JP7013153B2 - プロセスプラント内のプロセス制御装置へのアクセスを制御する認証と権限付与 - Google Patents

プロセスプラント内のプロセス制御装置へのアクセスを制御する認証と権限付与 Download PDF

Info

Publication number
JP7013153B2
JP7013153B2 JP2017139304A JP2017139304A JP7013153B2 JP 7013153 B2 JP7013153 B2 JP 7013153B2 JP 2017139304 A JP2017139304 A JP 2017139304A JP 2017139304 A JP2017139304 A JP 2017139304A JP 7013153 B2 JP7013153 B2 JP 7013153B2
Authority
JP
Japan
Prior art keywords
user
access
plant
user interface
processors
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017139304A
Other languages
English (en)
Other versions
JP2018014098A5 (ja
JP2018014098A (ja
Inventor
トッド・エム・トープケ
ジョセフ・ディー・フィッシャー
クリストファー・ピー・カンツェス
ニコラス・ティー・メイヤー
Original Assignee
フィッシャー-ローズマウント システムズ,インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by フィッシャー-ローズマウント システムズ,インコーポレイテッド filed Critical フィッシャー-ローズマウント システムズ,インコーポレイテッド
Publication of JP2018014098A publication Critical patent/JP2018014098A/ja
Publication of JP2018014098A5 publication Critical patent/JP2018014098A5/ja
Application granted granted Critical
Publication of JP7013153B2 publication Critical patent/JP7013153B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/418Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/27Individual registration on entry or exit involving the use of a pass with central registration
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C2209/00Indexing scheme relating to groups G07C9/00 - G07C9/38
    • G07C2209/04Access control involving a hierarchy in access rights

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Manufacturing & Machinery (AREA)
  • Quality & Reliability (AREA)
  • Automation & Control Theory (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Description

本開示は、概ねプロセス制御システムに関し、さらに詳しくは、プロセスプラント内でユーザの権限レベルを割り当てることに関し、その権限レベルは、ユーザがそのプロセス制御装置にアクセスするかを判断するために使用するものである。
化学、石油、または他のプロセスで使用される、分散型プロセス制御システムは、一般的に、1つ以上のプロセスコントローラと、少なくとも1つのホストまたはオペレータワークステーションと1つ以上のフィールドデバイスに、アナログ、デジタル、またはアナログ/デジタル複合バス、または無線通信リンクまたはネットワークを介して通信可能に接続された入出力(I/O)装置を含む。フィールドデバイス、例えば、バルブ、バルブポジショナ、スイッチ、及びトランスミッタ(例えば、温度、圧力、レベル及び流量センサ)は、プロセス環境の内部に位置し、一般的に例えばバルブを開閉したり、あるいは、測定プロセスパラメータなどの物理的またはプロセス制御機能を行って、プロセスプラントまたはシステム内で実行する1つ以上のプロセスを制御する。周知のフィールドバスプロトコルに準拠するフィールドデバイスのようなスマートフィールドデバイスも、制御計算、アラーム機能、及び一般的にコントローラ内で共通に実行される他の制御機能を実行することもできる。プロセスコントローラは、一般的にプラント環境内に位置してもいるが、センサまたはフィールドデバイス及び/またはフィールドデバイスに関連する他の情報によって行われたプロセス測定を表す信号を受信し、例えばプロセス制御決定を下す異なる制御モジュールを実行するコントローラアプリケーションを実行し、制御信号を受信した情報にもとづいて生成し、HART(登録商標)、無線HART(登録商標)、及びFOUNDATION(登録商標)フィールドバスフィールドデバイスなどのようなフィールドデバイスで実行中の制御モジュールまたはブロックと調和させる。コントローラ内の制御モジュールは、通信ラインまたはリンクを介してフィールドデバイスに制御信号を送信することによって、プロセスプラントまたはシステムの少なくとも一部の操作を制御する。
フィールドデバイスとコントローラからの情報は、通常、データハイウェイを介して1つ以上の他のハードウェア装置、例えば、一般的に、ただし常にではないが、より過酷なプラント環境から離隔した制御室または他の位置に載置されるオペレータワークステーション、パーソナルコンピュータ、または演算装置、データヒストリアン、レポートジェネレータ、中央データベース、または他の集中管理演算装置上で利用できるようになる。これらのハードウェア装置は、それぞれ、一般的に、ただし常にではないが、プロセスプラントまたはプロセスプラントの一部にわたって集中化されている。これらのハードウェア装置は、例えば、オペレータがプロセスの制御及び/またはプロセスプラントの操作に対する機能、例えば、プロセス制御ルーチンの設定を変更すること、コントローラまたはフィールドデバイス内の制御モジュールの操作を変更すること、プロセスの現在の状態を表示すること、フィールドデバイスやコントローラが生成したアラームを表示すること、人材育成またはプロセス制御ソフトウェアのテストを目的とするプロセスの操作をシミュレートすること、構成データベースなどを維持し、更新することなどを実行できるようにするアプリケーションを実行する。ハードウェア装置、コントローラ、及びフィールドデバイスが利用するデータハイウェイは、有線通信パス、無線通信パス、または有線及び無線複合通信パスを含んでいてもよい。
一例として、Emerson Process Managementが販売するDeltaV(商標)制御システムは、プロセスプラント内の様々な場所に位置する異なるデバイス内に保存され、それによって実行される複数のアプリケーションを含む。構成アプリケーションは、1つ以上のオペレータワークステーションまたは演算装置内にあるもので、ユーザがプロセス制御モジュールを生成したり、変更したりできるとともにこれらのプロセス制御モジュールを専用の分散型コントローラにデータハイウェイを介してダウンロードすることができるようになる。一般的に、これらの制御モジュールは、入力に基づいて制御スキーム内で機能を実行し、制御スキーム内の他の機能ブロックへの出力を提供する、通信可能に相互接続した機能ブロックから構成される。また、構成アプリケーションにより、コンギギュレーションの設計者が表示アプリケーションで使用してデータをオペレータに対して表示するオペレータインターフェースを生成または変更することができるとともに、オペレータがプロセス制御ルーチン内で、設定点などのような設定を変更できるようになる。それぞれの専用コントローラと、場合によっては1つ以上のフィールドデバイスは、それに割り当てられ、ダウンロードされた制御モジュールを実行して実際のプロセス制御機能を実行するそれぞれのコントローラアプリケーションを保存し実行する。1つ以上のオペレータワークステーション(またはオペレータワークステーションとデータハイウェイと通信可能に接続された1つ以上のリモート演算装置)で実行可能な表示アプリケーションは、コントローラアプリケーションからデータハイウェイを介してデータを受信し、このデータをプロセス制御システムデザイナー、オペレータ、またはユーザにオペレータインターフェースを使って表示し、オペレータ用の表示、エンジニア用の表示、また技術者用の表示など、異なる多数の表示を提供することができる。データヒストリアンアプリケーションは、一般的に、データハイウェイに提供されたデータの一部またはすべてを収集または保存するデータヒストリアンデバイスによって保存及び実行される一方で、構成データベースアプリケーションをデータハイウェイに取り付けたさらに別のコンピュータで実行して、現在のプロセス制御ルーチン構成とそれに伴うデータを保存することができる。あるいは、構成データベースは、構成アプリケーションと同じワークステーションにあってもよい。
上述したように、オペレータ表示アプリケーションは、一般的に1つ以上のワークステーションでシステムベースで実行され、プラント内の制御システムまたはデバイスの運転状態に関して、オペレータまたは保守作業員にディスプレイを提供する。一般的に、これらの表示はプロセスプラント内のコントローラやデバイスによって生成されたアラームを受信するアラーム表示の形態をとり、プロセスプラント内のコントローラや他の装置の運転状態を示すディスプレイや、プロセスプラント内のデバイスの運転状態を示す保守ディスプレイなどを制御する。これらのディスプレイは一般的に周知の方法でプロセスプラント内のプロセス制御モジュールやデバイスから受取った情報やデータを表示するように構成されている。周知のシステムでは、ディスプレイは、物理的または論理的要素に通信可能に繋がった物理的または論理的要素に関連付けられたグラフィックを有し、物理的または論理的要素に関するデータを受信する。グラフィックは、受信したデータに基づいて表示画面上で変更され、例えば、タンク内が半分充填されていることをイラストで示したり、流量センサなどによって測定した流れをイラストで示すようにすることができる。
周知のシステムでは、オペレータは、携帯型または他の可搬式演算装置(例えば、ユーザインターフェース(UI)デバイス)を使って、プロセス制御装置(例えば、コントローラ、フィールドデバイスなど)、回転機器(例えば、モータ、ポンプ、圧縮機、駆動装置)、機械式容器(例えば、タンク、パイプなど)、電力配電装置(例えば、スイッチギヤ、モータ制御センタ)、あるいは、プロセスプラント内の他の設備などを含むことができる、プロセスプラント内のプラント資産に関する構成、トラブルシューティング、キャリブレーション、または実行することができる。例えば、オペレータは、UI装置をフィールドデバイスに物理的に取り付け、そのUI装置を介してフィールドデバイスと通信してもよい。しかし、UI装置は、例えば、ログイン情報を入力するなどの認証要求は備えていない。結果として、プロセスプラント内の誰もがUI装置を獲得でき、プラント資産を変更できる。これにより権限のない者がプロセスプラント内のいずれかのプラント資産にアクセスすることができる。
UI装置は、二要素認証を行って、ユーザがUI装置にアクセスし、プロセス制御装置に関する、あるいは、そのUI装置に接続されたプラント資産を行うことができるようにする。さらに具体的には、UI装置は、ユーザを一意的に識別するユーザに対する第1のタイプの識別情報を受取ることができる。第1のタイプの識別情報は、識別装置からのものでもよく、また、ユーザの身体的特徴であってもよい。例えば、UI装置は、近距離通信(NFC)信号のような無線周波数識別(RFID)タグをユーザに属する電子IDカードから受取ってもよい。RFIDタグは、ユーザを一意に識別する従業員ID番号を含んでいてもよい。UI装置は従業員ID番号を保存された従業員ID番号と比較してユーザを確認及び識別してもよい。
さらに、UI装置はユーザ用の第2のタイプの識別情報を受信してもよい。第2のタイプの識別情報は、ユーザが知っている情報である情報に基づいた知識であってもよい。例えば、第2のタイプの識別情報は、ユーザが提供したユーザ名及びパスワードのようなユーザログイン情報であってもよい。ユーザ名及びパスワードは、保存したユーザ名やパスワードの組み合わせと比較して、再度ユーザを確認し識別してもよい。UI装置がRFIDタグに基づいて同じユーザを識別する場合、ユーザは認証され、UI装置へのアクセスが許可される。結果、ユーザは、接続したr個のプラント資産に対する操作を行うことができる。また、別の例では、第2のタイプの識別情報は一意的にユーザを識別するパスコード/個人識別番号(PIN)であってもよい。パスコードは、4桁の数字などの数値のパスワードでも、またはUI装置のスワイプパターンでもよい。
反対に、RFIDタグが保存した従業員ID番号のうちの1つに対応していない場合には、ユーザ名及び/またはパスワードは保存したユーザ名及びパスワードの組み合わせのうちの1つに対応しない、またはRFIDタグ及びユーザのログイン情報は、同じユーザに対応せず、ユーザは、UI装置へのアクセスが拒否される。よって、ユーザは、接続されたプラント資産に対する操作を行うことができない。
いくつかの実施形態では、ユーザ認証に加え、UI装置は、ユーザとUI装置が接続されたプラント資産に関する操作を実行することに対して権限があるどうかを判断する。また、UI装置は、ユーザ及びUI装置に対する権限の程度、例えば、権限を有する時間、ユーザとUI装置が実行の権限を付与された機能、UI装置にライセンスを与えるソフトウェアなどを決定することができる。ユーザが、ユーザがアクセスを許可されていないプラント資産にアクセスしようとすると、UI装置は、ユーザにアクセスが拒否されたことを通知する表示をすることができる。また、UI装置は、権限のないユーザが特定のプラント資産にアクセスしようとしていることを示す通知をサーバに送信してもよい。システム管理者は、通知を表示し、アクションを起こすことができる。例えば、システム管理者は、権限のないユーザに、追加の権限を追加して、その権限のないユーザが特定のプラント資産へのアクセス権を持つようにすることができる。
図1Aは、二要素認証を行うUI装置を含むプロセスプラント内に配置された分散型プロセス制御ネットワークのブロック図である。
図1Bは、図1Aに示されているプロセスプラント内の電子識別カード、UI装置、及び1つまたは複数のプロセス制御装置との間の相互作用の例を示すブロック図である。
図1Cは、図1Aに略図で示すUI装置の例のブロック図である。
図2A~2Bは、二要素認証プロセスの間にUI装置上に示された画面表示の例を示す。 同上。
図3A~3Cは、ユーザの権限レベルを決定するために、サーバによって生成され、UI装置に提供することができるデータテーブルの例を示す。 同上。 同上。
図4は、UI装置上で二要素認証を行うための方法の例示するフロー図である。
図5は、ユーザが特定のプラント資産にアクセスしなければならない権限レベルを決定するための方法を例示するフロー図である。
図6は、アクセス権のセットを生成し、ユーザとUI装置にアクセス権を割り当てるための方法を例示するフロー図である。
図1Aは、プロセス制御システムまたはプロセスプラント10内で作動するプロセス制御ネットワーク100を例示的するブロック図である。プロセス制御ネットワーク100は、他の様々なデバイス間で直接または間接的接続を提供するネットワークバックボーン105を含んでいてもよい。ネットワークバックボーン105に接続されたデバイスは、様々な実施形態において、アクセスポイント72、携帯型も含むUI装置112、サーバ150、コントローラ11、入力/出力(I/O)カード26及び28、有線フィールドデバイス15~22、無線ゲートウェイ35、及び無線通信ネットワーク70の組み合わせを含む。通信ネットワーク70は、無線フィールドデバイス40~46、無線アダプタ52a及び52b、アクセスポイント55a及び55b、及びルータ58を含む無線デバイス40~58を含んでいてもよい。無線アダプタ52a及び52bは、それぞれ、非無線フィールドデバイス48及び50に接続されてもよい。コントローラ11は、プロセッサ30、メモリ32、及び1つまたは複数の制御ルーチン38を含んでいてもよい。図1Aは、ネットワークバックボーン105に接続された装置のいくつかの単一のもののみを示しているが、デバイスのそれぞれは、ネットワークバックボーン105上では、複数のインスタンスを持ちうるものであり、実際、プロセスプラント10は複数のネットワークバックボーン105を含んでいてもよいことは理解できよう。
UI装置112は、ネットワークバックボーン105を介してコントローラ11及び無線ゲートウェイ35に通信可能に接続されてもよい。コントローラ11は、入力/出力(I/O)カード26及び28を介して有線フィールドデバイス15~22に通信可能に接続されてもよいし、ネットワークバックボーン105と無線ゲートウェイ35を介して無線フィールドデバイス40~46に通信可能に接続されてもよい。コントローラ11は、フィールドデバイス15~22及び40~50の少なくとも一部を使用してバッチプロセスまたは連続プロセスを実施するように動作することができる。一例として、Emerson Process Managementによって販売されているDeltaV(商標)コントローラなどのコントローラ11は、プロセス制御ネットワークバックボーン105に通信可能に接続されている。コントローラ11はまた、例えば、標準の4~20mAデバイス、I/Oカード26、28、及び/またはFOUNDATION(登録商標)フィールドバスプロトコル、HART(登録商標)プロトコル、無線HART(登録商標)プロトコルなどのようなスマート通信プロトコルに関連付けられた任意の所望のハードウェア及びソフトウェアを使用してフィールドデバイス15~22及び40~50に通信可能に接続してもよい。図1Aに示す実施形態では、コントローラ11、フィールドデバイス15~22及びI/Oカード26、28は、有線デバイスであり、フィールドデバイス40~46無線フィールドデバイスである。
いくつかの実施形態では、UI装置112は、プロセスプラント内のフィールドデバイス15~22、40~50のいずれかの箇所に搬入できる。UI装置112は、キャリブレーション、構成、トラブルシューティング、監視、制御、またはフィールドデバイス15~22、40~50の他のあらゆる適した操作を行うために一時的に有線及び/または無線接続76を介してフィールドデバイス15~22、40~50に接続してもよい。さらに、UI装置112は、キャリブレーション、構成、トラブルシューティング、監視、制御、またはコントローラ11の他のあらゆる適した操作を行うために一時的に有線及び/または無線接続を介してコントローラ11に接続してもよい。また、UI装置112は、較正、構成、トラブルシューティング、監視、制御、またはプラント資産の他の適した操作のために、一時的に他のプラント資産(例えば、回転機器、機械式容器、電力配電装置など)に接続してもよい。
UI装置112の動作において、UI装置112は、いくつかの実施形態では、UI装置112が、入力インタフェースを介して入力を受け入れ、ディスプレイに出力を提供することができるように、ユーザインターフェース(UI)を実行してもよい。UI装置112は、サーバ150からデータ(例えば、プロセスパラメータ、アクセス権、ログデータ、センサーデータ及び/または他のキャプチャまたは保存可能なデータなどのようなプロセス関連のデータ)を受信することができる。他の実施形態では、UIをサーバ150で全体的または部分的に実行して、サーバ150が表示データをUI装置112に送信してもよい。UI装置112は、UIデータ(表示データ及び許可データを含んでいてもよい)をコントローラ11、無線ゲートウェイ35、またはサーバ150のようなプロセス制御ネットワーク100内の他のノードからバックボーン105を介して受信してもよい。
いくつかの実施形態では、アクセス権は、例えば、システム管理者がサーバ150で生成してもよい。各アクセス権は読み取り専用アクセス、読み取り/書き込みアクセス、キャリブレーション機能のためのアクセス、構成機能のためのアクセスなど、特定のプラント資産へのアクセスのレベルを指定することができる。また、システム管理者は、プロセスプラント内のユーザとUI装置にアクセス権を割り当ててもよい。いくつかの実施形態では、サーバ150は、アクセス権、プロセスプラント内の権限を有するユーザ、プロセスプラント内のUI装置の表示、及びアクセス権、ユーザ、及びUI装置の間の関連付けを保存する1つ以上のデータベースに通信可能に接続してもよい。対応するユーザと各許可に割り当てられたUI装置のアクセス権ならびに表示は、UI装置112に送信できる。
したがって、UI装置112は、ユーザ及び/またはUI装置112に割り当てられたアクセス権を使用して、UI装置112に接続されたプラント資産に対してユーザが有する権限レベルルを決定することができる。本明細書では、ユーザの権限レベルは、プロセスプラント内のプラント資産に対してユーザが有するアクセスの複合レベルを指すこととする。アクセスの複合レベルは、ユーザ及び/またはUI装置112に割り当てられたアクセス権のセットに基づき、各アクセス権は、特定のプラント資産へのアクセスレベルを指定するものでもよい。いくつかの実施形態では、ユーザの権限レベルは、特定のプラント資産に対してユーザが有するアクセスの複合レベルも指すこととする。アクセスの複合レベルは、ユーザ及び/またはUI装置112に割り当てられたアクセス権それぞれに基づき、各アクセス権は、特定のプラント資産へのアクセスレベルを指定するものでもよい。
また、本明細書では、プラント資産は、プロセス制御装置(例えば、コントローラ、フィールドデバイスなど)、回転機器(例えば、モータ、ポンプ、圧縮機、駆動装置)、機械式容器(例えば、タンク、パイプなど)、電力配電装置(例えば、スイッチギヤ、モータ制御センタ)、あるいは、プロセスプラント内の任意の他の設備などを含んでいてもよい。単に例示を容易にするために、明細書では、UI装置がプロセス制御装置に接続されているシナリオを記述する。しかし、UI装置112は、プロセスプラント内の任意のプラント資産に接続することもできる。
UI装置112で受信されたUIデータに基づいて、UI装置112は、ユーザが認証されているかどうか、そしてユーザは、特定のプロセス制御装置または他のプラント資産またはプロセス制御装置または他のプラント資産で実行される機能へのアクセスを許可されているかどうかを示す出力(すなわち、視覚的表現またはグラフィック)を提供する。例えば、UI装置112は、下記に図2Aを参照して後にさらに詳しく説明するように、ユーザに電子IDカードをスキャンするように要求するIDスキャン表示することができる。また、UI装置112は、図2Bを参照して後にさらに詳しく説明するように、ユーザにユーザ名とパスワードまたはパスコード/PIN番号を入力するように要求するユーザログイン画面を表示することもできる。また、ユーザは、UI装置112に入力を提供することによって、プロセスの制御に影響を与えることができる。例示のため、UI装置112は、UI装置112に接続されているプロセス制御装置により測定されたプロセスパラメータを指示することができる。ユーザは、プロセス制御装置によって得られた測定値をキャリブレーションするためにUI装置112とやりとりすることができる。
特定の実施形態では、UI装置112は、シンクライアント、ウェブクライアント、またはシッククライアントなど、どのタイプのクライアントでも実行可能である。例えばUI装置112は、(例えば、ウェアラブルデバイスで)UI装置112のメモリやバッテリー電源に制限がある場合などに、UI装置112の動作に必要な処理の大部分を他のノード、コンピュータ、UI装置、またはサーバに依存し得る。そのような例では、UI装置112は、サーバ150またはその他のUI装置と通信することができ、サーバ150または他のUI装置112は、1つ以上の他のノード(例えば、サーバ)とプロセス制御ネットワーク100上で通信することができ、表示データ、アクセス権データ、及び/またはプロセスデータを決定し、UI装置112に送信することができる。さらに、UI装置112は、サーバ150は、ユーザ入力に関連するデータを処理し、それに応じて動作することができるように、サーバ150に受信したユーザ入力に関連するデータを渡すことができる。換言すれば、UI装置112は、グラフィックスをレンダリングするより多くを行うことができ、1つの以上のノード、またはデータを保存し、UI装置112の動作に必要なルーチンを実行するサーバに対してポータルとして動作することができる。シンクライアントUI装置は、UI装置112のための最低限のハードウェア要件の利点を提供する。
他の実施形態では、UI装置112は、ウェブクライアントである。そのような実施形態では、UI装置112のユーザは、UI装置112にブラウザを介してプロセス制御システムとやりとりすることができる。ブラウザにより、ユーザは、バックボーン105を介して別のノードまたは(サーバ150のような)サーバにおいてデータとリソースにアクセスできるようになる。例えば、ブラウザは、ブラウザが制御及び/または処理の一部または全部を監視するためのグラフィックを描写することができ、そのようなサーバ150から表示データ、アクセス権データ、またはプロセスパラメータデータなどのUIデータを受信することもできる。ブラウザはまた、ユーザ入力(例えば、グラフィック上でのマウスクリック)を受信することができる。ユーザが入力することにより、ブラウザがサーバ150に保存された情報リソースを取得する、または情報リソースにアクセスする。例えば、マウスクリックにより、ブラウザが(サーバ150から)クリックしたグラフィックが含む情報を取得して表示する。
さらに他の実施形態では、UI装置112の処理の大部分は、UI装置112で行われてもよい。例えば、UI装置112は、ユーザの権限レベルを決定してもよい。UI装置112はまた、データをローカルに保存、アクセス、分析できる。
本明細書では、ユーザは、UI装置112とやりとりすることによって、フィールドデバイス15~22、40~50、コントローラ11、回転機器(例えば、モータ、ポンプ、圧縮機、駆動装置)、機械式容器(例えば、タンク、パイプなど)、電力配電装置(例えば、スイッチギヤ、モータ制御センタ)、あるいは、プロセスプラント内の他の任意の設備などのいずれかのようなプロセス制御ネットワーク100の1つ以上のプラント資産を監視、構成、トラブルシューティング、キャリブレーションまたは制御してもよい。また、ユーザはUI装置112とやりとりして、例えば、コントローラ11に保存された制御ルーチンに関連付けられたパラメータを変更または変化させてもよい。コントローラ11のプロセッサ30は、制御ループを含み得る1つ以上のプロセス制御ルーチン(メモリ32内に保存)を実行または監視する。ロセッサ30は、フィールドデバイス15~22及び40~50、及びバックボーン105に通信可能に接続された他のノードと通信することができる。本明細書に記載の任意の制御ルーチンまたはモジュール(品質予測及び不良検出モジュールまたは機能ブロックを含む)は、そのほうが好ましければ、その一部を別のコントローラまたは他のデバイスで実行または実施することができるものとする。同様に、本命最初に記載の制御ルーチンまたはモジュールは、プロセス制御システム内で実行されるべきものであり、ソフトウェア、ファームウェア、ハードウェアなどを含むいかなる形態でもよい。制御ルーチンは、オブジェクト指向プログラミング、ラダー論理、シーケンシャルファンクションチャート、機能ブロック図、電子デバイス記述言語(EDDL)、フィールドデバイスの統合(FDI)を使用して、または任意の他のソフトウェアプログラミング言語またはデザインパラダイムを使用して、任意の所望のソフトウェア形式で実行することができる。特に、制御ルーチンは、UI装置112を介してユーザによって実行するものでもよい。制御ルーチンは、ランダムアクセスメモリ(RAM)または読み出し専用メモリ(ROM)のような、任意の所望の種類のメモリに保存されてもよい。同様に、制御ルーチンは、例えば、1つ以上のEPROM、EEPROM、特定用途向け集積回路(ASIC)、または任意の他のハードウェアまたはファームウェア要素をハードコードしてもよい。従って、コントローラ11は、任意の所望の方法で制御戦略または制御ルーチンを実行するために(特定の実施形態においては、ユーザによって、UI装置112を用いて)構成することができる。制御ルーチンに加えて、UI装置112は、コントローラ11とやりとりをして他の機能を実施したり、他のタイプのデータを送信/受信する。
図1Aをさらに参照すると、無線フィールドデバイス40~46は、無線HARTプロトコルのような無線プロトコルを用いて無線ネットワーク70で通信する。特定の実施形態では、UI装置112は、無線ネットワーク70を使用して無線フィールドデバイス40~46と通信することができるように構成してもよい。このような無線フィールドデバイス40~46は、直接(例えば、無線プロトコルを使用して)無線で通信できるようにも構成されるプロセス制御ネットワーク100の1つ以上の他のノードと通信することができる。無線で通信するように構成されていない1つ以上の他のノードと通信するため、無線フィールドデバイス40~46は、バックボーン105に接続された無線ゲートウェイ35を利用することができる。もちろん、フィールドデバイス15~22及び40~46は、任意の他の所望の規格(単数または複数)または将来開発される任意の規格またはプロトコルを含む、任意の有線または無線プロトコルなどのプロトコルに準拠してもよい。
無線ゲートウェイ35は、無線通信ネットワーク70の様々な無線デバイス40~58へのアクセスを提供することができるプロバイダ装置110の一例である。特に、無線ゲートウェイ35は、無線デバイス40~58と、(図1Aのコントローラ11を含む)プロセス制御ネットワーク100の他のノードとの間の通信接続を提供する。無線ゲートウェイ35は、有線及び無線プロトコルスタックの層(例えば、アドレス変換、ルーティング、パケットの分割、優先順位付け、等)を下げるために、場合によっては、共有の層または有線及び無線プロトコルスタックの層をトンネリングしながら、ルーティング、バッファリング、及びタイミングサービスによって、通信接続を提供する。他の場合には、無線ゲートウェイ35は、任意のプロトコル層を共有しない有線及び無線プロトコル間でコマンドを変換することができる。
有線フィールドデバイス15~22と同様に、無線ネットワーク70の無線フィールドデバイス40~46は、プロセスプラント10内で物理的制御機能(例えば、バルブの開閉やプロセスパラメータの測定)を実行することができる。しかしながら、無線フィールドデバイス40~46は、ネットワーク70の無線プロトコルを用いて通信するように構成されている。このように、無線フィールドデバイス40~46、無線ゲートウェイ、及び無線ネットワーク70のその他の無線ノード52~58は、無線通信パケットの生産者と消費者である。
いくつかのシナリオでは、無線ネットワーク70は、非無線デバイスを含んでいてもよい。例えば、図1Aのフィールドデバイス48は、従来の4~20mAデバイス及びフィールドデバイス50は、従来の有線HARTデバイスであってもよい。ネットワーク70内で通信するために、フィールドデバイス48及び50は、無線アダプタ(WA)52a、または52bを介して無線通信ネットワーク70に接続されてもよい。また、無線アダプタ部52a、52bは、Foundation(登録商標)はフィールドバス、PROFIBUS、DeviceNet等のような他の通信プロトコルをサポートすることができる。さらに、無線ネットワーク70は、無線ゲートウェイ35との有線通信における別個の物理デバイスであってもよいし、一体装置として無線ゲートウェイ35が設けられていてもよいし、1つ以上のネットワークアクセスポイント55a、55bを含んでいてもよい。無線ネットワーク70は、無線通信ネットワーク70内の1つの無線デバイスから別の無線デバイスにパケットを転送するために、1つ以上のルータ58を含むこともできる。無線デバイス32~46と52~58は、互いに、そして無線ゲートウェイ35と無線通信ネットワーク70の無線リンク60上で通信することができる。
特定の実施形態では、プロセス制御ネットワーク100は他の無線プロトコルを使って通信するネットワークバックボーン105に接続された他のノードを含んでいてもよい。例えば、プロセス制御ネットワーク100は、WiFiまたは他のIEEE802.11準拠の無線ローカルエリアネットワークプロトコルのような他の無線プロトコルを利用する1つ以上の無線アクセスポイント72、WiMAX(マイクロ波アクセスのための世界的相互運用性)、LTE(ロングタームエボリューション)、または他のITU-R(国際電気通信連合無線通信部門)互換プロトコルのようなモバイル通信プロトコル、NFCやBluetooth(登録商標)、または他の無線通信プロトコルのような短波長の無線通信などを含んでいてもよい。一般的には、このような無線アクセスポイント72により、携帯型または他のポータブル演算装置(例えば、UI装置)が無線ネットワーク70とは異なり、無線ネットワーク70とは異なる無線プロトコルをサポートしているそれぞれの無線ネットワーク上で通信することができるようになる。例えば、UI装置は、ユーザがプロセスプラント内で使用するモバイルワークステーションまたは診断テスト機器でもよい。いくつかの実施形態では、UI装置112は、無線アクセスポイント72を使ってプロセス制御ネットワーク100上で通信する。いくつかのシナリオでは、可搬式演算装置に加え、1つ以上のプロセス制御装置(例えば、コントローラ11、フィールドデバイス15~22、または無線デバイス35、40~58)もアクセスポイント72によってサポートされた無線ネットワークを使って通信することができる。
図1Aには、有限数のフィールドデバイス15~22、40~50を有する単一のコントローラ11を示すが、これは例示に過ぎず、限定することのない実施形態である。プロセス制御ネットワーク100のプロバイダ装置に含まれるコントローラ11の数は、いくつでもよく、どのコントローラ11も、何台の有線または無線フィールドデバイス15~22、40~50と通信してプラント10のプロセスを制御してもよい。さらに、プロセスプラント10は、何台の無線ゲートウェイ35、ルータ58、アクセスポイント55、72、及び/または無線通信ネットワーク70を含んでいてもよい。
二要素認証を行うため、UI装置112は複数のタイプの識別をユーザから受取る。さらに具体的には、UI装置112は、物理的、または固有の識別情報を識別装置(例えば、電子IDカード、社会保険カード、免許証など)、またはユーザデバイスの身体的特徴(例えば、指紋、網膜像など)から第1のタイプの識別情報として受取ってもよい。UI装置112はまた、第2のタイプの識別情報としてユーザが知る知識ベースの識別情報(例えば、ユーザ名とパスワード、電子メールアドレス、生年月日、セキュリティの質問に答え、パスコード/PIN番号、など)を受信することができる。
図1Bは、UI装置112と、電子IDカード110と1つまたは複数のプロセス制御装置11、15、42、回転機器(例えば、モータ、ポンプ、圧縮機、駆動装置)、機械式容器(例えば、タンク、パイプなど)、電力配電装置(例えば、スイッチギヤ、モータ制御センタ)、あるいは、任意の他の設備(例えば、スイッチギヤ、モータ制御センタ、など)またはその他のプラント資産の間の例示の相互作用を示すブロック図である。上述したように、ユーザは、UI装置112を、プロセス制御装置11、15、42の1つに接続して、接続したプロセス制御装置上で監視、制御、構成、トラブルシューティング、キャリブレーション、または任意の他の操作の実行を行うことができる。
いずれの場合も、ユーザが接続したプロセス制御装置で操作を行うことが出来るようになる前に、UI装置112は、二要素認証を使ってユーザを認証し、ユーザが接続したプロセス制御装置にアクセス権があるかどうかを判定する。接続したプロセス制御装置がコントローラ11である場合、UI装置112はユーザが、コントローラ11によって制御されたフィールドデバイスに対してアクセス権があるかどうかを判定することができる。いくつかの実施形態では、ユーザは、ユーザがコントローラ11によって制御されたフィールドデバイスのそれぞれにアクセスできない限り、コントローラ11にアクセスできない場合もある。
電子IDカード110は、表面に識別情報、例えば従業員の写真、従業員の名前などのIDが印刷された従業員バッジでもよい。電子IDカード110は、RFIDまたはNFC信号のような電子信号を伝達するチップを埋め込んだものでもよい。埋め込みチップには、従業員の識別情報、例えば、プロセスプラントの中の従業員を一意的に識別する従業員ID番号、従業員のジョブ機能の識別、従業員の名前、または他の適した情報を有するタグ114を含んでいてもよい。
UI装置112は、電子データを送受信するための通信ユニットを含む。通信ユニットは、RFIDまたはNFC信号を受信し、復号するRFIDリーダまたはNFCリーダを含んでいてもよい。よって、ユーザはその電子IDカード110をUI装置112のRFIDまたはNFC通信範囲(例えば、1インチ、3インチ、6インチ、1フィート、3フィートなど)に載置することによって第1のタイプの識別情報をUI装置112に提供してもよい。図2Aは、電子IDカード110をスキャンするためのUI装置112上で提示できる例示のスクリーンディスプレイ200を示す図である。例示のスクリーンディスプレイ200は、ユーザに対して自分の電子IDカード110をスキャンするようにとの要求210と、UI装置112が電子IDカード110からRFIDタグを受信したかどうかの識別を含んでいてもよい。例えば、識別は、RFIDタグを受取ったときには緑色の背景色で、RFIDタグを受取っていないときには赤い背景色でもよい。また別の例では、識別は、RFIDタグを受取ったときUI装置112からビーという音またはその他の音を発するものでもよい。これにより、ユーザが自分の電子IDカード110をUI装置112の通信範囲に載置すると、RFIDタグ114がUI装置112に伝達される。すると、UI装置112は、RFIDタグが受取ったIDを表示する。別の実施形態では、UI装置112は、RFIDタグ内の識別情報が認証された後にRFIDタグが受信したIDを表示する。
いくつかの実施形態では、UI装置112は権限を有するユーザのIDと、アクセス権を有するユーザのユーザ/従業員ID番号を保存してもよい。UI装置112は、受信した信号に含まれるユーザ/従業員IDを、権限を有するユーザのIDと比較してユーザを認証してもよい。他の実施形態では、UI装置112はユーザ/従業員IDをサーバ150に伝送して、サーバ150に比較を実行させてもよい。いずれの場合も、ユーザ/従業員IDは権限を有するユーザのIDのユーザ/従業員IDのうちの1つと一致し、UI装置112は第2のタイプの識別情報に対するユーザへの要求を表示してもよい。
例えば、UI装置112は、ユーザに対してユーザ名とパスワードなどのユーザログイン情報を入力するように要求してもよい。図2Bは、ユーザログイン情報を提供するための、別のスクリーンディスプレイ250の例を示す。スクリーンディスプレイ250は、ユーザ名を入力するためのテキストフィールド260と、パスワードを入力するためのテキストフィールド270と、ログインボタン280を含む。よって、ユーザは、ユーザ名とパスワードをUI装置112上のソフトウェアキーボード表示またはUI装置112に取り付けられたハードウェアキーボードを使ってテキストフィールド260,270に入力してもよい。他の実施形態では、スクリーンディスプレイ250は、パスコード/PIN番号を入力するためのテキストフィールドを含む。いくつかの実施形態では、UI装置112は、ユーザの第1のタイプの識別情報を認証後にスクリーンディスプレイ250を提示してもよい。
第1のタイプの識別情報に類似して、ユーザがログインボタン280を選択すると、UI装置112はユーザ名とパスワードを比較してユーザのログイン情報を権限を有するユーザに対して保存する。別の実施形態では、UI装置112はユーザ名とパスワードをサーバ150に送って、サーバ150に比較を行わせてもよい。ユーザ名とパスワードがユーザ/従業員IDと同じユーザに対してユーザログイン情報と一致すると、UI装置112はユーザを認証する。その結果、ユーザは、UI装置112のアクセスが許可され、それにより、接続したプロセス制御装置または他のプラント資産に対する操作を行うことができるようになる。
2つのタイプの識別情報がRFIDタグとユーザログイン情報として記述されているが、これらは識別情報の説明上のものにすぎない。第1のタイプの識別情報は、物理的または固有の識別情報のいかなる適したタイプでもよく、また、第2のタイプの識別情報はユーザが提供するいかなる適したタイプのナリッジベースの情報でもよい。さらに、あらゆる適したタイプの識別情報を二要素認証プロセスにおける第1と第2のタイプの識別情報に対して使用してもよい。
図1Cは、例示のUI装置112のブロック図である。UI装置112は、携帯型デバイスであってもよい。UI装置112は、ディスプレイ84、1つ以上のプロセッサまたはCPU88,メモリ52、ランダムアクセスメモリ(RAM)90,入力/出力(I/O)回路92、及び通信ユニット86を備え、ローカルエリアネットワーク、ワイドエリアネットワーク、またはその他の適したネットワークを介してデータを送受信する。通信ユニット86はNFCまたはRFIDリーダ98を備え、NFCまたはRFID信号を受信及び復号してもよい。UI装置112は、コントローラ11、サーバ150及び/または任意の他の適した演算装置と通信することができる。I/O回路92は、UI装置112をコントローラ11、フィールドデバイス15~22、40~50、または他のプラント資産を物理的に取り付けるための外部コネクタなどの一体通信コンポーネントを含んでいてもよい。外部コネクタは、特定のコントローラ11、フィールドデバイス15~22、40~50、または他のプラント資産と通信することができる一体I/O機能を含んでいてもよい。このように、UI装置112は特定のコントローラ11、フィールドデバイス15~22、40~50、またはUI装置112に接続する他プラント資産と一体化されてもよい。
メモリ52はオペレーティングシステム78、ディスプレイ88を制御してプロセス制御装置または他のプラント資産と通信するコントロールユニット94、及びユーザを認証し、そのユーザの権限レベルを判定する認証/権限付与モジュール96とを含んでいてもよい。いくつかの実施形態では、認証/権限付与モジュール96はユーザが接続されたプラント資産へのアクセス権を有するかどうか、並びにユーザが接続されたプラント資産上で実行の権限を有する操作のタイプを判定する。一度ユーザが特定の機能を実行して接続されたプラント資産(例えば、構成機能)上で操作を行う権限を有すると判定されると、コントロールユニット94はユーザから入力を受信すること、接続されたプラント資産からの出力を表示すること、そして接続されたプラント資産と通信して接続されたプラント資産の設定を調整することによって、接続されたプラント資産の構成を制御してもよい。
さらに、UI装置112は、UI装置112を、特定の設備資産の近くのような可燃性及び/または爆発性雰囲気を有する危険区域で、その危険区域から退避する必要なく使用できるように、本質的に安全とすることができる。好ましくは、UI装置112は、例えば、ファクトリー・ミューチュアル・リサーチ社、カナダ規格協会、国際電気標準会議、ATEXディレクティブ及び/または同様の安全基準準拠することによって本質的安全に対する基準を満たす。UI装置112は、本質的に安全である、すなわち、例えば、ANSI/NEC分類システムによるクラスI、ディビジョン1領域あるいは、可燃性または爆発性の雰囲気の類似した領域のような危険領域で使用しても安全であると認定することができる。
例えば、UI装置112は安全及び危険領域の両方で使用するのに適した保護筐体を含んでいてもよい。さらに、UI装置112で利用可能な総エネルギー量は、爆発性雰囲気に点火するのに十分な閾値以下でもよい。エネルギーは、電気(例えばスパークの形態)または熱(例えば暑い表面の形態)でもよい。例えば、UI装置112の内部の電圧は、閾値(例えば29V)未満でよく、UI装置112を通って流れる電流は、閾値(例えば300mA)未満でもよく、UI装置112のいずれかの回路または回路コンポーネントに関連付けられた電力は、閾値ワット数(例えば1.3W)以下でもよい。UI装置112は、コンポーネントの不具合によってこれらのエネルギーの限度を超えることが無いように保証するために、1つ以上の組み込み冗長性(例えば、自動遮断、冗長構成要素など)を含んでいてもよい。
ユーザとUI装置にプロセス制御装置または他のプラント資産へのアクセス権を与えるために、サーバ150は、特定のプロセス制御装置または他のプラント資産へのアクセスのレベルを指定するアクセス権を生成する。例えば、第1のアクセス権により、デバイスからデータを読み取って、監視機能を実行するためのフィールドデバイスAへのアクセスを許可してもよい。第2のアクセス権により、デバイスへのデータの読み書きを行ってキャリブレーションや構成機能を実行するためのフィールドデバイスBへのアクセスを許可してもよい。さらに、第2のアクセス権は、時間(例えば1時間)と、ユーザがプロセス制御装置にアクセスできるプラント領域を指定してもよい。いくつかの実施形態では、システム管理者はサーバ150と相互作用してアクセス権を生成してもよい。
アクセス権を生成することに加え、サーバ150は、1人もしくは数人のユーザと、1つもしくは数台のUI装置に各アクセス権を割り当ててもよい。例えば、システム管理者はプロセスプラントにおいて、第1のサブセットのユーザと第1のサブセットのUI装置に第1のアクセス権を与えてもよい。いくつかのシナリオでは、同じアクセス権を付与された各ユーザは、プロセスプラントと同一または類似のジョブ機能を有していてもよい。例えば、プロセスプラントにおけるメンテナンス技術者の各々は、同一のアクセス権を割り当てることができる。いくつかの実施形態では、アクセス権の表示、プロセスプラント内のユーザ、プロセスプラント内のUI装置、及び権限、ユーザ及びUI装置の間の関連付けは、サーバ150に通信可能に接続された1つ以上のデータベースに保存してもよい。
図3A~3Cは、サーバ150によって生成され、1つ以上のデータベースに保存されたデータテーブルの例を示す。例示的なデータテーブルは、例示の目的のみのために示されたものであり、関連する機能は、任意の適切な形式及び/または、生成、保存、及びアクセス許可、ユーザ、及びUIの間のアクセス権、ユーザ、UI装置、及び関連付けを検索するための設計を使用して実行することができる。したがって、権限、ユーザ、及びUI装置間のアクセス権との関連付けは、生成され、保存され、そして任意の適切な方法で検索することができる。さらに、各データテーブルは、いくつかのエントリを含むが、これは単に説明を容易にするためである。各データテーブルは、数十、数百、数千、またはデータ項目の任意の適切な数を含んでいてもよい。
図3Aは、いくつかのアクセス権の表示を含む例示の権限データテーブル300を示す図である。各権限は、一意的にアクセス権を識別するアクセス権ID302を含んでいてもよい。各アクセス権は、アクセス権(例えば、フィールドデバイスA、フィールドデバイスB)及びアクセス権306に対するアクセスのタイプ(例えば読み取り専用、読み書きなど)を介してアクセス可能なプラント資産304に対する一意的な識別子を含んでいてもよい。さらに、アクセスの権利が与えられたプラントの領域308を含んでいてもよい(例えば、プラント領域A、プラント領域B)。領域は、プロセスプラント内の特別な部屋であってもよく、特定のプラント資産の位置の周りの閾値半径を用いて決定してもよく、プロセスプラント内の建物でもよく、また任意の他の適した領域でもよい。このようにして、ユーザは、ユーザがプラント資産に近接している場合にのみ特別なプラント資産にアクセスしてもよい。いくつかのアクセス権は、すべての領域に対するアクセスが許可されたことを示してもよい。いくつかの実施形態では、アクセス権は、アクセス権を介してアクセス可能なプラント資産304に対する一意的な識別子を含んでいなくともよく、代わりにそのアクセス権はプラント領域308内のすべてのプラント資産に対するアクセスを提供してもよい。
さらに、アクセス権には、ユーザが実行して対応するプラント資産に対する操作を行うことができる機能310を含んでいてもよい(例えば、構成、キャリブレーション、トラブルシューティング、監視、制御)。いくつかの実施形態では、機能はアクセス権306に含まれるアクセスのタイプに基づくものでもよい。例えば、アクセス権を読み取り専用のアクセスとし、ユーザがプラント資産に対して書き込みを要求する構成機能を実行できないようにすることもできる。機能はユーザが制御するUI装置112上のソフトウェアアプリケーションであっても、ソフトウェアアプリケーションの機能であってもよい。例えば、アクセス権は、UI装置112が特定のプラント資産に接続されたときにユーザがUI装置112上でどのソフトウェアアプリケーションにアクセスできるかということを指定することができる。このアクセス権は、特定のソフトウェアアプリケーションを使ってどの機能がユーザからアクセス可能かを指定することもできる。いくつかのアクセス権は、すべての機能に対するアクセスが許可されたことを示してもよい。
さらに、各アクセス権は、対応するプラント資産にアクセスできる時間長312を含んでいてもよい。時間長は、無限でもよいし、またはアクセスに対する閾値時間を含んでいてもよい(例えば、30分、1時間、3時間など)。このようにしてユーザはプラント資産へ閾値時間の間アクセスすることができ、時間切れとなった場合には、ユーザは、プラント資産と相互通信を続けることができなくなるようにしてもよい。
例示の権限データテーブル300は、アクセス権ID302、デバイス304、アクセスタイプ306、プラント領域308、機能310、及び時間長312を含む一方、データフィールド、追加の、あるいはより少ない、あるいは別のデータフィールドがそれぞれのアクセス権に含まれていてもよい。いくつかの実施形態では、アクセス権は、システム管理者がサーバ150上のユーザインターフェースを介して生成してもよい。
アクセス権を生成することに加え、サーバ150は、プロセスプラントのユーザとUI装置にアクセス権を割り当ててもよい。アクセス権を割り当てられたユーザはプラント資産あるいは、UI装置を使ったときにアクセス権内に含まれるプラント領域内のプラント資産のグループへのアクセスを許可されてもよい。いくつかの実施形態では、UI装置もUI装置を使用するときにプラント資産にアクセスするユーザのためにプラント資産へのアクセスの提供を必要とする場合もある。他の実施形態では、ユーザとUI装置のいずれか一方が、プラント資産へのアクセス権を得た場合には、ユーザは、UI装置を介してプラント資産にアクセスできる。
いずれの場合も、図3Bは、プロセスプラントで働く数人のユーザの指示を含むユーザデータテーブル330の例を示す。ユーザデータテーブル300は、各ユーザに対するユーザプロファイルを生成するために使用することができる。各ユーザは、一意的にユーザ(例えば、0001、0002、0003、XXY、AACなど)を識別するユーザID332を有することができる。各ユーザは、(例えば、構成エンジニア、メンテナンス技術者、等)、プロセスプラント内の関連するジョブ機能334を有していてもよい。
ユーザのグループを、セキュリティグループ336に割り当てることができ、そのセキュリティグループのメンバーの各々には、同じアクセス権を割り当てることができる。例えば、第1のセキュリティグループは、アクセス権1~4を含んでいてもよい。ユーザが第1のセキュリティグループに割り当てられている場合、そのユーザは、自動的にアクセス権1~4のそれぞれに割り当てられる。このようにして、システム管理者は個々に同じセットのアクセス権をいくつかのユーザに割り当てる必要がない。
このシステム管理者はアクセス権をサーバ150のユーザインターフェースを介してセキュリティグループに割り当ててもよい。たとえば、システム管理者は、以前にセキュリティグループに割り当てられたアクセス権の指示を見ることができ、また、セキュリティグループ(例えば、アクセス権ID)に割り当てられる新しいアクセス権の識別子を入力し、いくつかのアクセス権の許可をドロップダウンメニューから選択し、または他の任意の適切な方法で、セキュリティグループにアクセス権を割り当ててもよい。
いくつかの実施形態では、セキュリティグループのメンバーは、このようなプロセスプラント内の同じジョブ機能や役割などのプロセスプラント内の共通の属性を共有するユーザを含んでいてもよい。例えば、第1のセキュリティグループは構成エンジニアのためであり、第2のセキュリティグループは、メンテナンス技術者のためであり、第3のセキュリティグループは、プラントオペレータ、等のためであってもよい。さらに、ユーザは複数のセキュリティグループに割り振られるか、様々なセキュリティグループへの一時的なアクセスを提供することができる。例えば、ユーザが一時的に自分の通常のジョブ機能以外の追加の職務を実行しなければならない時、ユーザは、自分の通常のジョブ機能のセキュリティグループに割り当てられている一方で、ユーザは、追加のジョブ機能のための別のセキュリティグループに割り振ることもできる。
いくつかの実施形態では、ユーザは自動的にユーザのジョブ機能に基づいてセキュリティグループに割り当てられる。他の実施形態では、システム管理者は、サーバ150上のユーザインターフェースを介してセキュリティグループにユーザを割り当てる。例えば、システム管理者は、ユーザのユーザプロファイルを表示することができ、セキュリティグループの識別子を入力し、ドロップダウンメニューでいくつかのセキュリティグループからセキュリティグループを選択し、または任意の他の適した方法でセキュリティグループにユーザを割り当ててもよい。
ユーザデータテーブル330は、各ユーザに割り当てられているアクセス権338の表示を含んでいてもよい。いくつかの実施形態では、ユーザに割り当てられたアクセス許可は、ユーザのセキュリティグループに割り当てられたアクセス権に対応していてもよい。ユーザがセキュリティグループに属していない場合、またはセキュリティグループに割り当てられたアクセス権に加えて、アクセス権の指示は、個々にユーザに割り当てられたアクセス権を含んでいてもよい。
このシステム管理者はアクセス権をサーバ150のユーザインターフェースを介してユーザに割り当ててもよい。例えば、システム管理者は、ユーザのユーザプロファイルを表示することができ、アクセス権(例えば、アクセス権ID)に対する識別子を入力し、ドロップダウンメニューでいくつかのアクセス権からアクセス権を選択し、またはユーザにアクセス権を任意の他の適した方法で割り当ててもよい。
例示のユーザデータテーブル330には、ユーザID332、ジョブ機能334、セキュリティグループ336、及びアクセス権338を含む一方、データフィールド、追加の、あるいはより少ない、あるいは別のデータフィールドがそれぞれのユーザに含まれていてもよい。例えば、ユーザデータテーブル330も、出生データフィールド、自宅の住所データフィールド、作業開始日データフィールド、ユーザ名とパスワードデータフィールドなどを含むことができる。
図3Cは、プロセスプラント内のUI装置の指示を含むUI装置データテーブル360の例を示す。各UI装置は、一意的にUI装置(例えばUI01,UI02,UI03,XXX,BBZなど)を識別するUI装置ID362を有していてもよい。UI装置データテーブル360は、各UI装置に割り当てられているアクセス権364の表示を含んでいてもよい。
このシステム管理者はアクセス権をサーバ150のユーザインターフェースを介してUI装置に割り当ててもよい。例えば、システム管理者は、UI装置のプロファイルを表示することができ、アクセス権(例えば、アクセス権ID)に対する識別子を入力し、ドロップダウンメニューでいくつかのアクセス権からアクセス権を選択し、またはUI装置にアクセス権を任意の適した方法で割り当ててもよい。
UI装置に割り当てられたアクセス権に加えて、各UI装置は、ライセンス機能366またはライセンスされたソフトウェアを有していてもよい。例えば、プロセスプラントは、他のUI装置にライセンスを取得することなく、1つのUI装置上のソフトウェアアプリケーション用ライセンスを取得してもよい。したがって、UI装置にある機能を実行するアクセス権が、UI装置に割り当てられたアクセス権によってシステム管理者から与えられていても、UI装置に機能のライセンスが与えられていない場合は、UI装置はその機能を実行することができない。例えば、UI装置UI01は、フィールドデバイスAにキャリブレーション機能を実行するためのアクセス権をUIデバイスUI101に付与する、アクセス権1を割り当てられている。しかし、UI装置UI01ためのライセンス機能366によると、UI装置UI01は、キャリブレーション機能を実行するためのライセンスは付与されていない(例えば、キャリブレーションソフトウェアは、UI装置UI01上ではライセンスされていない)。よって、UI装置UI01は、フィールドデバイスAをキャリブレートするキャリブレーションソフトウェアを動作させることはない。
例示のUI装置データテーブル360には、UI装置ID362、アクセス権364、及びライセンスを与えられた機能366が含まれている一方、データフィールド、追加の、あるいはより少ない、あるいは別のデータフィールドがそれぞれのUI装置に含まれていてもよい。例えば、UI装置データテーブル360は、使用されていない時にUI装置が保存されているプロセスプラント内の位置を示す位置データフィールドも含むことができる。さらに、UI装置データテーブル360は、UI装置の製造元とモデル、UI装置用のシステム情報などを含んでいてもよい。さらに、UI装置データテーブル360は、UI装置は、ライセンスされた機能366の1つとして、特定の機能を実行するための適切なハードウェア/ソフトウェアを含むか否かを決定するため、UI装置上のハードウェア/ソフトウェアモジュールの表示を含んでいてもよい。
いくつかの実施形態では、サーバ150は、図3A~3Cに示すようなデータテーブル300、330、360のそれぞれからデータをプロセスプラントのUI装置に送信してもよい。ユーザがUI装置の一つにアクセスしようとしたとき、上述のように、UI装置は、ユーザの二要素認証を行う。ユーザが認証されると、UI装置は、送信されたデータを使用するユーザの権限レベルを決定することができる。また、いくつかの実施形態では、サーバ150は、ユーザの電子IDカードにユーザデータテーブル330からユーザに対応するデータを送信してもよい。このように、電子IDカード内のRFIDタグは、ユーザに割り当てられているアクセス権のセットを含んでいてもよい。
例えば、UI装置がプロセス制御装置または他のプラント資産に接続されている場合、UI装置は、プロセス制御装置または他のプラント資産を一意的に識別するデバイスIDとして、識別子を受信することができる(例えば、フィールドデバイスA、フィールドデバイスB、など)。いくつかの実施形態では、UI装置(例えば、RFIDタグまたはユーザ名とパスワードを介して)二要素認証プロセス中にユーザのユーザIDを取得してもよい。UI装置は、メモリにそのUIデバイスIDを保存してもよい。次に、UI装置が取得したユーザIDとUIデバイスIDを使用して、それぞれ、ユーザデータテーブル330とUI装置データテーブル360からユーザ及びUI装置のためのアクセス権のセットを取り出すことができる。他の実施形態では、サーバ150は、ユーザ及び/またはUI装置に割り当てられているアクセス権のセットをUI装置からユーザID及びUIデバイスIDを受信し、送信することができる。さらに他の実施形態において、RFIDタグは、ユーザのアクセス権のセットを含んでいてもよい。UI装置は、二要素認証プロセス中にRFIDタグを介してユーザのユーザIDを取得すると、RFIDタグは、ユーザのアクセス権のセットを送信することができる。
いずれの場合も、UI装置は、ユーザ及び/またはUI装置及びそのUI装置に接続されたプロセス制御装置または他のプラント資産へのアクセスレベルを指定するために割り当てられているアクセス権を識別することができる。いずれのアクセス権が接続されたプラント資産へのアクセスレベルを指定しない場合、UI装置は、ユーザが接続されたプラント資産へのアクセスを有していないと判断する。したがって、UI装置は、ユーザが接続されたプラント資産と通信することを許可しない。いくつかの実施形態では、UI装置は、ユーザが接続されたプラント資産へのアクセスを拒否されたことを示すユーザインターフェースを介してメッセージを表示することができる。メッセージは、ユーザが何故アクセスを拒否されたか(例えば、ユーザはプラント資産にアクセスするアクセス権限がない、UI装置は、プラント資産にアクセスするアクセス権を持っていない、またはユーザとUI装置の両方がプラント資産にアクセスするアクセス権がない、など)の説明を提供することができる。また、メッセージはこのようなプラント資産へアクセスするアクセス権を持つUI装置を取得するための命令、またはシステム管理者に連絡するための手順として、プラント資産へのアクセスを獲得するための指示を提供することができる。
一方、1つ以上のアクセス権が、接続されたプラント資産へのアクセスレベルを指定する場合、UI装置は、ユーザ及び/またはUI装置が有するアクセスのタイプと、ユーザ及び/またはUI装置が実行を許可されている機能を決定する。UI装置は、ユーザが接続されたプラント資産へのアクセスを有する領域を識別することができる。いくつかの実施形態では、UI装置は、全地球測位システム(GPS)のように、位置決めセンサを介してその位置を決定してもよい。他の実施形態では、サーバ150は、各プラント資産の位置の表示を保存することができる。UI装置は、サーバ150から接続されたプラント資産の位置を取得することができるか、接続されたプラント資産の位置を決定するための各プラント資産の位置の指標を得ることができる。UI装置は、その位置を接続されたプラント資産の位置として決定してもよい。UI装置は、位置が、ユーザが接続されたプラント資産へのアクセスを有している領域内にあるかどうかを判断することができる。さらに、UI装置は、アクセスするための時間長を識別し、定期的に現在時刻とアクセス開始時間との差と時間長とを比較してもよい。
ユーザが、接続されたプラント資産に対する操作を実行するためにUI装置上の特定の機能(例えば、ソフトウェアアプリケーションまたはソフトウェアアプリケーションの機能)を実行しようとすると、UI装置は、ユーザが機能にアクセスすることを許可されているか否かを判断する。さらに、UI装置は、機能がUI装置上でライセンスされているかどうかを判定する。さらに加えて、UI装置はUI装置が機能を実行するための適切なハードウェア/ソフトウェアを含むか否か、及び/または接続されたプラント資産が実行される機能に対応する動作を実行するための適切なハードウェア/ソフトウェアを含むか否かを判定する。例えば、UI装置は、プロセス制御装置に接続したとき、UI装置は、プロセス制御装置が特定の動作を実行するための適切なハードウェア/ソフトウェアを含むかどうかを決定するためのプロセス制御装置上のハードウェア/ソフトウェアモジュールの指示を受信することができる。
ユーザが機能にアクセスすることを許可されており、その機能は、UI装置上にライセンスされ、UI装置/接続されたプラント資産が、UI装置の機能を実行し、実行される機能に対応する動作を行うための適切なハードウェア/ソフトウェアを有する場合には、UI装置は、接続されたプラント資産に対する操作を行う機能を実行してもよい。一方、ユーザは、接続されたプラント資産とやりとりする際にその機能へのアクセスが許可されておらず、その機能がUI装置上でライセンスされておらず、あるいは、UI装置/接続されたプラント資産が機能を実行し操作を行うための適切なハードウェア/ソフトウェアを有していない場合は、UI装置は、ユーザが機能にアクセスできないことを示すメッセージを表示してもよい。別の実施形態では、ユーザがUI装置に特定の機能を実行しようとしたときに、UI装置がサーバ150に機能の指示を送信してもよい。サーバ150は、ユーザがユーザのユーザID、ユーザデバイスのUI装置ID、及び/または接続されたプラント資産のためのデバイスIDに基づいてアクセス権を取得することにより、機能にアクセスできるかどうかを決定することができる。次に、UI装置は、アクセスが許可または拒否されたことを記述するサーバ150からの指示を受信することができる。
いくつかの実施形態では、ユーザは、接続されたプラント資産またはUI装置上で実行される機能へのアクセスを拒否された場合、UI装置は、権限のないユーザが特定のプラント資産または機能にアクセスしようとしていることを示すサーバ150に通知を送信してもよい。通知は、システム管理者がレビューできるように、サーバ150のユーザインターフェース上に表示することができる。さらに、通知は、権限のないユーザのユーザID、UI装置のためのUIデバイスID、接続されたプラント資産のデバイスID、選択された機能の指標、UI装置の位置の指標などのような権限のない不正使用に関する情報を含んでいてもよい。通知はまた、アクセスを拒否した理由の表示(例えば、ユーザは、アクセスを許可されていないプラント資産にアクセスしようとした、ユーザが許可された領域の外でプラント資産にアクセスしようとした、ユーザが許可された時間長より長い時間プラント資産にアクセスしようとした、など)を含んでいてもよい。
システム管理者は、通知を確認し、例えば、複数のユーザが許可領域外で同じプロセス制御装置にアクセスしようとしたことを判断することができる。結果として、システム管理者は、許可された領域を調整する必要があるか、あるいはユーザがどの領域へのアクセスが許可されているか、そしてどの領域へのアクセスが拒否するかを通知する必要があるかどうかを判断してもよい。システム管理者は、プロセス制御装置とやりとりするとき、ユーザは、特定のプロセス制御装置または特定の機能にアクセスできるように、通知を確認し、ユーザに新しいアクセス権を割り当てることができる。許可が更新されている、またはユーザ及び/またはUI装置が各アクセス権の変更に割り当てられている場合は、サーバ150は、UI装置への更新されたアクセス権のリストを送信してもよい。
図4は、プロセスプラントで二要素認証を行うための方法400の例示するフロー図である。方法400は、UI装置112上で実行されてもよい。いくつかの実施形態では、方法400は、非一時的なコンピュータ可読メモリに保存された命令のセットで実行し、UI装置112の1個以上のプロセッサによって実施することができる。例えば、図1Cに示すように、方法400は、認証/権限付与モジュール96によって行われてもよい。
ブロック402において、UI装置112は、ユーザの第1のタイプの識別情報を受信する。第1のタイプの識別情報は、識別装置から提供されたものでもよく、また、ユーザの身体的特徴であってもよい。例えば、UI装置112は、図2Aに示すように、ユーザに自分の電子IDカードをスキャンさせる要求210を含む表示画面200を提示することができる。次いで、ユーザは、自分の電子IDカードをUI装置112の通信範囲内に載置し、(例えば、1インチ、3インチ、6インチ、1フィート、3フィート、など)電子IDカードとUI装置112間の短距離通信リンクを確立することができる。電子IDカードは、次いで、ユーザIDなどのユーザの識別情報を含むUI装置112にRFIDタグを送信する。しかし、これは単にUI装置112に提供することができる識別情報の1つの例示のタイプに過ぎない。識別情報の追加または代替のタイプ、例えば、社会保険カード、運転免許証、指紋または網膜画像などの生体情報を提供してもよい。
いずれの場合も、UI装置112はユーザのための第1のタイプの識別情報を認証してもよい(ブロック404)。例えば、UI装置112は、プロセスプラント内の各権限を有するユーザのユーザプロファイルを保存することができる。ユーザプロファイルは、ユーザID、ユーザ名、パスワード、パスコード/PIN番号、許可されたユーザに関連する任意の他の適切な情報を含んでいてもよい。具体的には、ユーザプロファイルは、図3Bに示すようにユーザデータテーブル330からのデータに基づいて生成することができる。UI装置112は、ユーザに対する第1のタイプの識別情報(例えば、RFIDタグ内のユーザID)をユーザプロファイルまたはユーザデータテーブル330と比較して、第1のタイプの識別情報がプロセスプラント内の権限を有するユーザに対応するかどうかを決定する(ブロック406)。別の例では、UI装置112は、第1のタイプの識別情報をサーバ150に送信することができ、サーバ150は、第1のタイプの識別情報をユーザプロファイルまたはユーザデータテーブル330と比較することができる。
いずれの場合も、第1のタイプの識別情報が、プロセスプラント内の許可されたユーザに対応しない場合、UI装置112は、ユーザを認証せず、ユーザにいずれかのタイプの識別情報を提供するよう、あるいは、IDカードを再度スキャンすることを求めることができる。第1のタイプの識別情報は、プロセスプラント内のユーザに対応する一方、UI装置112は、ユーザの第2のタイプの識別情報を受信する(ブロック408)。第2のタイプの識別情報は、ユーザによって提供された情報であってもよい。例えば、UI装置112は図2Bに示すような、ユーザにユーザ名とパスワードなどのユーザログイン情報を入力するユーザコントローラ260、270を含む表示画面250を提示してもよい。しかし、これは単にUI装置112に提供することができる識別情報の1つの例示のタイプに過ぎない。追加または代替のタイプの識別情報、例えばユーザID、メールアドレス、生年月日、パスコード/PIN番号なども、ユーザによって提供されてもよい
いずれの場合も、UI装置112はユーザのための第2のタイプの識別情報を認証してもよい(ブロック410)。例えば、UI装置112は、ユーザに対する第2のタイプの識別情報(例えば、ユーザ名及びパスワード)をユーザプロファイルまたはユーザデータテーブル330と比較して、第2のタイプの識別情報がプロセスプラント内の権限を有するユーザに対応するかどうかを決定する(ブロック412)。別の例では、UI装置112は、第2のタイプの識別情報をサーバ150に送信することができ、サーバ150は、第2のタイプの識別情報をユーザプロファイルまたはユーザデータテーブル330と比較することができる。
第2のタイプの識別情報が、プロセスプラント内の権限を有するユーザに対応しない場合、UI装置112は、ユーザを認証せず、ユーザにいずれかのタイプの識別情報を提供するよう、あるいは、ユーザ名とパスワードを再び入力しようとすることを求めることができる。さらに、UI装置112は、第1及び第2のタイプの識別情報は、プロセスプラント内の同じ権限を有するユーザに対応するかどうかを判断する(ブロック414)。第1及び第2のタイプの識別情報が、同じ許可されたユーザに対応しない場合、UI装置112は、ユーザを認証せず、ユーザに第1及び第2のタイプの識別情報を再び提供することを求めることができる。一方、第1及び第2のタイプの識別情報が、同じ権限を有するユーザに対応する場合には、ユーザは、UI装置112へのアクセスを提供される(ブロック416)。従って、ユーザは、UI装置112上で機能を実行することができる。この機能は、プロセス制御装置または他のプラント資産において、接続したUI装置112に、接続したプロセス制御装置または他のプラント資産を監視、制御、キャリブレーション、構成、またはトラブルシューティングなどの機能のような操作を実行することができる。
方法400は、識別情報を受信すると、そのそれぞれのタイプを認証するステップを含むが、第1及び第2のタイプの識別情報の両者は、認証前に受信することもできる。例えば、UI装置112は、RFIDタグとユーザからユーザ名及びパスワードを受信することができ、その後、プロセスプラント内の権限を有するユーザのユーザプロファイルにRFIDタグとユーザ名とパスワードからユーザIDを比較する。さらに、方法400は、それぞれのユーザプロファイルを2度目に検索して第2のタイプの識別情報に適合する権限を有するユーザを探すことを回避するステップを含んでいてもよい。例えば、第1のタイプの識別情報と一致する認証されたユーザを識別した後に、UI装置112は、認証されたユーザのユーザデータを第2のタイプの識別情報と比較することができる。
上述したように、ユーザは、二要素認証プロセスを介して認証された後、UI装置112は、ユーザがUI装置112に接続されているプロセス制御装置または他のプラント資産に対して有する権限レベルを判定する。例えば、ユーザは、バルブにUI装置112を接続して、監視、制御、構成、キャリブレーション、トラブルシューティング、またはバルブ上の任意の他の適切な動作を行ってもよい。
図5は、ユーザがプラント資産に接続しなければならない権限レベルを決定するための方法500を例示するフロー図である。方法500は、UI装置112上で実行されてもよい。いくつかの実施形態では、方法500は、非一時的なコンピュータ可読メモリに保存された命令のセットで実施し、UI装置112の1台以上のプロセッサによって実行することができる。例えば、図1Cに示すように、方法500は、認証/権限付与モジュール96によって行われてもよい。
ブロック502及び504において、UI装置112はユーザとUI装置112それぞれに対しアクセス権のセットを得ることができる。例えば、図3A~Cに示すように、UI装置112はそれぞれ、サーバ150から、権限データテーブル300、ユーザデータテーブル330と、UI装置データテーブル360を取得してもよい。UI装置112は、また、UI装置112に接続されているプロセス制御装置または他のプラント資産から識別子を取得してもよい(ブロック506)。例えば、プロセス制御装置または他のプラント資産がデバイスIDをUI装置112に送信してもよい。UI装置112はまた、ユーザIDとして、二要素認証プロセスからのユーザの識別子を取得してもよく、そのようなUI装置IDなどのUI装置112の識別子を取得してもよい。
そして、UI装置112は、ユーザIDとUI装置IDを使って、ユーザとUI装置112に対しアクセス権のセットを取得することができる。例えば、アクセス権は、ユーザデータテーブル330とUI装置データテーブル360から取得できる。UI装置112は、デバイスIDを使用して接続されたプラント資産へのアクセスレベルを指定するアクセス権を識別することができる。他の実施形態では、UI装置112は、サーバ150に接続されたプラント資産のユーザID、UI装置ID、デバイスIDを送信することができるとともに、サーバ150からユーザ及びUI装置112に割り当てられたアクセス権のセットを受信することができる。さらに他の実施形態において、RFIDタグは、ユーザのアクセス権のセットを含んでいてもよい。UI装置112は、二要素認証プロセス中にRFIDタグを介してユーザの識別子を取得すると、RFIDタグは、ユーザのアクセス権のセットを送信することができる。
接続されたプラント資産へのアクセスレベルを指定する権限レベルに基づいて、UI装置112は、ユーザの権限レベルを識別することができる(ブロック508)。例えば、ユーザ及び/またはUI装置112は、接続されたプラント資産へのアクセスレベルを指定するアクセス権のいずれへも割り当てられなくてもよい。よってUI装置112は、接続されたプラント資産へのアクセスを拒否されたことを示すメッセージをユーザに表示することができる。またメッセージは、アクセス拒否の説明(例えば、利用者は接続されたプラント資産にアクセスする権限がない、UI装置112は、接続されたプラント資産にアクセスする権限を持っていない、またはユーザとUI装置112のいずれも接続されたプラント資産にアクセスする権限がない、など)を含んでいてもよい。
ユーザの権限レベルは、ユーザが接続されたプラント資産(例えば、読み取り専用、読み取り/書き込みなど)、ユーザが接続されたプラント資産(例えば、構成、トラブルシューティング、キャリブレーション、監視、制御など)での操作を行うためにアクセスすることができる機能を有しているアクセスのタイプを含んでいてもよい。権限レベルは、ユーザが接続されたプラント資産へのアクセスを有するプロセスプラントの領域と、ユーザが接続されたプラント資産にアクセスするための時間長を含んでいてもよい。
ブロック510では、ユーザは、UI装置112に、接続されたプラント資産に対する操作を行うように指示することができる。UI装置112はユーザの権限レベルに基づいて、ユーザが接続されたプラント資産で要求された操作を行う機能にアクセスできるかどうかを判定する(ブロック512)。例えば、UI装置112は、GPSまたは任意の他の適切な位置決め装置を介してその位置を判定してもよい。別の例では、サーバ150は、各プラント資産の位置の表示を保存することができる。UI装置は、サーバ150から接続されたプラント資産の位置を取得することができるか、接続されたプラント資産の位置を決定するための各プラント資産の位置の指標を得ることができる。UI装置は、その位置を接続されたプラント資産の位置として決定してもよい。UI装置112は、位置が、ユーザが接続されたプラント資産へのアクセスを有している領域内にあるかどうかを判断することができる。さらに、アクセスのタイプと権限レベルに対する機能は、要求された操作を行う機能と比較してもよい。UI装置112は、また、権限の時間長が満了したか否かも判定してもよい。いくつかの実施形態では、UI装置112は、要求された操作を行う機能がUI装置112にライセンスされているか否かを判定してもよい(ブロック512)。また、いくつかの実施形態では、UI装置112は、UI装置/接続されたプラント資産が機能を実行し、実行される機能に対応する動作を行うための適切なハードウェア/ソフトウェアを有するかどうかを判定することができる。
機能がユーザの権限レベルに基づいて許可されており、UI装置112が機能を行うためのライセンスを与えられており、UI装置/接続されたプラント資産が、UI装置の機能を実行し、実行される機能に対応する動作を実行するための適切なハードウェア/ソフトウェアを有する場合には、UI装置112は、対応する操作をプロセス制御装置または他のプラント資産上で行ってもよい(ブロック516)。例えば、UI装置112は、プロセス制御装置は、UI装置112に表示される測定値を取得して送信することを要求することができる。機能がユーザの権限レベル(例えば、ユーザが許可された領域外にいる、権限付与の時間長を超えている、ユーザが接続されたプラント資産と通信する際にその機能を実行することが許可されていない、など)に基づいて許可されておらず、UI装置112が機能を実行するためのライセンスを与えられておらず、UI装置/接続プラント資産が、UI装置の機能を実行し、実行される機能に対応する動作を行うための適切なハードウェア/ソフトウェアを有していない場合には、UI装置112は、機能を実行しない。さらに、接続されたプラント資産へのアクセスが拒否された旨を示すメッセージをユーザに表示してもよい(ブロック518)。メッセージは、アクセス拒否に関する説明を含んでいてもよい。
図6は、アクセス権のセットを生成し、プロセスプラント内でユーザとUI装置にアクセス権を割り当てるための方法600を例示するフロー図である。方法600は、サーバ150上で実行されてもよい。いくつかの実施形態では、方法600は、非一時的なコンピュータ可読メモリに保存された命令のセットで実施し、サーバ150の1台以上のプロセッサによって実行することができる。
ブロック602では、サーバ150は、いくつかのアクセス権を生成し、各アクセス権は、特定のプロセス制御装置または他のプラント資産または特定のプラント領域内のプロセス制御装置または他のプラント資産のグループへのアクセスレベルを指定する。例えば、アクセス権は、デバイスIDとして、プロセス制御装置のための識別子を含んでいてもよい。アクセス権はまた、プロセス制御装置または読み取り専用、読み取り/書き込み、などのような他のプラント資産へのアクセスの種類を含んでいてもよい。また、アクセス権は、プロセス制御装置または他のプラント資産の操作を行う機能を含んでいてもよい。さらに、アクセス権は、プロセス制御装置または他のプラント資産へのアクセスが許可されているプラント領域、及びプロセス制御装置または他のプラント資産にアクセスするための時間長を含んでいてもよい。いくつかの実施形態では、システム管理者はサーバ150と相互作用してアクセス権を生成してもよい。
アクセス権を生成することに加え、サーバ150は、プロセスプラント内の1人もしくは数人のユーザ(ブロック604)と、1つもしくは数台のUI装置(ブロック606)に各アクセス権を割り当ててもよい。このシステム管理者はアクセス権をサーバ150のユーザインターフェースを介してユーザに割り当ててもよい。例えば、システム管理者は、ユーザのユーザプロファイルを表示することができ、アクセス権(例えば、アクセス権ID)に対する識別子を入力し、ドロップダウンメニューでいくつかのアクセス権からアクセス権を選択し、またはユーザにアクセス権を任意の他の適した方法で割り当てもよい。このシステム管理者はアクセス権をサーバ150のユーザインターフェースを介してUI装置に割り当てもよい。例えば、システム管理者は、UI装置のプロファイルを表示することができ、アクセス権(例えば、アクセス権ID)に対する識別子を入力し、ドロップダウンメニューでいくつかのアクセス権からアクセス権を選択し、またはUI装置にアクセス権を任意の他の適した方法で割り当てもよい。
いくつかの実施形態では、サーバ150は、複数のユーザを含むセキュリティグループへのアクセス権を割り当てることができる。アクセス権がセキュリティグループに割り当てられている場合には、セキュリティグループに属するユーザのそれぞれには、アクセス権が与えられる。このシステム管理者は、アクセス権をサーバ150のユーザインターフェースを介してセキュリティグループの表示を見ることによって、セキュリティグループに割り当ててもよい。システム管理者は、アクセス権(例えば、アクセス権ID)に対する識別子を入力し、ドロップダウンメニューでいくつかのアクセス権からアクセス権を選択し、またはセキュリティグループにアクセス権を任意の他の適した方法で割り振ってもよい。
ブロック608において、サーバ150は、アクセス権に割り当てられた各ユーザとUI装置の指示と共に、プロセスプラント内の1台以上のUI装置にアクセス権を与えることができる。いくつかの実施形態では、サーバ150は、プロセスプラントにおけるUI装置それぞれにアクセス権を提供してもよい。また、いくつかの実施形態では、サーバ150は、特定のユーザに属する電子IDカードに、(例えば、ユーザデータテーブルを介して)特定のユーザに対応するアクセス権を提供することができる。他の実施形態では、サーバ150は、ユーザがUI装置にアクセスしようとした時、あるいは、UI装置がプロセス制御装置または他のプラント資産に接続された時に、アクセス権を与えることができる。例えば、ユーザがUI装置にアクセスしようと試みて、UI装置をプロセス制御装置に接続したときに、UI装置が、ユーザのためのユーザID、UI装置のためのUI装置ID及び/または接続したプロセス制御装置のデバイスIDをサーバ150に送信するようにしてもよい。サーバ150は、ユーザに対応するアクセス権のセット、UI装置、及び/または接続したプロセス制御装置を取得してUI装置にアクセス権のセットを送信することができる。
ブロック610では、サーバ150及び/またはアクセス権に割り当てられたユーザとUI装置へのアクセス権への更新があったか否かを判定する。例えば、サーバ150は、システム管理者がさらにアクセス権を追加したか、アクセス権を削除したか、別のアクセス権をユーザまたはUI装置に割り当てたか、ユーザの割り当てられたアクセス権を削除したか、新しいユーザまたはUI装置にアクセス権を割り当てたかどうか、などを判定することができる。
アクセス権または割り当てが更新されている場合は、サーバ150は、更新されたアクセス権リストをプロセスプラント内の1つ以上のUI装置に提供してもよい(ブロック612)。いくつかの実施形態では、サーバ150は、プロセスプラントにおけるUI装置それぞれに更新したアクセス権リストを提供してもよい。他の実施形態では、サーバ150は、ユーザがUI装置にアクセスしようとした時、あるいは、UI装置がプロセス制御装置または他のプラント資産に接続された時に、更新したアクセス権リストを提供することができる。
いくつかの実施形態では、ユーザは、接続されたプラント資産またはUI装置上で実行される機能へのアクセスを拒否された場合、サーバ150は、権限のないユーザが特定のプラント資産または機能にアクセスしようとしていることを示す通知をUI装置から受信してもよい。通知は、システム管理者がレビューできるように、サーバ150のユーザインターフェース上に表示することができる。さらに、通知は、権限のないユーザのユーザID、UI装置のためのUI装置ID、接続されたプラント資産のデバイスID、選択された機能の指標、UI装置の位置の指標などのような権限のない不正使用に関する情報を含んでいてもよい。通知はまた、アクセスを拒否する理由(例えば、ユーザが、自分がアクセス権を持たないプロセス制御装置にアクセスしようとしたなど)の指示を含むことができる。
システム管理者は、通知を確認し、例えば、複数のユーザが許可領域外で同じプロセス制御装置にアクセスしようとしたことを判断することができる。結果として、システム管理者は、許可された領域を調整する必要があるか、あるいはユーザがどの領域へのアクセスが許可されているか、そしてどの領域へのアクセスが拒否されるかを通知する必要があるかどうかを判断してもよい。システム管理者は、プラント資産とやりとりするとき、ユーザは、特定のプラント資産または特定の機能にアクセスできるように、通知を確認し、ユーザにアクセス権を割り当てることができる。
本開示に記載の技術の実施形態は、単独または組み合わせのいずれかで、以下の態様の任意の数を含んでいてもよい。
1.プロセスプラントにおけるプラント資産へのアクセスを制御する方法であって、1台以上のプロセッサによって、それぞれがプロセスプラントにおける複数のプラント資産へのアクセスレベルを指定する複数のアクセス権を生成することと、1台以上のプロセッサによって、前記複数のアクセス権を(i)前記プロセスプラントで1台以上のユーザインターフェースデバイスにアクセスするように認証された1人以上のユーザ、または(ii)前記プロセスプラント内の前記1台以上のユーザインターフェースデバイスのうちの少なくとも1つに割り当てることと、前記1台以上のプロセッサによって、前記複数のアクセス権に割り当てられた前記複数のアクセス権と前記1人以上のユーザまたは前記1台以上のインターフェースデバイスの表示を前記プロセスプラント内の前記1台以上のユーザインターフェースデバイスへ提供することとを含み、ユーザがユーザインターフェースデバイスを前記プロセスプラントの前記複数のプラント資産のうちの1つに接続すると、前記ユーザインターフェースデバイスは、前記ユーザまたは前記ユーザインターフェースデバイスに割り当てられた前記複数のアクセス権のうちの少なくとも1つに基づいて前記ユーザが前記プラント資産にアクセスするべき認証レベルを判定することを特徴とする前記方法。
2.局面1による方法であって、前記複数のアクセス権のそれぞれは、指定したアクセスレベルに対する1つ以上のプラント領域を含み、前記ユーザが前記ユーザインターフェースデバイスを前記プラント資産に接続すると、前記ユーザインターフェースデバイスの位置が判定され前記ユーザインターフェースデバイスが前記1つ以上のプラント領域内にあるかどうかを識別することを特徴とする方法。
3.前記記載の局面のいずれか1つによる方法であって、前記複数のアクセス権は前記指定したアクセスレベルに対する時間長を含むことを特徴とする前記方法。
4.前記記載の局面のいずれか1つによる方法であって、前記ユーザが前記ユーザまたは前記ユーザインターフェースデバイスに割り当てられた前記少なくとも1つのアクセス権に基づいて前記プラント資産へのアクセスを有していない場合には、前記ユーザインターフェースデバイスは前記プラント資産との通信を防止し、前記方法はさらに、前記1台以上のプロセッサで、権限のないユーザが前記プロセスプラントの特定のプラント資産にアクセスしようと試みたことを示す通知を受信することを含む前記方法。
5.前記記載の局面のいずれか1つによる方法であって、さらに、前記1台以上のプロセッサで、システム管理者によるレビューのためにユーザインターフェースに通知を表示することを含み、前記通知は、前記権限のないユーザへのアクセス拒否の理由の表示を含むことを特徴とする方法。
6.前記記載の局面のいずれか1つによる方法であって、さらに、前記1台以上のプロセッサによって、前記特定のプラント資産を指定する前記複数のアクセス権のうちの少なくとも1つを前記権限のないユーザに割り当てることと、前記1つ以上のプロセッサによって、前記少なくとも1つのアクセス権に割り当てられた前記1つ以上のユーザの更新表示を前記1つ以上のユーザインターフェースデバイスに提供して前記特定のプラント資産へのアクセスを前記権限のないユーザに提供することとを含む前記方法。
7.前記記載の局面のいずれか1つによる方法であって、前記プロセスプラントにおいて前記複数のアクセス権を前記1台以上のユーザインターフェースデバイスに提供することは、前記ユーザインターフェースデバイスから前記1台以上のプロセッサにおいて、前記ユーザの識別子と、前記ユーザインターフェースデバイスの識別子と、前記ユーザインターフェースデバイスに接続された前記プラント資産の識別子を受取ることと、前記1つ以上のプロセッサによって、前記ユーザと、前記ユーザインターフェースデバイスと、前記ユーザインターフェースデバイスに接続された前記プラント資産とに対応する前記複数のアクセス権のサブセットをそれぞれの識別子を使って判定することと、前記1つ以上のプロセッサによって、前記ユーザインターフェースデバイスにアクセス権の前記サブセットを提供することとを含む前記方法。
8.前記記載の局面のいずれか1つによる方法であって、前記アクセスレベルが、少なくとも
前記プラント資産への読み取り専用アクセスと、前記プラント資産への読み取り/書き込みアクセスと、プラント資産への非アクセス、または前記ユーザが前記ユーザインターフェースデバイスで実行して前記プラント資産上で1つ以上の対応する操作を行うことを認証された1つ以上の機能のうちの1つを含むことを特徴とする方法。
9.前記記載の局面のいずれか1つによる方法であって、さらに、前記1台以上のプロセッサで、それぞれが共通の属性を共有する前記プロセスプラント内にユーザのセットを含む複数のセキュリティグループを生成することと前記複数のセキュリティグループのそれぞれに対し、前記1つ以上のプロセッサで前記複数のアクセス権のうちの少なくとも1つを前記セキュリティグループに割り当てることとを含む前記方法。
10.前記記載の局面のいずれか1つによる方法であって、前記ユーザのセットは前記プロセスプラント内の同じジョブ機能を有することに基づいて前記セキュリティグループに割り当てられることを特徴とする前記方法。
11.プロセスプラントでプラント資産へアクセスを制御するサーバ装置であって、前記サーバ装置は、1台以上のプロセッサと、前記1台以上のプロセッサに接続され、指示を保存する非一時的コンピュータ可読媒体と、を備え、前記1台以上のプロセッサによって実行することにより、前記サーバ装置がそれぞれがプロセスプラントにおける複数のプラント資産へのアクセスレベルを指定する複数のアクセス権を生成し、前記複数のアクセス権を(i)前記プロセスプラントで1台以上のユーザインターフェースデバイスにアクセスするように認証された1人以上のユーザ、または(ii)前記プロセスプラント内の前記1台以上のユーザインターフェースデバイスと前記複数のアクセス権に割り当てられた前記複数のアクセス権と前記1人以上のユーザまたは前記1台以上のユーザインターフェースデバイスの表示を前記プロセスプラント内の前記1台以上のユーザインターフェースデバイスへ提供し、ユーザがユーザインターフェースデバイスを前記プロセスプラントの前記複数のプラント資産のうちの1つに接続すると、前記ユーザインターフェースデバイスは、前記ユーザまたは前記ユーザインターフェースデバイスに割り当てられた前記複数のアクセス権のうちの少なくとも1つに基づいて前記ユーザが前記プラント資産にアクセスするべき認証レベルを判定することを特徴とする前記サーバ装置。
12.局面11に記載のサーバ装置であって、前記複数のアクセス権のそれぞれは、指定したアクセスレベルに対する1つ以上のプラント領域を含み、前記ユーザが前記ユーザインターフェースデバイスを前記プラント資産に接続すると、前記ユーザインターフェースデバイスの位置が判定されユーザインターフェースデバイスが前記1つ以上のプラント領域内にあるかどうかを識別することを特徴とするサーバ装置。
13.局面11または局面12のいずれかに記載のサーバ装置であって、前記複数のアクセス権のそれぞれは前記指定したアクセスレベルに対する時間長を含むことを特徴とする前記サーバ装置。
14.局面11から13のいずれか1つに記載のサーバ装置であって、前記ユーザが前記ユーザまたは前記ユーザインターフェースデバイスに割り当てられた前記少なくとも1つのアクセス権に基づいて前記プラント資産へのアクセスを有していない場合には、前記ユーザインターフェースデバイスは前記プラント資産との通信を防止し、前記指示により、さらにサーバ装置は、権限のないユーザが前記プロセスプラントの特定のプラント資産にアクセスしようと試みたことを示す通知を受信することを含む前記サーバ装置。
15.局面11から14のいずれかに記載のサーバ装置であって、前記指示により、さらに前記サーバ装置は、システム管理者によるレビューのために前記サーバ装置のユーザインターフェースに前記通知を表示することを含み、前記通知は、前記権限のないユーザへのアクセス拒否の理由の表示を含むことを特徴とする前記サーバ装置。
16.局面11から15のいずれかに記載のサーバ装置であって、前記指示により、さらにサーバ装置は、前記特定のプラント資産へのアクセスレベルを指定する前記複数のアクセス権のうちの少なくとも1つを前記権限のないユーザに割り当て、前記少なくとも1つのアクセス権に割り振られた前記1つ以上のユーザの更新表示を前記1つ以上のユーザインターフェースデバイスに提供して前記特定のプラント資産へのアクセスを前記権限のないユーザに提供することを特徴とする前記サーバ装置。
17.局面11から16のいずれかに記載のサーバ装置であって、前記プロセスプラントにおいて前記アクセス権を前記1台以上のユーザインターフェースデバイスに提供するために、前記指示により、サーバ装置は、前記ユーザインターフェースデバイスから、前記ユーザの識別子と、前記ユーザインターフェースデバイスの識別子と、前記ユーザインターフェースデバイスに接続された前記プラント資産の識別子を受取り、前記ユーザと、前記ユーザインターフェースデバイスと、前記ユーザインターフェースデバイスに接続された前記プラント資産とに対応する前記複数のアクセス権のサブセットを前記それぞれの識別子を使って判定し、前記ユーザインターフェースデバイスにアクセス権の前記サブセットを提供する前記サーバ装置。
18.局面11から17のいずれかに記載のサーバ装置であって、前記アクセスレベルは、少なくとも前記プラント資産への読み取り専用アクセスと、前記プラント資産への読み取り/書き込みアクセスと、プラント資産への非アクセス、または前記ユーザが前記ユーザインターフェースデバイスで実行して前記プラント資産上で1つ以上の対応する操作を行うことを認証された1つ以上の機能のうちの1つを含むことを特徴とするサーバ装置。
19.局面11から18のいずれかに記載のサーバ装置であって、前記指示により、さらにサーバ装置は、複数のセキュリティグループを生成し、各セキュリティグループは、共通の属性を共有する前記プロセスプラント内にユーザのセットを含み、前記複数のセキュリティグループのそれぞれに対し、前記複数のアクセス権のうちの少なくとも1つを前記セキュリティグループに割り当てることとを含む前記サーバ装置。
20.局面11から19のいずれかに記載のサーバ装置であって、前記ユーザのセットは前記プロセスプラント内の同じジョブ機能を有することに基づいて前記セキュリティグループに割り当てられることを特徴とする前記サーバ装置。
さらに、本開示の諸態様は、例示に過ぎず、本開示の範囲を限定することを意図するものではない。
下記の追加の考察は、前述の議論に適用される。本明細書を通して、任意のデバイスまたはルーチンによって行われるとして説明したアクションは、一般に、機械可読命令に応じてデータを操作または変換プロセッサのアクションまたはプロセスを意味する。機械可読命令は、通信プロセッサに結合された記憶装置に保存され、そこから取り出すことができる。すなわち、本明細書に記載される方法は、図1Cに示すようなコンピュータ可読媒体上(すなわち、メモリデバイス上)に保存された機械実行可能な命令のセットによって具現化することができる。命令は、対応するデバイス(例えば、サーバ、ユーザインターフェースデバイス、など)の1つ以上のプロセッサによって実行されたとき、プロセッサに本方法を実行させる。命令、ルーチン、モジュール、プロセス、サービス、プログラム、及び/またはアプリケーションがコンピュータ可読メモリ上またはコンピュータ可読媒体に保存され、記憶されているものとしている場合、「保存」「記憶」という用語は、一時信号を含まないものであると解釈することを意図している。
さらに、用語「オペレータ」、「人員」、「人」、「ユーザ」、「技師」、及び他の同様の用語を、使用したり、システム、装置と相互作用することができるプロセスプラント環境内の人を記述するために使用されているが、これらの用語は、限定を目的とするものではない。特定の用語を説明で使用する場合、その用語は、部分的には、プラント人員が関わる従来の活動のために使用されるが、その特定の活動に関わることができる人員に限定することを意図したものではない。
また、本明細書を通して、複数のインスタンスは、単一のインスタンスとして説明した構成要素、動作、または構造を実行することができる。1つ以上の方法の個々の操作を操作として図示し説明しているが、個々のオペレーションの1つ以上を同時に行ってもよく、操作が図示の順序で実行されなければならないわけではない。例示の構成において別の構成要素として提示された構造と機能は、統合された構造または構成要素として実行することができる。同様に、単一の構成要素として提示された構造と機能は、別個の構成要素として実行することができる。これら及び他の変形、修正、追加、及び改良は、本明細書の主題の範囲内に含まれる。
特に明記しない限り、本明細書の説明で使用する「処理」、「演算」、「計算」、「決定」、「識別」、「提示」、「提示させる」、「表示させる」、「表示する」、などの単語は、すなわち、1つ以上のメモリ(例えば、揮発性メモリ、不揮発性メモリ、またはそれらの組み合わせ)レジスタ、または情報を受信し、保存し、送信し、表示する他の機械構成要素内の物理的(例えば、電子的、磁気的、生物学的、または光学的)量として表されるデータを操作または変換する機械(例えば、コンピュータ)の動作または処理を意味する。
ソフトウェアで実行される場合、本明細書に記載されるアプリケーション、サービス、及びエンジンのいずれかは、磁気ディスク上のような任意の有形の、非一時的なコンピュータ可読メモリ、レーザディスク、固体メモリ装置、分子メモリ記憶装置、またはコンピュータまたはプロセッサ等のRAMまたはROMの他の記憶媒体に保存することができる。本明細書に開示された例示的なシステムは、ハードウェア上で実行されるなど、他の成分のうち、ソフトウェア及び/またはファームウェアとして開示されているが、そのようなシステムは単なる例示であり、限定するものとしてみなされるべきではないことは留意すべきことである。例えば、いずれかまたはこれらのハードウェア、ソフトウェア、及びファームウェアコンポーネントのすべてが排他的にソフトウェア、排他的にハードウェア、またはハードウェアとソフトウェアの任意の組み合わせで具現化できると考えられる。したがって、当業者は提供されている例は、このようなシステムを実行するための唯一の方法ではないことを、容易に理解できるであろう。
本発明について、特定の例を挙げて説明してきたが、これらは例示に過ぎず、本発明を限定することを意図するものではないが、開示された実施形態は、本発明の趣旨と範囲から逸脱することなく、変更、追加、削除などを行えることは当業者にとって明らかであろう。
本特許において、本明細書で使用される用語『______』は、「。。。」を示すものとする、もしくはそれに類似した文で明らかに定義していない限り、その用語の意味を明示または暗示によってその平易または通常の意味を超えて限定する意図はなく、それらの用語は、この特許のいかなる部分においても(ただし特許請求の範囲の文言は除く)、その範囲を点綴して理解されるべきではないということは理解できよう。本特許の最後に添付の特許請求の範囲に記載の任意の用語は、専ら読者を混乱させないように明確化のために行われる単一の意味と一致する形で本特許で言及され、そしてそれはその請求項がその単一の意味に、明示的または暗示的に、限定することを意図するものではない。最後に、請求項の要素が、いかなる構造の詳説することなく単語「手段」及び機能を記載することによって定義されていない限り、いかなる請求項の要素の範囲も、35U.S.C.§112(f)及び/またはプレAIA35U.S.C.§112、第6段落の適用に基づいて解釈されることを意図するものではない。
さらに、上記のテキストは、記載多数の異なる実施形態の詳細な説明を設定しているが、特許の範囲は、本特許の最後に記載され、特許請求の範囲の文言によって定義されることは理解できよう。詳細な説明は単なる例示として解釈されるべきであり、すべての可能な実施形態を説明しているわけではない。なぜならすべての可能な実施形態を説明することは、不意可能でないまでも、非現実的であるからである。多数の代替実施形態は、やはり特許請求の範囲の範囲内に入る本特許の出願日後に開発された現在の技術または技術のいずれかを使用して、実施することができる。

Claims (8)

  1. プロセスプラントにおけるプラント資産へのアクセスを制御する方法であって、
    1台以上のプロセッサによって複数のアクセス権を生成するステップであって前記複数のアクセス権のそれぞれは、前記プロセスプラントにおける複数のプラント資産のうちの1つのプラント資産へのアクセスレベルを指定するステップと、
    前記1台以上のプロセッサによって、前記複数のアクセス権を、
    (i)前記プロセスプラントで1台以上のユーザインターフェースデバイスにアクセスするように権限を有する1人以上のユーザ、または
    (ii)前記プロセスプラント内の前記1つ以上のユーザインターフェースデバイス
    のうち少なくとも1つに割り当てるステップと、
    前記1台以上のプロセッサによって、前記複数のアクセス権と、前記複数のアクセス権に割り当てられた前記1人以上のユーザまたは前記1つ以上のユーザインターフェースデバイスの表示とを前記プロセスプラント内の前記1つ以上のユーザインターフェースデバイスへ提供するステップと、
    ユーザがユーザインターフェースデバイスを前記プロセスプラントの前記複数のプラント資産のうちの1つに接続すると、前記ユーザインターフェースデバイスは、前記ユーザまたは前記ユーザインターフェースデバイスに割り当てられた前記複数のアクセス権のうちの少なくとも1つに基づいて前記ユーザが前記プラント資産にアクセスするための権限レベルを判定するステップと、
    を含むことを特徴とする前記方法。
  2. 請求項1に記載の方法であって、
    前記複数のアクセス権のそれぞれは、指定したアクセスレベルに対する1つ以上のプラント領域を含み、
    前記ユーザが前記ユーザインターフェースデバイスを前記プラント資産に接続すると、前記ユーザインターフェースデバイスの位置が判定され前記ユーザインターフェースデバイスが前記1つ以上のプラント領域内にあるかどうかを識別するステップを含むことを特徴とする前記方法。
  3. 請求項1又は請求項2に記載の方法であって、前記複数のアクセス権のそれぞれは前記指定したアクセスレベルに対する時間長を含むことを特徴とする前記方法。
  4. 請求項1乃至請求項3のいずれか1項に記載の方法であって、
    前記ユーザが前記ユーザまたは前記ユーザインターフェースデバイスに割り当てられた前記少なくとも1つのアクセス権に基づいて前記プラント資産へのアクセスを有していない場合には、前記ユーザインターフェースデバイスは前記プラント資産との通信を防止するステップと、
    前記1台以上のプロセッサで、権限のないユーザが前記プロセスプラントの特定のプラント資産にアクセスしようと試みたことを示す通知を受信するステップと、を含む前記方法。
  5. 請求項4に記載の方法であって、さらに
    前記1台以上のプロセッサによって、前記特定のプラント資産へのアクセスレベルを指定する前記複数のアクセス権のうちの少なくとも1つを前記権限のないユーザに割り当てるステップと、
    前記1台以上のプロセッサによって、前記少なくとも1つのアクセス権に割り当てられた1人以上のユーザの更新表示を前記1台以上のユーザインターフェースデバイスに提供して、前記権限のないユーザに前記特定のプラント資産へのアクセスを許可するステップと、
    を含む前記方法。
  6. 請求項1乃至請求項5のいずれか1項に記載の方法であって、前記プロセスプラント内において前記複数のアクセス権を前記1台以上のユーザインターフェースデバイスに提供するステップは、
    前記1台以上のプロセッサにおいて、前記ユーザインターフェースデバイスから、前記ユーザの識別子と、前記ユーザインターフェースデバイスの識別子と、前記ユーザインターフェースデバイスに接続された前記プラント資産の識別子を受取るステップと、
    前記1台以上のプロセッサによって、前記ユーザと、前記ユーザインターフェースデバイスと、前記ユーザインターフェースデバイスに接続された前記プラント資産とに対応する前記複数のアクセス権のサブセットをそれぞれの識別子を使って判定するステップと、
    前記1台以上のプロセッサによって、前記ユーザインターフェースデバイスにアクセス権の前記サブセットを提供するステップと、
    を含む前記方法。
  7. 請求項1乃至請求項6のいずれか1項に記載の方法であって、さらに、
    前記1台以上のプロセッサによって複数のセキュリティグループを生成するステップであって、各セキュリティグループはそれぞれが共通の属性を共有する前記プロセスプラント内にユーザのセットを含む、ステップと、
    前記複数のセキュリティグループのそれぞれに対し、前記1台以上のプロセッサによって、前記複数のアクセス権のうちの少なくとも1つを前記セキュリティグループに割り当てるステップと
    を含む前記方法。
  8. プロセスプラントでプラント資産へアクセスを制御するサーバ装置であって、サーバ装置は、
    1台以上のプロセッサと、
    前記1以上のプロセッサに接続され、指示を保存する非一時的コンピュータ可読媒体と、を備え、
    前記指示は、前記1台以上のプロセッサによって実行されることにより、前記サーバ装置が
    請求項1乃至請求項7のいずれか1項に含まれる前記1台以上のプロセッサによって実行されるステップを実行するように構成されるサーバ装置。

JP2017139304A 2016-07-20 2017-07-18 プロセスプラント内のプロセス制御装置へのアクセスを制御する認証と権限付与 Active JP7013153B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US15/214,975 US9805528B1 (en) 2016-07-20 2016-07-20 Authentication and authorization to control access to process control devices in a process plant
US15/214,975 2016-07-20

Publications (3)

Publication Number Publication Date
JP2018014098A JP2018014098A (ja) 2018-01-25
JP2018014098A5 JP2018014098A5 (ja) 2020-08-27
JP7013153B2 true JP7013153B2 (ja) 2022-01-31

Family

ID=59523456

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017139304A Active JP7013153B2 (ja) 2016-07-20 2017-07-18 プロセスプラント内のプロセス制御装置へのアクセスを制御する認証と権限付与

Country Status (5)

Country Link
US (1) US9805528B1 (ja)
JP (1) JP7013153B2 (ja)
CN (1) CN107643733A (ja)
DE (1) DE102017116311A1 (ja)
GB (1) GB2552414B (ja)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9898001B2 (en) * 2015-03-27 2018-02-20 Rockwell Automation Technologies, Inc. Systems and methods for enhancing monitoring of an industrial automation system
CN111656292A (zh) * 2017-12-21 2020-09-11 帕克-汉尼芬公司 包括配置、监视和控制功能的现场总线控制器接口
US10826906B2 (en) * 2018-05-10 2020-11-03 Nidec Motor Corporation System and computer-implemented method for controlling access to communicative motor
JP7227588B2 (ja) * 2018-05-23 2023-02-22 i Smart Technologies株式会社 生産管理システム及び生産管理方法
EP3647887B1 (de) * 2018-10-29 2022-01-05 VEGA Grieshaber KG Verfahren und vorrichtung zur weitergabe einer zugriffsinformation für einen zugriff auf ein feldgerät der prozessindustrie
JP7023218B2 (ja) * 2018-12-10 2022-02-21 三菱電機株式会社 プラント監視制御装置及び、プラント監視制御システム
WO2021050684A1 (en) 2019-09-11 2021-03-18 Carrier Corporation Intruder detection through lock reporting
US11768877B2 (en) * 2019-09-20 2023-09-26 Fisher-Rosemount Systems, Inc. Smart search capabilities in a process control system
US11768878B2 (en) * 2019-09-20 2023-09-26 Fisher-Rosemount Systems, Inc. Search results display in a process control system
EP3798754A1 (de) * 2019-09-27 2021-03-31 Siemens Schweiz AG Verfahren zum automatischen anmelden eines benutzers an einem feldgerät und automationssystem
DE102019127490A1 (de) * 2019-10-11 2021-04-15 Analytik Jena Gmbh Verfahren zum Bedienen eines Messinstruments
CN111159693B (zh) * 2019-12-28 2022-11-29 西安精雕软件科技有限公司 一种电子设备权限验证方法、装置、系统以及可读介质
KR102618391B1 (ko) * 2023-09-12 2023-12-27 주식회사 테스트웍스 호스트 가상화를 통한 임베디드 장치의 테스트 방법 및 이를 수행하는 컴퓨팅 장치

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010231473A (ja) 2009-03-27 2010-10-14 Hitachi Ltd 監視制御システム
JP2011086012A (ja) 2009-10-14 2011-04-28 Hitachi Ltd 監視制御システム
JP2014032633A (ja) 2012-08-06 2014-02-20 Toshiba Corp プラント監視装置およびプラント操作方法
JP2014225240A (ja) 2013-03-15 2014-12-04 フィッシャー−ローズマウント システムズ,インコーポレイテッド モバイル制御室におけるユーザインターフェースデバイス間でシームレスに状態を伝達するための方法及び装置

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003001343A2 (en) * 2001-06-22 2003-01-03 Wonderware Corporation Supervisory process control and manufacturing information system application having an extensible component model
US7526347B2 (en) * 2003-02-18 2009-04-28 Fisher-Rosemount Systems, Inc. Security for objects in a process plant configuration system
US7016741B2 (en) 2003-10-14 2006-03-21 Rosemount Inc. Process control loop signal converter
JP2007536634A (ja) * 2004-05-04 2007-12-13 フィッシャー−ローズマウント・システムズ・インコーポレーテッド プロセス制御システムのためのサービス指向型アーキテクチャ
US7668830B2 (en) * 2004-11-29 2010-02-23 Nokia Corporation Access rights
US9244455B2 (en) * 2007-09-10 2016-01-26 Fisher-Rosemount Systems, Inc. Location dependent control access in a process control system
US8766794B2 (en) 2010-07-28 2014-07-01 Fisher-Rosemount Systems, Inc. Handheld field maintenance tool with improved locational awareness functionality
CN103348353B (zh) * 2010-10-06 2016-07-06 西里克斯系统公司 基于移动设备的物理位置对资源访问进行中介调节
US8769622B2 (en) * 2011-06-30 2014-07-01 International Business Machines Corporation Authentication and authorization methods for cloud computing security
US9594896B2 (en) 2012-12-21 2017-03-14 Blackberry Limited Two factor authentication using near field communications
US20160132046A1 (en) * 2013-03-15 2016-05-12 Fisher-Rosemount Systems, Inc. Method and apparatus for controlling a process plant with wearable mobile control devices
US9426653B2 (en) * 2013-07-17 2016-08-23 Honeywell International Inc. Secure remote access using wireless network
US20150074749A1 (en) * 2013-09-10 2015-03-12 Rockwell Automation Technologies, Inc. Remote asset management services for industrial assets
US11275861B2 (en) * 2014-07-25 2022-03-15 Fisher-Rosemount Systems, Inc. Process control software security architecture based on least privileges
DE102014111046A1 (de) * 2014-08-04 2016-02-04 Endress+Hauser Process Solutions Ag Verfahren zum Bedienen eines Feldgerätes
US9882893B2 (en) * 2015-09-15 2018-01-30 Honeywell International Inc. System and method for secured password management for industrial devices

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010231473A (ja) 2009-03-27 2010-10-14 Hitachi Ltd 監視制御システム
JP2011086012A (ja) 2009-10-14 2011-04-28 Hitachi Ltd 監視制御システム
JP2014032633A (ja) 2012-08-06 2014-02-20 Toshiba Corp プラント監視装置およびプラント操作方法
JP2014225240A (ja) 2013-03-15 2014-12-04 フィッシャー−ローズマウント システムズ,インコーポレイテッド モバイル制御室におけるユーザインターフェースデバイス間でシームレスに状態を伝達するための方法及び装置

Also Published As

Publication number Publication date
CN107643733A (zh) 2018-01-30
GB201710027D0 (en) 2017-08-09
JP2018014098A (ja) 2018-01-25
DE102017116311A1 (de) 2018-01-25
GB2552414A (en) 2018-01-24
US9805528B1 (en) 2017-10-31
GB2552414B (en) 2022-07-06

Similar Documents

Publication Publication Date Title
JP7010612B2 (ja) プロセスプラントにおけるユーザインターフェイスデバイスに対する二要素認証
JP7013153B2 (ja) プロセスプラント内のプロセス制御装置へのアクセスを制御する認証と権限付与
CN107643738B (zh) 便携式现场维护工具与过程控制仪器之间的过程控制通信
EP3196716B1 (en) Model-based security policy configuration and enforcement in an industrial automation system
US10270853B2 (en) Process control communication between a portable field maintenance tool and an asset management system
US10375162B2 (en) Process control communication architecture
CN109901533B (zh) 用于在过程控制系统中使用的方法和设备
CN113625665B (zh) 集中式安全事件生成策略
KR101957771B1 (ko) IoT 기반의 공장 통합 관리 장치에 의한 웹 서비스 방법
JP2021051741A (ja) プロセス制御システムにおけるhart通信のためのホワイトリスト
CN113625664B (zh) 通过零接触注册的自动端点安全策略分配
JP2021051740A (ja) モバイルデバイスによるプロセス制御データのセキュアなオフプレミスアクセス
US11880181B2 (en) Digital safety locks in industrial process plants

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200720

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200720

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210630

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210706

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210930

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20211221

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220119

R150 Certificate of patent or registration of utility model

Ref document number: 7013153

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150