CN106462137A - 用于保障工业控制系统的系统和方法 - Google Patents
用于保障工业控制系统的系统和方法 Download PDFInfo
- Publication number
- CN106462137A CN106462137A CN201480070096.7A CN201480070096A CN106462137A CN 106462137 A CN106462137 A CN 106462137A CN 201480070096 A CN201480070096 A CN 201480070096A CN 106462137 A CN106462137 A CN 106462137A
- Authority
- CN
- China
- Prior art keywords
- module
- fpga
- control logic
- control
- dcs
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/05—Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
- G05B19/058—Safety, monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/76—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in application-specific integrated circuits [ASIC] or field-programmable devices, e.g. field-programmable gate arrays [FPGA] or programmable logic devices [PLD]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/10—Plc systems
- G05B2219/15—Plc structure of the system
- G05B2219/15057—FPGA field programmable gate array
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24161—Use of key, in key is stored access level
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/30—Nc systems
- G05B2219/34—Director, elements to supervisory
- G05B2219/34024—Fpga fieldprogrammable gate arrays
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Automation & Control Theory (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Mathematical Physics (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Programmable Controllers (AREA)
- Testing And Monitoring For Control Systems (AREA)
- Stored Programmes (AREA)
Abstract
本发明涉及用于保障工业过程的控制的系统和方法。本发明提供了一种用于控制工业过程的安全分布式控制系统。该系统包括多个现场设备、控制器模块、以及用于在现场设备和控制器模块之间交换信号的输入输出模块,所述控制器模块包括现场可编程门阵列(FPGA)模块和主处理器,所述现场可编程门阵列(FPGA)模块包括用于一个关键过程的控制逻辑,所述主处理器包括所有其它工业过程的控制逻辑。本发明还提供一种使用本发明的系统相对控制逻辑的修改来保障用于控制工业过程的分布式控制系统的方法。
Description
技术领域
本发明一般涉及工厂中工业过程的控制的系统和方法,并且更特别地涉及用于工业过程控制的保障系统和方法。
背景技术
在工业工厂中,控制系统被用来控制在工厂执行的大多数工业过程。通常情况下,工厂具有集中控制室,集中控制室具有DCS(分布式控制系统),其具有用户I/O、光盘I/O和其它外围设备。控制器耦接到控制系统网络。过程I/O子系统包括多个I/O端口,所述多个I/O端口在整个工厂中连接到各种现场设备。现场设备包括各种类型的分析装备、压力传感器、电容压力传感器、电阻温度检测器、电源开关、热电偶、限位开关、通/断开关、流量变送器、压力变送器、电容电平开关、称重秤、阀门定位器、阀门控制器、致动器、电磁阀和指示灯。如本文所使用的,术语“现场设备”包括这些设备,以及在分布式控制系统中执行功能并且在控制领域中已知的任何其它设备。
过程工业控制系统是指一种监测和控制系统,通常是工业系统或一组工业过程的监测和控制系统,其中分布式控制系统(DCS)可以利用控制器元件以监测和控制工业过程。控制器由将信息发送给操作员的工程站和DCS服务器支配,所述操作员经由位于工厂控制室内的操作员控制台监测并控制工业过程。单个DCS可以包含多个操作员控制台,其用于经由警报和可视数据通知人类操作员工业过程情况。如DCS和ESD(紧急停机系统)的多个控制系统可以通过过程控制通信网络连接。
工业控制系统(ICS)由企业LAN(企业控制网络)和控制系统LAN组成。企业工作站、商用服务器、Web服务器、企业数据库被归类到企业LAN。控制室工作站、DCS控制器、HMI(人机界面)、可以通过工业线缆/总线网络(Modbus、Profibus、Fieldbus等)链接以向领班台提供监测和控制的整条生产线和流程、以及工程工作站被归类为控制系统LAN。
DCS(分布式控制系统)用于控制工业工厂(诸如发电、石油和天然气精炼、化工、汽车生产以及其它各种行业)中的工业过程。DCS具有许多独特的特征,包括需要控制和数据的实时响应以及极高的可用性、可预测性和可靠性。因此,DCS的使用系统导致对人类健康和安全的最小风险、防止对环境的严重破坏、防止对国家经济以及执行关键作用以使关键基础设施免受常见的人为错误并使它们防范专有信息的妥协的能力产生负面影响的严重的生产中断或放缓。
DCS在各种行业中实现,以监测和控制工业过程中使用的分布式装备。DCS是用于控制连续的或面向批处理的制造过程的专用系统。DCS被连接到传感器和致动器,并使用设定点值控制来控制过程。该输入/输出设备(I/O)可以与控制器集成或远程定位。控制器的整个系统由用于通信和监控的网络连接。基于从远程站接收到的信息,自动或操作者驱动的监控命令可以推送到远程站控制设备,其通常被称为现场设备。现场设备控制本地操作,诸如阀门和断路器的打开和关闭,泵、马达和其它过程的启动和停止,从传感器系统收集数据,以及监测用于报警条件的局部环境。
DCS具有计算能力,并且除了比例-积分-微分(PID)控制之外通常可以执行逻辑和顺序控制。即使在ICS中存在可用的专用安全系统和网络,如ESD(紧急停机系统)。发电厂停产会导致巨大的经济损失。
数据传递到ICS和从ICS传递数据都必须对安全风险进行评估。USB存储驱动器或企业/ICS防火墙是有缺陷的防御。观察到,ICS感染的完全防止大概是不可能的,而且替代完全防止,行业必须创建一个安全架构,其能够保护ICS免受网络破坏。ICS或监控与数据采集(SCADA)系统是高度复杂和相互连接的,因而产生从外界到过程控制器的多个潜在途径。
企业控制网络是企业网络,它托管大多数商业用户、商业会计和规划系统,诸如企业资源规划(ERP)系统。微软网络安全和加速(ISA)服务器保护工厂区域免受WAN。它们还保护区域免受彼此之间的影响。安全域之间的所有通信量(traffic)都通过ISA服务器。每个ISA服务器托管了许多功能,诸如防火墙服务、网络地址转化、网络代理、病毒扫描和安全web服务器发布。所有ISA服务器都通过默认配置,以阻止源自受信度较低的网络(例如企业WAN)的连接。ISA服务器允许从受信度较低的网络上的客户端到外围网络中的所选服务器(诸如Web服务器)的连接(诸如Web服务连接)。
DCS设备和ERP系统通常使用未硬化的网络堆栈,最常用的操作系统是微软Windows操作系统。结果是,这样的系统可以容易受到病毒、蠕虫和木马损害。不管所安装的杀毒软件的质量,恶意软件(木马、病毒和蠕虫)可以从网上或任何其它方式在不经意间下载,并且这些可以在所有类型的便携式存储器设备上进行自我复制。
存在最近的示例,其示出了由于网络攻击和对用于工业过程的DCS上的控制逻辑的修改而导致的工厂操作故障。发生在2012年7月也被称为大停电的世界历史上最大的断电,使印度近7亿人(世界人口的10%以上)电力瘫痪,超过两天时间没有电,使沉重的经济成本受损。其原因被怀疑是刻意的人为中断或影响控制系统故障的任何其它因素或病毒、蠕虫和木马。
一个这种示例是震网(Stuxnet)蠕虫,一种设计为危害工业过程控制的计算机恶意软件。震网可以从外界迁移到假想分离和安全的工业控制系统(ICS)。其感染和传播到ICS中,并且足够强大以逃脱安全性技术和程序。它经由暴露到互联网的ERP网络或经由感染的可移动驱动器(诸如USB闪存驱动器和外置便携式硬盘),或经由局域网通信(诸如共享的网络驱动器和其它服务),以及感染的DCS/PLC控制逻辑文件传播。它经由多种网络途径快速传播、修改其行为以避免被可用的病毒检测技术检测、甚至对没有直接互联网连接的设备建立对等网络以传播命令和控制服务器。
它进一步修改编程逻辑,导致过程控制器发生故障,对诊断故障系统的控制工程师和系统管理员隐藏修改的控制逻辑程序。Windows操作系统和过程控制器受到这个恶意软件损害。一旦它检测到合适的目标,它就修改具体型号的控制系统中的控制逻辑。目标似乎是使用变频驱动控制逻辑破坏特定工业过程。这些蠕虫无法被是被和阻止,甚至是通过先进的网络安全性。
网络犯罪和对关键基础设施的电子攻击也正在上升。虽然远程破解一度需要相当数量的技能或计算机知识,但是黑客们现在可以从互联网上下载攻击脚本和协议,并发动它们攻击受害人的网站或系统。因此,虽然攻击工具已经变得越来越复杂,但它们也变得更容易使用。这也引起面对各种显著的国家安全威胁。震网入侵和西伯利亚管道项目的黑客行为是对工业控制系统的网络和电子攻击的几个典型示例。
基于上面的示例,这只是说DCS系统的当前基础设施没有保障免受损害,并可能导致工业工厂故障并在安全、金钱和环境危害方面造成巨大损失。鉴于该工业控制的系统和方法中固有的限制,需要一种以高效、快速、稳健、灵活、成本低、安全和环保的方式保障DCS的安全的DCS和方法。本发明满足这种需要,并提供如在以下发明内容中所描述的进一步优点。
发明内容
鉴于现有技术中固有的上述缺点,本发明的一般目的是提供一种改进的方便性和实用性组合,以包括现有技术的优点并克服其中所固有的缺点。
在一个方面,本发明提供了一种用于控制工业过程的安全分布式控制系统。该系统包括多个现场设备、控制器模块和用于在所述多个现场设备和控制器模块之间交换信号的输入输出模块,所述控制器模块包括现场可编程门阵列(FPGA)模块和主处理器,所述现场可编程门阵列(FPGA)模块包括用于至少一个关键工业过程的控制逻辑,主处理器包括除了关键过程之外的所有其它工业过程的控制逻辑。
在本发明的另一个方面,FPGA模块中的控制逻辑使用专用工具以硬件描述语言配置。
在本发明的又一个方面,以硬件描述语言的FPGA模块配置防止来自刻意人为中断,包括网络攻击、恶意软件、木马、病毒的脱机或者在线软件威胁,被感染的存储设备或它们的组合对控制逻辑的修改。
在另一个方面,本发明提供相对控制逻辑的修改而保障用于控制工业过程的分布式控制系统的方法。该方法包括提供包括多个现场设备、控制器模块和输入输出模块的DCS,识别至少一个关键过程,提供现场可编程门阵列(FPGA)模块,从控制器模块分离关键过程的控制逻辑以及通过在FPGA模块中写入至少一个关键过程的控制逻辑来配置FPGA模块,使得控制器模块包括FPGA模块和主处理器,其中所述FPGA模块包括用于关键过程的控制逻辑,所述主处理器包括除了关键过程之外的所有其它过程的控制逻辑。
这些与本发明的其它方面,连同表征本发明的各种新颖性特征被在本文所附且构成本公开的一部分的权利要求中特别指出。为更好地理解本发明、其操作优点和通过其使用所达到的具体目的,应参考其中例示本发明的示例性实施例的附图和说明书内容。
附图说明
结合附图,参照以下具体实施方式本发明的优点和特征将变得更好理解,其中:
图1例示了根据本发明的一个实施例的安全DCS的示意图;
图2例示了根据本发明的一个实施例的控制器模块的框图;
图3例示了根据本发明的一个实施例的保障DCS的方法的流程图;以及
图4例示根据本发明一个实施例,与ESD系统共同工作的本发明的系统的示意图。
贯穿附图的多个视图,类似附图标记指类似部件。
具体实施方式
在下面的描述中,出于解释的目的,许多具体细节被阐释以便提供本发明的透彻理解。然而,对本领域技术人员显而易见的是本发明可以在没有这些具体细节的情况下实践。
如本文所用的,术语“多个”是指存在所引用项目中的不止一个,并且术语“一”,“一个”,和“至少”不表示数量的限制,而是表示存在所引用项目中的至少一个。
术语“工业过程”或“过程”在本文中可以互换使用并且指的是传达相同含义。
在示例性实施例中,本发明提供用于保障工业控制系统的方法和系统。本发明系统和方法可以以简单、成本低、环保和有效的方式用于大规模实现。
要理解的是,除了下面具体描述的方法和系统,本发明的改进可用于任何数目的用于保障工业控制系统的方法和系统。这样的方法和系统将容易地被本领域技术人员理解,并且能够通过引起自身在本领域已知的各种改变而实现。
在本说明书中使用的商标,软件名称等是各自拥有者公司的财产,并且在此仅用于说明性目的。申请人不要求对这些条目的任何权利。
本文中参考“一个实施例”或“另一实施例”意味着与该实施例相连描述的特定的特征、结构、或特性可以被包括在本发明的至少一个实施例中。短语“在一个实施例中”在说明书中各个地方的出现不一定全部指相同实施例,单独或选择性实施例也不与其它实施例相互排斥。此外,代表本发明的一个或多个实施例的图表或过程流程图中的步骤的次序并不固有地指示任何特定的次序,也不意味着本发明中的任何限制。
参照图1示出根据本发明的一个实施例、用于控制工业过程的安全分布式控制系统10的示意图。该系统10包括多个现场设备12,现场设备12中的每个用于如下操作,所述操作包括启动和停止工业过程、从传感器采集数据、监测用于报警条件的工业过程参数,控制器模块14,以基于从多个现场设备12接收的数据,根据预设控制逻辑控制多个工业过程,并对过程条件和警报条件采取必要动作。控制器模块14包括现场可编程门阵列(FPGA)模块16和主处理器18,FPGA模块16包括用于多个工业过程中的至少一个关键工业过程的控制逻辑,主处理器18包括多个工业过程中除了关键过程之外的所有其它工业过程的控制逻辑。该系统还包括输入输出模块20,用于在多个现场设备12和控制器模块14之间交换信号。
现场设备12可以包括各种类型的分析装备、压力传感器、电容压力传感器、电阻温度检测器、电源开关、热电偶、限位开关、通/断开关、流量变送器、压力变送器、电容电平开关、称重秤、阀门定位器、阀门控制器、致动器、电磁阀和指示灯。如本文所使用的,术语“现场设备”包括这些设备,以及在分布式控制系统中执行功能且在控制领域中已知的任何其它设备。
控制器模块14从现场设备12接收过程参数的有关信号,并采取必要行动,以控制相应的工业过程。控制器模块14具有所有过程的控制逻辑的编程,所述过程关于什么是过程的正确操作参数、什么是所检测到参数的阈值、当参数存在变化时采取什么行动。控制器模块14经由输入输出模块20从现场设备12接收信号。输入输出模块20将由现场设备12收集的过程的不同参数的值传递给控制器模块14,并且也将控制器模块的命令传送给现场设备,用于采取必要行动。
本发明的系统100进一步包括操作员控制台(未示出),其允许操作者监测不同工业过程并给予控制过程的必要命令。
本发明的控制器模块14包括现场可编程门阵列(FPGA)模块16和主处理器18。常规的DCS控制器模块具有单处理器,其包括所有的多个工业过程的控制逻辑。然而,本发明的系统10提出了控制器模块14,其包括现场可编程门阵列(FPGA)模块16和主处理器18,所述现场可编程门阵列(FPGA)模块16包括用于选自多个工业过程的至少一个关键工业过程的控制逻辑,所述主处理器18包括多个工业过程中的除了关键过程之外的所有其它工业过程的控制逻辑。在本发明的其它实施例中,不止一个过程可以被识别为关键过程并且它们各自的控制逻辑可以被写入FPGA模块16中。
在本发明的一个实施例中,FPGA模块16中的控制逻辑被以硬件描述语言配置。FPGA模块仅能够使用专用工具配置,并且如果专用工具不可用则不能被配置。
FPGA(现场可编程门阵列)模块是设计成由客户或设计者配置的可编程集成电路。FPGA安全性特征在于软件和知识产权水平。FPGA是预制硅设备,其可以被电编程成为几乎任何种类的数字电路或系统。合成工具将码翻译成比特流,其被下载到FPGA的配置存储器中。通常,硬件描述语言(HDL)被用来配置设备。也有基于库的解决方案,其为特定设备进行了优化。
FPGA可同时并行操作。并行操作不仅使得更高的速度成为可能,而且消除了随计算机切换任务或上下文的需要。对于实时应用,计算机操作系统的主要功能是切换任务以处理中断和将计算机资源调度给程序中的各种任务。FPGA内的并行电路还产生用于信号处理应用的高效流水线行动。
HDL是配置FPGA最常用的方法。具有两种主导语言,VHDL和Verilog。Verilog本来是一种对硬件进行建模的C编程语言。FPGA具有大量资源的逻辑门和RAM块,以实现复杂的数字计算。
以硬件描述语言的FPGA模块配置防止来自刻意的人为中断,包括网络攻击、恶意软件、木马、病毒的脱机或者在线软件威胁,受感染的存储设备或它们的组合对控制逻辑的修改,从而相对于关键过程控制逻辑的任何修改保障系统10。受感染的存储设备可以是外部的或整体的存储设备,诸如被影响程序的任何控制逻辑感染的USB、存储器卡、硬盘或本领域中已知的任何这种存储设备。
控制逻辑的恶化或修改和对DCS的威胁可以是任何外部威胁或一些内部威胁。外部威胁可以来自互联网,ERP网络或连接到工厂网络的任何其它网络,任何受感染的大容量存储设备,如USB、外置硬盘驱动器或任何其它存储设备。外部的威胁可以为任意类型的恶意软件、病毒、木马、蠕虫、间谍软件、或控制网络的黑客行为的形式。
类似地,内部威胁可能是一些人为效应,如操纵过程控制中导致警报条件的人为错误。它可以是以在工厂运行、工厂维护或任何其它工厂条件期间的一些刻意的人为中断的形式。本发明的系统10防止相对外部和内部威胁的工业过程的控制逻辑的恶化或修改。
在本发明的又一实施例中,FPGA模块16是硬件组件,其使用通信总线接口至主处理器18和输入输出模块20。这使得系统10的实现非常容易。关键过程控制在FPGA模块16上实现,FPGA模块16在控制器模块级可以嵌入并存DCS中,并且有效地利用DCS中可用的相同输入\输出。因此,它避免了投入新的控制系统。
工业控制系统除了DCS还包括ESD(紧急停机系统),其在断开标称条件下激活并使设备停机。启动和生产无法实现,除非DCS系统在由于网络攻击而关闭后,被再次完全测试。完整的DCS的测试和调试是必需的。本发明的系统10减少工厂的复检和调试活动,因为测试和调试仅仅需要针对较少的关键过程完成。关键过程在FPGA中是安全的并受保护的,因此测试和调试仅仅需要针对剩下的不太关键的过程完成。这有利于在任何网络攻击情况下更快的工厂启动,而不是DCS的完整测试和调试,并且它也消除了经济和环境危害,并且提高了安全性。
参照例示了根据本发明的一个实施例的控制器模块14的框图的图2。控制器模块14包括FPGA模块16和主处理器18。FPGA模块16具有FPGA处理器单元,并且连接到存储单元、定时器单元和I/O单元。类似地,主控制器18具有经由数据总线连接的指示单元、寄存器单元、定时器单元、ALU、地址单元、存储器单元、整数单元、处理器单元和I/O单元。
图3例示了根据本发明的一个实施例,相对控制逻辑的修改,对用于控制工业过程的分布式控制系统进行保障的方法100的流程图。方法100从步骤110开始,提供分布式控制系统,其包括多个现场设备12、控制器模块14和输入输出模块20。现有技术中可用的常规DCS被提供,并在工厂中的过程的工业控制中实现。现场设备12收集有关过程参数的信息并经由I/O模块20将其提供给控制器模块14。控制器监测所有的信息,并基于控制器模块中的控制逻辑的编程和数据将必要命令提供给现场设备。DCS还可以包括在现有技术中可用的,在工业过程控制中使用的其它标准组件并且从而通过引用将其包括。
在步骤120中,工业工厂中的多个工业过程中的至少一个过程被识别为关键过程。这种识别可以基于经验,或者工厂所有者或设计师的选择。在本发明的另一个实施例中,多个过程可以被识别为关键过程。例如,在火力发电厂中,存在由不同组件(诸如锅炉、涡轮机、冷凝器、给水泵和堆栈)执行的不同操作。工厂工程师可能觉得锅炉操作对于工厂是至关重要的,然后将蒸汽在锅炉中的生成识别为关键过程。该工厂工程师还可能觉得给水泵也是一个关键组件,因此该过程也被识别为另一个关键过程,并且这里两个过程被识别为关键过程。
以用于具有炉、焦炭鼓、骤冷塔、分馏器和回流罐的炼油厂中的延迟焦化器单元的类似方式,操作者可以将焦炭鼓操作识别为关键,所以它在本发明方法中被作为关键过程使用。
接下来,在步骤130中,提供了现场可编程门阵列(FPGA)模块16。FPGA模块16是设计成由客户或设计者配置的可编程集成电路。
在步骤140中,所识别的关键过程的控制逻辑从控制器模块14分离。所识别的关键过程的控制逻辑的编程的部分被从控制器模块中去除。
接下来,在步骤150中,FPGA模块16通过在FPGA模块中写入关键过程的控制逻辑而被配置。对应于来自控制器模块的所识别的关键过程的编程的所去除部分被在FPGA模块中配置,使得控制器模块现在具有两个同时工作的组件;FPGA模块包括用于关键过程的控制逻辑并且主处理器18包括多个工业生产过程中的除了关键过程之外的所有其它过程的控制逻辑。I/O模块20对主控制器18和FPGA模块16两者公用,但FPGA模块16仅具有关键过程的控制逻辑。在前面描述的火力发电厂的实例中,即锅炉鼓电平的控制逻辑处于FPGA模块中并且热电厂的过程的其余部分则由主处理器控制。
在本方法的一个实施例中,FPGA模块通过以硬件描述语言写入控制逻辑来配置。在另一个实施例中,仅使用专用工具执行FPGA模块的配置。以硬件描述语言的FPGA模块的配置防止来自刻意的人为中断,包括网络攻击、恶意软件、木马、病毒的脱机或者在线软件威胁,受感染的存储设备或它们的任意组合对控制逻辑的修改。受感染的存储设备可以是外部的或整体的存储设备,诸如被影响程序的任何控制逻辑感染的本领域中已知的USB、存储器卡、硬盘或任何这样的存储设备。
设计盗窃与核电项目最相关,并且由于可编程逻辑的集成能力,克隆和逆向工程的潜力成为数量和品种日益增加的此类应用的关注点。类似地,设计师/供应商想要防止形成自己知识产权的,嵌入在他们系统中的产品或设计,被克隆或逆向工程。设计者/供应商还希望保护被发送到FPGA或从FPGA发送的数据流的完整性和保密性。用户关心的是防止设备的设计被复制、损坏、或以其它方式干扰。IP安全性是公司或IP开发者的主要关注,公司或IP开发者的竞争优势从实现复杂的专有权设计的能力得出。IP盗窃近几年显著增长,造成巨大的经济损失。使用硬件描述语言在FPGA模块中写入关键过程的控制逻辑也防止内容被模仿者(copycats)复制并防止设计和知识产权盗窃。FPGA仅能够使用专用工具配置,这使得它更难以被逆向工程和复制。
图4例示了根据本发明的一个实施例的、与ESD系统共同工作的本发明的系统的示意图。ESD系统具有分别连接到两个冗余中央处理单元(CPU)CPU1和CPU 2的主ESD网络和次级ESD网络。这些CPU执行其预定的功能,并与其各自的网络交互以将整个画面提供给连接到网络的其它系统。ESD系统进一步包括四个冗余I/O卡,以从现场设备接收信息和将CPU的命令发送到现场设备,从而控制现场组件工作。ESD系统被设计成在非常高优先级的报警情况和任何控制参数非常高的设定点值的情况下使工厂停机。如果ESD系统接收到与工业工厂中的任何一个组件或过程相关的非常高的报警信号或非常高的设定点值,则它发送跳闸命令,并且整个工厂被停止。
图4中所示的DCS是根据本发明的一个实施例的、安全DCS 10。该DCS10具有控制器模块14,控制其模块14具有FPGA16和主处理器18,其在这里被称为混合DCS。术语“混合DCS”在下文中也指本发明的系统10。如所示,它包括两个冗余CPU,混合CPU 1和混合CPU 2,它们分别连接到主DCS网络和次级DCS网络。在本发明一个实施例中,系统10可以包括四个可选的冗余输入/输出卡,用于从现场设备直接收集数据和独立收集数据给ESD系统的I/O卡。
DCS系统10用于工厂的标称操作并且不会使工厂停机。它针对低优先级警报和较低设定值运行。如果过程或组件中的任一示出了在DCS控制范围的参数值,则DCS控制发送关闭命令来操作所识别的过程或组件。较低的报警情况和较低的设定点不需要使整个工厂停机,并且仅仅关闭特定过成或设备,其它过程可以继续工作直到停止的过程或组件被修复。本发明的DCS系统10避免不安全的工厂操作以及这种情况下整个工厂的停机,从而防止网络攻击后由于工厂的复检和调试而招致的巨大损失。ESD和DCS系统从现场设备接收数据并且基于DCS和ESD系统逻辑将最终信号发送给现场组件。
FPGA具有多个优点,如:
-它们的高可靠性,
-高速,
-概念上简单实现,
-高度坚固和辐射硬化,其使得多个核反应堆利用FPGA实现安全性和缩减功能,
-更大的编程灵活性,
-更快的I/O响应时间和专业化功能,
-比数字信号处理器更多的计算能力,
-低功耗,
-实现较长时间的高水平控制。
因为上述优点,使用FPGA的本系统10和方法100可以找到用于核心过程控制系统的有用实现。FPGA和它们的关联软件工具的性能水平在现今已经足够先进,使得它们现在正被在大多数复杂数字控制系统的设计中考虑。
要注意的是,本发明的方法也可以实现为任何现有DCS中的步骤,或者可以以简单、成本低、环保和生产性方式被开发为新的独立DCS或任何软件的一部分。
在其它情况下,本文并不描述众所周知的方法、过程和步骤,以免模糊本发明的特定实施例。此外,本发明的实施例的各个方面可使用各种系统和方法进行。
尽管本发明的特定示例性实施例为了说明性的目的已经进行了详细公开,但本领域技术人员将认识到所公开发明的变化或修改(包括方法中的步骤的重排、步骤的变化、设备方面的差异)是可能的。因此,本发明旨在包含可以落入本发明的精神和范围内的所有这样的替代、修改和变化。
本发明的特定实施例的以上描述是出于说明和描述的目的被呈现。它们并不旨在穷举或将本发明限制于所公开的精确形式,并且显然,许多修改和变化在上述教导下是可能的。实施例被选择和说明,以便最好地解释本发明及其实际应用的原理,从而使本领域技术人员能够最好地利用具有适于预期的特定用途的各种修改的本发明和各种实施例。要理解的是,在不脱离本发明的权利要求的精神或范围的情况下,各种省略、等价替换都被看作是可以建议或呈现手段的详情,但旨在覆盖应用或实现。
Claims (9)
1.一种用于控制工业过程的安全分布式控制系统,所述系统包括:
-多个现场设备,现场设备中的每个被用于如下操作,所述操作包括启动和停止工业过程,从传感器收集数据,监测用于警报条件的工业过程参数;
-控制器模块,所述控制器模块用于基于从所述多个现场设备接收的数据,根据预设控制逻辑控制多个工业过程并对警报条件采取必要动作,所述控制器模块包括:
-现场可编程门阵列(FPGA)模块,包括用于所述多个工业过程中的至少一个关键工业过程的控制逻辑;以及
-主处理器,包括所述多个工业过程中的除了所述至少一个关键过程之外的所有其它工业过程的控制逻辑;以及
-输入输出模块,用于在所述多个现场设备和控制器模块之间交换信号。
2.根据权利要求1所述的系统,其中FPGA模块中的控制逻辑被以硬件描述语言配置。
3.根据权利要求1所述的系统,其中FPGA模块仅能够使用专用工具配置。
4.根据权利要求2所述的系统,其中以硬件描述语言的FPGA模块配置防止来自刻意的人为中断,包括网络攻击、恶意软件、木马、病毒的脱机或者在线软件威胁,被感染的存储设备或它们的组合对控制逻辑的修改。
5.根据权利要求1所述的系统,其中FPGA模块是硬件组件,所述硬件组件使用通信总线接口至主处理器和输入输出模块。
6.一种相对控制逻辑的修改而保障用于控制工业过程的分布式控制系统的方法,所述方法包括如下步骤:
-提供分布式控制系统,所述分布式控制系统包括多个现场设备、控制器模块和输入输出模块;
-从多个工业过程中识别至少一个关键过程;
-提供现场可编程门阵列(FPGA)模块;
-从控制器模块分离所述至少一个关键过程的控制逻辑;以及
-通过在FPGA模块中写入所述至少一个关键过程的控制逻辑来配置FPGA模块,使得控制器模块包括FPGA模块和主处理器,所述FPGA模块包括用于至少一个关键过程的控制逻辑,所述主处理器包括所述多个工业过程中的除了所述至少一个关键过程之外的所有其它过程的控制逻辑。
7.根据权利要求6所述的方法,其中通过以硬件描述语言写入控制逻辑来配置FPGA模块。
8.根据权利要求6所述的方法,其中仅使用专用工具执行FPGA模块的配置。
9.根据权利要求7所述的方法,其中以硬件描述语言的FPGA模块的配置防止来自刻意的人为中断,包括网络攻击、恶意软件、木马、病毒的脱机或者在线软件威胁,被感染的存储设备或它们的组合对控制逻辑的修改。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| IN5962/CHE/2013 | 2013-12-20 | ||
| IN5962CH2013 IN2013CH05962A (zh) | 2013-12-20 | 2014-12-18 | |
| PCT/IN2014/000783 WO2015092817A1 (en) | 2013-12-20 | 2014-12-18 | A system and method for securing an industrial control system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106462137A true CN106462137A (zh) | 2017-02-22 |
| CN106462137B CN106462137B (zh) | 2019-04-30 |
Family
ID=52577881
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480070096.7A Active CN106462137B (zh) | 2013-12-20 | 2014-12-18 | 用于保障工业控制系统的系统和方法 |
Country Status (6)
| Country | Link |
|---|---|
| EP (1) | EP3084535B1 (zh) |
| JP (2) | JP2017506377A (zh) |
| KR (1) | KR102251600B1 (zh) |
| CN (1) | CN106462137B (zh) |
| IN (1) | IN2013CH05962A (zh) |
| WO (1) | WO2015092817A1 (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107966968A (zh) * | 2017-11-23 | 2018-04-27 | 杭州和利时自动化有限公司 | 一种设备控制方法、系统及一种控制设备 |
| CN109144016A (zh) * | 2018-10-11 | 2019-01-04 | 常州信息职业技术学院 | 一种数据压缩下工业混杂传感网的感控系统与方法 |
| CN110663006A (zh) * | 2017-03-24 | 2020-01-07 | 西门子股份公司 | 工业可编程逻辑控制器的弹性故障转移 |
| CN111065827A (zh) * | 2017-08-15 | 2020-04-24 | Ksb股份有限公司 | 用于保护防止网络攻击时的气穴的方法和用于执行该方法的装置 |
| CN111522306A (zh) * | 2020-04-17 | 2020-08-11 | 盐城佳华塑料制品有限公司 | 一种智能控制的热合机生产机群 |
| CN113260930A (zh) * | 2018-12-31 | 2021-08-13 | Abb瑞士股份有限公司 | 用来生成用于执行工业过程的控制逻辑的方法和系统 |
| CN113885444A (zh) * | 2020-07-01 | 2022-01-04 | 霍尼韦尔国际公司 | 具有多层控制逻辑执行的工业控制系统 |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| IN2013CH05962A (zh) * | 2013-12-20 | 2015-06-26 | Infotech Entpr Ltd | |
| CN105187454B (zh) * | 2015-10-22 | 2018-05-08 | 华北电力大学 | 一种电力工程设计数据传输与安全防护方法 |
| JP6759572B2 (ja) * | 2015-12-15 | 2020-09-23 | 横河電機株式会社 | 統合生産システム |
| JP6693114B2 (ja) * | 2015-12-15 | 2020-05-13 | 横河電機株式会社 | 制御装置及び統合生産システム |
| US10417415B2 (en) | 2016-12-06 | 2019-09-17 | General Electric Company | Automated attack localization and detection |
| JP6847755B2 (ja) * | 2017-04-28 | 2021-03-24 | 三菱重工業株式会社 | プラントの監視制御装置 |
| US10551815B2 (en) * | 2017-09-13 | 2020-02-04 | Fisher-Rosemount Systems, Inc. | Systems and methods for enhanced modular controller port to port communication |
| CN112016781B (zh) * | 2020-04-27 | 2024-07-12 | 绿色动力环保集团股份有限公司 | 垃圾焚烧发电厂的生产运营小指标在线考评方法及系统 |
| CN112558531A (zh) * | 2020-12-29 | 2021-03-26 | 天津航天瑞莱科技有限公司 | 一种高温燃油试验台的智能控制系统 |
| JP2022157793A (ja) | 2021-03-31 | 2022-10-14 | 三菱重工業株式会社 | 制御システム、処理装置および制御方法 |
| US11790081B2 (en) | 2021-04-14 | 2023-10-17 | General Electric Company | Systems and methods for controlling an industrial asset in the presence of a cyber-attack |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002019064A2 (en) * | 2000-09-01 | 2002-03-07 | Conleth Buckley | Method and system for preventing unwanted alterations of data and programs stored in a computer system |
| WO2006131317A1 (de) * | 2005-06-07 | 2006-12-14 | Contec Steuerungstechnik & Automation Gmbh | Speicherprogrammierbare steuerung |
| WO2007094697A1 (en) * | 2006-02-10 | 2007-08-23 | Siemens Aktiengesellschaft | Security key with instructions |
| US20120310379A1 (en) * | 2010-02-12 | 2012-12-06 | Mitsubishi Electric Corporation | Programmable controller |
| CN202735877U (zh) * | 2012-05-17 | 2013-02-13 | 上海核工程研究设计院 | 基于fpga和dsp控制器的核电厂数字化控制棒控制系统 |
| CN102981431A (zh) * | 2012-11-15 | 2013-03-20 | 国核自仪系统工程有限公司 | 基于fpga的核电站多样性保护系统硬件架构 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5911778A (en) * | 1996-12-31 | 1999-06-15 | Sun Microsystems, Inc. | Processing system security |
| US6826434B1 (en) * | 1998-07-31 | 2004-11-30 | Soft Servo Systems, Inc. | Computerized numerical control for a servomechanism |
| JP2003186689A (ja) * | 2001-12-14 | 2003-07-04 | Glory Ltd | 貨幣処理機及び貨幣処理機におけるプログラム書換方法 |
| JP2004213183A (ja) * | 2002-12-27 | 2004-07-29 | Mazda Motor Corp | 制御用プログラムの作成支援プログラム、作成支援方法及び作成支援装置 |
| CA2523548C (en) * | 2003-05-23 | 2014-02-04 | Washington University | Intelligent data processing system and method using fpga devices |
| JP2005258996A (ja) * | 2004-03-15 | 2005-09-22 | Meidensha Corp | Fpgaのリモートメンテナンス方式 |
| US7149655B2 (en) * | 2004-06-18 | 2006-12-12 | General Electric Company | Methods and apparatus for safety controls in industrial processes |
| US7298170B2 (en) * | 2005-12-30 | 2007-11-20 | Honeywell International Inc. | Safety system based on reconfigurable array of logic gates |
| JP5689333B2 (ja) * | 2011-02-15 | 2015-03-25 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | 異常検知システム、異常検知装置、異常検知方法、プログラムおよび記録媒体 |
| IN2013CH05962A (zh) * | 2013-12-20 | 2015-06-26 | Infotech Entpr Ltd |
-
2014
- 2014-12-18 IN IN5962CH2013 patent/IN2013CH05962A/en unknown
- 2014-12-18 WO PCT/IN2014/000783 patent/WO2015092817A1/en active Application Filing
- 2014-12-18 KR KR1020167016206A patent/KR102251600B1/ko active IP Right Grant
- 2014-12-18 JP JP2016536705A patent/JP2017506377A/ja active Pending
- 2014-12-18 EP EP14838900.0A patent/EP3084535B1/en active Active
- 2014-12-18 CN CN201480070096.7A patent/CN106462137B/zh active Active
-
2020
- 2020-01-07 JP JP2020000937A patent/JP2020064670A/ja active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002019064A2 (en) * | 2000-09-01 | 2002-03-07 | Conleth Buckley | Method and system for preventing unwanted alterations of data and programs stored in a computer system |
| WO2006131317A1 (de) * | 2005-06-07 | 2006-12-14 | Contec Steuerungstechnik & Automation Gmbh | Speicherprogrammierbare steuerung |
| WO2007094697A1 (en) * | 2006-02-10 | 2007-08-23 | Siemens Aktiengesellschaft | Security key with instructions |
| US20120310379A1 (en) * | 2010-02-12 | 2012-12-06 | Mitsubishi Electric Corporation | Programmable controller |
| CN202735877U (zh) * | 2012-05-17 | 2013-02-13 | 上海核工程研究设计院 | 基于fpga和dsp控制器的核电厂数字化控制棒控制系统 |
| CN102981431A (zh) * | 2012-11-15 | 2013-03-20 | 国核自仪系统工程有限公司 | 基于fpga的核电站多样性保护系统硬件架构 |
Non-Patent Citations (3)
| Title |
|---|
| 冯健: "基于ARM的嵌入式数控系统硬件平台设计", 《中国优秀硕士学位论文全文数据库》 * |
| 杜慧敏,李宥谋,赵全良: "《基于Verilog的FPGA设计基础》", 28 February 2006 * |
| 田耘,徐文波: "《Xilinx FPGA开发实用教程》", 30 November 2008 * |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110663006A (zh) * | 2017-03-24 | 2020-01-07 | 西门子股份公司 | 工业可编程逻辑控制器的弹性故障转移 |
| CN111065827A (zh) * | 2017-08-15 | 2020-04-24 | Ksb股份有限公司 | 用于保护防止网络攻击时的气穴的方法和用于执行该方法的装置 |
| US11475129B2 (en) | 2017-08-15 | 2022-10-18 | KSB SE & Co. KGaA | Method for the protection against cavitation in cyber attacks and unit for carrying out the method |
| CN107966968A (zh) * | 2017-11-23 | 2018-04-27 | 杭州和利时自动化有限公司 | 一种设备控制方法、系统及一种控制设备 |
| CN109144016A (zh) * | 2018-10-11 | 2019-01-04 | 常州信息职业技术学院 | 一种数据压缩下工业混杂传感网的感控系统与方法 |
| CN113260930A (zh) * | 2018-12-31 | 2021-08-13 | Abb瑞士股份有限公司 | 用来生成用于执行工业过程的控制逻辑的方法和系统 |
| CN111522306A (zh) * | 2020-04-17 | 2020-08-11 | 盐城佳华塑料制品有限公司 | 一种智能控制的热合机生产机群 |
| CN113885444A (zh) * | 2020-07-01 | 2022-01-04 | 霍尼韦尔国际公司 | 具有多层控制逻辑执行的工业控制系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106462137B (zh) | 2019-04-30 |
| KR102251600B1 (ko) | 2021-05-12 |
| IN2013CH05962A (zh) | 2015-06-26 |
| JP2020064670A (ja) | 2020-04-23 |
| JP2017506377A (ja) | 2017-03-02 |
| KR20160138374A (ko) | 2016-12-05 |
| EP3084535B1 (en) | 2019-01-16 |
| EP3084535A1 (en) | 2016-10-26 |
| WO2015092817A1 (en) | 2015-06-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106462137B (zh) | 用于保障工业控制系统的系统和方法 | |
| US11689544B2 (en) | Intrusion detection via semantic fuzzing and message provenance | |
| Kesler | The vulnerability of nuclear facilities to cyber attack; strategic insights: Spring 2010 | |
| Liu et al. | Intruders in the grid | |
| McParland et al. | Monitoring security of networked control systems: It's the physics | |
| Kargl et al. | Insights on the security and dependability of industrial control systems | |
| US9245147B1 (en) | State machine reference monitor for information system security | |
| US11886158B2 (en) | System architecture and method of processing data therein | |
| Wang et al. | Cyber inference system for substation anomalies against alter-and-hide attacks | |
| Ayodeji et al. | Cyber security in the nuclear industry: A closer look at digital control systems, networks and human factors | |
| Ferencz et al. | Review of industry 4.0 security challenges | |
| Peng et al. | Cyber-physical attack-oriented Industrial Control Systems (ICS) modeling, analysis and experiment environment | |
| CN114625074A (zh) | 一种用于火电机组dcs系统的安全防护系统及方法 | |
| EP3926429A1 (en) | Control system | |
| Teixeira et al. | Cyber-secure and resilient architectures for industrial control systems | |
| Allison et al. | PLC-based cyber-attack detection: A last line of defence | |
| Choi et al. | Vendor-independent monitoring on programmable logic controller status for ICS security log management | |
| EP2819053A1 (en) | Diagnosing a device in an automation and control system | |
| Sawada | Model-based cybersecurity for control systems: Modeling, design and control | |
| Mesbah et al. | Cyber threats and policies for industrial control systems | |
| Mansfield-Devine | A process of defence–securing industrial control systems | |
| Kun | Deep Security Analysis of DCS for Ship's Nuclear Power System based on Improved DEMATEL | |
| Wright et al. | A case study assessing the effects of cyber attacks on a river zonal dispatcher | |
| Campbell et al. | Industrial Control Systems | |
| Werth et al. | A digital twin internal to a PLC to detect malicious commands and ladder logic that potentially cause safety violations |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |