KR102251600B1 - 산업 제어 시스템을 보안화하기 위한 시스템 및 방법 - Google Patents

Abstract

본 발명은 산업 공정의 제어를 보안화하기 위한 시스템 및 방법과 관련된다. 본 발명은 산업 공정을 제어하기 위해 사용되는 보안 분산 제어 시스템을 제공한다. 상기 시스템은 복수의 현장 디바이스, 하나의 핵심 공정에 대한 제어 로직을 포함하는 FPGA(Field Programmable Gate Array) 모듈 및 나머지 모든 산업 공정의 제어 로직을 포함하는 마스터 프로세서를 포함하는 제어기 모듈, 및 현장 디바이스와 제어기 모듈 간에 신호를 교환하기 위한 입출력 모듈을 포함한다. 본 발명은 본 발명의 시스템을 이용해 제어 로직의 변경으로부터, 산업 공정을 제어하기 위해 사용되는 분산 제어 시스템을 보안화하는 방법을 제공한다.

Description

산업 제어 시스템을 보안화하기 위한 시스템 및 방법{A SYSTEM AND METHOD FOR SECURING AN INDUSTRIAL CONTROL SYSTEM}

본 발명은 일반적으로 플랜트에서의 산업 공정을 제어하기 위한 시스템 및 방법에 관한 것이며, 더 구체적으로 산업 공정을 제어하기 위한 보안화된 시스템 및 방법에 관한 것이다.

산업 플랜트에서, 제어 시스템이 사용되어 플랜트에서 수행되는 산업 공정의 대부분을 제어한다. 일반적으로, 플랜트는 사용자 I/O, 디스크 I/O, 및 그 밖의 다른 주변장치를 갖는 DCS(Distributed Control System, 분산 제어 시스템)를 갖는 중앙 집중 제어실을 가진다. 제어 시스템 네트워크에 제어기가 연결된다. 공정 I/O 서브시스템은 플랜트 전체의 다양한 현장 디바이스(field device)에 연결되는 복수의 I/O 포트를 포함한다. 현장 디바이스는 다양한 유형의 분석 장비, 압력 센서, 용량성 압력 센서, 저항성 온도 검출기(resistive temperature detector), 전력 스위치, 열전대, 리미트 스위치, 온/오프 스위치, 유량 전송기(flow transmitter), 압력 전송기(pressure transmitter), 커패시턴스 레벨 스위치, 저울, 밸브 포지셔너(valve positioner), 밸브 제어기, 액추에이터, 솔레노이드, 및 지시 조명을 포함한다. 본 명세서에 사용될 때, 용어 "현장 디바이스"는 이들 디바이스뿐 아니라 분산 제어 시스템에서의 기능을 수행하고 제어 분야에 잘 알려진 그 밖의 다른 임의의 디바이스까지 포함한다.

공정 산업 제어 시스템은 일반적으로 DCS(Distributed Control System, 분산 제어 시스템)가 제어기 요소를 이용하여 산업 공정을 모니터링 및 제어할 수 있는 산업 시스템 또는 산업 공정 세트의 모니터링 및 제어 시스템을 지칭한다. 정보를 플랜트의 제어실에 위치하는 조작자 콘솔을 통해 산업 공정을 모니터 및 제어하는 인간 조작자(operator)에게 전송하는 DCS 서버 및 엔지니어링 스테이션에 의해 제어기가 통제된다. 단일 DCS는 경고(alarm) 및 관찰 가능 데이터(viewable data)를 통해 인간 조작자에게 산업 공정 상태에 대해 통지하도록 사용되는 복수의 조작자 콘솔을 포함할 수 있다. 복수의 제어 시스템, 가령, DCS 및 ESC(Emergency Shutdown System, 비상 정지 시스템)이 공정 제어 통신 네트워크에 의해 연결될 수 있다.

산업 제어 시스템(ICS)이 기업 LAN(기업 제어 네트워크(Enterprises Control Network)) 및 제어 시스템 LAN으로 구성된다. 협업 워크스테이션(Corporate workstations), 비즈니스 서버, 웹 서버, 협업 데이터베이스는 협업 LAN으로 분류된다. 감독의 데스크 및 엔지니어링 워크스테이션으로 모니터링 및 제어를 제공하도록 산업 케이블/버스 네트워크(Modbus, Profibus, Fieldbus 및 그 밖의 다른 것)를 통해 링크될 수 있는 제어실 작업 스테이션, DCS 제어기, HMI(Human Machine Interface, 인간 기계 인터페이스), 전체 생산 라인 및 공정은 제어 시스템 LAN으로 분류된다.

DCS(Distributed Control System)가 산업 플랜트, 전기 전력 발생, 오일 및 가스 정제소, 화학, 자동차 생산 및 그 밖의 다른 다양한 산업 플랜트에서의 산업 공정을 제어하기 위해 사용된다. DCS는 여러 고유 특성, 가령, 실시간 반응 필요성 및 매우 높은 가용성, 예측 가능성, 및 제어 및 데이터의 신뢰 가능성을 가진다. DCS의 사용이, 흔한 인적 과오로부터 핵심 인프라구조를 보호하고 사적 정보의 오염으로부터 이들을 보호하면서, 최소 리스크로 인간의 건강 및 안전을 도출하고, 심각한 환경 오염을 방지하고, 국가 경제 및 핵심 기능을 수행할 수 있는 능력에 부정적인 영향을 초래하는 심각한 생산 중단 또는 둔화를 방지한다.

DCS는 다양한 산업에서 산업 공정에서 사용되는 분산된 장비를 모니터링 및 제어하도록 구현된다. DCS는 연속식 또는 배치 중심(batch-oriented)인 제조 공정을 제어하도록 사용되는 전용 시스템이다. DCS는 센서 및 액추에이터로 연결되고 셋포인트 제어(setpoint control)를 이용하여, 공정을 제어할 수 있다. 입/출력 디바이스(I/O)가 제어기와 일체 구성되거나 원격지에 위치할 수 있다. 제어기의 전체 시스템이 통신 및 모니터링을 위해 네트워크에 의해 연결된다. 원격 스테이션으로부터 수신된 정보를 기초로, 자동화된 또는 조작자에 의해 구동되는 감독 명령어가, 종종 현장 디바이스라고 지칭되는 원격 스테이션 제어 디바이스로 입력될 수 있다. 현장 디바이스는 로컬 작업, 가령, 밸브 및 브레이커(breaker)의 개방 및 폐쇄 작업, 펌프, 모터 및 그 밖의 다른 공정의 시작 및 종료 작업, 센서 시스템으로부터의 데이터 수집 작업, 및 경고 상태에 대해 로컬 환경 모니터링 작업을 제어한다.

DCS는 계산 능력을 가지며, PID(proportional-integral-derivative, 비례-적분-미분) 제어에 추가로, 일반적으로 로직 및 순차 제어를 수행할 수 있다. ICS에서 이용 가능한 ESD(Emergency Shutdown system) 같은 전용 안전 시스템 및 네트워크가 존재하더라도, 발전소 정지가 큰 경제적 손실을 초래할 수 있다.

ICS로의 그리고 ICS로부터의 데이터 전송이 보안 위험에 대해 평가되어야 한다. USB 저장 드라이브 또는 기업/ICS 방화벽이 결점이 있는 방어벽이다. ICS 감염의 완벽한 방지가 아마도 불가능하며 완벽한 방지 대신, 산업은 ICS를 사이버 침투로부터 보호할 수 있는 보안 아키텍처를 만들어야 한다. ICS 또는 SCADA(Supervisory Control And Data Acquisition) 시스템이 고도로 복잡하고 상호연결되어 있으며, 외부 세계에서 공정 제어기로 복수의 가능한 경로로 뒤따른다.

기업 제어 네트워크(Enterprise Control Network)가 대부분 비즈니스 사용자, 비즈니스 회계 및 플래닝 시스템, 가령, ERP(Enterprise Resource Planning) 시스템을 호스팅하는 회사 네트워크이다. ISA(Microsoft Internet Security and Acceleration) 서버가 플랜트 구역(plant zone)을 WAN으로부터 보호한다. 이들은 또한 구역들을 서로에 대해 보호한다. 보안 구역들 간의 모든 트래픽이 ISA 서버를 통과한다. 각각의 ISA 서버가 복수의 기능, 가령, 방화벽 서비스, 네트워크 주소 변환, 웹 프록시, 바이러스 스캐닝 및 보안 웹 서버 퍼블리싱을 호스팅한다. 디폴트(default)로서 모든 ISA 서버는 신뢰도가 낮은 네트워크, 가령, 회사 WAN으로부터 시작되는 연결을 차단하도록 구성된다. ISA 서버는 경계 네트워크(Perimeter Network)에서, 신뢰도가 낮은 네트워크 상의 클라이언트로부터 선택된 서버, 가령, 웹 서버로의 연결, 가령, 웹 서비스 연결을 허용한다.

일반적으로 DCS 디바이스 및 ERP 시스템은 비-경화 네트워킹 스택(non-hardened networking stack)을 이용하며, 가장 일반적인 운영 체제는 Microsoft사의 Windows이다. 따라서 이러한 시스템은 바이러스, 웜(worm) 및 트로이목마의 희생양이 되기 쉬울 수 있다. 설치되는 안티바이러스 소프트웨어의 품질에 관계없이, 맬웨어(malware)(가령, 트로이목마, 바이러스 및 웜)가 인터넷 또는 그 밖의 다른 임의의 수단으로부터 의도치 않게 다운로드될 수 있으며, 모든 유형의 휴대용 메모리 디바이스 상에 스스로를 복제할 수 있다.

사이버 공격 및 산업 공정을 위한 DCS 상의 제어 로직의 변경으로 인한 플랜트 작업의 장애를 보여주는 최근 예시가 존재한다. 2012년 7월에 발생한 역사상 가장 큰 정전, 이른바, 매시브 블랙아웃(massive blackout)이 전세계 인구의 10%를 넘는 인도의 거의 7억 명의 사람들에게로의 전력을 무력화시켰으며, 2일 동안 전기 없는 사람들의 수가 전 세계 인구의 10% 넘으며, 이는 상당한 경제적 비용 손상을 초래했다. 이의 요인은 제어 시스템 오작동에 영향을 미치는 의도된 인간 개입 또는 그 밖의 다른 임의의 요인 또는 바이러스, 웜, 및 트로이목마로 추정된다.

한 가지 이러한 예시로는 산업 공정 제어를 손상시키도록 설계된 컴퓨터 맬웨어인 스턱스넷(Stuxnet) 웜이 있다. 스턱스넷은 외부 세계(outside world)로부터 아마도 고립되고 보안화된 ICS(산업 제어 시스템)으로 이주했을 수 있다. 이는 ICS를 감염시키고 ICS 내부로 전파되었으며, 보안 기술 및 절차를 빠져나오기에 충분히 강력했다. 이는 인터넷으로 노출된 ERP 네트워크를 통해 또는 감염된 이동식 드라이브(예컨대, USB 플래시 드라이브 및 외부 휴대용 하드 디스크)를 통해 또는 로컬 영역 네트워크 통신(가령, 공유 네트워크 드라이브 및 그 밖의 다른 서비스)을 통해 전파됐고, DCS/PLC 제어 로직 파일을 감염시켰다. 이는 복수의 네트워크 경로를 통해 빠르게 전파됐고, 이의 거동을 변경해서 이용 가능한 바이러스 검출 기법에 의해 검출되는 것을 피했으며, 피어-투-피어 네트워크(peer-to-peer network)를 확립해서, 심지어 직접 인터넷 연결이 없는 장비에까지 명령어를 전파시키고 서버를 제어하였다.

이는 프로그래밍 로직을 더 변경하여, 프로세스 제어기가 오작동하도록 하고, 변경된 제어 로직 프로그램을 오작동되는 시스템을 진단하는 제어 엔지니어 및 시스템 관리자로부터 은닉시킨다. Windows 운영 체제 및 프로세스 제어기는 이 맬웨어의 희생양이 된다. 이 맬웨어가 적합한 타깃을 검출하면, 제어 시스템의 특정 모델에서 제어 로직을 변경한다. 목적은 변수-주파수 구동 제어 로직을 이용하는 특정 산업 공정을 파괴하는 것처럼 보인다.

중요 인프라구조에 대한 사이버-범죄 및 그 밖의 다른 전자 공격이 또한 대두되고 있다. 과거에 원격 크래킹(remote cracking)이 많은 기술이나 컴퓨터 지식을 요구했던 것이 비해, 현재는 해커가 인터넷으로부터 공격 스크립트 및 프로토콜을 다운로드하고 희생 사이트 또는 시스템에 대해 이들을 런칭할 수 있다. 따라서 공격 툴이 더 정교해졌지만, 또한 사용되기 더 용이해졌다. 이는 또한 다양한 상당한 국가적 보안 위협을 초래한다. 시베리안 횡단 파이프라인 프로젝트의 스턱스넷 침투 및 해킹이 산업 제어 시스템의 사이버 및 전자 공격의 몇 가지 일반적인 예시이다.

상기 예시를 바탕으로, DCS의 현재 인프라구조는 완벽하게 보안화되지 않으며, 산업 플랜트 장애를 초래할 수 있고 안전, 금전, 및 환경적 위험 측면에서 상당한 손실을 초래할 수 있다고 할 수 있다. 산업 제어의 시스템 및 방법에 내재된 한계 측면에서, 보안화된 DCS 및 효율적이고, 빠르고, 강건하며, 유연하고, 비용 효율적이고, 보안 및 환경 친화적 방식으로 DCS를 보안화하기 위한 방법에 대한 필요성이 존재한다. 본 발명은 이러한 필요성을 수행하며 다음의 개요에서 기재될 추가 이점을 제공한다.

앞서 언급된 종래 기술의 단점을 살펴볼 때, 본 발명의 일반적인 목적은 편의와 유용성의 개선된 조합을 제공하고, 종래 기술의 이점을 포함하면서 이의 단점을 극복하는 것이다.

하나의 측면에서, 본 발명은 산업 공정을 제어하기 위해 사용되는 보안 분산 제어 시스템을 제공한다. 상기 시스템은 복수의 현장 디바이스와, 적어도 하나의 핵심 산업 공정에 대한 제어 로직을 포함하는 FPGA(Field Programmable Gate Array) 모듈 및 핵심 공정을 제외한 나머지 모든 산업 공정의 제어 로직을 포함하는 마스터 프로세서를 포함하는 제어기 모듈과, 복수의 현장 디바이스와 제어기 모듈 간에 신호를 교환하기 위한 입출력 모듈을 포함한다.

본 발명의 또 다른 측면에서, FPGA 모듈의 제어 로직이 특수 툴을 이용해 하드웨어 기술 언어로 설정된다.

본 발명의 또 다른 측면에서, 상기 FPGA 모듈을 하드웨어 기술 언어(Hardware Description Language)로 설정함으로써, 의도된 인간 인터럽션, 사이버 공격, 맬웨어, 트로이목마, 바이러스를 포함하는 오프라인 또는 온라인 소프트웨어 위협, 감염된 저장 디바이스, 또는 이들의 조합으로 인한 제어 로직의 수정을 방지한다.

본 발명의 또 다른 측면에서, 제어 로직의 변경으로부터 산업 공정을 제어하기 위해 사용되는 분산 제어 시스템을 보안화하는 방법을 제공한다. 상기 방법은

복수의 현장 디바이스, 제어기 모듈 및 입출력 모듈을 포함하는 DCS를 제공하는 단계, 적어도 하나의 핵심 공정을 식별하는 단계, FPGA(Field Programmable Gate Array) 모듈을 제공하는 단계, 제어기 모듈로부터 적어도 하나의 핵심 공정의 제어 로직을 분리하는 단계, 및 제어기 모듈이 핵심 공정에 대한 제어 로직을 포함하는 FPGA 모듈 및 핵심 공정을 제외한 나머지 모든 공정의 제어 로직을 포함하는 마스터 프로세서를 포함하도록, 상기 적어도 하나의 핵심 공정의 제어 로직을 상기 FPGA 모듈에 씀으로써 상기 FPGA 모듈을 설정하는 단계를 포함한다.

이러한 측면 및 본 발명의 그 밖의 다른 측면이, 본 발명을 특징짓는 다양한 신규성 특징과 함께, 본 명세서의 일부를 형성하는 이하의 특허청구범위에서 나타난다. 본 발명을 더 잘 이해하기 위해, 이의 동작 이점 및 이의 사용에 의해 획득되는 특정 목적이 본 발명의 예시적 실시예가 도시된 첨부된 도면 및 설명을 통해 언급된다.

본 발명의 이점 및 특징이 첨부된 도면과 함께 이하의 더 상세한 설명을 참조하여 더 잘 이해될 것이다.
도 1은 본 발명의 하나의 실시예에 따르는 보안화된 DCS의 개략도이다.
도 2는 본 발명의 하나의 실시예에 따르는 제어기 모듈의 블록도이다.
도 3은 본 발명의 하나의 실시예에 따르는 DCS를 보안화하는 방법의 흐름도이다.
도 4는 본 발명의 하나의 실시예에 따르는 ESD 시스템과 함께 동작하는 본 발명의 시스템의 개략도이다.
도면 전체에서 유사한 도면 부호가 유사한 부분을 지칭한다.

이하의 기재에서, 설명 목적으로, 여러 특정 세부사항이 제공되어 본 발명에 대한 완전한 이해가 제공될 수 있다. 그러나 해당 분야의 통상의 기술자에게 본 발명이 특정 세부사항 없이 실시될 수 있음이 자명할 것이다.

본 명세서에서 사용될 때, 용어 '복수의'는 언급되는 아이템이 2개 이상 존재함을 지칭하고, 단수 관사('a', 'an') 및 '적어도'는 수량의 제한을 명시하지 않고, 오히려 언급된 아이템이 적어도 하나 존재함을 나타낸다.

용어 '산업 공정' 또는 '공정'은 본 명세서에서 상호 교환 가능하게 사용되어 동일한 의미를 나타낼 수 있다.

예시적 실시예에서, 본 발명은 산업 제어 시스템을 보안화(secure)하기 위한 방법 및 시스템을 제공한다. 본 발명의 시스템 및 방법이 용이하고, 비용 효율적이며, 환경 친화적이고, 생산적인 방식으로 대량 구현예를 위해 사용될 수 있다.

본 발명의 개선점이, 이하에서 특정하게 기재된 것 외의 다른 산업 제어 시스템을 보안화하기 위한 임의의 개수의 방법 및 시스템에 적용 가능하다고 이해될 것이다. 해당 분야의 통상의 기술자에게 이러한 방법 및 시스템이 쉽게 이해될 것이며, 해당 분양에서 자명하게 공지된 다양한 변경을 야기함으로써 획득 가능하다.

본 발명의 기재에서 사용되는 트레이드마크, 소프트웨어 명칭 등이 각자의 소유자 회사의 재산이며 본 명세서에서는 예시 목적으로만 사용된다. 출원인은 이러한 용어에 대해 어떠한 권리도 주장하지 않는 바이다.

"하나의 실시예" 또는 "또 다른 실시예"라는 언급은 상기 실시예와 관련하여 기재된 특정 특징부, 구조물, 또는 특성이 본 발명의 적어도 하나의 실시예에 포함될 수 있음을 의미한다. 명세서의 다양한 위치에서 "하나의 실시예에서"라는 구문의 등장이 모두 반드시 동일한 실시예를 지칭하는 것은 아니며, 그 밖의 다른 실시예와 상호 배타적인 개별 또는 대안적 실시예인 것도 아니다. 또한, 본 발명의 하나 이상의 실시예를 나타내는 공정 흐름도 또는 다이어그램에서의 단계들의 순서가 임의의 특정 순서를 가리키는 것이 아니며 본 발명에서 어떠한 한정도 의미하지 않는다.

본 발명의 하나의 실시예에 따라, 산업 공정을 제어하기 위해 사용되는 보안 분산 제어 시스템(10)의 개략적 다이어그램을 도시하는 도 1을 참조한다. 상기 시스템(10)은 복수의 현장 디바이스(12)를 포함하고, 현장 디바이스(12) 각각은 산업 공정을 시작 및 중단하는 동작, 센서로부터 데이터를 수집하는 동작, 경고 상태에 대해 산업 공정을 모니터링하는 동작, 제어기 모듈(14)이 복수의 현장 디바이스(12)로부터 수신된 데이터를 기초로, 사전 설정된 제어 로직에 따라, 복수의 산업 공정을 제어하고 공정 상태 및 경고 상태에 대해 필요한 조치를 취하기 위한 동작을 위해 사용된다. 제어기 모듈(14)은 복수의 산업 공정의 적어도 하나의 핵심 산업 공정에 대한 제어 로직을 포함하는 FPGA(Field Programmable Gate Array, 현장 프로그램 가능한 게이트 어레이) 모듈(16) 및 복수의 산업 공정 중에서 핵심 공정을 제외한 나머지 모든 산업 공정의 제어 로직을 포함하는 마스터 프로세서(18)를 포함한다. 시스템은 또한 복수의 현장 디바이스(12)와 제어기 모듈(14) 간 신호를 교환하기 위한 입출력 모듈(20)을 더 포함한다.

현장 디바이스(12)는 다양한 유형의 분석 장비, 압력 센서, 용량성 압력 센서, 저항성 온도 검출기, 전력 스위치, 열전대, 리미트 스위치, 온/오프 스위치, 유량 전송기, 압력 전송기, 커패시턴스 레벨 스위치, 저울, 밸브 포지셔너, 밸브 제어기, 액추에이터, 솔레노이드, 및 지시 조명을 포함할 수 있다. 본 명세서에서 사용될 때, "현장 디바이스"라는 용어는 이들 디바이스뿐 아니라 분산 제어 시스템 내에 있는 제어 분야에서 공지된 기능을 수행하는 그 밖의 다른 임의의 디바이스를 포함한다.

제어기 모듈(4)은 프로세스 파라미터에 대한 신호를 현장 디바이스로부터 수신하고 각자의 산업 공정을 제어하기 위해 필요한 조치를 취한다. 제어기 모듈(14)은 프로세서의 올바른 동작 파라미터가 무엇인지, 검출된 파라미터의 임계 값이 무엇인지, 파라미터의 변화가 있을 때 어떤 조치가 취해져야 하는지에 대한, 모든 프로세스의 제어 로직의 프로그래밍을 가진다. 제어기 모듈(14)은 현장 디바이스(12)로부터 입출력 모듈(20)을 통해 신호를 수신한다. 상기 입출력 모듈(20)은 현장 디바이스(12)에 의해 수집된 프로세스의 서로 다른 파라미터의 값을 제어기 모듈(14)로 전송하고 또한 필요한 조치를 취하기 위한 제어기 모듈의 명령어를 현장 디바이스로 전송한다.

본 발명의 시스템(100)은 서로 다른 산업 공정을 모니터링하고 공정을 제어하기 위해 필요한 명령어를 제공할 수 있는 조작자 콘솔(도시되지 않음)을 더 포함한다.

본 발명의 제어기 모듈(14)은 FPGA(Field Programmable Gate Array) 모듈(16) 및 마스터 프로세서(18)를 포함한다. 종래의 DCS 제어기 모듈은 복수의 산업 공정 모두의 제어 로직을 포함하는 단일 프로세서를 가진다. 그러나 본 발명의 시스템(10)은 복수의 산업 공정으로부터 선택된 적어도 하나의 핵심 산업 공정에 대한 제어 로직을 포함하는 FPGA(Field Programmable Gate Array) 모듈(16) 및 복수의 산업 공정 중에서 핵심 공정을 제외한 나머지 모든 산업 공정의 제어 로직을 포함하는 마스터 프로세서(18)를 포함하는 제어기 모듈(14)을 제안한다. 본 발명의 또 다른 실시예에서, 둘 이상의 공정이 핵심 공정으로 식별되며, 이들 각자의 제어 로직이 FPGA 모듈(16) 내에 기입될(written) 수 있다.

본 발명의 하나의 실시예에서, FPGA 모듈(16) 내 제어 로직이 HDL(Hardware Description Language, 하드웨어 기술 언어)로 설정된다. 상기 FPGA 모듈은 특수 툴을 이용해서만 설정 가능하며 특수 툴이 이용 가능하지 않는 경우 설정될 수 없다.

FPGA(Field-programmable gate array) 모듈은 고객 또는 설계자가 설정하도록 설계된 프로그램 가능한 회로이다. FPGA 보안은 소프트웨어 및 지적 재산권 레벨에서 특징을 가진다. FPGA는 거의 모든 유형의 디지털 회로 또는 시스템이 되도록 전기적으로 프로그램될 수 있는 사전 제조된 실리콘 디바이스이다. 합성 툴(synthesis tool)이 코드를 비트 스트림으로 번역하며, 상기 비트 스트림은 FPGA의 설정 메모리로 다운로드된다. 일반적으로, HDL(hardware description language)가 디바이스를 설정하도록 사용된다. 또한 특정 디바이스에 대해 최적화된 솔루션을 기초로 라이브러리가 존재한다.

FPGA는 동시에 병렬로 동작할 수 있다. 병렬 동작이 훨씬 더 높은 속도를 가능하게 할 뿐 아니라, 컴퓨터의 경우처럼 작업(task) 또는 콘텍스트(context)를 스위칭할 필요성을 제거하기도 한다. 실시간 적용의 경우, 컴퓨터의 운영 체제의 주요 기능이 인터럽트를 처리하기 위해 작업을 스위칭하고 프로그램 내 다양한 작업들에게 컴퓨터 자원을 지명(dispatch)하는 것이다. FPGA 내 병렬 회로는 또한 신호 처리 적용을 위해 효율적인 파이프라인 동작을 생성한다.

HDL은 FPGA를 설정하기 위한 가장 일반적인 접근법이다. 두 가지 주요 언어가 있는데, 즉, VHDL과 Verilog이다. Verilog는 본래 하드웨어를 모델링하기 위한 C와 유사한 프로그래밍 언어였다. FPGA는 복잡한 디지털 계산을 구현하기 위해 로직 게이트 및 RAM 블록의 많은 자원을 가진다.

HDL(Hardware Description Language)로 상기 FPGA 모듈이 설정됨으로써, 의도된 인간 인터럽션, 오프라인 또는 온라인 소프트웨어 위협, 가령, 사이버 공격, 맬웨어, 트로이목마, 바이러스, 감염된 저장 디바이스, 또는 이들의 조합으로부터 제어 로직이 수정되는 것이 방지되며, 따라서 핵심 공정의 제어 로직의 임의의 수정에 대비해 시스템(10)을 보안화할 수 있다. 감염된 저장 디바이스는 외부 또는 내부 저장 디바이스, 예컨대, USB, 메모리 카드, 하드 디스크 또는 프로그램에 영향을 미치는 임의의 제어 로직에 의해 감염되는 임의의 이러한 저장 디바이스일 수 있다.

제어 로직의 열화 또는 변경 및 DCS에 대한 위협이 임의의 외부 위협 또는 내부 위협일 수 있다. 외부 위협은 인터넷, ERP 네트워크 또는 플랜트 네트워크로 연결된 그 밖의 다른 임의의 네트워크, 임의의 감염된 대용량 저장 디바이스, 가령, USB, 외부 하드-드라이브 또는 그 밖의 다른 임의의 저장 디바이스로부터 올 수 있다. 외부 위협은 임의의 유형의 맬웨어, 바이러스, 트로이목마, 웜, 스파이웨어 또는 제어 네트워크의 해킹의 형태를 가질 수 있다.

마찬가지로, 내부 위협은 경고 상태를 유발하는 일부 인간 효과, 가령, 공정 제어를 핸들링할 때의 인간의 실수일 수 있다. 플랜트 동작, 플랜트 유지관리 또는 그 밖의 다른 임의의 플랜트 상태 중의 일부 의도된 인간 인터럽션의 형태를 가질 수 있다. 본 발명의 시스템(10)은 외부 및 내부 위협으로부터 산업 공정의 제어 로직의 열화 또는 변경을 방지한다.

본 발명의 또 다른 실시예에서, FPGA 모듈(16)이 통신 버스를 이용해 마스터 프로세서(18) 및 입출력 모듈(20)로 인터페이싱되는 하드웨어 구성요소이다. 이로 인해서, 시스템(10)의 구현이 매우 용이해 진다. 핵심 공정 제어가 제어기 모듈 레벨에서 기존 DCS에 내장되는 FPGA 모듈(16) 상에서 구현되며 DCS에서 이용 가능한 것과 동일한 입력/출력을 효과적으로 이용한다. 따라서 새 제어 시스템에 대한 투자를 피한다.

DCS에 추가로 산업 제어 시스템이 비정상 상태에서 활성화되고 플랜트를 셧다운하는 ESD(Emergency Shutdown System, 비상 정지 시스템)를 더 포함한다. 사이버 공격에 의한 셧다운 후 다시 DCS 시스템이 완전히 테스트되지 않는 한, 시동 및 생산이 이뤄질 수 없다. DCS의 완전한 테스트 및 시운전(test and commissioning)이 요구된다. 테스트 및 시운전이 덜 핵심적인 공정에 대해서만 이뤄질 필요가 있기 때문에, 본 발명의 시스템(10)은 플랜트의 재테스트 및 시운전을 줄인다. 핵심 공정은 FPGA에서 안전하게 보호되기 때문에, 테스트 및 시운전이 나머지 덜 핵심적인 공정에 대해서만 이뤄질 필요가 있다. 이는 임의의 사이버 공격의 경우 DCS의 완전한 테스트 및 시운전의 경우보다 더 빠른 플랜트 시동을 촉진시키고 경제적이고 환경적인 위험을 제거하고 안전을 향상시킨다.

본 발명의 하나의 실시예에 따라, 제어기 모듈(14)의 블록도를 도시하는 도 2를 참조한다. 제어기 모듈(14)은 FPGA 모듈(16) 및 마스터 프로세서(18)를 포함한다. 상기 FPGA 모듈(16)은 FPGA 프로세서 유닛을 가지며 메모리 유닛, 타이머 유닛, 및 I/O 유닛으로 연결된다. 마찬가지로, 마스터 제어기(18)는 데이터 버스를 통해 연결되는 명령 유닛(instruction unit), 레지스터 유닛(Register unit), 타이머 유닛(Timer unit), ALU, 어드레스 유닛(Address unit), 메모리 유닛, 정수 유닛(Integer unit), 프로세서 유닛 및 I/O 유닛을 가진다.

도 3은 본 발명의 하나의 실시예에 따르는, 제어 로직의 변경에 대비해, 산업 공정을 제어하기 위해 사용되는 분산 제어 시스템을 보안화하는 방법(100)의 흐름도를 도시한다. 상기 방법(100)은 복수의 현장 디바이스(12), 제어기 모듈(14) 및 입출력 모듈(20)을 포함하는 분산 제어 시스템을 제공하는 단계(110)로 시작한다. 플랜트의 공정의 산업 제어에서 종래 기술에서 이용 가능한 종래의 DCS가 제공되고 구현된다. 현장 디바이스(12)는 공정 파라미터에 대한 정보를 수집하고 이를 I/O 모듈(20)을 통해 제어기 모듈(14)로 공급한다. 제어기는 제어기 모듈 내 데이터 및 제어 로직의 프로그래밍을 기초로 모든 정보를 모니터링하고 필요한 명령어를 현장 디바이스로 제공한다. DCS는 산업 공정 제어에서 사용될 종래 기술에서 이용 가능한 그 밖의 다른 표준 구성요소를 더 포함할 수 있으며, 참조로서 포함된다.

단계(20)에서, 산업 플랜트에서 복수의 산업 공정 중 적어도 하나의 공정이 핵심 공정으로 식별된다. 이 식별은 실험을 기초로 이뤄지거나 플랜트 소유자 또는 설계자에 의해 선택될 수 있다. 본 발명의 또 다른 실시예에서, 복수의 공정이 핵심 공정으로 식별될 수 있다. 예를 들어, 화력 발전소에서 서로 다른 구성요소, 가령, 보일러, 터빈, 응축기, 급수 펌프 및 굴뚝에 의해 수행되는 서로 다른 동작이 있다. 플랜트 엔지니어가 보일러 동작이 플랜트에 대해 핵심적이라고 느낄 수 있으며, 그렇다면 보일러에서의 스팀의 생성이 핵심 공정으로 식별된다. 상기 플랜트 엔지니어는 또한 급수 펌프가 핵심 구성요소라고 느낄 수 있으며, 따라서 공정이 또한 또 다른 핵심 공정으로 식별됨으로써, 여기서 2개의 공정이 핵심 공정으로 식별된다.

퍼니스(furnace), 코크 드럼(coke drum), 퀀치 타워(quench tower), 정류탑 및 환류 드럼을 갖는 정유소의 딜레이드 코커 유닛(delayed coker unit)에 대해서도 유사한 방식으로, 조작자가 코크 드럼 동작을 핵심적이라고 식별할 수 있어, 본 발명의 방법에서 핵심 공정으로서 사용된다.

그 후 단계(130)에서 FPGA(Field Programmable Gate Array) 모듈(16)이 제공된다. FPGA 모듈(16)은 고객 또는 설계자에 의해 설정되도록 설계된 프로그램 가능한 집적 회로이다.

단계(140)에서, 식별된 핵심 공정의 제어 로직이 제어기 모듈(14)로부터 분리된다. 식별된 핵심 공정에 대한 제어 로직의 프로그래밍의 일부분이 제어기 모듈로부터 제거된다.

그 후, 단계(150)에서, FPGA 모듈(16)이 FPGA 모듈에 핵심 공정의 제어 로직을 씀으로써(write) 설정된다. 제어기 모듈로부터 식별된 핵심 공정에 대응하는 프로그래밍의 제거된 일부분이 FPGA 모듈에서 설정되어, 이제 제어기 모듈은 동시에 동작하는 2개의 구성요소를 가지며, 상기 FPGA 모듈은 핵심 공정에 대한 제어 로직 및 복수의 산업 공정에서 핵심 공정을 제외한 나머지 모든 공정의 제어 로직을 포함하는 마스터 프로세서(18)를 포함한다. 상기 I/O 모듈(20)은 마스터 제어기(18)와 FPGA 모듈(16) 모두에게 공통이지만, FPGA 모듈(16)은 핵심 공정의 제어 로직만 가진다. 앞서 기재된 화력 발전소의 예시에서, 보일러 드럼 레벨의 제어 로직이 FPGA 모듈 안에 있고, 화력 발전소의 공정들 중 나머지가 마스터 프로세서에 의해 제어된다.

본 발명의 하나의 실시예에서, 하드웨어 기술 언어(Hardware Description Language)로 제어 로직을 씀으로써 FPGA 모듈이 설정된다. 또 다른 실시예에서, 특수 툴을 이용해서만 FPGA 모듈의 설정이 수행된다. 하드웨어 기술 언어로 FPGA 모듈을 설정함으로써, 의도된 인간 인터럽션, 오프라인 또는 온라인 소프트웨어 위협, 가령, 사이버 공격, 맬웨어, 트로이목마, 바이러스, 감염된 저장 디바이스 또는 임의의 조합으로 인하 제어 로직의 수정을 방지한다. 감염된 저장 디바이스는 외부 또는 내부 저장 디바이스, 가령, USB, 메모리 카드, 하드 디스크 또는 프로그램에 영향을 미치는 임의의 제어 로직에 의해 감염되는 해당 분야에 알려진 이러한 임의의 저장 디바이스일 수 있다.

원자력 발전 프로젝트와 관련해 설계 도용에 대한 우려가 가장 크며 프로그램 가능 로직의 통합 능력 때문에, 점점 많아지고 다양화되는 이러한 적용예에 대한 복제 및 역설계에 대한 가능성이 우려가 된다. 마찬가지로 설계자/판매자가 자신들의 지적 재산권을 형성하는 자신들의 시스템에 내장된 제품 또는 설계를 복제 또는 역설계로부터 보호하기를 원한다. 또한 설계자/판매자는 FPGA로 또는 FPGA로부터 전송되는 데이터 스트림의 무결성 및 비밀보장을 보호하기를 원한다. 사용자는 복제, 오염, 또는 그 밖의 다른 방식으로 간섭되지 않게 디바이스 설계를 보호하는 것에 관심이 있다. IP 보안이 복잡한 설계 재산권을 구현할 수 있음으로써 경쟁적 이점이 얻어지는 회사 또는 IP 개발자의 주요 관심이다. 최근 들어 IP 도용이 급격히 많아져서, 상당한 경제적 손실을 초래하고 있다. 하드웨어 기술 언어를 이용해 핵심 공정의 제어 로직을 FPGA 모듈에 기입함으로써, 카피캣(copycat)에 의해 콘텐츠가 복제되는 것이 방지되고 설계 및 지적 재산권 도용이 방지된다. FPGA는 특수 툴에 의해서만 설정 가능하기 때문에, 역설계 및 복제되기 보다 어렵다.

도 4는 본 발명의 하나의 실시예에 따라 ESD 시스템과 함께 동작하는 본 발명의 시스템의 개략도이다. 상기 ESD 시스템은 2개의 이중(redundant) 중앙 처리 장치(CPU)인 CPU1 및 CPU2로 각각 연결된 1차 및 2차 ESD 네트워크를 가진다. 이들 CPU는 이들의 의도된 기능을 수행하고 이들 각자의 네트워크와 대화하여 전체 그림을 네트워크에 연결된 다른 시스템으로 제공할 수 있다. 상기 ESD 시스템은 현장 디바이스로부터 정보를 수신하고 CPU의 명령어를 현장 디바이스로 전송함으로써 현장 구성요소의 작동을 제어하는 4개의 여분의 I/O 카드를 더 포함한다. ESD 시스템은 매우 높은 우선순위 경고 상황 및 임의의 제어 파라미터의 매우 높은 셋포인트 값의 경우 플랜트를 셧다운한다. ESD 시스템이 산업 플랜트에서 임의의 하나의 구성요소 또는 공정과 관련된 매우 높은 알람 신호 또는 매우 높은 셋포인트 값을 수신하는 경우, 트립(trip) 명령어를 전송하고 전체 플랜트가 정지된다.

도 4에 나타난 DCS가 본 발명의 하나의 실시예에 따라 보안화되는 DCS(10)이다. 상기 DCS(10)는 FPGA(16)가 포함된 제어기 모듈(14)을 가지며 마스터 프로세서(18)가 여기서 하이브리드 DCS라고 지칭된다. 이하에서 용어 '하이브리드 DCS'는 본 발명의 시스템(10)을 지칭한다. 도시된 바와 같이 2개의 여분의 CPU인 하이브리드 CPU1 및 하이브리드 CPU2를 포함하며, 이들은 각각 1차 DCS 네트워크 및 2차 DCS 네트워크로 연결된다. 본 발명의 하나의 실시예에서, 시스템(10)은 ESD 시스템의 I/O 카드에 독립적으로 현장 디바이스로부터 데이터를 직접 수집하기 위한 4개의 선택적 여분의 I/O 카드를 포함할 수 있다.

DCS 시스템(10)은 플랜트의 정상 동작을 위한 것이며 플랜트를 셧다운하지 않는다. 낮은 우선순위 경보 및 더 낮은 셋포인트에 대해 동작한다. 공정 또는 구성요소 중 어느 것이 DCS 제어 범위 내에 있는 파라미터 값을 보인다면, DCS 제어가 폐쇄 명령어를 전송하여 식별된 공정 또는 구성요소를 동작시킨다. 더 낮은 경고 상황 및 더 낮은 셋포인트가 전체 플랜트의 셧다운을 요구하지 않으며, 중단된 공정 또는 구성요소가 보수될 때까지 특정 공정 또는 디바이스를 폐쇄함으로써 다른 공정은 동작할 수 있다. 본 발명의 DCS 시스템(10)은 안전하지 않은 플랜트 동작 및 이러한 상황에서의 전체 플랜트의 셧다운을 피함으로써, 사이버 공격 후의 플랜트의 재테스트 및 시운전으로 인해 발생하는 막대한 손실을 막을 수 있다. ESD 및 DCS 시스템이 현장 디바이스로부터 데이터를 수신하고 상기 DCS 및 ESD 시스템 로직을 기초로 현장 구성요소로 최종 신호를 전송한다.

FPGA는 다음과 같은 몇 가지 이점을 가진다:

- 높은 신뢰성,

- 높은 속도,

- 개념적으로 단순한 구현,

- 고도로 강건하고 방사선에 경화성임으로써, FPGA에 의해 몇몇 원자로를 안전하고 축소된 기능을 구현하게 할 수 있음,

- 프로그래밍에 대한 더 높은 유연성,

- 더 빨라진 I/O 응답 시간 및 특수 기능,

- 디지털 신호 프로세서보다 많은 컴퓨팅 파워,

- 저전력 소비,

- 더 긴 시간 동안 더 높은 제어 레벨 획득.

FPGA를 이용하는 본 발명의 시스템(10) 및 방법(100)은 앞서 나열된 이점 때문에, 핵 공정 제어 시스템에 대한 유용한 구현예를 찾을 수 있다. 오늘날 FPGA 및 이의 연관된 소프트웨어 툴의 성능 레벨이 대부분의 복잡한 디지털 제어 시스템의 설계에서 고려되기 때문에 진보했다.

본 발명의 방법은 쉽고, 비용 효율적이며, 환경 친화적이고, 생산적인 방식으로, 기존 DCS에서도 하나의 단계로서 구현되거나 새로운 독립적 DCS 또는 임의의 소프트웨어의 일부로서 개발될 수 있다.

한편, 본 발명의 특정 실시예를 모호하게 하지 않도록 잘 알려진 방법, 절차, 및 단계들은 본 명세서에 기재되지 않았다. 또한, 본 발명의 실시예의 다양한 측면은 다양한 시스템 및 방법을 이용해 이뤄질 수 있다.

본 발명의 특정 예시적 실시예가 예시 목적으로 상세히 기재되었지만, 해당 분야의 통상의 기술자에게 개시된 방법의 변형 또는 수정이 자명할 것인데, 예컨대, 방법의 단계들의 재배열, 단계들의 변경, 디바이스의 편차가 가능할 수 있다. 따라서 본 발명은 이러한 모든 대안, 수정, 및 변형을 본 발명의 사상 및 범위 내에 속할 때 포함하는 것으로 의도된다.

본 발명의 특정 실시예에 대한 상기의 기재가 예시 및 설명의 목적으로 제시되었다. 이들은 배타적이거나 본 발명을 정확히 개시된 형태로 한정하려는 것이 아니며, 많은 수정 및 변형이 상기의 기재내용으로부터 가능함이 자명하다. 실시예는 본 발명의 원리 및 이의 실시 적용을 가장 잘 설명하기 위해 선택 및 기재되었으므로, 해당 분야의 종사자가 고려되는 특정 용도에 적합한 다양한 변형과 함께 본 발명 및 다양한 실시예를 최적으로 이용할 수 있게 한다. 상황이 방편을 암시 또는 제공할 수 있을 때 다양한 생략, 치환 또는 균등물이 고려되지만, 본 발명의 청구범위의 사상 또는 범위 내에서의 적용 또는 구현을 포함하도록 의도됨이 이해되어야 한다.

Claims (9)

1. 산업 공정을 제어하는데 사용되는 보안 분산 제어 시스템으로서,
   복수의 현장 디바이스 - 각각의 현장 디바이스는 산업 공정의 시작 및 중단 동작, 센서로부터의 데이터 수집 동작, 경고 상태(alarm condition)에 대해 산업 공정 파라미터를 모니터링하는 동작에 사용됨 - 와,
   상기 복수의 현장 디바이스로부터 수신된 데이터를 기초로, 사전설정된 제어 로직(preset control logic)에 따라 복수의 산업 공정을 제어하고 상기 경고 상태에 대해 필수 조치를 취하기 위한 제어기 모듈 - 상기 제어기 모듈은
   상기 복수의 산업 공정 중 적어도 하나의 핵심 산업 공정(critical industrial process)에 대한 제어 로직을 포함하는 FPGA(Field Programmable Gate Array) 모듈, 및
   상기 FPGA 모듈과 병렬로 동작하는 마스터 프로세서 - 상기 마스터 프로세서는 상기 복수의 산업 공정 중에서 상기 적어도 하나의 핵심 공정을 제외한 나머지 모든 산업 공정의 제어 로직을 포함함 - 를 포함함- 과,
   상기 복수의 현장 디바이스와 상기 제어기 모듈 간에 신호를 교환하기 위한 입출력 모듈을 포함하는
   보안 분산 제어 시스템.
   
2. 제1항에 있어서,
   상기 FPGA 모듈 내의 제어 로직은 하드웨어 기술 언어(Hardware Description Language)로 설정되는
   보안 분산 제어 시스템.
   
3. 제1항에 있어서,
   상기 FPGA 모듈은 특수 툴(special tools)을 이용해서만 설정 가능한
   보안 분산 제어 시스템.
   
4. 제2항에 있어서,
   상기 하드웨어 기술 언어로 FPGA 모듈을 설정함으로써, 의도된 인간 인터럽션, 사이버 공격, 맬웨어, 트로이목마(Trojan), 바이러스를 포함하는 오프라인 또는 온라인 소프트웨어 위협, 감염된 저장 디바이스, 또는 이들의 조합으로 인한 제어 로직의 변경이 방지되는
   보안 분산 제어 시스템.
   
5. 제1항에 있어서,
   상기 FPGA 모듈은 통신 버스를 이용하여 상기 마스터 프로세서 및 상기 입출력 모듈로 인터페이싱되는 하드웨어 구성요소인
   보안 분산 제어 시스템.
   
6. 산업 공정을 제어하는데 사용되는 분산 제어 시스템을 제어 로직의 변경에 대해 보안화하는 방법으로서,
   복수의 현장 디바이스, 제어기 모듈 및 입출력 모듈을 포함하는 분산 제어 시스템을 제공하는 단계와,
   복수의 산업 공정 중 적어도 하나의 핵심 공정을 식별하는 단계와,
   FPGA(Field Programmable Gate Array) 모듈을 제공하는 단계와,
   상기 제어기 모듈로부터 적어도 하나의 핵심 공정의 제어 로직을 분리(segregating)하는 단계와,
   상기 제어기 모듈이 상기 적어도 하나의 핵심 공정에 대한 제어 로직을 포함하는 FPGA 모듈 및 복수의 산업 공정 중에서 상기 적어도 하나의 핵심 공정을 제외한 나머지 모든 공정의 제어 로직을 포함하는 마스터 프로세서를 포함하도록, 상기 적어도 하나의 핵심 공정의 제어 로직을 상기 FPGA 모듈에 기입(write)함으로써 상기 FPGA 모듈을 설정하는 단계 - 상기 마스터 프로세서는 상기 FPGA 모듈과 병렬로 작동함 - 를 포함하는
   분산 제어 시스템을 보안화하는 방법.
   
7. 제6항에 있어서,
   상기 FPGA 모듈은 하드웨어 기술 언어(Hardware Description Language)로 상기 제어 로직을 기입함으로써 설정되는
   분산 제어 시스템을 보안화하는 방법.
   
8. 제6항에 있어서,
   상기 FPGA 모듈의 설정은 특수 툴을 이용해서만 수행되는
   분산 제어 시스템을 보안화하는 방법.
   
9. 제7항에 있어서,
   상기 하드웨어 기술 언어로 상기 FPGA 모듈을 설정함으로써, 의도된 인간 인터럽션, 사이버 공격, 맬웨어, 트로이목마, 바이러스를 포함하는 오프라인 또는 온라인 소프트웨어 위협, 감염된 저장 디바이스, 또는 이들의 조합으로 인한 제어 로직의 변경이 방지되는
   분산 제어 시스템을 보안화하는 방법.

Images