CN116360300A - 工业功能安全系统、方法及介质 - Google Patents

工业功能安全系统、方法及介质 Download PDF

Info

Publication number
CN116360300A
CN116360300A CN202211506054.6A CN202211506054A CN116360300A CN 116360300 A CN116360300 A CN 116360300A CN 202211506054 A CN202211506054 A CN 202211506054A CN 116360300 A CN116360300 A CN 116360300A
Authority
CN
China
Prior art keywords
security
employee
identity
level
industrial
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211506054.6A
Other languages
English (en)
Inventor
史蒂文·塞德利茨
詹姆斯·格罗斯克罗伊茨
彭小波
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Rockwell Automation Technologies Inc
Original Assignee
Rockwell Automation Technologies Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Rockwell Automation Technologies Inc filed Critical Rockwell Automation Technologies Inc
Publication of CN116360300A publication Critical patent/CN116360300A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
    • G06Q50/10Services
    • G06Q50/26Government or public services
    • G06Q50/265Personal security, identity or safety
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/10Office automation; Time management
    • G06Q10/105Human resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24024Safety, surveillance

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Human Resources & Organizations (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Tourism & Hospitality (AREA)
  • Strategic Management (AREA)
  • Marketing (AREA)
  • General Business, Economics & Management (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Economics (AREA)
  • Technology Law (AREA)
  • Multimedia (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Primary Health Care (AREA)
  • Quality & Reliability (AREA)
  • Health & Medical Sciences (AREA)
  • Operations Research (AREA)
  • Educational Administration (AREA)
  • Development Economics (AREA)
  • Data Mining & Analysis (AREA)
  • Automation & Control Theory (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本公开涉及工业功能安全系统、方法及介质。工业安全架构将员工身份和企业级安全策略集成到工厂车间功能安全系统中,从而允许工厂车间上的控制和安全系统基于用户身份或角色来监管与危险受控机械的安全交互。该架构利用在工业企业的公司级上维护的现有员工身份和安保策略数据来管理工厂级上的基于身份和/或角色的控制和安全。工业企业的公司级和工厂级两者处的安全权限系统从公司级系统获得员工和安保策略数据,并将该数据以SIL评级的方式提供给工厂车间上的工业控制和安全系统,其中,身份和安保策略信息由功能安全系统用于根据用户身份、角色、证书或其他资格来控制对工业系统的访问。

Description

工业功能安全系统、方法及介质
技术领域
本文中公开的主题一般地涉及工业自动化系统,并且更具体地涉及工业功能安全系统。更特别地,本公开涉及将软件编码处理用于安全/安保应用以对于检索认证凭证而言实现SIL评级完整性。
背景技术
在工厂设施内的工业控制级,工业自动化系统——包括一个或更多个工业控制器、相关联的工业设备以及这些监测和控制设备操作的机械——通常包括相关联的安全系统,这样的相关联的安全系统监测潜在的不安全场景,并响应于检测到潜在危险状况将自动化系统转变到安全状态。这些安全系统可以包括若干安全输入设备,这些安全输入设备被设计成检测人何时侵入危险机器附近的受保护区域内。这样的安全输入设备可以包括例如光幕、光电眼、安全垫、光学安全传感器或能够检测运行机器的受保护区域或受保护部分内存在人的其他这样的设备。安全输入设备可以由安全继电器或安全控制器监测,该安全继电器或安全控制器可以响应于在机器操作时检测到安全输入设备中的一个或更多个检测到在受保护区域内存在人,而断开机器的电力——或者以其他方式将机器置于安全状态(例如,缓慢操作状态)。
工业安全标准要求这些安全系统根据为被保护的自动化系统限定的最低安全完整性级别(SIL)以最低可靠性级别或高于最低可靠性级别来执行。工业安全系统的最低SIL要求规定,安全系统必须能够以至少限定的最小精确度和可重复性可靠地检测人的存在,并且即使安全系统的一个或更多个设备经历故障也必须确保危险减轻。
虽然常规的工业安全系统可以可靠地减轻由于人类侵入危险机器内或附近的受保护区域内而引起的危险,但是这些系统对所有侵入启动相同的安全响应,而不管检测到的人员的身份或角色如何。也就是说,工业安全系统通常未被设计成在确定是否启动安全对策(例如,断开电力、将受保护的自动化系统置于安全操作状态等)时或在确定应该采取何种形式的安全对策时考虑被检测到人员的身份。这些安全系统也未被设计成在制定安全响应时考虑特定于角色或身份的安保策略。
发明内容
下面给出了简要的概述,以提供对本文中描述的一些方面的基本理解。该概述既非广泛的综述,也不旨在标识关键/重要元素或划定本文中描述的各个方面的范围。它的唯一目的是以简化的形式呈现一些概念作为稍后呈现的更详细描述的前序。
在一个或更多个实施方式中,提供了一种系统,该系统包括:身份提供者接口部件,其被配置成接收从公司级员工信息系统获得的身份记录,其中,该身份记录至少限定工业企业的员工的身份和员工的角色,并且经由利用软件编码处理的通信协议从公司级员工信息系统接收身份记录;注册部件,其被配置成将身份记录注册为用户凭证记录,该用户凭证记录限定被授予员工的对自动化系统的访问程度;安全令牌部件,其被配置成响应于有关员工正在尝试与自动化系统交互的指示,生成安保令牌,该安保令牌使与自动化系统相关联的工业设备实施由用户凭证记录限定的对自动化系统的访问程度;以及设备接口部件,其被配置成将安保令牌发送至工业设备。
此外,一个或更多个实施方式提供了一种方法,该方法包括:由包括处理器的安全权限系统接收从公司级员工信息系统检索的身份记录,其中,身份记录至少限定工业企业的员工的身份以及员工的角色,并且所述接收包括经由利用软件编码处理的通信协议接收身份记录;响应于所述接收,由安全权限系统基于身份记录来生成用户凭证记录,其中,用户凭证记录限定被授予员工的与自动化系统的允许交互级别;响应于有关员工正在尝试与自动化系统交互的指示,由安全权限系统生成安保令牌,该安保令牌使与自动化系统相关联的工业设备实施由用户凭证记录限定的允许交互级别;以及由安全权限系统将安保令牌发送至工业设备。
此外,根据一个或更多个实施方式,提供了一种非暂态计算机可读介质,在该非暂态计算机可读介质上存储有指令,所述指令响应于被执行,使系统执行操作,所述操作包括:接收从公司级人力资源系统获得的身份记录,其中,该身份记录至少限定工业企业的员工的身份以及员工的角色,并且所述接收包括经由利用软件编码处理的通信信道接收身份记录;响应于所述接收,基于身份记录来生成用户凭证记录,其中,用户凭证记录限定了被授予员工的与自动化系统的交互程度;响应接收到有关员工正在请求与自动化系统交互的指示,生成安保令牌,该安保令牌使自动化系统实施由用户凭证记录限定的交互程度;以及将安保令牌发送至工业设备。
为了实现上述及有关目的,在本文中结合以下描述和附图对某些示意性方面进行了描述。这些方面指示可以实践的各种方式,所有这些方式均旨在被涵盖在本文中。当结合附图考虑时,根据下面的详细描述,其他优点和新颖特征可以变得明显。
附图说明
图1是示例工业控制环境的框图。
图2是描绘工业企业的标准域和安全域的典型划分的图。
图3a是示出在工厂车间上维护员工和安保策略数据的安全权限设备的安装的图。
图3b是示出工厂车间上的工业控制和安全系统与公司系统的集成的图。
图4是示例企业级安全权限(SA)系统的框图。
图5是示例工厂级安全权限(SA)系统的框图。
图6是支持集成安全的示例工业控制器的框图。
图7是添加企业级SA系统和工厂级SA系统以用于身份和安保策略与工业控制的集成的示例工业环境的框图。
图8是示出由企业级SA系统和工厂级SA系统的实施方式实现以促进将身份和安保策略集成到工厂车间控制和安全中的广义数据流的高级概览的图。
图9是示出由企业级SA系统从公司级系统获取员工和安保策略数据的图。
图10是示出由企业级SA系统对员工数据和安保数据的处理以产生身份记录的图。
图11是可以由身份管理部件基于员工数据和/或安保数据生成的示例身份记录。
图12a是示出身份记录从企业级SA系统到工厂级SA系统的递送的图。
图12b是示出其中使用SEP将身份记录以高级别的安全完整性从企业级SA系统发送至工厂级SA系统的示例通信流的图。
图13是示出由工厂级SA系统对身份记录执行的处理的图。
图14是示出用于识别用户尝试与工业自动化系统交互并由工厂级SA系统基于用户的凭证来供应安保令牌的示例过程的图。
图15是示出由工厂级SA系统对身份请求的处理的图。
图16是示出根据用户特定的安全令牌来实施基于身份或基于角色的安全的图。
图17是示出由工业控制器基于从工厂级SA授权机构接收到的安保令牌来实施基于角色的安保的图。
图18是示出基于身份的安全系统在包括多个地理上不同的工厂设施和公司总部设施的工业企业架构内的集成的图。
图19是用于处理来自工业企业的公司级系统的员工记录和安保策略数据以用在企业的工厂级上的功能安全系统中的示例方法的流程图。
图20是用于将从工业企业的企业或公司级接收的员工身份和安保策略信息登记在工厂级安保权限系统中以用于管理工厂车间上的基于身份或基于角色的功能安全的示例方法的流程图。
图21是用于处理从工业设备接收到的身份请求的示例方法的流程图。
图22是用于由工业设备实施基于角色或身份的功能安全的示例方法的流程图。
图23是示例计算环境。
图24是示例联网环境。
具体实施方式
现在参照附图描述本主题公开内容,其中,贯穿全文使用相似的附图标记指代相似的元素。在以下描述中,出于说明的目的,阐述了许多具体细节以提供对本主题公开内容的透彻理解。然而,会明显的是,可以在没有这些具体细节的情况下实践本主题公开内容。在其他实例中,以框图的形式示出了公知的结构和设备以有助于对本主题公开内容的描述。
如在本申请中使用的,术语“部件”、“系统”、“平台”、“层”、“控制器”、“终端”、“站”、“节点”、“接口”旨在指代计算机相关实体、或与具有一个或更多个特定功能的操作装置相关的或作为该操作装置的一部分的实体,其中,这样的实体可以是硬件、硬件和软件的组合、软件、或执行中的软件。例如,部件可以是但不限于:在处理器上运行的进程、处理器、硬盘驱动器、包括附接(例如,螺丝拧紧或螺栓固定)或可移除附接的固态存储驱动器的(光存储介质或磁存储介质的)多个存储驱动器;对象;可执行体;执行的线程;计算机可执行程序和/或计算机。通过说明的方式,在服务器上运行的应用和服务器二者均可以是部件。一个或更多个部件可以驻留在执行的进程和/或线程内,并且部件可以位于一个计算机上以及/或者分布在两个或更多个计算机(包括基于云的计算系统)之间。此外,如本文所描述的部件可以从其上存储有各种数据结构的各种计算机可读存储介质来执行。部件可以经由本地和/或远程进程例如根据具有一个或更多个数据包的信号(例如,来自经由信号与本地系统、分布式系统中的另一部件和/或跨网络例如因特网与其他系统交互的一个部件的数据)进行通信。作为另一示例,部件可以是具有由被电气或电子电路操作的机械部件提供的特定功能的装置,该电气或电子电路由处理器执行的软件或固件应用来操作,其中处理器可以在该装置的内部或外部并且执行软件或固件应用的至少一部分。作为又一示例,部件可以是通过电子部件在没有机械部件的情况下提供特定功能的装置,电子部件可以在其中包括处理器以执行至少部分地提供电子部件的功能的软件或固件。作为再一示例,接口可以包括输入/输出(I/O)部件以及相关联的处理器、应用或应用编程接口(API)部件。虽然前述示例针对部件的各方面,但是举例说明的方面或特征也可以适用于系统、平台、接口、层、控制器、终端等。
本文中所使用的术语“作出推断(to infer)”和“推断(inference)”一般是指根据经由事件和/或数据捕获的一组观察结果来推理或推断系统、环境和/或用户的状态的过程。例如,可以采用推断来识别特定的上下文或动作,或者可以生成关于状态的概率分布。推断可以是概率性的,即,基于对数据和事件的考虑来计算关于感兴趣的状态的概率分布。推断还可以指代用于根据一组事件和/或数据构成较高级别的事件的技术。这样的推断导致从一组观察到的事件和/或所存储的事件数据构造出新事件或动作,而不管这些事件在时间接近性上是否紧密相关,也不管事件和数据是否来自一个或若干个事件和数据源。
此外,术语“或”旨在表示包含性的“或”而不是排他性的“或”。也就是说,除非另有说明或者根据上下文清楚得知,否则短语“X采用A或B”旨在意指任何自然的包含性排列。也就是说,以下实例中的任何实例满足短语“X采用A或B”:X采用A;X采用B;或X采用A和B两者。此外,除非另有说明或根据上下文清楚得知本申请和所附权利要求书中使用的无量词修饰名词涉及单数形式,否则该无量词修饰名词通常应当被解释为意指“一个或更多个”。
此外,文中中采用使的术语“集合”排除空集,例如其中没有元素的集合。因此,本主题公开内容中的“集合”包括一个或更多个元素或实体。作为说明,控制器的集合包括一个或更多个控制器;数据资源的集合包括一个或更多个数据资源等;同样地,本文中所用的术语“组”是指一个或更多个实体的集合;例如,一组节点是指一个或更多个节点。
将根据可以包括多个设备、部件、模块等的系统来呈现各个方面(aspect)或特征。应当理解并且认识到,各种系统可以包括附加的设备、部件、模块等,以及/或者可以不包括结合附图讨论的所有设备、部件、模块等。还可以使用这些手段的组合。
工业控制器、其相关联的I/O设备、马达驱动器和其他这样的工业设备对现代自动化系统的操作很重要。工业控制器与工厂车间(plant floor)的现场设备进行交互,以控制与诸如产品制造、材料处置、批量处理、监督控制以及其他这样的应用等的目标有关的自动化过程。工业控制器存储和执行用户限定的控制程序,以实现与受控过程有关的决策。这样的程序可以包括但不限于:梯形逻辑、顺序功能图、功能框图、结构化文本、C++、Python、Javascript或其他这样的平台。
图1是示例工业环境100的框图。在该示例中,将若干工业控制器118部署在整个工业工厂环境中,以监测和控制与产品制造、加工、运动控制、批处理、材料处理或其他这样的工业功能相关的相应工业系统或过程。工业控制器118通常执行各种控制程序以利于对组成受控工业资产或自动化系统(例如,工业机器)的工业设备120进行监测和控制。一个或更多个工业控制器118还可以包括在个人计算机、刀片式服务器或另一硬件平台或云平台上执行的软控制器。一些混合设备还可以将控制器功能与其他功能(例如,可视化)进行组合。由工业控制器118执行的控制程序可以包括用于处理从工业设备120读取的输入信号以及控制由工业控制器118生成的输出信号的任何可想到的类型的代码,包括但不限于梯形逻辑、顺序功能图、功能框图、结构化文本、C++、Python、Javascript等。
工业设备120可以包括输入设备、输出设备或者用作输入设备和输出设备两者的设备,输入设备向工业控制器118提供与受控工业系统相关的数据,输出设备对由工业控制器118生成的控制信号做出响应以控制工业系统的各方面。示例输入设备可以包括遥测设备(例如,温度传感器、流量计、物位传感器、压力传感器等)、手动操作者控制设备(例如按钮、选择器开关等)、安全监测设备(例如,安全垫、安全拉绳、光幕等)以及其他这样的设备。输出设备可以包括马达驱动器、气动致动器、信号设备(例如,堆叠灯(stack light)或其他发光指示器、喇叭、消息显示板等)、机器人控制输入、阀门等。诸如工业设备120M的一些工业设备可以在不受工业控制器118控制的情况下在工厂网络116上自主地操作。
工业控制器118可以通过硬连线连接或者通过有线或无线网络与工业设备120通信地对接。例如,工业控制器118可以配备有与工业设备120进行通信以实现对设备的控制的本地硬连线输入端和输出端。本地控制器I/O可以包括:向现场设备发送离散电压信号以及从现场设备接收离散电压信号的数字I/O,或者向设备发送模拟电压或电流信号以及从设备接收模拟电压或电流信号的模拟I/O。控制器I/O可以通过背板(backplane)与控制器的处理器进行通信,使得数字信号和模拟信号可以被读入控制程序并由控制程序控制。工业控制器118还可以使用例如通信模块或集成的联网端口通过工厂网络116与工业设备120进行通信。示例性网络可以包括因特网、内联网、以太网、以太网/IP(EtherNet/IP)、设备网(DeviceNet)、控制网(ControlNet)、数据高速公路和数据高速公路+(DH/DH+)、远程I/O、现场总线(Fieldbus)、网络通讯协议(Modbus)、过程现场总线(Profibus)、无线网络、串行协议等。工业控制器118还可以存储可以由控制程序引用并且用于控制决策的持久数据值,其包括但不限于:表示受控机器或过程的操作状态的测量或计算的值(例如,储罐物位、位置、警报等),或者在自动化系统的操作期间收集的捕获的时间序列数据(例如,多个时间点的状态信息、诊断发生等)。类似地,一些智能设备——包括但不限于马达驱动器、器械或状况监测模块——可以存储用于控制操作状态和/或使操作状态可视化的数据值。这样的设备还可以捕获日志上的时间序列数据或事件以用于后续检索和查看。
工业自动化系统通常包括一个或更多个人机接口(HMI)114,其允许工厂人员查看与自动化系统相关联的遥测数据和状态数据并且控制系统操作的一些方面。HMI 114可以通过工厂网络116与工业控制器118中的一个或更多个进行通信,并且与工业控制器交换数据以利于在一个或更多个预开发的操作者接口画面上对与受控工业过程相关的信息进行可视化。HMI 114还可以被配置成允许操作者将数据提交至工业控制器118的存储器地址或指定的数据标签,从而为操作者提供向受控系统发布命令(例如,循环开启命令、设备致动命令等)、修改设定点值等的手段。HMI114可以生成一个或更多个显示画面,操作者通过该一个或更多个显示画面与工业控制器118交互,并且从而与受控过程和/或系统交互。示例显示画面可以使用显示计量或计算的值的过程的图形表示来使工业系统或其相关联设备的当前状态可视化,采用基于状态的颜色或位置动画,呈现警报通知或者采用其他这样的技术以向操作者展现相关数据。以这种方式呈现的数据由HMI 114从工业控制器118读取,并且根据由HMI开发者选择的显示格式被呈现在显示画面中的一个或更多个上。HMI可以包括固定位置设备或移动设备,其具有用户安装或预先安装的操作系统以及用户安装或预先安装的图形应用软件。
一些工业环境还可以包括与受控工业系统的特定方面相关的其他系统或设备。这些系统或设备可以包括例如一个或更多个数据历史库(data historian)110,所述数据历史库110聚合和存储从工业控制器118和其他工业设备收集的生产信息。
工业设备120、工业控制器118、HMI 114、相关联的受控工业资产、以及其他工厂车间系统例如数据历史库110、视觉系统以及其他这样的系统在工业环境的运营技术(OT)级上操作。更高级别的分析和报告系统可以在信息技术(IT)域中的工业环境的更高企业级处操作;例如,在办公网络108(其可以直接或经由防火墙设备102连接至工厂网络116)上或在云平台上操作。这样的更高级的系统可以包括例如企业资源计划(ERP)系统,所述ERP系统集成并总体地管理高级业务操作,例如财务、销售、订单管理、营销、人力资源或其他这样的业务功能。作为另一示例IT级系统,鉴于更高级的业务考虑,制造执行系统(MES)可以监测和管理控制级上的控制操作。也可以驻留在IT级上的报告系统可以从工厂车间上的工业设备收集操作数据,并生成总结受控工业资产的操作统计的每日或轮班报告。
工业企业或业务还可以在IT级上操作公司级系统。这样的公司级系统可以包括人力资源(HR)系统104,在该HR系统104上以电子方式存储和维护员工记录。示例HR系统104可以包括一个或更多个服务器或数据库,或者可以在安全云平台上执行。由这样的HR系统104维护的示例员工记录可以包括如下信息:员工姓名;居住地址;聘用日期;当前的雇佣状态;员工工作的部门、设施或地点;期间预期员工在现场(on-premises)的当前的工作班次;员工的分类或角色(例如,操作员、工程师、管理者、财务主管、副总裁等);由员工持有的培训记录或证书;或其他这样的员工特定信息。企业使用这样的HR系统104来跟踪劳动力、管理工资单、维护员工邮件列表、生成报告或用于其他目的。
一些工业企业还可以维护限定和实施企业范围安保策略的安保服务系统106。类似于HR系统104,安保服务系统106可以在一个或更多个服务器上或在云平台上操作。安保服务系统106可以用作公司级安保权限部,并且在一些情况下可以与HR系统104集成以为企业限定和实施访问安保策略;例如,为构成工业企业的建筑物限定访问策略。这样的系统106可以为企业的每个建筑物限定在HR系统104中限定的哪些员工被允许访问该建筑物。安保服务系统106还可以与建筑物的访问控制系统对接以根据限定的安保策略选择性地锁定或解锁建筑物的门。在这点上,安保服务系统106可以控制访问控制系统,使得给定建筑物的门仅在与门相关联的员工识别系统(例如,徽章读取器、生物特征扫描仪等)接收到与按照限定的安保策略被允许进入该建筑物的员工对应的经认证的员工识别信息的情况下才解锁。
一些安保服务系统106还可以例如,通过充当管理对公司网络(例如,办公网络108)的访问的证书授权机构来管理IT级网络安保。
返回至工厂设施内的工业控制级,工业自动化系统——包括一个或更多个工业控制器118、相关联的工业设备120以及这些监测和控制设备操作的机械——通常包括相关联的安全系统,这样的相关联的安全系统监测潜在的不安全场景,并响应于检测到潜在危险状况将自动化系统转变到安全状态。这些安全系统可以包括若干安全输入设备,这些安全输入设备被设计成检测人何时侵入危险机器附近的受保护区域内。这样的安全输入设备可以包括例如光幕、光电眼、安全垫、光学安全传感器或能够检测运行机器的受保护区域或受保护部分内存在人的其他这样的设备。安全输入设备可以由安全继电器或安全控制器监测,该安全继电器或安全控制器可以响应于在机器操作时检测到安全输入设备中的一个或更多个检测到在受保护区域内存在人,而断开机器的电力——或者以其他方式将机器置于安全状态(例如,缓慢操作状态)。
工业安全标准要求这些安全系统根据为被保护的自动化系统限定的最低安全完整性级别(SIL)以最低可靠性级别或高于最低可靠性级别来执行。工业安全系统的最低SIL要求规定,安全系统必须能够以至少限定的最小精确度和可重复性可靠地检测人的存在,并且即使安全系统的一个或更多个设备经历故障也必须确保危险减轻。
虽然常规的工业安全系统可以可靠地减轻由于人类侵入危险机器内或附近的受保护区域内而引起的危险,但是这些系统对所有侵入启动相同的安全响应,而不管检测到的人员的身份或角色如何。也就是说,工业安全系统通常未被设计成在确定是否启动安全对策(例如,断开电力、将受保护的自动化系统置于安全操作状态等)时或在确定应该采取何种形式的安全对策时考虑被检测到人员的身份。这些安全系统也未被设计成在制定安全响应时考虑特定于角色或身份的安保策略。
将基于用户身份和角色的安全策略与工业控制和安全系统操作集成可以以多种方式提高自动化系统的性能。例如,工业自动化系统可以实施对某些受保护的危险区域或控制功能的基于角色的访问,使得允许第一角色的员工(例如维护人员)启动对其他角色的员工(例如,操作员)禁止的某些机器功能。这可以减少在经授权的维护人员正在对运行系统执行这些人员有资格安全执行的维护活动时的假脱断(false trip)的情况(例如,由安全系统不必要地启动安全动作)。
基于角色的安保策略还可以通过将某些控制或配置动作的性能(例如,机器开启/停止、控制或安全变量或设定点的改变、安全功能的重置等)限制到基于身份或角色的经授权人员的有限子集来提高系统安全性。在另一示例场景中,支持基于角色的安保的工业安全系统可以允许经授权人员的第一子集在相关联自动化系统运行时物理访问某些危险区域,同时禁止其他人员在系统运行时进入这些区域;例如,通过在安全系统检测到受保护区域内有未经授权的人员的情况下,启动将机器置于安全状态的安全操作,而在安全系统检测到受保护区域内存在经授权的人员的情况下,允许机器继续正常操作。
一般地,将身份识别和安保策略集成到工业控制域中可以产生功能上安全的控制系统,该功能上安全的控制系统灵活且敏捷,并且根据与这些系统交互的人员的身份或角色定制他们的行为。
图2是描绘工业企业的标准域和安全域的典型划分的图。一般地,可以将标准域视为工业业务的公司或企业级别,包括在公司总部的IT环境中(或在可从公司总部经由网络122访问的云平台上)操作的系统和网络。由于人力资源和安保服务通常在企业的公司总部处处理,因此分别维护员工数据206和安保数据204的人力资源系统104和安保服务系统106在标准(公司)域中操作。安全域包括在工厂车间上操作的工业自动化和安全系统,工厂车间与公司总部在同一建筑物中,或者在相对于公司总部远程定位的分开的工厂设施中。通常,标准域与安全域之间存在明确的划界,因为工业自动化和安全是在工厂车间级处处理的,而公司级不与制造操作交互。
如上所述,将身份识别和安保策略集成到控制和安全域中可以在安全、工厂级安保和机器正常运行时间方面产生益处。然而,虽然许多工业业务在公司级处利用用户身份和安保策略来实现诸如建筑物访问、劳动力跟踪等的功能(如以上讨论的),但即使考虑到用户身份和角色可能在工业控制领域(考虑到安全影响)至少与在人力资源和建筑安保方面一样重要,工厂车间(安全域)上的工业自动化系统通常也不在其操作中考虑用户身份或安全策略。
为了使自动化系统(包括其相关联的安全系统)利用如上所提议的用户身份和安保策略,工业控制系统必须能够访问员工身份信息和相关联的安保策略数据。实现这一点的一种方法(图3a中所示)是在工厂车间(在安全域中)安装维护员工和安保策略数据304的安全权限设备302。然后,存储在安全权限设备302上的身份和安保策略数据304可以根据需要被提供给自动化系统。由于员工和安保策略数据304将仅在控制域中被维护,因此该信息可以被保持并以安全完整性传递至工业控制系统。然而,即使安全权限设备302将存储与存储在那些公司级系统上的信息类似的信息,但在这样的安全权限设备302上维护的员工和安保数据304将也不得不与公司级系统104和106分开更新和管理。这将需要冗余的管理工作来确保工厂车间权限设备302上的员工数据与公司记录保持同步,并且如果设备302没有定期更新以反映在公司系统上进行的员工记录的改变,则可能会导致安全间隙。
减轻该问题的另一种方法是将工业控制和安全系统与公司系统104和106集成,从而允许将在公司系统104和106中维护的现有员工数据206和安保数据204提供给工厂车间上的控制和安全系统,如图3b所示。然而,虽然这种架构使身份和安保策略数据的集中管理成为可能,但公司级系统104和106通常未被设计成满足适用于功能安全系统的安全要求(例如,由IEC 61508-2和61508-3规定的安全要求)。因此,工厂车间的自动化系统不能以这种方式直接与公司级系统对接,因为公司级系统上缺乏安全完整性可能导致自动化系统的操作不安全。
由于目前没有办法将基于企业级员工身份数据的用户认证与功能安全的工业自动化系统集成,因此这些自动化系统无法关于做出安全决策来考虑用户的身份、角色、培训水平或其他属性。
为了解决这些和其他问题,本文中描述的一个或更多个实施方式提供了用于将安保身份和策略与工业控制和安全集成的系统。本文中描述的系统的实施方式可以利用在工业企业的公司级上维护的现有员工身份和安保策略数据来管理工厂级上的基于身份和/或角色的控制和安全。在一个或更多个实施方式中,驻留在工业企业的公司级和工厂级的安全权限系统可以协作以从公司级系统(例如,人力资源和安保服务系统)检索员工身份和安保策略数据并以SIL评级(SIL-rated)的方式将该信息发送至工厂级,从而允许将该数据用作基于角色或身份的机器控制和安全的基础。基于用户角色对工厂车间的功能安全进行监管,可以允许工业安全系统在保持符合SIL安全标准的同时,行使用户特定或角色特定的灵活性程度。此外,由于本文中描述的工业安全架构关于对工厂车间上的基于角色的安保的管理来利用现有的公司级员工身份信息,因此员工身份和安保策略可以容易地集成到工厂车间(plant floor)上的功能安全中,其中公司级系统用作员工身份信息的唯一源发者。
图4是根据本公开内容的一个或更多个实施方式的示例企业级安全权限(SA)系统402的框图。本公开内容中说明的系统、装置或过程的各方面可以构成机器可执行部件,该机器可执行部件包含在机器内,例如包含在与一个或更多个机器相关联的一个或更多个计算机可读介质中。这样的部件在由一个或更多个机器例如计算机、计算设备、自动化设备、虚拟机等执行时可以使机器执行所描述的操作。
企业级SA系统402可以包括公司接口部件404、身份管理部件406、安全权限接口部件408、用户接口部件410、一个或更多个处理器420和存储器422。在各种实施方式中,公司接口部件404、身份管理部件406、安全权限接口部件408、用户接口部件410、一个或更多个处理器420和存储器422中的一个或更多个可以彼此电耦接和/或通信地耦接以执行企业级SA系统402的一个或更多个功能。在一些实施方式中,部件404、406、408和410可以包括存储在存储器422上并由处理器420执行的软件指令。企业级SA系统402还可以与图4中未描绘的其他硬件和/或软件部件进行交互。例如,处理器420可以与诸如键盘、鼠标、显示监视器、触摸屏的一个或更多个外部用户接口设备或其他这样的接口设备交互。
公司接口部件404可以被配置成与诸如人力资源系统104或安保服务系统106的一个或更多个公司级系统通信地对接,并且从这些系统检索员工和安保策略信息。身份管理部件406可以被配置成处理员工和安保策略信息——例如,通过过滤或聚合信息——并将经处理的员工和安保策略信息作为身份记录424存储在存储器422上。安全权限接口部件408可以被配置成与工厂级安全权限系统(将在下面描述)通信地对接并且将身份记录424发送至工厂级安全权限系统。在一些实施方式中,为了确保将身份记录424以高级别安全完整性发送至工厂级安全权限系统或其他控制级设备,安全权限接口部件408可以使用软件编码处理技术来将记录424发送至工厂车间设备。
用户接口部件410可以被配置成在企业级SA系统402与具有访问系统402的授权的客户端设备之间交换信息。在一些实施方式中,用户接口部件410可以被配置成生成接口显示并且将其递送至客户端设备,该接口显示允许用户限定要由身份管理部件406执行的处理,限定用于将企业级SA系统402与工厂级SA系统对接的通信设置,限定员工数据过滤标准,或设置系统402的其他配置设置。
一个或更多个处理器420可以执行本文中参考所公开的系统和/或方法所描述的功能中的一个或更多个功能。存储器422可以为计算机可读存储介质,该计算机可读存储介质存储用于执行本文中参照所公开的系统和/或方法描述的功能的计算机可执行指令和/或信息。
图5是根据本公开内容的一个或更多个实施方式的示例工厂级安全权限(SA)系统502的框图。工厂级SA系统502可以包括身份提供者接口部件504、注册部件506、安保令牌部件508、设备接口部件510、用户接口部件512、一个或更多个处理器520以及存储器522。在各种实施方式中,身份提供者接口部件504、注册部件506、安保令牌部件508、设备接口部件510、用户接口部件512、一个或更多个处理器520以及存储器522中的一个或更多个可以彼此电耦接和/或通信地耦接以执行工厂级SA系统502的一个或更多个功能。在一些实施方式中,部件504、506、508、510和512可以包括存储在存储器522上并由处理器520执行的软件指令。工厂级SA系统502还可以与图5中未描绘的其他硬件和/或软件组件进行交互。例如,处理器520可以与诸如键盘、鼠标、显示监视器、触摸屏的一个或更多个外部用户接口设备或其他这样的接口设备交互。在一些实施方式中,工厂级SA系统502可以用作嵌入另外的设备的逻辑实体,另外的设备包括但不限于边缘设备、工业控制器或HMI终端。
身份提供者接口部件504可以被配置成将工厂级SA系统502与驻留在工业企业的公司级或云平台中的企业级SA系统402通信地对接。注册部件506可以被配置成基于从企业级SA系统402接收到的身份记录424向系统502注册员工识别信息并且将注册的信息存储为用户凭证记录526。
安保令牌部件508可以被配置成响应于来自自动化系统的对用户凭证的请求,生成身份或角色特定的安保令牌以递送至工业自动化系统。安保令牌在允许用户执行或启动的机器功能、允许用户访问而不会使自动化系统启动安全响应的区域等方面,限定了被授予与自动化系统交互的给定用户的访问范围。在一些实施方式中,还可以部分地基于在工厂级SA系统502上限定和存储的安保策略数据524来生成安保令牌。设备接口部件510可以被配置成将工厂级SA系统502与一个或更多个自动化系统的一个或更多个工业设备通信地对接,从而允许系统502从工业设备接收对安保令牌的请求并且将安保令牌递送至这些设备。
用户接口部件512可以被配置成在工厂级SA系统502与具有访问系统502的授权的客户端设备之间交换信息。在一些实施方式中,用户接口部件512可以被配置成生成接口显示并且将其递送至客户端设备,该接口显示允许经授权的管理员批准或拒绝身份注册请求、限定工厂级安全策略数据524或执行其他管理功能。
一个或更多个处理器520可以执行本文中参考所公开的系统和/或方法所描述的功能中的一个或更多个功能。存储器522可以为计算机可读存储介质,该计算机可读存储介质存储用于执行本文中参照所公开的系统和/或方法描述的功能的计算机可执行指令和/或信息。
图6是根据本公开内容的一个或更多个实施方式的支持集成安全(integratedsafety)的示例工业控制器602的框图。尽管在图6中描绘和本文中描述的工业设备被假设为工业控制器,例如PLC或另外类型的控制器,但结合图6描述的基于身份的安全部件中的一些或所有基于身份的安全部件也可以以作为工业自动化系统或相关联安全系统的一部分操作的其他类型的监测和/或控制设备来实现,包括但不限于安全继电器或安全控制器、马达驱动器、HMI终端、视觉系统、工业光学扫描仪或其他这样的设备或系统。
工业控制器602可以包括安全权限接口部件604、用户识别部件606、安全实施部件608、联网部件610、程序执行部件612、I/O控制部件614、一个或更多个处理器620以及存储器622。在各种实施方式中,安全权限接口部件、用户识别部件606、安全实施部件608、联网部件610、程序执行部件612、I/O控制部件614、一个或更多个处理器620以及存储器622中的一个或更多个可以彼此电耦接和/或通信地耦接以执行工业控制器602的一个或更多个功能。在一些实施方式中,部件604、606、608、610、612和614可以包括存储在存储器622上并且由处理器620执行的软件指令。工业控制器602还可以与图6中未描绘的其他硬件和/或软件部件进行交互。例如,处理器620可以与诸如键盘、鼠标、显示监视器、触摸屏的一个或更多个外部用户接口设备或其他这样的接口设备交互。
安全权限接口部件604可以被配置成与工厂级SA系统502通信地对接以促进工业控制器602与SA系统502之间的数据交换。这种数据交换可以包括例如将用户身份信息从工业设备发送至SA系统502以及身份特定安保令牌624的接收。用户识别部件606可以被配置成接收经认证的用户身份信息,该经认证的用户身份信息唯一地标识尝试与自动化系统(工业控制器602是该自动化系统的部件)交互的用户。在一些实现方式中,该用户身份信息可以从专用识别设备被接收,并且可以包括例如用户名称和密码组合、从用户携带的徽章读取的数据(例如,射频识别标签、磁条等)、生物特征数据、存储在用户携带的个人设备(例如,通用串行总线设备)上的数据或其他合适的识别数据。
安全实施部件608可以被配置成以与从工厂级SA系统502接收并存储在存储器622上的安保令牌624所允许的访问范围一致的方式控制工业控制器602的操作。这可以例如包括:允许或拒绝由用户尝试的与自动化系统有关的请求动作,例如启动机器操作模式、修改控制变量或配置设置、访问受保护的安全区域而不使安全系统启动安全动作、或其他这样的动作。
联网部件610可以被配置成:使用任何合适的网络协议通过有线网络或无线网络与一个或更多个外部设备交换数据。程序执行部件612可以被配置成编译并执行用户限定的控制程序626或可执行的解释代码。在各种实施方式中,控制程序626可以以任何合适的编程格式(例如,梯形逻辑、顺序功能图、结构化文本、C++、Python、Javascript等)编写并下载到工业设备602。通常,控制程序626使用由工业设备的模拟和数字输入端读取的数据值作为输入变量,或使用经由联网部件610接收的数据值,并部分地基于输入值根据控制程序指令来设置工业设备的模拟和数字输出端的值(或设置联网输出端的值)。在一些场景中,安全实施部件608可以基于由安保令牌624允许的用户特定访问范围来限制由控制程序626限定的一个或更多个例程的执行。
I/O控制部件614可以被配置成:根据控制程序输出来控制工业设备的数字电输出和模拟电输出的电输出信号,并且将工业设备的模拟输入和数字输入端上的电信号转换成可以由程序执行部件612处理的数据值。
一个或更多个处理器620可以执行本文中参考所公开的系统和/或方法所描述的功能中的一个或更多个功能。存储器622可以为计算机可读存储介质,该计算机可读存储介质存储用于执行本文中参照所公开的系统和/或方法描述的功能的计算机可执行指令和/或信息。
图7是图1中描绘的示例工业环境100的框图,其中,将企业级SA系统402和工厂级SA系统502添加到用于将身份和安保策略与工业控制集成的架构。在该示例架构中,企业级SA系统402驻留在工业企业的企业级或公司级上,并通过办公网络108联网到人力资源系统104和安保服务系统106。然而,在一些架构中,企业级SA系统402、人力资源系统104或安保服务系统106中的一个或更多个可以在可经由网络122访问的云平台上作为基于云的服务来执行。
在工厂车间,工厂级SA系统502已安装在工厂网络116上,从而允许工厂级SA系统502通过网络116与工业控制器602(例如工业控制器602a和602b)通信。在所示的示例中,数据可以经由防火墙设备102a在工厂网络116与办公网络108之间路由,从而允许企业级SA系统402和工厂级SA系统502跨网络(以及在图7未描绘的任何介于中间的网络)进行通信。根据工业企业的布局,企业级可能与控制级驻留在同一设施内。也就是说,公司总部及其相关联的公司级系统——包括人力资源系统104和安保服务系统106——可以驻留在控制系统操作的同一工厂设施的区域内并在该区域内操作。替选地,公司总部可以驻留在远离工厂设施的单独设施中。在这样的场景中,工厂级SA系统502可以被配置成通过经由防火墙102a可安全访问的公共网络(例如因特网)与企业级SA系统402通信。
图8是示出了由企业级SA系统402和工厂级SA系统502的实施方式实现的用于有助于将身份和安保策略集成到工厂车间控制和安全中的通用数据流的高级概览的图。该图描绘了SA系统402和502将现有公司级员工和安保策略数据与工厂车间上的控制和安全系统集成的通用架构。通常,企业级SA系统402和工厂级SA系统502用作集成系统的两个主要元件,它们在标准域与安全域之间架起桥梁,以将身份和安保策略集成到控制和安全级中,同时提供工厂级自动化系统所需的必要隔离和可配置性。
在公司级(例如,在工业企业的公司总部),企业级SA系统402可以访问分别存储在人力资源系统104和安保服务系统106上的员工记录804和/或安保策略数据806,并且将该信息转换成每个员工的身份记录424。图9是示出企业级SA系统402从公司级系统获取员工和安保策略数据的图。在一些实施方式中,企业级SA系统402可以是与人力资源和安保服务基础设施一起安装在企业级的经认证的服务器或另一类型的计算设备,从而使得系统402能够监测并且从那些公司级系统检索相关数据。
如上所述,人力资源系统104可以存储标识由工业企业雇用的个人的员工数据206,并且包括关于每个员工的其他相关信息。该员工数据206通常由与工业企业的制造或自动化侧没有直接关联的人力资源人员管理。然而,企业级SA系统402可以利用包含在员工数据206中的信息以及包含在安保数据204中的相关安保信息,来识别被批准在不同程度上与工厂车间上的自动化系统进行交互的员工。因此,企业级SA系统402可以被配置成监测人力资源系统104和安保服务系统106以获得员工记录或安保策略的更新或者添加新记录,并且根据需要检索员工数据206和安保数据204的相关子集,以创建要在SA系统402上维护的SIL评级安全数据库中存储的身份记录424。
图10是示出根据一个或更多个实施方式的由企业级SA系统402对员工数据206和安保数据204进行处理以产生身份记录424的图。由人力资源维护的员工数据206的记录可以包括每个员工的大量信息,其中一些可能与工厂车间控制和安全无关。在人力资源系统104上维护的员工特定信息可以包括:例如员工的姓名、地址、雇用状态(例如,在职、退休、解雇等)、聘用日期、角色(例如,操作员、工程师、维护、会计、副总裁等)、员工工作的部门或设施、员工被分配的班次、关于员工的正式培训或证书的信息、员工所属的工作组、记录的访问和离开的时间、或其他这样的信息。针对每个员工保持什么类型的信息的细节可以根据工业企业使用的特定人力资源系统104以及企业的安保要求而变化。
如上所述,安保服务系统106可以用作企业的安保策略授权机构,并且因此安保数据204可以限定要由相关联的建筑物安保系统实施的公司级安保策略。示例安保策略可以针对组成企业的各个建筑物或建筑物区域来限定哪些员工被允许访问该建筑物或区域。在一些企业架构中,安保服务系统106可以关于对这些安保策略的限定和实施来访问存储在人力资源系统104上的员工数据206。员工数据206和安保数据204常规地仅用于人力资源和建筑物安保目的,并且通常不在工业自动化和功能安全系统的上下文内使用。
企业级SA系统402的企业接口部件404可以从人力资源系统104导入员工数据206。从公司角度看的员工数据206可以包含每个员工的大量信息。在许多情况下,对于自动化和安全的目的而言,仅关注该可用员工信息的子集。因此,公司接口部件404可以被配置成:对于每个员工,仅检索可用于每个员工的被认为与工厂车间上的功能安全考虑相关的数据项的子集(例如,图10中描绘的员工数据的粗体项),并且将该组预先过滤的员工数据206传递至身份管理部件406以处理成身份记录424。替选地,公司接口部件404可以检索员工数据206的每个记录的全部,并且身份管理部件406可以过滤员工数据以仅保留与功能安全相关的员工信息。该减少或过滤的员工数据集可以简化随后的安全处理。在其他实施方式中,该过滤可以由工厂级SA系统502稍后在过程中执行。在一些实施方式中,可以由安全管理员(例如,经由系统的用户接口部件410)来限定用于选择员工数据的适当子集的过滤标准。
如果安保数据204也是可用的,则公司接口部件404可以检索被认为与工厂车间安全相关的该安保数据204的全部或选定子集。例如,安保策略可以限定仅属于某个限定的组或部门的员工被允许进入给定设施或安全区域。如果自动化系统在该设施内操作,则可以假设不被允许访问该设施的员工也将被拒绝访问该自动化系统。因此,身份管理部件406可以将该信息作为安全限制记录在这些员工的相关身份记录424中。
基于员工数据206和安保数据204,身份管理部件为每个单独员工或为员工组生成身份记录424,并且将这些身份记录存储在存储器422中。图11是根据一个或更多个实施方式的可以由身份管理部件406基于员工数据206和/或安保数据204生成的示例身份记录424。每个身份记录424可以包括若干数据字段和相关联的值。图11中描绘的示例记录424包括以下字段:员工姓名、员工工作的设施(例如,“工厂B”)、用户被分配到的在设施内的机器(例如,“机器4”)、雇用状态(例如,“在职”、“退休”、“失能”、“度假”等)、预期用户在设施处会处于的工作班次以及员工的分类(例如,“维护”、“操作员”、“工程师”、“人力资源”、“会计”等)。根据员工的分类,还可以包括附加的分类专用字段以进一步阐明员工在该分类内的角色或资格,包括但不限于员工已经受过培训的类别(例如,“工厂车间”、“维护”、“机器安全”等)、员工所属的组(例如,“D组”)或者员工在分类内的角色或级别(例如,“角色4”)。
公司接口部件404、身份管理部件406和存储器422一起用作SIL评级安全数据库,以用于根据IEC 61508-2和IEC 61508-3规定的工业安全要求或其他流行的工业安全标准来存储身份记录424。例如,为了实现必要的SIL评级,企业级SA系统402的一些实施方式可以被配置成使用冗余或不同的通道来从相关公司系统104和106读取员工数据206和安保数据204,从而确保由系统402维护的身份记录424以足够高级别的可靠性与公司记录保持同步。为了进一步确保足够高的SIL评级,身份管理部件406可以被配置成将身份记录424的复本存储在两个或更多个冗余存储器位置中,从而确保一个位置处的身份记录424的丢失不会造成对应的身份和安保策略数据丢失。在一些这样的实施方式中,身份管理部件406还可以执行记录证实例程,该例程在任何对应的冗余记录不匹配的情况下,确定身份记录424版本中的哪些版本准确地反映了存储在公司系统上的信息。
此外,在一些实施方式中,身份管理部件406可以被配置成(经由公司接口部件404)周期性地将存储在系统402上的身份记录424与存储在公司系统104和106上的对应源数据进行比较,并且响应于检测到身份记录424与其公司侧的源信息之间的差异,来更新身份记录424以反映对员工数据206或安保数据204做出的任何改变。在一些实施方式中,身份记录424中包含的信息与其源数据之间的检测到的差异可以使身份管理部件406将检测到的差异记录在审核日志中,并且在一些实施方式中,将差异通知发布给经授权管理员。
SA系统402还可以采用强错误检测技术(例如,强校验和例程),使得可靠地检测和校正所存储的身份记录424中的错误。此外,身份管理部件的一些实施方式可以被配置成将唯一的SIL评级数字签名应用于每个身份记录424,以验证包含在记录424中的信息的真实性。这可以防止将伪造的身份信息引入系统402并且防止用于破坏工厂车间上基于身份的安全协议。在这样的实施方式中,对应的工厂级SA系统502(将在下面更详细地描述)可以被配置成仅在记录424包括真实数字签名的情况下才在控制级侧注册身份记录424。
此外,为了进一步确保足够的安全完整性级别,企业级SA系统402的一些实施方式可以被配置成在允许将身份记录424登记在存储器422中之前要求经授权安全管理员对每个新的身份记录424进行审查和批准。在这种情况下允许登记之前,系统402的这些实施方式可以被配置成首先验证批准新记录424的管理员不是在公司系统104和106中创建或修改原始记录的同一个人,从而针对身份记录424的创建和登记实施两级批准和审查过程。
返回至图8的系统概览,企业级SA系统402用作在公司级(标准域)上起源的经证实的身份和策略数据的SIL评级源,并且因此可以用作到控制级(安全域)的SIL兼容网关,以用于将该信息递送至工厂车间。为了完成标准域与安全域之间的链接,企业级SA系统402通信地连接至工厂级SA系统502,该工厂级SA系统502驻留在工业自动化系统在其中运行的工业设施的工厂车间上。
图12a是示出身份记录424从企业级SA系统402递送至工厂级SA系统502的图。基于包含在身份记录424中的身份和/或安保信息,工厂级SA系统502用作工厂设施内的本地安全授权机构,以用于基于身份或基于安保的安全。为此,企业级SA系统402的安全权限接口部件408可以通过SIL评级通信链路(例如,使用黑通道原理(black channel principle))与工厂级SA系统502的身份提供者接口部件504通信。当将新的身份记录424添加至企业级SA系统402时,或者当更新身份记录424时,企业级SA系统402(经由安全权限接口部件408)将更新的身份记录424发送至工厂级SA系统502,以用于本地存储和处理。以这种方式,将在企业或公司级上对员工信息进行的改变或添加注册在工厂级SA系统502中,使得可以关于工厂车间上的功能安全决策来使用该信息。
在一些实施方式中,可以将工厂级SA系统502实施为安装在工厂车间上的控制柜内的工业硬件的专用SIL评级单元。替选地,可以将工厂级SA系统502实现为在工厂设施内的IT硬件上运行的安全权限应用。在任一类型的实现方式中,SA系统402和SA系统502可以经由两个系统之间的任何中间网络进行通信,该中间网络可以包括工厂网络116、办公网络108和/或诸如因特网或云平台的公共网络。
由于企业级SA系统402与工厂级SA系统502(或工厂车间上的另一安全设备)之间的通信链路表示IT级安保和OT级安全的汇聚(convergence),因此应当使用确保高级别的安全完整性的协议(例如,SIL3评级通信)将身份记录424传送至工厂级SA系统502,使得可靠地检测和处理用于发送身份记录424的通信代码中的执行错误。然而,在一些实现方式中,企业级SA系统402可以在不具有专用安全硬件的基于云的系统或IT级服务器上进行实现,因为IT级设备通常不需要符合OT级设备的更严格的安全完整性要求。为了解决该问题并且有助于以高级别的安全完整性将身份记录424从企业(IT)级传送至控制(OT)级,安全权限接口部件408的一些实施方式可以被配置成使用软件编码处理(SEP)来以高安全级别将身份记录424发送至工厂级SA系统502(或者诸如安全控制器的另一控制级设备),即使将非安全硬件(例如,商业现货供应或COTS计算机硬件)用于实现企业级SA系统402也如此。
通常,SEP可以实现独立于企业级SA系统402在其上操作的硬件的基于软件的故障检测的水平。根据示例实现方式,企业级SA系统402的安全权限接口部件408可以执行用于将身份记录424传送至工厂级SA系统502的初级传输(Tx)通信代码1202以及Tx通信代码1204的算术编码版本。通信代码的两个版本——初级传输通信代码和编码版本——可以向工厂级SA系统502发送身份记录424的冗余版本,并且可以通过由身份提供者接口部件504执行的接收(Rx)通信代码1206来将这些冗余版本相互验证。
图12b是示出示例通信流的图,其中SEP用于以高级别的安全完整性将身份记录424从企业级SA系统402发送至工厂级SA系统502。对于给定的身份记录424,代码1202和1204的每个版本对身份记录424的版本进行处理以产生身份记录数据包1208,身份记录数据包1208可以经由中间网络(例如,办公网络108、工厂网络116、因特网等)传输至工厂级SA系统502。Tx通信代码的初级版本1202接收原始身份记录424作为输入,而Tx通信代码的编码版本1204接收身份记录424的适当编码版本作为输入。使用用于对Tx通信代码的编码版本1204进行编码的算术编码来对经编码的身份记录424b进行编码。
可以使用任何合适类型的编码来生成Tx通信代码的编码版本1204。在示例算术编码方法中,可以使用质数来缩放初级Tx通信代码1202的操作数和运算符,以产生传输通信代码的编码版本1204。在不脱离一个或更多个实施方式的范围的情况下,也可以使用其他类型的编码来生成经编码的通信代码1204。用于创建经编码的通信代码1204的同一类型的编码也适用于身份记录424a以获得经编码的身份记录424b。
通信代码1202和经编码通信代码1204分别处理身份记录424a和经编码的身份记录424b,以生成将通过中间网络发送至工厂级SA系统502的身份记录数据包1208。初级通信代码1202生成身份记录包1208a,而经编码通信代码1204生成经编码身份记录包1208b。企业级SA系统402将这些包1208a和1208b发送至工厂级SA系统502,以用于证实并且转换回身份记录424。在一些实施方式中,可以在冗余时间段中发送或者可以使用分开的核和通信信道基本上同时发送两组包1208a和1208b。
在接收到包1208a和1208b时,由工厂级SA系统502执行的接收通信代码1206可以通过以下操作来验证无差错地执行了Tx通信代码1202:比较两组包1208a和1208b(或两组包1208a和1208b的选定属性),并且在比较的结果满足限定标准的情况下证实无差错执行。根据示例验证技术,如果使用缩放因子对经编码通信代码1204进行了算术缩放,则接收通信代码1206可以将包含在编码包1208b中的值按相同的缩放因子进行缩小,并且确定所得到的值是否等于它们在初级包1208a中的对应值。
根据另一示例方法,不是将初级包1208a和编码包1208b两者发送至工厂级SA系统502,而是企业级SA系统402可以计算编码包1208b的校验和并且将该校验和与初级包1208一起发送,而不将编码包1208b自身发送至工厂级SA系统502。在接收到编码包1208b的校验和以及初级包1208a时,接收通信代码1206可以使用用于获得编码包1208b的校验和的相同校验和计算方法来计算初级包1208a的校验和,并且验证接收到的编码包1208b的校验和是所计算的初级包1208a的校验和的与用于对编码通信代码1206进行编码的缩放因子相等的倍数大。其他类型的SEP验证技术——其可以取决于用于获得编码通信代码1206的编码技术——也在一个或更多个实施方式的范围内。例如,在一些实施方式中,可以根据经编码包的内容计算或推断其他信息(而不是校验和),并且将这些其他信息用于验证无差错传输。
如果由接收通信代码1206应用的证实技术基于初级身份记录包1208a和经编码的身份记录包1208b的比较而验证通信代码1202的无差错执行,则工厂级SA系统502可以转换初级身份记录包1208a以获得身份记录424。否则,如果两组包1208a的比较结果不满足证实(validation)标准,则工厂级SA系统502可以生成错误通知,并且将不接受或注册转换后的身份记录424。
使用SEP作为故障检测机制可以确保身份记录424从企业级SA系统402到工厂级SA系统502或其他控制级设备的安全评级通信,即使企业级SA系统402在非安全评级COTS硬件上实现也如此。在一些实施方式中,对于企业级SA系统402与工厂级SA系统502之间的通信信道,使用SEP可以产生SIL3或更高的安全评级。为了进一步提高身份记录通信的安全完整性,可以由安全读卡器或其他类似的输入设备来监测未由软件编码解决的诸如超时之类的定时相关故障。
如上所述,身份记录424包括从公司级系统获得的被认为与控制级(安全域)上的功能安全考虑相关的员工和安保信息,包括:员工身份、他们的角色、培训、企业级安保特权(例如,建筑物或区域访问特权)等。工厂级SA系统502可以被配置成单独地或结合在系统502上限定的控制级安保策略数据524来处理这些身份记录424,以产生用作用于实施用户或角色特定安全的安保令牌的基础的用户凭证记录。
图13是示出根据一个或更多个实施方式的由工厂级SA系统502对身份记录424执行的处理的图。为了确保身份记录424的真实性以及包含在这些记录中的员工和/或安保策略数据的准确性,工厂级SA系统502的一些实施方式可以要求在将信息注册到系统502中之前由人类管理员审查所有身份记录424。因此,当从企业级SA系统402接收到身份记录424(或对其的更新)时,工厂级SA系统502的注册部件506发布针对管理员(例如,工厂安全管理员)的新身份通知1304。该通知1304可以经由系统的用户接口部件512传递至与管理员相关联的客户端设备1302。通知1304向管理员传达已经接收到新身份记录424并且需要审查。在企业级SA系统402采用数字证书来认证身份记录424(如上所述)的一些实施方式中,注册部件506可以被配置成拒绝不包括可验证的数字证书的任何身份记录424,并且向管理员通知已经接收到无效身份记录424。
当已经接收到有效身份记录424并且已经发出通知1304时,管理员可以经由用户接口部件512与系统502进行对接以查看包含在身份记录424中的信息。通常,在工厂级SA系统502上审查身份记录424的管理员将是工厂级管理员而不是公司级管理员。由于可以假设员工身份及其相关联角色、培训和安保特权的真实性和准确性是准确的(由于由企业级SA系统402执行的SIL评级验证),因此管理员可以主要从工厂级安全和安保的角度来审查身份记录424。例如,尽管与给定员工对应的身份记录424可能指示该员工的角色和资格使该员工有资格在工厂内操作的自动化系统上启动特定控制动作,然而工厂级安全管理员可以由于减轻工厂级管理员已知的情况(例如,期望将控制动作的启动临时限制到选定的少数员工而不管资格如何、员工最近的使员工失去与自动化系统的交互的资格的动作等)而选择否认员工执行该控制动作的能力。替选地,管理员可以选择批准身份记录424的注册,从而向对应员工授予由身份记录424限定的范围的安全级别访问。以这种方式,企业级员工和安保策略数据总是由工厂车间级上的人工安全授权机构来验证,从而对注册在工厂级SA系统502中的所有数据提供安全保证。
对于如上所述企业级SA系统402没有过滤包含在身份记录424中的员工数据的实施方式,注册部件506可以被配置成在发送身份通知1304并且对记录424执行后续处理之前执行该过滤。
在从管理员接收到证实通知1306时,注册部件506基于身份记录424和在工厂级SA系统502上限定的任何工厂级安全策略数据524来生成员工的用户凭证记录526。用户凭证记录526可以为其相关联的员工限定允许员工相对于工厂的一个或更多个自动化系统、机器或区域的安全级别访问或交互的范围。这些访问或交互许可可以仅基于包括在身份记录424中的员工和安保策略信息来限定,或者可以基于身份记录424与工厂级安全策略数据524的相关性来限定(如下面更详细描述的)。
通常,工厂车间(安全域)上的自动化和安全系统将工厂级SA系统502视为基于身份和基于角色的安全的唯一安全授权机构。为此,每个用户凭证记录526可以包括以下信息:该信息允许工业自动化和安全系统确定是否允许对应员工访问与危险受控机器相关的特定受保护区域,或者执行与机器相关的所请求的控制或维护动作。可以由工厂级SA系统502基于身份或角色来调节的示例安全功能可以包括但不限于:开启或停止机器或制造过程、改变机器或过程的控制变量或设定点、改变工业安全系统上的安全变量、在机器停止时访问机器附近的受保护区或防护区、在机器运行时访问受保护区、在安全脱断之后重置安全功能或其他此类功能。工厂级SA系统502基于用户的角色或身份来调节用户执行这些安全功能的能力。
下表示出了根据员工角色的示例安全功能许可。关于上述示例安保功能,可以允许被识别为操作员的员工开启和停止机器、改变机器的控制设定点、在机器停止时访问防护区以及重置安全功能。然而,禁止操作员改变安全变量或在机器运行时访问防护区。在下表1中总结了这些操作员许可。
Figure BDA0003969064270000241
Figure BDA0003969064270000251
表1-操作员角色
可以允许被识别为具有维护技术人员角色或控制工程师角色的员工执行除了改变安全变量之外的上述功能的全部,如下表2中所概述。
安保功能 允许
开启/停止机器
改变控制变量
改变安全变量
在停止时访问机器防护区
在运行时访问机器防护区
重置安全功能
表2-维护技术人员或控制工程师角色
可以允许被识别为具有功能安全监督员角色的员工改变与危险机器相关联的安全系统的安全变量、重置机器的安全功能以及在机器停止时访问防护区。然而,可以禁止安全监督员执行与实际机器操作相关的功能,例如开启和停止机器、改变控制变量或在机器运行时访问防护区域。在下
表3中总结了这些许可。
Figure BDA0003969064270000252
Figure BDA0003969064270000261
表3-功能安全监督员角色
可以拒绝被分类为办公室职员的员工——例如,财务部门的成员、秘书、销售人员等——与自动化系统的所有交互。类似地,同样禁止非工业企业员工的工厂访问者的所有机器交互。在下表4中总结了这些许可。
安保功能 允许
开启/停止机器
改变控制变量
改变安全变量
在停止时访问机器防护区
在运行时访问机器防护区
重置安全功能
表4-办公室职员或访问者角色
具有被分类为设施职员角色的员工——可能在工厂设施内工作但不具备操作自动化或安全系统的资格(例如,清洁职员)——可以仅允许在机器停止时访问防护区,但是禁止与机器进行其他交互,如下表5所总结。
安保功能 允许
开启/停止机器
改变控制变量
改变安全变量
在停止时访问机器防护区
在运行时访问机器防护区
重置安全功能
表5-设施职员角色
尽管前述示例论述了特定安全功能和用户角色,但是应当理解,工厂级SA系统502的实施方式不限于这些示例。通常,可以限定具有相关联的安全特权的任何类型的用户角色,并且可以将其应用于能够在特定工业环境中应用的基本上任何类型的安保功能。
如上所述,注册部件506可以基于员工的经验证的身份记录424单独地或结合在工厂级SA系统502上限定的经限定的工厂级安保策略数据524,来生成该员工的用户凭证记录526。注册部件506可以部分地基于员工的企业级安保特权、证书和培训、角色(例如,操作员、办公室职员、维护人员等)、设施、所分配的机器或身份记录424中包含的其他信息来得出员工的安全许可。在其他示例中,基于员工身份记录424中指定的员工到特定工厂设施的分配,注册部件506可以为该员工设置用户凭证记录526以防止该员工与其他设施中的机器交互,同时根据该员工的角色或身份选择性地允许与员工的指定设施内的机器交互。如果员工的身份记录424指定将员工分配到的特定机器或生产区域,则员工的用户凭证记录526可以指定该员工不被允许与该员工分配区域之外的机器交互,但是被选择性地允许与被认为适合于员工的角色的分配区域内的机器交互。
在另一示例中,员工被分配到的工作班次也可以用于限定关于员工交互的基于时间的安全许可。例如,如果员工的身份记录424指示员工被分配到第一工作班次,则员工的用户凭证记录可以指定员工被允许在该班次期间与员工的指定工作区域中的一个或更多个机器执行角色适当的交互,但是在其他班次期间被阻止执行这些交互。在其他示例中,还可以基于如身份记录424中限定的用户的培训或证书来确定授权给员工的交互程度。
在一些情况下,可以由存储在工厂级SA系统502上的工厂级安保策略数据524来限定与不同的角色、证书或其他分类相关联的安全访问的程度。例如,从控制级的视角来看,工厂级安保策略数据524可以限定每种类型的用户角色(操作员、维护人员、工厂管理者、办公室职员等)所允许的访问类型或者与每个分类、证书、训练级别等相关联的访问类型。由安保策略数据524限定的工厂级安保策略与企业级安保策略的不同之处在于:安保策略的范围特定于工厂级SA系统502操作的工厂车间环境,并且因此可以取决于在工厂设施内执行的特定工业应用,或者在工厂内操作的特定机器类型。因此,安保策略数据524可以参考工厂内的特定系统、控制动作、受保护区或区域来限定对每种类型的用户角色所允许的工厂特定和机器特定的动作。
安保策略数据524还可以针对安全管理员希望重写默认安全访问特权的情况限定定制的安保特权,否则将基于企业级身份和安保策略信息来设置默认安全访问特权。这还可以允许管理员记录与选定用户相关联的个人能力(例如,培训或证书),其将用户的安全功能许可扩展到具有类似角色的其他用户的安全功能许可之外。
由于关于允许给定用户角色相对于自动化系统执行什么动作的信息通常特定于由自动化系统执行的工业应用,因此在不能单独从包含在身份记录424中的企业级身份和安保策略信息固有地得出特定允许的交互的情况下,可以利用安保策略数据524。在示例情况下,身份记录424可以包括员工的身份、角色、安全特权和员工的其他企业级信息。在接收到该身份记录424后,注册部件506可以访问安保策略数据524以确定与身份记录424中指定的角色(或者与在安保策略数据524限定员工的定制安全特权情况下与特定用户)相关联的安全特权的范围,并且为员工生成限定这些特权的用户凭证记录526。
与对身份记录的证实一样,工厂级安保策略的限定可以限于具有可以由SA系统502验证的适当管理员凭证的一个或更多个工厂级管理员。
通过将SA系统402和502集成到工业企业中而实现的架构在公司级与工厂级之间创建了SIL兼容桥,并且使得将存储在公司级HR系统上的现有用户凭证能够转换到安全域中并且传递至控制级,其中这些用户凭证被工厂级SA系统502用于实现基于角色或基于身份的工业安全。用户凭证记录526与完整性证明存储在工厂级SA系统502上,从而产生SIL评级的基于身份的安全系统。
图14是示出用于标识尝试与工业自动化系统交互的用户以及由工厂级SA系统502基于用户的凭证提供安保令牌624的示例过程的图。在示例架构中,工业自动化系统1412及其相关联的安全系统(包括支持基于身份的安全性的一个或更多个工业控制器602、相关联的工业输入和输出设备120以及由这些工业资产控制的机器)与用户身份输入设备1402连接,用户身份输入设备1402被配置成从用户获得用户身份信息并且将该身份信息提供给自动化系统(例如,工业控制器602)。可以使用任何合适类型的技术来识别尝试与自动化系统交互的个人。例如,用户身份输入设备1402可以是徽章读取器,其被配置成无线地读取存储在由用户佩戴或携带的徽章1410(例如,射频标识或RFID徽章)上的用户电子标识数据。作为徽章的替选,可以使用另一种类型的便携式设备,例如携载用户的唯一标识信息的通用串行总线(USB)设备或便携式电话。设备1402可以使用的其他技术可以包括但不限于指纹读取、虹膜扫描、面部识别或其他生物识别技术。用户身份输入设备1402还可以采用更简单的识别技术,例如用户名和密码输入。用户身份输入设备1402的一些实施方式可以被配置成收集和组合来自用户的多种类型的身份信息(例如,与面部识别相结合的徽章读取器),以向用户识别过程添加附加安保层。由于在工业安全的上下文中使用用户标识,因此用户身份输入设备1402可以被配置成以安全完整性来捕获用户的身份,使得设备1402可以经由安全评级协议来检测、处理、存储和传输身份信息。
虽然图14描绘了使用单独的用户身份输入设备1402来收集用户标识信息,但是在一些实施方式中,工业控制器602或另一工业设备可以包括被配置成可靠地获得用户的标识数据的接口技术。
一旦获得了用户的标识信息,用户身份输入设备1402将用户识别数据1404传递至工业控制器602。控制器的用户标识部件606(未在图14中示出)可以处理该用户标识信息以生成包括用户标识的身份请求1406,并且将该身份请求1406(经由控制器的安全权限接口部件604)发送至工厂级SA系统502以使用安全评级通信协议进行身份证实。在一些实施方式中,控制器602可以被配置成执行身份查询指令,该身份查询指令响应于接收到用户识别数据1404,以类似于消息传送指令的方式生成并且发送身份请求1406。控制器的安全权限接口部件604还可以被配置成以数字方式对请求1406进行签名,或者应用另一类型的可验证真实性凭证,使得工厂级SA系统502可以验证请求1406是由工厂车间上的经批准的控制设备生成的。
图15是示出工厂级SA系统502对身份请求1406的处理的图。通常,工厂级SA系统502基于用户的身份来确定允许用户执行的安全功能,并且将安保令牌624返回至实施这些安全许可的工业控制器602。当经由系统的设备接口部件510接收到身份请求1406时,安保令牌部件508验证请求1406的真实性(例如,基于由控制器602应用的数字签名或另一类型的凭证),并且对身份请求1406中指定的用户身份1502与用户凭证记录526进行交叉参考,以标识与用户身份1502对应的记录526。如上所述,用户凭证记录526包括已经从公司级系统导入的用户的身份和安保策略数据,该身份和安保策略数据包括用户的角色(例如,操作员、工厂经理、维护人员、办公室职员等);指定设施、生产区域和/或机器;预期工作班次;培训和证书;或者可以用于确定允许用户执行(或禁止执行)哪些安全功能的其他这样的信息。用户凭证记录526还可以基于用户的角色或其他资格来限定允许用户执行的特定安全功能。替选地,安保令牌部件508可以基于对用户凭证记录526中限定的身份、角色和培训信息与工厂级SA系统502上限定的安保策略数据524的交叉参考来确定允许用户执行的一个或更多个安全功能,这可以限定与用户的角色、培训等相关联的特定允许安保功能。基于该信息,安保令牌部件508可以在安保令牌624中指定这些允许的安全功能。
基于与用户(以及在一些实施方式中的安保策略数据524)相关联的用户凭证记录526,安保令牌部件508生成安保令牌624,当在工业控制器602上执行时,安保令牌624实施与用户相关联的基于身份或基于角色的安保策略。然后,设备接口部件510经由安全评级通信信道将安保令牌624发送至控制器602。在一些实施方式中,设备接口部件510可以使用结合图12a和图12b描述的上述SEP技术(即,与用于将身份记录424从企业级SA系统402发送至工厂级SA系统502的那些SEP技术类似的SEP技术)以高级别的安全完整性将安保令牌624发送至工业控制器602。在接收到安保令牌624时,工业控制器602可以使用(与工厂级SA系统502用于验证身份记录424的无差错通信的那些SEP验证技术类似的)SEP验证技术来验证令牌624被无差错地通信。在这样的实施方式中,如果SEP验证未能验证令牌624是以无错的方式发送的,则控制器602可以禁止用户执行与自动化系统相关的任何安全功能。替选地,如果验证了令牌624的无差错通信,则控制器602将使用令牌来实施基于身份或基于角色的安全。
图16是示出根据用户特定的安全令牌624的基于身份或基于角色的安全的实施的图。在该示例中,用户经由控制柜1604与自动化系统1412交互,在控制柜1604中安装有各种用户接口设备或系统,包括但不限于按钮、位置开关、指示灯、人机接口终端、遥测显示设备或其他这样的接口设备和系统。在一些配置中,组成自动化系统1412的至少一些控制设备(例如工业控制器602)可以安装在控制柜1604内部,而组成自动化系统1412的其他工业资产(例如受控工业机器、I/O设备、遥测设备、安全设备等)驻留在控制柜1604外部。通过与安装在控制柜1604上的用户接口设备和系统的交互,用户可以向自动化系统提交控制命令1602。示例控制命令1602可以包括但不限于:机器开启和停止命令;机器归位命令;清除故障的命令;控制设定点修改(例如,对速度、温度、流速等的改变)、对安全参数的调整、移动气动或液压致动器(例如,夹具、推动器等)的命令;设置自动化系统1412的操作模式的命令(例如,运行模式、半自动模式、部件转换命令等)或其他这样的命令。
图17是示出基于从工厂级SA授权机构502接收的安保令牌624由工业控制器602来实施基于角色的安保的图。工业控制器的程序执行部件612执行工业控制程序626(例如,梯形逻辑程序、功能框图程序、结构化文本、顺序功能图程序等),该工业控制程序626使得工业控制器602根据由程序626限定的控制例程来监测和控制工业机器或过程,如以上结合图1所论述的。可以经由控制器的I/O部件614(例如,作为从诸如按钮、开关、拉线等的用户输入设备接收的硬连线信号)或者经由控制器的联网部件610(例如,作为从与控制器602联网的HMI接收的数据包)来接收由用户——例如,经由与安装在控制面板1604中的设备或系统的交互——发出的控制命令1602。
控制命令1602可以作为指令来启动与自动化系统相关的控制动作,例如开启或停止机器或过程、将机器置于选定的操作模式、修改控制设定点或参数(例如,操作速度、过程温度、流速等)、修改安全参数或其他这样的命令。如上所述,工厂级SA系统502可以根据用户的身份、角色、证书等来调节用户启动这些控制动作或执行与自动化系统相关的其他交互的能力。在所示实施方式中,在用户与系统交互时,控制器的安全实施部件608当执行向控制器602发出的用户特定的安保令牌624时,用作本地安全授权机构。安保令牌624限定与所标识的用户相关联的安全功能许可和限制1702,并且安全实施部件608与程序执行部件612交互以实施这些许可和限制。
例如,当控制器602接收到尝试修改控制设定点的控制命令1602时,程序执行部件612仅在被安全实施部件608批准的情况下实现设定点修改(如由用户特定的安保令牌624所指示的)。替选地,如果安保令牌624指示控制设定点修改不在用户的与自动化系统当前交互的安全范围内,则安全实施部件608指示程序执行部件612拒绝改变设定点的请求。在一些实施方式中,安全实施部件608(或工厂级SA系统502)还可以生成并且向一个或更多个管理员传递不适当修改尝试的通知,或者记录该尝试的日志。
以这样的方式,安全实施部件608可以指示程序执行部件612根据由安保令牌624限定的安全许可来实现或拒绝所接收的控制命令1602。尽管所示示例考虑了经由与控制面板设备的交互来接收控制命令1602的情况,但是应当理解,安全实施部件608也可以调节其他类型的用户交互。例如,(可以使用经由编程端口或联网部件610连接至控制器602的客户端设备来完成的)修改控制程序626本身的能力可以限于具有工程角色的用户,并且该限制可以由安全实施部件608以类似的方式来实施。
在另一示例中,安全实施部件608可以是安全继电器或安全控制器的部件,该安全继电器或安全控制器监测构成与自动化系统相关联的安全系统的安全输入设备(例如,紧急停止按钮、拉绳、安全垫,光幕、光学安全扫描仪等)。安全系统可以监测在由自动化系统控制的危险机器附近的受保护区域内的人的存在,并且响应于在这些区域中检测到人的存在而启动将机器置于安全状态的安全对策(例如,通过将危险设备断电、通过将设备置于缓慢或停止工作模式等)。如上面的表1至表5所指示的,一些安保策略可以限定:当危险设备运行时,允许某些选定角色的用户(例如维护人员)进入受保护的区域。因此,当前与系统交互的用户的角色特定的安保令牌624可以指定在不使安全对策启动的情况下是否允许用户访问受保护区域。如果安保令牌624指示允许用户进入受保护区域而不会使安全对策启动,则安全实施部件608可以防止安全控制器响应于检测到用户在区域内而将危险设备置于安全状态。
根据各种实施方式,可以以不同的方式控制安保令牌624的寿命。例如,在一些实施方式中,当前安保令牌624可以对工业控制器602保持有效,直到在控制器602处接收到指示不同用户现在正在与系统交互的后续用户识别数据1404。当接收到后续用户识别数据1404时,控制器602删除或禁用当前安保令牌624,并且根据新用户身份向工厂级SA系统502请求新的安保令牌624。在另一示例中,安全实施部件608可以响应于检测到当前用户不再与自动化系统交互而删除或禁用当前安保令牌624。这可以例如基于确定用户已经移动到系统的限定接近范围之外、基于指示用户已经离开生产区域的光眼或光学扫描仪输出、基于安全门打开或关闭的检测、或者通过另一检测装置来确定。在另一示例中,安保令牌624可以在部署之后被授予有限的寿命,使得在经过了限定的时间段之后,删除或禁用安保令牌624。当没有身份特定的安保令牌624是有效的时(例如,当安保令牌624已被删除或禁用时),安全实施部件608可以根据被认为适合于所有类型的用户的默认安全级别来调节自动化系统的操作。
作为向工业设备发布用户特定的安保令牌624的替选,在一些实施方式中,工业控制器602可以被配置成响应于接收到控制命令1602而参考工厂级SA系统502,以确定当前与系统交互的用户是否被允许执行所请求的控制动作。在这样的实施方式中,控制器602可以将请求与用户识别数据1404一起发送至工厂级SA系统502。作为响应,工厂级SA系统502可以基于用户凭证记录确定是否允许用户执行所请求的动作,并且向控制器602返回响应以允许或拒绝所请求的动作。
在一些实现方式中,本文中描述的基于身份的工业安全架构可以用于使用企业级身份和安保策略信息的公共源来跨工业企业的多个分布式工业设施实施基于角色的安保。图18是示出基于身份的安全系统在包括多个地理上不同的工厂设施(工厂A至C)和公司总部设施的工业企业架构内的集成的图。每个工厂设施容纳由工业控制器602监测和控制的一个或更多个自动化系统。如先前的示例所述,企业级员工和安保策略数据在公司总部处在HR和安全服务系统中进行维护。
工厂级SA系统502安装在每个工厂设施处,并且可以将每个工厂级SA系统502远程连接至驻留在公司总部的企业级SA系统402。在示出的示例中,公司总部和每个工厂设施可以经由每个设施处的相应的防火墙设备102或其他类型的安全网络基础设施设备安全地访问诸如因特网或云平台的公共或半公共网络122,从而使工厂级SA系统502能够通过该公共或半公共网络122与企业级SA系统402通信。
如在先前的示例中所描述的,企业级SA系统402可以从公司系统(例如,人力资源系统104和安全服务系统106)检索企业级员工身份和安保策略信息,基于该信息生成身份记录424,并且以安全且符合SIL的方式将身份记录424发送至工厂级SA系统502中的每一个。然后,工厂级SA系统502可以使用该企业级信息作为基于用户身份、角色、培训等实施工厂级安保策略的基础(如先前的示例中所述)。在该分布式架构中,公司系统充当用于在所有工厂设施处实施基于身份的安全的身份和安保策略信息的唯一中央源。可以在相应的工厂级SA系统502上定制在每个设施处实施的特定安保策略(例如,使用安保策略数据523),以适合在相应设施处操作的特定工业应用和机器。
基于身份的安全系统还可以被配置成维护检测到的安全事件或交互的日志以用于审计目的。这可以包括记录由授权和未授权用户访问自动化系统或者执行控制或安全动作的成功和不成功尝试。这些事件可以在工业设备(例如,控制器602)处、在工厂级SA系统502上、或者在企业级SA系统402处本地地记录。除了记录访问受限区域或者执行受限控制动作的尝试之外,安全系统还可以记录以下尝试:更改来自企业级SA系统402的企业级身份或安保策略信息、机器间交互(例如,另一工业控制器向控制器602或另一安全设备发送命令的尝试)、详细的操作员行为以及所得到的机器性能、维护操作(包括由于维护而导致的停机时间)、或其他这样的信息。
可以以各种方式利用该审计信息。例如,安全系统可以被配置成在审计信息指示访问或控制自动化系统的未授权的尝试,则向所选择的管理员、安保人员或维护人员发出通知。此外,分析系统可以结合执行机器操作的取证分析来利用所选择的审计信息集。
本文中描述的基于身份和基于角色的安全系统的实施方式可以利用用户认证有益地增强工业安全系统,为这些安全系统提供用户适当程度的灵活性,同时保持符合SIL安全标准。允许根据用户身份或角色以高度粒度配置安全许可可以通过减少不必要的安全系统脱断的发生以及通过在不牺牲安全保证的情况下简化维护任务来潜在地提高生产率。例如,由于基于身份的安全系统可以在与相关联的自动化系统交互的不同人之间进行区分,并且基于当前用户的角色来适当地调整控制和安全系统,因此该系统可以使合格的服务技术人员能够进入受保护的工作单元,并且使电动机能够维持用于维护和诊断目的的降低的安全运行或限速状态,而不是将工作单元内的控制机器置于完全安全模式(例如,停止或断电状态)。
本文中描述的方法可以使用现有的公司级员工和安保策略数据来集成用户认证,使没有功能安全的公司级系统能够用作用户身份的最终授权机构。系统可以动态地检测用户的公司身份信息的变化,并且在不重新建立安全保障的情况下,禁止将未经证实的身份信息引入工厂车间安全系统。该方法还使得能够从现有的公司系统容易地管理用户认证和访问。
图19至图22示出了根据本主题申请的一个或更多个实施方式的各种方法。尽管出于简化说明的目的,本文中示出的方法被示出和描述为一系列动作,但是应理解和意识到,本主题发明不受动作顺序的限制,因为一些动作可以据此以与本文中示出和描述的顺序不同的顺序以及/或者与其他动作同时发生。例如,本领域技术人员将理解和意识到,方法可以替选地被表示为一系列相互关联的状态或事件,例如以状态图表示。此外,可能不需要所有示出的动作来实现根据本发明的方法。此外,当不同的实体执行方法的不同部分时,交互图可以表示根据本主题公开内容的方法或方式。此外,所公开的示例方法中的两个或更多个方法可以彼此组合地被实现,以实现本文中描述的一个或更多个特征或优点。
图19示出了用于处理来自工业企业的公司级系统的员工记录和安保策略数据以在企业的工厂级的功能安全系统中使用的示例方法1900。最初,在1902,监测一个或更多个公司级系统,以得到对员工身份记录或企业级安保策略信息的更新。该监测可以由企业级安保权限部(SA)系统来执行,该企业级安保权限部(SA)系统在企业的公司总部操作,并且能够从相关的公司级系统(例如,人力资源系统、安全服务系统等)访问身份记录和安保策略信息。例如,员工身份记录可以包括关于工业企业的各个员工的信息,并且该信息可以由人力资源工作人员在人力资源数据库中维护。该员工信息可以包括例如员工的姓名、地址、企业内的角色、工作班次、工作地点(例如,建筑物、部门、工厂设施、生产区域等)、工作班次、培训或证书、或其他这样的信息。安保策略信息可以作为安保系统的一部分来维护,该安保系统管理对组成工业企业的建筑物的访问,并且可以指定被允许进入每个建筑物或给定建筑物内的特定区域的员工。
在1904处,基于在步骤1902处执行的监测来确定是否检测到对员工身份记录或企业级安保策略信息的更新。例如,作为用于维护所有员工的更新记录的企业协议的一部分,更新可以由人力资源人员发起。更新可以包括为新员工添加新记录或者修改现有员工的记录以反映员工状态的改变(例如,转移到新部门或设施、新的证书或培训经历、用户角色的改变等)。
如果未检测到更新(在步骤1904处为否),则该方法返回至步骤1902并且继续监测。替选地,如果检测到更新(在步骤1904处为是),则该方法进行至步骤1906,在步骤1906中,从发生改变的公司级系统中检索新的或经修改的员工身份记录或安保策略信息。
在1908处,如果检索到的更新包括新的或经修改的员工身份记录,则企业级SA系统选择被认为与工厂车间级上的功能安全相关的员工身份记录中所包含的员工数据的子集。例如,SA系统可以对员工数据执行过滤,以移除与功能安全考虑无关的数据项(例如,员工的家庭地址、雇佣日期等),并且维护与确定是否应当允许员工访问工厂车间上的自动化系统以及被允许访问的范围有关的数据项(例如,员工的角色、培训等)。
在1910处,企业级SA系统基于在步骤1908处选择的员工数据的子集以及/或者经更新的安保策略信息来生成或更新员工身份记录。员工身份记录包括所选择的员工数据的子集,以及通过安保策略信息针对员工限定的任何企业级安保特权(例如,建筑物或区域访问特权)。在1912处,将员工身份记录发送至在企业的工业设施内操作的工厂级SA系统。工厂级SA系统利用员工身份记录中的信息来为在工厂设施中操作的一个或更多个工业控制和安全系统实施基于角色或基于身份的安全。
图20示出了用于在工厂级安保权限系统中注册从工业企业的企业或公司级接收的员工身份和安保策略信息以用于管理工厂车间的基于身份或基于角色的功能安全的示例方法2000。最初,在2002处,在工业设施中操作的工厂级SA系统处接收来自企业级SA系统的员工身份记录。员工身份记录可以包括工业企业的员工的身份和安保策略信息,并且可以使用图19所示的方法1900来生成员工身份记录并且将其发送至工厂级SA系统。
在一些实施方式中,企业级SA系统可以使用软件编码处理(SEP)来确保以高级别的安全完整性将身份记录传递至工厂级SA系统。在示例实现方式中,企业级SA系统可以执行用于将身份记录发送至工厂级SA系统的初级通信软件以及该通信软件的算术编码版本。通信软件的这两个版本可以发送包含身份记录的相应版本的各组数据包:初级数据包的组和经编码的数据包的组。然后,工厂级SA系统可以通过验证经编码的数据包的组表示初级数据包的组的正确编码版本(例如,使用校验和比较或者通过将在经编码包中包括的按比例缩小的值与初级包中的相应值进行比较)来验证初级通信软件的无差错执行。在这样的实施方式中,方法2000将仅在工厂级SA系统基于SEP编码的数据包与初级数据包的比较验证了身份记录数据包被无差错地发送的情况下继续后续步骤。
在2004处,通知由工厂级SA系统生成并且被导向工厂级安全管理员,该通知指示已接收到员工身份记录。在2006处,确定是否从安全管理员接收到注册员工身份记录的授权。如果接收到授权(在步骤2006处为是),则方法进行至步骤2008,在步骤2008中由工厂级SA系统基于员工身份记录生成并且存储用户凭证记录。用户凭证记录限定了对于工业设施内的一个或更多个工业自动化系统允许员工基于角色的安全访问的范围。在一些实施方式中,工厂级SA系统可以基于在员工身份记录中包含的关于员工的信息(例如,角色、所分配的工厂设施和/或生产区域、培训等)以及限定的安保策略来确定要授予用户的安全访问的许可范围,该安保策略限定各个不同角色被允许进行哪些控制操作。
如果没有接收到注册员工身份记录的授权,而是管理员拒绝员工身份记录(步骤2006处的否),则方法进行至步骤2010,在步骤2010中拒绝所接收的员工身份记录的注册。
图21示出了用于处理从工业设备接收的身份请求的示例方法2100。最初,在2102处,在工厂级安全权限系统处接收来自与工业自动化系统相关联的工业设备的身份请求。身份请求指定请求访问自动化系统的员工。在2104处,确定与由身份请求标识的员工对应的用户凭证记录是否存储在工厂级SA系统上。在这点上,工厂级SA系统可以存储一组用户凭证记录——使用图20所示的方法2000生成——对应于具有与自动化系统交互的一定程度的访问许可的工业企业的各个员工。
如果工厂级SA系统没有找到与由身份请求指定的身份对应的用户凭证记录(步骤2104处为否),则方法进行至步骤2110,在步骤2110中SA系统向工业设备发送拒绝通知。替选地,如果针对身份存在指示与自动化系统的允许交互程度的用户凭证记录(在步骤2104处为是),则方法进行至步骤2106,在步骤2106中,基于由员工的用户凭证记录限定的身份特定或角色特定的安全许可来生成限定被授予所识别的员工的允许安全访问范围的安保令牌。所限定的允许访问范围可以指定,例如,允许由所识别的员工启动的控制动作、员工可以进入而不引起自动化系统的安全系统停止受控机器的自动化系统附近的受监控区域、或者其他这样的被允许的交互。在2108处,将在步骤2106处生成的安保令牌发送至工业设备,以利于实施所允许的安全许可。
图22示出了用于由工业设备实施基于角色或基于身份的功能安全的示例方法2200。最初,在2202处,工业控制器或其他类型的工业设备根据默认安保策略来执行对自动化系统的监测和控制。默认安保策略可以是被认为不管角色或资格如何对所有用户安全的安保策略。例如,默认安保策略可以指定:进入自动化系统附近的任何受保护区域的人为入侵将使得受控制的危险机器被安全系统断电,或者除非用户提供与合适的安全凭证相关联的身份证明,否则不允许受保护的控制交互(例如,机器开启的启动、转换到特定工作模式等)。
在2204处,在工业设备处接收经认证的用户身份信息。身份信息可以由请求访问自动化系统的用户提交。可以以任何合适的格式收集身份信息,身份信息包括但不限于:电子地存储在徽章上并且由徽章读取器读取的身份数据、生物识别数据(例如,指纹扫描、虹膜扫描、面部识别等)、用户名和密码输入、或其他类型的可验证用户身份信息。在2206处,响应于在步骤2204处接收到身份信息,工业设备向工厂级SA系统发送识别请求。
在2208处,确定是否从工厂级SA系统接收到响应于识别请求的安保令牌。工厂级SA系统可以使用图21描绘的方法2100来处理身份请求并且返回安全令牌。如在该方法中所注意到的,安保令牌限定了授予由身份请求指定的用户对自动化系统的许可访问范围。如果接收到安保令牌(在步骤2208处为是),则方法进行至步骤2210,在步骤2210中,工业设备根据由安保令牌限定的基于身份或基于角色的安保策略来执行对自动化系统的监测和控制。这可以包括例如允许或限制能够由用户启动的所选择的控制动作、允许或拒绝用户在不引起安全系统使机器断电的情况下进入由系统控制的机器附近的受保护区域的能力,或其他这样的许可。
如果没有接收到安保令牌(在步骤2208处为否),则方法返回至步骤2202,在步骤2202中工业设备根据默认安保策略继续监测和控制自动化系统。
本文描述的实施方式、系统和部件以及可以实现本主题说明书中阐述的各个方面的控制系统和自动化环境可以包括能够跨网络进行交互的计算机或网络部件,例如,服务器、客户端、可编程逻辑控制器(PLC)、自动化控制器、通信模块、移动计算机、用于移动车辆的车载计算机、无线部件、控制部件等。计算机和服务器包括一个或更多个处理器——采用电信号来执行逻辑操作的电子集成电路——被配置成执行存储在介质中的指令,该介质例如是随机存取存储器(RAM)、只读存储器(ROM)、硬盘驱动器以及可移除存储器设备,所述可移除存储器设备可以包括记忆棒、存储卡、闪存驱动器、外部硬盘驱动器等。
类似地,本文中所使用的术语PLC或自动化控制器可以包括可以跨多个部件、系统和/或网络共享的功能。作为示例,一个或更多个PLC或自动化控制器可以跨网络与各种网络设备进行通信和协作。这基本上可以包括经由网络进行通信的任何类型的控件、通信模块、计算机、输入/输出(I/O)设备、传感器、致动器和人机接口(HMI),该网络包括控制网络、自动化网络和/或公共网络。PLC或自动化控制器还可以与各种其他设备进行通信并且控制各种其他设备,各种其他设备例如是包括模拟、数字、编程/智能I/O模块的标准的或安全评级的I/O模块、其他可编程控制器、通信模块、传感器、致动器、输出设备等。
网络可以包括:诸如因特网的公共网络;内联网;诸如控制和信息协议(CIP)网络的自动化网络,包括设备网(DeviceNet)、控制网(ControlNet)、安全网络和以太网/IP。其他网络包括以太网、数据高速公路和数据高速公路加(DH/DH+)、远程I/O、现场总线、通讯总线(Modbus)、过程现场总线(Profibus)、控制器局域网(CAN)、无线网络、串行协议等。另外,网络设备可以包括各种可能性(硬件和/或软件组件)。这些包括诸如以下部件:具有虚拟局域网(VLAN)能力的交换机、LAN、WAN、代理、网关、路由器、防火墙、虚拟专用网(VPN)设备、服务器、客户端、计算机、配置工具、监测工具和/或其他设备。
为了提供所公开主题的各个方面的情景,图23和图24以及以下讨论旨在提供对可以实现所公开的主题的各个方面的合适环境的简要的一般性描述。尽管上面已经在可以在一个或更多个计算机上运行的计算机可执行指令的总体背景下描述了各个实施方式,但是本领域技术人员将认识到,也可以结合其他程序模块以及/或者作为硬件和软件的组合来实现各个实施方式。
通常,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、组件、数据结构等。此外,本领域技术人员将理解的是,可以利用其他计算机系统配置来实践本发明的方法,其他计算机系统配置包括单处理器或多处理器计算机系统、小型计算机、大型计算机、物联网(IoT)设备、分布式计算系统、以及个人计算机、手持式计算设备、基于微处理器的或可编程的消费性电子产品等,上述中的每一个都可以可操作地耦接至一个或更多个相关联的设备。
也可以在分布式计算环境中实践本文中示出的实施方式,在分布式计算环境中,某些任务由通过通信网络链接的远程处理设备执行。在分布式计算环境中,程序模块可以位于本地和远程存储器存储设备二者中。
计算设备通常包括各种介质,各种介质可以包括计算机可读存储介质、机器可读存储介质和/或通信介质,如下所述,这两个术语在本文中彼此不同地使用。计算机可读存储介质或机器可读存储介质可以是能够由计算机访问的任何可用存储介质,并且包括易失性介质和非易失性介质二者、可移除介质和不可移除介质二者。通过以示例的方式而非限制性地,可以结合用于存储诸如计算机可读指令或机器可读指令、程序模块、结构化数据或非结构化数据的信息的任何方法或技术来实现计算机可读存储介质或机器可读存储介质。
计算机可读存储介质可以包括但不限于:可以用于存储所需信息的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、闪存或其他存储器技术、致密盘只读存储器(CD-ROM)、数字多功能盘(DVD)、蓝光盘(BD)或其他光盘存储设备、磁带盒、磁带、磁盘存储设备或其他磁性存储设备、固态驱动器或其他固态存储设备、或其他有形和/或非暂态介质。在这点上,应当将本文中应用于存储设备、存储器或计算机可读介质的术语“有形”或“非暂态”理解为作为修饰语仅排除传播暂态信号本身,并且不放弃对并非仅传播暂态信号本身的所有标准存储装置、存储器或计算机可读介质的权利。
针对关于由介质存储的信息的多种操作,可以由一个或更多个本地或远程计算设备例如经由访问请求、查询或其他数据检索协议,来访问计算机可读存储介质。
通信介质通常在诸如经调制的数据信号例如载波或其他传输机制的数据信号中体现计算机可读指令、数据结构、程序模块或其他结构化或非结构化的数据,并且包括任何信息传送或传输介质。术语“经调制的数据信号”或信号是指以将信息编码在一个或更多个信号中的方式设置或改变其特性中的一个或更多个特性的信号。作为示例而非限制,通信介质包括诸如有线网络或直接有线连接的有线介质以及诸如声学、RF、红外和其他无线介质的无线介质。
再次参照图23,用于实现本文描述的各个方面的各个实施方式的示例环境2300包括计算机2302,计算机2302包括处理单元2304、系统存储器2306和系统总线2308。系统总线2308将系统部件耦接至处理单元2304,该系统部件包括但不限于系统存储器2306。处理单元2304可以是各种商业可用处理器中的任何处理器。双微处理器架构以及其他多处理器架构也可以被用作处理单元2304。
系统总线2308可以是:还可以与存储器总线(具有或不具有存储器控制器)互连的若干类型的总线结构中的任何总线结构;外围总线;以及使用各种市售总线架构中的任何总线架构的本地总线。系统存储器2306包括ROM 2310和RAM 2312。基本输入/输出系统(BIOS)可以被存储在例如ROM、可擦除可编程只读存储器(EPROM)、EEPROM的非易失性存储器中,其中,该BIOS包含有例如在启动期间帮助在计算机2302内的元件之间传送信息的基本例程。RAM 2312还可以包括高速RAM,例如用于缓存数据的静态RAM。
计算机2302还包括内部硬盘驱动器(HDD)2314(例如,EIDE、SATA)、一个或更多个外部存储设备2316(例如,磁性软盘驱动器(FDD)2316、存储棒或闪存驱动器读取器、存储卡读取器等)以及光盘驱动器2320(例如,其可以从CD-ROM盘、DVD、BD等进行读或写)。虽然内部HDD 2314被示出为位于计算机2302内,但是内部HDD 2314还可以被配置成在合适的机箱(未示出)中供外部使用。另外,虽然在环境2300中未示出,但是除了HDD 2314以外还可以使用固态驱动器(SSD),或者可以使用固态驱动器(SSD)来代替HDD 2214。HDD 2314、外部存储设备2316以及光盘驱动器2320可以通过HDD接口2324、外部存储接口2326和光盘驱动器接口2328分别连接至系统总线2308。用于外部驱动器实现的接口2324可以包括通用串行总线(USB)和电气与电子工程师协会(IEEE)1394接口技术中的至少一个或两个。其他外部驱动器连接技术在本文描述的实施方式的构思之内。
驱动及其相关联的计算机可读存储介质提供数据、数据结构、计算机可执行指令等的非易失性存储。对于计算机2302,驱动器和存储介质适应以适当的数字格式对任何数据的存储。尽管以上对计算机可读存储介质的描述是指各种类型的存储设备,但本领域技术人员应当理解的是,也可以在示例操作环境中使用计算机可读的其他类型的存储介质,无论所述存储介质是当前存在的还是将来要开发的,此外,任何这样的存储介质都可以包含用于执行本文所描述的方法的计算机可执行指令。
在驱动器和RAM 2312中可以存储多个程序模块,所述多个程序模块包括操作系统2330、一个或更多个应用程序2332、其他程序模块2334和程序数据2336。操作系统、应用、模块和/或数据的全部或部分也可以被缓存在RAM 2312中。可以使用各种市售的操作系统或操作系统的组合来实现本文中描述的系统和方法。
计算机2302可以可选地包括模拟技术。例如,管理程序(未示出)或其他中间物可以模拟用于操作系统2330的硬件环境,并且模拟的硬件可以可选地不同于图23中所示的硬件。在这样的实施方式中,操作系统2330可以包括在计算机2302处托管的多个虚拟机(VM)中的一个虚拟机。此外,操作系统2330可以为应用程序2332提供例如Java运行时环境或.NET框架的运行时环境。运行时环境是一致的执行环境,其允许应用程序2332在包括该运行时环境的任何操作系统上运行。类似地,操作系统2330可以支持容器,应用程序2332可以呈容器的形式,所述容器是轻量的、独立的、可执行的软件包,所述软件包包括例如代码、运行时间、系统工具、系统库和关于应用的设置。
此外,可以利用例如可信处理模块(TPM)的安保模块来启用计算机2302。例如,利用TPM,引导部件在时间上散列(hash)接下来的引导部件,并且在加载接下来的引导部件之前等待结果与安全值的匹配。该过程可以发生在计算机2302的代码执行栈中的任何层处,例如被应用在应用执行级处或操作系统(OS)内核级处,从而使实现在代码执行的任何级别处的安保。
用户可以通过一个或更多个有线/无线输入设备(例如,键盘2338、触摸屏2340和诸如鼠标2342的定点设备)将命令和信息输入到计算机2302中。其他输入设备(未示出)可以包括麦克风、红外(IR)遥控器、射频(RF)遥控器、或其他遥控器、操纵杆、虚拟现实控制器和/或虚拟现实耳机、游戏垫、触摸笔、图像输入设备(例如,摄像装置)、姿势传感器输入设备、视觉运动传感器输入设备、情绪或面部检测设备、生物特征输入设备(例如,指纹或虹膜扫描仪)等。这些输入设备以及其他输入设备通常通过可以耦接至系统总线2308的输入设备接口2344而连接至处理单元2304,但是也可以通过例如并行端口、IEEE 1394串行端口、游戏端口、USB端口、IR接口、蓝牙接口等其他接口进行连接。
监视器2344或其他类型的显示设备也可以经由诸如视频适配器2346的接口连接至系统总线2308。除了监视器2344之外,计算机通常还包括其他外围输出设备(未示出),例如,扬声器、打印机等。
计算机2302可以经由至诸如远程计算机2348的一个或更多个远程计算机的有线和/或无线通信、使用逻辑连接在联网环境中进行操作。远程计算机2348可以是工作站、服务器计算机、路由器、个人计算机、便携式计算机、基于微处理器的娱乐器具、对等设备或其他公共网络节点,并且通常包括关于计算机2302所描述的许多或所有元件,但是为了简洁起见,仅示出了存储器/存储设备2350。所描绘的逻辑连接包括与局域网(LAN)2352和/或更大的网络例如广域网(WAN)2354的有线/无线连接。这样的LAN和WAN联网环境在办公室和公司中很常见,并且促进诸如内部网的企业范围的计算机网络,所有这些都可以连接至例如因特网的全球通信网络。
当在LAN联网环境中被使用时,计算机2302可以通过有线和/或无线通信网络接口或适配器2356连接到本地网络2352。适配器2356可以促进与LAN 2352的有线或无线通信,LAN 2452还可以包括布置在其上用于在无线模式下与适配器2356进行通信的无线接入点(AP)。
当在WAN联网环境中使用时,计算机2302可以包括调制解调器2358,或者可以经由用于通过WAN 2354(例如通过因特网)建立通信的其他装置连接至WAN 2354上的通信服务器。可以是内部设备或外部设备并且可以是有线设备或无线设备的调制解调器2358可以经由输入设备接口2342连接至系统总线2308。在联网环境中,关于计算机2302描绘的程序模块或程序模块的部分可以被存储在远程存储器/存储设备2350中。应当理解的是,所示出的网络连接是示例,并且可以使用在计算机之间建立通信链路的其他装置。
当在LAN或WAN联网环境中被使用时,除了如上所述的外部存储设备2316之外,计算机2302还可以访问云存储系统或其他基于网络的存储系统;或者代替如上所述的外部存储设备2216,计算机2202可以访问云存储系统或其他基于网络的存储系统。通常,可以例如分别通过适配器2356或调制解调器2358通过LAN 2352或WAN 2354来建立计算机2302与云存储系统之间的连接。在将计算机2302连接至相关联的云存储系统时,外部存储接口2326可以在适配器2356和/或调制解调器2358的帮助下像管理其他类型的外部存储一样来管理由云存储系统提供的存储。例如,外部存储接口2326可以被配置成提供对云存储源的访问,就好像这些源被物理地连接至计算机2302一样。
计算机2302能够可操作成与可操作地以无线通信布置的任何无线设备或实体进行通信,所述任何无线设备或实体是例如打印机、扫描仪、桌上型计算机和/或便携式计算机、便携式数据助理、通信卫星、与无线地可检测的标签相关联的任何装备或位置(例如,信息亭、报摊、商店货架等)以及电话。这可以包括无线保真(Wi-Fi)和蓝牙无线技术。因此,通信可以是与常规网络一样的预限定结构或者仅是至少两个设备之间的自组织通信(ad hoccommunication)。
图24是可以与所公开的主题交互的样本计算环境2400的示意性框图。样本计算环境2400包括一个或更多个客户端2402。客户端2402可以为硬件和/或软件(例如线程、进程、计算设备)。样本计算环境2400还包括一个或更多个服务器2404。服务器2404也可以是硬件和/或软件(例如,线程、进程、计算设备)。服务器2404可以容纳线程以通过采用如本文中描述的一个或更多个实施方式来执行变换。客户端2402与服务器2404之间的一种可能的通信可以是适于在两个或更多个计算机进程之间传输的数据包的形式。样本计算环境2400包括通信框架2406,该通信框架2106可以被用来促进客户端2402与服务器2404之间的通信。客户端2402可操作地连接至可以被用于存储客户端2402本地的信息的一个或更多个客户端数据存储设备2408。类似地,服务器2404可操作地连接至可以被用于存储服务器2404本地的信息的一个或更多个服务器数据存储设备2410。
上面所描述的内容包括本主题创新的示例。当然,不可能为了描述所公开的主题而描述每个可设想到的部件或方法的组合,但是本领域普通技术人员可以认识到,本发明的许多另外的组合和排列是可能的。因此,所公开的主题旨在涵盖落入所附权利要求的精神和范围内的所有这样的变更、修改和变型。
尤其是关于由上面描述的部件、设备、电路、系统等执行的各种功能,除非另外指出,否则用于描述这样的部件的术语(包括对“装置”的提及)旨在对应于执行所描述的部件的指定功能的任何部件(例如,功能上等同的任何部件),即使该部件在结构上不等同于所公开的结构,但该部件仍然执行本文中示出的所公开主题的示例性方面中的功能。就这一点而言,还应当认识到,所公开的主题包括具有用于执行所公开的主题的各种方法的动作和/或事件的计算机可执行指令的计算机可读介质以及系统。
此外,虽然可能针对若干实现方式中的仅一个实现方式公开了所公开的主题的特定特征,但是这样的特征可以与其他实现方式的对于任何给定应用或特定应用而言可能是期望且有利的一个或更多个其他特征进行组合。此外,就在具体实施方式或权利要求书中使用术语“包括(includes)”和“包括(including)”及其变型而言,这些术语旨在以与术语“包括(comprising)”类似的方式是包括性的。
在本申请中,使用词语“示例性”来表示用作示例、实例或说明。在本文中被描述为“示例性”的任何方面或设计不必然被解释为比其他方面或设计优选或有利。更确切地,词语“示例性”的使用旨在以具体方式呈现构思。
可以使用标准编程和/或工程技术将本文中描述的各个方面或特征实现为方法、装置或制品。如本文所使用的术语“制品”旨在包括能够从任何计算机可读设备、载体或介质访问的计算机程序。例如,计算机可读介质可以包括但不限于:磁性存储设备(例如,硬盘、软盘、磁条......)、光盘[例如,致密盘(CD)、数字通用盘(DVD)......]、智能卡以及闪速存储器设备(例如,卡、棒、键驱动器(key drive)......)。

Claims (20)

1.一种系统,包括:
存储器,其存储可执行部件;以及
处理器,其在操作上耦接至所述存储器,所述处理器执行所述可执行部件,所述可执行部件包括:
身份提供者接口部件,其被配置成接收从公司级员工信息系统获得的身份记录,其中,所述身份记录至少限定工业企业的员工的身份以及所述员工的角色,并且经由利用软件编码处理的通信协议从所述公司级员工信息系统接收所述身份记录;
注册部件,其被配置成将所述身份记录注册为用户凭证记录,所述用户凭证记录限定被授予所述员工的对自动化系统的访问程度;
安保令牌部件,其被配置成响应于有关所述员工正在尝试与所述自动化系统交互的指示,生成安保令牌,所述安保令牌使与所述自动化系统相关联的工业设备实施由所述用户凭证记录限定的对所述自动化系统的所述访问程度;以及
设备接口部件,其被配置成将所述安保令牌发送至所述工业设备。
2.根据权利要求1所述的系统,其中,
所述身份提供者接口部件被配置成从所述公司级员工信息系统接收第一组数据包和第二组数据包,所述第一组数据包包含由通信代码的初级版本生成的所述身份记录,所述第二组数据包包含由所述通信代码的算术编码版本生成的所述身份记录的编码版本,并且
所述注册部件被配置成响应于由所述身份提供者接口部件证实所述第一组数据包与所述第二组数据包之间的比较结果满足标准而注册所述身份记录,所述标准指示所述通信代码的无差错执行。
3.根据权利要求1所述的系统,其中,
所述注册部件被配置成根据所述员工的角色来设置被授予所述员工的对所述自动化系统的访问程度,并且
所述角色是操作员、工厂管理者、控制工程师、维护人员、安全主管、办公室工作人员或设施工作人员中的至少一个。
4.根据权利要求3所述的系统,其中,所述注册部件被配置成还根据所述身份记录中指示的所述员工的证书或培训经历中的至少一个来设置被授予所述员工的对所述自动化系统的访问程度。
5.根据权利要求1所述的系统,其中,所述用户凭证记录将以下中的至少一个限定为所述访问程度:允许所述员工启动的控制动作,或者允许所述员工进入而不使工业安全系统启动安全对策的受保护安全区。
6.根据权利要求1所述的系统,其中,
所述身份记录还限定适用于所述员工的安保策略,所述安保策略限定允许所述员工访问的所述工业企业的建筑物或区域中的至少一个,并且
所述注册部件被配置成部分地基于所述安保策略来设置被授予所述员工的对所述自动化系统的访问程度。
7.根据权利要求1所述的系统,其中,从在所述工业企业的公司级处维护的人力资源系统获得在所述身份记录中包括的数据的至少一部分。
8.根据权利要求1所述的系统,其中,
所述安保令牌部件从与所述自动化系统相关联的所述工业设备接收有关所述员工正在尝试与所述自动化系统交互的指示,并且
所述工业设备基于经由徽章读取器、虹膜扫描仪、面部识别系统、指纹读取器或密码输入设备中的至少一个获得的用户身份数据来生成所述指示。
9.根据权利要求1所述的系统,其中,
所述身份提供者接口部件被配置成在所述身份记录被注册为所述用户凭证记录之前移除在所述身份记录中包括的员工数据的一部分,并且
所述员工数据的一部分包括关于所述员工的不用于确定被授予所述员工的对所述自动化系统的访问程度的信息。
10.根据权利要求1所述的系统,其中,所述注册部件被配置成部分地基于安全策略数据来确定被授予所述员工的对所述自动化系统的访问程度,所述安全策略数据限定被授予各个不同员工角色的对所述自动化系统的访问程度。
11.根据权利要求1所述的系统,其中,所述安保令牌限定了禁止所述员工进行的控制动作,并且被配置成使所述工业设备阻止所述员工执行所述控制动作。
12.一种方法,包括:
由包括处理器的安全权限系统接收从公司级员工信息系统检索的身份记录,其中,所述身份记录至少限定工业企业的员工的身份以及所述员工的角色,并且所述接收包括经由利用软件编码处理的通信协议来接收所述身份记录;
响应于所述接收,由所述安全权限系统基于所述身份记录来生成用户凭证记录,其中,所述用户凭证记录限定被授予所述员工的与自动化系统的允许交互级别;
响应于有关所述员工正在尝试与所述自动化系统交互的指示,由所述安全权限系统生成安保令牌,所述安保令牌使与所述自动化系统相关联的工业设备实施由所述用户凭证记录限定的所述允许交互级别;以及
由所述安全权限系统将所述安保令牌发送至所述工业设备。
13.根据权利要求12所述的方法,其中,
所述接收包括:接收第一组数据包和第二组数据包,所述第一组数据包包含由通信代码的初级版本生成的身份记录,所述第二组数据包包含由所述通信代码的算术编码版本生成的所述身份记录的编码版本,并且
所述生成包括:响应于验证所述第一组数据包与所述第二组数据包之间的比较结果满足限定的标准来生成所述用户凭证记录。
14.根据权利要求12所述的方法,其中,
所述用户凭证记录的生成包括:基于所述员工的角色来确定要授予所述员工的所述允许交互级别,并且
所述角色是操作员、工厂管理者、控制工程师、维护人员、安全主管、办公室工作人员或设施工作人员中的至少一个。
15.根据权利要求14所述的方法,其中,所述用户凭证记录的生成还包括:还基于所述身份记录中指示的所述员工的证书或培训经历中的至少一个来确定所述允许交互级别。
16.根据权利要求12所述的方法,其中,所述安保令牌的生成包括:
将以下中的至少一个限定为与所述自动化系统的所述允许交互级别:允许所述员工启动的控制动作,或者允许所述员工进入而且不使工业安全系统启动安全对策的受保护安全区;以及
在所述安保令牌中记录所述控制动作或所述受保护安全区。
17.根据权利要求12所述的方法,其中,
所述安保令牌的生成还包括:基于在所述身份记录中包括的安保策略信息来限定与所述自动化系统的所述交互允许级别,并且
所述安保策略信息限定允许所述员工访问的所述工业企业的建筑物或区域中的至少一个。
18.根据权利要求12所述的方法,其中,所述用户凭证记录的生成包括:部分地基于安全策略数据来确定要授予所述员工的与所述自动化系统的所述交互允许级别,所述安全策略数据指定被授予各个不同员工角色的与所述自动化系统的允许交互级别。
19.一种非暂态计算机可读介质,在所述非暂态计算机可读介质上存储有指令,所述指令响应于被执行而使包括处理器的系统执行操作,所述操作包括:
接收从公司级人力资源系统获得的身份记录,其中,所述身份记录至少限定工业企业的员工的身份以及所述员工的角色,并且所述接收包括经由利用软件编码处理的通信信道来接收所述身份记录;
响应于所述接收,基于所述身份记录来生成用户凭证记录,其中,所述用户凭证记录限定被授予所述员工的与自动化系统的交互程度;
响应接收到有关所述员工正在请求与所述自动化系统交互的指示,生成安保令牌,所述安保令牌使所述自动化系统实施由所述用户凭证记录限定的所述交互程度;以及
将所述安保令牌发送至所述工业设备。
20.根据权利要求19所述的非暂态计算机可读介质,其中,
所述接收包括:接收第一组数据包和第二组数据包,所述第一组数据包包含由通信代码的初级版本生成的身份记录,所述第二组数据包包含由所述通信代码的算术编码版本生成的身份记录的编码版本,并且
所述生成包括:响应于验证所述第一组数据包与所述第二组数据包之间的比较结果满足限定的标准来生成所述用户凭证记录。
CN202211506054.6A 2021-12-27 2022-11-29 工业功能安全系统、方法及介质 Pending CN116360300A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US17/562,448 US20230206371A1 (en) 2021-12-27 2021-12-27 Using software encoded processing for a safety/security application to achieve sil rated integrity for retrieving authentication credentials
US17/562,448 2021-12-27

Publications (1)

Publication Number Publication Date
CN116360300A true CN116360300A (zh) 2023-06-30

Family

ID=84367247

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211506054.6A Pending CN116360300A (zh) 2021-12-27 2022-11-29 工业功能安全系统、方法及介质

Country Status (3)

Country Link
US (1) US20230206371A1 (zh)
EP (1) EP4202733A1 (zh)
CN (1) CN116360300A (zh)

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6738772B2 (en) * 1998-08-18 2004-05-18 Lenel Systems International, Inc. Access control system having automatic download and distribution of security information
US20040153171A1 (en) * 2002-10-21 2004-08-05 Brandt David D. System and methodology providing automation security architecture in an industrial controller environment
US20070220614A1 (en) * 2006-03-14 2007-09-20 Jason Ellis Distributed access to valuable and sensitive documents and data
US20080289020A1 (en) * 2007-05-15 2008-11-20 Microsoft Corporation Identity Tokens Using Biometric Representations
US8806578B2 (en) * 2010-05-05 2014-08-12 Microsoft Corporation Data driven role based security
US9536065B2 (en) * 2013-08-23 2017-01-03 Morphotrust Usa, Llc System and method for identity management
US9094407B1 (en) * 2014-11-21 2015-07-28 Citrix Systems, Inc. Security and rights management in a machine-to-machine messaging system
US10318762B1 (en) * 2015-03-06 2019-06-11 United Services Automobile Association (Usaa) Third-party platform for tokenization and detokenization of network packet data
US10404714B1 (en) * 2015-08-11 2019-09-03 Schweitzer Engineering Laboratories, Inc. Policy-managed physical access authentication
US10231128B1 (en) * 2016-02-08 2019-03-12 Microstrategy Incorporated Proximity-based device access
US20180075248A1 (en) * 2016-09-09 2018-03-15 The Dun & Bradstreet Corporation Managing privileges to access data in a database
IT201700090284A1 (it) * 2017-08-08 2019-02-08 Riccardo Tarelli Sistema symbius - varco polifunzionale per la sicurezza degli accessi di aree sensibili di natura pubblica e privata
US11140174B2 (en) * 2017-12-13 2021-10-05 Jpmorgan Chase Bank, N.A. Time and location controlled centralized access management system
US10958745B2 (en) * 2018-09-06 2021-03-23 Linda M. Spulak System and method for the creation, management, and delivery of personal cookie-like packets of information to be utilized as reverse cookies within network-based environments
WO2020185412A2 (en) * 2019-02-28 2020-09-17 Sentry Brite Llc Apparatus, system, and method for security countermeasure system
US11522863B2 (en) * 2020-10-29 2022-12-06 Shopify Inc. Method and system for managing resource access permissions within a computing environment
US12010244B2 (en) * 2020-11-09 2024-06-11 International Business Machines Corporation Blockchain based verifiability of user status

Also Published As

Publication number Publication date
EP4202733A1 (en) 2023-06-28
US20230206371A1 (en) 2023-06-29

Similar Documents

Publication Publication Date Title
US9300673B2 (en) Automation system access control system and method
US11522833B2 (en) User security credentials as an element of functional safety
EP1621944B1 (en) Security system and method for an industrial automation system
CN110083129B (zh) 工业控制器模块、实现其安全性的方法和计算机可读介质
Stouffer et al. Guide to operational technology (ot) security
US20040162996A1 (en) Distributed security for industrial networks
CN113625665B (zh) 集中式安全事件生成策略
US20040153171A1 (en) System and methodology providing automation security architecture in an industrial controller environment
US11658966B2 (en) Personnel profiles and fingerprint authentication for configuration engineering and runtime applications
JP2002099512A (ja) プロセス制御システムとそのセキュリティシステムおよび方法並びにそのソフトウェアシステム
US11373472B2 (en) Compact encoding of static permissions for real-time access control
Kosmowski et al. INTEGRATED FUNCIONAL SAFETY AND CYBERSECURITY. ANALYSIS METHOD FOR SMART MANUFACTURING SYSTEMS
EP3667526A1 (en) Rapid file authentication on automation devices
CN113625664B (zh) 通过零接触注册的自动端点安全策略分配
CN110633572A (zh) 对mes系统中的非预期操作进行安全防护检测的方法
Welte et al. Blockchain at the shop floor for maintenance
US20230206371A1 (en) Using software encoded processing for a safety/security application to achieve sil rated integrity for retrieving authentication credentials
CN113885425A (zh) 一种工业现场plc网络安全运维方法
Parekh et al. Aligning with cybersecurity framework by modelling OT security
EP4152192A1 (en) On-chassis backplane intrusion detection system and continuous threat detection enablement platform
US20230288881A1 (en) Using software encoded processing to achieve a sil rating for safety applications executed in the cloud or in non-safety rated servers
CN109792441B (zh) 跨安全层安全通信
Treado et al. Authentication and Authorization of Building Information Users in BACnet

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination