器从过程控制网络自动获得的并且待由外部数据服务器在不同 时间向DMZ网关设备发布的数据进行定义。配置引擎还将DMZ网关设备配置为接收所发布的 数据视图并且向经由外部网络连接到DMZ网关设备的一个或多个客户端或客户端应用再发 布运些数据视图。
[0011] 在进行配置之后,外部数据服务器对工厂内的如由数据单或数据视图指定的数据 进行访问,并向DMZ网关设备提供数据单或数据视图内的数据。DMZ网关设备随后与外部网 络上的各个客户端应用进行通信,其中,客户端应用订阅在DMZ网关设备处的数据单或数据 视图中的各个数据单或数据视图。运样,客户端应用进行操作来自动接收如由外部数据服 务器向DMZ网关设备提供的数据单或数据视图内的数据。尽管客户端应用可W订阅DMZ网关 设备内的一个或多个数据单或数据视图,但DMZ网关设备被配置为或者被实现为忽视或不 支持来自客户端应用的浏览、读取、写入和配置调用。此外,外部数据服务器还被配置为或 者被实现为忽视或不支持来自DMZ网关设备的浏览、读取、写入和配置调用。在一种情形下, 阻挡或者关闭在外部数据服务器的防火墙侧处的外部数据服务器的读取端口、写入端口和 配置端口,W阻止经由运些端口的外部访问。在运种方式中,除了由外部数据服务器根据数 据单或数据视图所提供的数据(其被配置为来自工厂控制网络内外,DMZ网关设备不能 经由外部数据服务器来访问数据。因此,即使DMZ网关设备遭受了病毒攻击或者受到未授权 人员的访问,病毒或未授权人员也将不能使用DMZ网关设备来经由外部数据服务器得到对 控制系统或过程控制网络的访问,因为DMZ网关设备不具有经由外部数据服务器将请求发 出到控制系统中的直接能力。
[0012] 使用运些安全机制得到了不那么易受病毒攻击(诸如零日病毒攻击、W及其它恶 意软件)的影响的过程控制系统或过程工厂内的软件和通信环境,因为运些安全机制使得 受感染的或受损害的DMZ网关设备难W(如果不是不可能)经由外部数据服务器来得到对过 程控制系统的访问W及对受感染的或受损害的外部客户端应用来说得到对DMZ网关设备的 访问。
【附图说明】
[0013] 图1是具有分布式过程控制系统和过程自动化网络的过程工厂的示例性图示,过 程自动化网络包括一个或多个操作者工作站和维护工作站、服务器、控制器、现场设备、并 包括被配置为提供从外部网络对控制系统的受保护的外部访问的外部数据服务器。
[0014] 图2是在过程控制网络(诸如图1中的过程控制网络)内的外部数据服务器、DMZ网 关设备W及一个或多个客户端设备之间的通信连接的示例性框图,一个或多个客户端设备 使用本文中所描述的受保护的配置来经由DMZ网关从外部数据服务器访问数据。
【具体实施方式】
[0015] 图1是过程工厂5的示意性表示,过程工厂5包括过程控制网络10(被表示为位于图 1中的虚线内部及一个或多个其它工厂网络(被表示为位于图1中的虚线外部)。过程控 制网络10可W被设置在例如过程工厂内,在过程工厂中,各个计算机设备可用于实现本文 中所描述的安全特征,W便促进对过程控制网络10内的过程控制系统信息的受保护的外部 访问。如在图1中示出的,过程控制网络10包括经由过程控制数据总线9连接到数据或事件 历史库12并连接到各自具有显示屏14的一个或多个主机工作站或计算机13(其可W是任何 类型的个人计算机、工作站等等)的控制器11。数据或事件历史库12可W是具有用于储存数 据的任何期望的类型的存储器W及任何期望的或已知的软件、硬件或固件的任何期望的类 型的数据收集单元。数据总线9例如可W是受保护的通信网络,诸如被实现为例如W太网通 信链路的局域网。控制器11还经由输入/输出(I/O)卡26和28W及过程控制现场设备网络或 线路连接到现场设备15-22。图1中的控制器11使用硬连线的通信网络和通信方案来通信地 连接到现场设备15-22。
[0016] 通常,现场设备15-22可W是任何类型的控制设备,诸如传感器、阀、发射机、定位 器等等,同时I/O卡26和I/O卡28可W是遵循任何期望的通信协议或控制器协议(诸如,包括 4-2〇ma协议、hart?协议、FOUNDATION?观场总线协议等等)的任何类型的I/O设 备。控制器11包括执行或监视储存在存储器24中的一个或多个过程控制例程(或者其任何 模块、框、或子例程)的处理器23,并且控制器11W任何期望的方式与设备15-22、主机计算 机13W及数据或事件历史库12进行通信来控制过程。此外,在一个示例中,控制器11可W使 用通常被称为功能块的装置来实现一个或多个控制策略或方案,其中,每一个功能块是结 合其它功能块进行操作(经由被称为链路的通信)来实现过程控制网络10内的过程控制回 路的整体控制例程的对象或其它部分(例如,子例程)。功能块通常执行输入功能(诸如与发 射机、传感器或其它过程参数测量设备相关联的输入功能)、控制功能(诸如与执行PID、 MPC、模糊逻辑等等的控制例程相关联的控制功能)、控制技术、或者控制某些设备(诸如阀) 的操作的输出功能的其中之一,W便在过程工厂内或者在使用过程控制网络10来实现的过 程控制系统内执行某种物理功能。当然,混合功能块或其它类型的功能块存在并可W在图1 中的示例性的过程工厂中使用。可任何期望的或公知的方式来将功能块储存在控制器 11或其它设备内,并由控制器11或其它设备执行。
[0017] 如由图1中的分解框30示出的,控制器11可W包括多个单回路控制例程(示出为控 制例程32和控制例程34),并且如果期望的话,可W执行一个或多个高级控制回路(示出为 控制回路36)。每一个运样的控制回路通常被称为控制模块。单回路控制例程32和单回路控 制例程34被示出为使用分别使用连接到适当的模拟输入(AI)和模拟输出(A0)功能块的单 输入/单输出模糊逻辑控制块和单输入/单输出PID控制块来执行单回路控制,模拟输入 (AI)和模拟输出(A0)功能块可W与诸如阀之类的过程控制设备、与诸如溫度发射机和压力 发射机之类的测量设备、或者与过程控制系统10内的任何其它设备相关联。高级控制回路 36被示出为包括具有通信地连接到一个或多个AI功能块的输入W及通信地连接到一个或 多个A0功能块的输出的高级控制块38,尽管高级控制块38的输入和输出可W连接到任何其 它期望的功能块或控制元件来接收其它类型的输入并提供其它类型的控制输出。高级控制 块38可W执行任何类型的多输入、多输出控制方案、和/或可W执行基于过程模型的控制例 程,并因此可W构成或包括模型预测控制(MPC)块、神经网络建模或控制块、多变量模糊逻 辑控制块、实时优化器块等等。
[0018] 将理解的是,图1中示出的功能块(包括高级控制块38)可W由独立的控制器11来 执行,或者替代地,可位于过程控制系统10中的任何其它处理设备或控制元件(诸如工作站 13的其中之一或者现场设备19-22的其中之一)中并由该任何其它处理设备或控制元件来 执行。例如,现场设备21和现场设备22(其可W分别是发射机和阀)可W执行用于执行控制 例程的控制元件,并且因此包括用于执行控制例程中的部分(诸如一个或多个功能块)的处 理部件和其它部件。更具体来说,如在图1中示出的,现场设备21可具有用于储存与模拟输 入块相关联的逻辑和数据的存储器39A,同时现场设备22可W包括具有用于储存与PID、MPC 或其它控制块相关联的逻辑和数据的存储器39B的致动器,PID、MPC或其它控制块与模拟输 出(A0)块进行通信。
[0019] 此外,图1中示出的控制系统10包括无线通信地禪合到控制器11并潜在地无线通 信地彼此禪合的多个现场设备60-64和71。如在图1中示出的,无线连接的现场设备60通信 地连接到天线65并进行操作W便无线地与天线74进行通信,天线74继而禪合到连接至控制 器11的无线I/O设备68。此外,现场设备61-64连接到有线-无线转换单元66,有线-无线转换 单元66继而通信地连接到天线67。现场设备61-64通过天线67与天线73无线地进行通信,天 线73连接到另一个无线I/O设备70,无线I/O设备70也连接到控制器11。如还在图1中示出 的,现场设备71包括天线72,天线72与天线73和天线74的其中之一或两者进行通信,W便由 此与I/O设备68和/或I/O设备70进行通信。I/O设备68和I/O设备70继而经由有线背板连接 (在图1中未示出)通信地连接到控制器11。在运种情形下,现场设备15-22经由I/O设备26和 I/O设备28来保持硬连线至控制器11。
[0020] 图1中的过程控制系统10可W另外使用或包含对由发射机60-64或其它控制元件 (诸如现场设备71) W任何期望的方式来测量到的、感测到的或者计算到的数据的无线传 输。在图1中的控制系统10中,可W由设备60-64和设备71在预定的或周期性的基础上或者 在非周期性的或