CN101438216B - 工厂的运行系统 - Google Patents
工厂的运行系统 Download PDFInfo
- Publication number
- CN101438216B CN101438216B CN2007800158831A CN200780015883A CN101438216B CN 101438216 B CN101438216 B CN 101438216B CN 2007800158831 A CN2007800158831 A CN 2007800158831A CN 200780015883 A CN200780015883 A CN 200780015883A CN 101438216 B CN101438216 B CN 101438216B
- Authority
- CN
- China
- Prior art keywords
- data
- network
- storage device
- data storage
- factory
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/18—Network protocols supporting networked applications, e.g. including control of end-device applications over a network
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Testing And Monitoring For Control Systems (AREA)
- Control By Computers (AREA)
Abstract
本发明涉及一种运行工厂的系统,工厂包括数据设备。数据设备在工厂自身的地点提供。数据设备包括划分为至少一个第一数据存储装置(22)和一个第二数据存储装置(23)的数据结构。至少第一数据存储装置(22)可从外部数据源访问。第一数据存储装置(22)的状态在运行期间被确定为可信或不可信,第二数据存储装置(23)的状态在一开始被确定为可信。外部数据源被连接到第一数据存储装置(22)和第二数据存储装置(23)。第二数据存储装置(23)通过一个数据接口装置(6、24、25)连接到第一数据存储装置(22)。
Description
技术领域
本发明涉及一种工厂的运行系统,特别适用于如风力发电场的能源生产单位,其它需要监视和控制的工厂同样可通过根据本发明的系统运行。本发明还涉及一种应用本发明系统的工厂的运行方法。
背景技术
被监视和运行的工厂,或者在工厂本地,或者从监控中心站点操控。被运行的工厂与中心站点之间的通讯通过专用通讯网络实现,以保证工厂与中心站点之间安全、可靠和不间断的通讯,这个通讯通过使用严格的非公共通讯网络进行。
US 2003/0208448披露了一种半导体晶片数据代理系统(a databrokering system for semiconductor wafer data),包括:一个至少具有一个自动化半导体晶片生产工具的制造者(fabricator)(FAB);多个OEM,其通过安全的服务网络耦合到FAB;提供由该工具制造的关于半导体晶片的数据给OEM中的一个OEM而不泄漏关于该工具信息的方法;和收集基于所提供数据的特征的费用的方法。US 2003/0208448所陈述的问题是需要一种改进的方法,使得在OEM、IC制造者、以及为OEM和IC制造者保持数据安全性和给予该工具的远程维护的其他第三方之间共享远方数据。根据US 2003/0208448的一个典型实施例,一个应用服务器耦合到HTTP服务器,它可以通过第三方防火墙提供对外部网络如互连网的访问。一个例如位于原始设备制造商(original equipmentmanufacturer)(OEM)的客户,通过HTTP服务器连接,访问应用服务器412提供的工具和服务。美国发明的防火墙能够构造为根据由ICM设定的安全策略只允许对他们的网络授权连接。这样,根据US 2003/0208448的系统就是一个授权系统。数据存储装置不是一个在运行过程中其状态被确定为信任或不信任的数据存储装置。只是访问数据存储装置的用户在运 行过程中被确定为被授权或不被授权。数据代理系统(data brokeringsystem)的目标是提供一种改进的方法,使得在OEM、IC制造者、以及为OEM和IC制造者保持数据安全性和给予该工具的远程维护的其他第三方之间共享远方数据。
这个目标不是保卫制造者(FAB地点)应对非法数据,而是在不同的OEM之间划分对制造者(在FAB地点)的访问。
FAB地点设有一个或多个自动化半导体制造工具,它们各自连接到工具控制台服务器(a tool console server)。工具控制台服务器构成在工厂地点提供的数据设备。从客户到工具控制台服务器的数据必须通过一个HTTP服务器、一个应用服务器、一个通行费门路服务器(a Toll GatewaysServer)和多个防火墙。在FAB地点,即在被提供了数据设备的工厂地点没有认证。这样,来自外部数据源的可能通过或包围该多个防火墙的非法数据会无限制地访问工厂地点的数据设备。
US 6,079,016披露了一种带有超过两个引导ROM(boot-ROMS)的具有多重引导功能(multi booting function)的计算机。该引导ROM包括一个闪存RAM,且在计算机系统中具有相同的地址空间。更可取地,第一引导ROM提供一般引导程序(general boot program),第二引导ROM提供详细诊断程序。可替代地,第一引导ROM提供常规引导程序,第二引导ROM提供再编程或升级引导程序。US 6,079,016披露的有待解决的问题之一是不稳定的硬件条件或闪存ROM中的编程错误妨碍操作系统加载进入计算机,执行操作系统中另外一个诊断程序是不可能的。
根据US 6,079,016的多重引导功能的目标是给计算机系统提供不使用操作系统中的诊断程序就可以有选择地完成计算机系统的全部诊断的多重引导功能,这个目标同时也给计算机系统提供保证闪存ROM中存储的再编程或升级引导程序安全运行的多重引导功能。
这个目标不是保护计算机应对来自外部网络的非法数据,而是保证计算机系统总是自引导。计算机系统不连接任何外部数据源。US6,079,016没有披露应对来自外部数据源数据的安全保护,所以来自可能的外部数据源的非法数据将会无限制地访问计算机系统的引导功能。US 6,079,016披露了HTTP服务器,所述HTTP服务器位于非解除管制区,这样所述HTTP服务器就不在也被披露的e中心应用服务器和/或工具门路服务器的地点,所述其它服务器位于解除管制区。
US 5,374,231披露了一个可自动运行的制造和加工工厂,它包括:多个加工单元;一个工件管理系统,该工件管理系统包括用来存储工件的存储设备、用来运输工件的运输设备和用来操纵工件的操作设备;和一个数据处理和交换系统,用来控制生产和加工工厂的运行。
数据处理和交换系统包括一个第一外部数据处理和交换网络,它带有一个中心数据处理单元,用于中心数据处理单元与加工单元之间的运行控制数据的交换和中心处理单元与运输设备之间的运输控制数据的交换。进一步地,提供了一个第二内部数据处理和交换网络,用于存储设备、运输设备和操作设备之间的数据交换。记忆模块中的数据由该第二内部数据处理和交换网络处理。
根据US 5,374,231,一个目标是提供一个可自动运行的制造和加工工厂,它具有一个改进的系统,用于工件识别和制造或加工特定工件所需数据的处理。这个目标不保护数据处理系统应对可能的来自外部数据源的无效数据,因此,来自外部数据源的无效数据就会无限制地访问制造和加工工厂的数据交换系统。
进一步地,根据US 5,374,231,提供了一个用于存储设备、运输设备和操作设备之间的数据交换的第二内部数据处理和交换网络。在披露中所讨论的唯一安全方面是应对由于疏忽所致的数据与工件和工具之间的关联混乱和应对工件和工具可能的混乱存储的安全性。
更进一步,US 5,374,231披露了制造和加工工厂无故障运行的一个重要先决条件是数据交换的安全。考虑到加工单元区域热、油、金属屑和冷却液的不良影响所造成的恶劣条件,使用具有无接触操作的数据交换系统是有益的,最好是无线载波频率数据交换系统(wireless carrierfrequency data exchange system)。
发明内容
本发明的目的是提供一种用于工厂生产运行的系统,这个系统能够利用根本不具有数据安全性的更公共的网络通讯或者至少利用只具有简易安全性的通讯网络,但是在工厂地点维持同样安全、可靠和不间断通讯,如现有利用安全通讯网络一样运行。
这个目的可以由根据本发明通用方面的工厂运行系统实现,
所述系统包括一个在工厂地点提供的数据设备,所述数据设备包括一个划分为至少一个第一数据存储装置、一个第二数据存储装置和一个数据接口装置的数据结构,至少所述第一数据存储装置可从该系统之外的外部数据源访问,
所述系统包括一个在工厂地点提供的数据设备,所述数据设备包括一个划分为至少一个第一数据存储装置、一个第二数据存储装置和一个数据接口装置的数据结构,至少所述第一数据存储装置可从该系统之外的外部数据源访问,
所述第一数据存储装置的状态在运行过程中可被确定为可信或不可信,
所述第二数据存储装置的状态在一开始被确定为可信,和
所述第一数据存储装置的状态在运行过程中可被确定为可信或不可信,
所述第二数据存储装置的状态在一开始被确定为可信,和
该外部数据源连接到所述第一数据存储装置和所述第二数据存储装置,
该第二数据存储装置通过一个数据接口装置连接到所述第一数据存储装置,
其特征在于,
所述系统包括控制单元、第一状态控制器和第二状态控制器,
所述第一状态控制器设计用来控制数据从外部数据源到第一数据存储装置的数据传输,所述第二状态控制器设计用来控制数据从外部数据源到第二数据存储装置的数据传输,和
所述切换单元设计用来在工厂地点控制一个外部网络的数据的有效性,所述外部网络包括一个数据网络和一个服务网络,和
所述切换单元设计用来在数据被切换单元确定为对于运行工厂是有效数据时将该数据传输到一个内部网络,所述内部网络包括一个数据网络和一个服务网络。
一种包括一个不可信数据存储装置并且还包括一个可信数据存储装置的系统,其中一个界面装置控制不可信数据存储装置与可信数据存储装置之间的 通讯,这使得甚至在连接至工厂的通讯网络被感染的情况下或在以其它任何方式遭受故意或意外送到工厂的非授权数据的情况下操控工厂成为可能。这种数据可以妨碍或改变工厂的运行,导致破坏工厂的电能供应或其它生产供应的故障。
根据本发明的第一方面,提供一种工厂运行系统,
所述系统包括一个在工厂地点提供的数据设备,所述数据设备包括一个划分为外部网络和内部网络的数据网络,至少所述外部网络可从外部数据源访问,
所述外部网络是不可信数据网络,所述内部网络是可信数据网络,所述外部网络通过一个控制单元和一个切换单元,例如VLAN感知开关(VLAN-awareswitch)与防火墙的组合(可能是VLAN感知防火墙),连接到内部网络,
所述外部网络和所述内部网络均包括一个在工厂内传输数据的数据网络,和一个通过从工厂接收数据和/或向工厂传送数据而为工厂服务的服务网络,
所述系统包括一个用于控制的切换单元,如果外部网络的数据被切换单元(6)判定为对于运行工厂有效,就从外部网络传送该外部网络的数据到内部网络,
所述切换单元在外部网络与内部网络之间的界面处提供,和
所述系统进一步包括一个用于控制从内部数据网络向内部服务网络传送数据的数据过滤装置,
所述数据过滤装置以监视从内部服务网络向内部数据网络传送数据的方式提供,和
所述数据过滤装置也以判定从内部服务网络向内部数据网络传送的数据对工厂运行是否是有效数据的方式提供,
所述数据过滤装置在一个连接在切换单元、内部数据网络和内部服务网络之间的界面上的并行网络中提供。
提供一个外部网络和一个内部网络并通过一个切换单元从外部网络向内部网络传送数据,这保证了数据在传送到内部网络之前在外部网络可以控制其有效性。该网络是一个虚拟本地访问网络(virtual local access network)(VLAN), 其在工厂地点运行而不从工厂远方运行。
相应地,甚至被传送到在工厂附近地点的外部网络的非授权数据被表征为通过整个通讯网络直到并且在安装切换单元的工厂地点的外部网络的数据。
切换单元只是在工厂地点控制外部网络的数据,如果该数据被切换单元判定为对工厂运行的有效数据,将其传送到内部网络。
根据本发明的第二方面,提供一种工厂运行系统,
所述工厂包括在工厂地点提供的数据设备,所述数据设备包括一个划分为至少一个第一数据存储装置和一个第二数据存储装置的数据结构,所述第一数据存储装置和所述第二数据存储装置都可以从外部数据源访问,
所述第一数据存储装置连接到一个第一状态控制器,所述第二数据存储装置连接到一个第二状态控制器,
所述第一数据存储装置和所述第二数据存储装置都具有一个写保护状态和一个写激活状态,
所述第一状态控制器设计用来控制从外部数据源到第一数据存储装置的数据传输,所述第二状态控制器设计用来控制从外部数据源到第二数据存储装置的数据传输,和
一个控制单元设计用来通过传送信号到任一个或两个状态控制器而控制状态控制器的运行,来自控制单元(24)的所述信号设计用来将任一个或两个数据存储装置置于两种可能的状态之一,
或者所述信号设计用来告诉状态控制器之一将相应的数据存储装置置于写激活状态,以允许从外部数据源传送数据到相应的数据存储装置,
或者所述信号设计用来告诉状态控制器之一将相应的数据存储装置置于写保护状态,以拒绝从外部网络到相应的第一数据存储装置(22)或第二数据存储装置(23)数据存储装置(22、23)的数据访问数据存储装置。
提供一个第一数据存储装置和一个第二数据存储装置并通过一个第一状态控制器和通过一个第二状态控制器分别地传送数据到第一数据存储装置和第二数据存储装置,这保证如下优点:数据可以被传送到第一数据存储装置或第二数据存储装置,如果数据是无效的,则数据传送到的数据存储装置,不是 第一数据存储装置就是第二数据存储装置被写保护。没有接收无效数据的另外一个数据存储装置的数据于是就用来至少部分地运行工厂,例如完成工厂的一个或多个主运行系统的启动(booting)。
第一数据存储装置和第二数据存储装置可以是所谓的闪存数据存储装置,其在工厂本地运行而不是从工厂远方运行。
相应地,甚至被传送到在工厂附近地点的数据存储装置的非授权数据,并很可能是通过一直到和在安装状态控制器的工厂地点的整个通讯系统的外部数据源的数据。
只有在工厂地点被传送和存储到数据存储装置的数据内容才被监视和控制。但是,如果数据被确定为无效,要存储该数据的数据存储装置被写保护,数据被拒绝访问工厂的主运行系统。随后数据存储装置擦除或以其它方式显示或取代该数据,因此数据不会损害工厂的主运行系统。与此同时,另一个数据存储装置用来至少部分地运行该系统。
短语“在工厂地点”解释为工厂所在的物理位置,但是当环绕通讯网络或环绕数据存储装置时,物理位置可以被解释为更宽泛的物理扩展,即工厂的位置可以与或许扩展超过工厂位置的任何内部通讯网络的位置连在一起。例如,工厂所在地点可以是一个或多个能源生产工厂,如作为一个风力涡轮机场组成部分的风力涡轮机。
这样,工厂地点可以是一个单独的能源生产单位,如风力涡轮机场的一台风力涡轮机。工厂地点可以是有限复数个能源生产工厂,如风力涡轮机场的全体复数台风力涡轮机中的有限复数台风力涡轮机。或者工厂地点可以是所有能源生产单位,如风力涡轮机场的全体复数台风力涡轮机中的所有风力涡轮机。
附图说明
本发明将结合附图说明如后,这里
图1是本发明第一方面的示意图,和
图2是本发明第二方面的示意图。
具体实施方式
图1是一个包括VLAN(虚拟本地访问网络)系统的示意图。该系统用于控制能源生产工厂,如风力涡轮机工厂。VLAN包含一个外部网络1、2和一 个内部网络3、4。外部网络1、2包括数据网络1和服务网络2。同样,内部网络包括数据网络3和服务网络4。
外部数据网络1和内部数据网络2通过控制单元5通讯。但是,外部数据网络1与内部数据网络3之间的通讯被开关6控制。同样,外部服务网络2与内部服务网络4之间的通讯也被开关6控制。
并行耦合到开关6并在内部数据网络3与内部服务网络4之间的是第一数据过滤装置7,如路由器和/或防火墙。第一数据过滤装置7通过允许或拒绝从内部服务网络4向内部数据网络3传送数据来控制开关6的操作。
第一数据过滤装置7被提供有监视从内部服务网络4到内部数据网络3传送数据的手段,并且第一数据过滤装置7也被提供有判定从内部服务网络4到内部数据网络3传送的数据对于运行工厂是有效数据还是无效数据的手段。
这样,第一数据过滤装置7能够根据其所判定的数据有效性允许或拒绝从内部服务网络4到内部数据网络3的数据访问,这个决策是基于存储在第一数据过滤装置7中的经验数据作出的。
进一步,并行耦合到开关6并在外部数据网络1与控制单元5之间的是第二数据过滤装置20,如路由器和/或防火墙。第二数据过滤装置20通过允许或拒绝从外部数据网络1沿专用通讯线路21到控制单元5传送的数据来控制沿专用通讯线路21到控制单元5的通讯。
第二数据过滤装置20被提供有监视从外部数据网络1到控制单元5传送数据的手段,第二数据过滤装置20也被提供有判定从外部数据网络1到控制单元5传送的数据对于运行工厂或至少运行控制单元5是有效数据还是无效数据的手段。
这样,第二数据过滤装置20能够根据其所判定的数据有效性允许或拒绝从外部数据网络1到控制单元5的数据访问,这个决策是基于存储在第二数据过滤装置20中的经验数据作出的。
外部服务网络2可以允许从远程外部数据源(未示出)通过一个数据通讯系统10如VPN(虚拟个人网络)访问,很可能从远程外部数据源传送对于运行工厂的有效数据和无效数据。外部服务网络2可以有选择地和/或附加地被从外部服务点11访问。
从外部数据源和/或从外部服务点传送的数据通过外部数据网络1到达一个用来控制从外部数据网络1传送到外部服务网络2的数据的开关9。
并行耦合到开关8并在外部数据网络1与外部服务网络2之间的是一个数据过滤装置9,如路由器和/或防火墙。数据过滤装置9通过允许或拒绝从外部服务网络2向外部数据网络1传送数据来控制开关8的操作。
数据过滤装置9被提供有监视从外部服务网络2到外部数据网络1传送数据的手段,数据过滤装置9也被提供有判定从外部服务网络2到外部数据网络1传送的数据对于运行工厂是有效数据还是无效数据的手段。
这样,数据过滤装置9能够根据其所判定的数据有效性允许或拒绝从外部服务网络2到外部数据网络1的数据访问,这个决策是基于存储在数据过滤装置9中的经验数据作出的。
数据过滤装置9有可能允许数据访问外部数据网络1,随后,该数据可以被传送到利用运行工厂的内部数据网络中的数据的开关6。该数据可以通过控制单元5传送和/或越过控制单元5,这取决于是否需要控制单元5处理该数据。
有选择地或者附加地,该数据被传送到一个数据存储和处理单元12,如一个服务器,用于在将该数据通过开关6传送到内部数据网络3之前或同时,存储该数据以备可能的后续使用或处理该数据立即在外部数据网络1中使用。
有选择地或者附加地从外部网络1、2通过开关6访问内部服务网络,内部服务网络4可以从本地外部数据源13如一个PDA(便携数字助手)通过数据通讯系统14访问,很可能从本地外部数据源13传送对于运行工厂的有效数据或无效数据。通过本地通讯系统14被传送的数据在访问点15进入工厂和内部服务网络4。内部服务网络4可以有选择地和/或附加地从内部服务点16访问。
数据过滤装置7有可能允许数据访问内部数据网络3,随后,该数据可以被传送到开关6和进一步传送到利用运行工厂的内部数据网络中的数据的开关16。该数据被传送到工厂中的数据存储和/或处理单元18、19,如本厂控制中心或数据采集系统,用于存储该数据以备可能的后续使用或处理该数据立即在内部数据网络1中使用。
图2是包括两个并行耦合数据存储装置22、23,用来控制能源生产工厂 如风力涡轮机工厂的系统示意图。数据存储装置22、23包括第一数据存储装置22和第二数据存储装置23。第一数据存储装置22和第二数据存储装置23通过控制单元5与外部数据源(未示出)通讯。第一数据存储装置22与外部数据源之间的通讯状态和第二数据存储装置23与外部数据源之间的通讯状态由控制单元5控制。控制单元5分别控制第一状态控制器24和第二状态控制器25的运行。
第一状态控制器24和第二状态控制器25位于数据存储装置22、23与同外部数据源(未示出)通讯的控制单元5之间的界面。控制单元5能够控制状态控制器24、25,允许或拒绝从外部数据源到第一数据存储装置22或到第二数据存储装置23的数据访问。
控制单元5通过信号线26、27传送关于状态控制器24、25运行的信号到状态控制器24、25而控制状态控制器24、25,传送的信号取决于从外部数据源接收的信息。
如果外部数据源的数据准备或至少试图传送到数据存储装置22、23之一或两者,该数据必须经过控制单元5和状态控制器24、25之一或两者。控制单元5传送给状态控制器24、25之一或两者一个控制信号,以允许该数据访问数据存储装置22、23之一或两者。更可取地,该数据仅传送到数据存储装置22、23之一,下面结合描述系统的运行时详细解释。
当数据要被传送到数据存储装置22、23之一或两者时,状态控制器24、25保证数据存储装置的状态维持或改变到写激活状态,这取决于数据存储装置22、23之一或两者是否已经处于写激活状态,或数据存储装置之一或两者是否处于写保护状态。
两个数据存储装置22、23的主要用途是:当被运行的工厂需要更新或修改运行工厂的数据时,数据从外部数据源通过外部数据网络传送到工厂。对于运行工厂重要的是所使用的数据对于运行工厂是有效的和未受感染的,即没有妨碍工厂运行或使工厂错误运行的数据风险,如将包含病毒、蠕虫或受其它感染的数据传送到工厂的数据运行系统。
要传送到主运行系统的数据未在图中显示。然而当数据被传送到主运行系统之前,数据被图中所示的控制系统控制。数据从外部数据源通过外部数据网 络进入控制系统。控制单元5只控制数据将要被传送往何处,或者传送到第一数据存储装置22或者传送到第二数据存储装置23。控制单元不控制数据的有效性。
信号从控制单元5或许传送到第一状态控制器24,告诉状态控制器将第一数据存储装置22置为写激活状态。在此情况下第一数据存储装置22休眠,第二数据存储装置23至少部分地运行系统。或者第一数据存储装置22已经处于写激活状态,或者状态控制器将第一数据存储装置22从写保护状态改变为写激活状态。
当执行上述动作时,并行的第二数据存储装置23最好在写保护状态,使数据不能同时传送到第一数据存储装置22和第二数据存储装置23,因此已经存储于第二数据存储装置23的数据保持不变,尽管新数据或修改的数据正在从外部数据源传送到控制单元5。
当新数据或修改的数据已经传送到或已经存储于第一数据存储装置22,控制单元5发信号给第一数据存储装置22将其置为写保护状态。这样,随着将第一数据存储装置22置为写保护状态,任何来自外部数据源的数据不能被传送到第一数据存储装置22,也不能传送到第二数据存储装置23。已经传送到或存储于第一数据存储装置22的数据被控制以用于关于运行工厂的有效性的判断。控制方法可以是任何适用的方法,如扇区化的MD5检验(sectorizedMD5 checksums)方法。
如果数据被确定为对于运行工厂有效,控制系统将第一数据存储装置22设置为工厂的自启动装置(boot device),如果需要,第一数据存储装置22可以自启动。自启动后,第一数据存储装置22的数据成为用来至少部分地运行工厂的数据。
如果数据被确定为对于运行工厂无效,控制系统将第一数据存储装置22设置为工厂的非自启动装置,第二数据存储装置23用来自启动工厂。作为替代或补充,如果从第一数据存储装置22自启动失败数次,假定3次,第二数据存储装置23用来自启动工厂。
在两种情况下,或者直接确定无效数据已经存储到第一数据存储装置,或者从第一数据存储装置自启动失败,都是或者可能是表明被感染的或对于运行 工厂可能有害的数据已经进入工厂的部分运行系统,但是,在可能有害的数据进入工厂的主运行系统之前,部分运行系统已经献身存储该数据。
从第一数据存储装置22自启动故障的检测可能不仅导致第二数据存储装置23代替。在工厂的运行系统中公告一个信息,即第一数据存储装置22运行于故障方式,或是存储于第一数据存储装置22的数据,即存储于第一数据存储装置22的软件,是对于运行工厂的无效数据,或是第一数据存储装置22自身即其硬件本身损坏。
Claims (22)
1.一种运行工厂的系统,
所述运行工厂的系统包括在工厂地点提供的数据设备,所述数据设备包括划分为至少第一数据存储装置(22)、第二数据存储装置(23)和数据接口装置(6、24、25)的数据结构,至少所述第一数据存储装置(22)可从所述运行工厂的系统之外的外部数据源访问,
所述第一数据存储装置(22)的状态在运行期间被确定为可信或不可信,
所述第二数据存储装置(23)的状态在一开始被确定为可信,和
所述外部数据源被连接到所述第一数据存储装置(22)和所述第二数据存储装置(23),
所述第二数据存储装置(23)通过数据接口装置(6、24、25)连接到所述第一数据存储装置(22),
其特征在于,
所述运行工厂的系统包括控制单元(5)、第一状态控制器(24)和第二状态控制器(25),
所述第一状态控制器(24)设计用来控制从外部数据源到第一数据存储装置(22)数据的传送,所述第二状态控制器(25)设计用来控制从外部数据源到第二数据存储装置(23)数据的传送,以及
切换单元(6)设计用来在工厂地点控制外部网络(1、2)的数据的有效性,所述外部网络(1、2)包括外部数据网络(1)和外部服务网络(2),
所述切换单元(6)设计用来在外部网络(1、2)的数据被切换单元(6)确定为对于运行工厂是有效数据时将该外部网络(1、2)的数据传送到内部网络(3、4),所述内部网络(3、4)包括内部数据网络(3)和内部服务网络(4)。
2.根据权利要求1所述的运行工厂的系统,
所述运行工厂的系统包括在工厂地点提供的数据设备,所述数据设备包括分为外部网络(1、2)和内部网络(3、4)的数据网络,至少所述外部网络(1、2)被从外部数据源访问,
所述外部网络(1、2)是不可信数据网络,所述内部网络(3、4)是可信 数据网络,所述外部网络(1、2)通过切换单元(6)连接到内部网络(3、4),
所述外部网络(1、2)和所述内部网络(3、4)都包括在工厂内部传送数据的数据网络(1、3)和通过从工厂接收数据和/或传送数据到工厂而服务于工厂的服务网络(2、4),
所述运行工厂的系统包括用于控制的切换单元(6),如果外部网络(1、2)的数据被切换单元(6)判定为对于运行工厂有效,就从外部网络(1、2)传送该外部网络(1、2)的数据到内部网络(3、4),
所述切换单元(6)在外部网络(1、2)和内部网络(3、4)之间的界面处提供,和
所述运行工厂的系统进一步包括用于控制从内部数据网络(3)到内部服务网络(4)的数据传送的数据过滤装置(7),
所述数据过滤装置(7)以监视从内部服务网络(4)到内部数据网络(3)传送数据的方式提供,和
所述数据过滤装置(7)也以确定从内部服务网络(4)到内部数据网络(3)传送的数据对于运行工厂是有效或无效的方式提供,
所述数据过滤装置(7)在切换单元(6)、内部数据网络(3)和内部服务网络(4)之间的界面处连接的并行网络中提供。
3.根据权利要求2所述的运行工厂的系统,其中,外部数据网络(1)设计用来从工厂的集合中的多个工厂获取数据,并且其中,内部数据网络(3)设计用来从至少一个工厂获取数据。
4.根据权利要求3所述的运行工厂的系统,其中,该工厂的集合是多个能源生产单位,该多个能源生产单位构成该集合,单个能源生产单位构成单个工厂,并且其中,该外部网络(1、2)构成多个能源生产单位的数据网络,该内部网络(3、4)构成至少有一个能源生产单位的数据网络。
5.根据权利要求4所述的运行工厂的系统,其中,该工厂的集合是风力涡轮机场,该场构成该集合,单台风力涡轮机构成单个工厂,并且其中,该外部网络(1、2)构成多台风力涡轮机的数据网络,该内部网络(3、4)构成至少有一台风力涡轮机的数据网络。
6.根据权利要求2-5中任意一项权利要求所述的运行工厂的系统,其中, 所述数据过滤装置(7)是内部网络(3、4)的一部分,所述数据过滤装置(7)位于内部网络(3、4)中并在内部数据网络(3)与内部服务网络(4)之间,并且其中,控制单元(5)在与数据过滤装置(7)相同的内部网络(3、4)的位置连接到内部数据网络(3)。
7.根据权利要求6所述的运行工厂的系统,其中,所述数据过滤装置(7)是内部网络(3、4)的一部分,并且所述数据过滤装置(7)和控制单元(5)通过内部数据网络(3)均连接到若干个用于运行至少一个工厂的数据存储和/或操作单元(18、19)。
8.根据权利要求7所述的运行工厂的系统,其中,若干个用于运行至少一个工厂的数据操作单元包括能源生产单位的以下单元中的至少一个:工厂控制中心和工厂数据采集装置。
9.根据权利要求2-5中任意一项权利要求所述的运行工厂的系统,其中,外部网络数据过滤装置(9)是外部网络(1、2)的一部分,所述外部网络数据过滤装置(9)位于外部网络(1、2)中并在外部数据网络(1)与外部服务网络(2)之间,并且其中,控制单元(5)在与外部网络数据过滤装置(9)相同的数据网络位置连接到外部数据网络(1)。
10.根据权利要求9所述的运行工厂的系统,其中,所述外部网络(1、2)的外部网络数据过滤装置(9)和所述控制单元(5)均通过外部数据网络(1)连接到若干个用于运行多个工厂的数据存储和/或操作单元(12)。
11.根据权利要求10所述的运行工厂的系统,其中,若干个用于运行多个工厂的数据操作单元包括能源生产单位的以下单元中的至少一个:工厂服务器、本地工作站和远方工作站。
12.根据权利要求1-5中任意一项权利要求所述的运行工厂的系统,其中,外部服务网络(2)和/或内部服务网络(4)被提供有用于直接访问外部服务网络和/或内部服务网络而不必访问外部数据网络(1)和/或内部数据网络(3)的若干个服务点(11、17)。
13.根据权利要求1-5中任意一项权利要求所述的运行工厂的系统,其中,访问点装置(15)是内部网络(3、4)的一部分,所述访问点装置(15)位于内部数据服务网络(4)与专用网络之间,并且其中,数据过滤装置(7)在与 访问点装置(15)相同的内部网络(3、4)的位置连接到内部数据服务网络(4)。
14.根据权利要求13所述的运行工厂的系统,其中,所述专用网络是无线网络。
15.根据权利要求13所述的运行工厂的系统,其中,所述专用网络是有线网络。
16.根据权利要求1所述的运行工厂的系统,
所述第一数据存储装置(22)和所述第二数据存储装置(23)均可以从外部数据源访问,
所述第一数据存储装置(22)连接到第一状态控制器(24),所述第二数据存储装置(23)连接到第二状态控制器(25),
所述第一数据存储装置(22)和所述第二数据存储装置(23)均具有写保护状态和写激活状态,
所述第一状态控制器(24)设计用来控制从外部数据源到第一数据存储装置(22)数据的传送,所述第二状态控制器(25)设计用来控制从外部数据源到第二数据存储装置(23)数据的传送,和
控制单元(5)设计用来通过将信号传送给第一状态控制器(24)和第二状态控制器(25)之一或两者而控制所述第一状态控制器(24)和/或第二状态控制器(25)的运行,所述来自控制单元(5)的信号设计用来将第一数据存储装置(22)和第二数据存储装置(23)之一或两者置于两种可能的状态之一,
或者所述信号设计用来告诉所述第一状态控制器(24)和第二状态控制器(25)之一将相应第一数据存储装置(22)或第二数据存储装置(23)置为写激活状态,以允许数据从外部数据源传送到相应的第一数据存储装置(22)或第二数据存储装置(23),
或者所述信号设计用来告诉所述第一状态控制器(24)和/或第二状态控制器(25)之一将相应第一数据存储装置(22)或第二数据存储装置(23)置为写保护状态,以拒绝从外部数据源到相应的第一数据存储装置(22)或第二数据存储装置(23)的数据访问。
17.根据权利要求16所述的运行工厂的系统,其中,所述第一状态控制 器(24)和所述第二状态控制器(25)被集成并构成一个通用于第一数据存储装置(22)和第二数据存储装置(23)的同一状态控制器,所述同一状态控制器能够分别监视和控制第一数据存储装置和第二数据存储装置的状态。
18.根据权利要求16或权利要求17所述的运行工厂的系统,其中,所述第一数据存储装置(22)和所述第二数据存储装置(23)设计用来从用于至少一个工厂的数据的外部数据源获取数据,并且其中,所述第一数据存储装置(22)和所述第二数据存储装置(23)设计用来向至少一个工厂提供数据。
19.根据权利要求18所述的运行工厂的系统,其中,所述工厂的集合是多个能源生产单位,该多个能源生产单位构成该集合,单个能源生产单位构成单个工厂,并且其中,所述第一数据存储装置(22)和所述第二数据存储装置(23)构成用于至少一个能源生产单位的数据存储装置。
20.根据权利要求19所述的运行工厂的系统,其中,所述工厂的集合是风力涡轮机场,该场构成该集合,单台风力涡轮机构成单个工厂,并且其中,所述第一数据存储装置(22)和所述第二数据存储装置(23)构成用于至少一台风力涡轮机的数据存储装置。
21.一种用根据权利要求1和权利要求2-15中任意一项权利要求所述的运行工厂的系统运行工厂的方法,所述方法包括步骤:
将数据网络划分为外部网络(1、2)和内部网络(3、4),
将所述外部网络(1、2)和所述内部网络(3、4)中的每一个划分成为用于工厂内部传送数据的内部网络(1、3)和通过从工厂接收数据和/或向工厂传送数据而服务于工厂的服务网络(2、4),
建立用于控制从外部网络(1、2)到内部网络(3、4)数据传送的切换单元(6),所述切换单元(6)在外部网络(1、2)和内部网络(3、4)之间的界面处提供,
提供用于控制从内部数据网络(3)到内部服务网络(4)数据传送的数据过滤装置(7),所述数据过滤装置(7)在切换单元(6)和内部数据网络(3)和内部服务网络(4)之间的界面的并行网络连接中提供,和
通过控制单元(5)和切换单元(6)将所述外部网络(1、2)连接到内部网络(3、4),
从外部数据源访问所述外部网络(1、2),并通过外部数据网络(1),通过数据过滤装置(7),通过控制单元(5)和通过切换单元(6)从外部数据源传送数据到内部数据网络(3),
监视从内部服务网络(4)通过所述数据过滤装置(7)传送到内部数据网络(3)的数据,和
判定从内部服务网络(4)通过所述数据过滤装置(7)传送到内部数据网络(3)的数据对于运行工厂有效或无效。
22.一种用根据权利要求1和权利要求16-20中任意一项权利要求所述的运行工厂的系统运行工厂的方法,所述方法包括步骤:
将若干数据存储装置划分为至少第一数据存储装置(22)和第二数据存储装置(23),
连接所述第一数据存储装置(22)到第一状态控制器(24),并且连接所述第二数据存储装置(23)到第二状态控制器(25),
将写保护状态和写激活状态应用于所述第一数据存储装置(22)和所述第二数据存储装置(23),
用第一状态控制器(24)控制从外部数据源到第一数据存储装置(22)的数据传送,
用第二状态控制器(25)控制从外部数据源到第二数据存储装置(23)的数据传送,
通过将信号从控制单元(5)传送到所述第一状态控制器(24)和第二状态控制器(25)之一或两者而控制所述第一状态控制器(24)和/或第二状态控制器(25)的运行,
或者来自控制单元(5)的信号将第一数据存储装置(22)和第二数据存储装置(23)之一或两者置为写激活状态,以允许数据从外部数据源传送到相应的第一数据存储装置(22)和第二数据存储装置(23)之一或两者,
或者来自控制单元(5)的信号将第一数据存储装置(22)和第二数据存储装置(23)之一或两者置为写保护状态,以拒绝数据从外部数据源传送到相应的第一数据存储装置(22)和第二数据存储装置(23)之一或两者,
从外部数据源访问控制单元(5),并通过控制单元(5)和所述第一状态 控制器(24)和第二状态控制器(25)从外部数据源传送数据到第一数据存储装置(22)和第二数据存储装置(23)之一或两者,
传送数据到第一数据存储装置(22)和第二数据存储装置(23)取决于第一数据存储装置(22)和第二数据存储装置(23)的状态。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP06009024 | 2006-05-02 | ||
EP06009024.8 | 2006-05-02 | ||
PCT/DK2007/000213 WO2007124756A2 (en) | 2006-05-02 | 2007-05-02 | A system for operating a plant |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101438216A CN101438216A (zh) | 2009-05-20 |
CN101438216B true CN101438216B (zh) | 2012-05-30 |
Family
ID=36992596
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2007800158831A Expired - Fee Related CN101438216B (zh) | 2006-05-02 | 2007-05-02 | 工厂的运行系统 |
Country Status (4)
Country | Link |
---|---|
US (1) | US20090299493A1 (zh) |
EP (1) | EP2019979A2 (zh) |
CN (1) | CN101438216B (zh) |
WO (1) | WO2007124756A2 (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8155761B2 (en) * | 2009-07-23 | 2012-04-10 | Fisher-Rosemount Systems, Inc. | Process control system with integrated external data sources |
WO2011160702A1 (en) * | 2010-06-22 | 2011-12-29 | Siemens Aktiengesellschaft | Wind park network system |
ES2823752T3 (es) * | 2012-02-10 | 2021-05-10 | Siemens Gamesa Renewable Energy As | Sistema de control de turbina eólica |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5374231A (en) * | 1990-12-18 | 1994-12-20 | Erowa Ag | Automatically operable manufacturing and machining plant |
US5504801A (en) * | 1994-02-09 | 1996-04-02 | Harris Corporation | User-controlled electronic modification of operating system firmware resident in remote measurement unit for testing and conditioning of subscriber line circuits |
US6079016A (en) * | 1996-05-07 | 2000-06-20 | Samsung Electronics Co., Ltd. | Computer with multi booting function |
EP1271311A2 (en) * | 2001-06-30 | 2003-01-02 | Samsung Electronics Co., Ltd. | Upgrading networked device software |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5485455A (en) * | 1994-01-28 | 1996-01-16 | Cabletron Systems, Inc. | Network having secure fast packet switching and guaranteed quality of service |
IL118984A (en) * | 1996-07-30 | 2003-12-10 | Madge Networks Israel Ltd | APPARATUS AND METHOD FOR ASSIGNING VIRTUAL LANs TO A SWITCHED NETWORK |
WO2003105194A2 (en) * | 2002-03-12 | 2003-12-18 | Ils Technology, Inc. | Diagnostic system and method for integrated remote tool access, data collection, and control |
US6806402B2 (en) | 2002-04-30 | 2004-10-19 | Stine Seed Farm, Inc. | Soybean cultivar S010345 |
US20040153171A1 (en) * | 2002-10-21 | 2004-08-05 | Brandt David D. | System and methodology providing automation security architecture in an industrial controller environment |
JP4611197B2 (ja) * | 2003-06-20 | 2011-01-12 | 富士通株式会社 | ネットワークにおける機器の接続方法及びこれを用いるネットワークシステム |
US7318154B2 (en) * | 2003-09-29 | 2008-01-08 | General Electric Company | Various methods and apparatuses to provide remote access to a wind turbine generator system |
-
2007
- 2007-05-02 EP EP07722592A patent/EP2019979A2/en not_active Ceased
- 2007-05-02 CN CN2007800158831A patent/CN101438216B/zh not_active Expired - Fee Related
- 2007-05-02 US US12/299,172 patent/US20090299493A1/en not_active Abandoned
- 2007-05-02 WO PCT/DK2007/000213 patent/WO2007124756A2/en active Application Filing
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5374231A (en) * | 1990-12-18 | 1994-12-20 | Erowa Ag | Automatically operable manufacturing and machining plant |
US5504801A (en) * | 1994-02-09 | 1996-04-02 | Harris Corporation | User-controlled electronic modification of operating system firmware resident in remote measurement unit for testing and conditioning of subscriber line circuits |
US6079016A (en) * | 1996-05-07 | 2000-06-20 | Samsung Electronics Co., Ltd. | Computer with multi booting function |
EP1271311A2 (en) * | 2001-06-30 | 2003-01-02 | Samsung Electronics Co., Ltd. | Upgrading networked device software |
Also Published As
Publication number | Publication date |
---|---|
US20090299493A1 (en) | 2009-12-03 |
EP2019979A2 (en) | 2009-02-04 |
WO2007124756A3 (en) | 2007-12-21 |
WO2007124756A2 (en) | 2007-11-08 |
CN101438216A (zh) | 2009-05-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20220329627A1 (en) | Tunneling for network deceptions | |
US10326796B1 (en) | Dynamic security mechanisms for mixed networks | |
US8997202B2 (en) | System for secure transfer of information from an industrial control system network | |
CN102224470B (zh) | 用于提供控制和自动化服务的系统和方法 | |
CN102293047B (zh) | 提供无线局域网作为服务的系统和方法 | |
CN103168458B (zh) | 用于防操纵的密钥管理的方法和装置 | |
CN101283539B (zh) | 网络安全设备 | |
Li et al. | SCADAWall: A CPI-enabled firewall model for SCADA security | |
CN103959712B (zh) | 大型防火墙集群中的定时管理 | |
CN110601889B (zh) | 实现安全反溯源深度加密受控网络链路资源调度管理的系统及方法 | |
CN101243670A (zh) | 计算机维护方法和系统 | |
US8351340B2 (en) | Method for detecting a proxy ARP agent in secure networks having embedded controllers | |
CN101438216B (zh) | 工厂的运行系统 | |
BR112012017305B1 (pt) | Processo para pelo menos um dentre o comando, monitoramento ou configuração de um sistema de automatização de uma instalação técnica | |
WO2017119916A1 (en) | Secure remote authentication | |
CN203271342U (zh) | 一种物联网密码锁 | |
CN103460669B (zh) | 用于现场设备数据通信的密码保护的方法和通信装置 | |
US20230087311A1 (en) | System and method for detection and prevention of cyber attacks at in-vehicle networks | |
CN109639658A (zh) | 用于电力二次系统运维的防火墙的数据传输方法及装置 | |
CN103713583B (zh) | 一种自动采集并配置授权信息的方法及装置 | |
EP3769554B1 (de) | Verfahren und system zur autorisierung der kommunikation eines netzwerkknotens | |
Kim | SCADA architecture with mobile remote components | |
CN105230058A (zh) | 用于控制蜂窝自组网中远程无线电设备的丢失和盗窃的技术 | |
CN102714661B (zh) | 用于对技术设备实施远程服务的系统 | |
CN105653975A (zh) | App运行控制方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120530 Termination date: 20150502 |
|
EXPY | Termination of patent right or utility model |