相關申請

本專利申請主張享有在2008年9月25日提交的標題為“過程控制網絡 的一鍵安全上鎖”(One?Button?Security?Lockdown?of?a?Process?Control Network)的美國61/100,240號臨時專利申請(U.S.Provisional?Application?No. 61/100,240)的權益，所述臨時專利申請在此通過引用被完全地并入本專利。

技術領域

本專利申請總體上涉及過程工廠控制系統，尤其涉及在一過程或工廠環 境中安全地控制設備之間的通信的方法及設備。

背景技術

過程控制系統——如那些用于發電、化學、石油、或其他過程的分布式 或大型過程控制系統——典型地包括一個或多個過程控制器，所述過程控制 器相互通信連接、通過一過程控制網絡與至少一個主機或操作員工作站通信 連接、以及通過模擬總線、數字總線或模擬/數字混合總線與一個或多個現 場設備通信連接。所述現場設備可能是閥、閥定位器、開關及變送器(例如 溫度傳感器、壓力傳感器及流率傳感器)，它們在過程或工廠中發揮功能， 如開啟或關閉閥、開關設備及測量過程參數。過程控制器接收現場設備所進 行的過程或工廠測量的信號及/或關于現場設備的其他信息，并使用這些信 息來實施控制例程，然后產生控制信號并通過總線傳送至現場設備，以控制 所述過程或工廠的操作。來自現場設備和控制器的信息一般提供給由操作員 工作站執行的一種或多種應用程序，使操作員能夠執行針對過程或工廠所需 要的任何功能，例如觀察工廠的當前狀態、修正工廠的操作等等。

過程控制器一般位于所述過程工廠環境中，它們接收現場設備所進行的 或與現場設備相關的過程測量或過程變量的信號及/或關于現場設備的其他 信息，并執行控制器應用程序。控制器應用程序實施(例如)不同的控制模 塊，這些控制模塊根據所接收的信息做出過程控制決定及產生控制信號，并 與現場設備(比如HART及Fieldbus現場設備)中的控制模塊或塊協調。 控制器中的控制模塊通過通信線或信號路徑路徑，將控制信號傳送到現場設 備，從而控制過程的操作。

來自現場設備及控制器的信息典型地通過過程控制網絡傳送到一個或 多個其他硬件設備，例如傳送到操作員工作站、維護工作站、個人計算機、 手持設備、歷史數據庫、報告產生器、集中式數據庫等等。通過過程控制網 絡傳送的信息使操作員或維護人員能夠對過程執行期望的功能。例如，所述 信息允許操作員改變過程控制例程的設置、更改過程控制器或智能現場設備 中的控制模塊的操作、觀察過程工廠中的特定設備的過程或狀況的當前狀 態、觀察由現場設備及過程控制器產生的警報、模擬過程的操作以培訓人員 或測試過程控制軟件、診斷過程工廠中的問題或硬件故障等等。

現場設備通常通過過程控制網絡(例如以太網配置局域網)，與硬件設 備通信。過程控制網絡通過不同網絡設備，將過程參數、網絡信息及其他過 程控制數據傳播到過程控制系統中的不同實體。典型的網絡設備包括網絡界 面卡、網絡開關、路由器、防火墻、控制器及操作員工作站。所述網絡設備 典型地通過控制其路由、幀率、超時及其他網絡參數，促成數據流過網絡， 但不改變過程數據本身。隨著過程控制網絡的規模和復雜性增高，網絡設備 的數目及類別相應地增加。由于系統及網絡的增長，這些復雜系統中的安全 及管理可以變得愈加困難。例如，每個網絡設備可以包括一個或多個通信口， 這些通信口提供一存取點或存取口，以便在所述網絡上物理地互連過程控制 系統構件及其他網絡設備。大多數的網絡設備包括的通信口超過需要的數 目，以便全面地在網絡中連接所述設備，因此在所述設備上閑擱一個或多個 未使用或開路的通信口。所述設備上的一開路通信口因此可能通過添加其他 設備而成為網絡拓展的存取點，或可能允許一實體(不論是否惡意)存取所 述網絡及啟動不必要的及潛在有害的網絡交通。隨著網絡設備及相關存取點 的數目增加，有效地監測或控制對整個控制一復雜過程控制系統中的通信的 網絡的所有未使用通信口的存取迅速地變得不切實際。