用于工业自动化的可升级和灵活的信息安全的制作方法

专利名称：用于工业自动化的可升级和灵活的信息安全的制作方法
技术领域：
本发明一般涉及工业系统自动化，尤其涉及在工业系统内与厂区设备相关的安全。
背景技术：
科技上的进步已经允许许多工厂环境在许多情况下变得部分或完全自动化，这样提高了在质量和效率方面的输出。例如，曾经需要工人在离重型机和其他各种危险环境很近工作的应用现在可在离这样的危险安全距离下完成。此外，与人类活动相关的不理想已经通过高精密机器的使用而最小化。这些工厂设备中的许多设备提供与生产相关的数据至数据库，该数据库可由系统/流程/项目经理在厂区上访问。例如，传感器可监测一特定机器多次，该机器已在设定的时间内完成操作。此外，传感器可发送数据至与系统警报相关的处理单元。如此，工厂自动化系统可检查收集的数据以及设备的自动化和/或半自动化方案维护、设备的替换、和其他与自动化工业操作相关的各种程序。
从工业控制器收集的数据此后可被与工厂相关的高级系统使用。例如，企业资源计划(ERP)系统可使用从工业控制器获得的数据以参与全面生产方案、提供链协调等等。ERP系统是整合和自动化与商业/公司的操作或生产方面相关的许多商业惯例的管理信息系统。通常，ERP系统是交叉功能的并且在整个企业内存在，如此可使涉及操作或生产的功能部门被整合成为一单一系统。
ERP系统是和实质安全机制相关的，如通常需要一大笔钱和工时以实现ERP系统，并且公司希望保护这个投资。例如，ERP系统使用防火墙以保护系统不受外部资源的攻击，并且防止内部用户在ERP系统环境外操作内部机器。特别地，内部用户不能操作系统以使工作站在这样的系统以外操作。这样严格的安全策略对于在厂区的设备是不理想的。厂区安全系统主要是用来保护以防止意外的、内部安全破化。例如，如果用户意外地更改了药物产品的处方，将是损失惨重的。传统的厂区安全系统使用全局安全措施以防止安全破坏。尤其，如果维护问题产生或处方被更改，传统的安全系统需要整个厂区关闭或在没有安全系统的保护下继续操作。相应地，这些厂区安全系统导致生产的无效率和/或不稳定的操作环境。
根据至少以上的观点，在本领域存在对于改进的安全系统的需要以在厂区设备使用。
发明概要以下表现了本发明简要的概述以提供本发明某些方面基本的理解。该概述不是本发明广泛地总的看法。该概述既不是标识本发明的主要或关键元素，也不是描述本发明的范围。它唯一的目的是以简化的方式表现本发明的某些概念作为对在后表现的更多详细的描述的前序。
本发明提供促进在厂区实现分区安全的系统和/或方法。例如，在厂区根据单一设备、过程单元、单元等修改安全规定是经常希望的。如以上所描述的，传统的厂区安全系统是不灵活的，并且需要整个厂区或厂区的大部分服从安全修改。如此，例如，即使只有一单个子过程需要被下线和调试，整个厂区需要被下线以促进这样的调试，因此破化性能和生产量以及其他设备/过程的安全。本发明允许区域被定义/确定，其中安全可相对于该区域被不同地实现和修改而不需要整个厂区服从安全修改。这样，本发明使厂区的应用更加有效及更加安全。
按照本发明的一个方面，安全系统可接收请求以相对于厂区的一部分修改当前安全(举例来说，一特定设备、单元、过程单元等)。此后，包括厂区该部分的区域可被确定。例如，区域可在厂区表示内被预先定义，并且如此区域可在厂区表示内根据厂区相应部分的选择自动地确定。此外，区域可基于在厂区采取的设备和/或操作的认识动态地确定。例如，禁止一设备的警报必然导致一警报在一独立设备内触发，如此，关闭两个警报是理想的。相应地，正如组件知道厂区和它的配置，区域可基于如愿修改的设备、过程单元、范围、单元、地点、操作、阶段等动态地确定。
本发明的区域安全系统可结合产生和实现区域安全程序使用结构化的数据模型。尤其，传统的工作控制器仅仅控制传感器和制动器的状态，并且需要中间设备把数据转换至可被高级系统(举例来说，ERP系统和/或MES系统)分析的结构化模型。然而，本发明准备使用可被厂区工业控制器和高级系统都识别的结构化数据模型。此外，该数据模型可结合产生厂区表示使用。相应地，数据可在不需要使用中间设备的情况下，与工业控制器和高级系统直接通信。此外，区域安全程序可通过这些结构化数据模型实现。例如，SP95和S88是两个根据本发明可被使用为结构化数据模型的标准。然而，任何合适的结构化数据模型可结合本发明被使用并且落在所附的权力要求书的范围内。
根据本发明的另一方面，各种认证技术可被使用以针对安全破坏提供厂区设备安全。例如，传统的用户姓名和密码可被使用以识别操作者和确保这样的操作者有实现所需的安全修改的权力。此外，前后关系的数据可被分析以确定是否安全修改是可接受的。例如，一特定操作者仅仅在特定时间和/或车间位置可有权修改安全。此外，当前厂区活动可被分析以确定是否安全修改可被做出。在另一例子中，设备可在实现与之相关的修改的安全程序之前被验证。尤其，如果安全修改被发送到一不正确的设备，后果可能是严重的。相应地，设备验证的各种级别，诸如密钥可从简单到复杂的数字签名和证书，可结合本发明使用。
为了以上描述的和相关目标的完成，接着，本发明包括在此以后详细描述的并且尤其在权力要求书中提出的特性。以下详细提出的描述和


了本发明的各个方面。然而，这些方面仅仅表示了，使用本发明原理的少量方法并且本发明要包括所有这样的方面和它们的等同。当结合附图考虑本发明下面的详细说明时，本发明的其他目标、优势以及新颖特性时将变得显而易见。
附图简述图1是一系统的高级框图，该系统根据本发明的一方面在厂区内促进产生和实现区域安全程序。
图2是一系统的框图，该系统根据本发明的一方面在厂区内促进产生和实现区域安全程序。
图3是一系统的框图，该系统根据本发明的一方面在厂区内促进产生和实现区域安全程序。
图4是一系统的框图，该系统根据本发明的一方面在厂区内促进产生和实现区域安全程序。
图5是一典型的流程图，所示了用于根据本发明的一方面在厂区内修改与区域相关的安全的方法。
图6是一典型的流程图，所示了用于根据本发明的一方面通过代理服务器修改有关一个或多个厂区设备安全的方法。
图7是一典型的流程图，所示了用于根据本发明的一方面在实现区域安全程序之前验证操作者的方法。
图8是一典型的流程图，所示了用于根据本发明的一方面基于在厂区上的警报自动产生区域安全程序的方法。
图9是一典型的系统表示，该表示可结合本发明使用。
图10是在自动环境内应用/操作的典型等级表示，该等级表示可结合本发明使用。
图11是一系统的框图，该系统根据本发明的一方面通过代理服务器促进把安全程序应用到厂区设备。
图12是一系统的框图，该系统根据本发明的一方面促进在工业控制器和高级系统之间的直接通信。
图13是一典型的操作环境，该环境可结合本发明使用。
图14是一典型的操作环境，该环境可结合本发明使用。
发明的详细描述现在参考附图描述本发明，其中相同的参考数字被使用于表现相同的元素。在以下的描述中，为了解释，提出多个特定细节以提供本发明全面的理解。然而，本发明可在没有这些特定细节的情况下实现是明显的。在其他实例中，公知的结构和设备以框图形式显示以促进本发明的描述。
如在本申请中所使用的，术语“组件”、“处理机”、“模型”、“系统”等是指计算机相关的实体，既有硬件、硬件和软件的组合、软件，也有在执行的软件。例如，组件可以是，但不局限于，在处理器上运行的过程、处理器、对象、可执行对象、执行的线程、程序、和/或计算机。作为例示，在服务器上运行的应用程序和该服务器都可作为组件。一个和多个组件可驻留在过程和/或执行的线程内，并且组件可定位在一计算机和/或分布在两个或多个计算机之间。而且，这些组件可从各种具有各种存储其中的数据结构的计算机可读介质中执行。组件可通过本地和/或远程过程通信诸如根据一单个具有一个或多个数据包的信号(举例未洗，来自一与在本地系统、分布式系统的另一组件、和/或跨诸如英特网的网络通过信号与其他系统交互的组件的数据)。
现在参考附图，图1所示了结合本发明的一方面的高级系统概括。本发明涉及新的系统100，该系统促进关于厂区设备可升级和灵活的安全系统的实现。系统100包括厂区102，该厂区包括设备，其中这样的设备被使用以实现一个或多个操作、阶段等的完成。厂区102与一接收安全请求的安全系统104相关。例如，安全请求可从用户、传感器和用户的结合、单独的传感器、软件、或任何其他可产生安全请求的合适的方式中产生。系统100提供在与工业系统结合使用的传统安全系统中不能获得的安全利益。尤其，在厂区设备、部件、系统、过程等上执行维护、测试、调试、再委托经常是希望的。传统的安全系统是不灵活的，即使仅仅工业系统的一部分需要从安全系统中释放或需要在安全系统的修改内存在，整个安全系统也将被禁止或修改。
系统100通过区域安全组件106的使用，减轻以上所提的缺陷，该区域安全组件106使区域108从厂区102中分离以实现用于这样区域108的安全程序。区域108可以是特定的设备或一组设备、一过程、部件的一部分或组、一单元、一操作、一范围、或任何其他厂区的合适划分。更为尤其，区域108可表示结合完成用于药物生产过程使用的混合操作。由于对可破坏药物制作的过程意外更改的担心，安全系统104通常提供不可访问和/或不可修改的混合操作(举例来说，区域108)给用户/操作者。传统地，允许操作者为了调试而访问混合操作，安全系统104将相对于整个厂区102被禁止。这样的全局禁止致使厂区102服从于由恶意的操作者或简单错误导致的内部安全破坏。使用本发明，区域安全组件106可从厂区102中隔离区域108，并且在不更改有关厂区102其余部分的安全的情况下，提供有关区域108的安全程序。如此，维护操作等可在不破坏在厂区102上的其他设备、过程单元、范围、地点等的安全的情况下，就区域108而被采用。安全程序可由任何合适的数据传送系统/方法从安全系统104传送至区域108。例如，安全程序可被无线地和/或通过有线连接传送。
根据本发明的一个方面，驻留在厂区102的工业控制器(图中未示)可与安全系统104和区域安全组件106通信以实现有关区域108安全合适的活动。例如，工业控制器可被使用以控制希望被测试和/或调试的某个操作室/单元或程序。尤其，工业控制器包括用以实现以上描述的程序和/或操作室/单元的控制逻辑的至少一部分。对于调试这样的程序的请求可被发送到安全系统104，并且区域安全组件106可定位工业控制器，该工业控制器用以控制这样的操作室/范围/程序以及与之相关的设备。然后，区域安全组件106能有效地根据安全从厂区102中分离工业控制器和相关的设备以及产生仅仅有关工业控制器与相关设备的安全程序。例如，这些程序可包括在提供给操作者访问控制逻辑之前禁止警报，以及根据与维护、调试、测试等相关操作的结束重新设定安全线路。
作为区域108至少一部分的工业控制器可以是可编程逻辑控制器(PLC)。PLC是用以自动化真实世界过程的小计算机(举例来说，在工业环境中控制机器)。一般地，PLC是具有模块或整合的输入/输出线路的基于微处理器设备，其中这样的线路被使用以监控连接传感器输入的域的状态，并且还被使用以控制根据逻辑程序的输出制动器。虽然PLC可在系统100内被用作工业控制器，可以理解的是任何合适的工业控制设备可结合本发明使用。例如，任何合适的微处理器和/或微控制器可在系统100内被用作工业控制器。
还根据本发明的另一方面，安全系统104可直接与厂区102上的智能设备通信。传统工业自动系统使用中间设备以促进高级工业自动系统和厂区102之间的通信。这样的高级工业自动系统包括，但不局限于，企业资源计划(ERP)系统和制造执行系统(MES)。传统厂区设备仅仅监控传感器和制动器的状态，这样当高级自动系统使用结构化的数据模型时，以“1”和“0”串的形式获取并存储数据。然而，本发明预期在厂区102上的智能设备内(举例来说，工业控制器)使用本质上类似的数据模型作为在高级自动系统(举例来说，被使用以实现安全系统104的系统)内使用。相应地，安全系统104(和区域安全组件106)可直接与在厂区102上与足够的处理和存储能力相关的设备通信。两个典型的可结合厂区设备和高级系统共有的数据模型使用的标准是S88和SP95。S88是一主要用以批处理应用程序的标准，而SP95是一提供机制以产生车间等级表示的标准。在这两个标准之间，数据模型可被产生，该数据模型充分表现车间以及在车间内采用的操作。尽管S88和SP95是两个可结合本发明使用的标准，可以理解的是任何结构化的数据模型已经是本发明的发明者所预期的，并且所有合适的数据模型都要落在所附的权力要求书的范围内。直接通信促进区域的有效确定以及区域安全程序的有效实现。
此外，由厂区上的智能设备和高级系统使用的公共数据模型考虑到分布式安全模型的自动整合。例如，在原始设备制造商(OEM)机器内使用的本地化的安全模型可在终端用户的地点与集中式安全整合。尤其，在公共数据模型内定义的策略可实现这样的自动整合。
现在参考图2，所示了促进区域安全程序的产生以及它们的实现的系统200。系统200包括根据安全系统204执行的厂区202。安全系统204，例如，可被使用以确保安全切换被适当地设置、允许警报、以及其他一般安全措施。系统200进一步包括工业系统表示206，该表示表现关于厂区202存在的设备、过程单元、范围等。例如，系统表示206可包括车间和/或厂区202的等级表示。此外，系统表示206可包括在厂区202内采用的程序/过程的表示。例如，被用以制造食用产品的程序以及子程序可在系统表示206内表示。
系统表示206接收与一个或多个设备、过程单元、范围、地点等相关的安全请求。例如，通过人机界面(HMI)或其他合适的图形用户界面，操作者可产生与在厂区202内特定区域208相关的安全请求。特别地，操作者可请求与区域208相关的特定安全程序/设备的禁止/修改。这样，操作者可察看在系统表示206内厂区202上实现的程序的图形表示，以及发送与程序相关的安全相关的请求至系统表示206。此后，安全请求可被发送至安全系统204，该系统确定是否发起安全请求的操作者是被授权的以实现关于请求的安全程序。这可由认证组件210完成，该组件可基于诸如用户名、密码、用户角色、车间位置、日的时间、周的天、被请求影响的设备、被请求影响的程序或任何其他合适的安全相关的因素的标志做出认证决定。此外，安全系统204可使用安全服务器(图中未示)等存储和实现认证算法和相关数据。根据本发明的一方面，诸如指纹、视网膜扫描、语音识别技术等生物属性可结合认证操作者而使用。这样，认证组件210通过仅仅使那些具有授权的修改安全系统204的策略/程序，在它涉及厂区202时。提供附加的安全层。
如果操作者/用户被授权以修改存在的与设备、设备组、过程单元、范围、地点等相关的安全程序，该请求被发送至区域安全组件212。然后，区域安全组件212可产生用于区域208的安全程序，其中此区域208涉及初始请求。尤其，如果请求涉及禁止对于一特定设备部分的警报，区域208可包括由这样的过程包括的设备。如此，区域安全组件212可被使用以实现与特定的设备、过程单元、范围等相关的安全程序，而不是如在传统安全系统中要求的与整个厂区202相关的安全程序。
根据本发明的另一方面，认证组件210可被使用以确保由区域安全组件212产生的安全程序是针对在区域208内合适设备的。例如，区域安全组件212可如愿地禁止有关结合药物混合操作的设备的警报。然后，认证组件210可被使用以确保实际发送禁止警报的命令的设备是被希望发送命令的设备。如果一不同的设备去接收警报禁止命令或其他安全相关的指令，可产生悲惨的后果(举例来说，由于警报的缺乏，药物可被错误地制造)。如此，认证组件210支持设备认证的各种级别。例如，认证可使用，但不局限于数字签名和证书，其中在一单工业自动企业内密钥和加密可从简单至复杂。可以理解的是，尽管认证组件210已经结合认证在厂区202上的操作者和设备被描述，独立组件可用于这样的认证目的所使用。
现在转向图3，所示了促进提供安全程序至厂区302的一部分的系统300。厂区302包括多个用以制造目的的设备。动态区域产生器304接收请求以修改关于厂区302一部分的安全。例如，安全修改请求可涉及特定设备、过程单元、范围、地点等的测试、调试、维护等。基于该请求，动态区域产生器304可询问厂区302或其表示以确定这样的厂区302的当前配置。基于确定的配置，动态区域产生器304可创建区域306，对该区域306做出安全修改。一特定例子可协助阐明动态区域产生器304的操作。一操作者请求对于特定设备禁止警报以在该设备上执行维护。动态区域产生器304接收该请求，然后确定有关该设备的厂区302的配置。尤其，动态区域产生器304获得有关操作的信息，该操作涉及设备、互连的设备、相关的设备等。例如，设备的停止操作以及禁止警报可导致与不同的设备相关的警报触发。如此，其他相关的警报应该也被禁止。动态区域产生器304通常可基于设备尤其是厂区302的当前的配置来确定哪个警报应该被禁止。
在动态地创建区域306后，安全请求以及相关的区域信息可由在安全系统310内用以提供有关厂区302安全的区域安全组件308接收。此后，区域安全组件308可提供用于区域306的安全程序。例如，安全程序可包括为维护而禁止警报，以及此后在维护的结束时重新设置安全开关。程序执行组件312确保重新初始化在区域306内的设备/操作之前所有适当的安全程序已经符合。例如，如果由区域安全组件308产生的安全程序不符合，程序执行组件312将阻止区域306从正常操作中放回。程序执行组件312可与警报、提醒所需程序的操作者的图形用户界面、以及其他合适的执行机制相关。
现在参考图4，所示了促进用于厂区402的一部分的安全程序实现的系统400。厂区402包括能监控传感器和制动器状态的工业控制器404以及能结合控制在厂区402内采用的制造过程使用。基于数据的这种收集，控制器404可产生警报或类似能通过自动请求产生器406转换至安全请求的指示。例如，如果控制器404提供警报，自动请求产生器406可创建请求以禁止与控制器404相关的警报。
然后，安全请求可被发送至动态区域产生器408，该产生器可确定在一安全程序可应用的厂区402内的区域410。例如，动态区域产生器408可询问厂区402并且确定控制器404(举例来说，由控制器404控制的设备和/或操作)的配置。基于这种确定，动态区域产生器408可创建包括这种控制器404的区域410，其中区域410可包括其他控制器、设备等。根据本发明的一不同方面，厂区402可在先地被划分为多个区域。如此，动态区域产生器408只需定位包括控制器404的适当定义的区域410。在区域410的确定和/或产生后，操作以保护厂区402的安全系统412接收请求和相应区域410并且区域安全组件414产生有关区域410的安全程序。例如，区域410可包括多个由结合制造操作使用的控制器404控制的设备。由区域安全组件414创建的安全程序可涉及禁止警报、设置安全切换、重新设置安全开关、和其他合适的安全相关的程序。
现在参考图5，所示了用以在厂区的仅仅一部分中实现安全程序的方法500。尽管为了解释的简洁，方法500作为一系列动作被显示和表述，可以明白和理解的是本发明不被动作的次序所限制，如根据本发明，某些动作可以不同的次序和/或与其他来自在此显示和描述的动作同时发生。例如，本领域技术人员可明白和理解的是方法可选择地作为诸如在状态图内一系列相关状态或事件来表现。此外，根据本发明，不是所有示出的动作被需要以实现方法。
在502，提供厂区表示。例如，厂区表示可在图形用户界面或HMI上显示以使用户看见该表示。此外，SP95标准和/或S88标准可结合厂区表示使用。因此，厂区的等级表示可被呈现，其中等级是根据车间场地应用逻辑地创建的。此外，数据模型可被使用以表现批处理应用(举例来说，处方的描述)。以结合的方式使用，可创建厂区完整的表现。例如，设备可与在厂区表示内的不同设备结合，并且这类设备可被表现以结合地执行完成制造应用。尽管这些以上所提的标准可结合产生系统表示所使用，可以理解的是任何合适的数据模型可结合提供厂区表示被使用。
在504，接收到对于安全修改的请求。请求可由设备操作者产生和/或由一个或多个智能厂区设备(举例来说，工业控制器)自动产生。例如，定时器可被是用以确定设备被计划何时用于维护。在感测到设备要维护的时候，工业控制器或其他智能厂区设备为了维护的目的，可产生请求禁止与设备相关联的警报。操作者可请求当在工业控制器内测试或调试逻辑时，禁止用于特定设备或设备组的警报。例如，操作者可希望在不破坏用于父过程的处方的安全的情况下，测试用于子过程的控制程序。相应地，操作者可产生用于该修改的请求。
在506，确定与修改请求有关的区域。例如，操作者可精确地指定哪个(些)设备、操作、应用等应该组成有关请求的区域。根据本发明的另一方面，厂区修改可包括定义的区域，其中定义的区域中的一个或多个可被选择作为有关请求的区域。这样的区域选择可自动地完成或由操作者指定。此外，区域可基于厂区和请求的配置动态地确定。例如，操作者可请求有关工业控制器的特定安全修改，其中有关工业控制器的这类请求的实现可导致其他相关的设备异常执行。相应地，与那些设备有关的安全程序也应该被修改。因此，基于请求和厂区配置，适当的区域可被自动地确定。
在508，修改用于确定的区域的安全。例如，特定于确定区域的安全程序可在该区域的确定时产生和实现。这使特定设备、设备组、程序、应用等在不破坏整个厂区的安全情况下被测试、调试、维护、诊断故障、重新委托等。这样的区域安全使特定的操作或设备在不影响其他设备或操作安全的情况下，从安全系统出取出。
现在参考图6，所示了用于提供区域安全程序给缺乏实质智能的车间场地的方法600。在602，一个或多个厂区设备与代理服务器关联。厂区设备可如愿地与代理服务器关联，因为这类设备中有几个缺乏实质智能和/或处理能力。然而，这种设备一般用于单操作是适宜的，并且一般不需要实质智能和/或处理能力。相应地，存在关于厂区设备的不足处理能力和/或存储能力以存储或执行安全原始。根据本发明的一方面，然而，这种设备可通过代理服务器访问和通信。因此，为了操作者和/或组件访问或使用这样的设备，必须使用代理服务器(举例来说，通过代理服务器的所有通信信道)。因此，多个设备可通过代理服务器的使用被聚集，此后可管理对于这样的厂区设备的安全。
在604，接收到一关于缺乏足够智能的厂区设备的对于安全修改的请求。例如，一特定工业控制器可不与实质的足够处理能力和/或存储相关联，如此呈现它不能实行/不可能实现在此的安全原始。然而，例如，禁止与这样的工业控制器关联的警报以实现由工业控制器控制的设备的维护是希望的。因此，在606，请求的安全修改由以上提到的代理服务器传送至一个或多个厂区设备。代理服务器与足够的存储和/或处理能力关联以存储和实现安全原始，并且此后发送/实现区域安全程序至一个或多个设备。在608，根据请求实现区域安全程序。例如，区域安全程序可被应用于所有通过代理服务器通信设备。根据本发明的一不同的方面，代理服务器可被使用以选择地在一个或多个由代理服务器通信的设备上实现安全程序。
现在参考图7，所示了用于产生和实现区域安全程序的方法700。在702，所示了对关于特定设备、应用、程序、设备组等的安全修改的请求。例如，有关操作的控制逻辑可如愿地测试；因此，有关使用这样的控制逻辑的工业控制器的安全必须被放松以使操作者有效地测试这样的控制逻辑。根据本发明的一个方面，请求由操作者发起或授权。在704，有关请求的操作者被认证。例如，诸如用户名和密码的传统的认证技术可被使用。此外，人工智能技术可结合认证用户所使用。
如在此所使用的，术语“推断”或“推论”通常涉及从一组由事件和/或数据捕获的观察结果中推理或推断系统、环境、和/或用户的状态的过程。例如，推论可被使用以识别特定的上下文或活动，或可产生状态的概率分布。推论可以是概率性的，也就是说，在感兴趣的状态上的概率分布基于数据和事件的考虑来自计算。推论也可指使用于从一组事件和/或数据组成较高级事件的技术。这样的推论导致从一组观察的事件和/或存储的事件构成新的事件或活动，无论这些、事件是否在时间上很接近以及事件和数据是否来自一个或多个事件和数据源。例如，基于有关操作者的上下文的数据，可确定该操作者是否被授权以访问和/或修改有关特定区域的安全。如此，特定操作者可被授权在给定的特定时间、设备程序、操作者位置等修改特定的设备。如此，使用和厂区、区域、和/或操作者相关的上下文数据可做出各种授权推论。
在706，确定与在702接收到的请求有关的区域。区域可动态地根据已知的范围、程序、设备、地点、过程单元等由智能组件、或预定义组件确定。在708，如以上所描述的，用于确定的区域的安全程序产生和实现。根据本发明的一方面，可由厂区设备(举例来说，工业控制器)和高级系统(举例来说，ERP系统和MES系统)产生和理解的公共数据模型可被使用以促进区域安全程序的产生和实现。
现在参考图8，所示了自动产生安全修改请求和基于该请求实现区域安全程序的方法800。在802，接收一有关工厂设备的警报。例如，诸如压力机、泵、锯等的设备可以故障从而使工业控制器产生警报。此外，一个或多个传感器可感测到制造的产品具有错误的成分，因此引起警报的产生。以上是警报产生的简单特定例子，可以理解的是任何合适的警报可结合方法800被接收。在804，安全请求在警报的接收时自动地产生。例如，如果一警报涉及特定设备，有关该设备的修改安全的请求可被自动地产生。
在806，接收有关安全请求的操作者批准。这样的操作者批准减少错误警报的产生。例如，警报可基于故障的传感器产生。因此，基于故障的传感器禁止有关操作的安全是效率低的。在修改安全之前允许操作者批准安全请求使在修改安全之前确定传感器故障。在808，根据操作者批准，有关安全请求的区域被确定。如此，如果警报来源于设备，包括该设备的区域可被确定。此外，使用该设备的操作可被考虑为一个区域。在810，用于确定的区域的安全程序在区域内被产生和实现。
现在参考图9，所示了可结合本发明使用的典型的厂区表示900。表示900是特定厂区的等级表示。在等级的最高级是文件夹902或过程单元的图形表示。过程单元是包括结合一个或多个批操作使用的设备的设备逻辑分组。尽管过程单元作为等级的较高部分所显示，可以理解的是过程单元可被包括在企业、地点、范围等内的表示中。根据典型表示900，过程单元文件夹902可被展开以显示在该车间过程内的特定单元。尤其，车间包括表示第一单元的文件夹904、表示第二单元的文件夹906，以及表示第M单元的文件夹908，在此M是一整数。单元可被定义为控制模块和/或设备模块以及其他可在其中进行一个或多个处理活动的设备的集合。
文件夹906被显示为展开的，并且包括表示第一设备模块的文件夹910、表示第二设备模块的文件夹912、以及表示第N设备模块的文件夹914，在此N是一整数。设备模块可以是执行有限数量特定活动的设备的功能组。文件夹912是展开的，并且示为分别以包括控制模块1和控制模块2的表示916和918。尽管显示的过程单元、单元1至M、以及设备模块1至N由文件夹表示，可以理解的是任何合适的等级表示可结合本发明使用。此外，尽管没有明确地显示，表示900可包括特定操作步骤、处方、和其他批制造信息的表示以及可通过使用SP95标准和S88标准来产生。
根据本发明，文件夹902至914中的任一文件夹可被选择作为用于实现区域安全修改的区域。例如，如果操作者要修改有关整个过程单元的安全，该操作者可结合产生和实现有关过程单元的这类修改以选择文件夹902。类似地，如果操作者希望创建关于特定单元、设备模块、或控制模块的区域修改，操作者可在厂区表示900内选择相应的表示以实现这类区域程序修改。
现在参考图10，所示了在自动环境内应用/操作的另一典型等级表示1000。表示1000包括分别表示第一处方程序和第二处方程序的文件夹1002和1004。处方程序是用于批产品的处方的整体。如此，多个处方程序可在厂区使用。文件夹1004被展开以显示表示第一单元程序、第二单元程序、以及第M单元程序的文件夹1006至1010，在此M为一整数。单元程序可被定义为一组可关于特定单元执行的程序。如此，一个处方程序可与多个单元程序关联。文件夹1008被展开以显示表示第一操作和第N操作的文件夹1012至1014，在此N为一整数。操作可被定义为包括用于启动、阻止和阶段控制的算法的独立处理活动。文件夹1012被展开并且包括第一阶段1016和第二阶段1018的表示，其中阶段是最低级的程序元素与执行等级表示1000内的设备模块(图9)一起使用。像图9的等级表示900，任何合适的文件夹和/或表示可被选择作为结合本发明的安全区域。例如，第二单元程序(包括操作1至M以及所有包括的阶段)可被选择作为安全区域。类似地，阶段1可被选择作为安全区域。
现在参考图11，所示了促进提供区域安全策略给具有很少智能的设备的系统1100。系统1100包括第一车间场地设备1102、第二车间场地设备1104、到第N车间场地设备1106，在此N为一整数。车间场地设备1102至1106相互通信并且通过代理服务器1108接收来自不同安全组件/系统的安全命令。来自自动控制器(举例来说，可编程逻辑控制器)和发送给制动器和其他厂区设备的控制命令不要求通过代理服务器1108发送，由于这种要求可影响自动系统的性能。例如，如果第一车间场地设备1102如愿地发送消息至第二车间场地设备1104，这种信息不会直接发送。而是，第一厂区设备1102发送消息至代理服务器1108，此后代理服务器1108把消息导向至第二厂区设备1104。类似地，如果高级系统希望与车间场地设备1102至1106中的一个通信，它通过代理服务器1108实现。系统1100进一步包括可实现关于厂区的区域安全程序的安全系统1110。然而，车间场地设备1102至1106不包括足够智能以存储和实现安全原始。因此，安全系统1110通过代理服务器1108发送有关车间场地设备1102至1106的安全程序。根据本发明的一方面，车间场地设备1102至1106被聚集至一个区域内。如此，关于第一车间场地设备1102实现的安全程序也关于第二车间场地设备1104被实现。这可以是当厂区设备1102至1106包括很少智能时的情况。或者，代理服务器1108可分别地发送区域安全程序至各自车间场地设备1102至1106。
现在参考图12，所示了在高级系统1202和工业控制器1204之间典型的通信1200。例如，高级系统可以是ERP系统和/或MES系统，而工业控制器1204可以是可编程逻辑控制器(PLC)。然而，可以理解的是任何厂区上合适的系统可被用作高级系统1202，并且任何合适的工业控制器可被用作工业控制器1204。
工业控制器结合发送信息至高级系统1202和从高级系统1202接收信息使用数据模型1206。传统的工业控制器仅仅监控传感器和制动器的状态，因此只能以没有结构化的比特串通信。然而，通过使用数据模型1206，工业控制器1204可直接与高级系统1202通信，如高级系统1202使用与由工业控制器1204使用的数据模型1206实质上类似的数据模型1208。这样的直接通信促进实现区域安全程序，因为高级系统1202可用工业控制器1204直接发送安全程序。此外，使用公共数据模型使可结合产生和实现区域安全程序所使用的厂区表示的产生成为可能。例如，SP95标准和S88标准是两个可被用作数据模型1206和1208的典型标准。然而，可以理解的是根据本发明任何合适的结构化数据模型可被使用。
参考图13，用以实现本发明各个方面的典型环境1310包括计算机1312。计算机1312包括处理单元1314、系统存储器1316、以及系统总线1318。系统总线1318耦合系统组件包括，但不局限于，系统存储器1316至处理单元1314。处理单元1314可以是各种可用处理器的任何一种。双微处理器和其他多处理器架构也可用作处理单元1314。
系统总线1318可以是若干总线结构类型中的任何一种，包括存储总线或存储控制器、外围总线或外部总线、和/或使用各种可用总线架构中的任何一种的本地总线，总线架构包括，但不局限于，8位总线、工业标准结构(ISA)、微信道结构(MSA)、扩展工业标准结构(EISA)、智能驱动电子(IDE)、VESA局部总线(VLB)、外设部件互连(PCI)、通用串行总线(USB)、高级图形接口(AGP)、个人计算机存储卡国际协会总线(PCMCIA)以及小型计算机系统接口(SCSI)。
系统存储器1316包括易失性存储器1320和非易失性存储器1322。基本输入/输出系统(BIOS)被存储于非易失性存储器1322中，它包括基本例行程序以在计算机1312内的元件之间，诸如在启动期间，传输信息。作为说明，而非限制，非易失性存储器1322可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程只读存储器(EPROM)、电可擦可编程只读存储器(EEPROM)、或快闪存储器。易失性存储器1320包括用作外部高速缓冲存储器的随机存取存储器(RAM)。作为说明，而非限制，RAM可以多种形式获得，诸如同步随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、同步DRAM(SDRAM)、双倍数据速率SDRAM(DDR SDRAM)、增强型SDRAM(ESDRAM)、同步链DRAM(SLDRAM)、以及直接存储器总线RAM(DRRAM)。
计算机1312也包括可移动/不可移动、易失性/非易失性计算机存储介质。图13所示，例如，磁盘存储器1324。磁盘存储器1324包括，但不局限于，像磁盘驱动器、软盘驱动器、磁带驱动器、Jaz驱动器、Zip驱动器、LS-100驱动器、快闪存储器卡、或存储棒的设备。此外，磁盘驱动器1324可包括独立的存储介质或与其他存储介质结合的存储介质，该其他存储介质包括，但不局限于，诸如只读光盘驱动器(CD-ROM)、可记录光盘驱动器(CD-R Drive)、可读写光盘驱动器(CD-ROM Drive)或数字化多功能盘ROM驱动器(DVD-ROM)的光盘驱动器。为了促进磁盘存储设备1324与系统总线1318的连接，通常使用诸如接口1326的可移动或不可移动接口。
可以理解的是图13描述软件，该软件作为在合适的操作环境1310内描述的用户和基本计算机资源之间的中介物。这样的软件包括操作系统1328。操作系统1328可存储在磁盘存储器1324上，用以控制和分配计算机系统1312的资源。系统应用1330利用操作系统1328通过存储在系统存储器1316或磁盘存储器1324上的程序模块1332和程序数据1334管理资源。可以理解的是本发明可使用各种操作系统或操作系统的结合来实现。
用户通过输入设备1336输入命令或信息至计算机1312。输入设备1336包括，但不局限于，诸如鼠标、跟踪球、记录笔、触摸板、键盘、麦克风、操纵杆、游戏板、圆盘式卫星电视天线、扫描仪、TV调谐卡、数码照相机、数码摄影机、网络照相机等的指示设备。这些和其他输入设备由接口端口1338通过系统总线1318连接到处理单元1314。接口端口1338包括，例如，串行端口、并行端口、游戏端口、和通用串行总线(USB)。输出设备1340使用某些与输入设备1336的相同类型的端口。如此，例如，USB端口可被用以提供输入至计算机1312，并且被用以从计算机1312输出信息至输出设备1340。输出适配器1342被提供以说明在其他输出设备1340中存在诸如某些需要特殊适配器的监视器、扬声器、和打印机的输出设备1340。输出适配器1342包括，仅为说明而非限制，提供在输出设备1340和系统总线1318之间连接手段的视频和声频卡。应该注意的是其他设备和/或设备的系统提供输入和输出能力，诸如远程计算机1344。
计算机1312可在网络化环境中使用逻辑连接到一个或多个诸如远程计算机1344的远程计算机进行操作。远程计算机1344可以是个人计算机、服务器、路由、网络PC、工作站、基于微处理器的装置、对等设备或其他公共网络节点等，并且通常包括关于计算机1312描述的元件的所有或许多。为了简明，只有记忆存储器设备1346与远程计算机1344一起示出。远程计算机1344通过网络接口1348逻辑地连接至计算机1312，然后通过通信连接1350物理地被连接。网络接口1348包括诸如局域网(LAN)和广域网(WAN)的通信网络。LAN技术包括光纤分布式数据接口(FDDI)、铜分布式数据接口(CDDI)、以太网/IEEE1102.3、令牌网/IEEE 1102.5等。WAN技术包括，但不局限于，点对点链接、如综合服务数字网(ISDN)和在其上的变体的线路转接网络、包交换网络、和数字用户线路(DSL)。
通信连接1350指用以连接网络接口1348至总线1318的硬件/软件。尽管所示的通信连接1350为了清楚的说明是在计算机1312内部，它也可以是在计算机1312的外部。对于连接到网络接口1348必要的硬件/软件包括，只为示例性目的，诸如包括常规电话级别调制解调器、电缆调制解调器和DSL调制解调器、ISDN适配器、和以太网卡的调制解调器的内部和外部技术。
图14是一示例计算环境1400的框图，本发明可与该环境交互。系统1400包括一个或多个客户机1410。客户机1410可以是硬件和/或软件(举例来说，线程、进程、计算设备)。系统1400还包括一个或多个服务器1430。服务器1430也可以是硬件和/或软件(举例来说，线程、进程、计算设备)。例如，服务器1430可容纳通过使用本发明实现转换的线程。在客户机1410和服务器1430之间一种可能的通信可以是适合于在两个或多个计算机过程之间传送的数据包的形式。系统1400包括可被用以促进客户机1410和服务器1430之间通信的通信构架1450。客户机1410可被连接到一个或多个被用于存储本地信息至客户机1410的客户数据存储器1460。类似地，服务器1430可被连接到一个或多个可被用以存储本地信息至服务器1430的服务器数据存储器1440。
以上被描述的包括本发明的例子。当然，为了描述本发明而描述每个组件或方法可以想到的组合是不可能的，但是本领域的普通技术人员可意识到本发明的许多进一步的组合和改变是可能的。相应地，本发明要包括所有在所附权力要求书的精神和范围内的更改、修改和变换。此外，对于在详细的描述或权力要求书中所使用的术语“包括”，这样的术语以类似术语“包含”在权力要求书中作为过渡语使用时的解释的方式来包括。
权利要求
1.一种关于工业自动安全的安全系统，包括接收请求以修改有关厂区(102、202、302)的区域(108、208、306、410)的安全的组件，所述区域(108、208、306、410)比厂区(102、202、302)的整体小；以及区域安全组件(106、212)，产生特定于区域(108、208、306、410)的安全程序。
2.如权利要求1所述的安全系统，其特征在于，工业控制器(404)接收安全程序。
3.如权利要求1所述的安全系统，其特征在于，区域安全组件(106、212)知道有关区域(108、208、306、410)预先存在的安全程序。
4.如权利要求3所述的安全系统，其特征在于，产生的安全程序至少部分基于预先存在的安全程序。
5.如权利要求1所述的安全系统，其特征在于，区域安全组件(106、212)知道在区域(108、208、306、410)内存在的设备。
6.如权利要求5所述的安全系统，其特征在于，产生的安全程序至少部分基于有关设备的区域安全组件(106、212)的知道。
7.如权利要求1所述的安全系统，其特征在于，区域(108、208、306、410)包括代理服务器，所述代理服务器促进关于不直接支持安全程序的实现的设备产生的安全程序的实现。
8.如权利要求7所述的安全系统，其特征在于，所述代理服务器聚集用于不直接支持产生的安全程序的实现的设备的安全管理。
9.如权利要求1所述的安全系统，其特征在于，安全程序包括设备认证(210)的各种等级。
10.如权利要求9所述的安全系统，其特征在于，设备认证(210)的各种等级包括数字签名和证明中的一个或多个。
11.如权利要求1所述的安全系统，其特征在于，安全程序基于有关用户的上下文信息。
12.如权利要求11所述的安全系统，其特征在于，上下文信息包括用户身份、用户位置、用户角色、天的时间、以及用户活动中的至少一个。
13.集中式安全系统，包括如权利要求1中所述的区域安全系统(104、204)。
14.如权利要求13所述的系统，进一步包括一个或多个分布式安全模型，集中式安全系统(104、204)以及一个或多个由数据模型描述的分布式安全模型；以及一组件(406)，促进集中式安全系统(104、204)在收到集合请求时，自动整合分布式安全模型，所述整合至少部分基于在数据模型内定义的策略。
15.一区域安全组件(106、212)，包括一接收对有关驻留在厂区(102、202、302)的设备和操作中的一个或多个的安全修改的请求的组件；一动态区域产生器(304、408)，所述产生器分析请求并动态地确定有关请求的区域(108、208、306、410)；以及一区域安全组件(308、414)，所述组件产生用于有关动态确定区域(108、208、306、410)的厂区(302)的安全程序。
16.一种用于为厂区的一部分产生安全程序(500)的方法，包括接收有关厂区(502)的安全修改的请求(506，604)；至少部分基于请求确定厂区的区域(506)；至少部分基于请求产生用于区域的安全程序(508)。
17.如权利要求16所述的方法，其特征在于，中继安全程序至工业控制器。
18.如权利要求16所述的方法，其特征在于，进一步包括认证发起请求的操作者(704)。
19.如权利要求16所述的方法，其特征在于，基于定义的区域的操作者选择确定区域(706)。
20.如权利要求16所述的方法(600)，进一步包括将在厂区的设备(602)与代理服务器关联；以及通过代理服务器实现(608)相对于设备产生的安全程序。
全文摘要
有关工业自动安全的安全系统，包括接收请求以修改有关厂区的区域的安全的组件，区域比厂区的整个小。区域安全组件产生用于区域的安全程序，安全程序与在区域外厂区上实现的安全程序不同。
文档编号G06F9/00GK1766771SQ20051010886
公开日2006年5月3日 申请日期2005年9月30日 优先权日2004年9月30日
发明者S·昌德, D·W·法奇民, J·J·拜尔, M·D·卡兰, R·A·玛夸尔德特, R·A·莫斯, S·C·布瑞安特 申请人:洛克威尔自动控制技术股份有限公司