专利名称:可移动安全模块及相关方法
技术领域:
本发明总体上涉及过程控制系统,尤其涉及用于过程控制设备的可移动安全模 块。
背景技术:
过程控制系统_如那些用于化学、石油、药物、制浆及造纸或其他制造过程的过程 控制系统-典型地包括一个或多个过程控制设备(比如控制器及输入/输出服务器),所 述过程控制设备与至少一个主机(包括至少一个操作员工作站)或与一个或多个现场设备 (例如设备控制器、阀、阀启动器、阀定位器、开关、传送器、温度传感器、压力传感器、流率传 感器及化学成分传感器或这些设备的组合)通信连接,以控制一物理工厂(炼油厂及汽车 制造设施)中的物理过程或离散制造操作(例如开启或关闭阀及测量或推断过程参数)。 过程控制设备接收所述现场设备所进行的过程测量的信号及/或关于所述现场设备的其 他信息,并使用这些信息来实施控制例程,然后产生控制信号并通过总线或其他通信线传 送至所述现场设备,以控制所述过程控制系统的操作。许多过程控制系统结合安全特征,以防止未经授权的人员改变控制参数、命令设 备、获取过程控制信息等等,从而确保一过程工厂的安全及可靠操作。这些安全特征在包括 一安全仪表系统(SIS)的过程控制工厂中特别重要,过程控制工厂可能需要为涉及危险化 学物或可能在一主要或首要过程控制系统在操作期间发生故障或受危及时造成安全风险 的任何其他材料或过程执行所述主要或首要过程控制系统的安全停机。传统上,过程控制 系统通过使用一独立及个别安全系统为安全仪表系统提供安全,所述独立及分离的安全系 统的使用典型地授权予数目有限的人员。然而,由于操作及维护完全分离的系统所需的成 本及工夫增加,促使在过程控制系统中结合安全系统。这样的安全系统与过程控制系统的 结合引致安全关注及需要额外的安全措施来防止未经授权的、对安全仪表系统的改变(即 使所述过程控制系统本身已经被危及)。
发明内容
本发明公开用于过程控制设备的范例可移动安全模块及相关方法。一范例可移动 安全模块包括一主体(所述主体配置成可移动地连接到所述过程控制设备)及布置在所述 主体中的一存储器(所述存储器中存储一共享秘密)。所述范例可移动安全模块也包括一 处理单元,所述处理单元布置在所述主体中,并连接到所述存储器,而且配置成读取来自所 述过程控制设备的信息、对所述信息与所述共享秘密进行比较以及根据所述比较来鉴定所 述过程控制设备。在另一范例中,用于一过程控制设备的所述多个可移动安全模块中的每个可移动 安全模块包括一主体(所述主体配置成可移动地连接到所述过程控制设备)及布置在所述 主体中的一存储器(所述存储器中存储一共享秘密)。此外,所述模块中的每个模块包括一 处理单元,所述处理单元布置在所述主体中,并连接到所述存储器,而且配置成读取来自所述过程控制设备的信息、对所述信息与所述共享秘密进行比较以及根据所述比较来鉴定所 述过程控制设备。在又另一范例中,以一可移动安全模块保护一过程控制设备的一方法包括通过所 述安全模块读取所述过程控制设备中的信息及对所述信息与存储在所述安全模块的一存 储器中的一共享秘密进行比较。所述范例方法也包括通过所述安全模块、根据所述比较来 鉴定所述过程控制设备。另一用于保护一过程控制设备的范例方法包括在所述过程控制设备接收一要求 或命令,其中所述要求或命令与一第一人员相关。所述范例方法也包括取得一秘密以响应 所述要求或命令的接收、提供所述秘密予一第二人员、通过所述第二人员发送所述秘密到 所述过程控制设备以及为所述过程控制设备授权所述要求或命令以响应所述过程控制设 备接收所述秘密。在又再一范例中,一分布式过程控制系统包括一个或多个过程控制设备、用于读 取来自至少一个过程控制设备的信息的设备,以及对所述信息与一共享秘密进行比较的设 备。所述范例过程控制系统也包括用于根据所述比较来鉴定所述过程控制设备的至少其中 之一的设备,以及授权用于所述过程控制设备的至少其中之一的一个或多个应用程序的设备。
图1为一框图,其显示一范例过程控制系统,所述范例过程控制系统实施在此描 述的范例方法及设备。图2为一详细框图,其显示图1的范例安全模块。图3描绘一顶视图,而图4描绘图1的范例安全模块的一侧面图。图5描绘一隔离电路配置,所述隔离电路配置可以连同图1的范例安全模块实施, 以便使所述安全模块与控制设备及与通信总线电气隔离。图6描绘一范例方法的一流程图,所述范例方法可以用于实施图1的范例安全模 块,以便调用一控制设备及授权一动作。图7描绘一范例方法的一流程图,所述范例方法可以用于实施图1的范例安全模 块,以便实施一动作的两人授权。图8为一框图,其显示一范例处理器系统,所述范例处理器系统可以用于实施在 此描述的范例方法及设备。
具体实施例方式虽然以下描述范例方法及设备,其中除了其他构件以外,还包括在硬件上实施的 软件及/或固件,但应该注意的是,这些系统只是在于阐明、而不应被当成是限制本发明包 括的范围。例如,预期任何或所有这些硬件、软件及固件构件可以单独地实施在硬件、单独 地实施在软件或实施在任何硬件及软件组合。因此,虽然以下描述一些范例设备及系统,但 本领域的普通工程技术人员将能理解,在此提供的范例并不是实施这些设备及系统的仅有 途径。一范例过程控制系统(例如图1的过程控制系统100)包括一控制室(例如图1的控制室102)、一过程控制设备区域(例如图1的过程控制设备区域104)、一个或多个终 端区域(例如图1的一第一终端区域106及一第二终端区域108)以及一个或多个过程区 域(例如图1的过程区域110、112、114及116)。一过程区域包括多个现场设备,这些现场 设备执行与执行一特定过程(例如一化学过程、一石油过程、一药物过程、一制浆及造纸过 程等等)相关的操作(例如控制阀、控制发动机、控制锅炉、监测参数及测量参数等等)。有 些过程区域由于苛刻的环境条件(例如相对高的温度、气载毒素、不安全辐射水平等等)而 不能由人类接近。所述控制室典型地包括在一可由人类安全地接近的环境中的一个或多个 工作站。所述工作站包括用户应用程序,用户(例如工程师、操作员、过程控制人员等等) 可以存取这些用户应用程序,以便通过(例如)改变可变值、过程控制功能等等来控制所述 过程控制系统的操作。所述过程控制器区域包括一个或多个过程控制器,这些过程控制器 通信连接到所述控制室中的工作站。所述过程控制器通过执行通过所述工作站实施的过程 控制策略,使所述现场设备的控制自动化。一范例过程控制策略涉及使用一压力传感器现 场设备来测量一压力,以及自动地发送一命令到一阀定位器,以便根据所述压力测量来开 启或关闭一流量阀。所述终端区域包括一调度柜,所述调度柜使所述控制设备能够与所述 过程区域中的现场设备通信。明确地说,所述调度柜调度、整理及/或路由所述现场设备与 通信连接到所述控制设备的一个或多个输入/输出卡之间的信号。一过程控制系统中的现场设备使用每个现场设备与通信连接到一控制设备(例 如一过程控制器、一可编程逻辑控制器等等)的一相应输入/输出卡之间的一总线(例如 一电线、一电缆或一电路),通信连接到控制设备。一输入/输出卡使得能够通过转变或转 换在所述控制设备与所述现场设备之间传送的信息,将一控制设备通信连接到与不同数据 类别或信号类别(例如模拟输入(Al)数据类别、模拟输出(AO)数据类别、离散输入(DI) 数据类别、离散输出(DO)数据类别、数字输入数据类别及数字输出数据类别)及不同现场 设备通信协议关联的多个现场设备。例如,一输入/输出卡可以带有一个或多个现场设备 界面,所述现场设备界面配置成使用与一现场设备相关的现场设备通信协议、与该现场设 备交换信息。不同的现场设备界面通过不同的频道类别(例如模拟输入(Al)频道类别、模 拟输出(AO)频道类别、离散输入(DI)频道类别、离散输出(DO)频道类别、数字输入频道类 别及数字输出频道类别)进行通信。此外,所述输入/输出卡可以将接收自所述现场设备 的信息(例如电压水平、数字值等等)转换成所述控制设备能够使用来执行与控制所述现 场设备相关的操作的过程信息(例如压力测量值)。如果某些控制设备与现场设备之间的通信未受保护,未经授权的命令(例如为响 应未经授权发出命令的人员及/或控制设备而发出的命令)可能严重地危及所述过程控制 系统的安全操作。例如,一特定控制设备可能未获得授权传送控制信号(或更概括地-传 送命令或要求)到一现场设备以促使所述现场设备执行一动作(例如关闭一阀及停止一有 毒物质及/或高度反应性的化学物的流动)。为了确保只是某些控制设备及/或人员可以 操作这样的关键性控制设备及/或现场设备,所述控制设备及所述现场设备需要高度安全 性。在安全对安全仪表系统极为重要的同时,安全一般上已经在过程控制系统中显得 相当重要,尤其是在包括集成安全设备或装置、而且需要所述安全设备的安全性的过程控 制系统(不论所述过程控制系统整体的安全性是否已经被危及),更是如此。在有些已知过程控制系统中,在控制设备的调用期间,通过要求鉴定及授权合并入所述过程控制系统的 任何控制设备,提供某个水平的安全性。一设备只是在被鉴定及授权之后方能被给予一身 份及其在所述系统中的角色,以及在被给予身份及角色之后被允许与所述过程控制系统进 行相互操作。在其调用之后,通过提供数据(例如下载编码或软件)到所述已调用控制设备,允 许一控制设备的角色。在所述控制设备的操作期间(即在所述控制设备正在根据其角色执 行其下载编码或软件时),操作员、工程师或任何其他获授权用户能够监测所述控制设备的 操作、发送命令到所述控制设备、向所述控制设备要求信息等等。 对一控制设备的鉴定典型地确保所述控制设备是在预定的、它在其中操作的一控 制系统中被使用。有些已知鉴定过程可能使用所述控制设备及所述控制设备正在被并入的 系统已知的、包括(例如)共享秘密的信息。这一共享秘密可以在制造时永存地存储在所述 控制设备,而所述过程控制系统配置成在所述控制设备被鉴定时辨认这个共享秘密。此外, 所述控制设备可以永久地存储有关所述过程控制系统的、用于确定所述控制设备是否能够 与所述过程控制系统相互操作的信息。一旦一控制设备已经被鉴定及授权,所述控制设备可以在其操作期间使用进一步 的安全措施,以防止工作站、控制器、未经授权的人员等等进行未经授权的动作或使用所述 控制设备。这些进一步的安全措施经常包括所述控制设备与任何其他与所述过程控制系统 相关的实体(例如控制器、现场设备、工作站、人员、应用程序等等)之间的任何通信的加密 的使用。为了这个目的,有些过程控制设备包括一加密密钥或多个加密密钥,所述加密密钥 可以在所述控制设备制造时存储在其中或以其他方式制造到其中。虽然前述包括共享秘密、加密密钥等等的安全措施可能有效,但当前这些安全措 施被使用的方式可能带来一些实践问题。例如,如果一共享秘密(其在制造时硬编码到有 些控制设备中)为危及(例如被未经授权的实体知晓),所述控制设备中的所述共享秘密将 必须改变,以便为该设备恢复安全性。然而,要改变这一共享秘密可能需要将所述控制设备 从所述过程控制系统迁移,并将所述控制设备送到其制造商以改变所述共享秘密。此外,如 果一控制设备发生故障及需要置换,替换所述失效设备的任何设备将需要所述替换设备的 调用(例如鉴定、授权、下载软件或编码以执行其角色等等),而所述替换设备的调用费时 而昂贵,而且经常需要所述过程控制系统脱机一不可接受的时间长度。此外,即使在所述输入/输出卡及现场设备连接到正确的控制设备时,如果所述 控制设备被不正确地使用(例如为响应一错误的命令或要求而执行一动作),所述过程控 制系统中再次可能有严重而危险的后果。为了确保所述控制设备被正确地使用或不被不适 当地修改,至少对于一些操作而言,这些控制系统的有些控制系统或部分需要对某些控制 设备进行附加的存取控制或授权,以确定是否允许这些控制设备为响应一要求或命令而采 取适当动作。在有些情况下(例如高度敏感的操作),一控制设备的授权可能需要所述控 制室中的一操作员或工程师及在所述控制设备处的另一人执行授权任务(即需要两人授 权)。传统上,在所述控制设备处的所述人员将需要根据来自所述控制室中的所述人员的一 命令,在所述设备处转动一钥匙或输入一编码。然而,这不只需要所述控制设备制造时带有 这些物理约束(例如具有一钥匙锁、键等等),还需要实施一钥匙锁管理制度,以避免钥匙 锁的损失、未经授权的复制或混乱。实物钥匙的使用进一步需要管理钥匙取用、监测钥匙发放及位置、保持真正转动钥匙的人员的记录等等。此外,钥匙开关不不按时间暂停而却需要 由一人物理地开动,因此在实践中,所述钥匙可能被永久地上锁或无限期地激活。在此描述的范例设备及方法可以更灵活及可靠地保护一过程控制系统。明确地 说,在此描述的范例设备及方法使用一安全模块,所述安全模块可以移动地连接到一控制 设备(例如一现场设备、一控制器等等)。所述安全模块充分地提供鉴定、调用及保护一控 制设备以及授权与所述控制设备相关的动作或应用程序所需要的全部安全软件及电子器 件。这包括(例如)存储用于鉴定所述控制设备的秘密(例如共享秘密)、存储用于授权所 述控制设备的动作的加密键或其他加密信息、提供防止未经授权的要求或命令的保护、提 供一身份予所述控制设备、为所述过程控制系统中的所述控制设备分配一任务、推动两人 授权方案以及以数据配置所述控制设备,以执行所分配的任务。在一安全模块连接到一控制设备时,所述安全模块读取来自所述控制设备的控制 设备信息。这个信息与存储在所述安全设备的一存储器中的一共享秘密进行比较。如果所 述控制设备信息与所述共享秘密之间存在相互关系(例如一匹配),则所述控制设备被授 权安装。因此,所述安全模块鉴定所述控制设备,并将其结合到所述过程控制系统中。如果 所述共享秘密与所述控制设备信息不互相关或匹配,所述控制设备不被授权使用所述安全 模块,而且不被授权安装在该过程控制系统中或不被授权安装在所述过程控制系统的该部 分中。在这种情况下,所述控制设备不能调用,因此保持不能操作。在所述控制设备被调用之后,所述控制设备被配置以所述控制设备为执行其在鉴 定期间获分配的任务而需要的数据。一旦所述控制设备开始操作,所述控制设备一般由一 个或多个操作员或工程师看顾。所述操作员及/或工程师与所述控制设备(以及其他控 制设备)互动,以控制或监测他们负责的所述过程控制系统(例如物理工厂)的所述部分 (包括(例如)一纸机、一蒸馏塔或一制造单元),以确保所述系统或其部分按预定计划操 作。在所述过程控制系统的操作期间,所述控制设备接收许多要求、命令、修改及/或其他 通信。为了防止所述控制设备为响应未经授权的通信而采取动作,所述安全模块监测所述 通信及授权或防止动作。例如,所述安全模块可以摘录所述通信中的信息,并对所述信息中 的至少一些信息与存储在所述安全模块的所述存储器中的加密键进行比较。如果所述加密 键与所述通信中的所述信息存在相互关系,所述安全模块可以授权所述控制设备采取适当 动作以响应所述通信。在不存在与所述加密键的相互关系时,所述控制设备的动作不被授 权,而且因此被防止。此外,如以下更详细描述的那样,由于在此描述的范例安全模块能够可移动地连 接到一控制设备,所述控制设备使用的所述安全特征可以在不需要替换所述控制设备、将 所述控制设备送回制造商供进行重新配置、或以其他方式将所述控制设备从所述过程控制 系统迁移的情况下,通过迁移所述安全模块并以使用期望的不同的安全特征的另一安全模 块替代所述安全模块来改变。此外,从一第一控制设备迁移的一安全模块可以在不需要调 用一第二控制设备(例如所述第一控制设备的一替代控制设备)的情况下,可移动地连接 到所述第二控制设备。此外,如以下更详细的描述那样,如果一控制设备使用的相同类别的 安全特征有已修改的(例如更新的)安全软件及/或电子器件(包括诊断器件)可用,所 述控制设备的所述安全模块可以在不需要替换所述控制设备、重新调用所述控制设备、将 所述控制设备送回制造商供进行重新配置、或以其他方式将所述控制设备从所述过程控制系统迁移的情况下迁移,而且可以以一不同的、具有所述已修改的安全软件及/或电子器 件的安全模块替换。相反地,只是在所述控制设备处的所述安全模块调换为包括不同安全 特征的一不同的安全模块。在此描述的范例安全模块可以是设备齐全、密封的电子模块,其包括安全软件。此夕卜,这些范例安全模块可以移动地插入或以其他方式连接到不同类别、牌子(例如由不同 制造商提供者)及样式的控制设备。所述范例安全模块可以标准化及用于不同类别的控制 设备,以便为所述控制设备提供所述安全特征。更明确地说,所述机械配置及界面(包括所 述控制设备的包装、电气连接(例如插脚引线)等等)以及所述安全模块可以标准化,使得 提供不同安全特征的许多可用安全模块中的任何安全模块可以用于可能由任何数目的制 造商制造的多种控制设备中的任何控制设备。同样地,所述安全模块与所述控制设备中的 其他电子器件通信的方式也可以标准化。换句话说,用于使所述控制设备与所述安全模块 之间能够进行通信的通信方案也可以跨越控制设备的类别、牌子、及样式等等标准化,以便 进一步促进安全模块与控制设备之间的可交换性。在此描述的范例安全模块可以使控制设备安全能够标准化,从而使得能够在不需 要任何一个安全编程(即安全特征集合)的特殊性的情况下制造所述安全模块。可以在制 造一控制设备之后(例如在所述控制设备被安装在一过程控制系统时或在调用期间)、通 过在所述控制设备中安装一适当的安全模块来分配或配置这样的安全特征。这样可减少所 需要的零部件(例如备用的控制设备)的数目及便于容易将控制设备从一个安全编程转换 到另一个安全编程。在此描述的范例方法及设备也简化控制设备的制造,这是由于所述控 制设备可以不再需要包括可观数量的内部安全电子器件或软件。因此,在此描述的范例方 法及设备为制造商消除了生产那么多使用不同安全特征的相似控制设备的需要。此外,所述范例安全模块可以实质地包括用于所述控制设备的所有通信软件及电 子器件。因此,在此描述的安全模块可以包括在同时另案待审及共同拥有的、标题为“用于 将现场设备通信连接到过程控制系统中的控制器的设备及方法”(Apparatus and Methods to Communicatively Couple FieldDevices to Controllers in a Process Control System)的美国 12/236,165 号专利申请(U. S. Application Serial Number 12/236, 165) 中描述的通信模块的所有特征;所述专利申请在此通过引用全部并入本专利。此外,系统维护成本可以减少,这是由于可以通过以具有经修改或升级的软件 (包括结合新的或不同的特征的软件)置换一安全模块,轻易地添加安全软件修改或升级。 此外,由于在此描述的范例安全模块可以在不需要存取一控制设备的内部电子器件的情况 下轻易地调换或置换,一安全编程的升级及/或变更可以现场执行(即在不需要迁移所述 控制设备的情况下执行)。此外,一控制设备的诊断器件可以包括在一安全模块中,因此需 要更新或更好的诊断软件的客户可以在不需要改变所述控制设备的内部电子器件的情况 下将一安全模块调换为包含所期望的诊断器件的另一安全模块。此外,有些范例安全模块 可以包括本地标记信息,例如控制设备需要及/或其他控制设备信息。在所述范例安全模 块中包括任何或所有的所述安全软件、诊断信息及/或本地标记信息便于控制设备的配置 及控制设备的操作条件、历史、维护需要等等的评估。此外,在有些范例中,所述安全模块可以根据其中包括的安全特征、升级、更新、诊 断器件等等的类别编码(例如颜色编码)。所述编码方案便于识别用于连接到所述控制设备的适当安全模块。现在详细参看图1,一范例过程控制系统100包括所述控制室102,控制室102带 有一工作站118,工作站118通过一般称为应用程序控制网络(ACN)的一总线或局域网 (LAN) 124通信连接到一个或多个控制设备,包括一第一控制设备(例如一控制器)120及 一第二控制设备(例如一控制器)122。局域网(LAN) 124可以使用任何期望的通信媒介及 协议来实施。例如,局域网(LAN) 124可以基于有线或无线以太网通信协议。然而,可以采 用任何其他适合的有线或无线通信媒介及协议。工作站118可以配置成执行与一个或多个 信息技术应用程序、用户互动应用程序及/或通信应用程序相关的操作。例如,工作站118 可以配置成执行与过程控制相关应用程序及通信应用程序相关的操作,以使工作站118及 控制设备120及122能够使用任何期望的通信媒介(例如无线通信媒介、固定通信媒介等 等)及协议(例如HTTP,SOAP等等),与其他设备或系统进行通信。控制设备120及122 可以配置成执行一个或多个过程控制例程或功能,这些过程控制例程或功能已经由系统工 程师或其他系统操作员使用(例如)工作站118或使用任何其他已经下载到控制设备120 及122以及已经在控制设备120及122中初始化的工作站产生。在所述图解范例中,工作 站118位于控制室102中,而过程控制设备120及122则位于与控制室102分开的控制设 备区域104中。
在图1的实施例中,第一控制设备120通过一背板通信或内部输入/输出总线144 通信连接到输入/输出卡140a-b及142a-b。为了与工作站118通信,第一控制设备120通 过局域网(LAN) 124通信连接到工作站118。第二控制设备122通过局域网(LAN) 124通信 连接到工作站118及输入/输出卡140c-d及142c-d。输入/输出卡140c-d及142c_d配 置成通过局域网(LAN) 124,与第二控制设备122及工作站118通信。照这样,输入/输出卡 140c-d及142c-d可以直接与工作站118交换信息。在所述图解范例中,范例过程控制系统100包括第一过程控制区域110中的现场 设备126a-c、第二过程控制区域112中的现场设备128a-c、第三过程控制区域114中的现 场设备130a-c及第四过程控制区域116中的现场设备132a_c。为了在控制设备120及 122与现场设备126a-c、128a-c、130a-c及132a_c之间传送信息,范例过程控制系统100 带有现场接线盒(FJB)134a-d及调度柜136a-b。现场接线盒(FJB) 134a_d中的每个现场 接线盒(FJB)通过相应的多导线电缆138a-d(或一多总线电缆),将来自现场设备126a-c、 128a-C、130a-C及132a_c中的相应现场设备的信号路由到调度柜136a_b的其中之一。调 度柜136a-b依次地调度(例如整理、聚合等等)接收自现场设备126a-C、128a-C、130a-C 及132a-c的信息,并将所述现场设备信息路由到控制设备120及122的相应输入/输出卡 (例如输入/输出卡140a-b)。在所述图解范例中,控制设备120及122与现场设备126a_c、 128a-C、130a-C及132a_c之间的通信为双向,所以调度柜136a_b也用于通过现场接线盒 (FJB) 134a-d、将接收自控制设备120及122的输入/输出卡140a_b的信息路由到现场设 备126a-c、128a-c、130a_c及132a_c中的相应现场设备。在图1的所述范例中,现场设备126a-c、128a-c、130a_c及132a_c通过电导(例 如有线)、无线及/或光纤通信媒介,通信连接到现场接线盒(FJB) 134a-d。例如,现场接线 盒(FJB) 134a-d可以带有一个或多个有线、无线及/或光纤数据收发器,以便与现场设备 126a-C、128a-C、130a-C及132a-c的有线、无线及/或光纤数据收发器进行通信。在所述图解范例中,现场接线盒(FJB) 134b及134d依次无线地通信连接到现场设备128c及132c。 在一选择性实施例中,调度柜136a-b可以省略,而且来自现场设备126a-C、128a-C、130a-C 及132a_c的信号可以在没有中间结构(即没有调度柜136a_b)的情况下,从现场接线盒 (FJB) 134a-d直接地路由到控制设备120及122的输入/输出卡140a_d。在又另一实施例 中,现场接线盒(FJB) 134a_d可以省略,而且现场设备126a_c、128a_c、130a_c及132a_c可 以直接地连接到调度柜136a-b。
现场设备126a-c、128a-c、130a-c及132a-c可以是符合Fieldbus协议的阀、启动 器、传感器等等,在这种情况下,现场设备126a-C、128a-C、130a-C及132a_c通过使用所述 广为人知的FOUNDATION Fieldbus通信协议的一数字数据总线进行通信。当然,其他类别 的现场设备及通信协议也可以被使用。例如,现场设备126a-C、128a-C、130a-C及132a-c 也可以是符合Profibus、HART或AS_i、并通过使用所述广为人知的Profibus及HART通信 协议进行通信的设备。在有些实施例中,现场设备126a-C、128a-C、130a-C及132a_c可以 使用模拟通信或离散通信来传送信息,而不是使用数字通信来传送信息。此外,所述通信协 议可以用于传送与不同数据类别相关的信息。现场设备126a_c、128a_c、130a_c及132a_c中的每一个现场设备配置成存储现 场设备识别信息。所述现场设备识别信息可以是唯一地识别现场设备126a-C、128a-C、 130a-c及132a-c中的每个现场设备的物理设备标记(PDT)值、设备标记名称、电子序号等 等。在图1的图解范例中,现场设备126a-C、128a-C、130a-C及132a-c以物理设备标记值 PDT00-PDT11的形式存储现场设备识别信息。所述现场设备识别信息可以由现场设备制造 商及/或由涉及现场设备126a-C、128a-C、130a-C及132a_c的安装及/或调用的操作员或 工程师存储或编程在现场设备126a-c、128a-c、130a_c及132a_c中。为了控制所述控制设备120及122(及/或工作站118)与现场设备126a_c、 128a-cU30a-c及132a_c之间的输入/输出通信,控制设备区域104带有多个输入/输出 卡140a-d。在所述图解范例中,输入/输出卡140a-b配置成控制第一控制设备120(及/ 或工作站118)与第一及第二过程控制区域110及112中的现场设备126a-c及128a-c之 间的输入/输出通信,而输入/输出卡140c-d配置成控制第二控制设备122 (及/或工作 站118)与第三及第四过程控制区域114及116中的现场设备130a-c及132a-c之间的输 入/输出通信。在图1的图解范例中,输入/输出卡140a_d装置在控制设备区域104中。为了从 现场设备126a-c、128a-c、130a-c及132a_c传送信息到工作站118,输入/输出卡140a_d 传送所述信息到控制设备120及122,接着由控制设备120及122传送所述信息到工作站 118。同样地,为了从工作站118传送信息到现场设备126a-c、128a-c、130a-c及132a-c,工 作站118传送所述信息到控制设备120及122,控制设备120及122接着传送所述信息到输 入/输出卡140a_d,然后输入/输出卡140a_d传送所述信息到现场设备126a_c、128a_C、 130a-c及132a_c。在一选择性实施例中,输入/输出卡140a_d可以通信连接到控制设备 120及122内部的局域网(LAN) 124,使得输入/输出卡140a_d可以与工作站118及/或控 制设备120及122直接地通信。为了在输入/输出卡140a_d的任何其中之一发生故障时提供容错操作,输入/输 出卡142a_d配置成冗余输入/输出卡。也就是说,如果输入/输出卡140a发生故障,冗余输入/输出卡142a承担控制功能并执行输入/输出卡140a原应执行的相同的操作。同样 地,冗余输入/输出卡142b在输入/输出卡142b发生故障时承担控制功能、等等。如控制设备区域104中所示,一第一安全模块150直接连接到第一控制设备120, 而一第二安全模块152直接连接到第二控制设备122。此外,安全模块154、156及158直 接连接到相应的控制设备126a、126b及126c,控制设备126a、126b及126c在这个范例中 被描绘为现场设备。例如,安全模块150-158可以配置成具有似饰物形状的可移动地插入 的设备(例如带有一保护盖或外罩及一可插入电气连接器的一电路卡)。在一选择性实施 例中,安全模块150-158可以通过中间结构或设备,通信连接到控制设备120及122及/或 126a_c0安全模块150-158实质上提供过程控制系统100使用的所有安全软件及电子器 件,以鉴定及调用控制设备120、122及126『(及授权所述控制设备为响应所接收的要求或 命令而采取的动作。更概括地说,安全模块150-158确保适当的控制设备在过程控制系统 100中适当地连接,并确保这些设备以适当的方式使用。以下更详细地讨论范例安全模块 150-158及它们的相关操作。在所述图解范例中,调度柜136a_b、安全模块150-158、输入/输出卡140a_d及 142a-d以及控制设备120、122及126a-c促成将现有过程控制系统安装迁移到与图1的范 例过程控制系统100的配置充分相似的配置。例如,由于安全模块150-158可以配置成包 括任何合适的界面类别,安全模块150-158可以配置成通信连接到任何类别的控制设备。 同样地,控制设备120及122可以配置成包括一已知局域网(LAN)界面,以便通过一局域网 (LAN)传送信息到一已经安装的工作站。在有些实施例中,输入/输出卡140a-d及142a-d 可以安装在已知控制设备中或通信连接到已知控制设备,使得不需置换已经安装在一过程 控制系统的控制设备。在图5描绘的选择性范例中,安全模块150及152可以用于将相应的控制设备120 及122连接到局域网(LAN) 124或内部输入/输出总线144。在该范例中,所有来自工作站 118的通信由安全模块150及152处理,而且在适当时(如以下详述的那样)传送到相应的 控制设备150及152。此外,来自输入/输出卡140a-d及142a-d的所有通信也由安全模块 150及152处理,而且在适当时传送到相应的控制设备150及152。图2显示一安全模块200的一实施例,该实施例可以代表在此描述的任何范例安 全模块。图2的范例安全模块200包括一外部总线界面202,以使安全模块200能够与(例 如)使用安全模块200来将一控制设备连接到局域网(LAN) 124或内部输入/输出总线144 的配置中的一输入/输出卡及/或一工作站进行通信。为了识别安全模块200的一地址及/或一控制设备的一地址,安全模块200带有 一地址标识符204。地址标识符204可以配置成在安全模块插入一控制设备时向所述控制 设备查询一安全模块地址(例如一网络地址)。照这样,安全模块200可以在传送信息到所 述控制设备或从所述控制设备传送信息时使用所述安全模块地址作为一源地址及/或目 的地址。范例安全模块200也带有一外部总线通信处理器206,以便通过一外部总线、与 其他系统组件交换信息。在所述图解范例中,外部总线通信处理器206打包供传送到另一 系统组件的信息,并解包接收自其他系统组件的信息。所述打包信息传送到外部总线界面202,以便通过一外部总线传送。在所述图解范例中,外部总线通信处理器206产生需传送 的每个包的标题信息,并读取来自所接收的包的标题信息。范例标题信息包括一目的地址 (例如一输入/输出卡的一网络地址)、一源地址(例如安全模块200的网络地址)、一包类 别或数据类别(例如模拟现场设备信息、现场设备信息、命令信息、温度信息、实时数据值 等等)及检错信息(例如循环冗余校验(CRC)信息)。在有些实施例中,外部总线通信处理 器206可以使用相同的微处理器或微控制器来实施为一处理单元208。为了控制安全模块200的多种操作,安全模块200带有处理单元208。如以上所 述,在一实施例中,处理单元208可以使用一微处理器或一微控制器来实施。处理单元208 传送指令或命令到安全模块200的其他部分,以控制这些部分的操作。
处理单元208带有一阅读器210,或通信连接到一阅读器210 ;阅读器210用于从 所述控制设备获取控制设备信息,包括(例如)鉴定信息,比如存储在所述控制设备中的一 秘密。阅读器210也从安全模块200的一存储器212获取信息。所述存储器可以包括任何 类别的可配置数据库,而且可以包括(例如)用于鉴定一控制设备的共享秘密信息、加密信 息(包括用于授权所述控制设备的动作的加密密钥)、与所述控制设备相关的调用信息、配 置信息(例如一设备标识符或一控制参数)及任何其他信息。处理单元208也带有一比较器214,或通信连接到一比较器214。比较器214可以 用于评估已接收及/或已存储信息。例如,比较器214可以对包括接收自与安全模块200连 接的一控制设备的一第一秘密的信息与存储在存储器212中的一第二秘密进行比较。比较 器214可以评估所述第一与第二秘密之间的互相关程度,以确定它们构成一共享秘密(例 如充分匹配或相同的安全信息)。比较器214可以近一步对一要求或命令或任何其他通信 中的信息与存储在存储器212中的一密钥进行比较,然后评估所述二者之间的相互关系的 程度,以便确定所述通信是否经过授权。处理单元208也带有一鉴定器216,或通信连接到一鉴定器216。虽然被描绘为分 别的块,但在有些范例中,鉴定器216及比较器214可以使用软件及/或其他结构来结合。 在这个范例中,在比较器214确定来自所述控制设备的所述信息与存储在安全模块200中 的所述秘密(例如一共享秘密)充份地互相关,安全模块200、鉴定器216调用所述控制设备。为了控制提供给与安全模块200连接的一控制设备的电力数量,安全模块200带 有一电力控制器218。在所述图解范例中,(例如)可能是位于调度柜136a-b的其中之一 中或与一控制设备相关的一电源(例如图5的电源504)提供电力予安全模块200,以便向 一通信频道界面提供电力,以使得能够与所述控制设备进行通信。在所述图解范例中,电 力控制器218配置成调节、控制及提高及/或降低由一外部电源提供给安全模块200的电 力。在有些实施例中,电力控制器218配置成限制用于与控制设备通信的电力数量及/或 限制传输到所述控制设备的电力数量,以便充分地减低或消除易燃或可燃环境中发火花的 风险。为了将接收自一电源的电力变换为用于安全模块200的电力,安全模块200带有 一电力变换器220。在所述图解范例中,用于实施安全模块200的电路使用一个或多个电压 水平(例如3. 3V),这些电压水平不同于与安全模块200连接的所述控制设备需要的电压水 平。电力变换器220配置成使用经由所述电源接收的电力提供所述不同的电压水平,以便安全模块200与所述控制设备进行通信。在所述图解范例中,由电力变换器220产生的电 力输出用于驱动安全模块200及与其连接的控制设备,以及用于在安全模块200及所述控 制设备之间传送信息。有些控制设备通信协议比其他通信协议需要相对较高或较低的电压 水平及/或电流水平。在所述图解范例中,电力控制器218控制电力变换器220,以提供所 述电压水平来驱动所述控制设备以及与所述控制设备通信。为了使安全模块200的电路与所述控制设备及/或同安全模块200连接的所述系 统的任何其他组件电气隔离,安全模块200带有一个或多个隔离设备222。隔离设备222可 以使用电化隔离器及/或光学隔离器来实施。以下详细描述与图5有关的一范例隔离配置。为了在模拟信号及数字信号之间转换,安全模块200带有一数字_模拟转换器224 及一模拟_数字转换器226。数字-模拟转换器224配置成将接收的数字表示值(例如测 量值)或信息转换为模拟值或信息,以供进一步在一系统(例如图1的过程控制系统100) 中传送。同样地,模拟_数字转换器226配置成将接收的模拟值或信息转换为数字表示值 或信息,以供进一步在一系统(例如图1的过程控制系统100)中传送。在所述系统中的通 信是完全数字及/或完全模拟的一选择性实施例中,可以从安全模块200中省略数字-模 拟转换器224及模拟-数字转换器226。为了控制与同安全模块200连接的一控制设备之间的通信,安全模块200带有一 控制设备通信处理器228。控制设备通信处理器228确保信息是需传送到与安全模块200 连接的所述控制设备的正确格式及电压类别(例如模拟或数字)。控制设备通信处理器228 也配置成打包或解包信息,如果与安全模块200连接的所述控制设备配置成使用数字、打 包信息进行通信。此外,控制设备通信处理器228配置成提取接收自一控制设备的信息,并 将所述信息传送到模拟_数字转换器226及/或传送到外部总线通信处理器206,以供随后 传送到另一系统组件。范例安全模块200也带有一控制设备界面230,控制设备界面230配置成将安全模 块200通信连接到与其物理地连接的所述控制设备。例如,由控制设备通信处理器228打 包的信息传送到控制设备界面230,以通过与安全模块200连接的所述控制设备中的一内 部总线传送。在所述图解范例中,控制设备通信处理器228也可以配置成时间戳所接收的信 息。在安全模块200产生时间戳便于使用亚毫秒范围中的时间戳准确性来实施事件顺序 (SOE)操作。例如,所述时间戳及相应信息可以传送到工作站118。由(例如)工作站118 (图 1)(或任何其他处理器系统)执行的事件顺序操作可以接着用于分析一特定操作状态(例 如一故障模式)之前、期间及/或之后发生了什么,以便确定什么原因导致所述特定操作状 态发生。在所述亚毫秒范围中时间戳也使得能够使用相对较高的间隔尺寸来俘获事件。在 有些实施例中,控制设备通信处理器228及处理单元208可以使用相同的微处理器或微控 制器来实施。为了显示与所述控制设备或安全模块200相关的秘密、编码、指令、标识、状态或 其他信息,安全模块200带有一显示器232。如果鉴定器216不调用一控制设备,显示器232 可以提供关于一失败调用企图的信息。如果安全模块200需要一份两人的授权,显示器232 可以提供信息(包括接收自一控制设备及/或安全模块200的授权信息、指令等等)到涉 及所述授权的人员的其中之一。此外,显示器232可以用于显示控制设备活动信息(例如操作及维护信息等等)、数据类别信息(例如模拟信号、数字信号等等)及/或任何其他控 制设备信息。如果安全模块200配置成通信连接到多个控制设备,显示器232可以用于显 示与通信连接到安全模块200的所有控制设备相关的控制设备信息。在所述图解范例中, 显示器232使用液晶显示器(LCD)来实施。然而,在其他实施例中,显示器232可以使用任 何其他合适类别的显示设备来实施。安全模块200也带有一输入设备234。输入设备234可以由操作员用于输入信息 到安全模块200中,例如响应通过显示器232呈现的授权信息或其他信息。例如,如以下详 细描述的那样,在两人授权期间,在所述控制设备处的一操作员可以输入一编码或命令到 安全模块200内,以响应在显示器232中显示、而且产生自发送到所述控制设备的一要求或 一命令的一秘密。输入设备234可以包括一键座、一触摸屏、一触摸板、一按键、一开关或任 何其他合适的可以用于记录由一人员采取的动作的设备。此外,在安全模块200也包括用于所述控制设备的通信软件及电子器件的配置 中,安全模块200带有一通信单元236。一范例通信单元236在美国12/236,165号专利申 请(U. S. Application Serial Number 12/236, 165) 中描述。图3描绘一顶视图,而图4描绘所述范例安全模块200及一范例控制设备400的 一范例机械连接的一侧面图;范例安全模块200及范例控制设备400可以代表在此描述的 任何范例安全模块及/或控制设备。在所述图解范例中,范例安全模块200包括一个或多 个接触器404(例如插销、调整片、走线等等),接触器404将控制模块200通信连接及/或 电气连接到控制设备400。在这个范例中,安全模块200通过一中间基部402连接到控制设 备400。基部402带有扣件406 (例如螺丝),扣件406可以是(例如)一设备界面,以便在 一输入/输出总线将导电通信媒介(例如线端)系住、终接或固定。在安全模块200可移 动地连接到基部402时,扣件406通信连接到一个或多个接触器404,以使得能够在安全模 块200与控制设备400之间进行信号传送及信息传送。在其他实施例中,基部402可以带 有扣件406以外的任何其他合适类别的现场设备界面(例如一插座)。为了将安全模块200通信连接到控制设备400,基部402带有一控制设备接触器 或连接器408。在用户将基部402插入控制设备400时,控制设备连接器408接合控制设 备400的一内部总线。控制设备连接器408可以使用任何合适的界面来实施,包括使用一 界面(例如一冲击块)来实施。为了使得能够在安全模块200与控制设备400之间传送信 息,控制设备连接器408连接到安全模块200的一个或多个接触器404。在所述图解范例中,安全模块200也包括一盖子410 (在图3中已移除),盖子410 可以用于遮蔽安全模块200及/或安全模块200与控制设备的连接,以免受周围环境的影 响。盖子410防止湿气及/或其他不利的或可能有损害的环境条件对可能经历这些条件的 过程区域中的安全模块200造成有害影响。盖子410可以以任何合适的塑料、金属或其他 适合密封或保护通信模块400的材料制成。如图4中所示,基部402可以带有一选择性的显示界面连接器412,以便将安全模 块200通信连接到一外部显示器。例如,如果安全模块200在没有显示器232的情况下实 施,安全模块200可以使用显示界面连接器412来将指令、警告、错误、编码、值或任何其他 信息输出到一外部显示器。图5描绘一隔离电路配置,该隔离电路配置可以连同图1的范例安全模块150实施,以便将安全模块150从控制设备120及(例如)局域网(LAN) 124及/或安全模块144 电气隔离。然而,在图解安全模块150的这个范例中,任何其他安全模块可以以相同的或一 相似的方式连接到任何其他控制设备。在所述图解范例中,安全模块150包括安全模块电 路502 (例如以上描述的与图2有关的一个或多个块)。此外,安全模块150连接到内部输 入/输出总线144及一电源504。为了将安全模块电路502从内部输入/输出总线144电气隔离,安全模块150带 有一隔离电路506。照这样,如果控制设备120中发生电涌或其他电力变化,安全模块电路 502可以配置成在不影响内部输入/输出总线144的电压以及不导致损坏输入/输出卡 140a(图1)的情况下遵循(例如浮动)控制设备120的电压水平。隔离电路506及任何其 他实施在安全模块150中的隔离电路可以使用光隔离电路或电流隔离电路来实施。为了将安全模块电路502从电源504隔离,安全模块150带有一隔离电路508。通 过将安全模块电路502从电源504隔离,与控制设备120相关的任何电力变化(例如电涌、 刺波电流等等)将不会损坏电源504。此外,安全模块150中的任何电力变化将不会损坏或 负面地影响其他系统组件的操作,包括(例如)其他安全模块152的操作。典型地,所述控制设备中带有隔离电路,从减少可用于安全系统的空间的数量。然 而,如图5的图解范例中显示的那样在安全模块150中提供隔离电路506及508使得能够 选择性地对需要隔离的安全模块使用隔离电路。例如,图1的安全模块150-158可以在没 有隔离电路的情况下实施。图6及7为范例方法的流程图,所述范例方法可以用于实施安全模块(例如图1及 2的安全模块150-158及200)。在有些实施例中,图6及7的范例方法可以使用包括由一处 理器(例如图8的一范例处理器系统810中显示的处理器812)执行的一编程的机器可读 指令来实施。所述编程可以收录在存储在一有形计算机可读媒介或处理器可读媒介上,比 如存储在一只读光盘存储器(⑶-ROM)、一软盘、一硬盘、一多功能数字光盘(DVD)或与一处 理器相关的存储器及/或以广为人知的方式实施于固件及/或专用硬件。此外,虽然参考 图6及7所示的流程图对所述范例方法进行描述,但本领域的普通工程技术人员将可以理 解,可以选择使用许多其他方法来实施在此描述的范例安全模块150-158及200。例如,所 述流程块的执行顺序可以更改及/或所述流程块中的一些流程块可以更改、删除或结合。图6及7的范例方法以图1的范例安全模块150来描述。明确地说,图6及7的流 程图用于描述范例安全模块150怎样鉴定控制设备120及授权与控制设备相关的动作。然 而,图6及7的范例方法可以更普遍地用于实施任何其他安全模块(例如安全模块152-158 及200等等)。现在详细参看图6,最初安全模块150连接到控制设备120,然后安全模块确定其 是否已经检测到控制设备120 (流程块602)。例如,如果安全模块150进行一电气连接、接 收一中断信号或一状态寄存器、或以其他方式传感到控制设备120,安全模块150检测控制 设备120。如果控制设备120没有被检测到,控件保持在流程块602,直到控制设备120 (或 任何其他控制设备)被检测到为止。一旦控制设备120已经被检测到,安全模块150获取控制设备信息(流程块604)。 例如,阅读器210检索存储在所述控制设备上的信息。这样的信息可以包括(例如)一需 要、有关牌子及/或型号及可能与确定控制设备的类别及可能用途有关的任何其他信息。明确地说,所述控制设备信息可以包括一共享秘密或一共享秘密的一部分。安全模块150接着对在流程块604获取的信息(任何获取的秘密信息)与存储 在安全模块150中的秘密进行比较(流程块605)。在在流程块605进行比较之后,安全模 块150确定所获取的控制设备信息是否包括一共享秘密(流程块606)(即存储在安全模块 150的秘密充分地或恒等地匹配获取自控制设备120的任何秘密信息)。例如,比较器214 分析所述控制设备信息,并评估该信息中是否有任何与其他信息(包括(例如)存储在安 全模块150的存储器212中的一共享秘密)匹配或互相关。如果未找到一相互关系,安全 模块150可以显示一错误信息(流程块608)。所述控制设备信息与所述共享秘密之间缺 乏相互关系可能指示过程控制系统100的该位置的一不正确的控制设备。附加地或可选择 地,所述相互关系的缺乏可能指示该特定控制设备的一不正确安全模块。例如,所述控制设 备可能需要一带有不同或更限制性的安全特征的安全模块。预定用于一安全敏感性较低的 控制设备的一安全模块将不会适当地保护及稳固这个范例中的系统。在已经确定所述控制 设备信息与存储在安全模块150中的所述秘密之间缺乏相互关系时,防止调用所述控制设 备(流程块610),然后所述过程结束。在这种情况下,控制设备120保持不可操作。如果确定所述控制设备信息与所述共享秘密之间存在相互关系(流程块606),安 全模块150鉴定所述控制设备(流程块612)。所述鉴定指示控制设备120是所述过程控 制系统中的这个位置的适当设备,及/或指示安全模块150是控制设备120的适当安全模 块(例如包含适当的安全特征)。为了提供所述鉴定指示,处理单元208的鉴定器216可以 (例如)产生一信号指示控制设备120已鉴定,及/或所述鉴定器可以释放通信及/或电气 限制或停止允许控制设备120进行操作。因此,所述鉴定为控制设备120确定一安全通信 状态。此外,鉴定器216可以向控制设备120提供一身份(流程块614),例如一包括文字 及数字的字符,用于在所述系统中识别控制设备120,以便(例如)在控制系统100中寻址 通信。鉴定器216也分配一任务予控制设备120 (流程块616)。所述任务可以提供控制设 备120可以在所述系统中采取的动作的指示,所述指示可以包括(例如)控制设备120可 以与之通信、可能监测及/或控制的现场设备;控制设备120可以给予的命令;及控制设备 120可以采取的其他动作。此外,鉴定器216可以促成控制设备120的配置(流程块618)。 控制设备120的配置包括提供对控制设备120需要来执行其在所述系统中的任务的数据或 任何其他信息或工具及/或控制参数的存取。在控制设备120已经被调用(例如流程块612-618)之后,控制设备120在过程控 制系统100的操作期间接收要求及命令。安全模块150监测控制设备120的通信,并确定 是否在控制设备120接收一要求或命令(流程块620)。如果没有要求或命令在所述控制 设备被接收,控件保持在流程块620。如果一要求或命令被接收,安全模块150确定控制设 备120是否将被适当地使用,以响应所述要求或命令。为了确定控制设备120是否获授权 采取一动作以响应所述要求或命令,安全模块150对所述要求或命令中的任何加密信息与 存储在存储器212中的一个或多个加密密钥进行比较(流程块622)。如果安全模块150的 加密密钥指示一动作获授权(流程块624),则安全模块150允许控制设备120处理所述要 求或命令(流程块626),然后控件返回到流程块620,以进行后续的通信。附加地或可选择地,基于授权的所述加密可以以其他核准技术(包括校验、密钥 管理及抗干扰技术)取代或替换。此外,在有些范例中,所述安全模块可以保持列出被允许与控制设备120进行通信的设备或控制设备120可以执行的动作的一白名单。如果安全模 块150保持一白名单或其他核准前清单,所述过程将在没有进行在图6的中间操作中执行 的所述比较及其他动作的情况下,从接收来自一设备的一预先核准要求或命令及/或接收 来自一预先核准设备的一通信(流程块620)进入授权及处理所述通信中的所述要求或命 令(流程块626)。然而,如果确定一动作未经授权(流程块624),安全模块150通过(例如)防止控 制设备120采取动作(流程块628)来响应所述通信(包括所述要求及命令),保护控制设 备120 (及整个过程控制系统100)免受未经授权动作的影响。图7描绘一范例方法的一流程图,所述范例方法可以用于实施图1及2的安全模 块,以便实施一动作(例如一控制设备执行的一控制动作)的两人授权。在过程控制系统 中,有些操作足够地安全敏感,它们需要(例如)所述控制室中的一操作员或工程师及在所 述设备处的另一人授权,即控制设备120的所述动作需要两人授权方能执行。所述范例方法以确定与一第一人员(例如控制室102中的一人员)相关的一要求 或命令的确定是否已经在控制设备150处被接收(流程块702)为开始。如果没有这样的包 含一要求或命令的通信被接收,控件保持在流程块702直到此一通信被接收为止。然而,如 果此一要求或命令已经被接收,安全模块150或其他可以移动地连接到所述控制设备(例 如与所述控制设备结合)的安全组件获取与 由一第一人员发送的所述要求或命令相关的 一秘密(流程块704)。在有些范例中,需获取的秘密是由安全模块150或其他可以移动地 连接到所述控制设备(例如与所述控制设备结合)的安全组件产生。所述秘密可以是任何 类别的文字、编码、加密、脉冲、光源模式、声音或任何其他类别的私人通信或密钥。所述秘密接着被提供予一第二人员(例如控制设备120本地处的一人员)(流程 块706),第二人员提供用于一动作的授权(如果适当)以响应所接收的要求或命令。在有 些范例中,所述秘密显示在显示器232上,供所述第二人员观察。在其他范例中,所述秘密 可以通过安全模块150发送到任何其他显示器(例如工作站118),或以其他方式呈现予所 述第二人员。所述第二人员接着执行一动作,包括(例如)将所述秘密送返安全模块150、所述 第一人员及/或控制设备120。在有些范例中,所述第二人员通过所述安全模块的输入设备 234输入一动作,以便将所述秘密送返所述秘密,这可以包括输入指令以便将所述秘密转发 到所述第一人员。在有些范例中,所述秘密从所述第二人员发送到所述要求的一源(例如 控制室102中的工作站118),然后返回到控制设备120。在所述秘密被送返时,或在确定所 述第二人员执行一动作来授权一控制设备动作(流程块708)时,安全模块150识别一动作 已经获得授权以响应所述要求或命令,而安全模块150授权所述控制设备处理所述要求或 命令(流程块710)。控件接着返回到流程块702,直到另一通信被接收为止。例如,如果在 一预定时间数量之后,所述第二人员尚未送返所述秘密(流程块708),控件返回到流程块 702,直到另一通信被接收为止。因此,流程块708可以包括的操作包括在一预定时间间隔 之后的暂停。图8为一框图,其显示范例处理器系统810,范例处理器系统810可以用于实施在 此描述的设备及方法。例如,相似或相同于范例处理器系统810的处理器系统可以用于实 施图1的工作站118、控制设备120、122及126£1-(、输入/输出卡140a_d及142a_d及/或安全模块150-158。虽然以下描述范例处理器系统810包括多个外围设备、界面、芯片、存储 器等等,但这些元件中的一个或多个元件可以从用于实施工作站118、控制设备120、122及 126a-c、输入/输出卡140a-d及142a-d及/或安全模块150-158中的一个或多个省略。如图8中所示,处理器系统810包括处理器812,该处理器812连接到一互连总线 814。处理器812包括一寄存器或寄存器空间816,该寄存器或寄存器空间816在图8中被 描绘成完全在线,但其可以选择性地完全或部分离线并通过专用电气连接及/或互连总线 814直接地连接到处理器812。处理器812可以是任何合适的处理器、处理单元或微处理器。 虽然图8中未显示,但所述系统810可以是多处理器系统,因此,其可以包括一个或多个附 加的、与所述处理器812相同或相似并通信连接到互连总线814的处理器。图8的处理器812连接到一芯片组818,该芯片组818包括一存储器控制器820及 一外围输入/输出控制器822。广为人知的是,一芯片组典型地提供输入/输出及存储器管 理功能以及多个通用及/或专用寄存器、定时器等等,这些设备可以由一个或多个连接到 芯片组818的处理器存取或使用。存储器控制器820执行其功能,使得处理器812 (或多个 处理器,如果有多个处理器)能够存取一系统存储器824及一大容量存储器825。
系统存储器824可以包括任何期望类别的易失性及/或非易失性存储器,例如静 态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、闪速存储器、只读存储器(ROM)等 等。大容量存储器825可以包括任何期望类别的大容量设备。例如,如果范例处理器系统 810用于实施工作站118 (图1),则大容量存储器825可以包括一硬盘驱动器、一光驱动器、 一带存储器设备等等。可选择地,如果范例处理器系统810用于实施控制设备120、122及 126a-c、输入/输出卡140a-d及142a_d及/或安全模块150-158,则大容量存储器825可 以包括一固态存储器(例如闪速存储器、随机存取存储器(RAM)等等)、一磁存储器(例如 硬盘)或任何其他适合在控制设备120、122及126£1-(、输入/输出卡140a-d及142a_d及 /或安全模块150-158中实施大量存储的存储器。外围输入/输出控制器822执行其功能,使得处理器812能够通过一外围输入/ 输出总线832、与外围输入/输出设备826及828以及一网络界面830进行通信。输入/输 出设备826及828可以是任何期望类别的输入/输出设备,比如键盘、显示器(例如液晶显 示器(LCD)、阴极射线管(CRT)显示器等等)、导航设备(例如鼠标、跟踪球、电容式触控板、 操纵杆控制器等等)等等。网络界面830可以是(例如)以太网设备、异步传输模式(ATM) 设备、802. 11设备、数字用户线路(DSL)调制解调器、电缆调制解调器、蜂窝调制解调器等 等,其使得处理器系统810能够与另一处理器系统进行通信。虽然存储器控制器820及输入/输出控制器822在图8中被描绘为芯片组818内 的分别的功能块,但由这些块执行的功能可以在一个单一的半导体线路内集成,或可以使 用两个或多个分别的集成电路来实施。在此描述的范例方法及系统方便地使一过程控制系统的操作员能够使用可以互 换地连接到多个控制设备的多个安全模块。这使所述过程控制系统的操作员能够迅速及轻 易地改变一控制设备的安全编程。例如,操作员可以将一控制设备的安全编程从一集合的 安全功能、水平或特征改变为另一集合的安全功能、水平或特征,而所述另一集合的特征具 有某些性能特性或其他好处对所述过程控制系统中的特定控制设备更为有利。此外,操作 员可以以一经修改或升级的安全编程或在一控制设备原先制造时尚未存在的特定特征来更新一控制设备。此外,包括在正式采用工业标准之前已经结合到所述过程控制系统的最先进的未 公开设备及安全特征的一过程控制系统的操作员将能够将结合所述工业标准的、在此描述 的范例安全模块的其中之一结合到所述未公开控制设备的其中之一,以便更新所述设备, 从而符合适当的标准。以在此描述的范例安全模块实现的另一好处是,连接到一安全模块的控制设备可 以改变,而所有所述安全特征、调用信息等等保持不变。此外,所述安全模块的有些范例可 以包括诊断软件,所述诊断软件可以用于搜集来自所述控制设备的信息。操作员可以通过 将所述安全模块改变为具有所期望的诊断软件的另一安全模块,存取更新、更好或更设备 适当的诊断器件。例如,可以开发一新诊断测试,以便更好地评估一控制设备的一特定条 件。有了在此描述的范例安全模块,所述新诊断测试可以在不需要改变所述控制设备或所 述现有控制设备的电子线路板的情况下,实施在一固有的控制设备上。此外,控制设备的制造商可以将所述安全电子器件及软件及/或诊断电子器件及 软件从所述控制设备的其余电子器件分离。因此,较少种类的用于所述控制设备的电路板 需要开发、制造、库存等等。例如,如果一制造商在两个不同的安全编程中提供各五个控制 设备,则将需要生产十个电路板(每个设备及协议组合用一个电路板)。使用在此描述的范 例安全模块,将只需要生产五个电路板( 每个设备用一个电路板)及两个类别的安全模块 (每个编程用一个类别的安全模块),因此大大减少制造商的开发及存储成本。此外,所述 安全模块可以与其他控制设备一起使用。此外,以上描述的关于图5的隔离电路保护连接到所述范例安全模块的电源及控 制设备。如果发生刺波电流或因电工配线疏忽而导致不可接受的高电压或电流负荷,所述 隔离电路促使所述安全模块吸收所述额外负荷。因此,只是所述安全模块可能需要替换,而 所述控制设备的电路板将保持其功能,这大大地减少维护及修理成本。虽然在此已经描述某些方法、设备及制造件,但本专利包括的范围并未受其限制。 相反地,本专利包括根据字面意义或等效原则正当地属于附此的权利要求范围的所有方 法、设备及制造件。
权利要求
一种用于一过程控制设备的可移动安全模块,所述可移动安全模块包括一主体,所述主体配置成可移动地连接到所述过程控制设备;一存储器,所述存储器布置在所述主体中,而且所述存储器中存储一共享秘密;以及一处理单元,所述处理单元布置在所述主体中、连接到所述存储器,而且配置成读取来自所述过程控制设备的信息;对所述信息与所述共享秘密进行比较;及根据所述比较,鉴定所述过程控制设备。
2.如权利要求1所述的可移动安全模块,其中所述处理单元进一步配置成防止所述过 程控制设备的调用_如果根据所述比较,所述过程控制设备未获得鉴定。
3.如权利要求1所述的可移动安全模块,其中所述存储器包括存储在其上的加密信 息,及其中所述处理单元配置成使用所述加密信息来保护与所述过程控制信。
4.如权利要求3所述的可移动安全模块,其中所述加密信息包括一加密密钥。
5.如权利要求1所述的可移动安全模块,其中所述存储器在其上存储与所述过程控制 设备相关的调用信息。
6.如权利要求5所述的可移动安全模块,其中所述调用信息包括配置信息。
7.如权利要求6所述的可移动安全模块,其中所述配置信息包括一设备标识符号或一 控制参数的至少其中之一。
8.如权利要求1所述的可移动安全模块,进一步包括一显示器,以用于呈现接收自所 述过程控制设备的授权信息。
9.如权利要求8所述的可移动安全模块,进一步包括一输入设备,以用于接收一用户 输入以响应通过所述显示器呈现的所述授权信息中的至少一些授权信息。
10.如权利要求8所述的可移动安全模块,其中所述授权信息是存储在所述过程控制 设备中的一秘密。
11.如权利要求1所述的可移动安全模块,其中所述安全模块进一步包括一通信单元, 以便为所述过程控制设备实质地提供全部通信软件及电子器件。
12.用于一过程控制设备的多个可移动安全模块,其中所述模块中的每个模块包括 一主体,所述主体配置成可移动地连接到所述过程控制设备;一存储器,所述存储器布置在所述主体中,而且所述存储器中存储一共享秘密;以及 一处理单元,所述处理单元布置在所述主体中、连接到所述存储器,而且配置成 读取来自所述过程控制设备的信息; 对所述信息与所述共享秘密进行比较;及 根据所述比较,鉴定所述过程控制设备。
13.如权利要求12所述的多个可移动安全模块,其中所述模块中的每个模块使得能够 由所述过程控制设备提供一不同类别的功能或功能水平。
14.如权利要求12所述的多个可移动安全模块,其中所述模块的至少其中之一提供相 对于所述模块的另外其中之一的升级功能。
15.如权利要求12所述的多个可移动安全模块,其中所述多个模块的一第一模块被实 施为所述多个模块中的一第二模块的代替物。
16.如权利要求15所述的多个可移动安全模块,其中所述过程控制设备在所述第一模 块代替所述第二模块时保持运作。
17.如权利要求12所述的多个可移动安全模块,其中所述多个模块中的一模块可以连 接到一第二控制设备。
18.如权利要求17所述的多个可移动安全模块,其中所述第二控制设备在被连接到所 述模块之后不需被调用来进行操作。
19.一种以一可移动安全模块来保护一过程控制设备的方法,所述方法包括 通过所述安全模块,读取所述过程控制设备中的信息;对所述信息与存储在所述安全模块的一存储器中的一共享秘密进行比较;以及通过所述安全模块,根据所述比较,鉴定所述过程控制设备。
20.如权利要求19所述的方法,进一步包括防止所述过程控制设备的调用_如果根据 所述比较,所述过程控制设备未获得鉴定。
21.如权利要求19所述的方法,进一步包括使用存储在所述存储器中的加密信息来保 护与所述过程控制设备相关的通信。
22.如权利要求21所述的方法,其中所述加密信息包括一加密密钥。
23.如权利要求19所述的方法,进一步包括在所述存储器中存储调用信息,以响应所 述过程控制设备被鉴定。
24.如权利要求23所述的方法,其中所述调用信息包括配置信息。
25.如权利要求24所述的方法,其中所述配置信息包括一设备标识符号或一控制参数 的至少其中之一。
26.一种用于保护一过程控制设备的方法,所述方法包括在所述过程控制设备处接收一要求或命令,其中所述要求或命令与一第一人员相关;获取一秘密,以响应所述要求或命令的所述接收;提供所述秘密予一第二人员;通过所述第二人员发送所述秘密到所述过程控制设备;以及为所述过程控制设备授权所述要求或命令,以响应所述过程控制设备接收所述秘密。
27.如权利要求26所述的方法,其中提供所述秘密予一第二人员的步骤是通过一可移 动安全模块发生。
28.如权利要求27所述的方法,其中获取所述秘密的步骤包括所述可移动安全模块提 供所述秘密。
29.如权利要求26所述的方法,其中提供所述秘密予所述第二人员的步骤包括通过一 显示器向所述第二人员显示所述秘密。
30.如权利要求26所述的方法,其中通过所述第二人员发送所述秘密到所述过程控制 设备的步骤包括将接收自所述第二人员的所述秘密发送到所述要求或命令的一个源;以及通过所述要求或命令的所述源,将所述秘密送返所述过程控制设备。
31.如权利要求30所述的方法,进一步包括在发送所述秘密到所述要求或命令的所述 源之前,在一可移动安全模块的一输入设备处接收来自所述第二人员的所述秘密。
32.如权利要求26所述的方法,其中所述秘密是通过一灯光式样来提供。
33.一种分布式过程控制系统,包括 一个或多个过程控制设备;用于读取来自所述过程控制设备的至少其中之一的信息的工具; 用于对所述信息与一共享秘密进行比较的工具;用于根据所述比较来鉴定所述过程控制设备的至少其中之一的工具;以及 用于授权一个或多个应用程序以用于所述过程控制设备的至少其中之一的工具。
34.如权利要求31所述的分布式过程控制系统,进一步包括用于进行一个或多个应用 程序的两人授权的工具。
全文摘要
本发明公开一种可移动安全模块及相关方法。一范例可移动安全模块包括一主体(所述主体配置成可移动地连接到所述过程控制设备)及布置在所述主体中的一存储器(所述存储器中存储一共享秘密)。所述范例可移动安全模块也包括一处理单元,所述处理单元布置在所述主体中,并连接到所述存储器,而且配置成读取来自所述过程控制设备的信息、对所述信息与所述共享秘密进行比较以及根据所述比较来鉴定所述过程控制设备。
文档编号G05B19/418GK101840221SQ20091021525
公开日2010年9月22日 申请日期2009年12月31日 优先权日2009年1月21日
发明者加里·基思·劳, 戈弗雷·罗兰·谢里夫, 李·艾伦·奈策尔 申请人:费舍-柔斯芒特系统股份有限公司