JP2021082272A - 安全なデータロギングのための装置および方法 - Google Patents

安全なデータロギングのための装置および方法 Download PDF

Info

Publication number
JP2021082272A
JP2021082272A JP2020177861A JP2020177861A JP2021082272A JP 2021082272 A JP2021082272 A JP 2021082272A JP 2020177861 A JP2020177861 A JP 2020177861A JP 2020177861 A JP2020177861 A JP 2020177861A JP 2021082272 A JP2021082272 A JP 2021082272A
Authority
JP
Japan
Prior art keywords
data
network
control system
information
process control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2020177861A
Other languages
English (en)
Other versions
JP2021082272A5 (ja
Inventor
セルジオ・ディアス
Diaz Sergio
ギャリー・ケイ・ロウ
K Law Gary
ゴッドフリー・シェリフ
Sherriff Godfrey
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fisher Rosemount Systems Inc
Original Assignee
Fisher Rosemount Systems Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fisher Rosemount Systems Inc filed Critical Fisher Rosemount Systems Inc
Publication of JP2021082272A publication Critical patent/JP2021082272A/ja
Publication of JP2021082272A5 publication Critical patent/JP2021082272A5/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/418Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/418Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
    • G05B19/4184Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by fault tolerance, reliability of production system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/25Integrating or interfacing systems involving database management systems
    • G06F16/254Extract, transform and load [ETL] procedures, e.g. ETL data flows in data warehouses
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01DMEASURING NOT SPECIALLY ADAPTED FOR A SPECIFIC VARIABLE; ARRANGEMENTS FOR MEASURING TWO OR MORE VARIABLES NOT COVERED IN A SINGLE OTHER SUBCLASS; TARIFF METERING APPARATUS; MEASURING OR TESTING NOT OTHERWISE PROVIDED FOR
    • G01D9/00Recording measured values
    • G01D9/005Solid-state data loggers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/85Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/31From computer integrated manufacturing till monitoring
    • G05B2219/31088Network communication between supervisor and cell, machine group
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2101Auditing as a secondary aspect
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Databases & Information Systems (AREA)
  • Manufacturing & Machinery (AREA)
  • Automation & Control Theory (AREA)
  • Quality & Reliability (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Mining & Analysis (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Abstract

【課題】安全なデータロギングのための装置および方法を提供する。【解決手段】プロセス制御システムネットワークからの安全なデータ転送のための例示的な方法は、プロセス制御システムネットワークを介してプロセスコントローラによって受信した情報を記憶することであって、プロセスコントローラは、安全計装システムコントローラ108またはプロセス制御システムコントローラを含み、情報は、プロセス制御システムネットワークからデータダイオード112b、131bを介してデータロガー112a、131aに単一方向に転送される、情報を記憶することと、プロセス制御システムネットワーク上のトリガイベントを識別することと、トリガイベントの識別に応答して、イベントデータの記憶情報を解析することと、イベントデータをデータロガー112a、131aからデータ抽出器に転送することと、を含む。【選択図】図1

Description

本開示は、概して、プロセス制御システム、より具体的には、安全なデータロギングのための装置および方法に関する。
プロセス制御システムは、特定のプロセスを所望の範囲内に維持するように設計されており、典型的には、監視およびトラブルシューティングの目的でデータの収集を可能にするように、プラントの至る所に位置決めされている計装を含む。データ収集は、圧力、流量、温度、重量、密度、速度などのパラメータを含む、センサによって行われる測定を伴う。基本プロセス制御システム(BPCS)は、センサおよびプロセス計装から入力を受信し、BPCSが安全でない状態に対する保護の第1の層として機能することを可能にする。安全計装システム(SIS)は、安全関連のプロセス制御システム計装の専用監視を通じて、緊急事態の可能性または重大度を低減することによって、人員、設備、および環境を保護するように、BPCSに加えて実装される。
プロセス制御システムネットワークからの安全なデータ転送のための例示的な方法は、プロセス制御システムネットワークを介して、プロセスコントローラによって受信した情報を記憶することであって、プロセスコントローラは、安全計装システムコントローラまたはプロセス制御システムコントローラを含み、情報は、プロセス制御システムネットワークからデータダイオードを介してデータロガーに単一方向に転送される、情報を記憶することと、プロセス制御システムネットワーク上のトリガイベントを識別することと、トリガイベントの識別に応答して、イベントデータの記憶情報を解析することと、イベントデータをデータロガーからデータ抽出器に転送することと、を含む。
プロセス制御システムネットワークからの安全なデータ転送のための例示的な装置は、プロセス制御システムネットワークを介して、プロセスコントローラによって受信した情報を記憶するデータ記憶部であって、プロセスコントローラは、安全計装システムコントローラまたはプロセス制御システムコントローラを含み、情報は、プロセス制御システムネットワークからデータダイオードを介してデータロガーに単一方向に転送される、データ記憶部と、プロセス制御システムネットワーク上のトリガイベントを識別するイベント検出器と、トリガイベントの識別に応答して、イベントデータの記憶情報を解析するデータパーサと、イベントデータをデータロガーからデータ抽出器に転送するコネクタと、を含む。
命令を含む、例示的な非一時的なコンピュータ可読記憶媒体は、命令が、実行されるとき、機械に、少なくとも、プロセス制御システムネットワークを介して、プロセスコントローラによって受信した情報を記憶することであって、安全計装システムコントローラまたはプロセス制御システムコントローラを含み、情報は、プロセス制御システムネットワークからデータダイオードを介してデータロガーに単一方向に転送される、情報を記憶することと、プロセス制御システムネットワーク上のトリガイベントを識別することと、トリガイベントの識別に応答して、イベントデータの記憶情報を解析することと、イベントデータをデータロガーからデータ抽出器に転送することと、を行わせる。
内部ネットワークを介したデータ抽出の目的で、本明細書に記載される例示的な安全なデータロガー装置および方法を使用するように構成することができる、例示的なプロセス制御システムのブロック図である。 外部ネットワークを介したデータ抽出の目的で、本明細書に記載される例示的な安全なデータロガー装置および方法を使用するように構成することができる、例示的なプロセス制御システムのブロック図である。 本開示の教示に従って、プロセス制御システムネットワークにおいてデータのログをとる、例示的なデータロガーを示すブロック図である。 図3の例示的なデータロガーを実装するように実行され得る、機械可読命令を表すフローチャートである。 図4の例示的な方法を行うように、および/またはより一般的には、図1、図2および図3の例示的な安全なデータロガーを実装するように、使用および/またはプログラムされ得る、例示的なプロセッサプラットフォームの概略図である。
危機プロセス(例えば、化学処理プラント、発電所など)を実装するプロセス制御システムは、適切に制御されていない場合、重大な安全上のリスクをもたらす恐れがある。基本プロセス制御システム(BPCS)は、BPCS関連コントローラ、論理ソルバ、およびフィールドデバイスを使用して、プロセス全体を継続的に制御できるようにすることによって、第1の保護層を提供する。BPCSは通常、空気圧制御ループ、プログラマブル論理コントローラ、分散制御システム(DCS)、ディスクリート制御システム、およびシングルループコントローラを使用して実装される。DCSは、複雑な生産プロセス(例えば、大規模製油所)を監督するように使用され、データ収集、プロセス制御、ならびに、記憶およびグラフィック表示の目的で、プラント全体に分散されたセンサ、コントローラ、および関連コンピュータを含む。追加の安全対策は、自動シャットダウンシーケンスと所定のシーケンスを使用してプロセスをシャットダウンするオペレータの介入の組み合わせによって導入することができる。
安全計装システム(SIS)は、BPCSから物理的および論理的に分離された、SISに関連する特殊用途のフィールドデバイスおよび他の特殊用途の制御要素を監視する。SISは、重大な安全上のリスクをもたらす、制御条件に応じて、プロセスの安全なシャットダウンを担う。SISは、専用の論理ソルバ、コントローラ、安全認定フィールドデバイス(例えば、センサ、最終制御要素、シャットオフバルブなど)、データ冗長性デバイスおよびルーチン、ならびに安全認定ソフトウェアコードに依存している。例えば、フィールドセンサ(例えば、空気圧センサ、電気スイッチ、オンボード診断を有するスマート送信機など)は、緊急事態を識別するための情報(例えば、温度、圧力、流量など)を収集するように、使用される。論理ソルバは、収集された情報に基づいて実行するアクションを決定するためのフェイルセーフおよびフォールトトレラントな操作を提供し、最終制御要素(例えば、ソレノイドバルブによって操作される空気圧作動のオンオフバルブ)は、論理システムによって決定されたアクションを実装する。例えば、SISコントローラは、ソレノイドバルブの電源信号を一時的に中断することによって、プロセス制御バルブの安全なオーバーライドをテストすることができる。
計画外であるが安全なプロセスシャットダウンは、SISに関連する誤ったトリップイベントの結果として発生する可能性があり、運用コストが高くなる。事後分析は、トリップの前および後のプロセス条件を評価し、イベントの潜在的な根本原因を決定するために使用される。データロギング能力は、トリップ前後のイベント分析に関連するデータの収集を可能にする。しかしながら、このようなデータロギング能力は、プロセス制御システムネットワークへの不正アクセスを防止するために、安全である必要がある。現在のデータ検索方法は、データを検索するために、コンピュータを制御システム安全ネットワークに接続して、そのコンピュータ上でデータロギングソフトウェアアプリケーションを実行するか、またはネットワークにリモート接続することを含む。物理的またはリモートのコンピュータ接続を可能にするデータロガーは、サイバー攻撃ベクトル(例えば、マルウェアの注入)がSIS(例えば、サイバー攻撃論理ソルバ、またはシステムコントローラ)に導入され得るため、セキュリティリスクを増加させる。サイバーセキュリティの脅威は、分散制御システム(DCS)を含む他の産業用制御システムと同様に、サイバーインシデントに対して脆弱なままであるSISの可用性および整合性に大きな影響を与え得る。SISコントローラが重要な資産(例えば、製油所、発電所、化学プラント、海洋石油掘削装置など)を潜在的に壊滅的な誤動作から保護することを考えると、そのようなシステムへのサイバー攻撃の成功は、有害事象を防止するためにオペレータが信頼する適切に設計された安全対策を削除する。同様に、サイバー攻撃によって意図しないSISシャットダウンが引き起こされると、運用上および財務上の影響を伴う生産がオフラインになる可能性がある。産業プロセスの安全性を確保するシステムのエンジニアリングの実践を扱っている国際電気標準会議(例えば、IEC61511)によって設定されたグローバルな機能安全規格は、SIS設計が識別されたセキュリティリスクに対する回復力を提供することを、必要とする。しかしながら、新しいサイバー攻撃が実装され、そのような攻撃を識別するためのシグネチャがまだ開発されず、異変を検出するために配備されていない場合、ウイルス対策ソフトウェアなどの一般的な予防策は、効果的ではない場合がある。
本明細書に開示される実施例は、プロセス制御システムへのサイバー攻撃ベクトルの導入のために使用されるデータロガーの潜在能力を排除する。本明細書に開示される実施例において、ハードウェアデータダイオードは、データロガーを介したプロセス制御システムへのサイバー攻撃が成功するリスクを排除するために、データロガー機器に組み込むことができる。本明細書に開示される実施例において、データロガーは、プロセス制御安全ネットワーク上のトラフィックを傾聴することはできるが、安全ネットワークに情報を送信することはできない。さらに、本明細書に開示される実施例は、トリップ後のイベント分析のために必要なメタデータ、ログデータ、および時間情報をキャプチャおよび記憶することができ、さらにデータを解釈、サーチ、および報告するために使用することができる。例えば、トリップ前および後の情報に関連する記録データは、プロセス制御システムの安全性を損なうことなく、検索することができ、データログを保存するアクションは、ユーザによって構成された条件を選択することによってトリガすることができる。本明細書に記載されるように、ハードウェアデータダイオードをデータロガーに組み込むことで、データロギングを可能にするSISアーキテクチャを変更する必要はない。さらに、本明細書に示されているデータロギングアクティビティは、プロセス制御システム(例えば、SIS、BPCS)の様々な層、ならびに分散制御システム(DCS)からデータを収集し、相互に関連付けるために使用することができる。このようなデータは、安全関連イベントデータに限定されず、トリガイベントに関連する任意のデータ収集を含むことができる。さらに、ハードウェアデータダイオードベースのデータロガーの使用は、単一のプロセス制御システムに制限されず、サイバーセキュリティ保護の増加を必要とする、あらゆる産業用制御システムに実装され得る。本明細書に開示される実施例において、データロガーは、ネットワーク(例えば、安全ネットワーク、エリア制御ネットワーク)内の異常なトラフィックパターンを検出して、トラフィックパターンにおける重要な変更が検出されたときに、アラートを開始するように、使用することができる。
図1は、内部ネットワークを介したデータ抽出の目的で、本明細書に記載された、例示的な安全なデータロガー装置および方法を使用するように構成することができる、例示的なプロセス制御システム100のブロック図である。例示的なプロセス制御システム100は、例示的なオペレータステーション102を含む。オペレータステーション102は、バスまたは例示的なローカルエリアネットワーク(LAN)104を介して、例示的な基本プロセス制御システム(BPCS)コントローラ106および例示的な安全計装システム(SIS)コントローラ108を含む、プロセス制御システムコントローラに通信可能に結合されている。いくつかの実施例において、LAN104は、任意の所望の通信媒体およびプロトコルを使用して実装され得る、エリア制御ネットワーク(ACN)である。例えば、LAN104は、ハードウェアまたは無線イーサネット通信プロトコルに基づき得る。しかしながら、他の好適な有線または無線通信媒体およびプロトコルを、代わりに使用することができる。
オペレータステーション102は、1つ以上の情報技術アプリケーション、ユーザ対話型アプリケーション、および/または通信アプリケーションに関連する動作を実行するように構成され得る。例えば、オペレータステーション102は、ステーション102、ならびにコントローラ(複数可)106および/または108が任意の所望の通信媒体(例えば、無線、有線など)およびプロトコル(例えば、HTTP、SOAPなど)を使用して、他のデバイスまたはシステムと通信することを可能にする、プロセス制御関連アプリケーションおよび通信アプリケーションに関連する動作を実行するように構成され得る。
例示的なコントローラ(複数可)106および/または108(例えば、BPCSコントローラ106およびSISコントローラ108)は、例えば、オペレータステーション102または任意の他のワークステーションを使用して、システムエンジニアまたは他のシステムオペレータによって生成され、かつ、コントローラ(複数可)106および/または108にダウンロードされ、インスタンス化された、1つ以上の制御ループとして動作する1つ以上のプロセス制御ルーチンおよび/または機能を実行するように構成され得る。コントローラ(複数可)106および/または108は、デジタルデータバスおよび入力/出力(I/O)デバイスを介して、それぞれ、複数のフィールドデバイス(複数可)110および111に結合することができる。いくつかの実施例において、フィールドデバイス(複数可)110および111は、例示的な有線リンク(複数可)109を介して、コントローラ(複数可)106および/または108に結合することができる。フィールドデバイス(複数可)110および111は、フィールドバス準拠バルブ、アクチュエータ、センサなどを含むことができ、その場合、フィールドデバイス(複数可)110および111は、フィールドバスプロトコルを使用してデジタルデータバスを介して通信する。いくつかの実施例において、他のタイプのフィールドデバイスおよび通信プロトコルを使用することができる。例えば、フィールドデバイス(複数可)110および111は、Profibus、AS−i、およびHART通信プロトコルを使用して、データバスを介して通信する、Profibus、HART、またはAS−i準拠のデバイスとすることができる。
プロセス産業における既知の設備は、BPCSおよびSISによって共有される、フィールドデバイス(例えば、センサ、バルブなど)を有する。例えば、センサデータは、信号スプリッターを使用し、同じセンサを両方のシステムに配線することによって、BPCSとSISの間で共有することができる。他の実施例において、統合された制御および安全システムは、論理ソルバが入力信号データを1つ以上のプロセスコントローラと直接共有することを可能にする。いくつかの実施例において、フィールドデバイスは、プロセスコントローラに特定である(例えば、フィールドデバイス(複数可)110は、BPCSコントローラ106に通信可能に結合される一方、フィールドデバイス(複数可)111は、SISコントローラ108に通信可能に結合される)。BPCSコントローラ106およびSISコントローラ108は、それぞれ、フィールドデバイス(複数可)110および111によって行われたプロセス測定を示す信号、および/またはフィールドデバイス(複数可)110および111に関連する他の情報を受信し、かつ、この情報を使用して、制御ルーチンを実装し、バスおよび/または他の通信経路を介してフィールドデバイス110および111に送信されてプロセスの動作を制御する制御信号を生成する。フィールドデバイス(複数可)110および111、ならびにコントローラ(複数可)106および108からの情報は、プロセスの現在の状態を表示する、プロセスの動作を変更するなど、オペレータがプロセスに関して所望の機能を実行することを可能にするために、オペレータステーション102によって実行される1つ以上のアプリケーションに利用可能にされ得る。例えば、SISコントローラ108は、フィールドデバイス(複数可)111(例えば、SISと直接通信するフィールドデバイス)および/またはフィールドデバイス(複数可)128(例えば、BPCSとSISの両方と通信するフィールドデバイス)からの信号を読み取ることができ、最終制御要素に出力(複数可)を提供することによって、危険を防止するように、事前にプログラムされたアクションを実行することができる。
図1において、例示的なSIS140は、SISコントローラ108、SIS専用フィールドデバイス(複数可)111、例示的なデータロガー112a、例示的なローカル安全ネットワーク120、例示的な論理ソルバ(複数可)124、およびフィールドデバイス(複数可)128を含む。例示的なBPCS150は、BPCSコントローラ106、BPCS専用フィールドデバイス(複数可)110、例示的なデータロガー131a、例示的なエリア制御ネットワーク132、例示的な論理ソルバ(複数可)136、およびフィールドデバイス(複数可)128を含む。ローカル安全ネットワーク120は、SISコントローラ108と論理ソルバ(複数可)124との間の通信を可能にする、プロセス安全システムに専用の標準イーサネットネットワークとすることができる。同様に、エリア制御ネットワーク132は、BPCSコントローラ106と論理ソルバ(複数可)136との間の通信を可能にする、プロセス制御システムに専用の標準イーサネットネットワークとすることができる。論理ソルバ(複数可)124および136は、それぞれ、安全なパラメータを通信し、かつデータをローカル安全ネットワーク120および/またはエリア制御ネットワーク132を介して他の論理ソルバに入力する、スマート論理ソルバを含むことができる。いくつかの実施例において、SISコントローラ108は、SIS専用論理ソルバ(複数可)124がプロセス制御システムから隔離されるように、ローカル安全ネットワーク120に加えて、エリア制御ネットワーク132に接続することができる。例えば、ローカル安全ネットワーク120は、制御および安全の両方のために使用されるのではなく、安全関連の目的に専用であり続けることができ、それにより、SISコンポーネントがエリア制御ネットワーク132の障害の影響を受けないようにする。SISコンポーネントは、バス126および/またはローカル安全ネットワーク120を介して通信可能に結合することができ、BPCSコンポーネントは、バス130および/またはエリア制御ネットワーク132を介して通信可能に結合することができる。ローカル安全ネットワーク120およびローカルエリア制御ネットワーク132は、安全ネットワーク120およびエリア制御ネットワーク132を通るデータの流れを制御するために使用されるネットワークスイッチを含むことができる。
SIS140のデータロガー112aは、ローカル安全ネットワーク120に通信可能に結合されて、トリップ分析を実行するために必要なすべての入力情報および特定のデータをキャプチャおよび記憶する。いくつかの実施例において、この情報は、データ記憶コンポーネント(例えば、ハードディスク)に継続的に記憶され、SIS140でトリガイベントが検出されない場合、一定期間(例えば、ユーザによって構成された期間)後に上書きされ得る。いくつかの実施例において、データロガー112aは、図3〜図4に関連して以下に詳述するように、ユーザ構成可能な設定に基づいて、トリガイベントが検出される前および後のすべてのデータを記録する。そのようなデータは、SIS140によって提供されている各収集データポイントのためのタイムスタンプ情報を含むことができる。いくつかの実施例において、データロガー112aのデータキャプチャアクティビティは、トリップイベント分析(例えば、品質管理データ)、またはデータロガー112aによってキャプチャされたデータ(例えば、データロガー112aによってキャプチャされるように、ユーザによって構成されたデータ)を使用して実行される任意の他のタイプの分析中に使用するためにキャプチャされた、各データポイントの整合性またはステータスを記録することを含むことができる。例えば、データの徹底した評価は、データ整合性が損なわれないようにすることを必要とし得る(例えば、分析中にデータの正確性、完全性、および一貫性のレベルが考慮される)。データロガー112aのユーザ構成を実行することができるが(例えば、SIS140から情報を送出してデータロガー112a内の収集ポイントを構成することによってなど、収集されるパラメータを定義するために)、データロガー112aを使用してデータロギングを可能にするようにSIS140に変更を加える必要はない。例えば、既知のデータロギングアプリケーションとは異なり、データロガー112aは、プロセス制御ネットワークを見つけることができ、プロセス制御システムネットワーク上のSIS専用デバイスを自動的に識別することができるので、データロガー112aがSIS140から情報検索を実行することを可能にするように、ソフトウェアのインストールまたはSISエンジニアリングステーション(例えば、オペレータステーション102)上で特定のサービスを有効化することは、必要ではない。データロガー112aは、SIS専用データロガーであるが、例示的なデータロガー131aは、BPCS専用データロガーであり、エリア制御ネットワーク132に通信可能に結合して、オフネットワーク評価のために必要に応じて検索され得るすべての入力情報およびBPCS特定データをキャプチャおよび記憶するために使用することができる。
データロガー112aおよび131aは、データロガー112aおよび/または131aを攻撃ベクトルとして使用することを防止するように、それぞれの統合ハードウェアデータダイオード112bおよび131bを含む(例えば、マルウェア注入を介したプロセス制御システム100に対するサイバーセキュリティ攻撃の目的のために)。図1の実施例において、データダイオード112bおよび131bは、それぞれ、データロガー112aおよび131a内にあるものとして示されている。この実施例において、各データロガーとデータダイオード間の接続は、物理的接続である。しかしながら、いくつかの実施例において、データロガーとデータダイオード間の接続は、物理的接続よりはむしろ、論理的接続とすることができる。データダイオード112bおよび131bは、データロガー112aおよび131aが入力情報をキャプチャおよび記憶し、情報をそれぞれの例示的なデータ抽出器116および/または117に一方向(例えば、単一方向)に転送するが、データ抽出器116および117からプロセス制御システム100への入力(例えば、データロガー112aを介したSIS140への入力、および/またはデータロガー131aを介したBPCS150への入力)を防止することができるように、データロガー112aおよび131aに傾聴のみの能力を提供する。いくつかの実施例において、データダイオード112bおよび131bは、ソースからのみ一方向へのデータの流れ(例えば、データダイオード112bを介したデータロガー112aへのローカル安全ネットワーク120)を可能にする、2つのノードまたは回路(例えば、1つの「送信のみ」ノードおよび1つの「受信のみ」ノード)を含むことができる。いくつかの実施例において、データダイオード112bおよび131bは、データが一方向にのみ転送され得ることを確実にするために、一方の側(例えば、外部デバイスに情報を送信するポート)に送信機、および他方の側(例えば、プロセス制御システムから情報を受信するポート)に受信機を備えた光ファイバを含むことができる。例えば、データダイオード112bおよび131bは、データ(例えば、BPCSコントローラ106および/もしくはSISコントローラ108からのデータ、ならびに/またはローカル安全ネットワーク120および/もしくはエリア制御ネットワーク132からのデータ)を送信する、第1のスイッチファブリックのポートが、データを受信する、第2のスイッチファブリックのポート(例えば、データロガー(複数可)112aおよび/または131a)に接続されるように、相互接続されたスイッチファブリック(例えば、第1のスイッチファブリックおよび第2のスイッチファブリック)を含むことができる。しかしながら、データの単一方向フローを維持するために、スイッチファブリック間に他の接続は行われない。スイッチファブリックは、リンクステータス(例えば、「リンクアップ」または「リンクダウン」)がこれらの相互接続されたスイッチポートに無視されるように構成することができ、第1のスイッチファブリックの他のポートが、パケット(例えば、ネットワーク経由で送信されたデータ)を第2のスイッチファブリックに転送することを可能にする。いくつかの実施例において、データを受信するスイッチファブリックポート(例えば、データロガー112aおよびデータ抽出器116などの、2つの別個のデバイスを接続できるため、相互接続ポートとしても知られる、第2のスイッチファブリックのポート)は、受信したパケットを他のポートに転送できる。いくつかの実施例において、スイッチファブリックは、学習され得る内部MACアドレステーブルに関係なく、上述のように、トラフィックを転送するように構成される。例えば、MACアドレステーブルは、スイッチがポート間でトラフィックを転送するために使用できる、アドレス情報を含有するため、このようなテーブルのMACアドレスは、1つ以上のポートに関連付けられている。MACアドレス学習を無効にすることによって、スイッチファブリックは、所定の構成に基づいてトラフィックを転送し、データの単一方向フローを促進すると同時に、スイッチの他のポートに接続されているデバイスに良好な(例えば、接続済み)ステータスを提供できるようにする。例示的なデータダイオード112bおよび131bに関連して示されるように、ネットワークからデータを転送するように方向付けられた、ネットワーク(例えば、ローカル安全ネットワーク120および/またはエリア制御ネットワーク132)から外に向けられたデータダイオードは、反対方向の同じ接続を使用して安全なネットワークに到達し、プロセス制御システム100の環境に影響を与えないことを保証することによって、ネットワークを保護したままにすることを可能にする。そのため、データダイオードを使用して、ネットワークをセグメント化し、ネットワークを防御し、および/または情報を単一方向に(例えば、ネットワークからデータロガーに、およびデータ抽出器に)転送することができる。いくつかの実施例において、データダイオード112bおよび131bは、安全なネットワークに脅威ベクトルを作成して戻すことなく、ローカル安全ネットワーク120および/またはエリア制御ネットワーク132から外部システムおよび/またはユーザにデータを送信するように、データロガー112aおよび131aに埋め込むことができる。
図1の実施例において、データ転送は、ローカルネットワークを使用して、データロガー112aおよび131aからデータ抽出器116および117にそれぞれ発生する一方、図2の実施例は、外部ネットワークを介したデータ転送のためのデータロガーの使用を詳述している。サイバー攻撃に対しても脆弱であるソフトウェア(例えば、ファイアウォールのような)を使用するのとは対照的に、データロガーにデータダイオードを埋め込むことにより、外部攻撃を使用して損なうのが難しいレベルのサイバーセキュリティを提供するハードウェア強制データ転送が可能になる。しかしながら、本明細書に開示されるデータダイオードベースのデータロガーは、安全計装システムまたは基本プロセス制御システムにおけるアプリケーションに限定されず、したがって、セキュリティを強化するための任意のタイプの産業プロセス制御アプリケーションにおいて(例えば、分散制御システムにおいて)利用することができる。例えば、データダイオード112bおよび131bは、ハードウェアベースであるので、データダイオード112bおよび131b上へのオンライン攻撃は、データダイオード(複数可)がソフトウェア、論理、またはフィールドプログラマブルゲートアレイを含有せず、物理パスを介して信号が一方向に進むことを可能にするので、実行するのは困難である。同様に、データロガーネットワーク(例えば、互いに接続されたデータロガーのセット)の問題は、安全ネットワークの整合性に影響を与えない。例えば、データダイオード(例えば、データダイオード(複数可)112bおよび131b)がプロセス制御システムネットワーク(例えば、ローカル安全ネットワーク120および/またはエリア制御ネットワーク132)とデータロガー(例えば、データロガー(複数可)112aおよび/または131a)の間に位置決めされている場合、データロガーは、データダイオードを介してネットワークからデータロガーにデータを単一方向に転送すると考えると、傾聴しているネットワークに影響を与えない。いくつかの実施例において、データロガー(複数可)112aおよび/または131aは、適切なセキュリティ保護が実施されている場合、2つ以上のネットワークに接続するために使用することができる(例えば、データロガー112aは、ローカル安全ネットワーク120およびエリア制御ネットワーク132に接続するために、使用することができる)。データ収集がトリップ分析に関連する実施例において、データロギングは、分析に不要なデータを自動的に破棄し、悪意のある目的で安全ネットワークトラフィックをデコードするメカニズムとしてデータロガーを使用するリスクを防止するように、構成することができる。いくつかの実施例において、SIS140および/またはBPCS150は、データロガー(複数可)112aおよび/または131aが動作していないときに(例えば、データロガー112aからSIS140に情報を送信することによって)警告され得る。データロガー(複数可)112aおよび/または131aが機能していないことをプロセス制御システムに警告する、そのような実施例において、安全ネットワーク120へのトラフィックはない。例えば、データロガー112aは、物理信号(例えば、アラーム118などの、乾接点)または安全ネットワーク120以外の別個のネットワーク上のメッセージ(例えば、エリア制御ネットワーク132を介したオペレータステーション102へのメッセージなど)のいずれかを使用して情報を提供する。
いくつかの実施例において、データロガー112aおよび131aを使用して、1つ以上の安全ネットワーク内の異常なトラフィックパターンを検出することができる。例えば、データロガー112aおよび131aを使用して、予期しないネットワークノードを検出し、検出に応答してアラーム(例えば、データロガー(複数可)112aおよび/または131aに接続された例示的なアラーム118、119)をトリガすることができる。例えば、データロガー(複数可)112aおよび/または131aは、ローカル安全ネットワーク120および/またはエリア制御ネットワーク132上のトラフィックのベースラインを生成することができる。データロガー(複数可)112aおよび/または131aがトラフィックパターンの重要な変更を検出した場合、SIS140および/またはBPCS150は、1つ以上のアラーム(複数可)118および/または119を使用して、この潜在的なセキュリティ問題について警告され得る。いくつかの実施例において、1つ以上のデータロガー(複数可)を使用して、他のネットワーク上のデータを収集することができる(例えば、SIS140のデータロガー112aを使用して、ローカル安全ネットワーク120に加えて、BPCS150のエリア制御ネットワーク132からデータを収集することができる)。データロガー112aおよびデータロガー131aを使用して、両方のプロセス制御システムネットワークからデータを収集する、図1の実施例に示されるように、SIS140およびBPCS150の両方におけるデータ収集を使用して、記録データが相互に関連付けられ得るように、トリガ信号を調整することができる。例えば、SIS140およびBPCS150の両方からのデータ収集の使用は、SIS要求がBPCS障害によって生成されたか否かの決定を可能にする。そのため、1つ以上のデータロガー(複数可)112aおよび/または131aを介した両方のデータセットへのアクセスにより、根本原因分析を改善することができる。いくつかの実施例において、データロガー(複数可)112aおよび/または131aは、複数のポートを含むことができ、データロガー(複数可)112aおよび/または131aは、1つ以上のデータダイオード(複数可)(例えば、ポートごとのデータダイオード)を有する。例えば、データロガー(複数可)112aおよび/または131aは、リンク113を介して通信することができ、これにより、データロガー112aおよび/または131aは、SIS140および/またはBPCS150に関する情報を交換することができる。データロガー112aと131aとの間で情報が交換されるときに、SIS140は、データロガーが安全ネットワーク120から情報を受信するが、ネットワーク120に情報を送り返さないように、データダイオード112bが位置決めされているため、BPCS150から分離されたままである。これは、データロガー(複数可)112aおよび/または131aが破損した場合に、プロセス制御システムネットワークに追加の保護を提供する。いくつかの実施例において、データロガーの使用により、すべてのネットワークトラフィックをポートに送信することが可能であるように、スイッチ構成を変更する(例えば、1つのポートを無差別モードに設定する)必要がある。いくつかの実施例において、データロガー112aおよび131aは、ネットワークスイッチ(例えば、ローカル安全ネットワーク120および/またはエリア制御ネットワーク132のためのネットワークスイッチ)でポート構成を変更することに対する必要性を防止するために、インラインデバイスとして配備することができる。いくつかの実施例において、データロガー(複数可)112aおよび/または131aは、2つのポート(例えば、SIS140のための2つのポート、および/またはBPCS150のための2つのポート、および/またはSIS140およびBPCS150のための各々1つのポート)を含むことができる。これにより、制御システムネットワークスイッチに変更を加える必要が確実になくなる。例えば、図1に示されるように、データロガー112aは、ネットワークスイッチを含むことができるローカル安全ネットワーク120と、監視するネットワークノード(例えば、SISコントローラ108)との間に接続される。いくつかの実施例において、監視するネットワークノードは、例えば、SISの論理ソルバ(複数可)124とすることができる。さらに、図1に示されるように、データロガー131aは、制御システムネットワークスイッチ(例えば、エリア制御ネットワーク132のネットワークスイッチ)と、監視するネットワークノード(例えば、BPCSコントローラ106)との間に接続される。いくつかの実施例において、データロガー(複数可)112aおよび/または131aは、他のデータロガーとネットワーク化するための追加のポート、ならびにアラーム目的のための追加の乾接点(例えば、アラーム(複数可)118および/または119を使用)を有することができる(例えば、SIS専用データロガー112aがBPCS専用データロガー131aとネットワーク化することを可能にする)。いくつかの実施例において、データロガー(複数可)112aおよび/または131aのポートの1つは、BPCS150接続またはSIS140接続に対して無効にされ、代わりにSIS140ネットワーク(例えば、ローカル安全ネットワーク120のネットワークスイッチを使用する)またはBPCS150ネットワーク(例えば、エリア制御ネットワーク132のネットワークスイッチを使用する)上の空きポートに接続することができる。
データ抽出器116および/または117は、データロガー(複数可)112aおよび/または131aに記憶されたデータを検索する。例えば、データ抽出器116および/または117は、ブルートゥース(登録商標)を介してデータロガー(複数可)112aおよび/または131aに接続することができるコンピューティングデバイス(例えば、ラップトップまたは他のモバイルコンピュータ)を使用して実装することができる。そのような接続は、データロガー(複数可)112aおよび/または131aへの物理的アクセス(例えば、内部ネットワークへのアクセス)を必要とし、これは、リモートネットワーク接続を使用してデータを抽出することと比較して、より低いセキュリティリスクを表す(例えば、図2に関連して記載されるように)。データ抽出器(複数可)116および/または117はまた、データロガー(複数可)112aおよび/または131aに物理的に挿入されたUSBドライブとすることができる。いくつかの実施例において、単一のコンピュータは、別個のおよび/または分離されたネットワークを介して接続された複数のデータロガー(複数可)112aおよび/または131aからデータを抽出するように、データ抽出器116または117として使用されることができる。
論理ソルバ(複数可)124は、1つ以上の安全計装機能を実装するように構成されたSISコントローラ108を使用して実装されている。例えば、安全計装機能は、1つ以上の特定の危険および/または安全でない状態に関連する1つ以上のプロセス条件を監視すること、およびプロセスのシャットダウンが正当とされるかどうかを決定するためにプロセス条件を評価することを含むことができる。プロセスのシャットダウンが正当とされた場合、1つ以上のフィールドデバイス、コンポーネント、および/または要素(例えば、シャットダウンバルブ)は、シャットダウンを遂行するか、または実行するように従事する。いくつかの実施例において、各安全計装機能は、少なくとも1つの感知デバイス、1つの論理ソルバ、および1つのフィールドデバイスを使用して実施することができる。論理ソルバ(複数可)124は、1つ以上のセンサを介して少なくとも1つのプロセス制御パラメータを監視し、危険な状態が検出された場合に、プロセスの安全なシャットダウンを遂行するために、フィールドデバイス(例えば、フィールドデバイス(複数可)128)を操作するように、構成することができる。例えば、論理ソルバ(複数可)124は、シャットダウン手順を支援するように(例えば、圧力センサを介して安全でない過圧状態が検出された場合は、ベントバルブを開かせる)、構成され得るフィールドデバイス(複数可)128(例えば、容器またはタンク内の圧力を感知する圧力センサ)に(例えば、バス126を介して)通信可能に結合することができる。論理ソルバ(複数可)124は、1つ以上の安全計装機能を実装するように構成することができ、複数の安全定格または認定フィールドデバイスに通信可能に結合することができる。図1に示されるように、論理ソルバ(複数可)124は、例示的なバス126および/またはローカル安全ネットワーク120を介して、SISコントローラ108に通信可能に結合される。しかしながら、論理ソルバ(複数可)124は、代替的に、他の任意の所望の方法で、システム100内で通信可能に結合することができる。論理ソルバ(複数可)124がシステム100に結合される方法に関係なく、論理ソルバ(複数可)124は、好ましくは、しかし必ずしもそうではないが、SISコントローラ108に関して論理ピアである。論理ソルバ(複数可)124とは異なり、論理ソルバ(複数可)136は、SIS140から分離されており、SISローカル安全ネットワーク120へのアクセスを有しておらず、これは、BPCS150の他のコンポーネントによってもアクセス可能ではない。いくつかの実施例において、BPCSコントローラ106は、SIS情報がプラントオペレータによって見られることが可能となるように、異なるバスによって論理ソルバ(複数可)124から情報を受信することができる。いくつかの実施例において、そのような情報は、上記のように、臨時ポートがローカル安全ネットワークに接続するために使用される(例えば、ローカル安全ネットワーク120のスイッチを介して)データダイオードベースのデータロガー(例えば、データロガー131a)を使用することによって取得することができる。いくつかの実施例において、データロガー131a上の臨時ポートを使用して、別のデータロガー(例えば、データロガー112a)に接続して、SIS関連情報を検索することができる。
フィールドデバイス(複数可)110、111、および128は、センサ、アクチュエータ、および/またはプロセス条件を監視するように、および/またはプロセス制御システム100の制御されたシャットダウンを遂行するために使用することができる、他のプロセス制御デバイスを含む、スマートまたは非スマートフィールドデバイスとすることができる。例えば、フィールドデバイス110、111、および128は、安全認証または定格の流量センサ、温度センサ、圧力センサ、シャットダウンバルブ、ベントバルブ、遮断バルブ、重要なオン/オフバルブなどとすることができる。任意の数のフィールドデバイスおよび/または論理ソルバを、任意の数の所望のプロセス制御または安全計装機能のためのプロセス制御システムに実装することができる。例えば、フィールドデバイス(複数可)128がスマートデバイスである場合に、論理ソルバ(複数可)124は、有線デジタル通信プロトコル(例えば、HART、フィールドバスなど)を使用して、フィールドデバイス(複数可)128と通信することができる。しかしながら、他のタイプの通信媒体(例えば、有線、無線など)およびプロトコルが、代わりに使用され得る。
図2は、外部ネットワークを介したデータ抽出の目的で、本明細書に記載された例示的な安全なデータロガー装置および方法を使用するように構成することができる、例示的なプロセス制御システム200のブロック図である。図2に示される実施例のいくつかの要素は、図1に関連して上述したものと同一であるため、同一の要素の説明は、ここでは繰り返されない。代わりに、同一の要素は、図2に同一の参照番号で示され、それらの同様の番号の要素の完全な説明を提供する。図1に示される実施例とは対照的に、図2の例示的なプロセス制御システム200において、例示的なデータロガー112aおよび131aは、外部ネットワーク(例えば、外部ネットワーク212)を介してデータ抽出器にデータを転送することができる追加の能力を有する。例えば、図2のデータロガー112aおよび131aは、エッジゲートウェイ能力(例えば、ローカル安全ネットワーク120およびエリア制御ネットワーク132を含む、プロセス制御ネットワークを超えた外部ネットワークへのアクセス)を提供することができる。例えば、データロガー112aおよび131aを使用して、データをクラウド(例えば、外部ネットワーク212)に送信する前に、エッジでローカルに前処理することができ、ネットワーク間の境界でデータフローを制御することによってネットワーク間のゲートウェイを提供する。そのため、別個のエッジゲートウェイおよびデータロギングデバイスを使用する代わりに、データロガー(複数可)112aおよび/または131aは、収集されたデータを使用して、外部ネットワーク212を介してエンドユーザにそれを転送できるようにする。例えば、データロガー(複数可)112aおよび/または131aは、制御システム(例えば、BPCSコントローラ108および/またはSISコントローラ108)によって使用されていない制御システム(例えば、SIS 240および/またはBPCS250)からの情報をルーティングして、それを安全な方法で外部アプリケーションを利用可能にする。
いくつかの実施例において、データロガー(複数可)112aおよび/または131aは、図2の実施例に示されているように、1つ以上のSIS240および/またはBPCS250の入力/出力(I/O)システム(複数可)208および/または216に接続することができる。I/Oシステム(複数可)208および/または216は、フィールドデバイス(複数可)128からデータを受信し、そのデータを、例示的なコントローラ(複数可)106および/または108が処理することができる通信に変換する。同様に、I/Oシステム(複数可)208および/または216は、コントローラ(複数可)106および/または108からのデータまたは通信を、対応するフィールドデバイス(複数可)128が処理できるデータ形式に変換することができる。いくつかの実施例において、I/Oサブシステムは、プロセス制御システムに配備されたフィールドデバイス(例えば、フィールドデバイス(複数可)128)から情報を受信するメイン制御システムI/Oサブシステムである。そのような実施例において、データロガー112aおよび131aは、I/Oシステムを介してエリア制御ネットワーク132および/またはローカル安全ネットワーク120から利用可能なデータを傾聴し、外部ネットワークを介してデータを送信することができる。そのような実施例において、データロガー(複数可)112aおよび/または131aは、個々のプロセス制御システムネットワークへのアクセスを必要としない。データロガー(複数可)112aおよび/または131aから外部ネットワーク212への通信は、例えば、イーサネット接続、同軸ケーブルシステム、衛星システム、見通し内(line−of−site)無線システムなどを介して行うことができる。
図3は、本開示の教示に従って、プロセス制御システムネットワーク100および/または200においてデータのログをとる、例示的なデータロガーを示すブロック図である。例示的なデータロガー300を使用して、データロガー112aおよび131aを実装することができ、例示的なデータ記憶部302、例示的なコンフィギュレータ304、例示的なタイマ306、例示的なイベント検出器308、例示的なデータパーサ310、例示的な識別装置312、および例示的なコネクタ314を含む。
データ記憶部302は、プロセスコントローラ(例えば、基本プロセス制御システム(BPCS)コントローラ106および/または安全計装システム(SIS)コントローラ108)によって受信された情報を記憶する。データ記憶部302によって記憶されたプロセス制御システム情報は、コントローラ(複数可)106および/または108によって受信された、データロガー300によってキャプチャされた任意の情報を含むことができる。いくつかの実施例において、入力情報は、データ記憶部302(例えば、ハードディスク)に継続的に記憶され得る。データ記憶部302は、フィールドデバイス(複数可)110、111、および/または128(例えば、センサ、最終制御要素、シャットオフバルブなど)からキャプチャされたデータなど、ある期間にわたって発生するコントローラ106および/または108のアクティビティに関連するデータを含むことができる。いくつかの実施例において、データ記憶部302に記憶されたデータは、ユーザベースの構成を介して指定された期間の後に上書きされ得る。データロガー(複数可)112aおよび/または131aによってキャプチャされ、データ記憶部302に記憶されているデータは、トリップ分析の実行に関連する情報(例えば、計画外であるが安全なプロセス制御システムのシャットダウンに関連するトリップイベントから生じる)を含むことができる。そのような情報は、コントローラ106および/または108によって提供される各収集データポイントのタイムスタンプを含むことができ、データポイントは、プロセス制御システム(例えば、SIS240および/またはBPCS250)のステータスに関連する情報(例えば、温度、圧力、流量、重量、応力など)に対応する。いくつかの実施例において、データ記憶部302は、メタデータ、ログデータ、および配信されたときの時間情報を記憶し、データロガー300が、データを解釈、サーチ、および報告するように開発されたアプリケーションに使用されることを可能にする。いくつかの実施例において、データ記憶部302は、データロガー300がプロセス制御システムネットワークに接続されるとすぐに、データを記録するように存在する。例えば、データロガー300は、プロセス制御システムの自己発見に従事して、プロセス制御システムネットワーク上のデバイスの自動検出を可能にする。
コンフィギュレータ304を使用して、データロガー300を構成することができる。例えば、コンフィギュレータ304を使用して、収集データが、上書きされる前にデータ記憶部302に記憶される期間を(例えば、タイマ306を介して)設定することができる。タイマ306を使用して、データロガー300が、データ記憶部302に記憶されている既存の情報を上書きするように、時間間隔がいつ経過したか(例えば、ユーザ構成データ収集時間間隔)を決定することができる。いくつかの実施例において、データロガー300は、コンフィギュレータ304を使用して、ログデータ、メタデータ、およびタイムスタンプ情報などの、安全関連イベントデータを記憶するように、構成することができる。いくつかの実施例において、コンフィギュレータ304は、収集プロセス制御システムベースの情報を使用して実行されるデータ評価のタイプに基づいてデータ記憶部302を構成するように、使用することができる。いくつかの実施例において、コンフィギュレータ304は、安全関連イベント情報を分析する目的で、トリップ前および後のデータの記憶および記録を構成するように使用され、安全関連イベント評価に対する関心対象のプロセス制御システムパラメータに基づいて、データ記憶部302を使用して特定のログを保存するアクションを伴う。例えば、特定のデータログは、テストを通じて確立することができるプロセス制御システムコンポーネントの信頼性など、保護システムの整合性レベルを決定するのを助けることができる。
イベント検出器308は、プロセス制御システム100および/または200のネットワークの関心対象のイベント(例えば、トリガイベント)を識別する。例えば、トリガイベントは、SIS240および/またはBPCS250のネットワークで発生する、安全関連イベントとすることができる。安全関連イベントは、1つ以上のプロセス制御ネットワーク(複数可)上の予期しないノードの出現、または1つ以上のプロセス制御ネットワーク(複数可)のトラフィックパターンの変更を含み、この変更は、正常として指定されたトラフィックパターンからの逸脱に対応する。いくつかの実施例において、イベントは、産業用システムネットワークで発生する可能性のある、関心対象の任意のイベントとすることができる(例えば、特定のプロセス制御システムパラメータにおける変更)。
データパーサ310は、トリガイベント関連データのためにデータ記憶部302に記憶された情報を解析する。例えば、安全関連イベントの存在下で、データパーサ310は、安全関連イベントの前および後のデータを検索する。このようなデータは、ログデータ、メタデータ、およびタイムスタンプ情報を含むことができる。これは、プロセス制御システムアクティビティの徹底的な評価を可能にし、1つ以上のプロセス制御システムネットワーク(例えば、図1〜図2のローカル安全ネットワーク120および/またはエリア制御ネットワーク132)からのデータの評価を含むことができる。いくつかの実施例において、データパーサ310が、プロセスコントローラ(例えば、プロセッサコントローラ(複数可)106および/または108)からデータ記憶部302へ入ってくるデータ(例えば、入力)を識別できない場合、データパーサ310は、プロセス制御システムネットワークの外部でアラーム(例えば、図1〜図2のアラーム118)をトリガし、プロセスコントローラへの入力情報にアクセスできないときに、アラームが使用される。
データパーサ310が、データ記憶部302からトリガイベントの前および/または後のデータに対応するデータを検索すると、識別装置312は、所与の評価(例えば、根本原因分析)に必要な検索データから特定のデータコンテンツを識別する。例えば、識別装置312は、プロセスコントローラ(複数可)106および/または108によってキャプチャされた信号値情報、データ整合性情報、およびタイムスタンプ情報を検索することができる。
コネクタ314は、イベントデータをデータ抽出器(例えば、データ抽出器116)に転送する。いくつかの実施例において、プロセス制御システムネットワーク(例えば、ローカル安全ネットワーク120)からデータロガー(例えば、データロガー112a)にデータを単一方向に転送するように、データダイオード(例えば、データダイオード112b)をデータロガー(例えば、データロガー112a)に組み込むことができるとすると、データ抽出器は、データロガー300から情報を受信することができるが、データロガー300は、プロセス制御システムネットワーク(例えば、ローカル安全ネットワーク120)への情報の転送を可能にしない。データロガー300は、(例えば、内部ネットワークまたは外部ネットワークを介して)情報の転送を可能にする複数のコネクタ(例えば、ポート)を有することができる。いくつかの実施例において、コネクタ314は、1つのデータロガーを別のデータロガー(例えば、異なるプロセスコントローラからのデータを記憶するデータロガー)に接続して、別個のプロセス制御システムに関する情報(例えば、SIS240およびBPCS250の両方のデータを集約する)を受信するように、使用することができる。いくつかの実施例において、コネクタ314は、個々のプロセス制御システムネットワークへのアクセスを必要とせずに、I/Oシステム(例えば、I/Oシステム(複数可)208および/または216)を介して、エリア制御ネットワーク132および/またはローカル安全ネットワーク120からデータ抽出器(例えば、USBドライブ、ラップトップなど)または外部ネットワーク(例えば、外部ネットワーク212)にデータを転送するように、使用される。いくつかの実施例において、コネクタ314は、リモート接続を防止し、強化を改善する(例えば、セキュリティリスクをもたらし得る不要なアプリケーションおよびサービスを除去する)ように、汎用コンピュータの代わりに組み込みコンピュータに接続する。いくつかの実施例において、データの検索は、物理的な存在を強化する方法(例えば、コンピュータの接続、またはデータロガー(複数可)への直接接続を介して達成できるデータ検索の他の手段を必要とする)に制限することができる。
図1〜図2のデータロガー装置を実装する例示的な方法が図3に示されているが、図3に示されている要素、プロセス、および/またはデバイスのうちの1つ以上は、組み合わされ、分割され、再配置され、省略され、削除され、および/または任意の他の方法で実装され得る。さらに、例示的なデータ記憶部302、例示的なコンフィギュレータ304、例示的なタイマ306、例示的なイベント検出器308、例示的なデータパーサ310、例示的な識別装置312、例示的なコネクタ314、および/または、より総称的に、例示的なデータロガー300は、ハードウェア、ソフトウェア、ファームウェア、ならびに/またはハードウェア、ソフトウェア、および/もしくはファームウェアの任意の組み合わせによって実装され得る。したがって、例えば、例示的なデータ記憶部302、例示的なコンフィギュレータ304、例示的なタイマ306、例示的なイベント検出器308、例示的なデータパーサ310、例示的な識別装置312、例示的なコネクタ314、および/または、より総称的に、例示的なデータロガー300のいずれかは、1つ以上のアナログまたはデジタル回路(複数可)、論理回路、プログラム可能なプロセッサ(複数可)、プログラム可能なコントローラ(複数可)、グラフィックス処理ユニット(複数可)(GPU)、デジタル信号プロセッサ(複数可)(DSP)、特定用途向け集積回路(複数可)(ASIC)、プログラム可能な論理デバイス(複数可)(PLD)、および/またはフィールドプログラム可能な論理デバイス(複数可)(FPLD)によって実装することができる。本特許の装置またはシステムの請求項のいずれかを読んで、純粋にソフトウェアおよび/またはファームウェアの実装をカバーするとき、例示的なデータ記憶部302、例示的なコンフィギュレータ304、例示的なタイマ306、例示的なイベント検出器308、例示的なデータパーサ310、例示的な識別装置312、および/または例示的なコネクタ314は、本明細書により、ソフトウェアおよび/またはファームウェアを含む、メモリ、デジタル多用途ディスク(DVD)、コンパクトディスク(CD)、ブルーレイディスクなどの非一時的なコンピュータ可読記憶デバイスまたは記憶ディスクを含むと明確に定義されている。さらに、例示的なデータロガー300は、図3に示すものに加えて、またはその代わりに、1つ以上の要素、プロセス、および/もしくはデバイスを含み得、ならびに/または、示されている要素、プロセス、およびデバイスのいずれかまたはすべてのうちの2つ以上を含み得る。本明細書で使用される「通信する」という句は、その変形例を含めて、直接通信および/または1つ以上の中間構成要素を通じた間接通信を包含し、直接の物理的(例えば、有線)通信および/または常時通信を必要とせず、むしろさらに、周期的な間隔、スケジュールされた間隔、非周期的な間隔、および/または1回限りのイベントでの選択的な通信を含む。
図3のデータロガー300を実装するための例示的な機械可読命令を表すフローチャートは、図4に示されている。機械可読命令は、図5に関連して以下で論じられる例示的なプロセッサプラットフォーム500に示される、プロセッサ506などのプロセッサによる実行のための1つ以上の実行可能プログラムまたは実行可能プログラムの部分(複数可)であり得る。プログラムは、CD−ROM、フロッピーディスク、ハードドライブ、デジタル多用途ディスク(DVD)、ブルーレイディスク、またはプロセッサ506に関連するメモリなどの非一時的なコンピュータ可読記憶媒体に記憶されたソフトウェアで具現化され得るが、プログラム全体および/またはその一部分は、代替的に、プロセッサ506以外のデバイスによって実行され、および/またはファームウェアもしくは専用ハードウェアで具現化され得る。さらに、図4に示されるフローチャートを参照して例示的なプログラムが説明されるが、例示的なデータロガー300を実装する他の多くの方法が代替的に使用され得る。例えば、ブロックの実行順序が変更され得、および/または記載したブロックのいくつかが変更されるか、削除されるか、もしくは組み合わされ得る。追加的または代替的に、ブロックのいずれかまたはすべては、ソフトウェアまたはファームウェアを実行せずに対応する動作を行うように構成されている1つ以上のハードウェア回路(例えば、離散および/または統合アナログおよび/またはデジタル回路、FPGA、ASIC、コンパレータ、演算増幅器(オペアンプ)、論理回路など)によって実施され得る。
本明細書に記載する機械可読命令は、圧縮形式、暗号化形式、断片化形式、パッケージ形式などのうちの1つ以上で記憶され得る。本明細書に記載する機械可読命令は、機械実行可能命令を作成、製造、および/または生成するために利用され得るデータ(例えば、命令の部分、コード、コードの表現など)として記憶され得る。例えば、機械可読命令は、断片化され、1つ以上の記憶デバイスおよび/またはコンピューティングデバイス(例えば、サーバ)に記憶され得る。機械可読命令は、それらをコンピューティングデバイスおよび/または他の機械によって直接読み取り可能または実行可能にするために、インストール、改変、適応、更新、組み合わせ、補足、構成、復号化、解凍、開梱、配布、再割り当てなどのうちの1つ以上を必要とし得る。例えば、機械可読命令は、個々に圧縮、暗号化され、別個のコンピューティングデバイスに記憶される複数の部分に記憶され、これらの一部分は、復号化され、解凍され、かつ組み合わされるとき、本明細書に記載されるようなプログラムを実施する一連の実行可能命令を形成する。別の実施例において、機械可読命令は、それらがコンピュータによって読み取られ得る状態で記憶され得るが、特定のコンピューティングデバイスまたは他のデバイスで命令を実行するためには、ライブラリ(例えば、ダイナミックリンクライブラリ(DLL))、ソフトウェア開発キット(SDK)、アプリケーションプログラミングインターフェース(API)などの追加が必要である。別の実施例において、機械可読命令は、機械可読命令および/または対応するプログラム(複数可)が全体的にまたは一部分で実行され得る前に、(例えば、設定の記憶、データ入力、ネットワークアドレスの記録など)構成される必要があり得る。したがって、開示された機械可読命令および/または対応するプログラム(複数可)は、記憶されているときの、または別様に保管中もしくは輸送中の機械可読命令および/またはプログラム(複数可)の特定の形式または状態に関係なく、そのような機械可読命令および/またはプログラム(複数可)を包含することが意図されている。
上述のように、図4の例示的なプロセスは、ハードディスクドライブ、フラッシュメモリ、読み取り専用メモリ(ROM)、コンパクトディスク(CD)、デジタル多用途ディスク(DVD)、キャッシュ、ランダムアクセスメモリ(RAM)、および/または、情報が任意の持続時間(例えば、長時間、永続的、短時間、一時的なバッファリングの間、および/または情報のキャッシングの間)記憶される任意の他の記憶デバイスまたは記憶ディスクなどの、非一時的なコンピュータおよび/または機械可読媒体に記憶された実行可能命令(例えば、コンピュータおよび/または機械可読命令)を使用して実施され得る。本明細書で使用されるように、非一時的なコンピュータ可読記憶媒体という用語は、任意のタイプのコンピュータ可読記憶デバイスおよび/または記憶ディスクを含み、伝搬信号を除外し、伝送媒体を除外すると明確に定義される。
「含む(including)」および「備える(comprising)」(ならびにそのすべての形式および時制)は、本明細書では無制限の用語であるように使用される。したがって、請求項がプリアンブルとして、または任意の種類の請求項の列挙内で「含む」または「備える」のいずれかの形式を用いる場合(例えば、備える(comprises)、含む(includes)、備える(comprising)、含む(including)、有するなど)、追加の要素、用語などが、対応する請求項または列挙の範囲から外れることなく存在し得ることが理解されるべきである。本明細書で使用されるように、「少なくとも」の句が、例えば請求項のプリアンブルで移行用語として使用される場合、「備える」および「含む」という用語が無制限であるのと同じ手法で無制限である。例えば、A、B、および/またはCなどの形式で使用されるときの「および/または」という用語は、(1)Aのみ、(2)Bのみ、(3)Cのみ、(4)AとB、(5)AとC、(6)BとC、および(7)AとBとCとの組み合わせなどのA、B、Cの任意の組み合わせまたはサブセットを指す。構造、コンポーネント、アイテム、オブジェクト、および/または物事を説明する文脈において本明細書で使用されるように、「AおよびBのうちの少なくとも1つ」という句は、(1)少なくとも1つのA、(2)少なくとも1つのB、ならびに(3)少なくとも1つのAおよび少なくとも1つのBのうちのいずれかを含む実装態様を指すことが意図される。同様に、構造、コンポーネント、アイテム、オブジェクト、および/または物事を説明する文脈において本明細書で使用されるように、「AまたはBのうちの少なくとも1つ」という句は、(1)少なくとも1つのA、(2)少なくとも1つのB、ならびに(3)少なくとも1つのAおよび少なくとも1つのBのうちのいずれかを含む実装態様を指すことが意図される。プロセス、命令、アクション、アクティビティ、および/またはステップの実施または実行を説明する文脈において本明細書で使用されるように、「AおよびBのうちの少なくとも1つ」という句は、(1)少なくとも1つのA、(2)少なくとも1つのB、ならびに(3)少なくとも1つのAおよび少なくとも1つのBのうちのいずれかを含む実装態様を指すことが意図される。同様に、プロセス、命令、アクション、アクティビティ、および/またはステップの実施または実行を説明する文脈において本明細書で使用されるように、「AまたはBのうちの少なくとも1つ」という句は、(1)少なくとも1つのA、(2)少なくとも1つのB、ならびに(3)少なくとも1つのAおよび少なくとも1つのBのうちのいずれかを含む実装態様を指すことが意図される。
図4は、図3の例示的なデータロガー300を実装するように実行され得る機械可読命令を表すフローチャート400である。コンフィギュレータ304は、ユーザ入力に基づいて、データロガーのためのデータ収集ポイントを構成する。例えば、ユーザは、データがデータ記憶部302に上書きされる前に、データ収集(例えば、データロガー300のデータ記憶部302に保存されたデータ)が行われるべき時間間隔を示すことができる(ブロック402)。データロガー300がデータダイオード(例えば、データダイオード(複数可)112bおよび/または131b)を介してプロセス制御システムネットワーク(例えば、SIS240および/またはBPCS250)に接続すると、データ記憶部302は、ローカル安全ネットワーク120および/またはエリア制御ネットワーク132からプロセスコントローラ(複数可)106および/または108への入力情報を記憶する(ブロック404)。イベント検出器308は、トリガイベントが検出されたかどうかを決定するように、プロセス制御システムのネットワーク情報を監視する(ブロック406)。例えば、トリガイベントは、トリップイベント(例えば、SIS240の予期しないシャットダウン)など、SIS240ネットワーク上の安全関連イベントを含むことができる。他の実施例において、トリガイベントは、トリガイベントとして解釈されるように、ユーザによって定義された任意のイベントとすることができる(例えば、プロセス制御システムパラメータの変更、ネットワークトラフィックの予期しない変更など)。トリガイベントが検出されない場合、タイマ306は、所与の時間間隔(T)(例えば、ユーザ構成時間間隔)が経過したかどうかを決定する(ブロック408)。時間間隔がまだ経過しておらず、トリガイベントが検出されていない場合、データロガー300は、プロセス制御システムからデータをキャプチャして記憶し続ける(ブロック404)。時間間隔が経過した場合、データ記憶部302は、既存のデータを新しいデータで上書きし始める(ブロック410)。
イベント検出器308がブロック406でトリガイベントを検出する場合、データパーサ310は、データ記憶部302を使用して、トリガイベントの前および後のデータを識別する(ブロック412)。例えば、トリガイベントがトリップイベントなどの安全関連イベントである場合、その潜在的な原因を識別する目的でのイベントの評価は、トリガイベントの前および後にキャプチャされたデータの使用を必要とし得る。いくつかの実施例において、データパーサ310は、トリガイベント分析−特定データのためにデータを解析する(ブロック414)。このようなデータは、ログデータ、メタデータ、およびタイムスタンプ情報を含むことができる。いくつかの実施例において、コンフィギュレータ304は、関心対象である(例えば、トリガイベントの徹底的な評価を実行する用途のための入力が要求される)データのタイプを決定するために使用される。いくつかの実施例において、データロガー300は、プロセス制御システムから情報をキャプチャする1つ以上の他のデータロガー(複数可)からイベント関連データを取得する(ブロック416)。例えば、データロガー300は、データ抽出器116および/もしくは117、または外部ネットワーク212だけでなく、別のデータロガーへも情報の転送を可能にするいくつかのコネクタ(複数可)314を含むことができる。そのため、ユーザ構成がプロセス制御システム全体(例えば、SIS240および/またはBPCS250に限定されない)からのデータの検索を請求する場合、コネクタ314を使用して、イベント関連データを検索して、監視されているプロセス制御システムから利用可能なデータを補足することができる(ブロック418)。情報がデータ抽出器(複数可)116および/または117を介して収集される場合、コネクタ314は、データ抽出器(複数可)116および/または117に接続される(ブロック420)。データダイオード112bおよび/または131bは、プロセス制御システムネットワークからデータロガー300へのデータの単一方向転送を可能にし、その結果、このデータは、データ抽出器116を使用して検索することができる。いくつかの実施例において、データロガー300は、コネクタ(複数可)314を介して情報を転送するために2つ以上のポート(例えば、情報を別のデータロガーに転送するための1つのポート、情報をデータ抽出器に転送するための別のポート)を有する。その後、キャプチャされたデータを使用して、事後分析を実行し(ブロック422)、例えば、トリップイベントまたは他のトリガイベントの根本原因を決定する(ブロック424)。例えば、データ抽出器116に転送されるデータのタイプおよび量を制限することによってセキュリティを増加させるために、識別装置312は、事後分析のために必要なデータ(例えば、プロセスコントローラ106および/または108によってキャプチャされた信号値情報、データ整合性情報、およびタイムスタンプ情報)を識別する。コネクタ314は、このデータのみ、または、例えば、コンフィギュレータ304を使用してデータロガー(複数可)112aおよび/または131aの構成に含まれる任意のタイプのデータをデータ抽出器116に転送する。
図5は、図4の例示的な方法を行うために、および/またはより全般的には、図1〜図3の例示的な安全なデータロガーを実装するために使用および/またはプログラムされ得る例示的なプロセッサプラットフォームのブロック図である。プロセッサプラットフォーム500は、例えば、サーバ、パーソナルコンピュータ、ワークステーション、自己学習機械(例えば、ニューラルネットワーク)、モバイルデバイス(例えば、携帯電話、スマートフォン、iPad(登録商標)などのタブレット)、携帯情報端末(PDA)、インターネット機器、DVDプレーヤ、CDプレーヤ、デジタルビデオレコーダ、ブルーレイプレーヤ、ゲーム機、パーソナルビデオレコーダ、セットトップボックス、ヘッドセットもしくは他のウェアラブルデバイス、または任意の他のタイプのコンピューティングデバイスとすることができる。
示された実施例のプロセッサプラットフォーム500は、プロセッサ506を含む。示された実施例のプロセッサ506は、ハードウェアである。例えば、プロセッサ506は、任意の所望のファミリ(family)または製造業者からの1つ以上の集積回路、論理回路、マイクロプロセッサ、GPU、DSP、またはコントローラによって実装することができる。ハードウェアプロセッサは、半導体ベース(例えば、シリコンベース)のデバイスであり得る。この実施例において、プロセッサ506は、コンフィギュレータ304、タイマ306、イベント検出器308、データパーサ310、識別装置312、ならびにデータロガー(複数可)112aおよび/または131aのコネクタ314を実装する。
示された実施例のプロセッサ506は、ローカルメモリ508(例えば、キャッシュ)を含む。示された実施例のプロセッサ506は、バス518を介して、揮発性メモリ502および不揮発性メモリ504を含むメインメモリと通信している。揮発性メモリ502は、同期ダイナミックランダムアクセスメモリ(SDRAM)、ダイナミックランダムアクセスメモリ(DRAM)、RAMBUS(登録商標)ダイナミックランダムアクセスメモリ(RDRAM(登録商標))、および/または任意の他のタイプのランダムアクセスメモリデバイスによって実装され得る。不揮発性メモリ504は、フラッシュメモリおよび/または任意の他の所望のタイプのメモリデバイスによって実装され得る。メインメモリ502、504へのアクセスは、メモリコントローラによって制御される。
示された実施例のプロセッサプラットフォーム500は、インターフェース回路514も含む。インターフェース回路514は、イーサネットインターフェース、ユニバーサルシリアルバス(USB)、ブルートゥース(登録商標)インターフェース、近距離通信(NFC)インターフェース、および/またはPCIエクスプレスインターフェースなど、任意のタイプのインターフェース標準によって実装され得る。
示された実施例において、1つ以上の入力デバイス(複数可)512は、インターフェース回路514に接続されている。入力デバイス512(複数可)は、ユーザがデータおよびコマンドをプロセッサ506に入力することを可能にする。入力デバイス(複数可)は、例えば、音声センサ、マイクロフォン、(静止画または動画)カメラ、キーボード、ボタン、マウス、タッチスクリーン、トラックパッド、トラックボール、アイソポイントデバイス、および/または音声認識システムによって実装することができる。
1つ以上の出力デバイス516も、示された実施例のインターフェース回路514に接続されている。出力デバイス516は、例えば、ディスプレイデバイス(例えば、発光ダイオード(LED)、有機発光ダイオード(OLED)、液晶ディスプレイ(LCD)、陰極線管ディスプレイ(CRT)、インプレーススイッチング(IPS)ディスプレイ、タッチスクリーンなど)、触覚出力デバイス、プリンタ、および/またはスピーカよって実装することができる。したがって、示された実施例のインターフェース回路514は、典型的には、グラフィックスドライバカード、グラフィックスドライバチップ、またはグラフィックスドライバプロセッサを含む。
示された実施例のインターフェース回路514はまた、送信機、受信機、トランシーバ、モデム、ホームゲートウェイ、無線アクセスポイント、および/またはネットワークインターフェースなどの通信デバイスを含み、ネットワーク524を介した外部機械(例えば、あらゆる種類のコンピューティングデバイス)とのデータ交換を容易にする。通信は、例えば、イーサネット接続、デジタル加入者線(DSL)接続、電話線接続、同軸ケーブルシステム、衛星システム、見通し内(line−of−site)無線システム、携帯電話システムなどを介することができる。
示される実施例のプロセッサプラットフォーム500は、ソフトウェアおよび/またはデータを記憶するための1つ以上の大容量記憶デバイス510も含む。このような大容量記憶デバイス510の実施例は、フロッピーディスクドライブ、ハードドライブディスク、コンパクトディスクドライブ、ブルーレイディスクドライブ、独立ディスクの冗長アレイ(RAID)システム、およびデジタル多用途ディスク(DVD)ドライブを含む。大容量記憶部は、例示的なデータ記憶部302を含む。
図4の機械実行可能命令400は、大容量記憶デバイス510内、揮発性メモリ502内、不揮発性メモリ504内、および/またはCDもしくはDVDなどの取り外し可能な非一時的なコンピュータ可読記憶媒体上に記憶され得る。
特定の例示的な方法、装置、およびシステムが本明細書で開示されてきたが、本特許の対象範囲はそれらに限定されない。それどころか、本特許は、本特許の特許請求の範囲のほぼ範囲内にあるすべての方法、装置、および製造物品を網羅する。

Claims (20)

  1. プロセス制御システムネットワークからの安全なデータ転送のための方法であって、
    前記プロセス制御システムネットワークを介してプロセスコントローラによって受信した情報を記憶することであって、前記プロセスコントローラは、安全計装システムコントローラまたはプロセス制御システムコントローラを含み、前記情報は、前記プロセス制御システムネットワークからデータダイオードを介してデータロガーに単一方向に転送される、情報を記憶することと、
    前記プロセス制御システムネットワーク上のトリガイベントを識別することと、
    前記トリガイベントの識別に応答して、イベントデータのための前記記憶情報を解析することと、
    前記イベントデータを前記データロガーからデータ抽出器に転送することと、を含む、方法。
  2. 前記記憶情報を解析することは、前記トリガイベントの前および後にデータを検索することを含む、請求項1に記載の方法。
  3. 前記イベントデータを転送することは、前記トリガイベントが安全関連イベントである場合に、前記プロセスコントローラによってキャプチャされた信号値情報、データ整合性情報、およびタイムスタンプ情報のうちの1つ以上のみを転送することを含む、請求項1に記載の方法。
  4. 前記プロセス制御システムネットワークは、ローカル安全ネットワークまたはエリア制御ネットワークを含む、請求項1に記載の方法。
  5. 前記記憶情報を解析することは、前記ローカル安全ネットワークまたは前記エリア制御ネットワークのうちの少なくとも1つの前記イベントデータを解析することを含む、請求項4に記載の方法。
  6. 前記イベントデータは、ログデータ、メタデータ、およびタイムスタンプ情報を含む、請求項1に記載の方法。
  7. 前記トリガイベントは、安全関連イベントであり、前記安全関連イベントは、前記ネットワーク上の予期しないノードの出現、または前記ネットワークのトラフィックパターンの変更を含み、前記変更が正常として指定されたトラフィックパターンからの逸脱に対応する、請求項1に記載の方法。
  8. ユーザ入力に基づき前記イベントデータを構成することをさらに含み、前記ユーザ入力は、関心対象のデータ収集時間間隔を含む、請求項1に記載の方法。
  9. ユーザ構成時間間隔がいつ経過したかを決定することと、前記時間間隔が経過したときに前記記憶情報を上書きすることと、をさらに含む、請求項8に記載の方法。
  10. 前記プロセス制御システムネットワークの外部でアラームを開始することをさらに含み、前記プロセスコントローラへの入力情報がアクセス可能でないときに前記アラームが使用される、請求項1に記載の方法。
  11. プロセス制御システムネットワークからの安全なデータ転送のための装置であって、
    前記プロセス制御システムネットワークを介してプロセスコントローラによって受信した情報を記憶するデータ記憶部であって、前記プロセスコントローラは、安全計装システムコントローラまたはプロセス制御システムコントローラを含み、前記情報は、前記プロセス制御システムネットワークからデータダイオードを介してデータロガーに単一方向に転送される、データ記憶部と、
    前記プロセス制御システムネットワーク上のトリガイベントを識別するイベント検出器と、
    前記トリガイベントの識別に応答して、イベントデータのための前記記憶情報を解析するデータパーサと、
    前記イベントデータを前記データロガーからデータ抽出器に転送するコネクタと、を備える、装置。
  12. 前記データパーサは、前記トリガイベントが安全関連イベントである場合に、前記トリガイベントの前および後にデータを検索することである、請求項11に記載の装置。
  13. 前記コネクタは、前記プロセスコントローラによってキャプチャされた信号値情報、データ整合性情報、およびタイムスタンプ情報のうちの1つ以上を含む、前記イベントデータを転送することである、請求項12に記載の装置。
  14. 前記データパーサは、ローカル安全ネットワークまたはエリア制御ネットワークのうちの少なくとも1つの前記イベントデータを解析することである、請求項11に記載の装置。
  15. ユーザ入力に基づくイベントデータを構成するコンフィギュレータをさらに含み、前記ユーザ入力が、関心対象のデータ収集時間間隔を含む、請求項11に記載の装置。
  16. ユーザ構成時間間隔がいつ経過したかを決定するタイマをさらに含み、前記記憶情報は、前記時間間隔が経過したときに上書きされる、請求項15に記載の装置。
  17. 命令を含む、非一時的なコンピュータ可読記憶媒体であって、前記命令が、実行されるとき、機械に、少なくとも、
    プロセス制御システムネットワークを介してプロセスコントローラによって受信した情報を記憶させることであって、前記プロセスコントローラは、安全計装システムコントローラまたはプロセス制御システムコントローラを含み、前記情報は、前記プロセス制御システムネットワークからデータダイオードを介してデータロガーに単一方向に転送される、情報を記憶させ、
    前記プロセス制御システムネットワーク上のトリガイベントを識別させ、
    前記トリガイベントの識別に応答して、イベントデータのための前記記憶情報を解析させ、
    前記イベントデータを前記データロガーからデータ抽出器に転送させる、非一時的なコンピュータ可読記憶媒体。
  18. 前記命令が実行されたときに、前記機械にさらに、前記プロセスコントローラによってキャプチャされた信号値情報、データ整合性情報、およびタイムスタンプ情報のうちの1つ以上を転送させる、請求項17に記載のコンピュータ可読記憶媒体。
  19. 前記命令が実行されたときに、前記機械にさらに、ローカル安全ネットワークまたはエリア制御ネットワークのうちの少なくとも1つの前記イベントデータを解析させる、請求項17に記載のコンピュータ可読記憶媒体。
  20. 前記命令が実行されたときに、前記機械にさらに、ユーザ構成時間間隔がいつ経過したかを決定させ、前記記憶情報は、前記時間間隔が経過したときに上書きされる、請求項17に記載のコンピュータ可読記憶媒体。
JP2020177861A 2019-11-14 2020-10-23 安全なデータロギングのための装置および方法 Pending JP2021082272A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US16/684,108 2019-11-14
US16/684,108 US11126636B2 (en) 2019-11-14 2019-11-14 Apparatus and methods for secure data logging

Publications (2)

Publication Number Publication Date
JP2021082272A true JP2021082272A (ja) 2021-05-27
JP2021082272A5 JP2021082272A5 (ja) 2023-06-26

Family

ID=73726917

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020177861A Pending JP2021082272A (ja) 2019-11-14 2020-10-23 安全なデータロギングのための装置および方法

Country Status (5)

Country Link
US (1) US11126636B2 (ja)
JP (1) JP2021082272A (ja)
CN (1) CN112799356A (ja)
DE (1) DE102020130166A1 (ja)
GB (1) GB2592459A (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102017218531A1 (de) * 2017-10-17 2019-04-18 Siemens Mobility GmbH Verfahren und Vorrichtung zum rückwirkungsfreien und integritätsgeschützten Synchronisieren von Log-Daten
CN113671933B (zh) * 2021-08-10 2024-03-08 西门子能源自动化(南京)有限公司 用于处理与汽轮机相关的数据的系统和方法

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7035877B2 (en) * 2001-12-28 2006-04-25 Kimberly-Clark Worldwide, Inc. Quality management and intelligent manufacturing with labels and smart tags in event-based product manufacturing
US7590473B2 (en) * 2006-02-16 2009-09-15 Intel Corporation Thermal management using an on-die thermal sensor
US9349279B2 (en) * 2014-08-05 2016-05-24 Google Inc. Systems and methods for compensating for sensor drift in a hazard detection system
US10191464B2 (en) * 2015-08-14 2019-01-29 Nuscale Power, Llc Notification management systems and methods for monitoring the operation of a modular power plant
US20170065232A1 (en) * 2015-09-04 2017-03-09 Welch Allyn, Inc. Method and apparatus for adapting a function of a biological sensor
US10970175B2 (en) * 2016-06-15 2021-04-06 Sap Se Flexible per-request data durability in databases and other data stores
US10180812B2 (en) * 2016-06-16 2019-01-15 Sap Se Consensus protocol enhancements for supporting flexible durability options
US10140834B2 (en) * 2016-08-08 2018-11-27 Blackberry Limited Mobile transceiver having asset-based alarm profile and a method of operation
US10877465B2 (en) * 2016-10-24 2020-12-29 Fisher-Rosemount Systems, Inc. Process device condition and performance monitoring
US20180217235A1 (en) * 2017-01-27 2018-08-02 4Sense, Inc. Projection System for a Time-of-Flight Sensor and Method of Operation of Same
US20180217234A1 (en) * 2017-01-27 2018-08-02 4Sense, Inc. Diffractive Optical Element for a Time-of-Flight Sensor and Method of Operation of Same
US20190018106A1 (en) * 2017-07-11 2019-01-17 4Sense, Inc. Light-Source Array for a Time-of-Flight Sensor and Method of Operation of Same
US20200386668A1 (en) * 2019-04-16 2020-12-10 iButtonLink, LLC Flexible sensor system

Also Published As

Publication number Publication date
US11126636B2 (en) 2021-09-21
GB202016987D0 (en) 2020-12-09
CN112799356A (zh) 2021-05-14
DE102020130166A1 (de) 2021-05-20
US20210149909A1 (en) 2021-05-20
GB2592459A (en) 2021-09-01

Similar Documents

Publication Publication Date Title
US10764319B2 (en) Intelligent automated security vulnerability detection and analysis for industrial internet of things (IIOT) devices
Morris et al. Industrial control system traffic data sets for intrusion detection research
EP3101581B1 (en) Security system for industrial control infrastructure using dynamic signatures
CN106101130B (zh) 一种网络恶意数据检测方法、装置及系统
Yang et al. Harmonizing safety and security risk analysis and prevention in cyber-physical systems
Eden et al. SCADA system forensic analysis within IIoT
US10574671B2 (en) Method for monitoring security in an automation network, and automation network
CN112799358B (zh) 一种工业控制安全防御系统
Eden et al. A forensic taxonomy of SCADA systems and approach to incident response
CN110678864A (zh) 危害和取证数据的plc指标的收集
JP2021082272A (ja) 安全なデータロギングのための装置および方法
Yau et al. PLC forensics based on control program logic change detection
Wu et al. Exploring the use of PLC debugging tools for digital forensic investigations on SCADA systems
JP2016504639A (ja) 改ざん試行報告を有するフィールドデバイス
CN111835680A (zh) 一种工业自动制造的安全防护系统
Lim et al. Attack induced common-mode failures on PLC-based safety system in a nuclear power plant: practical experience report
CN105553973A (zh) 一种探测工控设备异常的系统与方法
CN114296406B (zh) 网络攻防展示系统、方法、装置及计算机可读存储介质
US20200183340A1 (en) Detecting an undefined action in an industrial system
Cook et al. Introducing a forensics data type taxonomy of acquirable artefacts from programmable logic controllers
WO2018193571A1 (ja) 機器管理システム、モデル学習方法およびモデル学習プログラム
CN116318783B (zh) 基于安全指标的网络工控设备安全监测方法及装置
WO2014042636A1 (en) Packet intrusion inspection in an industrial control network
Penera et al. Packet scheduling attacks on shipboard networked control systems
Hill et al. Using bro with a simulation model to detect cyber-physical attacks in a nuclear reactor

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230616

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230616