取り外し可能なセキュリティモジュール、および関連する方法
【課題】プロセス制御装置と共に使用するための例示的な取り外し可能セキュリティモジュール、および関連した方法を提供すること。
【解決手段】例示的な取り外し可能セキュリティモジュールは、プロセス制御装置に取り外し可能な状態で連結されるように構成された本体と、本体の中に配置されたメモリと、該メモリの中に格納された共有秘密キーを含む。また、例示的な取り外し可能セキュリティモジュールには、本体の中に配置され且つメモリに連結されており、プロセス制御装置から情報を読み出してその情報を共有秘密キーと比較してからその比較に基づいてプロセス制御装置を認証するように構成された処理ユニットも含まれている。
【解決手段】例示的な取り外し可能セキュリティモジュールは、プロセス制御装置に取り外し可能な状態で連結されるように構成された本体と、本体の中に配置されたメモリと、該メモリの中に格納された共有秘密キーを含む。また、例示的な取り外し可能セキュリティモジュールには、本体の中に配置され且つメモリに連結されており、プロセス制御装置から情報を読み出してその情報を共有秘密キーと比較してからその比較に基づいてプロセス制御装置を認証するように構成された処理ユニットも含まれている。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、概してプロセス制御システムに関し、具体的にはプロセス制御装置と共に使用するための取り外し可能なセキュリティモジュールに関する。
【背景技術】
【0002】
通常、化学薬品の処理、石油精製、製剤工程、紙・パルプ加工工程またはその他の製造工程に使用されるようなプロセス制御システムは、オペレーターワークステーションを少なくとも一つ含む少なくとも一つのホストへと、また、精油所や自動車製造施設などの物理的な工場において物理的な工程または製造に携わる個々の作業(例えば、バルブの開閉およびプロセスパラメータの測定または推測)を制御するための一つ又は複数のフィールド装置(例えば、装置コントローラ、バルブ、バルブアクチュエータ、バルブポジショナ、スイッチ、トランスミッタ、温度センサ、圧力センサ、流量センサおよび化学成分センサ、またはそれの組み合わせ)へと通信可能に連結されるコントローラおよび入・出力(I/O)サーバーのような一つ又は複数のプロセス制御装置を含む。プロセス制御装置は、フィールド装置により行われたプロセス計測且つ又はフィールド装置に関係するその他の情報を示す信号を受け取り、制御ルーチンを実施するべくこの情報を使用し、且つプロセス制御システムの動作を制御するべくバスまたはその他の通信回線を通じてフィールド装置へと送られる制御信号を生成する。
【発明の概要】
【発明が解決しようとする課題】
【0003】
多くのプロセス制御システムには、アクセス権の無い人が制御パラメータを変更したり、装置に命令を出したり、プロセス制御情報を得たりするなどを行えないようにしてプロセス工場の安全且つ信頼できる動作を保証するためのセキュリティ機能特性が組み込まれている。
危険な化学薬品が関与する、或いはメインまたは一次プロセス制御システムが障害を起こしたり、そうでなければ作動中に何らかの問題が生じて信用性を失ったりした際に安全性リスクを伴うその他如何なる材料または工程が関与するような特定のプロセスの動作についてメインまたは一次プロセス制御システムを安全にシャットダウンするために必要とされうる安全計装システム(SIS)を含むプロセス制御工場においては、かかるセキュリティ機能特性が特に重要になりえる。従来から、プロセス制御システムは、独立した個別の安全システムを使用することにより(通常、その使用は限られた数の要員により認可される)、安全計装システムのセキュリティを提供していた。但し、完全に別々のシステムを運用し維持するコストおよび手間が増大したため、プロセス制御システム内の安全システムの統合につながった。このように安全システムをプロセス制御システムへと統合することによりセキュリティ上の懸念を招き、プロセス制御システム自体のセキュリティが侵害された時でも安全計装システムへの変更が無許可で行われることを防ぐためにセキュリティ対策を追加することが要求されるようになった。
【課題を解決するための手段】
【0004】
プロセス制御装置と共に使用するための例示的な取り外し可能セキュリティモジュール、および関連した方法が開示される。例示的な取り外し可能セキュリティモジュールは、プロセス制御装置に取り外し可能な状態で連結されるように構成された本体と、該本体の中に配置されたメモリとを含み、更に該メモリの中に格納された共有秘密キーを有する。また、例示的な取り外し可能セキュリティモジュールには、本体の中に配置され且つメモリに連結されており、プロセス制御装置から情報を読み出してその情報を共有秘密キーと比較してからその比較に基づいてプロセス制御装置を認証するように構成された処理ユニットも含まれている。
【0005】
別の実施例では、プロセス制御装置と共に使用するための複数の取り外し可能セキュリティモジュールのそれぞれに、取り外し可能な状態でプロセス制御装置に連結されるように構成された本体と、該本体の中に配置されたメモリとが含まれており、更に該メモリの中に格納された共有秘密キーを備える。更に、複数のモジュールのそれぞれには、本体の中に配置され且つメモリに連結されており、プロセス制御装置から情報を読み出してその情報を共有秘密キーと比較してからその比較に基づいてプロセス制御装置を認証すように構成された処理ユニットが含まれている。
【0006】
更に別の実施例で、取り外し可能セキュリティモジュールによりプロセス制御装置の安全を確保する方法には、セキュリティモジュールを介してプロセス制御装置における情報を読み取ることと、セキュリティモジュールのメモリの中に格納された共有秘密キーとその情報を比較することとが含まれる。また、例示的な方法にはセキュリティモジュールによる比較に基づいてプロセス制御装置を認証することも含まれる。
【0007】
プロセス制御装置の安全を確保する別の例示的な方法には、プロセス制御装置で依頼または命令を受け取ることが含まれ、この場合、該依頼または命令は第1の個人と関連する。また、例示的な方法には、依頼または命令の受信に応答して秘密キーを得ることと、第2の個人に秘密キーを提供することと、第2の個人を介してプロセス制御装置に秘密キーを送信することと、秘密キーを受け取るプロセス制御装置に応答してプロセス制御装置の依頼または命令を認可することも含まれる。
【0008】
更なる実施例では、分散形プロセス制御システムが、一つ又は複数のプロセス制御装置と、プロセス制御装置の少なくとも一つから情報を読み取るための手段と、その情報を共有秘密キーと比較するための手段とを含む。また、例示的なプロセス制御システムは、該比較に基づいてプロセス制御装置の少なくとも一つを認証するための手段と、プロセス制御装置の少なくとも一つで使用するための一つ又は複数のアプリケーションを認可するための手段も含む。
【図面の簡単な説明】
【0009】
【図1】ここに記載される例示的な方法および機器を実施する例示的なプロセス制御システムを示すブロック図である。
【図2】図1の例示的なセキュリティモジュールの詳細ブロック図である。
【図3】図1の例示的なセキュリティモジュールの平面図を表す図である。
【図4】同側面図を表す図である。
【図5】セキュリティモジュールを制御装置からおよび通信バスから電気的に絶縁するべく図1の例示的なセキュリティモジュールと接続して実施されうるアイソレーション回路構成を表す図である。
【図6】制御装置に委託しアクションを認可するべく図1の例示的なセキュリティモジュールを実施するのに使用されうる例示的な方法のフローチャートを表す図である。
【図7】アクションの二人制認可を実施するべく図1の例示的なセキュリティモジュールを実施するのに使用されうる例示的な方法のフローチャートを表す図である。
【図8】ここに記載される例示的な方法および機器を実施するのに使用されうる例示的なプロセッサシステムのブロック図である。
【発明を実施するための形態】
【0010】
以下、例示的な方法と装置が、その他数ある構成部分の中でも特にハードウェア上で実行されるソフトウェア且つ又はファームウェアを含むものとして説明されているが、かかるシステムは単なる例示に過ぎず本発明を限定するものと見なされるべきでないことをここに述べておく。例えば、これらのハードウェア、ソフトウェアおよびファームウェア部材のいずれかまたは全てを、ハードウェアにおいてのみ、ソフトウェアにおいてのみ、またはハードウェアとソフトウェアの如何なる組み合わせにおいて具現化することも可能であることを意図するものである。しかるべく、以下、例示的な装置およびシステムを説明するが、通常の技術を有する当業者であれば、提示されている実施例がかかる装置およびシステムを実施するための唯一の方法ではないことを容易に理解できるだろう。
【0011】
例示的なプロセス制御システム(例えば図1のプロセスシステム100)は、制御室(例えば図1の制御室102)、プロセス制御装置区域(例えば、図1のプロセス制御装置区域104)、一つ又は複数の成端区域(例えば図1の第1の成端区域106と第2の成端区域108)および一つ又は複数のプロセス区域(例えば図1のプロセス区域110、112、114および116)を含む。プロセス区域は、特定のプロセス(例えば、化学薬品の処理、石油精製、製剤工程、紙・パルプ加工工程、など)を行うことに関連する動作(例えば、ボイラの制御、モータの制御、バルブの制御、監視、パラメータの測定、など)を行う複数のフィールド装置を含む。幾つかのプロセス区域は、厳しい環境条件(例えば、比較的高い温、空気中に浮遊する毒素、危険な放射能レベル、など)により人間によるアクセスが不可能なものもある。制御室は、一般に人間が安全にアクセスできる環境内に備えられる一つ又は複数のワークステーションを含む。ワークステーションは、例えば変数値やプロセス制御機能の変更などによってプロセス制御システムの動作を制御するためにユーザ(例えばエンジニア、オペレータ、など)がアクセスできるユーザ・アプリケーションを含む。プロセスコントローラ区域は、制御室内のワークステーション(複数可)に通信可能に連結された一つ又は複数の制御装置を含む。制御装置は、ワークステーションを介して実施されたプロセス制御方式を実行することによりプロセス区域におけるフィールド装置の制御を自動化する。例示的なプロセス実施法には、圧力センサーフィールド装置を使用して圧力を測定することと、圧力測定に基づいてフローバルブを開・閉するべくバルブポジショナへと自動的に命令を送信することとが関与する。成端区域は、制御装置がプロセス区域におけるフィールド装置と通信することを可能にするマーシャリング・キャビネットを含む。具体的に、マーシャリング・キャビネットは、制御装置に通信可能に連結された一つ又は複数のI/Oカードとフィールド装置との間で信号をマーシャリングする、整理する、且つ又は経由するといった作業を行う。
【0012】
プロセス制御システム内のフィールド装置は、フィールド装置のそれぞれと、制御装置(例えばプロセスコントローラ、プログラマブル論理制御装置、など)に通信可能に連結されためいめいのI/Oカードとの間にバス(例えばワイヤまたは複数のワイヤ、ケーブルまたは回路)を使用することにより制御装置に通信可能に連結される。I/Oカードは、制御装置およびフィールド装置の間で通信される情報を翻訳または変換することにより、異なるデータタイプ且つ又は信号タイプ(例えば、アナログ入力(AI)データタイプ、アナログ出力(AO)データタイプ、離散入力(DI)データタイプ、離散出力(DO)データタイプ、デジタル入力データタイプおよびデジタル出力データタイプ)且つ又は異なるフィールド装置通信プロトコルと関連する複数のフィールド装置へと制御装置を通信可能に連結することを可能にする。例えば、I/Oカードは、当該フィールド装置と関連するフィールド装置通信プロトコルを使用して該フィールド装置と情報を交換するように構成された一つ又は複数のフィールド装置インターフェースを備えうる。異なるフィールド装置インターフェースは、異なるチャネルタイプ(例えば、アナログ入力(AI)チャネルタイプ、アナログ出力(AO)チャネルタイプ、離散入力(DI)チャネルタイプ、離散出力(DO)チャネルタイプ、デジタル入力チャネルタイプおよびデジタル出力チャネルタイプ)を介して通信する。加えて、I/Oカードは、フィールド装置から受け取った情報(例えば電圧レベル、デジタル値など)をプロセス情報(例えば圧力測定値)に変換することができる。
【0013】
特定の制御装置およびフィールド装置間の通信の安全が確保されないと、認可されていない命令(例えば命令を発行することを認可されていない個人且つ又は制御装置に応答して発行された命令)によってプロセス制御システムの安全な動作に深刻になセキュリティ侵害がもたらされうる。例えば、制御信号、或いは、更に概して言うと、フィールド装置にアクションを行わせる(例えば、バルブを閉じて、有毒の且つ又は極めて反応性に富む化学物質の流れを止めさせる)ようなフィールド装置への命令または依頼を通信する権限を特定の制御装置には与えないようにしうる。特定の制御装置且つ又は要員だけがかかる危険性の高い制御装置且つ又はフィールド装置を動せるようにするためには、制御装置およびフィールド装置の高度なセキュリティが要求される。
【0014】
セキュリティは、安全計装システムにとって最も重要なものであるが、一般にプロセス制御システムにおいて(特に、統合化安全装置または設備を含み、プロセス制御システム全体としてのセキュリティが侵害されているかどうかにかかわらず安全装置のセキュリティを要するプロセス制御システムにおいて)相当な重要性を持つ。周知のプロセス制御システムの幾つかにおいては、プロセス制御システムに組み込まれた如何なる制御装置の認証および認可を要求することにより制御装置の委託中にある程度のセキュリティが提供されている。装置が認証され認可された後でのみ、システムにおけるアイデンティティ(識別可能能特性)および役割がその装置に与えられ、その後、該装置がプロセス制御システムとの相互動作を行えるようになる。
【0015】
制御装置の委託後、委託された制御装置へとデータを提供する(例えば、コードまたはソフトウェアをダウンロードする)ことにより、制御装置の役割が有効になる。制御装置の作動中に(即ち、それがそれの役割に準じてそれのダウンロード済みコードまたはソフトウェアを実行中に)、オペレータ、エンジニアまたはその他如何なる認定ユーザが、制御装置の動作を監視したり、制御装置へと命令を送信したり、制御装置からの情報を依頼したりなどすることが可能になりうる。
【0016】
一般に、制御装置の認証によって、制御装置が意図される如く作動すべき制御システムで使用されていることが確認される。周知の認証工程の幾つかは、例えば、制御装置および制御装置が組み込まれているシステムにより認知される共有秘密キーを含む情報を使用しうる。かかる共有秘密キーは、製造時に制御装置に永久的に格納されうるし、プロセス制御システムは制御装置が認証されるとこの共有秘密キーを認識するように構成される。加えて、制御装置は、制御装置がプロセス制御システムと相互運用することができるかを判断するために使用されるプロセス制御システムについての情報を永久的に格納しうる、
【0017】
一旦、制御装置が認証および認可されたなら、ワークステーション、コントローラ、認定されていない要員などによる制御装置の認定されていないアクションまたは使用を防止するべく、制御装置はそれの作動中に更なるセキュリティ対策を採用しうる。多くの場合かかる更なるセキュリティ対策には、制御装置およびプロセス制御システムと関連するその他如何なる構成体(例えばコントローラ、フィールド装置、ワークステーション、要員、アプリケーションなど)の間における如何なる通信に対して暗号化を使用することが含まれうる。これを達成するために、幾つかのプロセス制御装置には、それの製造時に制御装置の中に格納(もしくは製造)されうる一つの暗号キーまたは複数の暗号キーが含まれうる。
【0018】
共有秘密キー、暗号キーなどをはじめとする上述のセキュリティ対策は効果的でありえるが、これらのセキュリティ対策が展開される現在の様態では、実施上の問題が幾つか伴う場合がある。例えば、製造時に制御装置の幾つかの中にハードコードされる共有秘密キーのセキュリティが万一侵害された(例えば、許可されていない構成体に知られてしまった)場合には、その装置のセキュリティを回復するために、制御装置の中の共有秘密キーを変更しなければならないことになる。但し、かかる共有秘密キーの変更には、プロセス制御システムから制御装置を取り外してからその制御装置をそれの製造メーカへ送り共有秘密キーを変更してもらう必要がありうる。更に、万一制御装置が障害を起し交換する必要が生じた場合、不具合を持つ装置に取って代わる装置が如何なるものでも、置換装置の委託(例えば、ソフトウェアまたはそれの役割を行うためのコードの認証、認可、ダウンロード、など)を必要とするが、このような作業には多大なる時間と高額な費用がかかることに加え、しばしば許容できないほど長い時間プロセス制御システムをオフライン状態とすることが要される。
【0019】
更に、I/Oカードおよびフィールド装置が正確な制御装置に連結されている場合でも万一制御装置が不正に使用されると(例えば、誤った命令または依頼に応答してアクションを実行すると)、この場合も、プロセス制御システムにおいて深刻且つ危険な結果が生じうる。制御装置が少なくとも幾つかの動作について正しく使用されること(または、不当に修正変更されないようにすること)を保証するために、幾つかの制御システムまたは当該制御システムの諸部分は、特定の制御装置が依頼または命令に応答して適切なアクションを行うことを許されているかどうかを判断するべく当該制御装置の付加的なアクセス制御または認可を要求する。幾つかの状況(例えば極めて機密性の高い作業)における制御装置の認可には、制御室のオペレータまたはエンジニア、そして制御装置に配置されている別の個人が認可作業を行うことが要求されうる(即ち、二人制認可が要求される)。従来から、制御装置に配置されている人員は、制御室にいる人員からの指示に基づいて装置の所で鍵を回したりコードを入力したりすることが要求されるが、これには、これらの物理的な制約を付けて(例えば、キーロックや鍵などを備えた状態で)制御装置を製造する必要があるだけでなく、鍵の損失や無許可の複製または鍵の乱雑を防ぐために鍵の管理プロトコルを実施することも必要とされる。物理的な鍵を使用することによって、鍵のアクセスの管理、鍵の発行および保管場所の監視、実際に鍵を回す要員の記録管理、などが更に要求される。更に、鍵の切り替えは時間切れになったりしないが、その代わり、物理的に一個人により始動させる必要があるので、結果として実際の運用にて永久に鍵が掛かった状態になったり、または、無制限に有効になったりする。
【0020】
ここに記載される例示的な機器および方法は、より柔軟且つ確実にプロセス制御システムの安全を確保するために使用されうる。特に、ここに記載される例示的な機器および方法は、制御装置(例えばフィールド装置、コントローラなど)に取り外し可能な状態で連結することができるセキュリティモジュールを使用する。セキュリティモジュールは、制御装置を認証し、委託し、それの安全を確保するため、および制御装置に関連したアクションまたはアプリケーションを認可するために必要な実質的に全てのセキュリティソフトおよび電子機器を提供する。これには、例えば、制御装置を認証するために使用される秘密キー(例えば共有秘密キー)を格納すること、制御装置のアクションを認可するために使用される暗号キーまたはその他の暗号情報を格納すること、認定されていない依頼または命令から保護すること、制御装置にアイデンティティを提供すること、プロセス制御システムにおける制御装置の役割を割り当てること、二人制認可方式を円滑に実施すること、および割り当てられた役割を行うべきデータで制御装置を構成することが含まれる。
【0021】
セキュリティモジュールが制御装置に連結される場合、セキュリティモジュールは制御装置から制御装置情報を読み取る。この情報は、セキュリティ装置のメモリに格納された共有秘密キーと比較される。制御装置情報および共有秘密キーの間に相互関連性(例えば一致するもの)がある場合、制御装置の据え付けが認証される。よって、セキュリティモジュールは制御装置を認証し、プロセス制御システムへそれを組み込む。共有秘密キーおよび制御装置情報が相互に関連しない、または一致しない場合、制御装置は、セキュリティモジュールを使用することが認証されず、当該のプロセス制御システムまたはプロセス制御システムの当該の部分に据え付けられることが認可されない。その場合、制御装置は委託不可能となり、よって作動不能のままとなる。
【0022】
制御装置が委託された後、制御装置は、認証中にそれに割り当てられた役割を行うために制御装置が必要とするデータで構成される。一旦制御装置が作動し始めると、該制御装置には普通一人又は複数人のオペレータまたはエンジニアが立ち合う。オペレータ且つ又はエンジニアは、システム(またはその部分)が目的通りに作動していることを保証するために例えば抄紙機、蒸留塔または生産セルを含む自分が担当する(例えば物理的な工場などの)プロセス制御システムの部分を制御または監視するべく該制御装置(並びにその他の制御装置)と交信する。プロセス制御システムの作動中に、制御装置は多数の依頼、命令、修正変更、且つ又はその他の通信を受け取る。制御装置が認定されていない通信に応答してアクションを行うのを防ぐために、セキュリティモジュールは通信を監視し、アクションを認可、或いは妨害する。例えば、セキュリティモジュールは、通信に含まれる情報を抽出し、該情報の少なくとも幾つかを、セキュリティモジュールのメモリに格納された暗号キーと比較しうる。暗号キーと通信に含まれる情報との間に相互関連性がある場合、セキュリティモジュールは、通信に応答して適切なアクションを行うことを制御装置に認可しうる。暗号キーとの相互関連性がない場合、制御装置によるアクションは認可されず、よって、妨害される。
【0023】
加えて、より詳しく後述される如く、ここに記載される例示的なセキュリティモジュールは制御装置に取り外し可能な状態で連結することができるので、制御装置を交換してから製造メーカに制御装置を送って再設定してもらったり、若しくはプロセス制御システムから制御装置を取り外したりする必要なく、セキュリティモジュールを取り外して所望の異なるセキュリティ機能特性を使用する別のセキュリティモジュールに交換することにより、制御装置により使用されるセキュリティ機能特性を変更することができる。加えて、第1の制御装置から取り外したセキュリティモジュールは、第2の制御装置を委託する必要なく第2の制御装置(例えば第1の制御装置の交換品)に取り外し可能な状態で連結しうる。
また、より詳しく後述される如く、改訂された(例えば、アップグレードされた)セキュリティソフトウェア且つ又は電子機器(例えば診断法を含む)が制御装置により使用される同じタイプのセキュリティ機能特性に向けて利用可能な場合、制御装置を交換して制御装置の再委託を行い、製造メーカに制御装置を送って再構成してもらったり、若しくはプロセス制御システムから制御装置を取り外したりする必要なく制御装置のセキュリティモジュールを取り外して、改訂されたセキュリティソフト且つ又は電子機器を有する異なるセキュリティモジュールと交換することができる。つまり、制御装置のセキュリティモジュールだけが、異なるセキュリティ機能特性を含む異なるセキュリティモジュールと交換されることになる。
【0024】
ここに記載される例示的なセキュリティモジュールは、セキュリティソフトを含む自己完結型のカプセル化電子モジュールでありうる。更に、これらの例示的なセキュリティモジュールは、様々なタイプ、製造元(例えば、異なる製造メーカにより提供された)および機種の制御装置に取り外し可能な状態で挿入(若しくは連結)されうる。制御装置に対してセキュリティ機能特性を提供するべく、例示的なセキュリティモジュールを標準化して、異なるタイプの制御装置と接続して使用しうる。より具体的には、制御装置の実装、電気接続(例えばピン配列)などを含む機械的な構成およびインターフェースと、セキュリティモジュールは標準としうるので、異なるセキュリティ機能特性を提供する複数の獲得可能セキュリティモジュールの如何なるものを、如何なる数のメーカにより製造された様々な制御装置の如何なるものと使用することができる。同様に、セキュリティモジュールが制御装置内のその他の電子機器と通信する様態も標準化しうる。言い換えると、セキュリティモジュールの制御装置との互換性を更に円滑に実施するべく、制御装置とセキュリティモジュールの間で通信を可能にするために使用される通信方式を、制御装置の諸タイプ、諸製造元、諸機種などにわたり適合するしうるように標準化することも可能である。
【0025】
ここに記載される例示的なセキュリティモジュールは、制御装置セキュリティの標準化を可能にする、よって、特定のセキュリティプログラム(即ち、一式のセキュリティ機能特性)にこだわることなくセキュリティモジュールを製造できるようになる。つまり、制御装置を製造後(例えば、制御装置がプロセス制御システムに据え付けられる時に、または委託中に)制御装置の中に適切なセキュリティモジュールを据え付けることにより、かかるセキュリティ機能特性を割り当てる、或いは構成することができる。これにより、必要予備部品(例えば予備の制御装置)の数を減らすことができ、制御装置をある一つのセキュリティプログラムから別のセキュリティプログラムに簡単に切り替えられるようになる。また、もはや相当な量の内部セキュリティ電子機器またはソフトウェアを制御装置に含む必要がなくなるので、ここに記載される例示的な方法および機器は、制御装置の製造を簡素化することもできる。従って、ここに記載される例示的な方法および機器によって、製造メーカが異なるセキュリティ機能特性を採用する同じような制御装置を以前のように数多く生産する必要がなくなる。
【0026】
更に、例示的なセキュリティモジュールは、実質的に全ての制御装置用通信ソフトおよび電子機器を含みうる。よって、「Apparatus and Methods to Communicatively Couple Field Devices to Controllers in a Process Control System」(仮訳:「プロセス制御システムにおいてフィールド装置をコントローラに通信可能な状態で連結する機器および方法」)と題され且つ、ここに参照することによりその全体にわたりに援用される同時係属中の共同所有された米国出願書第12/236,165号に記載される通信モジュールの機能特性の全てを、ここに記載されるセキュリティモジュールは含みうる。
【0027】
なおさらに、セキュリティモジュールを、新しいまたは異なる機能特性を組み込んだソフトウェアを含む改訂またはアップグレード済みソフトウェアを備える別のセキュリティモジュールに交替することによりセキュリティソフト改訂またはアップグレードを簡単に加えうるのでシステムの保守コストを削減しうる。更にまた、制御装置の内部電子機器にアクセスすることなく、ここに記載される例示的なセキュリティモジュールを簡単に取り替える、または交換することができるので、セキュリティプログラムのアップグレード且つ又は変更をそのままの状態で(即ち、制御装置を取り外す必要なく)行うことができる。加えて、制御装置の診断をセキュリティモジュールに含みうるので、より新しい、またはより良い診断ソフトウェアを望む利用者は、制御装置の内部電子機器を変更する必要なく、セキュリティモジュールを所望の診断法を含む別のセキュリティモジュールと取り替えることができる。更に、幾つかの例示的なセキュリティモジュールは、例えば制御装置シリアル番号(複数可)且つ又はその他の制御装置情報のようなローカルタグ付け情報を含みうる。セキュリティソフト、診断情報且つ又はローカルタグ付け情報のいずれかまたは全てを例示的なセキュリティモジュールに含むことにより、制御装置の構成および制御装置の作動状態、履歴、保守保全の必要性などの評価を円滑に実施できるようになる。
【0028】
加えて、幾つかの実施例では、セキュリティモジュールを、それに含まれるセキュリティ機能特性、アップグレード、更新、診断法などのタイプに応じてコード化(例えば、色分け)しうる。コード化方式によって、制御装置(複数可)に連結するのに適切なセキュリティモジュールの識別を円滑に実施できるようになる。
【0029】
ここで図1を詳細にわたって参照するに、例示的なプロセス制御システム100は、一般にアプリケーション制御ネットワーク(ACN)と呼ばれるローカルエリアネットワーク(LAN)124またはバスを介して第1の制御装置(例えばコントローラ)120および第2の制御装置(例えばコントローラ)122を含む一つ又は複数の制御装置に通信可能に連結されたワークステーション118を備える制御室102を含む。LAN124は如何なる所望の通信媒体およびプロトコルを使用して実施されうる。例えば、LAN124は配線接続式またはワイヤレスのイーサネット(登録商標)通信プロトコルに基づきうる。但し、その他如何なる適切な有線または無線の通信媒体およびプロトコルを使用することも可能である。一つ又は複数の情報技術アプリケーション、ユーザ対話型アプリケーション且つ又は通信アプリケーションと関連する動作を行うようにワークステーション118を構成しうる。例えば、プロセス制御関連アプリケーションおよび、ワークステーション118と制御装置120および122が如何なる所望の通信媒体(例えば無線通信、配線接続式など)およびプロトコル(例えばHTTP、SOAPなど)を用いてその他の装置またはシステムと通信することを可能にする通信アプリケーションと関連する動作を行うようにワークステーション118を構成しうる。例えばワークステーション118またはその他如何なるワークステーションを用いてシステムエンジニアまたはその他のシステム・オペレータにより生成され、そして制御装置120および122にダウンロードされてインスタンス化された一つ又は複数のプロセス制御ルーチンまたは機能を行うように制御装置120および122を構成しうる。図示される実施例において、ワークステーション118は制御室102に設置されており、制御装置120および122は、物理的に制御室102とは別の所にある制御装置区域104に設置されている。
【0030】
図1の例示的な実施形態において、第1の制御装置120は、バックプレーン通信または内部I/Oバス144を介してI/Oカード140a−bおよび142a−bに通信可能に連結される。ワークステーション118と通信するために、第1の制御装置120はLAN124を介してワークステーション118に通信可能に連結される。第2の制御装置122は、LAN124を介してワークステーション118とI/Oカード140c−dおよび142c−dに通信可能に連結される。I/Oカード140c−dおよび142c−dは、LAN124を介して第2の制御装置122およびワークステーション118と通信するように構成される。このように、I/Oカード140c−dおよび142c−dは、ワークステーション118と情報を直接取り交わすことができる。
【0031】
図示される実施例において、例示的なプロセス制御システム100は、フィールド装置126a−cを第1のプロセス区域110に、フィールド装置128a−cを第2のプロセス制御区域112に、フィールド装置130a−cを第3のプロセス制御区域114に、そしてフィールド装置132a−cを第4のプロセス制御区域116に含む。制御装置120および122と、フィールド装置126a−c、128a−c、130a−cおよび132a−cとの間で情報を通信するために、例示的なプロセス制御システム100には、フィールド・ジャンクションボックス(FJB)134a−dおよびマーシャリング・キャビネット136a−bが備えられている。フィールド・ジャンクションボックス134a−dのそれぞれは、めいめいの多重導体ケーブル138a−d(例えばマルチバスケーブル)を介してフィールド装置126a−c、128a−c、130a−cおよび132a−cのめいめいのものからマーシャリング・キャビネット136a−bのうちの一つへと信号を経由させる。それに対してマーシャリング・キャビネット136a−bは、フィールド装置126a−c、128a−c、130a−cおよび132a−cから受け取った情報(例えば信号)をマーシャリングして(例えば、整理したり、グループに分類したり、などを行って)、フィールド装置情報を制御装置120と122のめいめいのI/Oカード(例えばI/Oカード140a−d)へと経由させる。図示される実施例において、I/Oカード140a−dと制御装置120および122から受け取った情報をフィールド・ジャンクションボックス134a−dを介してフィールド装置126a−c、128a−c、130a−cおよび132a−cのめいめいのものに経由させるためにもマーシャリング・キャビネット136a−bを使用しうるように、制御装置120および122と、フィールド装置126a−c、128a−c、130a−cおよび132a−cとの間の通信は双方向に行われるようになっている。
【0032】
図1の実施例では、フィールド装置126a−c、128a−c、130a−cおよび132a−cが、導電性(例えば配線接続式)且つ又はワイヤレス通信媒体、且つ又は光通信媒体を介してフィールド・ジャンクションボックス134a−dに通信可能に連結される。例えば、フィールド・ジャンクションボックス134−a−dには、フィールド装置126a−c、128a−c、130a−cおよび132a−cの有線、無線且つ又は光トランシーバと通信するために一つ又は複数の有線、無線、且つ又は光学データ・トランシーバを備えうる。図示される実施例において、フィールド・ジャンクションボックス134bおよび134dは、(ここに記載される順で)めいめいフィールド装置128cおよび132cへとワイヤレス方式で通信可能に連結される。代替的な例示的な実施形態では、マーシャリング・キャビネット136a−bを省略しても良く、介在する構造のない状態で(即ち、マーシャリング・キャビネット136a−bなしで)フィールド装置126a−c、128a−c、130a−cおよび132a−cからの信号を、フィールド・ジャンクションボックス134a−dから直接制御装置120および122のI/Oカード140a−dへと経由させることも可能である。更に別の例示的な実施形態では、フィールド・ジャンクションボックス134a−を省略しても良く、フィールド装置126a−c、128a−c、130a−cおよび132a−cを直接マーシャリング・キャビネット136a−bに連結することができる。
【0033】
フィールド装置126a−c、128a−c、130a−cおよび132a−cはフィールドバス適合バルブ、作動装置、センサなどでありえ、その場合、フィールド装置126a−c、128a−c、130a−cおよび132a−cは、周知のFOUNDATIONフィールドバス通信プロトコルを使用しデジタルデータ・バスを介して通信する。もちろん、その他のタイプのフィールド装置および通信プロトコルをその代りに使用することも可能である。例えば、フィールド装置126a−c、128a−c、130a−cおよび132a−cは、その代わり周知のプロフィバスおよびHART通信プロトコルを使用しデータバスを介して通信するプロフィバス(HART)またはAS−i適合装置でありえる。例示的な実施形態の幾つかにおいて、フィールド装置126a−c、128a−c、130a−cおよび132a−cは、デジタル通信の代わりに、アナログ通信または離散通信を使用して情報を通信することができる。加えて、通信プロトコルは異なるデータタイプに関連した情報を通信するのにも使用することができる。
【0034】
フィールド装置126a−c、128a−c、130a−cおよび132a−cのそれぞれは、フィールド装置識別情報を格納するように構成される。フィールド装置識別情報は、フィールド装置126a−c、128a−c、130a−cおよび132a−cのそれぞれを一意的に同定する物理的装置タグ(PDT)値、装置タグ名、電子シリアル番号などでありうる。図1に示される実施例では、フィールド装置126a−c、128a−c、130a−cおよび132a−cが、フィールド装置識別情報を物理的装置タグ数値「PDT00−PDT11」の形式で格納する。フィールド装置識別情報は、フィールド装置の製造メーカにより、且つ又はフィールド装置126a−c、128a−c、130a−cおよび132a−cの据え付け且つ又は委託に関与するオペレータまたはエンジニアにより、フィールド装置126a−c、128a−c、130a−cおよび132a−cに格納またはプログラムされる。
【0035】
制御装置120および122(且つ又はワークステーション118)と、フィールド装置126a−c、128a−c、130a−cおよび132a−cとの間のI/O通信を制御するために、制御装置区域104には複数のI/Oカード140a−dが備えられている。図示される実施例において、I/Oカード140a−bは、第1の制御装置120(且つ又はワークステーション118)と第1および第2のプロセス区域110および112におけるフィールド装置126a−cおよび128a−cとの間のI/O通信を制御するように構成され、そしてI/Oカード140c−dは、第2の制御装置122(且つ又はワークステーション118)と第3および第4のプロセス区域114および116におけるフィールド装置130a−cおよび132a−cとの間のI/O通信を制御するように構成される。
【0036】
図1に示される実施例では、I/Oカード140a−dが制御装置区域104に存在する。フィールド装置126a−c、128a−c、130a−cおよび132a−cからワークステーション118に情報を通信するために、I/Oカード140a−dは、制御装置120および122に情報を通信し、それに対して制御装置120および122はワークステーション118に情報を通信する。同様に、ワークステーション118からフィールド装置126a−c、128a−c、130a−cおよび132a−cへと情報を通信するために、ワークステーション118は制御装置120および122に情報を通信し、制御装置120および122はI/Oカード140a−dに情報を通信し、そしてI/Oカード140a−dはフィールド装置126a−c、128a−c、130a−cおよび132a−cに情報を通信する。代替的な例示的な実施形態において、I/Oカード140a−dがワークステーション118且つ又は制御装置120および122と直接通信することができるように、I/Oカード140a−dは制御装置120および122の内部にあるLAN124に通信可能に連結できるようになっている。
【0037】
I/Oカード140a−dのいずれかが障害を起した際にフォールト・トレラントな(耐障害性を有する)動作を提供するべく、I/Oカード140a−dが冗長I/Oカードとして構成されている。即ち、I/Oカード140aが障害を起した場合、冗長I/Oカード142aが制御を引き継ぎ、I/Oカード140aが障害の生じなかった場合に行うであろう動作と同じ動作を行う。同様に、I/Oカード140bが障害を起した場合、冗長I/Oカード142bが制御を引き継ぐ、などといった具合に以降同様に構成される。
【0038】
制御装置区域104に示されるように、第1のセキュリティモジュール150は、第1の制御装置120に直接連結され、また第2のセキュリティモジュール152は第2の制御装置122に直接連結される。加えて、セキュリティモジュール154、156および158は、この実施例ではフィールド装置として示されるめいめいの制御装置126a、126bおよび126cに直接連結される。セキュリティモジュール150−158は、お守りのような形をした取り外し可能、プラグ接続可能または挿入可能な装置(例えば保護カバーまたは筺体を有する回路カードと、プラグ接続できる電気コネクタ)として構成されうる。代替的な例示的な実施形態では、セキュリティモジュール150−158が中間構造(複数可)または装置(複数可)を介して制御装置120および122且つ又は126a−cに通信可能に連結されうる。
【0039】
制御装置120、122および126a−cを認証および委託するため、および受け取った依頼または命令に応答して制御装置により行われるアクションを認可するためにプロセス制御システム100により使用される実質的に全てのセキュリティソフトおよび電子機器を、セキュリティモジュール150−158は提供する。更に概して言えば、セキュリティモジュール150−158は、適切な制御装置がプロセス制御システム100に適切に連結され、これらの装置が適切な様態で使用されることを保証する。以下、例示的なセキュリティモジュール150−158およびそれらの関連動作をより詳しく説明する。
【0040】
図示される実施例において、マーシャリング・キャビネット136a−b、セキュリティモジュール150−158、I/Oカード140a−dおよび142a−d、そして制御装置120、122および126a−cによって、既存のプロセス制御システムの据え付けを、図1の例示的なプロセス制御システム100の構成に実質的に類似する構成へと切り替える作業が円滑に行えるようになる。例えば、如何なる適切なインターフェース・タイプを含むようにセキュリティモジュール150−158を構成することができるので、セキュリティモジュール150−158は如何なるタイプの制御装置に通信可能に連結されるように構成することができる。同様に、制御装置120および122は、既に据え付けられているワークステーションへとLANを介して通信するための周知のLANインターフェースを含むように構成することができる。例示的な実施形態の幾つかでは、プロセス制御システムに既に据え付けられている制御装置を交換する必要がないように、I/Oカード140a−dおよび142a−dを周知の制御装置の中に設置するか、またはそれに通信可能に連結することができる。
【0041】
図5に描かれる代替的な実施例では、セキュリティモジュール150および152を使用してLAN124または内部I/Oバス144にめいめいの制御装置120および122を連結しうる。当該の実施例において、ワークステーション118からの通信は全てセキュリティモジュール150および152により処理され、また、適切な場合は以下詳述されるようにめいめいの制御装置150および152へと通信される。加えて、I/Oカード140a−dおよび142a−dからの通信も全てセキュリティモジュール150および152により処理され、適切な場合はめいめいの制御装置150および152へと通信される。
【0042】
図2は、ここに記載される例示的なセキュリティモジュールの如何なるものを表しうるセキュリティモジュール200の例示的な実施を示す。図2の例示的なセキュリティモジュール200には、セキュリティモジュール200がLAN124且つ又は内部I/Oバスに制御装置を連結するために使用される構成において例えばI/Oカード且つ又はワークステーションとセキュリティモジュール200が通信することを可能にするための外部バスインターフェース202が含まれる。
【0043】
セキュリティモジュール200のアドレス且つ又は制御装置のアドレスを同定するために、セキュリティモジュール200にはアドレス識別子204が与えられている。セキュリティモジュール200が制御装置に差し込まれた時にセキュリティモジュール・アドレス(例えばネットワーク・アドレス)について制御装置に問い合わせ(クエリー)するようにアドレス識別子204を構成しうる。このように、セキュリティモジュール200は、制御装置にまたは制御装置から情報を通信する際にセキュリティモジュール・アドレスをソース且つ又は宛先アドレスとして使用することができる。
【0044】
また、例示的なセキュリティモジュール200は、外部バスを介してその他のシステム構成部分と情報を取り交わすための外部バス通信プロセッサ206も備えている。図示される実施例において、外部バス通信プロセッサ206は、情報を別のシステム構成部分へと送信するためにパケット化し、その他のシステム構成部分から受け取った情報を非パケット化する。パケット化された情報は、外部バスを通じた送信に向けて外部バスインターフェース202へと通信される。図示される実施例において、外部バス通信プロセッサ206は、送信されるべき各パケット用にヘッダー情報を生成し、受信したパケットからヘッダー情報を読み取る。例示的なヘッダー情報としては、宛先アドレス(例えばI/Oカードのネットワーク・アドレス)、ソースアドレス(例えばセキュリティモジュール200のネットワーク・アドレス)、パケットタイプまたはデータタイプ(例えばアナログ・フィールド装置情報、フィールド装置情報、コマンド情報、温度情報、実時間データ値など)、およびエラーチェック情報(例えば巡回冗長検査(CRC)情報)が挙げられる。例示的な実施形態の幾つかにおいては、処理ユニット208と同じマイクロプロセッサまたはマイクロコントローラを使用して外部バス通信プロセッサ206を実施しうる。
【0045】
セキュリティモジュール200の様々な動作を制御するために、セキュリティモジュール200には処理ユニット208が備えられている。例示的な実施形態においては上述の如く、マイクロプロセッサまたはマイクロコントローラを使用して処理ユニット208を実施することができる。処理ユニット208は、セキュリティモジュール200のその他の部分へと、当該部分の動作を制御するべく指示または命令を通信する。
【0046】
処理ユニット208は、例えば制御装置に格納される秘密キーのような認証情報を含む制御装置情報を制御装置から得るために使用される読み取り機構210を備える、または該読み取り機構210と通信可能に連結される。また、読み取り機構210は、セキュリティモジュール200のメモリ212からも情報を得る。該メモリは、如何なるタイプの構成可能なデータベースを含みうるし、また、例えば、制御装置の認証のための共有秘密キー情報、制御装置のアクションを認可するために使用される暗号キーを含む暗号化情報、制御装置と関連する委託情報、例えば装置識別子または制御パラメータのような構成情報およびその他如何なる情報などの情報を含みうる。
【0047】
また、処理ユニット208はコンパレータ(比較機構)214を備えるか、またはコンパレータ214に通信可能に連結される。コンパレータ214は受信した且つ又はに格納された情報を評価するために使用されうる。例えば、コンパレータ214は、セキュリティモジュール200がメモリ212に格納された第2の秘密キーに対して連結された制御装置から受け取った第1の秘密キーを含む情報を比較しうる。コンパレータ214は、第1と第2の秘密キーの間の相互関連性の度合いを評価して、それらが共有秘密キー(例えば、実質的に一致するかまたは同一の秘密キー情報)を構成するかどうか判断しうる。更に、コンパレータ214は、メモリ212に格納された依頼または命令または暗号キーとその他如何なる通信に含まれる情報を比較して、その通信が認可されるかどうか判断するために二者間の相互関連性の度合いを評価しうる。
【0048】
また、処理ユニット208は、オーセンチケータ216を備えるか、またはオーセンチケータ216と通信可能に連結される。図中、オーセンチケータ216およびコンパレータ214が別々のブロックとして示されているが、幾つかの実施例では、ソフトウェア且つ又はその他の構造を使用してオーセンチケータ216とコンパレータ214を統合しうる。この実施例では、制御装置からの情報がセキュリティモジュール200に格納された秘密キーと十分な相互関連性(例えば共有秘密キー)を有するとコンパレータ214が判断すると、セキュリティモジュール200、オーセンチケータ216が制御装置の委託を行う。
【0049】
セキュリティモジュール200が連結された制御装置に供給される電力の量を制御するために、セキュリティモジュール200には電力制御装置218が備えられている。図示される実施例では、例えばマーシャリング・キャビネット136a−bのうちの一つに存在しうるまたは制御装置と関連しうる電源(例えば図5の電源504)が、制御装置との通信を可能にするべく通信チャネルインターフェースに電力を供給するためにセキュリティモジュール200に電力を供給する。図示される実施例において、電力制御装置218は、外部電源供給によりセキュリティモジュール200に供給される電力を条件付けたり、調整したり、および昇圧したり且つ又は降圧したりするように構成される。例示的な実施形態の幾つかでは、可燃性または燃焼性の環境において発火の危険性を著しく減少またはゼロにするべく、制御装置と通信するのに使用される且つ又は制御装置に供給される電力の量を制限するように電力制御装置218を構成しうる。
【0050】
電源から受けた電力をセキュリティモジュール200用の電力に変換するために、セキュリティモジュール200には電力変換装置220が備えられている。図示される実施例において、セキュリティモジュール200を実施するために使用される回路構成は、セキュリティモジュール200が連結されている制御装置により必要とされる電圧レベルとは異なる一種又は複数種の電圧レベル(例えば3.3V)を使用する。電力変換装置220は、セキュリティモジュール200に対して電源から受けた電力を使用して制御装置と通信するために異なる電圧レベルを供給するように構成される。図示される実施例において、電力変換装置220により生成された電源出力は、セキュリティモジュール200およびそれに連結された制御装置に電力を供給するため、およびセキュリティモジュール200と制御装置との間で情報を通信するために使用される。幾つかの制御装置通信プロトコルは、その他の通信プロトコルよりも比較的高いまたは低い電圧レベル且つ又は電流レベルを必要とする。図示される実施例において、電力制御装置218は、制御装置に電力を供給するため、および制御装置と通信するための電圧レベルを提供するように電力変換装置220を制御する。
【0051】
制御装置から且つ又は、セキュリティモジュール200が連結されているシステムのその他如何なる構成部分からセキュリティモジュール200の回路構成を電気的に絶縁するために、セキュリティモジュール200には一つ又は複数のアイソレーション(絶縁)装置(複数可)222が備えられている。アイソレーション装置(複数可)222は流電アイソレータ且つ又は光アイソレータを使用して実施されうる。例示的なアイソレーション構成を、図5を参照して以下に詳述する。
【0052】
アナログおよびデジタル信号間で変換を行うために、セキュリティモジュール200には、デジタル/アナログ変換器224およびアナログ/デジタル変換器226が備えられている。デジタル/アナログ変換器224は、受け取ったデジタル表現の値(例えば測定値)または情報を、システム(例えば図1のプロセス制御システム100)における更なる通信に向けてアナログ値または情報変換するように構成される。同様に、アナログ/デジタル変換器226は、受け取ったアナログ値または情報を、システム(例えば図1のプロセス制御システム100)における更なる通信に向けてデジタル表現の値または情報に変換するように構成される。システム内の通信が全てデジタル且つ又は全てアナログである代替的な例示的な実施形態では、デジタル/アナログ変換器224且つ又はアナログ/デジタル変換器226をセキュリティモジュール200から省略しうる。
【0053】
セキュリティモジュール200が連結されている制御装置との通信を制御するために、セキュリティモジュール200には制御装置通信プロセッサ228が備えられている。制御装置通信プロセッサ228は、情報が、セキュリティモジュール200の連結されている制御装置に通信するのに正しい形式および電圧タイプ(例えばアナログまたはデジタル)であることを保証する。また、セキュリティモジュール200の連結されている制御装置が、デジタルのパケット化された情報を使用して通信するように構成されている場合、制御装置通信プロセッサ228は、情報をパケット化または非パケット化するようにも構成される。加えて、制御装置通信プロセッサ228は、制御装置から受け取った情報を抽出して当該の情報をそれ以降の別のシステム構成部分への通信に向けてアナログ/デジタル変換器226に且つ又は外部バス通信プロセッサ206に通信するように構成される。
【0054】
また、セキュリティモジュール200をそれが物理的に連結される制御装置に通信可能に連結するように構成された制御装置インターフェース230が、例示的なセキュリティモジュール200には備えられている。例えば、制御装置通信プロセッサ228によりパケット化された情報を、セキュリティモジュール200の連結されている制御装置の内部バスを通じての送信に向けて制御装置インターフェース230へと通信しうる。
【0055】
図示される実施例では、制御装置通信プロセッサ228が、受け取った情報にタイムスタンプを生成するようにも構成されうる。セキュリティモジュール200でタイムスタンプを生成することによって、ミリセカンド未満の範囲のタイムスタンプ精度を用いてシークエンスオブイベンツ(SOE)動作を円滑に実施することが可能になる。例えば、タイムスタンプおよびめいめいの情報をワークステーション118に通信することができる。その後、例えばワークステーション118(図1)(またはその他如何なるプロセッサシステム)により行われるシークエンスオブイベンツ動作は、動作の特定の状態(例えば、故障モード)が発生した原因を判定するために該動作の特定の状態の発生前、発生中、且つ又は発生後に何が起こったかを分析するために使用することができる。また、ミリセカンド未満の範囲でタイムスタンプを生成することによって、比較的高度な細分性で事象を捕らえることが可能になる。例示的な実施形態の幾つかにおいて、制御装置通信プロセッサ228および処理ユニット208は同じマイクロプロセッサまたはマイクロコントローラを使用して実施することができる。
【0056】
制御装置またはセキュリティモジュール200と関連した秘密キー、コード、指示、識別、状態またはその他の情報を表示するために、セキュリティモジュール200には表示ディスプレイ232が備えられている。オーセンチケータ216が制御装置の委託を行わない場合、表示ディスプレイ232は、委託の試みが失敗したことを示す情報を提示しうる。セキュリティモジュール200が二人制認可を必要とする場合、表示ディスプレイ232は、(例えば、制御装置且つ又はセキュリティモジュール200から受け取った認可情報、指示、などを含む)情報を、認可に関与する人員のうちの1人へと提供しうる。加えて、表示ディスプレイ232は、制御装置活動情報(例えば操作・保守情報など)、データタイプ情報(例えばアナログ信号、デジタル信号など)、且つ又はその他如何なる制御装置情報を表示するために使用することができる。セキュリティモジュール200が複数の制御装置に通信可能に連結されるように構成される場合、表示ディスプレイ232は、セキュリティモジュール200に通信可能に連結された全ての制御装置に関連する制御装置情報を表示するために使用することができる。図示される実施例において、表示ディスプレイ232は液晶ディスプレイ(LCD)を使用して実施される。但し、その他の例示的な実施形態では、その他如何なる適切なタイプの表示装置を使用して表示ディスプレイ232を実施することができる。
【0057】
また、セキュリティモジュール200には入力装置234も備えられている。入力装置234は、オペレータにより、例えば表示ディスプレイ232を介した少なくとも幾つか認可またはその他の情報の提示に応答してセキュリティモジュール200へと情報を入力するために使用されうる。例えば、二人制認可中に、以下に詳述される如く、制御装置のオペレータは、制御装置に送られた依頼または命令から生成され且つ表示ディスプレイ232に示される秘密キーに応答してセキュリティモジュール200へとコードまたは命令を入力しうる。入力装置234は、個人によるアクションを登録するために使用されうるキーパッド、タッチスクリーン、タッチパネル、ボタン、スイッチまたはその他如何なる適切な装置を含みうる。
【0058】
また、セキュリティモジュール200が制御装置用通信ソフトおよび電子機器を含む構成では、セキュリティモジュール200に通信ユニット236が備えられている。例示的な通信ユニット236が米国出願書第12/236,165号に記載されている。
【0059】
図3は、例示的なセキュリティモジュール200および例示的な制御装置400(ここに記載された例示的なセキュリティモジュール且つ又は制御装置の如何なるものを表しうる)の例示的な機械的接続の平面図を表し、図4は同側面図を表す。図示される実施例において、例示的なセキュリティモジュール200は、本体201と、セキュリティモジュール200を制御装置400へと通信可能に連結する(且つ又は電気的に連結する)一つ又は複数の接触子404(例えばピン、ツメ、配線など)を含む。この実施例において、セキュリティモジュール200は、介在するベース402を介して制御装置400に連結される。例えばI/Oバスからの導電性通信媒質(例えばワイヤエンド)をつなぎ止める、または終端処理する、或いは確保する装置インターフェース機構でありうる留め金具406(例えばネジ)がベース402には備えられている。セキュリティモジュール200がベース402に取り外し可能な状態で連結される場合、セキュリティモジュール200と制御装置400の間で信号を送り情報を通信すること可能にするべく、留め金具406が接触子404の一つ又は複数に連通される。その他の例示的な実施形態では、留め金具406の代わりにその他如何なる適切なタイプのフィールド装置インターフェース機構(例えばソケット)をベース402に備えうる。
【0060】
セキュリティモジュール200を制御装置400へ通信可能に連結するために、ベース402には制御装置接触子またはコネクタ408が備えられている。ユーザが制御装置400にベース402を差し込むと、制御装置コネクタ408が制御装置400の内部バスを係合する。制御装置コネクタ408は、例えばパンチブロックのようなインターフェースを含む如何なる適切なインターフェースを使用して実施されうる。セキュリティモジュール200と制御装置400間における情報の通信を可能にするために、制御装置コネクタ408は、セキュリティモジュール200の接触子404の一つ又は複数に接続されている。
【0061】
図示される実施例において、セキュリティモジュール200は、セキュリティモジュール200且つ又はセキュリティモジュール200と制御装置400の接続 を周囲の環境から保護するために使用されうるカバー410(図3において取り除かれた)も備える。
カバー410は、水分且つ又はその他の有害な(若しくは損傷をもたらしうる)環境条件が当該状態にさらされうるプロセス区域におけるセキュリティモジュール200に悪影響をもたらすことを防ぐ。カバー410は、適切な如何なるプラスチックや金属または、通信モジュール400を密閉若しくは保護するのに適切なその他の材料で作製しうる。
【0062】
図4に示される如く、ベース402には、外部表示ディスプレイへとセキュリティモジュール200を通信可能に連結するべくオプショナルの表示インターフェースコネクタ412を備えうる。
例えば、セキュリティモジュール200が表示ディスプレイ232なしで実施される場合、セキュリティモジュール200は、外部表示ディスプレイへ指令、警告、エラー、コード、数値またはその他如何なる情報を出力するために表示インターフェースコネクタ412を使用できる。
【0063】
図5は、セキュリティモジュール150、そして例えばLAN124且つ又は内部I/Oバス144を制御装置120から電気的に絶縁するために図1の例示的なセキュリティモジュール150に接続して実施されうるアイソレーション回路の構成を描く。この実施例においてセキュリティモジュール150が図示されているが、その他如何なるセキュリティモジュールを同じまたは類似した様態でその他如何なる制御装置に連結しうる。図示される実施例において、セキュリティモジュール150はセキュリティモジュール回路構成502(例えば図2を参照して上述される一つ又は複数のブロック)を含む。また、セキュリティモジュール150は、内部I/Oバス144および電源504に接続されている。
【0064】
セキュリティモジュール回路構成502を内部I/Oバス144から電気的に絶縁するために、セキュリティモジュール150にはアイソレーション回路506が備えられている。
このように、セキュリティモジュール回路構成502は、電力サージまたはその他の電力変動が制御装置120内で生じた場合、内部I/Oバス144の電圧への影響なく、およびI/Oカード140a(図1)を破損をもたらすことなく制御装置120の電圧レベルに追従(例えば浮動)するように構成することができる。セキュリティモジュール150において実施されるアイソレーション回路506およびその他如何なるアイソレーション回路は光学アイソレーション回路または流電アイソレーション回路を使用して実施されうる。
【0065】
セキュリティモジュール回路構成502を電源504から絶縁するために、セキュリティモジュール150にはアイソレーション回路508が備えられている。電源504からセキュリティモジュール回路構成502を絶縁することにより、制御装置120に関連した如何なる電力変動(例えば電力サージ、電流の瞬時過渡現象、など)が電源504に破損をもたらすことがなくなる。また、セキュリティモジュール150における如何なる電力変動が、例えばその他のセキュリティモジュール152を含むその他のシステム構成部分の動作に障害をもたらしたり、または悪影響を及ぼしたりしなくなる。
【0066】
一般に、アイソレーション回路は制御装置の中に備えられており、よって、セキュリティーシステムが利用できる空き容量が減る。但し、図5の例示的な実施例に示される如くセキュリティモジュール150の中にアイソレーション回路506および508を備えることにより、選択的にアイソレーション(絶縁)を必要とするセキュリティモジュールだけでアイソレーション回路を使用することが可能になる。例えば、図1のセキュリティモジュール150−158のうち幾つかはアイソレーション回路なしで実施しうる。
【0067】
図6および図7は、セキュリティモジュール(例えば図1および図2のセキュリティモジュール150−158および200)を実施するために使用されうる例示的な方法のフローチャートである。例示的な実施形態の幾つかにおいて、図6および図7の例示的な方法は、プロセッサ(例えば図8の例示的なプロセッサシステム810に示されるプロセッサ812)による実行向けのプログラムを構成する機械可読指示を使用して実施されうる。周知の様態で、プロセッサと関連する且つ又はファームウェア且つ又は専用ハードウェアにおいて具現化されたCD−ROM、フロッピー(登録商標)ディスク、ハードドライブ、デジタル多用途ディスク(DVD)またはメモリのような有形コンピュータまたはプロセッサ可読媒体に格納されたソフトウェアにおいて該プログラムを具現化しうる。更に、例示的な方法が図6および図7に示されるフローチャートを参照して説明されているが、通常の技術を有する当業者であれば、ここに記載される例示的なセキュリティモジュール150−158および200を実施するその他多くの方法をその代わりに使用しうることが容易に理解できるだろう。例えば、ブロックの実行順序は変更しえるものであり、且つ又は、ここに記載されるブロックのうちの幾つかを変更、除外、または組み合わせることが可能である。
【0068】
図1の例示的なセキュリティモジュール150に関連して図6および図7の例示的な方法を説明する。具体的に、図6および図7のフローチャートは、例示的なセキュリティモジュール150がどのように制御装置120を認証してそれに関連するアクションを認可するかを説明するのに用いられる。但し、図6および図7の例示的な方法は、更に概して言うとその他如何なるセキュリティモジュール(例えばモジュール152−158、200など)を実施するのに使用されうる。
【0069】
図6を詳細にわたって参照するに、初期段階において、セキュリティモジュール150は制御装置120に連結され、またセキュリティモジュール150は、それが制御装置120を検出したかどうか判断する(ブロック602)。例えば、セキュリティモジュール150が電気的接続を成す場合、セキュリティモジュール150は制御装置120を検出して割り込みまたは状態レジスタを受け取るか、またはさもなければ制御装置120を検知する。制御装置120が検出されないと、制御装置120(またはその他如何なる制御装置)が検出されるまで制御がブロック602に留まる。
【0070】
一旦制御装置120が検出されると、セキュリティモジュール150は制御装置情報を得る(ブロック604)。例えば、読み取り機構210は、制御装置に格納された情報を読み出す。かかる情報には、シリアル番号、製造元且つ又は機種の指標および、制御装置のタイプおよび可能な用途を判断することに関連しうるその他如何なる情報などが含まれる。特に、制御装置情報は共有秘密キーまたは共有秘密キーの一部を含みうる。
【0071】
それから、セキュリティモジュール150は、ブロック604で得られた情報(得られた秘密キー情報の如何なるもの)をセキュリティモジュール150に格納された秘密キーと比較する(ブロック605)。ブロック605で比較を行った後に、セキュリティモジュール150は、得られた制御装置情報が共有秘密キーを含む(即ち、セキュリティモジュール150に格納された秘密キーが制御装置120から得られた如何なる秘密キー情報と実質的にまたは完全に一致する)かどうか判断する(ブロック606)。例えば、コンパレータ214は、制御装置情報を分析して、当該情報の如何なるものが、セキュリティモジュール150のメモリ212に格納されたその他の情報(例えば共有秘密キーを含む)に一致するかさもなければ相互に関連するかどうかを評価する。相互関連性が見つからない場合、セキュリティモジュール150はエラーメッセージを表示しうる(ブロック608)。制御装置情報および共有秘密キーの間に相互関連性がない場合、それは、プロセス制御システム100の当該位置に設置されている制御装置が正しくないことを示しうる。それに加えて、又はその代わりとして、相互関連性がない場合、それは、当該特定の制御装置に正しいセキュリティモジュールが備えられていないことを示しうる。例えば、制御装置は、異なるまたはより制限の厳しいセキュリティ機能特性を備えたセキュリティモジュールを必要としうる。セキュリティに細心の注意を払う必要性の比較的低い制御装置用のセキュリティモジュールでは、この実施例におけるシステムを適切に保護してその安全を確保できないことになる。セキュリティモジュール150に格納されている秘密キーと制御装置情報との間に相互関連性がないと判断された場合、制御装置の委託が妨げられて(ブロック610)、その工程が終了する。この場合、制御装置120は作動不能のままになる。
【0072】
制御装置情報および共有秘密キーの間に相互関連性があると判断された場合(ブロック606)、セキュリティモジュール150は制御装置の認証を始める(ブロック612)。認証は、制御装置120がプロセス制御システムにおける当該の位置に適切な装置であること、且つ又はセキュリティモジュール150が制御装置120に適切なセキュリティモジュールである(例えば、適切なセキュリティ機能特性を含んでいる)ことを示す指標である。認証指標を提供するために、処理ユニット208のオーセンチケータ216は例えば制御装置120が認証されていることを示す信号を生成しうる、且つ又は制御装置120が作動することを可能にするべく、オーセンチケータが通信且つ又は電気的な限定または停止を出しうる。よって、認証により、安全な通信状態が制御装置120のために確立される。加えて、オーセンチケータ216は、例えば制御システム100内の通信の宛先を指定する目的でシステムにおいて制御装置120を同定するために使用される例えば英数字の文字列などのアイデンティティを制御装置120に提供しうる。(ブロック614)。また、オーセンチケータ216は、制御装置120に役割を割り当てる(ブロック616)。該役割は、例えば制御装置120が通信、監視且つ又は制御しうるフィールド装置を含みうるシステムにおいて制御装置120が行いうるアクション、制御装置120が与えることができる命令、および制御装置120が行えるその他のアクションの指標を提示しうる。加えて、オーセンチケータ216は、制御装置120の構成を円滑に実施しうる(ブロック618)。制御装置120の構成には、システムにおいて制御装置120がそれの役割を行うのに必要なデータまたはその他如何なる情報またはツール且つ又は制御パラメータへのアクセスを提供することが含まれる。
【0073】
制御装置120が委託された(例えばブロック612−618)後、制御装置120はシステム100の作動中に依頼および命令を受け取る。セキュリティモジュール150は、制御装置120の通信を監視し、依頼または命令が制御装置120で受け取られるかどうか判断する(ブロック620)。依頼または命令が制御装置で受け取られない場合、制御がブロック620に留まる。依頼または命令が受け取られた場合、セキュリティモジュール150は、制御装置120が依頼または命令に応答して適切に使用されるかを判断する。依頼または命令に応答して制御装置120がアクションを行う認証を得られるかどうか判断するために、セキュリティモジュール150は、依頼または命令に含まれる暗号化情報の如何なるものをメモリ212に格納された一つ又は複数の暗号キーと比較する(ブロック622)。アクションが認可されたことをセキュリティモジュール150の暗号キーが示す場合(ブロック624)、セキュリティモジュール150は、制御装置120が依頼または命令を処理することを可能にし(ブロック626)、それ以降の通信(複数可)に向けて制御がブロック620に戻る。
【0074】
それに加えて、又はその代わりとして、暗号化ベースの認可は、検証技法、カギ管理技法および対妨信技法を含むその他の承認技法に取り替え(または置き換え)ても良い。更に、幾つかの実施例では、セキュリティモジュールが、制御装置120と通信することを許された装置の、または制御装置120が行えるアクションの、ホワイトリストを維持管理しうる。セキュリティモジュール120がホワイトリストまたはその他の事前承認リストを維持管理する場合、図6の介在する動作中に実行される比較およびその他のアクションなしで、装置から前承認済みの依頼または命令を受け取る工程、且つ又は前承認済みの装置から通信を受ける工程(ブロック620)から、通信(複数可)に含まれる依頼または命令を認可および処理する工程(ブロック626)へと処理が進む。
【0075】
但し、アクションが認可されていないと判断されると(ブロック624)、セキュリティモジュール150は、例えば制御装置120が依頼または命令を含む通信に応答してアクションを行うのを妨げる(ブロック628)ことにより、認可れていないアクションに対して制御装置120(および全システム100)を保護する。その後、次回通信に向けて制御がブロック620に戻る。
【0076】
図7は、アクション(例えば制御装置による制御動作)の二人制認可を実施するべく図1および図2のセキュリティモジュールを実施するのに使用されうる例示的な方法のフローチャートを表す。プロセス制御システムにおける幾つかの動作は、十分セキュリティに細心の注意を払うべきものであり、よって例えば制御室にオペレータまたはエンジニアを、そして装置の所に別の人員を配置することが要求される、即ち、当該動作を行うには、制御装置120のアクションの二人制認可が要求される。
【0077】
例示的な方法は、第1の個人(例えば制御室102における人員)に関連した依頼または命令が制御装置150で受け取られたかどうかの判断から始まる(ブロック702)。かかる依頼または命令を含んだ通信が受け取られない場合、かかる通信が受け取られるまで、制御はブロック702に留まる。但し、かかる依頼または命令が受け取られた場合、セキュリティモジュール150または、動かないように制御装置に連結された(例えば、内部統合化された)その他のセキュリティ構成部分が、第1の個人により送られた依頼または命令と関連する秘密キーを取得する(ブロック704)。幾つかの実施例では、セキュリティモジュール150または、動かないように制御装置に連結された(例えば、内部統合化された)その他のセキュリティ構成部分により取得されるべき秘密キーが生成される。秘密キーは、如何なるタイプのキーワードおよびコード、暗号、パルス、光帯、音、またはその他如何なるタイプの個人的な通信または鍵でありうる。
【0078】
その後、秘密キーは、受け取った依頼または命令に応答したアクションについて認可を(必要に応じて)与える第2の個人(例えば、制御装置120が実際に設置されている現場にいる人員)に提供される(ブロック706)。幾つかの実施例では、第2の個人が閲覧できるように秘密キーが表示ディスプレイ232上に表示される。その他の実施例における秘密キーは、その他如何なる表示ディスプレイ(例えばワークステーション118に)に送られるか、またはさもなければ、セキュリティモジュール150を介して第2の個人に提示されうる。
【0079】
その後、第2の個人は、例えばセキュリティモジュール150、第1の個人且つ又は制御装置120に秘密キーを送り返すことを含むアクションを実行する。幾つかの実施例では、第2の個人が、セキュリティモジュールの入力装置234を介して秘密キーを送り返すアクションを入力する。(これには、第1の個人へと秘密キーを転送するという指示をタイプ入力するという作業を含みうる。)幾つかの実施例では、秘密キーが、第2の個人から依頼のソース(例えば制御室102におけるワークステーション118)に送られ、その後制御装置120に送り返される。秘密キーが送り返されると、若しくは第2の個人が制御装置のアクションを認可するためのアクションを実行したと判断されると(ブロック708)、セキュリティモジュール150は、依頼または命令に応答してアクションが認可されたことを認識し、またセキュリティモジュール150は、依頼または命令を処理することを制御装置に認可する(ブロック710)。その後、別の通信が受け取られるまで、制御がブロック702に戻る。例えば、所定の時間が経過した後になっても第2の個人が秘密キーを送り返していない場合(ブロック708)、別の通信が受け取られるまで、制御がブロック702に戻る。よって、ブロック708は、あらかじめ定められた時間間隔が経過した後にタイムアウトすることを含む動作を含みうる。
【0080】
図8は、ここに記載される機器および方法を実施するのに使用されうる例示的なプロセッサシステム810のブロック図である。例えば、例示的なプロセッサシステム810に類似するまたはそれと同一であるプロセッサシステムは、図1のワークステーション118、制御装置120、122および126a−c、I/Oカード140a−dおよび142a−d、且つ又はセキュリティモジュール150−158を実施するために使用されうる。以下、例示的なプロセッサシステム810が複数の周辺機器、インターフェース、チップ、メモリなどを含んだ状態で説明されているが、一つ又は複数のワークステーション118、制御装置120、122および126a−c、I/Oカード140a−dおよび142a−d、且つ又はセキュリティモジュール150−158を実施するために使用されるその他の例示的なプロセッサシステムから当該素子の一つ又は複数を省略しても良い。
【0081】
図8に示される如く、プロセッサシステム810は、相互接続バス814に連結されるプロセッサ812を含む。プロセッサ812は、レジスタセットまたはレジスタ領域816を含む。図8では、該レジスタセットまたはレジスタ領域816が全てチップ上に形成された状態で描かれているが、その代わりとして、全体的にまたは部分的にチップの外部に配置し、専用の電気配線を介して且つ又は相互接続バス814を介してプロセッサ812に直接連結するようにしても良い。図8には示されていないが、システム810は、マルチプロセッサ・システムでありえ、よって、プロセッサ812と同一であるか類似しているものであり且つ相互接続バス814に通信可能に連結される一つ又は複数の付加的なプロセッサを含みうる。
【0082】
図8のプロセッサ812は、メモリーコントローラ820および周辺入出力(I/O)コントローラ822を含むチップセット818に連結される。周知の如く、一般にチップセットは、チップセット818に連結される一つ又は複数のプロセッサによりアクセス可能なまたはそれにより使用される複数の汎用且つ又は専用レジスタやタイマーなどに加え、入出力および記憶管理機能を備えている。メモリ制御器820は、プロセッサ812(または、複数のプロセッサが備えられている場合は複数のプロセッサ)がシステムメモリ824および大容量記憶メモリ825にアクセスできるようにする機能を果たす。
【0083】
システムメモリ824は、例えば静的ランダムアクセス記憶装置(SRAM)、動的ランダムアクセス記憶装置(DRAM)、フラッシュメモリ、読み取り専用メモリ(ROM)など所望するあらゆるタイプの揮発性且つ又は不揮発性メモリを含みうる。大容量記憶メモリ825は、所望するあらゆるタイプの大容量記憶装置を含みうる。例えば、例示的なプロセッサシステム810がワークステーション118(図1)を実施するために使用される場合、大容量記憶メモリ825としては、ハードディスクドライブ、光ドライブ、テープ記憶装置などが挙げられる。或いは、例示的なプロセッサシステム810が制御装置120、122および126a−c、I/Oカード140a−dおよび142a−d、且つ又はセキュリティモジュール150−158を実施するために使用される場合、大容量記憶メモリ825としては、ソリッドステートメモリ(例えばフラッシュメモリ、RAMメモリ、など)、磁性記憶装置(例えばハードドライブ)、または制御装置120、122および126a−c、I/Oカード140a−dおよび142a−d、且つ又はセキュリティモジュール150−158における大容量記憶に適しているその他如何なるメモリなどが挙げられる。
【0084】
周辺I/Oコントローラ822は、プロセッサ812が周辺機器I/Oバス832を介して周辺機器入・出力(I/O)装置826,828およびネットワーク・インターフェース830と通信することを可能にする機能を行う。I/O装置826および828は、例えばキーボード、表示ディスプレイ(例えば液晶ディスプレイ(LCD)、ブラウン管(CRT)ディスプレイ、など)、ナビゲーション装置(例えばマウス、トラックボール、容量性タッチパッド、ジョイスティック、など)などのような所望する如何なるタイプのI/O装置でありうる。ネットワーク・インターフェース830は、プロセッサシステム810が別のプロセッサシステムと通信することを可能にする例えばイーサネット(登録商標)装置、非同期転送モード(ATM)装置、802.11装置、DSLモデム、ケーブルモデム、セルラーモデムなどでありうる。
【0085】
メモリーコントローラ820とI/Oコントローラ822がチップセット818内の別々の機能的ブロックとして図8に表されているが、これらのブロックにより行われる機能は、単一の半導体回路内に統合しても良いし、または別々の集積回路を二つ以上使用して実施しても良い。
【0086】
ここに記載される例示的な方法およびシステムでは、プロセス制御システムのオペレータが複数の制御装置に交換可能な状態で連結できる複数のセキュリティモジュールを採用できるという利点を提供する。また、これによって、プロセス制御システムのオペレータは、制御装置のセキュリティプログラムを素早く簡単に変更することができるようになる。例えば、プロセス制御システムにおける特定の制御装置にとってより有利であろう特定の性能特性またはその他の利点および保護性能を有する一式のセキュリティ機能、レベルまたは特徴が別に存在する場合、オペレータは、制御装置のセキュリティプログラムを、ある一式のセキュリティ機能、レベルまたは機能特性から、該他方の一式のセキュリティ機能、レベルまたは機能特性に変更することを希望しうる。加えて、オペレータは、当初装置が製造された時には存在しなかった改訂またはアップグレードされたセキュリティプログラムまたは特定の機能特性を含むように制御装置を更新することを希望しうる。
【0087】
加えて、業界標準を正式に採用する前にシステムに組み込まれた一般公開前の最先端装置およびセキュリティ機能特性を含むプロセス制御システムのオペレータは、適切な業界標準に適合するように装置を更新するべく一般公開前の制御装置の一つに業界標準を組み込んだここに記載される例示的なセキュリティモジュールの一つを連結することができる。
【0088】
ここに記載される例示的なセキュリティモジュールにより具現化される別の利点は、セキュリティ機能特性や委託情報など全てを変更せずに、セキュリティモジュールに連結された制御装置を変更しうるということである。加えて、該セキュリティモジュールの幾つかの実施例には、制御装置から情報を収集するために使用されうる診断ソフトウェアを含みうる。オペレータは、セキュリティモジュールを所望の診断ソフトウェアを有する別のセキュリティモジュールに変更することにより、より新しい、より良い、より装置に適した診断法を利用しうる。例えば、制御装置の特定の状態をより良く評価するために新しい診断テストが開発されうる。ここに記載される例示的なセキュリティモジュールでは、既存制御装置の制御装置自体または電子回路基板を変えることなく確立済みの制御装置で新しい診断テストを実施しうる。
【0089】
更に、制御装置の製造メーカは、セキュリティ電子機器およびソフトウェア且つ又は診断電子機器およびソフトウェアを制御装置のそれ以外の電子機器から離すことができるので、制御装置用に開発したり、製造したり、在庫保管したりなどする必要のある回路基板の種類が少なくて済む。例えば、製造メーカが、二つの異なるセキュリティプログラムをそれぞれ備える制御装置を5台の提供する場合、10枚の回路基板(装置とプログラムの各組み合わせにつき一枚)を生産する必要がある。ここに記載される例示的なセキュリティモジュールを使用すれば、5枚の回路基板(各装置につき一枚)だけで済むので、2種類ののセキュリティモジュール(各プログラムにつき1種類)を生産すればよくなる。よって、製造メーカの開発および保管コストが大幅に削減される。加えて、セキュリティモジュールはその他の制御装置と共に使用することができる。
【0090】
更にまた、図5を参照して上述されるアイソレーション回路構成は、例示的なセキュリティモジュールに連結された電源および制御装置を保護する。電気的なスパイク(瞬時過渡現象)または電気工による不注意な配線引き回しにより許容できないほど高い電圧または電流負荷が生じた際には、アイソレーション回路がセキュリティモジュールに過大荷重を吸収させる。従って、セキュリティモジュールだけを交換する必要がありえ、制御装置の回路基板は正常に機能し続ける。よって、上記の如く、保全および修理のコストが大幅に減る。
【0091】
ここに実施例として挙げられる特定の方法、機器および製造品が記載されているが、この特許の適用領域の範囲はそれに限定されるものではない。それとは反対に、この特許は、字義的に若しくは均等論に基づいて添付の特許請求の範囲内に公正に含まれる方法、機器および製造品の全てを網羅するものである。
【技術分野】
【0001】
本開示は、概してプロセス制御システムに関し、具体的にはプロセス制御装置と共に使用するための取り外し可能なセキュリティモジュールに関する。
【背景技術】
【0002】
通常、化学薬品の処理、石油精製、製剤工程、紙・パルプ加工工程またはその他の製造工程に使用されるようなプロセス制御システムは、オペレーターワークステーションを少なくとも一つ含む少なくとも一つのホストへと、また、精油所や自動車製造施設などの物理的な工場において物理的な工程または製造に携わる個々の作業(例えば、バルブの開閉およびプロセスパラメータの測定または推測)を制御するための一つ又は複数のフィールド装置(例えば、装置コントローラ、バルブ、バルブアクチュエータ、バルブポジショナ、スイッチ、トランスミッタ、温度センサ、圧力センサ、流量センサおよび化学成分センサ、またはそれの組み合わせ)へと通信可能に連結されるコントローラおよび入・出力(I/O)サーバーのような一つ又は複数のプロセス制御装置を含む。プロセス制御装置は、フィールド装置により行われたプロセス計測且つ又はフィールド装置に関係するその他の情報を示す信号を受け取り、制御ルーチンを実施するべくこの情報を使用し、且つプロセス制御システムの動作を制御するべくバスまたはその他の通信回線を通じてフィールド装置へと送られる制御信号を生成する。
【発明の概要】
【発明が解決しようとする課題】
【0003】
多くのプロセス制御システムには、アクセス権の無い人が制御パラメータを変更したり、装置に命令を出したり、プロセス制御情報を得たりするなどを行えないようにしてプロセス工場の安全且つ信頼できる動作を保証するためのセキュリティ機能特性が組み込まれている。
危険な化学薬品が関与する、或いはメインまたは一次プロセス制御システムが障害を起こしたり、そうでなければ作動中に何らかの問題が生じて信用性を失ったりした際に安全性リスクを伴うその他如何なる材料または工程が関与するような特定のプロセスの動作についてメインまたは一次プロセス制御システムを安全にシャットダウンするために必要とされうる安全計装システム(SIS)を含むプロセス制御工場においては、かかるセキュリティ機能特性が特に重要になりえる。従来から、プロセス制御システムは、独立した個別の安全システムを使用することにより(通常、その使用は限られた数の要員により認可される)、安全計装システムのセキュリティを提供していた。但し、完全に別々のシステムを運用し維持するコストおよび手間が増大したため、プロセス制御システム内の安全システムの統合につながった。このように安全システムをプロセス制御システムへと統合することによりセキュリティ上の懸念を招き、プロセス制御システム自体のセキュリティが侵害された時でも安全計装システムへの変更が無許可で行われることを防ぐためにセキュリティ対策を追加することが要求されるようになった。
【課題を解決するための手段】
【0004】
プロセス制御装置と共に使用するための例示的な取り外し可能セキュリティモジュール、および関連した方法が開示される。例示的な取り外し可能セキュリティモジュールは、プロセス制御装置に取り外し可能な状態で連結されるように構成された本体と、該本体の中に配置されたメモリとを含み、更に該メモリの中に格納された共有秘密キーを有する。また、例示的な取り外し可能セキュリティモジュールには、本体の中に配置され且つメモリに連結されており、プロセス制御装置から情報を読み出してその情報を共有秘密キーと比較してからその比較に基づいてプロセス制御装置を認証するように構成された処理ユニットも含まれている。
【0005】
別の実施例では、プロセス制御装置と共に使用するための複数の取り外し可能セキュリティモジュールのそれぞれに、取り外し可能な状態でプロセス制御装置に連結されるように構成された本体と、該本体の中に配置されたメモリとが含まれており、更に該メモリの中に格納された共有秘密キーを備える。更に、複数のモジュールのそれぞれには、本体の中に配置され且つメモリに連結されており、プロセス制御装置から情報を読み出してその情報を共有秘密キーと比較してからその比較に基づいてプロセス制御装置を認証すように構成された処理ユニットが含まれている。
【0006】
更に別の実施例で、取り外し可能セキュリティモジュールによりプロセス制御装置の安全を確保する方法には、セキュリティモジュールを介してプロセス制御装置における情報を読み取ることと、セキュリティモジュールのメモリの中に格納された共有秘密キーとその情報を比較することとが含まれる。また、例示的な方法にはセキュリティモジュールによる比較に基づいてプロセス制御装置を認証することも含まれる。
【0007】
プロセス制御装置の安全を確保する別の例示的な方法には、プロセス制御装置で依頼または命令を受け取ることが含まれ、この場合、該依頼または命令は第1の個人と関連する。また、例示的な方法には、依頼または命令の受信に応答して秘密キーを得ることと、第2の個人に秘密キーを提供することと、第2の個人を介してプロセス制御装置に秘密キーを送信することと、秘密キーを受け取るプロセス制御装置に応答してプロセス制御装置の依頼または命令を認可することも含まれる。
【0008】
更なる実施例では、分散形プロセス制御システムが、一つ又は複数のプロセス制御装置と、プロセス制御装置の少なくとも一つから情報を読み取るための手段と、その情報を共有秘密キーと比較するための手段とを含む。また、例示的なプロセス制御システムは、該比較に基づいてプロセス制御装置の少なくとも一つを認証するための手段と、プロセス制御装置の少なくとも一つで使用するための一つ又は複数のアプリケーションを認可するための手段も含む。
【図面の簡単な説明】
【0009】
【図1】ここに記載される例示的な方法および機器を実施する例示的なプロセス制御システムを示すブロック図である。
【図2】図1の例示的なセキュリティモジュールの詳細ブロック図である。
【図3】図1の例示的なセキュリティモジュールの平面図を表す図である。
【図4】同側面図を表す図である。
【図5】セキュリティモジュールを制御装置からおよび通信バスから電気的に絶縁するべく図1の例示的なセキュリティモジュールと接続して実施されうるアイソレーション回路構成を表す図である。
【図6】制御装置に委託しアクションを認可するべく図1の例示的なセキュリティモジュールを実施するのに使用されうる例示的な方法のフローチャートを表す図である。
【図7】アクションの二人制認可を実施するべく図1の例示的なセキュリティモジュールを実施するのに使用されうる例示的な方法のフローチャートを表す図である。
【図8】ここに記載される例示的な方法および機器を実施するのに使用されうる例示的なプロセッサシステムのブロック図である。
【発明を実施するための形態】
【0010】
以下、例示的な方法と装置が、その他数ある構成部分の中でも特にハードウェア上で実行されるソフトウェア且つ又はファームウェアを含むものとして説明されているが、かかるシステムは単なる例示に過ぎず本発明を限定するものと見なされるべきでないことをここに述べておく。例えば、これらのハードウェア、ソフトウェアおよびファームウェア部材のいずれかまたは全てを、ハードウェアにおいてのみ、ソフトウェアにおいてのみ、またはハードウェアとソフトウェアの如何なる組み合わせにおいて具現化することも可能であることを意図するものである。しかるべく、以下、例示的な装置およびシステムを説明するが、通常の技術を有する当業者であれば、提示されている実施例がかかる装置およびシステムを実施するための唯一の方法ではないことを容易に理解できるだろう。
【0011】
例示的なプロセス制御システム(例えば図1のプロセスシステム100)は、制御室(例えば図1の制御室102)、プロセス制御装置区域(例えば、図1のプロセス制御装置区域104)、一つ又は複数の成端区域(例えば図1の第1の成端区域106と第2の成端区域108)および一つ又は複数のプロセス区域(例えば図1のプロセス区域110、112、114および116)を含む。プロセス区域は、特定のプロセス(例えば、化学薬品の処理、石油精製、製剤工程、紙・パルプ加工工程、など)を行うことに関連する動作(例えば、ボイラの制御、モータの制御、バルブの制御、監視、パラメータの測定、など)を行う複数のフィールド装置を含む。幾つかのプロセス区域は、厳しい環境条件(例えば、比較的高い温、空気中に浮遊する毒素、危険な放射能レベル、など)により人間によるアクセスが不可能なものもある。制御室は、一般に人間が安全にアクセスできる環境内に備えられる一つ又は複数のワークステーションを含む。ワークステーションは、例えば変数値やプロセス制御機能の変更などによってプロセス制御システムの動作を制御するためにユーザ(例えばエンジニア、オペレータ、など)がアクセスできるユーザ・アプリケーションを含む。プロセスコントローラ区域は、制御室内のワークステーション(複数可)に通信可能に連結された一つ又は複数の制御装置を含む。制御装置は、ワークステーションを介して実施されたプロセス制御方式を実行することによりプロセス区域におけるフィールド装置の制御を自動化する。例示的なプロセス実施法には、圧力センサーフィールド装置を使用して圧力を測定することと、圧力測定に基づいてフローバルブを開・閉するべくバルブポジショナへと自動的に命令を送信することとが関与する。成端区域は、制御装置がプロセス区域におけるフィールド装置と通信することを可能にするマーシャリング・キャビネットを含む。具体的に、マーシャリング・キャビネットは、制御装置に通信可能に連結された一つ又は複数のI/Oカードとフィールド装置との間で信号をマーシャリングする、整理する、且つ又は経由するといった作業を行う。
【0012】
プロセス制御システム内のフィールド装置は、フィールド装置のそれぞれと、制御装置(例えばプロセスコントローラ、プログラマブル論理制御装置、など)に通信可能に連結されためいめいのI/Oカードとの間にバス(例えばワイヤまたは複数のワイヤ、ケーブルまたは回路)を使用することにより制御装置に通信可能に連結される。I/Oカードは、制御装置およびフィールド装置の間で通信される情報を翻訳または変換することにより、異なるデータタイプ且つ又は信号タイプ(例えば、アナログ入力(AI)データタイプ、アナログ出力(AO)データタイプ、離散入力(DI)データタイプ、離散出力(DO)データタイプ、デジタル入力データタイプおよびデジタル出力データタイプ)且つ又は異なるフィールド装置通信プロトコルと関連する複数のフィールド装置へと制御装置を通信可能に連結することを可能にする。例えば、I/Oカードは、当該フィールド装置と関連するフィールド装置通信プロトコルを使用して該フィールド装置と情報を交換するように構成された一つ又は複数のフィールド装置インターフェースを備えうる。異なるフィールド装置インターフェースは、異なるチャネルタイプ(例えば、アナログ入力(AI)チャネルタイプ、アナログ出力(AO)チャネルタイプ、離散入力(DI)チャネルタイプ、離散出力(DO)チャネルタイプ、デジタル入力チャネルタイプおよびデジタル出力チャネルタイプ)を介して通信する。加えて、I/Oカードは、フィールド装置から受け取った情報(例えば電圧レベル、デジタル値など)をプロセス情報(例えば圧力測定値)に変換することができる。
【0013】
特定の制御装置およびフィールド装置間の通信の安全が確保されないと、認可されていない命令(例えば命令を発行することを認可されていない個人且つ又は制御装置に応答して発行された命令)によってプロセス制御システムの安全な動作に深刻になセキュリティ侵害がもたらされうる。例えば、制御信号、或いは、更に概して言うと、フィールド装置にアクションを行わせる(例えば、バルブを閉じて、有毒の且つ又は極めて反応性に富む化学物質の流れを止めさせる)ようなフィールド装置への命令または依頼を通信する権限を特定の制御装置には与えないようにしうる。特定の制御装置且つ又は要員だけがかかる危険性の高い制御装置且つ又はフィールド装置を動せるようにするためには、制御装置およびフィールド装置の高度なセキュリティが要求される。
【0014】
セキュリティは、安全計装システムにとって最も重要なものであるが、一般にプロセス制御システムにおいて(特に、統合化安全装置または設備を含み、プロセス制御システム全体としてのセキュリティが侵害されているかどうかにかかわらず安全装置のセキュリティを要するプロセス制御システムにおいて)相当な重要性を持つ。周知のプロセス制御システムの幾つかにおいては、プロセス制御システムに組み込まれた如何なる制御装置の認証および認可を要求することにより制御装置の委託中にある程度のセキュリティが提供されている。装置が認証され認可された後でのみ、システムにおけるアイデンティティ(識別可能能特性)および役割がその装置に与えられ、その後、該装置がプロセス制御システムとの相互動作を行えるようになる。
【0015】
制御装置の委託後、委託された制御装置へとデータを提供する(例えば、コードまたはソフトウェアをダウンロードする)ことにより、制御装置の役割が有効になる。制御装置の作動中に(即ち、それがそれの役割に準じてそれのダウンロード済みコードまたはソフトウェアを実行中に)、オペレータ、エンジニアまたはその他如何なる認定ユーザが、制御装置の動作を監視したり、制御装置へと命令を送信したり、制御装置からの情報を依頼したりなどすることが可能になりうる。
【0016】
一般に、制御装置の認証によって、制御装置が意図される如く作動すべき制御システムで使用されていることが確認される。周知の認証工程の幾つかは、例えば、制御装置および制御装置が組み込まれているシステムにより認知される共有秘密キーを含む情報を使用しうる。かかる共有秘密キーは、製造時に制御装置に永久的に格納されうるし、プロセス制御システムは制御装置が認証されるとこの共有秘密キーを認識するように構成される。加えて、制御装置は、制御装置がプロセス制御システムと相互運用することができるかを判断するために使用されるプロセス制御システムについての情報を永久的に格納しうる、
【0017】
一旦、制御装置が認証および認可されたなら、ワークステーション、コントローラ、認定されていない要員などによる制御装置の認定されていないアクションまたは使用を防止するべく、制御装置はそれの作動中に更なるセキュリティ対策を採用しうる。多くの場合かかる更なるセキュリティ対策には、制御装置およびプロセス制御システムと関連するその他如何なる構成体(例えばコントローラ、フィールド装置、ワークステーション、要員、アプリケーションなど)の間における如何なる通信に対して暗号化を使用することが含まれうる。これを達成するために、幾つかのプロセス制御装置には、それの製造時に制御装置の中に格納(もしくは製造)されうる一つの暗号キーまたは複数の暗号キーが含まれうる。
【0018】
共有秘密キー、暗号キーなどをはじめとする上述のセキュリティ対策は効果的でありえるが、これらのセキュリティ対策が展開される現在の様態では、実施上の問題が幾つか伴う場合がある。例えば、製造時に制御装置の幾つかの中にハードコードされる共有秘密キーのセキュリティが万一侵害された(例えば、許可されていない構成体に知られてしまった)場合には、その装置のセキュリティを回復するために、制御装置の中の共有秘密キーを変更しなければならないことになる。但し、かかる共有秘密キーの変更には、プロセス制御システムから制御装置を取り外してからその制御装置をそれの製造メーカへ送り共有秘密キーを変更してもらう必要がありうる。更に、万一制御装置が障害を起し交換する必要が生じた場合、不具合を持つ装置に取って代わる装置が如何なるものでも、置換装置の委託(例えば、ソフトウェアまたはそれの役割を行うためのコードの認証、認可、ダウンロード、など)を必要とするが、このような作業には多大なる時間と高額な費用がかかることに加え、しばしば許容できないほど長い時間プロセス制御システムをオフライン状態とすることが要される。
【0019】
更に、I/Oカードおよびフィールド装置が正確な制御装置に連結されている場合でも万一制御装置が不正に使用されると(例えば、誤った命令または依頼に応答してアクションを実行すると)、この場合も、プロセス制御システムにおいて深刻且つ危険な結果が生じうる。制御装置が少なくとも幾つかの動作について正しく使用されること(または、不当に修正変更されないようにすること)を保証するために、幾つかの制御システムまたは当該制御システムの諸部分は、特定の制御装置が依頼または命令に応答して適切なアクションを行うことを許されているかどうかを判断するべく当該制御装置の付加的なアクセス制御または認可を要求する。幾つかの状況(例えば極めて機密性の高い作業)における制御装置の認可には、制御室のオペレータまたはエンジニア、そして制御装置に配置されている別の個人が認可作業を行うことが要求されうる(即ち、二人制認可が要求される)。従来から、制御装置に配置されている人員は、制御室にいる人員からの指示に基づいて装置の所で鍵を回したりコードを入力したりすることが要求されるが、これには、これらの物理的な制約を付けて(例えば、キーロックや鍵などを備えた状態で)制御装置を製造する必要があるだけでなく、鍵の損失や無許可の複製または鍵の乱雑を防ぐために鍵の管理プロトコルを実施することも必要とされる。物理的な鍵を使用することによって、鍵のアクセスの管理、鍵の発行および保管場所の監視、実際に鍵を回す要員の記録管理、などが更に要求される。更に、鍵の切り替えは時間切れになったりしないが、その代わり、物理的に一個人により始動させる必要があるので、結果として実際の運用にて永久に鍵が掛かった状態になったり、または、無制限に有効になったりする。
【0020】
ここに記載される例示的な機器および方法は、より柔軟且つ確実にプロセス制御システムの安全を確保するために使用されうる。特に、ここに記載される例示的な機器および方法は、制御装置(例えばフィールド装置、コントローラなど)に取り外し可能な状態で連結することができるセキュリティモジュールを使用する。セキュリティモジュールは、制御装置を認証し、委託し、それの安全を確保するため、および制御装置に関連したアクションまたはアプリケーションを認可するために必要な実質的に全てのセキュリティソフトおよび電子機器を提供する。これには、例えば、制御装置を認証するために使用される秘密キー(例えば共有秘密キー)を格納すること、制御装置のアクションを認可するために使用される暗号キーまたはその他の暗号情報を格納すること、認定されていない依頼または命令から保護すること、制御装置にアイデンティティを提供すること、プロセス制御システムにおける制御装置の役割を割り当てること、二人制認可方式を円滑に実施すること、および割り当てられた役割を行うべきデータで制御装置を構成することが含まれる。
【0021】
セキュリティモジュールが制御装置に連結される場合、セキュリティモジュールは制御装置から制御装置情報を読み取る。この情報は、セキュリティ装置のメモリに格納された共有秘密キーと比較される。制御装置情報および共有秘密キーの間に相互関連性(例えば一致するもの)がある場合、制御装置の据え付けが認証される。よって、セキュリティモジュールは制御装置を認証し、プロセス制御システムへそれを組み込む。共有秘密キーおよび制御装置情報が相互に関連しない、または一致しない場合、制御装置は、セキュリティモジュールを使用することが認証されず、当該のプロセス制御システムまたはプロセス制御システムの当該の部分に据え付けられることが認可されない。その場合、制御装置は委託不可能となり、よって作動不能のままとなる。
【0022】
制御装置が委託された後、制御装置は、認証中にそれに割り当てられた役割を行うために制御装置が必要とするデータで構成される。一旦制御装置が作動し始めると、該制御装置には普通一人又は複数人のオペレータまたはエンジニアが立ち合う。オペレータ且つ又はエンジニアは、システム(またはその部分)が目的通りに作動していることを保証するために例えば抄紙機、蒸留塔または生産セルを含む自分が担当する(例えば物理的な工場などの)プロセス制御システムの部分を制御または監視するべく該制御装置(並びにその他の制御装置)と交信する。プロセス制御システムの作動中に、制御装置は多数の依頼、命令、修正変更、且つ又はその他の通信を受け取る。制御装置が認定されていない通信に応答してアクションを行うのを防ぐために、セキュリティモジュールは通信を監視し、アクションを認可、或いは妨害する。例えば、セキュリティモジュールは、通信に含まれる情報を抽出し、該情報の少なくとも幾つかを、セキュリティモジュールのメモリに格納された暗号キーと比較しうる。暗号キーと通信に含まれる情報との間に相互関連性がある場合、セキュリティモジュールは、通信に応答して適切なアクションを行うことを制御装置に認可しうる。暗号キーとの相互関連性がない場合、制御装置によるアクションは認可されず、よって、妨害される。
【0023】
加えて、より詳しく後述される如く、ここに記載される例示的なセキュリティモジュールは制御装置に取り外し可能な状態で連結することができるので、制御装置を交換してから製造メーカに制御装置を送って再設定してもらったり、若しくはプロセス制御システムから制御装置を取り外したりする必要なく、セキュリティモジュールを取り外して所望の異なるセキュリティ機能特性を使用する別のセキュリティモジュールに交換することにより、制御装置により使用されるセキュリティ機能特性を変更することができる。加えて、第1の制御装置から取り外したセキュリティモジュールは、第2の制御装置を委託する必要なく第2の制御装置(例えば第1の制御装置の交換品)に取り外し可能な状態で連結しうる。
また、より詳しく後述される如く、改訂された(例えば、アップグレードされた)セキュリティソフトウェア且つ又は電子機器(例えば診断法を含む)が制御装置により使用される同じタイプのセキュリティ機能特性に向けて利用可能な場合、制御装置を交換して制御装置の再委託を行い、製造メーカに制御装置を送って再構成してもらったり、若しくはプロセス制御システムから制御装置を取り外したりする必要なく制御装置のセキュリティモジュールを取り外して、改訂されたセキュリティソフト且つ又は電子機器を有する異なるセキュリティモジュールと交換することができる。つまり、制御装置のセキュリティモジュールだけが、異なるセキュリティ機能特性を含む異なるセキュリティモジュールと交換されることになる。
【0024】
ここに記載される例示的なセキュリティモジュールは、セキュリティソフトを含む自己完結型のカプセル化電子モジュールでありうる。更に、これらの例示的なセキュリティモジュールは、様々なタイプ、製造元(例えば、異なる製造メーカにより提供された)および機種の制御装置に取り外し可能な状態で挿入(若しくは連結)されうる。制御装置に対してセキュリティ機能特性を提供するべく、例示的なセキュリティモジュールを標準化して、異なるタイプの制御装置と接続して使用しうる。より具体的には、制御装置の実装、電気接続(例えばピン配列)などを含む機械的な構成およびインターフェースと、セキュリティモジュールは標準としうるので、異なるセキュリティ機能特性を提供する複数の獲得可能セキュリティモジュールの如何なるものを、如何なる数のメーカにより製造された様々な制御装置の如何なるものと使用することができる。同様に、セキュリティモジュールが制御装置内のその他の電子機器と通信する様態も標準化しうる。言い換えると、セキュリティモジュールの制御装置との互換性を更に円滑に実施するべく、制御装置とセキュリティモジュールの間で通信を可能にするために使用される通信方式を、制御装置の諸タイプ、諸製造元、諸機種などにわたり適合するしうるように標準化することも可能である。
【0025】
ここに記載される例示的なセキュリティモジュールは、制御装置セキュリティの標準化を可能にする、よって、特定のセキュリティプログラム(即ち、一式のセキュリティ機能特性)にこだわることなくセキュリティモジュールを製造できるようになる。つまり、制御装置を製造後(例えば、制御装置がプロセス制御システムに据え付けられる時に、または委託中に)制御装置の中に適切なセキュリティモジュールを据え付けることにより、かかるセキュリティ機能特性を割り当てる、或いは構成することができる。これにより、必要予備部品(例えば予備の制御装置)の数を減らすことができ、制御装置をある一つのセキュリティプログラムから別のセキュリティプログラムに簡単に切り替えられるようになる。また、もはや相当な量の内部セキュリティ電子機器またはソフトウェアを制御装置に含む必要がなくなるので、ここに記載される例示的な方法および機器は、制御装置の製造を簡素化することもできる。従って、ここに記載される例示的な方法および機器によって、製造メーカが異なるセキュリティ機能特性を採用する同じような制御装置を以前のように数多く生産する必要がなくなる。
【0026】
更に、例示的なセキュリティモジュールは、実質的に全ての制御装置用通信ソフトおよび電子機器を含みうる。よって、「Apparatus and Methods to Communicatively Couple Field Devices to Controllers in a Process Control System」(仮訳:「プロセス制御システムにおいてフィールド装置をコントローラに通信可能な状態で連結する機器および方法」)と題され且つ、ここに参照することによりその全体にわたりに援用される同時係属中の共同所有された米国出願書第12/236,165号に記載される通信モジュールの機能特性の全てを、ここに記載されるセキュリティモジュールは含みうる。
【0027】
なおさらに、セキュリティモジュールを、新しいまたは異なる機能特性を組み込んだソフトウェアを含む改訂またはアップグレード済みソフトウェアを備える別のセキュリティモジュールに交替することによりセキュリティソフト改訂またはアップグレードを簡単に加えうるのでシステムの保守コストを削減しうる。更にまた、制御装置の内部電子機器にアクセスすることなく、ここに記載される例示的なセキュリティモジュールを簡単に取り替える、または交換することができるので、セキュリティプログラムのアップグレード且つ又は変更をそのままの状態で(即ち、制御装置を取り外す必要なく)行うことができる。加えて、制御装置の診断をセキュリティモジュールに含みうるので、より新しい、またはより良い診断ソフトウェアを望む利用者は、制御装置の内部電子機器を変更する必要なく、セキュリティモジュールを所望の診断法を含む別のセキュリティモジュールと取り替えることができる。更に、幾つかの例示的なセキュリティモジュールは、例えば制御装置シリアル番号(複数可)且つ又はその他の制御装置情報のようなローカルタグ付け情報を含みうる。セキュリティソフト、診断情報且つ又はローカルタグ付け情報のいずれかまたは全てを例示的なセキュリティモジュールに含むことにより、制御装置の構成および制御装置の作動状態、履歴、保守保全の必要性などの評価を円滑に実施できるようになる。
【0028】
加えて、幾つかの実施例では、セキュリティモジュールを、それに含まれるセキュリティ機能特性、アップグレード、更新、診断法などのタイプに応じてコード化(例えば、色分け)しうる。コード化方式によって、制御装置(複数可)に連結するのに適切なセキュリティモジュールの識別を円滑に実施できるようになる。
【0029】
ここで図1を詳細にわたって参照するに、例示的なプロセス制御システム100は、一般にアプリケーション制御ネットワーク(ACN)と呼ばれるローカルエリアネットワーク(LAN)124またはバスを介して第1の制御装置(例えばコントローラ)120および第2の制御装置(例えばコントローラ)122を含む一つ又は複数の制御装置に通信可能に連結されたワークステーション118を備える制御室102を含む。LAN124は如何なる所望の通信媒体およびプロトコルを使用して実施されうる。例えば、LAN124は配線接続式またはワイヤレスのイーサネット(登録商標)通信プロトコルに基づきうる。但し、その他如何なる適切な有線または無線の通信媒体およびプロトコルを使用することも可能である。一つ又は複数の情報技術アプリケーション、ユーザ対話型アプリケーション且つ又は通信アプリケーションと関連する動作を行うようにワークステーション118を構成しうる。例えば、プロセス制御関連アプリケーションおよび、ワークステーション118と制御装置120および122が如何なる所望の通信媒体(例えば無線通信、配線接続式など)およびプロトコル(例えばHTTP、SOAPなど)を用いてその他の装置またはシステムと通信することを可能にする通信アプリケーションと関連する動作を行うようにワークステーション118を構成しうる。例えばワークステーション118またはその他如何なるワークステーションを用いてシステムエンジニアまたはその他のシステム・オペレータにより生成され、そして制御装置120および122にダウンロードされてインスタンス化された一つ又は複数のプロセス制御ルーチンまたは機能を行うように制御装置120および122を構成しうる。図示される実施例において、ワークステーション118は制御室102に設置されており、制御装置120および122は、物理的に制御室102とは別の所にある制御装置区域104に設置されている。
【0030】
図1の例示的な実施形態において、第1の制御装置120は、バックプレーン通信または内部I/Oバス144を介してI/Oカード140a−bおよび142a−bに通信可能に連結される。ワークステーション118と通信するために、第1の制御装置120はLAN124を介してワークステーション118に通信可能に連結される。第2の制御装置122は、LAN124を介してワークステーション118とI/Oカード140c−dおよび142c−dに通信可能に連結される。I/Oカード140c−dおよび142c−dは、LAN124を介して第2の制御装置122およびワークステーション118と通信するように構成される。このように、I/Oカード140c−dおよび142c−dは、ワークステーション118と情報を直接取り交わすことができる。
【0031】
図示される実施例において、例示的なプロセス制御システム100は、フィールド装置126a−cを第1のプロセス区域110に、フィールド装置128a−cを第2のプロセス制御区域112に、フィールド装置130a−cを第3のプロセス制御区域114に、そしてフィールド装置132a−cを第4のプロセス制御区域116に含む。制御装置120および122と、フィールド装置126a−c、128a−c、130a−cおよび132a−cとの間で情報を通信するために、例示的なプロセス制御システム100には、フィールド・ジャンクションボックス(FJB)134a−dおよびマーシャリング・キャビネット136a−bが備えられている。フィールド・ジャンクションボックス134a−dのそれぞれは、めいめいの多重導体ケーブル138a−d(例えばマルチバスケーブル)を介してフィールド装置126a−c、128a−c、130a−cおよび132a−cのめいめいのものからマーシャリング・キャビネット136a−bのうちの一つへと信号を経由させる。それに対してマーシャリング・キャビネット136a−bは、フィールド装置126a−c、128a−c、130a−cおよび132a−cから受け取った情報(例えば信号)をマーシャリングして(例えば、整理したり、グループに分類したり、などを行って)、フィールド装置情報を制御装置120と122のめいめいのI/Oカード(例えばI/Oカード140a−d)へと経由させる。図示される実施例において、I/Oカード140a−dと制御装置120および122から受け取った情報をフィールド・ジャンクションボックス134a−dを介してフィールド装置126a−c、128a−c、130a−cおよび132a−cのめいめいのものに経由させるためにもマーシャリング・キャビネット136a−bを使用しうるように、制御装置120および122と、フィールド装置126a−c、128a−c、130a−cおよび132a−cとの間の通信は双方向に行われるようになっている。
【0032】
図1の実施例では、フィールド装置126a−c、128a−c、130a−cおよび132a−cが、導電性(例えば配線接続式)且つ又はワイヤレス通信媒体、且つ又は光通信媒体を介してフィールド・ジャンクションボックス134a−dに通信可能に連結される。例えば、フィールド・ジャンクションボックス134−a−dには、フィールド装置126a−c、128a−c、130a−cおよび132a−cの有線、無線且つ又は光トランシーバと通信するために一つ又は複数の有線、無線、且つ又は光学データ・トランシーバを備えうる。図示される実施例において、フィールド・ジャンクションボックス134bおよび134dは、(ここに記載される順で)めいめいフィールド装置128cおよび132cへとワイヤレス方式で通信可能に連結される。代替的な例示的な実施形態では、マーシャリング・キャビネット136a−bを省略しても良く、介在する構造のない状態で(即ち、マーシャリング・キャビネット136a−bなしで)フィールド装置126a−c、128a−c、130a−cおよび132a−cからの信号を、フィールド・ジャンクションボックス134a−dから直接制御装置120および122のI/Oカード140a−dへと経由させることも可能である。更に別の例示的な実施形態では、フィールド・ジャンクションボックス134a−を省略しても良く、フィールド装置126a−c、128a−c、130a−cおよび132a−cを直接マーシャリング・キャビネット136a−bに連結することができる。
【0033】
フィールド装置126a−c、128a−c、130a−cおよび132a−cはフィールドバス適合バルブ、作動装置、センサなどでありえ、その場合、フィールド装置126a−c、128a−c、130a−cおよび132a−cは、周知のFOUNDATIONフィールドバス通信プロトコルを使用しデジタルデータ・バスを介して通信する。もちろん、その他のタイプのフィールド装置および通信プロトコルをその代りに使用することも可能である。例えば、フィールド装置126a−c、128a−c、130a−cおよび132a−cは、その代わり周知のプロフィバスおよびHART通信プロトコルを使用しデータバスを介して通信するプロフィバス(HART)またはAS−i適合装置でありえる。例示的な実施形態の幾つかにおいて、フィールド装置126a−c、128a−c、130a−cおよび132a−cは、デジタル通信の代わりに、アナログ通信または離散通信を使用して情報を通信することができる。加えて、通信プロトコルは異なるデータタイプに関連した情報を通信するのにも使用することができる。
【0034】
フィールド装置126a−c、128a−c、130a−cおよび132a−cのそれぞれは、フィールド装置識別情報を格納するように構成される。フィールド装置識別情報は、フィールド装置126a−c、128a−c、130a−cおよび132a−cのそれぞれを一意的に同定する物理的装置タグ(PDT)値、装置タグ名、電子シリアル番号などでありうる。図1に示される実施例では、フィールド装置126a−c、128a−c、130a−cおよび132a−cが、フィールド装置識別情報を物理的装置タグ数値「PDT00−PDT11」の形式で格納する。フィールド装置識別情報は、フィールド装置の製造メーカにより、且つ又はフィールド装置126a−c、128a−c、130a−cおよび132a−cの据え付け且つ又は委託に関与するオペレータまたはエンジニアにより、フィールド装置126a−c、128a−c、130a−cおよび132a−cに格納またはプログラムされる。
【0035】
制御装置120および122(且つ又はワークステーション118)と、フィールド装置126a−c、128a−c、130a−cおよび132a−cとの間のI/O通信を制御するために、制御装置区域104には複数のI/Oカード140a−dが備えられている。図示される実施例において、I/Oカード140a−bは、第1の制御装置120(且つ又はワークステーション118)と第1および第2のプロセス区域110および112におけるフィールド装置126a−cおよび128a−cとの間のI/O通信を制御するように構成され、そしてI/Oカード140c−dは、第2の制御装置122(且つ又はワークステーション118)と第3および第4のプロセス区域114および116におけるフィールド装置130a−cおよび132a−cとの間のI/O通信を制御するように構成される。
【0036】
図1に示される実施例では、I/Oカード140a−dが制御装置区域104に存在する。フィールド装置126a−c、128a−c、130a−cおよび132a−cからワークステーション118に情報を通信するために、I/Oカード140a−dは、制御装置120および122に情報を通信し、それに対して制御装置120および122はワークステーション118に情報を通信する。同様に、ワークステーション118からフィールド装置126a−c、128a−c、130a−cおよび132a−cへと情報を通信するために、ワークステーション118は制御装置120および122に情報を通信し、制御装置120および122はI/Oカード140a−dに情報を通信し、そしてI/Oカード140a−dはフィールド装置126a−c、128a−c、130a−cおよび132a−cに情報を通信する。代替的な例示的な実施形態において、I/Oカード140a−dがワークステーション118且つ又は制御装置120および122と直接通信することができるように、I/Oカード140a−dは制御装置120および122の内部にあるLAN124に通信可能に連結できるようになっている。
【0037】
I/Oカード140a−dのいずれかが障害を起した際にフォールト・トレラントな(耐障害性を有する)動作を提供するべく、I/Oカード140a−dが冗長I/Oカードとして構成されている。即ち、I/Oカード140aが障害を起した場合、冗長I/Oカード142aが制御を引き継ぎ、I/Oカード140aが障害の生じなかった場合に行うであろう動作と同じ動作を行う。同様に、I/Oカード140bが障害を起した場合、冗長I/Oカード142bが制御を引き継ぐ、などといった具合に以降同様に構成される。
【0038】
制御装置区域104に示されるように、第1のセキュリティモジュール150は、第1の制御装置120に直接連結され、また第2のセキュリティモジュール152は第2の制御装置122に直接連結される。加えて、セキュリティモジュール154、156および158は、この実施例ではフィールド装置として示されるめいめいの制御装置126a、126bおよび126cに直接連結される。セキュリティモジュール150−158は、お守りのような形をした取り外し可能、プラグ接続可能または挿入可能な装置(例えば保護カバーまたは筺体を有する回路カードと、プラグ接続できる電気コネクタ)として構成されうる。代替的な例示的な実施形態では、セキュリティモジュール150−158が中間構造(複数可)または装置(複数可)を介して制御装置120および122且つ又は126a−cに通信可能に連結されうる。
【0039】
制御装置120、122および126a−cを認証および委託するため、および受け取った依頼または命令に応答して制御装置により行われるアクションを認可するためにプロセス制御システム100により使用される実質的に全てのセキュリティソフトおよび電子機器を、セキュリティモジュール150−158は提供する。更に概して言えば、セキュリティモジュール150−158は、適切な制御装置がプロセス制御システム100に適切に連結され、これらの装置が適切な様態で使用されることを保証する。以下、例示的なセキュリティモジュール150−158およびそれらの関連動作をより詳しく説明する。
【0040】
図示される実施例において、マーシャリング・キャビネット136a−b、セキュリティモジュール150−158、I/Oカード140a−dおよび142a−d、そして制御装置120、122および126a−cによって、既存のプロセス制御システムの据え付けを、図1の例示的なプロセス制御システム100の構成に実質的に類似する構成へと切り替える作業が円滑に行えるようになる。例えば、如何なる適切なインターフェース・タイプを含むようにセキュリティモジュール150−158を構成することができるので、セキュリティモジュール150−158は如何なるタイプの制御装置に通信可能に連結されるように構成することができる。同様に、制御装置120および122は、既に据え付けられているワークステーションへとLANを介して通信するための周知のLANインターフェースを含むように構成することができる。例示的な実施形態の幾つかでは、プロセス制御システムに既に据え付けられている制御装置を交換する必要がないように、I/Oカード140a−dおよび142a−dを周知の制御装置の中に設置するか、またはそれに通信可能に連結することができる。
【0041】
図5に描かれる代替的な実施例では、セキュリティモジュール150および152を使用してLAN124または内部I/Oバス144にめいめいの制御装置120および122を連結しうる。当該の実施例において、ワークステーション118からの通信は全てセキュリティモジュール150および152により処理され、また、適切な場合は以下詳述されるようにめいめいの制御装置150および152へと通信される。加えて、I/Oカード140a−dおよび142a−dからの通信も全てセキュリティモジュール150および152により処理され、適切な場合はめいめいの制御装置150および152へと通信される。
【0042】
図2は、ここに記載される例示的なセキュリティモジュールの如何なるものを表しうるセキュリティモジュール200の例示的な実施を示す。図2の例示的なセキュリティモジュール200には、セキュリティモジュール200がLAN124且つ又は内部I/Oバスに制御装置を連結するために使用される構成において例えばI/Oカード且つ又はワークステーションとセキュリティモジュール200が通信することを可能にするための外部バスインターフェース202が含まれる。
【0043】
セキュリティモジュール200のアドレス且つ又は制御装置のアドレスを同定するために、セキュリティモジュール200にはアドレス識別子204が与えられている。セキュリティモジュール200が制御装置に差し込まれた時にセキュリティモジュール・アドレス(例えばネットワーク・アドレス)について制御装置に問い合わせ(クエリー)するようにアドレス識別子204を構成しうる。このように、セキュリティモジュール200は、制御装置にまたは制御装置から情報を通信する際にセキュリティモジュール・アドレスをソース且つ又は宛先アドレスとして使用することができる。
【0044】
また、例示的なセキュリティモジュール200は、外部バスを介してその他のシステム構成部分と情報を取り交わすための外部バス通信プロセッサ206も備えている。図示される実施例において、外部バス通信プロセッサ206は、情報を別のシステム構成部分へと送信するためにパケット化し、その他のシステム構成部分から受け取った情報を非パケット化する。パケット化された情報は、外部バスを通じた送信に向けて外部バスインターフェース202へと通信される。図示される実施例において、外部バス通信プロセッサ206は、送信されるべき各パケット用にヘッダー情報を生成し、受信したパケットからヘッダー情報を読み取る。例示的なヘッダー情報としては、宛先アドレス(例えばI/Oカードのネットワーク・アドレス)、ソースアドレス(例えばセキュリティモジュール200のネットワーク・アドレス)、パケットタイプまたはデータタイプ(例えばアナログ・フィールド装置情報、フィールド装置情報、コマンド情報、温度情報、実時間データ値など)、およびエラーチェック情報(例えば巡回冗長検査(CRC)情報)が挙げられる。例示的な実施形態の幾つかにおいては、処理ユニット208と同じマイクロプロセッサまたはマイクロコントローラを使用して外部バス通信プロセッサ206を実施しうる。
【0045】
セキュリティモジュール200の様々な動作を制御するために、セキュリティモジュール200には処理ユニット208が備えられている。例示的な実施形態においては上述の如く、マイクロプロセッサまたはマイクロコントローラを使用して処理ユニット208を実施することができる。処理ユニット208は、セキュリティモジュール200のその他の部分へと、当該部分の動作を制御するべく指示または命令を通信する。
【0046】
処理ユニット208は、例えば制御装置に格納される秘密キーのような認証情報を含む制御装置情報を制御装置から得るために使用される読み取り機構210を備える、または該読み取り機構210と通信可能に連結される。また、読み取り機構210は、セキュリティモジュール200のメモリ212からも情報を得る。該メモリは、如何なるタイプの構成可能なデータベースを含みうるし、また、例えば、制御装置の認証のための共有秘密キー情報、制御装置のアクションを認可するために使用される暗号キーを含む暗号化情報、制御装置と関連する委託情報、例えば装置識別子または制御パラメータのような構成情報およびその他如何なる情報などの情報を含みうる。
【0047】
また、処理ユニット208はコンパレータ(比較機構)214を備えるか、またはコンパレータ214に通信可能に連結される。コンパレータ214は受信した且つ又はに格納された情報を評価するために使用されうる。例えば、コンパレータ214は、セキュリティモジュール200がメモリ212に格納された第2の秘密キーに対して連結された制御装置から受け取った第1の秘密キーを含む情報を比較しうる。コンパレータ214は、第1と第2の秘密キーの間の相互関連性の度合いを評価して、それらが共有秘密キー(例えば、実質的に一致するかまたは同一の秘密キー情報)を構成するかどうか判断しうる。更に、コンパレータ214は、メモリ212に格納された依頼または命令または暗号キーとその他如何なる通信に含まれる情報を比較して、その通信が認可されるかどうか判断するために二者間の相互関連性の度合いを評価しうる。
【0048】
また、処理ユニット208は、オーセンチケータ216を備えるか、またはオーセンチケータ216と通信可能に連結される。図中、オーセンチケータ216およびコンパレータ214が別々のブロックとして示されているが、幾つかの実施例では、ソフトウェア且つ又はその他の構造を使用してオーセンチケータ216とコンパレータ214を統合しうる。この実施例では、制御装置からの情報がセキュリティモジュール200に格納された秘密キーと十分な相互関連性(例えば共有秘密キー)を有するとコンパレータ214が判断すると、セキュリティモジュール200、オーセンチケータ216が制御装置の委託を行う。
【0049】
セキュリティモジュール200が連結された制御装置に供給される電力の量を制御するために、セキュリティモジュール200には電力制御装置218が備えられている。図示される実施例では、例えばマーシャリング・キャビネット136a−bのうちの一つに存在しうるまたは制御装置と関連しうる電源(例えば図5の電源504)が、制御装置との通信を可能にするべく通信チャネルインターフェースに電力を供給するためにセキュリティモジュール200に電力を供給する。図示される実施例において、電力制御装置218は、外部電源供給によりセキュリティモジュール200に供給される電力を条件付けたり、調整したり、および昇圧したり且つ又は降圧したりするように構成される。例示的な実施形態の幾つかでは、可燃性または燃焼性の環境において発火の危険性を著しく減少またはゼロにするべく、制御装置と通信するのに使用される且つ又は制御装置に供給される電力の量を制限するように電力制御装置218を構成しうる。
【0050】
電源から受けた電力をセキュリティモジュール200用の電力に変換するために、セキュリティモジュール200には電力変換装置220が備えられている。図示される実施例において、セキュリティモジュール200を実施するために使用される回路構成は、セキュリティモジュール200が連結されている制御装置により必要とされる電圧レベルとは異なる一種又は複数種の電圧レベル(例えば3.3V)を使用する。電力変換装置220は、セキュリティモジュール200に対して電源から受けた電力を使用して制御装置と通信するために異なる電圧レベルを供給するように構成される。図示される実施例において、電力変換装置220により生成された電源出力は、セキュリティモジュール200およびそれに連結された制御装置に電力を供給するため、およびセキュリティモジュール200と制御装置との間で情報を通信するために使用される。幾つかの制御装置通信プロトコルは、その他の通信プロトコルよりも比較的高いまたは低い電圧レベル且つ又は電流レベルを必要とする。図示される実施例において、電力制御装置218は、制御装置に電力を供給するため、および制御装置と通信するための電圧レベルを提供するように電力変換装置220を制御する。
【0051】
制御装置から且つ又は、セキュリティモジュール200が連結されているシステムのその他如何なる構成部分からセキュリティモジュール200の回路構成を電気的に絶縁するために、セキュリティモジュール200には一つ又は複数のアイソレーション(絶縁)装置(複数可)222が備えられている。アイソレーション装置(複数可)222は流電アイソレータ且つ又は光アイソレータを使用して実施されうる。例示的なアイソレーション構成を、図5を参照して以下に詳述する。
【0052】
アナログおよびデジタル信号間で変換を行うために、セキュリティモジュール200には、デジタル/アナログ変換器224およびアナログ/デジタル変換器226が備えられている。デジタル/アナログ変換器224は、受け取ったデジタル表現の値(例えば測定値)または情報を、システム(例えば図1のプロセス制御システム100)における更なる通信に向けてアナログ値または情報変換するように構成される。同様に、アナログ/デジタル変換器226は、受け取ったアナログ値または情報を、システム(例えば図1のプロセス制御システム100)における更なる通信に向けてデジタル表現の値または情報に変換するように構成される。システム内の通信が全てデジタル且つ又は全てアナログである代替的な例示的な実施形態では、デジタル/アナログ変換器224且つ又はアナログ/デジタル変換器226をセキュリティモジュール200から省略しうる。
【0053】
セキュリティモジュール200が連結されている制御装置との通信を制御するために、セキュリティモジュール200には制御装置通信プロセッサ228が備えられている。制御装置通信プロセッサ228は、情報が、セキュリティモジュール200の連結されている制御装置に通信するのに正しい形式および電圧タイプ(例えばアナログまたはデジタル)であることを保証する。また、セキュリティモジュール200の連結されている制御装置が、デジタルのパケット化された情報を使用して通信するように構成されている場合、制御装置通信プロセッサ228は、情報をパケット化または非パケット化するようにも構成される。加えて、制御装置通信プロセッサ228は、制御装置から受け取った情報を抽出して当該の情報をそれ以降の別のシステム構成部分への通信に向けてアナログ/デジタル変換器226に且つ又は外部バス通信プロセッサ206に通信するように構成される。
【0054】
また、セキュリティモジュール200をそれが物理的に連結される制御装置に通信可能に連結するように構成された制御装置インターフェース230が、例示的なセキュリティモジュール200には備えられている。例えば、制御装置通信プロセッサ228によりパケット化された情報を、セキュリティモジュール200の連結されている制御装置の内部バスを通じての送信に向けて制御装置インターフェース230へと通信しうる。
【0055】
図示される実施例では、制御装置通信プロセッサ228が、受け取った情報にタイムスタンプを生成するようにも構成されうる。セキュリティモジュール200でタイムスタンプを生成することによって、ミリセカンド未満の範囲のタイムスタンプ精度を用いてシークエンスオブイベンツ(SOE)動作を円滑に実施することが可能になる。例えば、タイムスタンプおよびめいめいの情報をワークステーション118に通信することができる。その後、例えばワークステーション118(図1)(またはその他如何なるプロセッサシステム)により行われるシークエンスオブイベンツ動作は、動作の特定の状態(例えば、故障モード)が発生した原因を判定するために該動作の特定の状態の発生前、発生中、且つ又は発生後に何が起こったかを分析するために使用することができる。また、ミリセカンド未満の範囲でタイムスタンプを生成することによって、比較的高度な細分性で事象を捕らえることが可能になる。例示的な実施形態の幾つかにおいて、制御装置通信プロセッサ228および処理ユニット208は同じマイクロプロセッサまたはマイクロコントローラを使用して実施することができる。
【0056】
制御装置またはセキュリティモジュール200と関連した秘密キー、コード、指示、識別、状態またはその他の情報を表示するために、セキュリティモジュール200には表示ディスプレイ232が備えられている。オーセンチケータ216が制御装置の委託を行わない場合、表示ディスプレイ232は、委託の試みが失敗したことを示す情報を提示しうる。セキュリティモジュール200が二人制認可を必要とする場合、表示ディスプレイ232は、(例えば、制御装置且つ又はセキュリティモジュール200から受け取った認可情報、指示、などを含む)情報を、認可に関与する人員のうちの1人へと提供しうる。加えて、表示ディスプレイ232は、制御装置活動情報(例えば操作・保守情報など)、データタイプ情報(例えばアナログ信号、デジタル信号など)、且つ又はその他如何なる制御装置情報を表示するために使用することができる。セキュリティモジュール200が複数の制御装置に通信可能に連結されるように構成される場合、表示ディスプレイ232は、セキュリティモジュール200に通信可能に連結された全ての制御装置に関連する制御装置情報を表示するために使用することができる。図示される実施例において、表示ディスプレイ232は液晶ディスプレイ(LCD)を使用して実施される。但し、その他の例示的な実施形態では、その他如何なる適切なタイプの表示装置を使用して表示ディスプレイ232を実施することができる。
【0057】
また、セキュリティモジュール200には入力装置234も備えられている。入力装置234は、オペレータにより、例えば表示ディスプレイ232を介した少なくとも幾つか認可またはその他の情報の提示に応答してセキュリティモジュール200へと情報を入力するために使用されうる。例えば、二人制認可中に、以下に詳述される如く、制御装置のオペレータは、制御装置に送られた依頼または命令から生成され且つ表示ディスプレイ232に示される秘密キーに応答してセキュリティモジュール200へとコードまたは命令を入力しうる。入力装置234は、個人によるアクションを登録するために使用されうるキーパッド、タッチスクリーン、タッチパネル、ボタン、スイッチまたはその他如何なる適切な装置を含みうる。
【0058】
また、セキュリティモジュール200が制御装置用通信ソフトおよび電子機器を含む構成では、セキュリティモジュール200に通信ユニット236が備えられている。例示的な通信ユニット236が米国出願書第12/236,165号に記載されている。
【0059】
図3は、例示的なセキュリティモジュール200および例示的な制御装置400(ここに記載された例示的なセキュリティモジュール且つ又は制御装置の如何なるものを表しうる)の例示的な機械的接続の平面図を表し、図4は同側面図を表す。図示される実施例において、例示的なセキュリティモジュール200は、本体201と、セキュリティモジュール200を制御装置400へと通信可能に連結する(且つ又は電気的に連結する)一つ又は複数の接触子404(例えばピン、ツメ、配線など)を含む。この実施例において、セキュリティモジュール200は、介在するベース402を介して制御装置400に連結される。例えばI/Oバスからの導電性通信媒質(例えばワイヤエンド)をつなぎ止める、または終端処理する、或いは確保する装置インターフェース機構でありうる留め金具406(例えばネジ)がベース402には備えられている。セキュリティモジュール200がベース402に取り外し可能な状態で連結される場合、セキュリティモジュール200と制御装置400の間で信号を送り情報を通信すること可能にするべく、留め金具406が接触子404の一つ又は複数に連通される。その他の例示的な実施形態では、留め金具406の代わりにその他如何なる適切なタイプのフィールド装置インターフェース機構(例えばソケット)をベース402に備えうる。
【0060】
セキュリティモジュール200を制御装置400へ通信可能に連結するために、ベース402には制御装置接触子またはコネクタ408が備えられている。ユーザが制御装置400にベース402を差し込むと、制御装置コネクタ408が制御装置400の内部バスを係合する。制御装置コネクタ408は、例えばパンチブロックのようなインターフェースを含む如何なる適切なインターフェースを使用して実施されうる。セキュリティモジュール200と制御装置400間における情報の通信を可能にするために、制御装置コネクタ408は、セキュリティモジュール200の接触子404の一つ又は複数に接続されている。
【0061】
図示される実施例において、セキュリティモジュール200は、セキュリティモジュール200且つ又はセキュリティモジュール200と制御装置400の接続 を周囲の環境から保護するために使用されうるカバー410(図3において取り除かれた)も備える。
カバー410は、水分且つ又はその他の有害な(若しくは損傷をもたらしうる)環境条件が当該状態にさらされうるプロセス区域におけるセキュリティモジュール200に悪影響をもたらすことを防ぐ。カバー410は、適切な如何なるプラスチックや金属または、通信モジュール400を密閉若しくは保護するのに適切なその他の材料で作製しうる。
【0062】
図4に示される如く、ベース402には、外部表示ディスプレイへとセキュリティモジュール200を通信可能に連結するべくオプショナルの表示インターフェースコネクタ412を備えうる。
例えば、セキュリティモジュール200が表示ディスプレイ232なしで実施される場合、セキュリティモジュール200は、外部表示ディスプレイへ指令、警告、エラー、コード、数値またはその他如何なる情報を出力するために表示インターフェースコネクタ412を使用できる。
【0063】
図5は、セキュリティモジュール150、そして例えばLAN124且つ又は内部I/Oバス144を制御装置120から電気的に絶縁するために図1の例示的なセキュリティモジュール150に接続して実施されうるアイソレーション回路の構成を描く。この実施例においてセキュリティモジュール150が図示されているが、その他如何なるセキュリティモジュールを同じまたは類似した様態でその他如何なる制御装置に連結しうる。図示される実施例において、セキュリティモジュール150はセキュリティモジュール回路構成502(例えば図2を参照して上述される一つ又は複数のブロック)を含む。また、セキュリティモジュール150は、内部I/Oバス144および電源504に接続されている。
【0064】
セキュリティモジュール回路構成502を内部I/Oバス144から電気的に絶縁するために、セキュリティモジュール150にはアイソレーション回路506が備えられている。
このように、セキュリティモジュール回路構成502は、電力サージまたはその他の電力変動が制御装置120内で生じた場合、内部I/Oバス144の電圧への影響なく、およびI/Oカード140a(図1)を破損をもたらすことなく制御装置120の電圧レベルに追従(例えば浮動)するように構成することができる。セキュリティモジュール150において実施されるアイソレーション回路506およびその他如何なるアイソレーション回路は光学アイソレーション回路または流電アイソレーション回路を使用して実施されうる。
【0065】
セキュリティモジュール回路構成502を電源504から絶縁するために、セキュリティモジュール150にはアイソレーション回路508が備えられている。電源504からセキュリティモジュール回路構成502を絶縁することにより、制御装置120に関連した如何なる電力変動(例えば電力サージ、電流の瞬時過渡現象、など)が電源504に破損をもたらすことがなくなる。また、セキュリティモジュール150における如何なる電力変動が、例えばその他のセキュリティモジュール152を含むその他のシステム構成部分の動作に障害をもたらしたり、または悪影響を及ぼしたりしなくなる。
【0066】
一般に、アイソレーション回路は制御装置の中に備えられており、よって、セキュリティーシステムが利用できる空き容量が減る。但し、図5の例示的な実施例に示される如くセキュリティモジュール150の中にアイソレーション回路506および508を備えることにより、選択的にアイソレーション(絶縁)を必要とするセキュリティモジュールだけでアイソレーション回路を使用することが可能になる。例えば、図1のセキュリティモジュール150−158のうち幾つかはアイソレーション回路なしで実施しうる。
【0067】
図6および図7は、セキュリティモジュール(例えば図1および図2のセキュリティモジュール150−158および200)を実施するために使用されうる例示的な方法のフローチャートである。例示的な実施形態の幾つかにおいて、図6および図7の例示的な方法は、プロセッサ(例えば図8の例示的なプロセッサシステム810に示されるプロセッサ812)による実行向けのプログラムを構成する機械可読指示を使用して実施されうる。周知の様態で、プロセッサと関連する且つ又はファームウェア且つ又は専用ハードウェアにおいて具現化されたCD−ROM、フロッピー(登録商標)ディスク、ハードドライブ、デジタル多用途ディスク(DVD)またはメモリのような有形コンピュータまたはプロセッサ可読媒体に格納されたソフトウェアにおいて該プログラムを具現化しうる。更に、例示的な方法が図6および図7に示されるフローチャートを参照して説明されているが、通常の技術を有する当業者であれば、ここに記載される例示的なセキュリティモジュール150−158および200を実施するその他多くの方法をその代わりに使用しうることが容易に理解できるだろう。例えば、ブロックの実行順序は変更しえるものであり、且つ又は、ここに記載されるブロックのうちの幾つかを変更、除外、または組み合わせることが可能である。
【0068】
図1の例示的なセキュリティモジュール150に関連して図6および図7の例示的な方法を説明する。具体的に、図6および図7のフローチャートは、例示的なセキュリティモジュール150がどのように制御装置120を認証してそれに関連するアクションを認可するかを説明するのに用いられる。但し、図6および図7の例示的な方法は、更に概して言うとその他如何なるセキュリティモジュール(例えばモジュール152−158、200など)を実施するのに使用されうる。
【0069】
図6を詳細にわたって参照するに、初期段階において、セキュリティモジュール150は制御装置120に連結され、またセキュリティモジュール150は、それが制御装置120を検出したかどうか判断する(ブロック602)。例えば、セキュリティモジュール150が電気的接続を成す場合、セキュリティモジュール150は制御装置120を検出して割り込みまたは状態レジスタを受け取るか、またはさもなければ制御装置120を検知する。制御装置120が検出されないと、制御装置120(またはその他如何なる制御装置)が検出されるまで制御がブロック602に留まる。
【0070】
一旦制御装置120が検出されると、セキュリティモジュール150は制御装置情報を得る(ブロック604)。例えば、読み取り機構210は、制御装置に格納された情報を読み出す。かかる情報には、シリアル番号、製造元且つ又は機種の指標および、制御装置のタイプおよび可能な用途を判断することに関連しうるその他如何なる情報などが含まれる。特に、制御装置情報は共有秘密キーまたは共有秘密キーの一部を含みうる。
【0071】
それから、セキュリティモジュール150は、ブロック604で得られた情報(得られた秘密キー情報の如何なるもの)をセキュリティモジュール150に格納された秘密キーと比較する(ブロック605)。ブロック605で比較を行った後に、セキュリティモジュール150は、得られた制御装置情報が共有秘密キーを含む(即ち、セキュリティモジュール150に格納された秘密キーが制御装置120から得られた如何なる秘密キー情報と実質的にまたは完全に一致する)かどうか判断する(ブロック606)。例えば、コンパレータ214は、制御装置情報を分析して、当該情報の如何なるものが、セキュリティモジュール150のメモリ212に格納されたその他の情報(例えば共有秘密キーを含む)に一致するかさもなければ相互に関連するかどうかを評価する。相互関連性が見つからない場合、セキュリティモジュール150はエラーメッセージを表示しうる(ブロック608)。制御装置情報および共有秘密キーの間に相互関連性がない場合、それは、プロセス制御システム100の当該位置に設置されている制御装置が正しくないことを示しうる。それに加えて、又はその代わりとして、相互関連性がない場合、それは、当該特定の制御装置に正しいセキュリティモジュールが備えられていないことを示しうる。例えば、制御装置は、異なるまたはより制限の厳しいセキュリティ機能特性を備えたセキュリティモジュールを必要としうる。セキュリティに細心の注意を払う必要性の比較的低い制御装置用のセキュリティモジュールでは、この実施例におけるシステムを適切に保護してその安全を確保できないことになる。セキュリティモジュール150に格納されている秘密キーと制御装置情報との間に相互関連性がないと判断された場合、制御装置の委託が妨げられて(ブロック610)、その工程が終了する。この場合、制御装置120は作動不能のままになる。
【0072】
制御装置情報および共有秘密キーの間に相互関連性があると判断された場合(ブロック606)、セキュリティモジュール150は制御装置の認証を始める(ブロック612)。認証は、制御装置120がプロセス制御システムにおける当該の位置に適切な装置であること、且つ又はセキュリティモジュール150が制御装置120に適切なセキュリティモジュールである(例えば、適切なセキュリティ機能特性を含んでいる)ことを示す指標である。認証指標を提供するために、処理ユニット208のオーセンチケータ216は例えば制御装置120が認証されていることを示す信号を生成しうる、且つ又は制御装置120が作動することを可能にするべく、オーセンチケータが通信且つ又は電気的な限定または停止を出しうる。よって、認証により、安全な通信状態が制御装置120のために確立される。加えて、オーセンチケータ216は、例えば制御システム100内の通信の宛先を指定する目的でシステムにおいて制御装置120を同定するために使用される例えば英数字の文字列などのアイデンティティを制御装置120に提供しうる。(ブロック614)。また、オーセンチケータ216は、制御装置120に役割を割り当てる(ブロック616)。該役割は、例えば制御装置120が通信、監視且つ又は制御しうるフィールド装置を含みうるシステムにおいて制御装置120が行いうるアクション、制御装置120が与えることができる命令、および制御装置120が行えるその他のアクションの指標を提示しうる。加えて、オーセンチケータ216は、制御装置120の構成を円滑に実施しうる(ブロック618)。制御装置120の構成には、システムにおいて制御装置120がそれの役割を行うのに必要なデータまたはその他如何なる情報またはツール且つ又は制御パラメータへのアクセスを提供することが含まれる。
【0073】
制御装置120が委託された(例えばブロック612−618)後、制御装置120はシステム100の作動中に依頼および命令を受け取る。セキュリティモジュール150は、制御装置120の通信を監視し、依頼または命令が制御装置120で受け取られるかどうか判断する(ブロック620)。依頼または命令が制御装置で受け取られない場合、制御がブロック620に留まる。依頼または命令が受け取られた場合、セキュリティモジュール150は、制御装置120が依頼または命令に応答して適切に使用されるかを判断する。依頼または命令に応答して制御装置120がアクションを行う認証を得られるかどうか判断するために、セキュリティモジュール150は、依頼または命令に含まれる暗号化情報の如何なるものをメモリ212に格納された一つ又は複数の暗号キーと比較する(ブロック622)。アクションが認可されたことをセキュリティモジュール150の暗号キーが示す場合(ブロック624)、セキュリティモジュール150は、制御装置120が依頼または命令を処理することを可能にし(ブロック626)、それ以降の通信(複数可)に向けて制御がブロック620に戻る。
【0074】
それに加えて、又はその代わりとして、暗号化ベースの認可は、検証技法、カギ管理技法および対妨信技法を含むその他の承認技法に取り替え(または置き換え)ても良い。更に、幾つかの実施例では、セキュリティモジュールが、制御装置120と通信することを許された装置の、または制御装置120が行えるアクションの、ホワイトリストを維持管理しうる。セキュリティモジュール120がホワイトリストまたはその他の事前承認リストを維持管理する場合、図6の介在する動作中に実行される比較およびその他のアクションなしで、装置から前承認済みの依頼または命令を受け取る工程、且つ又は前承認済みの装置から通信を受ける工程(ブロック620)から、通信(複数可)に含まれる依頼または命令を認可および処理する工程(ブロック626)へと処理が進む。
【0075】
但し、アクションが認可されていないと判断されると(ブロック624)、セキュリティモジュール150は、例えば制御装置120が依頼または命令を含む通信に応答してアクションを行うのを妨げる(ブロック628)ことにより、認可れていないアクションに対して制御装置120(および全システム100)を保護する。その後、次回通信に向けて制御がブロック620に戻る。
【0076】
図7は、アクション(例えば制御装置による制御動作)の二人制認可を実施するべく図1および図2のセキュリティモジュールを実施するのに使用されうる例示的な方法のフローチャートを表す。プロセス制御システムにおける幾つかの動作は、十分セキュリティに細心の注意を払うべきものであり、よって例えば制御室にオペレータまたはエンジニアを、そして装置の所に別の人員を配置することが要求される、即ち、当該動作を行うには、制御装置120のアクションの二人制認可が要求される。
【0077】
例示的な方法は、第1の個人(例えば制御室102における人員)に関連した依頼または命令が制御装置150で受け取られたかどうかの判断から始まる(ブロック702)。かかる依頼または命令を含んだ通信が受け取られない場合、かかる通信が受け取られるまで、制御はブロック702に留まる。但し、かかる依頼または命令が受け取られた場合、セキュリティモジュール150または、動かないように制御装置に連結された(例えば、内部統合化された)その他のセキュリティ構成部分が、第1の個人により送られた依頼または命令と関連する秘密キーを取得する(ブロック704)。幾つかの実施例では、セキュリティモジュール150または、動かないように制御装置に連結された(例えば、内部統合化された)その他のセキュリティ構成部分により取得されるべき秘密キーが生成される。秘密キーは、如何なるタイプのキーワードおよびコード、暗号、パルス、光帯、音、またはその他如何なるタイプの個人的な通信または鍵でありうる。
【0078】
その後、秘密キーは、受け取った依頼または命令に応答したアクションについて認可を(必要に応じて)与える第2の個人(例えば、制御装置120が実際に設置されている現場にいる人員)に提供される(ブロック706)。幾つかの実施例では、第2の個人が閲覧できるように秘密キーが表示ディスプレイ232上に表示される。その他の実施例における秘密キーは、その他如何なる表示ディスプレイ(例えばワークステーション118に)に送られるか、またはさもなければ、セキュリティモジュール150を介して第2の個人に提示されうる。
【0079】
その後、第2の個人は、例えばセキュリティモジュール150、第1の個人且つ又は制御装置120に秘密キーを送り返すことを含むアクションを実行する。幾つかの実施例では、第2の個人が、セキュリティモジュールの入力装置234を介して秘密キーを送り返すアクションを入力する。(これには、第1の個人へと秘密キーを転送するという指示をタイプ入力するという作業を含みうる。)幾つかの実施例では、秘密キーが、第2の個人から依頼のソース(例えば制御室102におけるワークステーション118)に送られ、その後制御装置120に送り返される。秘密キーが送り返されると、若しくは第2の個人が制御装置のアクションを認可するためのアクションを実行したと判断されると(ブロック708)、セキュリティモジュール150は、依頼または命令に応答してアクションが認可されたことを認識し、またセキュリティモジュール150は、依頼または命令を処理することを制御装置に認可する(ブロック710)。その後、別の通信が受け取られるまで、制御がブロック702に戻る。例えば、所定の時間が経過した後になっても第2の個人が秘密キーを送り返していない場合(ブロック708)、別の通信が受け取られるまで、制御がブロック702に戻る。よって、ブロック708は、あらかじめ定められた時間間隔が経過した後にタイムアウトすることを含む動作を含みうる。
【0080】
図8は、ここに記載される機器および方法を実施するのに使用されうる例示的なプロセッサシステム810のブロック図である。例えば、例示的なプロセッサシステム810に類似するまたはそれと同一であるプロセッサシステムは、図1のワークステーション118、制御装置120、122および126a−c、I/Oカード140a−dおよび142a−d、且つ又はセキュリティモジュール150−158を実施するために使用されうる。以下、例示的なプロセッサシステム810が複数の周辺機器、インターフェース、チップ、メモリなどを含んだ状態で説明されているが、一つ又は複数のワークステーション118、制御装置120、122および126a−c、I/Oカード140a−dおよび142a−d、且つ又はセキュリティモジュール150−158を実施するために使用されるその他の例示的なプロセッサシステムから当該素子の一つ又は複数を省略しても良い。
【0081】
図8に示される如く、プロセッサシステム810は、相互接続バス814に連結されるプロセッサ812を含む。プロセッサ812は、レジスタセットまたはレジスタ領域816を含む。図8では、該レジスタセットまたはレジスタ領域816が全てチップ上に形成された状態で描かれているが、その代わりとして、全体的にまたは部分的にチップの外部に配置し、専用の電気配線を介して且つ又は相互接続バス814を介してプロセッサ812に直接連結するようにしても良い。図8には示されていないが、システム810は、マルチプロセッサ・システムでありえ、よって、プロセッサ812と同一であるか類似しているものであり且つ相互接続バス814に通信可能に連結される一つ又は複数の付加的なプロセッサを含みうる。
【0082】
図8のプロセッサ812は、メモリーコントローラ820および周辺入出力(I/O)コントローラ822を含むチップセット818に連結される。周知の如く、一般にチップセットは、チップセット818に連結される一つ又は複数のプロセッサによりアクセス可能なまたはそれにより使用される複数の汎用且つ又は専用レジスタやタイマーなどに加え、入出力および記憶管理機能を備えている。メモリ制御器820は、プロセッサ812(または、複数のプロセッサが備えられている場合は複数のプロセッサ)がシステムメモリ824および大容量記憶メモリ825にアクセスできるようにする機能を果たす。
【0083】
システムメモリ824は、例えば静的ランダムアクセス記憶装置(SRAM)、動的ランダムアクセス記憶装置(DRAM)、フラッシュメモリ、読み取り専用メモリ(ROM)など所望するあらゆるタイプの揮発性且つ又は不揮発性メモリを含みうる。大容量記憶メモリ825は、所望するあらゆるタイプの大容量記憶装置を含みうる。例えば、例示的なプロセッサシステム810がワークステーション118(図1)を実施するために使用される場合、大容量記憶メモリ825としては、ハードディスクドライブ、光ドライブ、テープ記憶装置などが挙げられる。或いは、例示的なプロセッサシステム810が制御装置120、122および126a−c、I/Oカード140a−dおよび142a−d、且つ又はセキュリティモジュール150−158を実施するために使用される場合、大容量記憶メモリ825としては、ソリッドステートメモリ(例えばフラッシュメモリ、RAMメモリ、など)、磁性記憶装置(例えばハードドライブ)、または制御装置120、122および126a−c、I/Oカード140a−dおよび142a−d、且つ又はセキュリティモジュール150−158における大容量記憶に適しているその他如何なるメモリなどが挙げられる。
【0084】
周辺I/Oコントローラ822は、プロセッサ812が周辺機器I/Oバス832を介して周辺機器入・出力(I/O)装置826,828およびネットワーク・インターフェース830と通信することを可能にする機能を行う。I/O装置826および828は、例えばキーボード、表示ディスプレイ(例えば液晶ディスプレイ(LCD)、ブラウン管(CRT)ディスプレイ、など)、ナビゲーション装置(例えばマウス、トラックボール、容量性タッチパッド、ジョイスティック、など)などのような所望する如何なるタイプのI/O装置でありうる。ネットワーク・インターフェース830は、プロセッサシステム810が別のプロセッサシステムと通信することを可能にする例えばイーサネット(登録商標)装置、非同期転送モード(ATM)装置、802.11装置、DSLモデム、ケーブルモデム、セルラーモデムなどでありうる。
【0085】
メモリーコントローラ820とI/Oコントローラ822がチップセット818内の別々の機能的ブロックとして図8に表されているが、これらのブロックにより行われる機能は、単一の半導体回路内に統合しても良いし、または別々の集積回路を二つ以上使用して実施しても良い。
【0086】
ここに記載される例示的な方法およびシステムでは、プロセス制御システムのオペレータが複数の制御装置に交換可能な状態で連結できる複数のセキュリティモジュールを採用できるという利点を提供する。また、これによって、プロセス制御システムのオペレータは、制御装置のセキュリティプログラムを素早く簡単に変更することができるようになる。例えば、プロセス制御システムにおける特定の制御装置にとってより有利であろう特定の性能特性またはその他の利点および保護性能を有する一式のセキュリティ機能、レベルまたは特徴が別に存在する場合、オペレータは、制御装置のセキュリティプログラムを、ある一式のセキュリティ機能、レベルまたは機能特性から、該他方の一式のセキュリティ機能、レベルまたは機能特性に変更することを希望しうる。加えて、オペレータは、当初装置が製造された時には存在しなかった改訂またはアップグレードされたセキュリティプログラムまたは特定の機能特性を含むように制御装置を更新することを希望しうる。
【0087】
加えて、業界標準を正式に採用する前にシステムに組み込まれた一般公開前の最先端装置およびセキュリティ機能特性を含むプロセス制御システムのオペレータは、適切な業界標準に適合するように装置を更新するべく一般公開前の制御装置の一つに業界標準を組み込んだここに記載される例示的なセキュリティモジュールの一つを連結することができる。
【0088】
ここに記載される例示的なセキュリティモジュールにより具現化される別の利点は、セキュリティ機能特性や委託情報など全てを変更せずに、セキュリティモジュールに連結された制御装置を変更しうるということである。加えて、該セキュリティモジュールの幾つかの実施例には、制御装置から情報を収集するために使用されうる診断ソフトウェアを含みうる。オペレータは、セキュリティモジュールを所望の診断ソフトウェアを有する別のセキュリティモジュールに変更することにより、より新しい、より良い、より装置に適した診断法を利用しうる。例えば、制御装置の特定の状態をより良く評価するために新しい診断テストが開発されうる。ここに記載される例示的なセキュリティモジュールでは、既存制御装置の制御装置自体または電子回路基板を変えることなく確立済みの制御装置で新しい診断テストを実施しうる。
【0089】
更に、制御装置の製造メーカは、セキュリティ電子機器およびソフトウェア且つ又は診断電子機器およびソフトウェアを制御装置のそれ以外の電子機器から離すことができるので、制御装置用に開発したり、製造したり、在庫保管したりなどする必要のある回路基板の種類が少なくて済む。例えば、製造メーカが、二つの異なるセキュリティプログラムをそれぞれ備える制御装置を5台の提供する場合、10枚の回路基板(装置とプログラムの各組み合わせにつき一枚)を生産する必要がある。ここに記載される例示的なセキュリティモジュールを使用すれば、5枚の回路基板(各装置につき一枚)だけで済むので、2種類ののセキュリティモジュール(各プログラムにつき1種類)を生産すればよくなる。よって、製造メーカの開発および保管コストが大幅に削減される。加えて、セキュリティモジュールはその他の制御装置と共に使用することができる。
【0090】
更にまた、図5を参照して上述されるアイソレーション回路構成は、例示的なセキュリティモジュールに連結された電源および制御装置を保護する。電気的なスパイク(瞬時過渡現象)または電気工による不注意な配線引き回しにより許容できないほど高い電圧または電流負荷が生じた際には、アイソレーション回路がセキュリティモジュールに過大荷重を吸収させる。従って、セキュリティモジュールだけを交換する必要がありえ、制御装置の回路基板は正常に機能し続ける。よって、上記の如く、保全および修理のコストが大幅に減る。
【0091】
ここに実施例として挙げられる特定の方法、機器および製造品が記載されているが、この特許の適用領域の範囲はそれに限定されるものではない。それとは反対に、この特許は、字義的に若しくは均等論に基づいて添付の特許請求の範囲内に公正に含まれる方法、機器および製造品の全てを網羅するものである。
【特許請求の範囲】
【請求項1】
プロセス制御装置と共に使用するための取り外し可能セキュリティモジュールであって、
取り外し可能な状態でプロセス制御装置に連結されるように構成された本体と、
本体に配置されたメモリおよび該メモリに格納された共有秘密キーと、
本体に内臓されると共にメモリに連結され、プロセス制御装置から情報を読み取り、情報を共有秘密キーと比較してから該比較に基づいてプロセス制御装置を認証する処理ユニットと、
を備える取り外し可能セキュリティモジュール。
【請求項2】
該比較に基づいてプロセス制御装置が認証されない場合に、処理ユニットがプロセス制御装置の委託を妨げる、請求項1に記載の取り外し可能セキュリティモジュール。
【請求項3】
メモリがそれに格納された暗号化情報を含み、且つ処理ユニットが、プロセス制御装置に関連した通信の安全を確保するために暗号化情報を使用する、請求項1に記載の取り外し可能セキュリティモジュール。
【請求項4】
暗号化情報が暗号キーを含む、請求項3に記載の取り外し可能セキュリティモジュール。
【請求項5】
メモリがプロセス制御装置と関連する情報委託を格納する、請求項1に記載の取り外し可能セキュリティモジュール。
【請求項6】
委託情報が機器構成情報を含む、請求項5に記載の取り外し可能セキュリティモジュール。
【請求項7】
機器構成情報が、装置識別子または制御パラメータの少なくとも一つを含む、請求項6に記載の取り外し可能セキュリティモジュール。
【請求項8】
プロセス制御装置から受け取った認可情報を提示するための表示ディスプレイを更に備える、請求項1に記載の取り外し可能セキュリティモジュール。
【請求項9】
表示ディスプレイを介した少なくとも幾つかの認可情報の提示に応答してユーザ入力を受け取るための入力装置を更に備える、請求項8に記載の取り外し可能セキュリティモジュール。
【請求項10】
認可情報が、プロセス制御装置に格納された秘密キーである、請求項8に記載の取り外し可能セキュリティモジュール。
【請求項11】
セキュリティモジュールが、実質的に全てのプロセス制御装置用通信ソフトウェアおよび電子機器を提供するために通信ユニットを更に含む、請求項1に記載の取り外し可能セキュリティモジュール。
【請求項12】
プロセス制御装置と共に使用するための複数の取り外し可能セキュリティモジュールであって、
モジュールのそれぞれが、
取り外し可能な状態でプロセス制御装置に連結されるように構成された本体と、
本体に配置されたメモリおよびメモリに格納された共有秘密キーと、
本体に配置され且つメモリに連結されており、プロセス制御装置から情報を読み取り該情報を共有秘密キーと比較してから該比較に基づいてプロセス制御装置を認証するように構成された処理ユニットと、
を備える複数の取り外し可能セキュリティモジュール。
【請求項13】
モジュールのそれぞれが、プロセス制御装置により異なるタイプの機能または異なるレベルの機能性が提供されることを可能にする、請求項12に記載の複数の取り外し可能セキュリティモジュール。
【請求項14】
モジュールの少なくとも一つが、別の一つのモジュールに比べてアップグレードされた機能性を提供する、請求項12に記載の複数の取り外し可能セキュリティモジュール。
【請求項15】
複数のモジュールのうちの第1のモジュールが複数のモジュールのうちの第2のモジュールの交換用として機能する、請求項12に記載の複数の取り外し可能セキュリティモジュール。
【請求項16】
第1のモジュールが第2のモジュールを置き換える時にプロセス制御装置が作動し続ける、請求項15に記載の複数の取り外し可能セキュリティモジュール。
【請求項17】
複数のモジュールのうち一つのモジュールが第2の制御装置に連結可能である、請求項12に記載の複数の取り外し可能セキュリティモジュール。
【請求項18】
第2の制御装置が、モジュールに連結された後に作動するために委託される必要のない、請求項17に記載の複数の取り外し可能セキュリティモジュール。
【請求項19】
取り外し可能セキュリティモジュールでプロセス制御装置の安全を確保する方法であって、
セキュリティモジュールを介してプロセス制御装置における情報を読み取り、
該情報を、セキュリティモジュールのメモリに格納された共有秘密キーと比較し、
セキュリティモジュールを介し比較に基づいてプロセス制御装置を認証する、
方法。
【請求項20】
該比較に基づいてプロセス制御装置が認証されない場合に、プロセス制御装置の委託を妨げる、請求項19に記載の方法。
【請求項21】
プロセス制御装置に関連した通信の安全を確保するためにメモリに格納された暗号化情報を使用する、請求項19に記載の方法。
【請求項22】
暗号化情報が暗号キーを含む、請求項21に記載の方法。
【請求項23】
認証済みプロセス制御装置に応答してメモリに委託情報を格納する、請求項19に記載の方法。
【請求項24】
委託情報が機器構成情報を含む、請求項23に記載の方法。
【請求項25】
機器構成情報が、装置識別子または制御パラメータの少なくとも一つを含む、請求項24に記載の方法。
【請求項26】
プロセス制御装置の安全を確保する方法であって、
依頼または命令が第1の個人と関連することを特徴としてプロセス制御装置で依頼または命令を受け取り、
依頼または命令の受信に応答して秘密キーを取得し、
第2の個人に秘密キーを提供し、
第2の個人を介してプロセス制御装置へと秘密キーを送り、
プロセス制御装置が秘密キーを受け取ったことに応答してプロセス制御装置の依頼または命令を認可する、
方法。
【請求項27】
第2の個人への秘密キーの提供が、取り外し可能セキュリティモジュールを介してなされる、請求項26に記載の方法。
【請求項28】
秘密キーを取得することは、取り外し可能セキュリティモジュールが秘密キーを提供することを含む、請求項27に記載の方法。
【請求項29】
第2の個人に秘密キーを提供することは、表示ディスプレイを介して第2の個人の秘密キーを表示することを含む、請求項26に記載の方法。
【請求項30】
第2の個人を介してプロセス制御装置に秘密キーを送信することは、第2の個人から受け取った秘密キーを依頼または命令のソースに送り、依頼または命令のソースを介してプロセス制御装置に秘密キーを送り返すこと、を含む、請求項26に記載の方法。
【請求項31】
依頼または命令のソースに秘密キーを送る前に取り外し可能セキュリティモジュールの入力装置にて第2の個人から秘密キーを受け取ることを更に含む請求項30に記載の方法。
【請求項32】
秘密キーが光帯を介して提供される請求項26に記載の方法。
【請求項33】
分散形プロセス制御システムであって、
一つ又は複数のプロセス制御装置と、
プロセス制御装置の少なくとも一つから情報を読み取るための手段と、
情報を共有秘密キーと比較するための手段と、
比較に基づいてプロセス制御装置の少なくとも一つを認証するための手段と、
プロセス制御装置の少なくとも一つで使用するための一つ又は複数のアプリケーションを 認可するための手段と、を備えるシステム。
【請求項34】
一つ又は複数のアプリケーションの二人制認可を行うための手段を更に備える請求項31に記載の分散形プロセス制御システム。
【請求項1】
プロセス制御装置と共に使用するための取り外し可能セキュリティモジュールであって、
取り外し可能な状態でプロセス制御装置に連結されるように構成された本体と、
本体に配置されたメモリおよび該メモリに格納された共有秘密キーと、
本体に内臓されると共にメモリに連結され、プロセス制御装置から情報を読み取り、情報を共有秘密キーと比較してから該比較に基づいてプロセス制御装置を認証する処理ユニットと、
を備える取り外し可能セキュリティモジュール。
【請求項2】
該比較に基づいてプロセス制御装置が認証されない場合に、処理ユニットがプロセス制御装置の委託を妨げる、請求項1に記載の取り外し可能セキュリティモジュール。
【請求項3】
メモリがそれに格納された暗号化情報を含み、且つ処理ユニットが、プロセス制御装置に関連した通信の安全を確保するために暗号化情報を使用する、請求項1に記載の取り外し可能セキュリティモジュール。
【請求項4】
暗号化情報が暗号キーを含む、請求項3に記載の取り外し可能セキュリティモジュール。
【請求項5】
メモリがプロセス制御装置と関連する情報委託を格納する、請求項1に記載の取り外し可能セキュリティモジュール。
【請求項6】
委託情報が機器構成情報を含む、請求項5に記載の取り外し可能セキュリティモジュール。
【請求項7】
機器構成情報が、装置識別子または制御パラメータの少なくとも一つを含む、請求項6に記載の取り外し可能セキュリティモジュール。
【請求項8】
プロセス制御装置から受け取った認可情報を提示するための表示ディスプレイを更に備える、請求項1に記載の取り外し可能セキュリティモジュール。
【請求項9】
表示ディスプレイを介した少なくとも幾つかの認可情報の提示に応答してユーザ入力を受け取るための入力装置を更に備える、請求項8に記載の取り外し可能セキュリティモジュール。
【請求項10】
認可情報が、プロセス制御装置に格納された秘密キーである、請求項8に記載の取り外し可能セキュリティモジュール。
【請求項11】
セキュリティモジュールが、実質的に全てのプロセス制御装置用通信ソフトウェアおよび電子機器を提供するために通信ユニットを更に含む、請求項1に記載の取り外し可能セキュリティモジュール。
【請求項12】
プロセス制御装置と共に使用するための複数の取り外し可能セキュリティモジュールであって、
モジュールのそれぞれが、
取り外し可能な状態でプロセス制御装置に連結されるように構成された本体と、
本体に配置されたメモリおよびメモリに格納された共有秘密キーと、
本体に配置され且つメモリに連結されており、プロセス制御装置から情報を読み取り該情報を共有秘密キーと比較してから該比較に基づいてプロセス制御装置を認証するように構成された処理ユニットと、
を備える複数の取り外し可能セキュリティモジュール。
【請求項13】
モジュールのそれぞれが、プロセス制御装置により異なるタイプの機能または異なるレベルの機能性が提供されることを可能にする、請求項12に記載の複数の取り外し可能セキュリティモジュール。
【請求項14】
モジュールの少なくとも一つが、別の一つのモジュールに比べてアップグレードされた機能性を提供する、請求項12に記載の複数の取り外し可能セキュリティモジュール。
【請求項15】
複数のモジュールのうちの第1のモジュールが複数のモジュールのうちの第2のモジュールの交換用として機能する、請求項12に記載の複数の取り外し可能セキュリティモジュール。
【請求項16】
第1のモジュールが第2のモジュールを置き換える時にプロセス制御装置が作動し続ける、請求項15に記載の複数の取り外し可能セキュリティモジュール。
【請求項17】
複数のモジュールのうち一つのモジュールが第2の制御装置に連結可能である、請求項12に記載の複数の取り外し可能セキュリティモジュール。
【請求項18】
第2の制御装置が、モジュールに連結された後に作動するために委託される必要のない、請求項17に記載の複数の取り外し可能セキュリティモジュール。
【請求項19】
取り外し可能セキュリティモジュールでプロセス制御装置の安全を確保する方法であって、
セキュリティモジュールを介してプロセス制御装置における情報を読み取り、
該情報を、セキュリティモジュールのメモリに格納された共有秘密キーと比較し、
セキュリティモジュールを介し比較に基づいてプロセス制御装置を認証する、
方法。
【請求項20】
該比較に基づいてプロセス制御装置が認証されない場合に、プロセス制御装置の委託を妨げる、請求項19に記載の方法。
【請求項21】
プロセス制御装置に関連した通信の安全を確保するためにメモリに格納された暗号化情報を使用する、請求項19に記載の方法。
【請求項22】
暗号化情報が暗号キーを含む、請求項21に記載の方法。
【請求項23】
認証済みプロセス制御装置に応答してメモリに委託情報を格納する、請求項19に記載の方法。
【請求項24】
委託情報が機器構成情報を含む、請求項23に記載の方法。
【請求項25】
機器構成情報が、装置識別子または制御パラメータの少なくとも一つを含む、請求項24に記載の方法。
【請求項26】
プロセス制御装置の安全を確保する方法であって、
依頼または命令が第1の個人と関連することを特徴としてプロセス制御装置で依頼または命令を受け取り、
依頼または命令の受信に応答して秘密キーを取得し、
第2の個人に秘密キーを提供し、
第2の個人を介してプロセス制御装置へと秘密キーを送り、
プロセス制御装置が秘密キーを受け取ったことに応答してプロセス制御装置の依頼または命令を認可する、
方法。
【請求項27】
第2の個人への秘密キーの提供が、取り外し可能セキュリティモジュールを介してなされる、請求項26に記載の方法。
【請求項28】
秘密キーを取得することは、取り外し可能セキュリティモジュールが秘密キーを提供することを含む、請求項27に記載の方法。
【請求項29】
第2の個人に秘密キーを提供することは、表示ディスプレイを介して第2の個人の秘密キーを表示することを含む、請求項26に記載の方法。
【請求項30】
第2の個人を介してプロセス制御装置に秘密キーを送信することは、第2の個人から受け取った秘密キーを依頼または命令のソースに送り、依頼または命令のソースを介してプロセス制御装置に秘密キーを送り返すこと、を含む、請求項26に記載の方法。
【請求項31】
依頼または命令のソースに秘密キーを送る前に取り外し可能セキュリティモジュールの入力装置にて第2の個人から秘密キーを受け取ることを更に含む請求項30に記載の方法。
【請求項32】
秘密キーが光帯を介して提供される請求項26に記載の方法。
【請求項33】
分散形プロセス制御システムであって、
一つ又は複数のプロセス制御装置と、
プロセス制御装置の少なくとも一つから情報を読み取るための手段と、
情報を共有秘密キーと比較するための手段と、
比較に基づいてプロセス制御装置の少なくとも一つを認証するための手段と、
プロセス制御装置の少なくとも一つで使用するための一つ又は複数のアプリケーションを 認可するための手段と、を備えるシステム。
【請求項34】
一つ又は複数のアプリケーションの二人制認可を行うための手段を更に備える請求項31に記載の分散形プロセス制御システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2010−170550(P2010−170550A)
【公開日】平成22年8月5日(2010.8.5)
【国際特許分類】
【出願番号】特願2010−10972(P2010−10972)
【出願日】平成22年1月21日(2010.1.21)
【出願人】(594120847)フィッシャー−ローズマウント システムズ, インコーポレイテッド (231)
【Fターム(参考)】
【公開日】平成22年8月5日(2010.8.5)
【国際特許分類】
【出願日】平成22年1月21日(2010.1.21)
【出願人】(594120847)フィッシャー−ローズマウント システムズ, インコーポレイテッド (231)
【Fターム(参考)】
[ Back to top ]