技术特征:
1.一种设备控制器,其特征在于,包括虚拟控制层和相互独立的远程访问环境和至少两个程序运行环境,所述程序运行环境为运行生产设备的控制程序的环境;所述至少两个程序运行环境包括一个主用运行环境和至少一个备用运行环境;所述远程访问环境通过内网口连接至内部网络中的认证服务器,通过所述外网口连接至外部网络中的云平台;所述虚拟控制层通过现场总线口连接至生产设备的控制模块;其中,所述远程访问环境,用于通过所述外网口接收远程的读写访问请求,对读访问请求提供程序运行环境中的数据存储的只读镜像,对写访问请求的写入文件执行验证操作,将验证通过的写入文件写入到备用运行环境;以及,执行所述至少两个程序运行环境之间的主备状态切换,并同步各程序运行环境之间的控制程序和运行数据;所述虚拟控制层,用于将主用程序运行环境的输出,连接至所述现场总线口。2.如权利要求1所述的设备控制器,其特征在于,所述远程访问环境包括有外部写寄存器、外部读寄存器、写入数据验证模块、签名及验证规则模块和同步控制模块;所述程序运行环境包括数据存储区、控制逻辑区和控制输入/输出模块;所述虚拟控制层包括输出切换控制模块;其中,所述外部读寄存器,用于获取所述程序运行环境中的数据存储区的只读镜像,并响应于远程的读访问请求提供所述只读镜像中的对应数据;所述外部写寄存器,用于接收远程的写访问请求的写入数据,以及,将验证通过的写入文件写入到备用运行环境的数据存储区和/或控制逻辑区;所述签名及验证规则模块,用于通过内网口从认证服务器处获取签名文件以及验证规则,所述签名文件包括第一摘要文件、客户端识别码和写入文件序列号,所述第一摘要文件是客户端利用预设散列算法,对添加第一预设附加信息后的写入文件生成的;所述写入数据验证模块,用于利用所述签名及验证规则模块获取的签名文件以及验证规则,对所述写访问请求的写入文件进行验证;所述同步控制模块,用于同步各程序运行环境之间的控制程序和运行数据;所述控制输入/输出模块,用于在所述控制逻辑区和输出切换控制模块之间交互数据;所述输出切换控制模块,用于将从现场总线口接收到的数据发送给各个程序运行环境,以及,将主用运行环境输出的数据通过现场总线接口发送出去。3.一种生产设备的访问控制方法,应用于权利要求1至2任一项所述的设备控制器,其特征在于,所述访问控制方法包括:通过所述外部写寄存器从外网口接收到写入文件及其文件序列号;通过所述写入数据验证模块从内网口读取签名文件和验证规则,并利用所述写入文件的文件序列号匹配的签名文件,对所述写入文件进行验证;若所述写入文件验证通过,则在备用运行环境准备好标志位已置位的情况下,将所述备用运行环境准备好标志位清除,并将所述写入文件写入到备用运行环境中,并在文件写入完成后,将用于表示写入文件已准备好的文件写入准备好标志位置位,以及,根据所述写入文件的更新类型,并设置对应的更新类型标志,所述更新类型包括不需要中断生产的a类更新和需要中断生产的b类更新;在检测到备用运行环境准备好标志位已清除,且文件写入准备好标志位已置位的情况
下,若备用运行环境中的模拟运行符合预设条件,则根据对应的更新类型标志,将备用运行环境切换为主用运行环境或者将备用运行环境中的控制程序和数据写入到主用运行环境,并将备用运行环境准备好标志位置位,以及,将文件写入准备好标志位清除。4.如权利要求3所述的方法,其特征在于,将所述写入文件写入到备用运行环境的步骤,包括:在所述写入文件的更新为不需要中断生产时,利用所述验证规则对所述写入文件进行验证,并在规则验证通过后,判断备用运行环境准备好标志位是否置位;在备用运行环境准备好标志位已置位的情况下,将所述备用运行环境准备好标志位清除,并通过外部写寄存器将所述写入文件写入至备用运行环境中的数据存储区,并将文件写入准备好标志位置位,以及将更新类型标志设置为a类更新;在所述写入文件的更新为需要中断生产时,判断备用运行环境准备好标志位是否置位;在备用运行环境准备好标志位已置位的情况下,将所述备用运行环境准备好标志位清除,并通过外部写寄存器将所述写入文件中的控制程序写入至备用运行环境中的控制逻辑区,将所述写入文件中的数据写入至备用运行环境中的数据存储区,并将文件写入准备好标志位置位,以及将更新类型标志设置为b类更新。5.如权利要求3所述的方法,其特征在于,根据对应的更新类型标志,将备用运行环境切换为主用运行环境或者将备用运行环境中的控制程序和数据写入到主用运行环境的步骤,包括:在所述更新类型标志为a类更新时,在备用运行环境中仿真运行控制程序,并判断控制程序的输出是否符合预定规则;在所述程序输出符合预定规则,且允许自动更新的情况下,将备用运行环境中的控制程序和数据写入到主用运行环境;在所述程序输出不符合预定规则,或者,不允许自动更新的情况下,根据接收到的人工确认或取消指令,将备用运行环境中的控制程序和数据写入到主用运行环境或者丢弃所述备用运行环境中的控制程序和数据。6.如权利要求3所述的方法,其特征在于,根据对应的更新类型标志,将备用运行环境切换为主用运行环境或者将备用运行环境中的控制程序和数据写入到主用运行环境的步骤,包括:在所述更新类型标志为b类更新时,判断所述备用运行环境中的控制程序是否存在于预设工艺列表中;在所述备用运行环境中的控制程序存在于所述工艺列表,且接收到对所述控制程序的更新确认指令的情况下,或者,在所述备用运行环境中的控制程序不存在于所述工艺列表中,且对所述控制程序在备用运行环境中的调试已通过,并接收到对所述控制程序的更新确认指令的情况下,通过所述备用运行环境读取生产设备的当前状态并根据当前状态同步控制程序,并在生产设备的当前工序完成后,执行主备运行环境的切换,并将新的主用运行环境的输出连接至现场总线口;在接收到对所述控制程序的更新拒绝指令的情况下,丢弃所述备用运行环境中的控制程序和数据。7.如权利要求3所述的方法,其特征在于,
利用与所述写入文件的文件序列号匹配的签名文件,对所述写入文件进行验证的步骤,包括:从与所述写入文件的文件序列号匹配的签名文件中,获取第一摘要文件和客户端识别码,所述第一摘要文件是客户端利用预设散列算法,对添加第一预设附加信息后的写入文件生成的,所述第一预设附加信息包括客户端识别码、所述客户端最近一次接收到的云平台发送的动态码、所述写入文件的序列号;对所述写入文件添加第二预设附加信息,利用所述预设散列算法,对添加所述第二预设附加信息后的写入文件生成第二摘要文件,所述第二预设附加信息包括客户端识别码、所述设备控制器最近一次接收到的云平台发送的动态码、所述写入文件的序列号;根据所述第一摘要文件与第二摘要文件是否相同,判断所述写入文件是否通过验证。8.如权利要求3所述的方法,其特征在于,还包括:在备用运行环境准备好标志位已置位的情况下,根据主用运行环境的控制程序和数据,实时同步备用运行环境。9.如权利要求3所述的方法,其特征在于,还包括:在预设的数据更新条件满足时,从主用运行环境中获取运行数据并写入外部读寄存器,生成所述主用运行环境中的数据存储区的只读镜像;在接收到远程的读访问请求时,根据所述读访问请求,从所述只读镜像中读取对应的数据并通过所述外网口发送出去。10.一种生产设备的云服务系统,其特征在于,包括如权利要求1至2任一项所述的设备控制器,还包括:云平台、客户端和认证服务器;其中,所述客户端,用于通过自身与云平台之间的安全链路,向云平台发送对生产设备的读写访问请求,并接收所述云平台返回的读写访问请求的响应消息;以及,通过自身与认证服务器之间的安全链路,获取认证服务器发送的公钥,并利用所述公钥,对添加客户端识别码和写入文件的序列号的第一摘要文件进行加密后,生成数据签名后发送给所述认证服务器;其中,所述第一摘要文件是所述客户端在发送写访问请求前,利用预设散列算法,对添加第一预设附加信息后的写入文件生成的,所述第一预设附加信息包括客户端识别码、所述客户端最近一次接收到的云平台发送的动态码、所述写入文件的序列号;所述云平台,用于通过自身与客户端之间的安全链路,接收外部客户端发的读写访问请求,并将设备控制器返回的针对读写访问请求的响应消息发送给所述客户端;通过自身与设备控制器之间的通信隧道,将所述读写访问请求发送给设备控制器,并接收所述设备控制器返回的针对所述读写访问请求的响应消息;以及,周期性生成动态码并发送给所述客户端和设备控制器;所述认证服务器,用于通过自身与客户端之间的安全链路,接收客户端发送的所述数据签名,并利用私钥对所述数据签名进行解密后,得到包括所述第一摘要文件、客户端识别码和写入文件序列号的签名文件,将所述签名文件发送给设备控制器。
技术总结
本发明实施例提供了一种生产设备的访问控制方法、设备控制器及云服务系统。本发明实施例通过在设备控制器中划分出相互独立的多个运行环境,其中,远程访问环境专用于远程访问控制,提供内部数据存储的只读镜像,并对外部写入的数据执行验证操作;程序运行环境是生产设备的实际控制程序的运行环境,并由虚拟控制层的输出切换控制模块,决定哪个程序运行环境的输出传递给现场总线口。本发明实施例提供的生产设备的访问控制方法、设备控制器及云服务系统,可以减少或避免生产设备在线更新过程中的生产中断的问题,并且,本发明实施例还通过安全数据传输及认证,可以保证数据由云平台写入设备控制器的安全性,提高生产设备更新的安全性。安全性。安全性。
技术研发人员:王昌明
受保护的技术使用者:株式会社日立制作所
技术研发日:2020.04.03
技术公布日:2021/10/11