诸如，由用户识别模块(SIM)卡、通用用户识别模块(USIM)卡、通用集成电路卡(UICC)提供的存储器等。
[0063]控制器128包括通信接口150。通信接口 150被操作地配置为与电源120的部件通信。例如，通信接口 150可以被配置为传输用于控制器128中的存储设备的数据、从控制器128中的存储设备获取数据等。通信接口 150还通信地与处理器140耦合以促进电源120的部件与处理器140之间的数据传输，例如，用于将从与控制器128通信地耦合的设备接收的输入传递给处理器140，和/或将输出传递给与控制器128通信地耦合的设备，诸如，电池监控器126。例如，使用共享通信通道(诸如，串行总线)来实现通信接口 150，以将处理器连接到多个电池监控器126。
[0064]在本公开内容的实施例中，控制器128被配置用于与电池监控器126双向通信。例如，控制器128从电池监控器126收集诊断信息(例如，关于电池单元124的状态信息和/或可靠性信息)。此外，控制器128操作电池模块122，例如，指导电池模块122存储和返回来自于电源116、电源118提供的电能等。应当注意到的是，尽管通信接口 150被描述为控制器128的部件，但是可以将通信接口 150的一个或多个部件实现为经由有线和/或无线连接通信地耦合到控制器128的外部部件。此外，控制器128可以包括和/或连接一个或多个输入/输出(I/O)设备(例如，经由通信接口 150)，其包括但并不一定限于:显示器、鼠标等。例如，控制器128可以连接到显示器设备，诸如，多彩(例如，三色)发光二极管(LED)(例如，指示灯144)，其可以指示电源120的状态。
[0065]通信接口 150和/或处理器140可以被配置为与各种不同的网络110通信，包括但并不一定限于:广域蜂窝电话网络，诸如，3G蜂窝网络、4G蜂窝网或全球移动通信系统(GSM)网络;无线计算机通信网络，诸如，WiFi网络(例如，使用IEEE802.1l网络标准操作的无线局域网(WLAN));互联网；因特网；广域网；局域网(LAN);个域网(PAN)(例如，使用IEEE802.15网络标准操作的无线个域网(WPAN));公共电话网络;外联网；内联网等。然而，仅以示例的形式提供该列表，而并不意味着限制本公开内容。此外，可以使用计算机总线来实现通信接口150 ο例如，通信接口 150可以包括PCI卡接口，诸如，迷你PCI接口等。此外，通信接口 150可以被配置为与单个网络110或跨不同的接入点的多个网络进行通信。以此方式，控制器128用于将电源120通信地耦合到工业控制系统100。
[0066]现在参考附图6，通过一个或多个背板将控制元件或子系统(例如，I/O模块102、控制模块104、电源120等)连接在一起。例如，通过通信背板15 2可以将控制模块104连接到I /0模块102。此外，可以通过电力背板154将电源116、118和/或120连接到I/O模块104和/或控制模块106。在一些实施方式中，每个控制模块104和/或I/O模块102可以在背板154上具有用于定义电力通道的至少一个独立的轨迹，该电力通道相对于耦合其它控制模块104和/或I/O模块102的其它通道(S卩，轨迹)具有电流隔离和独立控制。在本公开内容的实施例中，物理互连设备(例如，交换机、连接器或线缆，诸如但不限于美国非临时专利申请序列号14/446，412中描述的那些)用于连接到I/O模块102、控制模块104、电源120和其它可能的工业控制系统设备。例如，线缆用于将控制模块104连接到网络110，另一线缆用于将电源连接到电网112，另一线缆用于将电源120连接到本地发电机114等。
[0067]配电架构的另一实施例在图11中示出。配电网络500可以包括耦合到一个或多个电力模块504的电源502(例如，现场安装的UPS)，该一个或多个电力模块504被安装到背板154上用于向控制模块506、输入/输出模块506、508、510、512等供应电力。如图12中所示出的，配电网可以包括额外的(例如，补充的)安全电源514(例如，安全的UPS)，其可以被电连接到电源502用于提供补充电力或用于向不同于由电源502供电的那些设备的其它设备提供电力。在实施例中，电源502和安全电源514可以被配置为基于网络需要和/或用于维持电源之间的阈值电荷水平来彼此之间双向传输电力。
[0068 ] 再来参考图6，工业控制系统1 O可以实现安全的控制系统。例如，工业控制系统100包括安全的凭证源(例如，工厂156)以及安全的凭证实现者(例如，密钥管理实体158)。工厂156被配置为生成唯一的安全凭证(例如，密钥、证书等，诸如唯一的标识符136和/或安全凭证138)。密钥管理实体158被配置为向I/O模块102、控制模块104、电源116、电源118和/或电源120(例如，包括多个电池模块122和/或控制器128中的一个或多个)供应由工厂156生成的唯一的安全凭证。例如，I/O模块102和相关联的电源120可以均被供应有唯一的安全凭证。
[0069]然后，基于唯一的安全凭证来执行用于对在工业控制系统100中实现的控制元件或子系统认证的认证过程。例如，在实施例中，控制模块104和电源120是可操作以基于唯一的安全凭证(例如，基于上述认证过程)来彼此双向通信的。此外，在本文所公开的安全的工业控制系统100中，工业控制系统100的多个(例如，每个)控制元件和子系统(例如，I/0模块、电源、物理互连设备等等)被提供有用于提供工业控制系统100的多个(例如，全部)级别的安全的安全凭证。另外，上述元件可以在制造期间(例如，诞生时)就被提供有唯一的安全凭证(例如，密钥、证书等)，并且可以从诞生起就由工业控制系统100的密钥管理实体进行管理，以提升工业控制系统100的安全。
[0070]在一些实施例中，使用连接到或包含于物理互连设备(例如，单线加密芯片)中的控制器来连接控制元件或子系统，这允许实现部件(例如，电源120)和连接到该部件的物理互连设备(例如，电缆组件)之间的认证。例如，微处理器安全加密技术可以被内置到电缆组件中，并被键入(keyed)工业控制系统100的特定部件。这一配置在用户将电缆组件安装(例如，插入)到部件(其未被配置为与该电缆组件连接)中时，为工业控制系统100提供了安全。在实施例中，在一个或多个(例如每一个)物理互连设备中实现单线串行密钥(例如，单线嵌入式密钥)。
[0071]在本公开内容的实施例中，在工业控制系统100的元件和/或物理互连设备(例如，电缆组件)之间的通信包括认证过程。可以执行该认证过程以对工业控制系统100中的元件和/或物理互连设备进行认证。在实施方式中，认证过程可以利用与该元件和/或物理互连设备相关联的安全凭证来对该元件和/或物理互连设备进行认证。例如，安全凭证可以包括加密密钥、证书(例如，公共密钥证书、数字证书、标识证书，安全证书、非对称证书、标准证书、非标准证书)和/或标识号。在实施例中，包含于工业控制系统100的部件和/或物理互连设备中的和/或连接到工业控制系统100的部件和/或物理互连设备的控制器(例如，安全微控制器)可以被配置用于执行该认证过程。
[0072]在实施方式中，工业控制系统100的多个控制元件或子系统(例如，元件和/或物理互连设备)被提供有它们自己的唯一安全凭证。例如，在工业控制系统100的每个元件被制造时，该元件都被提供有其自己的唯一的证书、加密密钥和/或标识号的集合(例如，各自的密钥和证书的集合是在元件诞生时就规定了的)。该证书、加密密钥和/或标识号的集合被配置用于提供/支持强加密。可以利用标准的(例如，商业上现有的(COTS))加密算法(例如国家安全局(NSA)算法、美国国家标准与技术研究所(NIST)算法等等)来实现加密密钥。
[0073]在一些实施例中，可以将密码密钥和证书存储在片上存储器(0CM)中，例如，认证模块的SRAM中。此外，敏感任务(例如，具有机密信息以及有时甚至具有公共信息的任务)可以具有在O CM中执行的栈。例如，可以在来自本地存储在O CM中的栈的内核空间或应用空间中执行加密任务。
[0074]基于认证过程的结果，可以激活被认证的元件，在工业控制系统100内启用或禁用该元件的部分功能，在工业控制系统100内启用该元件的完整功能，和/或可以完全禁用该元件在工业控制系统100内的功能(例如，没有在该元件和工业控制系统100的其它元件之间促进通信)。
[0075]在实施例中，与工业控制系统100的元件相关联的密钥、证书和/或标识号可以指定该元件的原始设备制造商(OEM)。如本文所使用的，术语“原始设备制造商”或“OEM”可以被规定为物理地制造设备(例如，元件)的实体和/或设备的供应商(例如，从物理制造商购买设备并销售设备的实体)。因此，在实施例中，可以由既是设备的物理制造商又是供应商的OEM来制造和分销(销售)设备。然而，在其它实施例中，可以由是供应商但不是物理制造商的OEM来分销设备。在这样的实施例中，OEM可以使得由物理制造商来制造该设备(例如，OEM可以从物理制造商对该设备进行购买、协议、订购等等)。
[0076]此外，在OEM包括并非设备的物理制造商的供应商的情况下，该设备可以带有供应商的商标而不是物理制造商的商标。例如，在元件(例如，电源120)与特定的OEM(其是供应商但不是物理制造商)相关联的实施例中，该元件的密钥、证书和/或标识号可以指定其来源。在对工业控制系统100的元件的认证期间，当确定被认证的元件是由与工业控制系统100的一个或多个其它元件的OEM不同的实体制造或提供的时，则在工业控制系统100内至少部分地禁用该元件的功能。例如，可以对在该元件与工业控制系统100的其它元件之间的通信(例如，数据传送)施加限制，使得该元件不能在工业控制系统100内工作/起作用。当工业控制系统100的多个元件中的一个元件请求替换时，该特征可以防止工业控制系统100的用户不知情地以非同源的元件(例如，相比工业控制系统100的其余元件具有不同来源(不同OEM)的元件)来替换该元件，并在工业控制系统100内实施上述元件。以这种方式，本文所描述的技术可以防止将其它OEM的元件替换进入安全的工业控制系统100。在一个例子中，由于替换的元件不能在原始OEM的系统内认证和操作，因此可以防止提供类似功能的元件取代由原始OEM提供的元件的一种替换。在另一个例子中，原始OEM可以向第一分销商提供具有第一物理和加密标签集合的元件，并且可以将第一分销商的元件安装在工业控制系统100中。在该例子中，相同的原始OEM可以向第二分销商提供具有第二(例如，不同的)物理和加密标签集合的元件。在该例子中，可以防止第二分销商的元件在工业控制系统100内操作，这是由于它们不能以第一分销商的元件来进行认证和操作。然而，还应该注意的是，第一分销商和第二分销商可以达成双方协议，其中第一元件和第二元件可以被配置为在相同的工业控制系统100内认证和操作。此外，在一些实施例中，分销商之间用于允许互操作的协议也可以被实现，从而该协议只应用于特定客户、客户群组、设施等等。
[0077]在另一实例中，用户可以尝试实现工业控制系统100内的错误指定的(例如，错误标示的)元件。例如，错误标示的元件具有在其上标示的物理标记，该物理标记错误地指示该元件与同工业控制系统100的其它元件的OEM相同的OEM相关联。在这样的实例中，由工业控制系统100实现的认证过程可以使得用户被警告该元件是伪造的。由于伪造的元件经常是恶意软件可以通过其被引入工业控制系统100中的运载工具，所以该过程还可以提升工业控制系统100的改进的安全性。在多个实施例中，认证过程为工业控制系统100提供了安全气隙，确保安全的工业控制系统在物理上与不安全的网络隔离开。
[0078]密钥管理实体158可以被配置用于管理密码系统中的密码密钥(例如，加密密钥)。这种对密码密钥的管理(例如，密钥管理)可以包括密钥的生成、交换、存储、使用和/或更换。例如，密钥管理实体158被配置为用作安全凭证来源，其针对工业控制系统100的元件来生成唯一的安全凭证(例如，公共安全凭证、秘密安全凭证)。密钥管理与用户和/或系统级别的密钥(例如，用户之间或者系统之间)有关。
[0079]在多个实施例中，密钥管理实体158包括诸如位于安全设施中的实体之类的安全实体。密钥管理实体158可以相对于I/O模块102、控制模块104和网络110来远程放置。例如，防火墙160可以将密钥管理实体158与控制元件或者子系统和网络110(例如，公司网络)分开。在多个实现方式中，防火墙160可以是基于软件或者硬件的网络安全系统，其通过基于规则集分析数据分组并且确定数据分组是否应当被允许通过，来控制输入和输出的网络业务。因此，防火墙160在受信任的安全内部网络(例如，网络110)与不认为是安全且受信任的另一网络162(例如，云和/或互联网)之间建立屏障。在多个实施例中，防火墙160允许密钥管理实体158与控制元件或者子系统和/或网络110中的一个或多个之间的选择性(例如，安全)通信。在多个例子中，一个或多个防火墙可以在工业控制系统100内的各个位置处实现。例如，防火墙可以集成在网络110的交换机和/或工作站中。
[0080]如所描述的，安全的工业控制系统100可以进一步包括一个或多个制造实体(例如，工厂156)。工厂156可以与工业控制系统100的元件的原始设备制造商(OEM)相关联。密钥管理实体158可以经由网络(例如，云)与制造实体通信地耦合。在多个实现方式中，当工业控制系统100的元件在一个或多个工厂156处被制造时，密钥管理实体158可以与这些元件通信地耦合(例如，可以具有到这些元件的加密通信管道)。密钥管理实体158可以在制造时使用通信管道来向这些元件提供安全凭证(例如，将密钥、证书和/或标识号插入这些元件中)。
[0081 ]此外，当这些元件被置于使用(例如，激活)时，密钥管理实体158可以(例如，经由加密通信管道)通信地耦合到全世界的各个单独元件，并且可以对具体代码的使用、撤销(例如，移除)、任何特定代码的使用进行确认并且签名和/或启用任何特定代码的使用。因此，密钥管理实体158可以与元件被最初制造(例如，产生)的工厂处的每个元件进行通信，使得该元件生来具有管理密钥。包括用于工业控制系统100中的每个元件的所有加密密钥、证书和/或标识号的主数据库和/或表格可以由密钥管理实体158来维护。密钥管理实体158通过其与元件的通信而被配置用于撤销密钥，从而提升认证机制防部件被盗以及重复使用的能力。
[0082]在多个实现方式中，密钥管理实体158可以经由另一网络(例如，云和/或互联网)和防火墙与控制元件和子系统和/或网络110中的一个或多个通信地耦合。例如，在多个实施例中，密钥管理实体158可以是集中式系统或者分布式系统。此外，在多个实施例中，密钥管理实体158可以本地或者远程地管理。在一些实现方式中，密钥管理实体158可以位于网络110和/或控制元件或者子系统内(例如，集成在其内)。密钥管理实体158可以提供管理和/或可以以各种方式进行管理。例如，密钥管理实体158可以通过以下方式来实现/管理:通过中央位置处的客户、通过各个工厂位置处的客户、通过外部第三方管理公司和/或通过工业控制系统100的不同层处以及取决于层的不同位置处的客户。
[0083]可以通过认证过程来提供变化的安全级别(例如，可缩放的、用户配置的安全量)。例如，可以提供基本的安全级别，其对元件进行认证并且保护元件内的代码。还可以增加其它安全层。例如，安全性可以被实现为这样的程度，即诸如电源120之类的部件在没有发生正确的认证的情况下无法加电。在多个实现方式中，在元件中实现代码的加密，在元件上实现安全凭证(例如，密钥和证书)。安全性可以分布在(例如，贯通)整个工业控制系统100中。例如，安全性可以贯通工业控制系统100—直到终端用户，在该实例中，终端用户知道模块被设计为控制的对象。在多个实施例中，认证过程提供对设备的加密、识别，以用于系统硬件或者软件部件的安全通信和认证(例如，经由数字签名)。
[0084]在多个实现方式中，认证过程可以被实现为提供和/或启用由不同制造商/销售商/供应商(例如，OEM)制造和/或提供的元件的安全工业控制系统100内的互操作性。例如，可以启用由不同制造商/销售商/供应商制造和/或提供的元件之间的选择性的(例如，一些)互操作性。在多个实施例中，在认证期间实现的唯一的安全凭证(例如，密钥)可以形成分级结构，从而允许由工业控制系统100的不同元件执行不同的功能。
[0085]连接工业控制系统100的部件的通信链路可以进一步使用数据分组，例如，放置(例如注入和/或填充)在其中的短分组(runt packet)(例如，小于六十四(64)字节的分组)，从而提供增加的安全级别。短分组的使用增加了可以将外部信息(例如，诸如错误消息、恶意软件(病毒)、数据挖掘应用等的恶意内容)注入到通信链路上的困难级别。例如，短分组可以被注入到在控制模块104与电源120之间发送的数据分组之间的间隙内的通信链路上，以阻碍外部实体将恶意内容注入到通信链路上的能力。
[0086]在本公开内容的多个实施例中，为了发起认证顺序，第一认证模块(例如，包括在电源120、电源120的控制器128、电源120的电池模块122、诸如I /0设备102、控制模块104等的控制元件或者子系统中)被配置为向第二认证模块(例如，包括在电源120、电源120的控制器128、电源120的电池模块122、诸如I /0设备102、控制模块104等的控制元件或者子系统中)发送请求数据报。在多个实现方式中，请求数据报包括第一明文随机数(随机数NonceA)、包含第一设备认证密钥(DAKA)的第一设备认证密钥证书(CertDAKA)以及第一标识属性证书(IACA)。在一些实施例中，第一认证模块被配置为利用真实随机数生成器(以下称为“TRNG”)来生成第一随机数(随机数A)，并且对第一随机数(随机数A)、第一设备认证密钥证书(CertDAKA)以及第一标识属性证书(IACA)进行连结或者以其它方式进行组合，以生成请求数据报。在一些实施例中，第一设备认证密钥证书(CertDAKA)和第一标识属性证书(IACA)由第一认证模块本地存储。例如，证书可以被存储在第一认证模块的本地存储器(例如，ROM、RAM、闪存或者其它非暂时性存储介质)中。
[0087]第二认证模块被配置为通过利用由设备生命周期管理系统(DLM)或者导出的使用密码库函数生成的公共密钥对第一设备认证密钥证书(CertDAKA)以及第一标识属性证书(IACA)进行验证，来证实请求数据报的有效性。在这点上，公共密钥可以被存储在认证模块的SRAM或者另一本地存储器中，并且与密码库函数一起使用以对交换的数据(例如，在认证模块之间交换的随机数)进行验证或者密码签名。在一些实施例中，第二认证模块可以利用椭圆曲线数字签名算法(以下称为“ECDSA”)或者其它验证操作对证书进行验证。在一些实施例中，第二认证模块可以进一步被配置为通过对以下各项进行验证来证实来自明文值的证书值的有效性:证书类型是针对每个证书的设备认证密钥(以下称为“DAK”)或者标识属性证书(以下称为“IAC" ); IAC名称匹配、DAK证书模块类型匹配模块类型论证;和/或消息有效载荷中的每个证书的微处理器序列号(以下称为“MPSN”)彼此匹配。在一些实施例中，第二认证模块可以进一步被配置为验证DAK和IAC证书不在本地撤销列表(例如，包括撤销的和/或无效的证书的列表或者数据库)中。当第二认证模块未能验证请求数据报的有效性时，第二认证模块可以生成错误消息，部分地或者全部地禁用第一认证模块和/或停止或者限制去往/来自第一认证模块的通信。
[0088]响应于有效请求数据报，第二认证模块被配置为向第一认证模块发送响应数据报。在实现方式中，响应数据报包括第二明文随机数(nonce) (NonceB)、与第一和第二随机数相关联的第一签名(SigB[N0nceA| INonceB])、包含第二设备认证密钥(DAKB)的第二设备认证密钥证书(certDAKB)和第二标识属性证书(IACB)。在一些实施例中，第二认证模块被配置为利用TRNG生成第二随机数(NonceB)，连结或者以其它方式组合该第一随机数(NonceA)和第二随机数(NonceB)，并且利用由第二认证模块本地存储的私有密钥(例如DAK)来对该连结/组合后的随机数进行签名。第二认证模块还被配置为连结或者以其它方式组合第二随机数(NonceB)、与第一和第二随机数相关联的第一签名(SigB[N0nceA INonceB])、第二设备认证密钥证书(certDAKB)和第二标识属性证书(IACB)以生成响应数据报。在一些实施例中，第二设备认证密钥证书(CertDAKB)和第二标识属性证书(IACB)是由第二认证模块本地存储的。例如，证书可以被存储在第二认证模块的本地存储器(例如，ROM,RAM,闪存或其它非暂时性存储介质)中。
[0089]第一认证模块被配置为:通过使用ECDSA或其它验证操作来利用公共密钥验证第二设备认证密钥证书(CertDAKB)和第二标识属性证书(IACB)，来证实响应数据报的有效性，该公共密钥是被本地存储的或是从密码库(crypto library)中检索得到的。在一些实施例中，第一认证模块还可以被配置为通过验证以下项目来证实来自明文值的证书值的有效性:1AC&DAK证书具有匹配的MPSN、IAC名匹配、关于两个证书(IAC&DAK)的证书类型正确、在两个证书上有正确的发布者名、DAK模块类型是正确的类型(例如，通信/控制模块)。在一些实施方式中，第一认证模块还可以被配置为验证DAK和IAC证书不位于本地撤销列表中。
[0090]为了证实响应数据报的有效性，第一认证模块还被配置为验证与第一和第二随机数相关联的第一签名(sigB[NonceA I | NonceB])。在一些实施例中，第一认证模块被配置为:通过连结第一本地存储的随机数(NonceA)和从第二认证模块接收的第二明文随机数(NonceB)、利用公共设备认证密钥(例如，使用来自certDAKB的DAKB)验证第一密码签名(sigB[NonceA | | NonceB])、以及比较本地生成的第一随机数和第二随机数的连结与经密码式验证的第一随机数和第二随机数的连结，来验证第一签名(sigB[NonceA | | NonceB])。当第一认证模块无法证实响应数据报的有效性时，第一认证模块可以生成错误消息，部分或完全地禁用第二认证模块，和/或停止或限制去往/来自第二认证模块的通信。
[0091]第一认证模块还被配置为当响应数据报有效时，向第二认证模块发送认证数据报。在实现方式中，认证数据报包括与第一和第二随机数相关联的第二签名(sigA[N0nceA|
NonceB])。在一些实施例中，第一认证模块被配置为利用由第一认证模块本地存储的私有密钥(例如DAK)来对本地生成的第一与第二随机数的连结进行签名。当响应数据报无效时，认证数据报可以被“失败的”认证数据报替换，该“失败的”认证数据报包括与第二随机数相关联的签名和由第一认证模块生成的错误报告(例如，“失败”)消息(SigA[NonCeB|Error])0
[0092]响应于认证数据报，第二认证模块还可以被配置为向第一认证模块发送响应认证数据报。在实现方式中，响应认证数据报包括与第一随机数相关联的签名和由第二认证模块生成的错误报告(例如，“成功”或“失败”)消息(sigB[NonceA| Error])。在一些实施例中，第二认证模块被配置为通过验证与第一和第二随机数相关联的第二签名(sigA[NonceA
I NonceB])来证实认证数据报的有效性。在一些实施例中，第二认证模块被配置为:通过连结从第一认证模块接收的第一明文随机数(NonceA)和第二本地存储的随机数(NonceB)、利用公共设备认证密钥(例如使用来自certDAKA的DAKA)验证第二密码签名(sigA[NonCeA INonceB])、以及比较本地生成的第一随机数和第二随机数的连结与经密码式认证的第一随机数和第二随机数的连结，来验证第二签名(sigA[NonceA | | NonceB])。除了错误报告消息外，当第二认证模块无法证实认证数据报的有效性时，第二认证模块可以部分或完全地禁用第一认证模块，和/或停止或限制去往/来自第一认证模块的通信。
[0093]在根据“主-从”配置对采用认证模块的设备进行布置的实现方式中，主设备(例如，第一认证模块)可以被配置为认证每个从设备。在失败的认证的事件中，主设备可以至少部分地禁用或限制去往/来自未经认证的从设备的通信。替代地，在没有主设备情况下的并行工作的两个或更多个从模块可以彼此认证，其中，失败的认证导致两个设备都被部分或完全地禁用。例如，假如两个或更多个冗余电源120在启动或其它预先设定的时间/事件时无法成功地完成认证序列，则它们可以被禁用。
[0094]现在参照图7和图8，每个电源120或任何其它工业元件/控制器206可以至少部分地根据来自动作发起者202的请求/命令进行工作。在实现方式中，动作发起者202是操作者接口 208(例如，SCADA和/或HMI)、包括编辑器212和编译器214的工程接口 210、本地应用220、远程应用216(例如，经由本地应用220通过网络218进行通信)等等。在图7和图8中示出的认证路径200中，工业元件/控制器206(例如，电源120)仅当动作请求已由动作认证器204签名和/或加密时才处理动作请求(例如，对数据、控制命令、固件/软件更新、设定点控制、应用图像下载等的请求)。这防止了来自有效用户简档的未授权的动作请求，并且还保护系统免受来自无效(例如，非法闯入(hacked))简档的未授权动作请求的危害。
[0095]在本公开内容的实施方式中，动作认证器204可以是与动作发起者202同处现场(例如，直接连接的设备生命周期管理系统(DLM)222或安全的工作站226)，或被远程放置(例如，经由网络218连接的DLM 222)。总体来说，动作认证器204包括其上存储有私有密钥的存储介质和被配置为利用私有密钥对由动作发起者202生成的动作请求进行签名和/或加密的处理器。私有密钥被存储在无法经由标准操作者登陆进行访问的存储器中。例如，安全的工作站226可以需要物理密钥、便携式加密设备(例如，智能卡、RFID标签等)和/或生物识别输入才能访问。
[0096]在一些实施例中，动作认证器204包括便携式加密设备，诸如智能卡224(其可包括安全的微处理器)。在这种方式中，整个设备(包括私有存储的密钥和与之通信的处理器)可以由对动作发起者202的接口具有授权访问的操作者或用户携带。无论动作认证节点204是经由安全的工作站还是不安全的工作站来访问认证路径200，来自动作发起者202的动作请求可以在便携式加密设备的架构内被安全地签名和/或加密(例如，与使用潜在的保护力度较小的工作站或基于云的架构相对)。举例而言，未授权个人在能够认证经由动作发起者202发出的任何动作请求之前将必须物理地获取智能卡224。
[0097]在一些实施例中，可以采用多层安全性。例如，动作认证器204可以包括安全的工作站226，该安全的工作站226可以是仅可经由智能卡224访问才可访问以对动作请求进行签名和/或加密。此外，安全的工作站226可以是可经由生物计量的或多因素密码系统设备228(例如，指纹扫描仪、虹膜扫描仪、面部识别设备等中的一个或多个)才能访问的。在一些实施例中，多因素密码系统设备228可以在激活智能卡224或其它便携式加密设备来对动作请求进行签名之前要求有效的生物计量输入。
[0098]由动作发起者202驱动的电源120或任何其它工业元件/控制器206被配置为接收经签名的动作请求，验证经签名的动作请求的可靠性，并且当经签名的动作请求的可靠性得到验证时执行所请求的动作。在一些实施例中，工业元件/控制器206(例如，电源120)包括被配置为存储动作请求(例如，应用图像、控制命令和/或由动作发起者发送的任何其它数据)的存储介质(例如，SD/微SD卡、HDD、SSD或任何其它非暂时性存储设备)(例如，电源120的存储器142)。工业元件/控制器206还包括在签名得到验证之后进行/执行动作请求(即，执行所请求的动作)的处理器(例如，电源120的处理器140)。在一些实施例中，动作请求由动作发起者202和/或动作认证器204加密，并且还必须在能够执行所请求的动作之前由处理器140解密。在实现方式中，工业元件/控制器206包括虚拟键开关234(例如，在处理器140上运行的软件模块)，该虚拟键开关234仅在动作请求签名得到验证之后和/或动作请求被解密之后才使得处理器140能够执行所请求的动作。在一些实施例中，每个和每一动作或关键动作的每一个选择必须在工业元件/控制器206上运行之前通过认证路径。
[0099]图9示出了根据示例性实施例的用于在工业控制系统中认证动作请求的过程300。在实施方式中，过程300可以由(例如，参照图1至图6所描述的)工业控制系统100和/或工业控制系统100的(例如，参照图7和图8所描述的)认证路径200所表现。发起动作请求(方框310)。例如，将操作者/工程接口 208/210和/或远程/本地应用接口 216/220用于生成动作请求。然后，利用动作认证器对动作请求进行签名(方框320)。例如，动作认证器204被用于对动作请求进行签名。在一些实施例中，可以利用动作认证器对动作请求进行加密(方框322)。然后，将已签名的动作请求发送(例如，下载)给工业元件/控制器(方框330)。例如，将动作请求提供给工业元件/控制器206(例如，提供给电源120)。然后，验证已签名的动作请求的可靠性(方框340)。在一些实施例中，可以利用工业元件/控制器来对动作请求进行解密(方框342)。例如，工业元件/控制器206可以对动作请求进行解密。然后，当验证了已签名的动作请求的可靠性时，可以执行所请求的动作(方框350) ο例如，电源120执行由操作者/工程接口 208、210和/或远程/本地应用接口 216、220所请求的动作。
[0100]为了增强的安全性，工业元件/控制器206(例如，电源120)可以进一步配置为在由工业元件/控制器206执行所请求的动作之前，利用动作认证器204(例如，利用智能卡224)来执行认证序列。例如，在方框350之前，或者甚至在方框330之前，可以执行所谓的“握手”。在一些实施例中，可以使用更复杂的认证序列来执行签名和验证方框320和340。此外，在一些实施例中，认证序列可以被执行作为附加的安全措施，以增强较简单的签名验证和/或解密措施。
[0101]在一些实施例中，工业元件/控制器206所实施的认证序列可以包括向动作认证器204发送请求数据报，例如，其中，请求数据报包括第一密码随机数(nonce)、第一设备认证密钥证书(例如，包含设备认证密钥的第一认证证书)以及第一标识属性证书。然后，从动作认证器204接收响应数据报，例如，其中，响应数据报包括第二随机数、与第一和第二随机数关联的第一签名、第二设备认证密钥证书(例如，包含设备认证密钥的第二认证证书)以及第二标识属性证书。然后，通过验证与第一和第二随机数关联的第一签名、第二设备认证密钥证书以及第二标识属性证书来证实响应数据报的有效性。然后，(例如，当响应数据报被确定为有效时)可以将认证数据报发送给动作认证器204，其中，认证数据报包括与第一和第二随机数关联的第二签名。
[0102]可选地，动作认证器204可以发起握手，在这种情况下，工业元件/控制器206所实施的认证序列可以包括从动作认证器204接收请求数据报，例如，其中，请求数据报包括第一随机数、第一设备认证密钥证书以及第一标识属性证书。然后，可以通过验证第一设备认证密钥证书以及第一标识属性证书来证实请求数据报的有效性。然后，当请求数据报为有效时，可以将响应数据报发送给动作验证器，例如，其中，响应数据报包括第二随机数、与第一和第二随机数关联的第一签名、第二设备认证密钥证书以及第二标识属性证书。然后，可以接收来自动作认证器204的认证数据报，例如，其中，认证数据报包括与第一和第二随机数关联的第二签名。然后，可以例如通过验证与第一和第二随机数关联的第二签名来证实认证数据报的有效性。
[0103]可以使用以上(例如，参照认证模块所执行的认证)描述的技术中的一项或多项来完成能够由工业元件/控制器206和动作认证器204所实施的握手或认证序列。此外，动作发起者202、动作认证器204以及工业元件/控制器206中的每一个可以包括能够执行本文所述功能或操作(例如，方法300和认证序列的步骤)的电路和/或逻辑。例如，动作发起者202、动作认证器204以及工业元件/控制器206中的每一个可以包括一个或多个处理器，所述一个或多个处理器运行由非暂时性机器可读介质永久地、半永久地或临时地存储的程序指令，非暂时性机器可读介质例如但并不必限于:硬盘驱动器(HDD)、固态盘(SDD)、光盘、磁存储设备、闪存驱动器或者SD/微SD卡。
[0104]—般地，可以使用硬件(例如，诸如集成电路的固定逻辑电路)、软件、固件、人工处理或其组合来实施本文所描述功能中的任意功能。因此，以上公开内容中讨论的方框一般性地表示硬件(例如，诸如集成电路的固定逻辑电路)、软件、固件或其组合。在硬件配置的例子中，以上公开内容中讨论的各个方框可以与其它功能一起实施为集成电路。该集成电路可以包括给定方框、系统或电路的全部功能，或者该方框、系统或电路的部分功能。此外，方框、系统或电路的各单元可以实施在多个集成电路上。该集成电路可以包括各种集成电路，包括但不必限于:单片集成电路、倒装芯片集成电路、多片模块集成电路和/或混合信号集成电路。在软件实施的例子中，以上公开内容中讨论的各个方框表示可运行指令(例如，程序代码)，当被处理器运行时，所述可运行指令执行指定的任务。这些可运行指令可以存储在一个或多个有形计算机可读介质内。在一些这种例子中，整个系统、方框或电路是可以使用其软件或固件等效物来实施的。在其它例子中，给定系统、方框或电路的一部分可以用软件或固件来实施，而其它部分可以用硬件来实施。
[0105]
[0106]尽管已经使用特定于结构特征和/或过程操作的语言来描述了主题，但是应当理解，所附权利要求中限定的主题并不必限制于以上描述的具体的特征或操作。相反地，以上描述的具体的特征或操作是被公开作为实施权利要求的示例性形式的。
【主权项】
1.一种电源，包括: 电池模块，其包括电池单元和被配置为监控所述电池单元的电池监控器；以及 自托管的服务器，其操作地与所述电池模块耦合，所述自托管的服务器被配置为从所述电池监控器接收诊断信息并且提供对所述诊断信息的网络存取。2.根据权利要求1所述的电源，其中，所述电池单元包括锂离子电池单元。3.根据权利要求1所述的电源，其中，所述电源包括多个电池模块，其中，所述多个电池模块中的每个电池模块被配置为通过堆叠与所述多个电池模块中的另一个电池模块相连接。4.根据权利要求3所述的电源，其中，所述多个电池模块中的每一个电池模块是通过分别的电池模块保护层来包封的。5.根据权利要求4所述的电源，其中，所述多个电池模块是通过电池组保护层来包封的。6.根据权利要求5所述的电源，还包括:电源保护层，其包封所述多个电池模块和所述自托管的服务器，所述电源保护层限定坚硬的包装，所述坚硬的包装在一个或多个方向上是可安装的。7.根据权利要求1所述的电源，其中，所述诊断信息包括下列各项中的至少一项:所述电池单元的工作电压、所述电池单元的工作电流、与所述电池单元相关联的电荷或者与所述电池单元相关联的寿命。8.—种电源网络，包括: 多个分布式电源，所述多个分布式电源与彼此相通信，每个电源包括: 电池模块，其包括电池单元和被配置为监控所述电池单元的电池监控器；以及 自托管的服务器，其操作地与所述电池模块耦合，所述自托管的服务器被配置为从所述电池监控器接收诊断信息并且提供对所述诊断信息的网络存取。9.根据权利要求8所述的电源网络，其中，所述电池单元包括锂离子电池单元。10.根据权利要求8所述的电源网络，其中，每个电源包括多个电池模块，其中，所述多个电池模块中的每个电池模块被配置为通过堆叠与所述多个电池模块中的另一个电池模块相连接。11.根据权利要求1O所述的电源网络，其中，所述多个电池模块中的每一个电池模块是通过分别的电池模块保护层来包封的。12.根据权利要求11所述的电源网络，其中，所述多个电池模块是通过电池组保护层来包封的。13.根据权利要求12所述的电源网络，其中，每个电源还包括电源保护层，所述电源保护层包封所述多个电池模块和所述自托管的服务器，所述电源保护层限定坚硬的包装，所述坚硬的包装在一个或多个方向上是可安装的。14.根据权利要求8所述的电源网络，其中，所述诊断信息包括下列各项中的至少一项:所述电池单元的工作电压、所述电池单元的工作电流、与所述电池单元相关联的电荷或者与所述电池单元相关联的寿命。15.—种工业控制系统，包括: 控制模块； 输入/输出模块，其被所述控制模块控制和监控，所述输入/输出模块被配置为从传感器接收输入信号或者为致动器或电机提供输出信号； 电力模块，用于向所述控制模块和所述输入/输出模块中的至少一个模块提供电力；以及 电源，用于向所述电力模块分配电力，所述电源包括: 电池模块，其包括电池单元和被配置为监控所述电池单元的电池监控器；以及自托管的服务器，其操作地与所述电池模块耦合，所述自托管的服务器被配置为从所述电池监控器接收诊断信息并且提供对所述诊断信息的网络存取。16.根据权利要求15所述的工业控制系统，其中，所述电池单元包括锂离子电池单元。17.根据权利要求15所述的工业控制系统，其中，所述电源包括多个电池模块，其中，所述多个电池模块中的每个电池模块被配置为通过堆叠与所述多个电池模块中的另一个电池模块相连接。18.根据权利要求17所述的工业控制系统，其中，所述多个电池模块中的每一个电池模块是通过分别的电池模块保护层来包封的。19.根据权利要求18所述的工业控制系统，其中，所述多个电池模块是通过电池组保护层来包封的。20.根据权利要求19所述的工业控制系统，还包括:电源保护层，其包封所述多个电池模块和所述自托管的服务器，所述电源保护层限定坚硬的包装，所述坚硬的包装在一个或多个方向上是可安装的。21.根据权利要求15所述的工业控制系统，其中，所述诊断信息包括下列各项中的至少一项:所述电池单元的工作电压、所述电池单元的工作电流、与所述电池单元相关联的电荷或者与所述电池单元相关联的寿命。
【文档编号】G05B19/418GK106054824SQ201610229230
【公开日】2016年10月26日
【申请日】2016年4月13日 公开号201610229230.4, CN 106054824 A, CN 106054824A, CN 201610229230, CN-A-106054824, CN106054824 A, CN106054824A, CN201610229230, CN201610229230.4
【发明人】A·鲁亚科斯, J·G·加尔文
【申请人】基岩自动化平台公司