用于批准过程控制系统与安全系统软件对象的综合电子签名技术方案

本发明专利技术公开了一种软件对象批准系统，该系统与过程控制或安全系统环境相结合，尤其与过程控制或安全系统设计环境相结合，以执行和管理在该过程控制系统和安全系统环境内创建的新软件对象的电子批准。该软件对象批准系统用电子方式生成表示实体组的识别信息，在过程控制或安全系统内实施软件对象之前需要通过该实体组的批准。然后该系统可以将软件对象发送给这些实体，并从每个实体接收关于该软件对象的批准的电子指示。该批准系统阻止过程控制或安全系统实施该软件对象，直到该实体组内的每个实体均批准了该软件对象为止。

【技术实现步骤摘要】
【国外来华专利技术】
本申请涉及过程控制系统，更具体地讲，涉及在过程控制系统中使用的软件对象的批准。
技术介绍
过程控制系统通常包括用来执行某些制造加工过程或其他控制过程的许多套设备。该多套设备耦合至多个控制器，该控制器包括以某些方式操控设备的过程控制软件指令，以完成制造加工或控制过程。过程控制软件可以实现为在控制器(或其他计算机)上运行以执行任何控制功能的软件对象。例如，在某些过程控制环境中，可以对软件对象进行布置以实施不同的执行阶段，这些执行阶段一般与各种类型的过程步骤相关。特别地，执行混合阶段的软件对象可以与执行过程的混合步骤的硬件相关。应该明白，实施某一执行阶段的每个软件对象均执行某些分立功能，并且与其他对象进行通信以执行更复杂的控制程序。当定义或创建要在例如成批处理中使用的控制程序时，工程师可以从模板软件对象开始，其中具有通配控制逻辑以实现特定的功能，例如成批处理中的执行阶段。由于这些模板软件对象的通配属性，在用于特定的过程控制环境之前，必须基于它们要执行的步骤的详细情况来修改或定制这些软件对象。例如，通常适于操作混合设备的混合阶段，必须进行定制以便在特定的持续时间内，以特定的速度来操作特定的一台混合设备。处方(recipe)一般用来定制或修改执行阶段。正如其名称所暗含的，处方包括下载到过程控制硬件上的多组指令，用于执行专门的任务，例如制作饼干，生产药品或控制其他过程。处方通常比阶段更具体，并且实际上包括其中各个阶段的使用。例如，饼干制作处方可能包括可以由混合阶段执行的混合步骤。然而，与混合阶段相比，该饼干制作处方指定了混合应当执行的持续时间和速度。因此，处方指定了定义混合阶段操作的参数。以类似的方式，可以创建用在安全测量系统(safety instrumented system)中的软件对象，该安全测量系统用来在由分离过程控制系统控制的加工厂中提供安全或停工程序，或其他安全相关功能。典型地，安全测量系统可以拥有一个或多个可编程的安全控制器，通过使用安全相关的软件对象，来检测该加工厂内的有危害的、危险的或不合需要的情况，以便在检测到这样一种情况时，采取某些行动，例如停止该过程、转变过程内的流向、撤除电力，等等。可以容易地理解，改变由过程控制系统执行的处方或改变安全系统软件对象会强烈地影响过程控制系统或安全系统的操作。例如，下载已经被意外改变的、或以另外的未经授权方式而变化的处方，可能会该加工厂的输出带来有害的影响，从而导致生产出不符合产品规范的产品，并最终造成利润的损失。尽管用于诸如饼干之类的产品的处方(可以实现为软件对象)的改变可能生产出明显有缺陷的饼干(例如，未充分烹调、未带有足够的巧克力夹心，等等)，但不是所有的处方变化都将导致生产出具有立即可察觉的缺陷的产品。例如，加有过多盐的饼干在生产过程中可能并不容易发现。然而，顾客可能注意到饼干的咸度，并可能对制造商表示不满及抱怨，这就可以确定用于饼干的处方发生了不可接受的变化，从而导致了饼干的召回。然而，在类似饼干生产的情况下，未经授权的处方变化最坏也就是造成顾客的不满，而用于例如药品生产的未经授权的处方变化可能具有更加严重的问题。特别地，改变了药物质量或组分的处方变化可能会造成所得到的药物无效或毒性。因此，与饼干中的巧克力夹心的质量不同，药物组分的变化是不容易检测到的，因为药物可能看起来与未发生变化或正当制造的药物具有相同的颜色和稠度。以类似的方式，在安全系统中使用的软件对象的未经授权或不正确的变化，可能会导致未被检测的危险情况，或者导致响应于危险情况而采取的不正当操作，这对于在该工厂附近工作或生活的人们来说可能是危及生命的，而根本不用提及对工厂自身的危害。因此，当实际上并不存在危险情况时，发生故障的安全系统软件对象可能会错误地检测到危险情况，并关闭工厂。由于工厂的生产线通常涉及生产能力、时间和/或原材料中的重大投资，因有缺陷的处方或安全系统有故障的启动而不得不报废正处于进行中的生产，可能会对执行该生产过程的实体以及被期待接收由该生产过程生产的产品的其他实体，产生实质上不利的财政冲击。例如，用于制作诸如酒、啤酒、乳酪等涉及发酵产品的处方，经常需要几周或几个月的过程处理时间，以及大量的原材料投资。通常，用于过程控制系统的处方以及包括安全系统软件对象的其他软件模块或对象由工程师或科学家来书写，这些工程师或科学家要求诸如研究或生产小组等各种实体在将其下载到过程控制系统或安全系统之前，批准该处方或安全系统软件。然而，过程控制系统软件的批准过程通常通过流通备忘录或批准请求，在某些情况下通过以更加不正式的方式请求输入来实现的。此外，除了过程控制系统与其中执行的处方或其他软件对象的应用知识以外，很少有障碍来阻止将未经批准的软件下载到过程控制系统或安全系统，以便在加工厂内在线使用。在使用安全测量系统的设备工厂中，例如石油和天然气提炼等，已经试图执行标准操作程序(SOP)，其要求来自于组织的一个或多个个体在该软件可以在生产系统中执行之前，手动地表示出它们对特定软件的批准。实际上，标准草案IEC615511除了定义不同的批准级别来区分安全完善级别(SIL)之外，还要求这样的批准。例如用于设备工厂的生效计划可以包括SOP，该SOP要求如果SIL是2级或2级以下，安全测量系统执行的安全功能由相同部门的同级来批准，而如果SIL是3级或3级以上，要求由不同部门的同级来批准。众所周知，SIL是在IEC61508标准中定义的措施，其定义了关于当假设要做一件事时，能够对该系统做出假设它要做的事情指望多少的系统完善性。更具体地，SIL用提出要求时失败的平均可能性(PDFavg)来定义。与PFDavg的倒数相关的风险降低因子，定义了使用安全测量功能之前的过程风险与常常为该过程或该台设备而实现的风险“可容许量”之间的差值。基本上，风险降低因子是“绝对风险”，其不具有除以所建立的“可容许风险”的安全测量函数。风险降低因子和SIL都是为安全系统内的每个不同安全测量功能定义的，其中将各个安全测量功能设计为识别需求，然后针对每个危险情况，将系统带至安全状态。在已经实施了安全测量功能批准过程的设备工厂中，批准通常是利用包括手动途径和电子途径在捏的两个可能途径之一来处理的。在手动途径中，要批准的软件对象的打印复本(即安全功能软件的打印复本)被手动地发送给每个批准者以进行检查，并且以纸件格式手动地收集所有的批准签名。在电子途径中，电子文档管理系统用来将软件对象的电子版本(即描述该软件的一系列屏幕截图，或其他基于文本和图形的文件)发送给所要求的批准者以进行检查。在这种情况下，以电子格式收集所有的批准签名。然而，这两种途径都具有严重的缺陷。特别是，在文档批准过程和软件执行的安全测量系统之间没有直接链接。由于文档批准过程出现在安全测量系统外部，因此批准者不能检查请求他们在其本地环境中(例如在安全测量系统内部)批准的软件对象，并因此可能存在关于正在检查的文档的正确性的问题。此外，由于文档批准过程出现在安全测量系统或与之相关的设计系统外部，因此在安全测量系统内部不存在这样的机制，其能够保证未经批准的软件对象不能执行，直到所有批准完成为止；或者其能够保证如果软件对象发生了变化的话，用于该软件对象的所有先前本文档来自技高网...

【技术保护点】
一种在安全测量系统中使用的软件对象批准方法，该方法包括：　　　　响应于在软件对象设计环境中对软件对象做出的改变，获取表示实体组的电子识别信息，在安全测量系统内实施软件对象之前需要通过该实体组的批准；　　　　采用电子方式将用于检查该软件对象的请求发送给该实体组内的每个实体；　　　　从该实体组内的每个实体中接收关于批准或不批准该软件对象的电子指示；和　　　　阻止该软件对象在该安全测量系统内的实施，直到该实体组内的每个实体均提供批准该软件对象的电子指示。

【技术特征摘要】
【国外来华专利技术】US 2003-9-19 10/666,4461.一种在安全测量系统中使用的软件对象批准方法，该方法包括响应于在软件对象设计环境中对软件对象做出的改变，获取表示实体组的电子识别信息，在安全测量系统内实施软件对象之前需要通过该实体组的批准；采用电子方式将用于检查该软件对象的请求发送给该实体组内的每个实体；从该实体组内的每个实体中接收关于批准或不批准该软件对象的电子指示；和阻止该软件对象在该安全测量系统内的实施，直到该实体组内的每个实体均提供批准该软件对象的电子指示。2.根据权利要求1所述的方法，其中用电子方式发送用于检查该软件对象的请求包括通过通信网络用电子方式通知该实体组内的每个实体。3.根据权利要求2所述的方法，其中用电子方式发送该请求包括向该实体组内的每个实体发送电子邮件消息。4.根据权利要求1所述的方法，其中阻止该软件对象在该安全测量系统内的实施直到该实体组内的每个实体均提供批准该软件对象的电子指示包括，如果该实体组内的每个实体均批准该软件对象，允许该软件对象被下载到该安全测量系统中。5.根据权利要求1所述的方法，其中获取表示实体组的电子识别信息包括确定风险降低因子，并基于该风险降低因子选择实体组。6.根据权利要求5所述的方法，其中获取表示实体组的电子识别信息包括用该风险降低因子确定安全测量级别，并基于所确定的安全测量级别选择实体组。7.根据权利要求6所述的方法，其中获取表示实体组的电子识别信息包括用该安全测量级别确定该实体组中的人员数目。8.根据权利要求6所述的方法，其中获取表示实体组的电子识别信息包括用该安全测量级别确定该实体组中的人员的工作位置。9.根据权利要求1所述的方法，进一步包括对从该实体组内的一个或多个实体接收的关于批准或不批准该软件对象的电子指示进行记录。10.根据权利要求1所述的方法，其中获取表示需要其批准的实体组的电子识别信息包括提示设计者输入电子识别信息。11.根据权利要求1所述的方法，其中获取表示需要其批准的实体组的电子识别信息包括确定该实体组中的人员数目。12.根据权利要求1所述的方法，其中阻止该软件对象的实施包括阻止该软件对象被下载到控制环境中。13.根据权利要求1所述的方法，其中阻止该软件对象在该安全测量系统内的实施包括存储超驰密钥，并且使用户能够在该实体组内的每个实体均提供批准该软件对象的电子指示之前，使用该超驰密钥来下载该安全测量系统中的软件对象。14.根据权利要求1所述的方法，进一步包括检测何时在该软件对象设计环境中对该软件对象做出改变。15.根据权利要求14所述的方法，其中检测何时在该软件对象设计环境中对该软件对象做出改变包括，当对该软件对象做出改变时，改变与该软件对象相关的版本号。16.根据权利要求14所述的方法，其中检测何时在该软件对象设计环境中对该软件对象做出改变包括，检测何时在该软件对象设计环境中创建新的软件对象。17.根据权利要求14所述的方法，其中检测何时在该软件对象设计环境中对该软件对象做出改变包括，检测用户何时在该软件对象设计环境中初始化批准程序。18.根据权利要求1所述的方法，进一步包括为测试目的监控软件对象，以确定用于该软件对象的测试何时逾期。19.根据权利要求18所述的方法，其中确定用于该软件对象的测试何时逾期包括在用于该软件对象的测试逾期之后，为该软件对象计算新的风险降低因子，并将该新的风险降低因子与该软件对象的原风险降低因子比较。20.根据权利要求18所述的方法，进一步包括当用于该软件对象的测试逾期时，生成要被发送给用户的告警信号。21.根据权利要求18所述的方法，进一步包括当用于该软件对象的测试逾期时，生成要被发送给用户的工作定单。22.一种在包括处理器的过程控制系统中使用的软件对象批准系统，该软件对象批准系统包括计算机可读介质；和软件，被存储在该计算机可读介质上，并且适于由该处理器执行，以在软件对象设计环境中对该软件对象做出改变之后，获取表示实体组的电子识别信息，在过程控制系统内在线实施该软件对象之前需要通过该实体组的批准；用电子方式将用于检查该软件对象的请求发送给该实体组内的每一个实体；从该实体组内的每个实体接收关于批准或不批准该软件对象的电子指示；和阻止该软件对象在该过程控制系统内的实施，直到该实体组内的每个实体均提供批准该软件对象的电子指示。23.根据权利要求22所述的软件对象批准系统，其中该软件通过向该实体组内的每个实体发送电子邮件消息来用电子方式发送请求。24.根据权利要求22所述的软件对象批准系统，其中该软件通过确定风险降低因子，并基于该风险降低因子选择实体组，来获取表示该实体组的电子识别信息。25.根据权利要求24所述的软件对象批准系统，其中该软件通过用该风险降低因子确定安全测量级别，并基于所确定的安全测量级别选择实体组，来获取表示该实体组的电子识别信息。26.根据权利要求25所述的软件对象批准系统，其中该软件通过基于该安全测量级别确定该实体组中的人员数目，来获取表示该实体组的电子识别信息。27.根据权利要求25所述的软件对象批准系统，其中该软件通过基于该安全测量级别确定该实体组中的人员的工作位置，来获取表示该实体组的电子识别信息。28.根据权利要求22所述的软件对象批准系统，其中该软件记录从该实体组内的一个或多个实体接收的关于批准或不批准该软件对象的电子指示。29.根据权利要求22所述的软件对象批准系统，其中该软件通过提示设计者输入电子识别信息，来获取表示需要其批准的实体组的电子识别信息。30.根据权利要求22所述的软件对象批准系统，其中该软件检测何...

【专利技术属性】
技术研发人员：盖瑞K洛，大卫L底特兹，特雷费邓肯舒雷斯，朱利安K奈多，
申请(专利权)人：费舍柔斯芒特系统股份有限公司，
类型：发明
国别省市：US[美国]