可移動安全模塊及相關方法

2023-12-06 13:45:26

專利名稱：可移動安全模塊及相關方法
技術領域：
本發明總體上涉及過程控制系統，尤其涉及用於過程控制設備的可移動安全模 塊。
背景技術：
過程控制系統_如那些用於化學、石油、藥物、製漿及造紙或其他製造過程的過程 控制系統-典型地包括一個或多個過程控制設備(比如控制器及輸入/輸出伺服器)，所 述過程控制設備與至少一個主機(包括至少一個操作員工作站)或與一個或多個現場設備 (例如設備控制器、閥、閥啟動器、閥定位器、開關、傳送器、溫度傳感器、壓力傳感器、流率傳 感器及化學成分傳感器或這些設備的組合)通信連接，以控制一物理工廠(煉油廠及汽車 製造設施)中的物理過程或離散製造操作(例如開啟或關閉閥及測量或推斷過程參數)。 過程控制設備接收所述現場設備所進行的過程測量的信號及/或關於所述現場設備的其 他信息，並使用這些信息來實施控制例程，然後產生控制信號並通過總線或其他通信線傳 送至所述現場設備，以控制所述過程控制系統的操作。許多過程控制系統結合安全特徵，以防止未經授權的人員改變控制參數、命令設 備、獲取過程控制信息等等，從而確保一過程工廠的安全及可靠操作。這些安全特徵在包括 一安全儀表系統(SIS)的過程控制工廠中特別重要，過程控制工廠可能需要為涉及危險化 學物或可能在一主要或首要過程控制系統在操作期間發生故障或受危及時造成安全風險 的任何其他材料或過程執行所述主要或首要過程控制系統的安全停機。傳統上，過程控制 系統通過使用一獨立及個別安全系統為安全儀表系統提供安全，所述獨立及分離的安全系 統的使用典型地授權予數目有限的人員。然而，由於操作及維護完全分離的系統所需的成 本及工夫增加，促使在過程控制系統中結合安全系統。這樣的安全系統與過程控制系統的 結合引致安全關注及需要額外的安全措施來防止未經授權的、對安全儀表系統的改變(即 使所述過程控制系統本身已經被危及)。

發明內容
本發明公開用於過程控制設備的範例可移動安全模塊及相關方法。一範例可移動 安全模塊包括一主體(所述主體配置成可移動地連接到所述過程控制設備)及布置在所述 主體中的一存儲器(所述存儲器中存儲一共享秘密)。所述範例可移動安全模塊也包括一 處理單元，所述處理單元布置在所述主體中，並連接到所述存儲器，而且配置成讀取來自所 述過程控制設備的信息、對所述信息與所述共享秘密進行比較以及根據所述比較來鑑定所 述過程控制設備。在另一範例中，用於一過程控制設備的所述多個可移動安全模塊中的每個可移動 安全模塊包括一主體(所述主體配置成可移動地連接到所述過程控制設備)及布置在所述 主體中的一存儲器(所述存儲器中存儲一共享秘密)。此外，所述模塊中的每個模塊包括一 處理單元，所述處理單元布置在所述主體中，並連接到所述存儲器，而且配置成讀取來自所述過程控制設備的信息、對所述信息與所述共享秘密進行比較以及根據所述比較來鑑定所 述過程控制設備。在又另一範例中，以一可移動安全模塊保護一過程控制設備的一方法包括通過所 述安全模塊讀取所述過程控制設備中的信息及對所述信息與存儲在所述安全模塊的一存 儲器中的一共享秘密進行比較。所述範例方法也包括通過所述安全模塊、根據所述比較來 鑑定所述過程控制設備。另一用於保護一過程控制設備的範例方法包括在所述過程控制設備接收一要求 或命令，其中所述要求或命令與一第一人員相關。所述範例方法也包括取得一秘密以響應 所述要求或命令的接收、提供所述秘密予一第二人員、通過所述第二人員發送所述秘密到 所述過程控制設備以及為所述過程控制設備授權所述要求或命令以響應所述過程控制設 備接收所述秘密。在又再一範例中，一分布式過程控制系統包括一個或多個過程控制設備、用於讀 取來自至少一個過程控制設備的信息的設備，以及對所述信息與一共享秘密進行比較的設 備。所述範例過程控制系統也包括用於根據所述比較來鑑定所述過程控制設備的至少其中 之一的設備，以及授權用於所述過程控制設備的至少其中之一的一個或多個應用程式的設備。


圖1為一框圖，其顯示一範例過程控制系統，所述範例過程控制系統實施在此描 述的範例方法及設備。圖2為一詳細框圖，其顯示圖1的範例安全模塊。圖3描繪一頂視圖，而圖4描繪圖1的範例安全模塊的一側面圖。圖5描繪一隔離電路配置，所述隔離電路配置可以連同圖1的範例安全模塊實施， 以便使所述安全模塊與控制設備及與通信總線電氣隔離。圖6描繪一範例方法的一流程圖，所述範例方法可以用於實施圖1的範例安全模 塊，以便調用一控制設備及授權一動作。圖7描繪一範例方法的一流程圖，所述範例方法可以用於實施圖1的範例安全模 塊，以便實施一動作的兩人授權。圖8為一框圖，其顯示一範例處理器系統，所述範例處理器系統可以用於實施在 此描述的範例方法及設備。
具體實施例方式雖然以下描述範例方法及設備，其中除了其他構件以外，還包括在硬體上實施的 軟體及/或固件，但應該注意的是，這些系統只是在於闡明、而不應被當成是限制本發明包 括的範圍。例如，預期任何或所有這些硬體、軟體及固件構件可以單獨地實施在硬體、單獨 地實施在軟體或實施在任何硬體及軟體組合。因此，雖然以下描述一些範例設備及系統，但 本領域的普通工程技術人員將能理解，在此提供的範例並不是實施這些設備及系統的僅有 途徑。一範例過程控制系統(例如圖1的過程控制系統100)包括一控制室(例如圖1的控制室102)、一過程控制設備區域(例如圖1的過程控制設備區域104)、一個或多個終 端區域(例如圖1的一第一終端區域106及一第二終端區域108)以及一個或多個過程區 域(例如圖1的過程區域110、112、114及116)。一過程區域包括多個現場設備，這些現場 設備執行與執行一特定過程(例如一化學過程、一石油過程、一藥物過程、一製漿及造紙過 程等等)相關的操作(例如控制閥、控制發動機、控制鍋爐、監測參數及測量參數等等)。有 些過程區域由於苛刻的環境條件(例如相對高的溫度、氣載毒素、不安全輻射水平等等)而 不能由人類接近。所述控制室典型地包括在一可由人類安全地接近的環境中的一個或多個 工作站。所述工作站包括用戶應用程式，用戶(例如工程師、操作員、過程控制人員等等) 可以存取這些用戶應用程式，以便通過(例如)改變可變值、過程控制功能等等來控制所述 過程控制系統的操作。所述過程控制器區域包括一個或多個過程控制器，這些過程控制器 通信連接到所述控制室中的工作站。所述過程控制器通過執行通過所述工作站實施的過程 控制策略，使所述現場設備的控制自動化。一範例過程控制策略涉及使用一壓力傳感器現 場設備來測量一壓力，以及自動地發送一命令到一閥定位器，以便根據所述壓力測量來開 啟或關閉一流量閥。所述終端區域包括一調度櫃，所述調度櫃使所述控制設備能夠與所述 過程區域中的現場設備通信。明確地說，所述調度櫃調度、整理及/或路由所述現場設備與 通信連接到所述控制設備的一個或多個輸入/輸出卡之間的信號。一過程控制系統中的現場設備使用每個現場設備與通信連接到一控制設備(例 如一過程控制器、一可編程邏輯控制器等等)的一相應輸入/輸出卡之間的一總線(例如 一電線、一電纜或一電路)，通信連接到控制設備。一輸入/輸出卡使得能夠通過轉變或轉 換在所述控制設備與所述現場設備之間傳送的信息，將一控制設備通信連接到與不同數據 類別或信號類別(例如模擬輸入(Al)數據類別、模擬輸出(AO)數據類別、離散輸入(DI) 數據類別、離散輸出(DO)數據類別、數字輸入數據類別及數字輸出數據類別)及不同現場 設備通信協議關聯的多個現場設備。例如，一輸入/輸出卡可以帶有一個或多個現場設備 界面，所述現場設備界面配置成使用與一現場設備相關的現場設備通信協議、與該現場設 備交換信息。不同的現場設備界面通過不同的頻道類別(例如模擬輸入(Al)頻道類別、模 擬輸出(AO)頻道類別、離散輸入(DI)頻道類別、離散輸出(DO)頻道類別、數字輸入頻道類 別及數字輸出頻道類別)進行通信。此外，所述輸入/輸出卡可以將接收自所述現場設備 的信息(例如電壓水平、數字值等等)轉換成所述控制設備能夠使用來執行與控制所述現 場設備相關的操作的過程信息(例如壓力測量值)。如果某些控制設備與現場設備之間的通信未受保護，未經授權的命令(例如為響 應未經授權發出命令的人員及/或控制設備而發出的命令)可能嚴重地危及所述過程控制 系統的安全操作。例如，一特定控制設備可能未獲得授權傳送控制信號(或更概括地-傳 送命令或要求)到一現場設備以促使所述現場設備執行一動作(例如關閉一閥及停止一有 毒物質及/或高度反應性的化學物的流動)。為了確保只是某些控制設備及/或人員可以 操作這樣的關鍵性控制設備及/或現場設備，所述控制設備及所述現場設備需要高度安全 性。在安全對安全儀表系統極為重要的同時，安全一般上已經在過程控制系統中顯得 相當重要，尤其是在包括集成安全設備或裝置、而且需要所述安全設備的安全性的過程控 制系統(不論所述過程控制系統整體的安全性是否已經被危及)，更是如此。在有些已知過程控制系統中，在控制設備的調用期間，通過要求鑑定及授權合併入所述過程控制系統的 任何控制設備，提供某個水平的安全性。一設備只是在被鑑定及授權之後方能被給予一身 份及其在所述系統中的角色，以及在被給予身份及角色之後被允許與所述過程控制系統進 行相互操作。在其調用之後，通過提供數據(例如下載編碼或軟體)到所述已調用控制設備，允 許一控制設備的角色。在所述控制設備的操作期間(即在所述控制設備正在根據其角色執 行其下載編碼或軟體時)，操作員、工程師或任何其他獲授權用戶能夠監測所述控制設備的 操作、發送命令到所述控制設備、向所述控制設備要求信息等等。 對一控制設備的鑑定典型地確保所述控制設備是在預定的、它在其中操作的一控 制系統中被使用。有些已知鑑定過程可能使用所述控制設備及所述控制設備正在被併入的 系統已知的、包括(例如)共享秘密的信息。這一共享秘密可以在製造時永存地存儲在所述 控制設備，而所述過程控制系統配置成在所述控制設備被鑑定時辨認這個共享秘密。此外， 所述控制設備可以永久地存儲有關所述過程控制系統的、用於確定所述控制設備是否能夠 與所述過程控制系統相互操作的信息。一旦一控制設備已經被鑑定及授權，所述控制設備可以在其操作期間使用進一步 的安全措施，以防止工作站、控制器、未經授權的人員等等進行未經授權的動作或使用所述 控制設備。這些進一步的安全措施經常包括所述控制設備與任何其他與所述過程控制系統 相關的實體(例如控制器、現場設備、工作站、人員、應用程式等等)之間的任何通信的加密 的使用。為了這個目的，有些過程控制設備包括一加密密鑰或多個加密密鑰，所述加密密鑰 可以在所述控制設備製造時存儲在其中或以其他方式製造到其中。雖然前述包括共享秘密、加密密鑰等等的安全措施可能有效，但當前這些安全措 施被使用的方式可能帶來一些實踐問題。例如，如果一共享秘密(其在製造時硬編碼到有 些控制設備中)為危及(例如被未經授權的實體知曉)，所述控制設備中的所述共享秘密將 必須改變，以便為該設備恢復安全性。然而，要改變這一共享秘密可能需要將所述控制設備 從所述過程控制系統遷移，並將所述控制設備送到其製造商以改變所述共享秘密。此外，如 果一控制設備發生故障及需要置換，替換所述失效設備的任何設備將需要所述替換設備的 調用(例如鑑定、授權、下載軟體或編碼以執行其角色等等)，而所述替換設備的調用費時 而昂貴，而且經常需要所述過程控制系統脫機一不可接受的時間長度。此外，即使在所述輸入/輸出卡及現場設備連接到正確的控制設備時，如果所述 控制設備被不正確地使用(例如為響應一錯誤的命令或要求而執行一動作)，所述過程控 制系統中再次可能有嚴重而危險的後果。為了確保所述控制設備被正確地使用或不被不適 當地修改，至少對於一些操作而言，這些控制系統的有些控制系統或部分需要對某些控制 設備進行附加的存取控制或授權，以確定是否允許這些控制設備為響應一要求或命令而採 取適當動作。在有些情況下(例如高度敏感的操作)，一控制設備的授權可能需要所述控 制室中的一操作員或工程師及在所述控制設備處的另一人執行授權任務(即需要兩人授 權)。傳統上，在所述控制設備處的所述人員將需要根據來自所述控制室中的所述人員的一 命令，在所述設備處轉動一鑰匙或輸入一編碼。然而，這不只需要所述控制設備製造時帶有 這些物理約束(例如具有一鑰匙鎖、鍵等等)，還需要實施一鑰匙鎖管理制度，以避免鑰匙 鎖的損失、未經授權的複製或混亂。實物鑰匙的使用進一步需要管理鑰匙取用、監測鑰匙發放及位置、保持真正轉動鑰匙的人員的記錄等等。此外，鑰匙開關不不按時間暫停而卻需要 由一人物理地開動，因此在實踐中，所述鑰匙可能被永久地上鎖或無限期地激活。在此描述的範例設備及方法可以更靈活及可靠地保護一過程控制系統。明確地 說，在此描述的範例設備及方法使用一安全模塊，所述安全模塊可以移動地連接到一控制 設備(例如一現場設備、一控制器等等)。所述安全模塊充分地提供鑑定、調用及保護一控 制設備以及授權與所述控制設備相關的動作或應用程式所需要的全部安全軟體及電子器 件。這包括(例如)存儲用於鑑定所述控制設備的秘密(例如共享秘密)、存儲用於授權所 述控制設備的動作的加密鍵或其他加密信息、提供防止未經授權的要求或命令的保護、提 供一身份予所述控制設備、為所述過程控制系統中的所述控制設備分配一任務、推動兩人 授權方案以及以數據配置所述控制設備，以執行所分配的任務。在一安全模塊連接到一控制設備時，所述安全模塊讀取來自所述控制設備的控制 設備信息。這個信息與存儲在所述安全設備的一存儲器中的一共享秘密進行比較。如果所 述控制設備信息與所述共享秘密之間存在相互關係(例如一匹配)，則所述控制設備被授 權安裝。因此，所述安全模塊鑑定所述控制設備，並將其結合到所述過程控制系統中。如果 所述共享秘密與所述控制設備信息不互相關或匹配，所述控制設備不被授權使用所述安全 模塊，而且不被授權安裝在該過程控制系統中或不被授權安裝在所述過程控制系統的該部 分中。在這種情況下，所述控制設備不能調用，因此保持不能操作。在所述控制設備被調用之後，所述控制設備被配置以所述控制設備為執行其在鑑 定期間獲分配的任務而需要的數據。一旦所述控制設備開始操作，所述控制設備一般由一 個或多個操作員或工程師看顧。所述操作員及/或工程師與所述控制設備(以及其他控 制設備)互動，以控制或監測他們負責的所述過程控制系統(例如物理工廠)的所述部分 (包括(例如)一紙機、一蒸餾塔或一製造單元)，以確保所述系統或其部分按預定計劃操 作。在所述過程控制系統的操作期間，所述控制設備接收許多要求、命令、修改及/或其他 通信。為了防止所述控制設備為響應未經授權的通信而採取動作，所述安全模塊監測所述 通信及授權或防止動作。例如，所述安全模塊可以摘錄所述通信中的信息，並對所述信息中 的至少一些信息與存儲在所述安全模塊的所述存儲器中的加密鍵進行比較。如果所述加密 鍵與所述通信中的所述信息存在相互關係，所述安全模塊可以授權所述控制設備採取適當 動作以響應所述通信。在不存在與所述加密鍵的相互關係時，所述控制設備的動作不被授 權，而且因此被防止。此外，如以下更詳細描述的那樣，由於在此描述的範例安全模塊能夠可移動地連 接到一控制設備，所述控制設備使用的所述安全特徵可以在不需要替換所述控制設備、將 所述控制設備送回製造商供進行重新配置、或以其他方式將所述控制設備從所述過程控制 系統遷移的情況下，通過遷移所述安全模塊並以使用期望的不同的安全特徵的另一安全模 塊替代所述安全模塊來改變。此外，從一第一控制設備遷移的一安全模塊可以在不需要調 用一第二控制設備(例如所述第一控制設備的一替代控制設備)的情況下，可移動地連接 到所述第二控制設備。此外，如以下更詳細的描述那樣，如果一控制設備使用的相同類別的 安全特徵有已修改的(例如更新的)安全軟體及/或電子器件(包括診斷器件)可用，所 述控制設備的所述安全模塊可以在不需要替換所述控制設備、重新調用所述控制設備、將 所述控制設備送回製造商供進行重新配置、或以其他方式將所述控制設備從所述過程控制系統遷移的情況下遷移，而且可以以一不同的、具有所述已修改的安全軟體及/或電子器 件的安全模塊替換。相反地，只是在所述控制設備處的所述安全模塊調換為包括不同安全 特徵的一不同的安全模塊。在此描述的範例安全模塊可以是設備齊全、密封的電子模塊，其包括安全軟體。此夕卜，這些範例安全模塊可以移動地插入或以其他方式連接到不同類別、牌子(例如由不同 製造商提供者)及樣式的控制設備。所述範例安全模塊可以標準化及用於不同類別的控制 設備，以便為所述控制設備提供所述安全特徵。更明確地說，所述機械配置及界面(包括所 述控制設備的包裝、電氣連接(例如插腳引線)等等)以及所述安全模塊可以標準化，使得 提供不同安全特徵的許多可用安全模塊中的任何安全模塊可以用於可能由任何數目的制 造商製造的多種控制設備中的任何控制設備。同樣地，所述安全模塊與所述控制設備中的 其他電子器件通信的方式也可以標準化。換句話說，用於使所述控制設備與所述安全模塊 之間能夠進行通信的通信方案也可以跨越控制設備的類別、牌子、及樣式等等標準化，以便 進一步促進安全模塊與控制設備之間的可交換性。在此描述的範例安全模塊可以使控制設備安全能夠標準化，從而使得能夠在不需 要任何一個安全編程(即安全特徵集合)的特殊性的情況下製造所述安全模塊。可以在制 造一控制設備之後(例如在所述控制設備被安裝在一過程控制系統時或在調用期間)、通 過在所述控制設備中安裝一適當的安全模塊來分配或配置這樣的安全特徵。這樣可減少所 需要的零部件(例如備用的控制設備)的數目及便於容易將控制設備從一個安全編程轉換 到另一個安全編程。在此描述的範例方法及設備也簡化控制設備的製造，這是由於所述控 制設備可以不再需要包括可觀數量的內部安全電子器件或軟體。因此，在此描述的範例方 法及設備為製造商消除了生產那麼多使用不同安全特徵的相似控制設備的需要。此外，所述範例安全模塊可以實質地包括用於所述控制設備的所有通信軟體及電 子器件。因此，在此描述的安全模塊可以包括在同時另案待審及共同擁有的、標題為「用於 將現場設備通信連接到過程控制系統中的控制器的設備及方法」(Apparatus and Methods to Communicatively Couple FieldDevices to Controllers in a Process Control System)的美國 12/236，165 號專利申請(U. S. Application Serial Number 12/236, 165) 中描述的通信模塊的所有特徵；所述專利申請在此通過引用全部併入本專利。此外，系統維護成本可以減少，這是由於可以通過以具有經修改或升級的軟體 (包括結合新的或不同的特徵的軟體)置換一安全模塊，輕易地添加安全軟體修改或升級。 此外，由於在此描述的範例安全模塊可以在不需要存取一控制設備的內部電子器件的情況 下輕易地調換或置換，一安全編程的升級及/或變更可以現場執行(即在不需要遷移所述 控制設備的情況下執行)。此外，一控制設備的診斷器件可以包括在一安全模塊中，因此需 要更新或更好的診斷軟體的客戶可以在不需要改變所述控制設備的內部電子器件的情況 下將一安全模塊調換為包含所期望的診斷器件的另一安全模塊。此外，有些範例安全模塊 可以包括本地標記信息，例如控制設備需要及/或其他控制設備信息。在所述範例安全模 塊中包括任何或所有的所述安全軟體、診斷信息及/或本地標記信息便於控制設備的配置 及控制設備的操作條件、歷史、維護需要等等的評估。此外，在有些範例中，所述安全模塊可以根據其中包括的安全特徵、升級、更新、診 斷器件等等的類別編碼(例如顏色編碼)。所述編碼方案便於識別用於連接到所述控制設備的適當安全模塊。現在詳細參看圖1，一範例過程控制系統100包括所述控制室102，控制室102帶 有一工作站118，工作站118通過一般稱為應用程式控制網絡(ACN)的一總線或區域網 (LAN) 124通信連接到一個或多個控制設備，包括一第一控制設備(例如一控制器)120及 一第二控制設備(例如一控制器)122。區域網(LAN) 124可以使用任何期望的通信媒介及 協議來實施。例如，區域網(LAN) 124可以基於有線或無線乙太網通信協議。然而，可以採 用任何其他適合的有線或無線通信媒介及協議。工作站118可以配置成執行與一個或多個 信息技術應用程式、用戶互動應用程式及/或通信應用程式相關的操作。例如，工作站118 可以配置成執行與過程控制相關應用程式及通信應用程式相關的操作，以使工作站118及 控制設備120及122能夠使用任何期望的通信媒介(例如無線通信媒介、固定通信媒介等 等)及協議(例如HTTP，SOAP等等)，與其他設備或系統進行通信。控制設備120及122 可以配置成執行一個或多個過程控制例程或功能，這些過程控制例程或功能已經由系統工 程師或其他系統操作員使用(例如)工作站118或使用任何其他已經下載到控制設備120 及122以及已經在控制設備120及122中初始化的工作站產生。在所述圖解範例中，工作 站118位於控制室102中，而過程控制設備120及122則位於與控制室102分開的控制設 備區域104中。
在圖1的實施例中，第一控制設備120通過一背板通信或內部輸入/輸出總線144 通信連接到輸入/輸出卡140a-b及142a-b。為了與工作站118通信，第一控制設備120通 過區域網(LAN) 124通信連接到工作站118。第二控制設備122通過區域網(LAN) 124通信 連接到工作站118及輸入/輸出卡140c-d及142c-d。輸入/輸出卡140c-d及142c_d配 置成通過區域網(LAN) 124，與第二控制設備122及工作站118通信。照這樣，輸入/輸出卡 140c-d及142c-d可以直接與工作站118交換信息。在所述圖解範例中，範例過程控制系統100包括第一過程控制區域110中的現場 設備126a-c、第二過程控制區域112中的現場設備128a-c、第三過程控制區域114中的現 場設備130a-c及第四過程控制區域116中的現場設備132a_c。為了在控制設備120及 122與現場設備126a-c、128a-c、130a-c及132a_c之間傳送信息，範例過程控制系統100 帶有現場接線盒(FJB)134a-d及調度櫃136a-b。現場接線盒(FJB) 134a_d中的每個現場 接線盒(FJB)通過相應的多導線電纜138a-d(或一多總線電纜)，將來自現場設備126a-c、 128a-C、130a-C及132a_c中的相應現場設備的信號路由到調度櫃136a_b的其中之一。調 度櫃136a-b依次地調度(例如整理、聚合等等)接收自現場設備126a-C、128a-C、130a-C 及132a-c的信息，並將所述現場設備信息路由到控制設備120及122的相應輸入/輸出卡 (例如輸入/輸出卡140a-b)。在所述圖解範例中，控制設備120及122與現場設備126a_c、 128a-C、130a-C及132a_c之間的通信為雙向，所以調度櫃136a_b也用於通過現場接線盒 (FJB) 134a-d、將接收自控制設備120及122的輸入/輸出卡140a_b的信息路由到現場設 備126a-c、128a-c、130a_c及132a_c中的相應現場設備。在圖1的所述範例中，現場設備126a-c、128a-c、130a_c及132a_c通過電導(例 如有線)、無線及/或光纖通信媒介，通信連接到現場接線盒(FJB) 134a-d。例如，現場接線 盒(FJB) 134a-d可以帶有一個或多個有線、無線及/或光纖數據收發器，以便與現場設備 126a-C、128a-C、130a-C及132a-c的有線、無線及/或光纖數據收發器進行通信。在所述圖解範例中，現場接線盒(FJB) 134b及134d依次無線地通信連接到現場設備128c及132c。 在一選擇性實施例中，調度櫃136a-b可以省略，而且來自現場設備126a-C、128a-C、130a-C 及132a_c的信號可以在沒有中間結構(即沒有調度櫃136a_b)的情況下，從現場接線盒 (FJB) 134a-d直接地路由到控制設備120及122的輸入/輸出卡140a_d。在又另一實施例 中，現場接線盒(FJB) 134a_d可以省略，而且現場設備126a_c、128a_c、130a_c及132a_c可 以直接地連接到調度櫃136a-b。
現場設備126a-c、128a-c、130a-c及132a-c可以是符合Fieldbus協議的閥、啟動 器、傳感器等等，在這種情況下，現場設備126a-C、128a-C、130a-C及132a_c通過使用所述 廣為人知的FOUNDATION Fieldbus通信協議的一數字數據總線進行通信。當然，其他類別 的現場設備及通信協議也可以被使用。例如，現場設備126a-C、128a-C、130a-C及132a-c 也可以是符合Profibus、HART或AS_i、並通過使用所述廣為人知的Profibus及HART通信 協議進行通信的設備。在有些實施例中，現場設備126a-C、128a-C、130a-C及132a_c可以 使用模擬通信或離散通信來傳送信息，而不是使用數字通信來傳送信息。此外，所述通信協 議可以用於傳送與不同數據類別相關的信息。現場設備126a_c、128a_c、130a_c及132a_c中的每一個現場設備配置成存儲現 場設備識別信息。所述現場設備識別信息可以是唯一地識別現場設備126a-C、128a-C、 130a-c及132a-c中的每個現場設備的物理設備標記(PDT)值、設備標記名稱、電子序號等 等。在圖1的圖解範例中，現場設備126a-C、128a-C、130a-C及132a-c以物理設備標記值 PDT00-PDT11的形式存儲現場設備識別信息。所述現場設備識別信息可以由現場設備製造 商及/或由涉及現場設備126a-C、128a-C、130a-C及132a_c的安裝及/或調用的操作員或 工程師存儲或編程在現場設備126a-c、128a-c、130a_c及132a_c中。為了控制所述控制設備120及122(及/或工作站118)與現場設備126a_c、 128a-cU30a-c及132a_c之間的輸入/輸出通信，控制設備區域104帶有多個輸入/輸出 卡140a-d。在所述圖解範例中，輸入/輸出卡140a-b配置成控制第一控制設備120(及/ 或工作站118)與第一及第二過程控制區域110及112中的現場設備126a-c及128a-c之 間的輸入/輸出通信，而輸入/輸出卡140c-d配置成控制第二控制設備122 (及/或工作 站118)與第三及第四過程控制區域114及116中的現場設備130a-c及132a-c之間的輸 入/輸出通信。在圖1的圖解範例中，輸入/輸出卡140a_d裝置在控制設備區域104中。為了從 現場設備126a-c、128a-c、130a-c及132a_c傳送信息到工作站118，輸入/輸出卡140a_d 傳送所述信息到控制設備120及122，接著由控制設備120及122傳送所述信息到工作站 118。同樣地，為了從工作站118傳送信息到現場設備126a-c、128a-c、130a-c及132a-c，工 作站118傳送所述信息到控制設備120及122，控制設備120及122接著傳送所述信息到輸 入/輸出卡140a_d，然後輸入/輸出卡140a_d傳送所述信息到現場設備126a_c、128a_C、 130a-c及132a_c。在一選擇性實施例中，輸入/輸出卡140a_d可以通信連接到控制設備 120及122內部的區域網(LAN) 124，使得輸入/輸出卡140a_d可以與工作站118及/或控 制設備120及122直接地通信。為了在輸入/輸出卡140a_d的任何其中之一發生故障時提供容錯操作，輸入/輸 出卡142a_d配置成冗餘輸入/輸出卡。也就是說，如果輸入/輸出卡140a發生故障，冗餘輸入/輸出卡142a承擔控制功能並執行輸入/輸出卡140a原應執行的相同的操作。同樣 地，冗餘輸入/輸出卡142b在輸入/輸出卡142b發生故障時承擔控制功能、等等。如控制設備區域104中所示，一第一安全模塊150直接連接到第一控制設備120， 而一第二安全模塊152直接連接到第二控制設備122。此外，安全模塊154、156及158直 接連接到相應的控制設備126a、126b及126c，控制設備126a、126b及126c在這個範例中 被描繪為現場設備。例如，安全模塊150-158可以配置成具有似飾物形狀的可移動地插入 的設備(例如帶有一保護蓋或外罩及一可插入電氣連接器的一電路卡)。在一選擇性實施 例中，安全模塊150-158可以通過中間結構或設備，通信連接到控制設備120及122及/或 126a_c0安全模塊150-158實質上提供過程控制系統100使用的所有安全軟體及電子器 件，以鑑定及調用控制設備120、122及126『(及授權所述控制設備為響應所接收的要求或 命令而採取的動作。更概括地說，安全模塊150-158確保適當的控制設備在過程控制系統 100中適當地連接，並確保這些設備以適當的方式使用。以下更詳細地討論範例安全模塊 150-158及它們的相關操作。在所述圖解範例中，調度櫃136a_b、安全模塊150-158、輸入/輸出卡140a_d及 142a-d以及控制設備120、122及126a-c促成將現有過程控制系統安裝遷移到與圖1的範 例過程控制系統100的配置充分相似的配置。例如，由於安全模塊150-158可以配置成包 括任何合適的界面類別，安全模塊150-158可以配置成通信連接到任何類別的控制設備。 同樣地，控制設備120及122可以配置成包括一已知區域網(LAN)界面，以便通過一區域網 (LAN)傳送信息到一已經安裝的工作站。在有些實施例中，輸入/輸出卡140a-d及142a-d 可以安裝在已知控制設備中或通信連接到已知控制設備，使得不需置換已經安裝在一過程 控制系統的控制設備。在圖5描繪的選擇性範例中，安全模塊150及152可以用於將相應的控制設備120 及122連接到區域網(LAN) 124或內部輸入/輸出總線144。在該範例中，所有來自工作站 118的通信由安全模塊150及152處理，而且在適當時(如以下詳述的那樣)傳送到相應的 控制設備150及152。此外，來自輸入/輸出卡140a-d及142a-d的所有通信也由安全模塊 150及152處理，而且在適當時傳送到相應的控制設備150及152。圖2顯示一安全模塊200的一實施例，該實施例可以代表在此描述的任何範例安 全模塊。圖2的範例安全模塊200包括一外部總線界面202，以使安全模塊200能夠與(例 如)使用安全模塊200來將一控制設備連接到區域網(LAN) 124或內部輸入/輸出總線144 的配置中的一輸入/輸出卡及/或一工作站進行通信。為了識別安全模塊200的一地址及/或一控制設備的一地址，安全模塊200帶有 一地址標識符204。地址標識符204可以配置成在安全模塊插入一控制設備時向所述控制 設備查詢一安全模塊地址(例如一網絡地址)。照這樣，安全模塊200可以在傳送信息到所 述控制設備或從所述控制設備傳送信息時使用所述安全模塊地址作為一源地址及/或目 的地址。範例安全模塊200也帶有一外部總線通信處理器206，以便通過一外部總線、與 其他系統組件交換信息。在所述圖解範例中，外部總線通信處理器206打包供傳送到另一 系統組件的信息，並解包接收自其他系統組件的信息。所述打包信息傳送到外部總線界面202，以便通過一外部總線傳送。在所述圖解範例中，外部總線通信處理器206產生需傳送 的每個包的標題信息，並讀取來自所接收的包的標題信息。範例標題信息包括一目的地址 (例如一輸入/輸出卡的一網絡地址)、一源地址(例如安全模塊200的網絡地址)、一包類 別或數據類別(例如模擬現場設備信息、現場設備信息、命令信息、溫度信息、實時數據值 等等)及檢錯信息(例如循環冗餘校驗(CRC)信息)。在有些實施例中，外部總線通信處理 器206可以使用相同的微處理器或微控制器來實施為一處理單元208。為了控制安全模塊200的多種操作，安全模塊200帶有處理單元208。如以上所 述，在一實施例中，處理單元208可以使用一微處理器或一微控制器來實施。處理單元208 傳送指令或命令到安全模塊200的其他部分，以控制這些部分的操作。
處理單元208帶有一閱讀器210，或通信連接到一閱讀器210 ；閱讀器210用於從 所述控制設備獲取控制設備信息，包括(例如)鑑定信息，比如存儲在所述控制設備中的一 秘密。閱讀器210也從安全模塊200的一存儲器212獲取信息。所述存儲器可以包括任何 類別的可配置資料庫，而且可以包括(例如)用於鑑定一控制設備的共享秘密信息、加密信 息(包括用於授權所述控制設備的動作的加密密鑰)、與所述控制設備相關的調用信息、配 置信息(例如一設備標識符或一控制參數)及任何其他信息。處理單元208也帶有一比較器214，或通信連接到一比較器214。比較器214可以 用於評估已接收及/或已存儲信息。例如，比較器214可以對包括接收自與安全模塊200連 接的一控制設備的一第一秘密的信息與存儲在存儲器212中的一第二秘密進行比較。比較 器214可以評估所述第一與第二秘密之間的互相關程度，以確定它們構成一共享秘密(例 如充分匹配或相同的安全信息)。比較器214可以近一步對一要求或命令或任何其他通信 中的信息與存儲在存儲器212中的一密鑰進行比較，然後評估所述二者之間的相互關係的 程度，以便確定所述通信是否經過授權。處理單元208也帶有一鑑定器216，或通信連接到一鑑定器216。雖然被描繪為分 別的塊，但在有些範例中，鑑定器216及比較器214可以使用軟體及/或其他結構來結合。 在這個範例中，在比較器214確定來自所述控制設備的所述信息與存儲在安全模塊200中 的所述秘密(例如一共享秘密)充份地互相關，安全模塊200、鑑定器216調用所述控制設備。為了控制提供給與安全模塊200連接的一控制設備的電力數量，安全模塊200帶 有一電力控制器218。在所述圖解範例中，(例如)可能是位於調度櫃136a-b的其中之一 中或與一控制設備相關的一電源(例如圖5的電源504)提供電力予安全模塊200，以便向 一通信頻道界面提供電力，以使得能夠與所述控制設備進行通信。在所述圖解範例中，電 力控制器218配置成調節、控制及提高及/或降低由一外部電源提供給安全模塊200的電 力。在有些實施例中，電力控制器218配置成限制用於與控制設備通信的電力數量及/或 限制傳輸到所述控制設備的電力數量，以便充分地減低或消除易燃或可燃環境中發火花的 風險。為了將接收自一電源的電力變換為用於安全模塊200的電力，安全模塊200帶有 一電力變換器220。在所述圖解範例中，用於實施安全模塊200的電路使用一個或多個電壓 水平(例如3. 3V)，這些電壓水平不同於與安全模塊200連接的所述控制設備需要的電壓水 平。電力變換器220配置成使用經由所述電源接收的電力提供所述不同的電壓水平，以便安全模塊200與所述控制設備進行通信。在所述圖解範例中，由電力變換器220產生的電 力輸出用於驅動安全模塊200及與其連接的控制設備，以及用於在安全模塊200及所述控 制設備之間傳送信息。有些控制設備通信協議比其他通信協議需要相對較高或較低的電壓 水平及/或電流水平。在所述圖解範例中，電力控制器218控制電力變換器220，以提供所 述電壓水平來驅動所述控制設備以及與所述控制設備通信。為了使安全模塊200的電路與所述控制設備及/或同安全模塊200連接的所述系 統的任何其他組件電氣隔離，安全模塊200帶有一個或多個隔離設備222。隔離設備222可 以使用電化隔離器及/或光學隔離器來實施。以下詳細描述與圖5有關的一範例隔離配置。為了在模擬信號及數位訊號之間轉換，安全模塊200帶有一數字_模擬轉換器224 及一模擬_數字轉換器226。數字-模擬轉換器224配置成將接收的數字表示值(例如測 量值)或信息轉換為模擬值或信息，以供進一步在一系統(例如圖1的過程控制系統100) 中傳送。同樣地，模擬_數字轉換器226配置成將接收的模擬值或信息轉換為數字表示值 或信息，以供進一步在一系統(例如圖1的過程控制系統100)中傳送。在所述系統中的通 信是完全數字及/或完全模擬的一選擇性實施例中，可以從安全模塊200中省略數字-模 擬轉換器224及模擬-數字轉換器226。為了控制與同安全模塊200連接的一控制設備之間的通信，安全模塊200帶有一 控制設備通信處理器228。控制設備通信處理器228確保信息是需傳送到與安全模塊200 連接的所述控制設備的正確格式及電壓類別(例如模擬或數字)。控制設備通信處理器228 也配置成打包或解包信息，如果與安全模塊200連接的所述控制設備配置成使用數字、打 包信息進行通信。此外，控制設備通信處理器228配置成提取接收自一控制設備的信息，並 將所述信息傳送到模擬_數字轉換器226及/或傳送到外部總線通信處理器206，以供隨後 傳送到另一系統組件。範例安全模塊200也帶有一控制設備界面230，控制設備界面230配置成將安全模 塊200通信連接到與其物理地連接的所述控制設備。例如，由控制設備通信處理器228打 包的信息傳送到控制設備界面230，以通過與安全模塊200連接的所述控制設備中的一內 部總線傳送。在所述圖解範例中，控制設備通信處理器228也可以配置成時間戳所接收的信 息。在安全模塊200產生時間戳便於使用亞毫秒範圍中的時間戳準確性來實施事件順序 (SOE)操作。例如，所述時間戳及相應信息可以傳送到工作站118。由(例如)工作站118 (圖 1)(或任何其他處理器系統)執行的事件順序操作可以接著用於分析一特定操作狀態(例 如一故障模式)之前、期間及/或之後發生了什麼，以便確定什麼原因導致所述特定操作狀 態發生。在所述亞毫秒範圍中時間戳也使得能夠使用相對較高的間隔尺寸來俘獲事件。在 有些實施例中，控制設備通信處理器228及處理單元208可以使用相同的微處理器或微控 制器來實施。為了顯示與所述控制設備或安全模塊200相關的秘密、編碼、指令、標識、狀態或 其他信息，安全模塊200帶有一顯示器232。如果鑑定器216不調用一控制設備，顯示器232 可以提供關於一失敗調用企圖的信息。如果安全模塊200需要一份兩人的授權，顯示器232 可以提供信息(包括接收自一控制設備及/或安全模塊200的授權信息、指令等等)到涉 及所述授權的人員的其中之一。此外，顯示器232可以用於顯示控制設備活動信息(例如操作及維護信息等等)、數據類別信息(例如模擬信號、數位訊號等等)及/或任何其他控 制設備信息。如果安全模塊200配置成通信連接到多個控制設備，顯示器232可以用於顯 示與通信連接到安全模塊200的所有控制設備相關的控制設備信息。在所述圖解範例中， 顯示器232使用液晶顯示器(LCD)來實施。然而，在其他實施例中，顯示器232可以使用任 何其他合適類別的顯示設備來實施。安全模塊200也帶有一輸入設備234。輸入設備234可以由操作員用於輸入信息 到安全模塊200中，例如響應通過顯示器232呈現的授權信息或其他信息。例如，如以下詳 細描述的那樣，在兩人授權期間，在所述控制設備處的一操作員可以輸入一編碼或命令到 安全模塊200內，以響應在顯示器232中顯示、而且產生自發送到所述控制設備的一要求或 一命令的一秘密。輸入設備234可以包括一鍵座、一觸控螢幕、一觸摸板、一按鍵、一開關或任 何其他合適的可以用於記錄由一人員採取的動作的設備。此外，在安全模塊200也包括用於所述控制設備的通信軟體及電子器件的配置 中，安全模塊200帶有一通信單元236。一範例通信單元236在美國12/236，165號專利申 請(U. S. Application Serial Number 12/236, 165) 中描述。圖3描繪一頂視圖，而圖4描繪所述範例安全模塊200及一範例控制設備400的 一範例機械連接的一側面圖；範例安全模塊200及範例控制設備400可以代表在此描述的 任何範例安全模塊及/或控制設備。在所述圖解範例中，範例安全模塊200包括一個或多 個接觸器404(例如插銷、調整片、走線等等)，接觸器404將控制模塊200通信連接及/或 電氣連接到控制設備400。在這個範例中，安全模塊200通過一中間基部402連接到控制設 備400。基部402帶有扣件406 (例如螺絲)，扣件406可以是(例如)一設備界面，以便在 一輸入/輸出總線將導電通信媒介(例如線端)系住、終接或固定。在安全模塊200可移 動地連接到基部402時，扣件406通信連接到一個或多個接觸器404，以使得能夠在安全模 塊200與控制設備400之間進行信號傳送及信息傳送。在其他實施例中，基部402可以帶 有扣件406以外的任何其他合適類別的現場設備界面(例如一插座)。為了將安全模塊200通信連接到控制設備400，基部402帶有一控制設備接觸器 或連接器408。在用戶將基部402插入控制設備400時，控制設備連接器408接合控制設 備400的一內部總線。控制設備連接器408可以使用任何合適的界面來實施，包括使用一 界面(例如一衝擊塊)來實施。為了使得能夠在安全模塊200與控制設備400之間傳送信 息，控制設備連接器408連接到安全模塊200的一個或多個接觸器404。在所述圖解範例中，安全模塊200也包括一蓋子410 (在圖3中已移除)，蓋子410 可以用於遮蔽安全模塊200及/或安全模塊200與控制設備的連接，以免受周圍環境的影 響。蓋子410防止溼氣及/或其他不利的或可能有損害的環境條件對可能經歷這些條件的 過程區域中的安全模塊200造成有害影響。蓋子410可以以任何合適的塑料、金屬或其他 適合密封或保護通信模塊400的材料製成。如圖4中所示，基部402可以帶有一選擇性的顯示界面連接器412，以便將安全模 塊200通信連接到一外部顯示器。例如，如果安全模塊200在沒有顯示器232的情況下實 施，安全模塊200可以使用顯示界面連接器412來將指令、警告、錯誤、編碼、值或任何其他 信息輸出到一外部顯示器。圖5描繪一隔離電路配置，該隔離電路配置可以連同圖1的範例安全模塊150實施，以便將安全模塊150從控制設備120及(例如)區域網(LAN) 124及/或安全模塊144 電氣隔離。然而，在圖解安全模塊150的這個範例中，任何其他安全模塊可以以相同的或一 相似的方式連接到任何其他控制設備。在所述圖解範例中，安全模塊150包括安全模塊電 路502 (例如以上描述的與圖2有關的一個或多個塊)。此外，安全模塊150連接到內部輸 入/輸出總線144及一電源504。為了將安全模塊電路502從內部輸入/輸出總線144電氣隔離，安全模塊150帶 有一隔離電路506。照這樣，如果控制設備120中發生電湧或其他電力變化，安全模塊電路 502可以配置成在不影響內部輸入/輸出總線144的電壓以及不導致損壞輸入/輸出卡 140a(圖1)的情況下遵循(例如浮動)控制設備120的電壓水平。隔離電路506及任何其 他實施在安全模塊150中的隔離電路可以使用光隔離電路或電流隔離電路來實施。為了將安全模塊電路502從電源504隔離，安全模塊150帶有一隔離電路508。通 過將安全模塊電路502從電源504隔離，與控制設備120相關的任何電力變化(例如電湧、 刺波電流等等)將不會損壞電源504。此外，安全模塊150中的任何電力變化將不會損壞或 負面地影響其他系統組件的操作，包括(例如)其他安全模塊152的操作。典型地，所述控制設備中帶有隔離電路，從減少可用於安全系統的空間的數量。然 而，如圖5的圖解範例中顯示的那樣在安全模塊150中提供隔離電路506及508使得能夠 選擇性地對需要隔離的安全模塊使用隔離電路。例如，圖1的安全模塊150-158可以在沒 有隔離電路的情況下實施。圖6及7為範例方法的流程圖，所述範例方法可以用於實施安全模塊(例如圖1及 2的安全模塊150-158及200)。在有些實施例中，圖6及7的範例方法可以使用包括由一處 理器(例如圖8的一範例處理器系統810中顯示的處理器812)執行的一編程的機器可讀 指令來實施。所述編程可以收錄在存儲在一有形計算機可讀媒介或處理器可讀媒介上，比 如存儲在一隻讀光碟存儲器(⑶-ROM)、一軟盤、一硬碟、一多功能數字光碟(DVD)或與一處 理器相關的存儲器及/或以廣為人知的方式實施於固件及/或專用硬體。此外，雖然參考 圖6及7所示的流程圖對所述範例方法進行描述，但本領域的普通工程技術人員將可以理 解，可以選擇使用許多其他方法來實施在此描述的範例安全模塊150-158及200。例如，所 述流程塊的執行順序可以更改及/或所述流程塊中的一些流程塊可以更改、刪除或結合。圖6及7的範例方法以圖1的範例安全模塊150來描述。明確地說，圖6及7的流 程圖用於描述範例安全模塊150怎樣鑑定控制設備120及授權與控制設備相關的動作。然 而，圖6及7的範例方法可以更普遍地用於實施任何其他安全模塊(例如安全模塊152-158 及200等等)。現在詳細參看圖6，最初安全模塊150連接到控制設備120，然後安全模塊確定其 是否已經檢測到控制設備120 (流程塊602)。例如，如果安全模塊150進行一電氣連接、接 收一中斷信號或一狀態寄存器、或以其他方式傳感到控制設備120，安全模塊150檢測控制 設備120。如果控制設備120沒有被檢測到，控制項保持在流程塊602，直到控制設備120 (或 任何其他控制設備)被檢測到為止。一旦控制設備120已經被檢測到，安全模塊150獲取控制設備信息(流程塊604)。 例如，閱讀器210檢索存儲在所述控制設備上的信息。這樣的信息可以包括(例如)一需 要、有關牌子及/或型號及可能與確定控制設備的類別及可能用途有關的任何其他信息。明確地說，所述控制設備信息可以包括一共享秘密或一共享秘密的一部分。安全模塊150接著對在流程塊604獲取的信息(任何獲取的秘密信息)與存儲 在安全模塊150中的秘密進行比較(流程塊605)。在在流程塊605進行比較之後，安全模 塊150確定所獲取的控制設備信息是否包括一共享秘密(流程塊606)(即存儲在安全模塊 150的秘密充分地或恆等地匹配獲取自控制設備120的任何秘密信息)。例如，比較器214 分析所述控制設備信息，並評估該信息中是否有任何與其他信息(包括(例如)存儲在安 全模塊150的存儲器212中的一共享秘密)匹配或互相關。如果未找到一相互關係，安全 模塊150可以顯示一錯誤信息(流程塊608)。所述控制設備信息與所述共享秘密之間缺 乏相互關係可能指示過程控制系統100的該位置的一不正確的控制設備。附加地或可選擇 地，所述相互關係的缺乏可能指示該特定控制設備的一不正確安全模塊。例如，所述控制設 備可能需要一帶有不同或更限制性的安全特徵的安全模塊。預定用於一安全敏感性較低的 控制設備的一安全模塊將不會適當地保護及穩固這個範例中的系統。在已經確定所述控制 設備信息與存儲在安全模塊150中的所述秘密之間缺乏相互關係時，防止調用所述控制設 備(流程塊610)，然後所述過程結束。在這種情況下，控制設備120保持不可操作。如果確定所述控制設備信息與所述共享秘密之間存在相互關係(流程塊606)，安 全模塊150鑑定所述控制設備(流程塊612)。所述鑑定指示控制設備120是所述過程控 制系統中的這個位置的適當設備，及/或指示安全模塊150是控制設備120的適當安全模 塊(例如包含適當的安全特徵)。為了提供所述鑑定指示，處理單元208的鑑定器216可以 (例如)產生一信號指示控制設備120已鑑定，及/或所述鑑定器可以釋放通信及/或電氣 限制或停止允許控制設備120進行操作。因此，所述鑑定為控制設備120確定一安全通信 狀態。此外，鑑定器216可以向控制設備120提供一身份(流程塊614)，例如一包括文字 及數字的字符，用於在所述系統中識別控制設備120，以便(例如)在控制系統100中尋址 通信。鑑定器216也分配一任務予控制設備120 (流程塊616)。所述任務可以提供控制設 備120可以在所述系統中採取的動作的指示，所述指示可以包括(例如)控制設備120可 以與之通信、可能監測及/或控制的現場設備；控制設備120可以給予的命令；及控制設備 120可以採取的其他動作。此外，鑑定器216可以促成控制設備120的配置(流程塊618)。 控制設備120的配置包括提供對控制設備120需要來執行其在所述系統中的任務的數據或 任何其他信息或工具及/或控制參數的存取。在控制設備120已經被調用(例如流程塊612-618)之後，控制設備120在過程控 制系統100的操作期間接收要求及命令。安全模塊150監測控制設備120的通信，並確定 是否在控制設備120接收一要求或命令(流程塊620)。如果沒有要求或命令在所述控制 設備被接收，控制項保持在流程塊620。如果一要求或命令被接收，安全模塊150確定控制設 備120是否將被適當地使用，以響應所述要求或命令。為了確定控制設備120是否獲授權 採取一動作以響應所述要求或命令，安全模塊150對所述要求或命令中的任何加密信息與 存儲在存儲器212中的一個或多個加密密鑰進行比較(流程塊622)。如果安全模塊150的 加密密鑰指示一動作獲授權(流程塊624)，則安全模塊150允許控制設備120處理所述要 求或命令(流程塊626)，然後控制項返回到流程塊620，以進行後續的通信。附加地或可選擇地，基於授權的所述加密可以以其他核准技術(包括校驗、密鑰 管理及抗幹擾技術)取代或替換。此外，在有些範例中，所述安全模塊可以保持列出被允許與控制設備120進行通信的設備或控制設備120可以執行的動作的一白名單。如果安全模 塊150保持一白名單或其他核准前清單，所述過程將在沒有進行在圖6的中間操作中執行 的所述比較及其他動作的情況下，從接收來自一設備的一預先核准要求或命令及/或接收 來自一預先核准設備的一通信(流程塊620)進入授權及處理所述通信中的所述要求或命 令(流程塊626)。然而，如果確定一動作未經授權(流程塊624)，安全模塊150通過(例如)防止控 制設備120採取動作(流程塊628)來響應所述通信(包括所述要求及命令)，保護控制設 備120 (及整個過程控制系統100)免受未經授權動作的影響。圖7描繪一範例方法的一流程圖，所述範例方法可以用於實施圖1及2的安全模 塊，以便實施一動作(例如一控制設備執行的一控制動作)的兩人授權。在過程控制系統 中，有些操作足夠地安全敏感，它們需要(例如)所述控制室中的一操作員或工程師及在所 述設備處的另一人授權，即控制設備120的所述動作需要兩人授權方能執行。所述範例方法以確定與一第一人員(例如控制室102中的一人員)相關的一要求 或命令的確定是否已經在控制設備150處被接收(流程塊702)為開始。如果沒有這樣的包 含一要求或命令的通信被接收，控制項保持在流程塊702直到此一通信被接收為止。然而，如 果此一要求或命令已經被接收，安全模塊150或其他可以移動地連接到所述控制設備(例 如與所述控制設備結合)的安全組件獲取與 由一第一人員發送的所述要求或命令相關的 一秘密(流程塊704)。在有些範例中，需獲取的秘密是由安全模塊150或其他可以移動地 連接到所述控制設備(例如與所述控制設備結合)的安全組件產生。所述秘密可以是任何 類別的文字、編碼、加密、脈衝、光源模式、聲音或任何其他類別的私人通信或密鑰。所述秘密接著被提供予一第二人員(例如控制設備120本地處的一人員)(流程 塊706)，第二人員提供用於一動作的授權(如果適當)以響應所接收的要求或命令。在有 些範例中，所述秘密顯示在顯示器232上，供所述第二人員觀察。在其他範例中，所述秘密 可以通過安全模塊150發送到任何其他顯示器(例如工作站118)，或以其他方式呈現予所 述第二人員。所述第二人員接著執行一動作，包括(例如)將所述秘密送返安全模塊150、所述 第一人員及/或控制設備120。在有些範例中，所述第二人員通過所述安全模塊的輸入設備 234輸入一動作，以便將所述秘密送返所述秘密，這可以包括輸入指令以便將所述秘密轉發 到所述第一人員。在有些範例中，所述秘密從所述第二人員發送到所述要求的一源(例如 控制室102中的工作站118)，然後返回到控制設備120。在所述秘密被送返時，或在確定所 述第二人員執行一動作來授權一控制設備動作(流程塊708)時，安全模塊150識別一動作 已經獲得授權以響應所述要求或命令，而安全模塊150授權所述控制設備處理所述要求或 命令(流程塊710)。控制項接著返回到流程塊702，直到另一通信被接收為止。例如，如果在 一預定時間數量之後，所述第二人員尚未送返所述秘密(流程塊708)，控制項返回到流程塊 702，直到另一通信被接收為止。因此，流程塊708可以包括的操作包括在一預定時間間隔 之後的暫停。圖8為一框圖，其顯示範例處理器系統810，範例處理器系統810可以用於實施在 此描述的設備及方法。例如，相似或相同於範例處理器系統810的處理器系統可以用於實 施圖1的工作站118、控制設備120、122及126￡1-(、輸入/輸出卡140a_d及142a_d及/或安全模塊150-158。雖然以下描述範例處理器系統810包括多個外圍設備、界面、晶片、存儲 器等等，但這些元件中的一個或多個元件可以從用於實施工作站118、控制設備120、122及 126a-c、輸入/輸出卡140a-d及142a-d及/或安全模塊150-158中的一個或多個省略。如圖8中所示，處理器系統810包括處理器812，該處理器812連接到一互連總線 814。處理器812包括一寄存器或寄存器空間816，該寄存器或寄存器空間816在圖8中被 描繪成完全在線，但其可以選擇性地完全或部分離線並通過專用電氣連接及/或互連總線 814直接地連接到處理器812。處理器812可以是任何合適的處理器、處理單元或微處理器。 雖然圖8中未顯示，但所述系統810可以是多處理器系統，因此，其可以包括一個或多個附 加的、與所述處理器812相同或相似並通信連接到互連總線814的處理器。圖8的處理器812連接到一晶片組818，該晶片組818包括一存儲器控制器820及 一外圍輸入/輸出控制器822。廣為人知的是，一晶片組典型地提供輸入/輸出及存儲器管 理功能以及多個通用及/或專用寄存器、定時器等等，這些設備可以由一個或多個連接到 晶片組818的處理器存取或使用。存儲器控制器820執行其功能，使得處理器812 (或多個 處理器，如果有多個處理器)能夠存取一系統存儲器824及一大容量存儲器825。
系統存儲器824可以包括任何期望類別的易失性及/或非易失性存儲器，例如靜 態隨機存取存儲器(SRAM)、動態隨機存取存儲器(DRAM)、閃速存儲器、只讀存儲器(ROM)等 等。大容量存儲器825可以包括任何期望類別的大容量設備。例如，如果範例處理器系統 810用於實施工作站118 (圖1)，則大容量存儲器825可以包括一硬碟驅動器、一光碟機動器、 一帶存儲器設備等等。可選擇地，如果範例處理器系統810用於實施控制設備120、122及 126a-c、輸入/輸出卡140a-d及142a_d及/或安全模塊150-158，則大容量存儲器825可 以包括一固態存儲器(例如閃速存儲器、隨機存取存儲器(RAM)等等)、一磁存儲器(例如 硬碟)或任何其他適合在控制設備120、122及126￡1-(、輸入/輸出卡140a-d及142a_d及 /或安全模塊150-158中實施大量存儲的存儲器。外圍輸入/輸出控制器822執行其功能，使得處理器812能夠通過一外圍輸入/ 輸出總線832、與外圍輸入/輸出設備826及828以及一網絡界面830進行通信。輸入/輸 出設備826及828可以是任何期望類別的輸入/輸出設備，比如鍵盤、顯示器(例如液晶顯 示器(LCD)、陰極射線管(CRT)顯示器等等)、導航設備(例如滑鼠、跟蹤球、電容式觸控板、 操縱杆控制器等等)等等。網絡界面830可以是(例如)乙太網設備、異步傳輸模式(ATM) 設備、802. 11設備、數字用戶線路(DSL)數據機、電纜數據機、蜂窩數據機等 等，其使得處理器系統810能夠與另一處理器系統進行通信。雖然存儲器控制器820及輸入/輸出控制器822在圖8中被描繪為晶片組818內 的分別的功能塊，但由這些塊執行的功能可以在一個單一的半導體線路內集成，或可以使 用兩個或多個分別的集成電路來實施。在此描述的範例方法及系統方便地使一過程控制系統的操作員能夠使用可以互 換地連接到多個控制設備的多個安全模塊。這使所述過程控制系統的操作員能夠迅速及輕 易地改變一控制設備的安全編程。例如，操作員可以將一控制設備的安全編程從一集合的 安全功能、水平或特徵改變為另一集合的安全功能、水平或特徵，而所述另一集合的特徵具 有某些性能特性或其他好處對所述過程控制系統中的特定控制設備更為有利。此外，操作 員可以以一經修改或升級的安全編程或在一控制設備原先製造時尚未存在的特定特徵來更新一控制設備。此外，包括在正式採用工業標準之前已經結合到所述過程控制系統的最先進的未 公開設備及安全特徵的一過程控制系統的操作員將能夠將結合所述工業標準的、在此描述 的範例安全模塊的其中之一結合到所述未公開控制設備的其中之一，以便更新所述設備， 從而符合適當的標準。以在此描述的範例安全模塊實現的另一好處是，連接到一安全模塊的控制設備可 以改變，而所有所述安全特徵、調用信息等等保持不變。此外，所述安全模塊的有些範例可 以包括診斷軟體，所述診斷軟體可以用於搜集來自所述控制設備的信息。操作員可以通過 將所述安全模塊改變為具有所期望的診斷軟體的另一安全模塊，存取更新、更好或更設備 適當的診斷器件。例如，可以開發一新診斷測試，以便更好地評估一控制設備的一特定條 件。有了在此描述的範例安全模塊，所述新診斷測試可以在不需要改變所述控制設備或所 述現有控制設備的電子線路板的情況下，實施在一固有的控制設備上。此外，控制設備的製造商可以將所述安全電子器件及軟體及/或診斷電子器件及 軟體從所述控制設備的其餘電子器件分離。因此，較少種類的用於所述控制設備的電路板 需要開發、製造、庫存等等。例如，如果一製造商在兩個不同的安全編程中提供各五個控制 設備，則將需要生產十個電路板(每個設備及協議組合用一個電路板)。使用在此描述的範 例安全模塊，將只需要生產五個電路板( 每個設備用一個電路板)及兩個類別的安全模塊 (每個編程用一個類別的安全模塊)，因此大大減少製造商的開發及存儲成本。此外，所述 安全模塊可以與其他控制設備一起使用。此外，以上描述的關於圖5的隔離電路保護連接到所述範例安全模塊的電源及控 制設備。如果發生刺波電流或因電工配線疏忽而導致不可接受的高電壓或電流負荷，所述 隔離電路促使所述安全模塊吸收所述額外負荷。因此，只是所述安全模塊可能需要替換，而 所述控制設備的電路板將保持其功能，這大大地減少維護及修理成本。雖然在此已經描述某些方法、設備及製造件，但本專利包括的範圍並未受其限制。 相反地，本專利包括根據字面意義或等效原則正當地屬於附此的權利要求範圍的所有方 法、設備及製造件。
權利要求
一種用於一過程控制設備的可移動安全模塊，所述可移動安全模塊包括一主體，所述主體配置成可移動地連接到所述過程控制設備；一存儲器，所述存儲器布置在所述主體中，而且所述存儲器中存儲一共享秘密；以及一處理單元，所述處理單元布置在所述主體中、連接到所述存儲器，而且配置成讀取來自所述過程控制設備的信息；對所述信息與所述共享秘密進行比較；及根據所述比較，鑑定所述過程控制設備。
2.如權利要求1所述的可移動安全模塊，其中所述處理單元進一步配置成防止所述過 程控制設備的調用_如果根據所述比較，所述過程控制設備未獲得鑑定。
3.如權利要求1所述的可移動安全模塊，其中所述存儲器包括存儲在其上的加密信 息，及其中所述處理單元配置成使用所述加密信息來保護與所述過程控制信。
4.如權利要求3所述的可移動安全模塊，其中所述加密信息包括一加密密鑰。
5.如權利要求1所述的可移動安全模塊，其中所述存儲器在其上存儲與所述過程控制 設備相關的調用信息。
6.如權利要求5所述的可移動安全模塊，其中所述調用信息包括配置信息。
7.如權利要求6所述的可移動安全模塊，其中所述配置信息包括一設備標識符號或一 控制參數的至少其中之一。
8.如權利要求1所述的可移動安全模塊，進一步包括一顯示器，以用於呈現接收自所 述過程控制設備的授權信息。
9.如權利要求8所述的可移動安全模塊，進一步包括一輸入設備，以用於接收一用戶 輸入以響應通過所述顯示器呈現的所述授權信息中的至少一些授權信息。
10.如權利要求8所述的可移動安全模塊，其中所述授權信息是存儲在所述過程控制 設備中的一秘密。
11.如權利要求1所述的可移動安全模塊，其中所述安全模塊進一步包括一通信單元， 以便為所述過程控制設備實質地提供全部通信軟體及電子器件。
12.用於一過程控制設備的多個可移動安全模塊，其中所述模塊中的每個模塊包括 一主體，所述主體配置成可移動地連接到所述過程控制設備；一存儲器，所述存儲器布置在所述主體中，而且所述存儲器中存儲一共享秘密；以及 一處理單元，所述處理單元布置在所述主體中、連接到所述存儲器，而且配置成 讀取來自所述過程控制設備的信息； 對所述信息與所述共享秘密進行比較；及 根據所述比較，鑑定所述過程控制設備。
13.如權利要求12所述的多個可移動安全模塊，其中所述模塊中的每個模塊使得能夠 由所述過程控制設備提供一不同類別的功能或功能水平。
14.如權利要求12所述的多個可移動安全模塊，其中所述模塊的至少其中之一提供相 對於所述模塊的另外其中之一的升級功能。
15.如權利要求12所述的多個可移動安全模塊，其中所述多個模塊的一第一模塊被實 施為所述多個模塊中的一第二模塊的代替物。
16.如權利要求15所述的多個可移動安全模塊，其中所述過程控制設備在所述第一模 塊代替所述第二模塊時保持運作。
17.如權利要求12所述的多個可移動安全模塊，其中所述多個模塊中的一模塊可以連 接到一第二控制設備。
18.如權利要求17所述的多個可移動安全模塊，其中所述第二控制設備在被連接到所 述模塊之後不需被調用來進行操作。
19.一種以一可移動安全模塊來保護一過程控制設備的方法，所述方法包括 通過所述安全模塊，讀取所述過程控制設備中的信息；對所述信息與存儲在所述安全模塊的一存儲器中的一共享秘密進行比較；以及通過所述安全模塊，根據所述比較，鑑定所述過程控制設備。
20.如權利要求19所述的方法，進一步包括防止所述過程控制設備的調用_如果根據 所述比較，所述過程控制設備未獲得鑑定。
21.如權利要求19所述的方法，進一步包括使用存儲在所述存儲器中的加密信息來保 護與所述過程控制設備相關的通信。
22.如權利要求21所述的方法，其中所述加密信息包括一加密密鑰。
23.如權利要求19所述的方法，進一步包括在所述存儲器中存儲調用信息，以響應所 述過程控制設備被鑑定。
24.如權利要求23所述的方法，其中所述調用信息包括配置信息。
25.如權利要求24所述的方法，其中所述配置信息包括一設備標識符號或一控制參數 的至少其中之一。
26.一種用於保護一過程控制設備的方法，所述方法包括在所述過程控制設備處接收一要求或命令，其中所述要求或命令與一第一人員相關；獲取一秘密，以響應所述要求或命令的所述接收；提供所述秘密予一第二人員；通過所述第二人員發送所述秘密到所述過程控制設備；以及為所述過程控制設備授權所述要求或命令，以響應所述過程控制設備接收所述秘密。
27.如權利要求26所述的方法，其中提供所述秘密予一第二人員的步驟是通過一可移 動安全模塊發生。
28.如權利要求27所述的方法，其中獲取所述秘密的步驟包括所述可移動安全模塊提 供所述秘密。
29.如權利要求26所述的方法，其中提供所述秘密予所述第二人員的步驟包括通過一 顯示器向所述第二人員顯示所述秘密。
30.如權利要求26所述的方法，其中通過所述第二人員發送所述秘密到所述過程控制 設備的步驟包括將接收自所述第二人員的所述秘密發送到所述要求或命令的一個源；以及通過所述要求或命令的所述源，將所述秘密送返所述過程控制設備。
31.如權利要求30所述的方法，進一步包括在發送所述秘密到所述要求或命令的所述 源之前，在一可移動安全模塊的一輸入設備處接收來自所述第二人員的所述秘密。
32.如權利要求26所述的方法，其中所述秘密是通過一燈光式樣來提供。
33.一種分布式過程控制系統，包括 一個或多個過程控制設備；用於讀取來自所述過程控制設備的至少其中之一的信息的工具； 用於對所述信息與一共享秘密進行比較的工具；用於根據所述比較來鑑定所述過程控制設備的至少其中之一的工具；以及 用於授權一個或多個應用程式以用於所述過程控制設備的至少其中之一的工具。
34.如權利要求31所述的分布式過程控制系統，進一步包括用於進行一個或多個應用 程序的兩人授權的工具。
全文摘要
本發明公開一種可移動安全模塊及相關方法。一範例可移動安全模塊包括一主體(所述主體配置成可移動地連接到所述過程控制設備)及布置在所述主體中的一存儲器(所述存儲器中存儲一共享秘密)。所述範例可移動安全模塊也包括一處理單元，所述處理單元布置在所述主體中，並連接到所述存儲器，而且配置成讀取來自所述過程控制設備的信息、對所述信息與所述共享秘密進行比較以及根據所述比較來鑑定所述過程控制設備。
文檔編號G05B19/418GK101840221SQ20091021525
公開日2010年9月22日 申請日期2009年12月31日 優先權日2009年1月21日
發明者加裡·基思·勞, 戈弗雷·羅蘭·謝裡夫, 李·艾倫·奈策爾 申請人:費舍-柔斯芒特系統股份有限公司