用于向传统设备提供安全性的系统和方法与流程

1.本公开整体涉及工业控制和自动化系统。更具体地，本公开涉及用于保护工业过程控制和自动化系统的传统设备的配置和固件以及防止更改该配置和固件的系统和方法。


背景技术：

2.在工业过程控制和自动化系统中使用的传统过程和安全控制器、网关和io模块已使用较旧的硬件技术进行部署，该硬件技术不具有最新的网络安全保护，诸如例如安全启动、签名固件和下载验证。这些传统设备和支持这些设备的系统平台也可能不具有提供安全、加密和认证通信的处理能力。传统设备严重依赖于自动化系统的分层系统安全。然而，如果这些系统保护被破坏，那么恶意行为者就有可能获得工程工作站或过程控制网络的访问权限，从而关闭传统设备，或者更糟的是，通过加载伪造的固件来永久禁用传统设备，这可能导致失去对设备的控制、对设备控制不良甚至将设备损坏到无法恢复的地步。


技术实现要素：

3.本公开涉及用于保护工业过程控制和自动化系统的传统设备的配置和固件以及防止更改该配置和固件的系统和方法。
4.在第一实施方案中，公开了一种方法，该方法包括在传统设备的设备分度装置中设置锁定密码。该方法还包括：执行监控程序，该监控程序读取锁定密码并将传统设备设置为锁定状态，以及在传统设备处于锁定状态时，执行防止更改传统设备的配置和固件的执行程序。第一实施方案还包括一种用于将传统设备从锁定状态释放的方法，该方法包括：在传统设备的设备分度装置中设置解锁密码，以及执行监控程序以读取解锁密码并将传统设备设置为解锁状态。当传统设备处于解锁状态时，执行程序允许更改传统设备的配置和固件。
5.在第二实施方案中，公开了一种包括与传统设备相关联的设备分度装置的系统。设备分度装置可用于输入锁定密码，并且处理电路被配置为读取锁定密码并将传统设备设置为锁定状态。设备分度装置还可用于输入解锁密码，并且处理电路被配置为读取解锁密码并将传统设备设置为解锁状态。
6.从以下附图、描述和权利要求书中，其他技术特征对本领域的技术人员是显而易见的。
附图说明
7.为了更完整地理解本公开，现在结合附图参考以下描述，在附图中：
8.图1示出了根据本公开的示例性工业过程控制和自动化系统；
9.图2示出了根据本公开的示例性控制器的细节；
10.图3示出了根据本公开的用于将控制器设置为锁定状态的示例性方法的图；
11.图4示出了根据本公开的在图3的方法中使用的设备分度装置和设备显示器；
12.图5示出了根据本公开的用于将控制器设置为解锁状态的示例性方法的图；
13.图6示出了根据本公开的在图5的方法中使用的设备分度装置和设备显示器；
14.图7示出了根据本公开的用于监控控制器的设备分度装置的示例性方法的图；并且
15.图8示出了根据本公开的用于执行控制器的锁定状态的示例性方法的图。
具体实施方式
16.这些图(下文所讨论)以及用于描述本发明在该专利文献中的原理的各种实施方案仅以例证的方式进行，并且不应理解为以任何方式限制本发明的范围。本领域的技术人员将理解，本发明的原理可以在任何类型的适当布置的设备或系统中实现。
17.本公开的益处在于提供了一种方法来锁定工业过程控制和自动化系统中使用的设备，诸如例如控制器、无线网关或i/o模块，使其不受其配置和固件的任何更改的影响。这将防止在工业过程控制和自动化系统中使用的控制器或其他设备的移除和替换使用伪造的固件或防止其受到网络安全攻击。本公开允许仅通过对设备进行软件更新来保护传统过程和安全控制器、网关和i/o模块免受网络安全攻击。
18.图1示出了根据本公开的示例性工业过程控制和自动化系统100。如图1所示，系统100包括有利于生产或加工至少一种产品或其他材料的各种部件。例如，在此使用系统100以有利于对一个或多个厂房101a至101n中的部件的控制。每个厂房101a至101n表示一个或多个加工设施(或其一个或多个部分)，诸如用于生产至少一种产品或其他材料的一个或多个制造设施。一般来讲，每个厂房101a至101n可以实现一个或多个过程，并且可以单独地或共同地被称为过程系统。过程系统通常表示被配置为以某种方式加工一种或多种产品或其他材料的其任何系统或部分。
19.在图1中，系统100使用过程控制的普渡模型来实施。在普渡模型中，“0级”可以包括一个或多个传感器102a和一个或多个致动器102b。传感器102a和致动器102b表示过程系统中的可执行多种功能中的任一种功能的部件。例如，传感器102a可测量过程系统中的多种特性，诸如温度、压力或流量。另外，致动器102b可改变过程系统中的多种特性。传感器102a和致动器102b可以表示任何合适的过程系统中的任何其他或附加部件。传感器102a中的每个传感器包括用于测量过程系统中的一个或多个特性的任何合适的结构。致动器102b中的每个致动器包括用于在过程系统中对一个或多个条件进行操作或影响的任何合适的结构。
20.传感器102a和致动器102b中的每一者通过相应的i/o模块105a、105b连接到至少一个网络104。i/o模块为所使用类型的传感器或致动器提供合适的接口连接，诸如铜电缆或光纤电缆或通信和信号协议。网络104促进与i/o模块105a、105b以及传感器102a和致动器102b的交互。例如，网络104可以传输来自i/o模块105a、105b和传感器102a的测量数据，并且通过i/o模块105a和105b向致动器102b提供控制信号。网络104可以表示任何合适的网络或网络的组合。作为特定示例，网络104可表示以太网网络、电信号网络(诸如hart或基金会现场总线网络)、气动控制信号网络、或任何其他或附加类型的网络。
21.在普渡模型中，“1级”可包括一个或多个控制器106，该一个或多个控制器耦接到网络104。除了其他以外，每个控制器106可以使用来自一个或多个传感器102a的测量值来
控制一个或多个致动器102b的操作。例如，控制器106可从一个或多个i/o模块105a和105b及其相关联的连接的传感器102a接收测量数据，并且使用测量数据为一个或多个致动器102b生成控制信号。每个控制器106包括用于与一个或多个i/o模块105a和105b进行交互并且控制一个或多个致动器102b的任何合适的结构。每个控制器106可以例如表示比例积分微分(pid)控制器或多变量控制器，诸如鲁棒多变量预测控制技术(rmpct)控制器或实现模型预测控制(mpc)或其他高级预测控制(apc)的其他类型的控制器。作为特定示例，每个控制器106可以表示运行实时操作系统的计算设备。
22.两个网络108耦接到控制器106。网络108有利于与控制器106的交互，诸如通过向控制器106传输数据和从控制器传输数据。网络108可以表示任何合适的网络或网络的组合。作为特定示例，网络108可以表示一对冗余的以太网网络，诸如来自霍尼韦尔国际公司(honeywell international inc.)的容错以太网(fte)网络。
23.至少一个交换机/防火墙110将网络108耦接到两个网络112。交换机/防火墙110可以将流量从一个网络传输到另一个网络。交换机/防火墙110还可以阻止一个网络上的流量到达另一个网络。交换机/防火墙110包括用于在网络之间提供通信的任何合适的结构，诸如霍尼韦尔控制防火墙(honeywell control firewall)(cf9)设备。网络112可表示任何合适的网络，诸如fte网络。
24.在普渡模型中，“2级”可以包括耦接到网络112的一个或多个机器级控制器114。机器级控制器114执行各种功能以支持可与一特定工业设备(诸如锅炉或其他机器)相关联的控制器106、i/o模块105a和105b、传感器102a和致动器102b的操作和控制。例如，机器级控制器114可以记录由控制器106收集或生成的信息，诸如来自传感器102a的测量数据或用于致动器102b的控制信号。机器级控制器114还可以执行控制控制器106的操作的应用程序，从而控制致动器102b的操作。此外，机器级控制器114可以提供对控制器106的安全访问。机器级控制器114中的每个机器级控制器包括用于提供对机器或其他单独设备的访问、控制或与其相关的操作的任何合适的结构。机器级控制器114中的每个机器级控制器可以例如表示运行microsoft windows操作系统的服务器计算设备。虽然未示出，但是不同机器级控制器114可以用于控制过程系统中的不同设备(其中每件设备与一个或多个控制器106、传感器102a和致动器102b相关联)。
25.一个或多个操作员站116耦接到网络112。操作员站116表示提供对机器级控制器114的用户访问的计算设备或通信设备，其然后可以提供对控制器106(以及可能的传感器102a和致动器102b)的用户访问。作为特定示例，操作员站116可以允许用户使用由控制器106和/或机器级控制器114收集的信息来查看传感器102a和致动器102b的操作历史。操作员站116还可以允许用户调整传感器102a、致动器102b、控制器106或机器级控制器114的操作。此外，操作员站116可以接收并显示由控制器106或机器级控制器114生成的警告、警示或其他消息或显示。操作员站116中的每个操作员站包括用于支持对系统100中的一个或多个部件的用户访问和控制的任何合适的结构。操作员站116中的每个操作员站可例如表示运行microsoft windows操作系统的计算设备。
26.至少一个路由器/防火墙118将网络112耦接到两个网络120。路由器/防火墙118包括用于在网络之间提供通信的任何合适的结构，诸如安全路由器或组合路由器/防火墙。网络120可表示任何合适的网络，诸如fte网络。
27.在普渡模型中，“3级”可以包括耦接到网络120的一个或多个单元级控制器122。每个单元级控制器122通常与过程系统中的单元相关联，该单元表示一起操作以实现过程的至少一部分的不同机器的集合。单元级控制器122执行各种功能以支持较低级别中的部件的操作和控制。例如，单元级控制器122可以记录由较低级别中的部件收集或生成的信息，执行控制较低级别中的部件的应用程序，并且提供对较低级别中的部件的安全访问。单元级控制器122中的每个单元级控制器包括用于提供对处理单元中的一个或多个机器或其他设备的访问、控制或与其相关的操作的任何合适的结构。单元级控制器122中的每个单元级控制器可以例如表示运行microsoft windows操作系统的服务器计算设备。虽然未示出，但是不同单元级控制器122可以用于控制过程系统中的不同单元(其中每个单元与一个或多个机器级控制器114、控制器106、传感器102a和致动器102b相关联)。
28.可以由一个或多个操作员站124提供对单元级控制器122的访问。操作员站124中的每个操作员站包括用于支持对系统100中的一个或多个部件的用户访问和控制的任何合适的结构。操作员站124中的每个操作员站可例如表示运行microsoft windows操作系统的计算设备。
29.至少一个路由器/防火墙126将网络120耦接到两个网络128。路由器/防火墙126包括用于在网络之间提供通信的任何合适的结构，诸如安全路由器或组合路由器/防火墙。网络128可表示任何合适的网络，诸如fte网络。
30.在普渡模型中，“4级”可以包括耦接到网络128的一个或多个厂房级控制器130。每个厂房级控制器130通常与厂房101a至101n中的一个厂房相关联，该厂房可以包括实现相同、类似或不同过程的一个或多个处理单元。厂房级控制器130执行各种功能以支持较低级别中的部件的操作和控制。作为特定示例，厂房级控制器130可以执行一个或多个制造执行系统(mes)应用程序、调度应用程序或其他或附加厂房或过程控制应用程序。厂房级控制器130中的每个厂房级控制器包括用于提供对加工厂房中的一个或多个处理单元的访问、控制或与其相关的操作的任何合适的结构。厂房级控制器130中的每个厂房级控制器可以例如表示运行microsoft windows操作系统的服务器计算设备。
31.可以由一个或多个操作员站132提供对厂房级控制器130的访问。操作员站132中的每个操作员站包括用于支持对系统100中的一个或多个部件的用户访问和控制的任何合适的结构。操作员站132中的每个操作员站可例如表示运行microsoft windows操作系统的计算设备。
32.至少一个路由器/防火墙134将网络128耦接到一个或多个网络136。路由器/防火墙134包括用于在网络之间提供通信的任何合适的结构，诸如安全路由器或组合路由器/防火墙。网络136可以表示任何合适的网络，诸如全企业以太网或其他网络，或更大型网络(诸如互联网)的全部或一部分。
33.在普渡模型中，“5级”可包括耦接到网络136的一个或多个企业级控制器138。每个企业级控制器138通常能够执行多个厂房101a至101n的规划操作并控制厂房101a至101n的各个方面。企业级控制器138还可以执行各种功能以支持厂房101a至101n中的部件的操作和控制。作为特定示例，企业级控制器138可以执行一个或多个订单处理应用程序、企业资源规划(erp)应用程序、高级规划和调度(aps)应用程序或任何其他或附加企业控制应用程序。企业级控制器138中的每个企业级控制器包括用于提供对一个或多个厂房的访问、控
制、或与控制相关的操作的任何合适的结构。企业级控制器138中的每个企业级控制器可以例如表示运行microsoft windows操作系统的服务器计算设备。在本文档中，术语“企业”是指具有要管理的一个或多个厂房或其他加工设施的组织。应当注意，如果要管理单个厂房101a，那么企业级控制器138的功能可以结合到厂房级控制器130中。
34.可由一个或多个操作员站140提供对企业级控制器138的访问。操作员站140中的每个操作员站包括用于支持对系统100中的一个或多个部件的用户访问和控制的任何合适的结构。操作员站140中的每个操作员站可例如表示运行microsoft windows操作系统的计算设备。
35.普渡模型的各个级别可包括其他部件，诸如一个或多个数据库。与每个级别相关联的数据库可存储与该级别或系统100的一个或多个其他级别相关联的任何合适的信息。例如，历史数据库141可耦接到网络136。历史数据库141可以表示存储关于系统100的各种信息的部件。历史数据库141可以例如存储在生产调度和优化期间使用的信息。历史数据库141表示用于存储信息且有利于信息检索的任何合适的结构。虽然被示出为耦接到网络136的单个集中式部件，但是历史数据库141可定位于系统100中的其他位置，或者多个历史数据库可分布在系统100中的不同位置。
36.在特定实施方案中，图1中的各种控制器和操作员站可表示计算设备。例如，控制器106、114、122、130、138中的每个控制器可以包括一个或多个处理设备142和一个或多个存储器144，该一个或多个存储器用于存储由处理设备142使用、生成或收集的指令和数据。控制器106、114、122、130、138中的每个控制器可还包括至少一个网络接口146，诸如一个或多个以太网接口或无线收发器。另外，操作员站116、124、132、140中的每个操作员站可以包括一个或多个处理设备148和一个或多个存储器150，该一个或多个存储器用于存储由处理设备148使用、生成或收集的指令和数据。操作员站116、124、132、140中的每个操作员站可还包括至少一个网络接口152，诸如一个或多个以太网接口或无线收发器。
37.系统100也包括网关设备160。网关160将工厂101a至101n和网络136与云网络162和操作员站164集成。网关160可包括提供高可用性和网状(mesh)能力的onewireless网关。网关160还可包括用于通信协议以及冗余、设计和安全特征的通用嵌入式平台。网关160包括用于系统连接、分布式系统架构和面向服务的架构的intuition和experion。网关160包括用于传统和未来系统集成的opc统一架构(ua)。
38.到云网络162的通信堆栈包括opc ua及其用于同步和异步数据发布、警报和事件发布、历史数据传输、盲记录或“blob”传输等的核心服务。作为opc ua的替代或除opc ua之外，可支持其他云协议。其他云协议可具有类似的服务，包括到云端的事件中心的事件流和数据访问服务。网关160双向地提供安全保护业务流以保护云端和本地系统和设备(诸如工厂101a内的设备以及企业控制器138和操作员站140)两者。
39.在一个实施方案中，网络136可以表示云网络，该云网络被配置为促进网关160与企业控制器138、操作员站140、历史数据库141或一个或多个工厂101b至101n中的至少一者之间经由无线通信的通信。
40.虽然图1示出了工业过程控制和自动化系统100的一个示例，但可对图1作出各种改变。例如，控制和自动化系统可包括任何数量的传感器、致动器、i/o模块、控制器、服务器、操作员站、网络、风险管理器和其他部件。另外，例如，网络120和128可以是单个网络，也
可以是具有单个电缆或双电缆(诸如连接到多个部分)的非fte网络。另外，图1中的系统100的组成和布置方式仅用于例证。部件可根据特定需要添加、省略、组合、或以任何其他合适的配置放置。此外，特定功能已被描述为由系统100的特定部件执行。这仅用于例证。一般来说，控制系统和自动化系统是高度可配置的，并且可根据特定需要以任何合适的方式来配置。
41.图2示出了根据本公开的控制器106的示例。如图2所示，控制器106包括总线系统205，该总线系统支持至少一个处理设备210、至少一个存储设备215、至少一个通信单元220、至少一个输入/输出(i/o)单元225、设备显示器240和设备分度装置250之间的通信。
42.处理设备210执行可加载到存储器230中的指令。处理设备210可包括呈任何合适的布置方式的任何合适的数量和类型的处理器或其他设备。处理设备210的示例性类型包括微处理器、微控制器、数字信号处理器、现场可编程门阵列、专用集成电路和分立电路。
43.存储器230和持久性存储装置235是存储设备215的示例，该存储设备表示能够存储信息(诸如数据、程序密码和/或临时性的或永久性的其他合适信息)并且便于信息的检索的任何结构。存储器230可表示随机存取存储器或任何其他合适的易失性的或非易失性的存储设备。持久性存储装置235可包含支持数据的更长期存储的一个或多个部件或设备，诸如只读存储器、硬盘、闪存存储器或光盘。
44.通信单元220支持与其他系统或设备的通信。例如，通信单元220可包括网络接口卡，诸如例如用于通过以太网网络104进行通信的以太网网络接口或者便于通过网络136进行通信的无线收发器。通信单元220可通过任何合适的物理或无线通信链路来支持通信。
45.i/o单元225允许数据的输入和输出。例如，i/o单元225可通过键盘、鼠标、小键盘、触摸屏或其他合适的输入设备为用户输入提供连接。i/o单元225还可发送输出至显示器、打印机或其他合适的输出设备。
46.设备显示器240可以由多字符多行消息显示器、单个字母数字字符显示器或各种发光二极管(led)组成，这些发光二极管可以使用颜色或闪烁效果向用户提供信息。显示设备240用于显示信息并向控制器106的用户通知当前操作条件和状态。对于本公开的显示设备240，示例性单行多字符显示器将用于解释本公开的益处，然而，本领域技术人员将理解，包括上述益处的其他显示器可用于向控制器106处的用户提供信息。
47.设备分度装置250是一组电气开关或其它开关类型设备，其可以用手或借助于工具诸如例如螺丝刀进行物理更改。电气开关可包括单个或多个双列直插式封装(dip)或旋转拨盘开关。也可以使用在工业中用于在功能之间切换的其他电气设备，诸如例如使跳线引脚短路、操纵按压引脚或仅使用可物理地插入到插座中的接插线，以设置用于锁定或解锁控制器的密码。
48.在工业中使用的控制器，特别是使用以太网互联网协议(ip)传送数据的那些控制器，包括用于输入互联网ip地址或ip地址的部分(诸如用于识别以太网网络中的控制器的最后八位字节)的电气开关。在此类控制器中，使用以太网ip开关同样输入控制器的锁定密码和解锁密码将是有利的。
49.为了便于解释本公开的益处，将使用一组旋转拨盘开关来解释设备分度装置250，该组旋转拨盘开关包括三个拨盘，每个拨盘可以被设置为从0到9的唯一数字。如图4和图6所示，最左边的拨盘表示最高有效位(msd)，并且最右边的拨盘表示最低有效位(lsd)。拨盘
用于完成控制器106的ip地址，用于在使用以太网网络例如以太网网络104的系统100内提供控制器106的网络接口识别和位置寻址。行业中已知且用于改变控制器106的状态或设置ip网络地址的其它电气开关，诸如上文所述的那些电气开关，可代替旋转拨盘以构成设备分度装置250。
50.应当注意，本公开将使用控制器106作为示例来解释本发明，本领域技术人员应当理解，系统100中使用的其他设备，诸如例如连接到系统100的以太网网络136、128、120、112、108和104中的任一者并且使用设备分度装置的i/o模块105a、105b、网关160以及机器控制器114、单元控制器122和工厂控制器130可用于实践本发明。
51.本公开通过使用设备分度装置250设置锁定密码来为传统控制器106提供安全锁定状态。还可以通过使用设备分度装置250设置解锁密码来将控制器106设置为解锁状态。监控软件程序读取设备分度装置250中设置的锁定密码或解锁密码。如果控制器106处于锁定状态，则执行软件程序防止执行某些控制器操作。监控软件程序和执行软件程序都存储在存储器230中并由处理设备210执行。监控软件周期性地监控设备分度装置250，并且基于在设备分度装置250的拨盘上设置的密码将控制器106置于锁定状态或解锁状态。当尝试对控制器106配置和固件进行某些更改时，执行软件被执行。执行软件检查并确定控制器106处于锁定状态还是解锁状态，从而在控制器被设置为锁定状态的情况下防止尝试的更改并返回错误。
52.图3和图4示出了用于将控制器设置为锁定状态的方法。在步骤300中，用户诸如工厂操作员或其他授权用户复制或记录当前在设备分度装置250的拨盘上设置的数字设置。
53.接下来在步骤305中，用户使用工具诸如例如螺丝刀将设备分度装置250改变为锁定密码，以使用设备分度装置250的拨盘来设置锁定密码。如上所述，可以使用其他设备来输入锁定密码或解锁密码，包括例如dip开关、跳线引脚、按压引脚或接插线，其可被物理地操纵以设置用于锁定或解锁控制器106的密码。利用旋转拨盘，锁定密码可以是监控软件理解为用于锁定控制器106的密码的预设单个数字或多个数字组合。在设备分度装置250的旋转拨盘上以任何组合输入设置密码。例如，可仅使用设备分度装置250的拨盘的msd来设置从0到9的数字，或者在该设备分度装置的lsd拨盘中设置从0到9的数字。另外，可以通过在所有三个拨盘中设置适当的数字来使用更复杂的密码，例如123或789等。在另一个更复杂的方法中，三个不同密码的组合以及在密码设置之间的设定时间间隔可用于设置锁定密码。例如，在拨盘中设置123，等待10秒，在拨盘中设置234，并且再等待10秒，最后设置567。
54.接下来在步骤310中，监控软件读取在设备分度装置250的拨盘中设置的密码。如果与监控软件预期的锁定密码匹配，则控制器106状态被改变为锁定。在步骤315中，在设备显示器240上向用户可视地指示控制器106的锁定状态，从而确认锁定密码已经被接受并且控制器106现在处于锁定状态。最后，在步骤320中，用户将设备分度装置250的拨盘物理地改变回从步骤300复制的网络ip地址。
55.在图4中，步骤300示出了在步骤305中由用户改变之前的网络ip地址。步骤305示出用户使用工具来更改设备分度装置250的msd拨盘。步骤315示出了向用户验证控制器已经接受锁定密码106并且控制器现在处于锁定状态的设备显示器240的示例。最后，步骤320示出了重置为从步骤300复制的网络ip地址的设备分度装置250的拨盘。
56.图5和图6示出了用于将控制器设定为解锁状态的方法。在步骤500中，用户复制或
记录当前在设备分度装置250的拨盘上设置的数字设置。
57.接下来在步骤505中，用户使用工具诸如例如螺丝刀将设备分度装置250改变为解锁密码，以使用设备分度装置250的拨盘来设置解锁密码。解锁密码可以是监控软件理解为用于解锁控制器106的密码的预设单个数字或多个数字组合，如以上针对设置锁定密码所述。
58.接下来在步骤510中，监控软件读取在设备分度装置250的拨盘中设置的密码。如果与监控软件预期的解锁密码匹配，则控制器状态被改变为解锁。在步骤515中，在设备显示器240上向用户可视地指示控制器106的解锁状态，从而确认解锁密码已经被接受并且控制器106现在处于锁定状态。
59.最后，在步骤520中，用户使用工具将设备分度装置250的拨盘物理地改变回从步骤500复制的网络ip地址，从而返回控制器106的ip地址。
60.步骤500的图6示出了在步骤505中由用户改变之前的网络ip地址。步骤505示出用户使用工具来更改设备分度装置250的msd拨盘。步骤515示出了设备显示器240验证解锁密码已被控制器106接受并且控制器现在处于解锁状态。步骤520示出了被重置为从步骤500复制的网络ip地址的设备分度装置250的拨盘。
61.图7示出了本公开的监控软件的示例性方法700的图。方法700作为周期性任务来运行，该周期性任务检查设备分度装置250的拨盘是否已经被物理地改变以便将控制器106置于锁定或解锁状态。方法700由处理设备210执行。该方法首先在步骤710读取设置在设备分度装置250中的拨盘的值。接下来在步骤720中，该方法检查设备分度装置250是否已经被改变为用于锁定控制器106的密码。如果设备分度装置250还未改变为锁定密码，则方法700继续并且在步骤730中检查设备分度装置250是否已经改变为解锁密码。如果设备分度装置还未改变为解锁密码，则方法700在步骤740进入休眠状态达预设时间段。在休眠时段终止之后，该方法返回到步骤710以再次读取设备分度装置250。
62.如果在步骤720遇到锁定密码，则控制器106在步骤725改变为锁定状态，并且方法700进入步骤740的休眠状态。在休眠时段740终止之后，方法700返回到再次读取设备分度装置250。控制器106保持在锁定状态，直到设备分度装置250改变为解锁状态。如果方法700在步骤730中遇到解锁密码，则控制器的状态在步骤735中被改变为解锁状态，并且方法700进入休眠状态740。在休眠时段终止之后，监控软件返回到710以再次读取设备分度装置250。控制器106保持在解锁状态，直到设备分度装置250被改变为输入锁定密码。
63.在锁定控制器106时，对控制器106的配置或固件进行更改的任何尝试，诸如例如升级控制器固件、恢复控制器的出厂设置、将控制器设置为空闲、关闭控制器、改变或删除由控制器运行的应用的配置，或者更改任何运行时数据诸如设定值将被拒绝并且不允许继续。通知将被发送到监控控制器106的操作员站，例如系统100的操作员站116，从而指示拒绝对锁定控制器的尝试更改。
64.图8示出了用于本公开的执行软件的示例性方法800。方法800由处理设备210执行，并且当如步骤810中所示检测到改变控制器106的具体操作或配置的具体尝试时被触发。接下来在步骤820中，方法800检查控制器是否处于锁定状态。如果控制器处于解锁状态，则通过步骤830允许继续进行对控制器的尝试更改，并且方法800终止。然而，如果方法800遇到控制器106处于锁定状态，则在步骤840阻止对控制器106的任何尝试更改，并且将
错误返回给操作员站116，从而向用户通知对控制器106的尝试更改。
65.阐述贯穿本专利文献中使用的某些字词和短语的定义可能是有利的。术语“通信”以及其衍生词涵盖直接通信和间接通信两者。术语“包括”和“包含”以及其衍生词意指包括但不限于此。术语“或”是包括性的，意指和/或。短语“与
……
相关联”以及其衍生词可以意指包括、包括在
……
内、与
……
互连、包含、包含在
……
内、连接到
……
或与
……
连接、耦接到
……
或与
……
耦接、可与
……
通信、与
……
协作、交错、并置、与
……
接近、结合到
……
或与
……
结合、具有、具有
……
的属性、具有与
……
的关系或与
……
具有关系等。当与项列表一起使用时，短语
“……
中的至少一个”意指可以使用所列的项中的一个或多个项的不同组合，并且可能仅需要列表中的一个项。例如，“a、b和c中的至少一者”包括以下任何组合：a，b，c，a和b，a和c，b和c，以及a和b和c。
66.不应将本技术中的描述理解为暗示任何特定元件、步骤或功能是必须包括在权利要求书范围内的基本或关键要素。专利保护的主题的范围仅由所允许的权利要求书限定。此外，权利要求没有一个旨在关于所附权利要求或权利要求要素中的任何一项援引35u.s.c.
§
112(f)，除非在特定权利要求中明确使用后面是标识功能的分词短语的“用于
……
的装置”或“用于
……
的步骤”的确切字词。在权利要求书内使用术语诸如(但不限于)“机构”、“模块”、“设备”、“单元”、“部件”、“元件”、“构件”、“装置”、“机器”、“系统”或“控制器”被理解为并且旨在指代相关领域的技术人员已知的结构，如由权利要求书本身的特征进一步修改或增强的，并且不旨在援引35u.s.c.
§
112(f)。
67.虽然本公开已描述了某些实施方案和大体上相关联的方法，但是这些实施方案和方法的变更和置换对于本领域的技术人员来说将是显而易见的。因此，上文对示例性实施方案的描述不限定或约束本公开。在不脱离如以下权利要求书限定的本公开的实质和范围的情况下，其他改变、替换和变更也是可能的。

技术特征：
1.一种用于保护工业过程控制和自动化系统的传统设备的配置和固件以及防止更改所述配置和固件的方法，所述方法包括：在所述传统设备的设备分度装置中设置锁定密码；执行监控程序，所述监控程序读取所述锁定密码并将所述传统设备设置为锁定状态；以及当所述传统设备处于所述锁定状态时，执行防止更改所述传统设备的所述配置和固件的执行程序。2.根据权利要求1所述的方法，其中所述方法还包括将所述传统设备从所述锁定状态释放，所述方法包括：在所述传统设备的所述设备分度装置中设置解锁密码；执行所述监控程序以读取所述解锁密码并将所述传统设备设置为解锁状态；以及当所述传统设备处于所述解锁状态时，执行所述执行程序以允许更改所述传统设备的所述配置和固件。3.一种系统，所述系统包括：设备分度装置，所述设备分度装置与传统设备相关联，所述设备分度装置能够被操纵以输入锁定密码；和处理电路，所述处理电路被配置为读取所述锁定密码并将所述传统设备设置为锁定状态。4.根据权利要求3所述的系统，其中所述设备分度装置被操纵以输入解锁密码；并且所述处理电路被配置为读取所述解锁密码并将所述传统设备设置为解锁状态。

技术总结
本发明公开了一种用于保护工业过程控制和自动化系统的传统设备的配置和固件以及防止更改该配置和固件的系统和方法，该方法包括：在传统设备的设备分度装置中设置锁定密码，以及执行读取锁定密码并将传统设备设置为锁定状态的监控程序。当传统设备处于锁定状态时，执行程序防止更改传统设备的配置和固件。传统设备被布置为通过在传统设备的设备分度装置中设置解锁密码以及执行监控程序以读取解锁密码并将传统设备设置为解锁状态而从锁定状态释放。当传统设备处于解锁状态时，执行程序允许更改传统设备的配置和固件。程序允许更改传统设备的配置和固件。程序允许更改传统设备的配置和固件。


技术研发人员：B
受保护的技术使用者：霍尼韦尔国际公司
技术研发日：2023.03.10
技术公布日：2023/9/25