具有多通道切換能力的輸入/輸出模塊的制作方法
【專利摘要】本公開內(nèi)容針對(duì)輸入/輸出模塊�����。在一些實(shí)施例中�����,輸入/輸出模塊包括:多個(gè)通信通道�,該多個(gè)通信通道中的每個(gè)通道被配置為連接一個(gè)或多個(gè)現(xiàn)場(chǎng)設(shè)備;交換結(jié)構(gòu)���,被配置為經(jīng)由該多個(gè)通信通道來選擇性地促進(jìn)外部控制模塊與該一個(gè)或多個(gè)現(xiàn)場(chǎng)設(shè)備之間的連通性�;串行通信端口��,被配置為以與第二輸入/輸出模塊并聯(lián)的方式將輸入/輸出模塊連接到控制模塊�,串行通信端口被配置為在輸入/輸出模塊與控制模塊之間傳輸信息;以及并行通信端口����,被配置為分別將輸入/輸出模塊連接到控制模塊,并行通信端口被配置為在輸入/輸出模塊與控制模塊之間傳輸信息���,以及在輸入/輸出模塊與第二輸入/輸出模塊之間傳輸信息�����。
【專利說明】具有多通道切換能力的輸入/輸出模塊
[0001] 相關(guān)申請(qǐng)的交叉引用
[0002] 本申請(qǐng)根據(jù)35 U.S.C.§119(e)請(qǐng)求于2015年2月9日提交的、名稱為"INPUT/ OUTPUT MODULE WITH MULTI-CHANNEL SWITCHING CAPABILITY." 的美國臨時(shí)申請(qǐng)序號(hào)62/ 114,030的優(yōu)先權(quán)。本申請(qǐng)還是于2013年8月6日提交的��、名稱為"SECURE INDUSTRIAL CONTROL SYSTEM."的國際申請(qǐng)?zhí)朠CT/US2013/053721的部分繼續(xù)申請(qǐng)���。本申請(qǐng)還是根據(jù)35 U.S.C.§120��、于 2014年 8 月27 日提交的�����、名稱為"SECURE INDUSTRIAL CONTROL SYSTEM?"的 美國專利申請(qǐng)序號(hào)14/469,931的部分繼續(xù)申請(qǐng)��。本申請(qǐng)還是根據(jù)35 U.S.C.§120����、于2014年 7月30日提交的����、名稱為"INDUSTRIAL CONTROL SYSTEM CABLE."的部分繼續(xù)申請(qǐng),該申請(qǐng)根 據(jù)35U ? S ? C ? §119(e)請(qǐng)求于2014年7 月7 日提交的�����、名稱為 "INDUSTRIAL CONTROL SYSTEM CABLE."的美國臨時(shí)申請(qǐng)序號(hào)62/021,438的優(yōu)先權(quán)���。本申請(qǐng)還是根據(jù)35 U.S.C. §120�、于 2014 年 10 月20 日提交的、名稱為"OPERATOR ACTION AUTHENTICATION IN AN INDUSTRIAL CONTROL SYSTEM."的美國專利申請(qǐng)序號(hào)14/519,066的部分繼續(xù)申請(qǐng)�����。本申請(qǐng)還是根據(jù)35 U.S.C.§120�、于2014年 10月20日提交的����、名稱為"INDUSTRIAL CONTROL SYSTEM REDUNDANT C0MMUNICATI0NS/C0NTR0L MODULES AUTHENTI CAT I ON ? " 的美國專利申請(qǐng)序號(hào) 14/519,047 的 部分繼續(xù)申請(qǐng)�。本申請(qǐng)還是根據(jù)35 U . S . C . § 1 20、于201 5年1月15日提交的��、名稱為 "ELECTROMAGNETIC CONNECTOR"的美國專利申請(qǐng)序號(hào)14/597�,498的部分繼續(xù)申請(qǐng),該申請(qǐng) 是根據(jù)35 U.S.C.§120���、于2011 年 12月30 日提交的�、名稱為"ELECTROMAGNET1 IC CONNECTOR" 的美國專利申請(qǐng)序號(hào)13/341�����,143的繼續(xù)申請(qǐng)。本申請(qǐng)還是于2012年12月28日提交的(優(yōu)先 權(quán)日為2011 年 12月30 日)����、名稱為"ELECTROMAGNETIC CONNECTOR AND COMMUNICATIONS/ CONTROL SYSTEM/SWITCH FABRIC WITH SERIAL AND PARALLEL COMMUNICATIONS INTERFACES."的國際申請(qǐng)?zhí)朠CT/US2012/072056的部分繼續(xù)申請(qǐng)�。本申請(qǐng)還是根據(jù)35 U.S.C.§120����、于2014年9月30 日提交的�、名稱為"SWITCH FABRIC HAVING A SERIAL COMMUNICATIONS INTERFACE AND A PARALLEL COMMUNICATIONS INTERFACE" 的美國專利申 請(qǐng)序號(hào)14/501,974的部分繼續(xù)申請(qǐng)�����,該申請(qǐng)是根據(jù)35 U.S.C.§120、于2011年12月30日提交 的��、名稱為 "SWITCH FABRIC HAVING A SERIAL COMMUNICATIONS INTERFACE AND A PARALLEL C0MMUNI CAT 10NS INTERFACE. "的美國專利申請(qǐng)序號(hào)13/341,161的繼續(xù)申請(qǐng)����。本 申請(qǐng)還是根據(jù)35 U.S.C.§120、于2014年9月30日提交的�����、名稱為"COMMUNICATIONS CONTROL SYSTEM WITH A SERIAL COMMUNICATIONS INTERFACE AND A PARALLEL COMMUNICATIONS INTERFACE"的美國專利申請(qǐng)序號(hào)14/502,006的部分繼續(xù)申請(qǐng)���,該申請(qǐng)是根據(jù)35 U. S. C. § 120���、于2011 年 12月30 日提交的���、名稱為 "COMMUNICATIONS CONTROL SYSTEM WITH A SERIAL COMMUNICATIONS INTERFACE AND A PARALLEL COMMUNICATIONS INTERFACE" 的美國專利申 請(qǐng)序號(hào)13/341,176的繼續(xù)申請(qǐng)���。
[0003] 以上交叉引用的專利申請(qǐng)中的每一個(gè)專利申請(qǐng)通過引用的方式將其全部?jī)?nèi)容并 入本文。
【背景技術(shù)】
[0004] 諸如為標(biāo)準(zhǔn)工業(yè)控制系統(tǒng)(ICS)或可編程自動(dòng)化控制器(PAC)的工業(yè)控制系統(tǒng)包 括工業(yè)生產(chǎn)中使用的各種類型的控制設(shè)備���,諸如監(jiān)控與數(shù)據(jù)采集系統(tǒng)(SCADA)���、分布式控制 系統(tǒng)(DCS)�����、可編程邏輯控制器(PLC)以及被諸如IEC1508的安全標(biāo)準(zhǔn)認(rèn)證的工業(yè)安全系統(tǒng)����。 這些系統(tǒng)用于包括電、水�、污水、油和氣生產(chǎn)以及提煉����、化學(xué)、食品���、制藥和機(jī)器人的工業(yè)領(lǐng) 域��。將從各種類型的傳感器采集的信息用于測(cè)量過程變量,來自工業(yè)控制系統(tǒng)的自動(dòng)和/或 操作員驅(qū)動(dòng)的監(jiān)控命令能夠被傳送到諸如為控制閥��、液壓致動(dòng)器、磁致動(dòng)器、電氣開關(guān)�����、電 動(dòng)機(jī)�、螺線管等之類的各種致動(dòng)器設(shè)備��。這些致動(dòng)器設(shè)備從傳感器和傳感器系統(tǒng)采集數(shù)據(jù)���、 打開及關(guān)閉閥和斷路器(breaker)、調(diào)節(jié)閥和電動(dòng)機(jī)�、監(jiān)控用于警報(bào)情況的工業(yè)過程等���。
[0005] 在其它示例中����,SCADA系統(tǒng)能夠使用具有可以廣泛地在地理上分離的過程現(xiàn)場(chǎng)的 開環(huán)控制。這些系統(tǒng)使用遠(yuǎn)程終端單元(RTU)向一個(gè)或多個(gè)控制中心發(fā)送監(jiān)控?cái)?shù)據(jù)��。部署有 RTU的SCADA應(yīng)用包括流體管道����、配電及大型通信系統(tǒng)。DCS系統(tǒng)通常用于使用高帶寬�����、低延 遲的數(shù)據(jù)網(wǎng)絡(luò)的實(shí)時(shí)數(shù)據(jù)采集和連續(xù)控制,以及被應(yīng)用在諸如油氣�、提煉、化學(xué)�、制藥、食品 及飲料�、水及污水、紙漿及造紙����、公用電力、以及采礦和金屬的大型園區(qū)的工業(yè)過程工廠中�����。 PLC更為典型地提供布爾及連續(xù)的邏輯操作����,以及定時(shí)器,還有連續(xù)控制�����,并且經(jīng)常用于獨(dú) 立的機(jī)械和機(jī)器人中�����。此外��,ICE和PAC系統(tǒng)能夠應(yīng)用于用于建筑�����、機(jī)場(chǎng)�����、輪船��、空間站等之類 的設(shè)施過程(例如���,用于監(jiān)視及控制暖通空調(diào)(HVAC)設(shè)備和能量消耗)����。隨著工業(yè)控制系統(tǒng) 的發(fā)展�����,新技術(shù)結(jié)合這些各種類型的控制系統(tǒng)的方面��。作為例子,PAC可以包括SCADA��、DCS和 PLCA的方面���。
[0006] 工業(yè)控制系統(tǒng)內(nèi)���,通信/控制模塊典型地經(jīng)由輸入/輸出模塊與現(xiàn)場(chǎng)設(shè)備(例如,致 動(dòng)器�、傳感器等)通信。技術(shù)的進(jìn)步已經(jīng)產(chǎn)生了對(duì)在現(xiàn)場(chǎng)設(shè)備與高級(jí)企業(yè)及工業(yè)系統(tǒng)之間的 增強(qiáng)的連通性的要求����,以及對(duì)設(shè)備自身之間的連通性的更大需求。在這一方面��,工業(yè)系統(tǒng)正 在以相似的方式向"物聯(lián)網(wǎng)"發(fā)展���,并且具有更高的安全性���、可靠性以及吞吐量的要求。需要 穩(wěn)健和安全的輸入/輸出模塊以適應(yīng)工業(yè)通信及控制系統(tǒng)中出現(xiàn)的需要�����。
【發(fā)明內(nèi)容】
[0007] 本公開內(nèi)容針對(duì)具有多通道切換能力、可以被安全嵌入工業(yè)控制系統(tǒng)的通信背板 中的輸入/輸出模塊�����。在一些實(shí)施例中����,輸入/輸出模塊包括多個(gè)通信通道�����,其中通道中的每 一個(gè)被配置為連接到一個(gè)或多個(gè)現(xiàn)場(chǎng)設(shè)備����。輸入/輸出模塊內(nèi)的交換結(jié)構(gòu)經(jīng)由通信通道選 擇性地促進(jìn)外部控制模塊和該一個(gè)或多個(gè)現(xiàn)場(chǎng)設(shè)備之間的連通性。為了經(jīng)由通信背板促進(jìn) 互聯(lián)性��,輸入/輸出模塊還可以包括串行通信端口和并行通信端口���。串行通信端口可以以與 至少一個(gè)額外(第二)輸入/輸出模塊并聯(lián)的方式將輸入/輸出模塊連接到控制模塊����,其中串 行通信端口在輸入/輸出模塊和控制模塊之間傳輸信息。并行通信端口可以分別將輸入/輸 出模塊連接到控制模塊�����,其中并行通信端口在輸入/輸出模塊與控制模塊之間傳輸信息�,并 且還在輸入/輸出模塊與第二輸入/輸出模塊之間傳輸信息。
[0008] 以簡(jiǎn)化的形式提供本
【發(fā)明內(nèi)容】
以介紹在以下的【具體實(shí)施方式】部分中進(jìn)一步描述 的構(gòu)思的選擇�����。本
【發(fā)明內(nèi)容】
不意在標(biāo)識(shí)要求保護(hù)的主題的關(guān)鍵特征或必要特征�,也不意在 用于輔助確定要求保護(hù)的主題的范圍。
【附圖說明】
【具體實(shí)施方式】 [0009] 參考附圖進(jìn)行描述���。在和附圖中的不同例子中使用相 同的附圖標(biāo)記可以指示相似或相同項(xiàng)目���。
[0010] 圖1是示出了根據(jù)本公開內(nèi)容的實(shí)施例的輸入/輸出模塊的方框圖。
[0011] 圖2是示出了根據(jù)本公開內(nèi)容的實(shí)施例的工業(yè)控制系統(tǒng)的方框圖���。
[0012] 圖3是示出了根據(jù)本公開內(nèi)容的實(shí)施例的交換結(jié)構(gòu)的方框圖�����。
[0013] 圖4是示出了根據(jù)本公開內(nèi)容的實(shí)施例的工業(yè)控制系統(tǒng)的等距視圖���。
[0014] 圖5是耦合到圖4中示出的工業(yè)控制系統(tǒng)的支撐框架的輸入/輸出模塊的等距視 圖����。
[0015] 圖6是圖4中示出的輸入/輸出模塊的等距視圖���。
[0016] 圖7是圖4中不出的輸入/輸出模塊的側(cè)視圖���。
[0017]圖8是圖4中示出的輸入/輸出模塊和工業(yè)控制系統(tǒng)的支撐框架的橫截面?zhèn)纫晥D�����。
[0018] 圖9是圖4中示出的用于工業(yè)控制系統(tǒng)的具有附接電路板的支撐框架的等距視圖�����。
[0019] 圖10是示出了根據(jù)本公開內(nèi)容的實(shí)施例的用于工業(yè)控制系統(tǒng)的動(dòng)作認(rèn)證路徑的 方框圖����。
[0020] 圖11是進(jìn)一步示出了根據(jù)本公開內(nèi)容的實(shí)施例的圖10中示出的動(dòng)作認(rèn)證路徑的 方框圖。
[0021]圖12是示出了經(jīng)由諸如圖10或圖11中示出的動(dòng)作認(rèn)證路徑的動(dòng)作認(rèn)證路徑來認(rèn) 證動(dòng)作請(qǐng)求的過程的示例的流程圖�����。
[0022]圖13是不出了根據(jù)本公開內(nèi)容的實(shí)施例的第一輸入/輸出模塊與第二輸入/輸出 模塊執(zhí)行認(rèn)證序列的方框圖。
[0023]圖14是示出了由與第二輸入/輸出模塊進(jìn)行認(rèn)證的第一輸入/輸出模塊執(zhí)行的認(rèn) 證序列的示例的流程圖��。
[0024]圖15是示出了響應(yīng)于由第一輸入/輸出模塊執(zhí)行的認(rèn)證序列(例如�����,圖14所圖示)�、 由第二輸入/輸出模塊執(zhí)行的響應(yīng)認(rèn)證序列的示例的流程圖。
【具體實(shí)施方式】 [0025] 概述
[0026] 工業(yè)控制系統(tǒng)中使用輸入/輸出(I/O)模塊以在通信/控制模塊與現(xiàn)場(chǎng)設(shè)備(例如���, 致動(dòng)器����、傳感器等)之間建立通信�����。技術(shù)的進(jìn)步已經(jīng)產(chǎn)生了對(duì)在現(xiàn)場(chǎng)設(shè)備與高級(jí)企業(yè)及工業(yè) 系統(tǒng)之間的增強(qiáng)的連通性的要求�,以及對(duì)現(xiàn)場(chǎng)設(shè)備自身之間的連通性的更大需求。在這一 方面���,工業(yè)系統(tǒng)正在以相似的方式向"物聯(lián)網(wǎng)"發(fā)展���,并且具有更高的安全性�����、可靠性以及吞 吐量要求���。其它其中,多端口交換機(jī)可以用于安全地促進(jìn)TCP/IP通信協(xié)議���。然而����,交換機(jī)(例 如�����,多端口以太網(wǎng)交換機(jī))典型地位于工業(yè)控制系統(tǒng)通信背板的外部���,并且可以是更加易受 到安全威脅的,從而�����,可能危及經(jīng)由交換機(jī)通信地耦合到工業(yè)控制系統(tǒng)的設(shè)備以及潛在地 將工業(yè)控制系統(tǒng)整個(gè)置于危險(xiǎn)之中�����。
[0027] 公開了一種具有多通道切換能力的I/O模塊,其中I/O模塊被配置為安全地嵌入工 業(yè)控制系統(tǒng)的通信背板內(nèi)����。在一些實(shí)施例中,輸入/輸出模塊包括可以被配置為適應(yīng)諸如 (但不限于)以太網(wǎng)總線���、H1現(xiàn)場(chǎng)總線��、過程現(xiàn)場(chǎng)總線(PR0FIBUS)��、可尋址遠(yuǎn)程傳感器高速通 道(HART)總線�����、Modbus���、以及過程控制統(tǒng)一架構(gòu)的對(duì)象鏈接和嵌入(OPC UA)通信標(biāo)準(zhǔn)的多 種通信協(xié)議的多個(gè)通信通道。在一些實(shí)施例中�,在各個(gè)通信通道中的相應(yīng)的通信通道上可 以同時(shí)運(yùn)行兩個(gè)或更多不同的通信標(biāo)準(zhǔn)。例如����,在第二通道在運(yùn)行PROFIBUS時(shí)�,第一通道可 以運(yùn)行OPC UA協(xié)議���,等等���。
[0028] 示例性實(shí)現(xiàn)
[0029] 圖1示出了根據(jù)本公開內(nèi)容的實(shí)施例的I/O模塊100。1/0模塊100可以包括多個(gè)通 信通道102,諸如以太網(wǎng)通道等�。通信通道102可以被用于連接到諸如圖2中示出的并在下文 中進(jìn)一步詳細(xì)描述的工業(yè)控制系統(tǒng)200的分布式控制系統(tǒng)內(nèi)的現(xiàn)場(chǎng)設(shè)備。例如�����,該多個(gè)通信 通道中的每個(gè)通道可以被配置為連接到一個(gè)或多個(gè)現(xiàn)場(chǎng)設(shè)備217,諸如致動(dòng)器設(shè)備218和傳 感器設(shè)備220,包括但不限于��,控制閥���、液壓致動(dòng)器、磁致動(dòng)器��、電動(dòng)機(jī)�����、螺線管�����、電氣開關(guān)、發(fā) 送器����、輸入傳感器/接收器(例如,照明��、輻射��、氣�����、溫度��、電����、磁、和/或聲傳感器)�����、通信子總線 等���。I/O模塊內(nèi)的交換結(jié)構(gòu)104可以被配置為經(jīng)由多個(gè)通信通道102在外部控制模塊(例如�����, 通信/控制模塊214)與該一個(gè)或多個(gè)現(xiàn)場(chǎng)設(shè)備217之間選擇性地促進(jìn)連通性(例如���,信息/數(shù) 據(jù)的傳送)�。
[0030] 在實(shí)施例中����,I/O模塊100包括被配置為控制交換結(jié)構(gòu)104的控制器106,諸如微處 理器、微控制器�、ASIC、FPGA�����,或其它單或多核處理單元�����。例如���,控制器106可以被配置為設(shè)置 針對(duì)交換結(jié)構(gòu)的仲裁規(guī)則或優(yōu)先級(jí)等��?�?刂破?06可以被配置為從通信地耦合到控制器106 的非瞬態(tài)介質(zhì)1〇8(例如�����,閃存或固態(tài)存儲(chǔ)器設(shè)備)運(yùn)行/執(zhí)行交換邏輯110(例如����,程序指令) 以控制交換結(jié)構(gòu)104���。在一些實(shí)施例中��,I/O模塊100可操作為OPC UA客戶端和/或服務(wù)器����。例 如��,控制器106可以被配置為運(yùn)行/執(zhí)行使控制器106實(shí)現(xiàn)OPC UA客戶端或服務(wù)器通信/控制 協(xié)議的交換邏輯110���。
[0031] 在一些實(shí)施例中��,控制器106被配置為適應(yīng)在相應(yīng)的通道102上同時(shí)運(yùn)行的多個(gè)通 信標(biāo)準(zhǔn)��。例如���,第一通道102可以由控制器106配置為利用PROFIBUS協(xié)議來發(fā)送和接收信息�����, 而同時(shí)可操作的第二通道102可以由控制器106配置為利用OPC UA協(xié)議來發(fā)送和接收信息�����。 一般��,兩個(gè)或更多通信標(biāo)準(zhǔn)可以經(jīng)由相應(yīng)的通道102同時(shí)實(shí)現(xiàn)����,其中通信標(biāo)準(zhǔn)可以包括但不 限于�,以太網(wǎng)總線、H1現(xiàn)場(chǎng)總線��、PROFIBUS����、HART總線����、Modbus��、以及OPC UA通信標(biāo)準(zhǔn)�����。
[0032] I/O模塊100可以進(jìn)一步被配置為根據(jù)諸如為IEEE 1588精確時(shí)鐘協(xié)議(PTP)的定 時(shí)協(xié)議來同步所連接的現(xiàn)場(chǎng)設(shè)備217的定時(shí)�。在這一方面���,I/O模塊100可以實(shí)現(xiàn)時(shí)間分發(fā)系 統(tǒng)���,其中I/O模塊100為同步主設(shè)備或中間同步設(shè)備,現(xiàn)場(chǎng)設(shè)備217在定時(shí)控制等級(jí)中低于1/ 〇模塊100�����。
[0033] 除了經(jīng)由通信通道102建立至現(xiàn)場(chǎng)設(shè)備217的連通性以外�,I/0模塊100可以被進(jìn)一 步配置為向現(xiàn)場(chǎng)設(shè)備217供電。在一些實(shí)施例中����,例如,I/O模塊100包括以太網(wǎng)供電(P0E)電 路120,其被配置為向通信通道102中的一個(gè)或多個(gè)分配輸入電功率。功率可以經(jīng)由電源背 板連接端口 112 (例如����,E-芯連接端口)或輸入插口 118供應(yīng)到I/0模塊。例如��,輸入插口 118可 以耦合到外部電源(例如�,本地發(fā)電機(jī)、備份電源等)�����。在實(shí)施例中�����,控制器106可以被配置為 經(jīng)由通信通道102選擇性地實(shí)現(xiàn)功率傳送����。例如,可以為耦合到具有P0E能力的現(xiàn)場(chǎng)設(shè)備217 (例如���,低電壓致動(dòng)器218��、傳感器220���、或通信設(shè)備)的通信通道102來實(shí)現(xiàn)P0E功能����。在設(shè)備 217被配置為由另一源(例如��,到電源背板234的連接、內(nèi)部/外部電池����、或其它內(nèi)部/外部電 源)供電的情況下��,控制器106可以被配置為禁用與設(shè)備217耦合的相應(yīng)的通信通道102的 P0E功能�。
[0034] I/O模塊100還包括經(jīng)由通信背板(例如����,交換結(jié)構(gòu)202)促進(jìn)與至少一個(gè)通信/控制 模塊214的互聯(lián)性的一個(gè)或多個(gè)連接端口(例如�,I-芯連接端口)。在一些實(shí)施例中����,I/O模塊 100包括至少一個(gè)串行通信端口 114和至少一個(gè)并行通信端口 116����。串行通信端口 114可以將 I/O模塊100以與至少一個(gè)額外的(第二)1/〇模塊100并聯(lián)的方式連接到通信/控制模塊214。 例如���,第一和第二I/O模塊100可以經(jīng)由相應(yīng)的串行接口連接204被同時(shí)連接到通信/控制模 塊214�,其中��,各I/0模塊100可以經(jīng)由相應(yīng)的串行接口 204接收來自通信/控制模塊214的信 息以及向通信/控制模塊214發(fā)送信息���。并行通信端口 116可以經(jīng)由并行通信接口 206分別將 I/O模塊100連接到通信/控制模塊214,其中I/O模塊100可以經(jīng)由并行通信接口 206接收來 自通信/控制模塊214的信息以及向通信/控制模塊214發(fā)送信息。I/O模塊100還可以經(jīng)由并 行通信端口 116和接口 206與其它I/O模塊100通信��。
[0035]在實(shí)施例中����,I/O模塊的一個(gè)或多個(gè)端口(例如�,串行通信端口 114���、并行通信端口 116���、電源背板輸入112、和/或輸入插口 118)包括連接器構(gòu)件208的電磁連接器207或與連接 器構(gòu)件208的電磁連接器207耦合�,諸如美國專利申請(qǐng)序號(hào)13/341����,143(公開號(hào)為US 2013/ 0170258)和 14/597,498、以及國際申請(qǐng)?zhí)朠CT/US2012/072056(國際公開號(hào)為W0/2013/ 102069)中所描述的那些��,這里通過引用的方式將其整體都并入本申請(qǐng)�。電磁連接器207可 以應(yīng)用于期望將電路耦合在一起以從一個(gè)電路向另一個(gè)電路發(fā)送電信號(hào)和/或電功率�、同 時(shí)保持電路之間的隔離的任何應(yīng)用中��。電磁連接器207可以應(yīng)用于包括但不一定限于以下 的應(yīng)用:工業(yè)控制系統(tǒng)/過程控制系統(tǒng)(例如�,用于使用功率和/或通信信號(hào)傳輸電路連接1/ 0模塊100)�����、通訊(例如�����,用于音頻����、寬帶�����、視頻、和/或語音傳輸)��、信息/數(shù)據(jù)通信(例如���,用于 連接計(jì)算機(jī)聯(lián)網(wǎng)設(shè)備��,諸如以太網(wǎng)設(shè)備����、調(diào)制解調(diào)器等)����、計(jì)算機(jī)硬件互連(例如,用于連接 外圍設(shè)備���,諸如操縱桿��、鍵盤�、鼠標(biāo)�����、監(jiān)視器等)、游戲控制臺(tái)�、測(cè)試/測(cè)量?jī)x器、電功率連接器 (例如����,用于來自AC電源的功率傳輸)等。
[0036]電磁連接器207中的每一個(gè)被配置為形成磁路部分��,該磁路部分包括磁芯組件和 布置磁芯組件(例如��,在磁芯組件周圍或內(nèi)部)的線圈�����。為本公開內(nèi)容的目的�����,應(yīng)該注意到 "磁芯組件"用來指磁芯的不完整的部分��,其在電磁連接器207被耦合在一起時(shí)由另一個(gè)磁 芯組件使其完整����。每個(gè)電磁連接器207被配置為與連接器構(gòu)件208的另一個(gè)電磁連接器207 配對(duì)以在經(jīng)由電磁連接器207連接的部件之間發(fā)送功率和/或通信信號(hào)�。例如,在第一電磁 連接器207與第二電磁連接器207配對(duì)時(shí),電磁連接器207的第一磁芯組件可以被配置為接 觸另一個(gè)電磁連接器207的第二磁芯組件��。以此方式����,第一電磁連接器207的線圈能夠利用 由第一電磁連接器207的磁路部分和第二電磁連接器207的磁路部分形成的磁路來與第二 電磁連接器207的另一線圈緊密耦合。磁路被配置為在另一個(gè)線圈被激勵(lì)時(shí)感應(yīng)線圈中的 一個(gè)線圈中的信號(hào)����,允許功率和/或通信信號(hào)在經(jīng)由電磁連接器207連接的部件之間傳輸。 在實(shí)現(xiàn)中�����,線圈可以被緊耦合(例如��,使用鐵芯提供約為一(1)的耦合系數(shù))����、臨界耦合(例 如,在通帶中的能量傳送是優(yōu)化的情況下)�����、或過耦合(例如����,在次級(jí)線圈足夠靠近初級(jí)線 圈�、使初級(jí)線圈的磁場(chǎng)衰減的情況下)��。
[0037] 在第一電磁連接器207與第二電磁連接器207配對(duì)時(shí)�,第一磁芯組件可以不一定被 配置為與第二磁芯組件接觸。因而�,電磁連接器構(gòu)件208可以被配置為在經(jīng)由使用例如干涉 配合配置的電磁連接器207連接的部件之間發(fā)送電力和/或通信信號(hào),其中一個(gè)線圈被布置 為圍繞第一磁芯組件��,而另一個(gè)線圈被布置在第二磁芯組件內(nèi)��。干涉配合可以使用具有包 括但不一定限于以下的幾何形狀的連接器來建立:圓錐形�、同軸、偏心����、幾何、傾斜以用于摩 t祭配合���、等等���。
[0038] 在實(shí)現(xiàn)中��,磁芯組件和/或線圈中的一個(gè)或二者可以至少部分地(例如,全部或部 分)被機(jī)械地容納在保護(hù)層內(nèi)�����。保護(hù)層可以由非導(dǎo)電/絕緣材料制成����,諸如薄膜塑料材料覆 蓋層。保護(hù)層(例如����,非導(dǎo)電/絕緣材料)可以使用包括但不一定限于以下的技術(shù)來應(yīng)用:涂 覆、噴涂��、沉積等�。作為例子,包括在I/O模塊100內(nèi)的第一電磁連接器207的磁芯組件和線圈 可以部分地由封套封閉�����,而包括在電力或通信背板202/234內(nèi)的第二電磁連接器207可以包 括被配置為與封套配對(duì)的軸��。以此方式�����,封套和軸可以被配置為確保第一電磁連接器207與 第二電磁連接器207的適當(dāng)對(duì)齊,同時(shí)保護(hù)第一電磁連接器207的磁芯組件和/或線圈免受 腐蝕和機(jī)械損害(例如���,斷裂)等����。當(dāng)磁芯組件由易碎材料制成時(shí)封閉可能是特別有用的����。作 為例子,磁芯組件可以被緊密地包裝在由塑料材料形成的保護(hù)層中���。以此方式�����,當(dāng)磁芯組件 (例如�����,磁芯組件內(nèi)的破裂或斷裂)發(fā)生損壞時(shí)��,在包裝內(nèi)材料碎片能夠維持彼此基本接觸����, 因而,磁芯材料的損壞不會(huì)顯著降低性能��。
[0039]當(dāng)電磁連接器207被配對(duì)時(shí)��,電力或通信背板202/234的磁芯組件和I/O模塊100的 磁芯組件可以被配置為經(jīng)由磁路來耦合線圈�。當(dāng)電力或通信背板202/234的相應(yīng)的線圈被 激勵(lì)(例如�,使用來自DC/AC轉(zhuǎn)換器的AC信號(hào))時(shí),磁路可以在I/O模塊100的線圈中感應(yīng)信 號(hào)����。I/O模塊100的線圈中感應(yīng)的信號(hào)可以用于對(duì)模塊100的電路供電和/或提供與模塊100 的電路的通信。應(yīng)當(dāng)注意的是�����,盡管電力或通信背板202/234被描述為在I/O模塊100中感應(yīng) 信號(hào)��,僅是以示例的方式提供該實(shí)現(xiàn)并且該實(shí)現(xiàn)不意在限制本公開內(nèi)容��。磁路還可以用于 當(dāng)I/O模塊100的線圈被激勵(lì)時(shí)��,在電力或通信背板202/234的線圈中感應(yīng)信號(hào)����,以對(duì)電力或 通信背板202/234供電和/或提供與電力或通信背板202/234的通信(例如�����,經(jīng)由交換結(jié)構(gòu) 202傳輸與通信/控制模塊214的通信)�。此外�����,可以以交替地順序(例如��,一個(gè)接著一個(gè))來激 勵(lì)配對(duì)的電磁連接器207所包括的線圈以提供雙向通信等�����。
[0040] 圖2-9示出了根據(jù)本公開內(nèi)容的各實(shí)施例的工業(yè)控制系統(tǒng)200�����。在實(shí)施例中���,工業(yè) 控制系統(tǒng)200可以包括工業(yè)控制系統(tǒng)(ICS)�、可編程自動(dòng)化控制器(PAC)����、監(jiān)控與數(shù)據(jù)采集系 統(tǒng)(SCADA)系統(tǒng)�、分布式控制系統(tǒng)(DCS)���、可編程邏輯控制器(PLC)以及被諸如IEC1508之類 的安全標(biāo)準(zhǔn)認(rèn)證的工業(yè)安全系統(tǒng)��。如圖2中所示��,工業(yè)控制系統(tǒng)200使用通信控制架構(gòu)來實(shí) 現(xiàn)包括由遍布在系統(tǒng)中的一個(gè)或多個(gè)控制元件或子系統(tǒng)控制或驅(qū)動(dòng)的一個(gè)或多個(gè)工業(yè)元 件(例如,輸入/輸出模塊�、功率模塊、現(xiàn)場(chǎng)設(shè)備�����、交換機(jī)���、工作站�����、和/或物理互連設(shè)備)的分 布式控制系統(tǒng)����。例如,一個(gè)或多個(gè)I /〇模塊1 〇〇可以被連接到一個(gè)或多個(gè)通信/控制模塊214����。
[0041] 工業(yè)控制系統(tǒng)200被配置為傳輸去往或來自I/O模塊100的數(shù)據(jù)。I/O模塊100可以 包括輸入模塊�、輸出模塊、和/或輸入及輸出模塊�。作為例子,輸入模塊可以用于從輸入現(xiàn)場(chǎng) 設(shè)備217(例如�����,傳感器218)接收信息�����,而輸出模塊可以用于向輸出現(xiàn)場(chǎng)設(shè)備217(例如���,致動(dòng) 器220)發(fā)送指令����。例如��,I/O模塊100可以連接到過程傳感器以測(cè)量用于煤氣廠和提煉廠等 的管道內(nèi)的壓力和/或連接到過程致動(dòng)器以控制閥門�、雙態(tài)或多態(tài)開關(guān)、發(fā)送器等。現(xiàn)場(chǎng)設(shè) 備217直接或經(jīng)由網(wǎng)絡(luò)連接與I/O模塊100通信地耦合���。例如�����,現(xiàn)場(chǎng)設(shè)備217可以經(jīng)由適應(yīng)一 個(gè)或多個(gè)TCP/IP標(biāo)準(zhǔn)的通信通道102而是連接的����。這些設(shè)備217可以包括控制閥��、液壓致動(dòng) 器�����、磁致動(dòng)器��、電動(dòng)機(jī)���、螺線管、電氣開關(guān)���、發(fā)送器�、輸入傳感器/接收器(例如,照明��、輻射����、 氣、溫度�、電、磁�����、和/或聲傳感器)���、通信子總線等��。
[0042]工業(yè)控制系統(tǒng)200包括促進(jìn)通信背板的互聯(lián)性的交換結(jié)構(gòu)202�。在實(shí)施例中����,交換 結(jié)構(gòu)202包括用于提供與多個(gè)I/O模塊100進(jìn)行通信的串行通信接口 204和并行通信接口 206。如圖2-圖9中所示�,可以使用一個(gè)或多個(gè)電磁連接器207將I/O模塊100連接到工業(yè)控制 系統(tǒng)200。作為例子���,每個(gè)I/O模塊100可以包括或可以耦合到具有貫穿線圈的磁芯組件的一 個(gè)或多個(gè)電磁連接器207或連接器構(gòu)件208���。在一些實(shí)施例中�����,線圈能夠被實(shí)現(xiàn)為電路板上 的平面繞組����。當(dāng)被包括在I/O模塊100中時(shí)����,電路板可以被"浮"于部分彈簧負(fù)載上,以允許與 磁芯組件的平面垂直的電路板的某一移動(dòng)�����,例如���,來補(bǔ)償電路板上的偏差。例如����,可以在模 塊中提供自保持彈簧加載機(jī)制來提供恒定的向下的壓力以促進(jìn)電磁連接的配對(duì)�����,補(bǔ)償模 塊����、PCB���、和底板/支撐框架的堆疊偏差�,以及確保電磁連接器構(gòu)件的兩半的恒定配對(duì)�。
[0043]在一些實(shí)施例在,可以使用提供三個(gè)平面內(nèi)的內(nèi)在固定和支撐的"舌榫"配置�����。例 如��,I /〇模塊1 〇〇內(nèi)的印刷電路板可以被配置為沿著與磁芯組件的平面垂直的方向上的兩個(gè) 軌道段并在該兩個(gè)軌道之間滑動(dòng)�����。此外��,磁芯組件可以與電路板機(jī)械地隔離(例如�,不接 觸)��。應(yīng)該注意的是�,具有平面初級(jí)和次級(jí)繞組的實(shí)現(xiàn)僅作為示例提供并且不一定意在限制 本公開內(nèi)容����。因而,其它實(shí)現(xiàn)可以使用其它線圈配置��,例如繞線線圈等����。例如,初級(jí)線圈可以 包括平面繞組��,而次級(jí)線圈可以包括繞線線圈����。此外,初級(jí)線圈可以包括繞線線圈�,而次級(jí) 線圈可以包括平面繞組。在其它實(shí)現(xiàn)中��,初級(jí)和次級(jí)線圈均可以包括繞線線圈�����。
[0044] 圖3示出了交換結(jié)構(gòu)202的實(shí)施例�����。交換結(jié)構(gòu)202可以被配置為與任何系統(tǒng)技術(shù)一 起使用���,諸如���,電信網(wǎng)絡(luò)技術(shù)、計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)�、過程控制系統(tǒng)技術(shù)等。例如��,交換結(jié)構(gòu)202可 以與包括控制器兀件和子系統(tǒng)的分布式控制系統(tǒng)一起使用���,其中子系統(tǒng)由分布在整個(gè)系統(tǒng) 中的一個(gè)或多個(gè)控制器控制��。交換結(jié)構(gòu)202包括串行通信接口 204和并行通信接口 206以提 供與多個(gè)從設(shè)備的通信��。
[0045] 串行通信接口204可以使用彼此并聯(lián)連接的一組連接器實(shí)現(xiàn)��。在一些實(shí)施例中��,連 接器可以被配置為電磁連接器207/連接器構(gòu)件208(例如����,之前描述的)。例如����,串行通信接 口 204可以使用多點(diǎn)總線210等來實(shí)現(xiàn)。在實(shí)現(xiàn)中��,多點(diǎn)總線210可以用于I/0模塊100/從設(shè) 備的配置和診斷功能��。并行通信接口 206允許在多個(gè)專用高速并行通信通道上同時(shí)傳輸多 個(gè)信號(hào)�����。作為例子��,并行通信接口 206可以使用交叉開關(guān)212等來實(shí)現(xiàn)�����。
[0046] 在圖3中所示的實(shí)施例中����,并行通信接口 206可以使用具有到每個(gè)I/O模塊100/從 設(shè)備的專用連接的四(4)線全雙工交叉開關(guān)212來實(shí)現(xiàn)。在實(shí)現(xiàn)中���,可以使用一個(gè)或多個(gè)電 磁連接器207/連接器構(gòu)件208(例如����,如之前所描述的)來提供每個(gè)連接���。交叉開關(guān)212可以 被實(shí)現(xiàn)為連接對(duì)等總線并允許I/O模塊100/從設(shè)備之間的業(yè)務(wù)的可編程交叉開關(guān)����。交叉開 關(guān)212可以由諸如通信/控制模塊214的主設(shè)備來配置����。例如,通信/控制模塊214/主設(shè)備可 以配置交叉開關(guān)212中包括的一組或多組寄存器以控制I/O模塊100/從設(shè)備之間的業(yè)務(wù)�。在 實(shí)現(xiàn)中,通信/控制模塊214/主設(shè)備可以包括指示I/O模塊100/從設(shè)備如何互連的規(guī)則集���。 例如���,通信/控制模塊214/主設(shè)備可以包括一組寄存器,其中每個(gè)寄存器定義特定開關(guān)的操 作(例如�����,關(guān)于如何轉(zhuǎn)發(fā)分組等)。因而�����,交叉開關(guān)212可以不一定自動(dòng)配置�,相反實(shí)現(xiàn)由通 信/控制模塊214/主設(shè)備提供的配置。然而��,該配置僅以示例的方式提供并且不意在限制本 公開內(nèi)容���。因而����,在其它實(shí)現(xiàn)中���,交叉開關(guān)212可以自動(dòng)配置����。
[0047]并行通信接口 206可以用于從I/O模塊100/從設(shè)備的數(shù)據(jù)采集�����。此外,由于每個(gè)I/O 模塊100/從設(shè)備各自具有至通信/控制模塊214/主設(shè)備的專用總線����,因而每個(gè)I/O模塊100/ 從設(shè)備可以在相同的時(shí)間處與通信/控制模塊214進(jìn)行通信���。因而��,工業(yè)控制系統(tǒng)200/交換 結(jié)構(gòu)202的總響應(yīng)時(shí)間可以被限制為最慢的I/0模塊100/從設(shè)備的響應(yīng)時(shí)間�,而非全部從設(shè) 備的響應(yīng)時(shí)間的總和��,如在典型的多點(diǎn)總線的情況下的���。
[0048]在實(shí)現(xiàn)中�����,交換結(jié)構(gòu)202�、串行通信接口 204�����、以及并行通信接口 206可以用單個(gè)����、單 片電路板216實(shí)現(xiàn)��,例如�����,如圖9中所示��,具有電磁連接器207的多個(gè)E型磁芯組件貫穿電路板 216����。在實(shí)現(xiàn)中�����,磁芯組件可以機(jī)械地與電路板216(例如����,不接觸電路板216)隔離。然而���,該 配置僅是以示例的方式提供并不意在限制本公開內(nèi)容��。因而����,串行通信接口 204和并行通信 接口 206可以使用多個(gè)部件的不同布置實(shí)現(xiàn),諸如�����,分別實(shí)現(xiàn)串行通信接口 204和并行通信 接口 206的多個(gè)分立的半導(dǎo)體設(shè)備等�����。
[0049] 交換結(jié)構(gòu)202可以被配置用于連接一個(gè)或多個(gè)I/O模塊100(例如��,作為從設(shè)備)以 及傳輸去往和來自I/O模塊1〇〇的數(shù)據(jù)���。I/O模塊1〇〇可以包括輸入模塊、輸出模塊���、和/或輸 入及輸出模塊�。作為例子����,輸入模塊可以用于從過程或現(xiàn)場(chǎng)中的輸入儀器接收信息,而輸出 模塊可以用于向現(xiàn)場(chǎng)中的輸出儀器發(fā)送指令����。例如�,I/O模塊100可以被連接到過程傳感器��, 諸如�����,用于測(cè)量煤氣廠和提煉廠等的管道內(nèi)的壓力的傳感器218�����。在實(shí)現(xiàn)中��,I/O模塊100可 以用于工業(yè)控制系統(tǒng)200采集應(yīng)用中的數(shù)據(jù)�����,所述應(yīng)用包括但不一定限于關(guān)鍵基礎(chǔ)設(shè)施和/ 或工業(yè)過程�����,諸如�,產(chǎn)品制造和生產(chǎn)、公電發(fā)電�、油��、氣���、以及化學(xué)提煉;制藥、食品和飲料�、紙 漿及造紙、金屬及采礦����、以及用于建筑、機(jī)場(chǎng)���、輪船、以及空間站的設(shè)施和大型園區(qū)工業(yè)過程 (例如����,用于監(jiān)視及控制暖通空調(diào)(HVAC)設(shè)備和能源消耗)。
[0050] 在實(shí)現(xiàn)中�����,I/O模塊100可以被配置為將從傳感器接收的模擬數(shù)據(jù)轉(zhuǎn)換成數(shù)字?jǐn)?shù)據(jù) (例如����,使用模數(shù)轉(zhuǎn)換器(ADC)電路��,等等)�����。1/0模塊100還可以連接到一個(gè)或多個(gè)過程致動(dòng) 器220,諸如為電動(dòng)機(jī)或調(diào)節(jié)閥或繼電器以及其它形式的致動(dòng)器�����,I/O模塊100還可以被配置 為控制電動(dòng)機(jī)的一個(gè)或多個(gè)操作特性����,諸如電動(dòng)機(jī)速度�����、電動(dòng)機(jī)扭矩�����、以及調(diào)節(jié)閥的位置或 繼電器的狀態(tài)���,等等���。此外�����,I/O模塊100可以被配置為將數(shù)字?jǐn)?shù)據(jù)轉(zhuǎn)換成模擬數(shù)據(jù)以傳輸給 致動(dòng)器220(例如�����,使用數(shù)模(DAC)電路���,等等)。在實(shí)現(xiàn)中��,I/0模塊100中的一個(gè)或多個(gè)可以 包括通信模塊���,其被配置成經(jīng)由通信子總線來進(jìn)行通信����,諸如以太網(wǎng)總線�����、H1現(xiàn)場(chǎng)總線����、 PR0FIBUS、HART總線��、Modbus�、0PC UA總線,等等�����。此外��,兩個(gè)或更多I/O模塊100可以用于為 各種現(xiàn)場(chǎng)設(shè)備217提供容錯(cuò)和冗余連接���,諸如控制閥���、液壓致動(dòng)器、磁致動(dòng)器�、電動(dòng)機(jī)、螺線 管���、電開關(guān)���、發(fā)送器、輸入傳感器/接收器(例如,照明���、輻射���、氣、溫度�����、電�����、磁���、和/或聲傳感 器)通信子總線等����。
[0051 ]每個(gè)I/0模塊100可以提供有用于區(qū)別一個(gè)I/0模塊100與另一個(gè)I/0模塊100的唯 一標(biāo)識(shí)符���。在實(shí)現(xiàn)中,當(dāng)I/O模塊100被連接到工業(yè)控制系統(tǒng)200時(shí)�,I/O模塊100可以通過它 的ID被識(shí)別。多個(gè)I/O模塊100可以與工業(yè)控制系統(tǒng)200-起使用以提供冗余。例如�����,兩個(gè)或 更多I/O模塊100可以被連接到傳感器218���、致動(dòng)器220、或任何其它現(xiàn)場(chǎng)設(shè)備217,如圖2中所 示���。每個(gè)I/O模塊100可以包括一個(gè)或多個(gè)端口 222����,其提供到I/O模塊100包括的硬件和電路 的物理連接����,諸如印刷電路板(PCB) 224,等等��。
[0052] I/O模塊100中的一個(gè)或多個(gè)可以包括用于連接到其它網(wǎng)絡(luò)的接口��,所述網(wǎng)絡(luò)包括 但不一定限于:廣域蜂窩電話網(wǎng)絡(luò)�����,諸如,3G蜂窩網(wǎng)絡(luò)���、4G蜂窩網(wǎng)絡(luò)���、或全球移動(dòng)通信(GSM) 網(wǎng)絡(luò);無線計(jì)算機(jī)通信網(wǎng)絡(luò),諸如Wi-Fi網(wǎng)絡(luò)(例如�,使用IEEE 802.11網(wǎng)絡(luò)標(biāo)準(zhǔn)操作的無線 LAN(WLAN));個(gè)人局域網(wǎng)絡(luò)(PAN)(例如,使用IEEE 802.15網(wǎng)絡(luò)標(biāo)準(zhǔn)操作的無線PAN (WPAN));廣域網(wǎng)(WAN);企業(yè)內(nèi)部網(wǎng)�����;企業(yè)間網(wǎng)絡(luò);互聯(lián)網(wǎng)�;因特網(wǎng)等。此外����,I/O模塊100中的 一個(gè)或多個(gè)可以包括用于將I/O模塊100連接到計(jì)算機(jī)總線等的連接。
[0053]通信/控制模塊214可以用于監(jiān)視及控制I/O模塊100,以及將兩個(gè)或更多I/O模塊 100連接在一起�。在本公開內(nèi)容的實(shí)施例中,當(dāng)I/O模塊100被連接到工業(yè)控制系統(tǒng)200時(shí)�,通 信/控制模塊214可以基于I/O模塊100的唯一 ID來更新路由表。此外��,當(dāng)使用多個(gè)冗余I/O模 塊100時(shí)��,每個(gè)通信/控制模塊214可以實(shí)現(xiàn)關(guān)于I/O模塊100的信息數(shù)據(jù)庫的鏡像,以及在從 I/O模塊100接收到數(shù)據(jù)和/或向I/O模塊100發(fā)送數(shù)據(jù)時(shí)更新它們��。在一些實(shí)施例中����,使用兩 個(gè)或更多通信/控制模塊214來提供冗余���。為了增加的安全性����,通信/控制模塊214可以被配 置為在預(yù)定的事件或時(shí)間處執(zhí)行認(rèn)證序列或握手以彼此認(rèn)證�����,所述預(yù)定的事件或時(shí)間包括 諸如啟動(dòng)�����、復(fù)位��、安裝新控制模塊214�����、更換通信/控制模塊214、周期地�、按調(diào)度時(shí)間等。I/0 模塊100還可以被配置為執(zhí)行如圖10-圖15所示并在下文中進(jìn)一步詳細(xì)描述的認(rèn)證序列或 "握手"����。
[0054]使用交換結(jié)構(gòu)202發(fā)送的數(shù)據(jù)可以被分組化,即��,離散的數(shù)據(jù)部分可以被轉(zhuǎn)換成包 括數(shù)據(jù)部分和網(wǎng)絡(luò)控制信息等的數(shù)據(jù)分組�����。工業(yè)控制系統(tǒng)200/交換結(jié)構(gòu)202可以使用用于 數(shù)據(jù)傳輸?shù)囊粋€(gè)或多個(gè)協(xié)議�����,包括諸如高級(jí)數(shù)據(jù)鏈路控制(HDLC)的面向比特的同步數(shù)據(jù)鏈 路層協(xié)議����。在特定例子中,工業(yè)控制系統(tǒng)200/交換結(jié)構(gòu)202可以根據(jù)國際標(biāo)準(zhǔn)化組織(ISO) 13239標(biāo)準(zhǔn)等來實(shí)現(xiàn)HDLC��。此外��,兩個(gè)或更多通信/控制模塊214可以用于實(shí)現(xiàn)冗余HDLC�����。然 而,應(yīng)該注意的是����,HDLC僅是通過示例的方式提供并且不意在限制本公開內(nèi)容��。因而�����,工業(yè) 控制系統(tǒng)200可以根據(jù)本公開內(nèi)容使用其它各種通信協(xié)議�����。
[0055] 通信/控制模塊214中的一個(gè)或多個(gè)可以被配置為與用于監(jiān)視和/或控制經(jīng)由I/O 模塊100連接到交換結(jié)構(gòu)202的儀器的部件交換信息�����,諸如�,一個(gè)或多個(gè)控制回路反饋機(jī)制/ 控制器226。在實(shí)現(xiàn)中����,控制器226可以被配置為微控制器/可編程邏輯控制器(PLC)�、比例積 分微分(PID)控制器等��。通信/控制模塊214中的一個(gè)或多個(gè)可以包括用于經(jīng)由網(wǎng)絡(luò)230將工 業(yè)控制系統(tǒng)200連接到控制器226的網(wǎng)絡(luò)接口 228��。在實(shí)現(xiàn)中����,網(wǎng)絡(luò)接口 228可以被配置為用 于將交換結(jié)構(gòu)202連接到局域網(wǎng)絡(luò)(LAN)的千兆以太網(wǎng)接□。此外��,兩個(gè)或更多通信/控制模 塊214可以用于實(shí)現(xiàn)冗余千兆以太網(wǎng)�。然而,應(yīng)該注意的是�����,千兆以太網(wǎng)僅以示例的方式提 供并不意在限制本公開內(nèi)容�。因而,網(wǎng)絡(luò)接口 228可以被配置為將工業(yè)控制系統(tǒng)200連接到 其它各種網(wǎng)絡(luò)���,包括但并不一定限于:廣域蜂窩電話網(wǎng)絡(luò)���,例如3G蜂窩網(wǎng)絡(luò)、4G蜂窩網(wǎng)絡(luò)、或 全球移動(dòng)通信(GSM)網(wǎng)絡(luò);無線計(jì)算機(jī)通信網(wǎng)絡(luò)���,諸如Wi-Fi網(wǎng)絡(luò)(例如����,使用IEEE 802.11網(wǎng) 絡(luò)標(biāo)準(zhǔn)操作的無線LAN(WLAN));個(gè)人局域網(wǎng)絡(luò)(PAN)(例如����,使用IEEE 802.15網(wǎng)絡(luò)標(biāo)準(zhǔn)操作 的無線PAN(WIAN));廣域網(wǎng)(WAN);企業(yè)內(nèi)部網(wǎng);企業(yè)間網(wǎng)絡(luò);互聯(lián)網(wǎng)�����;因特網(wǎng)等�����。此外����,網(wǎng)絡(luò) 接口 228可以使用計(jì)算機(jī)總線實(shí)現(xiàn)����。例如,網(wǎng)絡(luò)接口 228可以包括外設(shè)部件互連(PCI)卡接 口�����,諸如Mini PCI接口等。此外���,網(wǎng)絡(luò)230可以被配置為包括單個(gè)網(wǎng)絡(luò)或跨不同的接入點(diǎn)的 多個(gè)網(wǎng)絡(luò)�。
[0056] 工業(yè)控制系統(tǒng)200可以包括用于經(jīng)由I/0模塊100向現(xiàn)場(chǎng)設(shè)備供電的一個(gè)或多個(gè)功 率模塊232�����。一個(gè)或多個(gè)功率模塊232可以包括AC-DC(AC/DC)轉(zhuǎn)換器���,用于將交流(AC)(例 如�,由AC電源供應(yīng)的�����,等)轉(zhuǎn)換為直流(DC)����,用于傳輸給諸如電動(dòng)機(jī)220(例如,在電動(dòng)機(jī)220 包括DC電動(dòng)機(jī)的實(shí)現(xiàn)中)的現(xiàn)場(chǎng)設(shè)備��。兩個(gè)或更多功率模塊232可以用于提供冗余。例如�,如 圖2中所示,兩個(gè)功率模塊232可以使用用于每個(gè)功率模塊232的分別(冗余)的電力背板234 連接到I/O模塊100中的每個(gè)I/O模塊����。在實(shí)現(xiàn)中,電力背板234可以使用電磁連接器207/連 接器構(gòu)件208 (例如�����,如之前所描述的)連接到I/O模塊100中的一個(gè)或多個(gè)I/O模塊����。在實(shí)現(xiàn) 中,電力背板234與串行通信接口204和并行通信接口206-起可以被包括在電路板216上�。 [0057] 工業(yè)控制系統(tǒng)200可以從多個(gè)源接收電功率�����。例如��,AC功率可以由電網(wǎng)供應(yīng)(例如��, 使用來自AC電源的高壓電)�����。還可以使用本地發(fā)電設(shè)備(例如,現(xiàn)場(chǎng)渦輪機(jī)或柴油本地發(fā)電 機(jī))供應(yīng)AC功率��。電源可以將來自電網(wǎng)的電功率分配給工業(yè)控制系統(tǒng)200的自動(dòng)化設(shè)備���,諸 如控制器�、I/O模塊等���。電源還可以用于將來自本地發(fā)電機(jī)的電功率分配給工業(yè)控制系統(tǒng)設(shè) 備����。工業(yè)控制系統(tǒng)200還可以包括被配置為使用多個(gè)電池模塊存儲(chǔ)并返回DC功率的額外(備 份)的電源。例如���,電源可以作為UPS。在一些實(shí)施例中��,可以在工業(yè)控制系統(tǒng)200內(nèi)分布(例 如��,物理上分散化)多個(gè)電源����。
[0058] 工業(yè)控制系統(tǒng)200可以使用支撐框架236實(shí)現(xiàn)�。支撐框架236可以用于支撐和/或互 連通信/控制模塊214�、功率模塊232、交換結(jié)構(gòu)202�、電力背板234、和/或I/O模塊100�。例如, 交換結(jié)構(gòu)202可以由電路板216構(gòu)成���。電路板216可以使用諸如例如雙面膠帶(double sided tape)����、黏合劑或機(jī)械緊固件(例如�����,螺釘���、螺栓等)的緊固件安裝在支撐框架236上。此外��,電 磁連接器207的磁芯組件可以使用諸如例如雙面膠帶(double sided tape)�、黏合劑、或機(jī) 械緊固件(例如�����,螺釘、螺栓等)的緊固件安裝在支撐框架236上��。在一些實(shí)現(xiàn)中����,模板可以用 于在支撐框架236的通道中定位磁芯組件。在實(shí)現(xiàn)中�,磁芯組件的頂面可以與電路板216的 頂面基本平齊。在其它實(shí)現(xiàn)中�����,磁芯組件的頂面可以在電路板216的頂面的下方凹進(jìn)一定距 離(例如��,大約1毫米(1_))和/或可以在電路板216的頂面上方延伸���。
[0059]支撐框架236可以包括插槽238以為I/O模塊100提供對(duì)準(zhǔn)(registration)����,諸如用 于將I /〇模塊1 〇〇的連接器(例如���,電磁連接器207)與電路板216包括的連接器(例如�����,電磁連 接器207)和/或電力背板234的連接器(例如�����,電磁連接器207)對(duì)準(zhǔn)�。例如,I/0模塊100可以 包括連接器240,連接器240具有用于插入插槽238并提供1/0模塊100相對(duì)于電路板216的對(duì) 準(zhǔn)的標(biāo)記/標(biāo)桿242��。在實(shí)現(xiàn)中��,連接器240中的一個(gè)或多個(gè)可以由連接到PCB 224的導(dǎo)熱面 的導(dǎo)熱材料(例如����,金屬)構(gòu)成以將由PCB224的部件產(chǎn)生的熱從PCB 224傳導(dǎo)走并傳到支撐 框架236,支撐框架236自身可以由導(dǎo)熱材料(例如�����,金屬)制成��。此外�����,工業(yè)控制系統(tǒng)200可以 將每個(gè)物理插槽238與唯一物理ID進(jìn)行關(guān)聯(lián)以唯一識(shí)別與特定插槽238耦合的每個(gè)1/0模塊 100�����。例如����,特定插槽238的ID可以與與插槽238耦合的1/0模塊100和/或與1/0模塊100唯一 關(guān)聯(lián)的第二ID相關(guān)聯(lián)。此外���,在1/0模塊100與插槽238耦合時(shí)���,特定1/0模塊100的ID可以用 作插槽238的ID??梢詷?gòu)建支撐框架236用于機(jī)柜式安裝、機(jī)架式安裝和壁式安裝等�。
[0060] 應(yīng)該注意的是,盡管工業(yè)控制系統(tǒng)200在附圖中被描述為包括一個(gè)交換結(jié)構(gòu)202���, 但是工業(yè)控制系統(tǒng)200可以提供有多于一個(gè)的交換結(jié)構(gòu)202��。例如���,兩個(gè)或更多的交換結(jié)構(gòu) 202可以與工業(yè)控制系統(tǒng)200-起使用(例如����,以在冗余交換結(jié)構(gòu)202之間提供物理分離等)���。 交換結(jié)構(gòu)202中的每個(gè)交換結(jié)構(gòu)可以被提供有自己的支撐框架236�����。此外���,盡管將串行通信 接口204和并行通信接口206描述為包括在單個(gè)交換結(jié)構(gòu)202中,但是將意識(shí)到的是���,可以提 供物理上分離的交換結(jié)構(gòu)��,其中一個(gè)交換結(jié)構(gòu)包括串行通信接口 204�����,而另一個(gè)交換結(jié)構(gòu)包 括并彳丁通彳目接口 206����。
[0061] 控制元件/子系統(tǒng)和/或工業(yè)元件(例如,1/0模塊100�����、通信/控制模塊214��、功率模 塊232等)可以由一個(gè)或多個(gè)背板連接在一起�。例如����,如上所述,通信/控制模塊214可以由通 信背板(例如���,交換結(jié)構(gòu)202)連接到I/O模塊100�。此外����,功率模塊232可以由電力背板234連 接到I/O模塊100和/或通信/控制模塊214。在一些實(shí)施例中�,物理互連設(shè)備(例如,開關(guān)����、連 接器、或線纜����,諸如,但不限于美國專利申請(qǐng)序號(hào)14/446,412中所描述的那些�,通過引用的 方式將其全部?jī)?nèi)容并入本申請(qǐng))被用于連接到I/O模塊100、通信/控制模塊214����、功率模塊 232、以及其它可能的工業(yè)控制系統(tǒng)設(shè)備���。例如�����,一線纜可以用于將通信/控制模塊214連接 到網(wǎng)絡(luò)230,另一線纜可以用于將功率模塊232連接到電網(wǎng)�,另一線纜可以用于將功率模塊 232連接到本地發(fā)電機(jī)等���。
[0062]在一些實(shí)施例中��,工業(yè)控制系統(tǒng)200實(shí)現(xiàn)安全控制系統(tǒng)���,如美國專利申請(qǐng)序號(hào)14/ 469,931和國際申請(qǐng)?zhí)?〇71^2013/053721中所描述的,這里通過引用的方式將其全部?jī)?nèi)容 并入本申請(qǐng)。例如�,工業(yè)控制系統(tǒng)200包括安全憑證源(例如,工廠)和安全憑證執(zhí)行者(例 如�����,密鑰管理實(shí)體)�。安全憑證源被配置為生成唯一安全憑證(例如���,密鑰�、證書等����,諸如,唯 一的識(shí)別符和/或安全憑證)��。安全憑證執(zhí)行者被配置為將由安全憑證源生成的唯一的安全 憑證提供給控制元件/子系統(tǒng)和/或工業(yè)元件(例如���,線纜��、設(shè)備217�����、1/0模塊100�����、通信/控制 模塊214����、功率模塊232等)。
[0063]工業(yè)控制系統(tǒng)200的多個(gè)(例如��,每一個(gè))設(shè)備217����、I/O模塊100、通信/控制模塊 214�、功率模塊232、物理互連設(shè)備等可以被提供有安全憑證以提供工業(yè)控制系統(tǒng)200的多個(gè) (例如��,全部)級(jí)別處的安全性�����。此外���,包括傳感器和/或致動(dòng)器等的控制元件/子系統(tǒng)和/或 工業(yè)元件可以在制造期間(例如����,生產(chǎn)時(shí))被提供有唯一的安全憑證(例如,密鑰��、證書等)����, 并且可以從產(chǎn)生起就由工業(yè)控制系統(tǒng)200的密鑰管理實(shí)體管理以增強(qiáng)工業(yè)控制系統(tǒng)200的 安全性。
[0064]在一些實(shí)施例中��,工業(yè)控制系統(tǒng)200的包括傳感器和/或致動(dòng)器等的控制元件/子 系統(tǒng)和/或工業(yè)元件之間的通信包括認(rèn)證過程���。認(rèn)證過程可以被執(zhí)行以用來認(rèn)證工業(yè)控制 系統(tǒng)200中實(shí)現(xiàn)的包括傳感器和/或致動(dòng)器等的控制元件/子系統(tǒng)和/或工業(yè)元件。此外�,認(rèn) 證過程可以利用與元件和/或物理互連設(shè)備相關(guān)聯(lián)的安全憑證來認(rèn)證該元件和/或物理互 連設(shè)備。例如�����,安全憑證可以包括加密密鑰���、證書(例如���,公鑰證書�����、數(shù)字證書�����、身份證書����、安 全證書�����、非對(duì)稱證書�����、標(biāo)準(zhǔn)證書���、非標(biāo)準(zhǔn)證書)和/或標(biāo)識(shí)號(hào)碼�����。
[0065]在實(shí)現(xiàn)中�����,工業(yè)控制系統(tǒng)200的多個(gè)控制元件/子系統(tǒng)和/或工業(yè)元件被提供有它 們自己的唯一安全憑證���。例如��,在元件被制造時(shí)����,工業(yè)控制系統(tǒng)200的每個(gè)元件可以被提供 有它自己的唯一的證書����、加密密鑰和/或標(biāo)識(shí)號(hào)碼的集合(例如,在元件生產(chǎn)時(shí)定義獨(dú)立的 密鑰和證書集)��。證書�����、加密密鑰和/或標(biāo)識(shí)號(hào)碼的集合被配置以提供/支持強(qiáng)加密�����。加密密 鑰可以通過諸如美國國家安全局(NSA)算法�、美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)算法等之 類的標(biāo)準(zhǔn)(例如,商用現(xiàn)成品(C0TS))加密算法實(shí)現(xiàn)���。
[0066]基于認(rèn)證過程的結(jié)果��,被認(rèn)證的元件可以被激活�,可以在工業(yè)控制系統(tǒng)200內(nèi)啟用 或禁用元件的部分功能����,可以在工業(yè)控制系統(tǒng)200內(nèi)啟用元件的全部功能,和/或可以在工 業(yè)控制系統(tǒng)200內(nèi)完全禁用元件的功能(例如���,不在該元件和工業(yè)控制系統(tǒng)200的其它元件 之間促進(jìn)通信)��。
[0067]在實(shí)施例中���,與工業(yè)控制系統(tǒng)200的元件相關(guān)聯(lián)的密鑰、證書和/或標(biāo)識(shí)號(hào)碼可以 指定該元件的原始設(shè)備制造商(OEM)���。如這里所使用的����,術(shù)語"原始設(shè)備制造商"或"OEM"可 以被定義為物理地制造該設(shè)備(例如��,元件)的實(shí)體和/或該設(shè)備的供應(yīng)商,諸如從物理制造 商采購該設(shè)備并銷售該設(shè)備的實(shí)體�����。因而��,在實(shí)施例中��,設(shè)備可以由作為該設(shè)備的物理制造 商和供應(yīng)商二者的OEM制造并發(fā)布(銷售)��。然而����,在其它實(shí)施例中,設(shè)備能夠由作為供應(yīng)商 而不是物理制造商的OEM發(fā)布���。在這樣的實(shí)施例中����,OEM可以使設(shè)備由物理制造商制造(例 如���,OEM可以從物理制造商對(duì)該設(shè)備進(jìn)行采購、簽訂合同��、訂購等)。
[0068]此外���,在OEM包括不是設(shè)備的物理制造商的供應(yīng)商的情況下���,設(shè)備可以載有供應(yīng)商 的商標(biāo),而非物理制造商的商標(biāo)�����。例如���,在實(shí)施例中�,在元件(例如�,通信/控制模塊214或I/O 模塊100)與作為供應(yīng)商而非物理制造商的特定OEM相關(guān)聯(lián)的情況下,元件的密鑰�����、證書和/ 或標(biāo)識(shí)號(hào)碼可以指定該來源�����。在工業(yè)控制系統(tǒng)200的元件的認(rèn)證期間,在確定被認(rèn)證的元件 是由不同于工業(yè)控制系統(tǒng)200的一個(gè)或多個(gè)其它元件的OEM的實(shí)體制造或供應(yīng)的時(shí)�,則在工 業(yè)控制系統(tǒng)200內(nèi)可以至少部分地禁用該元件的功能。例如�����,可以在該元件與工業(yè)控制系統(tǒng) 200的其它元件之間的通信(例如�����,數(shù)據(jù)傳輸)上設(shè)置限制��,使得元件不能在工業(yè)控制系統(tǒng) 200內(nèi)工作/起作用�����。在工業(yè)控制系統(tǒng)200的元件中的一個(gè)元件需要更換時(shí)��,該特征能夠防止 工業(yè)控制系統(tǒng)200的用戶不知就里地使用非同源元件(例如���,具有與工業(yè)控制系統(tǒng)200的剩 余元件不同的源(不同的OEM)的元件)替換該元件并在工業(yè)控制系統(tǒng)200中實(shí)現(xiàn)該元件�����。以 此方式��,這里所描述的技術(shù)能夠防止將其它OEM的元件替換到安全工業(yè)控制系統(tǒng)200中�����。在 一個(gè)示例中���,由于替換的元件不能在源OEM的系統(tǒng)內(nèi)認(rèn)證和操作,因此能夠防止對(duì)用于提供 代替由源OEM提供的元件的相似功能的元件的替換��。在另一個(gè)示例中���,第一分銷商可以由源 OEM提供具有第一物理及加密標(biāo)簽集的元件����,并且第一分銷商的元件可以被安裝在工業(yè)控 制系統(tǒng)200中�����。在這個(gè)示例中��,第二分銷商可以由相同的源OEM提供具有第二(例如�,不同的) 物理及加密標(biāo)簽集的元件。在該示例中����,由于第二分銷商的元件不能與第一分銷商的元件 認(rèn)證和操作��,因此可以防止第二分銷商的元件在工業(yè)控制系統(tǒng)200內(nèi)操作�����。然而���,還應(yīng)該注 意的是,第一分銷商和第二分銷商可以締結(jié)相互協(xié)定��,其中第一和第二元件可以被配置為 在相同的工業(yè)控制系統(tǒng)200內(nèi)認(rèn)證和操作����。此外,在某些實(shí)施例中�����,還可以實(shí)現(xiàn)允許互操作 的分銷商之間的協(xié)定����,因此,該協(xié)定僅應(yīng)用于特定客戶��、客戶群、設(shè)施等��。
[0069]在另一個(gè)例子中�����,用戶可能試圖在工業(yè)控制系統(tǒng)200內(nèi)實(shí)現(xiàn)未正確指定的(例如��, 錯(cuò)誤標(biāo)記的)元件����。例如�,錯(cuò)誤標(biāo)記的元件可以具有在它上面標(biāo)記的物理記號(hào),該物理記號(hào) 錯(cuò)誤地指示該元件與和工業(yè)控制系統(tǒng)200的其它元件的OEM相同的OEM相關(guān)聯(lián)�。在這樣的例 子中,由工業(yè)控制系統(tǒng)200實(shí)現(xiàn)的認(rèn)證過程可以警告用戶該元件是偽造的���。該過程還可以促 進(jìn)改善的工業(yè)控制系統(tǒng)200的安全性�����,因?yàn)閭卧煸?jīng)常是會(huì)將惡意軟件引入工業(yè)控制系 統(tǒng)200的傳播媒介(vehicle)���。在實(shí)施例中����,認(rèn)證過程為工業(yè)控制系統(tǒng)200提供安全氣隙��,確 保安全工業(yè)控制系統(tǒng)與不安全的網(wǎng)絡(luò)物理隔離����。
[0070] 在實(shí)現(xiàn)中,安全的工業(yè)控制系統(tǒng)200包括密鑰管理實(shí)體�����。密鑰管理實(shí)體可以被配置 為管理加密系統(tǒng)中的加密密鑰(例如�����,加密密鑰)�����。該加密密鑰的管理(例如����,密鑰管理)可以 包括密鑰的生成、交換�、存儲(chǔ)�、使用和/或更換��。例如�,密鑰管理實(shí)體被配置為充當(dāng)安全憑證 源,為工業(yè)控制系統(tǒng)200的元件生成唯一的安全憑證(例如��,公共安全憑證����、秘密安全憑證)�。 密鑰管理涉及用戶和/或系統(tǒng)級(jí)(例如,用戶間或系統(tǒng)間)的密鑰���。
[0071] 在實(shí)施例中���,密鑰管理實(shí)體包括安全實(shí)體,諸如位于安全設(shè)施內(nèi)的實(shí)體�����??梢跃?/ 0模塊100、通信/控制模塊214����、以及網(wǎng)絡(luò)230遠(yuǎn)程安置密鑰管理實(shí)體�����。例如���,防火墻可以將密 鑰管理實(shí)體與控制元件或子系統(tǒng)以及網(wǎng)絡(luò)230(例如,企業(yè)網(wǎng)絡(luò))分離���。在實(shí)現(xiàn)中�,防火墻可 以是基于軟件和/或基于硬件的網(wǎng)絡(luò)安全系統(tǒng)�,通過基于規(guī)則集來分析數(shù)據(jù)分組以及確定 數(shù)據(jù)分組是應(yīng)當(dāng)被允許通過還是不通過來控制進(jìn)和出的網(wǎng)絡(luò)業(yè)務(wù)。因而防火墻建立了受信 的��、安全的內(nèi)部網(wǎng)絡(luò)(例如����,網(wǎng)絡(luò)230)與不被假定為安全和受信的另一個(gè)網(wǎng)絡(luò)(例如,云和/ 或互聯(lián)網(wǎng))之間的屏障����。在實(shí)施例中,防火墻允許密鑰管理實(shí)體與一個(gè)或多個(gè)控制元件或子 系統(tǒng)和/或網(wǎng)絡(luò)230之間的選擇性(例如��,安全)的通信。在示例中�,可以在工業(yè)控制系統(tǒng)200 內(nèi)的各個(gè)位置處實(shí)現(xiàn)一個(gè)或多個(gè)防火墻。例如����,防火墻可以被集成到網(wǎng)絡(luò)230的交換機(jī)和/ 或工作站中。
[0072]安全的工業(yè)控制系統(tǒng)200可以進(jìn)一步包括一個(gè)或多個(gè)生產(chǎn)實(shí)體(例如����,工廠)。生產(chǎn) 實(shí)體可以與工業(yè)控制系統(tǒng)200的元件的原始設(shè)備制造商(OEM)相關(guān)聯(lián)����。密鑰管理實(shí)體可以經(jīng) 由網(wǎng)絡(luò)(例如�,云)與生產(chǎn)實(shí)體通信地耦合。在實(shí)現(xiàn)中�,在工業(yè)控制系統(tǒng)200的元件是在一個(gè) 或多個(gè)生產(chǎn)實(shí)體處制造的時(shí),密鑰管理實(shí)體可以與元件通信地耦合(例如�����,可以具有到元件 的加密的通信管道)�����。密鑰管理實(shí)體可以使用通信管道在生產(chǎn)中向元件提供安全憑證(例 如,將密鑰����、證書和/或標(biāo)識(shí)號(hào)碼插入元件)。
[0073]此外�����,在元件被使用(例如���,被激活)時(shí)���,密鑰管理實(shí)體可以通信地耦合(例如,經(jīng)由 加密的通信管道)到全球范圍內(nèi)每個(gè)獨(dú)立元件并且可以確認(rèn)及標(biāo)記對(duì)特定代碼的使用�����,撤 銷(例如���,刪除)對(duì)任何特定代碼的使用�����,和/或啟用對(duì)任何特定代碼的使用����。因而,密鑰管理 實(shí)體可以與原始生產(chǎn)(例如����,產(chǎn)生)元件的工廠處的每個(gè)元件通信,使得元件從產(chǎn)生時(shí)起具 有受管理的密鑰�����。包括用于工業(yè)控制系統(tǒng)200的每個(gè)元件的全部加密密鑰����、證書和/或識(shí)別 號(hào)碼的主數(shù)據(jù)庫和/或表可以由密鑰管理實(shí)體維護(hù)。密鑰管理實(shí)體通過其自身與元件的通 信被配置用于撤銷密鑰����,由此促進(jìn)認(rèn)證機(jī)制防盜以及重復(fù)使用部件的能力����。
[0074]在實(shí)現(xiàn)中,密鑰管理實(shí)體可以經(jīng)由另一個(gè)網(wǎng)絡(luò)(例如����,云和/或互聯(lián)網(wǎng))和防火墻與 一個(gè)或多個(gè)控制元件/子系統(tǒng)��、工業(yè)元件����、和/或網(wǎng)絡(luò)230通信地耦合���。例如����,在實(shí)施例中�,密 鑰管理實(shí)體可以是集中式系統(tǒng)或分布式系統(tǒng)。而且�,在實(shí)施例中,密鑰管理實(shí)體可以被本地 地或遠(yuǎn)程地管理���。在一些實(shí)現(xiàn)中��,密鑰管理實(shí)體可以位于(例如�,集成到)網(wǎng)絡(luò)230和/或控制 元件或子系統(tǒng)內(nèi)�。密鑰管理實(shí)體可以以各種方式提供管理和/或被管理。例如��,密鑰管理實(shí) 體可以取決于層級(jí)、通過以下各項(xiàng)來在不同的位置處被實(shí)現(xiàn)/管理:中央位置處的客戶����、獨(dú) 立工廠位置處的客戶、外部第三方管理公司和/或工業(yè)控制系統(tǒng)200的不同層級(jí)處的客戶�。
[0075] 可以由認(rèn)證過程提供變化的安全級(jí)別(例如,可擴(kuò)展的����、用戶配置的安全量)。例 如�,可以提供基礎(chǔ)安全級(jí)別,其中認(rèn)證元件并保護(hù)元件內(nèi)的代碼�。還可以增加其它安全層。 例如�����,可以實(shí)現(xiàn)安全到這樣的程度���,其中諸如通信/控制模塊214或I/O模塊100的部件不能 在未發(fā)生適當(dāng)?shù)恼J(rèn)證的情況下被上電���。在實(shí)現(xiàn)中����,代碼中的加密是在元件中被實(shí)現(xiàn)的����,而安 全憑證(例如�����,密鑰和證書)是在元件上被實(shí)現(xiàn)的�����。安全可以被分發(fā)通過(例如��,流經(jīng))工業(yè)控 制系統(tǒng)200����。例如,安全可以流經(jīng)工業(yè)控制系統(tǒng)200-直到達(dá)終端用戶��,終端用戶知道在此實(shí) 例中將模塊設(shè)計(jì)成控制什么�����。在實(shí)施例中�����,認(rèn)證過程提供用于系統(tǒng)硬件或軟件組件的安全 通信和認(rèn)證的設(shè)備的加密、識(shí)別(例如���,經(jīng)由數(shù)字簽名)�����。
[0076] 在實(shí)現(xiàn)中����,可以實(shí)現(xiàn)認(rèn)證過程以提供和/或?qū)崿F(xiàn)在由不同的制造商/銷售商/供應(yīng) 商(例如����,OEM)制造和/或供應(yīng)的元件的安全工業(yè)控制系統(tǒng)200內(nèi)的互操作性。例如��,可以實(shí) 現(xiàn)由不同的制造商/銷售商/供應(yīng)商制造和/或供應(yīng)的元件之間的選擇性(例如�,某些)互操 作性。在實(shí)施例中�����,在認(rèn)證期間實(shí)現(xiàn)的唯一的安全憑證(例如��,密鑰)可以形成分級(jí)結(jié)構(gòu),由 此允許由工業(yè)控制系統(tǒng)200的不同元件執(zhí)行的不同功能��。
[0077]連接工業(yè)控制系統(tǒng)200的部件的通信鏈路可以進(jìn)一步采用在其中放置(例如����,引入 的/填充的)諸如甚小分組(例如�,小于六十四(64)字節(jié)的分組)的數(shù)據(jù)分組,提供增加的安 全等級(jí)����。對(duì)甚小分組的使用增加了外部信息(例如,諸如錯(cuò)誤消息���、惡意軟件(病毒)����、數(shù)據(jù)挖 掘應(yīng)用等的惡意內(nèi)容)能夠被引入通信鏈路上的難度等級(jí)�����。例如��,甚小分組可以在經(jīng)由通信 通道102中的一個(gè)或多個(gè)從I/O模塊100向一個(gè)或多個(gè)現(xiàn)場(chǎng)設(shè)備217發(fā)送的數(shù)據(jù)分組之間的 間隙內(nèi)被引入通信鏈路��,以阻礙外部實(shí)體向通信鏈路引入惡意內(nèi)容的能力。
[0078] 如圖10和圖11中所示�,I/O模塊100或任何其它工業(yè)元件/控制器306(例如,通信/ 控制模塊214����、現(xiàn)場(chǎng)設(shè)備217、物理互連設(shè)備���、開關(guān)���、功率模塊232等)可以至少部分地根據(jù)來 自動(dòng)作發(fā)起者302的請(qǐng)求/命令進(jìn)行操作。在實(shí)現(xiàn)中����,動(dòng)作發(fā)起者302包括操作者接口 308(例 如SCADA或HMI)、包括編輯器312和編譯器314的工程接口 310�、本地應(yīng)用320、遠(yuǎn)程應(yīng)用316 (例如����,經(jīng)由本地應(yīng)用320通過網(wǎng)絡(luò)318通信)等。在圖10和圖11中示出的認(rèn)證路徑300中�����,僅 當(dāng)動(dòng)作請(qǐng)求已經(jīng)由動(dòng)作認(rèn)證器304簽名和/或加密時(shí),工業(yè)元件/控制器306(例如����,I/O模塊 100)處理動(dòng)作請(qǐng)求(例如,對(duì)數(shù)據(jù)�����、控制命令�����、防火墻/軟件更新��、設(shè)置點(diǎn)控制��、應(yīng)用圖像下載 等的請(qǐng)求)����。這防止來自有效用戶配置文件的未認(rèn)證的動(dòng)作請(qǐng)求并且進(jìn)一步保護(hù)系統(tǒng)免于 來自無效(例如�����,黑客攻擊的)配置文件的未認(rèn)證的動(dòng)作請(qǐng)求。在實(shí)施例中����,動(dòng)作認(rèn)證過程實(shí) 現(xiàn)為美國專利申請(qǐng)序號(hào)14/519,066中所描述,這里通過引用的方式將其全部?jī)?nèi)容并入本申 請(qǐng)���。
[0079]動(dòng)作認(rèn)證器304可以與動(dòng)作發(fā)起者302-起安置在現(xiàn)場(chǎng)(例如�,直接連接的設(shè)備生 命周期管理系統(tǒng)("DLM")322或者安全工作站326)或者遠(yuǎn)程安置(例如��,經(jīng)由網(wǎng)絡(luò)318連接的 DLM 322)�����。通常���,動(dòng)作認(rèn)證器304包括在其上存儲(chǔ)有私鑰的存儲(chǔ)介質(zhì)和被配置為用私鑰簽名 和/或加密由動(dòng)作發(fā)起者302生成的動(dòng)作請(qǐng)求的處理器�。私鑰被存儲(chǔ)在不能經(jīng)由標(biāo)準(zhǔn)操作者 登錄來訪問的存儲(chǔ)器中��。作為例子���,安全工作站326可以要求用于訪問的物理密鑰�、便攜式 加密裝置(例如����,智能卡�、RFID標(biāo)簽等)�����、和/或生物輸入�。
[0080] 在一些實(shí)施例中,動(dòng)作認(rèn)證器304包括諸如智能卡324(其可以包括安全微處理器) 的便攜式加密設(shè)備����。使用便攜式加密設(shè)備的優(yōu)點(diǎn)在于整個(gè)設(shè)備(包括秘密存儲(chǔ)的密鑰和與 其通信的處理器)可以由已經(jīng)授權(quán)訪問動(dòng)作發(fā)起者302的接口的操作者或用戶攜帶����。不管動(dòng) 作認(rèn)證節(jié)點(diǎn)304經(jīng)由安全還是不安全的工作站訪問認(rèn)證路徑300,來自動(dòng)作發(fā)起者302的動(dòng) 作請(qǐng)求都可以在便攜式加密設(shè)備的架構(gòu)內(nèi)被安全地簽名和/或加密,而不是潛在的不那么 安全的工作站或基于云的架構(gòu)內(nèi)�。這保護(hù)了工業(yè)控制系統(tǒng)200免于未認(rèn)證的動(dòng)作。作為例 子��,未認(rèn)證的個(gè)人在能夠認(rèn)證經(jīng)由動(dòng)作發(fā)起者302發(fā)送的任何動(dòng)作請(qǐng)求之前必須物理地?fù)?有智能卡324�。
[00811 而且,可以部署多個(gè)安全層級(jí)���。例如����,動(dòng)作認(rèn)證器304可以包括僅對(duì)于經(jīng)由智能卡 訪問等來簽名和/或加密動(dòng)作請(qǐng)求而言是可訪問的安全工作站326。此外��,安全工作站326可 以經(jīng)由生物的或多因子的加密設(shè)備328(例如���,指紋掃描儀��、虹膜掃描儀���、和/或面部識(shí)別設(shè) 備)來訪問。在一些實(shí)施例中��,多因子加密設(shè)備328在使得智能卡324或其它便攜式加密裝置 能夠?qū)?dòng)作請(qǐng)求簽名之前要求有效的生物輸入�����。
[0082]由動(dòng)作發(fā)起者302驅(qū)動(dòng)的I/O模塊100或任何其它工業(yè)元件/控制器306被配置為接 收被簽名的動(dòng)作請(qǐng)求���,驗(yàn)證被簽名的動(dòng)作請(qǐng)求的真實(shí)性���,以及在驗(yàn)證了被簽名的動(dòng)作請(qǐng)求 的真實(shí)性時(shí)執(zhí)行所請(qǐng)求的動(dòng)作。在一些實(shí)施例中�����,工業(yè)元件/控制器306包括被配置為存儲(chǔ) 動(dòng)作請(qǐng)求(例如,應(yīng)用圖像���、控制命令�、和/或任意其它由動(dòng)作發(fā)起者發(fā)送的數(shù)據(jù))的存儲(chǔ)介 質(zhì)330(例如���,SD/微iSD卡���、HDD、SSD��、或者任何其它非瞬態(tài)存儲(chǔ)設(shè)備)�。1/0模塊100或任何其 它工業(yè)元件/控制器306還包括在驗(yàn)證了簽名后執(zhí)行/運(yùn)行動(dòng)作請(qǐng)求(即�,執(zhí)行所請(qǐng)求的動(dòng) 作)的處理器332(例如,控制器106)����。在一些實(shí)施例中,動(dòng)作請(qǐng)求由動(dòng)作發(fā)起者302和/或動(dòng) 作認(rèn)證器332加密并且在所請(qǐng)求的動(dòng)作可以被執(zhí)行之前還必須由處理器332解密�。在實(shí)現(xiàn) 中,I/O模塊100或任何其它工業(yè)元件/控制器306包括虛擬密鑰開關(guān)334(例如��,運(yùn)行在處理 器332上的軟件模塊),其使得處理器332僅在驗(yàn)證了動(dòng)作請(qǐng)求簽名之后和/或在解密了動(dòng)作 請(qǐng)求之后能夠執(zhí)行所請(qǐng)求的動(dòng)作����。在一些實(shí)施例中,每一個(gè)或各個(gè)動(dòng)作或者所選擇的關(guān)鍵 動(dòng)作中的每一個(gè)在I/O模塊100或任何其它工業(yè)元件/控制器306上運(yùn)行之前必須清除認(rèn)證 路徑�����。
[0083]圖12示出了經(jīng)由諸如本文所描述的動(dòng)作認(rèn)證路徑300的動(dòng)作認(rèn)證路徑來認(rèn)證動(dòng)作 請(qǐng)求的示例性過程400的流程圖����。在實(shí)現(xiàn)中,方法400可以被工業(yè)控制系統(tǒng)200和/或工業(yè)控 制系統(tǒng)200的認(rèn)證路徑300來體現(xiàn)����。方法400包括:(402)發(fā)起動(dòng)作請(qǐng)求(例如,經(jīng)由操作者/工 程接口 308/310或遠(yuǎn)程/本地應(yīng)用接口 316/320); (404)使用動(dòng)作認(rèn)證器304對(duì)動(dòng)作請(qǐng)求簽 名����;(412)可選地,使用動(dòng)作認(rèn)證器304加密動(dòng)作請(qǐng)求��;(406)發(fā)送或下載簽名的動(dòng)作請(qǐng)求給 I/O模塊100或任何其它工業(yè)元件/控制器306; (408)驗(yàn)證簽名的動(dòng)作請(qǐng)求的真實(shí)性���;(414) 可選地�,使用I/O模塊100或任何其它工業(yè)元件/控制器306解密動(dòng)作請(qǐng)求;以及(410)在驗(yàn)證 了簽名的動(dòng)作請(qǐng)求的真實(shí)性時(shí)使用I/O模塊100或任何其它工業(yè)元件/控制器306來執(zhí)行所 請(qǐng)求的動(dòng)作�����。
[0084]為了增強(qiáng)安全性�����,I/O模塊100或任何其它工業(yè)元件/控制器306可以進(jìn)一步被配置 為�,在所請(qǐng)求的動(dòng)作由I/O模塊100或任何其它工業(yè)元件/控制器306運(yùn)行之前,使用動(dòng)作認(rèn) 證器304(例如�,使用智能卡324等)來執(zhí)行認(rèn)證序列。例如���,所謂的"握手"可以在步驟410之 前或者甚至在步驟406之前執(zhí)行��。在一些實(shí)施例中��,簽名和驗(yàn)證步驟404和408可以全部被替 換為更復(fù)雜的認(rèn)證序列??商娲兀J(rèn)證序列可以作為額外的安全措施來執(zhí)行以加強(qiáng)更簡(jiǎn) 單的簽名驗(yàn)證和/或解密措施����。
[0085]在一些實(shí)施例中�,由I/O模塊100或任何其它工業(yè)元件/控制器306實(shí)現(xiàn)的認(rèn)證序列 可以包括:向動(dòng)作認(rèn)證器304發(fā)送請(qǐng)求數(shù)據(jù)報(bào)�����,該請(qǐng)求數(shù)據(jù)報(bào)包括第一隨機(jī)數(shù)(nonce)��、第一 設(shè)備認(rèn)證密鑰證書(例如���,包含設(shè)備認(rèn)證密鑰的第一認(rèn)證證書)��、以及第一身份屬性證書;接 收來自動(dòng)作認(rèn)證器304的響應(yīng)數(shù)據(jù)報(bào)�,該響應(yīng)數(shù)據(jù)報(bào)包括第二隨機(jī)數(shù)��、與第一和第二隨機(jī)數(shù) 相關(guān)聯(lián)的第一簽名�����、第二設(shè)備認(rèn)證密鑰證書(例如���,包含設(shè)備認(rèn)證密鑰的第二認(rèn)證證書)�����、以 及第二身份屬性證書;通過驗(yàn)證與第一和第二隨機(jī)數(shù)相關(guān)聯(lián)的第一簽名��、第二設(shè)備認(rèn)證密 鑰證書����、以及第二身份屬性證書來確認(rèn)響應(yīng)數(shù)據(jù)報(bào)有效;以及在響應(yīng)數(shù)據(jù)報(bào)有效時(shí)向動(dòng)作 認(rèn)證器304發(fā)送認(rèn)證數(shù)據(jù)報(bào)��,該認(rèn)證數(shù)據(jù)報(bào)包括與第一和第二隨機(jī)數(shù)相關(guān)聯(lián)的第二簽名�����。 [0086]可替代地���,動(dòng)作認(rèn)證器304可以發(fā)起握手�����,在該情況下�,由I/O模塊100或任何其它 工業(yè)元件/控制器306實(shí)現(xiàn)的認(rèn)證序列可以包括:接收來自動(dòng)作認(rèn)證器304的請(qǐng)求數(shù)據(jù)報(bào)�,該 請(qǐng)求數(shù)據(jù)報(bào)包括第一隨機(jī)數(shù)、第一設(shè)備認(rèn)證密鑰證書����、以及第一身份屬性證書;通過驗(yàn)證第 一設(shè)備認(rèn)證密鑰證書和第一身份屬性證書來確認(rèn)請(qǐng)求數(shù)據(jù)報(bào)有效��;以及在請(qǐng)求數(shù)據(jù)報(bào)有效 時(shí)向動(dòng)作認(rèn)證器304發(fā)送響應(yīng)數(shù)據(jù)報(bào),該響應(yīng)數(shù)據(jù)報(bào)包括包括第二隨機(jī)數(shù)��、與第一和第二隨 機(jī)數(shù)相關(guān)聯(lián)的第一簽名�、第二設(shè)備認(rèn)證密鑰證書、以及第二身份屬性證書;接收來自動(dòng)作認(rèn) 證器304的認(rèn)證數(shù)據(jù)報(bào)��,該認(rèn)證數(shù)據(jù)報(bào)包括與第一和第二隨機(jī)數(shù)相關(guān)聯(lián)的第二簽名���;以及通 過驗(yàn)證與第一和第二隨機(jī)數(shù)相關(guān)聯(lián)的第二簽名來確認(rèn)認(rèn)證數(shù)據(jù)報(bào)有效�。
[0087] 可以由I/O模塊100或任何其它工業(yè)元件/控制器306和動(dòng)作認(rèn)證器304實(shí)現(xiàn)的握手 或認(rèn)證序列進(jìn)一步在美國專利申請(qǐng)序號(hào)14/519,047中進(jìn)行了描述��,這里通過引用的方式將 其全部?jī)?nèi)容并入本申請(qǐng)�����。本領(lǐng)域技術(shù)人員將意識(shí)到冗余通信/控制模塊106之間的握手對(duì)本 文所描述的I/O模塊100或任何其它工業(yè)元件/控制器306與動(dòng)作認(rèn)證器304之間握手的適應(yīng) 性��。
[0088]動(dòng)作發(fā)起者302���、動(dòng)作認(rèn)證器304��、以及I/O模塊100或任何其它工業(yè)元件/控制器 306中的每一個(gè)可以包括能夠執(zhí)行本文所描述的功能或操作(例如���,方法400的塊和認(rèn)證序 列)的電路和/或邏輯����。例如���,動(dòng)作發(fā)起者302���、動(dòng)作認(rèn)證器304、以及I/O模塊100或任何其它 工業(yè)元件/控制器306中的每一個(gè)可以包括一個(gè)或多個(gè)處理器���,其用于執(zhí)行由諸如但不限于 硬盤驅(qū)動(dòng)器(HDD)����、固態(tài)盤(SDD)���、光盤����、磁存儲(chǔ)設(shè)備�、閃存驅(qū)動(dòng)器、或SD/微SD卡的非瞬態(tài)機(jī) 器可讀介質(zhì)永久性����、半永久性或臨時(shí)性存儲(chǔ)的程序指令��。
[0089] 如上文中所描述的,兩個(gè)或更多I/O模塊100可以彼此以并聯(lián)的方式連接���,并且可 以能夠彼此通信���。在一些實(shí)施例中,為進(jìn)一步的安全性��,I/O模塊1〇〇被配置為在包括諸如啟 動(dòng)����、重置、安裝新的I/O模塊100�、更換I/O模塊100、周期性�����、按調(diào)度時(shí)間等的預(yù)定的事件或時(shí) 間處執(zhí)行認(rèn)證序列或握手來彼此認(rèn)證��。通過使I/O模塊100彼此認(rèn)證���,可以避免偽造或惡意 引入的I/O模塊100�����。
[0090] 圖13示出了在認(rèn)證序列的執(zhí)行中在兩個(gè)I/O模塊100(例如���,第一 I/O模塊100A和第 二I/O模塊100B)之間傳輸?shù)氖纠詳?shù)據(jù)報(bào)500��。為發(fā)起認(rèn)證序列���,第一I/O模塊100A被配置 為向第二I/O模塊100B發(fā)送請(qǐng)求數(shù)據(jù)報(bào)502。在實(shí)現(xiàn)中�,請(qǐng)求數(shù)據(jù)報(bào)502包括第一明文隨機(jī)數(shù) (NonceA)、包含第一設(shè)備認(rèn)證密鑰(DAKA)的第一設(shè)備認(rèn)證密鑰證書(CertDAKA)���、以及第一 身份屬性證書(IACA)��。在一些實(shí)施例中����,第一I/O模塊100A被配置為使用真隨機(jī)數(shù)生成器 (下文中稱為"TRNG")生成第一隨機(jī)數(shù)(NonceA)并且串接或以其它方式組合第一隨機(jī)數(shù) (NonceA)�、第一設(shè)備認(rèn)證密鑰證書(CertDAKA)以及第一身份屬性證書(IACA)以生成請(qǐng)求數(shù) 據(jù)報(bào)502。在一些實(shí)施例中��,第一設(shè)備認(rèn)證密鑰證書(CertDAKA)和第一身份屬性證書(IACA) 由第一 I/0模塊100A本地存儲(chǔ)。例如����,證書可以被存儲(chǔ)在第一 I/0模塊100A的本地存儲(chǔ)器(例 如,R0M���、RAM、閃存或者其它非瞬態(tài)存儲(chǔ)介質(zhì))中�����。
[0091] 第二I/O模塊100B被配置為通過使用由設(shè)備生命周期管理系統(tǒng)(DLM)生成的或者 利用密碼庫函數(shù)導(dǎo)出的公鑰來驗(yàn)證第一設(shè)備認(rèn)證密鑰證書(CertDAKA)和第一身份屬性證 書(IACA )�����,確認(rèn)請(qǐng)求數(shù)據(jù)報(bào)有效�。在該方面,公鑰可以被存儲(chǔ)在I/O模塊100的SRAM或另一個(gè) 本地存儲(chǔ)器中并且可以與密碼庫函數(shù)一起使用以對(duì)交換的數(shù)據(jù)進(jìn)行驗(yàn)證或密碼簽名���,諸如 在I/O模塊1 〇〇之間交換的隨機(jī)數(shù)��。在一些實(shí)施例中����,第二I/〇模塊100B可以使用橢圓曲線數(shù) 字簽名算法(下文中稱為"E⑶SA")或其它驗(yàn)證操作來驗(yàn)證證書。在一些實(shí)施例中�,第二I/O 模塊100B可以進(jìn)一步地被配置為通過驗(yàn)證如下各項(xiàng)來確認(rèn)來自明文值的證書值有效:證書 類型是每個(gè)證書的設(shè)備認(rèn)證密鑰(下文中稱為"DAK")或身份屬性證書(下文中稱為"IAC"); IAC名稱匹配���,DAK證書模塊類型匹配模塊類型參數(shù);和/或消息有效負(fù)載中的每個(gè)證書的微 處理器序列號(hào)(下文中稱為"MPSN")彼此匹配�。在一些實(shí)施例中��,第二I/O模塊100B可以進(jìn)一 步被配置為驗(yàn)證DAK和IAC證書不在本地撤銷的列表(例如�,包括已取消的和/或已無效的證 書的列表或數(shù)據(jù)庫)中。在第二I/O模塊100B確認(rèn)請(qǐng)求數(shù)據(jù)報(bào)失敗時(shí)�,第二I/O模塊100B可以 生成錯(cuò)誤消息,部分地或完全地禁用第一 I/O模塊100A���,和/或停止或限制去往/來自第一 1/ 0模塊100A的通信�。
[0092]響應(yīng)于有效的請(qǐng)求數(shù)據(jù)報(bào)502,第二I/O模塊100B被配置為向第一 I/O模塊100A發(fā) 送響應(yīng)數(shù)據(jù)報(bào)504�����。在實(shí)現(xiàn)中�,響應(yīng)數(shù)據(jù)報(bào)504包括第二明文隨機(jī)數(shù)(NonceB)、與第一和第二 隨機(jī)數(shù)相關(guān)聯(lián)的第一簽名(SigB[N 0nceA | | NonceB])��、包含第二設(shè)備認(rèn)證密鑰(DAKB)的第二 設(shè)備認(rèn)證密鑰證書(certDAKB)�����、以及第二身份屬性證書(IACB)。在一些實(shí)施例中�,第二I/O 模塊100B被配置為使用TRNG生成第二隨機(jī)數(shù)(NonceB),串接或以其它方式組合第一隨機(jī)數(shù) (NonceA)和第二隨機(jī)數(shù)(NonceB)����,以及使用由第二I/O模塊100B本地存儲(chǔ)的私鑰(例如, DAK)對(duì)所串接/組合的隨機(jī)數(shù)簽名���。第二1/0模塊100B進(jìn)一步被配置為串接或以其它方式組 合第二隨機(jī)數(shù)(NonceB)、與第一和第二隨機(jī)數(shù)相關(guān)聯(lián)的第一簽名(SigB[N 0nceA| NonceB])�����、第二設(shè)備認(rèn)證密鑰證書(certDAKB)��、以及第二身份屬性證書(IACB)以生成響應(yīng) 數(shù)據(jù)報(bào)504���。在一些實(shí)施例中��,第二設(shè)備認(rèn)證密鑰證書(CertDAKB)和第二身份屬性證書 (IACB)由第二1/0模塊100B本地存儲(chǔ)����。例如,證書可以被存儲(chǔ)在第二1/0模塊100B的本地存 儲(chǔ)器(例如�����,R〇M����、RAM、閃存����、或其它非瞬態(tài)存儲(chǔ)介質(zhì))中。
[0093]第一 1/0模塊100A被配置為通過使用本地存儲(chǔ)的或利用ECDSA或另一個(gè)驗(yàn)證操作 從密碼庫檢索的公鑰來驗(yàn)證第二設(shè)備認(rèn)證密鑰證書(CertDAKB)和第二身份屬性證書 (IACB)����,來確認(rèn)響應(yīng)數(shù)據(jù)報(bào)有效。在一些實(shí)施例中�,第一 1/0模塊100A可以進(jìn)一步被配置為 通過驗(yàn)證下列各項(xiàng)來確認(rèn)來自明文值的證書值有效:IAC&DAK證書具有匹配的MPSN,IAC名 稱匹配���,雙方證書(IAC&DAK)的證書類型正確�,雙方證書上具有正確的發(fā)布者名稱����,DAK模塊 類型是正確的類型(例如�,檢查以確定是否模塊類型=通信/控制模塊)���。在一些實(shí)施例中��, 第一 1/0模塊100A可以進(jìn)一步被配置為驗(yàn)證DAK和IAC證書不在本地撤銷列表中�����。
[0094]為確認(rèn)響應(yīng)數(shù)據(jù)報(bào)有效��,第一 1/0模塊100A可以被進(jìn)一步配置為驗(yàn)證與第一和第 二隨機(jī)數(shù)相關(guān)聯(lián)的第一簽名(sigB[NonceA| iNonceB])�����。在一些實(shí)施例中���,第一 1/0模塊100A 被配置為����,通過串接第一本地存儲(chǔ)的隨機(jī)數(shù)(NonceA)和從第二1/0模塊100B接收的第二明 文隨機(jī)數(shù)(NonceB),使用公共設(shè)備認(rèn)證密鑰(例如���,使用來自certDAKB的DAKB)驗(yàn)證第一密 碼簽名(sigB[N 0nceA| iNonceB])�����,以及將本地生成的第一隨機(jī)數(shù)和第二隨機(jī)數(shù)的串接與密 碼驗(yàn)證的第一隨機(jī)數(shù)和第二隨機(jī)數(shù)的串接相比較���,來驗(yàn)證第一簽名(sigB[N 0nCeA| NonceB])����。在第一 1/0模塊100A確認(rèn)響應(yīng)數(shù)據(jù)報(bào)失敗時(shí)�,第一 1/0模塊100A可以生成錯(cuò)誤消 息,部分地或全部地禁用第二1/0模塊100B�,和/或停止或限制去往/或來自第二1/0模塊 100B的通信。
[0095]在響應(yīng)數(shù)據(jù)報(bào)504有效時(shí)���,第一 1/0模塊100A進(jìn)一步被配置為向第二1/0模塊100B 發(fā)送認(rèn)證數(shù)據(jù)報(bào)506�����。在實(shí)現(xiàn)中���,認(rèn)證數(shù)據(jù)報(bào)506包括與第一和第二隨機(jī)數(shù)相關(guān)聯(lián)的第二簽 名(sigA[NonceA | | NonceB])。在一些實(shí)施例中���,第一 1/0模塊100A被配置為將本地生成的第 一和第二隨機(jī)數(shù)的串接簽上由第一I/〇模塊100A本地存儲(chǔ)的私鑰(例如����,DAK)。在響應(yīng)數(shù)據(jù) 報(bào)無效時(shí)�����,認(rèn)證數(shù)據(jù)報(bào)506可以使用包括由第一 1/0模塊100A生成的與第二隨機(jī)數(shù)和錯(cuò)誤報(bào) 告(例如�,"失敗")消息相關(guān)聯(lián)的簽名(sigA[NonceB | | Error])的"失敗的"認(rèn)證數(shù)據(jù)報(bào)506來 替換。
[0096] 響應(yīng)于認(rèn)證數(shù)據(jù)報(bào)506,第二I/O模塊100B可以進(jìn)一步被配置為向第一 I/O模塊 100A發(fā)送響應(yīng)認(rèn)證數(shù)據(jù)報(bào)508����。在實(shí)現(xiàn)中,響應(yīng)認(rèn)證數(shù)據(jù)報(bào)508包括由第二I/O模塊100B生成 的與第一隨機(jī)數(shù)和錯(cuò)誤報(bào)告(例如��,"成功"或"失敗")消息相關(guān)聯(lián)的簽名(sigB[Non CeA| Error])���。在一些實(shí)施例中�,第二I/O模塊100B被配置為通過驗(yàn)證與第一和第二隨機(jī)數(shù)相關(guān) 聯(lián)的第二簽名(sigA[NonceA| |NonceB])來確認(rèn)認(rèn)證數(shù)據(jù)報(bào)506有效����。在一些實(shí)施例中�,第二 1/0模塊100B被配置為通過串接從第一 1/0模塊100A接收的第一明文隨機(jī)數(shù)(NonceA)和第 二本地存儲(chǔ)的隨機(jī)數(shù)(NonceB),使用公共設(shè)備認(rèn)證密鑰(例如,使用來自certDAKA的DAKA) 來驗(yàn)證第二密碼簽名(sigA[N 0nceA | | NonceB])���,以及將本地生成的第一隨機(jī)數(shù)和第二隨機(jī) 數(shù)的串接與密碼驗(yàn)證的第一隨機(jī)數(shù)和第二隨機(jī)數(shù)的串接相比較���,來驗(yàn)證第二簽名(sigA [NonceA | | NonceB])。除了錯(cuò)誤報(bào)告消息以外�,在第二1/0模塊100B確認(rèn)認(rèn)證數(shù)據(jù)報(bào)失敗時(shí), 第二1/0模塊100B可以部分地或全部地禁用第一 1/0模塊100A��,和/或停止或限制去往/來自 第一 1/0模塊100A的通信����。
[0097] 在1/0模塊100根據(jù)"主設(shè)備-從設(shè)備"配置來布置的實(shí)現(xiàn)中,主設(shè)備(例如�,第一 1/0 模塊100A)可以被配置為認(rèn)證每個(gè)從設(shè)備。在認(rèn)證失敗的事件中��,主設(shè)備可以至少部分地被 禁用或限制去往/來自未認(rèn)證的從設(shè)備的通信�。可替代地�����,在沒有主設(shè)備的情況下�,以并行 方式操作的兩個(gè)或更多從1/0模塊100和/或兩個(gè)或更多1/0模塊100可以彼此認(rèn)證�����。認(rèn)證失 敗可以導(dǎo)致兩個(gè)設(shè)備或偽次級(jí)設(shè)備(例如����,非發(fā)起1/0模塊)被部分或全部禁用�����。例如�����,兩個(gè) 或更多冗余1/0模塊100可以被禁用�����,應(yīng)該是它們?cè)趩?dòng)或另一個(gè)預(yù)定的時(shí)間/事件時(shí)未成 功完成認(rèn)證序列����。
[0098] 每個(gè)1/0模塊100可以包括能夠執(zhí)行本文中描述的功能的電路和/或邏輯。例如��,控 制器106可以被配置為執(zhí)行由諸如硬盤驅(qū)動(dòng)器(HDD)�、固態(tài)盤(SDD)、光盤����、磁存儲(chǔ)設(shè)備、閃存 驅(qū)動(dòng)器等之類的非瞬態(tài)機(jī)器可讀介質(zhì)108永久�����、半永久或臨時(shí)存儲(chǔ)的程序指令����。因此,控制 器106可以被配置為分別執(zhí)行圖14和圖15中示出的認(rèn)證發(fā)起者序列600和/或認(rèn)證響應(yīng)者序 列 700〇
[0099] 參見圖14,由第一 1/0模塊100A(即��,發(fā)起者)實(shí)現(xiàn)的認(rèn)證發(fā)起者序列600可以包括: (602)向第二1/0模塊100B(即���,響應(yīng)者)發(fā)送請(qǐng)求數(shù)據(jù)報(bào)�����,該請(qǐng)求數(shù)據(jù)報(bào)包括第一隨機(jī)數(shù)�����、第 一設(shè)備認(rèn)證密鑰證書����、以及第一身份屬性證書;(604)接收來自第二1/0模塊100B的響應(yīng)數(shù) 據(jù)報(bào)��,該響應(yīng)數(shù)據(jù)報(bào)包括第二隨機(jī)數(shù)�、與第一和第二隨機(jī)數(shù)相關(guān)聯(lián)的第一簽名、第二設(shè)備認(rèn) 證密鑰證書����、以及第二身份屬性證書;(606)通過驗(yàn)證與第一和第二隨機(jī)數(shù)相關(guān)聯(lián)的第一簽 名�����、第二設(shè)備認(rèn)證密鑰證書�����、以及第二身份屬性證書來確認(rèn)響應(yīng)數(shù)據(jù)報(bào)有效�;以及(610)在 響應(yīng)數(shù)據(jù)報(bào)有效時(shí)向第二1/0模塊100B發(fā)送認(rèn)證數(shù)據(jù)報(bào),該認(rèn)證數(shù)據(jù)報(bào)包括與第一和第二 隨機(jī)數(shù)相關(guān)聯(lián)的第二簽名�;或(608)在響應(yīng)數(shù)據(jù)報(bào)無效時(shí)向第二1/0模塊100B發(fā)送認(rèn)證失敗 數(shù)據(jù)報(bào),該認(rèn)證失敗數(shù)據(jù)報(bào)包括與第二隨機(jī)數(shù)和錯(cuò)誤消息相關(guān)聯(lián)的簽名����。
[0100] 參見圖15,認(rèn)證響應(yīng)者序列700(例如����,由第二1/0模塊100B實(shí)現(xiàn))可以包括:(702) 接收來自第一 1/0模塊100A的請(qǐng)求數(shù)據(jù)報(bào)�,該請(qǐng)求數(shù)據(jù)報(bào)包括第一隨機(jī)數(shù)����、第一設(shè)備認(rèn)證密 鑰證書、以及第一身份屬性證書��;(704)通過驗(yàn)證第一設(shè)備認(rèn)證密鑰證書和第一身份屬性證 書來確認(rèn)請(qǐng)求數(shù)據(jù)報(bào)有效����;(706)在請(qǐng)求數(shù)據(jù)報(bào)有效時(shí)向第一 1/0模塊100A發(fā)送響應(yīng)數(shù)據(jù) 報(bào),該響應(yīng)數(shù)據(jù)報(bào)包括第二隨機(jī)數(shù)�����、與第一和第二隨機(jī)數(shù)相關(guān)聯(lián)的第一簽名���、第二設(shè)備認(rèn)證 密鑰證書�、以及第二身份屬性證書�����;(708)接收來自第一 1/0模塊100A的認(rèn)證數(shù)據(jù)報(bào),該認(rèn)證 數(shù)據(jù)報(bào)包括與第一和第二隨機(jī)數(shù)相關(guān)聯(lián)的第二簽名���;(710)通過驗(yàn)證與第一和第二隨機(jī)數(shù) 相關(guān)聯(lián)的第二簽名來確認(rèn)認(rèn)證數(shù)據(jù)報(bào)有效���;以及(712)向第一I/O模塊100A發(fā)送響應(yīng)認(rèn)證數(shù) 據(jù)報(bào),該響應(yīng)認(rèn)證數(shù)據(jù)報(bào)包括與第一隨機(jī)數(shù)和成功或失敗消息相關(guān)聯(lián)的簽名���。
[0101] 在一些實(shí)施例中�����,I/O模塊1〇〇可以被進(jìn)一步配置為認(rèn)證工業(yè)控制系統(tǒng)200的其它 元件和/或由工業(yè)控制系統(tǒng)200的其它元件認(rèn)證����,諸如��,通信/控制模塊214��、現(xiàn)場(chǎng)設(shè)備217(例 如��,傳感器218或致動(dòng)器220 )��、功率模塊232、物理互連設(shè)備����、交換機(jī)等。工業(yè)控制器/元件可 以被配置為通過執(zhí)行諸如上文中描述(在冗余I/O模塊100之間)的認(rèn)證序列的序列或握手 來彼此認(rèn)證或認(rèn)證其它設(shè)備�。例如,I/O模塊100可以被配置為與通信/控制模塊214或現(xiàn)場(chǎng) 設(shè)備217執(zhí)行認(rèn)證序列(例如�,如上所述的)。進(jìn)一步被預(yù)期的是�����,通信耦合的現(xiàn)場(chǎng)設(shè)備217 (例如���,傳感器218或致動(dòng)器220)還可以被配置為以與上文中描述的認(rèn)證過程相似的方式來 彼此認(rèn)證。
[0102] 應(yīng)當(dāng)理解的是���,本文描述的功能中的任意功能可以使用硬件(例如�����,諸如集成電路 的固定邏輯電路)��、軟件���、固件��、手動(dòng)過程或它們的組合來實(shí)現(xiàn)�����。因而��,上述公開內(nèi)容中討論 的塊�、操作�、功能或步驟通常表現(xiàn)為硬件(例如,諸如集成電路的固定邏輯電路)����、軟件、固件 或它們的組合���。在硬件配置的例子中��,上述公開內(nèi)容中討論的各塊與其它功能體一起可以 被實(shí)現(xiàn)為集成電路�。這樣的集成電路可以包括給出的塊�、系統(tǒng)或電路的全部功能,或者塊���、 系統(tǒng)或電路的功能中的部分功能��。此外��,塊����、系統(tǒng)或電路的元件可以跨多個(gè)集成電路來實(shí) 現(xiàn)。這樣的集成電路可以包括各種集成電路����,包括但并不一定限于:單片集成電路、倒裝芯 片集成電路��、多芯片模塊集成電路�、和/或混合信號(hào)集成電路�����。在軟件實(shí)現(xiàn)的例子中���,上述公 開內(nèi)容中討論的各塊表現(xiàn)為可執(zhí)行指令(例如��,程序代碼)���,在處理器上被執(zhí)行時(shí)執(zhí)行特定 任務(wù)���。這些可執(zhí)行指令可以被存儲(chǔ)在一個(gè)或多個(gè)有形的計(jì)算機(jī)可讀介質(zhì)中。在一些這樣的 例子中����,整個(gè)系統(tǒng)、塊��、或電路可以使用其軟件或固件等同物來實(shí)現(xiàn)����。在其它例子中,給出的 系統(tǒng)��、塊����、或電路的一部分可以以軟件或固件的形式來實(shí)現(xiàn),而其它部分以硬件的形式來實(shí) 現(xiàn)���。
[0103]盡管已經(jīng)以特定于結(jié)構(gòu)特征和/或過程操作的語言描述了主題�,應(yīng)當(dāng)理解的是由 所附權(quán)利要求限定的主題不一定限于上文中描述的特定特征或動(dòng)作��。相反,上文中描述的 特定特征和動(dòng)作描述作為實(shí)現(xiàn)權(quán)利要求書的示例性形式而公開�。
【主權(quán)項(xiàng)】
1. 一種控制系統(tǒng),包括: 控制模塊��; 輸入/輸出模塊�����,其與所述控制模塊耦合���,所述輸入/輸出模塊包括多個(gè)通信通道��,所述 多個(gè)通信通道中的每個(gè)通道被配置為連接到一個(gè)或多個(gè)現(xiàn)場(chǎng)設(shè)備����,所述輸入/輸出模塊還 包括交換結(jié)構(gòu)�,所述交換結(jié)構(gòu)被配置為經(jīng)由所述多個(gè)通信通道來選擇性地促進(jìn)所述控制模 塊和所述一個(gè)或多個(gè)現(xiàn)場(chǎng)設(shè)備之間的連通性; 串行通信接口��,被配置用于將所述輸入/輸出模塊連接到所述控制模塊���,所述串行通信 接口以與第二輸入/輸出模塊并聯(lián)的方式連接所述輸入/輸出模塊,所述串行通信接口被配 置用于在所述輸入/輸出模塊與所述控制模塊之間傳輸信息�����;以及 并行通信接口,被配置用于分別將所述輸入/輸出模塊連接到所述控制模塊�,所述并行 通信接口被配置用于在所述輸入/輸出模塊與所述控制模塊之間傳輸信息,以及在所述輸 入/輸出模塊與所述第二輸入/輸出模塊之間傳輸信息���。2. 如權(quán)利要求1所述的控制系統(tǒng)��,其中����,所述串行通信接口包括多點(diǎn)總線����。3. 如權(quán)利要求1所述的控制系統(tǒng),其中���,所述并行通信接口包括交叉開關(guān)���。4. 如權(quán)利要求1所述的控制系統(tǒng),其中��,所述控制模塊被配置為給所述輸入/輸出模塊 分配唯一標(biāo)識(shí)符����,所述唯一標(biāo)識(shí)符與所述輸入/輸出模塊物理連接到所述控制模塊的物理 位置相關(guān)聯(lián)�����。5. 如權(quán)利要求1所述的控制系統(tǒng)����,其中�����,所述串行通信接口被配置用于將所述輸入/輸 出模塊并聯(lián)地連接到冗余控制模塊�,以及所述并行通信接口被配置為分別地將所述輸入/ 輸出模塊連接到所述冗余控制模塊���。6. 如權(quán)利要求1所述的控制系統(tǒng)��,還包括功率模塊��,其用于為所述輸入/輸出模塊提供 電功率�。7. 如權(quán)利要求8所述的控制系統(tǒng)���,其中��,所述輸入/輸出模塊被配置為經(jīng)由所述多個(gè)通 信通道中的相應(yīng)的通道來為至少一個(gè)現(xiàn)場(chǎng)設(shè)備提供電功率����。8. 如權(quán)利要求1所述的控制系統(tǒng)�,其中���,所述多個(gè)通信通道包括多個(gè)以太網(wǎng)通道�����。9. 如權(quán)利要求1所述的控制系統(tǒng),其中�����,所述輸入/輸出模塊還包括耦合到所述交換結(jié) 構(gòu)的控制器�,所述控制器被配置為適應(yīng)同時(shí)在所述多個(gè)通信通道的相應(yīng)的通道上運(yùn)行的多 個(gè)通信標(biāo)準(zhǔn)�,所述通信標(biāo)準(zhǔn)包括下列標(biāo)準(zhǔn)中的至少兩個(gè):以太網(wǎng)總線、Hl現(xiàn)場(chǎng)總線����、過程現(xiàn) 場(chǎng)總線(PROFIBUS)���、可尋址遠(yuǎn)程傳感器高速通道(HART)總線�����、Modbus���、以及過程控制統(tǒng)一架 構(gòu)的對(duì)象鏈接和嵌入(OPC UA)總線��。10. 如權(quán)利要求1所述的控制系統(tǒng),其中���,所述輸入/輸出模塊可操作為過程控制統(tǒng)一架 構(gòu)的對(duì)象鏈接和嵌入(OPC UA)客戶端或OPC UA服務(wù)器中的至少一個(gè)����。11. 如權(quán)利要求1所述的控制系統(tǒng)��,其中�,所述輸入/輸出模塊被配置為按照IEEE 1588 定時(shí)協(xié)議來同步所述一個(gè)或多個(gè)現(xiàn)場(chǎng)設(shè)備。12. 如權(quán)利要求1所述的控制系統(tǒng)���,還包括與所述輸入/輸出模塊通信的設(shè)備壽命管理 系統(tǒng)����,其中��,所述設(shè)備壽命管理系統(tǒng)被配置為認(rèn)證所述一個(gè)或多個(gè)現(xiàn)場(chǎng)設(shè)備�����。13. -種輸入/輸出模塊����,包括: 多個(gè)通信通道,所述多個(gè)通信通道中的每個(gè)通道被配置為連接到一個(gè)或多個(gè)現(xiàn)場(chǎng)設(shè) 備��; 交換結(jié)構(gòu)����,被配置為經(jīng)由所述多個(gè)通信通道來選擇性促進(jìn)外部控制模塊與所述一個(gè)或 多個(gè)現(xiàn)場(chǎng)設(shè)備之間的連通性; 串行通信端口���,被配置為以與第二輸入/輸出模塊并聯(lián)的方式將所述輸入/輸出模塊連 接到所述控制模塊����,所述串行通信端口被配置用于在所述輸入/輸出模塊與所述控制模塊 之間傳輸信息;以及 并行通信端口��,被配置為分別將所述輸入/輸出模塊連接到所述控制模塊��,所述并行通 信端口被配置用于在所述輸入/輸出模塊與所述控制模塊之間傳輸信息���,以及在所述輸入/ 輸出模塊與所述第二輸入/輸出模塊之間傳輸信息�。14. 如權(quán)利要求13所述的輸入/輸出模塊�����,其中���,所述多個(gè)通信通道包括多個(gè)以太網(wǎng)通 道。15. 如權(quán)利要求14所述的輸入/輸出模塊���,其中���,所述輸入/輸出模塊被配置為經(jīng)由所述 多個(gè)以太網(wǎng)通道中的相應(yīng)的以太網(wǎng)通道為至少一個(gè)現(xiàn)場(chǎng)設(shè)備提供電功率。16. 如權(quán)利要求13所述的輸入/輸出模塊�,還包括耦合到所述交換結(jié)構(gòu)的控制器,所述 控制器被配置為適應(yīng)同時(shí)在所述多個(gè)通信通道中的相應(yīng)的通道上運(yùn)行的多個(gè)通信標(biāo)準(zhǔn)�����,所 述通信標(biāo)準(zhǔn)包括下列標(biāo)準(zhǔn)中的至少兩個(gè):以太網(wǎng)總線、Hl現(xiàn)場(chǎng)總線��、過程現(xiàn)場(chǎng)總線 (PROFIBUS )���、可尋址遠(yuǎn)程傳感器高速通道(HART)總線、Modbus�����、以及過程控制統(tǒng)一架構(gòu)的對(duì) 象鏈接和嵌入(OPC UA)總線����。17. 如權(quán)利要求13所述的輸入/輸出模塊,其中����,所述控制器被配置為運(yùn)行過程控制統(tǒng) 一架構(gòu)的對(duì)象鏈接和嵌入(OPC UA)客戶端通信/控制協(xié)議或OPC UA服務(wù)器通信/控制協(xié)議 中的至少一個(gè)。18. 如權(quán)利要求13所述的輸入/輸出模塊�����,其中�����,所述串行通信端口或所述并行通信端 口中的至少一個(gè)包括形成第一磁路部分的電磁連接器,包括: 第一磁芯組件��;以及 第一線圈����,其被布置在所述第一磁芯組件,所述電磁連接器被配置為與第二電磁連接 器配對(duì)����,所述第二電磁連接器被配置為形成第二磁路部分并且包括第二磁芯組件、以及布 置在所述第二磁芯組件的第二線圈��,所述第一磁芯組件和所述第二磁芯組件被配置為在所 述電磁連接器與所述第二電磁連接器配對(duì)時(shí)通過由所述第一磁路部分和所述第二磁路部 分形成的磁路將所述第一線圈與所述第二線圈耦合�����,所述磁路被配置為在所述第二線圈被 激勵(lì)時(shí)在所述第一線圈中感應(yīng)信號(hào)��。19. 如權(quán)利要求18所述的輸入/輸出模塊���,其中��,所述第一線圈包括布置在印刷電路板 上的平面繞組���。20. 如權(quán)利要求18所述的輸入/輸出模塊���,其中,所述第一磁芯組件包括E型磁芯組件�����。21. 如權(quán)利要求18所述的輸入/輸出模塊��,其中��,由所述第一磁芯組件和所述第二磁芯 組件形成的所述磁路具有氣隙����。
【文檔編號(hào)】G05B19/042GK105929726SQ201610236358
【公開日】2016年9月7日
【申請(qǐng)日】2016年2月14日
【發(fā)明人】C·馬爾科維奇, A·魯亞科斯, J·G·加爾文
【申請(qǐng)人】基巖自動(dòng)化平臺(tái)公司