DE102020130166A1

DE102020130166A1 - Vorrichtungen und verfahren für die sichere datenprotokollierung

Info

Publication number: DE102020130166A1
Application number: DE102020130166.9A
Authority: DE
Inventors: Sergio Diaz; Gary K. Law; Godfrey Sherriff
Original assignee: Fisher Rosemount Systems Inc
Current assignee: Fisher Rosemount Systems Inc
Priority date: 2019-11-14
Filing date: 2020-11-16
Publication date: 2021-05-20
Also published as: JP2021082272A; CN112799356A; GB2592459A; GB202016987D0; US20210149909A1; US11126636B2

Abstract

Es werden Vorrichtungen und Verfahren zur sicheren Datenprotokollierung offenbart. Ein beispielhaftes Verfahren zur sicheren Datenübertragung von einem Netzwerk des Prozesssteuerungssystems beinhaltet das Speichern von Informationen, die von einer Prozesssteuerung über das Netzwerk des Prozesssteuerungssystems empfangen werden, wobei die Prozesssteuerung eine Steuerung für das sicherheitsinstrumentierte System oder eine Steuerung für das Prozesssteuerungssystem einschließt, wobei die Informationen unidirektional vom Netzwerk des Prozesssteuerungssystems zu einem Datenlogger über eine Datendiode übertragen werden, Identifizieren eines Trigger-Ereignisses im Netzwerk des Prozesssteuerungssystems als Reaktion auf das Identifizieren des Trigger-Ereignisses, Parsen der gespeicherten Informationen auf Ereignisdaten und Übertragen der Ereignisdaten vom Datenlogger zu einem Datenextraktor.

Description

GEBIET DER OFFENBARUNG
Diese Offenbarung bezieht sich im Allgemeinen auf Prozesssteuerungssysteme und insbesondere auf Vorrichtungen und Verfahren zur sicheren Datenprotokollierung.
HINTERGRUND
Prozesssteuerungssysteme sind dazu konzipiert, einen bestimmten Prozess innerhalb eines gewünschten Bereichs zu halten, und enthalten normalerweise Instrumente, die in einer Anlage positioniert sind, um das Sammeln von Daten zum Zweck der Überwachung und Fehlerbehebung zu ermöglichen. Das Datensammeln beinhaltet Messungen, die von Sensoren durchgeführt werden, einschließlich Parametern wie Druck, Durchflussrate, Temperatur, Gewicht, Dichte, Geschwindigkeit usw. Ein Basic Process Control System (grundlegendes Prozesssteuerungssystem - BPCS) empfängt Eingänge von Sensoren und Prozessinstrumenten, sodass das BPCS als erste Schutzschicht gegen unsichere Bedingungen fungieren kann. Zusätzlich zum BPCS ist ein Safety Instrumented System (sicherheitsinstrumentiertes System - SIS) implementiert, um Personal, Ausrüstungen und Umwelt zu schützen, indem die Wahrscheinlichkeit oder die Schwere eines Notfallereignisses durch dedizierte Überwachung der Instrumente des sicherheitsrelevanten Prozesssteuerungssystems verringert wird.
KURZDARSTELLUNG
Ein beispielhaftes Verfahren zur sicheren Datenübertragung von einem Netzwerk des Prozesssteuerungssystems beinhaltet das Speichern von Informationen, die von einer Prozesssteuerung über das Netzwerk des Prozesssteuerungssystems empfangen werden, wobei die Prozesssteuerung eine Steuerung für das sicherheitsinstrumentierte System oder eine Steuerung für das Prozesssteuerungssystem einschließt, wobei die Informationen unidirektional vom Netzwerk des Prozesssteuerungssystems zu einem Datenlogger über eine Datendiode übertragen werden, Identifizieren eines Trigger-Ereignisses im Netzwerk des Prozesssteuerungssystems als Reaktion auf das Identifizieren des Trigger-Ereignisses, Parsen der gespeicherten Informationen auf Ereignisdaten und Übertragen der Ereignisdaten vom Datenlogger zu einem Datenextraktor.
Eine beispielhafte Vorrichtung zur sicheren Datenübertragung von einem Netzwerk des Prozesssteuerungssystems schließt eine Datenspeicherung zum Speichern von Informationen ein, die von einer Prozesssteuerung über das Netzwerk des Prozesssteuerungssystems empfangen werden, wobei die Prozesssteuerung eine sicherheitsinstrumentierte Systemsteuerung oder eine Steuerung des Prozesssteuerungssystems enthält, die Informationen unidirektional vom Netzwerk des Prozesssteuerungssystems zu einem Datenlogger über eine Datendiode übertragen werden, einen Ereignisdetektor zum Identifizieren eines Trigger-Ereignisses im Netzwerk des Prozesssteuerungssystems, einen Datenparser zum Parsen der gespeicherten Informationen auf Ereignisdaten als Reaktion auf das Identifizieren des Trigger-Ereignisses und einen Verbinder zum Übertragen der Ereignisdaten vom Datenlogger zu einem Datenextraktor.
Ein beispielhaftes nicht-transitorisches computerlesbares Speichermedium enthält Anweisungen, die bei Ausführung bewirken, dass eine Maschine zumindest Informationen speichert, die von einer Prozesssteuerung über ein Netzwerk des Prozesssteuerungssystems empfangen werden, wobei die Prozesssteuerung eine Steuerung für ein sicherheitsinstrumentiertes System oder eine Steuerung für ein Prozesssteuerungssystem enthält, die Informationen unidirektional vom Netzwerk des Prozesssteuerungssystems über eine Datendiode zu einem Datenlogger übertragen werden, ein Trigger-Ereignis in einem Netzwerk des Prozesssteuerungssystems identifizieren, die gespeicherten Informationen als Reaktion auf das Identifizieren des Trigger-Ereignisses auf Ereignisdaten parsen und die Ereignisdaten vom Datenlogger an einen Datenextraktor übertragen.
Figurenliste

1 ist ein Blockdiagramm eines beispielhaften Prozesssteuerungssystems, das dazu konfiguriert werden kann, die hierin beschriebenen beispielhaften sicheren Datenloggervorrichtungen und -verfahren zum Zweck der Datenextraktion über ein internes Netzwerk zu verwenden.
2 ist ein Blockdiagramm eines beispielhaften Prozesssteuerungssystems, das dazu konfiguriert werden kann, die hierin beschriebenen beispielhaften sicheren Datenloggervorrichtungen und -verfahren zum Zweck der Datenextraktion über ein externes Netzwerk zu verwenden.
3 ist ein Blockdiagramm, das einen beispielhaften Datenlogger zum Protokollieren von Daten in einem Netzwerk des Prozesssteuerungssystems gemäß den Lehren dieser Offenbarung veranschaulicht.
4 ist ein Flussdiagramm, das maschinenlesbare Anweisungen darstellt, die ausgeführt werden können, um den beispielhaften Datenlogger von 3 zu implementieren.
5 ist eine schematische Darstellung einer beispielhaften Prozessorplattform, die zum Ausführen der beispielhaften Verfahren von 4 und/oder allgemeiner zum Implementieren des beispielhaften sicheren Datenloggers von 1, 2 und 3 verwendet und/oder programmiert werden kann.

AUSFÜHRLICHE BESCHREIBUNG
Prozesssteuerungssysteme, die kritische Prozesse implementieren (z. B. chemische Verarbeitungsanlagen, Kraftwerke usw.), können erhebliche Sicherheitsrisiken darstellen, wenn sie nicht ordnungsgemäß gesteuert werden. Ein Basic Process Control System (BPCS) bietet eine erste Schutzschicht, indem es die kontinuierliche Steuerung des Gesamtprozesses mithilfe von BPCS-zugeordneten Steuerungen, Logiklösern und Feldgeräten zulässt. Ein BPCS wird üblicherweise unter Verwendung von pneumatischen Regelkreisen, speicherprogrammierbaren Steuerungen, Distributed Control Systems (verteilten Steuerungssystemen - DCS), diskreten Steuerungssystemen und Einzelschleifensteuerungen implementiert. DCS werden zur Überwachung komplexer Produktionsprozesse (z. B. großer Raffinerien) verwendet und schließen Sensoren, Steuerungen und zugehörige Computer ein, die zum Zweck der Datenerfassung, Prozesssteuerung sowie Speicherung und grafischer Anzeige in einer Anlage verteilt sind. Zusätzliche Sicherheitsmaßnahmen können durch automatisierte Abschaltsequenzen in Kombination mit Bedienereingriffen eingebracht werden, um einen Prozess unter Verwendung der vorgegebenen Sequenzen herunterzufahren.
Ein Safety Instrumented System (SIS) überwacht spezielle Feldgeräte und andere dem SIS zugeordnete spezielle Steuerelemente, die physisch und logisch vom BPCS getrennt sind. Das SIS ist für das sichere Herunterfahren eines Prozesses als Reaktion auf Steuerungsbedingungen verantwortlich, die ein erhebliches Sicherheitsrisiko darstellen. Das SIS stützt sich auf dedizierte Logiklöser, Steuerungen, sicherheitszertifizierte Feldgeräte (z. B. Sensoren, Stellelemente, Absperrventile usw.), Datenredundanzgeräte und -routinen sowie sicherheitszertifizierten Softwarecode. Beispielsweise werden Feldsensoren (z. B. pneumatische Sensoren, elektrische Schalter, intelligente Sender mit integrierter Diagnose usw.) verwendet, um Informationen (z. B. Temperatur, Druck, Durchflussrate usw.) zu sammeln, um eine Notsituation zu identifizieren. Logiklöser bieten einen ausfallsicheren und fehlertoleranten Betrieb, um auf der Grundlage der gesammelten Informationen zu ergreifende Aktionen zu bestimmen, während Stellelemente (z. B. pneumatisch betätigte Zweistellungsventile, die von Magnetventilen betätigt werden) vom Logiksystem bestimmte Maßnahmen ausführen. Beispielsweise können SIS-Steuerungen die Sicherheitsübersteuerungen von Prozesssteuerventilen testen, indem sie ein Stromversorgungssignal für Magnetventile vorübergehend unterbrechen.
Ein ungeplantes, aber sicheres Herunterfahren des Prozesses kann aufgrund eines einem SIS zugeordneten Störauslöseereignisses auftreten und zu hohen Betriebskosten beitragen. Eine Post-Mortem-Analyse wird verwendet, um die Prozessbedingungen vor und nach der Auslösung zu bewerten, um die mögliche Grundursache des Ereignisses zu bestimmen. Datenprotokollierungsfunktionen ermöglichen das Sammeln von Daten im Zusammenhang mit der Ereignisanalyse vor und nach der Auslösung. Solche Datenprotokollierungsfunktionen müssen jedoch sicher sein, um unbefugten Zugriff auf das Netzwerk des Prozesssteuerungssystems zu verhindern. Aktuelle Datenabrufverfahren schließen das Verbinden eines Computers mit dem Sicherheitsnetzwerk des Steuerungssystems und das Ausführen einer Datenprotokollierungssoftwareanwendung auf diesem Computer oder das Remote-Verbinden mit dem Netzwerk zum Abrufen der Daten ein. Datenlogger, die physische oder Remote-Computerverbindungen zulassen, erhöhen Sicherheitsrisiken, da Cyber-Angriffsvektoren (z. B. Malware-Injektionen) in das SIS eingebracht werden können (z. B. für Cyberangriffe auf Logiklöser oder Systemsteuerungen). Bedrohungen für die Cybersicherheit können die Verfügbarkeit und Integrität eines SIS erheblich beeinträchtigen, das ebenso wie andere industrielle Steuerungssysteme, einschließlich verteilter Steuerungssysteme (DCS), nach wie vor anfällig für Cybervorfälle ist. Angesichts der Tatsache, dass SIS-Steuerungen kritische Assets (z. B. Raffinerien, Kraftwerke, Chemieanlagen, Offshore-Ölplattformen usw.) vor potenziell katastrophalen Funktionsstörungen schützen, hebt ein erfolgreicher Cyberangriff auf ein solches System eine ausgereifte Sicherheitsmaßnahme auf, bei der sich Bediener darauf verlassen, dass sie unerwünschte Ereignisse verhindert. Ebenso kann das Herbeiführen eines unbeabsichtigten Herunterfahrens des SIS durch einen Cyberangriff die Produktion abschalten, was betriebliche und finanzielle Auswirkungen nach sich zieht. Ein von der International Electrotechnical Commission (z. B. IEC 61511) festgelegter globaler Standard für funktionale Sicherheit, der Praktiken bei der Entwicklung von Systemen behandelt, die die Sicherheit eines industriellen Prozesses gewährleisten, erfordert, dass SIS-Designs Widerstandsfähigkeit gegen identifizierte Sicherheitsrisiken bieten. Gängige Vorbeugemaßnahmen wie Antivirensoftware sind jedoch möglicherweise nicht wirksam, wenn neue Cyberangriffe stattfinden, und bisher sind Signaturen zur Identifizierung solcher Angriffe noch nicht entwickelt und dazu eingesetzt, ungewöhnliche Ereignisse zu erkennen.
Die hier offenbarten Beispiele schalten das Potenzial aus, dass ein Datenlogger dazu verwendet wird, Cyber-Angriffsvektoren in ein Prozesssteuerungssystem einzubringen. In den hier offenbarten Beispielen kann eine Hardware-Datendiode in eine Datenlogger-Appliance eingebettet werden, um das Risiko eines erfolgreichen Cyberangriffs auf ein Prozesssteuerungssystem über den Datenlogger auszuschließen. In den hier offenbarten Beispielen kann der Datenlogger den Verkehr im Prozesssteuerungs-Sicherheitsnetzwerk abhören, jedoch keine Informationen an das Sicherheitsnetzwerk senden. Darüber hinaus können die hier offenbarten Beispiele Metadaten, protokollierte Daten und Zeitinformationen erfassen und speichern, die für die Analyse von Ereignissen nach der Auslösung erforderlich sind, und die ferner zum Interpretieren und Suchen von und Berichten über die Daten verwendet werden können. Beispielsweise können aufgezeichnete Daten in Bezug auf Informationen vor und nach der Auslösung abgerufen werden, ohne die Sicherheit des Prozesssteuerungssystems zu beeinträchtigen, und die Aktion des Speicherns von Datenprotokollen kann durch vom Benutzer konfigurierte ausgewählte Bedingungen ausgelöst werden. Die Einbeziehung der Hardware-Datendiode in den Datenlogger, wie hier beschrieben, erfordert keine Modifizierungen an der SIS-Architektur, um die Datenprotokollierung zu ermöglichen. Darüber hinaus können die hier vorgestellten Datenprotokollierungsaktivitäten dazu verwendet werden, Daten von verschiedenen Schichten eines Prozesssteuerungssystems (z. B. SIS, BPCS) sowie in verteilten Steuerungssystemen (DCS) zu sammeln und zu korrelieren. Diese Daten sind nicht auf sicherheitsrelevante Ereignisdaten beschränkt, sondern können jedes für ein Trigger-Ereignis relevante Sammeln von Daten beinhalten. Darüber hinaus ist die Verwendung eines auf Hardware-Datendioden basierenden Datenloggers nicht auf ein einzelnes Prozesssteuerungssystem beschränkt und kann in jedem industriellen Steuerungssystem implementiert werden, das erhöhten Cybersicherheitsschutz erfordert. In den hier offenbarten Beispielen kann der Datenlogger verwendet werden, um ungewöhnliche Verkehrsmuster innerhalb eines Netzwerks (z. B. Sicherheitsnetzwerk, Bereichssteuerungsnetzwerk) zu erkennen, um eine Warnung auszulösen, wenn signifikante Änderungen im Verkehrsmuster erkannt werden.
1 ist ein Blockdiagramm eines beispielhaften Prozesssteuerungssystems 100, das dazu konfiguriert werden kann, die hierin beschriebenen beispielhaften sicheren Datenloggervorrichtungen und -verfahren zum Zweck der Datenextraktion über ein internes Netzwerk zu verwenden. Das beispielhafte Prozesssteuerungssystem 100 schließt eine beispielhafte Bedienerstation 102 ein. Die Bedienerstation 102 ist über einen Bus oder ein beispielhaftes lokales Netzwerk (Local Area Network - LAN) 104 mit Steuerungen des Prozesssteuerungssystems, die eine beispielhafte BPCS-Steuerung (Basic Process Control System) 106 und eine beispielhafte SIS-Steuerung (Safety Instrumented System) 108 enthalten, kommunikativ gekoppelt. In einigen Beispielen ist das LAN 104 ein Area Control Network (Bereichssteuerungsnetzwerk - ACN), das unter Verwendung eines beliebigen gewünschten Kommunikationsmediums und -protokolls implementiert werden kann. Beispielsweise kann das LAN 104 auf einem fest verdrahteten oder drahtlosen Ethernet-Kommunikationsprotokoll basieren. Stattdessen könnte jedoch jedes andere geeignete drahtgebundene oder drahtlose Kommunikationsmedium und -protokoll verwendet werden.
Die Bedienerstation 102 kann dazu konfiguriert sein, Operationen auszuführen, die einer oder mehreren Informationstechnologieanwendungen, benutzerinteraktiven Anwendungen und/oder Kommunikationsanwendungen zugeordnet sind. Beispielsweise kann die Bedienerstation 102 dazu konfiguriert sein, Operationen durchzuführen, die prozesssteuerungsbezogenen Anwendungen und Kommunikationsanwendungen zugeordnet sind, die es der Station 102 und der/den Steuerung(en) 106 und/oder 108 ermöglichen, mit anderen Geräten oder Systemen unter Verwendung von beliebigen gewünschten Kommunikationsmedien (z. B. drahtlos, fest verdrahtet usw.) und -protokollen (z. B. HTTP, SOAP usw.) zu kommunizieren.
Die beispielhafte(n) Steuerung(en) 106 und/oder 108 (z. B. die BPCS-Steuerung 106 und die SIS-Steuerung 108) kann/können so konfiguriert sein, dass sie eine oder mehrere Prozesssteuerungsroutinen und/oder -funktionen ausführt/ausführen, die als ein oder mehrere Regelkreise arbeiten, die von einem Systemingenieur oder anderen Systembedienern beispielsweise unter Verwendung der Bedienerstation 102 oder einer anderen Arbeitsstation erzeugt wurden, und die auf die Steuerung(en) 106 und/oder 108 heruntergeladen und instanziiert wurden. Die Steuerung(en) 106 und/oder 108 kann/können über einen digitalen Datenbus und ein Eingabe-/Ausgabegerät (E/A-Gerät) mit einer Mehrzahl von Feldgeräten 110 bzw. 111 gekoppelt werden. In einigen Beispielen kann/können das/die Feldgerät(e) 110 und 111 über (eine) beispielhafte fest verdrahtete Verbindung(en) 109 mit der/den Steuerung(en) 106 und/oder 108 verbunden werden. Das/die Feldgerät(e) 110 und 111 kann/können Feldbus-kompatible Ventile, Stellantriebe, Sensoren usw. enthalten. In diesem Fall kommunizieren die Feldgeräte 110 und 111 über einen digitalen Datenbus unter Verwendung eines Feldbus-Protokolls. In einigen Beispielen können andere Arten von Feldgeräten und Kommunikationsprotokollen verwendet werden. Beispielsweise kann das Feldgerät / können die Feldgeräte 110 und 111 Profibus-, HART- oder AS-i-kompatible Geräte sein, die über einen Datenbus unter Verwendung von Profibus-, ASi- und HART-Kommunikationsprotokollen kommunizieren.
Bekannte Installationen in der Prozessindustrie verfügen über Feldgeräte (z. B. Sensoren, Ventile usw.), die von einem BPCS und einem SIS gemeinsam genutzt werden. Beispielsweise können Sensordaten zwischen dem BPCS und dem SIS gemeinsam genutzt werden, indem ein Signalteiler verwendet und derselbe Sensor mit beiden Systemen verdrahtet wird. In anderen Beispielen ermöglichen es integrierte Steuerungs- und Sicherheitssysteme, dass ein Logiklöser die Eingangssignaldaten direkt mit einer oder mehreren Prozesssteuerungen gemeinsam nutzt. In einigen Beispielen sind die Feldgeräte spezifisch für eine Prozesssteuerung (z. B. sind das/die Feldgerät(e) 110 kommunikativ mit der BPCS-Steuerung 106 gekoppelt, während das/die Feldgerät(e) 111 mit der SIS-Steuerung 108 kommunikativ gekoppelt sind). Die BPCS-Steuerung 106 und die SIS-Steuerung 108 empfangen Signale, die Prozessmessungen angeben, die von dem/den Feldgerät(en) 110 bzw. 111 durchgeführt werden, und/oder andere Informationen zu dem/den Feldgerät(en) 110 und 111, und diese Informationen verwenden, um Steuerroutinen zu implementieren und Steuersignale zu erzeugen, die über die Busse und/oder andere Kommunikationpfade an die Feldgeräte 110 und 111 gesendet werden, um den Betrieb des Prozesses zu steuern. Informationen von dem/den Feldgerät(en) 110 und 111 und der/den Steuerung(en) 106 und 108 können einer oder mehreren Anwendungen zur Verfügung gestellt werden, die von der Bedienerstation 102 ausgeführt werden, um es einem Bediener zu ermöglichen, gewünschte Funktionen in Bezug auf den Prozess auszuführen, wie beispielsweise das Anzeigen des aktuellen Zustands des Prozesses, das Modifizieren des Prozessbetriebs usw. Zum Beispiel kann die SIS-Steuerung 108 Signale von dem/den Feldgerät(en) 111 (z. B. Feldgeräten in direkter Kommunikation mit dem SIS) und/oder Feldgerät(en) 128 (z. B. Feldgeräten in Kommunikation sowohl mit dem BPCS als auch dem SIS) lesen und vorprogrammierte Aktionen zur Vermeidung einer Gefahr durch Bereitstellen von Ausgang/Ausgängen an Stellelemente ausführen.
In 1 schließt ein beispielhaftes SIS 140 die SIS-Steuerung 108, das/die SIS-dedizierte(n) Feldgerät(e) 111, einen beispielhaften Datenlogger 112a, ein beispielhaftes lokales Sicherheitsnetzwerk 120, beispielhafte(n) Logiklöser 124 und das/die Feldgerät(e) 128 ein. Ein beispielhaftes BPCS 150 schließt die BPCS-Steuerung 106, das/die BPCS-dedizierten Feldgerät(e) 110, einen beispielhaften Datenlogger 131a, ein beispielhaftes Bereichssteuerungsnetzwerk 132, beispielhafte(n) Logiklöser 136 und das/die Feldgerät(e) 128 ein. Das lokale Sicherheitsnetzwerk 120 kann ein Prozesssicherheitssystem-dediziertes Standard-Ethernet-Netzwerk sein, das die Kommunikation zwischen der SIS-Steuerung 108 und dem/den Logiklöser(n) 124 ermöglicht. In ähnlicher Weise kann das Bereichssteuerungsnetzwerk 132 ein Prozesssteuerungssystem-dediziertes Standard-Ethernet-Netzwerk sein, das die Kommunikation zwischen der BPCS-Steuerung 106 und dem/den Logiklöser(n) 136 ermöglicht. Der/die Logiklöser 124 und 136 können intelligente Logiklöser enthalten, die sichere Parameter und Eingangsdaten an andere Logiklöser über das lokale Sicherheitsnetzwerk 120 bzw. das Bereichssteuerungsnetzwerk 132 kommunizieren. In einigen Beispielen kann die SIS-Steuerung 108 zusätzlich zu dem lokalen Sicherheitsnetzwerk 120 eine Verbindung zum Bereichssteuerungsnetzwerk 132 herstellen, so dass der/die SIS-dedizierte(n) Logiklöser 124 vom Prozesssteuerungssystem isoliert ist/sind. Beispielsweise kann das lokale Sicherheitsnetzwerk 120 weiterhin dediziert für sicherheitsrelevante Zwecke sein, anstatt sowohl für die Steuerung als auch für die Sicherheit verwendet zu werden, wodurch die SIS-Komponenten gegen einen Ausfall des Bereichssteuerungsnetzwerks 132 immun sein können. Die SIS-Komponenten können über einen Bus 126 und/oder das lokale Sicherheitsnetzwerk 120 kommunikativ gekoppelt werden, und die BPCS-Komponenten können über einen Bus 130 und/oder das Bereichssteuerungsnetzwerk 132 kommunikativ gekoppelt werden. Das lokale Sicherheitsnetzwerk 120 und das lokale Bereichssteuerungsnetzwerk 132 können Netzwerk-Switches enthalten, die zum Steuern des Datenflusses durch das Sicherheitsnetzwerk 120 und das Bereichssteuerungsnetzwerk 132 verwendet werden.
Der Datenlogger 112a des SIS 140 ist mit dem lokalen Sicherheitsnetzwerk 120 kommunikativ gekoppelt, um alle Eingangsinformationen und spezifischen Daten zu erfassen und zu speichern, die zum Durchführen einer Auslösungsanalyse erforderlich sind. In einigen Beispielen können diese Informationen kontinuierlich in einer Datenspeicherkomponente (z. B. auf einer Festplatte) gespeichert und nach einer bestimmten Zeitspanne (z. B. einer von einem Benutzer konfigurierten Zeitspanne) überschrieben werden, wenn im SIS 140 kein Trigger-Ereignis erkannt wird. In einigen Beispielen zeichnet der Datenlogger 112a alle Daten auf, bevor und nachdem ein Trigger-Ereignis erkannt wurde, basierend auf vom Benutzer konfigurierbaren Einstellungen, wie nachstehend in Verbindung mit 3-4 beschrieben. Solche Daten können Zeitstempelinformationen für jeden gesammelten Datenpunkt enthalten, der vom SIS 140 bereitgestellt wird. In einigen Beispielen kann die Datenerfassungsaktivität des Datenloggers 112a das Aufzeichnen der Integrität oder des Status jedes Datenpunkts einschließen, der zur Verwendung während der Auslöseereignisanalyse (z. B. Qualitätskontrolldaten) erfasst wurde, oder jede andere Art von Analyse, die unter Verwendung von vom Datenlogger 112a erfassten Daten (z. B. Daten, die von einem Benutzer konfiguriert wurden, um vom Datenlogger 112a erfasst zu werden) durchgeführt werden soll. Beispielsweise kann es eine gründliche Bewertung der Daten erfordern, dass die Datenintegrität nicht beeinträchtigt wird (z. B. wird bei der Analyse der Grad der Genauigkeit, Vollständigkeit und Konsistenz der Daten berücksichtigt). Während die Benutzerkonfiguration des Datenloggers 112a durchgeführt werden kann (z. B. um zu sammelnde Parameter zu definieren, beispielsweise durch Exportieren von Informationen aus dem SIS 140, um Sammelpunkte innerhalb des Datenloggers 112a zu konfigurieren), sind keine Modifizierungen am SIS 140 erforderlich, um die Datenprotokollierung mit dem Datenlogger 112a zu ermöglichen. Im Gegensatz zu bekannten Datenprotokollierungsanwendungen ist beispielsweise die Installation von Software oder das Aktivieren bestimmter Dienste auf der SIS-Engineering-Station (z. B. der Bedienerstation 102) nicht erforderlich, damit der Datenlogger 112a Informationen vom SIS 140 abrufen kann, da der Datenlogger 112a in der Lage ist, ein Prozesssteuerungsnetzwerk zu entdecken und SIS-dedizierte Geräte im Netzwerk des Prozesssteuerungssystems automatisch identifizieren kann. Während der Datenlogger 112a ein SIS-dedizierter Datenlogger ist, ist der beispielhafte Datenlogger 131a ein BPCS-dedizierter Datenlogger, der zum kommunikativen Koppeln mit dem Bereichssteuerungsnetzwerk 132 verwendet werden kann, um alle Eingangsinformationen und BPCS-spezifischen Daten zu erfassen und zu speichern, die nach Bedarf für Bewertungen außerhalb des Netzwerks abgerufen werden können.
Die Datenlogger 112a und 131a enthalten jeweils integrierte Hardware-Datendioden 112b und 131b, um die Verwendung der Datenlogger 112a und/oder 131a als Angriffsvektor (z. B. zum Zweck eines Cybersicherheitsangriffs auf das Prozesssteuerungssystem 100 über Malware-Injektion) zu verhindern. In dem Beispiel von 1 sind die Datendioden 112b und 131b als innerhalb der Datenlogger 112a bzw. 131a angeordnet gezeigt. In diesem Beispiel ist die Verbindung zwischen jedem der Datenlogger und den Datendioden eine physische Verbindung. In einigen Beispielen kann die Verbindung zwischen den Datenloggern und den Datendioden jedoch eine logische statt eine physische Verbindung sein. Die Datendioden 112b und 131b bieten den Datenloggern 112a und 131a Nur-Hör-Funktionen, sodass die Datenlogger 112a und 131a Eingangsinformationen erfassen und speichern, die Informationen in eine Richtung (z. B. unidirektional) an jeweilige beispielhafte Datenextraktoren 116 und/oder 117 übertragen, aber einen Eingang von den Datenextraktoren 116 und 117 in das Prozesssteuerungssystem 100 (z. B. Eingang in das SIS 140 über den Datenlogger 112a und/oder Eingang in das BPCS 150 über den Datenlogger 131a) verhindern können. In einigen Beispielen können die Datendioden 112b und 131b zwei Knoten oder Schaltungen (z. B. einen „Nur Senden“-Knoten und einen „Nur Empfangen“-Knoten) enthalten, die einen Datenfluss von einer Quelle (z. B. dem lokalen Sicherheitsnetzwerk 120 zum Datenlogger 112a über die Datendiode 112b) nur in eine Richtung ermöglichen. In einigen Beispielen können die Datendioden 112b und 131b eine optische Faser mit einem Sender auf der einen Seite (z. B. einem Port zum Übertragen von Informationen an ein externes Gerät) und einem Empfänger auf der anderen Seite (z. B. einem Port zum Empfangen von Informationen vom Prozesssteuerungssystem) enthalten, um sicherzustellen, dass Daten nur in eine Richtung übertragen werden können. Beispielsweise können die Datendioden 112b und 131b Switch Fabrics (z. B. ein erstes Switch Fabric und ein zweites Switch Fabric) enthalten, die so miteinander verbunden sind, dass ein Port des ersten Switch Fabric, der Daten überträgt (z. B. Daten von der BPCS-Steuerung 106 und/oder der SIS-Steuerung 108 und/oder Daten von dem lokalen Sicherheitsnetzwerk 120 und/oder dem Bereichssteuerungsnetzwerk 132) mit einem Port des zweiten Switch Fabric verbunden ist, der Daten empfängt (z. B. der/die Datenlogger 112a und/oder 131a). Es wird jedoch keine weitere Verbindung zwischen den Switch Fabrics hergestellt, um den unidirektionalen Datenfluss aufrechtzuerhalten. Die Switch Fabrics können so konfiguriert werden, dass ein Verbindungsstatus (z. B. „Link Up“ oder „Link Down“) für diese miteinander verbundenen Switch Ports ignoriert wird, sodass andere Ports des ersten Switch Fabric Pakete (z. B. Daten, die über ein Netzwerk gesendet werden) zum zweiten Switch Fabric weiterleiten können. In einigen Beispielen kann der Switch Fabric-Port, der Daten empfängt (z. B. ein Port des zweiten Switch Fabric, der auch als Verbindungsport bezeichnet wird, weil er zwei separate Geräte, wie z. B. den Datenlogger 112a und den Datenextraktor 116, verbinden kann) empfangene Pakete an seine anderen Ports weiterleiten. In einigen Beispielen sind die Switch Fabrics so konfiguriert, dass sie den Datenverkehr wie vorstehend beschrieben unabhängig von den möglicherweise gelernten internen MAC-Adresstabellen weiterleiten. Beispielsweise enthält eine MAC-Adresstabelle Adressinformationen, mit denen ein Switch Datenverkehr zwischen Ports weiterleiten kann, sodass die MAC-Adressen in einer solchen Tabelle einem oder mehreren Ports zugeordnet sind. Durch Deaktivieren des Lernens von MAC-Adressen stellt der Switch den Weiterleitungsverkehr basierend auf einer bestimmten Konfiguration her und erleichtert somit den unidirektionalen Datenfluss, während Geräte, die mit anderen Ports des Switch verbunden sind, mit einem Status „gut“ (z. B. verbunden) versehen werden können. Eine aus dem Netzwerk herausgeleitete Datendiode (z. B. das lokale Sicherheitsnetzwerk 120 und/oder das Bereichssteuerungsnetzwerk 132), wie in Verbindung mit den beispielhaften Datendioden 112b und 131b gezeigt, die darauf ausgerichtet sind, Daten aus dem Netzwerk heraus zu übertragen, ermöglicht es dem Netzwerk, geschützt zu bleiben, indem sie gewährleistet, dass dieselbe Verbindung nicht in der entgegengesetzten Richtung verwendet werden kann, um das sichere Netzwerk zu erreichen und die Umgebung des Prozesssteuerungssystems 100 zu beeinträchtigen. Somit kann eine Datendiode dazu verwendet werden, ein Netzwerk zu segmentieren, das Netzwerk zu verteidigen und/oder Informationen unidirektional (z. B. vom Netzwerk zum Datenlogger und weiter zum Datenextraktor) zu übertragen. In einigen Beispielen können die Datendioden 112b und 131b in die Datenlogger 112a und 131a eingebettet sein, um Daten vom lokalen Sicherheitsnetzwerk 120 und/oder dem Bereichssteuerungsnetzwerk 132 an ein externes System und/oder einen Benutzer zu senden, ohne einen Angriffsvektor zurück zum gesicherten Netzwerk zu erzeugen.
In dem Beispiel von 1 erfolgt die Datenübertragung von den Datenloggern 112a und 131a zu den Datenextraktoren 116 bzw. 117 unter Verwendung eines lokalen Netzwerks, während das Beispiel von 2 die Verwendung von Datenloggern für die Datenübertragung über ein externes Netzwerk beschreibt. Im Gegensatz zur Verwendung von Software, die auch für einen Cyberangriff anfällig ist (z. B. eine Firewall), ermöglicht das Einbetten einer Datendiode in einen Datenlogger eine hardwaregestützte Datenübertragung, die ein Maß an Cybersicherheit bietet, das bei einem externen Angriff nur schwer zu beeinträchtigen ist. Der hier offenbarte Datendioden-basierte Datenlogger ist jedoch nicht auf Anwendungen in sicherheitsinstrumentierten Systemen oder grundlegenden Prozesssteuerungssystemen beschränkt und kann daher in jeder Art von industrieller Prozesssteuerungsanwendung für erhöhte Sicherheit (z. B. in einem verteilten Steuerungssystem) verwendet werden. Da beispielsweise die Datendioden 112b und 131b hardwarebasiert sind, ist ein Online-Angriff auf die Datendioden 112b und 131b schwierig durchzuführen, da die Datendiode(n) keine Software, Logik oder vor Ort programmierbare Gate-Arrays enthält/enthalten und den Signalweg in einer Richtung über einen physischen Pfad zulassen. Ebenso würden eventuelle Probleme in einem Datenlogger-Netzwerk (z. B. einer Reihe von miteinander verbundenen Datenloggern) die Integrität des Sicherheitsnetzwerks nicht beeinträchtigen. Sofern beispielsweise die Datendiode (z. B. die Datendiode(n) 112b und 131b) zwischen dem Netzwerk des Prozesssteuerungssystems (z. B. dem lokalen Sicherheitsnetzwerk 120 und/oder dem Bereichssteuerungsnetzwerk 132) und dem Datenlogger (z. B. dem/den Datenlogger(n) 112a und/oder 131a) positioniert ist, beeinflusst der Datenlogger das Netzwerk, das er abhört, nicht, da Daten über die Datendiode unidirektional vom Netzwerk zum Datenlogger übertragen werden. In einigen Beispielen kann/können der/die Datenlogger 112a und/oder 131a dazu verwendet werden, eine Verbindung mit mehr als einem Netzwerk herzustellen (z. B. kann der Datenlogger 112a dazu verwendet werden, eine Verbindung mit dem lokalen Sicherheitsnetzwerk 120 und dem Bereichssteuerungsnetzwerk 132 herzustellen), wenn angemessene Sicherheitsschutzmaßnahmen vorhanden sind. In Beispielen, in denen das Datensammeln mit der Auslösunganalyse zusammenhängt, kann die Datenprotokollierung so konfiguriert werden, dass automatisch alle Daten verworfen werden, die für die Analyse nicht erforderlich sind, um das Risiko zu vermeiden, dass der Datenlogger als Mechanismus zum Decodieren des Sicherheitsnetzwerkverkehrs für kriminelle Zwecke verwendet wird. In einigen Beispielen können das SIS 140 und/oder das BPCS 150 gewarnt werden, wenn der/die Datenlogger 112a und/oder 131a nicht betriebsbereit ist/sind (z. B. durch Senden von Informationen vom Datenlogger 112a an das SIS 140). In solchen Beispielen zum Warnen eines Prozesssteuerungssystems, dass der/die Datenlogger 112a und/oder 131a nicht funktionsfähig ist/sind, findet kein Verkehr in das Sicherheitsnetzwerk 120 statt. Beispielsweise stellt der Datenlogger 112a die Informationen entweder unter Verwendung eines physischen Signals (z. B. eines potenzialfreien Kontakts, wie beispielsweise eines Alarms 118) oder einer Nachricht in einem anderen Netzwerk als dem Sicherheitsnetzwerk 120 (z. B. einer Nachricht an die Bedienerstation 102 über das Bereichssteuerungsnetzwerk 132) bereit.
In einigen Beispielen können die Datenlogger 112a und 131a dazu verwendet werden, ungewöhnliche Verkehrsmuster innerhalb eines oder mehrerer Sicherheitsnetzwerke zu erkennen. Beispielsweise können die Datenlogger 112a und 131a dazu verwendet werden, einen unerwarteten Netzknoten zu erkennen und einen Alarm als Reaktion auf die Erkennung auszulösen (z. B. Beispielalarme 118, 119, die mit demden Datenlogger(n) 112a und/oder 131a verbunden sind). Beispielsweise kann/können der/die Datenlogger 112a und/oder 131a einen Ausgangswert für den Verkehr auf dem lokalen Sicherheitsnetzwerk 120 und/oder dem Bereichssteuerungsnetzwerk 132 erzeugen. Wenn die Datenlogger 112a und/oder 131a signifikante Änderungen im Verkehrsmuster erkennen, können das SIS 140 und/oder das BPCS 150 unter Verwendung des einen Alarms oder der mehreren Alarme 118 und/oder 119 vor diesem potenziellen Sicherheitsproblem gewarnt werden. In einigen Beispielen können ein oder mehrere Datenlogger verwendet werden, um Daten in anderen Netzwerken zu sammeln (z. B. kann der Datenlogger 112a des SIS 140 verwendet werden, um Daten zusätzlich zum örtlichen Sicherheitsnetzwerk 120 aus dem Bereichssteuerungsnetzwerk 132 des BPCS 150 zu sammeln). Das Datensammeln sowohl im SIS 140 als auch im BPCS 150, wie im Beispiel von 1 dargestellt, wo der Datenlogger 112a und der Datenlogger 131a verwendet werden, um Daten von beiden Netzwerken des Prozesssteuerungssystems zu sammeln, kann dazu verwendet werden, Triggersignale zu koordinieren, so dass aufgezeichnete Daten korreliert werden können. Beispielsweise ermöglicht die Verwendung des Datensammelns sowohl vom SIS 140 als auch vom BPCS 150 die Bestimmung, ob eine SIS-Anforderung durch einen BPCS-Fehler erzeugt wurde oder nicht. Somit kann der Zugriff auf beide Sätze von Daten über einen oder mehrere der Datenlogger 112a und/oder 131a die Analyse der Grundursachen verbessern. In einigen Beispielen kann/können der/die Datenlogger 112a und/oder 131a mehrere Ports enthalten, wobei der/die Datenlogger 112a und/oder 131a eine oder mehrere Datendioden aufweisen (z. B. eine Datendiode pro Port). Beispielsweise kann/können der/die Datenlogger 112a und/oder 131a über eine Verbindung 113 kommunizieren, die es den Datenloggern 112a und/oder 131a ermöglicht, Informationen bezüglich des SIS 140 und/oder des BPCS 150 auszutauschen. Wenn Informationen zwischen den Datenloggern 112a und 131a ausgetauscht werden, bleibt das SIS 140 aufgrund der Positionierung der Datendiode 112b vom BPCS 150 isoliert, so dass der Datenlogger Informationen vom Sicherheitsnetzwerk 120 empfängt, aber keine Informationen an das Netzwerk zurücksendet 120. Dies bietet zusätzlichen Schutz für das Netzwerk des Prozesssteuerungssystems für den Fall, dass der/die Datenlogger 112a und/oder 131a beschädigt wird/werden. In einigen Beispielen erfordert die Verwendung von Datenloggern das Ändern einer Switch-Konfiguration (z. B. um einen Port in den „Promiscuous“-Modus zu versetzen), damit der gesamte Netzwerkverkehr an den Port gesendet werden kann. In einigen Beispielen können die Datenlogger 112a und 131a als Inline-Geräte eingesetzt werden, um zu verhindern, dass die Portkonfiguration an einem Netzwerk-Switch (z. B. einem Netzwerk-Switch für das lokale Sicherheitsnetzwerk 120 und/oder das Bereichssteuerungsnetzwerk 132) geändert werden muss. In einigen Beispielen kann/können der/die Datenlogger 112a und/oder 131a zwei Ports enthalten (z. B. zwei Ports für das SIS 140 und/oder zwei Ports für das BPCS 150 und/oder jeweils einen Port für das SIS 140 und das BPCS 150). Damit ist sichergestellt, dass keine Änderungen für den Netzwerk-Switch des Steuerungssystems erforderlich sind. Beispielsweise ist, wie in 1 dargestellt, der Datenlogger 112a zwischen dem lokalen Sicherheitsnetzwerk 120, das einen Netzwerk-Switch enthalten kann, und einem zu überwachenden Netzknoten (z. B. der SIS-Steuerung 108) verbunden. In einigen Beispielen kann/können der zu überwachende Netzknoten beispielsweise der/die Logiklöser 124 des SIS sein. Ferner ist, wie in 1 dargestellt, der Datenlogger 131a zwischen dem Netzwerk-Switch des Steuerungssystems (z. B. einem Netzwerk-Switch des Bereichssteuerungsnetzwerks 132) und einem zu überwachenden Netzknoten (z. B. der BPCS-Steuerung 106) verbunden. In einigen Beispielen kann/können der/die Datenlogger 112a und/oder 131a zusätzliche Ports für das Vernetzen mit anderen Datenloggern (z. B. damit der SIS-dedizierte Datenlogger 112a mit dem BPCS-dedizierten Datenlogger 131a vernetzt werden kann) als zusätzliche potenzialfreie Kontakte für Alarmierungszwecke (z. B. unter Verwendung des/der Alarm(e) 118 und/oder 119) aufweisen. In einigen Beispielen kann/können einer der Ports für den/die Datenlogger 112a und/oder 131a für die BPCS 150-Verbindung oder die SIS 140-Verbindung deaktiviert und stattdessen mit einem freien Port im SIS 140-Netzwerk (z. B. unter Verwendung von einem Netzwerk-Switch des lokalen Sicherheitsnetzwerks 120) oder dem BPCS 150-Netzwerk (z. B. unter Verwendung von einem Netzwerk-Switch des Bereichssteuerungsnetzwerks 132) verbunden werden.
Die Datenextraktoren 116 und/oder 117 rufen Daten ab, die in den Datenloggern 112a und/oder 131a gespeichert sind. Beispielsweise können die Datenextraktoren 116 und/oder 117 unter Verwendung eines Computergeräts (z. B. eines Laptops oder eines anderen mobilen Computers) implementiert werden, das über Bluetooth eine Verbindung zu dem/den Datenloggern 112a und/oder 131a herstellen kann. Eine solche Verbindung erfordert den physischen Zugriff auf den/die Datenlogger 112a und/oder 131a (z. B. Zugriff auf das interne Netzwerk), was im Vergleich zum Extrahieren von Daten über eine Remote-Netzwerkverbindung (z. B. wie in Verbindung mit 2 beschrieben) ein geringeres Sicherheitsrisiko darstellt. Die Datenextraktoren 116 und/oder 117 können auch ein USB-Laufwerk sein, das physisch in den/die Datenlogger 112a und/oder 131a eingesteckt ist. In einigen Beispielen kann ein einzelner Computer als Datenextraktor 116 oder 117 verwendet werden, um Daten von mehreren Datenloggern 112a und/oder 131a zu extrahieren, die über ein separates und/oder isoliertes Netzwerk verbunden sind.
Der/die Logiklöser 124 wird/werden unter Verwendung der SIS-Steuerung 108 implementiert, die dazu konfiguriert ist, eine oder mehrere sicherheitsinstrumentierte Funktionen zu implementieren. Beispielsweise kann eine sicherheitsinstrumentierte Funktion das Überwachen einer oder mehrerer Prozessbedingungen einschließen, die einer oder mehreren spezifischen Gefahren und/oder unsicheren Bedingungen zugeordnet sind, und das Bewerten der Prozessbedingungen, um zu bestimmen, ob ein Herunterfahren des Prozesses gerechtfertigt ist. Wenn ein Herunterfahren des Prozesses gerechtfertigt ist, werden ein oder mehrere Feldgeräte, Komponenten und/oder Elemente (z. B. Absperrventile) dazu eingesetzt, das Herunterfahren zu bewirken oder durchzuführen. In einigen Beispielen kann jede sicherheitsinstrumentierte Funktion unter Verwendung mindestens einer Sensorvorrichtung, eines Logiklösers und eines Feldgeräts implementiert werden. Der/die) Logiklöser 124 kann/können dazu konfiguriert sein, mindestens einen Prozesssteuerungsparameter über einen oder mehrere Sensoren zu überwachen und die Feldgeräte (z. B. Feldgerät(e) 128) zu betreiben, um ein sicheres Herunterfahren des Prozesses zu bewirken, wenn gefährliche Bedingungen erkannt werden. Beispielsweise können der/die Logiklöser 124 (z. B. über den Bus 126) mit dem/den Feldgerät(en) 128 (z. B. einem Drucksensor, der den Druck in einem Behälter oder Tank erfasst), die dazu konfiguriert werden können, das Herunterfahren zu unterstützen (z. B. das Öffnen eines Entlüftungsventils zu bewirken, wenn über einen Drucksensor ein unsicherer Überdruckzustand erkannt wird), kommunikativ gekoppelt werden. Der/die Logiklöser 124 können dazu konfiguriert sein, eine oder mehrere sicherheitsinstrumentierte Funktionen zu implementieren, und kann/können mit mehreren sicherheitsbewerteten oder -zertifizierten Feldgeräten kommunikativ gekoppelt werden. Wie in 1 dargestellt, ist/sind der/die Logiklöser 124 über den Beispielbus 126 und/oder das lokale Sicherheitsnetzwerk 120 mit der SIS-Steuerung 108 kommunikativ gekoppelt. Der/die Logiklöser 124 könnten jedoch alternativ auf jede andere gewünschte Weise innerhalb des Systems 100 kommunikativ gekoppelt werden. Unabhängig von der Art und Weise, in der der/die Logiklöser 124 mit dem System 100 gekoppelt ist/sind, ist/sind der/die Logiklöser 124 vorzugsweise, aber nicht notwendigerweise logische Peers in Bezug auf die SIS-Steuerung 108. Im Gegensatz zu dem/den Logiklöser(n) 124 ist/sind der/die Logiklöser 136 vom SIS 140 getrennt und haben keinen Zugriff auf das lokale SIS-Sicherheitsnetzwerk 120, auf das auch andere Komponenten des BPCS 150 nicht zugreifen können. In einigen Beispielen kann die BPCS-Steuerung 106 Informationen von dem/den Logiklöser(n) 124 über einen anderen Bus empfangen, damit SIS-Informationen von Anlagenbetreibern angezeigt werden können. In einigen Beispielen können solche Informationen unter Verwendung des auf Datendioden basierenden Datenloggers (z. B. Datenlogger 131a) erhalten werden, wobei ein zusätzlicher Port verwendet wird, um eine Verbindung mit dem lokalen Sicherheitsnetzwerk herzustellen (z. B. über den Switch des lokalen Sicherheitsnetzwerks 120), wie vorstehend beschrieben. In einigen Beispielen kann der zusätzliche Port am Datenlogger 131a verwendet werden, um eine Verbindung zu einem anderen Datenlogger (z. B. dem Datenlogger 112a) herzustellen, um die SISbezogenen Informationen abzurufen.
Die Feldgeräte 110, 111 und 128 können intelligente oder nicht intelligente Feldgeräte sein, einschließlich Sensoren, Stellantrieben und/oder anderer Prozesssteuergeräte, die zum Überwachen der Prozessbedingungen und/oder zum kontrollierten Herunterfahren des Prozesssteuerungssystems 100 verwendet werden können. Beispielsweise können die Feldgeräte 110, 111 und 128 sicherheitszertifizierte oder -bewertete Durchflusssensoren, Temperatursensoren, Drucksensoren, Absperrventile, Entlüftungsventile, Absperrschieber, kritische Zweistellungsventile usw. sein. Eine beliebige Anzahl von Feldgeräten und/oder Logiklösern können in dem Prozesssteuerungssystem für eine beliebige Anzahl von gewünschten Prozesssteuerungs- oder sicherheitsinstrumentierten Funktionen implementiert werden. In dem Fall, in dem beispielsweise das//die Feldgerät(e) 128 intelligente Geräte ist/sind, kann/können der/die Logiklöser 124 mit dem/den Feldgerät(en) 128 unter Verwendung eines festverdrahteten digitalen Kommunikationsprotokolls (z. B. HART, Feldbus usw.) kommunizieren. Stattdessen können jedoch alle anderen Arten von Kommunikationsmedien (z. B. festverdrahtet, drahtlos usw.) und -protokolle verwendet werden.
2 ist ein Blockdiagramm eines beispielhaften Prozesssteuerungssystems 200, das konfiguriert werden kann, um die hierin beschriebenen beispielhaften sicheren Datenloggervorrichtungen und -verfahren zum Zweck der Datenextraktion über ein externes Netzwerk zu verwenden. Da einige Elemente des dargestellten Beispiels von 2 identisch mit den vorstehend in Verbindung mit 1 Erörterten sind, wird die Beschreibung identischer Elemente hier nicht wiederholt. Stattdessen sind identische Elemente mit identischen Bezugszahlen in 2 dargestellt, was eine vollständige Beschreibung dieser Elemente mit gleicher Nummerierung bereitstellt. Im Gegensatz zu dem dargestellten Beispiel von 1 verfügen in dem beispielhaften Prozesssteuerungssystem 200 von 2 die beispielhaften Datenlogger 112a und 131a über die zusätzliche Fähigkeit, Daten über ein externes Netzwerk (z. B. ein externes Netzwerk 212) an einen Datenextraktor zu übertragen. Beispielsweise können die Datenlogger 112a und 131a von 2 Edge-Gateway-Fähigkeiten bereitstellen (z. B. Zugriff auf ein externes Netzwerk außerhalb der Prozesssteuerungsnetzwerke, einschließlich des lokalen Sicherheitsnetzwerks 120 und des Bereichssteuerungsnetzwerks 132). Beispielsweise können die Datenlogger 112a und 131a dazu verwendet werden, Daten lokal im Edge-Bereich vorzuverarbeiten, bevor sie an die Cloud (z. B. das externe Netzwerk 212) gesendet werden, wodurch ein Gateway zwischen Netzwerken bereitgestellt wird, indem der Datenfluss an den Grenzen zwischen den Netzwerken gesteuert wird. Anstatt separate Edge-Gateway- und Datenprotokollierungsgeräte zu verwenden, verwendet/verwenden der/die Datenlogger 112a und/oder 131a somit die gesammelten Daten, um deren Übertragung an einen Endbenutzer über das externe Netzwerk 212 zuzulassen. Beispielsweise kann/können der/die Datenlogger 112a und/oder 131a Informationen von dem Steuerungssystem (z. B. einem SIS 240 und/oder einem BPCS 250) weiterleiten, die von dem Steuerungssystem (z. B. der BPCS-Steuerung 106 und/oder SIS-Steuerung 108) nicht verwendet werden, um sie auf sichere Weise einer externen Anwendung zur Verfügung zu stellen.
In einigen Beispielen kann/können der/die Datenlogger 112a und/oder 131a mit den Eingangs-/Ausgangs-(E/A)-Systemen 208 und/oder 216 des einen oder der mehreren SIS 240 und/oder BPCS 250 verbunden sein, wie in dem Beispiel von 2 veranschaulicht. Das/die E/A-System(e) 208 und/oder 216 empfängt/empfangen Daten von dem/den Feldgerät(en) 128 und wandelt/wandeln die Daten in Kommunikationen um, die von der/den beispielhaften Steuerung(en) 106 und/oder 108 verarbeitet werden können. Ebenso kann/können das/die E/A-System(e) 208 und/oder 216 Daten oder Kommunikationen von der/den Steuerung(en) 106 und/oder 108 in ein Datenformat konvertieren, das von dem/den entsprechenden Feldgerät(en) 128 verarbeitet werden kann. In einigen Beispielen ist das E/A-Subsystem ein E/A-Subsystem des Hauptsteuerungssystems, das Informationen von Feldgeräten empfängt, die im Prozesssteuerungssystem eingesetzt werden (z. B. Feldgerät(e) 128). In solchen Beispielen können die Datenlogger 112a und 131a Daten abhören, die vom Bereichssteuerungsnetzwerk 132 und/oder vom lokalen Sicherheitsnetzwerk 120 über das E/A-System verfügbar sind, und die Daten über ein externes Netzwerk übertragen. In solchen Beispielen benötigt/benötigen der/die Datenlogger 112a und/oder 131a keinen Zugriff auf jedes einzelne Netzwerk des Prozesssteuerungssystems. Die Kommunikation von den Datenloggern 112a und/oder 131a zu dem externen Netzwerk 212 kann beispielsweise über eine Ethernet-Verbindung, ein Koaxialkabelsystem, ein Satellitensystem, ein drahtloses Line-of-Site-System usw. erfolgen.
3 ist ein Blockdiagramm, das einen beispielhaften Datenlogger zum Protokollieren von Daten im Netzwerk des Prozesssteuerungssystems 100 und/oder 200 gemäß den Lehren dieser Offenbarung veranschaulicht. Der beispielhafte Datenlogger 300 kann verwendet werden, um die Datenlogger 112a und 131a zu implementieren, und beinhaltet einen beispielhaften Datenspeicher 302, einen beispielhaften Konfigurator 304, einen beispielhaften Zeitgeber 306, einen beispielhaften Ereignisdetektor 308, einen beispielhaften Datenparser 310, eine beispielhafte Kennung 312 und einen beispielhaften Verbinder 314.
Der Datenspeicher 302 speichert Informationen, die er von der Prozesssteuerung empfangen hat (z. B. der Steuerung 106 des grundlegenden Prozesssteuerungssystems (BPCS) und/oder der Steuerung 108 des sicherheitsinstrumentierten Systems (SIS)). Vom Datenspeicher 302 gespeicherte Prozesssteuerungssysteminformationen können alle vom Datenlogger 300 erfassten Informationen enthalten, die von der/den Steuerung(en) 106 und/oder 108 empfangen werden. In einigen Beispielen können die Eingangsinformationen kontinuierlich in dem Datenspeicher 302 (z. B. einer Festplatte) gespeichert werden. Der Datenspeicher 302 kann Daten enthalten, die dafür relevant sind, dass die Aktivität der Steuerungen 106 und/oder 108 über eine Zeitspanne stattfinden, wie beispielsweise Daten, die von dem/den Feldgerät(en) 110, 111 und/oder 128 (z. B. Sensoren, Stellelementen, Absperrventilen usw.) erfasst werden. In einigen Beispielen können die in dem Datenspeicher 302 gespeicherten Daten nach einer durch eine benutzerbasierte Konfiguration vorgegebenen Zeitspanne überschrieben werden. Daten, die von dem/den Datenlogger(n) 112a und/oder 131a erfasst und in dem Datenspeicher 302 gespeichert werden, können Informationen enthalten, die für die Durchführung einer Auslösungsanalyse relevant sind (z. B. aufgrund eines Auslöseereignisses, das mit einem ungeplanten, aber sicheren Herunterfahren des Prozesssteuerungssystems verbunden ist). Solche Informationen können eine Zeitstempelung für jeden gesammelten Datenpunkt einschließen, die von den Steuerungen 106 und/oder 108 bereitgestellt wird, wobei die Datenpunkte Informationen (z. B. Temperatur, Druck, Durchflussrate, Gewicht, Spannung usw.) entsprechen, die für den Status des Prozesssteuerungssystems (z. B. des SIS 240 und/oder des BPCS 250) relevant sind. In einigen Beispielen speichert der Datenspeicher 302 Metadaten, protokollierte Daten und Zeitinformationen, während sie gesendet werden, damit der Datenlogger 300 für Anwendungen verwendet werden kann, die zum Interpretieren und Suchen von und Berichten über die Daten entwickelt wurden. In einigen Beispielen zeichnet der Datenspeicher 302 Daten auf, sobald der Datenlogger 300 mit einem Netzwerk eines Prozesssteuerungssystems verbunden ist. Beispielsweise befasst sich der Datenlogger 300 mit der Selbsterkennung eines Prozesssteuerungssystems, um die automatische Erkennung von Geräten im Netzwerk des Prozesssteuerungssystems zu ermöglichen.
Der Konfigurator 304 kann zum Konfigurieren des Datenloggers 300 verwendet werden. Beispielsweise kann der Konfigurator 304 verwendet werden, um die Zeitspanne (z. B. über einen Zeitgeber 306) einzustellen, über den gesammelte Daten in dem Datenspeicher 302 gespeichert werden, bevor sie überschrieben werden. Der Zeitgeber 306 kann verwendet werden, um zu bestimmen, wann ein Zeitintervall abgelaufen ist (z. B. ein vom Benutzer konfiguriertes Datensammelzeitintervall), so dass der Datenlogger 300 die vorhandenen gespeicherten Informationen in dem Datenspeicher 302 überschreibt. In einigen Beispielen kann der Datenlogger 300 unter Verwendung des Konfigurators 304 dazu konfiguriert werden, sicherheitsrelevante Ereignisdaten wie protokollierte Daten, Metadaten und Zeitstempelinformationen zu speichern. In einigen Beispielen kann der Konfigurator 304 verwendet werden, um den Datenspeicher 302 basierend auf der Art der Datenbewertung zu konfigurieren, die unter Verwendung der gesammelten prozesssteuerungssystembasierten Informationen durchgeführt werden soll. In einigen Beispielen wird der Konfigurator 304 verwendet, um die Speicherung und Aufzeichnung von Daten vor und nach der Auslösung zum Zweck der Analyse sicherheitsrelevanter Ereignisinformationen zu konfigurieren, wobei die Aktion zum Speichern bestimmter Protokolle unter Verwendung des Datenspeichers 302 basierend auf für eine sicherheitsrelevante Ereignisbewertung interessierenden Parametern eines Prozesssteuerungssystems durchgeführt wird. Beispielsweise können bestimmte Datenprotokolle dazu beitragen, den Integritätsgrad des Schutzsystems zu bestimmen, z. B. die Zuverlässigkeit von Komponenten des Prozesssteuerungssystems, die durch Tests ermittelt werden kann.
Der Ereignisdetektor 308 identifiziert ein interessierendes Ereignis (z. B. ein Trigger-Ereignis) des Netzwerks des Prozesssteuerungssystems 100 und/oder 200. Beispielsweise kann das Trigger-Ereignis ein sicherheitsrelevantes Ereignis sein, das im SIS 240- und/oder BPCS 250-Netzwerk auftritt. Ein sicherheitsrelevantes Ereignis schließt das Auftreten eines unerwarteten Knotens in einem oder mehreren Prozesssteuerungsnetzwerken oder eine Änderung in einem Verkehrsmuster des einen oder der mehreren Prozesssteuerungsnetzwerke ein, wobei die Änderung einer Abweichung von einem als normal bezeichneten Verkehrsmuster entspricht. In einigen Beispielen kann das Ereignis ein beliebiges Ereignis von Interesse sein, das in einem Industriesystemnetzwerk auftreten kann (z. B. Änderung bestimmter Parameter eines Prozesssteuerungssystems).
Der Datenparser 310 parst die in dem Datenspeicher 302 gespeicherten Informationen auf Triggerereignis-relevante Daten. Beispielsweise ruft der Datenparser 310 bei Vorhandensein eines sicherheitsrelevanten Ereignisses Daten vor und nach dem sicherheitsrelevanten Ereignis ab. Solche Daten können protokollierte Daten, Metadaten und Zeitstempelinformationen enthalten. Dies ermöglicht eine gründliche Bewertung der Aktivität des Prozesssteuerungssystems und kann die Bewertung von Daten aus einem oder mehreren Netzwerken des Prozesssteuerungssystems (z. B. dem lokalen Sicherheitsnetzwerk 120 und/oder dem Bereichssteuerungsnetzwerk 132 von 1-2) einschließen. In einigen Beispielen löst der Datenparser 310, wenn der Datenparser 310 keine eingehenden Daten (z. B. Eingänge) von der Prozesssteuerung (z. B. der/den Prozessorsteuerung(en) 106 und/oder 108) zum Datenspeicher 302 identifizieren kann, einen Alarm außerhalb des Netzwerks des Prozesssteuerungssystems aus (z. B. Alarm 118 von 1-2), wobei der Alarm verwendet wird, wenn kein Zugriff auf Eingangsinformationen in die Prozesssteuerung möglich ist.
Sobald der Datenparser 310 Daten aus dem Datenspeicher 302 abgerufen hat, die Daten vor und/oder nach einem Trigger-Ereignis entsprechen, identifiziert die Kennung 312 spezifischen Dateninhalt aus den abgerufenen Daten, die für eine gegebene Bewertung erforderlich sind (z. B. Analyse der Grundursachen). Beispielsweise kann die Kennung 312 Signalwertinformationen, Datenintegritätsinformationen und Zeitstempelinformationen abrufen, die von der/den Prozesssteuerung(en) 106 und/oder 108 erfasst wurden.
Der Verbinder 314 überträgt Ereignisdaten an einen Datenextraktor (z. B. den Datenextraktor 116). Vorausgesetzt, dass eine Datendiode (z. B. die Datendiode 112b) in einigen Beispielen in den Datenlogger (z. B. den Datenlogger 112a) eingebettet sein kann, um Daten unidirektional vom Netzwerk des Prozesssteuerungssystems (z. B. dem lokalen Sicherheitsnetzwerk 120) an den Datenlogger (z. B. den Datenlogger 112a) zu übertragen, kann der Datenextraktor Informationen vom Datenlogger 300 empfangen, aber der Datenlogger 300 lässt keine Übertragung von Informationen in das Netzwerk des Prozesssteuerungssystems (z. B. das lokale Sicherheitsnetzwerk 120) zu. Der Datenlogger 300 kann mehrere Verbinder (z. B. Ports) aufweisen, die die Übertragung von Informationen (z. B. über ein internes Netzwerk oder ein externes Netzwerk) zulassen. In einigen Beispielen kann der Verbinder 314 verwendet werden, um einen Datenlogger mit einem anderen Datenlogger zu verbinden (z. B. einem Datenlogger, der Daten von einer anderen Prozesssteuerung speichert), um Informationen über ein separates Prozesssteuerungssystem zu erhalten (z. B. aggregierte Daten sowohl für das SIS 240 als auch das BPCS 250). In einigen Beispielen wird der Verbinder 314 verwendet, um Daten von dem Bereichssteuerungsnetzwerk 132 und/oder dem lokalen Sicherheitsnetzwerk 120 über ein E/A-System (z. B. E/A-System(e) 208 und/oder 216) an einen Datenextraktor (z. B. ein USB-Laufwerk, einen Laptop usw.) oder ein externes Netzwerk (z. B. das externe Netzwerk 212) zu übertragen, ohne dass ein Zugriff auf jedes einzelne Netzwerk des Prozesssteuerungssystems erforderlich ist. In einigen Beispielen stellt der Verbinder 314 eine Verbindung zu einem eingebetteten Computer anstelle eines Mehrzweckcomputers her, um Remote-Verbindungen zu verhindern und die Absicherung zu verbessern (z. B. durch Entfernen unnötiger Anwendungen und Dienste, die Sicherheitsrisiken mit sich bringen können). In einigen Beispielen kann das Abrufen von Daten auf Verfahren beschränkt sein, die die physische Präsenz erzwingen (z. B. das Anschließen eines Computers oder anderen Mittels zum Abrufen von Daten, die über eine direkte Verbindung mit dem/den Datenlogger(n) durchgeführt werden können).
Während eine beispielhafte Art der Implementierung der Datenloggervorrichtungen von 1-2 in 3 gezeigt ist, können eines oder mehrere der in 3 dargestellten Elemente, Prozesse und/oder Geräte kombiniert, geteilt, neu angeordnet, weggelassen, beseitigt und/oder auf beliebige andere Weise implementiert werden. Ferner können der beispielhafte Datenspeicher 302, der beispielhafte Konfigurator 304, der beispielhafte Zeitgeber 306, der beispielhafte Ereignisdetektor 308, der beispielhafte Datenparser 310, die beispielhafte Kennung 312, der beispielhafte Verbinder 314 und/oder allgemeiner der beispielhaften Datenlogger 300 durch Hardware, Software, Firmware und/oder eine beliebige Kombination von Hardware, Software und/oder Firmware implementiert werden. So könnte z. B. jedes von dem beispielhaften Datenspeicher 302, dem beispielhaften Konfigurator 304, dem beispielhaften Zeitgeber 306, dem beispielhaften Ereignisdetektor 308, dem beispielhaften Datenparser 310, der beispielhaften Kennung 312, dem beispielhaften Verbinder 314 und/oder allgemeiner dem beispielhaften Datenlogger 300 durch eine oder mehrere analoge oder digitale Schaltungen, Logikschaltungen, programmierbare Prozessoren, programmierbare Steuerungen, Grafikverarbeitungseinheiten (GPUs), digitale Signalprozessoren (DSPs), anwendungsspezifische integrierte Schaltungen (ASICs), programmierbare Logikgeräte (PLDs) und/oder feldprogrammierbare Logikgeräte (FPLDs) implementiert werden. Beim Lesen eines der Geräte- oder Systemansprüche dieses Patents, die eine reine Software- und/oder Firmware-Implementierung abdecken, wird hiermit ausdrücklich definiert, dass mindestens einer von dem beispielhaften Datenspeicher 302, dem beispielhaften Konfigurator 304, dem beispielhaften Zeitgeber 306, dem beispielhaften Ereignisdetektor 308, dem beispielhaften Datenparser 310, der beispielhaften Kennung 312 und/oder dem beispielhaften Verbinder 314 ein nicht-transitorisches computerlesbares Speichergerät oder eine Speicherplatte wie einen Speicher, eine Digital Versatile Disk (DVD), eine Compact Disk (CD), eine Blu-ray-Disk usw. einschließlich der Software und/oder Firmware enthalten. Weiterhin kann der beispielhafte Datenlogger 300 ein oder mehrere Elemente, Prozesse und/oder Geräte zusätzlich zu oder anstelle der in 3 gezeigten Elemente, Prozesse und/oder Geräte enthalten und/oder kann mehr als eines oder alle der gezeigten Elemente, Prozesse und Geräte enthalten. Dabei wird der Ausdruck „in Kommunikation“, einschließlich Variationen davon, hier so verwendet, dass er die direkte Kommunikation und/oder indirekte Kommunikation über eine oder mehrere Zwischenkomponenten einschließt und keine direkte physische Kommunikation (z. B. über Kabel) und/oder konstante Kommunikation erfordert, sondern vielmehr zusätzlich selektive Kommunikation in regelmäßigen Intervallen, geplanten Intervallen, unregelmäßigen Intervallen und/oder einmalige Ereignisse einschließt.
Ein Flussdiagramm, das beispielhaft maschinenlesbare Anweisungen zum Implementieren des Datenloggers 300 von 3 darstellt, ist in 4 gezeigt. Die maschinenlesbaren Anweisungen können ein oder mehrere ausführbare Programme oder Anteile eines ausführbaren Programms zur Ausführung durch einen Prozessor wie den Prozessor 506 sein, der in dem nachstehend in Verbindung mit 5 erörterten Beispiel der Prozessorplattform 500 gezeigt wird. Das Programm kann in Software integriert sein, die auf einem nicht-transitorischen computerlesbaren Speichermedium wie einer CD-ROM, einer Diskette, einer Festplatte, einer Digital Versatile Disk (DVD), einer Blu-ray-Disk oder einem dem Prozessor 506 zugeordneten Speicher gespeichert ist, wobei jedoch das gesamte Programm und/oder Teile davon alternativ auch von einem anderen Gerät als dem Prozessor 506 ausgeführt werden könnten und/oder in Firmware oder spezieller Hardware integriert sein könnten. Obwohl das Beispiel-Programm unter Bezugnahme auf die in 4 gezeigten Flussdiagramme beschrieben werden, können alternativ viele andere Verfahren zur Implementierung des beispielhaften Datenloggers 300 verwendet werden. Beispielsweise kann die Ausführungsreihenfolge der Blöcke geändert werden und/oder einige der beschriebenen Blöcke können geändert, beseitigt oder kombiniert werden. Zusätzlich oder alternativ kann jeder Block oder können alle Blöcke durch eine oder mehrere Hardwareschaltungen (z. B. diskrete und/oder integrierte analoge und/oder digitale Schaltungen, ein FPGA, ein ASIC, ein Komparator, ein Operationsverstärker (op-amp), eine Logikschaltung usw.) implementiert werden, die so strukturiert sind, dass sie die entsprechende Operation ausführen, ohne Software oder Firmware auszuführen.
Die hier beschriebenen maschinenlesbaren Anweisungen können in einem oder mehreren der folgenden Formate gespeichert werden: komprimiertes Format, verschlüsseltes Format, fragmentiertes Format, gepacktes Format usw. Maschinenlesbare Anweisungen, wie hierin beschrieben, können als Daten (z. B. Anteile von Anweisungen, Code, Code-Darstellungen usw.) gespeichert werden, die zum Erstellen, Herstellen und/oder Erzeugen von maschinenlesbaren Anweisungen verwendet werden können. Beispielsweise können die maschinenlesbaren Anweisungen fragmentiert und auf einem oder mehreren Speichergeräten und/oder Rechengeräten (z. B. Servern) gespeichert sein. Die maschinenlesbaren Anweisungen können eine oder mehrere Installationen, Modifizierungen, Anpassungen, Aktualisierungen, Kombinationen, Ergänzungen, Konfigurationen, Entschlüsselungen, Dekomprimierungen, Entpackungen, Verteilungen, Neuzuweisungen usw. erfordern, damit sie für ein Rechengerät und/oder eine andere Maschine direkt lesbar und/oder ausführbar werden. Beispielsweise können die maschinenlesbaren Anweisungen in mehreren Teilen gespeichert sein, die einzeln komprimiert, verschlüsselt und auf separaten Rechengeräten gespeichert sind, wobei die Teile, wenn sie entschlüsselt, dekomprimiert und kombiniert werden, einen Satz ausführbarer Anweisungen darstellen, die ein Programm, wie das hier beschriebene, implementieren. Bei einem anderen Ausführungsbeispiel können die maschinenlesbaren Anweisungen in einem Zustand gespeichert sein, in dem sie von einem Computer gelesen werden können, jedoch zum Ausführen der Anweisungen auf einem bestimmten Rechengerät oder einem anderen Gerät das Hinzufügen einer Bibliothek (z. B. einer Dynamic Link Library (DLL)), eines Software Development Kits (SDK), einer Anwendungsprogrammierungsschnittstelle (API) usw. erfordern. Bei einem anderen Ausführungsbeispiel müssen die maschinenlesbaren Anweisungen möglicherweise konfiguriert werden (z. B. Einstellungen gespeichert, Daten eingegeben, Netzwerkadressen aufgezeichnet usw.), bevor die maschinenlesbaren Anweisungen und/oder das/die entsprechende(n) Programm(e) vollständig oder teilweise ausgeführt werden können. Für die offenbarten maschinenlesbaren Anweisungen und/oder das/die entsprechende(n) Programm(e) ist daher vorgesehen, dass sie diese maschinenlesbaren Anweisungen und/oder Programm(e) unabhängig von dem spezifischen Format oder Zustand der maschinenlesbaren Anweisungen und/oder Programm(e) einbeziehen, wenn sie gespeichert oder anderweitig im Ruhe- oder Übertragungszustand sind.
Wie vorstehend erläutert, können die beispielhaften Prozesse von 4 unter Verwendung ausführbarer Anweisungen (z. B. computer- und/oder maschinenlesbarer Anweisungen) implementiert werden, die auf einem nicht-transitorischen computer- und/oder maschinenlesbaren Medium, wie einem Festplattenlaufwerk, einem Flash-Speicher, einem Festwertspeicher (ROM), einer Compact Disk (CD), einer Digital Versatile Disk (DVD), in einem Cache, einem Direktzugriffsspeicher (RAM) und/oder einem anderen Speichergerät oder auf einer anderen Speicherplatte, in dem bzw. auf der Informationen für eine beliebige Dauer (z. B. für längere Zeiträume, dauerhaft, für kurze Zeiträume, zum vorübergehenden Puffern und/oder zum Zwischenspeichern der Informationen) gespeichert sind. Dabei wird der Begriff nicht-transitorisches computerlesbares Speichermedium hier ausdrücklich so definiert, dass er jeden Typ von computerlesbarem Speichergerät und/oder Speicherplatte einschließt und das Verbreiten von Signalen ausschließt und Übertragungsmedien ausschließt.
„Beinhalten‟ und „umfassen“ (und alle Formen und Zeiten davon) werden hier als nicht begrenzende Ausdrücke verwendet. Wann immer ein Anspruch Formen von „beinhalten“ oder „umfassen“ (z. B. umfasst, beinhaltet, umfassend, beinhaltend, aufweisend usw.) als einen Oberbegriff oder innerhalb eines Anspruchszitats irgendeiner Art verwendet, versteht es sich daher, dass zusätzliche Elemente, Begriffe usw. vorliegen können, ohne dass der Umfang des entsprechenden Anspruchs oder der entsprechenden Rezitation verlassen wird. Dabei wird der Ausdruck „mindestens“, wenn er beispielsweise in einem Oberbegriff eines Anspruchs als Übergangsausdruck verwendet wird, hier so verwendet, dass er in der gleichen Weise nicht begrenzend ist wie der Ausdruck „umfassend“ und „beinhaltend“. Der Begriff „und/oder“, wenn er beispielsweise in einer Form wie A, B und/oder C verwendet wird, bezieht sich auf eine beliebige Kombination oder Teilmenge von A, B, C wie (1) A allein, (2) B allein, (3) C allein, (4) A mit B, (5) A mit C, (6) B mit C und (7) A mit B und C. Wie hier im Zusammenhang mit der Beschreibung von Strukturen, Komponenten, Elementen, Objekten und/oder Gegenständen verwendet, soll sich die Formulierung „mindestens eines von A und B“ auf Implementierungen beziehen, die eines von (1) mindestens ein A, (2) mindestens ein B und (3) mindestens ein A und mindestens ein B enthalten. In ähnlicher Weise, wie hier im Zusammenhang mit der Beschreibung von Strukturen, Komponenten, Elementen, Objekten und/oder Gegenständen verwendet, soll sich die Formulierung „mindestens eines von A oder B“ auf Implementierungen beziehen, die eines von (1) mindestens ein A, (2) mindestens ein B und (3) mindestens ein A und mindestens ein B enthalten. Wie hier im Zusammenhang mit der Beschreibung der Durchführung und oder Ausführung von Prozessen, Anweisungen, Aktionen, Aktivitäten und/oder Schritten verwendet, soll sich die Formulierung „mindestens eines von A und B“ auf Implementierungen beziehen, die eines von (1) mindestens ein A, (2) mindestens ein B, und (3) mindestens ein A und mindestens ein B enthalten. In ähnlicher Weise, wie hier im Zusammenhang mit der Beschreibung der Durchführung und Ausführung von Strukturen, Komponenten, Elementen, Objekten und/oder Gegenständen verwendet, soll sich die Formulierung „mindestens eines von A oder B“ auf Implementierungen beziehen, die eines von (1) mindestens ein A, (2) mindestens ein B, und (3) mindestens ein A und mindestens ein B enthalten.
4 ist ein Flussdiagramm 400, das maschinenlesbare Anweisungen darstellt, die ausgeführt werden können, um den beispielhaften Datenlogger 300 von 3 zu implementieren. Der Konfigurator 304 konfiguriert Datensammelpunkte für den Datenlogger basierend auf Benutzereingaben. Beispielsweise kann ein Benutzer das Zeitintervall angeben, über welches das Datensammeln (z. B. im Datenspeicher 302 des Datenloggers 300 gespeicherte Daten) erfolgen soll, bevor Daten im Datenspeicher 302 überschrieben werden (Block 402). Sobald der Datenlogger 300 über die Datendiode (z. B. Datendiode(n) 112b und/oder 131b) eine Verbindung zum Netzwerk des Prozesssteuerungssystems (z. B. SIS 240 und/oder BPCS 250) herstellt, speichert der Datenspeicher 302 die Eingangsinformationen vom lokalen Sicherheitsnetzwerk 120 und/oder dem Bereichssteuerungsnetzwerk 132 an die Prozesssteuerung(en) 106 und/oder 108 (Block 404). Der Ereignisdetektor 308 überwacht die Netzwerkinformationen des Prozesssteuerungssystems, um zu bestimmen, ob ein Trigger-Ereignis erkannt wird (Block 406). Beispielsweise kann das Trigger-Ereignis ein sicherheitsrelevantes Ereignis im SIS 240-Netzwerk enthalten, beispielsweise ein Auslöseereignis (z. B. ein unerwartetes Herunterfahren des SIS 240). In anderen Beispielen kann das Trigger-Ereignis jedes von einem Benutzer definierte Ereignis sein, das als Trigger-Ereignis interpretiert werden soll (z. B. Änderungen der Parameter des Prozesssteuerungssystems, unerwartete Änderungen des Netzwerkverkehrs usw.). Wenn ein Trigger-Ereignis nicht erkannt wird, bestimmt ein Zeitgeber 306, ob ein gegebenes Zeitintervall (T) (z. B. ein vom Benutzer konfiguriertes Zeitintervall) abgelaufen ist (Block 408). Wenn das Zeitintervall noch nicht abgelaufen ist und kein Trigger-Ereignis erkannt wurde, erfasst und speichert der Datenlogger 300 weiterhin Daten vom Prozesssteuerungssystem (Block 404). Wenn das Zeitintervall abgelaufen ist, beginnt der Datenspeicher 302, vorhandene Daten mit neuen Daten zu überschreiben (Block 410).
Wenn der Ereignisdetektor 308 ein Trigger-Ereignis in Block 406 erkennt, identifiziert der Datenparser 310 Daten vor und nach dem Trigger-Ereignis unter Verwendung des Datenspeichers 302 (Block 412). Wenn es sich bei dem Trigger- Ereignis beispielsweise um ein sicherheitsrelevantes Ereignis, z. B. ein Auslöseereignis, handelt, kann für die Bewertung des Ereignisses zum Zweck der Identifizierung seiner möglichen Ursache die Verwendung von Daten erforderlich sein, die vor und nach dem Trigger-Ereignis erfasst wurden. In einigen Beispielen analysiert der Datenparser 310 die Daten für Triggerereignisanalysespezifische Daten (Block 414). Solche Daten können protokollierte Daten, Metadaten und Zeitstempelinformationen enthalten. In einigen Beispielen wird der Konfigurator 304 verwendet, um den interessierenden Datentyp zu bestimmen (z. B. erforderlicher Eingang für eine Anwendung, um eine gründliche Bewertung des Trigger-Ereignisses durchzuführen). In einigen Beispielen erhält der Datenlogger 300 ereignisbezogene Daten von einem oder mehreren anderen Datenloggern, die Informationen vom Prozesssteuerungssystem erfassen (Block 416). Beispielsweise kann der Datenlogger 300 mehrere Verbinder 314 enthalten, die die Übertragung von Informationen nicht nur an einen Datenextraktor 116 und/oder 117 oder ein externes Netzwerk 212, sondern auch an einen anderen Datenlogger zulassen. Wenn somit eine Benutzerkonfiguration das Abrufen von Daten aus dem gesamten Prozesssteuerungssystem erfordert (z. B. nicht auf das SIS 240 und/oder das BPCS 250 beschränkt), kann der Verbinder 314 zum Abrufen ereignisbezogener Daten verwendet werden, um die vom Prozesssteuerungssystem verfügbaren Daten, die überwacht werden, zu ergänzen (Block 418). Wenn die Informationen über einen Datenextraktor 116 und/oder 117 gesammelt werden, stellt der Verbinder 314 die Verbindung mit dem/den Datenextraktor(en) 116 und/oder 117 her (Block 420). Die Datendiode 112b und/oder 131b ermöglicht die unidirektionale Übertragung von Daten vom Netzwerk des Prozesssteuerungssystems zum Datenlogger 300, sodass diese Daten unter Verwendung des Datenextraktors 116 abgerufen werden können. In einigen Beispielen hat der Datenlogger 300 mehr als einen Port zum Übertragen von Informationen (z. B. einen Port zum Übertragen von Informationen an einen anderen Datenlogger, einen anderen Port zum Übertragen von Informationen an einen Datenextraktor) über den/die Verbinder 314. Die erfassten Daten werden dann verwendet, um eine Post-Mortem-Analyse durchzuführen (Block 422), um beispielsweise die Grundursache eines Auslöseereignisses oder eines anderen Trigger-Ereignisses zu bestimmen (Block 424). Um die Sicherheit zu erhöhen, indem die Art und Menge der Daten, die beispielsweise an den Datenextraktor 116 übertragen werden, begrenzt wird, identifiziert die Kennung 312 Daten, die für eine Post-Mortem-Analyse erforderlich sind (z. B. Signalwertinformationen, Datenintegritätsinformationen und Zeitstempelinformationen, die von der Prozesssteuerung 106 und/oder 108 erfasst werden). Der Verbinder 314 überträgt nur diese Daten an den Datenextraktor 116, oder einen beliebigen Datentyp, der beispielsweise in der Konfiguration des/der Datenlogger(s) 112a und/oder 131a enthalten ist, unter Verwendung des Konfigurators 304.
5 ist ein Blockdiagramm einer beispielhaften Prozessorplattform, die verwendet und/oder programmiert werden kann, um das beispielhafte Verfahren von 4 auszuführen und/oder allgemeiner, um die beispielhaften sicheren Datenlogger von 1-3 zu implementieren. Bei der Prozessorplattform 500 kann es sich beispielsweise um einen Server, einen Personal-Computer, eine Arbeitsstation, eine selbstlernende Maschine (z. B. ein neuronales Netzwerk), ein mobiles Gerät (z. B. ein Mobiltelefon, ein Smartphone, ein Tablet wie ein iPad™), einen persönlichen digitalen Assistenten (PDA), ein Internetgerät, ein DVD-Laufwerk, ein CD-Laufwerk, einen digitalen Videorecorder, ein Blu-ray-Laufwerk, eine Spielkonsole, einen Personal-Videorecorder, eine Set Top Box, ein Headset oder ein anderes am Körper tragbares Gerät oder jegliche andere Art von Rechengerät handeln.
Die Prozessorplattform 500 des dargestellten Beispiels schließt einen Prozessor 506 ein. Der Prozessor 506 des dargestellten Beispiels ist Hardware. Beispielsweise kann der Prozessor 506 durch eine oder mehrere integrierte Schaltungen, Logikschaltungen, Mikroprozessoren, GPUs, DSPs oder Steuerungen von einer beliebigen gewünschten Familie oder einem Hersteller implementiert werden. Der Hardwareprozessor kann ein Gerät auf Halbleiterbasis (z. B. auf Siliziumbasis) sein. In diesem Beispiel implementiert der Prozessor 506 den Konfigurator 304, den Zeitgeber 306, den Ereignisdetektor 308, den Datenparser 310, die Kennung 312 und den Verbinder 314 des/der Datenlogger(s) 112a und/oder 131a.
Der Prozessor 506 des dargestellten Beispiels schließt einen lokalen Speicher 508 (z. B. einen Cache) ein. Der Prozessor 506 des dargestellten Beispiels kommuniziert über einen Bus 518 mit einem Hauptspeicher einschließlich eines flüchtigen Speichers 502 und eines nichtflüchtigen Speichers 504. Der flüchtige Speicher 502 kann durch einen synchronen dynamischen Direktzugriffsspeicher (Synchronous Dynamic Random Access Memory - SDRAM), einen dynamischen Direktzugriffsspeicher (Dynamic Random Access Memory - DRAM), einen dynamischen RAMBUS®-Direktzugriffsspeicher (Dynamic Random Access Memory - RDRAM®) und/oder eine andere Art von Direktzugriffsspeicher implementiert sein. Der nichtflüchtige Speicher 504 kann durch einen Flash-Speicher und/oder jede andere gewünschte Art von Speichergerät implementiert sein. Der Zugriff auf den Hauptspeicher 502 und 504 wird von einer Speicher-Steuerung gesteuert.
Die Prozessorplattform 500 des dargestellten Beispiels schließt eine Schnittstellenschaltung 514 ein. Die Schnittstellenschaltung 514 kann durch jede Art von Schnittstellenstandard implementiert sein, beispielsweise eine Ethernet-Schnittstelle, einen universellen seriellen Bus (USB), eine Bluetooth®-Schnittstelle, eine Nahfeldkommunikations-(Near Field Communication - NFC)-Schnittstelle und/oder eine PCI-Express-Schnittstelle.
Im dargestellten Beispiel sind ein oder mehrere Eingabegeräte 512 mit der Schnittstellenschaltung 514 verbunden. Das/die Eingabegerät(e) 512 ermöglicht/ermöglichen es einem Benutzer, Daten und/oder Anweisungen in den Prozessor 506 einzugeben. Das/die Eingabegerät(e) kann/können beispielsweise durch einen Audiosensor, ein Mikrofon, eine Kamera (Standbild oder Video), eine Tastatur, eine Schaltfläche, eine Maus, einen Touchscreen, ein Trackpad, einen Trackball, ein Isopoint-Gerät und/oder ein Spracherkennungssystem implementiert sein.
Ein oder mehrere Ausgabegeräte 516 sind ebenfalls mit der Schnittstellenschaltung 514 des dargestellten Beispiels verbunden. Die Ausgabegeräte 516 können zum Beispiel durch Anzeigegeräte (z. B. eine Leuchtdiode (LED), eine organische Leuchtdiode (OLED), eine Flüssigkristallanzeige (LCD), eine Kathodenstrahlröhrenanzeige (CRT), eine In-Place-Switching (IPS)-Anzeige, einen Touchscreen usw.), ein taktiles Ausgabegerät, einen Drucker und/oder einen Lautsprecher implementiert sein. Die Schnittstellenschaltung 514 des dargestellten Beispiels schließt somit typischerweise eine Grafiktreiberkarte, einen Grafiktreiberchip oder einen Grafiktreiberprozessor ein.
Die Schnittstellenschaltung 514 des gezeigten Beispiels schließt auch eine Kommunikationseinrichtung wie einen Sender, einen Empfänger, einen Transceiver, ein Modem, ein Residential Gateway, einen drahtlosen Zugangspunkt und/oder eine Netzwerk-Schnittstelle zur Erleichterung des Datenaustauschs mit externen Maschinen (z. B. Rechengeräten aller Art) über ein Netzwerk 524 ein. Die Kommunikation kann beispielsweise über eine Ethernet-Verbindung, einen digitalen Teilnehmeranschluss (Digital Subscriber Line - DSL), eine Telefonleitungsverbindung, ein Koaxialkabelsystem, ein Satellitensystem, ein drahtloses Line-of-Site-System, ein Mobilfunktelefonsystem usw. erfolgen.
Die Prozessorplattform 500 des dargestellten Beispiels enthält auch ein oder mehrere Massenspeichergeräte 510 zum Speichern von Software und/oder Daten. Beispiele für diese Massenspeichergeräte 510 sind u. a. Diskettenlaufwerke, Festplattenlaufwerke, Compact Disk-Laufwerke, Blu-ray-Laufwerke, RAID-Systeme (Redundant Array of Independent Disks) und DVD-Laufwerke (Digital Versatile Disk). Der Massenspeicher enthält den beispielhaften Datenspeicher 302.
Die maschinenausführbaren Anweisungen 400 von 4 können im Massenspeichergerät 510, im flüchtigen Speicher 502, im nichtflüchtigen Speicher 504 und/oder auf einem entfernbaren, nicht-transitorischen, computerlesbaren Speichermedium wie einer CD oder DVD gespeichert werden.
Obwohl hier bestimmte beispielhafte Verfahren, Vorrichtungen und Systeme offenbart sind, ist der Abdeckungsumfang dieses Patents nicht auf diese beschränkt. Im Gegenteil - dieses Patent deckt alle Verfahren, Vorrichtungen und Herstellungsgegenstände ab, die in den Umfang der Patentansprüche fallen.

Claims

Verfahren zur sicheren Datenübertragung von einem Netzwerk des Prozesssteuerungssystems, umfassend: Speichern von Informationen, die von einer Prozesssteuerung über das Netzwerk des Prozesssteuerungssystems empfangen werden, wobei die Prozesssteuerung eine sicherheitsinstrumentierte Systemsteuerung oder eine Steuerung des Prozesssteuerungssystems enthält, wobei die Informationen unidirektional vom Netzwerk des Prozesssteuerungssystems über eine Datendiode an einen Datenlogger übertragen werden; Identifizieren eines Trigger-Ereignisses im Netzwerk des Prozesssteuerungssystems; als Reaktion auf das Identifizieren des Trigger-Ereignisses, Parsen der gespeicherten Informationen auf Ereignisdaten; und Übertragen der Ereignisdaten vom Datenlogger an einen Datenextraktor.
Verfahren nach Anspruch 1, wobei das Parsen der gespeicherten Informationen das Abrufen von Daten vor und nach dem Trigger-Ereignis einschließt; und/oder wobei das Übertragen der Ereignisdaten das Übertragen nur einer oder mehrerer von der Prozesssteuerung erfassten Signalwertinformationen, Datenintegritätsinformationen und Zeitstempelinformationen einschließt, wenn das Trigger-Ereignis ein sicherheitsrelevantes Ereignis ist.
Verfahren nach Anspruch 1 oder 2, wobei das Netzwerk des Prozesssteuerungssystems ein lokales Sicherheitsnetzwerk oder ein Bereichssteuerungsnetzwerk einschließt; insbesondere wobei das Parsen der gespeicherten Informationen das Parsen der Ereignisdaten für mindestens eines von dem lokalen Sicherheitsnetzwerk oder dem Bereichssteuerungsnetzwerk einschließt.
Verfahren nach einem der Ansprüche 1 bis 3, wobei die Ereignisdaten protokollierte Daten, Metadaten und Zeitstempelinformationen enthalten; und/oder wobei das Trigger-Ereignis ein sicherheitsrelevantes Ereignis ist, wobei das sicherheitsrelevante Ereignis das Auftreten eines unerwarteten Knotens im Netzwerk oder einer Änderung eines Verkehrsmusters des Netzwerks einschließt, wobei die Änderung einer Abweichung von einem als normal bezeichneten Verkehrsmuster entspricht.
Verfahren nach einem der Ansprüche 1 bis 4, das ferner das Konfigurieren der Ereignisdaten basierend auf Benutzereingaben einschließt, wobei die Benutzereingaben ein interessierendes Datensammelzeitintervall einschließen; insbesondere das ferner das Bestimmen einschließt, wann ein vom Benutzer konfiguriertes Zeitintervall abgelaufen ist, und Überschreiben der gespeicherten Informationen, wenn das Zeitintervall abgelaufen ist.
Verfahren nach einem der Ansprüche 1 bis 4, das ferner das Auslösen eines Alarms außerhalb des Netzwerks des Prozesssteuerungssystems einschließt, wobei der Alarm verwendet wird, wenn Eingangsinformationen in die Prozesssteuerung nicht zugänglich sind.
Vorrichtung zur sicheren Datenübertragung von einem Netzwerk des Prozesssteuerungssystems, umfassend: einen Datenspeicher zum Speichern von Informationen, die von einer Prozesssteuerung über das Netzwerk des Prozesssteuerungssystems empfangen werden, wobei die Prozesssteuerung eine sicherheitsinstrumentierte Systemsteuerung oder eine Steuerung des Prozesssteuerungssystems enthält, wobei die Informationen unidirektional vom Netzwerk des Prozesssteuerungssystems über eine Datendiode an einen Datenlogger übertragen werden; einen Ereignisdetektor zum Identifizieren eines Trigger-Ereignisses im Netzwerk des Prozesssteuerungssystems; einen Datenparser zum Parsen der gespeicherten Informationen auf Ereignisdaten als Reaktion auf das Identifizieren des Trigger-Ereignisses; und einen Verbinder zum Übertragen der Ereignisdaten vom Datenlogger an einen Datenextraktor.
Vorrichtung nach Anspruch 7, wobei der Datenparser Daten vor und nach dem Trigger-Ereignis abrufen soll, wenn das Trigger-Ereignis ein sicherheitsrelevantes Ereignis ist; insbesondere wobei der Verbinder die Ereignisdaten übertragen soll, einschließlich einer oder mehrerer Signalwertinformationen, Datenintegritätsinformationen und Zeitstempelinformationen, die von der Prozesssteuerung erfasst werden.
Vorrichtung nach Anspruch 7 oder 8, wobei der Datenparser die Ereignisdaten für mindestens eines von einem lokalen Sicherheitsnetzwerk oder einem Bereichssteuerungsnetzwerk parsen soll.
Vorrichtung nach einem der Ansprüche 7 bis 9, die ferner einen Konfigurator zum Konfigurieren der Ereignisdaten basierend auf Benutzereingaben einschließt, wobei die Benutzereingaben ein interessierendes Datensammelzeitintervall enthalten; insbesondere die ferner einen Zeitgeber zum Bestimmen einschließt, wann ein vom Benutzer konfiguriertes Zeitintervall abgelaufen ist, und die gespeicherten Informationen überschrieben werden, wenn das Zeitintervall abgelaufen ist.
Nichtflüchtiges computerlesbares Speichermedium, das Anweisungen umfasst, deren Ausführung eine Maschine mindestens veranlasst zum: Speichern von Informationen, die von einer Prozesssteuerung über ein Netzwerk des Prozesssteuerungssystems empfangen werden, wobei die Prozesssteuerung eine sicherheitsinstrumentierte Systemsteuerung oder eine Steuerung des Prozesssteuerungssystems enthält, wobei die Informationen unidirektional vom Netzwerk des Prozesssteuerungssystems über eine Datendiode an einen Datenlogger übertragen werden; Identifizieren eines Trigger-Ereignisses in einem Netzwerk des Prozesssteuerungssystems; Parsen der gespeicherten Informationen auf Ereignisdaten als Reaktion auf das Identifizieren des Trigger-Ereignisses; und Übertragen der Ereignisdaten von einem Datenlogger an einen Datenextraktor.
Computerlesbares Speichermedium nach Anspruch 11, wobei die Anweisungen, wenn sie ausgeführt werden, ferner bewirken, dass die Maschine eine oder mehrere von der Prozesssteuerung erfasste Signalwertinformationen, Datenintegritätsinformationen und Zeitstempelinformationen überträgt; und/oder wobei die Anweisungen, wenn sie ausgeführt werden, ferner bewirken, dass die Maschine die Ereignisdaten für mindestens eines von einem lokalen Sicherheitsnetzwerk oder einem Bereichssteuerungsnetzwerk parst; und/oder wobei die Anweisungen, wenn sie ausgeführt werden, ferner bewirken, dass die Maschine bestimmt, wann ein vom Benutzer konfiguriertes Zeitintervall abgelaufen ist, wobei die gespeicherten Informationen überschrieben werden, wenn das Zeitintervall abgelaufen ist.
Ein computerlesbares Medium mit gespeicherten Instruktionen, die, wenn durch mindestens einen Prozessor ausgeführt, den mindestens einen Prozessor veranlassen, ein Verfahren nach einem der Ansprüche 1 bis 6 zu implementieren.