一種用于工業控制系統(10)的可編程邏輯控制器(14)包括應用邏輯執行層(42)以及更新檢查層(40)和輸出檢查層(44)中的至少一個。應用邏輯層(42)適合于從耦合到可編程邏輯控制器(14)的至少一個傳感器(16)來接收傳感器輸入數據(32)并且處理傳感器輸入數據(32)以生成致動器(18)的輸出參數(30)。輸出檢查層(44)適合于接收輸出參數(30)；檢查輸出參數是否輸出參數為與容許輸出參數的列表(52)對應的容許輸出參數；以及向致動器(16)僅輸出容許輸出參數。更新檢查層(40)適合于接收應用邏輯更新數據(50)，其中應用邏輯更新數據包含用于更新應用邏輯(43)的信息。更新檢查層(40)適合于通過檢驗應用邏輯更新數據(50)所定義的每一個應用邏輯更新是否對應于容許邏輯更新的列表(48)中的應用邏輯更新來檢查應用邏輯更新數據(50)是否應用邏輯更新數據為容許應用邏輯更新數據，并且僅當更新數據是容許應用邏輯更新數據時，才更新應用邏輯(43)。

技術領域

本發明涉及用于更新和/或操作可編程邏輯控制器的方法、計算機程序和計算機可讀介質以及可編程邏輯控制器。

背景技術

例如用于控制發電廠、變電站、化學工廠等的工業控制系統通常包括多個可編程邏輯控制器，其耦合到工業控制系統的傳感器和致動器，并且根據傳感器所生成的數據來控制致動器。

在可編程邏輯控制器中，運行應用邏輯，其處理來自相應傳感器的輸入數據，并且生成輸出到一個或多個致動器的輸出參數，其控制相應致動器的行為。

例如，為了對可編程邏輯控制器進行編程，IEC 61131-3當前定義五種編程語言：功能框圖(FBD)、梯形圖(LD)、結構化文本(ST；與Pascal編程語言相似)、指令列表(IL；與匯編語言相似)和順序功能圖(SFC)。

控制系統以及具體是控制器可通過通信網絡(其可具有控制系統外部的連接)來連接。這些外部連接可用于通過更新可編程邏輯控制器的應用邏輯，來配置控制系統。

具有到可編程邏輯控制器的經認證連接，可允許有權訪問控制系統的每一個工程師按照任何目的(包括犯罪意圖)來改變可編程邏輯控制器的應用邏輯(符合IEC 61131-3，例如功能框圖、梯形圖)。

這還可發出病毒和特洛伊，其感染可編程邏輯控制器的工程PC完全控制，從而允許其將可編程邏輯控制器的內部應用邏輯改變成任何值，其中包括偽裝修改代碼的功能性，并且因而可控制底層進程。

例如，對震網(Stuxnet)病毒的分析表明，注入可編程邏輯控制器中的惡意震網病毒代碼不是直接運行，而是包含定時器，其對一小部分時間不顯明地將輸出(并且因而離心機的速度)改變成極低級。代碼還包含輸入進程鏡像的記錄功能，以便在以后偽造輸入進程鏡像以獲得合法控制。

專利申請EP 1772787公開一種連接到多個輸入裝置、例如開關或傳感器的可編程邏輯控制器。按照其輸入裝置種類，輸入裝置分類為安全或者不安全，例如，具有由雙系統所組成的觸點的緊急停止按鈕被認為是安全的，而具有單觸點的普通開關被認為是不安全的。通過組合串行或并行來自輸入裝置的信號所配置的順序程序基于組合邏輯和輸入裝置分類來確定為安全或者不安全。確定對組合邏輯的任何變化重復進行，并且產生對順序程序的輸出的二元安全屬性。

發明內容

上述特性可轉遞最小特權的安全原則，其要求所準予的準許量應當匹配所需組織的業務目標(其例如被ISO 27000系列所要求)。

具體來說，工程師只應當能夠將控制器的內部應用邏輯改變成針對控制器在預期域中用于所定義目的的那些值和程序，而不是改變成能夠引起損害或者允許功能性的偽裝的值。

本發明的一個目標是提供一種用于工業控制系統的安全可編程邏輯控制器。

這個目的通過下述各方面的一些技術方案的主題來實現。通過下述各方面的另一些技術方案和以下描述，其他示范實施例是顯而易見的。