JP2015156786A - 産業用制御システムに関する安全な電源 - Google Patents

産業用制御システムに関する安全な電源 Download PDF

Info

Publication number
JP2015156786A
JP2015156786A JP2014243827A JP2014243827A JP2015156786A JP 2015156786 A JP2015156786 A JP 2015156786A JP 2014243827 A JP2014243827 A JP 2014243827A JP 2014243827 A JP2014243827 A JP 2014243827A JP 2015156786 A JP2015156786 A JP 2015156786A
Authority
JP
Japan
Prior art keywords
battery
module
power supply
controller
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2014243827A
Other languages
English (en)
Other versions
JP2015156786A5 (ja
JP6960715B2 (ja
Inventor
アルバート・ルーヤッカーズ
Rooyakkers Albert
ジェームズ・ジー・カルヴァン
G Calvin James
ジョージ・クランショー
Cranshaw George
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bedrock Automation Platforms Inc
Original Assignee
Bedrock Automation Platforms Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US14/446,412 external-priority patent/US10834820B2/en
Priority claimed from US14/469,931 external-priority patent/US9191203B2/en
Priority claimed from US14/519,032 external-priority patent/US20150048684A1/en
Application filed by Bedrock Automation Platforms Inc filed Critical Bedrock Automation Platforms Inc
Publication of JP2015156786A publication Critical patent/JP2015156786A/ja
Publication of JP2015156786A5 publication Critical patent/JP2015156786A5/ja
Application granted granted Critical
Publication of JP6960715B2 publication Critical patent/JP6960715B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/418Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS], computer integrated manufacturing [CIM]
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60LPROPULSION OF ELECTRICALLY-PROPELLED VEHICLES; SUPPLYING ELECTRIC POWER FOR AUXILIARY EQUIPMENT OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRODYNAMIC BRAKE SYSTEMS FOR VEHICLES IN GENERAL; MAGNETIC SUSPENSION OR LEVITATION FOR VEHICLES; MONITORING OPERATING VARIABLES OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRIC SAFETY DEVICES FOR ELECTRICALLY-PROPELLED VEHICLES
    • B60L3/00Electric devices on electrically-propelled vehicles for safety purposes; Monitoring operating variables, e.g. speed, deceleration or energy consumption
    • B60L3/0023Detecting, eliminating, remedying or compensating for drive train abnormalities, e.g. failures within the drive train
    • B60L3/0084Detecting, eliminating, remedying or compensating for drive train abnormalities, e.g. failures within the drive train relating to control modules
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60LPROPULSION OF ELECTRICALLY-PROPELLED VEHICLES; SUPPLYING ELECTRIC POWER FOR AUXILIARY EQUIPMENT OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRODYNAMIC BRAKE SYSTEMS FOR VEHICLES IN GENERAL; MAGNETIC SUSPENSION OR LEVITATION FOR VEHICLES; MONITORING OPERATING VARIABLES OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRIC SAFETY DEVICES FOR ELECTRICALLY-PROPELLED VEHICLES
    • B60L3/00Electric devices on electrically-propelled vehicles for safety purposes; Monitoring operating variables, e.g. speed, deceleration or energy consumption
    • B60L3/0092Electric devices on electrically-propelled vehicles for safety purposes; Monitoring operating variables, e.g. speed, deceleration or energy consumption with use of redundant elements for safety purposes
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60LPROPULSION OF ELECTRICALLY-PROPELLED VEHICLES; SUPPLYING ELECTRIC POWER FOR AUXILIARY EQUIPMENT OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRODYNAMIC BRAKE SYSTEMS FOR VEHICLES IN GENERAL; MAGNETIC SUSPENSION OR LEVITATION FOR VEHICLES; MONITORING OPERATING VARIABLES OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRIC SAFETY DEVICES FOR ELECTRICALLY-PROPELLED VEHICLES
    • B60L3/00Electric devices on electrically-propelled vehicles for safety purposes; Monitoring operating variables, e.g. speed, deceleration or energy consumption
    • B60L3/12Recording operating variables ; Monitoring of operating variables
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01MPROCESSES OR MEANS, e.g. BATTERIES, FOR THE DIRECT CONVERSION OF CHEMICAL ENERGY INTO ELECTRICAL ENERGY
    • H01M10/00Secondary cells; Manufacture thereof
    • H01M10/05Accumulators with non-aqueous electrolyte
    • H01M10/052Li-accumulators
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01MPROCESSES OR MEANS, e.g. BATTERIES, FOR THE DIRECT CONVERSION OF CHEMICAL ENERGY INTO ELECTRICAL ENERGY
    • H01M10/00Secondary cells; Manufacture thereof
    • H01M10/42Methods or arrangements for servicing or maintenance of secondary cells or secondary half-cells
    • H01M10/425Structural combination with electronic components, e.g. electronic circuits integrated to the outside of the casing
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01MPROCESSES OR MEANS, e.g. BATTERIES, FOR THE DIRECT CONVERSION OF CHEMICAL ENERGY INTO ELECTRICAL ENERGY
    • H01M50/00Constructional details or processes of manufacture of the non-active parts of electrochemical cells other than fuel cells, e.g. hybrid cells
    • H01M50/50Current conducting connections for cells or batteries
    • H01M50/572Means for preventing undesired use or discharge
    • H01M50/574Devices or arrangements for the interruption of current
    • H01M50/576Devices or arrangements for the interruption of current in response to theft
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02JCIRCUIT ARRANGEMENTS OR SYSTEMS FOR SUPPLYING OR DISTRIBUTING ELECTRIC POWER; SYSTEMS FOR STORING ELECTRIC ENERGY
    • H02J7/00Circuit arrangements for charging or depolarising batteries or for supplying loads from batteries
    • H02J7/00032Circuit arrangements for charging or depolarising batteries or for supplying loads from batteries characterised by data exchange
    • H02J7/00045Authentication, i.e. circuits for checking compatibility between one component, e.g. a battery or a battery charger, and another component, e.g. a power source
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02JCIRCUIT ARRANGEMENTS OR SYSTEMS FOR SUPPLYING OR DISTRIBUTING ELECTRIC POWER; SYSTEMS FOR STORING ELECTRIC ENERGY
    • H02J7/00Circuit arrangements for charging or depolarising batteries or for supplying loads from batteries
    • H02J7/0047Circuit arrangements for charging or depolarising batteries or for supplying loads from batteries with monitoring or indicating devices or circuits
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02JCIRCUIT ARRANGEMENTS OR SYSTEMS FOR SUPPLYING OR DISTRIBUTING ELECTRIC POWER; SYSTEMS FOR STORING ELECTRIC ENERGY
    • H02J9/00Circuit arrangements for emergency or stand-by power supply, e.g. for emergency lighting
    • H02J9/04Circuit arrangements for emergency or stand-by power supply, e.g. for emergency lighting in which the distribution system is disconnected from the normal source and connected to a standby source
    • H02J9/06Circuit arrangements for emergency or stand-by power supply, e.g. for emergency lighting in which the distribution system is disconnected from the normal source and connected to a standby source with automatic change-over, e.g. UPS systems
    • H02J9/061Circuit arrangements for emergency or stand-by power supply, e.g. for emergency lighting in which the distribution system is disconnected from the normal source and connected to a standby source with automatic change-over, e.g. UPS systems for DC powered loads
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01MPROCESSES OR MEANS, e.g. BATTERIES, FOR THE DIRECT CONVERSION OF CHEMICAL ENERGY INTO ELECTRICAL ENERGY
    • H01M10/00Secondary cells; Manufacture thereof
    • H01M10/42Methods or arrangements for servicing or maintenance of secondary cells or secondary half-cells
    • H01M10/425Structural combination with electronic components, e.g. electronic circuits integrated to the outside of the casing
    • H01M2010/4278Systems for data transfer from batteries, e.g. transfer of battery parameters to a controller, data transferred between battery controller and main controller
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01MPROCESSES OR MEANS, e.g. BATTERIES, FOR THE DIRECT CONVERSION OF CHEMICAL ENERGY INTO ELECTRICAL ENERGY
    • H01M2220/00Batteries for particular applications
    • H01M2220/10Batteries in stationary systems, e.g. emergency power source in plant

Abstract

【課題】特定の電源又は電源のタイプによって、用いられることを目的としないデバイスに電源をプラグインすることのない制御システムに用いられる無停電電源を提供する。【解決手段】無停電電源はAC電源に電気的に結合され、複数の電池モジュール122を備える。各電池モジュールは電池セルとバッテリモニタを備える。各電池モジュールは電池モジュールに有効に連結するコントローラも備える。コントローラは電池モジュールから診断情報を受信する。制御システムはAC電源に電気的に接続している制御要素またはサブシステムを備える。予想外の電気径路の少なくとも1つが電池セルのターミナルにもたらされるか又は電池モジュールへの接続の認証がもたらされることができないとき、バッテリモニタが電池セルへの電気的アクセスを防止する。【選択図】図1

Description

関連出願についてのクロス・リファレンス
[0001] 米国特許法§119(e)の下で米国の仮特許出願番号第61/940,003号の本出願は2014年2月14日に「BACKUP POWER SUPPLY」というタイトルで出願され、本願明細書において、全体的にリファレンスによって、組み込まれ、優先権を有する。本出願は、2013年8月6日に出願された国際出願番号PCT/US2013/053721「SECUREINDUSTRIALCONTROLSYSTEM」の一部継続出願でもある 本出願は、2014年8月27日に出願された米国特許出願公開番号14/469,931(「SECURE INDUSTRIAL CONTROL SYSTEM」)の米国特許法第120条の一部継続でもある。本出願は、2014年7月30日に出願された米国特許出願公開番号14/446,412(「INDUSTRIAL CONTROL SYSTEM CABLE」)の米国特許法第120条の一部継続でもあり、2014年7月7日に出願された米国仮特許出願番号62/021,438(「INDUSTRIAL CONTROL SYSTEM CABLE」)の米国特許法第119条(e)の下で優先権を主張 し、米国仮特許出願番号61/940,003および62/021,438、並びに、米国特許出願公開番号14/446,412および14/469,931、並びに、国際出願番号PCT/US2013/053721は、本願明細書において、全体としてリファレンスによって、組み込まれる。
[0002] 例えば標準産業用制御システム(ICS)またはプログラム可能なオートメーション・コントローラ(PAC)は、工業生産、例えば安全基準(例えばIEC1508)に保証される管理制御およびデータ収集(SCADA)システム、分散制御システム(DCS)、プログラマブル論理コントローラ(PLC)および産業安全システムのような産業用制御システムにおいて、使用する様々な形の制御装置を備える。これらのシステムが、電気、水および廃水、油およびガス生産および精製、化学、食品、医薬およびロボット工学を含む産業において、使われる。プロセス変数を測定するために様々な形のセンサから集められる情報を使用して、産業用制御システムからのオートメーション化したおよび/またはオペレータ駆動管理命令は、さまざまなアクチュエーター装置(例えば制御弁、油圧アクチュエータ、磁気アクチュエータ、電気的スイッチ、モーター、ソレノイド、など)に発信されることがありえる。これらのアクチュエーター装置はセンサからデータを集める。そして、センサシステム(開閉弁およびブレーカ)は弁を制御する。そして、モーターは警報状態などに関し工業処理をモニタする。
[0003] 他の例示において、SCADAシステムは、地理的に広く分離されることができるプロセス・サイトを有する開ループ制御を使用することがありえる。一つ以上のコントロール・センターに管理データを送るために、これらのシステムは、Remote Terminal Units(RTUs)を使用する。RTUのものを配備するSCADAアプリケーションは、流体パイプライン、電気分布および大きい通信システムを備える。DCSシステムが、広帯域の、低レーテンシ・データ・ネットワークによって、リアルタイムデータ収集および連続制御に関し全般的に使われて、大きなキャンパス工業処理プラント(例えば油およびガス、精製、化学薬品、医薬、食品および飲料、水および廃水、パルプおよび紙、有用性パワーおよび鉱業および金属)において、使われる。PLCが、より典型的にブールのおよび経時的なロジック・オペレーションおよびタイマーを提供して、連続制御と同様に、しばしば独立型機械およびロボット工学において、使われる。更に、建物、空港、船、宇宙ステーション、など(例えば、モニタして、暖房・換気および空調(HVAC)装置およびエネルギー消費を制御するために)に関し、ICEおよびPACシステムが、施設プロセスで使われることがありえる。産業用制御システムが進化するにつれて、新技術はこれらのさまざまなタイプの制御システムの態様を結合している。例えば、PACsは、SCADA、DCSおよびPLCの態様を備えることがありえる。
[0004] 制御システムは、電源に電気的に結合される電源および交流(AC)電源を備える。AC電源により供給される格納および帰りの電気エネルギ源に関し、無停電電源は、AC電源に電気的に結合される。無停電電源は、複数の電池モジュールを備える。各電池モジュールは電池セルを備え、バッテリモニタはモニタに電池セルを構成した。各電池モジュールも、電池モジュールに有効に連結するコントローラを備える。コントローラは、電池モジュールから診断情報を受信するように構成される。制御システムも、AC電源に電気的に接続している制御要素またはサブシステムを備える。電源により供給される電気エネルギが中断されるとき、無停電電源は、制御エレメントまたはサブシステムに電力を供給するように、電気エネルギをAC電源に戻すように構成される。二つ以上の電池モジュール、コントローラ、無停電電源に連結するデバイス、制御システムの動きオリジネータなどの間に認証シーケンスに参加するために、無停電電源は、一つ以上の認証モジュールを包含することもありえる。
[0005] 詳細な説明において、下に更に記載される単純化された様態の概念の選択を導くために、この要約は、提供される。この要約は請求された内容の鍵となる特徴または基本的特徴を確認することを目的としないし、請求された内容の範囲を決定する際の援助として使われることを、それは目的としない。
[0006] 詳細な説明は、添付の図に関して記載される。説明および図の異なる事例の同じ参照番号の使用は、類似または同一のアイテムを示す。
[0007] 図1は、現在の開示の例示の実施形態による一つ以上の認証モジュールを備える電源を例示しているブロック図である。 [0008] 図2は、現在の開示の例示の実施形態による産業用制御システムを例示しているブロック図である。 [0009] 産業用制御システムが複数のソース(例えばパワー格子および一つ以上のローカル・パワー・ジェネレータ)から電力を受信する所で、そして、一つ以上の予備電力供給が現在の開示の例示の実施形態に従って複数の電池モジュールを用いてストアおよび戻る電気エネルギ源に構成される所で、図3は産業用制御システム(例えば図2の産業用制御システム)を例示しているブロック図である。 [0010] 図4は通信でシステム(例えば図2の産業用制御システム)を有する結合に構成されて、電気エネルギ源(予備電力供給がコントローラおよび複数の電池モジュールを備える)を記憶して、戻すために電源(例えば、図2のパワー格子および/またはローカル・パワー・ジェネレータ)につながるために構成される予備電力供給を例示しているブロック図であり、各電池モジュールは現在の開示の例示の実施形態に従って通信でコントローラに連結するバッテリモニタを有する。 [0011] 図5は、予備電力供給(例えば図4に図示される予備電力供給)を例示しているブロック図であり、予備電力供給は、通信でシステム(例えば図2の産業用制御システム)を有する結合に構成され、予備電力供給は、現在の開示の例示の実施形態による予備電力供給によって、備えられる複数の電池モジュールの状態に関して情報を有するシステムを提供するために構成されるコントローラを備える。 [0012] 図6はデバイス(例えば図1および/または他のデバイスで例示される電源)を認証する安全な制御システムの略図であり、例えば、それを、現在の開示の例示の実施形態に従って、受電デバイスは図1に図示される電源に接続した。 [0013] 図7は、現在の開示の例示の実施形態に従って産業用制御システム(例えば図6の安全な制御システム)に関しアクション認証経路を例示しているブロック図である。 [0014] 図8は、現在の開示の例示の実施形態による図7のアクション認証経路を更に例示しているブロック図である。 [0015]図9は、アクションを認証することに関する方法が現在の開示の実施形態を例示による要求することを示しているフロー図である。
[0016] 産業的な制御システムの設定において、パワーは、ローカル・パワー生成(例えば現場でのタービンおよび/またはディーゼル・パワー・ジェネレータを用いて)を用いてパワー格子(例えばAC本線からの高電圧パワーを使用して)から、オートメーション装置(例えばコントローラ)、入出力(I/O)モジュール、などに典型的に供給される。しばしば、予備電力は、電池からこれらの設定のオートメーション装置にも供給される。例えば、例えば、大規模電池ストレージは、鉛酸蓄電池を用いて産業的な設定において、提供されることがありえる。大規模電池ストレージからのパワーは、集中化した、交流現在の(AC)パワー伝送技術を用いて供給されることがありえる。他の例において、より小さい、分散する直流(DC)電池電源が、用いられる。例えば、バックアップ・バッテリーパワーは、キャビネット、コントローラ、I/Oモジュールなどのレベルでより小さい鉛酸蓄電池により供給される。しかしながら、より新規な再充電可能電池技術(例えばリチウムイオン電池)と比較されるとき、鉛酸蓄電池は比較的低いエネルギー密度を有する。更に、これらの構成で、バックアップ・バッテリは制御ハードウェアと全般的に別であり、モニタ・バッテリの状態に各電池への別々の接続を必要とする。例えば、かかる電池の動作(例えば、オン/オフ動作の状況)をモニタするために、産業的なオートメーション設定のバックアップ・バッテリは、制御ハードウェアの予備のI/Oポートに、典型的に接続している。
[0017] モニタリングを容易にするシステムおよび技術は本願明細書において、記載される、および/または、電池の制御は産業用制御システムで設定(例えば無停電電源(UPS)装置)を供給する。記載される技術およびシステムは、より高エネルギー密度再充電可能電池技術(例えばリチウムイオン再充電可能電池技術)を用いて実装されることがありえる。開示の実施形態において、産業用UPSは、通信および/またはセキュリティ機能(例えば双方向性システム通信、制御システム統合、サイバー・セキュリティ統合、など)に供給する。例えば、産業用UPSは、状態情報、診断情報、信頼性情報、双方向性通信、などを提供する。いくつかの実施形態では、産業用UPSは、鍵暗号化マイクロコントローラ技術を実装する。
[0018] いくつかの実施形態では、電源は、電源の認証を実行することがありえる回路(例えば、印刷回路基板(PCB)、集積回路(IC)チップおよび/または他の回路)および/または電源に接続しているデバイスを備える。その特定の電源または電源(例えば、低い電圧供給が高電圧デバイスにプラグインされるという可能性を防止するかまたは最小化する)のタイプによって、用いられることを目的としないデバイスに電源をプラグインすることに関し、これは、可能性を防止することがありえるかまたは最小化することがありえる。例えば、電源が適切なおよび/または所望のデバイスに係合されることを確かめるために、電源は、被結合モジュールを有する「ハンドシェイク」オペレーションを実行する。いくつかの実施形態では、インジケータ(例えば発光ダイオード(LED)インジケータ・ライト)は、この認証の通知を提供するために用いる。例えば、認証(例えばソリッドグロー、グローでない、点滅する、1つの状態に関し1色および他の状態などに関し他の色を使用して)の状態を示すために、多色LEDまたは単一の色LEDは、診断情報を提供する。
[0019] いくつかの実施形態では、他のデバイス(例えば電源からパワーを受信する機器)を認証するために、電源は、用いることがありえる。例えば、電源回路は、受電デバイス、一種の受電デバイス、受電デバイスの製造業者、などを認証するために用いることがありえる。このように、産業的なオートメーション設定の偽の装置の使用は、防止されることがありえるかまたは最小化されることがありえる。更に、電源は、装置(例えばコントローラ、入出力(I/O)モジュール、端デバイス、フィールド・デバイス(例えば、プロセス・センサおよび/またはアクチュエータ)など)にそれ自体を認証するために用いることがありえる。いくつかの実施形態では、電源に接続している電源とデバイスの間に、電源は、暗号の通信を促進する。例えば、電源は、電源と端デバイス、フィールド・デバイス、などの間に双方向性暗号の通信を提供することがありえる。更に、実施形態によっては、オペレータは、フィールド・デバイス(例えばセンサ、アクチュエータまたは他のいかなる機器も)に関する認証情報を得るためにネットワークに接続している電源を使用することがありえる。いくつかの実施形態では、予定の時間および/または他のあらかじめ定義されたイベントで、新規なデバイスが、スタートアップ/リセットで、周期的に取り付けられる認証シーケンス(例えば、「ハンドシェイク」)を実行するために、2以上の認証モジュール(例えば、第1の認証モジュールおよび2台目の認証モジュール)は、構成される。認証モジュールが他のデバイスおよび/または互いを認証することに失敗するべきであるならば、デバイス(例えば、証明されてないデバイス)の少なくとも1台は部分的に、または、完全に使用不能でありえておよび/または他のデバイスと通信するのを制限されることがありえる。
[0020] 産業用制御システムにおいて、さまざまな産業的なエレメント/サブシステム(例えば、入出力モジュール、パワー・モジュール、フィールド・デバイス、スイッチ、ワークステーションおよび/または物理的な相互接続デバイス)は、制御要素/サブシステム(例えば、一つ以上の通信/制御モジュール)により制御されるかまたは駆動される。オペレータインタフェース(例えば、SCADAまたは人間の機械インタフェース(HMI)、エンジニアリング・インタフェース、ローカル・アプリケーション、リモート・アプリケーションなど(必ずしもこれらに限られない)のようなアクションオリジネータから、例えば受信されるが、プログラミングおよびアクション要求(例えば、実行可能ソフトウェア・モジュール、制御コマンド、データ要求、など)に従って、制御要素/サブシステムは、機能する。複数のアクションオリジネータがいる所で、産業用制御システムはデータおよび/または規制への無許可の接近に弱くありえる。更に、破壊工作ソフト、スパイウェアまたは最新版、アプリケーション画像、制御コマンド、等の形で送信されることがありえる他の不正な/悪意のあるソフトウェアに、産業用制御システムは、弱くてもよい。有効なログインまたは表面上有効な(例えば、大幅に削られる)アプリケーションまたはオペレータ/エンジニアリング・インタフェースを介して、発明されることがありえる悪意のある行為者または意図せずに未許可のリクエスト/コマンドからさえシステムを得るのに、単にオペレータを認証することは、十分ではなくてもよい。
[0021] 無許可のアクション要求が産業用制御システムで処理されるのを防止することに関し、現在の開示は、コントローラ、システムおよび技術に向けられる。オペレーションまたはすべてのオペレータ・アクションのあらかじめ定義された選択または他はアクションを制御し、または、リクエストはアクションオリジネータから産業エレメント/コントローラ(例えば、通信/制御モジュール、入出力(I/O)モジュール、パワー・モジュール、フィールド・デバイス、スイッチ、ワークステーション、物理的な相互接続デバイス、等)まで認証経路を介して固定されることがありえる。実装において、リクエストがアクションオリジネータによって、生成したアクションに署名することを、産業用制御システムは、アクション証人が必要とする。サインがないアクション要求は、エラーに自動的に結果としてなる場合があって、産業エレメント/コントローラにより処理されないかまたは実行されない。産業エレメント/コントローラは、署名されたアクション・リクエストを受信するために構成されることがありえて、署名されたアクションリクエストの確実性を検査して、署名されたアクション・リクエストの確実性が検査されるときに要請された動作を実行する。このように、悪意のあるまたは無許可のアクション要求は処理されない、そして、かくして、システムは破壊工作ソフト、スパイウェア、未許可の制御の変更パラメータ、無許可のアクセスからデータ、などまで保護されていることがありえる。
例示の実装
[0022] 図1〜6に全般的に例示の電源120は、現在の開示に従って記載される。いくつかの実施形態では、電源120は電源120を認証するために構成される一つ以上の認証モジュール134を備え、および/または、電源120(例えばI/Oモジュール102、制御モジュール104など(例えば、図1にて図示したように)に接続しているデバイスに、パワーの一つ以上の電池モジュール122は120を供給する。電源120に接続している一つ以上のデバイスを認証するために、認証モジュール134は、用いることもありえる。いくつかの実施形態では、認証モジュール134は、電源120と関連したユニーク識別子136および/またはセキュリティ証明書138を記憶する(例えば、図5に示すように、プロセッサ140を備えているコントローラ128および一つ以上のユニーク識別子136および/またはセキュリティ証明書138を記憶するメモリ142を用いて、認証モジュールは、実装される)。認証に基づく電源120に接続しているデバイスへの接続をもたらし、および/または、防止するように、認証モジュール134は、構成されることがありえる。(例えば、オペレータに対する)認証を示すために、電源120は、インジケータ(例えば、インジケータ・ライト144)を備えることもありえる。
[0023] いくつかの実施形態では、電源120は、警報モジュール146を備える。開示の実施形態において、電源120に接続している電源120および/またはデバイスに関し条件の状態および/またはセットが満たされるとき、(例えば、オペレータに対する)警報を提供するために、警報モジュール146は構成される。例えば、電源120の認証または電源に接続しているデバイスが得られておよび/または故障するときに、警報は認証モジュール134により生成されて、警報モジュール146により提供される。例えば、電源120が適切なおよび/または所望のデバイスに係合されることを確かめるために、電源120は、被結合受電デバイス(例えば、I/Oモジュール102および/または制御モジュール104)を有する「ハンドシェイク」オペレーションを実行する。そうでない場合には、警報モジュール146は、オペレータ(例えば、ネットワークを介して)に警告するために用いることがありえる。いくつかの実施形態では、警報は、電子メールの形でオペレータに提供される。他の実施態様において、警報は、テキストメッセージの形でオペレータに提供される。しかしながら、これらの警報は、例証として提供されて、現在の開示を制限するはずでない。他の実施態様において、異なる警報は、オペレータに提供される。更に、条件が認証プロシージャ(例えば、電子メールおよびテキストメッセージなど)に関し満たされるときに、複数の警報はオペレータに提供されることがありえる。また、パワー電源故障、電池モジュール故障、接続される装置故障、電源および/または受電デバイスに関しさまざまなエラー条件などを包含する(しかし、必ずしもこれに限らない)警報が他の条件に関し認証モジュール134および/または警報モジュール146により提供されることがありえることは注意すべきである。
[0024] 電源120に接続している電源120と一つ以上のデバイスの間に通信を暗号化するために、認証モジュール134は、構成されることもありえる。図1に示すように、電源120は、暗号化モジュール148を備えることがありえる。例えば、一つ以上の暗号のプロトコルは、電源120と受電デバイスの間に情報を送信するために用いる。かかる暗号のプロトコルの例は、例えばトランスポート層セキュリティ(TLS)プロトコル、安全なソケット層(SSL)プロトコルなどを備えるが、それらに限定されない。例えば、電源120と受電デバイス間の通信はHTTP安全なプロトコル(HTTPS)を使用することがありえ、HTTPプロトコルはSSLおよび/またはTLSプロトコルに階層化される。
[0025] いくつかの実施形態では、電源120に接続している電源120とデバイスの間に、認証シーケンスが実行されることがありえる。例えば、コントローラ128の認証モジュール134を用いた認証シーケンスを実行することによって、電源120は、被結合入出力装置102、制御モジュール104などを認証する。他の実施態様において、電源120に接続しているデバイスは、電源120を認証することがありえる。例えば、コントローラ128の認証モジュール134を有する認証シーケンスを実行することによって、制御モジュール104は、被結合電源120を認証する。更なる実施形態において、1つの電源120は、他の電源120を認証することがありえる。例えば、第1の電源120のコントローラ128の第1の認証モジュール134と第2の電源120のコントローラ128の第2の認証モジュール134の間に認証シーケンスを実行することによって、第1の電源120は、第2の(例えば、冗長な)電動電源120を認証する。いくつかの実施形態では、第2の電源120は、第1の電源120を認証することもありえる。
[0026] プロセッサ140およびメモリ142がコントローラ128(例えば、図1に関して)の一部としていくつかの特性により記載されると共に、この構成が例証として提供されて、現在の開示を制限するはずでない点に留意する必要がある。かくして、電池モジュール122の一つ以上は、プロセッサ、メモリ、など(例えば、コントローラ128で備えられるプロセッサ140およびメモリ142に加えて、または、それの代わりに)を備えることもありえる。このような実施形態では、電池モジュール122の一つ以上は、一つ以上の認証モジュール134を備えることがありえ、例えば、一つ以上の他のデバイス(例えば、他の電池モジュール122、コントローラ128、制御要素またはサブシステム、など)に電池モジュール122を認証しておよび/または電源120に連結する他のデバイス(例えば、他の電池モジュール122、コントローラ128、制御要素またはサブシステム、など)を認証するために、認証モジュール134は、プロセッサおよびメモリ(おそらく格納一つ以上のキー、証明書、ユニーク識別子、セキュリティ証明書、など)を使用する。
[0027] いくつかの実施形態では、電池モジュール122は、電源120および/または接続される装置(例えば電源120に連結する受電デバイス)のコントローラ128を認証することがありえる。例えば、電池モジュール122の認証モジュール134を用いた認証シーケンスを実行することによって、電池モジュール122は、電源120および/または被結合入出力装置102、制御モジュール104、などのコントローラ128を認証する。他の実施態様において、電源120に接続している受電デバイスは、電池モジュール122の一つ以上を認証することがありえる。例えば、それぞれの電池モジュール122の認証モジュール134を有する認証シーケンスを実行することによって、制御モジュール104は、被接続電源120の一つ以上の(例えば、各々)電池モジュール122を認証する。
[0028] いくつかの実施形態では、コントローラ128は、電池モジュール122の一つ以上を認証することがありえる。例えば、コントローラ128の認証モジュール134とそれぞれの電池モジュール122の認証モジュール134の間に認証シーケンスを実行することによって、コントローラ128は、一つ以上の電池モジュール122を認証する。更なる実施形態において、ある電池モジュール122は、他の電池モジュール122を認証することがありえる。例えば、第1の電池モジュール122の第1の認証モジュール134と第2の電池モジュール122の第2の認証モジュール134の間に認証シーケンスを実行することによって、第1の電池モジュール122は、第2の電池モジュール122を認証する。いくつかの実施形態では、第2の電池モジュール122は、第1の電池モジュール122を認証することもありえる。
[0001] 電源120が、産業用制御システムで使われることがありえる。例えば、図2に関して、例示の産業用制御システム100は、現在の開示に従って記載される。実施形態において、産業用制御システム100は産業用制御システム(ICS)、プログラム可能なオートメーション・コントローラ(PAC)、管理制御およびデータ収集(SCADA)システムを含むことができる。そして、分散制御システム(DCS)、プログラマブル論理コントローラ(PLC)および産業安全システムが安全基準(例えばIEC1508等)に保証される。制御要素またはサブシステムを備える分散制御システムを実装するために、産業用制御システム100は通信制御アーキテクチャを使用する。ここで、システムの全体にわたって割り当てられる一つ以上のコントローラによって、サブシステムは制御される。例えば、一つ以上のI/Oモジュール102は、一つ以上の制御モジュール104に接続している。産業用制御システム100は、I/Oモジュール102へ/から伝達するデータに構成される。I/Oモジュール102は、入力モジュール、出力モジュールおよび/または入出力モジュールを含むことがありえる。例えば、入力モジュールはその過程で入力センサから情報を受信するために用いることがありえる。その一方で、出力モジュールが出力アクチュエータに伝達する命令に用いられることがありえる。例えば、I/Oモジュール104は、ガス工場、精練所、などに関し配管の圧力を測定することに関しプロセス・センサ106(例えば、照明、放射線、ガス、温度、電気、磁気および/または、音響センサ)に接続していることがありえ、および/またはアクチュエータ108(例えば、制御弁、油圧アクチュエータ、磁気アクチュエータ、モーター、ソレノイド、電気的スイッチ、送信機、等)をプロセスに接続した。
[0029] 実装において、システムを制御して、例えば、製造、パワー生成、製作および精製、インフラ・プロセス、処理および配布、廃水収集および処理に給水にかかるもの、油およびガスパイプライン、送電および配布(風力発電所および大きい通信システム)、建物、空港、船および宇宙ステーション(例えば、暖房・換気および空調(HVAC)装置およびエネルギー消費をモニタし、制御するために)に関し施設プロセス、大きなキャンパス工業処理プラント(例えば油およびガス、精製、化学薬品、医薬、食品および飲料、水および廃水、パルプおよび紙、有用性パワー、鉱業、金属)、および/または重要なインフラのような工業処理(しかし、これらに限定されない)を備えているアプリケーションのデータを集めるために、自我/Oモジュール102は、用いることがありえる。
[0030] 実装において、(例えばA/D変換器(ADC)回路などを用いて)センサ106からデジタルデータまで受信されるアナログ・データを変換するために、I/Oモジュール102は、構成されることがありえる。I/Oモジュール102は、アクチュエータ108に接続していることもありえ、アクチュエータ108(例えば速度、トルクなど)の一つ以上の機能している特性を制御するために構成されることもありえる。更に、I/Oモジュール102は、アクチュエータ108(例えばA/D変換器(DAC)回路などを用いて)に、アナログの送信のためのデータに共垂直線デジタルデータに構成されることがありえる。実装において、I/Oモジュール102の一つ以上は、通信下位バス(例えばイーサネット(登録商標)・バス、H1フィールド・バス、Process Field Bus(PROFIBUS)、ハイウェーAddressable Remote Transducer(HART)バス、Modbusなど)を介して通信することに関し構成される通信モジュールから成ることがありえる。更に、2以上のI/Oモジュール102は、通信下位バスに関しフォールト・トレラントおよび冗長な接続を提供するために用いることがありえる。
[0031] あるI/Oモジュール102と他のI/Oモジュール102を区別することに関し、各I/Oモジュール102は、ユニーク識別子(ID)により提供されることがありえる。実装において、それが産業用制御システム100に接続するときに、I/Oモジュール102はそのIDにより確認される。複数のI/Oモジュール102は、産業用制御システム100で冗長性を提供するために用いることがありえる。例えば、2以上のI/Oモジュール102は、センサ106および/またはアクチュエータ108に接続していることがありえる。各I/Oモジュール102は、I/Oモジュール102(例えば印刷回路基板(PCB)など)で備えられるハードウェアおよび回路への物理的な接続に供給する一つ以上のポートを備えることがありえる。
[0032] ワイド領域セルラ電話ネットワーク(例えばモバイル通信(GSM)ネットワークに関し3Gセルラー電話網、4Gのセルラー電話網またはGlobalシステム)、無線コンピュータ通信ネットワーク(例えばWi―Fiネットワーク(例えば、IEEE802.11ネットワーク標準を使用して機能する無線LAN(WLAN、パーソナルエリアネットワーク(PAN)(例えば、IEEE802.15ネットワーク標準を使用して機能したWirelessPAN(WPAN)、ワイド・エリア・ネットワーク(WAN)、イントラネット、エクストラネット、インターネットなどを含むが必ずしもこれに限られない他のネットワークに接続することに関し、I/Oモジュール102の一つ以上は、インタフェースを備えることがありえる。更に、I/Oモジュール102をコンピュータバスなどに接続することに関し、I/Oモジュール102の一つ以上は、接続を備えることがありえる。
[0033] I/Oモジュール102をモニタして、制御して、一緒に2以上のI/Oモジュール102を接続するために、制御モジュール104は、用いることがありえる。開示の実施形態において、I/Oモジュール102に関し固有IDに基づく産業用制御システム100にI/Oモジュール102が接続するときに、制御モジュール104はルーティング・テーブルを更新することがありえる。更に、複数の冗長なI/Oモジュール102が用いられるときに、データがI/Oモジュール102から受信されておよび/またはそれに発信されるにつれて、各制御モジュール104はI/Oモジュール102に関して情報のデータベースのミラーリングを実装することがありえて、それらを更新することがありえる。いくつかの実装において、2以上の制御モジュール104は、冗長性を提供するために用いる。付加的なセキュリティに関して、スタートアップ、リセット、新規な制御モジュール104の取付け、制御モジュール104の置換、周期的に、予定の時間など(ただし、これらに限定されない)を包含しているあらかじめ定義されたイベントまたは時間に互いを認証するために認証シーケンスまたは握手を実行するために、制御モジュール104は、構成されることがありえる。更に、ランダムな(例えば、疑似乱数の)時間間隔で認証を実行するために、制御モジュール104は、構成されることがありえる。
[0034] 産業用制御システム100により送信されるデータはパケット化でありえる、すなわち、データの別々の部分はネットワーク制御情報、などとともにピン部から成るデータパケットに変換されることがありえる。産業用制御システム100はデータ伝送に関し一つ以上のプロトコルを使用することがありえる。そして、ビットを指向する同期データリンク層プロトコル、例えばHigh―Levelデータリンク制御、HDLCを包含する。いくつかの実施形態では、産業用制御システム100は、標準の国際標準化機構(ISO)13239等に従ってHDLCを実装する。更に、2以上の制御モジュール104は、冗長なHDLCを実装するために用いることがありえる。しかしながら、HDLCが例えば提供されて、現在の開示で拘束性のはずでない点に留意する必要がある。かくして、産業用制御システム100は、現在の開示に従って他のさまざまな通信プロトコルを使用することがありえる。
[0035] モニタリングに関し情報を使用するコンポーネントと交換しておよび/またはI/Oモジュール102(例えば一つ以上の制御ループ・フィードバック機構/コントローラ)を介して産業用制御システム100に接続している計装を制御することに関し、制御モジュール104の一つ以上は、構成されることがありえる。実装において、コントローラは、マイクロコントローラ/Programmable Logic Controller(PLC)、Proportional―Integral―Derivative(PID)コントローラなどとして構成されることがありえる。開示の実施形態において、例えば、ネットワーク110を介して一つ以上のI/Oモジュール102を一つ以上のコントローラに接続するために、I/Oモジュール102および制御モジュール104は、ネットワーク・インターフェースを備える。実装において、I/Oモジュール102をローカル・エリア・ネットワーク(LAN)に接続することに関しギガビットイーサネット(登録商標)・インタフェースとして、ネットワーク・インターフェースは、構成されることがありえる。更に、2以上の制御モジュール104は、冗長なギガビットイーサネット(登録商標)を実装するために用いることがありえる。
[0036] しかしながら、ギガビットイーサネット(登録商標)が例えば提供されて、現在の開示で拘束性のはずでない点に留意する必要がある。かくして、制御モジュール104をワイド領域セルラ電話ネットワーク(例えば3Gセルラー電話網、4Gのセルラー電話網またはGSMネットワーク)、無線コンピュータ通信ネットワーク(例えばWi―Fiネットワーク(例えば、IEEE802.11ネットワーク標準を使用して機能したWLAN)、PAN(例えば、IEEE802.15ネットワーク標準を使用して機能したWPAN)、WAN、イントラネット、エクストラネット、インターネット、などの(ただし、これらに限定されない)さまざまなネットワークに接続することに関し、ネットワーク・インターフェースは、構成されることがありえる。加えて、ネットワーク・インターフェースは、コンピュータバスを使用して実装されることがありえる。例えば、ネットワーク・インターフェースは、Peripheral Component Interconnect(PCI)カードインターフェース(例えばミニPCIインターフェイスなど)を備えることがありえる。更に、異なるアクセス・ポイント全体の単一のネットワークまたは複数のネットワークを備えるために、ネットワーク110は、構成されることがありえる。
[0037] 図3を次に参照すると、産業用制御システム100は、複数のソースから電力を受信することがありえる。例えば、AC電源は、パワー格子112(例えばAC本線からの高電圧パワーを使用して)から供給される。AC電源は、ローカル・パワー生成(例えば、現場でのタービンまたはディーゼル・ローカル・パワー・ジェネレータ114)を使用して供給されることもありえる。電源116は、パワー格子112から産業用制御システム100(例えばコントローラ、I/Oモジュール、など)のオートメーション装置まで電力を割り当てるために用いる。他の電源118は、ローカル・パワー・ジェネレータ114からオートメーション装置まで電力を割り当てるために用いる。産業用制御システム100も、複数の電池モジュール122を用いてストアおよび戻るDCパワーに構成される追加(バックアップ)電動電源120を備える。例えば、パワー電源120は、UPSとして機能する。開示の実施形態において、複数のパワーは116、118を供給する、および/または、120は産業用制御システム100の範囲内で割り当てられる(例えば、物理的に分散する)。
[0038] いくつかの実施形態では、一つ以上のパワーは116、118を供給する、および/または、120はキャビネットのレベルで提供される。例えば、1つの電源120は、制御モジュール104およびその付随するI/Oモジュール102に予備電力を提供するために用いる。他の実施態様において、1つの電源120は制御モジュール104に予備電力を提供するために用いる。そして、付随するI/Oモジュール102(例えば、I/Oモジュール102および制御モジュール104が施設の範囲内でいくつかの距離によって、物理的に分離されるところ、電気的絶縁がI/Oモジュール102と制御モジュール104、などの間に維持されるところ)に予備電力を提供するために、他の電源120は用いる。
[0039] パワーは116、118を供給する、および/または、パワー・フィールド・デバイス(例えば図2に関して記載されるセンサ106および/またはアクチュエータ108)に、120は構成されることもありえる。例えば、アクチュエータ108(例えば、アクチュエータ108がDCモーターまたは他のDCアクチュエータである実装で)に伝送に関しAC(例えば、AC本線により供給されるように)をDCに変換することに関し、電源116および118の一つ以上は、DCに対するAC(AC/DC)コンバータを備える。更に、冗長性を提供するために用いる2以上の電源116、118および/または120は、各電源120に関し別々の(冗長な)パワー・バックプレーンを用いた産業用制御システム100のオートメーション装置に接続していることがありえる。
[0040] 図4を参照する。電源120は、複数の電池モジュール122を備える。開示の実施形態において、各電池モジュール122は、リチウムイオン電池セル124を含む。例えば、電池モジュール122は、1および1/2ボルト(1.5 V)のリチウムイオン電池セル、3ボルト(3 V)のリチウムイオン電池セル、などを用いて実装される。いくつかの実施形態では、電源120は、一緒に積み重なる8〜10の電池モジュール122を備える。しかしながら、多くの8〜10の電池モジュール122は、例えば提供されて、現在の開示を制限するはずでない。他の実施態様において、8足らずまたは10以上の電池モジュール122は、一緒に積み重なる。
[0041] 更に、電池モジュール122がリチウムイオン電池セル124を備えるとして記載されるにもかかわらず、現在の開示のシステムおよび技術が、鉛酸蓄電池、アルカリ電池、ニッケルカドミウム電池、ニッケル水素電池、リチウムイオン・ポリマー電池、リチウム硫黄電池、薄膜リチウム電池、カリウム―イオンバッテリ、ナトリウムイオン電池、ニッケル鉄電池、ニッケル―水素電池、ニッケル―亜鉛電池、リチウム―空気電池、リチウム鉄のリン酸塩電池、リチウム―チタン酸塩電池、亜鉛臭化物電池、バナジウム・レドックス電池、ナトリウム―硫黄電池、熱した塩電池、銀―酸化物電池などを含むが必ずしもこれに限らず他の再充電可能電池、ストレージおよび/またはアキュムレータ技術を使用することがありえる点に留意する必要がある。
[0042] 電池モジュール120の各々はリアルタイム・バッテリモニタ126を備え、例えば、印刷回路基板(PCB)を用いて実装されることがありえる。開示の実施形態において、バッテリモニタ126は、電池セル124を作動するコントローラ128(例えば、マイクロコントローラ)により用いられる。例えば、各バッテリモニタ126は、コントローラ128に各電池セル124に関し診断情報を提供する。診断情報は、電池セル124、電池セル124(例えば、アンペアの)の操作の流れ、電池セル124(例えば、クーロンの)への電荷のユニット、電池セル124(例えば、クーロンの)からの電荷のユニット、電池セル124(例えば、充電/放電サイクルなどの数において、時間を単位にする)ができてからの年数など(ただしこれらに限定されない)の操作の電圧を包含する。
[0043] いくつかの実施形態では、各バッテリモニタ126は、コントローラ128に別々接続している。他の実施態様において、複数のバッテリモニタ126は、コントローラ128に接続して、共有通信チャネル(例えば直列バス)に接続している。パワー調節装置130(例えば、トランスを備える)に、バッテリモニタ126も接続している。そして、それは外部電源(例えば電源116および/または電源118)から電力を受信する。パワー調節装置130から供給される電気エネルギ源を使用して、電池セル124は、荷電される。電気エネルギ源は他のパワー調節装置132を用いたバッテリ・セル124から排出される。そして、電池セル124(例えば電圧)により供給される電気エネルギ源の一つ以上の出力特性を調整するために、それは用いることがありえる。
[0044] 開示の実施形態において、各電池モジュール122はホイルで包まれた電池セル124を有する支持フレームを含む。ここで、電池セル124が封止されるままであるように、複数の支持フレームは積み重なることがありえる、その一方で、箔の範囲内で電池セルの伸縮に関し124を許容する。開示の実施形態において、バッテリモニタ126から成るPCBは、支持フレームの電池セル124でも入っている。更に、PCBは、電池セル124によって、電力を供給されて、各電池セル124との間で電流を制限するために構成される。例えば、バッテリモニタ126は、エネルギーが電池に記憶されるのを防止しておよび/またはバッテリモニタ126から許可のない電池から戻った電子信号切換装置(例えば、アナログスイッチの方法で直列に接続される2つの電界効果トランジスタ(FET)を備える。このように、電池セル124のターミナルが予想外の電気径路(例えば、不足して巡回された)に接続するときに、電池セル124に対する電気接続は防止される。更に、バッテリモニタ126が非アクティブである(例えば、電池セル124の負担がないときに)ときに、電池セル124に対する電気接続は防止される。この例では、それらが電源120に嵌入されるときに、電池モジュール122は少なくとも部分的に荷電される。
[0045] 開示の実施形態において、電池モジュール122は、各支持フレームに配置されている電気的接触(例えば、電気コネクタ)を使用して積み重なって、接続される。電気コネクタは、電池セル124(例えば、バッテリモニタPCBを経た)に電気的に接続していて、支持フレーム(さもなければ電池セル124へのはんだ付けされた接続を必要とする)から伸びているワイヤのない支持フレームに配置されていることがありえる。例えば、他の支持フレーム(例えば、他の支持フレームの底面に配置されている)上の対応するスナップフィット電気コネクタと嵌合する1つの支持フレーム(例えば、支持フレームの上面に配置されている)に、スナップフィット電気コネクタは、提供される。電気コネクタの間にコンタクトの表面積を増加させておよび/または電気コネクタ(例えば、他の電気コネクタへの挿入に関し一部の1つの電気コネクタを構成することによって、)の自動配列を提供するために、電気コネクタは、構成されることがありえる。
[0046] 開示の実施形態において、複数の電池モジュール122が予想外の方法で一緒に接続されるのを防止するように、電気コネクタは、幾何学的に調整される(例えば、大きさを設定されて配置した。)。例えば、1つの電気的接触は支持フレームに関して上方へ全般的に正しい位置に置かれることがありえる。その一方で、他の電気的接触は支持フレームに関して下方へ全般的に正しい位置に置かれることがありえる。他の実施態様において、2つの電池モジュール122(例えば、色分け、表示など)を整列配置することに関し、ビジュアル・キューは、提供される。
[0047] 更に、電池モジュール122に関し機械の登録を提供する(例えば一つの電池モジュール122の電気コネクタを他の電池モジュール122の嵌合用電気コネクタでおよび/または電源120に対する電気コネクタで合わせることに関しに)ために、電源120は、スロット、チャネル、トラックなどを備えることがありえる。例えば、電池モジュール122は、電源120のハウジングのそれぞれのトラックおよびハウジングに関する電池モジュール122の提供している配列への挿入に関し構成されるタブまたはポストを備える。更に、独自に特定の配列において、および/または電源120のハウジングに関する特定位置で被結合各電池モジュール122を確認するために、コントローラ128は、ユニークな物理的な身分証明(ID)を各電池モジュール122と関連させることがありえる。
[0048] 開示の実施形態において、電源120は、取付キャビネット、取付ラック、取付壁などに関し組み立てられる。電源120のハウジングは剛性、絶縁材料(例えばアクリロニトリル・ブタジエン・スチレン(ABS)または他のプラスチック材料)の中で組み立てられることがありえる。そして、さもなければ電池セル故障が生じた場合リリースされるエネルギーを含むために、それは用いることがありえる。更に、ハウジングは、(電池故障のため放出されることができる)リチウムのような化学電池セル・コンポーネントを含み、または少なくとも実質的含むようめに構成されることがありえる。加えて、電源120に含まれるコンポーネントは、互いから電気的に絶縁されることがありえる。例えば、コントローラ128に対する信号は、バッテリモニタ126および電池セル124から直流電気よって分離される。更に、コントローラ128及び電源レギュレータ130は、電気的および/またはバッテリモジュール122及び電力調整器132から絶縁された漏電である(例えば別々のトランス、光アイソレータ、などを用いて)。
[0049] 図5を次に参照すると、コントローラ128は、産業用制御システム100(例えば、ネットワーク110を介して)に接続している。開示の実施形態において、コントローラ128は、コントローラ・レベルでおよび/または各電池モジュール122のレベルでセキュリティおよび/または診断法を実装する。コントローラ128は、そのコンポーネントの一部もしくは全部を備えて、計算機制御中で作動することがありえる。例えば、ソフトウェア、ファームウェア、ハードウェア(例えば、固定ロジック回路)、手動処理またはそれらの組み合わせを用いて本願明細書において、記載されるコントローラ128のコンポーネントおよび関数を制御するために、プロセッサ140は、コントローラ128で、または、それにおいて、備えられることがありえる。本明細書で用いられる用語「コントローラ」、「機能」、「サービス」および「ロジック」は、コントローラ128を制御することに関連して、ソフトウェア、ファームウェア、ハードウェアまたはソフトウェア、ファームウェアまたはハードウェアの組合せを全般的に表す。ソフトウェア実装の場合、プロセッサ(例えば、中央演算処理装置(CPU)またはCPU)に実行されるときに、指定された作業を遂行するプログラムコードを、モジュール、機能またはロジックは表す。プログラムコードは、一つ以上のコンピュータ読取可能メモリ・デバイス(例えば、内部メモリーおよび/または一つ以上の有形媒体)などに記憶されることがありえる。様々なプロセッサを有している様々な商業的な計算プラットフォームに、本願明細書において、記載される構造、関数、アプローチおよび技術は、実装されることがありえる。
[0050] プロセッサ140はコントローラ128に関し処理機能を提供して、いかなる数のプロセッサ、マイクロ・コントローラまたは他の演算処理システムを備えることがありえる。そして、格納データおよび他の情報に関しレジデントまたは外部メモリがコントローラ128によって、アクセスされるかまたは生成される。プロセッサ140は、本願明細書において、記載される技術を実装する一つ以上のソフトウェア・プログラムを実行することがありえる。プロセッサ140は、それが形成される材料または、そこにおいて、使用される処理機構により制限されなくて、このように、半導体および/またはトランジスタ(例えば電子集積回路(IC)コンポーネントを用いて)、などを介して実装されることがありえる。
[0051] コントローラ128も、メモリ142を備える。本願明細書において、記載される機能を実行するために、メモリ142は、コントローラ128(例えばソフトウェア・プログラムおよび/またはコード部分またはプロセッサ140およびおそらくコントローラ128の他のコンポーネントに指示する他のデータ)のオペレーションと関連したさまざまなデータを記憶するために、ストレージ機能を提供する、有形の、コンピュータ可読のストレージ媒体の例示である。かくして、メモリ142は、データ(例えばパワー電源120(そのコンポーネントを備える)を作動することに関し命令のプログラム、など)を記憶することがありえる。開示の実施形態において、メモリ142は、電源120に関しユニーク識別子136および/またはセキュリティ証明書138を記憶することがありえる。単一のメモリ142が記載されると共に、メモリ(例えば、有形の、非一時的なメモリ)の多種多様なタイプおよび組合せが使用されることがありえる点に留意する必要がある。メモリ142は、プロセッサ140とともに要素を成すことがありえるか、独立型メモリから成ることがありえるか、または、両方の組合せでありえる。メモリ142は、着脱可能および取り外し不可能なメモリ・コンポーネント(例えばランダムアクセス・メモリ(RAM)、読出し専用メモリ(ROM)、フラッシュ・メモリ(例えば、安全なデジタル(SD)メモリ・カード、ミニSDメモリ・カードおよび/またはmicroSDメモリ・カード)、磁気メモリ、光メモリー、汎用直列バス(USB)メモリ・デバイス、堅いディスクメモリ、外部メモリなど)(ただしこれらに限定されない)を包含することがありえる。実装において、電源120および/またはメモリ142は着脱可能な集積回路カード(ICC)メモリを備えることがありえる。そして、例えば、それをメモリは加入者識別モジュール(SIM)カード、汎用加入者識別モジュール(USIM)カード、汎用集積回路カード(UICC)などにより提供される。
[0052] コントローラ128は、通信インタフェース150を備える。電源120のコンポーネントと通信するために、通信インタフェース150は、有効に構成される。例えば、通信インタフェース150はコントローラ128のストレージに関し伝達するデータに構成されることがありえる、コントローラ128、などのストレージからデータを検索する。電源120のコンポーネントとプロセッサ140間のデータ転送(例えば、通信でコントローラ128および/または通信出力に連結するデバイスから通信でコントローラ128(例えばバッテリモニタ126)に連結するデバイスまで受信されるプロセッサ140への通信入力に関し)を容易にするために、通信インタフェース150は、プロセッサ140にも通信で連結する。例えば、プロセッサを複数のバッテリモニタ126に接続するために、通信インタフェース150は、共有通信チャネル(例えば直列バス)を使用して実装される。
[0053] 開示の実施形態において、コントローラ128は、バッテリモニタ126を有する双方向通信に関し構成される。例えば、コントローラ128は、バッテリモニタ126から診断情報(例えば、電池セル124に関する状態情報および/または信頼性情報)を集める。コントローラ128も、例えば、記憶する電池モジュール122および電源116、電源118、などから供給される戻る電気エネルギ源に指示している電池モジュール122を作動する。通信インタフェース150がコントローラ128のコンポーネントとして記載されると共に、有線のおよび/またはワイヤレス接続を介して通信でコントローラ128に連結する外部のコンポーネントとして、通信インタフェース150の一つ以上のコンポーネントが実装されることがありえる点に留意する必要がある。コントローラ128は、ディスプレイ、マウスなどを含むが必ずしもこれに限らずデバイス(例えば、通信インタフェース150を介して)から成ることもありえておよび/または一つ以上の入出力(I/O)に接続することもありえる。例えば、コントローラ128は表示装置(例えば多色(例えば、三色の)発光ダイオード(LED)(例えば、インジケータ・ライト144)に接続していることがありえる。そして、それは電源120の状態を示すことがありえる。
[0054] ワイドな領域セルラ電話ネットワーク(例えば3Gセルラー電話網、4Gのセルラー電話網またはGSM(GSM)ネットワーク)、無線コンピュータ通信ネットワーク(例えばWiFiネットワーク(例えば、IEEE802.11ネットワーク標準を使用して機能した無線LAN(WLAN、インターネット、ワイド・エリア・ネットワーク(WAN)、ローカル・エリア・ネットワーク(LAN)、個人領域ネットワーク(PAN)(例えば、IEEE802.15ネットワーク標準を使用して機能した無線個人領域ネットワーク(WPAN)、公共電話網、エクストラネット、イントラネット、など。を含むが必ずしもこれに限らず、様々な異なるネットワーク110と通信するために、通信インタフェース150および/またはプロセッサ140は、構成されることがありえる。しかしながら、このリストは、例示だけであり、現在の開示を制限するものではない。加えて、通信インタフェース150は、コンピュータバスを使用して実装されることがありえる。例えば、通信インタフェース150は、PCIカードインターフェース(例えばミニPCIインターフェイスなど)を備えることがありえる。更に、異なるアクセス・ポイント全体の単一のネットワーク110または複数のネットワークと通信するために、通信インタフェース150は構成されることがありえる。このように、コントローラ128は、通信で電源120を産業用制御システム100に連結するために用いる。
[0055] 図6を次に参照すると、制御要素またはサブシステム(例えば、I/Oモジュール102、制御モジュール104、電源120、など)は、一つ以上のバックプレーンによって、一緒に接続される。例えば、制御モジュール104は、通信バックプレーン152によって、I/Oモジュール102に接続していることがありえる。更に、電源120は、I/Oモジュール102におよび/またはパワー・バックプレーン154による制御モジュール104に接続していることがありえる。開示の実施形態において、物理的な相互接続デバイス(例えば、限定的ではないがアメリカ非仮特許出願の出願番号14/446,412に記載されるそれらのようなスイッチ、コネクタまたはケーブル)は、I/Oモジュール102、制御モジュール104、電源120およびおそらく他の産業用制御システム装置に接続するために用いる。例えば、ケーブルは制御モジュール104をネットワーク110に接続するために用いる、他のケーブルは電源116をパワー格子112に接続するために用いる、他のケーブルは電源118をローカル・パワー・ジェネレータ114、などに接続するために用いる。
[0056] 開示の実施形態において、産業用制御システム100は、安全な制御システムを実装する。例えば、産業用制御システム100は、セキュリティ証明書ソース(例えば、工場156)およびセキュリティ証明書メーカー(例えば、キー管理実体158)を備える。固有のセキュリティ証明書(例えば、キー、証明書など(例えばユニーク識別子136および/またはセキュリティ証明書138)を生成するために、工場156は、構成される。供給I/Oモジュール102、制御モジュール104、電源116、電源118および/または電源120(例えば、複数の電池モジュール122および/またはコントローラ128の一つ以上を備える)に、キー管理実体158は、工場156によって、固有のセキュリティ証明書を生成して構成される。例えば、I/Oモジュール102および合同電源120は、ユニークなセキュリティ証明書によって、各々配給されることがありえる。
[0057] それから、産業用制御システム100で実装される制御要素またはサブシステムを認証することに関し認証プロセスは、ユニークなセキュリティ証明書に基づいて実行される。例えば、実施形態で、ユニークなセキュリティ証明書(例えば、認証プロセスに基づく)に基づいて二方向に互いと通信するように、制御モジュール104および電源120は、操作可能である。更に、本願明細書において、開示される安全な産業用制御システム100で、産業用制御システム100の複数の(例えば、全て)レベルでセキュリティを提供することに関し、産業用制御システム100の複数の(例えば、あらゆる)制御エレメントおよびサブシステム(例えば、I/Oモジュール、電源、物理的な相互接続デバイスなど)は、セキュリティ証明書により配給される。またさらに、エレメントは、製造(例えば、出生時)の間、ユニークなセキュリティ証明書(例えば、キー、証明書など)により配給されることがありえて、産業用制御システム100の安全を進めることに関し、産業用制御システム100のキー管理実体によって、出生から管理されることがありえる。
[0058] いくつかの実施形態では、コンポーネント(例えば、電源120)と物理的な相互接続の間に認証の実装に関しデバイス(例えば、ケーブル組立体)がそのコンポーネントに接続していることができる物理的な相互接続デバイス(例えば、1―ワイヤ暗号化チップ)に接続しているかまたはそれにおいて、備えられるコントローラを用いて、制御要素またはサブシステムは、接続される。例えば、安全な暗号化された技術がそうであることがありえるマイクロプロセッサは、ケーブルにアセンブリを構築して、産業用制御システム100の特定の成分にキーを操作した。そのケーブル組立体と関係があるために構成されないコンポーネントにユーザがケーブル組立体を設置する(例えば、プラグインする)ときに、この構成は産業用制御システム100に関しセキュリティを提供する。実施形態において、1―ワイヤ・シリアル・キー(例えば、1―ワイヤ組込形キー)は、一つ以上において、実装する(例えば、各々の)物理的な相互接続デバイス。
[0059] 開示の実施形態において、産業用制御システム100のエレメントおよび/または物理的な相互接続デバイス(例えば、ケーブル組立体)間の通信は、認証プロセスを備える。産業用制御システム100で実装されるエレメントおよび/または物理的な相互接続デバイスを認証することに関し、認証プロセスは、実行されることがありえる。実装において、そのエレメントおよび/または物理的な相互接続デバイスを認証することに関し、認証プロセスは、エレメントおよび/または物理的な相互接続デバイスと関連したセキュリティ証明書を利用することがありえる。例えば、セキュリティ証明書は、暗号化キー、証明書(例えば、公開鍵証明書、デジタル証明書、アイデンティティ証明書、セキュリティ証明書、非対称の証明書、標準証明書、非標準証明書)および/または識別番号を備えることがありえる。実施形態において、産業用制御システム100のコンポーネントおよび/または物理的な相互接続デバイスで備えられておよび/またはそれに接続しているコントローラ(例えば、安全なマイクロコントローラ)は、認証プロセスを実行することに関し構成されることがありえる。
[0060] 実装において、システム100がそうである産業的な制御の複数の制御要素またはサブシステム(例えば、エレメントおよび/または物理的な相互接続デバイス)は、それらの自分のものによって、ユニークなセキュリティ証明書に配給した。例えば、エレメントが製造される(例えば、個々のものはキーの中でセット、そして、証明書はエレメントの出生で定められる)ときに、産業用制御システム100の各エレメントは証明書、暗号化キーおよび/または識別番号のそれ自身のユニークなセットにより配給される。証明書、暗号化キーおよび/または識別番号のセットは、強い暗号化を提供して/サポートすることに関し構成される。暗号化キーは、標準(例えば、在庫品の(COTS)コマーシャル)暗号化アルゴリズム(例えば国家安全保障局(NSA)アルゴリズム、国立標準技術研究所(NIST)アルゴリズム、等)により実装されることがありえる。
[0061] いくつかの実施形態では、例えば、認証モジュールのSRAMで、暗号鍵および証明書は、オンチップ・メモリ(OCM)に記憶されることがありえる。加えて、感受性が高い作業(例えば、秘密情報を有する。そして、時々広報を有するさえ作業)は、それがOCMにおいて、実行するスタックを有することができる。例えば、暗号の作業は、地元にOCMに記憶されるスタックから、カーネル空間またはアプリケーション空間において、遂行されることができる。
[0062] 認証プロセスの結果に基づいて、認証されているエレメントは活性化されることがありえる、エレメントの部分的な機能は産業用制御システム100の範囲内で使用可能または使用不可にされることがありえる、エレメントの完全な機能は産業用制御システム100の範囲内で許可されることがありえる、および/または、産業用制御システム100の範囲内のエレメントの機能は完全に使用不能でありえる(例えば、産業用制御システム100のそのエレメントと他のエレメントの間に促進される通信でない)。
[0063] 実施形態において、産業用制御システム100のエレメントと関連したキー、証明書および/または識別番号は、そのエレメントのオリジナルの装置製造業者(OEM)を特定することがありえる。本明細書において、デバイス(例えば、エレメント)および/またはデバイス(例えばデバイスを物理的な製造業者から購入して、デバイスを販売する実体)の供給元を物理的に製造する実体として、用語「相手先商標製造会社」または「OEM」は、定義されることがありえる。かくして、実施形態で、物理的な製造業者およびデバイスの供給元であるOEMによって、デバイスは、製造および供給されることがありえる(販売される)。しかしながら、他の実施形態では、デバイスは、供給元であるOEMによって、割り当てられることがありえるが、物理的な製造業者でない。このような実施形態では、OEMは、デバイスに物理的な製造業者によって、製造させられることがありえる(例えばOEM缶購入、契約、オーダーなどで、ある物理的な製造業者からデバイス)。
[0064] 加えて、OEMがデバイスの物理的な製造者でない供給元から成る所で、デバイスは物理的な製造業者のブランドの代わりに供給元のブランドを支持することがありえる。例えば、エレメント(例えば、電源120)が物理的な製造業者でなく供給元である特定のOEMを伴う実施形態で、エレメントのキー、証明書および/または識別番号は、その起源を特定することがありえる。産業用制御システム100のエレメントの認証の間、判定がそれをされるときに、産業用制御システム100の一つ以上の他のエレメントのOEMとは異なる実体によって、認証されているエレメントは製造されたかまたは出力された、そして、そのエレメントの機能は産業用制御システム100の範囲内で少なくとも部分的に使用不能でありえる。例えば、限定は産業用制御システム100のそのエレメントと他のエレメントの間に通信(例えば、データ転送)に置かれることがありえる。そうすると、エレメントは働くことができなくて/産業用制御システム100の範囲内で機能することができない。産業用制御システム100のエレメントの1つが置換を必要とするときに、知らずに非同種のエレメント(例えば、産業用制御システム100の残りのエレメントより異なる起源(異なるOEM)を有しているエレメント)にエレメントを置き換えて、産業用制御システム100のエレメントを実装するのを、この特徴は産業用制御システム100のユーザが防止することがありえる。このように、本願明細書において、記載される技術は、安全な産業用制御システム100に、他のOEMのエレメントの置換を防止することがありえる。ある例では、始まっているOEMにより提供されるエレメントの代わりに、同程度の機能性に供給するエレメントの置換は防止されることがありえる。これは、次のことの故である。置換されたエレメントは始まっているOEMのシステムを認証することができなくて、それの範囲内で機能した。他の例では、エレメントが始まっているOEMによって、物理的および暗号ラベルの中でセット第1を有して、第1の再販業者は提供されることがありえる。そして、第1の再販業者のエレメントは産業用制御システム100に取り付けられることがありえる。この例では、エレメントがOEMを発明している同じことによって、物理的および暗号ラベルの中でセット1秒(例えば、異なる)を有して、2人目の再販業者は、提供されることがありえる。この例では、第2の再販業者のエレメントは産業用制御システム100の範囲内で機能するのを防止されることができる。これは、次のことの故である。それらは第1の再販業者のエレメントを認証することができなくて、それによって、機能した。しかしながら、また、第1の再販業者および第2の再販業者が双方の合意を結ぶことができることは注意すべきである。ここで、同じ産業用制御システム100を認証して、それの範囲内で作動するために、第1および第2のエレメントは構成されることがありえる。更に、実施形態によっては、合意が特定の顧客、顧客のグループ、施設などに適用するだけであるように、相互運用を許容する再販業者間の合意は実装されることもありえる
[0065] 他の事例において、ユーザは、産業用制御システム100の範囲内で誤って指定された(例えば、ミスマーク)エレメントを実装することを試みることがありえる。例えば、エレメントが産業用制御システム100の他のエレメントのOEMと同じOEMを伴うことを、不正に示すそれにマークされる物理的な表示を、ミス著しいエレメントは、有することがありえる。かかる事例において、産業的な制御システム100により実装される認証プロセスは、エレメントが偽であるという警報を出されるユーザを生じさせる。このプロセスは産業用制御システム100に関し改良された保安を促進することもありえる。これは、次のことの故である。偽のエレメントはしばしば、悪意のあるソフトウェアが産業用制御システム100にもたらされることがありえる車両である。実施形態において、認証プロセスは産業用制御システム100に関し安全なエアギャップを提供する。そして、安全な産業用制御システムが不安定なネットワークから物理的に分離されることを確実にする。
[0066] 暗号法の暗号鍵(例えば、暗号化キー)を管理することに関し、キー管理実体158は、構成されることがありえる。この暗号鍵(例えば、キー管理)を管理することは、キーの生成、交換、ストレージ、使用および/または置換を備えることがありえる。例えば、キー管理実体158はセキュリティ証明書ソースとして役立つために構成される。そして、産業用制御システム100のエレメントに関しユニークなセキュリティ証明書(例えば、治安証明書、秘密のセキュリティ証明書)を生成する。キー管理は、ユーザおよび/またはシステム・レベル(例えば、ユーザまたはシステム間のどちらか)でキーに関係する。
[0067] 実施形態において、キー管理実体158は、安全な実体(例えば安全な施設に位置決めされる実体)から成る。キー管理実体158は、I/Oモジュール102、制御モジュール104およびネットワーク110から遠隔で位置決めされることがありえる。例えば、ファイアウォール160は、キー管理実体158を制御エレメントまたはサブシステムおよびネットワーク110(例えば、コーポレート・ネットワーク)から分離することがありえる。実装において、ルールセットに基づいて、ファイアウォール160は、データパケットを分析して、データパケットが許されるべきかどうか決定することによって、徹底的なおよび出て行くネットワーク・トラフィックを制御するソフトウェアまたはハードウェア・ベースのネットワークセキュリティシステムでありえる。ファイアウォール160は、固定されているとみなされなくて、信頼される(例えば、雲および/またはインターネット)信頼された、安全な内部ネットワーク(例えば、ネットワーク110)と他のネットワーク162の間の障壁をかくしてもたらす。実施形態において、ファイアウォール160は、キー管理実体158と制御要素またはサブシステムまたはネットワークの一つ以上の間に選択的な(例えば、安全な)通信に関し、110を許容する。例示のにおいて、一つ以上のファイアウォールは、産業用制御システム100の範囲内でさまざまな位置で実装されることがありえる。例えば、ファイアウォールは、ネットワーク110のスイッチおよび/またはワークステーションに集積されることがありえる。
[0068] 記載されるように、安全な産業用制御システム100は一つ以上の製造存在物(例えば、工場156)を更に備えることがありえる。工場156は、産業用制御システム100のエレメントに関し、オリジナルの装置製造業者(OEM)と関係していることがありえる。キー管理実体158は、ネットワーク(例えば、クラウド)を介して、製造実体に通信で連結することがありえる。実装において、産業用制御システム100のエレメントが一つ以上の工場156で製造されるときに、(例えば、暗号化された通信パイプラインを有することがありえる)エレメントに、キー管理実体158は通信で連結することがありえる。製造の際にセキュリティ証明書(例えば、キー、証明書および/または識別番号をエレメントに挿入する)を有するエレメントに配給することに関し、キー管理実体158は、通信パイプラインを利用することがありえる。
[0069] 更に、エレメントが使用(例えば、活性化される)に入れられるときに、キー管理実体158は世界的に個々のエレメントに通信で連結することがありえて(例えば、暗号化された通信パイプラインを介して)、特定のコードの使用を確認することがありえて、署名することがありえて、いかなる特定のコードの使用も無効にすることがありえて(例えば、取り除く)、および/または、いかなる特定のコードの使用も可能にすることがありえる。かくして、エレメントが最初は製造される(例えば、生まれる)工場で、キー管理実体158は各エレメントと通信することがありえる。そうすると、エレメントは管理されたキーで支えられる。産業用制御システム100の各エレメントに関しすべての暗号化キー、証明書および/または識別番号を備えているマスタデータベースおよび/またはテーブルは、キー管理実体158により維持されることがありえる。キー管理実体158は、エレメントとのその通信によって、キーを無効にすることに関し構成される。それによって、コンポーネントの窃盗および再利用に対処する認証メカニズムの能力を進める。
[0070] 実装において、キー管理実体158は、他のネットワーク(例えば、雲および/またはインターネット)およびファイアウォールで制御要素およびサブシステムの一つ以上および/またはネットワーク110に通信で連結することがありえる。例えば、実施形態で、キー管理実体158は、集中化したシステムまたは分散処理システムでありえる。そのうえ、実施形態で、キー管理実体158は、局所的に、または、遠隔で管理されることがありえる。いくつかの実装において、(例えば、統合された)ネットワーク110または制御要素またはサブシステムの範囲内で、キー管理実体158は、位置決めされることがありえる。キー管理実体158は、管理を提供することがありえておよび/またはさまざまな方法で管理されることがありえる。例えば、キー管理実体158は、実装されることがありえて/管理されることがありえる:中央位置の顧客によって、個々の工場位置の顧客によって、外部の第三者管理会社によって、および/または産業的なものの異なる層の顧客によって、そして、層によって、異なる位置で、システム100を制御する。
[0071] セキュリティ(例えば、計測可能な、ユーザを構成された量のセキュリティ)の様々なレベルは、認証プロセスにより提供されることがありえる。例えば、エレメントを認証して、エレメントの範囲内でコードを保護するベースは、セキュリティで水平に提供されることがありえる。セキュリティの他の層は、同様に加えられることがありえる。例えば、コンポーネント(例えば電源120)が適当な認証が発生しなくて強化することができないかかる程度に、セキュリティは、実装されることがありえる。実装において、エレメント(証明書(例えば、キーおよび証明書)がエレメントに実装されるという保証)で、コードの暗号化は、実装される。セキュリティは、産業用制御システム100によって、割り当てられることがありえる(例えば、フロー)。例えば、セキュリティはエンドユーザにずっと産業用制御システム100の中を流れることがありえる。そして、モジュールがその事例において、何を制御するように設計されているかについて、その人は知っている。実施形態において、認証プロセスは、暗号化(安全な通信に関しデバイスの識別およびシステム・ハードウェアまたはソフトウェア構成要素(例えば、デジタル署名を介して)の認証)を提供する。
[0072] 実装において、異なる製造業者/ベンダー/供給元(例えば、OEM)により製造されておよび/または供給されるエレメントの安全な産業用制御システム100の範囲内でインターオペラビリティを提供しておよび/または可能にするために、認証プロセスは、実装されることがありえる。例えば、異なる製造業者/ベンダー/供給元により製造されておよび/または供給されるエレメント間の選択的な(例えば、少し)インターオペラビリティは、許可されることがありえる。実施形態において、認証の間、実装されるユニークなセキュリティ証明書(例えば、キー)は階層を形成することがありえる。それによって、異なる関数が産業用制御システム100の異なるエレメントにより実行されるのを許す。
[0073] そこにおいて、配置されて(例えば、射出しておよび/または押し込んだ)、産業用制御システム100のコンポーネントを接続している通信リンクはデータパケット(例えばラントパケット(例えば、64バイトより小さいパケット)を更に使用することがありえる。そして、セキュリティの加算レベルを提供する。外側の情報(例えば、悪意のあるコンテンツ(例えば虚偽のメッセージ、破壊工作ソフト(ウイルス)、データマイニング・アプリケーションなど)が通信リンク上に射出されることがありえる問題点のレベルを、runt packet(ラントパケット)の使用は、上昇させる。例えば、通信リンク上に悪意のあるコンテンツを射出する外部の実体の能力を妨げるために制御モジュール104と電源120の間に送信されるデータパケット間のギャップの範囲内で、ラントパケットは、通信リンク上に射出されることがありえる。
[0074] 開示の実施形態において、認証シーケンスを開始するために、第2の認証モジュール(例えば、電源120、電源120のコントローラ128、電源120の電池モジュール122、制御要素またはサブシステム(例えば入出力装置102、制御モジュール104、など)において、備えられる)に、モジュール(例えば、電源120、電源120のコントローラ128、電源120の電池モジュール122、制御要素またはサブシステム(例えば入出力装置102、制御モジュール104、など)において、備えられる)がそうである第1の認証は、伝送するためにリクエスト・データグラムを構成した。実装において、リクエスト・データグラムは第1のプレーンテキスト目下(NonceA)を備える。そして、第一装置認証キー証明書(CertDAKA)が第一装置認証キー(DAKA)および第1のアイデンティティ属性証明書(IACA)を含む。いくつかの実施形態では、本当の乱数発生器(以下「TRNG」)を有する第1の目下(NonceA)を生成して、リクエスト・データグラムを生成するために第1の目下(NonceA)、第一装置認証キー証明書(CertDAKA)および第1のアイデンティティ属性証明書(IACA)を連結するかまたは結合するために、第1の認証モジュールは、構成される。いくつかの実施形態では、第一装置認証キー証明書(CertDAKA)および第1のアイデンティティ属性証明書(IACA)は、第1の認証モジュールによって、地元に記憶される。例えば、証明書は、第1の認証モジュールのローカルメモリ(例えば、ROM、RAM、フラッシュ・メモリまたは他の非一時的なストレージ媒体)に記憶されることができる。
[0075] 第一装置認証キー証明書(CertDAKA)およびデバイス・ライフサイクルmanagementsシステム(DLM)により生成されるかまたは暗号のライブラリ関数を利用して得られる公開鍵を有する第1のアイデンティティ属性証明書(IACA)を検査することによって、リクエスト・データグラムを確認するために、第2の認証モジュールは、構成される。この点に関しては、公開鍵が、SRAMまたは認証モジュールの他のローカルメモリに記憶されることができて、検査する暗号のライブラリ関数によって、用いられることが可能であるかまたは暗号によって、交換されたデータ(例えば認証モジュールの間で交換されるnonces)に署名されることができる。いくつかの実施形態では、第2の認証モジュールは、楕円カーブ・デジタル署名アルゴリズム(以下「ECDSA」)または他の確認オペレーションを有する証明書を検査できる。いくつかの実施形態では、以下を検査することによって、プレーンテキスト値から証明書値を確認するために、第2の認証モジュールは、更に構成されることができ、証明書タイプは、各証明書、IAC名マッチ、DAK証明書モジュール・タイプ・マッチ・モジュール・タイプ引数、および/または、ペイロードが各々に適合させるというメッセージの各証明書のマイクロプロセッサ直列数(以下「MPSN」)に関しデバイス認証キー(以下「DAK」)またはアイデンティティ属性証明書(以下「IAC」)である。いくつかの実施形態では、第2の認証モジュールはDAKを検査するために更に構成されることができ、そして、ローカル取り消しリスト(例えば、無効にされたおよび/または無効な証明書を備えているリストまたはデータベース)において、IAC証明書はない。第2の認証モジュールがリクエスト・データグラムを確認することに失敗するときに、第2の認証モジュールがエラー・メッセージを生成できるか、部分的にまたは完全に第1の認証モジュールを無効にして、および/または、第1の認証モジュールに出入りする通信を中断するかまたは制限する。
[0076] 有効なリクエスト・データグラムに応答して、反応データグラムを第1の認証モジュールに発信するために、第2の認証モジュールは、構成される。実装において、反応データグラムが第2のプレーンテキスト目下(NonceB)を備えること、第1および第2のnoncesと関係している第一のシグニチャー(SigB[NonceA||NonceB])、第2のデバイス認証キー(DAKB)を含んでいる第2のデバイス認証キー証明書(certDAKB)および第2のアイデンティティ属性証明書(IACB)。いくつかの実施形態では、TRNGを有する第2の目下(NonceB)を生成して、第1の目下(NonceA)および第2の目下(NonceB)を連結するかまたは結合して、2台目の認証モジュールによって、地元に記憶されるプライベートな鍵(例えば、DAK)を有する連結された/複合noncesに署名するために、第2の認証モジュールは、構成される。第2の目下(NonceB)を連結するかまたは結合するために構成されて、モジュールが更にある第2の認証、第1および第2のnoncesと関係している第一のシグニチャー(SigB[NonceA||NonceB])、第2のデバイス認証キー証明書(certDAKB)および反応データグラムを生成する第2のアイデンティティ属性証明書(IACB)。いくつかの実施形態では、第2のデバイス認証キー証明書(CertDAKB)および第2のアイデンティティ属性証明書(IACB)は、第2の認証モジュールによって、地元に記憶される。例えば、証明書は、第2の認証モジュールのローカルメモリ(例えば、ROM、RAM、フラッシュ・メモリまたは他の非一時的なストレージ媒体)に記憶されることができる。
[0077] 第2のデバイス認証キー証明書(CertDAKB)および地元に記憶されるかまたはECDSAまたは他の確認オペレーションを利用している暗号のライブラリから取り出される公開鍵を有する第2のアイデンティティ属性証明書(IACB)を検査することによって、反応データグラムを確認するために、第1の認証モジュールは、構成される。いくつかの実施形態では、以下を検査することによって、プレーンテキスト値から証明書値を確認するために、第1の認証モジュールは、更に構成されることができる:すなわち、証明書がMPSNsに適合させて有するIAC及びDAK、IACはマッチを挙げる、タイプが両方とも正しい証明書は認定する(IAC及びDAK)、正しい発行人名は両方の証明書にある、DAKモジュール・タイプは正しいタイプ(例えば、通信/制御モジュール)である。いくつかの実施形態では、第1の認証モジュールはDAKを検査するために更に構成されることができる。そして、IAC証明書はローカル取り消しリストにおいて、ない。
[0078] 反応データグラムを確認する、第1および第2のnoncesを伴う第1のシグニチャーを検査するために、第1の認証モジュールは、更に構成される(sigB[NonceA||NonceB])。いくつかの実施形態では、第1の認証モジュールは、第1のシグニチャーを検査するために構成される(sigB[NonceA||NonceB])第2の認証モジュールから受信される第1のローカルに格納される目下(NonceA)および第2の元の文目下(NonceB)を連結することによって、第1の暗号化署名を検査する(sigB[NonceA||NonceB])一般のデバイス認証キー(例えばcertDAKBからDAKBを用いて)および第1の目下および第2の目下の局所的に生成された連結を第1の目下および第2の目下の暗号により検査された連結と比較するを有する。第1の認証モジュールが反応データグラムを確認することに失敗するときに、第1の認証モジュールがエラー・メッセージを生成できるか、部分的にまたは完全に第2の認証モジュールを無効にして、および/または、第2の認証モジュールに出入りする通信を中断するかまたは制限する。
[0079] 反応データグラムが有効であるときに、認証データグラムを第2の認証モジュールに発信するために、第1の認証モジュールは更に構成される。実装において、認証データグラムは、第1および第2のnoncesを伴う第2のシグニチャーを備える(sigA[NonceA||NonceB])。実施形態によっては、第1および第2 noncesめの局所的に生成された第1の認証モジュールによって、地元に記憶されるプライベートな鍵(例えば、DAK)と署名するために、第1の認証モジュールは、構成される。反応データグラムが無効であるときに、第2の目下およびエラーを報告しているメッセージ(例えば、「失敗」)と関連したシグニチャーを備えている「失敗した」認証データグラムと、認証データグラムは、置き換えられることが可能である(sigA[NonceB||Error])第1の認証モジュールによって、生成する。
[0080] 認証データグラムに応答して、応答する認証データグラムを第1の認証モジュールに発信するために、第2の認証モジュールは、更に構成されることができる。実装において、応答する認証データグラムは、第1の目下およびエラーを報告しているメッセージ(例えば、「成功」または「失敗」)と関連したシグニチャーを備える(sigB[NonceA||Error])第2の認証モジュールによって、生成する。いくつかの実施形態では、第1および第2のnoncesを伴う第2のシグニチャーを検査することによって、認証データグラムを確認するために、第2の認証モジュールは、構成される(sigA[NonceA||NonceB])。いくつかの実施形態では、第2の認証モジュールは、第2のシグニチャーを検査するために構成される(sigA[NonceA||NonceB])第1の認証モジュールおよび第2のローカルに格納される目下(NonceB)から受信される第1の元の文目下(NonceA)を連結することによって、第2の暗号化署名を検査する(sigA[NonceA||NonceB])一般のデバイス認証キー(例えばcertDAKAからDAKAを用いて)および第1の目下および第2の目下の局所的に生成された連結を第1の目下および第2の目下の暗号により検査された連結と比較するを有する。メッセージを報告しているエラーに加えて、第2の認証モジュールが認証データグラムを確認することに失敗するときに、第2の認証モジュールは部分的に、または、完全に第1の認証モジュールを無効にすることができて、および/または第1の認証モジュールに出入りする通信を中断できるかまたは制限できる。
[0081] 認証モジュールを使用しているデバイスが「マスター・スレーブ」構成に従って配置される実装において、マスター(例えば、第1の認証モジュール)は、各スレーブを認証するために構成されることができる。失敗した認証が生じた場合、マスターは、証明されてないスレーブに出入りする通信を少なくとも部分的に抑制できるかまたは制限できる。別の実施形態として、マスターなしで平行に機能している2以上のスレイブモジュールは互いを認証できる。ここで、部分的に、または、完全に使用不能になっている両方のデバイスに、失敗した認証は結果としてなる。例えば、2以上の冗長な電源120は、使用不能でありえるそれらが、正常に起動時に認証シーケンスまたは他のあらかじめ定義された時間/イベントを完了することを失敗するべきである。
[0082] 図7および8を次に参照すると、供給120または他のいかなる産業エレメント/コントローラ206も最も少なく部分的にあることがありえる各パワーは、アクション・オリジネータ202からリクエスト/命令に従って機能した。実装において、アクション・オリジネータ202は、オペレータインタフェース208(例えば、SCADAおよび/またはHMI)、エディタ212およびコンパイラ214を含むエンジニアリング・インタフェース210、ローカル・アプリケーション220、リモート・アプリケーション216(例えば、ローカル・アプリケーション220を介してネットワーク218によって、通信する)などである。図7および8に図示される認証経路200において、アクション・リクエストがアクション証人204により署名されておよび/または暗号化されるときにだけ、産業エレメント/コントローラ206(例えば、電源120)はアクションリクエスト(例えば、データ、制御コマンド、ファームウェア/ソフトウェア・アップデート、設定されたポイント規制、アプリケーション画像ダウンロード、等に関しリクエスト)を処理する。これは、無許可のアクション要求に対して有効なユーザープロファイルを妨げて、更に、無効な(例えば、大幅に削られる)プロフィルから来ている無許可のアクション要求から、システムを得る。
[0083] 開示の実施形態において、アクション証人204は、現場でアクション・オリジネータ202(例えば、直接被接続デバイス・ライフサイクル管理システム(DLM)222または固定されたワークステーション226)といることがありえるかまたは遠隔で位置決めすることがありえる(例えば、ネットワーク218を介して接続されるDLM 222)。一般に、その上に記憶されるプライベートなキーおよび署名しておよび/またはリクエストがプライベートなキーのアクション・オリジネータ202によって、生成したアクションを暗号化するために構成されるプロセッサを有するストレージ媒体を、アクション認証メッセージ204は、備える。標準オペレータ・ログインを経てアクセスされることができないメモリに、プライベートな鍵は、記憶される。例えば、固定されたワークステーション226は、アクセスに関し物理的なキー、携帯用の暗号化デバイス(例えば、スマートなカード、RFIDタグ等)および/または生物測定入力を必要とすることがありえる。
[0084] いくつかの実施形態では、アクション認証メッセージ204は、携帯用の暗号化デバイス、例えばスマートなカード224、固定されたマイクロプロセッサを備えることがありえるを備える。このように、アクションオリジネータ202のインタフェースへの認可されたアクセスを有するオペレータまたはユーザと、全デバイス(それとともに通信の個人的に格納されたキーおよびプロセッサを包含する)は、担持されることがありえる。アクション認証ノード204が固定されたか締められてないワークステーションを介して認証経路200に接近するかどうか、携帯用の暗号化デバイス(例えば、潜在的により安全でないワークステーションまたはクラウド・ベースの建築を使用することと、は対照的に)の構造の範囲内で、アクションオリジネータ202からのアクションリクエストは確実に署名されることがありえておよび/または暗号化されることがありえる。例示のとして、アクションオリジネータ202を経て送られるいかなるアクション要求も認証することが可能である前に、未許可の人は、スマートなカード224の所有を物理的にとらなければならない。
[0085] いくつかの実施形態では、セキュリティの多層は、使用されることがありえる。例えば、アクション認証メッセージ204は、サインだけにアクセス可能でもよい固定されたワークステーション226を備えることがありえておよび/または224がアクセスするスマートなカードを介して、アクション要求を暗号化することがありえる。加えて、固定されたワークステーション226は、生物測定であるか多元的な暗号デバイス228(例えば、一つ以上の指紋スキャナ、虹彩スキャナ、顔認識デバイス、など)を介してアクセス可能でもよい。実施形態によっては、スマートなカード224または他の携帯用の暗号化デバイスがアクションリクエストに署名することを可能にする前に、多元的な暗号デバイス228は、有効な生物測定入力を必要とすることがありえる。
[0086] 署名されたアクションリクエストの確実性が検査されるときに、署名されたアクションリクエストを受信して、署名されたアクションリクエストの確実性を検査して、要請された動作を実行するために、アクションオリジネータ202により駆動されている電源120または他のいかなる産業エレメント/コントローラ206も構成される。実施形態によっては、産業エレメント/コントローラ206(例えば、電源120)は、アクションリクエスト(例えば、アクションオリジネータによって、送られるアプリケーション画像、制御コマンドまたは他のいかなるデータも)を記憶するために構成されるストレージ媒体(例えば、SD/microSDカード、HDD、SSDまたは他のいかなる非一時的なストレージ・デバイスも)(例えば、電源120のメモリ142)を備える。シグニチャーが検査されたあと、アクションリクエスト(すなわち、要請された動作を実行する)を実行して/実行するプロセッサ(例えば、電源120のプロセッサ140)を、産業エレメント/コントローラ206は、更に備える。実施形態によっては、要請された動作が実行されることがありえる前に、アクションリクエストはアクション・オリジネータ202またはアクション認証メッセージ204によって、暗号化されて、プロセッサ140によっても解読されなければならない。実装において、アクションリクエスト・シグニチャーが検査されたあとだけ、プロセッサ140が要請された動作を実行することを可能にする仮想キースイッチ234(例えば、プロセッサ140で動いているソフトウェア・モジュール)を、産業エレメント/コントローラ206は備える、および/または、アクションの後、リクエストは解読される。いくつかの実施形態では、産業エレメント/コントローラ206に動く前に、重要なアクションの選択のどの作用もまたは各一つは、認証経路を掃除しなければならない。
[0087] 産業用制御システムのアクションリクエストを認証することに関し、例示の実施形態に従って、図9は、プロセス300を表す。実装において、産業用制御システム100(例えば、図1〜6に関して記載されるように)および/または産業用制御システム100の認証経路200(例えば、図7および8に関して記載されるように)によって、プロセス300は、明らかにされることがありえる。アクションリクエストは、始められる(ブロック310)。例えば、オペレータ/エンジニアリング・インタフェース208/210および/または遠隔/ローカル・アプリケーション・インタフェース216/220が生成するためおよびアクションリクエストに用いられる。それから、アクションリクエストは、アクション認証メッセージ(ブロック320)により署名される。例えば、アクション証人204は、アクションリクエストに署名するために用いる。実施形態によっては、アクションリクエストは、アクション認証メッセージ(ブロック322)によって、暗号化されることがありえる。それから、署名されたアクションリクエストは、産業エレメント/コントローラ(ブロック330)に送信される(例えば、ダウンロードされる)。例えば、アクションリクエストは、産業エレメント/コントローラ206(例えば、電源120に)に供給される。次に、署名されたアクションリクエストの確実性は、検査される(ブロック340)。実施形態によっては、アクションリクエストは、産業エレメント/コントローラ(ブロック342)で解読されることがありえる。例えば、産業エレメント/コントローラ206は、アクションリクエストを解読することがありえる。それから、署名されたアクションリクエストの確実性が検査される(ブロック350)ときに、要請された動作は実行されることがありえる。例えば、電源120は、オペレータ/エンジニアリング・インタフェース208、210および/または遠隔/ローカル・アプリケーション・インタフェース216、220により要求される動作を実行する。
[0088] 強化されたセキュリティに関して、要請されたアクションが産業エレメント/コントローラ206に通される前に、アクション認証メッセージ204(例えば、スマートなカード224を有する)を有する認証シーケンスを実行するために、産業エレメント/コントローラ206(例えば、電源120)は更に構成されることがありえる。例えば、いわゆる「握手」は、ブロック350の前に、または、ブロック330の前にさえ実行されることがありえる。いくつかの実施形態では、シグニチャーおよび確認ブロック320および340は、より複雑な認証シーケンスを用いて実行されることがありえる。加えて、実施形態によっては、より単純なシグニチャー確認または解読が測定する接頭母音に対する追加的な保安手段として、認証シーケンスは、実行されることがありえる。
[0089] いくつかの実施形態では、産業エレメント/コントローラ206により実装される認証シーケンスは、例えば、アクション認証メッセージ204にリクエスト・データグラムを送ることを備えることがありえる。ここで、リクエスト・データグラムは第1の暗号の目下、第一装置認証キー証明書(例えば、デバイス認証キーを含む第1の認証証明書)および第1のアイデンティティ属性証明書を備える。それから、例えば、反応データグラムはアクション認証メッセージ204から受信される。ここで、反応データグラムは第2の目下、第1および第2 のnoncesめを伴う第1のシグニチャー、第2のデバイス認証キー証明書(例えば、デバイス認証キーを含む第2の認証証明書)および第2のアイデンティティ属性証明書を備える。次に、第1および第2のnoncesめ、第2のデバイス認証キー証明書および第2のアイデンティティ属性証明書と関連した第1のシグニチャーを検査することによって、反応データグラムは、確認されることがありえる。次に、アクション認証メッセージ204(例えば、反応データグラムが有効であると決定されるときに)に、認証データグラムは送られることがありえる。ここで、認証データグラムは第1および第2 のnoncesめを伴う第2のシグニチャーを備える。
[0090] 別の実施形態として、アクション認証メッセージ204はハンドシェイクを開始することがありえる。その場合には、リクエスト・データグラムが第1の目下、第一装置認証キー証明書および第1のアイデンティティ属性証明書を備える所で、産業エレメント/コントローラ206により実装される認証シーケンスは、例えば、アクション認証メッセージ204からリクエスト・データグラムを受信することを備えることがありえる。次に、第一装置認証キー証明書および第1のアイデンティティ属性証明書を検査することによって、リクエスト・データグラムは、確認されることがありえる。それから、反応データグラムが第2の目下、第1および第2 のnoncesめを伴う第1のシグニチャー、第2のデバイス認証キー証明書および第2のアイデンティティ属性証明書を備える所で、例えば、リクエスト・データグラムが有効であるときに、反応データグラムはアクション動証メッセージに送られることがありえる。次に、例えば、アクション認証メッセージ204からの認証データグラムは受信されることがありえる。ここで、認証データグラムは第1および第2 のnoncesめを伴う第2のシグニチャーを備える。それから、第1および第2のnoncesめを伴う第2のシグニチャーを検査することによって、認証データグラムは、例えば、確認されることがありえる。
[0091] 上で(例えば、認証モジュールにより実行される認証に関して)記載される技術の一つ以上を使用して、産業エレメント/コントローラ206およびアクション認証メッセージ204により実装されることがありえるハンドシェイクまたは認証シーケンスは、達成されることがありえる。更に、アクションオリジネータ202、アクション認証メッセージ204および産業エレメント/コントローラ206の各々は、本願明細書において、記載される関数またはオペレーション(例えば、方法300および認証シーケンスにおけるステップ)を実行する力を与えられる回路および/またはロジックを備えることがありえる。例えば、アクション・オリジネータ202、アクション認証メッセージ204および産業エレメント/コントローラ206の各々は、永久に、半永久に記憶されるプログラム命令または、一時的に非一時的な機械読み取り可読媒体、例えばハードディスク装置、HDDによって、固体物理ディスク(SDD)を実行する一つ以上のプロセッサ、光ディスク、磁気記憶デバイス、フラッシュドライブまたはSD/microSDカードを包含することがありえる。
[0092] 全般的に、本願明細書において、記載される関数のいずれか、ハードウェア(例えば、固定ロジック回路(例えば集積回路)、ソフトウェア、ファームウェア、手動処理またはそれらの組み合わせを用いて実装されることがありえる。かくして、全般的に上記の開示において、述べられるブロックは、ハードウェア(例えば、固定ロジック回路(例えば集積回路)、ソフトウェア、ファームウェアまたはそれらの組み合わせを表す。ハードウェアの構成の事例において、上記の開示において、述べられるさまざまなブロックは、他の機能と一緒の集積回路として実装されることができる。かかる集積回路は、された遮断(システムまたは回路)の関数またはブロック(システム)の一部の関数または回路の全てを備えることができる。更に、ブロック、システムまたは回路のエレメントは、複数の集積回路全体に実装されることができる。かかる集積回路は、モノリシック集積回路、フリップチップ集積回路、マルチチップ・モジュール集積回路および/または混合信号集積回路を包含するさまざまな集積回路から成ることができる。ソフトウェア実装の事例において、上記の開示において、述べられるさまざまなブロックは、プロセッサに実行されるときに、指定された作業を遂行する実行可能命令(例えば、プログラムコード)を表す。これらの実行可能命令は、一つ以上の有形のコンピューター読み取り可能な媒体に記憶されることがありえる。いくつかにおいて、かかる事例、全システム、ブロックまたは回路は、そのソフトウェアまたはファームウェア等価物を用いて実装されることができる。他の例において、1部の所与のシステム、ブロックまたは回路はソフトウェアまたはファームウェアで実装されることができる。その一方で、他の部分はハードウェアにおいて、実装される。
結論
[0093] 内容が構造特徴および/またはプロセス・オペレーションに特有の言語で記載されたにもかかわらず、添付の特許請求の範囲において、定められる内容が上で記載される特定の特徴または行為に必ずしも限られているというわけではないことを理解すべきである。むしろ、上で記載される特定の特徴および行為は、特許請求の範囲を実装することの例示の様態として開示される。

Claims (20)

  1. 電池セルと、電池セルをモニタするように構成されるバッテリモニタとを包含する電池モジュールと、
    電池モジュールに有効に連結されるコントローラであって、該コントローラが電池モジュールから診断情報を受信するように構成されることを特徴とするコントローラと、
    を有し、
    予想外の電気径路の少なくとも1つが電池セルのターミナルにもたらされ、または、電池モジュールへの接続の認証がもたらされることができないとき、バッテリモニタが電池セルへの電気的アクセスを防止するように構成されることを特徴とする電源。
  2. 前記電池セルが、リチウムイオン電池セルからなることを特徴とする請求項1に記載の電源。
  3. 診断情報が電池セルの操作の電圧、電池セルの作動電流、電池セルと関連した電荷、または、電池セルと関連した寿命の少なくとも1つからなることを特徴とする請求項1に記載の電源。
  4. 電源が複数の電池モジュールから成り、複数の電池モジュールのそれぞれが、スタッキングによって、複数の電池モジュールの他のそれぞれの1つと連結するように構成されたことを特徴とする請求項1に記載の電源。
  5. バッテリモニタが、直列に接続される複数の電界効果トランジスタを用いて実装される電子信号切換装置を備えることを特徴とする請求項1に記載の電源。
  6. 電池モジュールまたはコントローラの少なくとも1つが、ユニーク識別子または固有のセキュリティ証明書の少なくとも一つで構成されることを特徴とする請求項1に記載の電源。
  7. 電池モジュールが、直流電気よって、コントローラから分離されることを特徴とする請求項1に記載の電源。
  8. 複数の電池モジュールであって、複数の電池モジュールの各一つが、電池セル、および、電池セルをモニタするように構成された電池モニタからなることを特徴とする、複数の電池モジュールと、
    複数の電池モジュールに有効に連結するコントローラであって、コントローラが、複数の電池モジュールから診断情報を受信するように構成されることを特徴とする、コントローラと、複数の電池モジュール、コントローラ、電源に連結するデバイスまたはアクションオリジネータの少なくとも一つの少なくとも一対の間で認証シーケンスに関与するように構成される認証モジュールと
    を有することを特徴とする電源。
  9. 認証モジュールが、複数の電池モジュールの第1のモジュールで包含され、
    認証モジュールは、電源に連結されるデバイスまたはコントローラの少なくとも1つに複数の電池モジュールの第1のモジュールを認証するように構成される、ことを特徴とする請求項8に記載の電源。
  10. 認証モジュールが、複数の電池モジュールの第1のモジュールで包含され、
    認証モジュールは、電源に連結されるデバイスまたはコントローラの少なくとも1つを認証するように構成される、ことを特徴とする請求項8に記載の電源。
  11. 前記認証モジュールが、コントローラで包含され、
    認証モジュールが、電源に連結されるデバイスまたは複数の電池モジュールの第1のモジュールの少なくとも1つにコントローラを認証するように構成される、ことを特徴とする請求項8に記載の電源。
  12. 認証モジュールが、コントローラで包含され、
    認証モジュールが、電源に連結されるデバイスまたは複数の電池モジュールの第1のモジュールの少なくとも1つを認証するように構成される、ことを特徴とする請求項8に記載の電源。
  13. 認証モジュールは更に、産業用制御システム環境において、受信したアクションリクエストを認証するように構成されることを特徴とする請求項8に記載の電源。
  14. 電源と、
    電源に電気的に結合された交流電源と、
    交流電源により供給される電気エネルギをストアし、戻す交流電源に電気的に結合される無停電電源であって、無停電電源は、モニタに電池セルをモニタするように構成されたバッテリモニタおよび電池セル、並びに、電池モジュールに有効に連結されたコントローラから成る少なくとも一つの電池モジュールからなり、前記コントローラが電池モジュールから診断情報を受信するように構成されることを特徴とする無停電電源と、
    交流で減に電気的に接続されている少なくとも一つの制御エレメントまたはサブシステムと、を有し、
    電源により供給される電気エネルギが中断されるとき、無停電電源は、少なくとも一つの制御エレメントまたはサブシステムに電力を供給するように、交流電源に電気エネルギを戻すように構成されることを特徴とする制御システム。
  15. 予想外の電気径路の少なくとも1つが電池セルのターミナルにもたらされ、または、電池モジュールへの接続の認証が確立されないとき、バッテリモニタが、電池セルへの電気アクセスを防止するように構成されることを特徴とする請求項14に記載の制御システム。
  16. 診断情報が電池セルの作動電圧、電池セルの作動電流、電池セルと関連した電荷、または、電池セルと関連した寿命の少なくとも一つのから成ることを特徴とする請求項14に記載の制御システム。
  17. バッテリモニタは、直列に接続される複数の電界効果トランジスタを用いて実装される電子信号切換装置を備えることを特徴とする請求項14に記載の制御システム。
  18. 電池モジュールまたはコントローラの少なくとも1つはユニーク識別子または固有のセキュリティ証明書の少なくとも1つにより構成されることを特徴とする請求項14に記載の制御システム。
  19. 電池モジュールは、コントローラから直流的に絶縁されることを特徴とする請求項14に記載の制御システム。
  20. 電池モジュールをコントローラから直流的に絶縁するための光アイソレータを更に有することを特徴とする請求項20に記載の制御システム。
JP2014243827A 2014-02-14 2014-12-02 産業用制御システムに関する安全な電源 Active JP6960715B2 (ja)

Applications Claiming Priority (10)

Application Number Priority Date Filing Date Title
US201461940003P 2014-02-14 2014-02-14
US61/940,003 2014-02-14
US201462021438P 2014-07-07 2014-07-07
US62/021,438 2014-07-07
US14/446,412 US10834820B2 (en) 2013-08-06 2014-07-30 Industrial control system cable
US14/446,412 2014-07-30
US14/469,931 US9191203B2 (en) 2013-08-06 2014-08-27 Secure industrial control system
US14/469,931 2014-08-27
US14/519,032 2014-10-20
US14/519,032 US20150048684A1 (en) 2013-08-06 2014-10-20 Secure power supply for an industrial control system

Publications (3)

Publication Number Publication Date
JP2015156786A true JP2015156786A (ja) 2015-08-27
JP2015156786A5 JP2015156786A5 (ja) 2019-07-25
JP6960715B2 JP6960715B2 (ja) 2021-11-05

Family

ID=52781378

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014243827A Active JP6960715B2 (ja) 2014-02-14 2014-12-02 産業用制御システムに関する安全な電源

Country Status (4)

Country Link
EP (2) EP2908193B1 (ja)
JP (1) JP6960715B2 (ja)
CN (1) CN104850091B (ja)
CA (1) CA2875517C (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11563340B2 (en) 2017-03-30 2023-01-24 Gs Yuasa International Ltd. Power supply device, server, and power supply device management system
KR102649929B1 (ko) * 2022-11-28 2024-03-21 (주)드림시큐리티 저사양 plc를 위한 전자서명 생성 및 검증 방법

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10379166B2 (en) 2014-10-02 2019-08-13 LiiON, LLC Cabinet and battery management and monitoring system for use with uninterruptible power supplies
EP3151373A1 (en) * 2015-10-01 2017-04-05 Liion, LLC Cabinet and battery management and monitoring system for use with uninterruptible power supplies
GB2569976B (en) * 2018-01-05 2020-08-12 Siemens Ag Energy storage module and method
CN108121329A (zh) * 2018-02-14 2018-06-05 中国人民解放军第四三二八工厂 电源车数据测控系统、方法、电源车、计算机系统及介质
CN108415387A (zh) * 2018-03-19 2018-08-17 深圳迈辽技术转移中心有限公司 一种安全控制系统及安全控制方法
CN108415388A (zh) * 2018-03-19 2018-08-17 深圳迈辽技术转移中心有限公司 一种安全控制系统及安全控制方法
CN111614152B (zh) * 2019-02-22 2023-12-19 季华实验室 一种在线更换式无间断输出电源
CN110401528B (zh) * 2019-07-16 2021-09-28 河海大学 一种现场总线信道加密设备密钥管理方法
WO2023239268A1 (en) * 2022-06-07 2023-12-14 Telefonaktiebolaget Lm Ericsson (Publ) Systems and methods related to a battery management system
CN115876254A (zh) * 2022-12-30 2023-03-31 中国科学院空间应用工程与技术中心 一种用于在线柜的环境监测显示方法及系统

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2557657A2 (de) * 2011-08-01 2013-02-13 CEAG Notlichtsysteme GmbH Notbeleuchtungssystem und Verfahren für dessen Versorgung
EP2613421A1 (en) * 2012-01-09 2013-07-10 Research In Motion Limited Semiconductor-based device authentication

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5422558A (en) * 1993-05-05 1995-06-06 Astec International Ltd. Multicell battery power system
US7446433B2 (en) * 2004-01-23 2008-11-04 American Power Conversion Corporation Methods and apparatus for providing uninterruptible power
JP3833679B2 (ja) * 2004-12-02 2006-10-18 ソニー株式会社 電池パックおよび充電制御方法
CN101322089B (zh) * 2005-10-14 2010-11-10 捷讯研究有限公司 移动设备的电池组认证
CN1988699A (zh) * 2005-12-20 2007-06-27 姚立和 便携式电子装置的电池认证方法及系统
JP4784490B2 (ja) * 2006-03-13 2011-10-05 セイコーエプソン株式会社 電子機器、その制御方法及びそのプログラム
US8175528B2 (en) * 2008-03-18 2012-05-08 Spansion Llc Wireless mass storage flash memory
US20090278509A1 (en) * 2008-05-06 2009-11-12 Samuel Boyles Battery charging and isolation system for gas engine
JP2011086469A (ja) * 2009-10-15 2011-04-28 Sony Corp 電池パック
JP2011155710A (ja) * 2010-01-25 2011-08-11 Sony Corp 電力管理装置、電子機器及び電力管理方法
JP5585188B2 (ja) * 2010-04-30 2014-09-10 ソニー株式会社 バッテリモジュール、電動移動体、及びバッテリモジュールの放電制御方法
JP2012129183A (ja) * 2010-11-26 2012-07-05 Sony Corp 二次電池セル、電池パック及び電力消費機器
FR2972304A1 (fr) * 2011-03-02 2012-09-07 Commissariat Energie Atomique Batterie avec gestion individuelle des cellules
TWI581541B (zh) * 2011-07-26 2017-05-01 睿能創意公司 用於認證、保全及控制如電池組之電力儲存器件之裝置、方法及物品
JP5701730B2 (ja) * 2011-09-30 2015-04-15 株式会社東芝 充放電判定装置、充放電判定方法、及び充放電判定プログラム

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2557657A2 (de) * 2011-08-01 2013-02-13 CEAG Notlichtsysteme GmbH Notbeleuchtungssystem und Verfahren für dessen Versorgung
EP2613421A1 (en) * 2012-01-09 2013-07-10 Research In Motion Limited Semiconductor-based device authentication

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11563340B2 (en) 2017-03-30 2023-01-24 Gs Yuasa International Ltd. Power supply device, server, and power supply device management system
KR102649929B1 (ko) * 2022-11-28 2024-03-21 (주)드림시큐리티 저사양 plc를 위한 전자서명 생성 및 검증 방법

Also Published As

Publication number Publication date
CA2875517A1 (en) 2015-04-02
CN104850091B (zh) 2020-12-08
EP2908193A2 (en) 2015-08-19
EP2908193B1 (en) 2023-02-01
JP6960715B2 (ja) 2021-11-05
EP2908193A3 (en) 2015-11-04
EP4198654A1 (en) 2023-06-21
CA2875517C (en) 2016-08-02
CN104850091A (zh) 2015-08-19

Similar Documents

Publication Publication Date Title
US11537157B2 (en) Secure power supply for an industrial control system
JP7328376B2 (ja) 産業用制御システムのための安全な電源
US11722495B2 (en) Operator action authentication in an industrial control system
US20210135881A1 (en) Industrial control system redundant communications/control modules authentication
US20150048684A1 (en) Secure power supply for an industrial control system
JP6960715B2 (ja) 産業用制御システムに関する安全な電源
JP6425984B2 (ja) 産業用制御システム冗長通信/制御モジュール認証
JP2022003543A (ja) 多チャネル切り替え能力を有する入力/出力モジュール
JP2020194790A (ja) 工業制御システムケーブル
EP2966520B1 (en) Operator action authentication in an industrial control system

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20171204

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20171204

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190124

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20190422

A524 Written submission of copy of amendment under article 19 pct

Free format text: JAPANESE INTERMEDIATE CODE: A524

Effective date: 20190624

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20191128

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200330

C60 Trial request (containing other claim documents, opposition documents)

Free format text: JAPANESE INTERMEDIATE CODE: C60

Effective date: 20200330

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20200406

C21 Notice of transfer of a case for reconsideration by examiners before appeal proceedings

Free format text: JAPANESE INTERMEDIATE CODE: C21

Effective date: 20200407

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20200529

C211 Notice of termination of reconsideration by examiners before appeal proceedings

Free format text: JAPANESE INTERMEDIATE CODE: C211

Effective date: 20200602

C22 Notice of designation (change) of administrative judge

Free format text: JAPANESE INTERMEDIATE CODE: C22

Effective date: 20200902

C13 Notice of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: C13

Effective date: 20210201

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20210427

C22 Notice of designation (change) of administrative judge

Free format text: JAPANESE INTERMEDIATE CODE: C22

Effective date: 20210507

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210802

C23 Notice of termination of proceedings

Free format text: JAPANESE INTERMEDIATE CODE: C23

Effective date: 20210820

C03 Trial/appeal decision taken

Free format text: JAPANESE INTERMEDIATE CODE: C03

Effective date: 20210916

C30A Notification sent

Free format text: JAPANESE INTERMEDIATE CODE: C3012

Effective date: 20210916

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20211012

R150 Certificate of patent or registration of utility model

Ref document number: 6960715

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150