过程控制环境中通信的变量级别完整性校验制造技术

所描述的方法和系统使过程控制设备能够以使得接收设备能够在逐个变量的基础上验证接收值的完整性的方式来传送和接收设备变量值。为了便于验证完整性，消息中任何期望数量的变量都可以在消息中具有数据完整性校验结果。对于每个具有数据完整性校验结果的接收值，接收设备可以基于接收值和种子(传送和接收设备都知道)计算自己的数据完整性校验结果，然后可以将其与接收到的数据完整性校验结果进行比较以验证接收值在通信期间是否已改变。变。变。

【技术实现步骤摘要】
过程控制环境中通信的变量级别完整性校验


[0001]本公开内容总体上涉及在过程控制环境中验证通信的完整性，具体而 言，涉及在逐个变量基础上验证这种通信中的变量值(例如在安全系统中 使用的那些)的完整性来为接收通信的设备提高变量值的可靠性和可信度。

技术介绍

[0002]分布式过程控制系统，例如分布式或可扩展的过程控制系统，如在发 电、化学、石油或其它过程中使用的那些，通常包括一个或多个过程控制 器，其彼此通信耦合，经由过程控制网络通信耦合到至少一个主机或操作 员工作站，并经由模拟、数字或组合模拟/数字总线通信耦合到一个或多个 仪器或现场设备。
[0003]现场设备在过程或工厂内执行功能，例如打开或关闭阀、接通和关断 设备以及测量过程参数。示例现场设备包括阀、阀定位器、开关和变送器 (例如，包括用于测量温度、压力或流速的传感器的设备；以及用于传送 感测到的温度、压力和流速的发射机)。
[0004]通常位于工厂环境内的过程控制器接收指示由现场设备进行的过程 测量的信号(或与现场设备有关的其它信息)并执行控制器应用，该控制 器应用程序运行例如不同的控制模块，其做出过程控制决策、基于接收到 的信息生成控制信号并与智能现场设备(例如，和Fieldbus现场设备)中执行的控制模块或块进行协调。
[0005]控制模块的执行使过程控制器通过通信链路或信号路径将控制信号 发送到现场设备，从而控制过程工厂或系统的至少一部分的操作(例如， 控制在工厂或系统内运行或执行的一个或多个工业过程的至少一部分)。例 如，第一组一个或多个控制器和现场设备可以控制由过程工厂或系统控制 的过程的第一部分，而第二组一个或多个控制器和现场设备可以控制过程 的第二部分。
[0006]输入/输出(I/O)卡(有时也称为“I/O设备”或“I/O模块”)通常 也位于工厂环境内，通常可通信地设置在控制器和一个或多个现场设备之 间，实现它们之间的通信(例如，通过将电信号转换为数字值，反之亦然)。 通常，I/O卡用作过程控制器和一个或多个现场设备输入或输出之间的中间 节点，这些输入或输出被配置用于与I/O卡所使用的通信协议相同的一个或 多个通信协议。具体而言，现场设备输入和输出通常被配置用于模拟或离 散通信。为了与现场设备进行通信，控制器通常需要配置用于现场设备使 用的相同类型的输入或输出的I/O卡。即，对于配置为接收模拟控制输出信 号(例如，4
‑
20mA信号)的现场设备，控制器需要模拟输出(AO)I/O卡 来传送适当的模拟控制输出信号；并且对于配置为通过模拟信号传送测量 值或其它信息的现场设备，控制器通常需要模拟输入(AI)卡来接收传送 的信息。同样，对于配置为接收离散控制输出信号的现场设备，控制器需 要离散输出(DO)I/O卡来传送适当的离散控制输出信号；并且对于配置 为通过离散控制输入信号传送信息的现场设备，控制器需要离散输入(DI) I/O卡。此外，一些I/O卡被配置用于电阻温度检测器(RTD)(它会随着温 度改变电线的电阻)或热电偶(TC)(它会产生与温度成比例的电
压)。通 常，每个I/O卡可以连接到多个现场设备输入或输出，其中到特定输入或输 出的每个通信链路被称为“I/O通道”(或更一般地说，“通道”)。例如，一 个120通道的DO I/O卡可以通过120个不同的DO I/O通道通信连接到120 个不同的离散现场设备输入，使控制器能够(通过DO I/O卡)向120个不 同的离散现场设备输入传送离散控制输出信号。
[0007]如本文所用，现场设备、控制器和I/O设备通常被称为“过程控制设 备”，并且通常位于、设置或安装在过程控制系统或工厂的现场环境中。由 一个或多个控制器、通信地连接到一个或多个控制器的现场设备以及促进 控制器和现场设备之间通信的中间节点形成的网络可被称为“I/O网络”或
ꢀ“
I/O子系统。”[0008]来自一个或多个I/O网络的信息可以通过数据高速通道或通信网络 (“过程控制网络”)提供给一个或多个其它硬件设备，例如操作员工作站、 个人计算机或计算设备、手持设备、数据历史记录器、报告生成器、集中 式数据库或其它集中式管理计算设备，这些设备通常放置在控制室或远离 工厂恶劣的现场环境的其它位置，例如，在过程工厂的后端环境中。
[0009]通过过程控制网络传送的信息使操作员或维护人员能够经由连接到 网络的一个或多个硬件设备执行关于过程的期望功能。这些硬件设备可以 运行应用程序，该应用程序使操作员能够例如更改一个或多个过程控制例 程的设置、修改过程控制器或智能现场设备内的控制模块的操作、查看过 程的当前状态或过程工厂内特定设备的状态，查看现场设备和过程控制器 生成的警报，为了培训人员或测试过程控制软件而模拟过程操作，诊断过 程工厂内的问题或硬件故障等。由硬件设备、控制器和现场设备使用的过 程控制网络或数据高速通道可以包括有线通信路径、无线通信路径、或有 线和无线通信路径的组合。
[0010]此外，在许多过程中，提供安全系统(有时称为“安全仪表系统”或
ꢀ“
SIS”)以检测过程工厂内的重要安全相关问题并当发生可能导致工厂严 重危害的问题时，例如有毒化学品泄漏、爆炸等，自动关闭阀、从设备移 除电源、切换工厂内的流等。安全系统或SIS应该做什么(功能要求)以 及它必须执行得有多好(安全完整性要求)可以根据危险和可操作性研究 (HAZOP)、保护层分析(LOPA)、风险图等来确定。IEC 61511和IEC61508中提到了示例技术。在安全系统或SIS设计、构建、安装和操作期 间，安全人员通常会验证这些要求是否得到满足。功能需求可以通过设计 评审来验证，例如故障模式、影响和关键性分析(FMECA)和各种类型的 测试(例如，示例工厂验收测试、现场验收测试和常规功能测试)。
[0011]一般而言，安全系统或SIS被设计成执行“特定控制功能”以在出现 不可接受或危险的状况时进行故障保护或维持过程的安全操作。通常，安 全系统相对独立于其它控制系统，以确保安全系统功能不受危害。安全系 统通常由与基本过程控制系统(BPCS)相同类型的控制元件(包括传感器、 逻辑解算器或控制器、执行器和其它控制设备)组成。然而，在传统执行 方式中，安全系统中的控制元件仅专用于安全系统的正常运行(例如，而 不是对由控制系统控制的过程进行适当控制)。
[0012]通常，“安全仪表功能”或“SIF”是安全系统中旨在降低与特定危害 相关的风险的一组特定设备，并且可以被认为或称为安全系统控制回路或
ꢀ“
安全回路”。SIF旨在(1)在违反指定条件时自动将工业过程置于安全 状态；(2)在特定条件允许(许可功能)的情况下，允许过程以安全的方 式向前推进；(3)采取措施减轻工业危害的后果。SIF通常作为整体风险降 低策略的一部分执行，该策略旨在消除先前确定的安全、健康和环境(SH&E) 事件的
可能性，这些事件的范围从轻微的装备损坏到涉及不受控制的灾难 性能本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种用于传送包括设备变量的值的消息的方法，使得能够在逐个变量的基础上验证所述值的完整性，所述方法包括：由第一过程控制设备在用于控制过程的过程控制环境中检测设备变量的检测值；由所述过程控制设备通过使用所述检测值和种子作为输入执行数据完整性计算，来计算第一数据完整性校验结果；对消息进行编码，以包括所述检测值和针对所述检测值的所述第一数据完整性校验结果；以及传送所述消息，使得其能够由第二过程控制设备接收，所述第二过程控制设备被配置为：(i)接收所述消息，(ii)针对所述消息中所述设备变量的候选值计算第二数据完整性校验结果；(iii)在所述第二过程控制设备处，基于所述第一数据完整性校验结果和所述第二数据完整性校验结果是否匹配，利用所述候选值对映射到所述设备变量的过程变量进行更新或不进行更新；以及(iv)根据所述过程变量执行作为所述过程的控制方案的部分的功能。2.根据权利要求1所述的方法，其中，所述第二过程控制设备是现场设备。3.根据权利要求1所述的方法，其中，所述第二过程控制设备是控制器。4.根据权利要求3所述的方法，其中，所述控制器是用于安全系统的逻辑解算器，并且其中，所述控制方案是用于确定何时将耦合到所述逻辑解算器的一个或多个现场设备驱动到安全状态的安全系统方案。5.根据权利要求3所述的方法，其中，所述控制器是用于被配置为控制所述过程的过程控制系统的过程控制器，并且其中，所述控制方案是用于所述过程控制系统的过程控制方案。6.根据权利要求1所述的方法，其中，所述第一过程控制设备是现场设备，并且所述设备变量是现场设备变量。7.根据权利要求1所述的方法，其中，所述第一过程控制设备是控制器。8.根据权利要求1所述的方法，其中，所述消息被编码为包括多个检测值，每个检测值都具有数据完整性校验结果，其中，所述方法还包括：检测第二设备变量的第二检测值；通过使用所述第二检测值和所述种子作为输入执行所述数据完整性计算，来计算第三数据完整性校验结果；其中，对所述消息进行编码还包括：对所述消息进行编码，以包括所述第二检测值和针对所述第二检测值的所述第二数据完整性校验结果；并且其中，所述第二过程控制设备还被配置为：(i)针对所述消息中所述第二设备变量的第二候选值计算第四数据完整性校验结果；(ii)在所述第二过程控制设备处，基于所述第三数据完整性校验结果和所述第四数据完整性校验结果是否匹配，利用所述第二候选值对映射到所述第二设备变量的第二过程变量进行更新或不进行更新；以及(iii)根据所述第二过程变量执行作为所述过程的控制方案的部分的功能。9.根据权利要求8所述的方法，其中，对所述消息进行编码包括对所述消息进行编码以使得所述消息包括多个消息部分，所述多个消息部分包括：
第一消息部分，包括所述第一检测值；第二消息部分，包括所述第二检测值；第三消息部分，包括所述第一数据完整性校验结果和指示所述第一数据完整性校验结果对应于所述多个消息部分中的哪一个消息部分的参数；第四消息部分，所述第四消息部分包括所述第三数据完整性校验结果和指示所述第三数据完整性校验结果对应于所述多个消息部分中的哪一个消息部分的参数。10.根据权利要求1所述的方法，还包括：递增序列参数以指示对所述设备变量的更新，其中，所述序列参数被配置为每次更新所述设备变量时被更新；其中，计算所述第一数据完整性校验结果还包括：使用所述序列参数作为所述数据完整性计算的输入之一；其中，对所述消息进行编码还包括：对所述消息进行编码以包括所述序列参数。11.根据权利要求10所述的方法，还包括：检测所述设备变量的变量状态；其中，计算所述第一数据完整性校验结果还包括：使用所述变量状态作为所述数据完整性计算的输入之一；其中，对所述消息进行编码还包括：对所述消息进行编码以包括所述变量状态。12.根据权利要求1所述的方法，其中，所述第一过程控制设备被配置为计算针对所述检测值的第三数据完整性校验结果，使得接收所述消息的第三过程控制设备能够经由所述第三数据完整性校验结果来验证所述检测值的完整性，其中，所述方法还包括：由所述第一过程控制设备通过使用所述检测值和第二种子作为输入执行所述数据完整性计算，来计算所述第三数据完整性校验结果；其中，对所述消息进行编码还包括：对所述消息进行编码，以包括针对所述检测值的所述第三数据完整性校验结果；并且其中，传送所述消息包括：传送所述消息，使得其能够由所述第三过程控制设备接收，其中，所述第三过程控制设备被配置为：(i)接收所述消息，(ii)针对所述消息中的所述候选值计算第四数据完整性校验结果；(iii)在所述第三过程控制设备处，基于所述第三数据完整性校验结果和所述第四数据完整性校验结果是否匹配，利用所述候选值对映射到所述设备变量的过程变量进行更新或不进行更新。13.根据权利要求1所述的方法，其中，所述种子是通过对所述第一过程控制设备的序列号和所述第一过程控制设备的标签进行组合而形成的值，其中，所述标签是能够由所述过程控制环境中的一个或多个其它设备通过其寻址所述第一过程控制设备的标识符。14.一种用于传送包括过程变量的值的消息的系统，所述过程变量的值能够在参数级别进行认证，所述系统包括：第一过程控制设备，被配置为在用于控制过程的过程控制环境的输入/输出(I/O)网络中通信地耦合到一个或多个其它过程控制设备，所述第一过程控制设备包括：(A)通信接口，被配置为将所述现场设备耦合到所述一个或多个控制器；及(B)一组电路，通信地耦合到所述通信接口，并且被配置为：检测设备变量的检测值；
通过使用所述检测值和种子作为输入执行数据完整性计算，来计算第一数据完整性校验结果；对消息进行编码，以包括所述检测值和针对所述检测值的所述第一数据完整性校验结果；以及经由所述通信接口将所述消息传送到第二过程控制设备，所述第二过程控制设备被配置为：(i)接收所述消息，(ii)针对所述消息中所述设备变量的候选值计算第二数据完整性校验结果；(iii)在所述第二过程控制设备处，基于所述第一数据完整性校验结果和所述第二数据完整性校验结果是否匹配，利用所述候选值对映射到所述设备变量的过程变量进行更新或不进行更新；以及(iv)根据所述过程变量执行作为所述过程的控制方案的部分的功能。15.根据权利要求14所述的系统，其中，所述第二过程控制设备是控制器。16.根据权利要求14所述的系统，其中，所述第一过程控制设备是现场设备，并且所述设备变量是现场设备变量。17.根据权利要求14所述的系统，其中，所述消息被编码为包括多个检测值，每个检测值都具有数据完整性校验结果，其中，所述一组电路还被配置为：检测第二设备变量的第二检测值；通过使用所述第二检测值和所述种子作为输入执行所述数据完整性计算，来计算第三数据完整性校验结果；其中，对所述消息进行编码还包括：对所述消息进行编码，以包括所述第二检测值和针对所述第二检测值的所述第二数据完整性校验结果；并且其中，所述第二过程控制设备还被配置为：(i)针对所述消息中所述第二设备变量的第二候选值计算第四数据完整性校验结果；(ii)在所述第二过程控制设备处，基于所述第三数据完整性校验结果和所述第四数据完整性校验结果是否匹配，利用所述第二候选值更对映射到所述第二设备变量的第二过程变量进行更新或不进行更新；以及(iii)根据所述第二过程变量执行作为所述过程的控制方案的部分的功能。18.根据权利要求17所述的系统，其中，所述一组电路还被配置...

【专利技术属性】
技术研发人员：M，
申请(专利权)人：费希尔罗斯蒙特系统公司，
类型：发明
国别省市：