CN112799356A - 用于安全的数据记录的装置和方法 - Google Patents
用于安全的数据记录的装置和方法 Download PDFInfo
- Publication number
- CN112799356A CN112799356A CN202011268925.6A CN202011268925A CN112799356A CN 112799356 A CN112799356 A CN 112799356A CN 202011268925 A CN202011268925 A CN 202011268925A CN 112799356 A CN112799356 A CN 112799356A
- Authority
- CN
- China
- Prior art keywords
- data
- network
- event
- control system
- process control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 85
- 238000004886 process control Methods 0.000 claims abstract description 114
- 230000008569 process Effects 0.000 claims abstract description 56
- 230000004044 response Effects 0.000 claims abstract description 9
- 238000012546 transfer Methods 0.000 claims abstract description 9
- 238000013480 data collection Methods 0.000 claims description 11
- 230000008859 change Effects 0.000 claims description 8
- 230000000977 initiatory effect Effects 0.000 claims 1
- 238000004891 communication Methods 0.000 description 27
- 230000015654 memory Effects 0.000 description 16
- 238000004458 analytical method Methods 0.000 description 13
- 239000004744 fabric Substances 0.000 description 11
- 238000010586 diagram Methods 0.000 description 10
- 230000000694 effects Effects 0.000 description 7
- 230000006870 function Effects 0.000 description 7
- 230000009471 action Effects 0.000 description 6
- 238000011156 evaluation Methods 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 5
- 238000004519 manufacturing process Methods 0.000 description 5
- 230000000875 corresponding effect Effects 0.000 description 4
- 238000013075 data extraction Methods 0.000 description 4
- 238000013500 data storage Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 239000000969 carrier Substances 0.000 description 2
- 230000001276 controlling effect Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 235000019800 disodium phosphate Nutrition 0.000 description 2
- 238000002347 injection Methods 0.000 description 2
- 239000007924 injection Substances 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 239000003921 oil Substances 0.000 description 2
- 238000013105 post hoc analysis Methods 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- XUIMIQQOPSSXEZ-UHFFFAOYSA-N Silicon Chemical compound [Si] XUIMIQQOPSSXEZ-UHFFFAOYSA-N 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 230000002411 adverse Effects 0.000 description 1
- 230000002547 anomalous effect Effects 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000012993 chemical processing Methods 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 238000013481 data capture Methods 0.000 description 1
- 238000011157 data evaluation Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 231100001261 hazardous Toxicity 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000001902 propagating effect Effects 0.000 description 1
- 238000003908 quality control method Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 229910052710 silicon Inorganic materials 0.000 description 1
- 239000010703 silicon Substances 0.000 description 1
- 239000000344 soap Substances 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
- 230000001502 supplementing effect Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 238000013024 troubleshooting Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/25—Integrating or interfacing systems involving database management systems
- G06F16/254—Extract, transform and load [ETL] procedures, e.g. ETL data flows in data warehouses
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/418—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
- G05B19/4184—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by fault tolerance, reliability of production system
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/418—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
-
- G—PHYSICS
- G01—MEASURING; TESTING
- G01D—MEASURING NOT SPECIALLY ADAPTED FOR A SPECIFIC VARIABLE; ARRANGEMENTS FOR MEASURING TWO OR MORE VARIABLES NOT COVERED IN A SINGLE OTHER SUBCLASS; TARIFF METERING APPARATUS; MEASURING OR TESTING NOT OTHERWISE PROVIDED FOR
- G01D9/00—Recording measured values
- G01D9/005—Solid-state data loggers
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/82—Protecting input, output or interconnection devices
- G06F21/85—Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/30—Nc systems
- G05B2219/31—From computer integrated manufacturing till monitoring
- G05B2219/31088—Network communication between supervisor and cell, machine group
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2101—Auditing as a secondary aspect
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Databases & Information Systems (AREA)
- Manufacturing & Machinery (AREA)
- Automation & Control Theory (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Quality & Reliability (AREA)
- Data Mining & Analysis (AREA)
- Testing And Monitoring For Control Systems (AREA)
Abstract
公开了用于安全的数据记录的装置和方法。用于从过程控制***网络进行安全的数据传输的示例性方法包括:存储由过程控制器经由过程控制***网络接收的信息,该过程控制器包括安全仪表***控制器或过程控制***控制器,该信息经由数据二极管从过程控制***网络单向传输到数据记录器,识别过程控制***网络上的触发事件,响应于识别触发事件来针对事件数据解析所存储的信息,并将事件数据从数据记录器传输到数据提取器。
Description
技术领域
本公开内容总体上涉及过程控制***,并且更具体而言,涉及用于安全的数据记录的装置和方法。
背景技术
过程控制***被设计为将特定过程维持在期望的范围内,并且通常包括位于整个工厂中的仪表,以实现出于监控和故障排除的目的来收集数据。数据收集涉及传感器获得的测量结果,包括诸如压力、流速、温度、重量、密度、速度等参数。基本过程控制***(BPCS)接收来自传感器和过程仪表的输入,从而允许BPCS起到防止不安全状况的第一层保护的作用。除BPCS之外,还实施了安全仪表***(SIS),以通过专门监控与安全相关的过程控制***仪表来降低紧急事件的可能性或严重性,从而保护人员、设备和环境。
发明内容
一种用于从过程控制***网络进行安全的数据传输的示例性方法包括:存储由过程控制器经由所述过程控制***网络接收的信息,所述过程控制器包括安全仪表***控制器或过程控制***控制器,所述信息经由数据二极管从所述过程控制***网络单向传输到数据记录器,识别所述过程控制***网络上的触发事件,响应于识别所述触发事件,针对事件数据解析所存储的信息,并将所述事件数据从所述数据记录器传输到数据提取器。
一种用于从过程控制***网络进行安全的数据传输的示例性装置包括:用于存储由过程控制器经由所述过程控制***网络接收的信息的数据储存器,所述过程控制器包括安全仪表***控制器或过程控制***控制器,所述信息经由数据二极管从所述过程控制***网络单向传输到数据记录器,用于识别所述过程控制***网络上的触发事件的事件检测器,用于响应于识别所述触发事件,针对事件数据解析所存储的信息的数据解析器,以及用于将所述事件数据从所述数据记录器传输到数据提取器的连接器。
一种示例性非暂时性计算机可读存储介质包括指令,所述指令在被执行时使得机器至少存储由过程控制器经由过程控制***网络接收的信息,所述过程控制器包括安全仪表***控制器或过程控制***控制器,所述信息经由数据二极管从所述过程控制***网络单向传输到数据记录器,识别过程控制***网络上的触发事件,响应于识别所述触发事件,针对事件数据解析所存储的信息,并将所述事件数据从所述数据记录器传输到数据提取器。
附图说明
图1是示例性过程控制***的框图,该过程控制***可以被配置为出于经由内部网络的数据提取的目的使用本文所描述的示例性安全数据记录器装置和方法。
图2是示例性过程控制***的框图,该过程控制***可以被配置为出于经由外部网络的数据提取的目的使用本文所描述的示例性安全数据记录器装置和方法。
图3是示出根据本公开内容的教导的用于在过程控制***网络中记录数据的示例性数据记录器的框图。
图4是表示可以被执行以实现图3的示例性数据记录器的机器可读指令的流程图。
图5是示例性处理器平台的示意图,该处理器平台可以用于和/或被编程为执行图4的示例性方法,和/或更一般地实现图1、图2以及图3的示例性安全数据记录器。
具体实施方式
实施关键过程的过程控制***(例如,化学加工厂、发电厂等)如果控制不当,则可能出现重大的安全风险。基本过程控制***(BPCS)通过允许使用与BPCS相关联的控制器、逻辑求解器和现场设备对整个过程进行连续控制,来提供第一层保护。BPCS通常使用气动控制回路、可编程逻辑控制器、分布式控制***(DCS)、离散控制***和单回路控制器来实现。DCS用于监督复杂的生产过程(例如,大型炼油厂),并包括传感器、控制器和分布在整个工厂中的、用于数据采集、过程控制以及存储和图形显示的目的的相关联的计算机。可以通过结合操作员干预的自动关闭顺序来引入附加的安全措施,以使用预定顺序关闭过程。
安全仪表***(SIS)监控专用现场设备和与SIS相关联的、在物理上和逻辑上与BPCS分开的其它专用控制元件。SIS负责响应存在重大安全风险的控制条件来安全关闭过程。SIS依赖于专用的逻辑求解器、控制器、安全认证的现场设备(例如,传感器、最终控制元件、截止阀等)、数据冗余设备和例程、以及安全认证的软件代码。例如,现场传感器(例如,气动传感器、电气开关、具有车载诊断的智能变送器等)用于收集信息(例如,温度、压力、业务等)以识别紧急情况。逻辑求解器提供故障安全和容错操作,以基于收集的信息确定要采取的措施,而最终控制元件(例如,由电磁阀操作的气动开关阀)实施由逻辑***确定的措施。例如,SIS控制器可以通过暂时中断电磁阀电源信号来测试过程控制阀的安全超驰(override)。
由于与SIS相关联的虚假跳闸事件,可能发生计划外但安全的过程关闭,从而导致高昂的操作成本。事后分析用于评估跳闸前后的过程条件,以确定事件的潜在根本原因。数据记录能力实现收集与跳闸前和跳闸后事件分析有关的数据。然而,这种数据记录能力必须是安全的,以防止对过程控制***网络的未经授权访问。当前的数据获取方法包括将计算机连接到控制***安全网络,并在该计算机上运行数据记录软件应用,或远程连接到网络以获取数据。允许物理或远程计算机连接的数据记录器增加了安全风险,因为可以将网络攻击载体(例如,恶意软件注入)引入SIS(例如,网络攻击逻辑求解器或***控制器)。网络安全威胁可能严重影响SIS的可用性和完整性,并且SIS仍然容易受到网络事件的影响,包括分布式控制***(DCS)的其它工业控制***也是如此。假定SIS控制器保护关键资产(例如,炼油厂、发电厂、化工厂、近海石油钻机等)免受潜在灾难性故障的影响,对这种***的成功网络攻击消除了操作员赖以预防不良事件的精心设计的安全措施。同样,经由网络攻击导致意外SIS关闭可能使生产脱机,造成运营和财务影响。由国际电工委员会制定的、处理确保工业过程安全的***工程实践的全球功能安全标准(例如,IEC 61511),需要SIS设计提供针对已标识的安全风险的复原能力。然而,当新的网络攻击被实施并且用于标识这种攻击的签名尚未开发出并被部署以检测异常事件时,常用的预防措施(诸如防病毒软件)可能无效。
本文公开的示例消除了数据记录器用于将网络攻击载体引入过程控制***的可能性。在本文公开的示例中,可以将硬件数据二极管嵌入数据记录器装置中,以消除经由数据记录器对过程控制***进行成功的网络攻击的风险。在本文公开的示例中,数据记录器可以监听过程控制安全网络上的业务,但是不能将信息发送到安全网络。此外,本文公开的示例可以捕获并存储跳闸后事件分析所需的元数据、记录的数据和时间信息,其可以进一步用于解释、搜索和报告数据。例如,可以在不影响过程控制***安全性的情况下获取与跳闸前和跳闸后信息有关的记录数据,并且可以通过用户配置的选择条件来触发用于保存数据日志的动作。如本文所述,将硬件数据二极管合并到数据记录器中不需要对SIS架构的任何修改以实现数据记录。此外,本文呈现的数据记录活动可以用于收集和关联来自过程控制***(例如,SIS、BPCS)的各个层以及分布式控制***(DCS)中的数据。这种数据不限于与安全相关的事件数据,但可以包括与触发事件有关的任何数据收集。此外,基于硬件数据二极管的数据记录器的使用不限于单个过程控制***,并且可以在需要增加网络安全保护的任何工业控制***中实现。在本文公开的示例中,数据记录器可以用于检测网络(例如,安全网络、区域控制网络)内的异常业务模式,以在检测到业务模式的重大变化时启动警报。
图1是示例性过程控制***100的框图,该过程控制***100可以被配置为出于经由内部网络的数据提取的目的而使用本文所述的示例性安全数据记录器装置和方法。示例性过程控制***100包括示例性操作员站102。操作员站102经由总线或示例性本地局域网络(LAN)104通信地耦合到过程控制***控制器,该过程控制***控制器包括示例性基本过程控制***(BPCS)控制器106和示例性安全仪表***(SIS)控制器108。在一些示例中,LAN104是可以使用任何期望的通信介质和协议来实现的区域控制网络(ACN)。例如,LAN 104可以基于硬件或无线以太网通信协议。然而,可以替代地使用任何其它适合的有线或无线通信介质和协议。
操作员站102可以被配置为执行与一个或多个信息技术应用、用户交互应用和/或通信应用相关联的操作。例如,操作员站102可以被配置为执行与过程控制相关的应用和通信应用(其能够使得站102以及(多个)控制器106和/或108使用任何期望的通信介质(例如,无线、硬连线等)和协议(例如,HTTP、SOAP等)与其它设备或***进行通信)相关联的操作。
(多个)示例性控制器106和/或108(例如,BPCS控制器106和SIS控制器108)可以被配置为执行一个或多个过程控制例程和/或操作为一个或多个控制回路(其已经由使用例如操作员站102或任何其他工作站的***工程师或其它***操作员生成,并且已被下载到(多个)控制器106和/或108并已在其中初始化)的功能。(多个)控制器106和/或108可以经由数字数据总线和输入/输出(I/O)设备分别耦合到多个现场设备110和111。在一些示例中,(多个)现场设备110和111可以经由(多个)示例性硬连线链路109耦合到(多个)控制器106和/或108。(多个)现场设备110和111可以包括符合现场总线的阀、致动器、传感器等,在这种情况下,(多个)现场设备110和111使用现场总线协议经由数字数据总线进行通信。在一些示例中,可以使用其它类型的现场设备和通信协议。例如,(多个)现场设备110和111可以是使用Profibus、AS-i和HART通信协议经由数据总线进行通信的Profibus、HART或AS-i兼容设备。
过程工业中的已知装置具有由BPCS和SIS共享的现场设备(例如,传感器、阀等)。例如,可以通过使用信号分配器并将同一传感器连接到两个***以在BPCS与SIS之间共享传感器数据。在其它示例中,集成控制和安全***允许逻辑求解器直接与一个或多个过程控制器共享输入信号数据。在一些示例中,现场设备专用于过程控制器(例如,(多个)现场设备110通信地耦合到BPCS控制器106,而(多个)现场设备111通信地耦合到SIS控制器108)。BPCS控制器106和SIS控制器108接收指示分别由(多个)现场设备110和111获得的过程测量结果的信号和/或与(多个)现场设备110和111有关的其它信息,并使用该信息以执行控制例程并生成通过总线和/或其它通信路径发送到现场设备110和111以控制过程的操作的控制信号。来自(多个)现场设备110和111以及(多个)控制器106和108的信息可以对***作员站102执行的一个或多个应用可用,以使操作员能够执行针对过程的期望功能,诸如查看过程的当前状态、修改过程的操作等。例如,SIS控制器108可以从(多个)现场设备111(例如,与SIS直接通信的现场设备)和/或(多个)现场设备128(例如,与BPCS和SIS两者通信的现场设备)读取信号并执行预编程的动作以通过向最终控制元件提供(多个)输出来防止危险。
在图1中,示例性SIS 140包括SIS控制器108、(多个)SIS专用现场设备111、示例性数据记录器112a、示例性本地安全网络120、(多个)示例性逻辑求解器124和(多个)现场设备128。示例性BPCS 150包括BPCS控制器106、(多个)BPCS专用现场设备110、示例性数据记录器131a、示例性区域控制网络132、(多个)示例性逻辑求解器136和(多个)现场设备128。本地安全网络120可以是专用于能够实现SIS控制器108与(多个)逻辑求解器124之间的通信的过程安全***的标准以太网。类似地,区域控制网络132可以是专用于能够实现BPCS控制器106与(多个)逻辑求解器136之间的通信的过程控制***的标准以太网。(多个)逻辑求解器124和136可以包括智能逻辑求解器,其将安全参数和输入数据通过本地安全网络120和/或区域控制网络132分别传送给其它逻辑求解器。在一些示例中,SIS控制器108可以连接到除了本地安全网络120之外的区域控制网络132,使得(多个)SIS专用逻辑求解器124与过程控制***隔离。例如,本地安全网络120可以保持专用于安全相关的目的,而不是用于控制和安全两者,从而使得SIS部件能够不受区域控制网络132的任何故障的影响。SIS部件可以经由总线126和/或本地安全网络120进行通信耦合,并且BPCS部件可以经由总线130和/或区域控制网络132进行通信耦合。本地安全网络120和本地区域控制网络132可以包括用于控制通过安全网络120和区域控制网络132的数据流的网络开关。
SIS 140的数据记录器112a通信地耦合到本地安全网络120,以捕获并存储执行跳闸分析所需的所有输入信息和特定数据。在一些示例中,如果在SIS 140中未检测到触发事件,则该信息可以连续地存储在数据储存部件(例如,硬盘)中并且在一段时间(例如,用户配置的一段时间)之后被覆盖。在一些示例中,数据记录器112a基于用户可配置的设置来记录在检测到触发事件之前和之后的所有数据,如以下结合图3-4所详细描述的。这种数据可以包括由SIS 140提供的每个收集的数据点的时间戳信息。在一些示例中,数据记录器112a的数据捕获活动可以包括记录捕获的每个数据点的完整性或状态,以便在跳闸事件分析(例如,质量控制数据)、或将使用数据记录器112a捕获的数据(例如,用户配置的、将被数据记录器112a捕获的数据)执行的任何其它类型的分析期间使用。例如,对数据的全面评估可能要求数据完整性不被损害(例如,在分析过程中要考虑数据的准确性、完整性和一致性的水平)。尽管可以执行数据记录器112a的用户配置(例如,定义将被收集的参数,诸如通过从SIS 140导出信息以配置数据记录器112a内的收集点),但无需对SIS 140进行任何修改以使用数据记录器112a来实现数据记录。例如,与已知的数据记录应用不同,在SIS工程站(例如,操作员站102)上安装软件或启用某些服务对于允许数据记录器112a执行从SIS 140的信息获取是不必要的,因为数据记录器112a能够发现过程控制网络并且可以自动识别过程控制***网络上的SIS专用设备。尽管数据记录器112a是SIS专用数据记录器,但是示例性数据记录器131a是BPCS专用数据记录器,其可以用于通信耦合到区域控制网络132,以捕获并存储可以根据需要进行获取以进行网外评估的所有输入信息和特定于BPCS的数据。
数据记录器112a和131a包括各自的集成硬件数据二极管112b和131b,以防止将数据记录器112a和/或131a用作攻击载体(例如,出于经由恶意软件注入对过程控制***100进行网络安全攻击的目的)。在图1的示例中,数据二极管112b和131b被示为分别在数据记录器112a和131a内。在该示例中,数据记录器中的每一个与数据二极管中的每一个之间的连接是物理连接。然而,在一些示例中,数据记录器与数据二极管之间的连接可以是逻辑连接,而不是物理连接。数据二极管112b和131b向数据记录器112a和131a提供仅收听的能力,使得数据记录器112a和131a能够捕获并存储输入信息,将信息单向(例如,单向地)传递给相应的示例性数据提取器116和/或117,但是阻止从数据提取器116和117到过程控制***100的任何输入(例如,经由数据记录器112a到SIS 140的输入和/或经由数据记录器131a到BPCS 150的输入)。在一些示例中,数据二极管112b和131b可以包括两个节点或电路(例如,一个“仅发送”节点和一个“仅接收”节点),其仅允许在一个方向上来自源的数据流(例如,本地安全网络120经由数据二极管112b到数据记录器112a)。在一些示例中,数据二极管112b和131b可以包括光纤,其中在一侧上具有发射器(例如,用于将信息发送到外部设备的端口)并且在另一侧上具有接收器(例如,用于接收来自过程控制***的信息的端口)以确保仅能在一个方向上传输数据。例如,数据二极管112b和131b可以包括互连的交换机结构(例如,第一交换机结构和第二交换机结构),使得传送数据(例如,来自BPCS控制器106和/或SIS控制器108的数据和/或来自本地安全网络120和/或区域控制网络132的数据)的第一交换机结构的端口连接到接收数据的第二交换机结构(例如,(多个)数据记录器112a和/或131a)的端口。然而,在交换机结构之间没有其它连接用于维护数据的单向流动。可以配置交换机结构,以便对于这些互连交换机端口而言忽略链路状态(例如,“连接接通”或“链路断开”),从而允许第一交换机结构的其它端口将数据包(例如,通过网络发送的数据)转发到第二交换机结构。在一些示例中,接收数据的交换机结构端口(例如,第二交换机结构的端口,也称为互连端口,因为它可以连接两个单独的设备(诸如数据记录器112a和数据提取器116)可以将接收到的数据包转发到其它端口。在一些示例中,交换机结构被配置为转发如上所述的业务,而不管可能已经获悉的内部MAC地址表。例如,MAC地址表包含交换机可以用于在端口之间转发业务的地址信息,使得该表中的MAC地址与一个或多个端口相关联。通过禁用MAC地址学习,交换机结构将基于给定的配置转发业务,从而促进数据的单向流动,同时允许连接到交换机的其它端口的设备提供良好(例如,已连接)状态。从网络(例如,本地安全网络120和/或区域控制网络132)引出的数据二极管,如结合示例性数据二极管112b和131b所示,其定向为将数据从网络中传输出去,通过保证不能使用相反方向的相同连接来到达安全网络并影响过程控制***100环境,来允许网络保持受保护状态。这样,数据二极管可以用于分割网络,防护网络和/或单向传输信息(例如,从网络到数据记录器,再到数据提取器)。在一些示例中,数据二极管112b和131b可以被嵌入到数据记录器112a和131a中,以将数据从本地安全网络120和/或区域控制网络132发送到外部***和/或用户,而无需创建回到安全网络的威胁载体。
在图1的示例中,使用局域网产生了从数据记录器112a和131a分别到数据提取器116和117的数据传输,而图2的示例详细说明了使用数据记录器经由外部网络进行数据传输。与使用同样容易受到网络攻击的软件(例如,诸如防火墙)相反,将数据二极管嵌入数据记录器中许可硬件强制的数据传输,该硬件强制的数据传输提供一定水平的、难以使用外部攻击破坏的网络安全性。然而,本文公开的基于数据二极管的数据记录器不限于在安全仪表***或基本过程控制***中的应用,因此,可以在任何类型的工业过程控制应用中(例如,在分布式控制***中)使用,以增强安全性。例如,由于数据二极管112b和131b是基于硬件的,因此对数据二极管112b和131b的在线攻击难以执行,因为(多个)数据二极管不包括任何软件、逻辑或现场可编程门阵列,并允许信号经由物理路径沿一个方向传播。同样,数据记录器网络(例如,连接在一起的数据记录器集合)上的任何问题都不会影响安全网络的完整性。例如,假设数据二极管(例如,(多个)数据二极管112b和131b)位于过程控制***网络(例如,本地安全网络120和/或区域控制网络132)与数据记录器(例如,(多个)数据记录器112a和/或131a)之间,由于数据是经由数据二极管从网络传输到数据记录器的,因此数据记录器不影响其正在监听的网络。在一些示例中,(多个)数据记录器112a和/或131a可以用于连接到多于一个的网络(例如,数据记录器112a可以用于连接到本地安全网络120和区域控制网络132),如果有适当的安全保护措施。在数据收集与跳闸分析相关的示例中,数据记录可以被配置为自动丢弃分析不需要的任何数据,以防止使用数据记录器作为出于恶意目的对安全网络业务进行解码的机制的风险。在一些示例中,当(多个)数据记录器112a和/或131a不可操作时(例如,通过将信息从数据记录器112a发送到SIS 140),可以警告SIS140和/或BPCS 150。在警告过程控制***(多个)数据记录器112a和/或131a无法正常工作的这种示例中,不存在进入安全网络120的业务。例如,数据记录器112a使用物理信号(例如,干触点,诸如警报118)或除了安全网络120之外的单独网络上的消息(例如,诸如经由区域控制网络132发送到操作员站102的消息)来提供信息。
在一些示例中,数据记录器112a和131a可以用于检测一个或多个安全网络内的异常业务模式。例如,数据记录器112a和131a可以用于检测意外的网络节点并响应于该检测而触发警报(例如,连接到(多个)数据记录器112a和/或131a的示例性警报118、119)。例如,(多个)数据记录器112a和/或131a可以生成本地安全网络120和/或区域控制网络132上的业务的基线。如果(多个)数据记录器112a和/或131a检测到业务模式中的重要变化,则可以使用一个或多个警报118和/或119向SIS 140和/或BPCS 150警告该潜在的安全问题。在一些示例中,一个或多个数据记录器可以用于收集其它网络上的数据(例如,SIS 140的数据记录器112a可以用于从除了本地安全网络120之外的BPCS 150的区域控制网络132收集数据)。在SIS 140和BPCS 150两者中的数据收集(如图1的示例所示,其中数据记录器112a和数据记录器131a用于从两个过程控制***网络中收集数据)都可以用于协调触发信号,以便可以关联所记录的数据。例如,使用来自SIS 140和BPCS 150两者的数据收集允许确定是否是由BPCS故障产生了SIS需求。这样,经由(多个)数据记录器112a和/或131a中的一个或多个对两个数据集合的访问可以改善根本原因分析。在一些示例中,(多个)数据记录器112a和/或131a可以包括多个端口,其中,(多个)数据记录器112a和/或131a具有一个或多个数据二极管(例如,每个端口的数据二极管)。例如,(多个)数据记录器112a和/或131a可以经由链路113进行通信,这允许数据记录器112a和/或131a交换关于SIS 140和/或BPCS150的信息。当信息在数据记录器112a与数据记录器131a之间交互时,由于数据二极管112b的定位,SIS 140与BPCS 150保持隔离,使得数据记录器从安全网络120接收信息,但不将信息发送回网络120。这在(多个)数据记录器112a和/或131a损坏的情况下为过程控制***网络提供了附加的保护。在一些示例中,使用数据记录器需要改变交换机配置(例如,将一个端口设置为混杂模式),以允许将所有网络业务发送到该端口。在一些示例中,数据记录器112a和131a可以被部署为串联设备,以防止需要改变网络交换机(例如,用于本地安全网络120和/或区域控制网络132的网络交换机)处的端口配置。在一些示例中,(多个)数据记录器112a和/或131a可以包括两个端口(例如,用于SIS 140的两个端口和/或用于BPCS150的两个端口和/或分别用于SIS 140和BPCS150的端口)。这确保控制***网络交换机不需要任何更改。例如,如图1所示,数据记录器112a连接在可以包括网络交换机的本地安全网络120与要监控的网络节点(例如,SIS控制器108)之间。在一些示例中,要监控的网络节点可以是例如SIS的(多个)逻辑求解器124。此外,如图1所示,数据记录器131a连接在控制***网络交换机(例如,区域控制网络132的网络交换机)与要监控的网络节点(例如,BPCS控制器106)之间。在一些示例中,(多个)数据记录器112a和/或131a可以具有用于与其它数据记录器联网的附加端口(例如,允许SIS专用数据记录器112a与BPCS专用数据记录器131a联网),以及出于报警目的的附加干触点(例如,使用(多个)报警器118和/或119)。在一些示例中,可以禁用用于BPCS 150连接或SIS 140连接的(多个)数据记录器112a和/或131a的端口之一,而改为连接到SIS 140网络(例如,使用本地安全网络120的网络交换机)或BPCS150网络(例如,使用区域控制网络132的网络交换机)上的空闲端口。
数据提取器116和/或117获取存储在(多个)数据记录器112a和/或131a中的数据。例如,数据提取器116和/或117可以使用可以经由蓝牙连接到(多个)数据记录器112a和/或131a的计算设备(例如,膝上型计算机或其它移动计算机)来实现。这种连接需要对(多个)数据记录器112a和/或131a的物理访问(例如,对内部网络的访问),与使用远程网络连接提取数据相比,这表示较低的安全风险(例如,如结合图2所描述的)。(多个)数据提取器116和/或117也可以是物理地***到(多个)数据记录器112a和/或131a中的USB驱动器。在一些示例中,单个计算机可以用作数据提取器116或117,以从经由单独和/或隔离的网络连接的(多个)数据记录器112a和/或131a提取数据。
(多个)逻辑求解器124使用SIS控制器108来实现,该SIS控制器108被配置为实现一个或多个安全仪表功能。例如,安全仪表功能可以包括监控与一种或多种特定危害和/或不安全状况相关联的一种或多种过程状况,以及评估过程状况以确定是否保证关闭该过程。如果保证关闭该过程,则接合一个或多个现场设备、部件和/或元件(例如,关闭阀)以实现或执行关闭。在一些示例中,可以使用至少一个感测设备、一个逻辑求解器和一个现场设备来实现每一种安全仪表功能。(多个)逻辑求解器124可以被配置为经由一个或多个传感器监控至少一个过程控制参数,并且如果检测到危险状况,则操作现场设备(例如,(多个)现场设备128)以实现过程的安全关闭。例如,(多个)逻辑求解器124可以通信地(例如,经由总线126)耦合到可以被配置为协助关闭程序(例如,如果经由压力传感器检测到不安全的超压状况,使得排气阀打开)的现场设备128(例如,感测容器或罐中的压力的压力传感器)。(多个)逻辑求解器124可以被配置为实现一个或多个安全仪表功能,并且可以通信地耦合到多个安全等级或认证的现场设备。如图1所示,(多个)逻辑求解器124经由示例性总线126和/或本地安全网络120通信地耦合到SIS控制器108。然而,(多个)逻辑求解器124可以替代地以任何其它所需方式通信地耦合在***100内。无论(多个)逻辑求解器124以哪种方式耦合到***100,(多个)逻辑求解器124优选地但并非必须是相对于SIS控制器108的逻辑对等物。与(多个)逻辑求解器124不同,(多个)逻辑求解器136与SIS 140分离,并且不具有对SIS本地安全网络120的访问,而SIS本地安全网络120也不能被BPCS 150的其它部件访问。在一些示例中,BPCS控制器106可以通过不同的总线从(多个)逻辑求解器124接收信息,以允许工厂操作员查看SIS信息。在一些示例中,如上所述,基于数据二极管的数据记录器(例如,数据记录器131a)可以用于获得这种信息,其中使用额外的端口连接到本地安全网络(例如,经由本地安全网络120交换机)。在一些示例中,数据记录器131a上的额外端口可以用于连接到另一个数据记录器(例如,数据记录器112a)以获取与SIS相关的信息。
(多个)现场设备110、111和128可以是智能或非智能现场设备,包括传感器、致动器和/或可以用于监控过程条件和/或实现对过程控制***100的受控关闭的其它过程控制设备。例如,现场设备110、111和128可以是安全认证或额定业务传感器、温度传感器、压力传感器、关闭阀、排气阀、隔离阀、关键开/关阀等。可以针对任意数量的所需过程控制或安全仪表功能在过程控制***中实现任意数量的现场设备和/或逻辑求解器。在例如(多个)现场设备128是智能设备的情况下,(多个)逻辑求解器124可以使用硬连线数字通信协议(例如,HART、Fieldbus等)与(多个)现场设备128进行通信。然而,可以替代地使用任何其它类型的通信介质(例如,有线、无线等)和协议。
图2是示例性过程控制***200的框图,该过程控制***200可以被配置为出于经由外部网络的数据提取的目的而使用本文所述的示例性安全数据记录器装置和方法。由于图2的所示示例的一些元件与以上结合图1讨论的那些相同,因此相同元件的描述在此不再重复。取而代之的是,在图2中用相同的附图标记示出相同的元件,这提供了那些相同编号的元件的完整描述。与图1的所示示例相比,在图2的示例性过程控制***200中,示例性数据记录器112a和131a具有能够经由外部网络(例如,外部网络212)将数据传输到数据提取器的附加能力。例如,图2的数据记录器112a和131a可以提供边缘网关能力(例如,访问包括本地安全网络120和区域控制网络132的过程控制网络之外的外部网络)。例如,数据记录器112a和131a可以用于在将数据发送到云(例如,外部网络212)之前在边缘处本地预处理该数据,从而通过控制网络之间的边界处的数据流在网络之间提供网关。这样,(多个)数据记录器112a和/或131a使用收集的数据以允许其经由外部网络212传输到最终用户来代替使用单独的边缘网关和数据记录设备。例如,(多个)数据记录器112a和/或131a可以以安全的方式路由来自控制***(例如,SIS 240和/或BPCS 250)的、未被控制***(例如,BPCS控制器108和/或SIS控制器108)使用的信息,以使其可用于外部应用。
在一些示例中,(多个)数据记录器112a和/或131a可以连接到一个或多个SIS 240和/或BPCS的(多个)输入/输出(I/O)***208和/或216,如在图2的示例中所示。(多个)I/O***208和/或216从(多个)现场设备128接收数据,并将数据转换成能够被(多个)示例性控制器106和/或108处理的通信。同样地,(多个)I/O***208和/或216可以将来自(多个)控制器106和/或108的数据或通信转换为能够由相应的(多个)现场设备128处理的数据格式。在一些示例中,I/O子***是主控制***I/O子***,其从部署在过程控制***中的现场设备(例如,(多个)现场设备128)接收信息。在这样的示例中,数据记录器112a和131a可以经由I/O***监听从区域控制网络132和/或本地安全网络120可获得的数据,并且经由外部网络发送数据。在这样的示例中,(多个)数据记录器112a和/或131a不需要对每个单独的过程控制***网络进行访问。从(多个)数据记录器112a和/或131a到外部网络212的通信可以经由例如以太网连接、同轴电缆***、卫星***、现场连线(line-of-site)无线***等进行。
图3是示出根据本公开内容的教导的用于在过程控制***网络100和/或200中记录数据的示例性数据记录器的框图。示例性数据记录器300可以用于实现数据记录器112a和131a,并且包括示例性数据储存器302、示例性配置器304、示例性定时器306、示例性事件检测器308、示例性数据解析器310、示例性识别器312、以及示例性连接器314。
数据储存器302存储由过程控制器(例如,基本过程控制***(BPCS)控制器106和/或安全仪表***(SIS)控制器108)接收的信息。由数据储存器302存储的过程控制***信息可以包括由控制器106和/或108接收的、由数据记录器300捕获的任何信息。在一些示例中,输入信息可以连续地存储在数据储存器302(例如,硬盘)中。数据储存器302可以包括与一段时间内发生的控制器106和/或108的活动有关的数据,诸如从(多个)现场设备110、111和/或128(例如,传感器、最终控制元件、截止阀等)捕获的数据。在一些示例中,存储在数据储存器302中的数据可以在经由基于用户的配置指定的时间段之后被覆盖。由(多个)数据记录器112a和/或131a捕获并存储在数据储存器302中的数据可以包括与执行跳闸分析有关的信息(例如,由与计划外但安全的过程控制***关闭相关的跳闸事件导致)。这样的信息可以包括由控制器106和/或108提供的每个收集的数据点的时间戳,其中数据点对应于与过程控制***(例如,SIS 240和/或BPCS 250)的状态相关的信息(例如,温度、压力、流速、重量、应力等)。在一些示例中,数据储存器302在广播时存储元数据、记录的数据和时间信息,以允许数据记录器300用于开发解释、搜索和报告数据的应用。在一些示例中,一旦数据记录器300被连接到过程控制***网络,数据储存器302就开始记录数据。例如,数据记录器300参与过程控制***的自发现,以使得能够对过程控制***网络上的设备进行自动检测。
配置器304可以用于配置数据记录器300。例如,配置器304可以用于设置在被覆盖之前将所收集的数据存储在数据储存器302中的时间段(例如,经由计时器306)。计时器306可以用于确定时间间隔(例如,用户配置的数据收集时间间隔)何时已经流逝,使得数据记录器300覆盖数据储存器302中的现有存储信息。在一些示例中,数据记录器300可以被配置为使用配置器304来存储安全相关事件数据(诸如记录的数据、元数据和时间戳信息)。在一些示例中,配置器304可以用于基于将使用所收集的基于过程控制***的信息执行的数据评估的类型来配置数据储存器302。在一些示例中,出于分析与安全相关的事件信息的目的,配置器304用于配置跳闸前和跳闸后数据的存储和记录,并且具有使用数据存储器302基于对与安全相关的事件评估感兴趣的过程控制***参数来保存某些日志的动作。例如,某些数据日志可以帮助确定保护***的完整性级别,诸如可以通过测试确定的过程控制***部件的可靠性。
事件检测器308识别过程控制***100和/或200网络的感兴趣的事件(例如,触发事件)。例如,触发事件可以是在SIS 240和/或BPCS 250网络上发生的、安全相关的事件。安全相关的事件包括一个或多个过程控制网络上意外节点的出现或一个或多个过程控制网络的业务模式的变化,该变化对应于与指定为正常的业务模式的偏差。在一些示例中,该事件可以是在工业***网络上可能发生的任何感兴趣的事件(例如,特定过程控制***参数的变化)。
数据解析器310解析存储在数据储存器302中的用于与触发事件有关的数据的信息。例如,在存在安全相关事件的情况下,数据解析器310获取安全相关事件之前和之后的数据。这样的数据可以包括记录的数据、元数据和时间戳信息。这允许对过程控制***活动的全面评估,并且可以包括对来自一个或多个过程控制***网络(例如,图1-2的本地安全网络120和/或区域控制网络132)的数据的评估。在一些示例中,如果数据解析器310不能识别从过程控制器(例如,(多个)处理器控制器106和/或108)到数据储存器302的任何传入数据(例如,输入),则数据解析器310触发过程控制***网络外部的警报(例如,图1-2的警报118),该警报在过程控制器的输入信息不可访问时使用。
一旦数据解析器310已经从数据储存器302中获取到与触发事件之前和/或之后的数据相对应的数据,识别器312就从所获取的数据中识别给定评估所需的特定数据内容(例如,根本原因分析)。例如,识别器312可以获取由(多个)过程控制器106和/或108捕获的信号值信息、数据完整性信息和时间戳信息。
连接器314将事件数据传送到数据提取器(例如,数据提取器116)。在某些示例中,假定可以将数据二极管(例如,数据二极管112b)嵌入数据记录器(例如,数据记录器112a)中,以从过程控制***网络(例如,本地安全网络120)单向传输数据到数据记录器(例如,数据记录器112a),数据提取器可以从数据记录器300接收信息,但是数据记录器300不允许将信息传送到过程控制***网络(例如,本地安全网络120)中。数据记录器300可以具有多个连接器(例如,端口),其允许信息的传送(例如,经由内部网络或外部网络)。在一些示例中,连接器314可以用于将一个数据记录器连接到另一个数据记录器(例如,存储来自不同过程控制器的数据的数据记录器),以接收关于单独的过程控制***的信息(例如,用于SIS 240和BPCS 250两者的聚合数据)。在一些示例中,连接器314用于将数据从区域控制网络132和/或本地安全网络120经由I/O***(例如,(多个)I/O***208和/或216)传送到数据提取器(例如,USB驱动器、膝上型计算机等)或外部网络(例如,外部网络212),而无需访问每个单个的过程控制***网络。在一些示例中,连接器314连接到嵌入式计算机而不是通用计算机,以防止远程连接并改善加固程度(hardening)(例如,移除可能引入安全风险的不必要的应用和服务)。在一些示例中,数据的获取可以限制于强制物理存在的方法(例如,需要计算机或可以通过到(多个)数据记录器的直接连接来实现的其它数据获取手段的连接)。
尽管图3中示出了实现图1-2的数据记录器装置的示例性方式,图3中示出的元件、过程和/或设备中的一个或多个可以以任何其它方式进行组合、划分、重新布置、省略、消除和/或实现。此外,示例性数据储存器302、示例性配置器304、示例性计时器306、示例性事件检测器308、示例性数据解析器310、示例性识别器312、示例性连接器314和/或更一般地,示例性数据记录器300可以由硬件、软件、固件和/或硬件、软件和/或固件的任何组合来实现。因此,例如,示例性数据储存器302、示例性配置器304、示例性计时器306、示例性事件检测器308、示例性数据解析器310、示例性识别器312、示例性连接器314和/或更一般地,示例性数据记录器300可以由一个或多个模拟或数字电路、逻辑电路、(多个)可编程处理器、(多个)可编程控制器、(多个)图形处理单元((多个)GPU)、(多个)数字信号处理器((多个)DSP)、(多个)专用集成电路((多个)ASIC)、(多个)可编程逻辑器件((多个)PLD)和/或(多个)现场可编程逻辑器件((多个)FPLD)实现。在阅读本专利的装置权利要求或***权利要求中的任一个以涵盖纯软件和/或固件实施方式时,示例性数据储存器302、示例性配置器304、示例性计时器306、示例性事件检测器308、示例性数据解析器310、示例性识别器312和/或示例性连接器314在此被明确定义为包括非暂时性计算机可读存储设备或存储盘,诸如存储器、数字多功能盘(DVD)、光盘(CD)、蓝光光盘等,包括软件和/或固件。更进一步,示例性数据记录器300除了或替代图3所示的那些元件之外,还可以包括一个或多个元件、过程和/或设备,和/或可以包括所示的元件、过程和设备中的任何一个或全部中的一个以上。如本文所使用的,短语“在通信中”,包括其变体,涵盖通过一个或多个中间部件的直接通信和/或间接通信,并且不需要直接的物理(例如,有线)通信和/或持续通信,而是附加地包括周期性间隔、计划间隔、非周期性间隔和/或一次性事件的选择性通信。
在图4中示出了表示了用于实现图3的数据记录器300的示例性机器可读指令的流程图。机器可读指令可以是一个或多个可执行程序或可执行程序的一部分,以由诸如下面结合图5讨论的示例性处理器平台500中所示的处理器506之类的处理器执行。程序可以体现在存储在非暂时性计算机可读存储介质(诸如CD-ROM、软盘、硬盘驱动器、数字多功能盘(DVD)、蓝光盘或与处理器506相关联的存储器)中的软件中,但是整个程序和/或其部分可以替代地由除处理器506以外的设备执行和/或以固件或专用硬件体现。此外,尽管参考图4中所示的流程图描述了示例性程序,但是,可以替代地使用实现示例性数据记录器300的许多其它方法。例如,可以改变框的执行顺序,和/或可以改变、消除或组合所描述的框中的一些。附加地或替代地,任何或所有框可以由被构造为执行相应的操作而无需软件或固件的一个或多个硬件电路(例如,离散和/或集成的模拟和/或数字电路、FPGA、ASIC、比较器、运算放大器(op-放大器)、逻辑电路等)实现。
本文描述的机器可读指令可以以压缩格式、加密格式、分段格式、打包格式等中的一种或多种来存储。本文描述的机器可读指令可以被存储为可用于创建、制造和/或产生机器可执行指令的数据(例如,指令中的部分、代码、代码表示等)。例如,机器可读指令可以被分段并且存储在一个或多个存储设备和/或计算设备(例如,服务器)上。机器可读指令可能需要安装、修改、改编、更新、组合、补充、配置、解密、解压缩、解包、分发、重新分配等中的一项或多项,以使它们可以由计算设备和/或其它机器直接读取和/或执行。例如,机器可读指令可以存储在多个部分中,这些部分被分别压缩、加密并存储在单独的计算设备上,其中,这些部分在被解密、解压缩和组合时形成了实现诸如本文所述的程序的可执行指令集合。在另一个示例中,机器可读指令可以以它们可以被计算机读取的状态进行存储,但是需要添加库(例如,动态链接库(DLL))、软件开发套件(SDK)、应用编程接口(API)等,以便在特定计算设备或其它设备上执行指令。在另一个示例中,在机器可读指令和/或相应的(多个)程序可以全部或部分执行之前,可能需要配置机器可读指令(例如,存储的设置、数据输入、记录的网络地址等)。因此,所公开的机器可读指令和/或相应的(多个)程序意图在存储或以其它方式静止或传输时,涵盖这样的机器可读指令和/或程序,而与机器可读指令和/或程序的特定格式或状态无关。
如上所述,图4的示例性过程可以使用存储在非暂时性计算机和/或机器可读介质(例如,硬盘驱动、闪存、只读存储器(ROM)、光盘(CD)、数字多功能盘(DVD)、高速缓存、随机存取存储器(RAM)和/或在其中信息被存储任意持续时间(期望的时间段、永久、短时、临时缓冲、和/或高速缓存信息)的任何其它存储设备或存储盘)上的可执行指令(例如,计算机和/或机器可读指令)来实现。如本文所使用的,术语非暂时性计算机可读存储介质被明确定义为包括任何类型的计算机可读存储设备和/或存储盘,并且排除传播信号并排除传输介质。
“包含”和“包括”(及其所有形式和时态)在本文中用作开放式术语。因此,每当权利要求采用任何形式的“包含”或“包括”(例如,包括、包含、包括(comprising)、包含(including)、具有等)作为序言或在任何种类的权利要求叙述中时,应当理解为不在落入相应权利要求或陈述的范围之外的情况下,可以存在附加元素、术语等。如本文中所使用的,当例如在权利要求的前言中使用短语“至少”作为过渡术语时,其以与术语“包括”和“包含”是开放式的相同的方式是开放式的。术语“和/或”在例如以诸如A、B、和/或C的形式使用时,是指A、B、C的任何组合或子集,诸如(1)仅A、(2)仅B、(3)仅C、(4)A与B、(5)A与C、(6)B与C、以及(7)A与B和C。如本文在描述结构、部件、条目、对象和/或事物的上下文中,短语“A和B中的至少一个”旨在表示包括以下各项中的任一项的实施方式:(1)至少一个A、(2)至少一个B、以及(3)至少一个A和至少一个B。类似地,如本文在描述结构、部件、条目、对象和/或事物的上下文中所使用的,短语“A或B中的至少一个”旨在表示包括(1)至少一个A、(2)至少一个B、以及(3)至少一个A和至少一个B中的任何一个的实施方式。如本文在描述过程、指令、动作、活动和/或步骤的实行或执行时使用的,短语“A和B中的至少一个”旨在表示包括(1)至少一个A、(2)至少一个B、以及(3)至少一个A和至少一个B中的任一个的实施方式。类似地,如本文在描述过程、指令、动作、活动和/或步骤的实行或执行的上下文中使用的,短语“A或B中的至少一个”旨在表示包括以下各项中的任一项的实施方式:(1)至少一个A、(2)至少一个B、以及(3)至少一个A和至少一个B。
图4是表示可以被执行以实现图3的示例性数据记录器300的机器可读指令的流程图400。配置器304基于用户输入配置用于数据记录器的数据收集点。例如,用户可以指示在在数据储存器302中数据被覆盖之前应当进行数据收集(例如,数据记录器300的数据储存器302中保存的数据)的时间间隔(框402)。一旦数据记录器300经由数据二极管(例如,(多个)数据二极管112b和/或131b)连接到过程控制***网络(例如,SIS 240和/或BPCS 250),数据储存器302就存储从本地安全网络120和/或区域控制网络132到(多个)过程控制器106和/或108的输入信息(框404)。事件检测器308监控过程控制***网络信息以确定是否检测到触发事件(框406)。例如,触发事件可以包括SIS 240网络上的与安全相关的事件,诸如跳闸事件(例如,SIS 240的意外关闭)。在其它示例中,触发事件可以是由用户定义为将被解释为触发事件的任何事件(例如,过程控制***参数的更改、网络业务的意外更改等)。如果未检测到触发事件,则计时器306确定是否已经经过了给定的时间间隔(T)(例如,用户配置的时间间隔)(框408)。如果还没有经过时间间隔并且没有检测到触发事件,则数据记录器300继续捕获并存储来自过程控制***的数据(框404)。如果已经经过了时间间隔,则数据储存器302开始用新的数据覆盖现有数据(框410)。
如果在框406处事件检测器308检测到触发事件,则数据解析器310使用数据储存器302来识别触发事件之前和之后的数据(框412)。例如,如果触发事件是与安全相关的事件(诸如跳闸事件),则为了识别事件的潜在原因而对事件的评估可能需要使用触发事件之前和之后捕获的数据。在一些示例中,数据解析器310解析该数据以获取特定于触发事件分析的数据(框414)。这样的数据可以包括记录的数据、元数据和时间戳信息。在一些示例中,配置器304用于确定感兴趣的数据的类型(例如,用于执行触发事件的全面评估的应用所需的输入)。在一些示例中,数据记录器300从一个或多个其它数据记录器中获得与事件有关的数据,该一个或多个其它数据记录器从过程控制***中捕获信息(框416)。例如,数据记录器300可以包括若干个连接器314,其允许将信息不仅传送到数据提取器116和/或117或外部网络212,而且还传送到另一个数据记录器。这样,如果用户配置要求从整个过程控制***(例如,不限于SIS 240和/或BPCS 250)中获取数据,则连接器314可以用于获取事件相关数据以补充从正被监控的过程控制***中获得的数据(框418)。如果信息经由(多个)数据提取器116和/或117进行收集,则连接器314连接到(多个)数据提取器116和/或117(框420)。数据二极管112b和/或131b能够实现将数据从过程控制***网络到数据记录器300的单向传输,使得可以使用数据提取器116来获取该数据。在一些示例中,数据记录器300具有超过用于经由(多个)连接器314传送信息的一个端口(例如,用于将信息传送到另一个数据记录器的一个端口、用于将信息传送到数据提取器的另一个端口)。捕获的数据然后用于执行事后分析(框422)以确定例如跳闸事件或其它触发事件的根本原因(框424)。为了通过限制例如被传输到数据提取器116的数据的类型和数量来提高安全性,识别器312识别事后分析所需的数据(例如,信号值信息、数据完整性信息、以及由过程控制器106和/或108捕获的时间戳信息)。连接器314仅使用配置器304来将该数据或例如包括在(多个)数据记录器112a和/或131a的配置中的任何类型的数据传输到数据提取器116。
图5是可以被使用和/或被编程为执行图4的示例性方法的示例性处理器平台和/或更一般地以实现图1-3的示例性安全数据记录器的框图。处理器平台500可以是例如服务器、个人计算机、工作站、自学***板电脑等(诸如iPadTM)、个人数字助理(PDA)、互联网装置、DVD播放器、CD播放器、数字视频录像机、蓝光播放器、游戏控制器、个人视频录像机、机顶盒、耳机或其它可穿戴设备、或任何其它类型的计算设备。
所示示例的处理器平台500包括处理器506。所示示例的处理器506是硬件。例如,处理器506可以由来自任何期望的系列或制造商的一个或多个集成电路、逻辑电路、微处理器、GPU、DSP或控制器来实现。硬件处理器可以是基于半导体的(例如,基于硅的)设备。在该示例中,处理器506实现(多个)数据记录器112a和/或131a的配置器304、计时器306、事件检测器308、数据解析器310、识别器312和连接器314。
所示示例的处理器506包括本地存储器508(例如,高速缓存)。所示示例的处理器506经由总线518与包括易失性存储器502和非易失性存储器504的主存储器进行通信。易失性存储器502可以由同步动态随机存取存储器(SDRAM)、动态随机存取存储器(DRAM)、
动态随机存取存储器
和/或任何其它类型的随机存取存储器设备来实现。非易失性存储器504可以由闪存和/或任何其它期望类型的存储设备来实现。对主存储器502和504的访问由存储器控制器进行控制。
所示示例的处理器平台500还包括接口电路514。接口电路514可以由任何类型的接口标准(诸如以太网接口、通用串行总线(USB)、
接口、近场通信(NFC)接口和/或PCI Express接口)来实现。
在所示的示例中,一个或多个输入设备512连接到接口电路514。(多个)输入设备512允许用户将数据和命令输入到处理器506中。可以通过例如音频传感器、麦克风、摄像机(静态或视频)、键盘、按钮、鼠标、触摸屏、触控板、轨迹球、isopoint和/或语音识别***来实现。
一个或多个输出设备516还连接到所示示例的接口电路514。输出设备516可以例如由显示设备(例如,发光二极管(LED)、有机发光二极管(OLED)、液晶显示器(LCD)、阴极射线管显示器(CRT))、就地开关(IPS)显示器、触摸屏等)、触觉输出设备、打印机和/或扬声器来实现。因此,所示示例的接口电路514通常包括图形驱动器卡、图形驱动器芯片或图形驱动器处理器。
所示示例的接口电路514还包括通信设备(诸如发射器、接收器、收发器、调制解调器、住宅网关、无线接入点和/或网络接口)以经由网络524促进与外部机器(例如,任何种类的计算设备)的数据的交换。通信可以是经由例如,以太网连接、数字用户线(DSL)连接、电话线连接、同轴电缆***、卫星***、现场线无线***、蜂窝电话***等。
所示示例的处理器平台500还包括用于存储软件和/或数据的一个或多个大容量存储设备510。这种大容量存储设备510的示例包括软盘驱动、硬盘驱动、压缩盘驱动、蓝光盘驱动、独立磁盘***的冗余阵列(RAID)和数字多功能盘(DVD)驱动。大容量存储器包括示例性数据储存器302。
图4的机器可执行指令400可以存储在大容量存储设备510中、在易失性存储器502中、在非易失性存储器504中和/或在诸如CD或DVD的可移动非暂时性计算机可读存储介质上。
尽管本文已经公开了某些示例性方法、装置和***,但是本专利的覆盖范围不限于此。相反,本专利覆盖了完全落入本专利权利要求范围内的所有方法、装置和制造物品。
Claims (20)
1.一种用于从过程控制***网络进行安全的数据传输的方法,包括:
存储由过程控制器经由所述过程控制***网络接收的信息,所述过程控制器包括安全仪表***控制器或过程控制***控制器,所述信息经由数据二极管从所述过程控制***网络单向传输到数据记录器;
识别所述过程控制***网络上的触发事件;
响应于识别所述触发事件,针对事件数据解析所存储的信息;以及
将所述事件数据从所述数据记录器传输到数据提取器。
2.根据权利要求1所述的方法,其中,解析所存储的信息包括获取在所述触发事件之前和之后的数据。
3.根据权利要求1所述的方法,其中,传输所述事件数据包括:如果所述触发事件是与安全相关的事件,则仅传输由所述过程控制器捕获的信号值信息、数据完整性信息、以及时间戳信息中的一个或多个。
4.根据权利要求1所述的方法,其中,所述过程控制***网络包括本地安全网络或区域控制网络。
5.根据权利要求4所述的方法,其中,解析所存储的信息包括:解析用于所述本地安全网络或所述区域控制网络中的至少一个的所述事件数据。
6.根据权利要求1所述的方法,其中,所述事件数据包括记录的数据、元数据、以及时间戳信息。
7.根据权利要求1所述的方法,其中,所述触发事件是与安全相关的事件,所述与安全相关的事件包括所述网络上的意外节点的出现或所述网络的业务模式的变化,所述变化对应于与指定为正常的业务模式的偏差。
8.根据权利要求1所述的方法,还包括基于用户输入来配置所述事件数据,所述用户输入包括感兴趣的数据收集时间间隔。
9.根据权利要求8所述的方法,还包括确定用户配置的时间间隔何时已经流逝,并在所述时间间隔已经流逝时覆盖所存储的信息。
10.根据权利要求1所述的方法,还包括启动在所述过程控制***网络外部的警报,所述警报在所述过程控制器的输入信息不可访问时使用。
11.一种用于从过程控制***网络进行安全的数据传输的装置,包括:
数据储存器,用于存储由过程控制器经由所述过程控制***网络接收的信息,所述过程控制器包括安全仪表***控制器或过程控制***控制器,所述信息经由数据二极管从所述过程控制***网络单向传输到数据记录器;
事件检测器,用于识别所述过程控制***网络上的触发事件;
数据解析器,用于响应于识别所述触发事件,针对事件数据解析所存储的信息;以及
连接器,用于将所述事件数据从所述数据记录器传输到数据提取器。
12.根据权利要求11所述的装置,其中,所述数据解析器用于当所述触发事件是与安全相关的事件时,获取在所述触发事件之前和之后的数据。
13.根据权利要求12所述的装置,其中,所述连接器用于传输所述事件数据,所述事件数据包括由所述过程控制器捕获的信号值信息、数据完整性信息、以及时间戳信息中的一个或多个。
14.根据权利要求11所述的装置,其中,所述数据解析器用于解析用于本地安全网络或区域控制网络中的至少一个的所述事件数据。
15.根据权利要求11所述的装置,还包括配置器,所述配置器用于基于用户输入来配置所述事件数据,所述用户输入包括感兴趣的数据收集时间间隔。
16.根据权利要求15所述的装置,还包括计时器,所述计时器用于确定用户配置的时间间隔何时已经流逝,并且在所述时间间隔已经流逝时覆盖所存储的信息。
17.一种非暂时性计算机可读存储介质,包括指令,所述指令在被执行时使得机器至少执行以下操作:
存储由过程控制器经由所述过程控制***网络接收的信息,所述过程控制器包括安全仪表***控制器或过程控制***控制器,所述信息经由数据二极管从所述过程控制***网络单向传输到数据记录器;
识别所述过程控制***网络上的触发事件;
响应于识别所述触发事件,针对事件数据解析所存储的信息;以及
将所述事件数据从所述数据记录器传输到数据提取器。
18.根据权利要求17所述的计算机可读存储介质,其中,所述指令在被执行时还使得所述机器传输由所述过程控制器捕获的信号值信息、数据完整性信息、以及时间戳信息中的一个或多个。
19.根据权利要求17所述的计算机可读存储介质,其中,所述指令在被执行时还使得所述机器解析用于本地安全网络或区域控制网络中的至少一个的所述事件数据。
20.根据权利要求17所述的计算机可读存储介质,其中,所述指令在被执行时还使得所述机器确定用户配置的时间间隔何时已经流逝,并且在所述时间间隔已经流逝时覆盖所存储的信息。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/684,108 US11126636B2 (en) | 2019-11-14 | 2019-11-14 | Apparatus and methods for secure data logging |
| US16/684,108 | 2019-11-14 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112799356A true CN112799356A (zh) | 2021-05-14 |
Family
ID=73726917
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011268925.6A Pending CN112799356A (zh) | 2019-11-14 | 2020-11-13 | 用于安全的数据记录的装置和方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US11126636B2 (zh) |
| JP (1) | JP2021082272A (zh) |
| CN (1) | CN112799356A (zh) |
| DE (1) | DE102020130166A1 (zh) |
| GB (1) | GB2592459A (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102017218531A1 (de) * | 2017-10-17 | 2019-04-18 | Siemens Mobility GmbH | Verfahren und Vorrichtung zum rückwirkungsfreien und integritätsgeschützten Synchronisieren von Log-Daten |
| CN113671933B (zh) * | 2021-08-10 | 2024-03-08 | 西门子能源自动化(南京)有限公司 | 用于处理与汽轮机相关的数据的***和方法 |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7035877B2 (en) * | 2001-12-28 | 2006-04-25 | Kimberly-Clark Worldwide, Inc. | Quality management and intelligent manufacturing with labels and smart tags in event-based product manufacturing |
| US7590473B2 (en) * | 2006-02-16 | 2009-09-15 | Intel Corporation | Thermal management using an on-die thermal sensor |
| US9349279B2 (en) * | 2014-08-05 | 2016-05-24 | Google Inc. | Systems and methods for compensating for sensor drift in a hazard detection system |
| US10191464B2 (en) * | 2015-08-14 | 2019-01-29 | Nuscale Power, Llc | Notification management systems and methods for monitoring the operation of a modular power plant |
| US20170065232A1 (en) * | 2015-09-04 | 2017-03-09 | Welch Allyn, Inc. | Method and apparatus for adapting a function of a biological sensor |
| US10970175B2 (en) * | 2016-06-15 | 2021-04-06 | Sap Se | Flexible per-request data durability in databases and other data stores |
| US10180812B2 (en) * | 2016-06-16 | 2019-01-15 | Sap Se | Consensus protocol enhancements for supporting flexible durability options |
| US10140834B2 (en) * | 2016-08-08 | 2018-11-27 | Blackberry Limited | Mobile transceiver having asset-based alarm profile and a method of operation |
| US10877465B2 (en) * | 2016-10-24 | 2020-12-29 | Fisher-Rosemount Systems, Inc. | Process device condition and performance monitoring |
| US20180217234A1 (en) * | 2017-01-27 | 2018-08-02 | 4Sense, Inc. | Diffractive Optical Element for a Time-of-Flight Sensor and Method of Operation of Same |
| US20180217235A1 (en) * | 2017-01-27 | 2018-08-02 | 4Sense, Inc. | Projection System for a Time-of-Flight Sensor and Method of Operation of Same |
| US20190018106A1 (en) * | 2017-07-11 | 2019-01-17 | 4Sense, Inc. | Light-Source Array for a Time-of-Flight Sensor and Method of Operation of Same |
| US20200386668A1 (en) * | 2019-04-16 | 2020-12-10 | iButtonLink, LLC | Flexible sensor system |
-
2019
- 2019-11-14 US US16/684,108 patent/US11126636B2/en active Active
-
2020
- 2020-10-23 JP JP2020177861A patent/JP2021082272A/ja active Pending
- 2020-10-26 GB GB2016987.6A patent/GB2592459A/en active Pending
- 2020-11-13 CN CN202011268925.6A patent/CN112799356A/zh active Pending
- 2020-11-16 DE DE102020130166.9A patent/DE102020130166A1/de active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| GB202016987D0 (en) | 2020-12-09 |
| JP2021082272A (ja) | 2021-05-27 |
| GB2592459A (en) | 2021-09-01 |
| US20210149909A1 (en) | 2021-05-20 |
| US11126636B2 (en) | 2021-09-21 |
| DE102020130166A1 (de) | 2021-05-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10250619B1 (en) | Overlay cyber security networked system and method | |
| Morris et al. | Industrial control system traffic data sets for intrusion detection research | |
| JP6749106B2 (ja) | 産業用通信ネットワークにおける異常検出、異常検出システム、及び異常検出を行う方法 | |
| EP3101581B1 (en) | Security system for industrial control infrastructure using dynamic signatures | |
| CN106168757B (zh) | 工厂安全***中的可配置鲁棒性代理 | |
| EP3101586B1 (en) | Active response security system for industrial control infrastructure | |
| Gao et al. | On cyber attacks and signature based intrusion detection for modbus based industrial control systems | |
| Morris et al. | A retrofit network intrusion detection system for MODBUS RTU and ASCII industrial control systems | |
| US20160330225A1 (en) | Systems, Methods, and Devices for Detecting Anomalies in an Industrial Control System | |
| US10205733B1 (en) | Cyber signal isolator | |
| US10547634B2 (en) | Non-intrusive digital agent for behavioral monitoring of cybersecurity-related events in an industrial control system | |
| US10574671B2 (en) | Method for monitoring security in an automation network, and automation network | |
| EP3101491A1 (en) | Security system for industrial control infrastructure | |
| US20130245793A1 (en) | Anomaly detection system, anomaly detection method, and program for the same | |
| JP2011175639A (ja) | ネットワークにおけるセキュリティ保全のための方法及びシステム | |
| CN112799356A (zh) | 用于安全的数据记录的装置和方法 | |
| EP2767057B1 (en) | Process installation network intrusion detection and prevention | |
| CN214306527U (zh) | 一种燃气管网调度监控网络安全*** | |
| Lim et al. | Attack induced common-mode failures on PLC-based safety system in a nuclear power plant: practical experience report | |
| CN111835680A (zh) | 一种工业自动制造的安全防护*** | |
| CN111193738A (zh) | 一种工业控制***的入侵检测方法 | |
| Januário et al. | Security challenges in SCADA systems over Wireless Sensor and Actuator Networks | |
| US20210126925A1 (en) | Extraction apparatus, extraction method, computer readable medium | |
| WO2019241845A1 (en) | System for technology infrastructure analysis | |
| Li et al. | Cyber attack detection of I&C systems in NPPS based on physical process data |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |