[发明专利]用于安全仪表化过程控制系统的入侵防御的设备及方法

说明书

技术领域

本发明总体上涉及过程控制系统，尤其涉及用于安全仪表化过程控制系 统的入侵防御的设备及方法。

背景技术

过程控制系统-如那些用于化学、石油、或其他过程的过程控制系统-典 型地包括一个或多个集中式过程控制器，集中式过程控制器通过模拟总线、 数字总线或模拟/数字混合总线，与至少一个主机或操作员工作站及与一个 或多个现场设备通信连接。所述现场设备可能是阀、阀定位器、开关及传送 器(例如温度传感器、压力传感器及流率传感器)，它们在过程中发挥功能， 如开启或关闭阀及测量过程参数。所述过程控制器接收所述现场设备所进行 的过程测量的信号及/或关于所述现场设备的其他信息，并使用这些信息来 实施控制例程，然后产生控制信号并通过所述总线或其他通信线传送至所述 现场设备，以控制过程的操作。来自所述现场设备和所述控制器的信息可以 由所述操作员工作站执行的一种或多种应用程序，使操作员能够执行针对过 程所需要的功能，例如观察过程的当前状态、修正过程的操作等等。

许多过程控制系统也包括一个或多个应用站。典型地，这些应用站使用 个人计算机、工作站或类似物来实施，所述个人计算机、工作站或类似物通 过局域网(LAN)通信连接到所述控制器、操作员工作站及所述过程控制系 统中的其他系统。每个应用站可以执行一个或多个软件应用程序，软件应用 程序在过程控制系统中执行活动管理功能、维修管理功能、实质控制功能、 诊断功能、实时监测功能、安全相关功能、配置功能等等。

有些过程控制系统或其部分可能存在重大的安全风险。例如，化学处理 工厂、发电厂等可能实施关键过程，这些关键过程如果没有适当地控制及/ 或使用预定的关闭顺序迅速关闭，会对人员、环境及/或设备造成重大损害。 为了处理和涉及这种关键过程的过程控制系统相关的安全风险，许多过程控 制系统供应商提供遵守安全相关标准的产品，例如遵守“国际电工委员会” (Electrotechnical Commission，IEC)的IEC61508标准及IEC61511标准的 产品。

一般上，遵守一个或多个已知安全相关标准的过程控制系统是通过使用 安全仪表化系统结构来实施。在这样的系统结构中，与基本过程控制系统相 关的、负责全过程的连续控制的控制器及现场设备在物理上和逻辑上与专用 现场设备及其他与安全仪表系统相关的专用控制元件分离，而安全仪表系统 则负责安全仪表功能的执行，以响应出现重大安全风险的控制情况，从而确 保过程安全关闭。特别是许多已知的安全相关标准要求以专用控制元件来补 充基本过程控制系统，比如以逻辑求解器、安全已确认现场设备(例如：传 感器、末控元件-比如气动阀)、数据冗余设备及例程(例如冗余链路、 循环冗余码校验等等)及安全已确认软件或代码(例如已确认应用程序、功 能模块、功能块等等)。此外，许多已知的过程控制系统也提供至少一个图 形运行时间界面，图形运行时间界面允许用户或其他系统操作员监测过程、 改变参数值、向一个或多个设备、控制环路及/或其他过程控制实体发出命 令等等。

安全仪表化系统定期地更新以下载更新的软件、更新的操作参数、更新 的控制过程等等。目前的安全仪表化系统使用用户名及密码及/或机械钥匙 开关来防止从过程控制系统中的工作站未经授权地对安全仪表化系统进行 下载存取。然而，如果：钥匙没有获得谨慎保管、用户在无人看管的情况下 离开已登录联接的工作站、机械锁在使用后没有重锁、钥匙被复制，可能发 生未经授权的对安全仪表化系统的下载存取。

发明内容

本发明揭示用于安全仪表化过程控制系统的入侵防御的范例方法及设 备。一种保护安全仪表化系统的范例方法涉及接收来自过程控制系统的元件 的合法信息(其中所述合法信息计划发送到安全仪表化系统)及确定签名是 否与所述合法信息至少充分匹配。在确定所述签名与所述合法信息至少充分 匹配时，所述合法信息被阻止到达所述安全仪表化系统。

根据另一范例，本发明揭示一种用于保护安全仪表化过程控制系统的范 例设备。所述范例设备包括接收器，以便接收来自过程控制系统的过程控制 部分的寻址到安全仪表化系统的合法信息。所述设备也包括数据仓库(以便 存储至少一个签名)及签名分析器(以便确定所述至少一个签名是否与所述 合法信息至少充分匹配，以及在所述签名与所述合法信息至少充分匹配时， 阻止所述合法信息到达所述安全仪表化系统。